交换机设备常用&不常用指令

置顶 PanJWei

已于 2024-01-31 09:40:57 修改

阅读量1w

点赞数 22

分类专栏： hcia hcip hcie 文章标签：服务器

于 2020-09-07 12:08:12 首次发布

本文链接：https://blog.csdn.net/PanJWei/article/details/107166961

版权

hcie 同时被 3 个专栏收录

3 篇文章 0 订阅

订阅专栏

hcia

2 篇文章 3 订阅

订阅专栏

hcip

2 篇文章 0 订阅

订阅专栏

Windows指令

ipconfig -all （查看设备MAC地址）

华为eNSP指令

完全帮助 shift+？
sysname （修改名字）
tracert （查看路由路径）
system-view （进入系统视图）
interface Ethernet 0/0/0 （进入接口视图）
ip address IP地址子网掩码（配置接口地址）
display this （查看当前配置）
ip route-static[目的网段][子网掩码][下一条地址] （设置路由表）
ip route-static[目的网段][子网掩码][下一条地址] preference 100 （设置该路由的优先级）
teacert 192.168.1.0 （查看ping到这个接口的跳数）
display ip routing-table （查看路由表）
display current-configuration （查看当前设备的配置文件）
display ip interface brief （查看已创建接口）
quit （返回上一视图）
undo + 指令（删除这条指令）
shutdown （断开，关闭）
display history-command （查看历史指令）
display cu （查看对路由进行的操作）
undo info-center enable （关闭警告信息）
reset saved-configuration （初始化配置）
reboot （重启）
display ip routing-table protocol static （查看被隐藏的静态路由）
shutdown (进入接口后使用关闭该接口-用undo开启)
dis port vlan （查看端口的vlan状态）
dis isis peer (查看isis邻居关系)
display lldp neighbor brief （显示链路层发现协议邻居状态信息，lldp默认不开启，能看到对端的几号接口）
display device manufacture-info （查看序列号）
display Version （查看版本）
dis port vlan （查看端口的vlan）

RIP配置

rip （启动rip进程）
version 2 （设置 RIP进程的版本号）
network 192.168.1.0 （宣告路由网段注意！！！这里是根据ABC类也就是 10.0.0.0）
undo summary （缺省情况下，路由书聚合的，如果想要汇聚手动配置）
no auto-summary （关闭自动汇总）

OSPF配置

ospf cost 20 （对一个接口设置开销）默认开销：带宽参考值/带宽
bandwidth-reference 10000 （设置带宽参考值）
ospf router-id 1.1.1.1 (对路由器进行ospf命名）
area 0 （进入骨干区）
network 192.168.1.0 0.0.0.255 (宣告网段后面的是反掩码)
resrt ospf process （手动结束ospf进程）
ospf authentication-mode md5 1 huawei （OSPF认证）
stub （进入stub模式不泛洪4类5类LSA）
stub no-summary （进入totally stub模式不泛洪3类4类5类LSA）
vlink-peer 2.2.2.2 md5 1 cipher huawei (设置成虚拟链路添加一个md5认证)
{
Smart-discover 使得虚连接的邻居更快达到邻接关系
retransmit 值设置的太小，否则将会引起不必要的重传。网络速度相对较慢的时候应把该值设的更大一些
trans-delay 值时必须考虑接口的发送延迟。
authentication-mode 命令来确定使用的验证类型是 MD5 密文验证、简单验证或是无验证模式。
如果没有指定验证口令的类型为 plain 或 cipher，对于简单验证模式默认是 plain 类型；对于 md5/hmac-md5 验证模式默认是 cipher 类型。
}

DHCP

接口地址池
dhcp enable (开启DHCP)
// 进入接口
dhcp select interface （使用接口地址池形式）
dhcp server dns-list 10.0.1.2 (域名解析服务器)
dhcp excluded-address 10.0.1.2 (保留地址不会被分配出去可以是保留地址段)
dhcp serverlease day 3 （租期3天）

全局地址池
// 在地址池配置
ip pool poolname (创建地址池+名称)
network 1.1.1.0 mask 24 (添加网段和子网掩码信息)
gateway-list 1.1.1.1 (网关信息)
dns-list 192.168.1.2 （设置dns 在分配到的主机上会显示）
dhcp select global （在接口上使用配置全局地址池）
lease day 3 hour 0 minute 0 （设置ip回收时间）
ipconfig /release (释放IP)
ipconfig /renew （重新获取IP）

中继器与PC直接相连的路由器或者交换机
dhcp server group dhcp （设置DHCP服务器组名）
dhcp-server 10.1.1.1 （设定DHCP服务器地址）
dhcp enable
// 进入接口
dhcp select relay (启动Relay功能)
dhcp relay server-select dhcp （设定Relay要使用的服务器组）
端口下使用命令 dhcp snooping check dhcp-chaddr enable （实施源MAC地址与CHADDR的一致性检查）
端口下使用命令 dhcp snooping trusted （对服务器接口为trusted端口对主机则是Untrusted 会丢弃掉untrusted的响应报文）
交换机的用户视图 arp dhcp-snooping-detect enable （开启防止中间人）
交换机的端口视图下或VLAN视图下执行配置命令 ip source check user-bind enable （源保护）

Eth-Trunk 链路聚合

interface Eth-Trunk 1 （声明链路聚合）
undo portswitch (将二层转换为三层链路可以不加)
trunkport Ethernet 0/0/1 to 0/0/3 (将0/0/1到0/0/3之间的所有接口都变为Eth-Trunk接口)
mode lacp-static （设置为lacp）
mode manual load-balance （设置为手工负载均分）
lacp preempt enable （开启lacp抢占）
lacp preempt delay 15 （lacp 配置当前Eth-Trunk接口的LACP抢占等待时间）
max active-linknumber 2 （设置活动链路最大数）
load-balance src-dst-ip （逐包逐流）

STP 生成树协议

MSTP创建规则
stp enable （开启stp 默认开启但是有些老机器没有开启）
stp mode mstp (修改stp模式-默认mstp 还有stp rstp)
stp region-configuration (创建stp区域设置)
region-name region1 （设置区域名字）
instance 1 vlan 10 （设置规则1允许通过vlan10）
instance 2 vlan 20 to 30 （设置规则2允许通过20到30的所有vlan）
active region-configuration （激活指令否则设置不生效）
// 在要设置为根桥的交换机上配置
stp instance 1 root primary (设置为根桥)
stp instance 2 root secondary (设置为备用根桥)
// 进入接口
stp instance 1 cost 20000 (将非连接根桥的端口设置为阻塞端口)

stp edged-port enable （开启边缘保护）

dis stp brief (查看stp树当树的状态为mast的时候则是接口有问题)
stp priority 4096 （修改交换机的优先级）
stp pathcost-standard dot1t （配置路径开销有dot1d dot1t legacy（华为设置专有））
stp root-protection （在接口上写 - 根保护）

stp bqdu-protection （bpdu保护）
// 进边缘接口
stp edged-port enable （不参与生成树计算）

stp tc-protection threshold 10 （开启tc保护设备在指定时间处理拓扑变化报文的最大值为10 缺省为1）
stp tc-protection interval 5 （开启tc保护设备在5秒内处理指定的数量的拓扑变化缺省为Hello Time）

BPDU保护
// 在根桥交换机上
stp enable （全局开启stp）
stp mode rstp （配置STP模式为RSTP）
stp root primary （配置SWA为根桥）
// 在边缘交换机上
stp enable （全局开启stp）
stp mode rstp （配置STP模式为RSTP）
stp bpdu-protection （全局开启BPDU防护，配合边缘端口一起使用）
stp edged-port enable （将端口设置为边缘端口）

VLAN

vlan batch 10 20 30 （创建vlan端口10、20、30）
// 在接口上
port link-type trunk （配置Trunk端口交换机与交换机之间的接口）
port link-type access （配置Access端口交换机与主机之间的接口）
prot default valn 20 （将这条接口所对应的主机设置成vlan id 为 20）
port trunk allow-pass vlan 2 3 （设置列表中允许发送的VLAN ID）
port trunk allow-pass vlan all （设置列表中允许发送所有的VLAN）
port-isolate enable group 1 （设置隔离组同一隔离组不能互相访问）

单臂路由

由于vlan id不同直接不能直接通讯又不想连接多条Trunk线于是连接虚拟接口

创建子接口 int 0/0/0.1
在子接口中配置ip信息 ip add 192.168.1.254 24
让子接口解除传来的VLIN帧为10的tag dot1q termination vid 10
打开ARP广播功能 arp broadcast enable
link-protocol hdlc （配置成HDLC模式）

FTP配置

ftp server enable （在路由器上开启ftp服务）
local-user huawei （注册账户）
service-type ftp （设置类型为ftp）
service-type ftp ftp-directory flash:/ （设置路由器定位的位置）
password simple 123 （设置登录密码）

telnet协议

配置aaa
local-user huawei service-type telnet （设置类型为telnet）
local-user huawei password cipher 密码（设置密码）
local-user huawei privilege level 3 （设置权限）
退出aaa
user-interface vty 0 4 （设置最大进入人数）
authentication-mode aaa （设置验证为aaa）
登录
telnet 10.1.23.3 通过telnet后加上telnet服务器的ip地址
输入密码

PAP认证明文显示

认证方：

aaa (进入aaa认证)
local-user huawei password cipher 123 （设置账户和密码）
进入接口
local-user huawei service-type ppp （设置ppp）
ppp authentication-mode pap （设置为pap模式）
ip add 10.0.0.1 30

被认证方：

进入接口
link-protocol ppp （设置ppp）
ppp pap local-user huawei password cipher 123 (绑定pap模式账户和密码)
ip add 10.0.0.1 30

chap认证加密显示

认证方：

aaa (进入aaa认证)
local-user huawei password cipher 123 （设置账户和密码）
local-user huawei service-type ppp （设置ppp）
进入接口
ppp authentication-mode chap （设置为chap模式）
ip add 10.0.0.1 30

被认证方：

进入接口
ppp chap user huawei (设置绑定账号)
ppp chap password cipher 123 （设置绑定密码）

PPPoE配置

被认证方
interface Dialer1 （进入Dialer接口）
link-protocol ppp （设置为ppp）
ppp pap local-user HuaweiR1 password cipher R1
ip address ppp-negotiate
dialer user HuaweiR1 （配置对端的用户名要和服务器一样）
dialer bundle 1 （将dialer口和物理口绑定在一起）
dialer-group 1 （将接口置于拨号的访问组）
// 进入接口
pppoe-client dial-bundle-number 1 （进行绑定）
dialer-rule （进入拨号规则）
dialer-rule 1 ip permit （允许规则1配置）
认证方
① ip pool POOL_1 （创建地址池）
gateway-list 1.1.1.1
network 1.1.1.0 mask 255.255.255.0
② aaa （aaa创建用户）
local-user HuaweiR1 password cipher R1
③ interface Virtual-Template0 （创建虚拟模板）
ppp authentication-mode pap （规定认证模式）
remote address pool POOL_1 （规定地址池）
ip address 1.1.1.1 255.255.255.0 （配上ip地址要和地址池的网关保持一致）
④ // 进接口 pppoe-server bind Virtual-Template 0（在物理接口中调用虚拟模板）

配置静态NAT

nat static global 202.10.10.1 inside 192.168.1.1 (前一个是转换的公网地址后一个是私网地址)

配置动态NAT

nat address-group 1 200.10.10.1 200.10.10.200 (配置可分配的NAT公网地址地址池)
acl 2000 （设置匹配兴趣流）
rule 5 permit source 192.168.1.0 0.0.0.255 （设置规则5 和可以为NAT的准确匹配比如0.0.255.0 只能192.168.2.0才能过）
// 进入接口
nat outbound 2000 address-group 1 no-pat （不基于端口）

NATP

nat address-group 1 200.10.10.1 200.10.10.200 (配置可分配的NAT公网地址地址池)
acl 2002
rule permit source 192.168.1.4 0
// 进入接口
nat outbound 2002 address-group

Easy IP

acl 2000 （设置匹配兴趣流）
rule 5 permit source 192.168.1.0 0.0.0.255 （设置规则5 和可以为NAT的网段）
// 进入接口
nat outbound 2000 （满足2000的就会进行转换）

ACL 访问控制列表

acl 3000
rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21
(设置规则判断从192来到172的21号端口源网段通配符目的网段通配符)
rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0
(设置规则判断从192来到172的所有端口)
rule 99 permit ip （设置最多99条规则）

ip-prefix 前缀列表（对路由的匹配和过滤）

ip ip-prefix local index 10 permit 200.1.1.0 24 greater-equal 32 less-equal 24 (建立 ip-prefix规则名字为local 第10条允许 ip为200.1.1.1 子网掩码在 24-32 长度内的)

router-policy （路由策略）

route-policy local permit node 10 (建立路由策略名字为local 允许通过规则第10条)
if-match ip-prefix local （如果通过）
apply local-preference 200

traffic-filter inbound acl 3000 （在接口上使用流量过滤 inbound入流量 outbound 出流量）
filter-policy 2000 import direct （在接口上使用路由策略 import引入 export 导出设置为直连类型）
// 要进到接口开启策略

policy-router （策略路由）

//建立acl 3000
traffic classifier caiwu （进入流量分类caiwu 设置规则为acl 3000）
if-match acl 3000
traffic behavior caiwu （进入执行动作caiwu 设置下一条地址）
redirect ip-nexthop 12.1.1.2
traffic policy caiwu （进入策略将流量分类和执行动作合并）
classifier caiwu behavior caiwu
//进入接口
traffic-policy caiwu inbound （使用该策略设置在出接口）

流量整形

acl number 3000
rule 5 permit icmp source 1.1.1.1 0 destination 3.3.3.3 0
traffic classifier icmp
if-match acl 3000
traffic behavior icmp
gts cir 8 cbs 1500 queue-length 1 固定带宽8k
statistic enable 开启统计信息
traffic policy icmp
classifier icmp behavior icmp
在出接口开启策略

IPSec

display ipsec proposal （检验配置）
ipsec prolicy tke 10 manual （创建名为tke的IPSec框架没有ikey 就需要设置密码）
security acl 3001 （符合acl规则流量才会传输）
proposal tranl （使用安全提议）
sa spi outbound esp 123456 （定义出口密码）
sa spi inbound esp 123456 （定义接入密码）
tunnal remote 20.1.1.2 (定义出口)
tunnal local 20.1.1.2 (定义入口)
sa string-key outbound esp simple huawei （定义string-key 出口密码）
sa string-key outbound esp simple huawei （定义string-key 接入密码）
//进入接口
ipsec policy tke （在接口上使用IPSec框架）

ISIS

isis 100 （开启isis进程设置进程号100）
network-entity 49.0001.0000.0000.0001.00 （配置NSAP地址）
is-level level-1 （设置等级为1级）
// 进入接口
isis enable 100 （为该接口开启isis ）
import-router direct （引入直连）

BGP

bgp 100 （进入as为100的bgp）
router-id 1.1.1.1 （配置router-id）
peer 192.168.4.4 as-number 200 (连接网段并标识as 之后会进行tcp连接)
peer 192.168.2.2 connect-interface LoopBack0 (当在同一as内并非直连的时候需要环回接口loopBack0进行连接如果是在ospf内需要为192.168.4.4宣告网段)
peer 10.1.1.1 next-hop-local (非同一区域内使用直连该指令效果为前往不同区域的下一条为直连的接口，下一跳指向本地)
peer 10.1.1.1 next-hop-invariable （下一跳不改变）
peer 3.3.3.3 ebgp-max-hop (修改最大ttl的跳数)
network 10.0.34.0 24 （宣告网段这里用子网掩码）
preference 255 （设置优先级）
peer 12.1.1.1 perferred-value value （配置协议首选值）
defaut local-preference 100 （配置本机的缺省Local_Pref属性值，默认100）
bestroute igp-metric-ignore （BGP忽略IGP下一跳的度量值）

创建对等体组
group 1 [ external | internal ]
peer 12.1.1.2 group 1 （加入对等体组）

静态路由聚合
ip route-static 10.1.8.0 255.255.252.0 NULL 0 （先创建静态路由）
network 10.1.8.0 mask 255.255.252.0 （再在bgp宣告网段）
import-router protocol （引入路由）

路由自动聚合
summary automatic

路由手工聚合
aggregate 10.1.8.0 255.255.252.0 detail-suppressed （detail-suppressed 抑制明细路由信息仅通告聚合路由给其他BGP邻居）

配置Keychain
peer 12.1.1.2 keychain 1

配置MD5
peer 12.1.1.2 password cipher Huawei

配置BGP GTSM功能
peer 12.1.1.2 valid-ttl-hops 254 （缺省情况下，BGP对等体（组）上未配置GTSM功能。）
gtsm default-action { drop | pass} （配置缺省动作，未匹配GTSM策略的报文可以通过过滤。）

配置反射器
peer { group-name | ipv4-address | ipv6-address } reflect-client （配置路由反射器及其客户，为了防止IBGP水平分割的问题 IBGP不传IBGP）
refelctor cluster-id 1.1.1.1 （配置路由反射器的集群ID）
undo reflect between-clients （禁止客户机之间的路由反射）
routing-table rib-noly [ route-policy route-policy-name ] （禁止BGP将优选的路由下发到IP路由表）

配置联盟
confederation id { as-number-plain | as-number-dot } （配置联盟ID）
confederation peer-as { as-number-plain | as-number-dot } &<1-32> （指定属于同一个联盟的子AS号）
confederation nonstandard （配置联盟的兼容性）

IGMP

dis igmp group （查询igmp表）
multicast routing-enable （开启广播协议）

// 进接口
igmp enable （接口开启igmp）
igmp version 2 （设置接口的igmp版本）

// 开启igmp-snooping 在交换机上
multicast routing-enable （开启广播协议）
igmp-snooping enable （开启snooping）
vlan 1 （进入valn）
igmp-snooping enable （开启snooping）

// 配置PIM-DM
multicast routing-enable
// 进入接口（每个接口都要）
pim dm （设置为PIM-SM模式）

// 配置PIM-SM
multicast routing-enable （开启广播协议）
// 进入接口（每个接口都要）
pim sm （设置为PIM-SM模式）
pim （进入pim）
static-rp 4.4.4.4 （宣告RP）

MUX-VLAN （通过VLAN进行网络资源控制）

配置好vlan后在全部路由器上声明以下规则
valn 40 （进入principal所在的vlan）
mux-vlan （设置为主principal）
subordinate separate 30 （设置为separate 在相同组不能互通但是可以和principal互通）
subordinate group 10 20 （设置为group 默认可以和相同组互通可以和principal互通）
// 进接口
port mux-vlan enable （在接口上开启mux-valn）

// 进接口
port-security enable （开启网络安全保护）
port-security mac-address sticky （使能接口Sticky MAC功能）
port-security max-mac-num 10 （配置接口Sticky MAC学习限制数量为10）
port-security protect-action { protect | restrict | shutdown } （设置安全保护类型）
port-security mac-address sticky 5489-983F-24E5 vlan 10 （手动添加一条安全 mac地址和vlan）

MPLS

mpls lsr-id 2.2.2.2 (设置mpls的id)
mpls （开启mpls）
mpls ldp （开启自动mpls）
// 进入接口
mpls （开启mpls）
mpls ldp （开启自动mpls）

MPLS 私网连接私网（通过公网传递）

ip vp·n-instance vp·n1 创建vp·n1规则
route-distinguisher 3:3 创建rd id 唯一
vp·n-target 3:12 import-extcommunity 设置入接口的tag
vp·n-target 12:3 export-extcommunity 设置出接口的tag
// 进入接口
ip binding vp·n-instance vp·n1 在接口设置vp·n1 配置后ip需要重新配

// 进入bgp
ipv4-family vp·n-instance vp·n1 进入MP-BGP的vp·n（创建实例）
peer 10.13.0.1 as-number 100 宣告vp·n的下一条
ipv4-family vp·nv4 unicast 进入MP-BGP 的ibgp为了跳过p路由器
peer 5.5.5.5 enable 开启ibgp的传输

peer 7.7.7.7 lable-router-capability （配置交换标签IPv4路由能力）

// 在mpls视图下
lsp-trigger bgp-lable-router （用于OptionC 触发建立将BGP标签转换为Tunnel标签）

undo policy vp·n-target （用于忽略RT值）

VRRP （虚拟路由器冗余协议）

// 在与内网相连的接口
vrrp vrid 1 virtual-ip 192.168.1.254 （配置vrid 1 的虚拟ip地址）
vrrp vrid 1 priority 105 （修改优先级）
vrrp vrid 1 preempt-mode timer delay 1 （修改抢占的时延）
vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 20 （监视上行链路的链路，如果故障，优先级值减掉20）
vrrp vrid 2 virtual-ip 192.168.1.253 （创建第二个vrrp组，实现负载分担）

防火墙

firewall zone trust （进入区域 trust信任区域85 untrust不信任区域5 local设备本身100 DMZ定义内网服务器50）
add int g0/0/1 （将接口添加该区域）

security-policy （进入防火墙安全策略）
rule name trust （设置规则名称）
source-zone trust （设置源为trust）
destination-zone untrust （设置目的为untrust）
source-address 10.1.1.0 mask 255.255.255.0 （设置可进入的网段）
action permit （允许动作）

BFD (双向转发检测)

bfd (开启全局bfd)
bfd 1 bind peer-ip 10.0.47.4 source-ip 10.0.47.7 auto （设置序列号为1的bfd目的接口源接口）
commit （开启bfd）
// 进到协议追踪bfd
// 进到对端创建bfd

交换机安全mac功能

// 进接口
port-security enable （使能端口安全功能从该端口学到的mac地址会加入白名单）
port-security protect-action shutdown （当恶意mac地址进入将关闭接口 Restrict 既会丢弃也会报警）
port-security max-mac-num 5 （限制只能学习5个mac地址）
port-security aging-time 100 （设置老化时间）
port-security mac-address sticky （开启粘性mac）

MAC地址防漂移配置

undo mac-learing priority 3 allow-flapping （不允许相同优先级接口MAC地址漂移）
mac-address flapping detection （配置全局MAC地址漂移检测）

vlan 2 （进入vlan 2）
loop-detect eth-loop 可以指定MAC地址也可以不加 block-time 100 retry-times 3 （基于vlan配置MAC漂移检测）

// 进接口
mac-learing priority 3 （设置学习MAC地址的优先级默认为0 最大为3）

堆叠

堆叠卡连接方式
stank slot 0 priority 200 （将端口id 为0 的优先级改为200 缺省为100）
stank slot 0 renumber 1 （将槽位号进行修改比如把 0/0/1 改为 1/0/1 槽位号不能重复）
业务口连接方式
int stack-port 0/1 （创建逻辑堆叠端口只能创建2个 0/1 和 0/2）
port int g0/0/1 enable （将物理接口连入逻辑接口）

集群

通过集群卡进行连接
set css mode css-card
set css id 1 （设置集群id）
set css priority 100 （设置优先级）
css enable （使能交换机集群功能）
通过业务口进行集群
set css mode lpu
set css id 1 （设置集群id）
set css priority 100 （设置优先级）
int css-port 1 （进入逻辑接口视图）
port int xg1/0/1 xg1/0/2 enable （将物理端口加入逻辑接口）
css enable （使能交换机集群功能）

MLD （IPv6组播协议）

multicast ipv6 routing-enable （开启交换机IPv6的组播功能）
// 进与主机交互的接口
mld enable （开启MLD）
mld version 2 （默认版本为2）
// 在系统视图
mld ssm-mapping enable （让不适用版本2的可以适应版本2）

配置ssm-mapping
mld （进入视图）
ssm-mapping ff35:1 128 2000:1 （指定进行映射的组播组的IPv6地址和掩码指定组播源的IPv6地址）

LLDP （链路层发现协议）

lldp global enable （开启lldp协议）
display lldp neighbor brief （可以查看对端的端口和设备名称）

华为交换机Console密码重置

password-recovery enable （开启密码恢复，当用户忘记Console口认证密码或者登录认证失败，导致无法使用命令行操作设备时，可通过BootWare菜单清除该认证密码，再继续使用设备）

通过Console口连接交换机，并重启交换机。
2、当界面出现以下打印信息时，及时按下快捷键“Ctrl+B”并输入BootROM/BootLoad密码，进入BootROM/BootLoad主菜单
3、密码： Admin@huawei.com A必须大写。
4、选择7 Clear password for console user （选择清除console用户密码模式）。
5、选择1 Boot with default mode（键入1启动默认模式），进入后更改Console 及telnet密码。

设备初始化
1、登录华为交换机
2、输入：reset saved-configuration 接着问你是否初始化选择“Y”
3、初始化之后，需要重启交换机才能生效 “reboot”

默认用户名和密码
华为交换机的默认用户名是 admin，密码是 admin@huawei.com

端口隔离

// 进入接口
port-isolate enable [ group group-id ]（命令用来使能端口隔离功能，使该接口加入隔离组，同一VLAN内端口之间的隔离）

开启ntp

ntp-service enable （开启ntp服务）
ntp enable （开启ntp）
clock timezone CCT add 8 （设置显示时区）
ntp-service unicast-server 20.5.101.10 （设置ntp同步主服务器地址）

防火墙查询安全策略

查询安全策略规则，条件为tcp服务源端口为1234 源地址为1.1.1.1 目的地址为2.2.2.2
display security-policy rule protocol tcp source-port 1234 source 1.1.1.1 destination 2.2.2.2

查询安全策略规则，条件为策略名
dis security-policy rule name spname

查询该地址在哪个地址集里
display ip address-set address 1.1.1.1

查询指定地址集名的内容
display ip address-set verbose addsetname item

在接口下允许设备ping
service-manage

命令用来允许长按RST按钮恢复出厂配置
undo factory-configuration prohibit

命令用来关闭基于BGP、LDP、BFD、DHCP单播报文、DHCPv6单播报文以及OSPF单播报文的安全策略控制开关
firewall packet-filter basic-protocol enable

命令用来关闭安全日志信息的数据反馈功能
undo feedback type threat-log enable

命令用来设置硬盘使用率的告警阈值
disk-usage alarm threshold

用来预配置设备光接口的介质类型
device transceiver

设置CPU占用率监控告警过载阈值和监控告警恢复阈值
set cpu threshold

指定ets的模板名字（优化带宽）
dcb ets-profile

DiffServ域的配置信息
diffserv domain

查看防火墙会话

dis firewall session table

查看防火墙丢包

display firewall statistic system discard

关闭状态检测功能

undo firewall session link-state check
命令关闭状态检测功能（不用TCP的SYN首包也可以建立连接）

防火墙映射配置

安全策略外部访问192.1.1.1的icmp协议时会访问内部的1.1.1.1的icmp协议
nat server policy_pc1 protocol icmp global 1.1.1.1 inside 192.1.1.1

配置镜像口

[Huawei]acl 3001
[Huawei-acl-adv-3001]rule permit icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.10 0.0.0.0 //匹配需要做测试的源和目标地址
[Huawei-acl-adv-3001]rule permit icmp source 192.168.2.10 0.0.0.0 destination 192.168.1.10 0.0.0.0 //将源和目的反过来
[Huawei]traffic classifier ping //创建流分类
[Huawei-classifier-ping]if-match acl 3001 //在流分类中挂入ACL
[Huawei]traffic behavior ping //创建流行为
[Huawei-behavior-ping]statistic enable //在流动作中开启流量统计功能
[Huawei]traffic policy ping //创建流策略
[Huawei-trafficpolicy-ping]classifier ping behavior ping //将之前创建的流分类和流行为进行捆绑
[Huawei]interface g 0/0/10 //在需要做测试的接口上分别对应上出和入方向。
[Huawei-GigabitEthernet0/0/10]traffic-policy ping inbound
[Huawei-GigabitEthernet0/0/10]traffic-policy ping outbound
[Huawei]int g 0/0/20 //如果有多个接口挂测试设备的话，就在多个接口挂入，如果只有一个接口挂测试设备的话，就只挂一个接口即可。
[Huawei-GigabitEthernet0/0/20]traffic-policy ping inbound
[Huawei-GigabitEthernet0/0/20]traffic-policy ping outbound
写好以上配置后，先清空一次计数信息，以保证接口流统计数归零。
reset traffic policy statistics interface GigabitEthernet 0/0/10 inbound
reset traffic policy statistics interface GigabitEthernet 0/0/10 outbound 清空接口计数
reset traffic policy statistics interface GigabitEthernet 0/0/20 inbound
reset traffic policy statistics interface GigabitEthernet 0/0/20 outbound 清空接口计数
开始PING，在192.168.1.10的PC上ping 192.168.2.10的PC，PING 100个包。
查看测试结果：
display traffic policy statistics interface GigabitEthernet 0/0/10 inbound
display traffic policy statistics interface GigabitEthernet 0/0/10 outbound
display traffic policy statistics interface GigabitEthernet 0/0/20 inbound
display traffic policy statistics interface GigabitEthernet 0/0/20 outbound

GRE通道测试例子

AR10配置

[AR10]
[AR10]int g0/0/01
[AR10-GigabitEthernet0/0/1]ip add 172.16.10.254 24
[AR10]int g0/0/0
[AR10-GigabitEthernet0/0/0]ip add 192.168.10.1 24
[AR10-GigabitEthernet0/0/0]q
[AR10]int Tunnel 0/0/01 //创建一个tunnel接口
[AR10-Tunnel0/0/1]tunnel-protocol gre //接口模式配置为gre
[AR10-Tunnel0/0/1]ip ad 192.168.1.1 24 //接口地址，对端的地址要和本端地址在同一个网段内
[AR10-Tunnel0/0/1]source 192.168.10.1 //源地址，这个地址为路由器连接外网的接口的地址
[AR10-Tunnel0/0/1]destination 192.168.11.2 //目标地址，地址填写什么接口的地址同上
[V200R003C00]

interface Tunnel0/0/1
ip address 192.168.1.1 255.255.255.0
tunnel-protocol gre
source 192.168.10.1
destination 192.168.11.2
gre key 123456

return
[AR10]ip route-static 192.168.11.0 24 192.168.10.2 //这条静态路由解决路由器之间通讯
[AR10]ip route-static 172.16.20.0 24 Tunnel 0/0/1 //这条静态路由用来指引两个gre地址能够通讯
[AR10]

AR12配置

[Huawei]
[Huawei]sys AR12
[AR12]
[AR12]int g0/0/1
[AR12-GigabitEthernet0/0/1] //这台路由器配置两个接口地址即可
[AR12-GigabitEthernet0/0/1]ip add 192.168.10.2 24
[AR12-GigabitEthernet0/0/1]int g0/0/0
[AR12-GigabitEthernet0/0/0]ip add 192.168.11.1 24
[AR12-GigabitEthernet0/0/0]

AR11配置

[Huawei]
[Huawei]sys AR11
[AR11]
[AR11]int g0/0/1
[AR11-GigabitEthernet0/0/1]ip add 192.168.11.2 24 //配置ip
[AR11-GigabitEthernet0/0/1]int g0/0/0
[AR11-GigabitEthernet0/0/0]ip add 172.16.20.254 24
[AR11-GigabitEthernet0/0/0]q

[AR11]ip route-static 192.168.10.0 24 192.168.11.1 //解决路由器的通讯
[AR11]ip route-static 172.16.10.0 24 Tunnel 0/0/1 //使到172.16.10.0网段的数据从tunnel接口出去
[AR11]int Tunnel 0/0/01 //创建一个tunnel接口

[AR11-Tunnel0/0/1]tunnel-protocol gre //接口协议配置为gre
[AR11-Tunnel0/0/1]ip ad 192.168.1.2 24 //配置ip地址
[AR11-Tunnel0/0/1]source 192.168.11.2 //源地址
[AR11-Tunnel0/0/1]destination 192.168.10.1 //目标地址
[AR11-Tunnel0/0/1]dis th
[V200R003C00]

interface Tunnel0/0/1
ip address 192.168.1.2 255.255.255.0
tunnel-protocol gre
keepalive
source 192.168.11.2
destination 192.168.10.1

return
[AR11-Tunnel0/0/1]

华三

H3C查看模块是什么类型的

disp transceiver interface Ten-GigabitEthernet 2/0/48
例：
在这里插入图片描述
10G_BASE_SR_XFP万兆短距离XFP

模块速率
1000 &1G 千兆模块
10G 万兆模块
40G 4万兆模块

模块距离
SR short range 短距离（一般为百米内）
LR long range 长距离（10Km)
ER Extended range 加长距离（40Km）
还有一些不常见的：
LRM long reach multimode 长距离多模
ZR Ze best range 超长距离（80Km）
EZR 最长距离 120Km

模块口类型
FC：圆形带螺纹，常用于用于光纤配线架
ST：圆形卡口，常用于光纤配线架
SC：卡接式方形（大方口），常用于光纤收发器和GBIC光模块
LC：小方口，常用于连接SFP光模块和预端接模块盒
MPO：使用精密模具成型在MT插针中，用于高密度应用领域。

波长
wavelength :850
通常为850nm ,1350nm，1550nm

IRF（堆叠）

irf mac-address persistent timer （配置IRF的桥MAC的保留时间为6分钟）
irf auto-merge enable （使能IRF合并自动重启功能（缺省））
irf auto-update enable （使能IRF系统启动文件的自动加载功能（缺省））
undo irf link-delay （配置IRF链路down延迟上报时间为0）
display irf （查看IRF成员相关信息）
display irf configuration （查看IRF成员）
irf-port-configuration active （有些设备需要激活命令）

[IRF-SW]interface Bridge-Aggregation 1 //创建聚合口
[IRF-SW-Bridge-Aggregation1]int g1/0/1 //进入物理接口
[IRF-SW-GigabitEthernet1/0/1]port link-aggregation group 1 //将物理接口加入聚合口
[IRF-SW-GigabitEthernet1/0/1]int g2/0/1 //进入物理接口
[IRF-SW-GigabitEthernet2/0/1]port link-aggregation group 1 //将物理接口加入聚合口
[IRF-SW-GigabitEthernet2/0/1]display link-aggregation summary //检查两个端口是否都被加入到聚合口，简写dis link-a su//同样方法将SW1的g0/2与SW2的g0/2做聚合在SW3上将g0/1与g0/2做聚合
[SW3]int Bridge-Aggregation 1
[SW3-Bridge-Aggregation1]int g1/0/1
[SW3-GigabitEthernet1/0/1]port link-aggregation group 1
[SW3-Bridge-Aggregation1]int g1/0/2
[SW3-GigabitEthernet1/0/2]port link-aggregation group 1
[SW3-GigabitEthernet1/0/2]qu//同样方法在SW4上将g0/1与g0/2做聚合
在这里插入图片描述

但是堆叠会发生脑裂
堆叠建立后，主交换机和备交换机之间定时发送心跳报文来维护堆叠系统的状态。堆叠线缆、主控板发生故障时或者其中一台交换机下电、重启都将导致两台交换机之间失去通信，导致堆叠系统分裂为两台独立的交换机，这种情况称为堆叠脑裂或者堆叠分裂。如下图所示。
在这里插入图片描述
堆叠分裂后，若两台交换机都在正常运行，则其全局配置完全相同，会以相同的IP地址和MAC地址（堆叠系统MAC）与网络中的其他设备交互，这样就导致IP地址和MAC地址冲突，引起整个网络故障，此时可以依靠堆叠的双主检测来避免堆叠分裂后出现双主。

M-LAG

采用M-LAG方式将主机双归接入普通以太网络。由于用户对于业务的可靠性要求很高，如果主机和接入设备之间做链路聚合只能保证链路级的可靠性，接入设备发生故障时则会导致业务中断。这时用户可以采用跨设备链路聚合技术，正常工作时链路进行负载分担且任何一台设备故障对业务均没有影响，保证业务的高可靠性。由于普通以太网络中存在阻塞端口无法传输M-LAG主备设备的心跳报文，这里采用配置DFS Group绑定管理网口IP地址，保证M-LAG主备设备的心跳报文能够正常传输。

端口环回检测

loopback-detection enable vlan 1 （向其他端口发送检测包，当收到自己的检测包时产生环路，对access口清除mac表，down端口，对trunk会发送报告，但是不down，后面带的是允许通过的vlan）

查看mac地址

dis arp （查看ARP表）
dis mac-add 丨 include （查看mac地址表可以筛选）

端口配置IP绑定MAC地址

在端口下配置
ip source binding ip-address 10.10.10.10 mac-address 0000-0000-0000-0000
ip verify source ip-address mac-address

配置镜像口

在这里插入图片描述

设置Telnet密码限制

undo password-control length enable //关闭密码长度限制

undo password-control complexity user-name check //关闭密码中是否含有用户名的限制

undo password-control complexity same-character check //关闭密码中包含三个或者以上相同字符

Combo口设置

combo enable { copper | fiber }
combo口是光电复用口当设置为copper时是电口用双绞线，当设置为fiber时是光口用光纤

光纤耦合器（适配器、法兰盘）

FC 安装到ODF或光纤终端盒上（豁口与FC的尾纤相连）
LC 安装到ODF或光纤终端盒上（LC光纤跳线对LC光纤跳线）
ST 工业控制领域（类似于BINC头）
SC 安装到ODF或光纤终端盒上（SC的尾纤正方形）
尾纤颜色：黄色的单模橙色的多模湖蓝色的多模万兆的

更改板卡号

irf member 1 renumber 2 （要重启）

H3C查看接口err包

dis counters in int

H3C查看接口进入使用率

display counters rate inbound interface

H3C查看接口出去使用率

display counters rate outbound interface

思科

>是用户模式（相当于华为的用户视图）
#是特权模式（相当于华为的系统视图）
（config-if）是接口模式

router>enable （进入特权模式，需要密码）
router#config terminal （进入全局配置模式）
router#reload （重启设备）
router#write （保存配置）
router#exit （返回上级相当于华为的quit）
router#show version （查看版本）
router#show ip interface briefshow interface f0/0(接口名) （查看设备接口信息）
router#show mac-address-table （查看mac地址表）
router#show ip route （查看路由表）
router#show running-config （查看RAM中的临时配置）
router#show startup-config （查看NVRAM中的永久配置）
router(config)#hostname xxx （修改设备主机名）
router(config)#enable password xxx （设置特权口令）
router(config)#no ip domain lookup （不允许路由器缺省使用DNS解析命令）
router(config)#Service password-encryptio （对所有在路由器上输入的口令进行暗文加密）

配置telnet服务

router(config)#line vty 0 4 （进入设置telnet服务模式）
router(config-line)#password xxx （设置 telnet 的密码）
router(config-line)#login （使能可以登陆）

配置console服务

router(config)#line console 0 （进入console的服务模式）
router(config-line)#password xxx （要设置 console 的密码）
router(config-line)#login （使能可以登陆）

划分vlan

router(config)#vlan 10 （创建vlan10）
// 进入接口
router(config)# int G1/0/1 （进入接口）
router(config)# switchport access vlan 10 （将该接口划分到vlan10）

开启ntp服务

conf t
clock timezone CCT 8
NTP SErver 20.5.101.10
exit
write

VTP

VTP即VLAN中继协议，也被称为虚拟局域网干道协议，是思科私有协议。VTP有3种模式:服务器模式（Server）；客户机模式（Client）；透明模式（Transparent）。

Server模式：提供、学习、转发VTP消息（包括VLAN ID和名字信息）；
可以添加、删除和更改VLAN VLAN信息写入NVRAM。
Client模式：请求、学习、转发VTP消息；
不可以添加、删除和更改VLAN VLAN信息不会写入NVRAM。
Transparent模式：不提供、不学习VTP消息；
转发VTP消息；
可以添加、删除和更改VLAN，只在本地有效VLAN信息写入NVRAM。

新交换机出厂时的默认配置是预配置为VLAN1，VTP 模式为服务器。
switch(config)#vtp domain （创建并命名vtp）
switch(config)# vtp mode server | client | transparent 　（配置交换机的VTP模式）　
switch (config) # vtp password password 　（配置VTP密码）
switch# show vtp status （查看VTP配置信息）

不同厂商光模块对接，cisco端口兼容

//进入光模块接口
transceiver permit pid all （打开端口模块兼容性）
// 身边暂时没有CISCO配套的光模块,这种情况下,可以通过临时关闭光模块检测的功能来实现未认证的光模块接入
cisco（int-conf）service unsupported-transceiver (解决Cisco设备光模块安全密钥机制，需要手打)
cisco（int-conf）no errdisable detect cause gbic-invalid (解决Cisco设备光模块安全密钥机制，需要手打)
cisco（int-conf）speed nonegotiate （取消协商）
需要保存，然后光模块重插

show interfaces transceiver detail 查看光纤是否启用

N5K设备整机替换

升级前如设备有配置，使用write erase清空配置后重启设备，或者手动删掉所有配置。
// 在copy到本地目录后升级版本：
Install all kickstart bootflash:/n6000-uk9-kickstart.6.0.2.N2.5.bin system bootflash:/n6000-uk9.6.0.2.N2.5.bin

// 如有license，需要升级
install license bootflash:MDSXXXXXXXXX.lic

// 查看是否升级成功
show license usage

// 加载配置文件
copy bootflash:config.txt running-config

// 保存现有配置
copy running-config startup-config