华为交换机配置模版脚本

华为交换机配置模版脚本
总体模版
sys
user-interface vty 0 4
authentication-mode password
set authentication password cipher sdsy/sdsy user privilege level 15
qui
user-interface conso 0
authentication-mode password
set authentication password cipher sdsy/sdsy qui
ip route-static 0.0.0.0 0.0.0.0 10.1.1.3
vlan 39
qui
int vlan 1
qui
undo int vlan 1
vlan 255
int vlan 255
ip add 10.1.1.202 24
int g0/0/8
port link-type trunk
port trunk allow-pass vlan all
qui
int range g0/0/1 to g0/0/7
port link-typ access
port defaul vlan 39
stp edged-port enable
loopback-detection enable
exit
errdisable recovery cause loopback-detetion errdisable recovery interval 60
dhcp-snooping enable
int range g0/0/8
dhcp-snooping trust
dhcp enable
3A认证
Aaa
local-user meng password cipher meng privilege level 15
User-interface vty 0 4
Authentication mode aaa
端口聚合
创建聚合组命令如下：
[S9303]interface Eth-Trunk1 //聚合组名称为ETH-Trunk1
[S9303-Eth-Trunk1]description To-S9303-2 //描述
[S9303-Eth-Trunk1]undo port hybrid vlan 1 //去掉VLAN1的透传
[S9303-Eth-Trunk1]port hybrid tagged vlan 100 to 200 //VLAN透传
3
进入端口，将端口加入聚合组，命令如下:
[S9303]interface GigabitEthernet1/1/16 //进入G1/1/16端口[S9303-GigabitEthernet1/1/16]description To-S7810-G7/0/31 //端口描述
[S9303-GigabitEthernet1/1/16]eth-trunk 1 //加入聚合组1
[S9303]interface GigabitEthernet1/1/17 //进入G1/1/17端口[S9303-GigabitEthernet1/1/17]description To-S7810-G7/0/30 //端口描述
[S9303-GigabitEthernet1/1/17]eth-trunk 1 //加入聚合组1
dhcp enable
#
dhcp snooping enable
user-bind static ip-address 192.168.1.200 －－－保留手动分配的地址，不加保留的手动分配的地址没法使用
user-bind static ip-address 192.168.1.201 mac-address 4c1f-cc58-379e －－保留手动分配的地址和MAC地址捆绑
#
interface Vlanif1000
ip address 192.168.1.1 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 192.168.1.200 192.168.1.254 －－－保留手动分配的地址段
expired day 0 hour 5
dhcp server forbidden-ip 192.168.2.201 192.168.2.253
display dhcp client
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 1000
ip source check user-bind enable
ip source check user-bind check-item ip-address mac-address
dhcp snooping enable
dhcp snooping check user-bind enable
expired day 0 hour 5
dhcp server forbidden-ip 192.168.2.201 192.168.2.253
display dhcp client
镜像命令：
Mirroring-group 2 local 创建组
Int g0/0/1
Mirroring-group 2 mirroring-port both 设置被监控对象
Int g0/0/2
Mirroring-group 2 monitor-port Sniffer口
备份和恢复
Tftp 1.1.1.1 put vrpcfg.cfg 22-hw-22.cfg
下载
Tftp 2.2.2.2 get 23-hw22.cfg vrpcfg.vfg
Privilege levle
sysname HuaWei_test
super password level 1 cipher 456123
DHCPIP-MAC绑定#############################
dhcp snooping bind-table static ip-address 192.168.6.254 mac-address 0000-1111-1234 interface Ethernet 0/0/2 （1）将IP192.168.1.100 mac 0001-0002-0003 固定到接口上interface GigabitEthernet 0/0/1 user-bind static ip-address 192.168.1.100 mac-address 0001-0002-0003 interface GigabitEthernet 0/0/1 vlan 10
（2）接口上启用：
ip source check user-bind enable
即可：
具体配置过程如下：
Ip+mac+端口绑定
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]
[Huawei]vlan 10 //在设备上创建vlan 10
[Huawei-vlan10]quit
[Huawei]inter gi0/0/1 //进入接口视图
[Huawei-GigabitEthernet0/0/1]port link-type access //指定接
口为access类型：可直接接电脑或是服务器的那种类型
[Huawei-GigabitEthernet0/0/1]port default vlan 10 // 将接口划入vlan 10;
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]user-bind static ip-address 192.168.1.100 mac-address 0001-0002-0003 interface GigabitEthernet 0/0/1 vlan 10 //在全局模式下，将IP地址（192.168.1.100），MAC地址（0001-0002-0003），具体接口（GigabitEthernet 0/0/1），//和接口所属vlan(10),绑定到一起。

[Huawei]inter gi0/0/1
[Huawei-GigabitEthernet0/0/1]ip source check user-bind enable
// 在本接口上，检查通过的IP源地址，即启用源地址检查功能；
Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done.
[Huawei-GigabitEthernet0/0/1]di this //查看接口配置：
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
ip source check user-bind enable
return
[Huawei-GigabitEthernet0/0/1]
查看防ARP/DHCP/ICMP收到的数量display auto-defend attack-source detail
----------------------------------------------------
MAC Address XXXX-XXXX-XXXX-XXXX Interface GigabitEthernet0/0/2 VLAN: Outer/Inner 0
ARP: 16
DHCP: 980592
ICMP: 982336
Total 1962944
----------------------------------------------------
----------------------------------------------------
MAC Address XXXX-e623-7bce Interface GigabitEthernet0/0/2 VLAN: Outer/Inner 0
DHCP: 34416
ICMP: 12352
Total 46768
----------------------------------------------------
Pppoe设置
interface Dialer1
link-protocol ppp
ppp pap local-user 28#######1 password simple …………&……&9 ip address ppp-negotiate
dialer user 28#######1
dialer bundle 1
dialer-group 1
nat outbound 3001
#
interface Ethernet0/1
pppoe-client dial-bundle-number 1
ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60
#
配置802.1x认证示例
组网需求
如图1所示，要求如下：
对GE1/0/0接口上的接入用户进行802.1x认证，以控制其访问Internet，接入控制方式采用缺省方式，即基于MAC的接入控制方式。

认证成功之前，用户通过浏览器访问外部网络会被重定向至WEB 服务
器，进行802.1X客户端的下载及安装；认证成功之后，用户可直接访问网络。

使用RADIUS服务器完成认证。

GE1/0/0接口最大接入用户数为100。

对GE1/0/0接口下的打印机采用MAC旁路认证。

配置思路
用如下的思路配置802.1x认证。

1.配置RADIUS服务器模板。

2.配置AAA认证模板。

3.配置域。

4.配置802.1x认证。

数据准备
为完成此配置举例，需要准备如下数据：
RADIUS服务器IP地址，认证端口号。

RADIUS服务器密钥为hello，重传次数为2。

AAA认证方案abc。

RADIUS服务器模版rd1。

域isp1。

免认证IP网段。

HTTP访问的重定向URL。

说明：
本案例只包括Switch的配置，RADIUS服务器的配置这里不做相关说明。

操作步骤
1.配置各接口的IP地址（略）
2.配置RADIUS服务器模板
# 配置RADIUS服务器模板rd1。

[Quidway] radius-server template rd1
# 配置RADIUS主用认证服务器的IP地址、端口。

[Quidway-radius-rd1] radius-server authentication 192.168.2.30 1812 # 配置RADIUS服务器密钥、重传次数。

[Quidway-radius-rd1] radius-server shared-key simple 123 [Quidway-radius-rd1] radius-server retransmit 2
[Quidway-radius-rd1] quit
3.配置认证方案，认证方案abc，认证方法为RADIUS
4.[Quidway] aaa
5.[Quidway–aaa] authentication-scheme abc
6.[Quidway-aaa-authen-abc] authentication-mode radius
[Quidway-aaa-authen-abc] quit
7.配置isp1域，绑定认证方式和RADIUS服务器模板
8.[Quidway-aaa] domain isp1
9.[Quidway-aaa-domain-isp1] authentication-scheme abc
10.[Quidway-aaa-domain-isp1] radius-server rd1
11.[Quidway-aaa-domain-isp1] quit
[Quidway-aaa] quit
12.配置802.1x认证
# 在全局和接口下使能802.1x认证。

[Quidway] dot1x enable
[Quidway] interface gigabitethernet1/0/0
[Quidway-GigabitEthernet1/0/0] dot1x enable
# 配置允许接入的最大用户数。

[Quidway-GigabitEthernet1/0/0] dot1x max-user 100
# 配置MAC旁路认证。

[Quidway-GigabitEthernet1/0/0] dot1x mac-bypass
[Quidway-GigabitEthernet1/0/0] quit
# 配置802.1x快速部署功能。

[Quidway] dot1x free-ip 192.168.3.0 24
[Quidway] dot1x url 192.168.3.30
[Quidway] quit
13.检查配置结果
用户通过ping Free IP网段中的地址，验证用户在802.1X认证成功之前可以访问免认证网段，且
通过浏览器访问任何外部网站都会被重定向到WEB server页面，此页面提供客户端的下载服务。

在Switch执行命令display dot1x interface，可以看到802.1x 配置信息和统计信息。

display dot1x interface gigabitethernet1/0/0
GigabitEthernet1/0/0 status: UP 802.1x protocol is Enabled[mac-bypass] Port control type is Auto
Authentication method is MAC-based
Reauthentication is disabled
Maximum users: 100
Current users: 1
Guest VLAN is disabled
Critical VLAN is disabled
Restrict VLAN is disabled
Authentication Success: 4 Failure: 0
EAPOL Packets: TX : 8 RX : 16
Sent EAPOL Request/Identity Packets : 4
EAPOL Request/Challenge Packets : 4
Multicast Trigger Packets : 0
EAPOL Success Packets : 4
EAPOL Failure Packets : 0
Received EAPOL Start Packets : 4
EAPOL LogOff Packets : 3
EAPOL Response/Identity Packets : 4
EAPOL Response/Challenge Packets: 4
配置文件
#
sysnameQuidway
#
dot1x enable
dot1x url 192.168.3.30 dot1x free-ip 192.168.3.0 255.255.255.0
#
radius-server template rd1
radius-server shared-key simple 123
radius-server authentication 192.168.2.30 1812
radius-server retransmit 2
#
aaa
authentication-scheme abc
authentication-mode radius
domain isp1
authentication-scheme abc
radius-server rd1
#
interface GigabitEthernet1/0/0 dot1x mac-bypass
dot1x max-user 100
#
return。