[数通]ensp配置
//各类查看代码:
display mac-address sticky+端口号:查看相应端口的安全MAC表项(注意:若未开启Sticky MAC功能,需要使用display mac-address security+端口号命令查看相应端口的安全动态MAC表项)。
display port vlan:看各端口模式、PVID是否与要求的一致;
display vlan:查看各个VLAN都可以在哪些接口上通行,是否与要求一致(哪些端口打标签,哪些端口不打标签)
display saved-configuration查看保存的配置文件
//给交换机配置IP地址:
interface Vlanif x
ip address IP地址 子网掩码
//在LSW1上配置VTY用户界面:
配置本地用户接入类型为Telnet,验证方式为密码验证,密码设置地为Huawe1,在配置文件中明文显示,配置VTY用户节点的用户优先级为15,设置用户超时断连功能,设置用户界面断连的超时时间为30分40秒。
user-interface vty 0 4 \\进入VTY用户视图(线路0-4)
protocol inbound telnet \\配置接入类型为Telnet(默认为Telnet)
authentication-mode password \\配置验证方式为密码(默认为密码验证)
set authentication password simple Huawe1 \\配置密码为Huawe1,且密码明文显示在配置文件中,如需要密文,将该命令中的simple关键字换成cipher。
user privilege level 15 \\配置VTY用户的权限为15级(默认为0级)
idle-timeout 30 40 \\配置超时时间为30分40秒(默认为10分钟,该命令第一个参数为分钟,第二个参数为秒,若只有一个参数,则系统认为是在设定分钟,两个参数均输入0,则为永不超时)
//配置LSW1的Console用户界面:
设置密码验证,密码为Huawei123,设置密码在配置文件中显示为明文,设置用户超时断连功能,设置用户界面断连的超时时间为20分钟。
user-interface console 0 \\进入Console用户界面视图
authentication-mode password \\设置Console用户界面需要进行密码验证
set authentication password simple Huawei123 \\配置密码为Huawei123,且密码明文显示在配置文件中,如需要密文,将该命令中的simple关键字换成cipher。
idle-timeout 20 \\配置超时时间为20分(默认为10分钟,该命令第一个参数为分钟,第二个参数为秒,若只有一个参数,则系统认为是在设定分钟,两个参数均输入0,则为永不超时)
//在S7上配置端口安全。
要求:
1 在E0/0/1上配置端口安全;
2 最大安全MAC地址数量为1;
3 将Server20的MAC地址静态绑定在E0/0/1 ;
4 保护动作为关闭。
interface Eth0/0/1 \\进入端口视图
port-security enable \\开启端口安全
port-security max-mac-num 3 \\将最大安全MAC地址数量设置为3
port-security mac-address sticky \\开启Sticky MAC功能(默认自动获取)
port-security mac-address sticky 5678-5678-5678 vlan 1 \\将MAC地址5678-5678-5678静态绑定在本端口上(注:1,一个MAC地址只能绑定在一个端口上;2,有关VLAN 1的介绍等到后面讲到VLAN再说,现在大家先把这个vlan 1敲上去就好)
port-security protect-action shutdown \\配置保护动作为关闭
//在AR2上配置VTY用户界面:
A 配置本地用户接入类型为SSH,验证方式为AAA验证,设置用户超时断连功能,设置用户界面断连的超时时间为30分。
命令样例:
[AR2]rsa local-key-pair create \\创建秘钥对
The key name will be: S6_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 512]: \\配置秘钥长度,可以直接回车,直接回车设置秘钥长度为默认长度,512,也可以输入数字,越大越安全,但秘钥长度越大,计算量越大,对设备压力也就越大
[AR2]stelnet server enable \\开启SSH
Info: Succeeded in starting the Stelnet server.
[AR2]user-interface vty 0 4 \\进入VTY用户视图(线路0-4)
[AR2-ui-vty0-4]protocol inbound ssh \\配置接入类型为ssh(默认为Telnet)
[AR2-ui-vty0-4]authentication-mode aaa \\配置验证方式为aaa(默认为密码验证)
[AR2-ui-vty0-4]idle-timeout 30 40 \\配置超时时间为30分40秒(默认为10分钟,该命令第一个参数为分钟,第二个参数为秒,若只有一个参数,则系统认为是在设定分钟,两个参数均输入0,则为永不超时)
B进入AAA配置视图,创建用户为SSH服务,用户名为sziit,密码为sziit,密码明文显示用户等级为15级。
命令样例:
[AR2]aaa \\进入AAA视图
[AR2-aaa]local-user sziit password simple sziit \\创建用户
Info: Add a new user.
[AR2-aaa]local-user sziit service-type ssh \\指定用户的用途
[AR2-aaa]local-user sziit privilege level 15 \\配置用户的权限
[AR2-aaa]quit
[AR2]ssh user sziit authentication-type password \\将SSH协议与用户和认证密码关联起来
C 验证
在AR1上测试,看能否使用SSH协议远程访问AR2。
命令样例:
[AR1]ssh client first-time enable \\SSH客户端初始设置
[AR1]stelnet 192.168.0.2 \\通过SSH远程访问192.168.0.2
在所有交换机上创建VLAN 10,20,30,40和50,并按照下表来将各端口分配到相应的VLAN。
//access模式
命令样例:
[Huawei]vlan batch 10 20 30 40 50 \\创建VLAN 10,20,30,40,50
[Huawei]port-group 1 \\创建接口组1
[Huawei-port-group-1]group-member e0/0/1 to e0/0/7 \\将同等配置的接口添加到接口组
[Huawei-port-group-1]port link-type access \\将接口组中的接口配置为access模式
[Huawei-port-group-1]port default vlan 10 \\将接口组中的接口PVID设置为VLAN 10
注:在创建多个VLAN时,如果VLAN ID是连续的,可以用to,例如3 to 5 表示创建VLAN 3,4,5.
//Trunk模式
命令样例:
[Huawei]int g0/0/1 \\进入接口
[Huawei-GigabitEthernet0/0/1]port link-type trunk \\配置接口为Trunk模式
[Huawei-GigabitEthernet0/0/1]port trunk pvid vlan 50 \\设置接口PVID为50,本端口收到不带标签的流量会打上VLAN 50的标签,发送VLAN 50的流量不打标签
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 40 50 \\配置该接口允许VLAN 10,20,30,40,50通信
注:在设置端口允许通信的VLAN列表时,如果VLAN ID是连续的,可以用to,例如3 to 5 表示VLAN 3,4,5.
//Hybrid模式
命令样例:
[Huawei]int g0/0/1 \\进入接口
[Huawei-GigabitEthernet0/0/1]port link-type hybrid \\配置接口为Trunk模式
[Huawei-GigabitEthernet0/0/1]port hybrid pvid vlan 50 \\设置接口PVID为50,本端口收到不带标签的流量会打上VLAN 50的标签
[Huawei-GigabitEthernet0/0/2]port hybrid untagged vlan 50 \\设置接口允许VLAN 50的流量通信,并且在发送时,去掉标签
[Huawei-GigabitEthernet0/0/2]port hybrid tagged vlan 10 20 30 40 \\设置接口允许VLAN 10,20,30,40流量通信,通过该接口发送上述VLAN的流量时,带标签
注:在设置端口通信是否打标签时,如果VLAN ID是连续的,可以用to,例如3 to 5 表示VLAN 3,4,5.
//给各交换机配置网关地址
PC和交换机的默认网关地址为所在网络的最后一个可用IP地址。
[LSW5]ip route-static 0.0.0.0 0 10.X.35.254 \\将这里的X替换成学号后两位,例如学号为05,X就替换成5,学号为15,X就替换成15
//配置传统VLAN间通信
A 路由器AR1上配置,要求:按照上图所示,AR1的G0/0/1接口为VLAN 15的网关,为VLAN 15转发跨网络的流量,G0/0/2接口为VLAN 25的网关,G0/0/0接口为VLAN 35的网关。
配置命令样例:
[AR1]interface GigabitEthernet 0/0/0 \\进入端口
[AR1-GigabitEthernet0/0/0]ip address 10.0.35.254 24 \\配置IP地址
B 交换机LSW5上配置,将各接口按照上表分配到相应的VLAN,要求:接口配置Access模式。
命令样例:
[LSW5-GigabitEthernet0/0/1]port link-type access \\配置G0/0/1为access接口
[LSW5-GigabitEthernet0/0/1]port default vlan 15 \\将G0/0/1分配到VLAN 15,即将该接口的PVID修改为了15
//配置单臂路由
A 在LSW6上配置,将LSW6上,与AR2直连的物理接口G0/0/1,配置为Trunk接口,PVID为VLAN 35,允许所有已有VLAN通行。
B 在AR2上配置单臂路由,使整个网络各VLAN之间可以互访。要求:虚拟子接口ID与VLAN ID一致,各VLAN的网关,IP地址为所属VLAN的最后一个可用IP地址
//配置三层交换实现VLAN间通信
在LSW4上配置VLAN间通信,清除为LSW4配置的网关地址,其他交换机的网关地址不能动。为每个VLAN创建一个VLANIF接口,IP地址为对应VLAN的最后一个可用IP地址
配置命令样例:
[LSW4]undo ip route-static 0.0.0.0 0 10.X.35.254 \\清除默认网关的设置。将这里的X替换成学号后两位,例如学号为05,X就替换成5,学号为15,X就替换成15
[LSW4]interface Vlanif 15 \\创建VLANIF接口
[LSW4-Vlanif15]ip address 10.0.15.254 24 \\配置IP地址
//静态路由配置
为AR2的每一个远程网络配置一个静态路由,要求:送出接口为串口时,请用送出接口的静态路由,送出接口为以太网接口时,请使用下一跳IP地址的静态路由。
[AR2]ip route-static 172.16.12.0 24 s4/0/0 \\送出接口的静态路由
[AR2]ip route-static 172.16.12.0 24 10.0.0.1 \\下一跳IP地址的静态路由
//默认路由设置
观察AR1去往ISP最近的接口
[AR1]ip route-static 0.0.0.0 0.0.0.0 s0/0/0 \\送出接口的默认路由
[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 \\下一跳IP地址的默认路由
