在网络设备的部署中,初始配置是非常重要的一步。无论是路由器、交换机还是防火墙,正确的初始配置能够为后续的网络管理和维护打下坚实的基础。本文将详细介绍如何在华为设备上进行初始配置,包括SSH用户配置、端口配置、Web管理端口、VTY配置以及防火墙策略等,并提供具体的配置实例。

1. 设备基本信息配置

在开始配置之前,首先需要设置设备的基本信息,例如主机名、时区和NTP服务器。

1
2
3
4
system-view
sysname Huawei-Router  # 设置设备主机名
clock timezone UTC+08:00 add 08:00:00  # 设置时区为UTC+8
ntp-service unicast-server 192.168.1.1  # 配置NTP服务器
  • 主机名:用于标识设备,便于管理。
  • 时区:确保设备时间与本地时间一致。
  • NTP:用于同步时间,确保日志和事件时间戳的准确性。

2. SSH用户配置

SSH(Secure Shell)是一种安全的远程管理协议。以下是配置SSH用户并启用SSH服务的步骤:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
user-interface vty 0 4
 authentication-mode aaa  # 使用AAA认证
 protocol inbound ssh  # 仅允许SSH登录
quit

aaa
 local-user admin password cipher Admin@123  # 创建用户admin,密码为Admin@123
 local-user admin privilege level 15  # 设置用户权限为最高级别
 local-user admin service-type ssh  # 允许用户使用SSH服务
quit

stelnet server enable  # 启用SSH服务
ssh user admin  # 配置SSH用户
ssh user admin authentication-type password  # 设置认证方式为密码
ssh user admin service-type stelnet  # 允许用户使用SSH登录
ssh authorization-type default aaa  # 使用AAA授权
  • AAA认证:提供灵活的用户管理和权限控制。
  • SSH服务:确保远程管理的安全性,避免使用明文传输的Telnet。

3. 端口配置

为设备的接口配置IP地址和描述信息,确保网络连通性。

1
2
3
4
5
6
7
8
9
interface GigabitEthernet0/0/1
 description Link-to-LAN  # 接口描述
 ip address 192.168.1.1 255.255.255.0  # 配置IP地址
 quit

interface GigabitEthernet0/0/2
 description Link-to-WAN  # 接口描述
 ip address 203.0.113.1 255.255.255.252  # 配置IP地址
 quit
  • 接口描述:便于识别接口用途。
  • IP地址:确保设备能够与其他网络设备通信。

4. Web管理端口配置

华为设备支持通过Web界面进行管理。以下是启用Web服务并配置HTTP/HTTPS端口的步骤:

1
2
3
4
http server enable  # 启用HTTP服务
http secure-server enable  # 启用HTTPS服务
http server port 8080  # 配置HTTP端口为8080
http secure-server port 8443  # 配置HTTPS端口为8443
  • HTTP/HTTPS:提供Web管理界面,HTTPS更安全。
  • 端口配置:可以自定义端口,避免使用默认端口以增强安全性。

5. VTY配置

VTY(Virtual Teletype)用于远程登录管理。以下是配置VTY线路并限制登录IP的步骤:

1
2
3
4
5
6
7
8
9
10
user-interface vty 0 4
 acl 2000 inbound  # 应用ACL 2000限制登录IP
 authentication-mode aaa  # 使用AAA认证
 protocol inbound ssh  # 仅允许SSH登录
 idle-timeout 10 0  # 设置空闲超时时间为10分钟
quit

acl number 2000
 rule 5 permit source 192.168.1.0 0.0.0.255  # 允许192.168.1.0/24网段登录
 rule 10 deny  # 拒绝其他IP登录
  • ACL限制:增强安全性,仅允许特定IP地址登录。
  • 空闲超时:避免长时间未操作的会话占用资源。

6. 防火墙基本配置

配置基本的防火墙策略,允许SSHWeb管理流量通过:

1
2
3
4
5
6
7
8
9
10
acl number 3000
 rule 5 permit tcp destination-port eq 22  # 允许SSH流量
 rule 10 permit tcp destination-port eq 8080  # 允许HTTP流量
 rule 15 permit tcp destination-port eq 8443  # 允许HTTPS流量
 rule 20 deny ip  # 拒绝其他流量
quit

interface GigabitEthernet0/0/2
 firewall packet-filter 3000 inbound  # 应用ACL 3000到接口
 quit
  • ACL策略:控制流量,确保只有合法的流量可以通过。
  • 接口绑定:将ACL应用到特定接口。

7. 保存配置

完成配置后,务必保存配置,以确保设备重启后配置不会丢失。

1
save

8. 其他基本配置

SNMP配置(可选)

1
2
3
4
snmp-agent
snmp-agent community read public  # 配置只读团体字
snmp-agent community write private  # 配置读写团体字
snmp-agent sys-info version all  # 启用所有SNMP版本

日志配置(可选)

1
2
info-center enable
info-center loghost 192.168.1.100  # 配置日志服务器

9. 验证配置

  • 使用display current-configuration查看当前配置。
  • 使用display ssh user-information查看SSH用户信息。
  • 使用display acl 2000查看ACL配置。

10. 测试连接

  • 使用SSH客户端连接到设备,验证SSH配置。
  • 使用浏览器访问https://192.168.1.1:8443,验证Web管理配置