交换机工程师亲手配置文件

交换机配置（一）S5012、S5024、S5600系列:2000_EI系列以上的交换机都可以限速!2000_EI直接在端口视图下面输入LINE-RATE4参数可选1.PC1PC2IP/24、1.在SwitchA上配置端口限速，将PC1的速率限制在3Mbps，同时将PC1的上传速率1Mbps【SwitchA进入端口E0/1[SwitchA]interfaceEthernetE0/13Mbps[SwitchA-Ethernet0/1]line-rateoutbound30E0/11Mbps[SwitchA-Ethernet0/1]line-rateinbound161～1271～28范围内，则速率限制的粒度为64Kbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为N*64K；如的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。【SwitchA进入端口E0/1[SwitchA]interfaceEthernetE0/16Mbps[SwitchA-Ethernet0/1]line-rateoutbound2E0/13Mbps[SwitchA-Ethernet0/1]line-rateinbound1line-rate命令，对该端口的出方向报文进行流量限速；结合acl，traffic-limit命令，对端口的入方向报文进行流量限速。【SwitchA进入端口E0/1[SwitchA]interfaceEthernetE0/13Mbps[SwitchA-Ethernet0/1]line-rate3[SwitchA]aclnumber[SwitchA-acl-link-4000]rulepermitingressanyegress[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceedacl使用，对匹配了指定控制列表规则的数据报文进行流量限制。在配置acl的时候，traffic-shtraffic-limit命令，分别来对该端口的出、入报文【SwitchA进入端口E0/1[SwitchA]interfaceEthernet对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]traffic-sh 32503250[SwitchA]aclnumber[SwitchA-acl-link-4000]rulepermitingressanyegress[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceedline-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定控制列表规则的端口入方向【SwitchA进入端口E1/0/1[SwitchA]interfaceEthernetE0/13Mbps[SwitchA-Ethernet1/0/1]line-rate3000[SwitchA]aclnumber[SwitchA-acl-link-4000]rulepermitingressanyegress[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceedacl使用，对匹配了指定控制列表规则的数据报文进行流量限制。在配置acl的时候，line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定控制列表规则的端口入方向【SwitchA进入端口E1/0/1[SwitchA]interfaceEthernetE0/13Mbps[SwitchA-Ethernet1/0/1]line-rate3000[SwitchA]aclnumber[SwitchA-acl-link-4000]rulepermitingressanyegress[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceedacl使用，对匹配了指定控制列表规则的数据报文进行流量限制。在配置acl的时候，交换机配置（二）1，端口AM使用特殊的AMUser-bindMAC[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernetMACPCPC1MAC地址可以在其mac-addressstaticMAC地址与端口之间的绑定。例如：[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1[SwitchA]mac-addressmax-mac-count0macmacAM使用特殊的AMUser-bindIPMAC[SwitchA]amuser-bindip-addressmac-address00e0-fc22-PCIPMACIP地址MACPC机，在任何端口都无法上网。arp使用特殊的arpstaticIPMAC[SwitchA]arpstatic00e0-fc22-PCIPMAC3，端口使用特殊的AMUser-bindIP、MAC[SwitchA]amuser-bindip-addressmac-address00e0-fc22-f8d3interfaceEthernet的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其;交换机配置（三）ACL1.组网需求通过二层控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目MAC00e0-fc01-0303GigabitEthernet0/1接入。.配置步骤#8:0018:00[Quidway]time-range8:00to18:00MAC00e0-fc01-0101MAC00e0-fc01-0303#进入基于名字的二层控制列表视图，命名为traffic-of-link。[Quidway]aclnametraffic-of-linklink#MAC00e0-fc01-0101MAC00e0-fc01-0303 00e0-fc01-03030-0-0time-range#traffic-of-link的ACL[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link2ACL.组网需求通过基本控制列表，实现在每天8:00～18:00时间段内对源IP为主机发出报文GigabitEthernet0/1接入。.配置步骤#8:0018:00 8:00to18:00IP#进入基于名字的基本控制列表视图，命名为traffic-of-host。[Quidway]aclnametraffic-of-hostbasic#定义源IP为的规则[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-#traffic-of-host的ACL.组网需求ACL，限制研发部门在上班时间8:00至18:00工资服务器。.配置步骤#8:0018:00[Quidway]time-range8:00to18:00working-day(2)定义到工资服务器的ACL#进入基于名字的高级控制列表视图，命名为traffic-of-payserver。[Quidway]aclnametraffic-of-payserveradvanced#定义研发部门到工资服务器的规则[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestination#traffic-of-payserver的ACL[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver3，常见的ACLaclnumber禁 denyicmpsourceanydestinationBlaster denyudpsourceanydestinationanydestination-porteq denytcpsourceanydestinationanydestination-porteq denytcpsourceanydestinationanydestination-porteq135 denyudpsourceanydestinationanydestination-porteq135 denyudpsourceanydestinationanydestination-porteqnetbios-ns denyudpsourceanydestinationanydestination-porteqnetbios-dgm denytcpsourceanydestinationanydestination-porteq139ruledenyudpsourceanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振荡波的扫描和ruledenytcpsourceanydestinationanydestination-porteqruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制Worm_MSBlast.A蠕虫的ruledenyudpsourceanydestinationanydestination-porteq denytcpsourceanydestinationanydestination-porteq1068 denytcpsourceanydestinationanydestination-porteq5800 denytcpsourceanydestinationanydestination-porteq5900 denytcpsourceanydestinationanydestination-porteq10080 denytcpsourceanydestinationanydestination-porteq455 denyudpsourceanydestinationanydestination-porteq455 denytcpsourceanydestinationanydestination-porteq3208 denytcpsourceanydestinationanydestination-porteq1871 denytcpsourceanydestinationanydestination-porteq4510 denyudpsourceanydestinationanydestination-porteq4334 denytcpsourceanydestinationanydestination-porteq4331 denytcpsourceanydestinationanydestination-porteq4557packet-filterip-group目的针对目前网上出现的问题对目的是端为1434的UDP报文进行过滤的配置方法，NE80NE80(config)#rule-mapr1udpanyanyeq//r1role-map的名字，udp为关键字，anyanyIP，eq为等于，1434端NE80(config)#acla1r1//a1acl的名字，r1rule-map//1/0/0acl，acl为关键字，a1为aclNE16NE16-4(config)#firewallenableNE16-4(config)#access-list101denyudpanyanyeq//deny为的关键字，针对udp报文，anyany为所有源、目的IP，eq为等于，1434udp端NE16-4(config-if-Ethernet2/2/0)#ipaccess-group101//access-list，inout表示出去的报文中路由器的配置[Router]firewallenable[Router]acl101[Router-acl-101]ruledenyudpsourceanydestionanydestination-porteq1434[Router-Ethernet0]firewallpacket-filter101inbound65066506(config)#aclextendedaaadenyprotocoludpanyanyeq1434 [Quidway]aclnumber[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434 [Quidway-Ethernet5/0/1]packet-filterinboundip-group100not-care-for-interface5516产品的配置： l3aaaprotocol-typeudressanyegressanyeq14345516(config)#flow-actionfffdeny5516(config)#aclbbbaaafff [Quidway]aclnum100[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway]packet-filterip-group1003526rule-mapl3reqflow-actionf1denyaclacl1r1f1access-groupacl1aclnumberrule0denyudpsource0source-porteq1434destinationpacket-filterip-group101rule注：3526产品只能配置对内网的过滤规则，其中是内网的地址段8016产品的配置：8016(config)#rule-mapintervlanaaaudp eq14348016(config)#aclbbbaaadeny8016(config)#access-groupaclbbbvlan10port8016(config)#rule-mapintervlanaaaudp eq14348016(config)#eaclbbbaaadeny8016(config)#access-groupeaclbbbvlan10port防止同网段ARP的1.二层交换机网络用户仿冒网关IP的ARP图1二层交换机防ARP组S3552PIP：PC的网关，S3552PMAC地址为000f-e200-3999。PC-B上装有ARP。现在需要对S3026C_A进行一些特殊配置，IPARP报文。对于二层交换机如S3026C等支持用户自定义ACL（number50005999）的交换机，可ACL来进行ARP报文过滤。全局配置ACL所有源IP是网关的ARP报acl rule0deny0806ffff2464010101ffffffffrule1permit0806ffff24000fe2003999ffffffffffffIP16进制表示形式。Rule1ARP报文，斜体部mac000f-e200-3999。S3026C-Aacl[S3026C-A]packet-filteruser-groupS3026C_AARP报文，其它主机都不能发送arp响应报文。三层交换机实现仿冒网关的ARP防IP的ARP图2三层交换机防ARP组网IPARPACLACL规aclnumberrule0deny0806ffff2464010105ffffffffrule0S3526E的所有端口接收冒充网关的ARP报文其中斜体部分64010105是网关16ACL[S3526E]packet-filteruser-groupIPARP防的ARP报文进行过滤。1如图1所示，当PC-B发送源IP地址为PC-D的arpreply报文，源mac是PC-B的3552arp，如下所示：VLAN PortAging arpstatic000f-3d81-45b412S3526C上也可以配置静态ARPARPMAC＋portS3026C端口E0/4上做如下操作：amuser-bindip-addrmac-addr000d-88f8-09faintIPMAC000d-88f8-09faARP报文可以通过E0/4ARPARP表项。ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP。5ACLACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时ACL直接下发到硬件的情况包括交换机实现QoS功能时ACL硬件转发时通过ACL被上层模块的情ACL被的情况包括：路由策略ACL、对登录用户进行控制时ACL等。说明：以下方法将删除原有config文件，使设备恢复到出厂配置。在设备重启时按Ctrl+B进入BOOT之后，PressCtrl-BtoenterBoot 5Password:缺省为空，回车即可DownloadapplicationfiletoSelectapplicationfiletoDisplayallfilesinDeletefilefromModifybootromEnteryourchoice(0-5 File File1234 567FreeSpace:3452928ThecurrentapplicationfileisPleaseinputthefilenumbertodelete:7 Doyouwanttodeletevrpcfg.txtnow?YesorNo(Y/N)yDelete DownloadapplicationfiletoSelectapplicationfiletoDisplayallfilesinDeletefilefromModifybootromEnteryourchoice(0-5):0 交换机配置（五）VLAN1即可实现VLAN间互联VLAN2VLAN31上网系统视图下：iproute-static1上配置回程路由routeaddrouteadd这个时候vlan2和vlan3中的计算机就可以通过服务器1internet了~~3VLAN之间的通信VLANIPVLANIP就是对应的子网段就是某个部门的子网段，VLANIP就是一个子网关。VLANIPVLANIPVLAN而且更方便网络管理员的管理和注意各VLAN中的客户机的网关分别对应各VLANIP。VLAN子网对应着四个重要部门，笔者认为这也是小企业VLAN10——综合行政；划分VLANVLANIPVLANDES-3326SR三层交换机的VLANDES-3326SR#Configvlandefauelete1-24 删除默认VLAN(default)包含的端口1-24''DES-3326SR#Createvlanvlan10tag10 创建VLAN名为vlan10，并标记VID为10DES-3326SR#Createvlanvlan20tag20 创建VLAN名为vlan20，并标记VID为20DES-3326SR#Createvlanvlan30tag30 创建VLAN名为vlan10，并标记VID为30DES-3326SR#Createvlanvlan40tag40 创建VLAN名为vlan10，并标记VID为40DES-3326SR#Configvlanvlan10adduntag1- 1-6添加到DES-3326SR#Configvlanvlan20adduntag7-12 把端口1-6添加到VLAN20DES-3326SR#Configvlanvlan30adduntag13-18 把端口1-6添加到VLAN30DES-3326SR#Configvlanvlan40adduntag19- 把端口1-6添加到VLANDES-3326SR#Createipifif10/24VLAN10stateenabled创建虑拟的接口if10给名为VLAN10的VLAN子网并且指定该接口的IP为/24建后enabledDES-3326SR#Createipifif20/24VLAN20stateenabledDES-3326SR#Createipifif30/24VLAN30stateenabledDES-3326SR#Createipifif40/24VLAN40stateVLAN的接路由的出现，因此不需要静态路由或动态路由协议的配置。DES-3226S二层交换机的VLANDES-3226S#Configvlandefau elete1-24 DES-3226S#Createvlanvlan10tag10 创建VLAN名为vlan10，并标记VID为10DES-3226S#Configvlanvlan10adduntag1- 1-24添加到同理，配置其它DES-3226S二层交换机。完成以后就可以将各个所属VLAN的二层交DES-3326SRVLAN的端口连接即可。交换机配置（六）【3026S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：[SwitchA]portmirrorEthernet0/1toEthernet可以定义镜像和被镜像端[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet【80168016E1/0/15E1/0/01/0/15为端口镜[SwitchA]portmonitorethernet[SwitchA]portmirroringethernet1/0/0bothethernetE1/0/15E2/0/0为镜像（观测）[SwitchA]portmonitorethernet1/0/0为被镜像端口，分别使用E1/0/15E2/0/0[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0[SwitchA]aclnum[SwitchA-acl-adv-101]rule0permitipsource0destination[SwitchA-acl-adv-101]rule1permitipsourceanydestinationACL规则的报文镜像到E0/8[SwitchA]mirrored-toip-group101interface定义一个[SwitchA]aclnum[SwitchA]rule0permitingressinterfaceEthernet0/1(egressinterface[SwitchA]rule1permit(ingressinterface egressinterfaceACLE0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516Ethernet3/0/1Ethernet3/0/2[SwitchA]mirrorEthernet ingress-toEthernetoutbount参数，但是无法配置。1Ethernet4/0/2Ethernet4/0/1的入流量被镜像。[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/21000M100M端口，8016PortMirror(端口镜像）AB之间建立镜像关系，这样，通过端口A传输的数据将同时到端口B，以便于在端口B上连接的分析仪或者进行性能分析或故障判断。PC1接在交换机E0/1端口，IPPC2接在交换机E0/2端口，IPE0/24ServerE0/82【3026S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：[SwitchA]portmirrorEthernet0/1toEthernet可以定义镜像和被镜像端[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet【80168016E1/0/15E1/0/01/0/15为端口镜[SwitchA]portmonitorethernet[SwitchA]portmirroringethernet1/0/0bothethernetE1/0/15E2/0/0为镜像（观测）[SwitchA]portmonitorethernet1/0/0为被镜像端口，分别使用E1/0/15E2/0/0[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0[SwitchA]aclnum[SwitchA-acl-adv-101]rule0permitipsource0destination[SwitchA-acl-adv-101]rule1permitipsourceanydestinationACL规则的报文镜像到E0/8[SwitchA]mirrored-toip-group100interface定义一个[SwitchA]aclnum[SwitchA]rule0permitingressinterfaceEthernet0/1egressinterface[SwitchA]rule1permitingressinterfaceEthernet0/2egressinterfaceACLE0/8[SwitchA]mirrored-tolink-group200interfacee0/8[SwitchA]mirroring-portEthernet3/0/11000M100M端口，交换机配置（七）DHCP1，交换机作DHCPPC10/1VLAN10；PC2连接到交换机的以太网0/2VLAN20SwitchAVLAN10/24，VLAN20PC/24；PC2可以动态/24『DHCPServerPCIPDHCP中继设备连PCIP地址。[SwitchA]vlanE0/1VLAN10[SwitchA-vlan10]portEthernet0/1VLAN10IP[SwitchA-Vlan-interface10]ipaddressVLAN10IP[SwitchA-Vlan-interface10]dhcpselect[SwitchA]dhcpserverforbidden-ip[SwitchA]vlanE0/1VLAN10[SwitchA-vlan10]portEthernet0/1VLAN10IP[SwitchA-Vlan-interface10]ipaddressVLAN10IP[SwitchA]dhcpserverip-pool[SwitchA-dhcp-vlan10]networkmask[SwitchA]dhcpserverforbidden-ip以上配置以VLAN10的为例，VLAN20VLAN10的配置即可。在采用全局地址经过以上配置，可以完成为PC1IP地址为/24，同时PC1PC2IP/24，同时PCVLANVLAN接口配置了以全局VLAN接口下无法看到有DHCP的配置。IP2，DHCPRelayDHCPServerIP在SwitchADHCPRelayIPPC1、PC2均可以通自己的网关，同时PC1、PC2之间可以互『交换机DHCPRelay网的用户可以到同一个DHCPServer申请IP地址，这样便于地址池的管理和。【SwitchA全局使能DHCP功能（缺省情况下，DHCP功能处于使能状态[SwitchA]dhcp[SwitchA]vlanG1/1VLAN100IP[SwitchA-Vlan-interface100]ipaddress[SwitchA]vlanE0/1-E0/10[SwitchA-vlan10]portEthernet0/1toEthernetVLAN10IP[SwitchA-Vlan-interface10]ipaddress使能VLAN10的DHCPVLAN10DHCP[SwitchA-Vlan-interface10]iprelayaddressE0/11-E0/20加入到[SwitchA-vlan20]portEthernet0/11toEthernet为VLAN20IP[SwitchA-Vlan-interface20]ipaddress使能VLAN20的DHCP为VLAN20配置DHCP[SwitchA-Vlan-interface20]iprelayaddress也可以在全局配置模式下，使能某个或某些VLAN接口上的DHCP[SwitchA]dhcpselectrelayinterfaceVlan-interface103，DHCPSnooDHCPServer连接在交换机SwitchA的G1/1端口，属于vlan10，IPE0/1和E0/2PC1、PC2均可以从指定DHCPServerIP防止其他的DHCPServer影响网络中的主『交换机DHCP-Snoo配置流程Request或DHCPAckIPMAC地址信息。另外，DHCP-Snoo允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP冒DHCPServer的作用，确保客户端从合法的DHCPServer获取IP地址。【SwitchA[SwitchA]vlanE0/1、E0/2G1/1VLAN10[SwitchA-vlan10]portEthernet0/1Ethernet0/2GigabitEthernet1/1G1/1trustDHCPIP地址的报文――”dhcpoffer”SwitchATrunkDHCP中继设备，也需要将上行端

交换机配置（八）1，命令displaycurrent-configuration:查看以太网交换机的当前配置，命令3resetsaved-configurationFlashMemory中的配置文件，以太网交换机下次FTP文件上传与，FTPServerPCFTPClientFTPServer上作了如下配置：配置了一个FTP用户名为switch为o，对该用户了交换机上Flash根的读写权限。交换机上的一个VLAN接口的IP地址为，PCIP地址为，交换机和PC，switch.appPC上。PC通过FTPswitch.app，同时将交换机的配置文件vrpcfg.txt到PC实现配置文件的备份。#用户登录到交换机上（Console#在交换机上开启FTP服务，设置好用户名、和路径：[Quidway]ftpserverenable[Quidway]local-user[Quidway-luser-switch]service-typeftpftp-directory 在PC上运行FTPClient程序，同交换机建立FTP连接，同时通过上载操作把交换机的应用程序switch.app上载到交换机的Flash根 下，同时从交换机上配置文件注意：如果交换机的Flashmemory空间不够大，请删除Flash中原有的应用程序然后再上载新的应用程序到交换机Flash中。#用户可以通过命令bootboot-loader来指定的程序为下次启动时的应用程序，然后重bootboot-loaderswitch.appTFTP文件上传与VLANIPPCVLAN，PCIP。交换机的应用程序switch.app保存在PC上。交换机通过TFTP从TFTPServer上switch.appvrpcfg.txtTFTPServer的工作实现配置文 Flash中。#进入系统视图。#VLANIPPC相连的端口属于这个VLAN（本例VLAN1）[Quidway]interfacevlan[Quidway-vlan-interface1]ipaddress[Quidway-vlan-interface1]quit#将交换机的应用程序switch.app从TFTPServer到交换机[Quidway] get///switch.app#vrpcfg.txt上传到TFTPServer。[Quidway]tftpputvrpcfg.txt///vrpcfg.txt#quit[Quidway]#用户可以通过命令bootboot-loader来指定的程序为下次启动时的应用程序，然后重bootboot-loaderswitch.app1，WEB

交换机配置（九 管理配『WEB方式管理交换机配置流程首先必备条件要保证PC可以与SwitchB通信，比如PC可以通SwitchBWEBWEB管理的文件载入交换机的flash中，该文件需要与交换机当前使用的版本相配套。WEB管理文件的扩展名为”tar”或者”zip，可以从上相应的交换机版本时得到。需要在交换机上添加WEB管理使用的用户名及，该用户的类型为 net类型，而且权限为别3。WEBflash时，不要将文件进行解压缩，只需将完整的文【SwitchBflash里面的文件(保证WEB管理文件已经在交换机flash中)dir/allDirectoryof-rwxrwx1noonenogroup442797Apr02200013:09:50 net， ，为user[SwitchB-luser-]service-typenetlevel3[SwitchB-luser-]passwordsimplewnm[SwitchB]interfacevlan[SwitchB-Vlan-interface100]ipaddr对HTTP用户的控制（Option）[SwitchB]iphttpaclacl_num/acl_name 2，NET方式【NET验证配置[SwitchA]user-interfacevty0设置登陆验证的password为明文 [SwitchA-ui-vty0-4]setauthenticationpassword配置登陆用户的级别为别3(缺省为级别1)[SwitchA-ui-vty0-4]userprivilegelevel3superpassword(VTY用户界面登录后的级别)例如，配置级别3用户的superpassword为明文”super3”[SwitchA]superpasswordlevel3simple【NET本地用户名和验证配置[SwitchA]user-interfacevty03(1) ]passwordsimple netlevel3[SwitchA]superpasswordlevel3simple NETRADIUS验证配置以使 3Com公司开发的CAMS作为RADIUS服务器为[SwitchA]user-interfacevty0[SwitchA]radiusscheme 在域””中名为”cams”的认证方[SwitchA]defaultenable NET控制配置[SwitchA]aclnumber[SwitchA-acl-basic-2000]ruledenysource[SwitchA-acl-basic-2000]rulepermitsource[SwitchA-ui-vty0-4]acl2000 3，SSH方式[Quidway]rsalocal-key-pair [Quidway]user-interfacevty0[Quidway-ui-vty0-4]authentication-modescheme[Quidway-ui-vty0-4]protocolinboundssh[Quidway]local-userclient001[Quidway-luser-client001]passwordsimple[Quidway-luser-client001]service-typessh[Quidway]sshuserclient001authentication-typeSSH的认证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值，这些配置完成以后您就可以在其它与以太网交换机连接的终端上运行支持SSH1.5的客户端，以用户名client001， 交换机配置（十）STPSwitchA选用公司的高中端交换机，如S8500或者S6500系列交换SwitchB和SwitchC选用公司的交换机，如S3500或者S3550系列交换SwitchD、SwitchE和SwitchF选用­-3com公司的交换机，如S3000或者所有设备运行STP(SpanningTreeProtocol)『交换机STPSTP【SwitchB全局使能STP功能（缺省情况下，DHCP功能处于使能状态[SwitchB]stpSwtichB配置为树根(SwitchBBridge0，或者直接将SwitchB指定为树根，两种方法一个效果)[SwitchB]stppriotity0[SwitchB]stprootprimary[SwitchB]interfaceEthernet【SwitchC全局使能STP功能（缺省情况下，DHCP功能处于使能状态[SwitchB]stpSwtichC配置为备份树根(两种方法：将SwitcCBBridge4096，或者直SwitchC指定为备份树根，两种方法一个效果)[SwitchB]stppriotity4096[SwitchB]stprootsecondary[SwitchB]interfaceEthernet【其他Switch[SwitchD--Ethernet0/5]stpedged-portenable[SwitchD-]stpbpdu-protection当端口上配置了”stproot-protection”以后，该端口的角色只能是指定端口，且一旦该端口交换机配置（十一）VLANPC1IP/24，PC2IP/24，PC3IPIP53/24；PC1、PC2PC3E0/1、E0/2PVLANVLAN配置视图中，Isolate-user-VLAN命令(原有命Primary-VLAN)来完成。【SwitchA创建（进入）VLAN10E0/1加入到VLAN10[SwitchA]vlan10[SwitchA-vlan10]portEthernet创建（进入）VLAN20E0/2加入到VLAN20[SwitchA]vlan20[SwitchA-vlan20]portEthernet创建（进入）VLAN30E0/3加入到VLAN30[SwitchA]vlan30[SwitchA-vlan30]portEthernet创建（进入）VLAN100G2/1VLAN100[SwitchA]vlan100VLAN100Isolate-user-VLAN[SwitchA-vlan100]Isolate-user-VLANenable[SwitchA]isolate-user-vlan100secondary1020此功能配置主要用于对用户主机进行二层在配置Isolate-user-VLAN与secondaryVLAN之间的关系之前，Isolate-user-VLAN配置了关系之后不可以再对Isolate-user-VLAN或secondaryVLAN进行端口增减的操 1trunkPC1IP/24，PC2IP/24，PC3IP/24，PC4IP/24；PC1PC2分别连接到交换机SwitchAE0/1E0/2，端口分属于VLAN1020；PC3PC4SwitchBE0/10E0/20VLAN10和SwitchAG2/1SwitchBG1/1；SwitchAG2/1G1/1TrunkVLAN10和VLAN20SwitchA与SwitchBVLANPCSwitchA与S