华三H3C-S5130/5552交换机初始化配置教程网络

印迹发布于:2020-5-6 1086

本篇目录:

一、通用

二、H3C 5552配置实例

一、通用

初始化交换(其他华三的交换机(比如S5554、S6520等)初始化也是类似的): 配置除了业务配置之外的其他配置,如下所示:
    设备命名

sysname xxxx   //交换机命名(一般命名位置+设备型号)

telnet服务开启

telnet server enable  //开启telnet服务

启用3A远程服务器认证
【3A表示认证、授权、审计】

//启用TACACS认证模式:
hwtacacs scheme hzcnc
 primary authentication x.x.x.x //3A服务器(主用)
 primary authorization x.x.x.x //3A服务器(主用)
 primary accounting x.x.x.x //3A服务器(主用)
 secondary authentication x.x.x.x //3A服务器(备用)
 secondary authorization x.x.x.x //3A服务器(备用)
 secondary accounting x.x.x.x //3A服务器(备用)
 key authentication simple xxx //xxx表示认证秘钥
 key authorization simple xxx //xxx表示认证秘钥
 key accounting simple xxx //xxx表示认证秘钥
 user-name-format without-domain
 nas-ip (本机IP)
domain hzcnc //域设置
 authentication login hwtacacs-scheme hzcnc local  //优先3A认证,在3A认证失效的情况下进行本地认证
 authorization login hwtacacs-scheme hzcnc local
 accounting login hwtacacs-scheme hzcnc local
 authentication super hwtacacs-scheme hzcnc
 authorization command hwtacacs-scheme hzcnc local
 accounting command hwtacacs-scheme hzcnc
 
domain default enable hzcnc  //域关联使用hzcnc域


//启用RADIUS认证模式:

domain system   //设置domain域
 authentication login radius-scheme system //使用radius认证登录
 authorization login none 
 access-limit disable
 state active
 idle-cut disable
 self-service-url disable
radius scheme system   //设置radius认证模板 system
 primary authentication x.x.x.x 1645  //3A 服务器IP
 primary accounting 127.0.0.1 1646  //无效
 secondary authentication x.x.x.x 1645 //备用的3A服务器IP
 key authentication sim chinahcn
 user-name-format without-domain
 nas-ip 本机IP
authentication-mode scheme  //启用AAA
domain default enable system  //设置默认域system

VTY及本地账号配置

local-user admin class manage
 password hash xxxx //设置本地账号密码
 service-type telnet
 authorization-attribute user-role network-admin
 authorization-attribute user-role network-operator
#
super password role network-admin hash xxxx   //设置super密码
#
line vty 0 63
authentication-mode scheme  //一定要关联scheme,若设置为password表示需要本地账号登录,设置为None表示免账号登录。
user-role network-operator
#

管理地址配置及默认路由配置

vlan 3  //配置管理VLAN
 name MANAGER_VLAN3
//配置管理地址
interface Vlan-interface3
 description manager_vlan for access switch
 ip address xxxx 
 quit 
//指默认路由 ,下一跳 网关IP
ip route-static 0.0.0.0 0 xxxx


NTP配置

clock timezone beijing add 08:00:00 //设置clock时区(东八区)
 clock protocol ntp
 ntp-service enable
 ntp-service unicast-server x.x.x.x source Vlan-interface3  //x.x.x.x表示ntp服务器的IP,也可设置上层交换机的管理IP


SNMP配置

//SNMP配置:
snmp-agent
snmp-agent local-engineid xxxx
snmp-agent community read xxxxx        //snmp认证的团体属性名秘钥,只读权限
snmp-agent community write yyyyy      //snmp认证的团体属性名秘钥,可写权限
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain xxxx params securityname xxxx


SYSLOG配置

info-center enable 
info-center source default loghost log level warnings   //日志设置默认源
info-center loghost x.x.x.x facility local2   //设置日志服务器为x.x.x.x 默认使用的端口号是UDP 514 可以跟进syslog-server修改端口号
info-center loghost x.x.x.x  facility local2


业务配置

interface GigabitEthernet1/0/49
 description xxxx 
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 2 to 4094 #trunk模式,放行除了vlan1的所有vlan,一般上行链路做聚合,trunk模式放行需要通过的vlan。 
 speed 1000  //设置速率
 duplex full //配置全双工,有些UPS还得半双工的
 quit 
 interface GigabitEthernet1/0/49
 description xxxx 
 port link-type access
 port access vlan100  #业务口配置access模式,上行数据包打上tag标签100,下行数据包剥离vlan标签。 
 speed 1000  //设置速率
 duplex full //配置全双工,有些UPS还得半双工的
 quit

综上,交换机的初始化配置完毕,其中包含安全认证(3A)可以对接ISE系统或者思科的ASA、日志记录(syslog或者对接ELK系统)、SNMP对接Zabbix服务器进行设备电源、链路流量\广播包\错误包等进行监控。

二、华三H3C5552接入交换机配置示例

配置交接机地址,SSH登陆

ip route-static 0.0.0.0 0 10.71.254.1
vlan 100
vlan 101
vlan 242
interface vlan-interface 242
ip address 10.71.242.78 255.255.255.0
quit
 ssh server enable
public-key local create rsa
1024
public-key local create dsa
1024
user-interface vty 0 15
authentication-mode scheme
protocol inbound ssh
quit
local-user zt
password simple xxxxxx
service-type ssh
authorization-attribute user-role level-15
quit
ssh user zt service-type stelnet authentication-type password

端口配置

int range g1/0/1 to g1/0/48
port link-type access
port access vlan 100
int range t1/0/49 to t1/0/52
port link-type trunk
port trunk permit vlan all
链路聚合

端口聚合是思科的叫法,链路聚合是华为与华三的叫法,网上也有不同解释,把端口加入端口组(group),链路聚合 把链路聚合在一起

华三配置

静态聚合模式

<H3C>system-view
[H3C]int Bridge-Aggregation 1
[H3C-Bridge-Aggregation1]quit
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-aggregation group 1
[H3C-GigabitEthernet1/0/1]int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-aggregation group 1
[H3C-GigabitEthernet1/0/2]int GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]port link-aggregation group 1
[H3C]dis link-aggregation verbose

动态聚合模式

<H3C>system-view
[H3C]int Bridge-Aggregation 1
[H3C-Bridge-Aggregation1]link-aggregation mode dynamic
[H3C-Bridge-Aggregation1]quit
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-aggregation group 1
[H3C-GigabitEthernet1/0/1]int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-aggregation group 1
[H3C-GigabitEthernet1/0/2]int GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]port link-aggregation group 1
[H3C]dis link-aggregation verbose

华为配置

<Huawei>system-view
[Huawei]int Eth-Trunk 1
[Huawei-Eth-Trunk1]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]eth-trunk 1
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1

端口聚合

<Huawei>system-view 
[Huawei]port-group 1
[Huawei-port-group-1]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/3

总结:先创建聚合(端口)组,再将端口加入(端口)聚合组

四、DHCP开启

开启DHCP服务

dhcp enable

过滤掉不分配的IP

dhcp server forbidden-ip 10.3.0.1 10.3.0.50

编写DHCP地址池

dhcp server ip-pool vlan10
gateway-list 10.3.0.1
network 10.3.0.0 mask 255.255.252.0
dns-list 10.3.9.11
static-bind ip-address 10.3.1.253 mask 255.255.255.255 hardware-address ec8e-b522-f7d5 固定机器静态绑定的IP



http://www.virplus.com/thread-1294.htm
转载请注明:2020-5-6 于 VirPlus 发表

推荐阅读
最新回复 (0)

    ( 登录 ) 后,可以发表评论!

    返回