華三接入層交換機(jī)需注意配置的幾項(xiàng)細(xì)節(jié)

發(fā)布時(shí)間：2012-11-18 16:24:32 作者：佚名

本文將詳細(xì)介紹華三接入層交換機(jī)需配置的幾項(xiàng)細(xì)節(jié)，需要的朋友可以參考下

1、查看交換機(jī)上應(yīng)用的配置文件
[h3c]dis startup
Current startup saved-configuration file: flash:/config.cfg
Next main startup saved-configuration file: flash:/config.cfg
Next backup startup saved-configuration file: NULL

2、配置主備配置文件
<h3c>startup saved-configuration config.cfg ?
backup Backup config file
main Main config file
<cr>

3、Telnet 用戶認(rèn)證方式登錄
user-interface vty 0 4
authentication-mode scheme
user privilege level 3

Telnet 密碼方式登錄
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple abc

新建用戶
local-user admin
password simple abcpassword
service-type telnet
level 3

4、配置MSTP
stp enable
stp region-configuration
region-name abc
revision-level 1
instance 1 vlan 200
active region-configuration

*********************************************************
5、配置接入層交換機(jī)只接電腦，不能接交換機(jī)，避免已經(jīng)配置好的生成樹受新添加的交換機(jī)影響造成網(wǎng)絡(luò)的不穩(wěn)定。
stp bpdu-protection

對(duì)于接入層設(shè)備，接入端口一般直接與用戶終端（如PC機(jī)）或文件服務(wù)器相連，此時(shí)接入端口被設(shè)置為邊緣端口以實(shí)現(xiàn)這些端口的快速遷移。當(dāng)這些邊緣端口接收到配置消息后，系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非邊緣端口，重新計(jì)算生成樹，這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯?
正常情況下，邊緣端口應(yīng)該不會(huì)收到生成樹協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊交換機(jī)，就會(huì)引起網(wǎng)絡(luò)震蕩。BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了BPDU保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被MSTP關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。

配置端口為邊緣端口

[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]stp edged-port enable

對(duì)于直接與終端相連的端口，請(qǐng)將該端口設(shè)置為邊緣端口，同時(shí)啟動(dòng)BPDU保護(hù)功能。這樣既能夠使該端口快速遷移到轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。
**********************************************************
6、DHCP Snooping防止非法DHCP服務(wù)器分發(fā)地址影響正常網(wǎng)絡(luò)

例：
開(kāi)啟交換機(jī)DHCP Snooping功能

[h3c]DHCP Snooping

配置合法的DHCP服務(wù)器轉(zhuǎn)發(fā)端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust

配置防DHCP服務(wù)器仿冒功能
例：
開(kāi)啟交換機(jī)DHCP Snooping功能

[h3c]DHCP Snooping

開(kāi)啟防DHCP服務(wù)器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上啟用仿冒功能，萬(wàn)一有非法DHCP服務(wù)器進(jìn)入即觸發(fā)預(yù)設(shè)置的策略

配置防DHCP服務(wù)器仿冒功能的處理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情況下，交換機(jī)防DHCP服務(wù)器仿冒功能的處理策略為trap

顯示DHCP服務(wù)器仿冒相關(guān)信息
display dhcp-snooping server-guard

其實(shí)配置snooping和仿冒功能效果都是一樣，防止非法的DHCP服務(wù)器進(jìn)入網(wǎng)絡(luò)，只是h3c交換機(jī)不同型號(hào)支持的方法不同。

匯總有點(diǎn)亂，都是平時(shí)配置接入層交換機(jī)時(shí)經(jīng)常用到的，也解決了不少問(wèn)題，現(xiàn)在發(fā)上來(lái)，一個(gè)是自己留個(gè)記錄，二是也給大家參考一下，或者大家看后，覺(jué)得還有什么需要補(bǔ)充的配置，盡管說(shuō)，共同學(xué)習(xí)。