H3C 交换机配置命令手册.doc

1、目录H3C 交换机配置命令手册： 2交换机端口链路类型介绍： .2认证方式为 Scheme 时 Telnet 登录方式的配置 2Vlan 的创建及描述 .2将端口配置为 Trunk 端口，并允许 VLAN10 和 VLAN20 通过 3DHCP 典型配制举例： 3链路聚合典型配置 3三层交换的 IP 路由配置： .4(1)配置各接口的 IP 地址 .4(2) 配置静态路由 4# 在 Switch B 上配置两条静态路由。 .5配置举例：建立 SSL Proxy 服务器 .51. 组网需求 .52. 组网图 .53. 配置步骤 .5# 配置接口 IP 地址。 .5SSL 服务器端策略配置： 6证

2、书属性过滤组的配置： .6证书 ACP 策略配置： 7SSL Proxy 服务器策略配置： 7# 配置目标 HTTP 服务器。 7运行 SSL Proxy 服务器： .7# 配置 ACL，用来匹配将要进行 SSL 代理的数据流。 .7# 将路由策略应用到接口上。 .8H3C 交换机配置命令手册：交换机端口链路类型介绍：1 Access 类型的端口只能属于 1 个 VLAN，一般用于连接计算机的端口；2 Trunk 类型的端口可以属于多个 VLAN，可以接收和发送多个 VLAN 的报文，一般用于交换机之间连接的端口；3 Hybrid 类型的端口可以属于多个 VLAN，可以接收和发送多个 VLAN

3、 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。认证方式为 Scheme 时 Telnet 登录方式的配置#telnet server enable#local-user guestservice-type telnetlevel 3password simple 123456#Vlan 的创建及描述#system-view #进入配置选项命令行SwitchA vlan 100 #创建当前 VLAN SwitchA-vlan100 description Dept1 #当前 VLAN 的描述SwitchA-vlan100 port GigabitEthernet 1/0/1 #将

4、当前端口加入到对就的 VLAN 下面将端口配置为 Trunk 端口，并允许 VLAN10 和 VLAN20 通过SwitchAinterface GigabitEthernet 1/1 #进入当前端口SwitchA-GigabitEthernet1/1port link-type trunk #将当前端口设为中继SwitchA-GigabitEthernet1/1port trunk permit vlan all #允许所有 VLAN 通过 SwitchA-vlan100 quit #退出DHCP 典型配制举例：#SwitchA dhcp server ip-pool 0 #建立 DHCP

5、组SwitchA-dhcp-pool-0 network 10.1.1.0 mask 255.255.255.0 #地址池范围SwitchA-dhcp-pool-0 domain-name #WINS 服务器地址SwitchA-dhcp-pool-0 dns-list 10.1.1.2 #DNS 服务器地址 SwitchA-dhcp-pool-0 nbns-list 10.1.1.4 #从 DNS 的配制SwitchA dhcp server forbidden-ip 10.1.1.2 #不参与的地址分配的地址（保留地址）SwitchA dhcp server detect # 配置伪服务器

6、检测功能。SwitchA-dhcp-pool-0 quit #退出配置服务选项SwitchA dhcp enable #启用 DHCP 服务DHCP 中继代理# 使能 DHCP 服务。SwitchB dhcp enable# 配置 DHCP 服务器的地址SwitchB dhcp relay server-group 1 ip 192.168.1.42# 配置 VLAN 接口 3 工作在 DHCP 中继模式。SwitchB interface vlan-interface 3SwitchB-Vlan-interface3 dhcp select relay# 配置 VLAN 接口 3 对应 DH

7、CP 服务器组 1。SwitchB-Vlan-interface3 dhcp relay server-select 1链路聚合典型配置链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组，使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。# 创建二层聚合端口 1。system-viewDeviceA interface bridge-aggregation 1 #创建端口聚合组DeviceA-Bridge-Aggregatio

8、n1 quit# 将以太网端口 Ethernet2/0/1 至 Ethernet2/0/3 加入聚合组 1。DeviceA interface ethernet 2/0/1DeviceA-Ethernet2/0/1 port link-aggregation group 1 #加入端口聚合组DeviceA-Ethernet2/0/1 interface ethernet 2/0/2 #进入端口DeviceA-Ethernet2/0/2 port link-aggregation group 1 #加入端口聚合组DeviceA-Ethernet2/0/2 interface ethernet 2

9、/0/3DeviceA-Ethernet2/0/3 port link-aggregation group 1采用动态聚合模式# 创建二层聚合端口 1，并配置成动态聚合模式。system-viewDeviceA interface bridge-aggregation 1DeviceA-Bridge-Aggregation1 link-aggregation mode dynamicDeviceA-Bridge-Aggregation1 quit三层交换的 IP 路由配置：(1)配置各接口的 IP 地址interface Vlan-interface300#ip address 1.1.2.3

10、 255.255.255.0 #给 VLAN 指定 IP 地址#(2) 配置静态路由# 在 Switch A 上配置缺省路由。system-viewSwitchA ip route-static 0.0.0.0 0.0.0.0 1.1.4.2 # 配置缺省路由# 在 Switch B 上配置两条静态路由。system-viewSwitchB ip route-static 1.1.2.0 255.255.255.0 1.1.4.1 #静态路由SwitchB ip route-static 1.1.3.0 255.255.255.0 1.1.5.6 #静态路由配置举例：建立 SSL Proxy

11、服务器1. 组网需求HTTPS 客户端通过 Internet 连接到防火墙上的 SSL Proxy 服务，然后防火墙再将请求发送给 HTTP 服务器。2. 组网图图 10-3 SSL Proxy 服务器的组网图3. 配置步骤# 配置接口 IP 地址。H3C interface Ethernet 0/0/0H3C-Ethernet0/0/0 ip address 10.165.87.165 255.255.255.0H3C-Ethernet0/0/0 quitH3C interface Ethernet 1/0/0H3C-Ethernet1/0/0 ip address 10.165.88.1

12、255.255.255.0H3C-Ethernet1/0/0 quitSSL 服务器端策略配置：# 定制 SSL Proxy 服务器上使用的 SSL 服务器端策略。H3C ssl server-policy myssl# PKI 域配置H3C-ssl-server-policy-myssl pki-domain 1证书属性过滤组的配置：# 配置一个名为 mygroup1 和 mygroup2 的证书属性过滤组，并且在组下配置过滤条件。H3C pki certificate attribute-group mygroup1H3C-cert-attribute-group-mygroup1 att

13、ribute 1 subject-name dn ctn cn=H3CH3C-cert-attribute-group-mygroup1 attribute 2 alt-subject-name ip equ 10.165.87.154H3C-cert-attribute-group-mygroup1 quitH3C pki certificate attribute-group mygroup2H3C-cert-attribute-group-mygroup2 attribute 1 alt-subject-name fqdn nctn H3CH3C-cert-attribute-group

14、-mygroup2 attribute 2 issuer-name dn ctn H3C证书 ACP 策略配置：# 配置一个名为 myacp 的基于证书属性的访问控制策略，并且配置该策略的控制规则。H3C pki certificate access-control-policy myacpH3C-cert-acp-myacp rule 1 deny mygroup1H3C-cert-acp-myacp rule 2 permit mygroup2SSL Proxy 服务器策略配置：# 定制 SSL Proxy 服务器策略。H3C ssl proxy myproxy# 配置 SSL 服务器端策

15、略为 myssl。H3C-sslproxy-myproxy ssl-server-policy myssl# 配置证书 ACP 为 myacp。H3C-sslproxy-myproxy certificate access-control-policy myacp# 配置目标 HTTP 服务器。H3C-sslproxy-myproxy server ip 10.165.88.15 port 80运行 SSL Proxy 服务器：# 选择 SSL Proxy 服务器配置 myproxy，启动 SSL Proxy 服务器。H3C ssl proxy server myproxy enable配置路

16、由策略，使防火墙将进入的 HTTPS 请求交由 CPU 进行处理，否则防火墙将对进入的报文执行正常转发的操作，则不能起到 SSL Proxy 的作用：# 配置 ACL，用来匹配将要进行 SSL 代理的数据流。H3C acl number 3000H3C-acl-adv-3000 rule permit tcp source any destination 10.165.88.15 0 destination-port eq 443H3C-acl-adv-3000 quit# 配置路由策略，使防火墙将匹配 ACL 的报文转发到 loopback 接口上，即交由CPU 处理。H3C interfa

17、ce LoopBack 1H3C-LoopBack1 ip address 1.1.1.1 255.255.255.255H3C-LoopBack1 quitH3C route-policy https permit node 1H3C-route-policy if-match acl 3000H3C-route-policy apply ip-address next-hop 1.1.1.1H3C-route-policy quit# 将路由策略应用到接口上。H3C interface Ethernet 0/0/0H3C-Ethernet0/0/0 ip policy route-policy https