本文目录
- 华为交换机aaa配置命令是什么
- 华为交换机查看配置的命令是什么
- 华为交换机基本配置命令明细盘点
华为交换机aaa配置命令是什么
交换机具有性能价格比高、高度灵活、相对简单、易于实现等特点。所以,以太网技术已成为当今最重要的一种局域网组网技术,网络交换机也就成为了最普及的交换机。下面是我给大家整理的一些有关华为交换机aaa配置命令,希望对大家有帮助!
华为交换机aaa配置命令
aaa
authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng
authentication-mode radius local 配置AAA认证模式为先Radius,如无响应则本地认证
quit
accounting-scheme ji_fei 配置AAA计费方案名为ji_fei
accounting-mode radius 配置AAA计费模式为Radius服务器计费
accounting start-fail offline 配置当开始计费失败时,将用户离线
quit
二、配置Radius模板
radius-server template huawei_use 配置Raduis模板名为huawei_use
radius-server authentication 192.168.1.254 1812 主radius认证服务地址和端口
radius-server authentication 192.168.1.253 1812 secondary 备用认证服务器
radius-server accounting 192.168.1.253 1812 主radius计费服务地址和端口
radius-server accounting 192.168.1.253 1813 secondary 备用计费服务器
radius-server shared-key cipher hello 配置设备与Radius通信的共享秘钥为hello
radius-server retransmit 2 timeout 5 配置设备向Radius服务器发送请求报文的超时重传次数为2s,间隔为5s
quit
三、在AAA用户域绑定要使用的AAA认证和Radius模板
aaa
domain huawei 配置AAA域,名称huawei
authentication-scheme ren_zheng 在域中绑定AAA认证方案
accounting-scheme ji_fei 在域中绑定AAA计费方案
radius-server huawei_use 在域中绑定Radius模板
quit
检查命令:
display radius-server configuration template huawei_use
------------------------------------------------------------------------------
Server-template-name : huawei_use
Protocol-version : standard
Traffic-unit : B
Shared-secret-key : aaYOZ$V^P35NZPO3JBXBHA!!
Timeout-interval(in second) : 5
Primary-authentication-server : 192.168.1.254 :1812 :-LoopBack:NULL Source-IP:0.0.0.0
Primary-accounting-server : 192.168.1.254 :1813 :-LoopBack:NULL Source-IP:0.0.0.0
Secondary-authentication-server : 192.168.1.253 :1812 :-LoopBack:NULL Source-IP:0.0.0.0
Secondary-accounting-server : 192.168.1.253 :1813 :-LoopBack:NULL Source-IP:0.0.0.0
Retransmission : 2
Domain-included : YES
NAS-IP-Address : 0.0.0.0
Calling-station-id MAC-format : xxxx-xxxx-xxxx
------------------------------------------------------------------------------
display domain name huawei
Domain-name : huawei
Domain-state : Active
Authentication-scheme-name : ren_zheng
Accounting-scheme-name : ji_fei
Authorization-scheme-name : -
Service-scheme-name : -
RADIUS-server-template : huawei_use
HWTACACS-server-template : -
session 2 AAA+HWTACACS进行认证、授权、计费(默认所有使用TCP端口49)
拓扑不变
HWTACACS(Huawei Terminal Access Controller Access Control System)协议是华为对TACACS进行了扩展的协议
HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
HWTACACS与RADIUS的不同在于:
l RADIUS基于UDP协议,而HWTACACS基于TCP协议。
l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。
l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
aaa
authentication-scheme ren_zheng 配置AAA认证方案名为ren_zheng
authentication-mode hwtacacs local 配置AAA认证模式为先hwtacacs,如无响应则本地认证
authentication-super hwtacacs super 接入用户进行提权时,先进行hwtacacs认证,如无响应再本地认证
quit
aaa
authorization-scheme shou_quan 配置AAA授权方案名为ren_zheng
authorization-mode hwtacacs local 配置AAA授权模式为先hwtacacs,如无响应则本地授权
quit
accounting-scheme ji_fei 配置AAA计费方案名为ji_fei
accounting-mode hwtacacs 配置AAA计费模式为hwtacacs服务器计费
accounting start-fail offline 配置当开始计费失败时,将用户离线
accounting relaltime 3 配置对用户进行实时计费,计费间隔为3min
quit
二、配置hwtacacs模板
hwtacacs-server template huawei_use 配置hwtacacs模板名为huawei_use
hwtacacs-server authentication 192.168.1.254 49 主hwtacacs认证服务地址和端口
hwtacacs-server authentication 192.168.1.253 49 secondary 备用认证服务器
hwtacacs-server authorization 192.168.1.253 49 主hwtacacs授权服务地址和端口
hwtacacs-server authorization 192.168.1.253 49 secondary 备用授权服务器
hwtacacs-server accounting 192.168.1.253 49 主hwtacacs计费服务地址和端口
hwtacacs-server accounting 192.168.1.253 49 secondary 备用计费服务器
hwtacacs-server shared-key cipher hello 配置设备与hwtacacs通信的共享秘钥为hello
quit
三、在AAA用户域绑定要使用的AAA认证和hwtacacs模板
aaa
domain huawei 配置AAA域,名称huawei
authentication-scheme ren_zheng 在域中绑定AAA认证方案
authorization-scheme shou_quan 在域中绑定AAA认证方案
accounting-scheme ji_fei 在域中绑定AAA计费方案
hwtacacs-server huawei_use 在域中绑定hwtacacs模板
quit
检查命令:
display hwtacacs-server template huawei_use
---------------------------------------------------------------------------
HWTACACS-server template name : huawei_use
Primary-authentication-server : 192.168.1.254:49:-
Primary-authorization-server : 192.168.1.254:49-
Primary-accounting-server : 192.168.1.254:49:-
Secondary-authentication-server : 192.168.1.253:49:-
Secondary-authorization-server : 192.168.1.253:49:-
Secondary-accounting-server : 192.168.1.253:49:-
Current-authentication-server : 192.168.1.254:49:-
Current-authorization-server : 192.168.1.254:49:-
Current-accounting-server : 192.168.1.254:49:-
Source-IP-address : 0.0.0.0
Shared-key : hello
Quiet-interval(min) : 5
Response-timeout-Interval(sec) : 5
Domain-included : Yes
Traffic-unit : B
---------------------------------------------------------------------------
Total 1,1 printed
display domain name huawei
Domain-name : huawei
Domain-state : Active
Authentication-scheme-name : ren_zheng
Accounting-scheme-name : ji_fei
Authorization-scheme-name : shou_quan
Service-scheme-name : -
RADIUS-server-template : -
HWTACACS-server-template : huawei_use
华为交换机查看配置的命令是什么
华为交换机常用命令:
1、display current-configuration 显示当前配置
2、display interface GigabitEthernet 1/1/4 显示接口信息
3、display packet-filter interface GigabitEthernet 1/1/4 显示接口acl应用信息
4、display acl all 显示所有acl设置 3900系列交换机
5、display acl config all 显示所有acl设置 6500系列交换机
6、display arp 10.78.4.1 显示该ip地址的mac地址,所接交换机的端口位置
7、display cpu显示cpu信息
8、system-view 进入系统图(配置交换机),等于config t 命令
9、acl number 5000 在system-view命令后使用,进入acl配置状态
10、rule 0 deny 0806 ffff 24 0a4e0401 f 40 在上面的命令后使用,acl 配置例子
11、rule 1 permit 0806 ffff 24 000fe218ded7 f 34 //在上面的命令后使用,acl配置例子
12、interface GigabitEthernet 1/0/9 //在system-view命令后使用,进入接口配置状态
13、qos //在上面的命令后使用,进入接口qos配置
14、packet-filter inbound user-group 5000 //在上面的命令后使用,在接口上应用进站的acl
15、packet-filter outbound user-group 5001 //在接口上应用出站的acl
16、undo acl number 5000 //取消acl number 5000 的设置
17、ip route-static 0.0.0.0 0.0.0.0 10.78.1.1 preference 60 //设置路由
18、reset counters interface Ethernet 1/0/14 //重置接口信息
19、save //保存设置
20、quit //退出
华为交换机基本配置命令明细盘点
华为交换机基本配置命令明细盘点
传统 华为交换机从网桥发展而来,属于OSI第二层即数据链路层设备。它根据MAC地址寻址,通过站表选择路由,站表的建立和维护由 CISCO思科交换机自动进行。下面是我整理的关于华为交换机基本配置命令明细,希望大家认真阅读!
1:配置登录用户,口令等
//用户直行模式提示符,用户视图
system-view //进入配置视图
//配置视图(配置密码后必须输入密码才可进入配置视图)
sysname xxx //设置主机名成为xxx这里使用
aaa //进入aaa认证模式定义用户账户
local-user wds password cipher wds
local-user wds level 15
local-user wds service-type telnet terminal ssh //有时候这个命令是最先可以运
//行的,上边两个命令像password,level都是定义完vty 的
// authentication-mode aaa后才出现
quit
user-interface vty 0 4 //当时很奇怪这个命令就是找不到,最后尝试了几次才能运行
authentication-mode aaa
quit
2:华为S9303 VLan设置
创建vlan:
//用户直行模式提示符,用户视图
system-view //进入配置视图
vlan 10 //创建vlan 10,并进入vlan10配置视图,如果vlan10存在就直接进入vlan10配置视
quit //回到配置视图
vlan 100 //创建vlan 100,并进入vlan100配置视图,如果vlan10存在就直接进入vlan100
配置视图
quit //回到配置视图
将端口加入到vlan中:
interface GigabitEthernet2/0/1 (10G光口)
port link-type access //定义端口传输模式
port default vlan 100 //将端口加入vlan100
quit
interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。0代表1号
port link-type access //定义端口传输模式
port default vlan 10 //将这个端口加入到vlan10中
quit
将多个端口加入到VLAN中
system-view
vlan 10
port GigabitEthernet 1/0/0 to 1/0/29 //将0到29号口加入到vlan10中
quit
华为下的这个命令自己现在不知道,找了下答案也没有结果。
3:设置VTP cisco专有的vlan终极协议也成为局域网干道协议,作用是十几台交换机在企业网中,配置
VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样
他们可以自动学习到server 上的VLAN 信息
『配置环境参数』
(1)交换机SwitchA、SwitchB和SwitchC都通过GE接口互连
(2)SwitchB和SwitchC交换机是核心交换机,要求主备。
『组网需求』
要求整个网络运行STP协议
数据配置步骤
(1)【SwitchA交换机配置】
启动生成树协议: stp enable
(1)【SwitchB交换机配置】
启动生成树协议:stp enable
(3)配置本桥为根桥
stp root primary
(4)【SwitchC交换机配置】
a 启动生成树协议stp enable
b 配置本桥为备份根桥stp root secondary
(5)【SwitchD交换机配置】
a 启动生成树协议stp enable
【补充说明】
(1)缺省情况下交换机的优先级都是32768,如果想人为指定某一台交换机为根交换机,也可以通过修改优
先级来实现;
(2)缺省情况下打开生成树后,所有端口都会开启生成树协议,请把接PC的端口改为边缘端口模式;
(3)如果要控制某条链路的状态可以通过设置端口的cost值来实现。
测试验证
(1)使用display stp查看交换机STP运行状态
(2)查看端口STP状态display stp interface Ethernet XX是否正确
4:交换机配置IP地址
interface Vlanif100 // 进入vlan100接口视图与vlan 100命令进入的地方不同
ip address 119.167.200.90 255.255.255.252 // 定义vlan100管理IP三层
交换网关路由
quit
interface Vlanif10 // 进入vlan10接口视图与vlan 10命令进入的地方不同
ip address 119.167.206.129 255.255.255.128 // 定义vlan10管理IP三层
交换网关路由
quit
配置默认网关:
ip route-static 0.0.0.0 0.0.0.0 119.167.200.89 //配置默认网关。
5: 交换机保存设置和重置命令
save //保存配置信息
reset saved-configuration /重置交换机的配置
reboot //重新启动交换机
6:交换机常用的显示命令
用户视图模式下:
display current-configuration //显示现在交换机正在运行的.配置明细
display device //显示S9303各设备状态
display interface ? //显示个端口状态,用?可以查看后边跟的选项
display version //查看交换机固件版本信息
display vlan ? // 查看vlan的配置信息
7:基于端口的mac地址绑定
系统视图下
am user-bind mac-addr mac地址 ip-addr ip地址 interface 接口类型 接口序号
以太网端口视图下
interface 接口类型 接口序号
am user-bind mac-addr mac地址 ip-addr ip地址
8:配置交换机的snmp功能
snmp-agent community read xx //xx是组织名称,read是以只读模式查看
undo snmp-agent community xx //删除xx组织
display snmp-agent community //显示组织名
9:交换机禁ping配置
acl number 3000
rule 1 deny icmp-type echo any //禁止所有网络ping
rule 3 deny icmp source 1.1.1.1 0.0.0.15 destination 2.2.2.2 0 禁止
1.1.1.1到2.2.2.2的icmp包
quit
interface giga1/0/20
packet-filter inbound ip-group 3000 rule 1 //将规则在接口下用
packet-filter inbound ip-group 3000 rule 3 //将规则在接口下
用
quit
interface Vlanif 100
packet-filter inbound ip-group 3000 rule 1 //将规则在接口下用
quit
interface Vlanif 10
packet-filter inbound ip-group 3000 rule 1 //将规则在接口下用
quit
10:恢复交换机出厂设置
reset saved-configuration /重置交换机的配置
11: 实际工作中的一个配置实例
vlan 10
quit
vlan 100
quit
interface XGigabitEthernet2/0/1 (10G光口)
port link-type access
port default vlan 100
quit
interface Vlanif100
ip address 119.187.200.90 255.255.255.252
quit
ip route-static 0.0.0.0 0.0.0.0 119.187.200.89
aaa local-user wds password cipher wds
local-user wds privilege level 15
local-user wds service-type telnet terminal ssh
quit
user-interface vty 0 4
authentication-mode aaa quit
12:端口汇聚实例
(1)交换机SwitchA和SwitchB通过以太网口实现互连。
(2)SwitchA用于互连的端口为e0/1和e0/2,SwitchB用于互连的端口为e0/1和e0/2。
『组网需求』
增加SwitchA的SwitchB的互连链路的带宽,并且能够实现链路备份,使用端口汇聚数据配置步骤
【SwitchA交换机配置】
(1)进入端口E0/1
interface Ethernet 0/1
(2)汇聚端口必须工作在全双工模式
duplex full
(3)汇聚的端口速率要求相同,但不能是自适应
speed 100
(4)进入端口E0/2
interface Ethernet 0/2
(5)汇聚端口必须工作在全双工模式
duplex full
(6)汇聚的端口速率要求相同,但不能是自适应
speed 100
(7)根据源和目的MAC进行端口选择汇聚
link-aggregation Ethernet 0/1 to Ethernet 0/2 both
【SwitchB交换机配置】
interface Ethernet 0/1
duplex full
speed 100
interface Ethernet 0/2
duplex full
speed 100
link-aggregation Ethernet 0/1 to Ethernet 0/2 both
【注意】
(1)同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,
则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access
端口。
(2)不同的产品对端口汇聚时的起始端口号要求各有不同,请对照《操作手册》进行配置。
13:端口镜像配置实例
『环境配置参数』
(1)PC1接在交换机E0/1端口,IP地址1.1.1.1/24
(2)PC2接在交换机E0/2端口,IP地址2.2.2.2/24
(3)E0/24为交换机上行端口
(4)Server接在交换机E0/8端口,该端口作为镜像端口
『组网需求』
(1)通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。根据Quidway交换机不同型号,
镜像有不同方式进行配置:
基于端口的镜像 ——基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来
进行流量观测或者故障定位。
基于流的镜像 ——基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交
换机来说这两个数据流是要分开镜像的。
S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,8016交换机支持基于端口的镜像
3500/3026E/3026F/3050支持基于流的镜像,5516/6506/6503/6506R支持对入端口流量进行镜像数据配置
步骤 以Quidway S3026C为例,通过基于二层流的镜像进行配置:
(1)定义一个ACL
acl num 200
(2)定义一个规则从E0/1发送至其它所有端口的数据包
rule 0 permit ingress interface Ethernet0/1 egress
interface Ethernet0/2
(3)定义一个规则从其它所有端口到E0/1端口的数据包
rule 1 permit ingress interface Ethernet0/2 egress
interface Ethernet0/1
(4)将符合上述ACL的数据包镜像到E0/8
mirrored-to link-group 200 interface e0/8
14:显示配置命令
显示系统版本信息:display version
显示诊断信息:display diagnostic-information
显示系统当前配置:display current-configuration
显示系统保存配置: display saved-configuration
显示接口信息:display interface
显示路由信息:display ip routing-table
显示VLAN信息:display vlan
显示生成树信息:display stp
显示MAC地址表:display mac-address
显示ARP表信息:display arp
显示系统CPU使用率:display cpu
显示系统内存使用率:display memory
显示系统日志:display log
显示系统时钟:display clock
验证配置正确后,使用保存配置命令:save
删除某条命令,一般使用命令: undo
15:trunk干道配置
『配置环境参数』
(1)SwitchA 端口E0/1属于vlan10,E0/2属于vlan20,E0/3与SwitchB端
口E0/3互连
(2)SwitchB 端口E0/1属于vlan10,E0/2属于vlan20,E0/3与SwitchA端
口E0/3互连
『组网需求』
(1)要求SwitchA的vlan10的PC与SwitchB的vlan10的PC互通
(2)要求SwitchA的vlan20的PC与SwitchB的vlan20的PC互通
数据配置步骤
【SwitchA相关配置】
(1)创建(进入)vlan10
vlan 10
(2)将E0/1加入到vlan10
port Ethernet 0/1
(3)创建(进入)vlan20
vlan 20
(4)将E0/2加入到vlan20
port Ethernet 0/2
(5)实际当中一般将上行端口设置成trunk属性,允许vlan透传
port link-type trunk
(6)允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值
port trunk permit vlan all
【SwitchB相关配置】
(1)创建(进入)vlan10
vlan 10
(2)将E0/1加入到vlan10
port Ethernet 0/1
(3)创建(进入)vlan20
vlan 20
(4)将E0/2加入到vlan20
port Ethernet 0/2
(5)实际当中一般将上行端口设置成trunk属性,允许vlan透传
port link-type trunk
(7)允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值
port trunk permit vlan all
【补充说明】
(1)如果一个端口是trunk端口,则该端口可以属于多个vlan;
(2)缺省情况下trunk端口的PVID为1,可以在端口模式下通过命令port trunk pvid vlan vlanid 来修改
端口的PVID;
(3)如果从trunk转发出去的数据报文的vlan id和端口的PVID一致,则该报文的VLAN信息会被剥去,这点
在配置trunk端口时需要注意。
(4)一台交换机上如果已经设置了某个端口为hybrid端口,则不可以再把另外的端口设置为trunk端口。
(5)一般情况下最好指定端口允许通过哪些具体的VLAN,不要设置允许所有的VLAN通过。
测试验证
(1)SwitchA vlan10内的PC可以与SwitchB vlan10内的PC互通
(2)SwitchA vlan20内的PC可以与SwitchB vlan20内的PC互通
(3)SwitchA vlan10内的PC不能与SwitchB vlan20内的PC互通
(4)SwitchA vlan20内的PC不能与SwitchB vlan10内的PC互通
;