H3C 交换机配置命令手册.doc

目录H3C 交换机配置命令手册：2交换机端口链路类型介绍：2认证方式为Scheme时Telnet登录方式的配置2Vlan 的创建及描述2将端口配置为Trunk端口，并允许VLAN10和VLAN20通过3DHCP典型配制举例：3链路聚合典型配置3三层交换的IP路由配置：4(1)配置各接口的IP地址4(2) 配置静态路由4# 在Switch B上配置两条静态路由。5配置举例：建立SSL Proxy服务器51. 组网需求52. 组网图53. 配置步骤5# 配置接口IP地址。5SSL服务器端策略配置：6证书属性过滤组的配置：6证书ACP策略配置：7SSL Proxy服务器策略配置：7# 配置目标HTTP服务器。7运行SSL Proxy服务器：7# 配置ACL，用来匹配将要进行SSL代理的数据流。7# 将路由策略应用到接口上。8H3C 交换机配置命令手册：交换机端口链路类型介绍：1Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；2Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；3Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。认证方式为Scheme时Telnet登录方式的配置#telnet server enable#local-user guestservice-type telnetlevel 3password simple 123456#Vlan 的创建及描述# system-view #进入配置选项命令行SwitchA vlan 100 #创建当前VLAN SwitchA-vlan100 description Dept1 #当前VLAN的描述SwitchA-vlan100 port GigabitEthernet 1/0/1 #将当前端口加入到对就的VLAN下面将端口配置为Trunk端口，并允许VLAN10和VLAN20通过SwitchAinterface GigabitEthernet 1/1 #进入当前端口SwitchA-GigabitEthernet1/1port link-type trunk #将当前端口设为中继SwitchA-GigabitEthernet1/1port trunk permit vlan all #允许所有VLAN通过 SwitchA-vlan100 quit #退出DHCP典型配制举例：#SwitchA dhcp server ip-pool 0 #建立DHCP组SwitchA-dhcp-pool-0 network mask #地址池范围SwitchA-dhcp-pool-0 domain-name #WINS服务器地址SwitchA-dhcp-pool-0 dns-list #DNS服务器地址 SwitchA-dhcp-pool-0 nbns-list #从DNS的配制SwitchA dhcp server forbidden-ip #不参与的地址分配的地址（保留地址）SwitchA dhcp server detect # 配置伪服务器检测功能。SwitchA-dhcp-pool-0 quit #退出配置服务选项SwitchA dhcp enable #启用DHCP服务DHCP中继代理# 使能DHCP服务。SwitchB dhcp enable# 配置DHCP服务器的地址SwitchB dhcp relay server-group 1 ip 2# 配置VLAN接口3工作在DHCP中继模式。SwitchB interface vlan-interface 3SwitchB-Vlan-interface3 dhcp select relay# 配置VLAN接口3对应DHCP服务器组1。SwitchB-Vlan-interface3 dhcp relay server-select 1链路聚合典型配置链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组，使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。# 创建二层聚合端口1。 system-viewDeviceA interface bridge-aggregation 1 #创建端口聚合组DeviceA-Bridge-Aggregation1 quit# 将以太网端口Ethernet2/0/1至Ethernet2/0/3加入聚合组1。DeviceA interface ethernet 2/0/1DeviceA-Ethernet2/0/1 port link-aggregation group 1 #加入端口聚合组DeviceA-Ethernet2/0/1 interface ethernet 2/0/2 #进入端口DeviceA-Ethernet2/0/2 port link-aggregation group 1 #加入端口聚合组DeviceA-Ethernet2/0/2 interface ethernet 2/0/3DeviceA-Ethernet2/0/3 port link-aggregation group 1采用动态聚合模式# 创建二层聚合端口1，并配置成动态聚合模式。 system-viewDeviceA interface bridge-aggregation 1DeviceA-Bridge-Aggregation1 link-aggregation mode dynamicDeviceA-Bridge-Aggregation1 quit三层交换的IP路由配置： (1)配置各接口的IP地址interface Vlan-interface300#ip address #给VLAN指定IP地址#(2) 配置静态路由# 在Switch A上配置缺省路由。 system-viewSwitchA ip route-static # 配置缺省路由# 在Switch B上配置两条静态路由。 system-viewSwitchB ip route-static #静态路由SwitchB ip route-static #静态路由配置举例：建立SSL Proxy服务器1. 组网需求HTTPS客户端通过Internet连接到防火墙上的SSL Proxy服务，然后防火墙再将请求发送给HTTP服务器。2. 组网图图10-3 SSL Proxy服务器的组网图3. 配置步骤# 配置接口IP地址。H3C interface Ethernet 0/0/0H3C-Ethernet0/0/0 ip address 65 H3C-Ethernet0/0/0 quitH3C interface Ethernet 1/0/0H3C-Ethernet1/0/0 ip address H3C-Ethernet1/0/0 quitSSL服务器端策略配置：# 定制SSL Proxy服务器上使用的SSL服务器端策略。H3C ssl server-policy myssl# PKI域配置H3C-ssl-server-policy-myssl pki-domain 1证书属性过滤组的配置：# 配置一个名为mygroup1和mygroup2的证书属性过滤组，并且在组下配置过滤条件。H3C pki certificate attribute-group mygroup1H3C-cert-attribute-group-mygroup1 attribute 1 subject-name dn ctn cn=H3CH3C-cert-attribute-group-mygroup1 attribute 2 alt-subject-name ip equ 54H3C-cert-attribute-group-mygroup1 quitH3C pki certificate attribute-group mygroup2H3C-cert-attribute-group-mygroup2 attribute 1 alt-subject-name fqdn nctn H3CH3C-cert-attribute-group-mygroup2 attribute 2 issuer-name dn ctn H3C证书ACP策略配置：# 配置一个名为myacp的基于证书属性的访问控制策略，并且配置该策略的控制规则。H3C pki certificate access-control-policy myacpH3C-cert-acp-myacp rule 1 deny mygroup1H3C-cert-acp-myacp rule 2 permit mygroup2SSL Proxy服务器策略配置：# 定制SSL Proxy服务器策略。H3C ssl proxy myproxy# 配置SSL服务器端策略为myssl。H3C-sslproxy-myproxy ssl-server-policy myssl# 配置证书 ACP为myacp。H3C-sslproxy-myproxy certificate access-control-policy myacp# 配置目标HTTP服务器。H3C-sslproxy-myproxy server ip 5 port 80运行SSL Proxy服务器：# 选择SSL Proxy服务器配置myproxy，启动SSL Proxy服务器。H3C ssl proxy server myproxy enable配置路由策略，使防火墙将进入的HTTPS请求交由CPU进行处理，否则防火墙将对进入的报文执行正常转发的操作，则不能起到SSL Proxy的作用：# 配置ACL，用来匹配将要进行SSL代理的数据流。H3C acl number 3000H3C-acl-adv-3000 rule permit tcp source any destination 5 0 destination-port eq 443H3C-acl-adv-3000 quit# 配置路由策略，使防火墙将匹配ACL的报文转发到loopback接口上，即交由CPU处理。H3C interface LoopBack 1H3C-LoopBack1 ip address 55H3