锐捷网络设备（交换机、路由器、防火墙）运维实战命令速查手册

1. 锐捷网络设备运维入门指南刚接触锐捷网络设备时最让人头疼的就是记不住那些密密麻麻的命令。作为从业十年的老网工我整理了一套开箱即用的命令手册帮你快速上手交换机、路由器、防火墙的日常运维。这些设备虽然功能不同但操作逻辑相通掌握基础命令就像拿到了打开网络世界的钥匙。先说说最基础的模式切换。锐捷设备采用分层权限设计就像进办公楼要刷不同级别的门禁卡enable是进入特权模式的通行证相当于管理员权限configure terminal则是进入全局配置模式的钥匙在这里可以修改设备的核心参数。我见过不少新手在特权模式下折腾半天改不了配置其实就是没搞明白这个层级关系。查看设备状态是运维的基本功。show running-config是我每天要敲几十次的命令它能显示设备当前的完整配置就像给网络做全身检查。排查故障时我习惯先用show interface看看各个端口的流量状态再通过show version确认设备型号和软件版本避免因版本差异导致的配置不兼容问题。注意锐捷部分型号的设备使用write保存配置而新版本可能兼容copy running-config startup-config命令建议先查看设备文档。2. 交换机实战命令宝典2.1 VLAN配置的三大核心操作VLAN是交换机的看家本领配置不当会导致网络分区或广播风暴。创建VLAN时我习惯先用vlan 10这样的命令建立逻辑分组再用name MARKETING给部门命名这样后期维护时一目了然。三层交换机还需要给VLAN接口配IP就像给每个部门分配专属电话分机号。端口绑定VLAN时容易踩坑接入端口要用switchport mode access指定为接入模式再用switchport access vlan 10绑定VLAN ID。而连接其他交换机的端口必须配置为Trunk模式并通过switchport trunk allowed vlan 10,20明确放行哪些VLAN流量我见过太多因为漏配这条命令导致的跨交换机通信故障。2.2 链路聚合与生成树协议当交换机之间需要高带宽连接时我会用interface range gi 0/1-4选中多个物理端口通过channel-group 1 mode active将它们捆绑成逻辑通道。这就像把多条小路合并成高速公路既提升吞吐量又实现冗余。配置完成后别忘记用show etherchannel summary验证聚合状态。生成树协议是防环利器锐捷默认使用MSTP协议。配置时先用spanning-tree mode mstp启用协议然后通过spanning-tree mst configuration将相关VLAN映射到实例。有次机房出现广播风暴就是因为新接入的交换机没配STP导致整个网络瘫痪。3. 路由器运维关键命令3.1 接口与路由配置给路由器接口配IP就像设置门牌号码interface gi 0/0进入接口后ip address 192.168.1.1 255.255.255.0配置地址最后一定要no shutdown激活接口。我遇到过不少接口不通的故障其实只是忘了这个唤醒命令。静态路由配置讲究精准定位ip route 10.1.1.0 255.255.255.0 192.168.1.2就像设置导航路径告诉设备去10.1.1.0网段请找192.168.1.2。而动态路由更适合大型网络OSPF配置中network 192.168.1.0 0.0.0.255 area 0这样的宣告语句相当于在路由器之间建立动态路标系统。3.2 NAT转换实战技巧企业上网离不开NAT转换配置PAT时先创建地址池ip nat pool PUBLIC 202.96.1.10 202.96.1.20 netmask 255.255.255.0然后通过ip nat inside source list 1 pool PUBLIC overload将内网IP映射到公网池。记得用access-list 1 permit 192.168.1.0 0.0.0.255定义哪些内网地址需要转换有次排查上网故障发现就是ACL没覆盖全部办公网段。4. 防火墙安全策略精要4.1 安全区域与策略配置防火墙的核心是区域划分zone trust和zone untrust就像公司的办公区和外部接待区。通过add interface gi 0/0将网口划入对应区域后再用policy from trust to untrust action permit service HTTP建立放行规则这就好比在前台设置市场部访客可进入办公区但只能洽谈业务的规定。ACL是更精细的流量过滤器配置时要注意规则顺序。比如先permit tcp host 192.168.1.100 any eq 3389放行特定主机的远程桌面再deny ip any any阻断其他所有流量。有次服务器被入侵就是因为ACL把这条拒绝规则放在了最前面。4.2 IPSec VPN搭建要点站点间VPN需要配置IKE提议和IPSEC提议就像先约定好接头暗号再确定运输方式。创建隧道接口时tunnel source和tunnel destination相当于两端的快递收发站。调试阶段建议开启debug crypto isakmp查看协商过程我经常用这个命令排查VPN无法建立的问题。5. 高级功能与故障排查5.1 QoS带宽管理实战给视频会议分配保障带宽时先用class-map VIDEO匹配流量特征再通过policy-map QOS-POLICY分配30%带宽。应用策略时要区分方向service-policy input QOS-POLICY和service-policy output QOS-POLICY分别管控入站和出站流量就像高速公路的双向收费站。5.2 网络诊断四板斧遇到网络故障时我的排查顺序是先用ping测试基础连通性再用traceroute查看路径断点接着用show arp和show mac-address-table检查二层寻址最后用show ip route确认路由表。有次客户报修内网访问慢就是通过show interface发现某个端口存在大量CRC错误更换网线后立即恢复。