华为三层交换机S3900配置

华为三层交换机S3900配置摘要

一、视图的转换

登录后的视图

#这是用户视图

#进入了系统视图

system-view

System View: return to User View with Ctrl+Z.

[Quidway] 已经进入了系统视图，按Ctrl+Z.可以返回用户视图

二、设置主机名和IP地址

在系统视图下操作

#添加主机名和IP地址

[Quidway]ip host gdkm 192.168.1.1

[Quidway]

#查看主机名和IP地址

[Quidway]display ip host

Host Age

Flags Address

gdkm 0

static 192.168.1.1

[Quidway]

#删除主机名和IP地址

[Quidway]undo ip host gdkm

[Quidway]

三、VLAN接口操作(即VLAN的IP配置)

# 进入VLAN接口1

[Quidway] interface vlan-interface 1

# 配置VLAN接口1(vlan1的IP)的IP地址

[Quidway-Vlan-interface1] ip address 129.2.2.1 255.255.255.0

#一个VLAN接口可以有5个IP，但只有一个主的，其他的是附加的，而且不能在同一

个网段。

[Quidway-Vlan-interface1] ip address 129.2.200.1 255.255.255.0 sub

# 显示VLAN接口的（即VLAN的）IP地址

[Quidway-Vlan-interface2]display ip interface

或者[Quidway]display interface Vlan-interface 2

# 删除VLAN接口1（VLAN1的IP）的IP地址

[Quidway-Vlan-interface1]undo ip address 129.2.2.1 255.255.255.0

四、VLAN操作

# 创建VLAN2并进入其视图。

[Quidway] vlan 2

# 向VLAN2中加入端口Ethernet1/0/1和Ethernet1/0/2。

[Quidway-vlan2] port ethernet1/0/1 ethernet1/0/2

# 创建VLAN3并进入其视图。

[Quidway-vlan2] vlan 3

# 向VLAN3中加入端口Ethernet1/0/3和Ethernet1/0/4。

[Quidway-vlan3] port ethernet1/0/3 ethernet1/0/4

# 删除VLAN3中的端口Ethernet1/0/3和Ethernet1/0/4。

[Quidway-vlan3] undo port ethernet1/0/3 ethernet1/0/4

#在任意视图下显示VLAN的IP及VLAN的端口

[Quidway-vlan2] display vlan 1

[Quidway-vlan2] display vlan 2

[Quidway-vlan2] display vlan all

#在任意视图下显示端口属性

[Quidway] display interface

五、用户管理

设置登录模式（二种用户模式）

# VTY用户模式

[Quidway]user-interface vty 0

[Quidway-ui-vty0]

[Quidway-ui-vty0]authentication-mode ?

none Login without checking不用用户名和密码

password Use terminal interface password不用用户名，但要输密码

scheme Use RADIUS scheme要输用户名和密码

[Quidway-ui-vty0]authentication-mode scheme

# AUX用户模式

[Quidway]user-interface aux 0

[Quidway-ui-aux0]

[Quidway-ui-aux0]authentication-mode ?

none Login without checking不用用户名和密码

password Use terminal interface password不用用户名，但要输密码

scheme Use RADIUS scheme要输用户名和密码

[Quidway-ui-aux0]authentication-mode scheme

设置用户

[Quidway]local-user ldy 添加用户或进入用户

[Quidway-luser-ldy]password simple gdkm85292581 设置密码或修改密码

[Quidway-luser-ldy]undo password 删除密码

[Quidway-luser-ldy]service-type telnet level 3 设置或修改此用户可通过

TELNET连接且等级为3（共有0，1，2，3四个等级，3的权限最高）

[Quidway-luser-ldy] undo service-type …….可删除服务类型

[Quidway-luser-ldy] undo level .可删除等级

查看用户情况

# 查看用户界面用户

[Quidway]display users all

# 或者

[Quidway-ui-aux0]display user-interface

Idx Type Tx/Rx Modem Privi Auth Int

F 0 AUX

0 9600 - 3 N -

1 AUX

1 9600 - 3 N -

2 AUX

2 9600 - 3 N

3 AUX

3 9600 - 3 N

4 AUX

4 9600 - 3 N

5 AUX

5 9600 - 3 N

6 AUX

6 9600 - 3 N

7 AUX

7 9600 - 3 N

8 VTY

0 - 0 A

9 VTY

1 - 0 P

10 VTY

2 - 0 P

11 VTY

3 - 0 P

12 VTY

4 - 0 P

* : Current UI is active. 当前用户已经激活

F : Current UI is active and work in async mode.

Idx : Absolute index of UIs.

Type : Type and relative index of UIs.

Privi: The privilege of UIs.

Auth : The authentication mode of UIs.

-

-

-

-

-

-

-

-

-

-

-

Int : The physical location of UIs.

A : Authentication use AAA. 设置了用户模式为scheme，即要输用户

名和密码的用户模式

L : Authentication use local database.

N : Current UI need not authentication. 用户模式为NONE

P : Authentication use current UI's password. 用户模式为

PASSWORD，即只要输密码的。

# 或者

[Quidway]display local-user

The contents of local user gdkm:

State: Active ServiceT

ype Mask: T允许TELNET登录

Idle-cut: Disable

Access-limit: Disable Current

AccessNum: 0

Bind location: Disable

Vlan ID: Disable 登录进来的VLAN

IP address: Disable 登录进来的IP地址

MAC address: Disable 登录进来的硬件地址

User Privilege: 3 权限级别为3，即最大权限

The contents of local user ldy:

State: Active ServiceType Ma

sk: None 不允许任何连接方式

Idle-cut: Disable

Access-limit: Disable Current AccessNum: 0

Bind location: Disable

Vlan ID: Disable 登录进来的VLAN

IP address: Disable 登录进来的IP地址

MAC address: Disable 登录进来的硬件地址

没有显示权限级别，即权限级别为0，最低权限。

Total 2 local user(s) Matched, 2 listed.

ServiceType Mask Meaning:

C--Terminal F--FTP L--LanAccess S--SSH T—Telnet 五种连接方式的字母代

号

访问控制列表典型配置案例

1.3.1 高级访问控制列表配置案例

1. 组网需求

公司企业网通过Switch的百兆端口实现各部门之间的互连。财务部门的工资查询服务

器由Ethernet1/0/1端口接入（子网地址129.110.1.2）。要求正确配置ACL，限制其它部

门在上班时间8:00至18:00访问工资服务器。

2. 组网图

图1-1 访问控制典型配置举例

3. 配置步骤

& 说明：

以下的配置，只列出了与ACL配置相关的命令。

(1) 定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 working-day

# 查看时间段

[Quidway]display time-range all

# 删除时间段

[Quidway]undo time-range name huawei

(2) 定义到工资服务器的ACL

# 进入3000号的高级访问控制列表视图。

[Quidway] acl number 3000

# 定义其它部门到工资服务器的访问规则。

[Quidway-acl-adv-3000] rule 1 deny ip source any destination 129.110.1.2

0.0.0.0 time-range huawei

# 查看ACL

[Quidway]display acl all

# 删除ACL（在删除前必须先取消激活这条ACL）

[Quidway]undo acl number 3000

(3) 激活ACL。

# 将3000号ACL激活。

[Quidway] interface ethernet1/0/1

如果是华为S6502三层交换机,在使用packet-filter命令前必须先输入qos命令再回

车，才会有packet-filter命令。

[Quidway-Ethernet1/0/1] packet-filter inbound ip-group 3000

#取消3000号ACL激活

[Quidway]interface Ethernet 1/0/1

[Quidway-Ethernet1/0/1]undo packet-filter inbound ip-group 3000

1.3.2 基本访问控制列表配置案例

1. 组网需求

通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机

发出报文的过滤（该主机从交换机的Ethernet1/0/1接入）。

2. 组网图

图1-2 访问控制典型配置举例

3. 配置步骤

& 说明：

以下的配置，只列出了与ACL配置相关的命令。

(1) 定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2) 定义源IP为10.1.1.1的ACL

# 进入2000号的基本访问控制列表视图。

[Quidway] acl number 2000

# 定义源IP为10.1.1.1的访问规则。

[Quidway-acl-basic-2000] rule 1 deny source 10.1.1.1 0 time-range huawei

(3) 激活ACL。

# 将2000号ACL激活。

[Quidway] interface ethernet1/0/1

[Quidway-Ethernet1/0/1] packet-filter inbound ip-group 2000

1.3.3 二层访问控制列表配置案例

1. 组网需求

通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101

目的MAC为00e0-fc01-0303报文的过滤。（在交换机的Ethernet1/0/1进行本项配置）

2. 组网图

图1-3 访问控制典型配置举例

3. 配置步骤

& 说明：

以下的配置，只列出了与ACL配置相关的命令。

(1) 定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2) 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL

# 进入4000号的二层访问控制列表视图。

[Quidway] acl number 4000

# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101

ffff-ffff-ffff dest 00e0-fc01-0303 ffff-ffff-ffff time-range huawei

(3) 激活ACL。

# 将4000号ACL激活。

[Quidway] interface ethernet1/0/1

[Quidway-Ethernet1/0/1] packet-filter inbound link-group 4000

1.3.4 用户自定义访问控制列表配置案例

1. 组网需求

通过用户自定义访问控制列表，实现在每天8:00～18:00时间段内将所有的TCP报文

过滤出。

2. 组网图

图1-4 访问控制典型配置举例

3. 配置步骤

& 说明：

以下的配置，只列出了与ACL配置相关的命令。

(1) 定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2) 定义TCP报文的ACL

# 进入5000号用户自定义访问控制列表视图。

[Quidway] acl number 5000

# 定义TCP报文的流分类规则。

[Quidway-acl-user-5000] rule 1 deny 06 ff 35 time-range huawei

(3) 激活ACL。

# 将5000号ACL激活。

[Quidway] interface ethernet1/0/1

[Quidway-Ethernet1/0/1] packet-filter inbound user-group 5000

路由操作

显示路由表

# 显示当前路由表

[Quidway]display ip routing-table

【视图】任意视图

【参数】无

【描述】display ip routing-table命令用来查看路由表的摘要信息。该命令以摘要

形式显示路由表信息，每一行代表一条路由，内容包括：目的地址/掩码长度、协议、优先

级、度量值、下一跳、输出接口。

使用display ip routing-table命令仅能查看到当前被使用的路由，即最佳路由。

【举例】查看当前路由表的摘要信息。

display ip routing-table

Routing Table: public net

Destination/Mask Protocol Pre

Cost Nexthop Interface

1.1.1.0/24 DIRECT 0 0 1.

1.1.1 Vlan-interface1

1.1.1.1/32 DIRECT 0 0 12

7.0.0.1 InLoopBack0

2.2.2.0/24 DIRECT 0 0 2.

2.2.1 Vlan-interface2

2.2.2.1/32 DIRECT 0 0 12

7.0.0.1 InLoopBack0

3.3.3.0/24 DIRECT 0 0 3.

3.3.1 Vlan-interface3

3.3.3.1/32 DIRECT 0 0 12

7.0.0.1 InLoopBack0

4.4.4.0/24 DIRECT 0 0 4.

4.4.1 Vlan-interface4

4.4.4.1/32 DIRECT 0 0 12

7.0.0.1 InLoopBack0

127.0.0.0/8 DIRECT 0 0 127.0

.0.1 InLoopBack0

127.0.0.1/32 DIRECT 0 0 127.0.

0.1 InLoopBack0

表1-1 display ip routing-table命令显示信息解释

域名

Destination/Mask

Protocol

Pre

Cost

Nexthop

Interface

2、静态路由配置

#配置静态路由的命令及注解

ip route-static

ip-address

{

mask

|

mask-length

} {

interface-type

interface-number

|

next-hop

} [ preference

preference-value

] [ reject | blackhole ]

出

意义

目的地址/掩码长度

发现该路由的路由协议

路由的优先级

路由的开销值

此路由的下一跳地址

输出接口，即到该目的网段的数据包将从此接口发

undo ip route-static

ip-address

{

mask

|

mask-length

} [

interface-type

interface-number | next-hop

] [ preference

preference-value

] [ reject blackhole ]

【视图】系统视图

【参数】

ip-address

：目的IP地址，用点分十进制格式表示。

mask

：掩码。

mask-length

：掩码长度。由于要求32位掩码中的“1”必须是连续的，因此点分十进

制格式的掩码也可以用掩码长度

mask-length

来代替（掩码长度是掩码中连续“1”的位

数）。

interface-type

interface-number

：指定下一跳出接口。其中，null接口是一种虚拟

接口，到这个接口的数据包会被立即丢弃，能够减少系统的负荷。

next-hop

：指定该路由的下一跳IP地址（点分十进制格式）。

preference-value

：为该路由的优先级别，范围1～255。缺省值为60。

reject：指明为不可达路由。当到某一目的地的静态路由具有“reject”属性时，任

何去往该目的地的IP报文都将被丢弃，并且通知源主机目的地不可达。

blackhole：指明为黑洞路由。当去往某一目的地的静态路由具有“blackhole”属性

时，无论配置的下一跳地址是什么，该路由的出接口均为Null 0接口，任何去往该目的地

的IP报文都将被丢弃，并且不通知源主机。

# 配置缺省路由的下一跳为192.168.1.254

[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.1.254

# 配置静态路由：目标IP范围为125.216.192.0 255.255.255.0，下一跳为

192.168.1.253

[Quidway]ip route-static 125.216.192.0 255.255.255.0 192.168.1.253

# 删除全部静态路由

【命令】delete static-routes all

【视图】系统视图

【参数】无

【描述】delete static-routes all命令用来删除全部静态路由。使用本命令删除静

态路由时，系统会提示确认，确认后才会删除所配置的全部静态路由。相关配置可参考命令

ip route-static和display ip routing-table。

【举例】删除路由器的全部静态路由。

[Quidway] delete static-routes all

Are you sure to delete all the unicast static routes?[Y/N]y

# 删除某一条静态路由：删除目标IP范围为125.216.192.0 255.255.255.0的静态路

由。

[Quidway]undo ip route-static 125.216.192.0 255.255.255.0

ARP配置

ARP映射表既可以动态维护，也可以手工维护。通常将用户手工配置的IP地址到MAC

地址的映射，称之为静态ARP。通过相关的手工维护命令，用户可以显示、添加、删除ARP

映射表中的映射项。

ARP配置包括：

l 手工添加/删除静态ARP映射项

l 配置动态ARP老化定时器的时间

l 使能/关闭ARP表项的检查功能

1、手工添加/删除静态ARP映射项

静态ARP映射项可以在系统视图或以太网端口视图下配置。在系统视图下既可以配置

全局静态ARP映射项，也可以配置指定出端口的静态ARP映射项；在以太网端口视图下，所

在端口即指定为静态ARP的出端口。

请在系统视图或以太网端口视图下进行下列配置。

表2-1 手工添加/删除静态ARP映射项

命令

arp static

ip-address mac-address

手工添加静态ARP映射项（系统

[

vlan-id

{

interface-type

视图）

interface-number | interface-name

} ]

手工添加静态ARP映射项（以太arp static

ip-address mac-address

网端口视图）

vlan-id

手工删除静态ARP映射项（系统

undo arp

ip-address

视图或以太网端口视图）

需要注意的是：

l 静态ARP映射项在以太网交换机正常工作时间一直有效，但如果某ARP映射

项所对应的VLAN被删除，则该ARP表项也被删除。动态ARP映射项的缺省有效时间为20

分钟。

l 参数

vlan-id

必须是用户已经创建好的VLAN的ID，且

vlan-id

参数后面

指定的以太网端口必须属于这个VLAN。

l 如果某端口为聚合端口或启动了LACP协议，则不能被指定为静态ARP的出

端口。

缺省情况下，系统ARP映射表为空，由动态ARP协议获取地址映射。

2、配置动态ARP老化定时器的时间

[Quidway]arp timer aging 20 设置老化时间为20分钟

操作