經過Console口登陸交換機web
經過Console口登陸主要用於交換機第一次上電或者本地配置。或者沒法經過遠程訪問時,可經過Console口登陸。
正則表達式
在配置經過Console口配置交換機以前,須要完成如下任務:
shell
準備好PC/終端(COM串口和RS-232電纜)瀏覽器
PC已安裝終端仿真程序(超級終端、SecureCRT、Xshell等)服務器
使用配置電纜將PC的COM口(若是沒有COM口,可使用USB轉RS-232鏈接)和交換機的Console口鏈接,而後把交換機上電。而後經過終端軟件鏈接。ssh
這裏我當時遇到的問題是:Port 應該選擇COM* 呢?
ide
這個端口號,咱們能夠在設備管理器中查看,而且能夠更改端口的編號。方法以下:工具
設備管理器 --- 端口(COM和LPT)--- 雙擊要修改的COM口(或者右鍵-屬性)-- 端口設置 -- 高級 --端口號測試
OK, 登陸到交換機以後,就開始配置吧。如下配置中,綠色字體是須要自定義的。字體
# 設置設備的名稱爲GSH-FZ-Front
<Quidway> system-view
[Quidway] sysname GSH-FZ-Front
# 設置查看設備的時區,時間
# 設置當前時間:clock datetime HH:MM:SS YYYY-MM-DD
# 設置時區: clock timezone time-zone-name { add | minus } offset
<Quidway> clock timezone BJ add 8
<Quidway> clock datetime 18:20:30 2011-06-08
<Quidway> display clock
#設定NTP服務器,自動獲取更新時間,假設NTP服務器爲 202.120.2.101,202.112.10.36
<Quidway> system-view
[Quidway] ntp-service unicast-peer 202.120.2.101
[Quidway] ntp-service unicast-peer 202.112.10.36
# 配置S5700爲內網的NTP服務器,內網的二層交換機指定這個S57爲 NTP server 就行
<Quidway> system-view
[Quidway] ntp-service authentication enable
[Quidway] ntp-service sync-interval 180
[Quidway] ntp-service authentication-keyid 42 authentication-mode md5 cipher 123456
[Quidway] ntp-service reliable authentication-keyid 42
# 查看NTP狀態
<Quidway> display clock
<Quidway> display ntp-service status
# 設置標題文本
<Quidway> system-view
# 設置登陸時的提示信息: header login { information text | file file-name }
[Quidway] header login information #Welcome S5700#
# 設置登陸成功後的提示信息: header shell { information text | file file-name }
[Quidway] header shell information #Welcome S5700#
#telnet遠程登陸
# password { simple | cipher }
# 若是使用simple選項,密碼將以明文形式保存在配置文件中。通常狀況下,應使用cipher 選項將密碼加密保存,同時使用
# cipher選項後,沒法從系統中取回,請妥善保管密碼。
<Quidway> system-view
[Quidway] aaa
[Quidway-aaa] local-user testadmin password cipher p@ssw0rd privilege level 15
[Quidway-aaa] local-user testadmin service-type telnet (設置用戶登陸方式爲 telnet, 只能經過telnet方式登陸,還有這幾種 ssh http web) 通常不配置它。
[Quidway-aaa] quit
[Quidway]user-interface vty 0 4
[Quidway-vty0-4]authentication-mode aaa (設置認證方式爲: aaa )
#SSH遠程登陸
需求:PC能經過SSH協議遠程登陸交換機進行管理。
一、生成本地密鑰對:
<Quidway> system-view
[Quidway] rsa local-key-pair create
The key name will be: Auotnavi-callcenter-01_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 512]:1024
Generating keys...
.++++++
............++++++
...............++++++++
.++++++++
二、配置VTY用戶界面
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode aaa
# 必須設置VTY用戶驗證方式爲AAA,不然 protocol inbound ssh 命令沒法成功
[Quidway-ui-vty0-4] protocol inbound ssh
三、建立SSH用戶及密碼
[Quidway] aaa
[Quidway-aaa] local-user admin password cipher 123
[Quidway-aaa] local-user admin privilege level 15
[Quidway-aaa] local-user admin service-type ssh
四、使用Stelnet,並配置SSH用戶的認證方式
[Quidway] stelnet server enable
[Quidway] ssh authentication-type default password
## 劃分VLAN
#建立VLAN
<Quidway> system-view (通常縮寫爲:sys)
[Quidway] vlan 10 (批量添加vlan: vlan batch 10 20 30)
[Quidway-vlan10] quit (通常縮寫爲:q)
#設定端口模式,默認爲trunk,須要將端口劃入VLAN以前,先把端口類型轉爲access
<Quidway> system-view
[Quidway] int gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port link-type access
[Quidway-GigabitEthernet0/0/1] quit
#將端口加入Vlan
<Quidway> system-view
[Quidway] vlan 10
[Quidway-vlan131] port gigabitethernet 0/0/1 (連續多個端口,用 xx to xx, 如:port giga 0/0/5 to 0/0/10)
[Quidway-Vlan131] quit
#設置Trunk
<Quidway> system-view
[Quidway] interface GigabitEthernet 0/0/23
[Quidway-GigabitEthernet0/0/23] port link-type trunk
# 若是不設置下面這條配置,VLAN10 , VLAN131都會處於DOWN的狀態
[Quidway-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 131 (多個VLAN列出)
#設置VLAN IP(管理IP)
<Quidway> system-view
[Quidway] interface vlanif 131
[Quidway-Vlanif131] ip address 192.168.0.253 255.255.255.0 (縮寫: ip add IP MASK)
[Quidway-Vlanif131] shutdown
[Quidway-Vlanif131] undo shutdown
# 刪除VLAN
一、若是配置VLAN的管理IP,在系統視圖下,使用 undo int vlan 10 命令刪除VLAN 10的3層虛擬接口,這樣VLAN 10就被刪除了,可是劃入VLAN 10 的那些端口依然在VLAN 10中。這時還須要把那些端口恢復,讓他們不屬於任何VLAN
<Quidway> system-view
[Quidway] undo int vlanif 10
二、在系統視圖下,使用 undo vlan 10 命令能夠刪除2層接口,這個命令能夠釋放那些原來劃分爲VLAN 10的端口,如今這些端口就屬於默認的VLAN 1了。
<Quidway> system-view
[Quidway] undo vlan 10
[Quidway] display vlan
固然,要向VLAN添加端口,是能夠直接在VLAN視圖中添加的。
須要注意的是:交換機上的某個端口被設置成access模式,且加入了一個VLAN, 要想將這個端口模式改成trunk,直接在接口視圖中「port link-type trunk」 是不行的,會出現 Error: Please renew the default configurations. 這時須要先從VLAN中刪除這個端口,也就是讓這個接口恢復到默認的VLAN 1, 才能將這個端口設置爲trunk。
<Quidway> system-view
[Quidway] vlan 10
[Quidway] undo port giga 0/0/1
# 配置端口組
# S5700有48個端口,若是要配置VLAN,須要爲每一個端口先配置port link-type access,才能加入到VLAN,這豈不是很鬱悶?
# 因而乎,端口組的出現了,把一些端口添加到一個組裏,而後對這個組進行配置,這樣就能批量配置
<Quidway> system-view
[Quidway] port-group 1 # 建立名爲1的端口組
[Quidway-port-group-1] group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20 # 添加端口到組
# 而後就能夠批量設置端口了
[Quidway-port-group-1] port link-type access # 設置端口類型
[Quidway-port-group-1] port default vlan 10 # 把端口加入vlan
# 查看組配置
[Quidway] display cur | include group
對端口進行限速
假設對交換機的第2個端口進行限速,讓經過這個端口的下載速度不超過 128KB/S
Inbound: 入端口的流量限速
Outbound: 出端口的流量限速
<Quidway> system-view
[Quidway] int giga 0/0/2
[Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800
# 默認單位:KB, 1024表示1M的帶寬,理論下載速度就是 128KB/S, cbs表明突發信息速率,cir表示承諾信息速率
# 取消限速
[Quidway-GigabitEthernet0/0/2] undo qos lr outbound
配置基於地址池的DHCP服務器
一、全局啓用DHCP服務
<Quidway> system-view
[Quidway] dhcp enable
二、配置IP地址池 10 的屬性(地址池範圍、DNS地址、出口網關、租期)
[Quidway] ip pool 10
[Quidway] network 192.168.10.0 mask 255.255.255.0
[Quidway] excluded-ip-address 192.168.10.250 192.168.10.254 (start_ip - end_ip)
[Quidway] dns-list 202.103.24.68
[Quidway] gateway-list 192.168.10.1
[Quidway] lease day 10
[Quidway] quit
二、配置VLANIF 10 接口下的客戶端從全局地址池中獲取IP地址
[Quidway] interface vlanif 10
[Quidway-Vlanif10] ip add 192.168.10.1 255.255.255.0 (或者 ip add 192.168.10.1 24)
[Quidway-Vlanif10] dhcp select global
[Quidway-Vlanif10] quit
#設置默認路由
<Quidway> system-view
[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.254
# 關閉WEB Server,dhcp
<Quidway> system-view
[Quidway] undo http server enable
[Quidway] undo dhcp enable
# 用戶管理
用戶登陸界面
CON 適用於從Console接口進行本地登陸
VTY 適用於Telnet或SSH方式進行本地或遠程登陸
用戶級別
用戶分爲多個級別,標識越高則優先級越高。若是不對用戶進行優先級規劃,默認用戶登陸級別爲 0 - 3 級。
用戶所能訪問命令的級別由用戶的級別決定:
若是對用戶採用不驗證或者password驗證,登陸到S5700的用戶所能訪問的命令級別由登陸時的用戶級別決定。
若是對用戶採用AAA驗證,登陸到S5700的用戶所能訪問的命令級別由AAA配置信息中本地用戶的級別決定。
登陸用戶劃分爲16級,與命令級別對應。不一樣級別的用戶登陸後,只能使用等於或低於本身級別的命令。用戶所能訪問的命令包括用戶所在用戶級別的命令以及低於此用戶級別的命令。
驗證用戶的方式:
系統提供AAA本地驗證、密碼驗證和不驗證三種方式。 如何配置啓用哪一種驗證方式呢?
<Quidway> system-view
# user-interface 配置用戶接口
[Quidway] user-interface [ui-type] first-ui-number [last-ui-number]
# 配置啓用用戶驗證方式
[Quidway] authentication-mode { aaa | password | none }
super密碼:
華爲super 命令設置的口令用於低級用戶向高級別用戶切換時進行驗證,相似於Linux系統從普通用戶切換到root用戶時須要驗證。用戶共分爲4級,分別是訪問級(0)、監控級(1)、系統級(2)和管理級(3),當低級別的用戶向高級別的用戶身份切換時: super [level] , 此時只有驗證經過後才能切換成功。能夠經過super命令提高用戶級別。
配置實例:
一、配置console口爲密碼驗證方式
<Quidway> system-view
[Quidway] user-interface console 0
[Quidway-ui-console0] idle-timeout 0 0 ( idle-timeout minutes [seconds] )
[Quidway-ui-console0] history-command max-size 100
# 配置用戶級別
[Quidway-ui-console0] user privilege level 3 # 設置此接口登陸的用戶級別
# 配置驗證方式 password
[Quidway-ui-console0] authentication-mode password
[Quidway-ui-console0] set authentication password { cipher | simple } password
二、配置VTY虛擬接口使用3a認證
配置VTY 0-4, 優先級爲2, 對從VTY 0-4登陸的用戶進行AAA驗證,用戶登陸時須要輸入用戶名: huawei, 密碼:huawei
登陸後,若是用戶超過30分鐘未對交換機進行操做,將斷開與交換機的鏈接。
# 第一步:配置接口的驗證方式
<Quidway> system-view
[Quidway] user-interface maximum-vty 5 配置能夠同時登陸交換機的VTY最大個數
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode aaa
[Quidway-ui-vty0-4] user privilege level 2
# 這裏的用戶級別設置爲2 , 可是採用AAA驗證,那麼級別由AAA中的本地用戶級別決定。 若是採用password或者不驗證,那麼今後接口登陸的用戶就是 level 2 級別的。
[Quidway-ui-vty0-4] idle-timeout 30 (idle-timeout minutes [seconds])
[Quidway-ui-vty0-4] quit
# 第二步:配置AAA用戶,密碼以及權限
[Quidway] aaa
[Quidway-aaa] local-user huawei password cipher huawei
# 下面service-type通常不用配置, 將容許全部類型
[Quidway-aaa] local-user huawei service-type telnet
[Quidway-aaa] local-user huawei privilege level 15
[Quidway-aaa] quit
# 第三步:配置supper密碼
[Quidway] super password level 3 cipher huawei
#保存配置
<Quidway> save
# 配置FTP
一、建立vlan
<Quidway> system-view
[Quidway] vlan 10
二、將端口劃入vlan
[Quidway-vlan10] port GigabitEthernet 0/0/1 to 0/0/4 (注意:劃入的端口模式必須爲access)
[Quidway-vlan10] quit
三、配置vlan的管理IP
[Quidway] int vlanif 10
[Quidway-Vlanif10] ip add 192.168.1.254 255.255.255.0
[Quidway-Vlanif10] quit
四、添加FTP用戶
[Quidway] aaa
[Quidway-aaa] local-user huawei password cipher huawei privilege level 15
[Quidway-aaa] local-user huawei service-type ftp # 配置用戶爲ftp登陸
[Quidway-aaa] local-user huawei ftp-directory flash:/ # 配置登陸的FTP目錄
[Quidway-aaa] quit
五、開啓ftp服務
# 配置ftp服務器超時斷開的時間
[Quidway] ftp timeout 30 # 單位 minutes
# 默認狀況下,交換機是沒有開啓ftp服務的,須要手動打開
[Quidway] ftp server enable
# 使用display ftp-server 命令查看ftp服務器的配置和狀態信息
[Quidway] display ftp-server
六、可選:配置ACL基本訪問控制列表
# 配置ACL規則
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule permit source 192.168.1.10 0.0.0.0
[Quidway-acl-basic-2001] quit
# 把acl規則應用到ftp
[Quidway] ftp acl 2001
七、鏈接測試
# 打開命令提示符,或者其餘ftp工具
C:\Users\admin> ftp 192.168.1.254
Connected to 192.168.1.254
220 FTP servece ready.
User(192.168.1.254(none)):huawei
331 Password required for huawei.
Password:
230 User logged in.
ftp>
# 配置WEB
一、上傳web文件
# 注意:要開啓web服務,須要先上傳web管理文件(xxx.web.zip) 到交換機的根目錄下
# 能夠經過ftp上傳
C:\Users\admin> ftp 192.168.1.254
ftp> put xxx.web.zip
二、開啓web服務
<Quidway> system-view
[Quidway] http server load flash:/xxx.web.zip
[Quidway] http server enable
三、配置web用戶
[Quidway] aaa
[Quidway-aaa] local-user webadmin password cipher webadmin
[Quidway-aaa] local-user webadmin service-type http
[Quidway-aaa] quit
四、經過瀏覽器測試
URL 地址: http://192.168.1.254
#相關查看命令
[Quidway] display version 顯示VRP版本號
[Quidway] display current-configuration 顯示系統運行配置信息
[Quidway] display saved-configuration 顯示保存的配置信息
[Quidway] display interfaces brief 顯示接口配置信息
[Quidway] display history-command 顯示歷史命令記錄
# 管道過濾
[Quidway] display xxx | { include | exclude | begin } strings
# 當出現 -- More -- 時,一樣支持
/expr == begin
-expr == exclude
+expr == include
[Quidway] display current-configuration | include ntp
[Quidway] display current-configuration | include ip|user
# 注意第一個 | 是管道, 那麼以後的 | 都不認爲是管道,而是正則表達式的運算符
# 命令是不區分大小寫的,可是 strings 是區分的。