CloudEngine 12800, 12800E 系列交换机
V200R005C00
配置指南-VXLAN
文档版本 02
发布日期 2018-08-20
华为技术有限公司
版权所有 © 华为技术有限公司 2018。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传
播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或
特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声
明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文
档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址: 深圳市龙岗区坂田华为总部办公楼 邮编:518129
网址: http://e.huawei.com
文档版本 02 (2018-08-20) 版权所有 © 华为技术有限公司 i
前 言
读者对象
本文档适用于负责配置和管理CE系列交换机的网络工程师。您应该熟悉以太网基础知
识,且具有丰富的网络部署与管理经验。
符号约定
在本文中可能出现下列标志,它们所代表的含义如下。
符号
说明
用于传递设备或环境安全警示信息,若不避免,可
能会导致设备损坏、数据丢失、设备性能降低或其
它不可预知的结果。
“注意”不涉及人身伤害。
用于突出重要/关键信息、最佳实践和小窍门等。
“说明”不是安全警示信息,不涉及人身、设备及
环境伤害信息。
命令行格式约定
在本文中可能出现下列命令行格式,它们所代表的含义如下。
格式
意义
粗体 命令行关键字(命令中保持不变、必须照输的部分)采用
加粗字体表示。
斜体
命令行参数(命令中必须由实际值进行替代的部分)采用
斜体
表示。
[ ] 表示用“[ ]”括起来的部分在命令配置时是可选的。
{ x | y | ... } 表示从两个或多个选项中选取一个。
[ x | y | ... ] 表示从两个或多个选项中选取一个或者不选。
CloudEngine 12800, 12800E 系列交换机
配置指南-VXLAN 前 言
文档版本 02 (2018-08-20) 版权所有 © 华为技术有限公司 ii
格式 意义
{ x | y | ... }
*
表示从两个或多个选项中选取多个,最少选取一个,最多
选取所有选项。
[ x | y | ... ]
*
表示从两个或多个选项中选取多个或者不选。
&<1-n> 表示符号&的参数可以重复1~n次。
# 由“#”开始的行表示为注释行。
接口编号约定
本手册中出现的接口编号仅作示例,并不代表设备上实际具有此编号的接口,实际使
用中请以设备上存在的接口编号为准。
安全约定
l 密码配置约定
– 配置密码时请尽量选择密文模式(cipher)。为充分保证设备安全,请用户不要
关闭密码复杂度检查功能,并定期修改密码。
– 配置显示模式的密码时,请不要以“%^%#......%^%#”作为起始和结束符。
因为用这些字符为起始和结束符的是合法密文(本设备可以解密的密文),
配置文件会显示与用户配置相同的显示密码。当设备上使用命令set master-
key设置了系统主密钥后,请不要以“%@%#”作为起始和结束符,因为此时
用字符“%@%#”为起始和结束符的是合法密文。
– 配置密文密码时,不同特性的密文密码不能互相使用。例如AAA特性生成的
密文密码不能用于配置其他特性的密文密码。
– 设备从高版本以当前版本的配置重启降级到低版本时,AAA、VTY、串口和
SNMP等的用户密码可能会失效,导致用户通过密码登录设备失败、网管脱管
等现象。
为了解决这个问题,可以采取以下措施:
i. 如果串口没有设置密码,可以通过串口登录,重新配置AAA和VTY、
SNMP等的用户密码。出于安全考虑,建议用户配置串口密码。
ii. 如果串口也设置了密码,降级后,串口密码会失效导致串口连不上。可
以通过以下步骤解决:
1) 串口接入;
2) 下电重启设备,在启动过程中,根据串口打印屏幕提示输入Ctrl+B
进入BIOS界面,默认密码是Admin@huawei.com;
3) 选择7.Modify console password,清除并修改串口密码;
4) 重启设备,通过串口登录设备,重新配置AAA和VTY、SNMP等的
用户密码。
l 加密算法约定
CloudEngine 12800, 12800E 系列交换机
配置指南-VXLAN 前 言
文档版本 02 (2018-08-20) 版权所有 © 华为技术有限公司 iii
目前设备采用的加密算法包括DES、3DES、AES、DSA、RSA、DH、ECDH、
HMAC、SHA1、SHA2、PBKDF2、scrypt、MD5,具体采用哪种加密算法请根据
场景而定。请优先采用我们的建议,否则会造成无法满足您安全防御的要求。
– 对称加密算法建议使用AES(256位及以上密钥)。
– 非对称加密算法建议使用RSA(2048位及以上密钥),使用非对称算法时,
加密和签名要使用不同的密钥对。
– 数字签名建议使用RSA(2048位及以上密钥)或者DSA(2048位及以上密
钥)。
– 密钥协商建议使用DH(2048位及以上密钥)或者ECDH(256位及以上密
钥)。
– 哈希算法建议使用SHA2(256及以上密钥)。
– HMAC(基于哈希算法的消息验证码)算法建议使用HMAC-SHA2。
– DES、3DES、RSA和AES加密算法是可逆的。对于协议对接类的应用场景,
存储在本地的密码必须使用可逆加密算法。
– SHA1、SHA2和MD5加密算法是不可逆的。对于本地管理员类型的密码,建
议采用SHA2不可逆加密算法。
– 为了防止对于密码的暴力破解,对用户密码在增加盐值的基础上进行迭代计
算,迭代算法使用PBKDF2或者scrypt秘钥导出算法。
– ECB模式抵抗明文防重放攻击能力较弱,密码加密不建议选择ECB模式。
– SSH2.0版本中,使用CBC模式的对称加密算法可能受到明文恢复攻击而泄露
加密传输的内容,因此,在SSH2.0中不建议使用CBC模式对数据加密。
l 个人数据约定
您购买的产品、服务或特性在业务运营或故障定位的过程中将可能获取或使用用
户的某些个人数据(如终端用户的MAC地址或IP地址),因此您有义务根据所适
用国家的法律制定必要的用户隐私政策并采取足够的措施以确保用户的个人数据
受到充分的保护。
l 本文档中出现的“镜像端口、端口镜像、流镜像、镜像”等相关词汇仅限于为了
描述该产品进行检测通信传输中的故障和错误的目的而使用,不涉及采集、处理
任何个人数据或任何用户通信内容。
特别声明
本手册仅作为使用指导,其内容(如CLI命令格式、命令输出)依据实验室设备信息编
写。手册提供的内容具有一般性的指导意义,并不确保涵盖所有型号产品的所有使用
场景。因版本升级、设备型号不同、配置文件不同等原因,可能造成手册中提供的内
容与用户使用的设备界面不一致。请以用户设备界面的信息为准,本手册不再针对前
述情况造成的差异一一说明。
本手册中提供的最大值是设备在实验室特定场景(例如,被测试设备上只有某种类型
的单板,或者只配置了某一种协议)达到的最大值。在现实网络中,由于设备硬件配
置不同、承载的业务不同等原因会使设备测试出的最大值与手册中提供的数据不一
致。
产品软件和网管软件版本配套关系
产品软件和网管软件版本配套关系如下所示。
CloudEngine 12800, 12800E 系列交换机
配置指南-VXLAN 前 言
文档版本 02 (2018-08-20) 版权所有 © 华为技术有限公司 iv
