華爲命令總結
基礎命令算法
display version 查看版本安全
display current-configuration 查看當前設備配置信息(與思科show run相似)服務器
undo shutdown 開啓接口網絡
spend 1000 配置接口速率併發
duplex 配置接口雙工模式負載均衡
description 配置端口描述信息ssh
display interface brief 查看接口簡略信息tcp
display mac-address 查看MAC地址表ide
display users 查看登陸設備的用戶ui
kill user-interface vty 編號 踢除登陸的用戶
display this 查看當前模式下的配置
save 保存當前配置
1、視圖切換
■ 在用戶視圖,敲sys進入到系統視圖
■ 在系統視圖,敲int g 0/0/0(接口編號)進入接口視圖
■ 在系統視圖,敲協議名進入協議視圖,例如敲rip進入rip協議視圖
■ 退出當前視圖,敲quit則能夠返回上一視圖模式。
2、查看命令
■ display命令,至關於Cisco中的show命令,使用命令第dis this能夠查看當前接口或模式下的配置。
3、鏈路捆綁(手動捆綁)
ps:在實際生產環境中,最好先把鏈路捆綁到一塊兒再鏈接網線,不然容易出現錯誤
[Huawei]interface eth-trunk 1 建立一個捆綁的鏈路1(注意兩端都要同樣)
[Huawei-Eth-Trunk1]mode manual load-balance 定義爲手動捆綁
[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 0/0/2 選擇要捆綁的接口
[Huawei-Eth-Trunk1] port link-type trunk 把鏈路類型更改成trunk鏈路
[Huawei-Eth-Trunk1]port trunk allow-pass vlan 2 to 5 10 容許在該鏈路上經過vlan2到vlan5,和 vlan10(to表明2,3,4,5,空格表明不連續vlan,好比5和10)
[ Huawei ] display eth-trunk 1 查看一下接口是否加入成功
4、啓用DHCP服務分發地址
1)、使用全局DHCP地址池分發
[Huawei] dhcp enable 啓用DHCP服務
[Huawei] ip pool vlan10 定義一個地址池的名字(最好是有意義的名字好比按部門caiwubu起名)
[Huawei-ip-pool-vlan10] gateway-list 192.168.10.254 分發的網關地址,(建議在模擬器中先配置網關,後配置分發網段,不然容易報錯)
[Huawei-ip-pool-vlan10] network 192.168.10.0 mask 255.255.255.0 分發的網段
[Huawei-ip-pool-vlan10] dns-list 114.114.114.114 定義分發的dns,定義完地址池以後,在須要分發的vlan中啓用全局地址池。
[Huawei]interface vlanif 10 進入須要vlan 10
[Huawei-Vlanif10]dhcp select global 啓用dhcp全局地址池,(它會自動挑選和本身vlan接口同一網段的地址池分發)
2)、採用接口直接分發地址
[Huawei] dhcp enable 啓用DHCP服務
[Huawei]int g0/0/0 進入接口
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24 接口地址
[Huawei-GigabitEthernet0/0/0]dhcp select interface 用該接口地址網段做爲地址池給dhcp客戶機分發,而且分發的網關就是該接口的地址
5、建立三層交換機的SVI接口作VLAN間的路由
(1)、建立vlan
[Huawei] vlan batch 10 20 建立多個vlan時加(batch)
(2)、要有屬於vlan的接口是激活狀態
(3)、進入vlan 建立SVI接口,並配置相應的IP地址。
[Huawei] interface vlan 10
[Huawei-Vlanif10] ip add 192.168.10.254 24 配置IP地址爲192.168.10.254,子網掩碼爲/24
(4)、激活三層路由器的路由轉發功能。
[Huawei]ip routing 打開路由功能(默認爲開啓狀態)
6、在交換機上給pc機劃分vlan
[Huawei]interface g 0/0/1 進入鏈接PC機的接口
[Huawei-GigabitEthernet0/0/1] port link-type access 定義接口爲接入接口
[Huawei-GigabitEthernet0/0/1] port default vlan 10 劃分到vlan10中
7、配置登陸華爲設備的各類方式
console口配置:
user-interface con 0
authentication-mode password 密碼驗證方式
set authentication password cipher cisco123 登陸密碼cipher(密文)/simple(明文)
user privilege level 15 用戶登陸後的級別
Telnet(用aaa中用戶驗證登陸)
[Quidway] aaa 進入aaa
[Quidway-aaa] local-user huawei password cipher hello 用戶名huawei密碼hello(密文)
[Quidway-aaa] local-user huawei service-type telnet 登陸方式Telnet
[Quidway-aaa] local-user huawei privilege level 3 登陸後權限爲3
[Quidway-aaa] quit
[Quidway] user-interface vty 0 4 進入虛擬終端
[Quidway-ui-vty0-4] authentication-mode aaa AAA驗證登陸
SSH登陸(用aaa中用戶驗證登陸)
只容許SSH登陸:
1、[Huawei]user-interface vty 0 4 進入虛擬終端
[Huawei-ui-vty0-4]authentication-mode aaa AAA驗證方式
protocol inbound ssh 容許鏈接的協議爲ssh
2、[Huawei-aaa]local-user test password cipher cisco123 用戶test和密碼cisco
local-user test service-type telnet ssh 用戶test登陸的方式爲ssh
local-user test privilege level 15 用戶登陸後的權限爲15級別
3、[Huawei]stelnet server enable 開啓ssh服務
ssh user zhangsan authentication-type password ssh用戶的登陸方式爲密碼驗證
ssh user zhangsan service-type stelnet
8、路由
1、靜態路由和默認路由
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 配置默認路由
ip route-static 192.168.2.0 24 192.168.1.1
2、動態路由RIP(路由消息協議)
動態路由分爲兩種:距離矢量路由協議、鏈路狀態路由協議
RIP:屬於距離矢量路由,是應用層協議,依靠UDP傳輸,使用的是UDP520端口號。
有兩個版本,V1:協議報文使用廣播,協議報文中不攜帶子網掩碼,屬於有類路由。
V2:協議報文使用組播224.0.0.9,協議報文中攜帶子網掩碼,屬於無類路由。
工做原理:按期的,週期性的把本身的路由表更新併發給鄰居路由器,rip更新是30秒一次。
度量值:跳數,跳數越少,路由條目越優秀,最大跳數爲15跳,16跳爲不可達。
觸發更新:路由條目變化後,立刻更新,不等更新計時器到時。
配置:1、啓動RIP進程
[Huawei]rip 1
[Huawei-rip-1]version 2 開啓版本2
[Huawei-rip-1]undo summary 關閉路由自動彙總
[Huawei-rip-1]default-route originate 宣告默認路由(分發默認路由)
[Huawei-rip-1]network 10.0.0.0 宣告網段(宣告是直連的,而且是主類網)
[Huawei-rip-1]silent-interface Vlanif100 配置被動接口(接收路由更新可是不發送路由更新的接口)
9、ACL
華爲的ACL分爲三類:2000~2999爲基本訪問控制列表,只能對源IP進行限制
3000~3999爲高級訪問控制列表,能對源IP/目的IP/源端口/目的端口/協議,進行控制
4000~4999爲二層訪問控制列表,能對源Mac和目的Mac限制
ACL的遵循匹配即中止,先看優先級小的策略,若是匹配則再也不繼續向下查看,若是全部策略都不匹配,華爲默認是容許數據包經過。
1)、基本acl編寫
[Huawei]acl 2000 在系統模式下寫ACL
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
序號爲10,容許源IP爲192.168.1.0/24的地址經過,注意是反碼。
2)、高級ACL編寫
[Huawei]acl 3000 在系統模式下寫ACL
[Huawei-acl-adv-3000]rule 10 permit icmp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 容許從源IP爲192.168.1.0到目的IP192.168.2.0的ICMP協議(ping)
3)、接口調用acl
[Huawei]int g0/0/0 在接口下調用acl
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 以這個接口爲入口應用ACL2000
4)、虛擬終端調用acl
[Huawei]user-interface vty 0 4 在虛擬終端下調用acl
[Huawei-ui-vty0-4]acl 2000 inbound 只容許符合Acl2000的數據能夠進入vty線路
10、NAT網絡地址轉換(network address translations)
在路由器上作完NAT別忘了作默認路由指向公網ISP
1)、靜態NAT:一個IP對一個IP,雙向通訊,通常用於內部服務器發佈到公網。
[Huawei]int g0/0/1 進入接外網的接口
[Huawei-GigabitEthernet0/0/1]nat static enable 啓用靜態nat
[Huawei-GigabitEthernet0/0/1]nat static global 100.1.1.10 inside 192.168.1.254 把公網100.1.1.10,轉成內網192.168.1.254,golbal參數用於配置外部公網地址,inside參數用於配置內部私有地址(這個公網IP不能是路由器公網接口的IP,虛擬一個同網段的IP便可)
2)、動態NAT:多個IP對應多個IP,單項通訊,只能內部訪問外部。(不經常使用)
nat outbount 命令用來將一個訪問控制列表ACL和一個地址池關聯起來
nat address-group 命令用來配置nat地址池。
[Huawei]acl 2000 定義一個acl
[Huawei-acl-basic-2000]rule 2 permit source 192.168.1.0 0.0.0.255容許192.168.1.0/24網段
[Huawei-acl-basic-2000]rule 2 deny source any 拒絕全部
[Huawei]nat address-group 1 100.1.1.10 100.1.1.20 定義一個nat地址池編號爲1,地址範圍爲1.10-1.20
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
把acl2000中的地址上網時轉換爲nat地址池1中的地址上網(隨機挑選),參數no-pat說明沒有進行端口地址轉換
3)、Easy IP(PAT):多個內網IP對應一個公網IP,只能內訪問外(經常使用)
先定義容許上網的Acl,而後引用到接口就ok。
跳過定義acl的步驟
[Huawei]int g0/0/1 進入外網接口
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 內部訪問外部的時候,都使用同一個外網接口的IP地址不一樣的端口號去上網
4)、NAT server:把同一個外網地址不一樣的端口號轉向不一樣的內網地址或端口號,用於一個公網IP發佈多種不一樣端口的服務器。
格式:
nat server [ protocol {protocol-number | icmp | tcp | udp} global {global-address | current-interface global-port} inside {host-address host-port } ***-instance ***-instance-name acl acl-number description description description-port]
※參數protocol指定一個須要轉換的協議;
※參數global-address指定須要轉換的公網地址,若是直接填地址則這個地址不能是路由器的接口地址,能夠虛擬一個同網段的地址。
※參數current-interface表明將這個接口的地址做爲公網的地址使用。若是使用一個公網地址(路由器接口地址)實現內網訪問外網,而且外網訪問內防服務器或遠程管理,必加current-interface參數。
※參數inside指定內網服務器的地址。
例舉:
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.10 2200 inside 192.168.1.1 22 把訪問外網100.1.1.10:2200端口的請求轉到內網192.168.1.1:22端口,注意100.1.1.10不能是路由器接口的地址,不然會報地址衝突。
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.1 80 把訪問路由器外網接口地址80端口的請求轉到192.168.1.1 80端口。
11、STP(生成樹協議)
華爲XP系列交換機支持三種生成樹協議模式。
MSTP、STP(傳統生成樹)、RSTP(快速生成樹),默認狀況下,華爲X7系列交換機工做在MSTP模式。下邊均爲MSTP的配置負載均衡。
舉例:配置三層交換機Huawei爲vlan2-10的根網橋,vlan11-20的備份根網橋:
1)、建立實例
[Huawei]stp mode mstp 配置交換機的生成樹協議(默認爲mstp能夠省略這一步)
[Huawei]stp region-configuration 進入建立實例模式
[Huawei-mst-region]region-name benet 配置統一的域名
[Huawei-mst-region]revision-level 1 配置一致的修訂級別
[Huawei-mst-region]instance 1 vlan 1 to 10 配置實例1,將vlan 2-10映射到實例1
[Huawei-mst-region]instance 2 vlan 11 to 20 配置實例2,將vlan 11-20映射到實例2
[Huawei-mst-region]active region-configuration 提交配置
[Huawei-mst-region]quit
2)、配置根網橋和備份根網橋
[Huawei]stp instance 1 root primary 指定爲實例1 的根網橋
[Huawei]stp instance 2 root secondary 指定爲實例2 的根網橋
3)、其餘開鏈路trunk、容許vlan在鏈路上通行的命令參考前邊,這裏再也不重複。
12、VRRP(虛擬網關冗餘協議)
VRRP和思科的HSRP(熱備份路由協議)實現的功能是同樣的,命令相似。
VRRP:默認啓動搶佔(佔先權)
vlan100根網橋配置:
[Huawei]interface Vlanif100 進入vlan100
[Huawei-Vlanif100]ip address 192.168.100.2 255.255.255.0 配置vlan100網關的的真實ip
[Huawei-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254 啓動VRRP 100組(推薦組號和vlan序號取值同樣),並配置虛擬地址爲192.168.100.254(和前邊真實IP必須同網段,在華爲設備也能夠設置成和真實IP同樣的地址)。
[Huawei-Vlanif100]vrrp vrid 100 priority 150 配置優先級(根網橋優先級要大於備份網橋)
[Huawei-Vlanif100]vrrp vrid 100 track interface GigabitEthernet0/0/1 reduced 100 配置VRRP追蹤(端口跟蹤),隨着端口的改變而自動調整優先級(端口關閉優先級降100,若是端口恢復優先級也會上漲100)。
vlan100備份網橋:
[Huawei]interface Vlanif100
[Huawei-Vlanif100]ip address 192.168.100.2 255.255.255.0
[Huawei-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254
這裏通常不須要配置優先級,默認爲100。
13、×××技術
(跨互聯網)須要通過公網IP地址,價格低廉,穩定性取決於上網穩定性,不須要通過運營商,設備支持便可。
二層×××技術:L2f、PPTP、L2TP、MPLS
三層×××技術:GRE、IPsec
應用層×××:ssl(ssh https)
1、GRE:通用路由封裝,對數據不支持加密,存在安全性問題屬於隧道技術 協議號47
首先要保證兩邊的路由器設備外部公網接口要能通訊。
總公司:在接公網的路由器上配置
1)、建立隧道接口
[Huawei]interface Tunnel0/0/1 建立隧道接口
[Huawei-Tunnel0/0/1]ip address 10.1.1.1 255.255.255.0 配置隧道IP地址,使用私有IP,並且要和對端的隧道IP地址同網段。
[Huawei-Tunnel0/0/1]tunnel-protocol gre 隧道的協議採用GRE
[Huawei-Tunnel0/0/1]source 100.0.0.2 隧道的源(本身的公網地址)
[Huawei-Tunnel0/0/1]destination 200.1.1.2 隧道的目的(對方的公網IP)
2)、配置路由
[Huawei]ip route-static 10.0.0.0 255.255.255.0 Tunnel 0/0/1 配置去隧道IP網段10.1.1.0從Tunnel 0/0/1走
例舉OSPF:
[Huawei]ospf 1
[Huawei-ospf-1]area 1
[Huawei-ospf-1-area-0.0.0.1]network 10.1.1.0 0.0.0.255 宣告隧道IP網段
分公司:在接公網的路由器上配置
1)、建立隧道接口
[Huawei]interface Tunnel0/0/1 建立隧道接口
[Huawei-Tunnel0/0/1]ip address 10.1.1.2 255.255.255.0 配置隧道IP地址,使用私有IP,並且要和對端的隧道IP地址同網段。
[Huawei-Tunnel0/0/1]tunnel-protocol gre 隧道的協議採用GRE
[Huawei-Tunnel0/0/1]source 200.1.1.2 隧道的源(本身的公網地址)
[Huawei-Tunnel0/0/1] destination 100.0.0.1 隧道的目的(對方的公網IP)
2)、配置路由
[Huawei]ip route-static 10.0.0.0 255.255.255.0 Tunnel 0/0/1 配置去隧道IP網段10.1.1.0從Tunnel 0/0/1走
例舉OSPF:
[Huawei]ospf 1
[Huawei-ospf-1]area 1
[Huawei-ospf-1-area-0.0.0.1]network 10.1.1.0 0.0.0.255 宣告隧道IP網段
[Huawei-ospf-1-area-0.0.0.1]network 172.16.0.0 0.0.255.255 宣告本身的其餘直連網段
*:這裏若是配置完畢以後不一樣,檢查是否把隧道的目的地址命令打錯,是destination,而不是description。
2、IPsec
主要的分裝協議有兩種:AH和ESP,只支持IP單播,支持加密技術。
傳輸模式有兩種:隧道模式和傳輸模式。
實驗拓撲:
基本的IP配置和默認路由這裏就不說了,配置IPsec前的工做要保證的是在路由器zong上能夠ping通200.0.0.2,在路由器fen上能夠ping通100.0.0.2。
IPsec配置:
路由器ZONG上:
[zong]acl number 3000 編寫ACL(這裏必需使用高級ACL,編號要爲3000~3999內)
[zong-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 定義感興趣的數據流(就是須要經過IPsec加密的數據)
[zong-acl-adv-3000]quit
配置第一階段:
[zong]ike proposal 2 給第一階段的策略定一個編號
[ZONG-ike-proposal-2]authentication-algorithm md5 肯定雙方認證完整性使用是什麼算法
[ZONG-ike-proposal-2]authentication-method pre-share 設備驗證的方法,採用預共享對稱祕鑰的方法(默認就爲預共享對稱祕鑰)
[zong-ike-proposal-2]encryption-algorithm 3des-cbc 定義第一階段採用什麼算法
[zong-ike-proposal-2]dh group5 DH祕鑰組使用5
[zong-ike-proposal-2]sa duration 10000 第一階段SA的週期
[zong-ike-proposal-2]quit
[zong]ike peer fen v1 定義對等體信息zong(隨便起個名字)使用v1的版本
[zong-ike-peer-fen]pre-shared-key simple houliangjin 定義一個共享密碼作設備驗證,在兩臺創建***的路由器上,這個密碼都要一致。
[zong-ike-peer-fen]remote-address 200.0.0.2 對端的IP地址
第一階段配置完畢
[zong-ike-peer-fen]quit
配置第二階段:
[zong]ipsec proposal to-fen 定義第二階段安全策略,給一個編號或名字。
[zong-ipsec-proposal-to-fen]esp encryption-algorithm aes-128 定義第二階段採用什麼算法
[zong-ipsec-proposal-to-fen]encapsulation-mode tunnel 定義傳輸模式(tunnel是隧道模式是默認值,transport傳輸模式)
[zong-ipsec-proposal-to-fen]quit
[zong]ipsec policy my-policy 20 isakmp 定義使用ike來協商IPsec,這裏的my-policy是策略名,能夠隨便起
[zong-ipsec-policy-isakmp-my-policy-20]security acl 3000 調用ACL
[zong-ipsec-policy-isakmp-my-policy-20]ike-peer fen 調用對等體
[zong-ipsec-policy-isakmp-my-policy-20]proposal to-fen 調用第二階段策略
[zong-ipsec-policy-isakmp-my-policy-20]quit
最後把策略應用到外網接口
[zong]int g0/0/1
[zong-GigabitEthernet0/0/1]ipsec policy my-policy
路由器fen上:
若是上邊的配置是按照文檔中的如出一轍配置的話能夠把下邊分支的命令直接複製到fen路由器上,這裏有幾個點要改一下我都用紅字標出來了。
acl number 3000
rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
quit
ike proposal 2
authentication-algorithm md5
authentication-method pre-share
encryption-algorithm 3des-cbc
dh group5
sa duration 10000
quit
ike peer zong v1
pre-shared-key simple houliangjin
remote-address 100.0.0.2
quit
ipsec proposal to-zong
encapsulation-mode tunnel
esp encryption-algorithm aes-128
quit
ipsec policy my-policy 20 isakmp
security acl 3000
ike-peer zong
proposal to-zong
quit
int g0/0/0
ipsec policy my-policy
quit
- 1. 華爲命令總結
- 2. 華爲基礎命令總結
- 3. 華爲命令
- 4. 華爲命令集
- 5. cisco和華爲命令
- 6. 華爲計算機命令
- 7. 華爲命令行基礎
- 8. 華爲基礎命令
- 9. 華爲命令集合
- 10. 總結命令
- 更多相關文章...
- • Docker info 命令 - Docker命令大全
- • Docker version 命令 - Docker命令大全
- • Docker 清理命令
- • 算法總結-雙指針
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解決方法
- 2. Qt5.7以上調用虛擬鍵盤(支持中文),以及源碼修改(可拖動,水平縮放)
- 3. 軟件測試面試- 購物車功能測試用例設計
- 4. ElasticSearch(概念篇):你知道的, 爲了搜索…
- 5. redux理解
- 6. gitee創建第一個項目
- 7. 支持向量機之硬間隔(一步步推導,通俗易懂)
- 8. Mysql 異步複製延遲的原因及解決方案
- 9. 如何在運行SEPM配置嚮導時將不可認的複雜數據庫密碼改爲簡單密碼
- 10. windows系統下tftp服務器使用