H3C三層交換機配置命令

1、H3C 三層交換機配置命令技術(shù)教程2010-03-01 16:16:53閱讀 655 評論 0 字號：大中小訂閱一、 write 是 cisco 的H3C 的保存配置的命令是save查看保存的配置文件為dis save 查看當前運行的配置是dis cu 清空配置為 resetsave需要重啟生效重啟為 reboot二、 system-view: 進入配置模式Quidwaydis curQuidwaydisplay current-configurationQuidwaydisplay interfacesQuidwaydisplay vlan allQuidwaydisplay version

2、Quidwaysuper passwordQuidwaysysnameQuidwayinterface ethernet 0/1; 顯示當前配置; 顯示當前配置; 顯示接口信息; 顯示路由信息; 顯示版本信息; 修改特權(quán)用戶密碼; 交換機命名; 進入接口視圖Quidwayinterface vlan x; 進入接口視圖Quidway-Vlan-interfacexip address ; 配置 VLAN 的 IP 地址Quidwayip route-static ; 靜態(tài)路由 =網(wǎng)關(guān)Quidwayrip

3、; 三層交換支持Quidwaylocal-user ftp增加用戶名Quidwayuser-interface vty 0 4; 進入虛擬終端S3026-ui-vty0-4authentication-mode password; 設(shè)置口令模式S3026-ui-vty0-4set authentication-mode password simple 222; 設(shè)置口令S3026-ui-vty0-4user privilege level 3; 用戶級別說明：必須要配置虛擬終端用戶名、密碼等相關(guān)信息，否則將無法通過RJ -45 端口 telnet 到交換機。<Sysname> sy

4、stem-viewSysname local-user adminSysname-luser-admin service-type telnet level 3Sysname-luser-admin password simple admin說明：以上命令用于設(shè)置web 管理頁面的登錄用戶名和密碼，必須要設(shè)置上述信息，否則將無法登錄到web 配置頁面。Quidwayinterface ethernet 0/1; 進入端口模式Quidwayint e0/1; 進入端口模式Quidway-Ethernet0/1duplex half|full|auto; 配置端口工作狀態(tài)Quidway-Ether

5、netO/1speed 10|100|auto Quidway-EthernetO/1flow-control Quidway-EthernetO/1mdi across|auto|normalQuidway-Ethernet0/1port link-type trunk|access|hybridQuidway-Ethernet0/1port access vlan 3Quidway-Ethernet0/2port trunk permit vlan ID|AIIQuidway-Ethernet0/3port trunk pvid vlan 3Quidway-Ethernet0/1undo

6、shutdown Quidway-Ethernet0/1shutdownQuidway-Ethernet0/1quit; 配置端口工作速率; 配置端口流控; 配置端口平接扭接; 設(shè)置端口工作模式; 當前端口加入到 VLAN; 設(shè) trunk 允許的 VLAN; 設(shè)置 trunk 端口的 PVID; 激活端口; 關(guān)閉端口返回Quidwayvlan 3Quidway-vlan3port ethernet 0/1Quidway-vlan3port e0/1Quidway-vlan3port ethernet 0/1 to ethernet 0/4 Quidway-vlan3port e0/1 to

7、e0/4; 創(chuàng)建 VLAN; 在 VLAN 中增加端口；簡寫方式; 在 VLAN 中增加端口; 簡寫方式Quidwaymonitor-port <interface_type interface_num> 指定鏡像端口Quidwayport mirror <interface_type interface_num> 指定被鏡像端口Quidwayport mirror int_list observing-port int_type int_num; 指定鏡像和被鏡像Quidwaydescription string Quidwaydescription Quidwayd

8、isplay vlan vlan_idQuidwaystp enable|disable Quidwaystp priority 4096 Quidwaystp root primary|secondary Quidway-Ethernet0/1stp cost 200Quidwaylink-aggregation e0/1 to e0/4 ingress|both Quidwayundo link-aggregation e0/1|allSwitchA-vlanxisolate-user-vlan enable SwitchAisolate-user-vlan <x> secon

9、dary <list> Quidway-Ethernet0/2port hybrid pvid vlan <id> Quidway-Ethernet0/2port hybrid pvid; 指定 VLAN 描述字符; 刪除 VLAN 描述字符; 查看 VLAN 設(shè)置; 設(shè)置生成樹 ， 默認關(guān)閉; 設(shè)置交換機的優(yōu)先級; 設(shè)置為根或根的備份; 設(shè)置交換機端口的花費;端口的聚合;始端口為通道號; 設(shè)置主 vlan; 設(shè)置主 vlan 包括的子vlan; 設(shè)置 vlan 的 pvid; 刪除 vlan 的 pvidQuidway-Ethernet0/2port hybrid v

10、lan vlan_id_list untagged;設(shè)置無標識的vlan如果包的 vlan id 與 PVId 一致，則去掉vlan 信息 .默認 PVID=1 。 所以設(shè)置 PVID 為所屬 vlan id, 設(shè)置可以互通的vlan 為 untagged.配置基本 ACL 2000 ，禁止源 IP 地址為 的報文通過。<Sysname> system-viewSysname acl number 2000#顯示基本 ACL 2000 的配置信息。Sysname-acl-basic-2000 display acl 2000Basic ACL 2000, 1

11、ruleAcl's step is 1rule 0 deny source 0#配置高級ACL 3000 ，允許從 /16網(wǎng)段的主機向/24網(wǎng)段的主機發(fā)送的端口號為80 的 TCP 報文通過。<Sysname> system-viewSysname acl number 3000Sysname-acl-adv-3000 rule permit tcp source 55 destination 55 destination-port

12、 eq 80在端口Ethernet 1/0/1的入方向上應(yīng)用ACL 2000 進行包過濾。<Sysname> system-viewSysname interface Ethernet 1/0/1Sysname-Ethernet1/0/1 packet-filter inbound ip-group 2000#在 VLAN 1 的入方向上應(yīng)用ACL 2000 進行包過濾。<Sysname> system-viewSysname packet-filter vlan 1 inbound ip-group 2000說明： acl 的 in 和 out說明一：in和out是相

13、對交換機而言的，凡是數(shù)據(jù)從外部設(shè)備( 如PC) 進入交換機，則該方向為in ; 凡是數(shù)據(jù)從交換機轉(zhuǎn)發(fā)到外部設(shè)備( 如PC)，則該方向為out 。說明二：in 和out是相對的 ，比如：A(s0)-(s0)B(s1) - (s1)C假設(shè)你現(xiàn)在想拒絕A 訪問C,并且假設(shè)要求你是在B 上面做ACL( 當然C 上也可以)，我們把這個拓撲換成一個例子：B 的s0口是前門,s1口是后門 ，整個B 是你家客廳 ，前門外連的是A,客廳后門連接的是你家金庫(C)現(xiàn)在要拒絕小偷從A 進來 ,那么你在你家客廳做個設(shè)置，就有2種辦法：1. 在你家客廳 (B) 前門 (B 的 s0) 安個鐵門 (ACL), 不讓小偷進

14、來 ( in), 這樣可以達到目的2. 在你家客廳后門安個鐵門(B的 s1), 小偷雖然進到你家客廳，但是仍然不能從后門出去(out) 到達你家金庫(C)雖然這2 種辦法(in/out) 都可以達到功效 ，但是從性能角度上來說還是有區(qū)別的，實際上最好的辦法 ，就是選辦法1,就像雖然小偷沒進到金庫，至少進到你家客廳(B),把你客廳的地毯給搞臟了(B要消耗些額外的不必要的處理)Sysname-acl-basic-2000 rule deny source 0說明三：1、 交換機、路由器上：針對某個 vlan 接口應(yīng)用 acl 的方向問題，大家可以看看acl 的源和目標地址段

15、。假設(shè)要為 vlanA 配置 acl ，當源地址段為vlan A 的 ip 段時， acl 就是用 in ; 當目的地址段為vlanA 的 ip 段時， acl 就是用 out 方向。反正有一點需要注意，應(yīng)用在vlan 的 ACL 為 out 方向時，其目的地址肯定是此vlan的 ip 網(wǎng)段內(nèi)地址或者在acl 中用 any 來匹配，但是用其他具體網(wǎng)段來匹配的話是匹配不上的；應(yīng)用在 vlan 的 ACL 為 in 方向時，其源地址肯定是此vlan 的 ip 網(wǎng)段內(nèi)地址或者在acl中用 any 來匹配，但是用其他具體網(wǎng)段來匹配的話同樣是匹配不上的。要為 vlan 配 acl 時，可以把vlan 看

16、成是一個普通接口。2、 防火墻上：從安全級別低的訪問高的叫in從安全級別高的訪問低的叫ou三、 加密改密：<h3c>system-viewh3clocal-user admi n用戶名h3c-user-adminpassword cipher admin/密碼，顯示的時候就變成密文的了。h3c-user-adm inq uith3cquit<h3c>save 保存1、system-view四、進入系統(tǒng)視圖模式2、 sysname為設(shè)備命名3、 display current-configuration當前配置情況4、 Ian guage-mode Chin ese|E

17、nglish中英文切換5、 in terface Ethernet 1/0/1進入以太網(wǎng)端口視圖6、 port lin k-type Access|Tru nk|Hybrid設(shè)置端口訪問模式7、 un do shutdow n打開以太網(wǎng)端口8、 shutdow n關(guān)閉以太網(wǎng)端口9、 quit退出當前視圖模式10、vlan 10 創(chuàng)建 VLAN 10 并進入 VLAN 10 的視圖模式11、port access vlan 10在端口模式下將當前端口加入到vlan 10 中12、port E1/0/2 to E1/0/5在 VLAN 模式下將指定端口加入到當前vlan 中13 、port tru

18、nk permit vlan all允許所有的vlan 通過H3C 路由器1、system-view進入系統(tǒng)視圖模式2、sysname R1 為設(shè)備命名為R13、display ip routing-table顯示當前路由表4、language-mode Chinese|English中英文切換5、interface Ethernet 0/0進入以太網(wǎng)端口視圖6、ip address 配置 IP 地址和子網(wǎng)掩碼7、undo shutdown打開以太網(wǎng)端口8、shutdown 關(guān)閉以太網(wǎng)端口9、quit退出當前視圖模式10、ip route-st

19、atic description To.R2配置靜態(tài)路由11、ip route-static description To.R2配置默認的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router1、調(diào)整超級終端的顯示字號；2、捕獲超級終端操作命令行，以備日后查對；3、language-mode Chinese|English中英文切換；4、復(fù)制命令到超級終端命令行，粘貼到主機；5、交換機清除配置:<H3

20、C>reset save； <H3C>reboot ；6、路由器、交換機配置時不能掉電，連通測試前一定要檢查網(wǎng)絡(luò)的連通性，不要犯最低級的錯誤。7、/24等同 ；在配置交換機和路由器時， 可以寫成： 248、設(shè)備命名規(guī)則：地名-設(shè)備名 -系列號例：PingGu-R-S3600H3C 華為交換機端口綁定基本配置2008-01-22 13:401，端口 MACa)AM 命令使用特殊的AM User-bind命令，來完成MAC 地址與端口之間的

21、綁定。例如： SwitchA am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置說明：由于使用了端口參數(shù)，則會以端口為參照物，即此時端口E0/1 只允許 PC1 上網(wǎng)，而使用其他未綁定的 MAC 地址的 PC 機則無法上網(wǎng)。但是 PC1 使用該 MAC 地址可以在其他端口上網(wǎng)。b)mac-address命令使用 mac-address static命令，來完成MAC 地址與端口之間的綁定。例如： SwitchA mac-address static 00e0-fc22-f8d3 interface Ethernet

22、0/1 vlan 1 SwitchA mac-address max-mac-count 0 配置說明：由于使用了端口學(xué)習(xí)功能，故靜態(tài)綁定 mac 后，需再設(shè)置該端口 mac 學(xué)習(xí)數(shù)為 0 ，使其他 PC 接入此端口后其 mac 地址無法被學(xué)習(xí)。2，IP MACa)AM 命令 使用特殊的AM User-bind 命令，來完成IP 地址與 MAC 地址之間的綁定。 例如：SwitchA am user-bind ip-address mac-address 00e0-fc22-f8d3配置說明：以上配置完成對 PC 機的 IP 地址和 MAC 地址的全局綁定， 即與綁定 的 I

23、P 地址或者 MAC 地址不同的 PC 機，在任何端口都無法上網(wǎng)。支持型號： S3026E/EF/C/G/T 、S3026C-PWR 、E026/E026T 、S3050C 、E050 、 S3526E/C/EF 、 S5012T/G 、S5024Gb）arp 命令使用特殊的arp static 命令，來完成IP 地址與 MAC 地址之間的綁定。例如： SwitchA arp static 00e0-fc22-f8d3配置說明：以上配置完成對PC 機的 IP 地址和 MAC 地址的全局綁定。3，端口 IP MAC使用特殊的AM User-bind命令，來完成IP、MAC 地址

24、與端口之間的綁定。例如： SwitchA am user-bind ip-address mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置說明：可以完成將PC1 的 IP 地址、 MAC 地址與端口E0/1 之間的綁定功能。由于使用了端口參數(shù)，則會以端口為參照物，即此時端口E0/1 只允許 PC1 上網(wǎng)，而使用其他未綁定的 IP 地址、 MAC 地址的 PC 機則無法上網(wǎng)。 但是 PC1 使用該 IP 地址和 MAC 地址可以在其他端口上網(wǎng)。 S2016-E1-Ethernet0/1 mac-address max-mac

25、-count 0;進入到端口，用命令mac max-mac-count 0 （ 端口 mac 學(xué)習(xí)數(shù)設(shè)為0） S2016-E1 mac static 0000-9999-8888 int e0/1 vlan 10;將 0000-9999-8888 綁定到 e0/1 端口上，此時只有綁定 mac 的 pc 可以通過此 口上網(wǎng),同時 E0/1 屬于 vlan 10就這樣， ok 了，不過上面兩個命令順序不能弄反，除非端口下沒有接pc dis vlan顯示 vlanname text 指定當前vlan 的名稱undo name 取消 h3c vlan 2 h3c-vlan2 name test vl

26、andis users 顯示用戶dis startup 顯示啟動配置文件的信息dis user-interface顯示用戶界面的相關(guān)信息dis web users顯示 web 用戶的相關(guān)信息。 header login 配置登陸驗證是顯示信息header shell undo header lock鎖住當前用戶界面acl 訪問控制列表acl number inbound/outboundh3c user-interface vty 0 4 h3c-vty0-4 acl 2000 inbound shutdown: 關(guān)閉 vlan 接口 undo shutdown 打開vlan 接口 關(guān)閉 vl

27、an1 接口h3c interface vlan-interface 1 h3c-vlan-interface shutdown vlan vlan-id定義 vlan undo valn vlan-id display ip routing-table display ip routing-table protocol staticdisplay ip routing-table statisticsdisplay ip routing-table verbose查看路由表的全部詳細信息interface vlan-interface vlan-id進入 valn management-vl

28、an vlan-id定義管理vlan 號reset ip routing-table statistics protocol all清除所有路由協(xié)議的路由信息. displaygarp statistics interface GigabitEthernet 1/0/1顯示以太網(wǎng)端口上的garp 統(tǒng)計信息display voice vlan status查看語音vlan 狀態(tài) h3c-GigabitEthernet1/0/1 broadcast-suppression 20 允許接受的最大廣播 流量為該端口傳輸能力的 20%. 超出部分丟棄 . h3c-GigabitEthernet1/0/1

29、 broadcast-suppression pps 1000 每秒允許接受 的最大廣播數(shù)據(jù)包為 1000 傳輸能力的 20%. 超出部分丟棄 .display interface GigabitEthernet1/0/1查看端口信息display brief interface GigabitEthernet1/0/1查看端口簡要配置信息display loopback-detection用來測試環(huán)路測試是否開啟display transceiver-information interface GigabitEthernet1/0/50顯示光口相關(guān)信息duplex auto/full/hal

30、f h3c interface GigabitEthernet1/0/1 h3c-GigabitEthernet1/0/1 duplux auto 設(shè)置端口雙工屬性為自協(xié)商port link-type access/hybrid/trunk 默認為 access port trunk permit vlan all 將 trunk 扣加入所有 vlan 中reset counters interface GigabitEthernet1/0/1清楚端口的統(tǒng)計信息speed auto 10/100/1000display port-security查看端口安全配置信息am user-bind m

31、ac-addr 00e0-fc00-5101 ip-addr interface GigabitEthernet1/0/1 端口 ip 綁定display arp 顯示 arpdisplay am user-bind顯示端口綁定的配置信息display mac-address顯示交換機學(xué)習(xí)到的mac 地址display stp 顯示生成樹狀態(tài)與統(tǒng)計信息 h3c-GigabitEthernet1/0/1stp instance 0 cost 200設(shè)置生成樹實例0 上路徑 開銷為 200stp cost 設(shè)置當前端口在指定生成樹實例上路徑開銷。instance-id 為 0

32、-16 0 表 cist取值范圍1-200000<h3c> display system-guard ip-record顯示防攻擊記錄信息.system-guard enable啟用系統(tǒng)防攻擊功能display icmp statistics icmp流量統(tǒng)計display ip socketdisplay ip statisticsdisplay acl allacl number acl-number match-order auto/configacl-number （2000-2999 是基本 acl 3000-3999是高級acl 為管理員預(yù)留的編號）rule deny/

33、permit protocal訪問控制h3c acl number 3000 h3c-acl-adv-3000 rule permit tcp source 55 destination 55 destination-port eq 80（定義高級acl 3000, 允許 129.0.0/16 網(wǎng)段的主機向202.38.160/24 網(wǎng)段主機訪問端口 80）rule permit source 55rule deny cos 3 souce 00de-bbef-ad

34、se ffff-ffff-fff dest 0011-4301-9912 ffff-ffff-ffff（禁止 mac 地址 00de-bbef-adse 發(fā)送到 mac 地址 0011-4301-9912 且 802.1p 優(yōu)先級為 3 的報文通過 ）display qos-interface GigabitEthernet1/0/1 traffic-limit查看端口上流量端口速率限制line-rate inbound/outbound target-rate inbound:對端口接收報文進行速率限制outbound: 對端口發(fā)送報文進行速率限制target-rate 對報文限制速率,單位

35、 kbps 千兆口inbound 范圍 1-1000000 outbound范圍 20-1000000undo line-rate 取消限速. h3c interface GigabitEthernet1/0/1 h3c-GigabitEthernet1/0/1 line-rate outbound 128 限制出去速率為 128kbpsdisplay arp | include 77display arp count計算 arp 表的記錄數(shù)display ndp 顯示交換機端口的詳細配置信息。display ntdp device-list verbose收集設(shè)備詳細信息display lo

36、ck display usersdisplay cpudisplay memorydisplay fan display device display power如何在交換機上獲取與之直接相連的計算機的mac查看 mac 可用老命令行show mac ，可查看對應(yīng)端口上的mac新命令行 dis macip 地址在二層交換機上無法查得displaymac-addressMAC ADDRVLAN IDSTATEPORTINDEXAGING TIME000d-87db-de7d512Lear nedEthernetO/1AGING華 3 交換機端口匯聚配置交換機端口匯聚配置關(guān)于交換機端口匯聚的配置問

37、題:端口匯聚配置配置環(huán)境參數(shù)1. 交換機 SwitchA 和 SwitchB 通過以太網(wǎng)口實現(xiàn)互連。2. SwitchA 用于互連的端口為eO/1 和 eO/2 ， SwitchB 用于互連的端口為eO/1 和 eO/2 。組網(wǎng)需求增加 SwitchA 的 SwitchB 的互連鏈路的帶寬，并且能夠?qū)崿F(xiàn)鏈路備份，使用端口匯聚。2 數(shù)據(jù)配置步驟端口匯聚數(shù)據(jù)轉(zhuǎn)發(fā)流程如上圖，如果在匯聚時配置的是ingress 屬性，假如 PC1 的數(shù)據(jù)包進入SwitchA , 假如第一次去 PING PC2 ，那么第一次將是廣播包，數(shù)據(jù)包將從匯聚端口的邏輯主端口送出，報文送達 Switch2時，此時 PC1 的 MAC 也將對應(yīng)學(xué)習(xí)到Switch2 的邏輯主端口，此時PC2 再進行回包主要看PC1 的源 MAC 學(xué)習(xí)到哪個端口，就會通過哪個端口進行轉(zhuǎn)發(fā)，所以ingress是根據(jù)流進行轉(zhuǎn)發(fā)，如果流是單一的，那么該數(shù)據(jù)流也將一直走同一個端口，除非該端口故障。如果在匯聚時配置的是both 屬性， 2 個端口匯聚，如PC1 的數(shù)據(jù)包進入Sw