目录
第1章 802.1x配置命令............................................................................................................1-1
1.1 80
2.1x配置命令.................................................................................................................1-1
1.1.1 display dot1x...........................................................................................................1-1
1.1.2 dot1x........................................................................................................................1-3
1.1.3 dot1x authentication-method...................................................................................1-4
1.1.4 dot1x dhcp-launch...................................................................................................1-5
1.1.5 dot1x guest-vlan......................................................................................................1-6
1.1.6 dot1x max-user.......................................................................................................1-7
1.1.7 dot1x port-control....................................................................................................1-7
1.1.8 dot1x port-method...................................................................................................1-8
1.1.9 dot1x quiet-period...................................................................................................1-9
1.1.10 dot1x re-authenticate..........................................................................................1-10
1.1.11 dot1x retry...........................................................................................................1-11
1.1.12 dot1x retry-version-max......................................................................................1-12
1.1.13 dot1x supp-proxy-check......................................................................................1-12
1.1.14 dot1x timer...........................................................................................................1-13
1.1.15 dot1x timer handshake-period.............................................................................1-15
1.1.16 dot1x version-check............................................................................................1-16
1.1.17 reset dot1x statistics............................................................................................1-16第2章 AAA和RADIUS协议配置命令.....................................................................................2-1
2.1 AAA配置命令.....................................................................................................................2-1
2.1.1 access-limit..............................................................................................................2-1
2.1.2 attribute...................................................................................................................2-1
2.1.3 cut connection.........................................................................................................2-2
2.1.4 display connection...................................................................................................2-4
2.1.5 display domain........................................................................................................2-5
2.1.6 display local-user....................................................................................................2-6
2.1.7 domain.....................................................................................................................2-7
2.1.8 idle-cut.....................................................................................................................2-8
2.1.9 local-user.................................................................................................................2-9
2.1.10 local-user password-display-mode.....................................................................2-10
2.1.11 name...................................................................................................................2-11
2.1.12 password.............................................................................................................2-11
2.1.13 radius-scheme.....................................................................................................2-12
2.1.14 service-type.........................................................................................................2-13
2.1.15 state.....................................................................................................................2-14
2.1.16 vlan-assignment-mode........................................................................................2-14
2.2 RADIUS协议配置命令.....................................................................................................2-15
2.2.1 accounting optional...............................................................................................2-15
2.2.2 data-flow-format....................................................................................................2-16
2.2.3 display local-server statistics.................................................................................2-17 2.2.4 display radius........................................................................................................2-18 2.2.5 display radius statistics.........................................................................................2-19 2.2.6 display stop-accounting-buffer..............................................................................2-21 2.2.7 key.........................................................................................................................2-22 2.2.8 local-server............................................................................................................2-23 2.2.9 primary accounting................................................................................................2-24 2.2.10 primary authentication.........................................................................................2-25 2.2.11 radius scheme.....................................................................................................2-26 2.2.12 reset stop-accounting-buffer...............................................................................2-26 2.2.13 retry.....................................................................................................................2-28 2.2.14 retry realtime-accounting.....................................................................................2-28 2.2.15 retry stop-accounting...........................................................................................2-29 2.2.16 secondary accounting.........................................................................................2-30 2.2.17 secondary authentication....................................................................................2-31 2.2.18 server-type..........................................................................................................2-31 2.2.19 state.....................................................................................................................2-32 2.2.20 stop-accounting-buffer enable.............................................................................2-33 2.2.21 timer....................................................................................................................2-34 2.2.22 timer realtime-accounting....................................................................................2-35 2.2.23 user-name-format................................................................................................2-36
第1章 802.1x配置命令
1.1 80
2.1x配置命令
1.1.1 display dot1x
命令
display dot1x [ sessions | statistics ] [ interface interface-list ] 视图
任意视图
参数
sessions显示802.1x的会话连接信息
statistics显示802.1x的相关统计信息
interface显示指定端口的802.1x相关信息
interface-list以太网端口列表表示多个以太网端口表示方式为interface-list
{ interface-num [ to interface-num ] } & < 1-10 >其中interface-num为单个以太
网端口可表示为interface-num = { interface-type interface-num | interface-name }
其中interface-type为端口类型interface-num为端口号interface-name为端口
名它们各自的含义和取值范围请参见本书端口配置部分的命令参数描述
display dot1x命令用来显示802.1x的相关信息包括配置信息运行情况会话
连接信息以及相关统计信息等
缺省情况下显示802.1x在各端口的所有相关信息
可以使用此命令来显示指定端口上的802.1x配置状态或统计信息如果在执行本
命令的时候不指定端口系统将显示交换机所有802.1x相关信息例如所有端口
的802.1x配置情况802.1x的会话连接信息802.1x的数据统计信息等根据该
命令的输出信息可以帮助用户确认当前的802.1x配置是否正确并进一步有助于
802.1x故障的诊断与排除
相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x max-user,
dot1x port-control,dot1x port-method, dot1x timer
举例
# 显示802.1x的配置信息
[Quidway] display dot1x
Equipment 802.1X protocol is disabled
CHAP authentication is enabled
DHCP-launch is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Configure: Transmit Period 000030 s, Commit Period 000015 s
Quiet Period 000060 s, Value of Quiet Period Timer is disabled Supp Timeout 000030 s, Value of Server Timeout 000100 s
The maximal retransmitting times 000003
Handshake period 000015 s
Total maximum on-line user number is 512
Total current on-line user number is 0
Ethernet0/1 is link-down
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
The port is a(n) authenticator
Authenticate Mode is auto
Port Control Type is Mac-based
Max on-line user number is 64
以下略
表1-1802.1x配置信息描述表
域名描述
Equipment 802.1X protocol is enabled 交换机802.1x特性已经开启
DHCP-launch is disabled 交换机不允许DHCP触发对接入用户的身份认证
EAP-relay is enabled 交换机EAP中继功能打开
Proxy trap checker is disabled 交换机禁止通过代理登录用户的接入
Proxy logoff checker is disabled 交换机禁止通过代理登录用户的接入
Transmit Period 发送间隔定时器
Commit Period 握手周期定时器
Retry 以太网交换机可重复向接入用户发送认证请求帧的次数
Quiet Period quiet-period命令设置的时长
域名描述
Quiet Period Timer is disable quiet-period定时器处于关闭状态Supp Timeout supp-timeout命令设置的时长Server Timeout server-timeout命令设置的时长Total maximum on-line user number 最多可接入用户数
Total current on-line user number 当前在线接入用户数
Ethernet0/1 is link-down 端口Ethernet 0/1的状态为down The port is a(n) authenticator 该端口担当Authenticator作用Proxy trap checker is disabled
Proxy logoff checker is disabled
该端口禁止通过代理登录用户的接入Authenticate Mode is auto 端口接入控制的模式为auto
Port Control Type is Mac-based 端口接入控制方式为Mac-based即基于MAC地址对接入用户进行认证
Max on-line user number 本端口最多可容纳的接入用户数
… …
1.1.2 dot1x
命令
dot1x[ interface interface-list ]
undo dot1x[ interface interface-list ]
视图
系统视图
以太网端口视图
参数
interface interface-list以太网端口列表表示多个以太网端口表示方式为
interface-list { interface-num [ to interface-num ] } & < 1-10 >其中
interface-num为单个以太网端口可表示为interface-num = { interface-type
interface-num | interface-name }其中interface-type为端口类型interface-num
为端口号interface-name为端口名它们各自的含义和取值范围请参见本书端
口配置部分的命令参数
描述
dot1x命令用来开启指定端口上或全局即当前设备的802.1x特性undo dot1x
命令用来关闭指定端口上或全局的802.1x特性
缺省情况下所有端口及全局的802.1x特性都处于关闭状态
在系统视图下使用该命令时如果不输入interface-list参数则表示开启全局的
802.1x特性将显示交换机所有的802.1x配置信息如果指定了interface-list则
表示开启指定端口的802.1x特性在以太网端口视图下使用该命令时不能输入
interface-list参数仅打开当前端口的802.1x特性
802.1x特性启动前后均可以使用配置命令来配置全局或端口的802.1x特性参数
如果在开启全局802.1x特性前没有配置全局或端口的其它802.1x特性参数则这
些参数在运行时均为缺省值
全局802.1x特性开启后必须再开启端口的802.1x特性802.1x的配置才能在端
口上生效
如果端口启动了802.1x则不能配置该端口的最大MAC地址学习个数通过命令
mac-address max-mac-count配置反之如果端口配置了最大MAC地址学
习个数则禁止在该端口上启动802.1x
相关配置可参考命令display dot1x
举例
# 开启以太网端口Ethernet 0/1上的802.1x特性
[Quidway] dot1x interface ethernet 0/1
# 开启全局的802.1x特性
[Quidway] dot1x
1.1.3 dot1x authentication-method
命令
dot1x authentication-method {chap | pap | eap}
undo dot1x authentication-method
视图
系统视图
参数
chap采用CHAP认证方式
pap采用PAP认证方式
eap采用EAP认证方式目前支持EAP-MD5EAP-TLS和PEAP认证方法描述
dot1x authentication-method命令用来设置802.1x用户的认证方法undo dot1x
authentication-method命令用来恢复802.1x用户的缺省认证方法
缺省情况下802.1x用户认证方法为CHAP认证
PAP Password Authentication Protocol是一种两次握手认证协议它采用明文
方式传送口令;
CHAP Challenge Handshake Authentication Protocol是一种三次握手认证协议
它只在网络上传输用户名而并不传输口令相比之下CHAP认证保密性较好
更为安全可靠
EAP认证交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务
器完成认证而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服
务器来完成认证如果要采用PEAP EAP-TLS或者EAP-MD5这三种认证方法之
一只需启动EAP认证即可
需要注意的是PAP CHAP EAP认证功能的最终实现需要RADIUS服务器支
持相应的PAP CHAP EAP认证
相关配置可参考命令display dot1x
举例
# 设置交换机802.1X用户采用PEAP认证
[Quidway] dot1x authentication-method eap
1.1.4 dot1x dhcp-launch
命令
dot1x dhcp-launch
undo dot1x dhcp-launch
视图
系统视图
参数
无
描述
dot1x dhcp-launch命令用来在DHCP环境中如果用户私自配置静态IP设置
802.1x不允许以太网交换机触发对该用户的身份认证undo dot1x dhcp-launch
命令用来设置允许交换机触发对该用户的身份认证
缺省情况下用户私自配置静态IP交换机可以触发对其的身份认证
相关配置可参考命令display dot1x
举例
# 设置在DHCP环境中用户私自配置静态IP的情况下交换机不触发对其的身份
认证
[Quidway] dot1x dhcp-launch
1.1.5 dot1x guest-vlan
命令
dot1x guest-vlan vlan-id [ interface interface-list ]
undo dot1x guest-vlan vlan-id [ interface interface-list ]
视图
系统视图/以太网端口视图
参数
vlan-id Guest VLAN的VLAN ID取值范围为14094
interface_list使能Guest VLAN的端口列表interface_list = { interface_type
interface_num | interface_name } [ to { interface_type interface_num |
interface_name } ] &<1-10>其中interface_type为端口类型interface_num为端
口号interface_name为端口名它们各自的含义和取值范围请参见本书端口
部分的命令参数此处不再赘述关键字to之后的端口号要大于或等于to之前的
端口号命令中&<1-10>表示前面的参数最多可以重复输入10次描述
dot1x guest-vlan命令用来开启指定端口的Guest VLAN功能undo dot1x
guest-vlan命令用来关闭Guest VLAN功能
在系统视图下使用该命令时如果不输入interface-list参数则表示开启所有端口
的Guest VLAN功能如果指定了interface-list则表示开启指定端口的Guest VLAN
功能
在以太网端口视图下使用该命令时不能输入interface-list参数仅打开当前端口
的Guest VLAN功能
相关配置可参考命令name, vlan-assignment-mode
举例
# 设置认证方式为基于端口的模式
[Quidway] dot1x port-method portbased
# 开启所有端口的Guest VLAN功能
[Quidway] dot1x guest-vlan 1
1.1.6 dot1x max-user
命令
dot1x max-user user-number[ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
视图
系统视图
以太网端口视图
参数
user-number端口可容纳接入用户数量的最大值取值范围为164
缺省情况下指定端口上可容纳接入用户数量的最大值为64
interface interface-list以太网端口列表表示多个以太网端口表示方式为
interface-list { interface-num [ to interface-num ] } & < 1-10 >其中
interface-num为单个以太网端口可表示为interface-num = { interface-type
interface-num | interface-name }其中interface-type为端口类型interface-num
为端口号interface-name为端口名它们各自的含义和取值范围请参见本书端
口配置部分的命令参数
描述
dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的最大
值undo dot1x max-user命令用来恢复该值的缺省值
在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口如果不
指定任何端口则将作用于所有端口在以太网端口视图下执行该命令时不能输入
interface-list参数只能作用于当前端口
相关配置可参考命令display dot1x
举例
# 设置端口Ethernet 0/2最多可容纳32个接入用户
[Quidway] dot1x max-user 32 interface ethernet 0/2
1.1.7 dot1x port-control
命令
dot1x port-control { auto | authorized-force | unauthorized-force }[ interface
interface-list ]
undo dot1x port-control [ interface interface-list ]
视图
系统视图
以太网端口视图
参数
auto自动识别模式指示端口初始状态为非授权状态仅允许EAPoL报文收发
不允许用户访问网络资源如果认证流程通过则端口切换到授权状态允许用户
访问网络资源这也是最常见的情况
authorized-force强制授权模式指示端口始终处于授权状态允许用户不经认
证授权即可访问网络资源
unauthorized-force强制非授权模式指示端口始终处于非授权状态不允许用
户访问网络资源
interface interface-list以太网端口列表表示多个以太网端口表示方式为
interface-list { interface-num [ to interface-num ] } & < 1-10 >其中
interface-num为单个以太网端口可表示为interface-num = { interface-type
interface-num | interface-name }其中interface-type为端口类型interface-num
为端口号interface-name为端口名它们各自的含义和取值范围请参见本书端
口配置部分的命令参数
描述
dot1x port-control命令用来设置802.1x在指定端口上进行接入控制的模式undo
dot1x port-control命令用来恢复缺省的接入控制模式
缺省情况下接入控制模式为auto
dot1x port-control命令用来设置802.1x在指定端口上进行接入控制的模式即端
口处于什么状态在系统视图下执行该命令可以作用于interface-list参数所指定的
某个端口如果不指定任何端口则将作用于所有端口在以太网端口视图下执行该
命令时不能输入interface-list参数只能作用于当前端口
相关配置可参考命令display dot1x
举例
# 指定端口Ethernet 0/1处于强制非受控状态
[Quidway] dot1x port-control unauthorized-force interface ethernet 0/1
1.1.8 dot1x port-method
命令
dot1x port-method { macbased | portbased }[ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
视图
系统视图
以太网端口视图
参数
macbased指示802.1x认证系统基于MAC地址对接入用户进行认证
portbased指示802.1x认证系统基于端口号对接入用户进行认证
interface interface-list以太网端口列表表示多个以太网端口表示方式为
interface-list { interface-num [ to interface-num ] } & < 1-10 >其中
interface-num为单个以太网端口可表示为interface-num = { interface-type
interface-num | interface-name }其中interface-type为端口类型interface-num
为端口号interface-name为端口名它们各自的含义和取值范围请参见本书端
口配置部分的命令参数
缺省情况下接入控制依据为macbased
描述
dot1x port-method命令用来设置802.1x在指定端口上进行接入控制的方式undo
dot1x port-method命令用来恢复缺省的接入控制依据
此命令用来设置802.1x在指定端口上进行接入控制的方式即基于什么来对用户进
行认证当采用macbased方式时该端口下的所有接入用户均需要单独认证当
某个用户下线时也只有该用户无法使用网络当采用portbased方式时只要该
端口下的第一个用户认证成功后其他接入用户无须认证就可使用网络资源但是
当第一个用户下线后其他用户也会被拒绝使用网络
在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口如果不
指定任何端口则将作用于所有端口在以太网端口视图下执行该命令时不能输入
interface-list参数只能作用于当前端口
相关配置可参考命令display dot1x
举例
# 指定端口Ethernet 0/1基于端口号对接入用户进行认证
[Quidway] dot1x port-method portbased interface ethernet 0/1
1.1.9 dot1x quiet-period
命令
dot1x quiet-period
undo dot1x quiet-period
视图
系统视图
参数
无
描述
dot1x quiet-period命令用来开启quiet-period定时器功能undo dot1x
quiet-period命令用来关闭该定时器功能
当802.1x用户认证失败以后Authenticator设备如Quidway系列以太网交换机
需要静默一段时间该时间由静默定时器设置后再重新发起认证在静默期间
Authenticator设备不进行802.1x认证的相关处理
相关配置可参考命令display dot1x dot1x timer
举例
# 打开quiet-period定时器
[Quidway] dot1x quiet-period
1.1.10 dot1x re-authenticate
命令
dot1x re-authenticate [ interface interface-list]
undo dot1x re-authenticate [ interface interface-list]
视图
系统视图/以太网端口视图
参数
interface interface-list以太网端口列表表示多个以太网端口表示方式为
interface-list { interface-num [ to interface-num ] } & < 1-10 >其中
interface-num为单个以太网端口可表示为interface-num = { interface-type
interface-num | interface-name }其中interface-type为端口类型interface-num
为端口号interface-name为端口名
描述
dot1x re-authenticate用来开启特定端口或设备所有Authenticator端口的802.1X
重认证特性undo dot1x re-authenticate用来关闭特定端口或设备所有
Authenticator端口的802.1X重认证特性
缺省情况下所有端口的802.1X重认证特性都处于关闭状态
在系统视图下使用该命令时如果不输入interface-list参数则表示开启所有端口
的802.1X重认证特性如果指定了interface-list参数则表示开启指定端口的
802.1X重认证特性以太网端口视图下使用该命令时不能输入interface-list参数
仅打开当前端口的802.1X重认证特性
在配置端口802.1X重认证特性之前必须开启全局802.1X特性和该端口的802.1x
特性
举例
# 在端口Ethernet 0/1上启动802.1X重认证功能
[Quidway-Ethernet0/1] dot1x re-authenticate
Re-authentication is enabled on port Ethernet0/1
1.1.11 dot1x retry
命令
dot1x retry max-retry-value
undo dot1x retry
视图
系统视图
参数
max-retry-value可重复向接入用户发送认证请求帧的最大次数取值范围为1
10缺省情况下可重复向接入用户发送认证请求帧的最大次数为3次描述
dot1x retry命令用来设置以太网交换机可重复向接入用户发送认证请求帧的最大
次数undo dot1x retry命令用来将该最大发送次数恢复为缺省值
如果交换机初次向用户发送认证请求帧后在规定的时间里没有收到用户的响应
则交换机将再次向用户发送该认证请求此命令就是用来设置以太网交换机可重复
向接入用户发送认证请求帧的次数取值为1时表示只允许向用户发送一次认证请
求帧即如果没有收到响应不再重复发送取值为2时表示在首次向用户发送请
求又没有收到响应后将重复发送1次依次类推本命令设置后将作用于所有
端口
相关配置可参考命令display dot1x
举例
# 指示本机最多可9次向接入用户发送认证请求帧
[Quidway] dot1x retry 9
1.1.12 dot1x retry-version-max
命令
dot1x retry-version-max max-retry-version-value
undo dot1x retry-version-max
视图
系统视图
参数
max-retry-version-value重复向接入用户发送版本请求帧的最大次数取值范围为
110缺省为3次
描述
dot1x retry-version-max命令用来设置以太网交换机可重复向接入用户发送版本
请求帧的最大次数undo dot1x retry-version-max命令用来将该最大发送次数恢
复为缺省值
当交换机初次向用户发送客户端版本请求帧后如果在一定时间由版本验证的超
时定时器指定内没有收到客户端的响应交换机会再次向客户端发送版本请求
当发送次数达到由本配置任务配置的最大次数后仍没有收到响应交换机不再对客
户端的版本进行验证而继续进行后续的认证过程本命令设置后将作用于所有启
动版本验证功能的端口
相关配置可参考命令display dot1x dot1x timer
举例
# 配置交换机最多向接入用户发送6次版本请求帧
[Quidway]dot1x retry-version-max 6
1.1.13 dot1x supp-proxy-check
命令
dot1x supp-proxy-check { logoff | trap }[ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap }[ interface interface-list ] 视图
系统视图
以太网端口视图
参数
logoff拒绝通过代理的用户登录交换机
trap允许通过代理的用户登录交换机但交换机会发送trap报文
interface interface-list以太网端口列表表示多个以太网端口表示方式为
interface-list { interface-num [ to interface-num ] } & < 1-10 >其中
interface-num为单个以太网端口可表示为interface-num = { interface-type
interface-num | interface-name }其中interface-type为端口类型interface-num
为端口号interface-name为端口名它们各自的含义和取值范围请参见本书端
口配置部分的命令参数
描述
dot1x supp-proxy-check命令用来设置交换机对通过代理登录的用户的检测及接
入控制undo dot1x supp-proxy-check命令用来取消交换机对通过代理登录的用
户的检测及相关控制的设置
需要注意的是该功能的实现需要华为802.1X客户端程序的配合即需要通过代理
登录的用户需要运行华为802.1X客户端程序该客户端程序要求版本为V1.29或
以上
此命令在系统视图下执行可以作用于interface-list参数所指定的某个端口在以
太网端口视图下执行不能输入interface-list参数只能作用于当前端口
相关配置可参考命令display dot1x
举例
# 设置交换机不允许通过代理的用户登录端口Ethernet 0/3
[Quidway] dot1x supp-proxy-check logoff interface ethernet 0/3
# 设置交换机允许通过代理的用户登录端口Ethernet 0/3
[Quidway] dot1x supp-proxy-check trap
[Quidway] dot1x supp-proxy-check trap interface ethernet 0/3
或
[Quidway] dot1x supp-proxy-check trap
[Quidway] interface Ethernet 0/3
[Quidway-Ethernet0/3] dot1x supp-proxy-check trap
1.1.14 dot1x timer
命令
dot1x timer { quiet-period quiet-period-value| reauth-period
reauth-period-value| server-timeout server-timeout-value| supp-timeout
supp-timeout-value | tx-period tx-period-value | ver-period ver-period-value }
undo dot1x timer { quiet-period| reauth-period| server-timeout|
supp-timeout | tx-period | ver-period }
视图
系统视图
参数
quiet-period静默定时器对用户认证失败以后Authenticator设备需要静默一
段时间该时间由静默定时器设置后再重新发起认证在静默期间Authenticator
设备不处理认证功能
quiet-period-value静默定时器设置的静默时长取值范围10120单位为秒
缺省值为60秒
reauth-period重认证超时定时器在该定时器设置的时长内Supplicant设备会
发起802.1X重认证
reauth-period-value重认证超时定时器设置的时长取值范围为186400单位
为秒缺省值为3600秒
server-timeout Authentication Server超时定时器若在该定时器设置的时长内
Authentication Server未成功响应Authenticator设备将重发认证请求报文
server-timeout-value RADIUS服务器超时定时器设置的时长取值范围为100
300单位为秒缺省值为100秒
supp-timeout Supplicant认证超时定时器若在该定时器设置的时长内
Supplicant设备未成功响应Authenticator设备将重发认证请求报文
supp-timeout-value Supplicant认证超时定时器设置的时长取值范围为10120
单位为秒缺省值为30秒
tx-period传送超时定时器若在该定时器设置的时长内Supplicant设备未成功
发送认证应答报文则Authenticator设备将重发认证请求报文
tx-period-value传送超时定时器设置的时长取值范围为10120单位为秒缺
省值为30秒
ver-period客户端版本请求超时定时器若在该定时器设置的时长内Supplicant
设备未成功发送版本应答报文则Authenticator设备将重发版本请求报文
ver-period-value版本请求超时定时器设置的时长取值范围为130单位为秒
缺省值为1秒
描述
dot1x timer命令用来配置802.1x的各项定时器参数undo dot1x timer命令用来
将指定的定时器恢复为缺省值
802.1x在运行时会启动很多定时器以控制接入用户Supplicant接入认证设备
Authenticator以及认证服务器Authenticator Server之间进行合理有序的交互使用此命令可以改变部分定时器值另外部分定时器是不可调节的以调
节交互进程这在较为特殊或比较恶劣的网络环境下可能是必需的措施不过一
般情况下请保持这些定时器的缺省值
相关配置可参考命令display dot1x
举例
# 设置Authentication Server超时定时器时长为150秒
[Quidway] dot1x timer server-timeout 150
1.1.15 dot1x timer handshake-period
命令
dot1x timer handshake-period interval
undo dot1x timer handshake-period
视图
系统视图
参数
interval握手时间间隔取值范围为11024单位为秒缺省情况下握手报文
的发送时间间隔为15秒
描述
dot1x timer handshake-period命令用来设置802.1x的握手报文的发送时间间隔
undo dot1x timer handshake-period命令用来恢复时间间隔的缺省值
通过dot1x timer handshake-period命令配置握手请求报文的时间间隔后系统
以此间隔为周期发送握手请求报文如果dot1x retry命令配置重试次数为N则系
统连续N次没有收到客户端的响应报文就认为用户已经下线将用户置为下线状
态
举例
# 设置802.1x的握手报文的发送时间间隔为200秒即8021x用户上线之后系统
每隔200秒向用户发出握手报文
[Quidway] dot1x timer handshake-period 200
1.1.16 dot1x version-check
命令
dot1x version-check [ interface interface-list]
undo dot1x version-check [ interface interface-list]
视图
系统视图/以太网端口视图
参数
interface interface-list以太网端口列表表示多个以太网端口表示方式为
interface-list { interface-num [ to interface-num ] } & < 1-10 >其中
interface-num为单个以太网端口可表示为interface-num = { interface-type
interface-num | interface-name }其中interface-type为端口类型interface-num
为端口号interface-name为端口名
描述
dot1x version-check用来开启指定端口上的802.1X客户端版本检测特性undo
dot1x version-check用来关闭指定端口上对802.1X客户端的版本检测特性
缺省情况下所有端口的802.1X客户端版本检测特性都处于关闭状态
在系统视图下使用该命令时如果不输入interface-list参数则表示开启所有端口
的802.1X客户端版本检测特性如果指定了interface-list参数则表示开启指定端
口的802.1X客户端版本检测特性以太网端口视图下使用该命令时不能输入
interface-list参数仅打开当前端口的802.1X版本检测特性
举例
# 配置端口在接收到认证报文时检测802.1X客户端的版本
[Quidway-Ethernet0/1]dot1x version-check
1.1.17 reset dot1x statistics
命令
reset dot1x statistics[ interface interface-list ]
视图
用户视图
参数
interface interface-list以太网端口列表表示多个以太网端口表示方式为
interface-list { interface-num [ to interface-num ] } & < 1-10 >其中
interface-num为单个以太网端口可表示为interface-num = { interface-type
interface-num | interface-name }其中interface-type为端口类型interface-num
为端口号interface-name为端口名它们各自的含义和取值范围请参见本书端
口配置部分的命令参数
描述
reset dot1x statistics命令用来清除802.1x的统计信息
当用户想删除802.1x原有统计信息重新进行相关信息统计时可以使用该命令
在清除原有的统计信息时如果不指定端口类型和端口号则清除交换机上的全局
及所有端口的802.1x统计信息如果指定端口类型和端口号则清除指定端口上的
802.1x统计信息
相关配置可参考命令display dot1x
举例
# 清除以太网端口Ethernet 0/2上的802.1x统计信息
安全第2章 AAA和RADIUS协议配置命令第2章 AAA和RADIUS协议配置命令
2.1 AAA配置命令
2.1.1 access-limit
命令
access-limit { disable | enable max-user-number }
undo access-limit
视图
ISP域视图
参数
disable表示不对当前ISP域可容纳的接入用户数作限制
enable max-user-number指示当前ISP域可容纳接入用户数的最大值取值范围
为1512
描述
access-limit命令用来指定当前ISP域可容纳接入用户数的最大值undo
access-limit命令用来恢复缺省设置
缺省情况下不对当前ISP域可容纳的接入用户数作限制
由于接入用户之间会发生资源的争用因此适当地配置该值可以使属于当前ISP域
的用户获得可靠的性能保障
举例
# 指定ISP域https://www.doczj.com/doc/41440546.html,最多可容纳500个接入用户
[https://www.doczj.com/doc/41440546.html,] access-limit enable 500
2.1.2 attribute
命令
attribute { ip ip-address| mac mac-address| idle-cut second| access-limit
max-user-number| vlan vlanid| location { nas-ip ip-address port portnum | port
portnum }*
undo attribute { ip | mac |idle-cut | access-limit | vlan | location }*
一、交换机配置模式介绍 (2) 二、交换机基本配置 (2) 2.1 接口介质类型配置 (3) 2.2 接口速度/双工配置 (3) 2.3 VLAN配置 (4) 2.4 端口镜像 (5) 2.5 端口聚合 (6) 2.6 交换机堆叠 (6) 2.7 ACL配置 (7) 2.8 端口安全 (8) 2.9 交换机防攻击配置 (10) 2.10 DHCP配置 (13) 2.11 三层交换机配置 (14) 三、交换机常用查看命令 (16)
一、交换机配置模式介绍 交换机配置模式主要有: 用户模式:此模式只可以简单的查看一些交换机的配置和一些简单的修改。 Switch> 特权模式:此模式可以查看一些交换机的配置,后面讲述的很多show命令便是在此模式下进行的,还可以对一些简单的设置配置,例如时间。 Switch> enable //在用户模式下输入enable将进入配置模式 Switch# 全局配置模式:此模式下可以进行对交换机的配置,例如:命名、配置密码、设路由等。Switch#configure erminal //特权模式下可以通过config terminal 命令进入配置模式Switch(config)# 端口配置模式:此模式下对端口进行配置,如配置端口ip等。 Switch(config)#interface gigabitEthernet 1/1 //配置模式下输入interface gigabitEthernet 1/1进入到端口g 1/1接口模式。 二、交换机基本配置 交换机命名:在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。 switch(config)#hostname ruijie //ruijie为该交换机的名字 交换机配置管理密码:配置密码可以提高交换机的安全性,另外,telnet登录交换机的时候,必须要求有telnet管理密码。 switch (config)#enable secret level 1 0 rg //配置telnet管理密码为rg,其中1表示telnet密码,0表示密码不加密 switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg,其中15表示为特权密码 交换机配置管理IP switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1 switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址 switch (config-if)#no shutdown //激活管理IP,养成习惯,无论配置什么设备,都使用一下这个命令
锐捷S3550配置手册 第一部分:交换机概述 一:交换机的几种配置方法 本部分包括以下内容: 控制台 远程登录 其它配置方法 本部分内容适用于交换机、路由器等网络设备。 控制台 用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。 1、硬件连接: 把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。 按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连接在网络设备的Console口上。 注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。 2、软件安装: 在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法: 开始|程序|附件|通信|超级终端。 按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。 登录后,就可以对网络设备进行配置了。
说明:超级终端只需安装一次,下次再使用时可从“开始|程序|附件|通信|超级终端”中找到上次安装的超级终端,直接使用即可。 远程登录 通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。 远程登录条件: 1、网络设备已经配置了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。 3、计算机也连入网络,并且可以和网络设备通信。 说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。 远程登录方法: 在计算机的命令行中,输入命令“telnet网络设备IP地址”,输入登录密码就可以进入网络设备的命令配置模式。 说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。 其它配置方法 除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。 1、TFTP服务器: TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。 由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。
cisco路由器常用命令 1:三大模式 router> 用户模式 router > enable 进入特权模式 router # router > enable 进入全局配置模式 router #configure terminal router (conf)# 2:其它模式 Router(config)#interface f1/0 进入接口配置模式Router(config-if)# Router(config)#interface f1/0.1 进入子接口配置模式Router(config-subif)# Router(config)#line console 0 进入line模式Router(config-line)# Router(config)#router rip 进入路由模式Router(config-router)# 3:路由器命名 hostname routera,以routerA为例 router > enable router #configure terminal router(conf)#hostname routerA routera (conf)# 4:配置各类密码 配置特权模式密码(使能口令) enable password cisco,以cisco为例 router > enable router #configure terminal router(conf)#hostname routerA routerA (conf)# enable password cisco 设置VTY(虚拟终端接口)密码 Router(config)#line vty 0 1
思科交换机路由器命令 大全 YUKI was compiled on the morning of December 16, 2020
1. 交换机支持的命令:交换机基本状态: 交换机口令设置: switch>enable ;进入特权模式switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口 令switch(config)#enable password xxa ;设置特权非 密口令switch(config)#line console 0 ;进入控制台 口switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令 xxswitch#exit ;返回命令 交换机VLAN设置:
switch(vlan)#vlan 2 ;建VLAN 2switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入端 口1switch(config-if)#switchport access vlan 2 ; 当前端口加入vlan 2switch(config-if)#switchport mode trunk ;设置为干线switch(config- if)#switchport trunk allowed vlan 1,2 ;设置允许 的vlanswitch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名switch(config)#vtp password ;设置发vtp密码switch(config)#vtp mode server ;设置发vtp模式switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址: 交换机显示命令:
一 switch> 用户模式 1:进入特权模式enable switch> enable switch# 2:进入全局配置模式configure terminal switch> enable switch#c onfigure terminal switch(conf)# 3:交换机命名hostname aptech2950 以aptech2950为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令enable password cisco 以cisco为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码enable secret ciscolab 以cicsolab为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 配置交换机端口ip和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 设置网关地址 7:进入交换机某一端口interface fastehernet 0/17 以17端口为例switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)# 8:查看命令show switch> enable
【第一部分】交换机支持的命令: 1.交换机基本状态: switch: ;ROM状态,路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 2.交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令 3.交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain;设置发vtp域名 switch(config)#vtp password;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式
思科交换机路由器命令大全 交换机命令: switch> 用户模式 1:进入特权模式 enable switch> enable switch# 2:进入全局配置模式 configure terminal switch> enable switch#configure terminal switch(conf)# 3:交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch#configure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令 enable password cisco 以cisco为例 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码 enable secret ciscolab 以cicsolab为例--设置禁用IP地址解析特性,设置启用消息同步特性 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab aptech2950(conf)#no ip domain-lookup -----设置禁用IP地址解析特性 aptech2950(conf)#logging synchronous -----设置启用消息同步特性 aptech2950(conf)#interface range fastethernet0/1-20 aptech2950(conf-if-range)#spanning-tree portfast -----设置快速端口
目录 一、通过使用密码telnet 登陆设备 (2) 二、通过使用用户名和密码telnet 登陆设备 (2) 三、通过web 界面来管理配置交换机 (2) 四、修改设备时间 (3) 五、交换机光电复用口的切换 (3) 六、交换机关闭广播风暴 (4) 七、交换机端口聚合经典案例 (4) 八、交换机端口限速 (5) 九、交换机MAC 地址绑定 (5) 十、交换机端口安全典型案例 (6) 十一、交换机address-bind (8) 十二、交换机防止非法架设DHCP服务器 (8) 十三、交换机防止DHCP地址池被耗尽 (8) 十四、交换机防止用户私自设置IP 地址 (9) 十五、交换机防网关arp 欺骗 (9)
锐捷交换机常用配置指南 一、通过使用密码 telnet 登陆设备 配置步骤: 1、配置管理地址 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface vlan 1 Ruijie(config-if)#ip address 192.168.33.180 Ruijie(config-if)#exit 进入特权模式 进入全局配置模式 进入 vlan 1 接口 255.255.255.0 为 vlan 1 接口上设置管理 退回到全局配置模式 1、配置管理地址 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface vlan 1 Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 为 vlan 1 接口上设置管理 Ruijie(config-if)#exit 退回到全局配置模式 2、配置 telnet 密码 Ruijie(config)#username ruijie password ruijie 配置用户名和密码 Ruijie(config)#line vty 0 4 进入 telnet 密码配置模式 Ruijie(config-line)#login local 配置本地认证 Ruijie(config-line)#exit 回到全局配置模式 Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为 ruijie Ruijie(config)#end 退出到特权模式 Ruijie#write 确认配置正确,保存配置 三、通过 web 界面来管理配置交换机 2、配置 telnet 密码 Ruijie(config)#line vty 0 4 户同时 telnet 登入到交换机 进入 telnet 密码配置模式, 0 4 表示允许共 5 个用 启用需输入密码才能 telnet 成功 Ruijie(config-line)#login Ruijie(config-line)#password ruijie 将 telnet 密码设置为 ruijie Ruijie(config-line)#exit 回到全局配置模式 Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为 ruijie Ruijie(config)#end Ruijie#write 确认配置正确,保存配置 退出到特权模式 二、通过使用用户名和密码 telnet 登陆设备 ip 进入特权模式 进入全局配置模式 进入 vlan 1 接口 ip
思科路由器常用配置命令大全 本文按字母顺序列举了思科路由器常用配置命令,适合思科路由器操作人员随时查看 Access-enable允许路由器在动态访问列表中创建临时访问列表入口 Access-group把访问控制列表(ACL)应用到接口上 Access-list定义一个标准的IP ACL Access-template在连接的路由器上手动替换临时访问列表入口 Appn向APPN子系统发送命令 Atmsig 执行ATM信令命令 B 手动引导操作系统 Bandwidth 设置接口的带宽 Banner motd 指定日期信息标语 Bfe 设置突发事件手册模式 Boot system 指定路由器启动时加载的系统映像 Calendar 设置硬件日历 Cd 更改路径 Cdp enable 允许接口运行CDP协议 Clear 复位功能 Clear counters 清除接口计数器 Clear interface 重新启动接口上的件逻辑 Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率 Cmt 开启/关闭FDDI连接管理功能 Config-register 修改配置寄存器设置 Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息 Configure memory 从NVRAM加载配置信息 Configure terminal 从终端进行手动配置 Connect 打开一个终端连接 Copy 复制配置或映像数据 Copy flash tftp 备份系统映像文件到TFTP服务器 Copy running-config startup-config 将RAM中的当前配置存储到NVRAM Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上 Copy tftp flash 从TFTP服务器上下载新映像到Flash Copy tftp running-config 从TFTP服务器上下载配置文件 Debug 使用调试功能 Debug dialer 显示接口在拨什么号及诸如此类的信息 Debug ip rip 显示RIP路由选择更新数据 Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息 Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息 Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程 Debug ppp 显示在实施PPP中发生的业务和交换信息 Delete 删除文件 Deny 为一个已命名的IP ACL设置条件 Dialer idle-timeout 规定线路断开前的空闲时间的长度 Dialer map 设置一个串行接口来呼叫一个或多个地点 Dialer wait-for-carrier-time 规定花多长时间等待一个载体 Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制 Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控
锐捷交换机、路由器常用命令EXEC模式: 用户模式switch> 交换机信息的查看,简单测试命令 特权模式switch# 查看、管理交换机配置信息,测试、调试 配置模式: 全局配置模式switch(config)# 配置交换机的整体参数 接口配置模式switch(config-if)# 配置交换机的接口参数 进入全局配置模式 Switch#c onfigure terminal Switch(config)#exit Switch# 进入接口配置模式 Switch(config)#interface fastethernet 0/1 Switch(config-if)#exit Switch(config)# 从子模式下直接返回特权模式 Switch(config-if)#end
Switch# 命令行其他功能 获得帮助 switch#? switch#show ? 命令简写 全写:switch# configure terminal 简写:Switch# config 使用历史命令 Switch# (向上键) Switch# (向下键) 配置交换机Telnet功能 配置远程登陆密码 Switch(config)#enable secret level 1 0 ruijie 配置进入特权模式密码 Switch (config)#enable secret level 15 0 ruijie
为交换机配置管理IP Switch (config)#interface vlan 1 Switch (config-if)#no shutdown Switch (config-if)#ip address 192.168.1.1 255.255.255.0 Switch (config-if)#end 配置文件的管理 保存配置 将当前运行的参数保存到flash 中用于系统初始化时初始化参数 Switch#copy running-config startup-config Switch#write memory Switch#write 删除配置 永久性的删除flash 中不需要的文件 使用命令delete flash:config.text 删除当前的配置:在配置命令前加no 例:switch(config-if)# no ip address 查看配置文件内容 Switch#show configure 查看保存在FLASH里的配置信息
一、交换机基本配置 ? 交换机命名: 在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。 switch(config)#hostname ruijie //ruijie为该交换机的名字 ? 交换机配置管理密码: 配置密码可以提高交换机的安全性,另外,telnet登录交换机的时候,必须要求有telnet管理密码。 switch (config)#enable secret level 1 0 rg //配置telnet管理密码为rg,其中1表示telnet密码,0表示密码不加密 switch (config)#enable secret level 15 0 rg //配置特权模式下的管理 密码rg,其中15表示为特权密码 ? 交换机配置管理IP switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1 switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址 switch (config-if)#no shutdown //激活管理IP,养成习惯,无论配置什么设备,都使用一下这个命令 ? 交换机配置网关: switch(config)#ip default-gateway 192.168.1.254 //假设网关地址为192.168.1.254,此命令用户二层设备。 通过以上几个命令的配置,设备便可以实现远程管理,在项目实施
时(尤其是设备位置比较分散)特别能提高效率。 1.1 接口介质类型配置 锐捷为了降低SME客户的总体拥有成本,推出灵活选择的端口形式:电口和光口复用接口,方便用户根据网络环境选择对应的介质类型。 但光口和电口同时只能用其一,如图1,如使用了光口1F,则电口1不能使用。 接口介质类型的转换: Switch(config)#interface gigabitethernet 0/25-28 Interface fastethernet 0/2 Switch(config-if)#medium-type fiber //把接口工作模式改为光口Switch(config-if)#medium-type copper //把接口工作模式改为电口? 默认情况下,接口是工作在电口模式 ? 在项目实施中,如果光纤模块指示灯不亮,工作模式是否正确也是故障原因之一。 1.2 接口速度/双工配置 命令格式: Switch(config)#interface interface-id //进入接口配置模式 Switch(config-if)#speed {10 | 100 | 1000 | auto } //设置接口的速率参数,或者设置为auto Switch(config-if)#duplex {auto | full | half} //设置接口的双工模式? 1000只对千兆口有效;
cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL 语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
交换机 >Enable 进入特权模式 #Exit 返回上一级操作模式 #End 返回到特权模式 #write memory 或 copy running-config startup-config #del flash:config.text 删除配置文件(交换机及1700系列路由器) #erase startup-config 删除配置文件(2500系列路由器) #del flash:vlan.dat 删除Vlan 配置信息(交换机) #Configure terminal 进入全局配置模式 (config )# hostname switchA 配置设备名称为 switchA 配置每日提示信息 &为终止符 (config)#enable secret level 1 0 star 配置远程登陆密码为 star (config )#enable secret level 15 0 star 配置特权密码为 star Level 1为普通用户级别,可选为 1?15, 15为最高权限级别;0表示密码不加密 (config )#enable services web-server 开启交换机 WEB 管理功能 Services 可选以下:web-server (WEB 管理)、telnet-server (远程登陆)等 查看信息 #show running-config 查看当前生效的配置信息 查看所有VLAN 信息 #show ip access-lists listname 查看名为 listname 的列表的配置信息 #show access-lists 端口的基本配置 (config)#Interface fastethernet 0/3 (config)#interface range fa 0/1-2,0/5,0/7-9 置模式 (config-if)#speed 10 (config-if)#duplex full (config-if)#no shutdown 保存配置文件 (config)#banner motd & #show running-config 查看当前生效的配置信息 #show interface fastethernet 0/3 #show interface serial 1/2 #show interface #show ip interface brief 查看F0/3端口信息 查看S1/2端口信息 查看所有端口信息 以简洁方式汇总查看所有端口信息 #show ip interface #show version 查看所有端口信息 查看版本信息 #show mac-address-table 查看交换机当前MAC 地址表信息 #show vlan id 10 查看某一 VLAN (如VLAN10)的信息 #show interface fastethernet 0/1 switchport 查看某一端口模式(如 F 0/1) #show aggregateport 1 summary 查看聚合端口 AG1 的信息 查看生成树配置信息 查看该端口的生成树状态 #show spanning-tree #show spanning-tree interface fastethernet 0/1 查看交换机的端口安全配置信息 #show port-security address 查看地址安全绑定配置信息 #show port-security #show vlan 进入F0/3的端口配置模式 进入 F0/1、F0/2、F0/5、F0/7、F0/8、F0/9 的端口配
cisco router and switch 配置命令精华压缩版 时间: 2010-08-05 / 分类: +CCNA, ★CISCO技术 / 浏览次数: 105 views / 0个评论发表评论 Router and switch 配置命令精华压缩版 1、进入SETUP模式Router#setup 2、时间设置router#clock set hh:mm:ss date moth year 3、 router>show history Router>terminal history size lines 4、 router#show version 5、 router#show running-config 6、 router#show starup-config 7、 router(config)#hostname name 主机命名 8、 router(config)#banner motd # message # 开机时的固定显示信息 9、 router(config)#enable password password 特权模式明文密码 10、 router(config)#no enable password 11、 router(config)#enable secret password 特权模式加密密码 12、 router(config)#no enable secret 13、 router(config)#service password-encryption特权模式把明文密码加密密码,但没enable secret安全可以反解 14、 router(config)#line console控制台密码 15、 router(config-line)#login 16、 router(config-line)#password password 17、 router(config-line)#exec-timeout mm ss 禁止控制台会话自动退出 18、 router(config-line)#logging synchronous重显被打乱的控制台输入 router(config)#no ip domain-lookup 禁止域名解析 19、 router(config)#line vty 0 4虚拟终端密码 20、 router(config-line)#login 21、 router(config-line)#password password 22、 router(config)#interface type number(slot/port)端口设置
目录 一、通过使用密码telnet登陆设备 (2) 二、通过使用用户名和密码telnet登陆设备 (2) 三、通过web界面来管理配置交换机 (2) 四、修改设备时间 (3) 五、交换机光电复用口的切换 (3) 六、交换机关闭广播风暴 (4) 七、交换机端口聚合经典案例 (4) 八、交换机端口限速 (5) 九、交换机MAC地址绑定 (5) 十、交换机端口安全典型案例 (6) 十一、交换机address-bind (8) 十二、交换机防止非法架设DHCP服务器 (8) 十三、交换机防止DHCP地址池被耗尽 (8) 十四、交换机防止用户私自设置IP地址 (9) 十五、交换机防网关arp欺骗 (9)
锐捷交换机常用配置指南 一、通过使用密码telnet登陆设备 配置步骤: 1、配置管理地址 Ruijie>enable 进入特权模式 Ruijie#configure terminal 进入全局配置模式 Ruijie(config)#interface vlan 1 进入vlan 1接口 Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 为vlan 1接口上设置管理ip Ruijie(config-if)#exit 退回到全局配置模式 2、配置telnet密码 Ruijie(config)#line vty 0 4 进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机 Ruijie(config-line)#login 启用需输入密码才能telnet成功 Ruijie(config-line)#password ruijie 将telnet密码设置为ruijie Ruijie(config-line)#exit 回到全局配置模式 Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为ruijie Ruijie(config)#end 退出到特权模式 Ruijie#write 确认配置正确,保存配置 二、通过使用用户名和密码telnet登陆设备 1、配置管理地址 Ruijie>enable 进入特权模式 Ruijie#configure terminal 进入全局配置模式 Ruijie(config)#interface vlan 1 进入vlan 1接口 Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 为vlan 1接口上设置管理ip Ruijie(config-if)#exit 退回到全局配置模式 2、配置telnet密码 Ruijie(config)#username ruijie password ruijie 配置用户名和密码 Ruijie(config)#line vty 0 4 进入telnet密码配置模式 Ruijie(config-line)#login local 配置本地认证 Ruijie(config-line)#exit 回到全局配置模式 Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为ruijie Ruijie(config)#end 退出到特权模式 Ruijie#write 确认配置正确,保存配置 三、通过web界面来管理配置交换机 1、确认设备是否有web管理软件
锐捷交换机常用操作命令手册 目录 一、交换机配置模式介绍3 二、交换机基本配置3 2.1 接口介质类型配置4 2.2 接口速度/双工配置5 2.3 VLAN配置6 2.4 端口镜像9 2.5 端口聚合10 2.6 交换机堆叠11 2.7 ACL配置12 2.8 端口安全14 2.9 交换机防攻击配置16 2.10 dhcp配置21 2.11 三层交换机配置22 三、交换机常用查看命令24 一、交换机配置模式介绍 交换机配置模式主要有: ? 用户模式:此模式只可以简 单的查看一些交换机的配置和一些简单的修改。 Switch> ? 特权模式:此模式可以查看一些交换机的配置,后面讲述的很多show命令便是在此模式下进行的,还可以对一些简单的设置配置,例如时间。
Switch> enable //在用户模式下输入enable将进入配置模式 Switch# ? 全局配置模式:此模式下可以进行对交换机的配置,例如:命名、配置密码、设路由等。 Switch#configure erminal //特权模式下可以通过config terminal 命令进入配置模式 Switch(config)# ? 端口配置模式:此模式下对端口进行配置,如配置端口ip等。 Switch(config)#interface gigabitEthernet 1/1 //配置模式下输入interface gigabitEthernet 1/1进入到端口g 1/1接口模式。 二、交换机基本配置 ? 交换机命名: 在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。 switch(config)#hostname ruijie //ruijie为该交换机的名字 ? 交换机配置管理密码: 配置密码可以提高交换机的安全性,另外,telnet登录交换机的时候,必须要求有telnet管理密码。 switch (config)#enable secret level 1 0 rg //配置 telnet管理密码为rg,其中1表示telnet密码,0表示密码不加密 switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg,其中15表示为特权密码 ? 交换机配置管理IP switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1 switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址 switch (config-if)#no shutdown //激活管理 IP,养成习惯,无论配置什么设备,都使用一下这个命令 ? 交换机配置网关:
锐捷交换机配置命令 交换机基本操作: 1.进入特权模式 Switch>enable Switch# 2.返回用户模式 Switch#exit Press RETURN to get started! Switch> 配置模式: 全局配置模式[主机名(config)#]:配置交换机的整体参数 子模式: 1.线路配置模式[主机名(config-line)#]:配置交换机的线路参数 2.接口配置模式[主机名(config-if)#]:配置交换机的接口参数 1.进入、退出全局配置模式 Switch#configure terminal Switch(config)#exit Switch# 2.进入、退出线路配置模式 Switch(config)#line console 0 Switch(config-line)#exit Switch(config)# 3.进入、退出接口配置模式 Switch(config)#interface fastEthernet 0/1 Switch(config-if)#exit Switch(config)#
从子模式下直接返回特权模式 Switch(config-if)#end Switch# 交换机操作帮助: 1.支持命令简写(按TAB键将命令补充完整) 2.在每种操作模式下直接输入“?”显示该模式下所有的命令 3.命令空格“?”显示命令参数并对其解释说明 4. “字符?”显示以该字符开头的命令 5.命令历史缓存: (Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令 6.错误提示信息 交换机显示命令: 显示交换机硬件及软件的信息 Switch#show version 显示当前运行的配置参数 Switch#show running-config 显示保存的配置参数 Switch#show configure 常用交换机EXEC命令: 1.将当前运行的配置参数复制到flash: Switch#write memory Building configuration... [OK] Switch# 2.清空flash中的配置参数: Switch#delete flash:config.text Switch# 3.交换机重新启动: