為了規范辦公室的網絡管理,在4-5樓增加了一台可管理的交換機。買什么型號,我也沒有什么要求,只要支持管理即可,經過辦公室的采購,上了一台華三的設備,型號是H3C S5120V2-28P-LI,這是一台二層交換機。一直以來,我還是認可華三的設備的。設備來后,我進行了配置。雖然很快配置好了,但是也有一些例會。
1.串連有要求
設備拿來就可以用。但是,要管理還得配置。首先,就用控制線將交換機與電腦連接起來(交換機端是RJ45,電腦端是串口COM1)。啟動超級終端,速率為9600,數據位為8,無奇偶校驗,停止位為1,數據流控制為Xon/Xoff。這樣,就鏈接上了,按兩個回車,OK。
2.規划很重要
配置之前,必須規划好網絡。首先在三層交換機(或上層交換機)定義好端口(如port 14),trunk類型,放行本交換機需要的Vlan(如Vlan399,356-351,353等)。其次就是規划本交換機端口,如port1-2∈vlan 1,port3-4∈vlan 346,port5-6∈vlan 347,port7-8∈vlan 348,port9-10∈vlan 349,port11-12∈vlan 350,port 13-14∈vlan 351,port 15-20∈vlan 399,port 21 acc、port22-28 trunk ∈vlan 353。其中,port24用於向上鏈接上級交換機管理端口。
3.配置也簡單
說起配置也簡單,怎么就越來越簡單了呢?快退休了怎么就感覺到越來越得心應手了呢?讓我想起一首歌里面的歌詞“怎么剛剛懂得路該往哪走,怎么還沒走到就老了……怎么剛剛開始明白就老了”。其實,也是合理的,長期的理論學習和實踐應用,必然如此,加之現在網絡越來越方便,很多東西百度一下就OK。
通過console鏈接上交換機,<回車>進入<H3C>
<H3C>sys system-view進入系統修改模式[H3C]
[H3C]sysname hua3_45f 命名設置交換機的名稱
[H3C_45F]undo interface vlan-interface 1 (取消管理vlan的成員,也就是vlan 1)
[H3C_45F]undo manage-vlan #取消管理Vlan
[H3C_45F]vlan 353 #建立vlan 353
[H3C_45F-vlan353]quit #退出vlan 353
[H3C_45F]interface Vlan-interface 353
[H3C_45F-Vlan-interface353]ip address 172.x.x.45 255.255.255.0
[H3C_45F-vlan 353]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/28
(設置GigabitEthernet 1- 28口為vlan 353的成員,默認是access)
[H3C_45F]inerface gigabitethernet 1/0/24 #進入接口
[H3C_45F-GIGABITETHERNET1/0/1]port link-type trunk #定義接口類型為trunk
[H3C_45F-GIGABITETHERNET1/0/1]port trunk permit vlan 353 #trunk允許通過的vlan
[H3C_45F-GIGABITETHERNET1/0/1]port trunk permit vlan 351 #trunk允許通過的vlan
加入端口方法一:
[H3C_45F]vlan 399
[H3C-VLAN399]port GigabitEthernet 1/0/15 (默認是access接口類型)
加入端口方法二:
[H3C_45F]interface GigabitEthernet 1/0/15
[H3C_45F-GIGABITETHERNET1/0/15]port access vlan 353
其余類推。最后,用Save 或者 write,保存所有的配置就可以了。
4.版本有差異
現在的版本是V7,由於軟件版本的差異,除了上述基本命令外,很多以前的命令執行報錯,這是要多用問號?進行提示操作。比如,authorization-attribute level 3,新版本為:authorization-attribute user-role level-3。
顯示日期時間:
<>dis clock
設置日期時間:
[]clock protocol none
[]quit
clock datetime HH:MM:SS YYYY/MM/DD
常用配置命令參考文獻[1] H3C交換機常用配置方法https://wenku.baidu.com/view/57f5e5d027fff705cc1755270722192e45365889.html#
啟動telnet、http等服務,需要參考最新的版本[2]H3C交換機(軟件版本ComwareV7)的一些基本操作命令https://blog.csdn.net/weixin_42027077/article/details/90597204
通過上機實踐,參考2的命令均正常通過,telnet與web能正常使用,功能全部放開。不過,值得提示的是,運行web服務會使交換機資源占用達到70%,不建議開啟或不進入。
5.安全排第一
開啟telnet和web是將來的配置更方便,但是也存在遠程操作的安全風險,謹慎使用,使用更加復雜的密碼,確保安全。用戶名與密碼兩套:H3C/xxxxxx,admin/xxxxxxx,具有最高權限。命令系列如下:
允許telnet訪問,需先開啟telnet服務,再進行后續配置
[H3C]telnet server enable ---------------開啟telnet服務
[H3C]ip http enable---------------開啟http服務
[H3C]stp mode rstp---------------stp模式設置為rstp
[H3C]stp enable---------------開啟stp功能
[H3C]user-interface vty 0 14
[H3C-line-vty0-14]
[H3C-line-vty0-14]protocol inbound telnet
[H3C-line-vty0-14]authentication-mode password
[H3C-line-vty0-14]set authentication password simple admintelnet
[H3C-line-vty0-14]user-role level-15
[H3C-line-vty0-14]idle-timeout 6 0
[H3C-line-vty0-14]screen-length 100
[H3C-line-vty0-14]history-command max-size 256
建立一個用戶admin,用於web登錄(用瀏覽器登錄)
[H3C]local-user admin
New local user added.
[H3C-luser-manage-admin]authorization-attribute user-role level-15
[H3C-luser-manage-admin]service-type http
[H3C-luser-manage-admin]password simple administrator
參考文獻:
[1] H3C交換機常用配置方法https://wenku.baidu.com/view/57f5e5d027fff705cc1755270722192e45365889.html#
[2] H3C 交換機(軟件版本ComwareV7)的一些基本操作命令https://blog.csdn.net/weixin_42027077/article/details/90597204
下面是值得信賴的參考文獻原文:
H3C 交換機(軟件版本ComwareV7)的一些基本操作命令
<Switch>display version ---------查看版本信息,包括交換機的軟件和硬件版本信息
<Switch>reset saved-configuration -----------恢復出廠設置
The saved configuration file will be erased. Are you sure? [Y/N]:y---------------這里輸入y確認
<Switch>reboot -------------恢復出廠設置需要重啟交換機
Start to check configuration with next startup configuration file, please wait.........DONE!
Current configuration may be lost after the reboot, save current configuration? [Y/N]:n-----------這里提示是否保存設置,輸入n
This command will reboot the device. Continue? [Y/N]:y--------------------這里提示是否繼續,輸入y。注意哪里是y哪里是n,否則不能恢復。
設置時間日期,需要先執行 clock protocol none命令
<H3C>clock datetime 08:31:30 2019/05/27
To manually set the system time, execute the clock protocol none command first.
<H3C>system
[H3C]clock protocol none
[H3C]quit
<H3C>clock datetime 08:34:30 2020/09/27
如需設置console口連時的密碼,或者采用 用戶名/密碼 認證方式,需進入用戶接口。
[H3C]user-interface aux 0
[H3C-line-aux0]authentication-mode ?
none Login without authentication
password Password authentication
scheme Authentication use AAA
[H3C-line-aux0]authentication-mode password
[H3C-line-aux0]set authentication password simple 1234abcd
允許telnet訪問,需先開啟telnet服務,再進行后續配置
[H3C]telnet server enable ---------------開啟telnet服務
[H3C]ip http enable---------------開啟http服務
[H3C]stp mode rstp---------------stp模式設置為rstp
[H3C]stp enable---------------開啟stp功能
[H3C]user-interface vty 0 14
[H3C-line-vty0-14]
[H3C-line-vty0-14]protocol inbound telnet
[H3C-line-vty0-14]authentication-mode password
[H3C-line-vty0-14]set authentication password simple admintelnet
[H3C-line-vty0-14]user-role level-15
[H3C-line-vty0-14]idle-timeout 6 0
[H3C-line-vty0-14]screen-length 100
[H3C-line-vty0-14]history-command max-size 256
建立一個用戶admin,用於web登錄(用瀏覽器登錄)
[H3C]local-user admin
New local user added.
[H3C-luser-manage-admin]authorization-attribute user-role level-15
[H3C-luser-manage-admin]service-type http
[H3C-luser-manage-admin]password simple administrator
建立一個vlan interface,並設置IP地址,用於網頁登錄和telnet管理,不建議使用vlan1
[H3C]vlan 255
[H3C-vlan255]quit
[H3C]interface Vlan-interface 255
[H3C-Vlan-interface255]ip address 192.168.255.1 255.255.255.0
根據需要設置stp模式
[H3C]stp mode ?
mstp Multiple spanning tree protocol mode
pvst Per-Vlan spanning tree mode
rstp Rapid spanning tree protocol mode
stp Spanning tree protocol mode
開啟DHCP服務,建立不同的IP地址池,對應不同的Vlan,建立相應的vlan-interface,設置IP地址,做為網關
[H3C]dhcp enable----------全局開啟dhcp功能
[H3C]dhcp server ip-pool 192.168.100.0-------------定義一個地址池名字
gateway-list 192.168.100.254---------------設置網關地址
network 192.168.100.0 mask 255.255.255.0-------------------設置網段
address range 192.168.100.1 192.168.100.240-------------------設置地址池的IP地址集合
dns-list 114.114.114.114 8.8.8.8------------------設置dns服務器地址
expired day 0 hour 0 minute 40------------------設置租期時長
[H3C]dhcp server ip-pool 172.16.1.0
gateway-list 172.16.1.254
network 172.16.1.0 mask 255.255.255.0
address range 172.16.1.1 172.16.1.240
dns-list 114.114.114.114 8.8.8.8
expired day 0 hour 0 minute 30
[H3C]vlan 100-----------建立vlan
[H3C-vlan100]quit
[H3C]interface Vlan-interface 100--------------建立vlan interface
[H3C-Vlan-interface100]
ip address 192.168.100.254 255.255.255.0----------------設置vlan-interface的IP地址
dhcp select server------------------設置dhcp為服務端,會自動匹配地址池
[H3C]vlan 601
[H3C-vlan601]quit
[H3C]interface Vlan-interface 601
[H3C-Vlan-interface601]
ip address 172.16.1.254 255.255.255.0
dhcp select server
設置qos策略,使訪客網段與辦公網段不能互通,在全局應用
[H3C]acl advanced 3001
rule 1000 deny ip source 172.16.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
--------------創建一個高級ACL,設置規則1000號(號碼不是特別重要)。拒絕源地址172開頭的,訪問目標地址192開頭的。
[H3C]traffic classifier noguest operator and
if-match acl 3001-----------------定義一個類
[H3C]traffic behavior noguest
filter deny-------------------定義一個流行為
[H3C]qos policy noguest
classifier noguest behavior noguest-----------------定義一個策略,為類指定流行為,將類和流行為二者組合起來
[H3C]qos apply policy noguest global inbound --------------------在全局上應用qos策略,方向為入方向
設置鏈路聚合
[H3C]interface Bridge-Aggregation 1----------------創建一個聚合端口
[H3C-Bridge-Aggregation1]port link-type trunk----------------設置這個端口的屬性,如link-type,vlan等
[H3C-GigabitEthernet1/0/23]port link-aggregation group 1 force----------------將這個端口加入聚合組,最后的force 參數可將聚合組的屬性同步到此端口,省去手動配置的步驟
[H3C-GigabitEthernet1/0/24]port link-aggregation group 1 force
創建vlan,將端口加入vlan,更改端口模式
[H3C]vlan 100-----------------創建vlan100
[H3C-vlan100]port GigabitEthernet 1/0/1 to g 1/0/10-----------------將1 to10口都划入vlan100(華三交換機的端口,默認類型是access,可以直接加入vlan
[H3C-GigabitEthernet1/0/11]port link-type trunk-----------------進入G1/0/11端口,更改link-type為trunk
[H3C-GigabitEthernet1/0/11]port trunk pvid vlan 100-----------------設置trunk端口的pvid
[H3C-GigabitEthernet1/0/11]port trunk permit vlan 2 to 4000-----------------設置trunk端口允許通過的vlan ID
[H3C-GigabitEthernet1/0/11]undo port trunk permit vlan 1-----------------禁止trunk端口允許vlan1通過(在比較大的企業局域網里,不要使用vlan1)