H3C三层交换机配置命令(2)

置无标识的vlan

如果包的vlan id与PVId一致，则去掉vlan信息. 默认PVID=1。 所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged.

配置基本ACL 2000，禁止源IP地址为192.168.0.1的报文通过。 system-view [Sysname] acl number 2000

[Sysname-acl-basic-2000] rule deny source 192.168.0.1 0

# 显示基本ACL 2000的配置信息。

[Sysname-acl-basic-2000] display acl 2000 Basic ACL 2000, 1 rule Acl's step is 1

rule 0 deny source 192.168.0.1 0

# 配置高级ACL 3000，允许从129.9.0.0/16网段的主机向202.38.160.0/24网段的主机发送的端口号为80的TCP报文通过。

system-view [Sysname] acl number 3000

[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80

在端口Ethernet 1/0/1的入方向上应用ACL 2000进行包过滤。 system-view

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] packet-filter inbound ip-group 2000

# 在VLAN 1的入方向上应用ACL 2000进行包过滤。 system-view

[Sysname] packet-filter vlan 1 inbound ip-group 2000

说明：acl 的in和out

说明一 ：in和out是相对交换机而言的，凡是数据从外部设备（如PC）进入交换机，则该方向为in；凡是数据从交换机转发到外部设备（如PC），则该方向为out。

说明二：in和out是相对的,比如: A(s0)-----(s0)B(s1)--------(s1)C

假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:

B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)

现在要拒绝小偷从A进来,那么你在你家客厅做个设置,就有2种办法:

1.在你家客厅(B)前门(B的s0)安个铁门(ACL),不让小偷进来(in),这样可以达到目的

2.在你家客厅后门安个铁门(B的s1),小偷虽然进到你家客厅,但是仍然不能从后门出去(out)到达你家金库(C)

虽然这2种办法(in/out)都可以达到功效,但是从性能角度上来说还是有区别的,实际上最好的办法,就是选办法1,就像虽然小偷没进到金库,至少进到你家客厅(B),把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理)

说明三：

1、交换机、路由器上：

针对某个vlan接口应用acl的方向问题，大家可以看看acl的源和目标地址段。假设要为vlan A配置acl，当源地址段为vlan A的ip段时，acl就是用in；当目的地址段为vlanA的ip段时，acl就是用out方向。

反正有一点需要注意，应用在vlan的ACL为out方向时，其目的地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配，但是用其他具体网段来匹配的话是匹配不上的；应用在vlan的ACL为in方向时，其源地址肯定是此vlan的ip网段内地址或者在acl中用any来匹配，但是用其他具体网段来匹配的话同样是匹配不上的。

要为vlan 配acl时，可以把vlan看成是一个普通接口。

2、防火墙上：

从安全级别低的访问高的叫in 从安全级别高的访问低的叫ou

三、加密改密： system-view

[h3c]local-user admin //用户名

[h3c-user-admin]password cipher admin //密码，显示的时候就变成密文的了。 [h3c-user-admin]quit [h3c]quit

save 保存

四、1、system-view 进入系统视图模式

2、sysname 为设备命名

3、display current-configuration 当前配置情况

4、 language-mode Chinese|English 中英文切换

5、interface Ethernet 1/0/1 进入以太网端口视图

6、 port link-type Access|Trunk|Hybrid 设置端口访问模式

7、 undo shutdown 打开以太网端口

8、 shutdown 关闭以太网端口

9、 quit 退出当前视图模式

10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式

11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中

12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中

13、port trunk permit vlan all 允许所有的vlan通过

H3C路由器

1、system-view 进入系统视图模式