华为交换机配置acl

交换机配置（三）ACL基本配置

1，二层

ACL

. 组网需求:

通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link

# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活AC

华为交换机配置实例

TELNET远程管理交换机配置

一 组网需求：

1．PC通过telnet登陆交换机并对其进行管理；

2．分别应用帐号+密码方式、仅密码方式以及radius认证方式； 3．只允许192.1.1.0/24网段的地址的PC TELNET访问。 二 组网图：

作为telnet登陆主机的PC与Switch A之间通过局域网互连（也可以直连），PC可以ping通Switch A。 三 配置步骤： 1

H3C S3100-SI S5100系列交换机TELNET配置流程

账号+密码方式登陆

1．配置TELNET登陆的ip地址

system-view [SwitchA]vlan 2 [SwitchA-vlan2]port Ethernet 1/0/1 [SwitchA-vlan2]quit

华为交换机配置命令大全

1.1 产品简介

随着Internet（因特网）的高速发展，人们对通信的需求已逐渐从传统的电话、传真、电报等低速业务向高速的Internet接入、可视电话、视频点播等宽带业务领域延伸，用户对上网速率的需求也越来越高。在这种需求条件下，以太网接入因其成本低、速度高、使用简单而倍受市场的关注。面对宽带网络建设的迅猛发展，华为公司根据不同的客户类型需求，推出了Quidway系列以太网交换机。

Quidway S2008B/Quidway S2016B/Quidway S2026B以太网交换机是华为公司自主开发的三款二层线速以太网交换产品，它除了能提供传统以太网的功能外，还针对楼道级交换机的特点，从软件、硬件及结构造型等方面进行了优化设计，因而特别适合于以太网宽带接入的要求。

Quidway S2008B/Quidway S2016B以太网交换机均为44mm高的盒式设备，可以壁挂安装。S2008B以太网交换机提供8个固定的10/100Base-TX自适应端口，S2016B以太网交换机提供16个固定的10/100Base-TX自适应端口，此外两者都提供1个10/100Base-TX自适应上行端口及1个用于配置的Console口。另外S2

华为交换机基础配置

编制 审核 批准 版本 田伟 陈宁生 日期 日期 日期 发布日期 2016-02-02 2016-01- 2016-01- 2016-01-

华为交换机配置

前言：所谓网络交换机其实就是数据链路层的设备，一般用于LAN-VLAN的连接，网络交换机归于网桥，有些交换机也可以实现第三层交换。路由器用于WAN-WAN之间的连接，可以解决异性网络之间的转发分组，作用于网络层。他们只是从一条线路上接受输入分组，然后向另一条线路转发。这两条线可能属于不同的网络，并采用不同的协议。相比较而言，路由器的功能较交换机要强大，但是速度相对也较慢，价格也较交换机贵，第三层交换机即能有交换机快速转发报文能力，又有路由器良好的控制功能，因此得以广泛应用。

交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机的工作原理：交换机获取到每个端口相连设备的MAC地址，并将地址相应的端口映射起来存放在交换机患卒中的MAC地址表中。当其中一台设备发送出数据包以后，控制电路会受到数据包，处理端口会查找内存中的地址对照表以确定目的的MAC（网卡硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目

华为QuidWay交换机配置命令手册：

1、开始

建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序（如Windows的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100。 以太网交换机上电，终端上显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如）。 键入命令，配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入\2、命令视图

(1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入 (2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view

(3)以太网端口视图(配置以太网端口参数)[Quidway-Ethernet0/1]:在系统视图下键入interface ethernet 0/1

(4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan 1

(5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参数)[Quidway-Vlan-interface1]:在系统视图下

华为交换机DHCP snooping配置教程

DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。

图1 配置DHCP Snooping基本功能组网图 如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。以Switch_1为例，在使能DHCP Snooping功能时需要注意： 使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后，还需要在连接用户的接口（如图中的接口if1、if2和if3）或其所属VLAN（如图中的VLAN 10）使能DHCP Snooping功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN使能DHCP Snooping功能。

请在二层网

华为s5700交换机配置

1.通过串口和交换机的console口相连

2. 在PC上单击“开始> 所有程序> 附件> 通讯> 超级终端”打开超级终端软件，如图4-15所示新建一个连接。

3. 设置连接端口，如图4-16所示。

4. 设置端口通信参数，如果用户配置过用户界面，参数需要保持一致，如果没配置

过，则与设备缺省值保持一致。

图4-17 端口通信参数设置

#添加VLAN

<Quidway> system-view

[Quidway] vlan 10

[Quidway-vlan10] quit

#设定端口模式

<Quidway> system-view

[Quidway] int gigabitethernet 0/0/21

[Quidway-GigabitEthernet0/0/21] port link-type access [Quidway-GigabitEthernet0/0/21]quit

#将端口加入Vlan

<Quidway> system-view

[Quidway] vlan 10

[Quidway-vlan10] port gigabitethernet 0/0/21 [Quidway- vl

与交换机建立连接即进入 quit断开与交换机连接 系统视图 配置系统参数 [Quidway]

在用户视图下键入system-view quit返回用户视图

return返回用户视图

以太网端口视图 配置以太网端口参数 [Quidway-Ethernet0/1]

固定以太网端口视图：在系统视图下键入interface ethernet0/1 quit返回系统视图

return返回用户视图

[Quidway-Ethernet1/1]

扩展百兆以太网端口视图：在系统视图下键入interface ethernet 1/1

VLAN视图 配置VLAN参数 [Quidway-vlan1] 在系统视图下键入vlan 1 quit返回系统视图

return返回用户视图

用户界面视图 配置用户界面参数 [Quidway-ui-aux0]

在系统视图下键入user-interface aux quit返回系统视图

return返回用户视图

2.1.2 设置用户分级保护密码

为了防止未授权用户的非法侵入，S2000B系列以太网交换机将用户分为两个级别：参观级别和监控级别。从串口登录上以太网交换机后就只见进入参观用户，仅能执行简单的查

ARP防攻击配置

下表列出了本章所包含的内容。

如果您需要……请阅读……

了解ARP地址欺骗防攻击的原理和配置ARP地址欺骗防攻击

了解ARP网关冲突防攻击的原理和配置ARP网关冲突防攻击配置

了解ARP报文防攻击的原理和配置ARP报文防攻击配置

了解ARP协议防攻击综合配置举例ARP防攻击配置举例

3.1 ARP地址欺骗防攻击

3.1.1 ARP地址欺骗防攻击简介

ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；

对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

图3-1 ARP地址欺骗攻击示意图

如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A 的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1 / 1

1. 固定MAC地址

1 / 1

对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通

-!

华为s5720-48交换机配置

dis cu

!Software Version V200R010C00SPC600

#

sysname S572048

#

vlan batch 10 100

#

authentication-profile name default_authen_profile

authentication-profile name dot1x_authen_profile

authentication-profile name mac_authen_profile

authentication-profile name portal_authen_profile

authentication-profile name dot1xmac_authen_profile

authentication-profile name multi_authen_profile

#

dhcp enable

#

radius-server template default

#

free-rule-template name default_free_rule

#

portal-access-profile name portal_access_profile

-! #

aaa

aut