H3C网络设备配置命令

一、 登陆设备

1.搭建配置环境

第一次使用H3C系列路由器时，只能通过配置口(Console)进行配置。

（1）将配置电缆的RJ-45一端连到路由器的配置口(Console)上。

（2）将配置电缆的DB-9(或DB-25)孔式插头接到要对路由器进行配置的微机或终端的串口上。

备注：登陆交换机的方法与路由器的一致，现仅用路由器举例

2.设置微机或终端的参数（进入路由器或交换机）

（1）打开微机（笔记本电脑）或终端。如果使用微机进行配置，需要在微机上运行终端仿真程序，如Windows的超级终端。

（2）第二步：设置终端参数

a、命名此终端 H3C或者自己想命的

b、选择串口 一般选用COM口，常选用COM1

c、设置终端具体参数(此处点击"默认值"即可)

d、打开路由器的电源，路由器进行启动

e、当路由器启动完毕后，回车几下，当出现时即可配置路由器。

二、路由器基本调试命令

1.使用本地用户进行telnet登录的认证

system-view 进入系统视图

[H3C]telnet server enable 打开路由器的telnet功能

[H3C]configure-user count 5 设置允许同时配置路由器的用户数

[H3C]local-user telnet 添加本地用户(此处为telnet用户登陆时使用的用户名)

[H3C-luser-telnet]password simple h3c 设置telnet用户登陆时所使用的密码

[H3C-luser-telnet]service-type telnet 设置本地用户的服务类型(此处为telnet)

[H3C-luser-telnet]level 3 设置本地用户的服务级别

[H3C-luser-telnet]quit 退出本地用户视图

[H3C]

[H3C]user-interface vty 0 4 进入用户视图

[H3C-ui-vty0-4]authentication-mode scheme 选择"scheme"认证方式

2.路由器接口的配置

为接口配置ip地址

system-view 进入系统视图

[H3C] interface serial 3/0 进入某个端口

[H3C-Serial3/0] ip address 200.1.1.1 255.255.255.0 为该端口设置ip地址

[H3C-Serial3/0] undo shutdown 对该端口进行复位

[H3C-Serial3/0] quit 退回到系统视图

[H3C]

3.静态路由或默认路由的配置

system-view 进入系统视图

[H3C]ip route-static 192.168.1.0 255.255.255.0 192.168.0.1 添加一条静态路由

[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 添加一条默认路由

4.配置文件的管理

display current-configuration 显示当前的配置文件

save 保存配置文件

display interface GigabitEthernet 0/0 查看某端口的状态

备注：

display命令可以在任何视图下进行。交换机的配置文件管理与路由器相同，故交换机的配置幻灯片中不再做举例。

三、交换机的基本调试命令

1.创建VLAN并将端口加入到vlan中

system-view 进入系统视图

[H3C]vlan 10 创建vlan 10

[H3C-vlan100]port ethernet 0/1 将某个端口加入到vlan中

[H3C-vlan100]quit 退出到系统

[H3C]

2.创建vlan虚接口并为接口配置ip地址

system-view 进入系统视图

[H3C]interface vlan-interface 1 创建vlan虚接口

[H3C-Vlan-interface100] ip address 192.168.1.1 255.255.255.0 配置ip地址

3. 配置默认路由

[H3C] interface vlan-interface 1

[H3C-Vlan-interface10] ip address 192.168.1.1 255.255.255.0

[H3C-Vlan-interface10] quit

[H3C] ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 配置缺省路由

4.设置端口类型

system-view 进入系统视图

[H3C]interface ethernet 0/1

[H3C]port link-type trunk 将端口类型设置为trunk

[H3C]port trunk permit vlan all trunk端口允许所有vlan通过

[H3C]save

Trunk可以收发多个vlan的报文，用于交换机与交换机之间的互连

5.交换机设置telnet登录的认证配置命令

system-view 进入系统视图

[H3C]local-user telnet 添加本地用户(此处为telnet用户登陆时使用的用户名)

[H3C-luser-telnet]password simple h3c 设置telnet用户登陆时所使用的密码

[H3C-luser-telnet]service-type telnet 设置本地用户的服务类型(此处为telnet)

[H3C-luser-telnet]level 3 设置本地用户的服务级别

[H3C-luser-telnet]quit 退出本地用户视图

[H3C]

[H3C]user-interface vty 0 4 进入用户视图

[H3C-ui-vty0-4]authentication-mode scheme 选择"scheme"认证方式

四、H3C交换机基本配置命令

1.IP地址配置命令

system-view----进入系统配置模式

[Quidway] 系统配置编辑模式

[Quidway] interface Vlan-interface 1---交换机出厂默认VLAN-1

[Quidway-Vlan-interface1]ip add 192.168.X.254 255.255.255.0--配置IP地址

[Quidway-Vlan-interface1]quit

[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.33-配置静态路由（网关）

2.远程登陆配置命令

system-view----进入系统配置模式

[Quidway] 系统配置编辑模式

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] user privilege level 3---管理权限配置

[Quidway-ui-vty0-4] set authentication password cipher 123456 （cipher为密文密码）

3.配置端口速率及端口双工命令

system-view----进入系统配置模式

[Quidway] 系统配置编辑模式

[Quidway]interface Ethernet 1/0/1---进入的端口

[Quidway-Ethernet1/0/1] duplex full---配置端口为"全双工状态"

[Quidway-Ethernet1/0/1] speed 100---配置端口为"100M"如果是千兆端口可以配置成1000M。

4.划分VLAN配置命令

system-view----进入系统配置模式

[Quidway] 系统配置编辑模式

[Quidway]VLAN 100---创建VLAN---ID为:100

[Quidway]VLAN 101---创建VLAN---ID为:101

[Quidway-vlan100] port Ethernet 1/0/1 to Ethernet 1/0/10----从第1口到第10口添加到VLAN 100

[Quidway-vlan101] port Ethernet 1/0/11 to Ethernet 1/0/24----从第11口到第24口添加到VLAN 101

5.配置TRUNK命令

比如一栋宿舍楼需要两个网段，划分了两个VLAN为100和101，VLAN 100作为管理VLAN配置命令如下：

system-view----进入系统配置模式

[Quidway] 系统配置编辑模式

[Quidway]VLAN 100---创建VLAN---ID为:100

[Quidway]VLAN 101---创建VLAN---ID为:101

[Quidway-vlan100] port Ethernet 1/0/1 to Ethernet 1/0/10----从第1口到第10口添加到VLAN 100

[Quidway-vlan101] port Ethernet 1/0/11 to Ethernet 1/0/24----从第11口到第24口添加到VLAN 101

[Quidway] interface Vlan-interface 100---进入VLAN 100

[Quidway-Vlan-interface100]ip address 192.168.100.254 255.255.255.0---给VLAN 100配置管理IP

[Quidway-Vlan-interface100]quit

[Quidway]ip route-static 0.0.0.0 0.0.0.0 192.168.100.33---配置静态路由（网关）

上联端口为千兆端口GigabitEthernet1/1/1在配置模式下配置命令如下：

[Quidway] interface GigabitEthernet 1/1/1---进入上联端口

[Quidway-GigabitEthernet1/1/1] port link-type trunk --TRUNK是端口汇聚的意思

[Quidway-GigabitEthernet1/1/1] port trunk permit（允许）vlan all----配置允许通过的VLAN

如果上联的路由器端口是自适应那么交换机上联口也是自适应，如果配置了1000M全双工那么交换机的上联端口也要配成1000M全双工。

如下命令：

[Quidway-GigabitEthernet1/1/1] duplex full---配置端口为"全双工状态"

[Quidway-GigabitEthernet1/1/1] speed 1000---配置端口为"1000M"

6.SNMP配置命令

[Quidway]snmp-agent community read 1234---SNMP读的密码

[Quidway]snmp-agent community write 4567---SNMP写的密码

[Quidway]snmp-agent sys-info version all---SNMP软件版本有V1、V2c、V3这里配置的是允许所有版本。

7.配置防ARP攻击命令

system-view

[Quidway]dhcp-snooping--开启交换机DHCP Snooping 功能。

开启VLAN 1 内所有端口的ARP 入侵检测功能。

[Quidway]vlan 1

[Quidway-vlan1]arp detection enable

[Quidway-vlan1]quit

设置上联端口Ethernet1/0/1 为DHCP Snooping 信任端口，ARP 信任端口。

[Quidway]interface Ethernet1/0/1

[Quidway-Ethernet1/0/1]dhcp-snooping trust

[Quidway-Ethernet1/0/1]arp detection trust

[Quidway-Ethernet1/0/1]quit

开启端口Ethernet1/0/2 上的ARP 报文限速功能，设置ARP 报文通过的最大速率为20pps。--目的是针对用户接入口，除上联端口外，下联用户端口建议都设置该命令。如下：

[Quidway]interface Ethernet1/0/2

[Quidway-Ethernet1/0/2]arp rate-limit enable

[Quidway-Ethernet1/0/2]arp rate-limit 20

[Quidway-Ethernet1/0/2]quit

配置端口状态自动恢复功能，恢复时间间隔为30 秒。

[Quidway] arp protective-down recover enable

[Quidway] arp protective-down recover interval 30

五、H3C交换机基本配置（中级版）

（一）VRP，CMW简介

1.VRP（Versatile Routing Platform，通用路由平台）是华为公司数据通信产品的通用网络操作系统平台。

2. CMW（Comware）是H3C公司的核心软件平台。

3. VRP、CMW的体系结构以TCP/IP模型为参考，实现了数据链路层、网络层和应用层的多种协议，其体系结构图如下:

4. VRP视图结构

用户视图

系统视图

命令：system-view

在系统视图下 可以进入各种功能视图，在各功能视图中还可以进入子功能视图:

02 基本命令

1.配置系统名

（1)用途：用户名是设备的名字，目的是让用户更加方便的使用设备．

（2)配置命令: sysname

2.接口描述

（1)用途：接口描述是为了指明接口的一些属性，如是什么接口，对端接的什么设备等，让用户更加了解该接口。

（2)配置命令:

interface ethernet0/1

description connect to student

3.接口IP地址的配置

（1)用途:给接口一个网络上唯一的区分符。

（2)配置命令:

interface vlan 1

ip address 168.10.2.1 255.255.255.0

4. 查看交换机信息

（1)用途:让用户对设备的信息更了解，也有利于对设备做配置．

（2）配置命令:

显示版本 display version

显示当前配置信息 display current

显示NVRAM的配置 display saved-config

显示接口信息 display interface XX

显示路由信息　 display ip routing-table

5.调试交换机

（1)用途:更细致的查看交换机的各种数据包，帮助发现网络问题．

（2)常用调试命令:

terminal debugging

terminal monitor

debugging ip packet

undo debugging all

6.端口镜像

（1)用途:通过镜像来抓取网络流量，帮助分析网络问题．

（2)配置命令:

monitor-port Ethernet 0/1 both （监控端口）

mirroring-port Ethernet0/2 both（源端口）

7.流镜像

（1)用途:

通过镜像来抓取网络流量，帮助分析网络问题．

（2)配置命令:

mirrored-to ip-group 2000 interface Ethernet 0/1

acl number 2000

rule 0 permit

8.快捷命令行介绍

VRP、CMW

Ctrl+F 前移一个字符

Ctrl+B 后移一个字符

Ctrl+P ↑(向上箭头)重用前一条命令

Ctrl+N ↓(向下箭头)重用下一条命令

9.引导配置

（1)用途:通过引导配置，可以改变从什么地方取得交换机的系统软件．

（2)配置命令

boot boot-loader xxxx.bin

查看命令

display boot-loader

（三）交换

1.VLAN（Virtual Local Area Network）技术

把一个LAN划分成多个逻辑的"LAN"－VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。

vlan 100 (1-4094) 创建VLAN

undo vlan 100 (1-4094) 删除VLAN.

port Ethernet 2/0/1 在VLAN中增加端口.

undo port Ethernet 2/0/1 在VLAN中删除端口.

port access vlan 100 (1-4094) 将端口加入VLAN

undo port access vlan 100 (1-4094) 将端口脱离VLAN

display vlan VLAN ID (1-4094) 显示VLAN信息

2.Trunk

Trunk允许在只有一条链路的情况下传输VLAN信息。

•定义端口属性为Trunk.

port link-type trunk

•删除端口Trunk属性.

undo port link-type

•定义端口可以传输的VLAN.

port trunk permit vlan VLAN ID

•在VLAN中删除端口.

undo port trunk permit vlan VLAN ID

3.Link Aggregation

链路聚合是将几条物理链路聚合在一起，当作一条 逻辑链路来使用。分为静态聚合和动态聚合。

•静态聚合端口

link-aggregation Ethernet 0/1 to Ethernet 0/4 both

•删除端口的静态聚合

undo link-aggregation all

•在端口下进行动态聚合

lacp enable

•在端口下取消动态聚合

undo lacp enable

4.STP（Spanning Tree Protocol）

生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法阻断某些冗余路径，将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。

•定义STP模式

stp mode stp

•取消STP模式

undo stp mode

•定义MSTP模式

stp mode mstp

•取消MSTP模式

undo stp mode

（四）路由

1.RIP

RIP是Routing Information Protocol（路由信息协议）的简称。它是一种较为简单的内部网关协议（IGP），主要用于规模较小的网络中。

•启动RIP，进入RIP视图

rip

•停止RIP协议的运行

undo rip

•在指定的网络接口上应用RIP

network network-address

•在指定的网络接口上取消应用RIP

undo network network-address

•指定接口的RIP版本为RIP-1

rip version 1

•指定接口的RIP版本为RIP-2

rip version 2 [ broadcast | multicast ]

•将接口运行的RIP版本恢复为缺省值

undo rip version { 1 | 2 }

2.OSPF

OSPF是Open Shortest Path First（开放最短路由优先协议）的缩写。它是IETF组织开发的一个基于链路状态的内部网关协议。目前使用的是版本2（RFC2328）。

•定义router id

•启动OSPF，进入OSPF视图

ospf

关闭OSPF路由协议进程

undo ospf [ process-id ]

•进入OSPF区域视图

area area-id

•删除指定的OSPF区域

undo area area-id

•指定网段运行OSPF协议

network ip-address wildcard-mask

•取消网段运行OSPF协议

undo network ip-address wildcard-mask

五、网络管理

1.SNMP的介绍

介绍：简单网络管理协议（SNMP)是被广泛应用的一项工业标准，是目前用得最广泛的计算机网络管理协议．

结构：SNMP结构分为NMS(Network Management Station)和AGENT两部分，NMS是运行客户端的工作站，AGENT是运行在网络设备上的服务端软件．

•SNMP版本

SNMP现在有三个版本，SNMP v3/v2c/v1,SNMP v3兼容v1和v2c.

•SNMP的配置包括

启动和关闭SNMP AGENT服务

设置团体名

配置一个SNMP组

设置管理员的联系方法

允许／禁止发送Trap报文

设置Trap目标主机的地址

指定发送报文的源地址

System-view 进入视图

Snmp-agent community read public 只读团体属性名public

Snmp-agent communty write private 只写团体属性名private

Snmp-agent sys-inf contact Mr.wang-tel 3306 设置管理员联系方法

Snmp-agent sys-info location telephone 3rd floor 路由器物理位置

Snmp-agent trap enable 使能trap报文

Snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public 允许向网管工作站129.102.149.23发送trap报文，使用团体名为public.

六、安全管理

1.认证与授权

•要点

•需要确定权利的等级

•需要确定授权的策略

Generic or per user

RADIUS

Local authentication

2.认证配置

•本地验证

•VRP的配置

local-user huawei

password simple 123

service-type telnet 设置本地认证用户名和密码

user-interface vty 0 4 进入vty视图

authentication-mode scheme 通过telnet访问的用户使用本地验证

3.限制授权

区分用户在设备上的授权

•配置等级

•视图等级

•支持等级

使用特权等级（level 1---level 3)

4.授权配置

•VRP的配置

local-user huawei password simple 123 建立用户

local-user huawei level 3 设定授权等级

display interface

•VRP的命令行保护

super password level {1/2/3} {simple/cipher} 123

5. Vty和console的时间保护

•用途

为了使通过vty和console登陆的设备在使用者离开后不被其他没有授权的人使用。

•VRP的配置

Idle-timeout minite second

6.访问控制列表

•概述

路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

•分类

基本的访问控制列表（basic acl）

高级的访问控制列表（advanced acl）

基于接口的访问控制列表（interface-based acl）

基于MAC的访问控制列表（mac-based acl）

7.标准访问列表的配置

•在系统视图下，创建一个基本访问控制列表

acl {number number/name name basic} [match- order {config/auto}]

•在基本访问控制列表试图下，配置ACL规则

rule [rule-id] {permit/deny} [source sour-add sour-wildcast/any] [time-range time-name] [logging] [fragment] [vpn-instance vpn-instance-name]

acl number 2000

rule 1 permit source 20.1.1.0 0.0.0.255

七、配置实例

1.配置VLAN 1

system-view

System View: return to User View with Ctrl+Z.

[Sysname]vlan 1

[Sysname-vlan1] quit

[Sysname]management-vlan 1

[Sysname]interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 10.0.1.201 255.255.255.0

2.显示VLAN 接口1 的相关信息

display ip interface Vlan-interface 1

3.创建VLAN（H3C不支持cisco的VTP，所以只能添加静态VLAN）

<H3C_TEST>system-view

System View: return to User View with Ctrl+Z.

[H3C_TEST]vlan 99

[H3C_TEST-vlan99]name seicoffice

[H3C_TEST-vlan99]quit

4.把交换机的端端口划分到相应的Vlan中

[H3C_TEST]interface ethernet1/0/2//进入端口模式

[H3C_TEST-Ethernet1/0/2]port link-type access //设置端口的类型为access

[H3C_TEST-Ethernet1/0/2]port access vlan 99//把当前端口划到vlan 99

[H3C_TEST]vlan 99

[H3C_TEST-vlan99]port ethernet1/0/1to ethernet1/0/24　//把以及网端口1/0/1到1/0/24划到vlan99

[H3C_TEST-vlan99]quit

[H3C_TEST-GigabitEthernet1/2/1]port trunk permit vlan 1 99 // {ID|All} 设置trunk端口允许通过的VLAN

5.配置本地用户

system-view

System View: return to User View with Ctrl+Z.

[Sysname]local-user h3c

New local user added.

[Sysname-luser-h3c]service-type telnet level 3

[Sysname-luser-h3c]password simple h3c

6.配置欢迎信息

[H3C_TEST]header login %Welcome to login h3c!%

7.配置用户认证方式telnet(vty 0-4)

[H3C_TEST]user-interface vty 0 4

[H3C_TEST-ui-vty0-4]authentication-mode scheme

[H3C_TEST-ui-vty0-4]protocol inbound telnet

[H3C_TEST-ui-vty0-4]super authentication-mode super-password

[H3C_TEST-ui-vty0-4]quit

[H3C_TEST]super password level 3 simple h3c //用户登陆后提升权限的密码

8.配置Radius策略

[H3C_TEST]radius scheme radius1

New Radius scheme

[H3C_TEST-radius-radius1]primary authentication 10.0.1.253 1645

[H3C_TEST-radius-radius1]primary accounting 10.0.1.253 1646

[H3C_TEST-radius-radius1]secondary authentication 127.0.0.1 1645

[H3C_TEST-radius-radius1]secondary accounting 127.0.0.1 1646

[H3C_TEST-radius-radius1]timer 5

[H3C_TEST-radius-radius1]key authentication h3c

[H3C_TEST-radius-radius1]key accounting h3c

[H3C_TEST-radius-radius1]server-type extended

[H3C_TEST-radius-radius1]user-name-format without-domain

9.配置域

[H3C_TEST]domain h3c

[H3C_TEST-isp-h3c]authentication radius-scheme radius1 local

[H3C_TEST-isp-h3c]scheme radius-scheme radius1 local

[H3C_TEST]domain default enable h3c

10.配置在远程认证失败时，本地认证的key

[H3C_TEST]local-server nas-ip 127.0.0.1 key h3c

H3C交换机路由器telnet和console口登录配置

10.级别说明

Level 命令 作用

0 参观 ping、tracert、telnet

1 调试 display、debugging

2 配置 所有配置命令（管理级的命令除外）

3 管理 文件系统命令、FTP命令、TFTP命令、XMODEM命令

11.telnet仅用密码登录，管理员权限

[Router]user-interface vty 0 4

[Router-ui-vty0-4]user privilege level 3

[Router-ui-vty0-4]set authentication password simple abc

telnet仅用密码登录，非管理员权限

[Router]super password level 3 simple super

[Router]user-interface vty 0 4

[Router-ui-vty0-4]user privilege level 1

[Router-ui-vty0-4]set authentication password simple abc

telnet使用路由器上配置的用户名密码登录，管理员权限

[Router]local-user admin password simple admin

[Router]local-user admin service-type telnet

[Router]local-user admin level 3

[Router]user-interface vty 0 4

[Router-ui-vty0-4]authentication-mode local

telnet使用路由器上配置的用户名密码登录，非管理员权限

[Router]super password level 3 simple super

[Router]local-user manage password simple manage

[Router]local-user manage service-type telnet

[Router]local-user manage level 2

[Router]user-interface vty 0 4

[Router-ui-vty0-4]authentication-mode local

12.对console口设置密码，登录后使用管理员权限

[Router]user-interface con 0

[Router-ui-console0]user privilege level 3

[Router-ui-console0]set authentication password simple abc

对console口设置密码，登录后使用非管理员权限

[Router]super password level 3 simple super

[Router]user-interface con 0

[Router-ui-console0]user privilege level 1

[Router-ui-console0]set authentication password simple abc

对console口设置用户名和密码，登录后使用管理员权限

[Router]local-user admin password simple admin

[Router]local-user admin service-type terminal

[Router]local-user admin level 3

[Router]user-interface con 0

[Router-ui-console0]authentication-mode local

对console口设置用户名和密码，登录后使用非管理员权限

[Router]super password level 3 simple super

[Router]local-user manage password simple manage

[Router]local-user manage service-type terminal

[Router]local-user manage level 2

[Router]user-interface con 0

[Router-ui-console0]authentication-mode local

simple 是明文显示，cipher 是加密显示，路由器不设置telnet登录配置时，用户无法通过telnet登录到路由器上。

[Router-ui-vty0-4]acl 2000 inbound可以通过acl的规则只允许符合条件的用户远程登录路由器。

13.路由器命令

[Quidway]display version 显示版本信息

[Quidway]display current-configuration 显示当前配置

[Quidway]display interfaces 显示接口信息

[Quidway]display ip route 显示路由信息

[Quidway]sysname aabbcc 更改主机名

[Quidway]super passwrod 123456 设置口令

[Quidway]interface serial0 进入接口

[Quidway-serial0]ip address

[Quidway-serial0]undo shutdown 激活端口

[Quidway]link-protocol hdlc 绑定hdlc协议

[Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4]authentication-mode password

[Quidway-ui-vty0-4]set authentication-mode password simple 222

[Quidway-ui-vty0-4]user privilege level 3

[Quidway-ui-vty0-4]quit

[Quidway]debugging hdlc all serial0 显示所有信息

[Quidway]debugging hdlc event serial0 调试事件信息

[Quidway]debugging hdlc packet serial0 显示包的信息

14.静态路由：

[Quidway]ip route-static {interface number|nexthop}[value][reject|blackhole]

例如：

[Quidway]ip route-static 129.1.0.0 16 10.0.0.2

[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2

[Quidway]ip route-static 129.1.0.0 16 Serial 2

[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2

15.动态路由：

[Quidway]rip

[Quidway]rip work

[Quidway]rip input

[Quidway]rip output

[Quidway-rip]network 1.0.0.0 可以all

[Quidway-rip]network 2.0.0.0

[Quidway-rip]peer ip-address

[Quidway-rip]summary

[Quidway]rip version 1

[Quidway]rip version 2 multicast

[Quidway-Ethernet0]rip split-horizon 水平分隔

[Quidway]router id A.B.C.D 配置路由器的ID

[Quidway]ospf enable 启动OSPF协议

[Quidway-ospf]import-route direct 引入直联路由

[Quidway-Serial0]ospf enable area <area_id> 配置OSPF区域

16.标准访问列表命令格式如下：

acl [match-order config|auto] 默认前者顺序匹配。

rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]

[Quidway]acl 10

[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255

[Quidway-acl-10]rule normal deny source any

17.扩展访问控制列表配置命令

配置TCP/UDP协议的扩展访问列表：

rule {normal|special}{permit|deny}{tcp|udp}source {|any}destination |any

配置ICMP协议的扩展访问列表：

rule {normal|special}{permit|deny}icmp source {|any]destination {|any]

扩展访问控制列表操作符的含义：

equal portnumber 等于

greater-than portnumber 大于

less-than portnumber 小于

not-equal portnumber 不等

range portnumber1 portnumber2 区间

扩展访问控制列表举例：

[Quidway]acl 101

[Quidway-acl-101]rule deny souce any destination any

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply

[Quidway]acl 102

[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0

[Quidway-acl-102]rule deny ip source any destination any

[Quidway]acl 103

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www

[Quidway]firewall enable

[Quidway]firewall default permit|deny

[Quidway]int e0

[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound

18.地址转换配置举例：

[Quidway]firewall enable

[Quidway]firewall default permit

[Quidway]acl 101

[Quidway-acl-101]rule deny ip source any destination any

[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any

[Quidway]acl 102

[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than 1024

[Quidway-Ethernet0]firewall packet-filter 101 inbound

[Quidway-Serial0]firewall packet-filter 102 inbound

[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1

[Quidway]acl 1

[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255

[Quidway-acl-1]rule deny source any

[Quidway-acl-1]int serial 0

[Quidway-Serial0]nat outbound 1 address-group pool1

[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp

[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp

[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp

[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

19.PPP验证：

主验方：pap|chap

[Quidway]local-user u2 password {simple|cipher} aaa

[Quidway]interface serial 0

[Quidway-serial0]ppp authentication-mode {pap|chap}

[Quidway-serial0]ppp chap user u1 //pap时，不用此句

pap被验方：

[Quidway]interface serial 0

[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa

chap被验方：

[Quidway]interface serial 0

[Quidway-serial0]ppp chap user u1

[Quidway-serial0]local-user u2 password {simple|cipher} aaa

八、H3C路由器基本配置命令：

[Quidway]display version 显示版本信息

[Quidway]display current-configuration 显示当前配置

[Quidway]display interfaces 显示接口信息

[Quidway]display ip route 显示路由信息

[Quidway]sysname aabbcc 更改主机名

[Quidway]super passwrod 123456 设置口令

[Quidway]interface serial0 进入接口

[Quidway-serial0]ip address

[Quidway-serial0]undo shutdown 激活端口

[Quidway]link-protocol hdlc 绑定hdlc协议

[Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4]authentication-mode password

[Quidway-ui-vty0-4]set authentication-mode password simple 222

[Quidway-ui-vty0-4]user privilege level 3

[Quidway-ui-vty0-4]quit

[Quidway]debugging hdlc all serial0 显示所有信息

[Quidway]debugging hdlc event serial0 调试事件信息

[Quidway]debugging hdlc packet serial0 显示包的信息

静态路由：

[Quidway]ip route-static {interface number|nexthop}[value][reject|blackhole]

例如：

[Quidway]ip route-static 129.1.0.0 16 10.0.0.2

[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2

[Quidway]ip route-static 129.1.0.0 16 Serial 2

[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2

动态路由：

[Quidway]rip

[Quidway]rip work

[Quidway]rip input

[Quidway]rip output

[Quidway-rip]network 1.0.0.0 可以all

[Quidway-rip]network 2.0.0.0

[Quidway-rip]peer ip-address

[Quidway-rip]summary

[Quidway]rip version 1

[Quidway]rip version 2 multicast

[Quidway-Ethernet0]rip split-horizon 水平分隔

[Quidway]router id A.B.C.D 配置路由器的ID

[Quidway]ospf enable 启动OSPF协议

[Quidway-ospf]import-route direct 引入直联路由

[Quidway-Serial0]ospf enable area <area_id> 配置OSPF区域

标准访问列表命令格式如下：

acl [match-order config|auto] 默认前者顺序匹配。

rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]

例：

[Quidway]acl 10

[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255

[Quidway-acl-10]rule normal deny source any

扩展访问控制列表配置命令

配置TCP/UDP协议的扩展访问列表：

rule {normal|special}{permit|deny}{tcp|udp}source {|any}destination |any}

[operate]

配置ICMP协议的扩展访问列表：

rule {normal|special}{permit|deny}icmp source {|any]destination {|any]

[icmp-code] [logging]

扩展访问控制列表操作符的含义：

equal portnumber 等于

greater-than portnumber 大于

less-than portnumber 小于

not-equal portnumber 不等

range portnumber1 portnumber2 区间

扩展访问控制列表举例：

[Quidway]acl 101

[Quidway-acl-101]rule deny souce any destination any

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply

[Quidway]acl 102

[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0

[Quidway-acl-102]rule deny ip source any destination any

[Quidway]acl 103

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www

[Quidway]firewall enable

[Quidway]firewall default permit|deny

[Quidway]int e0

[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound

地址转换配置举例：

[Quidway]firewall enable

[Quidway]firewall default permit

[Quidway]acl 101

[Quidway-acl-101]rule deny ip source any destination any

[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any

[Quidway]acl 102

[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than 1024

[Quidway-Ethernet0]firewall packet-filter 101 inbound

[Quidway-Serial0]firewall packet-filter 102 inbound

[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1

[Quidway]acl 1

[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255

[Quidway-acl-1]rule deny source any

[Quidway-acl-1]int serial 0

[Quidway-Serial0]nat outbound 1 address-group pool1

[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp

[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp

[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp

[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

PPP验证：

主验方：pap|chap

[Quidway]local-user u2 password {simple|cipher} aaa

[Quidway]interface serial 0

[Quidway-serial0]ppp authentication-mode {pap|chap}

[Quidway-serial0]ppp chap user u1 //pap时，不用此句

pap被验方：

[Quidway]interface serial 0

[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa

chap被验方：

[Quidway]interface serial 0

[Quidway-serial0]ppp chap user u1

[Quidway-serial0]local-user u2 password {simple|cipher} aaa