交换机命令
设置时间
在用户视图增加时区 clock
clock timezone BJ add 8
在管理视图,增加时间ntp服务器
ntp-service unicast-server 120.25.115.20
dis ntp-service status
开启web管理
在用户视图 dir 显示文件,一般以web结尾的是,(有的文件中间有001)
在系统视图,
http server load S2700SI-V100R006C05.WEB.ZIP
http secure-server enable
http server enable
进入aaa视图,
local-user admin password cipher qljd2700XXX
local-user admin privilege level 15
local-user admin service-type telnet terminal ssh http
以edge浏览器,打开后,用ie模式,设置ssl为全部,可以打开web管理页面。,需要给admin配15的权限。
配置snmp notification-log报警
snmp-agent target-host trap address udp-domain 192.168.7.41 source Vlanif 101 params securityname cipher ctquanlin1@xxx v2c // 后面要求有v2c的版本
snmp-agent snmp-agent local-engineid 000007DB7F00000100003659 snmp-agent community write cipher %@%@B(J6HjsmfG^t.:6*6zSQU8%156Pv,r5G.+I~]GV21`)Z8%4U~9yp#K,IqHvDK$!I|Wk<%=U8%@%@ snmp-agent sys-info version v2c v3 snmp-agent target-host trap address udp-domain 192.168.7.41 source Vlanif101 params securityname cipher %@%@5y@z-'QzL*U&j|Fju3c#UA$:%@%@ v2c snmp-agent trap source Vlanif101 snmp-agent notification-log enable snmp-agent trap enable
// 可选,待验证,报警的事件分类
# rmon event 1 description null log owner null
##############################
https://blog.csdn.net/qq_62311779/article/details/127151415
一、拓扑+需求:
二、配置:
(1)路由与交换:
——基础配置命令&相关查看命令
——接口ip的配置和子接口的配置
——相关vlan和trunk的配置
——接口下关闭:核心交换机关闭接口二层功能(二层变三层)
——配置vlan ip
——华为端口聚合捆绑:(按照顺序配置:)
——DHCP地址池:
——VRRP配置:
——MSTP:
——路由配置
——路由器PAT配置
(2)防火墙:
——接口配置:
——ospf 路由处理
——PAT转换
——静态NAT映射
一、拓扑+需求:
——————————————————————————————————————————————————
重置交换机:在用户视图,重置,并reboot,不写入。继续重启。
##########################
二、配置:
(1)路由与交换:
——基础配置命令&相关查看命令
<Huawei>system-view //进入配置模式
[Huawei]sysname r3 //定义主机名
[Huawei]display current-configuration //查看当前配置 show run
[Huawei]display ip routing-table //查看路由表 show ip route
[Huawei]display interface brief //查看接口UP/DOWN show int brief
[Huawei]display interface e0/0/0 //查看具体接口状态信息
[Huawei]display arp all //查看ARP映射 show ip arp
[sw]display mac-address VLAN 100 //查看当前交换机MAC地址表(可以跟上具体vlan)
[sw]display vlan //查看VLAN数据库
[sw3]display ip interface brief //相当于 show ip int brief
display port vlan // 查看port的vlan所属范围
display mac-address | include 79bc // 查看电脑mac在哪个接口
——接口ip的配置和子接口的配置
——接口配置
interface Ethernet0/0/0
description to fw-g0/0/4 //接口描述
undo portswitch //二层接口变成三层接口
ip address 10.1.1.1 255.255.255.0 //配置接口IP地址
undo shut //激活接口
——配置子接口
int g0/0/0
undo shutdown
quit
interface GigabitEthernet0/0/0.10 //进入子接口
vlan-type dot1q 10 //封装trunk,制定VLAN ID为VLAN10
ip address 10.1.1.10 255.255.255.0 //配置IP地址
undo shut
——相关vlan和trunk的配置
——创建vlan
[~HUAWEI]vlan 10
[*HUAWEI-vlan10]description caiwu //针对vlan做一个描述
[*HUAWEI-vlan10]vlan 20
[*HUAWEI-vlan20]quit
[*HUAWEI]commit //(commit)CE系列交换机,需要打commit配置才会生效
[~HUAWEI]display vlan //查看vlan
——接口划vlan
[~HUAWEI]int g1/0/0
[~HUAWEI-GE1/0/0]port link-type access
[~HUAWEI-GE1/0/0]port default vlan 10
[*HUAWEI-GE1/0/0]undo shut
[*HUAWEI-GE1/0/0]quit
——接口封装trunk
[*HUAWEI]int g1/0/2
[~HUAWEI-GE1/0/2]undo shutdown
[*HUAWEI-GE1/0/2]port link-type trunk
[*HUAWEI-GE1/0/2]port trunk allow-pass vlan all //思科trunk允许所有vlan穿越,华为的默认不允许所有vlan穿越,修改一下
[*HUAWEI-GE1/0/2]quit
[*HUAWEI]commit //写入所配置的命令(如果没有打这个命令,默认不会生效)
[*HUAWEI]display current-configuration //相当于sh run
[~HUAWEI]display interface brief //查看接口up情况
——接口下关闭:核心交换机关闭接口二层功能(二层变三层)
[~HUAWEI]int g1/0/1
[~HUAWEI-GE1/0/1]undo portswitch
[*HUAWEI-GE1/0/1]q
[*HUAWEI]commit
——配置vlan ip
<HUAWEI>save //保存配置,相当于write
[*HUAWEI]int vlanif 40
[*HUAWEI-Vlanif40]ip add 192.168.40.254 255.255.255.0
[*HUAWEI-Vlanif40]un sh
[*HUAWEI-Vlanif40]q
[*HUAWEI]commit
——华为端口聚合捆绑:(按照顺序配置:)
[sw1]int Eth-Trunk 1 //创建一个捆绑接口(int port-channel 1)
[sw1-Eth-Trunk1]quit
[sw1]int g0/0/4
[sw1-GigabitEthernet0/0/4]eth-trunk 1
[sw1-GigabitEthernet0/0/4]q
[sw1]int g0/0/3
[sw1-GigabitEthernet0/0/3]eth-trunk 1
[sw1-GigabitEthernet0/0/3]q
[sw1]int Eth-Trunk 1
[sw1-Eth-Trunk1]port link-type trunk
[sw1-Eth-Trunk1]port trunk allow-pass vlan all
[sw1-Eth-Trunk1]q
——DHCP地址池:
——核心交换机
[Quidway] dhcp enable //开启地址池
[Quidway] ip pool 1 //配置地址池名称
[Quidway-ip-pool-1] network 10.1.1.0 mask 255.255.255.128 //地址池范围
[Quidway-ip-pool-1] dns-list 10.1.1.2 8.8.8.8 //DNS地址
[Quidway-ip-pool-1] gateway-list 10.1.1.126 //网关
[Quidway-ip-pool-1] excluded-ip-address 10.1.1.2
[Quidway-ip-pool-1] excluded-ip-address 10.1.1.4
[Quidway-ip-pool-1] lease day 10
[Quidway-ip-pool-1] quit
——终端
[Quidway] interface vlanif 10
[Quidway-Vlanif10] dhcp select global //开启DHCP功能
[Quidway-Vlanif10] quit
——VRRP配置:
[sw1]int Vlanif 100
[sw1-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.110
[sw1-Vlanif100]vrrp vrid 100 priority 101
[sw1-Vlanif100]vrrp vrid 100 track interface g0/0/1 reduced 50
[sw1-Vlanif100]vrrp vrid 100 preempt-mode timer delay 0 //开启抢占,延迟时间为0
display vrrp brief //查看
——MSTP:
相同的域,相同的实列
----定义MSTP:
stp region-configuration //进入到MSTP配置模式里面
region-name RG1 //定义域名,四台交换机必须相同
instance 1 vlan 2 to 100 //创建实列1,包含vlan 2到vlan 100
( instance 1 vlan 5 7 12 )
instance 1 vlan 6
active region-configuration //把MSTP的功能激活
quit
以上交换机配置一模一样
stp instance 1 root primary
stp instance 2 root sec
——路由配置
——配置静态路由
[Huawei]ip route-static 0.0.0.0 0.0.0.0 172.16.1.1 preference 1
//去往任意地方下一跳为10.1.1.10.并且这个静态路由管理距离为1,
华为静态路由默认管理距离为60,越小越优先
——ospf配置:
ospf 100 router-id 1.1.1.1
default-route-advertise always //强制通告默认路由
silent-interface vlanif 10 //把vlan 10的网段通告出去,但是这个接口只发不受hello包
area 0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
[Huawei]display ospf peer brief //查看邻居
华为域内,域间路由 管理距离:10 , 重分发的为150
——路由器PAT配置
——————————————————————————————————————————————————————
(2)防火墙:
[FW3]firewall zone trust //g0/0/0接口默认被防火墙放进了trust,则把它从trust区域拿出来
[FW3-zone-trust]undo add int g0/0/0
[FW3-zone-trust]q
接口默认被划进了VPN实例,可以给它删除undo
——接口配置:
放行接口相关服务(防火墙默认不放行):
[FW3]int g1/0/1
[FW3-GigabitEthernet1/0/1]service-manage all permit //放行所有
[FW3-GigabitEthernet1/0/1]
防火墙zone配置
[SRG]firewall zone name outside //创建一个新的ZONE
firewall zone outside //进入到zone
set priority 1
add inter GigabitEthernet0/0/0
注意:
2,默认情况除了local zone之外,其他zone之间无法互相访问
1,默认从FW可以ping通任何zone;从trust zone也能ping通FW的trust接口。其他情况则ping不同
——ospf 路由处理
——PAT转换
对于这个安全策略,只是放行了一个方向,所以inside可以访问outside,Outside不能访问inside,同样DMZ也是如此
——静态NAT映射
