H3C交换机基本配置命令参考

文档来源为:文档来源为:从网络收集整理.word版本可编辑欢迎下载支持 .PAGE10PAGE10文档来源为:从网络收集整理.word版本可编辑.H3C交换机基本配置核心交换机——作为公司核心网络的主要中枢，合理的配置认证方式为 Scheme时的Telnet登录配置dis cu查看当前配置[h3c]telnetserverenable 启动Telnet服务[h3c]local-userwinda //创建本地用户 winda[h3c-luser-winda]passwordcipher123456 //为本地用户 winda创建密文显示的密码[h3c-luser-winda]service-typetelnet //定义该用户的服务类型为 [h3c-luser-winda]authorization-attributelevel3 //定义该用户的特权级别[h3c-luser-winda]quit //退出用户配置模式[h3c]user-interfacevty04 //设置虚拟用户端口[h3c-ui-vty0-4]authentication-modescheme //名和密码[h3c-ui-vty0-4]userprivilegelevel3 //设置远程登录用户登录后的最高级别以太网端口的基本配置二层以太网端口中，包括三种类型： Access、Trunk、InterfaceEthernet1/0/1 //进入以太网端口视图portlink-typeaccess //access端口：只能属于一个 VLANportlink-type trunk //trunk端口：属于多个 VLAN，只允许默认 VLAN 的报文发送时不携带 VLAN 标签portlink-typehybrid //hybrid端口：属于多个 VLAN，可以允许多个 VLAN 的报文发送时不携带 VLAN 标签descriptiontext //设置以太网端口的描述字符串，用来表示该端口duplex{auto|full|half} //设置以太网端口的双工模speed{10|100|1000|10000|auto} //设置以太网端口的速率以太网端口环回监测功能配置loopback-detectionenable //开启环回监测功能端口组配置（手工端口组）S3610、S5120、S5800系列：port-groupmanual port-group-name S5510-EI系列：port-group group-idS3610、S5120、S5800系列：group-member interface-list //S5510-EI系列：port interface-list手工端口汇聚组配置link-aggregationgroup agg-id modemanual //创建手工汇聚组link-aggregationgroup agg-id description agg-name //配置汇聚组描述portlink-aggregationgroup agg-id //将以太网端口加入到指定的汇聚组端口绑定配置amuser-bind{mac-addr mac-address|ip-addr ip-address}* interface-list//将合法用户的 MAC地址和IP地址绑定到指定的端口上三层接口 IP地址配置interfacevlan-interfacevlan-idipaddressip-address{mask|mask-length}[sub]VLAN 的基本配置（1） VLAN 的创建vlanvlan-id//创建VLAN（2）基于端口 VLAN配置Access端口：portlink-typeaccess //(可选)默认情况下，端口的链路类型为 access类型portaccessvlanvlan-id //将当前access端口加入到指定 Trunk端口：portlink-typetrunk //配置端口的链路类型为 trunk类型porttrunkpermitvlan{ vlan-id-list |all} 将以上trunk端口加入到指定一个或多个 porttrunkpvidvlan vlan-id //（可选）设置以上 trunk端口的默认 VLANHybrid端口：portlink-typehybrid //配置端口的链路类型为 hybrid类型porthybridvlan vlan-id-list {tagged|untagged} //将以上hybrid端口加入到指定的一或多个VLAN 中porthybridpvidvlan vlan-id //（可选）设置以上 hybrid端口的默认 VLAN端口镜像配置本地端口镜像配置mirroring-group group-id local //未镜像组配置源端口，创建本地镜像组mirroring-group group-id mirroring-port mirroring-port-list {both|inbound|outbound}//在系统视图下配置指定端口为本地镜像组的源端interface interface-type interface-numbermirroring-group group-id mirroring-port{both|inbound|outbound}//在接口视图下配置指定端口为本地镜像组的源端口mirroring-group group-id mirroring-vlan mirroring-vlan-list {both|inbound|outbound}//为本地镜像组配置源 vlan，一个镜像组内可以配置多个源 mirroring-group group-id monitor-port monitor-port-id//在系统视图下配置指定端口为本地镜像组的目的端interface interface-type interface-numbermirroring-group group-id monitor-port//在接口视图下配置指定端口为本地镜像组的目的端口二层远程端口镜像配置a.反射端口方式b.出端口方式低端H3C交换机远程端口镜像的配置，如 S3100、S5510、充当源交换机时的配置remote-probevlanenable 将当前VLAN 配置为远程镜像 VLANmirroring stp-collaboration //（可选）开启端口镜像与 STP联动功能，开该功能后，设备将通过监测端口的 STP状态来自动控制该端口上的镜像功能是否生效。mirroring-group group-id remote-source 创建远程源镜像组mirroring-group group-id mirroring-port mirroring-port-list {both |inbound |outbound}//配置远程端口镜像源端口mirroring-groupgroup-idreflector-port reflector-port //为远程镜像组配置反射端口mirroring-groupgroup-idremote-probevlan remote-probe-vlan-id//为指定远程源镜像组配置远程镜像 VLAN充当中间交换机时的配置remote-probevlanenable 定义当前 VLAN 配置为远程镜像 VLAN充当目的交换机的配置remote-probevlanenable 定义当前 VLAN 配置为远程镜像 VLANmirroring-groupgroup-idremote-destination //配置远程目的镜像组mirroring-groupgroup-idmonitor-port monitor-port //为远程目的镜像组配置目的端口mirroring-groupgroup-idremote-probevlan remote-probe-vlan-id//为远程镜像组配置远程镜像 VLAN中高端H3C交换机二层远程端口镜像的配置? 远程源镜像组配置：mirroring-group group-id remote-source 创建远程源镜像组mirroring-group group-id mirroring-port mirroring-port-list {both |inbound|outbound}//系统视图下配置指定端口为远程源镜像组源端interface interface-type interface-numbermirroring-group group-id mirroring-port{both|inbound|outbound}//接口视图下配置指定端口为远程源镜像组源端口mirroring-group group-id mirroring-vlan mirroring-vlan-list {both|inbound|outbound}//为远程源镜像组配置源 VLANmirroring-group group-id monitor-egress monitor-egress-port-id//系统视图下配置指定端口为远程源镜像组的出端interface interface-type interface-numbermirroring-group group-id monitor-egress//接口视图下配置指定端口为远程源镜像组的出端口mirroring-group group-id reflector-port //系统视图下配置指定端口为远程源镜像组的反射端interface interface-type interface-numbermirroring-group group-id reflector-port//接口视图下配置指定端口为远程源镜像组的反射端口mirroring-group group-id remote-probevlan remote-probe-vlan-id//为远程源镜像组配置远程镜像 VLAN? 远程目的镜像组配置mirroring-group group-id remote-destination //配置远程目的镜像mirroring-group group-id monitor-port monitor-port-id//系统视图下配置指定端口为远程目的镜像组的目的端interface interface-type interface-numbermirroring-group group-id monitor-port//接口视图下配置指定端口为远程目的镜像组的目的端口mirroring-group group-id remote-probevlan remote-probe-vlan-id//为远程目的镜像组配置远程镜像 VLAN三层远程端口镜像配置GRE隧道的配置interfacetunnel interface-number //创建一个 Tunnel接口，并进入该视图ipaddress ip-address{mask|mask-length} 设置Tunnel接口的IPV4地址tunnel-protocolgre 配置隧道模式为 GRE隧道模式source{ip-address|interface-typeinterface-number} //设置Tunnel接口的源端地址或接destination ip-address //设置Tunnel接口的目的端地址三层远程端口镜像配置mirroring-group group-id local //创建本地镜像组mirroring-group group-id mirroring-port mirroring-port-list {both |inbound|outbound}//系统视图下为本地镜像组配置源端口interface interface-type mirroring-group group-id mirroring-port{both|inbound|outbound}//接口视图下为本地镜像组配置源端口mirroring-group group-id mirroring-cpu slot slot-number-list {both|inbound|outbound}//（仅S58系列支持）在系统视图下为本地镜像组配置源 mirroring-group group-id monitor-port monitor-port-id//系统视图下为本地镜像组配置目的端口interface interface-type mirroring-group group-id monitor-port//接口视图下为本地镜像组配置目的端口DHCP基本配置举例常见的DHCP组网方式可分为两类：一种是DHCP服务器和客户端都在一个子网内，直接进行DHCP协议的交互；第二种是DHCP服务器和客户端分别处于不同的子网中，必须通过DHCP中继代理实现IP地址的分配。DHCP地址池的配置示例一：DHCP服务器为同一网段中的客户端动态分配 IP地址，地址池网段分为两个网段：和服务器两个Ethernet接口地址分别为和网段内的地址租用期限为10天12小时域名为，DNS地址为，无NetBIOS地址，出口路由器地址为；网段网段内的地址租用期限为5天，DNS地址为，NetBIOS地址为，出口路由器的地址为#启动DHCP服务dhcpenable#配置接口工作在DHCP服务器模式下，并从全局地址池中分配IP地址。dhcpselectglobalinterfaceethernet0/0/0toethernet0/0/1配置不参与自动分配的IP地址（DNS、NetBIOS和出口网关地址）。dhcpserverforbidden-ipdhcpserverforbidden-ipdhcpserverforbidden-ipdhcpserverforbidden-ip配置DHCP地址池0的共有属性（地址池范围、DNS地址）。dhcpserverip-pool0network maskdns-list#配置DHCP地址池 1的属性（地址池范围、出口网关、地址租用期限）dhcpserverip-pool1networkmaskdomain-namegateway-listexpiredday10hour12#配置DHCP地址池 2的属性（地址池范围、 出口网关、NetBIOS地址、地址租用 期限）。dhcpserverip-pool2networkmaskexpiredday5nbns-listgateway-listDHCP中继配置dhcpenabledhcprelayserver-group group-id ip interfaceVlan-interface vlan-idipaddress ip-address{mask|mask-length}[sub]dhcpselectrelaydhcprelayserver-select group-idSNMP配置snmp-agentsys-infocontact<string>//设置管理员的标识及联系方法， 请把替换为你要设置成的值， 下同。这个值初始是 BeiJing China，用指令 display current-configuration 可以在当前执行的配置的靠末尾看到该项。snmp-agentsys-infolocation<string>//设置交换机的位置信息，这项初始没有设置。snmp-agentcommunityreadpublic//设置一个华为交换机 snmpCommunity，使用该 Community连接交换机时，只可以读取其华为交换机 snmp信息。你可以把指令中的 public换成你想要的字符串。snmp-agentcommunitywriteprivate//设置一个华为交换机 snmpCommunity，使用该 Community连接交换机时，不仅可以读取其华为交换机 snmp信息，还可以将值写入华为交换机 snmp的MIB对象，实现对设备进配置。你可以把指令中的 private换成你想要的字符串。snmp-agentsys-infoversionall//设置交换机支持的华为交换机 snmp协议，有 v1,v2c,v3这3个版本，如果你不确定，最好设为all，将会同时支持这 3个协议。在 S3050C-0025上初始是只支持 v3版本的，如果你有正确设定它， mibbrower等一些读取软件可能会无法读取信息。ACL配置基本ACL：编号范围：2000~2999高级ACL：编号范围：3000~3999二层ACL：编号范围：4000~4999（基本 ACL配置aclnumber acl-number[name acl-name][match-order{auto|config}]//创建基本 ACL并进入基本 ACL视图description text 可选）定义 ACL的描述信息step step-value //（可选）定义 ACL规则编号步长rule[rule-id]{deny|permit}[counting|fragment|logging|source{sour-addrsour-wildcard|any}|time-rangetime-range-name|vpn-instancevpn-instance-name]*//为以上 IPV4基本ACL创建一条规则rule rule-idcomment text //（可选）为指定的规则配置描述信息hardware-count enable //（可选）开启基于硬件应用的 ACL统计功（高级 ACL配置aclnumberacl-number[nameacl-name][match-order{auto|config}]//创建IPV4高级ACL并进入高级 ACL视图descriptiontext 可选）定义ACL的描述信息stepstep-value //（可选）定义ACL规则编号步长rule[rule-id]{deny|permit}protocol[{{ackack-valuefin-value|pshpsh-valuerst-valuesyn-valueurg-value}*}|counting|destination{dest-addrdest-wildcard}|destination-portoperatorport1[port2]|dscpdscp{icmp-typeicmp-code|icmp-message}|logging|precedenceprecedence|reflective|source{sour-addrsour-wildcard|any}|source-portport1[port2]|time-rangetime-range-name|tostos|vpn-instancevpn-instance-name]*//为以上 IPV4高级ACL创建一条规则rule rule-idcomment text //（可选）为指定的规则配置描述信息hardware-count enable //（可选）开启基于硬件应用的 ACL统计功（二层 ACL配置aclnumberacl-number[nameacl-name][match-order{auto|config}]//创建二层 ACL并进入二层 ACL视图descriptiontext 可选）定义ACL的描述信息step step-value//（可选）定义ACL规则编号步长rule [rule-id]{deny|permit} [cosvlan-pri|counting dest-addrdest-mask|{lsaplsap-typelsap-type-mask|typeprotocol-typeprotocol-type-mask}|source-macsour-addrsource-mask|time-rangetime-range-name]*//定义二层 ACL规则rule rule-idcomment text //（可选）为指定的规则配置描述信息hardware-count enable //（可选）开启基于硬件应用的 ACL统计功（ACL 应用配置aclcopy{source-acl-number|namesource-acl-name}to{dest-acl-number|namedest-acl-name}//ACL 复制packet-filtervlanvlan-idinboundacl-rule//（可选）在指定 VLAN 中应用ACL，对VLAN 中的所有端口上接收到的数据包进行过滤QoS配置定义流分类和匹配规则；定义流行为；定义QoS策略，并将流分类和流行为绑定在一起；应用QoS定义流分类trafficclassifier tcl-name[operator{and|or}] //定义一个流分类，并进入类视图if-match match-criteria //定义流行为trafficbehavior behavior-name //定义QoS策略qospolicypolicy-name //定义策略并进入视图classifiertcl-namebehaviorbehavior-name[mode{dcbx|dot1q-tag-manipulation}]//在策略中为类指定采用的流行为应用QoS策略基于全局应用 QoS策略qosapplypolicy policy-nameglobal{inbound|outbound}基于端口应用 QoS策略qosapplypolicy policy-name{inbound|outbound}基于在线用户应用 QoS策略user-profile profile-name 创建UserProfile并进入相应的 user-profile视图qosapplypolicy policy-name{inbound|outbound}//在对应的在线用户上应用指定关联的 QoS策略user-profile profile-nameenable //激活Userprofile基于VLAN 应用QoS策略qosvlan-policy policy-namevlan vlan-id-list{inbound|outbound}基于控制平面应用 QoS策略control-planeslot slot-number //进入控制平面视图qosapplypolicy policy-nameinbound //在控制平面入方向上应用指定的 QoS策略IRF配置Fabric端口配置fabric-port interface-type interface-number enable //在系统视图下开启 Fabric端口interface interface-type interface-numberportlink-typeirf-fabric //在对应以太网端口视图下将对应以太网端口配置为 Fabric端口UnitID 配置changeself-unitto{unit-id|auto-numbering} //系统视图下配置本地交换机的 UnitID更改当前交换机的 UnitIDchangeunit-idto unit-id|auto-numbering修改堆叠中其他交换机的 UnitIDchangeunit-id unit-id1to {unit-id2 |auto-numbering}保存或取消设置更改fabricsave-unit-idIRF2配置（1）IRF基本配置irfdomainirfmemberdomain-idmember-idrenumbernew-member-id//IRF域编号配置//IRF2成员编号配置（2）IRF2端口配置irf-port member-id/port-number //创建IRF2逻辑端口，进入 IRF2逻辑端口视图portgroupinterface interface-type interface-number[mode{enhanced|normal}]//将IRF2逻辑端口和 IRF2物理端口绑定irf-port-configurationactive //激活设备中所有 IRF2逻辑端口下的配置IRF2成员优先级配置irfmember member-idpriority priorityIRF2成员设备描述信息配置irfmember member-iddescription textIRF2链路负载分担类型配置irf-portload-sharingmode{destination-ip|destination-mac|source-ip|source-mac}*IRF2的桥MAC保留时间配置irfmac-addresspersistent{timer|always}启用 IRF2系统启动文件的自动加载功能irfauto-updateenableIRF2链路down延迟上报功能配置irflink-delay intervalIRF2MAD 配置IRF2支持多IRF2的三种 MAD检测方式：LACPMAD 检测、BFDMAD 检测、ARPMAD检测。① LACPMAD 检测配置interfacebridge-aggregation interface-number//创建二层聚合接口和二层聚合组，并进入二层聚合端口视图link-aggregationmodedynamic//配置以上聚合组工作在动态聚合模式下madenable //在以上静态聚合组中启用 LACPMAD 检测功能interface interface-type interface-numberportlink-aggregationgroup number //将以上二层以太网端口加入到指定的聚合组② BFDMAD 检测interface vlan-interface interface-numbermadbfdenable //在以上VLAN 接口上启用 BFDMAD 检测功能madipaddress ip-address{mask|mask-length}member member-id//为指定成员设备的以上 VLAN 接口配置 MADIP 地址③ ARPMAD 检测interfacevlan-interface interface-numberipaddress ip-address{mask|mask-length}madarpenable //在以上VLAN 接口上启用 ARPMAD 检测功能ARP配置arpstatic ip-address mac-address[vlan-id interface-type interface-number]//手工添加静态 ARP表项，相当于 IP与MAC地址的静态绑定arptimeraging aging-time //配置动态 ARP表项的老化时间arpcheckenable 开启ARP表项的检查功能displayarp[dynamic|static|ip-address] //显示当前交换机上的 ARP表项displayarp[dynamic|staic]|{begin|include|exclude} regular-expression//查看包含指定内容的 ARP映射表displayarpcount[[dynamic|static][|{begin|include|exclude} regular-expression]|ip-address]//查看指定类型的 ARP表项的数目displayarpcountdetectionstatisticsinterface interface-type interface-number//查看指定端口被丢弃掉的不可信任的 ARP报文的数量displayarptimeraging //查看动态 ARP老化定时器的时间resetarp[dynamic|static|interface interface-type interface-number //消除ARP表项interface vlan-interface arpmax-learning-num number//在VLAN 接口视图下配置允许学习的动态 ARP表项的最大数目arpanti-attackvalid-checkenable//系统视图下开启对 ARP报文源MAC地址一致性检查功能#ARP入侵检测功能配置：dhcp-snooping //全局开启交换机 DHCPSnooping功能ipsourcestaticimportdot1x //全局开启基于 802.1x认证用户的 ARP入侵检测功能interface interface-type interface-numberdhcp-snoopingtrust //配置DHCPSnooping的信任端arpdetectiontrust //设置当前端口为 ARP信任端口vlan vlan-id 进入VLAN 视图arpdetectionenable 开启指定 VLAN 内所有端口的 ARP入侵检测功能arprestricted-forwardingenable //在对应VLAN 内开启ARP严格转发功能#ARP报文限速功能配置：interface interface-type interface-numberarprate-limitenable //开启以上端口的 ARP报文限速功能arprate-limit rate //配置允许通过的 ARP报文的最大速率arpprotective-downrecoverenable //全局开启交换机上的端口状态自动恢复功arpprotective-downrecoverinterval interval//全局设置端口状态由关闭恢复为开启的时间间隔#ARP代理配置：interface Vlan-interface vlan-idarpproxyenable //开启普通代理 ARP功能local-proxy-arpenable[ip-range startIPto endIP] 开启本地代理 ARP功能displayarpproxy[interface vlan-interface vlan-id]//显示普通代理 ARP和本地代理 ARP的状态集群配置NDP的启用及参数配置ndpenable //启用NDP——用于收集邻接设备信息ndptimeraging aging-in-seconds //指定接收设备应该保持本设备发送的 NDP报文时间ndptimerhello seconds //修改NDP信息的更新频率NTDP的启用及参数配置ntdpenable //启用NTDP——用于收集邻接设备拓扑信息ntdphop hop-value //配置拓扑收集范围ntdptimerhop-delay time //配置当前设备转发拓扑收集请求的跳数延迟时ntdptimerport-delay time 配置当前设备转发拓扑收集请求的端口延迟时间ntdptimer interval-in-minutes 配置定时拓扑收集的时间间隔ntdpexplore //启动拓扑信息的收集过程集群启用及配置clusterenable //手动配置集群参数：cluster //进入集群视图ip-pool administrator-ip-address {ip-mask|ip-mask-length} //配置集群 IP地址范围build name //创建集群，并为集群命名holdtime seconds //配置交换机的有效保留时间timer interval //配置握手报文定时发送的时间间自动创建集群：cluster //进入集群视图ip-pool administrator-ip-address {ip-mask|ip-mask-length} //配置集群 IP地址范围auto-build[recover] 自动将候选交换机加入集群成为成员交换机集群内外交互配置cluster //进入集群视图ftp-server ip-address //配置集群内部公用的 FTP服务器tftp-server ip-address //配置集群内部公用的 TFTP服务ip-address //配置集群内部公用的日志主机snmp-host ip-address //配置集群内部公用的网管主机集群管理配置基本管理操作cluster //进入集群视图add-member[member-number]mac-address H-H-H[password password]//加入指定的交换机作为集群成员交换机administrator-address mac-addressname name //配置管理交换机的 MAC地址delete-member member-number 集群成员的删除rebootmember{member-number|mac-address H-H-H}[eraseflash]重启指定的成员交换clusterswitch-to{member-number|mac-address H-H-H|administrator}//访问指定成员交换机tracemac{by-mac mac-addressvlan vlan-id|by-ip ip-a