本文主要介绍一些华为接入交换机常用的配置,亲测适用于S5700系列交换机。(如有问题欢迎指正)
1SSH配置方法2console登录密码配置3dot1x端口安全配置4日志采集配置5NTP时间同步配置6SNMP配置7配置IP+MAC静态绑定8配置IP+MAC+接口静态绑定9配置端口安全10配置黑洞Mac地址配置1:SSH配置方法
dsa local-key-pair create Y #选择yes 1024 #输入1024 aaa local-user “用户名” password irreversible-cipher “密码” local-user “用户名” service-type ssh local-user “用户名” privilege level 3 #这里的级别如果你想配置添加一个super密码就选择1,远程登录账号密码后,再输入一次管理密码// quit stelnet server enable ssh user “用户名” ssh user “用户名” authentication-type password ssh user “用户名” service-type stelnet ssh client first-time enable #此命令开启可以使交换机与交换机之间互相远程管理。 user-interface vty 0 4 authentication-mode aaa user privilege level 3 protocol inbound ssh user-interface vty 16 20 #一般上面的步骤配置完成,网关地址能够ping通,22端口能够telnet通。使用SSH登陆就没有问题... //配置2:console登录密码配置
user-interface con 0 authentication-mode password set authentication password cipher “密码” #console密码相当于我们超级管理员密码,请妥善保存。配置3:dot1x端口安全配置
undo authentication unified-mode 更改模式为传统模式 #更改后需要重启一下设备,注意保存配置。 dot1x enable dot1x authentication-method eap mac-authen timer offline-detect 180 access-user arp-detect default ip-address 0.0.0.0 radius-server template dot1x radius-server shared-key cipher +密码 radius-server authentication radius-server authentication +认证服务器IP地址 1812 weight 70 radius-server accounting +认证服务器IP地址 1813 weight 80 radius-server accounting +认证服务器IP地址 1813 weight 70 aaa authentication-scheme dot1x authentication-mode radius accounting-scheme dot1x accounting-mode radius domain default authentication-scheme dot1x accounting-scheme dot1x radius-server dot1x interface GigabitEthernet0/0/1 dot1x mac-bypass #接口开启dot1x认证和mac认证,打印机一般是mac认证(mac-authem 只敲此命令)配置4:日志采集配置
info-center channel 6 name loghost1 info-center source default channel 6 log level informational info-center loghost +日志服务器IP地址 channel 6 #可以根据等级来选择自己所需要的日志信息。 |chanel 6 |级别你可以再详细了解一下,不同的级别采集的日志不一样 (其实日志采集还蛮重要的,不配置你等保过不去。)配置5:NTP时间同步配置
ntp-service server disable ntp-service ipv6 server disable ntp-service unicast-server +NTP服务器IP地址 #啰嗦一句,在我巡检中有很多客户的网络设备时间,尤其是交换机大部分系统时间都不对。 #(如果系统时间不同,出现了问题解决后,你怎么跟客户来汇报故障发生的时间呢?掐指一推)配置6:SNMP配置
snmp-agent snmp-agent local-engineid 800007DB03C4473F215ED0 //这条命令其实不用敲,配置完成后默认会自动出来。(不要慌) snmp-agent community write cipher “密码” snmp-agent community read cipher “密码” snmp-agent sys-info version all //这里可以自己选择版本V2 V3等 #一般第三方监控软件使用snmp来监控设备的性能 #也可以来监控设备端口流量,但个人认为监控流量还是使用流量镜像吧 #尤其针对视频流量。配置7:配置IP+MAC静态绑定
以添加源IP为192.168.2.1、源MAC为0002-0002-0002的静态绑定表项,并在VLAN 10上使能IPSG功能为例,配置过程如下: system-view user-bind static ip-address 192.168.2.1 mac-address 0002-0002-0002 vlan 10 ip source check user-bind enable配置8:配置IP+MAC+接口静态绑定
以添加源IP为192.168.2.1、源MAC为0002-0002-0002、接口为GE0/0/1的静态绑定表项,并在VLAN 10上使能IPSG为例,配置过程如下: <HUAWEI> system-view [HUAWEI] user-bind static ip-address 192.168.2.1 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1 [HUAWEI] vlan 10 [HUAWEI-vlan10] ip source check user-bind enable //其实也可以在接口下配置 ip source check user-bind enable配置9:配置端口安全
配置端口安全功能,可以实现用户的动态绑定。通过配置接口MAC地址学习限制数的功能可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高设备与网络的安全性。 # 配置GE0/0/1接口的端口安全功能。 <HUAWEI> system-view [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] port-security enable # 配置GE0/0/1接口的MAC地址学习限制数为5,即最多可以学习到5个MAC地址表项。 <HUAWEI> system-view [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] port-security enable [HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 5 #这个写的有点粗糙了,其实还有好多的功能。配置10:配置黑洞Mac地址
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。 交换机提供两种配置黑洞MAC地址的方式:全局黑洞MAC地址和基于VLAN的黑洞MAC地址。 在系统视图下,配置MAC地址0000-0012-0034为全局黑洞MAC。 <HUAWEI> system-view [HUAWEI] mac-address blackhole 0000-0012-0034 在系统视图下,配置MAC地址0000-0012-0035在VLAN10的广播域内为黑洞MAC地址。 <HUAWEI> system-view [HUAWEI] mac-address blackhole 0000-0012-0035 vlan 10#20200702 v1版
