第一篇:华为基础命令总结
华为基础命令总结
目 录
1.镜像口配置................................................................................................................2 2.设备改名字................................................................................................................2 3.配置保存....................................................................................................................2 4查看路由表................................................................................................................2 5.telnet密码、特权密码..............................................................................................2 6.用户远程登录 从用户模式变成特权模式..............................................................2 7.交换接口配置(vlan、access、trunk)...................................................................3 8.接口物理配置............................................................................................................3 9.DHCP分配..................................................................................................................3 10.VRRP配置.................................................................................................................4 11.静态路由..................................................................................................................4 12.RIP协议....................................................................................................................4 13.OSPF协议.................................................................................................................5
1.单区域................................................................................................................5 2.多区域................................................................................................................5 3.STUB....................................................................................................................5 4.完全STB..............................................................................................................5 5.点到点................................................................................................................5 6.改COST值..........................................................................................................6 7.查看配置信息....................................................................................................6 14.端口聚合..................................................................................................................6
1.二层端口聚合(华为又名 E-trunk)..................................................................6 2.三层端口聚合....................................................................................................7 15.MSTP.........................................................................................................................8
1.配置....................................................................................................................8 2.查看配置信息..................................................................................................10 16.ACL..........................................................................................................................10 1.标准列表........................................................................................................11 2.扩展列表..........................................................................................................11 3.时间的配置(例子)..........................................................................................11 4.查看配置信息..................................................................................................12
1.镜像口配置
[Quidway]monitor-port
指定镜像端口 [Quidway]port mirror
指定被镜像端口 [Quidway]port mirror int_list observing-port int_type int_num 指定镜像和被镜像
2.设备改名字
[SW2]sysname SW2
3.配置保存
4查看路由表
5.telnet密码、特权密码
[Quidway]super password
修改特权用户密码 [Huawei]user-interface vty 0 3 [Huawei-ui-vty0-3]authentication-mode password
//设置口令模式 [Huawei-ui-vty0-3]set authentication password cipher 123 [Huawei-ui-vty0-3]user privilege level 3
用户级别
6.用户远程登录 从用户模式变成特权模式
此命令在被telnet的路由器上配置,这里和思科的命令不同,要想在 LSW1 配置密码 只能配置 CON 密码!
[Huawei]super password level 7 cipher 123
例子LSW2 远程登录到 LSW1
7.交换接口配置(vlan、access、trunk)
[SW1vlan 3
[SW1-vlan3]port ethernet 0/1 to ethernet 0/4
//在VLAN中增加端口 [SW1]int g0/0/1 [SW1-GigabitEthernet0/0/1]port link-type access [SW1-GigabitEthernet0/0/1]port default vlan 10 [SW1]int e0/0/1 [SW1-Ethernet0/0/1]port link-type trunk [SW1-Ethernet0/0/1]port trunk allow-pass vlan {ID|All}
[SW1-Ethernet0/0/1]port trunk pvid vlan 3
//设置trunk端口的PVID
8.接口物理配置
[Quidway-Ethernet0/1]duplex {half|full|auto}
//配置端口工作状态 [Quidway-Ethernet0/1]speed {10|100|auto}
//配置端口工作速率 [Quidway-Ethernet0/1]flow-control
//配置端口流控 [Quidway-Ethernet0/1]mdi {across|auto|normal}
//配置端口平接扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid}
//设置端口工作模式 [Quidway-Ethernet0/1]undo shutdown
//激活端口
9.DHCP分配
[SW2]dhcp enable [SW2]ip pool 1 [SW2-ip-pool-1]network 192.168.1.0 255.255.255.0 [SW2-ip-pool-1]dns-list 192.168.1.1 [SW2-ip-pool-1]gateway-list 192.168.1.1 [SW2-ip-pool-1]excluded-ip-address 192.168.1.1 255.255.255.0
查看配置命令
[Quidway] display ip pool
查看IP地址池配置情况
10.VRRP配置
[SW2]int vl 10 [SW2-Vlanif10]ip add 192.168.1.253 255.255.255.0 [SW2-Vlanif10]vrrp vrid 10 192.168.1.254 [SW2-Vlanif10]vrrp vrid 10 priority 120 [SW2-Vlanif10]vrrp vrid 10 track interface g0/0/3 reduced 30
查看配置命令
命令可以看到SwitchA的状态是Master 11.静态路由
[SW1]ip route-static 20.1.1.0 255.255.255.0 10.1.1.2
12.RIP协议
[SW1]rip [SW1-rip-1]version 2 [SW1-rip-1]undo summary [SW1-rip-1]net 10.0.0.0 删掉 rip 协议 [SW1]undo rip 1 Warning: The RIP process will be deleted.Continue?[Y/N]y 注意:1.绿色数字是几 就删掉几
比如[SW1-rip-2] 就 [SW1]undo rip 2
2.比如10.1.1.1/24 要是通告网络的话 cisco可以10.1.1.0 华为必须的 10.0.0.0 查看配置信息
[SwitchA] display rip 1 route
查看SwitchA的RIP路由表。13.OSPF协议
1.单区域
[SW1]ospf [SW1-ospf-1]area 0 [SW1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 [SW3]router id 1.1.1.1
2.多区域
[SW1-1]ospf [SW1-1-ospf-1]area 1 [SW1-1-ospf-1-area-0.0.0.1]network 30.1.1.0 0.0.0.255
3.STUB [SW1-1-ospf-1-area-0.0.0.1]stub
4.完全STB [SW1-1-ospf-1-area-0.0.0.1]stub no-summary
NSSA区域和STUB区域配置一样
5.点到点
[SW2]int vl 30 [SW2-Vlanif30]ospf network-type p2p
查看接口什么模式(紫色部分看出已经变成点到点模式)[SW3]display ospf interface Vlanif 40
OSPF Process 1 with Router ID 20.1.1.1
Interfaces
Interface: 20.1.1.1(Vlanif40)--> 20.1.1.2 Cost: 1
State: P-2-P
Type: P2P
MTU: 1500
Timers: Hello 10 , Dead 40 , Poll 120 , Retransmit 5 , Transmit Delay 1
6.改COST值
[SW3]int vl 40 [SW3-Vlanif40]ospf cost 10
查看cost值(紫色部分已经看出cost值改成10了 默认是1)[SW3]display ospf interface Vlanif 40
OSPF Process 1 with Router ID 20.1.1.1
Interfaces
Interface: 20.1.1.1(Vlanif40)--> 20.1.1.2 Cost: 10
State: P-2-P
Type: P2P
MTU: 1500
Timers: Hello 10 , Dead 40 , Poll 120 , Retransmit 5 , Transmit Delay 1 7.查看配置信息
[SwitchA] display ospf peer
查看SwitchA的OSPF邻居 [SwitchA] display ospf routing
显示SwitchA的OSPF路由信息。[SwitchA] display ospf lsdb
查看SwitchA的LSDB。
14.端口聚合
1.二层端口聚合(华为又名 E-trunk)
[SW1]interface Eth-Trunk 1 [SW1]int g0/0/1 [SW1-GigabitEthernet0/0/1]eth-trunk 1 [SW1-GigabitEthernet0/0/1]int g0/0/2 [SW1-GigabitEthernet0/0/2]eth-trunk 1 [SW1]int Eth-Trunk 1 [SW1-Eth-Trunk1]port link-type trunk [SW1-Eth-Trunk1]port trunk allow-pass vlan all
检查Eth-Trunk 1是否创建成功,及成员接口是否正确加入
[SW1]display trunkmembership eth-trunk 1 Trunk ID: 1
Used status: VALID TYPE: ethernet
Working Mode : Normal Number Of Ports in Trunk = 2 Number Of Up Ports in Trunk = 2 Operate status: up
Interface GigabitEthernet0/0/1, valid, operate up, weight=1 Interface GigabitEthernet0/0/2, valid, operate up, weight=1
显示Eth-Trunk 1的配置信息(查看时 打dis eth-trunk1 不能打 dis e-trunk 1 因为e-trunk 和 eth-trunk不一样)
Hash arithmetic: According to SIP-XOR-DIP
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up
Number Of Up Port In Trunk: 2
------------------PortName
Status
Weight GigabitEthernet0/0/1
Up
GigabitEthernet0/0/2
Up
2.三层端口聚合
[Huawei]vlan 100 [Huawei]int vl 100 [Huawei-Vlanif100]ip add 10.1.1.1 255.255.255.0 [Huawei]interface Eth-Trunk 1 [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]eth-trunk 1 [Huawei]int g0/0/2 [Huawei-GigabitEthernet0/0/2]eth-trunk 1 [Huawei]interface Eth-Trunk 1 [Huawei-Eth-Trunk1]port link-type access [Huawei-Eth-Trunk1]port default vlan 100 15.MSTP 拓扑图
注:stp enable 最后配置
1.配置
LSW1
激活配置域 [LSW1]stp pathcost-standard legacy
端口开销的计算方法华为私有计算方法 [LSW1]stp bpdu-protection
启动BPDU保护 [LSW1-GigabitEthernet0/0/3]stp edged-port enable
边缘端口配置 [LSW1-GigabitEthernet0/0/3]port hybrid pvid vlan 10
边缘端口配置 [LSW1-GigabitEthernet0/0/3]port hybrid untagged vlan 10
边缘端口配置 [LSW1]int g0/0/4 [LSW1-GigabitEthernet0/0/4]stp edged-port enable [LSW1-GigabitEthernet0/0/4]port hybrid pvid vlan 20 [LSW1-GigabitEthernet0/0/4]port hybrid untagged vlan 20 [LSW1]stp enable LSW2
启动根保护 [LSW2]int g0/0/2 [LSW2-GigabitEthernet0/0/2]port link-type trunk [LSW2-GigabitEthernet0/0/2]port trunk allow-pass vlan all [LSW2-GigabitEthernet0/0/2]stp root-protection [LSW2]stp region-configuration [LSW2-mst-region]region-name RG1 [LSW2-mst-region]instance 1 vlan 10 [LSW2-mst-region]instance 2 vlan 20 [LSW2-mst-region]active region-configuration [LSW2]stp instance 0 priority 4096 [LSW2]stp instance 1 priority 4096 [LSW2]stp instance 2 priority 8192 [LSW2]stp enable LSW3
查看端口状态和端口的保护类型
16.ACL 注:标准访问列表是 2000-2999
扩展访问列表是
3000-3999
LSW1 不能访问 LSW2 1.标准列表
[SW1]acl 2000
定义ACL规则 [SW1-acl-basic-2000]rule deny source 10.1.1.0 0.0.0.255 [SW1]traffic classifier 1
配置流分类,定义基于ACL的匹配规则 [SW1-classifier-1]if-match acl 2000 [SW1]traffic behavior 2
定义流行为 [SW1-behavior-2]deny [SW1]traffic policy 3
定义流策略,将流分类与流行为关联 [SW1-trafficpolicy-3]classifier 1 behavior 2
[SW1]int g0/0/1 [SW1-GigabitEthernet0/0/1]traffic-policy 3 outbound 应用流策略到GE0/0/1接口
2.扩展列表
[SW1]acl 3000 [SW1-acl-adv-3000]rule deny ip source 10.1.1.0 0.0.0.255 destination 20.1.1.0 0.0.0.255 [SW1]traffic classifier 1 [SW1-classifier-1]if-match acl 3000 [SW1]traffic behavior 2 [SW1-behavior-2]deny [SW1]traffic policy 3 [SW1-trafficpolicy-3]classifier 1 behavior 2 [SW1]int g0/0/1 [SW1-GigabitEthernet0/0/1]traffic-policy 3 outbound
3.时间的配置(例子)
调用在列表里 [Quidway-acl-adv-3003] quit 4.查看配置信息
查看ACL规则的配置信息
查看流分类的配置信息
查看流策略的配置信息。
第二篇:华为交换机基础命令总结V1.3
华为交换机基础命令总结V1.3
目录
【01基础常识篇】--1
一、华为3COM IOS与CISCO IOS的区别--------------------------1
二、命令行提供的视图---------------------2 【02常用基础命令】------------------------------3 【03华为路由器DISPLAY命令大全】--------5 【04设置交换机的密码】------------------------5 【05设置远程登录交换机】--------------------5 【06 VLAN基本配置命令(以Quidway S3026为例)】-------------------8
【01基础常识篇】
#
一、华为3COM IOS与CISCO IOS的区别
以前华为公司的产品配置指令和CISCO公司的一样,但由于版权与官司的问题,华为3COM公司于2002年到2003年期间进行了IOS的升级工作,升级后的IOS与CISCO公司有很大区别。主要表现在以下三个方面。
1、全新IOS支持中文界面:
在新版IOS中用户可以选择英文或中文界面,这样对于那些英文水平不高或不习惯看英文的用户来说可以切换到中文界面,各项命令的注解一目了然。对中文的支持显示了华为3COM公司本土化作战的目标。
2、安全级别的提高:
我们先来回顾一下CISCO公司的安全级别,CISCO路由器通过模式分配权限,cisco IOS软件将EXEC会话分为用户(USER)模式和特权(privileged)模式,另外很多配置命令还需要进入到配置模式下进行。通过ENABLE进入特权模式,通过configure terminal进入配置模式。
华为3COM公司的IOS安全级别是基于用户的而不是基于模式的。也就是说我们可以为一台路由器配置很多个用户,不同的用户分配不同的权限,要想进入路由器必须输入正确的用户名和密码才可以。这一点有点类似于WINDOWS操作系统,当登录系统后要想进入桌面必须输入正确的用户名和密码。对用户进行权限划分比划分模式更安全,更方便管理。
3、配置命令的全面变化: 由于涉及到版权的问题,华为公司在此次升级IOS后对所有的配置命令也进行了很大程度的变动。可以说现在的指令和以前的指令有天壤之别,与CISCO公司的配置命令而是相去甚远,经常配置CISCO路由器的用户初次接触华为3COM路由器会很不适应。新旧命令变化如图所示:
思科----华为常用的命令
4.华为3COM的VRP版本与CISCO的IOS
CISCO设备中是通过升级IOS版本来解决某些问题,而在华为3COM设备中取消了IOS版本这个定义,取而代之的是VRP版本。其实和IOS版本是一样的,只是叫法不同而已。
二、命令行提供的视图
1.用户视图 2.系统视图 3.用户界面视图 4.VLAN视图
5.以太网端口视图
【用户视图】 查看交换机的简单运行状态和统计信息
【系统视图】
查看交换机的全部运行状态和统计信息,进行文件管理和系统管理 配置系统参数 [Quidway] 在用户视图下键入system-view quit返回用户视图 return返回用户视图
【以太网端口视图】 配置以太网端口参数 [Quidway-Ethernet0/1] 固定以太网端口视图:在系统视图下键入interface ethernet0/1
[Quidway-Ethernet1/1] 扩展百兆以太网端口视图:在系统视图下键入interface ethernet 1/1
【VLAN视图】 配置VLAN参数 [Quidway-vlan1] 在系统视图下键入vlan 1
【用户界面视图】 配置用户界面参数 [Sysname-ui-vty0] 在系统视图下键入user-interface vty 0
【02常用基础命令】
# [Quidway]sysname huawei
//命名交换机(或路由器)
[Quidway]super password yucedu //修改特权模式口令 【举例:】
[Quidway]interface ethernet 0/1
//进入接口视图 [Quidway-Ethernet0/1]shutdown
//关闭端口 [Quidway-Ethernet0/1]undo shutdown //重启端口
[Quidway]quit
//退出系统视图(一层一层退出)[Quidway]return
//直接退到用户视图
[Quidway]undo ……
//删除命令
//切换语言模式
chinese Chinese environment
english English environment
配置本地telnet用户,用户名为”lyt”,密码为”123456”,权限为最高级别3(缺省为级别1)[huawei]local-user lyt [huawei-luser-lyt]password simple 123456 [huawei-luser-lyt]service-type telnet level 3
查看IOS的命令如下:
下次启动使用的app文件: flash:/S2403H-0019-140.bin
删除saved-config文件的命令如下:
acl
清除ACL信息
arp
ARP模块
counters
接口统计信息
dot1x
指定802.1x配置信息
garp
通用属性注册协议
igmp-snooping
清除IGMP侦听统计信息
ip
IP模块
local-server
本地服务器信息
logbuffer
清除日志缓冲区
ndp
邻居发现协议
radius
指定RADIUS配置信息
recycle-bin
清除回收站文件
saved-configuration
保存的配置
stop-accounting-buffer
查询备份在本地的无响应的停止计费报文
stp
生成树协议
trapbuffer
清除告警缓冲区
交换机的 flash memory 中的配置将被擦除.你确信吗?[Y/N]n 【03华为路由器DISPLAY命令大全】
# display current-configuration
//显示当前配置信息
display saved-configuration
//显示启动时的配置文件
display interfaces
//显示接口状态及配置信息
display local-user
//显示路由器当前所有的用户信息
display version
//显示系统的软件硬件状态信息,及当前的IOS版本信息
display clock
//显示系统时钟当前时间设置
display sysname
//显示系统名称,主机名
display history-command
//显示键入过的命令历史列表。
display arp
//显示路由器的ARP地址映射对应表
display boot-loader
//显示系统IOS文件
【04设置交换机的密码】
[huawei]super password ?
cipher Display password with cipher text
level
Specify the entering password of the specified priority
simple Display password with plain text
[huawei]super password le [huawei]super password level ?
INTEGER<1-3> Priority level
[huawei]super password level 3 ?
cipher Display password with cipher text
simple Display password with plain text
[huawei]super password level 3 si [huawei]super password level 3 simple ?
STRING<1-16> Plain text password string
[huawei]super password level 3 simple yucedu 【05设置远程登录】
【方式1:使用设置password模式登入交换机】 [huawei]user-interface vty 0 4 [huawei-ui-vty0-4]authentication-mode ?
none
无需认证直接登录
password 利用用户终端接口的口令认证
scheme
利用RADIUS方案进行认证
[huawei-ui-vty0-4]authentication-mode password
//设置验证方式为密码验证
[huawei-ui-vty0-4]set authentication password simple yucedu
//设置登入验证的password密码为yucedu [huawei-ui-vty0-4]user privilege level 1
//配置登入用户级别(缺省为级别1)
【设置交换机管理IP地址】 [huawei]interface vlan 1
[huawei-Vlan-interface1]ip add 192.168.1.240 255.255.255.0 [huawei-Vlan-interface1]undo shutdown
【查看vlan 1接口的状态】 [huawei]display interface vlan 1 Vlan-interface1 current state : UP
Line protocol current state : UP IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc23-79ae Internet Address is 192.168.1.240/24 Primary Description : HUAWEI, Quidway Series, Vlan-interface1 Interface The Maximum Transmit Unit is 1500
【交换机上提示,用户的登入和退出】 [huawei] %Jan 4 15:20:12 2002 huawei SHELL/5/LOGIN:Slot=1;VTY login from 192.168.1.239 %Jan 4 15:20:43 2002 huawei SHELL/5/LOGOUT:Slot=1;VTY logout from 192.168.1.239
【客户端登入操作如下】
【方式2:使用本地用户名密码方式登入交换机】 [huawei]user-interface vty 0 4 [huawei-ui-vty0-4]authentication-mode ?
none
无需认证直接登录
password 利用用户终端接口的口令认证
scheme
利用RADIUS方案进行认证
[huawei-ui-vty0-4]authentication-mode scheme
注意: 必须添加Exec(Telnet)用户,否则操作员无法登录系统!
【配置本地TELNET用户】 [huawei]local-user lyt [huawei-luser-lyt]password simple 123456 [huawei-luser-lyt]service-type telnet level 3
【交换机上提示,用户的登入和退出】 [huawei] %2002/1/1 19:54:43 huawei SHELL/5/LOGIN:Slot=1;lyt 从 192.168.1.239 登录
【06 VLAN基本配置命令(以Quidway S3026为例)】
#
[Quidway]vlan 3 创建并进入VLAN配置模式,缺省时系统将所有端口加入VLAN 1,这个端口既不能被创建也不能被删除
[Quidway]undo vlan 3 删除一个VLAN
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 给VLAN增加/删除以太网接口
[Quidway-Ethernet0/2]port access vlan 3 将本接口加入到指定VLAN id
[Quidway-Ethernet0/2]port link-type {access|trunk|hybrid} 设置端口工作方式,access(缺省)不支持802.1q帧的传送,而trunk支持(用于Switch间互连),hybrid和trunk的区别在于trunk只允许缺省VLAN的报文发送时不打标签,而hybrid允许多个VLAN报文发送时不打标签。
[Quidway-Ethernet0/2]port trunk permit vlan {id|all} 设置trunk端口通过指定VLAN的数据帧,trunk端口默认仅允许通过VLAN 1的数据帧。
[Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID,如果trunk端口上收到了非802.1q帧时,Switch会给该帧加上802.1q标志,该标志字段中的VLAN ID即PVID。
第三篇:华为路由器防火墙配置命令总结
华为路由器防火墙配置命令总结(上)
2006-01-09 14:21:29 标签:命令 配置 防火墙 华为 休闲
一、access-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】
系统缺省不配置任何访问规则。
【命令模式】
全局配置模式
【使用指南】
同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】
允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相关命令】
ip access-group
二、clear access-list counters 清除访问列表规则的统计信息。
clear access-list counters [ listnumber ]
【参数说明】
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。
【命令模式】
特权用户模式
【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】
例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters
【相关命令】
access-list
三、firewall 启用或禁止防火墙。
firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
【缺省情况】
没有规则应用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】
将规则101应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相关命令】
access-list 华为路由器防火墙配置命令总结(下)
2006-01-09 14:21:59 标签:命令 配置 防火墙 华为 休闲
六、settr 设定或取消特殊时间段。
settr begin-time end-time
no settr
【参数说明】
begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】
系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】
全局配置模式
【使用指南】
使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
【举例】
例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 设置时间段为晚上9点到早上8点。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相关命令】
timerange,show timerange
七、show access-list 显示包过滤规则及在接口上的应用。
show access-list [ all | listnumber | interface interface-name]
【参数说明】
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。
【举例】
例1:显示当前所使用的序号为100的规则。
Quidway#show access-list 100
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)
例2: 显示接口Serial0上应用规则的情况。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相关命令】
access-list
八、show firewall 显示防火墙状态。
show firewall
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】
显示防火墙状态。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】
firewall
九、show isintr 显示当前时间是否在时间段之内。
show isintr
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前时间是否在时间段之内。
【举例】
显示当前时间是否在时间段之内。
Quidway#show isintr
It is NOT in time ranges now.【相关命令】
timerange,settr
十、show timerange 显示时间段包过滤的信息。
show timerange
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】
显示时间段包过滤的信息。
Quidway#show timerange
TimeRange packet-filtering enable.beginning of time range:
01:0004:00
end of time range.【相关命令】
timerange,settr
十一、timerange 启用或禁止时间段包过滤功能。
timerange { enable | disable }
【参数说明】
enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】
系统缺省为禁止时间段包过滤功能。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerange enable
【相关命令】
settr,show timerange
第四篇:华为路由器防火墙配置命令总结
华为路由器防火墙配置命令总结
access-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】 系统缺省不配置任何访问规则。
【命令模式】 全局配置模式
【使用指南】 同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。使用协议域为IP的扩展访问列表来表示所有的IP协议。同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】 允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 【相关命令】 ip access-group
【命令】clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】 任何时候都不清除统计信息。
【命令模式】 特权用户模式
【使用指南】 使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】 例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters 【相关命令】 access-list
【命令】firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。disable 表示禁止防火墙。
【缺省情况】系统缺省为禁止防火墙。
【命令模式】全局配置模式
【使用指南】使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】启用防火墙。Quidway(config)#firewall enable
【相关命令】 access-list,ip access-group
【命令】firewall default { permit | deny }
【参数说明】permit 表示缺省过滤属性设置为“允许”。deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】全局配置模式
【使用指南】当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】listnumber 为规则序号,是1~199之间的一个数值。in 表示规则用于过滤从接口收上来的报文。out 表示规则用于过滤从接口转发的报文。
【缺省情况】没有规则应用于接口。
【命令模式】 接口配置模式。
【使用指南】使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】 将规则101应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相关命令】 access-list
六、settr 设定或取消特殊时间段。
【命令】settr begin-time end-time no settr
【参数说明】 begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】 全局配置模式
【使用指南】 使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
【举例】 例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00 例2: 设置时间段为晚上9点到早上8点。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相关命令】 timerange,show timerange
七、show access-list 显示包过滤规则及在接口上的应用。
【命令】show access-list [ all | listnumber | interface interface-name]
【参数说明】 all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】 特权用户模式
【使用指南】 使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface 关键字的show access-list命令来查看某个接口应用规则的情况。
【举例】
例1:显示当前所使用的序号为100的规则。
Quidway#show access-list 100
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)例2: 显示接口Serial0上应用规则的情况。
Quidway#show access-list interface serial 0 Serial0:
access-list filtering In-bound packets : 120 access-list filtering Out-bound packets: None 【相关命令】access-list
【命令】show firewall 显示防火墙状态。
【命令模式】特权用户模式
【使用指南】 使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】显示防火墙状态。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】 firewall
【命令】show isintr显示当前时间是否在时间段之内。【命令模式】特权用户模式
【使用指南】使用此命令来显示当前时间是否在时间段之内。
【举例】显示当前时间是否在时间段之内。
Quidway#show isintr
It is NOT in time ranges now.【相关命令】
timerange,settr
【命令】show timerange 【命令模式】特权用户模式
【使用指南】使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】显示时间段包过滤的信息。
Quidway#show timerange
TimeRange packet-filtering enable.beginning of time range: 01:0004:00
end of time range.【相关命令】timerange,settr
十一、timerange 启用或禁止时间段包过滤功能。
【命令】timerange { enable | disable }
【参数说明】enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】系统缺省为禁止时间段包过滤功能。
【命令模式】全局配置模式
【使用指南】使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerange enable 【相关命令】 settr,show timerange
计算机命令
PCA login: root ;使用root用户 password: linux ;口令是linux # shutdown-h now ;关机 # init 0 ;关机 # logout # login # ifconfig ;显示IP地址 # ifconfig eth0
交换机命令
[Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名
[Quidway]interface ethernet 0/1 进入接口视图 [Quidway]interface vlan x 进入接口视图 [Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由=网关
[Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]set authentication-mode password simple 222 [S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口双工工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet0/1]flow-control 配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX状态平接或扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置接口工作模式 [Quidway-Ethernet0/1]shutdown 关闭/重起接口 [Quidway-Ethernet0/2]quit 退出系统视图
[Quidway]vlan 3 创建/删除一个VLAN/进入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在当前VLAN增加/删除以太网接口 [Quidway-Ethernet0/2]port access vlan 3 将当前接口加入到指定VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID
[Quidway]monitor-port 华为路由器防火墙配置命令 2013-3-30 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。permit 表明允许满足条件的报文通过。deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。dest-addr 为目的地址。 华为路由器防火墙配置命令 2013-3-30 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。listnumber 为删除的规则序号,是1~199之间的一个数值。 subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。 【缺省情况】 系统缺省不配置任何访问规则。 【命令模式】 全局配置模式 【使用指南】 华为路由器防火墙配置命令 2013-3-30 同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。 使用协议域为IP的扩展访问列表来表示所有的IP协议。 同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。 【举例】 允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 二、clear access-list counters 清除访问列表规则的统计信息。clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。 【缺省情况】 任何时候都不清除统计信息。 【命令模式】 特权用户模式 【使用指南】 使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。 【举例】 华为路由器防火墙配置命令 2013-3-30 例1:清除当前所使用的序号为100的规则的统计信息。Quidway#clear access-list counters 100 例2:清除当前所使用的所有规则的统计信息。Quidway#clear access-list counters 三、firewall 启用或禁止防火墙。firewall { enable | disable } 【参数说明】 enable 表示启用防火墙。disable 表示禁止防火墙。 【缺省情况】 系统缺省为禁止防火墙。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。 【举例】 启用防火墙。 Quidway(config)#firewall enable 华为路由器防火墙配置命令 2013-3-30 四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。firewall default { permit | deny } 【参数说明】 permit 表示缺省过滤属性设置为“允许”。deny 表示缺省过滤属性设置为“禁止”。 【缺省情况】 在防火墙开启的情况下,报文被缺省允许通过。 【命令模式】 全局配置模式 【使用指南】 当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。 【举例】 设置缺省过滤属性为“允许”。 Quidway(config)#firewall default permit 五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。ip access-group listnumber { in | out } [ no ] ip access-group listnumber { in | out } 【参数说明】 listnumber 为规则序号,是1~199之间的一个数值。 华为路由器防火墙配置命令 2013-3-30 in 表示规则用于过滤从接口收上来的报文。out 表示规则用于过滤从接口转发的报文。 【缺省情况】 没有规则应用于接口。 【命令模式】 接口配置模式。【使用指南】 使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。 【举例】 将规则101应用于过滤从以太网口收上来的报文。Quidway(config-if-Ethernet0)#ip access-group 101 in 六、settr 设定或取消特殊时间段。settr begin-time end-time no settr 【参数说明】 begin-time 为一个时间段的开始时间。 华为路由器防火墙配置命令 2013-3-30 end-time 为一个时间段的结束时间,应该大于开始时间。 【缺省情况】 系统缺省没有设置时间段,即认为全部为普通时间段。 【命令模式】 全局配置模式 【使用指南】 使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。 【举例】 例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。Quidway(config)#settr 8:30 12:00 14:00 17:00 例2: 设置时间段为晚上9点到早上8点。Quidway(config)#settr 21:00 23:59 0:00 8:0 七、show access-list 显示包过滤规则及在接口上的应用。 show access-list [ all | listnumber | interface interface-name] 【参数说明】 all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。 华为路由器防火墙配置命令 2013-3-30 listnumber 为显示当前所使用的规则中序号为listnumber的规则。interface 表示要显示在指定接口上应用的规则序号。interface-name 为接口的名称。 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。【举例】 例1:显示当前所使用的序号为100的规则。Quidway#show access-list 100 Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)100 permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)100 deny udp any any eq rip(no matches--rule 3)例2: 显示接口Serial0上应用规则的情况。Quidway#show access-list interface serial 0 Serial0: access-list filtering In-bound packets : 120 华为路由器防火墙配置命令 2013-3-30 access-list filtering Out-bound packets: None 八、show firewall 显示防火墙状态。show firewall 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。 【举例】 显示防火墙状态。Quidway#show firewall Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;OutBound packets: 0 packets, 0 bytes, 0% permitted, 0 packets, 0 bytes, 0% denied, 2 packets, 104 bytes, 100% permitted defaultly, 0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.九、show isintr 显示当前时间是否在时间段之内。 华为路由器防火墙配置命令 2013-3-30 show isintr 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示当前时间是否在时间段之内。 【举例】 显示当前时间是否在时间段之内。Quidway#show isintr It is NOT in time ranges now.十、show timerange 显示时间段包过滤的信息。show timerange 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。 【举例】 显示时间段包过滤的信息。Quidway#show timerange TimeRange packet-filtering enable.华为路由器防火墙配置命令 2013-3-30 beginning of time range: 01:0004:00 end of time range.十一、timerange 启用或禁止时间段包过滤功能。timerange { enable | disable } 【参数说明】 enable 表示启用时间段包过滤。disable 表示禁止采用时间段包过滤。【缺省情况】 系统缺省为禁止时间段包过滤功能。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。 【举例】 启用时间段包过滤功能。 Quidway(config)#timerange enable 华为路由器防火墙配置命令 2013-3-30第五篇:华为路由器防火墙配置命令总结
点击咨询 