华为交换机5735配置命令
VPN配置
ip vpn-instance _management_vpn_
ipv4-family
实例:
[~HUAWEI] ip vpn-instance _management_vpn_
[*HUAWEI-vpn-instance-management] ipv4-family
创建本地管理员用户,并配置本地管理员用户的各项参数。
local-user accampus@domain_accampus password irreversible-cipher $1d$lu]=I@&~>CwgZ;><$GT(O<Y,V$Yiv-(JkPm"Eg3DfJTuD:'m.]O-L9<:X$
创建本地管理员用户,并配置本地管理员用户的各项参数。用户名:accampus@domain_accampus,密码为密文。
local-user accampus@domain_accampus password-force-change disable #在管理员用户首次登录时,关闭强制修改密码(创建该用户时配置的密码)功能的开关。
local-user accampus@domain_accampus privilege level 3 #本地管理员用户的级别为3
local-user accampus@domain_accampus service-type ssh http #设置本地管理员用户的接入类型为SSH和HTTP
local-user administrator password irreversible-cipher $1d$mE1KS4J].+*PC+"K$4fv1U|W!`#1Dc>#r[xU%)Vfq.VGVz'oYnAX5%G=D$
local-user administrator password-force-change disable
local-user administrator privilege level 3
local-user administrator service-type terminal ssh http
接口下的配置
interface GE1/0/3
description AP
port link-type trunk
port trunk pvid vlan 4094
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 1011 4094
trust dscp #指定对报文按照某类优先级进行映射。 DSCP优先级进行映射
多上联口链路捆绑
interface 10GE1/0/2
eth-trunk 10
device transceiver 10GBASE-FIBER #配置设备光接口的介质类型
介质类型
取值包括:
1000BASE-X:GE光模块
1000BASE-T:GE光电模块
10GBASE-FIBER:10GE光模块
10GBASE-COPPER:10GE高速线缆
10GBASE-DWDM:10GE-DWDM彩色光模块
25GBASE-FIBER: 25GE光模块
25GBASE-COPPER: 25GE高速线缆
40GBASE-FIBER:40GE光模块
40GBASE-COPPER:40GE高速线缆
100GBASE-DWDM:100GE-DWDM彩色光模块
100GBASE-FIBER:100GE光模块
100GBASE-COPPER:100GE高速线缆
200GBASE-FIBER:200GE光模块
200GBASE-COPPER:200GE高速线缆
400GBASE-FIBER:400GE光模块
400GBASE-COPPER:400GE高速线缆
SNMP配置
snmp-agent local-engineid 800007DB0348125864E81F #设置本地SNMP实体的引擎ID
snmp-agent sys-info version v3 #设置AP上的SNMP系统版本信息
snmp-agent配置
undo snmp-agent protocol source-status all-interface
undo snmp-agent protocol source-status ipv6 all-interface
undo snmp-agent proxy protocol source-status all-interface
undo snmp-agent proxy protocol source-status ipv6 all-interface
SSH配置
snetconf server enable #用来使能SSH服务端的SNetconf服务
stelnet ipv4 server enable #用来使能SSH服务器端的STelnet服务,指定设备作为STelnet IPv4服务器
ssh user huawei #指定SSH用户的用户名
ssh user huawei authentication-type x509v3-rsa #用来配置SSH用户的认证方式为x509v3-ssh-rsa
ssh user huawei assign pki default #用来为SSH用户绑定PKI证书,名为default的PKI证书
ssh user huawei service-type snetconf #用来配置SSH用户的服务方式,指定SNetconf服务方式。
ssh server-source all-interface #指定SSH服务器的源接口为设备上所有配置了IP地址接口。
undo ssh ipv6 server-source all-interface #删除SSH的IPv6服务器
ssh server assign pki default #为SSH服务器分配PKI预置证书
ssh authorization-type default root #设置SSH连接的授权类型为Root
ssh server cipher aes256_gcm aes128_gcm aes256_ctr aes192_ctr aes128_ctr #用来配置SSH服务器端的加密算法列表aes256_gcm aes128_gcm aes256_ctr aes192_ctr aes128_ctr
ssh server hmac sha2_512 sha2_256 #配置SSH服务器端的HMAC认证算法列表SHA2_256和SHA2_512
ssh server key-exchange dh_group_exchange_sha256 dh_group16_sha512 curve25519_sha256 #配置SSH服务器上的密钥交换算法列表dh_group_exchange_sha256、curve25519_sha256、dh_group16_sha512
ssh server publickey ecc x509v3-ssh-rsa rsa_sha2_256 rsa_sha2_512 #开启SSH服务器公钥算法ecc x509v3-ssh-rsa rsa_sha2_256 rsa_sha2_512
ssh server dh-exchange min-len 3072 #配置SSH服务器与客户端进行Diffie-hellman-group-exchange密钥交换时,支持的最小密钥长度3072bits
ssh client first-time enable #使能SSH客户端首次登录功能
ssh client publickey x509v3-ssh-rsa rsa_sha2_256 rsa_sha2_512 #用来开启SSH客户端公钥算法x509v3-ssh-rsa rsa_sha2_256 rsa_sha2_512
ssh client cipher aes256_gcm aes128_gcm aes256_ctr aes192_ctr aes128_ctr #配置SSH客户端上允许使用的加密算法aes256_gcm aes128_gcm aes256_ctr aes192_ctr aes128_ctr
ssh client hmac sha2_512 sha2_256 #配置SSH客户端HMAC认证算法sha2_512 sha2_256
ssh client key-exchange dh_group_exchange_sha256 dh_group16_sha512 curve25519_sha256 #配置SSH客户端上使用的密钥交换算法列表dh_group_exchange_sha256 dh_group16_sha512 curve25519_sha256
最大用户数
user-interface maximum-vty 5 #VTY用户界面登录的最大用户数
串口配置
user-interface con 0
authentication-mode aaa #配置 console 启用aaa
SSH配置
user-interface vty 0 4
进入VTY用户界面视图。在该视图下用户可以配置Telnet和SSH的相关参数。更新用户接口VTY0至VTY4
authentication-mode aaa
protocol inbound ssh #协议为SSH
netconf配置
netconf #进入NETCONF用户界面视图 callhome imaster-campus #创建NETCONF连接实例并进入NETCONF连接实例视图。如果NETCONF连接实例已经存在,则直接进入该NETCONF连接实例视图。 endpoint netconf_172.101.2.253 #创建NETCONF连接实例并进入NETCONF连接实例视图 peer-ip 172.101.2.253 port 10020 #配置与设备建立NETCONF连接的网管IP地址和TCP端口号
grpc配置
grpc #进入GRPC视图。
grpc client #进入GRPC客户端视图。
ssl-policy default #配置gRPC服务的SSL策略。
gRPC是一个高性能、开源和通用的RPC(远程过程调用)框架
telemetry配置
telemetry #进入Telemetry视图
sensor-group CloudManagerCollectPolicy300 #用来在Telemetry视图下创建采样传感器组并进入Sensor-group视图
sensor-path huawei-aaa:aaa/access-user-records/access-user-record
sensor-path huawei-arp-security:arp-security/arp-snooping-records/arp-snooping-record
sensor-path huawei-cpu-memory:cpu-memory/board-cpu-infos/board-cpu-info
sensor-path huawei-cpu-memory:cpu-memory/board-memory-infos/board-memory-info
sensor-path huawei-cpu-memory:cpu-memory/board-storage-partition-infos/board-storage-partition-info
sensor-path huawei-ifm:ifm/interfaces/interface/common-statistics
sensor-path huawei-ifm:ifm/interfaces/interface/mib-statistics/huawei-pic:eth-port-err-sts
gRPC客户端
destination-group CloudManagerCollectConnection #创建gRPC客户端的目标组并进入gRPC客户端目标组视图
ipv4-address 172.101.2.253 port 10034
采样传感器组配置
subscription AC0300 #在Telemetry下创建订阅用于关联上送目标组和采样传感器组
protocol grpc #配置关联到本订阅的上送目标采集器的协议和加密方式,协议为gRPC
encoding json #配置上送数据报文的编码格式JSON
pack enable #使能单板的拼包功能
sensor-group CloudManagerCollectPolicy300 sample-interval 300000 #关联采样传感器组,并可配置该采样传感器组的采样周期、冗余抑制和心跳间隔。采样周期30000
destination-group CloudManagerCollectConnection #用来配置关联上送目标组
修改Web服务端口号
web-manager enable port 8443 #管理员使用Web浏览器访问80端口时,FW会自动将管理员的访问重定向到8443端口,
web-manager http forward enable #开启HTTP协议强制转化为HTTPS协议功能
修改HTTP端口号
<sysname> system-view
[sysname] undo web-manager enable
Disable http server successfully !
[sysname] web-manager enable port 8888
Enable http server successfully !
修改HTTPS端口号
<sysname> system-view
[sysname] undo web-manager security enable
Disable http security-server successfully !
[sysname] web-manager security enable port 9999
Enable http security-server successfully !
配置完成后,管理员使用Web浏览器访问9999端口(https://x.x.x.x:9999),即可通过HTTPS方式登录FW。
SSL策略配置
ssl policy default #创建一个SSL策略并进入SSL策略视图,或者直接进入一个已创建的SSL策略视图
pki-domain default #用来为SSL策略绑定PKI域名
ssl minimum version tls1.2 #设置当前SSL策略所采用的最低版本
cipher-suite exclude key-exchange rsa #用来排除SSL策略中RSA密钥交换算法
cipher-suite exclude cipher mode cbc #用来排除SSL策略中CBC加密模式算法
cipher-suite exclude hmac sha1 #用来排除SSL策略中SHA1摘要算法
diffie-hellman modulus 3072 #设置Diffie-Hellman密钥交换算法的模数
ecdh group curve brainpool #配置ECDHE算法的椭圆曲线参数,指定椭圆曲线参数值为Curve,指定椭圆曲线参数为Brainpool
signature algorithm-list ed25519 ed448 rsa-pss-pss-sha256 rsa-pss-pss-sha384 rsa-pss-pss-sha512 rsa-pss-rsae-sha256 rsa-pss-rsae-sha384 rsa-pss-rsae-sha512
用来设置SSL握手过程支持的签名算法为ed25519 ed448 rsa-pss-pss-sha256 rsa-pss-pss-sha384 rsa-pss-pss-sha512 rsa-pss-rsae-sha256 rsa-pss-rsae-sha384 rsa-pss-rsae-sha512
其他配置
dns resolve #使能基于DNS的动态域名解析功能
dhcp enable ipv4 #开启DHCP功能,指定设备仅处理DHCPv4报文。
device board 1 board-type S5735-L24P4XE-A-V2
在指定的槽位上创建指定类型的逻辑单板。槽位号:字符串形式,不支持空格,长度范围是1~19。指定预配置逻辑板设备的板类型:符串形式,不区分大小写,不支持空格,长度范围是1~31。
authentication-profile name default_authen_profile #创建认证模板并进入认证模板视图,名称为:default_authen_profile
authentication-profile name dot1x_authen_profile
authentication-profile name dot1xmac_authen_profile
authentication-profile name mac_authen_profile
drop-profile default #用来创建WRED丢弃模板并进入WRED丢弃模板视图,或进入已存在的WRED丢弃模板视图 名称为default。
ntp server source-interface all disable #用来关闭NTP server侦听所有接口开关
ntp ipv6 server source-interface all disable
error-down auto-recovery cause link-flap interval 60 #用来使能处于error-down状态的接口状态自动恢复为Up的功能,同时设置接口状态自动恢复为Up的延迟时间。
指定引起接口状态变为Down的原因 link-flap,指定接口状态自动恢复为Up的延迟时间。整数形式,取值范围是30~86400,单位是秒
undo telnet server-source all-interface #取消指定Telnet服务器端的源接口
undo telnet ipv6 server-source all-interface
mac-address update arp enable #使能MAC刷新ARP的功能,即MAC地址的出接口变化时,通知刷新ARP表项的出接口。
qos schedule-profile default #用来在接口下应用全局调度模板为default
diffserv domain default #创建一个DiffServ域并进入对应的DS域视图,或进入已存在的DS域视图。
vrrp6 na interval 30 #配置VRRP6备份组中Master设备发送NA报文的时间间隔为30秒
domain domain_accampus #用于域名列表中添加一个域
authentication-scheme default #用来设置当前域使用的认证方案。
accounting-scheme default #创建一个计费方案,并进入计费方案视图
free-rule-template name default_free_rule #用来创建免认证规则模板,并进入免认证规则模板视图,指定免认证规则模板的名称
#
dot1x-access-profile name dot1x_access_profile #用来创建802.1X接入模板并进入802.1X接入模板视图,指定802.1X接入模板的名称
#
mac-access-profile name mac_access_profile #用来创建MAC接入模板并进入MAC接入模板视图,指定MAC接入模板的名称。
vlan mode transparent #用来配置远端模块的VLAN模式,VLAN模式为透传模式。
stack #用来进入堆叠管理视图
license #用来配置用户指定的需要下载的License文件信息
warranty #用来进入warranty视图
pki realm default #用来指定IKE对等体的数字证书所属的PKI域
language character-set ISO8859-1 #用来设置系统字符集编码,目前系统支持GBK、UTF-8和ISO8859-1三种字符集编码。
clock timezone DefaultZoneName add 08:00:00 #用来对本地时区信息进行设置,时区名称DefaultZoneName,时间为8:00
ip route-static default-bfd min-tx-interval 50 min-rx-interval 50 #用来配置静态路由的全局BFD参数,指定最小发送间隔时间。指定最小接收间隔时间,取值范围是3~1000,单位是毫秒
