H3C网络设备配置命令

一、登陆设备

1.搭建配置环境

第一次使用H3C系列路由器时，只能通过配置口(Console)进行配置。

（1）将配置电缆的RJ-45一端连到路由器的配置口(Console)上。

（2）将配置电缆的DB-9(或DB-25)孔式插头接到要对路由器进行配置的微机或终端的串口上。

备注：登陆交换机的方法与路由器的一致，现仅用路由器举例

2.设置微机或终端的参数（进入路由器或交换机）

（1）打开微机（笔记本电脑）或终端。如果使用微机进行配置，需要在微机上运行终端仿真程序，如Windows的超级终端。

（2）第二步：设置终端参数

a、命名此终端 H3C或者自己想命的

b、选择串口一般选用COM口，常选用COM1

c、设置终端具体参数(此处点击"默认值"即可)

d、打开路由器的电源，路由器进行启动

e、当路由器启动完毕后，回车几下，当出现时即可配置路由器。

二、路由器基本调试命令

1.使用本地用户进行telnet登录的认证

system-view 进入系统视图

$H3C$ telnet server enable 打开路由器的telnet功能

$H3C$ configure-user count 5 设置允许同时配置路由器的用户数

$H3C$ local-user telnet 添加本地用户(此处为telnet用户登陆时使用的用户名)

$H3C-luser-telnet$ password simple h3c 设置telnet用户登陆时所使用的密码

$H3C-luser-telnet$ service-type telnet 设置本地用户的服务类型(此处为telnet)

$H3C-luser-telnet$ level 3 设置本地用户的服务级别

$H3C-luser-telnet$ quit 退出本地用户视图

H3C

$H3C$ user-interface vty 0 4 进入用户视图

$H3C-ui-vty0-4$ authentication-mode scheme 选择"scheme"认证方式

2.路由器接口的配置

为接口配置ip地址

system-view 进入系统视图

$H3C$ interface serial 3/0 进入某个端口

$H3C-Serial3/0$ ip address 200.1.1.1 255.255.255.0 为该端口设置ip地址

$H3C-Serial3/0$ undo shutdown 对该端口进行复位

$H3C-Serial3/0$ quit 退回到系统视图

H3C

3.静态路由或默认路由的配置

system-view 进入系统视图

$H3C$ ip route-static 192.168.1.0 255.255.255.0 192.168.0.1 添加一条静态路由

$H3C$ ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 添加一条默认路由

4.配置文件的管理

display current-configuration 显示当前的配置文件

save 保存配置文件

display interface GigabitEthernet 0/0 查看某端口的状态

备注：

display命令可以在任何视图下进行。交换机的配置文件管理与路由器相同，故交换机的配置幻灯片中不再做举例。

三、交换机的基本调试命令

1.创建VLAN并将端口加入到vlan中

system-view 进入系统视图

$H3C$ vlan 10 创建vlan 10

$H3C-vlan100$ port ethernet 0/1 将某个端口加入到vlan中

$H3C-vlan100$ quit 退出到系统

H3C

2.创建vlan虚接口并为接口配置ip地址

system-view 进入系统视图

$H3C$ interface vlan-interface 1 创建vlan虚接口

$H3C-Vlan-interface100$ ip address 192.168.1.1 255.255.255.0 配置ip地址

配置默认路由

$H3C$ interface vlan-interface 1

$H3C-Vlan-interface10$ ip address 192.168.1.1 255.255.255.0

$H3C-Vlan-interface10$ quit

$H3C$ ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 配置缺省路由

4.设置端口类型

system-view 进入系统视图

$H3C$ interface ethernet 0/1

$H3C$ port link-type trunk 将端口类型设置为trunk

$H3C$ port trunk permit vlan all trunk端口允许所有vlan通过

$H3C$ save

Trunk可以收发多个vlan的报文，用于交换机与交换机之间的互连

5.交换机设置telnet登录的认证配置命令

system-view 进入系统视图

$H3C$ local-user telnet 添加本地用户(此处为telnet用户登陆时使用的用户名)

$H3C-luser-telnet$ password simple h3c 设置telnet用户登陆时所使用的密码

$H3C-luser-telnet$ service-type telnet 设置本地用户的服务类型(此处为telnet)

$H3C-luser-telnet$ level 3 设置本地用户的服务级别

$H3C-luser-telnet$ quit 退出本地用户视图

H3C

$H3C$ user-interface vty 0 4 进入用户视图

$H3C-ui-vty0-4$ authentication-mode scheme 选择"scheme"认证方式

四、H3C交换机基本配置命令

1.IP地址配置命令

system-view----进入系统配置模式

$Quidway$ 系统配置编辑模式

$Quidway$ interface Vlan-interface 1---交换机出厂默认VLAN-1

$Quidway-Vlan-interface1$ ip add 192.168.X.254 255.255.255.0--配置IP地址

$Quidway-Vlan-interface1$ quit

$Quidway$ ip route-static 0.0.0.0 0.0.0.0 192.168.0.33-配置静态路由（网关）

2.远程登陆配置命令

system-view----进入系统配置模式

$Quidway$ 系统配置编辑模式

$Quidway$ user-interface vty 0 4

$Quidway-ui-vty0-4$ user privilege level 3---管理权限配置

$Quidway-ui-vty0-4$ set authentication password cipher 123456 （cipher为密文密码）

3.配置端口速率及端口双工命令

system-view----进入系统配置模式

$Quidway$ 系统配置编辑模式

$Quidway$ interface Ethernet 1/0/1---进入的端口

$Quidway-Ethernet1/0/1$ duplex full---配置端口为"全双工状态"

$Quidway-Ethernet1/0/1$ speed 100---配置端口为"100M"如果是千兆端口可以配置成1000M。

4.划分VLAN配置命令

system-view----进入系统配置模式

$Quidway$ 系统配置编辑模式

$Quidway$ VLAN 100---创建VLAN---ID为:100

$Quidway$ VLAN 101---创建VLAN---ID为:101

$Quidway-vlan100$ port Ethernet 1/0/1 to Ethernet 1/0/10----从第1口到第10口添加到VLAN 100

$Quidway-vlan101$ port Ethernet 1/0/11 to Ethernet 1/0/24----从第11口到第24口添加到VLAN 101

5.配置TRUNK命令

比如一栋宿舍楼需要两个网段，划分了两个VLAN为100和101，VLAN 100作为管理VLAN配置命令如下：

system-view----进入系统配置模式

$Quidway$ 系统配置编辑模式

$Quidway$ VLAN 100---创建VLAN---ID为:100

$Quidway$ VLAN 101---创建VLAN---ID为:101

$Quidway-vlan100$ port Ethernet 1/0/1 to Ethernet 1/0/10----从第1口到第10口添加到VLAN 100

$Quidway-vlan101$ port Ethernet 1/0/11 to Ethernet 1/0/24----从第11口到第24口添加到VLAN 101

$Quidway$ interface Vlan-interface 100---进入VLAN 100

$Quidway-Vlan-interface100$ ip address 192.168.100.254 255.255.255.0---给VLAN 100配置管理IP

$Quidway-Vlan-interface100$ quit

$Quidway$ ip route-static 0.0.0.0 0.0.0.0 192.168.100.33---配置静态路由（网关）

上联端口为千兆端口GigabitEthernet1/1/1在配置模式下配置命令如下：

$Quidway$ interface GigabitEthernet 1/1/1---进入上联端口

$Quidway-GigabitEthernet1/1/1$ port link-type trunk --TRUNK是端口汇聚的意思

$Quidway-GigabitEthernet1/1/1$ port trunk permit（允许）vlan all----配置允许通过的VLAN

如果上联的路由器端口是自适应那么交换机上联口也是自适应，如果配置了1000M全双工那么交换机的上联端口也要配成1000M全双工。

如下命令：

$Quidway-GigabitEthernet1/1/1$ duplex full---配置端口为"全双工状态"

$Quidway-GigabitEthernet1/1/1$ speed 1000---配置端口为"1000M"

6.SNMP配置命令

$Quidway$ snmp-agent community read 1234---SNMP读的密码

$Quidway$ snmp-agent community write 4567---SNMP写的密码

$Quidway$ snmp-agent sys-info version all---SNMP软件版本有V1、V2c、V3这里配置的是允许所有版本。

7.配置防ARP攻击命令

system-view

$Quidway$ dhcp-snooping--开启交换机DHCP Snooping 功能。

开启VLAN 1 内所有端口的ARP 入侵检测功能。

$Quidway$ vlan 1

$Quidway-vlan1$ arp detection enable

$Quidway-vlan1$ quit

设置上联端口Ethernet1/0/1 为DHCP Snooping 信任端口，ARP 信任端口。

$Quidway$ interface Ethernet1/0/1

$Quidway-Ethernet1/0/1$ dhcp-snooping trust

$Quidway-Ethernet1/0/1$ arp detection trust

$Quidway-Ethernet1/0/1$ quit

开启端口Ethernet1/0/2 上的ARP 报文限速功能，设置ARP 报文通过的最大速率为20pps。--目的是针对用户接入口，除上联端口外，下联用户端口建议都设置该命令。如下：

$Quidway$ interface Ethernet1/0/2

$Quidway-Ethernet1/0/2$ arp rate-limit enable

$Quidway-Ethernet1/0/2$ arp rate-limit 20

$Quidway-Ethernet1/0/2$ quit

配置端口状态自动恢复功能，恢复时间间隔为30 秒。

$Quidway$ arp protective-down recover enable

$Quidway$ arp protective-down recover interval 30

五、H3C交换机基本配置（中级版）

（一）VRP，CMW简介

1.VRP（Versatile Routing Platform，通用路由平台）是华为公司数据通信产品的通用网络操作系统平台。

CMW（Comware）是H3C公司的核心软件平台。
VRP、CMW的体系结构以TCP/IP模型为参考，实现了数据链路层、网络层和应用层的多种协议，其体系结构图如下:
VRP视图结构

用户视图

系统视图

命令：system-view

在系统视图下可以进入各种功能视图，在各功能视图中还可以进入子功能视图:

02 基本命令

1.配置系统名

（1)用途：用户名是设备的名字，目的是让用户更加方便的使用设备．

（2)配置命令: sysname

2.接口描述

（1)用途：接口描述是为了指明接口的一些属性，如是什么接口，对端接的什么设备等，让用户更加了解该接口。

（2)配置命令:

interface ethernet0/1

description connect to student

3.接口IP地址的配置

（1)用途:给接口一个网络上唯一的区分符。

（2)配置命令:

interface vlan 1

ip address 168.10.2.1 255.255.255.0

查看交换机信息

（1)用途:让用户对设备的信息更了解，也有利于对设备做配置．

（2）配置命令:

显示版本 display version

显示当前配置信息 display current

显示NVRAM的配置 display saved-config

显示接口信息 display interface XX

显示路由信息　 display ip routing-table

5.调试交换机

（1)用途:更细致的查看交换机的各种数据包，帮助发现网络问题．

（2)常用调试命令:

terminal debugging

terminal monitor　

debugging ip packet

undo debugging all

6.端口镜像

（1)用途:通过镜像来抓取网络流量，帮助分析网络问题．

（2)配置命令:

monitor-port Ethernet 0/1 both （监控端口）

mirroring-port Ethernet0/2 both（源端口）

7.流镜像

（1)用途:

　通过镜像来抓取网络流量，帮助分析网络问题．

（2)配置命令:

mirrored-to ip-group 2000 interface Ethernet 0/1

acl number 2000

rule 0 permit

8.快捷命令行介绍

VRP、CMW

Ctrl+F 前移一个字符

Ctrl+B 后移一个字符

Ctrl+P ↑(向上箭头)重用前一条命令

Ctrl+N ↓(向下箭头)重用下一条命令

9.引导配置

（1)用途:通过引导配置，可以改变从什么地方取得交换机的系统软件．

（2)配置命令

boot boot-loader xxxx.bin

查看命令

display boot-loader

（三）交换

1.VLAN（Virtual Local Area Network）技术

把一个LAN划分成多个逻辑的"LAN"－VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。

vlan 100 (1-4094) 创建VLAN

undo vlan 100 (1-4094) 删除VLAN.

port Ethernet 2/0/1 在VLAN中增加端口.

undo port Ethernet 2/0/1 在VLAN中删除端口.

port access vlan 100 (1-4094) 将端口加入VLAN

undo port access vlan 100 (1-4094) 将端口脱离VLAN

display vlan VLAN ID (1-4094) 显示VLAN信息

2.Trunk

Trunk允许在只有一条链路的情况下传输VLAN信息。

•定义端口属性为Trunk.

port link-type trunk

•删除端口Trunk属性.

undo port link-type

•定义端口可以传输的VLAN.

port trunk permit vlan VLAN ID

•在VLAN中删除端口.

undo port trunk permit vlan VLAN ID

3.Link Aggregation

链路聚合是将几条物理链路聚合在一起，当作一条逻辑链路来使用。分为静态聚合和动态聚合。

•静态聚合端口

link-aggregation Ethernet 0/1 to Ethernet 0/4 both

•删除端口的静态聚合

undo link-aggregation all

•在端口下进行动态聚合

lacp enable

•在端口下取消动态聚合

undo lacp enable

4.STP（Spanning Tree Protocol）

生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法阻断某些冗余路径，将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。

•定义STP模式

stp mode stp

•取消STP模式

undo stp mode

•定义MSTP模式

stp mode mstp

•取消MSTP模式

undo stp mode

（四）路由

1.RIP

RIP是Routing Information Protocol（路由信息协议）的简称。它是一种较为简单的内部网关协议（IGP），主要用于规模较小的网络中。

•启动RIP，进入RIP视图

rip

•停止RIP协议的运行

undo rip

•在指定的网络接口上应用RIP

network network-address

•在指定的网络接口上取消应用RIP

undo network network-address

•指定接口的RIP版本为RIP-1

rip version 1

•指定接口的RIP版本为RIP-2

rip version 2 $broadcast \| multicast$

•将接口运行的RIP版本恢复为缺省值

undo rip version { 1 | 2 }

2.OSPF

OSPF是Open Shortest Path First（开放最短路由优先协议）的缩写。它是IETF组织开发的一个基于链路状态的内部网关协议。目前使用的是版本2（RFC2328）。

•定义router id

•启动OSPF，进入OSPF视图

ospf

关闭OSPF路由协议进程

undo ospf $process-id$

•进入OSPF区域视图

area area-id

•删除指定的OSPF区域

undo area area-id

•指定网段运行OSPF协议

network ip-address wildcard-mask

•取消网段运行OSPF协议

undo network ip-address wildcard-mask

五、网络管理

1.SNMP的介绍

介绍：简单网络管理协议（SNMP)是被广泛应用的一项工业标准，是目前用得最广泛的计算机网络管理协议．

结构：SNMP结构分为NMS(Network Management Station)和AGENT两部分，NMS是运行客户端的工作站，AGENT是运行在网络设备上的服务端软件．

•SNMP版本

　SNMP现在有三个版本，SNMP v3/v2c/v1,SNMP v3兼容v1和v2c.

•SNMP的配置包括

　启动和关闭SNMP AGENT服务

　设置团体名

　配置一个SNMP组

　设置管理员的联系方法

　允许／禁止发送Trap报文

　设置Trap目标主机的地址

　指定发送报文的源地址

System-view 进入视图

Snmp-agent community read public 只读团体属性名public

Snmp-agent communty write private 只写团体属性名private

Snmp-agent sys-inf contact Mr.wang-tel 3306 设置管理员联系方法

Snmp-agent sys-info location telephone 3rd floor 路由器物理位置

Snmp-agent trap enable 使能trap报文

Snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public 允许向网管工作站129.102.149.23发送trap报文，使用团体名为public.

六、安全管理

1.认证与授权

•要点

•需要确定权利的等级

•需要确定授权的策略

　　Generic or per user

RADIUS

Local authentication

2.认证配置

•本地验证

•VRP的配置

local-user huawei

password simple 123

service-type telnet 设置本地认证用户名和密码

user-interface vty 0 4 进入vty视图

authentication-mode scheme 通过telnet访问的用户使用本地验证

3.限制授权

区分用户在设备上的授权

•配置等级

•视图等级

•支持等级

使用特权等级（level 1---level 3)

4.授权配置

•VRP的配置

local-user huawei password simple 123 建立用户

local-user huawei level 3 设定授权等级

display interface

•VRP的命令行保护

super password level {1/2/3} {simple/cipher} 123

Vty和console的时间保护

•用途

为了使通过vty和console登陆的设备在使用者离开后不被其他没有授权的人使用。

•VRP的配置

Idle-timeout minite second

6.访问控制列表

•概述

路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

•分类

基本的访问控制列表（basic acl）

高级的访问控制列表（advanced acl）

基于接口的访问控制列表（interface-based acl）

基于MAC的访问控制列表（mac-based acl）

7.标准访问列表的配置

•在系统视图下，创建一个基本访问控制列表

acl {number number/name name basic} $match- order {config/auto}$

•在基本访问控制列表试图下，配置ACL规则

rule $rule-id$ {permit/deny} $source sour-add sour-wildcast/any$ $time-range time-name$ $logging$ $fragment$ $vpn-instance vpn-instance-name$

acl number 2000

rule 1 permit source 20.1.1.0 0.0.0.255

七、配置实例

1.配置VLAN 1

system-view

System View: return to User View with Ctrl+Z.

$Sysname$ vlan 1

$Sysname-vlan1$ quit

$Sysname$ management-vlan 1

$Sysname$ interface Vlan-interface 1

$Sysname-Vlan-interface1$ ip address 10.0.1.201 255.255.255.0

2.显示VLAN 接口1 的相关信息

display ip interface Vlan-interface 1

3.创建VLAN（H3C不支持cisco的VTP，所以只能添加静态VLAN）

<H3C_TEST>system-view

System View: return to User View with Ctrl+Z.

$H3C_TEST$ vlan 99

$H3C_TEST-vlan99$ name seicoffice

$H3C_TEST-vlan99$ quit

4.把交换机的端端口划分到相应的Vlan中

$H3C_TEST$ interface ethernet1/0/2//进入端口模式

$H3C_TEST-Ethernet1/0/2$ port link-type access //设置端口的类型为access

$H3C_TEST-Ethernet1/0/2$ port access vlan 99//把当前端口划到vlan 99

$H3C_TEST$ vlan 99

$H3C_TEST-vlan99$ port ethernet1/0/1to ethernet1/0/24　//把以及网端口1/0/1到1/0/24划到vlan99

$H3C_TEST-vlan99$ quit

$H3C_TEST-GigabitEthernet1/2/1$ port trunk permit vlan 1 99 // {ID|All} 设置trunk端口允许通过的VLAN

5.配置本地用户

system-view

System View: return to User View with Ctrl+Z.

$Sysname$ local-user h3c

New local user added.

$Sysname-luser-h3c$ service-type telnet level 3

$Sysname-luser-h3c$ password simple h3c

6.配置欢迎信息

$H3C_TEST$ header login %Welcome to login h3c!%

7.配置用户认证方式telnet(vty 0-4)

$H3C_TEST$ user-interface vty 0 4

$H3C_TEST-ui-vty0-4$ authentication-mode scheme

$H3C_TEST-ui-vty0-4$ protocol inbound telnet

$H3C_TEST-ui-vty0-4$ super authentication-mode super-password

$H3C_TEST-ui-vty0-4$ quit

$H3C_TEST$ super password level 3 simple h3c //用户登陆后提升权限的密码

8.配置Radius策略

$H3C_TEST$ radius scheme radius1

New Radius scheme

$H3C_TEST-radius-radius1$ primary authentication 10.0.1.253 1645

$H3C_TEST-radius-radius1$ primary accounting 10.0.1.253 1646

$H3C_TEST-radius-radius1$ secondary authentication 127.0.0.1 1645

$H3C_TEST-radius-radius1$ secondary accounting 127.0.0.1 1646

$H3C_TEST-radius-radius1$ timer 5

$H3C_TEST-radius-radius1$ key authentication h3c

$H3C_TEST-radius-radius1$ key accounting h3c

$H3C_TEST-radius-radius1$ server-type extended

$H3C_TEST-radius-radius1$ user-name-format without-domain

9.配置域

$H3C_TEST$ domain h3c

$H3C_TEST-isp-h3c$ authentication radius-scheme radius1 local

$H3C_TEST-isp-h3c$ scheme radius-scheme radius1 local

$H3C_TEST$ domain default enable h3c

10.配置在远程认证失败时，本地认证的key

$H3C_TEST$ local-server nas-ip 127.0.0.1 key h3c

H3C交换机路由器telnet和console口登录配置

10.级别说明

Level 命令作用

0 参观 ping、tracert、telnet

1 调试 display、debugging

2 配置所有配置命令（管理级的命令除外）

3 管理文件系统命令、FTP命令、TFTP命令、XMODEM命令

11.telnet仅用密码登录，管理员权限

$Router$ user-interface vty 0 4

$Router-ui-vty0-4$ user privilege level 3

$Router-ui-vty0-4$ set authentication password simple abc

telnet仅用密码登录，非管理员权限

$Router$ super password level 3 simple super

$Router$ user-interface vty 0 4

$Router-ui-vty0-4$ user privilege level 1

$Router-ui-vty0-4$ set authentication password simple abc

telnet使用路由器上配置的用户名密码登录，管理员权限

$Router$ local-user admin password simple admin

$Router$ local-user admin service-type telnet

$Router$ local-user admin level 3

$Router$ user-interface vty 0 4

$Router-ui-vty0-4$ authentication-mode local

telnet使用路由器上配置的用户名密码登录，非管理员权限

$Router$ super password level 3 simple super

$Router$ local-user manage password simple manage

$Router$ local-user manage service-type telnet

$Router$ local-user manage level 2

$Router$ user-interface vty 0 4

$Router-ui-vty0-4$ authentication-mode local

12.对console口设置密码，登录后使用管理员权限

$Router$ user-interface con 0

$Router-ui-console0$ user privilege level 3

$Router-ui-console0$ set authentication password simple abc

对console口设置密码，登录后使用非管理员权限

$Router$ super password level 3 simple super

$Router$ user-interface con 0

$Router-ui-console0$ user privilege level 1

$Router-ui-console0$ set authentication password simple abc

对console口设置用户名和密码，登录后使用管理员权限

$Router$ local-user admin password simple admin

$Router$ local-user admin service-type terminal

$Router$ local-user admin level 3

$Router$ user-interface con 0

$Router-ui-console0$ authentication-mode local

对console口设置用户名和密码，登录后使用非管理员权限

$Router$ super password level 3 simple super

$Router$ local-user manage password simple manage

$Router$ local-user manage service-type terminal

$Router$ local-user manage level 2

$Router$ user-interface con 0

$Router-ui-console0$ authentication-mode local

simple 是明文显示，cipher 是加密显示，路由器不设置telnet登录配置时，用户无法通过telnet登录到路由器上。

$Router-ui-vty0-4$ acl 2000 inbound可以通过acl的规则只允许符合条件的用户远程登录路由器。

13.路由器命令

$Quidway$ display version 显示版本信息

$Quidway$ display current-configuration 显示当前配置

$Quidway$ display interfaces 显示接口信息

$Quidway$ display ip route 显示路由信息

$Quidway$ sysname aabbcc 更改主机名

$Quidway$ super passwrod 123456 设置口令

$Quidway$ interface serial0 进入接口

$Quidway-serial0$ ip address

$Quidway-serial0$ undo shutdown 激活端口

$Quidway$ link-protocol hdlc 绑定hdlc协议

$Quidway$ user-interface vty 0 4

$Quidway-ui-vty0-4$ authentication-mode password

$Quidway-ui-vty0-4$ set authentication-mode password simple 222

$Quidway-ui-vty0-4$ user privilege level 3

$Quidway-ui-vty0-4$ quit

$Quidway$ debugging hdlc all serial0 显示所有信息

$Quidway$ debugging hdlc event serial0 调试事件信息

$Quidway$ debugging hdlc packet serial0 显示包的信息

14.静态路由：

Quidway\]ip route-static {interface number\|nexthop}\[value\]\[reject\|blackhole

例如：

$Quidway$ ip route-static 129.1.0.0 16 10.0.0.2

$Quidway$ ip route-static 129.1.0.0 255.255.0.0 10.0.0.2

$Quidway$ ip route-static 129.1.0.0 16 Serial 2

$Quidway$ ip route-static 0.0.0.0 0.0.0.0 10.0.0.2

15.动态路由：

$Quidway$ rip

$Quidway$ rip work

$Quidway$ rip input

$Quidway$ rip output

$Quidway-rip$ network 1.0.0.0 可以all

$Quidway-rip$ network 2.0.0.0

$Quidway-rip$ peer ip-address

$Quidway-rip$ summary

$Quidway$ rip version 1

$Quidway$ rip version 2 multicast

$Quidway-Ethernet0$ rip split-horizon 水平分隔

$Quidway$ router id A.B.C.D 配置路由器的ID

$Quidway$ ospf enable 启动OSPF协议

$Quidway-ospf$ import-route direct 引入直联路由

$Quidway-Serial0$ ospf enable area <area_id> 配置OSPF区域

16.标准访问列表命令格式如下：

acl $match-order config\|auto$ 默认前者顺序匹配。

rule $normal\|special$ {permit|deny} $source source-addr source-wildcard\|any$

$Quidway$ acl 10

$Quidway-acl-10$ rule normal permit source 10.0.0.0 0.0.0.255

$Quidway-acl-10$ rule normal deny source any

17.扩展访问控制列表配置命令

配置TCP/UDP协议的扩展访问列表：

rule {normal|special}{permit|deny}{tcp|udp}source {|any}destination |any

配置ICMP协议的扩展访问列表：

rule {normal|special}{permit|deny}icmp source {|any]destination {|any]

扩展访问控制列表操作符的含义：

equal portnumber 等于

greater-than portnumber 大于

less-than portnumber 小于

not-equal portnumber 不等

range portnumber1 portnumber2 区间

扩展访问控制列表举例：

$Quidway$ acl 101

$Quidway-acl-101$ rule deny souce any destination any

$Quidway-acl-101$ rule permit icmp source any destination any icmp-type echo

$Quidway-acl-101$ rule permit icmp source any destination any icmp-type echo-reply

$Quidway$ acl 102

$Quidway-acl-102$ rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0

$Quidway-acl-102$ rule deny ip source any destination any

$Quidway$ acl 103

$Quidway-acl-103$ rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp

$Quidway-acl-103$ rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www

$Quidway$ firewall enable

$Quidway$ firewall default permit|deny

$Quidway$ int e0

$Quidway-Ethernet0$ firewall packet-filter 101 inbound|outbound

18.地址转换配置举例：

$Quidway$ firewall enable

$Quidway$ firewall default permit

$Quidway$ acl 101

$Quidway-acl-101$ rule deny ip source any destination any

$Quidway-acl-101$ rule permit ip source 129.38.1.4 0 destination any

$Quidway-acl-101$ rule permit ip source 129.38.1.1 0 destination any

$Quidway-acl-101$ rule permit ip source 129.38.1.2 0 destination any

$Quidway-acl-101$ rule permit ip source 129.38.1.3 0 destination any

$Quidway$ acl 102

$Quidway-acl-102$ rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

$Quidway-acl-102$ rule permit tcp source any destination 202.38.160.1 0 destination-port great-than 1024

$Quidway-Ethernet0$ firewall packet-filter 101 inbound

$Quidway-Serial0$ firewall packet-filter 102 inbound

$Quidway$ nat address-group 202.38.160.101 202.38.160.103 pool1

$Quidway$ acl 1

$Quidway-acl-1$ rule permit source 10.110.10.0 0.0.0.255

$Quidway-acl-1$ rule deny source any

$Quidway-acl-1$ int serial 0

$Quidway-Serial0$ nat outbound 1 address-group pool1

$Quidway-Serial0$ nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp

$Quidway-Serial0$ nat server global 202.38.160.102 inside 10.110.10.2 www tcp

$Quidway-Serial0$ nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp

$Quidway-Serial0$ nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

19.PPP验证：

主验方：pap|chap

$Quidway$ local-user u2 password {simple|cipher} aaa

$Quidway$ interface serial 0

$Quidway-serial0$ ppp authentication-mode {pap|chap}

$Quidway-serial0$ ppp chap user u1 //pap时，不用此句

pap被验方：

$Quidway$ interface serial 0

$Quidway-serial0$ ppp pap local-user u2 password {simple|cipher} aaa

chap被验方：

$Quidway$ interface serial 0

$Quidway-serial0$ ppp chap user u1

$Quidway-serial0$ local-user u2 password {simple|cipher} aaa

八、H3C路由器基本配置命令：

$Quidway$ display version 显示版本信息

$Quidway$ display current-configuration 显示当前配置

$Quidway$ display interfaces 显示接口信息

$Quidway$ display ip route 显示路由信息

$Quidway$ sysname aabbcc 更改主机名

$Quidway$ super passwrod 123456 设置口令

$Quidway$ interface serial0 进入接口

$Quidway-serial0$ ip address

$Quidway-serial0$ undo shutdown 激活端口

$Quidway$ link-protocol hdlc 绑定hdlc协议

$Quidway$ user-interface vty 0 4

$Quidway-ui-vty0-4$ authentication-mode password

$Quidway-ui-vty0-4$ set authentication-mode password simple 222

$Quidway-ui-vty0-4$ user privilege level 3

$Quidway-ui-vty0-4$ quit

$Quidway$ debugging hdlc all serial0 显示所有信息

$Quidway$ debugging hdlc event serial0 调试事件信息

$Quidway$ debugging hdlc packet serial0 显示包的信息

静态路由：

Quidway\]ip route-static {interface number\|nexthop}\[value\]\[reject\|blackhole

例如：

$Quidway$ ip route-static 129.1.0.0 16 10.0.0.2

$Quidway$ ip route-static 129.1.0.0 255.255.0.0 10.0.0.2

$Quidway$ ip route-static 129.1.0.0 16 Serial 2

$Quidway$ ip route-static 0.0.0.0 0.0.0.0 10.0.0.2

动态路由：

$Quidway$ rip

$Quidway$ rip work

$Quidway$ rip input

$Quidway$ rip output

$Quidway-rip$ network 1.0.0.0 可以all

$Quidway-rip$ network 2.0.0.0

$Quidway-rip$ peer ip-address

$Quidway-rip$ summary

$Quidway$ rip version 1

$Quidway$ rip version 2 multicast

$Quidway-Ethernet0$ rip split-horizon 水平分隔

$Quidway$ router id A.B.C.D 配置路由器的ID

$Quidway$ ospf enable 启动OSPF协议

$Quidway-ospf$ import-route direct 引入直联路由

$Quidway-Serial0$ ospf enable area <area_id> 配置OSPF区域

标准访问列表命令格式如下：

acl $match-order config\|auto$ 默认前者顺序匹配。

rule $normal\|special$ {permit|deny} $source source-addr source-wildcard\|any$

例：

$Quidway$ acl 10

$Quidway-acl-10$ rule normal permit source 10.0.0.0 0.0.0.255

$Quidway-acl-10$ rule normal deny source any

扩展访问控制列表配置命令

配置TCP/UDP协议的扩展访问列表：

rule {normal|special}{permit|deny}{tcp|udp}source {|any}destination |any}

operate

配置ICMP协议的扩展访问列表：

rule {normal|special}{permit|deny}icmp source {|any]destination {|any]

icmp-code\] \[logging

扩展访问控制列表操作符的含义：

equal portnumber 等于

greater-than portnumber 大于

less-than portnumber 小于

not-equal portnumber 不等

range portnumber1 portnumber2 区间

扩展访问控制列表举例：

$Quidway$ acl 101

$Quidway-acl-101$ rule deny souce any destination any

$Quidway-acl-101$ rule permit icmp source any destination any icmp-type echo

$Quidway-acl-101$ rule permit icmp source any destination any icmp-type echo-reply

$Quidway$ acl 102

$Quidway-acl-102$ rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0

$Quidway-acl-102$ rule deny ip source any destination any

$Quidway$ acl 103

$Quidway-acl-103$ rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp

$Quidway-acl-103$ rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www

$Quidway$ firewall enable

$Quidway$ firewall default permit|deny

$Quidway$ int e0

$Quidway-Ethernet0$ firewall packet-filter 101 inbound|outbound

地址转换配置举例：

$Quidway$ firewall enable

$Quidway$ firewall default permit

$Quidway$ acl 101

$Quidway-acl-101$ rule deny ip source any destination any

$Quidway-acl-101$ rule permit ip source 129.38.1.4 0 destination any

$Quidway-acl-101$ rule permit ip source 129.38.1.1 0 destination any

$Quidway-acl-101$ rule permit ip source 129.38.1.2 0 destination any

$Quidway-acl-101$ rule permit ip source 129.38.1.3 0 destination any

$Quidway$ acl 102

$Quidway-acl-102$ rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

$Quidway-acl-102$ rule permit tcp source any destination 202.38.160.1 0 destination-port great-than 1024

$Quidway-Ethernet0$ firewall packet-filter 101 inbound

$Quidway-Serial0$ firewall packet-filter 102 inbound

$Quidway$ nat address-group 202.38.160.101 202.38.160.103 pool1

$Quidway$ acl 1

$Quidway-acl-1$ rule permit source 10.110.10.0 0.0.0.255

$Quidway-acl-1$ rule deny source any

$Quidway-acl-1$ int serial 0

$Quidway-Serial0$ nat outbound 1 address-group pool1

$Quidway-Serial0$ nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp

$Quidway-Serial0$ nat server global 202.38.160.102 inside 10.110.10.2 www tcp

$Quidway-Serial0$ nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp

$Quidway-Serial0$ nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

PPP验证：

主验方：pap|chap

$Quidway$ local-user u2 password {simple|cipher} aaa

$Quidway$ interface serial 0

$Quidway-serial0$ ppp authentication-mode {pap|chap}

$Quidway-serial0$ ppp chap user u1 //pap时，不用此句

pap被验方：

$Quidway$ interface serial 0

$Quidway-serial0$ ppp pap local-user u2 password {simple|cipher} aaa

chap被验方：

$Quidway$ interface serial 0

$Quidway-serial0$ ppp chap user u1

$Quidway-serial0$ local-user u2 password {simple|cipher} aaa