1、查看交换机上应用的配置文件
[h3c]dis startup
Current startup saved-configuration file: flash:/config.cfg
Next main startup saved-configuration file: flash:/config.cfg
Next backup startup saved-configuration file: NULL
2、配置主备配置文件
<h3c>startup saved-configuration config.cfg ?
backup Backup config file
main Main config file
<cr>
3、Telnet 用户认证方式登录
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
Telnet 密码方式登录
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple abc
新建用户
local-user admin
password simple abcpassword
service-type telnet
level 3
4、配置MSTP
stp enable
stp region-configuration
region-name abc
revision-level 1
instance 1 vlan 200
active region-configuration
*********************************************************
5、配置接入层交换机只接电脑,不能接交换机,避免已经配置好的生成树受新添加的交换机影响造成网络的不稳定。
stp bpdu-protection
对于接入层设备,接入端口一般直接与用户终端(如PC机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移。当这些边缘端口接收到配置消息后,系统会自动将这些端口设置为非边缘端口,重新计算生成树,这样就引起网络拓扑的震荡。
正常情况下,边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口关闭,同时通知网管这些端口被MSTP关闭。被关闭的边缘端口只能由网络管理人员恢复。
配置端口为边缘端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]stp edged-port enable
对于直接与终端相连的端口,请将该端口设置为边缘端口,同时启动BPDU保护功能。这样既能够使该端口快速迁移到转发状态,也可以保证网络的安全。
**********************************************************
6、DHCP Snooping防止非法DHCP服务器分发地址影响正常网络
例:
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
配置合法的DHCP服务器转发端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust
配置防DHCP服务器仿冒功能
例:
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
开启防DHCP服务器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上启用仿冒功能,万一有非法DHCP服务器进入即触发预设置的策略
配置防DHCP服务器仿冒功能的处理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情况下,交换机防DHCP服务器仿冒功能的处理策略为trap
显示DHCP服务器仿冒相关信息
display dhcp-snooping server-guard
其实配置snooping和仿冒功能效果都是一样,防止非法的DHCP服务器进入网络,只是h3c交换机不同型号支持的方法不同。
汇总有点乱,都是平时配置接入层交换机时经常用到的,也解决了不少问题,现在发上来,一个是自己留个记录,二是也给大家参考一下,或者大家看后,觉得还有什么需要补充的配置,尽管说,共同学习。
