華三接入層交換機需注意配置方法技巧

  交換機的主要功能包括物理編址、網路拓撲結構、錯誤校驗、幀序列以及流控。交換機還具備了一些新的功能,如對VLAN***虛擬區域網***的支援、對鏈路匯聚的支援,甚至有的還具有防火牆的功能。本文將詳細介紹華三接入層交換機需配置的幾項細節,需要的朋友可以參考下

  方法步驟

  1、檢視交換機上應用的配置檔案

  [h3c]dis startup

  Current startup saved-configuration file:

  Next main startup saved-configuration file:

  Next backup startup saved-configuration file: NULL

  2、配置主備配置檔案

  startup saved-configuration config.cfg ?

  backup Backup config file

  main Main config file

  3、Telnet 使用者認證方式登入

  user-interface vty 0 4

  authentication-mode scheme

  user privilege level 3

  Telnet 密碼方式登入

  user-interface aux 0

  user-interface vty 0 4

  user privilege level 3

  set authentication password simple abc

  新建使用者

  local-user admin

  password simple abcpassword

  service-type telnet

  level 3

  4、配置MSTP

  stp enable

  stp region-configuration

  region-name abc

  revision-level 1

  instance 1 vlan 200

  active region-configuration

  *********************************************************

  5、配置接入層交換機只接電腦,不能接交換機,避免已經配置好的生成樹受新新增的交換機影響造成網路的不穩定。

  stp bpdu-protection

  對於接入層裝置,接入埠一般直接與使用者終端***如PC機***或檔案伺服器相連,此時接入埠被設定為邊緣埠以實現這些埠的快速遷移。當這些邊緣埠接收到配置訊息後,系統會自動將這些埠設定為非邊緣埠,重新計算生成樹,這樣就引起網路拓撲的震盪。

  正常情況下,邊緣埠應該不會收到生成樹協議的配置訊息。如果有人偽造配置訊息惡意攻擊交換機,就會引起網路震盪。BPDU保護功能可以防止這種網路攻擊。交換機上啟動了BPDU保護功能以後,如果邊緣埠收到了配置訊息,系統就將這些埠關閉,同時通知網管這些埠被MSTP關閉。被關閉的邊緣埠只能由網路管理人員恢復。

  配置埠為邊緣埠

  [h3c]interface Ethernet1/0/5

  [h3c-Ethernet1/0/5]stp edged-port enable

  對於直接與終端相連的埠,請將該埠設定為邊緣埠,同時啟動BPDU保護功能。這樣既能夠使該埠快速遷移到轉發狀態,也可以保證網路的安全。

  **********************************************************

  6、DHCP Snooping防止非法DHCP伺服器分發地址影響正常網路

  例:

  開啟交換機DHCP Snooping功能

  [h3c]DHCP Snooping

  配置合法的DHCP伺服器轉發埠

  [h3c]interface Ethernet1/0/5

  [h3c-Ethernet1/0/5]dhcp-snooping trust

  配置防DHCP伺服器仿冒功能

  例:

  開啟交換機DHCP Snooping功能

  [h3c]DHCP Snooping

  開啟防DHCP伺服器仿冒功能

  [h3c]interface Ethernet1/0/5

  [h3c-Ethernet1/0/5]dhcp-snooping server-guard enable

  意思是在埠上啟用仿冒功能,萬一有非法DHCP伺服器進入即觸發預設定的策略

  配置防DHCP伺服器仿冒功能的處理策略

  [h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }

  預設情況下,交換機防DHCP伺服器仿冒功能的處理策略為trap

  顯示DHCP伺服器仿冒相關資訊

  display dhcp-snooping server-guard

  其實配置snooping和仿冒功能效果都是一樣,防止非法的DHCP伺服器進入網路,只是h3c交換機不同型號支援的方法不同。

  彙總有點亂,都是平時配置接入層交換機時經常用到的,也解決了不少問題,現在發上來,一個是自己留個記錄,二是也給大家參考一下,或者大家看後,覺得還有什麼需要補充的配置,儘管說,共同學習。

  補充:交換機基本使用方法

  作為基本核心交換機使用,連線多個有線裝置使用:網路結構如下圖,基本連線參考上面的【方法/步驟1:基本連線方式 】

  作為網路隔離使用:對於一些功能好的交換機,可以通過模式選擇開關選擇網路隔離模式,實現網路隔離的作用,可以只允許普通埠和UPlink埠通訊,普通埠之間是相互隔離不可以通訊的

  除了作為核心交換機***中心交換機***使用,還可以作為擴充套件交換機***接入交換機***來擴充套件網路

  放在路由器上方,擴充套件網路供應商的網路線路***用於一條線路多個IP的網路***,連線之後不同的路由器用不同的IP連線至公網

  相關閱讀:交換機硬體故障常見問題

  電源故障:

  由於外部供電不穩定,或者電源線路老化或者雷擊等原因導致電源損壞或者風扇停止,從而不能正常工作。

  由於電源緣故而導致機內其他部件損壞的事情也經常發生。

  如果面板上的POWER指示燈是綠色的,就表示是正常的;如果該指示燈滅了,則說明交換機沒有正常供電。

  這類問題很容易發現,也很容易解決,同時也是最容易預防的。

  針對這類故障,首先應該做好外部電源的供應工作,一般通過引入獨立的電力線來提供獨立的電源,並新增穩壓器來避免瞬間高壓或低壓現象。

  如果條件允許,可以新增UPS***不間斷電源***來保證交換機的正常供電,有的UPS提供穩壓功能,而有的沒有,選擇時要注意。

  在機房內設定專業的避雷措施,來避免雷電對交換機的傷害。現在有很多做避雷工程的專業公司,實施網路佈線時可以考慮。