路由器配置ACL详解
路由器配置ACL详解
如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。
如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。
实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。
什么是ACL?
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
访问控制列表使用原则
由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。
1、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
3、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,
无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
标准访问列表:
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL
标准访问控制列表的格式
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。
标准访问控制列表是最简单的ACL。
它的具体格式如下:access-list ACL号permit|deny host ip地址
例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。
当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255
通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为
255.255.255.0。
小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。
标准访问控制列表实例一
我们采用如图所示的网络结构。路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。
实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。172.16.4.13可以正常访问172.16.3.0/24。
路由器配置命令
access-list 1 permit host 172.16.4.13 设置ACL,容许172.16.4.13的数据包通过。
access-list 1 deny any 设置ACL,阻止其他一切IP地址进行通讯传输。
int e 1 进入E1端口。
ip access-group 1 in 将ACL 1宣告。
经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。
小提示:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。
标准访问控制列表实例二
配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而172.16.4.0/24中的其他计算机可以正常访问。
路由器配置命令:
access-list 1 deny host 172.16.4.13 设置ACL,禁止172.16.4.13的数据包通过
access-list 1 permit any 设置ACL,容许其他地址的计算机进行通讯
int e 1 进入E1端口
ip access-group 1 in 将ACL1宣告,同理可以进入E0端口后使用ip
access-group 1 out来完成宣告。
配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。
总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。
扩展访问控制列表:
上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP 等)。扩展访问控制列表使用的ACL号为100到199。
扩展访问控制列表的格式
刚刚我们提到了标准访问控制列表,他是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。
扩展访问控制列表的格式:
扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下:
access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。
小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。
扩展访问控制列表实例
我们采用如图所示的网络结构。路由器连接了二个网段,分别为
172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW 服务,IP地址为172.16.4.13。
配置任务:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。
路由器配置命令:
access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101,容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令,所以ACL只写此一句即可。
int e 1 进入E1端口
ip access-group 101 out 将ACL101宣告出去
设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的WWW服务了。而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题。
扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,这时为了保证服务正常提供所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率。如本例就是仅仅将80端口对外界开放。
总结:扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
基于名称的访问控制列表
不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作,为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。
一、基于名称的访问控制列表的格式:
ip access-list [standard|extended] [ACL名称]
例如:ip access-list standard softer就建立了一个名为softer的标准访问控制列表。
二、基于名称的访问控制列表的使用方法:
当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。
例如我们添加三条ACL规则
permit 1.1.1.1 0.0.0.0
permit 2.2.2.2 0.0.0.0
permit 3.3.3.3 0.0.0.0
如果我们发现第二条命令应该是2.2.2.1而不是2.2.2.2,如果使用不是基于名称的访问控制列表的话,使用no permit 2.2.2.2 0.0.0.0后整个ACL信息都会被删除掉。正是因为使用了基于名称的访问控制列表,我们使用no permit 2.2.2.2 0.0.0.0后第一条和第三条指令依然存在。
总结:如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则。
反向访问控制列表:
我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面,那就是防范病毒,我们可以将平时常见病毒传播使用的端口进行过滤,将使用这些端口的数据包丢弃。这样就可以有效的防范病毒的攻击。
不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度。这时我们可以使用反向控制列表来解决以上的问题。
反向访问控制列表的用途及格式
一、反向访问控制列表的用途
反向访问控制列表属于ACL的一种高级应用。他可以有效的防范病毒。通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B 不能PING通A。
说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机。反向ACL控制的就是上面提到的连接请求。
二、反向访问控制列表的格式
反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可。我们还是通过实例为大家讲解。
我们采用如图所示的网络结构。路由器连接了二个网段,分别为
172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中的计算机都是服务器,我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击。
配置实例:禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段。
路由器配置命令:
access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established 定义ACL101,容许所有来自172.16.3.0网段的计算机访问172.16.4.0网段中的计算机,前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。
int e 1 进入E1端口
ip access-group 101 out 将ACL101宣告出去
设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的,由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接,因此病毒无法顺利传播。
小提示:检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机,如果可以PING通的话再用
172.16.3.0那台计算机PING172.16.4.0的服务器,PING不通则说明ACL配置成功。
通过上文配置的反向ACL会出现一个问题,那就是172.16.3.0的计算机不能访问服务器的服务了,假如图中172.16.4.13提供了WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED那句前头再添加一个扩展ACL规则,例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www
这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。172.16.3.0的计算机就可以正常访问该服务器的WWW服务了,而下面的ESTABLISHED防病毒命令还可以正常生效。
笔者所在公司就使用的这种反向ACL的方式进行防病毒的,运行了一年多效果很不错,也非常稳定。
基于时间的访问控制列表:
上面我们介绍了标准ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求,这时我们还需要掌握一些关于ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之一。
配置实例:
要想使基于时间的ACL生效需要我们配置两方面的命令:
1、定义时间段及时间范围。
2、ACL自身的配置,即将详细的规则添加到ACL中。
3、宣告ACL,将设置好的ACL添加到相应的端口中。
网络环境介绍:
我们采用如图所示的网络结构。路由器连接了二个网段,分别为
172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供FTP 服务,IP地址为172.16.4.13。
配置任务:只容许172.16.3.0网段的用户在周末访问172.16.4.13上的FTP资源,工作时间不能下载该FTP资源。
路由器配置命令:
time-range softer 定义时间段名称为softer
periodic weekend 00:00 to 23:59 定义具体时间范围,为每周周末(6,日)的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。
access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer 设置ACL,禁止在时间段softer范围内访问172.16.4.13的FTP服务。
access-list 101 permit ip any any 设置ACL,容许其他时间段和其他条件下的正常访问。
int e 1 进入E1端口。
ip access-group 101 out 宣告ACL101。
基于时间的ACL比较适合于时间段的管理,通过上面的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了,平时无法访问。
访问控制列表流量记录
网络管理员就是要能够合理的管理公司的网络,俗话说知己知彼方能百战百胜,所以有效的记录ACL流量信息可以第一时间的了解网络流量和病毒的传播方式。下面这篇文章就为大家简单介绍下如何保存访问控制列表的流量信息,方法
就是在扩展ACL规则最后加上LOG命令。
实现方法:
log 192.168.1.1 为路由器指定一个日志服务器地址,该地址为192.168.1.1
access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www log 在希望监测的扩展ACL最后加上LOG命令,这样就会把满足该条件的信息保存到指定的日志服务器192.168.1.1中。
小提示:
如果在扩展ACL最后加上log-input,则不仅会保存流量信息,还会将数据包通过的端口信息也进行保存。
使用LOG记录了满足访问控制列表规则的数据流量就可以完整的查询公司网络哪个地方流量大,哪个地方有病毒了。简单的一句命令就完成了很多专业工具才能完成的工作。
Fast_FR48路由器设置说明
Fast FR48路由器设置说明同时也是SOHO路由器IP QoS功能设置IP QoS功能,是基于IP地址、IP地址段的保障最小带宽和限制最大带宽功能; 可以很方便地限制BT、迅雷等P2P软件下载,限制其占用大量的带宽,抢占其它用户资源,造成其它用户无法正常上网;还可以按照实际需求对不同的用户科学地分配不同的带宽,尽最大限度利用宽带,不浪费带宽。通过设置IP QoS后,结束了一“资”独占的历史,保证内网随您所欲按需运行!下面我们就来简单介绍一下QoS功能的配置使用: 一、登录路由器管理界面后(网页地址栏192.168.1.1 用户名admin 密码 admin),可以在左边菜单栏看到IP带宽控制,点击打开该页面,在这里您可以对不同的IP地址设置不同的QoS模式和带宽大小; 二、首先是勾选上面的开启IP带宽控制,QoS功能才可以具体进行设置。 在选择宽带线路类型及填写带宽大小时,请根据实际情况进行选择和填写,如不清楚,请咨询您的带宽提供商(如电信、网通等)如:您申请的是PPPoE拨号方式2M带宽的话就选ADSL线路,带宽大小填入2000即可(带宽的换算关系为:1Mbps = 1000Kbps)。注意:您申请的带宽大小,如果填写的值与实际不符,QoS效果会受到很大影响。 三、IP QoS设置: 保障最小带宽:受该条规则限制的IP地址(或IP地址段)的带宽总和至少可以达到此值,最大不受限制。此模式可以充分利用您申请的带宽值,不浪费一点带宽;且路由器内置预留的带宽功能可以保障在您BT下载达到峰值的时候,其它电脑的上网操作不受影响,使网络资源得到合理分配,内网正常运行。您可以设置您内网电脑IP地址为保障最小带宽,出于公平原则,保障最小带宽=总带宽/内网机子总数,如:您拉的2M带宽,内网4台机子的话保障最小带宽应为2000/4=500Kbps。如下图所示:
华为ACL详解2精编版
访问控制列表-细说ACL那些事儿(ACL匹配篇) 在上一期中,小编围绕一张ACL结构图展开介绍,让大家了解了ACL的概念、作用和分类,并且知道了ACL是通过规则匹配来实现报文过滤的。但ACL到底是如何进行规则匹配的,相信大家还是一头雾水。本期,说一说关于“ACL匹配”的那些事儿。 1ACL匹配机制 首先,为大家介绍ACL匹配机制。上一期提到,ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。 从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
●匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则rule。不论 匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。 ●不匹配(未命中规则):指不存在ACL(无ACL),或ACL中无规则(没有rule),再或者在 ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。 提醒大家,无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。例如,在Telnet模块中应用ACL,只要报文命中了permit规则,就允许通过;而在流策略中应用ACL,如果报文命中了permit 规则,但流行为动作配置的是deny,该报文会被拒绝通过。在后续连载的《访问控制列表- 细说ACL那些事儿(应用篇)》中,将结合各类ACL应用,为大家细说各个业务模块的区别。2ACL规则匹配顺序 从上面的ACL匹配报文流程图中,可以看到,只要报文未命中规则且仍剩余规则,系统会一直从剩余规则中选择下一条与报文进行匹配。 系统是根据什么样的顺序来选择规则进行报文匹配的呢? 回答这个问题之前,先来看个例子。假设我们先后执行了以下两条命令进行配置: rule deny ip destination 1.1.0.0 0.0.255.255 //表示拒绝目的IP地址为1.1.0.0网段的报文通过rule permit ip destination 1.1.1.0 0.0.0.255 //表示允许目的IP地址为1.1.1.0网段的报文通过,该网段地址范围小于1.1.0.0网段范围 这条permit规则与deny规则是相互矛盾的。对于目的IP=1.1.1.1的报文,如果系统先将deny 规则与其匹配,则该报文会被禁止通过。相反,如果系统先将permit规则与其匹配,则该 报文会得到允许通过。
H3C的路由器配置命令详解
H3C的路由器配置命令详解 en 进入特权模式 conf 进入全局配置模式 in s0 进入serial 0 端口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配enca hdlc/ppp 捆绑链路协议hdlc 或者ppp ip unn e0 exit 回到全局配置模式 in e0 进入以太接口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配exit 回到全局配置模式 ip route 0.0.0.0 0.0.0.0 s 0 添加路由表 ena password 口令 write exit 以上根据中国电信ddn 专线多数情况应用 普通用户模式 enable 转入特权用户模式 exit 退出配置 help 系统帮助简述 language 语言模式切换 ping 检查网络主机连接及主机是否可达 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器 特权用户模式 #? clear 清除各项统计信息
clock 管理系统时钟 configure 进入全局配置模式 debug 开启调试开关 disable 返回普通用户模式 download 下载新版本软件和配置文件 erase 擦除FLASH中的配置 exec-timeout 打开EXEC超时退出开关 exit 退出配置 first-config 设置或清除初次配置标志 help 系统帮助简述 language 语言模式切换 monitor 打开用户屏幕调试信息输出开关 no 关闭调试开关 ping 检查网络主机连接及主机是否可达 reboot 路由器重启 setup 配置路由器参数 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM中 全局配置模式 aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表 arp 设置静态ARP人口 chat-script 生成一个用在modem上的执行脚本custom-list 创建定制队列列表 dialer-list 创建dialer-list dram-wait 设置DRAM等待状态
路由器配置手册
路由器设置指南 本指南主要针对现场的工程人员,描述了CISCO路由器的设置和应用 一、准备工作 1. 打开 包装箱,取出路由器及其附属线缆(包括电源线、兰色的控制线)。 2 .连接控制线:将兰色控制线的一头(RJ45)插在路由器后面板的“CONSOLE” 口(兰色的),另一头(DB9串口)插在计算机的COM1上 路由器专用控制线 3 ?插上路由器电源线 4. 打开计算机。进入超级终端程序(开始一程序 附件一通讯(Communications)一超级终端)。 Tcofc mmnnuu
syffl^nlsc ShcwRun... pcAiywh.. ■S D N X 5叙1J 強2W3 牡pp Expitwer 囤 rtcroGoft^teoTriai -7! rtcrowft Stutto 6.0 色 EymciiCK pc^nywhef ( B 金山词药2CO2 宜 Rsgsuis I uagx )2re2s FnotesJenai */5.Q -3 Mcrosoft Developer Networt 目OK 占al 2 画 I*tera5cift Wcxd 盲lit 空奈* *宣爭無工具 * 13荫戏 扇按乐 卜斟ThjrfType 遣宇程序 1111代咼扌換工且 *芒画朗 * 9A 计尊鬧 ”刖 WTdOWE 资诛管淫期 * ? ie?t a 命与?s 彌 新建一个连接: (1)输入新建连接的名称,如 ROUTER I ast^at 也图博处理 /写字乐 爭■MTdc*^ Uodate Q 金山影霸a?3 琏? fflft 冲 Wff oflteSHf ffl 1商建Of 麻文桂 Jrtffli ] ? 扛:1 0?」j 禹 A|JM 出S 盘Q :) |0他2血:朋心-[冷..当箱由圏段11寺印m..|p 云氏艺-吕屋 ? ffi l S 呵& 腊ff 期设 禹却舸 通过用制單调鬧或昔韭週制雪近蛊屯銀, |计 W> Jnlwra btm 诂点、虫幷牡駅务 |IBEE :?联机眼瓠以圧主40蛙不楚抓 |
路由器配置常用命令汇总
Access-enable允许路由器在动态访问列表中创建临时访问列表入口 Access-group把访问控制列表(ACL)应用到接口上 Access-list定义一个标准的IP ACL Access-template在连接的路由器上手动替换临时访问列表入口 Appn向APPN子系统发送命令 Atmsig执行ATM信令命令 B 手动引导操作系统 Bandwidth 设置接口的带宽 Banner motd 指定日期信息标语 Bfe 设置突发事件手册模式 Boot system 指定路由器启动时加载的系统映像 Calendar 设置硬件日历 Cd 更改路径 Cdp enable 允许接口运行CDP协议 Clear 复位功能 Clear counters 清除接口计数器 Clear interface 重新启动接口上的件逻辑 Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率Cmt 开启/关闭FDDI连接管理功能 Config-register 修改配置寄存器设置 Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息 Configure memory 从NVRAM加载配置信息 Configure terminal 从终端进行手动配置 Connect 打开一个终端连接
Copy 复制配置或映像数据 Copy flash tftp 备份系统映像文件到TFTP服务器 Copy running-config startup-config 将RAM中的当前配置存储到NVRAM Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上 Copy tftp flash 从TFTP服务器上下载新映像到Flash Copy tftp running-config 从TFTP服务器上下载配置文件 Debug 使用调试功能 Debug dialer 显示接口在拨什么号及诸如此类的信息 Debug ip rip 显示RIP路由选择更新数据 Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息 Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息 Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程 Debug ppp 显示在实施PPP中发生的业务和交换信息 Delete 删除文件 Deny 为一个已命名的IP ACL设置条件 Dialer idle-timeout 规定线路断开前的空闲时间的长度 Dialer map 设置一个串行接口来呼叫一个或多个地点 Dialer wait-for-carrier-time 规定花多长时间等待一个载体 Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制 Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号 Dir 显示给定设备上的文件 Disable 关闭特许模式 Disconnect 断开已建立的连接
路由器的设置方法(图解)
[教程资料] 路由器的设置方法(图解) 路由器, 图解, 设置 路由器的设置方法(图解) tp-link各产品开启路由器的方法首先介绍一下利用路由器实现多台电脑同时上网的方法.首先具备的条件是:路由器一个(可以为4口,8口,16口,甚至更多的),如果你有很多台电脑,可以买个多口的交换机.网线直通线数条,电信mode一个(或者你是专线那就不需要mode了),pc电脑至少2台以上(如果只有一台,使用路由器是可以的,但是就失去了使用路由器的意义了.其实tp-link公司出的路由器,比如TP-LINKTL-402M 或者是401M或者是其他型号的tp-link路由器,路由开启方法大多差不多.下面本文以 TP-LINKTL-402M为例,请看图片 只要按图片里的介绍,将PC,电信宽带MODE,路由器,相互正确连接,那么一个网络就已经组好了.下面介绍怎么样开起路由功能.如果线都已经接好.我们这个时候随便打开一台连好的PC电脑.打开网上邻居属性(图片2),本地连接属性(图片3),tcp/ip协议属性(图片4),设置ip为192.168.1.2子网:255.255.255.0网关:192.168.1.1(图片5)确定,DNS在配置路由器完后在行设置.注:如果是98和me系统,请到控制面板网络连接
去设置.这里xp为例,请看图
对了,这里提醒一下大家,ip设置网段,可以设置在192.168.1.2-192.168.1.254之间都可以,不要将同一IP设置为多台电脑,这样就会引起IP冲突了.切记.好了当设置到这里.我就可以打开桌面的InternetExplorer,输入192.168.1.1回车,请看图片
H3C路由器配置命令详解
华为H3C路由器交换机配置命令详解 2009-12-28 22:40:13| 分类: Quidway-h3c|举报|字号订阅 交换机命令 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 0/1 进入接口视图 [Quidway]interface vlan x 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 配置VLAN的IP地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由=网关 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 [Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率[Quidway-Ethernet0/1]flow-control 配置端口流控 [Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置端口工作模式[Quidway-Ethernet0/1]undo shutdown 激活端口 [Quidway-Ethernet0/2]quit 退出系统视图 [Quidway]vlan 3 创建VLAN [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在VLAN中增加端口[Quidway-Ethernet0/2]port access vlan 3 当前端口加入到VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID [Quidway]monitor-port 设置主vlan包括的子vlan [Quidway-Ethernet0/2]port hybrid pvid vlan
路由器配置命令详细列表
启动接口,分配IP地址 router> router> enable router# router# configure terminal router(config)# router(config)# interface Type Port router(config-if)# no shutdown router(config-if)# ip address IP-Address Subnet-Mask router(config-if)# ^z [编辑] 配置RIP路由协议:30秒更新一次
router(config)# router rip router(config-if)# network Network-Number <——通告标准A,B,C类网——> router(config-if)# ^z [编辑] 配置IGRP路由协议:90秒更新一次 router(config)# router igrp AS-Number <—— AS-Number范围1~65535——> router(config-if)# network Network-Number <——通告标准A,B,C类网——> router(config-if)# ^z [编辑] 配置Novell IPX路由协议:Novell RIP 60秒更新一次router(config)# ipx routing [node address] router(config)# ipx maximum-paths Paths <——设置负载平衡,范围1~512——>
router(config)# interface Type Port router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] <——通告标准A,B,C类网——> router(config-if)# ^z [编辑] 配置DDR: router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number] router(config)# interface bri 0 router(config-if)# dialer-group Group-Number router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number router(config-if)# ^z
无线路由器常见设置详解
无线路由器常见设置详解(必备整理) 外网无线设置 1.动态IP用户:选择此项目会自动地从您的网际网络服务提供者得到一个 IP 地址。提供 Cable modem 的 ISP 通常都使用动态 IP 地址。 2.PPPoE用户:如果您的网络服务提供商提供给您的是 PPPoE 服务(DSL业务的提供商都会提供此类连接服务,比如最为流行的ADSL宽带业务),请选择此项目。在"快捷通道"中只需要填写PPPoE帐号以及密码即可进行连接。 PPPoE 帐号:输入ISP商提供给您的 PPPoE 使用者名称。 PPPoE 密码:输入ISP商提供给您的 PPPoE 使用者密码。 3.静态IP用户:此选项提供给使用静态IP地址的客户,根据您的 ISP提供的固定 IP 地址资料来输入您的"WAN口IP 地址"、"子网掩码"、 "默认网关",和" DNS (domain name 服务器) 地址"。每一个 IP 地址必须输入在适当的 IP 字段中,分别由"." 区隔四个 IP octets 构成一个 IP (x.x.x.x),路由器只接受这个形式的 IP 格式。 主DNS:DNS地址用于对访问网站时所需要的域名进行解析,输入您最为常用的域名解析服务器地址,也可以由您的ISP推荐。 次DNS:输入主DNS外的另一个备用的DNS地址,也可以不填。 4.无线配置:此项目提供对路由器的无线功能是否使用的设置,选择启用,您的路由器将具备无线AP的功能,如果禁止,则只拥有普通有线宽带路由器的功能,默认为"启用",慎选。 网络名称(SSID):SSID 是无线网络中所有设备共享的网络名称。无线网络中所有设备的 SSID 必须相同。SSID 区分大小写,可能由任何键盘字符组成,但不得超过 32 个字母数字字符。确保无线网络中所有设备的这个设置均相同。为了提高安全性,建议您将默认的 SSID 更改为您选择的唯一名称。 无线基本设置 1.无线状态:可以被选择为"开启"或"关闭"。"关闭"则关闭无线功能。 2.SSID号:设置您的无线网络名称。 3.无线标准:共有4种无线标准可供选择,每种拥有不同的工作频段和传输速率。 4. 网络模式:无线路由器的工作模式,默认为AP模式。 AP模式:无线接入点,可以接受无线客户端(网卡)的连接并通过它访问网络。Client模式:客户端模式,可以作为网卡使用,该模式下有两种网络方式,结构化网络和对等网络。 结构化网络:路由器以终端方式连接到无线网络的其他AP。 对等网络:路由器与其他的无线终端以点对点的方式连接。 WDS模式:无线路由器工作在该模式下,可以把两个或者多个有线以太网络通过无线网络桥接在一起。但是不能再接受无线客户端(例如网卡)的连接。 AP+WDS模式:无线路由器工作在该模式下,不仅可以把两个或者多个有线以太网络通过无线网络桥接在一起。同时又可以再接受别的无线客户端(例如网卡)
思科路由器acl详解
cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL 中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL 语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这
通用路由器配置说明
通用路由器配置说明 一、网络摄像机外网访问在公司路由器里的设置 点击转发规则 虚拟服务器 内部端口,外部端口填写网络摄像机里配置的端口,IP是网络摄像机里填写的IP地址填写完确定就行了。
因iCanSee系统完全基于网络运行,路由器在其中扮演了重要的角色。本文以TP-LINK无线路由器为例,简要说明路由器的配置 一、TP-Link TL-WRXX系列路由器配置指南 对路由器进行基本配置,使电脑通过路由器实现共享上网,过程相对来说比较容易实现;这篇文档下面的内容,主要讲述如下几部分: 收集并判断信息,为配置路由器做准备; 进入路由器管理界面,对路由器进行配置; 配置过程简单的故障定位排除!
1、配置路由器前的准备工作 常见的硬件连接方式有下面几种: 电话线→ADSL MODEM→电脑 双绞线(以太网线)→电脑 有线电视(同轴电缆)→Cable MODEM→电脑 光纤→光电转换器→代理服务器→PC ADSL / VDSL PPPoE:电脑上运行第三方拨号软件如Enternet300或WinXP 系统自带的拨号程序,填入ISP提供的账号和密码,每次上网前先要拨号; 或者您的ADSL MODEM已启用路由功能,填入了ISP提供的账号和密码,拨号的动作交给MODEM 去做; 静态IP:ISP提供给您固定的IP地址、子网掩码、默认网关、DNS; 动态IP:电脑的TCP/IP属性设置为“自动获取IP地址”,每次启动电脑即可上网; 802.1X+静态IP:ISP提供固定的IP地址,专用拨号软件,账号和密码; 802.1X+动态IP:ISP提供专用拨号软件,账号和密码; WEB认证:每次上网之前,打开IE浏览器,先去ISP指定的主页,填入ISP提供的用户名密码,通过认证以后才可以进行其他得上网操作; 2、怎样进入路由器管理界面? 先参照《用户手册》上面的图示,将ADSL MODEM、路由器、电脑连结起来。TL-W RXX系列路由器的管理地址出厂默认: IP地址:192.168.1.1, 子网掩码:255.255.255.0 (TL-R400和TL-R400+两款的管理地址默认为:192.168.123.254,子网掩码:255. 255.255.0) 用网线将路由器LAN口和电脑网卡连接好,因为路由器上的以太网口具有极性自动翻转功能,所以无论您的网线采用直连线或交叉线都可以,需要保证的是网线水晶头的制作牢靠稳固,水晶头铜片没有生锈等。 电脑桌面上右键点击“网上邻居”→“属性”,在弹出的窗口中双击打开“本地连接”,在弹出的窗口中点击“属性”,然后找寻“Internet协议(TCP/IP)”,双击弹出“Intern et协议(TCP/IP)属性”窗口; 在这个窗口中选择“使用下面的IP地址”,然后在对应的位置填入: IP地址:192.168.1.X(X范围2-254) 子网掩码:255.255.255.0 默认网关:192.168.1.1,填完以后““确定”两次即可;
路由器配置命令大全
路由器配置命令大全 视图模式介绍: 普通视图router> 特权视图router# /在普通模式下输入enable 全局视图router(config)# /在特权模式下输入config t 接口视图router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0 路由协议视图router(config-route)# /在全局模式下输入router 动态路由协议名称 1、基本配置: router>enable /进入特权模式 router#conf t /进入全局配置模式 router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字 router(config)#enable password /设置特权口令 router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令 router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密 router(config)#line vty 0 4 /进入设置telnet服务模式 router(config-line)#password xxx /设置telnet的密码 router(config-line)#login /使能可以登陆 router(config)#line con 0 /进入控制口的服务模式 router(config-line)#password xxx /要设置console的密码 router(config-line)#login /使能可以登陆 2、接口配置: router(config)#int s0 /进入接口配置模式serial 0 端口配置(如果是模块化的路由器前面加上槽位编号,例如serial0/0 代表这个路由器的0槽位上的第一个接口) router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码 router(config-if)#enca hdlc/ppp 捆绑链路协议hdlc 或者ppp 思科缺省串口封装的链路层协议是HDLC所以在show run配置的时候接口上的配置没有,如果要封装为别的链路层协议例如PPP/FR/X25就是看到接口下的enca ppp或者enca fr router(config)#int loopback /建立环回口(逻辑接口)模拟不同的本机网段 router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码给环回口 在物理接口上配置了ip地址后用no shut启用这个物理接口反之可以用shutdown管理性的关闭接口 3、路由配置: (1)静态路由 router(config)#ip route xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 下一条或自己的接口 router(config)#ip route 0.0.0.0 0.0.0.0 s 0 添加缺省路由 (2)动态路由 rip协议 router(config)#router rip /启动rip协议 router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段 router(config-router)#version 2 转换为rip 2版本 router(config-router)#no auto-summary /关闭自动汇总功能,rip V2才有作用 router(config-router)# passive-int 接口名/启动本路由器的那个接口为被动接口 router(config-router)# nei xxx.xxx.xxx.xxx /广播转单播报文,指定邻居的接ip,
CISCO ACL配置详解
CISCO ACL配置详解 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理。 匹配顺序为:"自上而下,依次匹配".默认为拒绝 访问控制列表的类型 标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向 命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不
符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 一、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL. 它的具体格式: access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask] access-list-number 为1-99 或者1300-1999之间的数字,这个是访问列表号。 例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0. 小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问列表配置实例: R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255 R1(config)#access-list 10 permit any R1(config)#int fa0/0.1 R1(config-subif)#ip access-group 10 out
路由器配置手册
路由器设置指南 本指南主要针对现场的工程人员,描述了CISCO 路由器的设置和应用。 一、准备工作 1.打开包装箱,取出路由器及其附属线缆(包括电源线、兰色的控制线)。 2.连接控制线:将兰色控制线的一头(RJ45)插在路由器后面板的“CONSOLE ”口(兰色的),另一头(DB9串口)插在计算机的COM1上。 3.插上路由器电源线。 4.打开计算机。进入超级终端程序(开始—程序—附件—通讯(Communications)—超级终端)。 新建一个连接: (1) 输入新建连接的名称,如ROUTER 。
(2)选择COM1口。 (3)设置波特率(每秒位数)=9600;数据位=8;奇偶校验=无;停止位=1; 流控制=无。
5.关闭一切使用COM1串口的应用程序。如果COM1口坏,则可以换成COM2口进行路由器设置。 二、路由器设置步骤 1.打开路由器电源。 2.超级终端画面中会出现如下路由器自检画面,这时说明路由器工作正常。若超级终端画面中无反映,敲击回车键,若仍然无反映,则说明此路由器硬件或内部操作系统(IOS)有问题。速与有关人员联系。 (1)路由器为新的(未曾设置过) System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc. C1700 platform with 32768 Kbytes of main memory program load complete, entry point: 0x80008000, size: 0x30ccc4 Self decompressing the image : ##################################################################### ##################################################################### ##################################################################### ##################################################################### #####################################################################
交换机配置命令详解
H3C 的路由器配置命令详解SYS 进入视图配置模式in s0 进入serial 0 端口配置ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配enca hdlc/ppp 捆绑链路协议hdlc 或者ppp ip unn e0 exit 回到全局配置模式in e0 进入以太接口配置ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配exit 回到全局配置模式
ip route 0.0.0.0 0.0.0.0 s 0 添加路由表 ena password 口令 write exit 以上根据中国电信ddn 专线多数情况应用 普通用户模式 enable 转入特权用户模式 exit 退出配置 help 系统帮助简述 language 语言模式切换 ping 检查网络主机连接及主机是否可达 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器 特权用户模式 #? clear 清除各项统计信息 clock 管理系统时钟 configure 进入全局配置模式 debug 开启调试开关 disable 返回普通用户模式 download 下载新版本软件和配置文件 erase 擦除FLASH 中的配置 exec-timeout 打开EXEC 超时退出开关
exit 退出配置 first-config 设置或清除初次配置标志 help 系统帮助简述language 语言模式切换monitor 打开用户屏幕调试信息输出开关no 关闭调试开关ping 检查网络主机连接及主机是否可达reboot 路由器重启setup 配置路由器参数show 显示系统运行信息telnet 远程登录功能tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM 中全局配置模式aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表arp 设置静态ARP 人口chat-script 生成一个用在modem 上的执行脚本custom-list 创建定制队列列表dialer-list 创建dialer-list dram-wait 设置DRAM 等待状态enable 修改ENABLE 口令exit 退出全局配置模式firewall 配置防火墙状态flow-interval 设置流量控制时间间隔frame-relay 帧中继全局配置命令集ftp-server FTP 服务器help 系统帮助命令简述host 添加主机名称和其IP 地址 hostname 修改主机名ifquelen 更改接口队列长度interface 选择配置接口ip 全局IP 配置命令子集ipx 全局IPX 配置命令子集loghost 设置日志主机IP 地址logic-channel 配置逻辑通道login 启动EXEC 登录验证modem-timeout 设置modem 超时时间multilink 配置multilink 用户使用的接口multilink-user 配置multilink 用户使用的接口natserver 设置FTP,TELNET,WWW 服务的IP 地址no 关闭某些参数开关priority-list 创建优先级队列列表router 启动路由处理settr 设置时间范围snmp-server 修改SNMP 参数tcp 配置全局TCP 参数timerange 启动或关闭时间区域user 为PPP 验证向系统中加入用户vpdn 设置VPDN vpdn-group 设置VPDN 组x25 X.25 协议分组层 H3C 交换机常用命令解释作者 :admin 日期 :2009-12-19 字体大小: 小中大 H3C 交换机常用命令注释