首頁> 娛樂> 樓宇交換機S5300配置例項(Vlan、路由、ACL、DHCP、Arp繫結)

樓宇交換機S5300配置例項(Vlan、路由、ACL、DHCP、Arp繫結)

由 老愷KK 發表于 娛樂

某校在校園網路改造工程配備了S5300交換機做為樓宇交換機,用來與學校核心交換機互聯,為整幢大樓提供網路訊號。根據校方要求,對交換機進行了相關配置。為後期運維需要,按分為基礎資訊、業務配置、管理配置、故障排除四部分記錄如下,請重點關注業務處理這一部分。配置中有一部分屬於知識拓展,用於後續維護和業務擴充套件。

一、交換機基礎資訊

本部分用於學校管理員登記資訊,以備後期運維檢視使用。

1、安裝環境:安裝於每幢的裝置間,有機櫃。使用時要注意通風散熱,交換機散熱孔禁止覆蓋,同時注意防雷防潮。

2、配件:主機一臺、千兆光模組一個、管理線一條、電源線一條、簡要說明書一本、接地線一條。

3、型號:LS-S5324TP-SI-AC(估計是走運營商渠道購置的)

4、序列號:

_____________

Mac地址:

_________________

5、配備日期:______________年_____月______日

6、配置:24個10/100/1000Base埠、4個100/1000Base-X Combo埠

7、S5300前面板樣圖

樓宇交換機S5300配置例項(Vlan、路由、ACL、DHCP、Arp繫結)

S5300交換機前面板圖解

8、指示燈含義:

樓宇交換機S5300配置例項(Vlan、路由、ACL、DHCP、Arp繫結)

二、交換機業務配置

1、恢復預設設定 (模式下執行以下命令)

Reset saved-configuration 提示確認重配置時,按Y鍵

Reboot 提示是否儲存當前設定資訊時按N鍵,提示重啟按Y

◆ 使用display current-configuration命令檢視當前配置檔案。

◆ 使用display saved-configuration [ last ]命令配置交換機下次啟動時載入的配置檔案的內容。

◆ 使用display startup命令檢視裝置啟動時使用的檔案資訊。

◆ 使用dir [ /all ] [ filename ]命令檢視儲存裝置中的檔案資訊。

附:

#配置啟動時載入的系統檔案

在使用者檢視下執行命令startup system-software system-file [ slave-board ],配置交換機下次啟動時載入的S5300系統軟體。系統軟體的檔名必須以“。cc”作為副檔名,而且必須存放在Flash的根目錄下。

#配置啟動時載入的配置檔案

執行startup saved-configuration configuration-file命令,配置交換機下次啟動時載入的配置檔案。

配置檔案的檔名必須以。cfg或。zip作為副檔名,而且必須存放在儲存裝置的根目錄下。

交換機上電時,預設從Flash儲存器中讀取配置檔案進行初始化,因此該配置檔案中的配置稱為初始配置。如果Flash中尚沒有配置檔案,則交換機用預設引數初始化。

與初始配置相對應,交換機執行過程中正在生效的配置稱為當前配置。

2、建立VlanXXXX,並將21號埠劃歸此Vlan中(網通光纖接入至此Vlan所在埠),實現與學校網路中心互聯。學校管理員應對本樓層業務進行規劃,將相關的計算機歸於同一個Vlan中。

System-view

Vlan XXXX

Description toZhongxin

Quit

Interface vlan XXXX

Ip address 172。30。30。X 255。255。255。248 (學校網路中心端的路由IP地址)

Quit

Interface port g 0/0/21 光纖模組介面

Port link-type trunk 模式有四:access/dot1q-tunnel/hybrid/trunk

Port trunk allow-pass vlan XXXX 允許VlanXXXX透過

Quit

3、配置路由

System-view

Ip route 0。0。0。0 0。0。0。0 172。31。23。X (網路中心端路由IP地址)

4、建立本校業務子網Vlan

System-view

Valn 2 (vlan編號自行規劃)

Description jiaoshi_yuwenzu

Quit

Interface vlan 2

Ip address IP地址 子網掩碼 此IP作為該網段上網的閘道器,通常為。1或。254

Quit\

(注:需要將此網段及閘道器在學校網路中心的核心交換機上做反向路由,否則該網段不能上網)

Interface range port g0/0/2 to g0/0/6 進多埠 或 interface port g0/0/2 進單埠

Port link-type access

Port default vlan 2

Quit

5、儲存結果

Save 在常模式下執行

首次儲存需要輸入檔名。cfg,以後直接按Y確認

6、檢視結果

Display current

Display this

7、繫結IP、Mac,防止使用者私設IP

System-view

Arp sattic IP地址 Mac地址 vid Vlan號 interface 埠號

注:該命令可以在全域性、埠、Vlan下執行

分別對應著不同的應用環境。

8、配置DHCP功能

(1)、開啟DHCP服務

system-view

dhcp enable

(2)、建立地址池並配置相關屬性

system-view

ip pool 1

network 192。168。12。0 mask 255。255。255。0

dns-list 202。102。152。3

gateway-list 192。168。12。1

lease day 7

static-bind ip-address IP地址 mac-address mac地址

quit

注:刪除重配靜態IP的方法

<>模式下執行 reset ip pool name 1 all

進入 IP Pool 1,用Undo static ip IP地址 刪除指定IP

執行static ip IP地址 mac Mac地址 重新繫結

(3)、配置Vlan中的計算機從全域性地址池中獲取IP地址

interface vlan 2

dhcp select global

(4)、檢視設定結果

display ip pool

(5)、驗證是否成功

需要上網的計算機設定自動獲取IP地址後,在Cmd命令列輸入ipconfig /all檢視本機所獲取的IP地址。

(6)、設定IP、Mac繫結

9、DHCP Snooping

作用:可以防止1)DHCP Server仿冒者攻擊;2)中間與IP/MacSpoofing攻擊;3)改變CHADDR值的DoS攻擊;4)仿冒DHCP續租報文攻擊。

配置:

1)配置埠,略

2)啟用DHCP Snooping功能

Dhcp enable 若已開啟此功能,是此處需忽略

Dhcp snooping enable 全域性開啟dhcp snooping功能

Vlan 2

Dhcp snooping enable 在指定的vlan中開啟dhcp snooping功能

quit

3)外網網口設定為Trusted模式

Interface g0/0/21

Dhcp snooping trusted

quit

4)配置某Vlan使用者進行報文檢查

Interface g0/0/1

Dhcp snooping check arp enable

Dhcp snooping check ip enable

Dhcp snooping check dhcp-chaddr enable

Dhcp snooping check dhcp-request enable

Quit

5)配置靜態繫結表項

Vlan 2

Dhcp snooping bind-table static ip-address 教師機IP地址 mac-address 教師機Mac地址 interface g0/0/1

Quit

6)配置強制插入Option82選項

Vlan 2

Dhcp option82 rebuild enalbe interface g0/0/1

Quit

Vlan XXXX

Dhcp option82 rebuild enable interface g0/0/21

Quit

7)啟用並配置告警傳送

Interface g0/0/1

Dhcp snooping alarm arp enable 啟用相應的告警功能

Dhcp snooping alarm arp threshold 10 配置告警閾值

Dhcp snooping alarm ip enable

Dhcp snooping alarm ip threshold 10

Dhcp snooping alarm dhcp-chaddr enable

Dhcp snooping alarm dhcp-chaddr threshold 10

Dhcp snooping alarm dhcp-request enable

Dhcp snooping alarm dhcp-request threshold 10

Dhcp snooping alarm dhcp-reply enalbe

Dhcp snooping alarm dhcp-reply threshold 10

quit

8)檢查配置結果

Display dhcp snooping bind-table

Display dhcp option82

檢視是否啟dhcp snooping功能

10、ACL配置示例

示例A:要求每天11點至13點允許上網,其他時間段禁止上網

1、定義時間段

Time-range outnet1 00:01 to 10:59 daily

Time-range outnet2 13:01 to 23:59 daily

Time-range onnet 11:00 to 13:00 daily

2、定義策略

Acl 5001

Rule 1 deny time-range outnet1

Rele 2 deny time-range outnet2

Rule 1 permit time-range onnet

3、進入埠,應用策略

Int g0/0/21

Acl 5001 inbound

示例B:限制或允許某個IP段上網

1、定義策略

Acl 2001

rule 1 permit source IP地址 反向掩碼

rule 2 deny source any

2、應用策略

Int g0/0/21

Acl 2001 inboud

三、交換機管理配置

本部分配置實現對交換機的管理,推薦使用SSH模式遠端登入和管理交換機。在配置命令中,寫漢字的地方,請換成合適的IP地址或名稱。

1、網路連線:在21#口接好光模組,網通送達的一組光纖(兩芯)直接接到該模組上,用以實現與資訊中心裸光纖直連。該口所在Vlan參照附表“路由、Vlan規劃表”中的規劃來設定。

2、交換機管理連線:兩種方式,一種是管理線帶水晶頭一端接到交換機Console埠,帶9針COM口母頭一端接至電腦Com口上;另一種是用網線一端連線交換機制ETH口,另一端連線管理電腦的網絡卡。

3、連線到console口時,電腦端使用SecureCRT軟體來管理交換機。新一個會話,選擇Serial,連線Com1口,波特率為9600、資料位:8、奇偶校驗:無、停止位:1、流控制:無。

連線到ETH口時,需先透過console管理方式進行設定後方可使用。

Eth埠也稱Meth埠,是個百兆的管理網口,一般用於透過PC機使用Telnet命令登入、管理交換機,或者讓PC機與交換機建立FTP連線給裝置進行軟體升級。該口只能用於管理,不能用來跑業務,因為它不支援資料包的跨板轉發。

4、交換機上要配置Telnet模式或SSH模式方便以後管理。若有必要,仍需要透過Console口使用管理線連線後來管理。建議配置SSH模式管理。

在設定中會涉及到VTY。VTY型別的使用者介面可以達到0~20個(其中0~15使用者提供給普通Telnet /SSH使用者的使用者介面,16~20是預留給網管使用者的介面)。在系統檢視下可以設定最大使用者介面個數,其預設值為5。

5、配置交換機名稱

System-view

Sysname

學校簡稱拼音全拼

如: sysname yizhong

學校簡稱按上級規劃給定的名稱來配置

6、配置管理IP

System-view

#在Meth埠配置管理用的IP地址A

Interface meth 0/0/1 進入管理網口檢視

Description

guanli

IP address

管理用IP地址A

子網掩碼

#

配置連線賬號

System-view

aaa

Local-user 使用者名稱 password cipher 密碼

Local-user 使用者名稱 level 15

Local-user 使用者名稱 ftp-directory flash

Local-user 使用者名稱 service-type telnet terminal web http

#或者不使用Meth埠

Vlan 100

Description guanli

Quit

Interface vlan 100

IP address

管理用IP地址A

子網掩碼

#配置埠

Interface

g0/0/1

Port link-type hybrid

Port hybird pvid vlan

100

Port hybrid untagged vlan

100

quit

#配置允許登入的IP地址B的ACL規則,用於從PC端管理交換機

Acl

2000

在檢視模式下執行,建立一個ACL

Rule 1 permit source

IP地址

B

反向掩碼(255-子網掩碼)

Rule 2 deny source any

Quit

注:允許訪問的

IP地址為

掩碼為:

#應用ACL規則

User-interface vty

0

Authentication-mode

4

Acl

(進入0--4控制檯)

inbound

Display this

aaa

2000

檢視結果,會看到

Quit

檢查:

Display current

7、配置Telne管理模式

System-view

telnet server enable

A

#配置登入驗證模式

Aaa

Local-user

cl 2000 inbound的那條說明成功

password cipher

開啟Telnet服務

使用者名稱

Local-user

密碼

service-type telnet

配置使用者名稱與密碼

Local-user

使用者名稱

privilege level

設定登入模式

使用者名稱

3

Quit

User-interface vty

設定許可權

(0---15)

Authentication-mode

0 4

(進入0--4控制檯)

Idle-timeout

aaa

設定授權模式為aaa,即驗證使用者名稱、密碼

Quit

#檢視配置情況

Display telnet server status

10

Display tcp status

10分鐘無操作後退出

Display users [all]

檢視Telnet伺服器的狀態和配置資訊

附:命令級別

檢視當前建立的所有的TCP連線情況

檢視[當前/所有]使用者介面連線情況

系統命令採用分級保護方式,命令從低到高劃分為16個級別

樓宇交換機S5300配置例項(Vlan、路由、ACL、DHCP、Arp繫結)

8、配置SSH管理模式

#在交換機端生成金鑰對

System-view

Rsa local-key-pair create

#配置VTY使用者介面

User-interface vty 0 4

Authentiaction-mode aaa

Protocol inbound ssh

Quit

#配置使用者名稱與密碼

Aaa

Local-user

,編號

password cipher

0~15)

Local-user

使用者名稱(如adminssh)

privilege level 3

Local-user

密碼

service-type ssh

Quit

#啟用STelnet服務

Stelnet server enable

Ssh authentication-type default password

#檢驗配置結果

交換機端使用

Display ssh server status

Display ssh server session

Display ssh user-information

PC端接好線,使用SecureCRT登入

9、配置WEB管理模式

注:Web模式配置起來比較麻煩,但使用起來還是比較直觀的,特別是以圖示的方式顯示埠狀態,用起來還是比較方便的。

#準備工作:獲取Web網頁檔案,請先登入官網,在“軟體中心 > 版本軟體 > 數通 > 乙太網交換機 >S23&33&53&CX200D系列”路徑下,根據版本名稱,下載對應的版本軟體。版本軟體中包含Web網頁檔案,名稱為“產品+軟體版本號。WEB網管檔案版本號。web。zip”。其中產品為:S5324TP-SI,軟體版本為:V5。110(Vlan00R001C00SPC300),Web網檔案版本號為:____________。

檢視交換機軟體版本使用命令:Display version

#上傳Web網頁壓縮包檔案到交換機

在上傳Web網頁檔案前,請將檔案複製到登入裝置的客戶端上。

#載入Web網頁檔案

System-view

http server load

使用者名稱

#啟動Web服務

http server enable

#建立Web網管賬號,配置該賬號的訪問型別為HTTP

Aaa

Local-user

使用者名稱

password cipher

檔名

Local-user 使用者名稱 service-type http

Quit

#登入驗證

客戶端用瀏覽器訪問網管IP,出出登入介面,輸入賬號登入後可以進行管理

10、開啟SNMP協議

注:此功能配置完成後, 上級部門可以使用軟體來統一管理。當然,校方網路管理員也可以使用類似軟體來統一管理學校的網路裝置。學校所能使用的名稱由上級部門統一規劃,在配置中需要按規定配置。

System-view

snmp-agent

snmp-agent community read cipher

使用者名稱(如adminweb)

密碼

acl

SNMP名稱

snmp-agent community write cipher

_read

2000

acl

SNMP名稱

snmp-agent sys-info location

_write

2000

snmp-agent sys-info version all

snmp-agent target-host trap address udp-domain

XXX_

params securityname

學校簡稱全拼

snmp-agent trap source vlan

172.30.41.54

檢查設定情況:

Display current

Display snmp-agent community read

Display snmp-agent community write

Display snmp-agent trap

snmp_rsjyj

1、忘記交換機密碼,如何恢復初始密碼?

(1)用管理線連線交換機後,開啟管理軟體登入交換機,提示輸入密碼時,重啟交換機。

(2)在出現Press Ctrl+B to enter BOOTROM menu。。。 0時按下Ctrl+B組合鍵,進入管理選單,可以進行包括修改密碼在內的多項操作。

預設密碼為:Admin_huawei。com,請將下劃線換成@符號(因這個在發文時提示廣告)

(3)注意:萬不得以時方可啟用,使用此項功能時不要修改預設密碼。

2、故障現象:配置好交換機後,且已儲存。第二天又檢視時,交換機的所有埠的燈全部的滅掉了。登入交換機後發現原配置埠為100M速率又全部恢復到1000M了。

原因分析:這是這款交換機軟體的一個漏洞

解決辦法:登入官網下載補丁檔案,名為:V001R003SPH011。pat。把補丁使用FTP伺服器給下到了交換機中,啟用並執行之。

TAG:交換機配置SnoopingIP地址

相關文章