一区二区三区免费精品,高清三级毛片,台湾àv无码不卡无码

H3C交換機遠程登錄配置全攻略：Telnet與SSH安全實戰

H3C交換機遠程登錄配置的全流程指南，涵蓋Telnet和SSH兩種協議，提供關鍵命令及安全優化建議。

一、基礎環境準備

1. 配置管理VLAN與IP地址

system-view
vlan 100                       # 創建管理VLAN（示例為VLAN 100）
interface Vlan-interface 100   # 進入VLAN接口
 ip address 192.168.1.1 255.255.255.0  # 配置管理IP
quit

2. 確保物理接口屬于管理VLAN

interface GigabitEthernet1/0/1   # 進入連接管理終端的端口
 port link-type access          # 設置為Access模式
 port access vlan 100           # 將端口劃入VLAN 100
quit

二、Telnet配置

1. 開啟Telnet服務

telnet server enable            # 全局啟用Telnet服務

2. 配置用戶認證方式（推薦AAA認證）

local-user admin               # 創建用戶（如admin）
 password simple Admin@123     # 設置密碼（明文，生產環境建議用密文）
 service-type telnet           # 允許用戶使用Telnet
 authorization-attribute user-role level-15  # 賦予最高權限（level-15）
quit

3. 配置VTY虛擬終端

user-interface vty 0 4         # 進入VTY0-4線路（支持5個并發登錄）
 authentication-mode scheme     # 認證方式為AAA（scheme）
 protocol inbound telnet       # 允許Telnet協議接入
 idle-timeout 10 0             # 設置空閑超時為10分鐘（0秒）
quit

4. 限制訪問源IP（可選安全增強）

acl basic 2000                 # 創建基本ACL 2000
 rule permit source 192.168.1.0 0.0.0.255  # 僅允許192.168.1.0/24網段訪問
user-interface vty 0 4
 acl 2000 inbound             # 應用ACL到VTY線路
quit

三、SSH配置（更安全）

1. 生成RSA密鑰對

public-key local create rsa    # 生成RSA密鑰（默認長度2048位）

2. 啟用SSH服務

ssh server enable              # 全局啟用SSH服務
ssh server compatible-ssh1x disable  # 禁用低版本SSH1（安全加固）

3. 配置SSH用戶

local-user sshuser             # 創建SSH專用用戶（如sshuser）
 password cipher Ssh@123!      # 設置加密密碼（cipher表示密文存儲）
 service-type ssh              # 允許用戶使用SSH
 authorization-attribute user-role level-15
quit

4. 配置VTY支持SSH協議

user-interface vty 0 4
 authentication-mode scheme
 protocol inbound ssh          # 僅允許SSH協議接入
quit

四、安全加固建議

禁用Telnet（若僅用SSH）：

 undo telnet server enable

修改默認端口（可選）：

 ssh server port 2222        # 修改SSH端口為2222

啟用ACL限制訪問源（參考Telnet部分）。
定期更新密鑰：

 public-key local destroy rsa
 public-key local create rsa

日志監控：

 info-center enable          # 啟用日志功能

五、驗證與測試

測試Telnet登錄：

  telnet 192.168.1.1           # 客戶端使用Telnet連接交換機IP

測試SSH登錄：

  ssh -l sshuser 192.168.1.1  # 客戶端使用SSH連接（用戶名為sshuser）

查看在線用戶：

  display users               # 查看當前登錄用戶
  display ssh server status   # 檢查SSH服務狀態

六、配置保存

save                          # 保存配置到設備閃存

總結：

Telnet配置簡單但明文傳輸，適用于內網臨時調試。
SSH加密通信，安全性高，強烈建議生產環境使用。
結合ACL、密鑰更新、日志審計可大幅提升遠程管理安全性。

邁普交換機基礎配置

一、配置本地用戶認證
全局配置模式下
configure terminal
創建用戶，配置用戶名為test用戶，密碼為test，權限為15級
username test privilege 15 password 0 test
打開本地認證方式
authentication line vty login local
配置特權密碼testpassword
enable password level 15 testpassword
配置示例：

Switch>enable    
Switch#configure terminal     
Switch(config)#username test privilege 15 password 0 test    
Switch(config)#authentication line vty login local    
Switch(config)#enable password level 15 testpassword

二、配置VLAN
全局配置模式下，創建vlan 10
Vlan 10
添加描述信息
name Bangong
配置示例：
Switch(config)#vlan 10
Switch(config-vlan10)#name bangong
三、端口加入VLAN
配置access類型端口
全局模式下進入端口配置模式
進入G0/1
interface gigabitethernet0/1
配置端口類型為access
switchport mode access
配置端口所屬vlan
switchport access vlan 10
打開端口(如果端口關閉)
no shutdown
配置示例：

Switch#configure terminal     
Switch(config)#interface gigabitethernet 0/1    
Switch(config-if-gigabitethernet0/1)#switchport mode access    
Switch(config-if-gigabitethernet0/1)#switchport access vlan 10    
Switch(config-if-gigabitethernet0/1)#no shutdown    
Switch(config-if-gigabitethernet0/1)#exit    
Switch(config)#exit    
Switch#

配置trunk類型端口（trunk類型端口適用于交換機接交換機）
全局模式下進入端口配置模式
進入G0/48
interface gigabitethernet0/48
配置端口模式為trunk模式
switchport mode trunk
配置端口允許通過的VLAN
switchport trunk allowed vlan all
配置默認的pvid，不配置的情況下默認pvid為1
switchport trunk pvid vlan 1
配置示例：

Switch#configure terminal     
Switch(config)#interface gigabitethernet 0/48    
Switch(config-if-gigabitethernet0/48)#switchport mode trunk    
Switch(config-if-gigabitethernet0/48)#switchport trunk allowed vlan all    
Switch(config-if-gigabitethernet0/48)#switchport trunk pvid vlan 1    
Switch(config-if-gigabitethernet0/48)#no shutdown    
Switch(config-if-gigabitethernet0/48)#exit    
Switch(config)#exit    
Switch#

三、配置接口 VLAN IP
全局模式下進入vlanif接口配置模式
進入vlan10 三層接口
interface vlan 10
配置IP地址 192.168.1.1 掩碼255.255.255.0
ip address 192.168.1.1 255.255.255.0
配置示例：

Switch#configure terminal     
Switch(config)#interface vlan 10    
Switch(config-if-vlan10)#ip address 192.168.1.1 255.255.255.0    
Switch(config-if-vlan10)#exit    
Switch(config)#exit    
Switch#

四、配置靜態默認路由
全局配置模式下，配置默認路由的下一跳為192.168.1.2
ip route 0.0.0.0 0.0.0.0 192.168.1.2
靜態路由配置和默認路由配置命令一樣，命令中前0.0.0.0 代表網絡號，后面一個0.0.0.0代表掩碼。這8個0則能代表所有網段。代碼一個24未掩碼的網段表示：192.168.2.0 255.255.255.0
配置靜態路由：
ip route 192.168.2.0 255.255.255.0 192.168.1.2
配置示例：
Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

五、配置生成樹選項
生成樹配置需要結合當地網絡進行配置，要所有運行在一個拓撲能開啟生成樹功能的交換機，生成樹配置一樣。如果不知道在運行的生成樹實例的情況下，建議暫時不配置生成樹，避免生成樹造成沖突。
全局模式下開啟生成樹功能
spanning-tree enable
全局模式下關閉生成樹功能
no spanning-tree enable
配置生成樹模式為mstp
spanning-tree mode mstp
進入多實例生成樹MSTP配置
spanning-tree mst configuration
配置生成樹域名test
region-name test
配置實例1包含vlan10
instance 1 vlan 10
配置實例2包含vlan20
instance 2 vlan 20
激活生成樹配置
active configuration pending
不包含實例中的vlan，全部屬于默認實例0，如vlan1默認屬于實例0
配置示例：

Switch#configure terminal     
(config)#spanning-tree enable    
Switch(config)#spanning-tree mode mstp    
Switch(config)#spanning-tree mst configuration     
Switch(config-mst)#region-name test    
Switch(config-mst)#instance 1 vlan 10    
Switch(config-mst)#instance 2 vlan 20    
Switch(config-mst)#active configuration pending    
Switch(config-mst)#exit    
Switch(config)#

六、配置ACL訪問控制策略
進入acl配置模式
ip access-list standard 100 #數字可配置1-1000,基礎ACL配置，供電網絡中采用基礎acl#
配置一條允許23.50.0.99主機
10 permit host 23.50.6.99
配置一條允許23.50.6.0網段
20 permit 23.50.6.0 255.255.255.0
剩余的全部禁止
30 deny any
配置acl注意匹配規則是從上往下匹配，比如deny any已經拒絕了除10,20匹配到的，剩余的都是禁止。這時候40 permit 23.50.7.0 0.0.0.255，則該策略不生效，23.50.7.0網段還是被全部禁止。
配置示例：

Switch(config)#ip access-list standard 100    
Switch(config-std-nacl)#10 permit host 23.50.6.99    
Switch(config-std-nacl)#20 permit 23.50.6.0 255.255.255.0    
Switch(config-std-nacl)#30 deny any

七、配置SSH遠程登陸
全局開啟ssh服務
ip ssh server
進入配置交換機的vty接口模式下，下面相當于可以同時5個人登陸這臺交換機
user-interface vty 0 4
配置遠程登陸的認證模式為AAA，即為本地用戶認證
login local
設置超時5分鐘自動斷開回話
exec-timeout 5 0
配置只允許ssh方式登陸交換機
Protocol input ssh
配置示例：

Switch(config)#line vty 0 4    
Switch(config-line)#login local     
Switch(config-line)#exec-timeout 5 0    
Switch(config-line)#protocol input ssh     
Switch(config-line)#privilege level 0    
Switch(config-line)#exit    
Switch(config)#

八、配置時鐘同步和時區
全局模式下配置時區為北京時區(加8小時)
clock timezone beijin 8
全局模式下配置時鐘服務器10.109.192.5為第一個時鐘服務器
ntp server 10.109.192.5
全局模式下配置時鐘服務器10.109.192.43為備用時鐘服務器
ntp server 10.109.192.43
配置示例：

Switch#configure terminal     
Switch(config)#clock timezone beijin 8    
Switch(config)#ntp server 10.109.192.5    
Switch(config)#ntp server 10.109.192.5

九、備份和還原IOS
特權配置模式下進入文件操作管理
filesystem
交換機用戶模式下通過tftp備份iso固件到23.50.6.99服務器
格式：copy file-system 本地固件文件名 tftp 服務器IP 遠程文件名
copy file-system web-Spl-1.1.235.rom tftp 23.50.6.99 123.rom
交換機用戶模式下通過tftp服務器還原IOS到交換機中
格式：copy tftp 服務器IP 遠程文件名file-system 本地固件文件名
copy tftp 23.50.6.99 234 file-system 234
使用dir命令，查看交換機固件的文件名稱
配置示例：

Switch#filesystem     
Switch(config-fs)#dir    
Switch(config-fs)#copy file-system sp4-g-6.6.4.1.18(C).pck tftp 23.50.6.99 123.pck    
Switch(config-fs)#copy tftp 23.50.6.99 123.pck file-system sp4-g-6.6.4.1.18(C).pck

Tftp服務器可以下載軟件3CDaemon在電腦上運行即可。

十一、交換機常規巡檢命令
查看三層接口Ip地址
show ip interface brief
查看二層接口狀態信息
show interface switchport brief
查看交換機的mac地址表
show mac-address all
查看交換機的arp表
show arp
查看交換機的生成樹狀態
show spanning-tree
查看交換機版本
show version
查看交換機系統時間
show clock
查看交換機電源狀態
show power
查看交換機cpu使用狀態
show cpu monitor
查看交換機內存使用狀態
show memory

【華為交換機救命指令大全】故障排查

一、網絡不通？先給設備"把個脈"！

1. 物理層體檢（檢查網線/光模塊）

display interface brief | include down  # 揪出所有down的接口display transceiver verbose            # 看光模塊溫度/電壓是否異常

案例：
財務部接口頻繁up/down

# 發現光模塊電壓3.1V（低于標準3.3V）<Switch> display transceiver verbose GigabitEthernet0/0/1...Voltage : 3.1V...

急救：更換光模塊！

2. MAC地址追蹤術（定位設備位置）

display mac-address | include 5489-98xx-xxxx  # 根據MAC查端口display arp | include 192.168.1.100          # 根據IP查MAC

案例：
服務器IP沖突告警

# 發現兩個MAC對應同一IP<Switch> display arp | include 192.168.1.100192.168.1.100   5489-98b1-0001   Vlanif10192.168.1.100   5489-98c2-0002   Vlanif10

急救：查封MAC對應端口，抓人！

二、協議抽風？上"照妖鏡"指令！

1. OSPF鄰居建不起來？

display ospf peer              # 看鄰居狀態display ospf error             # 查錯誤日志display ospf interface         # 驗Hello/Dead時間

案例：
OSPF鄰居卡在ExStart狀態

# 發現MTU不匹配<Switch> display ospf interface GigabitEthernet0/0/1MTU : 1500Remote MTU : 1499

急救：interface視圖下敲ospf mtu-enable

2. BGP路由消失？

ounter(lineounter(lineounter(linedisplay bgp routing-table flap-info  # 查震蕩路由display bgp peer                     # 看鄰居狀態display bgp routing-table 10.1.1.0   # 查具體路由

案例：
BGP路由被策略過濾

# 發現路由Flags字段帶RD（被拒絕）<Switch> display bgp routing-table 10.1.1.0 verbose...Flags: RD...

急救：檢查route-policy導入策略！

三、設備異常？上"核磁共振"！

1. CPU飆高定位

display cpu-usage           # 看實時CPU占用display cpu-defend         # 查攻擊告警display process cpu        # 查具體進程

案例：
CPU持續90%

# 發現BGP進程占70%<Switch> display process cpu...PID   Process     CPU2345  BGP          70%...

急救：檢查BGP路由震蕩或DDoS攻擊！

2. 內存泄漏檢測

display memory-usage       # 看內存占用率display memory-threshold   # 查告警閾值

案例：
內存占用98%導致設備卡死

# 發現NQA進程內存泄漏<Switch> display memory-usageProcess     MemoryNQA          45%...

急救：升級版本或關閉NQA測試！

四、日志玄學？開啟"天眼模式"！

1. 實時日志監控

terminal monitor   # 開啟監控terminal logging   # 開啟日志輸出

2. 歷史日志回溯

display logbuffer  # 查看日志緩存display trapbuffer # 查告警信息

案例：
設備凌晨自動重啟

# 日志顯示電源模塊告警<Switch> display logbuffer...%May 10 02:00:00 Power 1/0 failure...

急救：更換電源模塊！

五、救命指令全家桶（建議收藏）

故障類型	必殺指令
端口異常	`display interface brief`
VLAN隔離失效	`display vlan`
路由黑洞	`display ip routing-table`
ARP欺騙	`display arp anti-attack`
流量異常	`display counters error`

華為交換機基于等保2.0的端口安全配置

安全通信網絡-網絡架構

要求：保證網絡設備的業務處理能力滿足業務高峰期需要，即設備性能需要提供冗余，以保證業務的可用性，該項為一票否定項。

檢查項：巡檢工作中，需巡檢設備關鍵參數（CPU、內存、存儲及帶寬）的冗余情況，建議保證使用率<最大性能的70%。如超過該值，建議通過設備分流或更換高性能設備。

<Huawei>dis cpu-usage // 查看cpu使用率<Huawei>dis memory-usage //查看內存使用率

安全區域邊界-邊界防護

要求：應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信，即設備是否shutdown了無用端口。

檢查項：檢查端口使用情況，是否已經shutdown無用端口。

<HUAWEI>system view[Huawei]interface GigabitEthernet 0/0/1 //接入接口視圖[Huawei-GigabitEthernet0/0/1]shutdown //關閉接口

安全區域邊界-訪問控制

要求：應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出，即指定ACL策略時，等級保護三級要求限定到端口級、等保二級要求設定至網段級別。

檢查項：檢查設備已有的ACL策略，是否包含源地址、目標地址、源端口、目標端口、協議及操作。

[SW1]acl 3000 //創建高級規則[SW1-acl4-advance-3000] rule name jin-ping deny icmp source 192.168.1.1 0 destination 192.168.2.1 0 \\禁ping備注：0代表，0.0.0.0（通配符掩碼！）

安全計算環境-身份鑒別

要求：應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換，即要求設備不允許有重復的用戶名、不允許存在空口令，該項為一票否定項。

檢查項：檢查設備所有賬號的用戶名是否重復，檢查設備所有賬號是否有存在空口令、常見弱口令的情況。

[SW1]display local-user //來顯示所有的本地用戶[SW1]undo local-user xxx //刪除用戶[SW1]aaa //進入AAA視圖[SW1-aaa]local-user admin password cipher !1fw@2soc#vpn //創建admin用戶[SW1-aaa]local-user admin service-type ssh //用戶服務類型為ssh[SW1-aaa]local-user admin privilege level 15 //用戶等級權限15 [SW1-aaa]quit[SW1]user-interface vty 0 4 //最大5臺設備登入[SW1-ui-vty0-4]protocol inbound stelnet //配置登入協議stelnet[SW1-ui-vty0-4]authentication-mode aaa //認證模式為AAA

安全計算環境-身份鑒別

要求：應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時時自動退出等相關措施，即要求配置登錄失敗處理功能。如：一定時間內連續輸入錯誤密碼5次鎖定賬號、登錄后無操作5分鐘，則退出系統或鎖定會話。

檢查項：檢查設備是否啟用登錄失敗處理功能；驗證一定時間無操作是否退出系統或鎖定會話。

[SW1]aaa \\進入aaa視圖[SW1-aaa]local-user authentication lock times 5 5\\認證失敗5次鎖定5分鐘[SW1-aaa]quit[SW1]user-interface vty 0 4[SW1-ui-vty0-4]idle-timeout 5 0 \\無操作5分鐘自動退出

安全管理中心-系統管理

要求：應對系統管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統管理操作，并對這些操作進行審計，即要求設備的所有管理行為，均通過特定的通道及界面進行操作。

檢查項：檢查是否配置了管理主機，并且僅允許管理主機進行管理。

[SW1]acl 2000 //創建基本規則[SW1-acl-basic-2000]rule permit source 192.168.1.1 0 //允許192.168.1.1地址 [SW1-acl-basic-2000]rule deny [SW1-acl-basic-2000]quit[SW1]user-interface vty 0 4[SW1-ui-vty0-4]acl 2000 inbound 備注：0代表，0.0.0.0（通配符掩碼！）

安全管理中心-系統管理

要求：應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理即要求使用安全的方式對安全設備進行管理。

檢查項：檢查是否采用了SSH、HTTPS或IPSec VPN等方式進行設備管理，要求使用SSH、HTTPS進行設備管理，嚴禁使用telent、HTTP進行管理。(SSH配置指導詳見）

[SW1]undo telnet server enable  //關閉telnet服務[SW1]undo http //關閉http

使用OSPF路由總部-分部互聯互通配置

一、總部核心交換機配置

sysname HQ-Core
vlan batch 500

interface GigabitEthernet0/0/1 # 連接分部一
ip address 10.80.0.9 255.255.255.252
ospf network-type p2p

interface GigabitEthernet0/0/2 # 連接分部二
ip address 10.80.0.21 255.255.255.252
ospf network-type p2p

interface GigabitEthernet0/0/3 # 連接分部三
ip address 10.80.0.29 255.255.255.252
ospf network-type p2p

interface Vlanif500 # 管理VLAN
ip address 10.90.1.1 255.255.255.0

ospf 1 router-id 10.255.255.1
default-route-advertise always # 下發默認路由
area 0.0.0.0
network 10.80.0.0 0.0.255.255

二、分部一配置

sysname Branch1
vlan batch 100 200 500

interface GigabitEthernet0/0/1 # 連接總部
ip address 10.80.0.10 255.255.255.252
ospf network-type p2p

interface Vlanif500 # 設備管理
ip address 10.87.1.1 255.255.255.0

interface Vlanif100 # 業務網絡
ip address 10.87.10.1 255.255.255.0

interface Vlanif200 # 無線網絡
ip address 10.87.20.1 255.255.255.0

ospf 1 router-id 10.87.255.1
area 0.0.0.0
network 10.80.0.8 0.0.0.3
network 10.87.1.0 0.0.0.255
network 10.87.10.0 0.0.0.255
network 10.87.20.0 0.0.0.255
三、分部二配置

sysname Branch2
vlan batch 100 200 500

interface GigabitEthernet0/0/1 # 連接總部
ip address 10.80.0.22 255.255.255.252
ospf network-type p2p

interface Vlanif500
ip address 10.88.1.1 255.255.255.0

interface Vlanif100
ip address 10.88.10.1 255.255.255.0

interface Vlanif200
ip address 10.88.20.1 255.255.255.0

ospf 1 router-id 10.88.255.1
area 0.0.0.0
network 10.80.0.20 0.0.0.3
network 10.88.1.0 0.0.0.255
network 10.88.10.0 0.0.0.255
network 10.88.20.0 0.0.0.255
四、分部三配置

sysname Branch3
vlan batch 100 200 500

interface GigabitEthernet0/0/1 # 連接總部
ip address 10.80.0.30 255.255.255.252
ospf network-type p2p

interface Vlanif500 # 管理網絡
ip address 10.89.1.1 255.255.254.0 #

interface Vlanif100
ip address 10.89.10.1 255.255.255.0

interface Vlanif200
ip address 10.89.20.1 255.255.255.0

ospf 1 router-id 10.89.255.1
area 0.0.0.0
network 10.80.0.28 0.0.0.3
network 10.89.0.0 0.0.0.255
network 10.89.10.0 0.0.0.255
network 10.89.20.0 0.0.0.255

華為交換機的OSPF配置方案（使用VRP系統）

一、基礎配置（VLAN與接口）

# 創建VLAN并命名
vlan batch 100 200 500  
vlan 100
 description Business
vlan 200
 description Wireless
vlan 500
 description Management

# 配置SVI接口（VLANIF）
interface Vlanif100
 description Business-Network
 ip address 10.87.10.1 255.255.255.0

interface Vlanif200
 description Wireless-Network
 ip address 10.87.20.1 255.255.255.0

interface Vlanif500
 description Management-Network
 ip address 10.87.1.1 255.255.255.0

二、配置與總部的互聯接口

# 將物理接口切換為三層模式
interface GigabitEthernet0/0/1
 description To-Headquarters
 undo portswitch  # 關閉二層交換功能（啟用三層）
 ip address 10.80.0.46 255.255.255.0
 ospf network-type p2p  # 顯式指定P2P網絡類型

三、OSPF路由配置

# 啟動OSPF進程（默認進程1）
ospf router-id 10.87.1.1  # 必須手動指定唯一Router-ID
 silent-interface Vlanif500  # 禁止管理VLAN發送OSPF報文

# 宣告直連網絡
 area 0.0.0.0   # 骨干區域
  network 10.80.0.0 0.0.0.255

 area 0.0.0.1   # 非骨干區域（華為區域號為整數）
  network 10.87.1.0 0.0.0.255
  network 10.87.10.0 0.0.0.255
  network 10.87.20.0 0.0.0.255

四、總部側關鍵配置

interface GigabitEthernet0/0/1
 undo portswitch
 ip address 10.80.0.45 255.255.255.0
 ospf network-type p2p

ospf
 router-id 10.80.0.45  # 建議使用總部標識
 area 0.0.0.0
  network 10.80.0.0 0.0.0.255

五、增強配置（可選）

1. 區域路由匯總

ospf
 area 0.0.0.1
 abr-summary 10.87.0.0 255.255.0.0  # 在ABR上匯總分部路由

2. OSPF認證（MD5）

interface GigabitEthernet0/0/1
 ospf authentication-mode md5 1 cipher YourPassword@123

3. 管理VLAN安全

# 創建ACL限制管理訪問
acl 2000
 rule 5 permit source 10.80.0.0 0.0.0.255  # 僅允許總部IP訪問管理地址
 rule 10 deny

# 應用ACL到管理接口
interface Vlanif500
 traffic-filter inbound acl 2000

六、驗證命令

display ospf peer          # 查看鄰居狀態（應看到總部Router-ID）
display ospf routing       # 檢查OSPF路由表
display ip routing-table   # 驗證整體路由表
display ospf interface     # 檢查接口區域狀態

關鍵差異說明：

接口模式：
- 華為物理接口默認工作在二層模式，需通過 undo portswitch 啟用三層功能
區域編號：
- 華為使用數字區域標識（如 0.0.0.0 表示骨干區域），而非Cisco的純數字格式
被動接口：
- 華為使用 silent-interface 替代Cisco的 passive-interface
認證配置：
- MD5密鑰直接在接口下配置，無需全局定義密鑰鏈
路由匯總：
- 匯總命令在區域視圖下通過 abr-summary 執行

典型問題排查：

鄰居無法建立：
- 檢查 display ospf error 查看協議錯誤信息
- 確認兩端接口的 ospf network-type 一致（建議顯式指定為P2P）
路由未學習：
- 使用 debugging ospf event 跟蹤路由更新過程
- 確認 network 聲明包含精確接口網絡
區域不連續：
- 確保所有與Area 0相連的區域都有物理連接（華為嚴格遵循OSPF區域規則）

建議首次部署時使用 reset ospf process 重置OSPF進程以應用配置變更。生產環境操作前請做好配置備份（使用 save 命令）。

------------------------------------------------------------------------------------------------------------------------------------------------------

在華為設備中，當使用 VLANIF接口（SVI）作為三層接口 進行OSPF路由時，需確保配置邏輯符合華為VRP系統的特性。以下是針對 華為交換機基于VLANIF接口的OSPF完整配置 及關鍵注意事項：

一、完整配置示例（分部側）

1. VLAN及VLANIF接口配置

# 創建VLAN并綁定物理接口（假設GE0/0/2-4為接入端口）
vlan batch 100 200 500

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 100
 description Connect-to-Business-PC

interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 200
 description Connect-to-Wireless-AP

interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 500
 description Connect-to-Management-Host

# 配置VLANIF三層接口（SVI）
interface Vlanif100
 description Business-Network
 ip address 10.87.10.1 255.255.255.0

interface Vlanif200
 description Wireless-Network
 ip address 10.87.20.1 255.255.255.0

interface Vlanif500
 description Management-Network
 ip address 10.87.1.1 255.255.255.0

2. 總部互聯接口配置（使用VLANIF或其他三層接口）

# 方案1：直接使用物理三層接口
interface GigabitEthernet0/0/1
 undo portswitch  # 啟用三層模式
 ip address 10.80.0.46 255.255.255.0
 ospf network-type p2p

# 方案2：通過VLANIF互聯（若需跨VLAN連接）
# 創建專用互聯VLAN（如VLAN 999）
vlan 999
 description HQ-Interconnect

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 999

interface Vlanif999
 ip address 10.80.0.46 255.255.255.0
 ospf network-type p2p

3. OSPF核心配置

ospf 100
 router-id 10.87.1.1
 silent-interface Vlanif500  # 禁止管理接口發送OSPF報文

 area 0.0.0.0  # 骨干區域
  network 10.80.0.0 0.0.0.255  # 互聯段

 area 0.0.0.1  # 分部內網區域
  network 10.87.1.0 0.0.0.255  # 管理段
  network 10.87.10.0 0.0.0.255  # 業務段
  network 10.87.20.0 0.0.0.255  # 無線段
  abr-summary 10.87.0.0 255.255.0.0  # 路由匯總（可選）

二、關鍵注意事項

1. VLANIF接口的OSPF特性

自動宣告路由：通過 network 命令將VLANIF接口的IP網段宣告到OSPF后，該接口會自動發送OSPF Hello報文并參與路由計算。
接口狀態檢查：使用 display ip interface brief 確保VLANif接口物理狀態為 UP（華為設備中VLANif接口狀態依賴對應VLAN是否有活躍物理端口）。

2. 被動接口（Silent-Interface）

ospf 100
 silent-interface Vlanif500  # 禁止Vlanif500發送OSPF報文

作用：避免管理網段（VLAN 500）向終端設備發送不必要的OSPF報文，同時仍會宣告該網段的路由。

3. 路由優化技巧

路由匯總：在ABR（區域邊界路由器）上匯總分部內網路由，減少總部路由表規模：
haskell

復制
```
ospf 100
 area 0.0.0.1
  abr-summary 10.87.0.0 255.255.0.0
```
調整OSPF開銷：若存在多路徑，可手動指定VLANif接口的Cost值：
haskell

復制
```
interface Vlanif100
 ospf cost 10  # 默認Cost=1（100Mbps接口）
```

4. 安全加固配置

OSPF認證（總部與分部互聯接口必須一致）：

interface GigabitEthernet0/0/1  # 或Vlanif999
 ospf authentication-mode md5 1 cipher HQ@2024

管理VLAN訪問控制：

acl 3000
 rule 5 permit ip source 10.80.0.0 0.0.0.255 destination 10.87.1.0 0.0.0.255  # 僅允許總部訪問管理網段
 rule 10 deny ip
interface Vlanif500
 traffic-filter inbound acl 3000

三、故障排查命令

1. 基礎狀態檢查

display ospf peer          # 查看鄰居狀態（應看到總部Router-ID）
display ospf interface     # 檢查VLANif接口是否在正確區域
display ip routing-table   # 驗證OSPF路由是否注入全局路由表

2. 協議級診斷

terminal monitor
terminal debugging
debugging ospf packet hello  # 查看Hello報文交互
debugging ospf event         # 跟蹤鄰居建立過程

3. 典型問題處理

問題1：VLANif接口狀態為DOWN
原因：對應VLAN下無活躍物理端口。
解決：檢查接入端口配置（如display vlan 100）并確保至少有一個端口處于UP狀態。
問題2：OSPF鄰居無法建立
排查步驟：
1. 確認互聯接口的IP地址在同一子網。
2. 檢查兩端 ospf network-type 是否一致（推薦顯式指定為 p2p）。
3. 驗證認證配置（密鑰ID、密碼是否匹配）。
4. 使用 display ospf error 查看協議錯誤日志。

四、最終網絡拓撲邏輯

總部路由器（Area 0） 
│
├── 互聯鏈路：10.80.0.0/24（P2P） 
│
└── 分部交換機（ABR） 
    ├── Area 1: 10.87.1.0/24（管理） 
    ├── Area 1: 10.87.10.0/24（業務） 
    └── Area 1: 10.87.20.0/24（無線）

通過以上配置，可確保分部通過VLANIF接口實現三層互通，并通過OSPF動態學習總部路由，同時滿足安全性與管理性要求。

VirtualBox、VMware在橋接模式下無法獲取ip地址問題

VLAN間互訪的兩種實現方式（單臂路由、VLANIF接口）

1.問題的提出

在二層交換環境下，一個VLAN就是一個廣播域，相同VLAN內的節點如果配置相同網段的IP地址即可直接通信，我們將這種通信稱為二層通信。不同VLAN是不同的廣播域，一般也是不同的邏輯子網，而且相互隔離，無法直接互訪，這樣能起到隔絕廣播的作用。如下圖，只在交換機上劃分了VLAN：

PC1和PC2之間可以互訪；

PC3和PC4之間可以互訪；

PC1和PC3、PC1和PC4、PC2和PC3、PC2和PC4之間不能互訪。

但在實際網絡中，常常VLAN之間需要互訪，此時二層交換機就無法滿足這一需求，那么如何解決這一問題呢？

常用的二種解決辦法是：單臂路由和VLANIF接口，也就是通過三層技術實現VLAN間通信。

2.單臂路由技術

2.1技術原理

單臂路由通過一臺路由器的物理接口實現多個VLAN之間的數據通信。由于路由器的物理接口數量有限，因此通過在單個物理接口上配置多個邏輯子接口（也稱為子接口），每個子接口對應一個VLAN，來實現VLAN間的路由功能。這種方式稱為單臂路由，因為它只需要一條物理鏈路連接交換機和路由器。

將上圖中添加一臺路由器，如下：

2.2實現步驟

2.2.1交換機配置

在SW1上配置以下信息：

# 創建VLAN并將接口劃分到相應的VLAN中

[SW1]vlan batch 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1]
[SW1]port-group group-member Ethernet 0/0/1 to Ethernet 0/0/2
[SW1-port-group]port link-type access
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/2]port link-type access
[SW1-port-group]port default vlan 10
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/2]port default vlan 10
[SW1-port-group]quit
[SW1]port-group group-member Ethernet0/0/3 to Ethernet 0/0/4
[SW1-port-group]port link-type access
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/4]port link-type access
[SW1-port-group]port default vlan 20
[SW1-Ethernet0/0/3]port default vlan 20
[SW1-Ethernet0/0/4]port default vlan 20
[SW1-port-group]quit

# 將與路由器R1相連的交換機端口配置為Trunk模式，允許所有VLAN的流量通過

[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/1]quit
[SW1]

2.2.2路由器配置

# 配置第一個子接口GigabitEthernet 0/0/1.1：

在路由器的物理接口上配置多個子接口，并將子接口對應一個VLAN。
為每個子接口配置VLAN封裝（如dot1q termination vid命令），以識別并處理帶有VLAN標簽的數據包。
為每個子接口配置IP地址，作為該VLAN的網關。
開啟子接口的ARP廣播功能，確保子網內的主機能夠發現網關。

[R1]interface GigabitEthernet 0/0/1.1
[R1-GigabitEthernet0/0/1.1]dot1q termination vid 10
[R1-GigabitEthernet0/0/1.1]ip address 192.168.10.254 24
[R1-GigabitEthernet0/0/1.1]arp broadcast enable
[R1-GigabitEthernet0/0/1.1]quit
[R1]

注：

arp broadcast enable命令用來使能子接口的ARP廣播功能。缺省情況下，子接口沒有使能ARP廣播功能。子接口不能轉發廣播報文，在收到廣播報文后它們直接把該報文丟棄。為了允許子接口能轉發廣播報文，可以通過在子接口上執行此命令。

# 配置第二個子接口GigabitEthernet 0/0/1.2：

[R1]interface GigabitEthernet 0/0/1.2
[R1-GigabitEthernet0/0/1.2]dot1q termination vid 20
[R1-GigabitEthernet0/0/1.2]ip address 192.168.20.254 24
[R1-GigabitEthernet0/0/1.2]arp broadcast enable
[R1-GigabitEthernet0/0/1.2]quit
[R1]

此時，VLAN10和VLAN20之間PC可以互訪，數據流向如下圖：

2.3單臂路由技術實現的優點

配置相對簡單，適用于VLAN數量不多的網絡。
無需額外的三層交換機設備。

2.4單臂路由技術實現的缺點

隨著VLAN數量的增加，路由器端口的利用率會下降，可能成為性能瓶頸。
數據包需要經過路由器的軟件處理，轉發效率相對較低。

3.VLANIF接口技術

3.1技術原理

VLANIF接口是三層交換機上的一種邏輯接口，用于處理不同VLAN之間的路由。當在三層交換機上創建VLAN后，可以對應地創建VLANIF接口，并為其配置IP地址作為該VLAN的網關。VLANIF接口支持VLAN標簽的剝離和添加，能夠實現VLAN間的三層通信。

補充：

SVI（Switch Virtual Interface，交換機虛擬接口）

在很多網絡設備中，特別是華為等廠商的設備上，SVI和VLANIF接口在功能上是等價的，都是用來實現VLAN間通信的虛擬接口。在華為體系中，SVI通常被稱為VLANIF接口。

如下圖，三層交換機SW2通過三層VLANIF接口實現VLAN10、VLAN20和VLAN30之間的通信：

3.2實現步驟

3.2.1二層交換機SW1和SW3配置

# SW1配置

配置和上面相同：分別是創建VLAN，并將如上圖的接口劃分到指定的VLAN，配置接口類型。

[SW1]vlan batch 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1]
[SW1]port-group group-member Ethernet 0/0/1 to Ethernet 0/0/2
[SW1-port-group]port link-type access
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/2]port link-type access
[SW1-port-group]port default vlan 10
[SW1-Ethernet0/0/1]port default vlan 10
[SW1-Ethernet0/0/2]port default vlan 10
[SW1-port-group]quit
[SW1]port-group group-member Ethernet0/0/3 to Ethernet 0/0/4
[SW1-port-group]port link-type access
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/4]port link-type access
[SW1-port-group]port default vlan 20
[SW1-Ethernet0/0/3]port default vlan 20
[SW1-Ethernet0/0/4]port default vlan 20
[SW1-port-group]quit
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/1]quit
[SW1]

# SW3配置

[SW3]vlan 30
[SW3-vlan30]quit
[SW3]int Ethernet0/0/1
[SW3-Ethernet0/0/1]port link-type access
[SW3-Ethernet0/0/1]port default vlan 30
[SW3-Ethernet0/0/1]quit
[SW3]int Ethernet0/0/2
[SW3-Ethernet0/0/2]port link-type access
[SW3-Ethernet0/0/2]port default vlan 30
[SW3-Ethernet0/0/2]quit
[SW3]int g0/0/1
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW3-GigabitEthernet0/0/1]quit
[SW3]

3.2.2三層交換機SW2配置

創建VLAN，并配置VLANIF接口IP地址，作為對應用戶的網關：

[SW2]vlan batch 10 20 30
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW2]interface vlanif10
[SW2-Vlanif10]ip address 192.168.10.254 24
[SW2-Vlanif10]quit
[SW2]interface vlanif20
[SW2-Vlanif20]ip address 192.168.20.254 24
[SW2-Vlanif20]interface vlanif30
[SW2-Vlanif30]ip address 192.168.30.254 24
[SW2-Vlanif30]quit
[SW2]int GigabitEthernet 0/0/24
[SW2-GigabitEthernet0/0/24]port link-type trunk 
[SW2-GigabitEthernet0/0/24]port trunk allow-pass vlan all
[SW2-GigabitEthernet0/0/24]int g0/0/23
[SW2-GigabitEthernet0/0/23]port link-type trunk 
[SW2-GigabitEthernet0/0/23]port trunk allow-pass vlan all
[SW2-GigabitEthernet0/0/23]quit
[SW2]

3.3測試

PC1訪問PC5：

PC6訪問PC3：

服務中心