版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
..华为交换机配置命令解释<Quidway>用户视图,只能看配置<Quidway>resetsave<清除配置文件><Quidway>reboot<重启华为交换机><Quidway>systemview<进入配置模式><Quidway>sys<省略式打法>
[]配置模式修改交换机:[Quidway]sysnamesw1[sw1]配置VLAN:[Quidway]vlan2[Quidway-vlan2]portether0/10toe0/12[Quidway-vlan2]quit等同于[Quidway]inte0/13[Quidway-Ethernet0/13]portaccessvlan2[Quidway-Ethernet0/13]quit配置trunk端口:[Quidway]inte0/1[Quidway-Ethernet0/1]portlink-typetrunk[Quidway-Ethernet0/1]inte0/2[Quidway-Ethernet0/2]portlink-typetrunk[Quidway-Ethernet0/2]quit两边的端口都要配trunk,通过trunk不打标签!默认trunk只允许vlan1通过[Quidway]inte0/1[Quidway-Ethernet0/1]porttrunkpermitvlanall[Quidway-Ethernet0/1]inte0/2[Quidway-Ethernet0/2]porttrunkpermitvlanall两边端口都要配置充许trunk所有VLAN,如果是指定通过vlan号,将vlanall改成对应的vlan编号即可。取消任何命令,是在命令前面加一个undo即可!如何防止交换机环路:华为的交换机生成树功能默认是关掉的交换机形成环路,所联接的端口会不停的闪烁!方法一:启用交换机生成树[Quidway]stpenable〔开[Quidway]stpdisable〔关要在两台交换机上配置:方法二:通过链路聚合的方式来解决问题链路聚合可以提高带宽和负载均衡配置链路聚合时,两端的端口模式需要配置成一样〔双工,半又工,速率也要指定,不能自己自协商状态![Quidway]link-aggregatione0/1toe0/2both如:[Quidway]inte0/1[Quidway-Ethernet0/1]duplexfull[Quidway-Ethernet0/1]speed100[Quidway-Ethernet0/1]inte0/2[Quidway-Ethernet0/2]duplexfull[Quidway-Ethernet0/2]speed100查看交换机日志[Quidway]dislog路由器与路由器之间通信的安全保护配置方法一、保护路由器的物理安全二、保护管理接口的安全1、保护控制台端口的访问权限口令的设置应遵循以下原则:初使安装之后立即配置口令,不使用缺省口令;确保特权级口令与用级口令的不同;口令使用字母数字混合字符以使口令破解难以成功。2、使用加密口令使用口令加密的方式〔servicepassword-encryption来隐藏明文形式口令。使用enablesecret命令配置特权模式口令。使用具有加密和认证传输机制的SSH协议及相应的和序,如SecureCRT.3、调整线路参数使控制台一定时间内没有任何命令键入时会自动断开Router<config-line>#exec-timeoutminutesecond4、设置多个特权级别,进一步细化路由器的控制。在路由器用AAA认证,建立用户。Router<config#priiledgemode[levellevelcommand|resetcommand]5、控制Telnet访问:要在虚拟终端接口〔vty上通过设置访问控制列表,只允许在表中被定义的IP地址的主机才能访问网络路由器。Router<config-line>#ipaccess-classnumberin6、控制SNMP访问:公允许在访问控制列表中被指定的NMS〔网络管理系统的IP地址才能通过团体字符串访问路由器代理。Router<config#snmp-servercommunitystring[viewview-name][ro|rw]此外还应配置SNMP中断和通知,只发给被充许NMS主机。可以用"snmp-serverhosthosttrap"命令,只将SNMP中断消息发送给指定的NMS主机;用"snmp-serverhosthosttrap"命令,只将SNMP通知消息发送给指定的NMS主机。三、保护路由器之间通信安全。1、路由协议认证对于保护路由基础设备的安全来说,使用MD5认证方式是推荐的做法。例如,在OSPF路由器上配置消息摘要认论证如下:Router<config-if>#ipofpfmessage-digest-keykey-idmd5[encryption-type]password;在接口上配置消息摘要密钥Router<config>#areanumberauthentication[message-digest];在区域number上启用消息摘要认证。2、用过滤器控制数据流第一、限制那些不想在路由更新中被广播出去的网络地址。例如,以下配置只允许网络有关的路由更新被从S0接口发出:Router<config>#routereigrp.0Router<config-router>#destribute-list27outs0该特性可以应用于除BGP和EGP之外的所有基于IP的路由协议。第二:抑制从路由更表中收到的网络地址:通过访问控制列表的过滤作用,可以使路由器只接受那些来自己网络中特定的、已知路由器的路由表中的更新,但该特性对于链路状态协议如OSPF或IS-IS等不起作用。例如:如下配置实现了一个访问控制列表只接收来自被信任网络.0的路由更新:Router<config>#access-list45permitRouter<config>#routereigrp200Router<config>#distrbute45inserial0第四、可以利用访问控制列表来拒绝那些来自己外部网络但源地址却是内部地址的数据包,以防止来自己网络外部的欺骗性攻击。应在边缘路由器上应用包过滤功能,因为包过滤会降低路由器的性能,配置兴举例如下:1、配置访问控制列表以拒绝假冒内网地址的数据包Router<config>#access-list102denyi.055anylogRouter<config-if>#ipaccess-group102in;在路由器对外接口的入方向上应用访问列表10o内网的IP地址段。2、配置动态访问控制列表以允许已建立TCP连接的数据流,既阻止外部连接的数据流而让内部发起连接的TCP数据流通过Router<config>#access-list102permittc.055.055established3、控制对路由器的访问:应使用访问控制列表来限制只有特定的机器能通过流览器来访问路由器。可按如下配置:Router<config>#access-list25permit0.0Router<config>#ipaccess-class25;只允许特定主机0通过访问路由器。四、关闭易受威胁或攻击的功能或服务1、"配置文件自动从TFTP服务器获取"功能建议关闭:Router<config>#nobootnetworkRouter<config>#noserviceconfig2、"IP源路由"使用很少,易遭受攻击,建议关闭:Router<config>#noipsource-router3、"ProxyARP",除非接口做桥接,否则关闭该服务:Router<config>#noipproxy-arp4、"IPdirectedbroadcast",可对特定局域网发广播数据包,它可做为一种攻击手段,建议关闭。5、"IPredirect",对特定设备发ICMP重定向数据包,建议只对信任区域开放该服务。6、关闭DP协议Router<config>#nocdpenable7、建议过滤源地址与目标地址相同,源端口与目的端口相同的流量以防止Land攻击。应过滤目的地址为广播地址的流量。8、建议关闭入方向ICMP重定向、echo、掩码请求数据,同时出方向流量允许ICMPecho、parameter-problem、packet-too-big、source-quench,其他全部过滤,对于traceroute流量,入方向关闭,出方向开放。NTP时间服务器安装学习笔记NTP服务器安装手记随着时间的推移,计算机的时钟会倾向于漂移。网络时间协议<NTP>是一种确保您的时钟保持准确的方法。一般系统默认都安装了NTP服务如可以用以下命令查看[rootwapetc]#rpm-qa|grepntpntp-NTP服务,主要包括四个文件/etc/ntp.conf;NTP服务的主配置文件。/usr/share/zoneinfo;规定了各主要时区的时间设定文件,如上海/usr/share/zoneinfo/Asia/Shanghai/etc/sysconfig/clock;Linux的主要时区设定文件,每次启动后Linux操作系统就读取这个文件来设定系统预设要显示时间,如:"Zone=Asia/Shanghai/etc/localtim;本地系统的时间设定文件。/bin/dateLinux系统上面的日期与时间修改及输出命令/sbin/hwclock主机的BIOS时间与Linux系统时间分开date这个指令调整后,只是影响系统时间。如果更改BIOS时间,需要用hwlock命令/usr/sbin/ntpd;NTP服务的守护进程/usr/sbin/ntpdata;NTP客户端用来连接NTP服务器命令文件/usr/sbin/ntpq标准网络计时协议〔NTP查询程序配置[rootwapetc]#vi/etc/ntp.confrestrictdefaultignore//忽略所有ntp要求封包restrictmask48nomodifyrestrictmasknomodifyrestrictmasknomodify//restrict可以针对子网、ip来进行限制,nomodify参数表示客户端可以通过服务器端效验,但不能更改服务器端参数//注:server选项指定了使用哪一个服务器,每一个服务器都独立一行,如果某一台服务器上指定了prefer<偏好>参数//如果restric后面不带参数,表示可以允许全部权限server#localclockfudgestratum10driftfile/var/lib/ntp/drift//driftfile选项,则指定了用来保存系统时钟频率偏差的文件,ntpd程序使用它来自动地补偿时钟的自然漂移,从而使时钟即使在切
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度企业办公设备及用品采购框架合同
- 电视接收器电视机市场发展预测和趋势分析
- 2024年度教育培训合同标的为课程开设与师资派遣
- 2024年度特许经营及技术服务合同标的详细描述
- 2024年度成都二手房屋买卖合同
- 2024年度家具行业物流运输合同
- 2024年度版权转让合同著作财产权变动
- 2024年度图书租赁合同:某大学图书馆与出版社之间的图书租赁
- 跨运车市场环境与对策分析
- 浮式生产储卸油装置市场需求与消费特点分析
- 《小学数学万能说课稿》
- 合伙开工厂合同范例
- 中医培训课件:《经穴推拿术》
- 综合智慧零碳园区项目可行性研究报告写作模板-备案审批
- 2024新版(沪教版)三年级英语上册英语单词带音标
- 中煤集团山西有限公司社会招聘考试试卷及答案
- 广东省深圳市五年级上学期英语期中试卷五(含答案)
- 军事理论(2024年版)学习通超星期末考试答案章节答案2024年
- 2024年浙江省中考社会试卷真题(含标准答案及评分标准)
- 第14课《人人爱护公物》(教学设计)2024-2025学年统编版(五四制)(2024)道德与法治一年级上册
- 2024年贵州省高职(专科)分类考试招收中职毕业生文化综合考试语文试题
评论
0/150
提交评论