华为交换机配置模版脚本

1、总体模版sysuser-interface vty 0 4authentication-mode passwordset authentication password cipher sdsy/sdsyuser privilege level 15quiuser-interface conso 0authentication-mode passwordset authentication password cipher sdsy/sdsyquiip route-static vlan 39quiint vlan 1quiundo int vlan 1vlan 255int vlan 255ip

2、 add 02 24int g0/0/8port link-type trunkport trunk allow-pass vlan allquiint range g0/0/1 to g0/0/7port link-typ accessport defaul vlan 39stp edged-port enableloopback-detection enableexiterrdisable recovery cause loopback-detetionerrdisable recovery interval 60dhcp-snooping enable int range g0/0/8

3、dhcp-snooping trust dhcp enable3A认证Aaalocal-user meng password cipher meng privilege level 15User-interface vty 0 4Authentication mode aaa端口聚合创建聚合组命令如下：S9303interface Eth-Trunk1聚合组名称为 ETH-Trunk1S9303-Eth-Trunk1description To-S9303-2/描述S9303-Eth-Trunk1undo port hybrid vlan 1去掉 VLAN1 的透传S9303-Eth-Trun

4、k1port hybrid tagged vlan 100 to 200 /VLAN 透传3进入端口，将端口加入聚合组，命令如下：S9303interface GigabitEthernet1/1/16进入 G1/1/16 端口S9303-GigabitEthernet1/1/16description To-S7810-G7/0/31 /端口描述S9303-GigabitEthernet1/1/16eth-trunk 1/加入聚合组 1S9303interface GigabitEthernet1/1/17进入 G1/1/17 端口S9303-GigabitEthernet1/1/17des

5、cription To-S7810-G7/0/30 端口描述S9303-GigabitEthernet1/1/17eth-trunk 1加入聚合组 1dhcp enable#dhcp snooping enableuser-bind static ip-address 00保留手动分配的地址，不加保留的手动分配的地址没法使用user-bind static ip-address 01 mac-address 4c1f-cc58-379e保留手动分配的地址和MAC地址捆绑#interface Vlanif1000ip address dhcp select interfacedhcp serve

6、r excluded-ip-address 00 54 保留手动分配的地址段expired day 0 hour 5dhcp server forbidden-ip 01 53 display dhcp client#interface GigabitEthernet0/0/1port link-type accessport default vlan 1000ip source check user-bind enableip source check user-bind check-item ip-address mac-address dhcp snooping enabledhcp s

7、nooping check user-bind enableexpired day 0 hour 5dhcp server forbidden-ip 01 53 display dhcp client镜像命令:Mirroring-group 2 local 仓U建组Int g0/0/1Mirroring-group 2 mirroring-port both 设置被监控对象Int g0/0/2Mirroring-group 2 monitor-port Sniffer 口备份和恢复Tftp put vrpcfg.cfg 22-hw-22.cfg 下载Tftp get 23-hw22.cfg v

8、rpcfg.vfgPrivilege levlesysname HuaWei_testDHCPIP-MAC 绑定super password level 1 cipher 456123 #dhcp snooping bind-table static ip-address 54 mac-address 0000-1111-1234 interfaceEthernet 0/0/2将 IP00 mac 0001-0002-0003 固定到接口上 interface GigabitEthernet 0/0/1 user-bind static ip-address 00 mac-address 00

9、01-0002-0003 interfaceGigabitEthernet 0/0/1 vlan 10接口上启用：ip source check user-bind enable即可：具体配置过程如下：Ip+mac+端口绑定sysEnter system view, return user view with Ctrl+Z.HuaweiHuaweivlan 10在设备上创建 vlan 10Huawei-vlan10quitHuaweiinter gi0/0/1进入接口视图Huawei-GigabitEthernet0/0/1port link-type access /指定接口为 access

10、 类型：可直接接电脑或是服务器的那种类型Huawei-GigabitEthernet0/0/1port default vlan 10 / 将接口 划入 vlan 10;Huawei-GigabitEthernet0/0/1quitHuaweiuser-bind static ip-address 00 mac-address 0001-0002-0003 interfaceGigabitEthernet 0/0/1 vlan 10/在全局模式下，将 IP 地址(00)，MAC 地址(0001-0002-0003)，具体接口( GigabitEthernet 0/0/1)，/和接口所属vlan

11、(10)，绑定到一起。Huaweiinter gi0/0/1Huawei-GigabitEthernet0/0/1ip source check user-bind enable/在本接口上，检查通过的IP源地址，即启用源地址检查功能；Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done.Huawei-GigabitEthernet0/0/1di this查看接口配置：#interface GigabitEthernet0/0/1port link-type accessport def

12、ault vlan 10ip source check user-bind enable#returnHuawei-GigabitEthernet0/0/1查看防ARP/DHCP/ICMP收到的数量display auto-defend attack-source detailMAC AddressXXXX-XXXX-XXXX-XXXXInterfaceGigabitEthernet0/0/2VLAN: Outer/Inner0ARP:16DHCP:980592ICMP:982336Total1962944MAC AddressXXXX-e623-7bceInterfaceGigabitEth

13、ernet0/0/2VLAN: Outer/Inner0DHCP:34416ICMP:12352Total46768Pppoe设置interface Dialer1link-protocol pppppp pap local-user 28#1 password simple &9ip address ppp-negotiatedialer user 28#1dialer bundle 1dialer-group 1nat outbound 3001#interface Ethernet0/1pppoe-client dial-bundle-number 1#ip route-static D

14、ialer 1 preference 60#配置802.1x认证示例组网需求如图1所示，要求如下：对GE00Q接口上的接入用户进行802.1x认证，以控制其访问Internet,接入控制方式采用缺省方 式，即基于MAC的接入控制方式。认证成功之前，用户通过浏览器访问外部网络会被重定向至WEB 服务器，进行802.1X客户端的下载及安装；认证成功之后，用户可直接访问网络。使用RADIUS服务器完成认证。GEMW接口最大接入用户数为100。对GE1/0/0接口下的打印机采用MAC旁路认证。囹1 S3S802. Ik认证组网图RADIUS server192.168230UserPrinterSwi

15、tchGE 2/Q/1 VLANIF 20GE 1/0/0192.168 2.10GE 2/0/0GE 2/0/2VLAN IF 30192.168.3J0Free IP :W/24Web server192.16833。 I配置思路用如下的思路配置802.1x认证。1.配置RADIUS服务器模板。2.配置AAA认证模板。3.配置域。4.配置802.1X认证。数据准备为完成此配置举例，需要准备如下数据：RADIUS服务器IP地址，认证端口号。RADIUS服务器密钥为hello，重传次数为2。AAA认证方案abc。RADIUS服务器模版rd1。域 isp1。免认证IP网段。HTTP访问的重定向U

16、RL。说明：本案例只包括Switch的配置，RADIUS服务器的配置这里不做相关说明。操作步骤配置各接口的IP地址（略）配置RADIUS服务器模板#配置RADIUS服务器模板rdl。Quidway radius-server template rd1#配置RADIUS主用认证服务器的IP地址、端口。Quidway-radius-rd1 radius-server authentication 0 1812#配置RADIUS服务器密钥、重传次数。Quidway-radius-rd1 radius-server shared-key simple 123Quidway-radius-rd1 rad

17、ius-server retransmit 2Quidway-radius-rd1 quit配置认证方案，认证方案abc，认证方法为RADIUSQuidway aaaQuidway -aaa authentication-scheme abcQuidway-aaa-authen-abc authentication-mode radiusQuidway-aaa-authen-abc quit配置ispl域，绑定认证方式和RADIUS服务器模板Quidway-aaa domain isplQuidway-aaa-domain-isp1 authentication-scheme abcQuidw

18、ay-aaa-domain-isp1 radius-server rd1Quidway-aaa-domain-isp1 quitQuidway-aaa quit配置802.1x认证#在全局和接口下使能802.1x认证。Quidway dot1x enableQuidway interface gigabitethernet1/0/0Quidway-GigabitEthernet1/0/0 dot1x enable#配置允许接入的最大用户数。Quidway-GigabitEthernet1/0/0 dot1x max-user 100#配置MAC旁路认证。Quidway-GigabitEther

19、net1/0/0 dot1x mac-bypass Quidway-GigabitEthernet1/0/0 quit#配置802.1x快速部署功能。Quidway dot1x free-ip 24Quidway dot1x url 0Quidway quit检查配置结果用户通过ping Free IP网段中的地址，验证用户在802.1X认证成功之前可以访问免认证网段，且 通过浏览器访问任何外部网站都会被重定向到WEB server页面，此页面提供客户端的下载服务。在Switch执行命令display dot1x interface，可以看到802.1x配置信息和统计信息。 display d

20、ot1x interface gigabitethernet1/0/0GigabitEthernet1/0/0 status: UP 802.1x protocol is Enabledmac-bypassPort control type is AutoAuthentication method is MAC-basedReauthentication is disabledMaximum users: 100Current users: 1Guest VLAN is disabledCritical VLAN is disabledRestrict VLAN is disabledAuthentication Success: 4Failure: