華為交換機配置命令解釋

1、華為交換機配置命令解釋<Quidway>用戶視圖，只能看配置<Quidway>reset save (清除配置文件)<Quidway>reboot (重啟華為交換機)<Quidway>system view (進入配置模式)<Quidway>sys (省略式打法) 配置模式修改交換機：Quidwaysysname sw1sw1配置VLAN:Quidwayvlan 2Quidway-vlan2port ether 0/10 to e 0/12Quidway-vlan2quit等同于Quidwayint e0/13Quidway

2、-Ethernet0/13port access vlan 2Quidway-Ethernet0/13quit配置trunk端口：Quidwayint e0/1Quidway-Ethernet0/1port link-type trunkQuidway-Ethernet0/1int e0/2Quidway-Ethernet0/2port link-type trunkQuidway-Ethernet0/2quit兩邊的端口都要配trunk，通過trunk 不打標(biāo)簽！默認trunk 只允許vlan 1 通過Quidwayint e0/1Quidway-Ethernet0/1port trunk

3、permit vlan allQuidway-Ethernet0/1int e0/2Quidway-Ethernet0/2port trunk permit vlan all兩邊端口都要配置充許trunk 所有VLAN，如果是指定通過 vlan號，將vlan all 改成對應(yīng)的vlan編號即可。 取消任何命令，是在命令前面加一個 undo 即可！ 如何防止交換機環(huán)路:華為的交換機生成樹功能默認是關(guān)掉的交換機形成環(huán)路，所聯(lián)接的端口會不停的閃爍！方法一：啟用交換機生成樹Quidwaystp enable（開）Quidwaystp disable（關(guān)）要在兩臺交換機上配置:方法二

4、：通過鏈路聚合的方式來解決問題鏈路聚合可以提高帶寬和負載均衡配置鏈路聚合時，兩端的端口模式需要配置成一樣（雙工，半又工），速率也要指定,不能自己自協(xié)商狀態(tài)！Quidwaylink-aggregation e0/1 to e0/2 both如：Quidwayint e0/1Quidway-Ethernet0/1duplex fullQuidway-Ethernet0/1speed 100Quidway-Ethernet0/1int e0/2Quidway-Ethernet0/2duplex fullQuidway-Ethernet0/2speed 100 查看交換機日志Quidwayd

5、is log路由器與路由器之間通信的安全保護配置方法一、保護路由器的物理安全二、保護管理接口的安全1、保護控制臺端口的訪問權(quán)限口令的設(shè)置應(yīng)遵循以下原則：初使安裝之后立即配置口令，不使用缺省口令；確保特權(quán)級口令與用級口令的不同；口令使用字母數(shù)字混合字符以使口令破解難以成功。2、使用加密口令使用口令加密的方式（service password-encryption）來隱藏明文形式口令。使用enable secret命令配置特權(quán)模式口令。使用具有加密和認證傳輸機制的SSH協(xié)議及相應(yīng)的和序，如SecureCRT.3、調(diào)整線路參數(shù)使控制臺一定時間內(nèi)沒有任何命令鍵入時會自動斷開Router(config-

6、line)#exec-timeout minute second4、設(shè)置多個特權(quán)級別，進一步細化路由器的控制。在路由器用AAA認證，建立用戶。Router(config）#priiledge mode level level command |reset command5、控制Telnet訪問：要在虛擬終端接口（vty）上通過設(shè)置訪問控制列表，只允許在表中被定義的IP地址的主機才能訪問網(wǎng)絡(luò)路由器。Router(config-line)#ip access-class number in6、控制SNMP訪問：公允許在訪問控制列表中被指定的NMS（網(wǎng)絡(luò)管理系統(tǒng)）的IP地址才能通過團體字符串訪問路由

7、器代理。Router(config）#snmp-server community string view view-name ro|rw此外還應(yīng)配置SNMP中斷和通知，只發(fā)給被充許NMS主機。可以用“snmp-server host host trap”命令，只將SNMP中斷消息發(fā)送給指定的NMS主機；用“snmp-server host host trap”命令，只將SNMP通知消息發(fā)送給指定的NMS主機。三、保護路由器之間通信安全。1、路由協(xié)議認證對于保護路由基礎(chǔ)設(shè)備 的安全來說，使用MD5認證方式是推薦的做法。例如，在OSPF路由器上配置消息摘要認論證如下：Router(config-i

8、f)#ip ofpf message-digest-key key-id md5 encryption-type password；在接口上配置消息摘要密鑰Router(config)#area number authentication message-digest;在區(qū)域number上啟用消息摘要認證。2、用過濾器控制數(shù)據(jù)流第一、限制那些不想在路由更新中被廣播出去的網(wǎng)絡(luò)地址。例如，以下配置只允許網(wǎng)絡(luò)有關(guān)的路由更新被從S0接口發(fā)出：Router(config)#access-list 27 permit 55Router(confi

9、g)#router eigrpRouter(config-router)#network Router(config-router)#network Router(config-router)#destribute-list 27 out s0該特性可以應(yīng)用于除BGP和EGP之外的所有基于IP的路由協(xié)議。第二：抑制從路由更表中收到的網(wǎng)絡(luò)地址：通過訪問控制列表的過濾作用，可以使路由器只接受那些來自己網(wǎng)絡(luò)中特定的、已知路由器的路由表中的更新，但該特性對于鏈路狀態(tài)協(xié)議如OSPF或IS-IS等不起作用。例如：如下配置實現(xiàn)了一個訪問控制列表只接收來自被信任網(wǎng)絡(luò)1

10、的路由更新：Router(config)#access-list 45 permit 55Router(config)#router eigrp 200Router(config)#distrbute 45 in serial 0第四、可以利用訪問控制列表來拒絕那些來自己外部網(wǎng)絡(luò)但源地址卻是內(nèi)部地址的數(shù)據(jù)包，以防止來自己網(wǎng)絡(luò)外部的欺騙性攻擊。應(yīng)在邊緣路由器上應(yīng)用包過濾功能，因為包過濾會降低路由器的性能，配置興舉例如下：1、配置訪問 控制列表以拒絕假冒內(nèi)網(wǎng)地址的數(shù)據(jù)包Router(config)#access-list 102 deny ip 1

11、 55 any logRouter(config-if)#ip access-group 102 in; 在路由器對外接口的入方向上應(yīng)用訪問列表10o內(nèi)網(wǎng)的IP地址段。2、配置動態(tài)訪問控制列表以允許已建立TCP連接的數(shù)據(jù)流，既阻止外部連接的數(shù)據(jù)流而讓內(nèi)部發(fā)起連接的TCP數(shù)據(jù)流通過Router(config)#access-list 102 permit tcp 55 .0 55 established3、控制對路由器的HTTP訪問：應(yīng)使用訪問控制列表來限制只有特定的機器能通過流覽器來訪問

12、路由器。可按如下配置：Router(config)#access-list 25 permit 0 Router(config)#ip http access-class 25；只允許特定主機 0通過HTTP訪問路由器。四、關(guān)閉易受威脅或攻擊的功能或服務(wù)1、“配置文件自動從TFTP服務(wù)器獲取”功能建議關(guān)閉：Router(config)# no boot networkRouter(config)# no service config2、“IP源路由”使用很少，易遭受攻擊，建議關(guān)閉：Router(config)# no ip sour

13、ce-router3、 “Proxy ARP”,除非接口做橋接，否則關(guān)閉該服務(wù)：Router(config)# no ip proxy-arp4、“IP directed broadcast”，可對特定局域網(wǎng)發(fā)廣播數(shù)據(jù)包，它可做為一種攻擊手段，建議關(guān)閉。5、“IP redirect”,對特定設(shè)備發(fā)ICMP重定向數(shù)據(jù)包，建議只對信任區(qū)域開放該服務(wù)。6、關(guān)閉DP協(xié)議Router(config)# no cdp enable7、建議過濾源地址與目標(biāo)地址相同，源端口與目的端口相同的流量以防止Land攻擊。應(yīng)過濾目的地址為廣播地址的流量。8、建議關(guān)閉入方向ICMP重定向、echo、掩碼請求數(shù)據(jù)，同時出方

14、向流量允許ICMP echo、parameter-problem、packet-too-big、source-quench,其他全部過濾，對于traceroute 流量，入方向關(guān)閉，出方向開放。NTP時間服務(wù)器安裝學(xué)習(xí)筆記NTP服務(wù)器安裝手記 隨著時間的推移，計算機的時鐘會傾向于漂移。網(wǎng)絡(luò)時間協(xié)議 (NTP) 是一種確保您的時鐘保持準(zhǔn)確的方法。一般系統(tǒng)默認都安裝了NTP服務(wù) 如可以用以下命令查看 rootwap etc# rpm -qa |grep ntp ntp-4.2.0.a.20040617-4.EL4.1 NTP服務(wù)，主要包括四個文件&

15、#160;/etc/ntp.conf ； NTP服務(wù)的主配置文件。 /usr/share/zoneinfo ;規(guī)定了各主要時區(qū)的時間設(shè)定文件，如上海/usr/share/zoneinfo/Asia/Shanghai /etc/sysconfig/clock ; Linux的主要時區(qū)設(shè)定文件，每次啟動后Linux操作系統(tǒng)就讀取這個文件來設(shè)定系統(tǒng)預(yù)設(shè)要顯示時間，如：”Zone=Asia/Shanghai /etc/localtim ;本地系統(tǒng)的時間設(shè)定文件。 /bin/date Linux系統(tǒng)上面的日期與時間修改及輸出命令 /sbin/hwcloc

16、k 主機的BIOS時間與Linux系統(tǒng)時間分開date 這個指令調(diào)整后，只是影響系統(tǒng)時間。如果更改BIOS時間，需要用hwlock命令 /usr/sbin/ntpd ; NTP服務(wù)的守護進程 /usr/sbin/ntpdata ;NTP客戶端用來連接NTP服務(wù)器命令文件 /usr/sbin/ntpq 標(biāo)準(zhǔn)網(wǎng)絡(luò)計時協(xié)議（NTP）查詢程序 配置 rootwap etc# vi /etc/ntp.conf restrict default ignore /忽略所有ntp要求封包 restrict

17、60;restrict mask 48 nomodify restrict 202. 0.0.0 mask nomodify restrict 61. 0.0.0 mask nomodify /restrict可以針對子網(wǎng)、ip來進行限制，nomodify參數(shù)表示客戶端可以通過服務(wù)器端效驗，但不能更改服務(wù)器端參數(shù) server 0. server 1. server 2.pool.ntp

18、.org /注：server選項指定了使用哪一個服務(wù)器,每一個服務(wù)器都獨立一行,如果某一臺服務(wù)器上指定了 prefer (偏好) 參數(shù) restrict 0. restrict 1. restrict 2. /如果restric 后面不帶參數(shù)，表示可以允許全部權(quán)限 server # local clock fudge stratum 10 driftfile /var/lib/ntp/drift /driftfile 選項，則指定了用來保存系統(tǒng)時鐘頻率偏差的文件, ntpd程序使用它來自動地補償時鐘的自然漂移， 從而使時鐘即使在切斷了外來時源的情況下，仍能保持相當(dāng)?shù)臏?zhǔn)確度 broadcastdelay 0.008 logfile /var/log/ntp.log keys /etc/ntp/keys 客戶端設(shè)置： 通過crontab計時器進行設(shè)置，每5分鐘運行一次 */5 * * * * /usr/