h3c routemap
h3c路由器配置命令 (2)
H3C路由器配置命令概述本文将介绍H3C路由器的配置命令,包括基本设置、接口配置、路由配置、安全配置等方面。
通过了解和掌握这些命令,您可以轻松地对H3C路由器进行相关的配置。
基本设置主机名设置命令配置H3C路由器的主机名,可使用以下命令:[H3C] sysname Router上面的命令将主机名设置为“Router”。
Telnet远程登录设置命令配置允许通过Telnet协议远程登录路由器,可使用以下命令:[H3C] telnet server enable上面的命令将启用Telnet远程登录功能。
用户权限配置命令配置用户权限,可使用以下命令:[H3C] local-user admin password simple admin[H3C] local-user admin service-type telnet[H3C] local-user admin service-type ssh上面的命令将创建一个用户名为admin,密码为admin的用户,该用户允许Telnet和SSH登录。
接口配置入口接口配置命令配置入口接口,可使用以下命令:[H3C] interface gigabitethernet 0/0/1[H3C-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.0[H3C-GigabitEthernet0/0/1] undo shutdown上面的命令将配置接口GigabitEthernet 0/0/1的IP地址为192.168.1.1,子网掩码为255.255.255.0,并启用该接口。
出口接口配置命令配置出口接口,可使用以下命令:[H3C] interface gigabitethernet 0/0/2[H3C-GigabitEthernet0/0/2] ip address 192.168.2.1 255.255.255.0[H3C-GigabitEthernet0/0/2] undo shutdown上面的命令将配置接口GigabitEthernet 0/0/2的IP地址为192.168.2.1,子网掩码为255.255.255.0,并启用该接口。
ROUTE-policy路由策略规则详解
ROUTE-POLICY 路由策略规则详解在实际工程中经常用到route-policy的情况,下面对route-policy和ACL的详细匹配规则做以说明:一、标准访问列表:#acl number 2000rule 0 permit source 192.168.1.0 0.0.0.255此类ACL用于route-policy时做前缀匹配,即路由条目和规则条目做AND 运算,结果落在反掩码的包含范围之内的则匹配成功。
对于上述配置:192.168.1.0/24 192.168.1.0 /25 192.168.1.0/30 等均可匹配,但是192.168.1.0/16 等则匹配不成功。
二、扩展访问列表:#acl number 3000rule 0 permit ip source 192.168.1.0 0 destination 255.255.255.0 0acl number 3001rule 0 deny ip source 192.168.1.0 0 destination 255.255.255.0 0此类ACL比较特殊,源和目的的掩码均要为0 。
用于route-policy 是要做严格的匹配,即前缀要和source 匹配,前缀的掩码部分要和destination匹配。
对于上述配置3000来说,则只有192.168.1.0/24可与之匹配。
此类列表和Route-policy 配合可用于严格的匹配一条路由条目。
三、permit+permit的route-policy#route-policy t1 permit node 10if-match acl 3000apply local-preference 1300route-policy t1 permit node 20对于route-policy的permit规则来说,凡是能够匹配ACL permit规则的条目就执行node 10中的apply 规则,并不再继续匹配下面的规则。
盈高入网规范管理系统策略路由快速配置手册
盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址:ETH0 与联动网络设备相连,配置的 IP地址作为策略路由的下一跳地址;ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。
界面操作步骤:点击“系统设置”---“IP地址设置”,如下图:图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息:单位名称、界面名称显示等。
点击“系统设置”---“产品个性化定制”,如下图:图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”,盈高ASM将根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的控制等灵活控制。
ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。
点击“用户管理”---“角色列表”---“添加角色”,如下图:图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。
点击“用户管理”---“组织架构树”---“添加新组织架构”,创建部门,如下图:图4. 创建部门ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下图:图5. 批量导入部门2.3用户管理创建本地用户名、密码,用户单位人员入网的身份认证。
盈高入网规范管理系统策略路由快速配置手册
盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址:ETH0 与联动网络设备相连,配置的 IP地址作为策略路由的下一跳地址;ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。
界面操作步骤:点击“系统设置”---“IP地址设置”,如下图:图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息:单位名称、界面名称显示等。
点击“系统设置”---“产品个性化定制”,如下图:图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”,盈高ASM将根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的控制等灵活控制。
ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。
点击“用户管理”---“角色列表”---“添加角色”,如下图:图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。
点击“用户管理”---“组织架构树”---“添加新组织架构”,创建部门,如下图:图4. 创建部门ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下图:图5. 批量导入部门2.3用户管理创建本地用户名、密码,用户单位人员入网的身份认证。
H3C路由器配置命令表
H3C路由器配置命令表H3C路由器配置命令表1·路由器基本配置命令1·1 接口配置命令●interface <interface_name>: 进入接口配置模式●ip address <ip_address> <subnet_mask>: 设置接口IP地质和子网掩码●description <description>: 给接口添加描述信息1·2 路由配置命令●ip route <destination_network> <subnet_mask> <next_hop>: 配置路由●ip default-gateway <default-gateway_address>: 配置默认网关●ip routing: 开启路由功能1·3 主机名与域名配置命令●hostname <hostname>: 设置路由器主机名●domn-name <domn_name>: 设置路由器域名●enable password <password>: 设置访问特权模式的密码●line vty 0 4、进入VTY线路配置模式●login: 启用登录验证●password <password>: 设置VTP登录密码●exit: 退出线路配置模式2·协议配置命令2·1 静态路由配置命令●ip route-static <destination_network><subnet_mask> <next_hop>: 配置静态路由2·2 动态路由配置命令●router rip: 进入RIP路由配置模式●network <network_address>: 配置本地网络●router ospf <process_id>: 进入OSPF路由配置模式●network <network_address> <subnet_mask> area <area_id>: 配置本地网络●router bgp <AS_number>: 进入BGP路由配置模式●network <network_address> mask<subnet_mask>: 配置本地网络●neighbor <neighbor_address> remote-as<AS_number>: 配置BGP邻居3·安全配置命令3·1 访问控制列表(ACL)配置命令●access-list <acl_number> {permit ---●deny} <protocol> <source_ip> <destination_ip>: 配置ACL规则●interface <interface_name>●inbound----outbound ip access-group<acl_number>: 将ACL应用于接口的进或出方向3·2 密码和认证配置命令●enable secret <password>: 设置特权模式密码●username <username> password <password>: 创建本地用户名和密码4·网络地质转换(NAT)配置命令4·1 静态NAT配置命令●interface <inside_interface>●nat static <inside_local_ip><outside_global_ip>4·2 动态NAT配置命令●interface <inside_interface>●nat dynamic <outside_interface>5·本地管理配置命令5·1 SSH配置命令●rsa local-key-pr create: RSA密钥对●ssh server enable: 启用SSH服务器●ssh user <username> authentication-type password: 设置SSH用户身份验证方式为密码●user-interface vty 0 4、进入VTY用户界面配置模式●authentication-mode aaa: 设置认证模式为AAA●protocol inbound ssh: 允许SSH访问5·2 SNMP配置命令●snmp-agent sys-info version <version>: 设置SNMP版本●snmp-agent community read <community_name>: 配置SNMP读社区字符串附件:本文档不涉及附件。
策略路由-交换机配置
1.1.1CISCO交换机配置方法一、(不具备逃生方案)建立ACLip access-list extended policy-route-aclpermit ip any anyexit配置route-map路由图route-map policy-routematch ip address policy-route-aclset ip next-hop 192.168.100.123exit在接口上应用route-mapinterface vlan 54ip policy route-map policy-routeexit方法二、(具备逃生方案)建立ACLaccess-list 101 permit ip 192.168.36.0 0.0.0.255 anyip access-list extended policy-route-aclpermit ip any anyexit配置带下跳检测的route-map路由图ip sla monitor 1type echo protocol ipIcmpEcho 172.28.1.11frequency 8ip sla monitor schedule 1 life forever start-time nowtrack 123 rtr 1 reachabilityip sla monitor 2type echo protocol ipIcmpEcho 172.28.1.12frequency 8ip sla monitor schedule 2 life forever start-time nowtrack 223 rtr 2 reachabilityroute-map policy_routematch ip address policy-route-aclset ip next-hop verify-availability 172.28.1.11 10 track 123 set ip next-hop verify-availability 172.28.1.12 20 track 223 在接口上应用route-mapinterface vlan 200ip policy route-map policy-routeCISCO EEM逃生方案#创建一个event managerevent manager applet PBR#您那边的event manager如果版本是3.0的话应该支持#event track 1的用法,我们这里只支持syslog进行模式匹配event syslog pattern "Interface FastEthernet0/3, changed state to down" action 1.0 syslog msg "PBR to shutdown the interface vlan 112"action 1.1 cli command "en"action 1.3 cli command "config term"action 1.5 cli command "int vlan 112"action 1.7 cli command "shutdown"1.1.2H3C交换机配置1.2.2.1policy-based-route方法配置建立ACLacl number 3040rule 0 permit ip source anyquit配置policy-based-route路由图policy-based-route policy-route permit node 10if-match acl 3040apply ip-address next-hop 192.168.100.123quit在接口应用policy-based-routeinterface Ethernet0/3.40ip policy-based-route policy-routequit1.2.2.2qos policy方法配置配置ACL策略[H3C7506E]acl number 3040[H3C7506E-acl-adv-3040] rule 10 permit ip source any[H3C7506E-acl-adv-3040]quit配置匹配ACL的流分类1[H3C7506E] traffic classifier 1[H3C7506E-classifier-1] if-match acl 3040[H3C7506E-classifier-1] quit配置刚才定义的流分类1的行为,定义如果匹配就下一跳至192.168.100.123 [H3C7506E] traffic behavior 1[H3C7506E-behavior-1] redirect next-hop 192.168.100.123[H3C7506E-behavior-1] quit将刚才设置的流分类及行为应用至QOS策略中,定义policy 1[H3C7506E] qos policy 1[H3C7506E-qospolicy-1] classifier 1[H3C7506E-qospolicy-1] behavior 1[H3C7506E-qospolicy-1] quit在接口上应用定义的QOS策略policy 1[H3C7506E] interface GigabitEthernet 2/0/11[H3C7506E-GigabitEthernet2/0/11] qos apply policy 1 inbound[H3C7506E-GigabitEthernet2/0/11] quit1.2.2.3route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由图route-policy policy-route permit node 1if-match acl 3000apply ip-address next-hop 192.168.100.123quit在接口应用route policyinterface Ethernet1/0ip policy route-policy policy-routequit1.2.2.4traffic-redirect方法配置建立ACLacl number 3000rule 0 permit ip source anyquit在接口应用traffic-redirecinterface GigabitEthernet6/1/1traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123quit逃生方案:traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123 in forword1.1.3华为交换机配置1.2.3.1traffic-policy方法配置配置ACL策略acl number 3040rule 10 permit ip source anyquit配置匹配ACL的流分类1traffic classifier 1if-match acl 3040quit配置刚才定义的流分类1的行为,定义如果匹配就下一跳至192.168.100.123 traffic behavior 1redirect next-hop 192.168.100.123quit将刚才设置的流分类及行为应用至traffic-policy策略中,定义policy 1traffic policy 1classifier 1 behavior 1quit在接口上应用定义的QOS策略policy 1interface GigabitEthernet 2/0/11traffic-policy 1 inboundquit1.2.3.2traffic-redirect方法配置建立ACLacl number 3000rule 0 permit ip source anyquit在接口应用traffic-redirecinterface GigabitEthernet6/1/1traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123quit1.2.3.3route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由图route-policy policy-route permit node 1if-match acl 3000apply ip-address next-hop 192.168.100.123quit在接口应用route policyinterface Ethernet1/0ip policy route-policy policy-routequit。
华三交换机-路由器配置命令
华三交换机-路由器配置命令华三交换机-路由器配置命令第一章:登录华三交换机-路由器1. 使用浏览器登录:a. 打开浏览器;b. 在地址栏中输入交换机-路由器的IP地址;c. 输入正确的用户名和密码;d. 单击登录按钮。
2. 使用命令行登录:a. 打开命令提示符或终端窗口;b. 输入telnet或ssh命令,后跟交换机-路由器的IP地址;c. 输入正确的用户名和密码;d. 按下回车键登录。
第二章:基本配置1. 设置主机名:hostname [主机名]2. 设置登录密码:enable password [密码]3. 配置管理接口:interface [接口]ip address [IP地址] [子网掩码] 4. 配置默认网关:ip default-gateway [默认网关]第三章:VLAN(虚拟局域网)配置1. 创建VLAN:vlan [VLAN号]name [VLAN名称]2. 配置端口―VLAN关联:interface [端口]switchport mode accessswitchport access vlan [VLAN号] 3. 配置交换机端口为Trunk口:interface [端口]switchport mode trunk第四章:路由配置1. 静态路由配置:ip route [目标网络] [目标子网掩码] [下一跳IP地址] 2. OSPF(开放最短路径优先)配置:router ospf [进程号]network [网络地址] [通配符] area [区域号]3. BGP(边界网关协议)配置:router bgp [自治系统号]neighbor [对等体IP地址] remote-as [对等体自治系统号]第五章:安全配置1. 配置SSH(安全外壳协议):crypto key generate rsaip ssh server enable2. 配置访问控制列表(ACL):ip access-list [ACL名称]permit/deny [源IP地址] [目标IP地址] [协议]第六章:性能优化配置1. 配置端口速率限制:interface [端口]bandwidth [带宽]2. 配置端口链路聚合(LACP):interface port-channel [聚合组号]channel-group [组号] mode active3. 配置端口流量控制:interface [端口]storm-control [选项]附件:本文档涉及的附件可在[link]。
H3C网络测试命令
sysname (=hostname) 修改名字
display current-configuration (=show run) 查看所有配置
display saved-configuration (=show start-configuration) 查看保存的配置
查看IP地址归属地:
恢复交换机出厂配置: reset save
查看配置:dis cur
交换机重启:reboot
使用尖括号输入用:sys
使用中括号输入用:quit
system-view (=configure terminal) 从用户视图进入系统视图
(=username XXX password ***)
reboot (=reload) 重新启动
tracert (=traceroute) 查看路径
terminal debugging
debugging ip icmp (debug ip icmp) 打开对PING包的监控开关
display version (=show version) 查看版本
ip route-static 192.168.1.0 24 12.1.1.1 配置静态路由
ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 配置默认路由
rip
version 2
undo summary
network 12.1.1.0 配置RIP
silent-interface e0/0 将e0/0设成被动接口
rule permit ip source 12.1.1.1 0.0.0.0 destination 23.1.1.3 0.0.0.0
H3C路由器配置命令表
H3C路由器配置命令表H3C路由器配置命令表1.基本配置1.1 设备登录- 登录路由器:`telnet <IP地质>`- 输入用户名和密码进行身份验证:`<用户名>`, `<密码>`1.2 设备名称配置- 进入全局配置模式:`system-view`- 配置设备名称:`hostname <设备名称>`2.接口配置2.1 配置接口IP地质- 进入接口视图:`interface <接口类型><编号>`- 配置IP地质:`ip address <IP地质> <子网掩码>`3.静态路由配置3.1 配置静态路由- 进入路由模式:`ip route-static <目标网络地质> <目标子网掩码> <下一跳地质>`4.路由协议配置4.1 配置OSPF路由协议- 进入接口视图:`interface <接口类型><编号>`- 启动OSPF进程:`ospf <进程ID> area <区域ID>`- 配置网络类型:`network <网络地质> 0.0.0.0 <区域ID>` - 配置路由汇总:`summary-address <汇总地质> <区域ID>`5.安全配置5.1 基于ACL的安全配置- 创建ACL:`acl number <ACL号>`- 配置允许通信的规则:`permit <源地质> <源掩码> <目的地质> <目的掩码>`- 应用ACL:`interface <接口类型><编号>`, `ip packet filter <ACL号> <方向>`- 查看ACL配置:`display current-configuration interface <接口类型><编号>`6.NAT配置6.1 配置静态NAT- 进入全局配置模式:`system-view`- 配置静态NAT:`nat static <内部地质> <内部端口> <全局外部地质> <全局外部端口>`7.VLAN配置7.1 创建VLAN- 进入全局配置模式:`system-view`- 创建VLAN:`vlan <VLAN ID>`- 配置VLAN名称:`name <VLAN名称>`8.系统配置8.1 系统时间配置- 进入全局配置模式:`system-view`- 配置时区:`clock timezone <时区差值>`- 设置时间:`clock datetime <年份> <月份> <日> <小时> <分钟> <秒>`9.附件本文档不涉及附件。
华为路由器常用基本配置命令
H3C路由器常用基本配置命令Quidwaysysname router_name 命名路由器或交换机Quidwaydelete 删除Flash ROM中的配置Quidwaysave 将配置写入Flash ROMQuidwayinterface serial 0 进入接口配置模式Quidwayquit 退出接口模式到系统视图Quidwayshutdown/undo shutdown 关闭/重启接口Quidwayip address ip_address subnet_mask 为接口配置IP地址和子网掩码Quidwaydisplay version 显示VRP版本号Quidwaydisplay current-configuration 显示系统运行配置信息Quidwaydisplay interfaces 显示接口配置信息Quidwaydisplay ip routing 显示路由表Quidwayping ip_address 测试网络连通性Quidwaytracert ip_address 测试数据包从主机到目的地所经过的网关Quidwaydebug all 打开所有调试信息Quidwayundo debug all 关闭所有调试信息Quidwayinfo-center enable 开启调试信息输出功能Quidwayinfo-center console dubugging 将调试信息输出到PCQuidwayinfo-center monitor dubugging 将调试信息输出到Telnet终端或哑终端换机配置命令举例大括号{}中的选项为单选项,斜体字部分为参数值Quidwaysuper password password 修改特权模式口令Quidwaysysname switch_name 命名交换机或路Quidwayinterface ethernet 0/1 进入接口视图Quidwayquit 退出系统视图Quidway-Ethernet0/1duplex {half|full|auto} 配置接口双工工Quidway-Ethernet0/1speed {10|100|auto} 配置接口速率Quidway-Ethernet0/1flow-control 开启流控制Quidway-Ethernet0/1mdi {across|normal|auto} 配置MDI/MDIXQuidway-Ethernet0/1shutdown/undo shutdown 关闭/重启端口VLAN基本配置命令以Quidway S3026为例 Quidwayvlan 3 创建并进入VLAN配置模式,缺省时系统将所有端口加入VLAN 1,这个端口既不能被创建也不能被删除;Quidwayundo vlan 3 删除一个VLANQuidway-vlan3port ethernet 0/1 to ethernet 0/4 给VLAN增加/删除以太网接口Quidway-Ethernet0/2port access vlan 3 将本接口加入到指定VLAN id Quidway-Ethernet0/2port link-type {access|trunk|hybrid} 设置端口工作方式,access缺省不支持帧的传送,而trunk支持用于Switch间互连,hybrid和trunk的区别在于 trunk只允许缺省VLAN的报文发送时不打标签,而hybrid允许多个VLAN报文发送时不打标签;端口聚合配置命令Quidwaylink-aggregation ethernet 0/7 to ethernet 0/10 {ingress|both} 配置端口聚合Port_num1为端口聚合组的起始端口号,Port_num2为终止端口号ingress为接口入负荷分担方式,both为接口出负荷分担方式;STP基本配置命令Quidwaystp {enable|disable} 开启/关闭 STP 功能,默认关闭,开启后所有端口都参与STP 计算;Quidway-Ethernet0/3stp disable 关闭指定接口上的STP功能,如某些网络不存在环路可以关闭STP;PPP配置命令Quidway-Serial0link-protocol ppp 封装PPP协议Quidway-Serial0ppp authentication-mode {pap|chap} 设置验证类型Quidwaylocal-user username password {simple|cipher} password 配置用户列表- PAP验证配置:主验证方Quidwaylocal-user username password {simple|cipher} password 配置用户列表Quidway-Serial0ppp authentication-mode pap被验证方Quidway-Serial0ppp pap local-user username password {simple|cipher} password- CHAP验证配置:主验证方Quidwaylocal-user username password {simple|cipher} password 配置被验证方用户列表Quidway-Serial0ppp chap host hostname 配置本地名称Quidway-Serial0ppp authentication-mode chap被验证方Quidwaylocal-user username password {simple|cipher} password 配置主验证方用户列表Quidway-Serial0ppp chap user username 配置本地名称MP配置命令Quidway-Serial0ppp mp 封装MP协议Quidwayppp mp user username bind virtual-template number 建立用户与虚拟模板的对应关系Quidwayinterface virtual-template number 配置虚拟接口模板Quidwayppp mp max-bind number 设置虚拟模板最大绑定数1-100帧中继配置命令Quidway-Serial0link-protocol fr {mfr|ietf|nonstandard} 封装帧中继协议:IETF、Cisco兼容Quidway-Serial0fr interface-type {dte|dce|nni} 配置帧中继接口类型,NNI为帧中继交换机之间的接口;若配为DCE或NNI,则须先使能fr switching;Quidway-Serial0fr lmi type {q933a|ansi|cisco-compatible} 配置LMI协议类型Quidway-Serial0fr dlci dlci_number 配置一条本地虚电路号Quidway-Serial0fr map {ip|ipx} protocol-address dlci dlci_number 建立本地DLCI到对端协议地址的映射Quidway-Serial0fr inarp ip|ipx dlci_number 配置Inverse ARP动态映射Quidwayinterface type 创建并进入子接口配置模式RIP协议配置命令Quidwaydisplay rip 显示RIP配置信息Quidwayrip 启动并进入RIP配置模式Quidway-ripnetwork {network_number|all} 在指定网络上使能RIPQuidway-rippeer ip_address 配置报文的定点传送Quidway-Ethernet0rip version {1|2 bcast|mcast} 指定RIP版本及传送方式Quidway-Serial0rip work 指定接口工作状态同rip input,rip outputQuidway-ripauto-summary 配置RIP-2路由聚合Quidway-Serial0rip authentication simple password 配置RIP-2明文认证密码Quidway-Serial0rip authentication md5 key-string string 配置RIP-2 MD5密文认证密码串Quidway-Serial0rip authentication md5 type {nonstandard-compatible|usual} 指定MD5类型Quidwaydebugging rip packet 打开RIP调试开关Quidwayinfo-center console 将调试信息输出到PC静态路由配置命令Quidwayip route ip_address subnet_mask {interface_name|gateway_address} preference preference_value reject|black_bone命令说明 reject:任何去往该目的地的报文均被丢弃,通知源主机不可达;black_bone:任何去往该目的地的报文均被丢弃,不通知源主机;当只有下一跳的接口是PPP或HDLC接口才能写interface_name,如Serial0,否则只能写gateway_address下一跳地址;命令举例 Quidwayip route 16Quidwayip routeQuidwayip route 16 Serial2Quidwayip route 配置缺省路由;OSPF配置命令Quidwayrouter id ip_address 配置Router IDQuidwayospf enable 启用OSPF协议Quidway-Serial0ospf enable area area_id 配置当前接口所属的OSPF区域。
h3c路由器配置命令h3c路由器接口配置命令
h3c路由器配置命令h3c路由器接口配置命令[quidway]sysnamerouter_name命名路由器(或交换机)[quidway]delete删除flashrom中的配置[quidway]save将布局载入flashrom[quidway]interfaceserial0进入接口配置模式[quidway]quit选择退出USB模式至系统视图[quidway]shutdown/undoshutdown关闭/重启接口[quidway]ipaddressip_addresssubnet_mask为USB布局ip地址和子网掩码[quidway]displayversion显示vrp版本号[quidway]displaycurrent-configuration表明系统运转布局信息[quidway]displayinterfaces显示接口配置信息[quidway]displayiprouting表明路由表[quidway]pingip_address测试网络连通性[quidway]tracertip_address测试数据包从主机至目的地所经过的网关[quidway]debugall打开所有调试信息[quidway]undodebugall停用所有调试信息[quidway]info-centerenable开启调试信息输出功能[quidway]info-centerconsoledubugging将调试信息输入至pc[quidway]info-centermonitordubugging将调试信息输出到telnet终端或哑终端换机布局命令举例(大括号{}中的选项为单选项,斜体字部分为参数值[quidway]superpasswordpassword修改特权模式口令[quidway]sysnameswitch_name命名交换机(或路[quidway]interfaceethernet0/1进入接口视图[quidway]quit选择退出系统视图[quidway-ethernet0/1]duplex{half|full|auto}配置接口双工工[quidway-ethernet0/1]speed{10||auto}布局USB速率[quidway-ethernet0/1]flow-control开启流控制[quidway-ethernet0/1]mdi{across|normal|auto}布局mdi/mdix[quidway-ethernet0/1]shutdown/undoshutdown关闭/重启端口vlan基本布局命令(以quidways为基准)[quidway]vlan3建立并步入vlan布局模式,缺省时系统将所有端口加入vlan1,这个端口既不能被创建也不能被删除。
H3C-路由器双出口NAT服务器的典型配置
H3C- 路由器双出口NAT服务器的典型配置在公司或者组织中,我们通常需要一个网络管理工具,这个工具可以管理和监控网络中的所有设备,保证网络的安全和稳定性。
其中,路由器双出口NAT服务器是一种非常常见的网络管理工具。
本文将介绍 H3C 路由器双出口 NAT 服务器的典型配置方法。
前置条件在进行配置之前,需要确保以下条件:•路由器需要复位为出厂设置状态。
•电脑需要连接到路由器的任意一口网卡上。
•管理员需要知道所需配置的类型和参数。
网络环境在这里,我们假设 LAN 网段为 192.168.1.0/24,WAN1 网卡 IP 地址为10.0.0.1/24,WAN2 网卡 IP 地址为 20.0.0.1/24。
配置步骤步骤1 分别配置两个 WAN 口•登录到 H3C 路由器上,使用管理员权限。
•分别进入 WAN1 和 WAN2 的配置页面,输入以下指令:interface GigabitEthernet 0/0/0undo portswitchip address 10.0.0.1 24nat server protocol tcp global current-interface 80 inside 192.168.1.10 80region member CNinterface GigabitEthernet 0/0/1undo portswitchip address 20.0.0.1 24nat server protocol tcp global current-interface 80 inside 192.168.1.10 80region member CN步骤2 配置路由策略•在路由器上进入配置模式,输入以下指令:ip route-static 0.0.0.0 0.0.0.0 10.0.0.254ip route-static 0.0.0.0 0.0.0.0 20.0.0.254 preference 10route-policy Wan1 permit node 10route-policy Wan2 deny node 20interface GigabitEthernet 0/0/0ip policy route-map Wan1interface GigabitEthernet 0/0/1ip policy route-map Wan2步骤3 配置防火墙•进入防火墙配置页面,输入以下指令:user-interface vty 0 4protocol inbound sshacl number 3000rule 0 permit source 192.168.1.0 0.0.0.255rule 5 permit source 10.0.0.0 0.0.0.255rule 10 permit source 20.0.0.0 0.0.0.255firewall packet-filter 3000 inbound步骤4 配置虚拟服务器•进入虚拟服务器配置页面,输入以下指令:ip name-server 192.168.1.1acl name WAN1rule 0 permit destination 10.0.0.0 0.255.255.255rule 5 denyacl name WAN2rule 0 permit destination 20.0.0.0 0.255.255.255rule 5 denyip netstream inboundip netstream export source 192.168.1.1 9991ip netstream timeout active-flow 30flow-export destination 192.168.1.2 9991flow-export enable结论以上是 H3C 路由器双出口 NAT 服务器的典型配置方法,这套配置可以满足大部分企业网络环境的需求。
H3C路由器命令大全与解释
H3C路由器命令大全与解释通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。
1、配置内网接口(Ethernet0/0):[MSR20-20] interface Ethernet0/0[MSR20-20- Ethernet0/0]ip add 192.168.1.1 242、使用动态分配地址的方式为局域网中的PC分配地址[MSR20-20]dhcp server ip-pool 1[MSR20-20-dhcp-pool-1]network 192.168.1.0 24[MSR20-20-dhcp-pool-1]dns-list 202.96.134.133[MSR20-20-dhcp-pool-1] gateway-list 192.168.1.13、配置nat[MSR20-20]nat address-group 1 公网IP 公网IP[MSR20-20]acl number 3000[MSR20-20-acl-adv-3000]rule 0 permit ip4、配置外网接口(Ethernet0/1)[MSR20-20] interface Ethernet0/1[MSR20-20- Ethernet0/1]ip add 公网IP[MSR20-20- Ethernet0/1] nat outbound 3000 address-group 15.加默缺省路由[MSR20-20]route-stac 0.0.0.0 0.0.0.0 外网网关总结:在2020路由器下面,配置外网口,配置内网口,配置acl 作nat,一条默认路由指向电信网关. ok!Console登陆认证功能的配置关键词:MSR;console;一、组网需求:要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。
二、组网图:三、配置步骤:设备和版本:MSR系列、version 5.20, R1508P02:1) 在配置完成后,释放当前连接,重新连接设备即可。
H3C路由器配置命令表
H3C路由器配置命令表H3C路由器配置命令表1. 登录路由器打开终端软件,通过SSH或Telnet等方式登录路由器。
查看连接路由器的IP地址,并使用相应的登录命令。
登录命令示例:```telnet 192.168.1.1```2. 基本配置配置路由器的基本信息,包括主机名、域名、设备密码等。
主机名配置命令示例:```sysname Router```域名配置命令示例:```ip domn nam```设备密码配置命令示例:```password level 3 password123```3. 网络接口配置配置路由器的各个网络接口,包括IP地址、接口描述、接口状态等。
配置接口IP地址命令示例:```interface GigabitEthernet0/0/1ip address 192.168.1.1 255.255.255.0```配置接口描述命令示例:```interface GigabitEthernet0/0/1description LAN 1```配置接口状态命令示例:```interface GigabitEthernet0/0/1shutdown```4. 静态路由配置配置静态路由,指定路由器的下一跳地址。
配置静态路由命令示例:```ip route-static 10.0.0.0 255.0.0.0 192.168.2.1```5. 动态路由配置配置动态路由,使路由器能够自动学习并转发路由信息。
启用动态路由命令示例:```router ripnetwork 192.168.0.0```配置邻居关系命令示例:```ipv6 rip 1 enableipv6 rip 1 neighbor 2001:db8::1 GigabitEthernet0/0/1 ```6. ACL配置配置访问控制列表(ACL),用于控制数据包的转发。
创建ACL命令示例:```acl number 2001rule 10 permit ip source 192.168.1.0 0.0.0.255```将ACL应用到接口命令示例:```interface GigabitEthernet0/0/1traffic-filter acl 2001 outbound```7. NAT配置配置网络地址转换(NAT),用于实现内部私有IP地址与外部公有IP地址之间的映射。
H3C的路由器配置命令详解
H3C的路由器配置命令详解en 进入特权模式conf 进入全局配置模式in s0 进入 serial 0 端口配置ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配enca hdlc/ppp 捆绑链路协议 hdlc 或者 pppip unn e0exit 回到全局配置模式in e0 进入以太接口配置ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配exit 回到全局配置模式ip route 0.0.0.0 0.0.0.0 s 0 添加路由表ena password 口令writeexit以上根据中国电信 ddn 专线多数情况应用普通用户模式enable 转入特权用户模式exit 退出配置help 系统帮助简述language 语言模式切换ping 检查网络主机连接及主机是否可达show 显示系统运行信息telnet 远程登录功能tracert 跟踪到目的地经过了哪些路由器特权用户模式#?clear 清除各项统计信息clock 管理系统时钟configure 进入全局配置模式debug 开启调试开关disable 返回普通用户模式download 下载新版本软件和配置文件erase 擦除FLASH中的配置exec-timeout 打开EXEC超时退出开关exit 退出配置first-config 设置或清除初次配置标志help 系统帮助简述language 语言模式切换monitor 打开用户屏幕调试信息输出开关no 关闭调试开关ping 检查网络主机连接及主机是否可达reboot 路由器重启setup 配置路由器参数show 显示系统运行信息telnet 远程登录功能tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM中全局配置模式aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表arp 设置静态ARP人口chat-script 生成一个用在modem上的执行脚本custom-list 创建定制队列列表dialer-list 创建dialer-listdram-wait 设置DRAM等待状态enable 修改ENABLE口令exit 退出全局配置模式firewall 配置防火墙状态flow-interval 设置流量控制时间间隔frame-relay 帧中继全局配置命令集ftp-server FTP 服务器help 系统帮助命令简述host 添加主机名称和其IP地址hostname 修改主机名ifquelen 更改接口队列长度interface 选择配置接口ip 全局IP配置命令子集ipx 全局IPX配置命令子集loghost 设置日志主机IP地址logic-channel 配置逻辑通道login 启动EXEC登录验证modem-timeout 设置 modem 超时时间multilink 配置multilink 用户使用的接口multilink-user 配置multilink 用户使用的接口natserver 设置FTP,TELNET,WWW服务的IP地址no 关闭某些参数开关priority-list 创建优先级队列列表router 启动路由处理settr 设置时间范围snmp-server 修改SNMP参数tcp 配置全局TCP参数timerange 启动或关闭时间区域user 为PPP验证向系统中加入用户vpdn 设置VPDNvpdn-group 设置VPDN组x25 X.25协议分组层H3C交换机常用命令解释H3C交换机常用命令注释H3C交换机#######################################################################31、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、 language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、 port link-type Access|Trunk|Hybrid 设置端口访问模式7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器######################################################################################1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、 language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、 ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router##########################################################################################1、调整超级终端的显示字号;2、捕获超级终端操作命令行,以备日后查对;3、 language-mode Chinese|English 中英文切换;4、复制命令到超级终端命令行,粘贴到主机;5、交换机清除配置 :reset save ;reboot ;6、路由器、交换机配置时不能掉电,连通测试前一定要检查网络的连通性,不要犯最低级的错误。
网络安全内测题
⽹络安全内测题Y2⽹络内测试题1.在交换机上配置(),能有效防御ARP攻击和ARP欺骗。
A.DHCP监听B.IP源防护C.动态ARP检测D.端⼝安全2.配置DAI并能实现正常功能,则必须启⽤的功能是()。
A.端⼝安全B.D HCP监听C.I P源防护D.配置管理VLAN3.关于PAP和CHAP认证下⾯说法正确的是()。
A.P AP认证是3次握⼿⽽CHAP认证是2次握⼿B.C HAP在认证过程中没有传递密码⽽PAP需要发送密码C.C HAP认证⽐PAP认证更安全D.C HAP基于三层认证⽽PAP基于⼆层认证4.IPS⽀持四种⾓⾊,其中()⽤户⾓⾊拥有最⾼的权限等级,能执⾏所有的功能和配置A.管理员B.操作员C.观察员D.服务5.关于IPS和IDS区别下⾯说法正确的是()。
A.I DS是⼊侵防护⽽IPS是⼊侵检测,所以IPS⽐IDS更好更安全B.I DS设备位于⽹络流量路劲上,IPS设备位于⽹络流量路劲外C.I DS和IPS都位于⽹络路劲上D.I PS传感器的模式有混杂模式,在线(Inline)模式6.关于IDS和IPS功能说法正确的是()。
A.当IDS检查到不安全的⽹络流量时,只能发出告警通知其他设备处理,⾃⾝⽆法拦截不安全的流量B.当IDS检测到不安全的⽹络流量时,可以根据⾃⾝的策略阻塞不安全的流量C.当IPS检查到不安全的⽹络流量时,只能发出告警通知其他设备处理,⾃⾝⽆法拦截不安全流量D.当IPS检测到不安全的⽹络流量时,可以根据⾃⾝的策略阻塞不安全的流量7.在下列选项中,不属于IPv6数据包结构中的字段的是()。
A.版本B.流量类型C.标志D.跳数8.IPv6地址2001:0000:0000:1a30:0000:0000:0100:3e45,正确的缩写表⽰是()。
A.2001:0:0:1a30::100:3e45B.2001::1a30::100:3e45C.2001::1a30:0:1:3e45D.2001:0:0:1a3::100:3e459.实现cisco CME功能,下列说法错误的是()。
华三路由器路由命令..
HDLC协议的配置
•在接口上封装HDLC协议
–link-protocol hdlc
•打开HDLC所有报文调试信息开关
–debugging hdlc all [ interface type number ]
•打开HDLC事件调试信息开关
–debugging hdlc event [ interface type number ]
• 任意视图 • 【描述】
• • • • • • • • • • • •
# 显示OSPF的概要信息。 <H3C> display ospf brief
OSPF Process 1 with Router ID 1.1.1.1 OSPF Protocol Information
RouterID: 172.16.2.2 Spf-schedule-interval: 5 Routing preference: Inter/Intra: 10 External: 150 Default ASE parameters: Metric: 1 Tag: 1 Type: 2 SPF computation count: 4 Area Count: 1 Nssa Area Count: 0
•打开HDLC数据包调试信息开关
–debugging hdlc packet [ interface type number ]
PPP配置命令
• 封装PPP
– link-protocol ppp
• 设置验证类型
– ppp authentication-mode {pap|chap}
• 设置用户名、口令、服务类型
开启已经关闭的端口
[H3C] interface serial 0/0 [H3C-serial0/0] undo shutdown
路由策略
1、路由策略:路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤。
2、路由策略(rp)与策略路由(pbr)路由策略:先路由后策略策略路由:先策略后路由3、acl、地址前缀列表、bgp4、ACL 抓路由路由策略:1.抓前缀相同是几就是几,不同都为零2、抓反掩码相同为零,不同为13.根据反掩码中1的个数N来验证所抓路由的条数为2的N次方条路由。
反掩码有几个一路由就有几个 3 两个一 2的2次方就是4思科access-list 1 permit 2.2.0.0 0.0.19.0 1、是标准号(思科1—199)(华为2000---2999) 增加条目时修改1的位置route-map h3c permit 1 h3c是组名1、是结点号match ip address 1 1、也是标准号router OSPF 1red rip route-map ccie subnets 删除重发布后在重启从发布华为acl number 2000 2000、是标准号rule 0 permit source 2.2.0.1 0 增加条目时修改0的位置quitroute-policy h3c permit node 10 10。
是结点if-match acl 2000ospf 1import-route rip 1 route-policy h3c5、地址前缀列表抓路由Cisco:Ip prefix-list 1 permit2.2.0.0/24 ge 25 le 26Route-map ccie permit 1Match ip address prefix-list 1Router ospf 1red rip route-map ccie subnets华为Ip ip-prefix 1 permit source 2.2.0.0 24 gr 25 le 26 Route-map ccie permit1If-Match ip address ip-prefix 1Ospfimport-route rip 1 route-policy h3c。
route-map对应的华三命令
route-map对应的华三命令在华三(H3C)交换机中,route-map对应的命令是“路由映射”。
路由映射用于在交换机上配置和管理路由信息,以便实现数据包的转发和路由选择。
以下是一些常用的华三交换机路由映射相关命令:1. 进入路由映射视图:```route-map <映射名称>```2. 添加路由前缀:```route-map <映射名称> prefix <前缀地址>```3. 设置路由协议:```route-map <映射名称> protocol <协议类型>```4. 设置路由策略:```route-map <映射名称> policy```5. 添加路由器接口:```route-map <映射名称> interface <接口名称>```6. 设置路由器接口的出方向:```route-map <映射名称> interface exit <出方向>```7. 删除路由映射:```undo route-map <映射名称>```请注意,这些命令需要在合适的视图下使用,例如全局视图或接口视图。
在使用这些命令时,请根据实际情况替换相应的参数。
例如,以下是一个简单的华三交换机路由映射配置示例:```进入全局视图:``````global-config```创建一个路由映射:```route-map ROUTE_MAP_NAME```添加路由前缀:```route-map ROUTE_MAP_NAME prefix 192.168.1.0/24```设置路由协议(此处以OSPF为例):```route-map ROUTE_MAP_NAME protocol ospf```添加路由器接口(假设接口名称为Ethernet0/0/1):```route-map ROUTE_MAP_NAME interface Ethernet0/0/1 ```设置路由器接口的出方向(此处设置为outbound):```route-map ROUTE_MAP_NAME interface exit outbound ```退出全局视图:```quit```以上命令将在华三交换机上创建一个基本的路由映射配置。
华三路由器路由命令
启动ospf的基本配置
单击此处添加正文,文字是您思想的提炼,为了演示发布的良好效果,请言简意赅地阐述您的观点。您的内容已经简明扼要,字字珠玑,但信息却千丝万缕、错综复杂,需要用更多的文字来表述;但请您尽可能提炼思想的精髓,否则容易造成观者的阅读压力,适得其反。正如我们都希望改变世界,希望给别人带去光明,但更多时候我们只需要播下一颗种子,自然有微风吹拂,雨露滋养。恰如其分地表达观点,往往事半功倍。当您的内容到达这个限度时,或许已经不纯粹作用于演示,极大可能运用于阅读领域;无论是传播观点、知识分享还是汇报工作,内容的详尽固然重要,但请一定注意信息框架的清晰,这样才能使内容层次分明,页面简洁易读。如果您的内容确实非常重要又难以精简,也请使用分段处理,对内容进行简单的梳理和提炼,这样会使逻辑框架相对清晰。
在指定网段使能OSPF
区域间路由聚合
[h3c]ospf 注意:本命令只在abr上才有效
配置其他区域相关命令
stub区域
【视图】
OSPF区域视图
【命令】
stub [ no-summary ] undo stub
【举例】 # 将OSPF区域1设置为Stub区域。 [H3C-ospf-1] area 1 [H3C-ospf-1-area-0.0.0.1] stub
配置帧中继地址映射
帧中继地址映射也就是建立对端协议地址与本地DLCI的映射关系,该地址映射可静态配置,也可动态建立
手工配置静态映射: fr map { ip | ipx } protocol-address dlci [broadcast ] 动态建立:使能动态逆向地址解析协议 fr inarp [ ip | ipx ] [dlci ]
HDLC协议的配置
link-protocol hdlc
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第7章 IP单播策略路由配置7.1 IP单播策略路由简介与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由选择的机制。
本系统的策略路由支持基于到达报文的源地址、地址长度等信息,灵活地指定路由。
本系统的策略路由配置需要做两方面的工作,一是定义那些需要使用策略路由的报文,二是为这些报文指定路由,这可以通过对一个route-policy的定义来实现。
route-policy的配置在用作策略路由的定义时,if-match子句定义了那些需要使用策略路由的报文,当报文满足route-policy中的if-match子句时,则执行策略中的apply子句,以完成报文的转发。
一个route-policy由若干节点组成,每一节点由一些if-match子句和apply子句组成。
if-match子句定义该节点的匹配规则,apply子句定义通过该节点过滤后进行的动作。
节点的if-match子句之间的过滤关系是“与”的关系,即报文必须满足该节点的所有if-match子句,才会执行apply子句。
目前route-policy提供了两种if-match子句,分别为if-match packet-length和if-match acl;提供了5种route-policy的apply子句:apply ip-precedence,applyoutput-interface,apply ip-address next-hop,apply defaultoutput-interface,apply ip-address default next-hop。
在满足所有if-match子句的情况下,apply子句执行情况如下:●配置优先级:apply ip-precedence,只要配置了该子句,该子句就一定会执行;●配置出接口和下一跳:apply output-interface和apply ip-address next-hop,其中apply output-interface命令的优先级高于apply ip-address next-hop。
当两条命令同时配置并且都有效时,系统只会执行applyoutput-interface命令;●配置缺省出接口和下一跳:apply default output-interface和apply ip-address default next-hop,同样,apply default output-interface命令的优先级高于apply ip-address default next-hop。
当两条命令同时配置并且都有效时,系统只会执行apply default output-interface命令。
执行缺省出接口和下一跳命令的前提是,在策略路由中报文没有配置出接口或者下一跳,或者配置的出接口和下一跳无效,并且报文在路由表中没有查找到相应的路由,这时才会使用策略路由配置的缺省下一跳或者出接口。
本系统提供的策略路由可以分为接口策略路由和本地策略路由。
前者在接口视图下配置(应用于报文到达的接口上),作用于到达该接口的报文;后者在系统视图下配置,对本机产生的报文进行策略路由。
对于一般转发和安全等方面的使用需求,大多数情况下使用的是接口策略路由。
策略路由可应用于安全、负载分担等目的。
7.2 IP单播策略路由的配置IP单播策略路由配置包括:●创建策略●定义Route-policy的if-match子句●定义Route-policy的apply子句●使能/禁止本地策略路由●使能/禁止接口策略路由7.2.1 创建策略由策略名称指定的策略可以包含若干策略点,每个策略点由sequence-num来指定,sequence-num的值越小优先级越高,其定义的策略会被先执行。
该策略可以用来引入路由以及对IP报文转发进行策略路由。
该策略的具体内容由if-match和apply子句来指定。
请在系统视图下进行下列配置。
表7-1 创建策略permit表示满足匹配条件的报文进行策略路由;deny表示满足匹配条件的报文不进行策略路由。
缺省情况下,没有route-policy和相关的节点设置被定义。
7.2.2 设置Route-policy的if-match子句if-match子句用来匹配需要使用策略路由的报文。
IP单播策略路由提供两种if-match子句,if-match packet-length子句和if-match acl子句。
一条策略节点中可以包含多条if-match子句,子句之间是“与”的关系。
请在route-policy视图下进行下列配置。
表7-2 设置Route-policy的if-match子句缺省情况下,没有if-match子句被定义。
7.2.3 设置Route-policy的apply子句请在route-policy视图下进行下列配置。
IP策略路由提供五种apply子句:apply ip-precedence,applyoutput-interface,apply ip-address next-hop,apply defaultoutput-interface,apply ip-address default next-hop。
一条策略节点中可以包含多条apply子句,系统按配置顺序执行apply子句(无效的子句会跳过,继续去执行下一个子句);当执行了一条有效的子句后,该策略即实施完毕。
表7-3 设置Route-policy的apply子句用户可指定多个下一跳或者设置多个出接口,此时,报文的转发将在多个合法参数中负载分担,即轮流在每一个下一跳或者出接口上发送一个报文。
以上叙述只对于同种配置的多个参数有效,如果同时配置了出接口和下一跳,仅在出接口的设置中进行负载分担。
缺省情况下,没有apply子句被定义。
说明:配置策略路由的apply子句时,对于点到点接口(如虚拟点对点Tunnel接口和封装了PPP协议的Dialer接口),既可以设置报文的发送接口也可以设置下一跳;对于广播类型或NBMA类型的接口(如Ethernet接口),支持点到多点,则必须设置报文的下一跳地址。
7.2.4 使能/禁止本地策略路由在系统视图下使能/禁止本地策略路由。
最多只能配置一条本地策略。
表7-4 使能/禁止本地策略路由缺省情况下,禁止本地策略路由。
7.2.5 使能/禁止接口策略路由在指定接口上使能/禁止策略路由。
每个接口最多配置一个策略。
请在接口视图下进行下列配置。
表7-5 使能/禁止接口策略路由缺省情况下,禁止接口策略路由。
7.3 IP单播策略路由显示和调试在完成上述配置后,在所有视图下执行display命令可以显示IP单播策略路由配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行debugging命令可以对IP单播策略路由进行调试。
表7-6 表IP单播策略路由显示和调试7.4 IP单播策略路由典型配置举例7.4.1 配置基于源地址的策略路由1. 配置需求定义名为aaa的策略,控制所有从以太网口E2/0/0接收的TCP报文,使用接口Ethernet1/0/0发送,对其它报文,仍然按照查找路由表的方式进行转发。
5号节点,表示匹配ACL 3101的以太网报文将被发往下一跳地址1.1.1.2;10号节点,表示匹配ACL 3102的任何报文不做策略路由处理;来自Ethernet2/0/0的报文将依次试图匹配5、10号节点的if-match子句。
如果匹配了permit语句的节点,执行相应的apply子句;如果匹配了deny语句的节点,退出策略路由处理。
2. 组网图图7-1 配置基于源地址的策略路由组网图3. 配置步骤# 定义访问控制列表。
[H3C] acl number 3101[H3C-acl-adv-3101] rule permit tcp[H3C-acl-adv-3101] quit[H3C] acl number 3102[H3C-acl-adv-3102] rule permit ip[H3C-acl-adv-3102] quit# 定义5号节点,使匹配ACL 3101的任何TCP报文被发往下一跳地址1.1.1.2。
[H3C] route-policy aaa permit node 5[H3C-route-policy] if-match acl 3101[H3C-route-policy] apply ip-address next-hop 1.1.1.2[H3C-route-policy] quit# 定义10号节点,表示匹配ACL3102的报文不做策略路由处理。
[H3C] route-policy aaa deny node 10[H3C-route-policy] if-match acl 3102[H3C-route-policy] quit# 在以太网口上应用策略aaa。
[H3C] interface ethernet 2/0/0[H3C-Ethernet2/0/0] ip policy route-policy aaa7.4.2 配置基于报文大小的策略路由1. 配置需求SecPathA将大小为64~100字节的报文从ethernet 2/0/0发送;而将大小为101~1000字节的报文从ethernet 2/0/1发送;所有其它长度的报文均按正常方式路由。
在SecPathA的E1/0/0接口上应用IP策略路由lab1。
这个策略将大小为64~100字节的报文设置150.1.1.2作为下一转发IP地址;而将大小为101~1000字节的报文设置151.1.1.2作为下一转发IP地址。
所有其它长度的报文都按基于目的地址的路由方法路由。
2. 组网图图7-2 配置基于报文大小的策略路由组网图3. 配置步骤# 配置SecPath A[H3C] interface ethernet 1/0/0[H3C-Ethernet1/0/0] ip address 192.1.1.1 255.255.255.0 [H3C-Ethernet1/0/0] ip policy route-policy lab1[H3C] interface ethernet 2/0/0[H3C-Ethernet2/0/0] ip address 150.1.1.1 255.255.255.0 [H3C] interface ethernet 2/0/1[H3C-Ethernet2/0/1] ip address 151.1.1.1 255.255.255.0 [H3C] rip[H3C-rip] network 192.1.1.0[H3C-rip] network 150.1.0.0[H3C-rip] network 151.1.0.0[H3C] route-policy lab1 permit node 10[H3C-route-policy] if-match packet-length 64 100[H3C-route-policy] apply ip-address next-hop 150.1.1.2 [H3C] route-policy lab1 permit node 20[H3C-route-policy] if-match packet-length 101 1000[H3C-route-policy] apply ip-address next-hop 151.1.1.2 # 配置SecPath B[H3C] interface ethernet 1/0/0[H3C-Ethernet1/0/0] ip address 150.1.1.2 255.255.255.0 [H3C] interface ethernet 1/0/1[H3C-Ethernet1/0/1] ip address 151.1.1.2 255.255.255.0[H3C] rip[H3C-rip] network 150.1.0.0[H3C-rip] network 151.1.0.0在SecPathA用debugging ip policy命令监视策略路由。