h3c风暴抑制配置

1.接口设置 分别在三个路由器的WAN接口、LAN接口上设置好IP地址、子网掩码及网关，可不启用DHCP，相互之间能ping通，可以先在三路由器上启用Nat地 址转换，为了方便测试，可以先把路由器上的防火墙关闭，特别是当几个点之间距离比较远，可以在路由器上启用远 1.接口设置

分别在三个路由器的WAN接口、LAN接口上设置好IP地址、子网掩码及网关，可不启用DHCP，相互之间能ping通，可以先在三路由器上启用Nat地 址转换，为了方便测试，可以先把路由器上的防火墙关闭，特别是当几个点之间距离比较远，可以在路由器上启用远程web管理，方便控制配置。 2.VPN VPN设置

<1>虚接口(即子接口)，绑定接口，一条虚拟链路设置一个虚接口，最多可设置10个虚接口(ipsec0-ipsec9)，可以任意选择，每个路由器上可以选择不同编号虚接口

<2>IKE安全提议(Internet Key Exchange，Internet密钥交换)，注意对等体路由器之间的IKE验证算法、IKE加密算法、IKE DH组要相同，为了简单快捷使用默认参数即可 <3>IKE对等体，此处的参数比较多，对等体名称(可以任意设置，但要容易看得明白)、虚接口(选择你已设置好的虚接口的

1.接口设置 分别在三个路由器的WAN接口、LAN接口上设置好IP地址、子网掩码及网关，可不启用DHCP，相互之间能ping通，可以先在三路由器上启用Nat地 址转换，为了方便测试，可以先把路由器上的防火墙关闭，特别是当几个点之间距离比较远，可以在路由器上启用远 1.接口设置

分别在三个路由器的WAN接口、LAN接口上设置好IP地址、子网掩码及网关，可不启用DHCP，相互之间能ping通，可以先在三路由器上启用Nat地 址转换，为了方便测试，可以先把路由器上的防火墙关闭，特别是当几个点之间距离比较远，可以在路由器上启用远程web管理，方便控制配置。 2.VPN VPN设置

<1>虚接口(即子接口)，绑定接口，一条虚拟链路设置一个虚接口，最多可设置10个虚接口(ipsec0-ipsec9)，可以任意选择，每个路由器上可以选择不同编号虚接口

<2>IKE安全提议(Internet Key Exchange，Internet密钥交换)，注意对等体路由器之间的IKE验证算法、IKE加密算法、IKE DH组要相同，为了简单快捷使用默认参数即可 <3>IKE对等体，此处的参数比较多，对等体名称(可以任意设置，但要容易看得明白)、虚接口(选择你已设置好的虚接口的

一.用户配置:

system-view

[H3C]super password H3C 设置用户分级密码 [H3C]undo super password 删除用户分级密码 [H3C]localuserbigheap 123456 1 Web网管用户设置,1admin,admin

[H3C]undo localuserbigheap 删除Web网管用户 [H3C]user-interface aux 0 只支持0

[H3C-Aux]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-Aux]undo idle-timeout 恢复默认值 [H3C]user-interface vty 0 只支持0和1

[H3C-vty]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-vty]undo idle-timeout 恢复默认值

[H3C-vty]set authentication password 123456 设置telnet密码,必须设

H3C 2210配置手册

一、修改电脑IP地址，如下：点确定。

二、在浏览器上输入192.168.0.50（AP默认IP地址），用户名为：admin、密码为：h3capadmin

点登陆进入设备。

点“无线服务”-接入服务，可以到看到默认SSID号。

取消默认SSID配置。点H3C旁边的“绑定”进入如下图。点中1---点“取消绑定”。

关闭H3C服务。选中H3C---点“关闭”。

选中H3C---点”删除”

三、创建我们自己的SSID和加密方式。

WEP加密方式创建（无线服务—接入服务---新建）

输入无线服务名称（如：WEP），无线服务类型选择“crypto”，点确定。

选中WEP加密，可选择密钥类型和密钥长度。如下图。

输入密码。如下图。

点确定

点WEP旁边的“绑定”

选中“1”点“绑定”

选中“WEP”点“开启”

到此WEP加密配置已经完成。

测试。

WPA加密配置（无线服务---接入服务---新建）

输入无线服务名称（WPA），无线服务类型（crypto）

选中加密类型（TKIP），安全IE（WPA、WPA2或者WPA and WPA2）,选中端口设置—端口模式（PSK），预共享密钥（pass-phrase）输入密码。

点确定。

H3C VRRP配置案例

3.4.1 VRRP单备份组举例

1. 组网需求

主机A把路由器A和路由器B组成的VRRP备份组作为自己的缺省网关，访问Internet上的主机B。

VRRP备份组构成：备份组号为1，虚拟IP地址为202.38.160.111，路由器A做Master，路由器B做备份路由器，允许抢占。 2. 组网图

图3-3 VRRP单备份组配置组网图

3. 配置步骤

配置路由器A：

[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111 [H3C-Ethernet1/0/0] vrrp vrid 1 priority 120

[H3C-Ethernet1/0/0] vrrp vrid 1 preempt-mode timer delay 5

配置路由器B：

[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111

备份组配置后不久就可以使用。主机A可将缺省网关设为202.38.160.111。 正常情况下，路由器A执行网关工作，当路由器A关机或出现故障，路由器B将接替执行网关工作。

设置抢占方式，目的是

H3C 双互联网接入负载分担及备份【解决方案及配置实例】

#

version 5.20, Alpha 1011 #

sysname H3C #

bfd echo-source-ip 1.1.1.1 # acl number 3000

rule 0 permit ip source 192.168.1.0 0.0.0.255 acl number 3001

rule 0 permit ip source 192.168.2.0 0.0.0.255 #

interface Ethernet0/1/0 port link-mode route

ip address 192.168.100.254 255.255.255.0 ip policy-based-route internet #

interface Ethernet0/1/1 port link-mode route

ip address 10.10.10.1 255.255.255.0 #

interface Ethernet0/1/2 port link-mode route

ip address 10.10.20.1 255.25

H3C SSH配置示例

配置Router作为SSH服务器 1] 生成RSA及DSA密钥对，并启动SSH服务器。 system-view

[Router] public-key local create rsa [Router] public-key local create dsa [Router] ssh server enable

2] 配置接口Ethernet1/1的IP地址，客户端将通过该地址连接SSH服务器。 [Router] interface GigabitEthernet0/3

[Router-GigabitEthernet0/3] ip address 172.21.33.253 255.255.255.128 [Router-GigabitEthernet0/3] quit

3] 设置SSH客户端登录用户界面的认证方式为AAA认证。 [Router] user-interface vty 0 4

[Router-ui-vty0-4] authentication-mode scheme [Router-ui-vty0-4] protocol inbound ssh [Router-

前言

IRF2（Intelligent Resilient Framework，智能弹性架构）是H3C自主研发的软件虚拟化技术，通过将多台设备虚拟为一台设备，可以简化网络拓扑，提高管理效率，并能提供1:N的设备级备份，帮助您实现业界领先的企业网、数据中心汇聚/核心层解决方案。本章将为您介绍如果使用多台S5820V2&S5830V2系列交换机组建基于IRF技术的虚拟化设备。

配置要求

本次试验通过2台支持虚拟化交换机进行配置，将两台物理设备进行虚拟化后逻辑合成一台设备。

试验环境

配置过程

主机一：

system-view

[Sysname] interface range ten-gigabitethernet 1/0/49 to ten-gigabitethernet 1/0/50

[Sysname-if-range] shutdown [Sysname-if-range] quit

[Sysname] irf-port 1/1

[Sysname-irf-port1/1] port group interface ten-gigabitethernet 1/0/49 [Sysname-irf-port1/1] port group int

实训三 VLAN基本配置

【实验目的】

1、掌握端口聚合的概念及配置命令、方法； 2、理解VLAN的基本概念与作用；

3、理解静态与动态VLAN的特点与区别； 4、掌握静态VLAN的设置； 【实验仪器和设备】

1、端口聚合实验采用Quidway S3526交换机2台组网，交换机之间通过3条双绞线互连。组网如下图所示。

S3526A E0/1 E0/2 E0/3 E0/1 E0/2 E0/3 S3526B

2、VLAN基本配置实验环境：

2~3台S3000系列交换机，4台PC。实验组网如下图所示。

S3526A

E0/1 E0/1 S3526B

E0/2 E0/2 E0/9 E0/17 E0/9 PCA VLAN2 PCB VLAN3 PCC VLAN2

【实验原理和步骤】 1、端口聚合

端口聚合 （Port Aggregating），也称为端口捆绑、端口聚集或链路聚集，是指将多条以太网链路汇聚在一起形成一个汇聚组，以实现出/入负荷在各成员端口中的分组。从外面看起来，一个汇聚组好像就是一个端口。通过链路聚合，即实现了各个聚合端口的负荷分担，同时又增加了链路带宽。

在S3500以太网交换机中，参与汇聚组的端口的起始值必须为端口e0/1，e0/9

安全区域

2.1.1 安全区域的概念

安全区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。

对于路由器，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查（入接口的安全检查和出接口的安全检查），以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说不很适合，因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害，因而有着明确的内外之分。

当一个数据流通过secpath防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，将造成用户在配置上的混乱。因此，secpath防火墙提出了安全区域的概念。

一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0～100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。只有当数据在分属于两个不同安全级别的区域（或区域包含的接口）之间流动的时候，才会激