H3C 交换机配置命令手册

目录

H3C 交换机配置命令手册： (2)

交换机端口链路类型介绍： (2)

认证方式为Scheme时Telnet登录方式的配置 (2)

Vlan 的创建及描述 (2)

将端口配置为Trunk端口，并允许VLAN10和VLAN20通过 (3)

DHCP典型配制举例： (3)

链路聚合典型配置 (4)

三层交换的IP路由配置： (5)

(1)配置各接口的IP地址 (5)

(2) 配置静态路由 (5)

# 在Switch B上配置两条静态路由。 (5)

配置举例：建立SSL Proxy服务器 (5)

1. 组网需求 (5)

2. 组网图 (6)

3. 配置步骤 (6)

# 配置接口IP地址。 (6)

SSL服务器端策略配置： (6)

证书属性过滤组的配置： (7)

证书ACP策略配置： (7)

SSL Proxy服务器策略配置： (7)

# 配置目标HTTP服务器。 (8)

运行SSL Proxy服务器： (8)

# 配置ACL，用来匹配将要进行SSL代理的数据流。 (8)

# 将路由策略应用到接口上。 (9)

H3C 交换机配置命令手册：

交换机端口链路类型介绍：

1．Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；

2．Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；

3．Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

认证方式为Scheme时Telnet登录方式的配置

#

telnet server enable

#

local-user guest

service-type telnet

level 3

password simple 123456

#

Vlan 的创建及描述

#

system-view #进入配置选项命令行

[SwitchA] vlan 100 #创建当前VLAN

[SwitchA-vlan100] description Dept1 #当前VLAN的描述

[SwitchA-vlan100] port GigabitEthernet 1/0/1 #将当前端口加入到对就的VLAN下面

将端口配置为Trunk端口，并允许VLAN10和VLAN20通过

[SwitchA]interface GigabitEthernet 1/1 #进入当前端口

[SwitchA-GigabitEthernet1/1]port link-type trunk #将当前端口设为中继

[SwitchA-GigabitEthernet1/1]port trunk permit vlan all #允许所有VLAN通过

[SwitchA-vlan100] quit #退出

DHCP典型配制举例：

#

[SwitchA] dhcp server ip-pool 0 #建立DHCP组

[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0 #地址池范围

[SwitchA-dhcp-pool-0] domain-name aabbcc.com #WINS服务器地址

[SwitchA-dhcp-pool-0] dns-list 10.1.1.2 #DNS服务器地址

[SwitchA-dhcp-pool-0] nbns-list 10.1.1.4 #从DNS的配制

[SwitchA] dhcp server forbidden-ip 10.1.1.2 #不参与的地址分配的地址（保留地址）[SwitchA] dhcp server detect # 配置伪服务器检测功能。

[SwitchA-dhcp-pool-0] quit #退出配置服务选项

[SwitchA] dhcp enable #启用DHCP服务

DHCP中继代理

# 使能DHCP服务。

[SwitchB] dhcp enable

# 配置DHCP服务器的地址

[SwitchB] dhcp relay server-group 1 ip 192.168.1.42

# 配置VLAN接口3工作在DHCP中继模式。

[SwitchB] interface vlan-interface 3

[SwitchB-Vlan-interface3] dhcp select relay

# 配置VLAN接口3对应DHCP服务器组1。

[SwitchB-Vlan-interface3] dhcp relay server-select 1

链路聚合典型配置

链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组，使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。

链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。

# 创建二层聚合端口1。

system-view

[DeviceA] interface bridge-aggregation 1 #创建端口聚合组

[DeviceA-Bridge-Aggregation1] quit

# 将以太网端口Ethernet2/0/1至Ethernet2/0/3加入聚合组1。

[DeviceA] interface ethernet 2/0/1

[DeviceA-Ethernet2/0/1] port link-aggregation group 1 #加入端口聚合组

[DeviceA-Ethernet2/0/1] interface ethernet 2/0/2 #进入端口

[DeviceA-Ethernet2/0/2] port link-aggregation group 1 #加入端口聚合组

[DeviceA-Ethernet2/0/2] interface ethernet 2/0/3

[DeviceA-Ethernet2/0/3] port link-aggregation group 1

采用动态聚合模式

# 创建二层聚合端口1，并配置成动态聚合模式。

system-view

[DeviceA] interface bridge-aggregation 1

[DeviceA-Bridge-Aggregation1] link-aggregation mode dynamic

[DeviceA-Bridge-Aggregation1] quit

三层交换的IP路由配置：

(1)配置各接口的IP地址

interface Vlan-interface300

#

ip address 1.1.2.3 255.255.255.0 #给VLAN指定IP地址

#

(2) 配置静态路由

# 在Switch A上配置缺省路由。

system-view

[SwitchA] ip route-static 0.0.0.0 0.0.0.0 1.1.4.2 # 配置缺省路由

# 在Switch B上配置两条静态路由。

system-view

[SwitchB] ip route-static 1.1.2.0 255.255.255.0 1.1.4.1 #静态路由

[SwitchB] ip route-static 1.1.3.0 255.255.255.0 1.1.5.6 #静态路由

配置举例：建立SSL Proxy服务器

1. 组网需求

HTTPS客户端通过Internet连接到防火墙上的SSL Proxy服务，然后防火墙再将请求发送给HTTP服务器。

2. 组网图

图10-3 SSL Proxy服务器的组网图

3. 配置步骤

# 配置接口IP地址。

[H3C] interface Ethernet 0/0/0

[H3C-Ethernet0/0/0] ip address 10.165.87.165 255.255.255.0 [H3C-Ethernet0/0/0] quit

[H3C] interface Ethernet 1/0/0

[H3C-Ethernet1/0/0] ip address 10.165.88.1 255.255.255.0 [H3C-Ethernet1/0/0] quit

SSL服务器端策略配置：

# 定制SSL Proxy服务器上使用的SSL服务器端策略。

[H3C] ssl server-policy myssl

# PKI域配置

[H3C-ssl-server-policy-myssl] pki-domain 1

证书属性过滤组的配置：

# 配置一个名为mygroup1和mygroup2的证书属性过滤组，并且在组下配置过滤条件。

[H3C] pki certificate attribute-group mygroup1

[H3C-cert-attribute-group-mygroup1] attribute 1 subject-name dn ctn cn=H3C

[H3C-cert-attribute-group-mygroup1] attribute 2 alt-subject-name ip equ 10.165.87.154

[H3C-cert-attribute-group-mygroup1] quit

[H3C] pki certificate attribute-group mygroup2

[H3C-cert-attribute-group-mygroup2] attribute 1 alt-subject-name fqdn nctn H3C

[H3C-cert-attribute-group-mygroup2] attribute 2 issuer-name dn ctn H3C 证书ACP策略配置：

# 配置一个名为myacp的基于证书属性的访问控制策略，并且配置该策略的控制规则。

[H3C] pki certificate access-control-policy myacp

[H3C-cert-acp-myacp] rule 1 deny mygroup1

[H3C-cert-acp-myacp] rule 2 permit mygroup2

SSL Proxy服务器策略配置：

# 定制SSL Proxy服务器策略。

[H3C] ssl proxy myproxy

# 配置SSL服务器端策略为myssl。

[H3C-sslproxy-myproxy] ssl-server-policy myssl

# 配置证书 ACP为myacp。

[H3C-sslproxy-myproxy] certificate access-control-policy myacp

# 配置目标HTTP服务器。

[H3C-sslproxy-myproxy] server ip 10.165.88.15 port 80

运行SSL Proxy服务器：

# 选择SSL Proxy服务器配置myproxy，启动SSL Proxy服务器。

[H3C] ssl proxy server myproxy enable

配置路由策略，使防火墙将进入的HTTPS请求交由CPU进行处理，否则防火墙将对进入的报文执行正常转发的操作，则不能起到SSL Proxy的作用：

# 配置ACL，用来匹配将要进行SSL代理的数据流。

[H3C] acl number 3000

[H3C-acl-adv-3000] rule permit tcp source any destination 10.165.88.15 0 destination-port eq 443

[H3C-acl-adv-3000] quit

# 配置路由策略，使防火墙将匹配ACL的报文转发到loopback接口上，即交由CPU处理。

[H3C] interface LoopBack 1

[H3C-LoopBack1] ip address 1.1.1.1 255.255.255.255

[H3C-LoopBack1] quit

[H3C] route-policy https permit node 1

[H3C-route-policy] if-match acl 3000

[H3C-route-policy] apply ip-address next-hop 1.1.1.1

[H3C-route-policy] quit

# 将路由策略应用到接口上。

[H3C] interface Ethernet 0/0/0

[H3C-Ethernet0/0/0] ip policy route-policy https