H3C三层交换机配置命令

1、h3c三层交换机配置命令 h3c 三层交换机配置命令 技术教程 2021-03-01 16:16:53 655 评论 0 字号：大中小 订阅 一、write 是 cisco 的 h3c 的保存配置的命令是 save 查看保存的配置文件为 dis save 查看当前运行的配置是 dis cu 清空配置为 reset save 需要重启生效 重启为 reboot 二、system-view：进入配置模式 quidwaydis cur ；显示当前配置 quidwaydisplay current-configuration ；显示当前配置 quidwaydisplay interfaces ；显示接

2、口信息 quidwaydisplay vlan all ；显示路由信息 quidwaydisplay version ；显示版本信息 quidwaysuper password ；修改特权用户密码 quidwaysysname ；交换机命名 quidwayinterface ethernet 0/1 ；进入接口视图 quidwayinterface vlan x ；进入接口视图 quidway-vlan-interfacexip address ；配置 vlan 的 ip 地址 quidwayip route-static 0.0.0

3、.0 ；静态路由网关 quidwayrip ；三层交换支持 quidwaylocal-user ftp 增加用户名 quidwayuser-interface vty 0 4 ；进入虚拟终端 s3026-ui-vty0-4authentication-mode password ；设置口令模式 s3026-ui-vty0-4set authentication-mode password simple 222 ；设置口令 s3026-ui-vty0-4user privilege level 3 ；用户级别 说明：必须要配置虚拟终端用户名、密码等相关信息，否则将无法通过 r

4、j45 端口 telnet 到交换机。 sysname system-view sysname local-user admin sysname-luser-admin service-type telnet level 3 sysname-luser-admin password simple admin 说明：以上命令用于设置 web 管理页面的登录用户名和密码，必须要设置上述信息，否则将无法登录到web 配置页面。 quidwayinterface ethernet 0/1 ；进入端口模式 quidwayint e0/1 ；进入端口模式 quidway-ethernet0/1duplex

5、 half|full|auto ；配置端口工作状态 quidway-ethernet0/1speed 10|100|auto ；配置端口工作速率 quidway-ethernet0/1flow-control ；配置端口流控 quidway-ethernet0/1mdi across|auto|normal ；配置端口平接扭接 quidway-ethernet0/1port link-type trunk|access|hybrid ；设置端口工作模式 quidway-ethernet0/1port access vlan 3 ；当前端口加入到 vlan quidway-ethernet0/2

6、port trunk permit vlan id|all ；设 trunk 允许的 vlan quidway-ethernet0/3port trunk pvid vlan 3 ；设置 trunk 端口的 pvid quidway-ethernet0/1undo shutdown ；激活端口 quidway-ethernet0/1shutdown ；关闭端口 quidway-ethernet0/1quit ；返回 quidwayvlan 3 ；创建 vlan quidway-vlan3port ethernet 0/1 ；在 vlan 中增加端口 quidway-vlan3port e0/1

7、 ；简写方式 quidway-vlan3port ethernet 0/1 to ethernet 0/4 ；在 vlan 中增加端口 quidway-vlan3port e0/1 to e0/4 ；简写方式 quidwaymonitor-port interface_type interface_num ；指定镜像端口 quidwayport mirror interface_type interface_num ；指定被镜像端口 quidwayport mirror int_list observing-port int_type int_num ；指定镜像和被镜像 quidwaydesc

8、ription string ；指定 vlan 描述字符 quidwaydescription ；删除 vlan 描述字符 quidwaydisplay vlan vlan_id ；查看 vlan 设置 quidwaystp enable|disable ；设置生成树,默认关闭 quidwaystp priority 4096 ；设置交换机的优先级 quidwaystp root primary|secondary ；设置为根或根的备份 quidway-ethernet0/1stp cost 200 ；设置交换机端口的花费 quidwaylink-aggregation e0/1 to e0/

9、4 ingress|both ; 端口的聚合 quidwayundo link-aggregation e0/1|all ; 始端口为通道号 switcha-vlanxisolate-user-vlan enable ；设置主 vlan switchaisolate-user-vlan x secondary list ；设置主 vlan 包括的子 vlan quidway-ethernet0/2port hybrid pvid vlan id ；设置 vlan 的 pvid quidway-ethernet0/2port hybrid pvid ；删除 vlan 的 pvid quidway

10、-ethernet0/2port hybrid vlan vlan_id_list unged ；设置无标识的 vlan 如果包的 vlan id 与 pvid 一致，则去掉 vlan 信息. 默认 pvid=1。 所以设置 pvid 为所属 vlan id, 设置可以互通的 vlan 为 unged. 配置基本 acl 2021，禁止源 ip 地址为 的报文通过。 sysname system-view sysname acl number 2021 sysname-acl-basic-2021 rule deny source 0 # 显示基

11、本 acl 2021 的配置信息。 sysname-acl-basic-2021 display acl 2021 basic acl 2021, 1 rule acl"s step is 1 rule 0 deny source 0 # 配置高级 acl 3000，允许从 /16 网段的主机向 /24 网段的主机发送的端口号为 80 的 tcp 报文通过。 sysname system-view sysname acl number 3000 sysname-acl-adv-3000 rule permit tcp

12、source 55 destination 55 destination-port eq 80 在端口 ethernet 1/0/1 的入方向上应用 acl 2021 进行包过滤。 sysname system-view sysname interface ethernet 1/0/1 sysname-ethernet1/0/1 packet-filter inbound ip-group 2021 # 在 vlan 1 的入方向上应用 acl 2021 进行包过滤。 sysname system-view sysn

13、ame packet-filter vlan 1 inbound ip-group 2021 说明：acl 的 in 和 out 说明一 ：in 和 out 是相对交换机而言的，凡是数据从外部设备（如 pc）进入交换机，则该方向为 in；凡是数据从交换机转发到外部设备（如 pc），则该方向为 out。 说明二：in 和 out 是相对的,比如: a(s0)-(s0)b(s1)-(s1)c 假设你现在想拒绝 a 访问c,并且假设要求你是在 b 上面做 acl(当然 c 上也可以),我们把这个拓扑换成一个例子: b的s0口是前门,s1口是后门,整个b是你家客厅,前门外连的是a,客厅后门连接的是你家

14、金库(c) 现在要拒绝小偷从 a 进来,那么你在你家客厅做个设置,就有 2 种办法: 1.在你家客厅(b)前门(b 的 s0)安个铁门(acl),不让小偷进来(in),这样可以达到目的 2.在你家客厅后门安个铁门(b 的 s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(c) 虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法 1,就像虽然小偷没进到金库,至少进到你家客厅(b),把你客厅的地毯给搞脏了(b 要消耗些额外的不必要的处理) 说明三： 1、交换机、路由器上： 针对某个 vlan 接口应用 acl 的方

15、向问题，大家可以看看 acl 的源和目标地址段。假设要为 vlan a 配置 acl，当源地址段为 vlan a 的 ip 段时，acl 就是用 in；当目的地址段为 vlana的 ip 段时，acl 就是用 out 方向。 反正有一点需要注意，应用在 vlan 的 acl 为 out 方向时，其目的地址肯定是此 vlan的 ip 网段内地址或者在 acl 中用 any 来匹配，但是用其他具体网段来匹配的话是匹配不上的；应用在 vlan 的 acl 为 in 方向时，其源地址肯定是此 vlan 的 ip 网段内地址或者在 acl中用 any 来匹配，但是用其他具体网段来匹配的话同样是匹配不上的

16、。 要为 vlan 配 acl 时，可以把 vlan 看成是一个普通接口。 2、防火墙上： 从安全级别低的访问高的叫 in 从安全级别高的访问低的叫 ou 三、加密改密： h3csystem-view h3clocal-user admin /用户名 h3c-user-adminpassword cipher admin /密码，显示的时候就变成密文的了。 h3c-user-adminquit h3cquit h3csave 保存 四、1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、

17、 language-mode chinese|english 中英文切换 5、interface ethernet 1/0/1 进入以太网端口视图 6、 port link-type access|trunk|hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 vlan 10 创建 vlan 10 并进入 vlan 10 的视图模式 11、 port access vlan 10 在端口模式下将当前端口加入到 vlan 10 中 12、port e1/0/2 to e1/0/5 在

18、vlan 模式下将指定端口加入到当前 vlan 中 13、port trunk permit vlan all 允许所有的 vlan 通过 h3c 路由器 1、system-view 进入系统视图模式 2、sysname r1 为设备命名为 r1 3、display ip routing-table 显示当前路由表 4、 language-mode chinese|english 中英文切换 5、interface ethernet 0/0 进入以太网端口视图 6、 ip address 配置 ip 地址和子网掩码 7、 undo shutd

19、own 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 ip route-static description to.r2 配置静态路由 11、 ip route-static description to.r2 配置默认的路由 h3c s3100 switch h3c s3600 switch h3c msr 20-20 router 1、调整超级终端的显示字号； 2、捕获超级终端操作命令行，以备日后查对；

20、3、 language-mode chinese|english 中英文切换； 4、复制命令到超级终端命令行， 粘贴到主机； 5、交换机清除配置 :h3creset save ；h3creboot ； 6、路由器、交换机配置时不能掉电，连通测试前一定要 检查网络的连通性，不要犯最低级的错误。 7、/24 等同 ；在配置交换机和路由器时， 可以写成： 24 8、设备命名规则：地名-设备名-系列号例：pinggu-r-s3600 h3c 华为交换机端口

21、绑定基本配置 2021-01-22 13:40 1，端口 mac a)am 命令 使用特殊的 am user-bind 命令，来完成 mac 地址与端口之间的绑定。例如： switchaam user-bind mac-address 00e0-fc22-f8d3 interface ethernet 0/1 配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口 e0/1 只允许 pc1 上网，而使用其他未绑定的 mac 地址的 pc 机则无法上网。但 是 pc1 使用该 mac 地址可以在其他端口上网。 b)mac-address 命令 使用 mac-address static 命

22、令，来完成 mac 地址与端口之间的绑定。例如： switchamac-address static 00e0-fc22-f8d3 interface ethernet 0/1 vlan 1 switchamac-address max-mac-count 0 配置说明：由于使用了端口学习功能，故静态绑定 mac 后，需再设置该端口 mac学习数为 0，使其他 pc 接入此端口后其 mac 地址无法被学习。 2，ip mac a)am 命令 使用特殊的 am user-bind 命令，来完成 ip 地址与 mac 地址之间的绑定。例如： switchaam user-bind ip-addre

23、ss mac-address 00e0-fc22-f8d3 配置说明：以上配置完成对 pc 机的 ip 地址和 mac 地址的全局绑定，即与绑定的 ip 地址或者 mac 地址不同的 pc 机，在任何端口都无法上网。 支持型号：s3026e/ef/c/g/t、s3026c-pwr、e026/e026t、s3050c、e050、s3526e/c/ef、s5012t/g、s5024g b)arp 命令 使用特殊的 arp static 命令，来完成 ip 地址与 mac 地址之间的绑定。例如： switchaarp static 00e0-fc22-f8d3 配

24、置说明：以上配置完成对 pc 机的 ip 地址和 mac 地址的全局绑定。 3，端口 ip mac 使用特殊的 am user-bind 命令，来完成 ip、mac 地址与端口之间的绑定。例如： switchaam user-bind ip-address mac-address 00e0-fc22-f8d3 interface ethernet 0/1 配置说明：可以完成将 pc1 的 ip 地址、mac 地址与端口 e0/1 之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口 e0/1 只允 许 pc1 上网，而使用其他未绑定的 ip 地址、mac 地址的

25、 pc 机则无法上网。但是 pc1 使用该 ip 地址和 mac 地址可以在其他端口上网。 s2021-e1-ethernet0/1mac-address max-mac-count 0; 进入到端口，用命令 mac max-mac-count 0(端口 mac 学习数设为 0) s2021-e1mac static 0000-9999-8888 int e0/1 vlan 10; 将 0000-9999-8888 绑定到 e0/1 端口上，此时只有绑定 mac 的 pc 可以通过此口上网,同时 e0/1 属于 vlan 10 就这样，ok 了，不过上面两个命令顺序不能弄反，除非端口下没有接

26、pc dis vlan 显示 vlan name text 指定当前 vlan 的名称 undo name 取消 h3c vlan 2 h3c-vlan2name test vlan dis users 显示用户 dis startup 显示启动配置文件的信息 dis user-interface 显示用户界面的相关信息 dis web users 显示 web 用户的相关信息。 header login 配置登陆验证是显示信息 header shell undo header lock 锁住当前用户界面 acl 访问控制列表 acl number inbound/outbound h3cus

27、er-interface vty 0 4 h3c-vty0-4 acl 2021 inbound shutdown:关闭 vlan 接口 undo shutdown 打开 vlan 接口 关闭 vlan1 接口 h3c interface vlan-interface 1 h3c-vlan-interface shutdown vlan vlan-id 定义 vlan undo valn vlan-id display ip routing-table display ip routing-table protocol static display ip routing-table stati

28、stics display ip routing-table verbose 查看路由表的全部详细信息 interface vlan-interface vlan-id 进入 valn management-vlan vlan-id 定义管理 vlan 号 reset ip routing-table statistics protocol all 清除所有路由协议的路由信息. display garp statistics interface gigabitethernet 1/0/1 显示以太网端口上的garp 统计信息 display voice vlan status 查看语音 vla

29、n 状态 h3c-gigabitethernet1/0/1 broadcast-suppression 20 允许接受的最大广播流量为该端口传输能力的 20%.超出部分丢弃. h3c-gigabitethernet1/0/1 broadcast-suppression pps 1000 每秒允许接受的最大广播数据包为 1000 传输能力的 20%.超出部分丢弃. display interface gigabitethernet1/0/1 查看端口信息 display brief interface gigabitethernet1/0/1 查看端口简要配置信息 display loopbac

30、k-detection 用来测试环路测试是否开启 display transceiver-information interface gigabitethernet1/0/50 显示光口相关信息 duplex auto/full/half h3cinterface gigabitethernet1/0/1 h3c-gigabitethernet1/0/1duplux auto 设置端口双工属性为自协商 port link-type access/hybrid/trunk 默认为 access port trunk permit vlan all 将 trunk 扣加入所有 vlan 中 res

31、et counters interface gigabitethernet1/0/1 清楚端口的统计信息 speed auto 10/100/1000 display port-security 查看端口安全配置信息 am user-bind mac-addr 00e0-fc00-5101 ip-addr interface gigabitethernet1/0/1 端口 ip 绑定 display arp 显示 arp display am user-bind 显示端口绑定的配置信息 display mac-address 显示交换机学习到的 mac 地址 displa

32、y stp 显示生成树状态与统计信息 h3c-gigabitethernet1/0/1stp instance 0 cost 200 设置生成树实例 0 上路径开销为 200 stp cost 设置当前端口在指定生成树实例上路径开销。instance-id 为 0-16 0 表cist 取值范围 1-202100 h3c display system-guard ip-record 显示防攻击记录信息. system-guard enable 启用系统防攻击功能 display icmp statistics icmp 流量统计 display ip socket display ip sta

33、tistics display acl all acl number acl-number match-order auto/config acl-number (2021-2999 是基本 acl 3000-3999 是高级 acl 为管理员预留的编号) rule deny/permit protocal 访问控制 h3c acl number 3000 h3c-acl-adv-3000rule permit tcp source 55 destination 55 destination-port eq 80

34、 ( 定义高级 acl 3000,允许 129.0.0/16 网段的主机向 202.38.160/24 网段主机访问端口 80) rule permit source 55 rule deny cos 3 souce 00de-bbef-adse ffff-ffff-fff dest 0011-4301-9912 ffff-ffff-ffff (禁止 mac 地址 00de-bbef-adse 发送到 mac 地址 0011-4301-9912 且 802.1p优先级为 3 的报文通过) display qos-interface gigabi

35、tethernet1/0/1 traffic-limit 查看端口上流量 端口速率限制 line-rate inbound/outbound target-rate inbound:对端口接收报文进行速率限制 outbound: 对端口发送报文进行速率限制 target-rate 对报文限制速率,单位 kbps 千兆口 inbound 范围 1-1000000 outbound 范围 20-1000000 undo line-rate 取消限速. h3cinterface gigabitethernet1/0/1 h3c-gigabitethernet1/0/1line-rate outbou

36、nd 128 限制出去速率为 128kbps display arp | include 77 display arp count 计算 arp 表的记录数 display ndp 显示交换机端口的详细配置信息。 display ntdp device-list verbose 收集设备详细信息 display lock display users display cpu display memory display fan display device display power 如何在交换机上获取与之直接相连的计算机的 mac 查看 mac 可用 老命令行 show mac，可查看对应端口

37、上的 mac 新命令行 dis mac ip 地址在二层交换机上无法查得 display mac-address mac addr vlan id state port index aging time 000d-87db-de7d 512 learned ethernet0/1 aging 华 华 3 交换机端口汇聚配置 交换机端口汇聚配置 关于交换机端口汇聚的配置问题： 端口汇聚配置 配置环境参数 1. 交换机 switcha 和 switchb 通过以太网口实现互连。 2. switcha 用于互连的端口为 e0/1 和 e0/2，switchb 用于互连的端口为 e0/1 和 e0/2

38、。 组网需求 增加 switcha 的 switchb 的互连链路的带宽，并且能够实现链路备份，使用端口汇聚。 2 数据配置步骤 端口汇聚数据转发流程 如上图，如果在汇聚时配置的是 ingress 属性，假如 pc1 的数据包进入 switcha，假如第一次去 ping pc2，那么第一次将是广播包，数据包将从汇聚端口的逻辑主端口送出，报文送达 switch2 时，此时 pc1 的 mac 也将对应学习到 switch2 的逻辑主端口，此时 pc2 再进行回包主要看 pc1 的源 mac 学习到哪个端口，就会通过哪个端口进行转发，所以 ingress是根据流进行转发，如果流是单一的，那么该数据流也将一直走同一个端口，除非该端口故障。 如果在汇聚时配置的是 both 属性，2 个端口汇聚，如 pc1 的数据包进入