基础命令

1
2
<H3C>system-view
[H3C]sysn XXXXX

查看配置

显示交换机当前配置

1
[H3C]display current-configuration     #dis cu

显示arp信息

1
[H3C]dis arp	#可以在网关上查询终端的ip与mac地址对应

显示mac-address

1
[H3C]dis mac-address	#后面加mac地址可以在接入层查看该mac地址是从接入的哪个端口学习来的

显示端口信息

1
[H3C]dis interface

显示端口配置

1
[H3C]dis interface br

显示ip配置

1
[H3C]dis ip interface br

显示vlan

1
[H3C]dis vlan

显示邻居(可以知道该交换机连着哪些别的设备)

1
[H3C]dis lldp nei br

显示路由表

1
[H3C]dis ip routing-table

显示版本信息

1
[H3C]dis version

显示irf拓扑情况

1
[H3C]dis irf top

1.基本查询命令(在用户视图下使用)
pwd 查看当前目录
dir 显示当前目录下的文件信息
more 查看文本文件的具体内容

2.基本目录操作命令(在用户视图下使用)
cd 切换目录
mkdir 创建新的目录
rmdir 删除目录
cd… 返回上级目录

3.基本文本操作命令(在用户视图下使用)
copy 复制文件
move 移动文件
rename 重命名文件
delete 删除文件
undelete 恢复删除的文件
reset recycle-bin 清空回收站,彻底删除回收站中的文件
save 保存配置文件

4.系统启动文件基本命令(在用户视图下使用)
display startup 查看系统启动配置参数
reset saved-configuration 清除下次启动时加载的配置文件
startup saved-configuration 设置下次启动时加载的配置文件
compare configuration 比较当前配置文件核下次启动配置文件

5.存储设备修复命令(当存储设备文件系统异常时使用)
fixdisk flash:
fixdisk sd1:

远程管理

远程SSH配置

首先来看下ssh服务器端与客户端建立连接的五个阶段:
1、版本号协商阶段(SSH1和SSH2)
具体步骤如下:
1、服务器端打开端口22,等待客户端连接
2、客户端向服务器端发起TCP初始连接请求,TCP连接建立后,服务器端想客户端发送第一个报文,包括版本标志字符串,格式为“SSH - <主协议版本号>.<次协议版本号> - <软件版本号>”,协议版本号由主协议版本号和次协议版本号组成,软件版本号主要是为调试使用。
3、客户端收到报文后,解析该数据包如果服务器端的协议版本号比自身的低,且能支持服务器端的版本,就使用服务器端的低版本协议号,否则使用自身的协议版本号。
4、客户端回应服务器一个报文,包含了客户端决定使用的协议版本号。服务器端比较客户端发来的版本号,决定是否能通客户端一起工作。
5、如果协商成功,则进入密钥和算法协商阶段,否则服务器端断开TCP连接。
(注:以上报文都是采用明文方式传输的。)
2、密钥和算法协商阶段(SSH支持䜶加密算法,双方根据本端口和对端支持的算法,协商出最终使用的算法)
具体步骤如下:
1、服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算法列表、MAC(Message Authentication Code,消息验证码)算法列表、压缩算法列表等。
2、服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。
3、服务器端和客户端利用DH交换(Diffie-Hellman Exchange)算法、主机密钥对等参数,生成会话密钥和会话ID。
4、通过以上步骤,服务器端和客户端就取得了相同的会话密钥。对于后续传输的数据,两端都会使用会话密钥进行加密和解密,保证了数据传输的安全性。
3、认证阶段(SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证)
服务器认证客户端具体步骤如下:
1、客户端向服务器端发送认证请求,认证请求中包含用户名、认证方法、与该认证方法相关的内容(如:password认证时,内容为密码)。
2、服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以再次认证的方法列表。
3、客户端从认证方法列表中选取一种认证方法再次进行认证。
4、该过程反复进行,直到认证成功或者认证次数达到上限,服务器关闭连接为止。
SSH提供两种认证方法:
1、password认证:客户端向服务器发出password认证请求,将用户名和密码加密后发送给服务器;服务器将该信息解密后得到用户名和密码的明文,与设备上保存的用户名和密码进行比较,并返回认证成功或失败的消息。
2、公钥认证:采用数字签名的方法来认证客户端。目前,设备上可以利用RSA和DSA两种公共密钥算法实现数字签名。客户端发送包含用户名、公共密钥和公共密钥算法的公钥认证请求给服务器端。服务器对公钥进行合法性检查,如果不合法,则直接发送失败消息;否则,服务器利用数字签名对客户端进行认证,并返回认证成功或失败的消息。
4、会话请求阶段(认证通过后,客户端向服务器端发送会话请求)
认证通过后,客户端向服务器端发送会话请求。服务器端等待并处理客户端的请求。在这个阶段,客户端的请求被成功处理后,服务器会回应SSH_SMSG_SUCCESS包,SSH进入交互会话阶段;否则回应SSH_SMSG_FAILURE包,表示服务器处理请求失败或者不能识别请求。
5、交互会话阶段(会话请求通过后,服务器端和客户端进行信息的交互)
会话请求成功后,连接进入交互会话阶段。在这个模式下,数据被双向传送。客户端将要执行的命令加密后传给服务器端,服务器端接收到报文,解密后执行该命令,将执行的结果加密发还给客户端,客户端将接收到的结果解密后显示到终端上。

基本配置方式:
system-view
user-interface vty first-number [last-number] #进入一个或多个VTY用户界面视图
authentication-mode scheme [command-authorization] #配置登录用户界面的认证方式为scheme(采用AAA认证)方式(必选,缺省情况下, 用户界面认证为password方式)
protocol inbound { all | ssh | telnet } #可选(默认支持所有协议)
注意:
1、如果在该用户界面上配置的协议支持SSH,为确保SSH用户登录成功,请务必配置登录用户界面的认证方式为authentication-mode scheme(采用AAA认证)。
2、如果用户配置了认证方式为authentication-mode password或authentication-mode none,则无法配置protocol inbound ssh;否则,如果配置了protocol inbound ssh,则认证方式无法配置为authentication-mode password或authentication-mode none。
生成和销毁密钥对(完成SSH登录的必要操作):
public-key local create rsa #生成RSA密钥对
public-key local create dsa #生成DSA密钥对
public-key local destroy rsa #销毁RSA密钥对
public-key local destroy dsa #销毁DSA密钥对
创建SSH用户并制定认证方式
1、先创建登录方式,在创建用户,结果就是下面创建的用户都统一用这种登录方式
ssh authentication-type default { all | password | password-publickey | publickey }
ssh user username
2、创建用户并为该用户配置认证方式
ssh user username authentication-type { all | password | password-publickey | publickey }
注意:
1、配置password认证时,username应与AAA中定义的有效用户名一致;配置公钥认证时,username就是SSH本地用户名,不需要在AAA中配置本地用户。有关AAA的相关内容请参见“AAA”。
2、如果用户配置的缺省认证方式为password,并且采用AAA本地认证,则还需要使用local-user命令在本地数据库中添加用户名和密码。在这种情况下,可以直接使用local-user命令配置的用户名和密码(配置service-type为ssh)登录SSH服务器,省略掉ssh user命令的配置。
3、如果用户配置的缺省认证方式为password,并且采用远程认证,如RADIUS认证,则可以直接使用远程服务器上的用户名和密码登录SSH服务器,省略掉ssh user命令的配置。
4、如果配置为公钥认证方式,则SSH用户登录服务器后可以访问的命令级别可通过user privilege level命令来配置,且所有使用公钥认证方式的用户可访问的命令级别相同。
5、如果配置为password或password-publickey认证方式,则SSH用户登录服务器后可以访问的命令级别由AAA来授权,使用password或password-publickey认证方式的不同用户,能够访问的命令级别可以不同。
6、如果配置为all认证方式,则SSH用户登录服务器后可以访问的命令级别具体由用户是通过password认证还是公钥认证来决定。
典型配置案例:
http://www.h3c.com/cn/d_200807/612119_30005_0.htm#_Ref192925168

远程telnet配置

堆叠IRF

不同交换机对最大的堆叠数量可能有影响。

我对堆叠的理解是两个或多个交换机成为一个想象中的一个交换机,配置起来也很简单,两个交换机,加到一个堆叠组,然后一个做为主一个作为辅,就像一个小组里面必须要有个组长一样。两台堆叠无需做环状,两台以上可做。

H3C堆叠操作流程

member1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
sys
irf member 1 priority 32 #将1号交换机IRF优先级调整至最高32
int Ten-GigabitEthernet 1/1/1 #关闭堆叠端口
shutdown
int Ten-GigabitEthernet 1/1/2
shutdown
quit
irf-port 1/1 #创建IRF端口组1/1
port group interface Ten-GigabitEthernet 1/1/1 #将堆叠板卡端口1添加到IRF端口组1/1
irf-port 1/2 #创建IRF端口组1/2
port group interface Ten-GigabitEthernet 1/1/2 #将堆叠板卡端口2添加到IRF端口组1/2
quit
int Ten-GigabitEthernet 1/1/1 #开启堆叠端口
undo shutdown
int Ten-GigabitEthernet 1/1/2
undo shutdown
quit
irf-port-configuration active #激活IRF端口配置
save #保存配置
y

member2

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
sys
irf member 1 renumber 2 #修改member号为2,S5120默认出厂为member 1
y

int Ten-GigabitEthernet 1/1/1
shutdown
int Ten-GigabitEthernet 1/1/2
shutdown
quit
irf-port 1/1
port group interface Ten-GigabitEthernet 1/1/1
irf-port 1/2
port group interface Ten-GigabitEthernet 1/1/2
quit
int Ten-GigabitEthernet 1/1/1
undo shutdown
int Ten-GigabitEthernet 1/1/2
undo shutdown
quit
irf-port-configuration active
save
y

member3

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
sys
irf member 1 renumber 3 #修改member号为3,S5120默认出厂为member 1
y

int Ten-GigabitEthernet 1/1/1
shutdown
int Ten-GigabitEthernet 1/1/2
shutdown
quit
irf-port 1/1
port group interface Ten-GigabitEthernet 1/1/1
irf-port 1/2
port group interface Ten-GigabitEthernet 1/1/2
quit
int Ten-GigabitEthernet 1/1/1
undo shutdown
int Ten-GigabitEthernet 1/1/2
undo shutdown
quit
irf-port-configuration active
save
y

member4

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
sys
irf member 1 renumber 4 #修改member号为4,S5120默认出厂为member 1
y

int Ten-GigabitEthernet 1/1/1
shutdown
int Ten-GigabitEthernet 1/1/2
shutdown
quit
irf-port 1/1
port group interface Ten-GigabitEthernet 1/1/1
irf-port 1/2
port group interface Ten-GigabitEthernet 1/1/2
quit
int Ten-GigabitEthernet 1/1/1
undo shutdown
int Ten-GigabitEthernet 1/1/2
undo shutdown
quit
irf-port-configuration active
save
y

配置完成,重启所有交换机(注意:堆叠线缆最后配置完成后再连接,提前连接线缆IRF生效会自动重启设备,但是你又没保存配置,导致你又需要重新配置。
所有交换机重启后,输入一下命令检查IRF堆叠拓扑情况,此时S5120-EI交换机前面的液晶面板会显示各个交换机所在的
member号,1号交换机显示1,2号交换机显示2以此类推。
启动完成后,使用以下命令查看irf拓扑情况:

1
dis irf top

《H3C华三S5120-EI交换机IRF堆叠配置》

aaa

V7版本和V5版本好像有不兼容现象,V7接入V5的网络就会炸网,需要吧V7的生成树协议关了。