access-list 用於創建訪問規則。
(1)創建標準訪問列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)創建擴展訪問列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)刪除訪問列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【參數說明】
normal 指定規則加入普通時間段。
special 指定規則加入特殊時間段。
listnumber1 是1到99之間的一個數值,表示規則是標準訪問列表規則。
listnumber2 是100到199之間的一個數值,表示規則是擴展訪問列表規則。
permit 表明允許滿足條件的報文通過。
deny 表明禁止滿足條件的報文通過。
protocol 爲協議類型,支持ICMP、TCP、UDP等,其它的協議也支持,此時沒有端口比較的概念;爲IP時有特殊含義,代表所有的IP協議。
source-addr 爲源地址。
source-mask 爲源地址通配位,在標準訪問列表中是可選項,不輸入則代表通配位爲0.0.0.0。
dest-addr 爲目的地址。
dest-mask 爲目的地址通配位。
operator[可選] 端口操作符,在協議類型爲TCP或UDP時支持端口比較,支持的比較操作有:等於(eq)、大於(gt)、小於(lt)、不等於(neq)或介於(range);如果操作符爲range,則後面需要跟兩個端口。
port1 在協議類型爲TCP或UDP時出現,可以爲關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
port2 在協議類型爲TCP或UDP且操作類型爲range時出現;可以爲關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
icmp-type[可選] 在協議爲ICMP時出現,代表ICMP報文類型;可以是關鍵字所設定的預設值(如echo-reply)或者是0~255之間的一個數值。
icmp-code在協議爲ICMP且沒有選擇所設定的預設值時出現;代表ICMP碼,是0~255之間的一個數值。
log [可選] 表示如果報文符合條件,需要做日誌。
listnumber 爲刪除的規則序號,是1~199之間的一個數值。
subitem[可選] 指定刪除序號爲listnumber的訪問列表中規則的序號。
【缺省情況】 系統缺省不配置任何訪問規則。
【命令模式】 全局配置模式
【使用指南】 同一個序號的規則可以看作一類規則;所定義的規則不僅可以用來在接口上過濾報文,也可以被如DDR等用來判斷一個報文是否是感興趣的報文,此時,permit與deny表示是感興趣的還是不感興趣的。 使用協議域爲IP的擴展訪問列表來表示所有的IP協議。 同一個序號之間的規則按照一定的原則進行排列和選擇,這個順序可以通過 show access-list 命令看到。
【舉例】 允許源地址爲10.1.1.0 網絡、目的地址爲10.1.2.0網絡的WWW訪問,但不允許使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相關命令】 ip access-group
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)刪除訪問列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【參數說明】
normal 指定規則加入普通時間段。
special 指定規則加入特殊時間段。
listnumber1 是1到99之間的一個數值,表示規則是標準訪問列表規則。
listnumber2 是100到199之間的一個數值,表示規則是擴展訪問列表規則。
permit 表明允許滿足條件的報文通過。
deny 表明禁止滿足條件的報文通過。
protocol 爲協議類型,支持ICMP、TCP、UDP等,其它的協議也支持,此時沒有端口比較的概念;爲IP時有特殊含義,代表所有的IP協議。
source-addr 爲源地址。
source-mask 爲源地址通配位,在標準訪問列表中是可選項,不輸入則代表通配位爲0.0.0.0。
dest-addr 爲目的地址。
dest-mask 爲目的地址通配位。
operator[可選] 端口操作符,在協議類型爲TCP或UDP時支持端口比較,支持的比較操作有:等於(eq)、大於(gt)、小於(lt)、不等於(neq)或介於(range);如果操作符爲range,則後面需要跟兩個端口。
port1 在協議類型爲TCP或UDP時出現,可以爲關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
port2 在協議類型爲TCP或UDP且操作類型爲range時出現;可以爲關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
icmp-type[可選] 在協議爲ICMP時出現,代表ICMP報文類型;可以是關鍵字所設定的預設值(如echo-reply)或者是0~255之間的一個數值。
icmp-code在協議爲ICMP且沒有選擇所設定的預設值時出現;代表ICMP碼,是0~255之間的一個數值。
log [可選] 表示如果報文符合條件,需要做日誌。
listnumber 爲刪除的規則序號,是1~199之間的一個數值。
subitem[可選] 指定刪除序號爲listnumber的訪問列表中規則的序號。
【缺省情況】 系統缺省不配置任何訪問規則。
【命令模式】 全局配置模式
【使用指南】 同一個序號的規則可以看作一類規則;所定義的規則不僅可以用來在接口上過濾報文,也可以被如DDR等用來判斷一個報文是否是感興趣的報文,此時,permit與deny表示是感興趣的還是不感興趣的。 使用協議域爲IP的擴展訪問列表來表示所有的IP協議。 同一個序號之間的規則按照一定的原則進行排列和選擇,這個順序可以通過 show access-list 命令看到。
【舉例】 允許源地址爲10.1.1.0 網絡、目的地址爲10.1.2.0網絡的WWW訪問,但不允許使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相關命令】 ip access-group
【命令】clear access-list counters [ listnumber ]
【參數說明】 listnumber [可選] 要清除統計信息的規則的序號,如不指定,則清除所有的規則的統計信息。
【缺省情況】 任何時候都不清除統計信息。
【命令模式】 特權用戶模式
【使用指南】 使用此命令來清除當前所用規則的統計信息,不指定規則編號則清除所有規則的統計信息。
【舉例】 例1:清除當前所使用的序號爲100的規則的統計信息。
Quidway#clear access-list counters 100
例2:清除當前所使用的所有規則的統計信息。
Quidway#clear access-list counters
【相關命令】 access-list
【參數說明】 listnumber [可選] 要清除統計信息的規則的序號,如不指定,則清除所有的規則的統計信息。
【缺省情況】 任何時候都不清除統計信息。
【命令模式】 特權用戶模式
【使用指南】 使用此命令來清除當前所用規則的統計信息,不指定規則編號則清除所有規則的統計信息。
【舉例】 例1:清除當前所使用的序號爲100的規則的統計信息。
Quidway#clear access-list counters 100
例2:清除當前所使用的所有規則的統計信息。
Quidway#clear access-list counters
【相關命令】 access-list
【命令】firewall { enable | disable }
【參數說明】 enable 表示啓用防火牆。 disable 表示禁止防火牆。
【缺省情況】系統缺省爲禁止防火牆。
【命令模式】全局配置模式
【使用指南】使用此命令來啓用或禁止防火牆,可以通過show firewall命令看到相應結果。如果採用了時間段包過濾,則在防火牆被關閉時也將被關閉;該命令控制防火牆的總開關。在使用 firewall disable 命令關閉防火牆時,防火牆本身的統計信息也將被清除。
【舉例】啓用防火牆。
Quidway(config)#firewall enable
【相關命令】 access-list,ip access-group
【參數說明】 enable 表示啓用防火牆。 disable 表示禁止防火牆。
【缺省情況】系統缺省爲禁止防火牆。
【命令模式】全局配置模式
【使用指南】使用此命令來啓用或禁止防火牆,可以通過show firewall命令看到相應結果。如果採用了時間段包過濾,則在防火牆被關閉時也將被關閉;該命令控制防火牆的總開關。在使用 firewall disable 命令關閉防火牆時,防火牆本身的統計信息也將被清除。
【舉例】啓用防火牆。
Quidway(config)#firewall enable
【相關命令】 access-list,ip access-group
【命令】firewall default { permit | deny }
【參數說明】permit 表示缺省過濾屬性設置爲“允許”。 deny 表示缺省過濾屬性設置爲“禁止”。
【缺省情況】在防火牆開啓的情況下,報文被缺省允許通過。
【命令模式】全局配置模式
【使用指南】當在接口應用的規則沒有一個能夠判斷一個報文是否應該被允許還是禁止時,缺省的過濾屬性將起作用;如果缺省過濾屬性是“允許”,則報文可以通過,否則報文被丟棄。
【舉例】設置缺省過濾屬性爲“允許”。
Quidway(config)#firewall default permit
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【參數說明】listnumber 爲規則序號,是1~199之間的一個數值。 in 表示規則用於過濾從接口收上來的報文。out 表示規則用於過濾從接口轉發的報文。
【缺省情況】沒有規則應用於接口。
【命令模式】 接口配置模式。
【使用指南】使用此命令來將規則應用到接口上;如果要過濾從接口收上來的報文,則使用 in 關鍵字;如果要過濾從接口轉發的報文,使用out 關鍵字。一個接口的一個方向上最多可以應用20類不同的規則;這些規則之間按照規則序號的大小進行排列,序號大的排在前面,也就是優先級高。對報文進行過濾時,將採用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以,建議在配置規則時,儘量將對同一個網絡配置的規則放在同一個序號的訪問列表中;在同一個序號的訪問列表中,規則之間的排列和選擇順序可以用show access-list命令來查看。
【舉例】 將規則101應用於過濾從以太網口收上來的報文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相關命令】 access-list 六、settr 設定或取消特殊時間段。
[ no ] ip access-group listnumber { in | out }
【參數說明】listnumber 爲規則序號,是1~199之間的一個數值。 in 表示規則用於過濾從接口收上來的報文。out 表示規則用於過濾從接口轉發的報文。
【缺省情況】沒有規則應用於接口。
【命令模式】 接口配置模式。
【使用指南】使用此命令來將規則應用到接口上;如果要過濾從接口收上來的報文,則使用 in 關鍵字;如果要過濾從接口轉發的報文,使用out 關鍵字。一個接口的一個方向上最多可以應用20類不同的規則;這些規則之間按照規則序號的大小進行排列,序號大的排在前面,也就是優先級高。對報文進行過濾時,將採用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以,建議在配置規則時,儘量將對同一個網絡配置的規則放在同一個序號的訪問列表中;在同一個序號的訪問列表中,規則之間的排列和選擇順序可以用show access-list命令來查看。
【舉例】 將規則101應用於過濾從以太網口收上來的報文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相關命令】 access-list 六、settr 設定或取消特殊時間段。
【命令】settr begin-time end-time
no settr
【參數說明】 begin-time 爲一個時間段的開始時間。
end-time 爲一個時間段的結束時間,應該大於開始時間。
【缺省情況】系統缺省沒有設置時間段,即認爲全部爲普通時間段。
【命令模式】 全局配置模式
【使用指南】 使用此命令來設置時間段;可以最多同時設置6個時間段,通過show timerange 命令可以看到所設置的時間。如果在已經使用了一個時間段的情況下改變時間段,則此修改將在一分鐘左右生效(系統查詢時間段的時間間隔)。設置的時間應該是24小時制。如果要設置類似晚上9點到早上8點的時間段,可以設置成“settr 21:00 23:59 0:00 8:00”,因爲所設置的時間段的兩個端點屬於時間段之內,故不會產生時間段內外的切換。另外這個設置也經過了2000問題的測試。
【舉例】 例1:設置時間段爲8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 設置時間段爲晚上9點到早上8點。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相關命令】 timerange,show timerange 七、show access-list 顯示包過濾規則及在接口上的應用。
no settr
【參數說明】 begin-time 爲一個時間段的開始時間。
end-time 爲一個時間段的結束時間,應該大於開始時間。
【缺省情況】系統缺省沒有設置時間段,即認爲全部爲普通時間段。
【命令模式】 全局配置模式
【使用指南】 使用此命令來設置時間段;可以最多同時設置6個時間段,通過show timerange 命令可以看到所設置的時間。如果在已經使用了一個時間段的情況下改變時間段,則此修改將在一分鐘左右生效(系統查詢時間段的時間間隔)。設置的時間應該是24小時制。如果要設置類似晚上9點到早上8點的時間段,可以設置成“settr 21:00 23:59 0:00 8:00”,因爲所設置的時間段的兩個端點屬於時間段之內,故不會產生時間段內外的切換。另外這個設置也經過了2000問題的測試。
【舉例】 例1:設置時間段爲8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 設置時間段爲晚上9點到早上8點。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相關命令】 timerange,show timerange 七、show access-list 顯示包過濾規則及在接口上的應用。
【命令】show access-list [ all | listnumber | interface interface-name]
【參數說明】 all 表示所有的規則,包括普通時間段內及特殊時間段內的規則。
listnumber 爲顯示當前所使用的規則中序號爲listnumber的規則。
interface 表示要顯示在指定接口上應用的規則序號。
interface-name 爲接口的名稱。
【命令模式】 特權用戶模式
【使用指南】 使用此命令來顯示所指定的規則,同時查看規則過濾報文的情況。每個規則都有一個相應的計數器,如果用此規則過濾了一個報文,則計數器加1;通過對計數器的觀察可以看出所配置的規則中,哪些規則是比較有效,而哪些基本無效。可以通過帶interface 關鍵字的show access-list命令來查看某個接口應用規則的情況。
【舉例】 例1:顯示當前所使用的序號爲100的規則。
Quidway#show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
100 deny udp any any eq rip (no matches -- rule 3)
例2: 顯示接口Serial0上應用規則的情況。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相關命令】access-list
【參數說明】 all 表示所有的規則,包括普通時間段內及特殊時間段內的規則。
listnumber 爲顯示當前所使用的規則中序號爲listnumber的規則。
interface 表示要顯示在指定接口上應用的規則序號。
interface-name 爲接口的名稱。
【命令模式】 特權用戶模式
【使用指南】 使用此命令來顯示所指定的規則,同時查看規則過濾報文的情況。每個規則都有一個相應的計數器,如果用此規則過濾了一個報文,則計數器加1;通過對計數器的觀察可以看出所配置的規則中,哪些規則是比較有效,而哪些基本無效。可以通過帶interface 關鍵字的show access-list命令來查看某個接口應用規則的情況。
【舉例】 例1:顯示當前所使用的序號爲100的規則。
Quidway#show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
100 deny udp any any eq rip (no matches -- rule 3)
例2: 顯示接口Serial0上應用規則的情況。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相關命令】access-list
【命令】show firewall 顯示防火牆狀態。
【命令模式】特權用戶模式
【使用指南】 使用此命令來顯示防火牆的狀態,包括防火牆是否被啓用,啓用防火牆時是否採用了時間段包過濾及防火牆的一些統計信息。
【舉例】顯示防火牆狀態。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.
TimeRange packet-filtering enable.
InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
2 packets, 104 bytes, 100% permitted defaultly,
0 packets, 0 bytes, 100% denied defaultly.
From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.
【相關命令】 firewall
【命令模式】特權用戶模式
【使用指南】 使用此命令來顯示防火牆的狀態,包括防火牆是否被啓用,啓用防火牆時是否採用了時間段包過濾及防火牆的一些統計信息。
【舉例】顯示防火牆狀態。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.
TimeRange packet-filtering enable.
InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
2 packets, 104 bytes, 100% permitted defaultly,
0 packets, 0 bytes, 100% denied defaultly.
From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.
【相關命令】 firewall
【命令】show isintr顯示當前時間是否在時間段之內。
【命令模式】特權用戶模式
【使用指南】使用此命令來顯示當前時間是否在時間段之內。
【舉例】顯示當前時間是否在時間段之內。
Quidway#show isintr
It is NOT in time ranges now.
【相關命令】 timerange,settr
【使用指南】使用此命令來顯示當前時間是否在時間段之內。
【舉例】顯示當前時間是否在時間段之內。
Quidway#show isintr
It is NOT in time ranges now.
【相關命令】 timerange,settr
【命令】show timerange
【命令模式】特權用戶模式
【使用指南】使用此命令來顯示當前是否允許時間段包過濾及所設置的時間段。
【舉例】顯示時間段包過濾的信息。
Quidway#show timerange
TimeRange packet-filtering enable.
beginning of time range:
01:00 - 02:00
03:00 - 04:00
end of time range.
【相關命令】timerange,settr 十一、timerange 啓用或禁止時間段包過濾功能。
【命令模式】特權用戶模式
【使用指南】使用此命令來顯示當前是否允許時間段包過濾及所設置的時間段。
【舉例】顯示時間段包過濾的信息。
Quidway#show timerange
TimeRange packet-filtering enable.
beginning of time range:
01:00 - 02:00
03:00 - 04:00
end of time range.
【相關命令】timerange,settr 十一、timerange 啓用或禁止時間段包過濾功能。
【命令】timerange { enable | disable }
【參數說明】enable 表示啓用時間段包過濾。
disable 表示禁止採用時間段包過濾。
【缺省情況】系統缺省爲禁止時間段包過濾功能。
【命令模式】全局配置模式
【使用指南】使用此命令來啓用或禁止時間段包過濾功能,可以通過show firewall命令看到,也可以通過show timerange命令看到配置結果。在時間段包過濾功能被啓用後,系統將根據當前的時間和設置的時間段來確定使用時間段內(特殊)的規則還是時間段外(普通)的規則。系統查詢時間段的精確度爲1分鐘。所設置的時間段的兩個端點屬於時間段之內。
【舉例】
啓用時間段包過濾功能。
Quidway(config)#timerange enable
【相關命令】 settr,show timerange
【參數說明】enable 表示啓用時間段包過濾。
disable 表示禁止採用時間段包過濾。
【缺省情況】系統缺省爲禁止時間段包過濾功能。
【命令模式】全局配置模式
【使用指南】使用此命令來啓用或禁止時間段包過濾功能,可以通過show firewall命令看到,也可以通過show timerange命令看到配置結果。在時間段包過濾功能被啓用後,系統將根據當前的時間和設置的時間段來確定使用時間段內(特殊)的規則還是時間段外(普通)的規則。系統查詢時間段的精確度爲1分鐘。所設置的時間段的兩個端點屬於時間段之內。
【舉例】
啓用時間段包過濾功能。
Quidway(config)#timerange enable
【相關命令】 settr,show timerange
計算機命令
PCA login: root ;使用root用戶
password: linux ;口令是linux
# shutdown -h now ;關機
# init 0 ;關機
# logout
# login
# ifconfig ;顯示IP地址
# ifconfig eth0 <ip address> netmask <netmask> ;設置IP地址
# ifconfig eht0 <ip address> netmask <netmask> down ; 刪除IP地址
# route add 0.0.0.0 gw <ip>
# route del 0.0.0.0 gw <ip>
# route add default gw <ip> ;設置網關
# route del default gw <ip> ;刪除網關
# route ;顯示網關
# ping <ip>
# telnet <ip> ;建議telnet之前先ping一下
交換機命令
[Quidway]super password 修改特權用戶密碼
[Quidway]sysname 交換機命名
[Quidway]interface ethernet 0/1 進入接口視圖
[Quidway]interface vlan x 進入接口視圖
[Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 靜態路由=網關
[Quidway]user-interface vty 0 4
[S3026-ui-vty0-4]authentication-mode password
[S3026-ui-vty0-4]set authentication-mode password simple 222
[S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口雙工工作狀態
[Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率
[Quidway-Ethernet0/1]flow-control 配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX狀態平接或扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 設置接口工作模式
[Quidway-Ethernet0/1]shutdown 關閉/重起接口
[Quidway-Ethernet0/2]quit 退出系統視圖
[Quidway]vlan 3 創建/刪除一個VLAN/進入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在當前VLAN增加/刪除以太網接口
[Quidway-Ethernet0/2]port access vlan 3 將當前接口加入到指定VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 設trunk允許的VLAN
[Quidway-Ethernet0/2]port trunk pvid vlan 3 設置trunk端口的PVID
[Quidway]monitor-port <interface_type interface_num> 指定和清除鏡像端口
[Quidway]port mirror <interface_type interface_num> 指定和清除被鏡像端口
[Quidway]port mirror int_list observing-port int_type int_num 指定鏡像和被鏡像
[Quidway]description string 指定VLAN描述字符
[Quidway]description 刪除VLAN描述字符
[Quidway]display vlan [vlan_id] 查看VLAN設置
[Quidway]stp {enable|disable} 開啓/關閉生成樹,默認關閉
[Quidway]stp priority 4096 設置交換機的優先級
[Quidway]stp root {primary|secondary} 設置交換機爲根或根的備份
[Quidway-Ethernet0/1]stp cost 200 設置交換機端口的花費
[SwitchA-vlanx]isolate-user-vlan enable 設置主vlan
[SwitchA]Isolate-user-vlan <x> secondary <list> 設置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id> 設置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid 刪除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged 設置無標識的vlan
如果包的vlan id與PVId一致,則去掉vlan信息. 默認PVID=1。
所以設置PVID爲所屬vlan id, 設置可以互通的vlan爲untagged.
路由器命令
[Quidway]display version 顯示版本信息
[Quidway]display current-configuration 顯示當前配置
[Quidway]display interfaces 顯示接口信息
[Quidway]display ip route 顯示路由信息
[Quidway]sysname aabbcc 更改主機名
[Quidway]super passwrod 123456 設置口令
[Quidway]interface serial0 進入接口
[Quidway-serial0]ip address <ip><mask>
[Quidway-serial0]undo shutdown 激活端口
[Quidway]link-protocol hdlc 綁定hdlc協議
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 顯示所有信息
[Quidway]debugging hdlc event serial0 調試事件信息
[Quidway]debugging hdlc packet serial0 顯示包的信息
靜態路由:
[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
動態路由:
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]rip output
[Quidway-rip]network 1.0.0.0 ;可以all
[Quidway-rip]network 2.0.0.0
[Quidway-rip]peer ip-address
[Quidway-rip]summary
[Quidway]rip version 1
[Quidway]rip version 2 multicast
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D 配置路由器的ID
[Quidway]ospf enable 啓動OSPF協議
[Quidway-ospf]import-route direct 引入直聯路由
[Quidway-Serial0]ospf enable area <area_id> 配置OSPF區域
標準訪問列表命令格式如下:
acl <acl-number> [match-order config|auto] 默認前者順序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
擴展訪問控制列表配置命令
配置TCP/UDP協議的擴展訪問列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}
[operate]
配置ICMP協議的擴展訪問列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]
[icmp-code] [logging]
擴展訪問控制列表操作符的含義
equal portnumber 等於
greater-than portnumber 大於
less-than portnumber 小於
not-equal portnumber 不等
range portnumber1 portnumber2 區間
擴展訪問控制列表舉例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址轉換配置舉例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway-Serial0]firewall packet-filter 102 inbound
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP驗證:
主驗方:pap|chap
[Quidway]local-user u2 password {simple|cipher} aaa
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user u1 //pap時,不用此句
pap被驗方:
[Quidway]interface serial 0
[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa
chap被驗方:
[Quidway]interface serial 0
[Quidway-serial0]ppp chap user u1
[Quidway-serial0]local-user u2 password {simple|cipher} aaa