第一篇:华为高端路由器配置及维护实践(个人总结)全解(大全)
华为高端路由器配置和维护实践
目 录
1、硬件系统....................................................................................................................................3
1.1、NE40E、NE80E、NE5000E的满配功率是多少?...........................................3 1.2、如何正确热插拔NE5000E/80E/40E产品主控板?...........................................3 1.3、拔出正常运行NE80E主控板与其它单板的差别?..........................................3 1.5、NE5000ENE80E由于系统结构复杂,导致单板的组成较为复杂,本FAQ详细说明这两款产品单板的组合。................................................................................3 1.6、是否可以使用并联电流给NE设备供电?........................................................4 1.8、如何查看设备中的Netstream板?.....................................................................4 1.9、NE5000系统上电时是否电源功率等于或稍大于所有单板的功率和,整机即可正常完成注册?........................................................................................................5
2、系统管理....................................................................................................................................5
2.1、telnet用户的最大数是多少?..............................................................................5 2.2、NE40E、NE80E 是否支持ETH-Trunk?..........................................................5 2.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少个Eth-trunk?.................5 2.4、NE40E、NE80E、NE5000E VRP 5.30一个trunk接口下最多可以有多少个成员端口?........................................................................................................................6
3、系统管理:telnet、SNMP、日志采集、SSH等..................................................6 3.1、如何修改设备的时区?.......................................................................................6 3.2、如何转换命令行的语言模式?...........................................................................6 3.3、如何把telnet用户强制下线?.............................................................................6 3.4、如何取消分屏显示?...........................................................................................6 3.5、如何能够使NE40E level0能够查看logbuffer?...............................................7 3.6、怎样配置NE40E的登录用户先radius认证再本地认证?..............................7 3.7、华为有哪些产品支持TACACS?.......................................................................7 3.8、使用TELNET登录NE80E/40E/80/40是否支持TACACS方式认证?.........8 3.9、怎样修改NE40E的日志文件记录路径..............................................................8 3.10、如何正确的配置NE40ENE80ENE5000E的防病毒访问控制列表?............8
4、网络协议....................................................................................................................................9
4.4、什么是NE80E的ping保护机制呢?.................................................................9
5、路由协议..................................................................................................................................10 5.1、如何进行OSPF外部路由的聚合?..................................................................10 5.2、反射器反射路由时对路由属性的处理原则是什么?......................................10 5.3、如何修改邦定VPN实例OSPF进程的Router id............................................10 5.5、为什么在OSPF路由中不建议引入直连路由?..............................................10 5.6、如何部署OSPF的内部路由聚合?..................................................................10 5.8、在IGP是ISIS的网络中如何查找设备?........................................................11 5.9、如何设置NE80E只启用MBGP而不启用普通BGP?..................................11 5.11、在8090产品中,通过命令display ip routing-table verbose能看到NextHop、RelyNextHop,他们的区别是什么?........................................................................11 5.12、BGP协议的故障诊断命令有哪些?...............................................................12
6、VPN应用.................................................................................................................................13 6.1、华为路由器是否支持VPN下安全套接层?....................................................13
第1页, 共18页 华为高端路由器配置和维护实践
6.2、如何排查VPLS隧道连接建立不起来的故障?..............................................13 6.3、同一台设备上面不同vpn(绑定在不同loopback地址)如何实现互访...........14 6.4、如何在NE40E上配置VLAN-MAP功能.........................................................15
7、其他(组播、QOS、VRRP等)...........................................................................................16 7.1、承载网中如何保证VRRP快速切换.................................................................16 7.3、目前NE80E是否支持MPLS TE HOT-STANDBY指定显示路径?............16 7.4、在TE隧道重优化(reoptimization)时判断重优化更优路径的标准是什么?......................................................................................................................................16 7.5、如何实现相同域内PIM-SM组播的负载分担和冗余备份?.........................16 7.7、在NE80E QOS实现中各队列对应何种队列调度算法?...............................17 7.8、路由器发送ICMP重定向报文的条件..............................................................17
第2页, 共18页 华为高端路由器配置和维护实践
1、硬件系统
1.1、NE40E、NE80E、NE5000E的满配功率是多少?
NE40E的满配功率是2400W NE80E的满配功率是5000W NE5000E的满配功率是5000W 1.2、如何正确热插拔NE5000E/80E/40E产品主控板?
对于 NE5000E/80E 产品 的主用主控板或NE40E的主用主控板
1、在拔出主用主控板前请先主备倒换。
2、请在命令行执行power off slot
3、等待单板下电,拔出单板。
对于NE80E和NE5000E如果不是主用主控板,对于NE40E,如果不是主用SRU板
1、请在命令行执行power off slot
2、等待单板下电,拔出单板。
1.3、拔出正常运行NE80E主控板与其它单板的差别?
其它单板:在单板拔出前按下OFL按钮,提出拔板申请,大约需要连续按钮3秒钟,直至OFL指示灯点亮时,单板才可安全拔
出。主控单板:备用主控板拔出操作与其它单板操作一致,主用主控板在单板拔出前必须先执行主备倒换后方可按下OFL按
钮,提出拔板申请,大约需要连续按钮3秒钟,直至OFL指示灯点亮时,单板才可安全拔出。
1.5、NE5000ENE80E由于系统结构复杂,导致单板的组成较为复杂,本FAQ详细说明这两款产品单板的组合。
NE5000ENE80E的单板一般由两部分组成:LPU,主要负责转发;FAD,主要负责LPU和网板的适配及QOS处理。NE80E和NE5000E支持以下组合: NE80E:
LPUA+FADB
LPUA为使用2800网络处理器单板,FADB主要完成LPUA和NE80E网板适配。
LPUA+FADD
LPUA为使用2800网络处理器单板,FADD主要完成LPUA和NE80E网板适配。
LPUX+FADA
LPUX为原NE80NE40支持单板,FADA主要完成LPUX和NE80E网板适配。
第3页, 共18页 华为高端路由器配置和维护实践
NE5000E:
LPUB+FADC
LPUB为使用华为的588ASIC转发引擎,FADC主要完成LPUB和NE5000E网板适配。
LPUC
LPUC为大板,没有FAD板,已经集成了QOS及和NE5000E网板适配的功能。LPUX+FADF
LPUX为原NE80NE40支持单板,FADF主要完成LPUX和NE5000E网板适配。
1.6、是否可以使用并联电流给NE设备供电?
某局点因不能给NE40E-8提供100A的直流电,希望使用一个53A和47A的电流并联起来给设备供电,问这种方式是否可以,咨询了电源的工程师,不可以使用这种方法供电,给我们设备供电前级必须要有100A的配电。
1.8、如何查看设备中的Netstream板?
从以下device信息中可以看到单板类型为spu的就为Netstream板: display device
NE5000E's Device status:
Slot #
Type
Online
Register
Status
Primary
-------------------
PIC # Online
Type
Port_count Init_result
Logic down
0
Present
POS-4X2.5G
SUCCESS
SUCCESS
第4页, 共18页 华为高端路由器配置和维护实践
--------------------
PIC # Online
Type
Port_count Init_result
Logic down
0
Present
ETH-10X-GE
SUCCESS
SUCCESS
-------------------
PIC # Online
Type
Port_count Init_result
Logic down
0
Present
ETH-10X-GE
SUCCESS
SUCCESS
------------------
%没有端口信息% 1.9、NE5000系统上电时是否电源功率等于或稍大于所有单板的功率和,整机即可正常完成注册?
不可以。因为整机加电时启动瞬间电流要比所有单板功率和大数倍,如果供电电源功率仅仅比所有单板的功率和
稍大,是不能满足启动瞬间电流需求的。目前NE5000E的额定功率为5000W、额定电流为131A,推荐使用额定电流 为200A以上的空气开关。
2、系统管理
2.1、telnet用户的最大数是多少?
NE40E、NE80E、NE5000E的最大telnet用户数为15个。
2.2、NE40E、NE80E 是否支持ETH-Trunk?
VRP 5.10版本不支持Eth-Trunk,VRP 5.3-版本支持Eth-Trunk 2.3、NE40E、NE80E、NE5000E VRP5.30版本支持多少个Eth-trunk? 64个
第5页, 共18页 华为高端路由器配置和维护实践
2.4、NE40E、NE80E、NE5000E VRP 5.30一个trunk接口下最多可以有多少个成员端口?
16个
3、系统管理:telnet、SNMP、日志采集、SSH等 3.1、如何修改设备的时区?
在用户视图下clock timezone time-zone-name { add | minus } offset undo clock timezone time-zone-name:时区名称,字符长度范围1~32。
add:与UTC(Universal Time Coordinated,通用协调时间)时间比较增加。minus:与UTC时间比较减少。
offset:与UTC的时间差,格式是:HH:MM:SS,HH范围为0~23,MM和SS范围为0~59。
3.2、如何转换命令行的语言模式?
在用户视图下执行language-mode { chinese | english }可以在英文与中文之间切换。
3.3、如何把telnet用户强制下线?
在用户视图下执行free user-interface { ui-number | ui-type ui-number1 }可以强制telnet用户下线。
ui-number:用户界面绝对编号。最小值为0,最大值是系统支持的用户界面总数。不同设备用户界面取值范围不同。ui-type:用户界面类型。
ui-number1:用户界面的相对编号。
3.4、如何取消分屏显示?
在相应用户界面下执行 screen-length 0。
第6页, 共18页 华为高端路由器配置和维护实践
3.5、如何能够使NE40E level0能够查看logbuffer?
在系统模式下,按照如下配置便可以实现0级别的用户也可以查看logbuffer的功能。command-privilege level 0 view user-interface display command-privilege level 0 view user-interface display logbuffer 3.6、怎样配置NE40E的登录用户先radius认证再本地认证?
#
radius-server template login
radius-server shared-key ih1361nc
radius-server authentication 218.77.*.* 1645 source LoopBack 0
radius-server authentication 218.77.*.* 1812 source LoopBack 0 secondary
undo radius-server user-name domain-included
aaa
local-user hidxhk password cipher XG$;SH2;NS“`]B'Q%*T%!!
local-user hidxhk service-type telnet
local-user hidxhk level 1
local-user basenet password cipher ^KUSDJ9B_>FDF'K”HNT=!!
local-user basenet service-type telnet
local-user basenet level 1
authentication-scheme default
authentication-mode radius local
authorization-scheme default
accounting-scheme default
domain default
radius-server login
authentication-scheme default
user-interface vty 0 4
authentication-mode aaa
user privilege level 1
idle-timeout 5 0
3.7、华为有哪些产品支持TACACS?
NE40E / NE80E / NE5000E产品支持HWTACACS NE40 / NE80 / S8016 V5版本支持HWTACACS
V3版本不支持HWTACACS NE20 / 20E
V3与V5均支持HWTCACS NE16E / 08E / 05不支持HWTCACS S6500 release 1000不支持HWTCACS release 2000/3000支持 HWTACACS 8500支持HWTACACS
第7页, 共18页 华为高端路由器配置和维护实践
3.8、使用TELNET登录NE80E/40E/80/40是否支持TACACS方式认证?
NE80E/40E/80/40设备支持的名称叫HWTACACS,可以和标准的TACACS正常对接使用,NE80E/40E/80/40 的基于VRP5平台的软件版本都可以支持该认证方式。
3.9、怎样修改NE40E的日志文件记录路径
当主控板只配置了一块CFcard时,可通过隐含命令修改NE40E的日志文件记录路径,将日志记录到主控板内部的CFcard中。
1、进入隐含模式: [NE40E]_h [NE40E-hidecmd]
2、在隐含模式下执行下面的命令修改日志文件路径到主控板内部的CFcard。[NE40E-hidecmd]set logfile-path cfcard 3.10、如何正确的配置NE40ENE80ENE5000E的防病毒访问控制列表?
acl number 3000
description ANTI-VIRUS
rule 1 deny tcp destination-port eq 135
rule 2 deny tcp destination-port eq 137
rule 3 deny tcp destination-port eq 138
rule 4 deny tcp destination-port eq 139
rule 5 deny tcp destination-port eq 445
rule 6 deny tcp destination-port eq 5554
rule 7 deny tcp destination-port eq 901
rule 8 deny tcp destination-port eq 2745
rule 9 deny tcp destination-port eq 3127
rule 10 deny tcp destination-port eq 3128
rule 11 deny tcp destination-port eq 6129
rule 12 deny tcp destination-port eq 6667
rule 13 deny tcp destination-port eq 4444
rule 14 deny tcp destination-port eq 1025
rule 15 deny tcp destination-port eq 593
rule 16 deny udp destination-port eq 135
rule 17 deny udp destination-port eq netbios-ns
rule 18 deny udp destination-port eq netbios-dgm
rule 19 deny udp destination-port eq netbios-ssn
rule 20 deny udp destination-port eq 445
rule 21 deny udp destination-port eq 9995
rule 22 deny udp destination-port eq 9996
rule 23 deny udp destination-port eq 1434
第8页, 共18页 华为高端路由器配置和维护实践
rule 40 permit ip
%此条需做,permit其它的数据报文% traffic classifier anti_virus operator and
if-match acl 3000 traffic behavior anti_virus
% 此默认的动作为permit% traffic policy anti
classifier anti_virus behavior anti_virus
interface GigabitEthernet2/0/0
traffic-policy anti inbound
4、网络协议
4.4、什么是NE80E的ping保护机制呢?
NE80E 接收cisco等设备的ping包机制:
C设备---------> NE80E NE80E的接口收到报文之后,首先处理二层头,发现DMAC是本端口的MAC地址,那么剥掉二层头上送,再根据DIP发现是本机的IP报文,那么通过NP发给CP(在NP和CP之间还要经过CAR处理),CP收到报文后进入ip协议栈,对于icmp echo报文直接发送icmp echo reply。
此处的CAR缺省值是4M,为了防止主机上送icmp报文的大量攻击,因为通常ping报文大都用来故障诊断,不会大量发送。这样做可以有效避免icmp的报文攻击,保护设备稳定运行;
CAR的值可以修改,通过下面的命令
[NE80E-6]cpcar slot 1 ipv4-icmp
[NE80E-6-cpcar-ipv4-icmp-slot-1]?
Cpcar view commands:
car
Specify CAR(Committed Access Rate)feature
display
Display current system information
drop
immediacy drop
pass
don't use car
ping
Send echo messages
quit
Exit from current command view
reset
Reset operation
return
Exit to user view
tracert
Trace route to host
traffic-policy Specify QoS policy
undo
Cancel current setting
[NE80E-6-cpcar-ipv4-icmp-slot-1]car ?
cir Committed information rate
[NE80E-6-cpcar-ipv4-icmp-slot-1]car cir ?
INTEGER<8-10000000> Value of CIR(Unit: Kbps)
第9页, 共18页 华为高端路由器配置和维护实践
[NE80E-6-cpcar-ipv4-icmp-slot-1]car cir
但是如果把CAR值改大后,可能会造成CPU上升,不建议修改;如果测试时可以把CAR先放开,测完后关掉。
5、路由协议
5.1、如何进行OSPF外部路由的聚合?
因为OSPF的type 5 LSA产生在ASBR上,所以对type 5的路由聚合必须在该ASBR上进行设置。当设置聚合后
仅仅对聚合信息产生type 5 LSA,同时抑制了明细的type5 LSA。
5.2、反射器反射路由时对路由属性的处理原则是什么?
反射器反射路由的属性是经过入口策略后的属性,不受出口策略影响。
5.3、如何修改邦定VPN实例OSPF进程的Router id? 此案例适合VRP5.10和VRP5.30版本。
修改邦定VPN实例的OSPF各进程的Router id请使用如下命令: [Quidway]ospf X router-id X.X.X.X
其中x为进程号,x.x.x.x为Router id。
注意:命令router id x.x.x.x只能修改未邦定VPN实例的OSPF进程的Router id,修改Router id后请重启OSPF的相关进程。
5.5、为什么在OSPF路由中不建议引入直连路由?
1)、在OSPF中,尽量避免引入直连路由,直连路由应采用network+silent方式直接发布。2)、产生LSA类型不同,import方式产生type 5类型LSA在整个AS内传播,network方式产生type 1 LSA,将在区域内传播。
3)、产生路由表优先级不同,import方式产生的是150,network方式产生的是10。4)、引入直连生成的OSPF外部路由很难实施基于区域路由聚合。
5.6、如何部署OSPF的内部路由聚合?
OSPF的路由聚合分为OSPF域内的路由聚合和OSPF的域外路由聚合。这里主要讨论OSPF的域内路由聚合。
OSPF的域内路由聚合是通过在ABR上手动配置聚合命令来实现的。即聚合只能发生在ABR上,根据配置的聚合命令OSPF产生相关聚合路由信息的type 3 LSA,并将该LSA进行区域泛洪。
第10页, 共18页 华为高端路由器配置和维护实践
在配置了聚合命令的ABR上不再针对匹配的明细路由产生type3 LSA报文。
5.8、在IGP是ISIS的网络中如何查找设备?
1、在大型城域网中,设备较多,包括huawei和c厂家的,一般每个设备都使用一个管理地址,管理地址一般都
是使用loopback 0 的地址。
2、为了更好的维护好网络,huawei工程师需要统计一个管理地址的表格(包括c厂家设备)。
3、如果网络中使用的是isis做为IGP协议,因为isis设备的net部分的system id基本上都是根据loopback 0地址扩展而来,如果知道了system id,那么设备的管理地址也就知道了。8090产品提供了一条命令,disp isis name,包括 2个显示,即system id 和 system name,并且能够显示AS内配置了isis协议的所有设备的相关信息,通过这条命令,就能在设备上查询还不熟悉的设备的管理地址,方便维护工程师建立一张所有设备的管理地址的表格。在网络有故障时,根据管理地址的表格,查询相应的管理
地址,迅速登到设备上定位故障。平时就通过这条命令,查询所有配置了ISIS协议的设备的管理地址,建立一张所有设备的管理地址的表格。
5.9、如何设置NE80E只启用MBGP而不启用普通BGP?
bgp 65350 group VPN-PE internal peer VPN-PE connect-interface LoopBack0 peer x.x.x.x as-number 65350 peer x.x.x.x group VPN-PE ipv4-family unicast
undo peer VPN-PE enable 把VPN-PE组的bgp邻居禁用
undo synchronization
maximum load-balancing 8
undo peer x.x.x.x enable 把x.x.x.x这个bgp邻居禁用
ipv4-family vpnv4
undo policy vpn-target
peer VPN-PE enable
peer VPN-PE reflect-client
peer VPN-PE next-hop-local
peer x.x.x.x enable
peer x.x.x.x group VPN-PE
5.11、在8090产品中,通过命令display ip routing-table verbose能看到NextHop、RelyNextHop,他们的区别是什么?
display ip routing-table verbose命令显示如下: Destination: 0.0.0.0/0
Protocol: BGP
Process ID: 0
第11页, 共18页 华为高端路由器配置和维护实践
Preference: 100
Cost: 0
NextHop: 202.97.32.243
Interface: Pos2/0/0
RelyNextHop: 222.83.17.5
Neighbour: 202.97.32.243
Tunnel ID: 0x0
Label: NULL
State: Active Adv Derived
Age: 00h44m09s
Tag: 0
其中NextHop表示路由表项的下一跳,RelyNextHop表示fib实际转发的下一跳!
首先路由表和FIB是不同实体,作用也不一样。路由是上层协议来用的,Display ip routing显示的是协议添加路由时设置的下一跳,在路由表中称之为原始下一跳,这个下一跳不一定直接可达。而FIB是用于指导转发的,它的下一跳必须是直接可达。路由管理模块通过对路由的原始下一跳进行迭代找到这个直接下一跳,并将其设置到FIB当中来指导转发。原始下一跳和迭代下一跳实质上是相关联的。
5.12、BGP协议的故障诊断命令有哪些?
BGP协议的故障诊断命令及命令意思如下所示: display bgp peer
显示公网IPv4邻居的摘要信息
display bgp peer ipv4-address verbose
显示指定邻居的详细信息
display bgp peer ipv4-address log-info
显示指定邻居的信息记录(该命令对邻居意外中断问题定位非常重要)display bgp group group-name
显示公网IPv4邻居组信息
display bgp routing-table statistics
显示BGP公网IPv4单播路由统计
display bgp routing-table
显示BGP公网IPv4单播路由摘要信息
display bgp routing-table peer ip-address advertised-routes
显示给指定邻居发布的路由
display bgp routing-table peer ip-address received-routes
显示从指定邻居收到的路由
display bgp network
显示通过Network命令引入到BGP的路由
display bgp path
显示BGP公网Ipv4单播路由的路经属性信息 display bgp ipv6
显示BGP公网IPv6的相应信息,与对应Ipv4命令用法相同 display bgp multicast
显示BGP公网IPv4多播的相应信息,与对应IPv4单播命令用法相同 display ip routing-table statistics
显示系统公网IPv4路由统计
display ip routing-table protocol bgp
显示系统公网IPv4路由表中BGP Active路由的摘要信息
第12页, 共18页 华为高端路由器配置和维护实践
display ip routing-table protocol bgp verbose
显示系统公网IPv4路由表中BGP Active路由的摘要信息 display ip routing-table protocol bgp inactive
显示系统公网IPv4路由表中BGP Inactive路由的摘要信息
6、VPN应用
6.1、华为路由器是否支持VPN下安全套接层?
SSL(Secure Socket Layer)即安全套接层,主要包含SSL记录协议及SSL握手协议两个协议,是传输层安全协议。
目前华为设备不支持在VPN下支持SSL。
6.2、如何排查VPLS隧道连接建立不起来的故障?
通常的VPLS故障排查步骤如下:
1、用display mpls lsp命令分别查看个PE上LSP建立的情况,如果命令行显示结果为空,或者显示的LSP中没有对端PE的网段路由映射,则说明故障出在LSP没有建立或标签映射上,这种问题和软件协议或配置密切相关。
2、如果在PE上没有对端PE的LSP,则使用dis c c mpls检查MPLS的基本配置情况,MPSL必须在全局视图下使能,且配置Lsr-id,否则LSP 是不可能建立起来的。如果基本配置正常,请转向第3步。
3、检查接口是否使能MPLS和MPLS LDP命令。将命令视图切换至接口视图,使用display this命令查看MPLS使能情况。如果接口没有使能
MPLS 和MPLS LDP,那么LSP是不可能建立起来的。如果接口MPLS已经使能,请转向第4步。
4、检查路由表是否存在对端PE的路由信息,使用命令dis ip routing-table。如果对端PE的的路由信息不存在,则说明问题在于基本的
第13页, 共18页 华为高端路由器配置和维护实践
IP路由发生故障。
5、检查PE上VSI状态和VPN标签分配情况,如果VSI状态为DOWN状态,表示VPLS 的信令协议没有协商成功。导致这个问题的原因有多种可
能。普通IP路由故障,MPLS转发故障,PE1和PE1链路封装不一致,都有可能导致VSI状态为DOWN。可使用调试命令行display vsi
6、如果故障依然没有解决,请检查CE接入PE的端口(子接口/Vlanif)状态和端口配置情况。接入端口状态必须UP,并且配置了l2 binding
vsi
一般通过以上的排查方法,基本就能解决VPLS故障的问题。
6.3、同一台设备上面不同vpn(绑定在不同loopback地址)如何实现互访
基本配置信息如下:
ip vpn-instance vpn1
route-distinguisher 100:1
vpn-target 100:1 export-extcommunity
vpn-target 100:1 import-extcommunity
ip vpn-instance vpn2
route-distinguisher 200:1
vpn-target 200:1 export-extcommunity
vpn-target 200:1 import-extcommunity
interface LoopBack1
ip binding vpn-instance vpn1
ip address 1.1.1.1 255.255.255.255
interface LoopBack2
ip binding vpn-instance vpn2
ip address 2.2.2.2 255.255.255.255
bgp 100
ipv4-family vpn-instance vpn1
import-route direct
import-route static
ipv4-family vpn-instance vpn2
import-route direct
import-route static
查看路由表,vpn1上只能看到自身的私网路由,vpn2也只能看到自身的私网路由,带原地址ping,ping
-vpn vpn1-a 1.1.1.1 2.2.2.2无法互通。
分析路由走向可得,vpn之间无法学习到私网路由,必须通过vpn之间透传的静态路由(同时本拓扑的特
殊性,静态路由的下一跳是loopback端口)。
配置下面2条静态路由
ip route-static vpn-instance vpn1 2.2.2.2 255.255.255.255 loopback2 ip route-static vpn-instance vpn2 1.1.1.1 255.255.255.255 loopback1
第14页, 共18页 华为高端路由器配置和维护实践
此时,带原地址ping, ping-vpn vpn1-a 1.1.1.1 2.2.2.2可以互通。
6.4、如何在NE40E上配置VLAN-MAP功能
1、组网:LSW-1----a------NE40E-1-----b-----NE40E-2------c------LSW-2
2、说明:两台NE40E相关接口通过portswitch变换为Layer 2端口;l链路a属于VLAN10、链路b上所联接 的端口类型为trunk口、链路c属于VLAN20。
1、NE40E-1上配置普通二层特性(两个端口配置一样):
端口视图下
portswitch
port link-type trunk
port trunk allow-pass vlan 10
2、在NE40E-2和LSW-2联接的端口上配置普通二层特性:
端口视图下
portswitch
port link-type trunk port trunk allow-pass vlan 20
3、在NE40E-2上与NE40E-1相连接的端口上配置VLAN映射: 端口视图下
portswitch
port link-type trunk port vlan-mapping outside-vlan 10 map-vlan 20 port vlan-mapping outside-vlan 10 map-vlan 20”这个关键配置只需要在NE40E-2的上行链路的接口下配置,其余接口无需配置。
第15页, 共18页 华为高端路由器配置和维护实践
7、其他(组播、QOS、VRRP等)
7.1、承载网中如何保证VRRP快速切换
VRRP可以采用跟踪BFD Session来实现快速主备倒换。
实现方法:Master和Backup之间使用VRRP接口地址建立BFD Session,然后在VRRP配置中跟踪此BFD Session。具体配置: vrrp vrid 1 track bfd-session 2 increased 40 // vrrp组1跟踪bfd-session 如果BFD Session状态变为Down,Backup的VRRP优先级增加40,变成主用,实现快速切换。
7.3、目前NE80E是否支持MPLS TE HOT-STANDBY指定显示路径?
不支持。但HOT-STANDBY计算出来的路径不会与主路径的任一节点或链路重合。
7.4、在TE隧道重优化(reoptimization)时判断重优化更优路径的标准是什么?
对于这个问题,RFC标准中没有明确的规定。而按照VRP5.1/VRP5.3的实现,路径重优化时首先比较path metric,然后比较hop跳数,仅以此作为是否采用计算新路径的标准,而实际上并不考虑链路带宽的因素。
7.5、如何实现相同域内PIM-SM组播的负载分担和冗余备份?
当在同一个组播域内时,对于不同的组播组可以通过注册不同的RP来实现负载分担。但是为了负载分担已经冗余备份可以采用MSDP anycast技术来实现。首先是在不同的RP上配置相同RP地址,每个接收端以及组播源都是就近注册到某一个RP上,从而实现了RP的负载分担;由于MSDP在RP之间通信,实现了不同的RP对于组播域内的组播源
拓扑保持了一致的信息,所以当一个RP宕了,相关的接收端以及源能快速的切换到其他的RP上,实现了RP之间的冗余备份。
第16页, 共18页 华为高端路由器配置和维护实践
7.7、在NE80E QOS实现中各队列对应何种队列调度算法?
目前NE80E产品的实现是ef
cs6
cs7队列进行PQ调度;be af1 af2 af3 af4 队列做WFQ调度。
7.8、路由器发送ICMP重定向报文的条件
当路由器的接口收到报文,查路由表后又要从该接口转发出去的时候,如果路由器该接口启用了ICMP重定向功能,则向给路由器发送报文的主机(或其他设备)发送一个ICMP重定向报文,通知该主机在主机路由表上加上一条主机路由。
Quidway路由器在系统视图下有命令icmp redirect send/undo icmp redirect send,其作用是路由器是否可以发送ICMP重定向报文。缺省情况下,路由器的ICMP重定向是打开的。启动快速转发功能后,该接口将不再发送ICMP重定向报文。缺省情况下,路由器快速转发功能也是打开的,所以要启用ICMP重定向功能,接口下必须首先关闭快速转发undo ip fast-forwarding。(目前NE系列产品不支持关闭快速转发功能,AR系列中低端路由器支持),如果需要使用ICMP重定向发送功能,还需要执行以下步骤:
1、执行命令system-view,进入系统视图。
2、执行命令icmp redirect send,打开系统ICMP重定向报文发送功能。有四种不同类型的重定向报文,有不同的代码值,如下所示。代码
描述 0
网络重定向 1
主机重定向
服务类型和网络重定向 3
服务类型和主机重定向
ICMP重定向报文的接收者必须查看三个IP地址:
1、导致重定向的I P地址(即ICMP重定向报文的数据位于I P数据报的首部)。
2、发送重定向报文的路由器的I P地址(包含重定向信息的I P数据报中的源地址。
3、应该采用的路由器I P地址(在ICMP报文中的4 ~ 7字节)。
关于ICMP重定向报文有很多规则。首先,重定向报文只能由路由器生成,而不能由主机生成。另外,重定向报文是为主机而不是为路由器使用的。假定路由器和其他一些路由器共同参与某一种选路协议,则该协议就能消除重定向的需要。
1、新的路由器必须直接与网络相连接。
2、重定向报文必须来自当前到目的地所选择的路由器。
3、重定向报文不能让主机本身作为路由器。
4、被修改的路由必须是一个间接路由。
关于重定向最后要指出的是,路由器应该发送的只是对主机的重定向(代码1或3),而不是对网络的重定 向。子网的存在使得难于准确指明何时应发送对网络的重定向而不是对主机的重定向。只当路由器发送了
错误的类型时,一些主机才把收到的对网络的重定向当作对主机的重定向来处理。
第17页, 共18页 华为高端路由器配置和维护实践
第18页, 共18页
第二篇:华为路由器防火墙配置命令总结
华为路由器防火墙配置命令总结(上)
2006-01-09 14:21:29 标签:命令 配置 防火墙 华为 休闲
一、access-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】
系统缺省不配置任何访问规则。
【命令模式】
全局配置模式
【使用指南】
同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】
允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相关命令】
ip access-group
二、clear access-list counters 清除访问列表规则的统计信息。
clear access-list counters [ listnumber ]
【参数说明】
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。
【命令模式】
特权用户模式
【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】
例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters
【相关命令】
access-list
三、firewall 启用或禁止防火墙。
firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewall enable
【相关命令】
access-list,ip access-group
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewall default { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为“允许”。
deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是1~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
【缺省情况】
没有规则应用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】
将规则101应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相关命令】
access-list 华为路由器防火墙配置命令总结(下)
2006-01-09 14:21:59 标签:命令 配置 防火墙 华为 休闲
六、settr 设定或取消特殊时间段。
settr begin-time end-time
no settr
【参数说明】
begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】
系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】
全局配置模式
【使用指南】
使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
【举例】
例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 设置时间段为晚上9点到早上8点。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相关命令】
timerange,show timerange
七、show access-list 显示包过滤规则及在接口上的应用。
show access-list [ all | listnumber | interface interface-name]
【参数说明】
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。
【举例】
例1:显示当前所使用的序号为100的规则。
Quidway#show access-list 100
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)
例2: 显示接口Serial0上应用规则的情况。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相关命令】
access-list
八、show firewall 显示防火墙状态。
show firewall
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】
显示防火墙状态。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】
firewall
九、show isintr 显示当前时间是否在时间段之内。
show isintr
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前时间是否在时间段之内。
【举例】
显示当前时间是否在时间段之内。
Quidway#show isintr
It is NOT in time ranges now.【相关命令】
timerange,settr
十、show timerange 显示时间段包过滤的信息。
show timerange
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】
显示时间段包过滤的信息。
Quidway#show timerange
TimeRange packet-filtering enable.beginning of time range:
01:0004:00
end of time range.【相关命令】
timerange,settr
十一、timerange 启用或禁止时间段包过滤功能。
timerange { enable | disable }
【参数说明】
enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】
系统缺省为禁止时间段包过滤功能。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerange enable
【相关命令】
settr,show timerange
第三篇:华为路由器防火墙配置命令总结
华为路由器防火墙配置命令总结
access-list 用于创建访问规则。
(1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】 系统缺省不配置任何访问规则。
【命令模式】 全局配置模式
【使用指南】 同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。使用协议域为IP的扩展访问列表来表示所有的IP协议。同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
【举例】 允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 【相关命令】 ip access-group
【命令】clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】 任何时候都不清除统计信息。
【命令模式】 特权用户模式
【使用指南】 使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】 例1:清除当前所使用的序号为100的规则的统计信息。
Quidway#clear access-list counters 100
例2:清除当前所使用的所有规则的统计信息。
Quidway#clear access-list counters 【相关命令】 access-list
【命令】firewall { enable | disable }
【参数说明】
enable 表示启用防火墙。disable 表示禁止防火墙。
【缺省情况】系统缺省为禁止防火墙。
【命令模式】全局配置模式
【使用指南】使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】启用防火墙。Quidway(config)#firewall enable
【相关命令】 access-list,ip access-group
【命令】firewall default { permit | deny }
【参数说明】permit 表示缺省过滤属性设置为“允许”。deny 表示缺省过滤属性设置为“禁止”。
【缺省情况】在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】全局配置模式
【使用指南】当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。
【举例】设置缺省过滤属性为“允许”。
Quidway(config)#firewall default permit
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【参数说明】listnumber 为规则序号,是1~199之间的一个数值。in 表示规则用于过滤从接口收上来的报文。out 表示规则用于过滤从接口转发的报文。
【缺省情况】没有规则应用于接口。
【命令模式】 接口配置模式。
【使用指南】使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】 将规则101应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相关命令】 access-list
六、settr 设定或取消特殊时间段。
【命令】settr begin-time end-time no settr
【参数说明】 begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】 全局配置模式
【使用指南】 使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
【举例】 例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00 例2: 设置时间段为晚上9点到早上8点。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相关命令】 timerange,show timerange
七、show access-list 显示包过滤规则及在接口上的应用。
【命令】show access-list [ all | listnumber | interface interface-name]
【参数说明】 all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】 特权用户模式
【使用指南】 使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface 关键字的show access-list命令来查看某个接口应用规则的情况。
【举例】
例1:显示当前所使用的序号为100的规则。
Quidway#show access-list 100
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)例2: 显示接口Serial0上应用规则的情况。
Quidway#show access-list interface serial 0 Serial0:
access-list filtering In-bound packets : 120 access-list filtering Out-bound packets: None 【相关命令】access-list
【命令】show firewall 显示防火墙状态。
【命令模式】特权用户模式
【使用指南】 使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】显示防火墙状态。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】 firewall
【命令】show isintr显示当前时间是否在时间段之内。【命令模式】特权用户模式
【使用指南】使用此命令来显示当前时间是否在时间段之内。
【举例】显示当前时间是否在时间段之内。
Quidway#show isintr
It is NOT in time ranges now.【相关命令】
timerange,settr
【命令】show timerange 【命令模式】特权用户模式
【使用指南】使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】显示时间段包过滤的信息。
Quidway#show timerange
TimeRange packet-filtering enable.beginning of time range: 01:0004:00
end of time range.【相关命令】timerange,settr
十一、timerange 启用或禁止时间段包过滤功能。
【命令】timerange { enable | disable }
【参数说明】enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】系统缺省为禁止时间段包过滤功能。
【命令模式】全局配置模式
【使用指南】使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerange enable 【相关命令】 settr,show timerange
计算机命令
PCA login: root ;使用root用户 password: linux ;口令是linux # shutdown-h now ;关机 # init 0 ;关机 # logout # login # ifconfig ;显示IP地址 # ifconfig eth0
交换机命令
[Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名
[Quidway]interface ethernet 0/1 进入接口视图 [Quidway]interface vlan x 进入接口视图 [Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由=网关
[Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]set authentication-mode password simple 222 [S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口双工工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet0/1]flow-control 配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX状态平接或扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置接口工作模式 [Quidway-Ethernet0/1]shutdown 关闭/重起接口 [Quidway-Ethernet0/2]quit 退出系统视图
[Quidway]vlan 3 创建/删除一个VLAN/进入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在当前VLAN增加/删除以太网接口 [Quidway-Ethernet0/2]port access vlan 3 将当前接口加入到指定VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID
[Quidway]monitor-port 华为路由器防火墙配置命令 2013-3-30 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。permit 表明允许满足条件的报文通过。deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。dest-addr 为目的地址。 华为路由器防火墙配置命令 2013-3-30 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。listnumber 为删除的规则序号,是1~199之间的一个数值。 subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。 【缺省情况】 系统缺省不配置任何访问规则。 【命令模式】 全局配置模式 【使用指南】 华为路由器防火墙配置命令 2013-3-30 同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。 使用协议域为IP的扩展访问列表来表示所有的IP协议。 同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。 【举例】 允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 二、clear access-list counters 清除访问列表规则的统计信息。clear access-list counters [ listnumber ] 【参数说明】 listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。 【缺省情况】 任何时候都不清除统计信息。 【命令模式】 特权用户模式 【使用指南】 使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。 【举例】 华为路由器防火墙配置命令 2013-3-30 例1:清除当前所使用的序号为100的规则的统计信息。Quidway#clear access-list counters 100 例2:清除当前所使用的所有规则的统计信息。Quidway#clear access-list counters 三、firewall 启用或禁止防火墙。firewall { enable | disable } 【参数说明】 enable 表示启用防火墙。disable 表示禁止防火墙。 【缺省情况】 系统缺省为禁止防火墙。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。 【举例】 启用防火墙。 Quidway(config)#firewall enable 华为路由器防火墙配置命令 2013-3-30 四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。firewall default { permit | deny } 【参数说明】 permit 表示缺省过滤属性设置为“允许”。deny 表示缺省过滤属性设置为“禁止”。 【缺省情况】 在防火墙开启的情况下,报文被缺省允许通过。 【命令模式】 全局配置模式 【使用指南】 当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。 【举例】 设置缺省过滤属性为“允许”。 Quidway(config)#firewall default permit 五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。ip access-group listnumber { in | out } [ no ] ip access-group listnumber { in | out } 【参数说明】 listnumber 为规则序号,是1~199之间的一个数值。 华为路由器防火墙配置命令 2013-3-30 in 表示规则用于过滤从接口收上来的报文。out 表示规则用于过滤从接口转发的报文。 【缺省情况】 没有规则应用于接口。 【命令模式】 接口配置模式。【使用指南】 使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用 in 关键字;如果要过滤从接口转发的报文,使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。 【举例】 将规则101应用于过滤从以太网口收上来的报文。Quidway(config-if-Ethernet0)#ip access-group 101 in 六、settr 设定或取消特殊时间段。settr begin-time end-time no settr 【参数说明】 begin-time 为一个时间段的开始时间。 华为路由器防火墙配置命令 2013-3-30 end-time 为一个时间段的结束时间,应该大于开始时间。 【缺省情况】 系统缺省没有设置时间段,即认为全部为普通时间段。 【命令模式】 全局配置模式 【使用指南】 使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。 【举例】 例1:设置时间段为8:30 ~ 12:00,14:00 ~ 17:00。Quidway(config)#settr 8:30 12:00 14:00 17:00 例2: 设置时间段为晚上9点到早上8点。Quidway(config)#settr 21:00 23:59 0:00 8:0 七、show access-list 显示包过滤规则及在接口上的应用。 show access-list [ all | listnumber | interface interface-name] 【参数说明】 all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。 华为路由器防火墙配置命令 2013-3-30 listnumber 为显示当前所使用的规则中序号为listnumber的规则。interface 表示要显示在指定接口上应用的规则序号。interface-name 为接口的名称。 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。【举例】 例1:显示当前所使用的序号为100的规则。Quidway#show access-list 100 Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)100 permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)100 deny udp any any eq rip(no matches--rule 3)例2: 显示接口Serial0上应用规则的情况。Quidway#show access-list interface serial 0 Serial0: access-list filtering In-bound packets : 120 华为路由器防火墙配置命令 2013-3-30 access-list filtering Out-bound packets: None 八、show firewall 显示防火墙状态。show firewall 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。 【举例】 显示防火墙状态。Quidway#show firewall Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;OutBound packets: 0 packets, 0 bytes, 0% permitted, 0 packets, 0 bytes, 0% denied, 2 packets, 104 bytes, 100% permitted defaultly, 0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.九、show isintr 显示当前时间是否在时间段之内。 华为路由器防火墙配置命令 2013-3-30 show isintr 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示当前时间是否在时间段之内。 【举例】 显示当前时间是否在时间段之内。Quidway#show isintr It is NOT in time ranges now.十、show timerange 显示时间段包过滤的信息。show timerange 【命令模式】 特权用户模式 【使用指南】 使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。 【举例】 显示时间段包过滤的信息。Quidway#show timerange TimeRange packet-filtering enable.华为路由器防火墙配置命令 2013-3-30 beginning of time range: 01:0004:00 end of time range.十一、timerange 启用或禁止时间段包过滤功能。timerange { enable | disable } 【参数说明】 enable 表示启用时间段包过滤。disable 表示禁止采用时间段包过滤。【缺省情况】 系统缺省为禁止时间段包过滤功能。 【命令模式】 全局配置模式 【使用指南】 使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。 【举例】 启用时间段包过滤功能。 Quidway(config)#timerange enable 华为路由器防火墙配置命令 2013-3-30第四篇:华为路由器防火墙配置命令总结
点击咨询 