烽火交换机端口隔离配置方法
烽火交换机端口隔离配置方法
随着各个WLAN站点POE交换机下联的AP逐渐增多,为防止网络中的广播风暴对交换机的正常运行速度造成影响,建议对下联AP较多的交换机做一下端口隔离,这样可以有效防止由于广播风暴导致的交换机运行速度太慢甚至将交换机冲死的问题。具体配置方法如下:
对于CONSOLE口在左边的烽火交换机的配置方法为:
使用串口线连接交换机,然后使用超级终端(还原默认设置)进入命令行模式:
Switch>enable
Switch#config
Switch_config#interface range 2,3,4,6,8-12(假设其中2,3,4,6,8,9,10,11,12端口为设备下联端口,上联端口为1号口,端口要根据具体情况而定。注意:上联口一定不要加入,否则将导致无法上网)
Switch_config_if_range#switchport protected(开启上述端口的端口隔离)
Switch_config_if_range#quit
Switch_config#quit
Switch#write(保存配置)
对于CONSOLE口在右边的烽火交换机的配置方法为:
使用网线连接交换机右边CON口下面的ETH端口,此端口为带外网管口,默认ip地址为192.168.2.1,将笔记本网口ip地址设置为192.168.2.2 255.255.255.0,关闭防火墙,保证笔记本网口可以ping通ETH端口地址192.168.2.1。然后在开始菜单中点击运行,输入cmd,进入命令行,输入如下命令,telnet 192.168.2.1,进入交换机配置界面:
Username:admin
Password:12345
S2200>enable
S2200#config
S2200(config)#pvlan 1
S2200(config-pvlan 1)#isolate-ports 2,3,5,6,8-12(将连接AP的交换机端口加入Pvlan1即可,注意:上联端口不要加入此pvlan,否则无法正常上网) S2200(config-pvlan 1)#quit
S2200(config)#quit
S2200#write file
输入y,保存配置。
烽火交换机常用命令大全修订稿
烽火交换机常用命令大 全 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
求烽火交换机常用命令大全 q 接入方式 通过Console口进行本地配置 带内/带外的telnet或ssh WEB页面 q 部分有关管理的缺省设置 本机登陆用户名、密码:admin,12345或guest,12345 SNMP的只读集合:public SNMP的读写集合:NETMAN q Web页面配置 根据交换机配置的默认web管理地址通过IE浏览器进行配置 以烽火2008mfb为例 q q 设备缺省的用户名为:admin q 密码为:12345 q 选择成员及类型时,可以通过单击代表相应端口类型的字符,选择合适的配置。其中“-”代表不是该VLAN的成员,“T”代表是该VLAN的成员输出数据包带标识符,“U”代表是该VLAN的成员但输出数据包不带标识符,“T”“U”表示该接口的Pvid时该vlan。 q 查看及保存配置(特权模式下#) q show running-config 显示当前系统配置 q show startup-config 显示当前配置文件信息
q show version 显示当前设备的版本信息 q show system 显示系统配置 q show interface [<1-64>] 显示端口信息 q show vlan [<1-4094>] 显示vlan信息 q show dynamic-mac AA:BB:CC:DD:EE:FF 已知某一mac地址,查找交换机连接端口号 q show logging history 显示历史记录 q show history 显示之前的输入命令 q ls 显示文件系统 q write file 保存配置文件 q show cpu statistic 显示CPU统计信息。 q 1、设置时间 q clock set HH:MM:SS <1-31> <1-12> <2000-2100> q 例:Fengine#clock set 14:28:30 10 9 2009 q 2、显示文件系统 q dir q 例: Fengine#dir q size date time name q -------- ------ ------ -------- q 11387 JAN-01-2000 00:01:16 startcfg q 1 files, total space: 11387 bytes q 0 directorys,available space: 2011136 bytes
实验四 交换机端口安全技术
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
烽火汇聚交换机常用配置
一.缺省用户名和密码 admin 12345 二.创建VLAN config //进入配置模式后 vlan 10,12,17,20,30-416,579,601-700,801,921,1000-1050,1201-1224,1301-1324,1401-1424,3999 //批量创建VLAN interface vlan 4000 //单独创建VLAN ip address 172.31.20.237/24 //给vlan添加IP ip route-static 0.0.0.0 0.0.0.0 172.31.20.254 //config模式下缺省路由配置 write file //保存当前所有配置 三.端口配置 Interface gi 1/0/1 to gi 1/0/48 批量进入端口 S7800-08(config-eth1)#no shutdown //启用端口 S7800-08(config)#interface gigaethernet 6/0/1 //进入端口gigaethernet 6/0/1 S7800-08(config-ge6/0/1)#alias huangtan8220 //设置端口描述 1)access 模式:port link-type access;port default vlan 10 // access 模式 2)trunk 模式:port link-type trunk;port trunk allow-pass vlan 10,12 //trunk模式 3)hybrid 模式:port link-type hybrid;port hybrid vlan 30-416,1000-1050 tagged;port hybrid vlan 3999 untagged //hybird模式,内层标为tag,外层标untag(解标) 建议端口使用hybrid模式,端口默认为hybrid模式。 1.Port hybrid vlan 400 tag //更改端口为tag模式 2.Port hybrid vlan 399 untag //更改端口为untag模式,并在下一条中配置pvid Port hybrid pvid 399 四.启用QinQ S7800-08(config)#translation-vlan 1 outer-vlan 30/524 add outer 2008 //规则1:如果是内标为30-524的数据,添加外标2008 ,前提是端口必须先透传30/524VLAN,下行口 S7800-08(config-ge6/0/1)#join translation-vlan 1 in //在端口下应用 S7800-08(config-ge6/0/1)#port hybrid vlan 2008 untag S7800-08(config-ge6/0/1)#exit //退出至上一层配置界面 上行口: S7800-08(config-ge8/0/1)#port hybrid vlan 2008 tag //只透传2008VLAN -------------------------------------------------------------- ?基于接口的QinQ配置,对比中兴设备的配置比较案例: vlan qinq session-no 1 customer-port fei_1/13 uplink-port gei_2/1 in-vlan 2013 untag helper-vlan 3999 ----- translation-vlan 1 outer-vlan 2013 add outer 3999 //中兴设备和烽火设备的vlan翻译规则命令比较interface fei_1/13 --------- interface gigaethernet 6/0/1 //进入端口下 join translation-vlan 1 in //在端口下应用之前建立的翻译规则 description XSX_ShuiYueSi_DSLAM2_MA5600 ------- alias XSX_ShuiYueSi_DSLAM2_MA5600 //端口描述switchport mode hybrid --------- port link-type hybrid switchport hybrid native vlan 254 -------- port hybrid pvid 254
第八章实验讲义-- 交换机基本配置端口安全与STP
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
烽火交换机常用配置
二、烽火交换机配置: ?接入方式 通过Console口进行本地配置 带内/带外的telnet或ssh WEB页面 ?部分有关管理的缺省设置 带内ip:192.168.1.1/24 带外ip:192.168.2.1/24 本机登陆用户名、密码:admin,12345或guest,12345 SNMP的只读集合:public SNMP的读写集合:NETMAN ?Web页面配置 根据交换机配置的默认web管理地址通过IE浏览器进行配置 以烽火2008mfb为例 ?设备缺省的web网管IP地址为192.168.2.1; ?设备缺省的用户名为:admin ?密码为:12345 ?选择成员及类型时,可以通过单击代表相应端口类型的字符,选择合适的配置。其中“-”代表不是该VLAN的成员,“T”代表是该VLAN的成员输出数据包带标识符,“U” 代表是该VLAN的成员但输出数据包不带标识符,“T”“U”表示该接口的Pvid时该vlan。 ?查看及保存配置(特权模式下#) ?show running-config 显示当前系统配置 ?show startup-config 显示当前配置文件信息 ?show version 显示当前设备的版本信息 ?show system 显示系统配置 ?show interface [<1-64>] 显示端口信息 ?show vlan [<1-4094>] 显示vlan信息 ?show dynamic-mac AA:BB:CC:DD:EE:FF 已知某一mac地址,查找交换机连接端口号?show logging history 显示历史记录 ?show history 显示之前的输入命令 ?ls 显示文件系统 ?write file 保存配置文件 ?show cpu statistic 显示CPU统计信息。 ?1、设置时间 ?clock set HH:MM:SS <1-31> <1-12> <2000-2100> ?例:Fengine#clock set 14:28:30 10 9 2009 ?2、显示文件系统 ?dir ?例:Fengine#dir ?size date time name ?-------- ------ ------ -------- ?11387 JAN-01-2000 00:01:16 startcfg
交换机端口安全功能配置
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口安全功能配置 4 《交换与路由技术》实验报告书班级: 姓名: 学号: 课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型验证演示综合设计其他验证演示综合设计其他指导教师成绩指导教师成绩一、实验目的了解交换机端口在网络安全中的重要作用,掌握交换机端口安全功能配置方法,具体包括以下几个方面。 (1)认识交换机端口安全功能用途。 (2)掌握交换机端口安全功能配置方法。 二、实验设备及环境针对这一工作任务,公司网络接入交换机的所有端口配置最大连接数为 1,并对公司每台主机连接的交换机端口进行 IP+MAC 地址绑定,模拟网络拓扑结构图如图 11.1 所示。 假设 PC1 的 IP 地址为 192.168.0.10/24, PC2 的 IP 地址为192.168.0.20/24, PC3 的 IP 地址为 192.168.0.30/24. 4 三、实验步骤第 1 步: 配置交换机端口的最大连接数限制。 进行一组端口 Fa 0/1-23 配置模式。 开启交换机端口安全功能。 1 / 3
配置端口的最大连接数为 1。 配置安全违例的处理方式为shutdown,即当违例产生时,关闭端口并发送一个Trap通知。 除此之外,还有两种违例处理方式: protect 方式,即当安全地址个数满后,安全端口将丢弃求知名地址的包;restrict 方式,即当违例产生时,将发送一个Trap 通知。 查看交换机的端口安全配置。 第 2 步: 配置交换机端口的地址绑定。 在 PC1 上打开 cmd 命令提示符窗口,执行 Ipconfig/all 命令,记录下 PC1 的 IP地址及 MAC 地址。 配置交换机端口的地址绑定。 查看地址安全绑定配置。 第 3 步: 验证交换机端口安全功能的效果。 在 PC1 连接交换机端口 Fa 0/1, PC2 连接交换机端口 Fa 0/2,PC3 连接交换机端口 Fa 0/10 情况下,执行下列操作。 4 在 PC1 的命令提示符下输入 C:bping 192.168.0.300 在PC2 的命令提示符下输入C:bping 192.168.0.300 在 PC1 连接交换机端口 Fa 0/2; PC2 连接交换机端口 Fa 0/1, PO 连接交换机端口Fa 0/10 情况下,执行下列操作。
烽火交换机配置命令
烽火交换机配置命令 The manuscript was revised on the evening of 2021
烽火交换机配置常用命令 一、连接方式: Eth网口链接:设置为地址段——开始——运行——telnet 带内ip:带外ip:二、登陆:Username:admin ------------ 使用着名称:admin Password :12345 ------------密码:12345 三、查看:S200mfb#show run ------------------查看系统运行★会看设备情况很重要show running-config 显示当前系统配置 show startup-config 显示当前配置文件信息 show version 显示当前设备的版本信息 show system 显示系统配置 show dynamic-mac AA:BB:CC:DD:EE:FF 已知某一mac地址,查找交换机连接端口号 show logging history 显示历史记录 show history 显示之前的输入命令 write file 保存配置文件 show cpu statistic 显示CPU统计信息。 1、设置时间 clock set HH:MM:SS <1-31> <1-12> <2000-2100> 例:Fengine#clock set 14:28:30 10 9 2009 2、显示文件系统 dir 例: Fengine#dir size date time name -------- ------ ------ -------- 11387 JAN-01-2000 00:01:16 startcfg 1 files, total space: 11387 bytes 0 directorys,available space: 2011136 bytes 3、清空交换机的配置文件 erase startup-config----------用于清空flash上保存的配置文件,但是以前的配置在系统上仍然生效,因此如果希望系统恢复到出厂状态,除了需要清空flash上的配置文件外,还需要重启设备 例: Fengine(config)#erase startup-config This will erase the configuration in the flash memory. Are you sure(y/n) [y] Erasing configuration....... [OK] 四、查看交换机端口情况: S200mfb#show interface-----------查看端口网速,在线情况。 3528#show interface staistics 查看端口流量(realtime rate) 3528#show vlan all 查看所以VLAN 3528#show vlan 151 查看VLAN信息 五、进入配置模式:S200mfb#configure------------进入命令模式可以更改系统数据 六、给交换机命名:S200mfb(config)#hostname dianwuduan ---------给交换机命名电务段no hostname 用于将设备系统名设为便于记忆和识别的名字,no命令将其恢复为缺省的域名Fengine。 注意,系统名字之间不要有空格,否则只有第一个空格前的字符有效。 例: Fengine(config)#hostname HostA HostA (config)#
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
烽火交换机常用命令大全
求烽火交换机常用命令大全 q 接入方式 通过Console口进行本地配置 带内/带外的telnet或ssh WEB页面 q 部分有关管理的缺省设置 本机登陆用户名、密码:admin,12345或guest,12345 SNMP的只读集合:public SNMP的读写集合:NETMAN q Web页面配置 根据交换机配置的默认web管理地址通过IE浏览器进行配置 以烽火2008mfb为例 q q 设备缺省的用户名为:admin q 密码为:12345 q 选择成员及类型时,可以通过单击代表相应端口类型的字符,选择合适的配置。其中“-”代表不是该VLAN的成员,“T”代表是该VLAN的成员输出数据包带标识符,“U”代表是该VLAN的成员但输出数据包不带标识符,“T”“U”表示该接口的Pvid时该vlan。 q 查看及保存配置(特权模式下#) q show running-config 显示当前系统配置 q show startup-config 显示当前配置文件信息 q show version 显示当前设备的版本信息 q show system 显示系统配置 q show interface [<1-64>] 显示端口信息 q show vlan [<1-4094>] 显示vlan信息
q show dynamic-mac AA:BB:CC:DD:EE:FF 已知某一mac地址,查找交换机连接端口号 q show logging history 显示历史记录 q show history 显示之前的输入命令 q ls 显示文件系统 q write file 保存配置文件 q show cpu statistic 显示CPU统计信息。 q 1、设置时间 q clock set HH:MM:SS <1-31> <1-12> <2000-2100> q 例:Fengine#clock set 14:28:30 10 9 2009 q 2、显示文件系统 q dir q 例: Fengine#dir q size date time name q -------- ------ ------ -------- q 11387 JAN-01-2000 00:01:16 startcfg q 1 files, total space: 11387 bytes q 0 directorys,available space: 2011136 bytes q 3、清空交换机的配置文件 erase startup-config 用于清空flash上保存的配置文件,但是以前的配置在系统上仍然生效,因此如果希望系统恢复到出厂状态,除了需要清空flash上的配置文件外,还需要重启设备
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
接入交换机常见安全配置
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
烽火网络POE交换机开通配置说明
烽火POE交换机通过console线进行配置,把console线网线一头插到交换机CON配置口,一头接串口转USB线,再把USB线那头插电脑U口,打开windows系统开始菜单——附件——通讯——超级终端,在超级终端里新建一个连接,选择相应的com口,然后参数设置调为默认,如图:
点确定,就可以连接交换机了,输入用户名admin,密码12345,就登陆到交换机配置界面了,默认是在#号特权模式,然后输入以下命令进行配置: S2200ME-PAF# S2200ME-PAF#config (进入全局配置模式) S2200ME-PAF(config)# S2200ME-PAF(config)#hostname HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE (给交换机命名,不同地点的根据需要修改名字) HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE(config)#int vlan 602(创建POE交换机网管vlan602,进入vlan配置模式,网管vlan这个数据都是移动提供) HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE(config-vlan-602)#member 25-26 tagged (将上行口加入到POE交换机网管vlan里,这样才能从上层设备管理到本交换机,25-26表示25到26口,这里是24口交换机,25、26口作为上联口,随便接哪个都可以上联,所以这里把两个口都配上,tagged表示此口只接收带有vlan标记的帧) HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE(config-vlan-602)#q (quit退出vlan配置模式) HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE(config)#int e 25 (进入上联口25口进行配置) HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE(config-eth-25)#duplex full speed 100 (将接口设置为强制百兆全双工模式,以使能和汇聚交换机百兆光口协商起来) HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE(config-eth-25)#q HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE(config)#int e 26 (在26口上进行同样的配置) HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE(config-eth-26)#duplex full speed 100 HEZJK-MS-WLAN-ZJKYD-HB001-FHPOE(config-eth-26)#q
烽火交换机最常用配置命令
烽火交换机配置常用命令 一、连接方式: 1.超级连接:开始——程序——附件——通讯——超级链接——命名——还原默认——回车 2.Eth网口链接:设置为192.168.2.*地址段——开始——运行——telnet 192.168.2.1 二、登陆: Username:admin ------------ 使用着名称:admin Password :12345 ------------密码:12345 三、查看:S200mfb#show run ------------------查看系统运行★会看设备情况很重要 四、查看交换机端口情况:S200mfb#show interface-----------查看端口网速,在线情况。 五、进入配置模式:S200mfb#configure------------进入命令模式可以更改系统数据 六、给交换机命名:S200mfb(config)#hostname dianwuduan ---------给交换机命名电务段 七、创建vlan:并把端口加入vlan Dianwuduan(config)#interface vlan 301--------------------创建VLAN301 Dianwuduan(config-vlan-301)#member 16 tagged -------------将端口16加入vlan301设为上联口Dianwuduan(config-vlan-301)#q --------------- 退出VLAN301 Dianwuduan(config)#interface vlan 2005 ----------------创建VLAN2005 Dianwuduan(config-vlan-2005)#member 16 tagged----------------将端口16加入vlan2005设为上联口Dianwuduan(config-vlan-2005)#member 1-15 untagged--------将端口1-15加入vlan2005并不标记Dianwuduan(config-vlan-2005)#q -------------------------退出VLAN2005 八、端口隔离: Dianwuduan(config)#pvlan 1 --------------------进入本地固定隔离vlan1 Dianwuduan(config-pvlan-1)#isolate-ports 1-15------将端口1-15相互隔离★注意上联口不能隔离Dianwuduan(config-pvlan-1)#q-------------------退出pvlan1 九、上网出口:★ Dianwuduan(config)#port 1-15 pvid 2005 ------------指定端口1-15通vlan2005进行业务通讯 十、指定管理: Dianwuduan(config)#system ---------------------进入系统配置 Dianwuduan(config-system)#management vlan 301 ----------------指定管理vlan301 Dianwuduan(config-system)#ip address 172.16.1.103255.255.255.0--------指定ip地址,子网掩码Dianwuduan(config-system)#gateway 172.16.1.1 -------------------指定网关 Dianwuduan(config-system)#q ----------------退出系统配置 十一、设置端口网速: Dianwuduan(config)#int e 16 -----------------------进入端口16 Dianwuduan(config-e-16)#duplex full speed 100 ----------------强制端口16网速为100M全双工Dianwuduan(config-e-16)#q-------------------退出端口16 Duanwuduan(config)#q ----------------------------------退出命令模式 十二、保存数据:Dianwuduan#write file-------------------写保存 This will recover the configuration in the flash memory, Are you sure ? (y/n) ---------------------------------------是否保存y/n Y ------------------------------------------Y 保存N 不保存 十三、删除系统配置:Duanwuduan(config)#eraser starup-congfig-------删除系统配置★重启生效十四、把端口1设为上联口: Duanwuduan(config)# int e 1 ------------------进入端1 Dianwuduan(config-e-1)#join vlan 2005 tagged ---------- 将端口1设为vlan2005上联口Dianwuduan(config-e-1)#join vlan 301 tagged ---------- 将端口1设为vlan301上联口
交换机常用配置方法
中兴交换机 可以登录到交换机,会出现如下提示: 其中login为admin,password为zhongxing。 登录到设备后,便进入用户模式,用户模式的提示符是交换机的主机名后跟一个“>”,如下: 在用户模式下输入enable命令(或缩写en)和相应口令后,即可进入全局配置模式,缺省无密码。如下所示: 这样就进入全局配置模式,在该模式下,可以进行全局数据的配置和配置信息的查看。 清空配置: 一般在进行数据配置之前,需要清空原有数据,防止原有数据和即将配置的数据产生冲突或者带来隐患。 在配置前,可以通过show run命令查看现有设备的配置,如果有数据,则需要清空,操作如下:
配置主机名 用户名默认为zte ,一般根据需要作修改,这样会便于记忆,能更好的区分设备。 zte(cfg)#hostname 2826E_2F 在全局模式下修改 2826E_2F(cfg)# 主机名已经有zte 变成设置的2826E-2F 了。 设置系统日期和时间 一般情况下,设备的开机时间为出产时间,在使用交换机之前,需要修改系统时间。这样在查询设备告警等信息时时间才准确。 首先,查看系统时间,看是否准确,命令为show date-time 然后修改系统时间 ,set date xx time xx 例如: 设置登录用户名和密码 在telnet 到交换机时,需要设置交换机的用户名和密码,默认情况下使用console 的用户名和密码。默认情况下,登陆到全局模式的enable 密码为空,建议设置密码以保证交换机的安全。命令如下: 设置远程登录地址 set ipport 0 ipaddress 172.27.62.245 255.255.255.240 //交换机地址、掩码 set ipport 0 vlan 4064 //指定管理vlan set ipport 0 enable iproute 0.0.0.0 0.0.0.0 172.27.62.241 1 //回程路由
烽火交换机常用命令大全完整版
烽火交换机常用命令大 全 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
求烽火交换机常用命令大全 q 接入方式 通过Console口进行本地配置 带内/带外的telnet或ssh WEB页面 q 部分有关管理的缺省设置 本机登陆用户名、密码:admin,12345或guest,12345 SNMP的只读集合:public SNMP的读写集合:NETMAN q Web页面配置 根据交换机配置的默认web管理地址通过IE浏览器进行配置以烽火2008mfb为例 q q 设备缺省的用户名为:admin q 密码为:12345
q 选择成员及类型时,可以通过单击代表相应端口类型的字符,选择合适的配置。其中“-”代表不是该VLAN的成员,“T”代表是该VLAN的成员输出数据包带标识符,“U”代表是该VLAN的成员但输出数据包不带标识符,“T”“U”表示该接口的Pvid时该vlan。 q 查看及保存配置(特权模式下#) q show running-config 显示当前系统配置 q show startup-config 显示当前配置文件信息 q show version 显示当前设备的版本信息 q show system 显示系统配置 q show interface [<1-64>] 显示端口信息 q show vlan [<1-4094>] 显示vlan信息 q show dynamic-mac AA:BB:CC:DD:EE:FF 已知某一mac地址,查找交换机连接端口号 q show logging history 显示历史记录 q show history 显示之前的输入命令 q ls 显示文件系统 q write file 保存配置文件