3002| 43
|
华为交换机全套配置命令 |
华为交换机全套配置命令
文档节选:1 功能需求及组网说明 『配置环境参数』 PC机固定IP地址10.10.10.10/24 SwitchA为三层交换机,vlan100地址10.10.10.1/24 SwitchA与SwitchB互连vlan10接口地址192.168.0.1/24 SwitchB与SwitchA互连接口vlan100接口地址192.168.0.2/24 交换机SwitchA通过以太网口ethernet 0/1和SwitchB的ethernet0/24实现互连。 『组网需求』 1. SwitchA只能允许10.10.10.0/24网段的地址的PC telnet访问 2. SwitchA只能禁止10.10.10.0/24网段的地址的PC telnet访问 3. SwitchB允许其它任意网段的地址telnet访问 2 数据配置步骤 『PC管理交换机的流程』 1. 如果一台PC想远程TELNET到一台设备上,首先要保证能够二者之间正常通信。SwitchA为三层交换机,可以有多个三层虚接口,它的管理vlan可以是任意一个具有三层接口并配置了IP地址的vlan 2. SwitchB为二层交换机,只有一个二层虚接口,它的管理vlan即是对应三层虚接口并配置了IP地址的vlan 3. Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Telnet登录,则系统会提示“password required, but none set.”。 【SwitchA相关配置】 PC在vlan100内,交换机上对应的端口为E0/10-E0/20 1. 创建(进入)vlan100 [SwitchA]vlan 100 2. 将E0/10-E0/20加入到vlan10里 [SwitchA-vlan100] port Ethernet 0/10 to Ethernet 0/20 3. 创建vlan100的虚接口 [SwitchA]interface Vlan-interface 100 4. 给vlan100的虚接口配置IP地址 [SwitchA-Vlan-interface100]ip address 10.10.10.1 255.255.255.0 5. 创建(进入)vlan10 [SwitchA]vlan 10 6. 将连接SwitchB的E0/1加入vlan10 [SwitchA-vlan10] port Ethernet 0/1 7. 创建(进入)vlan10的虚接口 [SwitchA]interface Vlan-interface 10 8. 给vlan10的虚接口配置IP地址 [SwitchA-Vlan-interface10]ip address 192.168.0.1 255.255.255.0 【SwitchB相关配置】 1. 创建(进入)vlan100 [SwitchA]vlan 100 2. 将E0/24加入到vlan100里 [SwitchA-vlan100] port Ethernet 0/24 3. 创建(进入)vlan100的虚接口 [SwitchB]interface Vlan-interface 100 4. 给vlan100的虚接口配置IP地址 [SwitchB-Vlan-interface100]ip address 192.168.0.2 255.255.255.0 5. 一般二层交换机允许其它任意网段访问需要加入一条缺省路由 [SwitchB]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 【TELNET不验证配置】 [SwitchA-ui-vty0-4]authentication-mode none 【TELNET密码验证配置】 1. 进入用户界面视图 [SwitchA]user-interface vty 0 4 2. 设置认证方式为密码验证方式 [SwitchA-ui-vty0-4]authentication-mode password 3. 设置明文密码 [SwitchA-ui-vty0-4]set authentication password simple Huawei 4. 缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级。需要将用户的权限设置为3,这用户可以进入系统视图进行操作,否则只有0级用户的权限 [SwitchA-ui-vty0-4]user privilege level 3 【TELNET本地用户名和密码验证配置】 1. 进入用户界面视图 [SwitchA]user-interface vty 0 4 2. 使用authentication-mode scheme命令,表示需要进行本地或远端用户名和口令认证。 [SwitchA-ui-vty0-4]authentication-mode scheme 3. 设置本地用户名和密码 [SwitchA]local-user Huawei [SwitchA-user-huawei]service-type telnet level 3 [SwitchA-user-huawei]password simple Huawei 4. 如果不改变TELNET登录用户的权限,用户登录以后是无法直接进入其它视图的,可以设置super password,来控制用户是否有权限进入其它视图 [SwitchA]local-user Huawei [SwitchA-user-huawei]service-type telnet [SwitchA-user-huawei]password simple Huawei [SwitchA]super password level 3 simple huawei 【TELNET RADIUS验证配置】 以使用huawei开发的cams作为RADIUS服务器为例 1. 设置TELNET登录方式为scheme [SwitchA-ui-vty0-4]authentication-mode scheme 2. 配置RADIUS认证方案 [SwitchA]radius scheme cams 3. 配置RADIUS认证服务器地址10.110.51.31 [SwitchA-radius-cams]primary authentication 10.110.51.31 1812 4. 配置RADIUS计费服务器地址10.110.51.31 [SwitchA-radius-cams]primary accounting 10.110.51.31 1813 5. 配置交换机与认证服务器的验证口令 [SwitchA-radius-cams]key authentication expert 6. 配置交换机与计费服务器的验证口令 [SwitchA-radius-cams]key accounting expert 7. 配置服务器类似为huawei,即使用CAMS [SwitchA-radius-cams]server-type Huawei 8. 送往RADIUS的报文不带域名 [SwitchA-radius-cams]user-name-format without-domain 9. 创建(进入)一个域 [SwitchA]domain Huawei 10. 在域huawei中引用名为“cams”的认证方案 [SwitchA-isp-huawei]radius-scheme cams 11. 将huawei域设置为缺省域 [SwitchA]domain default enable huawei 【TELNET访问控制配置】 1. 设置只允许符合ACL1的IP地址登录交换机 [SwitchA-ui-vty0-4]acl 1 inbound 2. 设置规则只允许某网段登录 [SwitchA]acl number 1 [SwitchA-acl-basic-1] [SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255 3. 设置规则只禁止某网段登录 [SwitchA]acl number 1 [SwitchA-acl-basic-1] [SwitchA-acl-basic-1]rule deny source 10.10.10.0 0.0.0.255 3 测试验证 1. PC属于vlan10可以telnet到SwitchA和SwitchB上, 2. PC属于其它vlan不能telnet到SwitchA,能够telnet到SwitchB上
购买主题
已有 2 人购买
本主题需向作者支付 4 金币 才能浏览
| |
发表于 2014-3-16 23:58:08
|
显示全部楼层
| ||
发表于 2014-3-27 20:24:01
|
显示全部楼层
| ||
发表于 2015-9-8 14:07:12
|
显示全部楼层
| ||
发表于 2016-2-26 10:07:01
|
显示全部楼层
| ||
发表于 2016-3-9 22:44:34
|
显示全部楼层
| ||
发表于 2016-3-10 15:30:06
|
显示全部楼层
| ||
发表于 2016-5-31 17:29:43
|
显示全部楼层
| ||
发表于 2016-9-7 09:36:14
|
显示全部楼层
| ||