//各類查看代碼:
display mac-address sticky+端口號:查看相應端口的安全MAC表項(注意:若未開啟Sticky MAC功能,需要使用display mac-address security+端口號命令查看相應端口的安全動態MAC表項)。
display port vlan:看各端口模式、PVID是否與要求的一致;
display vlan:查看各個VLAN都可以在哪些接口上通行,是否與要求一致(哪些端口打標簽,哪些端口不打標簽)
display saved-configuration查看保存的配置文件
//給交換機配置IP地址:
interface Vlanif x
ip address IP地址 子網掩碼
//在LSW1上配置VTY用戶界面:
配置本地用戶接入類型為Telnet,驗證方式為密碼驗證,密碼設置地為Huawe1,在配置文件中明文顯示,配置VTY用戶節點的用戶優先級為15,設置用戶超時斷連功能,設置用戶界面斷連的超時時間為30分40秒。
user-interface vty 0 4 \\進入VTY用戶視圖(線路0-4)
protocol inbound telnet \\配置接入類型為Telnet(默認為Telnet)
authentication-mode password \\配置驗證方式為密碼(默認為密碼驗證)
set authentication password simple Huawe1 \\配置密碼為Huawe1,且密碼明文顯示在配置文件中,如需要密文,將該命令中的simple關鍵字換成cipher。
user privilege level 15 \\配置VTY用戶的權限為15級(默認為0級)
idle-timeout 30 40 \\配置超時時間為30分40秒(默認為10分鍾,該命令第一個參數為分鍾,第二個參數為秒,若只有一個參數,則系統認為是在設定分鍾,兩個參數均輸入0,則為永不超時)
//配置LSW1的Console用戶界面:
設置密碼驗證,密碼為Huawei123,設置密碼在配置文件中顯示為明文,設置用戶超時斷連功能,設置用戶界面斷連的超時時間為20分鍾。
user-interface console 0 \\進入Console用戶界面視圖
authentication-mode password \\設置Console用戶界面需要進行密碼驗證
set authentication password simple Huawei123 \\配置密碼為Huawei123,且密碼明文顯示在配置文件中,如需要密文,將該命令中的simple關鍵字換成cipher。
idle-timeout 20 \\配置超時時間為20分(默認為10分鍾,該命令第一個參數為分鍾,第二個參數為秒,若只有一個參數,則系統認為是在設定分鍾,兩個參數均輸入0,則為永不超時)
//在S7上配置端口安全。
要求:
1 在E0/0/1上配置端口安全;
2 最大安全MAC地址數量為1;
3 將Server20的MAC地址靜態綁定在E0/0/1 ;
4 保護動作為關閉。
interface Eth0/0/1 \\進入端口視圖
port-security enable \\開啟端口安全
port-security max-mac-num 3 \\將最大安全MAC地址數量設置為3
port-security mac-address sticky \\開啟Sticky MAC功能(默認自動獲取)
port-security mac-address sticky 5678-5678-5678 vlan 1 \\將MAC地址5678-5678-5678靜態綁定在本端口上(注:1,一個MAC地址只能綁定在一個端口上;2,有關VLAN 1的介紹等到后面講到VLAN再說,現在大家先把這個vlan 1敲上去就好)
port-security protect-action shutdown \\配置保護動作為關閉
//在AR2上配置VTY用戶界面:
A 配置本地用戶接入類型為SSH,驗證方式為AAA驗證,設置用戶超時斷連功能,設置用戶界面斷連的超時時間為30分。
命令樣例:
[AR2]rsa local-key-pair create \\創建秘鑰對
The key name will be: S6_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 512]: \\配置秘鑰長度,可以直接回車,直接回車設置秘鑰長度為默認長度,512,也可以輸入數字,越大越安全,但秘鑰長度越大,計算量越大,對設備壓力也就越大
[AR2]stelnet server enable \\開啟SSH
Info: Succeeded in starting the Stelnet server.
[AR2]user-interface vty 0 4 \\進入VTY用戶視圖(線路0-4)
[AR2-ui-vty0-4]protocol inbound ssh \\配置接入類型為ssh(默認為Telnet)
[AR2-ui-vty0-4]authentication-mode aaa \\配置驗證方式為aaa(默認為密碼驗證)
[AR2-ui-vty0-4]idle-timeout 30 40 \\配置超時時間為30分40秒(默認為10分鍾,該命令第一個參數為分鍾,第二個參數為秒,若只有一個參數,則系統認為是在設定分鍾,兩個參數均輸入0,則為永不超時)
B進入AAA配置視圖,創建用戶為SSH服務,用戶名為sziit,密碼為sziit,密碼明文顯示用戶等級為15級。
命令樣例:
[AR2]aaa \\進入AAA視圖
[AR2-aaa]local-user sziit password simple sziit \\創建用戶
Info: Add a new user.
[AR2-aaa]local-user sziit service-type ssh \\指定用戶的用途
[AR2-aaa]local-user sziit privilege level 15 \\配置用戶的權限
[AR2-aaa]quit
[AR2]ssh user sziit authentication-type password \\將SSH協議與用戶和認證密碼關聯起來
C 驗證
在AR1上測試,看能否使用SSH協議遠程訪問AR2。
命令樣例:
[AR1]ssh client first-time enable \\SSH客戶端初始設置
[AR1]stelnet 192.168.0.2 \\通過SSH遠程訪問192.168.0.2
在所有交換機上創建VLAN 10,20,30,40和50,並按照下表來將各端口分配到相應的VLAN。
//access模式
命令樣例:
[Huawei]vlan batch 10 20 30 40 50 \\創建VLAN 10,20,30,40,50
[Huawei]port-group 1 \\創建接口組1
[Huawei-port-group-1]group-member e0/0/1 to e0/0/7 \\將同等配置的接口添加到接口組
[Huawei-port-group-1]port link-type access \\將接口組中的接口配置為access模式
[Huawei-port-group-1]port default vlan 10 \\將接口組中的接口PVID設置為VLAN 10
注:在創建多個VLAN時,如果VLAN ID是連續的,可以用to,例如3 to 5 表示創建VLAN 3,4,5.
//Trunk模式
命令樣例:
[Huawei]int g0/0/1 \\進入接口
[Huawei-GigabitEthernet0/0/1]port link-type trunk \\配置接口為Trunk模式
[Huawei-GigabitEthernet0/0/1]port trunk pvid vlan 50 \\設置接口PVID為50,本端口收到不帶標簽的流量會打上VLAN 50的標簽,發送VLAN 50的流量不打標簽
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40 50 \\配置該接口允許VLAN 10,20,30,40,50通信
注:在設置端口允許通信的VLAN列表時,如果VLAN ID是連續的,可以用to,例如3 to 5 表示VLAN 3,4,5.
//Hybrid模式
命令樣例:
[Huawei]int g0/0/1 \\進入接口
[Huawei-GigabitEthernet0/0/1]port link-type hybrid \\配置接口為Trunk模式
[Huawei-GigabitEthernet0/0/1]port hybrid pvid vlan 50 \\設置接口PVID為50,本端口收到不帶標簽的流量會打上VLAN 50的標簽
[Huawei-GigabitEthernet0/0/2]port hybrid untagged vlan 50 \\設置接口允許VLAN 50的流量通信,並且在發送時,去掉標簽
[Huawei-GigabitEthernet0/0/2]port hybrid tagged vlan 10 20 30 40 \\設置接口允許VLAN 10,20,30,40流量通信,通過該接口發送上述VLAN的流量時,帶標簽
注:在設置端口通信是否打標簽時,如果VLAN ID是連續的,可以用to,例如3 to 5 表示VLAN 3,4,5.
//給各交換機配置網關地址
PC和交換機的默認網關地址為所在網絡的最后一個可用IP地址。
[LSW5]ip route-static 0.0.0.0 0 10.X.35.254 \\將這里的X替換成學號后兩位,例如學號為05,X就替換成5,學號為15,X就替換成15
//配置傳統VLAN間通信
A 路由器AR1上配置,要求:按照上圖所示,AR1的G0/0/1接口為VLAN 15的網關,為VLAN 15轉發跨網絡的流量,G0/0/2接口為VLAN 25的網關,G0/0/0接口為VLAN 35的網關。
配置命令樣例:
[AR1]interface GigabitEthernet 0/0/0 \\進入端口
[AR1-GigabitEthernet0/0/0]ip address 10.0.35.254 24 \\配置IP地址
B 交換機LSW5上配置,將各接口按照上表分配到相應的VLAN,要求:接口配置Access模式。
命令樣例:
[LSW5-GigabitEthernet0/0/1]port link-type access \\配置G0/0/1為access接口
[LSW5-GigabitEthernet0/0/1]port default vlan 15 \\將G0/0/1分配到VLAN 15,即將該接口的PVID修改為了15
//配置單臂路由
A 在LSW6上配置,將LSW6上,與AR2直連的物理接口G0/0/1,配置為Trunk接口,PVID為VLAN 35,允許所有已有VLAN通行。
B 在AR2上配置單臂路由,使整個網絡各VLAN之間可以互訪。要求:虛擬子接口ID與VLAN ID一致,各VLAN的網關,IP地址為所屬VLAN的最后一個可用IP地址
//配置三層交換實現VLAN間通信
在LSW4上配置VLAN間通信,清除為LSW4配置的網關地址,其他交換機的網關地址不能動。為每個VLAN創建一個VLANIF接口,IP地址為對應VLAN的最后一個可用IP地址
配置命令樣例:
[LSW4]undo ip route-static 0.0.0.0 0 10.X.35.254 \\清除默認網關的設置。將這里的X替換成學號后兩位,例如學號為05,X就替換成5,學號為15,X就替換成15
[LSW4]interface Vlanif 15 \\創建VLANIF接口
[LSW4-Vlanif15]ip address 10.0.15.254 24 \\配置IP地址
//靜態路由配置
為AR2的每一個遠程網絡配置一個靜態路由,要求:送出接口為串口時,請用送出接口的靜態路由,送出接口為以太網接口時,請使用下一跳IP地址的靜態路由。
[AR2]ip route-static 172.16.12.0 24 s4/0/0 \\送出接口的靜態路由
[AR2]ip route-static 172.16.12.0 24 10.0.0.1 \\下一跳IP地址的靜態路由
//默認路由設置
觀察AR1去往ISP最近的接口
[AR1]ip route-static 0.0.0.0 0.0.0.0 s0/0/0 \\送出接口的默認路由
[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 \\下一跳IP地址的默認路由