某校在校園網絡改造工程配備了S5300交換機做為樓宇交換機,用來與學校核心交換機互聯,為整幢大樓提供網絡信號。根據校方要求,對交換機進行了相關配置。為後期運維需要,按分為基礎信息、業務配置、管理配置、故障排除四部分記錄如下,請重點關注業務處理這一部分。配置中有一部分屬於知識拓展,用於後續維護和業務擴展。
一、交換機基礎信息
本部分用於學校管理員登記信息,以備後期運維查看使用。
1、安裝環境:安裝於每幢的設備間,有機櫃。使用時要注意通風散熱,交換機散熱孔禁止覆蓋,同時注意防雷防潮。
2、配件:主機一臺、千兆光模塊一個、管理線一條、電源線一條、簡要說明書一本、接地線一條。
3、型號:LS-S5324TP-SI-AC(估計是走運營商渠道購置的)
4、序列號:_____________ Mac地址: _________________
5、配備日期:______________年_____月______日
6、配置:24個10/100/1000Base埠、4個100/1000Base-X Combo埠
7、S5300前面板樣圖
8、指示燈含義:
二、交換機業務配置
1、恢復默認設置 (<Quidway>模式下執行以下命令)
Reset saved-configuration 提示確認重配置時,按Y鍵
Reboot 提示是否保存當前設置信息時按N鍵,提示重啟按Y
◆ 使用display current-configuration命令查看當前配置文件。
◆ 使用display saved-configuration [ last ]命令配置交換機下次啟動時加載的配置文件的內容。
◆ 使用display startup命令查看設備啟動時使用的文件信息。
◆ 使用dir [ /all ] [ filename ]命令查看存儲設備中的文件信息。
附:
#配置啟動時加載的系統文件
在用戶視圖下執行命令startup system-software system-file [ slave-board ],配置交換機下次啟動時加載的S5300系統軟體。系統軟體的文件名必須以「.cc」作為擴展名,而且必須存放在Flash的根目錄下。
#配置啟動時加載的配置文件
執行startup saved-configuration configuration-file命令,配置交換機下次啟動時加載的配置文件。
配置文件的文件名必須以.cfg或.zip作為擴展名,而且必須存放在存儲設備的根目錄下。
交換機上電時,默認從Flash存儲器中讀取配置文件進行初始化,因此該配置文件中的配置稱為初始配置。如果Flash中尚沒有配置文件,則交換機用預設參數初始化。
與初始配置相對應,交換機運行過程中正在生效的配置稱為當前配置。
2、創建VlanXXXX,並將21號埠劃歸此Vlan中(網通光纖接入至此Vlan所在埠),實現與學校網絡中心互聯。學校管理員應對本樓層業務進行規劃,將相關的計算機歸於同一個Vlan中。
System-view
Vlan XXXX
Description toZhongxin
Quit
Interface vlan XXXX
Ip address 172.30.30.X 255.255.255.248 (學校網絡中心端的路由IP位址)
Quit
Interface port g 0/0/21 光纖模塊接口
Port link-type trunk 模式有四:access/dot1q-tunnel/hybrid/trunk
Port trunk allow-pass vlan XXXX 允許VlanXXXX通過
Quit
3、配置路由
System-view
Ip route 0.0.0.0 0.0.0.0 172.31.23.X (網絡中心端路由IP位址)
4、建立本校業務子網Vlan
System-view
Valn 2 (vlan編號自行規劃)
Description jiaoshi_yuwenzu
Quit
Interface vlan 2
Ip address IP位址 子網掩碼 此IP作為該網段上網的網關,通常為.1或.254
Quit\
(註:需要將此網段及網關在學校網絡中心的核心交換機上做反向路由,否則該網段不能上網)
Interface range port g0/0/2 to g0/0/6 進多埠 或 interface port g0/0/2 進單埠
Port link-type access
Port default vlan 2
Quit
5、保存結果
Save 在常模式下運行
首次保存需要輸入文件名.cfg,以後直接按Y確認
6、查看結果
Display current
Display this
7、綁定IP、Mac,防止用戶私設IP
System-view
Arp sattic IP位址 Mac地址 vid Vlan號 interface 埠號
註:該命令可以在全局、埠、Vlan下執行
分別對應著不同的應用環境。
8、配置DHCP功能
(1)、開啟DHCP服務
system-view
dhcp enable
(2)、創建地址池並配置相關屬性
system-view
ip pool 1
network 192.168.12.0 mask 255.255.255.0
dns-list 202.102.152.3
gateway-list 192.168.12.1
lease day 7
static-bind ip-address IP位址 mac-address mac地址
quit
註:刪除重配靜態IP的方法
<>模式下執行 reset ip pool name 1 all
進入 IP Pool 1,用Undo static ip IP位址 刪除指定IP
執行static ip IP位址 mac Mac地址 重新綁定
(3)、配置Vlan中的計算機從全局地址池中獲取IP位址
interface vlan 2
dhcp select global
(4)、查看設置結果
display ip pool
(5)、驗證是否成功
需要上網的計算機設置自動獲取IP位址後,在Cmd命令行輸入ipconfig /all查看本機所獲取的IP位址。
(6)、設置IP、Mac綁定
9、DHCP Snooping
作用:可以防止1)DHCP Server仿冒者攻擊;2)中間與IP/MacSpoofing攻擊;3)改變CHADDR值的DoS攻擊;4)仿冒DHCP續租報文攻擊。
配置:
1)配置埠,略
2)啟用DHCP Snooping功能
Dhcp enable 若已開啟此功能,是此處需忽略
Dhcp snooping enable 全局開啟dhcp snooping功能
Vlan 2
Dhcp snooping enable 在指定的vlan中開啟dhcp snooping功能
quit
3)外網網口設置為Trusted模式
Interface g0/0/21
Dhcp snooping trusted
quit
4)配置某Vlan用戶進行報文檢查
Interface g0/0/1
Dhcp snooping check arp enable
Dhcp snooping check ip enable
Dhcp snooping check dhcp-chaddr enable
Dhcp snooping check dhcp-request enable
Quit
5)配置靜態綁定表項
Vlan 2
Dhcp snooping bind-table static ip-address 教師機IP位址 mac-address 教師機Mac地址 interface g0/0/1
Quit
6)配置強制插入Option82選項
Vlan 2
Dhcp option82 rebuild enalbe interface g0/0/1
Quit
Vlan XXXX
Dhcp option82 rebuild enable interface g0/0/21
Quit
7)啟用並配置告警發送
Interface g0/0/1
Dhcp snooping alarm arp enable 啟用相應的告警功能
Dhcp snooping alarm arp threshold 10 配置告警閾值
Dhcp snooping alarm ip enable
Dhcp snooping alarm ip threshold 10
Dhcp snooping alarm dhcp-chaddr enable
Dhcp snooping alarm dhcp-chaddr threshold 10
Dhcp snooping alarm dhcp-request enable
Dhcp snooping alarm dhcp-request threshold 10
Dhcp snooping alarm dhcp-reply enalbe
Dhcp snooping alarm dhcp-reply threshold 10
quit
8)檢查配置結果
Display dhcp snooping bind-table
Display dhcp option82
查看是否啟dhcp snooping功能
10、ACL配置示例
示例A:要求每天11點至13點允許上網,其他時間段禁止上網
1、定義時間段
Time-range outnet1 00:01 to 10:59 daily
Time-range outnet2 13:01 to 23:59 daily
Time-range onnet 11:00 to 13:00 daily
2、定義策略
Acl 5001
Rule 1 deny time-range outnet1
Rele 2 deny time-range outnet2
Rule 1 permit time-range onnet
3、進入埠,應用策略
Int g0/0/21
Acl 5001 inbound
示例B:限制或允許某個IP段上網
1、定義策略
Acl 2001
rule 1 permit source IP位址 反向掩碼
rule 2 deny source any
2、應用策略
Int g0/0/21
Acl 2001 inboud
三、交換機管理配置
本部分配置實現對交換機的管理,推薦使用SSH模式遠程登錄和管理交換機。在配置命令中,寫漢字的地方,請換成合適的IP位址或名稱。
1、網絡連線:在21#口接好光模塊,網通送達的一組光纖(兩芯)直接接到該模塊上,用以實現與信息中心裸光纖直連。該口所在Vlan參照附表「路由、Vlan規劃表」中的規劃來設置。
2、交換機管理連線:兩種方式,一種是管理線帶水晶頭一端接到交換機Console埠,帶9針COM口母頭一端接至電腦Com口上;另一種是用網線一端連接交換機制ETH口,另一端連接管理電腦的網卡。
3、連接到console口時,電腦端使用SecureCRT軟體來管理交換機。新一個會話,選擇Serial,連接Com1口,波特率為9600、數據位:8、奇偶校驗:無、停止位:1、流控制:無。
連接到ETH口時,需先通過console管理方式進行設置後方可使用。
Eth埠也稱Meth埠,是個百兆的管理網口,一般用於通過PC機使用Telnet命令登錄、管理交換機,或者讓PC機與交換機建立FTP連接給設備進行軟體升級。該口只能用於管理,不能用來跑業務,因為它不支持數據包的跨板轉發。
4、交換機上要配置Telnet模式或SSH模式方便以後管理。若有必要,仍需要通過Console口使用管理線連接後來管理。建議配置SSH模式管理。
在設置中會涉及到VTY。VTY類型的用戶界面可以達到0~20個(其中0~15用戶提供給普通Telnet /SSH用戶的用戶接口,16~20是預留給網管用戶的接口)。在系統視圖下可以設置最大用戶界面個數,其預設值為5。
5、配置交換機名稱
System-view
Sysname 學校簡稱拼音全拼如: sysname yizhong
學校簡稱按上級規劃給定的名稱來配置
6、配置管理IP
System-view
#在Meth埠配置管理用的IP位址A
Interface meth 0/0/1 進入管理網口視圖
Descriptionguanli
IP address 管理用IP位址A子網掩碼
#配置連接帳號
System-view
aaa
Local-user 用戶名 password cipher 密碼
Local-user 用戶名 level 15
Local-user 用戶名 ftp-directory flash
Local-user 用戶名 service-type telnet terminal web http
#或者不使用Meth埠
Vlan 100
Description guanli
Quit
Interface vlan 100
IP address 管理用IP位址A子網掩碼
#配置埠
Interface g0/0/1
Port link-type hybrid
Port hybird pvid vlan 100
Port hybrid untagged vlan 100
quit
#配置允許登錄的IP位址B的ACL規則,用於從PC端管理交換機
Acl 2000 在視圖模式下運行,創建一個ACL
Rule 1 permit source IP位址B反向掩碼(255-子網掩碼)
Rule 2 deny source any
Quit
註:允許訪問的IP位址為掩碼為:
#應用ACL規則
User-interface vty 0 4 (進入0--4控制臺)
Authentication-mode aaa
Acl 2000inbound
Display this 查看結果,會看到Acl 2000 inbound的那條說明成功
Quit
檢查:
Display current
7、配置Telne管理模式
System-view
telnet server enable 開啟Telnet服務
#配置登錄驗證模式
Aaa
Local-user 用戶名password cipher 密碼配置用戶名與密碼
Local-user 用戶名service-type telnet 設置登錄模式
Local-user 用戶名privilege level 3設置權限(0---15)
Quit
User-interface vty 0 4(進入0--4控制臺)
Authentication-mode aaa設置授權模式為aaa,即驗證用戶名、密碼
Idle-timeout 1010分鐘無操作後退出
Quit
#查看配置情況
Display telnet server status 查看Telnet伺服器的狀態和配置信息
Display tcp status 查看當前建立的所有的TCP連接情況
Display users [all] 查看[當前/所有]用戶界面連接情況
附:命令級別(系統命令採用分級保護方式,命令從低到高劃分為16個級別,編號0~15)
8、配置SSH管理模式
#在交換機端生成密鑰對
System-view
Rsa local-key-pair create
#配置VTY用戶界面
User-interface vty 0 4
Authentiaction-mode aaa
Protocol inbound ssh
Quit
#配置用戶名與密碼
Aaa
Local-user 用戶名(如adminssh)password cipher 密碼
Local-user 用戶名privilege level 3
Local-user 用戶名service-type ssh
Quit
#啟用STelnet服務
Stelnet server enable
Ssh authentication-type default password
#檢驗配置結果
交換機端使用
Display ssh server status
Display ssh server session
Display ssh user-information
PC端接好線,使用SecureCRT登錄
9、配置WEB管理模式
註:Web模式配置起來比較麻煩,但使用起來還是比較直觀的,特別是以圖示的方式顯示埠狀態,用起來還是比較方便的。
#準備工作:獲取Web網頁文件,請先登錄官網,在「軟體中心 > 版本軟體 > 數通 > 乙太網交換機 >S23&33&53&CX200D系列」路徑下,根據版本名稱,下載對應的版本軟體。版本軟體中包含Web網頁文件,名稱為「產品+軟體版本號.WEB網管文件版本號.web.zip」。其中產品為:S5324TP-SI,軟體版本為:V5.110(Vlan00R001C00SPC300),Web網文件版本號為:____________。
查看交換機軟體版本使用命令:Display version
#上傳Web網頁壓縮包文件到交換機
在上傳Web網頁文件前,請將文件拷貝到登錄設備的客戶端上。
#加載Web網頁文件
System-view
http server load 文件名
#啟動Web服務
http server enable
#創建Web網管帳號,配置該帳號的訪問類型為HTTP
Aaa
Local-user 用戶名(如adminweb)password cipher 密碼
Local-user 用戶名 service-type http
Quit
#登錄驗證
客戶端用瀏覽器訪問網管IP,出出登錄界面,輸入帳號登錄後可以進行管理
10、開啟SNMP協議
註:此功能配置完成後, 上級部門可以使用軟體來統一管理。當然,校方網絡管理員也可以使用類似軟體來統一管理學校的網絡設備。學校所能使用的名稱由上級部門統一規劃,在配置中需要按規定配置。
System-view
snmp-agent
snmp-agent community read cipher SNMP名稱_readacl 2000
snmp-agent community write cipher SNMP名稱_writeacl 2000
snmp-agent sys-info location XXX_學校簡稱全拼
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain 172.30.41.54params securityname snmp_rsjyj
snmp-agent trap source vlan XXXXX
檢查設置情況:
Display current
Display snmp-agent community read
Display snmp-agent community write
Display snmp-agent trap
四、故障排除
1、忘記交換機密碼,如何恢復初始密碼?
(1)用管理線連接交換機後,打開管理軟體登錄交換機,提示輸入密碼時,重啟交換機。
(2)在出現Press Ctrl+B to enter BOOTROM menu... 0時按下Ctrl+B組合鍵,進入管理菜單,可以進行包括修改密碼在內的多項操作。
默認密碼為:Admin_huawei.com,請將下劃線換成@符號(因這個在發文時提示廣告)
(3)注意:萬不得以時方可啟用,使用此項功能時不要修改默認密碼。
2、故障現象:配置好交換機後,且已保存。第二天又查看時,交換機的所有埠的燈全部的滅掉了。登錄交換機後發現原配置埠為100M速率又全部恢復到1000M了。
原因分析:這是這款交換機軟體的一個漏洞
解決辦法:登錄官網下載補丁文件,名為:V001R003SPH011.pat。把補丁使用FTP伺服器給下到了交換機中,激活並運行之。