[数通]ensp配置

//各类查看代码：

       display mac-address sticky+端口号：查看相应端口的安全MAC表项（注意：若未开启Sticky MAC功能，需要使用display mac-address security+端口号命令查看相应端口的安全动态MAC表项）。

       display port vlan：看各端口模式、PVID是否与要求的一致；

       display vlan：查看各个VLAN都可以在哪些接口上通行，是否与要求一致（哪些端口打标签，哪些端口不打标签）

       display saved-configuration查看保存的配置文件

 

//给交换机配置IP地址：

interface Vlanif x

ip address IP地址 子网掩码

 

//在LSW1上配置VTY用户界面：

配置本地用户接入类型为Telnet，验证方式为密码验证，密码设置地为Huawe1，在配置文件中明文显示，配置VTY用户节点的用户优先级为15，设置用户超时断连功能，设置用户界面断连的超时时间为30分40秒。

user-interface vty 0 4  \\进入VTY用户视图（线路0-4）

protocol inbound telnet   \\配置接入类型为Telnet（默认为Telnet）

authentication-mode password   \\配置验证方式为密码（默认为密码验证）

set authentication password simple Huawe1  \\配置密码为Huawe1，且密码明文显示在配置文件中，如需要密文，将该命令中的simple关键字换成cipher。

user privilege level 15      \\配置VTY用户的权限为15级（默认为0级）

idle-timeout 30 40    \\配置超时时间为30分40秒（默认为10分钟，该命令第一个参数为分钟，第二个参数为秒，若只有一个参数，则系统认为是在设定分钟，两个参数均输入0，则为永不超时）

 

//配置LSW1的Console用户界面：

设置密码验证，密码为Huawei123，设置密码在配置文件中显示为明文，设置用户超时断连功能，设置用户界面断连的超时时间为20分钟。

user-interface console 0      \\进入Console用户界面视图

authentication-mode password   \\设置Console用户界面需要进行密码验证

set authentication password simple Huawei123                \\配置密码为Huawei123，且密码明文显示在配置文件中，如需要密文，将该命令中的simple关键字换成cipher。

idle-timeout 20   \\配置超时时间为20分（默认为10分钟，该命令第一个参数为分钟，第二个参数为秒，若只有一个参数，则系统认为是在设定分钟，两个参数均输入0，则为永不超时）

 

//在S7上配置端口安全。

要求:

1 在E0/0/1上配置端口安全；

2 最大安全MAC地址数量为1；

3 将Server20的MAC地址静态绑定在E0/0/1 ；

4 保护动作为关闭。

interface Eth0/0/1                                     \\进入端口视图

port-security enable                  \\开启端口安全

port-security max-mac-num 3          \\将最大安全MAC地址数量设置为3

port-security mac-address sticky      \\开启Sticky MAC功能（默认自动获取）

port-security mac-address sticky 5678-5678-5678 vlan 1              \\将MAC地址5678-5678-5678静态绑定在本端口上（注：1，一个MAC地址只能绑定在一个端口上；2，有关VLAN 1的介绍等到后面讲到VLAN再说，现在大家先把这个vlan 1敲上去就好）

port-security protect-action shutdown  \\配置保护动作为关闭

 

//在AR2上配置VTY用户界面：

A 配置本地用户接入类型为SSH，验证方式为AAA验证，设置用户超时断连功能，设置用户界面断连的超时时间为30分。

命令样例：

[AR2]rsa local-key-pair create  \\创建秘钥对

The key name will be: S6_Host

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

       it will take a few minutes.

Input the bits in the modulus[default = 512]:   \\配置秘钥长度，可以直接回车，直接回车设置秘钥长度为默认长度，512，也可以输入数字，越大越安全，但秘钥长度越大，计算量越大，对设备压力也就越大

[AR2]stelnet server enable      \\开启SSH

Info: Succeeded in starting the Stelnet server.

[AR2]user-interface vty 0 4  \\进入VTY用户视图（线路0-4）

[AR2-ui-vty0-4]protocol inbound ssh   \\配置接入类型为ssh（默认为Telnet）

[AR2-ui-vty0-4]authentication-mode aaa   \\配置验证方式为aaa（默认为密码验证）

 [AR2-ui-vty0-4]idle-timeout 30 40    \\配置超时时间为30分40秒（默认为10分钟，该命令第一个参数为分钟，第二个参数为秒，若只有一个参数，则系统认为是在设定分钟，两个参数均输入0，则为永不超时）

B进入AAA配置视图，创建用户为SSH服务，用户名为sziit，密码为sziit，密码明文显示用户等级为15级。

命令样例：

[AR2]aaa                               \\进入AAA视图

[AR2-aaa]local-user sziit password simple sziit    \\创建用户

Info: Add a new user.

[AR2-aaa]local-user sziit service-type ssh      \\指定用户的用途

[AR2-aaa]local-user sziit privilege level 15    \\配置用户的权限

[AR2-aaa]quit

[AR2]ssh user sziit authentication-type password   \\将SSH协议与用户和认证密码关联起来

C 验证

在AR1上测试，看能否使用SSH协议远程访问AR2。

命令样例：

[AR1]ssh client first-time enable  \\SSH客户端初始设置

[AR1]stelnet 192.168.0.2   \\通过SSH远程访问192.168.0.2

 

在所有交换机上创建VLAN 10,20,30,40和50，并按照下表来将各端口分配到相应的VLAN。

 

//access模式

命令样例：

[Huawei]vlan batch 10 20 30 40 50      \\创建VLAN 10,20,30,40,50

[Huawei]port-group 1                   \\创建接口组1

[Huawei-port-group-1]group-member e0/0/1 to e0/0/7   \\将同等配置的接口添加到接口组

[Huawei-port-group-1]port link-type access       \\将接口组中的接口配置为access模式

[Huawei-port-group-1]port default vlan 10    \\将接口组中的接口PVID设置为VLAN 10

注：在创建多个VLAN时，如果VLAN ID是连续的，可以用to，例如3 to 5 表示创建VLAN 3,4,5.

 

//Trunk模式

命令样例：

[Huawei]int g0/0/1      \\进入接口

[Huawei-GigabitEthernet0/0/1]port link-type trunk     \\配置接口为Trunk模式

[Huawei-GigabitEthernet0/0/1]port trunk pvid vlan 50   \\设置接口PVID为50，本端口收到不带标签的流量会打上VLAN 50的标签，发送VLAN 50的流量不打标签

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40 50  \\配置该接口允许VLAN 10，20，30，40，50通信

注：在设置端口允许通信的VLAN列表时，如果VLAN ID是连续的，可以用to，例如3 to 5 表示VLAN 3,4,5.

 

//Hybrid模式

命令样例：

[Huawei]int g0/0/1      \\进入接口

[Huawei-GigabitEthernet0/0/1]port link-type hybrid     \\配置接口为Trunk模式

[Huawei-GigabitEthernet0/0/1]port hybrid pvid vlan 50   \\设置接口PVID为50，本端口收到不带标签的流量会打上VLAN 50的标签

[Huawei-GigabitEthernet0/0/2]port hybrid untagged vlan 50  \\设置接口允许VLAN 50的流量通信，并且在发送时，去掉标签

[Huawei-GigabitEthernet0/0/2]port hybrid tagged vlan 10 20 30 40  \\设置接口允许VLAN 10,20,30,40流量通信，通过该接口发送上述VLAN的流量时，带标签

注：在设置端口通信是否打标签时，如果VLAN ID是连续的，可以用to，例如3 to 5 表示VLAN 3,4,5.

 

//给各交换机配置网关地址

PC和交换机的默认网关地址为所在网络的最后一个可用IP地址。

[LSW5]ip route-static 0.0.0.0 0 10.X.35.254   \\将这里的X替换成学号后两位，例如学号为05，X就替换成5，学号为15，X就替换成15

 

//配置传统VLAN间通信

A 路由器AR1上配置，要求：按照上图所示，AR1的G0/0/1接口为VLAN 15的网关，为VLAN 15转发跨网络的流量，G0/0/2接口为VLAN 25的网关，G0/0/0接口为VLAN 35的网关。

配置命令样例：

[AR1]interface GigabitEthernet 0/0/0   \\进入端口

[AR1-GigabitEthernet0/0/0]ip address 10.0.35.254 24  \\配置IP地址

B 交换机LSW5上配置，将各接口按照上表分配到相应的VLAN，要求：接口配置Access模式。

命令样例：

[LSW5-GigabitEthernet0/0/1]port link-type access  \\配置G0/0/1为access接口

[LSW5-GigabitEthernet0/0/1]port default vlan 15  \\将G0/0/1分配到VLAN 15，即将该接口的PVID修改为了15

 

//配置单臂路由

A 在LSW6上配置，将LSW6上，与AR2直连的物理接口G0/0/1，配置为Trunk接口，PVID为VLAN 35，允许所有已有VLAN通行。

B 在AR2上配置单臂路由，使整个网络各VLAN之间可以互访。要求：虚拟子接口ID与VLAN ID一致，各VLAN的网关，IP地址为所属VLAN的最后一个可用IP地址

 

//配置三层交换实现VLAN间通信

在LSW4上配置VLAN间通信，清除为LSW4配置的网关地址，其他交换机的网关地址不能动。为每个VLAN创建一个VLANIF接口，IP地址为对应VLAN的最后一个可用IP地址

配置命令样例：

[LSW4]undo ip route-static 0.0.0.0 0 10.X.35.254   \\清除默认网关的设置。将这里的X替换成学号后两位，例如学号为05，X就替换成5，学号为15，X就替换成15

[LSW4]interface Vlanif 15      \\创建VLANIF接口

[LSW4-Vlanif15]ip address 10.0.15.254 24   \\配置IP地址

 

//静态路由配置

为AR2的每一个远程网络配置一个静态路由，要求：送出接口为串口时，请用送出接口的静态路由，送出接口为以太网接口时，请使用下一跳IP地址的静态路由。

[AR2]ip route-static 172.16.12.0 24 s4/0/0   \\送出接口的静态路由

[AR2]ip route-static 172.16.12.0 24 10.0.0.1   \\下一跳IP地址的静态路由

 

//默认路由设置

观察AR1去往ISP最近的接口

[AR1]ip route-static 0.0.0.0 0.0.0.0 s0/0/0     \\送出接口的默认路由

[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1  \\下一跳IP地址的默认路由