|
system-view //进入配置模式 quit //退出 undo //删除 sysname //设备命名 save //保存配置 dis version //查看设备信息 dis esn //查看设备序列号 dis current-configuration //查看设备配置 dis ip routing-table //查看路由表 dis arp //查看ARP表 undo shutdown //开启端口 dis port vlan //查看VLAN分配 dis vlan summary //查看VLAN汇总 dis nat outbound //查看动态NAT配置信息 dis nat static //查看静态NAT配置信息 dis nat session //查看NAT信息 dis nat server //查看NAT服务器配置信息 dis nat address-group //查看地址转换信息 dis acl all //查看所有ACL dis ip pool //查看DHCP reset saved-configuration //删除保存的配置 dis arp network X.X.X.X //查看ip信息 dis this //查看接口下信息 dis arp int Vlanif X //查看VLAN下信息
Telnet配置 [Huawei]user-interface vty 0 4 [Huawei-ui-vty0-4]authentication-mode password //启用密码验证 [Huawei-ui-vty0-4]set authentication pass cipher huawei //设置密码为huawei [Huawei-ui-vty0-4]user privilege level 3 //设置用户级别(默认参观级)注:0参观级,1监控级,2配置级,3管理级……
Telnet配置——多个用户并授予不同管理级别 [Huawi]aaa [Huawei-aaa]local-user admin password cipher 123 privilege level 3 //配置本地验证,并设置账户admin跟密码123跟用户级别为3 [Huawei-aaa]local-user admin service-type telnet //配置该账户用于telnet登录 [Huawei-aaa]user-interface vty 0 4 [Huawei-ui-vty0-4]authentication-mode aaa //进入VTY0 4 把验证方式改成aaa验证
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SSH配置 rsa local-key-pair create The key name will be:CE12804-1_Host % RSA keys defined for CE12804-1_Host already exist. Confirm to replace them? Please select [Y/N]:y The range of public key size is (2048 ~ 2048). NOTE: Key pair generation will take a short while.
Aaa local-user test password irreversible-cipher test123# local-user test service-type http ssh local-user test level 15
stelnet server enable ssh user test ssh user test authentication-type password ssh user test service-type all 【http XXX stelnet】
user-interface vty 0 4 authentication-mode aaa user privilege level 3 idle-timeout 600 0 protocol inbound all ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
FTP的使用 ls ----查看FTP文件夹内容 cd ----进入文件夹 dir ---查看文件属性 get ---下载指定文件 put ---上传指定文件
路由器为FTP server端 [AR1]ftp server enable //开启FTP服务 [AR1-aaa]local-user ftp1 password cipher 123 privilege level 15 //创建用户ftp1密码123用户级别15 [AR1-aaa]local-user ftp1 ftp-directory flash: //指定用户admin1可访问flash:目录 [AR1-aaa]local-user ftp1 service-type ftp //设置服务类型为FTP
//手动设置全双工 [S1-GigabitEthernet0/0/1]undo negotiation auto //关闭自动协商 [S1-GigabitEthernet0/0/1]duplex full //设置全双工
//自动协商为全双工 [S1-GigabitEthernet0/0/1]auto duplex full //自动协商为全双工
设置接口速率 [S1-GigabitEthernet0/0/1]undo negotiation auto //关闭自动协商 [S1-GigabitEthernet0/0/1]speed 100 //设置接口速率
Vlan的操作 //vlan的描述 [Huawei]vlan 10 //创建单个vlan [Huawei-vlan10]description Switch_1 //把vlan10名字改成Switch_1
//单个vlan的划分 [Huawei]vlan 10 //创建单个vlan [Huawei]vlan batch 20 30 40 50 //一次创建多个vlan [S1]interface G0/0/1 [S1-GigabitEthernet0/0/1]port link-type access //把端口设置成接入模式 [S1-GigabitEthernet0/0/1]port default vlan 10 //把端口划给vlan10
//批量划分vlan [S1]interface range g 0/0/1 to g0/0/20 //批量进入端口 [S1-port-group]port link-type access //批量设置成接入模式 [S1]vlan 20 [S1-vlan20]port g 0/0/1 to 0/0/20 //另一种批量划分vlan的方法,前提要把接口设置成access模式
//设置trunk链路,允许不同vlan通过 [S1-GigabitEthernet0/0/24]port link-type trunk //设置trunk链路 [S1-GigabitEthernet0/0/24]port trunk allow-pass vlan all //设置允许所有vlan的数据通过,默认只给vlan1通过
//设置hybrid链路模式下的vlan 终端端口配置hybrid [S1]interface g 0/0/1 [S1-GigabitEthernet0/0/1]port link-type hybrid //当链路类型不是hybrid时用 [S1-GigabitEthernet0/0/1]port hybrid pvid vlan 10 //设置hybrid类型接口默认为vlan10,相当于把这个接口划给vlan10 [S1-GigabitEthernet0/0/1]port hybrid untagged vlan 10 20 //设置该接口可以通过哪些vlan的数据,该命令可以在二层交换机下可实现跨vlan互访
交换机间端口配置hybrid [S1]interface g 0/0/2 [S1-GigabitEthernet0/0/2]port hybrid tagged vlan 10 20 30 //设置该接口可以转发的vlan10,20,30的数据,相当于原来的trunk模式
STP的配置 [S1]stp enable //启用STP(华为交换机默认启用MSTP) [S1]stp mode stp //将STP模式改成普通生成树STP [S1]stp mode rstp //将STP模式改成RSTP [S1]stp mode mstp //将STP模式改MSTP [S1-Ethernet0/0/10]stp edged-port enable //指定边缘端口,给终端设备配 [S1]display stp //查看STP的信息 [S1]display stp brief //查看STP的摘要信息 [S1]display stp instance 2 brief //查看实例2的摘要信息
根交换机的指定 //修改优先级指定根交换机 [S1]stp priority 4096 //修改优先级为4096,值越小优先级越高,优先级必须为4096的倍数
//直接指定为根交换机 [S1]stp root primary //直接指定为根交换机 [S3]stp root secondary //直接指定为备份根交换机
//手动设置端口的开销值 [S3-Ethernet0/0/2]stp cost 2000
//MSTP的配置 [S1]stp region-configuration //进入MST域视图 [S1-mst-region]region-name huawei //配置MST域名为huawei [S1-mst-region]revision-level 1 //配置MSTP的修订级别为1 [S1-mst-region]instance 1 vlan 10 //指定VLAN10映射到MATI1 [S1-mst-region]instance 2 vlan 20 //指定VLAN20映射到MATI2 [S1-mst-region]active region-configuration //激活MST域配置 在S2,S3上做同样配置,注意,同一MST域中,域名、修订级别、VLAN映射关系要相同 [S2]stp instance 2 priority 0 //指定S2为实例2的根交换机
链路聚合的配置 //手工负载分担模式 [S1]interface Eth-Trunk 1 //创建Eth-Trunk1接口 [S1-Eth-Trunk1]mode manual load-balance //指定为手工负载分担模式 [S1]int g 0/0/1 [S1-GigabitEthernet0/0/1]eth-trunk 1 //把端口划入Eth-Trunk1接口 [S1]int g 0/0/2 [S1-GigabitEthernet0/0/2]eth-trunk 1 S2上做同样配置
//静态LACP模式 [S1]interface Eth-Trunk 1 [S1-Eth-Trunk1]mode lacp-static //指定为静态LACP模式 [S1]int g 0/0/1 [S1-GigabitEthernet0/0/1]eth-trunk 1 [S1]int g 0/0/2 [S1-GigabitEthernet0/0/2]eth-trunk 1 S2上做同样配置
//三链路链路聚合冗余 [S1]lacp priority 100 //修改系统优先级为100,使其成为主动端 [S1]interface Eth-Trunk 1 [S1-Eth-Trunk1]max active-linknumber 2 //修改S1上活动的接口上限为2 [S1]int g 0/0/1 [S1-GigabitEthernet0/0/1]lacp priority 100 //配置端口的优先级确定活动链路 [S1]int g 0/0/2 [S1-GigabitEthernet0/0/2]lacp priority 100
浮动路由的配置 [Huawei]ip route-static 192.168.1.0 24 192.168.2.1 preference 100 //将路由优先级设置成100(默认60)
RIP的配置 [R1]rip [R1-rip-1]network 10.0.0.0 [R1-rip-1]version 2
[R1-rip-1]import-route direct //注入直连路由 [R1-rip-1]import-route static //注入静态路由 [R1-rip-1]default-route originate //注入默认路由 [R1-rip-1]import-route ospf 1 cost 3 //注入路由协议时手工配置开销值
//RIPv2 MD5 密文验证 [R1]interface g 0/0/1 [R1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher test //RIPv2 MD5 密文验证,验证密码test
//RIPv2自动汇总 方法1 [R1]rip [R1-rip-1]version 2 [R1-rip-1]summary always //强行启动自动汇总
方法2 [R1]rip [R1-rip-1]version 2 [R1-rip-1]int g 0/0/1 [R1-GigabitEthernet0/0/1]undo rip split-horizon //关闭相应接口下的水平分割功能
//RIPv2手动汇总 [R1]int g 0/0/1 [R1-GigabitEthernet0/0/1]rip summary-address 3.3.0.0 255.255.252.0
//其他RIP配置 [R1-GigabitEthernet0/0/1]undo rip output //停止发送RIP路由更新 [R1-rip-1]timers rip 20 120 60 //设置更新报文20s,超时定时器120s,垃圾收集计时器超时60s [R1-rip-1]preference 90 //定义RIP协议的优先级,默认100,值越小优先级越高
//抑制更新_RIP路由单播更新 [R1]rip [R1-rip-1]silent-interface g 0/0/1 //在各个路由接口设置抑制接口 [R1-rip-1]peer 192.168.1.1 //配置要接收更新的下一跳路由的接口IP
//另一种抑制接口方式_禁止发送RIP报文 [R1]int g 0/0/1 [R1-GigabitEthernet0/0/1]undo rip output //禁止该发送RIP报文 [R1-GigabitEthernet0/0/1]undo rip input //禁止该端口接收RIP报文 以上两条命令可以灵活地控制接口对RIP报文的发送和接收 silent-interface命令的优先级高于undo rip output 、undo rip input的优先级
OSPF的配置
[R1]ospf 1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 //宣告网段
[R1]dis ospf interface //查看OSPF接口通告是否正确 [R1-ospf-1]preference 110 //定义OSPF协议的优先级,默认10
//OSPF区域验证 [R1]ospf 1 [R1-ospf-1]area 1 [R1-ospf-1-area-0.0.0.1]authentication-mode simple plain 123 //OSPF区域明文验证 [R1-ospf-1-area-0.0.0.1]authentication-mode md5 1 huawei //OSPF区域标识符为1的md5验证
//OSPF链路验证 [R1]int g 0/0/1 [R1-GigabitEthernet0/0/1]ospf authentication-mode md5 1 huawei //OSPF链路标识符为1的md5验证 在对面路由器配置时验证方式、标识符、口令都要保持一致
//OSPF抑制接口配置 [R1]ospf 1 [R1-ospf-1]silent-interface g 0/0/1 //silent-interface命令可以禁止接口接收、发送OSPF报文
批量配置OSPF抑制接口 [R1]ospf 1 [R1-ospf-1]silent-interface all [R1-ospf-1]undo silent-interface g 0/0/1 //只允许g0/0/1发送Hello报文
//强行指定RouterID [R1]router id 1.1.1.1 //设置全局RouterID
[R1]ospf 1 router-id 1.1.1.1//设置OSPF进程1的RouterID 在OSPF的RouterID没设置时会使用全局的RouterID OSPF协议的RouterID必须要在整个协议内保持唯一
<R1>reset ospf process //修改RouterID后,要使其在OSPF中生效,需重置OSPF进程
//OSPF的DR、BDR的选举 [R1-GigabitEthernet0/0/1]ospf dr-priority 100 //将该端口的优先级修改为100,值越大优先级越高 通过修改每个端口的OSPF优先级来指定DR、BDR的选举
//OSPF的链路开销值修改 [R1-GigabitEthernet0/0/1]ospf cost 1000 //OSPF的链路开销值修改
VRRP的配置 [R1]int g 0/0/1 [R1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 //配置虚拟地址 [R1-GigabitEthernet0/0/1]vrrp vrid 1 priority 120 //配置优先级为120(默认100) [R1-GigabitEthernet0/0/1]vrrp vrid 1 track interface g 0/0/0 reduced 50 //配置端口跟踪 华为设备默认开启抢占功能,所以无需配置 当把路由器的物理接口的IP设成跟虚拟地址一样时,该路由器就成为虚拟IP拥有者 这时不管该路由器的优先级是否比另一台路由器高,该路由器都会是主路由器 [R1-GigabitEthernet0/0/1]vrrp vrid 1 authentication-mode md5 test //配置报文MD5验证,验证密码test 同一VRRP备份组的认证方式必须相同
ACL的配置 标准ACL [R4]acl 2000 [R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0 //直接指定某台主机时,掩码可直接用0 [R4-acl-basic-2000]rule 10 deny source any //5跟10是ACL规则号,跟思科相同 2000-2999为标准ACL 3000-3999为扩展ACL
//ACL应用,只允许1.1.1.1访问R4的telnet [R4]user-interface vty 0 4 [R4-ui-vty0-4]acl 2000 inbound
扩展ACL [R4]acl 3000 [R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0 [R4]user-interface vty 0 4 [R4-ui-vty0-4]acl 3000 inbound
配置前缀列表 //配置ACL过滤路由 [R3]acl 2000 [R3-acl-basic-2000]rule deny source 11.1.1.0 0.0.0.0 //拒绝11.1.1.0这个目的网段的路由 [R3-acl-basic-2000]rule permit source any [R3]rip 1 [R3-rip-1]filter-policy 2000 import 这样配置就会把11.1.1.0这条路由从路由表中过滤掉 //配置前缀列表过滤路由 [R3]ip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25 //过滤11.1.1.0/25这条路由 也可以简写为:[R3]ip ip-prefix 1 deny 11.1.1.0 25 [R3]ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32 //允许其他路由 //将前缀路由应用到过滤策略下 [R3]rip 1 [R3-rip-1]filter-policy ip-prefix 1 import 这样配置就会把11.1.1.0/25这条路由从路由表中过滤掉,11.1.1.0/24得以保留
PPP认证的配置 //PAP认证 验证方 [R3]int s 04/0/0 [R3-Serial4/0/0]ppp authentication-mode pap domain huawei //使用PAP认证模式,域名huawei [R3]aaa [R3-aaa]authentication-scheme huawei_1 //创建认证方案huawei_1 [R3-aaa-authen-huawei_1]authentication-mode local //配置认证模式为本地认证 [R3]qu [R3-aaa]domain huaweiyu //创建域huaweiyu [R3-aaa-domain-huaweiyu]authentication-scheme huawei_1 //配置域的认证方案为huawei_1,必须和前面创建的认证方案一致 [R3]qu [R3-aaa]local-user R1@huaweiyu password cipher huawei //创建用户R1@huaweiyu,密码huawei [R3-aaa]local-user R1@huaweiyu service-type ppp //配置这个用户用于PPP认证 被验证方 [R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher huawei
//CHAP认证 验证方 [R3]int s 04/0/0 [R3-Serial4/0/0]ppp authentication-mode chap [R3]aaa [R3-aaa]authentication-scheme huawei_1 [R3-aaa-authen-huawei_1]authentication-mode local [R3]qu [R3-aaa]domain huaweiyu [R3-aaa-domain-huaweiyu]authentication-scheme huawei_1 [R3]aaa [R3-aaa] [R3-aaa]local-user R1 password cipher 123 [R3-aaa]local-user R1 service-type ppp 被验证方 [R1-Serial4/0/0]ppp chap user R1 [R1-Serial4/0/0]ppp chap password cipher 123
DHCP的配置 //基于接口地址池的DHCP [Huawei]dhcp enable //开启DHCP服务 [Huawei]int g 0/0/0 [Huawei-GigabitEthernet0/0/0]dhcp server lease day 0 hour 8 //配置地址租约为0天8小时(默认为1天) [Huawei-GigabitEthernet0/0/0]dhcp server dns-list 10.88.87.88 10.88.86.88 //指定要分配的DNS地址 [Huawei-GigabitEthernet0/0/0]dhcp server excluded-ip-address 192.168.1.1 192.168.1.10 //排除从.1到.10的地址 [Huawei-GigabitEthernet0/0/0]dhcp select interface //开启该接口的DHCP服务功能 DHCP的地址段为该接口地址的网段,网关与掩码是该接口的地址跟掩码
//基于全局地址池的DHCP [Huawei]dhcp enable [Huawei]ip pool test //创建地址池test [Huawei-ip-pool-test]network 192.168.1.0 mask 24 //配置地址池网段 [Huawei-ip-pool-test]lease 0 hour 8 //配置地址租约为0天8小时(默认为1天) [Huawei-ip-pool-test]dns-list 10.88.87.88 //指定要分配的DNS地址 [Huawei-ip-pool-test]gateway-list 192.168.1.254 //配置要分配的网关 [Huawei-ip-pool-test]excluded-ip-address 192.168.1.250 192.168.1.253 //排除从.250到.253的地址 [Huawei]int g 0/0/0 [Huawei-GigabitEthernet0/0/0]dhcp select global //开启接口的DHCP功能
//DHCP中继 方法1 [Huawei]dhcp enable [R1]int g 0/0/2 [R1-GigabitEthernet0/0/2]dhcp select relay //启用中继 [R1-GigabitEthernet0/0/2]dhcp relay server-ip 100.1.1.1 //配置要中继的DHCP服务器地址 方法2 [R1]dhcp server group test [R1-dhcp-server-group-test]dhcp-server 100.1.1.1 [R1]int g 0/0/0 [R1-GigabitEthernet0/0/1]dhcp select relay [R1-GigabitEthernet0/0/1]dhcp relay server-select test 方法1在要配置接口少的情况下方便,要配置中继的接口多的话方法2更方便
SNMP的配置 开启Agent服务 [Huawei]snmp-agent //开启SNMP服务 [Huawei]snmp-agent sys-info version v3 //只使用SNMPv3(默认v1、v2、v3全开启) 配置NMS管理权限 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule permit source 10.1.1.2 0.0.0.255 //只允许10.1.1.2管理 [Huawei-acl-basic-2000]rule deny source 10.1.1.1 0.0.0.255 //拒绝10.1.1.1 [Huawei]snmp-agent usm-user v3 user group acl 2000 //配置用户组为group,用户名user,指定使用ACL2000 配置向SNMP Agent输出Trap信息 [Huawei]snmp-agent target-host trap-hostname adminNMS2 address 10.1.1.2 udp-port 9991 trap-paramsname trapNMS2 //用于接收该Trap消息的网管名为adminNMS2,目的地址10.1.1.2(网管电脑的地址),Trap消息的发送参数列表名称为trapNMS2 [Huawei]snmp-agent trap enable //开启设备的警告开关 [Huawei]snmp-agent trap queue-size 200 //设置告警消息的队列长度为200(默认100) 如果某个时间段trap报文消息很多时,为防止丢包,可以增加消息队列长度防止丢包 [Huawei]snmp-agent trap life 240 //设置报文消息的保存时间为240秒(默认120) [Huawei]snmp-agent sys-info contact call admin 13978999999 //配置管理员的联系方式,配置管理员电话 [Huawei]snmp-agent sys-info location Liuzhou China //配置管理员地址
NAT的配置 静态NAT配置 (no-pat) //no-pat:只转换数据报文的地址不转换端口信息。 [R1]int g 0/0/0 [R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1 //内部全局202.169.10.5,内部本地172.16.1.1
多对多NAT [R1]nat address-group 1 202.169.10.50 202.169.10.60 //配置转换地址池 [R1]acl 2000 [R1-acl-basic-2000]rule permit source 172.17.1.0 0.0.0.255 //只给172.17.1.0网段做NAT转换 [R1]int g 0/0/0 [R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat //将ACL2000与地址池组1相关联
多对一NAT [R1]acl 2000 [R1-acl-basic-2000]rule permit source 172.17.1.0 0.0.0.255 //只给172.17.1.0网段做NAT转换 [R1]int g 0/0/0 [R1-GigabitEthernet0/0/0]nat outbound 2000 //只给172.17.1.0网段做NAT转换
反向NAT [R1]int g 0/0/0 [R1-GigabitEthernet0/0/0]nat server protocol tcp global 202.169.10.6 www inside 172.16.1.1 www //内部全局202.169.10.6,内部本地172.16.1.1
easy ip //适用于拨号接入或动态获取ip地址的场合 acl number 2000 rule 0 permit source 192.168.1.0 0.0.0.255 int g0/1 nat outbound 2000 nat server //永久映射 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-10-6 10:02
技术员1级 
