1、H3C系统实验手册2016年南通市地税系统实验手册实验一:通过Telnet方式登录交换机典型配置举例组网图配置步骤(1)配置Device接口地址#配置接口GigabitEthernet0/0地址为192.168.100.230/24。 systemSysname interface GigabitEthernet 0/0Sysname-GigabitEthernet0/0 ip address 192.168.100.230 24Sysname-GigabitEthernet0/0 quit(2)配置认证#设置VTY的认证模式为scheme。Sysname line vty 0 15Sysna
2、me-line-vty0-15 authentication-mode schemeSysname-line-vty0-15 quit#创建设备管理类本地用户admin。Sysname local-user admin#指定本地用户的授权用户角色为network-adminSysname-luser-manage-admin authorization-attribute user-role network-admin#配置该本地用户的服务类型为Telnet。Sysname-luser-manage-admin service-type telnet#配置该本地用户密码为密文admin。Sys
3、name-luser-manage-admin password simple adminSysname-luser-manage-admin quit(3)开启Telnet服务Sysname telnet server enable验证配置配置完成后,Host A 与Host B 能通过Telnet 登录设备运行cmd-输入telnet 192.168.100.230-回车-输入用户名密码登录实验二:基于端口的VLAN典型配置举例组网需求如图所示,Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络。为了通信
4、的安全性,以及避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200。现要求同一VLAN内的主机能够互通,即Host A和Host C能够互通,Host B和Host D能够互通。组网图配置步骤(1)配置Device A# 批量配置接口GigabitEthernet1/0/1GigabitEthernet1/0/2工作在二层模式。 system-viewDeviceA interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/3DeviceA-if-range
5、 port link-mode bridgeDeviceA-if-range quit# 创建VLAN 100,并将GigabitEthernet1/0/1加入VLAN 100。DeviceA vlan 100DeviceA-vlan100 port gigabitethernet 1/0/1DeviceA-vlan100 quit# 创建VLAN 200,并将GigabitEthernet1/0/2加入VLAN 200。DeviceA vlan 200DeviceA-vlan200 port gigabitethernet 1/0/2DeviceA-vlan200 quit# 为了使Devi
6、ce A上VLAN 100和VLAN 200的报文能发送给Device B,将GigabitEthernet2/0/3的链路类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过。DeviceA interface gigabitethernet 1/0/3DeviceA-GigabitEthernet1/0/3 port link-type trunkDeviceA-GigabitEthernet1/0/3 port trunk permit vlan 100 200(2)Device B上的配置与Device A上的配置相同,不再赘述。验证配置(1)Host A和Host
7、 C能够互相ping通,但是均不能ping通Host B。Host B和Host D能够互相ping通,但是均不能ping通Host A。实验三:802.1X认证配置举例1. 组网需求用户通过Device的端口GigabitEthernet1/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。端口GigabitEthernet1/0/1下的所有接入用户均需要
8、单独认证,当某个用户下线时,也只有该用户无法使用网络。认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证。所有接入用户都属于同一个ISP域bbb。Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。2. 组网图3. 配置步骤(1)配置各接口的IP地址(略)(2)配置本地用户# 添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)
9、 system-viewDevice local-user localuser class networkDevice-luser-network-localuser password simple localpass# 配置本地用户的服务类型为lan-access。Device-luser-network-localuser service-type lan-accessDevice-luser-network-localuser quit(3)配置RADIUS方案# 创建RADIUS方案radius1并进入其视图。Device radius scheme radius1# 配置主认证/计费
10、RADIUS服务器的IP地址。Device-radius-radius1 primary authentication 10.1.1.1Device-radius-radius1 primary accounting 10.1.1.1# 配置备份认证/计费RADIUS服务器的IP地址。Device-radius-radius1 secondary authentication 10.1.1.2Device-radius-radius1 secondary accounting 10.1.1.2# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。Device-radius-r
11、adius1 key authentication simple nameDevice-radius-radius1 key accounting simple money# 配置发送给RADIUS服务器的用户名不携带域名。Device-radius-radius1 user-name-format without-domainDevice-radius-radius1 quit(4)配置ISP域# 创建域bbb并进入其视图。Device domain bbb# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。Device-isp-bb
12、b authentication lan-access radius-scheme radius1 localDevice-isp-bbb authorization lan-access radius-scheme radius1 localDevice-isp-bbb accounting lan-access radius-scheme radius1 localDevice-isp-bbb quit(5)配置802.1X# 开启端口GigabitEthernet1/0/1的802.1X。Device interface gigabitethernet 1/0/1Device-Gigab
13、itEthernet1/0/1 dot1x# 配置端口的802.1X接入控制方式为mac-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。Device-GigabitEthernet1/0/1 dot1x port-method macbased# 指定端口上接入的802.1X用户使用强制认证域bbb。Device-GigabitEthernet1/0/1 dot1x mandatory-domain bbbDevice-GigabitEthernet1/0/1 quit# 开启全局802.1X。Device dot1x4. 验证配置使用命令display dot
14、1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。实验四:网络地址转换配置举例组网需求内部网络中192.168.100.0/24网段的用户可以访问Internet,使用的外网地址为202.38.1.2和202.38.1.3。组网图配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。Routernat address-gro
15、up 0Router-address-group-0address 202.38.1.2 202.38.1.3Router-address-group-0quit# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。Routeracl basic 2000Router-acl-ipv4-basic-2000rule permit source 192.168.1.0 0.0.0.255Router-acl-ipv4-basic-2000# quit在接口GigabitEthernet0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配AC
16、L 2000的报文进行源地址转换,并在转换过程中使用端口信息。Router interface gigabitethernet 0/2Router -GigabitEthernet0/2 nat outbound 2000 address-group 0Router -GigabitEthernet0/2 quit组网图配置步骤(1)配置routerArouterAinterface GigabitEthernet 0/0routerA-GigabitEthernet0/0ip address 12.0.0.1 24routerA-GigabitEthernet0/0quitrouterAip
17、 route-static 23.0.0.0 255.255.255.0 12.0.0.2(2)配置routerBrouterBinterface GigabitEthernet 0/1routerB-GigabitEthernet0/1ip address 23.0.0.2 24routerB-GigabitEthernet0/1quitrouterBinterface GigabitEthernet 0/0routerB-GigabitEthernet0/0ip addrouterB-GigabitEthernet0/0ip address 12.0.0.2 24routerB-Gigab
18、itEthernet0/0quit(3)配置routerCrouterCinterface GigabitEthernet 0/0routerC-GigabitEthernet0/0ip address 23.0.0.3 24routerC-GigabitEthernet0/0quitrouterCip route-static 12.0.0.0 255.255.255.0 23.0.0.2验证配置配置完成后,各主机间能够 ping 通。实验五:DHCP配置举例组网图配置步骤# 配置VLAN 接口的IP 地址。 system-viewH3C interface GigabitEthernet
19、0/0H3C-GigabitEthernet0/0 ip address 10.1.1.1 24# 使能DHCP 服务。H3C dhcp enable# 配置不参与自动分配的IP 地址。H3C dhcp server forbidden-ip 10.1.1.3# 配置DHCP 地址池0。H3C dhcp server ip-pool 0H3C-dhcp-pool-0network 10.1.1.0 mask 255.255.255.0H3C-dhcp-pool-0 dns-list 10.1.1.3H3C-dhcp-pool-0 gateway-list 10.1.1.1H3C-dhcp-po
20、ol-0 quit验证配置#查看电脑获取到该网段地址实验六:静态路由组网图配置步骤(1) 配置接口地址# 配置RTA的接口地址。 system-viewRTAinterface GigabitEthernet 0/0RTA-GigabitEthernet0/0ip address 192.168.0.1 24# 配置RTB的接口地址。 system-viewRTBinterface GigabitEthernet 0/0RTB-GigabitEthernet0/0ip address 192.168.0.2 24RTBinterface GigabitEthernet 0/1RTB-Gigab
21、itEthernet0/1ip address 192.168.1.1 24# 配置RTC的接口地址。 system-viewRTCinterface GigabitEthernet 0/1RTC-GigabitEthernet0/1ip address 192.168.1.2 24 (2) 配置静态路由# 在RTA上配置静态路由。 system-viewRTA ip route-static 192.168.1.0 24 192.168.0.2# 在RTC上配置静态路由。 system-viewRTC ip route-static 192.168.0.0 24 192.168.1.1验证配
22、置配置完成后,RTA可以ping通RTC。实验七:配置OSPF基本功能组网图配置步骤(1) 配置各接口的IP地址(略)(2) 配置OSPF基本功能# 配置Router A。 system-viewRouterA ospfRouterA-ospf-1 area 0RouterA-ospf-1-area-0.0.0.0 network 10.1.1.0 0.0.0.255RouterA-ospf-1-area-0.0.0.0 quitRouterA-ospf-1 area 1RouterA-ospf-1-area-0.0.0.1 network 10.2.1.0 0.0.0.255RouterA-
23、ospf-1-area-0.0.0.1 quitRouterA-ospf-1 quit# 配置Router B。 system-viewRouterB ospfRouterB-ospf-1 area 0RouterB-ospf-1-area-0.0.0.0 network 10.1.1.0 0.0.0.255RouterB-ospf-1-area-0.0.0.0 quitRouterB-ospf-1 area 2RouterB-ospf-1-area-0.0.0.2 network 10.3.1.0 0.0.0.255RouterB-ospf-1-area-0.0.0.2 quitRouter
24、B-ospf-1 quit# 配置Router C。 system-viewRouterC ospfRouterC-ospf-1 area 1RouterC-ospf-1-area-0.0.0.1 network 10.2.1.0 0.0.0.255RouterC-ospf-1-area-0.0.0.1 network 10.4.1.0 0.0.0.255RouterC-ospf-1-area-0.0.0.1 quitRouterC-ospf-1 quit# 配置Router D。 system-viewRouterD ospfRouterD-ospf-1 area 2RouterD-ospf
25、-1-area-0.0.0.2 network 10.3.1.0 0.0.0.255RouterD-ospf-1-area-0.0.0.2 network 10.5.1.0 0.0.0.255RouterD-ospf-1-area-0.0.0.2 quitRouterD-ospf-1 quit验证配置# 在Router D上使用Ping测试连通性。RouterD ping 10.4.1.1 PING 10.4.1.1: 56 data bytes, press CTRL_C to break Reply from 10.4.1.1: bytes=56 Sequence=2 ttl=253 ti
26、me=2 ms Reply from 10.4.1.1: bytes=56 Sequence=2 ttl=253 time=1 ms Reply from 10.4.1.1: bytes=56 Sequence=3 ttl=253 time=1 ms Reply from 10.4.1.1: bytes=56 Sequence=4 ttl=253 time=1 ms Reply from 10.4.1.1: bytes=56 Sequence=5 ttl=253 time=1 ms - 10.4.1.1 ping statistics - 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 1/1/2 ms
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1