H3C常用命令

1.基本命令

system-view        进入特权模式
sysname   更改设备名称
rename    修改文件名
undo idle-timeout     恢复默认值 
user-interface vty 0     只支持0和1 
idle-timeout 2 50     设置超时为2分50秒,若为0则表示不超时,默
undo info-center enable  关闭系统日志
vlan batch  创建vlan
display vlan  查看vlan信息
display this  查看当前接口信息
port link-type trank/access  配置端口工作模式
port access vlan ID  将端口加入vlan
undo port access vlan 10  将该端口从vlan10退出
undo shutdown 激活端口
interface ethernet 1/0/1 进入端口模式
ip address 192.168.201.1 255.255.255.0  配置IP
description to LAN  接口描述
quit
arp ip(绑定一个IP地址）mac arpa   绑定IP
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4则ip为100.1.1.4并且mac为000d-88f8-09fa的arp报文能够 议决e0/4端口，仿冒其它装备 arp报文不能 议决 ，从而不会出现错误arp表项。
user-bind mac-addr mac-address ip-addr ip-address interface interface-list 系统视图下绑定mac ip 和端口
user-bind mac-addr mac-address ip-addr ip-address  以太网端口视图下绑定mac ip 和端口
port link-mode bridge 关闭三层交换机路由功能
H3C S3100-SI 交换机端口绑定MAC配置方法
interface Ethernet1/0/16
port access vlan 40
mac-address max-mac-count 0  允许最大MAC地址数通过
mac-address static d481-d7a9-3dc1 vlan 40  绑定一个静态MAC
mac-address blackhole d481-d7a9-3dc1 vlan 40  绑定一个黑洞MAC该MAC的数据会被丢弃
mac-address timer aging 30   mac地址老化时间改为30秒
display mac-address dynamic gigabitethernet1/0/1 查看该接口学习到的MAC地址

2.清除所有配置

reset saved-configuration
reboot  

reset save
reboot

3.切换语言

1	language Chinese\|English

4.vlan配置

description vlan_10
port Ethernet 1/0/1  将端口加入vlan
vlan 2    创建vlan2
int vlan 2 
dhcp select global 启用vlan2下的dhcp为全局dhcp
name test  vlan名
port hybrid pvid vlan 10  设置trunk端口的pvid即vlanid
port hybrid untagged vlan10  去除vlan标签,允许该vlan通过
port link-type trunk  配置接口为trunk模式
port trunk permit vlan all 允许所有vlan通信
undo port hybrid vlan 1 删除默认的vlan1

5.DHCP

dhcp enable 启用DHCP功能
dhcp server ip-pool bangon 创建IP地址池，名称为bangon
network 192.168.10.0 mask 24  dhcp分配的IP地址段
gateway-list 192.168.10.1  指定网关
dns-list 8.8.8.8 114.114.114.114  配置dns解析
expired day 2 租约为2天
static-bind ip-address 10.1.1.5 mac-address 000f-e200-0002 绑定静态dhcp
quit
dhcp server forbidden-ip 192.168.10.100  指定保留IP
dhcp select global/relay 启用dhcp接口模式
dhcp-snooping trust 信任接口的DHCP
dhcp server forbidden-ip 172.16.1.240 172.16.1.250  排除的IP

6.DHCP中继，地址为100.100.100.2

1
2
3

SW:dhcp relay server-group 1 ip 100.100.100.2
   dhcp select relay
   dhcp relay server-group 1

7.telnet

telnet server enable  开启telnet
user-interface vty 0 4
authentication-mode password/scheme  设置口令模式
set authentication password simple/cipher 明文/密文

user privilege level 3  用户级别
user-role level 3
auto-execute command admin 禁止admin登录

8.管理多个端口

port-group manual 1 创建组1
group-member GigabitEthernet 1/0/1 to G/1/0/10
port link-type access
port access vlan 10

9.loopback管理地址

1 2	loopback 0 ip add *

10.ACL访问控制

acl number 3001
rule 10 deny ip soure 172.16.100.0 0.0.0.255 destination any
inter vlan 100
packet-filter 3001 inbound

10.1 用ACL禁BT流量：

定义高级 ACL 子规则

1
2
3

[H3C] acl number 3000 
[H3C-acl-adv-3000] rule 0 deny tcp bt-flag 
[H3C-acl-adv-3000] quit

进入端口 GE7/1/8，在端口下配置 BT 禁流

1
2
3

[H3C] interface gigabitethernet 7/1/8 
[H3C-GigabitEthernet7/1/8] flow-template user-defined 
[H3C-GigabitEthernet7/1/8] packet-filter inbound ip-group 3000 rule 0

10.2 基于访问表的安全防范策略

防止外部IP地址欺骗
外部网络的用户可能会使用内部网的合法IP地址或者回环地址作为源地址，从而实现非法访问。针对此类问题可建立如下访问列表：

阻止源地址为私有地址的所有通信流。

1
2
3

access-list 101 deny ip 10.0.0.0 0.255.255.255 any 
access-list 101 deny ip 192.168.0.0 0.0.255.255 any 
access-list 101 deny ip 172.16.0.0 0.0.255.255 any

阻止源地址为回环地址的所有通信流。

1	access-list 101 deny ip 127.0.0.0 0.255.255.255 any

阻止源地址为多目的地址的所有通信流。

1	access-list 101 deny ip 224.0.0.0 7.255.255.255 any

阻止没有列出源地址的通信流。

1	access-list 101 deny ip host 0.0.0.0 any

注：可以在外部接口的向内方向使用101过滤。

防止外部的非法探测
非法访问者对内部网络发起攻击前，往往会用ping或其他命令探测网络，所以可以通过禁止从外部用ping、traceroute等探测网络来进行防范。可建立如下访问列表:

阻止用ping探测网络。

1	access-list 102 deny icmp any any echo

阻止用traceroute探测网络。

1	access-list 102 deny icmp any any time-exceeded

注：可在外部接口的向外方向使用102过滤。在这里主要是阻止答复输出，不阻止探测进入。

保护路由器不受攻击
路由器一般可以通过telnet或SNMP访问，应该确保Internet上没有人能用这些协议攻击路由器。假定路由器外部接口serial0的IP为 200.200.200.1，内部接口fastethernet0的IP为200.200.100.1。可以生成阻止telnet、SNMP服务的向内过滤保护路由器。建立如下访问列表：

access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23 
access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23 
access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161 
access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161

注: 在外部接口的向内方向使用101过滤。当然这会对管理员的使用造成一定的不便，这就需要在方便与安全之间做出选择。

阻止对关键端口的非法访问
关键端口可能是内部系统使用的端口或者是防火墙本身暴露的端口。对这些端口的访问应该加以限制，否则这些设备就很容易受到攻击。建立如下访问列表：

access-list 101 deny tcp any any eq 135 
access-list 101 deny tcp any any eq 137 
access-list 101 deny tcp any any eq 138 
access-list 101 deny tcp any any eq 139 
access-list 101 deny udp any any eq 135 
access-list 101 deny udp any any eq 137 
access-list 101 deny udp any any eq 138 
access-list 101 deny udp any any eq 139

11.无线AP

1
2
3

wlan auto-ap enable  开启自动发现
display ap-type all 查看支持的AP类型
ap-auth-mode mac-auth  通过APMAC地址绑定

12.无线AC

oap connect slot 0  从主控板进入交换模式,需要在用户视图下操作
wlan auto-ap enable  开启自动注册AP功能
wlan ap ap mode  型号
se auto  型号
ctrl + k  返回路由模式
dis wlan client  查看用户数量
dis wlan client mac-address 0017-c44e-5787 verbose  查看某一客户端的详细情况，如是否漫游(Roam Status                       : Normal         //Normal表示客户端没有漫游)
删除某一客户端：
reset wlan client mac-address 0008-ca55-9179
禁止某一客户端连接无线网络，将客户端的MAC地址加入AC的黑名单中即可：
[H3C_AC]wlan ids                        //进入IDS攻击检测模式
[H3C_AC-wlan-ids]static-blacklist mac-address 0017-c44e-5787    //此为静态黑名单，加入客户端的MAC地址即可

1
2
3

wlan ap-execute ap-13 conversion-to-fatap  切换AP为胖模式
dis wlan ap all verbose | include Up Time    查看AP掉线和重启时间
dis wlan ap connection record all   查看最近AP重启时间

1	dis wlan ap name ap-7 verbose \| include Down 查看ap-7的down原因

Tunnel Down Reason：表示上次断开注册时候的原因
Connection Count：记录了总的连接次数
Transmitted control packets：表示AC给该AP发送的控制报文个数
Received control packets：表示AC从该AP收到的控制报文个数

开启AP的telnet
V5设备

1
2
3

[AC] _hidecmd  //进入AC的hide命令模式
[AC-hidecmd] wlan ap ap-name exec-control enable
[AC-hidecmd] wlan ap ap-name telnet enable

（注意：以上命令请按照顺序输入，ap-name为需要登录的FIT AP名称，以实际的AP命名为准）
执行完以上命令后，即可在AC上通过Telnet方式登录到名称为ap-name的FIT AP。

V7设备

1 2	[AC]probe //进入AC的probe命令模式 [AC-probe] wlan ap-execute ap-name exec-console enable

执行完以上命令后，即可在AC上通过Telnet方式登录到名称为ap-name的FIT AP
按提示输入AP默认登陆密码 h3capadmin

查看AP的重启原因

1
2
3

telnet AP_IP
_h
diag boot-info display

收集AP/AC诊断信息并上传至tftp服务器

1 2	dis diagnostic-information tftp 172.16.40.25 put default.diag

查看AP空口利用率，登录AP通过命令
V5进hide视图，V7进probe视图
查看AP当前信道的空口利用率display ar5 2 channelbusy

无线网络SSId配置

wlan service-template 1 crypto
 ssid linglong
 bind WLAN-ESS 0
 cipher-suite tkip
 security-ie rsn
 service-template enable
#
wlan service-template 2 crypto
 ssid linglong_guest
 bind WLAN-ESS 1
 cipher-suite tkip
 security-ie rsn
 service-template enable

#
interface WLAN-ESS0
 port link-type hybrid
 port hybrid vlan 1 100 untagged
 port hybrid pvid vlan 100
 port-security max-mac-count 200
 port-security port-mode psk
 port-security tx-key-type 11key
 port-security preshared-key pass-phrase cipher $c$3$QipSiXdB2H6nXNSizO6piMfDWv7XExVf0/mX
#
interface WLAN-ESS1
 port link-type hybrid
 port hybrid vlan 1 200 untagged
 port hybrid pvid vlan 200
 port-security max-mac-count 100
 port-security port-mode psk
 port-security tx-key-type 11key
 port-security preshared-key pass-phrase cipher $c$3$puBEFiTQjd8cMAlgg3+bLmYznAZ40QISFsSZPvob

#
wlan ap ap-1 model WA2620i-AGN id 6
 serial-id 219801A0CMC165000533
 radio 1
  service-template 1
  service-template 2
  service-template 3
  radio enable
 radio 2
  service-template 1
  service-template 2
  service-template 3
  radio enable

#
wlan ap ap-2 model WA2620i-AGN id 5
 serial-id 219801A0CMC165000623
 radio 1        
  service-template 1
  service-template 2
  service-template 3
  radio enable
 radio 2
  service-template 1
  service-template 2
  service-template 3
  radio enable

#
wlan ips
 malformed-detect-policy default
 signature deauth_flood signature-id 1
 signature broadcast_deauth_flood signature-id 2
 signature disassoc_flood signature-id 3
 signature broadcast_disassoc_flood signature-id 4
 signature eapol_logoff_flood signature-id 5
 signature eap_success_flood signature-id 6
 signature eap_failure_flood signature-id 7
 signature pspoll_flood signature-id 8
 signature cts_flood signature-id 9
 signature rts_flood signature-id 10
 signature addba_req_flood signature-id 11
 signature-policy default
 countermeasure-policy default
 attack-detect-policy default
 virtual-security-domain default
  attack-detect-policy default
  malformed-detect-policy default
  signature-policy default
  countermeasure-policy default

13.无线AP FIT和FAT模式切换

需要准备好 3cdaemon 和 FAT 固件

13.1 切换至FAt

format flash:    格式化硬盘
sys
int vlan 1
ip add 192.168.1.1 255.255.255.0

tftp 192.168.1.2 get wa2600a_fat.bin  从tftp服务器下载
dir flash:
boot-loader file flash:/wa2600a_fat.bin  安装FAT固件，重启即可

13.2 切换至FIT

管理地址：192.168.0.50 h3capadmin

1	ap-mode fit

接入AC后，AP会自动去找AC下载fit固件并安装，使用UDP端口 5246 5247

14.开启snmp监控

设置SNMP基本信息，包括版本、团体名。

system-view
[Sysname] snmp-agent sys-info version v1 v2c
[Sysname] snmp-agent community read public
[Sysname] snmp-agent community write private

设置交换机的联系人和位置信息，以方便维护。

1 2	[Sysname] snmp-agent sys-info contact Mr.Wang-Tel:3306 [Sysname] snmp-agent sys-info location telephone-closet,3rd-floor

允许向网管工作站（NMS）1.1.1.2/24发送Trap报文，使用的团体名为public。

1 2	[Sysname] snmp-agent trap enable [Sysname] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname public v1

15.一些异常信息查看/捕获

查看CPU使用率

1	dis cpu-usage

查看内存使用率

1	dis memory

查看设备温度

1	dis environment

查看设备汇总信息

1	dis device verbose

查看风扇信息

dis fan

查看电源信息

dis power

查看时间

dis clock

其它信息查看

dis wlan ap all | in XX -------XX可是是序列号也可以是mac地址，也可是名字的中间字母
dis wlan ap name XX ----- 查看AP当前的在线情况
dis wlan ap name XX verbose ---- 查看AP的详细情况
dis wlan ap name XX address 查看AP的ip地址
dis wlan ap all address ----- 查看当前所有Ap的ip地址
dis wlan client ap XX ----查看当前AP的用户数

16.无线绝对功率dbm换算

16.1 经验算法

有个简便公式：0dbm=0.001w 左边加10=右边乘10
所以0+10DBM=0.00110W 即10DBM=0.01W
故得20DBM=0.1W 30DBM=1W 40DBM=10W
还有左边加3=右边乘2，如40+3DBM=102W，即43DBM=20W，这些是经验公式，蛮好用的。
所以-50DBM=0DBM-10-10-10-10-10=1mw/10/10/10/10/10=0.00001mw。

16.2 2.4G频段发射频率

1 2412MHz 2401/2423MHz 
2 2417MHz 2406/2428MHz 
3 2422MHz 2411/2433MHz 
4 2427MHz 2416/2438MHz 
5 2432MHz 2421/2443MHz 
6 2437MHz 2426/2448MHz 
7 2442MHz 2431/2453MHz 
8 2447MHz 2436/2458MHz 
9 2452MHz 2441/2463MHz 
10 2457MHz 2446/2468MHz 
11 2462MHz 2451/2473MHz 
12 2467MHz 2456/2478MHz 
13 2472MHz 2461/2483MHz

16.3 5G 5.8G(5.8GHz)频谱各信道及对应频率

Channel Spectrum Width(信道带宽): 40MHZ

42-5210MHZ  5.21GHz
50-5250MHZ  5.25GHz
58-5290MHZ  5.29GHz
152-5760MHZ  5.76GHz
160-5800MHZ  5.8GHz

Channel Spectrum Width(信道带宽): 20MHZ

36-5180MHZ  5.18GHz
40-5200MHZ  5.2GHz
44-5220MHZ  5.22GHz
48-5240MHZ  5.24GHz
52-5260MHZ  5.26GHz
56-5280MHZ  5.28GHz
60-5300MHZ  5.3GHz
64-5320MHZ  5.32GHz
149-5745MHZ  5.745GHz
153-5765MHZ  5.765GHz
157-5785MHZ  5.785GHz
161-5805MHZ  5.805GHz
165-5825MHZ  5.825GHz

注:大多数5.8G玻璃钢天线工作频率都在5725MHZ-5850MHZ

17.无线信号传输损耗

无线信号测试软件(WirelessMon).rar

水泥墙(15~~25cm): 10~~12dB
红砖水泥墙（15-25cm）：13～18dB
空心砌块砖墙：4～6dB
木板墙（5-10cm）：5～6dB
简易石膏板墙：3～5dB
玻璃，玻璃窗（3-5cm）：6～8dB
木门：3～5dB
金属门：6～8dB
空心砌块砖墙：4～6dB
当AP与终端隔一座水泥墙时,AP的可传送覆盖距离约剩下< 5米有效距离。
当AP与终端中间隔一座木板墙时, AP 的传送距离约剩下< 15米有效距离。
当AP与终端中间隔一座玻璃墙时, AP 的传送距离约剩下< 15米有效距离。
常见建筑材料对射频信号的衰减情况表：
木材、塑料、合成材料、玻璃、石棉，衰减低；
水、砖、大理石面、装饰纸，衰减中等；
混凝土、钢化玻璃，衰减高；
金属，衰减很高；
终端接收信号电平计算公式：
P（dBm）＝WLAN设备发射功率－馈线损耗＋天线增益－空间衰减－阻挡损耗

18.WLAN网络应用策略配置

禁止弱信号客户端接入

1	wlan option client-reject 15

报文发送公平调度机制

1	wlan option fair-schedule enable

忽略弱信号无线报文

1	wlan option signal-ignore 15

802.11n报文发送抑制

1	wlan option dot11n-restraint packet-number 8 packet-length 6000

基于连接状况的流量整形

1	wlan option traffic-shaping enable

调整AP间信道共享

1	wlan option channel-share 30

调整AP间信道重用

1	wlan option channel-reuse 5

禁止组播报文缓存

1	undo wlan option broadcast-buffer enable

主动触发无线客户端重连接

1	wlan option client-reconnect-trigger 20 signal-check

配置逐包功率控制应用策略

1	wlan option tpc enable

beacon帧发送时间 beacon-interval 160

1 2	wlan radio-policy radiopolicy1 beacon-interval 160

wlan option client-reject 15 //拒绝信号强度低于15的客户端接入
wlan option signal-ignore 15 //忽略信号强度低于15的信号影响
wlan option traffic-shaping enable //根据链路质量对流量进行整形
wlan option fair-schedule enable //配置报文发送公平调度机制

19.版本下载链接

http://h3c.com/cn/d_201708/1024200_30005_40.htm
账号：yx800 密码：01230123

华3官服：400-810-0504