H3C交换机范文
H3C交换机范文(精选4篇)
H3C交换机 第1篇
我公司是以H3C Release 6600为核心交换机, 天融信防火墙作为与外部网络联系的防护屏障, 向下使用光纤网络联系总部个部门、各供电所和变电站的H3C交换机, 为了系统的安全考虑, 采用的环路的结构 (图1) 。在机房, 将DNS服务器及自动办公系统、财务系统等应用服务器使用千兆网络直接联至核心交换机。
在传输端, 由于使用了光纤作为主要的传输媒介, 是我公司的带宽达到了10Mbps以上, 保障了公司包括视频会议在内的各项数据业务的高效、稳定运行。
2 核心交换机设置
1) 首先使用console口设置交换机基本信息, 这里为了方便远程维护, 开启了telnet服务, 设置了用户名、密码、管理员权限等。
2) 建立VLAN (Virtual Local Area Network, 虚拟局域网) , 传统的以太网是广播型网络, 网络中的所有主机通过HUB或交换机相连, 处在同一个广播域中。HUB和交换机作为网络连接的基本设备, 在转发功能方面有一定的局限性:HUB是物理层设备, 没有交换功能, 接收到的报文会向除接收端口外的所有端口转发;交换机是数据链路层设备, 具备根据报文的目的MAC地址进行转发的能力, 但在收到广播报文或未知单播报文 (报文的目的MAC地址不在交换机MAC地址表中) 时, 也会向除接收端口之外的所有端口转发。
上述情况会造成以下的网络问题:
1) 网络中可能存在着大量广播和未知单播报文, 浪费网络资源。
2) 网络中的主机收到大量并非以自身为目的地的报文, 造成了严重的安全隐患。
解决以上网络问题的根本方法就是隔离广播域。传统的方法是使用路由器, 因为路由器是依据目的IP地址对报文进行转发, 不会转发链路层的广播报文。但是路由器的成本较高, 而且端口较少, 无法细致地划分网络, 所以使用路由器隔离广播域有很大的局限性。
为了解决以太网交换机在局域网中无法限制广播的问题, VLAN (Virtual Local Area Network, 虚拟局域网) 技术应运而生。
VLAN的组成不受物理位置的限制, 因此同一VLAN内的主机也无须放置在同一物理空间里。
注:STP是根据IEEE协会制定的802.1D标准建立的, 用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路, 并有选择的对某些端口进行阻塞, 最终将环路网络结构修剪成无环路的树型网络结构, 从而防止报文在环路网络中不断增生和无限循环, 避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。
STP包含了两个含义, 狭义的STP是指IEEE 802.1D中定义的STP协议, 广义的STP是指包括IEEE 802.1D定义的STP协议以及各种在它的基础上经过改进的生成树协议。
5) 因为需要严格管理网络终端的接入, 我将每一个IP绑定在具体的MAC地址, 端口及VLAN上:
例:arp static XX.XX.XX.XX aaaa-aaaa-aaaa 1 gigabitethernet4/0/1
注:XX.XX.XX.XX为IP地址, aaaa-aaaa-aaaa为MAC地址, 1为VLAN号, 4/0/1为端口号。VLAN和端口不是绑定必须的参数, 主要是在实际工作中我发现单单IP和mac的绑定效果不好。
6) 其他各部门连接的二层交换机的设置与核心交换机基本相同, 需要注意的是注意路由的配置, 及保证各个交换机VLAN配置名称的一至。
例:路由配置ip route-static 0.0.0.0 0.0.0.0 10.XX.XX.XX preference 60
7) 最后要注意的是做好配置资料的备份工作, 建立系统崩溃的应急预案及还原机制。
3 结束语
以上讨论了在一个山区县, 使用H3C交换为核心设备建立信息网络的方案, 我公司使用此系统已经平稳运行一年, 没有出现由于设备及网络结构缺陷造成的网络问题, 满足各个应用系统的数据传输要求, 证明了此系统的可靠性, 为公司的信息化建设打下了坚实的基础。
摘要:随着电力企业信息化建设的进程的建设, 以及电力企业对信息传输安全性要求的提高, 原本的信息网络已经无法负担日益增加的终端用户和多样化的业务需求, 建设高效、稳定的信息网络以成为公司信息化建设的当务之急。我公司目前已建成上联省市公司, 下联各变电站、供电所, 覆盖全公司各个应用面的网络信息系统, 系统提供了23个局域网运行, 管理服务器27台, 网络设备51台, 管理维护终端计算机200多台。这些业务系统及设备的可靠、稳定运行, 是全公司安全生产、经营管理的基础保障。我公司所在地区少部分为盆地, 大部分为山区, 下属变电站和供电所比较分散, 这就对网络传输提出了比较高的要求。
H3C交换机 第2篇
Interface vlan-interface 1
Undo ip address
Ip address 172.28.1.33 255.255.255.0
2、定义vlan 101(name caiwu),vlan 102(name diaodu),名字,端口
命令:vlan 101
Interface vlan-interface 101
Ip address 192.168.1.1 255.255.255.0
Port e1/0/1 to e1/0/24
Vlan 102
Interface vlan-interface 102
Ip address 192.168.2.1 255.255.255.0
Port e1/0/25 to e1/0/47
3、定义vlan的接口地址。
4、在两个vlan之间增加路由。
命令:ip route-static 0.0.0.0 255.255.255.255 192.168.1.254
5、为交换机添加默认网关。
将以太网端口Ethernet1/0/1设置为Trunk端口。
ip address 172.16.21.1 255.255.255.0
可能这样配的话意思是VLAn130的IP就是172.16.21.2—172.16.21.254 而172.16.21.1则是这个网段的网关。
将Trunk端口Ethernet1/0/1加入到VLAN2、VLAN4、VLAN50~VLAN 100中。
远程登录方式: 配置web用户
[h3c] local-user admin(配置用户名admin)---本地用户admin [h3c] service-type telnet level 3(设置级别为3)----服务类型telnet 级别3 [h3c] password simple admin(设置密码为admin)----密码简单型admin
配置telnet用户
[h3c] user-interface vty 0 4(进入虚拟终端)----用户接口 vty 0 4 [h3c] authentication-mode scheme(配置本地或远端用户名认证方式—鉴定
User-interface vty 0 4 Authentication-mode scheme User privilege level 3 Local-user huawei Service-type telnet level 3 Password simple admin
华为交换机配置用户名和密码
2009-09-18 02:16 华为交换机配置用户名和密码
(1)telnet只需输入password即可远程登陆交换机。
进入用户界面视图
[SwitchA]user-interface vty 0 4 设置认证方式为密码验证方式 [SwitchA-ui-vty0-4]authentication-mode password
设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei 配置登陆用户的级别为最高级别3(缺省为级别1)[SwitchA-ui-vty0-4]user privilege level 3/1 [switchA]super password simple ddddd
(2)telnet需要输入username和password才可以登陆交换机。
进入用户界面视图
[SwitchA]user-interface vty 0 4
配置本地或远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
配置本地TELNET用户,用户名为”huawei”,密码为”huawei”,权限为最高级别3(缺省为级别1)[SwitchA]local-user huawei [SwitchA-user-huawei]password simple huawei [SwitchA-user-huawei]service-type telnet level 3(3)通过con口只需输入password即可远程登陆交换机。
进入用户界面视图
[Quidway]user-interface aux 0
设置认证方式为密码验证方式
[Quidway-ui-aux0] authentication-mode password
设置登陆验证的password为明文密码”huawei”
[Quidway-ui-aux0] set authentication password simple huawei 配置登陆用户的级别为最高级别3(缺省为级别1)[Quidway-ui-aux0] user privilege level 3
(4)通过con口需要输入username和password才可以登陆交换机。[Quidway]user-interface aux 0
配置本地或远端用户名和口令认证
[Quidway-ui-aux0] authentication-mode scheme
配置本地TELNET用户,用户名为”huawei”,密码为”huawei”,权限为最高级别3(缺省为级别1)[SwitchA]local-user huawei [SwitchA-user-huawei]password simple huawei [SwitchA-user-huawei]service-type telnet level 3
Type: S-Static D-Dynamic IP Address
MAC Address VLAN ID Port Name
Aging Type 10.2.209.4
001d-0f80-68f1 200
GigabitEthernet6/1/4
N/A S 192.168.0.7
0050-c21e-f941 900
GigabitEthernet6/1/4
D 192.168.0.6
0050-c21f-1a0b 900
GigabitEthernet6/1/4
D 192.168.0.8
0050-c21f-19fc 900
GigabitEthernet6/1/4
D 10.2.213.107 0025-1185-8bb8 700
GigabitEthernet6/1/4
D 10.2.209.251 0023-cd22-f263 210
GigabitEthernet6/1/4
D 10.2.209.123 001e-e576-9c9f 200
GigabitEthernet6/1/4
D 10.2.209.122 0015-e907-98c7 200
GigabitEthernet6/1/4
D 10.2.208.132 0023-893e-2b94 10
GigabitEthernet6/1/4
[DC-HX-S9508-WW-01]int g6/1/4
[DC-HX-S9508-WW-01-GigabitEthernet6/1/4]display this # interface GigabitEthernet6/1/4 description connect to DC-JR-S3600-WW-0401_g1/1/3
[DC-JR-S3600-WW-0401]display mac-address vlan 200 MAC ADDR
VLAN ID STATE
PORT INDEX
AGING TIME(s)0000-5e00-0114 200
Learned
GigabitEthernet1/1/3 AGING 0015-587f-185c 200
Learned
GigabitEthernet1/1/3 AGING 0015-e907-98c7 200
Learned
Ethernet2/0/44
AGING 0016-177e-b336 200
Learned
GigabitEthernet1/1/3 AGING 0016-d332-81a9 200
Learned
GigabitEthernet1/1/3 AGING 0016-d336-b3ce 200
Learned
GigabitEthernet1/1/3 AGING 0019-21bd-99a3 200
Learned
GigabitEthernet1/1/3 AGING 001a-a039-fa46 200
Learned
GigabitEthernet1/1/3 AGING 001d-0934-4f2f 200
Learned
GigabitEthernet1/1/3 AGING 001d-0f80-68f1 200
Learned
Ethernet2/0/41
AGING 001d-7280-2303 200
Learned
GigabitEthernet1/1/3 AGING 001e-e576-9c9f 200
Learned
Ethernet2/0/43
AGING 0023-8938-c0e8 200
Learned
GigabitEthernet1/1/3 AGING 0023-8938-c178 200
Learned
GigabitEthernet1/1/3 AGING 0023-8948-c220 200
Learned
Ethernet1/0/6
AGING 0026-b981-d498 200
Learned
GigabitEthernet1/1/3 AGING 0027-1962-e5ab 200
Learned
GigabitEthernet1/1/3 AGING
配置举例及步骤:仅允许来自10.10.1.66和lO.10.1.78的TELNET用户访问交换机:
#定义基本访问控制列表。
[Quidway]acl number 2008 match-order config [Quidway-acl—basic-2008]rule 1 permit source lO.1O.1.66 O [Quidway—acl-basic-2008]rule 2 permit source 1O.1O.1.78 O [Quidway-acl-basic-2008]quit #引用访问控制列表。
[Quidway]user-interface vty 0 4 [Quidway-user-interface-vty0-4]acl 2OO8 inbound
H3C交换机恢复出厂设置
This command will reboot the system.Since the current configuration may have b een changed, all changes may be lost if you continue.Continue? [Y/N] Y /提示是否重启设备,按Y将重新启动/ 【提示】
1、可以只键入reset sa,reset sa是reset saved-configuration的缩写。
2、擦除配置文件后,必须要重启设备后才能恢复到出厂设置。
修改交换机的系统时间
11、访问控制列表 基于接口的ACL 1000-1999
基本的ACL 2000-2999
acl number acl-num [match-order {config|auto}]
rule [rule-id] {permit|deny} [source sour-add sour-wildcard|any] [time-range time-name] [logging] [fragment] [vpn-instance vpn-instance-name]
高级的ACL 3000-3999
acl number acl-num [match-order {config|auto}]
rule [rule-id] {permit|deny} protocol [source sour-add sour-wildcard|any] [destination dest-add dest-wildcard|any] [source-port operator port1
[port2]]
[dest-port
operator
port1
[port2]]
[icmp-type
{icmp-type icmp-code|icmp-message}] [precedence pre] [time-range time-name] [logging] [fragment] [vpn-instance vpn-instance-name]
基于MAC地址ACL 4000-4999
ACL访问控制列表
公司企业网通过Switch的端口实现各部门之间的互连。研发部门由GigabitEthernet1/1/1接入交换机,工资查询服务器的地址为192.168.1.2。要求正确配置ACL,禁止研发部门在工作日8:00至18:00访问工资服务器。配置步骤(1)定义时间段
# 定义8:00至18:00的周期时间段。
[H3C] time-range test 8:00 to 18:00 working-day(2)定义到工资服务器的ACL # 进入ACL3000视图。[H3C] acl number 3000
# 定义其它部门到工资服务器的访问规则。
[H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test [H3C-acl-adv-3000] quit(3)在端口上应用ACL # 在端口上应用ACL 3000。
[H3C] interface gigabitethernet1/1/1
[H3C-GigabitEthernet1/1/1] packet-filter inbound ip-group 3000
IP-MAC绑定方法:
[switch-Ethernet1/0/24]am user-bind mac-addr AAAA-AAAA-AAAA ip-addr 192.168.x.x IP MAC switch-Ethernet1/0/24]arp static 192.168.1.1 AAAA-AAAA-AAAA 2 [switchA]undo arp 192.168.1.1
H3C交换机 第3篇
关键词:ARP,网络攻击
ARP病毒是对利用ARP协议的漏洞进行传播的一类病毒的总称, 是一种入侵电脑的木马病毒, 对电脑用户私密信息的威胁很大。由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞, 用户会感觉上网速度越来越慢, 严重时会出现同一网段大面积断网断线。在这里将我的一些经验拿出来分享, 让较大型的网络管理员能及时找出ARP病毒计算机, 消灭ARP病毒, 恢复整个网段计算机的正常上网。
1 ARP攻击方式
仿冒网关攻击是一种比较常见的攻击方式, 如果攻击源发送的是广播ARP报文, 或者根据其自身所掌握的局域网内主机的信息依次地发送攻击报文, 就可能会导致整个局域网通信的中断。
2 ARP攻击的危害
2.1 会造成网络不稳定, 引发用户无法上网或者企业断网导致重大生产事故。
2.2 利用ARP攻击可进一步实施攻击, 非法获取游戏、网银、文件服务等系统的帐号和口令, 使被攻击者造成利益上的重大损失。网络拓扑结构图1:
2.3 怀疑ARP病毒的存在
由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞, 用户会感觉上网速度越来越慢, 严重时会出现同一网段的大面积断网断线。根据这一特点, 网络管理员接到有多个用户反映上网速度越来越慢或者无法上网时, 在网络硬件设备完好的情况下, 就要怀疑局域网的这个网段内可能有ARP病毒的存在。
2.4 确认局域网的这个网段内有ARP病毒的存在
网络管理员可以用电脑通过配置线与3600三层交换机的Console口相连, 当用超级终端登陆后, 会发现登陆后的界面不断地翻滚, 无法稳定画面, 这时应把配置线从三层交换机的Console口拔出。这时可以稳定地看到如下的信息:
#Apr 21 09:38:27:750 2000 h3c_s3600 ARP/5/DUPIP:-1-IP address 192.168.6.6 collision detected, sourced by 0016-1234-5678 on Ethernet1/0/23 of VLAN2 and0013-abcd-efgh on Ethernet1/0/23 of VLAN2#Apr 21 09:38:27:750 2000 h3c_s3600 ARP/5/DUPIP:-1-IPaddress 192.168.6.6 collision detected, sourced by0016-1234-5678 on Ethernet1/0/23 of VLAN2 and0013-abcd-efgh on Ethernet1/0/23 of VLAN2
这时网络管理员就可以判定MAC地址为0016-1234-5678和0013-abcd-efgh这二部电脑中有一台机是ARP病毒机。
3 找出ARP病毒机的用户
由于是大型的网络, 网络管理员不知道MAC地址为0016-1234-5678和0013-abcd-efgh这二部电脑是谁的。所以通过禁止这二部电脑上网, 然后被禁止上网的ARP病毒用户找上门说他的电脑无法上网了, 网络管理员就可以知道哪台是ARP病毒机了。
4 禁止ARP病毒机上网
下面是用电脑通过配置线与三层交换机的Console口相连, 用超级终端的方式登陆3600三层交换机后, 禁止ARP病毒机上网的命令:
5 允许杀过毒的电脑上网
刚才网络管理员禁止了有ARP病毒的电脑上网, 现在有ARP病毒的电脑已经清除病毒了, 是允许它上网的时候了。
H3C交换机 第4篇
在中心交换机上show logging 发现如下日志
Apr 18 10:24:16.265: %IP-4-DUPADDR: Duplicate address 172.30.30.62 on Vlan711, sourced by 0009.6b84.189e;说明有ARP病毒,
2、执行conf t,mac-address static mac地址 vlan id drop;
3、对有ARP病毒的主机进行了处理,然后在中心交换机上执行
no mac-address static mac地址 vlan id drop,使主机能访问网络资源.
4.问题解决
H3C交换机:
Dis log发现如下信息:
%Apr 30 07:43:18:753 Longjing ARP/3/DUPIFIP:Duplicate address 192.168.1.1 o
n interface Vlan-interface101, sourced by 001b-b970-266d
dis mac-address 0016-e67c-7c9f
发现该mac是从g1/0/4上来的
进入该接口:
interface GigabitEthernet1/0/4
mac-address blackhole 001b-b970-266d vlan 101
然后找到该机器拔除网线杀毒,然后再取消该接口下的限制
interface GigabitEthernet1/0/4
H3C交换机范文
声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
