2024年9月5日发(作者:称言心)
进入管理模式
显示正在运行的配置信息
[H3C] dis cur
保存配置信息
[H3C]quit
配置telnet 管理的用户和口令
[H3C]local-user admin
[H3C-]password simple password123
[H3C-]service-type telnet
[H3C-]level 3
[H3C-]quit
[H3C]user-interface vty 0 4
[H3C-]authentication-mode scheme
一、 H3C 3600交换机
1、 划分VLAN,并对VLAN进行IP路由
创建vlan 1
[H3C]vlan 1
[H3C]int vlan 1
[H3C-Vlan-interface1]ip add 192.168.1.253 255.255.255.0
[H3C-Vlan-interface1]quit
[H3C]int e1/0/1
[H3C-Ethernet1/0/1]port access vlan 1
[H3C-Ethernet1/0/1]quit
[H3C]int e1/0/2
[H3C-Ethernet1/0/2]port access vlan 1
[H3C-Ethernet1/0/2]quit
创建vlan 2
[H3C]vlan 2
[H3C]int vlan 2
[H3C-Vlan-interface1]ip add 192.168.2.253 255.255.255.0
[H3C-Vlan-interface1]quit
[H3C]int e1/0/3
[H3C-Ethernet1/0/3]port access vlan 2
[H3C-Ethernet1/0/3]quit
[H3C]int e1/0/4
[H3C-Ethernet1/0/4]port access vlan 2
[H3C-Ethernet1/0/4]quit
[H3C]int g1/0/1
[H3C-G1/0/1]port access vlan 2
[H3C-G1/0/1]quit
3100及3600交换机TRUNK口应用:
两台交换机级联SwitchA与SwitchB用trunk互连,相同VLAN的PC
之间可以互访,不同VLAN的PC之间禁止互访
l 配置方法:
# 进入GigabitEthernet 1/1 以太网端口视图。
[SWA] interface GigabitEthernet 1/1
# 配置端口GigabitEthernet 1/1为Trunk端口
并允许VLAN10、VLAN 20的报文通过。
[SWA-Gthernet1/0/1] port link-type trunk
[SWA-Gthernet1/0/1] port trunk permit vlan 10 20
[SWA]int e10/1
[SWA-E1/0/1]port acc vlan 10
[SWA-E1/0/2]port acc vlan 20
注:
SWB交换机配置相同
增加路由
[H3C]ip route 0.0.0.0 0.0.0.0 192.168.1.254
[H3C]quit
端口映像:
[H3C]mirroring-group 1 local
[H3C]mirroring-group 1 monitor-port GigabitEthernet 1/1/4
[H3C]mirroring-group 1 mirroring-port GigabitEthernet 1/1/1 both
端口汇聚:
[H3C]link-aggregation group 1 mode manual
[H3C]interface ethernet1/0/1
[H3C-Ethernet1/0/1] port link-aggregation group 1
[H3C-Ethernet1/0/1] interface ethernet1/0/2
[H3C-Ethernet1/0/2] port link-aggregation group 1
[H3C-Ethernet1/0/2] interface ethernet1/0/3
[H3C-Ethernet1/0/3] port link-aggregation group 1
<<在互联网出口的路由器上需要配置返回路由 192.168.2.0
255.255.255.0 192.168.1.253 >>
2、 IP MAC 端口绑定
[H3C]interface Ethernet1/0/1
[H3C-Ethernet1/0/1]am user-bind mac-addr 0001-0002-0003 ip-addr
10.12.1.1
3、 IP MAC 绑定
arp static ip-address mac-address [ vlan-id interface-type
interface-number ]
4、 ACL访问控制列表
公司企业网通过Switch的端口实现各部门之间的互连。研发部门由
GigabitEthernet1/1/1接入交换机,工资查询服务器的地址为
192.168.1.2。要求正确配置ACL,禁止研发部门在工作日8:00至18:00
访问工资服务器。
配置步骤
(1)定义时间段
# 定义8:00至18:00的周期时间段。
[H3C] time-range test 8:00 to 18:00 working-day
(2) 定义到工资服务器的ACL
# 进入ACL3000视图。
[H3C] acl number 3000
# 定义其它部门到工资服务器的访问规则。
[H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range
test
[H3C-acl-adv-3000] quit
(3) 在端口上应用ACL
# 在端口上应用ACL 3000。
[H3C] interface gigabitethernet1/1/1
[H3C-GigabitEthernet1/1/1] packet-filter inbound ip-group 3000
二、 H3C 3100交换机
1、广播抑制
[H3C]int e1/0/1
[H3C]broadcast-suppression 5
[H3C]int e1/0/2
[H3C]broadcast-suppression 5
2、配置web管理
[H3C]int vlan 1
[H3C-]ip add 192.168.1.253 255.255.255.0
[H3C-]quit
[H3C]undo ip http shutdown
[H3C]local-user admin
[H3C-]password simple password123
[H3C-]service-type telnet
[H3C-]level 3
[H3C-]quit
[H3C]user-interface vty 0 4
[H3C-]authentication-mode scheme
[H3C-]quit
[H3C]quit
华为(H3C)交换机常用配置命令
S5000 交换机
192.168.0.233
用户名:admin
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有2层模式 不像cisco enale之后还要conf t
定义acl
acl nubmere XXXX(3000以上)进入以后
rule permit/deny IP/TCP/UDP等 source (反
向)
destination (反向) eq
注意 华为默认没有deny any any
防火墙上端口加载ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与cisco的no)
静态路由
ip route-static 0.0.0.0 0.0.0.0
对vpdn用户设置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定telnet密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态nat设置
acl number 3000
rule 0 permit ip source
rule 1 permit ip source
rule 2 permit ip source
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address
nat outbound 3000
ipsec policy policy1
利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any
any)不符合的IP地址不可以出去
创建vlan
[shzb-crsw-s6506-1]vlan 100
华为vlan不支持name
将port放入vlan
创建了vlan后 进入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to
GigabitEthernet 1/0/8
表示从G1/0/1 到1/0/8放入VLAN 100
创建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建trunk链路的语句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address
vrrp vrid 2 virtual-ip
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp语句指定vrrp 类似与hsrp
使用vrrp要注意的是华为不支持pvst
只能一台完全是主,一台完全是备份
在主vrrp设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从vrrp设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑acl
首先进入接口模式,输入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound
ip-group 3000
华为交换机只能指定inbound方向
启用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network
配置ospf重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(类似与cisco的channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用VRRP之前必须输入
vrrp ping-enable
使得客户能ping网关
inte***ce M-Ethernet0/0/0是CPU板的管理口
2024年9月5日发(作者:称言心)
进入管理模式
显示正在运行的配置信息
[H3C] dis cur
保存配置信息
[H3C]quit
配置telnet 管理的用户和口令
[H3C]local-user admin
[H3C-]password simple password123
[H3C-]service-type telnet
[H3C-]level 3
[H3C-]quit
[H3C]user-interface vty 0 4
[H3C-]authentication-mode scheme
一、 H3C 3600交换机
1、 划分VLAN,并对VLAN进行IP路由
创建vlan 1
[H3C]vlan 1
[H3C]int vlan 1
[H3C-Vlan-interface1]ip add 192.168.1.253 255.255.255.0
[H3C-Vlan-interface1]quit
[H3C]int e1/0/1
[H3C-Ethernet1/0/1]port access vlan 1
[H3C-Ethernet1/0/1]quit
[H3C]int e1/0/2
[H3C-Ethernet1/0/2]port access vlan 1
[H3C-Ethernet1/0/2]quit
创建vlan 2
[H3C]vlan 2
[H3C]int vlan 2
[H3C-Vlan-interface1]ip add 192.168.2.253 255.255.255.0
[H3C-Vlan-interface1]quit
[H3C]int e1/0/3
[H3C-Ethernet1/0/3]port access vlan 2
[H3C-Ethernet1/0/3]quit
[H3C]int e1/0/4
[H3C-Ethernet1/0/4]port access vlan 2
[H3C-Ethernet1/0/4]quit
[H3C]int g1/0/1
[H3C-G1/0/1]port access vlan 2
[H3C-G1/0/1]quit
3100及3600交换机TRUNK口应用:
两台交换机级联SwitchA与SwitchB用trunk互连,相同VLAN的PC
之间可以互访,不同VLAN的PC之间禁止互访
l 配置方法:
# 进入GigabitEthernet 1/1 以太网端口视图。
[SWA] interface GigabitEthernet 1/1
# 配置端口GigabitEthernet 1/1为Trunk端口
并允许VLAN10、VLAN 20的报文通过。
[SWA-Gthernet1/0/1] port link-type trunk
[SWA-Gthernet1/0/1] port trunk permit vlan 10 20
[SWA]int e10/1
[SWA-E1/0/1]port acc vlan 10
[SWA-E1/0/2]port acc vlan 20
注:
SWB交换机配置相同
增加路由
[H3C]ip route 0.0.0.0 0.0.0.0 192.168.1.254
[H3C]quit
端口映像:
[H3C]mirroring-group 1 local
[H3C]mirroring-group 1 monitor-port GigabitEthernet 1/1/4
[H3C]mirroring-group 1 mirroring-port GigabitEthernet 1/1/1 both
端口汇聚:
[H3C]link-aggregation group 1 mode manual
[H3C]interface ethernet1/0/1
[H3C-Ethernet1/0/1] port link-aggregation group 1
[H3C-Ethernet1/0/1] interface ethernet1/0/2
[H3C-Ethernet1/0/2] port link-aggregation group 1
[H3C-Ethernet1/0/2] interface ethernet1/0/3
[H3C-Ethernet1/0/3] port link-aggregation group 1
<<在互联网出口的路由器上需要配置返回路由 192.168.2.0
255.255.255.0 192.168.1.253 >>
2、 IP MAC 端口绑定
[H3C]interface Ethernet1/0/1
[H3C-Ethernet1/0/1]am user-bind mac-addr 0001-0002-0003 ip-addr
10.12.1.1
3、 IP MAC 绑定
arp static ip-address mac-address [ vlan-id interface-type
interface-number ]
4、 ACL访问控制列表
公司企业网通过Switch的端口实现各部门之间的互连。研发部门由
GigabitEthernet1/1/1接入交换机,工资查询服务器的地址为
192.168.1.2。要求正确配置ACL,禁止研发部门在工作日8:00至18:00
访问工资服务器。
配置步骤
(1)定义时间段
# 定义8:00至18:00的周期时间段。
[H3C] time-range test 8:00 to 18:00 working-day
(2) 定义到工资服务器的ACL
# 进入ACL3000视图。
[H3C] acl number 3000
# 定义其它部门到工资服务器的访问规则。
[H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range
test
[H3C-acl-adv-3000] quit
(3) 在端口上应用ACL
# 在端口上应用ACL 3000。
[H3C] interface gigabitethernet1/1/1
[H3C-GigabitEthernet1/1/1] packet-filter inbound ip-group 3000
二、 H3C 3100交换机
1、广播抑制
[H3C]int e1/0/1
[H3C]broadcast-suppression 5
[H3C]int e1/0/2
[H3C]broadcast-suppression 5
2、配置web管理
[H3C]int vlan 1
[H3C-]ip add 192.168.1.253 255.255.255.0
[H3C-]quit
[H3C]undo ip http shutdown
[H3C]local-user admin
[H3C-]password simple password123
[H3C-]service-type telnet
[H3C-]level 3
[H3C-]quit
[H3C]user-interface vty 0 4
[H3C-]authentication-mode scheme
[H3C-]quit
[H3C]quit
华为(H3C)交换机常用配置命令
S5000 交换机
192.168.0.233
用户名:admin
删除设备配置
reset saved-configuration
重启
reboot
看当前配置文件
display current-configuration
改设备名
sysname
保存配置
save
进入特权模式
sysview
华为只有2层模式 不像cisco enale之后还要conf t
定义acl
acl nubmere XXXX(3000以上)进入以后
rule permit/deny IP/TCP/UDP等 source (反
向)
destination (反向) eq
注意 华为默认没有deny any any
防火墙上端口加载ACL
[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound
防火墙上新增加用户
local-user XXX(用户名) password simple XXX(密码)
local-user XXX service-type ppp
删除某条命令
undo(类似与cisco的no)
静态路由
ip route-static 0.0.0.0 0.0.0.0
对vpdn用户设置acl的接口
inte***ce Virtual-Template1
查看路由表
display ip routing-table
设定telnet密码
user-inte***ce vty 0 4
user privilege level 3
set authentication password simple XXX
启动/关闭
启动 un shut
关闭 shut
动态nat设置
acl number 3000
rule 0 permit ip source
rule 1 permit ip source
rule 2 permit ip source
inte***ce Ethernet1/0
description ====To-Internet(WAN)====
ip address
nat outbound 3000
ipsec policy policy1
利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any
any)不符合的IP地址不可以出去
创建vlan
[shzb-crsw-s6506-1]vlan 100
华为vlan不支持name
将port放入vlan
创建了vlan后 进入vlan模式
[shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to
GigabitEthernet 1/0/8
表示从G1/0/1 到1/0/8放入VLAN 100
创建trunk
inte***ce GigabitEthernet1/0/1
duplex full
speed 1000
* port link-type trunk
* port trunk permit vlan all
port link-aggregation group 1
带*号的是创建trunk链路的语句
vlan地址指定
inte***ce Vlan-inte***ce2
description server
ip address
vrrp vrid 2 virtual-ip
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode timer delay 10
其中vrrp语句指定vrrp 类似与hsrp
使用vrrp要注意的是华为不支持pvst
只能一台完全是主,一台完全是备份
在主vrrp设备上要指定
stp instance 0 root primary
stp TC-protection enable
stp enable
在从vrrp设备上要指定
stp instance 0 root secondary
stp TC-protection enable
stp enable
交换机下面绑acl
首先进入接口模式,输入qos命令
[shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos
在输入如下命令
[shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound
ip-group 3000
华为交换机只能指定inbound方向
启用ospf
[shzb-crsw-s6506-1]ospf 100
[shzb-crsw-s6506-1-ospf-100]area 0
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network
配置ospf重发布
[shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit
[shzb-crsw-s6506-1-ospf-100]import-route static
建立link-group(类似与cisco的channel-group)
link-aggregation group 1 mode manual
然后进入接口
port link-aggregation group 1
启用VRRP之前必须输入
vrrp ping-enable
使得客户能ping网关
inte***ce M-Ethernet0/0/0是CPU板的管理口