華為交換機配置
端口表示方法E1/0/1
顯示系統版本信息:display version
顯示診斷信息:display diagnostic-information
顯示系統當前配置:display current-configuration
顯示系統保存配置: display saved-configuration
顯示接口信息:display interface
顯示路由信息:display ip routing-table
顯示VLAN信息:display vlan
顯示生成樹信息:display stp
顯示MAC地址表:display mac-address
顯示ARP表信息:display arp
顯示系統CPU使用率:display cpu
顯示系統內存使用率:display memory
顯示系統日志:display log
顯示系統時鍾:display clock
驗證配置正確后,使用保存配置命令:save
刪除某條命令,一般使用命令: undo
system-view進入配置模式
操作完畢后save保存配置
quit退出接口模式到系統視圖
按Tab鍵可以自動跳出完整命令
1、創建VLAN
vlan 2
刪除VLAN
undo vlan 2
2、把端口划入VLAN
int e1/0/2
port access vlan 3
端口退出vlan(在vlan里刪除端口)
inter vlan 10
undo port e 1/0/1
3、設置trunk端口
port link-type trunk(access為普通端口)
4、設置SNMP
# 設置團體名為mgr,並且可以進行讀寫訪問。
[Sysname] snmp-agent community write mgr
# 刪除團體名comaccess。
[Sysname] undo snmp-agent community comaccess
時間同步
[Sysname] interface Vlan-interface1
[Sysname-Vlan-interface1] ntp-service broadcast-client
用戶:
local-user <>
password simple/cipher <>
services-type terminal/telnet/ssh
配置了認證登錄后,必須配置用戶的類型,否則會出現超級終端上登錄不了的情況,
同時配level 3,否則telnet后沒有相應的操作權限
5、配console
user-interface aux 0
authentication-mode scheme/password
local-user 用戶名
password cipher 密碼
service-type telnet terminal level 3
q
配Telnet
user-interface vty 0 4
authentication-mode scheme【方案】
save
一般步驟:
先創建用戶
設置密碼
設置用戶類型
配置console加密
配置telnet加密
6、更改主機名
sysname name
7、設置端口名稱 端口描述
8、設置交換機管理地址
interface Vlan-interface 1
ip address 129.12.0.1 255.255.255.0
9、備份文件
tftp 1.1.1.1 get abc.txt efg.txt
tftp 1.1.1.1 put config.cfg temp.cfg
10、配置靜態路由:
ip route 129.1.0.0 255.255.0.0 10.0.0.2
11、恢復出廠配置
<H3C>reset saved-configuration
<H3C>reboot
出廠配置沒有用戶名和密碼,恢復出廠設置后設置的用戶名和密碼依然存在;
12、配置生成樹(預防環路發生)
stp enable
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關
交換機命令
~~~~~~~~~~
[Quidway]dis cur ;顯示當前配置
[Quidway]display current-configuration ;顯示當前配置
[Quidway]display interfaces ;顯示接口信息
[Quidway]display vlan all ;顯示路由信息
[Quidway]display version ;顯示版本信息
[Quidway]super password ;修改特權用戶密碼
[Quidway]sysname ;交換機命名
[Quidway]interface ethernet 0/1 ;進入接口視圖
[Quidway]interface vlan x ;進入接口視圖
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;靜態路由=網關
[Quidway]rip ;三層交換支持
[Quidway]local-user ftp
[Quidway]user-interface vty 0 4 ;進入虛擬終端
[S3026-ui-vty0-4]authentication-mode password ;設置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;設置口令
[S3026-ui-vty0-4]user privilege level 3 ;用戶級別
[Quidway]interface ethernet 0/1 ;進入端口模式
[Quidway]int e0/1 ;進入端口模式
[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作狀態
[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率
[Quidway-Ethernet0/1]flow-control ;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;設置端口工作模式
[Quidway-Ethernet0/1]port access vlan 3 ;當前端口加入到VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;設trunk允許的VLAN
[Quidway-Ethernet0/3]port trunk pvid vlan 3 ;設置trunk端口的PVID
[Quidway-Ethernet0/1]undo shutdown ;激活端口
[Quidway-Ethernet0/1]shutdown ;關閉端口
[Quidway-Ethernet0/1]quit ;返回
[Quidway]vlan 3 ;創建VLAN
[Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加端口
[Quidway-vlan3]port e0/1 ;簡寫方式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口
[Quidway-vlan3]port e0/1 to e0/4 ;簡寫方式
[Quidway]monitor-port <interface_type interface_num> ;指定鏡像端口
[Quidway]port mirror <interface_type interface_num> ;指定被鏡像端口
[Quidway]port mirror int_list observing-port int_type int_num ;指定鏡像和被鏡像
[Quidway]description string ;指定VLAN描述字符
[Quidway]description ;刪除VLAN描述字符
[Quidway]display vlan [vlan_id] ;查看VLAN設置
[Quidway]stp {enable|disable} ;設置生成樹,默認關閉
[Quidway]stp priority 4096 ;設置交換機的優先級
[Quidway]stp root {primary|secondary} ;設置為根或根的備份
[Quidway-Ethernet0/1]stp cost 200 ;設置交換機端口的花費
[Quidway]link-aggregation e0/1 to e0/4 ingress|both ; 端口的聚合
[Quidway]undo link-aggregation e0/1|all ; 始端口為通道號
[SwitchA-vlanx]isolate-user-vlan enable ;設置主vlan
[SwitchA]isolate-user-vlan <x> secondary <list> ;設置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id> ;設置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid ;刪除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;設置無標識的vlan
如果包的vlan id與PVId一致,則去掉vlan信息. 默認PVID=1。
所以設置PVID為所屬vlan id, 設置可以互通的vlan為untagged.
----------------------------------------
路由器命令
~~~~~~~~~~
[Quidway]display version ;顯示版本信息
[Quidway]display current-configuration ;顯示當前配置
[Quidway]display interfaces ;顯示接口信息
[Quidway]display ip route ;顯示路由信息
[Quidway]sysname aabbcc ;更改主機名
[Quidway]super passwrod 123456 ;設置口令
[Quidway]interface serial0 ;進入接口
[Quidway-serial0]ip address <ip> <mask|mask_len> ;配置端口IP地址
[Quidway-serial0]undo shutdown ;激活端口
[Quidway]link-protocol hdlc ;綁定hdlc協議
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 ;顯示所有信息
[Quidway]debugging hdlc event serial0 ;調試事件信息
[Quidway]debugging hdlc packet serial0 ;顯示包的信息
靜態路由:
[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
動態路由:
[Quidway]rip ;設置動態路由
[Quidway]rip work ;設置工作允許
[Quidway]rip input ;設置入口允許
[Quidway]rip output ;設置出口允許
[Quidway-rip]network 1.0.0.0 ;設置交換路由網絡
[Quidway-rip]network all ;設置與所有網絡交換
[Quidway-rip]peer ip-address ;
[Quidway-rip]summary ;路由聚合
[Quidway]rip version 1 ;設置工作在版本1
[Quidway]rip version 2 multicast ;設版本2,多播方式
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D ;配置路由器的ID
[Quidway]ospf enable ;啟動OSPF協議
[Quidway-ospf]import-route direct ;引入直聯路由
[Quidway-Serial0]ospf enable area <area_id> ;配置OSPF區域
標准訪問列表命令格式如下:
acl <acl-number> [match-order config|auto] ;默認前者順序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
擴展訪問控制列表配置命令
配置TCP/UDP協議的擴展訪問列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}
[operate]
配置ICMP協議的擴展訪問列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]
[icmp-code] [logging]
擴展訪問控制列表操作符的含義
equal portnumber ;等於
greater-than portnumber ;大於
less-than portnumber ;小於
not-equal portnumber ;不等
range portnumber1 portnumber2 ;區間
擴展訪問控制列表舉例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址轉換配置舉例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101 ;內部指定主機可以進入e0
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]quit
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway]acl 102 ;外部特定主機和大於1024端口的數據包允許進入S0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-acl-102]quit
[Quidway]int s0
[Quidway-Serial0]firewall packet-filter 102 inbound ;設202.38.160.1是路由器出口IP。
[Quidway-Serial0]nat outbound 101 interface ;是Easy ip,將acl 101允許的IP從本接口出時變換源地址。
內部服務器地址轉換配置命令(靜態nat):
nat server global <ip> [port] inside <ip> port [protocol] ;global_port不寫時使用inside_port
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
設有公網IP:202.38.160.101~202.38.160.103 可以使用。 ;對外訪問(原例題)
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1 ;建立地址池
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255 ;指定允許的內部網絡
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1 ;在s0口從地址池取出IP對外訪問
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP設置:
[Quidway-s0]link-protocol ppp ;默認的協議
PPP驗證:
主驗方:pap|chap
[Quidway]local-user q2 password {simple|cipher} hello ;路由器1
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user q1 ;pap時,沒有此句
pap被驗方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp pap local-user q2 password {simple|cipher} hello
chap被驗方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp chap user q2 ;自己路由器名
[Quidway-serial0]local-user q1 password {simple|cipher} hello ;對方路由器名
幀中繼frame-relay (二分冊6-61)
[q1]fr switching
[q1]int s1
[q1-Serial1]ip address 192.168.34.51 255.255.255.0
[q1-Serial1]link-protocol fr ;封裝幀中繼協議
[q1-Serial1]fr interface-type dce
[q1-Serial1]fr dlci 100
[q1-Serial1]fr inarp
[q1-Serial1]fr map ip 192.168.34.52 dlci 100
[q2]int s1
[q2-Serial1]ip address 192.168.34.52 255.255.255.0
[q2-Serial1]link-protocol fr
[q2-Serial1]fr interface-type dte
[q2-Serial1]fr dlci 100
[q2-Serial1]fr inarp
[q2-Serial1]fr map ip 192.168.34.51 dlci 100
幀中繼監測
[q1]display fr lmi-info[]interface type number]
[q1]display fr map
[q1]display fr pvc-info[serial interface-number][dlci dlci-number]
[q1]display fr dlci-switch
[q1]display fr interface
[q1]reset fr inarp-info
[q1]debugging fr all[interface type number]
[q1]debugging fr arp[interface type number]
[q1]debugging fr event[interface type number]
[q1]debugging fr lmi[interface type number]
啟動ftp服務:
[Quidway]local-user ftp password {simple|cipher} aaa service-type ftp
[Quidway]ftp server enable
inte***ce M-Ethernet0/0/0是CPU板的管理口
華為6506下加入ACL步驟:
先進入配置模式.
<SW6506>sys
System View: return to User View with Ctrl+Z
[SW6506]
建立訪問控制列表
[SW6506]acl number 4012
[SW6506-acl-adv-4012]
[SW6506-acl-adv-4012]rule 0 permit icmp source 10.1.43.0 0.0.0.255 destination 10.1.2.11 0
[SW6506-acl-adv-4012]rule 1 deny icmp source 10.1.0.0 0.0.255.255 destination 10.1.2.11 0
進入接口模式
[SW6506]int g4/0/43
[SW6506-GigabitEthernet4/0/43]qos
This interface's qos performance is limited as following:
The number of rules that can be made active is <= 120/(interface).
The number of traffic statistics that can be made active is <= 32/(interface).
The number of traffic bandwidth limits that can be made active is <= 60/(inter
face).
[SW6506-qosb-GigabitEthernet4/0/43]pack
[SW6506-qosb-GigabitEthernet4/0/43]packet-filter ?
inbound Apply the acl on inbound packets of the interface
[SW6506-qosb-GigabitEthernet4/0/43]packet-filter inbound ?
ip-group Apply the basic or advanced acl
link-group Apply the link-based acl
user-group Apply the user-defined acl
[SW6506-qosb-GigabitEthernet4/0/43]packet-filter inbound ip-
2XJDZJ-SW-S6506-01-qosb-GigabitEthernet4/0/43]packet-filter inbound ip-group 4012 將ACL應用到接口,再dis cu int g4/0/43進行查看.
[SW6506-qosb-GigabitEthernet4/0/43]dis cu int g4/0/43
#
interface GigabitEthernet4/0/43
port access vlan 143
qos
packet-filter inbound ip-group 4012 rule 0 system-index 1
packet-filter inbound ip-group 4012 rule 1 system-index 2
#
return
[SW6506-qosb-GigabitEthernet4/0/43]
取消接口上的應用
[SW6506-qosb-GigabitEthernet4/0/43]qos
This interface's qos performance is limited as following:
The number of rules that can be made active is <= 120/(interface).
The number of traffic statistics that can be made active is <= 32/(interface).
The number of traffic bandwidth limits that can be made active is <= 60/(inter
face).
[SW6506-qosb-GigabitEthernet4/0/43]undo pack
[SW6506-qosb-GigabitEthernet4/0/43]undo packet-filter inbound ?
ip-group Apply the basic or advanced acl
link-group Apply the link-based acl
user-group Apply the user-defined acl
[SW6506-qosb-GigabitEthernet4/0/43]undo packet-filter inbound ip-group 4012
[SW6506-qosb-GigabitEthernet4/0/43]
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/zhrmghl/archive/2007/05/30/1632101.aspx
換機為H3C S3600-28TP-SI。欲限制部分用戶對一些設備FTP、SSH、VNC SERVER的訪問。在奧運期間加強設備的安全性。
該交換機的ACL可以作用在端口的OUT 或 IN方向上。考慮到所做的ACL想對個別的接口連接設備起作用,所以將ACL應用到接口的出的方向上。
(1)首先定義ACL。
acl number 3001
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp-data
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp
rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp-data
rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp
rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp-data
rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 22
rule permit tcp source 10.65.252.0 0.0.0.128 destination-port eq 22
rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 5901
rule deny tcp destination-port eq ftp-data
rule deny tcp destination-port eq ftp
rule deny tcp destination-port eq 22
rule deny tcp destination-port eq 5901
(2)在接口上應用。
packet-filter outbound ip-group 3001
(3)顯示接口上的應用
[XJDZJ-WL-3628-01]dis cu int e1/0/5
#
interface Ethernet1/5
packet-filter outbound ip-group 3001 rule 0
packet-filter outbound ip-group 3001 rule 1
packet-filter outbound ip-group 3001 rule 2
packet-filter outbound ip-group 3001 rule 3
packet-filter outbound ip-group 3001 rule 4
packet-filter outbound ip-group 3001 rule 5
packet-filter outbound ip-group 3001 rule 6
packet-filter outbound ip-group 3001 rule 7
packet-filter outbound ip-group 3001 rule 8
packet-filter outbound ip-group 3001 rule 9
packet-filter outbound ip-group 3001 rule 10
packet-filter outbound ip-group 3001 rule 11
packet-filter outbound ip-group 3001 rule 12
開門直接寫,不廢話.
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
des cription ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
des cription server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關
H3C交換機配置命令2008-11-11 16:32配置終端操作密碼:
[ST-ZC501-LSW-R4C14.I.S2403]user-interface aux 0 /進入用戶0模式
[ST-ZC501-LSW-R4C14.I.S2403-ui-aux0]authentication-mode password /配置密碼
無操作自動斷開連接:
idle-timeout minutes 10 /10分鍾無操作自動斷開連接
idle-timeout seconds 10 /10秒鍾無操作自動斷開連接
鎖定用戶:
<ST-ZC501-LSW-R4C14.I.S2403>lock /鎖定當前用戶(接着輸入密碼,解除按回車輸入
剛才的密碼就行了)。
開啟telnet服務:
[ST-ZC501-LSW-R4C14.I.S2403]telnet server enable /啟動telnet 服務(默認關閉)
強制用戶下線:
<ST-ZC501-LSW-R4C14.I.S2403>free web-users all /強制所有在線WEB用戶下線
查看端口接收、傳送、丟棄報文數:
<ST-ZC501-LSW-R4C14.I.S2403>display garp statistics interface (加端口號) 查
/看端口接收和傳送和丟棄的GVRP報文數
VTP配置:
gvrp registration fixed /端口模式下配置(相當於思科的服務器模式VTP)____必須
在trunk工作模式的端口下。
gvrp registration forbidden /端口模式下配置(相當於思科的透明模式VTP)____必
須在trunk工作模式的端口下。
gvrp registration normal /端口模式下配置(相當於思科的客戶端模式VTP)____必須
在trunk工作模式的端口下。
[ST-ZC501-LSW-R4C14.I.S2403]stp disable
bpdu-tunnel dot1q stp /VTP的開啟(端口下或全局模式下)默認關閉
undo bpdu-tunnel dot1q stp /關閉VTP(端口下或全局模式下)
指定以太網端口通過的最大廣播百分比:
broadcast-suppression (1-100) /指定以太網端口允許通過的最大廣播
流量占該端口傳輸能力的百分比(默認關閉)——打開此功能可以保證正常
流量的傳輸。
查看本端系統的設備ID,包括LACP協優先級與MAC地址:
display lacp system-id
優先級設置為64(值越小優先級越大):
[ST-ZC501-LSW-R4C14.I.S2403]lacp system-priority 64
端口聚合命名:
[ST-ZC501-LSW-R4C14.I.S2403]link-aggregation group 1 description /名字
創建組號為8的手工聚合組:
[ST-ZC501-LSW-R4C14.I.S2403]link-aggregation group 8 mode manual
/把端口加入到組號為8的手工聚合組:
端口下port link-aggregation group 8
進入聚合端口組8模式:
[ST-ZC501-LSW-R4C14.I.S2403]port-group aggregation 8
[ST-ZC501-LSW-R4C14.I.S2403-port-group-aggregation-8] 此命令不能添加或刪
除端口組成員,只能進行對聚合相關的配置命令,包括STP、VLAN、QOS、GVRP、
TELNET、MAC等配置。
端口下綁定IP及MAC地址:
user-bind ip-address 121.11.86.72 mac-address 0101-0101-0101
查看非正常阻塞端口(任意視圖下):
display stp abnormal-port里顯示結果為Reason項里Formatcompatibility
rotected
查看被STP保護功能down掉的端口信息(任意視圖下):
display stp down-port
查看所有MSTP實例的根橋信息(任意視圖下):
dis stp root
清除生成樹的統計信息(用戶視圖下):
reset stp
reset stp interface 端口號------消除指定端口生成樹的統計信息。
查看已經生效的MST域(生成樹)的配置信息:
display stp region-configuration
開啟和關閉stp功能:
[ST-ZC501-LSW-R4C14.I.S2403]stp enable 開啟全局stp
端口下關閉stp:
stp disable
端口下設置端口的路徑開銷(根橋):
stp instance 0 cost 16 ______指定生成樹實例0的路徑開銷為16
指定當前設備為生成樹實例0的根橋:
stp instance 0 root primary
指定當前設備為生成樹實例0的備份根橋:
stp instance 0 root secondary
端口下啟動端口的根保護功能:
stp root-protection
端口下配置以太網端口為邊緣端口(即直接轉發端口——不阻塞端口):
stp edged-port disable
端口下開啟環路保護功能:
stp loop-protection
路由命令
查看路由表中當前激活路由的摘要信息:
display ip routing-table
查看通過基本訪問控制列表ACL2000過濾的,處於active狀態的路由的摘要信息:
display ip routing-table acl 2000
查看通過基本訪問控制列表ACL2000過濾的,處於active和inactive的路由的詳細信息:
display ip routing-table acl 2000 verbose
查看所有直連路由的摘要信息:
display ip routing-table protocol direct
查看所有靜態路由表:
display ip routing-table protocol static
查看路由的綜合信息:
dispaly ip routing-table statistics
清除路由表中所有路由協議的統計信息:
reset ip routing-table statistics protcol all
靜態路由配置:
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 目的地址/掩碼 下一跳IP tag 50
刪除靜態路由:
[ST-ZC501-LSW-R4C14.I.S2403]undo ip route-static 目的地址/掩碼 下一跳IP tag
50
配置靜態路由的缺省優先級為120默認為60)
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static default-perference 120
將OSPF區域1中兩個網段11.1.1.0/24和11.1.2.0/24的路由聚合成一條聚合路由
11.1.0.0/16向其它區域發布:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 1
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]network 11.1.1.0 0.0.0.255
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]network 11.1.2.0 0.0.0.255
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]abr-summary 11.1.0.0
255.255.0.0
創建OSPF區域0並進入ospf區域視圖:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 0 (刪除則undo area 0)
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.0]
設置ospf對引入的路由進行聚合:
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 11.1.1.0 24 null 0
[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 11.1.2.0 24 null 0
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]import-route static
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]asbr-summary 11.1.0.0 255.255.0.0 tag
2 cost 100
指定OSPF區域0支持MD5密文驗證模式:
一個區域中所有路由器的驗證模式必須一致(不驗證\使用簡單驗證\使用MD5密文驗證)
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 0
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.0]authentication-mode md5
設置鏈路的帶寬參考值為1000Mbps:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]bandwidth-reference 1000
設置外部路由缺省值開銷10、類型2、標記100和一次引入的數量上限20000:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]default cost 10 limit 20000 tag 100
type 2
將產生的缺省路由引入到OSPF路由區域(本地路由器的路由表中不存在缺省路由):
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]default-route-advertise always
路由OSPF描述:
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]description 123456
查看OSPF路由信息:
[ST-ZC501-LSW-R4C14.I.S2403]display ospf abr-asbr
查看OSPF的所有引入路由聚合信息:
display ospf asbr-summary
查看OSPF的錯誤信息:
display ospf (可加區域號) error
查看OSPF接口信息(如果不指定OSPF進程號,將顯示所有OSPF進程的接口信息):
display ospf interface
顯示SOPF的下一跳信息:
display ospf nexthop
查看OSPF鄰居詳細信息:
display ospf peer verbose
查看OSPF鄰居概要信息:
display ospf peer
查看所有OSPF鄰居的統計信息:
display ospf peer statistics
查看OSPF請求列表信息(如果不指定OSPF進程號,將顯示所有OSPF進程的請求列表信
息):
display ospf request-queue
查看OSPF路由表的信息:
display ospf routing
開啟OSPF日志信息開關(默認關閉):
[ST-ZC501-LSW-R4C14.I.S2403]ospf 100
[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]enable log
個人總結的一些華為命令
個人總結的一些華為命令
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關個人總結的一些華為命令
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關個人總結的一些華為命令
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關個人總結的一些華為命令
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關個人總結的一些華為命令
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關個人總結的一些華為命令
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關個人總結的一些華為命令
個人總結的一些華為命令
刪除設備配置
reset saved-configuration
重啟
reboot
看當前配置文件
display current-configuration
改設備名
sysname
保存配置
save
進入特權模式
sysview
華為只有2層模式 不像cisco enale之后還要conf t
定義acl
acl nubmere XXXX(3000以上)進入以后
rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)
destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq
注意 華為默認沒有deny any any
防火牆上端口加載ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火牆上新增加用戶
local-user XXX(用戶名) password simple XXX(密碼)
local-user XXX service-type ppp
刪除某條命令
undo(類似與cisco的no)
靜態路由
ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
對vpdn用戶設置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
設定telnet密碼
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
啟動/關閉
啟動 un shut
關閉 shut
動態nat設置
acl number 3000
rule 0 permit ip source XXX.XXX.XXX.XXX
rule 1 permit ip source XXX.XXX.XXX.XXX
rule 2 permit ip source XXX.XXX.XXX.XXX
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
nat outbound 3000
ipsec policy policy1
利用acl來做 符合acl的IP地址可以出去(注意 此處的ACL隱含了deny any any)不符合的IP地址不可以出去
創建vlan
[shzb-crsw-s6506-1]vlan 100
華為vlan不支持name
將port放入vlan
創建了vlan后 進入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
表示從G1/0/1 到1/0/8放入VLAN 100
創建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
帶*號的是創建trunk鏈路的語句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp語句指定vrrp 類似與hsrp
使用vrrp要注意的是華為不支持pvst
只能一台完全是主,一台完全是備份
在主vrrp設備上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在從vrrp設備上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交換機下面綁acl
首先進入接口模式,輸入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在輸入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000
華為交換機只能指定inbound方向
啟用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX
配置ospf重發布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(類似與cisco的channel-group)
link-aggregation group 1 mode manual
然后進入接口
port link-aggregation group 1
啟用VRRP之前必須輸入
vrrp ping-enable
使得客戶能ping網關
H3C S3100
華為交換機配置
端口表示方法E1/0/1
顯示系統版本信息:display version
顯示診斷信息:display diagnostic-information
顯示系統當前配置:display current-configuration
顯示系統保存配置: display saved-configuration
顯示接口信息:display interface
顯示路由信息:display ip routing-table
顯示VLAN信息:display vlan
顯示生成樹信息:display stp
顯示MAC地址表:display mac-address
顯示ARP表信息:display arp
顯示系統CPU使用率:display cpu
顯示系統內存使用率:display memory
顯示系統日志:display log
顯示系統時鍾:display clock
驗證配置正確后,使用保存配置命令:save
刪除某條命令,一般使用命令: undo
system-view進入配置模式
操作完畢后save保存配置
quit退出接口模式到系統視圖
按Tab鍵可以自動跳出完整命令
1、創建VLAN
vlan 2
刪除VLAN
undo vlan 2
2、把端口划入VLAN
int e1/0/2
port access vlan 3
端口退出vlan(在vlan里刪除端口)
inter vlan 10
undo port e 1/0/1
3、設置trunk端口
port link-type trunk(access為普通端口)
4、設置SNMP
# 設置團體名為mgr,並且可以進行讀寫訪問。
[Sysname] snmp-agent community write mgr
# 刪除團體名comaccess。
[Sysname] undo snmp-agent community comaccess
時間同步
[Sysname] interface Vlan-interface1
[Sysname-Vlan-interface1] ntp-service broadcast-client
用戶:
local-user <>
password simple/cipher <>
services-type terminal/telnet/ssh
配置了認證登錄后,必須配置用戶的類型,否則會出現超級終端上登錄不了的情況,
同時配level 3,否則telnet后沒有相應的操作權限
5、配console
user-interface aux 0
authentication-mode scheme/password
local-user 用戶名
password cipher 密碼
service-type telnet terminal level 3
q
配Telnet
user-interface vty 0 4
authentication-mode scheme【方案】
save
一般步驟:
先創建用戶
設置密碼
設置用戶類型
配置console加密
配置telnet加密
6、更改主機名
sysname name
7、設置端口名稱 端口描述
8、設置交換機管理地址
interface Vlan-interface 1
ip address 129.12.0.1 255.255.255.0
9、備份文件
tftp 1.1.1.1 get abc.txt efg.txt
tftp 1.1.1.1 put config.cfg temp.cfg
10、配置靜態路由:
ip route 129.1.0.0 255.255.0.0 10.0.0.2
11、恢復出廠配置
<H3C>reset saved-configuration
<H3C>reboot
出廠配置沒有用戶名和密碼,恢復出廠設置后設置的用戶名和密碼依然存在;
12、配置生成樹(預防環路發生)
stp enable
3COM交換機配置命令詳解
1、配置文件相關命令
[Quidway]display current-configuration ;顯示當前生效的配置
[Quidway]display saved-configuration ;顯示flash中配置文件,即下次上電啟動時所用的配置文件
<Quidway>reset saved-configuration ;檫除舊的配置文件
<Quidway>reboot ;交換機重啟
<Quidway>display version ;顯示系統版本信息
2、基本配置
[Quidway]super password ;修改特權用戶密碼
[Quidway]sysname ;交換機命名
[Quidway]interface ethernet 0/1 ;進入接口視圖
[Quidway]interface vlan x ;進入接口視圖
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;靜態路由=網關
3、telnet配置
[Quidway]user-interface vty 0 4 ;進入虛擬終端
[S3026-ui-vty0-4]authentication-mode password ;設置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;設置口令
[S3026-ui-vty0-4]user privilege level 3 ;用戶級別
4、端口配置
[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作狀態
[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率
[Quidway-Ethernet0/1]flow-control ;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;設置端口工作模式
[Quidway-Ethernet0/1]undo shutdown ;激活端口
[Quidway-Ethernet0/2]quit ;退出系統視圖
5、鏈路聚合配置
[DeviceA] link-aggregation group 1 mode manual ;創建手工聚合組1
[DeviceA] interface ethernet 1/0/1 ;將以太網端口Ethernet1/0/1加入聚合組1
[DeviceA-Ethernet1/0/1] port link-aggregation group 1
[DeviceA-Ethernet1/0/1] interface ethernet 1/0/2 ;將以太網端口Ethernet1/0/1加入聚合組1
[DeviceA-Ethernet1/0/2] port link-aggregation group 1
[DeviceA] link-aggregation group 1 service-type tunnel # 在手工聚合組的基礎上創建Tunnel業務環回組。
[DeviceA] interface ethernet 1/0/1 # 將以太網端口Ethernet1/0/1加入業務環回組。
[DeviceA-Ethernet1/0/1] undo stp
[DeviceA-Ethernet1/0/1] port link-aggregation group 1
6、端口鏡像
[Quidway]monitor-port <interface_type interface_num> ;指定鏡像端口
[Quidway]port mirror <interface_type interface_num> ;指定被鏡像端口
[Quidway]port mirror int_list observing-port int_type int_num ;指定鏡像和被鏡像
7、VLAN配置
[Quidway]vlan 3 ;創建VLAN
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口
配置基於access的VLAN
[Quidway-Ethernet0/2]port access vlan 3 ;當前端口加入到VLAN
注意:缺省情況下,端口的鏈路類型為Access類型,所有Access端口均屬於且只屬於VLAN1
配置基於trunk的VLAN
[Quidway-Ethernet0/2]port link-type trunk ;設置當前端口為trunk
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;設trunk允許的VLAN
注意:所有端口缺省情況下都是允許VLAN1的報文通過的
[Quidway-Ethernet0/2]port trunk pvid vlan 3 ;設置trunk端口的PVID
配置基於Hybrid端口的VLAN
[Quidway-Ethernet0/2]port link-type hybrid ;配置端口的鏈路類型為Hybrid類型
[Quidway-Ethernet0/2]port hybrid vlan vlan-id-list { tagged | untagged } ;允許指定的VLAN通過當前Hybrid端口
注意:缺省情況下,所有Hybrid端口只允許VLAN1通過
[Quidway-Ethernet0/2]port hybrid pvid vlan vlan-id ;設置Hybrid端口的缺省VLAN
注意:缺省情況下,Hybrid端口的缺省VLAN為VLAN1
VLAN描述
[Quidway]description string ;指定VLAN描述字符
[Quidway]description ;刪除VLAN描述字符
[Quidway]display vlan [vlan_id] ;查看VLAN設置
私有VLAN配置
[SwitchA-vlanx]isolate-user-vlan enable ;設置主vlan
[SwitchA]Isolate-user-vlan <x> secondary <list> ;設置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id> ;設置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid ;刪除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;設置無標識的vlan
如果包的vlan id與PVId一致,則去掉vlan信息. 默認PVID=1。
所以設置PVID為所屬vlan id, 設置可以互通的vlan為untagged.
8、STP配置
[Quidway]stp {enable|disable} ;設置生成樹,默認關閉
[Quidway]stp mode rstp ;設置生成樹模式為rstp
[Quidway]stp priority 4096 ;設置交換機的優先級
[Quidway]stp root {primary|secondary} ;設置為根或根的備份
[Quidway-Ethernet0/1]stp cost 200 ;設置交換機端口的花費
MSTP配置:
# 配置MST域名為info,MSTP修訂級別為1,VLAN映射關系為VLAN2~VLAN10映射到生成樹實例1上,VLAN20~VLAN30映射生成樹實例2上。
<Sysname> system-view
[Sysname] stp region-configuration
[Sysname-mst-region] region-name info
[Sysname-mst-region] instance 1 vlan 2 to 10
[Sysname-mst-region] instance 2 vlan 20 to 30
[Sysname-mst-region] revision-level 1
[Sysname-mst-region] active region-configuration
9、MAC地址表的操作
在系統視圖下添加MAC地址表項
[Quidway]mac-address { static | dynamic | blackhole } mac-address interface interface-type interface-number vlan vlan-id ;添加MAC地址表項
在添加MAC地址表項時,命令中interface參數指定的端口必須屬於vlan參數指定的VLAN,否則將添加失敗。
如果vlan參數指定的VLAN是動態VLAN,在添加靜態MAC地址之后,會自動變為靜態VLAN。
在以太網端口視圖下添加MAC地址表項
[Quidway-Ethernet0/2]mac-address { static | dynamic | blackhole } mac-address vlan vlan-id
在添加MAC地址表項時,當前的端口必須屬於命令中vlan參數指定的VLAN,否則將添加失敗;
如果vlan參數指定的VLAN是動態VLAN,在添加靜態MAC地址之后,會自動變為靜態VLAN。
[Quidway]mac-address timer { aging age | no-aging } ;設置MAC地址表項的老化時間
注意:缺省情況下,MAC地址表項的老化時間為300秒,使用參數no-aging時表示不對MAC地址表項進行老化。
MAC地址老化時間的配置對所有端口都生效,但地址老化功能只對動態的(學習到的或者用戶配置可老化的)MAC地址表項起作用。
[Quidway-Ethernet0/2]mac-address max-mac-count count ;設置端口最多可以學習到的MAC地址數量
注意:缺省情況下,沒有配置對端口學習MAC地址數量的限制。反之,如果端口啟動了MAC地址認證和端口安全功能,則不能配置該端口的最大MAC地址學習個數。
[Quidway-Ethernet0/2]port-mac start-mac-address ;配置以太網端口MAC地址的起始值
在缺省情況下,E126/E126A交換機的以太網端口是沒有配置MAC地址的,因此當交換機在發送二層協議報文(例如STP)時,由於無法取用發送端口的MAC地址,
將使用該協議預置的MAC地址作為源地址填充到報文中進行發送。在實際組網中,由於多台設備都使用相同的源MAC地址發送二層協議報文,會造成在某台設備的不
同端口學習到相同MAC地址的情況,可能會對MAC地址表的維護產生影響。
[Quidway]display mac-address ;顯示地址表信息
[Quidway]display mac-address aging-time ;顯示地址表動態表項的老化時間
[Quidway]display port-mac ;顯示用戶配置的以太網端口MAC地址的起始值
10、GVRP配置
[SwitchA] gvrp # 開啟全局GVRP
[SwitchA-Ethernet1/0/1] gvrp # 在以太網端口Ethernet1/0/1上開啟GVRP
[SwitchE-Ethernet1/0/1] gvrp registration { fixed | forbidden | normal } # 配置GVRP端口注冊模式 缺省為normal
[SwitchA] display garp statistics [ interface interface-list ] ;顯示GARP統計信息
[SwitchA] display garp timer [ interface interface-list ] ;顯示GARP定時器的值
[SwitchA] display gvrp statistics [ interface interface-list ] ;顯示GVRP統計信息
[SwitchA] display gvrp status ;顯示GVRP的全局狀態信息
[SwitchA] display gvrp statusreset garp statistics [ interface interface-list ] ;清除GARP統計信息
11、DLDP配置
[SwitchA] interface gigabitethernet 1/1/1 # 配置端口工作在強制全雙工模式,速率為1000Mbits/s。
[SwitchA-GigabitEthernet1/1/1] duplex full
[SwitchA-GigabitEthernet1/1/1] speed 1000
[SwitchA] dldp enable # 全局開啟DLDP。
[SwitchA] dldp interval 15 # 設置發送DLDP報文的時間間隔為15秒。
[SwitchA] dldp work-mode { enhance | normal } # 配置DLDP協議的工作模式為加強模式。 缺省為normal
[SwitchA] dldp unidirectional-shutdown { auto | manual } # 配置DLDP單向鏈路操作模式為自動模式。 缺省為auto
[SwitchA] display dldp 1 # 查看DLDP狀態。
當光纖交叉連接時,可能有兩個或三個端口處於Disable狀態,剩余端口處於Inactive狀態。
當光纖一端連接正確,一端未連接時:
如果DLDP的工作模式為normal,則有收光的一端處於Advertisement狀態,沒有收光的一端處於Inactive狀態。
如果DLDP的工作模式為enhance,則有收光的一端處於Disable狀態,沒有收光的一端處於Inactive狀態。
dldp reset命令在全局下可以重置所有端口的DLDP狀態,在接口下可以充值該端口的DLDP狀態
12、端口隔離配置
通過端口隔離特性,用戶可以將需要進行控制的端口加入到一個隔離組中,實現隔離組中的端口之間二層、三層數據的隔離,既增強了網絡的安全性,也為用戶
提供了靈活的組網方案。
[Sysname] interface ethernet1/0/2 # 將以太網端口Ethernet1/0/2加入隔離組。
[Sysname-Ethernet1/0/2] port isolate
[Sysname]display isolate port # 顯示隔離組中的端口信息
配置隔離組后,只有隔離組內各個端口之間的報文不能互通,隔離組內端口與隔離組外端口以及隔離組外端口之間的通信不會受到影響。
端口隔離特性與以太網端口所屬的VLAN無關。
當匯聚組中的某個端口加入或離開隔離組后,本設備中同一匯聚組內的其它端口,均會自動加入或離開該隔離組。
對於既處於某個聚合組又處於某個隔離組的一組端口,其中的一個端口離開聚合組時不會影響其他端口,即其他端口仍將處於原聚合組和原隔離組中。
如果某個聚合組中的端口同時屬於某個隔離組,當在系統視圖下直接刪除該聚合組后,該聚合組中的端口仍將處於該隔離組中。
當隔離組中的某個端口加入聚合組時,該聚合組中的所有端口,將會自動加入隔離組中。
13、端口安全配置
[Switch] port-security enable # 啟動端口安全功能
[Switch] interface Ethernet 1/0/1 # 進入以太網Ethernet1/0/1端口視圖
[Switch-Ethernet1/0/1] port-security max-mac-count 80 # 設置端口允許接入的最大MAC地址數為80
[Switch-Ethernet1/0/1] port-security port-mode autolearn # 配置端口的安全模式為autolearn
[Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1 # 將Host 的MAC地址0001-0002-0003作為Security MAC添加到VLAN 1中
[Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily # 設置Intrusion Protection特性被觸發后,暫時關閉該端口
[Switch]port-security timer disableport 30 # 關閉時間為30秒。
14、端口綁定配置
通過端口綁定特性,網絡管理員可以將用戶的MAC地址和IP地址綁定到指定的端口上。進行綁定操作后,交換機只對從該端口收到的指定MAC地址和IP地
址的用戶發出的報文進行轉發,提高了系統的安全性,增強了對網絡安全的監控。
[SwitchA-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1 # 將Host 1的MAC地址和IP地址綁定到Ethernet1/0/1端口。
有的交換機上綁定的配置不一樣
[SwitchA] interface ethernet 1/0/2
[SwitchA-Ethernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405
端口過濾配置
[SwitchA] interface ethernet1/0/1 # 配置端口Ethernet1/0/1的端口過濾功能。
[SwitchA-Ethernet1/0/1] ip check source ip-address mac-address
[SwitchA] dhcp-snooping # 開啟DHCP Snooping功能。
[SwitchA] interface ethernet1/0/2 # 設置與DHCP服務器相連的端口Ethernet1/0/2為信任端口。
[SwitchA-Ethernet1/0/2] dhcp-snooping trust
在端口Ethernet1/0/1上啟用IP過濾功能,防止客戶端使用偽造的不同源IP地址對服務器進行攻擊
15、BFD配置
Switch A、Switch B、Switch C相互可達,在Switch A上配置靜態路由可以到達Switch C,並使能BFD檢測功能。
# 在Switch A上配置靜態路由,並使能BFD檢測功能,通過BFD echo報文方式實現BFD功能。
<SwitchA> system-view
[SwitchA] bfd echo-source-ip 123.1.1.1
[SwitchA] interface vlan-interface 10
[SwitchA-vlan-interface10] bfd min-echo-receive-interval 300
[SwitchA-vlan-interface10] bfd detect-multiplier 7
[SwitchA-vlan-interface10] quit
[SwitchA] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet
# 在Switch A上打開BFD功能調試信息開關。
<SwitchA> debugging bfd event
<SwitchA> debugging bfd scm
<SwitchA> terminal debugging
在Switch A上可以打開BFD功能調試信息開關,斷開Hub和Switch B之間的鏈路,驗證配置結果。驗證結果顯示,
Switch A能夠快速感知Switch A與Switch B之間鏈路的變化。
16、QinQ配置
Provider A、Provider B之間通過Trunk端口連接,Provider A屬於運營商網絡的VLAN1000,Provider B屬於運營商網絡的VLAN2000。
Provider A和Provider B之間,運營商采用其他廠商的設備,TPID值為0x8200。
希望配置完成后達到下列要求:
Customer A的VLAN10的報文可以和Customer B的VLAN10的報文經過運營商網絡的VLAN1000轉發后互通;Customer A的VLAN20的報文可以
和Customer C的VLAN20的報文經過運營商網絡的VLAN2000轉發后互通。
[ProviderA] interface ethernet 1/0/1 # 配置端口為Hybrid端口,且允許VLAN10,VLAN20,VLAN1000和VLAN2000的報文通過,並且在發送時去掉外層Tag。
[ProviderA-Ethernet1/0/1] port link-type hybrid
[ProviderA-Ethernet1/0/1] port hybrid vlan 10 20 1000 2000 untagged
[ProviderA-Ethernet1/0/1] qinq vid 1000 # 將來自VLAN10的報文封裝VLAN ID為1000的外層Tag。
[ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10
[ProviderA-Ethernet1/0/1-vid-1000] quit
[ProviderA-Ethernet1/0/1] qinq vid 2000 # 將來自VLAN20的報文封裝VLAN ID為2000的外層Tag。
[ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20
[ProviderA] interface ethernet 1/0/2 # 配置端口的缺省VLAN為VLAN1000。
[ProviderA-Ethernet1/0/2] port access vlan 1000
[ProviderA-Ethernet1/0/2] qinq enable # 配置端口的基本QinQ功能,將來自VLAN10的報文封裝VLAN ID為1000的外層Tag。
[ProviderA] interface ethernet 1/0/3 # 配置端口為Trunk端口,且允許VLAN1000和VLAN2000的報文通過。
[ProviderA-Ethernet1/0/3] port link-type trunk
[ProviderA-Ethernet1/0/3] port trunk permit vlan 1000 2000
[ProviderA-Ethernet1/0/3] qinq ethernet-type 8200 # 為與公共網絡中的設備進行互通,配置端口添加外層Tag時采用的TPID值為0x8200。
[ProviderB] interface ethernet 1/0/1 # 配置端口為Trunk端口,且允許VLAN1000和VLAN2000的報文通過。
[ProviderB-Ethernet1/0/1] port link-type trunk
[ProviderB-Ethernet1/0/1] port trunk permit vlan 1000 2000
[ProviderB-Ethernet1/0/1] qinq ethernet-type 8200 # 為與公共網絡中的設備進行互通,配置端口添加外層Tag時采用的TPID值為0x8200。
[ProviderB-Ethernet1/0/1] quit
[ProviderB] interface ethernet 1/0/2 # 配置端口的缺省VLAN為VLAN2000。
[ProviderB-Ethernet1/0/2] port access vlan 2000
[ProviderB-Ethernet1/0/2] qinq enable # 配置端口的基本QinQ功能,將來自VLAN20的報文封裝VLAN ID為2000的外層Tag。
華為網絡設備常用命令
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。