1、查看交換機上應(yīng)用的配置文件
[h3c]dis startup
Current startup saved-configuration file: flash:/config.cfg
Next main startup saved-configuration file: flash:/config.cfg
Next backup startup saved-configuration file: NULL

2、配置主備配置文件
<h3c>startup saved-configuration config.cfg ?
backup Backup config file
main Main config file
<cr>

3、Telnet 用戶認(rèn)證方式登錄
user-interface vty 0 4
authentication-mode scheme
user privilege level 3

Telnet 密碼方式登錄
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple abc

新建用戶
local-user admin
password simple abcpassword
service-type telnet
level 3

4、配置MSTP
stp enable
stp region-configuration
region-name abc
revision-level 1
instance 1 vlan 200
active region-configuration

*********************************************************
5、配置接入層交換機只接電腦，不能接交換機，避免已經(jīng)配置好的生成樹受新添加的交換機影響造成網(wǎng)絡(luò)的不穩(wěn)定。
stp bpdu-protection

對于接入層設(shè)備，接入端口一般直接與用戶終端（如PC機）或文件服務(wù)器相連，此時接入端口被設(shè)置為邊緣端口以實現(xiàn)這些端口的快速遷移。當(dāng)這些邊緣端口接收到配置消息后，系統(tǒng)會自動將這些端口設(shè)置為非邊緣端口，重新計算生成樹，這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯?
正常情況下，邊緣端口應(yīng)該不會收到生成樹協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊交換機，就會引起網(wǎng)絡(luò)震蕩。BPDU保護功能可以防止這種網(wǎng)絡(luò)攻擊。交換機上啟動了BPDU保護功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時通知網(wǎng)管這些端口被MSTP關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。

配置端口為邊緣端口

[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]stp edged-port enable

對于直接與終端相連的端口，請將該端口設(shè)置為邊緣端口，同時啟動BPDU保護功能。這樣既能夠使該端口快速遷移到轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。
**********************************************************
6、DHCP Snooping防止非法DHCP服務(wù)器分發(fā)地址影響正常網(wǎng)絡(luò)

例：
開啟交換機DHCP Snooping功能

[h3c]DHCP Snooping

配置合法的DHCP服務(wù)器轉(zhuǎn)發(fā)端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust

配置防DHCP服務(wù)器仿冒功能
例：
開啟交換機DHCP Snooping功能

[h3c]DHCP Snooping

開啟防DHCP服務(wù)器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上啟用仿冒功能，萬一有非法DHCP服務(wù)器進入即觸發(fā)預(yù)設(shè)置的策略

配置防DHCP服務(wù)器仿冒功能的處理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情況下，交換機防DHCP服務(wù)器仿冒功能的處理策略為trap

顯示DHCP服務(wù)器仿冒相關(guān)信息
display dhcp-snooping server-guard

其實配置snooping和仿冒功能效果都是一樣，防止非法的DHCP服務(wù)器進入網(wǎng)絡(luò)，只是h3c交換機不同型號支持的方法不同。

匯總有點亂，都是平時配置接入層交換機時經(jīng)常用到的，也解決了不少問題，現(xiàn)在發(fā)上來，一個是自己留個記錄，二是也給大家參考一下，或者大家看后，覺得還有什么需要補充的配置，盡管說，共同學(xué)習(xí)。

最新評論