H3C交換機在企業中的常見配置
阿新 • • 發佈:2019-02-17
華為交換機中小企業或大企分支機構的常用配置
在中小企業或大企業的分支機構中,二層乙太網交換機作為二層匯聚交換機,可以直接接使用者,上行連線到二/三層乙太網交換機,可以通過路由器連線到總部或其它分支機構的網路。
在組網中將每個部門劃分在一個VLAN中;為了便於網管,需要配置SNMP;為了防止交換機被非法訪問,交換機上需要配置對訪問方式的ACL控制。
整個網路採用VLAN10作為管理VLAN,所有交換機上VLAN10介面的IP地址在同一個網段10.110.110.0/24,主RADIUS伺服器的IP為10.110.10.18;網管工作站的IP地址為10.11.10.1。路由器的IP地址為10.100.11.1,二/三層交換機通過VLAN2介面與路由器相連,VLAN2介面的IP地址為10.100.11.2。
在二層交換機上作如下配置:管理VLAN配置、網管路由配置、SNMP配置、各種訪問方式的ACL控制配置;hybrid埠配置。
在二/三層交換機上進行如下配置:閘道器配置、hybrid埠配置、SNMP配置、各種訪問方式的ACL控制配置、各個部門間的相互訪問的控制。
本文僅說明交換機上的基本配置。
1. 配tch B
下面以網路中某部門tch B為例說明基本配置過程。此部門所有的計算機配置在一個VLAN內。
(1) 配置VLAN。
[Quidway] vlan 5
[Quidway-vlan5]port ethernet 0/1 to Ethernet 0/24 ethernet 1/1
[Quidway-vlan5] quit
(2) 配置管理VLAN及路由。
# 管理VLAN為VLAN 10。
[Quidway] interface vlan 10
[Quidway-Vlan-interface10]ip address 10.110.110.2 255.255.255.0
# 配置路由,下一跳為10.110.110.1。
[Quidway] ip route 10.11.10.1 255.255.255.248 10.110.110.1
(3) 配置上行埠Ethernet1/1為hybrid埠,允許VLAN10和VLAN5的報文通過。
[Quidway] interface Ethernet1/1
[Quidway-Ethernet1/1] port link-type hybrid
[Quidway-Ethernet1/1] port hybrid pvid vlan 5
[Quidway-Ethernet1/1] port hybrid vlan 10 tagged
(4) 配置SNMP
# 進入全域性配置模式。
system-view
# 設定團體名和訪問許可權。
[Quidway] snmp-agent community read huawei
[Quidway] snmp-agent community write beiyan
# 設定管理員標識、聯絡方法以及乙太網交換機的物理位置。
[Quidway] snmp-agent sys-info contact Mr.Wang-Tel:3306
[Quidway] snmp-agent sys-info location telephone-closet,3rd-floor
# 允許傳送Trap。
[Quidway] snmp-agent trap enable
# 定義訪問控制列表,以便進行對通過SNMP訪問交換機的使用者進行ACL控制。
[Quidway] acl number 1
[Quidway-acl-basic-1] rule 0 permit source 10.11.10.1 0
# 建立SNMP組,並定義訪問控制。
[Quidway] snmp-agent group v3 huaweigroup acl 1
# 為SNMP組新增一個使用者huaweimanager,設定認證密碼為hello,並配置訪問控制,只允許網管工作站訪問交換機。
[Quidway]snmp-agent usm-user v3 huaweimanager huaweigroup auth md5 huawei acl 1
(5) 配置對TELNET使用者的訪問控制,僅允許IP為10.110.110.46和10.110.110.52的使用者通過TELNET訪問交換機。
# 定義基本訪問控制列表。
[Quidway] acl number 20
[Quidway-acl-basic-20] rule 0 permit source 10.110.110.46 0
[Quidway-acl-basic-20] rule 1 permit source 10.110.110.52 0
# 引用訪問控制列表。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] acl 20 inbound
(6) 配置對HTTP使用者的訪問控制,僅允許IP地址為10.110.110.46的主機通過WEB方式訪問交換機。
# 定義基本訪問控制列表。
[Quidway] acl number 30
[Quidway-acl-basic-30] rule 0 permit source 10.110.110.46 0
# 引用訪問控制列表。
[Quidway]ip http acl 30
在中小企業或大企業的分支機構中,二層乙太網交換機作為二層匯聚交換機,可以直接接使用者,上行連線到二/三層乙太網交換機,可以通過路由器連線到總部或其它分支機構的網路。
在組網中將每個部門劃分在一個VLAN中;為了便於網管,需要配置SNMP;為了防止交換機被非法訪問,交換機上需要配置對訪問方式的ACL控制。
整個網路採用VLAN10作為管理VLAN,所有交換機上VLAN10介面的IP地址在同一個網段10.110.110.0/24,主RADIUS伺服器的IP為10.110.10.18;網管工作站的IP地址為10.11.10.1。路由器的IP地址為10.100.11.1,二/三層交換機通過VLAN2介面與路由器相連,VLAN2介面的IP地址為10.100.11.2。
在二層交換機上作如下配置:管理VLAN配置、網管路由配置、SNMP配置、各種訪問方式的ACL控制配置;hybrid埠配置。
在二/三層交換機上進行如下配置:閘道器配置、hybrid埠配置、SNMP配置、各種訪問方式的ACL控制配置、各個部門間的相互訪問的控制。
本文僅說明交換機上的基本配置。
1. 配tch B
下面以網路中某部門tch B為例說明基本配置過程。此部門所有的計算機配置在一個VLAN內。
(1) 配置VLAN。
[Quidway] vlan 5
[Quidway-vlan5]port ethernet 0/1 to Ethernet 0/24 ethernet 1/1
[Quidway-vlan5] quit
(2) 配置管理VLAN及路由。
# 管理VLAN為VLAN 10。
[Quidway] interface vlan 10
[Quidway-Vlan-interface10]ip address 10.110.110.2 255.255.255.0
# 配置路由,下一跳為10.110.110.1。
[Quidway] ip route 10.11.10.1 255.255.255.248 10.110.110.1
(3) 配置上行埠Ethernet1/1為hybrid埠,允許VLAN10和VLAN5的報文通過。
[Quidway] interface Ethernet1/1
[Quidway-Ethernet1/1] port link-type hybrid
[Quidway-Ethernet1/1] port hybrid pvid vlan 5
[Quidway-Ethernet1/1] port hybrid vlan 10 tagged
(4) 配置SNMP
# 進入全域性配置模式。
system-view
# 設定團體名和訪問許可權。
[Quidway] snmp-agent community read huawei
[Quidway] snmp-agent community write beiyan
# 設定管理員標識、聯絡方法以及乙太網交換機的物理位置。
[Quidway] snmp-agent sys-info contact Mr.Wang-Tel:3306
[Quidway] snmp-agent sys-info location telephone-closet,3rd-floor
# 允許傳送Trap。
[Quidway] snmp-agent trap enable
# 定義訪問控制列表,以便進行對通過SNMP訪問交換機的使用者進行ACL控制。
[Quidway] acl number 1
[Quidway-acl-basic-1] rule 0 permit source 10.11.10.1 0
# 建立SNMP組,並定義訪問控制。
[Quidway] snmp-agent group v3 huaweigroup acl 1
# 為SNMP組新增一個使用者huaweimanager,設定認證密碼為hello,並配置訪問控制,只允許網管工作站訪問交換機。
[Quidway]snmp-agent usm-user v3 huaweimanager huaweigroup auth md5 huawei acl 1
(5) 配置對TELNET使用者的訪問控制,僅允許IP為10.110.110.46和10.110.110.52的使用者通過TELNET訪問交換機。
# 定義基本訪問控制列表。
[Quidway] acl number 20
[Quidway-acl-basic-20] rule 0 permit source 10.110.110.46 0
[Quidway-acl-basic-20] rule 1 permit source 10.110.110.52 0
# 引用訪問控制列表。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] acl 20 inbound
(6) 配置對HTTP使用者的訪問控制,僅允許IP地址為10.110.110.46的主機通過WEB方式訪問交換機。
# 定義基本訪問控制列表。
[Quidway] acl number 30
[Quidway-acl-basic-30] rule 0 permit source 10.110.110.46 0
# 引用訪問控制列表。
[Quidway]ip http acl 30