華為交換機(jī)配置命令解釋_第1頁
華為交換機(jī)配置命令解釋_第2頁
華為交換機(jī)配置命令解釋_第3頁
華為交換機(jī)配置命令解釋_第4頁
華為交換機(jī)配置命令解釋_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

..華為交換機(jī)配置命令解釋<Quidway>用戶視圖,只能看配置<Quidway>resetsave<清除配置文件><Quidway>reboot<重啟華為交換機(jī)><Quidway>systemview<進(jìn)入配置模式><Quidway>sys<省略式打法>

[]配置模式修改交換機(jī):[Quidway]sysnamesw1[sw1]配置VLAN:[Quidway]vlan2[Quidway-vlan2]portether0/10toe0/12[Quidway-vlan2]quit等同于[Quidway]inte0/13[Quidway-Ethernet0/13]portaccessvlan2[Quidway-Ethernet0/13]quit配置trunk端口:[Quidway]inte0/1[Quidway-Ethernet0/1]portlink-typetrunk[Quidway-Ethernet0/1]inte0/2[Quidway-Ethernet0/2]portlink-typetrunk[Quidway-Ethernet0/2]quit兩邊的端口都要配trunk,通過trunk不打標(biāo)簽!默認(rèn)trunk只允許vlan1通過[Quidway]inte0/1[Quidway-Ethernet0/1]porttrunkpermitvlanall[Quidway-Ethernet0/1]inte0/2[Quidway-Ethernet0/2]porttrunkpermitvlanall兩邊端口都要配置充許trunk所有VLAN,如果是指定通過vlan號,將vlanall改成對應(yīng)的vlan編號即可。取消任何命令,是在命令前面加一個undo即可!如何防止交換機(jī)環(huán)路:華為的交換機(jī)生成樹功能默認(rèn)是關(guān)掉的交換機(jī)形成環(huán)路,所聯(lián)接的端口會不停的閃爍!方法一:啟用交換機(jī)生成樹[Quidway]stpenable〔開[Quidway]stpdisable〔關(guān)要在兩臺交換機(jī)上配置:方法二:通過鏈路聚合的方式來解決問題鏈路聚合可以提高帶寬和負(fù)載均衡配置鏈路聚合時,兩端的端口模式需要配置成一樣〔雙工,半又工,速率也要指定,不能自己自協(xié)商狀態(tài)![Quidway]link-aggregatione0/1toe0/2both如:[Quidway]inte0/1[Quidway-Ethernet0/1]duplexfull[Quidway-Ethernet0/1]speed100[Quidway-Ethernet0/1]inte0/2[Quidway-Ethernet0/2]duplexfull[Quidway-Ethernet0/2]speed100查看交換機(jī)日志[Quidway]dislog路由器與路由器之間通信的安全保護(hù)配置方法一、保護(hù)路由器的物理安全二、保護(hù)管理接口的安全1、保護(hù)控制臺端口的訪問權(quán)限口令的設(shè)置應(yīng)遵循以下原則:初使安裝之后立即配置口令,不使用缺省口令;確保特權(quán)級口令與用級口令的不同;口令使用字母數(shù)字混合字符以使口令破解難以成功。2、使用加密口令使用口令加密的方式〔servicepassword-encryption來隱藏明文形式口令。使用enablesecret命令配置特權(quán)模式口令。使用具有加密和認(rèn)證傳輸機(jī)制的SSH協(xié)議及相應(yīng)的和序,如SecureCRT.3、調(diào)整線路參數(shù)使控制臺一定時間內(nèi)沒有任何命令鍵入時會自動斷開Router<config-line>#exec-timeoutminutesecond4、設(shè)置多個特權(quán)級別,進(jìn)一步細(xì)化路由器的控制。在路由器用AAA認(rèn)證,建立用戶。Router<config#priiledgemode[levellevelcommand|resetcommand]5、控制Telnet訪問:要在虛擬終端接口〔vty上通過設(shè)置訪問控制列表,只允許在表中被定義的IP地址的主機(jī)才能訪問網(wǎng)絡(luò)路由器。Router<config-line>#ipaccess-classnumberin6、控制SNMP訪問:公允許在訪問控制列表中被指定的NMS〔網(wǎng)絡(luò)管理系統(tǒng)的IP地址才能通過團(tuán)體字符串訪問路由器代理。Router<config#snmp-servercommunitystring[viewview-name][ro|rw]此外還應(yīng)配置SNMP中斷和通知,只發(fā)給被充許NMS主機(jī)??梢杂?snmp-serverhosthosttrap"命令,只將SNMP中斷消息發(fā)送給指定的NMS主機(jī);用"snmp-serverhosthosttrap"命令,只將SNMP通知消息發(fā)送給指定的NMS主機(jī)。三、保護(hù)路由器之間通信安全。1、路由協(xié)議認(rèn)證對于保護(hù)路由基礎(chǔ)設(shè)備的安全來說,使用MD5認(rèn)證方式是推薦的做法。例如,在OSPF路由器上配置消息摘要認(rèn)論證如下:Router<config-if>#ipofpfmessage-digest-keykey-idmd5[encryption-type]password;在接口上配置消息摘要密鑰Router<config>#areanumberauthentication[message-digest];在區(qū)域number上啟用消息摘要認(rèn)證。2、用過濾器控制數(shù)據(jù)流第一、限制那些不想在路由更新中被廣播出去的網(wǎng)絡(luò)地址。例如,以下配置只允許網(wǎng)絡(luò)有關(guān)的路由更新被從S0接口發(fā)出:Router<config>#routereigrp.0Router<config-router>#destribute-list27outs0該特性可以應(yīng)用于除BGP和EGP之外的所有基于IP的路由協(xié)議。第二:抑制從路由更表中收到的網(wǎng)絡(luò)地址:通過訪問控制列表的過濾作用,可以使路由器只接受那些來自己網(wǎng)絡(luò)中特定的、已知路由器的路由表中的更新,但該特性對于鏈路狀態(tài)協(xié)議如OSPF或IS-IS等不起作用。例如:如下配置實現(xiàn)了一個訪問控制列表只接收來自被信任網(wǎng)絡(luò).0的路由更新:Router<config>#access-list45permitRouter<config>#routereigrp200Router<config>#distrbute45inserial0第四、可以利用訪問控制列表來拒絕那些來自己外部網(wǎng)絡(luò)但源地址卻是內(nèi)部地址的數(shù)據(jù)包,以防止來自己網(wǎng)絡(luò)外部的欺騙性攻擊。應(yīng)在邊緣路由器上應(yīng)用包過濾功能,因為包過濾會降低路由器的性能,配置興舉例如下:1、配置訪問控制列表以拒絕假冒內(nèi)網(wǎng)地址的數(shù)據(jù)包Router<config>#access-list102denyi.055anylogRouter<config-if>#ipaccess-group102in;在路由器對外接口的入方向上應(yīng)用訪問列表10o內(nèi)網(wǎng)的IP地址段。2、配置動態(tài)訪問控制列表以允許已建立TCP連接的數(shù)據(jù)流,既阻止外部連接的數(shù)據(jù)流而讓內(nèi)部發(fā)起連接的TCP數(shù)據(jù)流通過Router<config>#access-list102permittc.055.055established3、控制對路由器的訪問:應(yīng)使用訪問控制列表來限制只有特定的機(jī)器能通過流覽器來訪問路由器??砂慈缦屡渲茫篟outer<config>#access-list25permit0.0Router<config>#ipaccess-class25;只允許特定主機(jī)0通過訪問路由器。四、關(guān)閉易受威脅或攻擊的功能或服務(wù)1、"配置文件自動從TFTP服務(wù)器獲取"功能建議關(guān)閉:Router<config>#nobootnetworkRouter<config>#noserviceconfig2、"IP源路由"使用很少,易遭受攻擊,建議關(guān)閉:Router<config>#noipsource-router3、"ProxyARP",除非接口做橋接,否則關(guān)閉該服務(wù):Router<config>#noipproxy-arp4、"IPdirectedbroadcast",可對特定局域網(wǎng)發(fā)廣播數(shù)據(jù)包,它可做為一種攻擊手段,建議關(guān)閉。5、"IPredirect",對特定設(shè)備發(fā)ICMP重定向數(shù)據(jù)包,建議只對信任區(qū)域開放該服務(wù)。6、關(guān)閉DP協(xié)議Router<config>#nocdpenable7、建議過濾源地址與目標(biāo)地址相同,源端口與目的端口相同的流量以防止Land攻擊。應(yīng)過濾目的地址為廣播地址的流量。8、建議關(guān)閉入方向ICMP重定向、echo、掩碼請求數(shù)據(jù),同時出方向流量允許ICMPecho、parameter-problem、packet-too-big、source-quench,其他全部過濾,對于traceroute流量,入方向關(guān)閉,出方向開放。NTP時間服務(wù)器安裝學(xué)習(xí)筆記NTP服務(wù)器安裝手記隨著時間的推移,計算機(jī)的時鐘會傾向于漂移。網(wǎng)絡(luò)時間協(xié)議<NTP>是一種確保您的時鐘保持準(zhǔn)確的方法。一般系統(tǒng)默認(rèn)都安裝了NTP服務(wù)如可以用以下命令查看[rootwapetc]#rpm-qa|grepntpntp-NTP服務(wù),主要包括四個文件/etc/ntp.conf;NTP服務(wù)的主配置文件。/usr/share/zoneinfo;規(guī)定了各主要時區(qū)的時間設(shè)定文件,如上海/usr/share/zoneinfo/Asia/Shanghai/etc/sysconfig/clock;Linux的主要時區(qū)設(shè)定文件,每次啟動后Linux操作系統(tǒng)就讀取這個文件來設(shè)定系統(tǒng)預(yù)設(shè)要顯示時間,如:"Zone=Asia/Shanghai/etc/localtim;本地系統(tǒng)的時間設(shè)定文件。/bin/dateLinux系統(tǒng)上面的日期與時間修改及輸出命令/sbin/hwclock主機(jī)的BIOS時間與Linux系統(tǒng)時間分開date這個指令調(diào)整后,只是影響系統(tǒng)時間。如果更改BIOS時間,需要用hwlock命令/usr/sbin/ntpd;NTP服務(wù)的守護(hù)進(jìn)程/usr/sbin/ntpdata;NTP客戶端用來連接NTP服務(wù)器命令文件/usr/sbin/ntpq標(biāo)準(zhǔn)網(wǎng)絡(luò)計時協(xié)議〔NTP查詢程序配置[rootwapetc]#vi/etc/ntp.confrestrictdefaultignore//忽略所有ntp要求封包restrictmask48nomodifyrestrictmasknomodifyrestrictmasknomodify//restrict可以針對子網(wǎng)、ip來進(jìn)行限制,nomodify參數(shù)表示客戶端可以通過服務(wù)器端效驗,但不能更改服務(wù)器端參數(shù)//注:server選項指定了使用哪一個服務(wù)器,每一個服務(wù)器都獨立一行,如果某一臺服務(wù)器上指定了prefer<偏好>參數(shù)//如果restric后面不帶參數(shù),表示可以允許全部權(quán)限server#localclockfudgestratum10driftfile/var/lib/ntp/drift//driftfile選項,則指定了用來保存系統(tǒng)時鐘頻率偏差的文件,ntpd程序使用它來自動地補(bǔ)償時鐘的自然漂移,從而使時鐘即使在切

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論