配置指导命令详解
第一部分配置原则概述 (2)
1 需要注意的配置事项 (2)
1.1配置ACL对非法报文进行过滤 (2)
1.1.1进行源IP和目的IP过滤 (2)
1.1.2限制ICMP报文 (4)
1.1.3限制netbios协议端口 (4)
1.1.4限制常见病毒使用的端口 (4)
1.1.5关闭没有使用的端口 (5)
1.2NAT配置注意事项 (6)
1.3路由配置注意事项 (6)
1.4进行IP-MAC地址绑定 (7)
1.5限制P2P应用(根据实际情况可选) (7)
1.5.1通过ACL限制端口 (7)
1.5.2结合QOS和ACL限制端口流量 (7)
1.5.3限制单机的NAT会话数 (9)
1.5.4在客户机上通过软件限制 (9)
2 附:限制常见P2P软件端口的ACL (10)
第二部分典型配置实例 (11)
1 单出口典型配置 (11)
1.1局域网内的主机地址是私网IP地址 (11)
1.2局域网内的主机地址是公网IP地址 (17)
2 双出口链路备份典型配置 (24)
2.1两条链路都是以太网链路的情况 (24)
2.2两条链路是以太网链路+PPPOE链路的情况 (33)
3 双出口同时实现负载分和链路备份典型配置 (41)
第一部分配置原则概述
随着网络建设和应用的不断深入,网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量,能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。
由于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用来发起网络攻击,或者被他人攻击,这就对网吧中的核心设备――网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项,同时给出了各种组网情况下的典型配置。
1 需要注意的配置事项
1.1 配置ACL对非法报文进行过滤
ACL 是每个安全策略的组成部份,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。
1.1.1 进行源IP和目的IP过滤
至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP 38 (Best
Current Practice )中高度建议使用入口过滤,这不仅可以使你的网络安全,而且
可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐藏它们的身份,在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的源IP地址。
例如:
假设局域网接口的IP地址为192.168.1.0/24,广域网接口的IP地址为162.1.1.0/30,在局域网接口可以设置:
acl number 3003
rule 2000 permit ip source 192.168.1.0 0.0.0.255
rule 3000 deny ip
在广域网接口可以设置:
acl number 3001
rule 2000 permit ip destination 162.1.1.0 0.0.0.3
rule 2001 permit ip destination 192.168.1.0 0.0.0.255
rule 3000 deny ip
在广域网接口也可以通过静态包过滤结合ASPF进行更精确的包过滤和攻击防范。
例如:
#
acl number 3011
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 206 permit tcp destination-port eq telnet
rule 3000 deny ip
#
interface Ethernet1/0
ip address 172.30.79.6 255.255.255.252
firewall packet-filter 3011 inbound
firewall aspf 1 outbound
#
注意事项:由于目前ASPF对内存和性能的影响较大,网吧应用环境中不建议在AR18系列路由器上进行配置。在所有的出报文都需要进行NAT的情况下一般也没有必要配置ASPF。
1.1.2 限制ICMP报文
ICMP 报文是另一种我们需要关心的数据包。大量的攻击和病毒使用ICMP报文作
为攻击手段。但实际上internet是使用的ICMP绝大部分是ping和traceroute。大量的
其它icmp类型并不使用。因此,实际上我们可以仅允许ICMP 的ping echo 和ping reply 及traceroute 所需要的TTL 开放。其它的均可以关闭。
例如:
acl number 3001
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
1.1.3 限制netbios协议端口
在现今的网络上,充斥着大量的网络扫描。基于UDP 137, 138 端口的扫描是常见
的扫描,UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下,进入
到路由器的137和138包是广播包,而路由器在默认情况下是不转发这些广播包的。
但在某些情况下,一些扫描工具扫描UDP 137 和UDP138的端口,以图找出主机上
的共享文件夹。这种情况下,进入路由器的数据包会是unicast的137和138,而且
通常目的地址不停变化。因此我们可以将这些UDP 138和138的数据包通过ACL 挡
断。保护用户和网络的安全。
例如:
acl number 3001
rule 31 deny udp destination-port eq netbios-ns
rule 41 deny udp destination-port eq netbios-dgm
rule 51 deny udp destination-port eq netbios-ssn
1.1.4 限制常见病毒使用的端口
一般网吧中存在大量的“冲击波”、“震荡波”等病毒,这类病毒会不断地变化源
IP或目的IP进行扫描和发送攻击数据,这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中发现56%的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口,比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等,通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。
例如:
acl number 3001
rule 10 deny tcp destination-port eq 445 / Worm.Blaster
rule 11 deny udp destination-port eq 445 / Worm.Blaster
rule 20 deny tcp destination-port eq 135 / Worm.Blaster
rule 21 deny udp destination-port eq 135 / Worm.Blaster
rule 30 deny tcp destination-port eq 137
rule 40 deny tcp destination-port eq 138
rule 50 deny tcp destination-port eq 139 / Worm.Blaster
rule 61 deny udp destination-port eq tftp / Worm.Blaster
rule 70 deny tcp destination-port eq 593 / Worm.Blaster
rule 80 deny tcp destination-port eq 4444 / Worm.Blaster
rule 90 deny tcp destination-port eq 707 /Nachi Blaster-D
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434 / SQL Slammer
rule 120 deny tcp destination-port eq 5554 / Sasser
rule 130 deny tcp destination-port eq 9996 / Sasser
1.1.5 关闭没有使用的端口
网络中每时每刻都存在大量的扫描报文,扫描软件一般都会先探测目的主机开放了哪些端口。对于常用的应用程序,如www、ftp、tftp等,如果局域网内并没有机器
开放这些服务,可以在广域网接口通过ACL对匹配这些目的端口的报文进行过滤。
例如:
acl number 3001
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
rule 204 deny tcp destination-port eq 3389
1.2 NAT配置注意事项
需要使用NAT转换地址池时,应尽量缩小NAT转换地址池的大小,因为地址池越大,占用的内存空间就可能会越大,大的地址池对于内存较小的设备很可能会导致内存耗尽。AR系列路由器上每个NAT转换地址可以支持50000个会话,网吧每台机器正常上网时平均会创建30条会话,因此一般情况下地址池配置1个NAT转换地址就可以满足需求。
建议在AR18系列路由器上配置NAT地址池时只配置1个IP地址。
例如:
nat address-group 1 218.27.192.1 218.27.192.1
1.3 路由配置注意事项
RFC1918中指定的保留的私有地址和其他已知的私有地址不应该存在于现有的internet网络上。可以通过黑洞路由进行过滤。避免局域网中存在攻击时占用大量的快转表项或者NAT表项。
例如:
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
1.4 进行IP-MAC地址绑定
由于网吧上网人员比较复杂,可能有人有意或无意地更改IP地址,或者使用网络执法官等软件进行恶意地破坏,通过在网关和客户机上都进行IP-MAC地址绑定(静态ARP),可以有效地防止这类以ARP欺骗为基础的攻击。
在网关上可以通过arp static命令对所有的客户机进行静态ARP设置。
在客户机上可以建立一个批处理文件放到启动组里,批处理文件的内容就是对网关进行IP-MAC绑定,这样每次启动就都会自动进行设置。
客户机设置静态ARP的实例:
@echo off
arp –s 192.168.1.1 00-0f-e2-21-a0-01
1.5 限制P2P应用(根据实际情况可选)
P2P应用对于网吧带宽来说是致命杀手,一个P2P客户端就有可能占用总带宽的90%以上,这会严重影响网吧的其他用户的正常上网,尤其是玩在线游戏的用户。限制P2P应用有多种方式可以选择,但目前还没有非常有效的方法。下面分别介绍几种常用的方法。
1.5.1 通过ACL限制端口
通过ACL限制端口。一是只限制P2P的端口,开放所有的其他端口,这种方法有其局限性,因为现在有的p2p软件,端口可以改变,封锁后会自动改端口,甚至可以
改到80端口,如果连这个也封,那网络使用就无法正常工作了;二是只开放有用的端口,封闭其他端口,这种方法是对网络进行严格的控制,对简单的小型网络还可行,而如果是大型网络,数据流量又很复杂那么管理的难度将非常大;因此这两种方法对网吧都不太适合。
1.5.2 结合QOS和ACL限制端口流量
结合QOS和ACL来限制P2P端口的数据流量。因为多数蠕虫病毒和p2p的端口都是
大于3000的,当然也有正常的应用是采用3000以上的端口,如果我们将3000以上的
端口封闭,这样正常的应用也无法开展,所以折中的方法是对端口3000以上的数据流进行限速。在实际应用中可能需要根据实际情况更改端口号的范围以使对其他应用的影响降低到最小。
例如:
在广域网接口和QOS结合使用的ACL。
acl number 3100
rule 1000 permit tcp destination-port gt 3000
rule 1010 permit udp destination-port gt 3000
在广域网接口配置的QOS。
#
traffic classifier p2pin operator or
if-match acl 3100
#
traffic behavior p2pin
car cir 2048000 cbs 1024000 ebs 0 green pass red discard
#
qos policy p2pin
classifier p2pin behavior p2pin
#
interface Ethernet1/0
ip address 162.1.1.2 255.255.255.252
qos apply policy p2pin inbound
#
在局域网接口和QOS结合使用的ACL。
acl number 3300
rule 1000 permit tcp source-port gt 3000
rule 1010 permit udp source-port gt 3000
在局域网接口配置的QOS。
#
traffic classifier p2pout operator or
if-match acl 3300
#
traffic behavior p2pout
car cir 2048000 cbs 1024000 ebs 0 green pass red discard
#
qos policy p2pout
classifier p2pout behavior p2pout
#
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
qos apply policy p2pout inbound
#
1.5.3 限制单机的NAT会话数
以后的VRP软件会支持NAT的单用户限制,即可以对做地址转换的单个IP限制其NAT
的TCP连接数,因为P2P类软件如BT的一大特点就是同时会有很多的连接数,从而
占用了大量的NAT表项,因此应用该方法可有效限制BT的使用,比如我们为IP
192.168.1.2设置最大的NAT表项数为100;正常的网络访问肯定够用了,但如果使
用BT,那么很快此IP的NAT表项数会达到100,一旦达到峰值,该IP的其他访问就
无法再进行NAT转换,必须等到部分NAT表项失效后,才能再次使用,这样既有效
的保护了网络的带宽,也达到了警示的作用。
1.5.4 在客户机上通过软件限制
在客户机上通过软件设置来禁止使用P2P软件。有很多网吧管理软件可以根据需
要禁止各种软件的运行,建议需要禁止P2P应用的网吧采用这种方式。
以上我们总结了目前可用的限制P2P软件的一些方法,具体采用哪种方法只能根据
具体网络的状况来定,当然也可以将几种方法结合起来使用。
2 附:限制常见P2P软件端口的ACL
acl number 3100
rule 1000 deny tcp destination-port eq 2710
rule 1010 deny tcp destination-port eq 6969
rule 1020 deny tcp destination-port range 8881 8999
rule 1030 deny tcp destination-port eq 10137
rule 1040 deny tcp destination-port eq 16881
rule 1050 deny tcp destination-port range 4661 4662
rule 1060 deny udp destination-port eq 4665
rule 1070 deny udp destination-port eq 4672
第二部分 典型配置实例
1 单出口典型配置
这类网吧只有一个到ISP 的出口,是最常见的一种情况,网络拓扑比较简单,下面根据局域网内的主机地址是私网IP 地址还是公网IP 地址分为两种情况举例。
1.1 局域网内的主机地址是私网IP 地址
网络拓扑图如图1所示,AR18-22-24通过142.1.1.0/30网段和ISP 相连,局域网内的IP 地址段是192.168.1.0/24,局域网内的主机上网需要通过AR18-22-24进行NAT 转换。
图1 单出口需要进行NAT 转换拓扑图
[Quidway] display current-configuration #
sysname Quidway #
142.1.1.2/30
ISP
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00
#
FTP server enable
#
firewall enable
#
flow-interval 5
#
web set-package force flash:/http.zip
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
# 配置进行NAT转换时引用的ACL。
acl number 2001
rule 10 permit source 192.168.1.0 0.0.0.255
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2002 permit ip destination 142.1.1.2 0
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 2010 deny ip source 192.168.1.1 0
rule 2030 permit ip source 192.168.1.0 0.0.0.255 rule 3000 deny ip
# 配置广域网接口E1/0,对入报文进行过滤(所有出报文均需要做NAT时可以不对入报文进行过滤),对出报文进行NAT。
interface Ethernet1/0
ip address 142.1.1.2 255.255.255.252
firewall packet-filter 3001 inbound
nat outbound 2001
#
interface Ethernet2/0
#
# 配置局域网接口E3/0,对入报文进行过滤。
interface Ethernet3/0
ip address 192.168.1.1 255.255.255.0
firewall packet-filter 3003 inbound
#
interface Ethernet3/1
#
interface Ethernet3/2
#
interface Ethernet3/3
#
interface Ethernet3/4
#
interface Ethernet3/5
#
interface Ethernet3/6
#
#
interface Ethernet3/8 #
interface Ethernet3/9 #
interface Ethernet3/10 #
interface Ethernet3/11 #
interface Ethernet3/12 #
interface Ethernet3/13 #
interface Ethernet3/14 #
interface Ethernet3/15 #
interface Ethernet3/16 #
interface Ethernet3/17 #
interface Ethernet3/18 #
interface Ethernet3/19 #
interface Ethernet3/20 #
interface Ethernet3/21
#
interface Ethernet3/23
#
interface Ethernet3/24
#
interface NULL0
#
# 配置缺省路由和黑洞路由。
ip route-static 0.0.0.0 0.0.0.0 142.1.1.1 preference 60
ip route-static 10.0.0.0 255.0.0.0 NULL 0 preference 60
ip route-static 169.254.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 172.16.0.0 255.240.0.0 NULL 0 preference 60
ip route-static 192.168.0.0 255.255.0.0 NULL 0 preference 60
ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
1.2 局域网内的主机地址是公网IP地址
网络拓扑图如图2所示,AR18-22-24通过142.1.1.0/30网段和ISP相连,局域网内的IP地址段是218.168.1.0/24,局域网内的主机上网只需要在AR18-22-24上设置路由。
图2 单出口不需要进行NAT 转换拓扑图
[Quidway]display current-configuration #
sysname Quidway #
clock summer-time BJ repeating 00:00:00 06/01/2000 23:59:59 08/31/2000 01:00:00
#
clock timezone Peking add 08:00:00 #
FTP server enable #
firewall enable #
flow-interval 5
142.1.1.2/30
ISP
#
web set-package force flash:/http.zip
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
# 配置在接口上应用的过滤规则,主要用于攻击防范,强烈建议配置。
acl number 3001
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 200 deny tcp destination-port eq www
rule 202 deny tcp destination-port eq ftp
rule 204 deny tcp destination-port eq 3389
rule 2001 permit ip destination 218.168.1.0 0.0.0.255 rule 2002 permit ip destination 142.1.1.2 0
rule 3000 deny ip
acl number 3003
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
华为交换机基本配置命令详细讲解
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
华三华为交换机-路由器配置常用命令汇总
H3C交换机配置命令大全 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、port link-type Access|Trunk|Hybrid 设置端口访问模式 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口
H3C的路由器配置命令详解
H3C的路由器配置命令详解 en 进入特权模式 conf 进入全局配置模式 in s0 进入serial 0 端口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配enca hdlc/ppp 捆绑链路协议hdlc 或者ppp ip unn e0 exit 回到全局配置模式 in e0 进入以太接口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配exit 回到全局配置模式 ip route 0.0.0.0 0.0.0.0 s 0 添加路由表 ena password 口令 write exit 以上根据中国电信ddn 专线多数情况应用 普通用户模式 enable 转入特权用户模式 exit 退出配置 help 系统帮助简述 language 语言模式切换 ping 检查网络主机连接及主机是否可达 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器 特权用户模式 #? clear 清除各项统计信息
clock 管理系统时钟 configure 进入全局配置模式 debug 开启调试开关 disable 返回普通用户模式 download 下载新版本软件和配置文件 erase 擦除FLASH中的配置 exec-timeout 打开EXEC超时退出开关 exit 退出配置 first-config 设置或清除初次配置标志 help 系统帮助简述 language 语言模式切换 monitor 打开用户屏幕调试信息输出开关 no 关闭调试开关 ping 检查网络主机连接及主机是否可达 reboot 路由器重启 setup 配置路由器参数 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM中 全局配置模式 aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表 arp 设置静态ARP人口 chat-script 生成一个用在modem上的执行脚本custom-list 创建定制队列列表 dialer-list 创建dialer-list dram-wait 设置DRAM等待状态
h3c常用命令
进入系统视图 system-view 配置设备名 sysname RouterA 查看FLASH目录下内容 dir 指定下次启动配置文件 startup saved-configuration main.cfg 保存配置 save 重启 reboot #置CONSOLE用户登陆的口令认证
用户的命令控制级别设置 [H3C-ui-aux0]user privilege level 0 [H3C]super password level 1 simple 123456 [H3C]super password level 2 simple 123456 [H3C]super password level 3 simple 123456 # 设置super(明文)密码当低权限向高权限切换时使用![RouterA]super password simple quidway # 设置super(密文)密码 [RouterA]super password cipher quidway # 启用telnet 管理功能 [RouterA]user-interface vty 0 4 [RouterA-ui-vty0-4]authentication-mode password [RouterA-ui-vty0-4]set authentication password simple quidway [RouterA-ui-vty0-4]user privilege level 3 [RouterA-ui-vty0-4]quit [RouterA]telnet server enable
路由器配置常用命令汇总
Access-enable允许路由器在动态访问列表中创建临时访问列表入口 Access-group把访问控制列表(ACL)应用到接口上 Access-list定义一个标准的IP ACL Access-template在连接的路由器上手动替换临时访问列表入口 Appn向APPN子系统发送命令 Atmsig执行ATM信令命令 B 手动引导操作系统 Bandwidth 设置接口的带宽 Banner motd 指定日期信息标语 Bfe 设置突发事件手册模式 Boot system 指定路由器启动时加载的系统映像 Calendar 设置硬件日历 Cd 更改路径 Cdp enable 允许接口运行CDP协议 Clear 复位功能 Clear counters 清除接口计数器 Clear interface 重新启动接口上的件逻辑 Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率Cmt 开启/关闭FDDI连接管理功能 Config-register 修改配置寄存器设置 Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息 Configure memory 从NVRAM加载配置信息 Configure terminal 从终端进行手动配置 Connect 打开一个终端连接
Copy 复制配置或映像数据 Copy flash tftp 备份系统映像文件到TFTP服务器 Copy running-config startup-config 将RAM中的当前配置存储到NVRAM Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上 Copy tftp flash 从TFTP服务器上下载新映像到Flash Copy tftp running-config 从TFTP服务器上下载配置文件 Debug 使用调试功能 Debug dialer 显示接口在拨什么号及诸如此类的信息 Debug ip rip 显示RIP路由选择更新数据 Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息 Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息 Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程 Debug ppp 显示在实施PPP中发生的业务和交换信息 Delete 删除文件 Deny 为一个已命名的IP ACL设置条件 Dialer idle-timeout 规定线路断开前的空闲时间的长度 Dialer map 设置一个串行接口来呼叫一个或多个地点 Dialer wait-for-carrier-time 规定花多长时间等待一个载体 Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制 Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号 Dir 显示给定设备上的文件 Disable 关闭特许模式 Disconnect 断开已建立的连接
h3c系统基本配置命令
第1章系统基本配置命令 1、1 系统基本配置命令 1、1、1 clock datetime 【命令】 clock datetime time date 【视图】 用户视图 【参数】 time:当前时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM与SS取值范围为0~59。 date:为当前日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM得取值范围为1~12,DD得取值范围与月份有关,YYYY得取值范围为2000~2035。 【描述】 clock datetime命令用来设置系统时间与日期。 在需要严格获取绝对时间得应用环境中,必须设定设备当前日期与时钟。在输入时间参数时,可以不输入秒。 设置完成后,可以使用display clock命令进行查瞧。 【举例】 # 设置设备当前日期为2005年8月1日14时10分20秒。
H3C路由器配置命令详解
华为H3C路由器交换机配置命令详解 2009-12-28 22:40:13| 分类: Quidway-h3c|举报|字号订阅 交换机命令 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 0/1 进入接口视图 [Quidway]interface vlan x 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 配置VLAN的IP地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由=网关 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 [Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率[Quidway-Ethernet0/1]flow-control 配置端口流控 [Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置端口工作模式[Quidway-Ethernet0/1]undo shutdown 激活端口 [Quidway-Ethernet0/2]quit 退出系统视图 [Quidway]vlan 3 创建VLAN [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在VLAN中增加端口[Quidway-Ethernet0/2]port access vlan 3 当前端口加入到VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID [Quidway]monitor-port 设置主vlan包括的子vlan [Quidway-Ethernet0/2]port hybrid pvid vlan
华为交换机配置命令手册
为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如
H3C交换机常用配置命令
H3C交换机常用配置命令 一、用户配置
思科基本配置命令详解
思科交换机基本配置实例讲解
目录 1、基本概念介绍............................................... 2、密码、登陆等基本配置....................................... 3、CISCO设备端口配置详解...................................... 4、VLAN的规划及配置........................................... 4.1核心交换机的相关配置..................................... 4.2接入交换机的相关配置..................................... 5、配置交换机的路由功能....................................... 6、配置交换机的DHCP功能...................................... 7、常用排错命令...............................................
1、基本概念介绍 IOS: 互联网操作系统,也就是交换机和路由器中用的操作系统VLAN: 虚拟lan VTP: VLAN TRUNK PROTOCOL DHCP: 动态主机配置协议 ACL:访问控制列表 三层交换机:具有三层路由转发能力的交换机 本教程中“#”后的蓝色文字为注释内容。 2、密码、登陆等基本配置 本节介绍的内容为cisco路由器或者交换机的基本配置,在目前版本的cisco交换机或路由器上的这些命令是通用的。本教程用的是cisco的模拟器做的介绍,一些具体的端口显示或许与你们实际的设备不符,但这并不影响基本配置命令的执行。 Cisco 3640 (R4700) processor (revision 0xFF) with 124928K/6144K bytes of memory. Processor board ID 00000000 R4700 CPU at 100MHz, Implementation 33, Rev 1.2
华为交换机配置命令手册及实验
华为交换机配置命令手 册及实验 Huawei 交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console 口连接。在 主机上运行终端仿真程序(如Windows 的超级终端等),设置终端通信参数为:波特 率为9600bit/s、8 位数据位、1 位停止位、无校验和无流控,并选择终端类型为 VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如
(5)VLAN 接口视图(配置VLAN 和VLAN 汇聚对应的IP 接口参数)[Quidway-Vlan- interface1]:在系统视图下键入interface vlan-interface 123 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入 local- user user1 (7)用户界面视图(配置用户界面参数)[Quidway-ui0]:在系统视图下键入user-interface 3、其他命令 设置系统时间和时区
路由器配置命令详细列表
启动接口,分配IP地址 router> router> enable router# router# configure terminal router(config)# router(config)# interface Type Port router(config-if)# no shutdown router(config-if)# ip address IP-Address Subnet-Mask router(config-if)# ^z [编辑] 配置RIP路由协议:30秒更新一次
router(config)# router rip router(config-if)# network Network-Number <——通告标准A,B,C类网——> router(config-if)# ^z [编辑] 配置IGRP路由协议:90秒更新一次 router(config)# router igrp AS-Number <—— AS-Number范围1~65535——> router(config-if)# network Network-Number <——通告标准A,B,C类网——> router(config-if)# ^z [编辑] 配置Novell IPX路由协议:Novell RIP 60秒更新一次router(config)# ipx routing [node address] router(config)# ipx maximum-paths Paths <——设置负载平衡,范围1~512——>
router(config)# interface Type Port router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] <——通告标准A,B,C类网——> router(config-if)# ^z [编辑] 配置DDR: router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number] router(config)# interface bri 0 router(config-if)# dialer-group Group-Number router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number router(config-if)# ^z
h3c系统基本配置命令
第1章系统基本配置命令 1.1 系统基本配置命令 1.1.1 clock datetime 【命令】 clock datetime time date 【视图】 用户视图 【参数】 time:当前时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。 date:为当前日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。 【描述】
clock datetime命令用来设置系统时间和日期。 在需要严格获取绝对时间的应用环境中,必须设定设备当前日期和时钟。在输入时间参数时,可以不输入秒。 设置完成后,可以使用display clock命令进行查看。 【举例】 # 设置设备当前日期为2005年8月1日14时10分20秒。
我的世界服务器配置命令详解
基础插件(Essentials)命令 标记*为一般玩家常用命令(仅我服务器) [作弊]打开工作台 /wb [作弊]设置某人可以无限放置物品 /ul [作弊]生成一棵树 /tree [作弊]设置或显示时间 /time [作弊]修理手上或全部的物品 /repair [作弊]调整飞行速度 /speed [作弊]调整某个玩家的时间 /ptime [作弊]把手上的东西数量变成最大堆叠 /more [作弊]生成一个指定工具包 /kit [作弊]给你一个指定的物品 /item [作弊]治疗一个玩家 /heal *[作弊]戴一个帽子 /hat [作弊]上帝模式 /god [作弊]给某人某物品 /give [作弊]设置玩家游戏模式 /gamemode [作弊]飞行模式 /fly [作弊]把某人喂饱 /feed [作弊]给经验 /exp [作弊]附魔 /enchant [作弊]打烂眼前的方块 /break [作弊]生成一棵大树 /bigtree *[经济]显示某物品多少钱 /price [经济]指定某物品的价格 /setworth *[经济]出售指定数量的物品 /sell *[经济]转账给某个玩家 /pay [经济]显示玩家资产排名 /baltop [经济]给某个玩家指定数量的钱 /money [通用]显示玩家信息 /whois *[通用]自杀 /suicide [通用]更改刷怪笼刷出的怪 /spawner
[通用]检查玩家最后在线时间 /seen [通用]显示服务器规则 /rules [通用]显示昵称背后的真名 /realname *[通用]快速回复最后发信息给你的玩家 /r [通用]启动或关闭所有动力工具 /ptt [通用]应用一个命令给手中的物品 /pt [通用]改变你的显示名称(昵称) /nick [通用]列出你附近的玩家 /near *[通用]私聊 /t [通用]表情动作 /me [通用]收发邮件 /mail [通用]显示在线列表 /list [通用]显示物品数据 /itemdb [通用]查看服务器服务器信息 /info [通用]op命令帮助 /helpop *[通用]命令帮助 /help [通用]获取坐标 /getpos [通用]显示所在海拔 /depth [通用]显示所指方向 /compass [通用]设置离开状态 /afk [管理]设置天气 /weather [管理]隐身 /vanish [管理]解除禁止IP /unbanip [管理]接触禁止玩家 /unban [管理]入狱或出狱 /togglejail [管理]开关打雷 /thunder [管理]临时禁止指定玩家 /tempban [管理]允许某个其他玩家使用某命令 /sudo [管理]生成指定数量指定怪 /spawnmob [管理]显示其他玩家私聊 /socialspy [管理]设置新监狱 /setjail [管理]移除世界中的一个实体 /remove [管理]Pong! /ping
华为S5700基础配置命令
华为S5700基础配置命令 以下配置中,绿色字体是需要自定义的. # 设置设备的名称为GS H-FZ-Front
华为交换机配置命令详解
华为3COM交换机配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration ;显示当前生效的配置 [Quidway]display saved-configuration ;显示flash中配置文件,即下次上电启动时所用的配置文件
路由器配置命令大全
路由器配置命令大全 视图模式介绍: 普通视图router> 特权视图router# /在普通模式下输入enable 全局视图router(config)# /在特权模式下输入config t 接口视图router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0 路由协议视图router(config-route)# /在全局模式下输入router 动态路由协议名称 1、基本配置: router>enable /进入特权模式 router#conf t /进入全局配置模式 router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字 router(config)#enable password /设置特权口令 router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令 router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密 router(config)#line vty 0 4 /进入设置telnet服务模式 router(config-line)#password xxx /设置telnet的密码 router(config-line)#login /使能可以登陆 router(config)#line con 0 /进入控制口的服务模式 router(config-line)#password xxx /要设置console的密码 router(config-line)#login /使能可以登陆 2、接口配置: router(config)#int s0 /进入接口配置模式serial 0 端口配置(如果是模块化的路由器前面加上槽位编号,例如serial0/0 代表这个路由器的0槽位上的第一个接口) router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码 router(config-if)#enca hdlc/ppp 捆绑链路协议hdlc 或者ppp 思科缺省串口封装的链路层协议是HDLC所以在show run配置的时候接口上的配置没有,如果要封装为别的链路层协议例如PPP/FR/X25就是看到接口下的enca ppp或者enca fr router(config)#int loopback /建立环回口(逻辑接口)模拟不同的本机网段 router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码给环回口 在物理接口上配置了ip地址后用no shut启用这个物理接口反之可以用shutdown管理性的关闭接口 3、路由配置: (1)静态路由 router(config)#ip route xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 下一条或自己的接口 router(config)#ip route 0.0.0.0 0.0.0.0 s 0 添加缺省路由 (2)动态路由 rip协议 router(config)#router rip /启动rip协议 router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段 router(config-router)#version 2 转换为rip 2版本 router(config-router)#no auto-summary /关闭自动汇总功能,rip V2才有作用 router(config-router)# passive-int 接口名/启动本路由器的那个接口为被动接口 router(config-router)# nei xxx.xxx.xxx.xxx /广播转单播报文,指定邻居的接ip,