华为配置命令
系统视图本文章默认不添加' ] '提示
特殊视图会添加特殊视图提示如'aaa]'则是在aaa视图命令下
vlan视图提示不会写vlan号而直接使用'vlan]'来表示在vlan视图
版本介绍
VRP版本:
核心版本(内核版本)一基础版本
- 用一个小数来表示,整数部分代表主版本号,小数点后第一位代表次版本号,小数点后第3,4位代表修订版本号。
- 例如某设备核心版本为VRP5.120,则代表主版本为5,次版本号为1,修订版本号为20
发行版本一针对具体产品系列的VRP版本
发行版本是以∨、R、C三个字母(代表三种不同的版本号)进行标识的,基本格式为“∨ XXXRXXXCXX”。
- V版本号——软件或者硬件平台版本,从100开始以100为单位递增编号
- R版本号——面向所有客户发布的通用版本,从001开始以1为单位递增编号
- C版本号——针对不同客户需求发布的客户化版本
常用命令与快捷键
快捷键:
Tap 补全
? 也算补全
命令:
进入系统视图:
>system-view
修改设备名:
]sysname 修改名字
产看版本信息:
dispaly version
查看当前配置信息:
display current-configuration
查看已经保存的配置信息:
display display saved-configuration
保存配置:
save -> Y
查看当前视图执行的配置:
display this
管道符:
display current-configuration
- | include 包含匹配
- | exclude 不包含匹配
- | begin 从*开始到最后
进入接口: // 长命令就算tap补全,不用全打
interface GigabitEthernet0/0/0
永久端口组:
port-group name // 命名
-port-group-name]group-member g */*/* to g */*/*
临时端口组:
port-group group-member g*/*/* to g*/*/*
V200R003C00及后续版本支持临时端口组:
interface range g*/*/* to g*/*/*
进入vlan接口:
interface vlan 1-4094 // 多端口同上
配置ip地址:
ip address IP地址 掩码(1的数量或点分十进制)
显示接口信息:
display interface [接口名] // 不加接口名查看全部接口
查看简要ip接口信息:
display ip interface brief
查看简要接口信息
display interface brief
查看单个接口详细信息
display ip interface 接口名称
查看历史命令
display history-command
系统调试
对网络设备所支持的绝大部分协议和功能,系统都提供了相应的调试功能,帮助用户对错误进行诊断和定位
调试信息开关
>terminal monitor // 开启控制台对系统信息的监视功能
>terminal debugging // 打开调试信息的屏幕输出开关
>debugging module-name // 打开模块调试开关
>display debugging // 显示调试开关
关闭的话undo就行 还一个最简单的方法:
undo information enable // 关闭所有通知信息
配置Telnet和STelnet
Tlenet
进入用户接口:
user-interface vty 0 [4] // 进入用户接口0代表第一个用户接口 4代表最后一个 也就是管理0到4的五个接口
配置认证模式:
authentication-mode [password]
更改权限:
-ui-vty0-4]user privilege level 3
连接telnet:
>telnet 1.1.1.1
查看连接信息:
display users
进入aaa认证模式:
aaa
创建用户:
aaa] local-user 用户名 password cipher 密码
更改服务类型:
aaa] local-user 用户名 service-type telnet
权限级别:
aaa] local-user 用户名 privilege level 3
STelnet与SFtp
创建密钥:
] rsa local-key-pair create
Input the bits in the modulus[default = 512]:直接回车默认或者自定义比特数
进入配置用户接口:
] user-interface vty 0 [*]
修改认证模式为aaa:
-ui-vty*-*] authentication-mode aaa
设置只支持ssh登陆:
-ui-vty*-*] protocol inbound ssh
进入aaa视图
] aaa
创建aaa用户
-aaa] local-user 用户名 password cipher 密码
修改用户类型:
-aaa] local-user用户名 service-type ssh
提升权限:
-aaa] local-user zyx privilege level 3
配置ssh用户
ssh user zyx authentication-type password
启动stelnent
stelnet server enable
首次登陆时需要开启ssh登陆
ssh client first-time enable
查看创建好的密钥对:
display rsa local-key-pair public
查看ssh信息:
display ssh server ?
查看用户信息:
display ssh user-information
// 可能我模拟器有问题,输入密码就会卡死,然后服务器断开连接,原因未知
FTP
STP协议
通过阻断冗余链路来消除桥接网络中可能存在的路径回环
当前路径发生故障时,激活冗余备份链路,恢复网络连通性
1.选举一个根桥。 CIST Bridge :优先级.MAC地址
2.每个非根交换机选举一个根端口。
3.每个网段选举一个指定端口。
4.阻塞非根、非指定端口。
每一台交换机启动STP后,都认为自己时根桥,自动选举时,谁的mac地址小谁就是根桥
非根交换机在选举根端口时分别依据该端口的根路径开销RPC,对端BID对端PID和本段PID
非根交换机在选举指定端口时分别依据根路径开销.BID,PID
未被选举为根端口或指定端口的端口为预备端口,将会被阻塞
端口类型:
根桥的所有端口都是DP
DP 指定端口
RP 根端口
AP 阻塞备用端口
STP
STP Spanning Tree Protocal, 生成树协议 适用于在局域网中消除数据链路层物理环路的协议
开启stp
stp enable
更改stp协议:
stp mode [stp]
更改优先级:
stp priority 0-61440 步进为4096
stp root primary // 直接改为主
查看stp
display stp
CIST Bridge :32768.4c1f-cca8-72ac // 32768是优先级.MAC地址
查看stp简要信息
display stp brief
STP 定时器
stp 定时器 转发延迟 默认十五秒
通过在桥之间交换BPDU(bridge protocol data unit 桥协议数据单元),来保证设备完成生成树的计算过程
BPDU有两个类型
configuration BPDU 根桥发送
TCN BPDU 拓扑改变通知
端口状态迁移 STP
Blocking(20s BPDU保护时间)
Listening(forwarding delay 15s 转发延迟 15秒 可以改)
Learning(forwarding delay 15s)
Forwarding
端口状态迁移 RSTP/MSTP
Discarding (forwarding delay) 不转发数据报, 不学习MAC地址
Learning (Forwarding delay) 不转发数据报, 学习MAC地址
forwarding
端口角色 | 端口状态 | 端口行为 |
未启用STP功能的端口 | disabled | 不收发BPDU报文, 接收或转发数据 |
非指定端口或根端口 | Blocking 阻塞状态 | 接收但不发送BPDU,不接收或转发数据 |
-- | Listening 侦听状态 | 接收并发送BPDU, 不接收或转发数据 不学习MAC地址 |
-- | Learning 学习状态 | 接收并发送BPDU, 不接收或转发数据 学习MAC地址 |
指定端口或根端口 | Forwarding 转发状态 | 接受并发送BPDU,接收并转发数据 |
]stp timer ?
forward-delay Specify forward delay
hello Specify hello time interval
max-age Specify max age
]stp timer fprward-delay 2000
改根桥 才能active全部变为20秒 , 改其他的只能修改自己的config time
]stp bridge-diameter ?
INTEGER<2-7> Bridge diameter
自动设置延迟, 网络小就2,网络大就加大
RSTP
快速生成树协议
实验之RSTP基础配置 - 陈子硕 - 博客园 (cnblogs.com)
]stp mode rstp
MSTP
多生成树协议
如果只是生成树协议或者快速生成树协议, 在s2是根的时候pc2 ping pc1是走的pc2->s3->s2->s1->pc1
配置了多生成树协议的时候, 在s1 把
]stp region-configuration //进入stp 区域配置
-mst-region]?
active Active region configuration // 激活区域配置
region-name Specify region name // 区域配置命名
instance Spanning tree instance // 配置实例
revision-level Specify revision level // 配置等级
-mst-region]region-name huawei
-mst-region]instance 1 vlan 10
-mst-region]instance 2 vlan 20
-mst-region]revision-level 1
-mst-region]active region-configuration
-mst-region]dis this
#
stp region-configuration
region-name huawei
revision-level 1
instance 1 vlan 10
instance 2 vlan 20
active region-configuration
#
]display stp brief // 查看 stp简要信息
]display stp region-configuration // 查看stp 区域信息
]stp instance 1 root primary // 在被阻塞的交换机给实例提权为主要
]stp instance 1 priority 0 // 优先级为0最高, 也就是提权为主要,跟上面意思一样, 另一种方法
VLAN
创建
vlan id // 创建单个vlan
vlan batch [1id 2id 3id 4 to 10] // 批量创建多个vlan, 可以手动一个一个添加, 也可以直接用to来范围添加
vlan vlan-name 字符 // 需要在vlan视图内自定义name
vlan] name //创建vlan 名字
vlan] description 字符 // 创建vlan描述
查看
display vlan [id] //查看所有vlan 或查看单个vlan
display vlan brief // 查看vlan简要信息
display summary // 查看vlan 总结
display port vlan // 查看端口vlan
Access 端口
// 用于连接终端, 特点是只允许一个VLAN的帧通过
interface] port link-type access // 端口配置为 access口
interface] prot default vlan id // 配置默认vlanid
Trunk
// 用于连接其他交换机的端口,特点是允许多个VLAN通过,并且除了缺省1vlan外,其他vlan都带标签通过
interface] port link-type trunk // 端口配置为trunk 口
interface] port trunk allow-pass vlan [1id 2id 3id 4 to 10 / all ]
//批量添加多个vlan, 可以手动一个一个添加, 也可以直接用to来范围添加 也可以直接全部通过 all
Hybrid
// 既可以用于连接终端,又可以连接其他交换机,路由设备,特点是允许一个或多个VLAN的帧通过, 并且可以选择是带标签还是不带标签
// 基于MAC地址、协议、IP子网的VLAN只对Hybrid端口配置有效
int] port link-type hybrid // 端口配置为hybrid端口
int] port hybrid pvid vlan id // 配置hybrid口的pvid 也就是能通过的vlan
int] port hybrid untagged vlan [1id 2id 3id 4 to 10 / all ] // 配置 不带标签的vlanid
GVRP
中文名为VARP VLAN注册协议,是GARP(Generic Attribute Registration Protocol)通用属性注册协议,用于注册和注销VLAN属性,是的交换机之间能告相互交换vlan配置信息,动态创建和管理vlan,用户只需要对少数交换机进行vlan配置即可动态的传播vlan信息
gvrp //全局配置gvrp 必须全部交换机配置才能使用
int] gvrp //接口开启gvrp
int] gvrp registration [fixed / forbidden / normal(默认就是这个)] // gvrp的模式,具体介绍
路由
直连,静态,默认路由
查看:
display ip routing-table //查看路由表
配置:
ip route-static 网络地址 网络地址掩码 下一跳接收的ip // 配置静态路由
ip route-static 网络地址 网络地址掩码 下一跳接收的ip preference 100 // 配置静态路由优先级
ip route-static 0.0.0.0 0.0.0.0 下一跳接收的ip // 配置默认路由
display ip routing-table protocol // 查看路由协议
状态
bgp Border Gateway Protocol (BGP) routes
direct Direct routes
isis IS-IS routing protocol defined by ISO
ospf Open Shortest Path First (OSPF) routes
rip Routing Information Protocol (RIP) routes
static Static routes
unr User network routes
有两条到达相同目的地址的路由:
1: 优先级别相同,都出现在路由表中,互为备份,负载均衡
2: 优先级别不同,显示优先级别高的(preference小),路由备份
单臂路由
interface g0/0/0.1 // 进入子接口
int.1] oot1q termination vid vlanID // 配置子接口vlan号
int.1] arp broadcast enable // 开启接口arp广播,如果路由器ARP表里边已经有两台主机的IP和MAC地址映射,则路由器可以主动ping通主机。但是如果没有配置arp broadcast enable,路由器不给你转发,两台不同VLAN的主机也就ping不通了
// 都通过一个接口传输信息带宽是个问题
三层交换Vlan间路由
interface vlanif 10 // 进入vlan10接口 前提必须创建vlan10
动态路由
RIP
Routing information protocol 路由信息协议
基于距离矢量算法的路由协议,优先级为100,rip1和rip2
支持水平分割,毒性逆转和触发更新等工作机制防止路由环路
基于UDP传输,端口号520
RIPv1发送协议报文时不携带掩码,路由交换过程中有时会出现错误,不支持认证,只能以广播方式发送协议报文
RIPv2是英中无类别路由协议,协议报文中携带掩码信息,支持VLSM和CIDR
支持以组播方式发送路由更新报文,组播地址为224.0.0.9 减少网络与系统资源消耗
支持对协议报文进行验证,并提供明文验证和md5验证两种,增强安全性
基础配置:
rip [1-65535] // 在指定网段接口上使能RIP 如果不填默认为1
rip] network 要公布的网络地址 // 配置网络地址
rip] version [1/2] // 指定全局rip版本
加密 必须是v2版本:
int] rip authentication-mode // 在接口中配置认证
hmac-sha256 //更安全的,没被破解
md5 MD5 authentication // md5认证,现在被破解了
simple Simple text authentication // 明文, 抓包能抓出来密码
int] rip authentication-mode md5 // 配置md5
nonstandard Nonstandard MD5 authentication packet format (IETF) // 非标准格式
usual Huawei MD5 authentication packet format // 通常使用的
int] rip authentication-mode md5 设置的密码 // 所有发送接收端口都要配置
汇聚:
rip] summary always
//华为路由器会默认开启水平分割,虽然路由器默认开启了汇聚,但还会分割,使用always可以强制不分割
int] undo rip split-horizon
// 既然默认开启,关了水平分割也可以实现汇聚, 这是两种自动方法
int] rip summary-address 计算后的汇聚地址 子网掩码不能写1的个数
// 手动配置汇聚地址
兼容性:
rip version 2 ? <cr>
broadcast RIP version 2 broadcast mode which is compatible with RIP version 1 // 广播
multicast RIP version 2 multicast mode // 多播
// 结论就是配一样的版本,别搞这么复杂
定时器:
display rip 中:
Update time 30sec // 更新时间
AgeA time 180 sec // 老化时间
Garbage-collect 120 sec // 回收站暂存时间
display rip 定义的rip号 datebase // 查看rip数据库
rip] timers rip update-time age-time garbage-collecte time
// 设定rip,更新,老化,回收站暂存时间 ,并且所有路由器都要进行更改才行 , 所以改这玩意干嘛
协议优先级:
rip]preference [1-255] // 见上图
rip] silent-interface 接口 // 配置接口工作在抑制状态
int] undo rip output // 闭嘴
rip] peer ip地址 // 向那个地址单播发送,减少网络拥塞
int] ip address ip地址 sub // 配置从属地址,全部都配到一个网段,解决了不连续子网rip的问题
ripv2] undo summary // 当所有版本都是v2的时候,把自动汇总关了就完了
int] rip split-horizon // 使能RIP水平分割功能
int] rip poison-reverse // 使能RIP毒性逆转功能
// 水平分割就是谁给我发的我不往回发 只进不出
// 毒性逆转就是谁给我发的我在发送给他的时候cost值是16就是不可达,他也就不接收了 给你个垃圾要吗
// 这俩只能用一个, 因为一个能发一个不能发
// 触发更新只能在直连链路断掉后触发,不用配置 不拔主线我就不触发,哎,就是玩
int] rip metricin
int] rip metricout
OSPF
Open Shortest Path First 开放最短路径优先,基于链路状态的自治系统内部路由协议
仅传播对端设备不具备的路由信息,网络收敛迅速,并有效避免了网络资源浪费
工作于IP层之上 协议号为89 组播地址发送协议包
寻找邻居,建立邻接关系, 链路状态信息传递, 计算路由
基础配置:
ospf [1-65535] // 跟rip号一样 ospf号
ospf] area [1-2^32/x.x.x.x] // 区域号 用数字或淀点分十进制
ospf * x.x.x.x] network x.x.x.x 反掩码 // 公布路由表
查看信息:
display ospf interface // 查看 ospf 接口
display ospf peer // 查看邻居
display IP routing-table protocol ospf // 查看路由表中的ospf协议
认证:
区域认证: // 区域密钥都一致
ospf * x.x.x.x] authentication-mode ?
hmac-md5 Use HMAC-MD5 algorithm
keychain Keychain authentication mode // 密钥
md5 Use MD5 algorithm
simple Simple authentication mode // 简单密码 plain 设置的密码 直接看的到,还不如直接回车,但是抓包还是能抓到
// 在边界路由两边不同区域配置不通的验证方式也可以实现互通
链路认证: // 对某个邻居专设置认证和密钥, 两个都设置优先使用链路认证
int] authentication-made ....... // 之后跟区域设置一样
被动接口: // 就像rip的抑制状态
ospf *] silent-interface [接口名 or 全部接口all] // 抑制一个或全部接口
// all的作用可以先全部抑制,在undo单个接口,让单个接口可以发送接收ospf信息
链路聚合
查看:
dispaly eth-trunk 1 // 查看链路聚合1 号
display interface eth-trunk 1 // 查看接口链路聚合1 号
创建:
interface Eth-Trunk [0-63] // 进入链路聚合虚拟接口 接口号0-63
Eth-Trunk*] mode ?
lacp-static Static working mode // 静态链路聚合控制协议
manual Manual working mode // 手动
手动模式(默认模式):
Eth-Trunk*] mode manual load-balance // 配置手动负载均衡
int] Eth-Trunk * // 把接口加入到Eth-Trunk 自定接口号 中
lacp模式:
Eth-Trunk*] mode manual lacp-static // 模式改为静态链路聚合控制协议 如果之前创建过手动manual 需要把接口undo掉
Eth-Trunk*] max active-linknumber [1-8] // 链路最大连接数量
int] Eth-Trunk * // 把接口加入到Eth-Trunk 自定接口号 中
lacp priority [0-65535] // 设置系统优先级,数字越小越高
int] lacp priority [0-65535] // 设置接口优先级,数字越小越高
Eth-Trunk*] lacp preempt enable // 设置抢占模式
DHCP
查看:
display ip pool // 查看地址池
基于接口配置dhcp服务器
dhcp enable // 开启dhcp服务
interface 接口名 // 进入要成为dhcp服务器的接口
int] dhcp select interface // 为接口选择接口类型的dhcp 连这个接口的交换机或者pc就可以获取到
int] dhcp server lease day 8 // 租期为八天 设置租期
int] dhcp server excluded-ip-address 1.1.1.1 1.1.1.10 // 设置排除的ip地址从.1到.10
int] dhcp server dns-list 114.114.114.114 // 可以配置多个,pc只会获取前两个
// 这种子网掩码和网关就自动配置了, 子网掩码跟接口一致,网关就是这个接口
// 配置多个dhcp就得每个dhcp进接口来一遍
基于全局地址池的DHCP
先配好接口地址,也就是网关,全局应该会根据当前接口的地址在地址池中找相应的网关的地址池
dhcp enable
ip pool 起个名 // 进入全局的地址池
pool-*] network 1.1.1.0 mask 24 // 配置地址池
pool-*] gatway-list 1.1.1.1 // 配置网关
pool-*] dns-list 114.114.114.114 // 配置dns
pool-*] lease day 8 // 租期时间
pool-*] excluded-ip-address 1.1.1.1 1.1.1.10 // 排除的ip
int] dhcp select global // 把网关配置为全局地址池的网关
// 配置多个dhcp 从起名在来一遍
DHCP中继
路由之间配置好静态路由或动态路由
配置地址池使用全局或者接口都行
为单个下级路由器接口配置中继
int] dhcp select relay // 中继路由器连接交换机或者pc的接口配置为中继
dhcp realy server-ip 主服务设置的网关ip // 中间有很多个路由器也没事
dhcp组中继
dhcp server group 起个名 // 创建dhcp组
group-*] dhcp-server 1.1.1.1 // 配置dhcp的主服务器
int] dhcp select relay // 中继路由器连接交换机或者pc的接口配置为中继
dhcp realy server-serlect 组名
NAT
PPP
int S接口名] link-protocol ? // 必须是广域网接口才行
atm ATM protocol
fr Select FR as line protocol
hdlc Enable HDLC protocol // 思科默认
ppp Point-to-Point protocol // 华为默认
tdm TDM (Time Division Multiplexer) protocol
PPP 认证:
PAP 认证: // 二次握手 明文
主验证方:
aaa // 进入aaa视图
aaa] local-user admin password cipher ****** // 配置本地账户
aaa] local-user admin service-type ppp // 配置用户服务类型为ppp
int S接口名] ppp authentication-mode pap // 在接口开启ppp的pap认证
被验证方:
int S接口名] ppp pap local-user admin password cipher ****** // 使用主验证方配置号的账号密码登陆
CHAP 认证: // 三次握手 加密
主验证方:
aaa // 进入aaa视图
aaa] local-user admin password cipher ****** // 配置本地账户
aaa] local-user admin service-type ppp // 配置用户服务类型为ppp
int S接口名] ppp authentication-mode chap // 在接口开启ppp的pap认证
被验证方:
int S接口名] ppp chap user admin // 配置用户
int S接口名] ppp chap password cipher ****** // 配置密码
// 跟pap 区别 被验证方分两次配置用户密码, 抓包是加密的
ACL
ACL有执行顺序,按rule 大小
acl ?
INTEGER<1000-1999> Interface access-list(add to current using rules) // 接口访问列表
INTEGER<10000-10999> Apply MPLS ACL // 应用MPLS ACL
INTEGER<2000-2999> Basic access-list (add to current using rules) // 基本的访问控制列表
INTEGER<3000-3999> Advanced access-list(add to current using rules) // 高级访问列表
INTEGER<4000-4999> MAC address access-list(add to current using rules) // MAC地址访问列表
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
acl 2000 // 配置基本控制列表
basic-2000] rule ?
INTEGER<0-4294967294> ID of ACL rule // 编号,不配置也行
deny Specify matched packet deny // 拒绝谁 黑名单
permit Specify matched packet permit // 允许谁 白名单
basic-2000] rule permit ?
fragment-type Specify the fragment type of packet // 指定数据包的片段类型
source Specify source address // 指定源地址
time-range Specify a special time // 指定一个特殊的时间
vpn-instance Specify a VPN-Instance // 指定一个VPN实例
basic-2000] rule permit source 1.1.1.1 0 // 反掩码,0是精确匹配, 1是模糊匹配
user-interface vty 0 4 // 进入用户接口
vty] acl 2000 inbound/outbound //在用户接口进或者出配置acl 2000
acl 3000 // 高级访问控制列表
acl-adv-3000] rule permit ?
<1-255> Protocol number
gre GRE tunneling(47)
icmp Internet Control Message Protocol(1)
igmp Internet Group Management Protocol(2)
ip Any IP protocol
ipinip IP in IP tunneling(4)
ospf OSPF routing protocol(89)
tcp Transmission Control Protocol (6)
udp User Datagram Protocol (17)
acl-adv-3000]rule permit ip ?
destination Specify destination address
dscp Specify dscp
fragment-type Specify the fragment type of packet
precedence Specify precedence
source Specify source address
time-range Specify a special time
tos Specify tos
vpn-instance Specify a VPN-Instance
<cr>
rule permit ip source 1.1.1.1 0 ?
destination Specify destination address
dscp Specify dscp
fragment-type Specify the fragment type of packet
precedence Specify precedence
time-range Specify a special time
tos Specify tos
vpn-instance Specify a VPN-Instance
<cr>
acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 2.2.2.2 0 // 从哪来的地址和去哪里的地址
user-interface vty 0 4 // 进入用户接口
vty] acl 3000 inbound/outbound //在用户接口进或者出配置acl 2000
VRRP
综合组网测试



共有 0 条评论