通信人家园

标题: H3C路由器配置  [查看完整版帖子] [打印本页]
时间:  2013-10-28 11:49
作者: jiaoyang9999     标题: H3C路由器配置

telnet 防火墙IP地址
用户名
密码
--进入普通用户权限--
--在此命令下可输入一般命令--
--可用?看有哪些命令和命令的作用--
system-view
--进入超级管理员权限界面--
--此提示符下可输绝大部分命令--
--(极少数需要在com终端输入)--
quit
--退出当前状态,返回上一级--

一般命令(不一定要把命令写全)
display current 展示当前配置
acl number 3050 进入访问控制列表3050号
rule 66 permit ip ........ 在当前访问控制表增加或修改规则66号
rule的具体用法可用rule ?一步步显示出来,亦可参考我原写的命令

我原配置需要涉及的部分
1.ip和mac绑定,绑定方法具体看一下参数文件你就可明白
2.策略号3050
在该条策略中如有permit就是允许你指定的ip或ip段上网
3.策略号3051和305作用是限流
在该策略号具体用法可参考其中的rule规则

最后是save
否则一重启这些改动就会无效


sH3C路由器#####################################################################
1、system-view   进入系统视图模式
2、sysname R1   为设备命名为R1
3、display ip routing-table 显示当前路由表
4、 language-mode Chinese|English 中英文切换
5、interface Ethernet 0/0 进入以太网端口视图
6、 ip address 192.168.1.1 255.255.255.0   配置IP地址和子网掩码
7、 undo shutdown   打开以太网端口
8、 shutdown   关闭以太网端口
9、 quit     退出当前视图模式
10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 descriptionTo.R2 配置静态路由
11、 ip route-static 0.0.0.0 0.0.0.0192.168.12.2 description To.R2 配置默认的路由
H3C S3100 Switch
H3C S3600 Switch
H3C MSR 20-20 Router
#####################################################################
1、调整超级终端的显示字号;
2、捕获超级终端操作命令行,以备日后查对;
3、 language-mode Chinese|English 中英文切换 ;
4、复制命令到超级终端命令行,粘贴到主机;
5、交换机清除配置 :<H3C>resetsave ;<H3C>reboot;
6、路由器、交换机配置时不能掉电,连通测试前一定要
     检查网络的连通性,不要犯最低级的错误。
7、192.168.1.1/24    等同  192.168.1.1 255.255.255.0;在配置交换机和路由器时, 192.168.1.1255.255.255.0 可以写成:
192.168.1.1 24
8、设备命名规则:地名-设备名-系列号 例:PingGu-R-S3600
路由器命令
~~~~~~~~~~
[Quidway]display version                         显示版本信息
[Quidway]display current-configuration           显示当前配置
[Quidway]display interfaces                      显示接口信息
[Quidway]display ip route                        显示路由信息

[Quidway]sysname aabbcc                          更改主机名
[Quidway]super passwrod 123456                   设置口令  
[Quidway]interface serial0                       进入接口
[Quidway-serial0]ip address <ip><mask>
[Quidway-serial0]undo shutdown                   激活端口
[Quidway]link-protocol hdlc                      绑定hdlc协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit

[Quidway]debugging hdlc all serial0              显示所有信息
[Quidway]debugging hdlc event serial0            调试事件信息
[Quidway]debugging hdlc packet serial0           显示包的信息

静态路由:
[Quidway]ip route-static <ip><mask>{interfacenumber|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0  10.0.0.2


动态路由:
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]rip output
[Quidway-rip]network 1.0.0.0                      ;可以all
[Quidway-rip]network 2.0.0.0
[Quidway-rip]peer ip-address
[Quidway-rip]summary
[Quidway]rip version 1
[Quidway]rip version 2 multicast
[Quidway-Ethernet0]rip split-horizon            ;水平分隔

[Quidway]router id A.B.C.D                      配置路由器的ID
[Quidway]ospf enable                           启动OSPF协议
[Quidway-ospf]import-route direct               引入直联路由
[Quidway-Serial0]ospf enable area <area_id>      配置OSPF区域


标准访问列表命令格式如下:
acl <acl-number> [match-order config|auto]       默认前者顺序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any


扩展访问控制列表配置命令

配置TCP/UDP协议的扩展访问列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}
[operate]

配置ICMP协议的扩展访问列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination{<ip wild>|any]
[icmp-code] [logging]

扩展访问控制列表操作符的含义
equal portnumber              等于
greater-than portnumber       大于
less-than portnumber              小于
not-equal portnumber              不等
range portnumber1 portnumber2 区间

扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-typeecho-reply

[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.10.0.0.0
[Quidway-acl-102]rule deny ip source any destination any

[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0destination-port equal www


[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound


地址转换配置举例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0destination-port great-than
1024

[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway-Serial0]firewall packet-filter 102 inbound

[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1

[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 wwwtcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp


PPP验证:
主验方:pap|chap
[Quidway]local-user u2 password {simple|cipher} aaa
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user u1        //pap时,不用此句

pap被验方:
[Quidway]interface serial 0
[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa

chap被验方:
[Quidway]interface serial 0
[Quidway-serial0]ppp chap user u1        
[Quidway-serial0]local-user u2 password {simple|cipher} aaa
1、system-view   进入系统视图模式
2、sysname   为设备命名
3、display current-configuration 当前配置情况
4、 language-mode Chinese|English 中英文切换
5、interface Ethernet 1/0/1 进入以太网端口视图
6、 port link-type Access|Trunk|Hybrid      设置端口访问模式
7、 undo shutdown   打开以太网端口
8、 shutdown   关闭以太网端口
9、 quit     退出当前视图模式
10、 vlan 10    创建VLAN 10并进入VLAN 10的视图模式
11、 port access vlan 10   在端口模式下将当前端口加入到vlan 10中
12、port E1/0/2 to E1/0/5    在VLAN模式下将指定端口加入到当前vlan中
13、port trunk permit vlan all    允许所有的vlan通过



H3C交换机的一些简单配置
2009-11-25 18:49
  
这里使用的H3C交换机是H126A,仅仅只做了最基本的配置以满足使用。
  
  配置中可以通过display current-configura命令来显示当前使用的配置内容。
  
  # 配置VLAN 1
  <Sysname>system-view
  System View: return to User View with Ctrl+Z.
  [Sysname]vlan 1
  [Sysname-vlan1] quit
  [Sysname]management-vlan 1
  [Sysname]interface Vlan-interface 1
  [Sysname-Vlan-interface1] ip address 10.0.1.201  255.255.255.0
  
  # 显示VLAN 接口1 的相关信息。
  <Sysname> display ip interface Vlan-interface 1
  
  # 创建VLAN(H3C不支持cisco的VTP,所以只能添加静态VLAN)
  <H3C_TEST>system-view
  System View: return to User View with Ctrl+Z.
  [H3C_TEST]vlan 99
  [H3C_TEST-vlan99]name  seicoffice
  [H3C_TEST-vlan99]quit
  
  # 把交换机的端端口划分到相应的Vlan中
  [H3C_TEST]interface  ethernet1/0/2       //进入端口模式
  [H3C_TEST-Ethernet1/0/2]port  link-type access //设置端口的类型为access
  [H3C_TEST-Ethernet1/0/2]port  access vlan 99  //把当前端口划到vlan  99
  
  [H3C_TEST]vlan 99
  [H3C_TEST-vlan99]port  ethernet1/0/1 to ethernet1/0/24  //把以及网端口1/0/1到1/0/24划到vlan99
  [H3C_TEST-vlan99]quit
  
  [H3C_TEST-GigabitEthernet1/2/1]port  trunk permit vlan 1 99    // {ID|All} 设置trunk端口允许通过的VLAN
  -------------------------------------------------------------------------------------------------------
  # 配置本地用户
  <Sysname>system-view
  System View: return to User View with Ctrl+Z.
  [Sysname]local-user h3c
  New local user added.
  [Sysname-luser-h3c]service-type  telnet level 3
  [Sysname-luser-h3c]password  simple h3c
  
  # 配置欢迎信息
  [H3C_TEST]header login  %Welcome to login h3c!%
  
  # 配置用户认证方式telnet(vty 0-4)
  [H3C_TEST]user-interface vty 0  4
  [H3C_TEST-ui-vty0-4]authentication-mode  scheme
  [H3C_TEST-ui-vty0-4]protocol  inbound telnet
  [H3C_TEST-ui-vty0-4]super  authentication-mode super-password
  [H3C_TEST-ui-vty0-4]quit
  [H3C_TEST]super password level  3 simple h3c     //用户登陆后提升权限的密码
  
  # 配置Radius策略
  [H3C_TEST]radius scheme  radius1
  New Radius scheme
  [H3C_TEST-radius-radius1]primary  authentication 10.0.1.253 1645
  [H3C_TEST-radius-radius1]primary  accounting 10.0.1.253 1646
  [H3C_TEST-radius-radius1]secondary  authentication 127.0.0.1 1645
  [H3C_TEST-radius-radius1]secondary  accounting 127.0.0.1 1646
  
  [H3C_TEST-radius-radius1]timer  5
  [H3C_TEST-radius-radius1]key  authentication h3c
  [H3C_TEST-radius-radius1]key  accounting h3c
  [H3C_TEST-radius-radius1]server-type  extended
  
  
  [H3C_TEST-radius-radius1]user-name-format  without-domain
  
  # 配置域
  [H3C_TEST]domain h3c
  [H3C_TEST-isp-h3c]authentication radius-scheme radius1  local
  [H3C_TEST-isp-h3c]scheme radius-scheme radius1 local
  [H3C_TEST]domain default  enable h3c
  
  # 配置在远程认证失败时,本地认证的key
  [H3C_TEST]local-server nas-ip  127.0.0.1 key h3c
  
H3C交换机路由器telnet和console口登录配置
2009年11月09日 星期一 10:00
  
级别说明
  Level 名称
  命令
  
  0
  参观
  ping、tracert、telnet
  
  1
  监控
  display、debugging
  
  2
  配置
  所有配置命令(管理级的命令除外)
  
  3
  管理
  文件系统命令、FTP命令、TFTP命令、XMODEM命令
  
  
  
  
  
  
  telnet仅用密码登录,管理员权限
  [Router]user-interface vty 0 4[Router-ui-vty0-4]user privilege level  3[Router-ui-vty0-4]set authentication password simple abc
  telnet仅用密码登录,非管理员权限
  [Router]super password level 3 simple super
  [Router]user-interface vty 0 4[Router-ui-vty0-4]user privilege level  1[Router-ui-vty0-4]set authentication password simple abc
  telnet使用路由器上配置的用户名密码登录,管理员权限
  [Router]local-user admin password simple admin[Router]local-user admin  service-type telnet[Router]local-user admin level 3
  [Router]user-interface vty 0 4[Router-ui-vty0-4]authentication-mode local
  telnet使用路由器上配置的用户名密码登录,非管理员权限
  [Router]super password level 3 simple super
  [Router]local-user manage password simple manage[Router]local-user manage  service-type telnet[Router]local-user manage level 2
  [Router]user-interface vty 0 4[Router-ui-vty0-4]authentication-mode local
  对console口设置密码,登录后使用管理员权限
  [Router]user-interface con 0[Router-ui-console0]user privilege level  3[Router-ui-console0]set authentication password simple abc
  对console口设置密码,登录后使用非管理员权限
  [Router]super password level 3 simple super
  [Router]user-interface con 0[Router-ui-console0]user privilege level  1[Router-ui-console0]set authentication password simple abc
  对console口设置用户名和密码,登录后使用管理员权限
  [Router]local-user admin password simple admin[Router]local-user admin  service-type terminal[Router]local-user admin level 3
  [Router]user-interface con 0[Router-ui-console0]authentication-mode local
  对console口设置用户名和密码,登录后使用非管理员权限
  [Router]super password level 3 simple super
  [Router]local-user manage password simple manage[Router]local-user manage  service-type terminal[Router]local-user manage level 2
  [Router]user-interface con 0[Router-ui-console0]authentication-mode local
  
  simple 是明文显示,cipher 是加密显示
  路由器不设置telnet登录配置时,用户无法通过telnet登录到路由器上
  [Router-ui-vty0-4]acl 2000 inbound可以通过acl的规则只允许符合条件的用户远程登录路由器
  





通信人家园 (https://www.txrjy.com/) Powered by C114