H3C-S5130无线AP配置手册
目录
第一部分:终端配置(本地用户的Telnet登录认证).3
1.进入视图:3
2.打开Telnet远程登录功能.四
3.设置同时登录配置的用户数量.四
4.添加本地用户的用户名和密码以登录Telnet.四
5.将本地用户的服务类型设置为Telnet 4。
6.设置本地用户的服务级别.四
第2部分:设置登录模式和密码(控制台界面配置).5
7.通过控制台端口登录时不需要验证.5
8.配置端口IP地址,并将端口添加到指定的VLAN.8
9.配置与端口和VLAN相关的限制.10
第三部分:H3C配置文件系统的学习步骤.11
10、配置文件相关命令(结束).11
1.基本配置(结束).11
12.远程登录配置(结束).12
13.端口配置(结束).12
14.链路聚合配置(结束).13
15.端口镜像.16
16、VLAN配置(完).16
17.STP(生成树协议)配置(结束).17
18.MAC地址表的操作(完).18
19.GVRP的配置.19
20.DLDP配置(完).20
21、端口隔离配置.21
22.端口安全配置(结束).22
23.端口绑定配置(结束).23
24.BFD构型.24
25.QINQ配置(结束).24
第一部分:终端配置(本地用户Telnet登录的认证)描述:超级终端进入设置参数。
波特率:9600
8个数据位
停止位:1
奇偶校验:无
流量控制:无
1.输入视图:H3Csystem-view \\ enter view命令
系统视图:使用Ctrl Z返回用户视图。
\ \进入视图后的结果图
2.打开telnet远程登录功能Telnet服务器启用\\打开Telnet远程登录功能命令
3.设置同时登录和配置的用户数configure-user count 5 \\将同时登录和配置的用户数设置为5。
4.添加本地用户的登录名和密码local-user wang \\并将本地Telnet登录名设置为wang。
添加了新的本地用户。
Simple12345678 \ \将本地Telnet登录密码设置为12345678。
5.将本地用户的服务类型设置为telnetservice-type telnet \\并将本地用户的服务类型设置为Telnet。
6.将本地用户的服务级别设置为3级\\并将用户级别设置为3级。
说明:用户级别,设备提供四个级别的用户,最高级别为3,最低级别为0。
0访问级别:
网络诊断等功能的命令,以及从该设备访问外部设备的命令。该级别命令配置后不允许保存。设备重启后,该level命令将恢复到默认状态。默认情况下,访问级别命令包括ping、telnet、ssh2、tracert等。
1访问级别:
用于系统维护、业务故障诊断等功能命令。配置完成后,本级命令不允许保存。设备重启后,本级命令将恢复到默认状态。默认情况下,监控级别命令包括
:debugging、terminal、refresh、send等。2访问级:
业务配置命令,包括路由、各个网络层次的命令,这些命令用于向用户提供直接的网络服务,缺省情况下,系统级的命令包括:所有配置命令(管理级命令除外)
3管理级:
关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用。缺省情况的下,管理级的命令包括:文件系统命令、FTP命令,TFTP命令、XModem命令下载、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规定、非RFC规定)等。
第二部分:设置登录方式及登录密码(console接口配置)7、配置通过console口登录时无需验证7.1进入视图:<H3C>system-view \\进入系统视图命令
7.2进入AUX用户线或用户类视图:
7.3设置用户登录认证方式为不认证:
备注:缺省情况下,用户通过console口进行登录,认证方式为none。
7.4配置当前用户线登录设备的用户角色:
备注:缺省情况下,通过Console口登录设备的用户角色为network-admin。
7.5说明:7.1.1用户线简介
7.1.1-1用户线类型
H3C MS4300 series设备提供如下类型的用户线:
◇ AUX用户线:用来管理和监控通过console口登录的用户
◆ VTY(Virtual Type Terminal 虚拟类型终端)用户线:用来管理和监控通过Telnet和SSH方式登录的用户
7.1.1-2用户线编号
用户线的编号有绝对编号方式和相对编号方式。
◇ 绝对编号方式:使用绝对编号方式,可以唯一的指定一个用户线。绝对编号从0开始,每次增长1,先给所有AUX用户线、然后是VTH用户线。使用display line(不带参数),可查看到设备当前支持的用户线及它们的绝对编号。
◆ 相对编号方式:相对编号是每种类型用户线的内部编号,表现形式为“用户线类型”编号。用户线的编号从0开始,以1为单位递增。
7.1.1-3用户线分配
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束。用户与用户线并没有固定的对应关系:
◇ 同一用户登录的方式不同,分配的用户线不同。比如用户A使用Console口登录设备时,将受到AUX用户线视图下配置的约束;当使用Telnet登录设备时,将受到VTY用户线视图下配置的约束。
◇ 同一用户登录的时间不同,分配的用户线可能不同。比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY 1。当该用户下次再Telnet登录时,设备可能已经把VTY 1分配给其他Telnet用户了,只能为该用户分配其他的用户线。如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备。
用户的认证方式有如下几类:
在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性。设备支持配置如下认证方式:
第一类:不认证
认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患。FIPS模式下不支持该认证方式。
第二类:密码认证
认证方式为password:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。FIPS模式下不支持该认证方式。
第三类:scheme方式认证
认证方式为scheme:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。配置认证方式为scheme后,请妥善保存用户名及密码。
认证方式
认证所需的配置
None
设置登录的用户认证方式为不认证
Password
设置登录用户的认证方式为password认证
设置密码认证的密码
Scheme
设置登录用户的认证方式为scheme认证
在ISP域视图下为login用户配置认证方法
8、配置端口IP地址并将端口加入指定VLAN配置VLAN的IP地址
创建VLAN
将指定MAC地址与指定端口进行绑定
设置端口转发模式
说明:端口转发模式 access、Trunk、Hybrid
<H3C>reset save \\交换机清除配置命令
9、配置端口及VLAN相关限制条件9.1
说明:端口的工作状态一共有3中,auto、half、full
9.2
说明:此处端口速率有10M、100M、auto
9.3 H3C-GigabitEthernet1/0/3>flow-control \\配置端口流控(待查询解释)
9.4
9.5
9.6
9.7
9.8
9.9
9.10
9.11
9.12
9.13
9.14
9.15
第三部分:H3C配置文件系统学习步骤10、配置文件相关命令(完)
<H3C>reset saved-configuration \\擦除旧的配置文件(设备不同此命令运行不同,即部分设备不支持此命令)
<H3C>reboot \\交换机重启命令
<H3C>display version \\显示系统版本信息
11、基本配置(完)
12、Telnet配置(完)
13、端口配置(完)
14、链路聚合配置(完)链路聚合的作用:增加链路带宽、提供链路可靠性
聚合链路负载分担原理:聚合后链路基于流进行负载分担
链路聚合分类:
◇静态聚合:双方系统间不使用聚合协议来协商链路信息
◆动态聚合:双方系统间使用聚合协议连协商链路信息
LACP(link aggregation control protocol 链路聚合控制协议)是一种基于802.3标准的、能够实现链路动态聚合的协议
说明: ◇链路聚合可以实现链路备份、增加链路带宽及其数据的负载
◆链路聚合按照聚合方式不同分为静态聚合和动态聚合
说明:端口聚合模式分为动态、静态和手工负载三种
删除链路聚合:
第一步:将原来已加入的聚合组端口退出
第二步:删除聚合组
此处缺退出端口聚合命令
查看命令
负载分担
15、端口镜像(无)
16、VLAN配置(完)
16.1 配置基于access端口的VLAN
备注:缺省情况下,端口链路类型默认为access类型。所有端口类型均属于且只属于vlan1
16.2 配置基于trunk端口的VLAN
备注:缺省情况下,所有端口都是允许VLAN1的报文通过
16.3 配置基于hybrid的端口的VLAN
说明:hybrid端口缺省VLAN为VLAN1
16.4 VLAN的描述
缺失删除VLAN描述命令
17、STP(生成树协议)配置(完)
MSTP配置
#配置MST域名为info,MSTP修订级别为1,VLAN映射关系为VLAN2-VLAN10映射到生成树实例1上,VLAN20-VLAN30映射生成树实例2上。
system-viev
说明:待进行命令验证
18、MAC地址表的操作(完)在系统视图下添加MAC地址表项
[Quidway>mac-address { static | dynamic | blackhole } mac-address interface interface-
type interface-number vlan vlan-id;添加MAC地址表项
在添加MAC地址表项时,命令中interface参数指定的端口必须属于vlan参数指定的VLAN,否则将添加失败。
如果vlan参数指定的VLAN是动态VLAN,在添加静态MAC地址之后,会自动变为静态VLAN.
在以太网端口视图下添加MAC地址表项
[Quidway-Ethernet0/2Jmac-address { static,| dynamic | blckhole } mac-address vlan vlan-id在添加MAC地址表项时,当前的端口必须属于命令中vlan参数指定的VLAN,否则将添加失败;
如果vlan参数指定的VLAN是动态VLAN,在添加静态MAC地址之后,会自动变为静态VLAN.
[Quidway>mac-address timer { aging age | no-aging };设置MAC地址表项的老化时间
注意:缺省情况下,MAC地址表项的老化时间为300秒,使用参数no-aging时表示不对MAC地址表项进行老化。
MAC地址老化时间的配置对所有端口都生效,但地址老化功能只对动态的(学习到的或者用户配置可老化的)MAC地址表项起作用。
[Quidway-Ethernet0/2>mac-address max-mac-count count;设置端口最多可以学习到的MAC地址数量。
注意:缺省情况下,没有配置对端口学习MAC地址数量的限制。反之,如果端口启动了MAC地址认证和端口安全功能,则不能配置该端口的最大MAC地址学习个数。
[Quidway-Ethernet0/2>port-mac start-mac-address;配置以太网端口MAC地址的起始值
在缺省情况下,E126/E126A交换机的以太网端口是没有配置MAC地址的,因此当交换机在发送二层协议报文(例如STP)时,由于无法取用发送端口的MAC地址,
将使用该协议预置的MAC地址作为源地址填充到报文中进行发送。在实际组网中,由于多台设备都使用相同的源MAC地址发送二层协议报文,会造成在某台设备的不
同端口学习到相同MAC地址的情况,可能会对MAC地址表的维护产生影响。
[Quidway>display mac-address;显示地址表信息
[Quidway>display mac-address aging-time;显示地址表动态表项的老化时间
[Quidway>display port-mac;显示用户配置的以太网端口MAC地址的起始值
说明:待验证的命令
19、GVRP的配置[SwitchA> gvrp#开启全局GVRP
[SwitchA-Ethernet1/0/1> gvrp #在以太网端口Ethernet1/0/1上开启GVRP
[SwitchE-Ethernet1/0/1> gvrp registration { fixed | forbidden |normal}# 配置GVRP端口注册模式缺省为normal
[SwitchA> display garp statistics
[SwitchA> display garp timer < interface interface-list >;显示GARP定时器的值
[SwitchA> display gvrp statistics < interface interface-list>;显示GVRP统计信息
[SwitchA> display gvrp status;显示GVRP的全局状态信息
[SwitchA> display gvrp statusreset garp statistics < interfae interface-list >;清除GARP统计信息
说明:待验证的命令
20、DLDP配置(完)[SwitchA> interface gigabitethernet 1/1/1#配置端口工作在强制全双工模式,速率为
1000Mbits/s.
[SwitchA-GigabitEthernet1/1/1> duplex full
[SwitchA-GigabitEthernet1/1/1> speed 1000
[SwitchA> dldp enable #全局开启DLDP.
[SwitchA> dldp interval 15# 设置发送DLDP报文的时间间隔为15秒。
[SwitchA> dldp work-mode { enhance |normal}# 配置DLDP协议的工作模式为加强模式。缺省为normal
[SwitchA> dldp unidirectional-shutdown { auto | manual} # 配置DLDP单向链路操作模式为自动模式。缺省为auto
[SwitchA> display dldp 1#查看DLDP状态。
当光纤交叉连接时,可能有两个或三个端口处于Disable状态,剩余端口处于Inactive状态。
当光纤一端连接正确,一端未连接时:
如果DLDP的工作模式为normal,则有收光的一端处于Advertisement状态,没有收光的一端处于Inactive状态。
如果DLDP的工作模式为enhance,则有收光的一端处于Disable状态,没有收光的一端处于
Inactive状态。
dldp reset命令再全局下可以重置所有端口的dldp状态,在接口下可以充值该端口的dldp状态
说明:待验证的命令
21、端口隔离配置(完)通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。
[Sysname> interface ethernet1/0/2 # 将以太网端口Ethernet1/0/2加入隔离组。
[Sysname-Ethernet1/0/2> port isolate
[Sysname>display isolate port # 显示隔离组中的端口信息
配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。端口隔离特性与以太网端口所属的VLAN无关。
当汇聚组中的某个端口加入或离开隔离组后,本设备中同一汇聚组内的其它端口,均会自动加入或离开该隔离组。
对于既处于某个合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影响其他
端口,即其他端口仍将处于原聚合组和原隔离组中。
如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚合组中的端口仍将处于该隔离组中。
当隔离组中的某个端口加入聚合组时,该聚合组中的所有端口,将会自动加入隔离组中。
说明:带进行验证的命令
22、端口安全配置(完)[Switch> port-security enable# 启动端口安全功能
[Switch> interface Ethernet 1/0/1#进入以太网Ethernet1/0/1端口视图
[Switch-Ethernet1/0/1> port-security max-mac-count 80#设置端口允许接入的最大MAC地
址数为80
[Switch-Ethernet1/0/1> port-security port-mode autolearn # 配置端口的安全模式为
autolearn
[Switch-Ethernet1/0/1> mac-address security 0001-0002-0003 vlan 1#将Host的MAC地址
0001-0002-0003作为Security MAC添加到VLAN 1中
[Switch-Ethernet1/0/1> port-security intrusion-mode disableport-temporarily#设置
Intrusion Protection特性被触发后,暂时关闭该端口
[Switch>port-security timer disableport 30#关闭时间为30秒。
说明:带进行验证的命令
23、端口绑定配置(完)通过端口绑定特性,网络管理员可以指定用户的MAC地址和IP地址绑定到指定的端口上。进行绑定操作后,交换机至对该端口收到的指定MAC地址和IP地址的用户发出报文进行转发,提高系统的安全性,增强了对网络安全的监控。
有的交换机上的绑定配置不一样
1-2222-3333
端口过滤配置
24、BFD配置
25、QINQ配置(完)Provider A、Provider B之间通过Trunk端口连接,Provider A属于运营商网络的VLAN1000,
Provider B属于运营商网络的VLAN2000.
Provider A和Provider B之间,运营商采用其他厂商的设备,TPID值为0x8200.
希望配置完成后达到下列要求:
Customer A的VLAN10的报文可以和Customer B的VLAN10的报文经过运营商网络的
VLAN1000转发后互通;Customer A的VLAN20的报文可以
和Customer C的VLAN20的报文经过运营商网络的VLAN2000转发后互通。
[ProviderA> interface ethernet 1/0/1#配置端口为Hybrid端口,且允许VLAN10,VLAN20,
VLAN1000和VLAN2000的报文通过,并且在发送时去掉外层Tag.
[ProviderA-Ethernet1/0/1> port link-type hybrid
[ProviderA-Ethernet1/0/1> port hybrid vlan 10 20 1000 2000 untagged
[ProviderA-Ethernet1/0/1> qinq vid 1000#将来自VLAN10的报文封装VLAN ID为1000的外层Tag.
[ProviderA-Ethernet1/0/1-vid-1000> raw-vlan-id inbound 10
[ProviderA-Ethernet1/0/1-vid-1000> quit
[ProviderA-Ethernet1/0/1> qinq vid 2000# 将来自VLAN20的报文封装VLAN ID为2000的外层
[ProviderA-Ethernet1/0/1-vid-2000> raw-vlan-id inbound 20
[ProviderA> interface ethernet 1/0/2# 配置端口的缺省VLAN为VLAN1000.
[ProviderA-Ethernet1/0/2> port access vlan 1000
[ProviderA-Ethernet1/0/2> qinq enable # 配置端口的基本QinQ功能,将来自VLAN10的报文
封装VLAN ID为1000的外层Tag.
[ProviderA> interfae ethernet 1/0/3 # 配置端口为Trunk端口,且允许VLAN1000和
VLAN2000的报文通过。
[ProviderA-Ethernet1/0/3> port link-type trunk
[ProviderA-Ethernet1/0/3> port trunk permit vlan 1000 2000
[ProviderA-Ethernet1/0/3> qinq ethernet-type 8200#为与公共网络中的设备进行互通,配置端口添加外层Tag时采用的TPID值为0x8200.
[ProviderB> interface ethernet 1/0/1# 配置端口为Trunk端口,且允许VLAN1000和
VLAN2000的报文通过。
[ProviderB-Ethernet1/0/1> port link-type trunk
[ProviderB-Ethernet1/0/1> port trunk permit vlan 1000 2000
[ProviderB-Ethernet1/0/1> qinq ethernet-type 8200#为与公共网络中的设备进行互通,配置端口添加外层Tag时采用的TPID值为0x8200.
[ProviderB-Ethernet1/0/1> quit
[ProviderB> interface ethernet 1/0/2 # 配置端口的缺省VLAN为VLAN2000.
[ProviderB-Ethernet1/0/2> port access vlan 2000
[ProviderB-Ethernet1/0/2> qinq enable # 配置端口的基本QinQ功能,将来自VLAN20的报文封装VLAN ID为2000的外层Tag.
说明:待进行命令验证