华为交换机配置
端口表示方法 E1/0/1
显示系统版本信息:display version
显示诊断信息:display diagnostic-information
显示系统当前配置:display current-configuration
显示系统保存配置: display saved-configuration
显示接口信息:display interface
显示路由信息:display ip routing-table
显示 VLAN 信息:display vlan
显示生成树信息:display stp
显示 MAC 地址表:display mac-address
显示 ARP 表信息:display arp
显示系统 CPU 使用率:display cpu
显示系统内存使用率:display memory
显示系统日志:display log
显示系统时钟:display clock
验证配置正确后,使用保存配置命令:save
删除某条命令,一般使用命令: undo
system-view 进入配置模式
操作完毕后 save 保存配置
quit 退出接口模式到系统视图
按 Tab 键可以自动跳出完整命令
1、创建 VLAN
vlan 2
删除 VLAN
undo vlan 2
2、把端口划入 VLAN
int e1/0/2
port access vlan 3
端口退出 vlan(在 vlan 里删除端口)
inter vlan 10
undo port e 1/0/1
3、设置 trunk 端口
port link-type trunk(
access 为普通端口)4、设置 SNMP
# 设置团体名为 mgr,并且可以进行读写访问。
[Sysname] snmp-agent community write mgr
# 删除团体名 comaccess。
[Sysname] undo snmp-agent community comaccess
时间同步
[Sysname] interface Vlan-interface1
[Sysname-Vlan-interface1] ntp-service broadcast-client
用户:
local-user <>
password simple/cipher <>
services-type terminal/telnet/ssh
配置了认证登录后,必须配置用户的类型,否则会出现超级终端上登录不了的情况,
同时配 level 3,否则 telnet 后没有相应的操作权限
5、配 console
user-interface aux 0
authentication-mode scheme/password
local-user 用户名
password cipher 密码
service-type telnet terminal level 3
q
配 Telnet
user-interface vty 0 4
authentication-mode scheme【方案】
save
一般步骤:
先创建用户
设置密码
设置用户类型
配置 console 加密
配置 telnet 加密
6、更改主机名
sysname name
7、设置端口名称 端口描述8、设置交换机管理地址
interface Vlan-interface 1
ip address 129.12.0.1 255.255.255.0
9、备份文件
tftp 1.1.1.1 get abc.txt efg.txt
tftp 1.1.1.1 put config.cfg temp.cfg
10、配置静态路由:
ip route 129.1.0.0 255.255.0.0 10.0.0.2
11、恢复出厂配置
<H3C>reset saved-configuration
<H3C>reboot
出厂配置没有用户名和密码,恢复出厂设置后设置的用户名和密码依然存在;
12、配置生成树(预防环路发生)
stp enable
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enablestp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
交换机命令
~~~~~~~~~~
[Quidway]dis cur
;显示当前配置
[Quidway]display current-configuration
;显示当前配置
[Quidway]display interfaces
;显示接口信息
[Quidway]display vlan all
;显示路由信息
[Quidway]display version
;显示版本信息
[Quidway]super password
;修改特权用户密码
[Quidway]sysname
;交换机命名
[Quidway]interface ethernet 0/1
;进入接口视图
[Quidway]interface vlan x
;进入接口视图
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0
;配置 VLAN 的 IP 地
址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2
;静态路由=网关
[Quidway]rip
;三层交换支持
[Quidway]local-user ftp
[Quidway]user-interface vty 0 4
;进入虚拟终端
[S3026-ui-vty0-4]authentication-mode password
;设置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令
[S3026-ui-vty0-4]user privilege level 3
;用户级别
[Quidway]interface ethernet 0/1
;进入端口模式
[Quidway]int e0/1
;进入端口模式
[Quidway-Ethernet0/1]duplex {half|full|auto}
;配置端口工作状态
[Quidway-Ethernet0/1]speed {10|100|auto}
;配置端口工作速率
[Quidway-Ethernet0/1]flow-control
;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal}
;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid}
;设置端口工作模式
[Quidway-Ethernet0/1]port access vlan 3
;当前端口加入到 VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All}
;设 trunk 允许的 VLAN
[Quidway-Ethernet0/3]port trunk pvid vlan 3
;设置 trunk 端口的 PVID
[Quidway-Ethernet0/1]undo shutdown
;激活端口
[Quidway-Ethernet0/1]shutdown
;关闭端口
[Quidway-Ethernet0/1]quit
;返回
[Quidway]vlan 3
;创建 VLAN[Quidway-vlan3]port ethernet 0/1
;在 VLAN 中增加端
口
[Quidway-vlan3]port e0/1
;简写方式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4
;在 VLAN 中增加端口
[Quidway-vlan3]port e0/1 to e0/4
;简写方式
[Quidway]monitor-port <interface_type interface_num>
;指定镜像端口
[Quidway]port mirror <interface_type interface_num>
;指定被镜像端口
[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像
[Quidway]description string
;指定 VLAN 描述字符
[Quidway]description
;删除 VLAN 描述字符
[Quidway]display vlan [vlan_id]
;查看 VLAN 设置
[Quidway]stp {enable|disable}
;设置生成树,默认关闭
[Quidway]stp priority 4096
;设置交换机的优先级
[Quidway]stp root {primary|secondary}
;设置为根或根的备份
[Quidway-Ethernet0/1]stp cost 200
;设置交换机端口的花费
[Quidway]link-aggregation e0/1 to e0/4 ingress|both
; 端口的聚合
[Quidway]undo link-aggregation e0/1|all
; 始端口为通道号
[SwitchA-vlanx]isolate-user-vlan enable
;设置主 vlan
[SwitchA]isolate-user-vlan <x> secondary <list>
;设置主 vlan 包括的
子 vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id>
;设置 vlan 的 pvid
[Quidway-Ethernet0/2]port hybrid pvid
;删除 vlan 的 pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged
;设置无标识的 vlan
如果包的 vlan id 与 PVId 一致,则去掉 vlan 信息. 默认 PVID=1。
所以设置 PVID 为所属 vlan id, 设置可以互通的 vlan 为 untagged.
---------------------------------------
-
路由器命令
~~~~~~~~~~
[Quidway]display version
;显示版本信息
[Quidway]display current-configuration
;显示当前配置
[Quidway]display interfaces
;显示接口信息
[Quidway]display ip route
;显示路由信息
[Quidway]sysname aabbcc
;更改主机名
[Quidway]super passwrod 123456
;设置口令
[Quidway]interface serial0
;进入接口
[Quidway-serial0]ip address <ip> <mask|mask_len>
;配置端口 IP 地址
[Quidway-serial0]undo shutdown
;激活端口
[Quidway]link-protocol hdlc
;绑定 hdlc 协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit[Quidway]debugging hdlc all serial0
;显示所有信息
[Quidway]debugging hdlc event serial0
;调试事件信息
[Quidway]debugging hdlc packet serial0
;显示包的信息
静态路由:
[Quidway]ip
route-static
<ip><mask>{interface
number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip
;设置动态路由
[Quidway]rip work
;设置工作允许
[Quidway]rip input
;设置入口允许
[Quidway]rip output
;设置出口允许
[Quidway-rip]network 1.0.0.0
;设置交换路由网络
[Quidway-rip]network all
;设置与所有网络交换
[Quidway-rip]peer ip-address
;
[Quidway-rip]summary
;路由聚合
[Quidway]rip version 1
;设置工作在版本 1
[Quidway]rip version 2 multicast
;设版本 2,多播方式
[Quidway-Ethernet0]rip split-horizon
;水平分隔
[Quidway]router id A.B.C.D
;配置路由器的 ID
[Quidway]ospf enable
;启动 OSPF 协议
[Quidway-ospf]import-route direct
;引入直联路由
[Quidway-Serial0]ospf enable area <area_id>
;配置 OSPF 区域
标准访问列表命令格式如下:
acl <acl-number> [match-order config|auto]
;默认前者顺序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
扩展访问控制列表配置命令
配置 TCP/UDP 协议的扩展访问列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip
wild>|any}
[operate]
配置 ICMP 协议的扩展访问列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip
wild>|any]
[icmp-code] [logging]
扩展访问控制列表操作符的含义equal portnumber
;等于
greater-than portnumber
;大于
less-than portnumber
;小于
not-equal portnumber
;不等
range portnumber1 portnumber2
;区间
扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1
0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp
source any destination
10.0.0.1 0.0.0.0
destination-port equal ftp
[Quidway-acl-103]rule permit tcp
source any destination
10.0.0.2 0.0.0.0
destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址转换配置举例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101
;内部指定主机可以进入 e0
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]quit
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway]acl 102
;外部特定主机和大于 1024 端口的数据包允许进入 S0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule
permit
tcp
source
any
destination
202.38.160.1
0
destination-port great-than
1024
[Quidway-acl-102]quit[Quidway]int s0
[Quidway-Serial0]firewall packet-filter 102 inbound
;设 202.38.160.1 是路由器
出口 IP。
[Quidway-Serial0]nat outbound 101 interface
;是 Easy ip,将 acl 101 允许的 IP 从
本接口出时变换源地址。
内部服务器地址转换配置命令(静态 nat):
nat server global <ip> [port] inside <ip> port [protocol]
;global_port 不写时
使用 inside_port
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
设有公网 IP:202.38.160.101~202.38.160.103 可以使用。
;对外访问(原例题)
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1
;建立地址池
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
;指定允许的内部网络
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1
;在 s0 口从地址池取出
IP 对外访问
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP 设置:
[Quidway-s0]link-protocol ppp
;默认的协议
PPP 验证:
主验方:pap|chap
[Quidway]local-user q2 password {simple|cipher} hello
;路由器 1
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user q1
;pap 时,没有此句
pap 被验方:
[Quidway]interface serial 0
;路由器 2
[Quidway-serial0]ppp pap local-user q2 password {simple|cipher} hello
chap 被验方:
[Quidway]interface serial 0
;路由器 2
[Quidway-serial0]ppp chap user q2
;自己路由器名
[Quidway-serial0]local-user q1 password {simple|cipher} hello ;对方路由器名
帧中继 frame-relay
(二分册 6-61)
[q1]fr switching
[q1]int s1
[q1-Serial1]ip address 192.168.34.51 255.255.255.0
[q1-Serial1]link-protocol fr
;封装帧中继协议[q1-Serial1]fr interface-type dce
[q1-Serial1]fr dlci 100
[q1-Serial1]fr inarp
[q1-Serial1]fr map ip 192.168.34.52 dlci 100
[q2]int s1
[q2-Serial1]ip address 192.168.34.52 255.255.255.0
[q2-Serial1]link-protocol fr
[q2-Serial1]fr interface-type dte
[q2-Serial1]fr dlci 100
[q2-Serial1]fr inarp
[q2-Serial1]fr map ip 192.168.34.51 dlci 100
帧中继监测
[q1]display fr lmi-info[]interface type number]
[q1]display fr map
[q1]display fr pvc-info[serial interface-number][dlci dlci-number]
[q1]display fr dlci-switch
[q1]display fr interface
[q1]reset fr inarp-info
[q1]debugging fr all[interface type number]
[q1]debugging fr arp[interface type number]
[q1]debugging fr event[interface type number]
[q1]debugging fr lmi[interface type number]
启动 ftp 服务:
[Quidway]local-user ftp password {simple|cipher} aaa service-type ftp
[Quidway]ftp server enable
inte***ce M-Ethernet0/0/0 是 CPU 板的管理口
华为 6506 下加入 ACL 步骤:
先进入配置模式.
<SW6506>sys
System View: return to User View with Ctrl+Z
[SW6506]
建立访问控制列表
[SW6506]acl number 4012
[SW6506-acl-adv-4012]
[SW6506-acl-adv-4012]rule 0 permit icmp source 10.1.43.0 0.0.0.255 destination
10.1.2.11 0
[SW6506-acl-adv-4012]rule 1 deny icmp source 10.1.0.0 0.0.255.255 destination
10.1.2.11 0
进入接口模式
[SW6506]int g4/0/43
[SW6506-GigabitEthernet4/0/43]qosThis interface's qos performance is limited as following:
The number of rules that can be made active is <= 120/(interface).
The number of traffic statistics that can be made active is <= 32/(interface).
The number of traffic bandwidth limits that can be made active is <= 60/(inter
face).
[SW6506-qosb-GigabitEthernet4/0/43]pack
[SW6506-qosb-GigabitEthernet4/0/43]packet-filter ?
inbound Apply the acl on inbound packets of the interface
[SW6506-qosb-GigabitEthernet4/0/43]packet-filter inbound ?
ip-group
Apply the basic or advanced acl
link-group Apply the link-based acl
user-group Apply the user-defined acl
[SW6506-qosb-GigabitEthernet4/0/43]packet-filter inbound ip-
2XJDZJ-SW-S6506-01-qosb-GigabitEthernet4/0/43]packet-filter
inbound
ip-group
4012
将 ACL 应用到接口,再 dis cu int g4/0/43 进行查看.
[SW6506-qosb-GigabitEthernet4/0/43]dis cu int g4/0/43
#
interface GigabitEthernet4/0/43
port access vlan 143
qos
packet-filter inbound ip-group 4012 rule 0 system-index 1
packet-filter inbound ip-group 4012 rule 1 system-index 2
#
return
[SW6506-qosb-GigabitEthernet4/0/43]
取消接口上的应用
[SW6506-qosb-GigabitEthernet4/0/43]qos
This interface's qos performance is limited as following:
The number of rules that can be made active is <= 120/(interface).
The number of traffic statistics that can be made active is <= 32/(interface).
The number of traffic bandwidth limits that can be made active is <= 60/(inter
face).
[SW6506-qosb-GigabitEthernet4/0/43]undo pack
[SW6506-qosb-GigabitEthernet4/0/43]undo packet-filter inbound ?
ip-group
Apply the basic or advanced acl
link-group Apply the link-based acl
user-group Apply the user-defined acl
[SW6506-qosb-GigabitEthernet4/0/43]undo packet-filter inbound ip-group 4012
[SW6506-qosb-GigabitEthernet4/0/43]本
文
来
自
CSDN
博
客
,
转
载
请
标
明
出
处
:
http://blog.csdn.net/zhrmghl/archive/2007/05/30/1632101.aspx
换机为 H3C S3600-28TP-SI。欲限制部分用户对一些设备 FTP、SSH、VNC SERVER 的访问。
在奥运期间加强设备的安全性。
该交换机的 ACL 可以作用在端口的 OUT 或 IN 方向上。考虑到所做的 ACL 想对个别的接
口连接设备起作用,所以将 ACL 应用到接口的出的方向上。
(
1)首先定义 ACL。
acl number 3001
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp-data
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp
rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp-data
rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp
rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp-data
rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 22
rule permit tcp source 10.65.252.0 0.0.0.128 destination-port eq 22
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 5901
rule deny tcp destination-port eq ftp-data
rule deny tcp destination-port eq ftp
rule deny tcp destination-port eq 22
rule deny tcp destination-port eq 5901
(
2)在接口上应用。
packet-filter outbound ip-group 3001
(
3)显示接口上的应用
[XJDZJ-WL-3628-01]dis cu int e1/0/5
#
interface Ethernet1/5
packet-filter outbound ip-group 3001 rule 0
packet-filter outbound ip-group 3001 rule 1
packet-filter outbound ip-group 3001 rule 2
packet-filter outbound ip-group 3001 rule 3packet-filter outbound ip-group 3001 rule 4
packet-filter outbound ip-group 3001 rule 5
packet-filter outbound ip-group 3001 rule 6
packet-filter outbound ip-group 3001 rule 7
packet-filter outbound ip-group 3001 rule 8
packet-filter outbound ip-group 3001 rule 9
packet-filter outbound ip-group 3001 rule 10
packet-filter outbound ip-group 3001 rule 11
packet-filter outbound ip-group 3001 rule 12
开门直接写,不废话.
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
des cription ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunkinte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
des cription server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
H3C 交换机配置命令 2008-11-11 16:32 配置终端操作密码:
[ST-ZC501-LSW-R4C14.I.S2403]user-interface aux 0
/进入用户 0 模式
[ST-ZC501-LSW-R4C14.I.S2403-ui-aux0]authentication-mode password /配置密码
无操作自动断开连接:
idle-timeout minutes 10 /10 分钟无操作自动断开连接
idle-timeout seconds 10 /10 秒钟无操作自动断开连接
锁定用户:
<ST-ZC501-LSW-R4C14.I.S2403>lock /锁定当前用户(接着输入密码,解除按回车输入
刚才的密码就行了)。
开启 telnet 服务:
[ST-ZC501-LSW-R4C14.I.S2403]telnet server enable
/启动 telnet 服务(默认关闭)
强制用户下线:
<ST-ZC501-LSW-R4C14.I.S2403>free web-users all /强制所有在线 WEB 用户下线
查看端口接收、传送、丢弃报文数:
<ST-ZC501-LSW-R4C14.I.S2403>display garp statistics interface (加端口号) 查
/看端口接收和传送和丢弃的 GVRP 报文数
VTP 配置:
gvrp registration fixed
/端口模式下配置(相当于思科的服务器模式 VTP)____必须
在 trunk 工作模式的端口下。
gvrp registration forbidden /端口模式下配置(相当于思科的透明模式 VTP)____必
须在 trunk 工作模式的端口下。
gvrp registration normal /端口模式下配置(相当于思科的客户端模式 VTP)____必须
在 trunk 工作模式的端口下。
[ST-ZC501-LSW-R4C14.I.S2403]stp disable
bpdu-tunnel dot1q stp
/VTP 的开启(端口下或全局模式下)默认关闭
undo bpdu-tunnel dot1q stp
/关闭 VTP(端口下或全局模式下)
指定以太网端口通过的最大广播百分比:
broadcast-suppression
(1-100)
/指定以太网端口允许通过的最大广播
流量占该端口传输能力的百分比(默认关闭)——打开此功能可以保证正常
流量的传输。
查看本端系统的设备 ID,包括 LACP 协优先级与 MAC 地址:
display lacp system-id
优先级设置为 64(值越小优先级越大):
[ST-ZC501-LSW-R4C14.I.S2403]lacp system-priority 64
端口聚合命名:[ST-ZC501-LSW-R4C14.I.S2403]link-aggregation group 1 description /名字
创建组号为 8 的手工聚合组:
[ST-ZC501-LSW-R4C14.I.S2403]link-aggregation group 8 mode manual
/把端口加入到组号为 8 的手工聚合组:
端口下 port link-aggregation group 8
进入聚合端口组 8 模式:
[ST-ZC501-LSW-R4C14.I.S2403]port-group aggregation 8
[ST-ZC501-LSW-R4C14.I.S2403-port-group-aggregation-8] 此命令不能添加或删
除端口组成员,只能进行对聚合相关的配置命令,包括 STP、VLAN、QOS、GVRP、
TELNET、MAC 等配置。
端口下绑定 IP 及 MAC 地址:
user-bind ip-address 121.11.86.72 mac-address 0101-0101-0101
查看非正常阻塞端口(任意视图下):
display stp abnormal-port 里显示结果为 Reason 项里 Formatcompatibility
rotected
查看被 STP 保护功能 down 掉的端口信息(任意视图下):
display stp down-port
查看所有 MSTP 实例的根桥信息(任意视图下):
dis stp root
清除生成树的统计信息(用户视图下):
reset stp
reset stp interface 端口号------消除指定端口生成树的统计信息。
查看已经生效的 MST 域(生成树)的配置信息:
display stp region-configuration
开启和关闭 stp 功能:
[ST-ZC501-LSW-R4C14.I.S2403]stp enable 开启全局 stp
端口下关闭 stp:
stp disable
端口下设置端口的路径开销(根桥):
stp instance 0 cost 16 ______指定生成树实例0的路径开销为 16
指定当前设备为生成树实例0的根桥:
stp instance 0 root primary
指定当前设备为生成树实例0的备份根桥:
stp instance 0 root secondary
端口下启动端口的根保护功能:
stp root-protection
端口下配置以太网端口为边缘端口(即直接转发端口——不阻塞端口):
stp edged-port disable
端口下开启环路保护功能:
stp loop-protection
路由命令查看路由表中当前激活路由的摘要信息:
display ip routing-table
查看通过基本访问控制列表 ACL2000 过滤的,处于 active 状态的路由的摘要信息:
display ip routing-table acl 2000
查看通过基本访问控制列表 ACL2000 过滤的,处于 active 和 inactive 的路由的详细信息:
display ip routing-table acl 2000 verbose
查看所有直连路由的摘要信息:
display ip routing-table protocol direct
查看所有静态路由表:
display ip routing-table protocol static
查看路由的综合信息:
dispaly ip routing-table statistics
清除路由表中所有路由协议的统计信息:
reset ip routing-table statistics protcol all
静态路由配置:
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 目的地址/掩码 下一跳 IP tag 50
删除静态路由:
[ST-ZC501-LSW-R4C14.I.S2403]undo ip route-static 目的地址/掩码 下一跳 IP tag
50
配置静态路由的缺省优先级为 120 默认为 60)
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static default-perference 120
将 OSPF 区域 1 中两个网段 11.1.1.0/24 和 11.1.2.0/24 的路由聚合成一条聚合路由
11.1.0.0/16 向其它区域发布:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 1
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]network 11.1.1.0 0.0.0.255
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]network 11.1.2.0 0.0.0.255
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]abr-summary 11.1.0.0
255.255.0.0
创建 OSPF 区域 0 并进入 ospf 区域视图:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 0 (删除则 undo area 0)
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.0]
设置 ospf 对引入的路由进行聚合:
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 11.1.1.0 24 null 0
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 11.1.2.0 24 null 0
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]import-route static
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]asbr-summary 11.1.0.0 255.255.0.0 tag
2 cost 100
指定 OSPF 区域 0 支持 MD5 密文验证模式:
一个区域中所有路由器的验证模式必须一致(不验证\使用简单验证\使用 MD5 密文验证)[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 0
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.0]authentication-mode md5
设置链路的带宽参考值为 1000Mbps:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]bandwidth-reference 1000
设置外部路由缺省值开销 10、类型 2、标记 100 和一次引入的数量上限 20000:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]default cost 10 limit 20000 tag 100
type 2
将产生的缺省路由引入到 OSPF 路由区域(本地路由器的路由表中不存在缺省路由):
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]default-route-advertise always
路由 OSPF 描述:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]description 123456
查看 OSPF 路由信息:
[ST-ZC501-LSW-R4C14.I.S2403]display ospf abr-asbr
查看 OSPF 的所有引入路由聚合信息:
display ospf asbr-summary
查看 OSPF 的错误信息:
display ospf (可加区域号) error
查看 OSPF 接口信息(如果不指定 OSPF 进程号,将显示所有 OSPF 进程的接口信息):
display ospf interface
显示 SOPF 的下一跳信息:
display ospf nexthop
查看 OSPF 邻居详细信息:
display ospf peer verbose
查看 OSPF 邻居概要信息:
display ospf peer
查看所有 OSPF 邻居的统计信息:
display ospf peer statistics
查看 OSPF 请求列表信息(如果不指定 OSPF 进程号,将显示所有 OSPF 进程的请求列表信
息):
display ospf request-queue
查看 OSPF 路由表的信息:
display ospf routing
开启 OSPF 日志信息开关(默认关闭):
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]enable log
个人总结的一些华为命令
个人总结的一些华为命令个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
H3C S3100
华为交换机配置
端口表示方法 E1/0/1
显示系统版本信息:display version
显示诊断信息:display diagnostic-information
显示系统当前配置:display current-configuration
显示系统保存配置: display saved-configuration
显示接口信息:display interface
显示路由信息:display ip routing-table
显示 VLAN 信息:display vlan
显示生成树信息:display stp
显示 MAC 地址表:display mac-address
显示 ARP 表信息:display arp
显示系统 CPU 使用率:display cpu
显示系统内存使用率:display memory
显示系统日志:display log
显示系统时钟:display clock
验证配置正确后,使用保存配置命令:save
删除某条命令,一般使用命令: undosystem-view 进入配置模式
操作完毕后 save 保存配置
quit 退出接口模式到系统视图
按 Tab 键可以自动跳出完整命令
1、创建 VLAN
vlan 2
删除 VLAN
undo vlan 2
2、把端口划入 VLAN
int e1/0/2
port access vlan 3
端口退出 vlan(在 vlan 里删除端口)
inter vlan 10
undo port e 1/0/1
3、设置 trunk 端口
port link-type trunk(
access 为普通端口)
4、设置 SNMP
# 设置团体名为 mgr,并且可以进行读写访问。
[Sysname] snmp-agent community write mgr
# 删除团体名 comaccess。
[Sysname] undo snmp-agent community comaccess
时间同步
[Sysname] interface Vlan-interface1
[Sysname-Vlan-interface1] ntp-service broadcast-client
用户:
local-user <>
password simple/cipher <>
services-type terminal/telnet/ssh
配置了认证登录后,必须配置用户的类型,否则会出现超级终端上登录不了的情况,
同时配 level 3,否则 telnet 后没有相应的操作权限
5、配 console
user-interface aux 0authentication-mode scheme/password
local-user 用户名
password cipher 密码
service-type telnet terminal level 3
q
配 Telnet
user-interface vty 0 4
authentication-mode scheme【方案】
save
一般步骤:
先创建用户
设置密码
设置用户类型
配置 console 加密
配置 telnet 加密
6、更改主机名
sysname name
7、设置端口名称 端口描述
8、设置交换机管理地址
interface Vlan-interface 1
ip address 129.12.0.1 255.255.255.0
9、备份文件
tftp 1.1.1.1 get abc.txt efg.txt
tftp 1.1.1.1 put config.cfg temp.cfg
10、配置静态路由:
ip route 129.1.0.0 255.255.0.0 10.0.0.2
11、恢复出厂配置
<H3C>reset saved-configuration
<H3C>reboot
出厂配置没有用户名和密码,恢复出厂设置后设置的用户名和密码依然存在;
12、配置生成树(预防环路发生)
stp enable3COM 交换机配置命令详解
1、配置文件相关命令
[Quidway]display current-configuration
;显示当前生效的配置
[Quidway]display saved-configuration
;显示 flash 中配置文件,即下次上电启
动时所用的配置文件
<Quidway>reset saved-configuration
;檫除旧的配置文件
<Quidway>reboot
;交换机重启
<Quidway>display version
;显示系统版本信息
2、基本配置
[Quidway]super password
;修改特权用户密码
[Quidway]sysname
;交换机命名
[Quidway]interface ethernet 0/1
;进入接口视图
[Quidway]interface vlan x
;进入接口视图
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0
;配置 VLAN 的 IP 地址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2
;静态路由=网关
3、telnet 配置
[Quidway]user-interface vty 0 4
;进入虚拟终端
[S3026-ui-vty0-4]authentication-mode password
;设置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令
[S3026-ui-vty0-4]user privilege level 3
;用户级别
4、端口配置
[Quidway-Ethernet0/1]duplex {half|full|auto}
;配置端口工作状态
[Quidway-Ethernet0/1]speed {10|100|auto}
;配置端口工作速率
[Quidway-Ethernet0/1]flow-control
;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal}
;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid}
;设置端口工作模式
[Quidway-Ethernet0/1]undo shutdown
;激活端口
[Quidway-Ethernet0/2]quit
;退出系统视图
5、链路聚合配置
[DeviceA] link-aggregation group 1 mode manual
;创建手工聚合组 1
[DeviceA] interface ethernet 1/0/1
;将以太网端口 Ethernet1/0/1
加入聚合组 1
[DeviceA-Ethernet1/0/1] port link-aggregation group 1
[DeviceA-Ethernet1/0/1] interface ethernet 1/0/2
; 将 以 太 网 端 口
Ethernet1/0/1 加入聚合组 1
[DeviceA-Ethernet1/0/2] port link-aggregation group 1
[DeviceA] link-aggregation group 1 service-type tunnel
# 在手工聚合组的基础
上创建 Tunnel 业务环回组。
[DeviceA] interface ethernet 1/0/1
# 将以太网端口
Ethernet1/0/1 加入业务环回组。
[DeviceA-Ethernet1/0/1] undo stp[DeviceA-Ethernet1/0/1] port link-aggregation group 1
6、端口镜像
[Quidway]monitor-port <interface_type interface_num>
;指定镜像端口
[Quidway]port mirror <interface_type interface_num>
;指定被镜像端口
[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像
7、VLAN 配置
[Quidway]vlan 3
;创建 VLAN
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4
;在 VLAN 中增加端口
配置基于 access 的 VLAN
[Quidway-Ethernet0/2]port access vlan 3
;当前端口加入到 VLAN
注意:缺省情况下,端口的链路类型为 Access 类型,所有 Access 端口均属于且只属于 VLAN1
配置基于 trunk 的 VLAN
[Quidway-Ethernet0/2]port link-type trunk
;设置当前端口为 trunk
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All}
;设 trunk 允许的
VLAN
注意:所有端口缺省情况下都是允许 VLAN1 的报文通过的
[Quidway-Ethernet0/2]port trunk pvid vlan 3
;设置 trunk 端口的 PVID
配置基于 Hybrid 端口的 VLAN
[Quidway-Ethernet0/2]port link-type hybrid
;配置端口的链路类型为 Hybrid
类型
[Quidway-Ethernet0/2]port hybrid vlan vlan-id-list { tagged | untagged }
;允
许指定的 VLAN 通过当前 Hybrid 端口
注意:缺省情况下,所有 Hybrid 端口只允许 VLAN1 通过
[Quidway-Ethernet0/2]port hybrid pvid vlan vlan-id
;设置 Hybrid 端口的缺
省 VLAN
注意:缺省情况下,Hybrid 端口的缺省 VLAN 为 VLAN1
VLAN 描述
[Quidway]description string
;指定 VLAN 描述字符
[Quidway]description
;删除 VLAN 描述字符
[Quidway]display vlan [vlan_id]
;查看 VLAN 设置
私有 VLAN 配置
[SwitchA-vlanx]isolate-user-vlan enable
;设置主 vlan
[SwitchA]Isolate-user-vlan <x> secondary <list>
;设置主 vlan 包括的
子 vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id>
;设置 vlan 的 pvid
[Quidway-Ethernet0/2]port hybrid pvid
;删除 vlan 的 pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged
;设置无标识的 vlan
如果包的 vlan id 与 PVId 一致,则去掉 vlan 信息. 默认 PVID=1。
所以设置 PVID 为所属 vlan id, 设置可以互通的 vlan 为 untagged.
8、STP 配置
[Quidway]stp {enable|disable}
;设置生成树,默认关闭[Quidway]stp mode rstp
;设置生成树模式为 rstp
[Quidway]stp priority 4096
;设置交换机的优先级
[Quidway]stp root {primary|secondary}
;设置为根或根的备份
[Quidway-Ethernet0/1]stp cost 200
;设置交换机端口的花费
MSTP 配置:
# 配置 MST 域名为 info,MSTP 修订级别为 1,VLAN 映射关系为 VLAN2~VLAN10 映射到生成
树实例 1 上,VLAN20~VLAN30 映射生成树实例 2 上。
<Sysname> system-view
[Sysname] stp region-configuration
[Sysname-mst-region] region-name info
[Sysname-mst-region] instance 1 vlan 2 to 10
[Sysname-mst-region] instance 2 vlan 20 to 30
[Sysname-mst-region] revision-level 1
[Sysname-mst-region] active region-configuration
9、MAC 地址表的操作
在系统视图下添加 MAC 地址表项
[Quidway]mac-address { static | dynamic | blackhole } mac-address interface
interface-type interface-number vlan vlan-id ;添加 MAC 地址表项
在添加 MAC 地址表项时,命令中 interface 参数指定的端口必须属于 vlan 参数指定的 VLAN,
否则将添加失败。
如果 vlan 参数指定的 VLAN 是动态 VLAN,在添加静态 MAC 地址之后,会自动变为静态 VLAN。
在以太网端口视图下添加 MAC 地址表项
[Quidway-Ethernet0/2]mac-address { static | dynamic | blackhole } mac-address vlan
vlan-id
在添加 MAC 地址表项时,当前的端口必须属于命令中 vlan 参数指定的 VLAN,否则将添加失
败;
如果 vlan 参数指定的 VLAN 是动态 VLAN,在添加静态 MAC 地址之后,会自动变为静态 VLAN。
[Quidway]mac-address timer { aging age | no-aging }
;设置 MAC 地址表项的老化时
间
注意:缺省情况下,MAC 地址表项的老化时间为 300 秒,使用参数 no-aging 时表示不对 MAC
地址表项进行老化。
MAC 地址老化时间的配置对所有端口都生效,但地址老化功能只对动态的(学习到的或者用
户配置可老化的)MAC 地址表项起作用。
[Quidway-Ethernet0/2]mac-address max-mac-count count
;设置端口最多可以学习到
的 MAC 地址数量
注意:缺省情况下,没有配置对端口学习 MAC 地址数量的限制。反之,如果端口启动了 MAC
地址认证和端口安全功能,则不能配置该端口的最大 MAC 地址学习个数。
[Quidway-Ethernet0/2]port-mac start-mac-address
;配置以太网端口 MAC 地址的起始
值
在缺省情况下,E126/E126A 交换机的以太网端口是没有配置 MAC 地址的,因此当交换机在发送二层协议报文(例如 STP)时,由于无法取用发送端口的 MAC 地址,
将使用该协议预置的 MAC 地址作为源地址填充到报文中进行发送。在实际组网中,由于多台
设备都使用相同的源 MAC 地址发送二层协议报文,会造成在某台设备的不
同端口学习到相同 MAC 地址的情况,可能会对 MAC 地址表的维护产生影响。
[Quidway]display mac-address
;显示地址表信息
[Quidway]display mac-address aging-time
;显示地址表动态表项的老化时间
[Quidway]display port-mac
;显示用户配置的以太网端口 MAC 地址的起始值
10、GVRP 配置
[SwitchA] gvrp
# 开启全局 GVRP
[SwitchA-Ethernet1/0/1] gvrp
# 在以太网端口 Ethernet1/0/1 上开启 GVRP
[SwitchE-Ethernet1/0/1] gvrp registration { fixed | forbidden | normal }
# 配
置 GVRP 端口注册模式
缺省为 normal
[SwitchA] display garp statistics [ interface interface-list ]
;显示 GARP 统计
信息
[SwitchA] display garp timer [ interface interface-list ]
;显示 GARP 定时器
的值
[SwitchA] display gvrp statistics [ interface interface-list ]
;显示 GVRP 统计
信息
[SwitchA] display gvrp status
;显示 GVRP 的全局状态信息
[SwitchA] display gvrp statusreset garp statistics [ interface interface-list ]
;
清除 GARP 统计信息
11、DLDP 配置
[SwitchA] interface gigabitethernet 1/1/1
# 配置端口工作在强制全双工模式,速
率为 1000Mbits/s。
[SwitchA-GigabitEthernet1/1/1] duplex full
[SwitchA-GigabitEthernet1/1/1] speed 1000
[SwitchA] dldp enable
# 全局开启 DLDP。
[SwitchA] dldp interval 15
# 设置发送 DLDP 报文的时间间隔为 15 秒。
[SwitchA] dldp work-mode { enhance | normal }
# 配置 DLDP 协议的工作模式为加强
模式。
缺省为 normal
[SwitchA] dldp unidirectional-shutdown { auto | manual }
# 配置 DLDP 单向链路
操作模式为自动模式。 缺省为 auto
[SwitchA] display dldp 1
# 查看 DLDP 状态。
当光纤交叉连接时,可能有两个或三个端口处于 Disable 状态,剩余端口处于 Inactive 状
态。
当光纤一端连接正确,一端未连接时:
如果 DLDP 的工作模式为 normal,则有收光的一端处于 Advertisement 状态,没有收光的一
端处于 Inactive 状态。
如果 DLDP 的工作模式为 enhance,则有收光的一端处于 Disable 状态,没有收光的一端处
于 Inactive 状态。dldp reset 命令在全局下可以重置所有端口的 DLDP 状态,在接口下可以充值该端口的 DLDP
状态
12、端口隔离配置
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的
端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户
提供了灵活的组网方案。
[Sysname] interface ethernet1/0/2
# 将以太网端口 Ethernet1/0/2 加入隔离组。
[Sysname-Ethernet1/0/2] port isolate
[Sysname]display isolate port
# 显示隔离组中的端口信息
配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口
以及隔离组外端口之间的通信不会受到影响。
端口隔离特性与以太网端口所属的 VLAN 无关。
当汇聚组中的某个端口加入或离开隔离组后,本设备中同一汇聚组内的其它端口,均会自动
加入或离开该隔离组。
对于既处于某个聚合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影
响其他端口,即其他端口仍将处于原聚合组和原隔离组中。
如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚
合组中的端口仍将处于该隔离组中。
当隔离组中的某个端口加入聚合组时,该聚合组中的所有端口,将会自动加入隔离组中。
13、端口安全配置
[Switch] port-security enable
# 启动端口安全功能
[Switch] interface Ethernet 1/0/1 # 进入以太网 Ethernet1/0/1 端口视图
[Switch-Ethernet1/0/1] port-security max-mac-count 80 # 设置端口允许接入的最大
MAC 地址数为 80
[Switch-Ethernet1/0/1] port-security port-mode autolearn # 配置端口的安全模式为
autolearn
[Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1 # 将 Host 的
MAC 地址 0001-0002-0003 作为 Security MAC 添加到 VLAN 1 中
[Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily
#
设置 Intrusion Protection 特性被触发后,暂时关闭该端口
[Switch]port-security timer disableport 30
# 关闭时间为 30 秒。
14、端口绑定配置
通过端口绑定特性,网络管理员可以将用户的 MAC 地址和 IP 地址绑定到指定的端口上。进
行绑定操作后,交换机只对从该端口收到的指定 MAC 地址和 IP 地
址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控。
[SwitchA-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1 #
将 Host 1 的 MAC 地址和 IP 地址绑定到 Ethernet1/0/1 端口。
有的交换机上绑定的配置不一样
[SwitchA] interface ethernet 1/0/2
[SwitchA-Ethernet1/0/2]
user-bind
ip-address
192.168.0.3
mac-address0001-0203-0405
端口过滤配置
[SwitchA] interface ethernet1/0/1
# 配置端口 Ethernet1/0/1 的端口过滤功能。
[SwitchA-Ethernet1/0/1] ip check source ip-address mac-address
[SwitchA] dhcp-snooping
# 开启 DHCP Snooping 功能。
[SwitchA] interface ethernet1/0/2
# 设置与 DHCP 服务器相连的端口 Ethernet1/0/2
为信任端口。
[SwitchA-Ethernet1/0/2] dhcp-snooping trust
在端口 Ethernet1/0/1 上启用 IP 过滤功能,防止客户端使用伪造的不同源 IP 地址对服务器
进行攻击
15、BFD 配置
Switch A、Switch B、Switch C 相互可达,在 Switch A 上配置静态路由可以到达 Switch C,
并使能 BFD 检测功能。
# 在 Switch A 上配置静态路由,并使能 BFD 检测功能,通过 BFD echo 报文方式实现 BFD
功能。
<SwitchA> system-view
[SwitchA] bfd echo-source-ip 123.1.1.1
[SwitchA] interface vlan-interface 10
[SwitchA-vlan-interface10] bfd min-echo-receive-interval 300
[SwitchA-vlan-interface10] bfd detect-multiplier 7
[SwitchA-vlan-interface10] quit
[SwitchA] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet
# 在 Switch A 上打开 BFD 功能调试信息开关。
<SwitchA> debugging bfd event
<SwitchA> debugging bfd scm
<SwitchA> terminal debugging
在 Switch A 上可以打开 BFD 功能调试信息开关,断开 Hub 和 Switch B 之间的链路,验证配
置结果。验证结果显示,
Switch A 能够快速感知 Switch A 与 Switch B 之间链路的变化。
16、QinQ 配置
Provider A、
Provider B 之间通过 Trunk 端口连接,
Provider A 属于运营商网络的 VLAN1000,
Provider B 属于运营商网络的 VLAN2000。
Provider A 和 Provider B 之间,运营商采用其他厂商的设备,TPID 值为 0x8200。
希望配置完成后达到下列要求:
Customer A的VLAN10的报文可以和Customer B的VLAN10的报文经过运营商网络的VLAN1000
转发后互通;Customer A 的 VLAN20 的报文可以
和 Customer C 的 VLAN20 的报文经过运营商网络的 VLAN2000 转发后互通。
[ProviderA] interface ethernet 1/0/1
# 配置端口为 Hybrid 端口,且允许 VLAN10,
VLAN20,VLAN1000 和 VLAN2000 的报文通过,并且在发送时去掉外层 Tag。
[ProviderA-Ethernet1/0/1] port link-type hybrid[ProviderA-Ethernet1/0/1] port hybrid vlan 10 20 1000 2000 untagged
[ProviderA-Ethernet1/0/1] qinq vid 1000
# 将来自 VLAN10 的报文封装 VLAN ID 为 1000
的外层 Tag。
[ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10
[ProviderA-Ethernet1/0/1-vid-1000] quit
[ProviderA-Ethernet1/0/1] qinq vid 2000
# 将来自 VLAN20 的报文封装 VLAN ID 为 2000
的外层 Tag。
[ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20
[ProviderA] interface ethernet 1/0/2
# 配置端口的缺省 VLAN 为 VLAN1000。
[ProviderA-Ethernet1/0/2] port access vlan 1000
[ProviderA-Ethernet1/0/2] qinq enable
# 配置端口的基本 QinQ 功能,将来自 VLAN10
的报文封装 VLAN ID 为 1000 的外层 Tag。
[ProviderA] interface ethernet 1/0/3
# 配置端口为 Trunk 端口,且允许 VLAN1000 和
VLAN2000 的报文通过。
[ProviderA-Ethernet1/0/3] port link-type trunk
[ProviderA-Ethernet1/0/3] port trunk permit vlan 1000 2000
[ProviderA-Ethernet1/0/3] qinq ethernet-type 8200
# 为与公共网络中的设备进行互
通,配置端口添加外层 Tag 时采用的 TPID 值为 0x8200。
[ProviderB] interface ethernet 1/0/1 # 配置端口为 Trunk 端口,且允许 VLAN1000 和
VLAN2000 的报文通过。
[ProviderB-Ethernet1/0/1] port link-type trunk
[ProviderB-Ethernet1/0/1] port trunk permit vlan 1000 2000
[ProviderB-Ethernet1/0/1] qinq ethernet-type 8200
# 为与公共网络中的设备进行互
通,配置端口添加外层 Tag 时采用的 TPID 值为 0x8200。
[ProviderB-Ethernet1/0/1] quit
[ProviderB] interface ethernet 1/0/2
# 配置端口的缺省 VLAN 为 VLAN2000。
[ProviderB-Ethernet1/0/2] port access vlan 2000
[ProviderB-Ethernet1/0/2] qinq enable
# 配置端口的基本 QinQ 功能,将来自 VLAN20
的报文封装 VLAN ID 为 2000 的外层 Tag。华为交换机配置
端口表示方法 E1/0/1
显示系统版本信息:display version
显示诊断信息:display diagnostic-information
显示系统当前配置:display current-configuration
显示系统保存配置: display saved-configuration
显示接口信息:display interface
显示路由信息:display ip routing-table
显示 VLAN 信息:display vlan
显示生成树信息:display stp
显示 MAC 地址表:display mac-address
显示 ARP 表信息:display arp
显示系统 CPU 使用率:display cpu
显示系统内存使用率:display memory显示系统日志:display log
显示系统时钟:display clock
验证配置正确后,使用保存配置命令:save
删除某条命令,一般使用命令: undo
system-view 进入配置模式
操作完毕后 save 保存配置
quit 退出接口模式到系统视图
按 Tab 键可以自动跳出完整命令
1、创建 VLAN
vlan 2
删除 VLAN
undo vlan 2
2、把端口划入 VLAN
int e1/0/2
port access vlan 3
端口退出 vlan(在 vlan 里删除端口)
inter vlan 10
undo port e 1/0/1
3、设置 trunk 端口
port link-type trunk(
access 为普通端口)
4、设置 SNMP
# 设置团体名为 mgr,并且可以进行读写访问。
[Sysname] snmp-agent community write mgr
# 删除团体名 comaccess。
[Sysname] undo snmp-agent community comaccess
时间同步
[Sysname] interface Vlan-interface1
[Sysname-Vlan-interface1] ntp-service broadcast-client
用户:
local-user <>
password simple/cipher <>
services-type terminal/telnet/ssh配置了认证登录后,必须配置用户的类型,否则会出现超级终端上登录不了的情况,
同时配 level 3,否则 telnet 后没有相应的操作权限
5、配 console
user-interface aux 0
authentication-mode scheme/password
local-user 用户名
password cipher 密码
service-type telnet terminal level 3
q
配 Telnet
user-interface vty 0 4
authentication-mode scheme【方案】
save
一般步骤:
先创建用户
设置密码
设置用户类型
配置 console 加密
配置 telnet 加密
6、更改主机名
sysname name
7、设置端口名称 端口描述
8、设置交换机管理地址
interface Vlan-interface 1
ip address 129.12.0.1 255.255.255.0
9、备份文件
tftp 1.1.1.1 get abc.txt efg.txt
tftp 1.1.1.1 put config.cfg temp.cfg
10、配置静态路由:
ip route 129.1.0.0 255.255.0.0 10.0.0.2
11、恢复出厂配置
<H3C>reset saved-configuration
<H3C>reboot出厂配置没有用户名和密码,恢复出厂设置后设置的用户名和密码依然存在;
12、配置生成树(预防环路发生)
stp enable
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 aclacl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
交换机命令
~~~~~~~~~~
[Quidway]dis cur
;显示当前配置
[Quidway]display current-configuration
;显示当前配置
[Quidway]display interfaces
;显示接口信息
[Quidway]display vlan all
;显示路由信息[Quidway]display version
;显示版本信息
[Quidway]super password
;修改特权用户密码
[Quidway]sysname
;交换机命名
[Quidway]interface ethernet 0/1
;进入接口视图
[Quidway]interface vlan x
;进入接口视图
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0
;配置 VLAN 的 IP 地
址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2
;静态路由=网关
[Quidway]rip
;三层交换支持
[Quidway]local-user ftp
[Quidway]user-interface vty 0 4
;进入虚拟终端
[S3026-ui-vty0-4]authentication-mode password
;设置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令
[S3026-ui-vty0-4]user privilege level 3
;用户级别
[Quidway]interface ethernet 0/1
;进入端口模式
[Quidway]int e0/1
;进入端口模式
[Quidway-Ethernet0/1]duplex {half|full|auto}
;配置端口工作状态
[Quidway-Ethernet0/1]speed {10|100|auto}
;配置端口工作速率
[Quidway-Ethernet0/1]flow-control
;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal}
;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid}
;设置端口工作模式
[Quidway-Ethernet0/1]port access vlan 3
;当前端口加入到 VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All}
;设 trunk 允许的 VLAN
[Quidway-Ethernet0/3]port trunk pvid vlan 3
;设置 trunk 端口的 PVID
[Quidway-Ethernet0/1]undo shutdown
;激活端口
[Quidway-Ethernet0/1]shutdown
;关闭端口
[Quidway-Ethernet0/1]quit
;返回
[Quidway]vlan 3
;创建 VLAN
[Quidway-vlan3]port ethernet 0/1
;在 VLAN 中增加端
口
[Quidway-vlan3]port e0/1
;简写方式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4
;在 VLAN 中增加端口
[Quidway-vlan3]port e0/1 to e0/4
;简写方式
[Quidway]monitor-port <interface_type interface_num>
;指定镜像端口
[Quidway]port mirror <interface_type interface_num>
;指定被镜像端口
[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像
[Quidway]description string
;指定 VLAN 描述字符
[Quidway]description
;删除 VLAN 描述字符
[Quidway]display vlan [vlan_id]
;查看 VLAN 设置
[Quidway]stp {enable|disable}
;设置生成树,默认关闭
[Quidway]stp priority 4096
;设置交换机的优先级
[Quidway]stp root {primary|secondary}
;设置为根或根的备份
[Quidway-Ethernet0/1]stp cost 200
;设置交换机端口的花费
[Quidway]link-aggregation e0/1 to e0/4 ingress|both
; 端口的聚合[Quidway]undo link-aggregation e0/1|all
; 始端口为通道号
[SwitchA-vlanx]isolate-user-vlan enable
;设置主 vlan
[SwitchA]isolate-user-vlan <x> secondary <list>
;设置主 vlan 包括的
子 vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id>
;设置 vlan 的 pvid
[Quidway-Ethernet0/2]port hybrid pvid
;删除 vlan 的 pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged
;设置无标识的 vlan
如果包的 vlan id 与 PVId 一致,则去掉 vlan 信息. 默认 PVID=1。
所以设置 PVID 为所属 vlan id, 设置可以互通的 vlan 为 untagged.
---------------------------------------
-
路由器命令
~~~~~~~~~~
[Quidway]display version
;显示版本信息
[Quidway]display current-configuration
;显示当前配置
[Quidway]display interfaces
;显示接口信息
[Quidway]display ip route
;显示路由信息
[Quidway]sysname aabbcc
;更改主机名
[Quidway]super passwrod 123456
;设置口令
[Quidway]interface serial0
;进入接口
[Quidway-serial0]ip address <ip> <mask|mask_len>
;配置端口 IP 地址
[Quidway-serial0]undo shutdown
;激活端口
[Quidway]link-protocol hdlc
;绑定 hdlc 协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0
;显示所有信息
[Quidway]debugging hdlc event serial0
;调试事件信息
[Quidway]debugging hdlc packet serial0
;显示包的信息
静态路由:
[Quidway]ip
route-static
<ip><mask>{interface
number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip
;设置动态路由
[Quidway]rip work
;设置工作允许
[Quidway]rip input
;设置入口允许
[Quidway]rip output
;设置出口允许[Quidway-rip]network 1.0.0.0
;设置交换路由网络
[Quidway-rip]network all
;设置与所有网络交换
[Quidway-rip]peer ip-address
;
[Quidway-rip]summary
;路由聚合
[Quidway]rip version 1
;设置工作在版本 1
[Quidway]rip version 2 multicast
;设版本 2,多播方式
[Quidway-Ethernet0]rip split-horizon
;水平分隔
[Quidway]router id A.B.C.D
;配置路由器的 ID
[Quidway]ospf enable
;启动 OSPF 协议
[Quidway-ospf]import-route direct
;引入直联路由
[Quidway-Serial0]ospf enable area <area_id>
;配置 OSPF 区域
标准访问列表命令格式如下:
acl <acl-number> [match-order config|auto]
;默认前者顺序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
扩展访问控制列表配置命令
配置 TCP/UDP 协议的扩展访问列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip
wild>|any}
[operate]
配置 ICMP 协议的扩展访问列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip
wild>|any]
[icmp-code] [logging]
扩展访问控制列表操作符的含义
equal portnumber
;等于
greater-than portnumber
;大于
less-than portnumber
;小于
not-equal portnumber
;不等
range portnumber1 portnumber2
;区间
扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1
0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp
source any destination
10.0.0.1 0.0.0.0destination-port equal ftp
[Quidway-acl-103]rule permit tcp
source any destination
10.0.0.2 0.0.0.0
destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址转换配置举例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101
;内部指定主机可以进入 e0
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]quit
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway]acl 102
;外部特定主机和大于 1024 端口的数据包允许进入 S0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule
permit
tcp
source
any
destination
202.38.160.1
0
destination-port great-than
1024
[Quidway-acl-102]quit
[Quidway]int s0
[Quidway-Serial0]firewall packet-filter 102 inbound
;设 202.38.160.1 是路由器
出口 IP。
[Quidway-Serial0]nat outbound 101 interface
;是 Easy ip,将 acl 101 允许的 IP 从
本接口出时变换源地址。
内部服务器地址转换配置命令(静态 nat):
nat server global <ip> [port] inside <ip> port [protocol]
;global_port 不写时
使用 inside_port
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
设有公网 IP:202.38.160.101~202.38.160.103 可以使用。
;对外访问(原例题)
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1
;建立地址池
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
;指定允许的内部网络[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1
;在 s0 口从地址池取出
IP 对外访问
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP 设置:
[Quidway-s0]link-protocol ppp
;默认的协议
PPP 验证:
主验方:pap|chap
[Quidway]local-user q2 password {simple|cipher} hello
;路由器 1
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user q1
;pap 时,没有此句
pap 被验方:
[Quidway]interface serial 0
;路由器 2
[Quidway-serial0]ppp pap local-user q2 password {simple|cipher} hello
chap 被验方:
[Quidway]interface serial 0
;路由器 2
[Quidway-serial0]ppp chap user q2
;自己路由器名
[Quidway-serial0]local-user q1 password {simple|cipher} hello ;对方路由器名
帧中继 frame-relay
(二分册 6-61)
[q1]fr switching
[q1]int s1
[q1-Serial1]ip address 192.168.34.51 255.255.255.0
[q1-Serial1]link-protocol fr
;封装帧中继协议
[q1-Serial1]fr interface-type dce
[q1-Serial1]fr dlci 100
[q1-Serial1]fr inarp
[q1-Serial1]fr map ip 192.168.34.52 dlci 100
[q2]int s1
[q2-Serial1]ip address 192.168.34.52 255.255.255.0
[q2-Serial1]link-protocol fr
[q2-Serial1]fr interface-type dte
[q2-Serial1]fr dlci 100
[q2-Serial1]fr inarp
[q2-Serial1]fr map ip 192.168.34.51 dlci 100
帧中继监测
[q1]display fr lmi-info[]interface type number]
[q1]display fr map
[q1]display fr pvc-info[serial interface-number][dlci dlci-number]
[q1]display fr dlci-switch[q1]display fr interface
[q1]reset fr inarp-info
[q1]debugging fr all[interface type number]
[q1]debugging fr arp[interface type number]
[q1]debugging fr event[interface type number]
[q1]debugging fr lmi[interface type number]
启动 ftp 服务:
[Quidway]local-user ftp password {simple|cipher} aaa service-type ftp
[Quidway]ftp server enable
inte***ce M-Ethernet0/0/0 是 CPU 板的管理口
华为 6506 下加入 ACL 步骤:
先进入配置模式.
<SW6506>sys
System View: return to User View with Ctrl+Z
[SW6506]
建立访问控制列表
[SW6506]acl number 4012
[SW6506-acl-adv-4012]
[SW6506-acl-adv-4012]rule 0 permit icmp source 10.1.43.0 0.0.0.255 destination
10.1.2.11 0
[SW6506-acl-adv-4012]rule 1 deny icmp source 10.1.0.0 0.0.255.255 destination
10.1.2.11 0
进入接口模式
[SW6506]int g4/0/43
[SW6506-GigabitEthernet4/0/43]qos
This interface's qos performance is limited as following:
The number of rules that can be made active is <= 120/(interface).
The number of traffic statistics that can be made active is <= 32/(interface).
The number of traffic bandwidth limits that can be made active is <= 60/(inter
face).
[SW6506-qosb-GigabitEthernet4/0/43]pack
[SW6506-qosb-GigabitEthernet4/0/43]packet-filter ?
inbound Apply the acl on inbound packets of the interface
[SW6506-qosb-GigabitEthernet4/0/43]packet-filter inbound ?
ip-group
Apply the basic or advanced acl
link-group Apply the link-based acl
user-group Apply the user-defined acl
[SW6506-qosb-GigabitEthernet4/0/43]packet-filter inbound ip-
2XJDZJ-SW-S6506-01-qosb-GigabitEthernet4/0/43]packet-filter
inbound
ip-group4012
将 ACL 应用到接口,再 dis cu int g4/0/43 进行查看.
[SW6506-qosb-GigabitEthernet4/0/43]dis cu int g4/0/43
#
interface GigabitEthernet4/0/43
port access vlan 143
qos
packet-filter inbound ip-group 4012 rule 0 system-index 1
packet-filter inbound ip-group 4012 rule 1 system-index 2
#
return
[SW6506-qosb-GigabitEthernet4/0/43]
取消接口上的应用
[SW6506-qosb-GigabitEthernet4/0/43]qos
This interface's qos performance is limited as following:
The number of rules that can be made active is <= 120/(interface).
The number of traffic statistics that can be made active is <= 32/(interface).
The number of traffic bandwidth limits that can be made active is <= 60/(inter
face).
[SW6506-qosb-GigabitEthernet4/0/43]undo pack
[SW6506-qosb-GigabitEthernet4/0/43]undo packet-filter inbound ?
ip-group
Apply the basic or advanced acl
link-group Apply the link-based acl
user-group Apply the user-defined acl
[SW6506-qosb-GigabitEthernet4/0/43]undo packet-filter inbound ip-group 4012
[SW6506-qosb-GigabitEthernet4/0/43]
本
文
来
自
CSDN
博
客
,
转
载
请
标
明
出
处
:
http://blog.csdn.net/zhrmghl/archive/2007/05/30/1632101.aspx
换机为 H3C S3600-28TP-SI。欲限制部分用户对一些设备 FTP、SSH、VNC SERVER 的访问。
在奥运期间加强设备的安全性。
该交换机的 ACL 可以作用在端口的 OUT 或 IN 方向上。考虑到所做的 ACL 想对个别的接
口连接设备起作用,所以将 ACL 应用到接口的出的方向上。
(
1)首先定义 ACL。
acl number 3001
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp-datarule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp
rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp-data
rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp
rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp-data
rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 22
rule permit tcp source 10.65.252.0 0.0.0.128 destination-port eq 22
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 5901
rule deny tcp destination-port eq ftp-data
rule deny tcp destination-port eq ftp
rule deny tcp destination-port eq 22
rule deny tcp destination-port eq 5901
(
2)在接口上应用。
packet-filter outbound ip-group 3001
(
3)显示接口上的应用
[XJDZJ-WL-3628-01]dis cu int e1/0/5
#
interface Ethernet1/5
packet-filter outbound ip-group 3001 rule 0
packet-filter outbound ip-group 3001 rule 1
packet-filter outbound ip-group 3001 rule 2
packet-filter outbound ip-group 3001 rule 3
packet-filter outbound ip-group 3001 rule 4
packet-filter outbound ip-group 3001 rule 5
packet-filter outbound ip-group 3001 rule 6
packet-filter outbound ip-group 3001 rule 7
packet-filter outbound ip-group 3001 rule 8
packet-filter outbound ip-group 3001 rule 9
packet-filter outbound ip-group 3001 rule 10
packet-filter outbound ip-group 3001 rule 11
packet-filter outbound ip-group 3001 rule 12
开门直接写,不废话.
删除设备配置
reset saved-configuration重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
des cription ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
des cription server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
H3C 交换机配置命令 2008-11-11 16:32 配置终端操作密码:
[ST-ZC501-LSW-R4C14.I.S2403]user-interface aux 0
/进入用户 0 模式
[ST-ZC501-LSW-R4C14.I.S2403-ui-aux0]authentication-mode password /配置密码
无操作自动断开连接:
idle-timeout minutes 10 /10 分钟无操作自动断开连接
idle-timeout seconds 10 /10 秒钟无操作自动断开连接
锁定用户:<ST-ZC501-LSW-R4C14.I.S2403>lock /锁定当前用户(接着输入密码,解除按回车输入
刚才的密码就行了)。
开启 telnet 服务:
[ST-ZC501-LSW-R4C14.I.S2403]telnet server enable
/启动 telnet 服务(默认关闭)
强制用户下线:
<ST-ZC501-LSW-R4C14.I.S2403>free web-users all /强制所有在线 WEB 用户下线
查看端口接收、传送、丢弃报文数:
<ST-ZC501-LSW-R4C14.I.S2403>display garp statistics interface (加端口号) 查
/看端口接收和传送和丢弃的 GVRP 报文数
VTP 配置:
gvrp registration fixed
/端口模式下配置(相当于思科的服务器模式 VTP)____必须
在 trunk 工作模式的端口下。
gvrp registration forbidden /端口模式下配置(相当于思科的透明模式 VTP)____必
须在 trunk 工作模式的端口下。
gvrp registration normal /端口模式下配置(相当于思科的客户端模式 VTP)____必须
在 trunk 工作模式的端口下。
[ST-ZC501-LSW-R4C14.I.S2403]stp disable
bpdu-tunnel dot1q stp
/VTP 的开启(端口下或全局模式下)默认关闭
undo bpdu-tunnel dot1q stp
/关闭 VTP(端口下或全局模式下)
指定以太网端口通过的最大广播百分比:
broadcast-suppression
(1-100)
/指定以太网端口允许通过的最大广播
流量占该端口传输能力的百分比(默认关闭)——打开此功能可以保证正常
流量的传输。
查看本端系统的设备 ID,包括 LACP 协优先级与 MAC 地址:
display lacp system-id
优先级设置为 64(值越小优先级越大):
[ST-ZC501-LSW-R4C14.I.S2403]lacp system-priority 64
端口聚合命名:
[ST-ZC501-LSW-R4C14.I.S2403]link-aggregation group 1 description /名字
创建组号为 8 的手工聚合组:
[ST-ZC501-LSW-R4C14.I.S2403]link-aggregation group 8 mode manual
/把端口加入到组号为 8 的手工聚合组:
端口下 port link-aggregation group 8
进入聚合端口组 8 模式:
[ST-ZC501-LSW-R4C14.I.S2403]port-group aggregation 8
[ST-ZC501-LSW-R4C14.I.S2403-port-group-aggregation-8] 此命令不能添加或删
除端口组成员,只能进行对聚合相关的配置命令,包括 STP、VLAN、QOS、GVRP、
TELNET、MAC 等配置。
端口下绑定 IP 及 MAC 地址:
user-bind ip-address 121.11.86.72 mac-address 0101-0101-0101
查看非正常阻塞端口(任意视图下):
display stp abnormal-port 里显示结果为 Reason 项里 Formatcompatibility
rotected
查看被 STP 保护功能 down 掉的端口信息(任意视图下):display stp down-port
查看所有 MSTP 实例的根桥信息(任意视图下):
dis stp root
清除生成树的统计信息(用户视图下):
reset stp
reset stp interface 端口号------消除指定端口生成树的统计信息。
查看已经生效的 MST 域(生成树)的配置信息:
display stp region-configuration
开启和关闭 stp 功能:
[ST-ZC501-LSW-R4C14.I.S2403]stp enable 开启全局 stp
端口下关闭 stp:
stp disable
端口下设置端口的路径开销(根桥):
stp instance 0 cost 16 ______指定生成树实例0的路径开销为 16
指定当前设备为生成树实例0的根桥:
stp instance 0 root primary
指定当前设备为生成树实例0的备份根桥:
stp instance 0 root secondary
端口下启动端口的根保护功能:
stp root-protection
端口下配置以太网端口为边缘端口(即直接转发端口——不阻塞端口):
stp edged-port disable
端口下开启环路保护功能:
stp loop-protection
路由命令
查看路由表中当前激活路由的摘要信息:
display ip routing-table
查看通过基本访问控制列表 ACL2000 过滤的,处于 active 状态的路由的摘要信息:
display ip routing-table acl 2000
查看通过基本访问控制列表 ACL2000 过滤的,处于 active 和 inactive 的路由的详细信息:
display ip routing-table acl 2000 verbose
查看所有直连路由的摘要信息:
display ip routing-table protocol direct
查看所有静态路由表:
display ip routing-table protocol static
查看路由的综合信息:
dispaly ip routing-table statistics
清除路由表中所有路由协议的统计信息:
reset ip routing-table statistics protcol all
静态路由配置:[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 目的地址/掩码 下一跳 IP tag 50
删除静态路由:
[ST-ZC501-LSW-R4C14.I.S2403]undo ip route-static 目的地址/掩码 下一跳 IP tag
50
配置静态路由的缺省优先级为 120 默认为 60)
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static default-perference 120
将 OSPF 区域 1 中两个网段 11.1.1.0/24 和 11.1.2.0/24 的路由聚合成一条聚合路由
11.1.0.0/16 向其它区域发布:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 1
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]network 11.1.1.0 0.0.0.255
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]network 11.1.2.0 0.0.0.255
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]abr-summary 11.1.0.0
255.255.0.0
创建 OSPF 区域 0 并进入 ospf 区域视图:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 0 (删除则 undo area 0)
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.0]
设置 ospf 对引入的路由进行聚合:
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 11.1.1.0 24 null 0
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 11.1.2.0 24 null 0
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]import-route static
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]asbr-summary 11.1.0.0 255.255.0.0 tag
2 cost 100
指定 OSPF 区域 0 支持 MD5 密文验证模式:
一个区域中所有路由器的验证模式必须一致(不验证\使用简单验证\使用 MD5 密文验证)
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 0
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.0]authentication-mode md5
设置链路的带宽参考值为 1000Mbps:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]bandwidth-reference 1000
设置外部路由缺省值开销 10、类型 2、标记 100 和一次引入的数量上限 20000:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]default cost 10 limit 20000 tag 100
type 2
将产生的缺省路由引入到 OSPF 路由区域(本地路由器的路由表中不存在缺省路由):
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]default-route-advertise always
路由 OSPF 描述:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]description 123456
查看 OSPF 路由信息:
[ST-ZC501-LSW-R4C14.I.S2403]display ospf abr-asbr
查看 OSPF 的所有引入路由聚合信息:
display ospf asbr-summary
查看 OSPF 的错误信息:
display ospf (可加区域号) error
查看 OSPF 接口信息(如果不指定 OSPF 进程号,将显示所有 OSPF 进程的接口信息):
display ospf interface
显示 SOPF 的下一跳信息:
display ospf nexthop
查看 OSPF 邻居详细信息:
display ospf peer verbose
查看 OSPF 邻居概要信息:
display ospf peer
查看所有 OSPF 邻居的统计信息:
display ospf peer statistics
查看 OSPF 请求列表信息(如果不指定 OSPF 进程号,将显示所有 OSPF 进程的请求列表信
息):
display ospf request-queue
查看 OSPF 路由表的信息:
display ospf routing
开启 OSPF 日志信息开关(默认关闭):
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]enable log
个人总结的一些华为命令
个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primarystp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关个人总结的一些华为命令
个人总结的一些华为命令
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview华为只有 2 层模式 不像 cisco enale 之后还要 conf t
定义 acl
acl nubmere XXXX(
3000 以上)进入以后
rule permit/deny IP/TCP/UDP 等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 华为默认没有 deny any any
防火墙上端口加载 ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与 cisco 的 no)
静态路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
对 vpdn 用户设置 acl 的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定 telnet 密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态 nat 设置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用 acl 来做 符合 acl 的 IP 地址可以出去(注意 此处的 ACL 隐含了 deny any any)不符
合的 IP 地址不可以出去
创建 vlan
[shzb-crsw-s6506-1]vlan 100
华为 vlan 不支持 name
将 port 放入 vlan
创建了 vlan 后 进入 vlan 模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从 G1/0/1 到 1/0/8 放入 VLAN 100
创建 trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建 trunk 链路的语句
vlan 地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中 vrrp 语句指定 vrrp 类似与 hsrp
使用 vrrp 要注意的是华为不支持 pvst
只能一台完全是主,一台完全是备份
在主 vrrp 设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从 vrrp 设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑 acl
首先进入接口模式,输入 qos 命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
华为交换机只能指定 inbound 方向
启用 ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置 ospf 重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立 link-group(类似与 cisco 的 channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1启用 VRRP 之前必须输入
vrrp ping-enable
使得客户能 ping 网关
H3C S3100
华为交换机配置
端口表示方法 E1/0/1
显示系统版本信息:display version
显示诊断信息:display diagnostic-information
显示系统当前配置:display current-configuration
显示系统保存配置: display saved-configuration
显示接口信息:display interface
显示路由信息:display ip routing-table
显示 VLAN 信息:display vlan
显示生成树信息:display stp
显示 MAC 地址表:display mac-address
显示 ARP 表信息:display arp
显示系统 CPU 使用率:display cpu
显示系统内存使用率:display memory
显示系统日志:display log
显示系统时钟:display clock
验证配置正确后,使用保存配置命令:save
删除某条命令,一般使用命令: undo
system-view 进入配置模式
操作完毕后 save 保存配置
quit 退出接口模式到系统视图
按 Tab 键可以自动跳出完整命令
1、创建 VLAN
vlan 2
删除 VLAN
undo vlan 2
2、把端口划入 VLAN
int e1/0/2
port access vlan 3
端口退出 vlan(在 vlan 里删除端口)
inter vlan 10
undo port e 1/0/13、设置 trunk 端口
port link-type trunk(
access 为普通端口)
4、设置 SNMP
# 设置团体名为 mgr,并且可以进行读写访问。
[Sysname] snmp-agent community write mgr
# 删除团体名 comaccess。
[Sysname] undo snmp-agent community comaccess
时间同步
[Sysname] interface Vlan-interface1
[Sysname-Vlan-interface1] ntp-service broadcast-client
用户:
local-user <>
password simple/cipher <>
services-type terminal/telnet/ssh
配置了认证登录后,必须配置用户的类型,否则会出现超级终端上登录不了的情况,
同时配 level 3,否则 telnet 后没有相应的操作权限
5、配 console
user-interface aux 0
authentication-mode scheme/password
local-user 用户名
password cipher 密码
service-type telnet terminal level 3
q
配 Telnet
user-interface vty 0 4
authentication-mode scheme【方案】
save
一般步骤:
先创建用户
设置密码
设置用户类型
配置 console 加密
配置 telnet 加密6、更改主机名
sysname name
7、设置端口名称 端口描述
8、设置交换机管理地址
interface Vlan-interface 1
ip address 129.12.0.1 255.255.255.0
9、备份文件
tftp 1.1.1.1 get abc.txt efg.txt
tftp 1.1.1.1 put config.cfg temp.cfg
10、配置静态路由:
ip route 129.1.0.0 255.255.0.0 10.0.0.2
11、恢复出厂配置
<H3C>reset saved-configuration
<H3C>reboot
出厂配置没有用户名和密码,恢复出厂设置后设置的用户名和密码依然存在;
12、配置生成树(预防环路发生)
stp enable
3COM 交换机配置命令详解
1、配置文件相关命令
[Quidway]display current-configuration
;显示当前生效的配置
[Quidway]display saved-configuration
;显示 flash 中配置文件,即下次上电启
动时所用的配置文件
<Quidway>reset saved-configuration
;檫除旧的配置文件
<Quidway>reboot
;交换机重启
<Quidway>display version
;显示系统版本信息
2、基本配置
[Quidway]super password
;修改特权用户密码
[Quidway]sysname
;交换机命名
[Quidway]interface ethernet 0/1
;进入接口视图
[Quidway]interface vlan x
;进入接口视图
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0
;配置 VLAN 的 IP 地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2
;静态路由=网关
3、telnet 配置
[Quidway]user-interface vty 0 4
;进入虚拟终端
[S3026-ui-vty0-4]authentication-mode password
;设置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令
[S3026-ui-vty0-4]user privilege level 3
;用户级别
4、端口配置
[Quidway-Ethernet0/1]duplex {half|full|auto}
;配置端口工作状态
[Quidway-Ethernet0/1]speed {10|100|auto}
;配置端口工作速率
[Quidway-Ethernet0/1]flow-control
;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal}
;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid}
;设置端口工作模式
[Quidway-Ethernet0/1]undo shutdown
;激活端口
[Quidway-Ethernet0/2]quit
;退出系统视图
5、链路聚合配置
[DeviceA] link-aggregation group 1 mode manual
;创建手工聚合组 1
[DeviceA] interface ethernet 1/0/1
;将以太网端口 Ethernet1/0/1
加入聚合组 1
[DeviceA-Ethernet1/0/1] port link-aggregation group 1
[DeviceA-Ethernet1/0/1] interface ethernet 1/0/2
; 将 以 太 网 端 口
Ethernet1/0/1 加入聚合组 1
[DeviceA-Ethernet1/0/2] port link-aggregation group 1
[DeviceA] link-aggregation group 1 service-type tunnel
# 在手工聚合组的基础
上创建 Tunnel 业务环回组。
[DeviceA] interface ethernet 1/0/1
# 将以太网端口
Ethernet1/0/1 加入业务环回组。
[DeviceA-Ethernet1/0/1] undo stp
[DeviceA-Ethernet1/0/1] port link-aggregation group 1
6、端口镜像
[Quidway]monitor-port <interface_type interface_num>
;指定镜像端口
[Quidway]port mirror <interface_type interface_num>
;指定被镜像端口
[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像
7、VLAN 配置
[Quidway]vlan 3
;创建 VLAN
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4
;在 VLAN 中增加端口
配置基于 access 的 VLAN
[Quidway-Ethernet0/2]port access vlan 3
;当前端口加入到 VLAN
注意:缺省情况下,端口的链路类型为 Access 类型,所有 Access 端口均属于且只属于 VLAN1
配置基于 trunk 的 VLAN
[Quidway-Ethernet0/2]port link-type trunk
;设置当前端口为 trunk
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All}
;设 trunk 允许的VLAN
注意:所有端口缺省情况下都是允许 VLAN1 的报文通过的
[Quidway-Ethernet0/2]port trunk pvid vlan 3
;设置 trunk 端口的 PVID
配置基于 Hybrid 端口的 VLAN
[Quidway-Ethernet0/2]port link-type hybrid
;配置端口的链路类型为 Hybrid
类型
[Quidway-Ethernet0/2]port hybrid vlan vlan-id-list { tagged | untagged }
;允
许指定的 VLAN 通过当前 Hybrid 端口
注意:缺省情况下,所有 Hybrid 端口只允许 VLAN1 通过
[Quidway-Ethernet0/2]port hybrid pvid vlan vlan-id
;设置 Hybrid 端口的缺
省 VLAN
注意:缺省情况下,Hybrid 端口的缺省 VLAN 为 VLAN1
VLAN 描述
[Quidway]description string
;指定 VLAN 描述字符
[Quidway]description
;删除 VLAN 描述字符
[Quidway]display vlan [vlan_id]
;查看 VLAN 设置
私有 VLAN 配置
[SwitchA-vlanx]isolate-user-vlan enable
;设置主 vlan
[SwitchA]Isolate-user-vlan <x> secondary <list>
;设置主 vlan 包括的
子 vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id>
;设置 vlan 的 pvid
[Quidway-Ethernet0/2]port hybrid pvid
;删除 vlan 的 pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged
;设置无标识的 vlan
如果包的 vlan id 与 PVId 一致,则去掉 vlan 信息. 默认 PVID=1。
所以设置 PVID 为所属 vlan id, 设置可以互通的 vlan 为 untagged.
8、STP 配置
[Quidway]stp {enable|disable}
;设置生成树,默认关闭
[Quidway]stp mode rstp
;设置生成树模式为 rstp
[Quidway]stp priority 4096
;设置交换机的优先级
[Quidway]stp root {primary|secondary}
;设置为根或根的备份
[Quidway-Ethernet0/1]stp cost 200
;设置交换机端口的花费
MSTP 配置:
# 配置 MST 域名为 info,MSTP 修订级别为 1,VLAN 映射关系为 VLAN2~VLAN10 映射到生成
树实例 1 上,VLAN20~VLAN30 映射生成树实例 2 上。
<Sysname> system-view
[Sysname] stp region-configuration
[Sysname-mst-region] region-name info
[Sysname-mst-region] instance 1 vlan 2 to 10
[Sysname-mst-region] instance 2 vlan 20 to 30
[Sysname-mst-region] revision-level 1
[Sysname-mst-region] active region-configuration
9、MAC 地址表的操作在系统视图下添加 MAC 地址表项
[Quidway]mac-address { static | dynamic | blackhole } mac-address interface
interface-type interface-number vlan vlan-id ;添加 MAC 地址表项
在添加 MAC 地址表项时,命令中 interface 参数指定的端口必须属于 vlan 参数指定的 VLAN,
否则将添加失败。
如果 vlan 参数指定的 VLAN 是动态 VLAN,在添加静态 MAC 地址之后,会自动变为静态 VLAN。
在以太网端口视图下添加 MAC 地址表项
[Quidway-Ethernet0/2]mac-address { static | dynamic | blackhole } mac-address vlan
vlan-id
在添加 MAC 地址表项时,当前的端口必须属于命令中 vlan 参数指定的 VLAN,否则将添加失
败;
如果 vlan 参数指定的 VLAN 是动态 VLAN,在添加静态 MAC 地址之后,会自动变为静态 VLAN。
[Quidway]mac-address timer { aging age | no-aging }
;设置 MAC 地址表项的老化时
间
注意:缺省情况下,MAC 地址表项的老化时间为 300 秒,使用参数 no-aging 时表示不对 MAC
地址表项进行老化。
MAC 地址老化时间的配置对所有端口都生效,但地址老化功能只对动态的(学习到的或者用
户配置可老化的)MAC 地址表项起作用。
[Quidway-Ethernet0/2]mac-address max-mac-count count
;设置端口最多可以学习到
的 MAC 地址数量
注意:缺省情况下,没有配置对端口学习 MAC 地址数量的限制。反之,如果端口启动了 MAC
地址认证和端口安全功能,则不能配置该端口的最大 MAC 地址学习个数。
[Quidway-Ethernet0/2]port-mac start-mac-address
;配置以太网端口 MAC 地址的起始
值
在缺省情况下,E126/E126A 交换机的以太网端口是没有配置 MAC 地址的,因此当交换机在
发送二层协议报文(例如 STP)时,由于无法取用发送端口的 MAC 地址,
将使用该协议预置的 MAC 地址作为源地址填充到报文中进行发送。在实际组网中,由于多台
设备都使用相同的源 MAC 地址发送二层协议报文,会造成在某台设备的不
同端口学习到相同 MAC 地址的情况,可能会对 MAC 地址表的维护产生影响。
[Quidway]display mac-address
;显示地址表信息
[Quidway]display mac-address aging-time
;显示地址表动态表项的老化时间
[Quidway]display port-mac
;显示用户配置的以太网端口 MAC 地址的起始值
10、GVRP 配置
[SwitchA] gvrp
# 开启全局 GVRP
[SwitchA-Ethernet1/0/1] gvrp
# 在以太网端口 Ethernet1/0/1 上开启 GVRP
[SwitchE-Ethernet1/0/1] gvrp registration { fixed | forbidden | normal }
# 配
置 GVRP 端口注册模式
缺省为 normal
[SwitchA] display garp statistics [ interface interface-list ]
;显示 GARP 统计
信息[SwitchA] display garp timer [ interface interface-list ]
;显示 GARP 定时器
的值
[SwitchA] display gvrp statistics [ interface interface-list ]
;显示 GVRP 统计
信息
[SwitchA] display gvrp status
;显示 GVRP 的全局状态信息
[SwitchA] display gvrp statusreset garp statistics [ interface interface-list ]
;
清除 GARP 统计信息
11、DLDP 配置
[SwitchA] interface gigabitethernet 1/1/1
# 配置端口工作在强制全双工模式,速
率为 1000Mbits/s。
[SwitchA-GigabitEthernet1/1/1] duplex full
[SwitchA-GigabitEthernet1/1/1] speed 1000
[SwitchA] dldp enable
# 全局开启 DLDP。
[SwitchA] dldp interval 15
# 设置发送 DLDP 报文的时间间隔为 15 秒。
[SwitchA] dldp work-mode { enhance | normal }
# 配置 DLDP 协议的工作模式为加强
模式。
缺省为 normal
[SwitchA] dldp unidirectional-shutdown { auto | manual }
# 配置 DLDP 单向链路
操作模式为自动模式。 缺省为 auto
[SwitchA] display dldp 1
# 查看 DLDP 状态。
当光纤交叉连接时,可能有两个或三个端口处于 Disable 状态,剩余端口处于 Inactive 状
态。
当光纤一端连接正确,一端未连接时:
如果 DLDP 的工作模式为 normal,则有收光的一端处于 Advertisement 状态,没有收光的一
端处于 Inactive 状态。
如果 DLDP 的工作模式为 enhance,则有收光的一端处于 Disable 状态,没有收光的一端处
于 Inactive 状态。
dldp reset 命令在全局下可以重置所有端口的 DLDP 状态,在接口下可以充值该端口的 DLDP
状态
12、端口隔离配置
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的
端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户
提供了灵活的组网方案。
[Sysname] interface ethernet1/0/2
# 将以太网端口 Ethernet1/0/2 加入隔离组。
[Sysname-Ethernet1/0/2] port isolate
[Sysname]display isolate port
# 显示隔离组中的端口信息
配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口
以及隔离组外端口之间的通信不会受到影响。
端口隔离特性与以太网端口所属的 VLAN 无关。
当汇聚组中的某个端口加入或离开隔离组后,本设备中同一汇聚组内的其它端口,均会自动
加入或离开该隔离组。对于既处于某个聚合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影
响其他端口,即其他端口仍将处于原聚合组和原隔离组中。
如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚
合组中的端口仍将处于该隔离组中。
当隔离组中的某个端口加入聚合组时,该聚合组中的所有端口,将会自动加入隔离组中。
13、端口安全配置
[Switch] port-security enable
# 启动端口安全功能
[Switch] interface Ethernet 1/0/1 # 进入以太网 Ethernet1/0/1 端口视图
[Switch-Ethernet1/0/1] port-security max-mac-count 80 # 设置端口允许接入的最大
MAC 地址数为 80
[Switch-Ethernet1/0/1] port-security port-mode autolearn # 配置端口的安全模式为
autolearn
[Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1 # 将 Host 的
MAC 地址 0001-0002-0003 作为 Security MAC 添加到 VLAN 1 中
[Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily
#
设置 Intrusion Protection 特性被触发后,暂时关闭该端口
[Switch]port-security timer disableport 30
# 关闭时间为 30 秒。
14、端口绑定配置
通过端口绑定特性,网络管理员可以将用户的 MAC 地址和 IP 地址绑定到指定的端口上。进
行绑定操作后,交换机只对从该端口收到的指定 MAC 地址和 IP 地
址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控。
[SwitchA-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1 #
将 Host 1 的 MAC 地址和 IP 地址绑定到 Ethernet1/0/1 端口。
有的交换机上绑定的配置不一样
[SwitchA] interface ethernet 1/0/2
[SwitchA-Ethernet1/0/2]
user-bind
ip-address
192.168.0.3
mac-address
0001-0203-0405
端口过滤配置
[SwitchA] interface ethernet1/0/1
# 配置端口 Ethernet1/0/1 的端口过滤功能。
[SwitchA-Ethernet1/0/1] ip check source ip-address mac-address
[SwitchA] dhcp-snooping
# 开启 DHCP Snooping 功能。
[SwitchA] interface ethernet1/0/2
# 设置与 DHCP 服务器相连的端口 Ethernet1/0/2
为信任端口。
[SwitchA-Ethernet1/0/2] dhcp-snooping trust
在端口 Ethernet1/0/1 上启用 IP 过滤功能,防止客户端使用伪造的不同源 IP 地址对服务器
进行攻击
15、BFD 配置
Switch A、Switch B、Switch C 相互可达,在 Switch A 上配置静态路由可以到达 Switch C,
并使能 BFD 检测功能。
# 在 Switch A 上配置静态路由,并使能 BFD 检测功能,通过 BFD echo 报文方式实现 BFD功能。
<SwitchA> system-view
[SwitchA] bfd echo-source-ip 123.1.1.1
[SwitchA] interface vlan-interface 10
[SwitchA-vlan-interface10] bfd min-echo-receive-interval 300
[SwitchA-vlan-interface10] bfd detect-multiplier 7
[SwitchA-vlan-interface10] quit
[SwitchA] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet
# 在 Switch A 上打开 BFD 功能调试信息开关。
<SwitchA> debugging bfd event
<SwitchA> debugging bfd scm
<SwitchA> terminal debugging
在 Switch A 上可以打开 BFD 功能调试信息开关,断开 Hub 和 Switch B 之间的链路,验证配
置结果。验证结果显示,
Switch A 能够快速感知 Switch A 与 Switch B 之间链路的变化。
16、QinQ 配置
Provider A、
Provider B 之间通过 Trunk 端口连接,
Provider A 属于运营商网络的 VLAN1000,
Provider B 属于运营商网络的 VLAN2000。
Provider A 和 Provider B 之间,运营商采用其他厂商的设备,TPID 值为 0x8200。
希望配置完成后达到下列要求:
Customer A的VLAN10的报文可以和Customer B的VLAN10的报文经过运营商网络的VLAN1000
转发后互通;Customer A 的 VLAN20 的报文可以
和 Customer C 的 VLAN20 的报文经过运营商网络的 VLAN2000 转发后互通。
[ProviderA] interface ethernet 1/0/1
# 配置端口为 Hybrid 端口,且允许 VLAN10,
VLAN20,VLAN1000 和 VLAN2000 的报文通过,并且在发送时去掉外层 Tag。
[ProviderA-Ethernet1/0/1] port link-type hybrid
[ProviderA-Ethernet1/0/1] port hybrid vlan 10 20 1000 2000 untagged
[ProviderA-Ethernet1/0/1] qinq vid 1000
# 将来自 VLAN10 的报文封装 VLAN ID 为 1000
的外层 Tag。
[ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10
[ProviderA-Ethernet1/0/1-vid-1000] quit
[ProviderA-Ethernet1/0/1] qinq vid 2000
# 将来自 VLAN20 的报文封装 VLAN ID 为 2000
的外层 Tag。
[ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20
[ProviderA] interface ethernet 1/0/2
# 配置端口的缺省 VLAN 为 VLAN1000。
[ProviderA-Ethernet1/0/2] port access vlan 1000
[ProviderA-Ethernet1/0/2] qinq enable
# 配置端口的基本 QinQ 功能,将来自 VLAN10
的报文封装 VLAN ID 为 1000 的外层 Tag。
[ProviderA] interface ethernet 1/0/3
# 配置端口为 Trunk 端口,且允许 VLAN1000 和
VLAN2000 的报文通过。
[ProviderA-Ethernet1/0/3] port link-type trunk
[ProviderA-Ethernet1/0/3] port trunk permit vlan 1000 2000[ProviderA-Ethernet1/0/3] qinq ethernet-type 8200
# 为与公共网络中的设备进行互
通,配置端口添加外层 Tag 时采用的 TPID 值为 0x8200。
[ProviderB] interface ethernet 1/0/1 # 配置端口为 Trunk 端口,且允许 VLAN1000 和
VLAN2000 的报文通过。
[ProviderB-Ethernet1/0/1] port link-type trunk
[ProviderB-Ethernet1/0/1] port trunk permit vlan 1000 2000
[ProviderB-Ethernet1/0/1] qinq ethernet-type 8200
# 为与公共网络中的设备进行互
通,配置端口添加外层 Tag 时采用的 TPID 值为 0x8200。
[ProviderB-Ethernet1/0/1] quit
[ProviderB] interface ethernet 1/0/2
# 配置端口的缺省 VLAN 为 VLAN2000。
[ProviderB-Ethernet1/0/2] port access vlan 2000
[ProviderB-Ethernet1/0/2] qinq enable
# 配置端口的基本 QinQ 功能,将来自 VLAN20
的报文封装 VLAN ID 为 2000 的外层 Tag。
1404
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
