华为交换机常用命令
端口安全
mac泛洪
主机伪造虚假的mac的地址去发送数据报文
交换机学虚假mac地址,地址沾满
配置端口安全抵挡mac泛洪攻击
port-security enable 开启端口安全
port-security max-mac-num配置接口最大数
聚合链路
int eth-trunk
mode lacp 配置为lacp协议
trunkport e0/0/1
max active-linkname 1配置活动接口上限阈值为2
lacp priority 100优先级
端口镜像
流量检查设备
审计设备
入侵检测设备
observe-port 1 interface eth 端口号 配置观察接口
mirroring-port to observe-port both
nat
静态转换:一对一转换 永久对应性关系可以根据公网ip锁定主机nat static global 公网地址 inside 内网ip
动态转换:多对多转换 nat address-group 起始地址 结束地址
端口多路复用 :多对一转换 携带端口号 源地址转换
端口映射 nat服务器:一般用内网服务器向外网提供服务 目的地址转换
easy-ip:将内网的所有地址或者一部分转换为出口设备的外网地址
配置acl 2001匹配内网需要上网的网段
[R1]acl 2001
[R1-acl-basic-2001]rule permit source 192.168.11.0 0.0.0.255
到路由出口GE0/0/1口调用acl 2001
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2001
napt:将内网的所有地址或者一部分转换为一个单独的公网ip
配置地址池
[R1]nat address-group 1 10.1.1.10 10.1.1.20
创建acl,匹配需要上网的内网段
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.11.0 0.0.0.255
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
默认允许所有
rule添加规则
traffic-filter 入站 acl 应用规则
基本acl
一个接口只能应用一个表号的acl 出站/入站
基于源ip地址过滤 2000-2999
高级acl
既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、
UDP源/目的端口号、生效时间段等来定义规则3000~3999
二层ACL
使用报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、二层协议类型等。4000~4999
用户视图 一般用于查看
系统视图 用于配置
接口视图 用于配置接口
视图切换
save保存配置
system-view 切换到系统
interface ethernet 进入接口
quit 退出
sysname 设置主机名
dis current-configuratio 查看当前配置信息display
dis mac-address 查看mac地址表
dis arp all 查看arp缓存表
二层交换机所有接口都是虚接口,二层接口不能配置ip,交换机的虚接口是vlan,交换机的默认vlan是vlan1
ospf协议
rip 10
version 2
import ospf 10 引入ospf协议
路由重分发e1内部加外部代价e2外部代价
ospf 10 配置进程id
area 1 指定区域
network 网络号 通配符
虚链路
vlink-peer 邻居routeid地址
arrp协议
虚拟路由冗余
在vrrp组中生成一台虚拟路由作为网关
通过优先级选举最高的为master其他是backup
组播发送vrrp消息
端口跟踪能根据路由器接口不可用时自动调整该路由器优先级
dis vrrp
vrrp vrid 33 virtual-ip 192.168.1.254指定组号和虚拟路由ip地址
vrrp vrid 33 priority 110设置优先级
vrrp vrid 33 preempt-mode timer delay 3 设置抢占
vrrp vrid 33 track interface GigabitEthernet0/0/1端口跟踪
stp生成树协议
禁用状态:交换机接口物理上是关闭的,当交换机的物理接口打开后进入侦听状态
侦听状态: 发送BPDU报文 (STP) 进行STP计算通过STP计算结果会有三种接口产生(根端口、指定端口、阻塞端口)根端口或者指定端口最终结果都会转发数据
进入学习状态:可以学习源MAC地址,不转发数据
进入转发状态:可以学习源MAC地址,可以转发数据阻寒端口不会转发数据
进入阻塞状态: 主要侦听BPDU报文 (监控网络的状态)
stp cost设置开销
stp pathcost-standard legacy端口路径开销计算方法为华为计算方法
stp cost 20000端口路径开销值为20000。
dis stp brief查看stp简要信息
stp root seconday 设置网桥
stp root primary设置为根网桥
stp解决广播风暴数据链路层没有ttl生存时间
选择根网桥 选择id最小的
id=32768mac地址
默认id都是32768
选择根端口
根路径成本由带宽决定
选择指定端口
根路径成本由带宽决定
id小的是dp dp指定端口 rp根端口
mstp配置
stp region-configuaration进入mst域
region-name 创建域名
instance 1 vlan 20 域名中创建实例
active region-configuration 将mst域配置活动
静态路由配置
ip route static 网络地址 下一跳地址 默认路由 0.0.0.0 0
dhcp服务
接口dhcp配置
dhcp select interface
全局dhc配置
dhcp enable
ip pool woniu
gateway-list 192.168.1.100
network 192.168.1.0 mask 255.255.255.0
dns-list 114.114.114.114
ip pool woniu1
gateway-list 192.168.2.100
network 192.168.2.0 mask 255.255.255.0
dns-list 8.8.8.8
dhcp relay sever
vlan配置
display vlan
vlan batch 10 to 30
port link-type access 接口配置接入
port default vlan 10
port trunk allow-pass vlan 允许通过的vlan
单臂路由配置
display interface 接口名称
int g0/0/0.1
dot1q termination vid 10 封装成vlan10
arp broadcast enable
undo shutdown 开启接口
配置telnet 和ssh远程连接
telnet
[Huawei]int vlan 1
[Huawei-Vlanif1]ip add 192.168.150.138 24
[Huawei-Vlanif1]q
[Huawei]q
[Huawei]telnet server enable
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]protocol inbound telnet
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei-ui-vty0-4]q
[Huawei]aaa
[Huawei-aaa]local-user zhangsan password cipher p-0p-0p-0
[Huawei-aaa]local-user zhangsan privilege level 15
[Huawei-aaa]local-user zhangsan service-type telnet
ssh
[Huawei]rsa local-key-pair create生成服务器秘钥对
[Huawei]aaa 进入aaa视图
[Huawei-aaa]local-user woniu password cipher p-0p-0p-0创建用户并设置密文密码
[Huawei-aaa]local-user woniu privilege level 3指定用户级别
[Huawei-aaa]local-user woniu service-type ssh指定用户类型为ssh用户
[Huawei-aaa]quit
[Huawei]user-interface vty 0 4 进入vty用户界面
[Huawei-ui-vty0-4]authentication-mode aaa配置用户认证为aaa认证
[Huawei-ui-vty0-4]protocol inbound ssh 配置vty用户支持的协议
[Huawei-ui-vty0-4]quit
[Huawei]ssh user woniu authentication-type all 配置ssh用户认证方式