华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性,在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。
使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。
图1 配置DHCP Snooping基本功能组网图如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP服务器。以Switch_1为例,在使能DHCP Snooping功能时需要注意:使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了设备的DHCP功能。
全局使能DHCP Snooping功能后,还需要在连接用户的接口(如图中的接口if1、if2和if3)或其所属VLAN(如图中的VLAN 10)使能DHCP Snooping 功能。
当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN 使能DHCP Snooping功能。
请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。
1、使能DHCP Snooping功能
[Huawei]dhcp snooping enable ?
ipv4 DHCPv4 Snooping
ipv6 DHCPv6 Snooping
vlan Virtual LAN
或
[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能
或
[Huawei-vlan2]dhcp snooping enable
[Huawei-GigabitEthernet0/0/3]dhcp snooping enable
2、配置接口信任状态
[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted
或
[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/6
3、去使能DHCP Snooping用户位置迁移功能
在移动应用场景中,若某一用户由接口A上线后,切换到接口B重新上线,用户将发送DHCP Discover报文申请IP地址。
缺省情况下设备使能DHCP Snooping功能之后将允许该用户上线,并刷新DHCP Snooping绑定表。
但是在某些场景中,这样的处理方式存在安全风险,比如网络中存在攻击者仿冒合法用户发送DHCP Discover报文,最终导致DHCP Snooping绑定表被刷新,合法用户网络访问中断。
此时需要去使能DHCP Snooping用户位置迁移功能,丢弃DHCP Snooping 绑定表中已存在的用户(用户MAC信息存在于DHCP Snooping绑定表中)从其他接口发送来的DHCP Discover报文。
[Huawei]undo dhcp snooping user-transfer enable
4、配置ARP与DHCP Snooping的联动功能
DHCP Snooping设备在收到DHCP用户发出的DHCP Release报文时将会删除该用户对应的绑定表项,但若用户发生了异常下线而无法发出DHCP Release报文时,DHCP Snooping设备将不能够及时的删除该DHCP用户对应的绑定表。
使能ARP与DHCP Snooping的联动功能,如果DHCP Snooping表项中的IP地址对应的ARP表项达到老化时间,则DHCP Snooping设备会对该IP 地址进行ARP探测,如果在规定的探测次数探测不到用户,设备将删除用户对应的ARP表项。之后,设备将会再次按规定的探测次数对该IP地址进行ARP 探测,如果最后仍不能够探测到用户,则设备将会删除该用户对应的绑定表项。只有设备作为DHCP Relay时,才支持ARP与DHCP Snooping的联动功能。
[Huawei]arp dhcp-snooping-detect enable
5、配置用户下线后及时清除对应MAC表项功能
当某一DHCP用户下线时,设备上其对应的动态MAC表项还未达到老化时间,则设备在接收到来自网络侧以该用户IP地址为目的地址的报文时,将继续根据动态MAC表项转发此报文。
这种无效的报文处理在一定程度上将会降低设备的性能。
设备在接收到DHCP用户下线时发送DHCP Release报文后,将会立刻删除用户对应的DHCP Snooping绑定表项。利用这种特性,使能当DHCP Snooping动态表项清除时移除对应用户的MAC表项功能,则当用户下线时,设备将会及时的移除用户的MAC表项。
[Huawei]dhcp snooping user-offline remove mac-address
6、配置丢弃GIADDR字段非零的DHCP报文
DHCP报文中的GIADDR(Gateway Ip Address)字段记录了DHCP报文经过的第一个DHCP Relay的IP地址,当客户端发出DHCP请求时,如果服务器和客户端不在同一个网段,那么第一个DHCP Relay在将DHCP请求报文转发给DHCP服务器时,会把自己的IP地址填入此字段,DHCP服务器会根据此字段来判断出客户端所在的网段地址,从而选择合适的地址池,为客户端分配该网段的IP地址。
图1 多DHCP中继场景下DHCP报文处理流程(以DHCP Request 报文为例)
如上图1所示,在为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数,DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上(如图中的DHCP Relay1设备)。
故DHCP Snooping设备接收到的DHCP报文中GIADDR字段必然为零,若不为零则该报文为非法报文,设备需丢弃此类报文。在DHCP中继使能DHCP Snooping场景中,建议配置该功能。
通常情况下,PC发出的DHCP报文中GIADDR字段为零。在某些情况下,PC发出的DHCP报文中GIADDR字段不为零,可能导致DHCP服务器分配错误的IP地址。为了防止PC用户伪造GIADDR字段不为零的DHCP报文申请IP 地址,建议配置该功能。
[Huawei]dhcp snooping check dhcp-giaddr enable vlan ?
INTEGER<1-4094> Virtual LAN ID
或
[Huawei-vlan5]dhcp snooping check dhcp-giaddr enable
或
[Huawei-GigabitEthernet0/0/2]dhcp snooping check dhcp-giaddr enable
7、使能DHCP Server探测功能
在使能DHCP Snooping功能并配置了接口的信任状态之后,设备将能够保证客户端从合法的服务器获取IP地址,这将能够有效的防止DHCP Server仿冒者攻击。
但是此时却不能够定位DHCP Server仿冒者的位置,使得网络中仍然存在着安全隐患。
通过配置DHCP Server探测功能,DHCP Snooping设备将会检查并在日志中记录所有DHCP回应报文中携带的DHCP Server地址与接口等信息,此后网络管理员可根据日志来判定网络中是否存在伪DHCP Server进而对网络进行维护。
[Huawei]dhcp server detect
8、防止DHCP报文泛洪攻击
在DHCP网络环境中,若存在DHCP用户短时间向设备发送大量的DHCP 报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无常工作。通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。
8.1、使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能[Huawei-vlan3]dhcp snooping check dhcp-rate enable # 接口视图下命令一样
或
[Huawei]dhcp snooping check dhcp-rate enable ?
INTEGER<1-100> Rate value (Unit:pps)
alarm Alarm
vlan Virtual LAN
8.2、DHCP报文上送DHCP报文处理单元的最大允许速率
[Huawei-vlan3]dhcp snooping check dhcp-rate ?
INTEGER<1-100> Rate value (Unit:pps)
enable Enable
[Huawei-vlan3]dhcp snooping check dhcp-rate 80
8.3、使能当丢弃的DHCP报文数达到告警阈值时的告警功能
[Huawei-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-rate enable
8.4、配置接口下被丢弃的DHCP报文的告警阈值
[Huawei-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-rate threshold ?
INTEGER<1-1000> Threshold value (Unit:packets)
9、防止仿冒DHCP报文攻击
在DHCP网络环境中,若攻击者仿冒合法用户的DHCP Request报文发往DHCP Server,将会导致用户的IP地址租约到期之后不能够及时释放,以致合法用户无法使用该IP地址;若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。
在生成DHCP Snooping绑定表后,设备可根据绑定表项,对DHCP Request 报文或DHCP Release报文进行匹配检查,只有匹配成功的报文设备才将其转发,否则将丢弃。
这将能有效的防止非法用户通过发送伪造DHCP Request或DHCP Release 报文冒充合法用户续租或释放IP地址。
9.1、使能对从指定VLAN上送的DHCP报文进行绑定表匹配检查的功能[Huawei]dhcp snooping check dhcp-request enable vlan ? INTEGER<1-4094> Virtual LAN ID
或
[Huawei-GigabitEthernet0/0/2]dhcp snooping check dhcp-request enable
9.2、使能与绑定表不匹配而被丢弃的DHCP报文数达到阈值时的DHCP Snooping告警功能
[Huawei-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-request enable
9.3、DHCP Snooping丢弃报文数量的告警阈值。
交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为、 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率 限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的 粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的 级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess(注:接口类型access,hybrid、trunk) [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组)vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变DS模块来实现(关闭配置后的确认信息显示) info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现(打开配置后的确认信息显示)
端口限速基本配置1 端口绑定基本配置 ACL基本配置 密码恢复 三层交换配置 端口镜像配置 DHCP配置 配置文件管理 远程管理配置 STP配置 私有VLAN配置 端口trunk、hybrid应用配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』
华为交换机配置实用手册 实验一使用华为Quidway系列交换机简单组网1.1实验目的 1.掌握华为Quidway系列交换机上的基本配置命令; 2.掌握VLAN的原理和配置; 3.掌握端口聚合(Link Aggregation)的原理和配置; 4.掌握生成树协议(STP)的原理和配置; 5.掌握GVRP协议的原理和配置; 6.掌握三层交换机和访问控制列表(ACL)的原理和配置; 7.掌握如何从PC机或其他交换机远程配置某交换机。 1.2实验环境 Quidway S3026以太网交换机2台,Quidway S3526以太网交换机1台, PC机4台,标准网线6根 Quidway S3026软件版本:V100R002B01D011;Bootrom版本:V1.1 Quidway S3526软件版本:V100R001B02D006;Bootrom版本:V3.0 1.3实验组网图 在下面的每个练习中给出。 1.4实验步骤 1.4.1VLAN配置 首先依照下面的组网图将各实验设备相连,然后正确的配置各设备的IP地址。有两台Quidway S3026交换机和四台PC机。每台PC机的IP地址指定如下: PCA:10.1.1.1 PCB:10.1.2.1 PCC:10.1.1.2 PCD:10.1.2.2 掩码:255.255.255.0 请完成以下步骤: 1、如上图所示,配置四台PC机属于各自的VLAN。 2、将某些端口配置成trunk端口,并允许前面配置的所有VLAN通过。 3、测试同一VLAN中的PC机能否相互Ping通。 配置如下: SwitchA: SwitchA(config)#vlan 2//创建VLAN2 SwitchA(config-vlan2)#switchport ethernet0/9//将以太口9划入VLAN2 SwitchA(config-vlan2)#vlan3//创建VLAN3
华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性,在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。 使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。 图1 配置DHCP Snooping 基本功能组网图 如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP服务器。以Switch_1为例,在使能DHCP Snooping功能时需要注意:使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了设备的DHCP功能。 全局使能DHCP Snooping功能后,还需要在连接用户的接口(如图中的接口if1、if2和if3)或其所属VLAN(如图中的VLAN 10)使能DHCP Snooping 功能。 当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN使能DHCP Snooping功能。 请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。 1、使能DHCP Snooping功能 [Huawei]dhcp snooping enable ? ipv4 DHCPv4 Snooping ipv6 DHCPv6 Snooping vlan Virtual LAN
最新华为交换机常用配置实例 2016最新华为交换机常用配置实例 华为交换机常用配置实例 sys进入到系统视图 Entersystemview,returntouserviewwithCtrl+Z. [Quidway]user-interfaceaux0 [Quidway-ui-aux0]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-aux0]qu [Quidway]local-userhuawei增加用户名 Newlocaluseradded. [Quidway-luser-huawei]passwordsimplehuawei配置密码,且密码不加密 [Quidway-luser-huawei]service-typetelnetsshlevel3 服务类型为SSH和telnet,且用户登陆后权限为管理员权限 [Quidway-luser-huawei]qu [Quidway]user-interfacevty04 [Quidway-ui-vty0-4]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-vty0-4]
save 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如)。 键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入"?" 2、命令视图 (1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入 (2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view (3)以太网端口视图(配置以太网端口参数)[Quidway- Ethernet0/1]:在系统视图下键入interfaceethernet0/1 (4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan1 (5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参 数)[Quidway-Vlan-interface1]:在系统视图下键入 interfacevlan-interface1 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-useruser1
华为交换机常用命令: 1、display current-configuration 显示当前配置 2、display interface GigabitEthernet 1/1/4 显示接口信息 3、display packet-filter interface GigabitEthernet 1/1/4 显示接口acl应用信息 4、display acl all 显示所有acl设置3900系列交换机 5、display acl config all 显示所有acl设置6500系列交换机 6、display arp 10.78.4.1 显示该ip地址的mac地址,所接交换机的端口位置 7、display cpu显示cpu信息 8、system-view 进入系统图(配置交换机),等于config t 命令 9、acl number 5000 在system-view命令后使用,进入acl配置状态 10、rule 0 deny 0806 ffff 24 0a4e0401 f 40 在上面的命令后使用,,acl 配置例子 11、rule 1 permit 0806 ffff 24 000fe218ded7 f 34 //在上面的命令后使用,acl配置例子 12、interface GigabitEthernet 1/0/9 //在system-view命令后使用,进入接口配置状态 13、[86ZX-S6503-GigabitEthernet1/0/9]qos //在上面的命令后使用,进入接口qos配置 14、[86ZX-S6503-qosb-GigabitEthernet1/0/9]packet-filter inbound user-group 5000 //在上面的命令后使用,在接口上应用进站的acl 15、[Build4-2_S3928TP-GigabitEthernet1/1/4]packet-filter outbound user-group 5001 //在接口上应用出站的acl 16、undo acl number 5000 //取消acl number 5000 的设置 17、ip route-static 0.0.0.0 0.0.0.0 10.78.1.1 preference 60 //设置路由 18、reset counters interface Ethernet 1/0/14 //重置接口信息 19、save //保存设置 20、quit //退出(此信息仅为分享之用,我们不排除对您并不适用的可能。另,如此信息侵犯您的权益,请告知我们,我们会及时删除) 华为路由器交换机配置命令:交换机命令 [Quidway]discur;显示当前配置 [Quidway]displaycurrent-configuration;显示当前配置 [Quidway]displayinterfaces;显示接口信息 [Quidway]displayvlanall;显示路由信息 [Quidway]displayversion;显示版本信息 [Quidway]superpassword;修改特权用户密码 [Quidway]sysname;交换机命名
BIOS LOADING ... CopyrighT (c) 2008-2011 HUAWEI TECH CO,, LTD, (Ver248t ^un 26 2012, 18:54:52) press ctr1+B to enrer BOOTROM menu ?*. 0 Auto-booti ng.,. Decompressing image file .*? done Inirialize FSP Task PPI DEV sysinit .............................................. OK vrrp emd di sabl e... BFD emd disable*.. SEP emd di sable? * ? Hard system init............................................ OK Begin to start the system, pl ease wai ti ng VOS VF5彳门亍工 ............................... O K. Starrup File Check........................................ O K vos monitor ini t*..*,*..* .OK CFM inix advan匚E ........................................ OK PAT init .......................................................... OK HA S2M 1nit.................................................. O K VDS VFS irht hind............................. OK vRP_Root begin,,, VRP_in111 al 1zeTask begin.?. init the Device Link .................................... . . CFG(_planETrrit begin................................ CFM_Ini t begi n ........................................... CLi_cmdinit begin■ VRP_RegestAnLiNK€ird begin create task begi门……. task 1n1t begin... Recover configurate on, ,, OK!Press ENTER To get started. 恢复出厂设置:
1:配置登录用户,口令等 vQuidway> // 用户直行模式提示符,用户视图 vQuidway>system-view // 进入配置视图 [Quidway] // 配置视图(配置密码后必须输入密码才可进入配置视图)[Quidway] sysname xxx // 设置主机名成为xxx这里使用 [Quidway] aaa // 进入aaa认证模式定义用户账户 [Quidway-aaa] local-user wds password cipher wds [Quidway-aaa] local-user wds level 15 [Quidway-aaa] local-user wds service-type telnet term inal ssh // 有时候这个命令是最先可以运 // 行的,上边两个命令像password,level都是定义完vty 的 // authe nticati on-m ode aaa 后才出现 [Quidway-aaa] quit [Quidway] user-i nteface vty 0 4 // 当时很奇怪这个命令就是找不到,最后尝试了几次 才能运行 [Quidway-ui-vtyO-4] authe nticati on-m ode aaa [Quidway-ui-vtyO-4] quit 2 :华为S930 3 VLan设置 创建vlan :
实验三华为交换机配置 【实验题目】 华为交换机配置 【实验课时】 2课时。 【实验目的】 1.了解华为交换机的基本端口以及IOS软件。 2.掌握华为交换机的配置途径。 3.掌握华为交换机的三种访问方式。 4.掌握华为交换机初始设置。 【实验环境】 华为交换机一台(型号不限)、PC机一台,操作系统要为Windows 98/NT/2000/xp,装有超级终端软件;Console 电缆1条。 【实验内容和主要步骤】 一、交换机配置途径 一般来说,可以用5种方式来设置交换机: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但交换机的第一次设置必须通过第1种方式进行;这时终端的硬件设置为波特率:9600,数据位:8,停止位:1,无校验。
二、交换机的几种基本访问模式: 一台新交换机开机时自动进入的状态,这时可通过对话方式对交换机进行设置。利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后,交换机首先会显示一些提示信息, 华为交换机基本配置过程 一:交换机基本配置: 1.进入2403交换机,进入用户模式。 2.在命令提示符“>”下,键入“system-view”并回车。 3.键入“display courrent-config”,察看当前配置情况,注意这是缺省值。(有可能是display courrent-config,因为版本不一)。 4.键入“display version”参看交换机上IOS版本。 5.设置2403交换机名称,使用“sysname”命令(也有可能是hostname命令)。 如:Hostname 2403A(此交换机名为2403A)。 6.使用display interface来察看关于全部接口的统计表。 7.使用display int ?来察看所有可用的以太网和快速以太网的命令。 8.使用display int Ethernet ? 9. 使用display int e 0/2 来察看关于2接口的统计表 10. 使用reset saved-configuration 删除flash或NVRAM中的配置信息。保持默认信息。请大家不要轻易使用。.
华为S5700交换机的基础配置命令 # 设置设备的名称为GSH-FZ-Front system-view [Quidway] sysname GSH-FZ-Front? # 设置查看设备的时区,时间 clock timezone BJ add 8 clock datetime 18:20:30 2011-06-08 display clock #telnet远程登录 system-view [Quidway] aaa [Quidway-aaa] local-user testadmin password cipher p@ssw0rd privilege level 15 [Quidway-aaa] quit [Quidway]user-interface vty 0 4 [Quidway-vty0-4]authentication-mode aaa #添加VLAN system-view [Quidway] vlan 128 [Quidway-vlan128] quit #设定端口模式 system-view [Quidway] int gigabitethernet 0/0/1 [Quidway-GigabitEthernet0/0/1] port link-type access #将端口加入Vlan system-view [Quidway] vlan 131
[Quidway-vlan131] port gigabitethernet 0/0/21 to 0/0/22 [Quidway-Vlan131] quit #设置Trunk system-view [Quidway] interface GigabitEthernet 0/0/23 [Quidway-GigabitEthernet0/0/23] port link-type trunk [Quidway-GigabitEthernet0/0/23] port trunk allow-pass vlan 128 131 #设置VLAN IP(管理IP) system-view [Quidway] interface vlanif 131 [Quidway-Vlanif131] ip address 192.168.0.253 255.255.255.0 [Quidway-Vlanif131] shutdown [Quidway-Vlanif131] undo shutdown #设置默认路由 system-view [Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.254 #设定NTP system-view [Quidway] ntp-service unicast-peer 192.168.0.254 # 关闭WEB Server,dhcp system-view [Quidway] undo http server enable [Quidway] undo dhcp enable #保存配置 save #相关查看命令
华为交换机配置命令 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如
telnet登陆华为交换机配置教程 通过telnet登陆华为交换机之前,需先要通过console登陆配置好VTY。 用户通过Telnet登录设备的缺省值 参数缺省值 Telnet服务器功能出厂情况下,Telnet服务器功能处于去使能状态Telnet服务器端口号23 VTY用户界面的认证方式没有配置认证方式 VTY用户界面所支持的协议Telnet协议 用户级别VTY用户界面对应的默认命令访问级别是0 除了配置好VTY之外,还可以修改telnet的缺省参数值以及一些安全功能等。 1、打开telnet服务端的telnet功能(华为有些型号设备出厂默认关闭此功能)[Huawei]telnet server enable 2、修改telnet服务端端口号 配置Telnet服务器的端口号,使攻击者无法获知更改后的Telnet服务器端 口号,有效防止了攻击者对Telnet服务标准端口的登录。 [Huawei]telnet server port ? INTEGER<23,1025-55535> Set the port number, the default value is 23 3、配置Telnet服务器的源接口 指定Telnet服务器端的源接口前,必须已经成功创建LoopBack接口,否则 会导致本配置无法成功执行。 [Huawei]telnet server-source -i ?
4、配置VTY用户界面支持Telnet协议登陆 [Huawei-ui-vty0-4]protocol inbound ? all All protocols ssh SSH protocol telnet Telnet protocol [Huawei-ui-vty0-4]protocol inbound telnet 5、从客户端登陆telnet服务端 C:\Documents and Settings\Administrator> telnet 10.137.217.177 1025 Login authentication Username:https://www.sodocs.net/doc/5b6578180.html, Password: Info: The max number of VTY users is 8, and the number of current VTY users on line is 2. The current login time is 2012-08-06 18:33:18+00:00.
华为交换机的应用 精网科技 交换的概述 @交换是指在一个接口上收到数据帧并且从另一个接口上将该数据帧发送出去的过程。 @交换机是二层的设备,它用来解决带宽不足和网络瓶颈的问题,主要作为工作站、服务器、路由器、集线器和其它交换机的集中点。它可以看作是一个多端口的网桥,为所连接的两台网络设备提供一条独享的虚电路,因此避免了冲突。可工作在全双工模式下,意味着可同时收发数据。 @交换机是根据MAC地址传递数据帧的的二层设备。它不能处理三层地址信息。所以交换机的操作与网络层使用什么样的协议无关。 @交换机把大的网络细分成若干微分段,以减小冲突域的大小,即每个接口是一个冲突域。但所有接口仍在一个广播域内。可以认为交换机是硬件桥,而网桥是软件的。交换机与网桥的区分是:网桥最多16个端口,但交换机可有很多端口,这一个缺点,足可以彻底打败网桥。 @网络中的通信分为三种,单播,组播,广播。(举例) 网络环境大的时候,所有主机都在一个广播域内网络性能会很差,所
以这样一来,靠划分微分段的方法已经不行,而常用的就是用交换机在二层隔离广播帧的VLAN技术,实现二层广播域的划分,以后会讲到。 @路由器在网络中的位置,我们用路由器把交换的网络分成若干广播域。这样可以避免广播风暴。路由器的使用大约给网络造成的延迟是20-30%,因为路由器会在三层上根据逻辑地址来做路由。所以造成延迟。 @以太交换机的反应时间。是指一个数据帧从进入交换机开始到离开交换机的这段时间。此时间的长短取决于在交换机上配置的交换操作的类型,以及网络上通过交换机的流量。交换机每秒都会处理海量数据,所以每个数据帧的交换时间哪怕有十亿分之一秒的延迟,对交换机来说都会影响整体的性能。 @交换机与HUB的区别。从内部结构上看,HUB是总线,而SWITCH 内部是每个接口与另外的接口都有连通线。(画图示意一下)再一个就是数据流通的带宽。比如:10M的HUB和10M的SWITH @三层交换机是在二层交换机的基础上融合了三层路由功能的交换机,它不但能基于MAC地址转发数据帧,还能根据数据包的IP地址为数据包提供路由服务。 @对称和不对称交换 100M和10M图13-2、3 @以太交换机的基本功能
华为S5000交换机常用配置 登录Web设置页面 1.您需要将管理计算机的IP地址与交换机的IP地址(缺省为19 2.168.0.233/255.255.255.0)设置在同一子网中。如果采用远程配置,请确保管理计算机和交换机路由可达。 2.开启/关闭HTTP服务器: