第一篇：華為路由器防火墻配置命令總結(jié)

華為路由器防火墻配置命令總結(jié)

access-list 用于創(chuàng)建訪問(wèn)規(guī)則。

（1）創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）創(chuàng)建擴(kuò)展訪問(wèn)列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）刪除訪問(wèn)列表

no access-list { normal | special } { all | listnumber [ subitem ] } 【參數(shù)說(shuō)明】

normal 指定規(guī)則加入普通時(shí)間段。

special 指定規(guī)則加入特殊時(shí)間段。

listnumber1 是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則。

listnumber2 是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則。

permit 表明允許滿足條件的報(bào)文通過(guò)。

deny 表明禁止?jié)M足條件的報(bào)文通過(guò)。

protocol 為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。

source-addr 為源地址。

source-mask 為源地址通配位，在標(biāo)準(zhǔn)訪問(wèn)列表中是可選項(xiàng)，不輸入則代表通配位為0.0.0.0。

dest-addr 為目的地址。

dest-mask 為目的地址通配位。

operator[可選] 端口操作符，在協(xié)議類型為TCP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。

port1 在協(xié)議類型為TCP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。

port2 在協(xié)議類型為TCP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。

icmp-type[可選] 在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0~255之間的一個(gè)數(shù)值。

icmp-code在協(xié)議為ICMP且沒有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0~255之間的一個(gè)數(shù)值。

log [可選] 表示如果報(bào)文符合條件，需要做日志。

listnumber 為刪除的規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。

subitem[可選] 指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)。

【缺省情況】 系統(tǒng)缺省不配置任何訪問(wèn)規(guī)則。

【命令模式】 全局配置模式

【使用指南】 同一個(gè)序號(hào)的規(guī)則可以看作一類規(guī)則；所定義的規(guī)則不僅可以用來(lái)在接口上過(guò)濾報(bào)文，也可以被如DDR等用來(lái)判斷一個(gè)報(bào)文是否是感興趣的報(bào)文，此時(shí)，permit與deny表示是感興趣的還是不感興趣的。使用協(xié)議域?yàn)镮P的擴(kuò)展訪問(wèn)列表來(lái)表示所有的IP協(xié)議。同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò) show access-list 命令看到。

【舉例】 允許源地址為10.1.1.0 網(wǎng)絡(luò)、目的地址為10.1.2.0網(wǎng)絡(luò)的WWW訪問(wèn)，但不允許使用FTP。

Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp 【相關(guān)命令】 ip access-group

【命令】clear access-list counters [ listnumber ] 【參數(shù)說(shuō)明】 listnumber [可選] 要清除統(tǒng)計(jì)信息的規(guī)則的序號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。

【缺省情況】 任何時(shí)候都不清除統(tǒng)計(jì)信息。

【命令模式】 特權(quán)用戶模式

【使用指南】 使用此命令來(lái)清除當(dāng)前所用規(guī)則的統(tǒng)計(jì)信息，不指定規(guī)則編號(hào)則清除所有規(guī)則的統(tǒng)計(jì)信息。

【舉例】 例1：清除當(dāng)前所使用的序號(hào)為100的規(guī)則的統(tǒng)計(jì)信息。

Quidway#clear access-list counters 100

例2：清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息。

Quidway#clear access-list counters 【相關(guān)命令】 access-list

【命令】firewall { enable | disable }

【參數(shù)說(shuō)明】

enable 表示啟用防火墻。disable 表示禁止防火墻。

【缺省情況】系統(tǒng)缺省為禁止防火墻。

【命令模式】全局配置模式

【使用指南】使用此命令來(lái)啟用或禁止防火墻，可以通過(guò)show firewall命令看到相應(yīng)結(jié)果。如果采用了時(shí)間段包過(guò)濾，則在防火墻被關(guān)閉時(shí)也將被關(guān)閉；該命令控制防火墻的總開關(guān)。在使用 firewall disable 命令關(guān)閉防火墻時(shí)，防火墻本身的統(tǒng)計(jì)信息也將被清除。

【舉例】啟用防火墻。Quidway(config)#firewall enable

【相關(guān)命令】 access-list，ip access-group

【命令】firewall default { permit | deny }

【參數(shù)說(shuō)明】permit 表示缺省過(guò)濾屬性設(shè)置為“允許”。deny 表示缺省過(guò)濾屬性設(shè)置為“禁止”。

【缺省情況】在防火墻開啟的情況下，報(bào)文被缺省允許通過(guò)。

【命令模式】全局配置模式

【使用指南】當(dāng)在接口應(yīng)用的規(guī)則沒有一個(gè)能夠判斷一個(gè)報(bào)文是否應(yīng)該被允許還是禁止時(shí)，缺省的過(guò)濾屬性將起作用；如果缺省過(guò)濾屬性是“允許”，則報(bào)文可以通過(guò)，否則報(bào)文被丟棄。

【舉例】設(shè)置缺省過(guò)濾屬性為“允許”。

Quidway(config)#firewall default permit

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【參數(shù)說(shuō)明】listnumber 為規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。in 表示規(guī)則用于過(guò)濾從接口收上來(lái)的報(bào)文。out 表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文。

【缺省情況】沒有規(guī)則應(yīng)用于接口。

【命令模式】 接口配置模式。

【使用指南】使用此命令來(lái)將規(guī)則應(yīng)用到接口上；如果要過(guò)濾從接口收上來(lái)的報(bào)文，則使用 in 關(guān)鍵字；如果要過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文，使用out 關(guān)鍵字。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中；在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來(lái)查看。

【舉例】 將規(guī)則101應(yīng)用于過(guò)濾從以太網(wǎng)口收上來(lái)的報(bào)文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相關(guān)命令】 access-list

六、settr 設(shè)定或取消特殊時(shí)間段。

【命令】settr begin-time end-time no settr

【參數(shù)說(shuō)明】 begin-time 為一個(gè)時(shí)間段的開始時(shí)間。

end-time 為一個(gè)時(shí)間段的結(jié)束時(shí)間，應(yīng)該大于開始時(shí)間。

【缺省情況】系統(tǒng)缺省沒有設(shè)置時(shí)間段，即認(rèn)為全部為普通時(shí)間段。

【命令模式】 全局配置模式

【使用指南】 使用此命令來(lái)設(shè)置時(shí)間段；可以最多同時(shí)設(shè)置6個(gè)時(shí)間段，通過(guò)show timerange 命令可以看到所設(shè)置的時(shí)間。如果在已經(jīng)使用了一個(gè)時(shí)間段的情況下改變時(shí)間段，則此修改將在一分鐘左右生效（系統(tǒng)查詢時(shí)間段的時(shí)間間隔）。設(shè)置的時(shí)間應(yīng)該是24小時(shí)制。如果要設(shè)置類似晚上9點(diǎn)到早上8點(diǎn)的時(shí)間段，可以設(shè)置成“settr 21:00 23:59 0:00 8:00”，因?yàn)樗O(shè)置的時(shí)間段的兩個(gè)端點(diǎn)屬于時(shí)間段之內(nèi)，故不會(huì)產(chǎn)生時(shí)間段內(nèi)外的切換。另外這個(gè)設(shè)置也經(jīng)過(guò)了2000問(wèn)題的測(cè)試。

【舉例】 例1：設(shè)置時(shí)間段為8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00 例2： 設(shè)置時(shí)間段為晚上9點(diǎn)到早上8點(diǎn)。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相關(guān)命令】 timerange，show timerange

七、show access-list 顯示包過(guò)濾規(guī)則及在接口上的應(yīng)用。

【命令】show access-list [ all | listnumber | interface interface-name]

【參數(shù)說(shuō)明】 all 表示所有的規(guī)則，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則。

listnumber 為顯示當(dāng)前所使用的規(guī)則中序號(hào)為listnumber的規(guī)則。

interface 表示要顯示在指定接口上應(yīng)用的規(guī)則序號(hào)。

interface-name 為接口的名稱。

【命令模式】 特權(quán)用戶模式

【使用指南】 使用此命令來(lái)顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過(guò)對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無(wú)效?？梢酝ㄟ^(guò)帶interface 關(guān)鍵字的show access-list命令來(lái)查看某個(gè)接口應(yīng)用規(guī)則的情況。

【舉例】

例1：顯示當(dāng)前所使用的序號(hào)為100的規(guī)則。

Quidway#show access-list 100

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)例2： 顯示接口Serial0上應(yīng)用規(guī)則的情況。

Quidway#show access-list interface serial 0 Serial0:

access-list filtering In-bound packets : 120 access-list filtering Out-bound packets: None 【相關(guān)命令】access-list

【命令】show firewall 顯示防火墻狀態(tài)。

【命令模式】特權(quán)用戶模式

【使用指南】 使用此命令來(lái)顯示防火墻的狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾及防火墻的一些統(tǒng)計(jì)信息。

【舉例】顯示防火墻狀態(tài)。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted，0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly，0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相關(guān)命令】 firewall

【命令】show isintr顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)?！久钅Ｊ健刻貦?quán)用戶模式

【使用指南】使用此命令來(lái)顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

【舉例】顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

Quidway#show isintr

It is NOT in time ranges now.【相關(guān)命令】

timerange，settr

【命令】show timerange 【命令模式】特權(quán)用戶模式

【使用指南】使用此命令來(lái)顯示當(dāng)前是否允許時(shí)間段包過(guò)濾及所設(shè)置的時(shí)間段。

【舉例】顯示時(shí)間段包過(guò)濾的信息。

Quidway#show timerange

TimeRange packet-filtering enable.beginning of time range: 01:0004:00

end of time range.【相關(guān)命令】timerange，settr

十一、timerange 啟用或禁止時(shí)間段包過(guò)濾功能。

【命令】timerange { enable | disable }

【參數(shù)說(shuō)明】enable 表示啟用時(shí)間段包過(guò)濾。

disable 表示禁止采用時(shí)間段包過(guò)濾。

【缺省情況】系統(tǒng)缺省為禁止時(shí)間段包過(guò)濾功能。

【命令模式】全局配置模式

【使用指南】使用此命令來(lái)啟用或禁止時(shí)間段包過(guò)濾功能，可以通過(guò)show firewall命令看到，也可以通過(guò)show timerange命令看到配置結(jié)果。在時(shí)間段包過(guò)濾功能被啟用后，系統(tǒng)將根據(jù)當(dāng)前的時(shí)間和設(shè)置的時(shí)間段來(lái)確定使用時(shí)間段內(nèi)（特殊）的規(guī)則還是時(shí)間段外（普通）的規(guī)則。系統(tǒng)查詢時(shí)間段的精確度為1分鐘。所設(shè)置的時(shí)間段的兩個(gè)端點(diǎn)屬于時(shí)間段之內(nèi)。

【舉例】

啟用時(shí)間段包過(guò)濾功能。

Quidway(config)#timerange enable 【相關(guān)命令】 settr，show timerange

計(jì)算機(jī)命令

PCA login: root ；使用root用戶 password: linux ；口令是linux # shutdown-h now ；關(guān)機(jī) # init 0 ；關(guān)機(jī) # logout # login # ifconfig ；顯示IP地址 # ifconfig eth0 netmask ；設(shè)置IP地址 # ifconfig eht0 netmask down;刪除IP地址 # route add 0.0.0.0 gw # route del 0.0.0.0 gw # route add default gw ；設(shè)置網(wǎng)關(guān) # route del default gw ；刪除網(wǎng)關(guān) # route ；顯示網(wǎng)關(guān) # ping # telnet ；建議telnet之前先ping一下

交換機(jī)命令

[Quidway]super password 修改特權(quán)用戶密碼 [Quidway]sysname 交換機(jī)命名

[Quidway]interface ethernet 0/1 進(jìn)入接口視圖 [Quidway]interface vlan x 進(jìn)入接口視圖 [Quidway-Vlan-interfacex] ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 靜態(tài)路由＝網(wǎng)關(guān)

[Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]set authentication-mode password simple 222 [S3026-ui-vty0-4]user privilege level 3

[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口雙工工作狀態(tài) [Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet0/1]flow-control 配置端口流控

[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX狀態(tài)平接或扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 設(shè)置接口工作模式 [Quidway-Ethernet0/1]shutdown 關(guān)閉/重起接口 [Quidway-Ethernet0/2]quit 退出系統(tǒng)視圖

[Quidway]vlan 3 創(chuàng)建/刪除一個(gè)VLAN/進(jìn)入VLAN模式

[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在當(dāng)前VLAN增加/刪除以太網(wǎng)接口 [Quidway-Ethernet0/2]port access vlan 3 將當(dāng)前接口加入到指定VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 設(shè)trunk允許的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 設(shè)置trunk端口的PVID

[Quidway]monitor-port 指定和清除鏡像端口

第二篇：華為路由器防火墻配置命令總結(jié)

華為路由器防火墻配置命令總結(jié)（上）

2006-01-09 14:21:29 標(biāo)簽：命令 配置 防火墻 華為 休閑

一、access-list 用于創(chuàng)建訪問(wèn)規(guī)則。

（1）創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）創(chuàng)建擴(kuò)展訪問(wèn)列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）刪除訪問(wèn)列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【參數(shù)說(shuō)明】

normal 指定規(guī)則加入普通時(shí)間段。

special 指定規(guī)則加入特殊時(shí)間段。

listnumber1 是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則。

listnumber2 是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則。

permit 表明允許滿足條件的報(bào)文通過(guò)。

deny 表明禁止?jié)M足條件的報(bào)文通過(guò)。

protocol 為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。

source-addr 為源地址。

source-mask 為源地址通配位，在標(biāo)準(zhǔn)訪問(wèn)列表中是可選項(xiàng)，不輸入則代表通配位為0.0.0.0。

dest-addr 為目的地址。

dest-mask 為目的地址通配位。

operator[可選] 端口操作符，在協(xié)議類型為TCP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。

port1 在協(xié)議類型為TCP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。

port2 在協(xié)議類型為TCP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。

icmp-type[可選] 在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0~255之間的一個(gè)數(shù)值。

icmp-code在協(xié)議為ICMP且沒有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0~255之間的一個(gè)數(shù)值。

log [可選] 表示如果報(bào)文符合條件，需要做日志。

listnumber 為刪除的規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。

subitem[可選] 指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)。

【缺省情況】

系統(tǒng)缺省不配置任何訪問(wèn)規(guī)則。

【命令模式】

全局配置模式

【使用指南】

同一個(gè)序號(hào)的規(guī)則可以看作一類規(guī)則；所定義的規(guī)則不僅可以用來(lái)在接口上過(guò)濾報(bào)文，也可以被如DDR等用來(lái)判斷一個(gè)報(bào)文是否是感興趣的報(bào)文，此時(shí)，permit與deny表示是感興趣的還是不感興趣的。

使用協(xié)議域?yàn)镮P的擴(kuò)展訪問(wèn)列表來(lái)表示所有的IP協(xié)議。

同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò) show access-list 命令看到。

【舉例】

允許源地址為10.1.1.0 網(wǎng)絡(luò)、目的地址為10.1.2.0網(wǎng)絡(luò)的WWW訪問(wèn)，但不允許使用FTP。

Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

【相關(guān)命令】

ip access-group

二、clear access-list counters 清除訪問(wèn)列表規(guī)則的統(tǒng)計(jì)信息。

clear access-list counters [ listnumber ]

【參數(shù)說(shuō)明】

listnumber [可選] 要清除統(tǒng)計(jì)信息的規(guī)則的序號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。

【缺省情況】

任何時(shí)候都不清除統(tǒng)計(jì)信息。

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)清除當(dāng)前所用規(guī)則的統(tǒng)計(jì)信息，不指定規(guī)則編號(hào)則清除所有規(guī)則的統(tǒng)計(jì)信息。

【舉例】

例1：清除當(dāng)前所使用的序號(hào)為100的規(guī)則的統(tǒng)計(jì)信息。

Quidway#clear access-list counters 100

例2：清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息。

Quidway#clear access-list counters

【相關(guān)命令】

access-list

三、firewall 啟用或禁止防火墻。

firewall { enable | disable }

【參數(shù)說(shuō)明】

enable 表示啟用防火墻。

disable 表示禁止防火墻。

【缺省情況】

系統(tǒng)缺省為禁止防火墻。

【命令模式】

全局配置模式

【使用指南】

使用此命令來(lái)啟用或禁止防火墻，可以通過(guò)show firewall命令看到相應(yīng)結(jié)果。如果采用了時(shí)間段包過(guò)濾，則在防火墻被關(guān)閉時(shí)也將被關(guān)閉；該命令控制防火墻的總開關(guān)。在使用 firewall disable 命令關(guān)閉防火墻時(shí)，防火墻本身的統(tǒng)計(jì)信息也將被清除。

【舉例】

啟用防火墻。

Quidway(config)#firewall enable

【相關(guān)命令】

access-list，ip access-group

四、firewall default 配置防火墻在沒有相應(yīng)的訪問(wèn)規(guī)則匹配時(shí)，缺省的過(guò)濾方式。

firewall default { permit | deny }

【參數(shù)說(shuō)明】

permit 表示缺省過(guò)濾屬性設(shè)置為“允許”。

deny 表示缺省過(guò)濾屬性設(shè)置為“禁止”。

【缺省情況】

在防火墻開啟的情況下，報(bào)文被缺省允許通過(guò)。

【命令模式】

全局配置模式

【使用指南】

當(dāng)在接口應(yīng)用的規(guī)則沒有一個(gè)能夠判斷一個(gè)報(bào)文是否應(yīng)該被允許還是禁止時(shí)，缺省的過(guò)濾屬性將起作用；如果缺省過(guò)濾屬性是“允許”，則報(bào)文可以通過(guò)，否則報(bào)文被丟棄。

【舉例】

設(shè)置缺省過(guò)濾屬性為“允許”。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令將規(guī)則應(yīng)用到接口上。使用此命令的no形式來(lái)刪除相應(yīng)的設(shè)置。

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【參數(shù)說(shuō)明】

listnumber 為規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。

in 表示規(guī)則用于過(guò)濾從接口收上來(lái)的報(bào)文。

out 表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文。

【缺省情況】

沒有規(guī)則應(yīng)用于接口。

【命令模式】

接口配置模式。

【使用指南】

使用此命令來(lái)將規(guī)則應(yīng)用到接口上；如果要過(guò)濾從接口收上來(lái)的報(bào)文，則使用 in 關(guān)鍵字；如果要過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文，使用out 關(guān)鍵字。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中；在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來(lái)查看。

【舉例】

將規(guī)則101應(yīng)用于過(guò)濾從以太網(wǎng)口收上來(lái)的報(bào)文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相關(guān)命令】

access-list 華為路由器防火墻配置命令總結(jié)（下）

2006-01-09 14:21:59 標(biāo)簽：命令 配置 防火墻 華為 休閑

六、settr 設(shè)定或取消特殊時(shí)間段。

settr begin-time end-time

no settr

【參數(shù)說(shuō)明】

begin-time 為一個(gè)時(shí)間段的開始時(shí)間。

end-time 為一個(gè)時(shí)間段的結(jié)束時(shí)間，應(yīng)該大于開始時(shí)間。

【缺省情況】

系統(tǒng)缺省沒有設(shè)置時(shí)間段，即認(rèn)為全部為普通時(shí)間段。

【命令模式】

全局配置模式

【使用指南】

使用此命令來(lái)設(shè)置時(shí)間段；可以最多同時(shí)設(shè)置6個(gè)時(shí)間段，通過(guò)show timerange 命令可以看到所設(shè)置的時(shí)間。如果在已經(jīng)使用了一個(gè)時(shí)間段的情況下改變時(shí)間段，則此修改將在一分鐘左右生效（系統(tǒng)查詢時(shí)間段的時(shí)間間隔）。設(shè)置的時(shí)間應(yīng)該是24小時(shí)制。如果要設(shè)置類似晚上9點(diǎn)到早上8點(diǎn)的時(shí)間段，可以設(shè)置成“settr 21:00 23:59 0:00 8:00”，因?yàn)樗O(shè)置的時(shí)間段的兩個(gè)端點(diǎn)屬于時(shí)間段之內(nèi)，故不會(huì)產(chǎn)生時(shí)間段內(nèi)外的切換。另外這個(gè)設(shè)置也經(jīng)過(guò)了2000問(wèn)題的測(cè)試。

【舉例】

例1：設(shè)置時(shí)間段為8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00

例2： 設(shè)置時(shí)間段為晚上9點(diǎn)到早上8點(diǎn)。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相關(guān)命令】

timerange，show timerange

七、show access-list 顯示包過(guò)濾規(guī)則及在接口上的應(yīng)用。

show access-list [ all | listnumber | interface interface-name]

【參數(shù)說(shuō)明】

all 表示所有的規(guī)則，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則。

listnumber 為顯示當(dāng)前所使用的規(guī)則中序號(hào)為listnumber的規(guī)則。

interface 表示要顯示在指定接口上應(yīng)用的規(guī)則序號(hào)。

interface-name 為接口的名稱。

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過(guò)對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無(wú)效?？梢酝ㄟ^(guò)帶interface關(guān)鍵字的show access-list命令來(lái)查看某個(gè)接口應(yīng)用規(guī)則的情況。

【舉例】

例1：顯示當(dāng)前所使用的序號(hào)為100的規(guī)則。

Quidway#show access-list 100

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)

例2： 顯示接口Serial0上應(yīng)用規(guī)則的情況。

Quidway#show access-list interface serial 0

Serial0:

access-list filtering In-bound packets : 120

access-list filtering Out-bound packets: None

【相關(guān)命令】

access-list

八、show firewall 顯示防火墻狀態(tài)。

show firewall

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)顯示防火墻的狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾及防火墻的一些統(tǒng)計(jì)信息。

【舉例】

顯示防火墻狀態(tài)。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted，0 packets, 0 bytes, 0% denied, packets, 104 bytes, 100% permitted defaultly，0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相關(guān)命令】

firewall

九、show isintr 顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

show isintr

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

【舉例】

顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

Quidway#show isintr

It is NOT in time ranges now.【相關(guān)命令】

timerange，settr

十、show timerange 顯示時(shí)間段包過(guò)濾的信息。

show timerange

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)顯示當(dāng)前是否允許時(shí)間段包過(guò)濾及所設(shè)置的時(shí)間段。

【舉例】

顯示時(shí)間段包過(guò)濾的信息。

Quidway#show timerange

TimeRange packet-filtering enable.beginning of time range:

01:0004:00

end of time range.【相關(guān)命令】

timerange，settr

十一、timerange 啟用或禁止時(shí)間段包過(guò)濾功能。

timerange { enable | disable }

【參數(shù)說(shuō)明】

enable 表示啟用時(shí)間段包過(guò)濾。

disable 表示禁止采用時(shí)間段包過(guò)濾。

【缺省情況】

系統(tǒng)缺省為禁止時(shí)間段包過(guò)濾功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令來(lái)啟用或禁止時(shí)間段包過(guò)濾功能，可以通過(guò)show firewall命令看到，也可以通過(guò)show timerange命令看到配置結(jié)果。在時(shí)間段包過(guò)濾功能被啟用后，系統(tǒng)將根據(jù)當(dāng)前的時(shí)間和設(shè)置的時(shí)間段來(lái)確定使用時(shí)間段內(nèi)（特殊）的規(guī)則還是時(shí)間段外（普通）的規(guī)則。系統(tǒng)查詢時(shí)間段的精確度為1分鐘。所設(shè)置的時(shí)間段的兩個(gè)端點(diǎn)屬于時(shí)間段之內(nèi)。

【舉例】

啟用時(shí)間段包過(guò)濾功能。

Quidway(config)#timerange enable

【相關(guān)命令】

settr，show timerange

第三篇：華為路由器防火墻配置命令總結(jié)

華為路由器防火墻配置命令

2013-3-30

一、access-list 用于創(chuàng)建訪問(wèn)規(guī)則。

（1）創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）創(chuàng)建擴(kuò)展訪問(wèn)列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）刪除訪問(wèn)列表

no access-list { normal | special } { all | listnumber [ subitem ] } 【參數(shù)說(shuō)明】

normal 指定規(guī)則加入普通時(shí)間段。special 指定規(guī)則加入特殊時(shí)間段。

listnumber1 是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則。listnumber2 是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則。permit 表明允許滿足條件的報(bào)文通過(guò)。deny 表明禁止?jié)M足條件的報(bào)文通過(guò)。

protocol 為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。source-addr 為源地址。

source-mask 為源地址通配位，在標(biāo)準(zhǔn)訪問(wèn)列表中是可選項(xiàng)，不輸入則代表通配位為0.0.0.0。dest-addr 為目的地址。

華為路由器防火墻配置命令

2013-3-30 dest-mask 為目的地址通配位。

operator[可選] 端口操作符，在協(xié)議類型為TCP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。

port1 在協(xié)議類型為TCP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。

port2 在協(xié)議類型為TCP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。

icmp-type[可選] 在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0~255之間的一個(gè)數(shù)值。

icmp-code在協(xié)議為ICMP且沒有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0~255之間的一個(gè)數(shù)值。

log [可選] 表示如果報(bào)文符合條件，需要做日志。listnumber 為刪除的規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。

subitem[可選] 指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)。

【缺省情況】

系統(tǒng)缺省不配置任何訪問(wèn)規(guī)則。

【命令模式】

全局配置模式

【使用指南】

華為路由器防火墻配置命令

2013-3-30 同一個(gè)序號(hào)的規(guī)則可以看作一類規(guī)則；所定義的規(guī)則不僅可以用來(lái)在接口上過(guò)濾報(bào)文，也可以被如DDR等用來(lái)判斷一個(gè)報(bào)文是否是感興趣的報(bào)文，此時(shí)，permit與deny表示是感興趣的還是不感興趣的。

使用協(xié)議域?yàn)镮P的擴(kuò)展訪問(wèn)列表來(lái)表示所有的IP協(xié)議。

同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò) show access-list 命令看到。

【舉例】

允許源地址為10.1.1.0 網(wǎng)絡(luò)、目的地址為10.1.2.0網(wǎng)絡(luò)的WWW訪問(wèn)，但不允許使用FTP。Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

二、clear access-list counters 清除訪問(wèn)列表規(guī)則的統(tǒng)計(jì)信息。clear access-list counters [ listnumber ] 【參數(shù)說(shuō)明】

listnumber [可選] 要清除統(tǒng)計(jì)信息的規(guī)則的序號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。

【缺省情況】

任何時(shí)候都不清除統(tǒng)計(jì)信息。

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)清除當(dāng)前所用規(guī)則的統(tǒng)計(jì)信息，不指定規(guī)則編號(hào)則清除所有規(guī)則的統(tǒng)計(jì)信息。

【舉例】

華為路由器防火墻配置命令

2013-3-30 例1：清除當(dāng)前所使用的序號(hào)為100的規(guī)則的統(tǒng)計(jì)信息。Quidway#clear access-list counters 100 例2：清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息。Quidway#clear access-list counters

三、firewall 啟用或禁止防火墻。firewall { enable | disable } 【參數(shù)說(shuō)明】

enable 表示啟用防火墻。disable 表示禁止防火墻。

【缺省情況】

系統(tǒng)缺省為禁止防火墻。

【命令模式】

全局配置模式

【使用指南】

使用此命令來(lái)啟用或禁止防火墻，可以通過(guò)show firewall命令看到相應(yīng)結(jié)果。如果采用了時(shí)間段包過(guò)濾，則在防火墻被關(guān)閉時(shí)也將被關(guān)閉；該命令控制防火墻的總開關(guān)。在使用 firewall disable 命令關(guān)閉防火墻時(shí)，防火墻本身的統(tǒng)計(jì)信息也將被清除。

【舉例】

啟用防火墻。

Quidway(config)#firewall enable

華為路由器防火墻配置命令

2013-3-30

四、firewall default 配置防火墻在沒有相應(yīng)的訪問(wèn)規(guī)則匹配時(shí)，缺省的過(guò)濾方式。firewall default { permit | deny } 【參數(shù)說(shuō)明】

permit 表示缺省過(guò)濾屬性設(shè)置為“允許”。deny 表示缺省過(guò)濾屬性設(shè)置為“禁止”。

【缺省情況】

在防火墻開啟的情況下，報(bào)文被缺省允許通過(guò)。

【命令模式】

全局配置模式

【使用指南】

當(dāng)在接口應(yīng)用的規(guī)則沒有一個(gè)能夠判斷一個(gè)報(bào)文是否應(yīng)該被允許還是禁止時(shí)，缺省的過(guò)濾屬性將起作用；如果缺省過(guò)濾屬性是“允許”，則報(bào)文可以通過(guò)，否則報(bào)文被丟棄。

【舉例】

設(shè)置缺省過(guò)濾屬性為“允許”。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令將規(guī)則應(yīng)用到接口上。使用此命令的no形式來(lái)刪除相應(yīng)的設(shè)置。ip access-group listnumber { in | out } [ no ] ip access-group listnumber { in | out } 【參數(shù)說(shuō)明】

listnumber 為規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。

華為路由器防火墻配置命令

2013-3-30 in 表示規(guī)則用于過(guò)濾從接口收上來(lái)的報(bào)文。out 表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文。

【缺省情況】

沒有規(guī)則應(yīng)用于接口。

【命令模式】

接口配置模式。【使用指南】

使用此命令來(lái)將規(guī)則應(yīng)用到接口上；如果要過(guò)濾從接口收上來(lái)的報(bào)文，則使用 in 關(guān)鍵字；如果要過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文，使用out 關(guān)鍵字。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中；在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來(lái)查看。

【舉例】

將規(guī)則101應(yīng)用于過(guò)濾從以太網(wǎng)口收上來(lái)的報(bào)文。Quidway(config-if-Ethernet0)#ip access-group 101 in

六、settr 設(shè)定或取消特殊時(shí)間段。settr begin-time end-time no settr 【參數(shù)說(shuō)明】

begin-time 為一個(gè)時(shí)間段的開始時(shí)間。

華為路由器防火墻配置命令

2013-3-30 end-time 為一個(gè)時(shí)間段的結(jié)束時(shí)間，應(yīng)該大于開始時(shí)間。

【缺省情況】

系統(tǒng)缺省沒有設(shè)置時(shí)間段，即認(rèn)為全部為普通時(shí)間段。

【命令模式】

全局配置模式

【使用指南】

使用此命令來(lái)設(shè)置時(shí)間段；可以最多同時(shí)設(shè)置6個(gè)時(shí)間段，通過(guò)show timerange 命令可以看到所設(shè)置的時(shí)間。如果在已經(jīng)使用了一個(gè)時(shí)間段的情況下改變時(shí)間段，則此修改將在一分鐘左右生效（系統(tǒng)查詢時(shí)間段的時(shí)間間隔）。設(shè)置的時(shí)間應(yīng)該是24小時(shí)制。如果要設(shè)置類似晚上9點(diǎn)到早上8點(diǎn)的時(shí)間段，可以設(shè)置成“settr 21:00 23:59 0:00 8:00”，因?yàn)樗O(shè)置的時(shí)間段的兩個(gè)端點(diǎn)屬于時(shí)間段之內(nèi)，故不會(huì)產(chǎn)生時(shí)間段內(nèi)外的切換。另外這個(gè)設(shè)置也經(jīng)過(guò)了2000問(wèn)題的測(cè)試。

【舉例】

例1：設(shè)置時(shí)間段為8:30 ~ 12:00，14:00 ~ 17:00。Quidway(config)#settr 8:30 12:00 14:00 17:00 例2： 設(shè)置時(shí)間段為晚上9點(diǎn)到早上8點(diǎn)。Quidway(config)#settr 21:00 23:59 0:00 8:0

七、show access-list 顯示包過(guò)濾規(guī)則及在接口上的應(yīng)用。

show access-list [ all | listnumber | interface interface-name] 【參數(shù)說(shuō)明】

all 表示所有的規(guī)則，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則。

華為路由器防火墻配置命令

2013-3-30 listnumber 為顯示當(dāng)前所使用的規(guī)則中序號(hào)為listnumber的規(guī)則。interface 表示要顯示在指定接口上應(yīng)用的規(guī)則序號(hào)。interface-name 為接口的名稱。

【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過(guò)對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無(wú)效。可以通過(guò)帶interface關(guān)鍵字的show access-list命令來(lái)查看某個(gè)接口應(yīng)用規(guī)則的情況。【舉例】

例1：顯示當(dāng)前所使用的序號(hào)為100的規(guī)則。Quidway#show access-list 100 Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)100 permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)100 deny udp any any eq rip(no matches--rule 3)例2： 顯示接口Serial0上應(yīng)用規(guī)則的情況。Quidway#show access-list interface serial 0 Serial0: access-list filtering In-bound packets : 120

華為路由器防火墻配置命令

2013-3-30 access-list filtering Out-bound packets: None

八、show firewall 顯示防火墻狀態(tài)。show firewall 【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)顯示防火墻的狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾及防火墻的一些統(tǒng)計(jì)信息。

【舉例】

顯示防火墻狀態(tài)。Quidway#show firewall Firewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;OutBound packets: 0 packets, 0 bytes, 0% permitted, 0 packets, 0 bytes, 0% denied, 2 packets, 104 bytes, 100% permitted defaultly, 0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.九、show isintr 顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

華為路由器防火墻配置命令

2013-3-30 show isintr 【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

【舉例】

顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。Quidway#show isintr It is NOT in time ranges now.十、show timerange 顯示時(shí)間段包過(guò)濾的信息。show timerange 【命令模式】

特權(quán)用戶模式

【使用指南】

使用此命令來(lái)顯示當(dāng)前是否允許時(shí)間段包過(guò)濾及所設(shè)置的時(shí)間段。

【舉例】

顯示時(shí)間段包過(guò)濾的信息。Quidway#show timerange TimeRange packet-filtering enable.華為路由器防火墻配置命令

2013-3-30 beginning of time range: 01:0004:00 end of time range.十一、timerange 啟用或禁止時(shí)間段包過(guò)濾功能。timerange { enable | disable } 【參數(shù)說(shuō)明】

enable 表示啟用時(shí)間段包過(guò)濾。disable 表示禁止采用時(shí)間段包過(guò)濾。【缺省情況】

系統(tǒng)缺省為禁止時(shí)間段包過(guò)濾功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令來(lái)啟用或禁止時(shí)間段包過(guò)濾功能，可以通過(guò)show firewall命令看到，也可以通過(guò)show timerange命令看到配置結(jié)果。在時(shí)間段包過(guò)濾功能被啟用后，系統(tǒng)將根據(jù)當(dāng)前的時(shí)間和設(shè)置的時(shí)間段來(lái)確定使用時(shí)間段內(nèi)（特殊）的規(guī)則還是時(shí)間段外（普通）的規(guī)則。系統(tǒng)查詢時(shí)間段的精確度為1分鐘。所設(shè)置的時(shí)間段的兩個(gè)端點(diǎn)屬于時(shí)間段之內(nèi)。

【舉例】

啟用時(shí)間段包過(guò)濾功能。

Quidway(config)#timerange enable

華為路由器防火墻配置命令

2013-3-30

第四篇：教學(xué)—路由器基本配置命令

1、路由器模式的轉(zhuǎn)換：

用戶模式： router> 權(quán)限低，只能查看，輸入“enable ”命令進(jìn)入到特權(quán)模式

特權(quán)模式： router#

權(quán)限高，輸入

“configure terminal” 命令進(jìn)入到全局模式

全局模式（通配模式）：router(config)#

具體配置模式：router(config-if)#

2、查看的命令： show ******

router# show interface查看端口

router# show interface Ethernet 0查看具體端口

3、在路由器里有兩種配置文件：

1）running-config:當(dāng)前運(yùn)行的配置文件 2）startup-config：?jiǎn)?dòng)配置文件

查看配置文件：show running-config

show startup-config

copy running-config startup-config

4、改路由器的名字：在 全局模式下

router(config)# hostname 路由器的名字

5、設(shè)置路由器的登陸消息：在全局模式下

router(config)# banner motd #

回車 在此輸入消息的內(nèi)容 #

6、命令：

Router(config)# ip address

例如：配置以太網(wǎng)口

//以Router1為例 命令：

R1# config t

R1(config)#interface Ethernet 0

R1(config-if)# ip address 192.168.1.1 255.255.255.0 //配置以太網(wǎng)口 R1(config-if)# no shutdown

// 啟用該以太網(wǎng)口

7、CDP協(xié)議：

1)R1#show cdp interface

//查看cdp接口

2)R1#show cdp neighbors(details)//查看cdp鄰居 3)R1(config)#cdp run

//激活cdp 4)R1(config)#no cdp run

//禁用cdp 5)R1(config)#int e0

//進(jìn)入到接口

6)R1(config-if)#cdp enable

//激活 e0 的 cdp 7)R1(config-if)#no cdp enable

//禁用 e0 的cdp

8、TFTP服務(wù)器的配置

配置路由器： R1#config t R1(config)#int e0

//配置路由器的接口地址 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#no shutdown R1#ping 192.168.0.1 配置PC：

IP地址：192.168.0.2 網(wǎng)關(guān)：192.168.0.1 測(cè)試：ping 192.168.0.1 繼續(xù)配置路由器：

R1#copy running-config startup-config R1#copy startup-config tftp R1#erase startup-config R1# copy tftp startup-config R1#show startup-config

9、路由器口令的設(shè)置：

1）控制臺(tái)口令： R1#config terminal R1(config)#line con 0 R1(config-line)#login R1(config-line)#password 密碼

2）enable 口令 R1#config terminal R1(config)#enable password 密碼

3）遠(yuǎn)程登陸口令 R1#config terminal R1(config)#line vty 0 4 R1(config-line)#login R1(config-line)#password 密碼

10、遠(yuǎn)程登陸：從一臺(tái)計(jì)算機(jī)登陸到遠(yuǎn)端的另一臺(tái)計(jì)算機(jī)，使用另一臺(tái)計(jì)算機(jī)就像使用自己的計(jì)算機(jī)一樣。

命令：telnet

11、注：配置路由器的串口要區(qū)分是DCE口還是 DTE口。例如觀察s0哪種接口，可以在特權(quán)模式下輸入命令：show controller s0

12、時(shí)鐘頻率的配置：

R1(config)#int s0

//進(jìn)入到DCE端

R1(config-if)#clock rate 56000 //配置時(shí)鐘頻率，啟動(dòng)了串行線上的串行協(xié)議

13、查看路由器的路由表

R1#show ip route

//查看路由表

14、靜態(tài)路由的配置

在全局模式下：

ip route network

mask < next-hop address>

命令

目標(biāo)網(wǎng)絡(luò)

子網(wǎng)掩碼

下一跳 對(duì)R1來(lái)說(shuō)：

Router1(config)# ip route 192.168.4.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.5.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.3.0 255.255.255.0 192.168.2.1 對(duì)R2來(lái)說(shuō)：

Router2(config)# ip route 192.168.5.0 255.255.255.0 192.168.4.2 Router2(config)# ip route 192.168.1.0 255.255.255.0 192.168.2.2 對(duì)R3來(lái)說(shuō)：

Router3(config)# ip route 192.168.1.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.2.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.3.0 255.255.255.0 192.168.4.1

Router3(config)#ip host 路由器的名字

路由器的IP地址（e0）

15、動(dòng)態(tài)路由的配置*(RIP)r1(config)#router rip r1(config-router)#network 鄰居的網(wǎng)絡(luò)號(hào)

16、動(dòng)態(tài)路由的配置*(IGRP)r1(config)#router igrp AS號(hào)

r1(config-router)#network 鄰居的網(wǎng)絡(luò)號(hào)

17、查看路由協(xié)議和路由表

router#show ip protocol

//查看路由協(xié)議 router#show ip route

//查看路由表

18、VLAN的配置

1、在1900上的配置

Switch_A#show vlan-membership

//查看VLAN信息

在交換機(jī)中默認(rèn)存在一個(gè)VLAN 號(hào)碼為1，叫VLAN 1，不能刪除，并且所有的端口都默認(rèn)在這個(gè)VLAN中。Switch_A#show vlan 號(hào)碼 產(chǎn)生VLAN的命令

Switch_A#config terminal

//進(jìn)入到全局模式 Switch_A(config)#vlan 號(hào)碼 name 名字 把端口分配VLAN：

Switch_A(config)#interface 某端口

Switch_A(config-if)#vlan-membership static 號(hào)碼 Switch_A(config)#interface fa0/26

Switch_A(config-if)#trunk on

//默認(rèn)使用ISL封裝寫

2、在2900上的配置 Switch_A#vlan database Switch_A(vlan)#vlan 號(hào)碼 name 名字 Switch_A(config)#interface某端口

Switch_A(config-if)#switchport mode access Switch_A(config-if)# switchport access vlan 號(hào)碼 配置TRUNK Switch_A(config)#interface fastethernet Switch_A(config-if)# switchport mode trunk Switch_A(config-if)# switchport trunk encapsulation dot1q

3、ROUTER上的配置 Router(config)#int fa0/0 Router(config-if)#no shut Router(config-if)#int fa0/0.1 Router(config-subif)#ip add 192.168.1.1 255.255.255.0 Router(config-subif)#encapsulation isl 10 Router(config-if)#int fa0/0.2 Router(config-subif)#ip add 192.168.2.1 255.255.255.0 Router(config-subif)#encapsulation isl 20

第五篇：交換機(jī)路由器配置總結(jié)

交換機(jī)和路由器配置過(guò)程總結(jié)

作為網(wǎng)絡(luò)中重要的硬件設(shè)備，隨著網(wǎng)絡(luò)融入我們的日常生活，交換機(jī)和路由器也逐漸被人們所熟悉。關(guān)于交換機(jī)、路由器的配置，計(jì)算機(jī)和網(wǎng)絡(luò)專業(yè)的學(xué)生理應(yīng)能夠操作熟練。通過(guò)這次網(wǎng)絡(luò)工程師培訓(xùn)，借助Packet Tracer 5.0仿真軟件學(xué)習(xí)網(wǎng)絡(luò)配置、拓?fù)鋱D設(shè)計(jì)等，我對(duì)交換機(jī)、路由器配置有了深刻的了解，現(xiàn)將配置過(guò)程小結(jié)如下。

第一部分 交換機(jī)配置

一、概述 一層、二層交換機(jī)工作在數(shù)據(jù)鏈路層，三層交換機(jī)工作在網(wǎng)絡(luò)層，最常見的是以太網(wǎng)交換機(jī)。交換機(jī)一般具有用戶模式、配置模式、特權(quán)模式、全局配置模式等模式。

二、基本配置命令(CISCO)Switch >enable 進(jìn)入特權(quán)模式

Switch #config terminal 進(jìn)入全局配置模式 Switch(config)#hostname 設(shè)置交換機(jī)的主機(jī)名

Switch(config)#enable password 進(jìn)入特權(quán)模式的密碼（明文形式保存）Switch(config)#enable secret 加密密碼（加密形式保存）（優(yōu)先）Switch(config)#ip default-gateway 配置交換機(jī)網(wǎng)關(guān)

Switch(config)#show mac-address-table 查看MAC地址

Switch(config)logging synchronous 阻止控制臺(tái)信息覆蓋命令行上的輸入 Switch(config)no ip domain-lookup 關(guān)閉DNS查找功能 Switch(config)exec-timeout 0 0 阻止會(huì)話退出

使用Telnet遠(yuǎn)程式管理

Switch(config)#line vty 0 4 進(jìn)入虛擬終端 Switch(config-line)# password 設(shè)置登錄口令 Switch(config-line)# login 要求口令驗(yàn)證

控制臺(tái)口令

switch(config)#line console 0 進(jìn)入控制臺(tái)口 switch(config-line)# password xx switch(config-line)# 設(shè)置登錄口令login 允許登錄 恢復(fù)出廠配置

Switch(config)#erase startup-config Switch(config)delete vlan.dat Vlan基本配置

Switch#vlan database 進(jìn)去vlan配置模式 Switch(vlan)#vlan 號(hào)碼 name 名稱 創(chuàng)建vlan及vlan名 Switch(vlan)#vlan號(hào)碼 mtu數(shù)值 修改MTU大小

Switch(vlan)#exit 更新vlan數(shù)據(jù)并推出 Switch#show vlan 查看驗(yàn)證 Switch#copy running-config startup-config 保存配置 VLAN 中添加 刪除端口

Switch#config terminal 進(jìn)入全局配置 Switch(config)#interface fastethernet0/1 進(jìn)入要分配的端口 Switch(config-if)#Switchport mode access 定義二層端口 Switch(config-if)#Switchport acces vlan 號(hào) 把端口分給一個(gè)vlan Switch(config-if)#switchport mode trunk 設(shè)置為干線

Switch(config-if)#switchport trunk encapsulation dot1q 設(shè)置vlan 中繼協(xié)議 Switch(config-if)#no switchport mode 或(switchport mode access)禁用干線 Switch(config-if)#switchport trunk allowed vlan add 1，2 從Trunk中添加vlans Switch(config-if)#switchport trunk allowed vlan remove 1，2 從Trunk中刪除vlan Switch(config-if)#switchport trunk pruning vlan remove 1，2 ；從Trunk中關(guān)閉局部修剪

查看vlan信息 Switch#show vlan brief 所有vlan信息

查看vlan信息 Switch#show vlan id 某個(gè)vlan信息 注:Switch#show int trunk 查看trunk協(xié)議

注：可以使用default interface interface-id 還原接口到默認(rèn)配置狀態(tài) Trunk

開啟（no）——將端口設(shè)置為永久中繼模式

關(guān)閉（off）——將端口設(shè)置為永久非中繼模式，并且將鏈路轉(zhuǎn)變?yōu)榉侵欣^鏈路 企望（desirable）——讓端口主動(dòng)試圖將鏈路轉(zhuǎn)換成中繼鏈路 自動(dòng)（auto）——使該端口愿意將鏈路變成中繼鏈路 交換機(jī)顯示命令：

switch#show vtp status 查看vtp配置信息 switch#show running-config 查看當(dāng)前配置信息 switch#show vlan 查看vlan配置信息 switch#show interface 查看端口信息 switch#show int f0/0 查看指定端口信息 switch#dir flash: 查看閃存

switch#show version 查看當(dāng)前版本信息

switch#show cdp cisco設(shè)備發(fā)現(xiàn)協(xié)議（可以查看聆接設(shè)備）switch#show cdp traffic 杳看接收和發(fā)送的cdp包統(tǒng)計(jì)信息 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備

switch#show interface f0/1 switchport 查看有關(guān)switchport的配置 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備

三、模擬配置(一個(gè)實(shí)例)

圖一：PC機(jī)IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)配置截圖

圖二：模擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

圖三：全局模式下對(duì)交換機(jī)進(jìn)行配置

圖四：查看VLAN當(dāng)前配置信息

第二部分 路由器配置

一、環(huán)境搭建（借鑒網(wǎng)上的材料，通過(guò)自己配置也實(shí)現(xiàn)了同樣的功能）

添加一個(gè)模塊化的路由器，單擊Packet Tracer 5.0的工作區(qū)中剛添加的路由器，在彈出的配置窗口上添加一些模塊：

圖五

默認(rèn)情況下，路由器的電源是打開的，添加模塊時(shí)需要關(guān)閉路由器的電源，單擊圖一箭頭所指的電源開關(guān)，將其關(guān)閉，路由器的電源關(guān)閉后綠色的電源指示燈也將變暗。

圖六 添加所需要的模塊

在“MODULES”下尋找所需要的模塊，選中某個(gè)模塊時(shí)會(huì)在下方顯示該模塊的信息。然后拖到路由器的空插槽上即可。

圖八 添加一計(jì)算機(jī)，其RS-232與路由器的Console端口相連

圖九 用計(jì)算機(jī)的終端連接路由器

圖十 實(shí)驗(yàn)環(huán)境搭建完成

二、配置單個(gè)路由器

路由器的幾種模式：User mode(用戶模式)、Privileged mode（特權(quán)模式）、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode（路由配置模式）。每種模式對(duì)應(yīng)不同的提示符。

圖十一 幾種配置命令提示符和配置路由器的名字

圖十二 通過(guò)Console端口登錄到路由器需要輸入密碼

圖十三 顯示信息的命令

通過(guò)模擬交換機(jī)和路由器的配置，進(jìn)一步理解了它們的工作原理，對(duì)網(wǎng)絡(luò)拓?fù)浼軜?gòu)有了清晰的認(rèn)識(shí)，為以后的網(wǎng)絡(luò)知識(shí)學(xué)習(xí)打下了基礎(chǔ)。謝謝彭老師！