天天看点
返回

华为网络设备路由交换防火墙常用命令示例华为网络设备路由交换防火墙常用命令示例

华为网络设备路由交换防火墙常用命令示例

Dispaly

dis user-interface #查看用户界面信息

dis users #命令用来查看每个用户界面的用户登录信息

dis users all

#显示所有用户接口的信息,包括未连接的用户。执行该命令后,可显示当前交换机上接入了哪 些用户,用 户的用户名、地址等登录信息,以及用户的验证和授权信息等。

dis local-user #配置本地用户后,可以执行该命令查看本地用户的配置信息。如果不指定可选参数,表示查看本地用户的概要信息;

dis local-user username huawei #查看huawei这个账号的信息。

dis telnet server status #查看telnet服务器配置信息

dis alarm urgent 查看紧急告警

dis temperature all 查看温度

dis log 查看交换机日志

dis logbuff 查看详细日志

dis aaa online-fail-record all #查看登录失败的详细记录

dis current-configuration // 显示当前所有配置

dis vlan summary 查看所有vlan汇总信息

dis port vlan 查看端口类型及所属vlan等()

dis port vlan //显示当前各端口的VLAN情况

dis ip interface brif 查看接口与IP相关的摘要信息

dis interface brief 查看端口(物理口子)和接口(逻辑)

dis mac-address 查看所有类型的MAC地址表项信息

dis mac-address | include 1a82 (其中1a82是想要查的PC的MAC一部分)定位PC连接在哪个口子

dis mac-address vlan 150 查看VLAN150中所有MAC地址表项的详细信息

dis arp (all) 查看ip与mac对应表

示例:display arp network 172.16.0.0 16

IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE

VLAN/CEVLAN

172.16.10.3 0025-9efb-be55 S-- GE1/0/6

100/-

172.16.20.3 0200-0000-00e8 S-- GE1/0/19

172.16.10.1 0025-9ef4-abcd I - Vlanif100

172.16.10.2 0025-9efb-be55 20 D-0 GE1/0/6

100/-

172.16.20.1 0025-9ef4-abcd I - GE1/0/19

172.16.20.2 0200-0000-00e8 18 D-0 GE1/0/19

Total:6 Dynamic:2 Static:2 Interface:2

上述回显中,每行ARP表项的具体含义如下:

IP172.16.10.3,TYPE字段S代表该ARP表项为静态ARP表项,出接口为GE1/0/6,VLAN编号为100。

IP172.16.20.3,TYPE字段S代表该ARP表项为静态ARP表项,静态ARP表项出接口为GE1/0/19。

IP172.16.10.1,TYPE字段I代表该ARP表项为接口本身的ARP表项。ARP表项代表IP地址172.16.10.1是接口Vlanif100的IP地址。

IP172.16.10.2,TYPE字段D代表该ARP表项为动态ARP表项。这条动态ARP表项是从接口GE1/0/6动态学习到的,VLAN编号为100,剩余存活时间为20分钟。

IP172.16.20.1,TYPE字段为I代表该ARP表项为接口本身的ARP表项。这条ARP表项代表IP地址172.16.20.1是接口GE1/0/19的IP地址。

IP172.16.20.2,TYPE字段为D代表该ARP表项为动态ARP表项。这条动态ARP表项是从接口GE1/0/19动态学习到的,剩余存活时间为18分钟。

dis ip routing-table 显示路由表信息

dis ip pool interface vlanif10 查看vlanif10接口地址池信息

dis dhcp server statistics 查看dhcp服务器统计信息

ACL访问控制列表

acl number 3001 创建或进入number 为3001 (3000~3999)的acl列表

acl name Geli 3002 创建或进入name为Geli 、编号为3002(3000~3999)的acl列表

通过traffic-filter调用

示例:

sys

[Huawei]acl 3000 //创建高级ACL(3000~3999)

[Huawei-acl-adv-3000]

[Huawei-acl-adv-3000]rule permit ip source192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //配置允许192.168.1.0段去访问192.168.2.0段

[Huawei-acl-adv-3000]rule deny ip source192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 //配置拒绝192.168.1.0段去访问192.168.=4.0段

[Huawei-acl-adv-3000]dis thi //查看当前配置是否配置成功

acl number 3000

rule5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

return

[Huawei-acl-adv-3000]q //退出ACL视图

[Huawei]int g0/0/1 //进入对应的接口

[Huawei-GigabitEthernet0/0/1]traffic-filterinbound acl 3000 //接口下调用ACL 3000

[Huawei-GigabitEthernet0/0/1]q //退出接口视图

[Huawei]

上面的这个配置有点粗糙。没错,配置完1.0不能访问2.0,反过来2.0ping1.0也不通了。因为通信是相互的,icmp和tcp协议都存在一个对方要回信号(TCP三次握手)

下面是一个实现精确单向控制的ACL

交换机V100R005以后版本可以通过下面的方法配置针对ICMP和TCP报文的单向访问。

下面是交换机实现从A不能访问B,但能从B访问A需求的示例

假设192.168.10.0是A的地址段(属于VLAN10),192.168.20.0是B的地址段(属于VLAN20)

1、创建ACL,制定访问控制规则(默认是permit)

acl 3000

rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo //配置ICMP单向访问规则 注解一下ehco的意思是第一个请求包,规则拒绝的是icmp中10请求20,

rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn //配置TCP单向访问规则 注解一下syn是三次握手的第一个动作,就被deny了

quit

2、配置流分类,匹配ACL

traffic classifier c1

if-match acl 3000

quit

3、配置流行为

traffic behavior b1

quit

4、配置流策略,关联流分类和流行为

traffic policy p1

classifier c1 behavior b1

quit

5、应用流策略

应用到接口上

interface gigabitethernet 1/0/1

traffic-policy p1 inbound

或者应用到vlan上

vlan 10

traffic-policy p1 inbound

或者在全局应用

traffic-policy p1 global inbound

修改交换机名称:

[Huawei]sysname sw1

[sw1]

VLAN中选取全局地址

interface Vlanif80

ip address 200.0.80.254 255.255.255.0

dhcp select global

port-group yewu

group-member G 0/0/1 to G 0/0/24

port link-type access

port default vlan XX

#以上4条为批量将多个端口加入VLAN的方法

undo dhcp enable 禁用DHCP

undo dhcp select global 取消基于全局的dhcp

user-interface maximum-vty 15 //配置vty最大连接数

user-interface vty 0 14 //进入vty用户界面视图

user privilege level 2 //设置vty登入的用户等级为2(配置用户级别)

authentication-mode aaa //设置vty登入时的验证模式为用户名和密码验证

aaa //进入AAA视图

local-user admin password cipher [email protected] //设置aaa登入的用户名和密码

local-user admin service-type telnet //设置admin用户远程登入时的协议

user-interface console 0 //进入第0个console口的用户界面

authentication-mode passwd //配置从console口登入交换机的认证模式为密码认证

set authentication password cipher [email protected] //配置从console口登入交换机的密码

vlan 10 //创建一个VLAN

设VLAN

vlan 80

description vlan_80

设地址池

ip pool 80

这里的80就是VLAN号

gateway-list 200.0.80.1

network 200.0.80.0 mask 255.255.255.0

dns-list 200.0.0.6

lease day 10 hour 0 minute 0

interface meth 0/0/1 //进入交换机的第一个管理网口

ip address 192.168.1.110 24 //设置管理网口的ip地址和子网掩码

interface gigabitethernet 0/0/1 //进入第一个业务网口

port link-type access //设置第1个网口位access模式

port default vlan 10 //设置此网口的VLAN号为10

interface gigabitethnet 0/0/2 //进入第2个业务网口

port link-type trunk //设置第二个网口位trunk模式

port trunk allow-pass vlan 10 20 30 //设置此端口可以通过的VLAN号

// port trunk allow-pass vlan all 表示可以通过所有的带VLAN的帧

Interface gigabitethnet 0/0/3 //进入第3个业务网口

Port link-type hybrid //设置此端口为hybrid模式,每个端口默认就是hybrid模式

Port hybrid pvid vlan 10 //设置pvid为10

Port hybrid tagged vlan 20 30 40 //设置tagged列表为20,30,40

Port hybrid untagged vlan 50 60 //设置untagged列表为50,60

Interface gigabitethernet 0/0/3

Undo port default vlan //access 模式的端口

Undo port link-type

Undo port hybrid pvid vlan vlanid //hybrid 模式的端口

Undo port hybrid untagged vlan vlanid

Undo port hybrid tagged vlan vlanid

Undo port trunk pvid vlan //trunk 模式的端口

Undo port trunk allow-pass vlan vlanid

Undo port link-type

配置VLAN:

[HuaWei]vlan 2

[HuaWei-vlan2]port ether 0/10 to e 0/12

[HuaWei-vlan2]quit

等同于

[HuaWei]int e0/13

[HuaWei-Ethernet0/13]port access vlan 2

[HuaWei-Ethernet0/13]quit

配置trunk端口:

[HuaWei]int e0/1

[HuaWei-Ethernet0/1]port link-type trunk

[HuaWei-Ethernet0/1]int e0/2

[HuaWei-Ethernet0/2]port link-type trunk

[HuaWei-Ethernet0/2]quit

两边的端口都要配trunk,通过trunk 不打标签!

默认trunk 只允许vlan 1 通过

[HuaWei]int e0/1

[HuaWei-Ethernet0/1]port trunk permit vlan all

[HuaWei-Ethernet0/1]int e0/2

[HuaWei-Ethernet0/2]port trunk permit vlan all

两边端口都要配置充许trunk 所有VLAN,如果是指定通过 vlan号,将vlan all 改成对应的vlan编号即可。

如何防止交换机环路:

华为的交换机生成树功能默认是关掉的

交换机形成环路,所联接的端口会不停的闪烁!

方法一:启用交换机生成树

[HuaWei]stp enable(开)

[HuaWei]stp disable(关)

要在两台交换机上配置:

方法二:通过链路聚合的方式来解决问题

链路聚合可以提高带宽和负载均衡

配置链路聚合时,两端的端口模式需要配置成一样(双工,半又工),速率也要指定,不能自己自协商状态!

[HuaWei]link-aggregation e0/1 to e0/2 both

如:

[HuaWei]int e0/1

[HuaWei-Ethernet0/1]duplex full

[HuaWei-Ethernet0/1]speed 100

[HuaWei-Ethernet0/1]int e0/2

[HuaWei-Ethernet0/2]duplex full

[HuaWei-Ethernet0/2]speed 100

设置交换机的mux-vlan模式

假设主VLAN是10,从VLAN中group模式的有VLAN 20, separate模式的有VLAN 30,server连接1号端口,PC1和PC2连接2和3号端口,PC3和PC4连接4和5号端口

Vlan batch 10 20 30

Vlan 10

Mux-vlan

Subordinate group 20

Subordinate separate 30

把各连接的端口设为access模式,并且加入到各自的VLAN中,且同时开启mux-vlan功能,

Interface gigabitethernet 0/0/1

Port link-type access

Port default vlan 10

Port mux-vlan enable

Interface gigabitethernet 0/0/2 //3号端口设置方法类似

Port link-type access

Port default vlan 20

Port mux-vlan enable

Interface gigabitethernet 0/0/4 //5号端口设置方法类似

Port link-type access

Port default vlan 30

Port mux-vlan enable

清除某个端口的配置

Interface gigabitethernet 0/0/2

Clear configuration this

Undo shutdown

恢复出厂设置s5700SI

在用户视图下(按Ctrl+z组合键回到用户视图)输入如下命令操作

reset saved-configuration

Y

Reboot

N

Y

后续待补充。。。。。

运维 交换机 网络
上一篇: Leetcode 58.最后一个单词的长度(Length of Last Word)Leetcode 58.最后一个单词的长度
下一篇: Leetcode 58. 最后一个单词的长度 Length of Last WordLeetcode 58. 最后一个单词的长度 Length of Last Word

继续阅读