1：配置登录用户，口令等

//用户直行模式提示符,用户视图

system-view        //进入配置视图

[H3C]                  //配置视图(配置密码后必须输入密码才可进入配置视图)

[H3C] sysname xxx //设置主机名成为xxx这里使用

修改特权用户密码

system-view

[H3C]super password level 3 cipher/simple xxxxx  //设置本地登录交换机命令

[H3C] aaa  //进入aaa认证模式定义用户账户

[H3C-aaa] local-user duowan password cipher duowan

[H3C-aaa] local-user duowan level 15

[H3C-aaa] local-user duowan service-type telnet terminal ssh //有时候这个命令是最先可以运                                         //行的，上边两个命令像password，level都是定义完vty 的                                              // authentication-mode aaa后才出现

[H3C-aaa] quit

[H3C] user-interface vty 0 4 //当时很奇怪这个命令就是找不到，最后尝试了几次才能运行

[H3C-ui-vty0-4]  authentication-mode aaa

[H3C-ui-vty0-4] quit

单独设置远程登录账户：

system-view

[H3C]user-interface vty 0 4

[H3C-ui-vty0-4]authentication-mode password //设置登录模式

[H3C-ui-vty0-4]user privilege level 3   //管理权限配置，3为管理级权限

[H3C-ui-vty0-4]set authentication password cipher 123456  //设置登录密码以密文方式登录

[H3C-ui-vty0-4]quit

[H3C]

2：H3C VLan设置

创建vlan：

//用户直行模式提示符,用户视图

system-view        //进入配置视图

[H3C] vlan 10  //创建vlan 10，并进入vlan10配置视图，如果vlan10存在就直接进入vlan10配置视图

[H3C-vlan10] quit    //回到配置视图

[H3C] vlan 100    //创建vlan 100，并进入vlan100配置视图，如果vlan10存在就直接进入vlan100配置视图

[H3C-vlan100] quit    //回到配置视图

将端口加入到vlan中：

[H3C] interface GigabitEthernet2/0/1 (10G光口)

[H3C- GigabitEthernet2/0/1] port link-type access   //定义端口传输模式

[H3C- GigabitEthernet2/0/1] port default vlan 100   //将端口加入vlan100

[H3C- GigabitEthernet2/0/1] quit

[H3C] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。0代表1号口

[H3C- GigabitEthernet1/0/0] port link-type access   //定义端口传输模式

[H3C- GigabitEthernet2/0/1] port default vlan 10    //将这个端口加入到vlan10中

[H3C- GigabitEthernet2/0/1] quit

.

.

.

.

将多个端口加入到VLAN中

system-view

[H3C]vlan 10

[H3C-vlan10]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/29  //将1到29号口加入到vlan10中

[H3C-vlan10]quit

3：设置VTP cisco专有的vlan终极协议也成为局域网干道协议，作用是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息

4：交换机配置IP地址

[H3C] interface Vlan-interface100  // 进入vlan100接口视图与vlan 100命令进入的地方不同

[H3C-Vlan-interface100] ip address 119.167.200.90 255.255.255.252  // 定义vlan100管理IP三层                             交换网关路由

[H3C-Vlan-interface100] quit

[H3C] interface Vlan-interface10 // 进入vlan10接口视图与vlan 10命令进入的地方不同

[H3C-Vlan-interface10] ip address 119.167.206.129 255.255.255.128 // 定义vlan10管理IP三层                             交换网关路由

[H3C-Vlan-interface10] quit

配置默认网关：

[H3C]ip route-static 0.0.0.0 0.0.0.0 119.167.200.89 //配置默认网关。

5： 交换机保存设置和重置命令

save                           //保存配置信息

reset saved-configuration  /重置交换机的配置

reboot  //重新启动交换机后配置恢复到出厂设置。

6：交换机常用的显示命令

用户视图模式下：

display  current-configuration  //显示现在交换机正在运行的配置明细

display device    //显示S9303各设备状态

display interface ？  //显示个端口状态，用？可以查看后边跟的选项

display version         //查看交换机固件版本信息

display vlan ？  // 查看vlan的配置信息

7:基于端口的mac地址绑定

系统视图下

am user-bind mac-addr mac地址 ip-addr ip地址 interface 接口类型 接口序号

以太网端口视图下

interface 接口类型 接口序号

am user-bind mac-addr mac地址 ip-addr ip地址

8：配置交换机的snmp功能

[H3C] snmp-agent community read  xx     //xx是组织名称，read是以只读模式查看

[H3C] undo snmp-agent community   xx   //删除xx组织

[H3C] snmp-agent sys-info version all //snmp版本有V1.V2c，V3这里配置允许所有版本

[H3C] display snmp-agent community        //显示组织名

9：交换机禁ping配置

[H3C]acl number 3000

[H3C-acl-adv-3000]rule 1 deny icmp-type echo any  //禁止所有网络ping

[H3C-acl-adv-3000]rule 3 deny icmp source 1.1.1.1 0.0.0.15 destination 2.2.2.2 0   禁止1.1.1.1到2.2.2.2的icmp包

[H3C-acl-adv-3000]quit

[H3C]interface giga1/0/20

[H3C-GigabitEthernet1/0/20]packet-filter inbound ip-group 3000 rule 1 //将规则在接口下用

[H3C-GigabitEthernet1/0/20]packet-filter inbound ip-group 3000 rule 3  //将规则在接口下用

[H3C-GigabitEthernet1/0/20]quit

[H3C]interface Vlanif 100

[H3C-Vlanif100]packet-filter inbound ip-group 3000 rule 1 //将规则在接口下用

[H3C-Vlanif100]quit

[H3C]interface Vlanif 10

[H3C-Vlanif10]packet-filter inbound ip-group 3000 rule 1 //将规则在接口下用

[H3C-Vlanif10]quit

10：恢复交换机出厂设置

reset saved-configuration  //重置交换机的配置

reboot  //重新启动过程中初始化到出厂设置。

11：配置防ARP攻击命令：

system-view

[H3C]dhcp-snooping  //开启交换机DHCP Snooping 功能

开启VLAN 1 内所有端口的ARP 入侵检测功能。

[H3C]vlan 1

[H3C-vlan1]arp detection enable

[H3C-vlan1]quit

设置上联端口Ethernet1/0/1 为DHCP Snooping 信任端口，ARP 信任端口。

[H3C]interface Ethernet1/0/1

[H3C-Ethernet1/0/1]dhcp-snooping trust

[H3C-Ethernet1/0/1]arp detection trust

[H3C-Ethernet1/0/1]quit

开启端口Ethernet1/0/2 上的ARP 报文限速功能，设置ARP 报文通过的最大速率为20pps。--目的是针对用户接入口，除上联端口外，下联用户端口建议都设置该命令。如下：

[Quidway]interface Ethernet1/0/2

[Quidway-Ethernet1/0/2]arp rate-limit enable

[Quidway-Ethernet1/0/2]arp rate-limit 20

[Quidway-Ethernet1/0/2]quit

配置端口状态自动恢复功能，恢复时间间隔为30 秒。

[Quidway]arp protective-down recover enable

[Quidway]arp protective-down recover interval 30

12: 配置trunk命令

比如一栋宿舍楼需要两个网段，划分了两个VLAN为100和101，VLAN 100作为管理VLAN

配置命令如下：

system-view  //----进入系统配置模式

[Quidway]

[Quidway]VLAN 100 //---创建VLAN---ID为:100

[Quidway]VLAN 101 //---创建VLAN---ID为:101

[Quidway-vlan100] port Ethernet 1/0/1 to Ethernet 1/0/10 //----从第1口到第10口添加到VLAN 100

[Quidway-vlan101] port Ethernet 1/0/11 to Ethernet 1/0/24 //----从第11口到第24口添加到VLAN 101

[Quidway] interface Vlan-interface 100 //—进入VLAN 100

[Quidway-Vlan-interface100]ip address 192.168.100.254 255.255.255.0 //---给VLAN 100配置管理IP

[Quidway-Vlan-interface100]quit

[Quidway]ip route-static 0.0.0.0 0.0.0.0 192.168.100.33 //—配置静态路由(网关)

上联端口为千兆端口GigabitEthernet1/1/1在配置模式下配置命令如下：

[Quidway] interface GigabitEthernet 1/1/1 //---进入上联端口

[Quidway-GigabitEthernet1/1/1] port link-type trunk //--TRUNK是端口汇聚的意思

[Quidway-GigabitEthernet1/1/1] port trunk permit(允许)vlan all //----配置允许通过的VLAN

如果上联的路由器端口是自适应那么交换机上联口也是自适应，如果配置了1000M全双工那么交换机的上联端口也要配成1000M全双工。如下命令：

[Quidway-GigabitEthernet1/1/1] duplex full //—配置端口为“全双工状态”

[Quidway-GigabitEthernet1/1/1] speed 1000  //---配置端口为“1000M”

13：端口聚合实例

H3C交换机端口汇聚

组网需求：

增加SwitchA做核心与SwitchB、SwitchC之间的带宽，将SwitchA与SwitchB、SwitchC之间的流量进行负荷分担，并起到链路备份的效果。

配置步骤：

H3C 5500-SI   等系列交换机端口汇聚的设置流程

手工汇聚的配置：

当交换机之间采用Trunk端口互连时，配置端口汇聚会将流量在多个端口上进行分担，即采用端口汇聚可以完成增加带宽、负载分担和链路备份的效果。

配置：

一、 配置SwitchA

1. 建立汇聚组1

[SwitchA]interface bridge-aggregation 1

2．进入端口G1/0/1

[SwitchA]interface gigabitethernet1/0/1

3．参与端口汇聚的端口设置成全双工模式

[SwitchA-GigabitEthernet1/0/1]duplex full

4．参与端口汇聚的端口工作速率设置一致

[SwitchA-GigabitEthernet1/0/1]speed 1000

5．将端口加入汇聚组

[SwitchA-GigabitEthernet1/0/1]port link-aggregation group 1

6．端口G1/0/2与端口G1/0/1的配置一致

7. 建立汇聚组2

[SwitchA]interface bridge-aggregation 2

8．进入端口G1/0/3

[SwitchA]interface gigabitethernet1/0/3

9．参与端口汇聚的端口设置成全双工模式

[SwitchA-GigabitEthernet1/0/3]duplex full

10．参与端口汇聚的端口工作速率设置一致

[SwitchA-GigabitEthernet1/0/3]speed 1000

11．将端口加入汇聚组

[SwitchA-GigabitEthernet1/0/3]port link-aggregation group 2

12．负荷分担基于源MAC和目的MAC

[SwitchA]link-aggregation load-sharing mode source-mac

13.端口G1/0/4与端口G1/0/3的配置一致

二、 SwitchB的配置顺序和配置内容同SwitchA的G1/0/1

三、 SwitchC的配置顺序和配置内同同SwitchA的G1/0/3

动态汇聚的配置：

一、 配置SwitchA

1. 建立汇聚组1

[SwitchA]interface bridge-aggregation 1

[SwitchA-Bridge-Aggregation1]link-aggregation mode dynamic

2．进入端口G1/0/1

[SwitchA]interface gigabitethernet1/0/1

3．参与端口汇聚的端口设置成全双工模式

[SwitchA-GigabitEthernet1/0/1]duplex full

4．参与端口汇聚的端口工作速率设置一致

[SwitchA-GigabitEthernet1/0/1]speed 1000

5．将端口加入汇聚组

[SwitchA-GigabitEthernet1/0/1]port link-aggregation group 1

6．端口G1/0/2与端口G1/0/1的配置一致

7. 建立汇聚组2

[SwitchA]interface bridge-aggregation 2

8．进入端口G1/0/3

[SwitchA]interface gigabitethernet1/0/3

9．参与端口汇聚的端口设置成全双工模式

[SwitchA-GigabitEthernet1/0/3]duplex full

10．参与端口汇聚的端口工作速率设置一致

[SwitchA-GigabitEthernet1/0/3]speed 1000

11．将端口加入汇聚组

[SwitchA-GigabitEthernet1/0/3]port link-aggregation group 2

12．负荷分担基于源MAC和目的MAC

[SwitchA]link-aggregation load-sharing mode source-mac

13.端口G1/0/4与端口G1/0/3的配置一致

二、 SwitchB的配置顺序和配置内容同SwitchA的G1/0/1

三、 SwitchC的配置顺序和配置内同同SwitchA的G1/0/3

补充说明：

1.汇聚组中各成员端口对出端口方向的数据流进行负荷分担， 如果数据流是IP报文，负荷分担基于源IP和目的IP，如果数据流不是IP报文，负荷分担基于源MAC和目的MAC。

2.SwitchC的配置也可同SwitchA的G1/0/1,但是同汇聚组的两个端口配置必须相同，如基本配置、速率、双工、预加入的汇聚组号等。

配置关键点：

1．同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP、QoS、VLAN、端口属性等相关配置；

2．对于端口环回监测(loopback-detection)特性的相关命令和端口汇聚的相关命令，不能同时配置；

3．对于配置了mac-address max-mac-count命令的端口，不能加入到汇聚组中；反之，对于已经加入到某个汇聚组中的端口，也不能再配置mac-address max-mac-count命令；

4．对于使能了MAC地址认证或802.1x的端口，不能加入到汇聚组中；

5．对于镜像目的端口、远程镜象反射端口、不能加入到汇聚组中；

6．对于配置了黑洞MAC地址、静态MAC地址或配置了静态ARP的端口，不能加入到汇聚组中；

7．对于配置了MAC地址和IP地址绑定的端口，不能加入到汇聚组中；

8．对于已经配置了端口安全(Port-Sercurity)特性相关命令的端口，不能加入到汇聚组中。

14：端口限速

<1>:若交换机的型号支持QOS限速可以如下操作：

Qos端口限速

[H3C] interface gigabitethernet 1/0/1

# 配置限速参数，端口进/出速率限制为5120kbps。

[H3C-GigabitEthernet1/0/1] qos lr inbound cir 5120

[H3C-GigabitEthernet1/0/1] qos lr outbound cir 5120

<2>:line-rate

[H3C] interface gigabitethernet 1/0/1

[H3C-GigabitEthernet1/0/1]line-rate inbound <1-32> //粒度是25Mb

[H3C-GigabitEthernet1/0/1]line-rate oubound <1-32>