一、配置管理IP和Telnet
配置设备管理IP地址后,可以通过管理IP远程登录设备。
(1)配置管理IP地址
<HUAWEI> system-view
[HUAWEI] vlan 5 //创建交换机管理VLAN 5
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif 5
[HUAWEI-vlanif5] ip address 10.10.1.1 24
[HUAWEI-vlanif5] quit
(2)将管理接口加入到管理VLAN
[HUAWEI] interface GigabitEthernet 0/0/8 //假设连接网管的接口为GigabitEthernet 0/0/8
[HUAWEI-GigabitEthernet0/0/8] port link-type trunk
[HUAWEI-GigabitEthernet0/0/8] port trunk allow-pass vlan 5
[HUAWEI-GigabitEthernet0/0/8] quit
(3)配置Telnet
[HUAWEI] telnet server enable //Telnet出厂时是关闭的
[HUAWEI] telnet server-source -i vlanif 5 //V200R020及之后版本,必须执行该命令配置连接服务器端的端口,否则Telnet不可用
[HUAWEI] user-interface vty 0 4 //Telnet常用于设备管理员登录,推荐使用AAA认证
[HUAWEI-ui-vty0-4] protocol inbound telnet // V200R006及之前版本缺省支持telnet协议,但是V200R007及之后版本缺省的是SSH协议,因此使用telnet登录之前,必须要先配置这条命令
[HUAWEI-ui-vty0-4] authentication-mode aaa //aaa
[HUAWEI-ui-vty0-4] idle-timeout 15 //超时时间
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa //进入aaa视图
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789 //配置管理员Telnet登录交换机的用户名和密码。用户名不区分大小写,密码区分大小写
[HUAWEI-aaa] local-user admin privilege level 15 //将管理员的账号权限设置为15(最高)
[HUAWEI-aaa] local-user admin service-type telnet
二、DHCP地址池
(1)创建全局地址池,配置出口网关、租期(采用缺省值1天,不需配置)并配置为打印机(MAC地址为a-b-c)分配固定的IP地址10.10.10.254。
<CORE> system-view
[CORE] dhcp enable
[CORE] ip pool 10
[CORE-ip-pool-10] network 10.10.10.0 mask 24 //配置部门A的用户可分配的地址池范围
[CORE-ip-pool-10] gateway-list 10.10.10.1 //配置部门A的用户的网关地址
[CORE-ip-pool-10] static-bind ip-address 10.10.10.254 mac-address a-b-c //配置为打印机分配固定的IP地址
[CORE-ip-pool-10] dns-list 8.8.8.8 //配置DNS服务器地址
[CORE-ip-pool-10] quit
(2)配置部门A的用户从全局地址池获取IP地址。
[CORE] interface vlanif 10
[CORE-Vlanif10] dhcp select global //配置部门A的用户从全局地址池获取IP地址
[CORE-Vlanif10] quit
(3)使用display ip pool命令,分别查看全局地址池10的配置和使用信息。
[CORE] display ip pool name 10
三、配置DHCP Snooping和IPSG
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCP Snooping功能。
以下以部门A为例,说明DHCP Snooping的配置过程。
(1)在接入交换机ACC1上开启DHCP Snooping功能。
<ACC1> system-view
[ACC1] dhcp enable //使能DHCP功能
[ACC1] dhcp snooping enable //使能DHCP Snooping功能
(2)在连接DHCP服务器的接口上使能DHCP Snooping功能,并将此接口配置为信任接口。
[ACC1] interface eth-trunk 1
[ACC1-Eth-Trunk1] dhcp snooping enable //使能DHCP Snooping功能
[ACC1-Eth-Trunk1] dhcp snooping trusted //配置为信任接口
[ACC1-Eth-Trunk1] quit
(3)在连接终端的接口上使能DHCP Snooping功能。
[ACC1] interface ethernet 0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] dhcp snooping enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interface ethernet 0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] dhcp snooping enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface ethernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] dhcp snooping enable
[ACC1-Ethernet0/0/4] quit
完成上述配置之后,部门A的用户就可以从合法的DHCP服务器获取IP地址,内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能,具体配置以ACC1为例。
(4)在接入交换机ACC1上开启VLAN10的IP报文检查功能。
[ACC1] vlan10
[ACC1-vlan10] ip source check user-bind enable //使能IP报文检查功能
[ACC1-vlan10] quit
