华为交换机基本配置
程序员文章站
2022-05-08 19:26:18
...
本文主要介绍一些华为接入交换机常用的配置,亲测适用于S5700系列交换机。(如有问题欢迎指正)
| 1 | SSH配置方法 |
|---|---|
| 2 | console登录密码配置 |
| 3 | dot1x端口安全配置 |
| 4 | 日志采集配置 |
| 5 | NTP时间同步配置 |
| 6 | SNMP配置 |
| 7 | 配置IP+MAC静态绑定 |
| 8 | 配置IP+MAC+接口静态绑定 |
| 9 | 配置端口安全 |
| 10 | 配置黑洞Mac地址 |
配置1:SSH配置方法
dsa local-key-pair create
Y #选择yes
1024 #输入1024
aaa
local-user “用户名” password irreversible-cipher “密码”
local-user “用户名” service-type ssh
local-user “用户名” privilege level 3 #这里的级别如果你想配置添加一个super密码就选择1,远程登录账号密码后,再输入一次管理密码//
quit
stelnet server enable
ssh user “用户名”
ssh user “用户名” authentication-type password
ssh user “用户名” service-type stelnet
ssh client first-time enable #此命令开启可以使交换机与交换机之间互相远程管理。
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
user-interface vty 16 20
#一般上面的步骤配置完成,网关地址能够ping通,22端口能够telnet通。使用SSH登陆就没有问题... //
配置2:console登录密码配置
user-interface con 0
authentication-mode password
set authentication password cipher “密码”
#console密码相当于我们超级管理员密码,请妥善保存。
配置3:dot1x端口安全配置
undo authentication unified-mode 更改模式为传统模式
#更改后需要重启一下设备,注意保存配置。
dot1x enable
dot1x authentication-method eap
mac-authen timer offline-detect 180
access-user arp-detect default ip-address 0.0.0.0
radius-server template dot1x
radius-server shared-key cipher +密码
radius-server authentication
radius-server authentication +认证服务器IP地址 1812 weight 70
radius-server accounting +认证服务器IP地址 1813 weight 80
radius-server accounting +认证服务器IP地址 1813 weight 70
aaa
authentication-scheme dot1x
authentication-mode radius
accounting-scheme dot1x
accounting-mode radius
domain default
authentication-scheme dot1x
accounting-scheme dot1x
radius-server dot1x
interface GigabitEthernet0/0/1
dot1x mac-bypass
#接口开启dot1x认证和mac认证,打印机一般是mac认证(mac-authem 只敲此命令)
配置4:日志采集配置
info-center channel 6 name loghost1
info-center source default channel 6 log level informational
info-center loghost +日志服务器IP地址 channel 6
#可以根据等级来选择自己所需要的日志信息。
|chanel 6 |级别你可以再详细了解一下,不同的级别采集的日志不一样
(其实日志采集还蛮重要的,不配置你等保过不去。)
配置5:NTP时间同步配置
ntp-service server disable
ntp-service ipv6 server disable
ntp-service unicast-server +NTP服务器IP地址
#啰嗦一句,在我巡检中有很多客户的网络设备时间,尤其是交换机大部分系统时间都不对。
#(如果系统时间不同,出现了问题解决后,你怎么跟客户来汇报故障发生的时间呢?掐指一推)
配置6:SNMP配置
snmp-agent
snmp-agent local-engineid 800007DB03C4473F215ED0 //这条命令其实不用敲,配置完成后默认会自动出来。(不要慌)
snmp-agent community write cipher “密码”
snmp-agent community read cipher “密码”
snmp-agent sys-info version all //这里可以自己选择版本V2 V3等
#一般第三方监控软件使用snmp来监控设备的性能
#也可以来监控设备端口流量,但个人认为监控流量还是使用流量镜像吧
#尤其针对视频流量。
配置7:配置IP+MAC静态绑定
以添加源IP为192.168.2.1、源MAC为0002-0002-0002的静态绑定表项,并在VLAN 10上使能IPSG功能为例,配置过程如下:
system-view
user-bind static ip-address 192.168.2.1 mac-address 0002-0002-0002
vlan 10
ip source check user-bind enable
配置8:配置IP+MAC+接口静态绑定
以添加源IP为192.168.2.1、源MAC为0002-0002-0002、接口为GE0/0/1的静态绑定表项,并在VLAN 10上使能IPSG为例,配置过程如下:
<HUAWEI> system-view
[HUAWEI] user-bind static ip-address 192.168.2.1 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1
[HUAWEI] vlan 10
[HUAWEI-vlan10] ip source check user-bind enable
//其实也可以在接口下配置 ip source check user-bind enable
配置9:配置端口安全
配置端口安全功能,可以实现用户的动态绑定。通过配置接口MAC地址学习限制数的功能可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高设备与网络的安全性。
# 配置GE0/0/1接口的端口安全功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable
# 配置GE0/0/1接口的MAC地址学习限制数为5,即最多可以学习到5个MAC地址表项。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 5
#这个写的有点粗糙了,其实还有好多的功能。
配置10:配置黑洞Mac地址
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
交换机提供两种配置黑洞MAC地址的方式:全局黑洞MAC地址和基于VLAN的黑洞MAC地址。
在系统视图下,配置MAC地址0000-0012-0034为全局黑洞MAC。
<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0000-0012-0034
在系统视图下,配置MAC地址0000-0012-0035在VLAN10的广播域内为黑洞MAC地址。
<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0000-0012-0035 vlan 10
#20200702 v1版
上一篇: 交换机开发(一)—— 交换机的工作原理
下一篇: 华为路由器交换机配置命令