H3C配置經(jīng)典全面教程要點

1、精選優(yōu)質文檔-傾情為你奉上精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)H3C配置經(jīng)典全面教程（經(jīng)驗和資料收集整理版）1 H3C MSR路由器、交換機基本調試步驟（初學級別）：1.1如何登陸進路由器或交換機1.1.1搭建配置環(huán)境第一次使用H3C系列路由器時，只能通過配置口(Console)進行配置。1）將配置電纜的RJ-45一端連到路由器的配置口(Console)上。2）將配置電纜的DB-9(或DB-25)孔式插頭接到要對路由器進行配置的微機或終端的串口上。 備注：登陸交換機的方法與路由器的一致，現(xiàn)僅用路由器舉1.1.2設置微機或終端的參數(shù)

2、（進入路由器或交換機）1）打開微機（筆記本電腦）或終端。如果使用微機進行配置，需要在微機上運行終端仿真程序，如Windows的超級終端。2）第二步：設置終端參數(shù)a、命名此終端 H3C或者自己想命的名b、選擇串口 一般選用COM口，常選用COM1c、設置終端具體參數(shù)(此處點擊“默認值”即可)d、打開路由器的電源，路由器進行啟動 e、當路由器啟動完畢后，回車幾下，當出現(xiàn)時即可配置路由器。1.2路由器基本調試命令1.2.1使用本地用戶進行telnet登錄的認證 system-view 進入系統(tǒng)視圖H3Ctelnet server enable 打開路由器的telnet功能H3Cconfigure-u

3、ser count 5 設置允許同時配置路由器的用戶數(shù)H3Clocal-user telnet 添加本地用戶(此處為telnet用戶登陸時使用的用戶名)H3C-luser-telnetpassword simple h3c 設置telnet用戶登陸時所使用的密碼H3C-luser-telnetservice-type telnet 設置本地用戶的服務類型(此處為telnet)H3C-luser-telnetlevel 3 設置本地用戶的服務級別H3C-luser-telnetquit 退出本地用戶視圖H3CH3Cuser-interface vty 0 4 進入用戶視圖 H3C-ui-vty0

4、-4authentication-mode scheme 選擇“scheme”認證方式備注：紅色部分可以由客戶自行設置，此處僅做舉例時使用! 1.2.2路由器接口的配置為接口配置ip地址 system-view 進入系統(tǒng)視圖H3C interface serial 3/0 進入某個端口H3C-Serial3/0 ip address 為該端口設置ip地址H3C-Serial3/0 undo shutdown 對該端口進行復位H3C-Serial3/0 quit 退回到系統(tǒng)視圖H3C備注：紅色部分可以由客戶自行設置，此處僅做舉例時使用!1.2.3靜態(tài)路由或默認路由的配置 system-view

5、進入系統(tǒng)視圖H3Cip route-static 添加一條靜態(tài)路由H3Cip route-static 添加一條默認路由備注：紅色部分可以由客戶自行設置，此處僅做舉例時使用!1.2.3配置文件的管理display current-configuration 顯示當前的配置文件save 保存配置文件display interface GigabitEthernet 0/0 查看某端口的狀態(tài)備注：display命令可以在任何視圖下進行紅色部分可以由客戶自行設置，此處僅做舉例時使用!交換機的配置文件管理與路由器相同，故交換機的配置幻燈片中不再做舉例。 1.3 交換機的基本調試命令1.3.1 創(chuàng)建VL

6、AN并將端口加入到vlan中 system-view 進入系統(tǒng)視圖H3Cvlan 10 創(chuàng)建vlan 10H3C-vlan100port ethernet 0/1 將某個端口加入到vlan中H3C-vlan100quit 退出到系統(tǒng)H3C備注：紅色部分可以由客戶自行設置，此處僅做舉例時使用! 1.3.2創(chuàng)建vlan虛接口并為接口配置ip地址 system-view 進入系統(tǒng)視圖H3Cinterface vlan-interface 1 創(chuàng)建vlan虛接口H3C-Vlan-interface100 ip address 配置ip地址備注：紅色部分可以由客戶自行設置，此處僅做舉例時使用! 1.3.

7、3 配置默認路由H3C interface vlan-interface 1H3C-Vlan-interface10 ip address H3C-Vlan-interface10 quitH3C ip route-static 配置缺省路由 備注：紅色部分可以由客戶自行設置，此處僅做舉例時使用! 1.3.4設置端口類型 system-view 進入系統(tǒng)視圖H3Cinterface ethernet 0/1H3Cport link-type trunk 將端口類型設置為trunkH3Cport trunk permit vlan all trunk端口允許所有vlan通過H3CsaveTrun

8、k可以收發(fā)多個vlan的報文，用于交換機與交換機之間的互連1.3.5交換機設置telnet登錄的認證配置命令 system-view 進入系統(tǒng)視圖 H3Clocal-user telnet 添加本地用戶(此處為telnet用戶登陸時使用的用戶名)H3C-luser-telnetpassword simple h3c 設置telnet用戶登陸時所使用的密碼H3C-luser-telnetservice-type telnet 設置本地用戶的服務類型(此處為telnet)H3C-luser-telnetlevel 3 設置本地用戶的服務級別H3C-luser-telnetquit 退出本地用戶視圖

9、H3CH3Cuser-interface vty 0 4 進入用戶視圖 H3C-ui-vty0-4authentication-mode scheme 選擇“scheme”認證方式典型案例：案例1：如下圖，LAB （router）通過配置路由器適當?shù)膬膳_終端電腦能夠相互通信，請寫出相關配置語句。案例2：LAB （switch）2 H3C交換機基本配置命令（入門級:配置語句拷貝注解）2.1 IP地址配置命令：system-view-進入系統(tǒng)配置模式Quidway 系統(tǒng)配置編輯模式Quidway interface Vlan-interface 1-交換機出廠默認VLAN-1Quidway-Vla

10、n-interface1ip add 192.168.X.254 配置IP地址Quidway-Vlan-interface1quitQuidway ip route-static 3-配置靜態(tài)路由（網(wǎng)關）2.2 遠程登錄配置命令：system-view-進入系統(tǒng)配置模式Quidway 系統(tǒng)配置編輯模式Quidway user-interface vty 0 4Quidway-ui-vty0-4 user privilege level 3管理權限配置Quidway-ui-vty0-4 set authentication password cipher （cipher為密文密碼）2.3 配置端

11、口速率及端口雙工命令：system-view-進入系統(tǒng)配置模式Quidway 系統(tǒng)配置編輯模式Quidwayinterface Ethernet 1/0/1-進入的端口Quidway-Ethernet1/0/1 duplex full配置端口為“全雙工狀態(tài)”Quidway-Ethernet1/0/1 speed 100-配置端口為“100M”如果是千兆端口可以配置成1000M。2.4 劃分VLAN配置命令：system-view-進入系統(tǒng)配置模式Quidway 系統(tǒng)配置編輯模式QuidwayVLAN 100-創(chuàng)建VLAN-ID為:100QuidwayVLAN 101-創(chuàng)建VLAN-ID為:10

12、1Quidway-vlan100 port Ethernet 1/0/1 to Ethernet 1/0/10-從第1口到第10口添加到VLAN 100Quidway-vlan101 port Ethernet 1/0/11 to Ethernet 1/0/24-從第11口到第24口添加到VLAN 1012.5 配置TRUNK命令： 比如一棟宿舍樓需要兩個網(wǎng)段，劃分了兩個VLAN為100和101，VLAN 100作為管理VLAN配置命令如下：system-view-進入系統(tǒng)配置模式Quidway 系統(tǒng)配置編輯模式QuidwayVLAN 100-創(chuàng)建VLAN-ID為:100QuidwayVLAN

13、 101-創(chuàng)建VLAN-ID為:101Quidway-vlan100 port Ethernet 1/0/1 to Ethernet 1/0/10-從第1口到第10口添加到VLAN 100Quidway-vlan101 port Ethernet 1/0/11 to Ethernet 1/0/24-從第11口到第24口添加到VLAN 101Quidway interface Vlan-interface 100進入VLAN 100Quidway-Vlan-interface100ip address 54 -給VLAN 100配置管理IPQuidway-Vlan-interface100qui

14、tQuidwayip route-static 3配置靜態(tài)路由（網(wǎng)關）上聯(lián)端口為千兆端口GigabitEthernet1/1/1在配置模式下配置命令如下：Quidway interface GigabitEthernet 1/1/1-進入上聯(lián)端口Quidway-GigabitEthernet1/1/1 port link-type trunk -TRUNK是端口匯聚的意思Quidway-GigabitEthernet1/1/1 port trunk permit（允許）vlan all-配置允許通過的VLAN如果上聯(lián)的路由器端口是自適應那么交換機上聯(lián)口也是自適應，如果配置了1000M全雙工那么

15、交換機的上聯(lián)端口也要配成1000M全雙工。如下命令：Quidway-GigabitEthernet1/1/1 duplex full配置端口為“全雙工狀態(tài)”Quidway-GigabitEthernet1/1/1 speed 1000-配置端口為“1000M”2.6 SNMP配置命令：Quidwaysnmp-agent community read 1234-SNMP讀的密碼Quidwaysnmp-agent community write 4567SNMP寫的密碼Quidwaysnmp-agent sys-info version allSNMP軟件版本有V1、V2c、V3這里配置的是允許所

16、有版本。2.7 配置防ARP攻擊命令：system-viewQuidwaydhcp-snooping-開啟交換機DHCP Snooping 功能。開啟VLAN 1 內所有端口的ARP 入侵檢測功能。Quidwayvlan 1Quidway-vlan1arp detection enableQuidway-vlan1quit設置上聯(lián)端口Ethernet1/0/1 為DHCP Snooping 信任端口，ARP 信任端口。Quidwayinterface Ethernet1/0/1Quidway-Ethernet1/0/1dhcp-snooping trustQuidway-Ethernet1/0

17、/1arp detection trustQuidway-Ethernet1/0/1quit開啟端口Ethernet1/0/2 上的ARP 報文限速功能，設置ARP 報文通過的最大速率為20pps。-目的是針對用戶接入口，除上聯(lián)端口外，下聯(lián)用戶端口建議都設置該命令。如下：Quidwayinterface Ethernet1/0/2Quidway-Ethernet1/0/2arp rate-limit enableQuidway-Ethernet1/0/2arp rate-limit 20Quidway-Ethernet1/0/2quit配置端口狀態(tài)自動恢復功能，恢復時間間隔為30 秒。Quid

18、way arp protective-down recover enableQuidway arp protective-down recover interval 30 H3C交換機基本配置（中級版）3.1VRP，CMW簡介3.1.1 VRP（Versatile Routing Platform，通用路由平臺）是華為公司數(shù)據(jù)通信產(chǎn)品的通用網(wǎng)絡操作系統(tǒng)平臺。3.1.2 CMW（Comware）是H3C公司的核心軟件平臺。3.1.3 VRP、CMW的體系結構以TCP/IP模型為參考，實現(xiàn)了數(shù)據(jù)鏈路層、網(wǎng)絡層和應用層的多種協(xié)議，其體系結構圖如下:3.1.4 VRP視圖結構用戶視圖 系統(tǒng)視圖 命令：

19、 system-view 在系統(tǒng)視圖下 可以進入各種功能視圖，在各功能視圖中還可以進入子功能視圖3.2基本命令 3.2.1配置系統(tǒng)名1)用途：用戶名是設備的名字，目的是讓用戶更加方便的使用設備2)配置命令: sysname 3.2.2接口描述1)用途：接口描述是為了指明接口的一些屬性，如是什么接口，對端接的什么設備等，讓用戶更加了解該接口。2)配置命令: interface ethernet0/1 description connect to student3.2.3接口IP地址的配置1)用途:給接口一個網(wǎng)絡上唯一的區(qū)分符2)配置命令:interface vlan 1 ip address 3

20、.2.4 查看交換機信息1)用途:讓用戶對設備的信息更了解，也有利于對設備做配置2）配置命令:顯示版本 display version顯示當前配置信息 display current 顯示NVRAM的配置 display saved-config 顯示接口信息 display interface XX顯示路由信息 display ip routing-table 調試交換機1)用途:更細致的查看交換機的各種數(shù)據(jù)包，幫助發(fā)現(xiàn)網(wǎng)絡問題2)常用調試命令: terminal debugging terminal monitor debugging ip packet undo debugging al

21、l 端口鏡像1)用途:通過鏡像來抓取網(wǎng)絡流量，幫助分析網(wǎng)絡問題2)配置命令: monitor-port Ethernet 0/1 both （監(jiān)控端口） mirroring-port Ethernet0/2 both（源端口） 流鏡像1)用途:通過鏡像來抓取網(wǎng)絡流量，幫助分析網(wǎng)絡問題2)配置命令: mirrored-to ip-group 2000 interface Ethernet 0/1 acl number 2000 rule 0 permit 3.2.8快捷命令行介紹VRP、CMW Ctrl+F 前移一個字符 Ctrl+B 后移一個字符 Ctrl+P (向上箭頭)重用前一條命令 Ct

22、rl+N (向下箭頭)重用下一條命令3.2.9引導配置1)用途:通過引導配置，可以改變從什么地方取得交換機的系統(tǒng)軟件2)配置命令boot boot-loader xxxx.bin 查看命令 display boot-loader 3.3交換VLAN（Virtual Local Area Network）技術是把一個LAN劃分成多個邏輯的“LAN”VLAN，每個VLAN是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內。 vlan 100 (1-4094) 創(chuàng)建VLAN undo vlan 100 (1-4094) 刪除V

23、LAN.port Ethernet 2/0/1 在VLAN中增加端口.undo port Ethernet 2/0/1 在VLAN中刪除端口.port access vlan 100 (1-4094) 將端口加入VLANundo port access vlan 100 (1-4094) 將端口脫離VLANdisplay vlan VLAN ID (1-4094) 顯示VLAN信息 TrunkTrunk允許在只有一條鏈路的情況下傳輸VLAN信息定義端口屬性為Trunk. port link-type trunk刪除端口Trunk屬性. undo port link-type定義端口可以傳輸?shù)腣

24、LAN. port trunk permit vlan VLAN ID 在VLAN中刪除端口. undo port trunk permit vlan VLAN ID Link Aggregation鏈路聚合是將幾條物理鏈路聚合在一起，當作一條 邏輯鏈路來使用。分為靜態(tài)聚合和動態(tài)聚合靜態(tài)聚合端口. link-aggregation Ethernet 0/1 to Ethernet 0/4 both刪除端口的靜態(tài)聚合. undo link-aggregation all在端口下進行動態(tài)聚合. lacp enable在端口下取消動態(tài)聚合. undo lacp enable STP（Spanning

25、 Tree Protocol）是生成樹協(xié)議的英文縮寫。該協(xié)議可應用于環(huán)路網(wǎng)絡，通過一定的算法阻斷某些冗余路徑，將環(huán)路網(wǎng)絡修剪成無環(huán)路的樹型網(wǎng)絡，從而避免報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)。 定義STP模式. stp mode stp 取消STP模式. undo stp mode定義MSTP模式. stp mode mstp 取消MSTP模式. undo stp mode 3.4路由3.4.1 RIPRIP是Routing Information Protocol（路由信息協(xié)議）的簡稱。它是一種較為簡單的內部網(wǎng)關協(xié)議（IGP），主要用于規(guī)模較小的網(wǎng)絡中。啟動RIP，進入RIP視圖 rip停止RIP

26、協(xié)議的運行 undo rip在指定的網(wǎng)絡接口上應用RIP network network-address在指定的網(wǎng)絡接口上取消應用RIPundo network network-address指定接口的RIP版本為RIP-1 rip version 1指定接口的RIP版本為RIP-2 rip version 2 broadcast | multicast 將接口運行的RIP版本恢復為缺省值 undo rip version 1 | 2 OSPFOSPF是Open Shortest Path First（開放最短路由優(yōu)先協(xié)議）的縮寫。它是IETF組織開發(fā)的一個基于鏈路狀態(tài)的內部網(wǎng)關協(xié)議。目前使用

27、的是版本2（RFC2328）.定義router id啟動OSPF，進入OSPF視圖 ospf 關閉OSPF路由協(xié)議進程 undo ospf process-id 進入OSPF區(qū)域視圖 area area-id刪除指定的OSPF區(qū)域 undo area area-id指定網(wǎng)段運行OSPF協(xié)議 network ip-address wildcard-mask取消網(wǎng)段運行OSPF協(xié)議 undo network ip-address wildcard-mask 3.5網(wǎng)絡管理3.5.1 SNMP的介紹介紹簡單網(wǎng)絡管理協(xié)議（SNMP)是被廣泛應用的一項工業(yè)標準，是目前用得最廣泛的計算機網(wǎng)絡管理協(xié)議結構S

28、NMP結構分為NMS(Network Management Station)和AGENT兩部分，NMS是運行客戶端的工作站，AGENT是運行在網(wǎng)絡設備上的服務端軟件SNMP版本SNMP現(xiàn)在有三個版本，SNMP v3/v2c/v1,SNMP v3兼容v1和v2c.SNMP的配置包括：啟動和關閉SNMP AGENT服務設置團體名配置一個SNMP組設置管理員的聯(lián)系方法允許禁止發(fā)送Trap報文設置Trap目標主機的地址指定發(fā)送報文的源地址SNMP實例配置System-view 進入視圖Snmp-agent community read public 只讀團體屬性名publicSnmp-agent co

29、mmunty write private 只寫團體屬性名privateSnmp-agent sys-inf contact Mr.wang-tel 3306 設置管理員聯(lián)系方法Snmp-agent sys-info location telephone 3rd floor 路由器物理位置Snmp-agent trap enable 使能trap報文Snmp-agent target-host trap address udp-domain 3 udp-port 5000 params securityname public 允許向網(wǎng)管工作站3發(fā)送trap報文，使用團體名為public.3.6安

30、全管理3.6.1認證與授權要點需要確定權利的等級需要確定授權的策略Generic or per user RADIUS Local authentication3.6.2認證配置本地驗證VRP的配置 local-user huawei password simple 123 service-type telnet 設置本地認證用戶名和密碼user-interface vty 0 4 進入vty視圖authentication-mode scheme 通過telnet訪問的用戶使用本地驗證3.6.3限制授權區(qū)分用戶在設備上的授權配置等級視圖等級支持等級 使用特權等級（level 1-level

31、3)3.6.4授權配置VRP的配置local-user huawei password simple 123 建立用戶local-user huawei level 3 設定授權等級應用命令 command-privilege level 3 view serial display interface VRP的命令行保護 super password level 1/2/3 simple/cipher 123 3.6.5 Vty和console的時間保護用途 為了使通過vty和console登陸的設備在使用者離開后不被其他沒有授權的人使用VRP的配置 Idle-timeout minite s

32、econd3.6.6訪問控制列表概述 路由器為了過濾數(shù)據(jù)包，需要配置一系列的規(guī)則，以決定什么樣的數(shù)據(jù)包能夠通過，這些規(guī)則就是通過訪問控制列表ACL（Access Control List）定義的。分類 基本的訪問控制列表（basic acl） 高級的訪問控制列表（advanced acl） 基于接口的訪問控制列表（interface-based acl） 基于MAC的訪問控制列表（mac-based acl）3.6.7標準訪問列表的配置在系統(tǒng)視圖下，創(chuàng)建一個基本訪問控制列表 acl number number/name name basic match- order config/auto在基

33、本訪問控制列表試圖下，配置ACL規(guī)則 rule rule-id permit/deny source sour-add sour-wildcast/any time-range time-name logging fragment vpn-instance vpn-instance-nameacl number 2000 rule 1 permit source 554 H3C配置實驗數(shù)據(jù)注解1、system-view 進入系統(tǒng)視圖模式2、sysname 為設備命名3、display current-configuration 當前配置情況4、 language-mode Chinese|En

34、glish 中英文切換5、interface Ethernet 1/0/1 進入以太網(wǎng)端口視圖6、 port link-type Access|Trunk|Hybrid 設置端口訪問模式7、 undo shutdown 打開以太網(wǎng)端口8、 shutdown 關閉以太網(wǎng)端口9、 quit 退出當前視圖模式10、 vlan 10 創(chuàng)建VLAN 10并進入VLAN 10的視圖模式11、 port access vlan 10 在端口模式下將當前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下將指定端口加入到當前vlan中13、port trunk perm

35、it vlan all 允許所有的vlan通過H3C路由器#1、system-view 進入系統(tǒng)視圖模式2、sysname R1 為設備命名為R13、display ip routing-table 顯示當前路由表4、 language-mode Chinese|English 中英文切換5、interface Ethernet 0/0 進入以太網(wǎng)端口視圖6、 ip address 配置IP地址和子網(wǎng)掩碼7、 undo shutdown 打開以太網(wǎng)端口8、 shutdown 關閉以太網(wǎng)端口9、 quit 退出當前視圖模式10、 ip route-static description To.R2

36、 配置靜態(tài)路由11、 ip route-static description To.R2 配置默認的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router#1、調整超級終端的顯示字號；2、捕獲超級終端操作命令行，以備日后查對；3、 language-mode Chinese|English 中英文切換 ；4、復制命令到超級終端命令行，粘貼到主機；5、交換機清除配置 :reset save ；reboot ；6、路由器、交換機配置時不能掉電，連通測試前一定要 檢查網(wǎng)絡的連通性，不要犯最低級的錯誤。7、/24 等同 ；在配置交換機和路由器時，

37、可以寫成： 248、設備命名規(guī)則：地名-設備名-系列號 例：PingGu-R-S3600H3C交換機的一些簡單配置2009-11-25 18:49這里使用的H3C交換機是H126A，僅僅只做了最基本的配置以滿足使用。配置中可以通過display current-configura命令來顯示當前使用的配置內容。# 配置VLAN 1system-viewSystem View: return to User View with Ctrl+Z.Sysnamevlan 1Sysname-vlan1 quitSysnamemanagement-vlan 1Sysnameinterface Vlan-in

38、terface 1Sysname-Vlan-interface1 ip address 01 # 顯示VLAN 接口1 的相關信息。 display ip interface Vlan-interface 1# 創(chuàng)建VLAN（H3C不支持cisco的VTP，所以只能添加靜態(tài)VLAN）system-viewSystem View: return to User View with Ctrl+Z.H3C_TESTvlan 99H3C_TEST-vlan99name seicofficeH3C_TEST-vlan99quit# 把交換機的端端口劃分到相應的Vlan中H3C_TESTinterface

39、 ethernet1/0/2/進入端口模式H3C_TEST-Ethernet1/0/2port link-type access /設置端口的類型為accessH3C_TEST-Ethernet1/0/2port access vlan 99/把當前端口劃到vlan 99H3C_TESTvlan 99H3C_TEST-vlan99port ethernet1/0/1 to ethernet1/0/24/把以及網(wǎng)端口1/0/1到1/0/24劃到vlan99H3C_TEST-vlan99quitH3C_TEST-GigabitEthernet1/2/1port trunk permit vlan

40、1 99 / ID|All 設置trunk端口允許通過的VLAN-# 配置本地用戶system-viewSystem View: return to User View with Ctrl+Z.Sysnamelocal-user h3cNew local user added.Sysname-luser-h3cservice-type telnet level 3Sysname-luser-h3cpassword simple h3c# 配置歡迎信息H3C_TESTheader login %Welcome to login h3c!%# 配置用戶認證方式telnet(vty 0-4)H3C_

41、TESTuser-interface vty 0 4H3C_TEST-ui-vty0-4authentication-mode schemeH3C_TEST-ui-vty0-4protocol inbound telnetH3C_TEST-ui-vty0-4super authentication-mode super-passwordH3C_TEST-ui-vty0-4quitH3C_TESTsuper password level 3 simple h3c /用戶登陸后提升權限的密碼# 配置Radius策略H3C_TESTradius scheme radius1New Radius sc

42、hemeH3C_TEST-radius-radius1primary authentication 53 1645H3C_TEST-radius-radius1primary accounting 53 1646H3C_TEST-radius-radius1secondary authentication 1645H3C_TEST-radius-radius1secondary accounting 1646H3C_TEST-radius-radius1timer 5H3C_TEST-radius-radius1key authentication h3cH3C_TEST-radius-rad

43、ius1key accounting h3cH3C_TEST-radius-radius1server-type extendedH3C_TEST-radius-radius1user-name-format without-domain # 配置域H3C_TESTdomain h3cH3C_TEST-isp-h3cauthentication radius-scheme radius1 localH3C_TEST-isp-h3cscheme radius-scheme radius1 localH3C_TESTdomain default enable h3c# 配置在遠程認證失敗時，本地認

44、證的keyH3C_TESTlocal-server nas-ip key h3cH3C交換機路由器telnet和console口登錄配置2009年11月09日 星期一 10:00級別說明Level 名稱命令0參觀ping、tracert、telnet1監(jiān)控display、debugging2配置所有配置命令（管理級的命令除外）3管理文件系統(tǒng)命令、FTP命令、TFTP命令、XMODEM命令telnet僅用密碼登錄，管理員權限Routeruser-interface vty 0 4Router-ui-vty0-4user privilege level 3Router-ui-vty0-4set a

45、uthentication password simple abctelnet僅用密碼登錄，非管理員權限Routersuper password level 3 simple superRouteruser-interface vty 0 4Router-ui-vty0-4user privilege level 1Router-ui-vty0-4set authentication password simple abctelnet使用路由器上配置的用戶名密碼登錄，管理員權限Routerlocal-user admin password simple adminRouterlocal-use

46、r admin service-type telnetRouterlocal-user admin level 3Routeruser-interface vty 0 4Router-ui-vty0-4authentication-mode localtelnet使用路由器上配置的用戶名密碼登錄，非管理員權限Routersuper password level 3 simple superRouterlocal-user manage password simple manageRouterlocal-user manage service-type telnetRouterlocal-use

47、r manage level 2Routeruser-interface vty 0 4Router-ui-vty0-4authentication-mode local對console口設置密碼，登錄后使用管理員權限Routeruser-interface con 0Router-ui-console0user privilege level 3Router-ui-console0set authentication password simple abc對console口設置密碼，登錄后使用非管理員權限Routersuper password level 3 simple superRou

48、teruser-interface con 0Router-ui-console0user privilege level 1Router-ui-console0set authentication password simple abc對console口設置用戶名和密碼，登錄后使用管理員權限Routerlocal-user admin password simple adminRouterlocal-user admin service-type terminalRouterlocal-user admin level 3Routeruser-interface con 0Router-ui

49、-console0authentication-mode local對console口設置用戶名和密碼，登錄后使用非管理員權限Routersuper password level 3 simple superRouterlocal-user manage password simple manageRouterlocal-user manage service-type terminalRouterlocal-user manage level 2Routeruser-interface con 0Router-ui-console0authentication-mode localsimpl

50、e 是明文顯示，cipher 是加密顯示路由器不設置telnet登錄配置時，用戶無法通過telnet登錄到路由器上Router-ui-vty0-4acl 2000 inbound可以通過acl的規(guī)則只允許符合條件的用戶遠程登錄路由器路由器命令Quidwaydisplay version 顯示版本信息Quidwaydisplay current-configuration 顯示當前配置Quidwaydisplay interfaces 顯示接口信息Quidwaydisplay ip route 顯示路由信息Quidwaysysname aabbcc 更改主機名Quidwaysuper passw

51、rod 設置口令Quidwayinterface serial0 進入接口Quidway-serial0ip address Quidway-serial0undo shutdown 激活端口Quidwaylink-protocol hdlc 綁定hdlc協(xié)議Quidwayuser-interface vty 0 4Quidway-ui-vty0-4authentication-mode passwordQuidway-ui-vty0-4set authentication-mode password simple 222Quidway-ui-vty0-4user privilege leve

52、l 3Quidway-ui-vty0-4quitQuidwaydebugging hdlc all serial0 顯示所有信息Quidwaydebugging hdlc event serial0 調試事件信息Quidwaydebugging hdlc packet serial0 顯示包的信息靜態(tài)路由：Quidwayip route-static interface number|nexthopvaluereject|blackhole 例如：Quidwayip route-static 16 Quidwayip route-static Quidwayip route-static 16

53、 Serial 2Quidwayip route-static 動態(tài)路由：QuidwayripQuidwayrip workQuidwayrip inputQuidwayrip outputQuidway-ripnetwork 可以allQuidway-ripnetwork Quidway-rippeer ip-address Quidway-ripsummary Quidwayrip version 1Quidwayrip version 2 multicastQuidway-Ethernet0rip split-horizon 水平分隔Quidwayrouter id A.B.C.D 配置

54、路由器的IDQuidwayospf enable 啟動OSPF協(xié)議Quidway-ospfimport-route direct 引入直聯(lián)路由Quidway-Serial0ospf enable area 配置OSPF區(qū)域標準訪問列表命令格式如下：acl match-order config|auto 默認前者順序匹配。rule normal|specialpermit|deny source source-addr source-wildcard|any例：Quidwayacl 10Quidway-acl-10rule normal permit source 55Quidway-acl-1

55、0rule normal deny source any擴展訪問控制列表配置命令配置TCP/UDP協(xié)議的擴展訪問列表：rule normal|specialpermit|denytcp|udpsource |anydestination |anyoperate配置ICMP協(xié)議的擴展訪問列表：rule normal|specialpermit|denyicmp source |anydestination |anyicmp-code logging擴展訪問控制列表操作符的含義equal portnumber 等于greater-than portnumber 大于less-than portnu

56、mber 小于not-equal portnumber 不等range portnumber1 portnumber2 區(qū)間擴展訪問控制列表舉例Quidwayacl 101Quidway-acl-101rule deny souce any destination anyQuidway-acl-101rule permit icmp source any destination any icmp-type echoQuidway-acl-101rule permit icmp source any destination any icmp-type echo-replyQuidwayacl 1

57、02Quidway-acl-102rule permit ip source destination Quidway-acl-102rule deny ip source any destination anyQuidwayacl 103Quidway-acl-103rule permit tcp source any destination destination-port equal ftpQuidway-acl-103rule permit tcp source any destination destination-port equal wwwQuidwayfirewall enabl

58、eQuidwayfirewall default permit|denyQuidwayint e0Quidway-Ethernet0firewall packet-filter 101 inbound|outbound地址轉換配置舉例Quidwayfirewall enableQuidwayfirewall default permit Quidwayacl 101Quidway-acl-101rule deny ip source any destination any Quidway-acl-101rule permit ip source 0 destination anyQuidway

59、-acl-101rule permit ip source 0 destination anyQuidway-acl-101rule permit ip source 0 destination anyQuidway-acl-101rule permit ip source 0 destination anyQuidwayacl 102Quidway-acl-102rule permit tcp source 0 destination 0Quidway-acl-102rule permit tcp source any destination 0 destination-port great

60、-than 1024Quidway-Ethernet0firewall packet-filter 101 inbound Quidway-Serial0firewall packet-filter 102 inbound Quidwaynat address-group 01 03 pool1Quidwayacl 1 Quidway-acl-1rule permit source 55Quidway-acl-1rule deny source any Quidway-acl-1int serial 0Quidway-Serial0nat outbound 1 address-group po