华为交换机中小企业或大企分支机构的常用配置.doc

华为交换机中小企业或大企分支机构的常用配置在中小企业或大企业的分支机构中，二层以太网交换机作为二层汇聚交换机，可以直接接用户，上行连接到二/三层以太网交换机，可以通过路由器连接到总部或其它分支机构的网络。在组网中将每个部门划分在一个VLAN中；为了便于网管，需要配置SNMP；为了防止交换机被非法访问，交换机上需要配置对访问方式的ACL控制。整个网络采用VLAN10作为管理VLAN，所有交换机上VLAN10接口的IP地址在同一个网段/24，主RADIUS服务器的IP为8；网管工作站的IP地址为。路由器的IP地址为，二/三层交换机通过VLAN2接口与路由器相连，VLAN2接口的IP地址为。在二层交换机上作如下配置：管理VLAN配置、网管路由配置、SNMP配置、各种访问方式的ACL控制配置；hybrid端口配置。在二/三层交换机上进行如下配置：网关配置、hybrid端口配置、SNMP配置、各种访问方式的ACL控制配置、各个部门间的相互访问的控制。本文仅说明交换机上的基本配置。1. 配tch B下面以网络中某部门tch B为例说明基本配置过程。此部门所有的计算机配置在一个VLAN内。(1) 配置VLAN。Quidway vlan 5Quidway-vlan5port ethernet 0/1 to Ethernet 0/24 ethernet 1/1Quidway-vlan5 quit (2) 配置管理VLAN及路由。# 管理VLAN为VLAN 10。Quidway interface vlan 10Quidway-Vlan-interface10ip address # 配置路由，下一跳为。Quidway ip route 48 (3)配置上行端口Ethernet1/1为hybrid端口，允许VLAN10和VLAN5的报文通过。Quidway interface Ethernet1/1Quidway-Ethernet1/1 port link-type hybridQuidway-Ethernet1/1 port hybrid pvid vlan 5Quidway-Ethernet1/1 port hybrid vlan 10 tagged(4)配置SNMP# 进入全局配置模式。 system-view# 设置团体名和访问权限。Quidway snmp-agent community read huaweiQuidway snmp-agent community write beiyan# 设置管理员标识、联系方法以及以太网交换机的物理位置。Quidway snmp-agent sys-info contact Mr.Wang-Tel:3306Quidway snmp-agent sys-info location telephone-closet,3rd-floor# 允许发送Trap。Quidway snmp-agent trap enable# 定义访问控制列表，以便进行对通过SNMP访问交换机的用户进行ACL控制。Quidway acl number 1 Quidway-acl-basic-1 rule 0 permit source 0# 创建SNMP组，并定义访问控制。Quidway snmp-agent group v3 huaweigroup acl 1# 为SNMP组添加一个用户huaweimanager，设置认证密码为hello，并配置访问控制，只允许网管工作站访问交换机。Quidwaysnmp-agent usm-user v3 huaweimanager huaweigroup auth md5 huawei acl 1(5)配置对TELNET用户的访问控制，仅允许IP为6和2的用户通过TELNET访问交换机。# 定义基本访问控制列表。Quidway acl number 20Quidway-acl-basic-20 rule 0 permit source 6 0Quidway-acl-basic-20 rule 1 permit source 2 0# 引用访问控制列表。Quidway user-interface vty 0 4Quidway-ui-vty0-4 acl 20 inbound(6)配置对HTTP用户的访问控制，仅允许IP地址为6的主机通过WEB方式访问交换机。# 定义基本访问控制列表。Quidway acl number 30Quidway-acl-basic-30 rule 0 permit source 6 0# 引用访问控制列表。Quidwayip http acl 302. 配tch A下面以一tch A为例介绍配置。(1)配置下面tch B的端口Ethernet0/1为hybrid端口，并允许VLAN10和VLAN5的报文通过。Quidway interface Ethernet0/1Quidway-Ethernet0/1 port link-type hybridQuidway-Ethernet0/1 port hybrid pvid vlan 5Quidway-Ethernet0/1 port hybrid vlan 10 tagged(2) 配置VLAN5的接口IP地址# 创建VLAN5。Quidway vlan 5# 配置VLAN5的接口IP地址。Quidway interface vlan 5Quidway-Vlan-interface5ip address 92(3)配置tch B管理VLAN的静态路由。# 配置tch B管理VLAN的静态路由，以便tch B进行管理。Quidway ip route (4) 配置到路由器的静态路由。路由器的IP地址为tch A通过VLAN2接口与路由器相连，VLAN2接口的IP地址为。# 创建VLAN2及其接口，并配置IP地址。Quidway vlan 2Quidway interface vlan 2Quidway-Vlan-interface2ip address 48# 配置到路由器的静态路由。Quidway ip route 48 vlan 2(5) 配置SNMP# 进入全局配置模式。 system-view# 设置团体名和访问权限。Quidway snmp-agent community read huaweiQuidway snmp-agent community write beiyan# 设置管理员标识、联系方法以及以太网交换机的物理位置。Quidway snmp-agent sys-info contact Mr.Wang-Tel:3306Quidway snmp-agent sys-info location telephone-closet,3rd-floor# 允许发送Trap。Quidway snmp-agent trap enable# 定义访问控制列表，以便进行对通过SNMP登录交换机的用户进行ACL控制。Quidway acl number 1 Quidway-acl-basic-1 rule 0 permit source 0# 创建SNMP组，并定义访问控制。Quidway snmp-agent group v3 huaweigroup acl 1# 为SNMP组添加一个用户huaweimanager，设置认证密码为hello，并配置访问控制，只允许网管工作站访问交换机。Quidway snmp-agent usm-user v3 huaweimanager huaweigroup auth md5 huawei acl 1(6) 配置对TELNET用户的访问控制，仅允许IP为6和2的用户通过TELNET访问交换机。# 定义基本访问控制列表。Quidway acl number 20Quidway-acl-basic-20 rule 0 permit source 6 0Quidway-acl-basic-20 rule 1 permit source 2 0# 引用访问控制列表。Quidway user-interface vty 0 4Quidway-ui-vty0-4 acl 20 inbound(7) 配置对HTTP用户的访问控制，仅允许IP地址为6的主机通过WEB方式访问交换机。# 定义基本访问控制列表。Quidway acl number 30Quidway-acl-basic-30 rule 0 permit source 6 0# 引用访问控制列表。Quidwayip http acl 30(8) 配置部门对工资服务器访问的限制，在8:0018:00禁止访问工资服务器。# 定义时间段从8点到18点，命名为time8to18。Quidway time-range time8to18 from 8:00:00 to 18:00:00&说明：由于交换机自身不带有时钟，所以一旦交换机重启，必须重新设置交换机的时钟上面的时间范围配置才能正确生效。# 为网络向工资服务器发送的报文定义一条规则，命名为Rdeny。Quidway acl name Rdeny ad