网管交换机 命令行手册 REV1.3.0 1910040670
声明 Copyright 2016 普联技术有限公司版权所有, 保留所有权利未经普联技术有限公司明确书面许可, 任何单位或个人不得擅自仿制 复制 誊抄或转译本手册部分或全部内容, 且不得以营利为目的进行任何方式 ( 电子 影印 录制等 ) 的传播 为普联技术有限公司注册商标 本手册提及的所有商标, 由各自所有人拥有 本手册所提到的产品规格和资讯仅供参考, 如有内容更新, 恕不另行通知 除非有特殊约定, 本手册仅作为使用指导, 所作陈述均不构成任何形式的担保
目录 手册概述... 1 第 1 章命令行使用指导... 3 1.1 使用命令行... 3 1.2 命令行... 10 1.3 命令行安全等级... 11 1.4 命令行格式约定... 12 第 2 章用户界面... 14 2.1 enable... 14 2.2 service password-encryption... 14 2.3 enable password... 14 2.4 enable secret... 15 2.5 disable... 16 2.6 configure... 16 2.7 exit... 17 2.8 end... 17 2.9 show history... 17 2.10 clear history... 18 第 3 章 IEEE 802.1Q VLAN 配置命令... 19 3.1 vlan... 19 3.2 interface vlan... 19 3.3 name... 20 3.4 switchport mode... 20 3.5 switchport access vlan... 21 3.6 switchport trunk allowed vlan... 21 3.7 switchport general allowed vlan... 22 3.8 switchport pvid... 22 3.9 show vlan summary... 23 3.10 show vlan brief... 23 3.11 show vlan... 23 3.12 show interface switchport... 24 第 4 章语音 VLAN 配置命令... 25 4.1 voice vlan... 25 4.2 voice vlan aging time... 25 4.3 voice vlan priority... 25 4.4 voice vlan mac-address... 26 4.5 switchport voice vlan mode... 26 4.6 switchport voice vlan security... 27 4.7 show voice vlan... 27 4.8 show voice vlan oui... 28 4.9 show voice vlan switchport... 28 第 5 章 EtherChannel 配置命令... 29 5.1 channel-group... 29 I
5.2 port-channel load-balance... 29 5.3 lacp system-priority... 30 5.4 lacp port-priority... 30 5.5 show etherchannel... 31 5.6 show etherchannel load-balance... 31 5.7 show lacp... 31 5.8 show lacp sys-id... 32 第 6 章用户管理配置命令... 33 6.1 user name (password)... 33 6.2 user name (secret)... 34 6.3 user access-control ip-based... 35 6.4 user access-control mac-based... 35 6.5 user access-control port-based... 36 6.6 telnet... 36 6.7 show telnet-status... 37 6.8 show user account-list... 37 6.9 show user configuration... 37 第 7 章 HTTP 和 HTTPS 配置命令... 38 7.1 ip http server... 38 7.2 ip http max-users... 38 7.3 ip http session timeout... 39 7.4 ip http secure-server... 39 7.5 ip http secure-protocol... 39 7.6 ip http secure-ciphersuite... 40 7.7 ip http secure-max-users... 40 7.8 ip http secure-session timeout... 41 7.9 ip http secure-server download certificate... 41 7.10 ip http secure-server download key... 42 7.11 show ip http configuration... 42 7.12 show ip http secure-server... 43 第 8 章绑定列表配置命令... 44 8.1 ip source binding... 44 8.2 ip source binding index... 45 8.3 ip dhcp snooping... 46 8.4 ip dhcp snooping global... 46 8.5 ip dhcp snooping information option... 47 8.6 ip dhcp snooping information strategy... 47 8.7 ip dhcp snooping information remote-id... 48 8.8 ip dhcp snooping information circuit-id... 48 8.9 ip dhcp snooping trust... 48 8.10 ip dhcp snooping mac-verify... 49 8.11 ip dhcp snooping limit rate... 49 8.12 ip dhcp snooping decline... 50 8.13 show ip source binding... 50 8.14 show ip dhcp snooping... 51 8.15 show ip dhcp snooping information... 51 8.16 show ip dhcp snooping interface... 51 II
第 9 章 ARP 防护配置命令... 52 9.1 ip arp inspection(global)... 52 9.2 ip arp inspection (interface)... 52 9.3 ip arp inspection trust... 52 9.4 ip arp inspection limit-rate... 53 9.5 ip arp inspection recover... 53 9.6 show ip arp inspection... 54 9.7 show ip arp inspection interface... 54 9.8 show ip arp inspection statistics... 54 9.9 clear ip arp inspection statistics... 55 第 10 章 IP 源防护命令... 56 10.1 ip verify source... 56 10.2 show ip verify source... 56 第 11 章 DoS 防护命令... 57 11.1 ip dos-prevent... 57 11.2 ip dos-prevent type... 57 11.3 show ip dos-prevent... 58 第 12 章 IEEE 802.1X 配置命令... 59 12.1 dot1x system-auth-control... 59 12.2 dot1x auth-method... 59 12.3 dot1x guest-vlan(global)... 60 12.4 dot1x quiet-period... 60 12.5 dot1x timeout... 60 12.6 dot1x max-reauth-req... 61 12.7 dot1x... 61 12.8 dot1x guest-vlan(interface)... 62 12.9 dot1x port-control... 62 12.10 dot1x port-method... 63 12.11 radius... 63 12.12 radius server-account... 65 12.13 show dot1x global... 65 12.14 show dot1x interface... 65 12.15 show radius accounting... 66 12.16 show radius authentication... 66 第 13 章系统日志配置命令... 67 13.1 logging buffer... 67 13.2 logging file flash... 67 13.3 logging file flash frequency... 68 13.4 logging file flash level... 68 13.5 clear logging... 69 13.6 logging host index... 69 13.7 show logging local-config... 70 13.8 show logging loghost... 70 13.9 show logging buffer... 70 13.10 show logging flash... 71 第 14 章 SSH 配置命令... 72 14.1 ip ssh server... 72 III
14.2 ip ssh version... 72 14.3 ip ssh algorithm... 72 14.4 ip ssh timeout... 73 14.5 ip ssh max-client... 73 14.6 ip ssh download... 74 14.7 show ip ssh... 74 第 15 章地址配置命令... 76 15.1 mac address-table static... 76 15.2 mac address-table aging-time... 76 15.3 mac address-table filtering... 77 15.4 mac address-table max-mac-count... 77 15.5 show mac address-table... 78 15.6 show mac address-table aging-time... 78 15.7 show mac address-table max-mac-count interface... 79 15.8 show mac address-table interface... 79 15.9 show mac address-table count... 79 15.10 show mac address-table address... 80 15.11 show mac address-table vlan... 80 第 16 章系统配置命令... 81 16.1 system-time manual... 81 16.2 system-time ntp... 81 16.3 system-time dst predefined... 82 16.4 system-time dst date... 82 16.5 system-time dst recurring... 83 16.6 hostname... 84 16.7 location... 84 16.8 contact-info... 85 16.9 ip management-vlan... 85 16.10 ip address... 86 16.11 ip address-alloc dhcp... 86 16.12 ip address-alloc bootp... 87 16.13 reset... 87 16.14 reboot... 87 16.15 copy running-config startup-config... 88 16.16 copy startup-config tftp... 88 16.17 copy tftp startup-config... 89 16.18 firmware upgrade... 89 16.19 ping... 89 16.20 tracert... 90 16.21 show system-time... 90 16.22 show system-time dst... 91 16.23 show system-time ntp... 91 16.24 show system-info... 91 16.25 show running-config... 92 16.26 show cable-diagnostics interface... 92 16.27 show process... 92 第 17 章以太网配置命令... 94 17.1 interface fastethernet... 94 17.2 interface range fastethernet... 94 IV
17.3 interface gigabitethernet... 95 17.4 interface range gigabitethernet... 95 17.5 description... 95 17.6 shutdown... 96 17.7 flow-control... 96 17.8 media-type... 97 17.9 duplex... 97 17.10 speed... 98 17.11 storm-control broadcast... 98 17.12 storm-control multicast... 99 17.13 storm-control unicast... 99 17.14 bandwidth... 100 17.15 clear counters... 101 17.16 show interface status... 101 17.17 show interface counters... 101 17.18 show interface description... 102 17.19 show interface flowcontrol... 102 17.20 show interface configuration... 103 17.21 show storm-control... 103 17.22 show bandwidth... 103 第 18 章 QoS 配置命令... 105 18.1 qos... 105 18.2 qos dscp... 105 18.3 qos queue cos-map... 106 18.4 qos queue dscp-map... 107 18.5 qos queue mode... 107 18.6 show qos interface... 108 18.7 show qos cos-map... 108 18.8 show qos dscp-map... 109 18.9 show qos queue mode... 109 18.10 show qos status... 109 第 19 章端口监控配置命令... 111 19.1 monitor session destination interface... 111 19.2 monitor session source interface... 111 19.3 show monitor session... 112 第 20 章端口隔离配置命令... 113 20.1 port isolation... 113 20.2 show port isolation... 113 第 21 章环路监测配置命令... 114 21.1 loopback-detection(global)... 114 21.2 loopback-detection interval... 114 21.3 loopback-detection recovery-time... 114 21.4 loopback-detection(interface)... 115 21.5 loopback-detection config... 115 21.6 loopback-detection recover... 116 21.7 show loopback-detection global... 116 21.8 show loopback-detection interface... 117 V
第 22 章 PoE 配置命令... 118 22.1 power inline consumption (global)... 118 22.2 power inline supply... 118 22.3 power inline priority... 119 22.4 power inline consumption (interface)... 119 22.5 power time-range... 120 22.6 holiday... 120 22.7 absolute... 121 22.8 periodic... 121 22.9 inactive... 122 22.10 power holiday... 122 22.11 power inline time-range... 123 22.12 power profile... 123 22.13 power inline profile... 124 22.14 show power inline... 125 22.15 show power inline configuration interface... 125 22.16 show power inline information interface... 125 22.17 show power time-range... 126 22.18 show power holiday... 126 22.19 show power profile... 126 第 23 章 ACL 配置命令... 128 23.1 time-range... 128 23.2 absolute... 128 23.3 periodic... 129 23.4 holiday... 129 23.5 holiday(global)... 130 23.6 access-list create... 130 23.7 mac access-list... 131 23.8 access-list standard... 131 23.9 access-list extended... 132 23.10 rule... 133 23.11 access-list policy name... 134 23.12 access-list policy action... 134 23.13 redirect interface... 135 23.14 s-condition... 135 23.15 s-mirror... 136 23.16 qos-remark... 136 23.17 access-list bind(interface)... 137 23.18 access-list bind(vlan)... 137 23.19 show time-range... 138 23.20 show holiday... 138 23.21 show access-list... 138 23.22 show access-list policy... 139 23.23 show access-list bind... 139 第 24 章 MSTP 配置命令... 140 24.1 spanning-tree(global)... 140 24.2 spanning-tree(interface)... 140 24.3 spanning-tree common-config... 141 24.4 spanning-tree mode... 142 24.5 spanning-tree mst configuration... 142 VI
24.6 instance... 142 24.7 name... 143 24.8 revision... 143 24.9 spanning-tree mst instance... 144 24.10 spanning-tree mst... 144 24.11 spanning-tree priority... 145 24.12 spanning-tree tc-defend... 145 24.13 spanning-tree timer... 146 24.14 spanning-tree hold-count... 147 24.15 spanning-tree max-hops... 147 24.16 spanning-tree bpdufilter... 147 24.17 spanning-tree bpduguard... 148 24.18 spanning-tree guard loop... 148 24.19 spanning-tree guard root... 149 24.20 spanning-tree guard tc... 149 24.21 spanning-tree mcheck... 150 24.22 show spanning-tree active... 150 24.23 show spanning-tree bridge... 150 24.24 show spanning-tree interface... 151 24.25 show spanning-tree interface-security... 151 24.26 show spanning-tree mst... 152 第 25 章 IGMP 配置命令... 153 25.1 ip igmp snooping(global)... 153 25.2 ip igmp snooping(interface)... 153 25.3 ip igmp snooping immediate-leave... 153 25.4 ip igmp snooping drop-unknown... 154 25.5 ip igmp snooping vlan-config... 154 25.6 ip igmp snooping multi-vlan-config... 155 25.7 ip igmp snooping filter(global)... 156 25.8 ip igmp snooping filter(interface)... 157 25.9 ip igmp snooping filter add-id... 157 25.10 ip igmp snooping filter mode... 158 25.11 ip igmp snooping filter maxgroup... 158 25.12 ip igmp snooping querier vlan... 159 25.13 ip igmp snooping querier vlan (general query)... 159 25.14 ip igmp snooping querier vlan (specific query)... 160 25.15 clear ip igmp snooping statistics... 160 25.16 show ip igmp snooping... 161 25.17 show ip igmp snooping interface... 161 25.18 show ip igmp snooping vlan... 162 25.19 show ip igmp snooping multi-vlan... 162 25.20 show ip igmp snooping groups... 162 25.21 show ip igmp snooping filter... 163 25.22 show ip igmp snooping querier... 164 第 26 章 SNMP 配置命令... 165 26.1 snmp-server... 165 26.2 snmp-server view... 165 26.3 snmp-server group... 166 26.4 snmp-server user... 167 26.5 snmp-server community... 168 VII
26.6 snmp-server host... 168 26.7 snmp-server engineid... 169 26.8 snmp-server traps snmp... 170 26.9 snmp-server traps link-status... 170 26.10 snmp-server traps... 171 26.11 snmp-server traps mac... 172 26.12 snmp-server traps vlan... 173 26.13 rmon history... 173 26.14 rmon event... 174 26.15 rmon alarm... 175 26.16 show snmp-server... 176 26.17 show snmp-server view... 176 26.18 show snmp-server group... 176 26.19 show snmp-server user... 177 26.20 show snmp-server community... 177 26.21 show snmp-server host... 177 26.22 show snmp-server engineid... 177 26.23 show rmon history... 178 26.24 show rmon event... 178 26.25 show rmon alarm... 179 第 27 章 LLDP 配置命令... 180 27.1 lldp... 180 27.2 lldp hold-multiplier... 180 27.3 lldp timer... 181 27.4 lldp med-fast-count... 182 27.5 lldp receive... 182 27.6 lldp transmit... 182 27.7 lldp snmp-trap... 183 27.8 lldp tlv-select... 183 27.9 lldp med-status... 185 27.10 lldp med-tlv-select... 185 27.11 lldp med-location... 186 27.12 show lldp... 186 27.13 show lldp interface... 187 27.14 show lldp local-information interface... 187 27.15 show lldp neighbor-information interface... 188 27.16 show lldp traffic interface... 188 VIII
手册概述 本手册提供 CLI(Command Line Interface, 命令行界面 ) 参考信息, 适用于 TP-LINK TL-SG3452/ TL-SG3428/ TL-SG3226/ TL-SG3218/ TL-SG3210/ TL-SG3226PE/ TL-SG3226P/ TL-SG3218PE/ TL-SG3210PE/ TL-SL3452-Combo/ TL-SL3428-Combo/ TL-SL3226-Combo/ TL-SL3226/ TL- SL3218-Combo/ TL-SL3218/ TL-SL3210/ TL-SL3109/ TL-SL3226PE-Combo/ TL-SL3226P- Combo/ TL-SL3218PE-Combo/ TL-SL3210PE 网管交换机 鉴于网管交换机功能相近, 本手册以 TL-SL3226P-Combo 为例介绍 各章节内容安排如下 : 第 1 章 : 命令行使用指导主要介绍 CLI 的使用方法 命令行 使用命令行 命令行分级及命令行格式约定 第 2 章 : 用户界面主要介绍用户登录和退出操作的相关配置命令 第 3 章 :IEEE 802.1Q VLAN 配置命令主要介绍 IEEE 802.1Q VLAN 的相关配置命令 第 4 章 : 语音 VLAN 的配置命令主要介绍语音 VLAN 的相关配置命令 第 5 章 :Etherchannel 配置命令主要介绍端口汇聚和 LACP 的相关配置命令 第 6 章 : 用户管理配置命令主要介绍用户管理信息的相关配置命令 第 7 章 :HTTP 和 HTTPS 配置命令主要介绍交换机 HTTP 和 HTTPS 管理服务的相关配置命令 第 8 章 : 绑定列表配置命令主要介绍 IP-MAC-VID-PORT 四元绑定表的相关配置命令 第 9 章 :ARP 防护配置命令主要介绍防 ARP 欺骗 防 ARP 攻击 报文统计的相关配置命令 第 10 章 :IP 源防护配置命令主要介绍 IP 源防护的相关配置命令 第 11 章 :DoS 防护命令主要介绍 DoS 防护和攻击检测的相关配置命令 第 12 章 :IEEE 802.1X 配置命令主要介绍 IEEE 802.1X 认证的相关配置命令 1
第 13 章 : 系统日志配置命令主要介绍系统日志的查看 输出, 日志服务器的相关配置命令 第 14 章 :SSH 配置命令主要介绍 SSH 配置管理的相关命令 第 15 章 : 地址配置命令主要介绍端口安全设置和地址表管理的相关配置命令 第 16 章 : 系统配置命令主要介绍系统信息 网络配置, 系统软件复位, 系统文件升级, 交换机重启及连通性测试等系统相关配置命令 第 17 章 : 以太网配置命令主要介绍以太网端口的流量控制 协商 风暴抑制 带宽限制的相关配置命令 第 18 章 :QoS 配置命令主要介绍 QoS( 服务质量 ) 的相关配置命令 第 19 章 : 端口监控配置命令主要介绍端口监控的相关配置命令 第 20 章 : 端口隔离配置命令主要介绍端口隔离的相关配置命令 第 21 章 : 环路监测配置命令主要介绍环路监测的相关配置命令 第 22 章 :PoE 配置命令主要介绍 PoE( 以太网供电 ) 的相关配置命令 第 23 章 :ACL 配置命令主要介绍访问控制的相关配置命令 第 24 章 :MSTP 配置命令主要介绍生成树配置的相关配置命令 第 25 章 :IGMP 配置命令主要介绍 IGMP 侦听 组播地址表管理 组播过滤等组播管理相关配置命令 第 26 章 :SNMP 配置命令主要介绍 SNMP( 简单网络管理协议 ) 配置 通知管理 RMON( 远程网络监视 ) 等 SNMP 相关配置命令 第 27 章 :LLDP 配置命令主要介绍 LLDP( 链路层发现协议 ) 以及 LLDP-MED 的相关配置命令 2
第 1 章命令行使用指导 1.1 使用命令行 用户可以通过三种方式登录交换机来使用命令行 : 1. 通过 Console 口进行本地登录 ; 2. 通过以太网端口利用 Telnet 进行本地或远程登录 ; 3. 通过以太网端口利用 SSH 进行本地或远程登录 通过 Console 口进行本地登录 1. 首先, 将计算机 ( 或终端 ) 的串口通过配置电缆与以太网交换机的 Console 口连接 2. 打开计算机的终端仿真程序 ( 如 Hyperterminal 程序 ), 配置如下 : 波特率 :38400bps 数据位 :8 位 奇偶校验 : 无 停止位 :1 位 数据流控制 : 无 3. 在超级终端主窗口中输入回车键, 可以看到 TL-SL3226P-Combo> 的提示符, 说明已成功登录交换机 如图 1-1 所示 通过 Telnet 进行登录 图 1-1 登录交换机 1. 请先确保本交换机与计算机在同一局域网内 选择开始, 在搜索框输入 cmd, 单击回车键 3
图 1-2 打开运行窗口 2. 弹出如图 1-3 所示的命令行窗口, 输入 telnet 192.168.0.1, 单击回车键 图 1-3 运行窗口 3. 输入登录的用户名和密码 ( 默认值均为 admin ), 回车即可进入用户, 如图 1-4 图 1-4 进入用户 此时便可在 Telnet 连接中使用 CLI 命令管理交换机了 4. 可以输入 enable 命令进入特权 4
图 1-5 进入特权 通过 SSH 进行登录 推荐使用第三方客户端软件 PuTTY 来建立 SSH 连接 在首次使用 SSH 进行登录之前请先设置好进入特权的密码 SSH 登录有两种认证 : 密码认证 : 需要登录输入用户名和密码, 默认值均为 admin 密钥认证 : 无需登录用户名和密码, 但是需要先通过 Putty 密钥生成器生成一对公钥和私钥, 将公钥导入交换机, 私钥导入客户端软件进行认证 注意 : 在使用 SSH 登录以前, 请按照下图所示的步骤, 在 Telnet 连接下, 启用交换机的 SSH 功能 图 1-6 启用 SSH 功能 密码认证 1. 打开软件, 登录 PuTTY 的主界面 在 Host Name 处填写交换机的 IP 地址 ; Port 保持默认的 22; Connection type 处选择 SSH 的接入方式 如下图所示 5
图 1-7 登录 PuTTY 主界面 2. 点击 <Open> 按键, 即可登录到交换机 操作方法与 telnet 相同, 输入登录用户名和登录密码, 即可继续进行配置操作 如下图所示 图 1-8 登录交换机 6
密钥认证 1. 选择密钥类型和密钥长度, 并生成 SSH 密钥 如下图所示 图 1-9 选择密钥类型和密钥长度 注意 : 密钥长度的范围为 512 至 3072 比特 生成密钥的过程中, 在软件的空白处快速的随意晃动鼠标, 产生随机数据, 可以加快密钥生成的速度 7
2. 密钥生成后, 将公钥和私钥文件保存在一个 TFTP 服务器中 如下图所示 网管交换机命令行手册 图 1-10 保存公钥和私钥 3. 使用 Telnet 登录服务器, 将保存至 TFTP 服务器上的公钥文件导入交换机中 图 1-11 导入公钥文件至交换机 注意 : 密钥类型要与密钥文件的类型保持一致 载入 SSH 密钥的过程不能被中断 8
4. 导入公钥文件后, 打开 PuTTY 的主界面, 输入 IP 地址 图 1-12 打开 PuTTY 的主界面 5. 将私钥文件导入至 SSH 客户端软件中 如下图所示 图 1-13 导入私钥文件至 SSH 客户端 6. 协商成功后, 输入用户名进行登录, 如果你不需要输入密码即可登陆成功, 表明密钥认证已经成功 如下图所示 9
图 1-14 登录交换机 1.2 命令行 CLI 按功能划分为五种, 即 : 用户 特权 全局配置 接口配置和 VLAN 配 置, 其中接口配置又分为以太网端口配置和汇聚端口配置等, 如下图 : 用户 特权 全局配置 接口配置 Interface fastethernet Interface gigabitethernet Interface range fastethernet Interface range gigabitethernet Interface vlan VLAN 配置 下表列出了各的访问方法 提示符以及如何离开各 : 访问方法提示符离开或访问下一 输入 exit 命令断开与交换 用户 与交换机建立连接即进入该 TL-SL3226P-Combo> 机连接 (Console 口接入时无法断开 ); 输入 enable 命令, 进入特 权 特权 在用户下, 使用 enable 命令进入该 TL-SL3226P-Combo# 输入 disable 命令或 exit 命令, 返回用户 ; 输入 configure 命令, 进入全局配置 输入 exit 命令或 end 命令, 或者键入 Ctrl+Z 组合键, 全局配置 在特权下, 使用 configure 命令进入该 TL-SL3226P-Combo(config)# 返回特权 ; 输入 interface type number 命令, 进入接口配置 ; 输入 vlan 命令, 进入 VLAN 配置 10
访问方法提示符离开或访问下一 接口配置 在全局配置下键入 interface fastethernet/ gigabitethernet port 或 interface range fastethernet/ TL-SL3226P-Combo(config-if)# 或 TL-SL3226P-Combo(config-ifrange)# 输入 end 命令, 或键入 Ctrl+Z 组合键, 返回特权 ; 输入 exit 命令, 返回全局配置 ; 在 interface 命令中必须 gigabitethernet portlist 命令进入该 指明要进入哪一个接口配置子 VLAN 配置 在全局配置下, 使用 vlan vlan-list 命令进入该 TL-SL3226P-Combo(configvlan)# 输入 end 命令, 或键入 Ctrl+Z 组合键返回特权 ; 输入 exit 命令, 返回全局 配置 说明 : 1. 通过 Console 口或 Telnet 方式与交换机建立连接后即进入用户 2. 各个都有各自的命令, 要进行相应的命令配置必须要先进入对应的 : 全局配置 : 提供全局配置的命令, 如 : 生成树, 队列调度等 ; 接口配置 : 分为多个接口, 每个接口都有各自相应的命令 : a) interface fastethernet/gigabitethernet: 配置一个以太网端口的, 如双工, 流控状态等 b) interface range fastethernet/gigabitethernet: 包含的命令跟 interface fastethernet/ gigabitethernet 基本一样, 配置多个以太网端口的 c) interface vlan: 配置 VLAN 接口 VLAN 配置 : 创建 VLAN, 增加端口到指定 VLAN 3. 有一些命令是全局的, 在所有命令下都可执行 : show: 显示交换机各种信息, 如 : 统计信息 端口信息 VLAN 信息等 history: 显示历史命令 1.3 命令行安全等级 交换机主要分两个安全等级 : 用户级和管理级 用户级只能在用户下进行简单的查询操作 ; 管理级能在特权 全局配置 接口配置 VLAN 配置下对交换机进行监控 配置 管理等操作 11
通过 Telnet 或 SSH 远程登录时, 输入正确的用户名和密码后将进入用户, 即获得用户级权限 不过当用户类型为受限用户时, 则不允许登录访问命令行 在用户下, 可通过输入命令 enable 进入特权 通过 Console 口进行本地连接时, 无需输入用户名和密码即可进入用户, 使用 enable 命令进入特权, 可以在全局配置下通过 enable password 命令设置管理级密码 无密码情况下键入 enable 命令直接进入特权, 有密码情况下输入管理级密码才能进入特权 进入特权即获得管理级权限 1.4 命令行格式约定基本格式约定 本文档中对 CLI 命令的叙述遵循以下约定 : 在中括号 [ ] 中的任何都是可选的 在大括号 { } 中的任何都是必需的 如果有多个选项, 则使用竖线 分隔每个选项 例如 :speed { 10 100 1000 } 关键词 ( 命令中保持不变, 必须照输的部分 ) 以粗体形式出现 例如 :show logging 常量 ( 枚举量, 只能选择其一 ) 以普通字体形式出现 例如 :switchport type { access trunk general } 变量 ( 命令中必须以实际值进行替代的部分 ) 以斜体形式出现 例如 :bridge aging-time aging-time 特殊字符 若变量为字符串形式, 输入时请注意 : < >, \ & 这六个字符是不允许输入的 若字符串中包含空格, 则字符串首尾需添加单引号 或双引号, 如 hello world hello world 此时单 / 双引号中的两个 ( 或多个 ) 单词会作为一个字符串输入 ; 如果不加单 / 双引号, 它们会被解析成两个 ( 或多个 ) 字符串 格式 变量中有些是有特定的输入格式的 : MAC 地址必须以 XX:XX:XX:XX:XX:XX 的格式输入 12
端口编号格式为 : 设备编号 / 插槽位 / 端口序号 交换机设备编号为 1, 插槽位取值为 0, 而端口序号为设备上该端口的编号, 具体请查看设备前面板 例如 : 端口编号 1/0/3 表示设备上编号为 3 的端口 输入一组端口号 (port-list) 或一组 VLAN ID(vlan-list) 时, 可以输入一个或多个值, 每个值之间用逗号隔开, 连续的一组值可以用连接符 - 表示 例如 :1/0/1,1/0/3-5,1/0/7 表示端口 1/0/1,1/0/3,1/0/4,1/0/5,1/0/7 13
第 2 章用户界面 2.1 enable 该命令用于从用户进入特权 命令 enable 用户设置了从用户进入特权的密码时 : TL-SL3226P-Combo>enable Enter password TL-SL3226P-Combo# 2.2 service password-encryption 该命令用于设置密码或写入配置文件时, 使用对称加密算法加密密码 加密密码可以防止配置文件中的密码被读取 它的 no 命令用于禁用全局密码加密功能 命令 service password-encryption no service password-encryption 全局配置开启全局密码加密功能 : TL-SL3226P-Combo(config)# service password-encryption 2.3 enable password 该命令用于设置从用户切换到特权的管理级密码, 它的 no 命令用于清空密码 通过此命令可以使用对称加密算法加密密码 命令 enable password { [ 0 ] password 7 encrypted-password } no enable password 14
0 一种加密类型, 表示接下来需要输入没有进行加密的密码,0 为默认加密类型 password 管理级密码, 由 1~31 个字符组成, 密码区分大小写, 允许输入数字 英文字母 下划线和十六种特殊字符 (!$%'()*,-./[]{ }) 默认为空 7 一种加密类型, 表示接下来需要输入进行过对称加密的密码, 此类型密码长度固定 encrypted-password 固定长度的进行过对称加密的密码, 可以从其他交换机的配 置文件中复制得到 配置了加密密码之后, 当要再次进入此时, 需要输入相应的未加密密码 全局配置 说明 如果在此配置的密码为未加密的密码, 但通过 service password-encryption 命令启用了全局密码加密功能, 那么交换机配置文件中的密码将会显示为对称加密格式 将用户切换到特权时的管理级密码设置为不加密密码 admin: TL-SL3226P-Combo(config)# enable password 0 admin 2.4 enable secret 该命令用于设置从用户切换到特权的管理级密码, 且此密码使用 MD5 加密算法加密, 它的 no 命令用于恢复默认配置 命令 enable secret { [ 0 ] password 5 encrypted-password } no enable secret 0 一种加密类型, 表示接下来需要输入没有进行加密的密码,0 为默认加密类型 password 管理级密码, 由 1~31 个字符组成, 密码区分大小写, 允许输入数字 英文字母 下划线和十六种特殊字符 (!$%'()*,-./[]{ }) 默认为空 此密码将在交换机配置文件中显示为 MD5 加密格式 5 一种加密类型, 表示接下来需要输入进行过 MD5 加密的密码, 此类型密码长度固定 encrypted-password 固定长度的进行过 MD5 加密的密码, 可以从其他交换机的配置文件中复制得到 配置了加密密码之后, 当要再次进入此时, 需要输入相应的未加密密码 15
全局配置 说明 当同时配置了 enable password 和 enable secret 命令时,enable secret 配置的密码生 效 将用户切换到特权时的管理级密码设置为不加密密码 admin, 且此密码将在交 换机配置文件中以 MD5 加密格式显示 : TL-SL3226P-Combo(config)# enable secret 0 admin 2.5 disable 该命令用于从特权返回到用户 命令 disable 特权从特权返回到用户 : TL-SL3226P-Combo# disable TL-SL3226P-Combo> 2.6 configure 该命令用于从特权进入全局配置 命令 configure 特权从特权进入全局配置 : TL-SL3226P-Combo# configure TL-SL3226P-Combo(config)# 16
2.7 exit 该命令用于退出当前配置返回上一层配置 命令 exit 所有配置从接口配置返回到全局, 再返回到特权 : TL-SL3226P-Combo (config-if)# exit TL-SL3226P-Combo (config)#exit TL-SL3226P-Combo# 2.8 end 该命令用于返回特权 命令 end 所有配置从接口配置直接返回到特权 : TL-SL3226P-Combo(config-if)#end TL-SL3226P-Combo# 2.9 show history 该命令用于显示系统启动后用户在当前下最近输入的 20 条命令 命令 show history 特权以及所有配置 17
显示用户之前在当前下输入的命令 : TL-SL3226P-Combo(config)#show history 1 show history 2.10 clear history 该命令用于清空系统启动后在当前下输入过的命令, 下一次使用 history 命令时将不会显示这些被清空的命令 命令 clear history 特权以及所有配置清空系统启动后在当前下输入过的命令 : TL-SL3226P-Combo(config)#clear history 18
第 3 章 IEEE 802.1Q VLAN 配置命令 网管交换机命令行手册 VLAN(Virtual Local Area Network, 虚拟局域网 ) 是一种在一个物理网络上划分多个逻辑网络的技术, 具有控制广播域范围, 增强网络安全性, 可以灵活创建虚拟工作组等优点 3.1 vlan 该命令用于进入 VLAN 配置并创建 IEEE 802.1Q VLAN, 它的 no 命令用于删除 IEEE 802.1Q VLAN 命令 vlan vlan-list no vlan vlan-list vlan-list VLAN ID List, 取值范围 2~4094 可是是其中的任意一个值或者一个数 值段 全局配置 创建 VLAN 2-10 以及 VLAN 100: TL-SL3226P-Combo(config)# vlan 2-10,100 删除 VLAN 2: TL-SL3226P-Combo(config)# no vlan 2 3.2 interface vlan 该命令用于创建 VLAN 接口并进入 VLAN 接口 它的 no 命令用于删除 VLAN 接口 命令 interface vlan vlan-id no interface vlan vlan-id vlan-id VLAN ID, 取值范围 1-4094 全局配置创建 VLAN 接口 2: 19
TL-SL3226P-Combo(config)# interface vlan 2 3.3 name 该命令用于配置 IEEE 802.1Q VLAN 描述字符, 它的 no 命令用于清空描述字符 命令 name descript no name descript VLAN 描述字符, 长度为 1-16 个字符 VLAN 配置 (vlan) 将 vid=2 的 VLAN 描述成 VLAN002 : TL-SL3226P-Combo(config)# vlan 2 TL-SL3226P-Combo(config-if)# name VLAN002 3.4 switchport mode 该命令用于配置以太网端口的链路类型 命令 switchport mode { access trunk general } access trunk general 以太网端口链路类型, 共支持三种类型 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 配置以太网端口 3 的链路类型为 general: TL-SL3226P-Combo(config)# interface fastethernet 1/0/3 TL-SL3226P-Combo(config-if)#switchport mode general 20
3.5 switchport access vlan 该命令用于把 access 类型的端口添加到 IEEE 802.1Q VLAN, 它的 no 命令用于把端口从 IEEE 802.1Q VLAN 中移除 命令 switchport access vlan vlan-id no switchport access vlan vlan-id VLAN ID, 取值范围 2-4094 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 配置以太网端口 3 链路类型为 access 并将其添加到 VLAN2 中 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/3 TL-SL3226P-Combo(config-if)# switchport mode access TL-SL3226P-Combo(config-if)# switchport access vlan 2 3.6 switchport trunk allowed vlan 该命令用于把 trunk 类型的端口添加到 IEEE 802.1Q VLAN, 它的 no 命令用于端口从 IEEE 802.1Q VLAN 中移除 命令 switchport trunk allowed vlan vlan-list no switchport trunk allowed vlan vlan-list vlan-list 指定 IEEE 802.1Q VLAN ID, 取值范围 2-4094, 可多选, 格式为 :2-3, 5 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 21
配置以太网端口 2 链路类型为 trunk 并将其添加到 VLAN2 中 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/2 TL-SL3226P-Combo(config-if)# switchport mode trunk TL-SL3226P-Combo(config-if)# switchport trunk allowed vlan 2 3.7 switchport general allowed vlan 该命令用于把 general 类型的端口添加到 IEEE 802.1Q VLAN, 并配置端口的出口规则 它的 no 命令用于把端口从 IEEE 802.1Q VLAN 中移除 命令 switchport general allowed vlan vlan-list { tagged untagged } no switchport general allowed vlan vlan-list vlan-list 指定 IEEE 802.1Q VLAN ID, 取值范围 2-4094, 可多选, 格式为 :2-3, 5 tagged untagged 出口规则,tagged 或者 untagged 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 配置以太网端口 4 链路类型为 general, 将其添加到 VLAN2 中, 并指定出口规则为 tagged: TL-SL3226P-Combo(config)# interface fastethernet 1/0/4 TL-SL3226P-Combo(config-if)# switchport mode general TL-SL3226P-Combo(config-if)# switchport general allowed vlan 2 tagged 3.8 switchport pvid 该命令用于设置交换机端口的 PVID 命令 switchport pvid vlan-id vlan-id VLAN ID, 取值范围 1-4094 22
接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 设置端口 3 的 PVID 为 1: TL-SL3226P-Combo(config)# interface fastethernet 1/0/3 TL-SL3226P-Combo(config-if)# switchport pvid 1 3.9 show vlan summary 该命令用于显示 IEEE 802.1Q VLAN 的统计信息 命令 show vlan summary 特权以及所有配置显示 IEEE 802.1Q VLAN 的统计信息 : TL-SL3226P-Combo(config)# show vlan summary 3.10 show vlan brief 该命令用于显示 IEEE 802.1Q VLAN 的概要信息 命令 show vlan brief 特权以及所有配置显示 IEEE 802.1Q VLAN 的概要信息 : TL-SL3226P-Combo(config)# show vlan brief 3.11 show vlan 该命令用于显示指定的 IEEE 802.1Q VLAN 的详细信息 命令 show vlan [ id vlan-list] 23
vlan-list VLAN ID, 取值范围为 1-4094, 可多选, 格式为 :2-3, 5 该缺省时, 显示所有 IEEE 802.1Q VLAN 的信息 特权以及所有配置 显示所有 VLAN 的详细信息 : TL-SL3226P-Combo(config)# show vlan 显示 vid=2 的 VLAN 的详细信息 : TL-SL3226P-Combo(config)# show vlan id 2 显示 vid=3-10 的 VLAN 的详细信息 TL-SL3226P-Combo(config)# show vlan id 3-10 3.12 show interface switchport 该命令用于显示以太网口的信息 命令 show interface switchport [ fastethernet port ] [ gigabitethernet port ] port 以太网端口号特权以及所有配置显示以太网口 1/0/3 的详细信息 : TL-SL3226P-Combo(config)# show interface switchport fastethernet 1/0/3 24
第 4 章语音 VLAN 配置命令 语音 VLAN 是为语音数据流而专门划分的 VLAN 通过划分 Voice VLAN 并将连接语音设备的端口加入 Voice VLAN, 可以为语音数据流配置 QoS, 提高语音数据流的传输优先级 保证通话质量 4.1 voice vlan 该命令用于开启 Voice VLAN 功能, 它的 no 命令用于禁用 Voice VLAN 功能 命令 voice vlan vlan-id no voice vlan vlan-id VLAN ID, 取值范围 2-4094 全局配置开启 vid=10 的 Voice VLAN 功能 : TL-SL3226P-Combo(config)# voice vlan 10 4.2 voice vlan aging time 该命令用于配置 Voice VLAN 老化时间, 它的 no 命令用于恢复默认老化时间, 默认值为 1440 命令 voice vlan aging time time no voice vlan aging time time 老化时间, 取值范围 1-43200 ( 分钟 ) 全局配置配置 Voice VLAN 老化时间为 2880 分钟 : TL-SL3226P-Combo(config)# voice vlan aging time 2880 4.3 voice vlan priority 该命令用于配置 Voice VLAN 优先级, 它的 no 命令用于恢复默认优先级, 默认值为 6 25
命令 voice vlan priority pri no voice vlan priority pri 优先级, 取值范围 0-7 全局配置 将 Voice VLAN 优先级配置为 3: TL-SL3226P-Combo(config)# voice vlan priority 3 4.4 voice vlan mac-address 该命令用于创建或删除 Voice VLAN OUI 它的 no 命令用于删除指定的 Voice VLAN OUI 命令 voice vlan mac-address mac-addr mask mask [description descript] no voice vlan mac-address mac-addr mac-addr OUI 设备 MAC 地址 格式为 XX:XX:XX:XX:XX:XX mask MAC 地址掩码 格式为 XX:XX:XX:XX:XX:XX descript OUI 描述,1-16 个字符 缺省情况下为空 全局配置创建 MAC 地址为 00:11:11:11:11:11, 掩码为 FF:FF:FF:00:00:00 的 Voice VLAN OUI, 将其描述为 TP- Phone: TL-SL3226P-Combo(config)# voice vlan mac-address 00:11:11:11:11:11 mask FF:FF:FF:00:00:00 description TP- Phone 4.5 switchport voice vlan mode 该命令用于配置以太网端口的 Voice VLAN 成员 命令 switchport voice vlan mode { manual auto } 26
manual auto 端口的成员 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 配置以太网端口 3 的 voice vlan 成员为 manual: TL-SL3226P-Combo(config)# interface fastethernet 1/0/3 TL-SL3226P-Combo(config-if)# switchport voice vlan mode manual 4.6 switchport voice vlan security 该命令用于配置以太网端口的 Voice VLAN 安全 命令 switchport voice vlan security no switchport voice vlan security 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 启用以太网端口 3 的 Voice VLAN 安全 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/3 TL-SL3226P-Combo(config-if)# switchport voice vlan security 4.7 show voice vlan 该命令用于显示 Voice VLAN 全局配置 命令 show voice vlan 特权和所有配置显示 Voice VLAN 全局配置信息 : TL-SL3226P-Combo(config)# show voice vlan 27
4.8 show voice vlan oui 该命令用于显示 Voice VLAN OUI 配置信息 命令 show voice vlan oui 特权和所有配置显示 Voice VLAN OUI 配置信息 : TL-SL3226P-Combo(config)# show voice vlan oui 4.9 show voice vlan switchport 该命令用于显示以太网端口的 Voice VLAN 配置信息 命令 show voice vlan switchport [ fastethernet port ] [ gigabitethernet port ] port 以太网端口 该缺省时, 显示所有端口的配置信息 特权和所有配置显示所有端口的配置信息 : TL-SL3226P-Combo(config)# show voice vlan switchport 显示端口 2 的配置信息 : TL-SL3226P-Combo(config)# show voice vlan switchport fastethernet 1/0/2 28
第 5 章 EtherChannel 配置命令 EtherChannel 配置命令用于配置 LAG 和 LACP 功能 LAG(Link Aggregation Group, 端口汇聚组 ) 是将交换机的多个物理端口汇聚成一个逻辑端口的功能, 可以增加带宽, 提高连接的可靠性 LACP(Link Aggregation Control Protocol, 链路汇聚控制协议 ) 是基于 IEEE 802.3ad 标准用来实现链路动态汇聚与解汇聚的协议 聚合的双方通过协议交互聚合信息, 将匹配的链路聚合在一起收发数据, 具有很高的灵活性并提供了负载均衡的能力 5.1 channel-group 该命令用于把端口添加到汇聚组, 并设置其 它的 no 命令用于将端口从汇聚组移除 命令 channel-group num mode { on active passive } no channel-group num 汇聚组组号, 取值范围 1-8, 最多可配置 8 个汇聚组 on 开启静态 LAG active 开启主动 LACP passive 开启被动 LACP 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 添加端口 2-4 到汇聚组 1, 并开启静态 LAG : TL-SL3226P-Combo(config)# interface range fastethernet 1/0/2-4 TL-SL3226P-Combo(config-if-range)# channel-group 1 mode on 5.2 port-channel load-balance 该命令用于选择汇聚组的负载均衡算法 它的 no 命令用于恢复默认值, 即 src-dst-mac 命令 port-channel load-balance { src-dst-mac src-dst-ip } no port-channel load-balance 29
src-dst-mac 源目的 MAC 地址 算法将基于源目的 MAC 地址实现负载均衡 src-dst-ip 源目的 IP 地址 算法将基于源目的 IP 地址实现负载均衡 全局配置 将 LAG 的负载均衡算法设置为 src-dst-mac: TL-SL3226P-Combo(config)# port-channel load-balance src-dst-mac 5.3 lacp system-priority 该命令用于配置全局的系统优先级, 它的 no 命令用于恢复默认值 命令 lacp system-priority pri no lacp system-priority pri 系统优先级, 取值范围 0-65535 默认值为 32768 全局配置配置 LACP 的系统优先级为 1024: TL-SL3226P-Combo(config)# lacp system-priority 1024 5.4 lacp port-priority 该命令用于配置 LACP 端口优先级, 它的 no 命令用于恢复默认值 命令 lacp port-priority pri no lacp port-priority pri 端口优先级, 取值范围 0-65535 默认值为 32768 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 将端口 1-3 的端口优先级设置为 1024: 30
TL-SL3226P-Combo(config)# interface range fastethernet 1/0/1-3 TL-SL3226P-Combo(config-if-range)# lacp port-priority 1024 将端口 4 的端口优先级设置为 2048: TL-SL3226P-Combo(config)# interface range fastethernet 1/0/4 TL-SL3226P-Combo(config-if)# lacp port-priority 2048 5.5 show etherchannel 该命令用于显示汇聚组信息 命令 show etherchannel [ channel-group-num ] { detail summary } channel-group-num 汇聚组组号, 取值范围 1-8 该缺省时, 显示所有组的信息 detail 详述信息 summary 概述信息 特权和所有配置显示汇聚组 1 的详述信息 : TL-SL3226P-Combo (config)# show etherchannel 1 detail 5.6 show etherchannel load-balance 该命令用于显示负载均衡算法 命令 show etherchannel load-balance 特权和所有配置显示负载均衡算法 : TL-SL3226P-Combo (config)# show etherchannel load-balance 5.7 show lacp 该命令用于显示特定汇聚组的 LACP 信息 31
命令 show lacp [ channel-group-num ] { internal neighbor } channel-group-num 组号, 取值范围 1-8 该缺省时, 显示所有 LACP 类型组的信息 internal 本端 LACP 信息 neighbor 对端 LACP 信息 特权和所有配置 显示汇聚组 1 的本端 LACP 信息 : TL-SL3226P-Combo (config)# show lacp 1 internal 5.8 show lacp sys-id 该命令用于显示 LACP 系统优先级 命令 show lacp sys-id 特权和所有配置显示 LACP 系统优先级 : TL-SL3226P-Combo (config)# show lacp sys-id 32
第 6 章用户管理配置命令 用户配置用来管理通过 Web CLI 或 SSH 方式登录交换机的用户信息, 以达到保护交换机配置的目的 6.1 user name (password) 该命令用于添加一个新用户账户或修改已存在的用户账户的信息, 它的 no 命令用于删除已存在的账户 通过此命令可以使用对称加密算法加密用户登录密码 命令 user name name [ privilege admin guest ] password { [ 0 ] password 7 encryptedpassword } no user name name name 用户名,1-16 个字符, 只能由数字 英文字母和下划线组成 admin guest 用户类型,admin: 管理员, 可以编辑 修改和查看所有不同功能的配置 ;guest: 受限用户, 仅能查看功能配置, 无权编辑和修改 添加用户时, 默认用户类型为 admin 0 一种加密类型, 表示接下来需要输入没有进行加密的密码,0 为默认加密类型 password 用户登录密码, 由 1~31 个字符组成, 密码区分大小写, 允许输入数字 英文字母 下划线和十六种特殊字符 (!$%'()*,-./[]{ }) 7 一种加密类型, 表示接下来需要输入进行过对称加密的密码, 此类型密码长度固定 encrypted-password 固定长度的经过对称加密的密码, 可以从其他交换机的配置 文件中复制得到 配置了加密密码之后, 当再次进入用户时, 需要输入对应的未经加密的密码 全局配置 说明 1. 如果在此配置的密码为未加密的密码, 但通过 service password-encryption 命令启用了全局密码加密功能, 那么交换机配置文件中的密码将会显示为对称加密格式 2. 如果改变通过 Telnet 或 Console 口连接登录上交换机的当前用户的密码, 那么交换机将断开当前连接, 并且, 用户再次登录交换机时, 需要输入新设置的密码 添加并启用一个用户名为 tplink, 密码为不加密的 admin 的管理员账户 : TL-SL3226P-Combo(config)#user name tplink privilege admin password 0 admin 33
6.2 user name (secret) 该命令用于添加一个新用户账户或修改已存在的用户账户的信息, 它的 no 命令用于删除已存在的账户 通过此命令可以使用 MD5 加密算法加密用户登录密码 命令 user name name [ privilege admin guest ] secret { [ 0 ] password 5 encryptedpassword } no user name name name 用户名,1-16 个字符, 只能由数字 英文字母和下划线组成 admin guest 用户类型,admin: 管理员, 可以编辑 修改和查看所有不同功能的配置 ;guest: 受限用户, 仅能查看功能配置, 无权编辑和修改 添加用户时, 默认用户类型为 admin 0 一种加密类型, 表示接下来需要输入没有进行加密的密码,0 为默认加密类型 password 用户登录密码, 由 1~31 个字符组成, 密码区分大小写, 允许输入数字 英文字母 下划线和十六种特殊字符 (!$%'()*,-./[]{ }) 此密码将在交换机配置文件中显示为 MD5 加密格式 5 一种加密类型, 表示接下来需要输入进行过 MD5 加密的密码, 此类型密码长度固定 encrypted-password 固定长度的经过对称加密的密码, 可以从其他交换机的配置 文件中复制得到 配置了加密密码之后, 当再次进入用户时, 需要输入对应的未经加密的密码 全局配置 说明 1. 当同时配置了 user name (password) 和 user name (secret) 命令时, 只有最后配置的密码生效 2. 如果改变通过 Telnet 或 Console 口连接登录上交换机的当前用户的密码, 那么交换机将断开当前连接, 并且, 用户再次登录交换机时, 需要输入新设置的密码 添加并启用一个管理员帐户, 用户名为 tplink, 密码为不加密的 admin, 此密码在交换机配置文件中以 MD5 加密格式显示 : TL-SL3226P-Combo(config)#user name tplink privilege admin secret 0 admin 34
6.3 user access-control ip-based 该命令用于启用基于 IP 地址的身份限制, 只有处于所设 IP 网段的设备才可以访问本交换机 它的 no 命令用于取消用户身份限制 命令 user access-control ip-based { ip-addr ip-mask } [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] no user access-control ip-addr / ip-mask 源 IP 地址和 IP 掩码 只有处于所设 IP 网段的设备才可以访问本交换机 [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] 指定访问接口 默认情况下启 用这些接口 全局配置 启用 IP 地址为 192.168.0.148 的身份限制 : TL-SL3226P-Combo(config)# user access-control ip-based 192.168.0.148 255.255.255.255 6.4 user access-control mac-based 该命令用于启用基于 MAC 地址的身份限制, 只允许所设的 MAC 地址通过 Web 访问交换机 命令 user access-control mac-based { mac-addr } [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] no user access-control mac-addr 源 MAC 地址 只有拥有该 MAC 地址的设备才可以访问本交换机 [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] 指定访问接口 默认情况下启 用这些接口 全局配置 启用 MAC 地址为 00:00:13:0A:00:01 的身份限制 : 35
TL-SL3226P-Combo(config)# user access-control mac-based 00:00:13:0A:00:01 6.5 user access-control port-based 该命令用于启用基于端口的身份限制, 只允许连接在所设的端口上的主机通过 WEB 访问交换机 命令 user access-control port-based interface { fastethernet port gigabitethernet port range fastethernet port-list range gigabitethernet port-list } [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] no user access-control port 以太网端口号 port-list 以太网端口列表, 最多可指定 5 个端口 [ snmp ] [ telnet ] [ ssh ] [ http ] [ https ] [ ping ] [ all ] 指定访问接口 默认情况下启 用这些接口 全局配置 启用 2-6 五个端口的身份限制 : TL-SL3226P-Combo(config)# user access-control port-based interface range fastethernet 1/0/2-6 6.6 telnet 该命令用于 Telnet 登录功能的开启和关闭,telnet enable 表示开启功能,telnet disable 表示关闭功能 默认状态为 enable 命令 telnet enable telnet disable 全局配置关闭 Telnet 功能 : TL-SL3226P-Combo(config)# telnet disable 36
6.7 show telnet-status 该命令用于显示 Telnet 功能配置信息 命令 show telnet-status 特权和所有配置显示 Telnet 功能是否启用 : TL-SL3226P-Combo(config)# show telnet-status 6.8 show user account-list 该命令用于显示当前用户账户列表 命令 show user account-list 特权和所有配置显示当前用户账户列表 : TL-SL3226P-Combo(config)# show user account-list 6.9 show user configuration 该命令用于显示用户安全配置, 包括身份限制, 登录数限制, 超时配置等 命令 show user configuration 特权和所有配置显示用户安全配置 : TL-SL3226P-Combo(config)# show user configuration 37
第 7 章 HTTP 和 HTTPS 配置命令 在 HTTP(HyperText Transfer Protocol, 超文本传输协议 ) 或者 HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer, 基于安全套接层的超文本传输协议 ) 帮助下, 可以通过一个标准的浏览器管理交换机 HTTP 是用于交换和发送超文本内容的协议 SSL(Secure Sockets Layer, 安全套接层 ) 是一个安全协议, 它为基于 TCP 的应用层协议 ( 如 HTTP) 提供安全连接 SSL 采用非对称加密技术, 用密钥对进行信息的加密 / 解密, 密钥对由一个公钥 ( 包含在证书中 ) 和一个私钥构成 初始时交换机里已有默认的证书 ( 自签名证书 ) 和对应私钥, 用户也可以通过证书 / 密钥导入功能替换默认的密钥对 7.1 ip http server 该命令用于全局开启 HTTP 服务器功能, 它的 no 命令用于禁用该功能 默认情况下启用此功能 HTTP 和 HTTPS 服务器不能同时禁用 命令 ip http server no ip http server 全局配置 关闭 HTTP 功能 : TL-SL3226P-Combo(config)# no ip http server 7.2 ip http max-users 该命令用于配置允许连接到 HTTP 服务器的最大用户数, 它的 no 命令用于取消限制 命令 ip http max-users admin-num guest-num no ip http max-users admin-num 以管理员身份登录到 HTTP 服务器的最大数量, 范围从 1 到 16 管理员和访客的总数应该少于 16 guest-num 在访客身份登录到 HTTP 服务器的最大数量, 范围从 0 到 15 管理员和访客的总数应小于 16 全局配置 38
配置管理员和访客登录到 HTTP 服务器的最大数量为 5 和 3: TL-SL3226P-Combo(config)# ip http max-users 5 3 7.3 ip http session timeout 该命令用于配置 HTTP 服务器的连接超时时间 它的 no 命令可以恢复出厂默认的超时时间, 默认的超时时间为 10 分钟 命令 ip http session timeout minutes no ip http session timeout minutes 超时时间, 范围从 5 到 30 分钟 默认情况下, 该值为 10 全局配置配置 HTTP 连接超时时间为 15 分钟 : TL-SL3226P-Combo(config)# ip http session timeout 15 7.4 ip http secure-server 该命令用于全局开启 SSL 功能, 它的 no 命令用于禁用该功能 默认情况下启用此功能 HTTP 和 HTTPS 服务器不能同时禁用 命令 ip http secure-server no ip http secure-server 全局配置全局关闭 SSL 功能 : TL-SL3226P-Combo(config)# no ip http secure-server 7.5 ip http secure-protocol 该命令用于配置 SSL 协议版本, 它的 no 命令用于恢复默认 SSL 版本 默认情况下, 交换机支持 SSLv3 和 TLSv1 39
命令 ip http secure-protocol { [ ssl3 ] [ tls1 ] } no ip http secure-protocol ssl3 SSL 3.0 协议 tls1 TLS 1.0 协议 全局配置 配置 SSL 连接使用的协议为 SSL 3.0: TL-SL3226P-Combo(config)# ip http secure-protocol ssl3 7.6 ip http secure-ciphersuite 该命令用于配置交换机支持的 SSL 连接的密码套件, 它的 no 命令用于恢复默认密码套件 命令 ip http secure-ciphersuite { [ 3des-ede-cbc-sha ] [ rc4-128-md5 ] [ rc4-128-sha ] [ descbc-sha ] } no ip http secure-ciphersuite [ 3des-ede-cbc-sha ] [ rc4-128-md5 ] [ rc4-128-sha ] [ des-cbc-sha ] 指定 SSL 连 接使用的加密算法和摘要算法 默认情况下, 交换机支持所有这些密码套件 全局配置 配置 SSL 连接使用的密码套件为 3des-ede-cbc-sha: TL-SL3226P-Combo(config)# ip http secure-ciphersuite 3des-ede-cbc-sha 7.7 ip http secure-max-users 该命令用于配置允许登录 HTTPS 服务器的最大用户数, 它的 no 命令用于取消限制 命令 ip http secure-max-users admin-num guest-num no ip http secure-max-users 40
admin-num 以管理员身份登录到 HTTPS 服务器的最大数量, 范围从 1 到 16 管理 员和访客的总数应该不超过 16 guest-num 在访客身份登录到 HTTPS 服务器的最大数量, 范围从 0 到 15 管理员和访客的总数应不超过 16 全局配置配置管理员和访客登录到 HTTPS 服务器的最大数量为 5 和 3: TL-SL3226P-Combo(config)# ip secure-max-users 5 3 7.8 ip http secure-session timeout 该命令用于配置 HTTPS 服务器的连接超时时间 它的 no 命令可以恢复出厂默认的超时时间, 默认的超时时间为 10 分钟 命令 ip http secure-session timeout minutes no ip http secure-session timeout minutes 超时时间, 范围从 5 到 30 分钟 默认情况下, 该值为 10 全局配置 配置 HTTPS 连接超时时间为 15 分钟 : TL-SL3226P-Combo(config)# ip http secure-session timeout 15 7.9 ip http secure-server download certificate 该命令用于通过 TFTP 方式导入 SSL 证书 命令 ip http secure-server download certificate ssl-cert ip-address ip-addr ssl-cert 选择要导入的 SSL 证书名称, 可输入 1~25 个字符 证书必须为 BASE64 编码格式 ip-addr TFTP 服务器的 IP 地址 支持 IPv4 地址 例如 IPv4 地址 192.168.0.10 41
全局配置 通过 IP 地址为 192.168.0.148 的 TFTP 服务器导入名为 ssl.cert 的 SSL 证书 : TL-SL3226P-Combo(config)# ip http secure-server download certificate ssl.cert ip-address 192.168.0.148 7.10 ip http secure-server download key 该命令用于通过 TFTP 方式导入 SSL 密钥 命令 ip http secure-server download key ssl-key ip-address ip-addr ssl-key 选择要导入的 SSL 密钥文件名称, 可输入 1~25 个字符 密钥必须为 BASE64 编码格式 ip-addr TFTP 服务器的 IP 地址 支持 IPv4 地址 例如 IPv4 地址 192.168.0.10 全局配置通过 IP 地址为 192.168.0.148 的 TFTP 服务器导入名为 ssl.key 的 SSL 密钥 : TL-SL3226P-Combo(config)# ip http secure-server download key ssl.key ipaddress 192.168.0.148 7.11 show ip http configuration 该命令是用来显示的 HTTP 服务器的配置信息, 包括状态 会话超时时间 访问控制 最大用户数和空闲超时时间等 命令 show ip http configuration 特权和所有配置显示 HTTP 服务器的配置信息 : TL-SL3226P-Combo(config)# show ip http configuration 42
7.12 show ip http secure-server 该命令用于显示 SSL 的全局配置信息 命令 show ip http secure-server 特权和所有配置显示 SSL 全局配置信息 : TL-SL3226P-Combo(config)# show ip http secure-server 43
第 8 章绑定列表配置命令 四元绑定功能可以将局域网中计算机的 IP 地址 MAC 地址 VLAN 和端口进行绑定,ARP 防护功能将使用四元绑定条目对数据包进行过滤 8.1 ip source binding 该命令用于手动添加 IP-MAC-VID-PORT 四元绑定条目 如果已经掌握了局域网中计算机用户的相关信息, 包括 IP 地址 MAC 地址 VLAN 以及连接端口等, 可以手动四元绑定 命令 ip source binding hostname ip-addr mac-addr vlan vid interface { fastethernet port gigabitethernet port } { none arp-detection ip-verify-source both } [ forced-source { arp-scanning dhcp-snooping } ] no ip source binding index idx hostname 需要绑定的主机名,1-20 个字符 ip-addr 源 IP 地址 mac-addr 源 MAC 地址 vid 需要绑定的 VLAN, 取值范围 1-4094 port 需要绑定的交换机端口号 none arp-detection ip-verify-source both 该条目执行的 ACL 动作,arp-detection 表示 ARP 防护 ;ip-verify-source 表示 IP 源防护 ;both 表示两种防护均生效 ; none 表示不应用防护 arp-scanning dhcp-snooping 可选 forced-source 用于强制将新添加条目的来源从 manual 修改为 arp-scanning 或者 dhcp-snooping, 以模拟 arp-scan 或 dhcpsnooping 添加绑定条目, 使非手动绑定条目可以保存配置 idx 指定要删除的条目序号 可使用命令 show ip source binding 获取各条目对应 的序号 注意, 这里的序号是指该条目在绑定表中的序号, 故显示时不一定是按习惯上的从小到大递增的顺序, 而是显示该条目在绑定表中的实际序号 全局配置 44
手动添加一条四元绑定条目, 主机名为 host1,ip 地址为 192.168.0.1,MAC 地址为 00:00:00:00:00:01,VID 为 2, 端口号为 5, 并将该条目同时应用于 ARP 防护 : TL-SL3226P-Combo(config)# ip source binding host1 192.168.0.1 00:00:00:00:00:01 vlan 2 interface fastethernet 1/0/5 arp-detection 删除绑定表中序号为 5 的 IP-MAC VID-PORT 条目 : TL-SL3226P-Combo(config)# no ip source binding index 5 8.2 ip source binding index 该命令用于修改已有 IP-MAC-VID-PORT 四元绑定条目 命令 ip source binding index idx {hostname hostname mac mac-addr vlan vlan-id interface { fastethernet port gigabitethernet port } none arp-detection ip-verifysource both } idx 指定要修改的条目序号 可使用命令 show ip source binding 获取各条目对应的序号 注意, 这里的序号是指该条目在绑定表中的序号, 故显示时不一定是按习惯上的从小到大递增的顺序, 而是显示该条目在绑定表中的实际序号 hostname 需要修改的主机名,1-20 个字符 mac-addr 源 MAC 地址 vlan-id 需要修改的 VLAN, 取值范围 1-4094 port 需要修改的交换机端口号 none arp-detection ip-verify-source both 该条目执行的 ACL 动作,arp-detection 表示 ARP 防护 ;ip-verify-source 表示 IP 源防护 ;both 表示两种防护均生效 ; none 表示不应用防护 全局配置 修改条目序号为 1, 主机名为 tp-link 的四元绑定条目 : TL-SL3226P-Combo(config)#ip source binding index 1 hostname tp-link 45
8.3 ip dhcp snooping 该命令用于全局开启 DHCP 侦听功能, 它的 no 命令用于禁用 DHCP Snooping 通过 DHCP 侦听功能, 交换机可以侦听用户动态申请 IP 地址的过程, 并记录局域网中计算机的 IP 地址 MAC 地址 VLAN 以及连接端口等信息, 自动进行四元绑定 命令 ip dhcp snooping no ip dhcp snooping 全局配置全局开启 DHCP Snooping: TL-SL3226P-Combo(config)# ip dhcp snooping 8.4 ip dhcp snooping global 该命令用于 DHCP Snooping 全局配置, 它的 no 命令用于恢复默认配置 命令 ip dhcp snooping global { [global-rate global-rate] [dec-threshold dec-threshold] [dec-rate dec-rate] } no ip dhcp snooping global global-rate 全局流量控制, 配置交换机每秒允许转发的 DHCP 消息的数目, 超出的部分将被丢弃, 可选项为 0 10 20 30 40 50, 单位 pps(packet/second) 默认值为 0, 表示禁用 dec-threshold Decline 保护阀值, 配置触发特定端口 Decline 保护所需的 Decline 报文最小流量, 可选项为 0 5 10 15 20 25 30, 单位 pps(packet/ second) 默认值为 0, 表示禁用 dec-rate Decline 保护流量限制, 如果端口 Decline 消息流量超出阈值, 则将相应端 口的端口流量限制设置为该值, 可选项为 5 10 15 20 25 30, 单位 pps(packet/second) 默认值为 5 全局配置 46
配置 DHCP Snooping 全局流量控制为 30 pps,decline 保护阀值为 20 pps,decline 保护流量阀值为 20 pps: TL-SL3226P-Combo(config)# ip dhcp snooping global global-rate 30 decthreshold 20 dec-rate 20 8.5 ip dhcp snooping information option 该命令用于开启 DHCP Snooping 的 Option 82 功能, 它的 no 命令用于关闭 Option 82 功能 命令 ip dhcp snooping information option no ip dhcp snooping information option 全局配置开启 DHCP Snooping 的 Option 82 功能 : TL-SL3226P-Combo(config)# ip dhcp snooping information option 8.6 ip dhcp snooping information strategy 该命令用于选择对接收到的包含 Option 82 选项请求报文的配置处理策略, 它的 no 命令用于恢复默认选项 命令 ip dhcp snooping information strategy { keep replace drop } no ip dhcp snooping information strategy keep 保持该报文中的 Option 82 选项不变并进行转发 默认选项 replace 按照配置的填充内容填充 Option 82 选项, 并替换报文中原有的 Option 82 选项进行转发 drop 丢弃该报文 全局配置将接收到的请求报文的 Option 82 选项替换为用户自定义的选项内容, 并进行转发 : TL-SL3226P-Combo(config)# ip dhcp snooping information strategy replace 47
8.7 ip dhcp snooping information remote-id 该命令用于配置 Option 82 的 Remote ID 子选项内容 no 命令用于恢复默认值 命令 ip dhcp snooping information remote-id string no ip dhcp snooping information remote-id string 用户自定义配置的 Remote ID 子选项内容 长度为 1-32 个字符 全局配置配置 Option 82 的 Remote ID 子选项为 tplink: TL-SL3226P-Combo(config)# ip dhcp snooping information remote-id tplink 8.8 ip dhcp snooping information circuit-id 该命令用于配置 Option 82 的 Circuit ID 子选项内容 no 命令用于恢复默认值 命令 ip dhcp snooping information circuit-id string no ip dhcp snooping information circuit-id string 用户自定义配置的 Circuit ID 子选项内容 长度为 1-32 个字符 全局配置配置 Option 82 的 Circuit ID 子选项为 tplink: TL-SL3226P-Combo(config)# ip dhcp snooping information circuit-id tplink 8.9 ip dhcp snooping trust 该命令用于配置端口为授信端口, 只有授信端口才能接收来自 DHCP 服务器端的消息, 它的 no 命令用于取消授信端口配置 命令 ip dhcp snooping trust no ip dhcp snooping trust 48
接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 启用交换机端口 2 为授信端口 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/2 TL-SL3226P-Combo(config-if)# ip dhcp snooping trust 8.10 ip dhcp snooping mac-verify 该命令用于启用端口的 MAC 验证功能, 它的 no 命令用于禁用 MAC 验证 DHCP 消息中有两个字段存储着客户端的 MAC 地址,MAC 验证功能会对这两个字段进行比较, 如果不同, 则将消息丢弃 命令 ip dhcp snooping mac-verify no ip dhcp snooping mac-verify 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 启用端口 2 的 MAC 验证功能 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/2 TL-SL3226P-Combo(config-if)# ip dhcp snooping mac-verify 8.11 ip dhcp snooping limit rate 该命令用于配置端口的流量控制, 超出流量部分的 DHCP 数据包将被丢弃, 它的 no 命令用于恢复默认配置 命令 ip dhcp snooping limit rate value no ip dhcp snooping limit rate value 端口流量控制, 可选项为 0 5 10 15 20 25 30, 单位 pps(packet per second) 默认值为 0, 表示禁用 49
接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 将端口 2 的流量控制设为 20pps: TL-SL3226P-Combo(config)# interface fastethernet 1/0/2 TL-SL3226P-Combo(config-if)# ip dhcp snooping limit rate 20 8.12 ip dhcp snooping decline 该命令用于启用端口的 decline 侦听功能, 它的 no 命令用于禁用 decline 侦听 命令 ip dhcp snooping decline no ip dhcp snooping decline 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 启用端口 2 的 decline 侦听功能 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/2 TL-SL3226P-Combo(config-if)# ip dhcp snooping decline 8.13 show ip source binding 该命令用于显示 IP-MAC-VID-PORT 四元绑定表 命令 show ip source binding 特权和所有配置显示 IP-MAC-VID-PORT 四元绑定表 : TL-SL3226P-Combo(config)# show ip source binding 50
8.14 show ip dhcp snooping 该命令用于显示 DHCP Snooping 当前状态信息 命令 show ip dhcp snooping 特权和所有配置显示 DHCP Snooping 当前状态信息 : TL-SL3226P-Combo(config)# show ip dhcp snooping 8.15 show ip dhcp snooping information 该命令用于显示 DHCP Snooping 的 Option 82 选项配置 命令 show ip dhcp snooping information 特权和所有配置显示 DHCP Snooping 的 Option 82 选项配置 : TL-SL3226P-Combo# show ip dhcp snooping information 8.16 show ip dhcp snooping interface 该命令用于显示 DHCP Snooping 端口配置信息 命令 show ip dhcp snooping interface [ fastethernet port ] [ gigabitethernet port ] port 交换机端口号, 缺省时显示所有端口的配置信息 特权和所有配置显示所有端口的 DHCP Snooping 配置信息 : TL-SL3226P-Combo# show ip dhcp snooping interface 51
第 9 章 ARP 防护配置命令 防 ARP 欺骗功能可以针对局域网中常见的网关欺骗和中间人攻击等 ARP 欺骗进行防护, 有效抑制局域网中的 ARP 欺骗 9.1 ip arp inspection(global) 该命令用于全局开启 ARP 防护, 它的 no 命令用于禁用 ARP 防护功能 命令 ip arp inspection no ip arp inspection 全局配置全局开启 ARP 防护 : TL-SL3226P-Combo(config)# ip arp inspection 9.2 ip arp inspection (interface) 该命令用于开启端口的 ARP 防护功能, 它的 no 命令用于禁用 ARP 防护功能 命令 ip arp inspection no ip arp inspection 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 开启端口 2-6 的 ARP 防护功能 : TL-SL3226P-Combo(config)# interface range fastethernet 1/0/2-6 TL-SL3226P-Combo(config-if-range)# ip arp inspection 9.3 ip arp inspection trust 该命令用于配置 ARP 防护的信任端口, 它的 no 命令用于清空信任端口列表 上联端口 路由端口以及 LAG 端口等特殊端口均应配置为信任端口 在启用防 ARP 欺骗功能之前, 应先配置 ARP 信任端口, 以免影响正常通信 52
命令 ip arp inspection trust no ip arp inspection trust 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 配置端口 2 为 ARP 防护的信任端口 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/2 TL-SL3226P-Combo(config-if)# ip arp inspection trust 9.4 ip arp inspection limit-rate 该命令用于配置端口的 ARP 超速速率, 它的 no 命令用于恢复默认超速速率 命令 ip arp inspection limit-rate value no ip arp inspection limit-rate value 超速速率值, 取值范围 10-100, 单位 pps(packet/second) 默认值为 15 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 将端口 5 的 ARP 超速速率设置为 50pps: TL-SL3226P-Combo(config)# interface fastethernet 1/0/5 TL-SL3226P-Combo(config-if)# ip arp inspection limit-rate 50 9.5 ip arp inspection recover 该命令用于将处于 ARP 过滤状态的端口恢复为 ARP 转发状态 命令 ip arp inspection recover 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 53
将端口 5 恢复为 ARP 转发状态 : TL-SL3226P-Combo(config)# interface fastethernet 1/0/5 TL-SL3226P-Combo(config-if)# ip arp inspection recover 9.6 show ip arp inspection 该命令用于显示 ARP 防护全局配置, 包括启用状态和信任端口列表 命令 show ip arp inspection 特权和所有配置显示 ARP 防护全局配置 : TL-SL3226P-Combo(config)# show ip arp inspection 9.7 show ip arp inspection interface 该命令用于显示 ARP 防护端口配置信息 命令 show ip arp inspection interface [ fastethernet port ] [ gigabitethernet port ] port 交换机端口号, 缺省时显示所有端口的配置信息 特权和所有配置显示所有端口的 ARP 防护配置信息 : TL-SL3226P-Combo(config)# show ip arp inspection interface 显示端口 2 的配置 : TL-SL3226P-Combo(config)# show ip arp inspection interface fastethernet 1/0/2 9.8 show ip arp inspection statistics 该命令用于显示 ARP 非法报文统计 命令 54
show ip arp inspection statistics 特权和所有配置 显示 ARP 非法报文统计 : TL-SL3226P-Combo(config)# show ip arp inspection statistics 9.9 clear ip arp inspection statistics 该命令用于对 ARP 非法报文统计进行清零 命令 clear ip arp inspection statistics 特权和所有配置对 ARP 非法报文统计进行清零 : TL-SL3226P-Combo(config)# clear ip arp inspection statistics 55
第 10 章 IP 源防护命令 IP 源防护基于 IP-MAC 绑定条目过滤 IP 数据包, 只有满足 IP-MAC 绑定规则的数据报文才能被处理, 从而可以提高带宽利用率 10.1 ip verify source 该命令用于配置特定端口的 IP 源防护 它的 no 命令用于禁用此功能 命令 ip verify source { sip sip+mac } no ip verify source sip 只处理源 IP 地址和端口符合四元绑定信息的数据包 sip+mac 只处理源 IP 地址 源 MAC 地址和端口均符合四元绑定信息的数据包 接口配置 (interface fastethernet / interface range fastethernet / interface gigabitethernet / interface range gigabitethernet) 启用端口 5-10 的 IP 源防护功能的 配置防护为仅处理源 IP 地址, 源 MAC 地址和端口号匹配 IP-MAC 绑定规则的数据包 : TL-SL3226P-Combo(config)#interface range fastethernet 1/0/5-10 TL-SL3226P-Combo(config-if-range)#ip verify source sip+mac 10.2 show ip verify source 该命令用以显示 IP 源防护配置信息. 命令 show ip verify source 特权和所有配置显示 IP 源防护配置信息 : TL-SL3226P-Combo(config)#show ip verify source 56
第 11 章 DoS 防护命令 DoS 攻击是指网络中攻击者或者恶意程序向目标主机发送大量的服务请求, 恶意消耗网络资源 启用 DoS 防护功能后, 交换机对收到的特殊数据包的特定字段进行解析, 并针对这些信息定义防护措施, 从而保护局域网的正常运行 11.1 ip dos-prevent 该命令用于全局启用 DoS 防护功能, 它的 no 命令用于禁用 DoS 防护功能 命令 ip dos-prevent no ip dos-prevent 全局配置全局启用 DoS 防护功能 : TL-SL3226P-Combo(config)# ip dos-prevent 11.2 ip dos-prevent type 该命令用于选择启用 DoS 攻击防护类型, 它的 no 命令用于禁用相应的防护类型 命令 ip dos-prevent type { land scan-synfin xma-scan null-scan port-less-1024 blat ping-flood syn-flood } no ip dos-prevent type { land scan-synfin xma-scan null-scan port-less-1024 blat ping-flood syn-flood } land Land 攻击 scan-synfin Scan SYNFIN 攻击 xma-scan Xma Scan 攻击 null-scan NULL Scan 攻击 port-less-1024 源端口小于 1024 的 SYN 报文 blat Blat 攻击 ping-flood Ping flooding 攻击 syn-flood SYN/SYN-ACK flooding 攻击 57
全局配置 启用 Land 攻击防护功能 : TL-SL3226P-Combo(config)# ip dos-prevent type land 11.3 show ip dos-prevent 该命令用于显示 DoS 攻击防护全局配置信息, 包括启用状态 攻击防护类型 攻击次数统计等 命令 show ip dos-prevent 特权和所有配置显示 DoS 攻击防护全局配置信息 : TL-SL3226P-Combo(config)# show ip dos-prevent 58
第 12 章 IEEE 802.1X 配置命令 IEEE 802.1X 能为局域网计算机提供认证功能, 并根据认证结果对受控端口的授权状态进行控制, 主要用于解决以太网内认证和安全方面的问题 12.1 dot1x system-auth-control 该命令用于全局开启 IEEE 802.1X 功能, 它的 no 命令用于禁用 IEEE 802.1X 功能 命令 dot1x system-auth-control no dot1x system-auth-control 全局配置开启 IEEE 802.1X 功能 : TL-SL3226P-Combo(config)# dot1x system-auth-control 12.2 dot1x auth-method 该命令用于配置 IEEE 802.1X 的认证方法, 它的 no 命令用于恢复默认配置 命令 dot1x auth-method { pap eap-md5 } no dot1x auth-method pap eap-md5 认证方法 选择 pap 时, 用户端与交换机之间运行 EAP 协议, 交换机将 EAP 消息转换为其它认证协议 ( 如 RADIUS), 传递用户认证信息给认证服务器系统 选择 eap-md5 时, 交换机与认证服务器之间运行 EAP 协议,EAP 帧中继封装认证数据, 将该协议承载在其它高层次协议中 ( 如 RADIUS), 以便穿越复杂的网络到达认证服务器 默认选项为 eap-md5 全局配置 设置 IEEE 802.1X 认证方法为 pap: TL-SL3226P-Combo(config)# dot1x auth-method pap 59