华为交换机AAA配置与管理
A A A配置与管理
一、基础
1、AAA是指:authentication(认证)、authorization(授权)、accounting (计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs (华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的。
在实际应用中,可以使用AAA的一种或两种服务。
2、AAA基本架构:
C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)
3、AAA基于域的用户管理:
通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理
缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin (全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,域,如果用户名不带@,就属于系统缺省default域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致。
4、radius协议
Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。
定义UDP 1812、1813作为认证(授权)、计费端口
Radius服务器维护三个数据库:
Users:存储用户信息(用户名、口令、使用的协议、IP地址等)
Clients:存储radius客户端信息(接入设备的共享密钥、IP地址)
Dictionary:存储radius协议中的属性和属性值含义
Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。
5、hwtacacs协议
Hwtacacs是在tacacs(rfc1492)基础上进行了功能增强的安全协议,与radius 协议类似,主要用于点对点PPP和VPDN(virtual private dial-up network,虚
拟私有拨号网络)接入用户及终端用户的认证、授权、计费。与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制。
Hwtacacs协议与其他厂商支持的tacacs+协议的认证流程和实现方式是一致的,能够完全兼容tacacs+协议
6、华为设备对AAA特性的支持
支持本地、radius、 hwtacacs三种任意组合
本地认证授权:
优点是速度快,可降低运营成本;缺点是存储信息量受设备硬件条件限制
RADIUS认证、计费:
优点防止非法用户对网络的攻击相对较高;缺点是不支持单独授权功能,必须与认证功能一起,使用了认证功能就使用了授权功能
Hwtacacs认证、授权、计费:
认证、授权、计费室单独进行的,可以单独配置使用,在大型网络中可以部署多台hwtacacs服务器;还支持在一个方案中使用多协议模式,如本地认证常用于radius认证和hwtacacs认证的备用认证方案,本地授权作为hwtacacs授权的备用授权方案等
二、本地方式认证和授权配置
配置流程为:配置AAA方案——配置本地用户——配置业务方案——配置域的AAA 方案
一、配置AAA方案
配置AAA方案就是配置AAA中的认证、授权、计费,用于“域的aaa方案”中绑定这些方案使用(所配置的各种方案只有在域中绑定后才能得到应用)认证方案:
1、进入AAA视图
[Huawei]aaa
2、设置一个AAA认证方案名
[Huawei-aaa]authentication-scheme test1
3、设置认证模式为本地认证(缺省为本地认证)
[Huawei-aaa-authen-test1]authentication-mode ?
hwtacacs HWTACACS
local Local
none None
radius RADIUS
4、配置当前认证模板对用户提升级别进行认证时采用的认证模式(可选,默认为本地认证)
[Huawei-aaa-authen-test1]authentication-super ?
hwtacacs HWTACACS
none None
radius RADIUS super Super(本地认证模式)
5、配置用户名和域名解析的方向(可选,缺省从左向右)
[Huawei-aaa]domainname-parse-direction ?
left-to-right Configure the left to right direction of domainname parsing
right-to-left Configure the right to left direction of domainname parsing
授权方案:
1、创建一个授权方案
[Huawei-aaa]authorization-scheme tets1
2、配置本地授权模式
[Huawei-aaa-author-tets1]authorization-mode ?
hwtacacs Use HWTACACS authorization method
if-authenticated Use authorization method which lets user(s) authorized if
user(s) not authenticated by none authentication method
local Use local authorization method
none Use none authorization method
3、设置授权服务器下发的用户授权信息的生效模式(可选,缺省为overlay模式)
[Huawei-aaa]authorization-modify ?
Modify 修改模式,新下发的授权信息覆盖上一次下发的所有属性类别的授权信息
Overlay 覆盖模式,新下发的授权信息覆盖前次下发的所有用户授权信息
# 模拟器未能模拟
二、配置本地用户
采用本地方式进行认证授权时,需要在本地设备配置用户的认证和授权信息,如用于认证的用户名、密码、用于授权的优先级、用户组、允许接入的服务器类型、可建立连接数、访问目录等
1、设置本地用户名和密码
[Huawei-aaa]local-user test password simple 147258
2、设置本地用户的级别
[Huawei-aaa]local-user test privilege level 15
3、设备本地用户加入用户组(可选,先配置好用户组
[Huawei-aaa]local-user test user-group teset #模拟器无法模拟
4、设置本地用户断开超时时间
[Huawei-aaa]local-user test idle-timeout 600
5、设备本地用户用于何种类型的服务
[Huawei-aaa]local-user test service-type ?
8021x 802.1x user
bind Bind authentication user
ftp FTP user
http Http user
ppp PPP user
ssh SSH user
telnet Telnet user
terminal Terminal user
web Web authentication user
x25-pad X25-pad user
6、本地用户作为FTP使用时设置访问目录
[Huawei-aaa]local-user test ftp-directory ?
STRING<1-58>
flash:
flash:/
7、设置本地用户状态
[Huawei-aaa]local-user test state ?
active Permit the user(s) to deal with the authen request
block Forbid the user(s) to deal with the authen request (拒绝该用户认证请求)
8、设备本地用户访问时最大连接数(缺省不限制)
[Huawei-aaa]local-user test access-limit 10
9、设置本地账号锁定功能(连续登陆失败达到次数后锁定和解锁、重试等参数)
[Huawei-aaa]local-aaa-user wrong-password retry-interval 5(重试时间间隔) retry-time 3 (连续认证失败的最大次数block-time 10
(账号被锁定时间)
10、修改账号密码
三、配置业务方案(可选)
“业务方案”也是一种授权方案,它是专门针对一些IP业务(如管理员权限、DHCP服务、DNS服务、策略路由)所进行的授权,也称为“业务授权方案”。
通常只需要使用admin-user privilege level 命令配置管理员用户的用户级别,其它命令只有在业务方案被其他特性(如IPSEC)调用时才需要配置。
具体配置:
1、创建一个业务方案
[Huawei-aaa]service-scheme test
2、配置本地用户可作为管理员登陆设备并设置级别
[Huawei-aaa-service-test]admin-user privilege level 15
3、设置业务方案下使用的DHCP服务器组(仅7700及以上支持)
[Huawei-aaa-service-test]dhcp-server grpup test
4、设置可用的DHCP IP地址池或移动已配置的地址的位置(仅7700及以上支持)
[Huawei-aaa-service-test]ip-pool testpool move-to testpool2
5、设置业务方案下的主用或备用DNS服务器地址
secondary Set secondary DNS server's IP address
6、设置业务方案下用户的策略路由功能(仅7700及以上支持)
(下一跳IP地址) 5(源路由vlan ID)
四、配置域的AAA方案
认证、授权方案、业务方案只有绑定域的AAA方案中才能得到应用
1、设置一个域的AAA方案名(缺省存在default和default_admin两个域)
[Huawei-aaa]domain testdomain
2、绑定认证方案
[Huawei-aaa-domain-testdomain]authentication-scheme test
3、绑定授权方案
[Huawei-aaa-domain-testdomain]authorization-scheme test
4、绑定业务方案
[Huawei-aaa-domain-testdomain]service-scheme tese
5、设置域的AAA方案状态
[Huawei-aaa-domain-testdomain]state ?
active Active
block Block
6、设置域名分隔符(缺省为@)
[Huawei-aaa]domain-name-delimiter @
三、RADIUS方式认证、授权、计费配置
配置流程为:配置AAA方案——配置radius服务器模板——配置业务方案——配置域的AAA方案
一、认证授权配置
Radius中的认证和授权时同步进行的,只要是能其认证功能,也就是能了授权功能。配置方法同本地认证配置
二、计费方案配置
1、设置计费方案名
[Huawei-aaa]accounting-scheme testaccounting
2、设置计费模式
[Huawei-aaa-accounting-testaccounting]accounting-mode ?(默认为none)
hwtacacs HWTACACS
none None
radius RADIUS
3、设置开始计费失败策略(默认online)
[Huawei-aaa-accounting-testaccounting]accounting start-fail ?
offline Offline#如果开始计费失败,允许用户上线
online Online#如果开始计费失败,拒绝用户上线
4、设置实时计费功能和时间间隔(缺省未使能)
[Huawei-aaa-accounting-realtime]accounting realtime 60
5、设置实时计费允许设备发送实时计费请求的最大次数(默认为3)或、和失败后采取的动作
[Huawei-aaa-accounting-realtime]accounting interim-fail max-times 10 ?
offline Offline online Online
三、radius服务器模板配置
Radius服务器模板用来配置与radius服务器进行通信的相同参数(如radius服务器IP地址、端口号、共享密钥等)
Radius服务器模板下的用户名格式。共享密钥等要与radius服务器上配置对应一致
1、设置radius授权服务器IP地址、授权服务器模板名称、通信密钥
server-group Configure RADIUS-client corresponding server-group
shared-key Configure server shared-key
vpn-instance VPN instance
2、配置radius服务器模板名
[Huawei]radius-server template test
3、设置模板下radius主用认证服务器地址、端口号源接口loopback编号或、及IP地址
ip-address IP address
loopback LoopBack interface 4、设置模板下radius备用认证服务器地址、端口号源接口loopback编号或、及IP地址
5、设置模板下主用计费服务器地址、端号源接口loopback编号或、及IP地址
secondary Secondary server
source Source LoopBack interface
vpn-instance VPN instance
6、设置模板下备用计费服务器地址、端号源接口loopback编号或、及IP地址(参
考上面配置)
7、设置域radius服务器通信的共享密钥(MD5加密,缺省密码为huawei)[Huawei-radius-test]radius-server shared-key cipher huawei 1
8、设置设备向radius服务器发送的报文中的用户名包含域名(可选,缺省包含)[Huawei-radius-test]radius-server user-name domain-included
9、设置radius计费服务器计费时采用的流量统计单位(可选,缺省为byte)Huawei-radius-test]radius-server traffic-unit ?
byte Byte
gbyte Gbyte
kbyte Kbyte
mbyte Mbyte
10、设置radius请求报文允许的超时重传次数和超时时间(可选,缺省5 3)[Huawei-radius-test]radius-server retransmit 3 timeout 3
11、设置NAS(AAA客户端)端口形式(可选,缺省为新)
[Huawei-radius-test]radius-server nas-port-format ?
new New NAS-Port format(新的)
old Old NAS-Port format(旧的)12、设置NAS端口ID 形式(可选 867页)
[Huawei-radius-test]radius-server nas-port-id-format ?
new New NAS-Port-Id format
old Old NAS-Port-Id format
13、设置NAS发送radius报文使用的NAS-IP-address属性(可选。默认使用指定的loopback接的IP地址)
14、设置计费结束报文的重传功能和可重发的计费停止报文个数(可选。默认都为
0)
[Huawei-radius-template]radius-server accounting-stop-packet resend 3 #无法模拟
15、设置与radius主用服务器恢复重新连接时间间隔(可选,默认为5分钟)[Huawei-radius-template]radius-server detect-server interval 10
16、测试用户能否通过radius认证
[Huawei-radius-template]test-aaa test1 123456 radius-template test1 ?
chap CHAP method #采用CHAP认证
pap PAP method #采用PAP认证
四、业务方式配置和域的aaa方案配置同上
四、HWTACACS方式认证、授权、计费配置
与radius相比,具有更加可靠的传输和加密特性,更加适合于安全控制,可以防止非法用户对网络攻击,还支持对命令行授权等
配置流程:AAA方案——hwtacacs服务器模板——业务方案——域的AAA方案
一、设置AAA认证方案
同上
可以增加的地方
1、设置认证旁路时间(默认未使能,单位分钟)
[Huawei]aaa-authen-bypass enable time 2 #未能模拟
二、设置AAA授权方案
同上
可以增加的地方
1、为指定级别的用户设置为按命令行授权(可选,默认都没设置)
[Huawei-aaa-author-testauthoriz]authorization-cmd 3 hwtacacs ?
local Use local authorization method
2、设置授权旁路时间
[Huawei]aaa-authen-bypass enable time 2
3、设置命令行授权旁路时间
[Huawei]aaa-authen-cmd-bypass enable time 2
三、设置AAA计费方案
同上
四、hwtacacs服务器模板配置
与radius服务器模板配置基本一样
1、使能hwtacacs功能
[Huawei]hwtacacs enable
2、创建hwtacacs模板名
[Huawei]hwtacacs-server template templatehwtacacs
以下同上
3、设置hwtacacs主用授权服务器
4、设置hwtacacs备用授权服务器
5、设置hwtacacs主用计费服务器
6、设置hwtacacs备用授权服务器
7、设置设备向hwtacacs服务器发送hwtacacs报文的源IP地址
8、设置客户端与hwtacacs服务器通信的共享密钥
9、设置客户端向hwtacacs服务器发送的报文包含域名
10、设置计费hwtacacs流量的单位
11、设置hwtacacs服务器应答超时时间(可选,缺省5S)
[Huawei-hwtacacs-test]hwtacacs-server timer response-timeout 20 12、设置主用服务器恢复激活状态的静默时间(缺省5min)
[Huawei-hwtacacs-test]hwtacacs-server timer quiet 10
13、设置允许停止重发计费报文及重发计费报文的个数
14、设置可在设备上修改hwtacacs服务器上保持的用户密码(必须未过期)
华为交换机基本配置命令详细讲解
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
华为交换机基本配置
华为交换机基本配置 Hessen was revised in January 2021
1、华为设备配置基本命令 用户名密码为 yayd yamobile
[HW-group-group]port link-type-access //将端口组定义为access口 [HW-group-group]port default vlan 440 //将vlan440加入该端口组 [HW-group-group]quit [HW]interface ethernet 0/0/21 //进入网口21 [HW-Eth0/0/21]port link-type trunk //将网口21定义为trunk 口 [HW-Eth0/0/21]port trunk allow-pass vlan 338 440 //该端口仅允许vlan338 440通过 [HW-Eth0/0/21]quit [HW]interface gigabitethernet 0/0/1 //进入光口1 [HW-G0/0/1]port link-type trunk //将光口1定义为trunk端口 [HW-G0/0/1]port trunk allow-pass vlan 70 338 440 //该端口允许vlan70,338,440通过。 [HW-G0/0/1]quit [HW]save //保存 2、华为设备故障处理基本命令 1)查看交换机端口状态 2)查看交换机端口描述
华为交换机各种配置方法
端口限速基本配置1 端口绑定基本配置 ACL基本配置 密码恢复 三层交换配置 端口镜像配置 DHCP配置 配置文件管理 远程管理配置 STP配置 私有VLAN配置 端口trunk、hybrid应用配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』
华为交换机基本配置命令29908
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess(注:接口类型access,hybrid、trunk) [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组)vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变DS模块来实现(关闭配置后的确认信息显示) info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现(打开配置后的确认信息显示)
华为交换机各种配置实例[网管必学]
华为交换机各种配置实例[网管必学 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
华为交换机常用命令
华为交换机常用命令: 1、display current-configuration 显示当前配置 2、display interface GigabitEthernet 1/1/4 显示接口信息 3、display packet-filter interface GigabitEthernet 1/1/4 显示接口acl应用信息 4、display acl all 显示所有acl设置3900系列交换机 5、display acl config all 显示所有acl设置6500系列交换机 6、display arp 10.78.4.1 显示该ip地址的mac地址,所接交换机的端口位置 7、display cpu显示cpu信息 8、system-view 进入系统图(配置交换机),等于config t 命令 9、acl number 5000 在system-view命令后使用,进入acl配置状态 10、rule 0 deny 0806 ffff 24 0a4e0401 f 40 在上面的命令后使用,,acl 配置例子 11、rule 1 permit 0806 ffff 24 000fe218ded7 f 34 //在上面的命令后使用,acl配置例子 12、interface GigabitEthernet 1/0/9 //在system-view命令后使用,进入接口配置状态 13、[86ZX-S6503-GigabitEthernet1/0/9]qos //在上面的命令后使用,进入接口qos配置 14、[86ZX-S6503-qosb-GigabitEthernet1/0/9]packet-filter inbound user-group 5000 //在上面的命令后使用,在接口上应用进站的acl 15、[Build4-2_S3928TP-GigabitEthernet1/1/4]packet-filter outbound user-group 5001 //在接口上应用出站的acl 16、undo acl number 5000 //取消acl number 5000 的设置 17、ip route-static 0.0.0.0 0.0.0.0 10.78.1.1 preference 60 //设置路由 18、reset counters interface Ethernet 1/0/14 //重置接口信息 19、save //保存设置 20、quit //退出(此信息仅为分享之用,我们不排除对您并不适用的可能。另,如此信息侵犯您的权益,请告知我们,我们会及时删除) 华为路由器交换机配置命令:交换机命令 [Quidway]discur;显示当前配置 [Quidway]displaycurrent-configuration;显示当前配置 [Quidway]displayinterfaces;显示接口信息 [Quidway]displayvlanall;显示路由信息 [Quidway]displayversion;显示版本信息 [Quidway]superpassword;修改特权用户密码 [Quidway]sysname;交换机命名
最新华为交换机常用配置实例
最新华为交换机常用配置实例 2016最新华为交换机常用配置实例 华为交换机常用配置实例 sys进入到系统视图 Entersystemview,returntouserviewwithCtrl+Z. [Quidway]user-interfaceaux0 [Quidway-ui-aux0]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-aux0]qu [Quidway]local-userhuawei增加用户名 Newlocaluseradded. [Quidway-luser-huawei]passwordsimplehuawei配置密码,且密码不加密 [Quidway-luser-huawei]service-typetelnetsshlevel3 服务类型为SSH和telnet,且用户登陆后权限为管理员权限 [Quidway-luser-huawei]qu [Quidway]user-interfacevty04 [Quidway-ui-vty0-4]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-vty0-4]
save 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如)。 键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入"?" 2、命令视图 (1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入 (2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view (3)以太网端口视图(配置以太网端口参数)[Quidway- Ethernet0/1]:在系统视图下键入interfaceethernet0/1 (4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan1 (5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参 数)[Quidway-Vlan-interface1]:在系统视图下键入 interfacevlan-interface1 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-useruser1
华为的交换机基本配置命令
华为的交换机基本配置命令很多,在此,yjbys小编为大家带来的是最新交换机的配置命令,希望对同学们考试有帮助! 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件 reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123 设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接 [Quidway-Ethernet1/0/1]port link-type {trunk|access|hybrid} 设置端口工作模式 [Quidway-Ethernet1/0/1]undo shutdown 激活端口 [Quidway-Ethernet1/0/2]quit 退出系统视图 5、链路聚合配置
华为交换机及路由器各种配置实例大全(20200909191858)
交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为、 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率 限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的 粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的 级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图
华为交换机基础配置教程-交换机配置教程
1:配置登录用户,口令等 vQuidway> // 用户直行模式提示符,用户视图 vQuidway>system-view // 进入配置视图 [Quidway] // 配置视图(配置密码后必须输入密码才可进入配置视图)[Quidway] sysname xxx // 设置主机名成为xxx这里使用 [Quidway] aaa // 进入aaa认证模式定义用户账户 [Quidway-aaa] local-user wds password cipher wds [Quidway-aaa] local-user wds level 15 [Quidway-aaa] local-user wds service-type telnet term inal ssh // 有时候这个命令是最先可以运 // 行的,上边两个命令像password,level都是定义完vty 的 // authe nticati on-m ode aaa 后才出现 [Quidway-aaa] quit [Quidway] user-i nteface vty 0 4 // 当时很奇怪这个命令就是找不到,最后尝试了几次 才能运行 [Quidway-ui-vtyO-4] authe nticati on-m ode aaa [Quidway-ui-vtyO-4] quit 2 :华为S930 3 VLan设置 创建vlan :
华为交换机基础配置命令
实验三华为交换机配置 【实验题目】 华为交换机配置 【实验课时】 2课时。 【实验目的】 1.了解华为交换机的基本端口以及IOS软件。 2.掌握华为交换机的配置途径。 3.掌握华为交换机的三种访问方式。 4.掌握华为交换机初始设置。 【实验环境】 华为交换机一台(型号不限)、PC机一台,操作系统要为Windows 98/NT/2000/xp,装有超级终端软件;Console 电缆1条。 【实验内容和主要步骤】 一、交换机配置途径 一般来说,可以用5种方式来设置交换机: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但交换机的第一次设置必须通过第1种方式进行;这时终端的硬件设置为波特率:9600,数据位:8,停止位:1,无校验。
二、交换机的几种基本访问模式: 一台新交换机开机时自动进入的状态,这时可通过对话方式对交换机进行设置。利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后,交换机首先会显示一些提示信息, 华为交换机基本配置过程 一:交换机基本配置: 1.进入2403交换机,进入用户模式。 2.在命令提示符“>”下,键入“system-view”并回车。 3.键入“display courrent-config”,察看当前配置情况,注意这是缺省值。(有可能是display courrent-config,因为版本不一)。 4.键入“display version”参看交换机上IOS版本。 5.设置2403交换机名称,使用“sysname”命令(也有可能是hostname命令)。 如:Hostname 2403A(此交换机名为2403A)。 6.使用display interface来察看关于全部接口的统计表。 7.使用display int ?来察看所有可用的以太网和快速以太网的命令。 8.使用display int Ethernet ? 9. 使用display int e 0/2 来察看关于2接口的统计表 10. 使用reset saved-configuration 删除flash或NVRAM中的配置信息。保持默认信息。请大家不要轻易使用。.
华为交换机配置命令
华为交换机配置命令
华为交换机配置指令 视图切换指令
打开以太网端口:[Switch-ethernet port-id]undo shutdown 设置以太网端口描述字符串:[Switch-ethernet port-id]description text 设置以太网端口的双工模式:[Switch-ethernet port-id]duplex { auto| full| half } 设置以太网端口的速率:[Switch-ethernet port-id]speed { 10 | 100 | 1000 | auto } 设置以太网端口的MDI模式:[Switch-ethernet port-id]mdi {across| auto | normal } 开启以太网端口的流量控制功能:[Switch-ethernet port-id]flow-control display查看指令 查看版本信息:
华为交换机常用命令配置介绍
华为交换机配置命令 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如
华为交换机的基本设置
华为交换机的应用 精网科技 交换的概述 @交换是指在一个接口上收到数据帧并且从另一个接口上将该数据帧发送出去的过程。 @交换机是二层的设备,它用来解决带宽不足和网络瓶颈的问题,主要作为工作站、服务器、路由器、集线器和其它交换机的集中点。它可以看作是一个多端口的网桥,为所连接的两台网络设备提供一条独享的虚电路,因此避免了冲突。可工作在全双工模式下,意味着可同时收发数据。 @交换机是根据MAC地址传递数据帧的的二层设备。它不能处理三层地址信息。所以交换机的操作与网络层使用什么样的协议无关。 @交换机把大的网络细分成若干微分段,以减小冲突域的大小,即每个接口是一个冲突域。但所有接口仍在一个广播域内。可以认为交换机是硬件桥,而网桥是软件的。交换机与网桥的区分是:网桥最多16个端口,但交换机可有很多端口,这一个缺点,足可以彻底打败网桥。 @网络中的通信分为三种,单播,组播,广播。(举例) 网络环境大的时候,所有主机都在一个广播域内网络性能会很差,所
以这样一来,靠划分微分段的方法已经不行,而常用的就是用交换机在二层隔离广播帧的VLAN技术,实现二层广播域的划分,以后会讲到。 @路由器在网络中的位置,我们用路由器把交换的网络分成若干广播域。这样可以避免广播风暴。路由器的使用大约给网络造成的延迟是20-30%,因为路由器会在三层上根据逻辑地址来做路由。所以造成延迟。 @以太交换机的反应时间。是指一个数据帧从进入交换机开始到离开交换机的这段时间。此时间的长短取决于在交换机上配置的交换操作的类型,以及网络上通过交换机的流量。交换机每秒都会处理海量数据,所以每个数据帧的交换时间哪怕有十亿分之一秒的延迟,对交换机来说都会影响整体的性能。 @交换机与HUB的区别。从内部结构上看,HUB是总线,而SWITCH 内部是每个接口与另外的接口都有连通线。(画图示意一下)再一个就是数据流通的带宽。比如:10M的HUB和10M的SWITH @三层交换机是在二层交换机的基础上融合了三层路由功能的交换机,它不但能基于MAC地址转发数据帧,还能根据数据包的IP地址为数据包提供路由服务。 @对称和不对称交换 100M和10M图13-2、3 @以太交换机的基本功能
华为交换机配置30例
目录 交换机远程TELNET登录 (2) 交换机远程AUX口登录 (5) 交换机DEBUG信息开关 (6) 交换机SNMP配置 (9) 交换机WEB网管配置 (10) 交换机VLAN配置 (12) 端口的TRUNK属性配置(一) (14) 交换机端口TRUNK属性配置(二) (16) 交换机端口TRUNK属性配置(三) (18) 交换机端口HYBRID属性配置 (21) 交换机IP地址配置 (23) 端口汇聚配置 (25) 交换机端口镜像配置 (27) 交换机堆叠管理配置 (29) 交换机HGMP V1 管理配置 (31) 交换机集群管理(HGMP V2)配置 (33) 交换机STP配置 (34) 路由协议配置 (36) 三层交换机组播配置 (41) 中低端交换机DHCP-RELAY配置 (44) 交换机802.1X配置 (46) 交换机VRRP配置 (51) 单向访问控制 (54) 双向访问控制 (57) IP+MAC+端口绑定 (62) 通过ACL实现的各种绑定的配置 (64) 基于端口限速的配置 (66)
基于流限速的配置 (68) 其它流动作的配置 (70) 8016 交换机DHCP配置 (73)
. 交换机远程T ELNET 登录 1 功能需求及组网说明 2 telnet 配置 『配置环境参数 』 PC 机固定I P 地址10.10.10.10/24 SwitchA 为三层交换机,vlan100 地址10.10.10.1/24 SwitchA 与S witchB 互连v lan10 接口地址192.168.0.1/24 SwitchB 与S witchA 互连接口v lan100 接口地址192.168.0.2/24 交换机S witchA 通过以太网口e thernet 0/1 和S witchB 的e thernet0/24 实现互连。 『组网需求』 1. SwitchA 只能允许10.10.10.0/24 网段的地址的P C telnet 访问 2. SwitchA 只能禁止10.10.10.0/24 网段的地址的P C telnet 访问 3. SwitchB 允许其它任意网段的地址t elnet 访问 2 数据配置步骤 『PC 管理交换机的流程』 1. 如果一台P C 想远程T ELNET 到一台设备上,首先要保证能够二者之间正常通信。 SwitchA 为三层交换机,可以有多个三层虚接口,它的管理v lan 可以是任意一个 具有三层接口并配置了I P 地址的v lan 2. SwitchB 为二层交换机,只有一个二层虚接口,它的管理v lan 即是对应三层虚 接口并配置了I P 地址的v lan 3. Telnet 用户登录时,缺省需要进行口令认证,如果没有配置口令而通过T elnet 登录,则系统会提示“password required, but none set.”。 【SwitchA 相关配置】
华为交换机S5000系列常用配置
华为S5000交换机常用配置 登录Web设置页面 1.您需要将管理计算机的IP地址与交换机的IP地址(缺省为19 2.168.0.233/255.255.255.0)设置在同一子网中。如果采用远程配置,请确保管理计算机和交换机路由可达。 2.开启/关闭HTTP服务器:
华为交换机 综合配置案例
2综合配置案例关于本章 2.1 中小型园区/分支出口综合配置举例 2.2 大型园区出口配置示例(防火墙直连部署) 2.3 大型园区出口配置示例(防火墙旁路部署) 2.4 校园敏捷网络配置示例 2.5 轨道交通承载网快速自愈保护技术配置举例 2.6 配置交换机上同时部署ACU2和NGFW的示例
2.1 中小型园区/分支出口综合配置举例 园区网出口简介 园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之 间数据流的唯一出入口。对于中小型企业来说,考虑到企业网络建设的初期投资与长 期运维成本,一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访 问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用 运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络,一般考虑部 署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路 由等技术保证园区出口的可靠性。华为AR系列路由器配合华为S系列交换机是中小型 园区网出口设备的理想解决方案。 l园区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需 求。 l园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求。 l园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全。 l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。 配置注意事项 l本配置案例适用于中小型企业园区/分支出口解决方案。 l本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。 组网需求 某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部 门,分支只有一个部门。现在需要建设跨地域的企业园区网络,需要实现的需求如 下: l总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门,其中A部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户 都可以访问Internet。 l总部有Web服务器,对外提供WWW服务,外网用户可以访问内网服务器。 l总部和分支之间需要通过Internet进行私网VPN互通,通信内容需要有安全保护。 l总部园区出口可靠性要求较高,需要考虑链路级的可靠性和设备级的可靠性。 l分支可以适当降低可靠性要求。 方案介绍 根据用户需求,可以给出如图2-1所示的综合配置解决方案,该方案具备层次化、模块 化、冗余性、安全性的特点,适用于中小型企业/分支的园区网络部署。