H3C 交换机常用指令

一.H3C 交换机常用指令
1. 基础配置
system-view
进入系统视图（所有设备配置的入口，需牢记）。
sysname
修改设备名称（建议命名包含位置、角色，如 SW-Office-01）。
save
保存配置（修改后必须执行，否则重启丢失；可搭配 save force 强制覆盖）。
display current-configuration
查看当前运行配置（对比 display saved-configuration 可检查配置是否保存）。
2. 接口管理端口模式区别：
access：用于连接终端（如电脑），仅允许单个 VLAN 通过。
trunk：用于交换机间互联，允许多个 VLAN 通过（需配合 port trunk permit vlan）。
hybrid：灵活模式，可自定义 Tagged/Untagged VLAN（常用于复杂场景）。
批量配置技巧：
port-group manual 1 创建端口组后，可同时配置多个接口（如 group-member GigabitEthernet1/0/1 to 1/0/4）。
3. VLAN 配置VLAN 虚接口用途：
interface Vlan-interface10 用于为 VLAN 配置三层网关（实现跨 VLAN 通信）。
Trunk 口最佳实践：
建议使用 port trunk permit vlan 10 20 明确允许的 VLAN，而非 all（避免广播风暴）。
4. 安全与 ACL端口安全：
port-security enable + port-security max-mac-count 1 可限制接口接入设备数量（防 ARP 欺骗）。
ACL 应用方向：
traffic-filter inbound/outbound acl 2000 需注意方向（入方向过滤更节省资源）。
5. 链路聚合（LACP）模式选择：dynamic：动态协商（需对端设备也启用 LACP）。
static：静态聚合（无需协商，配置简单但灵活性低）。
成员接口要求：
加入聚合组的接口需属同一类型（如均为电口或光口），且速率、双工模式一致。
6. 生成树协议（STP）模式对比：rstp：快速收敛（默认模式，优于传统 STP）。
mstp：多生成树（支持 VLAN 负载均衡，大型网络推荐）。根桥选举：
通过 stp priority 调整优先级（数值越小越优先，如 stp priority 4096 设置为根桥）。
7. 端口镜像
本地镜像 vs 远程镜像：
本地镜像：监控端口与镜像端口在同一设备（如示例）。
远程镜像：需通过 GRE 隧道将流量转发到远端监控设备（复杂场景使用）。
二、H3C 路由器常用指令
1. 接口与 IP 配置环回接口（LoopBack）：
用于测试或虚拟服务（如 OSPF router-id），地址建议使用 /32 掩码（节省地址）。
IP 地址冲突检测：
配置接口 IP 后可执行 display ip interface brief 检查状态（UP 表示正常）。
2. 路由协议OSPF 宣告注意事项：
network 192.168.1.0 0.0.0.255 中的反掩码需正确（如子网为 24 位时，反掩码为 0.0.0.255）。
BGP 基础配置：
需先配置 router-id（如 bgp 65001 下执行 router-id 1.1.1.1），并手动指定邻居（peer 10.0.0.2 as-number 65002）。
3. NAT 与 DHCPSNAT 与 DNAT 区别：SNAT：源地址转换（内网访问公网时使用）。
DNAT：目的地址转换（公网访问内网服务器时使用，如端口映射）。
DHCP 地址池配置：
需配置网关（gateway-list 192.168.1.1）和 DNS（dns-list 8.8.8.8），否则终端无法正常上网。
4. IPSec VPNIKE 阶段 1/2：提议（Proposal）属于阶段 1（协商加密算法、认证方式等）。IPSec 策略属于阶段 2（定义感兴趣流、封装模式等）。
感兴趣流（ACL）：
需精确匹配两端内网网段（如 acl number 3001 rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255）。
5. VRRP 冗余网关优先级规则：
主设备优先级需高于备设备（如主 120，备默认 100），当主设备故障时备设备接管虚拟 IP。
抢占模式：
默认开启（vrrp vrid 1 preempt-mode），主设备恢复后自动夺回角色。
三、H3C 防火墙常用指令
1. 安全区域与策略域间策略方向：
流量从低安全级别区域（如 Untrust）到高安全级别区域（如 Trust）需显式放行。安全区域优先级：
默认优先级：Local（100）> Trust（85）> DMZ（50）> Untrust（5），不可修改。
2. 应用层控制（ASPF）
状态检测机制：
ASPF 可检测 TCP/UDP 会话状态（如 HTTP 连接），自动放行回程流量（无需双向 ACL）。
支持的协议：
除 HTTP 外，还包括 FTP、SMTP、RTSP 等，需通过 detect 命令启用对应协议检测。
3. 包过滤与 NATACL 编号范围：基本 ACL：2000-2999（仅匹配源 IP）。高级 ACL：3000-3999（匹配源 / 目的 IP、端口、协议等）。
DNAT 端口映射示例：
nat server protocol tcp global 公网IP 80 inside 内网IP 80 可将公网 80 端口映射到内网 Web 服务器。
4. 防攻击与日志黑名单功能：
触发攻击阈值后自动封禁 IP（如频繁端口扫描），需配合 blacklist timeout 设置封禁时长。日志服务器配置：
info-center loghost 192.168.1.100 需确保防火墙与日志服务器网络互通，并开启 UDP 514 端口。
四、通用维护指令故障排查核心命令硬件状态：
display power 检查电源状态（是否冗余供电），display fan 查看风扇运行情况。网络连通性：
ping + tracert 组合使用（如 ping -a 源IP 目标IP 指定源地址）。
协议状态：
OSPF 查看 display ospf peer，BGP 查看 display bgp peer，确认邻居是否建立。性能监控display cpu-usage 和 display memory 需定期检查（正常情况下 CPU 使用率应低于 70%，内存剩余高于 30%）。display interface 可查看接口流量、错误包统计（如 input error 可能为链路故障或攻击）。注意事项配置规范：重要配置（如路由、ACL）需先在测试环境验证，避免生产环境中断。批量操作前备份配置（save to ftp://服务器地址/配置文件名称）。版本兼容性：
部分指令（如 MSTP、BGP 特性）可能因设备型号或软件版本不同而存在差异，建议参考官方手册。安全加固：禁用未使用接口（shutdown）并加入非信任 VLAN。限制远程登录（如仅允许 SSH，且使用强密码或证书认证）。
通过以上指令及实践要点，可高效完成 H3C 设备的配置、维护及故障排查。实际操作中建议结合设备提示（? 查看帮助）和实时日志（terminal monitor）进行调试。