H3C-系统实验手册

1、H3C-系统实验手册2016年南通市地税系统实验手册目录实验一：通过Telnet方式登录交换机典型配置举例错误!未定义书签。实验二：基于端口的VLAN典型配置举例5实验三：802.IX认证配置举例8实验四：网络地址转换配置举例13实验五：DHCP配置举例17实验六：静态路由19实验七：配置0SPF基本功能20实验一：通过Telnet方式登录交换机典型配置举例组网图19PC192.168.100.22/24GE_0/0192.168.100.230/24device配置步骤(1)配置Device接口地址192.168.100.230/24o<Sysname>systemGigabit

2、EthernetO/O地址为SysnameinterfaceGigabitEthernet0/0Sysname-GigabitEthernet0/0ipaddress192.168.100.23024Sysname-GigabitEthernetO/Oquit(2)配置认证#设置VTY的认证模式为schemeoSysnamelinevty015Sysname-line-vtyO-151authentication-modeschemeSysnameTine-vtyO-15quit#创建设备管理类本地用户adminoSysnamelocal-useradmin#指定本地用户的授权用户角色为net

3、work-adminSysname-luser-manage-adminauthorization-attributeuser-ro1enetwork-admin#配置该本地用户的服务类型为TelnetoSysname-luser-manage-adminservice-typetelnet#配置该本地用户密码为密文adminoSysname-luser-manage-adminpasswordsimpleadminSysname-luser-manage-adminquit(3)开启Telnet服务Sysnametelnetserverenable验证配置配置完成后，HostA与HostB能

4、通过Telnet登录设备运行cmd-输入telnet192.168.100.230-回车-输入用户名密码1+录mTelnet192.168.100.230._.、。I回“Copyright<c>20042014HacgzshoaH3CToch.Co.,Ltd-Cl11rightoreserved.xWithouttheov/ncrJspriorv/rittenconsent,*iiudecoinpilinyorreverse-engineeringshallbealluv/ed.login：adminPassvwrd：<Sysnane>实验二：基于端口的VLAN典型配置

5、举例组网需求如图所示，HostA和HostC属于部门A,但是通过不同的设备接入公司网络；HostB和HostD属于部门B,也通过不同的设备接入公司网络。为了通信的安全性，以及避免广播报文泛滥，公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN100,部门B使用VLAN200o现要求同一VLAN内的主机能够互通，即HostA和HostC能够互通，HostB和HostD能够互通。组网图vlanlOO192.168.100.1/24vlan200192.168.100.3/24vlanlOO192.168.100.2/24vlan200192.168.100.4/24配置步骤(

6、1)配置DeviceA批量配置接口GigabitEthernet1/0/1GigabitEthernet1/0/2工作在二层模式。<DeviceA>system-viewDeviceAinterfacerangegigabitethernet1/0/1togigabitethernet1/0/3DeviceA-if-rangeportlink-modebridgeDeviceA-if-rangequit# 创建VLAN100,并将GigabitEthernetl/0/1加入VLAN100oDeviceAvlan100DeviceA-vlanlOOportgigabitetherne

7、t1/0/1DeviceA-vlanlOOquit# 创建VLAN200,并将GigabitEthernetl/0/2力口入VLAN200oDeviceAvlan200DeviceA-vlan200portgigabitethernet1/0/2DeviceA-vlan200quit# 为了使DeviceA上VLAN100和VLAN200的报文能发送给DeviceB,将GigabitEthernet2/0/3的链路类型配置为Trunk,并允许VLAN100和VLAN200的报文通过。DeviceAinterfacegigabitethernet1/0/3DeviceA-GigabitEther

8、net1/0/3portlink-typetrunkDeviceA-GigabitEthernet1/0/3porttrunkpermitvlan100200（2）DeviceB上的配置与DeviceA上的配置相同，不再赘述。验证配置(1)HostA和HostC能够互相ping通，但是均不能ping通HostBoHostB和HostD能够互相ping通，但是均不能ping通HostA。实验三：802.1X认证配置举例1.组网需求用户通过Device的端口GigabitEthernet1/0/1接入网络，设备对该端口接入的用户进行802.IX认证以控制其访问Internet,具体要求如下:.由两

9、台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。 端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。.认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。 所有接入用户都属于同一个ISP域bbbo Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为moneyo2.组网图GE1J3216.1.1 &qu

10、ot;24RADIUS server cluster imary: 10.1.1.V24 ry: 10.1.1.2Z24SupplicantAothenticalorDeviceHost 192.166.1.2/24GE1,W1VlAn-iftt2192.168.11/24Internet3.配置步骤配置各接口的IP地址（略）配置本地用户#添加网络接入类本地用户，用户名为localuser,密码为明文输入的localpasso（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置）<Device>syste

11、m-viewDevicelocal-userlocaluserclassnetworkDevice-luser-network-localuserpasswordsimplelocalpass#配置本地用户的服务类型为lan-accessoDevice-luser-network-localuserservice-typelan-accessDevice-luser-network-localuserquit配置RADIUS方案#创建RADIUS方案radius1并进入其视图。Deviceradiusschemeradiusl#配置主认证/计费RADIUS服务器的IP地址。Device-rad

12、ius-radius11primaryauthentication10.1.1.1Device-radius-radius11primaryaccounting10.1.1.1#配置备份认证/计费RADIUS服务器的IP地址。Device-radius-radius11secondaryauthentication10.1.1.2Device-radius-radius11secondaryaccounting10.1.1.2#配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。Device-radius-radiuslkeyauthenticationsimplenameDe

13、vice-radius-radiuslkeyaccountingsimplemoney# 配置发送给RADIUS服务器的用户名不携带域名。Device-radius-radius11user-name-formatwithout-domainDevice-radius-radius1quit(4)配置ISP域# 创建域bbb并进入其视图。Devicedomainbbb# 配置802.IX用户使用RADIUS方案radius1进行认证、授权、计费，并采用local作为备选方法。Device-isp-bbbauthenticationlan-accessradius-schemeradius1lo

14、calDevice-isp-bbbauthorization1an-accessradius-schemeradius1localDevice-isp-bbbaccountinglan-accessradius-schemeradius1localDevice-isp-bbbquit(5)配置802.IX# 开启端口GigabitEthernetl/0/1的802.IXoDeviceinterfacegigabitethernet1/0/1Device-GigabitEthernet1/0/1dotlx# 配置端口的802.IX接入控制方式为mac-based （该配置可选,因为端口的接入控制

15、在缺省情况下就是基于MAC地址的）。dotlxDevice-GigabitEthernet1/0/1port-methodmacbased# 指定端口上接入的802.IX用户使用强制认证域bbboDevice-GigabitEthernet1/0/1dotlxmandatory-domainbbbDevice-GigabitEthernet1/0/1quit# 开启全局802.IXoDevicedotlx4.验证配置使用命令displaydotlxinterface可以查看端口GigabitEthernetl/0/1上的802.IX的配置情况。当802.IX用户输入正确的用户名和密码成功上线后

16、，可使用命令displaydotlxconnection查看到上线用户的连接情况。实验四：网络地址转换配置举例组网需求内部网络中192.168.100.0/24网段的用户可以访问Internet,使用的外网地址为202.38.1.2和202.38.1.3o组网图HostA G192.168.100.1/24192.168.100.3/24202.38.1.1/24GE 0/1GE 0/31GswitchGE 0/0RouterGE 0/2 GEJJ/1InternetGE 0/1202.38.1.4/24HostB192.168.100.2/24配置步骤#按照组网图配置各接口的IP地址，具体配

17、置过程略。#配置地址组0,包含两个外网地址202.38.1.2和20238.1.3oRouternataddress-group0Router-address-group-0address202.38.1.2202.38.1.3Router-address-group-0quit#配置ACL2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。Routeraclbasic2000Router-acl-ipv4-basic-20001rulepermitsource192.168.1.00.0.0.255Router-acl-ipv4-basic-2000#quit

18、在接口GigabitEthernetO/2上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL2000的报文进行源地址转换，并在转换过程中使用端口信息。Routerinterfacegigabitethernet0/2Router-GigabitEtherne10/2natoutbound2000address-group0Router-GigabitEthernetO/21quit组网图23.0.0.3/24配置步骤(1)配置routerArouterAinterfaceGigabitEthernet0/0routerA-GigabitEthernet0/0ipaddress12.

19、0.0.124routerA-GigabitEthernet0/0quitrouterAiproute-static23.0.0.0255.255.255.012.0.0.2(2)配置routerBrouterBinterfaceGigabitEthernet0/1routerB-GigabitEtherne10/1ipaddress23.0.0.224routerB-GigabitEthernetO/11quitrouterBinterfaceGigabitEthernet0/0routerB-GigabitEthernetO/01ipaddrouterB-GigabitEtherne10/

20、0ipaddress12.0.0.224routerB-GigabitEthernetO/01quit(3)配置routerCrouterCinterfaceGigabitEthernet0/0routerC-GigabitEthernetO/0ipaddress23.0.0.324routerC-GigabitEthernetO/0quitrouterCiproute-static12.0.0.0255.255.255.023.0.0.2验证配置配置完成后，各主机间能够ping通。实验五：DHCP配置举例组网图10.1.1.1/24GE 0/0DHCPserverHost1配置步骤#配置VL

21、AN接口的IP地址。<H3C>system-viewH3CinterfaceGigabitEthernet0/0H3C-G1gabitEtherne10/0ipaddress10.1.1.124# 使能DHCP服务。H3Cdhcpenable# 配置不参与自动分配的IP地址。H3Cdhcpserverforbidden-ip10.1,1.3# 配置DHCP地址池0。H3Cdhcpserverip-pool0H3C-dhcp-pool-0network10.L1.0mask255.255.255.0H3C-dhcp-pool-0dns-list10.1.1.3H3C-dhcp-poo

22、l-0gateway-list10.L1.1H3C-dhcp-pool-0quit验证配置# 查看电脑获取到该网段地址网络在滨洋汨信息网络连授详细信息UJ：属性值连超特定的D1IS后缀描述VirtuLBoxHost-OitlyEthernet物理地址08-00-27-00-28-55已启用DHCP早IPv4地址10.1.1.Z工EV4子网掩码255.255.255.0获得租约的时间201.6年6月13日10:48:34租约过期的时同2tH6年6月14日10:48:33IP-4默认网关10.1.1.1工PZDHCP期务器10.1.1.1工”4DNS服芬器10.1.1.3IPXwnrs丽若器已启用

23、NetBIOSeve.是连捺一本她IPv6地址£阳0:：29c0：9ca3：a425：eOe2%41工PM默认网关IP«z6DNSRB话罂YIW|卜关闺©)I实验六：静态路由组网图GE 0/0GE_0/0RTAGE.0/1RTBGE 0/1RTC配置步骤(1)配置接口地址#配置RTA的接口地址。<RTA> system-viewRTAinterface GigabitEthernet 0/0RTA-GigabitEthernetO/Oip address 192.168. 0.1 24#配置RTB的接口地址。<RTB> system-vie

24、wRTBinterface GigabitEthernet 0/0RTB-GigabitEthernet0/0ip address 192.168.0.2 24RTBinterface GigabitEthernet 0/1RTB-GigabitEthernetO/1ip address 192.168.1.1 24#配置RTC的接口地址。<RTC> system-viewRTCinterface GigabitEthernet 0/1RTC-GigabitEthernetO/1ip address 192.168.1. 2 24(2)配置静态路由#在RTA上配置静态路由。<

25、RTA> system-viewRTA ip route-static 192.168.1. 0 24 192. 168. 0. 2#在RTC上配置静态路由。<RTC> system-viewCRTC ip route-static 192.168. 0.0 24 192.168.1.1验证配置配置完成后，RTA可以ping通RTC。实验七：配置OSPF基本功能组网图G62/V1 10.2.1.2T24RoutercX?-4-1-14Ar«a 1S£LAGE2/1/1 ArCa°配置步骤(1)配置各接口的IP地址(略)(2)配置OSPF基本功能#

26、配置RouterA。<RouterA>system-viewRouterAospfRouterA-ospf-1area0RouterA-ospf-l-area-O.0.0.0network10.1.1.00.0.0.255RouterA-ospf-l-area-0.0.0.0quitRouterA-ospf-1area1RouterA-ospf-l-area-O.0.0.1network10.2.1.00.0.0.255RouterA-ospf-l-area-O.0.0.1quitRouterA-ospf-1quit#配置RouterBo<RouterB>system-viewRouterBospfRouterB-ospf-1area0RouterB-ospf-l-area-0.0.0,0network10.1.1.00.0.0.255RouterB-ospf-l-area-0.0.0,0quitRouterB-ospf-1area2RouterB-ospf-l-area-0.0.0.2network10.3.1.00.0.0.255RouterB-ospf-l-area-0.0.0,2quitRouterB-osp