第一篇:ACL配置命令總結
ACL配置命令總結
A.標準ACL 1.access-list access-list-number {deny|permit} {source[source-wildcard] | any} [log] 創建ACL 2.ip access-group access-list-number in/out 在接口應用ACL 3.no access-list access-list-number 刪除acl 4.no ip access-group access-list-number in/out 取消在接口應用ACL 5.[no] ip access-list standarded 名字
[no] Deny ……
Permit …..創建/刪除命名的acl
Ip access-group 名字
in/out 6.show access-lists 查看acl 7.no number 刪除行
B.擴展ACL 1.擴展的編輯功能: 例子:ip access-list extended 100 15 permit …….插入編號15
2.Ip access-list resequence access-list-number start increase重新編號,有開始編號以及步長值 3.Established使用:只允許帶有established的TCP包進入 同理有:access-list 100 permit icmp any any echo-replay 即是單向ping有效
4.使用acl限制遠程登錄 Access-list 1 permit ip地址 Line vty 0 4 Access-class 1 in
C.反射ACL
1.ip access-list extended out-acl
Permit ip any any reflect out-ip 創建反射
Exit Ip access-list extended in-acl Evaluate out-ip
評估反射列表 Int s0/0/1 Ip access-group out-acl out 外出時叫做反射 Ip access-group in-acl in
進入時叫做評估
Ip reflexive-list timeout 30 修改全局超時時間
D.動態ACL 1.臨時條目的生存周期
空閑時間:產生臨時條目是同時啟動空間時間以及絕度時間,每當一個報文匹配動態訪問列表時更新空閑時間。
絕對時間:永不復位,到了結束時間將臨時條目刪除 2.access-list 100 permit tcp any host 12.1.12 eq 23 access-list 100 permit tcp any host 12.1.12 eq 3001 access-list 100 dynamic cisco timeout 120 permit ip any any user cisco pass cisco line vty 0 3 login loacl autocommand access-enable host timeout 5 line vty 4 login local rotary 1 int s0/0/1 ip access-list 100 in
E.基于時間的ACL 1.time-range working定義時間范圍名字
2.periodic daily/weekdays/weekend/hh:mm 8:00 to 12:00
第二篇:H3C-配置命令總結
]就可輸入命令。
[DeviceA]sysname
x
將交換機命名為x [DeviceA]dis cur
顯示當前配置情況 [DeviceA]dis vlan
顯示VLAN [DeviceA]dis vlan 666
顯示VLAN 666里加入了哪些端口號 [DeviceA]dis vlan all
顯示所有VLAN [DeviceA]display interface GigabitEthernet 1/0/2
4查看端口狀態(簡寫dis int g1/0/24)[DeviceA]int g1/0/1 進入第1個端口(g為千兆端口,e為百兆端口)[DeviceA]save 保存交換機配置
[H3C]restore default 恢復交換機出廠默認配置,恢復后需重啟才能生效(用超級終端登錄交換機,重啟交換機按ctrl+b進如啟動列表,選擇刪除flash中的配置,然后重啟即可)[H3C]Reboot 交換機重啟
[DeviceA]broadcast-suppression 20
設置抑制廣播百分比為20%,可取5,10,20,100,缺省為100,同時組播和未知單播也受此影響
[DeviceA]flow-control 開啟流控,默認為關閉
[H3C-Ethernet0/3]port link-type trunk 設置鏈路的類型為trunk,可為access(缺省),trunk [H3C-Ethernet0/3]port trunk pvid vlan 20 設置20為該trunk的缺省VLAN,默認為1
(trunk線路兩端的PVID必須一致)[H3C] vlan 100
創建VLAN 100 進入某個單獨端口,然后將端口加入指定VLAN:例如下所示
[H3C]int Ethernet1/0/3 進入第3個端口(交換機所有端口默認為access模式)
[H3C-Ethernet0/3]port access vlan 100 將當前access端口加入指定的VLAN 100(注:必須輸入access)進入VLAN,將想要加入的端口劃入VLAN中:例如下所示
[H3C]vlan 100 進入VLAN 100(注:前面已經創建了VLAN 100,這里直接就是進入VLAN 100模式)。[H3C-vlan100] port ethernet1/0/1 to ethernet1/0/4 將1到4號端口加入到VLAN 100中,此命令只能用來加access端口,不能用來增加trunk或者hybrid端口
[H3C-vlan100] port ethernet1/0/5 將5號端口加入到VLAN 100中(此命令只能用來加access端口,不能用來增加trunk或者hybrid端口)
[H3C-Ethernet0/2]port link-type trunk ;設置當前端口為trunk [H3C-Ethernet0/2]port trunk permit vlan {ID|All}
;設trunk允許的VLAN(必須要有這個條命令,才能將VLAN加入到基于trunk模式的端口)[H3C-Ethernet0/3]port trunk permit vlan all 允許所有的VLAN通過當前的trunk端口,可多次使用該命令
[DeviceA] undo vlan 100
刪除VLAN 100
[DeviceA]int g1/0/5 進入交換機第5個端口(說明:g為千兆端口,百兆端口用e)[DeviceA]port link-type Access|Trunk|Hybrid 設置端口訪問模式 [DeviceA] undo shutdown 打開以太網端口 [DeviceA]shutdown 關閉以太網端口 [DeviceA]quit 退出當前視圖模式
5、鏈路聚合配置
[DeviceA] link-aggregation group 1 mode manual ;創建手工聚合組1 [DeviceA] interface ethernet 1/0/1 ;將以太網端口Ethernet1/0/1加入聚合組1 [DeviceA-Ethernet1/0/1] port link-aggregation group 1 [DeviceA-Ethernet1/0/1] interface ethernet 1/0/2 ;將以太網端口Ethernet1/0/1加入聚合組1 [DeviceA-Ethernet1/0/2] port link-aggregation group 1 [DeviceA] link-aggregation group 1 service-type tunnel # 在手工聚合組的基礎上創建Tunnel業務環回組。
[DeviceA] interface ethernet 1/0/1 # 將以太網端口Ethernet1/0/1加入業務環
2配置文件相關命令
[Quidway]display current-configuration;顯示當前生效的配置
[Quidway]display saved-configuration ;顯示flash中配置文件,即下次上電啟動時所用的配置文件
4、端口配置
[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作狀態 [Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率 [Quidway-Ethernet0/1]flow-control ;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;設置端口工作模式 [Quidway-Ethernet0/1]undo shutdown ;激活端口 [Quidway-Ethernet0/2]quit ;退出系統視圖
7、VLAN配置
[Quidway]vlan 3 創建VLAN3 [Quidway-vlan3]port ethernet1/0/1 to ethernet1/0/將1到4號端口加入到VLAN3中,此命令只能用來加access端口,不能用來增加trunk或者hybrid端口
[Quidway-Ethernet0/2]port access vlan 3
;當前端口加入到VLAN
注意:缺省情況下,端口的鏈路類型為Access類型,所有Access端口均屬于且只屬于VLAN1 配置基于trunk的VLAN [Quidway-Ethernet0/2]port link-type trunk ;設置當前端口為trunk [Quidway-Ethernet0/2]port trunk permit vlan {ID|All}
;設trunk允許的VLAN 注意:所有端口缺省情況下都是允許VLAN1的報文通過的
[Quidway-Ethernet0/2]port trunk pvid vlan 3
;設置trunk端口的PVID 配置基于Hybrid端口的VLAN [Quidway-Ethernet0/2]port link-type hybrid;配置端口的鏈路類型為Hybrid類型
[Quidway-Ethernet0/2]port hybrid vlan vlan-id-list { tagged | untagged };允許指定的VLAN通過當前Hybrid端口
注意:缺省情況下,所有Hybrid端口只允許VLAN1通過
[Quidway-Ethernet0/2]port hybrid pvid vlan vlan-id;設置Hybrid端口的缺省VLAN 注意:缺省情況下,Hybrid端口的缺省VLAN為VLAN1 VLAN描述
[Quidway]description string
;指定VLAN描述字符 [Quidway]description
;刪除VLAN描述字符 [Quidway]display vlan [vlan_id] ;查看VLAN設置 私有VLAN配置
[SwitchA-vlanx]isolate-user-vlan enable
;設置主vlan [SwitchA]Isolate-user-vlan
;設置主vlan包括的子vlan [Quidway-Ethernet0/2]port hybrid pvid vlan
;設置vlan的pvid [Quidway-Ethernet0/2]port hybrid pvid
;刪除vlan的pvid [Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;設置無標識的vlan 如果包的vlan id與PVId一致,則去掉vlan信息.默認PVID=1。所以設置PVID為所屬vlan id, 設置可以互通的vlan為untagged
9、MAC地址表的操作
在系統視圖下添加MAC地址表項
[Quidway]mac-address { static | dynamic | blackhole } mac-address interface interface-type interface-number vlan vlan-id ;添加MAC地址表項
在添加MAC地址表項時,命令中interface參數指定的端口必須屬于vlan參數指定的VLAN,否則將添加失敗。如果vlan參數指定的VLAN是動態VLAN,在添加靜態MAC地址之后,會自動變為靜態VLAN。在以太網端口視圖下添加MAC地址表項
[Quidway-Ethernet0/2]mac-address { static | dynamic | blackhole } mac-address vlan vlan-id 在添加MAC地址表項時,當前的端口必須屬于命令中vlan參數指定的VLAN,否則將添加失敗; 如果vlan參數指定的VLAN是動態VLAN,在添加靜態MAC地址之后,會自動變為靜態VLAN。[Quidway]mac-address timer { aging age | no-aging } ;設置MAC地址表項的老化時間
注意:缺省情況下,MAC地址表項的老化時間為300秒,使用參數no-aging時表示不對MAC地址表項進行老化。MAC地址老化時間的配置對所有端口都生效,但地址老化功能只對動態的(學習到的或者用戶配置可老化的)MAC地址表項起作用。
[Quidway-Ethernet0/2]mac-address max-mac-count count ;設置端口最多可以學習到的MAC地址數量
注意:缺省情況下,沒有配置對端口學習MAC地址數量的限制。反之,如果端口啟動了MAC地址認證和端口安全功能,則不能配置該端口的最大MAC地址學習個數。
[Quidway-Ethernet0/2]port-mac start-mac-address ;配置以太網端口MAC地址的起始值
在缺省情況下,E126/E126A交換機的以太網端口是沒有配置MAC地址的,因此當交換機在發送二層協議報文(例如STP)時,由于無法取用發送端口的MAC地址,將使用該協議預置的MAC地址作為源地址填充到報文中進行發送。在實際組網中,由于多臺設備都使用相同的源MAC地址發送二層協議報文,會造成在某臺設備的不
同端口學習到相同MAC地址的情況,可能會對MAC地址表的維護產生影響。[Quidway]display mac-address ;顯示地址表信息
[Quidway]display mac-address aging-time ;顯示地址表動態表項的老化時間 [Quidway]display port-mac ;顯示用戶配置的以太網端口MAC地址的起始值
14、端口綁定配置
通過端口綁定特性,網絡管理員可以將用戶的MAC地址和IP地址綁定到指定的端口上。進行綁定操作后,交換機只對從該端口收到的指定MAC地址和IP地
址的用戶發出的報文進行轉發,提高了系統的安全性,增強了對網絡安全的監控。
[SwitchA-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1 # 將Host 1的MAC地址和IP地址綁定到Ethernet1/0/1端口。有的交換機上綁定的配置不一樣
[SwitchA] interface ethernet 1/0/2 [SwitchA-Ethernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405 端口過濾配置
[SwitchA] interface ethernet1/0/1 # 配置端口Ethernet1/0/1的端口過濾功能。[SwitchA-Ethernet1/0/1] ip check source ip-address mac-address [SwitchA] dhcp-snooping # 開啟DHCP Snooping功能。
[SwitchA] interface ethernet1/0/2 # 設置與DHCP服務器相連的端口Ethernet1/0/2為信任端口。[SwitchA-Ethernet1/0/2] dhcp-snooping trust 在端口Ethernet1/0/1上啟用IP過濾功能,防止客戶端使用偽造的不同源IP地址對服務器進行攻擊
H3C華為交換機端口綁定基本配置2008-01-22 13:40 1,端口 MAC a)AM命令
使用特殊的AM User-bind命令,來完成MAC地址與端口之間的綁定。例如:
[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置說明:由于使用了端口參數,則會以端口為參照物,即此時端口E0/1只允許PC1上網,而使用其他未綁定的MAC地址的PC機則無法上網。但是PC1使用該MAC地址可以在其他端口上網。b)mac-address命令
使用mac-address static命令,來完成MAC地址與端口之間的綁定。例如: [SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1
[SwitchA]mac-address max-mac-count 0
配置說明:由于使用了端口學習功能,故靜態綁定mac后,需再設置該端口mac學習數為0,使其他PC接入此端口后其mac地址無法被學習。2,IP MAC a)AM命令
使用特殊的AM User-bind命令,來完成IP地址與MAC地址之間的綁定。例如: [SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3
配置說明:以上配置完成對PC機的IP地址和MAC地址的全局綁定,即與綁定的IP地址或者MAC地址不同的PC機,在任何端口都無法上網。
支持型號:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G b)arp命令
使用特殊的arp static命令,來完成IP地址與MAC地址之間的綁定。例如: [SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3
配置說明:以上配置完成對PC機的IP地址和MAC地址的全局綁定。3,端口 IP MAC
使用特殊的AM User-bind命令,來完成IP、MAC地址與端口之間的綁定。例如:
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置說明:可以完成將PC1的IP地址、MAC地址與端口E0/1之間的綁定功能。由于使用了端口參數,則會以端口為參照物,即此時端口E0/1只允
許 PC1上網,而使用其他未綁定的IP地址、MAC地址的PC機則無法上網。但是PC1使用該IP地址和MAC地址可以在其他端口上網。
H3C交換機常用配置命令
2011-11-10 15:36:30 我來說兩句 收藏 我要投稿
一.用戶配置:
[H3C]localuser bigheap 123456 1 Web網管用戶設置,1(缺省)為管理級用戶,缺省admin,admin [H3C]undo localuser bigheap 刪除Web網管用戶 [H3C]user-interface aux 0 只支持0 [H3C-Aux]idle-timeout 2 50 設置超時為2分50秒,若為0則表示不超時,默認為5分鐘 [H3C-Aux]undo idle-timeout 恢復默認值 [H3C]user-interface vty 0 只支持0和1 [H3C-vty]idle-timeout 2 50 設置超時為2分50秒,若為0則表示不超時,默認為5分鐘 [H3C-vty]undo idle-timeout 恢復默認值
[H3C-vty]set authentication password 123456 設置telnet密碼,必須設置 [H3C-vty]undo set authentication password 取消密碼 [H3C]display users 顯示用戶
[H3C]display user-interface 顯示用戶界面狀態 二.系統IP配置: [H3C]vlan 20 [H3C]management-vlan 20 [H3C]interface vlan-interface 20 創建并進入管理VLAN [H3C]undo interface vlan-interface 20 刪除管理VLAN接口
[H3C-Vlan-interface20]ip address 192.168.1.2 255.255.255.0 配置管理VLAN接口靜態IP地址(缺省為192.168.0.234)[H3C-Vlan-interface20]undo ip address 刪除IP地址
[H3C-Vlan-interface20]ip gateway 192.168.1.1 指定缺省網關(默認無網關地址)[H3C-Vlan-interface20]undo ip gateway [H3C-Vlan-interface20]shutdown 關閉接口 [H3C-Vlan-interface20]undo shutdown 開啟 [H3C]display ip 顯示管理VLAN接口IP的相關信息
[H3C]display interface vlan-interface 20 查看管理VLAN的接口信息
[H3C-Ethernet0/3]broadcast-suppression 20 設置抑制廣播百分比為20%,可取5,10,20,100,缺省為100,同時組播和未知單播也受此影響
[H3C-Ethernet0/3]loopback internal 內環測試
[H3C-Ethernet0/3]loopback external 外環測試,需插接自環頭,必須為全雙工或者自協商模式 [H3C-Ethernet0/3]port link-type trunk 設置鏈路的類型為trunk,可為access(缺省),trunk [H3C-Ethernet0/3]port trunk pvid vlan 20 設置20為該trunk的缺省VLAN,默認為1(trunk線路兩端的PVID必須一致)[H3C-Ethernet0/3]port access vlan 20 將當前access端口加入指定的VLAN [H3C-Ethernet0/3]port trunk permit vlan all 允許所有的VLAN通過當前的trunk端口,可多次使用該命令
[H3C-Ethernet0/3]mdi auto 設置以太端口為自動監測,normal(缺省)為直通線,across為交叉線 [H3C]link-aggregation Ethernet 0/1 to Ethernet 0/4 將1-4口加入匯聚組,1為主端口,兩端需要同時配置,設置了端口鏡像以及端口隔離的端口無法匯聚 [H3C]undo link-aggregation Ethernet 0/1 刪除該匯聚組
[H3C]link-aggregation mode egress 配置端口匯聚模式為根據目的MAC地址進行負荷分擔,可選為 ingress,egress和both,缺省為both [H3C]monitor-port Ethernet 0/2 將該端口設置為鏡像端口,必須先設置鏡像端口,刪除時必須先刪除被鏡像端口,而且它們不能同在一個端口,該端口不能在匯聚組中,設置新鏡像端口時,新取代舊,被鏡像不變
[H3C]mirroring-port Ethernet 0/3 to Ethernet 0/4 both 將端口3和4設置為被鏡像端口,both為同時監控接收和發送的報文,inbound表示僅監控接收的報文,outbound表示僅監控發送的報文
[H3C]display mirror [H3C]display interface Ethernet 0/3
[H3C]display link-aggregation Ethernet 0/3 顯示端口匯聚信息 [H3C-Ethernet0/3]virtual-cable-test 診斷該端口的電路狀況 五.VLAN配置: [H3C]vlan 2 [H3C]undo vlan all 刪除除缺省VLAN外的所有VLAN,缺省VLAN不能被刪除
[H3C-vlan2]port Ethernet 0/4 to Ethernet 0/7 將4到7號端口加入到VLAN2中,此命令只能用來加access端口,不能用來增加trunk或者hybrid端口
[H3C-vlan2]port-isolate enable 打開VLAN內端口隔離特性,不能二層轉發,默認不啟用該功能
[H3C-Ethernet0/4]port-isolate uplink-port vlan 2 設置4為VLAN2的隔離上行端口,用于轉發二層數據,只能配置一個上行端口,若為trunk,則建議允許所有VLAN通過,隔離不能與匯聚同時配置
[H3C]display vlan all 顯示所有VLAN的詳細信息
S1550E支持基于端口的VLAN,通過創建不同的user-group來實現,一個端口可以屬于多個user-group,不屬于同一個user-group的端口不能互相通信,最多支持50個user-group [H3C]user-group 20 創建user-group 20,默認只存在user-group 1 [H3C-UserGroup20]port Ethernet 0/4 to Ethernet 0/7 將4到7號端口加入到VLAN20中,初始時都屬于user-group 1中
[H3C]display user-group 20 顯示user-group 20的相關信息 六.集群配置: S2100只能作為成員交換機加入集群中,加入后系統名改為“集群名_成員編號.原系統名”的格式.即插即用功能通過兩個功能實現: 集群管理協議MAC組播地址協商和管理VLAN協商 [H3C]cluster enable 啟用群集功能,缺省為啟用 [H3C]cluster 進入群集視圖
[H3C-cluster]administrator-address H-H-H name switch H-H-H為命令交換機的MAC,加入switch集群 [switch_1.H3C-cluster]undo administrator-address 退出集群 [H3C]display cluster 顯示集群信息
[H3C]management-vlan 2 集群報文只能在管理VLAN中轉發,同一集群需在同一個管理VLAN中,需在建立集群之前指定管理VLAN
[H3C]info-center loghost ip 192.168.0.3 向指定日志主機(只能為UNIX或LINUX,不能為Windows)輸出信息,需先開啟日志功能,缺省關閉
[H3C]info-center loghost level 8 設置系統日志級別為8,默認為5.級別說明:1.emergencies 2.alerts 3.critical 4.errors 5.warnings 6.notifications 7.informational 8.debugging
[H3C]display ndp interface Ethernet 0/1 顯示指定端口NDP發現的鄰居信息
HABP包括服務器和客戶端,由服務器定期發送請求,客戶端進行應答,并向下進行轉發,服務器一般啟動在管理設備上,客戶機在下掛設備上啟動,1550E只支持客戶端。[H3C]habp enable 啟動HABP特性,缺省即啟動,啟動后即缺省為客戶機模式
NTDP即鄰居拓撲發現協議,用來收集網絡拓撲信息的協議,與NDP協議一起工作,用于集群管理,S1550E的配置主要包括開啟與關閉功能能,開啟與關閉調試功能
[H3C]ntdp enable 缺省情況下為開啟的
[H3C-Ethernet0/3]ntdp enable 缺省情況下為使能
[H3C]snmp-agent community read bigheap 設置bigheap團體,且為只讀訪問
[H3C]snmp-agent max-size 1600 設置Agent能接受/發送的SNMP消息包最大為1600字節,缺省1500 [H3C]snmp-agent sys-info contact #27345 location Diqiu version v2c 設置系統信息,版本為v2c,缺省情況下聯系信息為“R&D Hangzhou, H3C Technologies co.,Ltd.”,位置為“Hangzhou China”,v2c版本
[H3C]undo snmp-agent 禁止SNMP Agent的運行,若配置任何SNMP命令將重新啟動SNMP Agent [H3C]display snmp-agent community read [H3C]display snmp-agent sys-info contact [H3C]display snmp-agent sys-info location [H3C]display snmp-agent sys-info version
IGMP Snooping配置包括:啟動和關閉IGMP Snooping,配置路由器端口老化時間,配置最大響應查詢時間,配置組播組成員端口老化時間,配置端口快速離開,調試功能
[H3C]igmp-snooping 啟用IGMP Snooping功能,默認為關閉
[H3C]igmp-snooping router-aging-time 500 配置路由器端口老化時間為500s,默認為105s [H3C]igmp-snooping max-response-time 15 配置最大響應查詢時間為15s,默認為10s [H3C]igmp-snooping host-aging-time 300 配置組播組成員端口老化時間為300s,默認為260s [H3C-Ethernet0/3]igmp-snooping fast-leave 配置快速離開,若收到離開報文,則立即刪除端口,不詢問 [H3C]display igmp-snooping configuration 顯示配置信息 [H3C]display igmp-snooping statistics 顯示包統計信息
[H3C]display igmp-snooping group vlan 2 顯示VLAN2中IP組播組和MAC組播組的信息
[H3C-Ethernet0/3]dot1x port-control unauthorized-force 設置工作模式為強制非授權模式,使用 模式與dot1x命令相同,默認為auto,即通過了認證才可以訪問,還有authorized-force,為強制授權 模式,允許用戶訪問
[H3C-Ethernet0/3]dot1x port-method portbased 設置接入控制方式為基于端口的,使用模式與 dot1x命令相同,默認為macbase,基于MAC地址的
[H3C-Ethernet0/3]dot1x max-user 10 設置端口接入用戶的數量最大為10個,使用模式與dot1x命令 相同,默認為128,取值范圍為1-128 [H3C]dot1x authentication-method eap 設置802.1x的用戶認證方法為EAP,即EAP中繼,直接用EAP報 文發送到服務器,需服務器支持
[H3C-Ethernet0/3]dot1x re-authenticate 開啟802.1x重認證功能使交換機以一定時間間隔周期性 的進行認證,使用模式同dot1x命令,缺省情況下所有端口該特性都關閉
[H3C]dot1x timer handshake-period 20 reauth-period 7200 quiet-period 30 tx-period 20 supp-timeout 20 server-timeout 200 設置802.1x認證的定時器,handshake-period為認證成功后, 系統以此間隔為周期發送握手請求報文(相當于keepalive消息發送間隔),1-1024s,默認15s.reauth-period為重認證超時定時器,1-86400s,默認3600s.quiet-period為用戶認證失敗后,Autheticator的靜默定時器,靜默后再處理認證,10-120s,默認60s.tx-period為傳送超時定時器,Supplicant未成功發送認證應答報文,則重發認證請求,10-120s,默認 為30s.supp-timeout為認證超時定時器,Supplicant未成功響應,則重發認證請求,10-120s,默認30s.server-timeout為服務器未成功響應的超時定時器,100-300s,默認100s.
[H3C]display dot1x statistics 顯示802.1x的配置,運行情況和統計信息
[H3C-radius-system]primary authentication 10.110.1.1 1812 設置RADIUS服務器地址和UDP端口 號,默認情況下,system方案中服務器IP地址為空,UDP端口號為1812 [H3C-radius-system]key authentication 123 指示RADIUS加密共享密鑰為123,默認無共享密鑰 [H3C-radius-system]timer 10 設置RADIUS服務器響應超時定時器,1-10s,默認為5s [H3C-radius-system]retry 10 設置RADIUS服務器最大響應重試次數為10,1-20次,默認為5次 [H3C]display radius 顯示radius方案信息
[Quidway]dis cur ;顯示當前配置
[Quidway]display current-configuration ;顯示當前配置 [Quidway]display interfaces ;顯示接口信息 [Quidway]display vlan all ;顯示路由信息 [Quidway]display version ;顯示版本信息 [Quidway]super password ;修改特權用戶密碼 [Quidway]sysname x ;交換機命名為x [Quidway]interface ethernet 0/1 ;進入接口視圖 [Quidway]interface vlan x ;進入接口視圖
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;靜態路由=網關 [Quidway]rip ;三層交換支持 [Quidway]local-user ftp
[Quidway]user-interface vty 0 4 ;進入虛擬終端
[S3026-ui-vty0-4]authentication-mode password ;設置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ;設置口令 [S3026-ui-vty0-4]user privilege level 3 ;用戶級別
[Quidway]interface ethernet 0/1 ;進入端口模式 [Quidway]int e0/1 ;進入端口模式
[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作狀態 [Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率 [Quidway-Ethernet0/1]flow-control ;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;設置端口工作模式 [Quidway-Ethernet0/1]port access vlan 3 ;當前端口加入到VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;設trunk允許的VLAN [Quidway-Ethernet0/3]port trunk pvid vlan 3 ;設置trunk端口的PVID [Quidway-Ethernet0/1]undo shutdown ;激活端口 [Quidway-Ethernet0/1]shutdown ;關閉端口 [Quidway-Ethernet0/1]quit ;返回
[Quidway]vlan 3 ;創建VLAN [Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加端口 [Quidway-vlan3]port e0/1 ;簡寫方式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口 [Quidway-vlan3]port e0/1 to e0/4 ;簡寫方式
[Quidway]monitor-port
[Quidway]port mirror int_list observing-port int_type int_num ;指定鏡像和被鏡像
[Quidway]description string ;指定VLAN描述字符 [Quidway]description ;刪除VLAN描述字符 [Quidway]display vlan [vlan_id] ;查看VLAN設置
[Quidway]stp {enable|disable} ;設置生成樹,默認關閉 [Quidway]stp priority 4096 ;設置交換機的優先級
[Quidway]stp root {primary|secondary} ;設置為根或根的備份 [Quidway-Ethernet0/1]stp cost 200 ;設置交換機端口的花費
[Quidway]link-aggregation e0/1 to e0/4 ingress|both;端口的聚合 [Quidway]undo link-aggregation e0/1|all;始端口為通道號
[SwitchA-vlanx]isolate-user-vlan enable ;設置主vlan [SwitchA]isolate-user-vlan ;設置主vlan包括的子vlan [Quidway-Ethernet0/2]port hybrid pvid vlan
[Quidway] snmp-agent
啟用 SNMP Agent服務 [Quidway]user-interface vty 0 4
;進入虛擬終端
[S3026-ui-vty0-4]authentication-mode password
;設置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ;設置口令 [S3026-ui-vty0-4]user privilege level 3
;用戶級別
實際操作2014年1月2日:1.9 VLAN 典型配置舉例
1.組網需求
Device A 與對端Device B 使用Trunk 端口GigabitEthernet1/0/1 相連;
該端口的缺省 VLAN ID 為100;
該端口允許 VLAN2、VLAN6 到VLAN50、VLAN100 的報文通過。2.組網圖
3.配置步驟
(1)配置Device A # 創建VLAN2、VLAN6 到VLAN50、VLAN100。
[DeviceA] interface GigabitEthernet 1/0/1 # 配置GigabitEthernet1/0/1 為Trunk 端口,并配置端口的缺省VLAN ID 為100。
[DeviceA-GigabitEthernet1/0/1] port link-type trunk [DeviceA-GigabitEthernet1/0/1] port trunk pvid vlan 100 # 配置GigabitEthernet1/0/1 禁止VLAN1 的報文通過(所有端口缺省情況下都是允 許VLAN1 的報文通過的)。
[DeviceA-GigabitEthernet1/0/1] undo port trunk permit vlan 1 # 配置GigabitEthernet1/0/1 允許VLAN2、VLAN6 到VLAN50、VLAN100 的報文 通過。
[DeviceA-GigabitEthernet1/0/1] port trunk permit vlan 2 6 to 50 100 Please wait...Done.(2)配置Device B,與設備A 配置步驟雷同,不再贅述。4.顯示與驗證
此處以 Device A 的驗證為例,Device B 的驗證與此類似,不再贅述。
# 查看Device A 的GigabitEthernet1/0/1 的相關信息,驗證以上配置是否生效。
在用戶界面下配置interface bridge-aggregation 序號(只能為數字),比如interface bridge-aggregation 1。在你要聚合的端口下比如23和24號端口聚合的話,打INT G1/0/24 在這個端口的界面下打port link-aggregation group 1就加入聚合組了。另一個端口以此類推。兩端交換都要做聚合。這個是V5版本的靜態聚合模式的配置。V3版本的配置方式和命令都不一樣是如下配置
在用戶界面下link-aggregation group 序號(如1)mode static,在接口的視圖下如INT G1/0/24 下打port link-aggregation group 1,另外的端口以此類推。聚合就建立了。注意下如果V5版本配置聚合組到VLAN或做TRUNK是直接在聚合組下配置,V3則是在聚合的每端口下配置(配置要一樣)否則聚合無效。E=100M端口 G=1000端口 T=萬M端口
第三篇:思科交換機配置命令總結
思科交換機配置命令總結
1.switch(config)# hostname hostname 在基于CLI的交換機上設置主機名/系統名: switch(enable)set system name name-string 2.在基于IOS的交換機上設置登錄口令: switch(config)# enable password level 1 password 在基于CLI的交換機上設置登錄口令: switch(enable)set password switch(enable)set enalbepass 3.在基于IOS的交換機上設置遠程訪問: switch(config)# interface vlan 1 switch(config-if)# ip address ip-address netmask switch(config-if)# ip default-gateway ip-address 在基于CLI的交換機上設置遠程訪問: switch(enable)set interface sc0 ip-address netmask broadcast-address switch(enable)set interface sc0 vlan switch(enable)set ip route default gateway 4.在基于IOS的交換機上啟用和瀏覽CDP信息: switch(config-if)# cdp enable switch(config-if)# no cdp enable 為了查看Cisco鄰接設備的CDP通告信息: switch# show cdp interface [type modle/port] switch# show cdp neighbors [type module/port] [detail] 在基于CLI的交換機上啟用和瀏覽CDP信息: switch(enable)set cdp {enable|disable} module/port 為了查看Cisco鄰接設備的CDP通告信息: switch(enable)show cdp neighbors[module/port] [vlan|duplex|capabilities|detail] 5.基于IOS的交換機的端口描述: switch(config-if)# description description-string 基于CLI的交換機的端口描述: switch(enable)set port name module/number description-string 6.在基于IOS的交換機上設置端口速度: switch(config-if)# speed{10|100|auto} 在基于CLI的交換機上設置端口速度: switch(enable)set port speed moudle/number {10|100|auto} switch(enable)set port speed moudle/number {4|16|auto} 7.在基于IOS的交換機上設置以太網的鏈路模式: switch(config-if)# duplex {auto|full|half} 在基于CLI的交換機上設置以太網的鏈路模式: switch(enable)set port duplex module/number {full|half} 8.在基于IOS的交換機上配置靜態VLAN: switch# vlan database switch(vlan)# vlan vlan-num name vla switch(vlan)# exit switch# configure teriminal switch(config)# interface interface module/number switch(config-if)# switchport mode access switch(config-if)# switchport access vlan vlan-num switch(config-if)# end 在基于CLI的交換機上配置靜態VLAN: switch(enable)set vlan vlan-num [name name] switch(enable)set vlan vlan-num mod-num/port-list 9.在基于IOS的交換機上配置VLAN中繼線: switch(config)# interface interface mod/port switch(config-if)# switchport mode trunk switch(config-if)# switchport trunk encapsulation {isl|dotlq} switch(config-if)# switchport trunk allowed vlan remove vlan-list switch(config-if)# switchport trunk allowed vlan add vlan-list 在基于CLI的交換機上配置VLAN中繼線: switch(enable)set trunk module/port [on|off|desirable|auto|nonegotiate] Vlan-range [isl|dotlq|dotl0|lane|negotiate] 10.在基于IOS的交換機上配置VTP管理域: switch# vlan database switch(vlan)# vtp domain domain-name 在基于CLI的交換機上配置VTP管理域: switch(enable)set vtp [domain domain-name] 11.在基于IOS的交換機上配置VTP 模式: switch# vlan database switch(vlan)# vtp domain domain-name switch(vlan)# vtp {sever|cilent|transparent} switch(vlan)# vtp password password 在基于CLI的交換機上配置VTP 模式: switch(enable)set vtp [domain domain-name] [mode{ sever|cilent|transparent }][password password] 12.在基于IOS的交換機上配置VTP版本: switch# vlan database switch(vlan)# vtp v2-mode 在基于CLI的交換機上配置VTP版本: switch(enable)set vtp v2 enable 13.在基于IOS的交換機上啟動VTP剪裁: switch# vlan database switch(vlan)# vtp pruning 在基于CL I 的交換機上啟動VTP剪裁: switch(enable)set vtp pruning enable 14.在基于IOS的交換機上配置以太信道: switch(config-if)# port group group-number [distribution {source|destination}] 在基于CLI的交換機上配置以太信道: switch(enable)set port channel moudle/port-range mode{on|off|desirable|auto} 15.在基于IOS的交換機上調整根路徑成本: switch(config-if)# spanning-tree [vlan vlan-list] cost cost 在基于CLI的交換機上調整根路徑成本: switch(enable)set spantree portcost moudle/port cost switch(enable)set spantree portvlancost moudle/port [cost cost][vlan-list] 16.在基于IOS的交換機上調整端口ID: switch(config-if)# spanning-tree[vlan vlan-list]port-priority port-priority 在基于CLI的交換機上調整端口ID: switch(enable)set spantree portpri {mldule/port}priority switch(enable)set spantree portvlanpri {module/port}priority [vlans] 17.在基于IOS的交換機上修改STP時鐘: switch(config)# spanning-tree [vlan vlan-list] hello-time seconds switch(config)# spanning-tree [vlan vlan-list] forward-time seconds ` switch(config)# spanning-tree [vlan vlan-list] max-age seconds 在基于CLI的交換機上修改STP時鐘: switch(enable)set spantree hello interval[vlan] switch(enable)set spantree fwddelay delay [vlan] switch(enable)set spantree maxage agingtiame[vlan] 18.在基于IOS的交換機端口上啟用或禁用Port Fast 特征: switch(config-if)#spanning-tree portfast 在基于CLI的交換機端口上啟用或禁用Port Fast 特征: switch(enable)set spantree portfast {module/port}{enable|disable} 19.在基于IOS的交換機端口上啟用或禁用UplinkFast 特征: switch(config)# spanning-tree uplinkfast [max-update-rate pkts-per-second] 在基于CLI的交換機端口上啟用或禁用UplinkFast 特征: switch(enable)set spantree uplinkfast {enable|disable}[rate update-rate] [all-protocols off|on] 20.為了將交換機配置成一個集群的命令交換機,首先要給管理接口分配一個IP地址,然后使用下列命令: switch(config)# cluster enable cluster-name 21.為了從一條中繼鏈路上刪除VLAN,可使用下列命令: switch(enable)clear trunk module/port vlan-range 22.用show vtp domain 顯示管理域的VTP參數.23.用show vtp statistics顯示管理域的VTP參數.24.在Catalyst交換機上定義TrBRF的命令如下: switch(enable)set vlan vlan-name [name name] type trbrf bridge bridge-num[stp {ieee|ibm}] 25.在Catalyst交換機上定義TrCRF的命令如下: switch(enable)set vlan vlan-num [name name] type trcrf {ring hex-ring-num|decring decimal-ring-num} parent vlan-num 26.在創建好TrBRF VLAN之后,就可以給它分配交換機端口.對于以太網交換,可以采用如下命令給VLAN分配端口: switch(enable)set vlan vlan-num mod-num/port-num 27.命令show spantree顯示一個交換機端口的STP狀態.28.配置一個ELAN的LES和BUS,可以使用下列命令: ATM(config)# interface atm number.subint multioint ATM(config-subif)# lane serber-bus ethernet elan-name 29.配置LECS: ATM(config)# lane database database-name ATM(lane-config-databade)# name elan1-name server-atm-address les1-nsap-address ATM(lane-config-databade)# name elan2-name server-atm-address les2-nsap-address ATM(lane-config-databade)# name …
30.創建完數據庫后,必須在主接口上啟動LECS.命令如下: ATM(config)# interface atm number ATM(config-if)# lane config database database-name ATM(config-if)# lane config auto-config-atm-address 31.將每個LEC配置到一個不同的ATM子接口上.命令如下: ATM(config)# interface atm number.subint multipoint ATM(config)# lane client ethernet vlan-num elan-num 32.用show lane server 顯示LES的狀態.33.用show lane bus顯示bus的狀態.34.用show lane database顯示LECS數據庫可內容.35.用show lane client顯示LEC的狀態.36.用show module顯示已安裝的模塊列表.37.用物理接口建立與VLAN的連接: router# configure terminal router(config)# interface media module/port router(config-if)# description description-string router(config-if)# ip address ip-addr subnet-mask router(config-if)# no shutdown 38.用中繼鏈路來建立與VLAN的連接: router(config)# interface module/port.subinterface router(config-ig)# encapsulation[isl|dotlq] vlan-number router(config-if)# ip address ip-address subnet-mask 39.用LANE 來建立與VLAN的連接: router(config)# interface atm module/port router(config-if)# no ip address router(config-if)# atm pvc 1 0 5 qsaal router(config-if)# atm pvc 2 0 16 ilni router(config-if)# interface atm module/port.subinterface multipoint router(config-if)# ip address ip-address subnet-mask router(config-if)# lane client ethernet elan-num router(config-if)# interface atm module/port.subinterface multipoint router(config-if)# ip address ip-address subnet-name router(config-if)# lane client ethernet elan-name router(config-if)# …
40.為了在路由處理器上進行動態路由配置,可以用下列IOS命令來進行: router(config)# ip routing router(config)# router ip-routing-protocol router(config-router)# network ip-network-number router(config-router)# network ip-network-number 41.配置默認路由: switch(enable)set ip route default gateway 42.為一個路由處理器分配VLANID,可在接口模式下使用下列命令: router(config)# interface interface number router(config-if)# mls rp vlan-id vlan-id-num 43.在路由處理器啟用MLSP: router(config)# mls rp ip 44.為了把一個外置的路由處理器接口和交換機安置在同一個VTP域中: router(config)# interface interface number router(config-if)# mls rp vtp-domain domain-name 45.查看指定的VTP域的信息: router# show mls rp vtp-domain vtp domain name 46.要確定RSM或路由器上的管理接口,可以在接口模式下輸入下列命令: router(config-if)#mls rp management-interface 47.要檢驗MLS-RP的配置情況: router# show mls rp 48.檢驗特定接口上的MLS配置:
router# show mls rp interface interface number 49.為了在MLS-SE上設置流掩碼而又不想在任一個路由處理器接口上設置訪問列表: set mls flow [destination|destination-source|full] 50.為使MLS和輸入訪問列表可以兼容,可以在全局模式下使用下列命令: router(config)# mls rp ip input-acl [page] 51.當某個交換機的第3層交換失效時,可在交換機的特權模式下輸入下列命令: switch(enable)set mls enable 52.若想改變老化時間的值,可在特權模式下輸入以下命令: switch(enable)set mls agingtime agingtime 53.設置快速老化:
switch(enable)set mls agingtime fast fastagingtime pkt_threshold 54.確定那些MLS-RP和MLS-SE參與了MLS,可先顯示交換機引用列表中的內容再確定: switch(enable)show mls include 55.顯示MLS高速緩存記錄: switch(enable)show mls entry 56.用命令show in arp顯示ARP高速緩存區的內容。
57.要把路由器配置為HSRP備份組的成員,可以在接口配置模式下使用下面的命令: router(config-if)# standby group-number ip ip-address 58.為了使一個路由器重新恢復轉發路由器的角色,在接口配置模式下: router(config-if)# standy group-number preempt 59.訪問時間和保持時間參數是可配置的:
router(config-if)# standy group-number timers hellotime holdtime 60.配置HSRP跟蹤:
router(config-if)# standy group-number track type-number interface-priority 61.要顯示HSRP路由器的狀態:
router# show standby type-number group brief 62.用命令show ip igmp確定當選的查詢器。63.啟動IP組播路由選擇:
router(config)# ip muticast-routing 64.啟動接口上的PIM:
dalllasr1>(config-if)# ip pim {dense-mode|sparse-mode|sparse-dense-mode} 65.啟動稀疏-稠密模式下的PIM: router# ip multicast-routing router# interface type number router# ip pim sparse-dense-mode 66.核實PIM的配置:
dallasr1># show ip pim interface[type number] [count] 67.顯示PIM鄰居:
dallasr1># show ip neighbor type number 68.為了配置RP的地址,命令如下:
dallasr1># ip pim rp-address ip-address [group-access-list-number][override] 69.選擇一個默認的RP: dallasr1># ip pim rp-address 通告RP和它所服務的組范圍:
dallasr1># ip pim send-rp-announce type number scope ttl group-list access-list-number 為管理范圍組通告RP的地址:
dallasr1># ip pim send-rp-announce ethernet0 scope 16 group-list1 dallasr1># access-list 1 permit 266.0.0.0 0.255.255.255 設定一個RP映像代理:
dallasr1># ip pim send-rp-discovery scope ttl 核實組到RP的映像:
dallasr1># show ip pim rp mapping dallasr1># show ip pim rp [group-name|group-address] [mapping] 70.在路由器接口上用命令ip multicast ttl-threshold ttl-value設定TTL閥值: dallasr1>(config-if)# ip multicast ttl-threshold ttl-value 71.用show ip pim neighbor顯示PIM鄰居表。72.顯示組播通信路由表中的各條記錄:
dallasr1>show ip mroute [group-name|group-address][scoure][summary][count][active kbps] 73.要記錄一個路由器接受和發送的全部IP組播包:
dallasr1> #debug ip mpacket [detail] [access-list][group] 74.要在CISCO路由器上配置CGMP: dallasr1>(config-if)# ip cgmp 75.配置一個組播路由器,使之加入某一個特定的組播組: dallasr1>(config-if)# ip igmp join-group group-address 76.關閉 CGMP:
dallasr1>(config-if)# no ip cgmp 77.啟動交換機上的CGMP:
dallasr1>(enable)set cgmp enable 78.核實Catalyst交換機上CGMP的配置情況: catalystla1>(enable)show config set prompt catalystla1> set interface sc0 192.168.1.1 255.255.255.0 set cgmp enable 79.CGMP離開的設置:
Dallas_SW(enable)set cgmp leave 80.在Cisco設備上修改控制端口密碼: R1(config)# line console 0 R1(config-line)# login R1(config-line)# password Lisbon R1(config)# enable password Lilbao R1(config)# login local R1(config)# username student password cisco 81.在Cisco設備上設置控制臺及vty端口的會話超時: R1(config)# line console 0 R1(config-line)# exec-timeout 5 10 R1(config)# line vty 0 4 R1(config-line)# exec-timeout 5 2 82.在Cisco設備上設定特權級:
R1(config)# privilege configure level 3 username R1(config)# privilege configure level 3 copy run start R1(config)# privilege configure level 3 ping R1(config)# privilege configure level 3 show run R1(config)# enable secret level 3 cisco 83.使用命令privilege 可定義在該特權級下使用的命令: router(config)# privilege mode level level command 84.設定用戶特權級:
router(config)# enable secret level 3 dallas router(config)# enable secret san-fran router(config)# username student password cisco 85.標志設置與顯示:
R1(config)# banner motd ‘unauthorized access will be prosecuted!’ 86.設置vty訪問:
R1(config)# access-list 1 permit 192.168.2.5 R1(config)# line vty 0 4 R1(config)# access-class 1 in 87.配置HTTP訪問:
Router3(config)# access-list 1 permit 192.168.10.7 Router3(config)# ip http sever Router3(config)# ip http access-class 1 Router3(config)# ip http authentication local Router3(config)# username student password cisco 88.要啟用HTTP訪問,請鍵入以下命令: switch(config)# ip http sever 89.在基于set命令的交換機上用setCL1啟動和核實端口安全:
switch(enable)set port security mod_num/port_num…enable mac address switch(enable)show port mod_num/port_num 在基于CiscoIOS命令的交換機上啟動和核實端口安全:
switch(config-if)# port secure [mac-mac-count maximum-MAC-count] switch# show mac-address-table security [type module/port] 90.用命令access-list在標準通信量過濾表中創建一條記錄:
Router(config)# access-list access-list-number {permit|deny} source-address [source-address] 91.用命令access-list在擴展通信量過濾表中創建一條記錄: Router(config)# access-list access-list-number {permit|deny{protocol|protocol-keyword}}{source source-wildcard|any}{destination destination-wildcard|any}[protocol-specific options][log] 92.對于帶內路由更新,配置路由更新的最基本的命令格式是:
R1(config-router)#distribute-list access-list-number|name in [type number] 93.對于帶外路由更新,配置路由更新的最基本的命令格式是:
R1(config-router)#distribute-list access-list-number|name out [interface-name] routing-process| autonomous-system-number 94.set snmp命令選項:
set snmp community {read-only|ready-write|read-write-all}[community_string] 95.set snmp trap 命令格式如下: set snmp trap {enable|disable} [all|moudle|classis|bridge|repeater| auth|vtp|ippermit|vmps|config|entity|stpx] set snmp trap rvcr_addr rcvr_community 96.啟用SNMP chassis 陷阱: Console>(enable)set snmp trap enable chassis 97.啟用所有SNMP chassis 陷阱: Console>(enable)set snmp trap enable 98.禁用SNMP chassis 陷阱: Console>(enable)set snmp trap disable chassis 99.給SNMP陷阱接收表加一條記錄:
Console>(enable)set snmp trap 192.122.173.42 public 100.show snmp 輸出結果。
101.命令set snmp rmon enable 的輸出結果。102.顯示SPAN信息: Consile> show span
第四篇:華為路由器防火墻配置命令總結
華為路由器防火墻配置命令總結(上)
2006-01-09 14:21:29 標簽:命令 配置 防火墻 華為 休閑
一、access-list 用于創建訪問規則。
(1)創建標準訪問列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)創建擴展訪問列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)刪除訪問列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【參數說明】
normal 指定規則加入普通時間段。
special 指定規則加入特殊時間段。
listnumber1 是1到99之間的一個數值,表示規則是標準訪問列表規則。
listnumber2 是100到199之間的一個數值,表示規則是擴展訪問列表規則。
permit 表明允許滿足條件的報文通過。
deny 表明禁止滿足條件的報文通過。
protocol 為協議類型,支持ICMP、TCP、UDP等,其它的協議也支持,此時沒有端口比較的概念;為IP時有特殊含義,代表所有的IP協議。
source-addr 為源地址。
source-mask 為源地址通配位,在標準訪問列表中是可選項,不輸入則代表通配位為0.0.0.0。
dest-addr 為目的地址。
dest-mask 為目的地址通配位。
operator[可選] 端口操作符,在協議類型為TCP或UDP時支持端口比較,支持的比較操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符為range,則后面需要跟兩個端口。
port1 在協議類型為TCP或UDP時出現,可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
port2 在協議類型為TCP或UDP且操作類型為range時出現;可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
icmp-type[可選] 在協議為ICMP時出現,代表ICMP報文類型;可以是關鍵字所設定的預設值(如echo-reply)或者是0~255之間的一個數值。
icmp-code在協議為ICMP且沒有選擇所設定的預設值時出現;代表ICMP碼,是0~255之間的一個數值。
log [可選] 表示如果報文符合條件,需要做日志。
listnumber 為刪除的規則序號,是1~199之間的一個數值。
subitem[可選] 指定刪除序號為listnumber的訪問列表中規則的序號。
【缺省情況】
系統缺省不配置任何訪問規則。
【命令模式】
全局配置模式
【使用指南】
同一個序號的規則可以看作一類規則;所定義的規則不僅可以用來在接口上過濾報文,也可以被如DDR等用來判斷一個報文是否是感興趣的報文,此時,permit與deny表示是感興趣的還是不感興趣的。
使用協議域為IP的擴展訪問列表來表示所有的IP協議。
同一個序號之間的規則按照一定的原則進行排列和選擇,這個順序可以通過 show access-list 命令看到。
【舉例】
允許源地址為10.1.1.0 網絡、目的地址為10.1.2.0網絡的WWW訪問,但不允許使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相關命令】
ip access-group
二、clear access-list counters 清除訪問列表規則的統計信息。
clear access-list counters [ listnumber ]
【參數說明】
listnumber [可選] 要清除統計信息的規則的序號,如不指定,則清除所有的規則的統計信息。
【缺省情況】
任何時候都不清除統計信息。
【命令模式】
特權用戶模式
【使用指南】
使用此命令來清除當前所用規則的統計信息,不指定規則編號則清除所有規則的統計信息。
【舉例】
例1:清除當前所使用的序號為100的規則的統計信息。
Quidway#clear access-list counters 100
例2:清除當前所使用的所有規則的統計信息。
Quidway#clear access-list counters
【相關命令】
access-list
三、firewall 啟用或禁止防火墻。
firewall { enable | disable }
【參數說明】
enable 表示啟用防火墻。
disable 表示禁止防火墻。
【缺省情況】
系統缺省為禁止防火墻。
【命令模式】
全局配置模式
【使用指南】
使用此命令來啟用或禁止防火墻,可以通過show firewall命令看到相應結果。如果采用了時間段包過濾,則在防火墻被關閉時也將被關閉;該命令控制防火墻的總開關。在使用 firewall disable 命令關閉防火墻時,防火墻本身的統計信息也將被清除。
【舉例】
啟用防火墻。
Quidway(config)#firewall enable
【相關命令】
access-list,ip access-group
四、firewall default 配置防火墻在沒有相應的訪問規則匹配時,缺省的過濾方式。
firewall default { permit | deny }
【參數說明】
permit 表示缺省過濾屬性設置為“允許”。
deny 表示缺省過濾屬性設置為“禁止”。
【缺省情況】
在防火墻開啟的情況下,報文被缺省允許通過。
【命令模式】
全局配置模式
【使用指南】
當在接口應用的規則沒有一個能夠判斷一個報文是否應該被允許還是禁止時,缺省的過濾屬性將起作用;如果缺省過濾屬性是“允許”,則報文可以通過,否則報文被丟棄。
【舉例】
設置缺省過濾屬性為“允許”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令將規則應用到接口上。使用此命令的no形式來刪除相應的設置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【參數說明】
listnumber 為規則序號,是1~199之間的一個數值。
in 表示規則用于過濾從接口收上來的報文。
out 表示規則用于過濾從接口轉發的報文。
【缺省情況】
沒有規則應用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令來將規則應用到接口上;如果要過濾從接口收上來的報文,則使用 in 關鍵字;如果要過濾從接口轉發的報文,使用out 關鍵字。一個接口的一個方向上最多可以應用20類不同的規則;這些規則之間按照規則序號的大小進行排列,序號大的排在前面,也就是優先級高。對報文進行過濾時,將采用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以,建議在配置規則時,盡量將對同一個網絡配置的規則放在同一個序號的訪問列表中;在同一個序號的訪問列表中,規則之間的排列和選擇順序可以用show access-list命令來查看。
【舉例】
將規則101應用于過濾從以太網口收上來的報文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相關命令】
access-list 華為路由器防火墻配置命令總結(下)
2006-01-09 14:21:59 標簽:命令 配置 防火墻 華為 休閑
六、settr 設定或取消特殊時間段。
settr begin-time end-time
no settr
【參數說明】
begin-time 為一個時間段的開始時間。
end-time 為一個時間段的結束時間,應該大于開始時間。
【缺省情況】
系統缺省沒有設置時間段,即認為全部為普通時間段。
【命令模式】
全局配置模式
【使用指南】
使用此命令來設置時間段;可以最多同時設置6個時間段,通過show timerange 命令可以看到所設置的時間。如果在已經使用了一個時間段的情況下改變時間段,則此修改將在一分鐘左右生效(系統查詢時間段的時間間隔)。設置的時間應該是24小時制。如果要設置類似晚上9點到早上8點的時間段,可以設置成“settr 21:00 23:59 0:00 8:00”,因為所設置的時間段的兩個端點屬于時間段之內,故不會產生時間段內外的切換。另外這個設置也經過了2000問題的測試。
【舉例】
例1:設置時間段為8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 設置時間段為晚上9點到早上8點。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相關命令】
timerange,show timerange
七、show access-list 顯示包過濾規則及在接口上的應用。
show access-list [ all | listnumber | interface interface-name]
【參數說明】
all 表示所有的規則,包括普通時間段內及特殊時間段內的規則。
listnumber 為顯示當前所使用的規則中序號為listnumber的規則。
interface 表示要顯示在指定接口上應用的規則序號。
interface-name 為接口的名稱。
【命令模式】
特權用戶模式
【使用指南】
使用此命令來顯示所指定的規則,同時查看規則過濾報文的情況。每個規則都有一個相應的計數器,如果用此規則過濾了一個報文,則計數器加1;通過對計數器的觀察可以看出所配置的規則中,哪些規則是比較有效,而哪些基本無效。可以通過帶interface關鍵字的show access-list命令來查看某個接口應用規則的情況。
【舉例】
例1:顯示當前所使用的序號為100的規則。
Quidway#show access-list 100
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)
例2: 顯示接口Serial0上應用規則的情況。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相關命令】
access-list
八、show firewall 顯示防火墻狀態。
show firewall
【命令模式】
特權用戶模式
【使用指南】
使用此命令來顯示防火墻的狀態,包括防火墻是否被啟用,啟用防火墻時是否采用了時間段包過濾及防火墻的一些統計信息。
【舉例】
顯示防火墻狀態。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相關命令】
firewall
九、show isintr 顯示當前時間是否在時間段之內。
show isintr
【命令模式】
特權用戶模式
【使用指南】
使用此命令來顯示當前時間是否在時間段之內。
【舉例】
顯示當前時間是否在時間段之內。
Quidway#show isintr
It is NOT in time ranges now.【相關命令】
timerange,settr
十、show timerange 顯示時間段包過濾的信息。
show timerange
【命令模式】
特權用戶模式
【使用指南】
使用此命令來顯示當前是否允許時間段包過濾及所設置的時間段。
【舉例】
顯示時間段包過濾的信息。
Quidway#show timerange
TimeRange packet-filtering enable.beginning of time range:
01:0004:00
end of time range.【相關命令】
timerange,settr
十一、timerange 啟用或禁止時間段包過濾功能。
timerange { enable | disable }
【參數說明】
enable 表示啟用時間段包過濾。
disable 表示禁止采用時間段包過濾。
【缺省情況】
系統缺省為禁止時間段包過濾功能。
【命令模式】
全局配置模式
【使用指南】
使用此命令來啟用或禁止時間段包過濾功能,可以通過show firewall命令看到,也可以通過show timerange命令看到配置結果。在時間段包過濾功能被啟用后,系統將根據當前的時間和設置的時間段來確定使用時間段內(特殊)的規則還是時間段外(普通)的規則。系統查詢時間段的精確度為1分鐘。所設置的時間段的兩個端點屬于時間段之內。
【舉例】
啟用時間段包過濾功能。
Quidway(config)#timerange enable
【相關命令】
settr,show timerange
第五篇:華為路由器防火墻配置命令總結
華為路由器防火墻配置命令總結
access-list 用于創建訪問規則。
(1)創建標準訪問列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)創建擴展訪問列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)刪除訪問列表
no access-list { normal | special } { all | listnumber [ subitem ] } 【參數說明】
normal 指定規則加入普通時間段。
special 指定規則加入特殊時間段。
listnumber1 是1到99之間的一個數值,表示規則是標準訪問列表規則。
listnumber2 是100到199之間的一個數值,表示規則是擴展訪問列表規則。
permit 表明允許滿足條件的報文通過。
deny 表明禁止滿足條件的報文通過。
protocol 為協議類型,支持ICMP、TCP、UDP等,其它的協議也支持,此時沒有端口比較的概念;為IP時有特殊含義,代表所有的IP協議。
source-addr 為源地址。
source-mask 為源地址通配位,在標準訪問列表中是可選項,不輸入則代表通配位為0.0.0.0。
dest-addr 為目的地址。
dest-mask 為目的地址通配位。
operator[可選] 端口操作符,在協議類型為TCP或UDP時支持端口比較,支持的比較操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符為range,則后面需要跟兩個端口。
port1 在協議類型為TCP或UDP時出現,可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
port2 在協議類型為TCP或UDP且操作類型為range時出現;可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
icmp-type[可選] 在協議為ICMP時出現,代表ICMP報文類型;可以是關鍵字所設定的預設值(如echo-reply)或者是0~255之間的一個數值。
icmp-code在協議為ICMP且沒有選擇所設定的預設值時出現;代表ICMP碼,是0~255之間的一個數值。
log [可選] 表示如果報文符合條件,需要做日志。
listnumber 為刪除的規則序號,是1~199之間的一個數值。
subitem[可選] 指定刪除序號為listnumber的訪問列表中規則的序號。
【缺省情況】 系統缺省不配置任何訪問規則。
【命令模式】 全局配置模式
【使用指南】 同一個序號的規則可以看作一類規則;所定義的規則不僅可以用來在接口上過濾報文,也可以被如DDR等用來判斷一個報文是否是感興趣的報文,此時,permit與deny表示是感興趣的還是不感興趣的。使用協議域為IP的擴展訪問列表來表示所有的IP協議。同一個序號之間的規則按照一定的原則進行排列和選擇,這個順序可以通過 show access-list 命令看到。
【舉例】 允許源地址為10.1.1.0 網絡、目的地址為10.1.2.0網絡的WWW訪問,但不允許使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 【相關命令】 ip access-group
【命令】clear access-list counters [ listnumber ] 【參數說明】 listnumber [可選] 要清除統計信息的規則的序號,如不指定,則清除所有的規則的統計信息。
【缺省情況】 任何時候都不清除統計信息。
【命令模式】 特權用戶模式
【使用指南】 使用此命令來清除當前所用規則的統計信息,不指定規則編號則清除所有規則的統計信息。
【舉例】 例1:清除當前所使用的序號為100的規則的統計信息。
Quidway#clear access-list counters 100
例2:清除當前所使用的所有規則的統計信息。
Quidway#clear access-list counters 【相關命令】 access-list
【命令】firewall { enable | disable }
【參數說明】
enable 表示啟用防火墻。disable 表示禁止防火墻。
【缺省情況】系統缺省為禁止防火墻。
【命令模式】全局配置模式
【使用指南】使用此命令來啟用或禁止防火墻,可以通過show firewall命令看到相應結果。如果采用了時間段包過濾,則在防火墻被關閉時也將被關閉;該命令控制防火墻的總開關。在使用 firewall disable 命令關閉防火墻時,防火墻本身的統計信息也將被清除。
【舉例】啟用防火墻。Quidway(config)#firewall enable
【相關命令】 access-list,ip access-group
【命令】firewall default { permit | deny }
【參數說明】permit 表示缺省過濾屬性設置為“允許”。deny 表示缺省過濾屬性設置為“禁止”。
【缺省情況】在防火墻開啟的情況下,報文被缺省允許通過。
【命令模式】全局配置模式
【使用指南】當在接口應用的規則沒有一個能夠判斷一個報文是否應該被允許還是禁止時,缺省的過濾屬性將起作用;如果缺省過濾屬性是“允許”,則報文可以通過,否則報文被丟棄。
【舉例】設置缺省過濾屬性為“允許”。
Quidway(config)#firewall default permit
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【參數說明】listnumber 為規則序號,是1~199之間的一個數值。in 表示規則用于過濾從接口收上來的報文。out 表示規則用于過濾從接口轉發的報文。
【缺省情況】沒有規則應用于接口。
【命令模式】 接口配置模式。
【使用指南】使用此命令來將規則應用到接口上;如果要過濾從接口收上來的報文,則使用 in 關鍵字;如果要過濾從接口轉發的報文,使用out 關鍵字。一個接口的一個方向上最多可以應用20類不同的規則;這些規則之間按照規則序號的大小進行排列,序號大的排在前面,也就是優先級高。對報文進行過濾時,將采用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以,建議在配置規則時,盡量將對同一個網絡配置的規則放在同一個序號的訪問列表中;在同一個序號的訪問列表中,規則之間的排列和選擇順序可以用show access-list命令來查看。
【舉例】 將規則101應用于過濾從以太網口收上來的報文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相關命令】 access-list
六、settr 設定或取消特殊時間段。
【命令】settr begin-time end-time no settr
【參數說明】 begin-time 為一個時間段的開始時間。
end-time 為一個時間段的結束時間,應該大于開始時間。
【缺省情況】系統缺省沒有設置時間段,即認為全部為普通時間段。
【命令模式】 全局配置模式
【使用指南】 使用此命令來設置時間段;可以最多同時設置6個時間段,通過show timerange 命令可以看到所設置的時間。如果在已經使用了一個時間段的情況下改變時間段,則此修改將在一分鐘左右生效(系統查詢時間段的時間間隔)。設置的時間應該是24小時制。如果要設置類似晚上9點到早上8點的時間段,可以設置成“settr 21:00 23:59 0:00 8:00”,因為所設置的時間段的兩個端點屬于時間段之內,故不會產生時間段內外的切換。另外這個設置也經過了2000問題的測試。
【舉例】 例1:設置時間段為8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00 例2: 設置時間段為晚上9點到早上8點。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相關命令】 timerange,show timerange
七、show access-list 顯示包過濾規則及在接口上的應用。
【命令】show access-list [ all | listnumber | interface interface-name]
【參數說明】 all 表示所有的規則,包括普通時間段內及特殊時間段內的規則。
listnumber 為顯示當前所使用的規則中序號為listnumber的規則。
interface 表示要顯示在指定接口上應用的規則序號。
interface-name 為接口的名稱。
【命令模式】 特權用戶模式
【使用指南】 使用此命令來顯示所指定的規則,同時查看規則過濾報文的情況。每個規則都有一個相應的計數器,如果用此規則過濾了一個報文,則計數器加1;通過對計數器的觀察可以看出所配置的規則中,哪些規則是比較有效,而哪些基本無效。可以通過帶interface 關鍵字的show access-list命令來查看某個接口應用規則的情況。
【舉例】
例1:顯示當前所使用的序號為100的規則。
Quidway#show access-list 100
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)例2: 顯示接口Serial0上應用規則的情況。
Quidway#show access-list interface serial 0 Serial0:
access-list filtering In-bound packets : 120 access-list filtering Out-bound packets: None 【相關命令】access-list
【命令】show firewall 顯示防火墻狀態。
【命令模式】特權用戶模式
【使用指南】 使用此命令來顯示防火墻的狀態,包括防火墻是否被啟用,啟用防火墻時是否采用了時間段包過濾及防火墻的一些統計信息。
【舉例】顯示防火墻狀態。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相關命令】 firewall
【命令】show isintr顯示當前時間是否在時間段之內。【命令模式】特權用戶模式
【使用指南】使用此命令來顯示當前時間是否在時間段之內。
【舉例】顯示當前時間是否在時間段之內。
Quidway#show isintr
It is NOT in time ranges now.【相關命令】
timerange,settr
【命令】show timerange 【命令模式】特權用戶模式
【使用指南】使用此命令來顯示當前是否允許時間段包過濾及所設置的時間段。
【舉例】顯示時間段包過濾的信息。
Quidway#show timerange
TimeRange packet-filtering enable.beginning of time range: 01:0004:00
end of time range.【相關命令】timerange,settr
十一、timerange 啟用或禁止時間段包過濾功能。
【命令】timerange { enable | disable }
【參數說明】enable 表示啟用時間段包過濾。
disable 表示禁止采用時間段包過濾。
【缺省情況】系統缺省為禁止時間段包過濾功能。
【命令模式】全局配置模式
【使用指南】使用此命令來啟用或禁止時間段包過濾功能,可以通過show firewall命令看到,也可以通過show timerange命令看到配置結果。在時間段包過濾功能被啟用后,系統將根據當前的時間和設置的時間段來確定使用時間段內(特殊)的規則還是時間段外(普通)的規則。系統查詢時間段的精確度為1分鐘。所設置的時間段的兩個端點屬于時間段之內。
【舉例】
啟用時間段包過濾功能。
Quidway(config)#timerange enable 【相關命令】 settr,show timerange
計算機命令
PCA login: root ;使用root用戶 password: linux ;口令是linux # shutdown-h now ;關機 # init 0 ;關機 # logout # login # ifconfig ;顯示IP地址 # ifconfig eth0
交換機命令
[Quidway]super password 修改特權用戶密碼 [Quidway]sysname 交換機命名
[Quidway]interface ethernet 0/1 進入接口視圖 [Quidway]interface vlan x 進入接口視圖 [Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 靜態路由=網關
[Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]set authentication-mode password simple 222 [S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口雙工工作狀態 [Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet0/1]flow-control 配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX狀態平接或扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 設置接口工作模式 [Quidway-Ethernet0/1]shutdown 關閉/重起接口 [Quidway-Ethernet0/2]quit 退出系統視圖
[Quidway]vlan 3 創建/刪除一個VLAN/進入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在當前VLAN增加/刪除以太網接口 [Quidway-Ethernet0/2]port access vlan 3 將當前接口加入到指定VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 設trunk允許的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 設置trunk端口的PVID
[Quidway]monitor-port
點擊咨詢 