華為配置命令總結(jié)-

1、華為路由器和防火墻配置命令總結(jié)一、access-list 用于創(chuàng)建訪問(wèn)規(guī)則。(1創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表access-list normal | special listnumber1 permit | deny source-addr source-mask (2創(chuàng)建擴(kuò)展訪問(wèn)列表access-list normal | special listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 | icmp-type i

2、cmp-code log (3刪除訪問(wèn)列表no access-list normal | special all | listnumber subitem 【參數(shù)說(shuō)明】normal 指定規(guī)則加入普通時(shí)間段。special 指定規(guī)則加入特殊時(shí)間段。listnumber1 是1到99之間的一個(gè)數(shù)值,表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則。listnumber2 是100到199之間的一個(gè)數(shù)值,表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則。permit 表明允許滿足條件的報(bào)文通過(guò)。deny 表明禁止?jié)M足條件的報(bào)文通過(guò)。protocol 為協(xié)議類型,支持ICMP、TCP、UDP等,其它的協(xié)議也支持,此時(shí)沒(méi)有端口比較的概念;為IP時(shí)

3、有特殊含義,代表所有的IP協(xié)議。source-addr 為源地址。source-mask 為源地址通配位,在標(biāo)準(zhǔn)訪問(wèn)列表中是可選項(xiàng),不輸入則代表通配位為。dest-addr 為目的地址。dest-mask 為目的地址通配位。operator可選 端口操作符,在協(xié)議類型為TCP或UDP時(shí)支持端口比較,支持的比較操作有:等于(eq、大于(gt、小于(lt、不等于(neq或介于(range;如果操作符為range,則后面需要跟兩個(gè)端口。port1 在協(xié)議類型為TCP或UDP時(shí)出現(xiàn),可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如telnet或065535之間的一個(gè)數(shù)值。port2 在協(xié)議類型為TCP或U

4、DP且操作類型為range時(shí)出現(xiàn);可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如telnet或065535之間的一個(gè)數(shù)值。icmp-type可選 在協(xié)議為ICMP時(shí)出現(xiàn),代表ICMP報(bào)文類型;可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如echo-reply或者是0255之間的一個(gè)數(shù)值。icmp-code在協(xié)議為ICMP且沒(méi)有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn);代表ICMP碼,是0255之間的一個(gè)數(shù)值。log 可選 表示如果報(bào)文符合條件,需要做日志。listnumber 為刪除的規(guī)則序號(hào),是1199之間的一個(gè)數(shù)值。subitem可選 指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)?！救笔∏闆r】系統(tǒng)缺省不配置任何訪問(wèn)規(guī)則?！久?/p>

5、令模式】全局配置模式【使用指南】同一個(gè)序號(hào)的規(guī)則可以看作一類規(guī)則;所定義的規(guī)則不僅可以用來(lái)在接口上過(guò)濾報(bào)文,也可以被如DDR等用來(lái)判斷一個(gè)報(bào)文是否是感興趣的報(bào)文,此時(shí),permit與deny 表示是感興趣的還是不感興趣的。使用協(xié)議域?yàn)镮P的擴(kuò)展訪問(wèn)列表來(lái)表示所有的IP協(xié)議。同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇,這個(gè)順序可以通過(guò)show access-list 命令看到?！九e例】允許源地址為 網(wǎng)絡(luò)、目的地址為網(wǎng)絡(luò)的WWW訪問(wèn),但不允許使用FTP。Quidway(config#access-list 100 permit tcp 0.0

6、.0.255 55 eq wwwQuidway(config#access-list 100 deny tcp 55 55 eq ftp 【相關(guān)命令】ip access-group二、clear access-list counters 清除訪問(wèn)列表規(guī)則的統(tǒng)計(jì)信息。clear access-list counters listnumber 【參數(shù)說(shuō)明】listnumber 可選 要清除統(tǒng)計(jì)信息的規(guī)則的序號(hào),如不指定,則清除所有的規(guī)則的統(tǒng)計(jì)信息。【缺省情況】任何時(shí)候都不清除統(tǒng)計(jì)信息?！久钅Ｊ健刻貦?quán)用

7、戶模式【使用指南】使用此命令來(lái)清除當(dāng)前所用規(guī)則的統(tǒng)計(jì)信息,不指定規(guī)則編號(hào)則清除所有規(guī)則的統(tǒng)計(jì)信息?！九e例】例1:清除當(dāng)前所使用的序號(hào)為100的規(guī)則的統(tǒng)計(jì)信息。Quidway#clear access-list counters 100例2:清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息。Quidway#clear access-list counters【相關(guān)命令】access-list三、firewall 啟用或禁止防火墻。firewall enable | disable 【參數(shù)說(shuō)明】enable 表示啟用防火墻。disable 表示禁止防火墻。【缺省情況】系統(tǒng)缺省為禁止防火墻。【命令模式】全局配置模

8、式【使用指南】使用此命令來(lái)啟用或禁止防火墻,可以通過(guò)show firewall命令看到相應(yīng)結(jié)果。如果采用了時(shí)間段包過(guò)濾,則在防火墻被關(guān)閉時(shí)也將被關(guān)閉;該命令控制防火墻的總開關(guān)。在使用firewall disable 命令關(guān)閉防火墻時(shí),防火墻本身的統(tǒng)計(jì)信息也將被清除?！九e例】啟用防火墻。Quidway(config#firewall enable【相關(guān)命令】access-list,ip access-group四、firewall default 配置防火墻在沒(méi)有相應(yīng)的訪問(wèn)規(guī)則匹配時(shí),缺省的過(guò)濾方式。firewall default permit | deny 【參數(shù)說(shuō)明】permit 表示缺省

9、過(guò)濾屬性設(shè)置為“允許”。deny 表示缺省過(guò)濾屬性設(shè)置為“禁止”?！救笔∏闆r】在防火墻開啟的情況下,報(bào)文被缺省允許通過(guò)?！久钅Ｊ健咳峙渲媚Ｊ健臼褂弥改稀慨?dāng)在接口應(yīng)用的規(guī)則沒(méi)有一個(gè)能夠判斷一個(gè)報(bào)文是否應(yīng)該被允許還是禁止時(shí),缺省的過(guò)濾屬性將起作用;如果缺省過(guò)濾屬性是“允許”,則報(bào)文可以通過(guò),否則報(bào)文被丟棄。【舉例】設(shè)置缺省過(guò)濾屬性為“允許”。Quidway(config#firewall default permit五、ip access-group 使用此命令將規(guī)則應(yīng)用到接口上。使用此命令的no形式來(lái)刪除相應(yīng)的設(shè)置。ip access-group listnumber in | out no

10、 ip access-group listnumber in | out 【參數(shù)說(shuō)明】listnumber 為規(guī)則序號(hào),是1199之間的一個(gè)數(shù)值。in 表示規(guī)則用于過(guò)濾從接口收上來(lái)的報(bào)文。out 表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文。【缺省情況】沒(méi)有規(guī)則應(yīng)用于接口?！久钅Ｊ健拷涌谂渲媚Ｊ??！臼褂弥改稀渴褂么嗣顏?lái)將規(guī)則應(yīng)用到接口上;如果要過(guò)濾從接口收上來(lái)的報(bào)文,則使用in 關(guān)鍵字;如果要過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文,使用out 關(guān)鍵字。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則;這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列,序號(hào)大的排在前面,也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí),將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)

11、濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以,建議在配置規(guī)則時(shí),盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中;在同一個(gè)序號(hào)的訪問(wèn)列表中,規(guī)則之間的排列和選擇順序可以用show access-list命令來(lái)查看?！九e例】將規(guī)則101應(yīng)用于過(guò)濾從以太網(wǎng)口收上來(lái)的報(bào)文。Quidway(config-if-Ethernet0#ip access-group 101 in【相關(guān)命令】access-list六、settr 設(shè)定或取消特殊時(shí)間段。settr begin-time end-timeno settr【參數(shù)說(shuō)明】begin-time 為一個(gè)時(shí)間段的開始時(shí)間。end-time 為一個(gè)時(shí)間段的結(jié)束時(shí)間,

12、應(yīng)該大于開始時(shí)間?！救笔∏闆r】系統(tǒng)缺省沒(méi)有設(shè)置時(shí)間段,即認(rèn)為全部為普通時(shí)間段?！久钅Ｊ健咳峙渲媚Ｊ健臼褂弥改稀渴褂么嗣顏?lái)設(shè)置時(shí)間段;可以最多同時(shí)設(shè)置6個(gè)時(shí)間段,通過(guò)show timerange 命令可以看到所設(shè)置的時(shí)間。如果在已經(jīng)使用了一個(gè)時(shí)間段的情況下改變時(shí)間段,則此修改將在一分鐘左右生效(系統(tǒng)查詢時(shí)間段的時(shí)間間隔。設(shè)置的時(shí)間應(yīng)該是24小時(shí)制。如果要設(shè)置類似晚上9點(diǎn)到早上8點(diǎn)的時(shí)間段,可以設(shè)置成“settr 21:00 23:59 0:00 8:00”,因?yàn)樗O(shè)置的時(shí)間段的兩個(gè)端點(diǎn)屬于時(shí)間段之內(nèi),故不會(huì)產(chǎn)生時(shí)間段內(nèi)外的切換。另外這個(gè)設(shè)置也經(jīng)過(guò)了2000問(wèn)題的測(cè)試?！九e例】例1:設(shè)置時(shí)間

13、段為8:30 12:00,14:00 17:00。Quidway(config#settr 8:30 12:00 14:00 17:00例2:設(shè)置時(shí)間段為晚上9點(diǎn)到早上8點(diǎn)。Quidway(config#settr 21:00 23:59 0:00 8:0【相關(guān)命令】timerange,show timerange七、show access-list 顯示包過(guò)濾規(guī)則及在接口上的應(yīng)用。show access-list all | listnumber | interface interface-name【參數(shù)說(shuō)明】all 表示所有的規(guī)則,包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則。listnumber

14、 為顯示當(dāng)前所使用的規(guī)則中序號(hào)為listnumber的規(guī)則。interface 表示要顯示在指定接口上應(yīng)用的規(guī)則序號(hào)。interface-name 為接口的名稱?！久钅Ｊ健刻貦?quán)用戶模式【使用指南】使用此命令來(lái)顯示所指定的規(guī)則,同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器,如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文,則計(jì)數(shù)器加1;通過(guò)對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中,哪些規(guī)則是比較有效,而哪些基本無(wú)效。可以通過(guò)帶interface關(guān)鍵字的show access-list命令來(lái)查看某個(gè)接口應(yīng)用規(guī)則的情況?！九e例】例1:顯示當(dāng)前所使用的序號(hào)為100的規(guī)則。Quidway#show access-l

15、ist 100Using normal packet-filtering access rules now.100 deny icmp 55 any host-redirect (3 matches,252 bytes - rule 1100 permit icmp 55 any echo (no matches - rule 2100 deny udp any any eq rip (no matches - rule 3例2:顯示接口Serial0上應(yīng)用規(guī)則的情況。Quidway#show access-list in

16、terface serial 0Serial0:access-list filtering In-bound packets : 120access-list filtering Out-bound packets: None【相關(guān)命令】access-list八、show firewall 顯示防火墻狀態(tài)。show firewall【命令模式】特權(quán)用戶模式【使用指南】使用此命令來(lái)顯示防火墻的狀態(tài),包括防火墻是否被啟用,啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾及防火墻的一些統(tǒng)計(jì)信息?！九e例】顯示防火墻狀態(tài)。Quidway#show firewallFirewall is enable, default

17、 filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied,2 packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets

18、, 0 bytes, permitted.【相關(guān)命令】firewall九、show isintr 顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。show isintr【命令模式】【舉例】 顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。 Quidway#show isintr It is NOT in time ranges now. 【相關(guān)命令】 timerange，settr 十、show timerange 顯示時(shí)間段包過(guò)濾的信息。 show timerange 【命令模式】 特權(quán)用戶模式 【使用指南】 使用此命令來(lái)顯示當(dāng)前是否允許時(shí)間段包過(guò)濾及所設(shè)置的時(shí)間段。 【舉例】 顯示時(shí)間段包過(guò)濾的信息。 Quidway#show timerangeTimeRange packet-filtering enable.beginning of time range:01:00 02:0003:00 - 04:00end of time range. 【相關(guān)命令】 timerange，settr 十一、timerange 啟用或禁止時(shí)間段包過(guò)濾功能。 timerange enable | disable 【參數(shù)說(shuō)明】 enable 表示啟用時(shí)間段包過(guò)濾。 disable 表示禁止采用時(shí)間段包過(guò)濾。 【缺省