H3C三层交换机配置命令_第1页
H3C三层交换机配置命令_第2页
H3C三层交换机配置命令_第3页
H3C三层交换机配置命令_第4页
H3C三层交换机配置命令_第5页
已阅读5页,还剩25页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、H3C三层交换机配置命令技术教程 2010-03-01 16:16:53 阅读655 评论0   字号:大中小 订阅 一、write是cisco的H3C的保存配置的命令是save 查看保存的配置文件为dis save 查看当前运行的配置是dis cu清空配置为reset save 需要重启生效重启为reboot二、system-view:进入配置模式Quidwaydis cur                

2、;                        ;显示当前配置Quidwaydisplay current-configuration                  ;显示当前配置Quidway

3、display interfaces                             ;显示接口信息Quidwaydisplay vlan all              

4、;                 ;显示路由信息Quidwaydisplay version                             

5、;   ;显示版本信息Quidwaysuper password                                       ;修改特权用户密码Quidwaysysname 

6、                                      ;交换机命名Quidwayinterface ethernet 0/1       

7、                        ;进入接口视图Quidwayinterface vlan x                      

8、;         ;进入接口视图Quidway-Vlan-interfacexip address      ;配置VLAN的IP地址Quidwayip route-static             ;静态路由网关Quidwayrip   &

9、#160;                                              ;三层交换支持Quidwaylocal-user

10、 ftp               增加用户名 Quidwayuser-interface vty 0 4                             &#

11、160; ;进入虚拟终端S3026-ui-vty0-4authentication-mode password                 ;设置口令模式S3026-ui-vty0-4set authentication-mode password simple 222  ;设置口令S3026-ui-vty0-4user privilege level 3     

12、0;                 ;用户级别说明:必须要配置虚拟终端用户名、密码等相关信息,否则将无法通过RJ45端口telnet到交换机。<Sysname> system-viewSysname local-user adminSysname-luser-admin service-type telnet level 3Sysname-luser-admin password simple admin说明:以上命令用于

13、设置web管理页面的登录用户名和密码,必须要设置上述信息,否则将无法登录到web配置页面。Quidwayinterface ethernet 0/1                               ;进入端口模式Quidwayint e0/1    

14、;                                         ;进入端口模式Quidway-Ethernet0/1duplex half|full|auto  

15、;                ;配置端口工作状态Quidway-Ethernet0/1speed 10|100|auto                  ;配置端口工作速率Quidway-Ethernet0/1flow-control   &#

16、160;                    ;配置端口流控Quidway-Ethernet0/1mdi across|auto|normal                 ;配置端口平接扭接Quidway-Ethernet0/1port lin

17、k-type trunk|access|hybrid     ;设置端口工作模式Quidway-Ethernet0/1port access vlan 3                  ;当前端口加入到VLANQuidway-Ethernet0/2port trunk permit vlan ID|All      

18、0; ;设trunk允许的VLANQuidway-Ethernet0/3port trunk pvid vlan 3          ;设置trunk端口的PVIDQuidway-Ethernet0/1undo shutdown                       ;激活端口Qu

19、idway-Ethernet0/1shutdown                               ;关闭端口Quidway-Ethernet0/1quit           

20、                    ;返回Quidwayvlan 3                            &

21、#160;            ;创建VLANQuidway-vlan3port ethernet 0/1                 ;在VLAN中增加端口Quidway-vlan3port e0/1          &

22、#160;                      ;简写方式Quidway-vlan3port ethernet 0/1 to ethernet 0/4         ;在VLAN中增加端口Quidway-vlan3port e0/1 to e0/4    

23、60;                    ;简写方式Quidwaymonitor-port <interface_type interface_num>         ;指定镜像端口Quidwayport mirror <interface_type interface_num> 

24、0;       ;指定被镜像端口Quidwayport mirror int_list observing-port int_type int_num ;指定镜像和被镜像Quidwaydescription string                          

25、60;   ;指定VLAN描述字符Quidwaydescription                                   ;删除VLAN描述字符Quidwaydisplay vlan vlan_id  

26、                             ;查看VLAN设置Quidwaystp enable|disable                &

27、#160;                ;设置生成树,默认关闭Quidwaystp priority 4096                            &

28、#160;  ;设置交换机的优先级Quidwaystp root primary|secondary                    ;设置为根或根的备份Quidway-Ethernet0/1stp cost 200               

29、;         ;设置交换机端口的花费Quidwaylink-aggregation e0/1 to e0/4 ingress|both           ; 端口的聚合Quidwayundo link-aggregation e0/1|all              &

30、#160;        ;  始端口为通道号SwitchA-vlanxisolate-user-vlan enable                  ;设置主vlanSwitchAisolate-user-vlan <x> secondary <list>     &#

31、160;    ;设置主vlan包括的子vlanQuidway-Ethernet0/2port hybrid pvid vlan <id>          ;设置vlan的pvidQuidway-Ethernet0/2port hybrid pvid                  

32、  ;删除vlan的pvidQuidway-Ethernet0/2port hybrid vlan vlan_id_list untagged  ;设置无标识的vlan如果包的vlan id与PVId一致,则去掉vlan信息. 默认PVID=1。所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged. 配置基本ACL 2000,禁止源IP地址为的报文通过。<Sysname> system-viewSysname acl number 2000Sysname-acl-basic-2000 rule deny sour

33、ce 0# 显示基本ACL 2000的配置信息。Sysname-acl-basic-2000 display acl 2000Basic ACL 2000, 1 ruleAcl's step is 1 rule 0 deny source 0 # 配置高级ACL 3000,允许从/16网段的主机向/24网段的主机发送的端口号为80的TCP报文通过。<Sysname> system-viewSysname acl number 3000Sysname-acl-adv-3000 rule

34、permit tcp source 55 destination 55 destination-port eq 80在端口Ethernet 1/0/1的入方向上应用ACL 2000进行包过滤。<Sysname> system-viewSysname interface Ethernet 1/0/1Sysname-Ethernet1/0/1 packet-filter inbound ip-group 2000# 在VLAN 1的入方向上应用ACL 2000进行包过滤。<Sysname> sys

35、tem-viewSysname packet-filter vlan 1 inbound ip-group 2000说明:acl 的in和out 说明一 :in和out是相对交换机而言的,凡是数据从外部设备(如PC)进入交换机,则该方向为in;凡是数据从交换机转发到外部设备(如PC),则该方向为out。 说明二:in和out是相对的,比如:A(s0)-(s0)B(s1)-(s1)C假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)现在要拒绝小偷

36、从A进来,那么你在你家客厅做个设置,就有2种办法:1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理) 说明三:1、交换机、路由器上:针对某个vlan接口应用acl的方向问题,大家可以看看acl的源和目标地址段。假设要为vlan A

37、配置acl,当源地址段为vlan A的ip段时,acl就是用in;当目的地址段为vlanA的ip段时,acl就是用out方向。反正有一点需要注意,应用在vlan的ACL为out方向时,其目的地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话是匹配不上的;应用在vlan的ACL为in方向时,其源地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话同样是匹配不上的。要为vlan 配acl时,可以把vlan看成是一个普通接口。2、防火墙上:从安全级别低的访问高的叫in从安全级别高的访问低的叫ou三、加密改密:<

38、;h3c>system-viewh3clocal-user admin /用户名h3c-user-adminpassword cipher admin /密码,显示的时候就变成密文的了。 h3c-user-adminquith3cquit<h3c>save 保存四、1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、 language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、 port l

39、ink-type Access|Trunk|Hybrid 设置端口访问模式7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器1、system-view 进入系统视图模式2、sys

40、name R1 为设备命名为R13、display ip routing-table 显示当前路由表4、 language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、 ip address 配置IP地址和子网掩码7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、 ip route-static descripti

41、on To.R2 配置静态路由11、 ip route-static description To.R2 配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router1、调整超级终端的显示字号;2、捕获超级终端操作命令行,以备日后查对;3、 language-mode Chinese|English 中英文切换;4、复制命令到超级终端命令行, 粘贴到主机;5、交换机清除配置 :<H3C>reset save ;<H3C>reboot ;6、路由器、交换机配

42、置时不能掉电,连通测试前一定要检查网络的连通性,不要犯最低级的错误。7、/24 等同 ;在配置交换机和路由器时, 可以写成: 248、设备命名规则:地名-设备名-系列号例:PingGu-R-S3600H3C华为交换机端口绑定基本配置2008-01-22 13:401,端口 MACa)AM命令使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。例如:SwitchAam user-bind mac-address 00e0-fc22

43、-f8d3 interface Ethernet 0/1配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。b)mac-address命令使用mac-address static命令,来完成MAC地址与端口之间的绑定。例如:SwitchAmac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1SwitchAmac-address max-mac-count 0配置说明:由于使用了端口学习功能,故静态

44、绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。2,IP MACa)AM命令使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。例如:SwitchAam user-bind ip-address mac-address 00e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF

45、、S5012T/G、S5024Gb)arp命令使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定。例如:SwitchAarp static 00e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。3,端口 IP MAC使用特殊的AM User-bind命令,来完成IP、MAC地址与端口之间的绑定。例如:SwitchAam user-bind ip-address mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明:可以完成将PC1的IP地址、MA

46、C地址与端口E0/1之间的绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许 PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。S2016-E1-Ethernet0/1mac-address max-mac-count 0;进入到端口,用命令mac max-mac-count 0(端口mac学习数设为0)S2016-E1mac static 0000-9999-8888 int e0/1 vlan 10;将0000-9999-8888绑定到e0/1端口上,此时只有绑定mac的pc可以通过此口上网

47、,同时E0/1属于vlan 10就这样,ok了,不过上面两个命令顺序不能弄反,除非端口下没有接pcdis vlan 显示vlanname text 指定当前vlan的名称undo name 取消h3c vlan 2h3c-vlan2name test vlandis users 显示用户dis startup 显示启动配置文件的信息dis user-interface 显示用户界面的相关信息dis web users 显示web用户的相关信息。header login 配置登陆验证是显示信息header shellundo headerlock 锁住当前用户界面acl 访问控制列表 acl n

48、umber inbound/outboundh3cuser-interface vty 0 4h3c-vty0-4 acl 2000 inboundshutdown:关闭vlan接口undo shutdown 打开vlan接口关闭vlan1 接口h3c interface vlan-interface 1h3c-vlan-interface shutdownvlan vlan-id 定义vlanundo valn vlan-iddisplay ip routing-tabledisplay ip routing-table protocol staticdisplay ip routing-t

49、able statisticsdisplay ip routing-table verbose 查看路由表的全部详细信息interface vlan-interface vlan-id 进入valnmanagement-vlan vlan-id 定义管理vlan号reset ip routing-table statistics protocol all 清除所有路由协议的路由信息.display garp statistics interface GigabitEthernet 1/0/1 显示以太网端口上的garp统计信息display voice vlan status 查看语音vlan

50、状态h3c-GigabitEthernet1/0/1 broadcast-suppression 20 允许接受的最大广播流量为该端口传输能力的20%.超出部分丢弃.h3c-GigabitEthernet1/0/1 broadcast-suppression pps 1000 每秒允许接受的最大广播数据包为1000传输能力的20%.超出部分丢弃.display interface GigabitEthernet1/0/1 查看端口信息display brief interface GigabitEthernet1/0/1 查看端口简要配置信息display loopback-detection

51、 用来测试环路测试是否开启display transceiver-information interface GigabitEthernet1/0/50 显示光口相关信息duplex auto/full/halfh3cinterface GigabitEthernet1/0/1h3c-GigabitEthernet1/0/1duplux auto 设置端口双工属性为自协商port link-type access/hybrid/trunk 默认为accessport trunk permit vlan all 将trunk扣加入所有vlan中reset counters interface G

52、igabitEthernet1/0/1 清楚端口的统计信息speed auto 10/100/1000display port-security 查看端口安全配置信息am user-bind mac-addr 00e0-fc00-5101 ip-addr interface GigabitEthernet1/0/1 端口ip绑定display arp 显示arpdisplay am user-bind 显示端口绑定的配置信息display mac-address 显示交换机学习到的mac地址display stp 显示生成树状态与统计信息h3c-GigabitEthern

53、et1/0/1stp instance 0 cost 200 设置生成树实例0上路径开销为200stp cost 设置当前端口在指定生成树实例上路径开销。instance-id 为0-16 0表cist 取值范围1-200000<h3c> display system-guard ip-record 显示防攻击记录信息.system-guard enable 启用系统防攻击功能display icmp statistics icmp流量统计display ip socketdisplay ip statisticsdisplay acl allacl number acl-numb

54、er match-order auto/configacl-number (2000-2999 是基本acl 3000-3999是高级acl为管理员预留的编号)rule deny/permit protocal访问控制h3c acl number 3000h3c-acl-adv-3000rule permit tcp source 55 destination 55 destination-port eq 80 (定义高级acl 3000,允许129.0.0/16网段的主机向202.38.160/24网段主机访问

55、端口80)rule permit source 55rule deny cos 3 souce 00de-bbef-adse ffff-ffff-fff dest 0011-4301-9912 ffff-ffff-ffff(禁止mac地址00de-bbef-adse发送到mac地址0011-4301-9912且802.1p优先级为3的报文通过)display qos-interface GigabitEthernet1/0/1 traffic-limit 查看端口上流量端口速率限制line-rate inbound/outbound targe

56、t-rateinbound:对端口接收报文进行速率限制outbound: 对端口发送报文进行速率限制target-rate 对报文限制速率,单位kbps 千兆口 inbound范围1-1000000 outbound范围20-1000000undo line-rate取消限速.h3cinterface GigabitEthernet1/0/1h3c-GigabitEthernet1/0/1line-rate outbound 128 限制出去速率为128kbpsdisplay arp | include 77display arp count 计算arp表的记录数display ndp 显示交

57、换机端口的详细配置信息。display ntdp device-list verbose 收集设备详细信息display lockdisplay usersdisplay cpudisplay memorydisplay fandisplay devicedisplay power 如何在交换机上获取与之直接相连的计算机的mac查看mac可用老命令行show mac,可查看对应端口上的mac新命令行dis macip地址在二层交换机上无法查得 display mac-address                                                  MAC ADDR        VLAN ID  

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论