网管教师培训资料-网络设备命令行配置方法.doc

网管教师培训资料-网络设备命令行配置方法一、基础知识：Dos中另存为的话,把数据选中敲击回车键1. 学校核心网络设备端口、VLAN及IP地址配置：（1）学校新增的网络设备放在新增的机柜内，通过网线连接到其它机柜的网络设备上，不要将新增的设备与以前的设备混用放在一个机柜内。（2）学校的UTM的GigabitEthernet0/端口（/24）可与PC机（IP地址：192.168.0.XXX/24）相连用以WEB界面登录进行配置管理。（3）学校的UTM的GigabitEthernet0/1（直接与歌华中心机房相连的端口地址设为：192.168.1.XXX/30，经乡镇机房的则通过interface Vlan-interfaceXXX接口，地址设为：192.168.1.XXX/30）与歌华中心机房的汇聚交换机的端口（属于VLAN XXX，interface Vlan-interfaceXXX的IP地址为：192.168.1.XXX/30）通过私有地址完成互连，（远端为单数，近端为偶数）。其中：GigabitEthernet0/1、LoopBack0、Vlan-interface X端口属于Untrust；GigabitEthernet0/2端口属于Trust；GigabitEthernet0/1在Vlan X 中，成为Tagged成员端口。（4）学校UTM的GigabitEthernet0/2（/30）与学校核心交换机的interface GigabitEthernet1/0/2（属于VLAN 100，interface Vlan-interface100的IP地址设置为：/30）使用私有地址完成互连。（5）学校核心交换机创建Vlan XXX，将核心交换机上相关端口（除端口GigabitEthernet1/0/2外）加入这个Vlan，创建interface vlan-interfaceXXX虚接口，配置IP地址即可作为本单位的网关地址。 使用关键字Sub可以为一个虚接口配置多个IP地址。（6）学校UTM及三层交换机配置Loopback0管理端口地址为公网IP（UTM为偶数，交换机为单数，使用32位掩码）。2. 教育城域网网络设备命名规则：“PG”提示符，“_”，“学校简称”“_”，“设备生厂厂商”，“-”，“设备种类及型号”。如平谷一小：学校UTM命名：PG_PGYX_H3C-UTM-A学校核心交换机：PG_PGYX_H3C-S55003. 网络设备登录知识：（1）Console登录：创建用户，配置用户登录方式，为设备配置管理地址。使用Windows XP自带的超级终端登录：调整超级终端的显示字号；捕获超级终端操作命令行，以备日后查对；复制命令到超级终端命令行， 粘贴到主机步骤:开始-超级终端:端口终端设置为默认(传送里有一个捕获文字,在设置命令时能够自动保存步骤使用SecureCRT（超级终端第三方软件）登录： 登陆软件:协议中选择sertal口为com1（2）远程Telnet登录：使用管理地址进行登录，管理、配置和维护网络设备。（3）网络设备配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。（4）IP地址书写方法：/24等同 （/24表示子网掩码的前三个字节的二进制表示全为“1”）；在配置交换机和路由器时， 可以写成： 24 （注意：24前应有一个空格）4. 常用的DOS命令：（1）查询主机的网络配置：98：winipcfg 2000或XP：Ipconfig/all（2）测试网络连通性 ：ping -l 1000 -n 10 t （Ctrl+C退出） 带源地址Ping目标主机：ping a 58 04（3）跟踪目标主机路由 ：tracert -d （4）检查PC当前的网络连接：netstat -an （5）查询域名所对应的IP地址：nslookup （exit退出）（ set querytype=mx set querytype=ptr）5. 网络设备端口命名知识：（1）路由器：E0/0 （Ethernet 0/0） 前边的“0”表示槽位，后边的“0”表示端口号（2）交换机：E1/0/16 （Ethernet 1/0/16） “1”表示槽位，“0”表示插卡的位数（用于区分子母卡），“16” 表示端口的序列号。6. 交换机查看相关配置的命令：#显示系统版本信息： display version#显示诊断信息： display diagnostic-information#显示系统当前配置： display current-configuration#显示系统保存配置： display saved-configuration#显示接口信息： display interface#显示路由信息： display ip routing-table#显示VLAN信息： display vlan#显示生成树信息： display stp#显示MAC地址表： display mac-address#显示ARP表信息： display arp#显示系统CPU使用率： display cpu#显示系统内存使用率： display memory#显示系统日志： display log#显示系统时钟： display clock7. 网络设备配置的保存、删除及恢复出厂配置：（1）验证配置正确后，保存配置： save(2)删除某条命令，使用命令： undo 欲删除命令配置时的书写行（3）交换机、路由器设备清除配置，恢复出厂配置： reset saved-configuration#删除保存在Flash中的配置 reboot#重启系统8. 其它命令： language-mode Chinese|English #中英文切换 header login %Welcome to login!%# 配置进入用户视图的欢迎信息。H3C -Ethernet1/0/1 duplex half|full|auto#配置端口双工工作状态H3C -Ethernet1/0/1 speed 10|100|auto#配置端口工作速率H3C -Ethernet1/0/1 flow-control #配置端口流控H3C -Ethernet1/0/1 mdi across|auto|normal#配置端口MDI/MDIX状态平接或扭接H3C Ethernet1/0/1 port link-type trunk|access|hybrid#设置接口工作模式二、CONSOLE口登陆：将PC机（或终端）的串口通过配置电缆（console线-也叫全反线）与以太网交换机的Console口连接 。在AUX用户接口视图下，可以设置CONSOLE用户登陆的口令认证。有如下三种认证方式：None:不需要口令认证，这是默认的方式。Password：需要简单的本地口令认证，包含明文(simple)和密文（cipher）。Scheme：通过RADIUS服务器或本地提供用户名和认证口令。1. Console口登录方式：最简单的配置认证方式为none（默认）# 进入系统视图。 system-view# 进入AUX用户界面视图。H3C user-interface aux 0# 配置通过AUX用户界面登录交换机的用户不需要进行认证（默认方式）。H3C-ui-aux0 authentication-mode none# 配置通过AUX用户界面登录后可以访问的命令级别为2级。H3C-ui-aux0 user privilege level 2# 配置AUX用户界面使用的波特率为9600bit/s。H3C-ui-aux0 speed 9600# 配置AUX用户界面终端屏幕的一屏显示30行命令。H3C-ui-aux0 screen-length 30# 配置AUX用户界面的历史命令缓冲区可存放20条命令。H3C-ui-aux0 history-command max-size 20# 配置AUX用户界面的超时时间为6分钟。H3C-ui-aux0 idle-timeout 62. Console口登录方式:配置进入口令,认证方式为Password# 进入系统视图。 system-view# 进入AUX用户界面视图。H3C user-interface aux 0# 配置通过AUX用户界面登录交换机的用户进行Password认证。H3C-ui-aux0 authentication-mode password# 配置用户的认证口令为明文显示方式，口令为123456。H3C-ui-aux0 set authentication password simple 123456# 配置通过AUX用户界面登录后可以访问的命令级别为2级。H3C-ui-aux0 user privilege level 2# 配置AUX用户界面使用的波特率为9600bit/s。H3C-ui-aux0 speed 9600/s# 配置AUX用户界面终端屏幕的一屏显示30行命令。H3C-ui-aux0 screen-length 30# 配置AUX用户界面的历史命令缓冲区可存放20条命令。H3C-ui-aux0 history-command max-size 20# 配置AUX用户界面的超时时间为6分钟。H3C-ui-aux0 idle-timeout 63. Console口登录方式:配置用户和口令,认证方式为scheme# 进入系统视图。 system-view# 创建本地用户guest，并进入本地用户视图。H3C local-user guest# 配置本地用户的认证口令为明文显示方式，口令为123456。H3C-luser-guest password simple 123456# 配置本地用户的服务类型为Terminal且命令级别为2级。H3C-luser-guest service-type terminal level 2H3C-luser-guest quit# 进入AUX用户界面视图。H3C user-interface aux 0# 配置通过AUX用户界面登录交换机的用户进行Scheme认证。H3C-ui-aux0 authentication-mode scheme# 配置AUX用户界面使用的波特率为9600bit/s。H3C-ui-aux0 speed 9600# 配置AUX用户界面终端屏幕的一屏显示30行命令。H3C-ui-aux0 screen-length 30# 配置AUX用户界面的历史命令缓冲区可存放20条命令。H3C-ui-aux0 history-command max-size 20# 配置AUX用户界面的超时时间为6分钟。H3C-ui-aux0 idle-timeout 6完成上述配置后，重新进行登录即可应用如上的配置。三、Telnet登录： 在通过Telnet登录以太网交换机之前，需要在交换机上使用console口配置欲登录的Telnet用户名和认证口令。Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet登录，则系统会提示“Login password has not been set !”。system-viewH3Clocal-usrer admin#创建本地帐号“admin”H3C-luser-adminpassword simple admin (cipher-密文)#设置登录密码为明文“admin”H3C-luser-admin authorization-attribute level 3#设置Telnet用户权限为最高级别3H3C-luser-adminservice-type telnet#开启Telnet服务H3C-luser-adminquitH3C user-interface vty 0 4#进入TELNET虚接口，0 4说明同时可以允许最多五个用户H3C-ui-vty4authentication-mode scheme #设置TELNET本地用户名和密码验证配置模式为scheme（用户名+口令认证）(None-不认证，Password-简单口令认证，)H3C-ui-vty4quitH3Cinterface Vlan-interface 1#进入默认的虚接口H3C-vlan-interface1ip address #配置管理地址H3C只有通过Console口登录进行Telnet设置后，才能在远端进行Telnet登录。四、网络设备的基本配置：1. 端口的启用与禁用： system-viewH3C interface GigabitEthernet4/1/5H3C-GigabitEthernet4/1/5 undo shutdown#启用端口H3C-GigabitEthernet4/1/5 shutdown#禁用端口#默认情况下，端口接通线缆后是启用的2. 端口IP地址的配置：（1）交换机：必须进入Vlan虚接口才可进行IP地址配置。配置单个IP地址： system-viewH3C interface vlan-interface 1#普通二层交换机只可对vlan-interface 1或Loopback端口配置IP地址，H3C-Vlan-interface1 ip address #配置IP地址和子网掩码（子网掩码可以直接写二进制位数，上面实例可心直接写成“24”）配置多个IP地址：当三层交换机的某一端口连接不同的网段时，可以为该端口配置多个IP地址，作为这些网段的网关，用以登录外网。H3CH3C interface vlan-interface 2H3C-Vlan-interface2 description Link.to.GuangDianZhongXinH3C-Vlan-interface2 ip address 54 H3C-Vlan-interface2 ip address 54 subH3C-Vlan-interface2 ip address 54 subH3C-Vlan-interface2 ip address 54 28 subH3C-Vlan-interface2 quitH3C （）路由器：可以进入端口模式直接为端口配置IP地址。 system-viewH3C interface GigabitEthernet4/1/5H3C-GigabitEthernet4/1/5 ip address 3Loopback端口：loopback接口是应用最为广泛的一种虚接口，几乎在每台交换机、路由器上都会使用，作为该设备的管理地址。system-viewH3C interface loopback 10 H3C -Lookback10 ip address 01 55H3C -Lookback10undo shutdown#激活端口，使之可用。H3C -Lookback10 quitH3C4. vlan的创建与删除： system-viewH3C vlan 10#创建VLAN 10并进入VLAN 10的视图模式 H3C-vlan10 port E1/0/2 to E1/0/5#在VLAN模式下将多个连续的指定端口加入到当前vlan中H3C-vlan10 port E1/0/2 port E1/0/5 port E1/0/7#还可使用空格将多个不连续的端口加入到当前vlan中H3C interface GigabitEthernet4/1/5#进入端口GigabitEthernet4/1/5视图模式H3C-GigabitEthernet4/1/5 port access vlan 10#在端口模式下将当前端口加入到vlan 10中 5. Trunk操作：这个操作必须两台相连的交换机同时做才可以生效。 system-viewH3C interface GigabitEthernet4/1/5H3C-GigabitEthernet4/1/5 port link-type Access|Trunk|Hybrid#设置端口访问模式H3C-GigabitEthernet4/1/5 port trunk permit vlan all#允许所有的vlan通过#可以分列出允许通过的多个Vlan（中间以空格隔开），也可用XX to XX的形式表示多个连续的Vlan。6. 静态路由的配置：（1）默认路由：H3C ip route-static description To.R2#配置默认的静态路由（2）静态路配置：H3C ip route-static description To.R2#配置静态路由（3）显示当前路由表：H3C display ip routing-table（4）学校核心设备静态路由设置：交换机配置一条路由：H3C ip route-static description Link.To.UTM#配置默认路由直指学校的UTM设备；UTM设备上配置三条路由：H3C ip route-static 192.168.1.XXX#配置默认路由指向歌华中心机房汇聚交换机H3C ip route-static 58.131.66.XXX 55 #配置用于管理核心交换机硬件设备的路由；H3C ip route-static 58.131.XXX.0 #配置本校所有IP地址的外网回路路由；7. Web界面配置的保存及配置文件的导出与导入：五、网络设备的高级配置：1. 生成树协议的启用：生成树协议是由Sun微系统公司著名工程师拉迪亚珀尔曼博士(Radia Perlman)发明的。网桥使用珀尔曼博士发明的这种方法能够达到2层路由的理想境界：冗余和无环路运行。生成树协议的主要功能有两个：一是在利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路。二是在以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。 system-viewH3C stp enable2. IP地址与MAC地址的绑定：（1）PC机上MAC地址与IP地址绑定：arp -d#删除arp缓存中的内容arp -s 54 00-22-aa-00-22-aa#将IP地址与MAC地址进行绑定#在客户机，将代理服务器的IP地址与MAC地址进行绑定#在代理服务器上，将所有客户机的IP地址与MAC地址进行绑定（2）在交换机上将MAC地址与IP地址绑定：H3C S5500 /5800/3610交换机：H3C-S5500-GigabitEthernet1/0/1 user-bind ip-address x.x.x.x mac-address xxxx-xxxx-xxxx vlan xH3C-S5500-GigabitEthernet1/0/1 user-bind ip-address 4 mac-address 90fb-a60e-9aa3 vlan 2#其中vlan x 可选H3C E126A交换机：系统视图下：am user-bind mac-addr mac-address ip-addr ip-address | ipv6 ipv6-address interface interface-type interface-number undo am user-bind mac-addr mac-address ip-addr ip-address | ipv6 ipv6-address interface interface-type interface-number 以太网端口视图下：am user-bind mac-addr mac-address ip-addr ip-address | ipv6 ipv6-address | ip-addr ip-address | ipv6 ipv6-address undo am user-bind mac-addr mac-address ip-addr ip-address | ipv6 ipv6-address | ip-addr ip-address | ipv6 ipv6-address 【描述-1】# interface interface-type interface-number：指定绑定的端口。其中interface-type interface-number表示端口类型和端口编号。mac-addr mac-address：指定需要绑定的MAC地址。其中mac-address表示绑定的MAC地址，格式为H-H-H。ip-addr ip-address：指定需要绑定的IP地址。其中ip-address表示绑定的IP地址。ipv6 ipv6-address：指定需要绑定的IPv6地址。其中ipv6-address表示绑定的IPv6地址。【描述-2】am user-bind命令用来将用户的MAC地址和IP地址绑定到指定的端口上。undo am user-bind命令用来取消MAC地址和IP地址与指定端口的绑定。进行绑定操作后，交换机只对从该端口收到的指定MAC地址和IP地址的用户发出的报文进行转发。缺省情况下，未将用户的MAC地址和IP地址绑定到指定端口上。对同一个MAC地址和IP地址，系统只允许在端口上进行一次绑定操作。【举例】# 在系统视图下将MAC地址为000f-e200-5101，IP地址为的合法用户与端口Ethernet1/0/1进行绑定。 system-viewSystem View: return to User View with Ctrl+Z.H3C am user-bind mac-addr 000f-e200-5101 ip-addr interface Ethernet1/0/1# 在端口视图下将MAC地址为000f-e200-5102，IP地址为的合法用户与端口Ethernet1/0/2进行绑定。 system-viewSystem View: return to User View with Ctrl+Z.H3C interface Ethernet1/0/2H3C-Ethernet1/0/2 am user-bind mac-addr 000f-e200-5102 ip-addr # 在系统视图下将MAC地址为000f-e200-5101，IPv6地址为1:ef:1的合法用户与端口Ethernet1/0/1进行绑定。system-viewSystem View: return to User View with Ctrl+Z.H3C am user-bind mac-addr 000f-e200-5101 ipv6 1:ef:1 interface Ethernet1/0/1# 在Ethernet1/0/1端口视图下将MAC地址为000f-e200-5102，IPv6地址为1:ef:2的合法用户进行绑定。H3C interface ethernet1/0/1H3C-Ethernet1/0/1 am user-bind mac-addr 000f-e200-5102 ipv6 1:ef:23. 访问控制列表：配置基本ACL：H3Cfirewall enable #防火墙功能需要在路由器上启动后才能生效H3Cfirewall default permit | deny #设置防火墙的默认过滤方式,系统默认的默认过滤方式是permitH3C acl number acl-number#配置基本ACL，并指定ACL序号,基本IPv4 ACL的序号取值范围为20002999H3C -acl-basic-2000 rule rule-id deny | permit fragment | logging | source sour-addr sour-wildcard | any | time-range time-name #定义规则:制定要匹配的源IP地址范围,指定动作是permit或denyH3C acl number acl-number#配置高级IPv4 ACL，并指定ACL序号,高级IPv4 ACL的序号取值范围为30003999H3C -acl-adv-3000 rule rule-id deny | permit protocol destination dest-addr dest-wildcard | any | destination-port operator port1 port2 established | fragment | source sour-addr sour-wildcard | any | source-port operator port1 port2 | time-range time-name #定义规则:需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息,指定动作是permit或denyH3C acl number acl-number#配置二层 ACL，并指定ACL序号,二层ACL的序号取值范围为40004999H3C -acl-ethernetframe-3000 rule rule-id deny | permit cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-name #定义规则:需要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息,指定动作是permit或拒绝denyH3C -Serial2/0 firewall packet-filter acl-number | name acl-name inbound | outbound #将ACL应用到接口上，配置的ACL包过滤才能生效,指明在接口上应用的方向是Outbound还是InboundH3Cdisplay firewall-statistics all | interface interface-type interface-number#查看防火墙的统计信息H3Cdisplay firewall ethernet-frame-filter all | dlsw | interface interface-type interface-number #查看以太网帧过滤情况的信息H3Creset firewall-statistics all | interface interface-type interface-number#清除防火墙的统计信息H3Cdisplay acl acl-number | all#显示配置的IPv4 ACL信息H3Creset acl counter acl-number | all |#清除IPv4 ACL统计信息sysname acl number acl-number match-order auto | config #配置ACL的匹配顺序原则实例-禁止某IP地址登录互联网：(1) 定义时间段#定义8:00至18:00的周期时间段。 system-viewH3C time-range test 8:00 to 18:00 working-day(2) 定义禁止IP地址登录互联网的ACL#进入ACL 3000视图。H3C acl number 3000#定义不能登录互联网的访问规则。H3C-acl-adv-3000 rule 1 deny ip source 1 0 time-range testH3C-acl-adv-3000 quit(3) 在端口上应用ACL#在Ethernet 1/0/3端口上应用ACL 3000。H3C interface Ethernet1/0/3H3C-Ethernet1/0/3 qosH3C-qoss-Ethernet1/0/3 packet-filter inbound ip-group 3000尽可能在靠近数据源的路由器接口上配置ACL，以减少不必要的流量转发；应在不影响其他合法访问的前提下，尽可能使ACL靠近被过滤的源。高级ACL：应该在靠近被过滤源的接口上应用ACL，以尽早阻止不必要的流量进入网络基本ACL：过于靠近被过滤源的基本ACL可能阻止该源访问合法目的。配置实例-1：要求内部用户在8：0012：00和13：3018：00可以出公网，其它时间则不可以出公网。#在系统视图下配置时间段：H3C time-range test1 08:00 to 18:00 daily (working-day)H3C time-range test2 12:00 to 13:30 daily (working-day)#配置高级访问控制列表：H3C acl number 3001H3C-acl-adv-3001 rule deny ip time-range test2H3C-acl-adv-3001 rule permit ip time-range test1H3C-acl-adv-3001 rule deny ip#进入内网接口视图，下发时间段ACL规则：H3C-GigabitEthernet0/1 firewall packet-filter 3001 inbound4. P2P、QQ等的流量控制： 在UTM上通过WEB界面进行操作。5. DHCP配置：H3Cdhcp enable#使能DHCPH3Cdhcp server ip-pool pool-name#创建DHCP地址池H3C-dhcp-pool-0network network-address mask-length | mask mask #配置动态分配的IP地址范围H3C-dhcp-pool-0gateway-list ip-address#配置为DHCP客户端分配的网关地址 H3C-dhcp-pool-0dns-list ip-address#配置为DHCP客户端分配的DNS服务器地址H3C-dhcp-pool-0dhcp server forbidden-ip low-ip-address high-ip-address #配置DHCP地址池中不参与自动分配的IP地址H3C-dhcp-pool-0expired day day hour hour minute minute | unlimited #配置动态分配的IP地址的租用有效期限H3Cdisplay dhcp server free-ip#显示DHCP地址池的可用地址信息H3Cdisplay dhcp server statistics#显示DHCP服务器的统计信息H3Cdisplay dhcp server forbidden-ip#显示DHCP地址池中不参与自动分配的IP地址H3Cdhcp relay server-group group-id ip ip-address#配置DHCP服务器组中DHCP服务器的IP地址H3C-Ethernet1/1dhcp select relay#配置接口工作在DHCP中继模式H3C-Ethernet1/1dhcp relay server-select group-id#配置接口与DHCP组关联H3Cdisplay dhcp relay all | interface interface-type interface-number #显示接口对应的DHCP服务器组的信息H3Cdisplay dhcp relay server-group group-id | all #显示DHCP服务器组中服务器的IP地址H3Cdisplay dhcp relay statistics server-group group-id | all #显示DHCP中继的相关报文统计信息实例：H3Cdhcp enableH3Cserver forbidden-ip 0H3Cserver forbidden-ip 54H3Cdhcp server ip-pool 0H3C-dhcp-pool-0network mask H3C-dhcp-pool-0gateway-list 54H3C-dhcp-pool-0dns-list 0H3C-dhcp-pool-0expired day 5 6.以太网端口汇聚（link aggregation）太网交换机Switch A使用3个端口（E1/0/1E1/0/3）汇聚接入以太网交换机Switch B，实现出/入负荷在各成员端口中的负载分担。#配置SwitchA system-view H3Csysname SwitchA SwitchA link-aggregation group 1 mode manual# 创建手工汇聚组1 SwitchA interface Ethernet1/0/1 SwitchA -Ethernet1/0/1 port link-aggregation group 1# 将E1/0/1加入汇聚组1 SwitchA -Ethernet1/0/1 interface Ethernet1/0/2 SwitchA -Ethernet1/0/2 port link-aggregation group 1# 将E1/0/1加入汇聚组1 SwitchA -Ethernet1/0/2 interface Ethernet1/0/3 SwitchA -Ethernet1/0/3 port link-aggregation group 1# 将E1/0/1加入汇聚组1 SwitchA -Ethernet1/0/3quitSwitchA#配置SwitchB system-view H3Csysname SwitchB SwitchB link-aggregation group 1 mode manual# 创建手工汇聚组1 SwitchB interface Ethernet1/0/1 SwitchB -Ethernet1/0/1 port link-aggregation group 1# 将E1/0/1加入汇聚组1 SwitchB -Ethernet1/0/1 interface Ethernet1/0/2 SwitchB -Ethernet1/0/2 port link-aggregation group 1# 将E1/0/1加入汇聚组1 SwitchB -Ethernet1/0/2 interface Ethernet1/0/3 SwitchB -Ethernet1/0/3 port link-aggregation group 1# 将E1/0/1加入汇聚组1 SwitchB -Ethernet1/0/3quitSwitchB7UTM设备禁止外网的http页面登陆功能：ip http acl 2001 参考命令：Ip http acl 2001acl numbe