h3c交换机mac地址绑定和端口IP设置

h3c交换机mac地址绑定和端口IP设置

由于一些单位网络规模越来越大，同时处于网络安全的考虑，通常会采用三层交换机划分多个网段，并且设置网段之间禁止通讯，以此来更好地保护信息安全，防止商业机密泄露以及电脑遭遇病毒侵袭的风险。但在加强网络安全的同时，也对网络管理提出了新的`挑战，如何管理多网段电脑上网行为、跨网段监控电脑上网就成为当前企事业单位网络管理的一个重要课题。

比较常见的跨网段管理问题通常有如下几种：跨网段限制电脑网速、跨网段控制电脑上网行为(比如禁止迅雷下载、禁止在线玩游戏、限制在线看视频、禁止上班炒股、禁止工作时间网购等)，跨网段绑定电脑IP和MAC地址，防止电脑修改IP地址等行为。

那么，如何实现上述跨网段监控电脑上网、管理三层交换机多网段电脑上网行为呢 可以通过以下两种方法来实现：

方法一

通过三层交换机自带的网管功能来实现控制多网段电脑网速、跨网段限制电脑上网行为以及跨网段实现交换机端口限速、跨网段实现三层交换机固定IP上网。

两种设置IP地址的命令：一种直接在物理端口上设置IP地址，设置过程比较简单。如三层交换机上配置端口1/0/1为路由端口，IP地址为1721610，OSPF采用点到点类型，配置过程如下：

#interface Ethernet 1/1

#port link-mode route

#ip address 1721610 2552552550

#ospf networt-type p2p

方法二

IP地址配置方式是通过逻辑VLAN设置IP地址，需先给VLAN设置IP地址，然后将物理端口配置在VLAN下。为了保证IP地址和物理端口一一对应的关系。例如在和上面一样的三层交换机上要配置端口1/0/1为路由端口，并配置端口的VLAN ID为101，VLAN 101 IP地址为1721611，OSPF采用点到点类型，配置过程如下：

#interface Vlan-interface 101

#ip address 1721610 2552552550

#ospf network-type p2p

#interface Ethernet 1/0/1

#port link-mode route

#port access Vlan 101

以上两种方法都能为交换机端口设置IP地址，从 *** 作步骤上看，第一种方法比较简单，第二种方法需要先将端口和VLAN对应起来再设置IP地址。而且第2种方法在配置IP地址时还需同时使用对应的VLAN，过多使用VLAN号后可能会给日后的运行维护带来了不便。

;

h3c3100进入web服务器的方式：

第一步：在通过WEB方式登录以太网交换机之前，用户先通过Console口正确配置以太网交换机管理VLAN接口的IP地址。

通过Console口搭建配置环境。如图5-1所示，建立本地配置环境，只需将PC机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。

(1) RS-232串口

(2) Console口

(3) 配置电缆

在PC机上运行终端仿真程序（如Windows 3X的Terminal或Windows 9X的超级终端等），设置终端通信参数为：波特率：9600bit/s；数据位：8；奇偶校验：无；数据流控制：无。

给以太网交换机加电，加电后PC机终端上将显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符，如图5-2所示。

通过Console口在超级终端中执行以下命令，配置以太网交换机管理VLAN的IP地址。

system-view

[H3C] interface Vlan-interface 1（进入管理VLAN）

[H3C-Vlan-interface1] undo ip address（取消管理VLAN原有的IP地址）

[H3C-Vlan-interface1] ip address 101531782 2552552550（配置以太网交换机管理VLAN的IP地址为101531782）。

第二步：用户通过Console口，在以太网交换机上配置欲登录的WEB网管用户名和认证口令。

l              通过Console口，添加以太网交换机的Web用户，用户级别设为3（管理级用户）

[H3C] local-user admin（设置用户名为admin）

[H3C-luser-admin] service-type telnet level 3（设置级别3）

[H3C-luser-admin] password simple admin（设置密码admin）

l              配置交换机到网关的静态路由

[H3C] ip route-static 0000 0000 192168050 (网关的IP地址为192168050)

第三步：搭建WEB网管远程配置环境

第四步：用户通过PC与交换机相连，并通过浏览器登录交换机：在WEB网管终端(PC)的浏览器地址栏内输入URL:>

第五步：输入在交换机上添加的用户名和密码，“语言”下拉列表中选择中文，点击登录>按钮后即可登录，显示中文WEB网管初始页面。

输入如下代码
system
telnet server enable
local-user admin
password si admin
authorization-attribute level 3
service-type ssh telnet terminal
quit
int vlan 1
ip add 192168110 2552552550
quit
user-int vty 0 4
auth s
quit
quit
save
如果代码就可以使用web登录
设备的ip地址是192168110 你使用账目和密码都是admin就可以登录了
这个19216810 你可以根据你们单位的网段自己修改

H3C MSR 30-20
(H3CMSR 30-20)
基本参数
路由器类型多业务路由器
网络标准IEEE 80211b，IEEE 80211g，IEEE 80211n，IEEE 80211i，IEEE 80211e
网络协议PPP，PPPoE Client，PPPoE Server
传输速率10/100/1000Mbps
端口结构模块化
局域网接口2个
其它端口2个ESM插槽
2个VPM插槽
1个VCPM
2个USB接口
1个AUX
1个配置口
扩展模块4个SIC插槽+2个MIM插槽
包转发率350Kpps
功能参数
防火墙内置防火墙
Qos支持支持
支持支持
网络管理SNMP V1/V2c/V3，MIB，SYSLOG，RMON，WEB 网管，TR069
其他参数
处理器RISC新一代处理器 533MHz
产品内存缺省 256MB，最大 1GB
电源电压AC 100-240V，50/60Hz
电源功率125W
产品尺寸442×4418×442mm
产品重量69kg
环境标准环境温度：0-40℃
环境温度：5%-90%（不结露）

H3C交换机配置备份与恢复的方法

相信有很多网管员备份配置都是采用display current命令查询当前设备运行配置信息，然后采用ctrl+c，ctrl+v的方式将信息保存到txt文档中;或者直接用捕捉屏幕输出的方法保存信息。还原的时候再复制命令到交换机中从新运行。这种方法当然也是可行的，但是当交换机的配置特别多，又比较复杂的情况下，这种方法就不太合适了。

第一种：命令行形式

配置备份

第一步：使用dir /all命令查看设备的配置文件。

此处的配置文件名为h3ccfg。

第二步：使用backup startup-configuration to 192168125149 aaacfg或tftp 192168125149 put h3ccfg aaacfg 备份配置文件(h3ccfg为原配置文件名，aaacfg为备份后的文件名，若不指定指与原文件同名)。

TFTP服务器上也有会显示传输成功，如下:

配置恢复

第一步：使用restore startup-configuration from 192168125149 aaacfg或tftp 192168125149 get aaacfg

命令从tftp服务器上下载配置命令，如下图：

第二步：使用dis startup命令，查看下一次启动所使用的配置命令，如下图：

发现正是我们导入的aaacfg配置文件，从启交换机后，恢复之前配置的运行状态。

小知识：采用delete删除的配置没有直接删除，而是存放在交换机的回收站内，使用dir /all命令可以查看到，

带方括号的文件是采用delete命令删除的文件。

要想真正删除startupcfg文件，可以使用reset recycle-bin命令清空回收站，或者在使用delete命令是带上unreserved参数，即：delete /unreserved flash:/startupcfg。采用reset save-configuration命令会彻底删除设备保存的启动配置。

第二种：在web界面上进行备份

要在web模式下进行备份首先必须开启交换机的>

1、查看交换机上应用的配置文件
[h3c]dis startup
Current startup saved-configuration file: flash:/configcfg
Next main startup saved-configuration file: flash:/configcfg
Next backup startup saved-configuration file: NULL

2、配置主备配置文件
<h3c>startup saved-configuration configcfg
backup Backup config file
main Main config file
<cr>

3、Telnet 用户认证方式登录
user-interface vty 0 4
authentication-mode scheme
user privilege level 3

Telnet 密码方式登录
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple abc

新建用户
local-user admin
password simple abcpassword
service-type telnet
level 3

4、配置MSTP
stp enable
stp region-configuration
region-name abc
revision-level 1
instance 1 vlan 200
active region-configuration

5 、配置接入层交换机只接电脑，不能接交换机，避免已经配置好的生成树受新添加的交换机影响造成网络的不稳定。
stp bpdu-protection

对于接入层设备，接入端口一般直接与用户终端（如PC机）或文件服务器相连，此时接入端口被设置为边缘端口以实现这些端口的快速迁移。当这些边缘端口接收到配置消息后，系统会自动将这些端口设置为非边缘端口，重新计算生成树，这样就引起网络拓扑的震荡。
正常情况下，边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被MSTP关闭。被关闭的边缘端口只能由网络管理人员恢复。

配置端口为边缘端口

[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]stp edged-port enable

对于直接与终端相连的端口，请将该端口设置为边缘端口，同时启动BPDU保护功能。这样既能够使该端口快速迁移到转发状态，也可以保证网络的安全。

6、DHCP Snooping防止非法DHCP服务器分发地址影响正常网络

例：
开启交换机DHCP Snooping功能

[h3c]DHCP Snooping

配置合法的DHCP服务器转发端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust

配置防DHCP服务器仿冒功能
例：
开启交换机DHCP Snooping功能

[h3c]DHCP Snooping

开启防DHCP服务器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上启用仿冒功能，万一有非法DHCP服务器进入即触发预设置的策略

配置防DHCP服务器仿冒功能的处理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情况下，交换机防DHCP服务器仿冒功能的处理策略为trap

显示DHCP服务器仿冒相关信息
display dhcp-snooping server-guard

其实配置snooping和仿冒功能效果都是一样，防止非法的DHCP服务器进入网络，只是h3c交换机不同型号支持的方法不同。

汇总有点乱，都是平时配置接入层交换机时经常用到的，也解决了不少问题，现在发上来，一个是自己留个记录，二是也给大家参考一下，或者大家看后，觉得还有什么需要补充的配置，尽管说，共同学习。

只能给你每台设备的配置思路。具体命令，你得自己去查资料，或者在设备上面敲“？”来琢磨搞定。

企业路由器：

接光猫的网口配置ip地址1921680x，比如19216802（因为01被光猫用了，所以不能在这里设）。

接PC1的网口配置ip地址1761687x，比如17616871，这个是PC1的网关，到时候PC1设7x的其他ip地址，网关设定成所接路由器的网口ip。

接三层交换机的网口配置ip地址19216811。

设定一条0000的默认路由，下一跳ip地址为光猫的19216801。

设定指向内网的回指路由。
需要所有内网的ip地址段，我看了一下，有：172168100；19216820；19216830；19216840；19216850；17316860；17416850。
针对这些网段设定路由，下一跳ip地址都是三层交换机接企业路由器的网口ip地址，比如19216812。

三层交换机：

接企业路由器的网口去掉交换机switch功能，改成三层接口，设定ip地址为上面提到的19216812。

针对所有所涉及到的内网网段设定vlan，网段有172168100；19216820；19216830；19216840；19216850；17316860；17416850。
再针对这些vlan，设定专门的vlanip，这ip就是这些网段下面接的PC的网关ip。
其中，因为你三层交换机的网管地址是19216821，所以，你19216820对应vlan的vlanip就设定成19216821。
另外，关于19216830对应vlan的vlanip，因为你19216831用到了下面二层交换机的管理ip，所以，这边只能设非31的其他ip地址，比如1921683254。

DHCP服务就在三层交换机上面设定，针对有需要DHCP下发ip地址的网段，设定对应的ip地址池。

三层交换机上面设定一条0000的默认路由，下一跳ip地址为接企业路由器的网口ip地址19216811。

接PC2的网口划到172168100对应的vlan。

接PC9的网口划到19216820对应的vlan。

接二层交换机的网口设定成trunk模式的网口，并允许所有vlan id通过。

接傻瓜交换机（图右侧的）的网口划到17416850对应的vlan。

二层交换机：

接三层交换机的网口设定成trunk模式的网口，允许二层交换机所涉及到的网段对应的vlan id（三层交换机上面设定的）可以通过。如果想图方便，可以允许所有的vlan id通过。

创建所涉及到的网段对应的vlan，vlan id必须和三层交换机上面的保持一致。（这边要设的网段有：19216830；19216840；19216850；17316860）

针对19216830网段对应的vlan设定vlan ip，为19216831。

接PC3的网口划到19216840对应的vlan。

接PC4的网口划到17316860对应的vlan。

接傻瓜交换机（图左侧的）的网口划到19216850对应的vlan。

将交换机的默认网关设定成1921683254。如果不能设网关的话，就添加一条0000默认路由，下一跳的ip地址为1921683254。

傻瓜交换机：

所有傻瓜交换机上面直接接线就可以了。不用，也应该不能进行相关的设定。

---