欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

华为交换机基本配置

程序员文章站 2022-05-08 19:26:18
...

本文主要介绍一些华为接入交换机常用的配置,亲测适用于S5700系列交换机。(如有问题欢迎指正)

1 SSH配置方法
2 console登录密码配置
3 dot1x端口安全配置
4 日志采集配置
5 NTP时间同步配置
6 SNMP配置
7 配置IP+MAC静态绑定
8 配置IP+MAC+接口静态绑定
9 配置端口安全
10 配置黑洞Mac地址

配置1:SSH配置方法

       dsa local-key-pair create  
       Y          #选择yes
       1024       #输入1024

       aaa
       local-user “用户名” password irreversible-cipher “密码”
       local-user “用户名” service-type ssh 
       local-user “用户名” privilege level 3  #这里的级别如果你想配置添加一个super密码就选择1,远程登录账号密码后,再输入一次管理密码// 
       quit
       
       stelnet server enable
       ssh user “用户名”
       ssh user “用户名” authentication-type password
       ssh user “用户名” service-type stelnet
       ssh client first-time enable    #此命令开启可以使交换机与交换机之间互相远程管理。
         
       user-interface vty 0 4
       authentication-mode aaa
       user privilege level 3
       protocol inbound ssh
       user-interface vty 16 20
             
      #一般上面的步骤配置完成,网关地址能够ping通,22端口能够telnet通。使用SSH登陆就没有问题... //

配置2:console登录密码配置

       user-interface con 0
       authentication-mode password
       set authentication password cipher “密码” 
       #console密码相当于我们超级管理员密码,请妥善保存。

配置3:dot1x端口安全配置

      undo authentication unified-mode  更改模式为传统模式
      #更改后需要重启一下设备,注意保存配置。

      dot1x enable
      dot1x authentication-method     eap
      mac-authen timer offline-detect 180
      access-user arp-detect default ip-address 0.0.0.0

      radius-server template dot1x
      radius-server shared-key cipher +密码 
      radius-server authentication
      radius-server authentication +认证服务器IP地址 1812 weight 70
      radius-server accounting +认证服务器IP地址 1813 weight 80
      radius-server accounting +认证服务器IP地址 1813 weight 70

      aaa
      authentication-scheme dot1x
      authentication-mode radius
      accounting-scheme dot1x
      accounting-mode radius
      domain default
      authentication-scheme dot1x
      accounting-scheme dot1x
      radius-server dot1x

      interface GigabitEthernet0/0/1
      dot1x mac-bypass
     #接口开启dot1x认证和mac认证,打印机一般是mac认证(mac-authem 只敲此命令)

配置4:日志采集配置

         info-center channel 6 name loghost1
         info-center source default channel 6 log level informational
         info-center loghost +日志服务器IP地址 channel 6
         #可以根据等级来选择自己所需要的日志信息。
         |chanel 6 |级别你可以再详细了解一下,不同的级别采集的日志不一样
         (其实日志采集还蛮重要的,不配置你等保过不去。)       

配置5:NTP时间同步配置

        ntp-service server disable
        ntp-service ipv6 server disable
        ntp-service unicast-server +NTP服务器IP地址 
        #啰嗦一句,在我巡检中有很多客户的网络设备时间,尤其是交换机大部分系统时间都不对。
        #(如果系统时间不同,出现了问题解决后,你怎么跟客户来汇报故障发生的时间呢?掐指一推)

配置6:SNMP配置

        snmp-agent
        snmp-agent local-engineid 800007DB03C4473F215ED0    //这条命令其实不用敲,配置完成后默认会自动出来。(不要慌)
        snmp-agent community write cipher “密码”
        snmp-agent community read cipher “密码”
        snmp-agent sys-info version all    //这里可以自己选择版本V2 V3等
        #一般第三方监控软件使用snmp来监控设备的性能
        #也可以来监控设备端口流量,但个人认为监控流量还是使用流量镜像吧
        #尤其针对视频流量。

配置7:配置IP+MAC静态绑定

以添加源IP为192.168.2.1、源MAC为0002-0002-0002的静态绑定表项,并在VLAN 10上使能IPSG功能为例,配置过程如下:
        system-view
        user-bind static ip-address 192.168.2.1 mac-address 0002-0002-0002
        vlan 10
        ip source check user-bind enable

配置8:配置IP+MAC+接口静态绑定

以添加源IP为192.168.2.1、源MAC为0002-0002-0002、接口为GE0/0/1的静态绑定表项,并在VLAN 10上使能IPSG为例,配置过程如下:
<HUAWEI> system-view
[HUAWEI] user-bind static ip-address 192.168.2.1 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1
[HUAWEI] vlan 10
[HUAWEI-vlan10] ip source check user-bind enable
//其实也可以在接口下配置 ip source check user-bind enable

配置9:配置端口安全

配置端口安全功能,可以实现用户的动态绑定。通过配置接口MAC地址学习限制数的功能可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高设备与网络的安全性。
# 配置GE0/0/1接口的端口安全功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable

# 配置GE0/0/1接口的MAC地址学习限制数为5,即最多可以学习到5个MAC地址表项。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 5
#这个写的有点粗糙了,其实还有好多的功能。

配置10:配置黑洞Mac地址

为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
交换机提供两种配置黑洞MAC地址的方式:全局黑洞MAC地址和基于VLAN的黑洞MAC地址。
在系统视图下,配置MAC地址0000-0012-0034为全局黑洞MAC。
<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0000-0012-0034
在系统视图下,配置MAC地址0000-0012-0035在VLAN10的广播域内为黑洞MAC地址。
<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0000-0012-0035 vlan 10

#20200702 v1版