华为交换机配置模版脚本Word格式.docx
《华为交换机配置模版脚本Word格式.docx》由会员分享,可在线阅读,更多相关《华为交换机配置模版脚本Word格式.docx(11页珍藏版)》请在冰豆网上搜索。
dhcp-snoopingenable
intrangeg0/0/8
dhcp-snoopingtrust
dhcpenable
3A认证
Aaa
local-usermengpasswordciphermengprivilegelevel15
User-interfacevty04
Authenticationmodeaaa
端口聚合
创建聚合组命令如下:
[S9303]interfaceEth-Trunk1//聚合组名称为ETH-Trunk1
[S9303-Eth-Trunk1]descriptionTo-S9303-2//描述
[S9303-Eth-Trunk1]undoporthybridvlan1//去掉VLAN1的透传
[S9303-Eth-Trunk1]porthybridtaggedvlan100to200//VLAN透传
3
进入端口,将端口加入聚合组,命令如下:
[S9303]interfaceGigabitEthernet1/1/16//进入G1/1/16端口
[S9303-GigabitEthernet1/1/16]descriptionTo-S7810-G7/0/31//端口描述
[S9303-GigabitEthernet1/1/16]eth-trunk1//加入聚合组1
[S9303]interfaceGigabitEthernet1/1/17//进入G1/1/17端口
[S9303-GigabitEthernet1/1/17]descriptionTo-S7810-G7/0/30//端口描述
[S9303-GigabitEthernet1/1/17]eth-trunk1//加入聚合组1
#
dhcpsnoopingenable
user-bindstaticip-address192.168.1.200---保留手动分配的地址,不加保留的手动分配的地址没法使用
user-bindstaticip-address192.168.1.201mac-address4c1f-cc58-379e--保留手动分配的地址和MAC地址捆绑
interfaceVlanif1000
ipaddress192.168.1.1255.255.255.0
dhcpselectinterface
dhcpserverexcluded-ip-address192.168.1.200192.168.1.254---保留手动分配的地址段
expiredday0hour5
dhcpserverforbidden-ip192.168.2.201192.168.2.253
displaydhcpclient
interfaceGigabitEthernet0/0/1
portlink-typeaccess
portdefaultvlan1000
ipsourcecheckuser-bindenable
ipsourcecheckuser-bindcheck-itemip-addressmac-address
dhcpsnoopingcheckuser-bindenable
镜像命令:
Mirroring-group2local创建组
Intg0/0/1
Mirroring-group2mirroring-portboth设置被监控对象
Intg0/0/2
Mirroring-group2monitor-portSniffer口
备份和恢复
Tftp1.1.1.1putvrpcfg.cfg22-hw-22.cfg
下载
Tftp2.2.2.2get23-hw22.cfgvrpcfg.vfg
Privilegelevle
sysname
HuaWei_test
super
password
level
1
cipher
456123
DHCPIP-MAC绑定#############################
dhcp
snooping
bind-table
static
ip-address
192.168.6.254
mac-address
0000-1111-1234
interface
Ethernet
0/0/2
(1)将IP192.168.1.100mac0001-0002-0003固定到接口上interfaceGigabitEthernet0/0/1
user-bindstaticip-address192.168.1.100mac-address0001-0002-0003interfaceGigabitEthernet0/0/1vlan10
(2)接口上启用:
ipsourcecheckuser-bindenable
即可:
具体配置过程如下:
Ip+mac+端口绑定
<
Huawei>
Entersystemview,returnuserviewwithCtrl+Z.
[Huawei]
[Huawei]vlan10//在设备上创建vlan10
[Huawei-vlan10]quit
[Huawei]intergi0/0/1//进入接口视图
[Huawei-GigabitEthernet0/0/1]portlink-typeaccess//指定接口为access类型:
可直接接电脑或是服务器的那种类型
[Huawei-GigabitEthernet0/0/1]portdefaultvlan10//将接口划入vlan10;
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]user-bindstaticip-address192.168.1.100mac-address0001-0002-0003interfaceGigabitEthernet0/0/1vlan10
//在全局模式下,将IP地址(192.168.1.100),MAC地址(0001-0002-0003),具体接口(GigabitEthernet0/0/1),
//和接口所属vlan(10),绑定到一起。
[Huawei]intergi0/0/1
[Huawei-GigabitEthernet0/0/1]ipsourcecheckuser-bindenable
//在本接口上,检查通过的IP源地址,即启用源地址检查功能;
Info:
Addpermitrulefordynamicsnoopingbind-table,pleasewaitaminute!
done.
[Huawei-GigabitEthernet0/0/1]dithis//查看接口配置:
portlink-typeaccess
portdefaultvlan10
return
[Huawei-GigabitEthernet0/0/1]
查看防ARP/DHCP/ICMP收到的数量
displayauto-defendattack-sourcedetail
----------------------------------------------------
MACAddressXXXX-XXXX-XXXX-XXXX
InterfaceGigabitEthernet0/0/2
VLAN:
Outer/Inner0
ARP:
16
DHCP:
980592
ICMP:
982336
Total1962944
MACAddressXXXX-e623-7bce
34416
12352
Total46768
Pppoe设置
interfaceDialer1
link-protocolppp
ppppaplocal-user28#######1passwordsimple…………&
……&
9
ipaddressppp-negotiate
dialeruser28#######1
dialerbundle1
dialer-group1
natoutbound3001
interfaceEthernet0/1
pppoe-clientdial-bundle-number1
iproute-static0.0.0.00.0.0.0Dialer1preference60
配置802.1x认证示例
组网需求
如图1所示,要求如下:
∙对GE1/0/0接口上的接入用户进行802.1x认证,以控制其访问Internet,接入控制方式采用缺省方式,即基于MAC的接入控制方式。
认证成功之前,用户通过浏览器访问外部网络会被重定向至WEB服务器,进行802.1X客户端的下载及安装;
认证成功之后,用户可直接访问网络。
∙使用RADIUS服务器完成认证。
∙GE1/0/0接口最大接入用户数为100。
∙对GE1/0/0接口下的打印机采用MAC旁路认证。
配置思路
用如下的思路配置802.1x认证。
1.配置RADIUS服务器模板。
2.配置AAA认证模板。
3.配置域。
4.配置802.1x认证。
数据准备
为完成此配置举例,需要准备如下数据:
∙RADIUS服务器IP地址,认证端口号。
∙RADIUS服务器密钥为hello,重传次数为2。
∙AAA认证方案abc。
∙RADIUS服务器模版rd1。
∙域isp1。
∙免认证IP网段。
∙HTTP访问的重定向URL。
说明:
本案例只包括Switch的配置,RADIUS服务器的配置这里不做相关说明。
操作步骤
1.配置各接口的IP地址(略)
2.配置RADIUS服务器模板
#配置RADIUS服务器模板rd1。
[Quidway]radius-servertemplaterd1
#配置RADIUS主用认证服务器的IP地址、端口。
[Quidway-radius-rd1]radius-serverauthentication192.168.2.301812
#配置RADIUS服务器密钥、重传次数。
[Quidway-radius-rd1]radius-servershared-keysimple123
[Quidway-radius-rd1]radius-serverretransmit2
[Quidway-radius-rd1]quit
3.配置认证方案,认证方案abc,认证方法为RADIUS
4.[Quidway]aaa
5.[Quidway–aaa]authentication-schemeabc
6.[Quidway-aaa-authen-abc]authentication-moderadius
[Quidway-aaa-authen-abc]quit
7.配置isp1域,绑定认证方式和RADIUS服务器模板
8.[Quidway-aaa]domainisp1
9.[Quidway-aaa-domain-isp1]authentication-schemeabc
10.[Quidway-aaa-domain-isp1]radius-serverrd1
11.[Quidway-aaa-domain-isp1]quit
[Quidway-aaa]quit
12.配置802.1x认证
#在全局和接口下使能802.1x认证。
[Quidway]dot1xenable
[Quidway]interfacegigabitethernet1/0/0
[Quidway-GigabitEthernet1/0/0]dot1xenable
#配置允许接入的最大用户数。
[Quidway-GigabitEthernet1/0/0]dot1xmax-user100
#配置MAC旁路认证。
[Quidway-GigabitEthernet1/0/0]dot1xmac-bypass
[Quidway-GigabitEthernet1/0/0]quit
#配置802.1x快速部署功能。
[Quidway]dot1xfree-ip192.168.3.024
[Quidway]dot1xurl192.168.3.30
[Quidway]quit
13.检查配置结果
用户通过pingFreeIP网段中的地址,验证用户在802.1X认证成功之前可以访问免认证网段,且通过浏览器访问任何外部网站都会被重定向到WEBserver页面,此页面提供客户端的下载服务。
在Switch执行命令displaydot1xinterface,可以看到802.1x配置信息和统计信息。
Quidway>
displaydot1xinterfacegigabitethernet1/0/0
GigabitEthernet1/0/0status:
UP802.1xprotocolisEnabled[mac-bypass]
PortcontroltypeisAuto
AuthenticationmethodisMAC-based
Reauthenticationisdisabled
Maximumusers:
100
Currentusers:
1
GuestVLANisdisabled
CriticalVLANisdisabled
RestrictVLANisdisabled
AuthenticationSuccess:
4Failure:
0
EAPOLPackets:
TX:
8RX:
SentEAPOLRequest/IdentityPackets:
4
EAPOLRequest/ChallengePackets:
MulticastTriggerPackets:
EAPOLSuccessPackets:
EAPOLFailurePackets:
ReceivedEAPOLStartPackets:
EAPOLLogOffPackets:
3
EAPOLResponse/IdentityPackets:
EAPOLResponse/ChallengePackets:
配置文件
sysnameQuidway
dot1xenable
dot1xurl192.168.3.30
dot1xfree-ip192.168.3.0255.255.255.0
radius-servertemplaterd1
radius-servershared-keysimple123
radius-serverauthentication192.168.2.301812
radius-serverretransmit2
aaa
authentication-schemeabc
authentication-moderadius
domainisp1
authentication-schemeabc
radius-serverrd1
interfaceGigabitEthernet1/0/0
dot1xmac-bypass
dot1xmax-user100
#