華為交換機配置命令解釋

1、華為交換機配置命令解釋<Quidway> 用戶視圖，只能看配置 <Quidway>reset save （ 清除配置文件 ） <Quidway>reboot （ 重啟華為交換機 ） <Quidway>system view （ 進入配置模式 ） <Quidway>sys （ 省略式打法 ） 配置模式修改交換機：Quidwaysysname sw1sw1配置 VLAN:Quidwayvlan 2Quidway-vlan2port ether 0/10 to e 0/12Quidway-vlan2quit等同于Quidwayint e0/

2、13 Quidway-Ethernet0/13port access vlan 2 Quidway-Ethernet0/13quit配置 trunk 端口：Quidwayint e0/1Quidway-Ethernet0/1port link-type trunkQuidway-Ethernet0/1int e0/2Quidway-Ethernet0/2port link-type trunkQuidway-Ethernet0/2quit兩邊的端口都要配 trunk ，通過 trunk 不打標簽！默認 trunk 只允許 vlan 1 通過Quidwayint e0/1Quidway-Ethe

3、rnet0/1port trunk permit vlan allQuidway-Ethernet0/1int e0/2Quidway-Ethernet0/2port trunk permit vlan all兩邊端口都要配置充許 trunk 所有 VLAN ，如果是指定通過 vlan 號，將 vlan all 改成對應 的 vlan 編號即可。取消任何命令，是在命令前面加一個 undo 即可！如何防止交換機環(huán)路 :華為的交換機生成樹功能默認是關掉的交換機形成環(huán)路，所聯(lián)接的端口會不停的閃爍！ 方法一：啟用交換機生成樹Quidwaystp enable （開）Quidwaystp disable

4、 （關）要在兩臺交換機上配置 :方法二：通過鏈路聚合的方式來解決問題鏈路聚合可以提高帶寬和負載均衡,不能配置鏈路聚合時，兩端的端口模式需要配置成一樣（雙工，半又工），速率也要指定自己自協(xié)商狀態(tài)！Quidwaylink-aggregation e0/1 to e0/2 both如：Quidwayint e0/1Quidway-Ethernet0/1duplex fullQuidway-Ethernet0/1speed 100Quidway-Ethernet0/1int e0/2Quidway-Ethernet0/2duplex fullQuidway-Ethernet0/2speed 100查看

5、交換機日志Quidwaydis log路由器與路由器之間通信的安全保護配置方法一、保護路由器的物理安全二、保護管理接口的安全1、保護控制臺端口的訪問權限口令的設置應遵循以下原則：初使安裝之后立即配置口令，不使用缺省口令；確保特權級口令與用級口令的不同；口令使用字母數(shù)字混合字符以使口令破解難以成功。2、使用加密口令使用口令加密的方式( service password-encryption )來隱藏明文形式口令。使用 enable secret 命令配置特權模式口令。使用具有加密和認證傳輸機制的 SSH 協(xié)議及相應的和序，如 SecureCRT.3、調(diào)整線路參數(shù)使控制臺一定時間內(nèi)沒有任何命令鍵入

6、時會自動斷開Router(config-line)#exec-timeout minute second4、設置多個特權級別，進一步細化路由器的控制。在路由器用AAA 認證，建立用戶。Router(config ) #priiledge mode level level command |reset command5、控制 Telnet 訪問：要在虛擬終端接口 (vty )上通過設置訪問控制列表， 只允許在表中被定義的 IP 地址的 主機才能訪問網(wǎng)絡路由器。Router(config-line)#ip access-class number in6、控制 SNMP 訪問：公允許在訪問控制列表中

7、被指定的NMS (網(wǎng)絡管理系統(tǒng))的 IP 地址才能通過團體字符串訪問路由器代理。Router(config ) #snmp-server community string view view-name ro|rw此外還應配置 SNMP 中斷和通知，只發(fā)給被充許 NMS 主機?？梢杂?“ snmp-server host host trap 命令”，只將 SNMP 中斷消息發(fā)送給指定的 NMS 主機；用 “ snmp-server host host trap 命令，只將 SNMP 通知消息發(fā)送給指定的 NMS 主機。三、保護路由器之間通信安全。1、路由協(xié)議認證對于保護路由基礎設備 的安全來說，

8、使用 MD5 認證方式是推薦的做法。例如，在 OSPF 路由器上配置消息摘要認論證如下：Router(config-if)#ip ofpf message-digest-key key-id md5 encryption-type password ；在接 口上配置消息摘要密鑰Router(config)#area number authentication message-digest; 在區(qū)域 number 上啟用消息摘 要認證。2、用過濾器控制數(shù)據(jù)流第一、限制那些不想在路由更新中被廣播出去的網(wǎng)絡地址。例如，以下配置只允許網(wǎng)絡 有關的路由更新被從 S0 接口發(fā)出：Ro

9、uter(config)#access-list 27 permit 55Router(config)#router eigrpRouter(config-router)#network Router(config-router)#network Router(config-router)#destribute-list 27 out s0該特性可以應用于除 BGP和EGP之外的所有基于IP的路由協(xié)議。第二：抑制從路由更表中收到的網(wǎng)絡地址： 通過訪問控制列表的過濾作用，可以使路由器只接受那些來自己網(wǎng)絡中特定的、已

10、知路由器的路由表中的更新，但該特性對于鏈路狀態(tài)協(xié)議如OSPF或IS-IS等不起作用。例如：如下配置實現(xiàn)了一個訪問控制列表只接收來自被信任網(wǎng)絡 的路由更新：Router(config)#access-list 45 permit 55Router(config)#router eigrp 200Router(config)#distrbute 45 in serial 0 第四、可以利用訪問控制列表來拒絕那些來自己外部網(wǎng)絡但源地址卻是內(nèi)部地址的數(shù)據(jù)包， 以防止來自己網(wǎng)絡外部的欺騙性攻擊。 應在邊緣路由器上應用包過濾功能， 因為包過濾會降低路由器

11、的性能，配置興舉例如下：1、配置訪問 控制列表以拒絕假冒內(nèi)網(wǎng)地址的數(shù)據(jù)包Router(config)#access-list 102 deny ip 55 any logRouter(config-if)#ip access-group 102 in; 在路由器對外接口的入方向上應用訪問列表10o 內(nèi)網(wǎng)的 IP 地址段。2、配置動態(tài)訪問控制列表以允許已建立TCP 連接的數(shù)據(jù)流，既阻止外部連接的數(shù)據(jù)流而讓內(nèi)部發(fā)起連接的 TCP 數(shù)據(jù)流通過Router(config)#access-list 102 permit tcp 0.0.

12、0.255 .0 55 established3、控制對路由器的 HTTP 訪問：應使用訪問控制列表來限制只有特定的機器能通過流 覽器來訪問路由器?？砂慈缦屡渲茫篟outer(config)#access-list 25 permit 0 Router(config)#ip http access-class 25 ；只允許特定主機0 通過 HTTP 訪問路由器。四、關閉易受威脅或攻擊的功能或服務1、 “配置文件自動從 TFTP 服務器獲取 ”功能建議關閉：Router(config)# no boot

13、 networkRouter(config)# no service config2、“IP源路由”使用很少，易遭受攻擊，建議關閉：Router(config)# no ip source-router3、“ Proxy ARP 除”非,接口做橋接，否則關閉該服務：Router(config)# no ip proxy-arp4、“IP directed broadcast,可對特定局域網(wǎng)發(fā)廣播數(shù)據(jù)包，它可做為一種攻擊手段，建議關閉。5、 “IP redirect對特定設備發(fā)ICMP重定向數(shù)據(jù)包，建議只對信任區(qū)域開放該服務。6、關閉 DP 協(xié)議Router(config)# no cdp en

14、able7、建議過濾源地址與目標地址相同，源端口與目的端口相同的流量以防止 Land 攻擊。應過濾目的地址為廣播地址的流量。8、建議關閉入方向ICMP重定向、ech0、掩碼請求數(shù)據(jù)，同時出方向流量允許ICMPecho、parameter-problem、packet-too-big、source-quench,其他全部過濾，對于 traceroute 流 量，入方向關閉，出方向開放。NTP時間服務器安裝學習筆記NTP 服務器安裝手記隨著時間的推移， 計算機的時鐘會傾向于漂移。 網(wǎng)絡時間協(xié)議 (NTP) 是一種確保您的 時鐘保持準確的方法。一般系統(tǒng)默認都安裝了 NTP 服務如可以用以下命令查看r

15、ootwap etc# rpm -qa |grep ntpntp-4.2.0.a.20040617-4.EL4.1NTP 服務，主要包括四個文件/etc/ntp.conf ； NTP 服務的主配置文件。/usr/share/zoneinfo ; 規(guī)定了各主要時區(qū)的時間設定文件，如上海 /usr/share/zoneinfo/Asia/Shanghai/etc/sysconfig/clock ; Linux 的主要時區(qū)設定文件，每次啟動后 Linux 操作系統(tǒng)就讀取這 個文件來設定系統(tǒng)預設要顯示時間，如：” Zone=Asia/Shanghai/etc/localtim ; 本地系統(tǒng)的時間設定文

16、件。/bin/date Linux 系統(tǒng)上面的日期與時間修改及輸出命令/sbin/hwclock 主機的 BIOS 時間與 Linux 系統(tǒng)時間分開 date 這個指令調(diào)整后，只是影 響系統(tǒng)時間。如果更改 BIOS 時間，需要用 hwlock 命令/usr/sbin/ntpd ; NTP 服務的守護進程/usr/sbin/ntpdata ;NTP 客戶端用來連接 NTP 服務器命令文件/usr/sbin/ntpq 標準網(wǎng)絡計時協(xié)議（ NTP ）查詢程序配置rootwap etc# vi /etc/ntp.confrestrict default ignore/忽略所有 ntp 要求封包rest

17、rict restrict mask 48 nomodifyrestrict 202. 0.0.0 mask nomodifyrestrict 61. 0.0.0 mask nomodify通過crontab計時器進行設置，每5分鐘運行一次驗，但不能更改服務器端參數(shù)server 0.server 1.server 2.注：server選項指定了使用哪一個服務器，每一個服務器都獨立一行，如果某一臺服務器上指

18、定了 prefer （ 偏好 ） 參數(shù)restrict 0.restrict 1.restrict 2./如果 restric 后面不帶參數(shù)，表示可以允許全部權限server # local clockfudge stratum 10driftfile /var/lib/ntp/drift/driftfile 選項，則指定了用來保存系統(tǒng)時鐘頻率偏差的文件 , ntpd 程序使用它來自動地補償時鐘的自然漂移， 從而使時鐘即使在切斷了外來時源的情況下，仍能保持相當?shù)臏蚀_度broadcastdelay 0.008logfile /var/log/ntp.logkeys /etc/ntp/