一:常用的使用操作
路由器或防火墻的管理方式
1.web界面
直接瀏覽器輸入ip即可(圖形化操作,暫不介紹)
2.命令行
2.1命令行的接入
1).把PC機和路由器(交換機)的console口相連
2).開啟遠程終端即可(linux 需要安裝minicom.rpm包)
二:視圖簡介
對于市面上各種交換機和防火墻都有各自的視圖,而對于不同的視圖我們可以做不同的特定操作。可簡單分為用戶視圖,系統視圖,配置視圖(接口視圖)。
1. 用戶視圖
首先接入防火墻后我們是在用戶視圖
<H3C >
只有用戶視圖是用的 “<>” 號,其他視圖都是 ”[ ]”
在用戶視圖我們不能做任何配置命令,
可以查看信息,修改當前用戶的顯示信息,以及級別切換等
<H3C > Language-mode chinese 設置注釋語言為中文
<H3C > Super 3 切換到最高級別 管理員級別
<H3C > Display logbuffer 查看日志信息
<H3C > System-view 進入系統模式
2. system-view 視圖
system-view是我們最常用的視圖,在系統視圖,我們可以查看全局配置,同時可以修改和進行所有系統配置,每一個接口視圖間的切換都需要回到系統視圖。
[Firewall-f100] sysname H3C 設置系統視圖的名字為H3C
[H3C] firewall packet-filter default permit 開啟防火墻的包過濾
[H3C] acl number 2000 配置或創建acl命令
[H3C] Interface Ethernet 0/1 配置 E 0/1 端口
[H3C] Local-user admin配置或創建系統用戶
[H3C] User-interface vty 0 配置虛擬終端0 (配置其他非虛擬端口)
[H3C] Firewall zone trust 配置安全域(這里分四個域,local,trust,untrust,DMZ,其中DMZ是介于內網和外網之間的網絡,例如,在一個提供電子商務服務的網絡中,某些主機需要對外提供服務,如Web服務器、FTP服務器和郵件服務器等,為了更好地提供優質的服務,同時又要有效保護內部網絡的安全)
3. 配置視圖
配置視圖是在系統視圖的基礎上,配置某個端口或配置命令所進入的接口視圖。
配置視圖因為可以配置的操作很多,所以在此就挑出了一些比較常用的接口視圖做下簡單介紹。
輸入需要配置的接口或配置即可進入
接口視圖(如輸入):
[H3C] local-user admin
即可進入用戶配置視圖。
1). Local-user下常用配置
Local-user主要是用于配置或創建系統用戶信息,登錄并查看該設備的用戶
System-view
Local-user admin
進入后,在該配置視圖我們經常會用到以下幾條指令。
1.配置當前用戶密碼
[H3C-luser-admin] password simple 123123 //明文密碼
[H3C-luser-admin] password cipher 123123 //密文密碼
2.配置該用戶的登錄協議
[H3C-luser-admin] service-type telnet
3.配置用戶級別
[H3C-luser-admin] level 3
級別0和1,執行的命令結果不能被保存到配置文件中。
訪問級(0級):用于網絡診斷等功能的命令。包括ping、tracert、telnet等命令,級別最低。
監控級(1級):用于系統維護、業務故障診斷等。包括debugging、terminal等命令
系統級(2級):用于業務配置的命令。包括路由等網絡層次的命令,用于向用戶提供網絡服務。
管理級(3級):關系到系統的基本運行、系統支撐模塊功能的命令,是最高級,也是最常用的。
2). Interface Ethernet下常用配置
Interface Ethernet 主要是進入并配置端口, 可以配置ip和指定端口應用的規則等。
System-view 進入系統模式
Interface Ethernet 0/1 進入Ethernet 0/1端口
進入接口視圖后,可以先按下“?”給予提示操作,不過經常用到的是這些配置
1.配置描述信息 //介紹該端口的作用,例如 To-Lan
[interface Ethernet 0/1] description this is a test!
2.配置 ip
[interface Ethernet 0/1] ip address 10.10.192.1 24
3.配置 nat 規則
[interface Ethernet 0/1] nat outbound 2000
此處補充下, outbound 對應acl中的destnation
inbound 對應acl中的source
4.直接配置 acl 規則 (acl number 3000)
[interface Ethernet 0/1] firewall packet-filter 3000 inbound
5.配置映射信息
[interface Ethernet 0/1] nat server protocol tcp global 114.113.227.147 80 inside 10.10.32.50 80
如果定義了nat指令,必須開啟nat outbound static,在此接口輸入即可。
3). acl下常用配置
acl視圖主要是配置各種acl規則,用于限制或是禁止特定ip或是協議轉發。他的規則順序有2種,默認是conf按順序,auto是按深度優先(acl number 2000 match-order auto)
System-view 進入系統視圖
acl number 2000 創建或配置 acl規則
進入接口視圖后,記不清命令可按下“?”查看下提示,不過經常用到的是這些配置
1.描述信息
[H3C-acl-basic-2000] description To.lan
2.配置rule拒絕規則
[H3C-acl-basic-2000] rule 0 deny source 192.168.2.2 0
3.配置rule允許規則
[H3C-acl-basic-2000] rule 1 permit
4.刪除多余rule規則
[H3C-acl-basic-2000] undo rule 1
4). user-interface下常用配置
user-interface接口配置視圖配置遠程控制所需的虛擬接口或console口的控制信息。
<H3C> system-view 進入系統模式
[H3C]user-interface vty 0 進入虛擬終端
進入接口視圖后,記不清命令可按下“?”查看下提示,不過經常用到的是這些配置
1.配置密碼驗證模式為 組合模式(即 用戶+密碼)
[H3C-ui-vty0]authentication-mode scheme
2.定義該終端的遠控協議為telnet
[H3C-ui-vty0]protocol inbound telnet
3.設置用戶登錄超時時間
[H3C-ui-vty0]idle-time 5
4.設置登錄后自動執行命令,不過執行結束后,會斷開連接,所以一般配合telnet使用
[H3C-ui-vty0]auto-execute command telnet 10.10.192.1
三:防火墻特有部分配置
system-view 進入系統視圖
設置ip地址池,在acl 和 nat 規則可以用到定義的指定地址池ip
ip pool 1 192.168.1.1 192.168.1.100
配置nat組,一般用于nat轉發命令中
nat address-group 0 114.113.227.131 114.113.227.150
設置防火墻對網絡攻擊進行防護,all是所有攻擊類型(可單選)
firewall defend all
Interface Ethernet 1/0 進入Ethernet 1/0接口
配置nat的機器對外映射規則
nat static inside ip 10.10.32.13 global ip 114.113.227.144
配置nat的服務協議對外映射
nat server protocol tcp global 114.113.227.147 8080 inside 10.10.32.50 8080
四:日常使用命令大全
system-view 進入系統模式
sysname H3C 為設備命名
language-mode chinese 設置系統顯示語言,實現 中/英 切換
display current-configuration 查看當前系統配置信息
display this 查看當前設備的配置信息
display ip interface brief 查看ip端口的簡要信息
display ip routing-table 查看當前的路由表
display arp 查看arp信息
display cpu-usage 查看cpu信息
display logbuffer 查看日志記錄
display memory 查看內存信息
display version 查看版本信息
display users 查看當前用戶
display vlan all 查看所有的vlan
display acl all 查看所有acl信息
display 查看,在任何視圖下都可以進行查看命令。
Undo 取消,刪除,回復默認配置
quit 退出當前視圖,退出
reboot 重啟路由器(交換機)
save 保存當前路由器(交換機)配置
reset 清除(如配置信息,日志,統計數據等,
super 切換用戶級別
lock 鎖屏(暫時離開機器使用)
reset logbuffer 清空日志
reset saved-configuration 清空當前配置
firewall packet-filter 3000 outbound 配置防火墻過濾
firewall defend all 配置防火墻開啟保護
Interface Ethernet 1/1 配置E1/1端口
vlan 10 配置vlan10
port access vlan 10 配置端口到vlan 10中
port E1/0/2 to E1/0/5 配置端口到當前vlan
Acl number 2000 配置acl規則
Local-user admin 配置用戶信息
User-interface vty 0 配置虛擬終端
Description to.Wan 配置描述信息
Firewall zone trust 配置trust域
shutdown 關閉以太網端口
undo shutdown 撤銷命令
Ip http acl 2000 配置web管理規則
Ip http shutdown 關閉web管理
ip address 192.168.1.1 255.255.255.0 配置IP地址和子網掩碼
ip route-static 0.0.0.0 0.0.0.0 114.113.227.129 preference 60 設置默認路由
Ip pool 192.168.1.1 192.168.1.100 配置地址池
nat address-group 2 192.168.2.2 192.168.2.10 配置nat組
nat outbound 2000 address-group 2 配置nat控制
nat server protocol tcp global 114.113.227.147 80 inside 10.10.32.50 80 配置映射
聲明:『文章來源于網絡,不代表本平臺立場,僅供讀者參考,交流,學習之用, 版權歸屬原創者所有。如有侵權,請在后臺留言聯系我們進行刪除,謝謝!』
