华为交换机配置命令解释
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为交换机配置命令解释
[]配置模式
修改交换机:
[Quidway]sysname sw1
[sw1]
配置VLAN:
[Quidway]vlan 2
[Quidway-vlan2]port ether 0/10 to e 0/12
[Quidway-vlan2]quit
等同于
[Quidway]int e0/13
[Quidway-Ethernet0/13]port access vlan 2
[Quidway-Ethernet0/13]quit
配置trunk端口:
[Quidway]int e0/1
[Quidway-Ethernet0/1]port link-type trunk
[Quidway-Ethernet0/1]int e0/2
[Quidway-Ethernet0/2]port link-type trunk
[Quidway-Ethernet0/2]quit
两边的端口都要配trunk,通过trunk 不打标签!
默认trunk 只允许vlan 1 通过
[Quidway]int e0/1
[Quidway-Ethernet0/1]port trunk permit vlan all
[Quidway-Ethernet0/1]int e0/2
[Quidway-Ethernet0/2]port trunk permit vlan all
两边端口都要配置充许trunk 所有VLAN,如果是指定通过vlan号,将vlan all 改成对应的vlan编号即可。
取消任何命令,是在命令前面加一个undo 即可!
如何防止交换机环路:
华为的交换机生成树功能默认是关掉的
交换机形成环路,所联接的端口会不停的闪烁!
方法一:启用交换机生成树
[Quidway]stp enable(开)
[Quidway]stp disable(关)
要在两台交换机上配置:
方法二:通过链路聚合的方式来解决问题
链路聚合可以提高带宽和负载均衡
配置链路聚合时,两端的端口模式需要配置成一样(双工,半又工),速率也要指定,不能自己自协商状态!
[Quidway]link-aggregation e0/1 to e0/2 both
如:
[Quidway]int e0/1
[Quidway-Ethernet0/1]duplex full
[Quidway-Ethernet0/1]speed 100
[Quidway-Ethernet0/1]int e0/2
[Quidway-Ethernet0/2]duplex full
[Quidway-Ethernet0/2]speed 100
查看交换机日志
[Quidway]dis log
路由器与路由器之间通信的安全保护配置方法
一、保护路由器的物理安全
二、保护管理接口的安全
1、保护控制台端口的访问权限
口令的设置应遵循以下原则:
初使安装之后立即配置口令,不使用缺省口令;确保特权级口令与用级口令的不同;口令使用字母数字混合字符以使口令破解难以成功。
2、使用加密口令
使用口令加密的方式(service password-encryption)来隐藏明文形式口令。
使用enable secret命令配置特权模式口令。
使用具有加密和认证传输机制的SSH协议及相应的和序,如SecureCRT.
3、调整线路参数
使控制台一定时间内没有任何命令键入时会自动断开
Router(config-line)#exec-timeout minute second
4、设置多个特权级别,进一步细化路由器的控制。在路由器用AAA认证,建立用户。Router(config)#priiledge mode [level level command |reset command]
5、控制Telnet访问:
要在虚拟终端接口(vty)上通过设置访问控制列表,只允许在表中被定义的IP地址的主机才能访问网络路由器。
Router(config-line)#ip access-class number in
6、控制SNMP访问:
公允许在访问控制列表中被指定的NMS(网络管理系统)的IP地址才能通过团体字符串访问路由器代理。
Router(config)#snmp-server community string [view view-name] [ro|rw]
此外还应配置SNMP中断和通知,只发给被充许NMS主机。可以用“snmp-server host host trap”命令,只将SNMP中断消息发送给指定的NMS主机;用“snmp-server host host trap”命令,只将SNMP通知消息发送给指定的NMS主机。
三、保护路由器之间通信安全。
1、路由协议认证
对于保护路由基础设备的安全来说,使用MD5认证方式是推荐的做法。
例如,在OSPF路由器上配置消息摘要认论证如下:
Router(config-if)#ip ofpf message-digest-key key-id md5 [encryption-type] password;在接口上配置消息摘要密钥
Router(config)#area number authentication [message-digest];在区域number上启用消息摘要认证。
2、用过滤器控制数据流
第一、限制那些不想在路由更新中被广播出去的网络地址。
例如,以下配置只允许网络172.16.0.0有关的路由更新被从S0接口发出:
Router(config)#access-list 27 permit 172.16.0.0 0.0.255.255
Router(config)#router eigrp
Router(config-router)#network 172.16.0.0
Router(config-router)#network 192.168.2.0
Router(config-router)#destribute-list 27 out s0
该特性可以应用于除BGP和EGP之外的所有基于IP的路由协议。
第二:抑制从路由更表中收到的网络地址:
通过访问控制列表的过滤作用,可以使路由器只接受那些来自己网络中特定的、已知路由器的路由表中的更新,但该特性对于链路状态协议如OSPF或IS-IS等不起作用。
例如:如下配置实现了一个访问控制列表只接收来自被信任网络10.2.0.0的路由更新:Router(config)#access-list 45 permit 10.2.0.0 0.0.255.255
Router(config)#router eigrp 200
Router(config)#distrbute 45 in serial 0
第四、可以利用访问控制列表来拒绝那些来自己外部网络但源地址却是内部地址的数据包,以防止来自己网络外部的欺骗性攻击。应在边缘路由器上应用包过滤功能,因为包过滤会降低路由器的性能,配置兴举例如下:
1、配置访问控制列表以拒绝假冒内网地址的数据包
Router(config)#access-list 102 deny ip 10.1.2.0 0.0.0.255 any log
Router(config-if)#ip access-group 102 in; 在路由器对外接口的入方向上应用访问列表10210.1.2.0o内网的IP地址段。
2、配置动态访问控制列表以允许已建立TCP连接的数据流,既阻止外部连接的数据流而让内部发起连接的TCP数据流通过
Router(config)#access-list 102 permit tcp 10.6.1.0 0.0.0.255 10.1.2.0.0 0.0.0.255 established
3、控制对路由器的HTTP访问:应使用访问控制列表来限制只有特定的机器能通过流览器来访问路由器。可按如下配置:
Router(config)#access-list 25 permit 10.147.241.30 0.0.0.0
Router(config)#ip http access-class 25;只允许特定主机10.147.241.30通过HTTP访问路由器。
四、关闭易受威胁或攻击的功能或服务
1、“配置文件自动从TFTP服务器获取”功能建议关闭:
Router(config)# no boot network
Router(config)# no service config
2、“IP源路由”使用很少,易遭受攻击,建议关闭:
Router(config)# no ip source-router
3、“Proxy ARP”,除非接口做桥接,否则关闭该服务:
Router(config)# no ip proxy-arp