H3C基本配置.doc

个人整理，欢迎任意抄袭telnet防火墙IP地址用户名密码-进入普通用户权限-在此命令下可输入一般命令-可用?看有哪些命令和命令的作用-system-view-进入超级管理员权限界面-此提示符下可输绝大部分命令-(极少数需要在com终端输入)-quit-退出当前状态，返回上一级-一般命令(不一定要把命令写全)displaycurrent展示当前配置aclnumber3050进入访问控制列表3050号rule66permitip.在当前访问控制表增加或修改规则66号rule的具体用法可用rule?一步步显示出来,亦可参考我原写的命令我原配置需要涉及的部分1.ip和mac绑定,绑定方法具体看一下参数文件你就可明白2.策略号3050在该条策略中如有permit就是允许你指定的ip或ip段上网3.策略号3051和305作用是限流，在该策略号具体用法可参考其中的rule规则最后是save写入配置，否则一重启这些改动就会无效sH3C路由器不同厂家设备互接1. 链路层上，要双方都关闭端口自动协商。不然会出现一边up，一边down。这点很重要。2. 至于配置ip，cisco 可以直接配置ip在端口上 ，华为端口不支持在端口上配置ip，你先 定义一个vlan，然后配置vlan的ip，然后将那端口绑定在那vlan上。#1、system-view进入系统视图模式2、sysnameR1为设备命名为R13、displayiprouting-table 显示当前路由表4、language-modeChinese|English 中英文切换5、interfaceEthernet0/0进入以太网端口视图6、ipaddress配置IP地址和子网掩码7、undoshutdown打开以太网端口8、shutdown关闭以太网端口9、quit退出当前视图模式10、iproute-staticdescriptionTo.R2 配置静态路由，描述To.R211、iproute-staticdescriptionTo.R2 配置默认的路由，描述To.R2H3CS3100SwitchH3CS3600SwitchH3CMSR20-20Router#1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、language-modeChinese|English中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置:resetsave；清除当前配置reboot；重启6、路由器、交换机配置时不能掉电，连通测试前一定要,检查网络的连通性，不要犯最低级的错误。7、/24等同；在配置交换机和路由器时， 可以写成：248、设备命名规则：地名-设备名-系列号例：PingGu-R-S3600路由器命令Quidwaydisplayversion显示版本信息Quidwaydisplaycurrent-configuration显示当前配置Quidwaydisplayinterfaces显示接口信息Quidwaydisplayiproute显示路由信息Quidwaysysnameaabbcc更改主机名Quidwaysuperpasswrod123456设置口令Quidwayinterfaceserial0进入接口Quidway-serial0ipaddress 配置IP地址Quidway-serial0undoshutdown激活端口Quidwaylink-protocolhdlc绑定hdlc协议Quidwayuser-interfacevty04 进入用户界面视图VTY 的意思是虚拟终端连接。也就是远程用户登录后会占用VTY的一个进程。而登录信息的验证方式也是配置在vty中。vty 0 4 后边的04 代表0-4个用户也就5个用户。Quidway-ui-vty0-4authentication-modepassword设置认证方式为密码验证方式Quidway-ui-vty0-4setauthentication-modepasswordsimple222设置登陆验证的password为明文密码222Quidway-ui-vty0-4userprivilegelevel3配置登陆用户的级别为最高级别3(缺省为级别1)Quidway-ui-vty0-4quitQuidwaydebugginghdlcallserial0显示所有信息Quidwaydebugginghdlceventserial0调试事件信息Quidwaydebugginghdlcpacketserial0显示包的信息静态路由：Quidwayiproute-staticinterfacenumber|nexthopvaluereject|blackhole例如：Quidwayiproute-static16Quidwayiproute-staticQuidwayiproute-static16Serial2Quidwayiproute-static动态路由：QuidwayripQuidway-ripripworkQuidway-ripnetwork可以allQuidway-ripnetworkQuidway-rippeerip-addressQuidway-ripsummaryQuidwayripversion1Quidwayripversion2multicastQuidway-Ethernet0ripsplit-horizon;水平分隔Quidwayospf 1 router-idA.B.C.D配置路由器的ID/Quidwayospfenable启动OSPF协议Quidway-ospfimport-routedirect引入直联路由Quidway-ospfarer id 配置ospf区域Quidway-ospfnetwork 55 配置路由条目Quidway-Serial0ospfenablearea配置OSPF区域DHCP配置 成功登录路由器以后按下面进行配置：system-view/*进入系统模式*/Quidwaydhcpenable/*开启dhcp服务*/Quidwaydhcpsnoopingenable/*开启dhcp过滤功能*/-Quidwayinterfacee0/0/0/*进入e/0/0接口*/Quidwayinterfaceeipaddress54/*为e0/0/0配置IP地址*/Quidwayinterfaceedhcpselectglobal/*dhcp从全局获取*/Quidwayinterfaceequit/*退出*/-Quidwayippool1/*创建地址池*/Quidway ip-pool-1gateway-list54/*网关地址*/Quidway ip-pool-1networkmask/*需要启用dhcp服务的网络*/Quidway ip-pool-1dns-list2820/*dns列表*/Quidway ip-pool-1excluded-ip-address0/*不参与dhcp分配的ip地址范围*/Quidway ip-pool-1leaseday10hour0minute0/*地址租用天数*/标准访问列表命令格式如下：aclmatch-orderconfig|auto默认前者顺序匹配。rulenormal|specialpermit|denysourcesource-addrsource-wildcard|any例：Quidwayacl10Quidway-acl-10rulenormalpermitsource55Quidway-acl-10rulenormaldenysourceany扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表：rulenormal|specialpermit|denytcp|udpsource|anydestination|anyoperate配置ICMP协议的扩展访问列表：rulenormal|specialpermit|denyicmpsource|anydestination|anyicmp-codelogging扩展访问控制列表操作符的含义equalportnumber等于greater-thanportnumber大于less-thanportnumber小于not-equalportnumber不等rangeportnumber1portnumber2区间扩展访问控制列表举例Quidwayacl101Quidway-acl-101ruledenysouceanydestinationany （此条目为隐式最后一条）Quidway-acl-101rulepermiticmpsourceanydestinationanyicmp-typeechoQuidway-acl-101rulepermiticmpsourceanydestinationanyicmp-typeecho-replyQuidwayacl102Quidway-acl-102rulepermitipsourcedestinationQuidway-acl-102ruledenyipsourceanydestinationanyQuidwayacl103Qw-acl-103rulepermittcpsourceanydestinationdestination-portequalftpQuidway-acl-103rulepermittcpsourceanydestinationdestination-portequalwwwQuidwayfirewallenableQuidwayfirewalldefaultpermit|denyQuidwayinte0Quidway-Ethernet0firewallpacket-filter101inbound|outbound地址转换配置举例QuidwayfirewallenableQuidwayfirewalldefaultpermitQuidwayacl101Quidway-acl-101ruledenyipsourceanydestinationanyQuidway-acl-101rulepermitipsource0destinationanyQuidway-acl-101rulepermitipsource0destinationanyQuidway-acl-101rulepermitipsource0destinationanyQuidway-acl-101rulepermitipsource0destinationanyQuidwayacl102Quidway-acl-102rulepermittcpsource0destination0Quidway-acl-102rulepermittcpsourceanydestination0destination-portgreat-than1024Quidway-Ethernet0firewallpacket-filter101inboundQuidway-Serial0firewallpacket-filter102inboundQuidwaynataddress-group0103pool1Quidwayacl1Quidway-acl-1rulepermitsource55Quidway-acl-1ruledenysourceanyQuidway-acl-1intserial0Quidway-Serial0natoutbound1address-grouppool1Quidway-Serial0natserverglobal01insideftptcpQuidway-Serial0natserverglobal02insidewwwtcpQuidway-Serial0natserverglobal028080insidewwwtcpQuidway-Serial0natserverglobal03insidesmtpudpPPP验证：主验方：pap|chapQuidwaylocal-useru2passwordsimple|cipheraaaQuidwayinterfaceserial0Quidway-serial0pppauthentication-modepap|chapQuidway-serial0pppchapuseru1/pap时，不用此句pap被验方：Quidwayinterfaceserial0Quidway-serial0ppppaplocal-useru2passwordsimple|cipheraaachap被验方：Quidwayinterfaceserial0Quidway-serial0pppchapuseru1Quidway-serial0local-useru2passwordsimple|cipheraaa1、system-view进入系统视图模式2、sysname为设备命名3、displaycurrent-configuration当前配置情况4、language-modeChinese|English中英文切换5、interfaceEthernet1/0/1进入以太网端口视图 interfaceGigabitEthernet0/0/10 portlink-typeAccess|Trunk|Hybrid设置端口访问模式 porthybridtaggedvlan1020 标记VLAN Access端口只连接到计算机，此种类型的端口只能和相同vlan-id主机通信；连接到计算机，从计算机接收报文时打上标记，发送到计算机剥离标记；Trunk端口常用于交换机之间的连接，可以接收和发送多个vlan-id标记的报文，即多种标签报文混合在trunk管道上混跑，只有允许的才可以发送和接收。发送和接收都携带报文标签。可设置一个PVID标签,与此PVID相同的VLAN-ID数据,接收加上PVID,发送剥离此PVID.Hybrid端口可连接计算机，也可以连接在交换机之间。Hybrid端口连接到计算机时，都要在hybrid命令后加上untagged，因为计算机的网卡是不能接收带标签报文的。虽然hybrid端口在声明时，只声明其属于某一个vlan，但如果在hybrid命令后加上多个vlan-id，如：Qw_A-Eth0/1porthybridvlan2030100untagged则表明该vlan可以和多个vlan-id的主机通信。这是和access端口不相同的地方。这个有点类似于把一个主机划分到多个vlan中，或者更准确地讲，一个vlan内主机可以和多个vlan通信。当Hybrid端口用于连接在交换机之间时，则与trunk端口一样使用。功能需求和组网实例说明功能需求及组网说明实例一：配置环境参数1.PC1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1、E0/2和E0/3，端口分属于VLAN10、20和30，服务器连接到端口G2/1，属于VLAN100。2.PC1的IP地址为/24，PC2的IP地址为/24，PC3的IP地址为/24，服务器的IP地址为54/24。组网需求1.PC1和PC2之间可以互访；2.PC1和PC3之间可以互访；3.PC1、PC2和PC3都可以访问服务器；4.其余的PC间访问均禁止。交换机Hybrid端口配置流程利用Hybrid端口的特性一个端口可以属于多个不同的VLAN，来完成分属不同VLAN内的同网段PC机的访问需求。图1配置过程【SwitchA相关配置】1.创建（进入）VLAN10，将E0/1加入到VLAN10SwitchAvlan10SwitchA-vlan10portEthernet0/1E0/1加到了VLAN10中2.创建（进入）VLAN20，将E0/2加入到VLAN20SwitchAvlan20SwitchA-vlan20portEthernet0/23.创建（进入）VLAN30，将E0/3加入到VLAN30SwitchAvlan30SwitchA-vlan30portEthernet0/34.创建（进入）VLAN100，将G2/1加入到VLAN100SwitchAvlan100SwitchA-vlan100portGigabitEthernet2/15.配置端口E0/1为Hybrid端口，能够接收VLAN20、30和100发过来的报文SwitchAinterfaceEthernet0/1SwitchA-Ethernet0/1portlink-typehybrid前面E0/1加到了VLAN10中，这里又将其端口类型设置为hybridSwitchA-Ethernet0/1porthybridvlan2030100untagged这里对vlan10没有作操作指示，10实际上是该hybrid端口的PVID6.配置端口E0/2为Hybrid端口，能够接收VLAN10和100发过来的报文SwitchAinterfaceEthernet0/2SwitchA-Ethernet0/2portlink-typehybridSwitchA-Ethernet0/2porthybridvlan10100untagged7.配置端口E0/3为Hybrid端口，能够接收VLAN10和100发过来的报文SwitchAinterfaceEthernet0/3SwitchA-Ethernet0/3portlink-typehybridSwitchA-Ethernet0/3porthybridvlan10100untagged8.配置端口G2/1为Hybrid端口，能够接收VLAN10、20和30发过来的报文SwitchAinterfaceGigabitEthernet2/1SwitchA-GigabitEthernet2/1portlink-typehybridSwitchA-GigabitEthernet2/1porthybridvlan102030untagged【补充说明】对于Hybrid端口来说，可以同时属于多个VLAN。这些VLAN分别是该Hybrid端口的PVID，以及手工配置的”untagged”及”tagged”方式的VLAN。一定要注意对应端口的VLAN配置，保证报文能够被端口进行正常的收发处理。此应用在二层网络中，对相同网段的主机进行访问权限的控制。7、undoshutdown打开以太网端口8、shutdown关闭以太网端口9、quit退出当前视图模式10、vlan10创建VLAN10并进入VLAN10的视图模式11、portaccessvlan10在端口模式下将当前端口加入到vlan10中12、portE1/0/2toE1/0/5在VLAN模式下将指定端口加入到当前vlan中13、porttrunkpermitvlanall允许所有的vlan通过H3C交换机的一些简单配置2009-11-2518:49这里使用的H3C交换机是H126A，仅仅只做了最基本的配置以满足使用。配置中可以通过displaycurrent-configura命令来显示当前使用的配置内容。#配置VLAN1system-viewSystemView:returntoUserViewwithCtrl+Z.Sysnamevlan1Sysname-vlan1quitSysnamemanagement-vlan1SysnameinterfaceVlan-interface1Sysname-Vlan-interface1ipaddress01#显示VLAN接口1的相关信息。displayipinterfaceVlan-interface1#创建VLAN（H3C不支持cisco的VTP，所以只能添加静态VLAN）system-viewSystemView:returntoUserViewwithCtrl+Z.H3C_TESTvlan99H3C_TEST-vlan99nameseicoffice 给VLAN命名H3C_TEST-vlan99quit#把交换机的端端口划分到相应的Vlan中H3C_TESTinterfaceethernet1/0/2 /进入端口模式H3C_TEST-Ethernet1/0/2portlink-typeaccess /设置端口的类型为accessH3C_TEST-Ethernet1/0/2portallowvlan99 /把当前端口划到vlan99H3C_TESTvlan99H3C_TEST-vlan99portethernet1/0/1toethernet1/0/24 /把以及网端口1/0/1到1/0/24划到vlan99H3C_TEST-vlan99quitH3C_TEST-GigabitEthernet1/2/1porttrunkpermitvlan199/ID|All设置trunk端口允许通过的VLAN-#配置本地用户system-viewSystemView:returntoUserViewwithCtrl+Z.Sysnamelocal-userh3cNewlocaluseradded.Sysname-luser-h3cservice-typetelnetlevel3Sysname-luser-h3cpasswordsimpleh3c#配置欢迎信息H3C_TESTheaderlogin%Welcometologinh3c!%#配置用户认证方式telnet(vty0-4)H3C_TESTuser-interfacevty04H3C_TEST-ui-vty0-4authentication-modeschemeH3C_TEST-ui-vty0-4protocolinboundtelnetH3C_TEST-ui-vty0-4superauthentication-modesuper-passwordH3C_TEST-ui-vty0-4quitH3C_TESTsuperpasswordlevel3simpleh3c/用户登陆后提升权限的密码#配置Radius策略H3C_TESTradiusschemeradius1NewRadiusschemeH3C_TEST-radius-radius1primaryauthentication531645H3C_TEST-radius-radius1primaryaccounting531646H3C_TEST-radius-radius1secondaryauthentication1645H3C_TEST-radius-radius1secondaryaccounting1646H3C_TEST-radius-radius1timer5H3C_TEST-radius-radius1keyauthenticationh3cH3C_TEST-radius-radius1keyaccountingh3cH3C_TEST-radius-radius1server-typeextendedH3C_TEST-radius-radius1user-name-formatwithout-domain#配置域H3C_TESTdomainh3cH3C_TEST-isp-h3cauthenticationradius-schemeradius1localH3C_TEST-isp-h3cschemeradius-schemeradius1localH3C_TESTdomaindefaultenableh3c#配置在远程认证失败时，本地认证的keyH3C_TESTlocal-servernas-ipkeyh3cH3C交换机路由器telnet和console口登录配置2009年11月09日星期一10:00级别说明Level名称命令0:参观ping、tracert、telnet1:监控display、debugging2:配置所有配置命令（管理级的命令除外）3:管理文件系统命令、FTP命令、TFTP命令、XMODEM命令telnet仅用密码登录，管理员权限Routeruser-interfacevty04Router-ui-vty0-4userprivilegelevel3Router-ui-vty0-4setauthenticationpasswordsimpleabctelnet仅用密码登录，非管理员权限Routersuperpasswordlevel3simplesuperRouteruser-interfacevty04Router-ui-vty0-4userprivilegelevel1Router-ui-vty0-4setauthenticationpasswordsimpleabctelnet使用路由器上配置的用户名密码登录，管理员权限Routerlocal-useradminpasswordsimpleadminRouterlocal-u