H3C交换机基本配置命令.doc

H3C交换机基本配置核心交换机作为公司核心网络的主要中枢，合理的配置1. 认证方式为Scheme时的Telnet登录配置dis cu查看当前配置h3ctelnetserverenable /启动Telnet服务h3clocal-userwinda /创建本地用户windah3c-luser-windapasswordcipher123456 /为本地用户winda创建密文显示的密码h3c-luser-windaservice-typetelnet /定义该用户的服务类型为telneth3c-luser-windaauthorization-attributelevel3 /定义该用户的特权级别h3c-luser-windaquit /退出用户配置模式h3cuser-interfacevty04 /设置虚拟用户端口h3c-ui-vty0-4authentication-modescheme /设定远程登录用户的登录方式使用用户名和密码h3c-ui-vty0-4userprivilegelevel3 /设置远程登录用户登录后的最高级别2. 以太网端口的基本配置（1）二层以太网端口中，包括三种类型：Access、Trunk、HybridInterface Ethernet 1/0/1 /进入以太网端口视图port link-type access /access端口：只能属于一个VLANport link-type trunk /trunk端口：属于多个VLAN，只允许默认VLAN的报文发送时不携带VLAN标签port link-type hybrid /hybrid端口：属于多个VLAN，可以允许多个VLAN的报文发送时不携带VLAN标签description text /设置以太网端口的描述字符串，用来表示该端口duplex auto |full |half /设置以太网端口的双工模式speed10 |100 |1000 |10000 | auto /设置以太网端口的速率（2）以太网端口环回监测功能配置loopback-detection enable /开启环回监测功能（3）端口组配置（手工端口组）S3610、S5120、S5800系列：port-group manual port-group-name /创建手工端口组，并进入手工端口组视图S5510-EI系列：port-group group-idS3610、S5120、S5800系列：group-member interface-list /添加二层以太网端口到指定手工端口组中S5510-EI系列：port interface-list（4）手工端口汇聚组配置link-aggregation group agg-id mode manual /创建手工汇聚组link-aggregation group agg-id description agg-name /配置汇聚组描述符port link-aggregation group agg-id /将以太网端口加入到指定的汇聚组（5）端口绑定配置am user-bind mac-addr mac-address |ip-addr ip-address* interface-list /将合法用户的MAC地址和IP地址绑定到指定的端口上（6）三层接口IP地址配置interface vlan-interface vlan-idip address ip-address mask |mask-length sub3. VLAN的基本配置（1） VLAN的创建vlan vlan-id /创建VLAN（2） 基于端口VLAN配置Access端口：port link-type access /(可选)默认情况下，端口的链路类型为access类型port access vlan vlan-id /将当前access端口加入到指定vlanTrunk端口：port link-type trunk /配置端口的链路类型为trunk类型port trunk permit vlan vlan-id-list | all /将以上trunk端口加入到指定一个或多个VLANport trunk pvid vlan vlan-id /（可选）设置以上trunk端口的默认VLANHybrid端口：port link-type hybrid /配置端口的链路类型为hybrid类型port hybrid vlan vlan-id-list tagged |untagged /将以上hybrid端口加入到指定的一个或多个VLAN中port hybrid pvid vlan vlan-id /（可选）设置以上hybrid端口的默认VLAN4. 端口镜像配置（1） 本地端口镜像配置mirroring-group group-id local /未镜像组配置源端口，创建本地镜像组l mirroring-group group-id mirroring-port mirroring-port-list both |inbound |outbound /在系统视图下配置指定端口为本地镜像组的源端口l interface interface-type interface-numbermirroring-group group-id mirroring-port both |inbound |outbound/在接口视图下配置指定端口为本地镜像组的源端口mirroring-group group-id mirroring-vlan mirroring-vlan-list both | inbound |outbound/为本地镜像组配置源vlan，一个镜像组内可以配置多个源vlanl mirroring-group group-id monitor-port monitor-port-id /在系统视图下配置指定端口为本地镜像组的目的端口l interface interface-type interface-numbermirroring-group group-id monitor-port/在接口视图下配置指定端口为本地镜像组的目的端口（2） 二层远程端口镜像配置a.反射端口方式b.出端口方式1) 低端H3C交换机远程端口镜像的配置，如S3100、S5510、S5600：u 充当源交换机时的配置remote-probe vlan enable /将当前VLAN配置为远程镜像VLANmirroring stp-collaboration /（可选）开启端口镜像与STP联动功能，开启该功能后，设备将通过监测端口的STP状态来自动控制该端口上的镜像功能是否生效。mirroring-group group-id remote-source /创建远程源镜像组mirroring-group group-id mirroring-port mirroring-port-list both |inbound |outbound /配置远程端口镜像源端口mirroring-group group-id reflector-port reflector-port /为远程镜像组配置反射端口mirroring-group group-id remote-probe vlan remote-probe-vlan-id/为指定远程源镜像组配置远程镜像VLANu 充当中间交换机时的配置remote-probe vlan enable /定义当前VLAN配置为远程镜像VLANu 充当目的交换机的配置remote-probe vlan enable /定义当前VLAN配置为远程镜像VLANmirroring-group group-id remote-destination /配置远程目的镜像组mirroring-group group-id monitor-port monitor-port /为远程目的镜像组配置目的端口mirroring-group group-id remote-probe vlan remote-probe-vlan-id/为远程镜像组配置远程镜像VLAN2) 中高端H3C交换机二层远程端口镜像的配置 远程源镜像组配置：mirroring-group group-id remote-source /创建远程源镜像组l mirroring-group group-id mirroring-port mirroring-port-list both |inbound |outbound /系统视图下配置指定端口为远程源镜像组源端口l interface interface-type interface-numbermirroring-group group-id mirroring-port both |inbound |outbound /接口视图下配置指定端口为远程源镜像组源端口mirroring-group group-id mirroring-vlan mirroring-vlan-list both | inbound | outbound/为远程源镜像组配置源VLANl mirroring-group group-id monitor-egress monitor-egress-port-id /系统视图下配置指定端口为远程源镜像组的出端口l interface interface-type interface-numbermirroring-group group-id monitor-egress /接口视图下配置指定端口为远程源镜像组的出端口l mirroring-group group-id reflector-port reflector-port /系统视图下配置指定端口为远程源镜像组的反射端口l interface interface-type interface-numbermirroring-group group-id reflector-port /接口视图下配置指定端口为远程源镜像组的反射端口mirroring-group group-id remote-probe vlan remote-probe-vlan-id/为远程源镜像组配置远程镜像VLAN 远程目的镜像组配置mirroring-group group-id remote-destination /配置远程目的镜像组l mirroring-group group-id monitor-port monitor-port-id /系统视图下配置指定端口为远程目的镜像组的目的端口l interface interface-type interface-numbermirroring-group group-id monitor-port /接口视图下配置指定端口为远程目的镜像组的目的端口mirroring-group group-id remote-probe vlan remote-probe-vlan-id/为远程目的镜像组配置远程镜像VLAN（3） 三层远程端口镜像配置1) GRE隧道的配置interface tunnel interface-number /创建一个Tunnel接口，并进入该视图ip address ip-address mask | mask-length /设置Tunnel接口的IPV4地址tunnel-protocol gre /配置隧道模式为GRE隧道模式source ip-address | interface-type interface-number /设置Tunnel接口的源端地址或接口destination ip-address /设置Tunnel接口的目的端地址2) 三层远程端口镜像配置mirroring-group group-id local /创建本地镜像组l mirroring-group group-id mirroring-port mirroring-port-list both |inbound |outbound /系统视图下为本地镜像组配置源端口l interface interface-type interface-numbermirroring-group group-id mirroring-port both |inbound |outbound /接口视图下为本地镜像组配置源端口mirroring-group group-id mirroring-cpu slot slot-number-list both | inbound |outbound/（仅S58系列支持）在系统视图下为本地镜像组配置源CPUl mirroring-group group-id monitor-port monitor-port-id /系统视图下为本地镜像组配置目的端口l interface interface-type interface-numbermirroring-group group-id monitor-port /接口视图下为本地镜像组配置目的端口5. DHCP基本配置举例常见的DHCP组网方式可分为两类：一种是DHCP服务器和客户端都在一个子网内，直接进行DHCP协议的交互；第二种是DHCP服务器和客户端分别处于不同的子网中，必须通过DHCP中继代理实现IP地址的分配。（1）DHCP地址池的配置示例一：DHCP服务器为同一网段中的客户端动态分配IP地址，地址池网段/24分为两个网段：/25和28/25。DHCP服务器两个Ethernet接口地址分别为/25和29/25。网段/25内的地址租用期限为10天12小时，域名为，DNS地址为，无NetBIOS地址，出口路由器地址为26；网段28/25网段内的地址租用期限为5天，DNS地址为，NetBIOS地址为，出口路由器的地址为54。#启动DHCP服务dhcpenable#配置接口工作在DHCP服务器模式下，并从全局地址池中分配IP地址。dhcpselectglobalinterfaceethernet0/0/0toethernet0/0/1#配置不参与自动分配的IP地址（DNS、NetBIOS和出口网关地址）。dhcpserverforbidden-ipdhcpserverforbidden-ipdhcpserverforbidden-ip26dhcpserverforbidden-ip54#配置DHCP地址池0的共有属性（地址池范围、DNS地址）。dhcpserverip-pool0network mask dns-list#配置DHCP地址池1的属性（地址池范围、出口网关、地址租用期限）。gateway-list26expiredday10hour12#配置DHCP地址池2的属性（地址池范围、出口网关、NetBIOS地址、地址租用期限）。dhcpserverip-pool2network28mask28expiredday5nbns-listgateway-list54（2） DHCP中继配置dhcp enabledhcp relay server-group group-id ip ip-addressinterface Vlan-interface vlan-idip address ip-address mask |mask-length subdhcp select relaydhcp relay server-select group-id 6. SNMP配置snmp-agent sys-info contact /设置管理员的标识及联系方法，请把替换为你要设置成的值，下同。这个值初始是HuaWei BeiJing China，用指令display current-configuration可以在当前执行的配置的靠末尾看到该项。snmp-agent sys-info location /设置交换机的位置信息，这项初始没有设置。snmp-agent community read public/设置一个华为交换机snmp Community，使用该Community连接交换机时，只可以读取其华为交换机snmp信息。你可以把指令中的public换成你想要的字符串。snmp-agent community write private/设置一个华为交换机snmp Community，使用该Community连接交换机时，不仅可以读取其华为交换机snmp信息，还可以将值写入华为交换机snmp的MIB对象，实现对设备进行配置。你可以把指令中的private换成你想要的字符串。snmp-agent sys-info version all/设置交换机支持的华为交换机snmp协议，有v1,v2c,v3这3个版本，如果你不确定，最好设为all，将会同时支持这3个协议。在S3050C-0025上初始是只支持v3版本的，如果你没有正确设定它，mibbrower等一些读取软件可能会无法读取信息。7. ACL配置基本ACL：编号范围：20002999高级ACL：编号范围：30003999二层ACL：编号范围：40004999（1） 基本ACL配置acl number acl-number name acl-namematch-order auto | config /创建基本ACL并进入基本ACL视图description text /（可选）定义ACL的描述信息step step-value /（可选）定义ACL规则编号步长rule rule-iddeny | permit counting |fragment |logging |source sour-addr sour-wildcard | any | time-range time-range-name |vpn-instance vpn-instance-name*/为以上IPV4基本ACL创建一条规则rule rule-id comment text /（可选）为指定的规则配置描述信息hardware-count enable /（可选）开启基于硬件应用的ACL统计功能（2） 高级ACL配置acl number acl-number name acl-namematch-order auto | config /创建IPV4高级ACL并进入高级ACL视图description text /（可选）定义ACL的描述信息step step-value /（可选）定义ACL规则编号步长rule rule-iddeny | permit protocol ack ack-value |fin fin-value |psh psh-value |rst rst-value |syn syn-value |urg urg-value * |established |counting |destination dest-addr dest-wildcard |any |destination-port operator port1port2 | dscp dscp |fragment |icmp-type icmp-type icmp-code |icmp-message | logging | precedence precedence |reflective |source sour-addr sour-wildcard | any |source-port |operator port1port2 |time-range time-range-name |tos tos |vpn-instance vpn-instance-name*/为以上IPV4高级ACL创建一条规则rule rule-id comment text /（可选）为指定的规则配置描述信息hardware-count enable /（可选）开启基于硬件应用的ACL统计功能（3） 二层ACL配置acl number acl-number name acl-namematch-order auto | config /创建二层ACL并进入二层ACL视图description text /（可选）定义ACL的描述信息step step-value /（可选）定义ACL规则编号步长rule rule-iddeny | permit cos vlan-pri |counting |dest-mac dest-addr dest-mask |lsap lsap-type lsap-type-mask |type protocol-type protocol-type-mask |source-mac sour-addr source-mask |time-range time-range-name */定义二层ACL规则rule rule-id comment text /（可选）为指定的规则配置描述信息hardware-count enable /（可选）开启基于硬件应用的ACL统计功能（4） ACL应用配置acl copy source-acl-number |name source-acl-name to dest-acl-number |name dest-acl-name/ACL复制packet-filter vlan vlan-id inbound acl-rule/（可选）在指定VLAN中应用ACL，对VLAN中的所有端口上接收到的数据包进行过滤8. QoS配置（1） 定义流分类和匹配规则；（2） 定义流行为；（3） 定义QoS策略，并将流分类和流行为绑定在一起；（4） 应用QoS策略。l 定义流分类traffic classifier tcl-name operator and |or /定义一个流分类，并进入类视图if-match match-criteria /定义对应流分类的匹配规则l 定义流行为traffic behavior behavior-name /定义流行为，并进入流行为视图l 定义QoS策略qos policy policy-name /定义策略并进入视图classifier tcl-name behavior behavior-name mode dcbx |dot1q-tag-manipulation/在策略中为类指定采用的流行为l 应用QoS策略1) 基于全局应用QoS策略qos apply policy policy-name global inbound |outbound2) 基于端口应用QoS策略qos apply policy policy-name inbound |outbound3) 基于在线用户应用QoS策略user-profile profile-name /创建User Profile并进入相应的user-profile视图qos apply policy policy-name inbound |outbound /在对应的在线用户上应用指定关联的QoS策略user-profile profile-name enable /激活User profile4) 基于VLAN应用QoS策略qos vlan-policy policy-name vlan vlan-id-list inbound |outbound5) 基于控制平面应用QoS策略control-plane slot slot-number /进入控制平面视图qos apply policy policy-name inbound /在控制平面入方向上应用指定的QoS策略9. IRF配置（1）Fabric端口配置fabric-port interface-type interface-number enable /在系统视图下开启Fabric端口interface interface-type interface-numberport link-type irf-fabric /在对应以太网端口视图下将对应以太网端口配置为Fabric端口（2） UnitID配置change self-unit to unit-id | auto-numbering /系统视图下配置本地交换机的UnitID1) 更改当前交换机的UnitIDchange unit-id to unit-id | auto-numbering2) 修改堆叠中其他交换机的UnitIDchange unit-id unit-id1 to unit-id2 | auto-numbering3) 保存或取消设置更改fabric save-unit-id10. IRF2配置（1） IRF基本配置irf domain domain-id /IRF域编号配置irf member member-id renumber new-member-id /IRF2成员编号配置（2） IRF2端口配置irf-port member-id/port-number /创建IRF2逻辑端口，进入IRF2逻辑端口视图 port group interface interface-type interface-number mode enhanced |normal /将IRF2逻辑端口和IRF2物理端口绑定irf-port-configuration active /激活设备中所有IRF2逻辑端口下的配置（3） IRF2成员优先级配置irf member member-id priority priority（4） IRF2成员设备描述信息配置irf member member-id description text（5） IRF2链路负载分担类型配置irf-port load-sharing mode destination-ip |destination-mac |source-ip |source-mac*（6） IRF2的桥MAC保留时间配置irf mac-address persistent timer |always（7） 启用IRF2系统启动文件的自动加载功能irf auto-update enable（8） IRF2链路down延迟上报功能配置irf link-delay interval（9） IRF2 MAD配置IRF2支持多IRF2的三种MAD检测方式：LACP MAD检测、BFD MAD检测、ARP MAD检测。1 LACP MAD检测配置interface bridge-aggregation interface-number /创建二层聚合接口和二层聚合组，并进入二层聚合端口视图link-aggregation mode dynamic/配置以上聚合组工作在动态聚合模式下mad enable /在以上静态聚合组中启用LACP MAD检测功能interface interface-type interface-numberport link-aggregation group number /将以上二层以太网端口加入到指定的聚合组2 BFD MAD检测interface vlan-interface interface-numbermad bfd enable /在以上VLAN接口上启用BFD MAD检测功能mad ip address ip-address mask |mask-length member member-id/为指定成员设备的以上VLAN接口配置MAD IP地址3 ARP MAD检测interface vlan-interface interface-numberip address ip-address mask |mask-lengthmad arp enable /在以上VLAN接口上启用ARP MAD检测功能11. ARP配置arp static ip-address mac-address vlan-id interface-type interface-number/手工添加静态ARP表项，相当于IP与MAC地址的静态绑定arp timer aging aging-time /配置动态ARP表项的老化时间arp check enable /开启ARP表项的检查功能display arp dynamic |static | ip-address /显示当前交换机上的ARP表项display arp dynamic |staic |begin |include |exclude regular-expression /查看包含指定内容的ARP映射表display arp count dynamic |static|begin |include |exclude regular-expression | ip-address /查看指定类型的ARP表项的数目display arp count detection statistics interface interface-type interface-number /查看指定端口被丢弃掉的不可信任的ARP报文的数量display arp timer aging /查看动态ARP老化定时器的时间reset arp dynamic |static |interface interface-type interface-number /消除ARP表项interface vlan-interface vlan-idarp max-learning-num number /在VLAN接口视图下配置允许学习的动态ARP表项的最大数目arp anti-attack valid-check enable /系统视图下开启对ARP报文源MAC地址一致性检查功能#ARP入侵检测功能配置：dhcp-snooping /全局开启交换机DHCP Snooping功能ip source static import dot1x /全局开启基于802.1x认证用户的ARP入侵检测功能interface interface-type interface-numberdhcp-snooping trust /配置DHCP Snooping的信任端口arp detection trust /设置当前端口为ARP信任端口vlan vlan-id /进入VLAN视图arp detection enable /开启指定VLAN内所有端口的ARP入侵检测功能arp restricted-forwarding enable /在对应VLAN内开启ARP严格转发功能 #ARP报文限速功能配置：interface interface-type interface-numberarp rate-limit enable /开启以上端口的ARP报文限速功能arp rate-limit rate /配置允许通过的ARP报文的最大速率arp protective-down recover enable /全局开启交换机上的端口状态自动恢复功能arp protective-down recover interval interval/全局设置端口状态由关闭恢复为开启的时间间隔#ARP代理配置：interface Vlan-interface vlan-idarp proxy enable /开启普通代理ARP功能local-proxy-arp enable ip-range startIP to endIP /开启本地代理ARP功能display arp proxy interface vlan-interface vlan-id /显示普通代理ARP和本地代理ARP的状态12. 集群配置（1） NDP的启用及参数配置ndp enable /启用NDP用于收集邻接设备信息ndp timer aging aging-in-seconds /指定接收设备应该保持本设备发送的NDP报文时间ndp timer hello seconds /修改NDP信息的更新频率（2） NTDP的启用及参数配置ntdp e