華為路由器-防火牆配置命令
(1)建立標準訪問列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)建立擴充套件訪問列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)刪除訪問列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【引數說明】
normal 指定規則加入普通時間段。
special 指定規則加入特殊時間段。
listnumber1 是1到99之間的一個數值,表示規則是標準訪問列表規則。
listnumber2 是100到199之間的一個數值,表示規則是擴充套件訪問列表規則。
permit 表明允許滿足條件的報文通過。
deny 表明禁止滿足條件的報文通過。
protocol 為協議型別,支援ICMP、TCP、UDP等,其它的協議也支援,此時沒有埠比較的概念;為IP時有特殊含義,代表所有的IP協議。
source-addr 為源地址。
source-mask 為源地址通配位,在標準訪問列表中是可選項,不輸入則代表通配位為0.0.0.0。
dest-addr 為目的地址。
dest-mask 為目的地址通配位。
operator[可選] 埠操作符,在協議型別為TCP或UDP時支援埠比較,支援的比較操作有:等於(eq)、大於(gt)、小於(lt)、不等於(neq)或介於(range);如果操作符為range,則後面需要跟兩個埠。
port1 在協議型別為TCP或UDP時出現,可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
port2 在協議型別為TCP或UDP且操作型別為range時出現;可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
icmp-type[可選] 在協議為ICMP時出現,代表ICMP報文型別;可以是關鍵字所設定的預設值(如echo-reply)或者是0~255之間的一個數值。
icmp-code在協議為ICMP且沒有選擇所設定的預設值時出現;代表ICMP碼,是0~255之間的一個數值。
log [可選] 表示如果報文符合條件,需要做日誌。
listnumber 為刪除的規則序號,是1~199之間的一個數值。
subitem[可選] 指定刪除序號為listnumber的訪問列表中規則的序號。
【預設情況】 系統預設不配置任何訪問規則。
【命令模式】 全域性配置模式
【使用指南】 同一個序號的規則可以看作一類規則;所定義的規則不僅可以用來在介面上過濾報文,也可以被如DDR等用來判斷一個報文是否是感興趣的報文,此時,permit與deny表示是感興趣的還是不感興趣的。 使用協議域為IP的擴充套件訪問列表來表示所有的IP協議。 同一個序號之間的規則按照一定的原則進行排列和選擇,這個順序可以通過 show access-list 命令看到。
【舉例】 允許源地址為10.1.1.0 網路、目的地址為10.1.2.0網路的WWW訪問,但不允許使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相關命令】 ip access-group
【命令】clear access-list counters [ listnumber ]
【引數說明】 listnumber [可選] 要清除統計資訊的規則的序號,如不指定,則清除所有的規則的統計資訊。
【預設情況】 任何時候都不清除統計資訊。
【命令模式】 特權使用者模式
【使用指南】 使用此命令來清除當前所用規則的統計資訊,不指定規則編號則清除所有規則的統計資訊。
【舉例】 例1:清除當前所使用的序號為100的規則的統計資訊。
Quidway#clear access-list counters 100
例2:清除當前所使用的所有規則的統計資訊。
Quidway#clear access-list counters
【相關命令】 access-list
【命令】firewall { enable | disable }
【引數說明】 enable 表示啟用防火牆。 disable 表示禁止防火牆。
【預設情況】系統預設為禁止防火牆。
【命令模式】全域性配置模式
【使用指南】使用此命令來啟用或禁止防火牆,可以通過show firewall命令看到相應結果。如果採用了時間段包過濾,則在防火牆被關閉時也將被關閉;該命令控制防火牆的總開關。在使用 firewall disable 命令關閉防火牆時,防火牆本身的統計資訊也將被清除。
【舉例】啟用防火牆。
Quidway(config)#firewall enable
【相關命令】 access-list,ip access-group
【命令】firewall default { permit | deny }
【引數說明】permit 表示預設過濾屬性設定為“允許”。 deny 表示預設過濾屬性設定為“禁止”。
【預設情況】在防火牆開啟的情況下,報文被預設允許通過。
【命令模式】全域性配置模式
【使用指南】當在介面應用的規則沒有一個能夠判斷一個報文是否應該被允許還是禁止時,預設的過濾屬性將起作用;如果預設過濾屬性是“允許”,則報文可以通過,否則報文被丟棄。
【舉例】設定預設過濾屬性為“允許”。
Quidway(config)#firewall default permit
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【引數說明】listnumber 為規則序號,是1~199之間的一個數值。 in 表示規則用於過濾從介面收上來的報文。out 表示規則用於過濾從介面轉發的報文。
【預設情況】沒有規則應用於介面。
【命令模式】 介面配置模式。
【使用指南】使用此命令來將規則應用到介面上;如果要過濾從介面收上來的報文,則使用 in 關鍵字;如果要過濾從介面轉發的報文,使用out 關鍵字。一個介面的一個方向上最多可以應用20類不同的規則;這些規則之間按照規則序號的大小進行排列,序號大的排在前面,也就是優先順序高。對報文進行過濾時,將採用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以,建議在配置規則時,儘量將對同一個網路配置的規則放在同一個序號的訪問列表中;在同一個序號的訪問列表中,規則之間的排列和選擇順序可以用show access-list命令來檢視。
【舉例】 將規則101應用於過濾從乙太網口收上來的報文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相關命令】 access-list 六、settr 設定或取消特殊時間段。
【命令】settr begin-time end-time
no settr
【引數說明】 begin-time 為一個時間段的開始時間。
end-time 為一個時間段的結束時間,應該大於開始時間。
【預設情況】系統預設沒有設定時間段,即認為全部為普通時間段。
【命令模式】 全域性配置模式
【使用指南】 使用此命令來設定時間段;可以最多同時設定6個時間段,通過show timerange 命令可以看到所設定的時間。如果在已經使用了一個時間段的情況下改變時間段,則此修改將在一分鐘左右生效(系統查詢時間段的時間間隔)。設定的時間應該是24小時制。如果要設定類似晚上9點到早上8點的時間段,可以設定成“settr 21:00 23:59 0:00 8:00”,因為所設定的時間段的兩個端點屬於時間段之內,故不會產生時間段內外的切換。另外這個設定也經過了2000問題的測試。
【舉例】 例1:設定時間段為8:30 ~ 12:00,14:00 ~ 17:00。
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 設定時間段為晚上9點到早上8點。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相關命令】 timerange,show timerange 七、show access-list 顯示包過濾規則及在介面上的應用。
【命令】show access-list [ all | listnumber | interface interface-name]
【引數說明】 all 表示所有的規則,包括普通時間段內及特殊時間段內的規則。
listnumber 為顯示當前所使用的規則中序號為listnumber的規則。
interface 表示要顯示在指定介面上應用的規則序號。
interface-name 為介面的名稱。
【命令模式】 特權使用者模式
【使用指南】 使用此命令來顯示所指定的規則,同時檢視規則過濾報文的情況。每個規則都有一個相應的計數器,如果用此規則過濾了一個報文,則計數器加1;通過對計數器的觀察可以看出所配置的規則中,哪些規則是比較有效,而哪些基本無效。可以通過帶interface 關鍵字的show access-list命令來檢視某個介面應用規則的情況。
【舉例】 例1:顯示當前所使用的序號為100的規則。
Quidway#show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
100 deny udp any any eq rip (no matches -- rule 3)
例2: 顯示介面Serial0上應用規則的情況。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相關命令】access-list
【命令】show firewall 顯示防火牆狀態。
【命令模式】特權使用者模式
【使用指南】 使用此命令來顯示防火牆的狀態,包括防火牆是否被啟用,啟用防火牆時是否採用了時間段包過濾及防火牆的一些統計資訊。
【舉例】顯示防火牆狀態。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.
TimeRange packet-filtering enable.
InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
2 packets, 104 bytes, 100% permitted defaultly,
0 packets, 0 bytes, 100% denied defaultly.
From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.
【相關命令】 firewall
【命令】show isintr顯示當前時間是否在時間段之內。
【命令模式】特權使用者模式
【使用指南】使用此命令來顯示當前時間是否在時間段之內。
【舉例】顯示當前時間是否在時間段之內。
Quidway#show isintr
It is NOT in time ranges now.
【相關命令】 timerange,settr
【命令】show timerange
【命令模式】特權使用者模式
【使用指南】使用此命令來顯示當前是否允許時間段包過濾及所設定的時間段。
【舉例】顯示時間段包過濾的資訊。
Quidway#show timerange
TimeRange packet-filtering enable.
beginning of time range:
01:00 - 02:00
03:00 - 04:00
end of time range.
【相關命令】timerange,settr 十一、timerange 啟用或禁止時間段包過濾功能。
【命令】timerange { enable | disable }
【引數說明】enable 表示啟用時間段包過濾。
disable 表示禁止採用時間段包過濾。
【預設情況】系統預設為禁止時間段包過濾功能。
【命令模式】全域性配置模式
【使用指南】使用此命令來啟用或禁止時間段包過濾功能,可以通過show firewall命令看到,也可以通過show timerange命令看到配置結果。在時間段包過濾功能被啟用後,系統將根據當前的時間和設定的時間段來確定使用時間段內(特殊)的規則還是時間段外(普通)的規則。系統查詢時間段的精確度為1分鐘。所設定的時間段的兩個端點屬於時間段之內。
【舉例】
啟用時間段包過濾功能。
Quidway(config)#timerange enable
【相關命令】 settr,show timerange
計算機命令
PCA login: root ;使用root使用者
password: linux ;口令是linux
# shutdown -h now ;關機
# init 0 ;關機
# logout
# login
# ifconfig ;顯示IP地址
# ifconfig eth0 <ip address> netmask <netmask> ;設定IP地址
# ifconfig eht0 <ip address> netmask <netmask> down ; 刪除IP地址
# route add 0.0.0.0 gw <ip>
# route del 0.0.0.0 gw <ip>
# route add default gw <ip> ;設定閘道器
# route del default gw <ip> ;刪除閘道器
# route ;顯示閘道器
# ping <ip>
# telnet <ip> ;建議telnet之前先ping一下
交換機命令
[Quidway]super password 修改特權使用者密碼
[Quidway]sysname 交換機命名
[Quidway]interface ethernet 0/1 進入介面檢視
[Quidway]interface vlan x 進入介面檢視
[Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 靜態路由=閘道器
[Quidway]user-interface vty 0 4
[S3026-ui-vty0-4]authentication-mode password
[S3026-ui-vty0-4]set authentication-mode password simple 222
[S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]duplex {half|full|auto} 配置埠雙工工作狀態
[Quidway-Ethernet0/1]speed {10|100|auto} 配置埠工作速率
[Quidway-Ethernet0/1]flow-control 配置埠流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置埠MDI/MDIX狀態平接或扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 設定介面工作模式
[Quidway-Ethernet0/1]shutdown 關閉/重起介面
[Quidway-Ethernet0/2]quit 退出系統檢視
[Quidway]vlan 3 建立/刪除一個VLAN/進入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在當前VLAN增加/刪除乙太網介面
[Quidway-Ethernet0/2]port access vlan 3 將當前介面加入到指定VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 設trunk允許的VLAN
[Quidway-Ethernet0/2]port trunk pvid vlan 3 設定trunk埠的PVID
[Quidway]monitor-port <interface_type interface_num> 指定和清除映象埠
[Quidway]port mirror <interface_type interface_num> 指定和清除被映象埠
[Quidway]port mirror int_list observing-port int_type int_num 指定映象和被映象
[Quidway]description string 指定VLAN描述字元
[Quidway]description 刪除VLAN描述字元
[Quidway]display vlan [vlan_id] 檢視VLAN設定
[Quidway]stp {enable|disable} 開啟/關閉生成樹,預設關閉
[Quidway]stp priority 4096 設定交換機的優先順序
[Quidway]stp root {primary|secondary} 設定交換機為根或根的備份
[Quidway-Ethernet0/1]stp cost 200 設定交換機埠的花費
[SwitchA-vlanx]isolate-user-vlan enable 設定主vlan
[SwitchA]Isolate-user-vlan <x> secondary <list> 設定主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id> 設定vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid 刪除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged 設定無標識的vlan
如果包的vlan id與PVId一致,則去掉vlan資訊. 預設PVID=1。
所以設定PVID為所屬vlan id, 設定可以互通的vlan為untagged.
路由器命令
[Quidway]display version 顯示版本資訊
[Quidway]display current-configuration 顯示當前配置
[Quidway]display interfaces 顯示介面資訊
[Quidway]display ip route 顯示路由資訊
[Quidway]sysname aabbcc 更改主機名
[Quidway]super passwrod 123456 設定口令
[Quidway]interface serial0 進入介面
[Quidway-serial0]ip address <ip><mask>
[Quidway-serial0]undo shutdown 啟用埠
[Quidway]link-protocol hdlc 繫結hdlc協議
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 顯示所有資訊
[Quidway]debugging hdlc event serial0 除錯事件資訊
[Quidway]debugging hdlc packet serial0 顯示包的資訊
靜態路由:
[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
動態路由:
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]rip output
[Quidway-rip]network 1.0.0.0 ;可以all
[Quidway-rip]network 2.0.0.0
[Quidway-rip]peer ip-address
[Quidway-rip]summary
[Quidway]rip version 1
[Quidway]rip version 2 multicast
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D 配置路由器的ID
[Quidway]ospf enable 啟動OSPF協議
[Quidway-ospf]import-route direct 引入直聯路由
[Quidway-Serial0]ospf enable area <area_id> 配置OSPF區域
標準訪問列表命令格式如下:
acl <acl-number> [match-order config|auto] 預設前者順序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
擴充套件訪問控制列表配置命令
配置TCP/UDP協議的擴充套件訪問列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}
[operate]
配置ICMP協議的擴充套件訪問列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]
[icmp-code] [logging]
擴充套件訪問控制列表操作符的含義
equal portnumber 等於
greater-than portnumber 大於
less-than portnumber 小於
not-equal portnumber 不等
range portnumber1 portnumber2 區間
擴充套件訪問控制列表舉例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址轉換配置舉例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway-Serial0]firewall packet-filter 102 inbound
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP驗證:
主驗方:pap|chap
[Quidway]local-user u2 password {simple|cipher} aaa
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user u1 //pap時,不用此句
pap被驗方:
[Quidway]interface serial 0
[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa
chap被驗方:
[Quidway]interface serial 0
[Quidway-serial0]ppp chap user u1
[Quidway-serial0]local-user u2 password {simple|cipher} aaa