1.Telnet远程登录设备
1.使能服务器功能 <HUAWEI> system-view [HUAWEI] telnet server enable 2.配置 VTY 用户界面的相关参数 #进入 VTY 用户界面视图,配置支持协议。 [HUAWEI] user-interface vty 0 4 HUAWEI-ui-vty0-4] protocol inbound telnet #配置 VTY 用户界面的用户验证方式 [HUAWEI-ui-vty0-4] authentication-mode aaa HUAWEI-ui-vty0-4] quit 3.配置登录用户的相关信息 #配置登录验证方式。 [HUAWEI] aaa [HUAWEI-aaa]local-user admin1234 password admin1234 #配置协议 [HUAWEI-aaa]local-user admin1234 service-type telnet #配置用户优先级 [HUAWEI-aaa]local-user admin1234 privilege level 15 [HUAWEI-aaa]quit 4.客户端登录 进入管理员 PC 的 windows 的命令行提示符,执行相关命令,通过 Telnet 方式登录设备 c:\Documents and Settings\Administrator> telnet 10.137.217.177 输入 Enter 键后,在登录窗口输入 AAA 验证方式配置的登录用户名和密码,验证通过后,出现用户视图的命令行提示符,至此用户成功登录设备。
2.用户通过Web网管登录设备
1、配置管理 IP 地址 <huawei> system view [huawei] interface Vlanif 1 [huawei-Vlanif1] ip address 192.168.0.1 24 2、 (可选) 上传 web 文件(参考 web 文件附录表选择是否执行此步骤) [huawei]ftp server enable//系统视图下使能 FTP 功能 [huawei]aaa //系统系统下进入 aaa 模式 [huawei-aaa]local-user admin password cipher Admin@123//配置 FTP 用户名、密码 [huawei-aaa]local-useradmin ftp-directory flash: //配置FTP用户的访问路径 [huawei-aaa]local-user admin service-type ftp //开启 FTP 服务类型 [huaweil aaa]quit //退出 aaa 模式 # 将 PC 电脑上的 web 文件上传至交换机 C: >ftp 192.168.0.1 //PC 电脑的 cmd 下登录 FTP Connected to 192.168.0.1 220 FTP service ready. User (10.1.1.132 : (none)) : admin //输入 FTP 的用户名 331 Password required for client. Password: Admin123 //输入 FTP 的密码 230 User logged in. ftp> ftp> put web.zip //将 PC 上的 web 文件上传 3.(可选) 加载 web 网页文件 (参考 web 文件附录表选择是否执行此步骤) [huawei] http server load s5700-28c-ei-v200r005c00spc300 .web.zip//系统系统下加载 4、创建 web 管理账号 [huawei]http server enable //系统视图下使能 http 功能 [huawei]aaa //系统视图下进入 aaa 模式 [huawei-aaa]local-user admin password cipher Admin@123 //创建 HTTP 登录用户密码 [huawei-aaa]local-user admin privilege level 15 //配置 http 登录名权限 [huawei-aaa]local-user admin service-type http //开启 http 登录服务 [huawei-aaa]quit
3.端口隔离功能的实现
[HUAWEI] interface g0/0/3 [HUAWEI-GigabitEthernet0/0/3]port link-type access [HUAWEI-GigabitEthernet0/0/3]port default vlan 10 [HUAWEI-GigabitEthernet0/0/3]port-isolate enable //配置端口隔离 [HUAWEI-GigabitEthernet0/0/3]quit
4.配置vlan聚合
思路:
•把 Switch 接口加入到相应的 sub-VLAN 中,实现不同 sub-VLAN 间的二层隔离。
•把 sub-VLAN 聚合为 super-VLAN。
•配置 VLANIF 接口的 IP 地址。
•配置 super-VLAN 的 Proxy ARP,实现 sub-VLAN 间的三层互通。
配置接口类型 # 配置接口GEO/0/1为Access 类型。接口 GEO/0/2、GE0/0/3、GEO/0/4 配置与GE0/0/1相同,不再赘述。 <HUAWEI> system-view [HUAWEI]sysname Switch [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] port link-type access [Switch-GigabitEthernet0/0/1] quit 创建 sub-vlan # 创建VLAN2 并向 VLAN2 中加入 GEO/0/1 和 GEO/0/2。 [switch]vlan 2 //创建 sub-vlan 2 [Switch-vlan2]port gigabitethernet 0/0/1 0/0/2 //将接口加入到 vlan 中 [Switch-vlan2] quit # 创建VLAN3 并向 VLAN3 中加入 GEO/0/3 和 GEO/0/4。 [Switch] vlan 3 [Switch-vlan3] port gigabitethernet 0/0/3 0/0/4 [Switch-vlan3] quit 3.配置 super-vlan,把 sub-vlan 加入到 super-vlan [Switch] vlan 4 Switch-vlan4] aggregate-vlan //配置 vlan4 为 super vlan Switch-vlan4] access-vlan 2 to 3 //将 Sub-VLAN 加入 Super-VLAN Switch-vlan4] quit # 配置 super-vlan 的VIANIE 接口地址,所有 sub-vlan 共有 super-vlan 的接口地址 [Switch]interface vlanif 4 [Switch-Vlanif4] ip address 10.1.1.12 255.255.255.0//配置IP 地址作为 PC 的网关 [Switch-Vlanif4] quit 4.配置 Proxy ARP ,必须配置此步骤 vlan2 和 vlan3 之间才能互访 [Switch] interface vlanif 4 [Switch-Vlanif4]arp-proxy inter-sub-vlan-proxy enable //配置 ARP 代理 [Switch-Vlanif4]quit
5.部分vlan间互通,部分vlan间隔离,vlan内用户隔离
要求所有 HOST 都可以访问服务器 (Server) ,即 VLAN3 和 VLAN4 可以访问 VLAN2。
HOSTB 和HOSTC之间可以互访,和HOSTC、HOSTE 不能互访,即 VLAN3 和VLAN4 不能互访。
HOSTC 和 HOSTE 之间隔离,不能互访,即 VLAN4 内用户不能互访。
如图所示,为了解决上述问题,可在连接终端的交换机上部署MUX VLAN 特性。MUX VIAN不但能够实现企业需求,同时也解决了 VLAN ID 紧缺问题,也便于网络管理者维护。
思路:
1.配置主 VLAN 的 MUX-VLAN 功能。
2.配置 Group-VLAN功能,,Group VLAN 可以和 Principal VLAN 和本VLAN 内互通
3.配置 Separate-VLAN 功能,,Separate VLAN 只能和 Principal VLAN 互通,本 VILAN内不能互通。
4.配置接口加入 VLAN 并使能 MUX-VLAN 功能。
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 2 3 4 # 配置 MUX VLAN 中的 Group VLAN 和 Separate VLAN。 [Switch] vlan 2 [Switch-vlan2] mux-vlan //配置该VIAN为MUX VLAN,即 Principal VIAN [Switch-vlan2]subordinate group 3 //配置Group VLAN [Switch-vlan2]subordinate separate 4 //配置Separate VLAN [Switch-vlan2] quit #配置接口加入 VLAN 并使能 MUX VIAN 功能 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] port link-type access [Switch-GigabitEthernet0/0/1] port default vlan 2 //Principal VIAN可以和所有 VLAN 互通 [Switch-GigabitEthernet0/0/1] port mux-vlan enable vlan 2 //接口使能 mux-vlan [Switch-GigabitEthernet0/0/1] quit [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] port link-type access [Switch-GigabitEthernet0/0/2] port default vlan 3 [Switch-GigabitEthernet0/0/2] port mux-vlan enable vlan 3 //接口使能mux-vlan [Switch-GigabitEthernet0/0/2] quit [Switch] interfacegigabitethernet 0/0/3 [Switch-GigabitEthernet0/0/3] port link-type access [Switch-GigabitEthernet0/0/3] port default vlan 3 [Switch-GigabitEthernet0/0/3] port mux-vlan enable vlan 3 //接口使能 mux-vlan [Switch-GigabitEthernet0/0/3] quit [Switch] interface gigabitethernet 0/0/4 [Switch-GigabitEthernet0/0/4] port link-type access [Switch-GigabitEthernet0/0/4] port default vlan 4 [Switch-GigabitEthernet0/0/4] port mux-vlan enable vlan 4 //接口使能 mux-vlan [Switch-GigabitEthernet0/0/4] quit [Switch] interface gigabitethernet 0/0/5 [Switch-GigabitEthernet0/0/5] port link-type access [Switch-GigabitEthernet0/0/5] port default vlan 4 [Switch-GigabitEthernet0/0/5] port mux-vlan enable vlan 4 //接口使能mux-vlan [Switch-GigabitEthernet0/0/5] quit
6.限制内网网段互访
如图所示,公司企业网通过 Switch 实现各部门之间的互连,不同部门在不同的vlan 及网段下。要求正确配置 ACL,禁止研发部门和市场部门在上班时间(8:00 至 17:30) 访问工资查询服务器 (IP 地址为 10.164.9.9),而总裁办公室不受限制,可以随时访问。
思路:
1. 配置接口 IP 地址。
2. 配置时间段。
3.配置 ACL。
4. 配置流分类。
5. 配置流行为。
6.配置流策略
7.在接口上应用流策略
1. 配置接口 IP 地址 # 配置接口加入 VLAN,并配置 VLANIF 接口的 IP 地址 规划GE0/0/1~GE0/0/3 分别加入VLAN10、20、30,GE0/0/4 加入VLAN100。VIANIE接口的地址取所在网段的第一个IP 地址。下面配置以 GEO/0/1 接口为例,其他接口的配置与此类似 <HUAWEI> system-view [HUAWEI] vlan batch 10 20 30 100 [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] port link-type access //连终端接口类型为 access [HUAWEI-GigabitEthernet0/0/1] port default vlan 10 [HUAWEI-GigabitEthernet0/0/1] quit //进入三层 vlanif 接口 [HUAWEI] interface vlanif 10 [HUAWEI-Vlanif10] ip address 10.164.1.1 255.255,255.0 //配置 vlan 下网段IP 地址 [HUAWEI-Vlanif10]quit 配置时间段 # 配置 8:00 至17:30 的周期时间段 [HUAWEI] time-range satime 8:00 to 17:30 working-day 3.配置ACI #配置市场部门到工资查询服务器的访问规则。 [HUAWEI] ac1 3002 (HUAWEI-acl-adv-3002] rule deny ip source 10.164,2.0 0.0.0.255 destination 10 .164 .9.9 0.0.0.0 time-range satime //acl 访问规则调用时间段 [HUAWEI-acl-adv-3002] quit #配置研发部门到工资查询服务器的访问规则 [HUAWEI] acl 3003 [HUAWEI-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10 .164 .9.9 0.0.0.0 time-range satime //acl 访问规则调用时间段 [HUAWEI-acl-adv-3003] quit 4.配置基于 ACI 的流分类 #配置流分类 c_market,对匹配 ACL 3002 的报文进行分类 [HUAWEIl traffic classifier c_market //市场部门流分类 [HUAWEI-classifier-c market] if-match acl 3002 //匹配研发部门 acl 3002 [HUAWEI-classifier-c market] quit #配置流分类 c rd,对匹配 ACL 3003 的报文进行分类 [HUAWEI] traffic classifier c_rd [HUAWEI-classifier-c_rd] if-match acl 3003 [HUAWEI-classifier-c_rd] quit 5.配置流行为 #配置流行为 b_market,动作为拒绝报文通过 [HUAWEI] traffic behavior b_market [HUAWEI]-behavior-b_market] deny [HUAWEI-behavior-b_market]quit # 配置流行为 b_rd,动作为拒绝报文通过 [HUAWEI] traffic behavior b rd [HUAWEI-behavior-b_rd] deny [HUAWEI-behavior-b_rd] quit 6.配置流策略 # 配置流策略p_market,将流分类 c_market 与流行为b_market关联 [HUAWEI] traffic policy p_market //市场部门流策略 [HUAWEI-trafficpolicy-p market] classifier c_market behavior b_market //分类关联行为 [HUAWEI-trafficpolicy-p market] quit # 配置流策略 p_rd,将流分类 c_rd 与流行为b_rd 关联 [HUAWEI] traffic policy p_rd [HUAWEI-trafficpolicy-p_rd] classifier c_rd behavior b_rd [HUAWEI-trafficpolicy-p rd] quit 7.应用流策略 # 将流策略 p_market 应用到 GEO/0/2 接口 [HUAWEI] interface gigabitethernet 0/0/2 [HUAWEI-GigabitEthernyet0/0/2] traffic-policy p_market inbound //调用市场部门流策略 [HUAWEI-GigabitEthernet0/0/2] quit # 将流策略p_rd 应用到 GEO/0/3 接口 [HUAWEI] interface gigabitethernet 0/0/3 [HUAWEI-GigabitEthernet0/0/3] traffic-policy p_rd inbound //调用研发部门流策略 [HUAWEI-GigabitEthernet0/0/3] quit
