华为路由器交换机配置命令管理Layer2Layer3IGP

本文格式为Word版，下载可任意编辑——华为路由器交换机配置命令管理Layer2Layer3IGP基础/管理配置：

system-viewquitreturnundo

displaycurrent-configurationdisplaythis

displaythisinclude-defaultsave

//用户视图下reboot

headerlogininformation\displayhotkey

language-mode{chinese|english}

history-commandmax-sizeVALUEdisplayhistory-command[all-users]

clockdatetimeHH:MM:SSYYYY-MM-DD

clocktimezonetime-zone-name{add|minus}offset

配置Console:

使用AAA验证：

user-interfaceconsole0authentication-modeaaaquitaaa

local-userADMIN123passwordirreversible-cipherADMIN123local-userADMIN123service-typeterminalquit

使用密码验证：

user-interfaceconsole0

authentication-modepassword

setauthenticationpasswordcipherADMIN123

配置VTY(Telent):

telnetserverenableaaa

local-userADMIN123passwordirreversible-cipherADMIN123local-userADMIN123privilegelevel15local-userADMIN123service-typetelnetquit

user-interfacemaximum-vty15

user-interfacevty04userprivilegelevel15authentication-modeaaaidle-timeout100quit

验证命令：displayusers

displayuser-interfacemaximum-vtydisplayuser-interfacevtysummarydisplaylocal-userdisplayvtymode

配置SSH:

使用本地用户密码方式（可使用rsa密钥方式）system-view

rsalocal-key-paircreate

//或dsalocal-key-paircreate//displayrsalocal-key-pairpublic//displaydsalocal-key-pairpublicstelnetserverenablesshservertimeout60

user-interfacevty04

authentication-modeaaaprotocolinbound{all|ssh}//默认为telnet方式aaa

local-userCLIENT001passwordirreversible-cipherCLIENT001

local-userCLIENT001privilegelevel3local-userCLIENT001service-typesshquit

sshuserCLIENT001authentication-typepasswordsshuserCLIENT001service-typestelnet

displaysshuser-informationdisplaysshserverstatusdisplaysshserversession

sshclientfirst-timeenable

Web网管（https）:

system-view

httpserverloaddefaulthttpsecure-serverenablehttptimeoutxxxaaa

local-userNAMEpasswordirreversible-cipherPASSWORDlocal-userNAMEprivilegelevelLEVEL//级别在3级以上具有管理权限local-userNAMEservice-typehttp

displayhttpuserdisplayhttpserver

配置管理VLAN(L2Switch):

vlan4000nameMGMT

management-vlan

//Vlan1不能配置为管理VLANquit

undointerfacevlanif1

//只支持1个VLANIF接口，所以需要删除vlanif1

interfacevlanif4000ipaddressx.x.x.xy.y.y.y

displayvlan

//带有*的VLAN为管理VLAN

Display查看设备状态：

displaydevicedisplayesndisplayversiondisplaypower

displaypowersystem

displayvoltage{all|slotSLOT-ID}

displaytemperature{all|slotSLOT-ID}displayfan

displayfan-para{all|slotSLOT-ID}displaycpu-usage[slave|slotSLOT-ID]

displaycpu-usageconfiguratoin[slave|slotSLOT-ID]displaymemory-usage[slave|slotSLOT-ID]displaymemory-usagethreshold[slotSLOT-ID]displayenvironmentversion

displaythis

displaythisinterfacedisplaysystem-mac

displayelabel[chassis-id[/slot-id][/subcard-id]][brief]displayelabelbackplanechassischassis-iddisplaydiagnostic-information

displayhealth

displaytransceiver[interfaceinterface-typeinterface-number|slotslot-id][verbose]displayspu-information

硬件管理：

resetslotslot-id[all|master]//复位单板slaverestart

//复位备用主控板

displayswitchoverstateslaveswitchoverenable//使能主备倒换功能slaveswitchover

displayospstatusstartupospSLOT-ID

shutdownospSLOT-ID[force]resetospSLOT-ID

poweronslotSLOT-IDpoweroffslotSLOT-ID

transceiverphony-alarm-disable

//关闭非华为定制光模块的告警功能

displayfabric-modeconfiguration

//查看设备线速模式的配置

setfabric-modeturbo[all|chassisCHASSIS-ID]

//配置设备的线速模式为扩展模式,默认线速模式为普通模式

信息中心(LOG):

info-centerenable

//使能信息中心功能

info-centertimestamplog{{date|format-date|short-date}[precision-time{second|tenth-second|millisecond}]|boot|none}

//配置Log信息的时间戳info-centerlogbuffer

info-centerlogbuffersizeLOGBUFFER-SIZEterminallogging

info-centertimestampdebugging{{date|format-date|short-date}[precision-time{second|tenth-second|millisecond}]|boot|none}//配置Debug信息的时间戳

resetinfo-centerstatisticsresetlogbuffer

displayinfo-center[statistics]displaylogbuffer

配置NTP:

clockdatetimeHH:MM:SSYYYY-MM-DD

ntp-servicerefclock-master[IP-ADDRESS][STRATUM]//配置本地时钟作为NTP主时钟

//配置接口批量切换到三层模式

interfacexxx

jumboframeenable[value]

//配置接口允许通过的最大帧长，最大9216字节。为指定value则为9216字节

mdi{across|auto|normal}

//配置以太网接口MDI类型。默认为auto，即自动识别所连接网线的类型

loopbackinternal

//配置以太网接口的内环回检测功能。

配置Access接口：

interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan900stpbpdu-filterenablestpedged-portenable

配置Trunk接口：

interfaceGigabitEthernet1/8/1/22portlink-typetrunk

porttrunkallow-passvlan888999to1000

配置以太网子接口：

interfacetypenumber.sub-number

ipaddressip-address{mask|mask-length}[sub]

//配置以太网子接口的IP地址。

dot1qterminationvidlow-pe-vid[tohigh-pe-vid]

//配置子接口对一层Tag报文的终结功能

qinqterminationpe-vidpe-vidce-vidce-vid1[toce-vid2]//配置子接口对两层Tag报文的终结功能arpbroadcastenable

//使能子接口的ARP广播功能

displayinterfacetypex/x.x

displaydot1qinformationterminationinterfacex/x.x

//查看配置了dotlq终结的所有接口的名称以及终结子接口对用户报文终结的规则数量displayqinqinformationterminationinterfacex/x.x

//查看配置了QinQ终结的所有接口的名称以及终结子接口对用户报文终结的规则数量

配置Eth-trunk子接口：

interfaceeth-trunktrunk-idquit

interfaceeth-trunktrunk-id.subnumber

ipaddressip-address{mask|mask-length}[sub]dot1qterminationvidlow-pe-vid[tohigh-pe-vid]

qinqterminationpe-vidpe-vidce-vidce-vid1[toce-vid2]arpbroadcastenable

displayinterfaceeth-trunkxxx

displaydot1qinformationterminationinterfacexxxdisplayqinqinformationterminationinterfacexxx

配置loopback接口：

interfaceloopbacknumber

ipbindingvpn-instanceINSTANCEipaddressip-addressmaskipverifysource-address

displayinterfaceloopbacknumber

配置NULL接口：

interfacenull0

//NULL接口一直处于UP状态，不能转发数据包，也不能配置IP地址或封装其他协议

displayinterfacenull0

Layer2配置：

配置端口安全：

mac-addressstaticmac-addressinterface-typeinterface-numbervlanvlan-id

//添加静态MAC表项

interfacetypenumberport-securityenable

//使能端口安全功能

port-securitymac-addressmac-addressvlanvlan-id

//手工配置安全静态MAC地址表项port-securitymac-addresssticky

//使能接口StickyMAC功能

port-securitymax-mac-nummax-number//配置端口安全动态MAC学习限制数量

port-securityprotect-action{protect|restrict|shutdown}//配置端口安全保护动作。

port-securityaging-timetime[type{absolute|inactivity}]

//配置接口学习到的安全动态MAC地址的老化时间，默认学习的安全动态MAC地址不老化

displaymac-addresssecurityvlanvlan-idinterfaceverbosedisplaymac-addressstickyvlanvlan-idinterfaceverbose

displaymac-address

displaymac-addressflappingrecorddisplaymac-addressblackholedisplaymac-addresssummary

配置Eth-Trunk:

eth-trunkload-balancehash-mode{advanced|normal}slotslot-id

//配置X1E单板的hash模式，以便与其它单板组成跨板Eth-Trunk（X1E与比其规格高

单板为advanced模式）

interfaceeth-trunktrunk-id//取值范围是0～127modelacp

//配置Eth-trunk的工作模式，默认为手工负载分担模式

trunkporttype{ifnumber1[toifnumber2]}&[mode{active|passive}]

//增加成员接口

或：进入相应成员接口添加

interfaceinterface-typeinterface-numbereth-trunktrunk-id[mode{active|passive}]

//将当前接口参与Eth-Trunk，每个Eth-Trunk接口下最多可以包含8个成员接口

load-balance{dst-ip|dst-mac|src-ip|src-mac|src-dst-ip|src-dst-mac}

//配置Eth-Trunk负载分担方式，默认为src-dst-ip

local-preferenceenable

//使能Eth-Trunk接口流量本地优先转发功能（集群），默认已使能

lacpprioritypriority

//配置当前设备的系统LACP优先级。默认32768

interfaceinterface-typeinterface-numberlacpprioritypriority

//配置当前接口的LACP优先级。默认32768

加强型负载分担方式：system-view

load-balance-profileprofile-name

//创立负载分担模板，并进入模板视图。设备全局公用一个负载分担模板

l2field[dmac|l2-protocol|smac|sport|vlan]

//配置指定负载分担模板中二层报文的负载分担模式。缺省为smac、dmacipv4field[dip|l4-dport|l4-sport|protocol|sip|sport|vlan]

//配置指定负载分担模板中IPV4报文负载分担模式。缺省sip、dip。ipv6field[dip|l4-dport|l4-sport|protocol|sip|sport|vlan]

//配置指定负载分担模板中IPV6报文负载分担模式。缺省为sip、dipmplsfield[2nd-label|dip|sip|sport|top-label|vlan]

//配置指定负载分担模板中的MPLS报文负载分担模式。缺省top-label、2nd-labelquit

interfaceeth-trunktrunk-id

load-balanceenhancedprofileprofile-name

//应用配置的负载分担模板以上针对已知单播：

unknown-unicastload-balance{dmac|smac|smacxordmac|enhanced}

//对于非已知单播，系统视图下执行此命令来配置其负载分担方式

//使能自动计算接口的开销值

summaryip-addressmask[avoid-feedback|generate_null0_route|tagtag|[level-1|level-1-2|level-2]]

//设置IS-IS生成聚合路由

maximumload-balancingnumberdefault-route-advertise

import-routeisislevel-2intolevel-1//ISIS路由渗透filter-policy

set-overload[on-startuptimeout1|//配置ISIS设备进入过载状态

interfaceinterface-typeinterface-numberisisenable[process-id]

//使能IS-IS接口。IS-IS将通过该接口建立邻居、扩散LSP报文isiscircuit-level[level-1|level-1-2|level-2]//设置接口的Level级别，默认为level-1-2isiscircuit-typep2p

//设置接口的网络类型为P2P，广播网络不用设置

isisdis-prioritypriority[level-1|level-2]

//设置用来选举DIS的优先级，数值越大优先级越高isissilent[advertise-zero-cost]

//配置IS-IS接口为抑制状态，只通告路由，不建邻居

isiscost{cost|maximum}[level-1|level-2]//设置IS-IS接口的开销

isistimerhellohello-interval[level-1|level-2]//配置接口上Hello报文发送间隔

isistimerholding-multipliernumber[level-1|level-2]//配置IS-IS的邻居保持时间

displayisispeer[verbose][process-id]displayisisinterface[verbose][process-id]displayisisroute[process-id]

区域认证：

isis[process-id]

area-authentication-mode{{simple|md5}{plainplain-text|[cipher]plain-cipher-text}[ip|osi]|keychainkeychain-name|hmac-sha256key-idkey-id}[snp-packet{authentication-avoid|send-only}|all-send-only]

//设置区域认证模式，缺省不验证level-1路由信息报文或：

domain-authentication-mode{{simple|md5}{plainplain-text|[cipher]plain-cipher-text}[ip|osi]|keychainkeychain-name|hmac-sha256key-idkey-id}[snp-packet{authentication-avoid|send-only}|all-send-only]

//设置路由域认证模式，缺省不验证level-2路由信息报文

说明，认证支持以下几种组合形式：

?对发送的LSP和SNP都封装认证信息，并检查收到的LSP和SNP是否通过认证，丢弃没

有通过认证的报文。该状况下不配置参数snp-packet或all-send-only。

?对发送的LSP封装认证信息并检查收到的LSP，对发送的SNP不封装认证信息，也不检

查收到的SNP。该状况下需要配置参数snp-packetauthentication-avoid。

?对发送的LSP和SNP都封装认证信息，只检查收到的LSP，不检查收到的SNP。该状况

下需要配置参数snp-packetsend-only。

?对发送的LSP和SNP都封装认证信息，不检查收到的LSP和SNP。该状况下需要配置参

数all-send-only。

接口认证：

interfaceinterface-typeinterface-number

isisauthentication-modesimple{plainplain-text|[cipher]plain-cipher-text}[level-1|level-2][ip|osi][send-only]

//配置IS-IS接口的认证模式（简单认证）

isisauthentication-modemd5{plainplain-t