网管交换机 命令行手册 REV

网管交换机 命令行手册 REV1.5.0 1910040854

声明 Copyright 2018 普联技术有限公司版权所有, 保留所有权利未经普联技术有限公司明确书面许可, 任何单位或个人不得擅自仿制 复制 誊抄或转译本手册部分或全部内容, 且不得以营利为目的进行任何方式 ( 电子 影印 录制等 ) 的传播 为普联技术有限公司注册商标 本手册提及的所有商标, 由各自所有人拥有 本手册所提到的产品规格和资讯仅供参考, 如有内容更新, 恕不另行通知 除非有特殊约定, 本手册仅作为使用指导, 所作陈述均不构成任何形式的担保

目录 手册概述... 1 第 1 章命令行使用指导... 4 1.1 使用命令行... 4 1.2 命令行... 11 1.3 命令行安全等级... 12 1.4 命令行格式约定... 13 第 2 章用户界面... 14 2.1 enable... 14 2.2 service password-encryption... 14 2.3 enable password... 15 2.4 enable secret... 15 2.5 configure... 16 2.6 exit... 17 2.7 end... 17 2.8 show history... 17 2.9 clear history... 18 第 3 章 IEEE 802.1Q VLAN 配置命令... 19 3.1 vlan... 19 3.2 interface vlan... 19 3.3 name... 20 3.4 switchport general allowed vlan... 20 3.5 switchport pvid... 21 3.6 show vlan summary... 21 3.7 show vlan brief... 22 3.8 show vlan... 22 3.9 show interface switchport... 23 3.10 show interface vlan... 23 第 4 章语音 VLAN 配置命令... 25 4.1 voice vlan... 25 4.2 voice vlan aging... 25 4.3 voice vlan priority... 26 4.4 voice vlan mac-address... 26 4.5 switchport voice vlan mode... 27 4.6 switchport voice vlan security... 27 4.7 show voice vlan... 28 4.8 show voice vlan oui... 28 4.9 show voice vlan switchport... 29 第 5 章 EtherChannel 配置命令... 30 5.1 channel-group... 30 5.2 port-channel load-balance... 30 5.3 lacp system-priority... 31 5.4 lacp port-priority... 32 I

5.5 show etherchannel... 32 5.6 show etherchannel load-balance... 33 5.7 show lacp... 33 5.8 show lacp sys-id... 34 第 6 章用户管理配置命令... 35 6.1 user name (password)... 35 6.2 user name (secret)... 36 6.3 user access-control ip-based... 37 6.4 user access-control mac-based... 37 6.5 user access-control port-based... 38 6.6 telnet... 39 6.7 show user account-list... 39 6.8 show user configuration... 39 6.9 show telnet-status... 40 第 7 章 HTTP 和 HTTPS 配置命令... 41 7.1 ip http server... 41 7.2 ip http max-users... 41 7.3 ip http session timeout... 42 7.4 ip http secure-server... 43 7.5 ip http secure-protocol... 43 7.6 ip http secure-ciphersuite... 43 7.7 ip http secure-max-users... 44 7.8 ip http secure-session timeout... 45 7.9 ip http secure-server download certificate... 45 7.10 ip http secure-server download key... 46 7.11 show ip http configuration... 47 7.12 show ip http secure-server... 47 第 8 章绑定列表配置命令... 48 8.1 ip source binding... 48 8.2 ip dhcp snooping... 49 8.3 ip dhcp snooping vlan... 49 8.4 ip dhcp snooping information option... 50 8.5 ip dhcp snooping information strategy... 50 8.6 ip dhcp snooping information remote-id... 51 8.7 ip dhcp snooping information circuit-id... 51 8.8 ip dhcp snooping trust... 52 8.9 ip dhcp snooping mac-verify... 53 8.10 ip dhcp snooping limit rate... 53 8.11 ip dhcp snooping decline rate... 54 8.12 show ip source binding... 54 8.13 show ip dhcp snooping... 55 8.14 show ip dhcp snooping interface... 55 8.15 show ip dhcp snooping information interface... 56 第 9 章 ARP 防护配置命令... 57 9.1 ip arp inspection vlan... 57 9.2 ip arp inspection validate... 57 9.3 ip arp inspection trust... 58 9.4 ip arp inspection limit-rate... 58 II

9.5 ip arp inspection recover... 59 9.6 show ip arp inspection... 59 9.7 show ip arp inspection interface... 60 9.8 show ip arp inspection statistics... 60 9.9 clear ip arp inspection statistics... 60 第 10 章 IP 源防护配置命令... 62 10.1 ip verify source... 62 10.2 show ip verify source... 62 第 11 章 DoS 防护命令... 64 11.1 ip dos-prevent... 64 11.2 ip dos-prevent type... 64 11.3 show ip dos-prevent... 65 第 12 章系统日志配置命令... 66 12.1 logging buffer... 66 12.2 logging buffer level... 66 12.3 logging file flash... 67 12.4 logging file flash frequency... 67 12.5 logging file flash level... 68 12.6 logging host index... 68 12.7 logging monitor... 69 12.8 logging monitor level... 69 12.9 clear logging... 70 12.10 show logging local-config... 70 12.11 show logging loghost... 71 12.12 show logging buffer... 71 12.13 show logging flash... 72 第 13 章 SSH 配置命令... 73 13.1 ip ssh server... 73 13.2 ip ssh version... 73 13.3 ip ssh algorithm... 74 13.4 ip ssh timeout... 74 13.5 ip ssh max-client... 75 13.6 ip ssh download... 75 13.7 remove public-key... 76 13.8 show ip ssh... 76 第 14 章 IEEE 802.1X 配置命令... 77 14.1 dot1x system-auth-control... 77 14.2 dot1x handshake... 77 14.3 dot1x auth-method... 78 14.4 dot1x accounting... 78 14.5 dot1x guest-vlan (global)... 79 14.6 dot1x quiet-period... 79 14.7 dot1x timeout supplicant-timeout... 80 14.8 dot1x max-reauth-req... 80 14.9 dot1x... 81 14.10 dot1x guest-vlan (interface)... 81 14.11 dot1x port-control... 82 III

14.12 dot1x port-method... 82 14.13 show dot1x global... 83 14.14 show dot1x interface... 83 第 15 章地址配置命令... 85 15.1 mac address-table static... 85 15.2 mac address-table aging-time... 85 15.3 mac address-table filtering... 86 15.4 mac address-table max-mac-count... 86 15.5 show mac address-table... 87 15.6 show mac address-table aging-time... 88 15.7 show mac address-table max-mac-count... 88 15.8 show mac address-table interface... 89 15.9 show mac address-table count... 89 15.10 show mac address-table address... 90 15.11 show mac address-table vlan... 90 第 16 章系统配置命令... 92 16.1 system-time manual... 92 16.2 system-time ntp... 92 16.3 system-time dst predefined... 93 16.4 system-time dst date... 93 16.5 system-time dst recurring... 94 16.6 hostname... 95 16.7 location... 96 16.8 contact-info... 96 16.9 ip management-vlan... 97 16.10 ip address... 97 16.11 ip address-alloc dhcp... 98 16.12 ip address-alloc bootp... 98 16.13 reset... 99 16.14 reboot... 99 16.15 copy running-config startup-config... 100 16.16 copy startup-config tftp... 100 16.17 copy tftp startup-config... 101 16.18 boot application... 101 16.19 remove backup-image... 102 16.20 firmware upgrade... 102 16.21 ping... 103 16.22 tracert... 104 16.23 show system-info... 105 16.24 show image-info... 105 16.25 show boot... 105 16.26 show running-config... 106 16.27 show startup-config... 106 16.28 show system-time... 107 16.29 show system-time dst... 107 16.30 show system-time ntp... 107 16.31 show cable-diagnostics interface... 108 16.32 show cpu-utilization... 108 16.33 show memory-utilization... 109 第 17 章 IPv6 地址配置命令... 110 IV

17.1 ipv6 enable... 110 17.2 ipv6 address autoconfig... 110 17.3 ipv6 address link-local... 111 17.4 ipv6 address dhcp... 111 17.5 ipv6 address ra... 112 17.6 ipv6 address... 112 17.7 ipv6 address eui-64... 113 17.8 show ipv6 interface... 113 第 18 章以太网配置命令... 115 18.1 interface fastethernet... 115 18.2 interface range fastethernet... 115 18.3 interface gigabitethernet... 116 18.4 interface range gigabitethernet... 116 18.5 description... 117 18.6 shutdown... 117 18.7 flow-control... 118 18.8 duplex... 118 18.9 jumbo... 119 18.10 speed... 119 18.11 storm-control pps... 120 18.12 storm-control... 121 18.13 bandwidth... 121 18.14 clear counters... 122 18.15 show interface status... 123 18.16 show interface counters... 123 18.17 show interface configuration... 124 18.18 show storm-control... 124 18.19 show bandwidth... 125 第 19 章 QoS 配置命令... 126 19.1 qos... 126 19.2 qos dscp... 126 19.3 qos queue cos-map... 127 19.4 qos queue dscp-map... 128 19.5 qos queue mode... 128 19.6 qos queue weight... 129 19.7 show qos interface... 130 19.8 show qos cos-map... 131 19.9 show qos dscp-map... 131 19.10 show qos queue mode... 131 19.11 show qos status... 132 第 20 章端口监控配置命令... 133 20.1 monitor session destination interface... 133 20.2 monitor session source interface... 134 20.3 show monitor session... 135 第 21 章端口隔离配置命令... 136 21.1 port isolation... 136 21.2 show port isolation interface... 136 第 22 章环路监测配置命令... 138 V

22.1 loopback-detection (global)... 138 22.2 loopback-detection interval... 138 22.3 loopback-detection recovery-time... 139 22.4 loopback-detection (interface)... 139 22.5 loopback-detection config... 140 22.6 loopback-detection recover... 140 22.7 show loopback-detection global... 141 22.8 show loopback-detection interface... 141 第 23 章 PoE 配置命令... 143 23.1 power inline consumption (global)... 143 23.2 power inline supply... 143 23.3 power inline priority... 144 23.4 power inline consumption (interface)... 144 23.5 power time-range... 145 23.6 holiday... 145 23.7 absolute... 146 23.8 periodic... 147 23.9 power holiday... 147 23.10 power inline time-range... 148 23.11 power profile... 148 23.12 power inline profile... 149 23.13 show power inline... 150 23.14 show power inline configuration interface... 150 23.15 show power inline information interface... 151 23.16 show power time-range... 151 23.17 show power holiday... 151 23.18 show power profile... 152 第 24 章 ACL 配置命令... 153 24.1 time-range... 153 24.2 absolute... 153 24.3 periodic... 154 24.4 holiday... 154 24.5 holiday(global)... 155 24.6 access-list create... 155 24.7 access-list bind acl... 156 24.8 mac access-list... 156 24.9 access-list standard... 157 24.10 access-list extended... 158 24.11 access-list ipv6... 159 24.12 rule... 160 24.13 access-list policy name... 161 24.14 access-list policy action... 162 24.15 redirect interface... 162 24.16 s-condition... 163 24.17 s-mirror... 163 24.18 qos-remark... 164 24.19 access-list bind acl(interface)... 164 24.20 access-list bind acl(vlan)... 165 24.21 access-list bind (interface)... 165 24.22 access-list bind (vlan)... 166 VI

24.23 show time-range... 167 24.24 show holiday... 167 24.25 show access-list... 167 24.26 show access-list policy... 168 24.27 show access-list bind... 168 第 25 章 MSTP 配置命令... 170 25.1 debug spanning-tree... 170 25.2 spanning-tree (global)... 171 25.3 spanning-tree mode... 171 25.4 spanning-tree mst configuration... 172 25.5 spanning-tree mst instance... 172 25.6 spanning-tree priority... 173 25.7 spanning-tree tc-defend... 173 25.8 spanning-tree hold-count... 174 25.9 spanning-tree timer... 174 25.10 spanning-tree max-hops... 175 25.11 instance... 175 25.12 name... 176 25.13 revision... 177 25.14 spanning-tree (interface)... 177 25.15 spanning-tree common-config... 178 25.16 spanning-tree mst... 179 25.17 spanning-tree bpdufilter... 180 25.18 spanning-tree bpduguard... 180 25.19 spanning-tree guard loop... 181 25.20 spanning-tree guard root... 181 25.21 spanning-tree guard tc... 182 25.22 spanning-tree mcheck... 182 25.23 show spanning-tree active... 183 25.24 show spanning-tree bridge... 183 25.25 show spanning-tree interface... 184 25.26 show spanning-tree interface-security... 184 25.27 show spanning-tree mst... 185 第 26 章 IGMP 侦听配置命令... 186 26.1 ip igmp snooping(global)... 186 26.2 ip igmp snooping (interface)... 186 26.3 ip igmp snooping rtime... 187 26.4 ip igmp snooping mtime... 187 26.5 ip igmp snooping report-suppression... 188 26.6 ip igmp snooping immediate-leave... 188 26.7 ip igmp snooping drop-unknown... 189 26.8 ip igmp snooping last-listener query-inteval... 189 26.9 ip igmp snooping last-listener query-count... 190 26.10 ip igmp snooping vlan-config... 190 26.11 ip igmp snooping multi-vlan-config... 191 26.12 ip igmp snooping querier vlan... 192 26.13 ip igmp snooping querier vlan (general query)... 193 26.14 ip igmp snooping max-groups... 193 26.15 ip igmp profile... 194 26.16 deny... 195 VII

26.17 permit... 195 26.18 range... 196 26.19 ip igmp filter... 196 26.20 clear ip igmp snooping statistics... 197 26.21 show ip igmp snooping... 197 26.22 show ip igmp snooping interface... 198 26.23 show ip igmp snooping vlan... 198 26.24 show ip igmp snooping multi-vlan... 199 26.25 show ip igmp snooping groups... 199 26.26 show ip igmp snooping querier... 200 26.27 show ip igmp profile... 201 第 27 章 MLD 侦听配置命令... 202 27.1 ipv6 mld snooping(global)... 202 27.2 ipv6 mld snooping (interface)... 202 27.3 ipv6 mld snooping rtime... 203 27.4 ipv6 mld snooping mtime... 203 27.5 ipv6 mld snooping report-suppression... 204 27.6 ipv6 mld snooping immediate-leave... 204 27.7 ipv6 mld snooping drop-unknown... 205 27.8 ipv6 mld snooping last-listener query-inteval... 205 27.9 ipv6 mld snooping last-listener query-count... 206 27.10 ipv6 mld snooping vlan-config... 206 27.11 ipv6 mld snooping multi-vlan-config... 207 27.12 ipv6 mld snooping querier vlan... 208 27.13 ipv6 mld snooping querier vlan (general query)... 209 27.14 ipv6 mld snooping max-groups... 209 27.15 ipv6 mld profile... 210 27.16 deny... 211 27.17 permit... 211 27.18 range... 212 27.19 ipv6 mld filter... 212 27.20 clear ipv6 mld snooping statistics... 213 27.21 show ipv6 mld snooping... 213 27.22 show ipv6 mld snooping interface... 213 27.23 show ipv6 mld snooping vlan... 214 27.24 show ipv6 mld snooping multi-vlan... 215 27.25 show ipv6 mld snooping groups... 215 27.26 show ipv6 mld snooping querier... 216 27.27 show ipv6 mld profile... 216 第 28 章 SNMP 配置命令... 218 28.1 snmp-server... 218 28.2 snmp-server view... 218 28.3 snmp-server group... 219 28.4 snmp-server user... 220 28.5 snmp-server community... 221 28.6 snmp-server host... 222 28.7 snmp-server engineid... 223 28.8 snmp-server traps snmp... 224 28.9 snmp-server traps link-status... 225 28.10 snmp-server traps... 225 VIII

28.11 snmp-server traps vlan... 226 28.12 rmon history... 227 28.13 rmon event... 228 28.14 rmon alarm... 229 28.15 rmon statistics... 230 28.16 show snmp-server... 231 28.17 show snmp-server view... 231 28.18 show snmp-server group... 231 28.19 show snmp-server user... 232 28.20 show snmp-server community... 232 28.21 show snmp-server host... 233 28.22 show snmp-server engineid... 233 28.23 show rmon history... 234 28.24 show rmon event... 234 28.25 show rmon alarm... 235 28.26 show rmon statistics... 235 第 29 章 LLDP 配置命令... 237 29.1 lldp... 237 29.2 lldp hold-multiplier... 237 29.3 lldp timer... 238 29.4 lldp receive... 239 29.5 lldp transmit... 239 29.6 lldp snmp-trap... 240 29.7 lldp tlv-select... 240 29.8 lldp med-fast-count... 242 29.9 lldp med-status... 242 29.10 lldp med-tlv-select... 243 29.11 lldp med-location... 244 29.12 show lldp... 245 29.13 show lldp interface... 245 29.14 show lldp local-information interface... 246 29.15 show lldp neighbor-information interface... 246 29.16 show lldp traffic interface... 247 第 30 章 AAA 配置命令... 248 30.1 aaa enable... 248 30.2 tacacas-server host... 248 30.3 show tacacs-server... 249 30.4 radius-server host... 250 30.5 show radius-server... 251 30.6 aaa group... 251 30.7 server... 252 30.8 show aaa group... 252 30.9 aaa authentication login... 253 30.10 aaa authentication enable... 254 30.11 aaa authentication dot1x default... 254 30.12 aaa accounting dot1x default... 255 30.13 show aaa authentication... 255 30.14 show aaa accounting... 256 30.15 line telnet... 257 30.16 login authentication(telnet)... 257 IX

30.17 line ssh... 258 30.18 login authentication(ssh)... 258 30.19 enable authentication(telnet)... 259 30.20 enable authentication(ssh)... 259 30.21 ip http login authentication... 260 30.22 ip http enable authentication... 261 30.23 show aaa global... 261 X

手册概述 本手册提供 CLI(Command Line Interface, 命令行界面 ) 参考信息, 适用于 TP-LINK TL-SG3452/ TL-SG3428/ TL-SG3226/ TL-SG3218/ TL-SG3210/ TL-SG3452P/ TL-SG3226PE/ TL-SG3226P/ TL-SG3218PE/ TL-SG3210PE/ TL-SL3452-Combo/ TL-SL3428-Combo/ TL-SL3226-Combo/ TL- SL3226/ TL-SL3218-Combo/ TL-SL3218/ TL-SL3210/ TL-SL3109/ TL-SL3226PE-Combo/ TL- SL3226P-Combo/ TL-SL3218PE-Combo/ TL-SL3210PE 网管交换机 鉴于网管交换机功能相近, 本手册以 TL-SL3226P-Combo 为例介绍 各章节内容安排如下 : 第 1 章 : 命令行使用指导主要介绍 CLI 的使用方法 命令行 使用命令行 命令行分级及命令行格式约定 第 2 章 : 用户界面主要介绍用户登录和退出操作的相关配置命令 第 3 章 :IEEE 802.1Q VLAN 配置命令主要介绍 IEEE 802.1Q VLAN 的相关配置命令 第 4 章 : 语音 VLAN 的配置命令主要介绍语音 VLAN 的相关配置命令 第 5 章 :Etherchannel 配置命令主要介绍端口汇聚和 LACP 的相关配置命令 第 6 章 : 用户管理配置命令主要介绍用户管理信息的相关配置命令 第 7 章 :HTTP 和 HTTPS 配置命令主要介绍交换机 HTTP 和 HTTPS 管理服务的相关配置命令 第 8 章 : 绑定列表配置命令主要介绍 IP-MAC-VID-PORT 四元绑定表的相关配置命令 第 9 章 :ARP 防护配置命令主要介绍 ARP 防护的相关配置命令 第 10 章 :IP 源防护配置命令主要介绍 IP 源防护的相关配置命令 第 11 章 :DoS 防护命令主要介绍 DoS 防护和攻击检测的相关配置命令 第 12 章 : 系统日志配置命令主要介绍系统日志的查看 输出, 日志服务器的相关配置命令 1

第 13 章 :SSH 配置命令主要介绍 SSH 配置管理的相关命令 第 14 章 :IEEE 802.1X 配置命令主要介绍 IEEE 802.1X 认证的相关配置命令 第 15 章 : 地址配置命令主要介绍端口安全设置和地址表管理的相关配置命令 第 16 章 : 系统配置命令主要介绍系统信息 网络配置, 系统软件复位, 系统文件升级, 交换机重启及连通性测试等系统相关配置命令 第 17 章 :IPv6 地址配置命令主要介绍 IPv6 地址相关配置命令 第 18 章 : 以太网配置命令主要介绍以太网端口的流量控制 协商 风暴抑制 带宽限制的相关配置命令 第 19 章 :QoS 配置命令主要介绍 QoS( 服务质量 ) 的相关配置命令 第 20 章 : 端口监控配置命令主要介绍端口监控的相关配置命令 第 21 章 : 端口隔离配置命令主要介绍端口隔离的相关配置命令 第 22 章 : 环路监测配置命令主要介绍环路监测的相关配置命令 第 23 章 :PoE 配置命令主要介绍 PoE( 以太网供电 ) 的相关配置命令 第 24 章 :ACL 配置命令主要介绍访问控制的相关配置命令 第 25 章 :MSTP 配置命令主要介绍生成树配置的相关配置命令 第 26 章 :IGMP 侦听配置命令主要介绍 IGMP 侦听 组播地址表管理 组播过滤等组播管理相关配置命令 第 27 章 :MLD 侦听配置命令主要介绍 MLD 侦听的相关配置命令 2

第 28 章 :SNMP 配置命令主要介绍 SNMP( 简单网络管理协议 ) 配置 通知管理 RMON( 远程网络监视 ) 等 SNMP 相关配置命令 第 29 章 :LLDP 配置命令主要介绍链路层发现协议 LLDP 功能的相关配置命令 第 30 章 :AAA 配置命令主要介绍 AAA 配置命令 3

第 1 章命令行使用指导 1.1 使用命令行 用户可以通过三种方式登录交换机来使用命令行 : 1. 通过 Console 口进行本地登录 ; 2. 通过以太网端口利用 Telnet 进行本地或远程登录 ; 3. 通过以太网端口利用 SSH 进行本地或远程登录 通过 Console 口进行本地登录 1. 首先, 将计算机 ( 或终端 ) 的串口通过配置电缆与以太网交换机的 Console 口连接 2. 打开计算机的终端仿真程序 ( 如 Hyperterminal 程序 ), 配置如下 : 波特率 :38400bps 数据位 :8 位 奇偶校验 : 无 停止位 :1 位 数据流控制 : 无 3. 在超级终端主窗口中输入回车键, 可以看到 TL-SL3226P-Combo> 的提示符, 说明已成功登录交换机 如图 1-1 所示 图 1-1 登录交换机 4

通过 Telnet 进行登录 1. 请先确保本交换机与计算机在同一局域网内 选择开始, 在搜索框输入 cmd, 单击回车键 图 1-2 打开运行窗口 2. 弹出如图 1-3 所示的命令行窗口, 输入 telnet 192.168.0.1, 单击回车键 图 1-3 运行窗口 3. 输入登录的用户名和密码 ( 默认值均为 admin ), 回车即可进入用户, 如图 1-4 图 1-4 进入用户 此时便可在 Telnet 连接中使用 CLI 命令管理交换机了 5

4. 可以输入 enable 命令进入特权 图 1-5 进入特权通过 SSH 进行登录推荐使用第三方客户端软件 PuTTY 来建立 SSH 连接 在首次使用 SSH 进行登录之前请先设置好进入特权的密码 SSH 登录有两种认证 : 密码认证 : 需要登录输入用户名和密码, 默认值均为 admin 密钥认证 : 无需登录用户名和密码, 但是需要先通过 Putty 密钥生成器生成一对公钥和私钥, 将公钥导入交换机, 私钥导入客户端软件进行认证 注意 : 在使用 SSH 登录以前, 请按照下图所示的步骤, 在 Telnet 连接下, 启用交换机的 SSH 功能 图 1-6 启用 SSH 功能 6

密码认证 1. 打开软件, 登录 PuTTY 的主界面 在 Host Name 处填写交换机的 IP 地址 ; Port 保持默认的 22; Connection type 处选择 SSH 的接入方式 如下图所示 图 1-7 登录 PuTTY 主界面 2. 点击 <Open> 按键, 即可登录到交换机 操作方法与 telnet 相同, 输入登录用户名和登录密码, 即可继续进行配置操作 如下图所示 图 1-8 登录交换机 7

密钥认证 1. 选择密钥类型和密钥长度, 并生成 SSH 密钥 如下图所示 图 1-9 选择密钥类型和密钥长度注意 : 密钥长度的范围为 512 至 3072 比特 生成密钥的过程中, 在软件的空白处快速的随意晃动鼠标, 产生随机数据, 可以加快密钥生成的速度 2. 密钥生成后, 将公钥和私钥文件保存在一个 TFTP 服务器中 如下图所示 图 1-10 保存公钥和私钥 8

3. 使用 Telnet 登录服务器, 将保存至 TFTP 服务器上的公钥文件导入交换机中 图 1-11 导入公钥文件至交换机 注意 : 密钥类型要与密钥文件的类型保持一致 载入 SSH 密钥的过程不能被中断 4. 导入公钥文件后, 打开 PuTTY 的主界面, 输入 IP 地址 图 1-12 打开 PuTTY 的主界面 9

5. 将私钥文件导入至 SSH 客户端软件中 如下图所示 图 1-13 导入私钥文件至 SSH 客户端 6. 协商成功后, 输入用户名进行登录, 如果你不需要输入密码即可登陆成功, 表明密钥认证已经成功 如下图所示 图 1-14 登录交换机 10

1.2 命令行 CLI 按功能划分为五种, 即 : 用户 特权 全局配置 接口配置和 VLAN 配 置, 其中接口配置又分为以太网端口配置和汇聚端口配置等, 如下图 : 用户 特权 全局配置 接口配置 Interface fastethernet Interface gigabitethernet Interface range fastethernet Interface range gigabitethernet Interface vlan VLAN 配置 下表列出了各的访问方法 提示符以及如何离开各 : 访问方法提示符离开或访问下一 输入 exit 命令断开与交换 用户 与交换机建立连接即进入该 TL-SL3226P-Combo> 机连接 (Console 口接入时无法断开 ); 输入 enable 命令, 进入特 权 特权 在用户下, 使用 enable 命令进入该 TL-SL3226P-Combo# 输入 disable 命令或 exit 命令, 返回用户 ; 输入 configure 命令, 进 入全局配置 输入 exit 命令或 end 命令, 或者键入 Ctrl+Z 组合键, 全局配置 在特权下, 使用 configure 命令进入该 TL-SL3226P-Combo(config)# 返回特权 ; 输入 interface type number 命令, 进入接口配置 ; 输入 vlan 命令, 进入 VLAN 配置 在全局配置下键入 interface fastethernet/ 输入 end 命令, 或键入 Ctrl+Z 组合键, 返回特权 接口配置 gigabitethernet port 或 interface range fastethernet/ gigabitethernet port-list 命令进入该 TL-SL3226P-Combo(config-if)# 或 TL-SL3226P-Combo(configif-range)# ; 输入 exit 命令, 返回全局配置 ; 在 interface 命令中必须指明要进入哪一个接口配置子 11

访问方法提示符离开或访问下一 VLAN 配置 在全局配置下, 使用 vlan vlan-list 命令进入该 TL-SL3226P-Combo(configvlan)# 输入 end 命令, 或键入 Ctrl+Z 组合键返回特权 ; 输入 exit 命令, 返回全局 配置 说明 : 1. 通过 Console 口或 Telnet 方式与交换机建立连接后即进入用户 2. 各个都有各自的命令, 要进行相应的命令配置必须要先进入对应的 : 全局配置 : 提供全局配置的命令, 如 : 生成树, 队列调度等 ; 接口配置 : 分为多个接口, 每个接口都有各自相应的命令 : a) interface fastethernet/gigabitethernet: 配置一个以太网端口的, 如双工, 流控状态等 b) interface range fastethernet/gigabitethernet: 包含的命令跟 interface fastethernet/ gigabitethernet 基本一样, 配置多个以太网端口的 c) interface vlan: 配置 VLAN 接口 VLAN 配置 : 创建 VLAN, 增加端口到指定 VLAN 3. 有一些命令是全局的, 在所有命令下都可执行 : show: 显示交换机各种信息, 如 : 统计信息 端口信息 VLAN 信息等 history: 显示历史命令 1.3 命令行安全等级 交换机有四个安全等级 : 普通用户级 高级用户级 操作级和管理级 可以定义多组用户名和密码, 并为每组用户名和密码设置特定的权限级别 不同权限级别可以访问的命令会有所不同, 每条命令的 部分有具体说明 用户名和密码详细设置方法请参考 user name (password) 和 user name (secret) 在用户下, 可通过输入命令 enable 进入特权 默认情况下, 不需要密码 在全局配置下, 可以通过 enable password 命令设置管理级密码 设置密码后, 需要输入管理级密码才能进入特权 12

1.4 命令行格式约定 基本格式约定本文档中对 CLI 命令的叙述遵循以下约定 : 在中括号 [ ] 中的任何都是可选的 在大括号 { } 中的任何都是必需的 如果有多个选项, 则使用竖线 分隔每个选项 例如 :speed { 10 100 1000 } 关键词 ( 命令中保持不变, 必须照输的部分 ) 以粗体形式出现 例如 :show logging 常量 ( 枚举量, 只能选择其一 ) 以普通字体形式出现 例如 :mode { dynamic static permanent } 变量 ( 命令中必须以实际值进行替代的部分 ) 以斜体形式出现 例如 :bridge aging-time aging-time 特殊字符若变量为字符串形式, 输入时请注意 : < >, \ & 这六个字符是不允许输入的 若字符串中包含空格, 则字符串首尾需添加单引号 或双引号, 如 hello world hello world 此时单 / 双引号中的两个 ( 或多个 ) 单词会作为一个字符串输入 ; 如果不加单 / 双引号, 它们会被解析成两个 ( 或多个 ) 字符串 格式变量中有些是有特定的输入格式的 : MAC 地址必须以 XX:XX:XX:XX:XX:XX 的格式输入 输入一组端口号 (port-list) 或一组 VLAN ID(vlan-list) 时, 可以输入一个或多个值, 每个值之间用逗号隔开, 连续的一组值可以用连接符 - 表示 例如 1/0/1,1/0/3-5,1/0/7 表示端口 1/0/1,1/0/3, 1/0/4,1/0/5,1/0/7 13

第 2 章用户界面 2.1 enable 该命令用于从用户进入特权 命令 enable 用户无设置了从用户进入特权的密码时 : TL-SL3226P-Combo>enable Password: TL-SL3226P-Combo# 2.2 service password-encryption 该命令的作用是全局加密, 即当配置密码或者写入配置文件时, 使用对称算法对密码进行加密 加密功能可以防止配置文件中的密码被读取 它的 no 命令用于禁用全局加密功能 命令 service password-encryption no service password-encryption 全局配置只有管理员类型的用户可以使用该命令使能全局加密功能 : TL-SL3226P-Combo(config)# service password-encryption 14

2.3 enable password 该命令用于设置或修改从用户切换到特权的管理级密码, 它的 no 命令用于清空密码 此功 能使用对称加密算法 命令 enable password { [ 0 ] password 7 encrypted-password } no enable password 0 加密类型,0 表示接下来输入未经加密的密码 默认的加密类型为 0 password 1~31 位的密码, 由字母, 数字和符号组成 密码区分大小写, 无视起始空格并且不能包含问号 默认情况下密码为空 7 加密类型, 表示接下来需要输入一个固定长度的经过对称加密的密码 说明 encrypted-password 固定长度的经过对称加密的密码, 可以从其他交换机的配置文件中复制得到 配置了加密密码之后, 当再次进入此时, 需要输入对应的未经加密的密码 如果在此配置的密码为未加密的密码, 但是通过 service password-encryption 命令启用了全局密码加密功能, 那么交换机配置文件中的密码将会显示为对称加密格式 全局配置 只有管理员类型的用户可以使用该命令 将用户切换到特权时的管理级密码设置为不加密密码 admin: TL-SL3226P-Combo(config)# enable password admin 2.4 enable secret 该命令用于设置或修改从用户切换到特权的管理级密码, 它的 no 命令用于清空密码 此功 能使用 MD5 加密算法 命令 enable secret { [ 0 ] password 5 encrypted-password } no enable secret 0 加密类型,0 表示接下来输入未经加密的密码 默认的加密类型为 0 15

password 1~31 位的密码, 由字母, 数字和符号组成 密码区分大小写, 无视起始空格并且不能包含问号 默认情况下密码为空 此密码在交换机的配置文件中显示为 MD5 加密的格式 5 加密类型, 表示接下来需要输入一个固定长度的经过 MD5 加密的密码 说明 encrypted-password 固定长度的经过对称加密的密码, 可以从其他交换机的配置文件中复制得到 配置了加密密码之后, 当再次进入此时, 需要输入对应的未经加密的密码 如果同时配置了 enable password 和 enable secret, 则必须输入在 enable secret 中设置的密码 全局配置 只有管理员类型的用户可以使用该命令 将用户切换到特权时的管理级密码设置为不加密密码 admin, 且此密码在交换 机的配置文件中以 MD5 加密的格式显示 : TL-SL3226P-Combo(config)# enable secret 0 admin 2.5 configure 该命令用于从特权进入全局配置 命令 configure 特权只有管理员 操作员和高级用户类型的用户可以使用该命令从特权进入全局配置 : TL-SL3226P-Combo# configure TL-SL3226P-Combo(config)# 16

2.6 exit 该命令用于退出当前配置返回上一层配置 命令 exit 所有配置无从接口配置返回到全局, 再返回到特权 : TL-SL3226P-Combo (config-if)# exit TL-SL3226P-Combo (config)#exit TL-SL3226P-Combo# 2.7 end 该命令用于返回特权 命令 end 所有配置只有管理员类型的用户可以使用该命令从接口配置直接返回到特权 : TL-SL3226P-Combo(config-if)#end TL-SL3226P-Combo# 2.8 show history 该命令用于显示系统启动后用户在当前下最近输入的 20 条命令 17

命令 show history 特权和所有配置 无 显示用户之前在当前下输入的命令 : TL-SL3226P-Combo(config)#show history 1 show history 2.9 clear history 该命令用于清空系统启动后在当前下输入过的命令, 下一次使用 show history 命令时将不会显示这些被清空的命令 命令 clear history 特权和所有配置只有管理员 操作员和高级用户类型的用户可以使用该命令删除用户之前在当前下输入的命令 : TL-SL3226P-Combo(config)#clear history 18

第 3 章 IEEE 802.1Q VLAN 配置命令 VLAN(Virtual Local Area Network, 虚拟局域网 ) 是一种在一个物理网络上划分多个逻辑网络的技 术, 具有控制广播域范围, 增强网络安全性, 可以灵活创建虚拟工作组等优点 3.1 vlan 该命令用于进入 VLAN 配置并创建 IEEE 802.1Q VLAN, 它的 no 命令用于删除 IEEE 802.1Q VLAN 命令 vlan vlan-list no vlan vlan-list vlan-list VLAN ID List, 取值范围 2~4094, 可以是其中的任意一个值或者一个数值 段 全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 创建 VLAN 2-10 以及 VLAN 100: TL-SL3226P-Combo(config)# vlan 2-10,100 删除 VLAN 2: TL-SL3226P-Combo(config)# no vlan 2 3.2 interface vlan 该命令用于创建 VLAN 接口并进入 VLAN 接口 它的 no 命令用于删除 VLAN 接口 命令 interface vlan vlan-id no interface vlan vlan-id vlan-id VLAN ID, 取值范围 1-4094 19

全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 创建 VLAN 接口 2: TL-SL3226P-Combo(config)# interface vlan 2 3.3 name 该命令用于配置 IEEE 802.1Q VLAN 描述字符, 它的 no 命令用于清空描述字符 命令 name descript no name descript VLAN 描述字符, 长度为 1-16 个字符 VLAN 配置 (vlan) 只有管理员 操作员和高级用户类型的用户可以使用该命令将 vid=2 的 VLAN 描述成 VLAN002 : TL-SL3226P-Combo(config)# vlan 2 TL-SL3226P-Combo(config-vlan)# name VLAN002 3.4 switchport general allowed vlan 该命令用于把 general 类型的端口添加到 IEEE 802.1Q VLAN, 并配置端口的出口规则 它的 no 命令用于把端口从 IEEE 802.1Q VLAN 中移除 命令 switchport general allowed vlan vlan-list { tagged untagged } no switchport general allowed vlan vlan-list 20

vlan-list 指定 IEEE 802.1Q VLAN ID, 取值范围 2-4094, 可多选, 格式为 :2-3, 5 tagged untagged 出口规则,tagged 或者 untagged 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 将以太网端口 4 添加到 VLAN2 中, 并指定出口规则为 tagged: TL-SL3226P-Combo(config)# interface fastethernet 1/0/4 TL-SL3226P-Combo(config-if)# switchport general allowed vlan 2 tagged 3.5 switchport pvid 该命令用于设置交换机端口的 PVID 命令 switchport pvid vlan-id vlan-id VLAN ID, 取值范围 1-4094 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 设置端口 3 的 PVID 为 1: TL-SL3226P-Combo(config)# interface fastethernet 1/0/3 TL-SL3226P-Combo(config-if)# switchport pvid 1 3.6 show vlan summary 该命令用于显示 IEEE 802.1Q VLAN 的统计信息 21

命令 show vlan summary 特权以及所有配置 无 显示 IEEE 802.1Q VLAN 的统计信息 : TL-SL3226P-Combo(config)# show vlan summary 3.7 show vlan brief 该命令用于显示 IEEE 802.1Q VLAN 的概要信息 命令 show vlan brief 特权以及所有配置无显示 IEEE 802.1Q VLAN 的概要信息 : TL-SL3226P-Combo(config)# show vlan brief 3.8 show vlan 该命令用于显示指定的 IEEE 802.1Q VLAN 的详细信息 命令 show vlan [ id vlan-id ] vlan-id VLAN ID, 取值范围为 1-4094 该缺省时, 显示所有 IEEE 802.1Q VLAN 的信息 特权以及所有配置 22

无 显示所有 VLAN 的详细信息 : TL-SL3226P-Combo(config)# show vlan 显示 vid=2 的 VLAN 的详细信息 : TL-SL3226P-Combo(config)# show vlan id 2 3.9 show interface switchport 该命令用于显示以太网口的信息 命令 show interface switchport [ fastethernet port ] [ gigabitethernet port ] [ portchannel lagid ] port 以太网端口号 lagid LAG 号 特权以及所有配置 无 显示所有端口详细信息 : TL-SL3226P-Combo(config)#show interface switchport 3.10 show interface vlan 该命令用于显示指定 VLAN 接口的信息 命令 show interface vlan vid vid VLAN ID 23

特权和所有配置 无 显示 VLAN 接口 2 的信息 : TL-SL3226P-Combo(config)# show interface vlan 2 24

第 4 章语音 VLAN 配置命令 语音 VLAN 是为语音数据流而专门划分的 VLAN 通过划分 Voice VLAN 并将连接语音设备的端口加入 Voice VLAN, 可以为语音数据流配置 QoS, 提高语音数据流的传输优先级 保证通话质量 4.1 voice vlan 该命令用于开启 Voice VLAN 功能, 它的 no 命令用于禁用 Voice VLAN 功能 命令 voice vlan vlan-id no voice vlan vlan-id VLAN ID, 取值范围 2-4094 全局配置只有管理员 操作员和高级用户类型的用户可以使用该命令开启 vid=10 的 Voice VLAN 功能 : TL-SL3226P-Combo(config)# voice vlan 10 4.2 voice vlan aging 该命令用于配置 Voice VLAN 老化时间, 它的 no 命令用于恢复默认老化时间, 默认值为 1440 分钟 命令 voice vlan aging time no voice vlan aging time 老化时间, 取值范围 1-43200 分钟 全局配置只有管理员 操作员和高级用户类型的用户可以使用该命令 25

配置 Voice VLAN 老化时间为 2880 分钟 : TL-SL3226P-Combo(config)# voice vlan aging 2880 4.3 voice vlan priority 该命令用于配置语音 VLAN 的优先级, 它的 no 命令用于恢复默认优先级 语音 VLAN 的默认优先级为 6 命令 voice vlan priority pri no voice vlan priority pri 优先级, 取值范围 0-7 全局配置只有管理员 操作员和高级用户类型的用户可以使用该命令配置语音 VLAN 的优先级为 5: TL-SL3226P-Combo(config)# voice vlan priority 5 4.4 voice vlan mac-address 该命令用于创建或删除 Voice VLAN OUI 它的 no 命令用于删除指定的 Voice VLAN OUI 命令 voice vlan mac-address mac-addr mask mask [ description descript ] no voice vlan mac-address mac-addr mac-addr OUI 设备 MAC 地址 格式为 XX:XX:XX:XX:XX:XX mask MAC 地址掩码 格式为 XX:XX:XX:XX:XX:XX descript OUI 描述,1-16 个字符 缺省情况下为空 全局配置 26

只有管理员 操作员和高级用户类型的用户可以使用该命令 创建 MAC 地址为 00:11:11:11:11:11, 掩码为 FF:FF:FF:00:00:00 的 Voice VLAN OUI, 将其描述为 TP- Phone: TL-SL3226P-Combo(config)# voice vlan mac-address 00:11:11:11:11:11 mask FF:FF:FF:00:00:00 description TP- Phone 4.5 switchport voice vlan mode 该命令用于配置以太网端口的 Voice VLAN 成员 命令 switchport voice vlan mode { manual auto } manual auto 端口的成员 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令配置以太网端口 3 的 voice vlan 成员为 manual: TL-SL3226P-Combo(config)# interface fastethernet 1/0/3 TL-SL3226P-Combo(config-if)# switchport voice vlan mode manual 4.6 switchport voice vlan security 该命令用于配置以太网端口的 Voice VLAN 安全 命令 switchport voice vlan security no switchport voice vlan security 27

接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 启用以太网端口 3 的 Voice VLAN 安全 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/3 TL-SL3226P-Combo(config-if)# switchport voice vlan security 4.7 show voice vlan 该命令用于显示 Voice VLAN 全局配置 命令 show voice vlan 特权和所有配置只有管理员 操作员和高级用户类型的用户可以使用该命令显示 Voice VLAN 全局配置信息 : TL-SL3226P-Combo(config)# show voice vlan 4.8 show voice vlan oui 该命令用于显示 Voice VLAN OUI 配置信息 命令 show voice vlan oui 特权和所有配置只有管理员 操作员和高级用户类型的用户可以使用该命令 28

显示 Voice VLAN OUI 配置信息 : TL-SL3226P-Combo(config)# show voice vlan oui 4.9 show voice vlan switchport 该命令用于显示以太网端口的 Voice VLAN 配置信息 命令 show voice vlan switchport [ fastethernet port ] [ gigabitethernet port ] [ portchannel lagid ] port 以太网端口 该缺省时, 显示所有端口的配置信息 lagid LAG 号 特权和所有配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 显示语音 VLAN 中所有端口的配置信息 : TL-SL3226P-Combo(config)# show voice vlan switchport 29

第 5 章 EtherChannel 配置命令 EtherChannel 配置命令用于配置 LAG 和 LACP 功能 LAG(Link Aggregation Group, 端口汇聚组 ) 是将交换机的多个物理端口汇聚成一个逻辑端口的功能, 可以增加带宽, 提高连接的可靠性 LACP(Link Aggregation Control Protocol, 链路汇聚控制协议 ) 是基于 IEEE 802.3ad 标准用来实现链路动态汇聚的协议 聚合的双方通过协议交互聚合信息, 将匹配的链路聚合在一起收发数据, 具有很高的灵活性并提供了负载均衡的能力 5.1 channel-group 该命令用于把端口添加到汇聚组, 并设置其 它的 no 命令用于将端口从汇聚组移除 命令 channel-group num mode { on active passive } no channel-group num 汇聚组组号, 取值范围 1-14 on 开启静态 LAG active 开启主动 LACP passive 开启被动 LACP 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令添加端口 2-4 到汇聚组 1, 并开启静态 LAG : TL-SL3226P-Combo(config)# interface range fastethernet 1/0/2-4 TL-SL3226P-Combo(config-if-range)# channel-group 1 mode on 5.2 port-channel load-balance 该命令用于选择汇聚组的负载均衡算法 它的 no 命令用于恢复默认值, 即 src-dst-mac 30

命令 port-channel load-balance { src-mac dst-mac src-dst-mac src-ip dst-ip src-dstip } no port-channel load-balance src-mac 源 MAC 地址 算法将基于源 MAC 地址实现负载均衡 dst-mac 目的 MAC 地址 算法将基于目的 MAC 地址实现负载均衡 src-dst-mac 源目的 MAC 地址 算法将基于源目的 MAC 地址实现负载均衡 src-ip 源 IP 地址 算法将基于源 IP 地址实现负载均衡 dst-ip 目的 IP 地址 算法将基于目的 IP 地址实现负载均衡. src-dst-ip 源目的 IP 地址 算法将基于源目的 IP 地址实现负载均衡 全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 将 LAG 的负载均衡算法设置为 src-dst-mac: TL-SL3226P-Combo(config)# port-channel load-balance src-dst-mac 5.3 lacp system-priority 该命令用于配置全局的 LACP 系统优先级, 它的 no 命令用于恢复默认值 命令 lacp system-priority pri no lacp system-priority pri 系统优先级, 取值范围 0-65535 默认值为 32768 全局配置只有管理员 操作员和高级用户类型的用户可以使用该命令配置 LACP 的系统优先级为 1024: 31

TL-SL3226P-Combo(config)# lacp system-priority 1024 5.4 lacp port-priority 该命令用于配置 LACP 端口优先级, 它的 no 命令用于恢复默认值 命令 lacp port-priority pri no lacp port-priority pri 端口优先级, 取值范围 0-65535 默认值为 32768 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令将端口 1 的端口优先级设置为 1024: TL-SL3226P-Combo(config)# interface fastethernet 1/0/1 TL-SL3226P-Combo(config-if)# lacp port-priority 1024 5.5 show etherchannel 该命令用于显示汇聚组信息 命令 show etherchannel [ channel-group-num ] { detail summary } channel-group-num 汇聚组组号, 取值范围 1-14 该缺省时, 显示所有组的信息 detail 详述信息 summary 概述信息 特权和所有配置无 32

显示汇聚组 1 的详述信息 : TL-SL3226P-Combo(config)# show etherchannel 1 detail 5.6 show etherchannel load-balance 该命令用于显示 LAG 的负载均衡算法 命令 show etherchannel load-balance 特权和所有配置无显示 LAG 的负载均衡算法 : TL-SL3226P-Combo(config)# show etherchannel load-balance 5.7 show lacp 该命令用于显示特定汇聚组的 LACP 信息 命令 show lacp [ channel-group-num ] { internal neighbor } channel-group-num 组号, 取值范围 1-14 该缺省时, 显示所有 LACP 类型组的信息 internal 本端 LACP 信息 neighbor 对端 LACP 信息 特权和所有配置无显示汇聚组 1 的本端 LACP 信息 : 33

TL-SL3226P-Combo(config)# show lacp 1 internal 5.8 show lacp sys-id 该命令用于显示 LACP 系统优先级 命令 show lacp sys-id 特权和所有配置无显示 LACP 系统优先级 : TL-SL3226P-Combo(config)# show lacp sys-id 34

第 6 章用户管理配置命令 用户配置用来管理通过 Web CLI 或 SSH 方式登录交换机的用户信息, 以达到保护交换机配置的目的 6.1 user name (password) 该命令用于添加一个新用户账户或修改已存在的用户账户的信息, 它的 no 命令用于删除已存在的账户 通过此命令可以使用对称加密算法加密用户登录密码 命令 user name name [ privilege admin operator power_user user ] password { [ 0 ] password 7 encrypted-password } no user name name name 用户名,1-16 个字符, 只能由数字 英文字母和下划线组成 admin operator power_user user 用户类型,admin: 管理员 ;operator: 操作员 ;power_user: 高级用户 ;user: 普通用户 添加用户时, 默认为 admin 有关限制的详细信息, 请参阅每个命令中的部分 0 加密类型,0 表示接下来输入未经加密的密码 默认的加密类型为 0 password 1~31 位的密码, 由字母, 数字和符号组成 密码区分大小写, 可包括数字, 英文字母 ( 区分大小写 ), 下划线和十六个特殊字符 (!$%'()*,-./[]{ }) 7 加密类型, 表示接下来需要输入一个固定长度的经过对称加密的密码 encrypted-password 固定长度的经过对称加密的密码, 可以从其他交换机的配置 文件中复制得到 配置了加密密码之后, 当再次进入用户时, 需要输入对应的未 经加密的密码 全局配置 只有管理员类型的用户可以使用该命令 说明 如果在此配置的密码为未加密的密码, 但是通过 service password-encryption 命令启 用了全局密码加密功能, 那么交换机配置文件中的密码将会显示为对称加密格式 添加并启用一个用户名为 tplink, 密码为不加密的 admin 的管理员账户 : TL-SL3226P-Combo (config)#user name tplink privilege admin password 0 admin 35

6.2 user name (secret) 该命令用于添加一个新用户账户或修改已存在的用户账户的信息, 它的 no 命令用于删除已存在的账户 通过此命令添加的用户, 其密码在配置文件中显示为 MD5 加密的格式 命令 user name name [ privilege admin operator power_user user ] secret { [ 0 ] password 5 encrypted-password } no user name name name 用户名,1-16 个字符, 只能由数字 英文字母和下划线组成 admin operator power_user user 用户类型 admin 用户可以编辑 修改和查看不同功能的所有设置 operator 用户可以编辑 修改和查看大多数不同功能的设置 power_user 用户可以编辑 修改和查看一些不同功能的设置 user 用户只能查看一些不同功能的设置, 无法编辑或修改 默认用户类型为 admin 有关限制的详细信息, 请参阅每个命令中的部分 0 加密类型,0 表示接下来输入未经加密的密码 默认的加密类型为 0 password 1~31 位的密码, 由字母, 数字和符号组成 密码区分大小写, 可包括数字, 英文字母 ( 区分大小写 ), 下划线和十六个特殊字符 (!$%'()*,-./[]{ }) 此密码在交换机的配置文件中显示为 MD5 加密的格式 5 加密类型, 表示接下来需要输入一个固定长度的经过 MD5 加密的密码 encrypted-password 固定长度的经过对称加密的密码, 可以从其他交换机的配置 文件中复制得到 配置了加密密码之后, 当再次进入用户时, 需要输入对应的未 经加密的密码 全局配置 只有管理员类型的用户可以使用该命令 说明 如果同时在 user name (password) 和 user name (secret) 中配置了密码, 则只有最新的 配置会生效 添加并启用一个管理员帐户, 用户名为 tplink, 密码为不加密的 admin, 此密码在交换机 配置文件中以加密格式显示 : TL-SL3226P-Combo (config) #user name tplink privilege admin secret 0 admin 36

6.3 user access-control ip-based 该命令用于启用基于 IP 地址的身份限制, 只有处于所设 IP 网段的设备才可以访问本交换机 它的 no 命令用于取消用户身份限制 命令 user access-control ip-based { ip-addr ip-mask } [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] no user access-control ip-addr / ip-mask 源 IP 地址和 IP 掩码 只有处于所设 IP 网段的设备才可以访问本交换机 [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] 指定访问接口, 默认情况下开启 全局配置 只有管理员和操作员类型的用户可以使用该命令 启用 IP 地址为 192.168.0.148 的身份限制 : TL-SL3226P-Combo (config) # user access-control ip-based 192.168.0.148 255.255.255.255 6.4 user access-control mac-based 该命令用于启用基于 MAC 地址的身份限制, 只允许所设的 MAC 地址通过 Web 访问交换机 它的 no 命令用于取消用户身份限制 命令 user access-control mac-based { mac-addr } [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] no user access-control mac-addr 源 MAC 地址 只有拥有该 MAC 地址的设备才可以访问本交换机 [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] 指定访问接口, 默认情况下开启 37

全局配置 只有管理员和操作员类型的用户可以使用该命令 启用 MAC 地址为 00:00:13:0A:00:01 的身份限制 : TL-SL3226P-Combo (config) # user access-control mac-based 00:00:13:0A:00:01 6.5 user access-control port-based 该命令用于启用基于端口的身份限制, 只允许连接在所设的端口上的主机通过 WEB 访问交换机 使用 user access-control port-based interface none 命令, 可关闭用户身份限制 ; 使用 no user accesscontrol 命令用于取消用户身份限制 命令 user access-control port-based interface { fastethernet port gigabitethernet port range fastethernet port-list range gigabitethernet port-list } [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] no user access-control port 以太网端口号 port-list 以太网端口列表, 最多可指定 5 个端口 [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] 指定访问接口, 默认情况下开 启 全局配置 只有管理员和操作员类型的用户可以使用该命令 启用 2-6 五个端口的身份限制 : TL-SL3226P-Combo (config) # user access-control port-based interface range fastethernet 1/0/2-6 38

6.6 telnet 该命令用于开启或关闭远程登录功能 默认开启 命令 telnet enable telnet disable 全局配置只有管理员和操作员类型的用户可以使用该命令关闭远程登录功能 : TL-SL3226P-Combo (config)# telnet disable 6.7 show user account-list 该命令用于显示当前用户账户列表 命令 show user account-list 特权和所有配置只有管理员类型的用户可以使用该命令显示当前用户账户列表 : TL-SL3226P-Combo (config)# show user account-list 6.8 show user configuration 该命令用于显示用户安全配置, 包括身份限制, 登录数限制, 超时配置等 命令 show user configuration 特权和所有配置 39

无 显示用户安全配置 : TL-SL3226P-Combo (config)# show user configuration 6.9 show telnet-status 该命令用于显示远程登录功能的配置信息 命令 show telnet-status 特权和所有配置无显示用户安全配置 : TL-SL3226P-Combo (config)# show telnet-status 40

第 7 章 HTTP 和 HTTPS 配置命令 在 HTTP(HyperText Transfer Protocol, 超文本传输协议 ) 或者 HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer, 基于安全套接层的超文本传输协议 ) 帮助下, 可以通过一个标准的浏览器管理交换机 HTTP 是用于交换和发送超文本内容的协议 SSL(Secure Sockets Layer, 安全套接层 ) 是一个安全协议, 它为基于 TCP 的应用层协议 ( 如 HTTP) 提供安全连接 SSL 采用非对称加密技术, 用密钥对进行信息的加密 / 解密, 密钥对由一个公钥 ( 包含在证书中 ) 和一个私钥构成 初始时交换机里已有默认的证书 ( 自签名证书 ) 和对应私钥, 用户也可以通过证书 / 密钥导入功能替换默认的密钥对 7.1 ip http server 该命令用于全局开启 HTTP 服务器功能, 它的 no 命令用于禁用该功能 默认情况下启用此功能 HTTP 和 HTTPS 服务器不能同时禁用 命令 ip http server no ip http server 全局配置 只有管理员和操作员类型的用户可以使用该命令 关闭 HTTP 功能 : TL-SL3226P-Combo (config)# no ip http server 7.2 ip http max-users 该命令用于配置允许连接到 HTTP 服务器的最大用户数, 它的 no 命令用于取消限制 命令 ip http max-users admin-num operator-num powerusr-num user-num no ip http max-users admin-num 以管理员身份登录到 HTTP 服务器的最大数量, 范围从 1 到 16 全部用户的总数应该少于 16 41

operator-num 以操作员身份登录到 HTTP 服务器的最大数量, 范围从 0 到 15 全部用户的总数应小于 16 powerusr-num 以高级用户身份登录到 HTTP 服务器的最大数量, 范围从 0 到 15 全部用户的总数应小于 16 user-num 以普通用户身份登录到 HTTP 服务器的最大数量, 范围从 0 到 15 全部用户的总数应小于 16 全局配置 只有管理员和操作员类型的用户可以使用该命令 配置管理员 操作员 高级用户和普通用户登录到 HTTP 服务器的最大数量为 5 3 2 和 3: TL-SL3226P-Combo (config)# ip http max-users 5 3 2 3 7.3 ip http session timeout 该命令用于配置 HTTP 服务器的连接超时时间 它的 no 命令可以恢复出厂默认的超时时间, 默认的超时时间为 10 分钟 命令 ip http session timeout minutes no ip http session timeout minutes 超时时间, 范围从 5 到 30 分钟 默认情况下, 该值为 10 全局配置 只有管理员和操作员类型的用户可以使用该命令 配置 HTTP 连接超时时间为 15 分钟 : TL-SL3226P-Combo (config)# ip http session timeout 15 42

7.4 ip http secure-server 该命令用于全局开启 SSL 功能, 它的 no 命令用于禁用该功能 默认情况下启用此功能 HTTP 和 HTTPS 服务器不能同时禁用 命令 ip http secure-server no ip http secure-server 全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 全局关闭 SSL 功能 : TL-SL3226P-Combo (config)# no ip http secure-server 7.5 ip http secure-protocol 该命令用于配置 SSL 协议版本, 它的 no 命令用于恢复默认 SSL 版本 默认情况下, 交换机支持 SSLv3 和 TLSv1 命令 ip http secure-protocol { [ ssl3 ] [ tls1 ] } no ip http secure-protocol ssl3 SSL 3.0 协议 tls1 TLS 1.0 协议 全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 配置 SSL 连接使用的协议为 SSL 3.0: TL-SL3226P-Combo (config)# ip http secure-protocol ssl3 7.6 ip http secure-ciphersuite 该命令用于配置交换机支持的 SSL 连接的密码套件, 它的 no 命令用于恢复默认密码套件 43

命令 ip http secure-ciphersuite { [ 3des-ede-cbc-sha ] [ rc4-128-md5 ] [ rc4-128-sha ] [ descbc-sha ] } no ip http secure-ciphersuite [ 3des-ede-cbc-sha ] [ rc4-128-md5 ] [ rc4-128-sha ] [ des-cbc-sha ] 指定 SSL 连 接使用的加密算法和摘要算法 默认情况下, 交换机支持所有这些密码套件 全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 配置 SSL 连接使用的密码套件为 3des-ede-cbc-sha: TL-SL3226P-Combo (config)# ip http secure-ciphersuite 3des-ede-cbc-sha 7.7 ip http secure-max-users 该命令用于配置允许连接到 HTTPS 服务器的最大用户数, 它的 no 命令用于取消限制 命令 ip http secure-max-users admin-num operator-num powerusr-num user-num no ip http max-users admin-num 以管理员身份登录到 HTTPS 服务器的最大数量, 范围从 1 到 16 全部用户的总数应该少于 16 operator-num 以操作员身份登录到 HTTPS 服务器的最大数量, 范围从 0 到 15 全部用户的总数应小于 16 powerusr-num 以高级用户身份登录到 HTTPS 服务器的最大数量, 范围从 0 到 15 全部用户的总数应小于 16 user-num 以普通用户身份登录到 HTTPS 服务器的最大数量, 范围从 0 到 15 全部用户的总数应小于 16 全局配置 44

只有管理员 操作员和高级用户类型的用户可以使用该命令 配置管理员 操作员 高级用户和普通用户登录到 HTTPS 服务器的最大数量为 5 3 2 和 3: TL-SL3226P-Combo (config)# ip http secure-max-users 5 3 2 3 7.8 ip http secure-session timeout 该命令用于配置 HTTPS 服务器的连接超时时间 它的 no 命令可以恢复出厂默认的超时时间, 默认的超时时间为 10 分钟 命令 ip http secure-session timeout minutes no ip http secure-session timeout minutes 超时时间, 范围从 5 到 30 分钟 默认情况下, 该值为 10 全局配置只有管理员 操作员和高级用户类型的用户可以使用该命令配置 HTTPS 连接超时时间为 15 分钟 : TL-SL3226P-Combo (config)# ip http secure-session timeout 15 7.9 ip http secure-server download certificate 该命令用于通过 TFTP 方式导入 SSL 证书 命令 ip http secure-server download certificate ssl-cert ip-address ip-addr ssl-cert 选择要导入的 SSL 证书名称, 可输入 1~25 个字符 证书必须为 BASE64 编码格式 ip-addr TFTP 服务器的 IP 地址 支持 IPv4 和 IPv6 地址 例如 IPv4 地址 192.168.0.10 或 fe80::1234 45

全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 通过 IP 地址为 192.168.0.148 的 TFTP 服务器导入名为 ssl.cert 的 SSL 证书 : TL-SL3226P-Combo (config)# ip http secure-server download certificate ssl.cert ip-address 192.168.0.148 通过 IP 地址为 fe80::1234 的 TFTP 服务器导入名为 ssl.cert 的 SSL 证书 : TL-SL3226P-Combo (config) # ip http secure-server download certificate ssl.cert ip-address fe80::1234 7.10 ip http secure-server download key 该命令用于通过 TFTP 方式导入 SSL 密钥 命令 ip http secure-server download key ssl-key ip-address ip-addr ssl-key 选择要导入的 SSL 密钥文件名称, 可输入 1~25 个字符 密钥必须为 BASE64 编码格式 ip-addr TFTP 服务器的 IP 地址 支持 IPv4 和 IPv6 地址 例如 IPv4 地址 192.168.0.10 或 fe80::1234 全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 通过 IP 地址为 192.168.0.148 的 TFTP 服务器导入名为 ssl.key 的 SSL 密钥 : TL-SL3226P-Combo (config)# ip http secure-server download key ssl.key ipaddress 192.168.0.148 通过 IP 地址为 fe80::1234 的 TFTP 服务器导入名为 ssl.key 的 SSL 密钥 : TL-SL3226P-Combo (config)# ip http secure-server download key ssl.key ipaddress fe80::1234 46

7.11 show ip http configuration 该命令是用来显示的 HTTP 服务器的配置信息, 包括状态 会话超时时间 访问控制 最大用户数和空闲超时时间等 命令 show ip http configuration 特权和所有配置无显示 HTTP 服务器的配置信息 : TL-SL3226P-Combo (config)# show ip http configuration 7.12 show ip http secure-server 该命令用于显示 SSL 的全局配置信息 命令 show ip http secure-server 特权和所有配置无显示 SSL 全局配置信息 : TL-SL3226P-Combo (config)# show ip http secure-server 47

第 8 章绑定列表配置命令 四元绑定功能可以将局域网中计算机的 IP 地址 MAC 地址 VLAN 和端口进行绑定,IP 源防护功能将 使用四元绑定条目对数据包进行过滤 8.1 ip source binding 该命令用于手动添加 IP-MAC-VID-PORT 四元绑定条目 如果已经掌握了局域网中计算机用户的相关信息, 包括 IP 地址 MAC 地址 VLAN 以及连接端口等, 可以手动四元绑定 它的 no 命令可将 IP-MAC- VID-PORT 四元绑定条目从列表中删除 命令 ip source binding hostname ip-addr mac-addr vlan vlan-id interface { fastethernet port gigabitethernet port } { none arp-detection ip-verify-source both } [ forcedsource {arp-scanning dhcp-snooping} ] no ip source binding index idx hostname 需要绑定的主机名,1-20 个字符 ip-addr 源 IP 地址 mac-addr 源 MAC 地址 vlan-id 需要绑定的 VLAN, 取值范围 1-4094 port 需要绑定的交换机端口号 none arp-detection ip-verify-source both 该条目执行的 ACL 动作,arp-detection 表示 ARP 防护 ;ip-verify-source 表示 IP 源防护 ;both 表示两种防护均生效 ;none 表示不应用防护 forced-source 可选 forced-source 用于强制将新添加条目的来源从 manual 修改为 arp-scanning 或者 dhcp-snooping, 以模拟 arp-scan 或 dhcp-snooping 添加绑定条目, 使非手动绑定条目可以保存配置 idx 指定要删除的条目序号 可使用命令 show ip source binding 获取各条目对应 的序号 注意, 这里的序号是指该条目在绑定表中的序号, 故显示时不一定是按习惯上的从小到大递增的顺序, 而是显示该条目在绑定表中的实际序号 全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 48

手动添加一条四元绑定条目, 主机名为 host1,ip 地址为 192.168.0.1,MAC 地址为 00:00:00:00:00:01,VID 为 2, 端口号为 5, 并将该条目同时应用于 IP 源防护 : TL-SL3226P-Combo (config)# ip source binding host1 192.168.0.1 00:00:00:00:00:01 vlan 2 interface fastethernet 1/0/5 ip-verify-source 删除 unit1 的绑定表中序号为 5 的 IP-MAC VID-PORT 条目 : TL-SL3226P-Combo (config)# no ip source binding index 5 8.2 ip dhcp snooping 该命令用于全局开启 DHCP 侦听功能, 它的 no 命令用于禁用 DHCP 侦听功能 通过 DHCP 侦听功能, 交换机可以侦听用户动态申请 IP 地址的过程, 并记录局域网中计算机的 IP 地址 MAC 地址 VLAN 以及连接端口等信息, 自动进行四元绑定 命令 ip dhcp snooping no ip dhcp snooping 全局配置只有管理员 操作员和高级用户类型的用户可以使用该命令全局开启 DHCP 侦听功能 : TL-SL3226P-Combo (config)# ip dhcp snooping 8.3 ip dhcp snooping vlan 该命令用于开启 VLAN 中的 DHCP 侦听, 使用它的 no 命令可关闭该功能 命令 ip dhcp snooping vlan vlan-range no ip dhcp snooping vlan vlan-range vlan-range 指定 VLAN 开启 DHCP 侦听功能, 格式为 1-3,5 全局配置 49

只有管理员 操作员和高级用户类型的用户可以使用该命令 开启 VLAN1,4,6-7 的 DHCP 侦听功能 : TL-SL3226P-Combo (config) #ip dhcp snooping vlan 1,4,6-7 8.4 ip dhcp snooping information option 该命令用于开启 DHCP 侦听的 Option 82 功能, 它的 no 命令用于关闭 Option 82 功能 命令 ip dhcp snooping information option no ip dhcp snooping information option 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 在端口 1/0/1 上开启 DHCP 侦听的 Option 82 功能 : TL-SL3226P-Combo (config)# interface fastethernet 1/0/1 TL-SL3226P-Combo (config)# ip dhcp snooping information option 8.5 ip dhcp snooping information strategy 该命令用于选择对接收到的包含 Option 82 选项请求报文的配置处理策略, 它的 no 命令用于恢复默认选项 命令 ip dhcp snooping information strategy strategy no ip dhcp snooping information strategy strategy 对接收到的包含 Option 82 选项请求报文的配置处理策略, 包括三种类型 : keep: 保持该报文中的 Option 82 选项不变并进行转发 默认选项 replace: 按照配置的填充内容填充 Option 82 选项, 并替换报文中原有的 Option 82 选项进行转发 50

drop: 丢弃含有 Option 82 选项的报文 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 将接收到的请求报文的 Option 82 选项替换为用户自定义的选项内容, 并从 1/0/1 端口转发 : TL-SL3226P-Combo (config)# interface fastethernet 1/0/1 TL-SL3226P-Combo (config)# ip dhcp snooping information strategy replace 8.6 ip dhcp snooping information remote-id 该命令用于配置 Option 82 的远程 ID 子选项内容 no 命令用于恢复默认值 命令 ip dhcp snooping information remote-id string no ip dhcp snooping information remote-id string 用户自定义配置的远程 ID 子选项内容 长度为 1-32 个字符 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 在端口 1/0/1 上配置 Option 82 的远程 ID 子选项为 tplink: TL-SL3226P-Combo (config)# interface fastethernet 1/0/1 TL-SL3226P-Combo (config)# ip dhcp snooping information remote-id tplink 8.7 ip dhcp snooping information circuit-id 该命令用于配置 Option 82 的电路 ID 子选项内容 no 命令用于恢复默认值 51

命令 ip dhcp snooping information circuit-id string no ip dhcp snooping information circuit-id string 用户自定义配置的电路 ID 子选项内容 长度为 1-32 个字符 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 在接口 1/0/1 上配置 Option 82 的电路 ID 子选项为 tplink: TL-SL3226P-Combo (config)# interface fastethernet 1/0/1 TL-SL3226P-Combo (config)# ip dhcp snooping information circuit-id tplink 8.8 ip dhcp snooping trust 该命令用于配置端口为授信端口, 只有授信端口才能接收来自 DHCP 服务器端的消息, 它的 no 命令用于取消授信端口配置 命令 ip dhcp snooping trust no ip dhcp snooping trust 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 启用交换机端口 1/0/2 为授信端口 : TL-SL3226P-Combo (config)# interface fastethernet 1/0/2 TL-SL3226P-Combo (config-if)# ip dhcp snooping trust 52

8.9 ip dhcp snooping mac-verify 该命令用于启用端口的 MAC 验证功能, 它的 no 命令用于禁用 MAC 验证 DHCP 消息中有两个字段存储着客户端的 MAC 地址,MAC 验证功能会对这两个字段进行比较, 如果不同, 则将消息丢弃 命令 ip dhcp snooping mac-verify no ip dhcp snooping mac-verify 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 启用端口 1/0/2 的 MAC 验证功能 : TL-SL3226P-Combo (config)# interface fastethernet 1/0/2 TL-SL3226P-Combo (config-if)# ip dhcp snooping mac-verify 8.10 ip dhcp snooping limit rate 该命令用于配置端口的流量控制, 超出流量部分的 DHCP 数据包将被丢弃, 它的 no 命令用于恢复默认配置 命令 ip dhcp snooping limit rate value no ip dhcp snooping limit rate value 端口流量控制, 可选项为 0 5 10 15 20 25 30, 单位 pps(packet per second) 默认值为 0, 表示禁用 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 将端口 2 的流量控制设为 20pps: 53

TL-SL3226P-Combo (config)# interface fastethernet 1/0/2 TL-SL3226P-Combo (config-if)# ip dhcp snooping limit rate 20 8.11 ip dhcp snooping decline rate 该命令用于启用端口的 decline 侦听功能, 它的 no 命令用于禁用 decline 侦听 命令 ip dhcp snooping decline rate value no ip dhcp snooping decline rate value DHCP Decline 包流量控制, 可选项为 0 5 10 15 20 25 30, 单位 pps (packet per second) 默认值为 0, 表示禁用 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 启用端口 1/0/2 的 decline 侦听功能 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/2 TL-SL3226P-Combo(config-if) #ip dhcp snooping decline rate 20 8.12 show ip source binding 该命令用于显示 IP-MAC-VID-PORT 四元绑定表 命令 show ip source binding 特权和所有配置无 54

显示 IP-MAC-VID-PORT 四元绑定表 : TL-SL3226P-Combo (config)# show ip source binding 8.13 show ip dhcp snooping 该命令用于显示 DHCP 侦听的当前状态信息 命令 show ip dhcp snooping 特权和所有配置无显示 DHCP 侦听的当前状态信息 : TL-SL3226P-Combo (config)# show ip dhcp snooping 8.14 show ip dhcp snooping interface 该命令用于显示对应以太网口 / 链路聚合或所有以太网口 / 链路聚合的 DHCP 侦听的端口配置信息 命令 show ip dhcp snooping interface [ fastethernet port ] [ gigabitethernet port ] [ portchannel lagid ] port 交换机端口号, 缺省时显示所有端口的配置信息 lagid 链路聚合的 ID 号 特权和所有配置 无 显示所有端口 / 链路聚合的 DHCP 侦听配置信息 : TL-SL3226P-Combo# show ip dhcp snooping interface 55

显示端口 1/0/5 的 DHCP 侦听配置信息 : TL-SL3226P-Combo# show ip dhcp snooping interface fastethernet 1/0/5 8.15 show ip dhcp snooping information interface 该命令用于显示对应以太网口 / 链路聚合或所有以太网口 / 链路聚合的 DHCP 侦听的 option 82 功能的 端口配置信息 命令 show ip dhcp snooping information interface [ fastethernet port ] [ gigabitethernet port ] [ port-channel lagid ] port 交换机端口号 lagid 链路聚合的 ID 号 特权和所有配置 无 显示所有端口 / 链路聚合的 DHCP 侦听的 option 82 功能的配置信息 : TL-SL3226P-Combo#show ip dhcp snooping information interface 56

第 9 章 ARP 防护配置命令 防 ARP 欺骗功能可以针对局域网中常见的网关欺骗和中间人攻击等 ARP 欺骗进行防护, 有效抑制局域网中的 ARP 欺骗 9.1 ip arp inspection vlan 该命令用于根据 VLAN 开启 ARP 防护功能, 它的 no 命令用于禁用 ARP 防护功能 命令 ip arp inspection vlan vlan-list [ logging ] no ip arp inspection vlan vlan-list 要开启 ARP 防护功能的 vlan, 可使用 - 表示区间, 并用, 隔开, 例 如 :vlan 3-5,8 全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 开启 vlan 3-5 上的 ARP 过滤, 并开启 log 功能 : TL-SL3226P-Combo(config-if-range)#ip arp inspection vlan 3-5 logging 9.2 ip arp inspection validate 该命令用于开启 ARP 报文检查功能, 它的 no 命令用于关闭该功能 命令 ip arp inspection validate { src-mac dst-mac ip } no ip arp inspection validate src-mac dst-mac ip 选择要开启的防护类型 包括报文中的 send mac 与 src mac 不符合,dst mac 与 dest mac 不符合, 或者 IP 字段非法 全局配置 只有管理员 操作员和高级用户类型的用户可以使用该命令 57

开启 Src Mac 检查 : TL-SL3226P-Combo(config)#ip arp inspection validate src-mac 9.3 ip arp inspection trust 该命令用于配置 ARP 防护的信任端口, 它的 no 命令用于清空信任端口列表 上联端口 路由端口以及 LAG 端口等特殊端口均应配置为信任端口 在启用防 ARP 欺骗功能之前, 应先配置 ARP 信任端口, 以免影响正常通信 命令 ip arp inspection trust no ip arp inspection trust 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 配置端口 2 为 ARP 防护的信任端口 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/2 TL-SL3226P-Combo(config-if)# ip arp inspection trust 9.4 ip arp inspection limit-rate 该命令用于配置端口的 ARP 超速速率, 它的 no 命令用于恢复默认超速速率 命令 ip arp inspection limit-rate { value [ burst-interval seconds ] none } no ip arp inspection limit-rate value 超速速率值, 取值范围 1-300, 单位 pps(packet/second) 默认值为 15 seconds 设置端口可超速的时间, 取值范围 1-15 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 58

只有管理员 操作员和高级用户类型的用户可以使用该命令 设置端口 5 不限速 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/5 TL-SL3226P-Combo(config-if)# ip arp inspection limit-rate none 9.5 ip arp inspection recover 该命令用于将处于 ARP 过滤状态的端口恢复为 ARP 转发状态 命令 ip arp inspection recover 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 只有管理员 操作员和高级用户类型的用户可以使用该命令 将端口 5 恢复为 ARP 转发状态 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/5 TL-SL3226P-Combo(config-if)# ip arp inspection recover 9.6 show ip arp inspection 该命令用于显示 ARP 防护全局配置, 包括启用状态和信任端口列表 命令 show ip arp inspection 特权和所有配置无显示 ARP 防护全局配置 : TL-SL3226P-Combo(config)# show ip arp inspection 59