华为命令总结
基础命令算法
display version 查看版本安全
display current-configuration 查看当前设备配置信息(与思科show run相似)服务器
undo shutdown 开启接口网络
spend 1000 配置接口速率并发
duplex 配置接口双工模式负载均衡
description 配置端口描述信息ssh
display interface brief 查看接口简略信息tcp
display mac-address 查看MAC地址表ide
display users 查看登陆设备的用户ui
kill user-interface vty 编号 踢除登陆的用户
display this 查看当前模式下的配置
save 保存当前配置
1、视图切换
■ 在用户视图,敲sys进入到系统视图
■ 在系统视图,敲int g 0/0/0(接口编号)进入接口视图
■ 在系统视图,敲协议名进入协议视图,例如敲rip进入rip协议视图
■ 退出当前视图,敲quit则能够返回上一视图模式。
2、查看命令
■ display命令,至关于Cisco中的show命令,使用命令第dis this能够查看当前接口或模式下的配置。
3、链路捆绑(手动捆绑)
ps:在实际生产环境中,最好先把链路捆绑到一块儿再链接网线,不然容易出现错误
[Huawei]interface eth-trunk 1 建立一个捆绑的链路1(注意两端都要同样)
[Huawei-Eth-Trunk1]mode manual load-balance 定义为手动捆绑
[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 0/0/2 选择要捆绑的接口
[Huawei-Eth-Trunk1] port link-type trunk 把链路类型更改成trunk链路
[Huawei-Eth-Trunk1]port trunk allow-pass vlan 2 to 5 10 容许在该链路上经过vlan2到vlan5,和 vlan10(to表明2,3,4,5,空格表明不连续vlan,好比5和10)
[ Huawei ] display eth-trunk 1 查看一下接口是否加入成功
4、启用DHCP服务分发地址
1)、使用全局DHCP地址池分发
[Huawei] dhcp enable 启用DHCP服务
[Huawei] ip pool vlan10 定义一个地址池的名字(最好是有意义的名字好比按部门caiwubu起名)
[Huawei-ip-pool-vlan10] gateway-list 192.168.10.254 分发的网关地址,(建议在模拟器中先配置网关,后配置分发网段,不然容易报错)
[Huawei-ip-pool-vlan10] network 192.168.10.0 mask 255.255.255.0 分发的网段
[Huawei-ip-pool-vlan10] dns-list 114.114.114.114 定义分发的dns,定义完地址池以后,在须要分发的vlan中启用全局地址池。
[Huawei]interface vlanif 10 进入须要vlan 10
[Huawei-Vlanif10]dhcp select global 启用dhcp全局地址池,(它会自动挑选和本身vlan接口同一网段的地址池分发)
2)、采用接口直接分发地址
[Huawei] dhcp enable 启用DHCP服务
[Huawei]int g0/0/0 进入接口
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24 接口地址
[Huawei-GigabitEthernet0/0/0]dhcp select interface 用该接口地址网段做为地址池给dhcp客户机分发,而且分发的网关就是该接口的地址
5、建立三层交换机的SVI接口作VLAN间的路由
(1)、建立vlan
[Huawei] vlan batch 10 20 建立多个vlan时加(batch)
(2)、要有属于vlan的接口是激活状态
(3)、进入vlan 建立SVI接口,并配置相应的IP地址。
[Huawei] interface vlan 10
[Huawei-Vlanif10] ip add 192.168.10.254 24 配置IP地址为192.168.10.254,子网掩码为/24
(4)、激活三层路由器的路由转发功能。
[Huawei]ip routing 打开路由功能(默认为开启状态)
6、在交换机上给pc机划分vlan
[Huawei]interface g 0/0/1 进入链接PC机的接口
[Huawei-GigabitEthernet0/0/1] port link-type access 定义接口为接入接口
[Huawei-GigabitEthernet0/0/1] port default vlan 10 划分到vlan10中
7、配置登陆华为设备的各类方式
console口配置:
user-interface con 0
authentication-mode password 密码验证方式
set authentication password cipher cisco123 登陆密码cipher(密文)/simple(明文)
user privilege level 15 用户登陆后的级别
Telnet(用aaa中用户验证登陆)
[Quidway] aaa 进入aaa
[Quidway-aaa] local-user huawei password cipher hello 用户名huawei密码hello(密文)
[Quidway-aaa] local-user huawei service-type telnet 登陆方式Telnet
[Quidway-aaa] local-user huawei privilege level 3 登陆后权限为3
[Quidway-aaa] quit
[Quidway] user-interface vty 0 4 进入虚拟终端
[Quidway-ui-vty0-4] authentication-mode aaa AAA验证登陆
SSH登陆(用aaa中用户验证登陆)
只容许SSH登陆:
1、[Huawei]user-interface vty 0 4 进入虚拟终端
[Huawei-ui-vty0-4]authentication-mode aaa AAA验证方式
protocol inbound ssh 容许链接的协议为ssh
2、[Huawei-aaa]local-user test password cipher cisco123 用户test和密码cisco
local-user test service-type telnet ssh 用户test登陆的方式为ssh
local-user test privilege level 15 用户登陆后的权限为15级别
3、[Huawei]stelnet server enable 开启ssh服务
ssh user zhangsan authentication-type password ssh用户的登陆方式为密码验证
ssh user zhangsan service-type stelnet
8、路由
1、静态路由和默认路由
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 配置默认路由
ip route-static 192.168.2.0 24 192.168.1.1
2、动态路由RIP(路由消息协议)
动态路由分为两种:距离矢量路由协议、链路状态路由协议
RIP:属于距离矢量路由,是应用层协议,依靠UDP传输,使用的是UDP520端口号。
有两个版本,V1:协议报文使用广播,协议报文中不携带子网掩码,属于有类路由。
V2:协议报文使用组播224.0.0.9,协议报文中携带子网掩码,属于无类路由。
工做原理:按期的,周期性的把本身的路由表更新并发给邻居路由器,rip更新是30秒一次。
度量值:跳数,跳数越少,路由条目越优秀,最大跳数为15跳,16跳为不可达。
触发更新:路由条目变化后,立刻更新,不等更新计时器到时。
配置:1、启动RIP进程
[Huawei]rip 1
[Huawei-rip-1]version 2 开启版本2
[Huawei-rip-1]undo summary 关闭路由自动汇总
[Huawei-rip-1]default-route originate 宣告默认路由(分发默认路由)
[Huawei-rip-1]network 10.0.0.0 宣告网段(宣告是直连的,而且是主类网)
[Huawei-rip-1]silent-interface Vlanif100 配置被动接口(接收路由更新可是不发送路由更新的接口)
9、ACL
华为的ACL分为三类:2000~2999为基本访问控制列表,只能对源IP进行限制
3000~3999为高级访问控制列表,能对源IP/目的IP/源端口/目的端口/协议,进行控制
4000~4999为二层访问控制列表,能对源Mac和目的Mac限制
ACL的遵循匹配即中止,先看优先级小的策略,若是匹配则再也不继续向下查看,若是全部策略都不匹配,华为默认是容许数据包经过。
1)、基本acl编写
[Huawei]acl 2000 在系统模式下写ACL
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
序号为10,容许源IP为192.168.1.0/24的地址经过,注意是反码。
2)、高级ACL编写
[Huawei]acl 3000 在系统模式下写ACL
[Huawei-acl-adv-3000]rule 10 permit icmp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 容许从源IP为192.168.1.0到目的IP192.168.2.0的ICMP协议(ping)
3)、接口调用acl
[Huawei]int g0/0/0 在接口下调用acl
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 以这个接口为入口应用ACL2000
4)、虚拟终端调用acl
[Huawei]user-interface vty 0 4 在虚拟终端下调用acl
[Huawei-ui-vty0-4]acl 2000 inbound 只容许符合Acl2000的数据能够进入vty线路
10、NAT网络地址转换(network address translations)
在路由器上作完NAT别忘了作默认路由指向公网ISP
1)、静态NAT:一个IP对一个IP,双向通讯,通常用于内部服务器发布到公网。
[Huawei]int g0/0/1 进入接外网的接口
[Huawei-GigabitEthernet0/0/1]nat static enable 启用静态nat
[Huawei-GigabitEthernet0/0/1]nat static global 100.1.1.10 inside 192.168.1.254 把公网100.1.1.10,转成内网192.168.1.254,golbal参数用于配置外部公网地址,inside参数用于配置内部私有地址(这个公网IP不能是路由器公网接口的IP,虚拟一个同网段的IP便可)
2)、动态NAT:多个IP对应多个IP,单项通讯,只能内部访问外部。(不经常使用)
nat outbount 命令用来将一个访问控制列表ACL和一个地址池关联起来
nat address-group 命令用来配置nat地址池。
[Huawei]acl 2000 定义一个acl
[Huawei-acl-basic-2000]rule 2 permit source 192.168.1.0 0.0.0.255容许192.168.1.0/24网段
[Huawei-acl-basic-2000]rule 2 deny source any 拒绝全部
[Huawei]nat address-group 1 100.1.1.10 100.1.1.20 定义一个nat地址池编号为1,地址范围为1.10-1.20
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
把acl2000中的地址上网时转换为nat地址池1中的地址上网(随机挑选),参数no-pat说明没有进行端口地址转换
3)、Easy IP(PAT):多个内网IP对应一个公网IP,只能内访问外(经常使用)
先定义容许上网的Acl,而后引用到接口就ok。
跳过定义acl的步骤
[Huawei]int g0/0/1 进入外网接口
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 内部访问外部的时候,都使用同一个外网接口的IP地址不一样的端口号去上网
4)、NAT server:把同一个外网地址不一样的端口号转向不一样的内网地址或端口号,用于一个公网IP发布多种不一样端口的服务器。
格式:
nat server [ protocol {protocol-number | icmp | tcp | udp} global {global-address | current-interface global-port} inside {host-address host-port } ***-instance ***-instance-name acl acl-number description description description-port]
※参数protocol指定一个须要转换的协议;
※参数global-address指定须要转换的公网地址,若是直接填地址则这个地址不能是路由器的接口地址,能够虚拟一个同网段的地址。
※参数current-interface表明将这个接口的地址做为公网的地址使用。若是使用一个公网地址(路由器接口地址)实现内网访问外网,而且外网访问内防服务器或远程管理,必加current-interface参数。
※参数inside指定内网服务器的地址。
例举:
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.10 2200 inside 192.168.1.1 22 把访问外网100.1.1.10:2200端口的请求转到内网192.168.1.1:22端口,注意100.1.1.10不能是路由器接口的地址,不然会报地址冲突。
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.1 80 把访问路由器外网接口地址80端口的请求转到192.168.1.1 80端口。
11、STP(生成树协议)
华为XP系列交换机支持三种生成树协议模式。
MSTP、STP(传统生成树)、RSTP(快速生成树),默认状况下,华为X7系列交换机工做在MSTP模式。下边均为MSTP的配置负载均衡。
举例:配置三层交换机Huawei为vlan2-10的根网桥,vlan11-20的备份根网桥:
1)、建立实例
[Huawei]stp mode mstp 配置交换机的生成树协议(默认为mstp能够省略这一步)
[Huawei]stp region-configuration 进入建立实例模式
[Huawei-mst-region]region-name benet 配置统一的域名
[Huawei-mst-region]revision-level 1 配置一致的修订级别
[Huawei-mst-region]instance 1 vlan 1 to 10 配置实例1,将vlan 2-10映射到实例1
[Huawei-mst-region]instance 2 vlan 11 to 20 配置实例2,将vlan 11-20映射到实例2
[Huawei-mst-region]active region-configuration 提交配置
[Huawei-mst-region]quit
2)、配置根网桥和备份根网桥
[Huawei]stp instance 1 root primary 指定为实例1 的根网桥
[Huawei]stp instance 2 root secondary 指定为实例2 的根网桥
3)、其余开链路trunk、容许vlan在链路上通行的命令参考前边,这里再也不重复。
12、VRRP(虚拟网关冗余协议)
VRRP和思科的HSRP(热备份路由协议)实现的功能是同样的,命令相似。
VRRP:默认启动抢占(占先权)
vlan100根网桥配置:
[Huawei]interface Vlanif100 进入vlan100
[Huawei-Vlanif100]ip address 192.168.100.2 255.255.255.0 配置vlan100网关的的真实ip
[Huawei-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254 启动VRRP 100组(推荐组号和vlan序号取值同样),并配置虚拟地址为192.168.100.254(和前边真实IP必须同网段,在华为设备也能够设置成和真实IP同样的地址)。
[Huawei-Vlanif100]vrrp vrid 100 priority 150 配置优先级(根网桥优先级要大于备份网桥)
[Huawei-Vlanif100]vrrp vrid 100 track interface GigabitEthernet0/0/1 reduced 100 配置VRRP追踪(端口跟踪),随着端口的改变而自动调整优先级(端口关闭优先级降100,若是端口恢复优先级也会上涨100)。
vlan100备份网桥:
[Huawei]interface Vlanif100
[Huawei-Vlanif100]ip address 192.168.100.2 255.255.255.0
[Huawei-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254
这里通常不须要配置优先级,默认为100。
13、×××技术
(跨互联网)须要通过公网IP地址,价格低廉,稳定性取决于上网稳定性,不须要通过运营商,设备支持便可。
二层×××技术:L2f、PPTP、L2TP、MPLS
三层×××技术:GRE、IPsec
应用层×××:ssl(ssh https)
1、GRE:通用路由封装,对数据不支持加密,存在安全性问题属于隧道技术 协议号47
首先要保证两边的路由器设备外部公网接口要能通讯。
总公司:在接公网的路由器上配置
1)、建立隧道接口
[Huawei]interface Tunnel0/0/1 建立隧道接口
[Huawei-Tunnel0/0/1]ip address 10.1.1.1 255.255.255.0 配置隧道IP地址,使用私有IP,并且要和对端的隧道IP地址同网段。
[Huawei-Tunnel0/0/1]tunnel-protocol gre 隧道的协议采用GRE
[Huawei-Tunnel0/0/1]source 100.0.0.2 隧道的源(本身的公网地址)
[Huawei-Tunnel0/0/1]destination 200.1.1.2 隧道的目的(对方的公网IP)
2)、配置路由
[Huawei]ip route-static 10.0.0.0 255.255.255.0 Tunnel 0/0/1 配置去隧道IP网段10.1.1.0从Tunnel 0/0/1走
例举OSPF:
[Huawei]ospf 1
[Huawei-ospf-1]area 1
[Huawei-ospf-1-area-0.0.0.1]network 10.1.1.0 0.0.0.255 宣告隧道IP网段
分公司:在接公网的路由器上配置
1)、建立隧道接口
[Huawei]interface Tunnel0/0/1 建立隧道接口
[Huawei-Tunnel0/0/1]ip address 10.1.1.2 255.255.255.0 配置隧道IP地址,使用私有IP,并且要和对端的隧道IP地址同网段。
[Huawei-Tunnel0/0/1]tunnel-protocol gre 隧道的协议采用GRE
[Huawei-Tunnel0/0/1]source 200.1.1.2 隧道的源(本身的公网地址)
[Huawei-Tunnel0/0/1] destination 100.0.0.1 隧道的目的(对方的公网IP)
2)、配置路由
[Huawei]ip route-static 10.0.0.0 255.255.255.0 Tunnel 0/0/1 配置去隧道IP网段10.1.1.0从Tunnel 0/0/1走
例举OSPF:
[Huawei]ospf 1
[Huawei-ospf-1]area 1
[Huawei-ospf-1-area-0.0.0.1]network 10.1.1.0 0.0.0.255 宣告隧道IP网段
[Huawei-ospf-1-area-0.0.0.1]network 172.16.0.0 0.0.255.255 宣告本身的其余直连网段
*:这里若是配置完毕以后不一样,检查是否把隧道的目的地址命令打错,是destination,而不是description。
2、IPsec
主要的分装协议有两种:AH和ESP,只支持IP单播,支持加密技术。
传输模式有两种:隧道模式和传输模式。
实验拓扑:
基本的IP配置和默认路由这里就不说了,配置IPsec前的工做要保证的是在路由器zong上能够ping通200.0.0.2,在路由器fen上能够ping通100.0.0.2。
IPsec配置:
路由器ZONG上:
[zong]acl number 3000 编写ACL(这里必需使用高级ACL,编号要为3000~3999内)
[zong-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 定义感兴趣的数据流(就是须要经过IPsec加密的数据)
[zong-acl-adv-3000]quit
配置第一阶段:
[zong]ike proposal 2 给第一阶段的策略定一个编号
[ZONG-ike-proposal-2]authentication-algorithm md5 肯定双方认证完整性使用是什么算法
[ZONG-ike-proposal-2]authentication-method pre-share 设备验证的方法,采用预共享对称秘钥的方法(默认就为预共享对称秘钥)
[zong-ike-proposal-2]encryption-algorithm 3des-cbc 定义第一阶段采用什么算法
[zong-ike-proposal-2]dh group5 DH秘钥组使用5
[zong-ike-proposal-2]sa duration 10000 第一阶段SA的周期
[zong-ike-proposal-2]quit
[zong]ike peer fen v1 定义对等体信息zong(随便起个名字)使用v1的版本
[zong-ike-peer-fen]pre-shared-key simple houliangjin 定义一个共享密码作设备验证,在两台创建***的路由器上,这个密码都要一致。
[zong-ike-peer-fen]remote-address 200.0.0.2 对端的IP地址
第一阶段配置完毕
[zong-ike-peer-fen]quit
配置第二阶段:
[zong]ipsec proposal to-fen 定义第二阶段安全策略,给一个编号或名字。
[zong-ipsec-proposal-to-fen]esp encryption-algorithm aes-128 定义第二阶段采用什么算法
[zong-ipsec-proposal-to-fen]encapsulation-mode tunnel 定义传输模式(tunnel是隧道模式是默认值,transport传输模式)
[zong-ipsec-proposal-to-fen]quit
[zong]ipsec policy my-policy 20 isakmp 定义使用ike来协商IPsec,这里的my-policy是策略名,能够随便起
[zong-ipsec-policy-isakmp-my-policy-20]security acl 3000 调用ACL
[zong-ipsec-policy-isakmp-my-policy-20]ike-peer fen 调用对等体
[zong-ipsec-policy-isakmp-my-policy-20]proposal to-fen 调用第二阶段策略
[zong-ipsec-policy-isakmp-my-policy-20]quit
最后把策略应用到外网接口
[zong]int g0/0/1
[zong-GigabitEthernet0/0/1]ipsec policy my-policy
路由器fen上:
若是上边的配置是按照文档中的如出一辙配置的话能够把下边分支的命令直接复制到fen路由器上,这里有几个点要改一下我都用红字标出来了。
acl number 3000
rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
quit
ike proposal 2
authentication-algorithm md5
authentication-method pre-share
encryption-algorithm 3des-cbc
dh group5
sa duration 10000
quit
ike peer zong v1
pre-shared-key simple houliangjin
remote-address 100.0.0.2
quit
ipsec proposal to-zong
encapsulation-mode tunnel
esp encryption-algorithm aes-128
quit
ipsec policy my-policy 20 isakmp
security acl 3000
ike-peer zong
proposal to-zong
quit
int g0/0/0
ipsec policy my-policy
quit
- 1. 华为命令总结
- 2. 华为基础命令总结
- 3. 华为命令
- 4. 华为命令集
- 5. cisco和华为命令
- 6. 华为计算机命令
- 7. 华为命令行基础
- 8. 华为基础命令
- 9. 华为命令集合
- 10. 总结命令
- 更多相关文章...
- • Docker info 命令 - Docker命令大全
- • Docker version 命令 - Docker命令大全
- • Docker 清理命令
- • 算法总结-双指针
-
每一个你不满意的现在,都有一个你没有努力的曾经。