华为交换机各种配置实例网管必学
华为路由器交换机配置命令大全
华为路由器交换机配置命令大全华为路由器交换机配置大全本文提供XXX路由器交换机的配置命令,包括计算机命令和交换机命令。
一、计算机命令以下是一些常用的计算机命令:shutdown-hnow;关机init 0;关机logout;用户注销login;用户登录ifconfig;显示IP地址ifconfig eth0 netmask;设置IP地址ifconfig eht0 netmask down;禁用IP地址route add 0.0.0.0 gw;设置网关route del 0.0.0.0 gw;删除网关route add default gw;设置网关route del default gw;删除网关route;显示网关ping;发ECHO包;远程登录二、XXX路由器交换机配置命令以下是一些常用的XXX路由器交换机配置命令:Quidway]dis cur;显示当前配置Quidway]display n;显示当前配置Quidway]display interfaces;显示接口信息Quidway]display vlan;显示vlan信息Quidway]display n;显示版本信息Quidway]super password;修改特权用户密码Quidway]sysname;交换机命名Quidway]XXX;进入接口视图Quidway]interface vlan x;进入接口视图Quidway-Vlan-interface x]ip address 10.65.1.1 255.255.0.0;配置VLAN的IP地址Quidway]Ip route-static 0.0.0.0 0.0.0.0 10.65.1.2;静态路由=网关Quidway]rip;rip协议Quidway]local-user ftpQuidway]user-interface vty 0 4;进入虚拟终端S3026-ui-vty0-4]n-mode password;设置口令模式首先,这篇文章需要进行重新排版和编辑,以便更清晰地传达信息。
华为ospf配置命令_【总结】:华为、H3C、锐捷三家交换机配置命令详解【转】
华为ospf配置命令_【总结】:华为、H3C、锐捷三家交换机配置命令详解【转】⼀直以来,对于华为、H3C、锐捷交换机的命令配置,不断的有朋友留⾔,三家交换机的配置命令容易弄混,经常在实际项⽬配置中出错,因此,本期我们将来介绍这三家交换机的基础配置命令,⼤家可以分别来看下他们的命令有什么不同。
为了让⼤家更加清楚,每⾏代码都有解释。
⼀、华为交换机基础配置命令1、创建vlan://⽤户视图,也就是在Quidway模式下运⾏命令。
system-view //进⼊配置视图[Quidway] vlan 10 //创建vlan 10,并进⼊vlan10配置视图,如果vlan10存在就直接进⼊vlan10配置视图[Quidway-vlan10] quit //回到配置视图[Quidway] vlan 100 //创建vlan 100,并进⼊vlan100配置视图,如果vlan10存在就直接进⼊vlan100配置视图[Quidway-vlan100] quit //回到配置视图2、将端⼝加⼊到vlan中:[Quidway] interface GigabitEthernet2/0/1 (10G光⼝)[Quidway- GigabitEthernet2/0/1] port link-type access //定义端⼝传输模式[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端⼝加⼊vlan100[Quidway- GigabitEthernet2/0/1] quit //回到配置视图[Quidway] interface GigabitEthernet1/0/0 //进⼊1号插槽上的第⼀个千兆⽹⼝配置视图中。
0代表1号⼝[Quidway- GigabitEthernet1/0/0] port link-type access //定义端⼝传输模式[Quidway- GigabitEthernet2/0/1] port default vlan 10 //将这个端⼝加⼊到vlan10中[Quidway- GigabitEthernet2/0/1] quit 3、将多个端⼝加⼊到VLAN中system-view[Quidway]vlan 10[Quidway-vlan10]port GigabitEthernet 1/0/0 to 1/0/29 //将0到29号⼝加⼊到vlan10中[Quidway-vlan10]quit4、交换机配置IP地址[Quidway] interface Vlanif100 // 进⼊vlan100接⼝视图与vlan 100命令进⼊的地⽅不同[Quidway-Vlanif100] ip address 119.167.200.90 255.255.255.252 // 定义vlan100管理IP三层交换⽹关路由[Quidway-Vlanif100] quit //返回视图[Quidway] interface Vlanif10 // 进⼊vlan10接⼝视图与vlan 10命令进⼊的地⽅不同[Quidway-Vlanif10] ip address 119.167.206.129 255.255.255.128 // 定义vlan10管理IP三层交换⽹关路由[Quidway-Vlanif10] quit5、配置默认⽹关:[Quidway]ip route-static 0.0.0.0 0.0.0.0 119.167.200.89 //配置默认⽹关。
华为交换机配置命令大全
华为交换机配置命令大全华为交换机是一种高性能、高可靠的数据通信设备,广泛应用于各种网络环境中。
为了更好地使用华为交换机,我们需要了解一些基本的配置命令。
本文将为大家详细介绍华为交换机的配置命令大全,帮助大家更好地了解和使用华为交换机。
1. 登录华为交换机。
首先,我们需要登录华为交换机进行配置。
一般来说,我们可以通过串口、Telnet或SSH方式登录交换机。
以SSH方式登录为例,我们可以使用以下命令:```shell。
ssh -l username 192.168.1.1。
```。
其中,username为登录用户名,192.168.1.1为交换机的IP地址。
登录成功后,我们需要输入密码进行验证。
2. 查看交换机当前配置。
在登录成功后,我们可以使用以下命令查看交换机的当前配置信息:```shell。
display current-configuration。
```。
这条命令可以显示出交换机当前的全部配置信息,包括接口配置、VLAN配置、路由配置等。
3. 配置交换机接口。
接下来,我们可以对交换机的接口进行配置。
比如,我们可以通过以下命令配置一个VLAN接口:```shell。
interface Vlanif1。
ip address 192.168.1.1 255.255.255.0。
```。
这条命令将为VLAN接口Vlanif1配置IP地址为192.168.1.1,子网掩码为255.255.255.0。
4. 配置交换机VLAN。
除了配置接口,我们还可以对交换机的VLAN进行配置。
比如,我们可以使用以下命令创建一个VLAN:```shell。
vlan 10。
```。
这条命令将创建一个VLAN ID为10的VLAN。
5. 配置交换机路由。
在需要进行路由配置时,我们可以使用以下命令添加静态路由:```shell。
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254。
```。
华为交换机配置命令超详解
华为交换机配置命令超详解华为3COM交换机配置命令详解1、配置文件相关命令[Quidway]display current-configuration ;显示当前生效的配置[Quidway]display saved-configuration ;显示flash中配置文件,即下次上电启动时所用的配置文件reset saved-configuration ;檫除旧的配置文件reboot ;交换机重启display version ;显示系统版本信息2、基本配置[Quidway]super password ;修改特权用户密码[Quidway]sysname ;交换机命名[Quidway]interface ethernet 0/1 ;进入接口视图[Quidway]interface vlan x ;进入接口视图;配置VLAN的IP地址;静态路由=网关3、telnet配置[Quidway]user-interface vty 0 4 ;进入虚拟终端[S3026-ui-vty0-4]authentication-mode password ;设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令[S3026-ui-vty0-4]user privilege level 3 ;用户级别4、端口配置[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率[Quidway-Ethernet0/1]flow-control ;配置端口流控[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式[Quidway-Ethernet0/1]undo shutdown ;激活端口[Quidway-Ethernet0/2]quit ;退出系统视图5、链路聚合配置[DeviceA] link-aggregation group 1 mode manual ;创建手工聚合组1[DeviceA] interface ethernet 1/0/1 ;将以太网端口Ethernet1/0/1加入聚合组1[DeviceA-Ethernet1/0/1] port link-aggregation group 1[DeviceA-Ethernet1/0/1] interface ethernet 1/0/2 ;将以太网端口Ethernet1/0/1加入聚合组1[DeviceA-Ethernet1/0/2] port link-aggregation group 1[DeviceA] link-aggregation group 1 service-type tunnel # 在手工聚合组的基础上创建Tunnel业务环回组。
华为交换机 综合配置案例
2综合配置案例关于本章2.1 中小型园区/分支出口综合配置举例2.2 大型园区出口配置示例(防火墙直连部署)2.3 大型园区出口配置示例(防火墙旁路部署)2.4 校园敏捷网络配置示例2.5 轨道交通承载网快速自愈保护技术配置举例2.6 配置交换机上同时部署ACU2和NGFW的示例2.1 中小型园区/分支出口综合配置举例园区网出口简介园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之间数据流的唯一出入口。
对于中小型企业来说,考虑到企业网络建设的初期投资与长期运维成本,一般希望将多种业务部署在同一设备上。
企业网络用户一般同时需要访问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用运营商Internet网络组建私网VPN。
对于部分可靠性要求较高的园区网络,一般考虑部署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。
华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。
l园区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需求。
l园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求。
l园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全。
l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。
配置注意事项l本配置案例适用于中小型企业园区/分支出口解决方案。
l本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。
组网需求某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部门,分支只有一个部门。
华为三层交换机配置实例一例
华为三层交换机配置实例一例服务器1双网卡,内网IP:192.168.0.1,其它计算机通过其代理上网PORT1属于VLAN1PORT2属于VLAN2PORT3属于VLAN3VLAN1的机器可以正常上网配置VLAN2的计算机的网关为:192.168.1.254配置VLAN3的计算机的网关为:192.168.2.254即可实现VLAN间互联如果VLAN2和VLAN3的计算机要通过服务器1上网则需在三层交换机上配置默认路由系统视图下:ip route-static 0.0.0.0 0.0.0.0 192.168.0.1然后再在服务器1上配置回程路由进入命令提示符route add 192.168.1.0 255.255.255.0 192.168.0.254route add 192.168.2.0 255.255.255.0 192.168.0.254这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~华为路由器与CISCO路由器在配置上的差别"华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。
例如中英文可切换的配置与调试界面,使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。
另外它的软件升级,远程配置,备份中心,PPP回拨,路由器热备份等,对用户来说均是极有用的功能特性。
在配置方面,华为路由器以前的软件版本(VRP1.0-相当于CISCO的IOS)与CISCO有细微的差别,但目前的版本(VRP1.1)已和CISCO兼容,下面首先介绍VRP软件的升级方法,然后给出配置上的说明。
一、VRP软件升级操作升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本,因为这关系到是否可以升级以及升级的方法,否则升级失败会导致路由器不能运行。
在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。
华为3系列交换机网管配置
q
ip rou 0.0.0.0 0.0.0.0 10.20.100.1 ,10.20.100.1是缺省网关,需变
int ge 0/0/1 ;上联机房的本交换机的端口
port-isolate enable ;端口隔离
q
cluster ;命令交换机上创建集群管理VLAN
mngvlanid 1001
ip-pool 2.2.2.1 255.255.255.0 ;分配集群IP地址;此IP地址可随意创建,可固定不变
port de vlan 48 ;将端口加入至端口,48是分配的业务VLAN,需改变
Байду номын сангаас三、每台交换机配置后需保存配置:
q
q
< >save ;退至用户模式后,要输入SAVE,保存配置。
VLAN 1001 ;创建VLAN 1001,网管VLAN 1001,需变
VLAN 48 ;创建VLAN 48,业务VLAN 48,需变
int vlan 1001 ;创建VLAN 1001 接口,网管VLAN接口,需变
port trunk allow-pass vlan 48 1001 ;定义此端口只允许业务VLAN和网管VLAN通过 ,48 和 1001 VLAN需变
接用户的端口配置:
int ether 0/0/3 ;定义直接接用户的端口;进入直接接用户的端口
port lin access ;定义接入类型是ACCESS类型;固定不变
int ether 0/0/3 ;定义直接接用户的端口;进入直接接用户的端口
华为交换机配置命令超详解
H3C交换机配置命令大全1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、 language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、 port link-type Access|Trunk|Hybrid 设置端口访问模式7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、 language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、配置IP地址和子网掩码7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、配置静态路由11、配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router1、调整超级终端的显示字号;2、捕获超级终端操作命令行,以备日后查对;3、 language-mode Chinese|English 中英文切换;4、复制命令到超级终端命令行,粘贴到主机;5、交换机清除配置 :reset save ;reboot ;6、路由器、交换机配置时不能掉电,连通测试前一定要检查网络的连通性,不要犯最低级的错误。
华为S1700交换机及eSight网管软件培训PPT
节能
节能 无噪音
24RJ45+4SFP(独 立)
24RJ45+4千兆光 电互斥端 口
24RJ45+4千兆光 电互斥端 口
灵活接入
以太网特性
VOICE VLAN LLDP 支持Jumbo帧 连接电缆的检测功 能VCT (Virtual Cable Test) 端口隔离
支持 支持 支持
不支持 不支持 支持
免维护设计 “一键操作” 按钮,短按重 启,长按恢复 出厂配置 中文web可视 化的界面
优异安全性能
802.1X、 RADIUS 安全
强大链路扩展 备份能力 支持LACP、 STP/RSTP, 有效实现链路 扩展及备份
认证,MAC 过滤、端口隔 离,流量限速 (最小64Kbps)
硬件参数介绍
产品 标准 S1728GWR-4P
支持Syslog(系统日志)、支持VCT、支持Ping检测/支持traceroute 支持链路层发现协议LLDP(link layer discovery protocol)
产品主要应用环境
组网应用---S1700在网吧
组网应用---S1700在酒店
组网应用---S1700在学校
二、S1700竞争优势—S1728GWR-4P
Mini iMC
管理节点数量较多,性价比高
(60节点) eSight标准版
(40节点)
(100节点)
iMC标准版
Cisco LMS
管理全面,第三方定制能力强
(0~2000节点)
IEEE 802.3 10BASE-T以太网 IEEE 802.3u 100BASE-TX快速以太网 IEEE 802.3ab 1000BASE-T千兆以太网 IEEE 802.3z千兆以太网(光纤) ANSI/IEEE 802.3 Nway自动协商 IEEE 802.3x流量控制 IEEE 802.3az能效以太网(EEE) 支持24个10/100/1000Mbps自适应以太网端 口 支持个4GE SFP独立光口 56Gbps
华为交换机常用简单命令
华为交换机命令想必网管们都为配置华为路由器的大量而繁琐配置命令而头疼,下面放出的是华为路由器简单配置命令,一起来看看吧!一、普通用户模式(1)help 系统帮助简述;(2)telnet 远程登录功能;(3)language 语言模式切换;(4)ping 检查网络主机连接及主机是否可达;(5)show 显示系统运行信息;(6)tracert 跟踪到目的地经过了哪些路由器;(7)exit 退出配置。
二、特权用户模式(1)enable 转入特权用户模式;(2)telnet 远程登录功能;(3)clear 清除各项统计信息;(4)ping 检查网络主机连接及主机是否可达;(5)no 关闭调试开关(6)erase 擦除FLASH中的配置;(7)first-config 设置或清除初次配置标志;(8)clock 管理系统时钟;(9)debug 开启调试开关;(10)disable 返回普通用户模式;(11)download 下载新版本软件和配置文件;(12)exec-timeout 打开EXEC超时退出开关;(13)monitor 打开用户屏幕调试信息输出开关;(14)setup 配置路由器参数;(15)show 显示系统运行信息;(16)tracert 跟踪到目的地经过了哪些路由器;(17)unmonitor 关闭用户屏幕调试信息输出开关;(18)write 将当前配置参数保存至FLASH MEM中;(19)reboot 路由器重启;(20)exit 退出配置。
三、全局配置模式(1)configure 进入全局配置模式;(2)arp 设置静态ARP人口;(3)aaa-enable 使能配置AAA(认证,授权和计费);(4)access-list 配置标准访问表;(5)ip 全局IP配置命令子集;(6)ipx 全局IPX配置命令子集;(7)chat-script 生成一个用在modem上的执行脚本;(8)custom-list 创建定制队列列表;(9)dialer-list 创建dialer-list;(10)dram-wait 设置DRAM等待状态;(11)enable 修改ENABLE口令;(12)firewall 配置防火墙状态;(13)flow-interval 设置流量控制时间间隔;(14)frame-relay 帧中继全局配置命令集;(15)ftp-server FTP 服务器;(16)help 系统帮助命令简述;(17)host 添加主机名称和其IP地址;(18)vpdn 设置VPDN;(19)vpdn-group 设置VPDN组;(20)hostname 修改主机名;(21)ifquelen 更改接口队列长度;(22)interface 选择配置接口;(23)loghost 设置日志主机IP地址;(24)logic-channel 配置逻辑通道;(25)login 启动EXEC登录验证;(26)modem-timeout 设置modem 超时时间;(27)multilink 配置multilink 用户使用的接口;(28)multilink-user 配置multilink 用户使用的接口;(29)natserver 设置FTP,TELNET,WWW服务的IP地址;(30)no 关闭某些参数开关;(31)priority-list 创建优先级队列列表;(32)router 启动路由处理;(33)settr 设置时间范围;(34)snmp-server 修改SNMP参数;(35)tcp 配置全局TCP参数;(36)timerange 启动或关闭时间区域;(37)user 为PPP验证向系统中加入用户;(38)exit 退出全局配置模式。
华为交换机配置实例
华为交换机配置实例序号注意项目记录1 登录交换机时请注意在超级终端串口配置属性流控选择“无”2 启动时按”ctrl+B”可以进入到boot menu模式3 当交换机提示”Please Press ENTER”,敲完回车后请等待一下,设备需要一定的时间才能进入到命令行界面(具体的时间视产品而定)4 请在用户视图(如<Quidway>)输入”system-view”(输入”sys”即可)进入系统视图(如[Quidway])5 对使用的端口、vlan、interface vlan进行详细的描述6 如果配置了telnet用户,一定要设置权限或配置super密码7 除了S5516使用SFP模块,S8016和S6500系列使用模块,其它产品使用模块不可以带电插拔8 某产品使用其它产品模块前请确认该模块是否可以混用9 配置acl时请注意掩码配置是否准确10 二层交换机配置管理IP后,请确保管理vlan包含了管理报文到达的端口11 配置完毕后请在用户视图下(如<Quidway>)采用save命令保存配置12 请确保在设备保存配置的时候不掉电,否则可能会导致配置丢失13 如果要清除所有配置,请在用户视图下(如<Quidway>)采用resetsaved-configuration,并重启交换机注:其他配置需注意的地方请参考每部分内容后面的注明LANSW IT CH日常维护基本操作1 基本操作1.1 常用命令新旧对照列表常用命令新旧对照表旧新旧新show display access-list aclno undo acl eaclexit quitwrite save show version disp versionerase reset show run disp current-configurationshow tech-support disp diagnostic-informationshow start disp saved-configurationrouter ospf ospfrouter bgp bgprouter rip riphostname sysnameuser local-user0 simple7 ciphermode link-typemulti hybrid注意:1. disp是display的缩写,在没有歧义时LANSW IT CH会自动识别不完整词2. disp cur显示LANSW IT CH当前生效的配置参数3. disp和ping命令在任何视图下都可执行,不必切换到系统视图4. 删除某条命令,一般的命令是undo xxx,另一种情况是用其他的参数代替现在的参数,如有时虽然xxx abc无法使用undo删除,但是可以修改为xxx def以太网端口链路类型介绍以太网端口有三种链路类型:Access、Hybrid和Trunk。
华为路由器交换机配置命令大全
华为路由器交换机配置命令大全华为路由器交换机配置命令大全一、登录与认证命令1.Telnet 登录命令2.SSH 登录命令3.Console 登录命令4.用户认证命令二、设备管理命令1.设备信息查看命令2.设备参数配置命令3.设备重启命令4.设备保存配置命令三、接口配置命令1.查看接口状态命令2.配置接口描述命令3.配置接口IP地质命令4.配置接口MTU命令5.开启/关闭接口命令四、路由配置命令1.配置静态路由命令2.配置默认路由命令3.配置动态路由命令4.查看路由表命令5.清空路由表命令五、VLAN 配置命令1.配置VLAN命令2.配置端口VLAN命令3.配置VLAN接口命令六、交换机功能配置命令1.配置端口镜像命令2.配置链路聚合命令3.配置交换机端口安全命令4.配置交换机QoS命令七、安全配置命令1.配置访问控制列表命令2.配置NAT命令3.配置防火墙命令4.配置SSL VPN命令附录:附件:1.示例配置文件2.常见问题解答法律名词及注释:1.Telnet:一种远程登录协议,用于远程连接路由器或交换机进行管理和配置。
2.SSH:Secure Shell,一种用于远程登录的网络协议,提供安全的数据通信和用户认证方式。
3.Console:一种通过串口连接设备进行本地登录的方式。
4.VLAN:Virtual Local Area Network,虚拟局域网,将不同的物理分组划分到不同的逻辑分组中,实现逻辑分离。
5.MTU:Maximum Transmission Unit,最大传输单元,指数据链路层上一次发送的帧的最大长度。
6.NAT:Network Address Translation,网络地质转换,用于在私有网络和公共网络之间进行通信的转换技术。
7.QoS:Quality of Service,服务质量,用于在网络通信中对不同数据流进行优先级和带宽控制。
华为交换机基本配置6个实验报告
华为交换机基本配置6个实验报告随着信息技术的发展,网络设备的应用越来越广泛。
作为网络通信设备中的一种,交换机在局域网中起着至关重要的作用。
华为交换机是当前市场上应用较为广泛的一种交换机品牌,其功能强大,性能稳定。
针对华为交换机的基本配置,我们可以进行一些实验来深入了解和掌握其使用方法。
在本文中,我们将围绕华为交换机的基本配置展开六个实验报告,从简单到复杂,由浅入深地探讨华为交换机的使用方法和技巧。
通过这些实验,我们将对华为交换机的基本配置有一个全面、深刻的理解,为日后的网络设备使用和管理提供有力的支持。
一、实验报告一:华为交换机的基本连接和登录在第一个实验中,我们将学习如何连接并登录华为交换机,这是使用交换机的第一步。
我们将了解到交换机的基本连接方法,学习如何通过终端设备登录交换机,并进行基本的配置操作。
通过这个实验,我们可以对华为交换机的使用环境和登录方法有一个清晰的认识。
二、实验报告二:VLAN的配置和管理VLAN是虚拟局域网的简称,对局域网进行划分可以提高网络的安全性和管理效果。
在这个实验中,我们将学习如何在华为交换机上进行VLAN的配置和管理,包括VLAN的创建、VLAN口的划分和端口的配置等操作。
通过这个实验,我们可以深入了解VLAN的应用和管理,为实际网络的划分和管理奠定基础。
三、实验报告三:静态路由的配置和使用在现代网络中,路由是实现不同网络之间通信的关键设备。
在这个实验中,我们将学习如何在华为交换机上配置和使用静态路由,包括路由表的设置、路由信息的添加和删除等操作。
通过这个实验,我们可以掌握静态路由的配置方法,为不同网络之间的通信建立起有效的桥梁。
四、实验报告四:访问控制列表(ACL)的配置和管理访问控制列表是在网络设备上实现对数据包进行过滤和控制的重要工具。
在这个实验中,我们将学习如何在华为交换机上配置和管理访问控制列表,包括ACL规则的设置、ACL的应用和优先级的调整等操作。
华为交换机防止同网段ARP欺骗攻击配置案例
华为交换机防止同网段ARP欺骗攻击配置案例1阻止仿冒网关IP的arp攻击1.1 二层交换机实现防攻击1.1.1 配置组网图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999。
PC-B上装有ARP攻击软件。
现在需要对S3026_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文。
1.1.2 配置步骤对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。
全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。
Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999。
注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。
在S3026C-A系统视图下发acl规则:[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。
1.2 三层交换机实现防攻击1.2.1 配置组网图2 三层交换机防ARP攻击组网1.2.2 防攻击配置举例对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP 地址100.1.1.5的16进制表示形式。
华为S2700 S3700系列交换机 01-12 配置举例
12.4 配置 MSTP 的基本功能示例
介绍配置MSTP的基本功能示例。
组网需求
本例中的交换机都使用二层接口运行MSTP。需求如下:
文档版本 07 (2020-04-15)
版权所有 © 华为技术有限公司
213
S2700, S3700 系列以太网交换机 Web 网管操作指南
12 配置举例
操作结果
d. 单击“确定”。 ● 将接口Ethernet0/0/4加入VLAN3
a. 单击导航树中的“业务管理 > VLAN > Hybrid口”菜单,进入“Hybrid口” 界面。
组网需求
如图12-1所示,某企业包含4个部门。部门1通过Switch1与Switch的接口Eth0/0/1相 连。部门2通过LSW-A与Switch的接口Eth0/0/2相连。部门3通过LSW-B与Switch的接 口Eth0/0/3相连。部门4通过Switch2与Switch的接口Eth0/0/4相连。要求:
b. 在“Hybrid口”页面,单击接口“Ethernet0/0/1”后对应的“ ”图标,进 入“修改接口的VLAN配置”界面。
c. 输入“Tagged”为“2”。 d. 单击“确定”。
说明
所有接口默认的链路类型是hybrid,如果需要配置的接口已经修改了链路类型,需要把它 们转换为hybrid口再进行配置。
● 在域RG2内,SwitchB为CIST域根,SwitchB为实例1的域根。
● SwitchC和SwitchD的Ethernet0/0/2接口与PC机相连,设置为边缘端口,同时在 SwitchC和SwitchD上应用BPDU保护功能。
华为路由器、交换机配置命令大全
华为路由器、交换机配置命令大全华为路由器配置命令大全:一、登录华为路由器控制台1:使用PuTTY或其他SSH客户端登录到华为路由器:```ssh admin<路由器IP地址>```2:输入登录密码进行验证。
二、基本配置命令1:设置主机名:```sysname <主机名>```2:配置管理接口:```interface GigabitEthernet0/0/0ip address <IP地址> <子网掩码>```3:配置VLAN接口:```interface Vlanif <VLAN ID>ip address <IP地址> <子网掩码>```三、路由相关配置命令1:静态路由配置:```ip route-static <目标网络> <子网掩码> <下一跳地址> ```2:动态路由配置:```router ospf <进程ID>router-id <路由器ID>network <网络地址> <子网掩码> area <区域ID>3: BGP路由配置:```bgp <AS号码>router-id <路由器ID>peer <对端IP地址> as-number <对端AS号码>```四、安全配置命令1:配置防火墙规则:```acl number <ACL编号>rule <规则序号> permit source <源地址> destination <目的地址>rule <规则序号> deny source <源地址> destination <目的地址>```2:开启SSH服务:ssh server enable```3:配置AAA认证:```aaalocal-user <用户名> password irreversible-cipher <加密密码>authorization-attribute user-role network-admin```五、NAT配置命令1:配置静态NAT:```interface GigabitEthernet0/0/0nat outbound <内部接口> <外部接口>```2:配置动态NAT:nat address-group <地址组名>address <内部地址> <外部地址>```3:配置PAT:```interface GigabitEthernet0/0/0nat address-group <地址组名>```附件:1:示例配置文件(附件1)2:路由器接口图(附件2)法律名词及注释:1:主机名:路由器的标识名称。
华为交换机常用命令配置介绍
华为交换机常用命令配置介绍华为交换机是一种常见的网络设备,用于构建大型网络。
配置华为交换机需要使用一些常用的命令,通过这些命令可以设置交换机的各种功能和参数。
本文将介绍一些常用的华为交换机配置命令,包括基本配置、端口配置和VLAN配置等。
一、基本配置命令:1.设置设备主机名:[HUAWEI] sysname Switch //将设备主机名设置为Switch2.配置管理口:[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] port link-type access //设置接口类型为access[Switch-GigabitEthernet0/0/1] port default vlan 10 //设置默认VLAN为103.配置IP地址:[Switch-GigabitEthernet0/0/1] ip address 192.168.1.1255.255.255.0 //配置接口IP地址为192.168.1.1,子网掩码为255.255.255.04.设置设备登录认证:[Switch] aaa //进入AAA视图[Switch-aaa] local-user admin //创建本地用户admin[Switch-aaa] password simple admin123 //设置密码为admin1235.开启SSH远程登录:[Switch] ssh server enable //开启SSH服务[Switch] ssh user admin //创建SSH用户admin[Switch-ssh-user-admin] authentication-type password //设置认证方式为密码[Switch-ssh-user-admin] service-type stelnet //设置服务类型为SSH二、端口配置命令:1.查看端口状态:[Switch] display interface gigabitethernet 0/0/1 //查看GigabitEthernet 0/0/1接口的状态信息2.端口速率设置:[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] speed 100 //设置速率为100Mbps 3.端口流量控制:[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] flow-control //开启流量控制4.端口VLAN成员关系设置:[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] port link-type trunk //设置接口类型为trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 1020 //设置允许通过的VLAN为10和20三、VLAN配置命令:1.创建VLAN:[Switch] vlan 10 //创建VLAN 10[Switch-vlan10] quit //退出VLAN 10视图2.VLAN接口配置:[Switch] interface vlanif 10 //进入VLAN 10接口[Switch-Vlan-interface10] ip address 192.168.10.1255.255.255.0 //配置接口IP地址为192.168.10.1,子网掩码为255.255.255.03.VLAN端口关联:[Switch] interface gigabitethernet 0/0/1 //进入GigabitEthernet 0/0/1接口[Switch-GigabitEthernet0/0/1] port link-type hybrid //设置接口类型为hybrid(混合)[Switch-GigabitEthernet0/0/1] port hybrid vlan 10 untagged //设置接口为VLAN 10的未标记端口四、其他常用命令:1.查看设备信息:[Switch] display version //查看设备版本信息[Switch] display interface brief //查看所有接口的基本信息2.保存配置:[Switch] save //保存当前配置3.重启设备:[Switch] reboot //重启设备以上是一些常用的华为交换机配置命令。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为交换机各种配置实例网管必学交换机配置一端口限速基本配置华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:华为交换机端口限速2000_EI系列以上的交换机都可以限速限速不同的交换机限速的方式不一样2000_EI直接在端口视图下面输入LINE-RATE 4 参数可选端口限速配置1功能需求及组网说明端口限速配置『配置环境参数』1. PC1和PC2的IP地址分别为10.10.1『组网需求』1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps2数据配置步骤『S2000EI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速;SwitchA相关配置SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA- Ethernet0/1line-rate outbound 303. 对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA- Ethernet0/1line-rate inbound 16补充说明报文速率限制级别取值为1~127;如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N-271Mbps;此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI;『S2000-SI和S3000-SI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速;SwitchA相关配置1. 进入端口E0/1的配置视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速,限制到6MbpsSwitchA- Ethernet0/1line-rate outbound 23. 对端口E0/1的入方向报文进行流量限速,限制到3MbpsSwitchA- Ethernet0/1line-rate inbound 1补充说明对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M;此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI;『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速;SwitchA相关配置1. 进入端口E0/1的配置视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA- Ethernet0/1line-rate 33. 配置acl,定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1 exceed drop补充说明line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制;在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制;端口出入方向限速的粒度为1Mbps;此系列交换机的具体型号包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G;『S3528、S3552系列交换机端口限速配置流程』使用以太网物理端口下面的traffic-shape和traffic-limit命令,分别来对该端口的出、入报文进行流量限速;SwitchA相关配置1. 进入端口E0/1的配置视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA- Ethernet0/1traffic-shape 3250 32503. 配置acl,定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop补充说明此系列交换机的具体型号包括:S3528G/P和S3552G/P/F;『S3900系列交换机端口限速配置流程』流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制; SwitchA相关配置1. 进入端口E1/0/1的配置视图SwitchAinterface Ethernet 1/0/12. 对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA- Ethernet1/0/1line-rate 30003. 配置acl,定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop补充说明line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制;在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制;端口出入方向限速的粒度为64Kbps;此系列交换机的具体型号包括:S3924、S3928P/F/TP和S3952P;『S5600系列交换机端口限速配置流程』流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制; SwitchA相关配置1. 进入端口E1/0/1的配置视图SwitchAinterface Ethernet 1/0/12. 对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA- Ethernet1/0/1line-rate 30003. 配置acl,定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop补充说明line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制;在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制;端口出入方向限速的粒度为64Kbps;此系列交换机的具体型号包括:S5624P/F和S5648P;交换机配置二端口绑定基本配置1,端口+MACaAM命令使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定;例如:SwitchAam user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网;但是PC1使用该MAC地址可以在其他端口上网;bmac-address命令使用mac-address static命令,来完成MAC地址与端口之间的绑定;例如:SwitchAmac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1SwitchAmac-address max-mac-count 0配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习;2,IP+MACaAM命令使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定;例如:SwitchAam user-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网;支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gbarp命令使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定;例如:SwitchAarp static 10.1.1.2 00e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定;3,端口+IP+MAC使用特殊的AM User-bind命令,来完成IP、MAC地址与端口之间的绑定;例如:SwitchAam user-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3 interface Ethernet 0/1配置说明:可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能;由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网;但是PC1使用该IP地址和MAC地址可以在其他端口上网;支持型号:S3026E/S3026E-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;E3026;E050;S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S65003代引擎交换机配置三ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤;该主机从GigabitEthernet0/1接入;.配置步骤:1定义时间段定义8:00至18:00的周期时间段;Quidway time-range huawei 8:00 to 18:00 daily2定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL进入基于名字的二层访问控制列表视图,命名为traffic-of-link; Quidway acl name traffic-of-link link定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则;Quidway-acl-link-traffic-of-link rule 1 deny ingress00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei 3激活ACL;将traffic-of-link的ACL激活;Quidway-GigabitEthernet0/1 packet-filter link-grouptraffic-of-link2,三层ACLa基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤;该主机从GigabitEthernet0/1接入;.配置步骤:1定义时间段定义8:00至18:00的周期时间段;Quidway time-range huawei 8:00 to 18:00 daily2定义源IP为10.1.1.1的ACL进入基于名字的基本访问控制列表视图,命名为traffic-of-host; Quidway acl name traffic-of-host basic定义源IP为10.1.1.1的访问规则;Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei3激活ACL;将traffic-of-host的ACL激活;Quidway-GigabitEthernet0/1 packet-filter inbound ip-grouptraffic-of-hostb高级访问控制列表配置案例.组网需求:.配置步骤:1定义时间段定义8:00至18:00的周期时间段;Quidway time-range huawei 8:00 to 18:00 working-day2定义到工资服务器的ACL进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver;Quidway acl name traffic-of-payserver advanced定义研发部门到工资服务器的访问规则;0.0.0.0 time-range huawei3激活ACL;将traffic-of-payserver的ACL激活;Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996用于控制蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号可以不作rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080 rule deny tcp source any destination any destination-port eq 455 rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册;NE80的配置:NE80configrule-map r1 udp any any eq 14342/2/00.0.00.0.01.1.0二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图:图1二层交换机防ARP攻击组网三、配置步骤对于二层交换机如S3026C等支持用户自定义ACLnumber为5000到5999的交换机,可以配置ACL来进行ARP报文过滤;全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况;在S3026C-A系统视图下发acl规则:S3026C-A packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文;三层交换机实现仿冒网关的ARP防攻击一、组网需求:1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2 三层交换机防ARP攻击组网三、配置步骤1. 对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:acl number 50002. 下发ACL到全局S3526E packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求:作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤;二、组网图:参见图1和图2三、配置步骤:--------------------- 错误 arp 表项--------------------------------IP Address MAC Address VLAN ID Port Name Aging Type 从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上;但实际上交换机上学习到该ARP表项在E0/2;上述现象可以在S3552上配置静态ARP实现防攻击:2. 在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项;3. 对于二层设备S3050C和S3026E系列,除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作:四、配置关键点:此处仅仅列举了部分Quidway S系列以太网交换机的应用;在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定;仅仅具有上述功能的交换机才能防止ARP欺骗;5,关于ACL规则匹配的说明a ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类;此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用;ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等;b ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类;此时ACL子规则的匹配顺序有两种:config指定匹配该规则时按用户的配置顺序和auto指定匹配该规则时系统自动排序,即按“深度优先”的顺序;这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序;用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序;只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序;ACL被软件引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL等;交换机配置四密码恢复说明:以下方法将删除原有config文件,使设备恢复到出厂配置;在设备重启时按Ctrl+B进入BOOT MENU之后,Press Ctrl-B to enter Boot Menu (5)Password : 缺省为空,回车即可1. Download application file to flash2. select application file to boot3. Display all files in flash4. Delete file from Flash5. Modify bootrom password0. RebootEnter your choice0-5: 4 选择4No. File Name File Sizebytes =============================================================== ============1 2572242 2.2.2 4478273 snmpboots 44 29856915 hostkey 4286 serverkey 5727 1281Free Space : 3452928 bytesThe current application file isPlease input the file number to delete: 7 选择7,删除当前的配置文件Do you want to delete nowYes or NoY/NyDelete file....doneBOOT MENU1. Download application file to flash2. select application file to boot3. Display all files in flash4. Delete file from Flash5. Modify bootrom password0. RebootEnter your choice0-5:0 选择0,重启设备注:删除之后交换机就恢复了出厂配置;交换机配置五三层交换配置1, 三层交换数据包转发流程图:2,三层交换机配置实例:PORT1属于VLAN1PORT2属于VLAN2PORT3属于VLAN3VLAN1的机器可以正常上网即可实现VLAN间互联如果VLAN2和VLAN3的计算机要通过服务器1上网则需在三层交换机上配置默认路由系统视图下:ip route-static 0.0.0然后再在服务器1上配置回程路由进入命令提示符这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet 了~~3,三层交换机VLAN之间的通信VLAN的划分应与IP规划结合起来,使得一个VLAN 接口IP就是对应的子网段就是某个部门的子网段,VLAN接口IP就是一个子网关;VLAN应以部门划分,相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围,同属于一个VLAN;这样不仅在安全上有益,而且更方便网络管理员的管理和监控;注意:各VLAN中的客户机的网关分别对应各VLAN的接口IP;在这企业网中计划规划四个VLAN子网对应着四个重要部门,笔者认为这也是小企业最普遍的部门结构,分别是:VLAN10——综合行政办公室;VLAN20——销售部;VLAN30——财务部;VLAN40——数据中心网络中心;划分VLAN以后,要为每一个VLAN配一个“虚拟接口IP地址”;拓朴图如下:VLAN及路由配置三层交换机的VLAN的配置过程:1创建VLANDES-3326SRConfig vlan default delete 1 -24 删除默认VLANdefault包含的端口1-24''DES-3326SRCreate vlan vlan10 tag 10 创建VLAN名为vlan10,并标记VID为10DES-3326SRCreate vlan vlan20 tag 20 创建VLAN名为vlan20,并标记VID为20DES-3326SRCreate vlan vlan30 tag 30 创建VLAN名为vlan10,并标记VID为30DES-3326SRCreate vlan vlan40 tag 40 创建VLAN名为vlan10,并标记VID为402添加端口到各VLANDES-3326SRConfig vlan vlan10 add untag 1-6 把端口1-6添加到VLAN10DES-3326SRConfig vlan vlan20 add untag 7-12 把端口1-6添加到VLAN20DES-3326SRConfig vlan vlan30 add untag 13-18 把端口1-6添加到VLAN30DES-3326SRConfig vlan vlan40 add untag 19-24 把端口1-6添加到VLAN403创建VLAN接口IP创建虑拟的接口同样方法设置其它的接口IP:4路由当配置三层交换机的三层功能时,如果只是单台三层交换机,只需要配置各VLAN的虚拟接口就行,不再配路由选择协议;因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现,因此不需要静态路由或动态路由协议的配置;二层交换机的VLAN的配置过程:1创建VLANDES-3226SConfig vlan default delete 1 -24 删除默认VLANdefault 包含的端口1-24''DES-3226SCreate vlan vlan10 tag 10 创建VLAN名为vlan10,并标记VID为102添加端口到各VLANDES-3226SConfig vlan vlan10 add untag 1-24 把端口1-24添加到VLAN10同理,配置其它DES-3226S二层交换机;完成以后就可以将各个所属VLAN的二层交换机与DES-3326SR三层交换机的相应VLAN的端口连接即可;交换机配置六端口镜像配置3026等交换机镜像S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:方法一1. 配置镜像观测端口SwitchAmonitor-port e0/82. 配置被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/88016交换机端口镜像配置1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口;SwitchA port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像; SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口,对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像观测端口SwitchA port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像;SwitchA port mirroring gigabitethernet 1/0/0 ingress ethernet1/0/15SwitchA port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0『基于流镜像的数据流程』基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的;3500/3026E/3026F/3050〖基于三层流的镜像〗1. 定义一条扩展访问控制列表SwitchAacl num 1012. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址SwitchA-acl-adv-101rule 0 permit ip source 1.1.1.1 0 destination any3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32 SwitchA-acl-adv-101rule 1 permit ip source any destination 1.1.1.1 04. 将符合上述ACL规则的报文镜像到E0/8端口SwitchAmirrored-to ip-group 101 interface e0/8〖基于二层流的镜像〗1. 定义一个ACLSwitchAacl num 2002. 定义一个规则从E0/1发送至其它所有端口的数据包SwitchArule 0 permit ingress interface Ethernet0/1 egress interface any3. 定义一个规则从其它所有端口到E0/1端口的数据包SwitchArule 1 permit ingress interface any egress interface Ethernet0/14. 将符合上述ACL的数据包镜像到E0/8SwitchAmirrored-to link-group 200 interface e0/85516支持对入端口流量进行镜像配置端口Ethernet 3/0/1为监测端口,对Ethernet 3/0/2端口的入流量镜像;SwitchAmirror Ethernet 3/0/2 ingress-to Ethernet 3/0/16506/6503/6506R目前该三款产品只支持对入端口流量进行镜像,虽然有outbount参数,但是无法配置;镜像组名为1,监测端口为Ethernet4/0/2,端口Ethernet4/0/1的入流量被镜像;SwitchAmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2补充说明1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现2. 8016支持跨单板端口镜像华为各种型号交换机端口镜像配置方法总结有不少朋友在问华为交换机镜像方面的问题;通过本人现有的资料和文档,现把各种型号的交换机镜像方法总结一下;以便各位朋友能够方便查阅在学配置之前,对于端口镜像的基本概念还是要一定的了解一、端口镜像概念:Port Mirror端口镜像是用于进行网络性能监测;可以这样理解:在端口A 和端口B 之间建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断;二、端口镜像配置『环境配置参数』1. PC1接在交换机E0/1端口,IP地址1.1.1.1/242. PC2接在交换机E0/2端口,IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口,该端口作为镜像端口『组网需求』1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控;2. 按照镜像的不同方式进行配置:1 基于端口的镜像2 基于流的镜像2 数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位;3026等交换机镜像S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:方法一1. 配置镜像观测端口SwitchAmonitor-port e0/82. 配置被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/88016交换机端口镜像配置1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口;SwitchA port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像; SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口,对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像观测端口SwitchA port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像;SwitchA port mirroring gigabitethernet 1/0/0 ingress ethernet1/0/15SwitchA port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0『基于流镜像的数据流程』基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的;3500/3026E/3026F/3050〖基于三层流的镜像〗1. 定义一条扩展访问控制列表SwitchAacl num 1002. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址SwitchA-acl-adv-101rule 0 permit ip source 1.1.1.1 0 destination any3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32 SwitchA-acl-adv-101rule 1 permit ip source any destination 1.1.1.1 04. 将符合上述ACL规则的报文镜像到E0/8端口SwitchAmirrored-to ip-group 100 interface e0/8〖基于二层流的镜像〗1. 定义一个ACLSwitchAacl num 2002. 定义一个规则从E0/1发送至其它所有端口的数据包SwitchArule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/23. 定义一个规则从其它所有端口到E0/1端口的数据包SwitchArule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/14. 将符合上述ACL的数据包镜像到E0/8SwitchAmirrored-to link-group 200 interface e0/85516/6506/6503/6506R目前该三款产品支持对入端口流量进行镜像1. 定义镜像端口SwitchAmonitor-port Ethernet 3/0/22. 定义被镜像端口SwitchAmirroring-port Ethernet 3/0/1 inbound补充说明1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现2. 8016支持跨单板端口镜像端口镜像配置『环境配置参数』交换机配置七DHCP配置1,交换机作DHCP Server『配置环境参数』1. PC1、PC2的网卡均采用动态获取IP地址的方式2. PC1连接到交换机的以太网端口0/1,属于VLAN10;PC2连接到交换机的以太网端口0/2,属于VLAN203. 三层交换机SwitchA的VLAN接口10地址为10.1.1『组网需求』1. PC1可以动态获取10.1.1『DHCP Server配置流程流程』可以完成对直接连接到三层交换机的PC机分配IP地址,也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址;分配地址的方式可以采用接口方式,或者全局地址池方式;SwitchA采用接口方式分配地址相关配置1. 创建进入VLAN10SwitchAvlan 102. 将E0/1加入到VLAN10SwitchA-vlan10port Ethernet 0/13. 创建进入VLAN接口10SwitchAinterface Vlan-interface 104. 为VLAN接口10配置IP地址SwitchA-Vlan-interface10ip address 10.1.15. 在VLAN接口10上选择接口方式分配IP地址SwitchA-Vlan-interface10dhcp select interface6. 禁止将PC机的网关地址分配给用户SwitchAdhcp server p 10.1.1SwitchA采用全局地址池方式分配地址相关配置1. 创建进入VLAN10SwitchAvlan 102. 将E0/1加入到VLAN10SwitchA-vlan10port Ethernet 0/13. 创建进入VLAN接口10SwitchAinterface Vlan-interface 104. 为VLAN接口10配置IP地址SwitchA-Vlan-interface10ip address 10.1.15. 在VLAN接口10上选择全局地址池方式分配IP地址SwitchA-Vlan-interface10dhcp select global6. 创建全局地址池,并命名为”vlan10”SwitchAdhcp server ip-pool vlan107. 配置vlan10地址池给用户分配的地址范围以及用户的网关地址SwitchA-dhcp-vlan10network 10.1.1SwitchA-dhcp-vlan10gateway-list 10.1.1.18. 禁止将PC机的网关地址分配给用户SwitchAdhcp server p 10.1.1补充说明以上配置以VLAN10的为例,VLAN20的配置参照VLAN10的配置即可;在采用全局地址池方式时,需新建一个与”vlan10”不同名的全局地址池;经过以上配置,可以完成为PC1分配的IP地址为10.1.1VLAN接口默认情况下以全局地址池方式进行地址分配,因此当VLAN接口配置了以全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的VLAN接口下无法看到有关DHCP的配置;利用全局地址池方式,可以完成为用户分配与三层交换机本身VLAN接口地址不同网段的IP地址;2,DHCP Relay配置『配置环境参数』3. E0/1-E0/10属于vlan10,网段地址10.10.1.1/244. E0/11-E0/20属于vlan20,网段地址10.10.2.1/24『组网需求』1. 在SwitchA上配置DHCP Relay使下面用户动态获取指定的相应网段的IP地址2. PC1、PC2均可以ping通自己的网关,同时PC1、PC2之间可以互访『交换机DHCP Relay配置流程』DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况,通过Relay,不同子网的用户可以到同一个DHCP Server申请IP地址,这样便于地址池的管理和维护;SwitchA相关配置1. 全局使能DHCP功能缺省情况下,DHCP功能处于使能状态SwitchAdhcp enable2. 创建进入VLAN100SwitchAvlan 1003. 将G1/1加入到VLAN100SwitchA-vlan100port GigabitEthernet 1/14. 创建进入VLAN接口100SwitchAinterface Vlan-interface 1005. 为VLAN接口100配置IP地址6. 创建进入VLAN10SwitchAvlan 107. 将E0/1-E0/10加入到VLAN10SwitchA-vlan10port Ethernet 0/1 to Ethernet 0/10 8. 创建进入VLAN接口10SwitchAinterface Vlan-interface 109. 为VLAN接口10配置IP地址SwitchA-Vlan-interface10ip address 10.10.110. 使能VLAN接口10的DHCP中继功能SwitchA-Vlan-interface10dhcp select relay11. 为VLAN接口10配置DHCP服务器的地址12. 创建进入VLAN20SwitchA-vlan10vlan 2013. 将E0/11-E0/20加入到VLAN20SwitchA-vlan20port Ethernet 0/11 to Ethernet 0/20 14. 创建进入VLAN接口20SwitchAinterface Vlan-interface 2015. 为VLAN接口20配置IP地址SwitchA-Vlan-interface20ip address 10.10.216. 使能VLAN接口20的DHCP中继功能SwitchA-Vlan-interface20dhcp select relay17. 为VLAN接口20配置DHCP服务器的地址补充说明也可以在全局配置模式下,使能某个或某些VLAN接口上的DHCP中继功能,例如:SwitchAdhcp select relay interface Vlan-interface 103,DHCP Snooping『配置环境参数』1. DHCP Server连接在交换机SwitchA的G1/1端口,属于vlan10,IP 地址为10.10.1.253/242. 端口E0/1和E0/2同属于vlan10『组网需求』1. PC1、PC2均可以从指定DHCP Server获取到IP地址2. 防止其他非法的DHCP Server影响网络中的主机『交换机DHCP-Snooping配置流程』当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息;另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口;信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃;这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址; SwitchA相关配置。