H3C-防火墙-交换机基础配置，值得收藏学习

一：常用的使用操作

路由器或防火墙的管理方式

1.web界面

直接浏览器输入ip即可（图形化操作，暂不介绍）

2.命令行

2.1命令行的接入

1).把PC机和路由器（交换机）的console口相连

2).开启远程终端即可（linux 需要安装minicom.rpm包）

二：视图简介

对于市面上各种交换机和防火墙都有各自的视图，而对于不同的视图我们可以做不同的特定操作。可简单分为用户视图，系统视图，配置视图（接口视图）。

1. 用户视图

首先接入防火墙后我们是在用户视图

<H3C >

只有用户视图是用的 “<>” 号，其他视图都是 ”[ ]”

在用户视图我们不能做任何配置命令，

可以查看信息，修改当前用户的显示信息，以及级别切换等

<H3C > Language-mode chinese 设置注释语言为中文

<H3C > Super 3 切换到最高级别 管理员级别

<H3C > Display logbuffer 查看日志信息

<H3C > System-view 进入系统模式

2. system-view 视图

system-view是我们最常用的视图，在系统视图，我们可以查看全局配置，同时可以修改和进行所有系统配置，每一个接口视图间的切换都需要回到系统视图。

[Firewall-f100] sysname H3C 设置系统视图的名字为H3C

[H3C] firewall packet-filter default permit 开启防火墙的包过滤

[H3C] acl number 2000 配置或创建acl命令

[H3C] Interface Ethe.NET 0/1 配置 E 0/1 端口

[H3C] Local-user admin配置或创建系统用户

[H3C] User-interface vty 0 配置虚拟终端0 （配置其他非虚拟端口）

[H3C] Firewall zone tRust 配置安全域（这里分四个域，local，trust，untrust，DMZ，其中DMZ是介于内网和外网之间的网络，例如，在一个提供电子商务服务的网络中，某些主机需要对外提供服务，如Web服务器、FTP服务器和邮件服务器等,为了更好地提供优质的服务，同时又要有效保护内部网络的安全）

3. 配置视图

配置视图是在系统视图的基础上，配置某个端口或配置命令所进入的接口视图。

配置视图因为可以配置的操作很多，所以在此就挑出了一些比较常用的接口视图做下简单介绍。

输入需要配置的接口或配置即可进入

接口视图(如输入):

[H3C] local-user admin

即可进入用户配置视图。

1). Local-user下常用配置

Local-user主要是用于配置或创建系统用户信息，登录并查看该设备的用户

System-view

Local-user admin

进入后，在该配置视图我们经常会用到以下几条指令。

1.配置当前用户密码

[H3C-luser-admin] password simple 123123 //明文密码

[H3C-luser-admin] password cipher 123123 //密文密码

2.配置该用户的登录协议

[H3C-luser-admin] service-type telnet

3.配置用户级别

[H3C-luser-admin] level 3

级别0和1，执行的命令结果不能被保存到配置文件中。

访问级（0级）：用于网络诊断等功能的命令。包括ping、tracert、telnet等命令,级别最低。

监控级（1级）：用于系统维护、业务故障诊断等。包括debugging、terminal等命令

系统级（2级）：用于业务配置的命令。包括路由等网络层次的命令，用于向用户提供网络服务。

管理级（3级）：关系到系统的基本运行、系统支撑模块功能的命令，是最高级，也是最常用的。

2). Interface Ethernet下常用配置

Interface Ethernet 主要是进入并配置端口， 可以配置ip和指定端口应用的规则等。

System-view 进入系统模式

Interface Ethernet 0/1 进入Ethernet 0/1端口

进入接口视图后，可以先按下“？”给予提示操作，不过经常用到的是这些配置

1.配置描述信息 //介绍该端口的作用，例如 To-Lan

[interface Ethernet 0/1] description this is a test！

2.配置 ip

[interface Ethernet 0/1] ip address 10.10.192.1 24

3.配置 nat 规则

[interface Ethernet 0/1] nat outbound 2000

此处补充下， outbound 对应acl中的destnation

inbound 对应acl中的source

4.直接配置 acl 规则 （acl number 3000）

[interface Ethernet 0/1] firewall packet-filter 3000 inbound

5.配置映射信息

[interface Ethernet 0/1] nat server protocol tcp global 114.113.227.147 80 inside 10.10.32.50 80

如果定义了nat指令，必须开启nat outbound static，在此接口输入即可。

3). acl下常用配置

acl视图主要是配置各种acl规则，用于限制或是禁止特定ip或是协议转发。他的规则顺序有2种，默认是conf按顺序，auto是按深度优先（acl number 2000 match-order auto）

System-view 进入系统视图

acl number 2000 创建或配置 acl规则

进入接口视图后，记不清命令可按下“？”查看下提示，不过经常用到的是这些配置

1.描述信息

[H3C-acl-basic-2000] description To.lan

2.配置rule拒绝规则

[H3C-acl-basic-2000] rule 0 deny source 192.168.2.2 0

3.配置rule允许规则

[H3C-acl-basic-2000] rule 1 permit

4.删除多余rule规则

[H3C-acl-basic-2000] undo rule 1

4). user-interface下常用配置

user-interface接口配置视图配置远程控制所需的虚拟接口或console口的控制信息。

<H3C> system-view 进入系统模式

[H3C]user-interface vty 0 进入虚拟终端

进入接口视图后，记不清命令可按下“？”查看下提示，不过经常用到的是这些配置

1.配置密码验证模式为 组合模式（即 用户+密码）

[H3C-ui-vty0]authentication-mode scheme

2.定义该终端的远控协议为telnet

[H3C-ui-vty0]protocol inbound telnet

3.设置用户登录超时时间

[H3C-ui-vty0]idle-time 5

4.设置登录后自动执行命令，不过执行结束后，会断开连接，所以一般配合telnet使用

[H3C-ui-vty0]auto-execute command telnet 10.10.192.1

三：防火墙特有部分配置

system-view 进入系统视图

设置ip地址池,在acl 和 nat 规则可以用到定义的指定地址池ip

ip pool 1 192.168.1.1 192.168.1.100

配置nat组，一般用于nat转发命令中

nat address-group 0 114.113.227.131 114.113.227.150

设置防火墙对网络攻击进行防护，all是所有攻击类型（可单选）

firewall defend all

Interface Ethernet 1/0 进入Ethernet 1/0接口

配置nat的机器对外映射规则

nat static inside ip 10.10.32.13 global ip 114.113.227.144

配置nat的服务协议对外映射

nat server protocol tcp global 114.113.227.147 8080 inside 10.10.32.50 8080

四：日常使用命令大全

system-view 进入系统模式

sysname H3C 为设备命名

language-mode chinese 设置系统显示语言，实现 中/英 切换

display current-configuration 查看当前系统配置信息

display this 查看当前设备的配置信息

display ip interface brief 查看ip端口的简要信息

display ip routing-table 查看当前的路由表

display arp 查看arp信息

display cpu-usage 查看cpu信息

display logbuffer 查看日志记录

display memory 查看内存信息

display version 查看版本信息

display users 查看当前用户

display vlan all 查看所有的vlan

display acl all 查看所有acl信息

display 查看，在任何视图下都可以进行查看命令。

Undo 取消，删除，回复默认配置

quit 退出当前视图，退出

reboot 重启路由器（交换机）

save 保存当前路由器（交换机）配置

reset 清除（如配置信息,日志,统计数据等，

super 切换用户级别

lock 锁屏（暂时离开机器使用）

reset logbuffer 清空日志

reset saved-configuration 清空当前配置

firewall packet-filter 3000 outbound 配置防火墙过滤

firewall defend all 配置防火墙开启保护

Interface Ethernet 1/1 配置E1/1端口

vlan 10 配置vlan10

port access vlan 10 配置端口到vlan 10中

port E1/0/2 to E1/0/5 配置端口到当前vlan

Acl number 2000 配置acl规则

Local-user admin 配置用户信息

User-interface vty 0 配置虚拟终端

Description to.Wan 配置描述信息

Firewall zone trust 配置trust域

shutdown 关闭以太网端口

undo shutdown 撤销命令

Ip http acl 2000 配置web管理规则

Ip http shutdown 关闭web管理

ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码

ip route-static 0.0.0.0 0.0.0.0 114.113.227.129 preference 60 设置默认路由

Ip pool 192.168.1.1 192.168.1.100 配置地址池

nat address-group 2 192.168.2.2 192.168.2.10 配置nat组

nat outbound 2000 address-group 2 配置nat控制

nat server protocol tcp global 114.113.227.147 80 inside 10.10.32.50 80 配置映射

声明：『文章来源于网络，不代表本平台立场，仅供读者参考，交流，学习之用， 版权归属原创者所有。如有侵权，请在后台留言联系我们进行删除，谢谢！』