目录
ensp 常用命令归纳
交换机
Vlan
- 创建
- 批量
1
| vlan batch 10 20 11 to 13
|
- 配IP
1
2
3
| interface Vlanif 10 # 进入VLAN 10的三层接口视图
ip address 192.168.10.1 24 # 配置IP和子网掩码(24表示255.255.255.0)
quit
|
- 接口类型配置
1
2
3
4
5
6
7
8
9
10
| #access接口
port-group 1 # 创建端口组1
group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/24 # 添加接口1-24到组
port link-type access # 批量设置接口为Access模式
port default vlan 20 # 批量划分到VLAN 20
#trunk接口
interface GigabitEthernet 0/0/24 # 进入接口视图
port link-type trunk # 设置接口模式为Trunk
port trunk allow-pass vlan 10 20 # 允许VLAN 10和20通过(默认仅允许VLAN 1)
port trunk pvid vlan 10 # (可选)设置Trunk接口的默认VLAN(PVID)
|
- 查看信息
1
2
3
| display ip interface brief # 查看Vlanif接口的IP状态
display port vlan # 查看接口的VLAN配置
display vlan # 查看所有VLAN信息
|
- hybrid端口和vlan间路由(待续)
接口批操作
1
2
3
4
5
6
| #第一种
interface range GigabitEthernet 0/0/1 to 0/0/24 # 进入批量接口视图
#第二种
port-group 1 # 创建端口组1
group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/24 # 添加接口1-24到组
|
生成树STP
| 命令/配置 | 作用 | 注意事项 |
|---|
stp mode stp | 启用传统STP模式 | 与RSTP/MSTP设备可能存在兼容性问题 |
stp root primary | 强制本机为根桥 | 根桥应部署在网络中心位置 |
stp cost | 控制路径选择 | 需全网统一路径开销计算标准 |
stp disable | 关闭接口STP | 仅限连接终端设备时使用 |
display stp | 验证配置和状态 | 用于排查环路或端口阻塞问题 |
1. stp mode stp
1
2
3
| stp mode stp \# 启用生成树协议(STP),并指定模式为标准STP(IEEE 802.1D)
\# 可选模式:stp(标准生成树)、rstp(快速生成树)、mstp(多实例生成树)
\# 默认模式为MSTP,此命令强制切换为传统STP模式
|
2. stp root primary
1
2
3
| stp root primary \# 将当前交换机配置为STP的根桥(Root Bridge)
\# 效果:自动将交换机的优先级调整为0(最高优先级)
\# 根桥是生成树拓扑的核心,负责计算无环路径
|
3. stp pathcost-standard legacy
1
2
3
4
| stp pathcost-standard legacy \# 设置路径开销(Path Cost)的计算标准为“legacy”模式
\# legacy模式:基于10Mbps带宽为基准的计算方法(如100M端口的Cost=19)
\# 可选标准:dot1t(IEEE 802.1t标准,基于实际带宽计算)
\# 需确保网络内所有设备使用相同的计算标准
|
4. portswitch
1
2
3
| portswitch \# 将物理接口从三层路由模式切换为二层交换模式
\# 只有二层模式的接口才能参与STP计算和VLAN转发
\# 默认情况下,某些三层交换机的端口需先执行此命令才能配置STP
|
5. stp cost 20000
1
2
3
4
| stp cost 20000 \# 手动设置接口的路径开销(Path Cost)为20000
\# 路径开销越小,接口越容易被选为根端口(Root Port)
\# 默认值由带宽和路径开销计算标准决定(例如1G端口在legacy模式下Cost=4)
\# 调整此值可人为控制生成树路径选择
|
6. stp disable
1
2
3
| stp disable \# 在接口上禁用STP功能
\# 风险:若接口连接其他交换机且未启用STP,可能导致环路
\# 适用场景:连接终端设备(如PC、服务器)时,可禁用STP以节省资源
|
7. display stp brief
1
2
3
4
5
6
7
| display stp brief \# 显示生成树的简要信息
\# 输出内容:
\# - 接口名称
\# - STP状态(Enabled/Disabled)
\# - 接口角色(Root/Designated/Alternate等)
\# - 端口状态(Forwarding/Blocking/Learning)
\# - 保护模式(如BPDU Guard)
|
8. display stp interface ge 0/0/1 brief
1
2
3
4
5
6
7
| display stp interface GigabitEthernet 0/0/1 brief \# 显示指定接口(G0/0/1)的STP详细信息
\# 输出内容:
\# - 接口角色和状态
\# - 路径开销(Cost)
\# - 优先级(Port Priority)
\# - 保护功能状态
\# - 发送/接收的BPDU计数
|
聚合链路
| 命令/配置 | 作用 | 注意事项 |
|---|
interface eth-trunk 1 | 创建并进入Eth-Trunk 1逻辑接口配置模式 | 需确保Eth-Trunk编号唯一(范围1-128) |
mode manual load-balance | 设置Eth-Trunk为手工负载分担模式 | 手工模式无协议协商,需对端设备同样配置为手工模式,否则链路无法UP |
trunkport ge 0/0/1 to 0/0/3 | 批量将GE0/0/1到GE0/0/3接口加入Eth-Trunk | 成员接口类型/速率需一致,且未配置其他业务(如VLAN) |
display eth-trunk 1 | 查看Eth-Trunk 1的成员端口、状态、负载分担信息 | 用于验证配置是否生效,重点关注”Status”和”Ports”字段 |
mode lacp-static | 设置Eth-Trunk为静态LACP模式(基于LACP协议协商) | 需对端设备也启用LACP,且模式一致(静态/动态) |
lacp max active-linknumber 2 | 限制Eth-Trunk最大活跃链路数为2(冗余链路作为备份) | 需确保物理成员接口数≥设定值,否则部分链路无法激活 |
eth-trunk 1(在物理接口下配置) | 将当前物理接口加入Eth-Trunk 1 | 需先创建Eth-Trunk接口,且接口类型与Eth-Trunk模式兼容(如GE/XGigabitEthernet等) |
lacp priority 100 | 设置本端LACP系统优先级为100(值越小优先级越高,默认32768) | 优先级范围0-65535,两端优先级共同决定主动端(用于选择活跃链路) |
- 手工模式Eth-Trunk配置
1
2
3
4
| interface eth-trunk 1 # 创建并进入Eth-Trunk 1逻辑接口配置模式
[Eth-Trunk1] mode manual load-balance # 配置Eth-Trunk为手工负载分担模式(非LACP协议)
[Eth-Trunk1] trunkport ge 0/0/1 to 0/0/3 # 将物理接口GE0/0/1到GE0/0/3批量加入Eth-Trunk
display eth-trunk 1 # 查看Eth-Trunk 1的配置状态和成员端口信息
|
- 静态LACP模式Eth-Trunk配置
1
2
3
4
5
6
7
8
| interface eth-trunk 1 # 创建并进入Eth-Trunk 1逻辑接口配置模式
[Eth-Trunk1] mode lacp-static # 配置Eth-Trunk为静态LACP模式(基于LACP协议协商)
[Eth-Trunk1] lacp max active-linknumber 2 # 设置Eth-Trunk最大活跃链路数为2(负载分担+冗余备份)
interface ge 0/0/1 # 进入物理接口GE0/0/1配置模式
[GE0/0/1] eth-trunk 1 # 将当前物理接口加入Eth-Trunk 1
interface ge 0/0/2 # 进入物理接口GE0/0/2配置模式
[GE0/0/2] eth-trunk 1 # 将当前物理接口加入Eth-Trunk 1
[Eth-Trunk1] lacp priority 100 # 设置Eth-Trunk的LACP系统优先级为100(值越小优先级越高)
|
- 动态LACP模式Eth-Trunk配置
- 与静态相同, 将mode 改成 mode lacp-dynamic 即可
路由
- 配置路由
- 静态路由
1
| ip route-static 目的ip 掩码 下一跳(其它邻接路由IP)
|
- 查看路由
1
| display ip routing-table
|
RIP
RIP v1 - v2 区别
路由汇总的精细度不同
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| display rip //查看rip配置信息
rip version 1 配置
[AR1]rip
[AR1-rip-1]network 192.168.1.0
[AR1-rip-1]network 172.16.0.0
rip version 2 配置,关闭路由汇总
[AR1]rip
[AR1-rip-1]version 2
[AR1-rip-1]undo summary
#关闭rip
undo rip id #完全关闭 RIP 进程
undo rip enable #在特定接口上停止 RIP 的运行
display rip #验证 RIP 是否已成功关闭
|
OSPF
- 单区域
1
2
3
4
5
| 单区域配置: 配置好区域后,network加入所有直连网段
[AR1]ospf
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
|
- 多区域
1
2
3
4
5
6
7
8
9
10
11
12
| 多区域配置:配置router id 后,进入ospf 配置 area 和 network
network 与单区域相同,加入“区域中”所有本地网络
例:路由为两个区域的 边界路由,有两个网段,分别在两个区域中
[RouterA] router id 1.1.1.1
[RouterA] ospf
[RouterA-ospf-1] area 0
[RouterA-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] quit
[RouterA-ospf-1] area 1
[RouterA-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.1] quit
[RouterA-ospf-1] quit
|
- 查看命令
1
2
3
4
5
6
| # 查看邻居
display ospf peer
# 显示 RouterA 的 LSDB。
[RouterA] display ospf lsdb
# 显示 RouterA 的 OSPF 路由信息。
[RouterA] display ospf routing
|
ACL和AAA
ACL
配置在接口上的规则,可应用于路由器、交换机等
定义有效时间段 (基本ACL)
1
2
3
4
5
6
7
8
9
10
| #定义有效时间段名称为 s-a,有效时间为周三和周五的 8:00 到 18:00
[Huawei]time-range s-a 8:00 to 18:00 wed fri
#定义基本 ACL
[Huawei] acl 2001
[Huawei-acl-basic-2001] rule permit source 192.168.11.0 0.0.0.255
[Huawei-acl-basic-2001] rule permit source 192.168.12.0 0.0.0.255 time-range s-a
[Huawei-acl-basic-2001] rule deny source any
#应用 ACL 在交换机通过接口应用此 ACL。
[Huawei]interface GigabitEthernet 0/0/16
[Huawei-GigabitEthernet0/0/16]traffic-filter outbound acl 2001
|
目标IP限制(高级ACL)
1
2
3
4
5
6
| #创建 ACL,设置规则
[Huawei] acl 3000
[Huawei-acl-adv-3000] rule deny ip destination 192.168.2.8 0
#应用 ACL
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000
|
单向访问控制(高级ACL)
要求:
1)192.168.1.0/24 网段的设备,可以通过 TCP 协议访问 192.168.2.0/24 网段的服务器;但 192.168.2.0/24 网段的设备,不可以主动通过 TCP 协议访问 192.168.1.0/24 网段的服务器。
(2)192.168.1.0/24 网段的设备,可以通过 ping 命令检测 192.168.2.0/24 网段设备的连通 性。但 192.168.2.0/24 网段的设备,不可以通过 ping 命令检测 192.168.1.0/24 网段设备的连 通性。
1
2
3
4
5
6
7
8
9
10
11
| [Huawei] acl 3000
[Huawei-acl-adv-3000] rule permit tcp source 192.1.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 tcp-flag syn ack
#tcp-flag syn ack表示允许建立连接的请求(SYN)和确认(ACK)包。这意味着192.168.1.0/24的设备可以主动发起TCP连接到192.168.2.0/24的设备。
[Huawei-acl-adv-3000] rule deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 tcp-flag syn
#tcp-flag syn表示只匹配连接请求包,这样可以阻止192.168.2.0/24的设备发起连接。
[Huawei-acl-adv-3000] rule deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 icmp-type echo
#icmp-type echo表示匹配ICMP回显请求(ping请求),从而阻止192.168.2.0/24的设备ping 192.168.1.0/24的设备。
#应用 ACL 到接口
[Huawei] interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000
|
NAT
动态NAT 和 NAPT 和 Easy IP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| # 建立 ACL,确定需要 NAT 的报文
[AR1]acl 2000
[AR1]rule permit source 192.168.1.0 0.0.0.255
# 假设地址池中有 7 个地址,即从 100.1.1.3 到 100.1.1.7
[AR1]nat address-group 1 100.1.1.3 100.1.1.7
# 配置出接口的地址关联 - 关联在与外网连接的接口
[AR1]interface gigabitEthernet 0/0/1
# 基本的动态 NAT,即带有 no-pat 参数的动态 NAT。 no-pat - 即,不进行端口地址转换、只进行ip地址转换
# 不能同时为多个内部主机映射到同一公网IP
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
# NAPT
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
# Easy IP
[AR1-GigabitEthernet0/0/1]nat outbound 2000
|
静态 NAT 和 NAT server
应用场景:使外部用户通过固定公网IP访问内网资源
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| #查看静态 NAT 的配置信息
[AR1]display nat static
#添加一条静态路由
[AR1]ip route-static 200.1.1.0 24 100.1.1.2
#在出接口上,进行配置
[AR1]interface gigabitEthernet 0/0/1
# 静态NAT
[AR1-GigabitEthernet0/0/1]nat static global 100.1.1.8 inside 192.168.1.8
# NAT Server
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.8 80 inside 192.168.1.8
80
|
查看配置
1
2
3
4
5
6
7
8
9
10
11
12
| # 查看 NAT Outbound 信息
[AR1]display nat outbound
# 显示 NAT 会话表项
# NAT 会话,即经过 NAT 地址转换处理的会话。
[AR1]display nat session all
# 查看 NAT 表项老化时间的相关信息
[AR1]display firewall-nat session aging-time
#查看静态 NAT 的配置信息
[AR1]display nat static
|
DHCP
dhcp的discover包在通过广播的方式发出,只在广播域中生效,因此,配置如下
配置路由器:
使能DHCP服务,创建vlan
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| [Router] dhcp enable # 全局使能DHCP服务(必须先启用才能配置DHCP相关功能)
#配置接口加入VLAN
# 创建VLAN(批量创建VLAN10和VLAN11)
[Router] vlan batch 10 to 11
# 配置Ethernet0/0/0接口
[Router] interface ethernet 0/0/0 # 进入以太网接口0/0/0
[Router-Ethernet0/0/0] port link-type access # 设置接口为access模式(只能属于一个VLAN)
[Router-Ethernet0/0/0] port default vlan 10 # 将接口加入VLAN10
# 配置Ethernet0/0/1接口
[Router] interface ethernet 0/0/1 # 进入以太网接口0/0/1
[Router-Ethernet0/0/1] port link-type access # 设置接口为access模式
[Router-Ethernet0/0/1] port default vlan 11 # 将接口加入VLAN11
#配置VLANIF接口IP地址
# 配置VLANIF10(VLAN接口10)
[Router] interface vlanif 10 # 进入VLAN接口10
[Router-Vlanif10] ip address 10.1.1.1 24 # 配置IP地址为10.1.1.1/24(作为VLAN10的网关)
# 配置VLANIF11(VLAN接口11)
[Router] interface vlanif 11 # 进入VLAN接口11
[Router-Vlanif11] ip address 10.1.2.1 24 # 配置IP地址为10.1.2.1/24(作为VLAN11的网关)
|
配置接口地址池(基于接口的DHCP)
动态绑定和静态绑定配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| # 配置VLANIF10的DHCP参数
[Router] interface vlanif 10 # 进入VLAN接口10
[Router-Vlanif10] dhcp select interface # 启用接口地址池模式(从该接口IP网段分配地址)
# 设置DHCP租期(默认1天)
[Router-Vlanif10] dhcp server lease day 30 # 设置租约为30天(0表示永久租用)
# 配置DNS域名
[Router-Vlanif10] dhcp server domain-name huawei.com # 指定DNS域名后缀
# 配置DNS服务器
[Router-Vlanif10] dhcp server dns-list 10.1.1.2 # 指定DNS服务器地址(可配置多个)
# 设置保留IP(不自动分配)
[Router-Vlanif10] dhcp server excluded-ip-address 10.1.1.2 # 排除10.1.1.2不分配(通常用于保留给服务器)
# 配置静态绑定(固定IP分配)
[Router-Vlanif10] dhcp server static-bind ip-address 10.1.1.100 mac-address 286e-d488-b684 # 将10.1.1.100固定分配给指定MAC地址的设备
[Router-Vlanif10] quit # 退出接口视图
# 配置VLANIF11的DHCP参数(简化配置)
[Router] interface vlanif 11 # 进入VLAN接口11
[Router-Vlanif11] dhcp select interface # 启用接口地址池模式
[Router-Vlanif11] dhcp server lease day 2 # 设置租约为2天
[Router-Vlanif11] dhcp server domain-name huawei.com # 使用相同的DNS域名
[Router-Vlanif11] dhcp server dns-list 10.1.1.2 # 使用相同的DNS服务器
[Router-Vlanif11] quit # 退出接口视图
|
配置结果查看
1
2
3
4
5
6
7
8
9
| # 查看VLANIF10地址池分配情况
[Router] display ip pool interface vlanif10 # 显示地址池使用状态(包括总数/已用/剩余IP数量)
# 查看VLANIF11地址池分配情况
[Router] display ip pool interface vlanif11 # 显示地址池使用状态
# 其他常用验证命令:
# display dhcp server statistics # 查看DHCP服务器统计信息
# display dhcp server free-ip # 查看可分配的免费IP
|
查看命令
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| display ip int brief 查看接口ip地址
display int brief 查看接口的简要信息
display this 查看当前配置过的命令
display current-configuration 显示当前配置文件
display saved-configuration 显示保存的配置文件
display this 查看当前模式下的配置
display current-configuration 关键词(查看关键词的配置)
display mac-address 查看MAC表
display arp 查看ARP表
display ip routing-table 查看路由表
display ospf peer 查看ospf邻居关系
display ospf lsdb 查看链路关系数据库
display int Eth-Trunk 查看链路聚合状态
display clock 查看系统当前时间
|