H3C系统实验手册.docx
《H3C系统实验手册.docx》由会员分享,可在线阅读,更多相关《H3C系统实验手册.docx(15页珍藏版)》请在冰豆网上搜索。
H3C系统实验手册
2016年南通市地税系统实验手册
实验一:
通过Telnet方式登录交换机典型配置举例
组网图
配置步骤
(1)配置Device接口地址
#配置接口GigabitEthernet0/0地址为192.168.100.230/24。
system
[Sysname]interfaceGigabitEthernet0/0
[Sysname-GigabitEthernet0/0]ipaddress192.168.100.23024
[Sysname-GigabitEthernet0/0]quit
(2)配置认证
#设置VTY的认证模式为scheme。
[Sysname]linevty015
[Sysname-line-vty0-15]authentication-modescheme
[Sysname-line-vty0-15]quit
#创建设备管理类本地用户admin。
[Sysname]local-useradmin
#指定本地用户的授权用户角色为network-admin
[Sysname-luser-manage-admin]authorization-attributeuser-rolenetwork-admin
#配置该本地用户的服务类型为Telnet。
[Sysname-luser-manage-admin]service-typetelnet
#配置该本地用户密码为密文admin。
[Sysname-luser-manage-admin]passwordsimpleadmin
[Sysname-luser-manage-admin]quit
(3)开启Telnet服务
[Sysname]telnetserverenable
验证配置
配置完成后,HostA与HostB能通过Telnet登录设备
运行cmd->输入telnet192.168.100.230->回车->输入用户名密码登录
实验二:
基于端口的VLAN典型配置举例
组网需求
如图所示,HostA和HostC属于部门A,但是通过不同的设备接入公司网络;HostB和HostD属于部门B,也通过不同的设备接入公司网络。
为了通信的安全性,以及避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。
其中部门A使用VLAN100,部门B使用VLAN200。
现要求同一VLAN内的主机能够互通,即HostA和HostC能够互通,HostB和HostD能够互通。
组网图
配置步骤
(1)配置DeviceA
#批量配置接口GigabitEthernet1/0/1~GigabitEthernet1/0/2工作在二层模式。
system-view
[DeviceA]interfacerangegigabitethernet1/0/1togigabitethernet1/0/3
[DeviceA-if-range]portlink-modebridge
[DeviceA-if-range]quit
#创建VLAN100,并将GigabitEthernet1/0/1加入VLAN100。
[DeviceA]vlan100
[DeviceA-vlan100]portgigabitethernet1/0/1
[DeviceA-vlan100]quit
#创建VLAN200,并将GigabitEthernet1/0/2加入VLAN200。
[DeviceA]vlan200
[DeviceA-vlan200]portgigabitethernet1/0/2
[DeviceA-vlan200]quit
#为了使DeviceA上VLAN100和VLAN200的报文能发送给DeviceB,将GigabitEthernet2/0/3的链路类型配置为Trunk,并允许VLAN100和VLAN200的报文通过。
[DeviceA]interfacegigabitethernet1/0/3
[DeviceA-GigabitEthernet1/0/3]portlink-typetrunk
[DeviceA-GigabitEthernet1/0/3]porttrunkpermitvlan100200
(2)DeviceB上的配置与DeviceA上的配置相同,不再赘述。
验证配置
(1)HostA和HostC能够互相ping通,但是均不能ping通HostB。
HostB和HostD能够互相ping通,但是均不能ping通HostA。
实验三:
802.1X认证配置举例
1.组网需求
用户通过Device的端口GigabitEthernet1/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
∙ 由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。
∙ 端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
∙ 认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证。
∙ 所有接入用户都属于同一个ISP域bbb。
∙ Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。
2.组网图
3.配置步骤
(1) 配置各接口的IP地址(略)
(2) 配置本地用户
#添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass。
(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)
system-view
[Device]local-userlocaluserclassnetwork
[Device-luser-network-localuser]passwordsimplelocalpass
#配置本地用户的服务类型为lan-access。
[Device-luser-network-localuser]service-typelan-access
[Device-luser-network-localuser]quit
(3) 配置RADIUS方案
#创建RADIUS方案radius1并进入其视图。
[Device]radiusschemeradius1
#配置主认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1]primaryauthentication10.1.1.1
[Device-radius-radius1]primaryaccounting10.1.1.1
#配置备份认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1]secondaryauthentication10.1.1.2
[Device-radius-radius1]secondaryaccounting10.1.1.2
#配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。
[Device-radius-radius1]keyauthenticationsimplename
[Device-radius-radius1]keyaccountingsimplemoney
#配置发送给RADIUS服务器的用户名不携带域名。
[Device-radius-radius1]user-name-formatwithout-domain
[Device-radius-radius1]quit
(4) 配置ISP域
#创建域bbb并进入其视图。
[Device]domainbbb
#配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。
[Device-isp-bbb]authenticationlan-accessradius-schemeradius1local
[Device-isp-bbb]authorizationlan-accessradius-schemeradius1local
[Device-isp-bbb]accountinglan-accessradius-schemeradius1local
[Device-isp-bbb]quit
(5) 配置802.1X
#开启端口GigabitEthernet1/0/1的802.1X。
[Device]interfacegigabitethernet1/0/1
[Device-GigabitEthernet1/0/1]dot1x
#配置端口的802.1X接入控制方式为mac-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Device-GigabitEthernet1/0/1]dot1xport-methodmacbased
#指定端口上接入的802.1X用户使用强制认证域bbb。
[Device-GigabitEthernet1/0/1]dot1xmandatory-domainbbb
[Device-GigabitEthernet1/0/1]quit
#开启全局802.1X。
[Device]dot1x
4.验证配置
使用命令displaydot1xinterface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。
当802.1X用户输入正确的用户名和密码成功上线后,可使用命令displaydot1xconnection查看到上线用户的连接情况。
实验四:
网络地址转换配置举例
组网需求
内部网络中192.168.100.0/24网段的用户可以访问Internet,使用的外网地址为202.38.1.2和202.38.1.3。
组网图
配置步骤
#按照组网图配置各接口的IP地址,具体配置过程略。
#配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
[Router]nataddress-group0
[Router-address-group-0]address202.38.1.2202.38.1.3
[Router-address-group-0]quit
#配置ACL2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Router]aclbasic2000
[Router-acl-ipv4-basic-2000]rulepermitsource192.168.1.00.0.0.255
[Router-acl-ipv4-basic-2000]#quit
在接口GigabitEthernet0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router]interfacegigabitethernet0/2
[Router-GigabitEthernet0/2]natoutbound2000address-group0
[Router-GigabitEthernet0/2]quit
组网图
配置步骤
(1)配置routerA
[routerA]interfaceGigabitEthernet0/0
[routerA-GigabitEthernet0/0]ipaddress12.0.0.124
[routerA-GigabitEthernet0/0]quit
[routerA]iproute-static23.0.0.0255.255.255.012.0.0.2
(2)配置routerB
[routerB]interfaceGigabitEthernet0/1
[routerB-GigabitEthernet0/1]ipaddress23.0.0.224
[routerB-GigabitEthernet0/1]quit
[routerB]interfaceGigabitEthernet0/0
[routerB-GigabitEthernet0/0]ipadd
[routerB-GigabitEthernet0/0]ipaddress12.0.0.224
[routerB-GigabitEthernet0/0]quit
(3)配置routerC
[routerC]]interfaceGigabitEthernet0/0
[routerC]-GigabitEthernet0/0]ipaddress23.0.0.324
[routerC]-GigabitEthernet0/0]quit
[routerC]]iproute-static12.0.0.0255.255.255.023.0.0.2
验证配置
配置完成后,各主机间能够ping通。
实验五:
DHCP配置举例
组网图
配置步骤
#配置VLAN接口的IP地址。
system-view
[H3C]interfaceGigabitEthernet0/0
[H3C-GigabitEthernet0/0]ipaddress10.1.1.124
#使能DHCP服务。
[H3C]dhcpenable
#配置不参与自动分配的IP地址。
[H3C]dhcpserverforbidden-ip10.1.1.3
#配置DHCP地址池0。
[H3C]dhcpserverip-pool0
[H3C-dhcp-pool-0]network10.1.1.0mask255.255.255.0
[H3C-dhcp-pool-0]dns-list10.1.1.3
[H3C-dhcp-pool-0]gateway-list10.1.1.1
[H3C-dhcp-pool-0]quit
验证配置
#查看电脑获取到该网段地址
实验六:
静态路由
组网图
配置步骤
(1)配置接口地址
#配置RTA的接口地址。
system-view
[RTA]interfaceGigabitEthernet0/0
[RTA-GigabitEthernet0/0]ipaddress192.168.0.124
#配置RTB的接口地址。
system-view
[RTB]interfaceGigabitEthernet0/0
[RTB-GigabitEthernet0/0]ipaddress192.168.0.224
[RTB]interfaceGigabitEthernet0/1
[RTB-GigabitEthernet0/1]ipaddress192.168.1.124
#配置RTC的接口地址。
[RTC]interfaceGigabitEthernet0/1
[RTC-GigabitEthernet0/1]ipaddress192.168.1.224
(2)配置静态路由
#在RTA上配置静态路由。
system-view
[RTA]iproute-static192.168.1.024192.168.0.2
#在RTC上配置静态路由。
[RTC]iproute-static192.168.0.024192.168.1.1
验证配置
配置完成后,RTA可以ping通RTC。
实验七:
配置OSPF基本功能
组网图
配置步骤
(1) 配置各接口的IP地址(略)
(2) 配置OSPF基本功能
#配置RouterA。
system-view
[RouterA]ospf
[RouterA-ospf-1]area0
[RouterA-ospf-1-area-0.0.0.0]network10.1.1.00.0.0.255
[RouterA-ospf-1-area-0.0.0.0]quit
[RouterA-ospf-1]area1
[RouterA-ospf-1-area-0.0.0.1]network10.2.1.00.0.0.255
[RouterA-ospf-1-area-0.0.0.1]quit
[RouterA-ospf-1]quit
#配置RouterB。
system-view
[RouterB]ospf
[RouterB-ospf-1]area0
[RouterB-ospf-1-area-0.0.0.0]network10.1.1.00.0.0.255
[RouterB-ospf-1-area-0.0.0.0]quit
[RouterB-ospf-1]area2
[RouterB-ospf-1-area-0.0.0.2]network10.3.1.00.0.0.255
[RouterB-ospf-1-area-0.0.0.2]quit
[RouterB-ospf-1]quit
#配置RouterC。
system-view
[RouterC]ospf
[RouterC-ospf-1]area1
[RouterC-ospf-1-area-0.0.0.1]network10.2.1.00.0.0.255
[RouterC-ospf-1-area-0.0.0.1]network10.4.1.00.0.0.255
[RouterC-ospf-1-area-0.0.0.1]quit
[RouterC-ospf-1]quit
#配置RouterD。
system-view
[RouterD]ospf
[RouterD-ospf-1]area2
[RouterD-ospf-1-area-0.0.0.2]network10.3.1.00.0.0.255
[RouterD-ospf-1-area-0.0.0.2]network10.5.1.00.0.0.255
[RouterD-ospf-1-area-0.0.0.2]quit
[RouterD-ospf-1]quit
验证配置
#在RouterD上使用Ping测试连通性。
[RouterD]ping10.4.1.1
PING10.4.1.1:
56 databytes,pressCTRL_Ctobreak
Replyfrom10.4.1.1:
bytes=56Sequence=2ttl=253time=2ms
Replyfrom10.4.1.1:
bytes=56Sequence=2ttl=253time=1ms
Replyfrom10.4.1.1:
bytes=56Sequence=3ttl=253time=1ms
Replyfrom10.4.1.1:
bytes=56Sequence=4ttl=253time=1ms
Replyfrom10.4.1.1:
bytes=56Sequence=5ttl=253time=1ms
---10.4.1.1pingstatistics---
5packet(s)transmitted
5packet(s)received
0.00%packetloss
round-tripmin/avg/max=1/1/2ms