H3C交換機(jī)配置命令詳解

1、本文格式為Word版，下載可任意編輯H3C交換機(jī)配置命令詳解 H3C 的路由器配置命令詳解 SYS 進(jìn)入視圖配置模式 in s0 進(jìn)入 serial 0 端口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加 ip 地址和掩碼，電信安排 enca hdlc/ppp 捆綁鏈路協(xié)議 hdlc 或者 ppp ip unn e0 exit 回到全局配置模式 in e0 進(jìn)入以太接口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加 ip 地址和掩碼，電信安排 exit 回到全局配置模式 ip route 0.0

2、.0.0 s 0 添加路由表 ena password 口令 write exit 以上依據(jù)中國(guó)電信 ddn 專線多數(shù)狀況應(yīng)用 一般用戶模式 enable 轉(zhuǎn)入特權(quán)用戶模式 exit 退出配置 help 系統(tǒng)關(guān)心簡(jiǎn)述 language 語言模式切換 ping 檢查網(wǎng)絡(luò)主機(jī)連接及主機(jī)是否可達(dá) show 顯示系統(tǒng)運(yùn)行信息 telnet 遠(yuǎn)程登錄功能 tracert 跟蹤到目的地經(jīng)過了哪些路由器 特權(quán)用戶模式 #? clear 清除各項(xiàng)統(tǒng)計(jì)信息 clock 管理系統(tǒng)時(shí)鐘 configure 進(jìn)入全局配置模式 debug 開啟調(diào)試開關(guān) disable 返回一般用戶模式 download 下載新版本軟件

3、和配置文件 erase 擦除 FLASH 中的配置 exec-timeout 打開 EXEC 超時(shí)退出開關(guān) exit 退出配置 first-config 設(shè)置或清除初次配置標(biāo)志 help 系統(tǒng)關(guān)心簡(jiǎn)述 language 語言模式切換 monitor 打開用戶屏幕調(diào)試信息輸出開關(guān) no 關(guān)閉調(diào)試開關(guān) ping 檢查網(wǎng)絡(luò)主機(jī)連接及主機(jī)是否可達(dá) reboot 路由器重啟 setup 配置路由器參數(shù) show 顯示系統(tǒng)運(yùn)行信息 telnet 遠(yuǎn)程登錄功能 tracert 跟蹤到目的地經(jīng)過了哪些路由器 unmonitor 關(guān)閉用戶屏幕調(diào)試信息輸出開關(guān) write 將當(dāng)前配置參數(shù)保存至 FLASH MEM

4、 中 全局配置模式 aaa-enable 使能配置 AAA(認(rèn)證，授權(quán)和計(jì)費(fèi)) access-list 配置標(biāo)準(zhǔn)訪問表 arp 設(shè)置靜態(tài) ARP 人口 chat-script 生成一個(gè)用在 modem 上的執(zhí)行腳本 custom-list 創(chuàng)建定制隊(duì)列列表 dialer-list 創(chuàng)建 dialer-list dram-wait 設(shè)置 DRAM 等待狀態(tài) enable 修改 ENABLE 口令 exit 退出全局配置模式 firewall 配置防火墻狀態(tài) flow-interval 設(shè)置流量掌握時(shí)間間隔 frame-relay 幀中繼全局配置命令集 ftp-server FTP 服務(wù)器 hel

5、p 系統(tǒng)關(guān)心命令簡(jiǎn)述 host 添加主機(jī)名稱和其 IP 地址 hostname 修改主機(jī)名 ifquelen 更改接口隊(duì)列長(zhǎng)度 interface 選擇配置接口 ip 全局 IP 配置命令子集 ipx 全局 IPX 配置命令子集 loghost 設(shè)置日志主機(jī) IP 地址 logic-channel 配置規(guī)律通道 login 啟動(dòng) EXEC 登錄驗(yàn)證 modem-timeout 設(shè)置 modem 超時(shí)時(shí)間 multilink 配置 multilink 用戶使用的接口 multilink-user 配置 multilink 用戶使用的接口 natserver 設(shè)置 FTP,TELNET, 服務(wù)的

6、IP 地址 no 關(guān)閉某些參數(shù)開關(guān) priority-list 創(chuàng)建優(yōu)先級(jí)隊(duì)列列表 router 啟動(dòng)路由處理 settr 設(shè)置時(shí)間范圍 snmp-server 修改 SNMP 參數(shù) tcp 配置全局 TCP 參數(shù) timerange 啟動(dòng)或關(guān)閉時(shí)間區(qū)域 user 為 PPP 驗(yàn)證向系統(tǒng)中加入用戶 vpdn 設(shè)置 VPDN vpdn-group 設(shè)置 VPDN 組 x25 X.25 協(xié)議分組層 H3C 交換機(jī)常用命令解釋 :admin 日期:2021-12-19 字體大小: 小 中 大 H3C 交換機(jī)常用命令解釋 H3C 交換機(jī)# #3 1、system-view 進(jìn)入系統(tǒng)視圖模式 2、sys

7、name 為設(shè)備命名 3、display current-configuration 當(dāng)前配置狀況 4、 language-mode Chinese|English 中英文切換 5、interface Ethernet 1/0/1 進(jìn)入以太網(wǎng)端口視圖 6、 port link-type Access|Trunk|Hybrid 設(shè)置端口訪問模式 7、 undo shutdown 打開以太網(wǎng)端口 8、 shutdown 關(guān)閉以太網(wǎng)端口 9、 quit 退出當(dāng)前視圖模式 10、 vlan 10 創(chuàng)建 VLAN 10 并進(jìn)入 VLAN 10 的視圖模式 11、 port access vlan 10

8、在端口模式下將當(dāng)前端口加入到 vlan 10 中 12、port E1/0/2 to E1/0/5 在 VLAN 模式下將指定端口加入到當(dāng)前 vlan 中 13、port trunk permit vlan all 允許全部的 vlan 通過 H3C 路由器# 1、system-view 進(jìn)入系統(tǒng)視圖模式 2、sysname R1 為設(shè)備命名為 R1 3、display ip routing-table 顯示當(dāng)前路由表 4、 language-mode Chinese|English 中英文切換 5、interface Ethernet 0/0 進(jìn)入以太網(wǎng)端口視圖 6、 ip address

9、 配置 IP 地址和子網(wǎng)掩碼 7、 undo shutdown 打開以太網(wǎng)端口 8、 shutdown 關(guān)閉以太網(wǎng)端口 9、 quit 退出當(dāng)前視圖模式 10、 ip route-static description To.R2 配置靜態(tài)路由 11、 ip route-static description To.R2 配置默認(rèn)的路由 H3C S3100 Switch H3C S3600 Switch H3C M

10、SR 20-20 Router # 1、調(diào)整超級(jí)終端的顯示字號(hào)； 2、捕獲超級(jí)終端操作命令行，以備日后查對(duì)； 3、 language-mode Chinese|English 中英文切換 ； 4、復(fù)制命令到超級(jí)終端命令行， 粘貼到主機(jī)； 5、交換機(jī)清除配置 :reset save ；reboot ； 6、路由器、交換機(jī)配置時(shí)不能掉電，連通測(cè)試前肯定要 檢查網(wǎng)絡(luò)的連通性，不要犯最低級(jí)的錯(cuò)誤。 7、/24 等同 ；在配置交換機(jī)和路由器時(shí)， 可以寫成：

11、24 8、設(shè)備命名規(guī)章：地名-設(shè)備名-系列號(hào) 例：PingGu-R-S3600 # H3C 華為交換機(jī)端口綁定基本配置 2021-01-22 13:40 1，端口+MAC a)AM 命令 使用特別的 AM User-bind 命令，來完成 MAC 地址與端口之間的綁定。例如： SwitchAam user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 配置說明：由于使用了端口參數(shù)，則會(huì)以端口為參照物，即此時(shí)端口 E0/1 只允許 PC1 上網(wǎng)，而使用其他未綁定的 MAC 地址的 PC 機(jī)則無法上網(wǎng)。但 是 PC1 使用該 MAC

12、地址可以在其他端口上網(wǎng)。 b)mac-address 命令 使用 mac-address static 命令，來完成 MAC 地址與端口之間的綁定。例如： SwitchAmac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1 SwitchAmac-address max-mac-count 0 配置說明：由于使用了端口學(xué)習(xí)功能，故靜態(tài)綁定 mac 后，需再設(shè)置該端口 mac 學(xué)習(xí)數(shù)為 0，使其他 PC接入此端口后其 mac 地址無法被學(xué)習(xí)。 2，IP+MAC a)AM 命令 使用特別的 AM User-bind 命令，來完

13、成 IP 地址與 MAC 地址之間的綁定。例如： SwitchAam user-bind ip-address mac-address 00e0-fc22-f8d3 配置說明：以上配置完成對(duì) PC 機(jī)的 IP 地址和 MAC 地址的全局綁定，即與綁定的 IP 地址或者 MAC 地址不同的 PC 機(jī)，在任何端口都無法上網(wǎng)。 支持型號(hào)：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G b)arp 命令 使用特別的 arp static 命令，來完成 IP 地址與 MAC 地址

14、之間的綁定。例如： SwitchAarp static 00e0-fc22-f8d3 配置說明：以上配置完成對(duì) PC 機(jī)的 IP 地址和 MAC 地址的全局綁定。 3，端口+IP+MAC 使用特別的 AM User-bind 命令，來完成 IP、MAC 地址與端口之間的綁定。例如： SwitchAam user-bind ip-address mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 配置說明：可以完成將 PC1 的 IP 地址、MAC 地址與端口 E0/1 之間的綁定功能。由于使用了端口參數(shù)，則會(huì)以

15、端口為參照物，即此時(shí)端口 E0/1 只允 許 PC1 上網(wǎng)，而使用其他未綁定的 IP 地址、MAC 地址的 PC 機(jī)則無法上網(wǎng)。但是 PC1 使用該 IP 地址和MAC 地址可以在其他端口上網(wǎng)。 # S2021-E1-Ethernet0/1mac-address max-mac-count 0; 進(jìn)入到端口，用命令 mac max-mac-count 0(端口 mac 學(xué)習(xí)數(shù)設(shè)為 0) S2021-E1mac static 0000-9999-8888 int e0/1 vlan 10; 將 0000-9999-8888 綁定到 e0/1 端口上，此時(shí)只有綁定 mac 的 pc 可以通過此口上

16、網(wǎng),同時(shí) E0/1屬于 vlan 10 就這樣，ok 了，不過上面兩個(gè)命令挨次不能弄反，除非端口下沒有接 pc # dis vlan 顯示 vlan name text 指定當(dāng)前 vlan 的名稱 undo name 取消 h3c vlan 2 h3c-vlan2name test vlan dis users 顯示用戶 dis startup 顯示啟動(dòng)配置文件的信息 dis user-interface 顯示用戶界面的相關(guān)信息 dis web users 顯示 web 用戶的相關(guān)信息。 header login 配置登陸驗(yàn)證是顯示信息 header shell undo header loc

17、k 鎖住當(dāng)前用戶界面 acl 訪問掌握列表 acl number inbound/outbound h3cuser-interface vty 0 4 h3c-vty0-4 acl 2021 inbound shutdown:關(guān)閉 vlan 接口 undo shutdown 打開 vlan 接口 關(guān)閉 vlan1 接口 h3c interface vlan-interface 1 h3c-vlan-interface shutdown vlan vlan-id 定義 vlan undo valn vlan-id display ip routing-table display ip routi

18、ng-table protocol static display ip routing-table statistics display ip routing-table verbose 查看路由表的全部具體信息 interface vlan-interface vlan-id 進(jìn)入 valn management-vlan vlan-id 定義管理 vlan 號(hào) reset ip routing-table statistics protocol all 清除全部路由協(xié)議的路由信息. display garp statistics interface GigabitEthernet 1/0/

19、1 顯示以太網(wǎng)端口上的 garp 統(tǒng)計(jì)信息 display voice vlan status 查看語音 vlan 狀態(tài) h3c-GigabitEthernet1/0/1 broadcast-suppression 20 允許接受的最大廣播流量為該端口傳輸力量的 20%.超出部分丟棄. h3c-GigabitEthernet1/0/1 broadcast-suppression pps 1000 每秒允許接受的最大廣播數(shù)據(jù)包為1000 傳輸力量的 20%.超出部分丟棄. display interface GigabitEthernet1/0/1 查看端口信息 display brief in

20、terface GigabitEthernet1/0/1 查看端口簡(jiǎn)要配置信息 display loopback-detection 用來測(cè)試環(huán)路測(cè)試是否開啟 display transceiver-information interface GigabitEthernet1/0/50 顯示光口相關(guān)信息 duplex auto/full/half h3cinterface GigabitEthernet1/0/1 h3c-GigabitEthernet1/0/1duplux auto 設(shè)置端口雙工屬性為自協(xié)商 port link-type access/hybrid/trunk 默認(rèn)為 acc

21、ess port trunk permit vlan all 將 trunk 扣加入全部 vlan 中 reset counters interface GigabitEthernet1/0/1 清晰端口的統(tǒng)計(jì)信息 speed auto 10/100/1000 display port-security 查看端口平安配置信息 am user-bind mac-addr 00e0-fc00-5101 ip-addr interface GigabitEthernet1/0/1 端口 ip 綁定 display arp 顯示 arp display am user-bind

22、顯示端口綁定的配置信息 display mac-address 顯示交換機(jī)學(xué)習(xí)到的 mac 地址 display stp 顯示生成樹狀態(tài)與統(tǒng)計(jì)信息 h3c-GigabitEthernet1/0/1stp instance 0 cost 200 設(shè)置生成樹實(shí)例 0 上路徑開銷為 200 stp cost 設(shè)置當(dāng)前端口在指定生成樹實(shí)例上路徑開銷。instance-id 為 0-16 0 表 cist 取值范圍1-202100 display system-guard ip-record 顯示防攻擊記錄信息. system-guard enable 啟用系統(tǒng)防攻擊功能 display icmp st

23、atistics icmp 流量統(tǒng)計(jì) display ip socket display ip statistics display acl all acl number acl-number match-order auto/config acl-number (2021-2999 是基本 acl 3000-3999 是高級(jí) acl 為管理員預(yù)留的編號(hào)) rule deny/permit protocal 訪問掌握 h3c acl number 3000 h3c-acl-adv-3000rule permit tcp source 55 destinat

24、ion 55 destination-port eq 80 ( 定義高級(jí) acl 3000,允許 129.0.0/16 網(wǎng)段的主機(jī)向 202.38.160/24 網(wǎng)段主機(jī)訪問端口 80) rule permit source 55 rule deny cos 3 souce 00de-bbef-adse ffff-ffff-fff dest 0011-4301-9912 ffff-ffff-ffff (禁止 mac 地址 00de-bbef-adse 發(fā)送到 mac 地址 0011-4301-9912

25、 且 802.1p 優(yōu)先級(jí)為 3 的報(bào)文通過) display qos-interface GigabitEthernet1/0/1 traffic-limit 查看端口上流量 端口速率限制 line-rate inbound/outbound target-rate inbound:對(duì)端口接收?qǐng)?bào)文進(jìn)行速率限制 outbound: 對(duì)端口發(fā)送報(bào)文進(jìn)行速率限制 target-rate 對(duì)報(bào)文限制速率,單位 kbps 千兆口 inbound 范圍 1-1000000 outbound 范圍 20-1000000 undo line-rate 取消限速. h3cinterface GigabitEt

26、hernet1/0/1 h3c-GigabitEthernet1/0/1line-rate outbound 128 限制出去速率為 128kbps display arp | include 77 display arp count 計(jì)算 arp 表的記錄數(shù) display ndp 顯示交換機(jī)端口的具體配置信息。 display ntdp device-list verbose 收集設(shè)備具體信息 display lock display users display cpu display memory display fan display device display power 路由器防

27、火墻配置指導(dǎo) :admin 日期:2021-12-02 字體大小: 小 中 大 ICG 防火墻配置指導(dǎo) !-if !supportLists-1 !-endif-防火墻簡(jiǎn)介 防火墻一方面可以阻擋來自因特網(wǎng)的、對(duì)受愛護(hù)網(wǎng)絡(luò)的未授權(quán)訪問，另一方面可以作為一個(gè)訪問因特網(wǎng)的權(quán)限掌握關(guān)口，掌握內(nèi)部網(wǎng)絡(luò)用戶對(duì)因特網(wǎng)進(jìn)行 Web 訪問或收發(fā) E-mail 等。通過合理的配置防火墻可以大大提高網(wǎng)絡(luò)的平安性和穩(wěn)定性。!-if !supportLists-2 !-endif-防火墻配置指導(dǎo) !-if !supportLists-2.1 !-endif-基本配置步驟 防火墻的基本配置挨次如下： 首先使能防火墻： i

28、pv4：系統(tǒng)視圖下輸入 firewall enable ipv6：系統(tǒng)視圖下輸入 firewall ipv6 enable 然后配置 acl acl number 3000 rule 0 permit ip source 0 rule 10 deny ip 然后在接口上依據(jù)需要應(yīng)用防火墻 interface Ethernet0/1 port link-mode route firewall packet-filter 3000 inbound ip address !-if !supportLists-2.2 !-endif-基礎(chǔ)配置

29、舉例： 如前所說，在使能了防火墻后，就要按需求配置 acl 并應(yīng)用在接口上，下面給出幾個(gè)常見的需求的配置方法： !-if !vml- !-endif-!-if !mso- !-endif- et0/1 !-if !mso- !-endif-!-if !mso !vml- !-endif-!-if !vml- !-endif- !-if !vml- !-endif-!-if !mso- !-endif- et0/0 !-if !mso- !-endif-!-if !mso !vml- !-endif-!-if !vml- !-endif-以下的例子中的組網(wǎng)如下： ICG 設(shè)備 內(nèi)網(wǎng) 外網(wǎng) !-i

30、f !vml- !-endif- 其中內(nèi)網(wǎng)地址 55 !-if !supportLists-2.2.1 !-endif-禁止.的某些地址 用途：限制上網(wǎng)。比如禁止訪問 地址 acl 配置： H3Cacl n 3000 H3C-acl-adv-3000rule deny ip destination 0 禁止 H3C-acl-adv-3000rule permit ip 允許其它 ip 端口配置，在內(nèi)網(wǎng)口入方向配置防火墻 H3Cint et0/1 H3C-Ethernet0/1firewall

31、 packet-filter 3000 inbound 備注：1）假如要禁止某個(gè)網(wǎng)段，則選擇配置適當(dāng)?shù)难诖a就可以了 2）假如內(nèi)網(wǎng)口不止一個(gè)，可以在每一個(gè)需要的內(nèi)網(wǎng)口都配上，或者在外網(wǎng)口的出方向配置防火墻 !-if !supportLists-2.2.2 !-endif-限制只能.的某些地址 用途：限制上網(wǎng)。比如只能訪問 /24 網(wǎng)段 acl 配置： H3Cacl n 3000 H3C-acl-adv-3000rule permit ip destination 55 允許訪問 /24 網(wǎng)段 H3C-acl-adv-3000r

32、ule deny ip 禁止訪問其他網(wǎng)段 端口配置，在內(nèi)網(wǎng)口入方向配置防火墻 H3Cint et0/1 H3C-Ethernet0/1firewall packet-filter 3000 inbound 備注：1）假如要增加其他允許的網(wǎng)段，就需要增加相應(yīng)的 rule 2）假如內(nèi)網(wǎng)口不止一個(gè)，可以在每一個(gè)需要的內(nèi)網(wǎng)口都配上，或者在外網(wǎng)口的出方向配置防火墻 !-if !supportLists-2.2.3 !-endif-限制只能某些地址可以. 用途：限制上網(wǎng)。比如只允許 /24 網(wǎng)段的地址. acl 配置： H3Cacl n 3000 H3C-acl-adv-3000ru

33、le permit ip source 55 允許 /24 . H3C-acl-adv-3000rule deny ip 禁止其他地址訪問 端口配置，在內(nèi)網(wǎng)口入方向配置防火墻 H3Cint et0/1 H3C-Ethernet0/1firewall packet-filter 3000 inbound 備注：1）假如要更精確的掌握，可以通過多條 rule 加更精細(xì)的掩碼匹配來實(shí)現(xiàn) 2）假如內(nèi)網(wǎng)口不止一個(gè)，可以在每一個(gè)需要的內(nèi)網(wǎng)口都配上，或者在外網(wǎng)口的出方向配置防火墻。 !-if !supportLists-2.2.4 !-endif-

34、禁止某些地址. 用途：限制上網(wǎng)。比如禁止 ，9 兩個(gè)地址. acl 配置： H3Cacl n 3000 H3C-acl-adv-3000rule deny ip source 0 禁止 地址 H3C-acl-adv-3000rule deny ip source 9 0 禁止 9 地址 H3C-acl-adv-3000rule permit ip 允許其他地址 端口配置，在內(nèi)網(wǎng)口入方向配置防火墻 H3Cint et0/1 H3C-Ethernet0/1fire

35、wall packet-filter 3000 inbound 備注：1）假如要對(duì)網(wǎng)段實(shí)現(xiàn)掌握，設(shè)置規(guī)章時(shí)匹配該網(wǎng)段就可以了 2）假如內(nèi)網(wǎng)口不止一個(gè)，可以在每一個(gè)需要的內(nèi)網(wǎng)口都配上，或者在外網(wǎng)口的出方向配置防火墻。 !-if !supportLists-2.2.5 !-endif-禁止某些地址訪問內(nèi)網(wǎng) 用途：放置非法訪問。比如禁止 /24 網(wǎng)段的地址訪問內(nèi)網(wǎng): acl 配置： H3Cacl n 3000 H3C-acl-adv-3000rule deny ip source 55 禁止訪問 /24 H3C-acl-adv-3

36、000rule permit ip 允許其他地址 端口配置，在外網(wǎng)口入方向配置防火墻 H3Cint et0/0 H3C-Ethernet0/0firewall packet-filter 3000 inbound 備注：假如有多個(gè)網(wǎng)段需要禁止，就需要配置多條 rule !-if !supportLists-2.2.6 !-endif-限制內(nèi)網(wǎng)的某些地址不能.的某些地址 用途：限制上網(wǎng)。比如 /24 的地址段不能訪問 /24 acl 配置： H3Cacl n 3000 H3C-acl-adv-3000rule deny ip source 192.168.

37、1.0 55 destination 55 H3C-acl-adv-3000rule permit ip 允許其他地址 端口配置，在內(nèi)網(wǎng)口入方向配置防火墻 H3Cint et0/1 H3C-Ethernet0/1firewall packet-filter 3000 inbound 備注：假如有多個(gè)網(wǎng)段需要禁止，就需要配置多條 rule !-if !supportLists-2.2.7 !-endif-限制 ICMP 報(bào)文 用途：防攻擊。只允許 ping 報(bào)文，屏蔽其他 icmp 報(bào)文，防止攻擊 acl 配置： H3Cacl n 3000 H3C

38、-acl-adv-3000rule permit icmp icmp-type echo H3C-acl-adv-3000rule permit icmp icmp-type echo-reply H3C-acl-adv-3000rule permit icmp icmp-type ttl-exceeded H3C-acl-adv-3000rule deny icmp 端口配置，在外網(wǎng)口入方向配置防火墻 H3Cint et0/0 H3C-Ethernet0/0firewall packet-filter 3000 inbound !-if !supportLists-2.2.8 !-endif

39、-禁止.某個(gè)端口 用途：防攻擊，限制應(yīng)用。比如禁止. 300 端口 acl 配置： H3Cacl n 3000 H3C-acl-adv-3000rule deny tcp destination-port eq 300 端口配置，在外網(wǎng)口入方向配置防火墻 H3Cint et0/0 H3C-Ethernet0/0firewall packet-filter 3000 inbound 備注：可以配置某一段端口不能訪問 !-if !supportLists-2.2.9 !-endif-只允許.某個(gè)端口 用途：防攻擊，限制應(yīng)用。比如只允許. ftp 端口 acl 配置： H3Cacl n 3000 H

40、3C-acl-adv-3000rule permit tcp destination-port eq ftp 端口配置，在外網(wǎng)口入方向配置防火墻 H3Cint et0/0 H3C-Ethernet0/0firewall packet-filter 3000 inbound H3C-acl-adv-3000rule deny tcp 備注：應(yīng)用時(shí)可以加上 ip 地址的匹配，比如內(nèi)網(wǎng)某臺(tái)機(jī)器是 ftp 服務(wù)器，則可以配置該地址只開放 ftp 端口。 !-if !supportLists-2.3 !-endif-進(jìn)階配置 !-if !supportLists-2.3.1 !-endif-組合使用上面

41、的配置 可以在一條 acl 中配置多個(gè) rule，也可以在一個(gè)端口上分別配置 inbound 和 outbound 的規(guī)章進(jìn)行匹配，通過敏捷應(yīng)用與組合，實(shí)現(xiàn)需要的愛護(hù)與限制。 !-if !supportLists-2.3.2 !-endif-過濾常見攻擊 通過防火墻，過濾掉一些常見的攻擊，以下推舉一些常用的配置： 限制 NETBIOS 協(xié)議端口： H3Cacl number 3000 H3C-acl-adv-3000rule deny udp destination-port eq netbios-ns H3C-acl-adv-3000rule deny udp destination-por

42、t eq netbios-dgm H3C-acl-adv-3000rule deny tcp destination-port eq 139 H3C-acl-adv-3000rule deny udp destination-port eq netbios-ssn 限制常見病毒使用的端口： H3Cacl number 3000 H3C-acl-adv-3000rule deny tcp destination-port eq 135 / Worm.Blaster H3C-acl-adv-3000rule deny udp destination-port eq 135 / Worm.Blast

43、er H3C-acl-adv-3000rule deny tcp destination-port eq 445 / Worm.Blaster H3C-acl-adv-3000rule deny udp destination-port eq 445 / Worm.Blaster H3C-acl-adv-3000rule deny udp destination-port eq 593 / Worm.Blaster H3C-acl-adv-3000rule deny tcp destination-port eq 593 / Worm.Blaster H3C-acl-adv-3000rule

44、deny tcp destination-port eq 1433 / SQL Slammer H3C-acl-adv-3000rule deny tcp destination-port eq 1434 / SQL Slammer H3C-acl-adv-3000rule deny tcp destination-port eq 4444 / Worm.Blaster H3C-acl-adv-3000rule deny tcp destination-port eq 1025 / Sasser H3C-acl-adv-3000rule deny tcp destination-port eq

45、 1068 / Sasser H3C-acl-adv-3000rule deny tcp destination-port eq 707 /Nachi Blaster-D H3C-acl-adv-3000rule deny tcp destination-port eq 5554 / Sasser H3C-acl-adv-3000rule deny tcp destination-port eq 9996 / Sasser !-if !supportLists-2.3.3 !-endif-設(shè)置時(shí)間段 假如要限制某段時(shí)間內(nèi)使防火墻生效，就需要配置 time-range，然后在 acl 的 rul

46、e 上加入此限制，方法如下： 比如在工作時(shí)間，外網(wǎng)只能訪問 ，其他時(shí)間不做限制 定義時(shí)間段： H3Ctime-range worktimeam 8:00 to 12:00 working-day 定義上午 H3Ctime-range worktimepm 13:00 to 17:00 working-day 定義下午 假如不需要"午休'時(shí)間，那直接定義成 8:00-17:00 就可以了 定義 acl H3Cacl n 3000 H3C-acl-adv-3000rule permit ip destination 0 time-range

47、worktimeam H3C-acl-adv-3000rule permit ip destination 0 time-range worktimepm H3C-acl-adv-3000rule deny ip time-range worktimeam H3C-acl-adv-3000rule deny ip time-range worktimepm 端口配置，在內(nèi)網(wǎng)口入方向配置防火墻 H3Cint et0/1 H3C-Ethernet0/1firewall packet-filter 3000 inbound !-if !supportLists-2.3.1 !-e

48、ndif-配置推舉 對(duì)于最基本的應(yīng)用，給出以下的配置模版，包括屏蔽了常見攻擊和內(nèi).掌握。 內(nèi)網(wǎng)口： acl number 3101 rule 10 permit icmp icmp-type echo rule 20 permit icmp icmp-type echo-reply rule 30 permit icmp icmp-type ttl-exceeded rule 40 deny icmp rule 110 deny tcp destination-port eq 135 rule 120 deny udp destination-port eq 135 rule 130 deny

49、 udp destination-port eq netbios-ns rule 140 deny udp destination-port eq netbios-dgm rule 150 deny tcp destination-port eq 139 rule 160 deny udp destination-port eq netbios-ssn rule 170 deny tcp destination-port eq 445 rule 180 deny udp destination-port eq 445 rule 190 deny udp destination-port eq 593 rule 200 deny tcp destination-port eq 593 rule 210 deny tcp destination-port eq 1433 rule 220 deny t