樓宇交換機S5300配置例項(Vlan、路由、ACL、DHCP、Arp繫結)
某校在校園網路改造工程配備了S5300交換機做為樓宇交換機,用來與學校核心交換機互聯,為整幢大樓提供網路訊號。根據校方要求,對交換機進行了相關配置。為後期運維需要,按分為基礎資訊、業務配置、管理配置、故障排除四部分記錄如下,請重點關注業務處理這一部分。配置中有一部分屬於知識拓展,用於後續維護和業務擴充套件。
一、交換機基礎資訊
本部分用於學校管理員登記資訊,以備後期運維檢視使用。
1、安裝環境:安裝於每幢的裝置間,有機櫃。使用時要注意通風散熱,交換機散熱孔禁止覆蓋,同時注意防雷防潮。
2、配件:主機一臺、千兆光模組一個、管理線一條、電源線一條、簡要說明書一本、接地線一條。
3、型號:LS-S5324TP-SI-AC(估計是走運營商渠道購置的)
4、序列號:
_____________
Mac地址:
_________________
5、配備日期:______________年_____月______日
6、配置:24個10/100/1000Base埠、4個100/1000Base-X Combo埠
7、S5300前面板樣圖
S5300交換機前面板圖解
8、指示燈含義:
二、交換機業務配置
1、恢復預設設定 (
Reset saved-configuration 提示確認重配置時,按Y鍵
Reboot 提示是否儲存當前設定資訊時按N鍵,提示重啟按Y
◆ 使用display current-configuration命令檢視當前配置檔案。
◆ 使用display saved-configuration [ last ]命令配置交換機下次啟動時載入的配置檔案的內容。
◆ 使用display startup命令檢視裝置啟動時使用的檔案資訊。
◆ 使用dir [ /all ] [ filename ]命令檢視儲存裝置中的檔案資訊。
附:
#配置啟動時載入的系統檔案
在使用者檢視下執行命令startup system-software system-file [ slave-board ],配置交換機下次啟動時載入的S5300系統軟體。系統軟體的檔名必須以“。cc”作為副檔名,而且必須存放在Flash的根目錄下。
#配置啟動時載入的配置檔案
執行startup saved-configuration configuration-file命令,配置交換機下次啟動時載入的配置檔案。
配置檔案的檔名必須以。cfg或。zip作為副檔名,而且必須存放在儲存裝置的根目錄下。
交換機上電時,預設從Flash儲存器中讀取配置檔案進行初始化,因此該配置檔案中的配置稱為初始配置。如果Flash中尚沒有配置檔案,則交換機用預設引數初始化。
與初始配置相對應,交換機執行過程中正在生效的配置稱為當前配置。
2、建立VlanXXXX,並將21號埠劃歸此Vlan中(網通光纖接入至此Vlan所在埠),實現與學校網路中心互聯。學校管理員應對本樓層業務進行規劃,將相關的計算機歸於同一個Vlan中。
System-view
Vlan XXXX
Description toZhongxin
Quit
Interface vlan XXXX
Ip address 172。30。30。X 255。255。255。248 (學校網路中心端的路由IP地址)
Quit
Interface port g 0/0/21 光纖模組介面
Port link-type trunk 模式有四:access/dot1q-tunnel/hybrid/trunk
Port trunk allow-pass vlan XXXX 允許VlanXXXX透過
Quit
3、配置路由
System-view
Ip route 0。0。0。0 0。0。0。0 172。31。23。X (網路中心端路由IP地址)
4、建立本校業務子網Vlan
System-view
Valn 2 (vlan編號自行規劃)
Description jiaoshi_yuwenzu
Quit
Interface vlan 2
Ip address IP地址 子網掩碼 此IP作為該網段上網的閘道器,通常為。1或。254
Quit\
(注:需要將此網段及閘道器在學校網路中心的核心交換機上做反向路由,否則該網段不能上網)
Interface range port g0/0/2 to g0/0/6 進多埠 或 interface port g0/0/2 進單埠
Port link-type access
Port default vlan 2
Quit
5、儲存結果
Save 在常模式下執行
首次儲存需要輸入檔名。cfg,以後直接按Y確認
6、檢視結果
Display current
Display this
7、繫結IP、Mac,防止使用者私設IP
System-view
Arp sattic IP地址 Mac地址 vid Vlan號 interface 埠號
注:該命令可以在全域性、埠、Vlan下執行
分別對應著不同的應用環境。
8、配置DHCP功能
(1)、開啟DHCP服務
system-view
dhcp enable
(2)、建立地址池並配置相關屬性
system-view
ip pool 1
network 192。168。12。0 mask 255。255。255。0
dns-list 202。102。152。3
gateway-list 192。168。12。1
lease day 7
static-bind ip-address IP地址 mac-address mac地址
quit
注:刪除重配靜態IP的方法
<>模式下執行 reset ip pool name 1 all
進入 IP Pool 1,用Undo static ip IP地址 刪除指定IP
執行static ip IP地址 mac Mac地址 重新繫結
(3)、配置Vlan中的計算機從全域性地址池中獲取IP地址
interface vlan 2
dhcp select global
(4)、檢視設定結果
display ip pool
(5)、驗證是否成功
需要上網的計算機設定自動獲取IP地址後,在Cmd命令列輸入ipconfig /all檢視本機所獲取的IP地址。
(6)、設定IP、Mac繫結
9、DHCP Snooping
作用:可以防止1)DHCP Server仿冒者攻擊;2)中間與IP/MacSpoofing攻擊;3)改變CHADDR值的DoS攻擊;4)仿冒DHCP續租報文攻擊。
配置:
1)配置埠,略
2)啟用DHCP Snooping功能
Dhcp enable 若已開啟此功能,是此處需忽略
Dhcp snooping enable 全域性開啟dhcp snooping功能
Vlan 2
Dhcp snooping enable 在指定的vlan中開啟dhcp snooping功能
quit
3)外網網口設定為Trusted模式
Interface g0/0/21
Dhcp snooping trusted
quit
4)配置某Vlan使用者進行報文檢查
Interface g0/0/1
Dhcp snooping check arp enable
Dhcp snooping check ip enable
Dhcp snooping check dhcp-chaddr enable
Dhcp snooping check dhcp-request enable
Quit
5)配置靜態繫結表項
Vlan 2
Dhcp snooping bind-table static ip-address 教師機IP地址 mac-address 教師機Mac地址 interface g0/0/1
Quit
6)配置強制插入Option82選項
Vlan 2
Dhcp option82 rebuild enalbe interface g0/0/1
Quit
Vlan XXXX
Dhcp option82 rebuild enable interface g0/0/21
Quit
7)啟用並配置告警傳送
Interface g0/0/1
Dhcp snooping alarm arp enable 啟用相應的告警功能
Dhcp snooping alarm arp threshold 10 配置告警閾值
Dhcp snooping alarm ip enable
Dhcp snooping alarm ip threshold 10
Dhcp snooping alarm dhcp-chaddr enable
Dhcp snooping alarm dhcp-chaddr threshold 10
Dhcp snooping alarm dhcp-request enable
Dhcp snooping alarm dhcp-request threshold 10
Dhcp snooping alarm dhcp-reply enalbe
Dhcp snooping alarm dhcp-reply threshold 10
quit
8)檢查配置結果
Display dhcp snooping bind-table
Display dhcp option82
檢視是否啟dhcp snooping功能
10、ACL配置示例
示例A:要求每天11點至13點允許上網,其他時間段禁止上網
1、定義時間段
Time-range outnet1 00:01 to 10:59 daily
Time-range outnet2 13:01 to 23:59 daily
Time-range onnet 11:00 to 13:00 daily
2、定義策略
Acl 5001
Rule 1 deny time-range outnet1
Rele 2 deny time-range outnet2
Rule 1 permit time-range onnet
3、進入埠,應用策略
Int g0/0/21
Acl 5001 inbound
示例B:限制或允許某個IP段上網
1、定義策略
Acl 2001
rule 1 permit source IP地址 反向掩碼
rule 2 deny source any
2、應用策略
Int g0/0/21
Acl 2001 inboud
三、交換機管理配置
本部分配置實現對交換機的管理,推薦使用SSH模式遠端登入和管理交換機。在配置命令中,寫漢字的地方,請換成合適的IP地址或名稱。
1、網路連線:在21#口接好光模組,網通送達的一組光纖(兩芯)直接接到該模組上,用以實現與資訊中心裸光纖直連。該口所在Vlan參照附表“路由、Vlan規劃表”中的規劃來設定。
2、交換機管理連線:兩種方式,一種是管理線帶水晶頭一端接到交換機Console埠,帶9針COM口母頭一端接至電腦Com口上;另一種是用網線一端連線交換機制ETH口,另一端連線管理電腦的網絡卡。
3、連線到console口時,電腦端使用SecureCRT軟體來管理交換機。新一個會話,選擇Serial,連線Com1口,波特率為9600、資料位:8、奇偶校驗:無、停止位:1、流控制:無。
連線到ETH口時,需先透過console管理方式進行設定後方可使用。
Eth埠也稱Meth埠,是個百兆的管理網口,一般用於透過PC機使用Telnet命令登入、管理交換機,或者讓PC機與交換機建立FTP連線給裝置進行軟體升級。該口只能用於管理,不能用來跑業務,因為它不支援資料包的跨板轉發。
4、交換機上要配置Telnet模式或SSH模式方便以後管理。若有必要,仍需要透過Console口使用管理線連線後來管理。建議配置SSH模式管理。
在設定中會涉及到VTY。VTY型別的使用者介面可以達到0~20個(其中0~15使用者提供給普通Telnet /SSH使用者的使用者介面,16~20是預留給網管使用者的介面)。在系統檢視下可以設定最大使用者介面個數,其預設值為5。
5、配置交換機名稱
System-view
Sysname
學校簡稱拼音全拼
如: sysname yizhong
學校簡稱按上級規劃給定的名稱來配置
6、配置管理IP
System-view
#在Meth埠配置管理用的IP地址A
Interface meth 0/0/1 進入管理網口檢視
Description
guanli
IP address
管理用IP地址A
子網掩碼
#
配置連線賬號
System-view
aaa
Local-user 使用者名稱 password cipher 密碼
Local-user 使用者名稱 level 15
Local-user 使用者名稱 ftp-directory flash
Local-user 使用者名稱 service-type telnet terminal web http
#或者不使用Meth埠
Vlan 100
Description guanli
Quit
Interface vlan 100
IP address
管理用IP地址A
子網掩碼
#配置埠
Interface
g0/0/1
Port link-type hybrid
Port hybird pvid vlan
100
Port hybrid untagged vlan
100
quit
#配置允許登入的IP地址B的ACL規則,用於從PC端管理交換機
Acl
2000
在檢視模式下執行,建立一個ACL
Rule 1 permit source
IP地址
B
反向掩碼(255-子網掩碼)
Rule 2 deny source any
Quit
注:允許訪問的
IP地址為
掩碼為:
#應用ACL規則
User-interface vty
0
Authentication-mode
4
Acl
(進入0--4控制檯)
inbound
Display this
aaa
2000
檢視結果,會看到
Quit
檢查:
Display current
7、配置Telne管理模式
System-view
telnet server enable
A
#配置登入驗證模式
Aaa
Local-user
cl 2000 inbound的那條說明成功
password cipher
開啟Telnet服務
使用者名稱
Local-user
密碼
service-type telnet
配置使用者名稱與密碼
Local-user
使用者名稱
privilege level
設定登入模式
使用者名稱
3
Quit
User-interface vty
設定許可權
(0---15)
Authentication-mode
0 4
(進入0--4控制檯)
Idle-timeout
aaa
設定授權模式為aaa,即驗證使用者名稱、密碼
Quit
#檢視配置情況
Display telnet server status
10
Display tcp status
10分鐘無操作後退出
Display users [all]
檢視Telnet伺服器的狀態和配置資訊
附:命令級別
檢視當前建立的所有的TCP連線情況
檢視[當前/所有]使用者介面連線情況
(
系統命令採用分級保護方式,命令從低到高劃分為16個級別
8、配置SSH管理模式
#在交換機端生成金鑰對
System-view
Rsa local-key-pair create
#配置VTY使用者介面
User-interface vty 0 4
Authentiaction-mode aaa
Protocol inbound ssh
Quit
#配置使用者名稱與密碼
Aaa
Local-user
,編號
password cipher
0~15)
Local-user
使用者名稱(如adminssh)
privilege level 3
Local-user
密碼
service-type ssh
Quit
#啟用STelnet服務
Stelnet server enable
Ssh authentication-type default password
#檢驗配置結果
交換機端使用
Display ssh server status
Display ssh server session
Display ssh user-information
PC端接好線,使用SecureCRT登入
9、配置WEB管理模式
注:Web模式配置起來比較麻煩,但使用起來還是比較直觀的,特別是以圖示的方式顯示埠狀態,用起來還是比較方便的。
#準備工作:獲取Web網頁檔案,請先登入官網,在“軟體中心 > 版本軟體 > 數通 > 乙太網交換機 >S23&33&53&CX200D系列”路徑下,根據版本名稱,下載對應的版本軟體。版本軟體中包含Web網頁檔案,名稱為“產品+軟體版本號。WEB網管檔案版本號。web。zip”。其中產品為:S5324TP-SI,軟體版本為:V5。110(Vlan00R001C00SPC300),Web網檔案版本號為:____________。
檢視交換機軟體版本使用命令:Display version
#上傳Web網頁壓縮包檔案到交換機
在上傳Web網頁檔案前,請將檔案複製到登入裝置的客戶端上。
#載入Web網頁檔案
System-view
http server load
使用者名稱
#啟動Web服務
http server enable
#建立Web網管賬號,配置該賬號的訪問型別為HTTP
Aaa
Local-user
使用者名稱
password cipher
檔名
Local-user 使用者名稱 service-type http
Quit
#登入驗證
客戶端用瀏覽器訪問網管IP,出出登入介面,輸入賬號登入後可以進行管理
10、開啟SNMP協議
注:此功能配置完成後, 上級部門可以使用軟體來統一管理。當然,校方網路管理員也可以使用類似軟體來統一管理學校的網路裝置。學校所能使用的名稱由上級部門統一規劃,在配置中需要按規定配置。
System-view
snmp-agent
snmp-agent community read cipher
使用者名稱(如adminweb)
密碼
acl
SNMP名稱
snmp-agent community write cipher
_read
2000
acl
SNMP名稱
snmp-agent sys-info location
_write
2000
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain
XXX_
params securityname
學校簡稱全拼
snmp-agent trap source vlan
172.30.41.54
檢查設定情況:
Display current
Display snmp-agent community read
Display snmp-agent community write
Display snmp-agent trap
snmp_rsjyj
1、忘記交換機密碼,如何恢復初始密碼?
(1)用管理線連線交換機後,開啟管理軟體登入交換機,提示輸入密碼時,重啟交換機。
(2)在出現Press Ctrl+B to enter BOOTROM menu。。。 0時按下Ctrl+B組合鍵,進入管理選單,可以進行包括修改密碼在內的多項操作。
預設密碼為:Admin_huawei。com,請將下劃線換成@符號(因這個在發文時提示廣告)
(3)注意:萬不得以時方可啟用,使用此項功能時不要修改預設密碼。
2、故障現象:配置好交換機後,且已儲存。第二天又檢視時,交換機的所有埠的燈全部的滅掉了。登入交換機後發現原配置埠為100M速率又全部恢復到1000M了。
原因分析:這是這款交換機軟體的一個漏洞
解決辦法:登入官網下載補丁檔案,名為:V001R003SPH011。pat。把補丁使用FTP伺服器給下到了交換機中,啟用並執行之。