华为交换路由配置笔记Word文件下载.docx
《华为交换路由配置笔记Word文件下载.docx》由会员分享,可在线阅读,更多相关《华为交换路由配置笔记Word文件下载.docx(11页珍藏版)》请在冰豆网上搜索。
3.2.2设置S-switch设备时间
请在用户视图下进行下列操作。
操作命令
设置UTC标准时间clockdatetimetime
设置采用夏时制clockdaylight-saving-timetime-zone-nameoneyear
start-timestart-dateend-timeend-dateoffset
设置所在的时区clocktimezone
切换语言模式
切换为中文模式language-modechinese
切换为英文模式language-modeenglish
切换用户级别
[tswitch]sysnameswitchfortest
[switchfortest]superpasswordlevel15simple111
user-interfacevty04
authentication-modepassword
setauthenticationpasswordsimple111
userprivilegelevel15
quit
切换用户级别super[level]
配置Console用户界面属性
配置用户界面的显示属性
背景信息
要配置用户界面的显示属性,需执行以下步骤:
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令user-interface{0|console0},进入用户界面视图。
步骤3执行命令screen-lengthscreen-length,配置终端屏幕的行数;
步骤4执行命令history-commandmax-sizesize,配置历史命令缓冲区大小。
配置用户界面的登录参数
要配置用户界面的登录参数,需执行以下步骤:
步骤3执行命令idle-timeoutminutes[seconds],配置登录用户的超时断连时间。
缺省情况下,登录用户的超时断连时间为10分钟,即如果登录用户10分钟内没有任何
操作,则此终端线路自动断开。
使用idle-timeout00命令可以设置为永不超时断连
配置Password方式验证登录用户
说明
配置Password验证方式,必须设置验证密码,否则不能登录。
步骤3执行命令authentication-modepassword,配置采用Password验证方式。
步骤4执行命令
要配置AAA本地方式验证登录用户,需执行以下步骤:
步骤3执行命令authentication-modeaaa,进入AAA视图。
步骤4执行命令quit,退回到系统视图。
步骤5执行命令aaa,进入AAA视图。
步骤6执行命令local-useruser-namepassword{simple|cipher}password,配置本地用户名及
密码。
步骤7执行命令local-useruser-nameservice-type{ftp|ppp|ssh|telnet|terminal}*,配置用
4-11
此步骤可选。
步骤8执行命令local-useruser-namelevellevel,配置用户的登录级别。
步骤9执行命令authentication-schemeauthentication-scheme-name,创建验证方案,并进入验
证方案视图。
步骤10执行命令authentication-modelocal,配置AAA验证方式为本地。
在
#
aaa
authentication-schemedefault
authorization-schemedefault
accounting-schemedefault
domaindefault
domaindefault_admin
local-useradminpasswordsimpleadmin
local-useradminlevel15
local-useradminftp-directoryflash:
local-useradminservice-typetelnet
变更AAA模式密码
sys
local-useradminpasswordsimple999
#执行命令local-useruser-namepassword{simple|cipher}password,创建本地用户账
号。
local-useradminservice-typeterminal
#执行命令local-useruser-nameservice-type{ftp|ppp|ssh|telnet|terminal}*,配置本地用户的服务类型。
#执行命令local-useruser-namelevellevel,配置本地用户的优先级。
local-useradminstateactive
#执行命令local-useruser-namestate{active|block},配置本地用户的状态。
配置登录验证模式
user-interfacecon0
authentication-modeaaa
#设置验证模式为aaa模式
userprivilegelevel3
setauthenticationpasswordsimple
5.3.2使能FTP服务
步骤1执行system-view命令,进入系统视图。
步骤2执行ftpserverenable命令,使能FTP服务。
步骤4执行命令idle-timeoutminutes[seconds],配置登录用户的超时断连时间。
使用idle-timeout00命令可以设置为永不超时断连。
idle-timeout00
tfpt配置备份
tswitch>
tftp10.24.29.30put
vrpcfg.zipvrpcfg.cfg.zip
Transferfileinbinarymode.
Nowbegintocopyfiletoremotetftpserver,pleasewaitforawhile...|
TFTP:
856bytessentin1second.
Fileuploadedsuccessfully.
S5300EI-V100R003C00SPC301.ccS5300EI-V100R003C00S
PC301.cc
9348204bytessentin84seconds.
配置基本SNMPAgent功能
步骤2执行命令snmp-agent,启动SNMPAgent服务。
步骤3执行命令snmp-agentsys-infoversion{{v1|v2c|v3}*|all},配置SNMP协议的相应
版本。
步骤4执行命令snmp-agentlocal-engineidengineid,配置本地SNMP实体的引擎ID。
步骤5(可选)执行命令snmp-agentsys-infocontactcontact,配置管理员联络方法。
步骤6(可选)执行命令snmp-agentsys-infolocationlocation,配置S-switch位置。
snmp-agent
snmp-agentcommunityreadsgdupc110
snmp-agentsys-infoversionv1v3
snmp-agentusm-userv3adminsgdu
1.2.5配置MIB视图信息
步骤2执行命令snmp-agentmib-view{excluded|included}view-nameoid-tree,配置MIB视
图信息。
检查配置结果
完成上述配置后,请执行下面的命令检查配置结果。
显示SNMP报文统计信息displaysnmp-agentstatistics
显示当前设备的引擎IDdisplaysnmp-agent{local-engineid|remoteengineid
snmp-agentlocal-engineid000007DB7F0000010000037C
snmp-agentcommunityread
sgdupc110
snmp-agentusm-userv3adminsgdupc110
}
3.2.2配置IP欺骗攻击防范功能
在需要配置IP欺骗攻击防范的S-switch上进行如下配置。
步骤2执行命令vlanvlan-id,创建VLAN并进入VLAN视图。
步骤3执行命令quit,退回系统视图。
步骤4执行命令firewallenable,打开攻击防范使能开关。
步骤5执行命令interfacevlanifvlan-id,进入VLANIF接口视图。
步骤6执行命令firewalldefendenable,打开攻击防范使能开关。
步骤7执行命令quit,退回系统视图。
步骤8执行命令firewalldefendip-spoofingenable,使能IP欺骗攻击防范功能。
缺省情况下,IP欺骗攻击防范功能处于关闭状态。
QuidwayS5300系列以太网交换机
配置指南-安全3攻击防范配置
使能IP欺骗攻击防范功能的S-switchy备在受到IP欺骗攻击后,将被攻击信息记录下来
并通过日志输出。
输出日志中可以显示最近30秒内系统所记录的攻击源IP地址、攻击
开始时间、攻击结束时间、攻击报文总数等信息。
其中可以显示最多12个不同的IP地
址,如果显示“...”表示攻击源多于12个。
----结束
3.2.3检查配置结果
完成上述配置后,执行下面的命令检查配置结果。
查看S-switch设备配置的攻击防范信息displayfirewalldefendflag
使用displayfirewalldefendflag命令查看S-switch设备配置的攻击防范信息,显示“ipspoofing”
表示IP欺骗攻击防范功能已经使能。
配置Land攻击防范功能
land攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。
结果通常使存在漏洞的机器崩溃。
步骤8执行命令firewalldefendlandenable,使能Land攻击防范功能。
缺省情况下,Land攻击防范功能处于关闭状态。
3.3.3检查配置结果
使用displayfirewalldefendflag命令查看S-switch设备配置的攻击防范信息,显示
“land”表示Land攻击防范功能已经使能。
displayfirewalldefendflag
在需要配置Land攻击防范的S-switch上进行如下配置。
配置Smurf攻击防范功能
在需要配置Smurf攻击防范的S-switch上进行如下配置。
步骤8执行命令firewalldefendsmurfenable,使能Smurf攻击防范功能。
缺省情况下,Smurf攻击防范功能处于关闭状态。
“smurf”表示Smurf攻击防范功能已经使能。
配置SYNFlood攻击防范功能
在需要配置SYNFlood攻击防范的S-switch上进行如下配置。
步骤5执行命令firewalldefendsyn-floodenable,使能全局SYNFlood攻击防范功能。
缺省情况下,SYNFlood攻击防范功能处于关闭状态。
步骤6执行命令interfacevlanifvlan-id,进入VLANIF接口视图。
步骤7执行命令firewalldefendenable,打开攻击防范使能开关。
步骤8执行命令quit,退回系统视图。
步骤9(可选)执行命令firewalldefendsyn-floodipip-address[max-raterate-number],设置
启用SYNFlood攻击防范功能的IP地址和参数。
3.5.3检查配置结果
“syn-flood”表示SYNFlood防范功能已经使能。
Theattackdefendflagis:
配置ICMPFlood攻击防范功能
在需要配置ICMPFlood攻击防范的S-switch上进行如下配置。
步骤8执行命令firewalldefendicmp-floodenable,打开ICMPFlood攻击防范功能全局开关。
缺省情况下,ICMPFlood攻击防范功能处于关闭状态。
步骤9(可选)执行命令firewalldefendicmp-floodipip-address[max-raterate-number],设置
对指定IP设备的ICMPFlood攻击防范功能参数。
3.6.3检查配置结果
“icmp-flood”表示ICMPFlood攻击防范功能已经使能。
配置PingofDeath攻击防范功能
在需要配置PingofDeath攻击防范的S-switch上进行如下配置。
步骤8执行命令firewalldefendping-of-deathenable,使能PingofDeath攻击防范功能。
缺省情况下,PingofDeath攻击防范功能处于关闭状态。
3.7.3检查配置结果
配置TearDrop攻击防范功能
在需要配置TearDrop攻击防范的S-switch上进行如下配置。
步骤3执行命令quit,退回系