来源:蜘蛛抓取(WebSpider)
时间:2017-05-19 03:05
标签:
华为 dot1q 3
华为交换机配置端口表示方法E1/0/1显示系统版本信息:display version显示诊断信息:display diagnostic-information显示系统当前配置:display current-configuration显示系统保存配置: display saved-configuration显示接口信息:display interface显示路由信息:display ip routing-table显示VLAN信息:display vlan显示生成树信息:display stp显示MAC地址表:display mac-address显示ARP表信息:display arp显示系统CPU使用率:display cpu显示系统内存使用率:display memory显示系统日志:display log显示系统时钟:display clock验证配置正确后,使用保存配置命令:save删除某条命令,一般使用命令: undo system-view进入配置模式操作完毕后save保存配置quit退出接口模式到系统视图按Tab键可以自动跳出完整命令1、创建VLANvlan 2删除VLANundo vlan 22、把端口划入VLANint e1/0/2port access vlan 3端口退出vlan(在vlan里删除端口)inter vlan 10undo port e 1/0/13、设置trunk端口port link-type trunk(access为普通端口)4、设置SNMP# 设置团体名为mgr,并且可以进行读写访问。[Sysname] snmp-agent community write mgr# 删除团体名comaccess。[Sysname] undo snmp-agent community comaccess时间同步[Sysname] interface Vlan-interface1[Sysname-Vlan-interface1] ntp-service broadcast-client用户:local-user &&password& simple/cipher &&services-type& terminal/telnet/ssh配置了认证登录后,必须配置用户的类型,否则会出现超级终端上登录不了的情况,同时配level 3,否则telnet后没有相应的操作权限5、配consoleuser-interface aux 0authentication-mode scheme/passwordlocal-user 用户名password cipher 密码service-type telnet terminal level 3q配Telnet user-interface vty 0 4authentication-mode scheme【方案】save一般步骤:先创建用户设置密码设置用户类型配置console加密配置telnet加密6、更改主机名sysname name7、设置端口名称 端口描述8、设置交换机管理地址interface Vlan-interface 1ip address 129.12.0.1 255.255.255.09、备份文件tftp 1.1.1.1 get abc.txt efg.txttftp 1.1.1.1 put config.cfg temp.cfg10、配置静态路由:ip route 129.1.0.0 255.255.0.0 10.0.0.211、恢复出厂配置&H3C&reset saved-configuration &H3C&reboot出厂配置没有用户名和密码,恢复出厂设置后设置的用户名和密码依然存在;12、配置生成树(预防环路发生)stp enable删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration 改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any 防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound 防火墙上新增加用户 local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4 user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex full speed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX vrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份 在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000 华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX 配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static 建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关交换机命令~~~~~~~~~~[Quidway]dis cur&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;显示当前配置[Quidway]display current-configuration&&&&&&&&&&& ;显示当前配置[Quidway]display interfaces&&&&&&&&&&&&&&&&&&&&&& ;显示接口信息[Quidway]display vlan all&&&&&&&&&&&&&&&&&&&&&&&& ;显示路由信息[Quidway]display version&&&&&&&&&&&&&&&&&&&&&&&&& ;显示版本信息[Quidway]super password&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;修改特权用户密码[Quidway]sysname&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;交换机命名[Quidway]interface ethernet 0/1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;进入接口视图[Quidway]interface vlan x&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;进入接口视图[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0&&&& ;配置VLAN的IP地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2&&&&&&&&&&& ;静态路由=网关[Quidway]rip&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;三层交换支持[Quidway]local-user ftp[Quidway]user-interface vty 0 4&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;进入虚拟终端[S3026-ui-vty0-4]authentication-mode password&&&&&&&&&&&&&&&& ;设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple 222& ;设置口令[S3026-ui-vty0-4]user privilege level 3&&&&&&&&&&&&&&&&&&&&&& ;用户级别[Quidway]interface ethernet 0/1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;进入端口模式[Quidway]int e0/1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;进入端口模式[Quidway-Ethernet0/1]duplex {half|full|auto}&&&&&&&&&&&&&&&&& ;配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto}&&&&&&&&&&&&&&&&& ;配置端口工作速率[Quidway-Ethernet0/1]flow-control&&&&&&&&&&&&&&&&&&&&&&& ;配置端口流控[Quidway-Ethernet0/1]mdi {across|auto|normal}&&&&&&&&&&&&&&&& ;配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid}&&&& ;设置端口工作模式[Quidway-Ethernet0/1]port access vlan 3&&&&&&&&&&&& ;当前端口加入到VLAN[Quidway-Ethernet0/2]port trunk permit vlan {ID|All}&&&&& ;设trunk允许的VLAN[Quidway-Ethernet0/3]port trunk pvid vlan 3&&&& ;设置trunk端口的PVID[Quidway-Ethernet0/1]undo shutdown&&&&&&&&&&&&&&&&&&&&&& ;激活端口[Quidway-Ethernet0/1]shutdown&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;关闭端口[Quidway-Ethernet0/1]quit&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;返回[Quidway]vlan 3&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;创建VLAN[Quidway-vlan3]port ethernet 0/1 && ;在VLAN中增加端口[Quidway-vlan3]port e0/1&&& &&&&&&&&&&&&&&&&&&&&&&& ;简写方式[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4&&& ;在VLAN中增加端口[Quidway-vlan3]port e0/1 to e0/4&&& &&&&&&&&&&&&&&& ;简写方式[Quidway]monitor-port &interface_type interface_num&&&&&&&& ;指定镜像端口[Quidway]port mirror &interface_type interface_num&&&&&&& ;指定被镜像端口[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像[Quidway]description string&&&&&&&&&&&&&&&&&&&&&&&& ;指定VLAN描述字符[Quidway]description&&&&&&&&&&&&&&&&&&&&&&&&&& ;删除VLAN描述字符[Quidway]display vlan [vlan_id]&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;查看VLAN设置[Quidway]stp {enable|disable}&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;设置生成树,默认关闭[Quidway]stp priority 4096&&&&&&&&&&&&&&&&&&&&&&&&& ;设置交换机的优先级[Quidway]stp root {primary|secondary}&&&&&&&&&&&&&& ;设置为根或根的备份[Quidway-Ethernet0/1]stp cost 200&&&&&&&&&&&&&&&&&& ;设置交换机端口的花费[Quidway]link-aggregation e0/1 to e0/4 ingress|both&&&&&&&&&& ; 端口的聚合[Quidway]undo link-aggregation e0/1|all&&&&&&&&&&&&&&&&&&&&&& ;& 始端口为通道号[SwitchA-vlanx]isolate-user-vlan enable&&&&&&&&&&&& ;设置主vlan[SwitchA]isolate-user-vlan &x& secondary &list&&&&& ;设置主vlan包括的子vlan[Quidway-Ethernet0/2]port hybrid pvid vlan &id&&&&& ;设置vlan的pvid[Quidway-Ethernet0/2]port hybrid pvid&&&&&&&&&&&&&& ;删除vlan的pvid[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的vlan如果包的vlan id与PVId一致,则去掉vlan信息. 默认PVID=1。所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged.----------------------------------------路由器命令~~~~~~~~~~[Quidway]display version&&&&&&&&&&&&&&&&&&&&&&&&& ;显示版本信息[Quidway]display current-configuration&&&&&&&&&&& ;显示当前配置[Quidway]display interfaces&&&&&&&&&&&&&&&&&&&&&& ;显示接口信息[Quidway]display ip route&&&&&&&&&&&&&&&&&&&&&&&& ;显示路由信息[Quidway]sysname aabbcc&&&&&&&&&&&&&&&&&&&&&&&&&& ;更改主机名[Quidway]super passwrod 123456&&&&&&&&&&&&&&&&&&& ;设置口令[Quidway]interface serial0&&&&&&&&&&&&&&&&&&&&&&& ;进入接口[Quidway-serial0]ip address &ip& &mask|mask_len&& ;配置端口IP地址[Quidway-serial0]undo shutdown&&&&&&&&&&&&&&&&&&& ;激活端口[Quidway]link-protocol hdlc&&&&&&&&&&&&&&&&&&&&&& ;绑定hdlc协议[Quidway]user-interface vty 0 4[Quidway-ui-vty0-4]authentication-mode password[Quidway-ui-vty0-4]set authentication-mode password simple 222[Quidway-ui-vty0-4]user privilege level 3[Quidway-ui-vty0-4]quit[Quidway]debugging hdlc all serial0&&&&&&&&&&&&&& ;显示所有信息[Quidway]debugging hdlc event serial0&&&&&&&&&&&& ;调试事件信息[Quidway]debugging hdlc packet serial0&&&&&&&&&&& ;显示包的信息静态路由:[Quidway]ip route-static &ip&&mask&{interface number|nexthop}[value][reject|blackhole]例如:[Quidway]ip route-static 129.1.0.0 16 10.0.0.2[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2[Quidway]ip route-static 129.1.0.0 16 Serial 2[Quidway]ip route-static 0.0.0.0 0.0.0.0& 10.0.0.2动态路由:[Quidway]rip&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;设置动态路由[Quidway]rip work&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;设置工作允许[Quidway]rip input&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;设置入口允许[Quidway]rip output&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;设置出口允许[Quidway-rip]network 1.0.0.0&&&&&&&&&&&&&&&&&&&&&& ;设置交换路由网络[Quidway-rip]network all&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;设置与所有网络交换[Quidway-rip]peer ip-address&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;[Quidway-rip]summary&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;路由聚合[Quidway]rip version 1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;设置工作在版本1[Quidway]rip version 2 multicast&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;设版本2,多播方式[Quidway-Ethernet0]rip split-horizon&&&&&&&&&&&&&&&&&&&&&&&&& ;水平分隔[Quidway]router id A.B.C.D&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;配置路由器的ID[Quidway]ospf enable&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;启动OSPF协议[Quidway-ospf]import-route direct&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;引入直联路由[Quidway-Serial0]ospf enable area &area_id&&&&&&&&&&&&&&&&&&& ;配置OSPF区域标准访问列表命令格式如下:acl &acl-number& [match-order config|auto]&&&&&&&&&&&&&&&&&&& ;默认前者顺序匹配。rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]例:[Quidway]acl 10[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255[Quidway-acl-10]rule normal deny source any扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表:rule {normal|special}{permit|deny}{tcp|udp}source {&ip wild&|any}destination &ip wild&|any}[operate]配置ICMP协议的扩展访问列表:rule {normal|special}{permit|deny}icmp source {&ip wild&|any]destination {&ip wild&|any][icmp-code] [logging]扩展访问控制列表操作符的含义equal portnumber&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;等于greater-than portnumber&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;大于less-than portnumber&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;小于not-equal portnumber&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;不等range portnumber1 portnumber2&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;区间扩展访问控制列表举例[Quidway]acl 101[Quidway-acl-101]rule deny souce any destination any[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply[Quidway]acl 102[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0[Quidway-acl-102]rule deny ip source any destination any[Quidway]acl 103[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www[Quidway]firewall enable[Quidway]firewall default permit|deny[Quidway]int e0[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound地址转换配置举例[Quidway]firewall enable[Quidway]firewall default permit[Quidway]acl 101&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;内部指定主机可以进入e0[Quidway-acl-101]rule deny ip source any destination any[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any[Quidway-acl-101]quit[Quidway]int e0[Quidway-Ethernet0]firewall packet-filter 101 inbound[Quidway]acl 102&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;外部特定主机和大于1024端口的数据包允许进入S0[Quidway-acl-102]rule deny ip source any destination any[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than1024[Quidway-acl-102]quit[Quidway]int s0[Quidway-Serial0]firewall packet-filter 102 inbound&&&&& ;设202.38.160.1是路由器出口IP。[Quidway-Serial0]nat outbound 101 interface&& ;是Easy ip,将acl 101允许的IP从本接口出时变换源地址。内部服务器地址转换配置命令(静态nat):nat server global &ip& [port] inside &ip& port [protocol]&&&&&& ;global_port不写时使用inside_port[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp设有公网IP:202.38.160.101~202.38.160.103 可以使用。&&&&&&&&&&&& ;对外访问(原例题)[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1&& ;建立地址池[Quidway]acl 1[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255&&&&&&&&& ;指定允许的内部网络[Quidway-acl-1]rule deny source any[Quidway-acl-1]int serial 0[Quidway-Serial0]nat outbound 1 address-group pool1&&&&&&&&&&&&& ;在s0口从地址池取出IP对外访问[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udpPPP设置:[Quidway-s0]link-protocol ppp&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;默认的协议PPP验证:主验方:pap|chap[Quidway]local-user q2 password {simple|cipher} hello&&&&&&&&& ;路由器1[Quidway]interface serial 0[Quidway-serial0]ppp authentication-mode {pap|chap}[Quidway-serial0]ppp chap user q1&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;pap时,没有此句pap被验方:[Quidway]interface serial 0&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;路由器2[Quidway-serial0]ppp pap local-user q2 password {simple|cipher} hellochap被验方:[Quidway]interface serial 0&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;路由器2[Quidway-serial0]ppp chap user q2&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;自己路由器名[Quidway-serial0]local-user q1 password {simple|cipher} hello& ;对方路由器名帧中继frame-relay&&& (二分册6-61)[q1]fr switching[q1]int s1[q1-Serial1]ip address 192.168.34.51 255.255.255.0[q1-Serial1]link-protocol fr&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ;封装帧中继协议[q1-Serial1]fr interface-type dce[q1-Serial1]fr dlci 100[q1-Serial1]fr inarp[q1-Serial1]fr map ip 192.168.34.52 dlci 100[q2]int s1[q2-Serial1]ip address 192.168.34.52 255.255.255.0[q2-Serial1]link-protocol fr[q2-Serial1]fr interface-type dte[q2-Serial1]fr dlci 100[q2-Serial1]fr inarp[q2-Serial1]fr map ip 192.168.34.51 dlci 100帧中继监测[q1]display fr lmi-info[]interface type number][q1]display fr map[q1]display fr pvc-info[serial interface-number][dlci dlci-number][q1]display fr dlci-switch[q1]display fr interface[q1]reset fr inarp-info[q1]debugging fr all[interface type number][q1]debugging fr arp[interface type number][q1]debugging fr event[interface type number][q1]debugging fr lmi[interface type number]启动ftp服务:[Quidway]local-user ftp password {simple|cipher} aaa service-type ftp[Quidway]ftp server enableinte***ce M-Ethernet0/0/0是CPU板的管理口 &&华为6506下加入ACL步骤:&&& 先进入配置模式.&&& &SW6506&sys&&&&& System View: return to User View with Ctrl+Z&&& [SW6506]&&& 建立访问控制列表[SW6506]acl number 4012[SW6506-acl-adv-4012]&[SW6506-acl-adv-4012]rule 0 permit icmp source 10.1.43.0 0.0.0.255 destination 10.1.2.11 0&[SW6506-acl-adv-4012]rule 1 deny icmp source 10.1.0.0 0.0.255.255 destination 10.1.2.11 0&&& 进入接口模式 [SW6506]int g4/0/43[SW6506-GigabitEthernet4/0/43]qos&This interface's qos performance is limited as following:&& The number of rules that can be made active is &= 120/(interface).&& The number of traffic statistics that can be made active is &= 32/(interface).&& The number of traffic bandwidth limits that can be made active is &= 60/(interface).[SW6506-qosb-GigabitEthernet4/0/43]pack[SW6506-qosb-GigabitEthernet4/0/43]packet-filter ?&& inbound& Apply the acl on inbound packets of the interface[SW6506-qosb-GigabitEthernet4/0/43]packet-filter inbound ?&& ip-group&&& Apply the basic or advanced acl&& link-group& Apply the link-based acl&& user-group& Apply the user-defined acl[SW6506-qosb-GigabitEthernet4/0/43]packet-filter inbound ip-&2XJDZJ-SW-S6506-01-qosb-GigabitEthernet4/0/43]packet-filter inbound ip-group 4012&&& 将ACL应用到接口,再dis cu int g4/0/43进行查看.[SW6506-qosb-GigabitEthernet4/0/43]dis cu int g4/0/43#interface GigabitEthernet4/0/43&port access vlan 143&qos&packet-filter inbound ip-group 4012 rule 0 system-index 1&packet-filter inbound ip-group 4012 rule 1 system-index 2#return[SW6506-qosb-GigabitEthernet4/0/43]&&& 取消接口上的应用[SW6506-qosb-GigabitEthernet4/0/43]qosThis interface's qos performance is limited as following:& The number of rules that can be made active is &= 120/(interface).& The number of traffic statistics that can be made active is &= 32/(interface).& The number of traffic bandwidth limits that can be made active is &= 60/(interface).[SW6506-qosb-GigabitEthernet4/0/43]undo pack[SW6506-qosb-GigabitEthernet4/0/43]undo packet-filter inbound ?& ip-group&&& Apply the basic or advanced acl& link-group& Apply the link-based acl& user-group& Apply the user-defined acl[SW6506-qosb-GigabitEthernet4/0/43]undo packet-filter inbound ip-group 4012[SW6506-qosb-GigabitEthernet4/0/43]本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/zhrmghl/archive//1632101.aspx&&换机为H3C S3600-28TP-SI。欲限制部分用户对一些设备FTP、SSH、VNC SERVER的访问。在奥运期间加强设备的安全性。&&& 该交换机的ACL可以作用在端口的OUT 或 IN方向上。考虑到所做的ACL想对个别的接口连接设备起作用,所以将ACL应用到接口的出的方向上。&&& (1)首先定义ACL。&&& acl number 3001&&&&&&&& rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp-data&&&&&&&& rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq ftp&& &&&&&&&& rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp-data&&&&&&&& rule permit tcp source 10.65.155.0 0.0.0.255 destination-port eq ftp&&&&&&&& rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp-data&&&&&&&& rule permit tcp source 10.65.150.0 0.0.0.255 destination-port eq ftp&&&&&&&& rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 22&&&&&&&& rule permit tcp source 10.65.252.0 0.0.0.128 destination-port eq 22&&&&&&&& rule permit tcp source 10.65.43.0 0.0.0.255 destination-port eq 5901&&&&&&&& rule deny tcp destination-port eq ftp-data&&&&&&&& rule deny tcp destination-port eq ftp&&&&&&&& rule deny tcp destination-port eq 22&&&&&&&& rule deny tcp destination-port eq 5901&&& (2)在接口上应用。&&&&&&& packet-filter outbound ip-group 3001&&& (3)显示接口上的应用&&& [XJDZJ-WL-3628-01]dis cu int e1/0/5&&& #&&& interface Ethernet1/5&&&&&&&& packet-filter outbound ip-group 3001 rule 0&&&&&&&& packet-filter outbound ip-group 3001 rule 1&&&&&&&& packet-filter outbound ip-group 3001 rule 2&&&&&&&& packet-filter outbound ip-group 3001 rule 3&&&&&&&& packet-filter outbound ip-group 3001 rule 4&&&&&&&& packet-filter outbound ip-group 3001 rule 5&&&&&&&& packet-filter outbound ip-group 3001 rule 6&&&&&&&& packet-filter outbound ip-group 3001 rule 7&&&&&&&& packet-filter outbound ip-group 3001 rule 8&&&&&&&& packet-filter outbound ip-group 3001 rule 9&&&&&&&& packet-filter outbound ip-group 3001 rule 10&&&&&&&& packet-filter outbound ip-group 3001 rule 11&&&&&&&& packet-filter outbound ip-group 3001 rule 12&开门直接写,不废话.删除设备配置 reset saved-configuration 重启 reboot 看当前配置文件 display current-configuration 改设备名 sysname 保存配置 save 进入特权模式 sysview 华为只有2层模式 不像cisco enale之后还要conf t 定义acl acl nubmere XXXX(3000以上)进入以后 rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq 注意 华为默认没有deny any any 防火墙上端口加载ACL [Quidway-Ethernet0/0]firewall packet-filter 3000 inbound 防火墙上新增加用户 local-user XXX(用户名) password simple XXX(密码) local-user XXX service-type ppp 删除某条命令 undo(类似与cisco的no) 静态路由 ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 对vpdn用户设置acl的接口 inte***ce Virtual-Template1 查看路由表 display ip routing-table 设定telnet密码 user-inte***ce vty 0 4 user privilege level 3 set authentication password simple XXX 启动/关闭 启动 un shut 关闭 shut 动态nat设置 acl number 3000 rule 0 permit ip source XXX.XXX.XXX.XXX rule 1 permit ip source XXX.XXX.XXX.XXX rule 2 permit ip source XXX.XXX.XXX.XXX inte***ce Ethernet1/0 des cription ====To-Internet(WAN)==== ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX nat outbound 3000 ipsec policy policy1 利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去 创建vlan [shzb-crsw-s6506-1]vlan 100 华为vlan不支持name 将port放入vlan 创建了vlan后 进入vlan模式 [shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8 表示从G1/0/1 到1/0/8放入VLAN 100 创建trunk inte***ce GigabitEthernet1/0/1 duplex full speed 1000 * port link-type trunk * port trunk permit vlan all port link-aggregation group 1 带*号的是创建trunk链路的语句 vlan地址指定 inte***ce Vlan-inte***ce2 des cription server ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX vrrp vrid 2 priority 120 vrrp vrid 2 preempt-mode timer delay 10 其中vrrp语句指定vrrp 类似与hsrp 使用vrrp要注意的是华为不支持pvst 只能一台完全是主,一台完全是备份 在主vrrp设备上要指定 stp instance 0 root primary stp TC-protection enable stp enable 在从vrrp设备上要指定 stp instance 0 root secondary stp TC-protection enable stp enable 交换机下面绑acl 首先进入接口模式,输入qos命令 [shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos 在输入如下命令 [shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000 华为交换机只能指定inbound方向 启用ospf [shzb-crsw-s6506-1]ospf 100 [shzb-crsw-s6506-1-ospf-100]area 0 [shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX 配置ospf重发布 [shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit [shzb-crsw-s6506-1-ospf-100]import-route static 建立link-group(类似与cisco的channel-group) link-aggregation group 1 mode manual 然后进入接口 port link-aggregation group 1 启用VRRP之前必须输入 vrrp ping-enable 使得客户能ping网关H3C交换机配置命令 16:32配置终端操作密码:[ST-ZC501-LSW-R4C14.I.S2403]user-interface aux 0&&&& /进入用户0模式[ST-ZC501-LSW-R4C14.I.S2403-ui-aux0]authentication-mode password /配置密码无操作自动断开连接:idle-timeout minutes 10 /10分钟无操作自动断开连接idle-timeout seconds 10 /10秒钟无操作自动断开连接锁定用户:&ST-ZC501-LSW-R4C14.I.S2403&lock /锁定当前用户(接着输入密码,解除按回车输入刚才的密码就行了)。开启telnet服务:[ST-ZC501-LSW-R4C14.I.S2403]telnet server enable&& /启动telnet 服务(默认关闭)强制用户下线:&ST-ZC501-LSW-R4C14.I.S2403&free web-users all /强制所有在线WEB用户下线查看端口接收、传送、丢弃报文数:&ST-ZC501-LSW-R4C14.I.S2403&display garp statistics interface (加端口号) 查/看端口接收和传送和丢弃的GVRP报文数VTP配置:gvrp registration fixed&& /端口模式下配置(相当于思科的服务器模式VTP)____必须在trunk工作模式的端口下。gvrp registration forbidden&& /端口模式下配置(相当于思科的透明模式VTP)____必须在trunk工作模式的端口下。gvrp registration normal&& /端口模式下配置(相当于思科的客户端模式VTP)____必须在trunk工作模式的端口下。[ST-ZC501-LSW-R4C14.I.S2403]stp disablebpdu-tunnel dot1q stp&&& /VTP的开启(端口下或全局模式下)默认关闭undo bpdu-tunnel dot1q stp&& /关闭VTP(端口下或全局模式下)指定以太网端口通过的最大广播百分比:broadcast-suppression&& (1-100)&& /指定以太网端口允许通过的最大广播流量占该端口传输能力的百分比(默认关闭)——打开此功能可以保证正常流量的传输。查看本端系统的设备ID,包括LACP协优先级与MAC地址:display lacp system-id优先级设置为64(值越小优先级越大):[ST-ZC501-LSW-R4C14.I.S2403]lacp system-priority 64端口聚合命名:[ST-ZC501-LSW-R4C14.I.S2403]link-aggregation group 1 description&& /名字创建组号为8的手工聚合组:[ST-ZC501-LSW-R4C14.I.S2403]link-aggregation group 8 mode manual/把端口加入到组号为8的手工聚合组:端口下port link-aggregation group 8进入聚合端口组8模式:[ST-ZC501-LSW-R4C14.I.S2403]port-group aggregation 8[ST-ZC501-LSW-R4C14.I.S2403-port-group-aggregation-8] 此命令不能添加或删除端口组成员,只能进行对聚合相关的配置命令,包括STP、VLAN、QOS、GVRP、TELNET、MAC等配置。端口下绑定IP及MAC地址:user-bind ip-address 121.11.86.72 mac-address 01查看非正常阻塞端口(任意视图下):display stp abnormal-port里显示结果为Reason项里Formatcompatibility rotected查看被STP保护功能down掉的端口信息(任意视图下):display stp down-port查看所有MSTP实例的根桥信息(任意视图下):dis stp root清除生成树的统计信息(用户视图下):reset stp reset stp interface 端口号------消除指定端口生成树的统计信息。查看已经生效的MST域(生成树)的配置信息:display stp region-configuration开启和关闭stp功能:[ST-ZC501-LSW-R4C14.I.S2403]stp enable 开启全局stp端口下关闭stp:stp disable端口下设置端口的路径开销(根桥):stp instance 0 cost 16 ______指定生成树实例0的路径开销为16指定当前设备为生成树实例0的根桥:stp instance 0 root primary指定当前设备为生成树实例0的备份根桥:stp instance 0 root secondary端口下启动端口的根保护功能:stp root-protection端口下配置以太网端口为边缘端口(即直接转发端口——不阻塞端口):stp edged-port disable端口下开启环路保护功能:stp loop-protection路由命令查看路由表中当前激活路由的摘要信息:display ip routing-table查看通过基本访问控制列表ACL2000过滤的,处于active状态的路由的摘要信息:display ip routing-table acl 2000查看通过基本访问控制列表ACL2000过滤的,处于active和inactive的路由的详细信息:display ip routing-table acl 2000 verbose查看所有直连路由的摘要信息:display ip routing-table protocol direct查看所有静态路由表:display ip routing-table protocol static查看路由的综合信息:dispaly ip routing-table statistics清除路由表中所有路由协议的统计信息:reset ip routing-table statistics protcol all静态路由配置:[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 目的地址/掩码 下一跳IP tag 50删除静态路由:[ST-ZC501-LSW-R4C14.I.S2403]undo ip route-static 目的地址/掩码 下一跳IP tag 50配置静态路由的缺省优先级为120默认为60)[ST-ZC501-LSW-R4C14.I.S2403]ip route-static default-perference 120将OSPF区域1中两个网段11.1.1.0/24和11.1.2.0/24的路由聚合成一条聚合路由11.1.0.0/16向其它区域发布:[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 1[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]network 11.1.1.0 0.0.0.255[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]network 11.1.2.0 0.0.0.255[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.1]abr-summary 11.1.0.0 255.255.0.0创建OSPF区域0并进入ospf区域视图:[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 0 (删除则undo area 0)[ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.0]设置ospf对引入的路由进行聚合:[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 11.1.1.0 24 null 0[ST-ZC501-LSW-R4C14.I.S2403]ip route-static 11.1.2.0 24 null 0[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]import-route static[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]asbr-summary 11.1.0.0 255.255.0.0 tag 2 cost 100指定OSPF区域0支持MD5密文验证模式:一个区域中所有路由器的验证模式必须一致(不验证\使用简单验证\使用MD5密文验证)[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]area 0 [ST-ZC501-LSW-R4C14.I.S2403-ospf-100-0.0.0.0]authentication-mode md5设置链路的带宽参考值为1000Mbps:[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]bandwidth-reference 1000设置外部路由缺省值开销10、类型2、标记100和一次引入的数量上限20000:[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]default cost 10 limit 20000 tag 100 type 2将产生的缺省路由引入到OSPF路由区域(本地路由器的路由表中不存在缺省路由):[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]default-route-advertise always路由OSPF描述:[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]description 123456查看OSPF路由信息:[ST-ZC501-LSW-R4C14.I.S2403]display ospf abr-asbr查看OSPF的所有引入路由聚合信息:display ospf asbr-summary查看OSPF的错误信息:display ospf (可加区域号) error查看OSPF接口信息(如果不指定OSPF进程号,将显示所有OSPF进程的接口信息):display ospf interface显示SOPF的下一跳信息:display ospf nexthop查看OSPF邻居详细信息:display ospf peer verbose查看OSPF邻居概要信息:display ospf peer查看所有OSPF邻居的统计信息:display ospf peer statistics查看OSPF请求列表信息(如果不指定OSPF进程号,将显示所有OSPF进程的请求列表信息):display ospf request-queue查看OSPF路由表的信息:display ospf routing 开启OSPF日志信息开关(默认关闭):[ST-ZC501-LSW-R4C14.I.S2403]ospf 100[ST-ZC501-LSW-R4C14.I.S2403-ospf-100]enable log个人总结的一些华为命令个人总结的一些华为命令个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable&删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关个人总结的一些华为命令个人总结的一些华为命令删除设备配置reset saved-configuration重启reboot看当前配置文件display current-configuration改设备名sysname保存配置save进入特权模式sysview华为只有2层模式 不像cisco enale之后还要conf t定义aclacl nubmere XXXX(3000以上)进入以后rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向)destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq注意 华为默认没有deny any any防火墙上端口加载ACL[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound防火墙上新增加用户local-user XXX(用户名) password simple XXX(密码)local-user XXX service-type ppp删除某条命令undo(类似与cisco的no)静态路由ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX对vpdn用户设置acl的接口inte***ce Virtual-Template1查看路由表display ip routing-table设定telnet密码user-inte***ce vty 0 4user privilege level 3set authentication password simple XXX启动/关闭启动 un shut关闭 shut动态nat设置acl number 3000rule 0 permit ip source XXX.XXX.XXX.XXXrule 1 permit ip source XXX.XXX.XXX.XXXrule 2 permit ip source XXX.XXX.XXX.XXXinte***ce Ethernet1/0description ====To-Internet(WAN)====ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXnat outbound 3000ipsec policy policy1利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去创建vlan[shzb-crsw-s6506-1]vlan 100华为vlan不支持name将port放入vlan创建了vlan后 进入vlan模式[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8表示从G1/0/1 到1/0/8放入VLAN 100创建trunkinte***ce GigabitEthernet1/0/1duplex fullspeed 1000* port link-type trunk* port trunk permit vlan allport link-aggregation group 1带*号的是创建trunk链路的语句vlan地址指定inte***ce Vlan-inte***ce2description serverip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXvrrp vrid 2 virtual-ip XXX.XXX.XXX.XXXvrrp vrid 2 priority 120vrrp vrid 2 preempt-mode timer delay 10其中vrrp语句指定vrrp 类似与hsrp使用vrrp要注意的是华为不支持pvst只能一台完全是主,一台完全是备份在主vrrp设备上要指定stp instance 0 root primarystp TC-protection enablestp enable在从vrrp设备上要指定stp instance 0 root secondarystp TC-protection enablestp enable交换机下面绑acl首先进入接口模式,输入qos命令[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos在输入如下命令[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000华为交换机只能指定inbound方向启用ospf[shzb-crsw-s6506-1]ospf 100[shzb-crsw-s6506-1-ospf-100]area 0[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX配置ospf重发布[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit[shzb-crsw-s6506-1-ospf-100]import-route static建立link-group(类似与cisco的channel-group)link-aggregation group 1 mode manual然后进入接口port link-aggregation group 1启用VRRP之前必须输入vrrp ping-enable使得客户能ping网关H3C S3100华为交换机配置端口表示方法E1/0/1显示系统版本信息:display version显示诊断信息:display diagnostic-information显示系统当前配置:display current-configuration显示系统保存配置: display saved-configuration显示接口信息:display interface显示路由信息:display ip routing-table显示VLAN信息:display vlan显示生成树信息:display stp显示MAC地址表:display mac-address显示ARP表信息:display arp显示系统CPU使用率:display cpu显示系统内存使用率:display memory显示系统日志:display log显示系统时钟:display clock验证配置正确后,使用保存配置命令:save删除某条命令,一般使用命令: undo system-view进入配置模式操作完毕后save保存配置quit退出接口模式到系统视图按Tab键可以自动跳出完整命令1、创建VLANvlan 2删除VLANundo vlan 22、把端口划入VLANint e1/0/2port access vlan 3端口退出vlan(在vlan里删除端口)inter vlan 10undo port e 1/0/13、设置trunk端口port link-type trunk(access为普通端口)4、设置SNMP# 设置团体名为mgr,并且可以进行读写访问。[Sysname] snmp-agent community write mgr# 删除团体名comaccess。[Sysname] undo snmp-agent community comaccess时间同步[Sysname] interface Vlan-interface1[Sysname-Vlan-interface1] ntp-service broadcast-client用户:local-user &&password& simple/cipher &&services-type& terminal/telnet/ssh配置了认证登录后,必须配置用户的类型,否则会出现超级终端上登录不了的情况,同时配level 3,否则telnet后没有相应的操作权限5、配consoleuser-interface aux 0authentication-mode scheme/passwordlocal-user 用户名password cipher 密码service-type telnet terminal level 3q配Telnet user-interface vty 0 4authentication-mode scheme【方案】save一般步骤:先创建用户设置密码设置用户类型配置console加密配置telnet加密6、更改主机名sysname name7、设置端口名称 端口描述8、设置交换机管理地址interface Vlan-interface 1ip address 129.12.0.1 255.255.255.09、备份文件tftp 1.1.1.1 get abc.txt efg.txttftp 1.1.1.1 put config.cfg temp.cfg10、配置静态路由:ip route 129.1.0.0 255.255.0.0 10.0.0.211、恢复出厂配置&H3C&reset saved-configuration &H3C&reboot出厂配置没有用户名和密码,恢复出厂设置后设置的用户名和密码依然存在;12、配置生成树(预防环路发生)stp enable3COM交换机配置命令详解1、配置文件相关命令[Quidway]display current-configuration&&&&&&&& ;显示当前生效的配置[Quidway]display sa
