H3C三层交换机配置命令技术教程2010-03-0116:16:53阅读655评论0 字号:大中小 订阅一、write是cisco的H3C的保存配置的命令是save查看保存的配置文件为dissave查看当前运行的配置是discu清空配置为resetsave 需要重启生效重启为reboot二、system-view:进入配置模式[Quidway]discur ;显示当前配置[Quidway]displaycurrent-configuration ;显示当前配置[Quidway]displayinterfaces ;显示接口信息[Quidway]displayvlanall ;显示路由信息[Quidway]displayversion ;显示版本信息[Quidway]superpassword ;修改特权用户密码[Quidway]sysname ;交换机命名[Quidway]interfaceethernet0/1 ;进入接口视图[Quidway]interfacevlanx ;进入接口视图[Quidway-Vlan-interfacex]ipaddress10.65.1.1255.255.0.0 ;配置VLAN的IP地址[Quidway]iproute-static0.0.0.00.0.0.010.65.1.2 ;静态路由=网关[Quidway]rip ;三层交换支持[Quidway]local-userftp 增加用户名[Quidway]user-interfacevty04 ;进入虚拟终端[S3026-ui-vty0-4]authentication-modepassword ;设置口令模式[S3026-ui-vty0-4]setauthentication-modepasswordsimple222 ;设置口令[S3026-ui-vty0-4]userprivilegelevel3 ;用户级别说明:必须要配置虚拟终端用户名、密码等相关信息,否则将无法通过RJ-45端口telnet到交换机。
system-view[Sysname]local-useradmin[Sysname-luser-admin]service-typetelnetlevel3[Sysname-luser-admin]passwordsimpleadmin说明:以上命令用于设置web管理页面的登录用户名和密码,必须要设置上述信息,否则将无法登录到web配置页面。[Quidway]interfaceethernet0/1 ;进入端口模式[Quidway]inte0/1 ;进入端口模式[Quidway-Ethernet0/1]duplex{half|full|auto} ;配置端口工作状态[Quidway-Ethernet0/1]speed{10|100|auto} ;配置端口工作速率[Quidway-Ethernet0/1]flow-control ;配置端口流控[Quidway-Ethernet0/1]mdi{across|auto|normal} ;配置端口平接扭接[Quidway-Ethernet0/1]portlink-type{trunk|access|hybrid} ;设置端口工作模式[Quidway-Ethernet0/1]portaccessvlan3 ;当前端口加入到VLAN[Quidway-Ethernet0/2]porttrunkpermitvlan{ID|All} ;设trunk允许的VLAN[Quidway-Ethernet0/3]porttrunkpvidvlan3 ;设置trunk端口的PVID[Quidway-Ethernet0/1]undoshutdown ;激活端口[Quidway-Ethernet0/1]shutdown ;关闭端口[Quidway-Ethernet0/1]quit ;返回[Quidway]vlan3 ;创建VLAN[Quidway-vlan3]portethernet0/1 ;在VLAN中增加端口[Quidway-vlan3]porte0/1 ;简写方式[Quidway-vlan3]portethernet0/1toethernet0/4 ;在VLAN中增加端口[Quidway-vlan3]porte0/1toe0/4 ;简写方式[Quidway]monitor-port ;指定镜像端口[Quidway]portmirror ;指定被镜像端口[Quidway]portmirrorint_listobserving-portint_typeint_num;指定镜像和被镜像[Quidway]descriptionstring ;指定VLAN描述字符[Quidway]description ;删除VLAN描述字符[Quidway]displayvlan[vlan_id] ;查看VLAN设置[Quidway]stp{enable|disable} ;设置生成树,默认关闭[Quidway]stppriority4096 ;设置交换机的优先级[Quidway]stproot{primary|secondary} ;设置为根或根的备份[Quidway-Ethernet0/1]stpcost200 ;设置交换机端口的花费[Quidway]link-aggregatione0/1toe0/4ingress|both ;端口的聚合[Quidway]undolink-aggregatione0/1|all ; 始端口为通道号[SwitchA-vlanx]isolate-user-vlanenable ;设置主vlan[SwitchA]isolate-user-vlansecondary ;设置主vlan包括的子vlan[Quidway-Ethernet0/2]porthybridpvidvlan ;设置vlan的pvid[Quidway-Ethernet0/2]porthybridpvid ;删除vlan的pvid[Quidway-Ethernet0/2]porthybridvlanvlan_id_listuntagged ;设置无标识的vlan如果包的vlanid与PVId一致,则去掉vlan信息.默认PVID=1。所以设置PVID为所属vlanid,设置可以互通的vlan为untagged.配置基本ACL2000,禁止源IP地址为192.168.0.1的报文通过。system-view[Sysname]aclnumber2000[Sysname-acl-basic-2000]ruledenysource192.168.0.10#显示基本ACL2000的配置信息。[Sysname-acl-basic-2000]displayacl2000BasicACL 2000,1ruleAcl'sstepis1rule0denysource192.168.0.10#配置高级ACL3000,允许从129.9.0.0/16网段的主机向202.38.160.0/24网段的主机发送的端口号为80的TCP报文通过。system-view[Sysname]aclnumber3000[Sysname-acl-adv-3000]rulepermittcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-porteq80在端口Ethernet1/0/1的入方向上应用ACL2000进行包过滤。system-view[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group2000#在VLAN1的入方向上应用ACL2000进行包过滤。system-view[Sysname]packet-filtervlan1inboundip-group2000说明:acl的in和out说明一:in和out是相对交换机而言的,凡是数据从外部设备(如PC)进入交换机,则该方向为in;凡是数据从交换机转发到外部设备(如PC),则该方向为out。说明二:in和out是相对的,比如:A(s0)-----(s0)B(s1)--------(s1)C假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种
办法
鲁班奖评选办法下载鲁班奖评选办法下载鲁班奖评选办法下载企业年金办法下载企业年金办法下载
:1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)说明三:1、交换机、路由器上:针对某个vlan接口应用acl的方向问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
,大家可以看看acl的源和目标地址段。假设要为vlanA配置acl,当源地址段为vlanA的ip段时,acl就是用in;当目的地址段为vlanA的ip段时,acl就是用out方向。反正有一点需要注意,应用在vlan的ACL为out方向时,其目的地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话是匹配不上的;应用在vlan的ACL为in方向时,其源地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话同样是匹配不上的。要为vlan配acl时,可以把vlan看成是一个普通接口。2、防火墙上:从安全级别低的访问高的叫in从安全级别高的访问低的叫ou三、加密改密:system-view[h3c]local-useradmin //用户名[h3c-user-admin]passwordcipheradmin //密码,显示的时候就变成密文的了。[h3c-user-admin]quit[h3c]quitsave 保存四、1、system-view 进入系统视图模式2、sysname 为设备命名3、displaycurrent-configuration当前配置情况4、language-modeChinese|English中英文切换5、interfaceEthernet1/0/1进入以太网端口视图6、portlink-typeAccess|Trunk|Hybrid 设置端口访问模式7、undoshutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan10 创建VLAN10并进入VLAN10的视图模式11、portaccessvlan10 在端口模式下将当前端口加入到vlan10中12、portE1/0/2toE1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、porttrunkpermitvlanall 允许所有的vlan通过H3C路由器1、system-view 进入系统视图模式2、sysnameR1 为设备命名为R13、displayiprouting-table显示当前路由表4、language-modeChinese|English中英文切换5、interfaceEthernet0/0进入以太网端口视图6、ipaddress192.168.1.1255.255.255.0 配置IP地址和子网掩码7、undoshutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、iproute-static192.168.2.0255.255.255.0192.168.12.2descriptionTo.R2配置静态路由11、iproute-static0.0.0.00.0.0.0192.168.12.2descriptionTo.R2配置默认的路由H3CS3100SwitchH3CS3600SwitchH3CMSR20-20Router1、调整超级终端的显示字号;2、捕获超级终端操作命令行,以备日后查对;3、language-modeChinese|English中英文切换;4、复制命令到超级终端命令行,粘贴到主机;5、交换机清除配置:resetsave;reboot;6、路由器、交换机配置时不能掉电,连通测试前一定要检查网络的连通性,不要犯最低级的错误。7、192.168.1.1/24 等同 192.168.1.1255.255.255.0;在配置交换机和路由器时,192.168.1.1255.255.255.0可以写成:192.168.1.1248、设备命名规则:地名-设备名-系列号例:PingGu-R-S3600H3C华为交换机端口绑定基本配置2008-01-2213:401,端口MACa)AM命令使用特殊的AMUser-bind命令,来完成MAC地址与端口之间的绑定。例如:〔SwitchA〕amuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。b)mac-address命令使用mac-addressstatic命令,来完成MAC地址与端口之间的绑定。例如:〔SwitchA〕mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1〔SwitchA〕mac-addressmax-mac-count0配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。2,IPMACa)AM命令使用特殊的AMUser-bind命令,来完成IP地址与MAC地址之间的绑定。例如:〔SwitchA〕amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arpstatic命令,来完成IP地址与MAC地址之间的绑定。例如:〔SwitchA〕arpstatic10.1.1.200e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。3,端口IPMAC使用特殊的AMUser-bind命令,来完成IP、MAC地址与端口之间的绑定。例如:〔SwitchA〕amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明:可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。〔S2016-E1-Ethernet0/1〕mac-addressmax-mac-count0;进入到端口,用命令macmax-mac-count0(端口mac学习数设为0)〔S2016-E1〕macstatic0000-9999-8888inte0/1vlan10;将0000-9999-8888绑定到e0/1端口上,此时只有绑定mac的pc可以通过此口上网,同时E0/1属于vlan10就这样,ok了,不过上面两个命令顺序不能弄反,除非端口下没有接pcdisvlan显示vlannametext指定当前vlan的名称undoname取消〔h3c〕vlan2〔h3c-vlan2〕nametestvlandisusers显示用户disstartup显示启动配置文件的信息disuser-interface显示用户界面的相关信息diswebusers显示web用户的相关信息。headerlogin配置登陆验证是显示信息headershellundoheaderlock锁住当前用户界面acl访问控制列表aclnumberinbound/outbound〔h3c〕user-interfacevty04〔h3c-vty0-4〕acl2000inboundshutdown:关闭vlan接口undoshutdown打开vlan接口关闭vlan1接口〔h3c〕interfacevlan-interface1〔h3c-vlan-interface〕shutdownvlanvlan-id定义vlanundovalnvlan-iddisplayiprouting-tabledisplayiprouting-tableprotocolstaticdisplayiprouting-tablestatisticsdisplayiprouting-tableverbose查看路由表的全部详细信息interfacevlan-interfacevlan-id进入valnmanagement-vlanvlan-id定义管理vlan号resetiprouting-tablestatisticsprotocolall清除所有路由协议的路由信息.displaygarpstatisticsinterfaceGigabitEthernet1/0/1显示以太网端口上的garp统计信息displayvoicevlanstatus查看语音vlan状态〔h3c-GigabitEthernet1/0/1〕broadcast-suppression20允许接受的最大广播流量为该端口传输能力的20%.超出部分丢弃.〔h3c-GigabitEthernet1/0/1〕broadcast-suppressionpps1000每秒允许接受的最大广播数据包为1000传输能力的20%.超出部分丢弃.displayinterfaceGigabitEthernet1/0/1查看端口信息displaybriefinterfaceGigabitEthernet1/0/1查看端口简要配置信息displayloopback-detection用来测试环路测试是否开启displaytransceiver-informationinterfaceGigabitEthernet1/0/50显示光口相关信息duplexauto/full/half〔h3c〕interfaceGigabitEthernet1/0/1〔h3c-GigabitEthernet1/0/1〕dupluxauto设置端口双工属性为自协商portlink-typeaccess/hybrid/trunk默认为accessporttrunkpermitvlanall将trunk扣加入所有vlan中resetcountersinterfaceGigabitEthernet1/0/1清楚端口的统计信息speedauto10/100/1000displayport-security查看端口安全配置信息amuser-bindmac-addr00e0-fc00-5101ip-addr10.153.1.2interfaceGigabitEthernet1/0/1端口ip绑定displayarp显示arpdisplayamuser-bind显示端口绑定的配置信息displaymac-address显示交换机学习到的mac地址displaystp显示生成树状态与统计信息〔h3c-GigabitEthernet1/0/1〕stpinstance0cost200设置生成树实例0上路径开销为200stpcost设置当前端口在指定生成树实例上路径开销。instance-id为0-160表cist取值范围1-200000displaysystem-guardip-record显示防攻击记录信息.system-guardenable启用系统防攻击功能displayicmpstatisticsicmp流量统计displayipsocketdisplayipstatisticsdisplayaclallaclnumberacl-numbermatch-orderauto/configacl-number(2000-2999是基本acl3000-3999是高级acl为管理员预留的编号)ruledeny/permitprotocal访问控制〔h3c〕aclnumber3000〔h3c-acl-adv-3000〕rulepermittcpsource129.9.0.00.0.255.255destination202.38.160.00.0.255.255destination-porteq80(定义高级acl3000,允许129.0.0/16网段的主机向202.38.160/24网段主机访问端口80)rulepermitsource211.100.255.00.255.255.255ruledenycos3souce00de-bbef-adseffff-ffff-fffdest0011-4301-9912ffff-ffff-ffff(禁止mac地址00de-bbef-adse发送到mac地址0011-4301-9912且802.1p优先级为3的报文通过)displayqos-interfaceGigabitEthernet1/0/1traffic-limit查看端口上流量端口速率限制line-rateinbound/outboundtarget-rateinbound:对端口接收报文进行速率限制outbound:对端口发送报文进行速率限制target-rate对报文限制速率,单位kbps千兆口inbound范围1-1000000outbound范围20-1000000undoline-rate取消限速.〔h3c〕interfaceGigabitEthernet1/0/1〔h3c-GigabitEthernet1/0/1〕line-rateoutbound128限制出去速率为128kbpsdisplayarp|include77displayarpcount计算arp表的记录数displayndp显示交换机端口的详细配置信息。displayntdpdevice-listverbose收集设备详细信息displaylockdisplayusersdisplaycpudisplaymemorydisplayfandisplaydevicedisplaypower如何在交换机上获取与之直接相连的计算机的mac查看mac可用老命令行showmac,可查看对应端口上的mac新命令行dismacip地址在二层交换机上无法查得displaymac-address MACADDR VLANID STATE PORTINDEX AGINGTIME 000d-87db-de7d 512 Learned Ethernet0/1 AGING华3交换机端口汇聚配置交换机端口汇聚配置关于交换机端口汇聚的配置问题:端口汇聚配置『配置环境参数』1.交换机SwitchA和SwitchB通过以太网口实现互连。2.SwitchA用于互连的端口为e0/1和e0/2,SwitchB用于互连的端口为e0/1和e0/2。『组网需求』增加SwitchA的SwitchB的互连链路的带宽,并且能够实现链路备份,使用端口汇聚。2数据配置步骤『端口汇聚数据转发流程』如上图,如果在汇聚时配置的是ingress属性,假如PC1的数据包进入SwitchA,假如第一次去PINGPC2,那么第一次将是广播包,数据包将从汇聚端口的逻辑主端口送出,报文送达Switch2时,此时PC1的MAC也将对应学习到Switch2的逻辑主端口,此时PC2再进行回包主要看PC1的源MAC学习到哪个端口,就会通过哪个端口进行转发,所以ingress是根据流进行转发,如果流是单一的,那么该数据流也将一直走同一个端口,除非该端口故障。如果在汇聚时配置的是both属性,2个端口汇聚,如PC1的数据包进入SwitchA,假如第一次去PINGPC2,那么第一次将是广播包,数据包将从汇聚端口的逻辑主端口送出,报文送达Switch2时,此时PC1的MAC也将对应学习到Switch2的逻辑主端口,此时Switch2将根据自己的算法进行选路:将PC1的MAC(二进制)和PC2的MAC(二进制)的最后一位进行与*作,如果与出来的结果为0,将选择主端口;如果与出来的结果为1,将选择备份端口。也就是说如果对于一个单一的数据流(例如固定两台PC)那么它们的数据流将一直在固定某个端口进行转发。如果是三个或者四个端口进行汇聚,将PC1的MAC和PC2的MAC(二进制)的最后二位进行与*作,一共四种结果,如果与出来的结果为0,将选择主端口;如果与出来的结果为1,选择第一个备份端口,如果与出来的结果为0,再选择第二个备份端口,依此类推。如果是五个到八个端口进行汇聚,将PC1的MAC和PC2的MAC(二进制)的最后三位进行与*作,一共八种结果,再进行端口选择。汇聚端口越多,算法就越复杂。【SwitchA交换机配置】1.进入端口E0/1[SwitchA]interfaceEthernet0/12.汇聚端口必须工作在全双工模式[SwitchA-Ethernet0/1]duplexfull3.汇聚的端口速率要求相同,但不能是自适应[SwitchA-Ethernet0/1]speed1004.进入端口E0/2[SwitchA]interfaceEthernet0/25.汇聚端口必须工作在全双工模式[SwitchA-Ethernet0/2]duplexfull6.汇聚的端口速率要求相同,但不能是自适应[SwitchA-Ethernet0/2]speed1007.根据源和目的MAC进行端口选择汇聚[SwitchA]link-aggregationEthernet0/1toEthernet0/2both【SwitchA交换机配置】[SwitchB]interfaceEthernet0/1[SwitchB-Ethernet0/1]duplexfull[SwitchB-Ethernet0/1]speed100[SwitchB]interfaceEthernet0/2[SwitchB-Ethernet0/2]duplexfull[SwitchB-Ethernet0/2]speed100[SwitchB]link-aggregationEthernet0/1toEthernet0/2both【补充说明】1.同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access端口。2.不同的产品对端口汇聚时的起始端口号要求各有不同,请对照《*作手册》进行配置
浙公网安备 33021202002483