H3C ROUTER配置命令详解
en 进入特权模式
conf 进入全局配置模式
in s0 进入serial 0 端口配置
ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配enca hdlc/ppp 捆绑链路协议hdlc 或者ppp
ip unn e0
exit 回到全局配置模式
in e0 进入以太接口配置
ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配exit 回到全局配置模式
ip route 0.0.0.0 0.0.0.0 s 0 添加路由表
ena password 口令
write
exit
以上根据中国电信ddn 专线多数情况应用
普通用户模式
enable 转入特权用户模式
exit 退出配置
help 系统帮助简述
language 语言模式切换
ping 检查网络主机连接及主机是否可达
show 显示系统运行信息
telnet 远程登录功能
tracert 跟踪到目的地经过了哪些路由器
特权用户模式
#?
clear 清除各项统计信息
clock 管理系统时钟
configure 进入全局配置模式
debug 开启调试开关
disable 返回普通用户模式
download 下载新版本软件和配置文件
erase 擦除FLASH中的配置
exec-timeout 打开EXEC超时退出开关
exit 退出配置
first-config 设置或清除初次配置标志
help 系统帮助简述
language 语言模式切换
monitor 打开用户屏幕调试信息输出开关
no 关闭调试开关
ping 检查网络主机连接及主机是否可达
reboot 路由器重启
setup 配置路由器参数
show 显示系统运行信息
telnet 远程登录功能
tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM中
全局配置模式
aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表
arp 设置静态ARP人口
chat-script 生成一个用在modem上的执行脚本custom-list 创建定制队列列表
dialer-list 创建dialer-list
dram-wait 设置DRAM等待状态
enable 修改ENABLE口令
exit 退出全局配置模式
firewall 配置防火墙状态
flow-interval 设置流量控制时间间隔
frame-relay 帧中继全局配置命令集
ftp-server FTP 服务器
help 系统帮助命令简述
host 添加主机名称和其IP地址
hostname 修改主机名
ifquelen 更改接口队列长度
interface 选择配置接口
ip 全局IP配置命令子集
ipx 全局IPX配置命令子集
loghost 设置日志主机IP地址
logic-channel 配置逻辑通道
login 启动EXEC登录验证
modem-timeout 设置modem 超时时间multilink 配置multilink 用户使用的接口multilink-user 配置multilink 用户使用的接口natserver 设置FTP,TELNET,WWW服务的IP地址no 关闭某些参数开关
priority-list 创建优先级队列列表
router 启动路由处理
settr 设置时间范围
snmp-server 修改SNMP参数
tcp 配置全局TCP参数
timerange 启动或关闭时间区域
user 为PPP验证向系统中加入用户
vpdn 设置VPDN
vpdn-group 设置VPDN组
x25 X.25协议分组层
H3C交换机常用命令解释
作者:admin 日期:2009-12-19
字体大小: 小中大
H3C交换机常用命令注释
H3C交换机
######################################################## ###############3
1、system-view 进入系统视图模式
2、sysname 为设备命名
3、display current-configuration 当前配置情况
4、language-mode Chinese|English 中英文切换
5、interface Ethernet 1/0/1 进入以太网端口视图
6、port link-type Access|Trunk|Hybrid 设置端口访问模式
7、undo shutdown 打开以太网端口
8、shutdown 关闭以太网端口
9、quit 退出当前视图模式
10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式
11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中
12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中
13、port trunk permit vlan all 允许所有的vlan通过
H3C路由器
######################################################## ##############################
1、system-view 进入系统视图模式
2、sysname R1 为设备命名为R1
3、display ip routing-table 显示当前路由表
4、language-mode Chinese|English 中英文切换
5、interface Ethernet 0/0 进入以太网端口视图
6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码
7、undo shutdown 打开以太网端口
8、shutdown 关闭以太网端口
9、quit 退出当前视图模式
10、ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由
11、ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由
H3C S3100 Switch
H3C S3600 Switch
H3C MSR 20-20 Router
######################################################## ##################################
1、调整超级终端的显示字号;
2、捕获超级终端操作命令行,以备日后查对;
3、language-mode Chinese|English 中英文切换;
4、复制命令到超级终端命令行,粘贴到主机;
5、交换机清除配置:reset save ;reboot ;
6、路由器、交换机配置时不能掉电,连通测试前一定要
检查网络的连通性,不要犯最低级的错误。
7、192.168.1.1/24 等同192.168.1.1 255.255.255.0;在配置交换机和路由器时,
192.168.1.1 255.255.255.0 可以写成:
192.168.1.1 24
8、设备命名规则:地名-设备名-系列号例:PingGu-R-S3600
######################################################## ######################################################## #
H3C华为交换机端口绑定基本配置2008-01-22 13:40
1,端口+MAC
a)AM命令
使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。例如:
[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但
是PC1使用该MAC地址可以在其他端口上网。
b)mac-address命令
使用mac-address static命令,来完成MAC地址与端口之间的绑定。例如:
[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1
[SwitchA]mac-address max-mac-count 0
配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC 接入此端口后其mac地址无法被学习。
2,IP+MAC
a)AM命令
使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。例如:
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3
配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。
支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G
b)arp命令
使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定。例如:
[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3
配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。
3,端口+IP+MAC
使用特殊的AM User-bind命令,来完成IP、MAC地址与端口之间的绑定。例如:
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置说明:可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允
许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。
######################################################## #######################################
[S2016-E1-Ethernet0/1]mac-address max-mac-count 0;
进入到端口,用命令mac max-mac-count 0(端口mac学习数设为0)
[S2016-E1]mac static 0000-9999-8888 int e0/1 vlan 10;
将0000-9999-8888绑定到e0/1端口上,此时只有绑定mac的pc可以通过此口上网,同时E0/1属于vlan 10
就这样,ok了,不过上面两个命令顺序不能弄反,除非端口下没有接pc
######################################################## ################################
dis vlan 显示vlan
name text 指定当前vlan的名称
undo name 取消
[h3c] vlan 2
[h3c-vlan2]name test vlan
dis users 显示用户
dis startup 显示启动配置文件的信息
dis user-interface 显示用户界面的相关信息
dis web users 显示web用户的相关信息。
header login 配置登陆验证是显示信息
header shell
undo header
lock 锁住当前用户界面
acl 访问控制列表acl number inbound/outbound
[h3c]user-interface vty 0 4
[h3c-vty0-4] acl 2000 inbound
shutdown:关闭vlan接口
undo shutdown 打开vlan接口
关闭vlan1 接口
[h3c] interface vlan-interface 1
[h3c-vlan-interface] shutdown
vlan vlan-id 定义vlan
undo valn vlan-id
display ip routing-table
display ip routing-table protocol static
display ip routing-table statistics
display ip routing-table verbose 查看路由表的全部详细信息
interface vlan-interface vlan-id 进入valn
management-vlan vlan-id 定义管理vlan号
reset ip routing-table statistics protocol all 清除所有路由协议的路由信息.
display garp statistics interface GigabitEthernet 1/0/1 显示以太网端口上的garp统计信息display voice vlan status 查看语音vlan状态
[h3c-GigabitEthernet1/0/1] broadcast-suppression 20 允许接受的最大广播流量为该端口传输能力的20%.超出部分丢弃.
[h3c-GigabitEthernet1/0/1] broadcast-suppression pps 1000 每秒允许接受的最大广播数据包为1000传输能力的20%.超出部分丢弃.
display interface GigabitEthernet1/0/1 查看端口信息
display brief interface GigabitEthernet1/0/1 查看端口简要配置信息
display loopback-detection 用来测试环路测试是否开启
display transceiver-information interface GigabitEthernet1/0/50 显示光口相关信息
duplex auto/full/half
[h3c]interface GigabitEthernet1/0/1
[h3c-GigabitEthernet1/0/1]duplux auto 设置端口双工属性为自协商
port link-type access/hybrid/trunk 默认为access
port trunk permit vlan all 将trunk扣加入所有vlan中
reset counters interface GigabitEthernet1/0/1 清楚端口的统计信息
speed auto 10/100/1000
display port-security 查看端口安全配置信息
am user-bind mac-addr 00e0-fc00-5101 ip-addr 10.153.1.2 interface GigabitEthernet1/0/1 端口ip绑定
display arp 显示arp
display am user-bind 显示端口绑定的配置信息
display mac-address 显示交换机学习到的mac地址
display stp 显示生成树状态与统计信息
[h3c-GigabitEthernet1/0/1]stp instance 0 cost 200 设置生成树实例0上路径开销为200
stp cost 设置当前端口在指定生成树实例上路径开销。instance-id 为0-16 0表cist 取值范围
1-200000
display system-guard ip-record 显示防攻击记录信息.
system-guard enable 启用系统防攻击功能
display icmp statistics icmp流量统计
display ip socket
display ip statistics
display acl all
acl number acl-number match-order auto/config
acl-number (2000-2999 是基本acl 3000-3999是高级acl为管理员预留的编号)
rule deny/permit protocal
访问控制
[h3c] acl number 3000
[h3c-acl-adv-3000]rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.255.255 destination-port eq 80 (
定义高级acl 3000,允许129.0.0/16网段的主机向202.38.160/24网段主机访问端口80)
rule permit source 211.100.255.0 0.255.255.255
rule deny cos 3 souce 00de-bbef-adse ffff-ffff-fff dest 0011-4301-9912 ffff-ffff-ffff
(禁止mac地址00de-bbef-adse发送到mac地址0011-4301-9912且802.1p优先级为3的报文通过)
display qos-interface GigabitEthernet1/0/1 traffic-limit 查看端口上流量
端口速率限制
line-rate inbound/outbound target-rate
inbound:对端口接收报文进行速率限制
outbound: 对端口发送报文进行速率限制
target-rate 对报文限制速率,单位kbps 千兆口inbound范围1-1000000 outbound范围
20-1000000
undo line-rate取消限速.
[h3c]interface GigabitEthernet1/0/1
[h3c-GigabitEthernet1/0/1]line-rate outbound 128 限制出去速率为128kbps
display arp | include 77
display arp count 计算arp表的记录数
display ndp 显示交换机端口的详细配置信息。
display ntdp device-list verbose 收集设备详细信息
display lock
display users
display cpu
display memory
display fan
display device
display power
路由器防火墙配置指导
作者:admin 日期:2009-12-02
字体大小: 小中大
ICG防火墙配置指导
1 防火墙简介
防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面可以作为一个访问因特网的权限控制关口,控制内部网络用户对因特网进行Web访问或收发E-mail等。通过合理的配置防火墙可以大大提高网络的安全性和稳定性。2 防火墙配置指导
2.1 基本配置步骤
防火墙的基本配置顺序如下:
首先使能防火墙:
ipv4:系统视图下输入firewall enable
ipv6:系统视图下输入firewall ipv6 enable
然后配置acl
acl number 3000
rule 0 permit ip source 1.0.0.1 0
rule 10 deny ip
然后在接口上根据需要应用防火墙
interface Ethernet0/1
port link-mode route
firewall packet-filter 3000 inbound
ip address 5.0.0.2 255.255.255.0
2.2 基础配置举例:
如前所说,在使能了防火墙后,就要按需求配置acl并应用在接口上,下面给出几个常见的需求的配置方法:
et0/1
et0/0
以下的例子中的组网如下:
ICG设备
内网
外网
其中内网地址192.168.0.2-192.168.1.255
2.2.1 禁止访问外网的某些地址
用途:限制上网。比如禁止访问100.0.0.1地址
acl配置:
[H3C]acl n 3000
[H3C-acl-adv-3000]rule deny ip destination 100.0.0.1 0 禁止100.0.0.1
[H3C-acl-adv-3000]rule permit ip 允许其它ip
端口配置,在内网口入方向配置防火墙
[H3C]int et0/1
[H3C-Ethernet0/1]firewall packet-filter 3000 inbound
备注:1)如果要禁止某个网段,则选择配置适当的掩码就可以了
2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙
2.2.2 限制只能访问外网的某些地址
用途:限制上网。比如只能访问200.0.0.1/24网段
acl配置:
[H3C]acl n 3000
[H3C-acl-adv-3000]rule permit ip destination 200.0.0.1 0.0.0.255 允许访问200.0.0.1/24网段
[H3C-acl-adv-3000]rule deny ip 禁止访问其他网段
端口配置,在内网口入方向配置防火墙
[H3C]int et0/1
[H3C-Ethernet0/1]firewall packet-filter 3000 inbound
备注:1)如果要增加其他允许的网段,就需要增加相应的rule
2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙
2.2.3 限制只能某些地址可以访问外网
用途:限制上网。比如只允许192.168.1.0/24网段的地址访问外网
acl配置:
[H3C]acl n 3000
[H3C-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 允许192.168.1.0/24访问外网
[H3C-acl-adv-3000]rule deny ip 禁止其他地址访问
端口配置,在内网口入方向配置防火墙
[H3C]int et0/1
[H3C-Ethernet0/1]firewall packet-filter 3000 inbound
备注:1)如果要更精确的控制,可以通过多条rule加更精细的掩码匹配来实现
2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙。2.2.4 禁止某些地址访问外网
用途:限制上网。比如禁止192.168.0.5,192.168.1.59两个地址访问外网
acl配置:
[H3C]acl n 3000
[H3C-acl-adv-3000]rule deny ip source 192.168.0.5 0 禁止192.168.0.5地址
[H3C-acl-adv-3000]rule deny ip source 192.168.1.59 0 禁止192.168.1.59地址
[H3C-acl-adv-3000]rule permit ip 允许其他地址
端口配置,在内网口入方向配置防火墙
[H3C]int et0/1
[H3C-Ethernet0/1]firewall packet-filter 3000 inbound
备注:1)如果要对网段实现控制,设置规则时匹配该网段就可以了
2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙。2.2.5 禁止某些地址访问内网
用途:放置非法访问。比如禁止200.0.0.1/24网段的地址访问内网:
acl配置:
[H3C]acl n 3000
[H3C-acl-adv-3000]rule deny ip source 200.0.0.1 0.0.0.255 禁止访问200.0.0.1/24
[H3C-acl-adv-3000]rule permit ip 允许其他地址
端口配置,在外网口入方向配置防火墙
[H3C]int et0/0
[H3C-Ethernet0/0]firewall packet-filter 3000 inbound
备注:如果有多个网段需要禁止,就需要配置多条rule
2.2.6 限制内网的某些地址不能访问外网的某些地址用途:限制上网。比如192.168.1.0/24的地址段不能访问200.0.0.1/24
acl配置:
[H3C]acl n 3000
[H3C-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 200.0.0.1 0.0.0.255
[H3C-acl-adv-3000]rule permit ip 允许其他地址
端口配置,在内网口入方向配置防火墙
[H3C]int et0/1
[H3C-Ethernet0/1]firewall packet-filter 3000 inbound
备注:如果有多个网段需要禁止,就需要配置多条rule
2.2.7 限制ICMP报文
用途:防攻击。只允许ping报文,屏蔽其他icmp报文,防止攻击
acl配置:
[H3C]acl n 3000
[H3C-acl-adv-3000]rule permit icmp icmp-type echo
[H3C-acl-adv-3000]rule permit icmp icmp-type echo-reply
[H3C-acl-adv-3000]rule permit icmp icmp-type ttl-exceeded
[H3C-acl-adv-3000]rule deny icmp
端口配置,在外网口入方向配置防火墙
[H3C]int et0/0
[H3C-Ethernet0/0]firewall packet-filter 3000 inbound
2.2.8 禁止外网访问某个端口
用途:防攻击,限制应用。比如禁止外网访问300端口
acl配置:
[H3C]acl n 3000
[H3C-acl-adv-3000]rule deny tcp destination-port eq 300
端口配置,在外网口入方向配置防火墙
[H3C]int et0/0
[H3C-Ethernet0/0]firewall packet-filter 3000 inbound
备注:可以配置某一段端口不能访问
2.2.9 只允许外网访问某个端口
用途:防攻击,限制应用。比如只允许外网访问ftp端口
acl配置:
[H3C]acl n 3000
[H3C-acl-adv-3000]rule permit tcp destination-port eq ftp
端口配置,在外网口入方向配置防火墙
[H3C]int et0/0
[H3C-Ethernet0/0]firewall packet-filter 3000 inbound
[H3C-acl-adv-3000]rule deny tcp
备注:应用时可以加上ip地址的匹配,比如内网某台机器是ftp服务器,则可以配置该地址只开放ftp端口。
2.3 进阶配置
2.3.1 组合使用上面的配置
可以在一条acl中配置多个rule,也可以在一个端口上分别配置inbound和outbound的规则进行匹配,通过灵活应用与组合,实现需要的保护与限制。
2.3.2 过滤常见攻击
通过防火墙,过滤掉一些常见的攻击,以下推荐一些常用的配置:
限制NETBIOS协议端口:
[H3C]acl number 3000
[H3C-acl-adv-3000]rule deny udp destination-port eq netbios-ns
[H3C-acl-adv-3000]rule deny udp destination-port eq netbios-dgm
[H3C-acl-adv-3000]rule deny tcp destination-port eq 139
[H3C-acl-adv-3000]rule deny udp destination-port eq netbios-ssn
限制常见病毒使用的端口:
[H3C]acl number 3000
[H3C-acl-adv-3000]rule deny tcp destination-port eq 135 / Worm.Blaster
[H3C-acl-adv-3000]rule deny udp destination-port eq 135 / Worm.Blaster
[H3C-acl-adv-3000]rule deny tcp destination-port eq 445 / Worm.Blaster
[H3C-acl-adv-3000]rule deny udp destination-port eq 445 / Worm.Blaster
[H3C-acl-adv-3000]rule deny udp destination-port eq 593 / Worm.Blaster
[H3C-acl-adv-3000]rule deny tcp destination-port eq 593 / Worm.Blaster
[H3C-acl-adv-3000]rule deny tcp destination-port eq 1433 / SQL Slammer
[H3C-acl-adv-3000]rule deny tcp destination-port eq 1434 / SQL Slammer
[H3C-acl-adv-3000]rule deny tcp destination-port eq 4444 / Worm.Blaster
[H3C-acl-adv-3000]rule deny tcp destination-port eq 1025 / Sasser
[H3C-acl-adv-3000]rule deny tcp destination-port eq 1068 / Sasser
[H3C-acl-adv-3000]rule deny tcp destination-port eq 707 /Nachi Blaster-D
[H3C-acl-adv-3000]rule deny tcp destination-port eq 5554 / Sasser
[H3C-acl-adv-3000]rule deny tcp destination-port eq 9996 / Sasser
2.3.3 设置时间段
如果要限制某段时间内使防火墙生效,就需要配置time-range,然后在acl的rule上加入此限制,方法如下:
比如在工作时间,外网只能访问100.0.0.1,其他时间不做限制
定义时间段:
[H3C]time-range worktimeam 8:00 to 12:00 working-day 定义上午
[H3C]time-range worktimepm 13:00 to 17:00 working-day 定义下午
如果不需要“午休”时间,那直接定义成8:00-17:00就可以了
定义acl
[H3C]acl n 3000
[H3C-acl-adv-3000]rule permit ip destination 100.0.0.1 0 time-range worktimeam
[H3C-acl-adv-3000]rule permit ip destination 100.0.0.1 0 time-range worktimepm
[H3C-acl-adv-3000]rule deny ip time-range worktimeam
[H3C-acl-adv-3000]rule deny ip time-range worktimepm
端口配置,在内网口入方向配置防火墙
[H3C]int et0/1
[H3C-Ethernet0/1]firewall packet-filter 3000 inbound
2.3.1 配置推荐
对于最基本的应用,给出以下的配置模版,包括屏蔽了常见攻击和内外网访问控制。内网口:
acl number 3101
rule 10 permit icmp icmp-type echo
rule 20 permit icmp icmp-type echo-reply
rule 30 permit icmp icmp-type ttl-exceeded
rule 40 deny icmp
rule 110 deny tcp destination-port eq 135
rule 120 deny udp destination-port eq 135
rule 130 deny udp destination-port eq netbios-ns
rule 140 deny udp destination-port eq netbios-dgm
rule 150 deny tcp destination-port eq 139
rule 160 deny udp destination-port eq netbios-ssn
rule 170 deny tcp destination-port eq 445
rule 180 deny udp destination-port eq 445
rule 190 deny udp destination-port eq 593
rule 200 deny tcp destination-port eq 593
rule 210 deny tcp destination-port eq 1433
rule 220 deny tcp destination-port eq 1434
rule 230 deny tcp destination-port eq 4444
rule 240 deny tcp destination-port eq 1025
rule 250 deny tcp destination-port eq 1068
rule 260 deny tcp destination-port eq 707
rule 270 deny tcp destination-port eq 5554
rule 280 deny tcp destination-port eq 9996
rule 2000 permit ip source 192.168.0.0 0.0.1.255
rule 3000 deny ip
#在内网接口下应用:interface vlan-interface 1 ip address 192.168.0.1 255.255.254.0 firewall packet-filter 3101 inbound外网口acl number 3102
rule 10 permit icmp icmp-type echo
rule 20 permit icmp icmp-type echo-reply
rule 30 permit icmp icmp-type ttl-exceeded
rule 40 deny icmp
rule 110 deny tcp destination-port eq 135
rule 120 deny udp destination-port eq 135
rule 130 deny udp destination-port eq netbios-ns
rule 140 deny udp destination-port eq netbios-dgm
rule 150 deny tcp destination-port eq 139
rule 160 deny udp destination-port eq netbios-ssn
rule 170 deny tcp destination-port eq 445
rule 180 deny udp destination-port eq 445
rule 190 deny udp destination-port eq 593
rule 200 deny tcp destination-port eq 593
rule 210 deny tcp destination-port eq 1433
rule 220 deny tcp destination-port eq 1434
rule 230 deny tcp destination-port eq 4444
rule 240 deny tcp destination-port eq 1025
rule 250 deny tcp destination-port eq 1068
rule 260 deny tcp destination-port eq 707
rule 270 deny tcp destination-port eq 5554
rule 280 deny tcp destination-port eq 9996
rule 2000 permit ip destination 192.168.0.0 0.0.1.255
rule 2010 permit tcp destination-port eq 23
rule 3000 deny ip
#在WAN接口下应用:interface ethernet 0/0
ip address 202.198.11.2 255.255.255.0 firewall packet-filter 3102 inbound
华三华为交换机路由器 配置常用命令汇总 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
H3C交换机配置命令大全1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、 port link-type Access|Trunk|Hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口
9、 quit 退出当前视图模式 10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全华为交换机常用配置实例 H3C交换机路由器telnet和console口登录配置 2009年11月09日星期一 10:00
级别说明 Level 名称 命令 参观 ping、tracert、telnet 1 监控 display、debugging 2 配置 所有配置命令(管理级的命令除外)
h3c路由器基本配置命令大全 精品文档 H3C路由器基本配置命令大全 H3C路由器基本配置命令有哪些?下面跟gkstk小编一起来学习一下吧! [Quidway]displayversion 显示版本信息 [Quidway]displaycurrent-configuration 显示当前配置 [Quidway]displayinterfaces 显示接口信息 [Quidway]displayip route 显示路由信息 [Quidway]sysnameaabbcc 更改主机名 [Quidway]superpasswrod 12345设置口令 [Quidway]interfaceserial0 进入接口 [Quidway-serial0]ipaddress [Quidway-serial0]undoshutdown 激活端口 [Quidway]link-protocolhdlc 绑定hdlc协议 [Quidway]user-interfacevty 0 [Quidway-ui-vty0-4]authentication-modepassword [Quidway-ui-vty0-4]setauthentication-mode password simple22 [Quidway-ui-vty0-4]userprivilege level [Quidway-ui-vty0-4]quit [Quidway]debugginghdlc all serial0 显示所有信息 [Quidway]debugginghdlc event serial0 调试事件信 1 / 8
精品文档 息 [Quidway]debugginghdlc packet serial0 显示包的信 息 [Quidway]iproute-static {interfacenumber|nexthop}[value][reject|blackhole] 例如: [Quidway]iproute-static 129.1.0.0 110.0.0.2 [Quidway]iproute-static 129.1.0.055.255.0.0 10.0.0.2 [Quidway]iproute-static 129.1.0.0 1Serial [Quidway]iproute-static 0.0.0.0 0.0.0.0 10.0.0.2 [Quidway]rip [Quidway]rip work [Quidway]rip input [Quidway]ripoutput [Quidway-rip]network1.0.0.0 ;可以all [Quidway-rip]network2.0.0.0 [Quidway-rip]peerip-address [Quidway-rip]summary [Quidway]ripversion 1 [Quidway]ripversion multicast [Quidway-Ethernet0]ripsplit-horizon ;水平分隔 2 / 8 精品文档
H3C交换机配置命令大全 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、 port link-type Access|Trunk|Hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表
4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、 ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由 11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配 置默认的路由 H3C S3100 Switch H3C S3600 Switch H3C MSR 20-20 Router 1、调整超级终端的显示字号; 2、捕获超级终端操作命令行,以备日后查对; 3、 language-mode Chinese|English 中英文切换; 4、复制命令到超级终端命令行,粘贴到主机; 5、交换机清除配置 :
监控视图命令: arp-ping ARP-ping backup备份信息 cd改变当前路径check检测版本配套信息clock设置系统时钟compare比较功能 copy拷贝文件debugging打开系统调试开关delete删除文件 dir列出文件系统中的文件display显示 format格式化设备 free释放用户接口 ftp建立一个FTP连接language-mode设置语言环境license激活License文件 lldp链路层发现协议 local-user添加/删除/设置用户lock锁住用户终端 mkdir创建新目录 more显示文件的内容
move移动文件 mpls配置MPLS参数 mtrace跟踪到组播源 patch补丁命令组 patch-state补丁状态 ping检查网络连接或主机是否可达 power上下电操作 pwd显示当前的工作路径 quit退出当前的命令视图 reboot系统重启 refresh软清除方式 rename重命名文件或目录 reset清除 rmdir删除已经存在的目录 save保存当前有效配置 schedule设定系统任务 screen-length设置屏幕显示的行数 send向其他的用户终端接口传送信息 set set start-script在物理终端用户接口上执行一个指定脚本startup配置系统启动参数 super指定当前用户优先级
system-view进入系统视图 telnet建立一个TELNET连接 terminal设置终端特性 test-aaa帐号测试 tftp建立一个TFTP 连接 trace从链路层上trace 路由器(交换机)到主机tracert Trace route到主机 undelete恢复删除的文件 undo取消当前设置 unzip解压缩文件 upgrade更新 xmodem建立一个xmodem连接 zip压缩文件 系统视图命令: aaa AAA 视图 acl指定ACL配置信息 apply应用FIB路由策略 arp指定ARP配置信息 arp-miss ARP miss 消息 arp-ping ARP-ping arp-suppress指定ARP抑制功能配置,缺省值是非使能
H3C 交换机配置命令大全 1、 system-view 进入系统视图模式 2、 sysname 为设备命名 3、 display current-configuration 当前配置情况 4、 language-mode Chinese|English 中英文切换 5、 interface Ethernet 1/0/1 进入以太网端口视图 6、 port link-type Access|Trunk|Hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 vlan 10 创建 VLAN 10 并进入 VLAN 10 的视图模式 13、 port trunk permit vlan all H3C 路由器 1、 system-view 进入系统视图模式 2、 sysname R1 为设备命名为 R1 3、 display ip routing-table 显示当前路由表 4、 language-mode Chinese|English 中英文切换 5、 interface Ethernet 0/0 进入以太网端口视图 6、 ip address 192.168.1.1 255.255.255.0 配置 IP 地址和子网掩码 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 置 静态路由 11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 H3C S3100 Switch H3C S3600 Switch H3C MSR 20-20 Router 11、 port access vlan 10 12、 port E1/0/2 to E1/0/5 在端口模式下将当前端口加入到 vlan 10 中 在 VLAN 模式下将指定端口加入到当前 vlan 允许所有的 vlan 通过 配 配置默认的路
.用户配置:
H3C交换机配置命令大全 ##################################################################### H3C交换机 ##################################################################### 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、port link-type Access|Trunk|Hybrid 设置端口访问模式 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 ##################################################################### H3C路由器 ##################################################################### 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、undo shutdown 打开以太网端口
一.用户配置:
一.用户配置:
H3C交换机配置命令大全 H3C交换机 ################################################ Dis cur 查看当前配置 [h3c]telnet server enable 开启远程登录 [h3c]local-user h3c 创建用户名h3c [h3c-luser-h3c]password cipher h3c 为h3c创建密文显示的密码 [h3c-luser-h3c]service-type telnet 定义该用户的服务类型为telnet [h3c-luser-h3c]authorization-attribute level 3 定义该用户的特权级别 [h3c-luser-h3c]quit 退出用户配置模式 [h3c]user-interface vty 0 4 设置虚拟用户端口 [h3c-ui-vty0-4]authentication-mode scheme 设定远程登录用户的登录方式使用用户名和密码 [h3c-ui-vty0-4]user privilege level 3 设置远程登录用户登录后的最高级别 注意两条设置级别命令的区别。第一个是设置当前用户的级别。第二个是设置所有远程登录用户的最高级别 H3C路由telnet配置第一步:开启服务 1.[H3C]telnetserver enable#开启服务 H3C路由telnet配置第二步:创建和配置用户 1.[H3C]local-user new 2.#创建一个用户,命名为new 3. 4.[H3C-luser-new]password simple 1234
H3C-1-1-N配置命令: [H3C-1-1-N]DIS CUR # sysname H3C-1-1-N # super password admin # # # # # local-user admin password admin service-type web local-user h3c password h3c # radius scheme system # # vlan 1 # vlan 11 # vlan 111 # vlan 200 # vlan 255 description guanli # interface vlan-interface255 ip address 172.16.255.100 255.255.255.0 # # #stp configuration stp enable # interface Ethernet0/1 port access vlan 100 # interface Ethernet0/2 port access vlan 255 # interface Ethernet0/3 port access vlan 11 # interface Ethernet0/4 port access vlan 11 # interface Ethernet0/5 port access vlan 11 # interface Ethernet0/6 port access vlan 11 # interface Ethernet0/7 port access vlan 11 # interface Ethernet0/8 port access vlan 11 # interface Ethernet0/9 port access vlan 11 # interface Ethernet0/10 port access vlan 11 # interface Ethernet0/11 port access vlan 11 # interface Ethernet0/12 port access vlan 11 # interface Ethernet0/13 port access vlan 11 # interface Ethernet0/14 port access vlan 11 # interface Ethernet0/15 port access vlan 11 # interface Ethernet0/16 port access vlan 11 # interface Ethernet0/17 port access vlan 11 # interface Ethernet0/18 port access vlan 11 # interface Ethernet0/19 port access vlan 11 # interface Ethernet0/20 port access vlan 11 # interface Ethernet0/21 port access vlan 11 # interface Ethernet0/22 port access vlan 11 # interface Ethernet0/23 port access vlan 11 # interface Ethernet0/24 port access vlan 11 # interface Ethernet0/25 port access vlan 111 # interface Ethernet0/26 port access vlan 111 # interface Ethernet0/27 port access vlan 111 # interface Ethernet0/28 port access vlan 111 # interface Ethernet0/29 port access vlan 111 # interface Ethernet0/30 port access vlan 111 # interface Ethernet0/31 port access vlan 111 # interface Ethernet0/32 port access vlan 111 # interface Ethernet0/33 port access vlan 111 # interface Ethernet0/34 port access vlan 111 #
H3C配置命令
H3C的路由器配置命令详解 SYS进入视图配置模式 in s0 进入serial 0 端口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配 enca hdlc/ppp 捆绑链路协议hdlc 或者ppp ip unn e0 exit 回到全局配置模式 in e0 进入以太接口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配 exit 回到全局配置模式
ip route 0.0.0.0 0.0.0.0 s 0 添加路由表 ena password 口令 write exit 以上根据中国电信ddn 专线多数情况应用 普通用户模式 enable 转入特权用户模式 exit 退出配置 help 系统帮助简述 language 语言模式切换 ping 检查网络主机连接及主机是否可达 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器 特权用户模式 #? clear 清除各项统计信息 clock 管理系统时钟 configure 进入全局配置模式 debug 开启调试开关 disable 返回普通用户模式 download 下载新版本软件和配置文件 erase 擦除FLASH中的配置 exec-timeout 打开EXEC超时退出开关 exit 退出配置
first-config 设置或清除初次配置标志 help 系统帮助简述 language 语言模式切换 monitor 打开用户屏幕调试信息输出开关 no 关闭调试开关 ping 检查网络主机连接及主机是否可达 reboot 路由器重启 setup 配置路由器参数 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM中 全局配置模式 aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表 arp 设置静态ARP人口 chat-script 生成一个用在modem上的执行脚本custom-list 创建定制队列列表 dialer-list 创建dialer-list dram-wait 设置DRAM等待状态 enable 修改ENABLE口令 exit 退出全局配置模式 firewall 配置防火墙状态 flow-interval 设置流量控制时间间隔 frame-relay 帧中继全局配置命令集 ftp-server FTP 服务器 help 系统帮助命令简述 host 添加主机名称和其IP地址
H3C的路由器配置命令详解 en 进入特权模式 conf 进入全局配置模式 in s0 进入serial 0 端口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配enca hdlc/ppp 捆绑链路协议hdlc 或者ppp ip unn e0 exit 回到全局配置模式 in e0 进入以太接口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配exit 回到全局配置模式 ip route 0.0.0.0 0.0.0.0 s 0 添加路由表 ena password 口令 write exit 以上根据中国电信ddn 专线多数情况应用 普通用户模式 enable 转入特权用户模式 exit 退出配置 help 系统帮助简述 language 语言模式切换 ping 检查网络主机连接及主机是否可达 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器 特权用户模式 #? clear 清除各项统计信息
clock 管理系统时钟 configure 进入全局配置模式 debug 开启调试开关 disable 返回普通用户模式 download 下载新版本软件和配置文件 erase 擦除FLASH中的配置 exec-timeout 打开EXEC超时退出开关 exit 退出配置 first-config 设置或清除初次配置标志 help 系统帮助简述 language 语言模式切换 monitor 打开用户屏幕调试信息输出开关 no 关闭调试开关 ping 检查网络主机连接及主机是否可达 reboot 路由器重启 setup 配置路由器参数 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM中 全局配置模式 aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表 arp 设置静态ARP人口 chat-script 生成一个用在modem上的执行脚本custom-list 创建定制队列列表 dialer-list 创建dialer-list dram-wait 设置DRAM等待状态
华为3COM交换机配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration ;显示当前生效的配置 [Quidway]display saved-configuration ;显示flash中配置文件,即下次上电启动时所用的配置文件
H3C 配置命令