華爲交換機S57系列配置ssh 安全級別以及建議

    如果是一臺剛初始化過的華爲交換機，需要輸入兩次相同的密碼作爲登錄交換機的登錄密碼

交換機上有console 端口 MEth管理端口 usb端口

通過串口線配置S5700 的管理IP地址，串口線接在交換機的console口，ip設置完成後網線接在ETH口：

<HUAWEI> system-view
[HUAWEI] interface MEth 0/0/1
[HUAWEI] interface MEth 0/0/1
[HUAWEI-MEth0/0/1]ip address x.x.x.x 255.255.255.0 ///設置MEth管理端口的ip地址
[HUAWEI-MEth0/0/1]quit
[HUAWEI]ip route-static 0.0.0.0 0.0.0.0 x.x.x.x（gateway）
[HUAWEI-MEth0/0/1]display ip interface MEth 0/0/1 ///查看MEth管理端口的配置信息
[HUAWEI]

添加用戶,設置ssh telent遠程登錄
<HUAWEI> system-view ///進入系統配置模式
[HUAWEI]aaa ///進入AAA模式
[HUAWEI-aaa]local-user chy password cipher qaz123456 ///設置本地用戶名和密碼 cipher加密
[HUAWEI-aaa]local-user chy service-type ssh telnet ///設置用戶設置登錄ssh telnet服務
[HUAWEI-aaa]display ssh server status　　　　　　　　　　　　　///查看ssh服務是否生效
[HUAWEI-aaa]display telnet server status　　　　　　　　　　 ///查看telnet服務是否生效
[HUAWEI-aaa]local-user chy privilege level 15 ///設置用戶級別
[HUAWEI-aaa]q ///退出AAA模式

設置vty 0 4遠程登陸的虛擬端口

VTY是路由器的遠程登陸的虛擬端口，0 4表示可以同時打開5個會話，line vty 0 4是進入VTY端口，對VTY端口進行配置，比如說配置密碼，或者ACL.

[HUAWEI]user-interface vty 0 4 ///進入vty 0 4遠程虛擬端口
[HUAWEI-ui-vty0-4]authentication-mode aaa ///爲虛擬用戶終端配置AAA身份驗證模式
[HUAWEI-ui-vty0-4]user privilege level 15 ///爲虛擬用戶終端配置用戶級別
[HUAWEI-ui-vty0-4]protocol inbound all ///爲虛擬用戶終端配置使用的協議，all即都支持
[HUAWEI-ui-vty0-4]protocol inbound telnet ///爲虛擬用戶終端配置telnet協議，即可以使用telnet遠程登錄
[HUAWEI-ui-vty0-4]protocol inbound ssh ///爲虛擬用戶終端配置ssh協議，即用戶可以使用ssh遠程登錄
[HUAWEI]ssh user chy authentication-type password ///爲chy用戶設置ssh認證爲password，此命令對設置單一用戶設置來說比較實用
[HUAWEI]ssh authentication-type default password ///設置ssh默認的認證方式爲密碼認證，對設置多個用戶來說很實用
[HUAWEI]ssh user chy service-type stelnet ///爲chy用戶設置ssh認證服務類型爲stelnet
[HUAWEI]display ssh user-information chy ///查看ssh服務chy用戶的配置信息
[HUAWEI]q　　　　　　　　　　　　　　　　　　　　　　　　///退出系統設置視圖
<HUAWEI>save　　　　　　　　　　　　　　　　　　　　　　///保存設置

配置登陸IP地址
<HUAWEI> system-view //進入系統配置模式
[HUAWEI]interface Vlanif 1 //進入三層 vlanif 接口
[HUAWEI-Vlanif1]ip address 192.168.0.1 255.255.255.0 //配置管理 IP 地址

創建web登錄管理賬號

[HUAWEI]http server enable ///系統視圖下開啓http服務
[HUAWEI]http secure-server enable ///系統視圖下開啓http安全服務 即https
[HUAWEI]aaa //系統視圖下進入aaa模式
[HUAWEI-aaa]local-user admin privilege level 15 ///配置 http 登錄名權限
[HUAWEI-aaa]local-user admin service-type http /// 開啓 http 登錄服務
[HUAWEI-aaa]quit /// 退出aaa模式

創建vlan

<HUAWEI>system-view　　　　　　　　　　 ///進入系統配置模式
[HUAWEI]vlan 10　　　　　　　　　　　　 ///創建vlan 10
[HUAWEI-vlan10]quit　　　　　　　　　　 ///退出系統配置模式
[HUAWEI]interface Vlanif 10　　　　　　　 ///進入配置vlan 10的模式
[HUAWEI-Vlanif10]ip address 192.168.0.1 255.255.255.0 ///爲vlan 10配置IP地址和掩碼
[HUAWEI-vlan10]quit　　　　　　　　　　 ///退出系統配置模式
[HUAWEI-GigabitEthernet0/0/2]　　　　　　 ///進入端口2
[HUAWEI-GigabitEthernet0/0/2]port link-type access　　///端口類型設置爲access
[HUAWEI-GigabitEthernet0/0/2]port default vlan 10　　 ///將port加入到我們創建好的vlan 10
[HUAWEI-GigabitEthernet0/0/2]display vlan 　　　　///查看配置的vlan信息
[HUAWEI]q　　　　　　　　　　　　　　　　　　　　　　　　 ///退出系統設置視圖

批量創建vlan

<HUAWEI>system-view　　　　　　　　　　 ///進入系統配置模式
[HUAWEI]vlan batch 2 to 19　　　　　　　　　　　 ///批量創建vlan 2-19 ，系統都會有一個默認的vlan 1
[HUAWEI]display vlan　　　　　　　　　　　　　　 ///查看vlan信息
[HUAWEI]q　　　　　　　　　　　　　　　　　　　　　 ///退出系統設置視圖

批量刪除vlan

<HUAWEI>system-view　　　　　　　　　　 ///進入系統配置模式
[HUAWEI]undo vlan batch 2 to 19　　　　　 ///批量刪除vlan 2-19 ，系統都會有一個默認的vlan 1
[HUAWEI]display vlan　　　　　　　　　　　 ///查看vlan信息
[HUAWEI]q　　　　　　　　　　　　　　　　　 ///退出系統設置視圖

批量把端口加入到vlan 10

<HUAWEI>system-view　　　　　　　　　　 ///進入系統配置模式
[HUAWEI]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/6
///將1口到6口添加到port-group，此處系統默認的給1口到6口添加到1個組裏了。
[HUAWEI-port-group]port link-type access　　　///將port-group組內的端口全部改爲access口
[HUAWEI-port-group]port default vlan 10　　　 ///將port-group組內的端口全部加入到vlan 10
[HUAWEI]q　　　　　　　　　　　　　　　　　　　 ///退出系統設置視圖

或者先創建一個端口組，再添加到vlan中

<HUAWEI>system-view　　　　　　　　　　 ///進入系統配置模式
[HUAWEI]port-group 1　　　　　　　　　　　///創建端口組，組名爲1
[HUAWEI-port-group-1]group-member GigabitEthernet 0/0/7 to GigabitEthernet 0/0/17　 ///把端口7到17添加到端口組1中
[HUAWEI-port-group-1]port link-type access　///將port-group-1組內的端口全部改爲access口
[HUAWEI-port-group-1]port default vlan 20　 ///將port-group-1組內的端口全部加入到vlan 20
[HUAWEI-port-group-1]display vlan 　　　　///查看配置的vlan信息
[HUAWEI-port-group-1]q　　　　　　　　　　　　///退出端口組1的配置模式
[HUAWEI]q　　　　　　　　　　　　　　　 ///退出系統設置視圖

刪除vlan----需要先刪除vlanif信息---再刪vlan

<HUAWEI>system-view　　　　　　　　　　 ///進入系統配置模式
[HUAWEI]undo interface Vlanif 10　　　　　///刪除vlanif 10
[HUAWEI]display vlan 　　　　　　　　　　 ///查看vlan配置
[HUAWEI]display current-configuration ///發現vlan配置還在，vlanif配置已經不在
[HUAWEI]undo vlan 10　　　　　　　　　　　 ///刪除vlan 10
[HUAWEI]display vlan 　　　　　　　　　　 ///查看vlan配置，發現vlan 10已經不在
[HUAWEI]display current-configuration ///發現vlan配置不在，vlanif配置也不在，但是port信息還有，單獨刪port信息太慢

批量刪除port信息

對於上面我們已經把vlanif信息刪除，vlan刪除，但是display current-configuration發現

之前創建的port信息還是在的，一個一個刪太慢，這裏我們還創建組去刪

<HUAWEI>system-view　　　　　　　　　　 ///進入系統配置模式
[HUAWEI]port-group 2　　　　　　　　　　　 ///創建port組2
[HUAWEI-port-group-2]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/6 ///將1口到6口加入到port組2中
[HUAWEI-port-group-2]undo port default vlan ///將port組2內的端口vlan配置全部刪除
[HUAWEI-port-group-2]undo port link-type ///將port組2內的端口類型全部恢復到默認
[HUAWEI-port-group-2]display current-configuration ///查看端口信息
[HUAWEI-port-group-2]q　　　　　　　　　　　　///退出端口組1的配置模式
[HUAWEI]q　　　　　　　　　　　　　　　 ///退出系統設置視圖