第一篇:华为路由器防火墙配置命令总结
华为路由器防火墙配置命令总结
access-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】 系统缺省不配置任何访问规则。
【命令模式】 全局配置模式
【使用指南】 同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。使用协议域为IP的扩展访问列表来表示所有的IP协议。同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】 允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 【相关命令】 ip access-group
【命令】clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】 任何时候都不清除统计信息。
【命令模式】 特权用户模式
【使用指南】 使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】 例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters 【相关命令】 access-list
【命令】firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。disable 表示禁止防火墙。
【缺省情况】系统缺省为禁止防火墙。
【命令模式】全局配置模式
【使用指南】使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】启用防火墙。Quidway(config)#firewall enable
【相关命令】 access-list,ip access-group
【命令】firewall default { permit | deny }
【参数说明】permit 表示缺省过滤属性设置为“允许”。deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】全局配置模式
【使用指南】当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】listnumber 为规则序号,是1~199之间的一个数值。in 表示规则用于过滤从接口收上来的报文。out 表示规则用于过滤从接口转发的报文。
【缺省情况】没有规则应用于接口。
【命令模式】 接口配置模式。
【使用指南】使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】 将规则101应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相关命令】 access-list
六、settr 设定或取消特殊时间段。
【命令】settr begin-time end-time no settr
【参数说明】 begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】 全局配置模式
【使用指南】 使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
【举例】 例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00 例2: 设置时间段为晚上9点到早上8点。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相关命令】 timerange,show timerange
七、show access-list 显示包过滤规则及在接口上的应用。
【命令】show access-list [ all | listnumber | interface interface-name]
【参数说明】 all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】 特权用户模式
【使用指南】 使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface 关键字的show access-list命令来查看某个接口应用规则的情况。
【举例】
例1:显示当前所使用的序号为100的规则。
Quidway#show access-list 100
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)例2: 显示接口Serial0上应用规则的情况。
Quidway#show access-list interface serial 0 Serial0:
access-list filtering In-bound packets : 120 access-list filtering Out-bound packets: None 【相关命令】access-list
【命令】show firewall 显示防火墙状态。
【命令模式】特权用户模式
【使用指南】 使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】显示防火墙状态。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】 firewall
【命令】show isintr显示当前时间是否在时间段之内。【命令模式】特权用户模式
【使用指南】使用此命令来显示当前时间是否在时间段之内。
【举例】显示当前时间是否在时间段之内。
Quidway#show isintr
It is NOT in time ranges now.【相关命令】
timerange,settr
【命令】show timerange 【命令模式】特权用户模式
【使用指南】使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】显示时间段包过滤的信息。
Quidway#show timerange
TimeRange packet-filtering enable.beginning of time range: 01:0004:00
end of time range.【相关命令】timerange,settr
十一、timerange 启用或禁止时间段包过滤功能。
【命令】timerange { enable | disable }
【参数说明】enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】系统缺省为禁止时间段包过滤功能。
【命令模式】全局配置模式
【使用指南】使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerange enable 【相关命令】 settr,show timerange
计算机命令
PCA login: root ;使用root用户 password: linux ;口令是linux # shutdown-h now ;关机 # init 0 ;关机 # logout # login # ifconfig ;显示IP地址 # ifconfig eth0
交换机命令
[Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名
[Quidway]interface ethernet 0/1 进入接口视图 [Quidway]interface vlan x 进入接口视图 [Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由=网关
[Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]set authentication-mode password simple 222 [S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口双工工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet0/1]flow-control 配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX状态平接或扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置接口工作模式 [Quidway-Ethernet0/1]shutdown 关闭/重起接口 [Quidway-Ethernet0/2]quit 退出系统视图
[Quidway]vlan 3 创建/删除一个VLAN/进入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在当前VLAN增加/删除以太网接口 [Quidway-Ethernet0/2]port access vlan 3 将当前接口加入到指定VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID
[Quidway]monitor-port 华为路由器防火墙配置命令总结(上) 2006-01-09 14:21:29 标签:命令 配置 防火墙 华为 休闲 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。 listnumber 为删除的规则序号,是1~199之间的一个数值。 subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。 【缺省情况】 系统缺省不配置任何访问规则。 【命令模式】 全局配置模式 【使用指南】 同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。 使用协议域为IP的扩展访问列表来表示所有的IP协议。 同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。 【举例】 允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。 Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 【相关命令】 ip access-group 二、clear access-list counters 清除访问列表规则的统计信息。 clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。 【缺省情况】 任何时候都不清除统计信息。 【命令模式】 特权用户模式 【使用指南】 使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。 【举例】 例1:清除当前所使用的序号为100的规则的统计信息。 Quidway#clear access-list counters 100 例2:清除当前所使用的所有规则的统计信息。 Quidway#clear access-list counters 【相关命令】 access-list 三、firewall 启用或禁止防火墙。 firewall { enable | disable } 【参数说明】 enable 表示启用防火墙。 disable 表示禁止防火墙。 【缺省情况】 系统缺省为禁止防火墙。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。 【举例】 启用防火墙。 Quidway(config)#firewall enable 【相关命令】 access-list,ip access-group 四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。 firewall default { permit | deny } 【参数说明】 permit 表示缺省过滤属性设置为“允许”。 deny 表示缺省过滤属性设置为“禁止”。 【缺省情况】 在防火墙开启的情况下,报文被缺省允许通过。 【命令模式】 全局配置模式 【使用指南】 当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。 【举例】 设置缺省过滤属性为“允许”。 Quidway(config)#firewall default permit 五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。 ip access-group listnumber { in | out } [ no ] ip access-group listnumber { in | out } 【参数说明】 listnumber 为规则序号,是1~199之间的一个数值。 in 表示规则用于过滤从接口收上来的报文。 out 表示规则用于过滤从接口转发的报文。 【缺省情况】 没有规则应用于接口。 【命令模式】 接口配置模式。 【使用指南】 使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。 【举例】 将规则101应用于过滤从以太网口收上来的报文。 Quidway(config-if-Ethernet0)#ip access-group 101 in 【相关命令】 access-list 华为路由器防火墙配置命令总结(下) 2006-01-09 14:21:59 标签:命令 配置 防火墙 华为 休闲 六、settr 设定或取消特殊时间段。 settr begin-time end-time no settr 【参数说明】 begin-time 为一个时间段的开始时间。 end-time 为一个时间段的结束时间,应该大于开始时间。 【缺省情况】 系统缺省没有设置时间段,即认为全部为普通时间段。 【命令模式】 全局配置模式 【使用指南】 使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。 【举例】 例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。 Quidway(config)#settr 8:30 12:00 14:00 17:00 例2: 设置时间段为晚上9点到早上8点。 Quidway(config)#settr 21:00 23:59 0:00 8:0 【相关命令】 timerange,show timerange 七、show access-list 显示包过滤规则及在接口上的应用。 show access-list [ all | listnumber | interface interface-name] 【参数说明】 all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。 listnumber 为显示当前所使用的规则中序号为listnumber的规则。 interface 表示要显示在指定接口上应用的规则序号。 interface-name 为接口的名称。 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。 【举例】 例1:显示当前所使用的序号为100的规则。 Quidway#show access-list 100 Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1) permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2) deny udp any any eq rip(no matches--rule 3) 例2: 显示接口Serial0上应用规则的情况。 Quidway#show access-list interface serial 0 Serial0: access-list filtering In-bound packets : 120 access-list filtering Out-bound packets: None 【相关命令】 access-list 八、show firewall 显示防火墙状态。 show firewall 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。 【举例】 显示防火墙状态。 Quidway#show firewall Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None; OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】 firewall 九、show isintr 显示当前时间是否在时间段之内。 show isintr 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示当前时间是否在时间段之内。 【举例】 显示当前时间是否在时间段之内。 Quidway#show isintr It is NOT in time ranges now.【相关命令】 timerange,settr 十、show timerange 显示时间段包过滤的信息。 show timerange 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。 【举例】 显示时间段包过滤的信息。 Quidway#show timerange TimeRange packet-filtering enable.beginning of time range: 01:0004:00 end of time range.【相关命令】 timerange,settr 十一、timerange 启用或禁止时间段包过滤功能。 timerange { enable | disable } 【参数说明】 enable 表示启用时间段包过滤。 disable 表示禁止采用时间段包过滤。 【缺省情况】 系统缺省为禁止时间段包过滤功能。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。 【举例】 启用时间段包过滤功能。 Quidway(config)#timerange enable 【相关命令】 settr,show timerange 华为路由器防火墙配置命令 2013-3-30 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。permit 表明允许满足条件的报文通过。deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。dest-addr 为目的地址。 华为路由器防火墙配置命令 2013-3-30 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。listnumber 为删除的规则序号,是1~199之间的一个数值。 subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。 【缺省情况】 系统缺省不配置任何访问规则。 【命令模式】 全局配置模式 【使用指南】 华为路由器防火墙配置命令 2013-3-30 同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。 使用协议域为IP的扩展访问列表来表示所有的IP协议。 同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。 【举例】 允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 二、clear access-list counters 清除访问列表规则的统计信息。clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。 【缺省情况】 任何时候都不清除统计信息。 【命令模式】 特权用户模式 【使用指南】 使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。 【举例】 华为路由器防火墙配置命令 2013-3-30 例1:清除当前所使用的序号为100的规则的统计信息。Quidway#clear access-list counters 100 例2:清除当前所使用的所有规则的统计信息。Quidway#clear access-list counters 三、firewall 启用或禁止防火墙。firewall { enable | disable } 【参数说明】 enable 表示启用防火墙。disable 表示禁止防火墙。 【缺省情况】 系统缺省为禁止防火墙。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。 【举例】 启用防火墙。 Quidway(config)#firewall enable 华为路由器防火墙配置命令 2013-3-30 四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。firewall default { permit | deny } 【参数说明】 permit 表示缺省过滤属性设置为“允许”。deny 表示缺省过滤属性设置为“禁止”。 【缺省情况】 在防火墙开启的情况下,报文被缺省允许通过。 【命令模式】 全局配置模式 【使用指南】 当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。 【举例】 设置缺省过滤属性为“允许”。 Quidway(config)#firewall default permit 五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。ip access-group listnumber { in | out } [ no ] ip access-group listnumber { in | out } 【参数说明】 listnumber 为规则序号,是1~199之间的一个数值。 华为路由器防火墙配置命令 2013-3-30 in 表示规则用于过滤从接口收上来的报文。out 表示规则用于过滤从接口转发的报文。 【缺省情况】 没有规则应用于接口。 【命令模式】 接口配置模式。【使用指南】 使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。 【举例】 将规则101应用于过滤从以太网口收上来的报文。Quidway(config-if-Ethernet0)#ip access-group 101 in 六、settr 设定或取消特殊时间段。settr begin-time end-time no settr 【参数说明】 begin-time 为一个时间段的开始时间。 华为路由器防火墙配置命令 2013-3-30 end-time 为一个时间段的结束时间,应该大于开始时间。 【缺省情况】 系统缺省没有设置时间段,即认为全部为普通时间段。 【命令模式】 全局配置模式 【使用指南】 使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。 【举例】 例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。Quidway(config)#settr 8:30 12:00 14:00 17:00 例2: 设置时间段为晚上9点到早上8点。Quidway(config)#settr 21:00 23:59 0:00 8:0 七、show access-list 显示包过滤规则及在接口上的应用。 show access-list [ all | listnumber | interface interface-name] 【参数说明】 all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。 华为路由器防火墙配置命令 2013-3-30 listnumber 为显示当前所使用的规则中序号为listnumber的规则。interface 表示要显示在指定接口上应用的规则序号。interface-name 为接口的名称。 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。【举例】 例1:显示当前所使用的序号为100的规则。Quidway#show access-list 100 Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)100 permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)100 deny udp any any eq rip(no matches--rule 3)例2: 显示接口Serial0上应用规则的情况。Quidway#show access-list interface serial 0 Serial0: access-list filtering In-bound packets : 120 华为路由器防火墙配置命令 2013-3-30 access-list filtering Out-bound packets: None 八、show firewall 显示防火墙状态。show firewall 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。 【举例】 显示防火墙状态。Quidway#show firewall Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;OutBound packets: 0 packets, 0 bytes, 0% permitted, 0 packets, 0 bytes, 0% denied, 2 packets, 104 bytes, 100% permitted defaultly, 0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.九、show isintr 显示当前时间是否在时间段之内。 华为路由器防火墙配置命令 2013-3-30 show isintr 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示当前时间是否在时间段之内。 【举例】 显示当前时间是否在时间段之内。Quidway#show isintr It is NOT in time ranges now.十、show timerange 显示时间段包过滤的信息。show timerange 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。 【举例】 显示时间段包过滤的信息。Quidway#show timerange TimeRange packet-filtering enable.华为路由器防火墙配置命令 2013-3-30 beginning of time range: 01:0004:00 end of time range.十一、timerange 启用或禁止时间段包过滤功能。timerange { enable | disable } 【参数说明】 enable 表示启用时间段包过滤。disable 表示禁止采用时间段包过滤。【缺省情况】 系统缺省为禁止时间段包过滤功能。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。 【举例】 启用时间段包过滤功能。 Quidway(config)#timerange enable 华为路由器防火墙配置命令 2013-3-30 1、路由器模式的转换: 用户模式: router> 权限低,只能查看,输入“enable ”命令进入到特权模式 特权模式: router# 权限高,输入 “configure terminal” 命令进入到全局模式 全局模式(通配模式):router(config)# 具体配置模式:router(config-if)# 2、查看的命令: show ****** router# show interface查看端口 router# show interface Ethernet 0查看具体端口 3、在路由器里有两种配置文件: 1)running-config:当前运行的配置文件 2)startup-config:启动配置文件 查看配置文件:show running-config show startup-config copy running-config startup-config 4、改路由器的名字:在 全局模式下 router(config)# hostname 路由器的名字 5、设置路由器的登陆消息:在全局模式下 router(config)# banner motd # 回车 在此输入消息的内容 # 6、命令: Router(config)# ip address 例如:配置以太网口 //以Router1为例 命令: R1# config t R1(config)#interface Ethernet 0 R1(config-if)# ip address 192.168.1.1 255.255.255.0 //配置以太网口 R1(config-if)# no shutdown // 启用该以太网口 7、CDP协议: 1)R1#show cdp interface //查看cdp接口 2)R1#show cdp neighbors(details)//查看cdp邻居 3)R1(config)#cdp run //激活cdp 4)R1(config)#no cdp run //禁用cdp 5)R1(config)#int e0 //进入到接口 6)R1(config-if)#cdp enable //激活 e0 的 cdp 7)R1(config-if)#no cdp enable //禁用 e0 的cdp 8、TFTP服务器的配置 配置路由器: R1#config t R1(config)#int e0 //配置路由器的接口地址 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#no shutdown R1#ping 192.168.0.1 配置PC: IP地址:192.168.0.2 网关:192.168.0.1 测试:ping 192.168.0.1 继续配置路由器: R1#copy running-config startup-config R1#copy startup-config tftp R1#erase startup-config R1# copy tftp startup-config R1#show startup-config 9、路由器口令的设置: 1)控制台口令: R1#config terminal R1(config)#line con 0 R1(config-line)#login R1(config-line)#password 密码 2)enable 口令 R1#config terminal R1(config)#enable password 密码 3)远程登陆口令 R1#config terminal R1(config)#line vty 0 4 R1(config-line)#login R1(config-line)#password 密码 10、远程登陆:从一台计算机登陆到远端的另一台计算机,使用另一台计算机就像使用自己的计算机一样。 命令:telnet 11、注:配置路由器的串口要区分是DCE口还是 DTE口。例如观察s0哪种接口,可以在特权模式下输入命令:show controller s0 12、时钟频率的配置: R1(config)#int s0 //进入到DCE端 R1(config-if)#clock rate 56000 //配置时钟频率,启动了串行线上的串行协议 13、查看路由器的路由表 R1#show ip route //查看路由表 14、静态路由的配置 在全局模式下: ip route network mask < next-hop address> 命令 目标网络 子网掩码 下一跳 对R1来说: Router1(config)# ip route 192.168.4.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.5.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.3.0 255.255.255.0 192.168.2.1 对R2来说: Router2(config)# ip route 192.168.5.0 255.255.255.0 192.168.4.2 Router2(config)# ip route 192.168.1.0 255.255.255.0 192.168.2.2 对R3来说: Router3(config)# ip route 192.168.1.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.2.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.3.0 255.255.255.0 192.168.4.1 Router3(config)#ip host 路由器的名字 路由器的IP地址(e0) 15、动态路由的配置*(RIP)r1(config)#router rip r1(config-router)#network 邻居的网络号 16、动态路由的配置*(IGRP)r1(config)#router igrp AS号 r1(config-router)#network 邻居的网络号 17、查看路由协议和路由表 router#show ip protocol //查看路由协议 router#show ip route //查看路由表 18、VLAN的配置 1、在1900上的配置 Switch_A#show vlan-membership //查看VLAN信息 在交换机中默认存在一个VLAN 号码为1,叫VLAN 1,不能删除,并且所有的端口都默认在这个VLAN中。Switch_A#show vlan 号码 产生VLAN的命令 Switch_A#config terminal //进入到全局模式 Switch_A(config)#vlan 号码 name 名字 把端口分配VLAN: Switch_A(config)#interface 某端口 Switch_A(config-if)#vlan-membership static 号码 Switch_A(config)#interface fa0/26 Switch_A(config-if)#trunk on //默认使用ISL封装写 2、在2900上的配置 Switch_A#vlan database Switch_A(vlan)#vlan 号码 name 名字 Switch_A(config)#interface某端口 Switch_A(config-if)#switchport mode access Switch_A(config-if)# switchport access vlan 号码 配置TRUNK Switch_A(config)#interface fastethernet Switch_A(config-if)# switchport mode trunk Switch_A(config-if)# switchport trunk encapsulation dot1q 3、ROUTER上的配置 Router(config)#int fa0/0 Router(config-if)#no shut Router(config-if)#int fa0/0.1 Router(config-subif)#ip add 192.168.1.1 255.255.255.0 Router(config-subif)#encapsulation isl 10 Router(config-if)#int fa0/0.2 Router(config-subif)#ip add 192.168.2.1 255.255.255.0 Router(config-subif)#encapsulation isl 20 交换机和路由器配置过程总结 作为网络中重要的硬件设备,随着网络融入我们的日常生活,交换机和路由器也逐渐被人们所熟悉。关于交换机、路由器的配置,计算机和网络专业的学生理应能够操作熟练。通过这次网络工程师培训,借助Packet Tracer 5.0仿真软件学习网络配置、拓扑图设计等,我对交换机、路由器配置有了深刻的了解,现将配置过程小结如下。 第一部分 交换机配置 一、概述 一层、二层交换机工作在数据链路层,三层交换机工作在网络层,最常见的是以太网交换机。交换机一般具有用户模式、配置模式、特权模式、全局配置模式等模式。 二、基本配置命令(CISCO)Switch >enable 进入特权模式 Switch #config terminal 进入全局配置模式 Switch(config)#hostname 设置交换机的主机名 Switch(config)#enable password 进入特权模式的密码(明文形式保存)Switch(config)#enable secret 加密密码(加密形式保存)(优先)Switch(config)#ip default-gateway 配置交换机网关 Switch(config)#show mac-address-table 查看MAC地址 Switch(config)logging synchronous 阻止控制台信息覆盖命令行上的输入 Switch(config)no ip domain-lookup 关闭DNS查找功能 Switch(config)exec-timeout 0 0 阻止会话退出 使用Telnet远程式管理 Switch(config)#line vty 0 4 进入虚拟终端 Switch(config-line)# password 设置登录口令 Switch(config-line)# login 要求口令验证 控制台口令 switch(config)#line console 0 进入控制台口 switch(config-line)# password xx switch(config-line)# 设置登录口令login 允许登录 恢复出厂配置 Switch(config)#erase startup-config Switch(config)delete vlan.dat Vlan基本配置 Switch#vlan database 进去vlan配置模式 Switch(vlan)#vlan 号码 name 名称 创建vlan及vlan名 Switch(vlan)#vlan号码 mtu数值 修改MTU大小 Switch(vlan)#exit 更新vlan数据并推出 Switch#show vlan 查看验证 Switch#copy running-config startup-config 保存配置 VLAN 中添加 删除端口 Switch#config terminal 进入全局配置 Switch(config)#interface fastethernet0/1 进入要分配的端口 Switch(config-if)#Switchport mode access 定义二层端口 Switch(config-if)#Switchport acces vlan 号 把端口分给一个vlan Switch(config-if)#switchport mode trunk 设置为干线 Switch(config-if)#switchport trunk encapsulation dot1q 设置vlan 中继协议 Switch(config-if)#no switchport mode 或(switchport mode access)禁用干线 Switch(config-if)#switchport trunk allowed vlan add 1,2 从Trunk中添加vlans Switch(config-if)#switchport trunk allowed vlan remove 1,2 从Trunk中删除vlan Switch(config-if)#switchport trunk pruning vlan remove 1,2 ;从Trunk中关闭局部修剪 查看vlan信息 Switch#show vlan brief 所有vlan信息 查看vlan信息 Switch#show vlan id 某个vlan信息 注:Switch#show int trunk 查看trunk协议 注:可以使用default interface interface-id 还原接口到默认配置状态 Trunk 开启(no)——将端口设置为永久中继模式 关闭(off)——将端口设置为永久非中继模式,并且将链路转变为非中继链路 企望(desirable)——让端口主动试图将链路转换成中继链路 自动(auto)——使该端口愿意将链路变成中继链路 交换机显示命令: switch#show vtp status 查看vtp配置信息 switch#show running-config 查看当前配置信息 switch#show vlan 查看vlan配置信息 switch#show interface 查看端口信息 switch#show int f0/0 查看指定端口信息 switch#dir flash: 查看闪存 switch#show version 查看当前版本信息 switch#show cdp cisco设备发现协议(可以查看聆接设备)switch#show cdp traffic 杳看接收和发送的cdp包统计信息 switch#show cdp neighbors 查看与该设备相邻的cisco设备 switch#show interface f0/1 switchport 查看有关switchport的配置 switch#show cdp neighbors 查看与该设备相邻的cisco设备 三、模拟配置(一个实例) 图一:PC机IP地址、子网掩码、默认网关配置截图 图二:模拟网络拓扑结构图 图三:全局模式下对交换机进行配置 图四:查看VLAN当前配置信息 第二部分 路由器配置 一、环境搭建(借鉴网上的材料,通过自己配置也实现了同样的功能) 添加一个模块化的路由器,单击Packet Tracer 5.0的工作区中刚添加的路由器,在弹出的配置窗口上添加一些模块: 图五 默认情况下,路由器的电源是打开的,添加模块时需要关闭路由器的电源,单击图一箭头所指的电源开关,将其关闭,路由器的电源关闭后绿色的电源指示灯也将变暗。 图六 添加所需要的模块 在“MODULES”下寻找所需要的模块,选中某个模块时会在下方显示该模块的信息。然后拖到路由器的空插槽上即可。 图八 添加一计算机,其RS-232与路由器的Console端口相连 图九 用计算机的终端连接路由器 图十 实验环境搭建完成 二、配置单个路由器 路由器的几种模式:User mode(用户模式)、Privileged mode(特权模式)、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode(路由配置模式)。每种模式对应不同的提示符。 图十一 几种配置命令提示符和配置路由器的名字 图十二 通过Console端口登录到路由器需要输入密码 图十三 显示信息的命令 通过模拟交换机和路由器的配置,进一步理解了它们的工作原理,对网络拓扑架构有了清晰的认识,为以后的网络知识学习打下了基础。谢谢彭老师!第二篇:华为路由器防火墙配置命令总结
第三篇:华为路由器防火墙配置命令总结
第四篇:教学—路由器基本配置命令
第五篇:交换机路由器配置总结