交换机配置说明

郝显龙

1
基本操作
1.1
常用命令新旧对照列表

常用命令新旧对照表

旧	新		旧	新
show	display		access-list	acl
no	undo		acl	eacl
exit	quit
write	save		show version	disp version
erase	reset		show run	disp current-configuration
			show tech-support	disp diagnostic-information
			show start	disp saved-configuration
router ospf	ospf
router bgp	bgp
router rip	rip
hostname	sysname
user	local-user
0	simple
7	cipher
mode	link-type
multi	hybrid

注意:
1.
disp是display的缩写，在没有歧义时LANSWITCH会自动识别不完整词
2.
disp cur显示LANSWITCH当前生效的配置参数
3.
disp和ping命令在任何视图下都可实行，不必切换到系统视图
4.
删除某条命令，一般的命令是undo xxx，另一种情况是用其他的参数代替现在的参数，如有时虽然xxx abc无法使用undo删除，但是可以修改为xxx def

交换机远程TELNET登录

1
功能需求及组网说明

telnet
配置

『配置环境参数』

PC机固定IP地址10.10.10.10/24

SwitchA为三层交换机，vlan100地址10.10.10.1/24

SwitchA与SwitchB互连vlan10接口地址192.168.0.1/24

SwitchB与SwitchA互连接口vlan100接口地址192.168.0.2/24

交换机SwitchA通过以太网口ethernet 0/1和SwitchB的ethernet0/24实现互连。

『组网需求』

1.
SwitchA只能允许10.10.10.0/24网段的地址的PC telnet访问

2.
SwitchA只能禁止10.10.10.0/24网段的地址的PC telnet访问

3.
SwitchB允许其它任意网段的地址telnet访问

2
数据配置步骤
『PC管理交换机的流程』

1.
如果一台PC想远程TELNET到一台设备上，首先要保证能够二者之间正常通信。SwitchA为三层交换机，可以有多个三层虚接口，它的管理vlan可以是任意一个具有三层接口并配置了IP地址的vlan

2.
SwitchB为二层交换机，只有一个二层虚接口，它的管理vlan即是对应三层虚接口并配置了IP地址的vlan

3.
Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet登录，则系统会提示“password required, but none set.”。

【SwitchA相关配置】

PC在vlan100内，交换机上对应的端口为E0/10-E0/20

1.
创建（进入）vlan100

[SwitchA]vlan 100

2.
将E0/10-E0/20加入到vlan10里

[SwitchA-vlan100] port Ethernet 0/10 to Ethernet 0/20

3.
创建vlan100的虚接口

[SwitchA]interface Vlan-interface 100

4.
给vlan100的虚接口配置IP地址

[SwitchA-Vlan-interface100]ip address 10.10.10.1 255.255.255.0

5.
创建（进入）vlan10

[SwitchA]vlan 10

6.
将连接SwitchB的E0/1加入vlan10

[SwitchA-vlan10] port Ethernet 0/1

7.
创建（进入）vlan10的虚接口

[SwitchA]interface Vlan-interface 10

8.
给vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]ip address 192.168.0.1 255.255.255.0

【SwitchB相关配置】

1.
创建（进入）vlan100

[SwitchA]vlan 100

2.
将E0/24加入到vlan100里

[SwitchA-vlan100] port Ethernet 0/24

3.
创建（进入）vlan100的虚接口

[SwitchB]interface Vlan-interface 100

4.
给vlan100的虚接口配置IP地址

[SwitchB-Vlan-interface100]ip address 192.168.0.2 255.255.255.0

5.
一般二层交换机允许其它任意网段访问需要加入一条缺省路由

[SwitchB]ip route-static  0.0.0.0 0.0.0.0 192.168.0.1

【TELNET不验证配置】

[SwitchA-ui-vty0-4]authentication-mode none

【TELNET密码验证配置】

1.
进入用户界面视图

[SwitchA]user-interface vty 0 4

2.
设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

3.
设置明文密码

[SwitchA-ui-vty0-4]set authentication password simple Huawei

4.
缺省情况下，从VTY用户界面登录后可以访问的命令级别为0级。需要将用户的权限设置为3，这用户可以进入系统视图进行操作，否则只有0级用户的权限

[SwitchA-ui-vty0-4]user  privilege level 3

【TELNET本地用户名和密码验证配置】

1.
进入用户界面视图

[SwitchA]user-interface vty 0 4

2.
使用authentication-mode
scheme命令，表示需要进行本地或远端用户名和口令认证。

[SwitchA-ui-vty0-4]authentication-mode scheme

3.
设置本地用户名和密码

[SwitchA]local-user Huawei

[SwitchA-user-huawei]service-type telnet level 3

[SwitchA-user-huawei]password simple Huawei

4.
如果不改变TELNET登录用户的权限，用户登录以后是无法直接进入其它视图的，可以设置super password，来控制用户是否有权限进入其它视图

[SwitchA]local-user Huawei

[SwitchA-user-huawei]service-type telnet

[SwitchA-user-huawei]password simple Huawei

[SwitchA]super password level 3 simple huawei

【TELNET RADIUS验证配置】

以使用huawei开发的cams作为RADIUS服务器为例

1.
设置TELNET登录方式为scheme

[SwitchA-ui-vty0-4]authentication-mode scheme

2.
配置RADIUS认证方案

[SwitchA]radius scheme cams

3.
配置RADIUS认证服务器地址10.110.51.31

[SwitchA-radius-cams]primary authentication 10.110.51.31 1812

4.
配置RADIUS计费服务器地址10.110.51.31

[SwitchA-radius-cams]primary accounting 10.110.51.31 1813

5.
配置交换机与认证服务器的验证口令

[SwitchA-radius-cams]key authentication expert

6.
配置交换机与计费服务器的验证口令

[SwitchA-radius-cams]key accounting expert

7.
配置服务器类似为huawei，即使用CAMS

[SwitchA-radius-cams]server-type Huawei

8.
送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

9.
创建（进入）一个域

[SwitchA]domain Huawei

10.
在域huawei中引用名为“cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

11.
将huawei域设置为缺省域

[SwitchA]domain default enable huawei

【TELNET访问控制配置】

1.
设置只允许符合ACL1的IP地址登录交换机

[SwitchA-ui-vty0-4]acl 1 inbound

2.
设置规则只允许某网段登录

[SwitchA]acl number 1

[SwitchA-acl-basic-1]

[SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255

3.
设置规则只禁止某网段登录

[SwitchA]acl number 1

[SwitchA-acl-basic-1]

[SwitchA-acl-basic-1]rule deny source 10.10.10.0 0.0.0.255

3
测试验证

1.
PC属于vlan10可以telnet到SwitchA和SwitchB上，

2.
PC属于其它vlan不能telnet到SwitchA，能够telnet到SwitchB上

交换机远程AUX口登录

1
功能需求及组网说明

通过AUX口远程登录交换机

『配置环境参数』

1.
交换机通过电话号码82882285连接到PSTN

2.
PC通过电话号码82882275连接到PSTN

3.
目前的命令行配置的交换机console口和aux口是合二为一的

4.
连接交换机和modem要采用专用的aux线缆

5.
modem要设置成自动应答方式

『组网需求』

1.
PC远程拨号，通过交换机AUX口（即console口）登录到交换机进行配置

2
数据配置步骤

『PC拨入交换机流程』

将交换机AUX口配置成MODEM属性，因为交换机console和AUX口合二为一，需要注意配置MODEM属性以后，在本地使用串口线将无法对交换机进行操作。在远端PC超级终端上输入命令及电话号码登录交换机。

【AUX口远程拨号配置】

1.
进入用户界面视图

[Quidway] user-interface aux 0

2.
将AUX口配置MODEM拨号属性

[Quidway-ui-aux0]modem

3
测试验证

1.
物理连接后在PC上启用超级终端， PC上的com端口选择和modemA相连的com口

2.
在超级终端屏幕上键入命令 atdt 82882285（与交换机modemB的电话号码）

3.
回车，出现交换机提示符例如<Quidway>

4.
可以在超级终端上进行操作

交换机debug信息开关

1
功能需求及组网说明

交换机debug信息开关

『配置环境参数』

1.
PC连接在SwitchA的端口E0/1，IP地址192.168.0.2/24

2.
SwitchA管理vlan10，IP地址192.168.0.1/24

『组网需求』

1.
在超级终端上可以打出debug信息

2.
在远程telnet终端上可以看到debug信息