【轉】銳捷交換機配置命令大全2

落雨_發表於2010-05-25

VLAN的基本配置

  (config)#vlan 10   建立VLAN10

  (config-vlan)#name vlanname 命名VLAN為vlanname

  (config-if)#switchport access vlan 10 將該埠劃入VLAN10中

  某埠的介面配置模式下進行

  (config)#interface vlan 10   進入VLAN 10的虛擬埠配置模式

  (config-if)# ip address 192.168.1.1 255.255.255.0 為VLAN10的虛擬埠配置IP及掩碼,二層交換機只能配置一個IP,此IP是作為管理IP使用,例如,使用Telnet的方式登入的IP地址

  (config-if)# no shutdown    啟用該埠

  埠安全

  (config)# interface fastethernet 0/1     進入一個埠

  (config-if)# switchport port-security    開啟該埠的安全功能

  1.配置最大連線數限制

  (config-if)# switchport port-secruity maxmum 1 配置埠的最大連線數為1,最大連線數為128

  (config-if)# switchport port-secruity violation shutdown

  配置安全違例的處理方式為shutdown,可選為protect (當安全地址數滿後,將未知名地址丟棄)、restrict(當違例時,傳送一個Trap通知)、shutdown(當違例時將埠關閉,併傳送Trap通知,可在全域性模式下用errdisable recovery來恢復)。

2.IP和MAC地址繫結

  (config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1

  介面配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1進行繫結(MAC地址注意用小寫)

  三層路由功能(針對三層交換機)

  (config)# ip routing       開啟三層交換機的路由功能

  (config)# interface fastethernet 0/1   

  (config-if)# no switchport      開啟埠的三層路由功能(這樣就可以為某一埠配置IP)

  (config-if)# ip address 192.168.1.1 255.255.255.0

  (config-if)# no shutdown

  三層交換機路由協議

  (config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置靜態路由

  注:172.16.1.0 255.255.255.0 為目標網路的網路號及子網掩碼

  172.16.2.1 為下一跳的地址,也可用介面表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的埠)

  (config)# router rip    開啟RIP協議程式

  (config-router)# network 172.16.1.0    申明本裝置的直連網段資訊

  (config-router)# version 2           開啟RIP V2,可選為version 1(RIPV1)、version 2(RIPV2)

  (config-router)# no auto-summary    關閉路由資訊的自動彙總功能(只有在RIPV2支援)

  (config)# router ospf        開啟OSPF路由協議程式(針對1762,無需使用程式ID)

  (config)# router ospf 1      開啟OSPF路由協議程式(針對2501,需要加OSPF程式ID)

  (config-router)# network 192.168.1.0 .255 area 0  

  申明直連網段資訊,並分配區域號(area0為骨幹區域)

  IP ACL

  交換機採用命名的訪問控制列表;分標準(stand)和擴充套件(extended)兩種

  1.標準ACL

  (config)#ip access-list stand listname 定義命名標準列表,命名為listname,stand為標準列表

  (config-std-nacl)#deny 192.168.30.0 .255 拒絕來自192.168.30.0網段的IP流量通過

  注:deny:拒絕通過;可選:deny(拒絕通過)、permit(允許通過)

  192.168.30.0 .255:源地址及源地址萬用字元;可使用any表示任何IP

  (config-std-nacl)#permit any

  (config-std-nacl)#end          返回

  2.擴充套件ACL

  (config)#ip access-list extended listname

  定義命名擴充套件列表,命名為listname,extended為擴充套件

  (config-ext-nacl)#deny tcp 192.168.30.0 .255 192.168.10.0 0.0.0.255 eq www 拒絕源地址為192.168.30.0網段的IP訪問目的地址為192.168.10.0網段的WWW服務

  注:deny:拒絕通過,可選:deny(拒絕通過)、permit(允許通過)

  tcp: 協議名稱,協議可以是udp, ip,eigrp, gre, icmp, igmp, igrp等等。

  192.168.10.0 .255:源地址及源地址萬用字元

  192.168.30.0 .255:目的地址及目的地址萬用字元

  eq:操作符(lt-小於,eq-等於,gt-大於,neg-不等於,range-包含)

  www:埠號,可使用名稱或具體編號

  可以使用的協議名稱(或編號)和埠名稱(或編號)請打?查詢。

  (config-ext-nacl)#permit ip any any   允許其它通過

  (config-ext-nacl)#end             返回

  (config)#interface vlan 10     進入埠配置模式

  (config-if)# ip access-group listname in   訪問控制列表在埠下in方向應用;可選:in(入棧)、out(出棧)

  (config-if)#end                 返回

  注:配置ACL時,若只想對其中部分IP進行限制訪問時,必須配置允許其流量通過,否則裝置只會對限制IP進行處理,不會對非限制IP進行允許通過處理。


相關文章