H3C-系统试验手册

1、H3C-系统实验手册2022年南通市地税系统实验手册目录实验一：通过Telnet方式登录交换机典型配置举例实验二：基于端口的 VLAN典型配置举例实验三：802.1X认证配置举例.实验四：网络地址转换配置举例13实验五：DHCM己置举例17实验六：静态路由19实验七：配置OSP理本功能20实验一：通过Telnet方式登录交换机典型配置举例 组网图GE_0/OPCdevice192.168.100.230/24192.168.100.22/24配置步骤 配置Device接口地址# 配置接 口 GigabitEthernet0/0 地址为 192.168.100.230/24.<Sysnam

2、e> systemSysname interface GigabitEthernet 0/0Sysname-GigabitEthernet0/0 ip address 192.168.100.230 24Sysname-GigabitEthernet0/0 quit(2)配置认证# 设置VTY的认证中U式为schemeSysname line vty 0 15Sysname-line-vty0-15 authentication-mode schemeSysname-line-vty0-15 quit# 创立设备治理类本地用户 admin.Sysname local-user admin

3、# 指定本地用户的授权用户角色为 network-adminSysname-luser-manage-admin authorization-attributeuser-rolenetwork-admin #配置该本地用户的效劳类型为 Telnet.Sysname-luser-manage-admin service-type telnet# 配置该本地用户密码为密文admin.Sysname-luser-manage-admin password simple admin Sysname-luser-manage-admin quit (3)开启Telnet效劳 Sysname telnet

4、 server enable验证配置配置完成后)Host A 与Host B 能通过Telnet 登录设备运行 cmd-洋俞入 telnet 192.168.100.230-> 回车->输入用户名密码登录B Telnst 192.163.10C.220* Copi/i*ight <c> 2022-2022 HarissJiou M3C ToeM. Co., Ltd. All 卧却人上序 rcoeiHiad 耳 n Vitliout the 口wnct*7昌 prior written conaent：hk ii cj dim; ufipl liny ur jeuerse

5、e ny in e er In y 玉 hall Jjh alluvMfdB*勇旭餐柳/餐犬蛆丁月争尾MaMMlMM长的半:=鼻J q 於y噂蚓蚓犬*男：11触粒月乜口垂同logfin - adnlnPassword -<Sysname?实验二：基于端口的 VLAN典型配置举例组网需求如下图,Host A和Host C属于部门A,但是 通过不同的设备接入公司网络；Host B和Host D 属于部门B,也通过不同的设备接入公司网络. 为了通信的平安性,以及防止播送报文泛滥,公 司网络中使用VLAN技术来隔离部门间的二层流 量.其中部门A使用VLAN100,部门B使用VLAN 200.现要

6、求同一 VLAN内的主机能向互通,即 Host A 和Host C能够互通,Host B和Host D能够互 通.组网图GE.3/1 DcviceA3E_WiGE 02GEJ： 1*9*GE OFGEJl/l 月川8队GE 0.2' GEJJ门*§>HottAvlanlOO192.168,100.1/24HostBv1an2D0192.168,100,3/24HostCvlanlOO18/16*100.23HostDvlan200192.168 J 00.4/24配置步骤配置Device A# 批量配置接口 GigabitEthernet1/0/1 GigabitEth

7、ernet1/0/2工作在二层模式.<DeviceA> system-viewDeviceA interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/3DeviceA-if-range port link-mode bridge DeviceA-if-range quit# 创立 VLAN 10Q 并将 GigabitEthernet1/0/1 参加 VLAN 10QDeviceA vlan 100DeviceA-vlan100 port gigabitethernet 1/0/1DeviceA-vlan100 qu

8、it# 创立 VLAN 20Q 并将 GigabitEthernet1/0/2 力口入 VLAN 200sDeviceA vlan 200DeviceA-vlan200 port gigabitethernet 1/0/2DeviceA-vlan200 quit# 为了使 Device A 上 VLAN 100和 VLAN 200的 报文能发送给 Device B , 将 GigabitEthernet2/0/3 的链路类型配置为 Trunk,并允许 VLAN 100和VLAN 200的报文通 过.DeviceA interface gigabitethernet 1/0/3DeviceA-G

9、igabitEthernet1/0/3portlink-type trunkDeviceA-GigabitEthernet1/0/3 port trunk permit vlan 100 200Device B 上的配置与 Device A 上的配置相 同,不再赘述.验证配置(1)Host A 和Host C能够互相ping通)但是均不能ping通Host B. Host B和Host D能够互 相ping通但是均不能 ping通Host A.实验三：802.1X认证配置举例1.组网需求用户通过 Device 的端口 GigabitEthernet1/0/1 接入网络,设备对该端口接入的用户进

10、行 802.1X 认证以限制其访问Internet ,具体要求如下： ?由两台RADIUS!艮务器组成的效劳器组与Device相连,其IP地址分别为10.1.1.1/24 和10.1.1.2/24 ,使用前者作为主认证/计费服 务器,使用后者作为备份认证/计费效劳器.?端口 GigabitEthernet1/0/1 下的所有接入用户均需要单独认证,当某个用户下线 时,也只有该用户无法使用网络.?认证时,首先进行 RADIU纵证,如果RADIUS!艮务器没有响应那么进行本地认证.?所有接入用户都属于同一个ISP域bbbo?Device与RADIU漱证效劳器交互报文时的共享密钥为name与RADI

11、U的费效劳器 交互报文时的共享密钥为moneys2.组网图RADIUS MfYier duste-rPmrr： 10.1 1 1J24Seunry: 10.11,2/24SupplicantMosi 1S2 ice. 1.2,4AuthenUcfllorGE1J0Z2 10L1-1JEOI口*?3 士.L正1 '.1512.1 SR.lnterndl3.配置步骤配置各接口的IP地址略2配置本地用户#添加网络接入类本地用户,用户名为 localuser密码为明文输入的localpass .此 处添加的本地用户的用户名和密码需要与效劳 器端配置的用户名和密码保持一致,本例中的 localu

12、ser仅为例如,请根据实际情况配置 <Device> system-viewDevice local-user localuser class network Device-luser-network-localuser password simple localpass# 配置本地用户的效劳类型为lan-access .Device-luser-network-localuser service-type lan-access Device-luser-network-localuser quit (3)配置 RADIUS案# 创立RADIUS案radius1并进入其视图.Dev

13、ice radius scheme radius1# 配置主认证/计费RADIUS艮务器的IP地址.Device-radius-radius1primaryauthentication 10.1.1.1 Device-radius-radius1 primary accounting 10.1.1.1# 配置备份认证/计费RADIUS艮务器的IP地址. Device-radius-radius1secondaryauthentication 10.1.1.2Device-radius-radius1secondaryaccounting 10.1.1.2# 配置Device与认证/计费RADI

14、US!务器交互 报文时的共享密钥.Device-radius-radius1 key authentication simple nameDevice-radius-radius1 key accountingsimple money# 配置发送给RADIUS效劳器的用户名不携带域 名.Device-radius-radiusl user-name-format without-domainDevice-radius-radius1 quit(4) 配置ISP域#创立域bbb并进入其视图.Device domain bbb#配置802.1X用户使用RADIUS案radius1进 行认证、授权、

15、计费,并采用local作为备选方 法.Device-isp-bbb authentication lan-access radius-scheme radius1 localDevice-isp-bbb authorization lan-access radius-scheme radius1 localDevice-isp-bbb accounting lan-access radius-scheme radius1 localDevice-isp-bbb quit(5) 配置 802.1X# 开启端口 GigabitEthernet1/0/1 的 802.1X. Device inter

16、face gigabitethernet 1/0/1 Device-GigabitEthernet1/0/1 dot1x# 配置端口的802.1X接入限制方式为 mac-based 该配置可选,由于端口的接入限制 在缺省情况下就是基于MAC1址的.Device-GigabitEthernet1/0/1dot1xport-method macbased# 指定端口上接入的802.1X用户使用强制认证 域 bbboDevice-GigabitEthernet1/0/1dot1xmandatory-domain bbbDevice-GigabitEthernet1/0/1 quit# 开启全局802

17、.1X.Device dot1x4.验证配置使用命令display dot1x interface 可以查看端 口 GigabitEthernet1/0/1 上的 802.1X 的配置情 况.当802.1X用户输入正确的用户名和密码成 功上线后可使用命令display dot1x connection查看到上线用户的连接情况.实验四：网络地址转换配置举例组网需求内部网络中192.168.100.0/24 网段的用户可以 访问Internet ,使用的外网地址为 202.38.1.2 和 202.38.1.3.组网图192.168.100.1/24HostASwrtchGE 0.1192.168

18、.100.3/24 202,3811/24GE 0/3RouterGE 0/2 GE MInternet202.381.424Hc«tB192,168,100,2/24配置步骤#根据组网图配置各接口的IP地址,具体配置 过程略.#配置地址组0,包含两个外网地址202.38.1.2和 202.38.1.3 oRouternat address-group 0 Router-address-group-0address 202.38.1.2 202.38.1.3 Router-address-group-0quit#配置 ACL 2000 ,仅允许对内部网络中 192.168.1.0/2

19、4网段的用户报文进行地址转换.Routeracl basic 2000Router-acl-ipv4-basic-2000rulepermitsource 192.168.1.0 0.0.0.255Router-acl-ipv4-basic-2000# quit在接口 GigabitEthernet0/2上配置出方向动态地址转换,允许使用地址组 0中的地址对匹配 ACL 2000的报文进行源地址转换,并在转换过 程中使用端口信息.Router interface gigabitethernet 0/2Router -GigabitEthernet0/2 nat outbound2000 add

20、ress-group 0Router -GigabitEthernet0/2 quit组网图12.0.0.2/24 _ 23.0.02/24窿G 目J.route rB 12.0 A1/24routerAGE 0/023.0.0.3/24routerC配置步骤(1)配置 routerArouterAinterface GigabitEthernet 0/0routerA-GigabitEthernet0/0ipaddress12.0.0.1 24routerA-GigabitEthernet0/0quitrouterAip route-static23.0.0.0255.255.255.0 1

21、2.0.0.2(2)配置 routerBrouterBinterface GigabitEthernet 0/1routerB-GigabitEthernet0/1ipaddress23.0.0.2 24 routerB-GigabitEthernet0/1quitrouterBinterface GigabitEthernet 0/0routerB-GigabitEthernet0/0ip addrouterB-GigabitEthernet0/0ipaddress12.0.0,2 24routerB-GigabitEthernet0/0quit(3)配置 routerCrouterCint

22、erface GigabitEthernet 0/0routerC-GigabitEthernet0/0ipaddress23.0.0,3 24routerC-GigabitEthernet0/0quitrouterCip route-static 12.0.0.0255.255.255.0 23.0.0.2验证配置配置完成后,各主机间能够ping通.实验五：DHCPS置举例组网图10J.1.1/24图Host_1DHCPserver配置步骤#配置VLAN接口的IP地址.<H3C> system-viewH3C interface GigabitEthernet 0/0H3C-Gi

23、gabitEthernet0/0 ip address10.1.1.1 24# 使能DHCP效劳.H3C dhcp enable# 配置不参与自动分配的IP地址.H3C dhcp server forbidden-ip 10.1.1.3# 配置DHCPM址池0.H3C dhcp server ip-pool 0H3C-dhcp-pool-0network 10.1.1.0 mask 255.255.255.0H3C-dhcp-pool-0 dns-list 10.1.1.3H3C-dhcp-pool-0 gateway-list 10.1.1.1H3C-dhcp-pool-0 quit验证配置

24、#查看电脑获取到该网段地址实验六：静态路由组网图GE 0 0GE 0/0GE D/1GL_0/1RTARTBRTC配置步骤(1)配置接口地址#配置RTA勺接口地址.<RTA> system-viewRTAinterface GigabitEthernet 0/0RTA-GigabitEthernet0/0ip address 192.168.0.1 24#配置RTB勺接口地址.<RTB> system-viewRTBinterface GigabitEthernet 0/0RTB-GigabitEthernet0/0ip address 192.168.0.2 24RT

25、Binterface GigabitEthernet 0/1RTB-GigabitEthernet0/1ip address 192.168.1.1 24#配置RTC勺接口地址.<RTC> system-viewRTCinterface GigabitEthernet 0/1RTC-GigabitEthernet0/1ip address 192.168.1.2 24(2)配置静态路由#在RTAt配置静态路由<RTA> system-viewRTA ip route-static 192.168.1,0 24 192.168.0.2# 在RTCh配置静态路由<RT

26、C> system-viewRTC ip route-static 192.168.0,0 24 192.168.1.1验证配置配置完成后,RTAT以ping通RTC实验七：配置OSP现本功能 组网图配置步骤(1)配置各接口的IP地址(略)(2)配置OSP厘本功能# 配置 Router A.<RouterA> system-viewRouterA ospfRouterA-ospf-1 area 0 RouterA-ospf-1-area-0.0.0,0network10.1.1.0 0.0.0,255RouterA-ospf-1-area-0.0.0.0 quitRouter

27、A-ospf-1 area 1RouterA-ospf-1-area-0.0.0,1network10.2.1.0 0.0.0,255RouterA-ospf-1-area-0.0.0,1 quitRouterA-ospf-1 quit# 配置 Router B.<RouterB> system-viewRouterB ospfRouterB-ospf-1 area 0RouterB-ospf-1-area-0.0.0,0network10.1.1.0 0.0.0.255RouterB-ospf-1-area-0.0.0.0 quitRouterB-ospf-1 area 2RouterB-ospf-1-area-0.0.0,2network10.3.1.0 0.0.0.255RouterB-ospf-1-area-0.0.0.2 quitRouterB-ospf-1 quit# 配置 Router C .<RouterC> syste