H3C交換機(jī)典型 h3c交換機(jī)的作用與功能
2024-04-06
更新時(shí)間:2024-04-06 00:15:45作者:佚名
1、查看交換機(jī)上應(yīng)用的配置文件
[h3c]dis startup
Current startup saved-configuration file: flash:/config.cfg
Next main startup saved-configuration file: flash:/config.cfg
Next backup startup saved-configuration file: NULL
2、配置主備配置文件
<h3c>startup saved-configuration config.cfg ?
backup Backup config file
main Main config file
<cr>
3、Telnet 用戶(hù)認(rèn)證方式登錄
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
Telnet 密碼方式登錄
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple abc
新建用戶(hù)
local-user admin
password simple abcpassword
service-type telnet
level 3
4、配置MSTP
stp enable
stp region-configuration
region-name abc
revision-level 1
instance 1 vlan 200
active region-configuration
*********************************************************
5、配置接入層交換機(jī)只接電腦,不能接交換機(jī),避免已經(jīng)配置好的生成樹(shù)受新添加的交換機(jī)影響造成網(wǎng)絡(luò)的不穩(wěn)定。
stp bpdu-protection
對(duì)于接入層設(shè)備,接入端口一般直接與用戶(hù)終端(如PC機(jī))或文件服務(wù)器相連,此時(shí)接入端口被設(shè)置為邊緣端口以實(shí)現(xiàn)這些端口的快速遷移。當(dāng)這些邊緣端口接收到配置消息后,系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非邊緣端口,重新計(jì)算生成樹(shù),這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯?br /> 正常情況下,邊緣端口應(yīng)該不會(huì)收到生成樹(shù)協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊交換機(jī),就會(huì)引起網(wǎng)絡(luò)震蕩。BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了BPDU保護(hù)功能以后,如果邊緣端口收到了配置消息,系統(tǒng)就將這些端口關(guān)閉,同時(shí)通知網(wǎng)管這些端口被MSTP關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。
配置端口為邊緣端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]stp edged-port enable
對(duì)于直接與終端相連的端口,請(qǐng)將該端口設(shè)置為邊緣端口,同時(shí)啟動(dòng)BPDU保護(hù)功能。這樣既能夠使該端口快速遷移到轉(zhuǎn)發(fā)狀態(tài),也可以保證網(wǎng)絡(luò)的安全。
**********************************************************
6、DHCP Snooping防止非法DHCP服務(wù)器分發(fā)地址影響正常網(wǎng)絡(luò)
例:
開(kāi)啟交換機(jī)DHCP Snooping功能
[h3c]DHCP Snooping
配置合法的DHCP服務(wù)器轉(zhuǎn)發(fā)端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust
配置防DHCP服務(wù)器仿冒功能
例:
開(kāi)啟交換機(jī)DHCP Snooping功能
[h3c]DHCP Snooping
開(kāi)啟防DHCP服務(wù)器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上啟用仿冒功能,萬(wàn)一有非法DHCP服務(wù)器進(jìn)入即觸發(fā)預(yù)設(shè)置的策略
配置防DHCP服務(wù)器仿冒功能的處理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情況下,交換機(jī)防DHCP服務(wù)器仿冒功能的處理策略為trap
顯示DHCP服務(wù)器仿冒相關(guān)信息
display dhcp-snooping server-guard
其實(shí)配置snooping和仿冒功能效果都是一樣,防止非法的DHCP服務(wù)器進(jìn)入網(wǎng)絡(luò),只是h3c交換機(jī)不同型號(hào)支持的方法不同。
匯總有點(diǎn)亂,都是平時(shí)配置接入層交換機(jī)時(shí)經(jīng)常用到的,也解決了不少問(wèn)題,現(xiàn)在發(fā)上來(lái),一個(gè)是自己留個(gè)記錄,二是也給大家參考一下,或者大家看后,覺(jué)得還有什么需要補(bǔ)充的配置,盡管說(shuō),共同學(xué)習(xí)。