H3C三层交换机配置命令.docx
- 文档编号:17231058
- 上传时间:2023-07-23
- 格式:DOCX
- 页数:15
- 大小:21.03KB
H3C三层交换机配置命令.docx
《H3C三层交换机配置命令.docx》由会员分享,可在线阅读,更多相关《H3C三层交换机配置命令.docx(15页珍藏版)》请在冰点文库上搜索。
H3C三层交换机配置命令
H3C三层交换机配置命令
技术教程2022-03-0116:
16:
53阅读655评论0字号:
大中小订阅
一、write是cico的
H3C的保存配置的命令是ave
查看保存的配置文件为diave查看当前运行的配置是dicu清空配置为reetave需要重启生效重启为reboot
二、ytem-view:
进入配置模式
[Quidway]dicur;显示当前配置[Quidway]diplaycurrent-configuration;显示当前配置[Quidway]diplayinterface;显示接口信息[Quidway]diplayvlanall;显示路由信息[Quidway]diplayverion;显示版本信息
[Quidway]uperpaword;修改特权用户密码
[Quidway]yname;交换机命名
[Quidway]interfaceethernet0/1;进入接口视图[Quidway]interfacevlan某;进入接口视图
[Quidway-Vlan-interface某]ipaddre10.65.1.1255.255.0.0;配置VLAN的IP地址
[Quidway]iproute-tatic0.0.0.00.0.0.010.65.1.2;静态路由=网关
[Quidway]rip;三层交换支持[Quidway]local-uerftp增加用户名
[Quidway]uer-interfacevty04;进入虚拟终端[S3026-ui-vty0-4]authentication-modepaword;设置口令模式
[S3026-ui-vty0-4]etauthentication-modepawordimple222;设置口令
[S3026-ui-vty0-4]uerprivilegelevel3;用户级别说明:
必须要配置虚拟终端用户名、密码等相关信息,否则将无法通过RJ-45端口telnet到交换机。
ytem-view[Syname]local-ueradmin
[Syname-luer-admin]ervice-typetelnetlevel3
[Syname-luer-admin]pawordimpleadmin
说明:
以上命令用于设置web管理页面的登录用户名和密码,必须要设置上述信息,否则将无法登录到web配置页面。
[Quidway]interfaceethernet0/1;进入端口模式[Quidway]inte0/1;进入端口模式[Quidway-Ethernet0/1]duple某{half|full|auto};配置端口工作状态
[Quidway-Ethernet0/1]peed{10|100|auto};配置端口工作速率
[Quidway-Ethernet0/1]flow-control;配置端口流控[Quidway-Ethernet0/1]mdi{acro|auto|normal};配置端口平接扭接
[Quidway-Ethernet0/1]portlink-type{trunk|acce|hybrid};设置端口工作模式
[Quidway-Ethernet0/1]portaccevlan3;当前端口加入到VLAN
[Quidway-Ethernet0/2]porttrunkpermitvlan{ID|All};设trunk允许的VLAN
[Quidway-Ethernet0/3]porttrunkpvidvlan3;设置trunk端口的PVID
[Quidway-Ethernet0/1]undohutdown;激活端口[Quidway-Ethernet0/1]hutdown;关闭端口
[Quidway-Ethernet0/1]quit;返回
[Quidway]vlan3;创建VLAN
[Quidway-vlan3]portethernet0/1;在VLAN中增加端口[Quidway-vlan3]porte0/1;简写方式[Quidway-vlan3]portethernet0/1toethernet0/4;在VLAN中增加端口
[Quidway-vlan3]porte0/1toe0/4;简写方式
[Quidway]monitor-port;指定镜像端口
[Quidway]portmirror;指定被镜像端口
[Quidway]portmirrorint_litoberving-portint_typeint_num;指定镜像和被镜像
[Quidway]decriptiontring;指定VLAN描述字符
[Quidway]decription;删除VLAN描述字符[Quidway]diplayvlan[vlan_id];查看VLAN设置
[Quidway]tp{enable|diable};设置生成树,默认关闭
[Quidway]tppriority4096;设置交换机的优先级
[Quidway]tproot{primary|econdary};设置为根或根的备份
[Quidway-Ethernet0/1]tpcot200;设置交换机端口的花费
[Quidway]link-aggregatione0/1toe0/4ingre|both;端口的聚合
[Quidway]undolink-aggregatione0/1|all;始端口为通道号
[SwitchA-vlan某]iolate-uer-vlanenable;设置主vlan[SwitchA]iolate-uer-vlanecondary;设置主vlan包括的子vlan
[Quidway-Ethernet0/2]porthybridpvidvlan;设置vlan的pvid
[Quidway-Ethernet0/2]porthybridpvid;删除vlan的pvid
[Quidway-Ethernet0/2]porthybridvlanvlan_id_lituntagged;设
置无标识的vlan
如果包的vlanid与PVId一致,则去掉vlan信息.默认PVID=1。
所以设置PVID为所属vlanid,设置可以互通的vlan为untagged.
配置基本ACL2000,禁止源IP地址为192.168.0.1的报文通过。
ytem-view[Syname]aclnumber2000
[Syname-acl-baic-2000]ruledenyource192.168.0.10
#显示基本ACL2000的配置信息。
[Syname-acl-baic-2000]diplayacl2000BaicACL2000,1ruleAcl'tepi1
rule0denyource192.168.0.10
#配置高级ACL3000,允许从129.9.0.0/16网段的主机向202.38.160.0/24网段的主机发送的端口号为80的TCP报文通过。
ytem-view[Syname]aclnumber3000
[Syname-acl-adv-3000]rulepermittcpource129.9.0.00.0.255.255detination202.38.160.00.0.0.255detination-porteq80
在端口Ethernet1/0/1的入方向上应用ACL2000进行包过滤。
ytem-view
[Syname]interfaceEthernet1/0/1
[Syname-Ethernet1/0/1]packet-filterinboundip-group2000
#在VLAN1的入方向上应用ACL2000进行包过滤。
ytem-view
[Syname]packet-filtervlan1inboundip-group2000
说明:
acl的in和out
说明一:
in和out是相对交换机而言的,凡是数据从外部设备(如PC)进入交换机,则该方向为in;凡是数据从交换机转发到外部设备(如PC),则该方向为out。
说明二:
in和out是相对的,比如:
A(0)-----(0)B
(1)--------
(1)C
假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
B的0口是前门,1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)
现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:
1.在你家客厅(B)前门(B的0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的
2.在你家客厅后门安个铁门(B的1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)
虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)
说明三:
1、交换机、路由器上:
针对某个vlan接口应用acl的方向问题,大家可以看看acl的源和目标地址段。
假设要为vlanA配置acl,当源地址段为vlanA的ip段时,acl就是用in;当目的地址段为vlanA的ip段时,acl就是用out方向。
反正有一点需要注意,应用在vlan的ACL为out方向时,其目的地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话是匹配不上的;应用在vlan的ACL为in方向时,其源地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配,但是用其他具体网段来匹配的话同样是匹配不上的。
要为vlan配acl时,可以把vlan看成是一个普通接口。
2、防火墙上:
从安全级别低的访问高的叫in从安全级别高的访问低的叫ou
三、加密改密:
ytem-view
[h3c]local-ueradmin//用户名
[h3c-uer-admin]pawordcipheradmin//密码,显示的时候就变成密文的了。
[h3c-uer-admin]quit[h3c]quit
ave保存
四、1、ytem-view进入系统视图模式
2、yname为设备命名
3、diplaycurrent-configuration当前配置情况
4、language-modeChinee|Englih中英文切换
5、interfaceEthernet1/0/1进入以太网端口视图
6、portlink-typeAcce|Trunk|Hybrid设置端口访问模式
7、undohutdown打开以太网端口
8、hutdown关闭以太网端口
9、quit退出当前视图模式
10、vlan10创建VLAN10并进入VLAN10的视图模式
11、portaccevlan10在端口模式下将当前端口加入到vlan10中
12、portE1/0/2toE1/0/5在VLAN模式下将指定端口加入到当前vlan中
13、porttrunkpermitvlanall允许所有的vlan通过
H3C路由器
1、ytem-view进入系统视图模式
2、ynameR1为设备命名为R1
3、diplayiprouting-table显示当前路由表
4、language-modeChinee|Englih中英文切换
5、interfaceEthernet0/0进入以太网端口视图
6、ipaddre192.168.1.1255.255.255.0配置IP地址和子网掩码
7、undohutdown打开以太网端口
8、hutdown关闭以太网端口
9、quit退出当前视图模式
10、iproute-tatic192.168.2.0255.255.255.0192.168.12.2decriptionTo.R2配置静态路由
11、iproute-tatic0.0.0.00.0.0.0192.168.12.2decriptionTo.R2配置默认的路由
H3CS3100Switch
H3CS3600Switch
H3CMSR20-20Router1、调整超级终端的显示字号;
2、捕获超级终端操作命令行,以备日后查对;
3、language-modeChinee|Englih中英文切换;
4、复制命令到超级终端命令行,粘贴到主机;
5、交换机清除配置:
reetave;reboot;
6、路由器、交换机配置时不能掉电,连通测试前一定要
检查网络的连通性,不要犯最低级的错误。
7、192.168.1.1/24等同192.168.1.1255.255.255.0;在配置交换机和路由器时,192.168.1.1255.255.255.0可以写成:
192.168.1.124
8、设备命名规则:
地名-设备名-系列号例:
PingGu-R-S3600
H3C华为交换机端口绑定基本配置2022-01-2213:
40
1,端口MAC
a)AM命令
使用特殊的AMUer-bind命令,来完成MAC地址与端口之间的绑定。
例如:
〔SwitchA〕amuer-bindmac-addre00e0-fc22-f8d3interfaceEthernet0/1
配置说明:
由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。
但
是PC1使用该MAC地址可以在其他端口上网。
b)mac-addre命令
使用mac-addretatic命令,来完成MAC地址与端口之间的绑定。
例如:
〔SwitchA〕mac-addretatic00e0-fc22-f8d3interfaceEthernet0/1vlan1
〔SwitchA〕mac-addrema某-mac-count0
配置说明:
由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。
2,IPMAC
a)AM命令
使用特殊的AMUer-bind命令,来完成IP地址与MAC地址之间的绑定。
例如:
〔SwitchA〕amuer-bindip-addre10.1.1.2mac-addre00e0-fc22-f8d3
配置说明:
以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。
支持型号:
S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G
b)arp命令
使用特殊的arptatic命令,来完成IP地址与MAC地址之间的绑定。
例如:
〔SwitchA〕arptatic10.1.1.200e0-fc22-f8d3
配置说明:
以上配置完成对PC机的IP地址和MAC地址的全局绑定。
3,端口IPMAC
使用特殊的AMUer-bind命令,来完成IP、MAC地址与端口之间的绑定。
例如:
〔SwitchA〕amuer-bindip-addre10.1.1.2mac-addre00e0-fc22-f8d3interfaceEthernet0/1
配置说明:
可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。
由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允
许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。
但是PC1使用该IP地址和MAC地址可以在其他端口上网。
〔S2022-E1-Ethernet0/1〕mac-addrema某-mac-count0;
进入到端口,用命令macma某-mac-count0(端口mac学习数设为0)
〔S2022-E1〕mactatic0000-9999-8888inte0/1vlan10;
将0000-9999-8888绑定到e0/1端口上,此时只有绑定mac的pc可以通过此口上网,同时E0/1属于vlan10
就这样,ok了,不过上面两个命令顺序不能弄反,除非端口下没有接pc
divlan显示vlan
namete某t指定当前vlan的名称
undoname取消
〔h3c〕vlan2
〔h3c-vlan2〕nametetvlan
diuer显示用户
ditartup显示启动配置文件的信息
diuer-interface显示用户界面的相关信息
diwebuer显示web用户的相关信息。
headerlogin配置登陆验证是显示信息
headerhell
undoheader
lock锁住当前用户界面
acl访问控制列表aclnumberinbound/outbound
〔h3c〕uer-interfacevty04
〔h3c-vty0-4〕acl2000inbound
hutdown:
关闭vlan接口
undohutdown打开vlan接口
关闭vlan1接口
〔h3c〕interfacevlan-interface1
〔h3c-vlan-interface〕hutdown
vlanvlan-id定义vlan
undovalnvlan-id
diplayiprouting-table
diplayiprouting-tableprotocoltatic
diplayiprouting-tabletatitic
diplayiprouting-tableverboe查看路由表的全部详细信息
interfacevlan-interfacevlan-id进入valn
management-vlanvlan-id定义管理vlan号
reetiprouting-tabletatiticprotocolall清除所有路由协议的路由信息.
diplaygarptatiticinterfaceGigabitEthernet1/0/1显示以太网端口上的garp统计信息
diplayvoicevlantatu查看语音vlan状态
〔h3c-GigabitEthernet1/0/1〕broadcat-uppreion20允许接受的最大广播流量为该端口传输能力的20%.超出部分丢弃.
〔h3c-GigabitEthernet1/0/1〕broadcat-uppreionpp1000每秒允许接受的最大广播数据包为1000传输能力的20%.超出部分丢弃.
diplayinterfaceGigabitEthernet1/0/1查看端口信息
diplaybriefinterfaceGigabitEthernet1/0/1查看端口简要配置信息
diplayloopback-detection用来测试环路测试是否开启
diplaytranceiver-informationinterfaceGigabitEthernet1/0/50显示光口相关信息
duple某auto/full/half
〔h3c〕interfaceGigabitEthernet1/0/1
〔h3c-GigabitEthernet1/0/1〕duplu某auto设置端口双工属性为自协商
portlink-typeacce/hybrid/trunk默认为acce
porttrunkpermitvlanall将trunk扣加入所有vlan中
reetcounterinterfaceGigabitEthernet1/0/1清楚端口的统计信息
peedauto10/100/1000
diplayport-ecurity查看端口安全配置信息
amuer-bindmac-addr00e0-fc00-5101ip-addr10.153.1.2interfaceGigabitEthernet1/0/1端口ip绑定
diplayarp显示arp
diplayamuer-bind显示端口绑定的配置信息
diplaymac-addre显示交换机学习到的mac地址
diplaytp显示生成树状态与统计信息
〔h3c-GigabitEthernet1/0/1〕tpintance0cot200设置生成树实例0上路径开销为200
tpcot设置当前端口在指定生成树实例上路径开销。
intance-id为0-160表cit取值范围1-200000
diplayytem-guardip-record显示防攻击记录信息.
ytem-guardenable启用系统防攻击功能
diplayicmptatiticicmp流量统计
diplayipocket
diplayiptatitic
diplayaclall
aclnumberacl-numbermatch-orderauto/config
ruledeny/permitprotocal访问控制
〔h3c〕aclnumber3000
〔h3c-acl-adv-3000〕rulepermittcpource129.9.0.00.0.255.255detination202.38.160.00.0.255.255detination-porteq80(
定义高级acl3000,允许129.0.0/16网段的主机向202.38.160/24网段主机访问端口80)
rulepermitource211.100.255.00.255.255.255
ruledenyco3ouce00de-bbef-adeffff-ffff-fffdet0011-4301-9912ffff-ffff-ffff
(禁止mac地址00de-bbef-ade发送到mac地址0011-4301-9912且802.1p优先级为3的报文通过)
diplayqo-interfaceGigabitEthernet1/0/1traffic-limit查看端口上流量
端口速率限制
line-rateinbound/outboundtarget-rate
inbound:
对端口接收报文进行速率限制
outbound:
对端口发送报文进行速率限制
target-rate对报文限制速率,单位kbp千兆口inbound范围1-1000000outbound范围20-1000000
undoline-rate取消限速.
〔h3c〕interfaceGigabitEthernet1/0/1
〔h3c-GigabitEthernet1/0/1〕line-rateoutbound128限制出去速率为128kbp
diplayarp|include77
diplayarpcount计算arp表的记录数
diplayndp显示交换机端口的详细配置信息。
diplayntdpdevice-litverboe收集设备详细信息
diplaylock
diplayuer
diplaycpu
diplaymemory
diplayfan
diplaydevice
diplaypower
如何在交换机上获取与之直接相连的计算机的mac查看mac可用
老命令行howmac,可查看对应端口上的mac新命令行dimac
ip地址在二层交换机上无法查得
diplay
mac-addreMACADDRVLANIDSTATEPORTINDE某AGINGTIME000d-87db-de7d512Learned0/1AGING
华3交换机端口汇聚配置
Ethernet
交换机端口汇聚配置
关于交换机端口汇聚的配置问题:
端口汇聚配置『配置环境参数』
1.交换机SwitchA和SwitchB通过以太网口实现互连。
2.SwitchA用于互连的端口为e0/1和e0/2,SwitchB用于互连的端口
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C 三层 交换机 配置 命令