1、查看交換機上應用的配置文件
[h3c]dis startup
Current startup saved-configuration file: flash:/config.cfg
Next main startup saved-configuration file: flash:/config.cfg
Next backup startup saved-configuration file: NULL
2、配置主備配置文件
<h3c>startup saved-configuration config.cfg ?
backup Backup config file
main Main config file
<cr>
3、
Telnet 用戶認證方式登錄
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
Telnet 密碼方式登錄
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple abc
新建用戶
local-user admin
password simple abcpassword
service-type telnet
level 3
4、配置MSTP
stp enable
stp region-configuration
region-name abc
revision-level 1
instance 1 vlan 200
active region-configuration
*********************************************************
5、配置接入層交換機只接電腦,不能接交換機,避免已經配置好的生成樹受新添加的交換機影響造成網絡的不穩定。
stp bpdu-protection
對於接入層設備,接入端口一般直接與用戶終端(如PC機)或文件服務器相連,此時接入端口被設置爲邊緣端口以實現這些端口的快速遷移。當這些邊緣端口接收到配置消息後,系統會自動將這些端口設置爲非邊緣端口,重新計算生成樹,這樣就引起網絡拓撲的震盪。
正常情況下,邊緣端口應該不會收到生成樹協議的配置消息。如果有人僞造配置消息惡意***交換機,就會引起網絡震盪。BPDU保護功能可以防止這種網絡***。交換機上啓動了BPDU保護功能以後,如果邊緣端口收到了配置消息,系統就將這些端口關閉,同時通知網管這些端口被MSTP關閉。被關閉的邊緣端口只能由網絡管理人員恢復。
配置端口爲邊緣端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]stp edged-port enable
對於直接與終端相連的端口,請將該端口設置爲邊緣端口,同時啓動BPDU保護功能。這樣既能夠使該端口快速遷移到轉發狀態,也可以保證網絡的安全。
**********************************************************
6、DHCP Snooping防止非法DHCP服務器分發地址影響正常網絡
例:
開啓交換機DHCP Snooping功能
[h3c]DHCP Snooping
配置合法的DHCP服務器轉發端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust
配置防DHCP服務器仿冒功能
例:
開啓交換機DHCP Snooping功能
[h3c]DHCP Snooping
開啓防DHCP服務器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上啓用仿冒功能,萬一有非法DHCP服務器進入即觸發預設置的策略
配置防DHCP服務器仿冒功能的處理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情況下,交換機防DHCP服務器仿冒功能的處理策略爲trap
顯示DHCP服務器仿冒相關信息
display dhcp-snooping server-guard
其實配置snooping和仿冒功能效果都是一樣,防止非法的DHCP服務器進入網絡,只是h3c交換機不同型號支持的方法不同。
彙總有點亂,都是平時配置接入層交換機時經常用到的,也解決了不少問題,現在發上來,一個是自己留個記錄,二是也給大家參考一下,或者大家看後,覺得還有什麼需要補充的配置,儘管說,共同學習。