交換機配置（一）端口限速基本配置

交換機配置（二）端口綁定基本配置

交換機配置（三）ACL基本配置

防止同網段ARP欺騙的ACL

交換機配置（四）密碼恢復交換機配置（五）三層交換配置交換機配置（六）端口鏡像配置交換機配置（七）DHCP配置交換機配置（八）配置文件管理交換機配置（九）遠程管理配置交換機配置（十）STP配置交換機配置（十一）私有VLAN配置

交換機配置（十二）端口trunk、hybrid應用配置華為3Com2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列：華為交換機端口限速2000_EI系列以上的交換機都可以限速！限速不同的交換機限速的方式不一樣！2000_EI直接在端口視圖下面輸入LINE-RATE（4參數可選！端口限速配置1功能需求及組網說明端口限速配置『配置環境參數』1.PC1和PC2的IP地址分別為/24、/24『組網需求』1.在SwitchA上配置端口限速，將PC1的下載速率限制在3Mbps，同時將PC1的上傳速率限制在1Mbps2數據配置步驟『S2000EI系列交換機端口限速配置流程』使用以太網物理端口下面的line-rate命令，來對該端口的出、入報文進行流量限速?！維witchA相關配置】進入端口E0/1的配置視圖[SwitchA]interfaceEthernet0/1對端口E0/1的出方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateoutbound30對端口E0/1的入方向報文進行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]line-rateinbound16【補充說明】報文速率限制級別取值為1?127。如果速率限制級別取值在1?28范圍內，則速率限制的粒度為64Kbps，這種情況下，當設置的級別為N，則端口上限制的速率大小為N*64K；如果速率限制級別取值在29?127范圍內，貝0速率限制的粒度為1Mbps，這種情況下，當設置的級別為N，則端口上限制的速率大小為（N-27）*1Mbps。此系列交換機的具體型號包括：S2008-EI、S2016-EI和S2403H-EI。『S2000-SI和S3000-SI系列交換機端口限速配置流程』使用以太網物理端口下面的line-rate命令，來對該端口的出、入報文進行流量限速?！維witchA相關配置】進入端口E0/1的配置視圖[SwitchA]interfaceEthernet0/1對端口E0/1的出方向報文進行流量限速，限制到6Mbps[SwitchA-Ethernet0/1]line-rateoutbound2對端口E0/1的入方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateinbound1【補充說明】對端口發送或接收報文限制的總速率，這里以8個級別來表示，取值范圍為1?8,含義為：端口工作在10M速率時，1?8分別表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率時，1?8分別表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。此系列交換機的具體型號包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI?！篠3026E、S3526E、S3050、S5012、S5024系列交換機端口限速配置流程』使用以太網物理端口下面的line-rate命令，對該端口的出方向報文進行流量限速；結合acl，使用以太網物理端口下面的traffic-limit命令，對端口的入方向報文進行流量限速?！維witchA相關配置】進入端口E0/1的配置視圖[SwitchA]interfaceEthernet0/1對端口E0/1的出方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rate3配置acl，定義符合速率限制的數據流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany對端口E0/1的入方向報文進行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceeddrop【補充說明】line-rate命令直接對端口的所有出方向數據報文進行流量限制，而traffic-limit命令必須結合acl使用，對匹配了指定訪問控制列表規則的數據報文進行流量限制。在配置acl的時候，也可以通過配置三層訪問規則，來對指定的源或目的網段報文，進行端口的入方向數據報文進行流量限制。端口出入方向限速的粒度為1Mbps。此系列交換機的具體型號包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G?！篠3528、S3552系列交換機端口限速配置流程』使用以太網物理端口下面的traffic-shape和traffic-limit命令，分別來對該端口的出、入報文進行流量限速?！維witchA相關配置】進入端口E0/1的配置視圖[SwitchA]interfaceEthernet0/1對端口E0/1的出方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]traffic-shape32503250配置acl，定義符合速率限制的數據流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany4,對端口E0/1的入方向報文進行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceeddrop【補充說明】此系列交換機的具體型號包括：S3528G/P和S3552G/P/F?！篠3900系列交換機端口限速配置流程』使用以太網物理端口下面的line-rate命令，對該端口的出方向報文進行流量限速；結合acl，使用以太網物理端口下面的traffic-limit命令，對匹配指定訪問控制列表規則的端口入方向數據報文進行流量限制?！維witchA相關配置】進入端口E1/0/1的配置視圖[SwitchA]interfaceEthernet1/0/1對端口E0/1的出方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate3000配置acl，定義符合速率限制的數據流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany對端口E0/1的入方向報文進行流量限速，限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【補充說明】line-rate命令直接對端口的所有出方向數據報文進行流量限制，而traffic-limit命令必須結合acl使用，對匹配了指定訪問控制列表規則的數據報文進行流量限制。在配置acl的時候，也可以通過配置三層訪問規則，來對指定的源或目的網段報文，進行端口的入方向數據報文進行流量限制。端口出入方向限速的粒度為64Kbps。此系列交換機的具體型號包括：S3924、S3928P/F/TP和S3952P?！篠5600系列交換機端口限速配置流程』使用以太網物理端口下面的line-rate命令，對該端口的出方向報文進行流量限速；結合acl，使用以太網物理端口下面的traffic-limit命令，對匹配指定訪問控制列表規則的端口入方向數據報文進行流量限制?！維witchA相關配置】進入端口E1/0/1的配置視圖[SwitchA]interfaceEthernet1/0/1對端口E0/1的出方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate3000配置acl，定義符合速率限制的數據流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany對端口E0/1的入方向報文進行流量限速，限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【補充說明】line-rate命令直接對端口的所有出方向數據報文進行流量限制，而traffic-limit命令必須結合acl使用，對匹配了指定訪問控制列表規則的數據報文進行流量限制。在配置acl的時候，也可以通過配置三層訪問規則，來對指定的源或目的網段報文，進行端口的入方向數據報文進行流量限制。端口出入方向限速的粒度為64Kbps。此系列交換機的具體型號包括：S5624P/F和S5648P。交換機配置（二）端口綁定基本配置1，端口+MACa）AM命令使用特殊的AMUser-bind命令，來完成MAC地址與端口之間的綁定。例如：[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置說明：由于使用了端口參數，則會以端口為參照物，即此時端口E0/1只允許PC1上網，而使用其他未綁定的MAC地址的PC機則無法上網。但是PC1使用該MAC地址可以在其他端口上網。b）mac-address命令使用mac-addressstatic命令，來完成MAC地址與端口之間的綁定。例如：[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1[SwitchA]mac-addressmax-mac-count0配置說明：由于使用了端口學習功能，故靜態綁定mac后，需再設置該端口mac學習數為0，使其他PC接入此端口后其mac地址無法被學習。2，IP+MACa）AM命令使用特殊的AMUser-bind命令，來完成IP地址與MAC地址之間的綁定。例如：[SwitchA]amuser-bindip-addressmac-address00e0-fc22-f8d3配置說明：以上配置完成對PC機的IP地址和MAC地址的全局綁定，即與綁定的IP地址或者MAC地址不同的PC機，在任何端口都無法上網。支持型號：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb）arp命令使用特殊的arpstatic命令，來完成IP地址與MAC地址之間的綁定。例如：[SwitchA]arpstatic00e0-fc22-f8d3配置說明：以上配置完成對PC機的IP地址和MAC地址的全局綁定。3，端口+IP+MAC使用特殊的AMUser-bind命令，來完成IP、MAC地址與端口之間的綁定。例如：[SwitchA]amuser-bindip-addressmac-address00e0-fc22-f8d3interfaceEthernet0/1配置說明：可以完成將PC1的IP地址、MAC地址與端口E0/1之間的綁定功能。由于使用了端口參數，則會以端口為參照物，即此時端口E0/1只允許PC1上網，而使用其他未綁定的IP地址、MAC地址的PC機則無法上網。但是PC1使用該IP地址和MAC地址可以在其他端口上網。支持型號：S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、S6500（3代引擎）交換機配置（三）ACL基本配置1，二層ACL.組網需求：通過二層訪問控制列表，實現在每天8:00?18:00時間段內對源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303報文的過濾。該主機從GigabitEthernet0/1接入。.配置步驟：⑴定義時間段#定義8:00至18:00的周期時間段。[Quidway]time-rangehuawei8:00to18:00daily(2)定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的ACL#進入基于名字的二層訪問控制列表視圖，命名為traffic-of-linko[Quidway]aclnametraffic-of-linklink#定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的流分類規則。[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei⑶激活ACLo將traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link2,三層ACL基本訪問控制列表配置案例.組網需求：通過基本訪問控制列表，實現在每天8:00?18:00時間段內對源IP為主機發出報文的過濾。該主機從GigabitEthernet0/1接入。.配置步驟:定義時間段#定義8:00至18:00的周期時間段。[Quidway]time-rangehuawei8:00to18:00daily定義源IP為的ACL#進入基于名字的基本訪問控制列表視圖，命名為traffic-of-hosto[Quidway]aclnametraffic-of-hostbasic#定義源IP為的訪問規則。[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-rangehuawei⑶激活ACLo將traffic-of-host的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-host高級訪問控制列表配置案例.組網需求:公司企業網通過Switch的端口實現各部門之間的互連。研發部門的由GigabitEthernet0/1端口接入，工資查詢服務器的地址為o要求正確配置ACL，限制研發部門在上班時間8:00至18:00訪問工資服務器。.配置步驟:定義時間段#定義8:00至18:00的周期時間段。[Quidway]time-rangehuawei8:00to18:00working-day定義到工資服務器的ACL#進入基于名字的高級訪問控制列表視圖，命名為traffic-of-payserver。[Quidway]aclnametraffic-of-payserveradvanced定義研發部門到工資服務器的訪問規則。[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestinationtime-rangehuawei⑶激活ACL。#將traffic-of-payserver的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver3,常見病毒的ACL創建aclaclnumber100禁pingruledenyicmpsourceanydestinationany用于控制Blaster蠕蟲的傳播ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444用于控制沖擊波病毒的掃描和攻擊ruledenytcpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteqnetbios-nsruledenyudpsourceanydestinationanydestination-porteqnetbios-dgmruledenytcpsourceanydestinationanydestination-porteq139ruledenyudpsourceanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振蕩波的掃描和攻擊ruledenytcpsourceanydestinationanydestination-porteq445ruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制Worm_MSBlast.A蠕蟲的傳播ruledenyudpsourceanydestinationanydestination-porteq1434下面的不出名的病毒端口號（可以不作）ruledenytcpsourceanydestinationanydestination-porteq1068ruledenytcpsourceanydestinationanydestination-porteq5800ruledenytcpsourceanydestinationanydestination-porteq5900ruledenytcpsourceanydestinationanydestination-porteq10080ruledenytcpsourceanydestinationanydestination-porteq455ruledenyudpsourceanydestinationanydestination-porteq455ruledenytcpsourceanydestinationanydestination-porteq3208ruledenytcpsourceanydestinationanydestination-porteq1871ruledenytcpsourceanydestinationanydestination-porteq4510ruledenyudpsourceanydestinationanydestination-porteq4334ruledenytcpsourceanydestinationanydestination-porteq4331ruledenytcpsourceanydestinationanydestination-porteq4557然后下發配置packet-filterip-group100目的:針對目前網上出現的問題，對目的是端口號為1434的UDP報文進行過濾的配置方法，詳細和復雜的配置請看配置手冊。NE80的配置：NE80(config)#rule-mapr1udpanyanyeq1434//r1為role-map的名字，udp為關鍵字，anyany所有源、目的IP，eq為等于，1434為udp端口號NE80(config)#acla1r1deny//a1為acl的名字，r1為要綁定的rule-map的名字，NE80(config-if-Ethernet1/0/0)#access-groupacla1//在1/0/0接口上綁定acl，acl為關鍵字，a1為acl的名字NE16的配置：NE16-4(config)#firewallenableall〃首先啟動防火墻NE16-4(config)#access-list101denyudpanyanyeq1434//deny為禁止的關鍵字，針對udp報文，anyany為所有源、目的IP，eq為等于，1434為udp端口號NE16-4(config-if-Ethernet2/2/0)#ipaccess-group101in//在接口上啟用access-list，in表示進來的報文，也可以用out表示出去的報文中低端路由器的配置[Router]firewallenable[Router]acl101[Router-acl-101]ruledenyudpsourceanydestionanydestination-porteq1434[Router-Ethernet0]firewallpacket-filter101inbound6506產品的配置：舊命令行配置如下：6506(config)#aclextendedaaadenyprotocoludpanyanyeq14346506(config-if-Ethernet5/0/1)#access-groupaaa國際化新命令行配置如下：[Quidway]aclnumber100[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway-acl-adv-100]quit[Quidway]interfaceethernet5/0/1[Quidway-Ethernet5/0/1]packet-filterinboundip-group100not-care-for-interface5516產品的配置：舊命令行配置如下：5516(config)#rule-mapl3aaaprotocol-typeudpingressanyegressanyeq14345516(config)#flow-actionfffdeny5516(config)#aclbbbaaafff5516(config)#access-groupbbb國際化新命令行配置如下：[Quidway]aclnum100[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway]packet-filterip-group1003526產品的配置：舊命令行配置如下：rule-mapl3req1434flow-actionf1denyaclacl1r1f1access-groupacl1國際化新命令配置如下：aclnumber100rule0denyudpsource0source-porteq1434destination0packet-filterip-group101rule0注：3526產品只能配置外網對內網的過濾規則，其中是內網的地址段。8016產品的配置：舊命令行配置如下：8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#aclbbbaaadeny8016(config)#access-groupaclbbbvlan10portall國際化新命令行配置如下：8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#eaclbbbaaadeny8016(config)#access-groupeaclbbbvlan10portall防止同網段ARP欺騙的ACL一、組網需求：二層交換機阻止網絡用戶仿冒網關IP的ARP攻擊二、組網圖：圖1二層交換機防ARP攻擊組網S3552P是三層設備，其中IP：是所有PC的網關，S3552P上的網關MAC地址為000f-e200-3999。PC-B上裝有ARP攻擊軟件?，F在需要對S3026C_A進行一些特殊配置，目的是過濾掉仿冒網關IP的ARP報文。

三、配置步驟對于二層交換機如S3026C等支持用戶自定義ACL（number為5000到5999）的交換機，可以配置ACL來進行ARP報文過濾。全局配置ACL禁止所有源IP是網關的ARP報文aclnum5000rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34其中rule0把整個S3026C_A的端口冒充網關的ARP報文禁掉，其中斜體部分64010101是網關IP地址的16進制表示形式。Rule1允許通過網關發送的ARP報文，斜體部分為網關的mac地址000f-e200-3999。注意：配置Rule時的配置順序，上述配置為先下發后生效的情況。在S3026C-A系統視圖下發acl規則：[S3026C-A]packet-filteruser-group5000這樣只有S3026C_A上連網關設備才能夠發送網關的ARP報文，其它主機都不能發送假冒網關的arp響應報文。三層交換機實現仿冒網關的ARP防攻擊一、組網需求：1.三層交換機實現防止同網段的用戶仿冒網關IP的ARP攻擊、組網圖S3552S3526EB黑24圖2三層交換機防ARP攻擊組網三、配置步驟對于三層設備，需要配置過濾源IP是網關的ARP報文的ACL規則，配置如下ACL規則：B黑24aclnumber5000rule0deny0806ffff2464010105ffffffff40rule0禁止S3526E的所有端口接收冒充網關的ARP報文，其中斜體部分64010105是網關IP地址的16進制表示形式。下發ACL到全局[S3526E]packet-filteruser-group5000仿冒他人IP的ARP防攻擊一、組網需求：作為網關的設備有可能會出現錯誤ARP的表項，因此在網關設備上還需對用戶仿冒他人IP的ARP攻擊報文進行過濾。二、組網圖：參見圖1和圖2三、配置步驟：如圖1所示，當PC-B發送源IP地址為PC-D的arpreply攻擊報文，源mac是PC-B的mac（000d-88f8-09fa），源ip是PC-D的ip（），目的ip和mac是網關（3552P）的，這樣3552上就會學習到錯誤的arp，如下所示：錯誤arp表項IPAddressMACAddressVLANIDPortNameAgingType000d-88f8-09fa1Ethernet0/220Dynamic000f-3d81-45b41Ethernet0/220Dynamic從網絡連接可以知道PC-D的arp表項應該學習到端口E0/8上，而不應該學習到E0/2端口上。但實際上交換機上學習到該ARP表項在E0/2。上述現象可以在S3552上配置靜態ARP實現防攻擊：arpstatic000f-3d81-45b41e0/8在圖2S3526C上也可以配置靜態ARP來防止設備學習到錯誤的ARP表項。對于二層設備（S3050C和S3026E系列），除了可以配置靜態ARP外，還可以配置IP+MAC+port綁定，比如在S3026C端口E0/4上做如下操作：amuser-bindip-addrmac-addr000d-88f8-09fainte0/4則IP為并且MAC為000d-88f8-09fa的ARP報文可以通過E0/4端口，仿冒其它設備的ARP報文則無法通過，從而不會出現錯誤ARP表項。四、配置關鍵點：此處僅僅列舉了部分QuidwayS系列以太網交換機的應用。在實際的網絡應用中，請根據配置手冊確認該產品是否支持用戶自定義ACL和地址綁定。僅僅具有上述功能的交換機才能防止ARP欺騙。5,關于ACL規則匹配的說明a）ACL直接下發到硬件中的情況交換機中ACL可以直接下發到交換機的硬件中用于數據轉發過程中的過濾和流分類。此時一條ACL中多個子規則的匹配順序是由交換機的硬件決定的，用戶即使在定義ACL時配置了匹配順序也不起作用。ACL直接下發到硬件的情況包括：交換機實現QoS功能時引用ACL、硬件轉發時通過ACL過濾轉發數據等。b）ACL被上層模塊引用的情況交換機也使用ACL來對由軟件處理的報文進行過濾和流分類。此時ACL子規則的匹配順序有兩種：config（指定匹配該規則時按用戶的配置順序）和auto（指定匹配該規則時系統自動排序，即按“深度優先”的順序）。這種情況下用戶可以在定義ACL的時候指定一條ACL中多個子規則的匹配順序。用戶一旦指定某一條訪問控制列表的匹配順序，就不能再更改該順序。只有把該列表中所有的規則全部刪除后，才能重新指定其匹配順序。ACL被軟件引用的情況包括：路由策略引用ACL、對登錄用戶進行控制時引用ACL等。交換機配置（四）密碼恢復說明：以下方法將刪除原有config文件，使設備恢復到出廠配置。在設備重啟時按Ctrl+B進入BOOTMENU之后，PressCtrl-BtoenterBootMenu...5

Password:缺省為空，回車即可DownloadapplicationfiletoflashSelectapplicationfiletobootDisplayallfilesinflashDeletefilefromFlashModifybootrompassword0.Reboot選擇4FileSize(bytes)Enteryourchoice(0-5):4No.FileName選擇4FileSize(bytes)1S3026CGSSI.btm2572242wnm2.2.2-0005.zip4478273snmpboots44*R0023P01.app29856915hostkey4286serverkey5727vrpcfg.txt1281FreeSpace:3452928bytesThecurrentapplicationfileisR0023P01.appPleaseinputthefilenumbertodelete:7選擇7,刪除當前的配置文件Doyouwanttodeletevrpcfg.txtnow?YesorNo(Y/N)yDeletefiledone!BOOTMENUDownloadapplicationfiletoflashSelectapplicationfiletobootDisplayallfilesinflashDeletefilefromFlashModifybootrompassword0.RebootEnteryourchoice(0-5):0選擇0,重啟設備注：刪除之后交換機就恢復了出廠配置。交換機配置(五)三層交換配置1，三層交換數據包轉發流程圖：三層交換技術數據包轉發流程圖一制作A已知B的IP地址，向B發數據包得到MACA已知B的IP地址，向B發數據包得到MAC地址三層交換模塊得到一個MAC保存并轉發給A注:當第二次或第N次A在轉發給不在同一網段的B,這時A已經知道了B的MAC就直接進行轉發,無須經過三層交換模塊,這樣不同網段之間的三層數據包的保存MAC并用此等發塑整一個網段P大大提高項岬贏MAC封包轉發給B度。請大家批評指正mHenre—-20。藻宗侮夢想三層交換模塊向目的地發送一個ARP廣播一個ARP請求三層交換機配置實例:服務器1雙網卡，內網IP:,其它計算機通過其代理上網PORT1屬于VLAN1PORT2屬于VLAN2PORT3屬于VLAN3VLAN1的機器可以正常上網配置VLAN2的計算機的網關為：54配置VLAN3的計算機的網關為：54即可實現VLAN間互聯如果VLAN2和VLAN3的計算機要通過服務器1上網則需在三層交換機上配置默認路由系統視圖下：iproute-static然后再在服務器1上配置回程路由進入命令提示符routeadd54routeadd54這個時候vlan2和vlan3中的計算機就可以通過服務器1訪問internet了~~3，三層交換機VLAN之間的通信VLAN的劃分應與IP規劃結合起來，使得一個VLAN接口IP就是對應的子網段就是某個部門的子網段，VLAN接口IP就是一個子網關。VLAN應以部門劃分，相同部門的主機IP以VLAN接口IP為依據劃歸在一個子網范圍，同屬于一個VLAN。這樣不僅在安全上有益，而且更方便網絡管理員的管理和監控。注意：各VLAN中的客戶機的網關分別對應各VLAN的接口IP。在這企業網中計劃規劃四個VLAN子網對應著四個重要部門，筆者認為這也是小企業最普遍的部門結構，分別是：VLAN10——綜合行政辦公室；VLAN20——銷售部；VLAN30——財務部；VLAN40——數據中心（網絡中心）。劃分VLAN以后，要為每一個VLAN配一個“虛擬接口IP地址”。VLAN10——VLAN20——VLAN30——VLAN40——拓樸圖如下：VLAN及路由配置DES-3326SR三層交換機的VLAN的配置過程：（1）創建VLANDES-3326SR#Configvlandefaultdelete1-24口刪除默認VLAN（default）包含的端口1-24”DES-3326SR#Createvlanvlan10tag10口創建VLAN名為vlan10，并標記VID為10DES-3326SR#Createvlanvlan20tag20□創建VLAN名為vlan20，并標記VID為20DES-3326SR#Createvlanvlan30tag30□創建VLAN名為vlan10，并標記VID為30DES-3326SR#Createvlanvlan40tag40□創建VLAN名為vlan10，并標記VID為40（2）添加端口到各VLANDES-3326SR#Configvlanvlan10adduntag1-6口把端口1-6添加到VLAN10DES-3326SR#Configvlanvlan20adduntag7-12口把端口1-6添加到VLAN20DES-3326SR#Configvlanvlan30adduntag13-18口把端口1-6添加到VLAN30DES-3326SR#Configvlanvlan40adduntag19-24口把端口1-6添加到VLAN40（3）創建VLAN接口IPDES-3326SR#Createipifif10/24VLAN10stateenabled□創建慮擬的接口if10給名為VLAN10的VLAN子網，并且指定該接口的IP為/24。創建后enabled激活該接口。同樣方法設置其它的接口IP：DES-3326SR#Createipifif20/24VLAN20stateenabledDES-3326SR#Createipifif30/24VLAN30stateenabledDES-3326SR#Createipifif40/24VLAN40stateenabled（4）路由當配置三層交換機的三層功能時，如果只是單臺三層交換機，只需要配置各VLAN的虛擬接口就行，不再配路由選擇協議。因為一臺三層交換機上的虛擬接口會在交換機里以直接路由的身份出現，因此不需要靜態路由或動態路由協議的配置。DES-3226S二層交換機的VLAN的配置過程：（1）創建VLANDES-3226S#Configvlandefaultdelete1-24口刪除默認VLAN（default）包含的端口1-24”DES-3226S#Createvlanvlan10tag10口創建VLAN名為vlan10，并標記VID為10（2）添加端口到各VLANDES-3226S#Configvlanvlan10adduntag1-24口把端口1-24添加到VLAN10同理，配置其它DES-3226S二層交換機。完成以后就可以將各個所屬VLAN的二層交換機與DES-3326SR三層交換機的相應VLAN的端口連接即可。交換機配置（六）端口鏡像配置【3026等交換機鏡像】S2008/S2016/S2026/S2403H/S3026等交換機支持的都是基于端口的鏡像，有兩種方法：方法一配置鏡像（觀測）端口[SwitchA]monitor-porte0/8配置被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二可以一次性定義鏡像和被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8【8016交換機端口鏡像配置】假設8016交換機鏡像端口為E1/0/15，被鏡像端口為E1/0/0，設置端口1/0/15為端口鏡像的觀測端口。[SwitchA]portmonitorethernet1/0/15設置端口1/0/0為被鏡像端口，對其輸入輸出數據都進行鏡像。[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15也可以通過兩個不同的端口，對輸入和輸出的數據分別鏡像設置E1/0/15和E2/0/0為鏡像（觀測）端口[SwitchA]portmonitorethernet1/0/15設置端口1/0/0為被鏡像端口，分別使用E1/0/15和E2/0/0對輸入和輸出數據進行鏡像。[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0『基于流鏡像的數據流程』基于流鏡像的交換機針對某些流進行鏡像，每個連接都有兩個方向的數據流，對于交換機來說這兩個數據流是要分開鏡像的。【3500/3026E/3026F/3050]〖基于三層流的鏡像〗定義一條擴展訪問控制列表[SwitchA]aclnum101定義一條規則報文源地址為/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany定義一條規則報文源地址為所有源地址目的地址為/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination0將符合上述ACL規則的報文鏡像到E0/8端口[SwitchA]mirrored-toip-group101interfacee0/8〖基于二層流的鏡像〗定義一個ACL[SwitchA]aclnum200定義一個規則從E0/1發送至其它所有端口的數據包[SwitchA]rule0permitingressinterfaceEthernet0/1（egressinterfaceany）定義一個規則從其它所有端口到E0/1端口的數據包[SwitchA]rule1permit（ingressinterfaceany）egressinterfaceEthernet0/1將符合上述ACL的數據包鏡像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516】支持對入端口流量進行鏡像配置端口Ethernet3/0/1為監測端口，對Ethernet3/0/2端口的入流量鏡像。[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1【6506/6503/6506R】目前該三款產品只支持對入端口流量進行鏡像，雖然有outbount參數，但是無法配置。鏡像組名為1，監測端口為Ethernet4/0/2，端口Ethernet4/0/1的入流量被鏡像。[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/2【補充說明】鏡像一般都可以實現高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口，反之則無法實現8016支持跨單板端口鏡像華為各種型號交換機端口鏡像配置方法總結有不少朋友在問華為交換機鏡像方面的問題。通過本人現有的資料和文檔，現把各種型號的交換機鏡像方法總結一下。以便各位朋友能夠方便查閱！在學配置之前，對于端口鏡像的基本概念還是要一定的了解！一、端口鏡像概念：PortMirror（端口鏡像）是用于進行網絡性能監測?？梢赃@樣理解：在端口A和端口B之間建立鏡像關系，這樣，通過端口A傳輸的數據將同時復制到端口B，以便于在端口B上連接的分析儀或者分析軟件進行性能分析或故障判斷。二、端口鏡像配置『環境配置參數』PC1接在交換機E0/1端口，IP地址/24PC2接在交換機E0/2端口，IP地址/24E0/24為交換機上行端口Server接在交換機E0/8端口，該端口作為鏡像端口『組網需求』通過交換機端口鏡像的功能使用server對兩臺pc的業務報文進行監控。按照鏡像的不同方式進行配置：1）基于端口的鏡像2）基于流的鏡像2數據配置步驟『端口鏡像的數據流程』基于端口的鏡像是把被鏡像端口的進出數據報文完全拷貝一份到鏡像端口，這樣來進行流量觀測或者故障定位?！?026等交換機鏡像】S2008/S2016/S2026/S2403H/S3026等交換機支持的都是基于端口的鏡像，有兩種方法：方法一配置鏡像（觀測）端口[SwitchA]monitor-porte0/8配置被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二可以一次性定義鏡像和被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8【8016交換機端口鏡像配置】假設8016交換機鏡像端口為E1/0/15，被鏡像端口為E1/0/0，設置端口1/0/15為端口鏡像的觀測端口。[SwitchA]portmonitorethernet1/0/15設置端口1/0/0為被鏡像端口，對其輸入輸出數據都進行鏡像。[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15也可以通過兩個不同的端口，對輸入和輸出的數據分別鏡像設置E1/0/15和E2/0/0為鏡像（觀測）端口[SwitchA]portmonitorethernet1/0/15設置端口1/0/0為被鏡像端口，分別使用E1/0/15和E2/0/0對輸入和輸出數據進行鏡像。[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0『基于流鏡像的數據流程』基于流鏡像的交換機針對某些流進行鏡像，每個連接都有兩個方向的數據流，對于交換機來說這兩個數據流是要分開鏡像的。【3500/3026E/3026F/3050】〖基于三層流的鏡像〗定義一條擴展訪問控制列表[SwitchA]aclnum100定義一條規則報文源地址為/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany定義一條規則報文源地址為所有源地址目的地址為/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination0將符合上述ACL規則的報文鏡像到E0/8端口[SwitchA]mirrored-toip-group100interfacee0/8〖基于二層流的鏡像〗定義一個ACL[SwitchA]aclnum200定義一個規則從E0/1發送至其它所有端口的數據包[SwitchA]rule0permitingressinterfaceEthernet0/1egressinterfaceEthernet0/2定義一個規則從其它所有端口到E0/1端口的數據包[SwitchA]rule1permitingressinterfaceEthernet0/2egressinterfaceEthernet0/1將符合上述ACL的數據包鏡像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516/6506/6503/6506R】目前該三款產品支持對入端口流量進行鏡像定義鏡像端口[SwitchA]monitor-portEthernet3/0/2定義被鏡像端口[SwitchA]mirroring-portEthernet3/0/1inbound【補充說明】鏡像一般都可以實現高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口，反之則無法實現8016支持跨單板端口鏡像端口鏡像配置『環境配置參數』交換機配置（七）DHCP配置1，交換機作DHCPServer『配置環境參數』PC1、PC2的網卡均采用動態獲取IP地址的方式PC1連接到交換機的以太網端口0/1，屬于VLAN10；PC2連接到交換機的以太網端口0/2，屬于VLAN20三層交換機SwitchA的VLAN接口10地址為/24，VLAN接口20地址為/24『組網需求』1.PC1可以動態獲取/24網段地址，并且網關地址為；PC2可以動態獲取/24網段地址，并且網關地址為『DHCPServer配置流程流程』可以完成對直接連接到三層交換機的PC機分配IP地址，也可以對通過DHCP中繼設備連接到三層交換機的PC機分配IP地址。分配地址的方式可以采用接口方式，或者全局地址池方式?！維witchA采用接口方式分配地址相關配置】創建（進入）VLAN10[SwitchA]vlan10將E0/1加入到VLAN10[SwitchA-vlan10]portEthernet0/1創建（進入）VLAN接口10[SwitchA]interfaceVlan-interface10為VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ipaddress在VLAN接口10上選擇接口方式分配IP地址[SwitchA-Vlan-interface10]dhcpselectinterface禁止將PC機的網關地址分配給用戶[SwitchA]dhcpserverforbidden-ip【SwitchA采用全局地址池方式分配地址相關配置】創建（進入）VLAN10[SwitchA]vlan10將E0/1加入到VLAN10[SwitchA-vlan10]portEthernet0/1創建（進入）VLAN接口10[SwitchA]interfaceVlan-interface10為VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ipaddress在VLAN接口10上選擇全局地址池方式分配IP地址[SwitchA-Vlan-interface10]dhcpselectglobal創建全局地址池，并命名為”vlan10”[SwitchA]dhcpserverip-poolvlan10配置vlan10地址池給用戶分配的地址范圍以及用戶的網關地址[SwitchA-dhcp-vlan10]networkmask[SwitchA-dhcp-vlan10]gateway-list禁止將PC機的網關地址分配給用戶[SwitchA]dhcpserverforbidden-ip【補充說明】以上配置以VLAN10的為例，VLAN20的配置參照VLAN10的配置即可。在采用全局地址池方式時，需新建一個與”vlan10”不同名的全局地址池。經過以上配置，可以完成為PC1分配的IP地址為/24，同時PC1的網關地址為；為PC2分配的IP地址為/24，同時PC2的網關地址為。VLAN接口默認情況下以全局地址池方式進行地址分配，因此當VLAN接口配置了以全局地址池方式進行地址分配后，查看交換機當前配置時，在相應的VLAN接口下無法看到有關DHCP的配置。利用全局地址池方式，可以完成為用戶分配與三層交換機本身VLAN接口地址不同網段的IP地址。2，DHCPRelay配置『配置環境參數』DHCPServer的IP地址為0/24DHCPServer連接在交換機的G1/1端口，屬于vlan100，網關即交換機vlan接口100的地址/24E0/1-E0/10屬于vlan10，網段地址/24E0/11-E0/20屬于vlan20，網段地址/24『組網需求』在SwitchA上配置DHCPRelay使下面用戶動態獲取指定的相應網段的IP地址PC1、PC2均可以ping通自己的網關，同時PC1、PC2之間可以互訪『交換機DHCPRelay配置流程』DHCPRelay的作用則是為了適應客戶端和服務器不在同一網段的情況，通過Relay，不同子網的用戶可以到同一個DHCPServer申請IP地址，這樣便于地址池的管理和維護?！維witchA相關配置】全局使能DHCP功能（缺省情況下，DHCP功能處于使能狀態）[SwitchA]dhcpenable創建（進入）VLAN100[SwitchA]vlan100將G1/1加入到VLAN100[SwitchA-vlan100]portGigabitEthernet1/1創建（進入）VLAN接口100[SwitchA]interfaceVlan-interface100為VLAN接口100配置IP地址[SwitchA-Vlan-interface100]ipaddress創建（進入）VLAN10[SwitchA]vlan10將E0/1-E0/10加入到VLAN10[SwitchA-vlan10]portEthernet0/1toEthernet0/10創建（進入）VLAN接口10[SwitchA]interfaceVlan-interface10為VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ipaddress使能VLAN接口10的DHCP中繼功能[SwitchA-Vlan-interface10]dhcpselectrelay為VLAN接口10配置DHCP服務器的地址[SwitchA-Vlan-interface10]iprelayaddress0創建（進入）VLAN20[SwitchA-vlan10]vlan20將E0/11-E0/20加入到VLAN20[SwitchA-vlan20]portEthernet0/11toEthernet0/20創建（進入）VLAN接口20[SwitchA]interfaceVlan-interface20為VLAN接口20配置IP地址[SwitchA-Vlan-interface20]ipaddress使能VLAN接口20的DHCP中繼功能[SwitchA-Vlan-interface20]dhcpselectrelay為VLAN接口20配置DHCP服務器的地址[SwitchA-Vlan-interface20]iprelayaddress0【補充說明】也可以在全局配置模式下，使能某個或某些VLAN接口上的DHCP中繼功能，例如：[SwitchA]dhcpselectrelayinterfaceVlan-interface103，DHCPSnooping『配置環境參數』DHCPServer連接在交換機SwitchA的G1/1端口，屬于vlan10，IP地址為53/24端口E0/1和E0/2同屬于vlan10『組網需求』PC1、PC2均可以從指定DHCPServer獲取到IP地址防止其他非法的DHCPServer影響網絡中的主機『交換機DHCP-Snooping配置流程』當交換機開啟了DHCP-Snooping后，會對DHCP報文進行偵聽，并可以從接收到的DHCPRequest或DHCPAck報文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉發DHCPOffer報文，而不信任端口會將接收到的DHCPOffer報文丟棄。這樣，可以完成交換機對假冒DHCPServer的屏蔽作用，確保客戶端從合法的DHCPServer獲取IP地址?！維witchA相關配置】創建（進入）VLAN10[SwitchA]vlan10將端口E0/1、E0/2和G1/1加入到VLAN10[SwitchA-vlan10]portEthernet0/1Ethernet0/2GigabitEthernet1/1全局使能dhcp-snooping功能[SwitchA]dhcp-snooping將端口G1/1配置為trust端口，[SwitchA-GigabitEthernet1/1]dhcp-snoopingtrust【補充說明】由于DHCP服務器提供給用戶包含了服務器分配給用戶的IP地址的報文一一”dhcpoffer”報文，由G1/1端口進入SwitchA并進行轉發，因此需要將端口G1/1配置為”trust”端口。如果SwitchA上行接口配置為Trunk端口，并且連接到DHCP中繼設備，也需要將上行端口配置為"trust”端口。交換機配置（八）配置文件管理（1）文件常用操作1，命令displaycurrent-configuration:查看以太網交換機的當前配置2，命令displaysaved-configuration：查看以太網交換機的啟動配置3，命令resetsaved-configuration:擦除FlashMemory中的配置文件，以太網交換機下次上電時，系統將采用缺省的配置參數進行初始化。（2）FTP文件上傳與下載組網需求交換機作為FTPServer，遠端的PC作為FTPClient。在FTPServer上作了如下配置：配置了一個FTP用戶名為switch，密碼為hello,對該用戶授權了交換機上Flash根目錄的讀寫權限。交換機上的一個VLAN接口的IP地址為，PC的IP地址為,交換機和PC之間路由可達。交換機的應用程序switch.app保存在PC上。PC通過FTP向遠端的交換機上傳switch.app，同時將交換機的配置文件vrpcfg.txt下載到PC實現配置文件的備份。組網圖（略）配置步驟1）交換機上的配置#用戶登錄到交換機上。（用戶可以在本地通過Console口登錄到交換機上，也可以通過telnet遠程登錄到交換機上。各種登錄方式請參見入門模塊的描述。）#在交換機上開啟FTP服務，設置好用戶名、密碼和路徑：[Quidway]ftpserverenable[Quidway]local-userswitch[Quidway-luser-switch]service-typeftpftp-directoryflash:[Quidway-luser-switch]passwordsimplehello2）在PC上運行FTPClient程序，同交換機建立FTP連接，同時通過上載操作把交換機的應用程序switch.app上載到交換機的Flash根目錄下，同時從交換機上下載配置文件vrpcfg.txt（FTPClient應用程序由用戶自己購買、安裝，Quidway系列交換機不附帶此軟件。注意：如果交換機的Flashmemory空間不夠大，請刪除Flash中原有的應用程序然后再上載新的應用程序到交換機Flash中。3）在上載完畢后，用戶在交換機上進行升級操作。#用戶可以通過命令bootboot-loader來指定下載的程序為下次啟動時的應用程序，然后重啟交換機，實現交換機應用程序的升級。bootboot-loaderswitch.appreboot（3）TFTP文件上傳與下載1.組網需求交換機作為TFTPClient，PC作為TFTPServer，在TFTPServer上配置了TFTP的工作路徑。交換機上的一個VLAN接口的IP地址為，交換機和PC相連的端口屬于該VLAN，PC的IP地址為。交換機的應用程序switch.app保存在PC上。交換機通過TFTP從TFTPServer上下載switch.app，同時將交換機的配置文件vrpcfg.txt上傳到TFTPServer的工作目錄實現配置文件的備份。組網圖（略）配置步驟1）在PC上啟動了TFTPServer，配置TFTPServer的工作目錄。2）交換機上的配置#用戶登錄到交換機上。（用戶可以在本地通過Console口登錄到交換機上，也可以通過telnet遠程登錄到交換機上。各種登錄方式請參見入門模塊的描述。）注意：如果交換機的Flashmemory空間不夠大，請刪除Flash中原有的應用程序然后再下載新的應用程序到交換機的Flash中。#進入系統視圖。system-view[Quidway]#配置VLAN接口的IP地址為,同時保證與PC相連的端口屬于這個VLAN。（本例中以VLAN1為例。）[Quidway]interfacevlan1[Quidway-vlan-interface1]ipaddress[Quidway-vlan-interface1]quit#將交換機的應用程序switch.app從TFTPServer下載到交換機。[Quidway]tftpget///switch.appswitch.app#將交換機的配置文件vrpcfg.txt上傳到TFTPServer（[Quidway]tftpputvrpcfg.txt///vrpcfg.txt#執行quit命令退回到用戶視圖下。[Quidway]quit#用戶可以通過命令bootboot-loader來指定下載的程序為下次啟動時的應用程序，然后重啟交換機，實現交換機應用程序的升級。bootboot-loaderswitch.appreboot交換機配置（九）遠程管理配置1，WEB方式『WEB方式遠程管理交換機配置流程』首先必備條件要保證PC可以與SwitchB通信，比如PC可以ping通SwitchB。如果想通過WEB方式管理交換機，必須首先將一個用于支持WEB管理的文件載入交換機的flash中，該文件需要與交換機當前使用的軟件版本相配套。WEB管理文件的擴展名為”tar”或者”zip”，可以從網站上下載相應的交換機軟件版本時得到。需要在交換機上添加WEB管理使用的用戶名及密碼，該用戶的類型為telnet類型，而且權限為最高級別3。注意，在將WEB管理文件載入交換機flash時，不要將文件進行解壓縮，只需將完整的文件載入交換機即可（向交換機flash載入WEB管理文件的方法，請參考本配置實例中交換機的系統管理配置章節）。【SwitchB相關配置】1.查看交換機flash里面的文件（保證WEB管理文件已經在交換機flash中）dir/allDirectoryofflash:/-rwxrwx1noonenogroup442797Apr02200013:09:50wnm-xxx.zip添加WEB管理的用戶，用戶類型為”telnet”，用戶名為”huawei”，密碼為”wnm”[SwitchB]local-userhuawei[SwitchB-luser-huawei]service-typetelnetlevel3[SwitchB-luser-huawei]passwordsimplewnm配置交換機管理地址[SwitchB]interfacevlan100[SwitchB-Vlan-interface100]ipaddr對HTTP訪問用戶的控制（Option）[SwitchB]iphttpaclacl_num/acl_name相關學習帖：/viewthread.php?tid=401882&fpage=1&highlight=web2，TELNET方式[TELNET密碼驗證配置】只需輸入password即可登陸交換機。進入用戶界面視圖[SwitchA]user-interfacevty04設置認證方式為密碼驗證方式[SwitchA-ui-vty0-4]authentication-modepassword設置登陸驗證的password為明文密碼”huawei”[SwitchA-ui-vty0-4]setauthenticationpasswordsimplehuawei配置登陸用戶的級別為最高級別3（缺省為級別1）[SwitchA-ui-vty0-4]userprivilegelevel3或者在交換機上增加superpassword（缺省情況下，從VTY用戶界面登錄后的級別為1級，無法對設備進行配置操作。必須要將用戶的權限設置為最高級別3,才可以進入系統視圖并進行配置操作。低級別用戶登陸交換機后，需輸入superpassword改變自己的級別）例如，配置級別3用戶的superpassword為明文密碼”super3”[SwitchA]superpasswordlevel3simplesuper3[TELNET本地用戶名和密碼驗證配置】需要輸入username和password才可以登陸交換機。進入用戶界面視圖[SwitchA]user-interfacevty04配置本地或遠端用戶名和口令認證[SwitchA-ui-vty0-4]authentication-modescheme配置本地TELNET用戶，用戶名為”huawei”，密碼為”huawei”，權限為最高級別3（缺省為級別1）[SwitchA]local-userhuawei[SwitchA-user-huawei]passwordsimplehuawei[SwitchA-user-huawei]service-typetelnetlevel3在交換機上增加superpassword[SwitchA]superpasswordlevel3simplesuper3[TELNETRADIUS驗證配置】以使用華為3Com公司開發的CAMS作為RADIUS服務器為例進入用戶界面視圖[SwitchA]user-interfacevty04配置遠端用戶名和口令認證[SwitchA-ui-vty0-4]authentication-modescheme配置RADIUS認證方案，名為”cams”[SwitchA]radiusschemecams配置RADIUS認證服務器地址1[SwitchA-radius-cams]primaryauthentication11812配置交換機與認證服務器的驗證口令為”huawei”[SwitchA-radius-cams]keyauthenticationhuawei送往RADIUS的報文不帶域名[SwitchA-radius-cams]user-name-formatwithout-domain創建（進入）一個域，名為”huawei”[SwitchA]domainhuawei在域”huawei”中引用名為”cams”的認證方案[SwitchA-isp-huawei]radius-schemecams將域”huawei”配置為缺省域[SwitchA]domaindefaultenablehuawei[TELNET訪問控制配置】配置訪問控制規則只允許/24網段登錄[SwitchA]aclnumber2000[SwitchA-acl-basic-2000]ruledenysourceany[SwitchA-acl-basic-2000]rulepermitsource55配置只允許符合ACL2000的IP地址登錄交換機[SwitchA-ui-vty0-4]acl2000inbound相關學習帖：/viewthread.php?tid=349090&fpage=1&highlight=telnetSSH方