01

正文

单交换机VLAN划分

进入系统视图 system

进入系统视图 system-view

退到系统视图 quit

删除vlan 20 undo vlan 20 

交换机命名   sysname 

显示vlan    disp vlan

创建vlan(也可进入vlan 20)  vlan 20 

把端口1-5放入VLAN 20 中  port e1/0/1 to e1/0/5 

显示vlan里的端口20  disp vlan 20

进入端口24  int e1/0/24 

把当前端口放入vlan 20  port access vlan 20 

表示删除当前VLAN端口10  undo port e1/0/10 

查看当前配置  disp curr 

删掉配置的命令 复制命令在前加undo

路由器基本配置命令

命名路由器(或交换机) sysname router_name

删除Flash ROM中的配置  delete

将配置写入Flash ROM   save 

进入接口配置模式  interface serial 0  

退出接口模式到系统视图  quit 

关闭/重启接口  shutdown/undo shutdown 

为接口配置IP地址和子网掩码  ip address ip_address subnet_mask 

显示接口配置信息  display interfaces

显示路由表  display ip routing 

测试网络连通性  ping ip_address 

测试数据包从主机到目的地所经过的网关  tracert ip_address 

打开所有调试信息 debug all 

关闭所有调试信息 undo debug all 

开启调试信息输出功能 info-center enable 

将调试信息输出到PC info-center console dubugging 

将调试信息输出到Telnet终端或哑终端 info-center monitor dubugging  

 

配置交换机支持TELNE

进入系统视图  system

交换机命名    sysname

进入VLAN 1   int vlan 1 

配置IP地址ip address 192.168.3.100 255.255.255.0

进入虚拟终端 user-int vty 0 4 

设置口令模式 authentication-mode password (aut password) 

设置口令 set authentication password simple 222 (set aut pass sim 222) 

配置用户级别 user privilege level 3(use priv lev 3)

查看当前配置 disp current-configuration （disp cur)

查看交换机VLAN IP配置 disp ip int 

*删除配置必须退到用户模式

删除配置 reset saved-configuration(reset saved) 

重启交换机 Reboot

 

三层交换机配置VLAN-VLAN通讯

sw1(三层交换机）:

进入视图 system 

命名 sysname

建立VLAN 10 vlan 10 

建立VLAN 20 vlan 20 

进入端口20 int e1/0/20

把端口20放入VLAN 10 port access vlan 10 

进入24端口int e1/0/24 

把24端口设为TRUNK端口 port link-type trunk 

port trunk permit vlan all (port trunk permit vlan 10 只能为vlan 10使用)24端口为所有VLAN使用

sw2:

vlan 10

int e1/0/5

port access vlan 10

int e1/0/24

把24端口设为TRUNK端口 port link-type trunk

port trunk permit vlan all (port trunk permit vlan 10 只能为vlan 10使用)24端口为所有VLAN使用

sw1(三层交换机）:

创建虚拟接口VLAN 10 int vlan 10 

设置虚拟接口VLAN 10的地址 ip address 192.168.10.254 255.255.255.0 

创建虚拟接口VLAN 20 int vlan 20

设置虚拟接口IP VLAN 20的地址 ip address 192.168.20.254 255.255.255.0 

注意：vlan 10里的计算机的网关设为 192.168.10.254

vlan 20里的计算机的网关设为 192.168.20.254

IP访问列表

int e1/0

ip address 192.168.3.1 255.255.255.0

int e2/0

ip address 192.168.1.1 255.255.255.0

int e3/0

ip address 192.168.2.1 255.255.255.0

acl number 2001 （2001-2999属于基本的访问列表）

rule 1 deny source 192.168.1.0 0.0.0.255 (拒绝地址192.168.1.0网段的数据通过)

rule 2 permit source 192.168.3.0 0.0.0.255(允许地址192.168.3.0网段的数据通过)

以下是把访问控制列表在接口下应用：

firewall enable

firewall default permit

int e3/0

firewall packet-filter 2001 outbound

disp acl 2001 显示信息

undo acl number 2001 删除2001控制列表

扩展访问控制列表

acl number 3001

rule deny tcp source 192.168.3.0 0.0.0.255 destination 192.168.2.00.0.0.255 destination-port eq ftp

必须在r-acl-adv-3001下才能执行

rule permit ip source an destination any (rule permit ip)

int e3/0

firewall enable 开启防火墙

firewall packet-filter 3001 inbound

年味渐淡，新年已过，

短暂的假期已经终止。

年就这样过完了，

心也该收一收了。

撸起袖子干吧！

你不干，没有钱。

踏踏实实拼吧！

你不拼，生活难。

身处这个社会，

没有钱，是万万不行的。

总有一天，

现实会让你明白：

没有钱，亲人会怪你，

没本事，爱人冷落你。

不管什么时候，

没什么，千万别没钱，

缺什么，千万别缺财！

社会残酷，生活现实，

人走以后，钱才是身外之物，

人还在时，钱就是重要财物。

你有钱，生活富裕，无忧无虑；

你没钱，日子贫寒，过得艰难。

你成功，人人追捧你，

你落魄，没人靠近你。

人人向钱看，向厚赚，

谁没钱，谁最可怜！

在社会上摸爬滚打，

在生活中经历磨难，

渐渐的你就懂了：

你行时，说什么都有用，

不行时，做什么都没用。

十年前你是谁，无人在意，

现在的你是谁，最为重要。

人活着，凡事靠自己，

不要炫耀你的家世，

那是父母的功绩。

不要炫耀你的朋友，

那是朋友的本事。

靠父母，那叫啃老，

靠朋友，那叫无能。

自己打下的江山，坐的最稳，

自己创造的财富，花的安心。

2022年最流行的一句话：

不要假装努力，生活不会陪你演戏。

必须踏实拼搏，才有更丰厚的收获。

成功不靠嘴，而靠行动，

幸福不靠天，而靠拼搏。

刘备不拼，就是个卖鞋的；

刘邦不拼，就还是个无赖；

朱元璋不拼，一辈子是个乞丐；

你若不拼，这一生注定平凡。

我们都是普通的老百姓，

没有丰厚的家产，

没有亿万的财富。

不拼，一辈子平庸，

拼对了，就能翻身，

拼错了，也无遗憾。

别害怕没有回报，

别畏惧困难险阻。

大胆拼搏，一定有收获，

努力折腾，迟早会成功！

我们努力赚钱，

并不是有多爱钱，

而是为了身后的家人。

不想年迈的父母晚年操劳；

不想自己的儿女生活贫穷；

不想最爱的伴侣受累受苦。

不能没钱让家人们心寒，

这就是努力的原因！

竭尽所能让家人们幸福，

这就是奋斗的理由！

宝塔面板专业版/企业版7.7.0破解版一键脚本

1 H3C MSR路由器、交换机基本调试步骤（初学级别）：

---

1.1如何登陆进路由器或交换机

1.1.1搭建配置环境

第一次使用H3C系列路由器时，只能通过配置口(Console)进行配置。

1）将配置电缆的RJ-45一端连到路由器的配置口(Console)上。

2）将配置电缆的DB-9(或DB-25)孔式插头接到要对路由器进行配置的微机或终端的串口上。

 

备注：登陆交换机的方法与路由器的一致，现仅用路由器举

1.1.2设置微机或终端的参数（进入路由器或交换机）

1）打开微机（笔记本电脑）或终端。如果使用微机进行配置，需要在微机上运行终端仿真程序，如Windows的超级终端。

2）第二步：设置终端参数

a、命名此终端  H3C或者自己想命的名

b、选择串口  一般选用COM口，常选用COM1

c、设置终端具体参数(此处点击“默认值”即可)

d、打开路由器的电源，路由器进行启动

e、当路由器启动完毕后，回车几下，当出现<H3C>时即可配置路由器。

 

1.2路由器基本调试命令

1.2.1使用本地用户进行telnet登录的认证

<H3C> system-view     进入系统视图

[H3C]telnet server enable    打开路由器的telnet功能

[H3C]configure-user count 5   设置允许同时配置路由器的用户数

[H3C]local-user telnet   添加本地用户(此处为telnet用户登陆时使用的用户名)

[H3C-luser-telnet]password simple h3c   设置telnet用户登陆时所使用的密码

[H3C-luser-telnet]service-type telnet  设置本地用户的服务类型(此处为telnet)

[H3C-luser-telnet]level 3   设置本地用户的服务级别

[H3C-luser-telnet]quit    退出本地用户视图

[H3C]

[H3C]user-interface vty 0 4    进入用户视图

[H3C-ui-vty0-4]authentication-mode scheme    选择“scheme”认证方式

备注：红色部分可以由客户自行设置，此处仅做举例时使用!

1.2.2路由器接口的配置

为接口配置ip地址

<H3C> system-view    进入系统视图

[H3C] interface serial 3/0   进入某个端口

[H3C-Serial3/0] ip address 200.1.1.1 255.255.255.0   为该端口设置ip地址

[H3C-Serial3/0] undo shutdown    对该端口进行复位

[H3C-Serial3/0] quit    退回到系统视图

[H3C]

备注：红色部分可以由客户自行设置，此处仅做举例时使用!

1.2.3静态路由或默认路由的配置

<H3C> system-view     进入系统视图

[H3C]ip route-static 192.168.1.0 255.255.255.0 192.168.0.1 添加一条静态路由

[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1    添加一条默认路由

备注：红色部分可以由客户自行设置，此处仅做举例时使用!

1.2.3配置文件的管理

display current-configuration    显示当前的配置文件

<H3C>save    保存配置文件

display interface GigabitEthernet 0/0    查看某端口的状态

备注：

display命令可以在任何视图下进行

红色部分可以由客户自行设置，此处仅做举例时使用!

交换机的配置文件管理与路由器相同，故交换机的配置幻灯片中不再做举例。

弱电产品精选，，，H3C交换机配置视频教程60节详解小程序

1.3 交换机的基本调试命令

1.3.1 创建VLAN并将端口加入到vlan中

<H3C> system-view      进入系统视图

[H3C]vlan 10    创建vlan 10

[H3C-vlan100]port  ethernet 0/1    将某个端口加入到vlan中

[H3C-vlan100]quit    退出到系统

[H3C]

备注：红色部分可以由客户自行设置，此处仅做举例时使用!

1.3.2创建vlan虚接口并为接口配置ip地址

<H3C> system-view      进入系统视图

[H3C]interface vlan-interface 1    创建vlan虚接口

[H3C-Vlan-interface100] ip address 192.168.1.1 255.255.255.0    配置ip地址

备注：红色部分可以由客户自行设置，此处仅做举例时使用!

1.3.3 配置默认路由

[H3C] interface vlan-interface 1

[H3C-Vlan-interface10] ip address 192.168.1.1 255.255.255.0

[H3C-Vlan-interface10] quit

[H3C] ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 配置缺省路由

备注：红色部分可以由客户自行设置，此处仅做举例时使用!

1.3.4设置端口类型

<H3C> system-view     进入系统视图

[H3C]interface ethernet 0/1

[H3C]port link-type trunk    将端口类型设置为trunk

[H3C]port trunk permit vlan all trunk端口允许所有vlan通过

[H3C]save

Trunk可以收发多个vlan的报文，用于交换机与交换机之间的互连

1.3.5交换机设置telnet登录的认证配置命令

<H3C> system-view      进入系统视图

[H3C]local-user telnet   添加本地用户(此处为telnet用户登陆时使用的用户名)

[H3C-luser-telnet]password simple h3c   设置telnet用户登陆时所使用的密码

[H3C-luser-telnet]service-type telnet  设置本地用户的服务类型(此处为telnet)

[H3C-luser-telnet]level 3   设置本地用户的服务级别

[H3C-luser-telnet]quit    退出本地用户视图

[H3C]

[H3C]user-interface vty 0 4    进入用户视图

[H3C-ui-vty0-4]authentication-mode scheme    选择“scheme”认证方式

典型案例：

案例1：如下图，LAB （router）通过配置路由器适当的两台终端电脑能够相互通信，请写出相关配置语句。

 

 

案例2：LAB （switch）

 

2 H3C交换机基本配置命令（入门级:配置语句拷贝注解）

---

2.1 IP地址配置命令：

<Quidway>system-view—-进入系统配置模式

[Quidway] 系统配置编辑模式

[Quidway] interface Vlan-interface 1—交换机出厂默认VLAN-1

[Quidway-Vlan-interface1]ip add 192.168.X.254 255.255.255.0–配置IP地址

[Quidway-Vlan-interface1]quit

[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.33-配置静态路由（网关）

2.2 远程登录配置命令：

<Quidway>system-view—-进入系统配置模式

[Quidway] 系统配置编辑模式

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] user privilege level 3—管理权限配置

[Quidway-ui-vty0-4] set authentication password cipher 123456 （cipher为密文密码）

2.3 配置端口速率及端口双工命令：

<Quidway>system-view—-进入系统配置模式

[Quidway]  系统配置编辑模式

[Quidway]interface Ethernet 1/0/1—进入的端口

[Quidway-Ethernet1/0/1] duplex full—配置端口为“全双工状态”

[Quidway-Ethernet1/0/1] speed 100—配置端口为“100M”如果是千兆端口可以配置成1000M。

2.4 划分VLAN配置命令：

<Quidway>system-view—-进入系统配置模式

[Quidway] 系统配置编辑模式

[Quidway]VLAN 100—创建VLAN—ID为:100

[Quidway]VLAN 101—创建VLAN—ID为:101

[Quidway-vlan100] port Ethernet 1/0/1 to Ethernet 1/0/10—-从第1口到第10口添加到VLAN 100

[Quidway-vlan101] port Ethernet 1/0/11 to Ethernet 1/0/24—-从第11口到第24口添加到VLAN 101

2.5 配置TRUNK命令： 

比如一栋宿舍楼需要两个网段，划分了两个VLAN为100和101，VLAN 100作为管理VLAN配置命令如下：

<Quidway>system-view—-进入系统配置模式

[Quidway] 系统配置编辑模式

[Quidway]VLAN 100—创建VLAN—ID为:100

[Quidway]VLAN 101—创建VLAN—ID为:101

[Quidway-vlan100] port Ethernet 1/0/1 to Ethernet 1/0/10—-从第1口到第10口添加到VLAN 100

[Quidway-vlan101] port Ethernet 1/0/11 to Ethernet 1/0/24—-从第11口到第24口添加到VLAN 101

[Quidway] interface Vlan-interface 100—进入VLAN 100

[Quidway-Vlan-interface100]ip address 192.168.100.254 255.255.255.0—给VLAN 100配置管理IP

[Quidway-Vlan-interface100]quit

[Quidway]ip route-static 0.0.0.0 0.0.0.0 192.168.100.33—配置静态路由（网关）

上联端口为千兆端口GigabitEthernet1/1/1在配置模式下配置命令如下：

[Quidway] interface GigabitEthernet 1/1/1—进入上联端口

[Quidway-GigabitEthernet1/1/1] port link-type trunk –TRUNK是端口汇聚的意思

[Quidway-GigabitEthernet1/1/1] port trunk permit（允许）vlan all—-配置允许通过的VLAN

如果上联的路由器端口是自适应那么交换机上联口也是自适应，如果配置了1000M全双工那么交换机的上联端口也要配成1000M全双工。如下命令：[Quidway-GigabitEthernet1/1/1] duplex full—配置端口为“全双工状态”[Quidway-GigabitEthernet1/1/1] speed 1000—配置端口为“1000M”

2.6 SNMP配置命令：

[Quidway]snmp-agent community read 1234—SNMP读的密码

[Quidway]snmp-agent community write 4567—SNMP写的密码

[Quidway]snmp-agent sys-info version all—SNMP软件版本有V1、V2c、V3这里配置的是允许所有版本。

2.7 配置防ARP攻击命令：

<Quidway>system-view

[Quidway]dhcp-snooping–开启交换机DHCP Snooping 功能。

开启VLAN 1 内所有端口的ARP 入侵检测功能。

[Quidway]vlan 1

[Quidway-vlan1]arp detection enable

[Quidway-vlan1]quit

设置上联端口Ethernet1/0/1 为DHCP Snooping 信任端口，ARP 信任端口。

[Quidway]interface Ethernet1/0/1

[Quidway-Ethernet1/0/1]dhcp-snooping trust

[Quidway-Ethernet1/0/1]arp detection trust

[Quidway-Ethernet1/0/1]quit

开启端口Ethernet1/0/2 上的ARP 报文限速功能，设置ARP 报文通过的最大速率为20pps。–目的是针对用户接入口，除上联端口外，下联用户端口建议都设置该命令。如下：

[Quidway]interface Ethernet1/0/2

[Quidway-Ethernet1/0/2]arp rate-limit enable

[Quidway-Ethernet1/0/2]arp rate-limit 20

[Quidway-Ethernet1/0/2]quit

配置端口状态自动恢复功能，恢复时间间隔为30 秒。

[Quidway] arp protective-down recover enable

[Quidway] arp protective-down recover interval 30

3 H3C交换机基本配置（中级版）

---

3.1VRP，CMW简介

3.1.1 VRP（Versatile Routing Platform，通用路由平台）是华为公司数据通信产品的通用网络操作系统平台。

3.1.2 CMW（Comware）是H3C公司的核心软件平台。

3.1.3 VRP、CMW的体系结构以TCP/IP模型为参考，实现了数据链路层、网络层和应用层的多种协议，其体系结构图如下:

3.1.4 VRP视图结构

用户视图

系统视图

命令：system-view

在系统视图下  可以进入各种功能视图，在各功能视图中还可以进入子功能视图

 

 

3.2基本命令 

3.2.1配置系统名

1)用途：用户名是设备的名字，目的是让用户更加方便的使用设备．

2)配置命令: sysname

3.2.2接口描述

1)用途：接口描述是为了指明接口的一些属性，如是什么接口，对端接的什么设备等，让用户更加了解该接口。

2)配置命令: interface ethernet0/1

description  connect to student

3.2.3接口IP地址的配置

1)用途:给接口一个网络上唯一的区分符．

2)配置命令:interface vlan 1

ip address 168.10.2.1 255.255.255.0

3.2.4 查看交换机信息

1)用途:让用户对设备的信息更了解，也有利于对设备做配置．

2）配置命令:

显示版本                      display  version

显示当前配置信息          　  display  current

显示NVRAM的配置              display  saved-config

显示接口信息　              　display  interface XX

显示路由信息　              　display  ip routing-table

3.2.5调试交换机

1)用途:更细致的查看交换机的各种数据包，帮助发现网络问题．

2)常用调试命令:

terminal debugging

terminal monitor

debugging ip packet

undo debugging all

3.2.6端口镜像

1)用途:通过镜像来抓取网络流量，帮助分析网络问题．

2)配置命令:

monitor-port Ethernet 0/1 both （监控端口）

mirroring-port Ethernet0/2 both（源端口）

3.2.7流镜像

1)用途:

通过镜像来抓取网络流量，帮助分析网络问题．

2)配置命令:

mirrored-to ip-group 2000 interface  Ethernet 0/1

acl number 2000

rule 0 permit

 

3.2.8快捷命令行介绍

VRP、CMW

Ctrl+F            前移一个字符

Ctrl+B            后移一个字符

Ctrl+P             ↑(向上箭头)重用前一条命令

Ctrl+N             ↓(向下箭头)重用下一条命令

3.2.9引导配置

1)用途:通过引导配置，可以改变从什么地方取得交换机的系统软件．

2)配置命令

boot boot-loader xxxx.bin

查看命令

display boot-loader

 

3.3交换

VLAN（Virtual Local Area Network）技术是把一个LAN划分成多个逻辑的“LAN”－VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。

vlan 100  (1-4094) 创建VLAN

undo vlan 100  (1-4094)  删除VLAN.

port Ethernet 2/0/1  在VLAN中增加端口.

undo port Ethernet 2/0/1  在VLAN中删除端口.

port access vlan 100 (1-4094)  将端口加入VLAN

undo port access vlan 100 (1-4094)  将端口脱离VLAN

display vlan VLAN ID (1-4094)   显示VLAN信息

 

Trunk

Trunk允许在只有一条链路的情况下传输VLAN信息

•定义端口属性为Trunk.

port link-type trunk

•删除端口Trunk属性.

undo port link-type

•定义端口可以传输的VLAN.

port trunk permit vlan VLAN ID

•在VLAN中删除端口.

undo port trunk permit vlan VLAN ID

Link  Aggregation

链路聚合是将几条物理链路聚合在一起，当作一条  逻辑链路来使用。

分为静态聚合和动态聚合

•静态聚合端口.

link-aggregation Ethernet 0/1 to Ethernet 0/4 both

•删除端口的静态聚合.

undo link-aggregation all

•在端口下进行动态聚合.

lacp enable

•在端口下取消动态聚合.

undo lacp enable

STP（Spanning Tree Protocol）是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法阻断某些冗余路径，将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。

•定义STP模式.

stp mode stp

•取消STP模式.

undo stp mode

•定义MSTP模式.

stp mode mstp

•取消MSTP模式.

undo stp mode

3.4路由

3.4.1 RIP

RIP是Routing Information Protocol（路由信息协议）的简称。它是一种较为简单的内部网关协议（IGP），主要用于规模较小的网络中。

•启动RIP，进入RIP视图

rip

•停止RIP协议的运行

undo rip

•在指定的网络接口上应用RIP

network network-address

•在指定的网络接口上取消应用RIP

undo network network-address

•指定接口的RIP版本为RIP-1

rip version 1

•指定接口的RIP版本为RIP-2

rip version 2 [ broadcast | multicast ]

•将接口运行的RIP版本恢复为缺省值

undo rip version { 1 | 2 }

3.4.2OSPF

OSPF是Open Shortest Path First（开放最短路由优先协议）的缩写。它是IETF组织开发的一个基于链路状态的内部网关协议。目前使用的是版本2（RFC2328）.

•定义router id

•启动OSPF，进入OSPF视图

ospf

关闭OSPF路由协议进程

undo ospf [ process-id ]

•进入OSPF区域视图

area area-id

•删除指定的OSPF区域

undo area area-id

•指定网段运行OSPF协议

network ip-address wildcard-mask

•取消网段运行OSPF协议

undo network ip-address wildcard-mask

3.5网络管理

3.5.1 SNMP的介绍

•介绍

简单网络管理协议（SNMP)是被广泛应用的一项工业标准，是目前用得最广泛的计算机网络管理协议．

•结构

SNMP结构分为NMS(Network Management Station)和AGENT两部分，NMS是运行客户端的工作站，AGENT是运行在网络设备上的服务端软件．

•SNMP版本

SNMP现在有三个版本，SNMP v3/v2c/v1,SNMP v3兼容v1和v2c.

•SNMP的配置包括：

启动和关闭SNMP AGENT服务

设置团体名

配置一个SNMP组

设置管理员的联系方法

允许／禁止发送Trap报文

设置Trap目标主机的地址

指定发送报文的源地址

SNMP实例配置

 

 

•System-view            进入视图

•Snmp-agent  community read public    只读团体属性名public

•Snmp-agent  communty write private   只写团体属性名private

•Snmp-agent  sys-inf contact Mr.wang-tel 3306 设置管理员联系方法

•Snmp-agent  sys-info location telephone 3rd floor  路由器物理位置

•Snmp-agent trap enable    使能trap报文

•Snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public   允许向网管工作站129.102.149.23发送trap报文，使用团体名为public.

3.6安全管理

3.6.1认证与授权

•要点

•需要确定权利的等级

•需要确定授权的策略

Generic or per user

RADIUS

Local  authentication

3.6.2认证配置

•本地验证

•VRP的配置

local-user huawei

password simple 123

service-type telnet    设置本地认证用户名和密码

user-interface vty 0 4        进入vty视图

authentication-mode  scheme  通过telnet访问的用户使用本地验证

3.6.3限制授权

区分用户在设备上的授权

•配置等级

•视图等级

•支持等级

使用特权等级（level 1—level 3)

3.6.4授权配置

•VRP的配置

local-user  huawei password simple 123   建立用户

local-user  huawei level 3  设定授权等级

•应用命令

command-privilege level 3 view serial display interface

•    VRP的命令行保护

super password level {1/2/3} {simple/cipher} 123

3.6.5 Vty和console的时间保护

•用途

为了使通过vty和console登陆的设备在使用者离开后不被其他没有授权的人使用．

•VRP的配置

Idle-timeout   minite  second

3.6.6访问控制列表

•概述

路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

•分类

基本的访问控制列表（basic acl）

高级的访问控制列表（advanced acl）

基于接口的访问控制列表（interface-based acl）

基于MAC的访问控制列表（mac-based acl）

3.6.7标准访问列表的配置

•在系统视图下，创建一个基本访问控制列表

acl {number number/name name basic} [match- order {config/auto}]

•在基本访问控制列表试图下，配置ACL规则．

rule [rule-id] {permit/deny} [source sour-add sour-wildcast/any] [time-range time-name] [logging] [fragment] [vpn-instance vpn-instance-name]

acl number 2000

rule 1 permit source 20.1.1.0 0.0.0.255

4  H3C配置实验数据注解

---

1、system-view   进入系统视图模式

2、sysname   为设备命名

3、display current-configuration 当前配置情况

4、 language-mode Chinese|English 中英文切换

5、interface Ethernet 1/0/1 进入以太网端口视图

6、 port link-type Access|Trunk|Hybrid      设置端口访问模式

7、 undo shutdown   打开以太网端口

8、 shutdown   关闭以太网端口

9、 quit     退出当前视图模式

10、 vlan 10    创建VLAN 10并进入VLAN 10的视图模式

11、 port access vlan 10   在端口模式下将当前端口加入到vlan 10中

12、port E1/0/2 to E1/0/5    在VLAN模式下将指定端口加入到当前vlan中

13、port trunk permit vlan all    允许所有的vlan通过

H3C路由器######################################################################################

1、system-view   进入系统视图模式

2、sysname R1   为设备命名为R1

3、display ip routing-table 显示当前路由表

4、 language-mode Chinese|English 中英文切换

5、interface Ethernet 0/0 进入以太网端口视图

6、 ip address 192.168.1.1 255.255.255.0   配置IP地址和子网掩码

7、 undo shutdown   打开以太网端口

8、 shutdown   关闭以太网端口

9、 quit     退出当前视图模式

10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由

11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由

H3C S3100 Switch

H3C S3600 Switch

H3C MSR 20-20 Router

##########################################################################################

1、调整超级终端的显示字号；

2、捕获超级终端操作命令行，以备日后查对；

3、 language-mode Chinese|English 中英文切换 ；

4、复制命令到超级终端命令行，粘贴到主机；

5、交换机清除配置 :<H3C>reset save ；<H3C>reboot ；

6、路由器、交换机配置时不能掉电，连通测试前一定要

检查网络的连通性，不要犯最低级的错误。

7、192.168.1.1/24    等同   192.168.1.1 255.255.255.0；在配置交换机和路由器时， 192.168.1.1 255.255.255.0 可以写成：

192.168.1.1 24

8、设备命名规则：地名-设备名-系列号 例：PingGu-R-S3600

H3C交换机的一些简单配置

这里使用的H3C交换机是H126A，仅仅只做了最基本的配置以满足使用。

配置中可以通过display current-configura命令来显示当前使用的配置内容。

# 配置VLAN 1

<Sysname>system-view

System View: return to User View with Ctrl+Z.

[Sysname]vlan 1

[Sysname-vlan1] quit

[Sysname]management-vlan 1

[Sysname]interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 10.0.1.201 255.255.255.0

# 显示VLAN 接口1 的相关信息。

<Sysname> display ip interface Vlan-interface 1

# 创建VLAN（H3C不支持cisco的VTP，所以只能添加静态VLAN）

<H3C_TEST>system-view

System View: return to User View with Ctrl+Z.

[H3C_TEST]vlan 99

[H3C_TEST-vlan99]name seicoffice

[H3C_TEST-vlan99]quit

# 把交换机的端端口划分到相应的Vlan中

[H3C_TEST]interface ethernet1/0/2　　　　　　　//进入端口模式

[H3C_TEST-Ethernet1/0/2]port link-type access //设置端口的类型为access

[H3C_TEST-Ethernet1/0/2]port access vlan 99　　//把当前端口划到vlan 99

[H3C_TEST]vlan 99

[H3C_TEST-vlan99]port ethernet1/0/1 to ethernet1/0/24　　//把以及网端口1/0/1到1/0/24划到vlan99

[H3C_TEST-vlan99]quit

[H3C_TEST-GigabitEthernet1/2/1]port trunk permit vlan 1 99    // {ID|All} 设置trunk端口允许通过的VLAN

——————————————————————————————————-

# 配置本地用户

<Sysname>system-view

System View: return to User View with Ctrl+Z.

[Sysname]local-user h3c

New local user added.

[Sysname-luser-h3c]service-type telnet level 3

[Sysname-luser-h3c]password simple h3c

# 配置欢迎信息

[H3C_TEST]header login %Welcome to login h3c!%

# 配置用户认证方式telnet(vty 0-4)

[H3C_TEST]user-interface vty 0 4

[H3C_TEST-ui-vty0-4]authentication-mode scheme

[H3C_TEST-ui-vty0-4]protocol inbound telnet

[H3C_TEST-ui-vty0-4]super authentication-mode super-password

[H3C_TEST-ui-vty0-4]quit

[H3C_TEST]super password level 3 simple h3c    //用户登陆后提升权限的密码

# 配置Radius策略

[H3C_TEST]radius scheme radius1

New Radius scheme

[H3C_TEST-radius-radius1]primary authentication 10.0.1.253 1645

[H3C_TEST-radius-radius1]primary accounting 10.0.1.253 1646

[H3C_TEST-radius-radius1]secondary authentication 127.0.0.1 1645

[H3C_TEST-radius-radius1]secondary accounting 127.0.0.1 1646

[H3C_TEST-radius-radius1]timer 5

[H3C_TEST-radius-radius1]key authentication h3c

[H3C_TEST-radius-radius1]key accounting h3c

[H3C_TEST-radius-radius1]server-type extended

[H3C_TEST-radius-radius1]user-name-format without-domain

# 配置域

[H3C_TEST]domain h3c

[H3C_TEST-isp-h3c]authentication radius-scheme radius1 local

[H3C_TEST-isp-h3c]scheme radius-scheme radius1 local

[H3C_TEST]domain default enable h3c

# 配置在远程认证失败时，本地认证的key

[H3C_TEST]local-server nas-ip 127.0.0.1 key h3c

H3C交换机路由器telnet和console口登录配置

2009年11月09日 星期一 10:00

级别说明

Level 名称

命令

0

参观

ping、tracert、telnet

1

监控

display、debugging

2

配置

所有配置命令（管理级的命令除外）

3

管理

文件系统命令、FTP命令、TFTP命令、XMODEM命令

telnet仅用密码登录，管理员权限

[Router]user-interface vty 0 4[Router-ui-vty0-4]user privilege level 3[Router-ui-vty0-4]set authentication password simple abc

telnet仅用密码登录，非管理员权限

[Router]super password level 3 simple super

[Router]user-interface vty 0 4[Router-ui-vty0-4]user privilege level 1[Router-ui-vty0-4]set authentication password simple abc

telnet使用路由器上配置的用户名密码登录，管理员权限

[Router]local-user admin password simple admin[Router]local-user admin service-type telnet[Router]local-user admin level 3

[Router]user-interface vty 0 4[Router-ui-vty0-4]authentication-mode local

telnet使用路由器上配置的用户名密码登录，非管理员权限

[Router]super password level 3 simple super

[Router]local-user manage password simple manage[Router]local-user manage service-type telnet[Router]local-user manage level 2

[Router]user-interface vty 0 4[Router-ui-vty0-4]authentication-mode local

对console口设置密码，登录后使用管理员权限

[Router]user-interface con 0[Router-ui-console0]user privilege level 3[Router-ui-console0]set authentication password simple abc

对console口设置密码，登录后使用非管理员权限

[Router]super password level 3 simple super

[Router]user-interface con 0[Router-ui-console0]user privilege level 1[Router-ui-console0]set authentication password simple abc

对console口设置用户名和密码，登录后使用管理员权限

[Router]local-user admin password simple admin[Router]local-user admin service-type terminal[Router]local-user admin level 3

[Router]user-interface con 0[Router-ui-console0]authentication-mode local

对console口设置用户名和密码，登录后使用非管理员权限

[Router]super password level 3 simple super

[Router]local-user manage password simple manage[Router]local-user manage service-type terminal[Router]local-user manage level 2

[Router]user-interface con 0[Router-ui-console0]authentication-mode local

simple 是明文显示，cipher 是加密显示

路由器不设置telnet登录配置时，用户无法通过telnet登录到路由器上

[Router-ui-vty0-4]acl 2000 inbound可以通过acl的规则只允许符合条件的用户远程登录路由器

路由器命令

~~~~~~~~~~

[Quidway]display version               显示版本信息

[Quidway]display current-configuration       显示当前配置

[Quidway]display interfaces              显示接口信息

[Quidway]display ip route               显示路由信息

[Quidway]sysname aabbcc                更改主机名

[Quidway]super passwrod 123456            设置口令

[Quidway]interface serial0              进入接口

[Quidway-serial0]ip address <ip><mask>

[Quidway-serial0]undo shutdown            激活端口

[Quidway]link-protocol hdlc              绑定hdlc协议

[Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4]authentication-mode password

[Quidway-ui-vty0-4]set authentication-mode password simple 222

[Quidway-ui-vty0-4]user privilege level 3

[Quidway-ui-vty0-4]quit

[Quidway]debugging hdlc all serial0           显示所有信息

[Quidway]debugging hdlc event serial0          调试事件信息

[Quidway]debugging hdlc packet serial0           显示包的信息

静态路由：

[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]

例如：

[Quidway]ip route-static 129.1.0.0 16 10.0.0.2

[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2

[Quidway]ip route-static 129.1.0.0 16 Serial 2

[Quidway]ip route-static 0.0.0.0 0.0.0.0   10.0.0.2

动态路由：

[Quidway]rip

[Quidway]rip work

[Quidway]rip input

[Quidway]rip output

[Quidway-rip]network 1.0.0.0                   可以all

[Quidway-rip]network 2.0.0.0

[Quidway-rip]peer ip-address

[Quidway-rip]summary

[Quidway]rip version 1

[Quidway]rip version 2 multicast

[Quidway-Ethernet0]rip split-horizon         水平分隔

[Quidway]router id A.B.C.D               配置路由器的ID

[Quidway]ospf enable                   启动OSPF协议

[Quidway-ospf]import-route direct           引入直联路由

[Quidway-Serial0]ospf enable area <area_id>   配置OSPF区域

标准访问列表命令格式如下：

acl <acl-number> [match-order config|auto]   默认前者顺序匹配。

rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]

例：

[Quidway]acl 10

[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255

[Quidway-acl-10]rule normal deny source any

扩展访问控制列表配置命令

配置TCP/UDP协议的扩展访问列表：

rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}

[operate]

配置ICMP协议的扩展访问列表：

rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]

[icmp-code] [logging]

扩展访问控制列表操作符的含义

equal portnumber       等于

greater-than portnumber    大于

less-than portnumber       小于

not-equal portnumber       不等

range portnumber1 portnumber2 区间

扩展访问控制列表举例

[Quidway]acl 101

[Quidway-acl-101]rule deny souce any destination any

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply

[Quidway]acl 102

[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0

[Quidway-acl-102]rule deny ip source any destination any

[Quidway]acl 103

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www

[Quidway]firewall enable

[Quidway]firewall default permit|deny

[Quidway]int e0

[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound

地址转换配置举例

[Quidway]firewall enable

[Quidway]firewall default permit

[Quidway]acl 101

[Quidway-acl-101]rule deny ip source any destination any

[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any

[Quidway]acl 102

[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than

1024

[Quidway-Ethernet0]firewall packet-filter 101 inbound

[Quidway-Serial0]firewall packet-filter 102 inbound

[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1

[Quidway]acl 1

[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255

[Quidway-acl-1]rule deny source any

[Quidway-acl-1]int serial 0

[Quidway-Serial0]nat outbound 1 address-group pool1

[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp

[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp

[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp

[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

PPP验证：

主验方：pap|chap

[Quidway]local-user u2 password {simple|cipher} aaa

[Quidway]interface serial 0

[Quidway-serial0]ppp authentication-mode {pap|chap}

[Quidway-serial0]ppp chap user u1        //pap时，不用此句

pap被验方：

[Quidway]interface serial 0

[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa

chap被验方：

[Quidway]interface serial 0

[Quidway-serial0]ppp chap user u1

[Quidway-serial0]local-user u2 password {simple|cipher} aaa

 

H3C路由器配置方案注解

2010-06-19 22:44

#

version 5.20, Release 1719 //版本信息，自动显示

#

sysname H3C //给设备命名为H3C

#

super password level 3 cipher 7WC1<3E`[Y)./a!1$H@GYA!! //设置super密码

#

domain default enable system

#

telnet server enable

#

vlan 1

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

user-group system //从此以上未标注的为默认配置，不用去理解

#

local-user admin //添加用户名为admin的用户

password cipher .]@USE=B,53Q=^Q`MAF4<1!! //设置密码（密文）

authorization-attribute level 3 //设置用户权限为3级（最高）

service-type telnet //设置用户的模式为telnet用户

local-user share //从此往下四行同上

password cipher [HM$GH8P1GSQ=^Q`MAF4<1!!

authorization-attribute level 1

service-type telnet

#

controller E1 0/0 //进入E1物理端口（两兆口）

using e1 //设置端口模式为E1（设置后下面会出现interface Serial0/0:0）

#

interface Aux0 //从此以下三行为主控板aux口默认配置

async mode flow

link-protocol ppp

#

interface Ethernet0/0 //进入E0/0接口（以太网口）

port link-mode route //配置该接口为路由模式

#

interface Serial0/0:0 //进入Serial0/0:0端口（前面用using e1命令后产生，对应E1端口）

link-protocol ppp //配置链路协议为ppp（默认）

ip address 74.1.63.170 255.255.255.252 //配置该接口IP地址

#

interface NULL0

#

interface Vlan-interface1 //lan口vlan地址（lan口地址）

ip address 192.168.1.1 255.255.255.0

#

interface Ethernet0/1

port link-mode bridge

#

interface Ethernet0/2

port link-mode bridge

#

interface Ethernet0/3

port link-mode bridge

#

interface Ethernet0/4

port link-mode bridge

#

ip route-static 74.1.8.0 255.255.255.0 74.1.63.169 //配置静态路由

#

user-interface aux 0

user-interface vty 0 4 //进入vty接口（远程登陆接口）0-4通道

authentication-mode scheme //配置登陆验证类型为scheme（用户验证型）

user privilege level 1 //设置当验证模式不是scheme类型时的登录级别（废配置）

#

return

H3C路由器基本配置命令

2009-05-13 22:56

[Quidway]display version                          显示版本信息

[Quidway]display current-configuration          显示当前配置

[Quidway]display interfaces                       显示接口信息

[Quidway]display ip route                      显示路由信息

[Quidway]sysname aabbcc                         更改主机名

[Quidway]super passwrod 123456                    设置口令

[Quidway]interface serial0                      进入接口

[Quidway-serial0]ip address <ip><mask>

[Quidway-serial0]undo shutdown                    激活端口

[Quidway]link-protocol hdlc                       绑定hdlc协议

[Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4]authentication-mode password

[Quidway-ui-vty0-4]set authentication-mode password simple 222

[Quidway-ui-vty0-4]user privilege level 3

[Quidway-ui-vty0-4]quit

[Quidway]debugging hdlc all serial0             显示所有信息

[Quidway]debugging hdlc event serial0          调试事件信息

[Quidway]debugging hdlc packet serial0          显示包的信息

静态路由：

[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]

例如：

[Quidway]ip route-static 129.1.0.0 16 10.0.0.2

[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2

[Quidway]ip route-static 129.1.0.0 16 Serial 2

[Quidway]ip route-static 0.0.0.0 0.0.0.0   10.0.0.2

动态路由：

[Quidway]rip

[Quidway]rip work

[Quidway]rip input

[Quidway]rip output

[Quidway-rip]network 1.0.0.0                       ;可以all

[Quidway-rip]network 2.0.0.0

[Quidway-rip]peer ip-address

[Quidway-rip]summary

[Quidway]rip version 1

[Quidway]rip version 2 multicast

[Quidway-Ethernet0]rip split-horizon          ;水平分隔

[Quidway]router id A.B.C.D                       配置路由器的ID

[Quidway]ospf enable                         启动OSPF协议

[Quidway-ospf]import-route direct           引入直联路由

[Quidway-Serial0]ospf enable area <area_id>    配置OSPF区域

标准访问列表命令格式如下：

acl <acl-number> [match-order config|auto]    默认前者顺序匹配。

rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]

例：

[Quidway]acl 10

[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255

[Quidway-acl-10]rule normal deny source any

扩展访问控制列表配置命令

配置TCP/UDP协议的扩展访问列表：

rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}

[operate]

配置ICMP协议的扩展访问列表：

rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]

[icmp-code] [logging]

扩展访问控制列表操作符的含义

equal portnumber       等于

greater-than portnumber    大于

less-than portnumber       小于

not-equal portnumber       不等

range portnumber1 portnumber2 区间

扩展访问控制列表举例

[Quidway]acl 101

[Quidway-acl-101]rule deny souce any destination any

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply

[Quidway]acl 102

[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0

[Quidway-acl-102]rule deny ip source any destination any

[Quidway]acl 103

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www

[Quidway]firewall enable

[Quidway]firewall default permit|deny

[Quidway]int e0

[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound

地址转换配置举例

[Quidway]firewall enable

[Quidway]firewall default permit

[Quidway]acl 101

[Quidway-acl-101]rule deny ip source any destination any

[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any

[Quidway]acl 102

[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than

1024

[Quidway-Ethernet0]firewall packet-filter 101 inbound

[Quidway-Serial0]firewall packet-filter 102 inbound

[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1

[Quidway]acl 1

[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255

[Quidway-acl-1]rule deny source any

[Quidway-acl-1]int serial 0

[Quidway-Serial0]nat outbound 1 address-group pool1

[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp

[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp

[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp

[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

PPP验证：

主验方：pap|chap

[Quidway]local-user u2 password {simple|cipher} aaa

[Quidway]interface serial 0

[Quidway-serial0]ppp authentication-mode {pap|chap}

[Quidway-serial0]ppp chap user u1        //pap时，不用此句

pap被验方：

[Quidway]interface serial 0

[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa

chap被验方：

[Quidway]interface serial 0

[Quidway-serial0]ppp chap user u1

[Quidway-serial0]local-user u2 password {simple|cipher} aaa

一、连接及远程登录

用一台计算机作为控制台和网络设备相连接，通过计算机对网络设备进行配置。

1、硬件连接

把Console线一端连接在计算机的串口上，另一端连接在网络设备的Console口上。

按照上面的线序制作一根双绞线，一端通过一个转换头连接在计算机的串口上，另一端连接在网络设备的Console口上。

2、软件安装

在计算机上安装一个终端仿真软件来登录网络设备。“超级终端”安装方法，通常是使用secureCRT较多。

按照提示的步骤进行安装，其中连接的接口应选择”COM1″，端口的速率选择“9600”，数据流控制应选择”无”，其它都使用默认即可。

 

二、基础命令

连接上交换机后，需要进行命令配置，我们来看看配置的命令。

1、准备命令

2、查看信息

3、端口基本配置

4、聚合端口创建

5、生成树

6、VLan的基本配置

7、端口安全

A、配置最大连接数限制

B、IP和MAC地址绑定

8、三层路由功能（只针对三层交换机）

9、三层交换机路由协议

三、锐捷交换机实现同VLAN不同交换通信

我们都知道，同一个VLAN在同一个交换机中，是完全可以通信的。那么对于同一个VLAN在不同的交换机上，如果不做配置，是无法通信的，我们可以看一下下面的示例。

示例1：

（1）分析

两台交换机S1和S2利用VLAN分割成几个虚拟局域网，S1中VLAN1、VLAN30与S2中的VLAN1、VLAN30虽然是同一个VLAN，但却不能直接通信。那么如何使VLAN1、VLAN30同VLAN之间可以通信呢，不同的VLAN之间不可以通信呢？

（2）配置

配置S1:

S1>enable //进入特权配置模式
S1#configure terminal //全局配置模

! 创建VLAN20
S1(config)#vlan 20 //创建vlan20
S1(config-vlan)#name VLAN20 //给这个vlan命名vlan为vlan
! 创建VLAN30

S1(config-vlan)#vlan 30
S1(config-vlan)#name VLAN30
S1(config-vlan)#exit

! 把F0/4~F0/7指派给VLAN20
S1(config)#interface f0/4 //进入端口f0/4
S1(config-if)#switchport access vlan 20 //把这个端口划分给vlan20
S1(config-if)#interface f0/5 //进入端口f0/5
S1(config-if)#switchport access vlan 20
S1(config-if)#interface f0/6
S1(config-if)#switchport access vlan 20
S1(config-if)#interface f0/7
S1(config-if)#switchport access vlan 20

! 把F0/8~F0/11指派给VLAN30
S1(config-if)#interface f0/8 //进入端口f0/8
S1(config-if)#switchport access vlan 30 //把这个端口划分给vlan30
S1(config-if)#interface f0/9
S1(config-if)#switchport access vlan 30
S1(config-if)#interface f0/10
S1(config-if)#switchport access vlan 30
S1(config-if)#interface f0/11
S1(config-if)#switchport access vlan 30

! 把F0/12配置为Trunk模式
S1(config-if)#interface f0/12 //进入端口f0/12
S1(config-if)#switchport mode trunk // 将端口f0/12设为trunk，如果交换机只有一个vlan。就使用access接口。如果交换机有多个vlan就必须使用trunk端口，因为trunk端口可封装vlan标签。

S1(config-if)#end //返回特权模式

! 查看配置结果
S1#show vlan

! 保存配置
S1#copy running-config startup-config

配置S2：

S2>enable
S2#configure terminal

! 创建VLAN30
S2(config)#vlan 30
S2(config-vlan)#name VLAN30
S2(config-vlan)#exit

! 把F0/1~F0/5指派给VLAN30
S2(config)#interface range f0/1-5 //将s2中的1到5端口划分到vlan30，这个使用了端口简化配置方式，当然也可以在1中使用。

S2(config-if)#switchport access vlan 30

! 把F0/12配置为Trunk模式
S2(config-if)#interface f0/12
S2(config-if)#switchport mode trunk // 将s2端口f0/12也设为trunk，如果交换机只有一个vlan。就使用access接口。如果交换机有多个vlan就必须使用trunk端口，因为trunk端口可封装vlan标签。

S2(config-if)#end

! 查看配置结果
S2#show vlan

! 保存配置

S2#copy running-config startup-config

如此，配置就完成了。S1中的VLAN1与S2中的VLAN1便可以通信了。

 

VLAN1与VLAN20与VLAN30无法通信。

 

仔细看我们不难发现，上面的配置实例看起来没有那么多代码，其实就是4行关键代码重复使用。

四、功能配置命令示例

交换机密码
(config)#enable secret level 1 0 100
(config)#enable secret level 15 0 100
远程登入密码
(config)#line vty 0 4
(config-line)#password 100
(config-line)#end
交换机管理IP
(config)#interface vlan 1
(config-if)#ip address 192.168.1.10 255.255.255.0
(config-if)#no shutdown
修改交换机老化时间
(config)#mac-address-table aging-time 20
(config)#end
添删vlan
(config)#vlan 888
(config-vlan)#name a888
(config)#no vlan 888
添加access口
(config)#interface gigabitEthernet 0/10
(config-if)#switchport mode access
(config-if)#switchport access vlan 10
切换assess trunk
(config-if)#switchport mode access
(config-if)#switchport mode trunk
指定特定一个native vlan
(config-if)#switchport trunk native vlan 10

配置网关：
switch(config)#ip default-gateway 192.168.1.254

显示接口详细信息的命令
show interfaces gigabitEthernet 4/1 counters
接口配置
Switch(config)#interface gigabitethernet 0/1
把接口工作模式改为光口。
Switch(config-if)#medium-type fiber
把接口工作模式改为电口。
Switch(config-if)#medium-type copper

VLAN配置
建立VLAN 100
Switch (config)#vlan 100
该VLAN名称为ruijie
Switch (config)#name ruijie
将交换机接口划入VLAN 中：
range表示选取了系列端口1-48，这个对多个端口进行相同配置时非常有用。
Switch (config)#interface range f 0/1-48
将接口划到VLAN 100中。
Switch (config-if-range)#switchport access vlan 100

将接口划回到默认VLAN 1中，即端口初始配置。
Switch (config-if-range)#no switchport access vlan
Switch(config)#interface fastEthernet 0/1

该端口工作在access模式下
Switch(config-if)#switchport mode access

该端口工作在trunk模式下
Switch(config-if)#switchport mode trunk
Switch(config)#interface fastEthernet 0/2

路由配置：添加一条路由。
switch (config)#ip route 目的地址 掩码 下一跳
switch (config)#ip route 210.10.10.0 255.255.255.0 218.8.8.0

一、不知道密码，如何恢复出厂设置

1、 开机启动，Ctrl+B进入bootrom菜单，选择恢复出厂设置。

2、用com线连上电脑，用超级终端进入，然后重启电脑，看提示按ctrl+b进入bootrom模式，然后按照菜单提示删除flash中的.cfg文件，然后重启就可以了。

二、将Trunk端口添加到vlan中

Trunk端口可以允许多个VLAN通过，也就是可以加入多个VLAN，所以Trunk端口的VLAN加入不可能是一个一个地加，而是采取批量添加的方式进行。

【示例1】使用port trunk permit vlan命令将中继端口Ethernet2/0/1加入到2、6、10、50～100 VLAN中。

1. system-view

2. System View: return to User View with Ctrl+Z.

3. [H3C] interface Ethernet2/0/1

4. [H3C-Ethernet2/0/1] port trunk permit vlan 2 6 10 50 to 100

5. Please wait…

6. Done.
————————————————

三、H3C交换机基础配置说明

1、以太网端口的链路类型

Access link：只能允许某一个vlan的untagged数据流通过。

Trunk link：允许多个vlan的tagged数据流和某一个vlan的untagged数据流通过。

Hybrid link：允许多个vlan的tagged数据流和多个vlan的untagged数据流通过。

hybrid link端口可以允许多个vlan的报文发送时不携带标签，而Trunk端口只允许缺省vlan的报文发送时不携带标签。

三种类型的端口可以共存在一台设备上。

2、VLAN配置命令

创建vlanvlan 100 (1-4094)

删除vlan undo vlan 100(1-4094)

在vlan中添加端口portethernet 2/0/1

在vlan中删除端口 undo port ethernet 2/0/1

将端口加入到vlanport access vlan 100 (1-4094)

将端口脱离vlanundoport access vlan 100 (1-4094)

显示vlan信息display vlan VLANID (1-4094)

定义端口为Trunkport link-type trunk

删除端口的Trunk属性undo portlink-type

定义端口可以传输的vlanport trunk permit vlan VLANID

trunk链路允许所有的vlan通过：port trunk permit vlan all

在端口中删除可以传输的vlan：undo port trunk permit vlan VLANID

3、静态路由的配置命令和示例

[H3C]iproute-static ip-address{mask|mask-length} {interface-typeinterface-name|nexthop-address} [perference value] [reject|blackhole]

例如：

ip route-static 129.1.0.0 16 10.0.0.2

ip route-static 129.1.0.0 255.255.0.0 10.0.0.2

ip route-static 129.1.0.0 16 Serial 2/0

四、H3C交换机常用配置命令

1、配置主机名
[H3C]systemname H3C

2、配置console口密码
#进入系统视图。
<H3C> system-view
#进入AUX用户界面视图。
[H3C] user-interface aux 0
#设置通过Console口登录交换机的用户进行Password认证。
[H3C-ui-aux0] authentication-mode password
#设置用户的认证口令为加密方式，口令为123456。
[H3C-ui-aux0] set authentication passwordcipher 123456
#设置从AUX用户界面登录后可以访问的命令级别为2级。
[H3C-ui-aux0] user privilege level 2

3、配置Telnet
#进入系统视图。
<H3C> system-view
#进入VTY0用户界面视图。
[H3C] user-interface vty 0
#设置通过VTY0口登录交换机的用户进行Password认证。
[H3C-ui-vty0] authentication-mode password
#设置用户的认证口令为密码方式，口令为123456。
[H3C-ui-vty0] set authentication passwordcipher 123456
#设置从VTY0用户界面登录后可以访问的命令级别为2级。
[H3C-ui-vty0] user privilege level 2
#设置VTY0用户界面支持Telnet协议。
[H3C-ui-vty0] protocol inbound telnet

4、配置交换机VLAN 1管理地址
<H3C> system-view
[H3C] interface vlan-interface 1
[H3C-VLAN-interface1] ip address192.168.0.129 255.255.255.0

5、配置交换机网关地址
[H3C]ip route-static 0.0.0.00.0.0.0 192.168.0.1

6、配置HTTP服务
[H3C] local-user admin     #创建http用户
[H3C-luser-admin] service-type telnet
[H3C-luser-admin] authorization-attributelevel 3
[H3C-luser-admin] password cipheradmin  #设置http用户密码,并加密显示

7、配置SNMP
[H3C]snmp-agent
[H3C]snmp-agent community read123456  #设置snmp团体名称，权限为只读
[H3C]snmp-agent sys-info version v1 v2c   #设置snmp版本v1和v2

8、Qos端口限速
[H3C] interface gigabitethernet 1/0/1
#配置限速参数，端口进/出速率限制为5120kbps。
[H3C-GigabitEthernet1/0/1] qos lr inboundcir 5120
[H3C-GigabitEthernet1/0/1] qos lr outboundcir 5120

9、创建VLAN
[H3C] vlan 100

10、删除VLAN
[H3C] undo vlan 100

11、将端口加入vlan 100
[H3C] interface GigabitEthernet 1/0/24
[H3C] port access vlan 100

12、查看VLAN
[H3C]display vlan all

12、查看端口状态
[H3C]display interface GigabitEthernet1/0/24

14、启用端口
[H3C]interface GigabitEthernet 1/0/24
[H3C]undo shutdown

15、关闭端口
[H3C]interface GigabitEthernet 1/0/24
[H3C]shutdown

16、查看MAC地址列表
[H3C]display mac-address

17、查看arp信息
[H3C]display arp

18、查看current配置
[H3C]display current-configuration

19、查看saved配置
[H3C]display saved-configuration
注:current配置是保存在交换机内存里面，当交换机重启时，不会生效
要交换机重启时生效，必须保存在saved-configureation配置里

20、保存交换机配置
[H3C]save

以下为H3C交换机设备常用命令。

display ip interface brief 显示vlan-if信息
display interface brief 显示全部接口信息
interface Gigabitethernet 1/0/n 设置接口 n

ip address x.x.x.x n.n.n.n 设置ip
undo ip address x.x.x.x n.n.n.n 取消设置ip

display ip routing-table 显示路由表项
ip route-statics x.x.x.x n.n.n.n x.x.x.x 添加一条路由表项（先后顺序为IP+mask+nexthop）
undo ip route-statics x.x.x.x n.n.n.n x.x.x.x 删除一条路由表项

vlan number 设置vlan（umber为要设置的vlanID）
port Gigabitethernet 1/0/n （在某vlan内）添加接口
interface vlan-interface n 设置vlan-if n 接口

interface Bridge-Aggregation n 设置聚合接口 n
port link-Aggregation group n （在接口1/0/x内）将该接口添加到聚合口n中

port link-type access/trunk 设置接口类型access/trunk
port trunk permit vlan 100 to 110 将trunk接口批量添加到vlan 100 到 110 中

display this 显示具体内容
shutdown （在接口内）接口down
undo shutdown （在接口内）接口恢复
quit 退出
————————————————
版权声明：本文为CSDN博主「windyf2013」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/windyf2013/article/details/79929482

H3C路由交换机清除所有配置的命令是：reset saved-configuration  reboot    清空配置,然后重启。

延展阅读：

H3C交换机配置命令大全：

1. system-view   进入系统视图模式
2. sysname   为设备命名
3. display current-configuration 当前配置情况
4. language-mode Chinese|English 中英文切换
5. interface Ethernet 1/0/1 进入以太网端口视图
6. port link-type Access|Trunk|Hybrid   设置端口访问模式
7. shutdown   关闭以太网端口
8. quit     退出当前视图模式
9. vlan 10    创建VLAN 10并进入VLAN 10的视图模式
10. port access vlan 10   在端口模式下将当前端口加入到vlan 10中
11. port E1/0/2 to E1/0/5    在VLAN模式下将指定端口加入到当前vlan中
12. port trunk permit vlan all    允许所有的vlan通过

ping、arp、tracert、route这四大命令配合使用，可以查出或解决网络中的大部分基本故障问题。

一、ping命令的详细用法

在网络中ping是一个十分强大的TCP/IP工具。它的作用主要为：

1、用来检测网络的连通情况和分析网络速度

2、根据域名得到服务器IP

3、根据ping返回的TTL值来判断对方所使用的操作系统及数据包经过路由器数量。

我们通常会用它来直接ping ip地址，来测试网络的连通情况。

类如这种，直接ping ip地址或网关，ping通会显示出以上数据，有朋友可能会问，bytes=32；time<1ms；TTL=128 这些是什么意思。

bytes值：数据包大小，也就是字节。

time值：响应时间，这个时间越小，说明你连接这个地址速度越快。

TTL值：Time To Live,表示DNS记录在DNS服务器上存在的时间，它是IP协议包的一个值，告诉路由器该数据包何时需要被丢弃。可以通过Ping返回的TTL值大小，粗略地判断目标系统类型是Windows系列还是UNIX/Linux系列。

一、ping -t的用法

不间断地Ping指定计算机，直到管理员中断。

这就说明电脑连接路由器是通的，网络效果很好。下面按按住键盘的Ctrl+c终止它继续ping下去，就会停止了，会总结出运行的数据包有多少，通断的有多少了。

二、ping -a的使用

ping-a解析计算机名与NetBios名。就是可以通过ping它的ip地址，可以解析出主机名。

三、ping -n的使用

在默认情况下，一般都只发送四个数据包，通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送10个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过以下获知：

从以上我就可以知道在给47.93.187.142发送10个数据包的过程当中，返回了10个，没有丢失，这10个数据包当中返回速度最快为32ms，最慢为55ms，平均速度为37ms。说明我的网络良好。

如果对于一些不好的网络，比如监控系统中非常卡顿，这样测试，返回的结果可能会显示出丢失出一部分，如果丢失的比较多的话，那么就说明网络不好，可以很直观的判断出网络的情况。

四、ping -l size的使用

-l size：发送size指定大小的到目标主机的数据包。

在默认的情况下Windows的ping发送的数据包大小为32byt，最大能发送65500byt。当一次发送的数据包大于或等于65500byt时，将可能导致接收方计算机宕机。所以微软限制了这一数值；这个参数配合其它参数以后危害非常强大，比如攻击者可以结合-t参数实施DOS攻击。（所以它具有危险性，不要轻易向别人计算机使用）。

例如：ping -l 65500 -t  211.84.7.46

会连续对IP地址执行ping命令，直到被用户以Ctrl+C中断.

这样它就会不停的向211.84.7.46计算机发送大小为65500byt的数据包，如果你只有一台计算机也许没有什么效果，但如果有很多计算机那么就可以使对方完全瘫痪，网络严重堵塞，由此可见威力非同小可。

五、ping -r count 的使用

在“记录路由”字段中记录传出和返回数据包的路由，探测经过的

路由个数，但最多只能跟踪到9个路由。

ping -n 1 -r 9 202.102.224.25 （发送一个数据包，最多记录9个路由）

将经过 9个路由都显示出来了，可以看上图。

ping命令用的较多的就这6类的，大家有可能在项目中会用到的。

六、批量ping网段

对于一个网段ip地址众多，如果单个检测实在麻烦，那么我们可以直接批量ping网段检测，那个ip地址出了问题，一目了然。

先看代码，直接在命令行窗口输入：

for /L %D in (1,1,255) do ping 10.168.1.%D

IP地址段修改成你要检查的IP地址段。

当输入批量命令后，那么它就自动把网段内所有的ip地址都ping完为止。

那么这段“for /L %D in(1,1,255) do ping 10.168.1.%D” 代码是什么意思呢？

代码中的这个(1,1,255)就是网段起与始，就是检测网段192.168.1.1到192.168.1.255之间的所有的ip地址，每次逐增1，直接到1到255这255个ip检测完为止。

二、arp命令的使用

arp是地址解析协议，其基本功能为透过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。它是IPv4中网络层必不可少的协议，不过在IPv6中已不再适用，并被邻居发现协议（NDP）所替代。

说白了，就是把通过ip地址找到设备mac地址。

arp的命令一般有三个用法，就是查询显示、添加记录、与删除记录，这个在我们做网络项目时经常会用到。

1、arp -a ，当你需要显示当期ip地址对应的mac地址时使用

当你需要了解你网络中设备对应的mac地址时，你可以使用arp地址进行显示，这个有利于我们可以清楚了解到ip地址对应的mac地址是哪台设备。

在命令提示符中输入“arp -a”并回车；自动在缓存中，读取IP地址和mac地址的对应关系表；

2、arp -s ，当你需要手动添加或绑定一条arp记录时使用。

手工输入一条ARP项目，格式为“ARP+空格+-a+IP地址+MAC地址”；

在网络中，通常在办公网络或监控项目中，为了防止用户乱改ip地址或ip地址冲突，我们需要给ip地址绑定设备的mac地址。

如下图，先用ARP -s 192.168.1.1 3c-22-3f-5d-f6-77绑定一条记录，然后用arp -a查询了ARP记录添加是否成功。

其实这个命令也叫作绑定mac地址的命令，例如一个公司的网络，员工经常喜欢改自己电脑的ip地址，经常会造成ip地址混乱，无法管理，那么这个时候你只需要把它的ip地址与它电脑mac地址进行绑定，那么下次出现网络故障，就可以直接mac地址定位到那几台电脑。

3、arp -d，当你觉得某条arp记录有问题时，可以删除。

功能为：删除所有ARP记录

其实如果想彻底清空ARP列表，需要您禁止所有网络连接，否则网络数据交互过程中仍然会产生新的ARP列表。

当你网络中出了问题，可能是有某些ip地址发生冲突了，mac对应的ip地址有误，那么你可以对它进行删除这条arp记录，然后重新添加新的记录，网络问题就会得到解决。

三、tracert命令的使用

tracert是路由跟踪命令，用于确定 IP 数据包访问目标所采取的路径。

在使用Tracert命令之前，我们先来简单地介绍一下它的语法。其中最简单也是最常用的命令格式为：

一、基本用法

Tracert  目标设备的ip地址或者网址：

例1、检测ip地址经过几个跃点

这里面是经过了两个跃点。

例2：检测网址经过几个跃点

例3、“tracert -d baidu.com”代表不将IP地址解析到主机名称，如下图所示：

例4、“tracert -h 3 baidu.com”代表本次tracert搜索的最大跳数，输入3表示搜索在路由器跳转3次，如下图所示：

这个就是查跟设备最近的几个连接点的问题，通常在网络问题中，先要排除前端跟设备直接连接的最近的几个设备是否有故障，如果这几个近点跟踪可以正常互通，那么问题可能就出现在后端。

例5、“tracert -w 6 baidu.com”代表tracert为每次回复所指定的毫秒数，其它命令根据需求，可以根据第二步图介绍使用，如下图所示：

当网络很慢，或者很卡时，我们要检测是那个设备的反应速度比较慢，所以这里面可以设个标准值，例如上面是直接显示回复6ms以内的设备，超过6ms的设备不显示，就是反应比较慢的，这个数值可以根据情况设置。

四、route命令使用

route命令用于显示和操作IP路由表。要实现两个不同的子网之间的通信，需要一台连接两个网络的路由器，或者同时位于两个网络的网关来实现。

route命令主要用来管理本机路由表，可以查看，添加、修改或删除路由表条目，也就是说可以让哪些ip地址可以访问网络，哪些ip段不能访问网络。

在我们做项目时，经常可能会用到外网与外网切换使用，这样就造成了插拔网线在切换内外网，极其麻烦，这个在我们弱电vip技术群中经常有朋友问题，能否内网和外网同时接入到笔记本，不用每次拔网线呢？

例如：

笔记本上一张机械网卡，一张无线网卡， 一般笔记本都是这样的配置，都联上了内外与外网，其中外网网关是49.222.151.207，内网网关10.168.1.1，如何实现双网卡同时使用有线网上内网、无线网上外网？

第一步：设置无线网卡为默认路由网关。

步骤：无线网络连接属性—Internet协议(TCP/IP)-属性-高级，手动添加无线路由网关，添加自己的外网网关即关，跃点数为“1”，是最高优先级。到了这一步，如果有线连接，无线连接同时存在的话，所有的数据都是经由无线网卡处理的。

第二步：查看当前路由表

使用route print命令看一个0.0.0.0的网络目标分别映射你的外内网的网关。

当然，这里面你也可以对当前的路由进行删除

第三步：

通过route命令，将所有网段添加到外网网卡，为默认路由，即所有的ip都走外网。

显示查看路由表，查看是否添加成功。

第四步：

通过route命令将内网网段添加到内网网卡，内网使用，即10.168.0.0这个ip段走内网。

显示查看路由表（route print命令)，查看是否添加成功。

那么就设置成功了，整体的意思就是：

对于所有IP地址的访问，都从 49.222.151.207网关走；

但是，对于10.168.0.0开头的地址的访问，从10.168.1.1走。

这样，再也不用插拔网线这种粗鲁的方式来切换网络了。