H3C防火墙配置手册全集

平安区域之迟辟智美创作2.1.1 平安区域的概念平安区域（zone）是防火墙产物所引入的一个平安概念，是防火墙产物区别于路由器的主要特征. 对路由器，各个接口所连接的网络在平安上可以视为是平等的，没有明显的内外之分，所以即使进行一定水平的平安检查，也是在接口上完成的.这样，一个数据流双方向通过路由器时有可能需要进行两次平安规则的检查（入接口的平安检查和出接口的平安检查），以便使其符合每个接口上自力的平安宁义.而这种思路对防火墙来说不很适合，因为防火墙所承当的责任是呵护内部网络不受外部网络上非法行为的侵害，因而有着明确的内外之分. 当一个数据流通过secpath防火墙设备的时候，根据其发起方向的分歧，所引起的把持是截然分歧的.由于这种平安级别上的分歧，再采纳在接口上检查平安战略的方式已经不适用，将造成用户在配置上的混乱.因此，secpath防火墙提出了平安区域的概念. 一个平安区域包括一个或多个接口的组合，具有一个平安级别.在设备内部，平安级别通过0～100的数字来暗示，数字越年夜暗示平安级别越高，不存在两个具有相同平安级另外区域.只有当数据在分属于两个分歧平安级另外区域（或区域包括的接口）之间流动的时候，才会激活防火墙的平安规则检查功能.数据在属于同一个平安区域的分歧接口间流动时不会引起任何检查. 2.1.2secpath防火墙上的平安区域 1. 平安区域的划分 secpath 防火墙上保管四个平安区域： 1 非受信区（untrust）：初级的平安区域，其平安优先级为5. 2 非军事化区（dmz）：中度级另外平安区域，其平安优先级为50. 3 受信区（trust）：较高级另外平安区域，其平安优先级为85. 4 本地域域（local）：最高级另外平安区域，其平安优先级为100. 另外，如认为有需要，用户还可以自行设置新的平安区域并界说其平安优先级别. dmz（de militarized zone，非军事化区）这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部份管制的区域.防火墙引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的区域.通常布置网络时，将那些需要被公共访问的设备（例如，www server、ftp server 等）放置于此. 因为将这些服务器放置于外部网络则它们的平安性无法保证；放置于内部网络，外部恶意用户则有可能利用某些服务的平安漏洞攻击内部网络.因此，dmz区域的呈现很好地解决了这些服务器的放置问题. 2. 接口、网络与平安区域的关系除local区域以外，在使用其他所有平安区域时，需要将平安区域分别与防火墙的特定接口相关联，即将接口加入到区域. 系统不允许两个平安区域具有相同的平安级别；而且同一接口不成以分属于两个分歧的平安区域. 平安区域与各网络的关联遵循下面的原则： 1 内部网络应安插在平安级别较高的区域 2 外部网络应安插在平安级别最低的区域 3 一些可对外部提供有条件服务的网络应安插在平安级别中等的dmz区具体来说，trust所属接口用于连接用户要呵护的网络；untrust所属接口连接外部网络；dmz区所属接口连接用户向外部提供服务的部份网络；从防火墙设备自己发起的连接即是从local区域发起的连接.相应的所有对防火墙设备自己的访问都属于向local区域发起访问连接.区域之间的关系如下图所示：3. 入方向与出方向分歧级另外平安区域间的数据流动都将激发防火墙进行平安战略的检查，而且可以为分歧流动方向设置分歧的平安战略.域间的数据流分两个方向： 1 入方向（inbound）：数据由初级另外平安区域向高级另外平安区域传输的方向； 2 出方向（outbound）：数据由高级另外平安区域向初级另外平安区域传输的方向. 在secpath防火墙上，判断数据传输是出方向还是入方向，总是相对高平安级另外一侧而言.根据上图所示，可以获得如下结论： 1 从dmz区到untrust区域的数据流为出方向，反之为入方向； 2 从trust区域到dmz区的数据流为出方向，反之为入方向； 3 从trust区域到untrust区域的数据流为出方向，反之为入方向. 路由器上数据流动方向的判定是以接口为主：由接口发送的数据方向称为出方向；由接口接收的数据方向称为入方向.这也是路由器有别于防火墙的重要特征. 在防火墙中，当报文从高优先级区域向低优先级区域发起连接时，即从trust区域向untrust区域和dmz区发起数据连接，或dmz区域向untrust区域发起连接时，必需明确配置缺省过滤规则. 由防火墙本地（local区域）发起或终止的报文不进行状态检测，这类报文的过滤由包过滤机制来完成. 2.1.3 平安区域的配置平安区域的配置包括：创立平安区域并进入平安区域视图配置平安区域的平安优先级配置平安区域的隶属接口进入域间视图 1. 创立平安区域并进入平安区域视图系统缺省保管四个平安区域：本地域域（local）、受信区域（trust）、非军事化区（dmz）和非受信区域（untrust），这四个区域无需创立也不能删除. 创立新的平安区域时，需要使用name关键字；进入保管的或已建立的平安区域视图时则不需要使用该关键字. 请在系统视图下进行下列配置.缺省情况下，系统预界说了四个平安区域，即local、trust、dmz和untrust区域.系统最年夜支持16个平安区域（包括四个保管的区域）. 2. 配置平安区域的平安优先级只能为用户自己创立的平安区域才华配置平安优先级.系统保管四个平安区域本地域域（local）、受信区域（trust）、非军事化区（dmz）和非受信区域（untrust）的平安优先级分别是100、85、50和5，优先级不成以重新配置.同一系统中，两个平安区域不允许配置相同的平安优先级. 请在平安区域视图下进行下列配置.缺省情况下，用户自界说的平安区域优先级为0.平安区域优先级一旦设定后，不允许再更改. 3. 配置平安区域的隶属接口除local区域以外，使用其他所有平安区域时需要将平安区域分别与防火墙的特定接口相关联，即需要将接口加入到区域.该接口既可以是物理接口，也可以是逻辑接口.可屡次使用该命令为平安区域指定多个接口，一个平安区域能够支持的最年夜接口数量为1024. 请在平安区域视图下进行下列配置.缺省情况下，平安区域中不包括任何接口，所有隶属关系都需要通过该add interface命令手工配置. 4. 进入域间视图当数据流在平安区域之间流动时，才会激发secpath防火墙进行平安战略的检查，即secpath防火墙的平安战略实施都是基于域间（例如untrust区域和trust区域之间）的，分歧的区域之间可以设置分歧的平安战略（例如包过滤战略、状态过滤战略等等）.因此，为了在区域间设置分歧的平安战略，第一步就是要进入域间视图. 进入域间视图后的平安战略的设置将在后文的各章中逐一介绍. 请在系统视图下进行下列配置.2.1.4 平安区域的显示与调试在完成上述配置后，在所有视图下执行display命令可以显示平安区域的配置情况，通过检查显示信息验证配置的效果.2.1.5 平安区域的典范配置举例 1. 组网需求某公司以secpath防火墙作为网络边防设备，设置三个平安区域：公司内部网络布置在trust区域，secpath防火墙的以太网口ethernet 0/0/0与之相连；公司对外提供服务的www server、ftp server等布置在dmz区，secpath防火墙的以太网口ethernet 1/0/0与之相连；外部网络则属于untrust区域，由secpath防火墙的以太网口ethernet 2/0/0连接. 现需要对防火墙进行一些基本配置，以为后面的平安战略的设置做好准备. 2. 组网图 3. 配置步伐 # 配置防火墙接口ethernet 0/0/0. [secpath] interface ethernet 0/0/0 [secpath-ethernet0/0/0] ip address 192.168.1.1 255.255.255.0 [secpath-ethernet0/0/0] quit # 配置防火墙接口ethernet 1/0/0. [secpath] interface ethernet1/0/0 [secpath-ethernet1/0/0] ip address 202.1.0.1255.255.0.0 [secpath-ethernet1/0/0] quit # 配置防火墙接口ethernet 2/0/0. [secpath] interface ethernet 2/0/0 [secpath-ethernet2/0/0] ip address 210.78.245.1255.255.255.0 [secpath-ethernet2/0/0] quit # 配置接口ethernet 0/0/0加入防火墙trust区域. [secpath] firewall zone trust [secpath-zone-trust] add interface ethernet0/0/0 [secpath-zone-trust] quit # 配置接口ethernet 1/0/0加入防火墙dmz域. [secpath] firewall zone dmz [secpath-zone-dmz] add interface ethernet 1/0/0 [secpath-zone-dmz]quit # 配置接口ethernet2/0/0加入防火墙untrust区域. [secpath] firewall zone untrust [secpath-zone-untrust] add interface ethernet 2/0/0 [secpath-zone-untrust] quit # 进入域间视图（例如进入trust和untrust的域间视图）准备配置平安战略（注：平安战略的配置后文各章讲述，本处不进行举例）. [secpath] firewall interzone trustuntrust [secpath-interzone-trust-untrust]。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

h3c防火墙的基本配置h3c防火墙的基本配置[F100-A]dis current-configuration#sysname F100-A#undo firewall packet-filter enablefirewall packet-filter default permit#undo insulate#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user egb--aqpassword cipher ]#R=WG;'I/ZGL^3L[[\\1-A!!service-type telnetlevel 3#aspf-policy 1detect httpdetect smtpdetect ftpdetect tcpdetect udp#acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255 rule 1 deny#interface Virtual-T emplate1#interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.0.1 255.255.255.0#interface Ethernet1/0ip address 211.99.231.130 255.255.255.224ip address 211.99.231.132 255.255.255.224 sub ip address 211.99.231.133 255.255.255.224 sub ip address 211.99.231.134 255.255.255.224 sub ip address 211.99.231.135 255.255.255.224 sub ip address 211.99.231.136 255.255.255.224 sub ip address 211.99.231.137 255.255.255.224 sub ip address 211.99.231.138 255.255.255.224 sub ip address 211.99.231.139 255.255.255.224 sub ip address 211.99.231.131 255.255.255.224 subnat outbound 2000nat server protocol tcp global 211.99.231.136 3000 inside 192.168.0.6 3000nat server protocol tcp global 211.99.231.136 6000 inside 192.168.0.6 6000nat server protocol tcp global 211.99.231.132 ftp inside 192.168.0.3 ftpnat server protocol tcp global 211.99.231.132 5631 inside 192.168.0.3 5631nat server protocol tcp global 211.99.231.132 43958 inside 192.168.0.3 43958nat server protocol tcp global 211.99.231.134 ftp inside 192.168.0.4 ftpnat server protocol tcp global 211.99.231.134 www inside 192.168.0.4 wwwnat server protocol tcp global 211.99.231.134 5631 inside 192.168.0.4 5631nat server protocol tcp global 211.99.231.134 43958 inside 192.168.0.4 43958nat server protocol tcp global 211.99.231.135 ftp inside 192.168.0.5 ftpnat server protocol tcp global 211.99.231.135 58169 inside 192.168.0.5 58169nat server protocol tcp global 211.99.231.135 www inside 192.168.0.5 wwwnat server protocol tcp global 211.99.231.135 43958 inside 192.168.0.5 43958nat server protocol tcp global 211.99.231.136 ftp inside 192.168.0.6 ftpnat server protocol tcp global 211.99.231.136 smtp inside192.168.0.6 smtpnat server protocol tcp global 211.99.231.136 www inside 192.168.0.6 wwwnat server protocol tcp global 211.99.231.136 81 inside 192.168.0.6 81nat server protocol tcp global 211.99.231.136 82 inside 192.168.0.6 82nat server protocol tcp global 211.99.231.136 83 inside 192.168.0.6 83nat server protocol tcp global 211.99.231.136 84 inside 192.168.0.6 84nat server protocol tcp global 211.99.231.136 pop3 inside 192.168.0.6 pop3nat server protocol tcp global 211.99.231.136 1433 inside 192.168.0.6 1433nat server protocol tcp global 211.99.231.136 5150 inside 192.168.0.6 5150nat server protocol tcp global 211.99.231.136 5631 inside 192.168.0.6 5631nat server protocol tcp global 211.99.231.136 58169 inside 192.168.0.6 58169nat server protocol tcp global 211.99.231.136 8080 inside 192.168.0.6 8080nat server protocol tcp global 211.99.231.136 43958 inside 192.168.0.6 43958nat server protocol tcp global 211.99.231.138 smtp inside 192.168.0.8 smtpnat server protocol tcp global 211.99.231.138 www inside 192.168.0.8 www192.168.0.8 pop3nat server protocol tcp global 211.99.231.138 5631 inside 192.168.0.8 5631nat server protocol tcp global 211.99.231.138 58169 inside 192.168.0.8 58169nat server protocol tcp global 211.99.231.137 ftp inside 192.168.0.9 ftpnat server protocol tcp global 211.99.231.137 www inside 192.168.0.9 wwwnat server protocol tcp global 211.99.231.132 www inside 192.168.0.3 wwwnat server protocol tcp global 211.99.231.137 81 inside 192.168.0.9 81nat server protocol tcp global 211.99.231.137 82 inside 192.168.0.9 82nat server protocol tcp global 211.99.231.137 83 inside 192.168.0.9 83nat server protocol tcp global 211.99.231.137 1433 inside 192.168.0.9 1433nat server protocol tcp global 211.99.231.137 5631 inside 192.168.0.9 5631nat server protocol tcp global 211.99.231.137 43958 inside 192.168.0.9 43958nat server protocol tcp global 211.99.231.137 58169 inside 192.168.0.9 58169nat server protocol tcp global 211.99.231.136 88 inside 192.168.0.6 88nat server protocol tcp global 211.99.231.137 84 inside 192.168.0.9 84192.168.0.9 85nat server protocol tcp global 211.99.231.137 86 inside 192.168.0.9 86nat server protocol tcp global 211.99.231.137 87 inside 192.168.0.9 87nat server protocol tcp global 211.99.231.137 88 inside 192.168.0.9 88nat server protocol tcp global 211.99.231.137 smtp inside 192.168.0.9 smtpnat server protocol tcp global 211.99.231.137 8080 inside 192.168.0.9 8080nat server protocol tcp global 211.99.231.137 5080 inside 192.168.0.9 5080nat server protocol tcp global 211.99.231.137 1935 inside 192.168.0.9 1935nat server protocol udp global 211.99.231.137 5555 inside 192.168.0.9 5555nat server protocol tcp global 211.99.231.132 58169 inside 192.168.0.3 58169nat server protocol tcp global 211.99.231.134 58169 inside 192.168.0.4 58169nat server protocol tcp global 211.99.231.135 5631 inside 192.168.0.5 5631nat server protocol tcp global 211.99.231.136 6100 inside 192.168.0.6 6100nat server protocol tcp global 211.99.231.139 www inside 192.168.0.12 wwwnat server protocol tcp global 211.99.231.139 58169 inside 192.168.0.12 58169192.168.0.12 58189nat server protocol tcp global 211.99.231.139 5631 inside 192.168.0.12 5631nat serverprotocol tcp global 211.99.231.137 89 inside 192.168.0.9 89 nat server protocol tcp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol udp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol tcp global 211.99.231.133 www inside 192.168.0.13 wwwnat server protocol tcp global 211.99.231.135 1935 inside 192.168.0.5 1935nat server protocol tcp global 211.99.231.135 5080 inside 192.168.0.5 5080nat server protocol tcp global 211.99.231.132 1755 inside 192.168.0.3 1755nat server protocol tcp global 211.99.231.137 1755 inside 192.168.0.9 1755nat server protocol tcp global 211.99.231.137 554 inside 192.168.0.9 554nat server protocol tcp global 211.99.231.135 5551 inside 192.168.0.5 5551nat server protocol tcp global 211.99.231.131 www inside 192.168.0.204 wwwnat server protocol tcp global 211.99.231.134 81 inside 192.168.0.4 81nat server protocol tcp global 211.99.231.136 1935 inside 192.168.0.6 1935192.168.0.10 wwwnat server protocol udp global 211.99.231.137 dns inside 192.168.0.9 dnsnat server protocol tcp global 211.99.231.135 58189 inside 192.168.0.5 58189nat server protocol tcp global 211.99.231.141 www inside 192.168.0.11 www#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0set priority 85statistic enable ip inzonestatistic enable ip outzone#firewall zone untrustadd interface Ethernet1/0add interface Ethernet1/1add interface Ethernet1/2set priority 5statistic enable ip inzonestatistic enable ip outzone#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#undo info-center enable#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 211.99.231.129 preference 1 #firewall defend ip-spoofingfirewall defend landfirewall defend smurffirewall defend fragglefirewall defend winnukefirewall defend icmp-redirectfirewall defend icmp-unreachablefirewall defend source-routefirewall defend route-recordfirewall defend tracertfirewall defend ping-of-deathfirewall defend tcp-flagfirewall defend ip-fragmentfirewall defend large-icmpfirewall defend teardropfirewall defend ip-sweepfirewall defend port-scanfirewall defend arp-spoofingfirewall defend arp-reverse-queryfirewall defend arp-floodfirewall defend frag-floodfirewall defend syn-flood enablefirewall defend udp-flood enablefirewall defend icmp-flood enablefirewall defend syn-flood zone trustfirewall defend udp-flood zone trustfirewall defend syn-flood zone untrustfirewall defend udp-flood zone untrust#user-interface con 0authentication-mode passwordset authentication password cipher XB-'KG=+=J^UJ;&DL'U46Q!!user-interface aux 0user-interface vty 0 4authentication-mode scheme。

ICMP测试1. 介绍HWPing ICMP测试和ping测试一样，是使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间。

2. ICMP测试配置步骤说明：要想成功创建并启动一个ICMP echo功能的测试操作。

必须执行以下步骤1，2，3，6，其它步骤为可选项。

# 使能HWPing客户端。

[H3C] hwping-agent enable# 步骤1：创建一个HWPing测试组。

在本例中指定的管理员名字为administrator，测试操作标签为icmp。

[H3C] hwping administrator icmp# 步骤2：配置测试的类型为ICMP。

[H3C-hwping-administrator-icmp] test-type icmp# 步骤3：配置目的IP地址为169.254.10.2。

[H3C-hwping-administrator-icmp] destination-ip 169.254.10.2# 步骤4：配置一次测试中进行探测的次数。

[H3C-hwping-administrator-icmp] count 10# 步骤5：配置超时时间。

[H3C-hwping-administrator-icmp] timeout 3# 步骤6：启动测试操作。

[H3C-hwping-administrator-icmp] test-enable# 步骤7：查看测试结果。

[H3C-hwping-administrator-icmp] display hwping results administrator icmp[H3C-hwping-administrator-icmp] display hwping history administrator icmpDHCP测试1. 介绍HWPing DHCP测试用来测试从DHCP服务器分配到IP地址所需的时间。

2. DHCP测试配置步骤说明：要想成功创建并启动一个DHCP类型的测试。

h3c防火墙配置教程H3C防火墙是一种常见的网络安全设备，用于保护企业网络免受恶意攻击和未经授权的访问。

通过配置H3C防火墙，可以实现对网络流量进行监控和管理，提高网络的安全性和稳定性。

下面将为您介绍H3C防火墙的配置教程。

首先，我们需要连接到H3C防火墙的管理界面。

可以通过网线将计算机连接到防火墙的管理口上。

然后，打开浏览器，输入防火墙的管理IP地址，登录到防火墙的管理界面。

登录成功后，我们可以开始配置防火墙的策略。

首先，配置入方向和出方向的安全策略。

点击“策略”选项卡，然后选择“安全策略”。

接下来，我们需要配置访问规则。

点击“访问规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件。

除了访问规则，我们还可以配置NAT规则。

点击“NAT规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件，并设置相应的转换规则。

配置完访问规则和NAT规则后，我们还可以进行其他配置，如VPN配置、远程管理配置等。

点击对应的选项卡，然后根据实际需求进行配置。

配置完成后，我们需要保存配置并生效。

点击界面上的“保存”按钮，然后点击“应用”按钮。

防火墙将会重新加载配置，并生效。

最后，我们需要进行测试，确保防火墙的配置可以实现预期的效果。

可以通过给防火墙配置规则的源地址发送网络流量进行测试，然后查看防火墙是否根据配置对流量进行了相应的处理。

总结起来，配置H3C防火墙需要连接到防火墙的管理界面，配置安全策略、访问规则、NAT规则等，保存配置并生效，最后进行测试。

通过这些步骤，可以配置H3C防火墙以提高网络的安全性和稳定性。

希望以上的H3C防火墙配置教程对您有所帮助。

如果还有其他问题，可以随时向我提问。

3. 配置步骤(1) 2630的配置#sysname Quidway#ike local-name client# //由于2630要与SecPath1与SecPath2都建立GRE连接，所以需要建立两个ike协商ike peer 1 //ike对等体的名字为1exchange-mode aggressivepre-shared-key 1 //配置身份验证字为1id-type name //使用name方式作为ike协商的ID类型remote-name 1 //指定对端的name，也就是SecPath1的nameremote-address 2.1.1.2 //指定对端的IP地址nat traversal#ike peer 2 //第二个ikeexchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1 //配置一个安全提议，使用默认的安全提议参数#ipsec policy 1 1 isakmp //使用IKE创建第一个安全策略，第一个1是安全策略组的名字，第二个1是安全策略的序列号security acl 3000 //引用访问控制列表3000ike-peer 1 //引用ike对等体1，注意1是ike对等体的名字，而不是编号proposal 1 //引用安全提议1#ipsec policy 1 2 isakmp//使用IKE创建第二个安全策略，安全策略组的名字为1security acl 3001ike-peer 2proposal 1#controller T1 2/0#controller T1 2/1#interface Virtual-Template1 //l2tp配置使用虚拟模板用于配置动态创建的虚接口的参数ip address 172.31.4.1 255.255.255.0#interface Aux0async mode flowlink-protocol ppp#interface Dialer1 //创建一个共享式拨号接口1link-protocol ppp //拨号接口封装的链路层协议为PPPmtu 1450ip address ppp-negotiate //拨号接口的地址采用PPP协商方式得到dialer user test //配置呼叫对端的用户dialer bundle 1 //创建拨号接口池1ipsec policy 1#interface Ethernet0/0pppoe-client dial-bundle-number 1 //pppoe client配置在以太网接口上配置，也可以在virtual-ethernet上配置，此配置是配置pppoe会话，一个拨号接口对应创建一个pppoe会话#interface Tunnel0ip address 6.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 7.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.2ospf cost 99#interface NULL0#interface LoopBack0 //这里配置loopback解决的目的是为了给tunnel接口配置源ip地址ip address 192.168.0.4 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.1 0acl number 3001rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.2 0#ospf 1area 0.0.0.0network 6.1.1.0 0.0.0.255network 7.1.1.0 0.0.0.255network 172.31.4.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return(2)3640的配置#sysname Quidway#ike local-name client#ike peer 1exchange-mode aggressivepre-shared-key 1id-type nameremote-name 1remote-address 2.1.1.2nat traversal#ike peer 2exchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1#ipsec policy 1 1 isakmpsecurity acl 3000ike-peer 1proposal 1#ipsec policy 1 2 isakmpsecurity acl 3001ike-peer 2proposal 1#interface Virtual-Template1ip address 172.31.3.1 255.255.255.0 #interface Aux0async mode flowlink-protocol ppp#interface Dialer1link-protocol pppppp pap local-user 1 password simple 1 mtu 1450ip address ppp-negotiatedialer user testdialer bundle 1ipsec policy 1#interface Ethernet2/0pppoe-client dial-bundle-number 1#interface Ethernet2/1#interface Ethernet3/0#interface Serial0/0link-protocol ppp#interface Serial0/1clock DTECLK1link-protocol ppp#interface GigabitEthernet1/0#interface Tunnel0ip address 4.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 5.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.2ospf cost 99#interface Tunnel9#interface NULL0#interface LoopBack0ip address 192.168.0.3 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.1 0 acl number 3001rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.2 0 #ospf 1area 0.0.0.0network 4.1.1.0 0.0.0.255network 5.1.1.0 0.0.0.255network 172.31.3.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SecPath F1000-S-AI/F1000-A-EI/F1000-E-SI防火墙安装指导杭州华三通信技术有限公司资料版本：6PW103-20120908Copyright © 2010-2012 杭州华三通信技术有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

H3C 、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

由于产品版本升级或其他原因，本手册内容有可能变更。

H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，H3C尽全力在本手册中提供准确的信息，但是H3C并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

安全声明重要！在产品上电启动之前，请阅读本产品的安全与兼容性信息。

IMPORTANT! See Compliance and Safety information for the product before connecting to the supply.您可以通过以下步骤获取本产品的安全与兼容性信息：To obtain Compliance and Safety information, follow these steps:(1) 请访问网址：/Technical_Documents；Go to /Technical_Documents.(2) 选择产品类型以及产品型号；Choose the desired product category and model.(3) 您可以从安全与兼容性手册或安装手册中获取安全与兼容性信息。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

华为防火墙USG2000实验文档要求:通过配置华为防火墙实现本地telnet 服务器能够通过NAT上网.并且,访问电信网络链路时走电信,访问网通链路时走网通.具体配置如下:华为 USG 2000Username:admin[USG2205BSR]sysname[huawei]interface GigabitEthernet[huawei-GigabitEthernet0/0/0]ipaddress 202.100.1.1[huawei-GigabitEthernet0/0/0]undo[huawei]interface GigabitEthernet 0/0/1[huawei-GigabitEthernet0/0/1]description ###conn to yidong link###[huawei-GigabitEthernet0/0/1]ip address 202.200.1.1 255.255.255.0[huawei-GigabitEthernet0/0/1]undo shutdown[huawei-GigabitEthernet0/0/1]quit[huawei]interface Vlanif 1[huawei-Vlanif1]description ###conn to local###[huawei-Vlanif1]ip address 192.168.1.1 255.255.255.0[huawei-Vlanif1]undo shutdown[huawei-Vlanif1]quit[huawei-zone-trust]undo add interface GigabitEthernet 0/0/1[huawei-zone-trust]add interface Vlanif[huawei]firewall zone name[huawei-zone-dianxin]set priority 4[huawei-zone-dianxin]add interface GigabitEthernet 0/0/0[huawei-zone-dianxin]quit[huawei-zone-yidong]set priority 3[huawei-zone-yidong]add interface GigabitEthernet 0/0/1[huawei-zone-yidong]quit[huawei]acl number[huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255[huawei-acl-basic-2000]quit[huawei]firewall interzone trust[huawei-interzone-trust-dianxin]packet-filter 2000 outbound[huawei-interzone-trust-dianxin]nat outbound 2000 interface GigabitEthernet 0/0/0[huawei-interzone-trust-dianxin]quit[huawei-interzone-trust-yidong]nat outbound 2000 interface GigabitEthernet 0/0/1[huawei-interzone-trust-yidong]quit[huawei]user-interface vty 0 4[huawei-ui-vty0-4]authentication-mode password[huawei-ui-vty0-4]quit[huawei]ip route-static 0.0.0.0 0.0.0.0 202.100.1.2[huawei]ip route-static …… …… 202.200.1.2[huawei]ip route-static 222.160.0.0 255.252.0.0 202.200.1.2[huawei] firewall packet-filter default permit interzone local dianxin direction outbound[huawei] firewall packet-filter default permit interzone trust dianxin direction inbound[huawei] firewall packet-filter default permit interzone trust dianxin direction outbound[huawei] firewall packet-filter default permit interzone local yidong direction inbound[huawei] firewall packet-filter default permit interzone local yidong direction outbound[huawei] firewall packet-filter default permit interzone trust yidong direction inbound如图：电信网络、网通网络和telnet服务器配置 略！验证：内网192.168.1.2 分别PING 电信与网通.inside#ping 202.100.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msinside#ping 202.200.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.200.1.2, timeout is 2 seconds:Current total sessions: 3icmp VPN: public -> public192.168.1.2:3[202.100.1.1:23088]-->202.100.1.2:3tcp VPN: public -> public 192.168.1.1:1024-->192.168.1.2:23icmp VPN: public -> public192.168.1.2:4[202.200.1.1:43288]-->202.200.1.2:4验证成功！！！[huawei]display current-configuration 11:54:30 2010/11/06 #acl number 2000rule 10 permit source 192.168.1.0 0.0.0.255 #sysname huawei #super password level 3 cipher ^]S*H+DFHFSQ=^Q`MAF4<1!! #web-manager enable #info-center timestamp debugging date #firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone local vzone direction inbound firewall packet-filter default permit interzone local vzone direction outbound firewall packet-filter default permit interzone local dianxin direction inbound firewall packet-filter default permit interzone local dianxin direction outbound firewall packet-filter default permit interzone local yidong direction inbound firewall packet-filter default permit interzone local yidong direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone trust vzone direction inbound firewall packet-filter default permit interzone trust vzone direction outbound firewall packet-filter default permit interzone trust dianxin direction inbound firewall packet-filter default permit interzone trust dianxin direction outbound firewall packet-filter default permit interzone trust yidong direction inbound firewall packet-filter default permit interzone trust yidong direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound firewall packet-filter default permit interzone untrust vzone direction inbound firewall packet-filter default permit interzone untrust vzone direction outbound firewall packet-filter default permit interzone dmz vzone direction inbound firewall packet-filter default permit interzone dmz vzone direction outbound #dhcp enable#firewall statistic system enable#vlan 1#interface Cellular0/1/0link-protocol ppp#interface Vlanif1description ###conn to local###ip address 192.168.1.1 255.255.255.0 #interface Ethernet1/0/0port link-type access#interface Ethernet1/0/1port link-type access#interface Ethernet1/0/2port link-type access#interface Ethernet1/0/3port link-type access#interface Ethernet1/0/4port link-type access#interface GigabitEthernet0/0/0 description ###conn to dianxin link### ip address 202.100.1.1 255.255.255.0 #interface GigabitEthernet0/0/1 description ###conn to yidong link### ip address 202.200.1.1 255.255.255.0 #interface NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface Vlanif1#firewall zone untrustset priority 5#firewall zone dmzset priority 50#firewall zone vzoneset priority 0#firewall zone name dianxinset priority 4add interface GigabitEthernet0/0/0#firewall zone name yidongset priority 3add interface GigabitEthernet0/0/1#firewall interzone trust dianxinpacket-filter 2000 outboundnat outbound 2000 interface GigabitEthernet0/0/0 #firewall interzone trust yidongpacket-filter 2000 outboundnat outbound 2000 interface GigabitEthernet0/0/1#aaalocal-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!local-user admin service-type web telnetlocal-user admin level 3authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##right-manager server-group#slb#ip route-static 0.0.0.0 0.0.0.0 202.100.1.2ip route-static 27.8.0.0 255.248.0.0 202.200.1.2ip route-static …… …… 202.200.1.2ip route-static 222.160.0.0 255.252.0.0 202.200.1.2#user-interface con 0user-interface tty 9authentication-mode nonemodem bothuser-interface vty 0 4user privilege level 3N专注高端，技术为王#return[huawei]N。

目录第1章产品介绍...............................................................................1-11.1 简介....................................................................................1-11.2 外观....................................................................................1-21.2.1 前面板......................................................................1-21.2.2 后面板......................................................................1-21.3 规格....................................................................................1-31.4 指示灯................................................................................1-31.5 固定接口.............................................................................1-41.5.1 配置口......................................................................1-41.5.2 以太网口..................................................................1-5第2章安装前准备工作....................................................................2-12.1 安装场所要求......................................................................2-12.1.1 温度/湿度要求..........................................................2-12.1.2 洁净度要求...............................................................2-12.1.3 防静电要求...............................................................2-22.1.4 电磁环境要求...........................................................2-42.1.5 防雷击要求...............................................................2-42.1.6 检查安装台...............................................................2-52.1.7 机柜安装要求...........................................................2-52.2 安全注意事项......................................................................2-52.2.1 安全标志..................................................................2-52.2.2 通用安全建议...........................................................2-62.2.3 用电安全..................................................................2-62.3 安装工具、仪表和设备.......................................................2-6第3章防火墙的安装.......................................................................3-13.1 防火墙安装流程..................................................................3-13.2 安装防火墙到指定位置.......................................................3-13.2.1 安装防火墙到工作台................................................3-23.2.2 安装防火墙到机柜....................................................3-23.3 连接保护地线......................................................................3-43.4 连接电源线.........................................................................3-53.5 连接接口电缆......................................................................3-73.5.1 连接配置口电缆.......................................................3-73.5.2 连接以太网电缆.......................................................3-83.6 安装后的检查......................................................................3-8第4章防火墙的启动与配置............................................................4-14.1 搭建配置环境......................................................................4-14.1.1 连接防火墙到配置终端............................................4-14.1.2 设置配置终端的参数................................................4-14.2 防火墙上电.........................................................................4-44.2.1 上电前检查...............................................................4-44.2.2 防火墙上电...............................................................4-54.2.3 上电后检查/操作......................................................4-54.3 启动过程.............................................................................4-54.4 防火墙配置的基本思路.......................................................4-64.5 命令行接口.........................................................................4-74.5.1 命令行接口的特点....................................................4-74.5.2 命令行接口...............................................................4-7第5章防火墙的软件维护................................................................5-15.1 Boot菜单.............................................................................5-15.1.1 防火墙的Boot菜单....................................................5-25.1.2 防火墙的Boot ROM子菜单......................................5-35.2 利用XModem协议完成应用程序和Boot ROM程序升级.........5-45.2.1 应用程序的升级.......................................................5-45.2.2 Boot ROM程序的升级..............................................5-75.2.3 Boot ROM程序扩展段的升级...................................5-85.3 通过TFTP完成应用程序的升级..........................................5-85.4 利用FTP完成程序/文件的上传下载..................................5-125.5 应用程序及配置文件的维护..............................................5-165.5.1 显示所有文件.........................................................5-165.5.2 删除文件................................................................5-175.6 Boot ROM程序扩展段的备份及恢复.................................5-185.6.1 在FLASH中备份Boot ROM程序的扩展段..............5-185.6.2 从FLASH中恢复Boot ROM程序扩展段..................5-185.7 口令丢失的处理................................................................5-195.7.1 用户口令丢失.........................................................5-195.7.2 Boot ROM口令丢失...............................................5-20第6章安装故障处理.......................................................................6-16.1 电源系统问题故障处理.......................................................6-16.2 配置系统故障处理..............................................................6-1插图目录图1-1 F100-C-EI防火墙前面板.................................................1-2图1-2 F100-C-EI防火墙后面板.................................................1-2图1-3 配置口电缆示意图..........................................................1-5图1-4 以太网电缆示意图..........................................................1-6图2-1 佩戴防静电手腕示意图...................................................2-4图3-1 防火墙安装流程..............................................................3-1图3-2 挂耳结构图.....................................................................3-2图3-3 安装左、右前挂耳到防火墙的两侧.................................3-3图3-4 固定防火墙到机架..........................................................3-3图3-5 连接保护地接地端子到防火墙........................................3-4图3-6 连接保护地线到接地排...................................................3-5图3-7 连接交流电源线..............................................................3-6图3-8 连接配置口电缆..............................................................3-7图4-1 新建连接........................................................................4-1图4-2 本地配置连接端口设置...................................................4-2图4-3 串口参数设置.................................................................4-2图4-4 超级终端窗口.................................................................4-3图4-5 终端类型设置.................................................................4-4图5-1 断开终端连接.................................................................5-5图5-2 修改波特率.....................................................................5-5图5-3 [发送文件]对话框............................................................5-6图5-4 正在发送文件界面..........................................................5-6图5-5 搭建TFTP升级环境........................................................5-9图5-6 搭建FTP升级环境........................................................5-12表格目录表1-1 F100-C-EI防火墙规格....................................................1-3表1-2 F100-C-EI指示灯含义....................................................1-3表1-3 配置口属性.....................................................................1-4表1-4 以太网口属性.................................................................1-5表2-1 机房温度/湿度要求.........................................................2-1表2-2 机房灰尘含量限值..........................................................2-2表2-3 机房有害气体限值..........................................................2-2第1章产品介绍1.1 简介H3C SecPath F100-C-EI防火墙设备（以下简称F100-C-EI）是H3C公司面向家庭办公、小型办公室（Small Office Home Office，SOHO）开发的新一代专业防火墙产品。

H3C防火墙典型配置案例集（V7）-6W101-整本手册1 典型配置案例导读H3C防火墙典型配置案例集共包括6个文档，介绍了防火墙产品常用特性的典型配置案例，包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型及软件版本本手册所描述的内容适用于防火墙产品的如下款型及版本：款型软件版本M9006/M9010/M9104 Version 7.1.051, Ess 9105及以上1.2 内容简介典型配置案例中特性的支持情况与产品的款型有关，关于特性支持情况的详细介绍，请参见《H3C SecPath M9000多业务安全网关配置指导》和《H3C SecPath M9000多业务安全网关命令参考》。

手册包含的文档列表如下：编号名称1H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例(V7)2H3C 防火墙IPsec典型配置案例(V7)3H3C 防火墙NAT444典型配置案例(V7)4H3C 防火墙NAT典型配置案例(V7)5H3C 防火墙基于ACL包过滤策略的域间策略典型配置案例(V7) 6H3C 防火墙基于对象策略的域间策略典型配置案例(V7)H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例Copyright ? 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 使用版本 (2)3.4 配置注意事项 (2)3.5 配置步骤 (2)3.5.1 M9000的配置 (2)3.5.2 FW A的配置 (6)3.5.3 FW B的配置 (8)3.6 验证配置 (9)3.7 配置文件 (12)1 简介本文档介绍使用GRE over IPSec虚拟防火墙的配置案例。

目录1路由设置 ············································································································································ 1-11.1 概述 ··················································································································································· 1-11.2 配置静态路由····································································································································· 1-11.3 查看激活路由表 ································································································································· 1-21.4 静态路由典型配置举例 ······················································································································ 1-31.5 注意事项············································································································································ 1-61 路由设置•本章所指的路由器代表了一般意义下的路由器，以及运行了路由协议的三层交换机。

H3C设备使用手册H3C SecPath F100-C防火墙安装手册1、设备介绍H3C SecPath F100-C/ SecPath 10F防火墙（塑料外壳）提供4个10/100M自适应FE LAN 口和1个10M 半双工WAN以太网接口。

前面板外观图如下：1 以太网口指示灯LAN3 5 广域网口指示灯WAN2 以太网口指示灯LAN2 6 系统运行指示灯SYS3 以太网口指示灯LAN1 7 电源指示灯PWR4 以太网口指示灯LAN0H3C SecPath F100-C/ SecPath 10F（塑料外壳）防火墙后面板：1 电源开关 6 以太网口2（LAN2）2 电源输入插座 7 以太网口3（LAN3）3 配置口（CONSOLE ） 8 接地端子4 以太网口0（LAN0） 9 广域网口（WAN ）5 以太网口1（LAN1）H3C SecPath F100-C II （铁盒外壳）的外观：(1)(2)(3)(4)(5)(6)(7)(8)(9)(10)1 以太网口指示灯（黄色） 6 以太网口（WAN ）2 以太网口指示灯（绿色） 7 以太网口（LAN3） 3系统运行指示灯（SYS ）8 以太网口（LAN2）4 电源指示灯（PWR）9 以太网口（LAN1）5 配置口（CONSOLE）10 以太网口（LAN0）（1）（2）1 交流电源输入插座2 接地端子2、登陆设备使用超级终端方式：如下图所示，将配置电缆（即console线）一端与防火墙的配置口相连，DB9一端与微机的串口相连。

设置配置终端的参数第一步：打开配置终端，建立新的连接。

第二步：设置终端参数。

确定后键入<Enter>后屏幕出现（若没有设置登录验证）：<h3c>该提示符表明防火墙已经进入用户视图，可以对防火墙进行配置了。

四、H3C SecPath F100-C防火墙配置手册下面是H3C F100-C/ SecPath 10F（一代产品为塑料盒）配置容：1、配置容一览表●保存/删除原有配置●配置接口●配置DHCP服务器●配置BIMS管理●配置静态路由●配置SSH访问●配置用户和密码●配置虚拟线路终端●查看检查配置●配置测试●回退操作2、配置保存为了确保保险集团站点式VPN迁移的顺利实施，首先需要将设备的原有配置进行备份，具体操作如下：✧用超级终端登录到设备✧备份现有配置：<h3c> copy config.cfg config.bak/备份当前配置Copy flash:/config.cfg to flash:/config.bak?[Y/N]:y...%Copy file flash:/config.cfg to flash:/config.bak...Done.<h3c>查看备份文件是否在flash中：<h3c>dirDirectory of flash:/(*) -rw- 1561 Apr 02 2000 00:17:55 config.cfg-rw- 1561 Apr 01 2000 23:56:36 config.bak(*) -with main attribute (b) -with backup attribute(*b) -with both main and backup attribute注： h3c处为设备名，不用修改，请记下配置的该台设备的设备名称,每台设备不一样，请注意<h3c>表示处于用户模式[h3c]表示处于配置模式3、删除原有配置在本次迁移中，原有的ADSL线路需要迁移到中国电信CN2网络上，因此首先需要将原先的配置删除，具体如下：✧删除原有配置✧使用超级终端登陆到设备上，依次使用如下的命令：<h3c>reset saved-configuration /删除原有配置The saved configuration will be erased.Are you sure?[Y/N]yConfiguration in flash memory is being cleared.Please wait ......reset saved-configuration successfully.<h3c>reboot /重启设备Start to check configuration with next startup configuration file, please wait.........DONE!This command will reboot the device. Current configuration may be lost in nextstartup if you continue. Continue? [Y/N]:y4、加载新配置删除完原有的配置后，依次使用如下的命令：配置接口E1/0作为分支机构的网网关：<h3c>system-view /进入配置模式[h3c] interface Ethernet1/0 /进入E1/0端口配置视图[h3c-Ethernet1/0] ip address x.x.x.x x.x.x.x /配置E1/0地址(地址为网网关) [h3c-Ethernet1/0] quit /返回上一层配置防火墙作为各分支机构的DHCP服务器：[h3c]dhcp server ip-pool 1 /创建DHCP全局地址池或进入DHCP地址池视图[h3c-dhcp-pool-1] network x.x.x.x mask 255.255.255.240 /配置动态分配的IP地址围(网地址段) [h3c-dhcp-pool-1] gateway-list x.x.x.x /配置DHCP客户端的出口网关(网网关) [h3c-dhcp-pool-1] dns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的DNS服务器的IP地址[h3c-dhcp-pool-1] nbns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的NetBIOS服务器地址[h3c-dhcp-pool-1]quit /返回上一层[h3c] dhcp server forbidden-ip x.x.x.x /配置DHCP地址池中不参与自动分配的IP地址(网网关)配置防火墙支持BIMS管理：[h3c] bims enable (Branch Intelligent Management System) /配置在设备上启动BIMS功能[h3c-bims]bims device-id设备名称 /配置设备的唯一标识符（填写当前的设备名称）[h3c-bims]bims ip address 10.16.111.156 port 80 /配置BIMS中心的IP地址和使用的端口号[h3c-bims]bims source ip-address 10.255.x.x（网网关）/配置BIMS设备发送报文时携带的源地址[h3c-bims]bims interval 10 /配置触发访问BIMS中心的间隔时间(分钟) [h3c-bims]bims boot request /配置设备上电启动完成时访问BIMS中心[h3c-bims]bims sharekey simple 123 /设置BIMS设备侧和BIMS中心侧的共享密钥配置接口E2/0作为分支机构的外网CE口：[h3c]int Ethernet 2/0 /进入E2/0端口配置视图[h3c-Ethernet2/0]ip address x.x.x.x x.x.x.x WAN口 /配置CE地址[h3c-Ethernet2/0]quit /返回上一层配置静态路由：[h3c] ip route-static 10.0.0.0 255.0.0.0 x.x.x.x x.x.x.x /去往10.0.0.0网段的路由下一跳为x.x.x.x即PE地址[h3c] ip route-static 172.16.0.0 255.255.0.0 x.x.x.x x.x.x.x /去往172.16.0.0网段的路由下一跳同上[h3c] ip route-static 61.129.61.0 255.255.255.192 x.x.x.x x.x.x.x /去往61.129.61.0网段的路由下一跳同上配置SSH访问：[h3c]local-user pingan /创建新的本地用户pingan，并且进入本地用户视图New local user added.[h3c-luser-pingan]service-type ssh /设置用户可以使用的服务类型[h3c-luser-pingan]password cipher pingan /配置用户的密码[h3c-luser-pingan]quit /返回上一层[h3c]rsa local-pair creat /产生本地RSA密钥对,注意个别华三型号只能用rsa local-key-pair creat 配置指令The range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulus[default = 1024]: /(直接回车)配置本地RSA密匙对的长度Generating keys….....++++++[h3c] ssh user pingan authentication-type password /为SSH用户配置验证方式[h3c]user-interface vty 0 4 /配置虚拟线路VTY 0 4用户界面视图[h3c-ui-vty0-4]authentication-mode scheme /设置所在用户界面验证方式[h3c-ui-vty0-4]protocol inbound ssh /设置所在用户界面支持的协议[h3c-ui-vty0-4]quit /返回上一层[h3c]super password cipher pingan /配置切换用户级别的口令[h3c]snmp-agent /网管snmp配置(共7行)[h3c]snmp-agent local-engineid 000007DB7FD19[h3c]snmp-agent community read Ragga0ck3rd0M[h3c]snmp-agent community write Raggawall0p3R[h3c]snmp-agent sys-info version all[h3c]snmp-agent target-host trap address udp-domain 61.129.61.50 params securitynameRagga0ck3rd0M v2c[h3c]snmp-agent trap source Ethernet2/0查看当前设备使用的版本信息：[H3C]display version /显示当前设备使用的版本信息H3C Comware Software Comware software, Version 3.40, Release 1608P04Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved.Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed.H3C SecPath F100-C uptime is 0 week, 0 day, 1 hour, 39 minutesCPU type: PowerPC 859DSL 80MHz 64M bytes SDRAM Memory 8M bytes Flash Memory 0K bytes NvRAM Memory Pcb Version:5.0 Logic Version:1.0 BootROM Version:2.06[SLOT 1] 1FE (Hardware)5.0, (Driver)1.0, (Cpld)1.0[SLOT 2] 1ETH (Hardware)5.0, (Driver)1.0, (Cpld)1.0查看目前接口状态：查看WAN口的协商速率/工作模式/与协转是否协商正常：[h3c]display interface e2/0下面是H3C F100-C II（二代产品为铁盒）配置容：1、配置容一览表●保存/删除原有配置●配置接口和网桥组●配置DHCP服务器●配置BIMS管理●配置静态路由●配置SSH访问●配置用户和密码●配置虚拟线路终端●查看配置●配置测试●回退操作2、H3C SecPath F100-C II型防火墙新配置配置网桥组：<h3c>system-view /进入配置模式[h3c]bridge enable /启用网桥功能[h3c]bridge 1 enable /启用网桥组功能并建立网桥组1[h3c] interface Ethernet0/0 /进入E0/0端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c] interface Ethernet0/1 /进入E0/1端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c] interface Ethernet0/2 /进入E0/2端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c] interface Ethernet0/3 /进入E0/3端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c]interface bridge-template 1 /创建bridge-template虚拟接口，将指定的网桥组连接到网络中[h3c- bridge-template 1] ip address x.x.x.x x.x.x.x /配置bridge-template 1接口IP地址(网网关)[h3c- bridge-template 1] quit /返回上一层配置防火墙作为各分支机构的DHCP服务器：[h3c]dhcp server ip-pool 1 /创建DHCP全局地址池或进入DHCP地址池视图[h3c-dhcp-pool-1] network x.x.x.x mask 255.255.255.240 /配置动态分配的IP地址围(网地址段) [h3c-dhcp-pool-1] gateway-list x.x.x.x /配置DHCP客户端的出口网关(网网关) [h3c-dhcp-pool-1] dns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的DNS服务器的IP地址[h3c-dhcp-pool-1] nbns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的NetBIOS服务器地址[h3c-dhcp-pool-1]quit /返回上一层[h3c] dhcp server forbidden-ip x.x.x.x /配置DHCP地址池中不参与自动分配的IP地址(网网关)配置防火墙支持BIMS管理：[h3c] bims enable (Branch Intelligent Management System) /配置在设备上启动BIMS功能[h3c-bims]bims device-id设备名称 /配置设备的唯一标识符（填写当前的设备名称）[h3c-bims]bims ip address 10.16.111.156 port 80 /配置BIMS中心的IP地址和使用的端口号[h3c-bims]bims source ip-address 10.255.x.x（网网关）/配置BIMS设备发送报文时携带的源地址[h3c-bims]bims interval 10 /配置触发访问BIMS中心的间隔时间(分钟) [h3c-bims]bims boot request /配置设备上电启动完成时访问BIMS中心[h3c-bims]bims sharekey simple 123 /设置BIMS设备侧和BIMS中心侧的共享密钥配置接口E0/4作为分支机构的外网CE口：[h3c]int Ethernet 0/4 /进入E0/4端口配置视图[h3c-Ethernet0/4]ip address x.x.x.x x.x.x.x WAN口 /配置CE地址[h3c-Ethernet0/4]quit /返回上一层配置静态路由：[h3c] ip route-static 10.0.0.0 255.0.0.0 x.x.x.x x.x.x.x /去往10.0.0.0网段的路由下一跳为x.x.x.x即PE地址[h3c] ip route-static 172.16.0.0 255.255.0.0 x.x.x.x x.x.x.x /去往172.16.0.0网段的路由下一跳同上[h3c] ip route-static 61.129.61.0 255.255.255.192 x.x.x.x x.x.x.x /去往61.129.61.0网段的路由下一跳同上配置SSH访问：[h3c]local-user pingan /创建新的本地用户pingan，并且进入本地用户视图New local user added.[h3c-luser-pingan]service-type ssh /设置用户可以使用的服务类型[h3c-luser-pingan]password cipher pingan /配置用户的密码[h3c-luser-pingan]quit /返回上一层[h3c]rsa local-pair creat /产生本地RSA密钥对The range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulus[default = 1024]: /(直接回车)配置本地RSA密匙对的长度Generating keys….....++++++[h3c] ssh user pingan authentication-type password /为SSH用户配置验证方式[h3c]user-interface vty 0 4 /配置虚拟线路VTY 0 4用户界面视图[h3c-ui-vty0-4]authentication-mode scheme /设置所在用户界面验证方式[h3c-ui-vty0-4]protocol inbound ssh /设置所在用户界面支持的协议[h3c-ui-vty0-4]quit /返回上一层[h3c]super password cipher pingan /配置切换用户级别的口令[h3c]snmp-agent /网管snmp配置(共7行)[h3c]snmp-agent local-engineid 000007DB7FD19[h3c]snmp-agent community read Ragga0ck3rd0M[h3c]snmp-agent community write Raggawall0p3R[h3c]snmp-agent sys-info version all[h3c]snmp-agent target-host trap address udp-domain 61.129.61.50 params securitynameRagga0ck3rd0M v2c[h3c]snmp-agent trap source Ethernet0/4查看当前设备使用的版本信息：[H3C]display version /显示当前设备使用的版本信息H3C Comware Software Comware software, Version 3.40, Release 5102P02Copyright (c) 2004-2009 Hangzhou H3C Technologies Co., Ltd. All rights reserved.Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed.H3C SecPath F100-C uptime is 0 week, 0 day, 3 hours, 58 minutesCPU type: Mips IDT RC32365 150MHz 64M bytes SDRAM Memory 8M bytes Flash MemoryPcb Version:2.0 Logic Version:1.0 BootROM Version:1.17[SLOT 0] 5FE (Hardware)2.0, (Driver)2.0, (Cpld)1.0[SLOT 1] 1SE (Hardware)1.0, (Driver)1.0, (Cpld)1.0保存配置：<h3c>save /将设备的配置进行保存The current configuration will be written to the device. Are you sure? [Y/N]:yPlease input the file name(*.cfg)[config.cfg](To leave the existing filename unchanged, press the enter key): (直接回车 )五、H3C SecPath F100-C 防火墙测试手册1、设备接线图配置完成后，保持设备接线图中的局域网PC至少有一台接在上面,具体设备接线图如下：H3C SecPath F100-C塑料外壳型号H3C SecPath F100-CII铁盒外壳型号2、检查验证广域网线及CN2线路连通性1)当按上述图接好后，首先通过超级终端登陆到设备中，然后使用下面的命令：<h3c>ping x.x.x.x /(x.x.x.x为当地电信PE地址)<h3c>ping –a x.x.x.x 10.16.111.156 /(-a后x.x.x.x为ICMP的源IP地址，即各分支机构网网关)查看这两个地址是否能ping通，如果<h3c>ping –a x.x.x.x 10.16.111.156 不通，则登陆设备来检查配置，同时按如下步骤测试线路连通性：2)用一台PC直接连接电信线路；3)将此电脑配置成分支机构的CE地址，不设置网关；4)使用电脑的ping命令：开始运行输入cmd ping 分支机构所在地电信PE地址，查看是否能够成功ping通。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1 工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address[ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

附录 A 命令总索引本命令索引包括手册中所出现的全部命令，按字母序排列，左边为命令行，右边为该命令所在的功能模块和页码。

A B C D E F G H I J K L M N O P Q R S T U V W X Y ZAabr-summary (OSPF area view) OSPF命令1-1abr-summary (OSPFv3 area view) OSPFv3命令1-1access-user detect Portal命令1-1acl (User interface view) 用户界面命令1-1 activation-key 用户界面命令1-2 advantage-factor NQA命令1-1 aggregate BGP命令1-1 aggregate (IPv6 address family view) IPv6 BGP命令1-1alg ALG命令1-1allow l2tp L2TP命令1-1apply access-vpn vpn-instance IP单播策略路由命令1-1apply access-vpn vpn-instance L3VPN命令1-1apply default output-interface IP单播策略路由命令1-1apply ip-address default next-hop IP单播策略路由命令1-2apply ip-address next-hop IP单播策略路由命令1-3apply ip-precedence IP单播策略路由命令1-4apply output-interface IP单播策略路由命令1-4archive configuration 文件系统管理命令2-1archive configuration interval 文件系统管理命令2-1archive configuration location 文件系统管理命令2-2archive configuration max 文件系统管理命令2-3area (OSPF view) OSPF命令1-2area (OSPFv3 view) OSPFv3命令1-2arp check enable ARP命令1-1arp max-learning-num ARP命令1-1arp send-gratuitous-arp ARP命令2-1arp static ARP命令1-2arp timer aging ARP命令1-3 asbr-summary OSPF命令1-2 ascii FTP和TFTP命令1-5 authentication-mode OSPF命令1-3 authentication-mode 用户界面命令1-5 auto-execute command 用户界面命令1-3 auto-rp enable PIM命令1-1 Bbackup startup-configuration 文件系统管理命令2-3 balance (BGP/BGP-VPN instance view) BGP命令1-2 balance (IPv6 address family view) IPv6 BGP命令1-2 bandwidth-reference OSPFv3命令1-2 bandwidth-reference (OSPF view) OSPF命令1-4 bestroute as-path-neglect (BGP/BGP-VPN instanceBGP命令1-3 view)bestroute as-path-neglect (IPv6 address family view)IPv6 BGP命令1-3 bestroute compare-med (BGP/BGP-VPN instanceBGP命令1-3 view)bestroute compare-med (IPv6 address family view) IPv6 BGP命令1-3 bestroute med-confederation (BGP/BGP-VPNBGP命令1-4 instance view)bestroute med-confederation (IPv6 address familyIPv6 BGP命令1-4 view)bgp BGP命令1-5 binary FTP和TFTP命令1-6 boot-loader 设备管理命令1-1 bootrom 设备管理命令1-1 broadcast-suppression (Ethernet interface view/Ethernet sub-interface以太网接口命令1-18 view/Port-group view)bsm-fragment enable (IPv6 PIM view) IPv6 PIM命令1-1 bsm-fragment enable (PIM view) PIM命令1-1 bsr-policy (IPv6 PIM view) IPv6 PIM命令1-1 bsr-policy (PIM view) PIM命令1-2 bye SSH2.0命令1-15 bye FTP和TFTP命令1-6 Ccache-sa-enable MSDP命令1-1c-bsr (IPv6 PIM view) IPv6 PIM命令1-2 c-bsr (PIM view) PIM命令1-3 c-bsr admin-scope (IPv6 PIM view) IPv6 PIM命令1-3 c-bsr admin-scope (PIM view) PIM命令1-3 c-bsr global PIM命令1-4 c-bsr group PIM命令1-4 c-bsr hash-length (IPv6 PIM view) IPv6 PIM命令1-3 c-bsr hash-length (PIM view) PIM命令1-5 c-bsr holdtime (IPv6 PIM view) IPv6 PIM命令1-4 c-bsr holdtime (PIM view) PIM命令1-6 c-bsr interval (IPv6 PIM view) IPv6 PIM命令1-4 c-bsr interval (PIM view) PIM命令1-6 c-bsr priority (IPv6 PIM view) IPv6 PIM命令1-5 c-bsr priority (PIM view) PIM命令1-7 c-bsr scope IPv6 PIM命令1-6 cd SSH2.0命令1-15 cd FTP和TFTP命令1-7 cd 文件系统管理命令1-1 cdup SSH2.0命令1-16 cdup FTP和TFTP命令1-8 checkzero RIP命令1-1 checkzero RIPng命令1-1 ciphersuite SSL命令1-1 client-verify enable SSL命令1-1 clock datetime 系统基本命令1-1 clock summer-time one-off 系统基本命令1-1 clock summer-time repeating 系统基本命令1-2 clock timezone 系统基本命令1-4 close FTP和TFTP命令1-8 close-mode wait SSL命令1-2 codec-type NQA命令1-1 command accounting 用户界面命令1-6 command authorization 用户界面命令1-6 command-alias enable 系统基本命令1-4 command-alias mapping 系统基本命令1-5 command-privilege 系统基本命令1-5compare-different-as-med (BGP/BGP-VPN instanceBGP命令1-5 view)compare-different-as-med (IPv6 address family view)IPv6 BGP命令1-4 confederation id BGP命令1-6 confederation nonstandard BGP命令1-7 confederation peer-as BGP命令1-7 configuration encrypt 文件系统管理命令2-4 configuration replace file 文件系统管理命令2-5 configure-user count 系统基本命令1-7 connection-limit apply policy 连接限制命令1-1 connection-limit policy 连接限制命令1-1 copy 文件系统管理命令1-1 copyright-info enable 系统基本命令1-7 c-rp (IPv6 PIM view) IPv6 PIM命令1-6 c-rp (PIM view) PIM命令1-7 c-rp advertisement-interval (IPv6 PIM view) IPv6 PIM命令1-7 c-rp advertisement-interval (PIM view) PIM命令1-8 c-rp holdtime (IPv6 PIM view) IPv6 PIM命令1-8 c-rp holdtime (PIM view) PIM命令1-9 crp-policy (IPv6 PIM view) IPv6 PIM命令1-8 crp-policy (PIM view) PIM命令1-10 Ddampening (BGP/BGP-VPN instance view) BGP命令1-8 dampening (IPv6 address family view) IPv6 BGP命令1-5 databits 用户界面命令1-7 data-fill NQA命令1-2 data-size NQA命令1-3 debugging FTP和TFTP命令1-9 debugging 系统维护与调试命令1-7 default OSPF命令1-4 default cost OSPFv3命令1-3 default cost (RIP view) RIP命令1-1 default cost (RIPng view) RIPng命令1-1 default ipv4-unicast BGP命令1-9 default local-preference (BGP/BGP-VPN instanceBGP命令1-10 view)default local-preference (IPv6 address family view) IPv6 BGP命令1-6 default med (BGP/BGP-VPN instance view) BGP命令1-10 default med (IPv6 address family view) IPv6 BGP命令1-6 default-cost (OSPF area view) OSPF命令1-5 default-cost (OSPFv3 area view) OSPFv3命令1-3 default-route RIP命令1-2 default-route imported (BGP/BGP-VPN instanceBGP命令1-11 view)default-route imported (IPv6 address family view) IPv6 BGP命令1-7 default-route-advertise OSPFv3命令1-4 default-route-advertise (OSPF view) OSPF命令1-6 delete SSH2.0命令1-16 delete FTP和TFTP命令1-10 delete 文件系统管理命令1-2 delete ip rpf-route-static 组播路由与转发命令1-1 delete ipv6 static-routes all IPv6 静态路由命令1-1 delete static-routes all 静态路由命令1-1 description 以太网接口命令1-1 description Loopback接口和Null接口命令1-1 description 以太网链路聚合命令1-1 description 隧道命令1-1 description (any NQA test type view) NQA命令1-4 description (OSPF/OSPF area view) OSPF命令1-7 description (VPN Instance view) L3VPN命令1-1 destination 隧道命令1-1 destination ip NQA命令1-4 destination port NQA命令1-5 dir SSH2.0命令1-17 dir FTP和TFTP命令1-10 dir 文件系统管理命令1-3 disconnect FTP和TFTP命令1-11 display adjacent-table 邻接表命令1-1 display archive configuration 文件系统管理命令2-5 display arp ARP命令1-3 display arp ip-address ARP命令1-5 display arp timer aging ARP命令1-6display arp vpn-instance ARP命令1-6 display bgp group BGP命令1-12 display bgp ipv6 group IPv6 BGP命令1-8 display bgp ipv6 network IPv6 BGP命令1-9 display bgp ipv6 paths IPv6 BGP命令1-10 display bgp ipv6 peer IPv6 BGP命令1-11 display bgp ipv6 peer received ip-prefix IPv6 BGP命令1-16 display bgp ipv6 routing-table IPv6 BGP命令1-16 display bgp ipv6 routing-table as-path-acl IPv6 BGP命令1-18 display bgp ipv6 routing-table community IPv6 BGP命令1-19 display bgp ipv6 routing-table community-list IPv6 BGP命令1-19 display bgp ipv6 routing-table dampened IPv6 BGP命令1-20 display bgp ipv6 routing-table dampening parameter IPv6 BGP命令1-21 display bgp ipv6 routing-table different-origin-as IPv6 BGP命令1-22 display bgp ipv6 routing-table flap-info IPv6 BGP命令1-22 display bgp ipv6 routing-table label IPv6 BGP命令1-23 display bgp ipv6 routing-table peer IPv6 BGP命令1-24 display bgp ipv6 routing-table regular-expression IPv6 BGP命令1-25 display bgp ipv6 routing-table statistic IPv6 BGP命令1-26 display bgp network BGP命令1-13 display bgp paths BGP命令1-14 display bgp peer BGP命令1-15 display bgp peer received ip-prefix BGP命令1-18 display bgp routing-table BGP命令1-18 display bgp routing-table as-path-acl BGP命令1-20 display bgp routing-table cidr BGP命令1-21 display bgp routing-table community BGP命令1-21 display bgp routing-table community-list BGP命令1-22 display bgp routing-table dampened BGP命令1-23 display bgp routing-table dampening parameter BGP命令1-24 display bgp routing-table different-origin-as BGP命令1-24 display bgp routing-table flap-info BGP命令1-25 display bgp routing-table label BGP命令1-26 display bgp routing-table peer BGP命令1-27 display bgp routing-table regular-expression BGP命令1-28 display bgp routing-table statistic BGP命令1-28display bgp vpnv4 group L3VPN命令1-2 display bgp vpnv4 network L3VPN命令1-3 display bgp vpnv4 paths L3VPN命令1-4 display bgp vpnv4 peer L3VPN命令1-5 display bgp vpnv4 routing-table label L3VPN命令1-7 display bgp vpnv4 vpn-instance routing-table L3VPN命令1-8 display boot-loader 设备管理命令1-3 display channel 信息中心命令1-1 display clipboard 系统基本命令1-8 display clock 系统基本命令1-9 display command-alias 系统基本命令1-10 display configure-user 系统基本命令1-10 display connection-limit policy 连接限制命令1-2 display cpu-usage 设备管理命令1-4 display cpu-usage history 设备管理命令1-5 display current-configuration 系统基本命令1-11 display debugging 系统维护与调试命令1-8 display default-configuration 系统基本命令1-12 display device 设备管理命令1-7 display device manuinfo 设备管理命令1-8 display diagnostic-information 系统基本命令1-12 display environment (normal) 设备管理命令1-9 display fan 设备管理命令1-10 display fib IP性能优化命令1-1 display fib ip-address IP性能优化命令1-3 display fib vpn-instance L3VPN命令1-10 display firewall http activex-blocking WEB过滤命令1-1 display firewall http java-blocking WEB过滤命令1-2 display firewall http url-filter parameter WEB过滤命令1-4 display ftp client configuration FTP和TFTP命令1-12 display ftp-server FTP和TFTP命令1-1 display ftp-user FTP和TFTP命令1-1 display gre p2mp tunnel-table interface tunnel GRE命令1-1 display history-command 系统基本命令1-13 display history-command 用户界面命令1-7 display hotkey 系统基本命令1-14display icmp statistics IP性能优化命令1-4 display igmp group IGMP命令1-1 display igmp group port-info IGMP命令1-2 display igmp interface IGMP命令1-3 display igmp proxying group IGMP命令1-5 display igmp routing-table IGMP命令1-6 display igmp ssm-mapping IGMP命令1-7 display igmp ssm-mapping group IGMP命令1-8 display info-center 信息中心命令1-2 display interface 以太网接口命令1-2 display interface brief 以太网接口命令1-8 display interface loopback Loopback接口和Null接口命令1-2 display interface null Loopback接口和Null接口命令1-3 display interface tunnel 隧道命令1-2 display ip http HTTP命令1-1 display ip https HTTP命令2-1 display ip policy-based-route IP单播策略路由命令1-5 display ip policy-based-route setup IP单播策略路由命令1-6 display ip policy-based-route statistics IP单播策略路由命令1-7 display ip routing-table IP路由基础命令1-1 display ip routing-table acl IP路由基础命令1-5 display ip routing-table ip-address IP路由基础命令1-8 display ip routing-table ip-prefix IP路由基础命令1-10 display ip routing-table protocol IP路由基础命令1-11 display ip routing-table statistics IP路由基础命令1-13 display ip socket IP性能优化命令1-5 display ip statistics IP性能优化命令1-8 display ip vpn-instance L3VPN命令1-12 display ipv6 adjacent-table 邻接表命令1-2 display ipv6 dhcp client DHCPv6命令1-19 display ipv6 dhcp client statistics DHCPv6命令1-20 display ipv6 dhcp duid DHCPv6命令1-1 display ipv6 dhcp pool DHCPv6命令1-1 display ipv6 dhcp prefix-pool DHCPv6命令1-3 display ipv6 dhcp relay server-address DHCPv6命令1-15 display ipv6 dhcp relay statistics DHCPv6命令1-16display ipv6 dhcp server DHCPv6命令1-3 display ipv6 dhcp server pd-in-use DHCPv6命令1-5 display ipv6 dhcp server statistics DHCPv6命令1-6 display ipv6 fib IPv6基础命令1-1 display ipv6 fibcache IPv6基础命令1-2 display ipv6 interface IPv6基础命令1-2 display ipv6 interface tunnel 隧道命令1-4 display ipv6 neighbors IPv6基础命令1-5 display ipv6 neighbors count IPv6基础命令1-7 display ipv6 pathmtu IPv6基础命令1-7 display ipv6 routing-table IP路由基础命令1-14 display ipv6 routing-table acl IP路由基础命令1-14 display ipv6 routing-table ipv6-address IP路由基础命令1-15 display ipv6 routing-table ipv6-address1IP路由基础命令1-17 ipv6-address2display ipv6 routing-table ipv6-prefix IP路由基础命令1-18 display ipv6 routing-table protocol IP路由基础命令1-18 display ipv6 routing-table statistics IP路由基础命令1-19 display ipv6 routing-table verbose IP路由基础命令1-20 display ipv6 socket IPv6基础命令1-8 display ipv6 statistics IPv6基础命令1-10 display job 设备管理命令1-10 display l2tp session L2TP命令1-2 display l2tp tunnel L2TP命令1-2 display lacp system-id 以太网链路聚合命令1-1 display link-aggregation load-sharing mode 以太网链路聚合命令1-2 display link-aggregation member-port 以太网链路聚合命令1-4 display link-aggregation summary 以太网链路聚合命令1-6 display link-aggregation verbose 以太网链路聚合命令1-7 display local-proxy-arp ARP命令3-1 display logbuffer 信息中心命令1-4 display logbuffer summary 信息中心命令1-5 display mac-address multicast 组播路由与转发命令1-1 display memory 设备管理命令1-11 display mib-style SNMP命令2-1 display msdp brief MSDP命令1-1display msdp peer-status MSDP命令1-3 display msdp sa-cache MSDP命令1-5 display msdp sa-count MSDP命令1-6 display multicast boundary 组播路由与转发命令1-2 display multicast forwarding-table 组播路由与转发命令1-3 display multicast ipv6 boundary IPv6组播路由与转发命令1-1 display multicast ipv6 forwarding-table IPv6组播路由与转发命令1-2 display multicast ipv6 routing-table IPv6组播路由与转发命令1-4 display multicast ipv6 rpf-info IPv6组播路由与转发命令1-5 display multicast routing-table 组播路由与转发命令1-5 display multicast routing-table static 组播路由与转发命令1-7 display multicast rpf-info 组播路由与转发命令1-8 display natpt address-group NAT-PT命令1-1 display natpt address-mapping NAT-PT命令1-1 display natpt all NAT-PT命令1-2 display natpt statistics NAT-PT命令1-3 display nqa history NQA命令1-5 display nqa reaction counters NQA命令1-6 display nqa result NQA命令1-8 display nqa server status NQA命令1-48 display nqa statistics NQA命令1-12 display ntp-service sessions NTP命令1-1 display ntp-service status NTP命令1-4 display ntp-service trace NTP命令1-5 display ospf abr-asbr OSPF命令1-7 display ospf asbr-summary OSPF命令1-8 display ospf brief OSPF命令1-10 display ospf cumulative OSPF命令1-12 display ospf error OSPF命令1-14 display ospf interface OSPF命令1-16 display ospf lsdb OSPF命令1-17 display ospf nexthop OSPF命令1-20 display ospf peer OSPF命令1-20 display ospf peer statistics OSPF命令1-23 display ospf request-queue OSPF命令1-24 display ospf retrans-queue OSPF命令1-25display ospf routing OSPF命令1-26 display ospf sham-link L3VPN命令1-13 display ospf vlink OSPF命令1-27 display ospfv3 OSPFv3命令1-5 display ospfv3 graceful-restart status OSPFv3命令1-7 display ospfv3 interface OSPFv3命令1-8 display ospfv3 lsdb OSPFv3命令1-9 display ospfv3 lsdb statistic OSPFv3命令1-13 display ospfv3 next-hop OSPFv3命令1-14 display ospfv3 peer OSPFv3命令1-14 display ospfv3 peer statistic OSPFv3命令1-16 display ospfv3 request-list OSPFv3命令1-17 display ospfv3 retrans-list OSPFv3命令1-19 display ospfv3 routing OSPFv3命令1-20 display ospfv3 statistics OSPFv3命令1-22 display ospfv3 topology OSPFv3命令1-23 display ospfv3 vlink OSPFv3命令1-23 display patch information 热补丁命令1-1 display pim bsr-info PIM命令1-10 display pim claimed-route PIM命令1-12 display pim control-message counters PIM命令1-13 display pim grafts PIM命令1-15 display pim interface PIM命令1-15 display pim ipv6 bsr-info IPv6 PIM命令1-9 display pim ipv6 claimed-route IPv6 PIM命令1-11 display pim ipv6 control-message counters IPv6 PIM命令1-12 display pim ipv6 grafts IPv6 PIM命令1-13 display pim ipv6 interface IPv6 PIM命令1-14 display pim ipv6 join-prune IPv6 PIM命令1-16 display pim ipv6 neighbor IPv6 PIM命令1-17 display pim ipv6 routing-table IPv6 PIM命令1-18 display pim ipv6 rp-info IPv6 PIM命令1-20 display pim join-prune PIM命令1-17 display pim neighbor PIM命令1-18 display pim routing-table PIM命令1-20 display pim rp-info PIM命令1-22display policy-based-route IP单播策略路由命令1-8 display portal acl Portal命令1-1 display portal connection statistics Portal命令1-4 display portal free-rule Portal命令1-7 display portal interface Portal命令1-8 display portal server Portal命令1-9 display portal server statistics Portal命令1-10 display portal tcp-cheat statistics Portal命令1-12 display portal user Portal命令1-13 display power 设备管理命令1-11 display proxy-arp ARP命令3-1 display public-key local public 公钥管理命令1-1 display public-key peer 公钥管理命令1-2 display reboot-type 设备管理命令1-12 display rip RIP命令1-3 display rip database RIP命令1-5 display rip interface RIP命令1-5 display rip route RIP命令1-7 display ripng RIPng命令1-2 display ripng database RIPng命令1-3 display ripng interface RIPng命令1-4 display ripng route RIPng命令1-5 display rmon alarm RMON命令1-1 display rmon event RMON命令1-2 display rmon eventlog RMON命令1-3 display rmon history RMON命令1-4 display rmon prialarm RMON命令1-6 display rmon statistics RMON命令1-7 display router id IP路由基础命令1-21 display rps 设备管理命令1-12 display saved-configuration 文件系统管理命令2-6 display schedule reboot 设备管理命令1-13 display sftp client source SSH2.0命令1-18 display snmp-agent community SNMP命令1-1 display snmp-agent group SNMP命令1-2 display snmp-agent local-engineid SNMP命令1-3display snmp-agent mib-view SNMP命令1-3 display snmp-agent statistics SNMP命令1-4 display snmp-agent sys-info SNMP命令1-6 display snmp-agent trap queue SNMP命令1-7 display snmp-agent trap-list SNMP命令1-7 display snmp-agent usm-user SNMP命令1-8 display ssh client source SSH2.0命令1-7 display ssh server SSH2.0命令1-1 display ssh server-info SSH2.0命令1-8 display ssh user-information SSH2.0命令1-2 display ssl client-policy SSL命令1-3 display ssl server-policy SSL命令1-3 display startup 文件系统管理命令2-8 display system-failure 设备管理命令1-13 display tcp ipv6 statistics IPv6基础命令1-13 display tcp ipv6 status IPv6基础命令1-16 display tcp statistics IP性能优化命令1-9 display telnet client configuration 设备管理命令1-14 display tftp client configuration FTP和TFTP命令2-1 display this 系统基本命令1-15 display track Track命令1-1 display transceiver 设备管理命令1-18 display transceiver alarm 设备管理命令1-14 display transceiver diagnosis 设备管理命令1-17 display transceiver manuinfo 设备管理命令1-19 display trapbuffer 信息中心命令1-6 display udp ipv6 statistics IPv6基础命令1-17 display udp statistics IP性能优化命令1-11 display user-interface 用户界面命令1-8 display users 用户界面命令1-10 display version 系统基本命令1-16 display vrrp VRRP命令1-2 display vrrp ipv6 VRRP命令1-19 display vrrp ipv6 statistics VRRP命令1-24 display vrrp statistics VRRP命令1-7 dns-server DHCPv6命令1-7domain-id L3VPN命令1-14 domain-name DHCPv6命令1-8 duplex 以太网接口命令1-12 Eebgp-interface-sensitive BGP命令1-29 embedded-rp IPv6 PIM命令1-21 enable link-local-signaling OSPF命令1-28 enable log OSPF命令1-29 enable log updown 信息中心命令1-8 enable out-of-band-resynchronization OSPF命令1-29 enable snmp trap updown 以太网链路聚合命令1-9 enable snmp trap updown SNMP命令1-9 encap-data-enable MSDP命令1-7 escape-key 用户界面命令1-11 execute 文件系统管理命令1-4 exit SSH2.0命令1-18 export route-policy L3VPN命令1-15 ext-community-type L3VPN命令1-15 Ffast-leave (IGMP view) IGMP命令1-9 file prompt 文件系统管理命令1-4 filename NQA命令1-17 filter OSPF命令1-30 filter-policy export RIP命令1-8 filter-policy export (BGP/BGP-VPN instance view) BGP命令1-29 filter-policy export (IPv6 address family view) IPv6 BGP命令1-26 filter-policy export (OSPF view) OSPF命令1-30 filter-policy export (OSPFv3 view) OSPFv3命令1-25 filter-policy export (RIPng view) RIPng命令1-7 filter-policy import (BGP/BGP-VPN instance view) BGP命令1-31 filter-policy import (IPv6 address family view) IPv6 BGP命令1-27 filter-policy import (OSPF view) OSPF命令1-31 filter-policy import (OSPFv3 view) OSPFv3命令1-26 filter-policy import （RIP view） RIP命令1-9filter-policy import (RIPng view) RIPng命令1-8 firewall http activex-blocking suffix WEB过滤命令1-5 firewall http java-blocking suffix WEB过滤命令1-6 firewall http url-filter parameter WEB过滤命令1-7 fixdisk 文件系统管理命令1-5 format 文件系统管理命令1-5 free ftp user FTP和TFTP命令1-2 free user-interface 用户界面命令1-12 frequency NQA命令1-17 ftp FTP和TFTP命令1-13 ftp client source FTP和TFTP命令1-14 ftp ipv6 FTP和TFTP命令1-14 ftp server acl FTP和TFTP命令1-3 ftp server enable FTP和TFTP命令1-3 ftp timeout FTP和TFTP命令1-4 ftp update FTP和TFTP命令1-5 Gget SSH2.0命令1-19 get FTP和TFTP命令1-15 graceful-restart (BGP view) BGP命令1-31 graceful-restart (OSPF view) OSPF命令1-32 graceful-restart help OSPF命令1-33 graceful-restart helper enable OSPFv3命令1-27 graceful-restart helper strict-lsa-checking OSPFv3命令1-27 graceful-restart interval (OSPF view) OSPF命令1-34 graceful-restart timer restart BGP命令1-32 graceful-restart timer wait-for-rib BGP命令1-33 gratuitous-arp-learning enable ARP命令2-2 gratuitous-arp-sending enable ARP命令2-1 gre checksum GRE命令1-1 gre key GRE命令1-2 gre p2mp aging-time GRE命令1-3 gre p2mp backup-interface GRE命令1-3 gre p2mp branch-network-mask GRE命令1-4 group (BGP/BGP-VPN instance view) BGP命令1-33group (IPv6 address family view) IPv6 BGP命令1-28 Hhandshake timeout SSL命令1-5 header 系统基本命令1-17 hello-option dr-priority (IPv6 PIM view) IPv6 PIM命令1-22 hello-option dr-priority (PIM view) PIM命令1-23 hello-option holdtime (IPv6 PIM view) IPv6 PIM命令1-22 hello-option holdtime (PIM view) PIM命令1-24 hello-option lan-delay (IPv6 PIM view) IPv6 PIM命令1-23 hello-option lan-delay (PIM view) PIM命令1-24 hello-option neighbor-tracking (IPv6 PIM view) IPv6 PIM命令1-23 hello-option neighbor-tracking (PIM view) PIM命令1-25 hello-option override-interval (IPv6 PIM view) IPv6 PIM命令1-24 hello-option override-interval (PIM view) PIM命令1-25 help SSH2.0命令1-19 history-command max-size 用户界面命令1-13 history-record enable NQA命令1-18 history-record keep-time NQA命令1-19 history-record number NQA命令1-19 holdtime assert (IPv6 PIM view) IPv6 PIM命令1-25 holdtime assert (PIM view) PIM命令1-26 holdtime join-prune (IPv6 PIM view) IPv6 PIM命令1-25 holdtime join-prune (PIM view) PIM命令1-27 host-advertise OSPF命令1-35 host-route RIP命令1-10 hotkey 系统基本命令1-18 http-version NQA命令1-20 Iidle-timeout 用户界面命令1-13 if-match acl IP单播策略路由命令1-8 if-match packet-length IP单播策略路由命令1-9 igmp IGMP命令1-10 igmp enable IGMP命令1-11 igmp fast-leave IGMP命令1-11igmp group-limit IGMP命令1-12 igmp group-policy IGMP命令1-12 igmp last-member-query-interval IGMP命令1-13 igmp max-response-time IGMP命令1-14 igmp proxying enable IGMP命令1-14 igmp proxying forwarding IGMP命令1-15 igmp require-router-alert IGMP命令1-15 igmp robust-count IGMP命令1-16 igmp send-router-alert IGMP命令1-17 igmp ssm-mapping enable IGMP命令1-17 igmp startup-query-count IGMP命令1-18 igmp startup-query-interval IGMP命令1-18 igmp static-group IGMP命令1-19 igmp timer other-querier-present IGMP命令1-20 igmp timer query IGMP命令1-20 igmp version IGMP命令1-21 ignore-first-as BGP命令1-34 import route-policy L3VPN命令1-16 import-route RIPng命令1-9 import-route (BGP/BGP-VPN instance view) BGP命令1-34 import-route (IPv6 address family view) IPv6 BGP命令1-29 import-route (OSPF view) OSPF命令1-35 import-route (OSPFv3 view) OSPFv3命令1-28 import-route (RIP view) RIP命令1-11 import-route guard BGP命令1-35 import-source MSDP命令1-8 info-center channel name 信息中心命令1-8 info-center console channel 信息中心命令1-9 info-center enable 信息中心命令1-9 info-center format unicom 信息中心命令1-10 info-center logbuffer 信息中心命令1-10 info-center loghost 信息中心命令1-11 info-center loghost source 信息中心命令1-12 info-center monitor channel 信息中心命令1-13 info-center security-logfile alarm-threshold 信息中心命令1-14 info-center security-logfile enable 信息中心命令1-14info-center security-logfile frequency 信息中心命令1-15 info-center security-logfile size-quota 信息中心命令1-15 info-center snmp channel 信息中心命令1-16 info-center source 信息中心命令1-16 info-center synchronous 信息中心命令1-18 info-center syslog channel 信息中心命令1-20 info-center timestamp 信息中心命令1-20 info-center timestamp loghost 信息中心命令1-21 info-center trapbuffer 信息中心命令1-22 interface 以太网接口命令1-12 interface bridge-aggregation 以太网链路聚合命令1-10 interface loopback Loopback接口和Null接口命令1-4 interface null Loopback接口和Null接口命令1-4 interface route-aggregation 以太网链路聚合命令1-10 interface tunnel 隧道命令1-8 interface virtual-template L2TP命令1-3 ip binding vpn-instance L3VPN命令1-17 ip forward-broadcast (Interface view) IP性能优化命令1-12 ip forward-broadcast (System view) IP性能优化命令1-13 ip http acl HTTP命令1-1 ip http enable HTTP命令1-3 ip http port HTTP命令1-3 ip https acl HTTP命令2-2 ip https certificate access-control-policy HTTP命令2-3 ip https enable HTTP命令2-3 ip https port HTTP命令2-4 ip https ssl-server-policy HTTP命令2-4 ip local policy-based-route IP单播策略路由命令1-9 ip policy-based-route IP单播策略路由命令1-10 ip redirects enable IP性能优化命令1-13 ip route-static 静态路由命令1-1 ip route-static default-preference 静态路由命令1-4 ip rpf-route-static 组播路由与转发命令1-9 ip ttl-expires enable IP性能优化命令1-14 ip unreachables enable IP性能优化命令1-14 ip vpn-instance L3VPN命令1-17ipsec-policy (OSPFv3 area view) OSPFv3命令1-29 ipsec-policy (RIPng view) RIPng命令1-9 ipv4-family L3VPN命令1-18 ipv6 IPv6基础命令1-18 ipv6 address IPv6基础命令1-18 ipv6 address anycast IPv6基础命令1-19 ipv6 address auto IPv6基础命令1-19 ipv6 address auto link-local IPv6基础命令1-20 ipv6 address eui-64 IPv6基础命令1-21 ipv6 address link-local IPv6基础命令1-21 ipv6 dhcp pool DHCPv6命令1-9 ipv6 dhcp prefix-pool DHCPv6命令1-9 ipv6 dhcp relay server-address DHCPv6命令1-17 ipv6 dhcp server apply pool DHCPv6命令1-10 ipv6 dhcp server enable DHCPv6命令1-11 ipv6 fibcache IPv6基础命令1-22 ipv6 fib-loadbalance-type hash-based IPv6基础命令1-22 ipv6 hoplimit-expires enable IPv6基础命令1-23 ipv6 icmp-error IPv6基础命令1-24 ipv6 icmpv6 multicast-echo-reply enable IPv6基础命令1-24 ipv6 mtu IPv6基础命令1-25 ipv6 nd autoconfig managed-address-flag IPv6基础命令1-25 ipv6 nd autoconfig other-flag IPv6基础命令1-26 ipv6 nd dad attempts IPv6基础命令1-26 ipv6 nd hop-limit IPv6基础命令1-27 ipv6 nd ns retrans-timer IPv6基础命令1-27 ipv6 nd nud reachable-time IPv6基础命令1-28 ipv6 nd proxy enable IPv6基础命令1-28 ipv6 nd ra halt IPv6基础命令1-29 ipv6 nd ra interval IPv6基础命令1-29 ipv6 nd ra no-advlinkmtu IPv6基础命令1-30 ipv6 nd ra prefix IPv6基础命令1-31 ipv6 nd ra router-lifetime IPv6基础命令1-31 ipv6 neighbor IPv6基础命令1-32 ipv6 neighbors max-learning-num IPv6基础命令1-33 ipv6 pathmtu IPv6基础命令1-33ipv6 pathmtu age IPv6基础命令1-34 ipv6 route-static IPv6 静态路由命令1-1 ipv6 unreachables enable IPv6基础命令1-34 ipv6-family IPv6 BGP命令1-29 Jjob 设备管理命令1-19 jp-pkt-size (IPv6 PIM view) IPv6 PIM命令1-26 jp-pkt-size (PIM view) PIM命令1-27 jp-queue-size (IPv6 PIM view) IPv6 PIM命令1-26 jp-queue-size (PIM view) PIM命令1-28 Kkeepalive GRE命令1-5 Ll2tp enable L2TP命令1-4 l2tp sendaccm enable L2TP命令1-4 l2tp-auto-client enable L2TP命令1-5 l2tp-group L2TP命令1-6 l2tpmoreexam enable L2TP命令1-5 lacp system-priority 以太网链路聚合命令1-11 last-member-query-interval (IGMP view) IGMP命令1-21 lcd FTP和TFTP命令1-16 limit 连接限制命令1-3 link-aggregation load-sharing mode 以太网链路聚合命令1-11 link-aggregation mode 以太网链路聚合命令1-12 link-aggregation port-priority 以太网链路聚合命令1-13 local-proxy-arp enable ARP命令3-2 lock 用户界面命令1-14 log-peer-change OSPF命令1-37 log-peer-change BGP命令1-36 log-peer-change OSPFv3命令1-29 loopback 以太网接口命令1-13 ls SSH2.0命令1-20 ls FTP和TFTP命令1-16 lsa-arrival-interval OSPF命令1-37lsa-generation-interval OSPF命令1-38 lsdb-overflow-limit OSPF命令1-39 Mmandatory-chap L2TP命令1-6 mandatory-lcp L2TP命令1-7 maximum load-balancing (OSPF view) OSPF命令1-39 maximum load-balancing (OSPFv3 view) OSPFv3命令1-30 maximum load-balancing (RIP view) RIP命令1-12 maximum load-balancing (RIPng view) RIPng命令1-10 maximum-routes OSPF命令1-40 max-response-time (IGMP view) IGMP命令1-22 mdi 以太网接口命令1-19 mib-style SNMP命令2-1 mkdir SSH2.0命令1-20 mkdir FTP和TFTP命令1-18 mkdir 文件系统管理命令1-6 mode NQA命令1-20 more 文件系统管理命令1-7 mount 文件系统管理命令1-7 move 文件系统管理命令1-8 msdp MSDP命令1-8 mtracert 组播路由与转发命令1-10 mtu 以太网接口命令1-21 mtu 以太网链路聚合命令1-13 mtu (Tunnel interface view) 隧道命令1-8 multicast boundary 组播路由与转发命令1-11 multicast forwarding-table downstream-limit 组播路由与转发命令1-12 multicast forwarding-table route-limit 组播路由与转发命令1-13 multicast ipv6 boundary IPv6组播路由与转发命令1-6 multicast ipv6 forwarding-table downstream-limit IPv6组播路由与转发命令1-7 multicast ipv6 forwarding-table route-limit IPv6组播路由与转发命令1-8 multicast ipv6 load-splitting IPv6组播路由与转发命令1-8 multicast ipv6 longest-match IPv6组播路由与转发命令1-9 multicast ipv6 routing-enable IPv6组播路由与转发命令1-9 multicast load-splitting 组播路由与转发命令1-13multicast longest-match 组播路由与转发命令1-14multicast routing-enable 组播路由与转发命令1-14multicast-suppression (Ethernet interface view/Ethernet sub-interface以太网接口命令1-19 view/Port-group view)Nnatpt address-group NAT-PT命令1-4natpt enable NAT-PT命令1-5natpt prefix NAT-PT命令1-6natpt turn-off tos NAT-PT命令1-6natpt turn-off traffic-class NAT-PT命令1-7natpt v4bound dynamic NAT-PT命令1-7natpt v4bound static NAT-PT命令1-8natpt v4bound static v6server NAT-PT命令1-9natpt v6bound dynamic NAT-PT命令1-9natpt v6bound static NAT-PT命令1-10naturemask-arp enable ARP命令1-7network RIP命令1-13network (BGP/BGP-VPN instance view) BGP命令1-37network (IPv6 address family view) IPv6 BGP命令1-30network (OSPF area view) OSPF命令1-40network short-cut (BGP/BGP-VPN instance view) BGP命令1-37next-hop NQA命令1-21nqa NQA命令1-22nqa agent enable NQA命令1-22nqa agent max-concurrent NQA命令1-23nqa schedule NQA命令1-23nqa server enable NQA命令1-49nqa server tcp-connect NQA命令1-50nqa server udp-echo NQA命令1-50nssa OSPF命令1-41ntp-service access NTP命令1-6ntp-service authentication enable NTP命令1-7ntp-service authentication-keyid NTP命令1-8ntp-service broadcast-client NTP命令1-9ntp-service broadcast-server NTP命令1-9ntp-service in-interface disable NTP命令1-10ntp-service max-dynamic-sessions NTP命令1-10 ntp-service multicast-client NTP命令1-11 ntp-service multicast-server NTP命令1-11 ntp-service refclock-master NTP命令1-12 ntp-service reliable authentication-keyid NTP命令1-13 ntp-service source-interface NTP命令1-13 ntp-service unicast-peer NTP命令1-14 ntp-service unicast-server NTP命令1-15 Oopaque-capability enable OSPF命令1-42 open FTP和TFTP命令1-18 open ipv6 FTP和TFTP命令1-19 operation (FTP test type view) NQA命令1-24 operation (HTTP test type view) NQA命令1-25 operation interface NQA命令1-25 originating-rp MSDP命令1-9 ospf OSPF命令1-42 ospf authentication-mode OSPF命令1-43 ospf cost OSPF命令1-44 ospf dr-priority OSPF命令1-45 ospf mib-binding OSPF命令1-46 ospf mtu-enable OSPF命令1-46 ospf network-type OSPF命令1-47 ospf packet-process prioritized-treatment OSPF命令1-48 ospf timer dead OSPF命令1-49 ospf timer hello OSPF命令1-49 ospf timer poll OSPF命令1-50 ospf timer retransmit OSPF命令1-51 ospf trans-delay OSPF命令1-51 ospfv3 OSPFv3命令1-31 ospfv3 area OSPFv3命令1-31 ospfv3 cost OSPFv3命令1-32 ospfv3 dr-priority OSPFv3命令1-32 ospfv3 ipsec-policy OSPFv3命令1-33 ospfv3 mtu-ignore OSPFv3命令1-34。

H3C防火墙配置说明(总14页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除H3C防火墙配置说明杭州华三通信技术有限公司版权所有侵权必究All rights reserved配置OSPF验证从安全性角度来考虑，为了避免路由信息外泄或者对OSPF路由器进行恶意攻击，OSPF提供报文验证功能。

OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进行密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。

要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须相同，同一个网段内的路由器需要配置相同的接口验证模式和口令。

表1-29 配置OSPF验证提高IS-IS网络的安全性在安全性要求较高的网络中，可以通过配置IS-IS验证来提高IS-IS网络的安全性。

IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。

配置准备在配置IS-IS验证功能之前，需完成以下任务：配置接口的网络层地址，使相邻节点网络层可达使能IS-IS功能配置邻居关系验证配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello报文中，并对接收到的Hello报文进行验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。

两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。

表1-37 配置邻居关系验证必须先使用isis enable 命令使能该接口才能进行参数level-1和level-2的配置。

如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello 报文配置验证方式及验证密码。

如果没有指定ip 或osi 参数，将检查Hello 报文中OSI 的相应字段的配置内容。

配置区域验证通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB 中。