今天给大家分享一下中兴通讯成套网络设备命令。我花了一天的时间找手册，整理排版。我希望它会对你有用。如果你觉得不错，请点赞转发。

在全局配置模式下可以设置端口参数，包括：

一、端口配置

set port [portlist]

端口基本配置

set port [portlist] auto默认开启自适应功能。设置端口的工作模式或速率后，自适应功能将自动关闭。

1 配置端口状态

set port [portlist] duplex不能修改工作速率为1000mbit /s的所有以太网光口和以太网电口的工作模式。

2 设置端口的自适应功能

set port [portlist] speed不能修改100m和1000m以太网光端口的速率。

3 设置端口的工作方式

set port [portlist] bandwidth ingress set port [portlist] bandwidth egress

4 设置端口的速率

set port [portlist] flowcontrol

5 设置端口的带宽

set port [portlist] default-priority [0-7]

6 设置端口的流量控制

set port [portlist] security当端口安全设置为启用时，将关闭端口的mac地址学习功能。关闭端口安全功能后，恢复端口的地址学习功能。

7 设置端口的优先级

set port [portlist] multicast-filter

8 设置端口的地址学习功能开启/关闭

set port [portlist] poe

9 设置端口对组播包过滤功能开启/关闭

set port [portlist] speedadvertise}}

10 设置端口对外供电模式

set port [portlist] macaddress缺省情况下，端口的macaddress限制为关闭状态。

11 设置端口速率宣称

set port [portlist] fix-mac on [0-16]

12 设置端口学习mac 地址数目

set port [portlist] fix-mac auto-recover-time指定端口修复保护的自动恢复时间。只有启用了固化地址保护且保护模式为关闭时，才能配置此命令。缺省值为30分钟。设置为“off”时，恢复模式为手动恢复。

: set port

13 设置端口mac 地址固化保护

[portlist] mdix {auto | crossover | normal}

14 设置端口mac 地址固化自动恢复时间

the create portname [portname] [name]

15 设置端口绞线方式

set port [portlist] description [string]

16 为端口创建描述名称

执行show命令，查看端口信息。

17 为端口添加描述

show port [[portlist]]

端口配置信息查看

show port [portlist] qos

1 显示端口的配置信息和工作状态

show port [portlist] statistics

2 显示端口qos 配置数据

clear port [portlist]清除端口统计信息。执行该命令后，该端口的所有统计信息将被清除。

3 显示端口的统计数据

show port [portlist] statistics

4 清除端口的统计数据

端口镜像用于将进入交换机端口(入方向镜像端口)的数据包镜像到入方向目的端口(入方向监控端口)。或者将交换机出端口(出镜像端口)的数据包镜像到出目的端口(出监控端口)。

5 显示端口的单位时间流量的统计数据

端口镜像配置方法如下。

二、端口镜像

set mirror add dest-port [portname]

端口镜像基本配置

set mirror delete dest-port [portname]

1 设置监控端口

set mirror add source-port [portlist]

2 删除监控端口

set mirror delete source-port [portlist]

3 添加镜像源端口

show mirror

4 删除镜像源端口

vlan (virtual LAN (local area network))协议是一种二层交换协议。通过该功能，管理员可以将一个物理局域网划分为多个虚拟局域网。每个vlan都有一个vlan id, vlan id是该vlan在整个局域网内的唯一标识。多个vlan共享物理局域网中的交换设备和链路。

每个vlan在逻辑上就像一个独立的LAN，同一vlan中的所有帧流量都被限制在该vlan中。跨vlan访问只能通过三层转发，不能直接访问。这样可以提高网络的性能，并有效地减少物理局域网的总体流量。

vlan的具体功能如下：

减少网络上的广播风暴；加强网络安全；集中管理控制。

5 显示端口镜像的配置

三、VLAN配置

set vlan [vlanlist]

VLAN基本配置

set vlan [vlanlist] add port [portlist] [tag|untag]

1 使能/关闭vlan

set vlan [vlanlist] add trunk [trunklist] [tag|untag]

2 在vlan 中加入指定的端口

set vlan [vlanlist] delete trunk [trunklist]

3 删除vlan 中指定的端口

set port [portlist] pvid [1-4094]

4 在vlan 中加入指定的trunk

set vlan [vlanlist] priority

5 删除vlan 中指定的trunk

set vlan [vlanlist] fid[1-256]相同fid的vlan可以共享转发表条目。大多数制造商不提供fid设置，但默认为fid=vid。

6 设置端口的pvid

set vlan [vlanlist] forbid port [portlist]如果gvrp使能，禁止端口学习vlan。

7 设置trunk 的pvid

set vlan [vlanlist] permit port [portlist]启用gvrp后，允许学习的端口可以学习vlan。缺省情况下，允许学习。

8 设置vlan 的优先级

set vlan [vlanlist] forbid trunk [trunklist]使能gvrp时禁止trunk学习vlan。

9 配置vlan 的fid

set vlan [vlanlist] permit trunk [trunklist]使能gvrp后，缺省允许学习vlan的trunk学习。

10设置禁止学习端口

create vlan [1-4094] name [name]

11允许学习端口

clear vlan [vlanlist] name

12设置禁止学习trunk

show vlan [[vlanlist]]

13允许学习trunk

mac地址表的操作包括mac地址过滤、静态地址绑定和mac地址表老化。

MAC过滤允许交换机丢弃目的MAC地址为特定MAC地址的报文。静态地址绑定将指定mac地址绑定到交换机端口。绑定完成后，不再动态学习mac地址。mac地址表老化时间是指fdb表中动态mac地址从最后一次更新到被删除的时间。通过配置mac地址过滤和静态地址绑定，可以有效地控制非法用户入侵网络，防止一些关键mac地址被滥用，对网络安全起到重要作用。

14 创建一个vlan 的描述名称

set FDB filter [xx.xx.xx.xx.xx. xx][1-256]

15 清除vlan 的名称

set FDB add [Xx . Xx . Xx . Xx . Xx . Xx][1-256] [priority [0-7]

16 显示vlan 的信息

] set FDB delete [Xx . Xx . Xx . Xx . Xx . Xx]xx] fid [1-256]

四、MAC表操作

set fdb agingtime[15-3600]默认值为240秒

: 010 - 1010显示身上agingtime: 010 - 1010显示身上动态端口[portname][详细]显示身上[[静态|动态][详细]]:010 - 1010 010 - 1010显示身上过滤器：显示mac (xx.xx.xx.xx.xx身上。xx]

1 配置fdb 的过滤地址

show fdb port [portname]

2 在地址表中加入静态绑定地址

show fdb vlan [vlanname]

3 在地址表中删除一条记录

show fdb trunk [trunkid]

4 设置地址老化时间

lacp (link aggregation control protocol)，是ieee 802.3ad描述的标准协议。

链路聚合是指将具有相同传输介质类型和传输速率的物理链路段捆绑在一起，在逻辑上看起来就像一条链路。链路聚合，也称为集群，允许交换机之间或交换机与服务器之间的对等物理链路同时成倍增加带宽。因此，增加链路带宽，创造链路传输弹性和冗余是一项非常重要的技术。

聚合链路也称为中继链路。当中继中的某个端口阻塞或故障时，报文将被分发到中继中的其他端口继续传输。如果端口恢复正常，报文将被重新分配到trunk中所有工作的端口进行传输。

5 显示fdb 地址老化时间

set lacp缺省情况下，lacp功能处于关闭状态。

6 显示fdb 表信息

set lacp aggregator [trunkid] add port [portlist]

7 显示过滤地址信息

set lacp aggregator [trunkid] delete port [portlist]当端口为自协商模式时允许聚合。否则，如果端口为双工模式，则允许进行聚合。当端口为半双工模式时，不允许进行聚合。

8 显示基于mac 的fdb 信息

set lacp aggregator [trunkid] mode如果将聚合组设置为动态模式，则该聚合组只能与运行lacp的设备对接。在静态模式下，如果对端是静态中继，没有配置lacp协议，则进行静态聚合。当聚合组配置为混合模式时，如果对等体是静态中继，且没有配置lacp协议，则进行静态聚合。如果对端同时存在静态中继和lacp，则优先选择lacp聚合。

9 显示基于port 的fdb 信息

set lacp port [portlist] timeout未收到对端lacp报文的聚合端口退出聚合所需的时间。短超时为3秒，长超时为90秒。

10 显示基于vlan 的fdb 信息

set lacp port [portlist] mode当聚合组处于非静态模式时，聚合组内端口主动或被动发送lacp报文更新状态信息的模式。当本端端口设置为主动协商模式时，对端端口可以设置为主动协商模式或被动协商模式。如果本端端口被设置为被动协商模式，对端端口只能被设置为主动协商模式。否则，对端端口不能参与lacp聚合。

11 显示基于trunk 的fdb 信息

set lacp priority [1-65535]

六、Lcap配置

show lacp aggregator [[trunkid]]

1 使能或关闭lacp 功能

show lacp port [[portlist]]配置聚合组后，可以进行配置pvid、将聚合组加入vlan、静态绑定mac地址等操作。

2 在聚合组中加入指定端口

组播地址不能出现在报文的源地址中，学习不到组播地址。当接收到组播消息时，交换机将其广播到同一vlan中的所有端口。如果不采取措施，可能会出现不需要的组播信息传播到网络中每个点的严重问题，从而浪费网络带宽资源。

igmp snooping通过监听主机和路由器之间的igmp通信，使组播报文只发送到组播转发表中的端口，从而限制组播信息在局域网交换机上的扩散，减少不必要的网络带宽浪费，提高交换机的利用率。

基于源地址或目的地址的组播过滤根据用户在监听vlan中添加的过滤项对主机发往路由器的igmp报文进行过滤，增强交换机对组播监听的控制。

3 在聚合组中删除指定端口

set igmp snooping缺省情况下，igmp snooping功能未开启。

当igmp snooping功能未使能时，组播流将按照set port multicast命令处理。如果选择forward，则转发端口；选择“discard”，表示丢弃端口。

使能igmp snooping功能后，组播流按照监控的组播转发表进行转发。如果找不到组播转发表，则按照上述配置转发或丢弃组播流。

关闭igmp snooping功能时，建议关闭非路由端口的组播转发功能。对于路由端口，最好开启该端口的组播转发功能。

4 设置聚合组聚合模式

set igmp snooping add vlan [vlanlist]

5 配置参与聚合的端口的超时情况

set igmp snooping delete vlan [vlanlist]只添加指定的vlan。为了监控对应的组播转发表，需要开启组播侦听功能。交换机最多可以同时监控256个vlan。

命令格式

6 设置端口参与聚合的模式

set igmp snooping query vlan [vlanlist]使能igmp snooping功能后，如果没有igmp查询路由器，igmp snooping功能将无法正常工作。开启交换机的igmp查询功能。

如果监控的vlan有igmp查询路由器，请关闭交换机的igmp查询功能。交换机上运行的igmp查询版本为v2.0，并遵循v2.0的igmp查询路由器选择功能。如果配置了三层端口的ip地址和mac地址，则表示在三层配置了igmp查询的源ip地址和mac地址。否则，建议使用223.255.255.255，交换机mac地址作为igmp查询源。

7 设置lacp 的优先级

set igmp snooping vlan [vlanname] add group [a.b.c.]D]

8 显示lacp 的配置信息

set igmp snooping vlan [vlanname] delete group [a.b.c.]d]如果已经添加了基于该vlan的静态组播组和部分端口，则不能添加基于该vlan的静态组播组。此外，删除基于vlan的静态组播组时，还会同时删除该vlan的静态组播组和部分端口。

9 显示lacp 聚合组聚合信息

set igmp snooping vlan [1-4094] add group [a.b.c.]D] port [portlist] or

0

配置igmp snooping vlan[1-4094]。[D] trunk[trunklist] or

配置igmp snooping vlan[1-4094]。d]使能igmp snooping功能时，允许在交换机上注册基于vlan或vlan+ port的静态组播组。交换机上最多可以注册64个静态组播组。

注册的静态组播组只能是用户组播地址224.x.x。x.x.x。组播地址224.0.0。X无法注册。

注册的静态组播组所属vlan必须是被监控的vlan。

10 显示lacp 参与聚合的端口信息

set igmp snooping vlan [1-4094] add SMR端口[portlist] or

Set igmp snooping vlan [1-4094] add SMR trunk [trunklist]

七、IGMP Snooping配置

Set igmp snooping vlan [1-4094] delete SMR端口[portlist] or

set igmp snooping vlan [1-4094] delete smr trunk [trunklist]将静态路由端口或聚合端口加入侦听vlan后，可以将静态路由端口或聚合端口加入侦听vlan对应的所有组播组。另外，组播组成员端口的加入和离开报文会同时转发到路由端口和静态路由端口。

1 使能或关闭igmp snooping 功能

set igmp snooping add maxnum [1-256] vlan [vlanlist]

2 添加对指定vlan 的igmp snooping 功能

set igmp snooping delete maxnum vlan [vlanlist]缺省情况下，每个监控的vlan可以创建256个组播组。配置该vlan下的组播组个数后，该vlan下可创建的组播组个数不能大于该vlan下的最大组播组个数。

3 删除对指定vlan 的igmp snooping 功能

set igmp snooping timeout [100-2147483647]

4 使能或关闭对指定vlan 的igmp query 功能

set igmp snooping query_interval [10-2147483647]

5 添加基于vlan 的静态组播组

set igmp snooping response_interval [10-250]

6 删除基于vlan 的静态组播组

set igmp snooping lastmember_query [10-250]

7 添加基于vlan+端口或vlan+聚合口的静态组播组

set igmp snooping fastleave开启igmp snooping功能后，当该端口收到igmp退出报文且关闭igmp快速退出功能时，交换机会向该端口发送两次组查询。查看端口是否从组播转发表中删除。如果使能igmp的快速离开功能，则不经过特定的组查询，直接从组播转发表中删除该端口。

当跨vlan组播侦听功能由使能状态变为使能状态时，部分跨vlan组播侦听结果需要经过相应的超时时间后才能删除。

8 删除基于vlan+端口或vlan+聚合口的静态组播组

set igmpsnooping crossvlan开启igmpsnooping功能，并使用缺省vlan_id (pvid)正确配置一对多端口转发后，可以使用交换机的vlan间igmpsnooping功能监听vlan间的igmp信息，并进行vlan间组播转发。

9 添加静态路由端口或聚合口

set igmp filter缺省情况下，组播过滤功能处于关闭状态。

使能组播过滤功能后，组播请求将根据添加的组播过滤表项进行过滤处理。如果不启用组播过滤功能，则不根据源地址或组地址对端口加入请求进行过滤。

10删除静态路由端口或聚合口

set igmp filter add groupip [a.b.c.]D] vlan [vlanlist]

11 设置基于vlan 的组播组数目限制

set igmp filter delete groupip [a.b.c.]D] vlan [vlanlist]

12. 清除基于vlan 的组播组数目限制

set igmp filter add sourceip [a.b.c.]d] vlan [vlanlist]使能组播过滤功能并配置基于vlan的组播源地址过滤后，如果该vlan的端口收到源地址为该过滤器指定的组播加入请求，则本交换机不处理该加入请求。

13 设置组播成员/路由超时

set igmp filter delete sourceip [a.b.c.]d] vlan [vlanlist]

14 设置查询周期

show igmp snooping

15 设置查询响应周期

show igmp snooping vlan [[vlanname] [host|router]

16 设置最后的成员查询周期

show igmp filter

17 使能或关闭igmp 的快速离开功能

show igmp filter vlan [1-4094]

18 使能或关闭跨vlan 的igmp snooping 功能

iptv又称交互式网络电视，是运营商在宽带基础上推出的一种网络电视。它采用ip宽带网络，集互联网、多媒体、通信等技术于一体，为用户提供电视直播、视频点播、互联网浏览等多种互动服务。用户可以通过pc或“ip机顶盒+电视”模式使用该服务。

19 使能或关闭组播过滤功能

nas配置管理模式：config nas

20 添加基于vlan 的组播组地址过滤

设置用户的最小查看时间

iptv control log-time设置全局预览的最大次数

iptv control prvcount count设置全局最小预览间隔

iptv control privinterval设置全局最大预览时间

iptv control prvtime全局复位预览周期

iptv control prvcount reset-periodiptv使能该功能

iptv control

21 删除基于vlan 的组播组地址过滤

为iptv创建通道

create iptv channel [channellist]设置频道名

iptv channel [channellist] name设置频道所属的组播vlan

iptv channel [channellist] mvlan删除信道

clear iptv channel [channellist]

22 添加基于vlan 的组播源地址过滤

创建cac规则

create iptv ca -rule [rule id]设置规则名称

iptv ca -rule [rulelist] name指定规则的最大预览次数。默认值为全局最大预览数

iptv ca -rule [rulelist] prvcount指定规则的最大预览时间。默认值是全局最大预览时间

iptv ca -rule [rulelist] prvtime规则预览的最小时间间隔。默认值是预览规则的全局最小时间间隔

iptv ca -rule [rulelist] prvinterval设置一条规则对通道的权限

iptv ca -rule [rulelist] right删除规则

clear iptv ca -rule [rulelist]

23 删除基于vlan 的组播源地址过滤

删除iptv在线用户

clear iptv client

24 显示组播监听的配置

当iptv出现问题时，可以通过debugging命令定位问题并排除错误。主要的命令有show命令。

show iptv control

25 显示组播监听结果

show iptv channel

26显示组播过滤状态

show iptv channel [id|name]

27显示某监听vlan 的组播地址过滤条目

show iptv Cac rule:

七、IPTV配置

show iptv Cac rule |name] [id:

IPTV基本配置

show iptv client:

1 iptv 全局参数配置：

生成树协议STP (spanning tree protocol)应用于环形网络，通过一定的算法获得路径，阻断冗余路径，将环形网络修剪成无环树网络，避免报文的扩散和环路的无限循环。当这条路径工作正常时，其余路径关闭；当该路径失败时，重新计算一条新路径。

rstp (Fast Spanning Tree Protocol，快速生成树协议)在普通生成树协议的基础上，增加了端口从阻塞状态快速转换为转发状态的机制，加快了拓扑收敛速度。

mstp (Multi-spanning Tree protocol，多生成树协议)是在快速通用的生成树协议基础上，增加了带vlan id的帧转发处理。整个网络的拓扑结构可以规划为一个总生成树cist，它可以分为cst (trunk spanning tree)和ist (region spanning tree)。

在整体的多生成树拓扑中，一个ist可以看作是一个网桥(交换机)，因此cst可以作为rstp生成树进行配置信息(bpdu)交互。在一个区域中可以创建多个实例。这些实例仅在该区域有效。每个实例都可以看作是一个rstp生成树，不同的是它还需要与区域桥外的bpdu进行交互。

创建实例时，必须在实例中添加一个或多个vlan id。在list区域的桥上，属于vlan的端口通过bpdu相互作用，形成生成树结构(每个实例一个)。

这样，当区域内的网桥转发带有vlan id的数据帧时，就会按照相应实例的生成树结构进行转发。区域外转发的数据帧按照cst的rstp生成树结构转发，与vlanid无关。

与rstp相比，mstp可以按照用户自定义的生成树结构转发ist区域内特定vlan id的数据帧，不会产生环路。

:

2 iptv 频道配置

set the STP:

3 cac（频道访问控制）配置

set the STP force:

4 iptv 用户的管理命令

set the STP instance [0-15]/add | delete vlan [vlanlist]命令创建新实例，并设置vlan与实例的映射关系。这些vlan将自动从实例0的vlan映射表中删除，并添加到新实例的vlan映射表中。

IPTV的维护和诊断

set STP instance [0-15] bridgeprio [0-61440]

1 显示iptv 的全局配置信息

set STP instance [0-15] port [portname] priority [0-255]

2 显示iptv 频道信息

set STP instance [0-15] port [portname] root-guard

3 显示特定频道号的频道统计信息

set STP instance [0-15] port [portname]loop-guard

4 显示cac 规则

set STP instance [0-15] trunk [trunkname] cost [1-200000000]

5 显示cac 规则统计

set STP instance [0-15] trunk[trunkname] root-guard

6 显示在线的iptv 用户

set stp instance [0-15] trunk [trunkname]loop-guard

八、MSTP配置

set stp port [portlist]

1 使能/关闭stp

set stp port [portlist] bpdu-guard

2 设置stp 的强制类型

set stp port [portlist] pcheck

3 设置vlan 和instance 的映射关系

set stp port [portlist] linktype

4 设置网桥优先级

set stp trunk [trunklist] packettype

5 设置实例端口优先级

set stp trunk [portlist] packettype

6 设置实例trunk 的优先级

set stp trunk [trunklist] packettype

7 设置实例端口费用

设置stp通知时间间隔

set stp hellotime[1-10]设置stp转发延迟时间

set stp forwarddelay[4-30]设置stp老化时间

set stp agemax [6-40]

8 使能/关闭实例端口root 保护

set stp hopmax [1-40]

9 使能/关闭实例端口loop 保护

set stp name [name]

10 设置实例trunk 费用

set stp revision[0-65535]同一区域内的mst版本号必须保持一致。

11 使能/关闭实例trunk root 保护

set stp relay

12 使能/关闭实例trunk loop 保护

set stp edge-port port [portlist]

13 使能/关闭端口stp 功能

set stp HM5-digest [0,0x00.0-0xff.]F]

14 使能/关闭trunk 的stp 功能

set STP hmd5-key [0,0x00.0-0xff.]f]

15 使能/关闭端口bpdu 保护

显示stp信息

show stp查看stp实例信息

show stp instance [[0-15]]显示stp 端口的信息

show stp port [[portlist]]显示stp trunk 的信息

show stp trunk [trunklist]显示stp relay 的信息

show stp relay

16 设置端口stp 类型检查

交换机提供一定的qos 功能，提供优先级控制功能，可以基于数据包的源mac地址优先级、vlan 优先级、802.1p 用户优先级、三层dscp 优先级或端口默认优先级来决定数据包的优先级。一个数据包优先级决定顺序为（前面的优先）：

cpu 发送的数据包优先级（由cpu 决定）；mgmt 数据包（管理数据包，如bpdu 包）优先级（初始化决定管理包的优先级）；静态源mac 地址优先级；valn 优先级；802.1p 用户优先级；三层dscp 优先级；端口默认优先级。当前面的优先级决定机制决定数据包的优先级后，后面的优先级决定策略被忽略。如果要使用端口的默认优先级决定端口接收的数据包的优先级时，需满足以下的所有条件：

数据包必须不是cpu 发送的数据包和管理包。数据包的源mac 地址不是静态地址或端口源地址优先级没有使能。数据包所在vlan 的优先级没有使能或端口的vlan 优先级没有使能。端口的802.1p 用户优先级没有使能或数据包不是tag 数据包。端口的dscp 优先级没有使能。为交换机配置优先级控制策略后，当交换机接收到相应的数据帧，高优先级的数据帧可以优先传输，从而保证关键应用。

默认情况下，端口上802.1p 用户优先级功能是使能的，其他的优先级决定策略是关闭的，用户可以根据实际需要，基于端口开启或关闭任意优先级决定策略。

在同时使能端口的802.1p 用户优先级和三层dscp 优先级，且端口接收的数据包有802.1p 用户优先级的ip 数据包时，交换机使用数据包的802.1p 用户优先级决定数据包优先级。

17 设置实例端口的linktype 类型

set qos queue-schedule

18 设置实例trunk 的linktype 类型

set qos priority-map user-priority [0-7] traffic-class [0-3]默认情况下，802.1p 用户优先级到队列优先级对应关系为：

（0，3）1；（1，2）0；（4，5）2；（6，7）3

此对应关系在端口使用802.1p用户优先级或默认优先级决定数据包优先级时来决定数据包所上的队列。

19 设置实例端口的包类型

set qos priority-map ip-priority [0-63] traffic-class [0-3]默认情况下，802.1p 用户优先级到队列优先级对应关系为：

（0~15）0；（16~31）1；（32~47）2；（48~63）3

此对应表在端口有三层dscp 优先级决定数据包优先级时来决定数据包所上的队列。

20 设置实例trunk 的包类型

set qos max-frame-size [1522/1632]设置报文的最大长度为1522 bytes 或者1632 bytes，缺省值为1632bytes。

21 设置mstp 的时间参数

show qos queue-schedule

22 设置mst 的任意两终端间的最大跳数

show qos priority-map

23 设置mst 的区域名称

pvlan（private vlan）是一个基于端口的vlan。pvlan 是由若干个共享端口和若干个隔离端口组成，隔离端口之间不能相互访问，但隔离端口和共享端口之间可以互相访问。目前一个交换机设备中之支持一个pvlan。

pvlan 的具体应用如只允许用户访问服务器，不允许用户之间的直接互访。因此pvlan 的设置只会在一个完整的pvlan（既有共享端口又有隔离端口）中生效，如果只配置了共享端口，或者只配置了隔离端口，pvlan 的设置将失效。

24 设置mst 的版本号

set pvlan session [id] }

25 使能/关闭stp relay

show pvlan

26 设置边缘端口

ieee 802.1x 是基于端口的访问控制协议（port-based network access control）。基于端口的访问控制是对连接到局域网（lan）设备的用户进行认证和授权的一种手段。这种认证在局域网环境中提供了一种点对点的识别用户的方式。

27 设置stp 的hmd5 摘要

set dot1x-relay

28 设置stp 的hmd5 关键字

show dot1x-relay

29 查看stp 的相关信息

为了实现用户的远程登录，需要在交换机上配置ip 端口，当远程配置主机与交换机上的ip 端口不在同一个网段时，还需要进行静态路由的配置。

静态路由是一种简单的单播路由协议，由用户指定到达某一目的网段的“下一跳”地址，其中“下一跳”也称为网关。静态路由的内容主要包括目的地址、目的地址掩码、下一跳地址、出接口。目的地址和目的地址掩码描述目的网络信息，下一跳地址和出接口描述本交换机转发此目的报文的方法。

九、QoS配置

1 设置队列调度模式

set ipport [0-63] ipaddress

2 设置802.1p 用户优先级到队列优先级映射

set ipport [0-63] vlan [vlanname]

3 设置ip dscp 优先级到队列优先级映射

set ipport [0-63] mac [xx.xx.xx.xx.xx.xx]如果不设置，则使用交换机的mac 地址。

4 设置报文的最大长度

set ipport [0-63] 在更改一个ip 端口的设置时，先要将端口设置为disable 状态，然后设置需要修改的项，新的设置将覆盖原来的设置。可以用以下命令清除端口的某个参数或全部参数，在清除之前同样要将端口设置为disable 状态。

clear ipport [0-63] [mac|ipaddress |vlan [vlanname]]在配置好一个ip 端口后，如果要接入的远端用户不在接口的网段中，需要使用以下命令设置一条到远端网络的静态路由。

iproute [ a.b.c.d] [[1-15]]

5 显示队列调度配置

6 显示qos 的802.1p 用户优先级到队列优先级映射/三层dscp 优先级到队列优先级映射

arp add [a.b.c.d] [xx.xx.xx.xx.xx.xx] [0-63] [vlanname]

十、PVLan配置

arp delete [a.b.c.d]

1 在pvlan 中增加/删除隔离端口/共享端口

clear arp

2 显示pvlan 配置

arp ipport [0-63] timeout [1-1000]当arp 表项在交换机上存在的时间（此间没有接收到此ip 地址的报文）,大于ip 端口上的老化时间时，交换机将删除此arp 表项。

十一、802.1透传配置

show arp [static|dynamic|invalid|ipport [0-63] |ipaddress [a.b.c.d]]

1 开启/关闭802.1x 透传功能

随着宽带以太网建设规模的迅速扩大，为了满足接入用户数量急剧增加和宽带业务多样性的要求，在交换机上嵌入了接入服务（nas），以完备接入用户的认证和管理功能，更好地支持宽带网络的计费、安全、运营和管理。

接入服务在运用802.1x 协议和radius 协议的基础上，实现对用户接入的认证和管理功能，具有高效、安全、易于运营等优点。

ieee 802.1x 称为基于端口的访问控制协议（port-based network access control）。

它的协议体系结构包括三个重要部分：

客户端系统、认证系统认证服务器。radius（远程用户拨号认证系统）是一个在radius server 和radius client 之间进行认证、授权、配置数据信息交互的协议标准。

radius 采用client/server 模型。在nas 上运行的是client 端，负责传送用户信息到指定的radius 服务器，并根据服务器返回的结果进行相应的操作。

pap（password authentication protocol）是一种简单的明文验证方式。nas 要求用户提供用户名和密码，用户以明文方式返回用户信息。服务器端根据用户配置查看是否有此用户以及密码是否正确，然后返回不同的响应。这种验证方式的安全性较差，传送的用户名和密码容易被窃取。

chap（challenge handshake authentication protocol）是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。nas 向用户发送一个随机产生的挑战口令，用户用自己的密码和md5 算法对挑战口令进行加密，并返回用户名和加密的挑战口令（加密口令）。

服务器端用自己保存的用户密码和md5 算法对挑战口令进行加密。比较用户和服务器端的加密口令，根据比较结果返回不同的响应。

2 显示802.1x 透传配置

先进入nas 管理模式：config nas

十二、三层配置

aaa-control port [portlist] dot1x

基本配置

aaa-control port [portlist] port-mode 可以配置的模式如下：

auto：从配置成auto 的端口接入的用户必须通过认证，认证成功与否决定了用户能否接入成功。force-authorized：强制认证通过，用户不需要认证便可以通过该端口接入。force-unauthorized：强制认证不通过，用户不能通过该端口接入。默认的认证控制模式为auto。

1 设置三层端口的ip 地址和掩码

aaa-control port [portlist] multiple-hosts

2 为三层端口绑定vlan

aaa-control port [portlist] max-hosts [0-64]一个端口可以接入多个用户，每个用户有自己独立的认证和计费过程。一个端口允许有多个用户接入时，aaa-control port max-hosts 命令才有意义。

3 设置三层端口mac 地址

dot1x re-authenticate

4 使能/关闭三层端口

dot1x re-authenticate period [1-4294967295]为了判断接入的用户是否一直保持连接，nas 可以定时要求接入的用户进行重认证。重认证需要为每个在线用户启动一次完整的认证过程，如果用户量较大，认证报文将非常频繁，会对交换机造成一定的负担。

7 打开/关闭端口的异常下线检

测机制aaa-control port [portlist] keepalive

8． 设置端口的异常下线检测周期

aaa-control port [portlist] keepalive period [1-3600]

除了重认证机制，为判断接入用户是否保持连接，nas 模块还提供了异常下线检测机制。异常下线检测只需要少量的报文交互便可以确定用户是否在线。

异常下线检测机制是通过设备主动向客户端定期发送检测请求来实现的。

请求报文利用了802.1x 协议定义的eapol/eap repid 报文，如果收到客户端的eapol/eap respid 响应说明该用户在线；如果未收到响应则说明用户已经下线。

9． 配置端口的认证方式

aaa-control port [portlist] protocol

用户接入认证时，在认证服务器与认证系统之间有三种用户身份识别方式，包含pap，chap 和eap-md5 方式。系统默认为eap-md5。

10． 配置协议参数

设置认证系统一次认证失败后到接受下一次认证请求的间隔

dot1x quiet-period [0-65535]

设置认证系统接收不到客户端回复而重发eapol 数据包的等待时间

dot1x tx-period [1-65535]

设置认证系统接收来自认证客户端系统的数据包的超时时间

dot1x supplicant-timeout [1-65535]

设置认证系统接收来自认证服务器的数据包的超时时间

dot1x server-timeout [1-65535]

设置认证系统接收来自客户端的challenge 响应的超时重传次数

dot1x max-request [1-10]

802.1x 通过在客户端系统和认证系统之间传递eapol 数据包，在认证系统和认证服务器之间传递radius 数据包实现访问控制。在传递数据包的过程中有如下的参数控制：

quietperiod 是指在一次认证失败后多长时间内认证系统不接收来自客户端系统的认证请求，这项功能可以防止用户试图不停的进行认证。txperiod 是指认证系统在多长时间内没有收到客户端系统的回复，将会重发eapol 数据包到客户端系统。supplicant timeout 和servertimeout 是用来表示在认证过程中认证系统接收来自客户端系统和认证服务器的数据包的超时时间。max-request 是指在认证过程中，认证系统接收来自客户端系统的challenge响应的超时重传次数。

11． 查看端口的802.1x 配置

show aaa-control port [[portlist]]

12． 查看802.1x 协议参数

show dot1x

配置radius

1． 添加/删除一个isp 域

radius isp [ispname]

在radius 配置中，我们引入了域（isp-domain）的概念。不同的域可能由不同的isp 经营，接入设备根据用户输入的用户名中的域名部分（用户名@域名）来区分用户所属的域，并将其认证和计费请求发送到相应域的认证和计费服务器。每个域都有自己的radius 服务器。

删除某个域后时，同该域相关的所有配置都被删除。

2． 在域中添加认证服务器

radius isp [ispname] add authentication [a.b.c.d] [[0-65535]]

3． 在域中删除认证服务器

radius isp [ispname] delete authentication [a.b.c.d]

每个域最多可配置3 个认证服务器。服务器的优先级同配置顺序相关，最先配置的服务器的优先级最高，最后配置的服务器优先级最低。当删除一个服务器时，后面的服务器的优先级依次递增。

4． 在域中添加记帐服务器

radius isp [ispname] add accounting [a.b.c.d] [[0-65535]]

5． 在域中删除记帐服务器

radius isp [ispname] delete accounting [a.b.c.d]

每个域最多可配置3 个记帐服务器。服务器的优先级同配置顺序相关，最先配置的服务器的优先级最高，最后配置的服务器优先级最低。当删除一个服务器时，后面的服务器的优先级依次递增。

6． 配置域的客户端ip 地址

radius isp [ispname] client [a.b.c.d]

域的客户端的ip 地址必须是交换机上一个接口的ip 地址。

7． 配置域的共享密码

radius isp [ispname] sharedsecret [string]

共享密码用于radius 客户端与radius 服务器进行数据加密，客户端与服务器的配置必须一致。

8． 指定默认域

radius isp [ispname] defaultisp

系统中只能将一个域指定为默认域，系统将所有的没有指定域名的用户认证请求都发送到默认域中的radius 认证服务器。

9． 配置域全帐号

radius isp [ispname] fullaccount

当指定使用全帐号时，radius 客户端使用“用户名@域名”做为用户名请求radius 服务器认证；如果没有指定使用全帐号，用户名中不包含域名。

10． 配置域描述符

radius isp [ispname] description [string]

11． 配置radius 参数

配置服务器响应超时时间

radius timeout [1-255]

配置服务器响应超时重传次数

radius retransmit [1-255]

配置接入服务器名称

radius nasname [nasname]

12． 打开/关闭端口的计费功能

aaa-control port [portlist] accounting

13． 删除发送失败的radius 记帐中止包

clear accounting-stop

14． 查看radius 配置

show radius [ | ]

15． 设置dot1x 协议可使用的私有mac 地址

dot1x add fid [1-256] [ mac [hh.hh.hh.hh.hh.hh]]

一般的802.1x 包的目的mac 地址为0180c2000003，在有些交换机上这个目的mac 地址包不能透传到认证交换机，为了能透传，客户端发出的包就不能用这个目的mac 地址，而使用一个约定的mac 地址，在认证交换机上必须配置这个mac 地址已识别802.1x 包。

如果增加mac 地址时不输入mac 地址，则为缺省值01d0d0ffffff。

16． 删除dot1x 协议可使用的私有mac 地址

dot1x delete fid [1-256]

十三、Qinq配置

qinq 是对基于ieee 802.1q 封装的隧道协议的形象称呼，又称vlan 堆叠。qinq技术是在原有vlan 标签（内层标签）之外再增加一个vlan 标签（外层标签），外层标签可以将内层标签屏蔽起来。

qinq 不需要协议的支持，通过它可以实现简单的l2vpn（二层虚拟专用网），特别适合以三层交换机为骨干的小型局域网。

1． 添加/删除customer 端口

set qinq customer port [portlist]

2． 添加/删除uplink 端口

set qinq uplink port [portlist]

3． 设置外层标签的tpid

set qinq tpid [tpid]

4． 显示qinq 配置

show qinq

配置qinq 时，spvlan 的customer 端口既可以设置为untagged 端口，也可以设置为tagged 端口。uplink 端口也是如此。

十三、SysLog配置

syslog 日志系统是以太网交换机中不可或缺的一部分，它是系统软件模块的信息枢纽。日志系统管理大多数的重要信息输出，并且能够进行细致的分类，从而能够有效地进行信息筛选，为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。

syslog 日志系统按照信息来源进行划分，依功能模块进行信息过滤，满足用户的定制要求。

1． 开启/关闭syslog 功能

set syslog

syslog 功能缺省是关闭的。开启syslog，当信息量较多时影响交换机的系统性能。

2． 定义syslog 信息的等级

set syslog level

syslog 信息的等级如概述中所述，缺省设置为informational。配置syslog 信息的等级为emergencies 时，信息将优先发送。

3． 设置syslog 信息接收服务器

set syslog add |delete server

本交换机最多可配置5 个syslog server 地址。

4． 开启/关闭发送syslog 的模块

set syslog module

开启/关闭发送syslog 的功能模块。

5．显示syslog 配置

show syslog status

十四、NTP配置

ntp（网络时间协议）是以太网交换机用来实现网络设备之间时间同步功能的模块

1． 开启/关闭ntp 功能

set ntp

本命令相当于ntp 功能的总开关，配置后其余的ntp 命令才能生效。ntp 功能打开后，必须在配置了ntp 服务器ip 地址之后才会真正进行时间同步动作，即要ntp 协议生效的必要条件是：设置了ntp 服务器ip 地址和ntp 协议功能使能。

2． 设置ntp 服务器的ip 地址

set ntp server

目前只允许配置从一个时间服务器同步时间。若配置多条命令，则后面的配置将覆盖前面的。

3． 设置ntp 协议发送同步时间请求时使用的源地址

set ntp source

默认情况下，交换机没有配置源地址，ntp 发送同步时间请求时，由ip层决定报文所使用的ip 地址。

4． 显示ntp 状态

show ntp

十五、GARP/GVRP配置

garp（generic attribute registration protocol）是一种通用的属性attribute 注册协议，通过不同的应用协议，为相同交换网内成员之间动态分发vlan、组播mac 地址等属性信息。

gvrp（garp vlan registration protocol）garp vlan 注册协议是garp 所定义的一种应用协议，它基于garp 的协议机制动态维护交换机中的vlan 信息。所有支持gvrp 特性的交换机能够接收来自其他交换机的vlan 注册信息，并动态更新本地的vlan 注册信息，其中包括交换机上当前的vlan，以及这些vlan 包含了哪些端口等，而且所有支持gvrp 特性的交换机能够将本地的vlan 注册信息向其他交换机传播，以便根据需要使同一交换网内所有支持gvrp 特性的设备的vlan 配置在互通性上达成一致。

1． 使能/关闭系统gvrp 功能

set gvrp

系统gvrp 功能缺省处于关闭状态，该命令用于全局开启/关闭gvrp。gvrp 使能要在garp 使能的情况下才能进行。

2． 端口使能/关闭gvrp 功能

set gvrp port [portlist]

系统端口gvrp 功能缺省处于关闭状态，该命令用于开启/关闭端口gvrp功能，端口gvrp 功能开启后可以接受gvrp 协议报文。

3． 配置端口的gvrp 注册类型功能

set gvrp port [portlist] registration

系统端口的gvrp 注册类型缺省处于normal 状态，该命令用于设置端口gvrp 注册类型，端口注册类型有三种：

normal：实体对接收到的garp 消息正常处理，可动态创建、注册和注销vlan。fixed：忽略所有的garp 消息，但仍然在注册状态，允许手工创建和注册vlan，防止vlan 的注销和其他接口注册此接口所知vlan。forbidden：忽略所有的garp 消息，注销除了vlan1 以外的所有vlan，禁止在接口上创建和注册其他vlan。

4． trunk 端口使能/关闭gvrp 功能

set gvrp trunk [trunklist]

5． 配置trunk 端口的gvrp 注册类型功能

set gvrp trunk [trunklist] registration

系统trunk 端口的gvrp 注册类型缺省处于normal 状态，该命令用于设置trunk 端口gvrp 注册类型，trunk 端口注册类型有三种，每种注册类型的功能和端口的功能相同。

6． 显示gvrp 配置信息

show gvrp

该命令用于显示gvrp 配置信息，包括gvrp 使能与否，各端口和trunk端口gvrp 的配置情况。