交换机一些基本配置(华三)
1.开启SSH和Telnet
可以按需调用ACL来实现限制特定用户远程登录
telnet server enable //开启telnet远程登录功能
telnet server acl 3200 //telnet调用ACL规则
ssh server enable //开启ssh远程登录功能
ssh server acl 3200 //ssh调用ACL规则
2.本地用户设置
不通型号或版本可能有一点差异;部分型号的权限设置在服务类型后面
local-user admin //设置用户名
authorization-attribute level 3 //设置用户权限为管理员权限
service-type telnet ssh //设置服务类型 telnet ssh
password simple admin@123 //设置密码,可选明文或密文;部分设备即使你选明文也会自动变为密文
local-user admin //设置用户名
authorization-attribute user-role network-admin //设置用户权限为管理员权限
service-type telnet ssh //设置服务类型 telnet ssh
passwork simple admin@123 //设置密码,可选明文或密文;部分设备即使你选明文也会自动变为密文
local-user admin //设置用户名
service-type telnet ssh level 3 //设置服务类型 telnet ssh并设置用户权限为管理员权限
passwork simple admin@123 //设置密码,可选明文或密文;部分设备即使你选明文也会自动变为密文
3.设置用户验证方式
user-interface vty 0 4 //同时登录设备的第0个到第4个用户共同的登录方式和认证方式,可按需调整用户数
authentication-mode scheme //调用本地用户名密码进行远程登录验证
protocol inbound all //配置vty用户允许的协议 可以不配 默认就是放通telnet和ssh
idle-timeout 6 //设置6分钟超时退出
line vty 0 64 //同时登录设备的第0个到第64个用户共同的登录方式和认证方式,可按需调整用户数
authentication-mode scheme //调用本地用户名密码进行远程登录验证
protocol inbound all //配置vty用户允许的协议 可以不配 默认就是放通telnet和ssh
idle-timeout 6 //设置6分钟超时退出
quit
#
4.设置console口密码登录
不同型号或版本可能有点差异;部分型号可能需要手动更改权限,一般默认为管理员权限
user-interface aux 0 //一般console口的序号为0 堆叠或多主控板的话就有多个
authentication-mode password //验证方式为密码验证
set authentication password simple admin@123 //设置密码,可选择明文或密文,有些设备即使你选择明文 也会自动变成密文
line aux 0 //一般console口的序号为0 堆叠或多主控板的话就有多个
authentication-mode password //验证方式为密码验证
set authentication password simple admin@123 //设置密码,可选择明文或密文,有些设备即使你选择明文 也会自动变成密文
5.设备口令复杂度、密码使用期限、登录失败策略等配置
部分设备可能不支持部分或全部;部分设备默认就开启了一定的密码管理功能
password-control enable //使能全局密码管理功能
password-control length 8 //设置最小密码长度为8个字符
password-control aging 365 //全局的密码老化时间为365天
password-control expired-user-login delay 60 times 5 //用户密码过期后的60天内允许登录5次
password-control login-attempt 10 exceed lock-time 10 //密码可尝试的失败次数为10次,10次以后被锁定10分钟不可用
password-control composition type-number 2 type-length 3 //密码元素的最少组合类型为2种,至少包含每种元素的个数为3个
6.在物理口或vlan三层口下调用ACL对用户的访问进行限制
在物理口下配置只在该端口生效,在vlan口下配置会在所有划分了该vlan的物理口生效
interface GigabitEthernet1/0/48
port access vlan 10
packet-filter 3200 inbound //在入方向调用ACL规则
interface Vlan-interface10
packet-filter 3200 inbound //在入方向调用ACL规则
7.开启STP功能
不同型号或版本可能有一点差异,一般默认就是开启的且为MSTP模式
stp enable
stp global enable
stp priority 4096 //默认优先级为32768,一般不需要修改,想要让特定设备为根桥则把优先级改小,步长为4096,越小越优
8.在接入层设备上把直接连终端的端口设置为边缘端口
interface GigabitEthernet1/0/48
stp edged-port enable
9.开启icmp超时报文发送、目的不可达报文发送功能
ip ttl-expires enable //开启icmp超时报文发送功能
ip unreachables enable //目的不可达报文发送功能
10.设置NTP服务器
广泛用于网络设备的远程管理和操作
ntp-service unicast server 192.168.1.1 source vlan-interface 1 //后面源端口可配可不配
11.设置SNMP(简单网络管理协议)
广泛用于网络设备的远程管理和操作
snmp-agent //启动snmp功能
snmp-agent community write simple admin@123 //创建snmp写团体字
snmp-agent community read simple admin123 //创建snmp读团体字
snmp-agent sys-info version all //配置设备支持的snmp版本 有v1 v2c v3 all可选
snmp-agent target-host trap address udp-domain 192.168.1.1 params securityname admintest v2c
//配置trap信息发送参数,地址为接收trap报文的主机或服务器;admintest为安全参数名称 v2c为支持的版本
12.开启lldp功能
lldp global enable //开启该功能后,设备可知晓与之相连的其他设备的互联信息