前言
大家好，云智能知識分享，非常適合初學(xué)者的H3C配置經(jīng)典全面教程，下面我們一起來看下！
正文

1 H3C MSR路由器、交換機(jī)基本調(diào)試步驟（初學(xué)級別）：

1.1如何登陸進(jìn)路由器或交換機(jī)

1.1.1搭建配置環(huán)境

第一次使用H3C系列路由器時，只能通過配置口(Console)進(jìn)行配置。

1）將配置電纜的RJ-45一端連到路由器的配置口(Console)上。

2）將配置電纜的DB-9(或DB-25)孔式插頭接到要對路由器進(jìn)行配置的微機(jī)或終端的串口上。?

?

備注：登陸交換機(jī)的方法與路由器的一致，現(xiàn)僅用路由器舉

1.1.2設(shè)置微機(jī)或終端的參數(shù)（進(jìn)入路由器或交換機(jī)）

1）打開微機(jī)（筆記本電腦）或終端。如果使用微機(jī)進(jìn)行配置，需要在微機(jī)上運(yùn)行終端仿真程序，如Windows的超級終端。

2）第二步：設(shè)置終端參數(shù)

a、命名此終端 ?H3C或者自己想命的名

b、選擇串口 ?一般選用COM口，常選用COM1

c、設(shè)置終端具體參數(shù)(此處點擊“默認(rèn)值”即可)

d、打開路由器的電源，路由器進(jìn)行啟動?

e、當(dāng)路由器啟動完畢后，回車幾下，當(dāng)出現(xiàn)<H3C>時即可配置路由器。

1.2路由器基本調(diào)試命令

1.2.1使用本地用戶進(jìn)行telnet登錄的認(rèn)證

<H3C> system-view ? ? 進(jìn)入系統(tǒng)視圖

[H3C]telnet server enable ? ?打開路由器的telnet功能

[H3C]configure-user count?5?? 設(shè)置允許同時配置路由器的用戶數(shù)

[H3C]local-user?telnet?? 添加本地用戶(此處為telnet用戶登陸時使用的用戶名)

[H3C-luser-telnet]password simple?h3c?? 設(shè)置telnet用戶登陸時所使用的密碼

[H3C-luser-telnet]service-type telnet ?設(shè)置本地用戶的服務(wù)類型(此處為telnet)

[H3C-luser-telnet]level 3 ? 設(shè)置本地用戶的服務(wù)級別

[H3C-luser-telnet]quit ? ?退出本地用戶視圖

[H3C]

[H3C]user-interface vty 0 4 ? ?進(jìn)入用戶視圖?

[H3C-ui-vty0-4]authentication-mode scheme ? ?選擇“scheme”認(rèn)證方式

備注：紅色部分可以由客戶自行設(shè)置，此處僅做舉例時使用!

1.2.2路由器接口的配置

為接口配置ip地址

<H3C> system-view ? ?進(jìn)入系統(tǒng)視圖

[H3C] interface serial 3/0 ? 進(jìn)入某個端口

[H3C-Serial3/0] ip address?200.1.1.1 255.255.255.0 ??為該端口設(shè)置ip地址

[H3C-Serial3/0] undo shutdown ? ?對該端口進(jìn)行復(fù)位

[H3C-Serial3/0] quit ? ?退回到系統(tǒng)視圖

[H3C]

備注：紅色部分可以由客戶自行設(shè)置，此處僅做舉例時使用!

1.2.3靜態(tài)路由或默認(rèn)路由的配置

<H3C> system-view ? ? 進(jìn)入系統(tǒng)視圖

[H3C]ip route-static?192.168.1.0 255.255.255.0 192.168.0.1?添加一條靜態(tài)路由

[H3C]ip route-static?0.0.0.0 0.0.0.0 192.168.0.1?? ?添加一條默認(rèn)路由

備注：紅色部分可以由客戶自行設(shè)置，此處僅做舉例時使用!

1.2.3配置文件的管理

display current-configuration ? ?顯示當(dāng)前的配置文件

<H3C>save ? ?保存配置文件

display interface?GigabitEthernet 0/0?? ?查看某端口的狀態(tài)

備注：

display命令可以在任何視圖下進(jìn)行

紅色部分可以由客戶自行設(shè)置，此處僅做舉例時使用!

交換機(jī)的配置文件管理與路由器相同，故交換機(jī)的配置幻燈片中不再做舉例。

1.3 交換機(jī)的基本調(diào)試命令

1.3.1 創(chuàng)建VLAN并將端口加入到vlan中

<H3C> system-view ? ? ?進(jìn)入系統(tǒng)視圖

[H3C]vlan?10?? ?創(chuàng)建vlan 10

[H3C-vlan100]port ?ethernet?0/1?? ?將某個端口加入到vlan中

[H3C-vlan100]quit ? ?退出到系統(tǒng)

[H3C]

備注：紅色部分可以由客戶自行設(shè)置，此處僅做舉例時使用!

1.3.2創(chuàng)建vlan虛接口并為接口配置ip地址

<H3C> system-view ? ? ?進(jìn)入系統(tǒng)視圖

[H3C]interface vlan-interface?1?? ?創(chuàng)建vlan虛接口

[H3C-Vlan-interface100] ip address?192.168.1.1 255.255.255.0?? ?配置ip地址

備注：紅色部分可以由客戶自行設(shè)置，此處僅做舉例時使用!

1.3.3 配置默認(rèn)路由

[H3C] interface vlan-interface 1

[H3C-Vlan-interface10] ip address?192.168.1.1 255.255.255.0

[H3C-Vlan-interface10] quit

[H3C] ip route-static 0.0.0.0 0.0.0.0?192.168.1.2?配置缺省路由?

備注：紅色部分可以由客戶自行設(shè)置，此處僅做舉例時使用!

1.3.4設(shè)置端口類型

<H3C> system-view ? ? 進(jìn)入系統(tǒng)視圖

[H3C]interface ethernet 0/1

[H3C]port link-type trunk ? ?將端口類型設(shè)置為trunk

[H3C]port trunk permit vlan all trunk端口允許所有vlan通過

[H3C]save

Trunk可以收發(fā)多個vlan的報文，用于交換機(jī)與交換機(jī)之間的互連

1.3.5交換機(jī)設(shè)置telnet登錄的認(rèn)證配置命令

<H3C> system-view ? ? ?進(jìn)入系統(tǒng)視圖?

[H3C]local-user telnet ? 添加本地用戶(此處為telnet用戶登陸時使用的用戶名)

[H3C-luser-telnet]password simple h3c ? 設(shè)置telnet用戶登陸時所使用的密碼

[H3C-luser-telnet]service-type telnet ?設(shè)置本地用戶的服務(wù)類型(此處為telnet)

[H3C-luser-telnet]level 3 ? 設(shè)置本地用戶的服務(wù)級別

[H3C-luser-telnet]quit ? ?退出本地用戶視圖

[H3C]

[H3C]user-interface vty 0 4 ? ?進(jìn)入用戶視圖?

[H3C-ui-vty0-4]authentication-mode scheme ? ?選擇“scheme”認(rèn)證方式

典型案例：

案例1：如下圖，LAB （router）通過配置路由器適當(dāng)?shù)膬膳_終端電腦能夠相互通信，請寫出相關(guān)配置語句。

?

案例2：LAB （switch）

?

2 H3C交換機(jī)基本配置命令（入門級:配置語句拷貝注解）

2.1 IP地址配置命令：

<Quidway>system-view----進(jìn)入系統(tǒng)配置模式

[Quidway] 系統(tǒng)配置編輯模式

[Quidway] interface Vlan-interface 1---交換機(jī)出廠默認(rèn)VLAN-1

[Quidway-Vlan-interface1]ip add 192.168.X.254 255.255.255.0–配置IP地址

[Quidway-Vlan-interface1]quit

[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.33-配置靜態(tài)路由（網(wǎng)關(guān)）

2.2 遠(yuǎn)程登錄配置命令：

<Quidway>system-view----進(jìn)入系統(tǒng)配置模式

[Quidway] 系統(tǒng)配置編輯模式

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] user privilege level 3—管理權(quán)限配置

[Quidway-ui-vty0-4] set authentication password cipher 123456 （cipher為密文密碼）

2.3 配置端口速率及端口雙工命令：

<Quidway>system-view----進(jìn)入系統(tǒng)配置模式

[Quidway] ?系統(tǒng)配置編輯模式

[Quidway]interface Ethernet 1/0/1---進(jìn)入的端口

[Quidway-Ethernet1/0/1] duplex full—配置端口為“全雙工狀態(tài)”

[Quidway-Ethernet1/0/1] speed 100---配置端口為“100M”如果是千兆端口可以配置成1000M。

2.4 劃分VLAN配置命令：

<Quidway>system-view----進(jìn)入系統(tǒng)配置模式

[Quidway] 系統(tǒng)配置編輯模式

[Quidway]VLAN 100---創(chuàng)建VLAN---ID為:100

[Quidway]VLAN 101---創(chuàng)建VLAN---ID為:101

[Quidway-vlan100] port Ethernet 1/0/1 to Ethernet 1/0/10----從第1口到第10口添加到VLAN 100

[Quidway-vlan101] port Ethernet 1/0/11 to Ethernet 1/0/24----從第11口到第24口添加到VLAN 101

2.5 配置TRUNK命令：?

比如一棟宿舍樓需要兩個網(wǎng)段，劃分了兩個VLAN為100和101，VLAN 100作為管理VLAN配置命令如下：

<Quidway>system-view----進(jìn)入系統(tǒng)配置模式

[Quidway] 系統(tǒng)配置編輯模式

[Quidway]VLAN 100---創(chuàng)建VLAN---ID為:100

[Quidway]VLAN 101---創(chuàng)建VLAN---ID為:101

[Quidway-vlan100] port Ethernet 1/0/1 to Ethernet 1/0/10----從第1口到第10口添加到VLAN 100

[Quidway-vlan101] port Ethernet 1/0/11 to Ethernet 1/0/24----從第11口到第24口添加到VLAN 101

[Quidway] interface Vlan-interface 100—進(jìn)入VLAN 100

[Quidway-Vlan-interface100]ip address 192.168.100.254 255.255.255.0---給VLAN 100配置管理IP

[Quidway-Vlan-interface100]quit

[Quidway]ip route-static 0.0.0.0 0.0.0.0 192.168.100.33—配置靜態(tài)路由（網(wǎng)關(guān)）

上聯(lián)端口為千兆端口GigabitEthernet1/1/1在配置模式下配置命令如下：

[Quidway] interface GigabitEthernet 1/1/1---進(jìn)入上聯(lián)端口

[Quidway-GigabitEthernet1/1/1] port link-type trunk --TRUNK是端口匯聚的意思

[Quidway-GigabitEthernet1/1/1] port trunk permit（允許）vlan all----配置允許通過的VLAN

如果上聯(lián)的路由器端口是自適應(yīng)那么交換機(jī)上聯(lián)口也是自適應(yīng)，如果配置了1000M全雙工那么交換機(jī)的上聯(lián)端口也要配成1000M全雙工。如下命令：[Quidway-GigabitEthernet1/1/1] duplex full—配置端口為“全雙工狀態(tài)”[Quidway-GigabitEthernet1/1/1] speed 1000---配置端口為“1000M”

2.6 SNMP配置命令：

[Quidway]snmp-agent community read 1234---SNMP讀的密碼

[Quidway]snmp-agent community write 4567—SNMP寫的密碼

[Quidway]snmp-agent sys-info version all—SNMP軟件版本有V1、V2c、V3這里配置的是允許所有版本。

2.7 配置防ARP攻擊命令：

<Quidway>system-view

[Quidway]dhcp-snooping--開啟交換機(jī)DHCP Snooping 功能。

開啟VLAN 1 內(nèi)所有端口的ARP 入侵檢測功能。

[Quidway]vlan 1

[Quidway-vlan1]arp detection enable

[Quidway-vlan1]quit

設(shè)置上聯(lián)端口Ethernet1/0/1 為DHCP Snooping 信任端口，ARP 信任端口。

[Quidway]interface Ethernet1/0/1

[Quidway-Ethernet1/0/1]dhcp-snooping trust

[Quidway-Ethernet1/0/1]arp detection trust

[Quidway-Ethernet1/0/1]quit

開啟端口Ethernet1/0/2 上的ARP 報文限速功能，設(shè)置ARP 報文通過的最大速率為20pps。--目的是針對用戶接入口，除上聯(lián)端口外，下聯(lián)用戶端口建議都設(shè)置該命令。如下：

[Quidway]interface Ethernet1/0/2

[Quidway-Ethernet1/0/2]arp rate-limit enable

[Quidway-Ethernet1/0/2]arp rate-limit 20

[Quidway-Ethernet1/0/2]quit

配置端口狀態(tài)自動恢復(fù)功能，恢復(fù)時間間隔為30 秒。

[Quidway] arp protective-down recover enable

[Quidway] arp protective-down recover interval 30

3?H3C交換機(jī)基本配置（中級版）

3.1VRP，CMW簡介

3.1.1 VRP（Versatile Routing Platform，通用路由平臺）是華為公司數(shù)據(jù)通信產(chǎn)品的通用網(wǎng)絡(luò)操作系統(tǒng)平臺。

3.1.2 CMW（Comware）是H3C公司的核心軟件平臺。

3.1.3 VRP、CMW的體系結(jié)構(gòu)以TCP/IP模型為參考，實現(xiàn)了數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和應(yīng)用層的多種協(xié)議，其體系結(jié)構(gòu)圖如下:

3.1.4 VRP視圖結(jié)構(gòu)

用戶視圖?

系統(tǒng)視圖

　 ?命令：system-view

在系統(tǒng)視圖下 ?可以進(jìn)入各種功能視圖，在各功能視圖中還可以進(jìn)入子功能視圖

?

3.2基本命令?

3.2.1配置系統(tǒng)名

1)用途：用戶名是設(shè)備的名字，目的是讓用戶更加方便的使用設(shè)備．

2)配置命令: sysname?

3.2.2接口描述

1)用途：接口描述是為了指明接口的一些屬性，如是什么接口，對端接的什么設(shè)備等，讓用戶更加了解該接口。

2)配置命令: interface ethernet0/1?

? ? ? ? ? ? description ?connect to student

3.2.3接口IP地址的配置

1)用途:給接口一個網(wǎng)絡(luò)上唯一的區(qū)分符．

2)配置命令:interface vlan 1?

? ? ? ? ? ?ip address 168.10.2.1 255.255.255.0

3.2.4 查看交換機(jī)信息

1)用途:讓用戶對設(shè)備的信息更了解，也有利于對設(shè)備做配置．

2）配置命令:

　顯示版本 ? ? ? ? ? ? ? ? ? ? ?display ?version

　顯示當(dāng)前配置信息 ? ? ? ? ?　 ?display ?current

? 顯示NVRAM的配置 ? ? ? ? ? ? ?display ?saved-config?

　顯示接口信息　 ? ? ? ? ? ? ?　display ?interface XX

　顯示路由信息　 ? ? ? ? ? ? ?　display ?ip routing-table?

3.2.5調(diào)試交換機(jī)

1)用途:更細(xì)致的查看交換機(jī)的各種數(shù)據(jù)包，幫助發(fā)現(xiàn)網(wǎng)絡(luò)問題．

2)常用調(diào)試命令:

? ? terminal debugging

? ? terminal monitor　?

? ? debugging ip packet ?

? ? undo debugging all ? ? ? ? ? ? ? ? ? ? ? ? ??

3.2.6端口鏡像

1)用途:通過鏡像來抓取網(wǎng)絡(luò)流量，幫助分析網(wǎng)絡(luò)問題．

2)配置命令:

? ? monitor-port Ethernet 0/1 both （監(jiān)控端口）

? ? mirroring-port Ethernet0/2 both（源端口） ??

3.2.7流鏡像

1)用途:

　通過鏡像來抓取網(wǎng)絡(luò)流量，幫助分析網(wǎng)絡(luò)問題．

2)配置命令:

? ? mirrored-to ip-group 2000 interface ?Ethernet 0/1

? ? acl number 2000

? ? rule 0 permit ?

? ? ? ? ? ? ? ? ? ? ? ? ?

3.2.8快捷命令行介紹

VRP、CMW

? ? ?Ctrl+F ? ? ? ? ? ?前移一個字符

? ? ?Ctrl+B ? ? ? ? ? ?后移一個字符

? ? ?Ctrl+P ? ? ? ? ? ? ↑(向上箭頭)重用前一條命令

? ? ?Ctrl+N ? ? ? ? ? ? ↓(向下箭頭)重用下一條命令

3.2.9引導(dǎo)配置

1)用途:通過引導(dǎo)配置，可以改變從什么地方取得交換機(jī)的系統(tǒng)軟件．

2)配置命令

　boot boot-loader xxxx.bin

? 查看命令

? display boot-loader

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

3.3交換

VLAN（Virtual Local Area Network）技術(shù)是把一個LAN劃分成多個邏輯的“LAN”－VLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)。?

vlan 100 ?(1-4094) 創(chuàng)建VLAN ?

undo vlan 100 ?(1-4094) ?刪除VLAN.

port Ethernet 2/0/1 ?在VLAN中增加端口.

undo port Ethernet 2/0/1 ?在VLAN中刪除端口.

port access vlan 100 (1-4094) ?將端口加入VLAN

undo port access vlan 100 (1-4094) ?將端口脫離VLAN

display vlan VLAN ID (1-4094) ? 顯示VLAN信息

? ??

Trunk

Trunk允許在只有一條鏈路的情況下傳輸VLAN信息

?定義端口屬性為Trunk.?

? ? port link-type trunk

?刪除端口Trunk屬性.

? ? undo port link-type

?定義端口可以傳輸?shù)腣LAN.?

? ? port trunk permit vlan VLAN ID?

?在VLAN中刪除端口.

? ?undo port trunk permit vlan VLAN ID?

Link ?Aggregation

鏈路聚合是將幾條物理鏈路聚合在一起，當(dāng)作一條 ?邏輯鏈路來使用。

分為靜態(tài)聚合和動態(tài)聚合

?靜態(tài)聚合端口.?

? ? link-aggregation Ethernet 0/1 to Ethernet 0/4 both

?刪除端口的靜態(tài)聚合.

? ? undo link-aggregation all

?在端口下進(jìn)行動態(tài)聚合.?

? ? lacp enable

?在端口下取消動態(tài)聚合.

? ? undo lacp enable?

STP（Spanning Tree Protocol）是生成樹協(xié)議的英文縮寫。該協(xié)議可應(yīng)用于環(huán)路網(wǎng)絡(luò)，通過一定的算法阻斷某些冗余路徑，將環(huán)路網(wǎng)絡(luò)修剪成無環(huán)路的樹型網(wǎng)絡(luò)，從而避免報文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)。?

?定義STP模式.?

? ? stp mode stp?

?取消STP模式.

? ? undo stp mode

?定義MSTP模式.?

? ? stp mode mstp?

?取消MSTP模式.

? ?undo stp mode?

3.4路由

3.4.1 RIP

RIP是Routing Information Protocol（路由信息協(xié)議）的簡稱。它是一種較為簡單的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），主要用于規(guī)模較小的網(wǎng)絡(luò)中。

?啟動RIP，進(jìn)入RIP視圖?

? ? rip

?停止RIP協(xié)議的運(yùn)行?

? ? undo rip

?在指定的網(wǎng)絡(luò)接口上應(yīng)用RIP

? ? network network-address

?在指定的網(wǎng)絡(luò)接口上取消應(yīng)用RIP

undo network network-address

?指定接口的RIP版本為RIP-1

? ? rip version 1

?指定接口的RIP版本為RIP-2

? ? rip version 2 [ broadcast | multicast ]

?將接口運(yùn)行的RIP版本恢復(fù)為缺省值

? ? undo rip version { 1 | 2 }?

3.4.2OSPF

OSPF是Open Shortest Path First（開放最短路由優(yōu)先協(xié)議）的縮寫。它是IETF組織開發(fā)的一個基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議。目前使用的是版本2（RFC2328）.

?定義router id

?啟動OSPF，進(jìn)入OSPF視圖

? ? ospf?

? ? 關(guān)閉OSPF路由協(xié)議進(jìn)程

? ? undo ospf [ process-id ]

?進(jìn)入OSPF區(qū)域視圖

? area area-id

?刪除指定的OSPF區(qū)域

? undo area area-id

?指定網(wǎng)段運(yùn)行OSPF協(xié)議

? network ip-address wildcard-mask

?取消網(wǎng)段運(yùn)行OSPF協(xié)議

? undo network ip-address wildcard-mask?

3.5網(wǎng)絡(luò)管理

3.5.1 SNMP的介紹

?介紹

　簡單網(wǎng)絡(luò)管理協(xié)議（SNMP)是被廣泛應(yīng)用的一項工業(yè)標(biāo)準(zhǔn)，是目前用得最廣泛的計算機(jī)網(wǎng)絡(luò)管理協(xié)議．

?結(jié)構(gòu)

　SNMP結(jié)構(gòu)分為NMS(Network Management Station)和AGENT兩部分，NMS是運(yùn)行客戶端的工作站，AGENT是運(yùn)行在網(wǎng)絡(luò)設(shè)備上的服務(wù)端軟件．

?SNMP版本

　SNMP現(xiàn)在有三個版本，SNMP v3/v2c/v1,SNMP v3兼容v1和v2c.

?SNMP的配置包括：

　啟動和關(guān)閉SNMP AGENT服務(wù)

　設(shè)置團(tuán)體名

　配置一個SNMP組

　設(shè)置管理員的聯(lián)系方法

　允許／禁止發(fā)送Trap報文

　設(shè)置Trap目標(biāo)主機(jī)的地址

　指定發(fā)送報文的源地址

SNMP實例配置

?System-view ? ? ? ? ? ?進(jìn)入視圖

?Snmp-agent ?community read public ? ?只讀團(tuán)體屬性名public

?Snmp-agent ?communty write private ? 只寫團(tuán)體屬性名private

?Snmp-agent ?sys-inf contact Mr.wang-tel 3306 設(shè)置管理員聯(lián)系方法

?Snmp-agent ?sys-info location telephone 3rd floor ?路由器物理位置

?Snmp-agent trap enable ? ?使能trap報文

?Snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public ? 允許向網(wǎng)管工作站129.102.149.23發(fā)送trap報文，使用團(tuán)體名為public.

3.6安全管理

3.6.1認(rèn)證與授權(quán)

?要點

?需要確定權(quán)利的等級

?需要確定授權(quán)的策略

　　Generic or per user

? ? ? ?RADIUS

? ? ? ?Local ?authentication

3.6.2認(rèn)證配置

?本地驗證

?VRP的配置

　 local-user huawei?

? ? password simple 123?

? ? ?service-type telnet ? ?設(shè)置本地認(rèn)證用戶名和密碼

　user-interface vty 0 4 ? ? ? ?進(jìn)入vty視圖

　authentication-mode ?scheme ?通過telnet訪問的用戶使用本地驗證

3.6.3限制授權(quán)

區(qū)分用戶在設(shè)備上的授權(quán)

?配置等級

?視圖等級

?支持等級?

　使用特權(quán)等級（level 1---level 3)

3.6.4授權(quán)配置

?VRP的配置

　local-user ?huawei password simple 123 ? 建立用戶

　local-user ?huawei level 3 ?設(shè)定授權(quán)等級

?應(yīng)用命令

? ?command-privilege level 3 view serial display interface?

??? ?VRP的命令行保護(hù)

? ? super password level {1/2/3} {simple/cipher} 123?

3.6.5 Vty和console的時間保護(hù)

?用途

?為了使通過vty和console登陸的設(shè)備在使用者離開后不被其他沒有授權(quán)的人使用．

?VRP的配置

? ? Idle-timeout ? minite ?second

3.6.6訪問控制列表

?概述

? ?路由器為了過濾數(shù)據(jù)包，需要配置一系列的規(guī)則，以決定什么樣的數(shù)據(jù)包能夠通過，這些規(guī)則就是通過訪問控制列表ACL（Access Control List）定義的。

?分類?

? 基本的訪問控制列表（basic acl）

? 高級的訪問控制列表（advanced acl）

? 基于接口的訪問控制列表（interface-based acl）

? 基于MAC的訪問控制列表（mac-based acl）

3.6.7標(biāo)準(zhǔn)訪問列表的配置

?在系統(tǒng)視圖下，創(chuàng)建一個基本訪問控制列表

? ? ?acl {number number/name name basic} [match- order {config/auto}]

?在基本訪問控制列表試圖下，配置ACL規(guī)則．

? ? rule [rule-id] {permit/deny} [source sour-add sour-wildcast/any] [time-range time-name] [logging] [fragment] [vpn-instance vpn-instance-name]

acl number 2000

? ? rule 1 permit source 20.1.1.0 0.0.0.255

4 ?H3C配置實驗數(shù)據(jù)注解

1、system-view ? 進(jìn)入系統(tǒng)視圖模式

2、sysname ? 為設(shè)備命名

3、display current-configuration 當(dāng)前配置情況

4、 language-mode Chinese|English 中英文切換

5、interface Ethernet 1/0/1 進(jìn)入以太網(wǎng)端口視圖

6、 port link-type Access|Trunk|Hybrid ? ? ?設(shè)置端口訪問模式

7、 undo shutdown ? 打開以太網(wǎng)端口

8、 shutdown ? 關(guān)閉以太網(wǎng)端口

9、 quit ? ? 退出當(dāng)前視圖模式

10、 vlan 10 ? ?創(chuàng)建VLAN 10并進(jìn)入VLAN 10的視圖模式

11、 port access vlan 10 ? 在端口模式下將當(dāng)前端口加入到vlan 10中

12、port E1/0/2 to E1/0/5 ? ?在VLAN模式下將指定端口加入到當(dāng)前vlan中

13、port trunk permit vlan all ? ?允許所有的vlan通過

H3C路由器######################################################################################

1、system-view ? 進(jìn)入系統(tǒng)視圖模式

2、sysname R1 ? 為設(shè)備命名為R1

3、display ip routing-table 顯示當(dāng)前路由表

4、 language-mode Chinese|English 中英文切換

5、interface Ethernet 0/0 進(jìn)入以太網(wǎng)端口視圖

6、 ip address 192.168.1.1 255.255.255.0 ? 配置IP地址和子網(wǎng)掩碼

7、 undo shutdown ? 打開以太網(wǎng)端口

8、 shutdown ? 關(guān)閉以太網(wǎng)端口

9、 quit ? ? 退出當(dāng)前視圖模式

10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置靜態(tài)路由

11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默認(rèn)的路由

H3C S3100 Switch

H3C S3600 Switch

H3C MSR 20-20 Router

##########################################################################################

1、調(diào)整超級終端的顯示字號；

2、捕獲超級終端操作命令行，以備日后查對；

3、 language-mode Chinese|English 中英文切換 ；

4、復(fù)制命令到超級終端命令行，粘貼到主機(jī)；

5、交換機(jī)清除配置 :<H3C>reset save ；<H3C>reboot ；

6、路由器、交換機(jī)配置時不能掉電，連通測試前一定要

? ? ?檢查網(wǎng)絡(luò)的連通性，不要犯最低級的錯誤。

7、192.168.1.1/24 ? ?等同 ? 192.168.1.1 255.255.255.0；在配置交換機(jī)和路由器時， 192.168.1.1 255.255.255.0 可以寫成：

192.168.1.1 24

8、設(shè)備命名規(guī)則：地名-設(shè)備名-系列號 例：PingGu-R-S3600

H3C交換機(jī)的一些簡單配置

這里使用的H3C交換機(jī)是H126A，僅僅只做了最基本的配置以滿足使用。

配置中可以通過display current-configura命令來顯示當(dāng)前使用的配置內(nèi)容。

# 配置VLAN 1

<Sysname>system-view

System View: return to User View with Ctrl+Z.

[Sysname]vlan 1

[Sysname-vlan1] quit

[Sysname]management-vlan 1

[Sysname]interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 10.0.1.201 255.255.255.0

# 顯示VLAN 接口1 的相關(guān)信息。

<Sysname> display ip interface Vlan-interface 1

# 創(chuàng)建VLAN（H3C不支持cisco的VTP，所以只能添加靜態(tài)VLAN）

<H3C_TEST>system-view

System View: return to User View with Ctrl+Z.

[H3C_TEST]vlan 99

[H3C_TEST-vlan99]name seicoffice

[H3C_TEST-vlan99]quit

# 把交換機(jī)的端端口劃分到相應(yīng)的Vlan中

[H3C_TEST]interface ethernet1/0/2　　　　　　　//進(jìn)入端口模式

[H3C_TEST-Ethernet1/0/2]port link-type access //設(shè)置端口的類型為access

[H3C_TEST-Ethernet1/0/2]port access vlan 99　　//把當(dāng)前端口劃到vlan 99

[H3C_TEST]vlan 99

[H3C_TEST-vlan99]port ethernet1/0/1 to ethernet1/0/24　　//把以及網(wǎng)端口1/0/1到1/0/24劃到vlan99

[H3C_TEST-vlan99]quit

[H3C_TEST-GigabitEthernet1/2/1]port trunk permit vlan 1 99 ? ?// {ID|All} 設(shè)置trunk端口允許通過的VLAN

-------------------------------------------------------------------------------------------------------

# 配置本地用戶

<Sysname>system-view

System View: return to User View with Ctrl+Z.

[Sysname]local-user h3c

New local user added.

[Sysname-luser-h3c]service-type telnet level 3

[Sysname-luser-h3c]password simple h3c

# 配置歡迎信息

[H3C_TEST]header login %Welcome to login h3c!%

# 配置用戶認(rèn)證方式telnet(vty 0-4)

[H3C_TEST]user-interface vty 0 4

[H3C_TEST-ui-vty0-4]authentication-mode scheme

[H3C_TEST-ui-vty0-4]protocol inbound telnet

[H3C_TEST-ui-vty0-4]super authentication-mode super-password

[H3C_TEST-ui-vty0-4]quit

[H3C_TEST]super password level 3 simple h3c ? ?//用戶登陸后提升權(quán)限的密碼

# 配置Radius策略

[H3C_TEST]radius scheme radius1

New Radius scheme

[H3C_TEST-radius-radius1]primary authentication 10.0.1.253 1645

[H3C_TEST-radius-radius1]primary accounting 10.0.1.253 1646

[H3C_TEST-radius-radius1]secondary authentication 127.0.0.1 1645

[H3C_TEST-radius-radius1]secondary accounting 127.0.0.1 1646

[H3C_TEST-radius-radius1]timer 5

[H3C_TEST-radius-radius1]key authentication h3c

[H3C_TEST-radius-radius1]key accounting h3c

[H3C_TEST-radius-radius1]server-type extended

[H3C_TEST-radius-radius1]user-name-format without-domain?

# 配置域

[H3C_TEST]domain h3c

[H3C_TEST-isp-h3c]authentication radius-scheme radius1 local

[H3C_TEST-isp-h3c]scheme radius-scheme radius1 local

[H3C_TEST]domain default enable h3c

# 配置在遠(yuǎn)程認(rèn)證失敗時，本地認(rèn)證的key

[H3C_TEST]local-server nas-ip 127.0.0.1 key h3c

H3C交換機(jī)路由器telnet和console口登錄配置

2009年11月09日 星期一 10:00

級別說明

Level 名稱

命令

0

參觀

ping、tracert、telnet

1

監(jiān)控

display、debugging

2

配置

所有配置命令（管理級的命令除外）

3

管理

文件系統(tǒng)命令、FTP命令、TFTP命令、XMODEM命令

telnet僅用密碼登錄，管理員權(quán)限

[Router]user-interface vty 0 4[Router-ui-vty0-4]user privilege level 3[Router-ui-vty0-4]set authentication password simple abc

telnet僅用密碼登錄，非管理員權(quán)限

[Router]super password level 3 simple super

[Router]user-interface vty 0 4[Router-ui-vty0-4]user privilege level 1[Router-ui-vty0-4]set authentication password simple abc

telnet使用路由器上配置的用戶名密碼登錄，管理員權(quán)限

[Router]local-user admin password simple admin[Router]local-user admin service-type telnet[Router]local-user admin level 3

[Router]user-interface vty 0 4[Router-ui-vty0-4]authentication-mode local

telnet使用路由器上配置的用戶名密碼登錄，非管理員權(quán)限

[Router]super password level 3 simple super

[Router]local-user manage password simple manage[Router]local-user manage service-type telnet[Router]local-user manage level 2

[Router]user-interface vty 0 4[Router-ui-vty0-4]authentication-mode local

對console口設(shè)置密碼，登錄后使用管理員權(quán)限

[Router]user-interface con 0[Router-ui-console0]user privilege level 3[Router-ui-console0]set authentication password simple abc

對console口設(shè)置密碼，登錄后使用非管理員權(quán)限

[Router]super password level 3 simple super

[Router]user-interface con 0[Router-ui-console0]user privilege level 1[Router-ui-console0]set authentication password simple abc

對console口設(shè)置用戶名和密碼，登錄后使用管理員權(quán)限

[Router]local-user admin password simple admin[Router]local-user admin service-type terminal[Router]local-user admin level 3

[Router]user-interface con 0[Router-ui-console0]authentication-mode local

對console口設(shè)置用戶名和密碼，登錄后使用非管理員權(quán)限

[Router]super password level 3 simple super

[Router]local-user manage password simple manage[Router]local-user manage service-type terminal[Router]local-user manage level 2

[Router]user-interface con 0[Router-ui-console0]authentication-mode local

simple 是明文顯示，cipher 是加密顯示

路由器不設(shè)置telnet登錄配置時，用戶無法通過telnet登錄到路由器上

[Router-ui-vty0-4]acl 2000 inbound可以通過acl的規(guī)則只允許符合條件的用戶遠(yuǎn)程登錄路由器

路由器命令

~~~~~~~~~~

[Quidway]display version ? ? ? ? ? ? ? 顯示版本信息

[Quidway]display current-configuration ? ? ? 顯示當(dāng)前配置

[Quidway]display interfaces ? ? ? ? ? ? ?顯示接口信息

[Quidway]display ip route ? ? ? ? ? ? ? 顯示路由信息

[Quidway]sysname aabbcc ? ? ? ? ? ? ? ?更改主機(jī)名

[Quidway]super passwrod 123456 ? ? ? ? ? ?設(shè)置口令 ?

[Quidway]interface serial0 ? ? ? ? ? ? ?進(jìn)入接口

[Quidway-serial0]ip address <ip><mask>

[Quidway-serial0]undo shutdown ? ? ? ? ? ?激活端口

[Quidway]link-protocol hdlc ? ? ? ? ? ? ?綁定hdlc協(xié)議

[Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4]authentication-mode password

[Quidway-ui-vty0-4]set authentication-mode password simple 222

[Quidway-ui-vty0-4]user privilege level 3

[Quidway-ui-vty0-4]quit

[Quidway]debugging hdlc all serial0 ? ? ? ? ? 顯示所有信息

[Quidway]debugging hdlc event serial0 ? ? ? ? ?調(diào)試事件信息

[Quidway]debugging hdlc packet serial0 ? ? ? ? ? 顯示包的信息

靜態(tài)路由：

[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]?

例如：

[Quidway]ip route-static 129.1.0.0 16 10.0.0.2

[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2

[Quidway]ip route-static 129.1.0.0 16 Serial 2

[Quidway]ip route-static 0.0.0.0 0.0.0.0 ? 10.0.0.2

動態(tài)路由：

[Quidway]rip

[Quidway]rip work

[Quidway]rip input

[Quidway]rip output

[Quidway-rip]network 1.0.0.0 ? ? ? ? ? ? ? ? ? 可以all

[Quidway-rip]network 2.0.0.0

[Quidway-rip]peer ip-address?

[Quidway-rip]summary?

[Quidway]rip version 1

[Quidway]rip version 2 multicast

[Quidway-Ethernet0]rip split-horizon ? ? ? ? 水平分隔

[Quidway]router id A.B.C.D ? ? ? ? ? ? ? 配置路由器的ID

[Quidway]ospf enable ? ? ? ? ? ? ? ? ? 啟動OSPF協(xié)議

[Quidway-ospf]import-route direct ? ? ? ? ? 引入直聯(lián)路由

[Quidway-Serial0]ospf enable area <area_id> ? 配置OSPF區(qū)域

標(biāo)準(zhǔn)訪問列表命令格式如下：

acl <acl-number> [match-order config|auto] ? 默認(rèn)前者順序匹配。

rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]

例：

[Quidway]acl 10

[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255

[Quidway-acl-10]rule normal deny source any

擴(kuò)展訪問控制列表配置命令

配置TCP/UDP協(xié)議的擴(kuò)展訪問列表：

rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}

[operate]

配置ICMP協(xié)議的擴(kuò)展訪問列表：

rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]

[icmp-code] [logging]

擴(kuò)展訪問控制列表操作符的含義

equal portnumber ? ? ? 等于

greater-than portnumber ? ?大于

less-than portnumber ? ? ? 小于

not-equal portnumber ? ? ? 不等

range portnumber1 portnumber2 區(qū)間

擴(kuò)展訪問控制列表舉例

[Quidway]acl 101

[Quidway-acl-101]rule deny souce any destination any

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply

[Quidway]acl 102

[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0

[Quidway-acl-102]rule deny ip source any destination any

[Quidway]acl 103

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www

[Quidway]firewall enable

[Quidway]firewall default permit|deny

[Quidway]int e0

[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound

地址轉(zhuǎn)換配置舉例

[Quidway]firewall enable

[Quidway]firewall default permit?

[Quidway]acl 101

[Quidway-acl-101]rule deny ip source any destination any?

[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any

[Quidway]acl 102

[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than?

1024

[Quidway-Ethernet0]firewall packet-filter 101 inbound?

[Quidway-Serial0]firewall packet-filter 102 inbound?

[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1

[Quidway]acl 1?

[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255

[Quidway-acl-1]rule deny source any?

[Quidway-acl-1]int serial 0

[Quidway-Serial0]nat outbound 1 address-group pool1?

[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp

[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp

[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp

[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

PPP驗證：

主驗方：pap|chap

[Quidway]local-user u2 password {simple|cipher} aaa

[Quidway]interface serial 0

[Quidway-serial0]ppp authentication-mode {pap|chap}

[Quidway-serial0]ppp chap user u1 ? ? ? ?//pap時，不用此句?

pap被驗方：

[Quidway]interface serial 0?

[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa

chap被驗方：

[Quidway]interface serial 0?

[Quidway-serial0]ppp chap user u1 ? ? ??

[Quidway-serial0]local-user u2 password {simple|cipher} aaa

?

H3C路由器配置方案注解

2010-06-19 22:44

#

version 5.20, Release 1719 //版本信息，自動顯示

#

sysname H3C //給設(shè)備命名為H3C

#

super password level 3 cipher 7WC1<3E`[Y)./a!1$H@GYA!! //設(shè)置super密碼

#

domain default enable system

#

telnet server enable

#

vlan 1

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

user-group system //從此以上未標(biāo)注的為默認(rèn)配置，不用去理解

#

local-user admin //添加用戶名為admin的用戶

password cipher .]@USE=B,53Q=^Q`MAF4<1!! //設(shè)置密碼（密文）

authorization-attribute level 3 //設(shè)置用戶權(quán)限為3級（最高）

service-type telnet //設(shè)置用戶的模式為telnet用戶

local-user share //從此往下四行同上

password cipher [HM$GH8P1GSQ=^Q`MAF4<1!!

authorization-attribute level 1

service-type telnet

#

controller E1 0/0 //進(jìn)入E1物理端口（兩兆口）

using e1 //設(shè)置端口模式為E1（設(shè)置后下面會出現(xiàn)interface Serial0/0:0）

#

interface Aux0 //從此以下三行為主控板aux口默認(rèn)配置

async mode flow

link-protocol ppp

#

interface Ethernet0/0 //進(jìn)入E0/0接口（以太網(wǎng)口）

port link-mode route //配置該接口為路由模式

#

interface Serial0/0:0 //進(jìn)入Serial0/0:0端口（前面用using e1命令后產(chǎn)生，對應(yīng)E1端口）

link-protocol ppp //配置鏈路協(xié)議為ppp（默認(rèn)）

ip address 74.1.63.170 255.255.255.252 //配置該接口IP地址

#

interface NULL0

#

interface Vlan-interface1 //lan口vlan地址（lan口地址）

ip address 192.168.1.1 255.255.255.0

#

interface Ethernet0/1

port link-mode bridge

#

interface Ethernet0/2

port link-mode bridge

#

interface Ethernet0/3

port link-mode bridge

#

interface Ethernet0/4

port link-mode bridge

#

ip route-static 74.1.8.0 255.255.255.0 74.1.63.169 //配置靜態(tài)路由

#

user-interface aux 0

user-interface vty 0 4 //進(jìn)入vty接口（遠(yuǎn)程登陸接口）0-4通道

authentication-mode scheme //配置登陸驗證類型為scheme（用戶驗證型）

user privilege level 1 //設(shè)置當(dāng)驗證模式不是scheme類型時的登錄級別（廢配置）

#

return

H3C路由器基本配置命令

2009-05-13 22:56

[Quidway]display version ? ? ? ? ? ? ? ? ? ? ? ? ?顯示版本信息

[Quidway]display current-configuration ? ? ? ? ?顯示當(dāng)前配置

[Quidway]display interfaces ? ? ? ? ? ? ? ? ? ? ? 顯示接口信息

[Quidway]display ip route ? ? ? ? ? ? ? ? ? ? ?顯示路由信息

[Quidway]sysname aabbcc ? ? ? ? ? ? ? ? ? ? ? ? 更改主機(jī)名

[Quidway]super passwrod 123456 ? ? ? ? ? ? ? ? ? ?設(shè)置口令?

[Quidway]interface serial0 ? ? ? ? ? ? ? ? ? ? ?進(jìn)入接口

[Quidway-serial0]ip address <ip><mask>

[Quidway-serial0]undo shutdown ? ? ? ? ? ? ? ? ? ?激活端口

[Quidway]link-protocol hdlc ? ? ? ? ? ? ? ? ? ? ? 綁定hdlc協(xié)議

[Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4]authentication-mode password

[Quidway-ui-vty0-4]set authentication-mode password simple 222

[Quidway-ui-vty0-4]user privilege level 3

[Quidway-ui-vty0-4]quit

[Quidway]debugging hdlc all serial0 ? ? ? ? ? ? 顯示所有信息

[Quidway]debugging hdlc event serial0 ? ? ? ? ?調(diào)試事件信息

[Quidway]debugging hdlc packet serial0 ? ? ? ? ?顯示包的信息

靜態(tài)路由：

[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]?

例如：

[Quidway]ip route-static 129.1.0.0 16 10.0.0.2

[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2

[Quidway]ip route-static 129.1.0.0 16 Serial 2

[Quidway]ip route-static 0.0.0.0 0.0.0.0 ? 10.0.0.2

動態(tài)路由：

[Quidway]rip

[Quidway]rip work

[Quidway]rip input

[Quidway]rip output

[Quidway-rip]network 1.0.0.0 ? ? ? ? ? ? ? ? ? ? ? ;可以all

[Quidway-rip]network 2.0.0.0

[Quidway-rip]peer ip-address?

[Quidway-rip]summary?

[Quidway]rip version 1

[Quidway]rip version 2 multicast

[Quidway-Ethernet0]rip split-horizon ? ? ? ? ?;水平分隔

[Quidway]router id A.B.C.D ? ? ? ? ? ? ? ? ? ? ? 配置路由器的ID

[Quidway]ospf enable ? ? ? ? ? ? ? ? ? ? ? ? 啟動OSPF協(xié)議

[Quidway-ospf]import-route direct ? ? ? ? ? 引入直聯(lián)路由

[Quidway-Serial0]ospf enable area <area_id> ? ?配置OSPF區(qū)域

標(biāo)準(zhǔn)訪問列表命令格式如下：

acl <acl-number> [match-order config|auto] ? ?默認(rèn)前者順序匹配。

rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]

例：

[Quidway]acl 10

[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255

[Quidway-acl-10]rule normal deny source any

擴(kuò)展訪問控制列表配置命令

配置TCP/UDP協(xié)議的擴(kuò)展訪問列表：

rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}

[operate]

配置ICMP協(xié)議的擴(kuò)展訪問列表：

rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]

[icmp-code] [logging]

擴(kuò)展訪問控制列表操作符的含義

equal portnumber ? ? ? 等于

greater-than portnumber ? ?大于

less-than portnumber ? ? ? 小于

not-equal portnumber ? ? ? 不等

range portnumber1 portnumber2 區(qū)間

擴(kuò)展訪問控制列表舉例

[Quidway]acl 101

[Quidway-acl-101]rule deny souce any destination any

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo

[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply

[Quidway]acl 102

[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0

[Quidway-acl-102]rule deny ip source any destination any

[Quidway]acl 103

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www

[Quidway]firewall enable

[Quidway]firewall default permit|deny

[Quidway]int e0

[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound

地址轉(zhuǎn)換配置舉例

[Quidway]firewall enable

[Quidway]firewall default permit?

[Quidway]acl 101

[Quidway-acl-101]rule deny ip source any destination any?

[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any

[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any

[Quidway]acl 102

[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than?

1024

[Quidway-Ethernet0]firewall packet-filter 101 inbound?

[Quidway-Serial0]firewall packet-filter 102 inbound?

[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1

[Quidway]acl 1?

[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255

[Quidway-acl-1]rule deny source any?

[Quidway-acl-1]int serial 0

[Quidway-Serial0]nat outbound 1 address-group pool1?

[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp

[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp

[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp

[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

PPP驗證：

主驗方：pap|chap

[Quidway]local-user u2 password {simple|cipher} aaa

[Quidway]interface serial 0

[Quidway-serial0]ppp authentication-mode {pap|chap}

[Quidway-serial0]ppp chap user u1 ? ? ? ?//pap時，不用此句

pap被驗方：

[Quidway]interface serial 0?

[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa

chap被驗方：

[Quidway]interface serial 0?

[Quidway-serial0]ppp chap user u1 ? ? ??

[Quidway-serial0]local-user u2 password {simple|cipher} aaa