华为路由器防火墙配置命令总结(含交换机命令)

一、access-list 用于创建访问规则

（1）创建标准访问列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）创建扩展访问列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【参数说明】

normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。 log [可选] 表示如果报文符合条件，需要做日志。

listnumber 为删除的规则序号，是1~199之间的一个数值。

subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。

【缺省情况】

系统缺省不配置任何访问规则。

【命令模式】

全局配置模式

【使用指南】

同一个序号的规则可以看作一类规则；所定义的规则不仅可以用来在接口上过滤报文，也可以被如DDR等用来判断一个报文是否是感兴趣的报文，此时，permit与deny表示是感兴趣的还是不感兴趣的。

使用协议域为IP的扩展访问列表来表示所有的IP协议。

同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。

【举例】

允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问，但不允许使用FTP。

Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

【相关命令】

ip access-group

二、clear access-list counters 清除访问列表规则的统计信息

clear access-list counters [ listnumber ]

【参数说明】

listnumber [可选] 要清除统计信息的规则的序号，如不指定，则清除所有的规则的统计信息。

【缺省情况】

任何时候都不清除统计信息。

【命令模式】

特权用户模式

【使用指南】

使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。

【举例】

例1：清除当前所使用的序号为100的规则的统计信息。

Quidway#clear access-list counters 100

例2：清除当前所使用的所有规则的统计信息。

Quidway#clear access-list counters

【相关命令】

access-list

三、firewall 启用或禁止防火墙

firewall { enable | disable }

【参数说明】

enable 表示启用防火墙。

disable 表示禁止防火墙。

【缺省情况】

系统缺省为禁止防火墙。

【命令模式】

全局配置模式

【使用指南】

使用此命令来启用或禁止防火墙，可以通过show firewall命令看到相应结果。如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时，防火墙本身的统计信息也将被清除。

【举例】

启用防火墙。

Quidway(config)#firewall enable

【相关命令】

access-list，ip access-group

四、firewall default 配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式

firewall default { permit | deny }

【参数说明】

permit 表示缺省过滤属性设置为“允许”。

deny 表示缺省过滤属性设置为“禁止”。

【缺省情况】

在防火墙开启的情况下，报文被缺省允许通过。

【命令模式】

全局配置模式

【使用指南】

当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作用；如果缺省过滤属性是“允许”，则报文可以通过，否则报文被丢弃。

【举例】

设置缺省过滤属性为“允许”。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【参数说明】

listnumber 为规则序号，是1~199之间的一个数值。

in 表示规则用于过滤从接口收上来的报文。

out 表示规则用于过滤从接口转发的报文。

【缺省情况】

没有规则应用于接口。

【命令模式】

接口配置模式。

【使用指南】

使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用 in 关键字；如果要过滤从接口转发的报文，使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

【举例】

将规则101应用于过滤从以太网口收上来的报文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相关命令】

access-list

六、settr 设定或取消特殊时间段

settr begin-time end-time

no settr

【参数说明】

begin-time 为一个时间段的开始时间。

end-time 为一个时间段的结束时间，应该大于开始时间。

【缺省情况】

系统缺省没有设置时间段，即认为全部为普通时间段。

【命令模式】

全局配置模式

【使用指南】

使用此命令来设置时间段；可以最多同时设置6个时间段，通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段的时间间隔）。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段，可以设置成“settr 21:00 23:59 0:00 8:00”，因为所设置的时间段的两个端点属于时间段之内，故不会产生时间段内外的切换。另外这个设置也经过了20xx问题的测试。

【举例】

例1：设置时间段为8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00

例2： 设置时间段为晚上9点到早上8点。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相关命令】

timerange，show timerange

交换机命令

~~~~~~~~~~

[Quidway]super password 修改特权用户密码

[Quidway]sysname 交换机命名

[Quidway]interface ethernet 0/1 进入接口视图

[Quidway]interface vlan x 进入接口视图

[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0

[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由＝网关

[Quidway]user-interface vty 0 4

[S3026-ui-vty0-4]authentication-mode password

[S3026-ui-vty0-4]set authentication-mode password simple 222

[S3026-ui-vty0-4]user privilege level 3

[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口双工工作状态

[Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率

[Quidway-Ethernet0/1]flow-control 配置端口流控

[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX状态平接或扭接

[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置接口工作模式

[Quidway-Ethernet0/1]shutdown 关闭/重起接口

[Quidway-Ethernet0/2]quit 退出系统视图

[Quidway]vlan 3 创建/删除一个VLAN/进入VLAN模式

[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在当前VLAN增加/删除以太网接口

[Quidway-Ethernet0/2]port access vlan 3 将当前接口加入到指定VLAN

[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN

[Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID

[Quidway]monitor-port <interface_type interface_num> 指定和清除镜像端口

[Quidway]port mirror <interface_type interface_num> 指定和清除被镜像端口

[Quidway]port mirror int_list observing-port int_type int_num 指定镜像和被镜像

[Quidway]description string 指定VLAN描述字符

[Quidway]description 删除VLAN描述字符

[Quidway]display vlan [vlan_id] 查看VLAN设置

[Quidway]stp {enable|disable} 开启/关闭生成树,默认关闭

[Quidway]stp priority 4096 设置交换机的优先级

[Quidway]stp root {primary|secondary} 设置交换机为根或根的备份

[Quidway-Ethernet0/1]stp cost 200 设置交换机端口的花费

[SwitchA-vlanx]isolate-user-vlan enable 设置主vlan

[SwitchA]Isolate-user-vlan <x> secondary <list> 设置主vlan包括的子vlan

[Quidway-Ethernet0/2]port hybrid pvid vlan <id> 设置vlan的pvid

[Quidway-Ethernet0/2]port hybrid pvid 删除vlan的pvid

[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged 设置无标识的vlan

如果包的vlan id与PVId一致，则去掉vlan信息. 默认PVID=1。

所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged.

第二篇：常用命令总结

按Q键离开Man界面；

1） 用户在shell环境中可 的指令或可执行文件

2） 系统核心可呼叫的函数与工具等

3） 一些常用的函数与函式库，大部分为C的函式库

4） 装置档案的说明，通常在/dev下的档案

5） 配置文件或者是某些档案的格式

6） 游戏

7） 惯例与协议等，例如Linux文件系统、网络协议、ASCII code等等的说明

8） 系统管理员可用的管理指令

9） 跟kernel有关和文件

？+字符串是寻找那个字符串，n是寻找下一个字符，N是向上寻找；

命令忘记了只记了大概，把前面的字母输入后，然后按两下TAP

Pwd

Cd

Ls –l 显示长列表格式

Ls –a 显示所有文件

Ls –al 以长列表格式显示所有文件

文件颜色的区别：白色——一般性文件；

蓝色文件——目录；

绿色文件——可执行文件；

红色文件——压缩文件或者包文件；

Rmdir 删除目录

Mkdir 建立目录

Touch 建立文件

管道定向命令

Grep:主要是用于把一个文件的结果作为另一个文件的输入

打开vi后首先是命令模式，用i,o,a等进入编辑模式，按esc退出编辑模式，回到命令模式。 在命令模式下输入:wq表示保存退出，:wq!强制保存退出，:w表示保存，:w file表示保存在另一个文件中 :q表示退出

在命令模式下可以用用ZZ，ZQ这些指令直接保存退出。