华为交换机配置命令解释.doc

华为交换机配置命令解释用户视图，只能看配置reset save (清除配置文件)reboot (重启华为交换机)system view (进入配置模式)sys (省略式打法)配置模式修改交换机：Quidwaysysname sw1sw1配置VLAN:Quidwayvlan 2Quidway-vlan2port ether 0/10 to e 0/12Quidway-vlan2quit等同于Quidwayint e0/13Quidway-Ethernet0/13port access vlan 2Quidway-Ethernet0/13quit配置trunk端口：Quidwayint e0/1Quidway-Ethernet0/1port link-type trunkQuidway-Ethernet0/1int e0/2Quidway-Ethernet0/2port link-type trunkQuidway-Ethernet0/2quit两边的端口都要配trunk，通过trunk 不打标签！默认trunk 只允许vlan 1 通过Quidwayint e0/1Quidway-Ethernet0/1port trunk permit vlan allQuidway-Ethernet0/1int e0/2Quidway-Ethernet0/2port trunk permit vlan all两边端口都要配置充许trunk 所有VLAN，如果是指定通过 vlan号，将vlan all 改成对应的vlan编号即可。取消任何命令，是在命令前面加一个 undo 即可！如何防止交换机环路:华为的交换机生成树功能默认是关掉的交换机形成环路，所联接的端口会不停的闪烁！方法一：启用交换机生成树Quidwaystp enable（开）Quidwaystp disable（关）要在两台交换机上配置:方法二：通过链路聚合的方式来解决问题链路聚合可以提高带宽和负载均衡配置链路聚合时，两端的端口模式需要配置成一样（双工，半又工），速率也要指定,不能自己自协商状态！Quidwaylink-aggregation e0/1 to e0/2 both如：Quidwayint e0/1Quidway-Ethernet0/1duplex fullQuidway-Ethernet0/1speed 100Quidway-Ethernet0/1int e0/2Quidway-Ethernet0/2duplex fullQuidway-Ethernet0/2speed 100查看交换机日志Quidwaydis log路由器与路由器之间通信的安全保护配置方法一、保护路由器的物理安全二、保护管理接口的安全1、保护控制台端口的访问权限口令的设置应遵循以下原则：初使安装之后立即配置口令，不使用缺省口令；确保特权级口令与用级口令的不同；口令使用字母数字混合字符以使口令破解难以成功。2、使用加密口令使用口令加密的方式（service password-encryption）来隐藏明文形式口令。使用enable secret命令配置特权模式口令。使用具有加密和认证传输机制的SSH协议及相应的和序，如SecureCRT.3、调整线路参数使控制台一定时间内没有任何命令键入时会自动断开Router(config-line)#exec-timeout minute second4、设置多个特权级别，进一步细化路由器的控制。在路由器用AAA认证，建立用户。Router(config）#priiledge mode level level command |reset command5、控制Telnet访问：要在虚拟终端接口（vty）上通过设置访问控制列表，只允许在表中被定义的IP地址的主机才能访问网络路由器。Router(config-line)#ip access-class number in6、控制SNMP访问：公允许在访问控制列表中被指定的NMS（网络管理系统）的IP地址才能通过团体字符串访问路由器代理。Router(config）#snmp-server community string view view-name ro|rw此外还应配置SNMP中断和通知，只发给被充许NMS主机。可以用“snmp-server host host trap”命令，只将SNMP中断消息发送给指定的NMS主机；用“snmp-server host host trap”命令，只将SNMP通知消息发送给指定的NMS主机。三、保护路由器之间通信安全。1、路由协议认证对于保护路由基础设备 的安全来说，使用MD5认证方式是推荐的做法。例如，在OSPF路由器上配置消息摘要认论证如下：Router(config-if)#ip ofpf message-digest-key key-id md5 encryption-type password；在接口上配置消息摘要密钥Router(config)#area number authentication message-digest;在区域number上启用消息摘要认证。2、用过滤器控制数据流第一、限制那些不想在路由更新中被广播出去的网络地址。例如，以下配置只允许网络172.16.0.0有关的路由更新被从S0接口发出：Router(config)#access-list 27 permit 172.16.0.0 0.0.255.255Router(config)#router eigrpRouter(config-router)#network 172.16.0.0Router(config-router)#network 192.168.2.0Router(config-router)#destribute-list 27 out s0该特性可以应用于除BGP和EGP之外的所有基于IP的路由协议。第二：抑制从路由更表中收到的网络地址：通过访问控制列表的过滤作用，可以使路由器只接受那些来自己网络中特定的、已知路由器的路由表中的更新，但该特性对于链路状态协议如OSPF或IS-IS等不起作用。例如：如下配置实现了一个访问控制列表只接收来自被信任网络10.2.0.0的路由更新：Router(config)#access-list 45 permit 10.2.0.0 0.0.255.255Router(config)#router eigrp 200Router(config)#distrbute 45 in serial 0第四、可以利用访问控制列表来拒绝那些来自己外部网络但源地址却是内部地址的数据包，以防止来自己网络外部的欺骗性攻击。应在边缘路由器上应用包过滤功能，因为包过滤会降低路由器的性能，配置兴举例如下：1、配置访问 控制列表以拒绝假冒内网地址的数据包Router(config)#access-list 102 deny ip 10.1.2.0 0.0.0.255 any logRouter(config-if)#ip access-group 102 in; 在路由器对外接口的入方向上应用访问列表10210.1.2.0o内网的IP地址段。2、配置动态访问控制列表以允许已建立TCP连接的数据流，既阻止外部连接的数据流而让内部发起连接的TCP数据流通过Router(config)#access-list 102 permit tcp 10.6.1.0 0.0.0.255 10.1.2.0.0 0.0.0.255 established3、控制对路由器的HTTP访问：应使用访问控制列表来限制只有特定的机器能通过流览器来访问路由器。可按如下配置：Router(config)#access-list 25 permit 10.147.241.30 0.0.0.0Router(config)#ip http access-class 25；只允许特定主机 10.147.241.30通过HTTP访问路由器。四、关闭易受威胁或攻击的功能或服务1、“配置文件自动从TFTP服务器获取”功能建议关闭：Router(config)# no boot networkRouter(config)# no service config2、“IP源路由”使用很少，易遭受攻击，建议关闭：Router(config)# no ip source-router3、 “Proxy ARP”,除非接口做桥接，否则关闭该服务：Router(config)# no ip proxy-arp4、“IP directed broadcast”，可对特定局域网发广播数据包，它可做为一种攻击手段，建议关闭。5、“IP redirect”,对特定设备发ICMP重定向数据包，建议只对信任区域开放该服务。6、关闭DP协议Router(config)# no cdp enable7、建议过滤源地址与目标地址相同，源端口与目的端口相同的流量以防止Land攻击。应过滤目的地址为广播地址的流量。8、建议关闭入方向ICMP重定向、echo、掩码请求数据，同时出方向流量允许ICMP echo、parameter-problem、packet-too-big、source-quench,其他全部过滤，对于traceroute 流量，入方向关闭，出方向开放。NTP时间服务器安装学习笔记NTP服务器安装手记随着时间的推移，计算机的时钟会倾向于漂移。网络时间协议 (NTP) 是一种确保您的时钟保持准确的方法。一般系统默认都安装了NTP服务如可以用以下命令查看rootwap etc# rpm -qa |grep ntpntp-4.2.0.a.20040617-4.EL4.1NTP服务，主要包括四个文件/etc/ntp.conf ； NTP服务的主配置文件。/usr/share/zoneinfo ;规定了各主要时区的时间设定文件，如上海/usr/share/zoneinfo/Asia/Shanghai/etc/sysconfig/clock ; Linux的主要时区设定文件，每次启动后Linux操作系统就读取这个文件来设定系统预设要显示时间，如：”Zone=Asia/Shanghai/etc/localtim ;本地系统的时间设定文件。/bin/date Linux系统上面的日期与时间修改及输出命令/sbin/hwclock 主机的BIOS时间与Linux系统时间分开date 这个指令调整后，只是影响系统时间。如果更改BIOS时间，需要用hwlock命令/usr/sbin/ntpd ; NTP服务的守护进程/usr/sbin/ntpdata ;NTP客户端用来连接NTP服务器命令文件/usr/sbin/ntpq 标准网络计时协议（NTP）查询程序配置rootwap etc# vi /etc/ntp.confrestrict default ignore/忽略所有ntp要求封包restrict 127.0.0.1restrict 218.0.0.0 mask 255.255.255.248 nomodifyrestrict 202. 0.0.0 mask 255.255.255.0 nomodifyrestrict 61. 0.0.0 mask 255.255.255.0 nomodify/restrict可以针对子网、ip来进行限制，nomodify参数表示客户端可以通过服务器端效验，但不能更改服务器端参数server 0.pool.ntp.orgserver 1.pool.ntp.orgserver 2.pool.ntp.org/注：server选项指定了使用哪一个服务器,每一个服务器都独立一行,如果某一台服务器上指定了 prefer (偏好) 参数restrict 0.pool.ntp.orgrestrict 1.pool.ntp.orgrestrict 2.pool.ntp.org/如果restric 后面不带参数，表示可以允许全部权限server 127.127.1.0 # local clockfudge 127.127.1.0 stratum 10driftfile /var/lib/ntp/drift/driftfile 选项，则指定了用来保存系统时钟频率偏差的文件, ntpd程序使用它来自动地补偿时钟的自然漂移， 从而使时钟即使在切断了外来时源的情况下，仍能保持相当的准确度broadcastdelay 0.008logfile /var/log/ntp.logkeys /etc/ntp/keys客户端设置：通过crontab计时器进行设置，每5分钟运行一次*/5 * * * * /usr/local/wapsh/ntprsync.shrootAppServer wapsh# cat ntprsync.sh#!/bin/sh/usr/sbin/ntpdate 218.0.0.1/sbin/hwclock w这里218.0.0.1为服务器端ip，这样客户端每隔5分钟就与服务器进行时间同步注：210.72.145.44 （中科院国家授时中心的服务器国内服务器，强烈推荐） time-nw.nist.gov time.nist.gov