第一篇：華為高端路由器配置及維護實踐(個人總結(jié))全解（大全）

華為高端路由器配置和維護實踐

目 錄

1、硬件系統(tǒng)....................................................................................................................................3

1.1、NE40E、NE80E、NE5000E的滿配功率是多少？...........................................3 1.2、如何正確熱插拔NE5000E/80E/40E產(chǎn)品主控板？...........................................3 1.3、拔出正常運行NE80E主控板與其它單板的差別？..........................................3 1.5、NE5000ENE80E由于系統(tǒng)結(jié)構(gòu)復雜，導致單板的組成較為復雜，本FAQ詳細說明這兩款產(chǎn)品單板的組合。................................................................................3 1.6、是否可以使用并聯(lián)電流給NE設備供電？........................................................4 1.8、如何查看設備中的Netstream板？.....................................................................4 1.9、NE5000系統(tǒng)上電時是否電源功率等于或稍大于所有單板的功率和，整機即可正常完成注冊？........................................................................................................5

2、系統(tǒng)管理....................................................................................................................................5

2.1、telnet用戶的最大數(shù)是多少？..............................................................................5 2.2、NE40E、NE80E 是否支持ETH-Trunk？..........................................................5 2.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少個Eth-trunk?.................5 2.4、NE40E、NE80E、NE5000E VRP 5.30一個trunk接口下最多可以有多少個成員端口？........................................................................................................................6

3、系統(tǒng)管理：telnet、SNMP、日志采集、SSH等..................................................6 3.1、如何修改設備的時區(qū)？.......................................................................................6 3.2、如何轉(zhuǎn)換命令行的語言模式？...........................................................................6 3.3、如何把telnet用戶強制下線？.............................................................................6 3.4、如何取消分屏顯示？...........................................................................................6 3.5、如何能夠使NE40E level0能夠查看logbuffer？...............................................7 3.6、怎樣配置NE40E的登錄用戶先radius認證再本地認證？..............................7 3.7、華為有哪些產(chǎn)品支持TACACS？.......................................................................7 3.8、使用TELNET登錄NE80E/40E/80/40是否支持TACACS方式認證？.........8 3.9、怎樣修改NE40E的日志文件記錄路徑..............................................................8 3.10、如何正確的配置NE40ENE80ENE5000E的防病毒訪問控制列表？............8

4、網(wǎng)絡協(xié)議....................................................................................................................................9

4.4、什么是NE80E的ping保護機制呢？.................................................................9

5、路由協(xié)議..................................................................................................................................10 5.1、如何進行OSPF外部路由的聚合？..................................................................10 5.2、反射器反射路由時對路由屬性的處理原則是什么？......................................10 5.3、如何修改邦定VPN實例OSPF進程的Router id............................................10 5.5、為什么在OSPF路由中不建議引入直連路由？..............................................10 5.6、如何部署OSPF的內(nèi)部路由聚合？..................................................................10 5.8、在IGP是ISIS的網(wǎng)絡中如何查找設備？........................................................11 5.9、如何設置NE80E只啟用MBGP而不啟用普通BGP？..................................11 5.11、在8090產(chǎn)品中，通過命令display ip routing-table verbose能看到NextHop、RelyNextHop，他們的區(qū)別是什么？........................................................................11 5.12、BGP協(xié)議的故障診斷命令有哪些？...............................................................12

6、VPN應用.................................................................................................................................13 6.1、華為路由器是否支持VPN下安全套接層？....................................................13

第1頁, 共18頁 華為高端路由器配置和維護實踐

6.2、如何排查VPLS隧道連接建立不起來的故障？..............................................13 6.3、同一臺設備上面不同vpn(綁定在不同loopback地址)如何實現(xiàn)互訪...........14 6.4、如何在NE40E上配置VLAN-MAP功能.........................................................15

7、其他（組播、QOS、VRRP等）...........................................................................................16 7.1、承載網(wǎng)中如何保證VRRP快速切換.................................................................16 7.3、目前NE80E是否支持MPLS TE HOT-STANDBY指定顯示路徑？............16 7.4、在TE隧道重優(yōu)化（reoptimization）時判斷重優(yōu)化更優(yōu)路徑的標準是什么？......................................................................................................................................16 7.5、如何實現(xiàn)相同域內(nèi)PIM-SM組播的負載分擔和冗余備份？.........................16 7.7、在NE80E QOS實現(xiàn)中各隊列對應何種隊列調(diào)度算法？...............................17 7.8、路由器發(fā)送ICMP重定向報文的條件..............................................................17

第2頁, 共18頁 華為高端路由器配置和維護實踐

1、硬件系統(tǒng)

1.1、NE40E、NE80E、NE5000E的滿配功率是多少？

NE40E的滿配功率是2400W NE80E的滿配功率是5000W NE5000E的滿配功率是5000W 1.2、如何正確熱插拔NE5000E/80E/40E產(chǎn)品主控板？

對于 NE5000E/80E 產(chǎn)品 的主用主控板或NE40E的主用主控板

1、在拔出主用主控板前請先主備倒換。

2、請在命令行執(zhí)行power off slot 。

3、等待單板下電，拔出單板。

對于NE80E和NE5000E如果不是主用主控板，對于NE40E，如果不是主用SRU板

1、請在命令行執(zhí)行power off slot 。

2、等待單板下電，拔出單板。

1.3、拔出正常運行NE80E主控板與其它單板的差別？

其它單板：在單板拔出前按下OFL按鈕，提出拔板申請，大約需要連續(xù)按鈕3秒鐘，直至OFL指示燈點亮時，單板才可安全拔

出。主控單板：備用主控板拔出操作與其它單板操作一致，主用主控板在單板拔出前必須先執(zhí)行主備倒換后方可按下OFL按

鈕，提出拔板申請，大約需要連續(xù)按鈕3秒鐘，直至OFL指示燈點亮時，單板才可安全拔出。

1.5、NE5000ENE80E由于系統(tǒng)結(jié)構(gòu)復雜，導致單板的組成較為復雜，本FAQ詳細說明這兩款產(chǎn)品單板的組合。

NE5000ENE80E的單板一般由兩部分組成：LPU，主要負責轉(zhuǎn)發(fā)；FAD，主要負責LPU和網(wǎng)板的適配及QOS處理。NE80E和NE5000E支持以下組合： NE80E：

LPUA+FADB

LPUA為使用2800網(wǎng)絡處理器單板，F(xiàn)ADB主要完成LPUA和NE80E網(wǎng)板適配。

LPUA+FADD

LPUA為使用2800網(wǎng)絡處理器單板，F(xiàn)ADD主要完成LPUA和NE80E網(wǎng)板適配。

LPUX+FADA

LPUX為原NE80NE40支持單板，F(xiàn)ADA主要完成LPUX和NE80E網(wǎng)板適配。

第3頁, 共18頁 華為高端路由器配置和維護實踐

NE5000E：

LPUB+FADC

LPUB為使用華為的588ASIC轉(zhuǎn)發(fā)引擎，F(xiàn)ADC主要完成LPUB和NE5000E網(wǎng)板適配。

LPUC

LPUC為大板，沒有FAD板，已經(jīng)集成了QOS及和NE5000E網(wǎng)板適配的功能。LPUX+FADF

LPUX為原NE80NE40支持單板，F(xiàn)ADF主要完成LPUX和NE5000E網(wǎng)板適配。

1.6、是否可以使用并聯(lián)電流給NE設備供電？

某局點因不能給NE40E-8提供100A的直流電，希望使用一個53A和47A的電流并聯(lián)起來給設備供電，問這種方式是否可以，咨詢了電源的工程師，不可以使用這種方法供電，給我們設備供電前級必須要有100A的配電。

1.8、如何查看設備中的Netstream板？

從以下device信息中可以看到單板類型為spu的就為Netstream板： display device

NE5000E's Device status:

Slot #

Type

Online

Register

Status

Primary

-------------------

PIC # Online

Type

Port_count Init_result

Logic down

0

Present

POS-4X2.5G

SUCCESS

SUCCESS

第4頁, 共18頁 華為高端路由器配置和維護實踐

--------------------

PIC # Online

Type

Port_count Init_result

Logic down

0

Present

ETH-10X-GE

SUCCESS

SUCCESS

-------------------

PIC # Online

Type

Port_count Init_result

Logic down

0

Present

ETH-10X-GE

SUCCESS

SUCCESS

------------------

%沒有端口信息% 1.9、NE5000系統(tǒng)上電時是否電源功率等于或稍大于所有單板的功率和，整機即可正常完成注冊？

不可以。因為整機加電時啟動瞬間電流要比所有單板功率和大數(shù)倍，如果供電電源功率僅僅比所有單板的功率和

稍大，是不能滿足啟動瞬間電流需求的。目前NE5000E的額定功率為5000W、額定電流為131A，推薦使用額定電流 為200A以上的空氣開關(guān)。

2、系統(tǒng)管理

2.1、telnet用戶的最大數(shù)是多少？

NE40E、NE80E、NE5000E的最大telnet用戶數(shù)為15個。

2.2、NE40E、NE80E 是否支持ETH-Trunk？

VRP 5.10版本不支持Eth-Trunk,VRP 5.3-版本支持Eth-Trunk 2.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少個Eth-trunk? 64個

第5頁, 共18頁 華為高端路由器配置和維護實踐

2.4、NE40E、NE80E、NE5000E VRP 5.30一個trunk接口下最多可以有多少個成員端口？

16個

3、系統(tǒng)管理：telnet、SNMP、日志采集、SSH等 3.1、如何修改設備的時區(qū)？

在用戶視圖下clock timezone time-zone-name { add | minus } offset undo clock timezone time-zone-name：時區(qū)名稱，字符長度范圍1～32。

add：與UTC（Universal Time Coordinated，通用協(xié)調(diào)時間）時間比較增加。minus：與UTC時間比較減少。

offset：與UTC的時間差，格式是：HH:MM:SS，HH范圍為0～23，MM和SS范圍為0～59。

3.2、如何轉(zhuǎn)換命令行的語言模式？

在用戶視圖下執(zhí)行l(wèi)anguage-mode { chinese | english }可以在英文與中文之間切換。

3.3、如何把telnet用戶強制下線？

在用戶視圖下執(zhí)行free user-interface { ui-number | ui-type ui-number1 }可以強制telnet用戶下線。

ui-number：用戶界面絕對編號。最小值為0，最大值是系統(tǒng)支持的用戶界面總數(shù)。不同設備用戶界面取值范圍不同。ui-type：用戶界面類型。

ui-number1：用戶界面的相對編號。

3.4、如何取消分屏顯示？

在相應用戶界面下執(zhí)行 screen-length 0。

第6頁, 共18頁 華為高端路由器配置和維護實踐

3.5、如何能夠使NE40E level0能夠查看logbuffer？

在系統(tǒng)模式下，按照如下配置便可以實現(xiàn)0級別的用戶也可以查看logbuffer的功能。command-privilege level 0 view user-interface display command-privilege level 0 view user-interface display logbuffer 3.6、怎樣配置NE40E的登錄用戶先radius認證再本地認證？

#

radius-server template login

radius-server shared-key ih1361nc

radius-server authentication 218.77.*.* 1645 source LoopBack 0

radius-server authentication 218.77.*.* 1812 source LoopBack 0 secondary

undo radius-server user-name domain-included

aaa

local-user hidxhk password cipher XG$;SH2;NS“`]B'Q%*T%！!

local-user hidxhk service-type telnet

local-user hidxhk level 1

local-user basenet password cipher ^KUSDJ9B_>FDF'K”HNT=！!

local-user basenet service-type telnet

local-user basenet level 1

authentication-scheme default

authentication-mode radius local

authorization-scheme default

accounting-scheme default

domain default

radius-server login

authentication-scheme default

user-interface vty 0 4

authentication-mode aaa

user privilege level 1

idle-timeout 5 0

3.7、華為有哪些產(chǎn)品支持TACACS？

NE40E / NE80E / NE5000E產(chǎn)品支持HWTACACS NE40 / NE80 / S8016 V5版本支持HWTACACS

V3版本不支持HWTACACS NE20 / 20E

V3與V5均支持HWTCACS NE16E / 08E / 05不支持HWTCACS S6500 release 1000不支持HWTCACS release 2000/3000支持 HWTACACS 8500支持HWTACACS

第7頁, 共18頁 華為高端路由器配置和維護實踐

3.8、使用TELNET登錄NE80E/40E/80/40是否支持TACACS方式認證？

NE80E/40E/80/40設備支持的名稱叫HWTACACS，可以和標準的TACACS正常對接使用，NE80E/40E/80/40 的基于VRP5平臺的軟件版本都可以支持該認證方式。

3.9、怎樣修改NE40E的日志文件記錄路徑

當主控板只配置了一塊CFcard時，可通過隱含命令修改NE40E的日志文件記錄路徑，將日志記錄到主控板內(nèi)部的CFcard中。

1、進入隱含模式： [NE40E]_h [NE40E-hidecmd]

2、在隱含模式下執(zhí)行下面的命令修改日志文件路徑到主控板內(nèi)部的CFcard。[NE40E-hidecmd]set logfile-path cfcard 3.10、如何正確的配置NE40ENE80ENE5000E的防病毒訪問控制列表？

acl number 3000

description ANTI-VIRUS

rule 1 deny tcp destination-port eq 135

rule 2 deny tcp destination-port eq 137

rule 3 deny tcp destination-port eq 138

rule 4 deny tcp destination-port eq 139

rule 5 deny tcp destination-port eq 445

rule 6 deny tcp destination-port eq 5554

rule 7 deny tcp destination-port eq 901

rule 8 deny tcp destination-port eq 2745

rule 9 deny tcp destination-port eq 3127

rule 10 deny tcp destination-port eq 3128

rule 11 deny tcp destination-port eq 6129

rule 12 deny tcp destination-port eq 6667

rule 13 deny tcp destination-port eq 4444

rule 14 deny tcp destination-port eq 1025

rule 15 deny tcp destination-port eq 593

rule 16 deny udp destination-port eq 135

rule 17 deny udp destination-port eq netbios-ns

rule 18 deny udp destination-port eq netbios-dgm

rule 19 deny udp destination-port eq netbios-ssn

rule 20 deny udp destination-port eq 445

rule 21 deny udp destination-port eq 9995

rule 22 deny udp destination-port eq 9996

rule 23 deny udp destination-port eq 1434

第8頁, 共18頁 華為高端路由器配置和維護實踐

rule 40 permit ip

%此條需做，permit其它的數(shù)據(jù)報文% traffic classifier anti_virus operator and

if-match acl 3000 traffic behavior anti_virus

% 此默認的動作為permit% traffic policy anti

classifier anti_virus behavior anti_virus

interface GigabitEthernet2/0/0

traffic-policy anti inbound

4、網(wǎng)絡協(xié)議

4.4、什么是NE80E的ping保護機制呢？

NE80E 接收cisco等設備的ping包機制：

C設備---------> NE80E NE80E的接口收到報文之后，首先處理二層頭,發(fā)現(xiàn)DMAC是本端口的MAC地址，那么剝掉二層頭上送，再根據(jù)DIP發(fā)現(xiàn)是本機的IP報文，那么通過NP發(fā)給CP（在NP和CP之間還要經(jīng)過CAR處理），CP收到報文后進入ip協(xié)議棧，對于icmp echo報文直接發(fā)送icmp echo reply。

此處的CAR缺省值是4M，為了防止主機上送icmp報文的大量攻擊，因為通常ping報文大都用來故障診斷，不會大量發(fā)送。這樣做可以有效避免icmp的報文攻擊，保護設備穩(wěn)定運行；

CAR的值可以修改，通過下面的命令

[NE80E-6]cpcar slot 1 ipv4-icmp

[NE80E-6-cpcar-ipv4-icmp-slot-1]?

Cpcar view commands:

car

Specify CAR(Committed Access Rate)feature

display

Display current system information

drop

immediacy drop

pass

don't use car

ping

Send echo messages

quit

Exit from current command view

reset

Reset operation

return

Exit to user view

tracert

Trace route to host

traffic-policy Specify QoS policy

undo

Cancel current setting

[NE80E-6-cpcar-ipv4-icmp-slot-1]car ?

cir Committed information rate

[NE80E-6-cpcar-ipv4-icmp-slot-1]car cir ?

INTEGER<8-10000000> Value of CIR(Unit: Kbps)

第9頁, 共18頁 華為高端路由器配置和維護實踐

[NE80E-6-cpcar-ipv4-icmp-slot-1]car cir

但是如果把CAR值改大后，可能會造成CPU上升，不建議修改；如果測試時可以把CAR先放開，測完后關(guān)掉。

5、路由協(xié)議

5.1、如何進行OSPF外部路由的聚合？

因為OSPF的type 5 LSA產(chǎn)生在ASBR上，所以對type 5的路由聚合必須在該ASBR上進行設置。當設置聚合后

僅僅對聚合信息產(chǎn)生type 5 LSA，同時抑制了明細的type5 LSA。

5.2、反射器反射路由時對路由屬性的處理原則是什么？

反射器反射路由的屬性是經(jīng)過入口策略后的屬性，不受出口策略影響。

5.3、如何修改邦定VPN實例OSPF進程的Router id？ 此案例適合VRP5.10和VRP5.30版本。

修改邦定VPN實例的OSPF各進程的Router id請使用如下命令： [Quidway]ospf X router-id X.X.X.X

其中x為進程號，x.x.x.x為Router id。

注意：命令router id x.x.x.x只能修改未邦定VPN實例的OSPF進程的Router id，修改Router id后請重啟OSPF的相關(guān)進程。

5.5、為什么在OSPF路由中不建議引入直連路由？

1）、在OSPF中，盡量避免引入直連路由，直連路由應采用network＋silent方式直接發(fā)布。2）、產(chǎn)生LSA類型不同，import方式產(chǎn)生type 5類型LSA在整個AS內(nèi)傳播，network方式產(chǎn)生type 1 LSA，將在區(qū)域內(nèi)傳播。

3）、產(chǎn)生路由表優(yōu)先級不同，import方式產(chǎn)生的是150，network方式產(chǎn)生的是10。4）、引入直連生成的OSPF外部路由很難實施基于區(qū)域路由聚合。

5.6、如何部署OSPF的內(nèi)部路由聚合？

OSPF的路由聚合分為OSPF域內(nèi)的路由聚合和OSPF的域外路由聚合。這里主要討論OSPF的域內(nèi)路由聚合。

OSPF的域內(nèi)路由聚合是通過在ABR上手動配置聚合命令來實現(xiàn)的。即聚合只能發(fā)生在ABR上，根據(jù)配置的聚合命令OSPF產(chǎn)生相關(guān)聚合路由信息的type 3 LSA，并將該LSA進行區(qū)域泛洪。

第10頁, 共18頁 華為高端路由器配置和維護實踐

在配置了聚合命令的ABR上不再針對匹配的明細路由產(chǎn)生type3 LSA報文。

5.8、在IGP是ISIS的網(wǎng)絡中如何查找設備？

1、在大型城域網(wǎng)中，設備較多，包括huawei和c廠家的，一般每個設備都使用一個管理地址，管理地址一般都

是使用loopback 0 的地址。

2、為了更好的維護好網(wǎng)絡，huawei工程師需要統(tǒng)計一個管理地址的表格(包括c廠家設備)。

3、如果網(wǎng)絡中使用的是isis做為IGP協(xié)議，因為isis設備的net部分的system id基本上都是根據(jù)loopback 0地址擴展而來，如果知道了system id，那么設備的管理地址也就知道了。8090產(chǎn)品提供了一條命令，disp isis name，包括 2個顯示，即system id 和 system name，并且能夠顯示AS內(nèi)配置了isis協(xié)議的所有設備的相關(guān)信息，通過這條命令，就能在設備上查詢還不熟悉的設備的管理地址，方便維護工程師建立一張所有設備的管理地址的表格。在網(wǎng)絡有故障時，根據(jù)管理地址的表格，查詢相應的管理

地址，迅速登到設備上定位故障。平時就通過這條命令，查詢所有配置了ISIS協(xié)議的設備的管理地址，建立一張所有設備的管理地址的表格。

5.9、如何設置NE80E只啟用MBGP而不啟用普通BGP？

bgp 65350 group VPN-PE internal peer VPN-PE connect-interface LoopBack0 peer x.x.x.x as-number 65350 peer x.x.x.x group VPN-PE ipv4-family unicast

undo peer VPN-PE enable 把VPN-PE組的bgp鄰居禁用

undo synchronization

maximum load-balancing 8

undo peer x.x.x.x enable 把x.x.x.x這個bgp鄰居禁用

ipv4-family vpnv4

undo policy vpn-target

peer VPN-PE enable

peer VPN-PE reflect-client

peer VPN-PE next-hop-local

peer x.x.x.x enable

peer x.x.x.x group VPN-PE

5.11、在8090產(chǎn)品中，通過命令display ip routing-table verbose能看到NextHop、RelyNextHop，他們的區(qū)別是什么？

display ip routing-table verbose命令顯示如下： Destination: 0.0.0.0/0

Protocol: BGP

Process ID: 0

第11頁, 共18頁 華為高端路由器配置和維護實踐

Preference: 100

Cost: 0

NextHop: 202.97.32.243

Interface: Pos2/0/0

RelyNextHop: 222.83.17.5

Neighbour: 202.97.32.243

Tunnel ID: 0x0

Label: NULL

State: Active Adv Derived

Age: 00h44m09s

Tag: 0

其中NextHop表示路由表項的下一跳，RelyNextHop表示fib實際轉(zhuǎn)發(fā)的下一跳！

首先路由表和FIB是不同實體，作用也不一樣。路由是上層協(xié)議來用的，Display ip routing顯示的是協(xié)議添加路由時設置的下一跳，在路由表中稱之為原始下一跳，這個下一跳不一定直接可達。而FIB是用于指導轉(zhuǎn)發(fā)的，它的下一跳必須是直接可達。路由管理模塊通過對路由的原始下一跳進行迭代找到這個直接下一跳，并將其設置到FIB當中來指導轉(zhuǎn)發(fā)。原始下一跳和迭代下一跳實質(zhì)上是相關(guān)聯(lián)的。

5.12、BGP協(xié)議的故障診斷命令有哪些？

BGP協(xié)議的故障診斷命令及命令意思如下所示： display bgp peer

顯示公網(wǎng)IPv4鄰居的摘要信息

display bgp peer ipv4-address verbose

顯示指定鄰居的詳細信息

display bgp peer ipv4-address log-info

顯示指定鄰居的信息記錄（該命令對鄰居意外中斷問題定位非常重要）display bgp group group-name

顯示公網(wǎng)IPv4鄰居組信息

display bgp routing-table statistics

顯示BGP公網(wǎng)IPv4單播路由統(tǒng)計

display bgp routing-table

顯示BGP公網(wǎng)IPv4單播路由摘要信息

display bgp routing-table peer ip-address advertised-routes

顯示給指定鄰居發(fā)布的路由

display bgp routing-table peer ip-address received-routes

顯示從指定鄰居收到的路由

display bgp network

顯示通過Network命令引入到BGP的路由

display bgp path

顯示BGP公網(wǎng)Ipv4單播路由的路經(jīng)屬性信息 display bgp ipv6

顯示BGP公網(wǎng)IPv6的相應信息，與對應Ipv4命令用法相同 display bgp multicast

顯示BGP公網(wǎng)IPv4多播的相應信息，與對應IPv4單播命令用法相同 display ip routing-table statistics

顯示系統(tǒng)公網(wǎng)IPv4路由統(tǒng)計

display ip routing-table protocol bgp

顯示系統(tǒng)公網(wǎng)IPv4路由表中BGP Active路由的摘要信息

第12頁, 共18頁 華為高端路由器配置和維護實踐

display ip routing-table protocol bgp verbose

顯示系統(tǒng)公網(wǎng)IPv4路由表中BGP Active路由的摘要信息 display ip routing-table protocol bgp inactive

顯示系統(tǒng)公網(wǎng)IPv4路由表中BGP Inactive路由的摘要信息

6、VPN應用

6.1、華為路由器是否支持VPN下安全套接層？

SSL（Secure Socket Layer）即安全套接層，主要包含SSL記錄協(xié)議及SSL握手協(xié)議兩個協(xié)議，是傳輸層安全協(xié)議。

目前華為設備不支持在VPN下支持SSL。

6.2、如何排查VPLS隧道連接建立不起來的故障？

通常的VPLS故障排查步驟如下：

1、用display mpls lsp命令分別查看個PE上LSP建立的情況，如果命令行顯示結(jié)果為空，或者顯示的LSP中沒有對端PE的網(wǎng)段路由映射，則說明故障出在LSP沒有建立或標簽映射上，這種問題和軟件協(xié)議或配置密切相關(guān)。

2、如果在PE上沒有對端PE的LSP，則使用dis c c mpls檢查MPLS的基本配置情況，MPSL必須在全局視圖下使能，且配置Lsr-id，否則LSP 是不可能建立起來的。如果基本配置正常，請轉(zhuǎn)向第3步。

3、檢查接口是否使能MPLS和MPLS LDP命令。將命令視圖切換至接口視圖，使用display this命令查看MPLS使能情況。如果接口沒有使能

MPLS 和MPLS LDP，那么LSP是不可能建立起來的。如果接口MPLS已經(jīng)使能，請轉(zhuǎn)向第4步。

4、檢查路由表是否存在對端PE的路由信息，使用命令dis ip routing-table。如果對端PE的的路由信息不存在，則說明問題在于基本的

第13頁, 共18頁 華為高端路由器配置和維護實踐

IP路由發(fā)生故障。

5、檢查PE上VSI狀態(tài)和VPN標簽分配情況，如果VSI狀態(tài)為DOWN狀態(tài)，表示VPLS 的信令協(xié)議沒有協(xié)商成功。導致這個問題的原因有多種可

能。普通IP路由故障，MPLS轉(zhuǎn)發(fā)故障，PE1和PE1鏈路封裝不一致，都有可能導致VSI狀態(tài)為DOWN?？墒褂谜{(diào)試命令行display vsi verbose 查看具體VSI DOWN的原因。

6、如果故障依然沒有解決，請檢查CE接入PE的端口(子接口/Vlanif)狀態(tài)和端口配置情況。接入端口狀態(tài)必須UP，并且配置了l2 binding

vsi 。

一般通過以上的排查方法，基本就能解決VPLS故障的問題。

6.3、同一臺設備上面不同vpn(綁定在不同loopback地址)如何實現(xiàn)互訪

基本配置信息如下：

ip vpn-instance vpn1

route-distinguisher 100:1

vpn-target 100:1 export-extcommunity

vpn-target 100:1 import-extcommunity

ip vpn-instance vpn2

route-distinguisher 200:1

vpn-target 200:1 export-extcommunity

vpn-target 200:1 import-extcommunity

interface LoopBack1

ip binding vpn-instance vpn1

ip address 1.1.1.1 255.255.255.255

interface LoopBack2

ip binding vpn-instance vpn2

ip address 2.2.2.2 255.255.255.255

bgp 100

ipv4-family vpn-instance vpn1

import-route direct

import-route static

ipv4-family vpn-instance vpn2

import-route direct

import-route static

查看路由表，vpn1上只能看到自身的私網(wǎng)路由，vpn2也只能看到自身的私網(wǎng)路由，帶原地址ping,ping

-vpn vpn1-a 1.1.1.1 2.2.2.2無法互通。

分析路由走向可得，vpn之間無法學習到私網(wǎng)路由，必須通過vpn之間透傳的靜態(tài)路由(同時本拓撲的特

殊性，靜態(tài)路由的下一跳是loopback端口)。

配置下面2條靜態(tài)路由

ip route-static vpn-instance vpn1 2.2.2.2 255.255.255.255 loopback2 ip route-static vpn-instance vpn2 1.1.1.1 255.255.255.255 loopback1

第14頁, 共18頁 華為高端路由器配置和維護實踐

此時，帶原地址ping, ping-vpn vpn1-a 1.1.1.1 2.2.2.2可以互通。

6.4、如何在NE40E上配置VLAN-MAP功能

1、組網(wǎng)：LSW-1----a------NE40E-1-----b-----NE40E-2------c------LSW-2

2、說明：兩臺NE40E相關(guān)接口通過portswitch變換為Layer 2端口；l鏈路a屬于VLAN10、鏈路b上所聯(lián)接 的端口類型為trunk口、鏈路c屬于VLAN20。

1、NE40E-1上配置普通二層特性（兩個端口配置一樣）：

端口視圖下

portswitch

port link-type trunk

port trunk allow-pass vlan 10

2、在NE40E-2和LSW-2聯(lián)接的端口上配置普通二層特性：

端口視圖下

portswitch

port link-type trunk port trunk allow-pass vlan 20

3、在NE40E-2上與NE40E-1相連接的端口上配置VLAN映射： 端口視圖下

portswitch

port link-type trunk port vlan-mapping outside-vlan 10 map-vlan 20 port vlan-mapping outside-vlan 10 map-vlan 20”這個關(guān)鍵配置只需要在NE40E-2的上行鏈路的接口下配置，其余接口無需配置。

第15頁, 共18頁 華為高端路由器配置和維護實踐

7、其他（組播、QOS、VRRP等）

7.1、承載網(wǎng)中如何保證VRRP快速切換

VRRP可以采用跟蹤BFD Session來實現(xiàn)快速主備倒換。

實現(xiàn)方法：Master和Backup之間使用VRRP接口地址建立BFD Session，然后在VRRP配置中跟蹤此BFD Session。具體配置： vrrp vrid 1 track bfd-session 2 increased 40 // vrrp組1跟蹤bfd-session 如果BFD Session狀態(tài)變?yōu)镈own，Backup的VRRP優(yōu)先級增加40，變成主用，實現(xiàn)快速切換。

7.3、目前NE80E是否支持MPLS TE HOT-STANDBY指定顯示路徑？

不支持。但HOT-STANDBY計算出來的路徑不會與主路徑的任一節(jié)點或鏈路重合。

7.4、在TE隧道重優(yōu)化（reoptimization）時判斷重優(yōu)化更優(yōu)路徑的標準是什么？

對于這個問題，RFC標準中沒有明確的規(guī)定。而按照VRP5.1/VRP5.3的實現(xiàn)，路徑重優(yōu)化時首先比較path metric，然后比較hop跳數(shù)，僅以此作為是否采用計算新路徑的標準，而實際上并不考慮鏈路帶寬的因素。

7.5、如何實現(xiàn)相同域內(nèi)PIM-SM組播的負載分擔和冗余備份？

當在同一個組播域內(nèi)時，對于不同的組播組可以通過注冊不同的RP來實現(xiàn)負載分擔。但是為了負載分擔已經(jīng)冗余備份可以采用MSDP anycast技術(shù)來實現(xiàn)。首先是在不同的RP上配置相同RP地址，每個接收端以及組播源都是就近注冊到某一個RP上，從而實現(xiàn)了RP的負載分擔；由于MSDP在RP之間通信，實現(xiàn)了不同的RP對于組播域內(nèi)的組播源

拓撲保持了一致的信息，所以當一個RP宕了，相關(guān)的接收端以及源能快速的切換到其他的RP上，實現(xiàn)了RP之間的冗余備份。

第16頁, 共18頁 華為高端路由器配置和維護實踐

7.7、在NE80E QOS實現(xiàn)中各隊列對應何種隊列調(diào)度算法？

目前NE80E產(chǎn)品的實現(xiàn)是ef

cs6

cs7隊列進行PQ調(diào)度；be af1 af2 af3 af4 隊列做WFQ調(diào)度。

7.8、路由器發(fā)送ICMP重定向報文的條件

當路由器的接口收到報文，查路由表后又要從該接口轉(zhuǎn)發(fā)出去的時候，如果路由器該接口啟用了ICMP重定向功能，則向給路由器發(fā)送報文的主機（或其他設備）發(fā)送一個ICMP重定向報文，通知該主機在主機路由表上加上一條主機路由。

Quidway路由器在系統(tǒng)視圖下有命令icmp redirect send/undo icmp redirect send，其作用是路由器是否可以發(fā)送ICMP重定向報文。缺省情況下，路由器的ICMP重定向是打開的。啟動快速轉(zhuǎn)發(fā)功能后，該接口將不再發(fā)送ICMP重定向報文。缺省情況下，路由器快速轉(zhuǎn)發(fā)功能也是打開的，所以要啟用ICMP重定向功能，接口下必須首先關(guān)閉快速轉(zhuǎn)發(fā)undo ip fast-forwarding。(目前NE系列產(chǎn)品不支持關(guān)閉快速轉(zhuǎn)發(fā)功能，AR系列中低端路由器支持)，如果需要使用ICMP重定向發(fā)送功能，還需要執(zhí)行以下步驟：

1、執(zhí)行命令system-view，進入系統(tǒng)視圖。

2、執(zhí)行命令icmp redirect send，打開系統(tǒng)ICMP重定向報文發(fā)送功能。有四種不同類型的重定向報文，有不同的代碼值，如下所示。代碼

描述 0

網(wǎng)絡重定向 1

主機重定向

服務類型和網(wǎng)絡重定向 3

服務類型和主機重定向

ICMP重定向報文的接收者必須查看三個IP地址：

1、導致重定向的I P地址（即ICMP重定向報文的數(shù)據(jù)位于I P數(shù)據(jù)報的首部）。

2、發(fā)送重定向報文的路由器的I P地址（包含重定向信息的I P數(shù)據(jù)報中的源地址。

3、應該采用的路由器I P地址（在ICMP報文中的4 ~ 7字節(jié)）。

關(guān)于ICMP重定向報文有很多規(guī)則。首先，重定向報文只能由路由器生成，而不能由主機生成。另外，重定向報文是為主機而不是為路由器使用的。假定路由器和其他一些路由器共同參與某一種選路協(xié)議，則該協(xié)議就能消除重定向的需要。

1、新的路由器必須直接與網(wǎng)絡相連接。

2、重定向報文必須來自當前到目的地所選擇的路由器。

3、重定向報文不能讓主機本身作為路由器。

4、被修改的路由必須是一個間接路由。

關(guān)于重定向最后要指出的是，路由器應該發(fā)送的只是對主機的重定向（代碼1或3），而不是對網(wǎng)絡的重定 向。子網(wǎng)的存在使得難于準確指明何時應發(fā)送對網(wǎng)絡的重定向而不是對主機的重定向。只當路由器發(fā)送了

錯誤的類型時，一些主機才把收到的對網(wǎng)絡的重定向當作對主機的重定向來處理。

第17頁, 共18頁 華為高端路由器配置和維護實踐

第18頁, 共18頁

第二篇：華為路由器防火墻配置命令總結(jié)

華為路由器防火墻配置命令總結(jié)（上）

2006-01-09 14:21:29 標簽：命令 配置 防火墻 華為 休閑

一、access-list 用于創(chuàng)建訪問規(guī)則。

（1）創(chuàng)建標準訪問列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）創(chuàng)建擴展訪問列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）刪除訪問列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【參數(shù)說明】

normal 指定規(guī)則加入普通時間段。

special 指定規(guī)則加入特殊時間段。

listnumber1 是1到99之間的一個數(shù)值，表示規(guī)則是標準訪問列表規(guī)則。

listnumber2 是100到199之間的一個數(shù)值，表示規(guī)則是擴展訪問列表規(guī)則。

permit 表明允許滿足條件的報文通過。

deny 表明禁止?jié)M足條件的報文通過。

protocol 為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協(xié)議。

source-addr 為源地址。

source-mask 為源地址通配位，在標準訪問列表中是可選項，不輸入則代表通配位為0.0.0.0。

dest-addr 為目的地址。

dest-mask 為目的地址通配位。

operator[可選] 端口操作符，在協(xié)議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個端口。

port1 在協(xié)議類型為TCP或UDP時出現(xiàn)，可以為關(guān)鍵字所設定的預設值（如telnet）或0~65535之間的一個數(shù)值。

port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn)；可以為關(guān)鍵字所設定的預設值（如telnet）或0~65535之間的一個數(shù)值。

icmp-type[可選] 在協(xié)議為ICMP時出現(xiàn)，代表ICMP報文類型；可以是關(guān)鍵字所設定的預設值（如echo-reply）或者是0~255之間的一個數(shù)值。

icmp-code在協(xié)議為ICMP且沒有選擇所設定的預設值時出現(xiàn)；代表ICMP碼，是0~255之間的一個數(shù)值。

log [可選] 表示如果報文符合條件，需要做日志。

listnumber 為刪除的規(guī)則序號，是1~199之間的一個數(shù)值。

subitem[可選] 指定刪除序號為listnumber的訪問列表中規(guī)則的序號。

【缺省情況】

系統(tǒng)缺省不配置任何訪問規(guī)則。

【命令模式】

全局配置模式

【使用指南】

同一個序號的規(guī)則可以看作一類規(guī)則；所定義的規(guī)則不僅可以用來在接口上過濾報文，也可以被如DDR等用來判斷一個報文是否是感興趣的報文，此時，permit與deny表示是感興趣的還是不感興趣的。

使用協(xié)議域為IP的擴展訪問列表來表示所有的IP協(xié)議。

同一個序號之間的規(guī)則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。

【舉例】

允許源地址為10.1.1.0 網(wǎng)絡、目的地址為10.1.2.0網(wǎng)絡的WWW訪問，但不允許使用FTP。

Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

【相關(guān)命令】

ip access-group

二、clear access-list counters 清除訪問列表規(guī)則的統(tǒng)計信息。

clear access-list counters [ listnumber ]

【參數(shù)說明】

listnumber [可選] 要清除統(tǒng)計信息的規(guī)則的序號，如不指定，則清除所有的規(guī)則的統(tǒng)計信息。

【缺省情況】

任何時候都不清除統(tǒng)計信息。

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來清除當前所用規(guī)則的統(tǒng)計信息，不指定規(guī)則編號則清除所有規(guī)則的統(tǒng)計信息。

【舉例】

例1：清除當前所使用的序號為100的規(guī)則的統(tǒng)計信息。

Quidway#clear access-list counters 100

例2：清除當前所使用的所有規(guī)則的統(tǒng)計信息。

Quidway#clear access-list counters

【相關(guān)命令】

access-list

三、firewall 啟用或禁止防火墻。

firewall { enable | disable }

【參數(shù)說明】

enable 表示啟用防火墻。

disable 表示禁止防火墻。

【缺省情況】

系統(tǒng)缺省為禁止防火墻。

【命令模式】

全局配置模式

【使用指南】

使用此命令來啟用或禁止防火墻，可以通過show firewall命令看到相應結(jié)果。如果采用了時間段包過濾，則在防火墻被關(guān)閉時也將被關(guān)閉；該命令控制防火墻的總開關(guān)。在使用 firewall disable 命令關(guān)閉防火墻時，防火墻本身的統(tǒng)計信息也將被清除。

【舉例】

啟用防火墻。

Quidway(config)#firewall enable

【相關(guān)命令】

access-list，ip access-group

四、firewall default 配置防火墻在沒有相應的訪問規(guī)則匹配時，缺省的過濾方式。

firewall default { permit | deny }

【參數(shù)說明】

permit 表示缺省過濾屬性設置為“允許”。

deny 表示缺省過濾屬性設置為“禁止”。

【缺省情況】

在防火墻開啟的情況下，報文被缺省允許通過。

【命令模式】

全局配置模式

【使用指南】

當在接口應用的規(guī)則沒有一個能夠判斷一個報文是否應該被允許還是禁止時，缺省的過濾屬性將起作用；如果缺省過濾屬性是“允許”，則報文可以通過，否則報文被丟棄。

【舉例】

設置缺省過濾屬性為“允許”。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令將規(guī)則應用到接口上。使用此命令的no形式來刪除相應的設置。

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【參數(shù)說明】

listnumber 為規(guī)則序號，是1~199之間的一個數(shù)值。

in 表示規(guī)則用于過濾從接口收上來的報文。

out 表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)的報文。

【缺省情況】

沒有規(guī)則應用于接口。

【命令模式】

接口配置模式。

【使用指南】

使用此命令來將規(guī)則應用到接口上；如果要過濾從接口收上來的報文，則使用 in 關(guān)鍵字；如果要過濾從接口轉(zhuǎn)發(fā)的報文，使用out 關(guān)鍵字。一個接口的一個方向上最多可以應用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進行排列，序號大的排在前面，也就是優(yōu)先級高。對報文進行過濾時，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時，盡量將對同一個網(wǎng)絡配置的規(guī)則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。

【舉例】

將規(guī)則101應用于過濾從以太網(wǎng)口收上來的報文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相關(guān)命令】

access-list 華為路由器防火墻配置命令總結(jié)（下）

2006-01-09 14:21:59 標簽：命令 配置 防火墻 華為 休閑

六、settr 設定或取消特殊時間段。

settr begin-time end-time

no settr

【參數(shù)說明】

begin-time 為一個時間段的開始時間。

end-time 為一個時間段的結(jié)束時間，應該大于開始時間。

【缺省情況】

系統(tǒng)缺省沒有設置時間段，即認為全部為普通時間段。

【命令模式】

全局配置模式

【使用指南】

使用此命令來設置時間段；可以最多同時設置6個時間段，通過show timerange 命令可以看到所設置的時間。如果在已經(jīng)使用了一個時間段的情況下改變時間段，則此修改將在一分鐘左右生效（系統(tǒng)查詢時間段的時間間隔）。設置的時間應該是24小時制。如果要設置類似晚上9點到早上8點的時間段，可以設置成“settr 21:00 23:59 0:00 8:00”，因為所設置的時間段的兩個端點屬于時間段之內(nèi)，故不會產(chǎn)生時間段內(nèi)外的切換。另外這個設置也經(jīng)過了2000問題的測試。

【舉例】

例1：設置時間段為8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00

例2： 設置時間段為晚上9點到早上8點。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相關(guān)命令】

timerange，show timerange

七、show access-list 顯示包過濾規(guī)則及在接口上的應用。

show access-list [ all | listnumber | interface interface-name]

【參數(shù)說明】

all 表示所有的規(guī)則，包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則。

listnumber 為顯示當前所使用的規(guī)則中序號為listnumber的規(guī)則。

interface 表示要顯示在指定接口上應用的規(guī)則序號。

interface-name 為接口的名稱。

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應的計數(shù)器，如果用此規(guī)則過濾了一個報文，則計數(shù)器加1；通過對計數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效?？梢酝ㄟ^帶interface關(guān)鍵字的show access-list命令來查看某個接口應用規(guī)則的情況。

【舉例】

例1：顯示當前所使用的序號為100的規(guī)則。

Quidway#show access-list 100

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)

例2： 顯示接口Serial0上應用規(guī)則的情況。

Quidway#show access-list interface serial 0

Serial0:

access-list filtering In-bound packets : 120

access-list filtering Out-bound packets: None

【相關(guān)命令】

access-list

八、show firewall 顯示防火墻狀態(tài)。

show firewall

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來顯示防火墻的狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。

【舉例】

顯示防火墻狀態(tài)。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted，0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly，0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相關(guān)命令】

firewall

九、show isintr 顯示當前時間是否在時間段之內(nèi)。

show isintr

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來顯示當前時間是否在時間段之內(nèi)。

【舉例】

顯示當前時間是否在時間段之內(nèi)。

Quidway#show isintr

It is NOT in time ranges now.【相關(guān)命令】

timerange，settr

十、show timerange 顯示時間段包過濾的信息。

show timerange

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來顯示當前是否允許時間段包過濾及所設置的時間段。

【舉例】

顯示時間段包過濾的信息。

Quidway#show timerange

TimeRange packet-filtering enable.beginning of time range:

01:0004:00

end of time range.【相關(guān)命令】

timerange，settr

十一、timerange 啟用或禁止時間段包過濾功能。

timerange { enable | disable }

【參數(shù)說明】

enable 表示啟用時間段包過濾。

disable 表示禁止采用時間段包過濾。

【缺省情況】

系統(tǒng)缺省為禁止時間段包過濾功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令來啟用或禁止時間段包過濾功能，可以通過show firewall命令看到，也可以通過show timerange命令看到配置結(jié)果。在時間段包過濾功能被啟用后，系統(tǒng)將根據(jù)當前的時間和設置的時間段來確定使用時間段內(nèi)（特殊）的規(guī)則還是時間段外（普通）的規(guī)則。系統(tǒng)查詢時間段的精確度為1分鐘。所設置的時間段的兩個端點屬于時間段之內(nèi)。

【舉例】

啟用時間段包過濾功能。

Quidway(config)#timerange enable

【相關(guān)命令】

settr，show timerange

第三篇：華為路由器防火墻配置命令總結(jié)

華為路由器防火墻配置命令總結(jié)

access-list 用于創(chuàng)建訪問規(guī)則。

（1）創(chuàng)建標準訪問列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）創(chuàng)建擴展訪問列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）刪除訪問列表

no access-list { normal | special } { all | listnumber [ subitem ] } 【參數(shù)說明】

normal 指定規(guī)則加入普通時間段。

special 指定規(guī)則加入特殊時間段。

listnumber1 是1到99之間的一個數(shù)值，表示規(guī)則是標準訪問列表規(guī)則。

listnumber2 是100到199之間的一個數(shù)值，表示規(guī)則是擴展訪問列表規(guī)則。

permit 表明允許滿足條件的報文通過。

deny 表明禁止?jié)M足條件的報文通過。

protocol 為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協(xié)議。

source-addr 為源地址。

source-mask 為源地址通配位，在標準訪問列表中是可選項，不輸入則代表通配位為0.0.0.0。

dest-addr 為目的地址。

dest-mask 為目的地址通配位。

operator[可選] 端口操作符，在協(xié)議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個端口。

port1 在協(xié)議類型為TCP或UDP時出現(xiàn)，可以為關(guān)鍵字所設定的預設值（如telnet）或0~65535之間的一個數(shù)值。

port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn)；可以為關(guān)鍵字所設定的預設值（如telnet）或0~65535之間的一個數(shù)值。

icmp-type[可選] 在協(xié)議為ICMP時出現(xiàn)，代表ICMP報文類型；可以是關(guān)鍵字所設定的預設值（如echo-reply）或者是0~255之間的一個數(shù)值。

icmp-code在協(xié)議為ICMP且沒有選擇所設定的預設值時出現(xiàn)；代表ICMP碼，是0~255之間的一個數(shù)值。

log [可選] 表示如果報文符合條件，需要做日志。

listnumber 為刪除的規(guī)則序號，是1~199之間的一個數(shù)值。

subitem[可選] 指定刪除序號為listnumber的訪問列表中規(guī)則的序號。

【缺省情況】 系統(tǒng)缺省不配置任何訪問規(guī)則。

【命令模式】 全局配置模式

【使用指南】 同一個序號的規(guī)則可以看作一類規(guī)則；所定義的規(guī)則不僅可以用來在接口上過濾報文，也可以被如DDR等用來判斷一個報文是否是感興趣的報文，此時，permit與deny表示是感興趣的還是不感興趣的。使用協(xié)議域為IP的擴展訪問列表來表示所有的IP協(xié)議。同一個序號之間的規(guī)則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。

【舉例】 允許源地址為10.1.1.0 網(wǎng)絡、目的地址為10.1.2.0網(wǎng)絡的WWW訪問，但不允許使用FTP。

Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 【相關(guān)命令】 ip access-group

【命令】clear access-list counters [ listnumber ] 【參數(shù)說明】 listnumber [可選] 要清除統(tǒng)計信息的規(guī)則的序號，如不指定，則清除所有的規(guī)則的統(tǒng)計信息。

【缺省情況】 任何時候都不清除統(tǒng)計信息。

【命令模式】 特權(quán)用戶模式

【使用指南】 使用此命令來清除當前所用規(guī)則的統(tǒng)計信息，不指定規(guī)則編號則清除所有規(guī)則的統(tǒng)計信息。

【舉例】 例1：清除當前所使用的序號為100的規(guī)則的統(tǒng)計信息。

Quidway#clear access-list counters 100

例2：清除當前所使用的所有規(guī)則的統(tǒng)計信息。

Quidway#clear access-list counters 【相關(guān)命令】 access-list

【命令】firewall { enable | disable }

【參數(shù)說明】

enable 表示啟用防火墻。disable 表示禁止防火墻。

【缺省情況】系統(tǒng)缺省為禁止防火墻。

【命令模式】全局配置模式

【使用指南】使用此命令來啟用或禁止防火墻，可以通過show firewall命令看到相應結(jié)果。如果采用了時間段包過濾，則在防火墻被關(guān)閉時也將被關(guān)閉；該命令控制防火墻的總開關(guān)。在使用 firewall disable 命令關(guān)閉防火墻時，防火墻本身的統(tǒng)計信息也將被清除。

【舉例】啟用防火墻。Quidway(config)#firewall enable

【相關(guān)命令】 access-list，ip access-group

【命令】firewall default { permit | deny }

【參數(shù)說明】permit 表示缺省過濾屬性設置為“允許”。deny 表示缺省過濾屬性設置為“禁止”。

【缺省情況】在防火墻開啟的情況下，報文被缺省允許通過。

【命令模式】全局配置模式

【使用指南】當在接口應用的規(guī)則沒有一個能夠判斷一個報文是否應該被允許還是禁止時，缺省的過濾屬性將起作用；如果缺省過濾屬性是“允許”，則報文可以通過，否則報文被丟棄。

【舉例】設置缺省過濾屬性為“允許”。

Quidway(config)#firewall default permit

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【參數(shù)說明】listnumber 為規(guī)則序號，是1~199之間的一個數(shù)值。in 表示規(guī)則用于過濾從接口收上來的報文。out 表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)的報文。

【缺省情況】沒有規(guī)則應用于接口。

【命令模式】 接口配置模式。

【使用指南】使用此命令來將規(guī)則應用到接口上；如果要過濾從接口收上來的報文，則使用 in 關(guān)鍵字；如果要過濾從接口轉(zhuǎn)發(fā)的報文，使用out 關(guān)鍵字。一個接口的一個方向上最多可以應用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進行排列，序號大的排在前面，也就是優(yōu)先級高。對報文進行過濾時，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時，盡量將對同一個網(wǎng)絡配置的規(guī)則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。

【舉例】 將規(guī)則101應用于過濾從以太網(wǎng)口收上來的報文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相關(guān)命令】 access-list

六、settr 設定或取消特殊時間段。

【命令】settr begin-time end-time no settr

【參數(shù)說明】 begin-time 為一個時間段的開始時間。

end-time 為一個時間段的結(jié)束時間，應該大于開始時間。

【缺省情況】系統(tǒng)缺省沒有設置時間段，即認為全部為普通時間段。

【命令模式】 全局配置模式

【使用指南】 使用此命令來設置時間段；可以最多同時設置6個時間段，通過show timerange 命令可以看到所設置的時間。如果在已經(jīng)使用了一個時間段的情況下改變時間段，則此修改將在一分鐘左右生效（系統(tǒng)查詢時間段的時間間隔）。設置的時間應該是24小時制。如果要設置類似晚上9點到早上8點的時間段，可以設置成“settr 21:00 23:59 0:00 8:00”，因為所設置的時間段的兩個端點屬于時間段之內(nèi)，故不會產(chǎn)生時間段內(nèi)外的切換。另外這個設置也經(jīng)過了2000問題的測試。

【舉例】 例1：設置時間段為8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00 例2： 設置時間段為晚上9點到早上8點。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相關(guān)命令】 timerange，show timerange

七、show access-list 顯示包過濾規(guī)則及在接口上的應用。

【命令】show access-list [ all | listnumber | interface interface-name]

【參數(shù)說明】 all 表示所有的規(guī)則，包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則。

listnumber 為顯示當前所使用的規(guī)則中序號為listnumber的規(guī)則。

interface 表示要顯示在指定接口上應用的規(guī)則序號。

interface-name 為接口的名稱。

【命令模式】 特權(quán)用戶模式

【使用指南】 使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應的計數(shù)器，如果用此規(guī)則過濾了一個報文，則計數(shù)器加1；通過對計數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效?？梢酝ㄟ^帶interface 關(guān)鍵字的show access-list命令來查看某個接口應用規(guī)則的情況。

【舉例】

例1：顯示當前所使用的序號為100的規(guī)則。

Quidway#show access-list 100

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)例2： 顯示接口Serial0上應用規(guī)則的情況。

Quidway#show access-list interface serial 0 Serial0:

access-list filtering In-bound packets : 120 access-list filtering Out-bound packets: None 【相關(guān)命令】access-list

【命令】show firewall 顯示防火墻狀態(tài)。

【命令模式】特權(quán)用戶模式

【使用指南】 使用此命令來顯示防火墻的狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。

【舉例】顯示防火墻狀態(tài)。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted，0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly，0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相關(guān)命令】 firewall

【命令】show isintr顯示當前時間是否在時間段之內(nèi)?！久钅Ｊ健刻貦?quán)用戶模式

【使用指南】使用此命令來顯示當前時間是否在時間段之內(nèi)。

【舉例】顯示當前時間是否在時間段之內(nèi)。

Quidway#show isintr

It is NOT in time ranges now.【相關(guān)命令】

timerange，settr

【命令】show timerange 【命令模式】特權(quán)用戶模式

【使用指南】使用此命令來顯示當前是否允許時間段包過濾及所設置的時間段。

【舉例】顯示時間段包過濾的信息。

Quidway#show timerange

TimeRange packet-filtering enable.beginning of time range: 01:0004:00

end of time range.【相關(guān)命令】timerange，settr

十一、timerange 啟用或禁止時間段包過濾功能。

【命令】timerange { enable | disable }

【參數(shù)說明】enable 表示啟用時間段包過濾。

disable 表示禁止采用時間段包過濾。

【缺省情況】系統(tǒng)缺省為禁止時間段包過濾功能。

【命令模式】全局配置模式

【使用指南】使用此命令來啟用或禁止時間段包過濾功能，可以通過show firewall命令看到，也可以通過show timerange命令看到配置結(jié)果。在時間段包過濾功能被啟用后，系統(tǒng)將根據(jù)當前的時間和設置的時間段來確定使用時間段內(nèi)（特殊）的規(guī)則還是時間段外（普通）的規(guī)則。系統(tǒng)查詢時間段的精確度為1分鐘。所設置的時間段的兩個端點屬于時間段之內(nèi)。

【舉例】

啟用時間段包過濾功能。

Quidway(config)#timerange enable 【相關(guān)命令】 settr，show timerange

計算機命令

PCA login: root ；使用root用戶 password: linux ；口令是linux # shutdown-h now ；關(guān)機 # init 0 ；關(guān)機 # logout # login # ifconfig ；顯示IP地址 # ifconfig eth0 netmask ；設置IP地址 # ifconfig eht0 netmask down;刪除IP地址 # route add 0.0.0.0 gw # route del 0.0.0.0 gw # route add default gw ；設置網(wǎng)關(guān) # route del default gw ；刪除網(wǎng)關(guān) # route ；顯示網(wǎng)關(guān) # ping # telnet ；建議telnet之前先ping一下

交換機命令

[Quidway]super password 修改特權(quán)用戶密碼 [Quidway]sysname 交換機命名

[Quidway]interface ethernet 0/1 進入接口視圖 [Quidway]interface vlan x 進入接口視圖 [Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 靜態(tài)路由＝網(wǎng)關(guān)

[Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]set authentication-mode password simple 222 [S3026-ui-vty0-4]user privilege level 3

[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口雙工工作狀態(tài) [Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet0/1]flow-control 配置端口流控

[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX狀態(tài)平接或扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 設置接口工作模式 [Quidway-Ethernet0/1]shutdown 關(guān)閉/重起接口 [Quidway-Ethernet0/2]quit 退出系統(tǒng)視圖

[Quidway]vlan 3 創(chuàng)建/刪除一個VLAN/進入VLAN模式

[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在當前VLAN增加/刪除以太網(wǎng)接口 [Quidway-Ethernet0/2]port access vlan 3 將當前接口加入到指定VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 設trunk允許的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 設置trunk端口的PVID

[Quidway]monitor-port 指定和清除鏡像端口

第四篇：華為路由器防火墻配置命令總結(jié)

華為路由器防火墻配置命令

2013-3-30

一、access-list 用于創(chuàng)建訪問規(guī)則。

（1）創(chuàng)建標準訪問列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）創(chuàng)建擴展訪問列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）刪除訪問列表

no access-list { normal | special } { all | listnumber [ subitem ] } 【參數(shù)說明】

normal 指定規(guī)則加入普通時間段。special 指定規(guī)則加入特殊時間段。

listnumber1 是1到99之間的一個數(shù)值，表示規(guī)則是標準訪問列表規(guī)則。listnumber2 是100到199之間的一個數(shù)值，表示規(guī)則是擴展訪問列表規(guī)則。permit 表明允許滿足條件的報文通過。deny 表明禁止?jié)M足條件的報文通過。

protocol 為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協(xié)議。source-addr 為源地址。

source-mask 為源地址通配位，在標準訪問列表中是可選項，不輸入則代表通配位為0.0.0.0。dest-addr 為目的地址。

華為路由器防火墻配置命令

2013-3-30 dest-mask 為目的地址通配位。

operator[可選] 端口操作符，在協(xié)議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個端口。

port1 在協(xié)議類型為TCP或UDP時出現(xiàn)，可以為關(guān)鍵字所設定的預設值（如telnet）或0~65535之間的一個數(shù)值。

port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn)；可以為關(guān)鍵字所設定的預設值（如telnet）或0~65535之間的一個數(shù)值。

icmp-type[可選] 在協(xié)議為ICMP時出現(xiàn)，代表ICMP報文類型；可以是關(guān)鍵字所設定的預設值（如echo-reply）或者是0~255之間的一個數(shù)值。

icmp-code在協(xié)議為ICMP且沒有選擇所設定的預設值時出現(xiàn)；代表ICMP碼，是0~255之間的一個數(shù)值。

log [可選] 表示如果報文符合條件，需要做日志。listnumber 為刪除的規(guī)則序號，是1~199之間的一個數(shù)值。

subitem[可選] 指定刪除序號為listnumber的訪問列表中規(guī)則的序號。

【缺省情況】

系統(tǒng)缺省不配置任何訪問規(guī)則。

【命令模式】

全局配置模式

【使用指南】

華為路由器防火墻配置命令

2013-3-30 同一個序號的規(guī)則可以看作一類規(guī)則；所定義的規(guī)則不僅可以用來在接口上過濾報文，也可以被如DDR等用來判斷一個報文是否是感興趣的報文，此時，permit與deny表示是感興趣的還是不感興趣的。

使用協(xié)議域為IP的擴展訪問列表來表示所有的IP協(xié)議。

同一個序號之間的規(guī)則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。

【舉例】

允許源地址為10.1.1.0 網(wǎng)絡、目的地址為10.1.2.0網(wǎng)絡的WWW訪問，但不允許使用FTP。Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

二、clear access-list counters 清除訪問列表規(guī)則的統(tǒng)計信息。clear access-list counters [ listnumber ] 【參數(shù)說明】

listnumber [可選] 要清除統(tǒng)計信息的規(guī)則的序號，如不指定，則清除所有的規(guī)則的統(tǒng)計信息。

【缺省情況】

任何時候都不清除統(tǒng)計信息。

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來清除當前所用規(guī)則的統(tǒng)計信息，不指定規(guī)則編號則清除所有規(guī)則的統(tǒng)計信息。

【舉例】

華為路由器防火墻配置命令

2013-3-30 例1：清除當前所使用的序號為100的規(guī)則的統(tǒng)計信息。Quidway#clear access-list counters 100 例2：清除當前所使用的所有規(guī)則的統(tǒng)計信息。Quidway#clear access-list counters

三、firewall 啟用或禁止防火墻。firewall { enable | disable } 【參數(shù)說明】

enable 表示啟用防火墻。disable 表示禁止防火墻。

【缺省情況】

系統(tǒng)缺省為禁止防火墻。

【命令模式】

全局配置模式

【使用指南】

使用此命令來啟用或禁止防火墻，可以通過show firewall命令看到相應結(jié)果。如果采用了時間段包過濾，則在防火墻被關(guān)閉時也將被關(guān)閉；該命令控制防火墻的總開關(guān)。在使用 firewall disable 命令關(guān)閉防火墻時，防火墻本身的統(tǒng)計信息也將被清除。

【舉例】

啟用防火墻。

Quidway(config)#firewall enable

華為路由器防火墻配置命令

2013-3-30

四、firewall default 配置防火墻在沒有相應的訪問規(guī)則匹配時，缺省的過濾方式。firewall default { permit | deny } 【參數(shù)說明】

permit 表示缺省過濾屬性設置為“允許”。deny 表示缺省過濾屬性設置為“禁止”。

【缺省情況】

在防火墻開啟的情況下，報文被缺省允許通過。

【命令模式】

全局配置模式

【使用指南】

當在接口應用的規(guī)則沒有一個能夠判斷一個報文是否應該被允許還是禁止時，缺省的過濾屬性將起作用；如果缺省過濾屬性是“允許”，則報文可以通過，否則報文被丟棄。

【舉例】

設置缺省過濾屬性為“允許”。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令將規(guī)則應用到接口上。使用此命令的no形式來刪除相應的設置。ip access-group listnumber { in | out } [ no ] ip access-group listnumber { in | out } 【參數(shù)說明】

listnumber 為規(guī)則序號，是1~199之間的一個數(shù)值。

華為路由器防火墻配置命令

2013-3-30 in 表示規(guī)則用于過濾從接口收上來的報文。out 表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)的報文。

【缺省情況】

沒有規(guī)則應用于接口。

【命令模式】

接口配置模式?！臼褂弥改稀?/p>

使用此命令來將規(guī)則應用到接口上；如果要過濾從接口收上來的報文，則使用 in 關(guān)鍵字；如果要過濾從接口轉(zhuǎn)發(fā)的報文，使用out 關(guān)鍵字。一個接口的一個方向上最多可以應用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進行排列，序號大的排在前面，也就是優(yōu)先級高。對報文進行過濾時，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時，盡量將對同一個網(wǎng)絡配置的規(guī)則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。

【舉例】

將規(guī)則101應用于過濾從以太網(wǎng)口收上來的報文。Quidway(config-if-Ethernet0)#ip access-group 101 in

六、settr 設定或取消特殊時間段。settr begin-time end-time no settr 【參數(shù)說明】

begin-time 為一個時間段的開始時間。

華為路由器防火墻配置命令

2013-3-30 end-time 為一個時間段的結(jié)束時間，應該大于開始時間。

【缺省情況】

系統(tǒng)缺省沒有設置時間段，即認為全部為普通時間段。

【命令模式】

全局配置模式

【使用指南】

使用此命令來設置時間段；可以最多同時設置6個時間段，通過show timerange 命令可以看到所設置的時間。如果在已經(jīng)使用了一個時間段的情況下改變時間段，則此修改將在一分鐘左右生效（系統(tǒng)查詢時間段的時間間隔）。設置的時間應該是24小時制。如果要設置類似晚上9點到早上8點的時間段，可以設置成“settr 21:00 23:59 0:00 8:00”，因為所設置的時間段的兩個端點屬于時間段之內(nèi)，故不會產(chǎn)生時間段內(nèi)外的切換。另外這個設置也經(jīng)過了2000問題的測試。

【舉例】

例1：設置時間段為8:30 ~ 12:00，14:00 ~ 17:00。Quidway(config)#settr 8:30 12:00 14:00 17:00 例2： 設置時間段為晚上9點到早上8點。Quidway(config)#settr 21:00 23:59 0:00 8:0

七、show access-list 顯示包過濾規(guī)則及在接口上的應用。

show access-list [ all | listnumber | interface interface-name] 【參數(shù)說明】

all 表示所有的規(guī)則，包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則。

華為路由器防火墻配置命令

2013-3-30 listnumber 為顯示當前所使用的規(guī)則中序號為listnumber的規(guī)則。interface 表示要顯示在指定接口上應用的規(guī)則序號。interface-name 為接口的名稱。

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應的計數(shù)器，如果用此規(guī)則過濾了一個報文，則計數(shù)器加1；通過對計數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。可以通過帶interface關(guān)鍵字的show access-list命令來查看某個接口應用規(guī)則的情況。【舉例】

例1：顯示當前所使用的序號為100的規(guī)則。Quidway#show access-list 100 Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)100 permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)100 deny udp any any eq rip(no matches--rule 3)例2： 顯示接口Serial0上應用規(guī)則的情況。Quidway#show access-list interface serial 0 Serial0: access-list filtering In-bound packets : 120

華為路由器防火墻配置命令

2013-3-30 access-list filtering Out-bound packets: None

八、show firewall 顯示防火墻狀態(tài)。show firewall 【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來顯示防火墻的狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。

【舉例】

顯示防火墻狀態(tài)。Quidway#show firewall Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;OutBound packets: 0 packets, 0 bytes, 0% permitted, 0 packets, 0 bytes, 0% denied, 2 packets, 104 bytes, 100% permitted defaultly, 0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.九、show isintr 顯示當前時間是否在時間段之內(nèi)。

華為路由器防火墻配置命令

2013-3-30 show isintr 【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來顯示當前時間是否在時間段之內(nèi)。

【舉例】

顯示當前時間是否在時間段之內(nèi)。Quidway#show isintr It is NOT in time ranges now.十、show timerange 顯示時間段包過濾的信息。show timerange 【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來顯示當前是否允許時間段包過濾及所設置的時間段。

【舉例】

顯示時間段包過濾的信息。Quidway#show timerange TimeRange packet-filtering enable.華為路由器防火墻配置命令

2013-3-30 beginning of time range: 01:0004:00 end of time range.十一、timerange 啟用或禁止時間段包過濾功能。timerange { enable | disable } 【參數(shù)說明】

enable 表示啟用時間段包過濾。disable 表示禁止采用時間段包過濾?！救笔∏闆r】

系統(tǒng)缺省為禁止時間段包過濾功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令來啟用或禁止時間段包過濾功能，可以通過show firewall命令看到，也可以通過show timerange命令看到配置結(jié)果。在時間段包過濾功能被啟用后，系統(tǒng)將根據(jù)當前的時間和設置的時間段來確定使用時間段內(nèi)（特殊）的規(guī)則還是時間段外（普通）的規(guī)則。系統(tǒng)查詢時間段的精確度為1分鐘。所設置的時間段的兩個端點屬于時間段之內(nèi)。

【舉例】

啟用時間段包過濾功能。

Quidway(config)#timerange enable

華為路由器防火墻配置命令

2013-3-30