華三接入層交換機需注意配置方法技巧

1、華三接入層交換機需注意配置方法技巧交換機的主要功能包括物理編址、網(wǎng)絡拓撲結(jié)構(gòu)、錯誤校驗、 幀序列以及流控。交換機還具備了一些新的功能，如對VLAN（虛擬局域網(wǎng)）的支持、對鏈路匯聚的支持，甚至有的還具有防火墻的功能。 本文將詳細介紹華三接入層交換機需配置的幾項細節(jié)，需要的朋友可 以參考下方法步驟1、查看交換機上應用的配置文件h3cdis startupCurre ntstartupsaved-c on figurati onfile:file:flash:/c on fig.cfgNext main startupsaved-c on figurati onflash:/c on fig.cfg

2、Next backup startup saved-c on figurati on file: NULL2、配置主備配置文件startup saved-c on figurati on con fig.cfg ?backup Backup config filemain Main config file3、Telnet用戶認證方式登錄user-i nterface vty 0 4authe nticati on-m ode scheme user privilege level 3Telnet密碼方式登錄 user-i nterface aux 0user-i nterface vty 0

3、4user privilege level 3set authe nticati on password simple abc新建用戶local-user adm inpassword simple abcpassword service-type telnetlevel 34、配置MSTPstp regio n-con figurati onregi on-n ame abcrevisi on-level 1in sta nee 1 vla n 200active regio n-co nfigurati on*避免已經(jīng)（如PC機）5、配置接入層交換機只接電腦，不能接交換機,配置好的生成樹受

4、新添加的交換機影響造成網(wǎng)絡的不穩(wěn)定。stp bpdu-protecti on對于接入層設備，接入端口一般直接與用戶終端或文件服務器相連，此時接入端口被設置為邊緣端口以實現(xiàn)這些端口 的快速遷移。當這些邊緣端口接收到配置消息后，系統(tǒng)會自動將這些端口設置為非邊緣端口，重新計算生成樹，這樣就引起網(wǎng)絡拓撲的震 蕩。正常情況下，邊緣端口應該不會收到生成樹協(xié)議的配置消 息。如果有人偽造配置消息惡意攻擊交換機，就會引起網(wǎng)絡震蕩。BPDU保護功能可以防止這種網(wǎng)絡攻擊。交換機上啟動了BPDU保護功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉， 同時通知網(wǎng)管這些端口被 MSTP關(guān)閉。被關(guān)閉的邊緣端口只能

5、由網(wǎng) 絡管理人員恢復。配置端口為邊緣端口h3ci nteface Ethernet1/0/5h3c-Ether net1/0/5stp edged-port en able對于直接與終端相連的端口，請將該端口設置為邊緣端口， 同時啟動BPDU保護功能。這樣既能夠使該端口快速遷移到轉(zhuǎn)發(fā)狀 態(tài)，也可以保證網(wǎng)絡的安全。正常網(wǎng)絡6、DHCP Snooping 防止非法DHCP服務器分發(fā)地址影響例：開啟交換機DHCP Snooping 功能h3cDHCP Sn oop ing配置合法的DHCP服務器轉(zhuǎn)發(fā)端口h3ci nteface Ethernet1/0/5h3c-Ether net1/0/5dhcp-

6、s nooping trust配置防DHCP服務器仿冒功能例：h3cDHCP Sn oop ing開啟防DHCP服務器仿冒功能h3ci nteface Ethernet1/0/5h3c-Ether net1/0/5dhcp-s noopingserver-guarden able意思是在端口上啟用仿冒功能，萬一有非法DHCP服務器進入即觸發(fā)預設置的策略配置防DHCP服務器仿冒功能的處理策略server-guardh3c-Ether net1/0/5dhcp-s noopingmethod trap | shutdow n 缺省情況下，交換機防 DHCP服務器仿冒功能的處理策略為 trap顯示D

7、HCP服務器仿冒相關(guān)信息display dhcp-s nooping server-guard其實配置snooping和仿冒功能效果都是一樣，防止非法的 DHCP服務器進入網(wǎng)絡，只是h3c交換機不同型號支持的方法不同。匯總有點亂，都是平時配置接入層交換機時經(jīng)常用到的，也解決了不少問題，現(xiàn)在發(fā)上來，一個是自己留個記錄，二是也給大家 參考一下，或者大家看后，覺得還有什么需要補充的配置，盡管說， 共同學習。補充：交換機基本使用方法作為基本核心交換機使用，連接多個有線設備使用：網(wǎng)絡結(jié) 構(gòu)如下圖，基本連接參考上面的【方法/步驟1:基本連接方式 】作為網(wǎng)絡隔離使用：對于一些功能好的交換機，可以通過模 式選

8、擇開關(guān)選擇網(wǎng)絡隔離模式，實現(xiàn)網(wǎng)絡隔離的作用，可以只允許普 通端口和UPlink端口通訊，普通端口之間是相互隔離不可以通訊的除了作為核心交換機（中心交換機）使用，還可以作為擴展交換機（接入交換機）來擴展網(wǎng)絡放在路由器上方，擴展網(wǎng)絡供應商的網(wǎng)絡線路 （用于一條線 路多個IP的網(wǎng)絡），連接之后不同的路由器用不同的IP連接至公網(wǎng)相關(guān)閱讀：交換機硬件故障常見問題電源故障：由于外部供電不穩(wěn)定，或者電源線路老化或者雷擊等原因?qū)?致電源損壞或者風扇停止，從而不能正常工作。由于電源緣故而導致機內(nèi)其他部件損壞的事情也經(jīng)常發(fā)生。如果面板上的POWER指示燈是綠色的，就表示是正常的 如果該指示燈滅了，則說明交換機沒有正常供電。這類問題很容易發(fā)現(xiàn)，也很容易解決，同時也是最容易預防 的。針對這類故障，首先應該做好外部電源的供應工作， 一般通 過引入獨立的電力線來提供獨立的電源， 并添加穩(wěn)壓器來避免瞬間高壓或低壓現(xiàn)象。如果條件允許，可以添加UPS（不間斷電源）來保證交換機的 正常供電，有的UPS提供穩(wěn)壓功能，而有的沒有，選擇時要注意。在機房內(nèi)設置專業(yè)的避雷措施，來避免雷電對