h3c交换机配置命令

一、ACL功能简介 随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 二、ACL种类 1. 基本ACL：只根据数据包的源IP地址制定规则，序号为2000~2999，定义时间段也属于基本ACL。 2. 高级ACL：高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性（例如TCP或UDP的源端口、目的端口，ICMP协议的消息类型、消息码等）内容定义规则。高级ACL序号取值范围3000～3999（3998与3999是系统为集群管理预留的编号，用户无法配置）。高级ACL支持对三种报文优先级的分析处理：ToS（Type of Service，服务类型）优先级、IP优先级和DSCP（Differentiated Services CodePoint，差分服务编码点）优先级。 3. 二层ACL：根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。用户可以利用高级ACL定义比基本ACL更准确、更丰富、更灵活的规则。二层ACL的序号取值范围为4000～4999。 4.

1、配置文件相关命令 [Quidway] display current-configuration ;显示当前生效的配置 [Quidway]display saved-configuration ；显示flash中配置文件，即下次上电启动时所用的配置文件 <Quidway>reset saved-configuration ；檫除旧的配置文件 <Quidway>reboot ；交换机重启 <Quidway>display version ；显示系统版本信息 1、配置文件相关命令 [Quidway] display current-configuration ;显示当前生效的配置 [Quidway]display saved-configuration ；显示flash中配置文件，即下次上电启动时所用的配置文件 <Quidway>reset saved-configuration ；檫除旧的配置文件 <Quidway>reboot ；交换机重启 <Quidway>display version ；显示系统版本信息 来源： https://www.cnblogs.com/cms0729/p/11941811.html

一.用户配置: <H3C>system-view [H3C]super password H3C 设置用户分级密码 [H3C]undo super password 删除用户分级密码 [H3C]localuser bigheap 123456 1 Web网管用户设置,1（缺省）为管理级用户,缺省admin,admin [H3C]undo localuser bigheap 删除Web网管用户 [H3C]user-interface aux 0 只支持0 [H3C-Aux]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-Aux]undo idle-timeout 恢复默认值 [H3C]user-interface vty 0 只支持0和1 [H3C-vty]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-vty]undo idle-timeout 恢复默认值 [H3C-vty]set authentication password 123456 设置telnet密码,必须设置 [H3C-vty]undo set authentication password 取消密码 [H3C]display users 显示用户 [H3C]display user-interface

官网下载安装包并安装,点击 这里 安装完成后卸载 VirtualBox 这款软件 右键 H3C Cloud Lab → 属性 → 兼容性 → 以兼容模式运行这个程序 →选择 Windows7 ，如图： 更换 VirtualBox 的版本为4.2.24或5.1.30，安装完成后HCL 和 virtual box 依然设置为兼容win7运行 下载地址： 点击这里 在此，安装步骤就算完成了 接下来是简单的演示 打开 H3C Cloud Lab ，拖动一台交换机，和两台电脑，线路选择Manual ​ PC上的GE 0/1连接到 interface 0/1 ​ PC上的GE 0/1连接到 interface 0/2 右键设备图标选择启动设备，或者点界面上的启动所有设备，设备启动前是灰色的，启动后是绿色的。 只有启动后才能进行配置 右键PC，点击 配置 ，进行IPV4配置，选择启用。另一台PC同理，别忘了点启用。 另一台的IP地址，也设成20段的即可。 进行ping，右键PC，启动命令行终端，进行ping，然而结果却是失败的 原因是配置中的接口管理没有启用 右键PC，点击 配置 ，将IPV4上方的接口管理，选择启用，另一台同理。 重新ping，这回就成功了 也可以从另一台PC ping这一台，结果也是能ping通的 如果想进交换机鼓捣些命令，右键交换机，选择 启动命令行终端

邻居发现命令 display lldp neighbor-information list DHCP中继配置 dhcp enable dhcp relay server-group 1 ip x.x.x.x #x为DHCP服务器的ip地址 int vlan 30 在H3C交换机配置dhcp服务器时查看地址的分配情况 dis dhcp server ip-in-use pool vlan1006 dis dhcp server free-ip pool vlan1006 查看接口描述 display interface brief description default接口 [h3c]interface GigabitEthernet 1/0/41 [h3c-GigabitEthernet1/0/41]default 全局开启802.1X dot1x dot1x authentication-method eap dot1x timer quiet-period 10 dot1x timer tx-period 10 mac-authentication mac-authentication domain 1x radius scheme 1x primary authentication 172.28.101.3 primary accounting 172.28.101.3

通过对Cisco设备、华为设备的学习，我们今天认识另一个主流网络设备的生产厂商――H3C。 博文大纲： 1.H3C简介； 2.H3C产品体系； 3.H3C与Cisco命令对比； 4.H3C基础配置； 5.NAT； 6.策略路由； 1.H3C简介 H3C的前身是华为3COM公司，是华为与美国3COM公司的合资公司，后来由于各种矛盾的产生，华为中止了与3COM公司的合作，而3COM正式更名为“杭州华三通信技术有限公司”，简称“H3C”。 当前数据通信市场主要分为电信运营商和企业网市场，华为一直专注于运营商市场，而H3C主要专注于企业网市场。Cisco的业务则横跨运营商和企业网市场，并在这两个市场上保持一定的领先地位。在运营商市场上华为是Cisco的主要对手，在企业网市场上H3C是Cisco的主要对手。 2.H3C产品体系 经过多年的发展，H3C网络产品线已经具备了业务最全的网络产品，包括全系列路由器、交换机、WLAN、ICG信息通信网关和业务软件产品。 依托在IP技术领域的深厚积累，H3C的产品体系主要包括IP网络产品、IP无限产品、IP安全产品、IP存储产品、IP多媒体产品、IP管理产品和培训产品。本篇博文主要介绍IP网络产品包含的路由系列产品和交换系列产品。 H3C的路由器产品线与Cisco路由器存在许多相似之处，其主要产品系列也都是针对不同网络规模用户而开发的

版权声明：署名，允许他人基于本文进行创作，且必须基于与原先许可协议相同的许可协议分发本文 （ Creative Commons ） 想在国内找一些路由渗透的纪实，但还是木有什么结果，就是今晚给国内某路由厂商提交一些漏洞时，还被人家鄙视了，哎。什么狗屁心态。不管了，留给我未来的 儿子玩吧。说不定可以搞出什么东西。呵呵，扯远了，今晚就结合国外的一些科普文做一些讲解吧。大牛别喷我，我也只是自己写写笔记意淫意淫….别喷！ ++++++我是淫荡的分割线++++++++ 一，为什么要定义单独的路由安全？ （1）对于渗透湿而言： 如今，更多的渗透湿都是重在于web层的渗透，总是通过各种大杀器拿下内网机器权限，然后各种嗅探，但半天才发现，坑！内网划分了vlan 。（tip：VLAN（Virtual Local Area Network）的中文名为”虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术 主要应用于交换机和路由器中，但主流应用还是在交换机之中。）对于到这一层，很多人都是放弃了，或者去换了别的奇技淫巧，更是APT.但往往我们的收获却 是很少很少，对于那些白帽做内网的授权渗透时，web服务器的数量更是越来越少，但由于公司对员工的管理以及安全部署，更是划分了各种vlan保护数据的 安全和员工的限制。有些对数据敏感的公司

DHCP概述： DHCP客户端向DHCP服务端发送请求报文时，用的是广播报文，主要在二层传输，如果用的是DHCP中继，则在中继相应的端口上用单播的方式来申请DHCP地址 一、思科交换机 1、同一台设备上的DHCP Switch(config)#ip dhcp pool test01 -------------------------------------（建立名为 test01 的地址池） Switch(dhcp-config)#network 192.168.1.0 255.255.255.0 ---------------（网络地址） Switch(dhcp-config)#dns-server 202.103.224.68 ------------------------（DNS 地址） Switch(dhcp-config)#default-router 192.168.1.1 ------------------------（默认网关） Switch(dhcp-config)#lease 30 -------------------------------------------（租约期限） Switch(config)#ip dhcp pool test02 -------------------------------------（建立名为 test01 的地址池）

H3C 3100 SI系列的交换机与其他高端系列相比，功能方面相对弱了很多，而DHCP Snooping 功能支持也有差异。 正常情况下，设备启用了DHCP Snooping之后，所有端口都属于不受信任端口，我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口，其他端口则默认属于不受信任端口，这样就可以通过dhcp ack和dhcp offer 包来屏蔽掉非法的dhcp server. 而3100 SI系列启用dhcp snooping后，默认所有端口都是可信任端口。 这样就导致了单纯启用dhcp snooping 起不到屏蔽非法dhcp server的作用。 因此 3100 SI系列交换机多了一项DHCP防伪冒功能，这个功能的原理就是交换机会从启用防伪冒功能的端口向外发送DHCP-DISCOVER报文，用于探测连接到该端口的DHCP服务器，如果接收到回应报文DHCP-OFFER报文，则认为该端口连接了仿冒的DHCP服务器，交换机会根据配置的处理策略进行处理，通常可以配置的策略为trap和shutdown。 配置非常简单： #全局启用dhcp snooping: [6FB-S3100-57]dhcp-snooping #在直接连接dhcp 客户端的端口上启用防伪冒功能和处理策略 [6FB-S3100-57

环境： H3C核心三层交换机，划分两个vlan，分别是 vlan20（ip：192.168.1.250） vlan30（ip：10.10.0.1） vlan20下有一台win2008服务器提供DHCP服务，DHCP包含两个作用域分别为192.168.1.0和10.10.0.0 。要让DHCP服务器同时对VLAN20和VLAN30提供DHCP服务，需要在H3C核心交换机上配置DHCP中继。 命令参考： 系统模式：dhcp enable 系统模式：dhcp relay server-group 1 ip x.x.x.x //x为DHCP服务器的ip地址 int vlan 30 接口模式：dhcp select relay 接口模式：dhcp relay server-select 1 本文转自 qq8658868 51CTO博客，原文链接：http://blog.51cto.com/hujizhou/1194127，如需转载请自行联系原作者 来源： CSDN 作者： weixin_34004750 链接： https://blog.csdn.net/weixin_34004750/article/details/89809521