华为交换机配置步骤.docx
《华为交换机配置步骤.docx》由会员分享,可在线阅读,更多相关《华为交换机配置步骤.docx(20页珍藏版)》请在冰点文库上搜索。
华为交换机配置步骤
恢复出厂设置:
resetsaved-configuration
reboot
配置交换机的步骤:
1、设置管理VLAN及业务VLAN
Sys
Vlan1163//管理VLAN
Vlan1103//业务VLAN
设置交换机管理IP地址
interfacevlan1163
ipaddress10.120.3.1255.255.255.0
/////////////////////////////////////////////////////////////////////
management-vlan1571
interfacevlan1571
ipaddress10.120.211.1255.255.255.0
////////////////////////////////////////////
Switch#conterm
Switch(config)#interintervlan1166
Switch(config-if)#ipaddresss10.120.6.3255.255.255.0
Switch(config-if)#exit
Switch(config)#ipdefault-gateway10.120.6.254
幼儿园的交换机
DHCP服务器210.36.64.80的设置:
新建作用域。
。
。
业务VLAN
核心交换机端的设置:
1、discurrinterVlanif1103
interfaceVlanif1103
descriptionGuoJiaoChu.user1
ipaddress10.21.16.254255.255.255.0
dhcpselectrelay
dhcprelayserver-select210.36.64.80
2、discurrinterVlanif1163
interfaceVlanif1163
descriptionGuoJiaoChu.Mgr
ipaddress10.120.3.254255.255.255.0
3、discurrinterG5/0/41
interfaceGigabitEthernet5/0/41
descriptionTO-[YouErYuan]
portlink-typetrunk
porttrunkallow-passvlan2241511
//切记在该光口透传新增的业务VLAN1511
interfaceGigabitEthernet5/0/14
descriptionTO-[GuoJiJiaoLiuCHu-2]
portlink-typetrunk
undoporttrunkallow-passvlan1
porttrunkallow-passvlan2to4094
//此处则因为透传了所有的VLAN而忽略了
接入层交换机端的设置:
添加VLAN1103、VLAN1163
2、sysname
3、各交换机端口允许访问的VLAN
将交换机级联口设置为trunk口:
interfaceEthernet0/0/24
portlink-typetrunk
porttrunkallow-passvlanall
将交换机端口口设置为access口:
///////////////////////////////////////////////////////
Switch#conterm
Switch(config)#interEthernet0/0/1
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlan1106
Switch#conterm
Switch(config)#intergi1/0/1
Switch(config-if)#switchporttrunkencapsulationisl
//指定封装类型isl或dot1q
Switch(config-if)#switchportmodetrunk
Switch(config-if)#switchporttrunkallowvlan1166
校验以上设置:
Switch#showinterface…
Switch#showipinterface…
Switch#showrunning-configinterface…
a、[ShangXueYuan.SW2]stpenable//启用STP
b、[ShuangXueYuan.SW4-Ethernet0/1]stpedged-portenable
//将交换机的普通端口(级联口禁止设置为edged-port)设置为边缘端口,这样普通端口up或down时就不再把信息向整个网络广播。
c、[ShuangXueYuan.SW2]stpbpdu-protectiloon
//全局设置stpbpdu-protection后若某个边缘端口被接入交换机(该交换机是能发送STP的服务器)或有环路,则该端口会自动shutdown掉。
例如:
d、[5po3.Sw02.4F-GigabitEthernet1/1/1]stproot-protection
//只能在下行口设置,上行口不能做这样的设置。
4、认证方式为Scheme时的Telnet登录配置
使能设备的Telnet服务:
telnetserverenable//S5120
[Quidway]local-useradmin
[Quidway-luser-longway]passwordcipherabc123
[Quidway-luser-longway]service-typetelnetlevel3
//S5120设置VTY用户的命令级别:
authorization-attributelevel
[Quidway-luser-longway]quit
[Quidway]user-interfacevty04
[Quidway-ui-vty0-4]authentication-modescheme/password
[Quidway-ui-vty0-4]setauthenticationpasswordcipherabc123
修改telnet用户登录后的用户级别:
?
?
?
?
?
?
[sw1]aaa
[sw1-aaa]local-useradminpasswordcipherabc123
[sw1-aaa]local-useradminservice-typetelnet
[sw1-aaa]quit
[sw1]user-interfacevty04
[sw1-ui-vty0-4]authentication-modeaaa
修改telnet用户登录后的用户级别:
[sw1-ui-vty0-4]userprivilegelevel3
[sw1-ui-vty0-4]protocolinboundtelnet
////////////////////////////////////////////////
telnetserverenable
local-useradmin
passwordcipherabc123
authorization-attributelevel3
service-typetelnet
service-typetelnetlevel3
quit
user-interfacevty04
authentication-modescheme
setauthenticationpasswordcipherabc123
superpasswordcipherabc123
authentication-modepassword
quit
superpasswordlevel3cipherabc123
////////////////////////////////////////////////
Switch>enable
Switch#confterm
Switch(config)#linevty015
Switch(config-line)#passwordgxun@2014
Switch(config-line)#end
Switch#showrunning-config
Switch#copyrunning-configstartup-config
5、设置路由
iproute-static0.0.0.00.0.0.010.120.3.254preference60
iproute-static10.10.10.0255.255.255.0210.36.68.1preference60
iproute-static210.36.64.0255.255.255.0210.36.68.1preference60
6、加入Catic
snmp-agentcommunityreadMrtgread
snmp-agentsys-infolocationLiXueYuan.SW2.216
snmp-agentsys-infoversionall
(注意路由是否设置对了
iproute-static0.0.0.00.0.0.010.120.3.254preference60)
7、DHCP服务器的设置
[ShangXueYuan.SW2]dhcpenable
[ShangXueYuan.SW2]dhcpsnoopingenable
[ShangXueYuan.SW2-Ethernet0/0/45]dhcpsnoopingtrusted
8、ntp-serviceunicast-server10.4.0.1
9、ARP入侵检测与ARP报文限速配置
[SwitchA]interfaceEthernet1/0/1
[SwitchA-Ethernet1/0/1]dhcp-snoopingtrust
[SwitchA-Ethernet1/0/1]arpdetectiontrust
//a、开启交换机的DHCPSnooping功能,并设置级联端口Ethernet1/0/1为DHCPSnooping信任端口。
b、为防止ARP中间人攻击,配置VLAN1的ARP入侵检测功能,设置级联端口Ethernet1/0/1为ARP信任端口;
[SwitchA]vlan1
[SwitchA-vlan1]arpdetectionenable
//开启VLAN1内所有端口的ARP入侵检测功能。
[SwitchA]interfaceEthernet1/0/2
[SwitchA-Ethernet1/0/2]arprate-limitenable
[SwitchA-Ethernet1/0/2]arprate-limit20
//开启普通端口上的ARP报文限速功能,防止来自ClientA和ClientB的ARP报文流量攻击。
[SwitchA]arpprotective-downrecoverenable
[SwitchA]arpprotective-downrecoverinterval200
//开启SwitchA上的端口状态自动恢复功能,设置恢复时间间隔为200
秒。
配置注意事项:
a、配置ARP入侵检测功能之前,需要先在交换机上开启DHCPSnooping功能,并设置DHCPSnooping信任端口。
b、用户必须先开启交换机的端口状态自动恢复功能,才能设置端口状态自动恢复的时间。
c、一般情况下,需要配置交换机的上行端口作为ARP信任端口。
d、建议用户不要在汇聚组中的端口或Fabric端口上配置ARP入侵检测、ARP报文限速功能。
10、设置可WEB网管
2014年3月3日
已经有S2700-52P-EI-V100R006C03.WEB.ZIP了,如何设置可WEB管理?
已经有S2700-52P-EI-V100R006C03.WEB.ZIP了,如何设置可WEB管理?
使用命令加载WEB文件
[Quidway]httpserverloadS2700-52P-EI-V100R006C03.WEB.ZIP
创建WEB登陆账号:
执行命令system-view,进入系统视图。
执行命令httpserverenable,使能HTTP服务。
执行命令aaa,进入AAA视图。
执行命令local-useruser-namepassword{simple|cipher}password,配置HTTP用户名和密码。
说明:
在实际配置时最好使用cipher形式的密码,用户名和密码不要设置的过于简单,以保证安全性。
执行命令local-useruser-nameservice-typehttp,配置用户的访问类型为HTTP。
执行命令quit,返回系统视图。
CISCO:
更改交换机端口速率:
supervisor
Tsyg**~~~
telnet10.0.175.2
user4gxmy
su
user4gxmy
sys
intergiga2/1
line-rate8
q
q
save
y
q
广西大学()——路由器NE
(核心交换机)百兆电口——光纤收发器——光纤机柜——带百兆光模的交换机
百兆电口的配置:
interfaceEthernet7/0/7
undonegotiationauto
duplex
undoshutdown
porttrunkpermitvlan275
access-groupeaclkvicmpportEthernet7/0/7
qosbuildrunrecoveraccess-group
(核心交换机)百兆电口——PC
百兆电口的配置:
interfaceEthernet7/0/7
undonegotiationauto
duplex
undoshutdown
portdefaultvlan75
access-groupeaclkvicmpportEthernet7/0/7
qosbuildrunrecoveraccess-group
检查DNS的运行情况:
(核心交换机3)百兆电口——光纤收发器——带百兆光模的交换机——笔记本电脑
在笔记本电脑上:
nslookup——telnet10.1.0.3——telnet210.36.7.6
路由器端口(至广西大学)——210.36.7.6;广西大学——210.36.7.5
路由器端口(至电信)——219.195.69.118;电信——219.195.69.117
telnet到核心交换机210.36.64.1
telnet到核心交换机210.36.75.1,supervisor:
gxmyxywen密码一样
telnet到核心交换机210.36.64.3
在中
telnet10.0.1.1
2403:
gxmyibm2003
3024:
user4gxmy
super密码一样
例如:
在ping210.36.64.80即DHCP服务器,若能ping通
48口交换机需要对Ethernet0/45~Ethernet0/48这4个trunk口以及GigabitEthernet2/1做配置
如何解决外语学院(Cs1——Vlan12)能正确获取IP地址能上校园网但是上不了外网的问题:
[center-switch-2]dispintervlan12
[center-switch-2]intervlan12
[center-switch-2-Vlanif12]shutdown
百兆口的配置:
interfaceEthernet1/1
portlink-typetrunk
porttrunkpermitvlanall
gvrp
dispcpu
在核心交换机处把传输包的大小改小,级联端口的错误包就会减少
interfaceEthernet14/0/8
description8po2-4unit-switch1
mtu1450
undonegotiationauto
duplex
undoshutdown
input:
612inputerrors,0runts,612giants,0throttles,0CRC
0frame,-overruns,0aborts,0ignored,-parityerrors
模拟VLAN77去PINGDHCP
ping-a10.3.2.1210.36.64.80
PING210.36.64.80:
56databytes,pressCTRL_Ctobreak
Replyfrom210.36.64.80:
bytes=56Sequence=1ttl=128time=1ms
Replyfrom210.36.64.80:
bytes=56Sequence=2ttl=128time=1ms
Replyfrom210.36.64.80:
bytes=56Sequence=3ttl=128time=1ms
Replyfrom210.36.64.80:
bytes=56Sequence=4ttl=128time=1ms
Replyfrom210.36.64.80:
bytes=56Sequence=5ttl=128time=1ms
看4坡6栋(原4-4A座)的网关10.2.12.1到路由器是否正常
ping-a10.2.12.110.1.0.2
PING10.1.0.2:
56databytes,pressCTRL_Ctobreak
Replyfrom10.1.0.2:
bytes=56Sequence=1ttl=255time=10ms
Replyfrom10.1.0.2:
bytes=56Sequence=2ttl=255time=1ms
Replyfrom10.1.0.2:
bytes=56Sequence=3ttl=255time=1ms
Replyfrom10.1.0.2:
bytes=56Sequence=4ttl=255time=1ms
Replyfrom10.1.0.2:
bytes=56Sequence=5ttl=255time=1ms
#
interfaceEthernet0/2
broadcast-suppression5
stpedged-portenable
设置密码:
S2008
user-interfaceaux0
authentication-modepassword
setauthenticationpasswordcipheruser4gxmy
user-interfacevty04
authentication-modepassword
setauthenticationpasswordcipheruser4gxmy
1) 本地用户名称和权限
superpasswordlevel3cipherxxxx
local-userguestlevel0passwordcipherxxxx
local-usersupervisorlevel3passwordcipherxxxxx
其中各level权限的定义如下:
level0:
参观
level1:
监控
level2:
配置
level3:
管理
2)定义使用本地验证
user-interfacecon0
setauthentication-modelocal
user-interfaceaux0
authentication-modelocal
user-interfacevty04
authentication-modelocal
#
interfaceEthernet0/45
portlink-typetrunk
porttrunkpermitvlanall
broadcast-suppression5
gvrp
#
interfaceEthernet0/46
portlink-typetrunk
porttrunkpermitvlanall
broadcast-suppression5
gvrp
#
interfaceEthernet0/47
portlink-typetrunk
porttrunkpermitvlanall
broadcast-suppression5
gvrp
#
interfaceEthernet0/48
duplexfull
portlink-typetrunk
porttrunkpermitvlanall
broadcast-suppression5
gvrp
#
interfaceGigabitEthernet2/1
duplexfull
speed1000
portlink-typetrunk
porttrunkpermitvlanall
broadcast-suppression10
gvrp
<>sys
[]interfaceeth0/21
忘记交换机的密码怎么办?
*******************************************
**
*QuidwayS2403HBOOTROM,Version110*
**
*******************************************
Copyright(C)2000-2002byHUAWEITECHNOLOGIES