神州数码配置命令总结

第一部分 交换机配置 一、基础配置 1、模式进入 Switch> Switch>en Switch#config Switch(Config)#interface ethernet 0/2 2、配置交换机主机名 命令：hostname 3、配置交换机IP地址 Switch(Config)#interface vlan 1 Switch(Config-If-Vlan1)#ip address 10.1.128.251 255.255.255.0 Switch(Config-If-Vlan1)#no shut 4、为交换机设置Telnet授权用户和口令： 登录到Telnet的配置界面，需要输入正确的用户名和口令，否则交换机将拒绝该Telnet用户的访问。该项措施是为了保护交换机免受非授权用户的非法操作。若交换机没有设置授权Telnet用户，则任何用户都无法进入交换机的Telnet配置界面。因此在允许Telnet方式配置管理交换机时，必须在Console的全局配置模式下使用命令username privilege [password (0 | 7) ] 为交换机设置Telnet授权用户和口令并使用命令authentication line vty login local打开本地验证方式，其中privilege选项必须存在且为15。 例：Switch>enable Switch#config Switch(config)#username test privilege 15 password 0 test Switch(config)#authentication line vty login local Switch(Config)#telnet-user test password 0 test Switch (Config)#telnet-server enable：//启动远程服务功能 5、配置允许Telnet管理交换机的地址限制（单独IP或IP地址段） （1）限制单个IP允许Telnet登录交换机 switch(config)#authentication security ip 192.168.1.2 （2）限制允许IP地址段Telnet登录交换机 switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255 switch(config)#authentication ip access-class 1 in 5、为交换机设置Web授权用户和口令：web-user password {0|7} 例：Switch(Config)#web-user admin password 0 digital 6、设置系统日期和时钟：clock set HH:MM:SS 7、设置退出特权用户配置模式超时时间 exec timeout //单位为分钟，取值范围为0~300 8、保存配置：write 9、显示系统当前的时钟：Switch#show clock 10、指定登录用户的身份是管理级还是访问级 Enable [level {visitor|admin} []] 11、指定登录配置模式的密码：Enable password level {visitor|admin} 12、配置交换机的用户名密码：username admin privilege 15 password 0 admin000 13、配置enable密码为ddd：enable password 0 ddd level 15 14、配置登录时认证：authentication line vty login local 15、设置端口的速率和双工模式（接口配置模式下） 命令：speed-duplex {auto | force10-half | force10-full | force100-half | force100-full | {{force1g-half | force1g-full} [nonegotiate [master | slave]] } } no speed-duplex 二、单交换机VLAN划分 1、VLAN基本配置 （1）新建VLAN：vlan （2）命名VLAN：name （3）为VLAN 分配交换机端口 Switch(Config-If-Vlan1)#switchport interface Ethernet 0/2 （4）设置Trunk 端口允许通过VLAN： Switch(Config-ethernet0/0/5)#switchport trunk allowed vlan 1;3;5-20 2、划分VLAN： （1）进入相应端口：Switch(config)#interface Ethernet 0/2 （2）修改模式：Switch(Config-ethernet0/0/5)switchport mode access （3）划分VLAN：Switch(Config-ethernet0/0/5)#switchport access vlan 4 三、跨交换机VLAN划分（两台交换机作相同操作） 1、新建VLAN 2、划分VLAN 3、修改链路模式 （1）进入相应端口：Switch(config)#interface Ethernet 0/1 （2）修改模式：Switch(config-if)#switchport mode trunk 四、VLAN间主机的通信 1、新建VLAN 2、划分VLAN 3、修改链路模式 （1）进入相应端口：Switch(config)#interface Ethernet 0/1 （2）修改模式：Switch(config-if)#switchport mode trunk 注意：如果是三层交换机，在修改模式先封装802.1协议： Switch(config-if)#switchport trunk encapsulation dot1q 4、建立VLAN子接口 （1）、进入VLAN接口模式：Switch(config)#interface vlan 2 （2）、设置VLAN子接口地址：Switch(config-if)#ip address 192.168.0.1 255.255.255.0 （3）、打开端口：Switch(config-if)#no shutdown 5、设置各主机IP地址、子网掩码、网关 注意：（1）各主机IP地址应与其所在的VLAN在同一网段。 （2）192.168.0.1/24中的“24”表示子网掩码为3个255。 （3）主机所在的VLAN的子接口地址就是主机的网关。 五、端口安全配置 1、启用和禁用端口安全功能： 启用：Switch(config-if)# switchport port-security 禁用：Switch(config-if)# no switchport port-security 2、设置接口上安全地址的最大个数（1~128） Switch(config-if)#switchport port-security maximum 1 3、设置处理违例的方式 Switch(config-if)#switchport port-security violation shutdown 4、手工配置接口上的安全地址 Switch(config-if)#switchport port-security mac-address 00d0.d373.B060 5、查看安全配置： Switch#show port-security 六、设置广播风暴抑制功能 Switch(Config)#broadcast-suppression 参数：代表每秒钟允许通过的广播数据报的个数，取值范围为1~262143。 七、端口聚合 1、创建port group：Switch(Config)#port-group 1 //数字范围1-16 2、把物理端口加入组：Switch(Config-Ethernet0/0/1)#port-group 1 mode on 3、进入port-channel 配置模式：Switch(Config)#interface port-channel 1 4、修改链路模式：switchport mode trunk

第二部分 路由器配置 一、路由器基本配置 1、进入特权模式：Router>en 2、进入全局配置模式：Router#config 3、定义路由器的名字为DCR ：Router(Config)#hostname DCR 4、特权用户的口令：DCR (Config)#enable password 123456 5、启动远程服务功能：DCR (Config)#telnet-server enable 6、配置远程用户的口令：DCR (Config)#telnet admin password 7 admin 7、配置时钟频率：Router(Config-Serial2/0)#physical-layer speed 64000 8、配置用户登录路由器时认证：aaa authentication login default local line enable 9、配置进入特权模式时认证：aaa authentication enable default enable 10、配置路由器的用户名密码：username admin password 0 admin000 11、配置进入特权模式密码：enable password 0 admin000 level 15 二、静态路由配置 1、命令：ip route {|} [] 为路由优先级，取值范围为1～255，preference的值越小优先级越高。 Router(config)#ip route 1.1.1.0 255.255.255.0 2.1.1.1 2、默认路由 ip route 0.0.0.0 0.0.0.0{|} [] 三、单臂路由 1、打开端口： 2、进入子接口配置IP地址，并封装dot1q协议到对应的VLAN。 Router_config#interface f0/0.1 Router（config_f0/0.1）#ip address 192.168.100.1 255.255.255.0 Router（config_f0/0.1）#encapsulation dot1Q 100 //封装dot1Q到VLAN 100 Route（config_f0/0.1）#exit Router_config#interface f0/0.2 Router（config_f0/0.2）#ip address 192.168.200.1 255.255.255.0 Router（config_f0/0.2）#encapsulation dot1Q 200 //封装dot1Q到VLAN 200 Router（config_f0/0.2）#exit 四、动态路由协义配置 1、RIP协议 在DCR路由器上运行RIP路由协议的基本配置很简单，通常只需打开RIP开关、使能发送和接收RIP数据报，即按RIP缺省配置发送和接收RIP数据报（DCR路由器缺省发送RIP-II接收RIP-I和RIP-II） （1）启动RIP协议：Router(config)#router rip （2）配置RIP协义版本：Router(config-router-rip)#version 2 （3）配置接口使能发送/接收RIP数据报 Router(config-serial2/0)#ip rip work （4）配置引入路由（缺省路由权值、配置RIP中引入其它协议的路由） ❶缺省路由权值：Router(config-router-rip)#default-metric 3 //权值可设1-16 ❷路由重分发：redistribute { static | ospf } [ metric ] 缺省情况下，路由器不引入其它路由。值指定以多大的路由权值引入路由，不指定则按缺省路由权值（default-metric）引入，取值范围1~16。 Router(config-router-rip)#redistribute ospf metric 5 2、OSPF协议 （1）启动OSPF协议（必须） Router(Config)#router ospf （2）配置运行OSPF路由器的ID号（可选） router id 为路由器ID号，以IP地址表示，点分十进制格式。缺省情况下，不配置路由器ID号，OSPF运行时从各接口的IP地址中选一个作为路由器ID号。 Router(config)#router id 1.1.1.1 （3）配置运行OSPF的网络范围（可选） network area Router(Config-Router-Ospf)#network 10.0.0.0 0.0.0.255 area 1 （4）配置接口所属的域（必须） ip ospf enable area 要在某一个接口上运行OSPF协议，必须首先指定该接口属于一个区域。此命令用来在接口配置所属域。为该接口所属区域的区域号。缺省情况下，接口不配置成属于某个区域。 Router(Config-Serial2/0)#ip ospf enable area 1 （5）配置OSPF引入路由参数 ❶配置引入外部路由的缺省参数（缺省类型、缺省标记值、缺省代价值、缺省时间间隔和缺省数量上限） 缺省类型：default redistribute type { 1 | 2 } Router(Config-Router-Ospf)# default redistribute type 1 缺省标记值：default redistribute tag //范围1~2147483647 Router(Config-Router-Ospf)# default redistribute tag 0x80000001 缺省代价值：default redistribute cost //范围1~65535 Router(Config-Router-Ospf)# default redistribute cost 10 缺省时间间隔：default redistribute interval //范围1~65535 Router(Config-Router-Ospf)# default redistribute interval 3 缺省数量上限：default redistribute limit //范围1~65535 Router(Config-Router-Ospf)# default redistribute limit 100 ❷配置在OSPF中引入其它协议的路由（路由重分发） redistribute ospfase { connected | static | rip } [ type { 1 | 2 } ] [ tag ] [ metric ] connected表示引入直连路由作为外部路由信息，static表示引入静态路由作为外部路由信息，rip表示引入RIP协议发现路由作为外部路由信息；type指定路由的代价类型，1和2分别表示第一类外部路由和第二类外部路由；tag指定路由的标记，为路由的标记值，取值范围12147483648；metric指定路由的代价，为路由的代价值，取值范围116777215。缺省情况下，OSPF不引入外部路由。 Router(Config-Router-Ospf)#redistribute ospfase rip type 1 tag 3 metric 20 3、策略路由 ❶ 新建源网络访问控制列表 Router(config)#ip access-list net1 Router(config)# permit 10.1.1.0 0.0.0.255 ❷设置路由表 Router(config)#route-map pbr //建立路由表，名字为PBR Router(config-route-map)#Match ip address net1 //配置匹配该路由表的网络 Router(config-route-map)#Match length 150 1500 //设置报文的长度范围 Router(config-route-map)#Set ip next-hop 192.168.50.1 //下一跳地址 ❸应用到接口 Router(config)#int g0/4 Router(config)#ip policy route-map pbr

五、网络地址转换

第三部分 其它配置 一、MSTP配置（MSTP是基于STP或RSTP的，因此在配置前应开启任一模式） 1、开启生成树 命令：spanning-tree 2、设置交换机运行生成树的模式 命令：spanning-tree mode {mstp|stp} 3、进入MSTP域配置模式 命令：spanning-tree mst configuration 4、为域命名（域配置模式） 命令：name 5、将实例应用到VLAN（域配置模式） 命令：instance vlan 6、设置实例的优先级（在全局模式配置） 命令：spanning-tree mst priority 7、设置当前端口指定实例的优先级值（端口配置模式下） 命令：spanning-tree mst port-priority 二、ACL配置 （一）、标准的ACL access-list 10 {deny | permit} {{ } | any-source | {host-source }} （二）、命名标准ACL 1、命名 ip access-list standard acb 2、制定规则 {deny | permit} {{ } | any-source | {host-source }} 3、应用到接口 ip access-group 名称 in/out （三）、扩展的ACL access-list 102 {deny | permit} 协议类型 {{ } | any-source | {host-source}} {{ } | any-destination | {host-destination }} [precedence ] [tos][time-range] （四）、命名扩展ACL 1、命名 ip access-list extended acb 2、制定规则 [no] {deny | permit} 协议类型 {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [precedence ] [tos][time-range] 3、应用到接口 (五)、MAC命名扩展ACL 1、命名：mac-ip-access-list extended 2、制定规则 {deny|permit}{any-source-mac|{host-source-mac}|{}} {any-destination-mac|{host-destination-mac}|{}} 例：在SW3的3号接口上,要求mac为 00-FF-51-FD-AE-15的主机不能访问行政部的主机MAC地址为：E0-94-67-05-5D-84，其余主机正常访问。 mac-ip-access-list extended aaa deny host-source-mac 00-FF-51-FD-AE-15 host-destination-mac E0-94-67-05-5D-84 3、应用到接口 ip access-group 名称 in/out （六）、制定时间范围 1、命名 [no] time-range 2、一周之内的循环时间 [no] absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday| Sunday}to{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday| Sunday} 或 [no]periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}| daily| weekdays | weekend} to 3、绝对时间范围 [no]absolute start [end ] 三、DHCP 配置 1、创建地址池 命令：ip dhcp pool 2、配置地址可分配的范围及其它参数 （1）配置地址可分配范围 命令：network-address [ | ] （2）配置地址池租用期限 命令：lease { [] [][] | infinite } （3）配置DHCP客户机的缺省网关 命令：default-router [[…]] （4）配置DHCP客户机的DNS服务器地址 命令：dns-server [[…]] （5）配置WINS服务器的地址 命令：netbios-name-server [[…]] （6）配置DHCP客户机的节点类型 命令：netbios-node-type ｛b-node|h-node|m-node|p-node|｝ （7）配置WWW服务器的地址 命令：option {ascii | hex | ipaddress } （8）排除某个地址或地址范围不用于动态分配 命令：ip dhcp excluded-address [] （9）配置DHCP客户机的域名 命令：domain-name (10) 打开DHCP服务器Ping方式检测地址冲突的功能 命令：ip dhcp conflict ping-detection enable 3、启用DHCP服务 命令：service dhcp 4、DHCP手工分配 （1）、创建地址池 命令：ip dhcp pool （2）、绑定IP与MAC A.命令：host

Switch(Config)#dot1x enable↵ //打开交换机全局的802.1x 功能 Switch(Config)#interface ethernet 0/0/2↵ //进入端口 Switch(Config-Ethernet0/0/1)#dot1x enable↵ //打开交换机端口的802.1x 功能 Switch(Config-Ethernet0/0/1)#dot1x port-method macbased↵ //接口的接入方式为macbased Switch(Config-Ethernet0/0/1)#dot1x port-control auto↵ //接口的控制方式为auto Switch(Config-Ethernet0/0/1)#exit

七NTP配置 例：客服端 Switch(config)#ntp enable //开启NTP功能 Switch(config)#ntp server 192.168.1.11 //配置时间服务器地址 Switch(config)#ntp server 192.168.2.11 //配置时间服务器地址

八端口镜像设置 1、指定镜像源端口： Switch(Config)#monitor session　  source interface e 端口列表　｛tx,rx,both｝　rx为镜像源 端口接收的流量；tx为镜像从源端口发出的流量；both为源端口入和出的流量。 2、指定镜像目的端口； Switch(Config)#monitor session destination interface 例： S4600-28P-SI(config)#monitor session 1 source interface e1/0/1 S4600-28P-SI(config)#monitor session 1 destination interface e1/0/3 九Qos (一)路由器的Qos 网络组件处理接收通信量溢出的一个方法是：使用队列算法对通信按照优先次序排在输出链接上。一般有：FIFO，PQ（Priority Queuing），CQ（Custom Queuing），SFQ（Fair Queuing）以及WFQ（Weighted Fair Queuing）。 1.PQ（Priority Queuing）配置任务序列 1)定义特定的访问控制列表（如果要用到它们的话） 2)创建优先级列表 priority-list protocol {high | medium | normal | low} 或：priority-list interface {high | medium | normal | low}

*任何不匹配优先级队列中任何一行的流量将被放入到缺省队列中。对于优先级队列，如果没有定义，缺省队列是normal。下面的命令用于安排一个缺省队列： priority-list default {high | medium |normal |low} *为了给每一个优先级队列指定所能够容纳的最大数据包个数，可以在全局配置模式下使用下面的命令： priority-list queue-limit [ ] 3)把优先级列表应用到接口上 priority-group 4)配置接口上的驱动队列长度 （可选项） serial queue 取值可为2、4、8和16 配置示范：配置串口1的驱动队列长度为4。 Router(config)#interface serial 2/0 Router(config-serial2/0)#serial queue 4 5)验证队列过程（可选项） show queuing priority 例： Router(config)#queue-list 1 protocol ip 1 tcp 23 放入到高优先级队列 Router(config)#priority-list 1 interface ethernet 0 high //接口0的流量都被放入到高优先级 Router(config)#priority-list 1 protocol ip middle //IP流量被放入到medium队列中 Router(config)#priority-list 1 protocol ipx middle //IPX流量被放入到medium队列中 Router(config)#priority-list 1 default low //缺省队列是LOW Router(config)#priority-list 1 queue-limit 10 40 60 90 //high，middle，normal，low的10，40，60，90 2.CQ（Custom Queuing）配置任务序列 1)定义特定的访问控制列表（如果要用到它们的话） 2)创建自定义队列 queue-list protocol < keyword-value> *使用如下命令，可以指定任何经过一特定接口进入路由器的数据流到一特定队列： queue-list interface 3)指定自定义队列的最大容量 queue-list queue limit 使用以下命令能改变字节总数阈值： queue-list queue byte-count 4)把自定义队列应用到接口上 custom-queue-list 5)验证队列过程（可选项） show queuing custom

例： Router(config)#queue-list 1 interface ethernet 0 6 //接口0的数据流放入到队列6中 Router(config)#queue-list 1 protocol ip 1 tcp 21 Router(config)#queue-list 1 protocol ip 2 //IP流量均放入到队列2中 Router(config)#queue-list 1 protocol ipx 3 IPX流量放入到队列3中 Router(config)#queue-list 1 default 5 //不匹配以上规则的流量放到队列5中 Router(config)#queue-list 1 queue 1 limit 60 //队列1要处理60个记录（数据包） Router(config)#queue-list 1 queue 1 byte-count 4500 //队列1要处理4500个字节 (二)交换机QoS 1． 启动QoS 功能 mls qos 2． 配置分类表（classmap） 建立一个分类规则，可以按照ACL，VLAN ID，IP Precedence，DSCP（差分服务代码点）来分类。 建立一个class-map（分类表），并进入class-map 模式 class-map 设置分类表中的匹配标准；本命令的no操作为删除指定的匹配标准。 match {access-group | ip dscp | ip precedence| vlan } 3． 配置策略表（policymap） 建立一个策略表，可以对相应的分类规则进行带宽限制，优先级降低等操作。 (1)建立一个policy-map（策略表），并进入policy-map（策略表）模式； policy-map (2)建立一个 class（策略分类表），并进入 class (3)为分类后的流量分配一个新的DSCP和IP Precedence 值； set {ip dscp | ip precedence} (4)为分类后的流量配置一个策略； police [exceed-action {drop |policed-dscp-transmit}] (5)定义一个集合策略，这个策略可以在同一个策略表内部被多个策略分类表使用； mls qos aggregate-policer exceed-action {drop|policed-dscp-transmit} (6)为分类后的流量应用一个集合策略； police aggregate 4． 将QoS 应用到端口 配置端口的信任模式，或者绑定策略。策略只有绑定到具体的端口，才在此端口生效。 (1)配置交换机端口信任状态 mls qos trust [cos [pass-through dscp]|dscp[pass-through cos]|ip-precedence [pass-throughcos]|port priority ] (2)配置交换机端口的缺省CoS值； mls qos cos { } (3)在端口上应用一个策略表 service-policy {input | output} (4)在端口上应用 DSCP 转换映射，本命令的no 操作为恢复DSCP 转换映射的缺省值。 mls qos dscp-mutation 5． 配置出队队列工作方式和权重 将出队工作方式配置为PQ 方式或者WRR 方式，设置4 个出口队列带宽的比例，以及 内部优先级到出口队列的映射关系，都是全局命令，对所有端口生效。 (1)设置交换机所有端口出队列的WRR 权重 wrr-queue bandwidth (2)配置队列出队工作方式，将队列配置成pq出队工作方式 priority-queue out (3)设置CoS 值对应交换机端口出队列的映射 wrr-queue cos-map 6． 配置QoS 映射关系 配置cos 到dscp，dscp 到cos，dscp mutation，ip precedent 到dscp，policed-dscp 的映射关系。 设置CoS-to-DSCP 映射，DSCP-to-CoS 映射，DSCP-to-DSCP-mutation映射，IP-precedence-to-DSCP映射和policed-DSCP 映射； mls qos map {cos-dscp | dscp-cos to | dscp-mutation to |ip-prec-dscp | policed-dscp to } 7.显示QoS 的集合策略配置信息。 命令：show mls qos aggregate-policer [] Switch #show mls qos aggregate-policer policer1 8.显示QoS 的全局配置信息。 命令：show mls-qos 例：在SWB上设置PCA的流量不能超过5M

第四部分 DCFW-1800系列防火墙配置 管理员首次登录 � 默认管理员帐号为 admin，密码为 admin。 � 默认管理口：防火墙第一个网口 E1 口， （没有 E1 口的，为 GE1 或 S1G1 口， 以 下用 E1 代替）可登录超级终端。 � 可管理 IP：E1 口上的默认 IP 地址为 192.168.1.1/255.255.255.0。 � 应将管理主机IP与E1号设在同一网段。

第五部分 无线配置 三层发现： 一、AC上的配置 1、基础配置 1）新建VLAN 10、VLAN 20，VLAN 10用于AP，VLAN 20用于无线用户;设置VLAN 10地址：192.168.10.253。 2）AC与核心交换机连接的端口改为TRUNK模式; 3）Ip route 0.0.0.0/0 192.168.10.254 2、AC上新建一个DHCP地址池，该地址池用于分配AP地址。 DCWS-6028(config)#service dhcp DCWS-6028(config)#ip dhcp excluded-address 192.168.20.254 DCWS-6028(config)#ip dhcp pool ap DCWS-6028(dhcp-ap-config)#network-address 192.168.10.0 255.255.255.0 DCWS-6028(dhcp-ap-config)#lease 0 1 0 DCWS-6028(dhcp-ap-config)#default-router 192.168.10.253 DCWS-6028(dhcp-ap-config)#dns-server 202.106.0.20 8.8.8.8 DCWS-6028(dhcp-ap-config)#option 43 hex 010C0A8010A //配置 option43携带AC地址，hex 01040A0A0A0A为固定格式：0104固定字符，C0A8010A代表AC的IP地址，16进制 DCWS-6028(dhcp-ap-config)#option 60 ascii udhcp 1.18.2 //配置option60对应版本属性号 3、DCWS-6028（config）#wireless DCWS-6028(config-wireless)#enable //打开无线功能 DCWS-6028(config-wireless)#discovery vlan-list 10 //指定VLAN发现列表 4、DCWS-6028(config-wireless)#no auto-ip-assign //关闭无线IP地址的自动选取功能 DCWS-6028(config-wireless)#static-ip 192.168.10.253 //指定静态无线IP DCWS-6028(config-wireless)#network 1//进入network1 DCWS-6028(config-network)#vap0 // 每个network唯一对应一个VAP，这里network1对应VAP0 DCWS-6028(config-network)#ssid dcn_wlan //配置无线ID名称为dcn_wlan DCWS-6028(config-network)#hide ssid //隐藏ID DCWS-6028(config-network)#vlan 20 //该 vlan 为用户vlan DCWS-6028#wireless ap lan port configuration apply profile 1 //墙面AP面板LAN口vlan配置下发 DCWS-6028(config-wireless)#ap database 00-03-0f-19-71-e0 //添加AP的MAC地址 DCWS-6028(config-ap)#profile 1 //AP 加入profile DCWS-6028(config-ap)#radio 1 channel 1 //固定信道 DCWS-6028(config-wireless)#ap authentication none //AP 上线认证为不认证 DCWS-6028(config-wireless)#ap authentication mac //根据AP的MAC地址认证 DCWS-6028(config-wireless)#ap profile 1 进入AP 配置文件 DCWS-6028(config-ap-profile)#hwtype 29 //AP的硬件类型，用SHOW vendor命令可查看AP类型 DCWS-6028(config-ap-profile)#lan port vlan 20 //该vlan为用户vlan DCWS-6028(config-ap-profile)#radio 1 5、配置native vlan DCWS-6028(config)#interface Ethernet 1/0/1-2 //AP与POE(SW3)所连接的端口 DCWS-6028(config-if-port-range)#switchport mode trunk DCWS-6028(config-if-port-range)#switchport trunk native vlan 10 //AP所在vlan下发配置 DCWS-6028#wireless ap profile apply 1 //AP 所在 profile DCWS-6028#wireless ap reset //重启AP 6、WEP加密方式 DCWS-6028(config-wireless)#network 1//进入网络1 DCWS-6028(config-network)#security mode static-wep //配置安全策略为静态WEP DCWS-6028(config-network)#wep authentication share-key //配置WEP为共享密钥认证方式 DCWS-6028(config-netwrok)#wep key type ascii //wep加密类型为ascii DCWS-6028(config-network)#wep key length 64//wep密钥长度64位 DCWS-6028(config-network)#wep key 1 12345 //密钥12345 DCWS-6028(config-network)#wep tx-key 1 //配置加密使用哪一个 share-key 7、只允许已添加MAC的终端连接AP DCWS-6028(config-wireless)#mac-authentication-mode white-list DCWS-6028(config-wireless)#known-client 00-11-11-11-11-11 action global-action DCWS-6028(config-wireless)#network 1 DCWS-6028(config-network)#mac authentication local 阻止已添加MAC的终端连接AP DCWS-6028(config-wireless)#mac-authentication-mode black-list DCWS-6028(config-wireless)#known-client 00-22-22-22-22-22 action global-action DCWS-6028(config-wireless)#network 1 DCWS-6028(config-network)#mac authentication local 配置完成后需下发AP生效 DCWS-6028#wireless ap profile apply 1 二、核心交换机（SW1）配置 1、基础配置 1）、核心交换机与AC连接的端口e1/0/1，与POE连接的端口为e1/0/1，e1/0/1和e1/0/1端口改为TRUNK模式 2）、新建VLAN 10和VLAN 20，并设置IP地址分别为192.168.10.254和192.168.20.254 2、核心交换机SW1上新建一个DHCP地址池，该地址池用于分配无线用户地址 DCWS-6028(config)#ip dhcp pool sta DCWS-6028(dhcp-ap-config)#network-address 192.168.20.0 255.255.255.0 DCWS-6028(dhcp-ap-config)#lease 0 0 20 DCWS-6028(dhcp-ap-config)#default-router 192.168.20.254 DCWS-6028(dhcp-ap-config)#dns-server 202.106.0.20 8.8.8.8 DCWS-6028(config)#service dhcp 三、POE（SW3）配置 1、新建VLAN 10和VLAN 20 2、POE与核心交换机连接的端口e1/0/24，与AP连接的端口为e1/0/7，e1/0/24和e1/0/7端口改为TRUNK 3、设置与AP连接端口 DCWS-6028(config)#interface Ethernet 1/0/7 DCWS-6028(config-if-port)#switchport mode trunk DCWS-6028(config-if-port)# switchport trunk native vlan 10 // 设置默认VLAN