教学—路由器基本配置命令

第一篇：教学—路由器基本配置命令

1、路由器模式的转换：

用户模式： router> 权限低，只能查看，输入“enable ”命令进入到特权模式

特权模式： router#

权限高，输入

“configure terminal” 命令进入到全局模式

全局模式（通配模式）：router(config)#

具体配置模式：router(config-if)#

2、查看的命令： show ******

router# show interface查看端口

router# show interface Ethernet 0查看具体端口

3、在路由器里有两种配置文件：

1）running-config:当前运行的配置文件 2）startup-config：启动配置文件

查看配置文件：show running-config

show startup-config

copy running-config startup-config

4、改路由器的名字：在 全局模式下

router(config)# hostname 路由器的名字

5、设置路由器的登陆消息：在全局模式下

router(config)# banner motd #

回车 在此输入消息的内容 #

6、命令：

Router(config)# ip address

例如：配置以太网口

//以Router1为例 命令：

R1# config t

R1(config)#interface Ethernet 0

R1(config-if)# ip address 192.168.1.1 255.255.255.0 //配置以太网口 R1(config-if)# no shutdown

// 启用该以太网口

7、CDP协议：

1)R1#show cdp interface

//查看cdp接口

2)R1#show cdp neighbors(details)//查看cdp邻居 3)R1(config)#cdp run

//激活cdp 4)R1(config)#no cdp run

//禁用cdp 5)R1(config)#int e0

//进入到接口

6)R1(config-if)#cdp enable

//激活 e0 的 cdp 7)R1(config-if)#no cdp enable

//禁用 e0 的cdp

8、TFTP服务器的配置

配置路由器： R1#config t R1(config)#int e0

//配置路由器的接口地址 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#no shutdown R1#ping 192.168.0.1 配置PC：

IP地址：192.168.0.2 网关：192.168.0.1 测试：ping 192.168.0.1 继续配置路由器：

R1#copy running-config startup-config R1#copy startup-config tftp R1#erase startup-config R1# copy tftp startup-config R1#show startup-config

9、路由器口令的设置：

1）控制台口令： R1#config terminal R1(config)#line con 0 R1(config-line)#login R1(config-line)#password 密码

2）enable 口令 R1#config terminal R1(config)#enable password 密码

3）远程登陆口令 R1#config terminal R1(config)#line vty 0 4 R1(config-line)#login R1(config-line)#password 密码

10、远程登陆：从一台计算机登陆到远端的另一台计算机，使用另一台计算机就像使用自己的计算机一样。

命令：telnet

11、注：配置路由器的串口要区分是DCE口还是 DTE口。例如观察s0哪种接口，可以在特权模式下输入命令：show controller s0

12、时钟频率的配置：

R1(config)#int s0

//进入到DCE端

R1(config-if)#clock rate 56000 //配置时钟频率，启动了串行线上的串行协议

13、查看路由器的路由表

R1#show ip route

//查看路由表

14、静态路由的配置

在全局模式下：

ip route network

mask < next-hop address>

命令

目标网络

子网掩码

下一跳 对R1来说：

Router1(config)# ip route 192.168.4.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.5.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.3.0 255.255.255.0 192.168.2.1 对R2来说：

Router2(config)# ip route 192.168.5.0 255.255.255.0 192.168.4.2 Router2(config)# ip route 192.168.1.0 255.255.255.0 192.168.2.2 对R3来说：

Router3(config)# ip route 192.168.1.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.2.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.3.0 255.255.255.0 192.168.4.1

Router3(config)#ip host 路由器的名字

路由器的IP地址（e0）

15、动态路由的配置*(RIP)r1(config)#router rip r1(config-router)#network 邻居的网络号

16、动态路由的配置*(IGRP)r1(config)#router igrp AS号

r1(config-router)#network 邻居的网络号

17、查看路由协议和路由表

router#show ip protocol

//查看路由协议 router#show ip route

//查看路由表

18、VLAN的配置

1、在1900上的配置

Switch_A#show vlan-membership

//查看VLAN信息

在交换机中默认存在一个VLAN 号码为1，叫VLAN 1，不能删除，并且所有的端口都默认在这个VLAN中。Switch_A#show vlan 号码 产生VLAN的命令

Switch_A#config terminal

//进入到全局模式 Switch_A(config)#vlan 号码 name 名字 把端口分配VLAN：

Switch_A(config)#interface 某端口

Switch_A(config-if)#vlan-membership static 号码 Switch_A(config)#interface fa0/26

Switch_A(config-if)#trunk on

//默认使用ISL封装写

2、在2900上的配置 Switch_A#vlan database Switch_A(vlan)#vlan 号码 name 名字 Switch_A(config)#interface某端口

Switch_A(config-if)#switchport mode access Switch_A(config-if)# switchport access vlan 号码 配置TRUNK Switch_A(config)#interface fastethernet Switch_A(config-if)# switchport mode trunk Switch_A(config-if)# switchport trunk encapsulation dot1q

3、ROUTER上的配置 Router(config)#int fa0/0 Router(config-if)#no shut Router(config-if)#int fa0/0.1 Router(config-subif)#ip add 192.168.1.1 255.255.255.0 Router(config-subif)#encapsulation isl 10 Router(config-if)#int fa0/0.2 Router(config-subif)#ip add 192.168.2.1 255.255.255.0 Router(config-subif)#encapsulation isl 20

第二篇：华为路由器防火墙配置命令总结

华为路由器防火墙配置命令总结（上）

2006-01-09 14:21:29 标签：命令 配置 防火墙 华为 休闲

一、access-list 用于创建访问规则。

（1）创建标准访问列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）创建扩展访问列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【参数说明】

normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

log [可选] 表示如果报文符合条件，需要做日志。

listnumber 为删除的规则序号，是1~199之间的一个数值。

subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。

【缺省情况】

系统缺省不配置任何访问规则。

【命令模式】

全局配置模式

【使用指南】

同一个序号的规则可以看作一类规则；所定义的规则不仅可以用来在接口上过滤报文，也可以被如DDR等用来判断一个报文是否是感兴趣的报文，此时，permit与deny表示是感兴趣的还是不感兴趣的。

使用协议域为IP的扩展访问列表来表示所有的IP协议。

同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。

【举例】

允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问，但不允许使用FTP。

Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

【相关命令】

ip access-group

二、clear access-list counters 清除访问列表规则的统计信息。

clear access-list counters [ listnumber ]

【参数说明】

listnumber [可选] 要清除统计信息的规则的序号，如不指定，则清除所有的规则的统计信息。

【缺省情况】

任何时候都不清除统计信息。

【命令模式】

特权用户模式

【使用指南】

使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。

【举例】

例1：清除当前所使用的序号为100的规则的统计信息。

Quidway#clear access-list counters 100

例2：清除当前所使用的所有规则的统计信息。

Quidway#clear access-list counters

【相关命令】

access-list

三、firewall 启用或禁止防火墙。

firewall { enable | disable }

【参数说明】

enable 表示启用防火墙。

disable 表示禁止防火墙。

【缺省情况】

系统缺省为禁止防火墙。

【命令模式】

全局配置模式

【使用指南】

使用此命令来启用或禁止防火墙，可以通过show firewall命令看到相应结果。如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时，防火墙本身的统计信息也将被清除。

【举例】

启用防火墙。

Quidway(config)#firewall enable

【相关命令】

access-list，ip access-group

四、firewall default 配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。

firewall default { permit | deny }

【参数说明】

permit 表示缺省过滤属性设置为“允许”。

deny 表示缺省过滤属性设置为“禁止”。

【缺省情况】

在防火墙开启的情况下，报文被缺省允许通过。

【命令模式】

全局配置模式

【使用指南】

当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作用；如果缺省过滤属性是“允许”，则报文可以通过，否则报文被丢弃。

【举例】

设置缺省过滤属性为“允许”。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【参数说明】

listnumber 为规则序号，是1~199之间的一个数值。

in 表示规则用于过滤从接口收上来的报文。

out 表示规则用于过滤从接口转发的报文。

【缺省情况】

没有规则应用于接口。

【命令模式】

接口配置模式。

【使用指南】

使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用 in 关键字；如果要过滤从接口转发的报文，使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

【举例】

将规则101应用于过滤从以太网口收上来的报文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相关命令】

access-list 华为路由器防火墙配置命令总结（下）

2006-01-09 14:21:59 标签：命令 配置 防火墙 华为 休闲

六、settr 设定或取消特殊时间段。

settr begin-time end-time

no settr

【参数说明】

begin-time 为一个时间段的开始时间。

end-time 为一个时间段的结束时间，应该大于开始时间。

【缺省情况】

系统缺省没有设置时间段，即认为全部为普通时间段。

【命令模式】

全局配置模式

【使用指南】

使用此命令来设置时间段；可以最多同时设置6个时间段，通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段的时间间隔）。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段，可以设置成“settr 21:00 23:59 0:00 8:00”，因为所设置的时间段的两个端点属于时间段之内，故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。

【举例】

例1：设置时间段为8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00

例2： 设置时间段为晚上9点到早上8点。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相关命令】

timerange，show timerange

七、show access-list 显示包过滤规则及在接口上的应用。

show access-list [ all | listnumber | interface interface-name]

【参数说明】

all 表示所有的规则，包括普通时间段内及特殊时间段内的规则。

listnumber 为显示当前所使用的规则中序号为listnumber的规则。

interface 表示要显示在指定接口上应用的规则序号。

interface-name 为接口的名称。

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。

【举例】

例1：显示当前所使用的序号为100的规则。

Quidway#show access-list 100

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)

例2： 显示接口Serial0上应用规则的情况。

Quidway#show access-list interface serial 0

Serial0:

access-list filtering In-bound packets : 120

access-list filtering Out-bound packets: None

【相关命令】

access-list

八、show firewall 显示防火墙状态。

show firewall

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示防火墙的状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

【举例】

显示防火墙状态。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted，0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly，0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】

firewall

九、show isintr 显示当前时间是否在时间段之内。

show isintr

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示当前时间是否在时间段之内。

【举例】

显示当前时间是否在时间段之内。

Quidway#show isintr

It is NOT in time ranges now.【相关命令】

timerange，settr

十、show timerange 显示时间段包过滤的信息。

show timerange

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。

【举例】

显示时间段包过滤的信息。

Quidway#show timerange

TimeRange packet-filtering enable.beginning of time range:

01:0004:00

end of time range.【相关命令】

timerange，settr

十一、timerange 启用或禁止时间段包过滤功能。

timerange { enable | disable }

【参数说明】

enable 表示启用时间段包过滤。

disable 表示禁止采用时间段包过滤。

【缺省情况】

系统缺省为禁止时间段包过滤功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令来启用或禁止时间段包过滤功能，可以通过show firewall命令看到，也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后，系统将根据当前的时间和设置的时间段来确定使用时间段内（特殊）的规则还是时间段外（普通）的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。

【举例】

启用时间段包过滤功能。

Quidway(config)#timerange enable

【相关命令】

settr，show timerange

第三篇：华为路由器防火墙配置命令总结

华为路由器防火墙配置命令总结

access-list 用于创建访问规则。

（1）创建标准访问列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）创建扩展访问列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表

no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】

normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

log [可选] 表示如果报文符合条件，需要做日志。

listnumber 为删除的规则序号，是1~199之间的一个数值。

subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。

【缺省情况】 系统缺省不配置任何访问规则。

【命令模式】 全局配置模式

【使用指南】 同一个序号的规则可以看作一类规则；所定义的规则不仅可以用来在接口上过滤报文，也可以被如DDR等用来判断一个报文是否是感兴趣的报文，此时，permit与deny表示是感兴趣的还是不感兴趣的。使用协议域为IP的扩展访问列表来表示所有的IP协议。同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。

【举例】 允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问，但不允许使用FTP。

Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 【相关命令】 ip access-group

【命令】clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号，如不指定，则清除所有的规则的统计信息。

【缺省情况】 任何时候都不清除统计信息。

【命令模式】 特权用户模式

【使用指南】 使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。

【举例】 例1：清除当前所使用的序号为100的规则的统计信息。

Quidway#clear access-list counters 100

例2：清除当前所使用的所有规则的统计信息。

Quidway#clear access-list counters 【相关命令】 access-list

【命令】firewall { enable | disable }

【参数说明】

enable 表示启用防火墙。disable 表示禁止防火墙。

【缺省情况】系统缺省为禁止防火墙。

【命令模式】全局配置模式

【使用指南】使用此命令来启用或禁止防火墙，可以通过show firewall命令看到相应结果。如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时，防火墙本身的统计信息也将被清除。

【举例】启用防火墙。Quidway(config)#firewall enable

【相关命令】 access-list，ip access-group

【命令】firewall default { permit | deny }

【参数说明】permit 表示缺省过滤属性设置为“允许”。deny 表示缺省过滤属性设置为“禁止”。

【缺省情况】在防火墙开启的情况下，报文被缺省允许通过。

【命令模式】全局配置模式

【使用指南】当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作用；如果缺省过滤属性是“允许”，则报文可以通过，否则报文被丢弃。

【举例】设置缺省过滤属性为“允许”。

Quidway(config)#firewall default permit

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【参数说明】listnumber 为规则序号，是1~199之间的一个数值。in 表示规则用于过滤从接口收上来的报文。out 表示规则用于过滤从接口转发的报文。

【缺省情况】没有规则应用于接口。

【命令模式】 接口配置模式。

【使用指南】使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用 in 关键字；如果要过滤从接口转发的报文，使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

【举例】 将规则101应用于过滤从以太网口收上来的报文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相关命令】 access-list

六、settr 设定或取消特殊时间段。

【命令】settr begin-time end-time no settr

【参数说明】 begin-time 为一个时间段的开始时间。

end-time 为一个时间段的结束时间，应该大于开始时间。

【缺省情况】系统缺省没有设置时间段，即认为全部为普通时间段。

【命令模式】 全局配置模式

【使用指南】 使用此命令来设置时间段；可以最多同时设置6个时间段，通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段的时间间隔）。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段，可以设置成“settr 21:00 23:59 0:00 8:00”，因为所设置的时间段的两个端点属于时间段之内，故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。

【举例】 例1：设置时间段为8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00 例2： 设置时间段为晚上9点到早上8点。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相关命令】 timerange，show timerange

七、show access-list 显示包过滤规则及在接口上的应用。

【命令】show access-list [ all | listnumber | interface interface-name]

【参数说明】 all 表示所有的规则，包括普通时间段内及特殊时间段内的规则。

listnumber 为显示当前所使用的规则中序号为listnumber的规则。

interface 表示要显示在指定接口上应用的规则序号。

interface-name 为接口的名称。

【命令模式】 特权用户模式

【使用指南】 使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。可以通过带interface 关键字的show access-list命令来查看某个接口应用规则的情况。

【举例】

例1：显示当前所使用的序号为100的规则。

Quidway#show access-list 100

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)例2： 显示接口Serial0上应用规则的情况。

Quidway#show access-list interface serial 0 Serial0:

access-list filtering In-bound packets : 120 access-list filtering Out-bound packets: None 【相关命令】access-list

【命令】show firewall 显示防火墙状态。

【命令模式】特权用户模式

【使用指南】 使用此命令来显示防火墙的状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

【举例】显示防火墙状态。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted，0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly，0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】 firewall

【命令】show isintr显示当前时间是否在时间段之内。【命令模式】特权用户模式

【使用指南】使用此命令来显示当前时间是否在时间段之内。

【举例】显示当前时间是否在时间段之内。

Quidway#show isintr

It is NOT in time ranges now.【相关命令】

timerange，settr

【命令】show timerange 【命令模式】特权用户模式

【使用指南】使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。

【举例】显示时间段包过滤的信息。

Quidway#show timerange

TimeRange packet-filtering enable.beginning of time range: 01:0004:00

end of time range.【相关命令】timerange，settr

十一、timerange 启用或禁止时间段包过滤功能。

【命令】timerange { enable | disable }

【参数说明】enable 表示启用时间段包过滤。

disable 表示禁止采用时间段包过滤。

【缺省情况】系统缺省为禁止时间段包过滤功能。

【命令模式】全局配置模式

【使用指南】使用此命令来启用或禁止时间段包过滤功能，可以通过show firewall命令看到，也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后，系统将根据当前的时间和设置的时间段来确定使用时间段内（特殊）的规则还是时间段外（普通）的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。

【举例】

启用时间段包过滤功能。

Quidway(config)#timerange enable 【相关命令】 settr，show timerange

计算机命令

PCA login: root ；使用root用户 password: linux ；口令是linux # shutdown-h now ；关机 # init 0 ；关机 # logout # login # ifconfig ；显示IP地址 # ifconfig eth0 netmask ；设置IP地址 # ifconfig eht0 netmask down;删除IP地址 # route add 0.0.0.0 gw # route del 0.0.0.0 gw # route add default gw ；设置网关 # route del default gw ；删除网关 # route ；显示网关 # ping # telnet ；建议telnet之前先ping一下

交换机命令

[Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名

[Quidway]interface ethernet 0/1 进入接口视图 [Quidway]interface vlan x 进入接口视图 [Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由＝网关

[Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]set authentication-mode password simple 222 [S3026-ui-vty0-4]user privilege level 3

[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口双工工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet0/1]flow-control 配置端口流控

[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX状态平接或扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置接口工作模式 [Quidway-Ethernet0/1]shutdown 关闭/重起接口 [Quidway-Ethernet0/2]quit 退出系统视图

[Quidway]vlan 3 创建/删除一个VLAN/进入VLAN模式

[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在当前VLAN增加/删除以太网接口 [Quidway-Ethernet0/2]port access vlan 3 将当前接口加入到指定VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID

[Quidway]monitor-port 指定和清除镜像端口

第四篇：华为路由器防火墙配置命令总结

华为路由器防火墙配置命令

2013-3-30

一、access-list 用于创建访问规则。

（1）创建标准访问列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）创建扩展访问列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表

no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】

normal 指定规则加入普通时间段。special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。permit 表明允许满足条件的报文通过。deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。dest-addr 为目的地址。

华为路由器防火墙配置命令

2013-3-30 dest-mask 为目的地址通配位。

operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

log [可选] 表示如果报文符合条件，需要做日志。listnumber 为删除的规则序号，是1~199之间的一个数值。

subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。

【缺省情况】

系统缺省不配置任何访问规则。

【命令模式】

全局配置模式

【使用指南】

华为路由器防火墙配置命令

2013-3-30 同一个序号的规则可以看作一类规则；所定义的规则不仅可以用来在接口上过滤报文，也可以被如DDR等用来判断一个报文是否是感兴趣的报文，此时，permit与deny表示是感兴趣的还是不感兴趣的。

使用协议域为IP的扩展访问列表来表示所有的IP协议。

同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。

【举例】

允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问，但不允许使用FTP。Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

二、clear access-list counters 清除访问列表规则的统计信息。clear access-list counters [ listnumber ] 【参数说明】

listnumber [可选] 要清除统计信息的规则的序号，如不指定，则清除所有的规则的统计信息。

【缺省情况】

任何时候都不清除统计信息。

【命令模式】

特权用户模式

【使用指南】

使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。

【举例】

华为路由器防火墙配置命令

2013-3-30 例1：清除当前所使用的序号为100的规则的统计信息。Quidway#clear access-list counters 100 例2：清除当前所使用的所有规则的统计信息。Quidway#clear access-list counters

三、firewall 启用或禁止防火墙。firewall { enable | disable } 【参数说明】

enable 表示启用防火墙。disable 表示禁止防火墙。

【缺省情况】

系统缺省为禁止防火墙。

【命令模式】

全局配置模式

【使用指南】

使用此命令来启用或禁止防火墙，可以通过show firewall命令看到相应结果。如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时，防火墙本身的统计信息也将被清除。

【举例】

启用防火墙。

Quidway(config)#firewall enable

华为路由器防火墙配置命令

2013-3-30

四、firewall default 配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。firewall default { permit | deny } 【参数说明】

permit 表示缺省过滤属性设置为“允许”。deny 表示缺省过滤属性设置为“禁止”。

【缺省情况】

在防火墙开启的情况下，报文被缺省允许通过。

【命令模式】

全局配置模式

【使用指南】

当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作用；如果缺省过滤属性是“允许”，则报文可以通过，否则报文被丢弃。

【举例】

设置缺省过滤属性为“允许”。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。ip access-group listnumber { in | out } [ no ] ip access-group listnumber { in | out } 【参数说明】

listnumber 为规则序号，是1~199之间的一个数值。

华为路由器防火墙配置命令

2013-3-30 in 表示规则用于过滤从接口收上来的报文。out 表示规则用于过滤从接口转发的报文。

【缺省情况】

没有规则应用于接口。

【命令模式】

接口配置模式。【使用指南】

使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用 in 关键字；如果要过滤从接口转发的报文，使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

【举例】

将规则101应用于过滤从以太网口收上来的报文。Quidway(config-if-Ethernet0)#ip access-group 101 in

六、settr 设定或取消特殊时间段。settr begin-time end-time no settr 【参数说明】

begin-time 为一个时间段的开始时间。

华为路由器防火墙配置命令

2013-3-30 end-time 为一个时间段的结束时间，应该大于开始时间。

【缺省情况】

系统缺省没有设置时间段，即认为全部为普通时间段。

【命令模式】

全局配置模式

【使用指南】

使用此命令来设置时间段；可以最多同时设置6个时间段，通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段的时间间隔）。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段，可以设置成“settr 21:00 23:59 0:00 8:00”，因为所设置的时间段的两个端点属于时间段之内，故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。

【举例】

例1：设置时间段为8:30 ~ 12:00，14:00 ~ 17:00。Quidway(config)#settr 8:30 12:00 14:00 17:00 例2： 设置时间段为晚上9点到早上8点。Quidway(config)#settr 21:00 23:59 0:00 8:0

七、show access-list 显示包过滤规则及在接口上的应用。

show access-list [ all | listnumber | interface interface-name] 【参数说明】

all 表示所有的规则，包括普通时间段内及特殊时间段内的规则。

华为路由器防火墙配置命令

2013-3-30 listnumber 为显示当前所使用的规则中序号为listnumber的规则。interface 表示要显示在指定接口上应用的规则序号。interface-name 为接口的名称。

【命令模式】

特权用户模式

【使用指南】

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。【举例】

例1：显示当前所使用的序号为100的规则。Quidway#show access-list 100 Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)100 permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)100 deny udp any any eq rip(no matches--rule 3)例2： 显示接口Serial0上应用规则的情况。Quidway#show access-list interface serial 0 Serial0: access-list filtering In-bound packets : 120

华为路由器防火墙配置命令

2013-3-30 access-list filtering Out-bound packets: None

八、show firewall 显示防火墙状态。show firewall 【命令模式】

特权用户模式

【使用指南】

使用此命令来显示防火墙的状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

【举例】

显示防火墙状态。Quidway#show firewall Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;OutBound packets: 0 packets, 0 bytes, 0% permitted, 0 packets, 0 bytes, 0% denied, 2 packets, 104 bytes, 100% permitted defaultly, 0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.九、show isintr 显示当前时间是否在时间段之内。

华为路由器防火墙配置命令

2013-3-30 show isintr 【命令模式】

特权用户模式

【使用指南】

使用此命令来显示当前时间是否在时间段之内。

【举例】

显示当前时间是否在时间段之内。Quidway#show isintr It is NOT in time ranges now.十、show timerange 显示时间段包过滤的信息。show timerange 【命令模式】

特权用户模式

【使用指南】

使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。

【举例】

显示时间段包过滤的信息。Quidway#show timerange TimeRange packet-filtering enable.华为路由器防火墙配置命令

2013-3-30 beginning of time range: 01:0004:00 end of time range.十一、timerange 启用或禁止时间段包过滤功能。timerange { enable | disable } 【参数说明】

enable 表示启用时间段包过滤。disable 表示禁止采用时间段包过滤。【缺省情况】

系统缺省为禁止时间段包过滤功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令来启用或禁止时间段包过滤功能，可以通过show firewall命令看到，也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后，系统将根据当前的时间和设置的时间段来确定使用时间段内（特殊）的规则还是时间段外（普通）的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。

【举例】

启用时间段包过滤功能。

Quidway(config)#timerange enable

华为路由器防火墙配置命令

2013-3-30

第五篇：成都大学教学用思科交换机路由器配置命令

成都大学思科路由器教学资料 思科Cisco交换机、路由器设置命令 Lzshihj_tz2f_3550

交换机口令设置：

switch>enable ；进入特权模式 switch#config terminal ；进入全局配置模式 switch(config)#hostname ；设置交换机的主机名

switch(config)#enable secret xxx ；设置特权加密口令为 xxx

switch(config)#enable password xxx ；设置特权非密口令为 xxx

switch(config)#line console 0 ；进控制台口(Rs232)初始化

switch(config-line)#line vty 0 4 ；进入虚拟终端virtual tty

switch(config-line)#login ；允许登录

switch(config-line)#password xx ；设置登录口令xx switch#exit ；返回命令

交换机VLAN设置：

switch#vlan database ；进入VLAN设置 switch(vlan)#vlan 2 ；建VLAN 2 switch(vlan)#no vlan 2 ；删vlan 2 switch(config)#int f0/1 ；进入端口1 switch(config-if)#switchport access vlan 2 ；当前端口1加入VLAN 2

switch(config-if)#switchport mode trunk ；设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2；设置允许的vlan switch(config-if)#switchport trunk encap dot1q ；设置vlan中继 switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password switch(config)#vtp mode server switch(config)#vtp mode client

交换机设置IP地址：

switch(config)#interface vlan 1 ；进入vlan 1

switch(config-if)#ip address ；添加远程登录IP switch(config)#ip default-gateway ；添加默认网关

switch#dir flash: ；查看内存

交换机显示命令：

switch#write ；写入保存 switch#show vtp switch#show run ；查看当前配置信息 switch#show vlan ；看VLAN switch#show interface ；显示所有端口信息

switch#show int f0/0 ；显示端口0的信息 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 路由器显示命令：

router#show run ；显示接口 router#show interface ；显示接口 router#show ip route ；显示路由 router#show cdp nei ；看邻居 router#reload

；重新起动

设置口令：

router>enable ；进入特权模式 router#config terminal ；进入全局配置模式 router(config)#hostname ；设置交换机的主机名

router(config)#enable secret xxx ；设置特权加密口令为 xxx

router(config)#enable password xxx ；设置特权非密口令为 xxx

router(config)#line console 0 ；进控制台口(Rs232)初始化

router(config-line)#line vty 0 4 ；进入虚拟终端virtual tty

router(config-line)#login ；允许登录

router(config-line)#password xx ；设置登录口令xx router(config)#(Ctrl+z);返回特权模式 router#exit ；返回命令

配置IP地址：

router(config)#int s0/0 ；进行串Serail接口

router(config-if)#no shutdown ；起动接口 router(config-if)#clock rate 64000 ；设置时钟

router(config-if)#ip address 10.1.1.1 255.255.0.0 ；设置IP地址和子网掩码

router(config-if)#ip add 10.1.1.2 255.255.0.0 second；

router(config-if)#int f0/0.1;进入子接口 router(config-subif.1)#ip address ； router(config-subif.1)#encapsulation dot1q ；

router(config)#config-register 0x2142 ；跳过配置文件 router(config)#config-register 0x2102 ；正常使用配置文件 router#reload ；重新引导 复制操作：

router#copy running-config startup-config ；存配置 router#copy running-config tftp ；上载 router#copy startup-config tftp

router#copy tftp flash: ；特权模式下升级IOS

router#copy tftp startup-config

；下载配置文件到nvram

ROM状态：

Ctrl+Break ；进入ROM监控状态

rommon>confreg 0x2142 ；跳过配置，26 36 45xx

rommon>confreg 0x2102 ；使用配置，恢复工作状态

rommon>reset

；重新引导，等效于重开机

rommon>copy xmodem: flash: ；从console升级IOS

rommon>IP_ADDRESS=10.65.1.2 ；设置路由器IP rommon>IP_SUBNET_MASK=255.255.0.0 ；设置路由器掩码 rommon>TFTP_SERVER=10.65.1.1 ；指定TFTP服务器IP

rommon>TFTP_FILE=c2600.bin ；所要下载的文件 rommon>tftpdnld ；ROM监控状态下升级IOS

rommon>dir flash: ；查看闪存中的内容 rommon>boot ；引导IOS

静态路由：

ip route 例： router(config)#ip route 10.1.0.0 255.255.0.0 10.2.1.1 router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2

动态路由：

router(config)#ip routing ；启动路由 router(config)#router rip ；启动RIP路由协议。router(config-router)#network ；配置范围,有的支持all。

router(config-router)#negihbor ；点对点 帧中继用。

帧中继命令：

router(config)# frame-relay switching ；使能帧中继交换 router(config-s0)# encapsulation frame-relay ；使能帧中继

router(config-s0)# frame-relay intf-type DCE ；DCE端(需要配虚电路)

router(config-s0)# frame-relay local-dlci 20 ；配置虚电路号

基本访问控制列表：

router(config)#access-list permit|deny router(config)#interface ；default: deny any router(config-if)#ip access-group in|out ；default: out

例：

RB(config)#access-list 4 permit 10.8.1.1

RB(config)#access-list 4 deny 10.8.1.0 0.0.0.255

RB(config)#access-list 4 permit 10.8.0.0 0.0.255.255 RB(config)#access-list 4 deny 10.0.0.0 0.255.255.255 RB(config)#access-list 4 permit any RB(config)#int f0/0

RB(config-if)#ip access-group 4 in

扩展访问控制列表：

access-list permit|deny icmp [type]

access-list permit|deny tcp [port] 例1：

router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo router(config)#access-list 101 permit ip any any router(config)#int s0/0

router(config-if)#ip access-group 101 in 例2：

router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80 router(config)#access-list 102 permit ip any any router(config)#interface s0/1

router(config-if)#ip access-group 102 out

router(config)#no access-list 102

router(config-if)#no ip access-group 101 in

在路由器上设置 SNMP Community Strings

router(config)# snmp-server community read-community-string ro

router(config)# snmp-server community write-community-string rw

在交换机上设置 SNMP Community Strings

switch(config)# snmp-server community read-community-string ro

switch(config)# snmp-server community write-community-string rw

在路由器上配置日志信息（Syslog Message Logging）

router(config)# logging on

router(config)# logging server-ip-address router(config)# logging trap severity-level 路由器恢复出厂设置

erase start-config 或write erase 或erase NVROM