1.配置本地观察口

observe-port 1 interface gigabitethernet 0/0/4 //将G0/0/4口设置为本地观察口

2.配置镜像口,将镜像端口接收到的指定方向的报文复制到本地观察端口上

interface gigabitethernet 0/0/1

port-mirroring to observe-port 1 inbound //镜像进方向的流量

interface gigabitethernet 0/0/2

port-mirroring to observe-port 1 outbound //镜像出方向的流量

interface gigabitethernet 0/0/3

port-mirroring to observe-port 1 both //镜像双向的流量

1.使能telnet服务

[huawei]telnet server enable

2.配置Telnet用户登录的用户界面：包括VTY用户界面的用户级别、验证方式、呼入呼出限制及其他基本属性

[huawei]user-interface vty 0 4

[huawei-line-vty0-4]authentication-mode aaa //使用aaa验证方式

[huawei-line-vty0-4]protocol inbound telnet //允许Telnet接入

3.配置Telnet类型的本地用户（AAA验证方式），包括配置验证方式为AAA时的用户名和密码

[huawei]aaa

[huawei-aaa]local-user 用户名 password cipher 密码 //设置用户名密码

[huawei-aaa]local-user 用户名 service-type telnet //该用户类型为Telnet

[huawei-aaa]local-user 用户名 privilege level 15 //该用户级别为15级（最高级）

本文档以华为S5720交换机为例，配置交换机防病毒策略，用于防范蠕虫病毒的攻击和传播，具体配置如下：

1.创建1个高级ACL访问控制列表，这里可以命名为virus：

acl name virus

2.在该ACL内做如下配置：

rule permit tcp source any destination any destination-port eq 135

rule permit udp source any destination any destination-port eq 135

rule permit udp source any destination any destination-port eq 137

rule permit udp source any destination any destination-port eq 138

rule permit tcp source any destination any destination-port eq 139

rule permit udp source any destination any destination-port eq 139

rule permit tcp source any destination any destination-port eq 445

rule permit udp source any destination any destination-port eq 445

rule permit tcp source any destination any destination-port eq 593

rule permit udp source any destination any destination-port eq 593

rule permit udp source any destination any destination-port eq 1434

rule permit tcp source any destination any destination-port eq 4444

rule permit tcp source any destination any destination-port eq 5554

rule permit tcp source any destination any destination-port eq 9995

rule permit tcp source any destination any destination-port eq 9996

3.配置基于ACL的流分类

traffic classifier virus

if-match acl virus

4.配置流行为

traffic behavior virus_deny

deny

5.创建流策略

traffic policy virus_deny

classifier virus behavior virus_deny

6.接下来，只需要将名为virus_deny的流策略应用到具体的交换机接口上就行了。应用该策略的命令为（在具体的接口模式下）：

traffic-policy virus_deny inbound

或traffic-policy virus_deny outbound

本文档以华为S5720交换机为例，演示华为交换机SSH远程登录的配置步骤。具体操作如下：

1.在特权模式下，输入aaa进入AAA模式：

2.设置本地用户名和密码，并采用cipher加密：

local-user <用户名> password <cipher|irreversible-cipher> <密码>

3.设置用户登录类型为ssh：

local-user <用户名> service-type ssh

4.设置用户权限级别为15（最高）：

local-user <用户名> privilege level 15

5.quit返回特权模式，然后开启SSH功能：

stelnet ipv4 server enable

6.创建SSH用户：

ssh user <用户名>

7.配置用户采用密码认证：

ssh user <用户名> authentication-type password

备注：缺省情况下，SSH用户的认证方式是空，即不支持任何认证方式。当设置用户采用密码认证时，在服务器端由AAA为每一个合法用户分配一个用于登录时进行身份验证的口令，即在服务器端存在“用户名＋口令”的一一对应的关系。当某个用户请求登录时，服务器需要对用户名以及其口令分别进行鉴别，其中任何一项不能验证通过均告验证失败，拒绝该用户的登录请求。对于使用password认证方式的用户，用户的账号信息可以配置在设备或者远程认证服务器（如RADIUS认证服务器）上。

8.指定SSH用户采用Stelnet的服务方式：

ssh user <用户名> service-type stelnet

9.出于交换机本身的网络安全角度考虑，建议改下SSH的远程端口号：

ssh ipv4 server port <端口号>

10.接下来，进入vty 0 4远程虚拟端口(0 4表示可以同时打开5个会话)：

user-interface vty 0 4

11.为虚拟用户终端配置AAA身份验证模式：

authentication-mode aaa

配置到这里，已经可以通过SSH协议方式远程到此交换机了，如果需要限制远程登录的IP地址，还可以在vty 0 4远程虚拟端口中，通过应用acl策略的方式做IP地址限制。

PING.PE是一家专业的ping测试网站，可以测试各节点与目标服务器的连接情况，目前主要提供ping测试、TCP端口测试、dig测试三项服务。

1.PING.PE网站官方主页：http://ping.pe，打开网站后的界面如下图所示，会详细列出你的IP相关详细信息

2.使用ping测试时，在空白框内输入目标IP地址或域名地址，然后点击“Go”

3.测试ping google域名地址结果如下图所示，在“chart”这栏查看国外节点都是绿色，国内各节点都是红色，代表连接失败，基本可以判断地址被墙

4.点击节点“MTR”栏下的show可以查看相应节点至目标地址的连接路由

5.在ping.pe首页点击port选项可以测试特定端口TCP连接，用于排查一些地址可以ping通但是无法连接的情况，有可能是被TCP阻断了

6.如图测试说明国内外的TCP连接正常

7.在ping.pe首页点击dig选项可以测试目标域名及其IP地址，类似于DNS解析

8.在Host空白框中输入目标域名，其它项目默认即可，最后点击“Go”

9.如图可以查看地区节点对指定域名的解析情况

本文以封装windos7旗舰版为例，向大家演示和说明windows操作系统封装的步骤。

1.封装所需工具、程序

a.Windows 7旗舰版原版操作系统iso镜像（必须）；

b.VMware Workstation（必须，无法用Hyper-V替代）；

c.EasySysprep_5.19.802.282（必须，版本可以不同）；

d.EasyU_v3.3.iso（必须）；

e.UltraISO（可用同类型软件替代）；

f.Dism 10.1.1000.100（可选）；

g.EasyDrv7_Win7.x64_7.20.107.2（万能驱动，可选）；

h.Oem7F7.exe（windows系统激活工具，可选）；

i.各种需要预安装的程序或应用，如7z、. Net Framework 4.0等（可选）

2.在VMware中使用原版镜像创建1台windows7虚拟机，并手动进行简单的优化，比如删除不必要的文件、打开远程桌面、调整系统防火墙、设置虚拟内存、关闭系统保护、关闭系统休眠（powercfg -h off）等等，然后在更新完系统补丁之后，将系统关闭。此时，我们可以拍摄下系统快照（建议每执行1大步骤之后都快照1次，因为系统封装耗时较长，且容易误操作，保存有效的系统快照可以有效地降低我们的犯错成本），拍摄快照的操作如下：

a.选中虚拟机，然后依次点击“虚拟机”→“快照”→“拍摄快照”，然后在弹出的对话框中输入快照名称（默认也行），最后点击“拍摄快照”完成操作：

3.当操作系统关机之后，我们需要给虚拟机新增1块虚拟磁盘用于存放封装所需的工具以及封装系统产生的wim格式文件，具体操作如下：

a.选中虚拟机，点击“编辑虚拟机设置”，打开“虚拟机设置”页面，点击“添加”：

b.在“添加硬件向导”选中“硬盘”后，点击“下一步”：

c.磁盘类型不需要改，点击“下一步”：

d.选择“创建新虚拟磁盘”，继续“下一步”：

e.磁盘容量不需要太多，一般10G就够用了，设置好磁盘大小之后，点击“下一步”，然后“完成”：

f.此时，我们需要开启虚拟机，进入系统，打开“计算机管理”→“磁盘管理”，将刚才划分的虚拟磁盘初始化，然后再格式化该磁盘，使磁盘内的空间可以被我们使用：

g.此时，我们需要将虚拟机再次关机，然后点击“编辑虚拟机设置”：

h.选中“磁盘2”（此虚拟磁盘在虚拟机系统中显示为磁盘1），然后点击“映射”：

i.去勾选“以只读模式打开文件”，然后点击“确定”，弹出的对话框选“是”：

j.此时，虚拟机中的磁盘2已经被映射到我们的主机上，将EasySysprep_5.19.802.282、Dism 10.1.1000.100、万能驱动、系统激活工具以及需要预装到系统中的软件拷贝到被映射的磁盘（如上图所示驱动器号为Z）上（也可以通过别的方式将软件传到虚拟机当中，比如远程桌面、FTP等）：

k.当软件拷贝完毕后，需要再次打开“虚拟机设置”，选中“磁盘2”，点击“断开连接”：

4.现在，我们可以启动虚拟机，在系统中预装一些软件（具体操作略）；

5.接下来，还需要对系统设置进行进一步的清理和优化：

a.找到之前上传到虚拟机中的Dism ，双击“Dism x64”运行该程序：

b.接受用户协议后，软件界面如下图所示：

c.在“系统优化”配置页面，展开“桌面图标管路”，如下图所示，将“我的电脑”、“回收站”、“控制面板”、“用户文件夹”、“网络”统统设定为“显示”，然后“提交规则”：

d.切换到“空间回收”页面，扫描并清理一些无用的系统临时文件：

e.退出Dism 软件（Dism 还有一些实用的功能可以自行摸索），打开桌面上的“计算机”，右击“本地磁盘（C：）”，选择“属性”，然后单击“磁盘清理”打开系统自带的磁盘清理工具继续给系统瘦身：

6.以上步骤皆为封装系统之前的准备工作。封装系统总体分为两个阶段：分别是操作系统内封装和PE（优启通）环境下封装，接下来将进行第一阶段的系统封装操作：

a.首先，双击运行之前上传到虚拟机系统内的EasySysprep软件

b.EasySysprep的主界面如下图所示，记住软件在这里有个坑会修改IE主页，需要点击页面右上角下拉箭头，将“网址导航”去勾选，然后点击“设置”进行第一阶段封装参数的配置：

c.“序列号”和“证书”放空，“域”那边也不需要填写，其他选项安装实际需求进行填写或选择，最后点击“封装”：

d.此时会有弹框提示，选择“完成后退出”或“完成后关机”（千万不要选重启），然后点击“确定”进行封装（封装速度比较快，不到1分钟就完成了）：

7.第一阶段封装完成后，需要先将虚拟机关机，然后从EasyU的PE环境启动进行第二阶段封装，具体操作如下：

a.在虚拟机关机状态下“编辑虚拟机设置”，将EasyU_v3.3.iso挂载到“CD/DVD（SATA）”

b.依次选择VMware页面的“虚拟机”→“电源”，单击“打开电源时进入固件”，此时虚拟机将自动启动并进入BIOS：

c.在BIOS内，切换到“BOOT”界面，按“-”键将“CD-ROM Drive”调整到最优先启动，然后按“F10”保存重启:

d.在启动的过程中，根据提示按任意键（手速要快）进入“Windows Boot Manager”，然后选择进入PE：

e.进入PE之后，将D盘内的万能驱动复制一份到C盘根目录下的Sysprep文件夹内（该文件夹在系统安装部署结束时会自动删除），将windows激活工具复制一份到C盘内其他的文件夹中，比如：C\:Windows\system

f.进入PE之后，在D盘找到EasySysprep.exe，双击运行，同样的，“网址导航”还要再去勾选一次，然后点击“设置”继续：

g.“OEM”根据实际需求进行设置，全都放空也没关系：

h.“优化”这里没有坑，默认全选即可：

i.“部署”这边也是按需选择，如果是使用IT天空出品的万能驱动，则“万能驱动”这边可以选择（如果使用非IP天空的驱动，则需要在“任务”那边进行设置）：

j.“系统”界面安装下图所示进行设置：

k．“用户”界面，去勾选“创建新用户”,然后“启用Admin账户”，“Admin密码放空”即可：

l．“网络”界面，“设置网络”和“MAC转IP”都不需要选择：

m．“任务”这里可以配置需要在装机过程中解压的压缩包以及需要运行的程序或脚本，如：安装驱动、激活操作系统等。由于本次封装的是windows7旗舰版系统，我们选择小马Ome7作为系统激活工具，如下图所示，添加任务，选择部署时机和任务行为，然后选择激活工具在C盘的存放路径，记住这里要在路径后面填写静默参数（每个参数之前都有空格）: /a /acer /random /protect不同版本激活工具的静默参数也不相同，而静默参数的作用，则是保证系统在运行该任务时，不需要人工干预，因此不建议在“任务”中运行不支持静默安装的程序：

n.设置了系统自动激活，还需要让系统在激活之后自动将激活工具删除，如下图所示：

o.“其他”配置界面，附加的软件一律不安装，“保存映像”也不要勾选，最后点击“封装”→“确定”进行封装（这里封装速度很快，几秒就能完成）：

p.接下来双击运行PE桌面上的“EIX系统安装”工具：

q.切换到“分区备份”页面，选中C盘（要备份的盘），然后点击“[ ]点此新建映像文件”：

r.选中D盘（存放备份文件的盘），文件命名为：install，然后点击“保存”：

s.接着点击“一键备份”，并“确认”开始备份系统镜像（这个过程耗时较长）：

t.备份完成后，退出EIX工具，将D盘的install.wim拷贝到我们的主机上（方法略）；

8.接下来，在我们的主机上，使用UltraISO打开原版镜像，将“sources”下的“install.wim”文件删除，然后把从虚拟机中拷贝出来的“install.wim”复制进去，最后再点击页面左上角的“文件”，“保存”（或“另存为”）新的ISO文件：

操作至此，新的windows系统已经封装完成了。

QoS端口限速是对通过整个端口的全部报文流量进行限制，不对具体流量进行区分，可以实现给某个接口分配固定的带宽，控制方式单一、有效。入方向与出方向的接口限速属于并列关系，维护人员可以根据需要同时配置，也可以单独配置。

在配置限速时，需要cir、cbs参数，参数释义如下：

CIR：用户平均速度

CBS：令牌桶最大容量，相当于线路总带宽，华为缺省值为CIR*125

本文以配置端口限速50M为例，进行演示。具体配置如下：

interface GigabitEthernet0/0/30 \\进入具体接口模式

qos lr inbound cir 51200 \\配置入方向限速50M，cir单位：kbps

qos lr outbound cir 51200 \\配置出方向限速50M

配置结果如下图所示：

Windows 7和Windows 2008以上版本的系统可以支持直接复制文件到远程桌面，但是Windows XP和Windows 2003等低版本系统并不支持。在正常配置远程桌面连接后如果出现无法直接复制文件到远程桌面的情况，可能是由于服务器系统中rdpclip.exe进程异常导致。本教程以Windows 7系统为例。

1.在服务器中打开任务管理器，在进程中右键选择rdpclip.exe，点击结束进程

2.在文件菜单栏处选择新建任务，输入rdpclip.exe，确认进程已创建后即可尝试拷贝文件

1.关于SNMP实体引擎ID

snmp-agent local-engineid：缺省情况下，设备采用内部算法自动生成一个设备引擎ID，包含公司的“企业号＋设备信息”。一般情况下，不需要特意去配置或更改SNMP实体引擎ID信息；

2.配置SNMP团体名（只读权限）

[HWSW]snmp-agent community read {团体名}

例如:

这里也可以通过设置ACL来指定SNMP服务器的IP地址来提高安全性，例如：

3.配置SNMP协议版本号

[HWSW]snmp-agent sys-info version {all|v1|v2c|v3}

我们使用版本号为v2c的snmp协议进行网络监控，因此这里可以配置为：all或者v2c（缺省情况下，系统维护联系信息为“R&D Beijing, Huawei Technologies Co., Ltd.”；物理位置信息为“Beijing China”；版本为SNMPv3，v3可以向下兼容v1和v2c）：

4.配置接收Inform消息的目的主机

设备发送Inform消息后需要等待网管的确认消息，如在指定的时间内没有得到网管的响应，设备会重新传送告警消息。如在指定的重传次数内，设备端仍然无法得到网管发送的确认消息时，设备端才会从告警队列中删除此告警消息。采用Inform方式可以最大程度的保证网管端接收到告警消息（使用Inform方式系统消耗的资源相对于Trap方式要大些）。

[HWSW]snmp-agent target-host inform address udp-domain {目的主机的IP地址} params securityname cipher {在网管侧显示的用户安全名}

例如：

（备注：Inform不是必须配置的选项）

5. 配置SNMP Agent与网管连接所使用的UDP端口号

SNMP服务使用UDP 161端口（SNMP trap 使用UDP162），我们可以通过修改本交换机SNMP UDP端口号的方式来提高安全性：

[HWSW]snmp-agent udp-port {161、1025-65535}

例如：

NQA（Network Quality Analysis）网络质量分析，是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA能够实时监视网络QoS，在网络发生故障时进行有效的故障诊断和定位。本文将介绍如何在华为交换机上配置NQA与静态路由联动，以提高链路的可靠性。

具体拓扑和IP地址如下图所示：

NQA配置：

SW：

nqa test-instance qgtest icmp

test-type icmp

destination-address ipv4 2.2.2.10 //探测的目标地址

frequency 10 //检测周期10秒

interval seconds 3 //周期内发的三次包时间间隔

start now

静态路由关联内容：

ip route-static 0.0.0.0 0.0.0.0 Vlanif100 1.1.1.2 track nqa helipay icmp //必须带出接口

ip route-static 0.0.0.0 0.0.0.0 1.1.1.3 preference 100 \\备用路由，华为静态路由默认优先级为60

测试：

关闭SW6上的G0/0/1接口，路由表会进行切换，如下图所示：

若是探测IP回复了，NQA是不支持抢占的，需要先关闭NQA探测：

nqa test-instance qgtest icmp

undo start //结束探测，路由才会基于优先级高低重新更新

start now //然后重新再启用探测