華為網絡裝置路由交換防火牆常用指令示例

Dispaly

dis user-interface #檢視使用者界面資訊

dis users #指令用來檢視每個使用者界面的使用者登入資訊

dis users all

#顯示所有使用者接口的資訊，包括未連接配接的使用者。執行該指令後，可顯示目前交換機上接入了哪 些使用者，用 戶的使用者名、位址等登入資訊，以及使用者的驗證和授權資訊等。

dis local-user #配置本地使用者後，可以執行該指令檢視本地使用者的配置資訊。如果不指定可選參數，表示檢視本地使用者的概要資訊；

dis local-user username huawei #檢視huawei這個賬号的資訊。

dis telnet server status #檢視telnet伺服器配置資訊

dis alarm urgent 檢視緊急告警

dis temperature all 檢視溫度

dis log 檢視交換機日志

dis logbuff 檢視詳細日志

dis aaa online-fail-record all #檢視登入失敗的詳細記錄

dis current-configuration // 顯示目前所有配置

dis vlan summary 檢視所有vlan彙總資訊

dis port vlan 檢視端口類型及所屬vlan等（）

dis port vlan //顯示目前各端口的VLAN情況

dis ip interface brif 檢視接口與IP相關的摘要資訊

dis interface brief 檢視端口（實體口子）和接口（邏輯）

dis mac-address 檢視所有類型的MAC位址表項資訊

dis mac-address | include 1a82 （其中1a82是想要查的PC的MAC一部分）定位PC連接配接在哪個口子

dis mac-address vlan 150 檢視VLAN150中所有MAC位址表項的詳細資訊

dis arp （all） 檢視ip與mac對應表

示例：display arp network 172.16.0.0 16

IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE

VLAN/CEVLAN
           

172.16.10.3 0025-9efb-be55 S-- GE1/0/6

100/-

172.16.20.3 0200-0000-00e8 S-- GE1/0/19

172.16.10.1 0025-9ef4-abcd I - Vlanif100

172.16.10.2 0025-9efb-be55 20 D-0 GE1/0/6

100/-

172.16.20.1 0025-9ef4-abcd I - GE1/0/19

172.16.20.2 0200-0000-00e8 18 D-0 GE1/0/19

Total:6 Dynamic:2 Static:2 Interface:2

上述回顯中，每行ARP表項的具體含義如下：

IP172.16.10.3，TYPE字段S代表該ARP表項為靜态ARP表項，出接口為GE1/0/6，VLAN編号為100。

IP172.16.20.3，TYPE字段S代表該ARP表項為靜态ARP表項，靜态ARP表項出接口為GE1/0/19。

IP172.16.10.1，TYPE字段I代表該ARP表項為接口本身的ARP表項。ARP表項代表IP位址172.16.10.1是接口Vlanif100的IP位址。

IP172.16.10.2，TYPE字段D代表該ARP表項為動态ARP表項。這條動态ARP表項是從接口GE1/0/6動态學習到的，VLAN編号為100，剩餘存活時間為20分鐘。

IP172.16.20.1，TYPE字段為I代表該ARP表項為接口本身的ARP表項。這條ARP表項代表IP位址172.16.20.1是接口GE1/0/19的IP位址。

IP172.16.20.2，TYPE字段為D代表該ARP表項為動态ARP表項。這條動态ARP表項是從接口GE1/0/19動态學習到的，剩餘存活時間為18分鐘。

dis ip routing-table 顯示路由表資訊

dis ip pool interface vlanif10 檢視vlanif10接口位址池資訊

dis dhcp server statistics 檢視dhcp伺服器統計資訊

ACL通路控制清單

acl number 3001 建立或進入number 為3001 （3000~3999）的acl清單

acl name Geli 3002 建立或進入name為Geli 、編号為3002（3000~3999）的acl清單

通過traffic-filter調用

示例：

sys

[Huawei]acl 3000 //建立進階ACL（3000~3999）

[Huawei-acl-adv-3000]

[Huawei-acl-adv-3000]rule permit ip source192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //配置允許192.168.1.0段去通路192.168.2.0段

[Huawei-acl-adv-3000]rule deny ip source192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 //配置拒絕192.168.1.0段去通路192.168.=4.0段

[Huawei-acl-adv-3000]dis thi //檢視目前配置是否配置成功

acl number 3000

rule5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

return

[Huawei-acl-adv-3000]q //退出ACL視圖

[Huawei]int g0/0/1 //進入對應的接口

[Huawei-GigabitEthernet0/0/1]traffic-filterinbound acl 3000 //接口下調用ACL 3000

[Huawei-GigabitEthernet0/0/1]q //退出接口視圖

[Huawei]

上面的這個配置有點粗糙。沒錯，配置完1.0不能通路2.0，反過來2.0ping1.0也不通了。因為通信是互相的，icmp和tcp協定都存在一個對方要回信号（TCP三向交握）

下面是一個實作精确單向控制的ACL

交換機V100R005以後版本可以通過下面的方法配置針對ICMP和TCP封包的單向通路。

下面是交換機實作從A不能通路B，但能從B通路A需求的示例

假設192.168.10.0是A的位址段（屬于VLAN10），192.168.20.0是B的位址段（屬于VLAN20）

1、建立ACL，制定通路控制規則（預設是permit）

acl 3000

rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo //配置ICMP單向通路規則 注解一下ehco的意思是第一個請求包，規則拒絕的是icmp中10請求20，

rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn //配置TCP單向通路規則 注解一下syn是三次握手的第一個動作，就被deny了

quit

2、配置流分類，比對ACL

traffic classifier c1

if-match acl 3000

quit

3、配置流行為

traffic behavior b1

quit

4、配置流政策，關聯流分類和流行為

traffic policy p1

classifier c1 behavior b1

quit

5、應用流政策

應用到接口上

interface gigabitethernet 1/0/1

traffic-policy p1 inbound

或者應用到vlan上

vlan 10

traffic-policy p1 inbound

或者在全局應用

traffic-policy p1 global inbound

修改交換機名稱：

[Huawei]sysname sw1

[sw1]

VLAN中選取全局位址

interface Vlanif80

ip address 200.0.80.254 255.255.255.0

dhcp select global

port-group yewu

group-member G 0/0/1 to G 0/0/24

port link-type access

port default vlan XX

#以上4條為批量将多個端口加入VLAN的方法

undo dhcp enable 禁用DHCP

undo dhcp select global 取消基于全局的dhcp

user-interface maximum-vty 15 //配置vty最大連接配接數

user-interface vty 0 14 //進入vty使用者界面視圖

user privilege level 2 //設定vty登入的使用者等級為2(配置使用者級别)

authentication-mode aaa //設定vty登入時的驗證模式為使用者名和密碼驗證

aaa //進入AAA視圖

local-user admin password cipher [email protected] //設定aaa登入的使用者名和密碼

local-user admin service-type telnet //設定admin使用者遠端登入時的協定

user-interface console 0 //進入第0個console口的使用者界面

authentication-mode passwd //配置從console口登入交換機的認證模式為密碼認證

set authentication password cipher [email protected] //配置從console口登入交換機的密碼

vlan 10 //建立一個VLAN

設VLAN

vlan 80

description vlan_80

設位址池

ip pool 80

這裡的80就是VLAN号

gateway-list 200.0.80.1

network 200.0.80.0 mask 255.255.255.0

dns-list 200.0.0.6

lease day 10 hour 0 minute 0

interface meth 0/0/1 //進入交換機的第一個管理網口

ip address 192.168.1.110 24 //設定管理網口的ip位址和子網路遮罩

interface gigabitethernet 0/0/1 //進入第一個業務網口

port link-type access //設定第1個網口位access模式

port default vlan 10 //設定此網口的VLAN号為10

interface gigabitethnet 0/0/2 //進入第2個業務網口

port link-type trunk //設定第二個網口位trunk模式

port trunk allow-pass vlan 10 20 30 //設定此端口可以通過的VLAN号

// port trunk allow-pass vlan all 表示可以通過所有的帶VLAN的幀

Interface gigabitethnet 0/0/3 //進入第3個業務網口

Port link-type hybrid //設定此端口為hybrid模式,每個端口預設就是hybrid模式

Port hybrid pvid vlan 10 //設定pvid為10

Port hybrid tagged vlan 20 30 40 //設定tagged清單為20,30,40

Port hybrid untagged vlan 50 60 //設定untagged清單為50,60

Interface gigabitethernet 0/0/3

Undo port default vlan //access 模式的端口

Undo port link-type

Undo port hybrid pvid vlan vlanid //hybrid 模式的端口

Undo port hybrid untagged vlan vlanid

Undo port hybrid tagged vlan vlanid

Undo port trunk pvid vlan //trunk 模式的端口

Undo port trunk allow-pass vlan vlanid

Undo port link-type

配置VLAN:

[HuaWei]vlan 2

[HuaWei-vlan2]port ether 0/10 to e 0/12

[HuaWei-vlan2]quit

等同于

[HuaWei]int e0/13

[HuaWei-Ethernet0/13]port access vlan 2

[HuaWei-Ethernet0/13]quit

配置trunk端口：

[HuaWei]int e0/1

[HuaWei-Ethernet0/1]port link-type trunk

[HuaWei-Ethernet0/1]int e0/2

[HuaWei-Ethernet0/2]port link-type trunk

[HuaWei-Ethernet0/2]quit

兩邊的端口都要配trunk，通過trunk 不打标簽！

預設trunk 隻允許vlan 1 通過

[HuaWei]int e0/1

[HuaWei-Ethernet0/1]port trunk permit vlan all

[HuaWei-Ethernet0/1]int e0/2

[HuaWei-Ethernet0/2]port trunk permit vlan all

兩邊端口都要配置充許trunk 所有VLAN，如果是指定通過 vlan号，将vlan all 改成對應的vlan編号即可。

如何防止交換機環路:

華為的交換機生成樹功能預設是關掉的

交換機形成環路，所聯接的端口會不停的閃爍！

方法一：啟用交換機生成樹

[HuaWei]stp enable（開）

[HuaWei]stp disable（關）

要在兩台交換機上配置:

方法二：通過鍊路聚合的方式來解決問題

鍊路聚合可以提高帶寬和負載均衡

配置鍊路聚合時，兩端的端口模式需要配置成一樣（雙工，半又工），速率也要指定,不能自己自協商狀态！

[HuaWei]link-aggregation e0/1 to e0/2 both

如：

[HuaWei]int e0/1

[HuaWei-Ethernet0/1]duplex full

[HuaWei-Ethernet0/1]speed 100

[HuaWei-Ethernet0/1]int e0/2

[HuaWei-Ethernet0/2]duplex full

[HuaWei-Ethernet0/2]speed 100

設定交換機的mux-vlan模式

假設主VLAN是10,從VLAN中group模式的有VLAN 20, separate模式的有VLAN 30,server連接配接1号端口,PC1和PC2連接配接2和3号端口,PC3和PC4連接配接4和5号端口

Vlan batch 10 20 30

Vlan 10

Mux-vlan

Subordinate group 20

Subordinate separate 30

把各連接配接的端口設為access模式,并且加入到各自的VLAN中,且同時開啟mux-vlan功能,

Interface gigabitethernet 0/0/1

Port link-type access

Port default vlan 10

Port mux-vlan enable

Interface gigabitethernet 0/0/2 //3号端口設定方法類似

Port link-type access

Port default vlan 20

Port mux-vlan enable

Interface gigabitethernet 0/0/4 //5号端口設定方法類似

Port link-type access

Port default vlan 30

Port mux-vlan enable

清除某個端口的配置

Interface gigabitethernet 0/0/2

Clear configuration this

Undo shutdown

恢複出廠設定s5700SI

在使用者視圖下(按Ctrl+z組合鍵回到使用者視圖)輸入如下指令操作

reset saved-configuration

Y

Reboot

N

Y

後續待補充。。。。。