Knowledge by Lau
H3C S5500-EI 典型配置事例
1、文档目的
通过此典型配置的事例,可以为以后的H3C交换机配置作为一个参考
2、说明
2.1、属于个人理解,所以不一定全面正确,只做参考
2.1、叠堆设置在文档最后部分
2.2、环境说明
5台cisco 3750接入层交换机,通过堆叠方式,形成统一管理。现把接入层5台cisco 3750交换机更换成H3C 5500 交换机,增强业务能力。配置均需要与原有配置相同,以及需要满足用户提出的设置要求。
3、配置部分
3.1、基本配置
sysname H3C5500 #设置交换机名字
super password level    3 cipher admin #设置用户转换等级时需要的密码
telnet server enable #开启telnet服务
ip route-static 0.0.0.0 0.0.0.0 Vlan-interface1 10.16.5.9 #配置vlan1默认静态路由
mac-address timer aging 360 #配置mac地址老化时间(360s)
3.2、vty端口设置
user-interface vty 0    4 #进入vty接口
authentication-mode scheme
#Vty口的登录权限,命令的授权和审计均使用AAA服务器
command authorization
command accounting
set authentication password cipher .
#本地认证的密文密码
idle-timeout 15 0
#设置回话空闲超时
3.3、本地用户配置
local-user admin
#创建本地用户
password cipher -I<D3GV1;!QSV;PNMV*FI1!!
#设置本地用户密文密码
authorization-attribute level 3
#授权级别为3
service-type telnet
#服务类型为telnet
3.4、NTP配置
ntp-service unicast-server 192.168.5.30
#配置NTP服务器地址
clock timezone 1 add 08:00:00
#时区设置,+8小时
info-center source default channel 1 trap level informational #把channel 1 的所有警告类信息等级设置为information,其余类别的等级
默认
info-center source default channel 3 log state on
#开启channel 3所有事件的log功能
info-center loghost 10.16.35.1 channel 1
#调用channel 1的信息,传输到log主机中
info-center synchronous
#开启配置信息防打断功能
3.6、接口配置(环路检测,端口安全,广播组播数据限制)
port-security enable
#全局开启端口安全(要使端口安全生效,必须全局和端口都开启)
port-security trap intrusion
#trap端口安全的检测动作
loopback-detection enable
#全局开启环路检测(要使端口环路检测生效,必须全局和端口都开启)
loopback-detection interval-time 5
#设置环路检测的时间间隔为5s(默认30s)
interface GigabitEthernet1/0/1
port link-mode bridge #使端口工作在2层
loopback-detection enable #开启端口环路检测
loopback-detection action shutdown #设置检测到环路的行为为关闭该端口
stp edged-port enable #开启边缘端口特性
port-security max-mac-count 1
#设置端口最大学习mac地址数量为1个
port-security port-mode autolearn
#设置端口自动学习mac地址
port-security intrusion-mode disableport-temporarily
#设置端口违反安全规则的行为为关闭端口20s
broadcast-suppression 1
#允许端口传输广播数据的百分比为1%
multicast-suppression 20
#允许端口传输组播数据的百分比为20%
snmp-agent
snmp-agent community read netinfo
#配置读权限的团体名
snmp-agent log all
#开启snmp操作的log功能
snmp-agent sys-info version all
#开启snmp所有版本支持(这里是v2c,v2,v1的配置,v3的有不同)
snmp-agent target-host trap address udp-domain 10.16.35.1 params securityname netinfo
#配置snmp服务器和发送trap报文使用的团体名为netinfo
snmp-agent trap enable default-route
#配置snmp trap默认路由,如不配置,则默认trap所有信息
cipher命令3.8、AAA配置集合
hwtacacs scheme h3c
#配置hwtacacs认证名称
primary authentication 10.16.8.119
#分别配置认证,授权,审计的主/备服务器
secondary authentication 10.16.8.118
primary authorization 10.16.8.119
secondary authorization 10.16.8.118
primary accounting 10.16.8.119
secondary accounting 10.16.8.118
key authentication cisco
#分别配置与认证服务器进行认证,授权,审计之间通讯的密钥
key authorization cisco
key accounting cisco
user-name-format without-domain
#传输用户名称到认证服务器时去除域名
domain h3c
#建域h3c,cn
authentication login hwtacacs-scheme h3c local
#引用HWTACACS的h3c认证方案,如服务器无响应则使用本地验证authorization login hwtacacs-scheme h3c local
ccounting login hwtacacs-scheme h3c local
authentication super hwtacacs-scheme h3c
#用户级别的转换授权引用HWTACACS的h3c认证方案
authorization command hwtacacs-scheme h3c none
#用户命令的授权使用HWTACACS的h3c的授权方案,服务器如无响应则不需要授权accounting command hwtacacs-scheme h3c
#命令的审计引用HWTACACS的h3c的审计方案
access-limit disable
#关闭接入用户数量的限制
state active
#激活该域
idle-cut disable
#关闭空闲超时
4、部分配置详细解析及理论
4.1、信息中心理论解析:
4.1.1、信息中心的信息分类和等级:
由于H3C采用信息中心的概念管理交换机上的信息,所以H3C交换机的log,trap,debug 信息必须通过信息设置。
H3C的信息分为3类,分别是log(日志类信息),trap(日志类信息),debug(日志类信息);每类都有对应的信息等级,共8的等级:
信息级别编号描述
emergencies  0  系统不可用信息
alerts              1  需要立刻做出反应的信息
critical      2 严重信息
errors    3 错误信息
warnings    4 警告信息
notifications    5 正常出现但是重要的信息
informational    6 需要记录的通知信息
debugging 7  调试过程产生的信息
这8类信息中,数字越少,代表严重性越高,数字越大,输出的信息量越多。
系统进行信息过滤时采用的规则是:禁止信息级别大于所设置阈值的信息输出。
当设置信息级别的取值为 0 时,系统只会输出 emergencies 信息;
当设置信息级别的取值为 7 时,系统将输出所有级别的信息。
4.1.2 信息中心的信息输出方向:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。