Juniper华为H3C设备维护常用命令.docx

JUniPeJ华为H3C设备维护常用命令1、Router&Swithc华为/H3C设备常规巡检命令#系统时间displayclock#系统以及各单板软件版本displayversion#设备温度displayenvironment#日志信息displaylogbuffer#单板运行状态displaydevice#电源状态displaydevice#风扇状态displaydevice#CPU占用状态displaycpu-usage#内存占用率displaymemorylimit#接口流量displayinterface#接口、链路状态displayinterface#地址分配displaycurrent-configurationinterface#路由扩散displaycurrent-configurationincludeospf#OSPF(OpenShortestPathFirst)配置displayrouterid#路由信息displayiprouting-table# 端口统计数据displayipinterface# 当前配置文件displaycurrent-configuration# 保存配置文件displaysaved-configuration端口使用状态displayinterfaceGigabitEthernetZTen-GigabitEthernetbriefVLAN使用状态displayipinterfacebrief2、脚本一华为displayversiondispatch-informationdisplayclockdisdustproofdisframe-typedishealthdisplaycpu-usagedisplaymemorydisplaymemorylimitdisplaydevicedisplaydevicemanuinfodisplaypowerdisplayfandisplayvoltagedircfcard2:/dircfcard:displaydevicepic-statusdisswitchoverstatedisplayenvironmentdisplayinterfacedisplaylogbufferdisalarmdisbootromethernetdisplaycurrent-configurationdisplaycurrent-configurationinterface#displayrouteriddisplayiprouting-tabledisplayipinterfacedisplayipinterfacebriefdisplaycurrent-configurationdisplaysaved-configurationdisplaydiagnostic-information3、脚本一华为NE40edisplayversion查看VRP版本等信息dispatch-information查看版本补丁displayclock查看时钟dis dustproof Dis frame-type dis health display cpu-usage display memory防尘网信息显示NE40E机框类型显示系统资源的使用情况查看1分钟CPU利用率查看内存使用情况displaymemorylimitdisplaydevice查看母板信息displaydevicemanuinfodisplaypower查看电源状态displayfan查看风扇状态displayvoltage查看板卡电压dircfcard2:/查看设备CraSh信息dircfcard:查看设备cf卡信息displaydevicepic-status查看子卡型号，序列号(NE40ENE80E)disswitchoverstate查看引擎HA情况displayenvironmentdisplayinterface查看接口状态displaylogbuffer查看日志disalarm查看设备告警disbootromethernet查看设备bootrom信息displaycurrent-configuration查看当前配置displaycurrent-configurationinterface#查看设备当前接口配置displayrouterid查看设备路由IDdisplayiprouting-table查看设备路由displayipinterface查看设备接口情况displayipinterfacebrief查看设备接口状态displaycurrent-configuration查看设备当前配置displaysaved-configuration查看设备内存配置(相当ShoWStart)displaydiagnostic-information抓取设备完整信息相对于showtech二、JUNIPER设备常用维护巡检命令1、脚本一川NIPERshowsystemuptimeshowversiondetailshowchassishardwaredetailshowchassisenvironment显示设备的环境信息，包括温度、风扇状况、电源状况、路由引擎状况。showchassisrouting-engineshowchassisfirmwareshowconfigurationshowchassisfpcdetailshowinterfaceshowinterfacesterseshowchassisalarmsshowsystemalarmsshowlogmessagesno-moreshowlogchassisdIno-moreshowloglogfileDisplaysshowchassissfmReportsshowsystemboot-messagesshowsystemcore-dumpsshowsystemprocessesextensiveshowpfestatisticserrorshowchassisrouting-engineshowsystemstorageshowsystemvirtual-memoryshowsystembuffershowsystemqueuesshowsystemstatisticsshowconfigurationexceptSECRET-DATAshowinterfacesextensiveshowchassishardwareextensive2、脚本一JuniperFirewallgetsystemgetconfiggetlogeventgetfilitergetpercpudetailgetsessioninfogetpersessiondetailgetmac-learngetalarmeventgettechgetlogsystemgetchassis基本命令1. getint查看接口配置信息2. getintethx/x查看指定接口配置信息3. getmip查看映射ip关系4. getroute查看路由表5. getpolicyidX查看指定策略6. getnsrp查看nsrp信息，后可接参数查看具体VSd组、端口监控设置等7. getpercpude查看CPU利用率信息8. getpersessionde查看每秒新建会话信息9. getsession查看当前会话信息，后可匹配源地址、源端口、目的地址、目的端口、协议等选项10. getsessioninfo查看当前会话数量11. getsystem查看系统信息、包括当前OS版本，接口信息，设备运行时间等12. getChaiss查看设备及板卡序列号，查看设备运行温度13. getcounterstat查看所有接口计数信息14. getcounterstatethx/x查看指定接口计数信息15. getcounterflowzoneuntrust/untrust查看指定区域数据流信息16. getcounterscreenzoneuntrust/trust查看指定区域攻击防护统计信息17. gettech-support查看设备状态命令集，一般在出现故障时，收集该信息寻求JTAC支持常用设置命令Setintethx/xzonetrust/untrust/dmz/ha配置指定接口进入指定区域(trust/UntrUStdmzha等)Setintethx/xipx.x.x.x/xx配置指定接口ip地址Setintethx/xmanage配置指定接口管理选项，翻开所有管理选项Setintethx/xmanageweb/telnet/ssl/ssh配置指定接口指定管理选项Setintethx/xphyfull100mb配置指定接口速率及双工方式Setintethx/xphylink-down配置指定接口shutdownSetnsrpvsdid0monitorinterfaceethx/x配置ha监控端口，如此端口断开，那么设备发生主/备切换Execnsrpvsd0modebackup手工进展设备主/备切换，在当前的主设备上执行setroute0.0.0.0/)interfaceethernetlgateway222.92.116.33配置路由，需同时指定下一跳接口及ip地址所有set命令，都可以通过unset命令来取消，相当于cisco中的no所有命令都可以通过“TAB”键进展命令补全，通过来查看后续支持的命令防火墙基本配置1 .登录createaccountadminuser<username>回车输入密码：再次输入密码：configureaccountadmin回车输入密码：再次输入密码：2 .port配置configports<portlist>autooffspeed101001000duplexhalffullautooff无论是核心还是接入层，都要先创立三个Vlan,并且将所有归于DefaultVlan的端口删除：configvlandefaultdelportallcreatevlanServercreatevlanUsercreatevlanManger定义802.1q标记configvlanServertag10configvlanUsertag20configvlanMangertag30设定VIan网关地址：configvlanServeripa192.168.41.1/24configvlanUseripa192.168.40.1/24configvlanMangeripa192.168.*.*24Enableipforwarding启用ip路由转发，即Vlan间路由Trunk配置configvlanServeraddport1-31configvlanUseraddport1-31configvlanmangeraddport1-314 .VRRP配置enablevrrpconfigurevrrpaddvlanUserVIanconfigurevrrpvlanUserVIanaddmastervrid10192.168.6.254configurevrrpvlanUserVIanauthenticationsimple-passwordextremeconfigurevrrpvlanUserVIanvrid10priority200configurevrrpvlanUserVIanvrid10advertisement-interval15configurevrrpvlanUserVIanvrid10preempt5 .端口镜像配置首先将端口从VLAN中删除enablemirroringtoport3#选择3作为镜像口configmirroringaddport1#把端口1的流量发送到3configmirroringaddport1vlandefault#把1和vlandefault的流量都发送到36 .port-channel配置enablesharing<port>grouping<portlist>port-basedaddress-basedIround-robinshowportsharing查看配置7 .stp配置enablestpd启动生成树createstpdstp-name创立一XQ生成树configurestpd<spanningtreename>addvlan<vlanname>ports<portlist>dotldemistppvst-plusconfigurestpdstpdlpriority16384configurevlanmarketingaddports2-3stpdstpdlemistp8 .DHCP中继配置enablebootprelayconfigbootprelayadd<dhcpserverip>9 .NAT配置Enablenat#启用natStaticNATRuleExampleconfignataddout_vlan_lmapsource192.168.1.122to216.52.8.3¾32DynamicNATRuleExampleconfignataddout_vlan_lmapsource192.168.1.0/24to216.52.8.1-216.52.8.31PortmapNArRuleExampleconfignataddOUJVIan_2mapsource192.168.2.0/25to216.52.8.32/28bothportmapPortmapMin-MaxExampleconfignataddout_vlan_2mapsource192.168.2.1225to2165286*8tcpportmap1024-819210.OSPF配置enableospf启用OSPF进程createospfarea<areaidentifier>仓（J立OSPF区域configureospfrouteridautomatic<routerid>配置Routeridconfigureospfaddvlan<vlanname>allarea<areaidentifierpassive）把某个vlan加到某个Area中去，相当于Cisco中的network的作用configureospfarea<areaidentifier>addrange<ipaddress><mask>advertisenoadvertisetype-3type-7把某个网段加到某个Area中去，相当于Cisco中的network的作用configureospfvlan<vlanname>neighboradd<ipaddress>OSPF中路由重发布配置enableospfexportdirectcost<metric>ase-type-1ase-type-2tag<number><routemap>enableospfexportstaticcost<metric>ase-type-1ase-type-2tag<number><routemap>enableospforiginate-defaultalwayscost<metric>ase-type-1ase-type-2tag<number>enableospforiginate-router-id11.SNMP配置enablesnmpaccessenablesnmptrapscreateaccess-profile<accessprofile>typeipaddressvlanconfigsnmpaccess-profilereadonly<access_profile>none配置snmp的只读访问列表，none是去除configsnmpaccess-profilereadwrite<access_profile>none这是控制读写控制configsnmpaddtrapreceiver<ipaddress>port<udp_port>community<communitystring>from<sourceipaddress>配置snmp接收host和团体字符串12 .安全配置disableip-optionloose-source-routedisableip-optionstrict-source-routedisableip-optionrecord-routedisableip-optionrecord-timestampdisableIpforwardingbroadcastdisableudp-echo-serverdisableirdpvlan<vlanname>disableicmpredirectdisableweb关闭web方式访问交换机enablecpu-dos-protect13 .Access-Lists配置createaccess-listicmpdestinationsourcecreateaccess-listipdestinationsourceportscreateaccess-listtcpdestinationsourceportscreateaccess-listudpdestinationsourceports14 .默认路由配置configiprouteadddefault<gateway>15 .恢复出厂值但不包括用户改的时间和用户帐号信息unconfigswitchall16 .检查配置showversionshowconfigshowsessionshowmanagement查看管理信息，以及snmp信息showbannershowportsconfigurationshowportsutilization?showmemory/showcpu-monitoringshowospfshowaccess-list<name>port<portlist>showaccess-list-monitorshowospfarea<areaidentifiershowospfareadetailshowospfase-summaryshowospfinterfacesvlan<vlanname>area<areaidentifier>unconfigureospfvlan<vlanname>area<areaidentifierswitchshowswitchshowconfigshowdiagshowiparpshowiprouteshowipstatshowlogshowtechallshowversiondetail17 .备份和升级软件downloadimage<hostname><ipaddress><filename>primarysecondaryuploadimage<hostname><ipaddress><filename>primarysecondaryuseimageprimarysecondary18 .密码恢复。EXtreme交换机在你丧失或忘记密码后，需要重新启动交换机，常按空格键，进入BOOtrOm模式，输入“h，选择“d:ForceFactorydefaultconfiguration""去除配置文件，最后选择“f:Bootonboardflash*重新启动后密码会被去除掉。注意：恢复密码后，以前的配置文件将会被清空。对于extremex450e-48p进入bootrom后输入h,然后boot1回车即可18.switchIicese的添加enableIicesexxxx-xxxx-xxxx-xxxx-xxxx会提示添加成功，显示AdvancedEdge为成功HN-HUAIHUA-ANQUAN-LS1.33#showlicensesEnabledLicenseLevel:AdvancedEdgeEnabledFeaturePacks:None步骤：a,HN-HUAIHUA-ANQUAN-LS1.34#showversionSwitch:800190-00-040804G-80211Rev4.0BootROM:1.0.2.2IMG:11.6.1.9XGM2-1:Image:ExtremeXOSversion11.6.1.9vll61b9byrelease-manageronWedNov2922:40:47PST2006BootROM:1.0.2.2其中0804G-80211为交换机的SerialnUmberb然后在装有Iicese的信封里找到VOUCherserialnumberc根据这两个serialnumber在指定网站上查找Iiceses的key共16位，d然后enableIicese输入key值即可NS系列防火墙安装与管理NetScreen防火墙支持多种管理方式：WEB管理，CLI(TeInet)管理等，由于一般调试工作中，我们最常用的也就是前面两种。（ScreenOS4.0）首先，使用CoNSe）LE口进展配置1.把配送的线的一端插在防火墙的CONSOLE,线的另一端插在转换插头后插在PC的串行口上。2,翻开WINDOWS的附件?通讯?超级终端，选择插有CONSOLE线的串口连接。（设置串口属性：96008无-硬件）3,出现提示符号后输入帐号密码进入设置命令行界面。（默认帐号：NetSCreen;密码Netscreen）4,进入Netscreen命令行管理界面Web管理连接设置1.设置接口IP假设所有接口均未配置IPfNetscreen设备初始化设置），需设置一个端口通用于连接Web管理界面，这里设置trust端口;在命令行模式下输入：ns5XT->setinttrustip*命令说明：A.BCD为IP地址，通常设置为一个内网地址，E为IP地址的掩码位，通常设为24。此时通过getinterface命令可以看到端口状态的信息（类似CISCOSHOW接口命令）2 .启动接口的web管理功能ns5XT->setinttrustmanageweb3 .连通PC和防火墙间的网络通过浏览器的web界面进展具体功能设置DW,建设对于NS-5,NS-10zNS-100防火墙，PC与trust口，DMZ采用直通电缆连接，PC与untrust口的连接采用穿插线。对于NS-25,NS-200及以上产品，PC与防火墙所有端口的连接都采用直通电缆。注意：将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内；翻开IE浏览器，键入防火墙的管理IP,翻开登陆画面；防火墙基本设置1.设置访问超时时间：Web:在Web中的Configuration>Admin>Management中的EnabelWebManagementIdIeTimeout中填入访问超时的分钟数，并在前面打勾。CLI:NS5XT->setadminauthtimeout2.Netscreen的管理权限：设置超级管理员（Root）WEB：进入Configuration>Admin>Administrators,在这里可以管理所有的管理员oCLI：DNS5XT->setadminnameNS5XT->setadminpassword添加本地管理员WEB：点击New链接，翻开配置页。输入管理员登录名和密码，指定权限（可选ALL或ReadJ）NLY,ALL表示该管理员具有更改配置的权限，READ-ONLY表示该管理员只能查看配置，无权更改）。CU:DNS5XT->setadminuserpasswordprivilege<p>3 .设置DNSWeb：翻开Network>DNS页面,可配置HostName住机名），DomainName（域名），PrimaryDNSSerVer（主域名服务器），SecondDNSSerVer（副哉名服务器），还有DNS每天更新的时间。配置完后按Apply按键实施。NS5XT->sethostnamehMRr6NS5XT->setdomainBNS5XT->setDNShost4 .设置ZOne（安全区域）Web：翻开Network>Zones页面，可配置已存在于Netscreen设备的所有Zone（并不是所有Zone都可以配置，有许多默认的ZOne是不允许配置的,在COnfigUre中不会出现Edit）。按New按键可以新增一个ZoneoCLI：hoNS5XT->setzonevrouter0WV6jS5 .设置Interface（接口）vWEB：翻开Network>lnterfaces,选择需要配置的接口对应的属性页（有四个可选接口Trust、Untrust>DMZ和Tunnel,其中Trust、Untrust和DMZ为物理接口，TUnnel接口为逻辑接口，用于VPN。对于ns5系列防火墙，无DMZ端口）。点击对应接口COnfigUre列中的Edit链接，翻开接口配置窗口。（对于不同模式的Interface,进入后的配置会不同，这里用NAT模式做例子，透明模式会少一些配置的内容）Zonename:设置附属的安全区域；IPAddress/Netmask：设置接口的IP和掩码；ManageIP：设置该接口的管理用IP,该IP必须与接口IP处在同一个网络段中，如果系统IP被设为0.0.0.0,那么该ManageIP默认为接口IPoInterfaceMode：设置接口模式，仅trust接口具有该项。可以选择NAT模式或Route模式。当trust接口工作在NAT模式时，任何进入该接口的数据包都会被强制做地址转换。当接口工作在Route模式时，防火墙的默认工作相当与一台路由器，如果要将防火墙实现基于策略的NAT功能，请将trust接口设置成此模式。ManagementServices：选中或去除web>telnet>snmp等复选框可以启用或制止该接口的相应管理功能。如去除Web复选框，再点击SaVe按钮后，该接口的web管理功能关闭,用户无法通过该接口的管理ip进入web管理界面，同时在该接口上的所有web管理连接都将丧失。wF=W.da2设置完成后点击APPly按钮记录设置。CLI：设置接口IP:NS5XT->setinterfaceip设置接口网关：$NS5XT->setinterface<trustuntrustdmz>gatewayJ启动接口的管理功能：NS5XT->setinterfacemanage关闭接口的管理功能：NS5XT->unsetinterfacemanage设置Trust接口工作模式：NS5XT->setinterfacetrust结合OJ和WEB方式，我们能很轻松的将NS搞定。