[水电工程]网络维护知识 [复制链接]

华为3026交换机流量监控配置单 "8R &c}  
注明：此交换机为华为3026系列交换机，做流量监控的必须配置要求 "8R &c}  
"8R &c}  
<Quidway>display current-configuration 【显示交换机配置信息】 "8R &c}  
# "8R &c}  
sysname Quidway "8R &c}  
# "8R &c}  
radius scheme system "8R &c}  
server-type huawei "8R &c}  
primary authentication 127.0.0.1 1645 "8R &c}  
primary accounting 127.0.0.1 1646 "8R &c}  
user-name-format without-domain "8R &c}  
domain system "8R &c}  
radius-scheme system "8R &c}  
access-limit disable "8R &c}  
state active "8R &c}  
vlan-assignment-mode integer "8R &c}  
idle-cut disable "8R &c}  
self-service-url disable "8R &c}  
messenger time disable "8R &c}  
domain default enable system "8R &c}  
# "8R &c}  
local-server nas-ip 127.0.0.1 key huawei "8R &c}  
# "8R &c}  
temperature-limit 0 42 65 "8R &c}  
# "8R &c}  
am enable 【这里要开启】 "8R &c}  
# "8R &c}  
vlan 1 "8R &c}  
# "8R &c}  
interface Vlan-interface1 【设置交换机IP】 "8R &c}  
ip address 交换机VLAN1IP 掩码地址 "8R &c}  
# "8R &c}  
interface Aux0/0 "8R &c}  
# "8R &c}  
interface Ethernet0/1 【这里设置1口为出入口】 "8R &c}  
# "8R &c}  
interface Ethernet0/2 【以下2－24口彼此都做隔离】 "8R &c}  
am isolate Ethernet0/3 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/3 "8R &c}  
am isolate Ethernet0/2 Ethernet0/4 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/4 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/3 Ethernet0/5 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/5 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/4 Ethernet0/6 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/6 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/5 Ethernet0/7 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/7 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/6 Ethernet0/8 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/8 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/7 Ethernet0/9 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/9 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/8 Ethernet0/10 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/10 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/9 Ethernet0/11 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/11 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/10 Ethernet0/12 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/12 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/11 Ethernet0/13 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/13 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/12 Ethernet0/14 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/14 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/13 Ethernet0/15 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/15 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/14 Ethernet0/16 to Ethernet0/24 "8R &c}  
# "8R &c}  
interface Ethernet0/16 "8R &c}  
am isolate Ethernet0/2 to Ethernet0/15 Ethernet0/17 to Ethernet0/24 "8R &c}  
# tSQ>P -O  
interface Ethernet0/17 tSQ>P -O  
am isolate Ethernet0/2 to Ethernet0/16 Ethernet0/18 to Ethernet0/24 tSQ>P -O  
# tSQ>P -O  
interface Ethernet0/18 tSQ>P -O  
am isolate Ethernet0/2 to Ethernet0/17 Ethernet0/19 to Ethernet0/24 tSQ>P -O  
# tSQ>P -O  
interface Ethernet0/19 tSQ>P -O  
am isolate Ethernet0/2 to Ethernet0/18 Ethernet0/20 to Ethernet0/24 tSQ>P -O  
# tSQ>P -O  
interface Ethernet0/20 tSQ>P -O  
am isolate Ethernet0/2 to Ethernet0/19 Ethernet0/21 to Ethernet0/24 tSQ>P -O  
# tSQ>P -O  
interface Ethernet0/21 tSQ>P -O  
am isolate Ethernet0/2 to Ethernet0/20 Ethernet0/22 to Ethernet0/24 tSQ>P -O  
# tSQ>P -O  
interface Ethernet0/22 tSQ>P -O  
am isolate Ethernet0/2 to Ethernet0/21 Ethernet0/23 to Ethernet0/24 tSQ>P -O  
# tSQ>P -O  
interface Ethernet0/23 tSQ>P -O  
am isolate Ethernet0/2 to Ethernet0/22 Ethernet0/24 tSQ>P -O  
# tSQ>P -O  
interface Ethernet0/24 tSQ>P -O  
am isolate Ethernet0/2 to Ethernet0/23 tSQ>P -O  
# tSQ>P -O  
interface NULL0 tSQ>P -O  
# 【设置交换机网络关】 tSQ>P -O  
ip route-static 0.0.0.0 0.0.0.0 网关IP preference 60 tSQ>P -O  
# 【开启SNMP协议】 tSQ>P -O  
snmp-agent tSQ>P -O  
snmp-agent local-engineid 800007DB000FE20183BF6877 tSQ>P -O  
snmp-agent community write private tSQ>P -O  
snmp-agent community read olylinux 【设置public信息,可随意名称】 tSQ>P -O  
snmp-agent sys-info contact xxxx@126.com tSQ>P -O  
snmp-agent sys-info location BeiJing China tSQ>P -O  
snmp-agent sys-info version all tSQ>P -O  
snmp-agent trap enable standard tSQ>P -O  
snmp-agent trap enable configuration tSQ>P -O  
# tSQ>P -O  
user-interface aux 0 tSQ>P -O  
user-interface vty 0 4 【设置远程登陆密码】 tSQ>P -O  
user privilege level 3 tSQ>P -O  
set authentication password simple 远程登陆密码 tSQ>P -O  
# tSQ>P -O  
return tSQ>P -O  
tSQ>P -O  
如何删除不用的规则 tSQ>P -O  
1.删除交换机VLAN1IP tSQ>P -O  
interface Vlan-interface1 【先进入】

请参考如下配置示例（如无特别说明，5200使用版本为R002B03及其以上版本，5200EF使用版本为R006B02及其以上版本）： tSQ>P -O  
　　 tSQ>P -O  
　　MA5200> enable tSQ>P -O  
　　 tSQ>P -O  
　　MA5200# configure　 terminal tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config)# interface　 ethernet　 12/0　//假设上行口为12/0 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-if-ethernet-12/0)# ip　 address　 10.1.21.202　 255.255.0.0 tSQ>P -O  
　　 tSQ>P -O  
　　//此命令执行完回车后会出现[secondary]的选项，如果没有使用MA5200的NAT功能不用输入任何值直接回车即可。 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-if-ethernet-12/0)#exit tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config)# interface　 virtual-template　 1　//设置虚模板1接口地址 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-if-virtual-template-1)#ip　 address　 10.10.1.1　 255.255.0.0 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-if-virtual-template-1)#dhcp　 server　 ip　 pc 127.0.0.1 tSQ>P -O  
　　 tSQ>P -O  
　　//设置使用5200内置DHCP-SERVER。如果该虚模板下所有用户都为VLAN静态用户，则可以不进行DHCP-SERVER的相关配置。 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-if-virtual-template-1)#bind vlan 3 1 25 tSQ>P -O  
　　 tSQ>P -O  
　　//将3槽VLAN　1~25绑定到此虚模板。如果是5200EF，则没有槽位号。 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-if-virtual-template-1)#exit tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config)#vlan port 2 1 200 authpolicy bind　vlan disable tSQ>P -O  
　　 tSQ>P -O  
　　//配置2槽起始VLAN ID为1的200个连续VLAN端口的认证策略为bind，密码为vlan。 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config)#ip local pool huawei　//建立一个地址池”huawei” tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-ip-pool-huawei)#router-ip 10.10.110.1　255.255.0.0 tSQ>P -O  
　　 tSQ>P -O  
　　//配置地址池的网关，必须跟相应的虚模板的地址相同。 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-ip-pool-huawei)#dns primary-ip 126.1.1.1　//配置主备DNS tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-ip-pool-huawei)#dns secondary-ip 128.1.1.1 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-ip-pool-huawei)#section　0 10.10.110.2 10.10.110.100 tSQ>P -O  
　　 tSQ>P -O  
　　//配置地址池中的地址 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-ip-pool-huawei)#exit tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config)#aaa tSQ>P -O  
　　 tSQ>P -O  
　　//VLAN用户建议使用默认的认证计费方案，即本地认证计费 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-aaa)#domain vlan　//VLAN绑定用户必须使用”vlan”域 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-aaa-vlan)#set state active //激活该域 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-aaa-vlan)#exit tSQ>P -O  
　　 tSQ>P -O  
　　//添加并激活VLAN用户的账号，注意此处口令与vlan port中的必须相同 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-aaa)# vlan-batch local user 2 1 200 vlan tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config-aaa)# vlan-batch set local-user state active 2 1 200 tSQ>P -O  
　　 tSQ>P -O  
　　//如果是VLAN静态用户，则还需要进行如下的设置 tSQ>P -O  
　　 tSQ>P -O  
　　MA5200(config)# vlan static user pc 2 1 200 10.10.110.200 tSQ>P -O  
　　 tSQ>P -O  
　　//配置VLAN静态用户时，必须绑定到用户的主机IP地址。同时分配给VLAN静态用户的IP地址必须和对应的虚模板的IP地址在同一网段，如果这些地址已包含在相应的DHCP服务器的地址池中，必须从DHCP 服务器地址池中排除，以免DHCP 服务器再次动态分配这些IP地址。 tSQ>P -O  
　　 tSQ>P -O  
　　//此配置示例只是一种最简单的设置，实际开局时可能采用不同的认证计费方案，使用radius认证计费，限制用户的流量带宽，限制用户接入数等等，请参考support.huawei.com网站上的相关配置指导

所用命令为：ip address，如要配置防火墙上的内部网接口IP地址为：192.168.1.0 255.255.255.0；外部网接口IP地址为：220.154.20.0 255.255.255.0。 c(W
s3  
c(W
s3  
配置方法如下： c(W
s3  
c(W
s3  
c(W
s3  

此命令须在端口用户模式下配置，进入端口用户模式的命令为：interface ethernet（），括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号，是1~199之间的一个数值（包括标准访问规则和扩展访问规则两类）；in 表示规则应用于过滤从接口接收到的报文；而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。 c(W
s3  
c(W
s3  
c(W
s3