华为交换机配置命令解释.docx
《华为交换机配置命令解释.docx》由会员分享,可在线阅读,更多相关《华为交换机配置命令解释.docx(11页珍藏版)》请在冰点文库上搜索。
华为交换机配置命令解释
盛年不重来,一日难再晨。
及时宜自勉,岁月不待人。
华为交换机配置命令解释
用户视图,只能看配置
resetsave(清除配置文件)
reboot(重启华为交换机)
systemview(进入配置模式)
sys(省略式打法)
[]配置模式
修改交换机:
[Quidway]sysnamesw1
[sw1]
配置VLAN:
[Quidway]vlan2
[Quidway-vlan2]portether0/10toe0/12
[Quidway-vlan2]quit
等同于
[Quidway]inte0/13
[Quidway-Ethernet0/13]portaccessvlan2
[Quidway-Ethernet0/13]quit
配置trunk端口:
[Quidway]inte0/1
[Quidway-Ethernet0/1]portlink-typetrunk
[Quidway-Ethernet0/1]inte0/2
[Quidway-Ethernet0/2]portlink-typetrunk
[Quidway-Ethernet0/2]quit
两边的端口都要配trunk,通过trunk不打标签!
默认trunk只允许vlan1通过
[Quidway]inte0/1
[Quidway-Ethernet0/1]porttrunkpermitvlanall
[Quidway-Ethernet0/1]inte0/2
[Quidway-Ethernet0/2]porttrunkpermitvlanall
两边端口都要配置充许trunk所有VLAN,如果是指定通过vlan号,将vlanall改成对应的vlan编号即可。
取消任何命令,是在命令前面加一个undo即可!
如何防止交换机环路:
华为的交换机生成树功能默认是关掉的
交换机形成环路,所联接的端口会不停的闪烁!
方法一:
启用交换机生成树
[Quidway]stpenable(开)
[Quidway]stpdisable(关)
要在两台交换机上配置:
方法二:
通过链路聚合的方式来解决问题
链路聚合可以提高带宽和负载均衡
配置链路聚合时,两端的端口模式需要配置成一样(双工,半又工),速率也要指定,不能自己自协商状态!
[Quidway]link-aggregatione0/1toe0/2both
如:
[Quidway]inte0/1
[Quidway-Ethernet0/1]duplexfull
[Quidway-Ethernet0/1]speed100
[Quidway-Ethernet0/1]inte0/2
[Quidway-Ethernet0/2]duplexfull
[Quidway-Ethernet0/2]speed100
查看交换机日志
[Quidway]dislog
路由器与路由器之间通信的安全保护配置方法
一、保护路由器的物理安全
二、保护管理接口的安全
1、保护控制台端口的访问权限
口令的设置应遵循以下原则:
初使安装之后立即配置口令,不使用缺省口令;确保特权级口令与用级口令的不同;口令使用字母数字混合字符以使口令破解难以成功。
2、使用加密口令
使用口令加密的方式(servicepassword-encryption)来隐藏明文形式口令。
使用enablesecret命令配置特权模式口令。
使用具有加密和认证传输机制的SSH协议及相应的和序,如SecureCRT.
3、调整线路参数
使控制台一定时间内没有任何命令键入时会自动断开
Router(config-line)#exec-timeoutminutesecond
4、设置多个特权级别,进一步细化路由器的控制。
在路由器用AAA认证,建立用户。
Router(config)#priiledgemode[levellevelcommand|resetcommand]
5、控制Telnet访问:
要在虚拟终端接口(vty)上通过设置访问控制列表,只允许在表中被定义的IP地址的主机才能访问网络路由器。
Router(config-line)#ipaccess-classnumberin
6、控制SNMP访问:
公允许在访问控制列表中被指定的NMS(网络管理系统)的IP地址才能通过团体字符串访问路由器代理。
Router(config)#snmp-servercommunitystring[viewview-name][ro|rw]
此外还应配置SNMP中断和通知,只发给被充许NMS主机。
可以用“snmp-serverhosthosttrap”命令,只将SNMP中断消息发送给指定的NMS主机;用“snmp-serverhosthosttrap”命令,只将SNMP通知消息发送给指定的NMS主机。
三、保护路由器之间通信安全。
1、路由协议认证
对于保护路由基础设备的安全来说,使用MD5认证方式是推荐的做法。
例如,在OSPF路由器上配置消息摘要认论证如下:
Router(config-if)#ipofpfmessage-digest-keykey-idmd5[encryption-type]password;在接口上配置消息摘要密钥
Router(config)#areanumberauthentication[message-digest];在区域number上启用消息摘要认证。
2、用过滤器控制数据流
第一、限制那些不想在路由更新中被广播出去的网络地址。
例如,以下配置只允许网络172.16.0.0有关的路由更新被从S0接口发出:
Router(config)#access-list27permit172.16.0.00.0.255.255
Router(config)#routereigrp
Router(config-router)#network172.16.0.0
Router(config-router)#network192.168.2.0
Router(config-router)#destribute-list27outs0
该特性可以应用于除BGP和EGP之外的所有基于IP的路由协议。
第二:
抑制从路由更表中收到的网络地址:
通过访问控制列表的过滤作用,可以使路由器只接受那些来自己网络中特定的、已知路由器的路由表中的更新,但该特性对于链路状态协议如OSPF或IS-IS等不起作用。
例如:
如下配置实现了一个访问控制列表只接收来自被信任网络10.2.0.0的路由更新:
Router(config)#access-list45permit10.2.0.00.0.255.255
Router(config)#routereigrp200
Router(config)#distrbute45inserial0
第四、可以利用访问控制列表来拒绝那些来自己外部网络但源地址却是内部地址的数据包,以防止来自己网络外部的欺骗性攻击。
应在边缘路由器上应用包过滤功能,因为包过滤会降低路由器的性能,配置兴举例如下:
1、配置访问控制列表以拒绝假冒内网地址的数据包
Router(config)#access-list102denyip10.1.2.00.0.0.255anylog
Router(config-if)#ipaccess-group102in;在路由器对外接口的入方向上应用访问列表10210.1.2.0o内网的IP地址段。
2、配置动态访问控制列表以允许已建立TCP连接的数据流,既阻止外部连接的数据流而让内部发起连接的TCP数据流通过
Router(config)#access-list102permittcp10.6.1.00.0.0.25510.1.2.0.00.0.0.255established
3、控制对路由器的HTTP访问:
应使用访问控制列表来限制只有特定的机器能通过流览器来访问路由器。
可按如下配置:
Router(config)#access-list25permit10.147.241.300.0.0.0
Router(config)#iphttpaccess-class25;只允许特定主机10.147.241.30通过HTTP访问路由器。
四、关闭易受威胁或攻击的功能或服务
1、“配置文件自动从TFTP服务器获取”功能建议关闭:
Router(config)#nobootnetwork
Router(config)#noserviceconfig
2、“IP源路由”使用很少,易遭受攻击,建议关闭:
Router(config)#noipsource-router
3、“ProxyARP”,除非接口做桥接,否则关闭该服务:
Router(config)#noipproxy-arp
4、“IPdirectedbroadcast”,可对特定局域网发广播数据包,它可做为一种攻击手段,建议关闭。
5、“IPredirect”,对特定设备发ICMP重定向数据包,建议只对信任区域开放该服务。
6、关闭DP协议
Router(config)#nocdpenable
7、建议过滤源地址与目标地址相同,源端口与目的端口相同的流量以防止Land攻击。
应过滤目的地址为广播地址的流量。
8、建议关闭入方向ICMP重定向、echo、掩码请求数据,同时出方向流量允许ICMPecho、parameter-problem、packet-too-big、source-quench,其他全部过滤,对于traceroute流量,入方向关闭,出方向开放。
NTP时间服务器安装学习笔记
NTP服务器安装手记
随着时间的推移,计算机的时钟会倾向于漂移。
网络时间协议(NTP)是一种确保您的时钟保持准确的方法。
一般系统默认都安装了NTP服务
如可以用以下命令查看
[root@wapetc]#rpm-qa|grepntp
ntp-4.2.0.a.20040617-4.EL4.1
NTP服务,主要包括四个文件
/etc/ntp.conf;NTP服务的主配置文件。
/usr/share/zoneinfo;规定了各主要时区的时间设定文件,如上海/usr/share/zoneinfo/Asia/Shanghai
/etc/sysconfig/clock;Linux的主要时区设定文件,每次启动后Linux操作系统就读取这个文件来设定系统预设要显示时间,如:
”Zone=Asia/Shanghai
/etc/localtim;本地系统的时间设定文件。
/bin/dateLinux系统上面的日期与时间修改及输出命令
/sbin/hwclock主机的BIOS时间与Linux系统时间分开date这个指令调整后,只是影响系统时间。
如果更改BIOS时间,需要用hwlock命令
/usr/sbin/ntpd;NTP服务的守护进程
/usr/sbin/ntpdata;NTP客户端用来连接NTP服务器命令文件
/usr/sbin/ntpq标准网络计时协议(NTP)查询程序
配置
[root@wapetc]#vi/etc/ntp.conf
restrictdefaultignore
//忽略所有ntp要求封包
restrict127.0.0.1
restrict218.0.0.0mask255.255.255.248nomodify
restrict202.0.0.0mask255.255.255.0nomodify
restrict61.0.0.0mask255.255.255.0nomodify
//restrict可以针对子网、ip来进行限制,nomodify参数表示客户端可以通过服务器端效验,但不能更改服务器端参数
server0.pool.ntp.org
server1.pool.ntp.org
server2.pool.ntp.org
//注:
server选项指定了使用哪一个服务器,每一个服务器都独立一行,如果某一台服务器上指定了prefer(偏好)参数
restrict0.pool.ntp.org
restrict1.pool.ntp.org
restrict2.pool.ntp.org
//如果restric后面不带参数,表示可以允许全部权限
server127.127.1.0#localclock
fudge127.127.1.0stratum10
driftfile/var/lib/ntp/drift
//driftfile选项,则指定了用来保存系统时钟频率偏差的文件,ntpd程序使用它来自动地补偿时钟的自然漂移,从而使时钟即使在切断了外来时源的情况下,仍能保持相当的准确度
broadcastdelay0.008
logfile/var/log/ntp.log
keys/etc/ntp/keys
客户端设置:
通过crontab计时器进行设置,每5分钟运行一次
*/5****/usr/local/wapsh/ntprsync.sh
[root@AppServerwapsh]#catntprsync.sh
#!
/bin/sh
/usr/sbin/ntpdate218.0.0.1
/sbin/hwclock–w
这里218.0.0.1为服务器端ip,这样客户端每隔5分钟就与服务器进行时间同步
注:
210.72.145.44(中科院国家授时中心的服务器国内服务器,强烈推荐)
time-nw.nist.gov
time.nist.gov
盛年不重来,一日难再晨。
及时宜自勉,岁月不待人。
升级会员 