H3C三层交换机配置命令

发布时间: 2021-11-03 10:11:45

　H3C 三层交换机配置命令技术教程 2010-03-01 16:16:53 阅读 655 评论 0

　字号：大中小订阅

　一、write 是 cisco 的 H3C 的保存配置的命令是 save

　查看保存的配置文件为 dis save 查看当前运行的配置是 dis cu 清空配置为 reset save

　需要重启生效重启为 reboot

　二、system-view：进入配置模式 [Quidway]dis cur

　；显示当前配置 [Quidway]display current-configuration

　；显示当前配置 [Quidway]display interfaces

　；显示接口信息 [Quidway]display vlan all

　；显示路由信息 [Quidway]display version

　；显示版本信息

　[Quidway]super password

　；修改特权用户密码 [Quidway]sysname

　；交换机命名 [Quidway]interface ethernet 0/1

　；进入接口视图 [Quidway]interface vlan x

　；进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0

　；配置 VLAN 的 IP 地址

　[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2

　；静态路由＝网关 [Quidway]rip

　；三层交换支持 [Quidway]local-user ftp

　增加用户名

　 [Quidway]user-interface vty 0 4

　；进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password

　；设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222

　；设置口令 [S3026-ui-vty0-4]user privilege level 3

　；用户级别说明：必须要配置虚拟终端用户名、密码等相关信息，否则将无法通过 RJ－45 端口 telnet 到交换机。

　<Sysname> system-view [Sysname] local-user admin

　[Sysname-luser-admin] service-type telnet level 3

　[Sysname-luser-admin] password simple admin

　说明：以上命令用于设置 web 管理页面的登录用户名和密码，必须要设置上述信息，否则将无法登录到web 配置页面。

　[Quidway]interface ethernet 0/1

　；进入端口模式 [Quidway]int e0/1

　；进入端口模式 [Quidway-Ethernet0/1]duplex {half|full|auto}

　；配置端口工作状态

　[Quidway-Ethernet0/1]speed {10|100|auto}

　；配置端口工作速率 [Quidway-Ethernet0/1]flow-control

　；配置端口流控 [Quidway-Ethernet0/1]mdi {across|auto|normal}

　；配置端口平接扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid}

　；设置端口工作模式 [Quidway-Ethernet0/1]port access vlan 3

　；当前端口加入到 VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All}

　；设 trunk 允许的 VLAN [Quidway-Ethernet0/3]port trunk pvid vlan 3

　；设置 trunk 端口的 PVID [Quidway-Ethernet0/1]undo shutdown

　；激活端口 [Quidway-Ethernet0/1]shutdown

　；关闭端口 [Quidway-Ethernet0/1]quit

　；返回

　[Quidway]vlan 3

　；创建 VLAN [Quidway-vlan3]port ethernet 0/1

　；在 VLAN 中增加端口 [Quidway-vlan3]port e0/1

　；简写方式 [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4

　；在 VLAN 中增加端口 [Quidway-vlan3]port e0/1 to e0/4

　；简写方式

　[Quidway]monitor-port <interface_type interface_num>

　；指定镜像端口 [Quidway]port mirror <interface_type interface_num>

　；指定被镜像端口 [Quidway]port mirror int_list observing-port int_type int_num ；指定镜像和被镜像

　[Quidway]description string

　；指定 VLAN 描述字符 [Quidway]description

　；删除 VLAN 描述字符 [Quidway]display vlan [vlan_id]

　；查看 VLAN 设置

　[Quidway]stp {enable|disable}

　；设置生成树,默认关闭 [Quidway]stp priority 4096

　；设置交换机的优先级 [Quidway]stp root {primary|secondary}

　；设置为根或根的备份 [Quidway-Ethernet0/1]stp cost 200

　；设置交换机端口的花费

　[Quidway]link-aggregation e0/1 to e0/4 ingress|both

　 ; 端口的聚合 [Quidway]undo link-aggregation e0/1|all

　 ;

　始端口为通道号

　[SwitchA-vlanx]isolate-user-vlan enable

　；设置主 vlan [SwitchA]isolate-user-vlan <x> secondary <list>

　；设置主 vlan 包括的子 vlan [Quidway-Ethernet0/2]port hybrid pvid vlan <id>

　；设置 vlan 的 pvid [Quidway-Ethernet0/2]port hybrid pvid

　；删除 vlan 的 pvid [Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged

　；设置无标识的 vlan 如果包的 vlan id 与 PVId 一致，则去掉 vlan 信息. 默认 PVID=1。

　所以设置 PVID 为所属 vlan id, 设置可以互通的 vlan 为 untagged.

　配置基本 ACL 2000，禁止源 IP 地址为 192.168.0.1 的报文通过。

　<Sysname> system-view [Sysname] acl number 2000

　[Sysname-acl-basic-2000] rule deny source 192.168.0.1 0 # 显示基本 ACL 2000 的配置信息。

　[Sysname-acl-basic-2000] display acl 2000 Basic ACL

　2000, 1 rule Acl"s step is 1

　rule 0 deny source 192.168.0.1 0

　 # 配置高级 ACL 3000，允许从 129.9.0.0/16 网段的主机向 202.38.160.0/24 网段的主机发送的端口号为 80 的 TCP 报文通过。

　<Sysname> system-view [Sysname] acl number 3000 [Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80

　在端口 Ethernet 1/0/1 的入方向上应用 ACL 2000 进行包过滤。

　<Sysname> system-view [Sysname] interface Ethernet 1/0/1 [Sysname-Ethernet1/0/1] packet-filter inbound ip-group 2000

　# 在 VLAN 1 的入方向上应用 ACL 2000 进行包过滤。

　<Sysname> system-view [Sysname] packet-filter vlan 1 inbound ip-group 2000 说明：acl 的 in 和 out

　说明一：in 和 out 是相对交换机而言的，凡是数据从外部设备（如 PC）进入交换机，则该方向为 in；凡是数据从交换机转发到外部设备（如 PC），则该方向为 out。

　说明二：in 和 out 是相对的,比如: A(s0)-----(s0)B(s1)--------(s1)C 假设你现在想拒绝 A 访问C,并且假设要求你是在 B 上面做 ACL(当然 C 上也可以),我们把这个拓扑换成一个例子: B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C) 现在要拒绝小偷从 A 进来,那么你在你家客厅做个设置,就有 2 种办法: 1.在你家客厅(B)前门(B 的 s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的 2.在你家客厅后门安个铁门(B 的 s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C) 虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法 1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B 要消耗些额外的不必要的处理)

　说明三：

　1、交换机、路由器上：

　针对某个 vlan 接口应用 acl 的方向问题，大家可以看看 acl 的源和目标地址段。假设要为 vlan A 配置 acl，当源地址段为 vlan A 的 ip 段时，acl 就是用 in；当目的地址段为 vlanA的 ip 段时，acl 就是用 out 方向。

　反正有一点需要注意，应用在 vlan 的 ACL 为 out 方向时，其目的地址肯定是此 vlan的 ip 网段内地址或者在 acl 中用 any 来匹配，但是用其他具体网段来匹配的话是匹配不上的；应用在 vlan 的 ACL 为 in 方向时，其源地址肯定是此 vlan 的 ip 网段内地址或者在 acl中用 any 来匹配，但是用其他具体网段来匹配的话同样是匹配不上的。

　要为 vlan 配 acl 时，可以把 vlan 看成是一个普通接口。

　2、防火墙上：

　从安全级别低的访问高的叫 in 从安全级别高的访问低的叫 ou

　三、加密改密：

　<h3c>system-view [h3c]local-user admin

　 //用户名 [h3c-user-admin]password cipher admin

　//密码，显示的时候就变成密文的了。

　[h3c-user-admin]quit [h3c]quit <h3c>save

　保存四、1、system-view

　进入系统视图模式

　2、sysname

　为设备命名

　3、display current-configuration 当前配置情况

　4、 language-mode Chinese|English 中英文切换

　5、interface Ethernet 1/0/1 进入以太网端口视图

　6、 port link-type Access|Trunk|Hybrid

　设置端口访问模式

　7、 undo shutdown

　打开以太网端口

　8、 shutdown

　关闭以太网端口

　9、 quit

　退出当前视图模式

　10、 vlan 10

　创建 VLAN 10 并进入 VLAN 10 的视图模式

　11、 port access vlan 10

　在端口模式下将当前端口加入到 vlan 10 中

　12、port E1/0/2 to E1/0/5

　在 VLAN 模式下将指定端口加入到当前 vlan 中

　 13、port trunk permit vlan all

　允许所有的 vlan 通过

　H3C 路由器

　1、system-view

　进入系统视图模式

　2、sysname R1

　为设备命名为 R1

　3、display ip routing-table 显示当前路由表

　4、 language-mode Chinese|English 中英文切换

　5、interface Ethernet 0/0 进入以太网端口视图

　6、 ip address 192.168.1.1 255.255.255.0

　配置 IP 地址和子网掩码

　7、 undo shutdown

　打开以太网端口

　8、 shutdown

　关闭以太网端口

　9、 quit

　退出当前视图模式

　10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由

　11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由

　H3C S3100 Switch

　H3C S3600 Switch

　H3C MSR 20-20 Router 1、调整超级终端的显示字号；

　2、捕获超级终端操作命令行，以备日后查对；

　3、 language-mode Chinese|English 中英文切换；

　4、复制命令到超级终端命令行，粘贴到主机；

　5、交换机清除配置 :<H3C>reset save ；<H3C>reboot ；

　6、路由器、交换机配置时不能掉电，连通测试前一定要

　检查网络的连通性，不要犯最低级的错误。

　7、192.168.1.1/24

　等同

　 192.168.1.1 255.255.255.0；在配置交换机和路由器时， 192.168.1.1 255.255.255.0 可以写成：

　192.168.1.1 24

　8、设备命名规则：地名-设备名-系列号例：PingGu-R-S3600

　H3C 华为交换机端口绑定基本配置 2008-01-22 13:40

　1，端口 MAC

　a)AM 命令

　使用特殊的 AM User-bind 命令，来完成 MAC 地址与端口之间的绑定。例如：

　〔SwitchA〕am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

　配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口 E0/1 只允许 PC1 上网，而使用其他未绑定的 MAC 地址的 PC 机则无法上网。但

　是 PC1 使用该 MAC 地址可以在其他端口上网。

　b)mac-address 命令

　使用 mac-address static 命令，来完成 MAC 地址与端口之间的绑定。例如：

　〔SwitchA〕mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

　〔SwitchA〕mac-address max-mac-count 0

　配置说明：由于使用了端口学习功能，故静态绑定 mac 后，需再设置该端口 mac学习数为 0，使其他 PC 接入此端口后其 mac 地址无法被学习。

　2，IP MAC

　a)AM 命令

　使用特殊的 AM User-bind 命令，来完成 IP 地址与 MAC 地址之间的绑定。例如：

　〔SwitchA〕am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3

　配置说明：以上配置完成对 PC 机的 IP 地址和 MAC 地址的全局绑定，即与绑定的 IP 地址或者 MAC 地址不同的 PC 机，在任何端口都无法上网。

　支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G

　b)arp 命令

　使用特殊的 arp static 命令，来完成 IP 地址与 MAC 地址之间的绑定。例如：

　〔SwitchA〕arp static 10.1.1.2 00e0-fc22-f8d3

　配置说明：以上配置完成对 PC 机的 IP 地址和 MAC 地址的全局绑定。

　3，端口 IP MAC

　使用特殊的 AM User-bind 命令，来完成 IP、MAC 地址与端口之间的绑定。例如：

　〔SwitchA〕am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

　配置说明：可以完成将 PC1 的 IP 地址、MAC 地址与端口 E0/1 之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口 E0/1 只允

　许 PC1 上网，而使用其他未绑定的 IP 地址、MAC 地址的 PC 机则无法上网。但是 PC1 使用该 IP 地址和 MAC 地址可以在其他端口上网。

　〔S2016-E1-Ethernet0/1〕mac-address max-mac-count 0;

　进入到端口，用命令 mac max-mac-count 0(端口 mac 学习数设为 0)

　〔S2016-E1〕mac static 0000-9999-8888 int e0/1 vlan 10;

　将 0000-9999-8888 绑定到 e0/1 端口上，此时只有绑定 mac 的 pc 可以通过此口上网,同时 E0/1 属于 vlan 10

　就这样，ok 了，不过上面两个命令顺序不能弄反，除非端口下没有接 pc

　dis vlan 显示 vlan

　name text 指定当前 vlan 的名称

　undo name 取消

　〔h3c〕 vlan 2

　〔h3c-vlan2〕name test vlan

　dis users 显示用户

　dis startup 显示启动配置文件的信息

　dis user-interface 显示用户界面的相关信息

　dis web users 显示 web 用户的相关信息。

　header login 配置登陆验证是显示信息

　header shell

　undo header

　lock 锁住当前用户界面

　acl 访问控制列表 acl number inbound/outbound

　〔h3c〕user-interface vty 0 4

　〔h3c-vty0-4〕 acl 2000 inbound

　shutdown:关闭 vlan 接口

　undo shutdown 打开 vlan 接口

　关闭 vlan1 接口

　〔h3c〕 interface vlan-interface 1

　〔h3c-vlan-interface〕 shutdown

　vlan vlan-id 定义 vlan

　undo valn vlan-id

　display ip routing-table

　display ip routing-table protocol static

　display ip routing-table statistics

　display ip routing-table verbose 查看路由表的全部详细信息

　interface vlan-interface vlan-id 进入 valn

　management-vlan vlan-id 定义管理 vlan 号

　reset ip routing-table statistics protocol all 清除所有路由协议的路由信息.

　display garp statistics interface GigabitEthernet 1/0/1 显示以太网端口上的garp 统计信息

　display voice vlan status 查看语音 vlan 状态

　〔h3c-GigabitEthernet1/0/1〕 broadcast-suppression 20 允许接受的最大广播流量为该端口传输能力的 20%.超出部分丢弃.

　〔h3c-GigabitEthernet1/0/1〕 broadcast-suppression pps 1000 每秒允许接受的最大广播数据包为 1000 传输能力的 20%.超出部分丢弃.

　display interface GigabitEthernet1/0/1 查看端口信息

　display brief interface GigabitEthernet1/0/1 查看端口简要配置信息

　display loopback-detection 用来测试环路测试是否开启

　display transceiver-information interface GigabitEthernet1/0/50 显示光口相关信息

　duplex auto/full/half

　〔h3c〕interface GigabitEthernet1/0/1

　〔h3c-GigabitEthernet1/0/1〕duplux auto 设置端口双工属性为自协商

　port link-type access/hybrid/trunk 默认为 access

　port trunk permit vlan all 将 trunk 扣加入所有 vlan 中

　reset counters interface GigabitEthernet1/0/1 清楚端口的统计信息

　speed auto 10/100/1000

　display port-security 查看端口安全配置信息

　am user-bind mac-addr 00e0-fc00-5101 ip-addr 10.153.1.2 interface GigabitEthernet1/0/1 端口 ip 绑定

　display arp 显示 arp

　display am user-bind 显示端口绑定的配置信息

　display mac-address 显示交换机学习到的 mac 地址

　display stp 显示生成树状态与统计信息

　〔h3c-GigabitEthernet1/0/1〕stp instance 0 cost 200 设置生成树实例 0 上路径开销为 200

　stp cost 设置当前端口在指定生成树实例上路径开销。instance-id 为 0-16 0 表cist 取值范围 1-200000

　<h3c> display system-guard ip-record 显示防攻击记录信息.

　system-guard enable 启用系统防攻击功能

　display icmp statistics icmp 流量统计

　display ip socket

　display ip statistics

　display acl all

　acl number acl-number match-order auto/config

　acl-number (2000-2999 是基本 acl 3000-3999 是高级 acl 为管理员预留的编号)

　rule deny/permit protocal

　访问控制

　〔h3c〕 acl number 3000

　〔h3c-acl-adv-3000〕rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.255.255 destination-port eq 80 (

　定义高级 acl 3000,允许 129.0.0/16 网段的主机向 202.38.160/24 网段主机访问端口 80)

　rule permit source 211.100.255.0 0.255.255.255

　rule deny cos 3 souce 00de-bbef-adse ffff-ffff-fff dest 0011-4301-9912 ffff-ffff-ffff

　(禁止 mac 地址 00de-bbef-adse 发送到 mac 地址 0011-4301-9912 且 802.1p优先级为 3 的报文通过)

　display qos-interface GigabitEthernet1/0/1 traffic-limit 查看端口上流量

　端口速率限制

　line-rate inbound/outbound target-rate

　inbound:对端口接收报文进行速率限制

　outbound: 对端口发送报文进行速率限制

　target-rate 对报文限制速率,单位 kbps 千兆口 inbound 范围 1-1000000 outbound 范围 20-1000000

　undo line-rate 取消限速.

　〔h3c〕interface GigabitEthernet1/0/1

　〔h3c-GigabitEthernet1/0/1〕line-rate outbound 128 限制出去速率为 128kbps

　display arp | include 77

　display arp count 计算 arp 表的记录数

　display ndp 显示交换机端口的详细配置信息。

　display ntdp device-list verbose 收集设备详细信息

　display lock

　display users

　display cpu

　display memory

　display fan

　display device

　display power

　如何在交换机上获取与之直接相连的计算机的 mac 查看 mac 可用老命令行 show mac，可查看对应端口上的 mac 新命令行 dis mac ip 地址在二层交换机上无法查得

　 display mac-address

　 MAC ADDR

　VLAN ID

　STATE

　PORT INDEX

　AGING TIME

　 000d-87db-de7d

　512

　Learned

　Ethernet0/1

　AGING

　华华 3 交换机端口汇聚配置交换机端口汇聚配置

　关于交换机端口汇聚的配置问题：

　端口汇聚配置『配置环境参数』 1. 交换机 SwitchA 和 SwitchB 通过以太网口实现互连。

　2. SwitchA 用于互连的端口为 e0/1 和 e0/2，SwitchB 用于互连的端口为 e0/1 和 e0/2。

　『组网需求』增加 SwitchA 的 SwitchB 的互连链路的带宽，并且能够实现链路备份，使用端口汇聚。

　2 数据配置步骤

　『端口汇聚数据转发流程』如上图，如果在汇聚时配置的是 ingress 属性，假如 PC1 的数据包进入 SwitchA，假如第一次去 PING PC2，那么第一次将是广播包，数据包将从汇聚端口的逻辑主端口送出，报文送达 Switch2 时，此时 PC1 的 MAC 也将对应学习到 Switch2 的逻辑主端口，此时 PC2 再进行回包主要看 PC1 的源 MAC 学习到哪个端口，就会通过哪个端口进行转发，所以 ingress是根据流进行转发，如果流是单一的，那么该数据流也将一直走同一个端口，除非该端口故障。

　如果在汇聚时配置的是 both 属性，2 个端口汇聚，如 PC1 的数据包进入 SwitchA，假如第一次去 PING PC2，那么第一次将是广播包，数据包将从汇聚端口的逻辑主端口送出，报文送达 Switch2 时，此时 PC1 的 MAC 也将对应学习到 Switch2 的逻辑主端口，此时 Switch2将根据自己的算法进行选路：将 PC1 的 MAC（二进制）和 PC2 的 MAC（二进制）的最后一位进行与*作，如果与出来的结果为 0，将选择主端口；如果与出来的结果为 1，将选择备份端口。也就是说如果对于一个单一的数据流（例如固定两台 PC）那么它们的数据流将一直在固定某个端口进行转发。

　如果是三个或者四个端口进行汇聚，将 PC1 的 MAC 和 PC2 的 MAC（二进制）的最后二位进行与*作，一共四种结果，如果与出来的结果为 0，将选择主端口；如果与出来的结果为 1，选择第一个备份端口，如果与出来的结果为 0，再选择第二个备份端口，依此类推。

　如果是五个到八个端口进行汇聚，将 PC1 的 MAC 和 PC2 的 MAC（二进制）的最后三位进行与*作，一共八种结果，再进行端口选择。汇聚端口越多，算法就越复杂。

　【SwitchA 交换机配置】

　1. 进入端口 E0/1 [SwitchA]interface Ethernet 0/1 2. 汇聚端口必须工作在全双工模式 [SwitchA-Ethernet0/1]duplex full 3. 汇聚的端口速率要求相同，但不能是自适应 [SwitchA-Ethernet0/1]speed 100 4. 进入端口 E0/2 [SwitchA]interface Ethernet 0/2 5. 汇聚端口必须工作在全双工模式 [SwitchA-Ethernet0/2]duplex full 6. 汇聚的端口速率要求相同，但不能是自适应 [SwitchA-Ethernet0/2]speed 100 7. 根据源和目的 MAC 进行端口选择汇聚 [SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both

　【SwitchA 交换机配置】

　[SwitchB]interface Ethernet 0/1 [SwitchB-Ethernet0/1]duplex full [SwitchB-Ethernet0/1]speed 100 [SwitchB]interface Ethernet 0/2 [SwitchB-Ethernet0/2]duplex full [SwitchB-Ethernet0/2]speed 100 [SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both 【补充说明】

　1. 同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致，即如果主端口为Trunk 端口，则成员端口也为 Trunk 端口；如主端口的链路类型改为 Access 端口，则成员端口的链路类型也变为 Access 端口。

　2. 不同的产品对端口汇聚时的起始端口号要求各有不同，请对照《*作手册》进行配置

相关热词搜索： 交换机 命令配置