H3C交换机配置命令详解.docx
《H3C交换机配置命令详解.docx》由会员分享,可在线阅读,更多相关《H3C交换机配置命令详解.docx(7页珍藏版)》请在冰豆网上搜索。
H3C交换机配置命令详解
H3C的路由器配置命令详解
欧阳光明(2021.03.07)
SYS进入视图配置模式ins0进入serial0端口配置ipaddxxx.xxx.xxx.xxxxxx.xxx.xxx.xxx添加ip地址和掩码,电信分配encahdlc/ppp捆绑链路协议hdlc或者pppipunne0exit回到全局配置模式ine0进入以太接口配置ipaddxxx.xxx.xxx.xxxxxx.xxx.xxx.xxx添加ip地址和掩码,电信分配exit回到全局配置模式iproute0.0.0.00.0.0.0s0添加路由表enapassword口令writeexit以上根据中国电信ddn专线多数情况应用普通用户模式enable转入特权用户模式exit退出配置help系统帮助简述language语言模式切换ping检查网络主机连接及主机是否可达show显示系统运行信息telnet远程登录功能tracert跟踪到目的地经过了哪些路由器特权用户模式#?
clear清除各项统计信息clock管理系统时钟configure进入全局配置模式debug开启调试开关disable返回普通用户模式download下载新版本软件和配置文件erase擦除FLASH中的配置exec-timeout打开EXEC超时退出开关exit退出配置first-config设置或清除初次配置标志help系统帮助简述language语言模式切换monitor打开用户屏幕调试信息输出开关no关闭调试开关ping检查网络主机连接及主机是否可达reboot路由器重启setup配置路由器参数show显示系统运行信息telnet远程登录功能tracert跟踪到目的地经过了哪些路由器unmonitor关闭用户屏幕调试信息输出开关write将当前配置参数保存至FLASHMEM中全局配置模式aaa-enable使能配置AAA(认证,授权和计费)access-list配置标准访问表arp设置静态ARP人口chat-script生成一个用在modem上的执行脚本custom-list创建定制队列列表dialer-list创建dialer-listdram-wait设置DRAM等待状态enable修改ENABLE口令exit退出全局配置模式firewall配置防火墙状态flow-interval设置流量控制时间间隔frame-relay帧中继全局配置命令集ftp-serverFTP服务器help系统帮助命令简述host添加主机名称和其IP地址hostname修改主机名ifquelen更改接口队列长度interface选择配置接口ip全局IP配置命令子集ipx全局IPX配置命令子集loghost设置日志主机IP地址logic-channel配置逻辑通道login启动EXEC登录验证modem-timeout设置modem超时时间multilink配置multilink用户使用的接口multilink-user配置multilink用户使用的接口natserver设置FTP,TELNET,WWW服务的IP地址no关闭某些参数开关priority-list创建优先级队列列表router启动路由处理settr设置时间范围snmp-server修改SNMP参数tcp配置全局TCP参数timerange启动或关闭时间区域user为PPP验证向系统中加入用户vpdn设置VPDNvpdn-group设置VPDN组x25X.25协议分组层
H3C交换机常用命令解释
作者:
admin日期:
2009-12-19
字体大小:
小中大
H3C交换机常用命令注释H3C交换机#######################################################################31、system-view 进入系统视图模式2、sysname 为设备命名3、displaycurrent-configuration当前配置情况4、language-modeChinese|English中英文切换5、interfaceEthernet1/0/1进入以太网端口视图6、portlink-typeAccess|Trunk|Hybrid 设置端口访问模式7、undoshutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan10 创建VLAN10并进入VLAN10的视图模式11、portaccessvlan10 在端口模式下将当前端口加入到vlan10中12、portE1/0/2toE1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、porttrunkpermitvlanall 允许所有的vlan通过H3C路由器######################################################################################1、system-view 进入系统视图模式2、sysnameR1 为设备命名为R13、displayiprouting-table显示当前路由表4、language-modeChinese|English中英文切换5、interfaceEthernet0/0进入以太网端口视图6、ipaddress192.168.1.1255.255.255.0 配置IP地址和子网掩码7、undoshutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、iproute-static192.168.2.0255.255.255.0192.168.12.2descriptionTo.R2配置静态路由11、iproute-static0.0.0.00.0.0.0192.168.12.2descriptionTo.R2配置默认的路由H3CS3100SwitchH3CS3600SwitchH3CMSR20-20Router##########################################################################################1、调整超级终端的显示字号;2、捕获超级终端操作命令行,以备日后查对;3、language-modeChinese|English中英文切换;4、复制命令到超级终端命令行,粘贴到主机;5、交换机清除配置:
resetsave;reboot;6、路由器、交换机配置时不能掉电,连通测试前一定要 检查网络的连通性,不要犯最低级的错误。
7、192.168.1.1/24 等同 192.168.1.1255.255.255.0;在配置交换机和路由器时,192.168.1.1255.255.255.0可以写成:
192.168.1.1248、设备命名规则:
地名-设备名-系列号例:
PingGu-R-S3600#################################################################################################################H3C华为交换机端口绑定基本配置2008-01-2213:
401,端口+MACa)AM命令使用特殊的AMUser-bind命令,来完成MAC地址与端口之间的绑定。
例如:
[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明:
由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。
但是PC1使用该MAC地址可以在其他端口上网。
b)mac-address命令使用mac-addressstatic命令,来完成MAC地址与端口之间的绑定。
例如:
[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1[SwitchA]mac-addressmax-mac-count0配置说明:
由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。
2,IP+MACa)AM命令使用特殊的AMUser-bind命令,来完成IP地址与MAC地址之间的绑定。
例如:
[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3配置说明:
以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。
支持型号:
S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arpstatic命令,来完成IP地址与MAC地址之间的绑定。
例如:
[SwitchA]arpstatic10.1.1.200e0-fc22-f8d3配置说明:
以上配置完成对PC机的IP地址和MAC地址的全局绑定。
3,端口+IP+MAC使用特殊的AMUser-bind命令,来完成IP、MAC地址与端口之间的绑定。
例如:
[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明:
可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。
由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。
但是PC1使用该IP地址和MAC地址可以在其他端口上网。
###############################################################################################[S2016-E1-Ethernet0/1]mac-addressmax-mac-count0; 进入到端口,用命令macmax-mac-count0(端口mac学习数设为0) [S2016-E1]macstatic0000-9999-8888inte0/1vlan10; 将0000-9999-8888绑定到e0/1端口上,此时只有绑定mac的pc可以通过此口上网,同时E0/1属于vlan10 就这样,ok了,不过上面两个命令顺序不能弄反,除非端口下没有接pc########################################################################################disvlan显示vlannametext指定当前vlan的名称undoname取消[h3c]vlan2[h3c-vlan2]nametestvlandisusers显示用户disstartup显示启动配置文件的信息disuser-interface显示用户界面的相关信息diswebusers显示web用户的相关信息。
headerlogin配置登陆验证是显示信息headershellundoheader lock锁住当前用户界面acl访问控制列表aclnumberinbound/outbound[h3c]user-interfacevty04[h3c-vty0-4]acl2000inboundshutdown:
关闭vlan接口undoshutdown打开vlan接口关闭vlan1接口[h3c]interfacevlan-interface1[h3c-vlan-interface]shutdownvlanvlan-id定义vlanundovalnvlan-iddisplayiprouting-tabledisplayiprouting-tableprotocolstaticdisplayiprouting-tablestatisticsdisplayiprouting-tableverbose查看路由表的全部详细信息interfacevlan-interfacevlan-id进入valnmanagement-vlanvlan-id定义管理vlan号 resetiprouting-tablestatisticsprotocolall清除所有路由协议的路由信息.displaygarpstatisticsinterfaceGigabitEthernet1/0/1显示以太网端口上的garp统计信息displayvoicevlanstatus查看语音vlan状态[h3c-GigabitEthernet1/0/1]broadcast-suppression20允许接受的最大广播流量为该端口传输能力的20%.超出部分丢弃.[h3c-GigabitEthernet1/0/1]broadcast-suppressionpps1000每秒允许接受的最大广播数据包为1000传输能力的20%.超出部分丢弃.displayinterfaceGigabitEthernet1/0/1查看端口信息displaybriefinterfaceGigabitEthernet1/0/1查看端口简要配置信息displayloopback-detection用来测试环路测试是否开启displaytransceiver-informationinterfaceGigabitEthernet1/0/50显示光口相关信息duplexauto/full/half[h3c]interfaceGigabitEthernet1/0/1[h3c-GigabitEthernet1/0/1]dupluxauto设置端口双工属性为自协商portlink-typeaccess/hybrid/trunk默认为accessporttrunkpermitvlanall将trunk扣加入所有vlan中resetcountersinterfaceGigabitEthernet1/0/1清楚端口的统计信息speedauto10/100/1000displayport-security查看端口安全配置信息amuser-bindmac-addr00e0-fc00-5101ip-addr10.153.1.2interfaceGigabitEthernet1/0/1端口ip绑定displayarp显示arpdisplayamuser-bind显示端口绑定的配置信息displaymac-address显示交换机学习到的mac地址displaystp显示生成树状态与统计信息[h3c-GigabitEthernet1/0/1]stpinstance0cost200设置生成树实例0上路径开销为200stpcost设置当前端口在指定生成树实例上路径开销。
instance-id为0-160表cist取值范围1-200000displaysystem-guardip-record显示防攻击记录信息.system-guardenable启用系统防攻击功能displayicmpstatisticsicmp流量统计displayipsocketdisplayipstatisticsdisplayaclallaclnumberacl-numbermatch-orderauto/configacl-number(2000-2999是基本acl3000-3999是高级acl为管理员预留的编号)ruledeny/permitprotocal访问控制[h3c]aclnumber3000[h3c-acl-adv-3000]rulepermittcpsource129.9.0.00.0.255.255destination202.38.160.00.0.255.255destination-porteq80(定义高级acl3000,允许129.0.0/16网段的主机向202.38.160/24网段主机访问端口80)rulepermitsource211.100.255.00.255.255.255ruledenycos3souce00de-bbef-adseffff-ffff-fffdest0011-4301-9912ffff-ffff-ffff(禁止mac地址00de-bbef-adse发送到mac地址0011-4301-9912且802.1p优先级为3的报文通过)displayqos-interfaceGigabitEthernet1/0/1traffic-limit查看端口上流量端口速率限制line-rateinbound/outboundtarget-rateinbound:
对端口接收报文进行速率限制outbound:
对端口发送报文进行速率限制target-rate对报文限制速率,单位kbps千兆口inbound范围1-1000000outbound范围20-1000000undoline-rate取消限速.[h3c]interfaceGigabitEthernet1/0/1[h3c-GigabitEthernet1/0/1]line-rateoutbound128限制出去速率为128kbpsdisplayarp|include77displayarpcount计算arp表的记录数displayndp显示交换机端口的详细配置信息。
displayntdpdevice-listverbose收集设备详细信息displaylockdisplayusersdisplaycpudisplaymemorydisplayfandisplaydevicedisplaypower
路由器防火墙配置指导
作者:
admin日期:
2009-12-02
字体大小:
小中大
ICG防火墙配置指导
--[if!
supportLists]-->1
--[endif]-->防火墙简介防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面可以作为一个访问因特网的权限控制关口,控制内部网络用户对因特网进行Web访问或收发E-mail等。
通过合理的配置防火墙可以大大提高网络的安全性和稳定性。
--[if!
supportLists]-->2
--[endif]-->防火墙配置指导
--[if!
supportLists]-->2.1
--[endif]-->基本配置步骤防火墙的基本配置顺序如下:
首先使能防火墙:
ipv4:
系统视图下输入firewallenableipv6:
系统视图下输入firewallipv6enable然后配置aclaclnumber3000rule0permitipsource1.0.0.10rule10denyip 然后在接口上根据需要应用防火墙interfaceEthernet0/1portlink-moderoutefirewallpacket-filter3000inboundipaddress5.0.0.2255.255.255.0
--[if!
supportLists]-->2.2
--[endif]-->基础配置举例:
如前所说,在使能了防火墙后,就要按需求配置acl并应用在接口上,下面给出几个常见的需求的配置方法:
--[if!
vml]-->
--[endif]-->
--[if!
mso]-->
--[endif]-->et0/1
--[if!
mso]-->
--[endif]-->
--[if!
mso&!
vml]-->
--[endif]-->
--[if!
vml]-->
--[endif]-->
--[if!
vml]-->
--[endif]-->
--[if!
mso]-->
--[endif]-->et0/0
--[if!
mso]-->
--[endif]-->
--[if!
mso&!
vml]-->
--[endif]-->
--[if!
vml]-->
--[endif]-->以下的例子中的组网如下:
ICG设备内网外网
--[if!
vml]-->
--[endif]-->其中内网地址192.168.0.2-192.168.1.255
--[if!
supportLists]-->2.2.1
--[endif]-->禁止访问外网的某些地址用途:
限制上网。
比如禁止访问100.0.0.1地址acl配置:
[H3C]acln3000[H3C-acl-adv-3000]ruledenyipdestination100.0.0.10 禁止100.0.0.1[H3C-acl-adv-3000]rulepermitip 允许其它ip端口配置,在内网口入方向配置防火墙[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound 备注:
1)如果要禁止某个网段,则选择配置适当的掩码就可以了 2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙
--[if!
supportLists]-->2.2.2
--[endif]-->限制只能访问外网的某些地址用途:
限制上网。
比如只能访问200.0.0.1/24网段acl配置:
[H3C]acln3000[H3C-acl-adv-3000]rulepermitipdestination200.0.0.10.0.0.255 允许访问200.0.0.1/24网段[H3C-acl-adv-3000]ruledenyip 禁止访问其他网段端口配置,在内网口入方向配置
升级会员 