1、華為交換機配置命令解釋<Quidway>用戶視圖，只能看配置<Quidway>reset save （清除配置文件）<Quidway>reboot （重啟華為交換機）<Quidway>system view （進入配置模式）<Quidway>sys （省略式打法）配置模式修改交換機：Quidwaysys name sw1sw1配置VLAN:Quidwayvlan 2Quidway-vla n2port ether 0/10 to e 0/12Quidway-vla n2quit等同于Quidwayi nt e0/13Quidway-E

2、ther net0/13port access vla n 2Quidway-Ethernet0/13quit配置trunk端口:Quidwayi nt eO/1Quidway-EthernetO/1port link-type trunkQuidway-EthernetO/1 int eO/2Quidway-Ethernet0/2port lin k-type trunkQuidway-Ethernet0/2quit兩邊的端口都要配trunk,通過trunk不打標簽！默認trunk只允許 vlan 1通過Quidwayi nt eO/1Quidway-Ethernet0/1port trun

3、k permit vlan allQuidway-Ethernet0/1 int e0/2Quidway-Ethernet0/2port trunk permit vian all兩邊端口都要配置充許trunk所有VLAN，如果是指定通過vlan號，將vlan all改成對應的vlan編號即可。取消任何命令，是在命令前面加一個undo即可！如何防止交換機環路：華為的交換機生成樹功能默認是關掉的交換機形成環路，所聯接的端口會不停的閃爍!方法一：啟用交換機生成樹Quidwaystp enable （開）Quidwaystp disable （關）要在兩臺交換機上配置：方法二：通過鏈路聚合的方式來解

4、決問題鏈路聚合可以提高帶寬和負載均衡，不能配置鏈路聚合時，兩端的端口模式需要配置成一樣（雙工，半又工），速率也要指定 自己自協商狀態！Quidwaylink-aggregation e0/1 to eO/2 both如：Quidwayi nt eO/1Quidway-Ethernet0/1duplex fullQuidway-Ethernet0/1speed 100Quidway-EthernetO/1 int e0/2Quidway-Ethernet0/2duplex fullQuidway-Ethernet0/2speed 100查看交換機日志Quidwaydis log路由器與路由器之間

5、通信的安全保護配置方法一、保護路由器的物理安全二、保護管理接口的安全1保護控制臺端口的訪問權限口令的設置應遵循以下原則：初使安裝之后立即配置口令，不使用缺省口令；確保特權級口令與用級口令的不同；口令使用字母數字混合字符以使口令破解難以成功。2、使用加密口令使用口令加密的方式(service password-encryption )來隱藏明文形式口令。使用enable secret命令配置特權模式口令。使用具有加密和認證傳輸機制的SSH協議及相應的和序，如SecureCRT.3、調整線路參數使控制臺一定時間內沒有任何命令鍵入時會自動斷開Router(config-line)#exec-time

6、out minute second4、 設置多個特權級別，進一步細化路由器的控制。在路由器用AAA認證，建立用戶。Router(c onfig) #priiledge mode level level comma nd |reset comma nd5、控制Tel net訪問：要在虛擬終端接口(vty)上通過設置訪問控制列表，只允許在表中被定義的IP地址的主機才能訪問網絡路由器。Router(c on fig-li ne)#ip access-class nu mber in6、控制SNMP訪問：公允許在訪問控制列表中被指定的NMS (網絡管理系統)的IP地址才能通過團體字符串訪問路由器代理。

7、Router(config) #snmp-server community string view view-name ro|rw此外還應配置 SNMP中斷和通知，只發給被充許 NMS主機。可以用 “snmpserver host host trap命令，只將SNMP中斷消息發送給指定的 NMS主機；用“ snp-server host host trap 命令，只將SNMP通知消息發送給指定的 NMS主機。三、保護路由器之間通信安全。1路由協議認證對于保護路由基礎設備的安全來說，使用MD5認證方式是推薦的做法。例如，在OSPF路由器上配置消息摘要認論證如下：Router(c on fig-i

8、f)#ip ofpf message-digest-key key-id md5 en crypti on-type password ; 在接 口上配置消息摘要密鑰Router(config)#area number authentication message-digest;在區域 number 上啟用消息摘 要認證。2、用過濾器控制數據流第一、限制那些不想在路由更新中被廣播出去的網絡地址。例如，以下配置只允許網絡有關的路由更新被從S0接口發出：Router(c on fig)#router eigrpRouter(c on fig-router)#destribute-list 27 o

9、ut s0該特性可以應用于除BGP和EGP之外的所有基于IP的路由協議。第二：抑制從路由更表中收到的網絡地址：通過訪問控制列表的過濾作用，可以使路由器只接受那些來自己網絡中特定的、已知路由器的路由表中的更新，但該特性對于鏈路狀態協議如OSPF或IS-IS等不起作用。例如：如下配置實現了一個訪問控制列表只接收來自被信任網絡的路由更新：Router(co nfig)#access-list 45 Router(c on fig)#router eigrp 200Router(c on fig)#distrbute 45 in serial 0第四、可以利用訪問控制列表來拒絕那些來自己外部網絡但源地

10、址卻是內部地址的數據包，以防止來自己網絡外部的欺騙性攻擊。應在邊緣路由器上應用包過濾功能，因為包過濾會降低路由器的性能，配置興舉例如下：1、配置訪問控制列表以拒絕假冒內網地址的數據包Router(config)#access-list 102 Router(co nfig-if)#ip access-group 102 in; 在路由器對外接口的入方向上應用訪問列表內網的IP地址段。2、配置動態訪問控制列表以允許已建立TCP連接的數據流，既阻止外部連接的數據流而讓內部發起連接的TCP數據流通過Router(config)#access-list 102 3、控制對路由器的HTTP訪問：應使用訪

11、問控制列表來限制只有特定的機器能通過流覽器來訪問路由器。可按如下配置：Router(config)#access-list 25 Router(config)#ip http access-class 25 ;只允許特定主機通過 HTTP 訪問路由器。四、關閉易受威脅或攻擊的功能或服務1、 配置文件自動從TFTP服務器獲取”功能建議關閉：Router(c on fig)# no boot n etworkRouter(c on fig)# no service config2、“IP源路由”使用很少，易遭受攻擊，建議關閉：Router(c on fig)# no ip source-route

12、r3、“ Proxy ARP除非接口做橋接，否則關閉該服務：Router(c on fig)# no ip proxy-arp4、“IP directed broadcast,可對特定局域網發廣播數據包，它可做為一種攻擊手段，建議關閉。5、“IP redirect對特定設備發ICMP重定向數據包，建議只對信任區域開放該服務。6、關閉DP協議Router(c on fig)# no cdp en able7、 建議過濾源地址與目標地址相同，源端口與目的端口相同的流量以防止Land攻擊。應過濾目的地址為廣播地址的流量。8、 建議關閉入方向ICMP重定向、ech0、掩碼請求數據，同時出方向流量允許I

13、CMP echo、parameter-problem、packet-too-big、source-quench,其他全部過濾，對于 traceroute 流 量，入方向關閉，出方向開放。NTP時間服務器安裝學習筆記NTP服務器安裝手記隨著時間的推移，計算機的時鐘會傾向于漂移。網絡時間協議(NTP)是一種確保您的時鐘保持準確的方法。一般系統默認都安裝了NTP服務如可以用以下命令查看rootwap etc# rpm -qa |grep ntpNTP服務，主要包括四個文件/etc/ntp.conf ; NTP服務的主配置文件。/usr/share/z on ei nfo ;規定了各主要時區的時間設定

14、文件，如上海/usr/share/z onein fo/Asia/Sha nghai/etc/sysconfig/clock ; Linux的主要時區設定文件，每次啟動后Linux操作系統就讀取這個文件來設定系統預設要顯示時間，如：” Zone=Asia/Shanghai/etc/localtim ;本地系統的時間設定文件。/bin/date Linux系統上面的日期與時間修改及輸出命令/sbin/hwclock主機的BIOS時間與Linux系統時間分開date這個指令調整后，只是影響系統時間。如果更改BIOS時間，需要用hwlock命令/usr/sbin/ntpd ; NTP服務的守護進程/

15、usr/sbin/ntpdata ;NTP客戶端用來連接 NTP服務器命令文件/usr/sbin/ntpq標準網絡計時協議（NTP ）查詢程序配置rootwap etc# vi /etc/ ntp.c onfrestrict default ignore/忽略所有ntp要求封包/restrict可以針對子網、ip來進行限制，nomodify參數表示客戶端可以通過服務器端效驗，但不能更改服務器端參數server O.pool. server l.pool. server 2.pool. 注：server選項指定了使用哪一個服務器，每一個服務器都獨立一行，如果某一臺服務器上指定了 prefer （偏好）參數restrict O.pool. restrict l.pool. restrict 2.pool. II如果restric后面不帶參數，表示可以允許全部權限driftfile /var/lib/ntp/drift/driftfile選項，則指定了用來保存系統時鐘頻率偏差的文件，ntpd程序使用它來自動地補償時鐘的自然漂移，從而使時鐘即使在切斷了外來時源的情況下，仍能保持相當的準確度broadcastdelay 0.008logfile /var/log/ntp