华为设备常用命令

system-view  //进入配置模式

quit  //退出

undo  //删除

sysname  //设备命名

save  //保存配置

dis version  //查看设备信息

dis esn  //查看设备序列号

dis current-configuration  //查看设备配置

dis ip routing-table  //查看路由表

dis arp  //查看ARP表

undo shutdown  //开启端口

dis port vlan  //查看VLAN分配

dis vlan summary  //查看VLAN汇总

dis nat outbound  //查看动态NAT配置信息

dis nat static  //查看静态NAT配置信息

dis nat session   //查看NAT信息

dis nat server  //查看NAT服务器配置信息

dis nat address-group  //查看地址转换信息

dis acl all          //查看所有ACL

dis ip pool  //查看DHCP

reset saved-configuration  //删除保存的配置

dis arp network X.X.X.X    //查看ip信息

dis this   //查看接口下信息

dis arp int Vlanif X  //查看VLAN下信息

Telnet配置

[Huawei]user-interface vty 0 4

[Huawei-ui-vty0-4]authentication-mode password  //启用密码验证

[Huawei-ui-vty0-4]set authentication pass cipher huawei  //设置密码为huawei

[Huawei-ui-vty0-4]user privilege level 3          //设置用户级别（默认参观级）注：0参观级，1监控级，2配置级，3管理级……

Telnet配置——多个用户并授予不同管理级别

[Huawi]aaa

[Huawei-aaa]local-user admin password cipher 123 privilege level 3  //配置本地验证，并设置账户admin跟密码123跟用户级别为3

[Huawei-aaa]local-user admin service-type telnet          //配置该账户用于telnet登录

[Huawei-aaa]user-interface vty 0 4

[Huawei-ui-vty0-4]authentication-mode aaa  //进入VTY0 4 把验证方式改成aaa验证

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SSH配置

rsa local-key-pair create

The key name will be:CE12804-1_Host

% RSA keys defined for CE12804-1_Host already exist.

Confirm to replace them? Please select [Y/N]:y

The range of public key size is (2048 ~ 2048).

NOTE: Key pair generation will take a short while.

Aaa

local-user test password irreversible-cipher test123#

local-user test service-type  http ssh

local-user test level 15

stelnet server enable

ssh user test

ssh user test authentication-type password

ssh user test service-type all 【http XXX stelnet】

user-interface vty 0 4

authentication-mode aaa

user privilege level 3

idle-timeout 600 0

protocol inbound all

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

FTP的使用

        ls ----查看FTP文件夹内容                cd ----进入文件夹

        dir ---查看文件属性                        get ---下载指定文件

        put ---上传指定文件

路由器为FTP server端

[AR1]ftp server enable                 //开启FTP服务

[AR1-aaa]local-user ftp1 password cipher 123 privilege level 15                //创建用户ftp1密码123用户级别15

[AR1-aaa]local-user ftp1 ftp-directory flash:        //指定用户admin1可访问flash:目录

[AR1-aaa]local-user ftp1 service-type ftp         //设置服务类型为FTP

//手动设置全双工

[S1-GigabitEthernet0/0/1]undo negotiation auto        //关闭自动协商

[S1-GigabitEthernet0/0/1]duplex full        //设置全双工

//自动协商为全双工

[S1-GigabitEthernet0/0/1]auto duplex full  //自动协商为全双工

设置接口速率

[S1-GigabitEthernet0/0/1]undo negotiation auto        //关闭自动协商

[S1-GigabitEthernet0/0/1]speed 100        //设置接口速率

Vlan的操作

//vlan的描述

[Huawei]vlan 10                //创建单个vlan

[Huawei-vlan10]description Switch_1        //把vlan10名字改成Switch_1

//单个vlan的划分

[Huawei]vlan 10                //创建单个vlan

[Huawei]vlan batch 20 30 40 50        //一次创建多个vlan

[S1]interface G0/0/1

[S1-GigabitEthernet0/0/1]port link-type access        //把端口设置成接入模式

[S1-GigabitEthernet0/0/1]port default vlan 10        //把端口划给vlan10

//批量划分vlan

[S1]interface range g 0/0/1 to g0/0/20                //批量进入端口

[S1-port-group]port link-type access                //批量设置成接入模式

[S1]vlan 20

[S1-vlan20]port g 0/0/1 to 0/0/20                //另一种批量划分vlan的方法，前提要把接口设置成access模式

//设置trunk链路，允许不同vlan通过

[S1-GigabitEthernet0/0/24]port link-type trunk                        //设置trunk链路

[S1-GigabitEthernet0/0/24]port trunk allow-pass vlan all        //设置允许所有vlan的数据通过，默认只给vlan1通过

//设置hybrid链路模式下的vlan

终端端口配置hybrid

[S1]interface  g 0/0/1

[S1-GigabitEthernet0/0/1]port link-type hybrid                //当链路类型不是hybrid时用

[S1-GigabitEthernet0/0/1]port hybrid pvid vlan 10        //设置hybrid类型接口默认为vlan10，相当于把这个接口划给vlan10

[S1-GigabitEthernet0/0/1]port hybrid untagged vlan 10 20  //设置该接口可以通过哪些vlan的数据，该命令可以在二层交换机下可实现跨vlan互访

交换机间端口配置hybrid

[S1]interface  g 0/0/2

[S1-GigabitEthernet0/0/2]port hybrid tagged vlan 10 20 30        //设置该接口可以转发的vlan10,20,30的数据，相当于原来的trunk模式

STP的配置

[S1]stp enable                //启用STP（华为交换机默认启用MSTP）

[S1]stp mode stp                //将STP模式改成普通生成树STP

[S1]stp mode rstp                        //将STP模式改成RSTP

[S1]stp mode mstp                        //将STP模式改MSTP

[S1-Ethernet0/0/10]stp edged-port enable        //指定边缘端口，给终端设备配

[S1]display stp                //查看STP的信息

[S1]display stp brief                 //查看STP的摘要信息

[S1]display stp instance 2 brief //查看实例2的摘要信息

根交换机的指定

//修改优先级指定根交换机

[S1]stp priority 4096        //修改优先级为4096，值越小优先级越高，优先级必须为4096的倍数

//直接指定为根交换机

[S1]stp root primary         //直接指定为根交换机

[S3]stp root secondary         //直接指定为备份根交换机

//手动设置端口的开销值

[S3-Ethernet0/0/2]stp cost 2000

//MSTP的配置

[S1]stp region-configuration         //进入MST域视图

[S1-mst-region]region-name huawei        //配置MST域名为huawei

[S1-mst-region]revision-level 1                //配置MSTP的修订级别为1

[S1-mst-region]instance 1 vlan 10        //指定VLAN10映射到MATI1

[S1-mst-region]instance 2 vlan 20        //指定VLAN20映射到MATI2

[S1-mst-region]active region-configuration         //激活MST域配置

在S2，S3上做同样配置，注意，同一MST域中，域名、修订级别、VLAN映射关系要相同

[S2]stp instance 2 priority 0                //指定S2为实例2的根交换机

链路聚合的配置

//手工负载分担模式

[S1]interface Eth-Trunk 1        //创建Eth-Trunk1接口

[S1-Eth-Trunk1]mode manual load-balance        //指定为手工负载分担模式

[S1]int g 0/0/1

[S1-GigabitEthernet0/0/1]eth-trunk 1        //把端口划入Eth-Trunk1接口

[S1]int g 0/0/2

[S1-GigabitEthernet0/0/2]eth-trunk 1

S2上做同样配置

//静态LACP模式

[S1]interface Eth-Trunk 1

[S1-Eth-Trunk1]mode lacp-static         //指定为静态LACP模式

[S1]int g 0/0/1

[S1-GigabitEthernet0/0/1]eth-trunk 1

[S1]int g 0/0/2

[S1-GigabitEthernet0/0/2]eth-trunk 1

S2上做同样配置

//三链路链路聚合冗余

[S1]lacp priority 100                //修改系统优先级为100，使其成为主动端

[S1]interface  Eth-Trunk 1

[S1-Eth-Trunk1]max active-linknumber 2        //修改S1上活动的接口上限为2

[S1]int g 0/0/1

[S1-GigabitEthernet0/0/1]lacp priority 100        //配置端口的优先级确定活动链路

[S1]int g 0/0/2

[S1-GigabitEthernet0/0/2]lacp priority 100

浮动路由的配置

[Huawei]ip route-static 192.168.1.0 24 192.168.2.1 preference 100        //将路由优先级设置成100（默认60）

RIP的配置

[R1]rip

[R1-rip-1]network 10.0.0.0

[R1-rip-1]version 2

[R1-rip-1]import-route direct         //注入直连路由

[R1-rip-1]import-route static         //注入静态路由

[R1-rip-1]default-route originate //注入默认路由

[R1-rip-1]import-route ospf 1 cost 3        //注入路由协议时手工配置开销值

//RIPv2 MD5 密文验证

[R1]interface g 0/0/1

[R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher test //RIPv2 MD5 密文验证，验证密码test

//RIPv2自动汇总

方法1

[R1]rip

[R1-rip-1]version 2

[R1-rip-1]summary always        //强行启动自动汇总

方法2

[R1]rip

[R1-rip-1]version 2

[R1-rip-1]int g 0/0/1

[R1-GigabitEthernet0/0/1]undo rip split-horizon //关闭相应接口下的水平分割功能

//RIPv2手动汇总

[R1]int g 0/0/1

[R1-GigabitEthernet0/0/1]rip summary-address 3.3.0.0 255.255.252.0

//其他RIP配置

[R1-GigabitEthernet0/0/1]undo rip output         //停止发送RIP路由更新

[R1-rip-1]timers rip 20 120 60                //设置更新报文20s，超时定时器120s，垃圾收集计时器超时60s

[R1-rip-1]preference 90                //定义RIP协议的优先级，默认100，值越小优先级越高

//抑制更新_RIP路由单播更新

[R1]rip

[R1-rip-1]silent-interface g 0/0/1        //在各个路由接口设置抑制接口

[R1-rip-1]peer 192.168.1.1                //配置要接收更新的下一跳路由的接口IP

//另一种抑制接口方式_禁止发送RIP报文

[R1]int g 0/0/1

[R1-GigabitEthernet0/0/1]undo rip output //禁止该发送RIP报文

[R1-GigabitEthernet0/0/1]undo rip input        //禁止该端口接收RIP报文

以上两条命令可以灵活地控制接口对RIP报文的发送和接收

silent-interface命令的优先级高于undo rip output 、undo rip input的优先级

OSPF的配置

[R1]ospf 1

[R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //宣告网段

[R1]dis ospf interface //查看OSPF接口通告是否正确

[R1-ospf-1]preference 110        //定义OSPF协议的优先级，默认10

//OSPF区域验证

[R1]ospf 1

[R1-ospf-1]area 1

[R1-ospf-1-area-0.0.0.1]authentication-mode simple plain 123        //OSPF区域明文验证

[R1-ospf-1-area-0.0.0.1]authentication-mode md5 1 huawei        //OSPF区域标识符为1的md5验证

//OSPF链路验证

[R1]int g 0/0/1

[R1-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei        //OSPF链路标识符为1的md5验证

在对面路由器配置时验证方式、标识符、口令都要保持一致

//OSPF抑制接口配置

[R1]ospf 1

[R1-ospf-1]silent-interface g 0/0/1        //silent-interface命令可以禁止接口接收、发送OSPF报文

批量配置OSPF抑制接口

[R1]ospf 1

[R1-ospf-1]silent-interface all

[R1-ospf-1]undo silent-interface g 0/0/1        //只允许g0/0/1发送Hello报文

//强行指定RouterID

[R1]router id 1.1.1.1        //设置全局RouterID

[R1]ospf 1 router-id 1.1.1.1//设置OSPF进程1的RouterID

在OSPF的RouterID没设置时会使用全局的RouterID

OSPF协议的RouterID必须要在整个协议内保持唯一

<R1>reset ospf process        //修改RouterID后，要使其在OSPF中生效，需重置OSPF进程

//OSPF的DR、BDR的选举

[R1-GigabitEthernet0/0/1]ospf dr-priority 100        //将该端口的优先级修改为100，值越大优先级越高

通过修改每个端口的OSPF优先级来指定DR、BDR的选举

//OSPF的链路开销值修改

[R1-GigabitEthernet0/0/1]ospf cost 1000                //OSPF的链路开销值修改

VRRP的配置

[R1]int g 0/0/1

[R1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254        //配置虚拟地址

[R1-GigabitEthernet0/0/1]vrrp vrid 1 priority 120        //配置优先级为120（默认100）

[R1-GigabitEthernet0/0/1]vrrp vrid 1 track interface g 0/0/0 reduced 50          //配置端口跟踪

华为设备默认开启抢占功能，所以无需配置

当把路由器的物理接口的IP设成跟虚拟地址一样时，该路由器就成为虚拟IP拥有者

这时不管该路由器的优先级是否比另一台路由器高，该路由器都会是主路由器

[R1-GigabitEthernet0/0/1]vrrp vrid 1 authentication-mode md5 test        //配置报文MD5验证，验证密码test

同一VRRP备份组的认证方式必须相同

ACL的配置

标准ACL

[R4]acl 2000

[R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0   //直接指定某台主机时，掩码可直接用0

[R4-acl-basic-2000]rule 10 deny source any             //5跟10是ACL规则号，跟思科相同

2000-2999为标准ACL

3000-3999为扩展ACL

//ACL应用，只允许1.1.1.1访问R4的telnet

[R4]user-interface vty 0 4

[R4-ui-vty0-4]acl 2000 inbound

扩展ACL

[R4]acl 3000

[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0

[R4]user-interface vty 0 4

[R4-ui-vty0-4]acl 3000 inbound

配置前缀列表

//配置ACL过滤路由

[R3]acl 2000

[R3-acl-basic-2000]rule deny source 11.1.1.0 0.0.0.0        //拒绝11.1.1.0这个目的网段的路由

[R3-acl-basic-2000]rule permit source any

[R3]rip 1

[R3-rip-1]filter-policy 2000 import

这样配置就会把11.1.1.0这条路由从路由表中过滤掉

//配置前缀列表过滤路由

[R3]ip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25         //过滤11.1.1.0/25这条路由

也可以简写为：[R3]ip ip-prefix 1 deny 11.1.1.0 25

[R3]ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32        //允许其他路由

//将前缀路由应用到过滤策略下

[R3]rip 1

[R3-rip-1]filter-policy ip-prefix 1 import

这样配置就会把11.1.1.0/25这条路由从路由表中过滤掉，11.1.1.0/24得以保留

PPP认证的配置

//PAP认证

验证方

[R3]int s 04/0/0

[R3-Serial4/0/0]ppp authentication-mode pap domain huawei  //使用PAP认证模式，域名huawei

[R3]aaa

[R3-aaa]authentication-scheme huawei_1         //创建认证方案huawei_1

[R3-aaa-authen-huawei_1]authentication-mode local         //配置认证模式为本地认证

[R3]qu

[R3-aaa]domain huaweiyu                //创建域huaweiyu

[R3-aaa-domain-huaweiyu]authentication-scheme huawei_1        //配置域的认证方案为huawei_1，必须和前面创建的认证方案一致

[R3]qu

[R3-aaa]local-user R1@huaweiyu password cipher huawei        //创建用户R1@huaweiyu，密码huawei

[R3-aaa]local-user R1@huaweiyu service-type ppp                //配置这个用户用于PPP认证

被验证方

[R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher huawei

//CHAP认证

验证方

[R3]int s 04/0/0

[R3-Serial4/0/0]ppp authentication-mode chap

[R3]aaa

[R3-aaa]authentication-scheme huawei_1

[R3-aaa-authen-huawei_1]authentication-mode local

[R3]qu

[R3-aaa]domain huaweiyu

[R3-aaa-domain-huaweiyu]authentication-scheme huawei_1

[R3]aaa

[R3-aaa]

[R3-aaa]local-user R1 password cipher 123

[R3-aaa]local-user R1 service-type ppp

被验证方

[R1-Serial4/0/0]ppp chap user R1

[R1-Serial4/0/0]ppp chap password cipher 123

DHCP的配置

//基于接口地址池的DHCP

[Huawei]dhcp enable        //开启DHCP服务

[Huawei]int g 0/0/0

[Huawei-GigabitEthernet0/0/0]dhcp server lease day 0 hour 8        //配置地址租约为0天8小时（默认为1天）

[Huawei-GigabitEthernet0/0/0]dhcp server dns-list 10.88.87.88 10.88.86.88   //指定要分配的DNS地址

[Huawei-GigabitEthernet0/0/0]dhcp server excluded-ip-address 192.168.1.1 192.168.1.10        //排除从.1到.10的地址

[Huawei-GigabitEthernet0/0/0]dhcp select interface         //开启该接口的DHCP服务功能

DHCP的地址段为该接口地址的网段，网关与掩码是该接口的地址跟掩码

//基于全局地址池的DHCP

[Huawei]dhcp enable

[Huawei]ip pool test        //创建地址池test

[Huawei-ip-pool-test]network 192.168.1.0 mask 24        //配置地址池网段

[Huawei-ip-pool-test]lease  0 hour 8        //配置地址租约为0天8小时（默认为1天）

[Huawei-ip-pool-test]dns-list 10.88.87.88   //指定要分配的DNS地址

[Huawei-ip-pool-test]gateway-list 192.168.1.254         //配置要分配的网关

[Huawei-ip-pool-test]excluded-ip-address 192.168.1.250 192.168.1.253        //排除从.250到.253的地址

[Huawei]int g 0/0/0

[Huawei-GigabitEthernet0/0/0]dhcp select global   //开启接口的DHCP功能

//DHCP中继

方法1

[Huawei]dhcp enable

[R1]int g 0/0/2

[R1-GigabitEthernet0/0/2]dhcp select relay        //启用中继

[R1-GigabitEthernet0/0/2]dhcp relay server-ip 100.1.1.1         //配置要中继的DHCP服务器地址

方法2

[R1]dhcp server group test

[R1-dhcp-server-group-test]dhcp-server 100.1.1.1

[R1]int g 0/0/0

[R1-GigabitEthernet0/0/1]dhcp select relay

[R1-GigabitEthernet0/0/1]dhcp relay server-select test

方法1在要配置接口少的情况下方便，要配置中继的接口多的话方法2更方便

SNMP的配置

开启Agent服务

[Huawei]snmp-agent        //开启SNMP服务

[Huawei]snmp-agent sys-info version v3        //只使用SNMPv3（默认v1、v2、v3全开启）

配置NMS管理权限

[Huawei]acl 2000

[Huawei-acl-basic-2000]rule  permit source 10.1.1.2 0.0.0.255        //只允许10.1.1.2管理

[Huawei-acl-basic-2000]rule deny source 10.1.1.1 0.0.0.255        //拒绝10.1.1.1

[Huawei]snmp-agent usm-user v3 user group acl 2000        //配置用户组为group，用户名user，指定使用ACL2000

配置向SNMP Agent输出Trap信息

[Huawei]snmp-agent target-host trap-hostname adminNMS2 address 10.1.1.2 udp-port 9991 trap-paramsname trapNMS2        //用于接收该Trap消息的网管名为adminNMS2，目的地址10.1.1.2（网管电脑的地址），Trap消息的发送参数列表名称为trapNMS2

[Huawei]snmp-agent trap enable         //开启设备的警告开关

[Huawei]snmp-agent trap queue-size 200        //设置告警消息的队列长度为200（默认100）

如果某个时间段trap报文消息很多时，为防止丢包，可以增加消息队列长度防止丢包

[Huawei]snmp-agent trap life 240   //设置报文消息的保存时间为240秒（默认120）

[Huawei]snmp-agent sys-info contact call admin 13978999999        //配置管理员的联系方式，配置管理员电话

[Huawei]snmp-agent sys-info location Liuzhou China        //配置管理员地址

NAT的配置

静态NAT配置      （no-pat）  //no-pat：只转换数据报文的地址不转换端口信息。

[R1]int g 0/0/0

[R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1   //内部全局202.169.10.5，内部本地172.16.1.1

多对多NAT

[R1]nat address-group 1 202.169.10.50 202.169.10.60        //配置转换地址池

[R1]acl 2000

[R1-acl-basic-2000]rule permit source 172.17.1.0 0.0.0.255        //只给172.17.1.0网段做NAT转换

[R1]int g 0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat   //将ACL2000与地址池组1相关联

多对一NAT

[R1]acl 2000

[R1-acl-basic-2000]rule permit source 172.17.1.0 0.0.0.255        //只给172.17.1.0网段做NAT转换

[R1]int g 0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2000        //只给172.17.1.0网段做NAT转换

反向NAT

[R1]int g 0/0/0

[R1-GigabitEthernet0/0/0]nat server protocol tcp global 202.169.10.6 www inside 172.16.1.1 www        //内部全局202.169.10.6，内部本地172.16.1.1

easy ip  //适用于拨号接入或动态获取ip地址的场合

acl number 2000

rule 0 permit source 192.168.1.0 0.0.0.255

int g0/1

nat outbound 2000

nat server    //永久映射

感谢楼主的精彩分享，有助工作!!!

感谢楼主分享，每日学习打卡

感谢楼主分享，每日学习打卡

感谢楼主分享，每日学习打卡

感谢楼主分享，每日学习打卡

感谢楼主分享，每日学习打卡

感谢楼主分享，每日学习打卡

感谢楼主分享，每日学习打卡

感谢楼主分享，每日学习打卡