华三交换机-路由器配置命令,华三交换机路由器配置命令

('H3C交换机配置命令大全1、system-view进入系统视图模式2、sysname为设备命名3、displaycurrent-configuration当前配置情况4、language-modeChineseEnglish中英文切换5、interfaceEthernet1/0/1进入以太网端口视图6、portlink-typeAccessTrunkHybrid设置端口访问模式7、undoshutdown打开以太网端口8、shutdown关闭以太网端口9、quit退出当前视图模式10、vlan10创建VLAN10并进入VLAN10的视图模式11、portaccessvlan10在端口模式下将当前端口加入到vlan10中12、portE1/0/2toE1/0/5在VLAN模式下将指定端口加入到当前vlan中13、porttrunkpermitvlanall允许所有的vlan通过H3C路由器1、system-view进入系统视图模式2、sysnameR1为设备命名为R13、displayiprouting-table显示当前路由表4、language-modeChineseEnglish中英文切换5、interfaceEthernet0/0进入以太网端口视图6、ipaddress192.168.1.1255.255.255.0配置IP地址和子网掩码7、undoshutdown打开以太网端口8、shutdown关闭以太网端口9、quit退出当前视图模式10、iproute-static192.168.2.0255.255.255.0192.168.12.2descriptionTo.R2配置静态路由11、iproute-static0.0.0.00.0.0.0192.168.12.2descriptionTo.R2配置默认的路由H3CS3100SwitchH3CS3600SwitchH3CMSR20-20Router1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、language-modeChineseEnglish中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置:resetsave；reboot；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。7、192.168.1.1/24等同192.168.1.1255.255.255.0；在配置交换机和路由器时，192.168.1.1255.255.255.0可以写成：192.168.1.1248、设备命名规则：地名-设备名-系列号例：PingGu-R-S3600H3C华为交换机端口绑定基本配置2008-01-2213:401，端口MACa)AM命令使用特殊的AMUser-bind命令，来完成MAC地址与端口之间的绑定。例如：[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。b)mac-address命令使用mac-addressstatic命令，来完成MAC地址与端口之间的绑定。例如：[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1[SwitchA]mac-addressmax-mac-count0配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。2，IPMACa)AM命令使用特殊的AMUser-bind命令，来完成IP地址与MAC地址之间的绑定。例如：[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arpstatic命令，来完成IP地址与MAC地址之间的绑定。例如：[SwitchA]arpstatic10.1.1.200e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。3，端口IPMAC使用特殊的AMUser-bind命令，来完成IP、MAC地址与端口之间的绑定。例如：[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明：可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。[S2016-E1-Ethernet0/1]mac-addressmax-mac-count0;进入到端口，用命令macmax-mac-count0(端口mac学习数设为0)[S2016-E1]macstatic0000-9999-8888inte0/1vlan10;将0000-9999-8888绑定到e0/1端口上，此时只有绑定mac的pc可以通过此口上网,同时E0/1属于vlan10就这样，ok了，不过上面两个命令顺序不能弄反，除非端口下没有接pcdisvlan显示vlannametext指定当前vlan的名称undoname取消[h3c]vlan2[h3c-vlan2]nametestvlandisusers显示用户disstartup显示启动配置文件的信息disuser-interface显示用户界面的相关信息diswebusers显示web用户的相关信息。headerlogin配置登陆验证是显示信息headershellundoheaderlock锁住当前用户界面acl访问控制列表aclnumberinbound/outbound[h3c]user-interfacevty04[h3c-vty0-4]acl2000inboundshutdown:关闭vlan接口undoshutdown打开vlan接口关闭vlan1接口[h3c]interfacevlan-interface1[h3c-vlan-interface]shutdownvlanvlan-id定义vlanundovalnvlan-iddisplayiprouting-tabledisplayiprouting-tableprotocolstaticdisplayiprouting-tablestatisticsdisplayiprouting-tableverbose查看路由表的全部详细信息interfacevlan-interfacevlan-id进入valnmanagement-vlanvlan-id定义管理vlan号resetiprouting-tablestatisticsprotocolall清除所有路由协议的路由信息.displaygarpstatisticsinterfaceGigabitEthernet1/0/1显示以太网端口上的garp统计信息displayvoicevlanstatus查看语音vlan状态[h3c-GigabitEthernet1/0/1]broadcast-suppression20允许接受的最大广播流量为该端口传输能力的20%.超出部分丢弃.[h3c-GigabitEthernet1/0/1]broadcast-suppressionpps1000每秒允许接受的最大广播数据包为1000传输能力的20%.超出部分丢弃.displayinterfaceGigabitEthernet1/0/1查看端口信息displaybriefinterfaceGigabitEthernet1/0/1查看端口简要配置信息displayloopback-detection用来测试环路测试是否开启displaytransceiver-informationinterfaceGigabitEthernet1/0/50显示光口相关信息duplexauto/full/half[h3c]interfaceGigabitEthernet1/0/1[h3c-GigabitEthernet1/0/1]dupluxauto设置端口双工属性为自协商portlink-typeaccess/hybrid/trunk默认为accessporttrunkpermitvlanall将trunk扣加入所有vlan中resetcountersinterfaceGigabitEthernet1/0/1清楚端口的统计信息speedauto10/100/1000displayport-security查看端口安全配置信息amuser-bindmac-addr00e0-fc00-5101ip-addr10.153.1.2interfaceGigabitEthernet1/0/1端口ip绑定displayarp显示arpdisplayamuser-bind显示端口绑定的配置信息displaymac-address显示交换机学习到的mac地址displaystp显示生成树状态与统计信息[h3c-GigabitEthernet1/0/1]stpinstance0cost200设置生成树实例0上路径开销为200stpcost设置当前端口在指定生成树实例上路径开销。instance-id为0-160表cist取值范围1-200000displaysystem-guardip-record显示防攻击记录信息.system-guardenable启用系统防攻击功能displayicmpstatisticsicmp流量统计displayipsocketdisplayipstatisticsdisplayaclallaclnumberacl-numbermatch-orderauto/configacl-number(2000-2999是基本acl3000-3999是高级acl为管理员预留的编号)ruledeny/permitprotocal访问控制[h3c]aclnumber3000[h3c-acl-adv-3000]rulepermittcpsource129.9.0.00.0.255.255destination202.38.160.00.0.255.255destination-porteq80(定义高级acl3000,允许129.0.0/16网段的主机向202.38.160/24网段主机访问端口80)rulepermitsource211.100.255.00.255.255.255ruledenycos3souce00de-bbef-adseffff-ffff-fffdest0011-4301-9912ffff-ffff-ffff(禁止mac地址00de-bbef-adse发送到mac地址0011-4301-9912且802.1p优先级为3的报文通过)displayqos-interfaceGigabitEthernet1/0/1traffic-limit查看端口上流量端口速率限制line-rateinbound/outboundtarget-rateinbound:对端口接收报文进行速率限制outbound:对端口发送报文进行速率限制target-rate对报文限制速率,单位kbps千兆口inbound范围1-1000000outbound范围20-1000000undoline-rate取消限速.[h3c]interfaceGigabitEthernet1/0/1[h3c-GigabitEthernet1/0/1]line-rateoutbound128限制出去速率为128kbpsdisplayarpinclude77displayarpcount计算arp表的记录数displayndp显示交换机端口的详细配置信息。displayntdpdevice-listverbose收集设备详细信息displaylockdisplayusersdisplaycpudisplaymemorydisplayfandisplaydevicedisplaypower华为交换机常用配置实例sys进入到系统视图Entersystemview,returntouserviewwithCtrl+Z.[Quidway]user-interfaceaux0[Quidway-ui-aux0]authentication-modeschemeNotice:TelnetorSSHusermustbeadded,otherwiseoperatorcan\'tlogin![Quidway-ui-aux0]qu[Quidway]local-userhuawei增加用户名Newlocaluseradded.[Quidway-luser-huawei]passwordsimplehuawei配置密码,且密码不加密[Quidway-luser-huawei]service-typetelnetsshlevel3服务类型为SSH和telnet,且用户登陆后权限为管理员权限[Quidway-luser-huawei]qu[Quidway]user-interfacevty04[Quidway-ui-vty0-4]authentication-modeschemeNotice:TelnetorSSHusermustbeadded,otherwiseoperatorcan\'tlogin![Quidway-ui-vty0-4]save华为QuidWay交换机配置命令手册：1、开始建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console口连接。在主机上运行终端仿真程序（如Windows的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100。以太网交换机上电，终端上显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如）。键入命令，配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入"?"2、命令视图(1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入(2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view(3)以太网端口视图(配置以太网端口参数)[Quidway-Ethernet0/1]:在系统视图下键入interfaceethernet0/1(4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan1(5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参数)[Quidway-Vlan-interface1]:在系统视图下键入interfacevlan-interface1(6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-useruser1(7)用户界面视图(配置用户界面参数)[Quidway-ui0]:在系统视图下键入user-interface3、其他命令设置系统时间和时区clocktimeBeijingadd8clockdatetime12:00:002005/01/23设置交换机的名称[Quidway]sysnameTRAIN-3026-1[TRAIN-3026-1]配置用户登录[Quidway]user-interfacevty04[Quidway-ui-vty0]authentication-modescheme创建本地用户[Quidway]local-userhuawei[Quidway-luser-huawei]passwordsimplehuawei[Quidway-luser-huawei]service-typetelnetlevel34、VLAN配置方法『配置环境参数』SwitchA端口E0/1属于VLAN2，E0/2属于VLAN3『组网需求』把交换机端口E0/1加入到VLAN2，E0/2加入到VLAN3数据配置步骤『VLAN配置流程』(1)缺省情况下所有端口都属于VLAN1，并且端口是access端口，一个access端口只能属于一个vlan；(2)如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉；(3)除了VLAN1，如果VLANXX不存在，在系统视图下键入VLANXX，则创建VLANXX并进入VLAN视图；如果VLANXX已经存在，则进入VLAN视图。【SwitchA相关配置】方法一：(1)创建（进入）vlan2[SwitchA]vlan2(2)将端口E0/1加入到vlan2[SwitchA-vlan2]portethernet0/1(3)创建（进入）vlan3[SwitchA-vlan2]vlan3(4)将端口E0/2加入到vlan3[SwitchA-vlan3]portethernet0/2方法二：(1)创建（进入）vlan2[SwitchA]vlan2(2)进入端口E0/1视图[SwitchA]interfaceethernet0/1(3)指定端口E0/1属于vlan2[SwitchA-Ethernet1]portaccessvlan2(4)创建（进入）vlan3[SwitchA]vlan3(5)进入端口E0/2视图[SwitchA]interfaceethernet0/2(6)指定端口E0/2属于vlan3[SwitchA-Ethernet2]portaccessvlan3测试验证(1)使用命令dispcur可以看到端口E0/1属于vlan2，E0/2属于vlan3；(2)使用displayinterfaceEthernet0/1可以看到端口为access端口，PVID为2；(3)使用displayinterfaceEthernet0/2可以看到端口为access端口，PVID为35、交换机IP地址配置功能需求及组网说明『配置环境参数』三层交换机SwitchA有两个端口ethetnet0/1、ethernet0/2，分别属于vlan2、vlan3；以vlan2的三层接口地址分别是1.0.0.1/24作为PC1的网关；以vlan3的三层接口地址分别是2.0.0.1/24作为PC2的网关；『组网需求』PC1和PC2通过三层接口互通【SwitchA相关配置】(1)创建（进入）vlan2[Quidway]vlan2(2)将端口E0/1加入到vlan2[Quidway-vlan2]portethernet0/1(3)进入vlan2的虚接口[Quidway-vlan2]interfacevlan2(4)在vlan2的虚接口上配置IP地址[Quidway-Vlan-interface2]ipaddress1.0.0.1255.255.255.0(5)创建（进入）vlan3[Quidway]vlan3(6)将E0/2加入到vlan3[Quidway-vlan3]portethernet0/2(7)进入vlan3的虚接口[Quidway-vlan3]interfacevlan3(8)在vlan3的虚接口上配置IP地址[Quidway-Vlan-interface3]ipaddress2.0.0.1255.255.255.0测试验证(1)PC1和PC2都可以PING通自己的网关(2)PC1和PC2可以相互PING通6、端口的trunk配置『配置环境参数』(1)SwitchA端口E0/1属于vlan10，E0/2属于vlan20，E0/3与SwitchB端口E0/3互连(2)SwitchB端口E0/1属于vlan10，E0/2属于vlan20，E0/3与SwitchA端口E0/3互连『组网需求』(1)要求SwitchA的vlan10的PC与SwitchB的vlan10的PC互通(2)要求SwitchA的vlan20的PC与SwitchB的vlan20的PC互通数据配置步骤【SwitchA相关配置】(1)创建（进入）vlan10[SwitchA]vlan10(2)将E0/1加入到vlan10[SwitchA-vlan10]portEthernet0/1(3)创建（进入）vlan20[SwitchA]vlan20(4)将E0/2加入到vlan20[SwitchA-vlan20]portEthernet0/2(5)实际当中一般将上行端口设置成trunk属性，允许vlan透传[SwitchA-Ethernet0/3]portlink-typetrunk(6)允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值[SwitchA-Ethernet0/3]porttrunkpermitvlanall【SwitchB相关配置】(1)创建（进入）vlan10[SwitchB]vlan10(2)将E0/1加入到vlan10[SwitchB-vlan10]portEthernet0/1(3)创建（进入）vlan20[SwitchB]vlan20(4)将E0/2加入到vlan20[SwitchB-vlan20]portEthernet0/2(5)实际当中一般将上行端口设置成trunk属性，允许vlan透传[SwitchB-Ethernet0/3]portlink-typetrunk(7)允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值[SwitchB-Ethernet0/3]porttrunkpermitvlanall【补充说明】(1)如果一个端口是trunk端口，则该端口可以属于多个vlan；(2)缺省情况下trunk端口的PVID为1，可以在端口模式下通过命令porttrunkpvidvlanvlanid来修改端口的PVID；(3)如果从trunk转发出去的数据报文的vlanid和端口的PVID一致，则该报文的VLAN信息会被剥去，这点在配置trunk端口时需要注意。(4)一台交换机上如果已经设置了某个端口为hybrid端口，则不可以再把另外的端口设置为trunk端口。(5)一般情况下最好指定端口允许通过哪些具体的VLAN，不要设置允许所有的VLAN通过。测试验证(1)SwitchAvlan10内的PC可以与SwitchBvlan10内的PC互通(2)SwitchAvlan20内的PC可以与SwitchBvlan20内的PC互通(3)SwitchAvlan10内的PC不能与SwitchBvlan20内的PC互通(4)SwitchAvlan20内的PC不能与SwitchBvlan10内的PC互通7、端口汇聚配置『配置环境参数』(1)交换机SwitchA和SwitchB通过以太网口实现互连。(2)SwitchA用于互连的端口为e0/1和e0/2，SwitchB用于互连的端口为e0/1和e0/2。『组网需求』增加SwitchA的SwitchB的互连链路的带宽，并且能够实现链路备份，使用端口汇聚数据配置步骤【SwitchA交换机配置】(1)进入端口E0/1[SwitchA]interfaceEthernet0/1(2)汇聚端口必须工作在全双工模式[SwitchA-Ethernet0/1]duplexfull(3)汇聚的端口速率要求相同，但不能是自适应[SwitchA-Ethernet0/1]speed100(4)进入端口E0/2[SwitchA]interfaceEthernet0/2(5)汇聚端口必须工作在全双工模式[SwitchA-Ethernet0/2]duplexfull(6)汇聚的端口速率要求相同，但不能是自适应[SwitchA-Ethernet0/2]speed100(7)根据源和目的MAC进行端口选择汇聚[SwitchA]link-aggregationEthernet0/1toEthernet0/2both【SwitchB交换机配置】[SwitchB]interfaceEthernet0/1[SwitchB-Ethernet0/1]duplexfull[SwitchB-Ethernet0/1]speed100[SwitchB]interfaceEthernet0/2[SwitchB-Ethernet0/2]duplexfull[SwitchB-Ethernet0/2]speed100[SwitchB]link-aggregationEthernet0/1toEthernet0/2both【补充说明】(1)同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致，即如果主端口为Trunk端口，则成员端口也为Trunk端口；如主端口的链路类型改为Access端口，则成员端口的链路类型也变为Access端口。(2)不同的产品对端口汇聚时的起始端口号要求各有不同，请对照《操作手册》进行配置。8、端口镜像配置『环境配置参数』(1)PC1接在交换机E0/1端口，IP地址1.1.1.1/24(2)PC2接在交换机E0/2端口，IP地址2.2.2.2/24(3)E0/24为交换机上行端口(4)Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』(1)通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。根据Quidway交换机不同型号，镜像有不同方式进行配置：基于端口的镜像——基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。基于流的镜像——基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像8016交换机支持基于端口的镜像3500/3026E/3026F/3050支持基于流的镜像5516/6506/6503/6506R支持对入端口流量进行镜像数据配置步骤以QuidwayS3026C为例，通过基于二层流的镜像进行配置：(1)定义一个ACL[SwitchA]aclnum200(2)定义一个规则从E0/1发送至其它所有端口的数据包[SwitchA]rule0permitingressinterfaceEthernet0/1egressinterfaceEthernet0/2(3)定义一个规则从其它所有端口到E0/1端口的数据包[SwitchA]rule1permitingressinterfaceEthernet0/2egressinterfaceEthernet0/1(4)将符合上述ACL的数据包镜像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/89、生成树STP配置『配置环境参数』(1)交换机SwitchA、SwitchB和SwitchC都通过GE接口互连(2)SwitchB和SwitchC交换机是核心交换机，要求主备。『组网需求』要求整个网络运行STP协议数据配置步骤(1)【SwitchA交换机配置】启动生成树协议:[SwitchA]stpenable(1)【SwitchB交换机配置】启动生成树协议:[SwitchB]stpenable(3)配置本桥为根桥[SwitchB]stprootprimary(4)【SwitchC交换机配置】a启动生成树协议[SwitchC]stpenableb配置本桥为备份根桥[SwitchC]stprootsecondary(5)【SwitchD交换机配置】a启动生成树协议[SwitchD]stpenable【补充说明】(1)缺省情况下交换机的优先级都是32768，如果想人为指定某一台交换机为根交换机，也可以通过修改优先级来实现；(2)缺省情况下打开生成树后，所有端口都会开启生成树协议，请把接PC的端口改为边缘端口模式；(3)如果要控制某条链路的状态可以通过设置端口的cost值来实现。测试验证(1)使用displaystp查看交换机STP运行状态(2)查看端口STP状态displaystpinterfaceEthernetXX是否正确10、Quidway交换机维护显示系统版本信息：displayversion显示诊断信息：displaydiagnostic-information显示系统当前配置：displaycurrent-configuration显示系统保存配置：displaysaved-configuration显示接口信息：displayinterface显示路由信息：displayiprouting-table显示VLAN信息：displayvlan显示生成树信息：displaystp显示MAC地址表：displaymac-address显示ARP表信息：displayarp显示系统CPU使用率：displaycpu显示系统内存使用率：displaymemory显示系统日志：displaylog显示系统时钟：displayclock验证配置正确后，使用保存配置命令：save删除某条命令，一般使用命令：undo这里使用的H3C交换机是H126A，仅仅只做了最基本的配置以满足使用。配置中可以通过displaycurrent-configura命令来显示当前使用的配置内容。#配置VLAN1system-viewSystemView:returntoUserViewwithCtrl+Z.[Sysname]vlan1[Sysname-vlan1]quit[Sysname]management-vlan1[Sysname]interfaceVlan-interface1[Sysname-Vlan-interface1]ipaddress10.0.1.201255.255.255.0#显示VLAN接口1的相关信息。displayipinterfaceVlan-interface1#创建VLAN（H3C不支持cisco的VTP，所以只能添加静态VLAN）system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C_TEST]vlan99[H3C_TEST-vlan99]nameseicoffice[H3C_TEST-vlan99]quit#把交换机的端端口划分到相应的Vlan中[H3C_TEST]interfaceethernet1/0/2//进入端口模式[H3C_TEST-Ethernet1/0/2]portlink-typeaccess//设置端口的类型为access[H3C_TEST-Ethernet1/0/2]portaccessvlan99//把当前端口划到vlan99[H3C_TEST]vlan99[H3C_TEST-vlan99]portethernet1/0/1toethernet1/0/24//把以及网端口1/0/1到1/0/24[H3C_TEST-vlan99]quit[H3C_TEST-GigabitEthernet1/2/1]porttrunkpermitvlan199//{IDAll}设置trunk端-------------------------------------------------------------------------------------#配置本地用户system-viewSystemView:returntoUserViewwithCtrl+Z.[Sysname]local-userh3cNewlocaluseradded.[Sysname-luser-h3c]service-typetelnetlevel3[Sysname-luser-h3c]passwordsimpleh3c#配置欢迎信息[H3C_TEST]headerlogin%Welcometologinh3c!%#配置用户认证方式telnet(vty0-4)[H3C_TEST]user-interfacevty04[H3C_TEST-ui-vty0-4]authentication-modescheme[H3C_TEST-ui-vty0-4]protocolinboundtelnet[H3C_TEST-ui-vty0-4]superauthentication-modesuper-password[H3C_TEST-ui-vty0-4]quit[H3C_TEST]superpasswordlevel3simpleh3c//用户登陆后提升权限的密码#配置Radius策略[H3C_TEST]radiusschemeradius1NewRadiusscheme[H3C_TEST-radius-radius1]primaryauthentication10.0.1.2531645[H3C_TEST-radius-radius1]primaryaccounting10.0.1.2531646[H3C_TEST-radius-radius1]secondaryauthentication127.0.0.11645[H3C_TEST-radius-radius1]secondaryaccounting127.0.0.11646[H3C_TEST-radius-radius1]timer5[H3C_TEST-radius-radius1]keyauthenticationh3c[H3C_TEST-radius-radius1]keyaccountingh3c[H3C_TEST-radius-radius1]server-typeextended[H3C_TEST-radius-radius1]user-name-formatwithout-domain#配置域[H3C_TEST]domainh3c[H3C_TEST-isp-h3c]authenticationradius-schemeradius1local[H3C_TEST-isp-h3c]schemeradius-schemeradius1local[H3C_TEST]domaindefaultenableh3c#配置在远程认证失败时，本地认证的key[H3C_TEST]local-servernas-ip127.0.0.1keyh3cH3C交换机路由器telnet和console口登录配置2009年11月09日星期一10:00级别说明Level名称命令0参观ping、tracert、telnet1监控display、debugging2配置所有配置命令（管理级的命令除外）3管理文件系统命令、FTP命令、TFTP命令、XMODEM命令telnet仅用密码登录，管理员权限[Router]user-interfacevty04[Router-ui-vty0-4]userprivilegelevel3[Router-ui-vty0-4]setauthenticationpasswordsimpleabctelnet仅用密码登录，非管理员权限[Router]superpasswordlevel3simplesuper[Router]user-interfacevty04[Router-ui-vty0-4]userprivilegelevel1[Router-ui-vty0-4]setauthenticationpasswordsimpleabctelnet使用路由器上配置的用户名密码登录，管理员权限[Router]local-useradminpasswordsimpleadmin[Router]local-useradminservice-typetelnet[Router]local-useradminlevel3[Router]user-interfacevty04[Router-ui-vty0-4]authentication-modelocaltelnet使用路由器上配置的用户名密码登录，非管理员权限[Router]superpasswordlevel3simplesuper[Router]local-usermanagepasswordsimplemanage[Router]local-usermanageservice-typetelnet[Router]local-usermanagelevel2[Router]user-interfacevty04[Router-ui-vty0-4]authentication-modelocal对console口设置密码，登录后使用管理员权限[Router]user-interfacecon0[Router-ui-console0]userprivilegelevel3[Router-ui-console0]setauthenticationpasswordsimpleabc对console口设置密码，登录后使用非管理员权限[Router]superpasswordlevel3simplesuper[Router]user-interfacecon0[Router-ui-console0]userprivilegelevel1[Router-ui-console0]setauthenticationpasswordsimpleabc对console口设置用户名和密码，登录后使用管理员权限[Router]local-useradminpasswordsimpleadmin[Router]local-useradminservice-typeterminal[Router]local-useradminlevel3[Router]user-interfacecon0[Router-ui-console0]authentication-modelocal对console口设置用户名和密码，登录后使用非管理员权限[Router]superpasswordlevel3simplesuper[Router]local-usermanagepasswordsimplemanage[Router]local-usermanageservice-typeterminal[Router]local-usermanagelevel2[Router]user-interfacecon0[Router-ui-console0]authentication-modelocalsimple是明文显示，cipher是加密显示路由器不设置telnet登录配置时，用户无法通过telnet登录到路由器上[Router-ui-vty0-4]acl2000inbound可以通过acl的规则只允许符合条件的用户远程登录路由器路由器命令~~~~~~~~~~[Quidway]displayversion显示版本信息[Quidway]displaycurrent-configuration显示当前配置[Quidway]displayinterfaces显示接口信息[Quidway]displayiproute显示路由信息[Quidway]sysnameaabbcc更改主机名[Quidway]superpasswrod123456设置口令[Quidway]interfaceserial0进入接口[Quidway-serial0]ipaddress[Quidway-serial0]undoshutdown激活端口[Quidway]link-protocolhdlc绑定hdlc协议[Quidway]user-interfacevty04[Quidway-ui-vty0-4]authentication-modepassword[Quidway-ui-vty0-4]setauthentication-modepasswordsimple222[Quidway-ui-vty0-4]userprivilegelevel3[Quidway-ui-vty0-4]quit[Quidway]debugginghdlcallserial0显示所有信息[Quidway]debugginghdlceventserial0调试事件信息[Quidway]debugginghdlcpacketserial0显示包的信息静态路由：[Quidway]iproute-static{interfacenumbernexthop}[value][rejectblackhole]例如：[Quidway]iproute-static129.1.0.01610.0.0.2[Quidway]iproute-static129.1.0.0255.255.0.010.0.0.2[Quidway]iproute-static129.1.0.016Serial2[Quidway]iproute-static0.0.0.00.0.0.010.0.0.2动态路由：[Quidway]rip[Quidway]ripwork[Quidway]ripinput[Quidway]ripoutput[Quidway-rip]network1.0.0.0;可以all[Quidway-rip]network2.0.0.0[Quidway-rip]peerip-address[Quidway-rip]summary[Quidway]ripversion1[Quidway]ripversion2multicast[Quidway-Ethernet0]ripsplit-horizon;水平分隔[Quidway]routeridA.B.C.D配置路由器的ID[Quidway]ospfenable启动OSPF协议[Quidway-ospf]import-routedirect引入直联路由[Quidway-Serial0]ospfenablearea配置OSPF区域标准访问列表命令格式如下：acl[match-orderconfigauto]默认前者顺序匹配。rule[normalspecial]{permitdeny}[sourcesource-addrsource-wildcardany]例：[Quidway]acl10[Quidway-acl-10]rulenormalpermitsource10.0.0.00.0.0.255[Quidway-acl-10]rulenormaldenysourceany扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表：rule{normalspecial}{permitdeny}{tcpudp}source{any}destinationany}[operate]配置ICMP协议的扩展访问列表：rule{normalspecial}{permitdeny}icmpsource{any]destination{any][icmp-code][logging]扩展访问控制列表操作符的含义equalportnumber等于greater-thanportnumber大于less-thanportnumber小于not-equalportnumber不等rangeportnumber1portnumber2区间扩展访问控制列表举例[Quidway]acl101[Quidway-acl-101]ruledenysouceanydestinationany[Quidway-acl-101]rulepermiticmpsourceanydestinationanyicmp-typeecho[Quidway-acl-101]rulepermiticmpsourceanydestinationanyicmp-typeecho-reply[Quidway]acl102[Quidway-acl-102]rulepermitipsource10.0.0.10.0.0.0destination202.0.0.10.0.0.0[Quidway-acl-102]ruledenyipsourceanydestinationany[Quidway]acl103[Quidway-acl-103]rulepermittcpsourceanydestination10.0.0.10.0.0.0destination-portequalftp[Quidway-acl-103]rulepermittcpsourceanydestination10.0.0.20.0.0.0destination-portequalwww[Quidway]firewallenable[Quidway]firewalldefaultpermitdeny[Quidway]inte0[Quidway-Ethernet0]firewallpacket-filter101inboundoutbound地址转换配置举例[Quidway]firewallenable[Quidway]firewalldefaultpermit[Quidway]acl101[Quidway-acl-101]ruledenyipsourceanydestinationany[Quidway-acl-101]rulepermitipsource129.38.1.40destinationany[Quidway-acl-101]rulepermitipsource129.38.1.10destinationany[Quidway-acl-101]rulepermitipsource129.38.1.20destinationany[Quidway-acl-101]rulepermitipsource129.38.1.30destinationany[Quidway]acl102[Quidway-acl-102]rulepermittcpsource202.39.2.30destination202.38.160.10[Quidway-acl-102]rulepermittcpsourceanydestination202.38.160.10destination-portgreat-than1024[Quidway-Ethernet0]firewallpacket-filter101inbound[Quidway-Serial0]firewallpacket-filter102inbound[Quidway]nataddress-group202.38.160.101202.38.160.103pool1[Quidway]acl1[Quidway-acl-1]rulepermitsource10.110.10.00.0.0.255[Quidway-acl-1]ruledenysourceany[Quidway-acl-1]intserial0[Quidway-Serial0]natoutbound1address-grouppool1[Quidway-Serial0]natserverglobal202.38.160.101inside10.110.10.1ftptcp[Quidway-Serial0]natserverglobal202.38.160.102inside10.110.10.2wwwtcp[Quidway-Serial0]natserverglobal202.38.160.1028080inside10.110.10.3wwwtcp[Quidway-Serial0]natserverglobal202.38.160.103inside10.110.10.4smtpudpPPP验证：主验方：papchap[Quidway]local-useru2password{simplecipher}aaa[Quidway]interfaceserial0[Quidway-serial0]pppauthentication-mode{papchap}[Quidway-serial0]pppchapuseru1//pap时，不用此句pap被验方：[Quidway]interfaceserial0[Quidway-serial0]ppppaplocal-useru2password{simplecipher}aaachap被验方：[Quidway]interfaceserial0[Quidway-serial0]pppchapuseru1[Quidway-serial0]local-useru2password{simplecipher}aaa',)