1、华为交换机配置模版脚本总体模版sysuser-interface vty 0 4authentication-mode passwordset authentication password cipher sdsy/sdsyuser privilege level 15quiuser-interface conso 0authentication-mode passwordset authentication password cipher sdsy/sdsyquiip route-static 0.0.0.0 0.0.0.0 10.1.1.3 vlan 39quiint vlan 1quiu
2、ndo int vlan 1vlan 255int vlan 255ip add 10.1.1.202 24int g0/0/8port link-type trunkport trunk allow-pass vlan allquiint range g0/0/1 to g0/0/7port link-typ accessport defaul vlan 39stp edged-port enable loopback-detection enableexiterrdisable recovery cause loopback-detetionerrdisable recovery inte
3、rval 60dhcp-snooping enableint range g0/0/8dhcp-snooping trustdhcp enable3A认证Aaalocal-user meng password cipher meng privilege level 15User-interface vty 0 4Authentication mode aaa端口聚合创建聚合组命令如下: S9303interface Eth-Trunk1 /聚合组名称为ETH-Trunk1 S9303-Eth-Trunk1description To-S9303-2 /描述 S9303-Eth-Trunk1un
4、do port hybrid vlan 1 /去掉VLAN1的透传 S9303-Eth-Trunk1port hybrid tagged vlan 100 to 200 /VLAN透传3进入端口,将端口加入聚合组,命令如下:S9303interface GigabitEthernet1/1/16 /进入G1/1/16端口S9303-GigabitEthernet1/1/16description To-S7810-G7/0/31 /端口描述S9303-GigabitEthernet1/1/16eth-trunk 1 /加入聚合组1S9303interface GigabitEthernet1/
5、1/17 /进入G1/1/17端口S9303-GigabitEthernet1/1/17description To-S7810-G7/0/30 /端口描述S9303-GigabitEthernet1/1/17eth-trunk 1 /加入聚合组1dhcp enable#dhcp snooping enableuser-bind static ip-address 192.168.1.200 保留手动分配的地址,不加保留的手动分配的地址没法使用 user-bind static ip-address 192.168.1.201 mac-address 4c1f-cc58-379e 保留手动分配
6、的地址和MAC地址捆绑#interface Vlanif1000ip address 192.168.1.1 255.255.255.0dhcp select interfacedhcp server excluded-ip-address 192.168.1.200 192.168.1.254 保留手动分配的地址段 expired day 0 hour 5 dhcp server forbidden-ip 192.168.2.201 192.168.2.253display dhcp client#interface GigabitEthernet0/0/1port link-type ac
7、cessport default vlan 1000ip source check user-bind enableip source check user-bind check-item ip-address mac-addressdhcp snooping enabledhcp snooping check user-bind enable expired day 0 hour 5 dhcp server forbidden-ip 192.168.2.201 192.168.2.253display dhcp client镜像命令:Mirroring-group 2 local 创建组In
8、t g0/0/1Mirroring-group 2 mirroring-port both 设置被监控对象Int g0/0/2Mirroring-group 2 monitor-port Sniffer口备份和恢复Tftp 1.1.1.1 put vrpcfg.cfg 22-hw-22.cfg下载Tftp 2.2.2.2 get 23-hw22.cfg vrpcfg.vfgPrivilege levlesysnameHuaWei_testsuperpasswordlevel1cipher456123DHCPIP-MAC绑定#dhcpsnoopingbind-tablestaticip-addr
9、ess192.168.6.254mac-address0000-1111-1234interfaceEthernet0/0/2(1)将IP192.168.1.100 mac 0001-0002-0003 固定到接口上interface GigabitEthernet 0/0/1 user-bind static ip-address 192.168.1.100 mac-address 0001-0002-0003 interface GigabitEthernet 0/0/1 vlan 10(2)接口上启用: ip source check user-bind enable 即可:具体配置过程
10、如下:Ip+mac+端口绑定sysEnter system view, return user view with Ctrl+Z.HuaweiHuaweivlan 10 /在设备上创建vlan 10 Huawei-vlan10quit Huaweiinter gi0/0/1 /进入接口视图Huawei-GigabitEthernet0/0/1port link-type access /指定接口为access类型:可直接接电脑或是服务器的那种类型Huawei-GigabitEthernet0/0/1port default vlan 10 / 将接口划入vlan 10;Huawei-Gigab
11、itEthernet0/0/1quitHuaweiuser-bind static ip-address 192.168.1.100 mac-address 0001-0002-0003 interface GigabitEthernet 0/0/1 vlan 10 /在全局模式下,将IP地址(192.168.1.100),MAC地址(0001-0002-0003),具体接口(GigabitEthernet 0/0/1), /和接口所属vlan(10),绑定到一起。Huaweiinter gi0/0/1 Huawei-GigabitEthernet0/0/1ip source check us
12、er-bind enable / 在本接口上,检查通过的IP源地址,即启用源地址检查功能;Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done.Huawei-GigabitEthernet0/0/1di this /查看接口配置:#interface GigabitEthernet0/0/1 port link-type access port default vlan 10 ip source check user-bind enable#returnHuawei-GigabitEth
13、ernet0/0/1查看防ARP/DHCP/ICMP收到的数量 display auto-defend attack-source detail - MAC Address XXXX-XXXX-XXXX-XXXX Interface GigabitEthernet0/0/2 VLAN: Outer/Inner 0 ARP: 16 DHCP: 980592 ICMP: 982336 Total 1962944 - - MAC Address XXXX-e623-7bce Interface GigabitEthernet0/0/2 VLAN: Outer/Inner 0 DHCP: 34416
14、ICMP: 12352 Total 46768 -Pppoe设置interface Dialer1 link-protocol ppp ppp pap local-user 28#1 password simple &9 ip address ppp-negotiate dialer user 28#1 dialer bundle 1 dialer-group 1 nat outbound 3001#interface Ethernet0/1 pppoe-client dial-bundle-number 1# ip route-static 0.0.0.0 0.0.0.0 Dialer 1
15、preference 60#配置802.1x认证示例组网需求如图1所示,要求如下: 对GE1/0/0接口上的接入用户进行802.1x认证,以控制其访问Internet,接入控制方式采用缺省方式,即基于MAC的接入控制方式。认证成功之前,用户通过浏览器访问外部网络会被重定向至WEB服务器,进行802.1X客户端的下载及安装; 认证成功之后,用户可直接访问网络。 使用RADIUS服务器完成认证。 GE1/0/0接口最大接入用户数为100。 对GE1/0/0接口下的打印机采用MAC旁路认证。配置思路用如下的思路配置802.1x认证。1. 配置RADIUS服务器模板。2. 配置AAA认证模板。3. 配
16、置域。4. 配置802.1x认证。数据准备为完成此配置举例,需要准备如下数据: RADIUS服务器IP地址,认证端口号。 RADIUS服务器密钥为hello,重传次数为2。 AAA认证方案abc。 RADIUS服务器模版rd1。 域isp1。 免认证IP网段。 HTTP访问的重定向URL。 说明:本案例只包括Switch的配置,RADIUS服务器的配置这里不做相关说明。操作步骤1. 配置各接口的IP地址(略)2. 配置RADIUS服务器模板# 配置RADIUS服务器模板rd1。Quidway radius-server template rd1# 配置RADIUS主用认证服务器的IP地址、端口
17、。Quidway-radius-rd1 radius-server authentication 192.168.2.30 1812# 配置RADIUS服务器密钥、重传次数。Quidway-radius-rd1 radius-server shared-key simple 123Quidway-radius-rd1 radius-server retransmit 2Quidway-radius-rd1 quit3. 配置认证方案,认证方案abc,认证方法为RADIUS4. Quidway aaa5. Quidwayaaa authentication-scheme abc6. Quidwa
18、y-aaa-authen-abc authentication-mode radiusQuidway-aaa-authen-abc quit7. 配置isp1域,绑定认证方式和RADIUS服务器模板8. Quidway-aaa domain isp19. Quidway-aaa-domain-isp1 authentication-scheme abc10.Quidway-aaa-domain-isp1 radius-server rd111.Quidway-aaa-domain-isp1 quitQuidway-aaa quit12. 配置802.1x认证# 在全局和接口下使能802.1x认
19、证。Quidway dot1x enableQuidway interface gigabitethernet1/0/0Quidway-GigabitEthernet1/0/0 dot1x enable# 配置允许接入的最大用户数。Quidway-GigabitEthernet1/0/0 dot1x max-user 100# 配置MAC旁路认证。Quidway-GigabitEthernet1/0/0 dot1x mac-bypassQuidway-GigabitEthernet1/0/0 quit# 配置802.1x快速部署功能。Quidway dot1x free-ip 192.168.
20、3.0 24Quidway dot1x url 192.168.3.30Quidway quit13. 检查配置结果用户通过ping Free IP网段中的地址,验证用户在802.1X认证成功之前可以访问免认证网段,且通过浏览器访问任何外部网站都会被重定向到WEB server页面,此页面提供客户端的下载服务。在Switch执行命令display dot1x interface,可以看到802.1x配置信息和统计信息。 display dot1x interface gigabitethernet1/0/0GigabitEthernet1/0/0 status: UP 802.1x proto
21、col is Enabledmac-bypass Port control type is Auto Authentication method is MAC-based Reauthentication is disabled Maximum users: 100 Current users: 1 Guest VLAN is disabled Critical VLAN is disabled Restrict VLAN is disabled Authentication Success: 4 Failure: 0 EAPOL Packets: TX : 8 RX : 16 Sent EA
22、POL Request/Identity Packets : 4 EAPOL Request/Challenge Packets : 4 Multicast Trigger Packets : 0 EAPOL Success Packets : 4 EAPOL Failure Packets : 0 Received EAPOL Start Packets : 4 EAPOL LogOff Packets : 3 EAPOL Response/Identity Packets : 4 EAPOL Response/Challenge Packets: 4配置文件#sysnameQuidway#
23、dot1x enable dot1x url 192.168.3.30 dot1x free-ip 192.168.3.0 255.255.255.0#radius-server template rd1radius-server shared-key simple 123radius-server authentication 192.168.2.30 1812radius-server retransmit 2#aaaauthentication-scheme abc authentication-mode radiusdomain isp1 authentication-scheme abc radius-server rd1#interface GigabitEthernet1/0/0dot1x mac-bypassdot1x max-user 100# return
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1