######################################
常用命令
######################################
1U=44.5mm
核心:Core,汇聚:Dditribution,接入:Access
PVID=private vlan ID,华为的缺省vlan叫private vlan,cisco的缺省vlan叫native vlan
scheme/计划
alarm/警告
entries/进入
authentication/鉴定
authorization/授权
anti-attack/抗攻击的
URPF(Unicast Reverse Path Forward)/单播反向路径发送
abnormal/反常的,变态的
fragment/碎片
specify/vt.指定;详细说明
characteristics/n.特征
discard=drop/vt.vi.n.抛弃
combo/n.联合体,复用端口
======通用命令==========
交换机默认的 bootrom 密码
交换机系统启动bootrom时,在2秒内按下“CTRL+B”,此处需要输入密码才
能进入BOOTROM菜单。默认密码如下:
- S9300 V100R006及其之前的版本:9300
- S7700 V100R006及其之前的版本:huawei
- 盒式交换机V100R006(V100R006C03除外)及其之前的版本:huawei
- 全系列以太网交换机V200R001、V100R006C03版本:Admin@huawei.com
console口密码破解
进入BOOTROM菜单
选择7,clear password for console user
再选择1,Boot with default mode
清空恢复交换机出厂配置
The configuration willl ve erased to reconfigure.Continue?[Y/n]:y
Warning:All the configuration will be saved to the configuration file for the
next startup:,Continue?[Y/N]:n
1,
2,
3,
4,
[quidway]vlan 10 #switch#vlan database switch(config)#vlan
#switch(vlan)vlan 10
[quidway]vlan batch 10 20 30 #批量创建vlan10 vlan20 vlan30
[Quidway]sysname Distribution-1f-
核心:Core,汇聚:Dditribution,接入:Access
[Quidway]display user-interface #显示所有用户的权限
[Quidway]display logbuffer #显示系统日志信息
5,trunk
error:please renew the default configurations.
解决:undo port default vlan #先删除端口加入的vlan,再port link-type trunk
[quidway-ethernet0/0/48]port link-type trunk
[quidway-ethernet0/0/48]port trunk permit vlan all
[quidway-ethernet0/0/48]port trunk allow-pass vlan 1 20 507
#允许指定vlan通过
[quidway-ethernet0/0/48]port trunk allow-pass vlan all
#允许所有vlan通过
access
[quidway-ethernet0/0/1]port link-type access
#(config-if)#switchprot mode access
[quidway-ethernet0/0/1]port deafult vlan 10
#配置接口加入vlan10(PVID)|(config-if)
#switchprot access vlan 10
[quidway-ethernet0/0/1]quit
hybrid
hybrid模式对不同的VLAN的数据去掉Tag,使不同VLAN的主机可以通信。
[Quidway-eternet0/0/1]port link-type hybrid
[Quidway-eternet0/0/1]port hybrid untagged vlan 2 to 5
#连续vlan用to untag
[Quidway-eternet0/0/1]port hybrid untagged vlan 8
#不连续vlan要单独一个个untag添加
6,loopback
[Quidway]interface loopback 0
[Quidway-loopback0]ip address 192.168.1.3 24
6,HUAWEI SPAN
ex:
[quidway]observe-port 1 interface ethernet 0/0/2 #把0/0/2创建为observe port 1
[quidway]interface ethernet 0/0/48
[quidway-ethernet0/0/48]port-mirroring to observe-port 1 both
#将0/0/48双向流量镜像到observe port 1上
7,端口隔离[同vlan不能直接通信,需经由网关通信]
[quidway-Ethernet0/0/1]port-isolate enable
8,端口模式转换trunk->access
[quidway-Ethernet0/0/48]undo port trunk allow-pass vlan all
[quidway-Ethernet0/0/48]port trunk allow-pass vlan 1
[quidway-Ethernet0/0/48]port link-type access #先undo所有的,然后在配
9,端口批量处理/interface range fa 0/1 -10
[Quidway]port-group 1 #创建一个端口组
[Quidway-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/10
[Quidway-port-group-1]port link-type access
[Quidway-port-group-1]port default vlan 2 #将端口组加入vlan
10,配置时间
[Quidway]ntp-service unicast-server 98.175.203.200
11,配置vty ssh登陆
1>====
[quidway]aaa #创建AAA用户
[quidway-aaa]local-user grit password cipher grit2015
[quidway-aaa]local-user grit privilege level 3 #指定grit为管理级
[Quidway-aaa]local-user grit service-type telnet ssh #配置grit应用的服务
2>====
[Quidway]rsa local-key-pair create #生成本地密钥对(主要用于ssh)
[quidway]stelnet server enable #ssh使能
[quidway]ssh user grit service-type stelnet
#stelnet可以改成all,就是给grit多一个sftp服务
[quidway]ssh user grit authentication-type password
#配置ssh用户认证和服务方式,password可以改成all
3>=====vty接口配置
[quidway]user-interface vty 0 4 #进入vty
[quidway-ui-vty0-4]authentication-mode aaa
[quidway-ui-vty0-4]protocol inbound ssh
#如果ssh改成all则是支持所有即ssh,telnet方式登陆
12,ssh命令
[quidway]stelnet 192.168.44.248 #交换机运行ssh互连,注意要system-view进配置模式
[quidway]ssh client first-time enable
#启用stenet.若报错,可能是没开启stelnet.
13, console口配置
[quidway]header login information #
This device is belong to CamboTech.
# #类似于cisco motd banner
13, 清空端口配置,恢复默认
[Quidway-GigabitEthernet0/0/1]clear configuration this
============交换机===================
1,s2700
缺省配置:https://192.168.1.253 admin/admin@huawei.com
配置交换机网管使能
[QuidWay]interface meth 0/0/1
[QuidWay-MEth0/0/1]ip address 192.168.1.254 24 #配置交换机管理IP
[QuidWay-MEth0/0/1]quit
[QuidWay]vlan 9 #创建vlan 9
[QuidWay-vlan9]quit
[QuidWay]interface vlanif 9
[QuidWay-vlanif9]ip address 192.168.1.254 24 #将管理IP配置给vlanif9接口
[QuidWay-vlanif9]quit
[QuidWay]interface Ethernet 0/0/1
[QuidWay-Ethernet0/0/1]port link-type access
[QuidWay-Ethernet0/0/1]port default vlan 9 #将1口划入vlan9
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode aaa #telnet使用aaa鉴权
[QuidWay]aaa
[QuidWay-aaa]local-user admin password cipher admin@huawei.com
#配置admin/admin@huawei.com用户
[QuidWay-aaa]local-user admin privilege level 3
#修改admin等级为3,【0级-参观级,1级-监控级,2级-配置级,3级-管理级】
[QuidWay-aaa]local-user admin service-type telnet
#配置admin用户应用的服务
[QuidWay-aaa]local-user admin ftp-directory flash: #暂不明。
[QuidWay-aaa]quit
[QuidWay]quit
2,HuaWei snmp
[QuidWay]snmp-agent #snmp使能
[QuidWay]snmp-agent community read public #设置读团体名称为public
[QuidWay]snmp-agent community write private #设置写团体名称为pravite
[QuidWay]snmp-agent sys-info version all #设置snmp版本
[QuidWay]snmp-agent sys-info contact 0714529899 #设置联系号码
[QuidWay]snmp-agent sys-info location Distribution-3F-IToffice #设置位置信息
3,配置QOS
[QuidWay]qos lr inbound cir 10240 cbs 2048000 #配置入方向的流量整形速率10M
[QuidWay]qos lr outbound cir 10240 cbs 204800 #配置出方向的流量整形速率10M
cbs=200cir
pbs=2cbs
CBS = 200 CIR;PBS = 2 CBS = 2 200 CIR = 400 * CIR;其中,CIR单位为
Kbps,CBS、PBS单位为Byte。
【
cir(Committed Information Rate,承诺信息速率
pir(Peak Information Rate, 峰值信息速率 即允许传输或转发报文的最大速率;单位为bit
cbs(Committed Burst Size) 承诺突发尺寸 令牌桶的容量,即每次突发所允许的最大的流量尺寸。设置的突发尺寸必须大于最大报文长度。计量单位为byte(字节)。
PBS:(Peak Burst Size) 峰值突发尺寸
EBS:(Excess Burst Size,超出突发尺寸) 即瞬间能够通过的超出突发流量。
】
【注:V200R005C00之前的版本S2750,S5700S-LI,S5700LI设备只支持1个vlanif接口,默认配置在vlanif1,如需使用需先删除vlanif1。】
4,配置gvrp(generic vlan registration protocol=cisco vtp)
[Quidway]display gvrp statistics #查看开启gvrp的端口
gvrp服务端
[quidway]vlan 20 30 40 #配置vlan
[quidway]quit
[quidway]gvrp
#全局开启gvrp,undo全局gvrp后所有gvrp端口undo,重新gvrp后需手动开启
[quidway]interface ethernet 0/0/24 #端口开启gvrp,downlink port
[quidway-GigabitEthernet0/0/24]port link-type trunk
[quidway-GigabitEthernet0/0/24]port trunk allow-pass vlan all
[quidway-GigabitEthernet0/0/24]gvrp
[quidway-GigabitEthernet0/0/24]quit
[quidway]quit
[quidway]save
gvrp客户端
[quidway]gvrp #全局开启gvrp
[quidway]interface ethernet 0/0/24 #端口开启gvrp,uplink port
[quidway-GigabitEthernet0/0/24]port link-type trunk
[quidway-GigabitEthernet0/0/24]port trunk allow-pass vlan all
[quidway-GigabitEthernet0/0/24]gvrp
[quidway-GigabitEthernet0/0/24]quit
[quidway]quit
[quidway]save
【注意:在gvrp中任意一台设备上手动编辑vlan,都可编辑到加入了gvrp的所有设备上,不建议此做法,难于管理】
4,配置dhcp snooping
DHCP Snooping是DHCP的一种安全特性,通过截获DHCP Client和DHCP
Server之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。DHCP Snooping通过记录DHCP Client的IP地址与MAC地址的对应关系,保证合法用户能访问网络,作用相当于在DHCP Client和DHCP Server之间建立一道防火墙。
DHCP Snooping可以解决设备应用DHCP时遇到DHCP DoS(Denial of Service)攻击、DHCP Server仿冒攻击、DHCP仿冒续租报文攻击等问题。
[quidway]dhcp enable
[quidway]dhcp snooping enable #全局dhcp snooping enable
[quidway]dhcp server detect #伪dhcp server探测功能使能
[quidway-GigabitEthernet0/0/2]dhcp snooping enable #用户侧端口dhcp
snooping使能
[quidway-GigabitEthernet0/0/2]dhcp snooping untrusted
#用户侧端口untrusted模式
[quidway-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-reply enable thresho ld
120 #使能不信任端口收到的DHCP reply报文丢弃告警功能,并配置告警阈值
5,阻断DHCP
[Quidway]acl 3888
[Quidway-acl-adv-3888] rule 1 deny udp source-port eq bootps
[Quidway-acl-adv-3888] rule 2 deny udp destination-port eq bootpc
[Quidway]traffic-filter vlan 1 inbound acl 3888 #应用到vlan 1
[QuidWay]interface gigabitethernet 0/0/1
[QuidWay-GigabitEthernet0/0/1]traffic-filter outbound acl 3888
#应用到G0/0/1口,阻断dhcp向G0/0/1口扩散出去。
6,acl
acl 2000-2999 basic access-list
3000-3999 advanced access-list
4000-4999 L2 access-list
5000-5999 user-defined access-list
[Quidway]time-range block 00:00 to 23:00 daily #定义使能时间段block
[Quidway]acl 2000
[Quidway-acl-basic-2000]rule 10 deny source 192.168.88.0 0.0.0.255 time-range
block #通配符wildcard应该是反掩码wildcard-mask
[Quidway-acl-basic-2000]rule 11 permit source any
[Quidway]interface gigabitethernet 0/0/2
[Quidway-GigabitEthernet0/0/2]traffic-filter inbound acl 2000
[Quidway-GigabitEthernet0/0/2]quit
[Quidway]quit
7, 端口隔离
二层隔离
[Switch-GigabitEthernet0/0/1] port-isolate enable group 5 //端口GE0/0/1加入到端口隔离组5
单向隔离
[Switch-GigabitEthernet0/0/3] am isolate gigabitethernet 0/0/1
//在GE0/0/3上配置端口隔离功能,并指定隔离的端口是GE0/0/1,GE0/0/3上发出的报文不能到达GE0/0/1,
而GE0/0/1发出的报文可以到达 GE0/0/3
二三层隔离
[Switch] port-isolate mode all
8,端口上使用IPSG静态ip-mac绑定
在交换机上添加一条静态绑定表项(源ip192.168.168.102
源mac为6a23-2363-73b2,应用的端口GE0/0/18)
[huawei]user-bind static ip-address 192.168.168.102 mac-address 6a23-2363-73b2
[huawei]interface gigabitethernet 0/0/18
[huawei-GigabitEthernet0/0/18]ip source check user-bind enable
环路
环路检测
防环路
[Quidway]dis loopback-detect
loop-detect
loopback
loopback-detect
[Quidway]loopback-detect enable #全局loopback-detect使能
[Quidway]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/24
[Quidway]loopback-detect action block
#检测到环路后的动作为block,如果是shutdown,触发后需手动开启(先shutdown,再undo
shutdown)
单个端口启用防环路
[Quidway]interface GigabitEthernet 0/0/1
[Quidway-GigabitEthernet0/0/18]loopback-detec enable
[Quidway-GigabitEthernet0/0/18]loopback-detec action block
#[action可选参数:block,nolearn,quitvlan,shutdown,trap]
[Quidway]dis loopback-detect
=============路由器==================
AR
AR配置NAT地址池
nat address-group 0 202.1.1.3 202.1.1.6 #nat地址池
radius scheme system
domain system
acl number 2000 #配置允许进行NAT的内网段
rule 0 permit source 192.168.0.0 0.0.0.255
rule 1 deny
interface ethetnet 0/0
ip address 202.1.1.2 255.255.255.248
nat outbound 2000 address-group 0
interface ethernet 0/1
ip address 192.168.0.1 255.255.255.0 #内网网关
ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 #配置默认路由
配置关键点:
1)地址池一定要连续;
2)一定要在出接口做NAT转换;
3)默认路由一般要配置;