一、配置本地用户认证
全局配置模式下
创建用户,配置用户名为test用户
local-user test class manage
配置用户密码为Password123
password simple Password123
配置用户登录方式为SSH
service-type ssh
配置用户权限等级为0
authorization-attribute user-role level-0
配置特权密码为testpassword
super password simple testpassword
配置示例:
1 | [H3C]local-user test class manage |
二、配置VLAN
全局配置模式下,创建vlan 10
Vlan 10
添加描述信息
description Bangong
配置示例:
1 | [H3C]vlan 10 |
三、端口加入VLAN
配置access类型端口
全局模式下进入端口配置模式
进入G1/0/1
interface GigabitEthernet 1/0/1
配置端口模式为access模式
port link-type access
配置端口所属vlan
port access vlan 10
配置示例:
1 | [H3C]interface GigabitEthernet 1/0/1 |
配置trunk类型端口(trunk类型端口适用于交换机接交换机)
全局模式下进入端口配置模式
进入G1/0/24
interface GigabitEthernet 1/0/24
配置端口模式为trunk模式
port link-type trunk
配置端口允许通过的VLAN
port trunk permit vlan 10 20
配置示例:
1 | [H3C]interface GigabitEthernet 1/0/24 |
四、配置接口 VLAN IP
全局模式下进入vlanif接口配置模式
进入vlan10 三层接口
interface Vlan-interface 10
配置IP地址 192.168.1.1 掩码255.255.255.0
ip address 192.168.1.1 255.255.255.0
配置示例:
1 | [H3C]interface Vlan-interface 10 |
五、配置静态默认路由
全局配置模式下,配置默认路由的下一跳为192.168.1.2
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
静态路由配置和默认路由配置命令一样,命令中前0.0.0.0 代表网络号,后面一个0.0.0.0代表掩码。这8个0则能代表所有网段。代码一个24未掩码的网段表示:192.168.2.0 255.255.255.0
配置静态路由:
ip route-static 192.168.2.0 255.255.255.0 192.168.1.2
六、配置生成树选项
生成树配置需要结合当地网络进行配置,要所有运行在一个拓扑能开启生成树功能的交换机,生成树配置一样。
全局模式下开启生成树功能
Stp enable
全局模式下关闭生成树功能
Stp disable
进入MST域视图
stp region-configuration
配置MST域名
region-name aqhn
配置实例1包含vlan10
instance 1 vlan 18
配置实例2包含vlan20
instance 2 vlan 20
激活MST域配置
active region-configuration
不包含实例中的vlan,全部属于默认实例0,如vlan1默认属于实例0
配置示例:
1 | [H3C]stp region-configuration |
七、配置ACL访问控制策略
进入acl配置模式
acl number 2000 或者 acl basic 2000 #number数字可配置2000-2999,基础ACL配置.
配置一条允许24.50.0.67主机
rule 0 permit source 24.50.0.67 0
配置一条允许23.50.6.0网段
rule 5 permit source 23.50.6.0 0.0.0.255
剩余的全部禁止
rule 10 deny
配置acl注意匹配规则是从上往下匹配,比如rule10 deny已经拒绝了除0,5匹配到的,剩余的都是禁止。这时候rule 15 permit source 23.50.7.0 0.0.0.255,则该策略不生效,23.50.7.0网段还是被全部禁止。
配置示例:
1 | [H3C]acl basic 2000 |
八、配置SSH远程登陆
全局开启ssh服务
ssh server enable
配置用户test使用ssh服务时采用密码登陆
ssh user test service-type stelnet authentication-type password
本地创建RSA加密类型密钥对
public-key local create rsa
本地创建DSA加密类型密钥对
public-key local create dsa
建议比较老的交换机同时生成这2个类型的加密密钥。否则可能导致不能使用ssh2方式登陆。
进入配置交换机的vty接口模式下,下面相当于可以同时5个人登陆这台交换机
user-interface vty 0 4
配置远程登陆的认证模式为AAA,即为本地用户认证
authentication-mode scheme
设置超时5分钟自动断开回话
idle-timeout 5 0
配置只允许ssh方式登陆交换机
protocol inbound ssh
配置示例:
1 | [H3C]ssh server enable |
九、配置时钟同步和时区
全局模式下配置时区为北京时区(加8小时)
[H3C]clock timezone BeiJin add 8
全局模式下配置时钟服务器10.109.192.5为第一个时钟服务器
[H3C]ntp-service unicast-server 10.109.192.5 priority
全局模式下配置时钟服务器10.109.192.43为备用时钟服务器
[H3C] ntp-service unicast-server 10.109.192.43
十、备份和还原IOS
交换机用户模式下通过tftp备份iso固件到23.50.6.99服务器
格式:tftp 服务器IP put 本地文件名 [远程文件名]
tftp 23.50.6.99 put s31ei_e-cmw310-r2108p04.bin [可选配置重命名文件]
交换机用户模式下通过tftp服务器还原IOS到交换机中
格式:tftp 服务器IP get 远程文件名 [本地文件名]
tftp 23.50.6.99 get s31ei_e-cmw310-r2108p04.bin [可选下载到交换机后文件重命名]
配置示例:
通过display boot-loader命令查看当前交换机使用的IOS文件名
1 | <H3C>display boot-loader |
Tftp服务器可以下载软件3CDaemon在电脑上运行即可。
十一、交换机常规巡检命令
查看三层接口Ip地址
display ip interface brief
查看二层接口状态信息
display interface brief
查看交换机的mac地址表
display mac-address
查看交换机的arp表
display arp
查看交换机的生成树状态
display stp brief
查看交换机版本
display version
查看交换机系统时间
display clock
查看交换机电源状态
display power
查看交换机风扇状态
display fan
查看交换机cpu使用状态
display cpu-usage history
查看交换机内存使用状态
display memory