锐捷设备命令大全，网络工程师收藏！

锐捷网络（Ruijie Networks）是国内领先的网络设备制造商，致力于提供高效、安全、可靠的网络解决方案。锐捷的产品线包括交换机、路由器、防火墙、无线设备等，广泛应用于企业、教育、政府、金融等行业。

锐捷设备在各个行业中的应用场景包括：

• 企业内部网络架构搭建
• 数据中心网络
• 校园网建设
• 智能城市和智慧交通网络

本文给大家整理一下锐捷设备命令，希望对大家有所帮助！

目录：

[TOC]

基础配置

系统基本配置

设置设备名称

设备名称可以帮助管理员识别设备。设置设备名称的命令如下：

sysname <设备名称>

例如，将设备名称设置为"Ruijie_Switch"：

sysname Ruijie_Switch

配置时间和日期

配置设备的时间和日期有助于日志记录和事件管理。使用以下命令配置时区和日期时间：

1. 设置时区：

clock timezone <时区> add <小时> <分钟>

例如，将时区设置为东八区（北京时间）：

clock timezone BJ add 08 00

1. 设置日期和时间：

clock datetime <年> <月> <日> <小时> <分钟> <秒>

例如，将时间设置为2024年7月3日，15:30:00：

clock datetime 2024 07 03 15 30 00

保存配置

在锐捷设备中，配置更改不会立即保存到启动配置文件，需要手动保存配置。使用以下命令保存配置：

save

保存后，可以通过确认提示来完成保存：

Are you sure to save the configuration? [Y/N]: Y

用户管理

用户管理用于创建和管理设备的用户账号，设置权限和密码。

创建新用户

可以通过以下命令创建一个新的用户：

user-interface console 0
set authentication password simple <密码>

例如，设置控制台用户的密码为"password123"：

user-interface console 0
set authentication password simple password123

用户权限配置

可以为远程登录（例如Telnet或SSH）的用户设置权限：

user-interface vty 0 4
set authentication password simple <密码>

例如，设置VTY用户的密码为"password123"：

user-interface vty 0 4
set authentication password simple password123

文件系统管理

文件系统管理包括查看、删除和管理设备上的文件。

查看文件系统

可以使用以下命令查看设备上的文件系统和文件：

dir

输出示例如下：

Directory of flash:/

   2  -rw-     6068568  Jan 01 1970 00:01:35   system.bin
   3  -rw-        3456  Jan 01 1970 00:01:36   config.cfg
   4  -rw-      123456  Jan 01 1970 00:01:37   log.txt

删除文件

可以使用以下命令删除设备上的文件：

delete <文件名>

例如，删除文件"log.txt"：

delete log.txt

配置文件管理

配置文件管理包括备份和恢复设备的配置文件。

备份配置

可以使用以下命令将当前运行配置备份到启动配置：

copy running-config startup-config

恢复配置

可以使用以下命令将启动配置恢复到当前运行配置：

copy startup-config running-config

接口配置

接口基本配置

接口基本配置包括进入接口配置模式、设置接口描述和启用或关闭接口等。

进入接口配置模式

要配置特定接口，首先需要进入该接口的配置模式。使用以下命令：

interface <接口类型> <接口编号>

例如，进入GigabitEthernet 0/1接口的配置模式：

interface GigabitEthernet 0/1

设置接口描述

设置接口描述可以帮助管理员识别接口的用途或连接对象。使用以下命令：

description <描述信息>

例如，将接口描述设置为"连接到核心交换机"：

description 连接到核心交换机

启用或关闭接口

可以使用以下命令启用或关闭接口：

shutdown / no shutdown

例如，启用接口GigabitEthernet 0/1：

interface GigabitEthernet 0/1
no shutdown

物理接口

物理接口配置包括配置IP地址、设置链路模式等。

配置IP地址

为接口配置IP地址和子网掩码，使用以下命令：

ip address <IP地址> <子网掩码>

例如，为GigabitEthernet 0/1接口配置IP地址192.168.1.1，子网掩码255.255.255.0：

interface GigabitEthernet 0/1
ip address 192.168.1.1 255.255.255.0

设置链路模式

可以设置接口的速率和双工模式，使用以下命令：

speed <速率>
duplex <模式>

例如，将GigabitEthernet 0/1接口设置为1000Mbps全双工模式：

interface GigabitEthernet 0/1
speed 1000
duplex full

VLAN接口

VLAN接口配置包括创建VLAN和将接口加入VLAN等。

创建VLAN

使用以下命令创建一个新的VLAN：

vlan <VLAN ID>

例如，创建VLAN 10：

vlan 10

将接口加入VLAN

将接口配置为访问模式并加入指定的VLAN：

interface <接口类型> <接口编号>
switchport mode access
switchport access vlan <VLAN ID>

例如，将GigabitEthernet 0/1接口配置为访问模式并加入VLAN 10：

interface GigabitEthernet 0/1
switchport mode access
switchport access vlan 10

聚合接口

聚合接口（Link Aggregation）配置包括创建聚合接口和将物理接口加入聚合接口等。

创建聚合接口

使用以下命令创建一个新的聚合接口（Port-channel）：

interface Port-channel <编号>

例如，创建Port-channel 1：

interface Port-channel 1

将物理接口加入聚合接口

使用以下命令将物理接口加入到聚合接口：

interface <接口类型> <接口编号>
channel-group <编号> mode <模式>

例如，将GigabitEthernet 0/1和0/2接口加入到Port-channel 1，模式为主动（active）：

interface GigabitEthernet 0/1
channel-group 1 mode active

interface GigabitEthernet 0/2
channel-group 1 mode active

以太网交换

交换基础

查看MAC地址表

查看设备上的MAC地址表有助于了解网络中的设备连接情况。使用以下命令查看MAC地址表：

show mac address-table

输出示例如下：

MAC Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   10    00e0.b601.aba8    DYNAMIC     Gi0/1
   20    00e0.b601.bacd    DYNAMIC     Gi0/2

清除MAC地址表

清除MAC地址表可以在需要重新学习MAC地址时使用。使用以下命令清除动态MAC地址表：

clear mac address-table dynamic

VLAN和VLAN Trunk

配置Trunk接口

Trunk接口允许多个VLAN通过一个物理接口传输，通常用于交换机之间的连接。使用以下命令配置Trunk接口：

interface <接口类型> <接口编号>
switchport mode trunk
switchport trunk allowed vlan <VLAN列表>

例如，将GigabitEthernet 0/1接口配置为Trunk模式，并允许VLAN 10和20通过：

interface GigabitEthernet 0/1
switchport mode trunk
switchport trunk allowed vlan 10,20

配置本地管理VLAN

本地管理VLAN用于管理交换机的访问，通常是默认VLAN 1。可以使用以下命令更改管理VLAN：

interface vlan <VLAN ID>
ip address <IP地址> <子网掩码>

例如，将管理VLAN设置为VLAN 100，并配置IP地址：

interface vlan 100
ip address 192.168.100.1 255.255.255.0

STP（生成树协议）

生成树协议（STP）用于防止网络中出现环路，保证网络的稳定性和可靠性。

启用STP

可以使用以下命令启用STP并选择STP模式：

spanning-tree mode <模式>

支持的模式包括RSTP、MSTP等。例如，启用快速生成树协议（RSTP）：

spanning-tree mode rstp

配置STP优先级

可以配置交换机在STP中的优先级，优先级越低，越可能成为根桥。使用以下命令：

spanning-tree vlan <VLAN ID> priority <优先级>

例如，将VLAN 10的优先级设置为4096：

spanning-tree vlan 10 priority 4096

端口镜像

端口镜像用于网络监控和故障排查，可以将流量从一个接口复制到另一个接口进行分析。

配置端口镜像

使用以下命令配置端口镜像：

monitor session <会话编号> source interface <源接口>
monitor session <会话编号> destination interface <目的接口>

例如，将GigabitEthernet 0/1接口的流量镜像到GigabitEthernet 0/2接口：

monitor session 1 source interface GigabitEthernet 0/1
monitor session 1 destination interface GigabitEthernet 0/2

广域网接入

基本配置

配置广域网接口

广域网接口（WAN接口）用于连接远程网络或互联网。通常，WAN接口会配置IP地址和子网掩码。使用以下命令配置WAN接口：

interface <接口类型> <接口编号>
ip address <IP地址> <子网掩码>

例如，为Serial 0/0接口配置IP地址192.168.10.1，子网掩码255.255.255.252：

interface Serial 0/0
ip address 192.168.10.1 255.255.255.252

配置静态路由

静态路由用于手动配置路由表，指示如何将流量发送到特定网络。使用以下命令配置静态路由：

ip route <目的网络> <子网掩码> <下一跳地址>

例如，配置到网络192.168.20.0/24的静态路由，下一跳地址为192.168.10.2：

ip route 192.168.20.0 255.255.255.0 192.168.10.2

PPP配置

PPP（点对点协议）是一种常用于广域网的链路层协议。

配置PPP

使用以下命令在广域网接口上启用PPP：

interface <接口类型> <接口编号>
encapsulation ppp

例如，在Serial 0/0接口上启用PPP：

interface Serial 0/0
encapsulation ppp

配置PPP认证

PPP支持多种认证方式，如PAP和CHAP。使用以下命令配置PPP认证：

1. 配置PAP认证：

ppp pap sent-username <用户名> password <密码>

例如，配置PAP认证，用户名为"user1"，密码为"password123"：

interface Serial 0/0
ppp pap sent-username user1 password password123

1. 配置CHAP认证：

ppp chap hostname <主机名>
ppp chap password <密码>

例如，配置CHAP认证，主机名为"user1"，密码为"password123"：

interface Serial 0/0
ppp chap hostname user1
ppp chap password password123

Frame Relay配置

Frame Relay是一种广域网技术，常用于建立虚拟电路。

配置Frame Relay

使用以下命令在广域网接口上启用Frame Relay：

interface <接口类型> <接口编号>
encapsulation frame-relay

例如，在Serial 0/0接口上启用Frame Relay：

interface Serial 0/0
encapsulation frame-relay

配置DLCI

DLCI（数据链路连接标识符）用于标识Frame Relay虚拟电路。使用以下命令配置DLCI：

frame-relay interface-dlci <DLCI编号>

例如，为Serial 0/0接口配置DLCI 100：

interface Serial 0/0
frame-relay interface-dlci 100

Dialer配置

Dialer接口用于拨号连接，通常与PPP结合使用。

配置Dialer接口

使用以下命令配置Dialer接口：

interface Dialer <编号>
ip address negotiated
encapsulation ppp
dialer pool-member <池编号>

例如，配置Dialer 1接口，使用Dialer池1：

interface Dialer 1
ip address negotiated
encapsulation ppp
dialer pool-member 1

配置拨号池

使用以下命令配置拨号池：

dialer pool <池编号>

例如，配置拨号池1：

dialer pool 1

IP业务

IP地址配置

IP地址配置是网络配置的基础，主要用于为设备的接口分配IP地址。

配置IP地址

为设备接口配置IP地址和子网掩码，使用以下命令：

interface <接口类型> <接口编号>
ip address <IP地址> <子网掩码>

例如，为GigabitEthernet 0/1接口配置IP地址192.168.1.1，子网掩码255.255.255.0：

interface GigabitEthernet 0/1
ip address 192.168.1.1 255.255.255.0

DHCP配置

DHCP（动态主机配置协议）用于自动分配IP地址、网关和DNS服务器等信息给客户端。

配置DHCP服务器

1. 创建DHCP池：

ip dhcp pool <池名称>

例如，创建名为"LAN"的DHCP池：

ip dhcp pool LAN

1. 指定网络和子网掩码：

network <网络地址> <子网掩码>

例如，指定网络192.168.1.0/24：

network 192.168.1.0 255.255.255.0

1. 指定网关：

default-router <网关地址>

例如，指定网关192.168.1.1：

default-router 192.168.1.1

1. 指定DNS服务器：

dns-server <DNS服务器地址>

例如，指定DNS服务器8.8.8.8：

dns-server 8.8.8.8

配置DHCP中继

DHCP中继用于在不同网络段之间传递DHCP请求。使用以下命令配置DHCP中继：

interface <接口类型> <接口编号>
ip helper-address <DHCP服务器地址>

例如，在GigabitEthernet 0/1接口上配置DHCP中继，DHCP服务器地址为192.168.2.1：

interface GigabitEthernet 0/1
ip helper-address 192.168.2.1

NAT配置

NAT（网络地址转换）用于在私有IP地址和公共IP地址之间进行转换，以便内部网络访问外部网络。

配置静态NAT

静态NAT用于将一个私有IP地址映射到一个公共IP地址。使用以下命令配置静态NAT：

ip nat inside source static <私有IP地址> <公共IP地址>

例如，将私有IP地址192.168.1.100映射到公共IP地址203.0.113.1：

ip nat inside source static 192.168.1.100 203.0.113.1

配置动态NAT

动态NAT用于将一个内部网络地址池映射到一个公共IP地址池。使用以下命令配置动态NAT：

1. 定义内部网络地址池：

ip nat pool <池名称> <起始IP地址> <结束IP地址> netmask <子网掩码>

例如，定义地址池“PUBLIC”，地址范围从203.0.113.1到203.0.113.10，子网掩码255.255.255.0：

ip nat pool PUBLIC 203.0.113.1 203.0.113.10 netmask 255.255.255.0

1. 创建访问列表，定义内部网络范围：

access-list <编号> permit <网络地址> <反掩码>

例如，定义访问列表10，内部网络范围为192.168.1.0/24：

access-list 10 permit 192.168.1.0 0.0.0.255

1. 将内部网络映射到公共地址池：

ip nat inside source list <访问列表编号> pool <池名称>

例如，将访问列表10映射到地址池“PUBLIC”：

ip nat inside source list 10 pool PUBLIC

1. 配置内部和外部接口：

interface <接口类型> <接口编号>
ip nat inside / ip nat outside

例如，配置GigabitEthernet 0/1为内部接口，GigabitEthernet 0/2为外部接口：

interface GigabitEthernet 0/1
ip nat inside

interface GigabitEthernet 0/2
ip nat outside

静态路由配置

静态路由用于手动配置路由表，指示如何将流量发送到特定网络。使用以下命令配置静态路由：

ip route <目的网络> <子网掩码> <下一跳地址>

例如，配置到网络192.168.20.0/24的静态路由，下一跳地址为192.168.1.2：

ip route 192.168.20.0 255.255.255.0 192.168.1.2

IP路由

静态路由

静态路由用于手动配置路由表，指示如何将流量发送到特定网络。其配置在前面已部分涉及，这里再详细说明。

配置静态路由

使用以下命令配置静态路由：

ip route <目的网络> <子网掩码> <下一跳地址>

例如，配置到网络192.168.30.0/24的静态路由，下一跳地址为192.168.1.1：

ip route 192.168.30.0 255.255.255.0 192.168.1.1

RIP配置

RIP（路由信息协议）是一种较为简单的内部网关协议，适用于小型网络。

启用RIP

使用以下命令启用RIP并配置相应的网络：

router rip
version <版本号>
network <网络地址>

例如，启用RIP版本2，并配置网络192.168.1.0/24和192.168.2.0/24：

router rip
version 2
network 192.168.1.0
network 192.168.2.0

配置RIP被动接口

被动接口不发送RIP更新，但仍接收和处理RIP更新。使用以下命令配置RIP被动接口：

router rip
passive-interface <接口类型> <接口编号>

例如，将GigabitEthernet 0/1接口设置为RIP被动接口：

router rip
passive-interface GigabitEthernet 0/1

OSPF配置

OSPF（开放最短路径优先）是一种链路状态协议，适用于大型和复杂的网络。

启用OSPF

使用以下命令启用OSPF并配置相应的网络：

router ospf <进程ID>
network <网络地址> <反掩码> area <区域ID>

例如，启用OSPF进程1，并配置网络192.168.1.0/24到区域0：

router ospf 1
network 192.168.1.0 0.0.0.255 area 0

配置OSPF优先级

OSPF优先级用于选择指定路由器（DR）和备份指定路由器（BDR）。使用以下命令配置接口的OSPF优先级：

interface <接口类型> <接口编号>
ip ospf priority <优先级>

例如，将GigabitEthernet 0/1接口的OSPF优先级设置为100：

interface GigabitEthernet 0/1
ip ospf priority 100

BGP配置

BGP（边界网关协议）是一种用于自治系统之间的路由协议，适用于互联网骨干网。

启用BGP

使用以下命令启用BGP并配置本地AS号：

router bgp <本地AS号>
neighbor <邻居IP地址> remote-as <邻居AS号>

例如，启用BGP，配置本地AS号为65001，邻居IP地址为192.168.1.2，邻居AS号为65002：

router bgp 65001
neighbor 192.168.1.2 remote-as 65002

配置BGP网络

使用以下命令将本地网络宣告到BGP：

router bgp <本地AS号>
network <网络地址> mask <子网掩码>

例如，将网络192.168.1.0/24宣告到BGP：

router bgp 65001
network 192.168.1.0 mask 255.255.255.0

ACL和QoS

ACL（访问控制列表）

ACL用于控制流量的访问权限，通过设置一系列规则来允许或拒绝特定的数据包。ACL有标准ACL和扩展ACL两种类型。

标准ACL

标准ACL根据源IP地址来过滤流量。

配置标准ACL

使用以下命令配置标准ACL：

access-list <编号> permit | deny <源IP地址> <反掩码>

例如，允许来自192.168.1.0/24网络的流量：

access-list 10 permit 192.168.1.0 0.0.0.255

应用标准ACL到接口

将ACL应用到接口上：

interface <接口类型> <接口编号>
ip access-group <ACL编号> in | out

例如，将ACL 10应用到GigabitEthernet 0/1接口的入方向：

interface GigabitEthernet 0/1
ip access-group 10 in

扩展ACL

扩展ACL根据源和目的IP地址、协议类型以及端口号来过滤流量。

配置扩展ACL

使用以下命令配置扩展ACL：

access-list <编号> permit | deny <协议类型> <源IP地址> <反掩码> <目的IP地址> <反掩码> [eq <端口号>]

例如，允许TCP协议从192.168.1.0/24网络到192.168.2.0/24网络的流量，端口号为80：

access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80

应用扩展ACL到接口

将ACL应用到接口上：

interface <接口类型> <接口编号>
ip access-group <ACL编号> in | out

例如，将ACL 100应用到GigabitEthernet 0/1接口的入方向：

interface GigabitEthernet 0/1
ip access-group 100 in

QoS（服务质量）

QoS用于管理网络资源，提供不同类型流量的优先级，以确保关键应用的带宽和延迟要求。

配置QoS策略

QoS策略包括分类、标记、队列和调度等步骤。

分类和标记

使用类图定义流量分类：

class-map <类图名称>
match <匹配条件>

例如，定义类图"HTTP"来匹配TCP协议的80端口流量：

class-map HTTP
match protocol tcp
match port 80

配置策略图

使用策略图来定义分类后的操作：

policy-map <策略图名称>
class <类图名称>
<操作>

例如，为类图"HTTP"配置带宽限制为1Mbps：

policy-map LIMIT-HTTP
class HTTP
bandwidth 1000

应用策略图到接口

将策略图应用到接口上：

interface <接口类型> <接口编号>
service-policy input | output <策略图名称>

例如，将策略图"LIMIT-HTTP"应用到GigabitEthernet 0/1接口的出方向：

interface GigabitEthernet 0/1
service-policy output LIMIT-HTTP

可靠性

链路聚合（Link Aggregation）

链路聚合用于将多个物理链路捆绑成一个逻辑链路，以提高带宽和可靠性。

配置链路聚合

1. 创建聚合接口：

interface port-channel <编号>

例如，创建聚合接口Port-Channel 1：

interface port-channel 1

1. 将物理接口添加到聚合接口：

interface <物理接口类型> <物理接口编号>
channel-group <聚合接口编号> mode <模式>

例如，将GigabitEthernet 0/1和GigabitEthernet 0/2接口添加到Port-Channel 1，模式为active：

interface GigabitEthernet 0/1
channel-group 1 mode active

interface GigabitEthernet 0/2
channel-group 1 mode active

查看链路聚合状态

使用以下命令查看链路聚合的状态：

show etherchannel summary

STP（生成树协议）

STP用于防止交换网络中的环路，确保网络的稳定性和可靠性。

启用STP

使用以下命令启用STP：

spanning-tree mode <模式>

例如，启用快速生成树协议（RSTP）：

spanning-tree mode rapid-pvst

配置STP优先级

使用以下命令配置交换机的STP优先级，以决定根桥的选择：

spanning-tree vlan <VLAN编号> priority <优先级>

例如，将VLAN 1的STP优先级设置为4096：

spanning-tree vlan 1 priority 4096

配置STP端口优先级

使用以下命令配置接口的STP端口优先级，以决定指定端口的选择：

interface <接口类型> <接口编号>
spanning-tree vlan <VLAN编号> port-priority <优先级>

例如，将GigabitEthernet 0/1接口的VLAN 1端口优先级设置为128：

interface GigabitEthernet 0/1
spanning-tree vlan 1 port-priority 128

VRRP（虚拟路由冗余协议）

VRRP用于提高网络的可靠性，通过在多个路由器之间共享虚拟IP地址，实现网关的冗余备份。

配置VRRP

1. 配置接口的IP地址：

interface <接口类型> <接口编号>
ip address <IP地址> <子网掩码>

例如，为GigabitEthernet 0/1接口配置IP地址192.168.1.2，子网掩码255.255.255.0：

interface GigabitEthernet 0/1
ip address 192.168.1.2 255.255.255.0

1. 配置VRRP组：

interface <接口类型> <接口编号>
vrrp <组编号> ip <虚拟IP地址>

例如，为GigabitEthernet 0/1接口配置VRRP组1，虚拟IP地址为192.168.1.1：

interface GigabitEthernet 0/1
vrrp 1 ip 192.168.1.1

1. 配置VRRP优先级：

interface <接口类型> <接口编号>
vrrp <组编号> priority <优先级>

例如，将VRRP组1的优先级设置为120：

interface GigabitEthernet 0/1
vrrp 1 priority 120

网管和监控

SNMP（简单网络管理协议）

SNMP用于监控网络设备和服务器，收集信息并进行管理。

配置SNMP代理

1. 启用SNMP代理：

snmp-server community <团体名> <访问权限> <ACL编号>

例如，启用团体名为"public"，读写权限为可读写，ACL编号为10的SNMP代理：

snmp-server community public RW 10

1. 配置SNMP Trap接收者：

snmp-server host <Trap接收者IP地址> version <版本号> <团体名>

例如，配置Trap接收者IP地址为192.168.1.10，版本号为2c，团体名为"public"：

snmp-server host 192.168.1.10 version 2c public

查看SNMP状态

使用以下命令查看SNMP配置和状态：

show snmp

Syslog

Syslog用于记录设备的事件和消息，便于故障排除和审计。

配置Syslog服务器

1. 配置Syslog服务器地址：

logging <Syslog服务器IP地址>

例如，配置Syslog服务器IP地址为192.168.1.20：

logging 192.168.1.20

1. 配置Syslog级别：

logging level <级别> <设备>

例如，设置所有设备的Syslog级别为信息（Informational）：

logging level informational

查看Syslog日志

使用以下命令查看Syslog日志：

show logging

NetFlow

NetFlow用于监控和收集流量数据，以进行流量分析和网络性能优化。

配置NetFlow

1. 启用NetFlow：

flow record <记录名称>
match <匹配条件>
collect <收集字段>

例如，创建记录名称为"NETFLOW-RECORD"，匹配所有流量，收集IP地址和端口号：

flow record NETFLOW-RECORD
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port

1. 配置NetFlow导出器：

flow exporter <导出器名称>
destination <导出器IP地址>
source <本地接口>
transport udp <端口号>

例如，配置导出器名称为"NETFLOW-EXPORTER"，目的地IP地址为192.168.1.30，本地接口为GigabitEthernet 0/1，UDP端口号为2055：

flow exporter NETFLOW-EXPORTER
destination 192.168.1.30
source GigabitEthernet 0/1
transport udp 2055

1. 配置NetFlow监视器：

flow monitor <监视器名称>
record <记录名称>
exporter <导出器名称>
cache timeout active <超时时间>

例如，配置监视器名称为"NETFLOW-MONITOR"，使用之前创建的记录名称和导出器名称，并设置活动超时时间为60秒：

flow monitor NETFLOW-MONITOR
record NETFLOW-RECORD
exporter NETFLOW-EXPORTER
cache timeout active 60

启用NetFlow监控接口

将NetFlow监视器应用到接口上：

interface <接口类型> <接口编号>
ip flow monitor <监视器名称> input | output

例如，将监视器"NETFLOW-MONITOR"应用到GigabitEthernet 0/1接口的输入方向：

interface GigabitEthernet 0/1
ip flow monitor NETFLOW-MONITOR input

安全

防火墙

防火墙用于控制网络流量，保护网络安全，包括配置访问控制列表（ACL）和安全策略等功能。

配置防火墙ACL

1. 创建防火墙ACL：

access-list <编号> permit | deny <协议类型> <源IP地址> <反掩码> <目的IP地址> <反掩码> [eq <端口号>]

例如，允许TCP协议从192.168.1.0/24网络到192.168.2.0/24网络的流量，端口号为80：

access-list 110 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80

1. 将ACL应用到防火墙接口：

interface <防火墙接口类型> <防火墙接口编号>
ip access-group <ACL编号> in | out

例如，将ACL 110应用到防火墙的入方向：

interface firewall GigabitEthernet 1/0/1
ip access-group 110 in

配置安全策略

1. 创建安全策略：

policy-map <策略名称>
class <类名称>
<操作>

例如，创建策略名称为"SECURITY-POLICY"，并设置检查HTTP流量：

policy-map SECURITY-POLICY
class HTTP
inspect http

1. 将安全策略应用到防火墙接口：

interface <防火墙接口类型> <防火墙接口编号>
service-policy <策略名称> in | out

例如，将策略"SECURITY-POLICY"应用到防火墙的入方向：

interface firewall GigabitEthernet 1/0/1
service-policy SECURITY-POLICY in

VPN（虚拟专用网络）

VPN用于通过公共网络（如Internet）安全地连接私有网络。

配置IPSec VPN

1. 配置IPSec策略：

crypto isakmp policy <优先级>
encryption <加密算法>
authentication <认证算法>

例如，配置IPSec策略优先级为10，使用AES加密和SHA认证：

crypto isakmp policy 10
encryption aes
authentication sha

1. 配置IPSec转换集：

crypto ipsec transform-set <转换集名称> <加密算法> <认证算法>

例如，创建转换集名称为"IPSEC-TRANSFORM"，使用AES加密和SHA认证：

crypto ipsec transform-set IPSEC-TRANSFORM esp-aes esp-sha-hmac

1. 配置IPSec安全关联（SA）：

crypto map <地图名称> <序列号> ipsec-isakmp
set peer <对等方IP地址>
set transform-set <转换集名称>
match address <ACL编号>

例如，创建地图名称为"IPSEC-MAP"，序列号为10，设置对等方IP地址、转换集和ACL编号：

crypto map IPSEC-MAP 10 ipsec-isakmp
set peer 203.0.113.1
set transform-set IPSEC-TRANSFORM
match address 120

1. 将IPSec地图应用到接口：

interface <接口类型> <接口编号>
crypto map <地图名称>

例如，将IPSec地图"IPSEC-MAP"应用到GigabitEthernet 0/1接口：

interface GigabitEthernet 0/1
crypto map IPSEC-MAP

组播（Multicast）

组播用于在网络上一次传输数据到多个目的地。

配置组播路由

1. 启用组播路由：

ip multicast-routing

1. 配置组播路由协议（如PIM）：

router <组播路由协议>

例如，配置PIM组播路由协议：

router pim

1. 配置组播组：

ip igmp join-group <组播组地址>

例如，加入组播组地址为239.1.1.1：

ip igmp join-group 239.1.1.1

总结

最后瑞哥将命令整理成表格，大家可以截图收藏！

基础配置

命令	描述
system-view	进入系统视图
sysname <设备名称>	设置设备主机名
interface <接口类型> <接口编号>	进入接口视图
description <描述信息>	配置接口描述信息
ip address <IP地址> <子网掩码>	配置接口IP地址和子网掩码
undo shutdown	启用接口
save	保存配置

接口配置

命令	描述
port link-mode <模式>	配置接口链路模式
port default vlan <VLAN编号>	配置接口默认VLAN
port default pvid <VLAN编号>	配置接口默认PVID
port trunk permit vlan <VLAN列表>	配置允许通过的VLAN列表
port hybrid tagged vlan <VLAN列表>	配置混合接口允许的标记VLAN
port hybrid untagged vlan <VLAN列表>	配置混合接口允许的非标记VLAN

以太网交换

命令	描述
vlan batch <VLAN列表>	批量创建VLAN
interface vlanif <VLAN编号>	进入VLAN接口视图
ip address <IP地址> <子网掩码>	配置VLAN接口IP地址和子网掩码
stp enable	启用生成树协议
stp instance <实例编号> priority <优先级>	配置生成树实例优先级

广域网接入

命令	描述
interface <接口类型> <接口编号>	进入接口视图
pppoe-client dial-bundle-number <号码>	配置PPPoE客户端拨号号码
ip address ppp-negotiate	PPPoE自动协商IP地址
nat outbound <编号>	配置NAT出口策略

IP业务

命令	描述
ip route-static <目的网络> <子网掩码> <下一跳地址>	配置静态路由
ip dns server	启用设备作为DNS服务器
ping <目标地址>	发送Ping测试
tracert <目标地址>	追踪路由到目标地址

IP路由

命令	描述
ospf <进程编号>	进入OSPF进程视图
area <区域编号> authentication	配置OSPF区域认证方式
interface <接口类型> <接口编号>	进入接口视图
ospf network-type <网络类型>	配置OSPF接口网络类型

ACL和QoS

命令	描述
acl number <ACL编号>	创建ACL
`rule <规则编号> permit	deny <协议类型> <源IP> <反掩码> <目的IP> <反掩码>`	配置ACL规则
qos policy <策略名称>	进入QoS策略视图
classifier <分类名称> behavior <行为名称>	配置分类器和行为
apply qos policy <策略名称> <接口类型> <接口编号>	应用QoS策略到接口

可靠性

命令	描述
interface port-channel <编号>	创建聚合接口
interface <物理接口类型> <物理接口编号>	添加物理接口到聚合接口
spanning-tree mode <模式>	配置生成树协议模式
spanning-tree vlan <VLAN编号> priority <优先级>	配置STP优先级
vrrp <组编号> ip <虚拟IP地址>	配置VRRP组

网管和监控

命令	描述
snmp-server community <团体名> <访问权限> <ACL编号>	配置SNMP代理
snmp-server host <Trap接收者IP地址> version <版本号> <团体名>	配置SNMP Trap接收者
logging <Syslog服务器IP地址>	配置Syslog服务器地址
logging level <级别>	配置Syslog日志级别
flow record <记录名称>	创建NetFlow记录
flow exporter <导出器名称>	配置NetFlow导出器
flow monitor <监视器名称>	配置NetFlow监视器

安全

命令	描述
`access-list <编号> permit	deny <协议类型> <源IP地址> <反掩码> <目的IP地址> <反掩码> [eq <端口号>]`	配置防火墙ACL
interface <防火墙接口类型> <防火墙接口编号>	应用ACL到防火墙接口
policy-map <策略名称>	创建安全策略
class <类名称>	进入策略类视图
crypto isakmp policy <优先级>	配置IPSec ISAKMP策略
crypto ipsec transform-set <转换集名称> <加密算法> <认证算法>	配置IPSec转换集
crypto map <地图名称> <序列号> ipsec-isakmp	创建IPSec地图