H3C-S3100-MAC地址认证配置

H3C S3100低端交换机配置步伐之阿布丰王创作1、给设备命名<H3C>system[H3C]sysname （楼宇名称简写）2、配IP地址及vlan描述[H3C]interface Vlan-interface1 （VLAN 1作为下级单元的管理VLAN）[H3C-Vlan-interface1] ip address （各楼宇设备IP）IP地址掩码[H3C-Vlan-interface1]description GL_VLAN3、缺省网关[H3C]ip route-static 0.0.0.0 0.0.0.0 本地网关地址4、超级用户密码[H3C]super password level 3 cipher H3C5、配置telnet密码[H3C]user-interface vty 0 4[H3C-ui-vty0-4]authentication-mode password[H3C-ui-vty0-4]set authentication password cipher huawei [H3C-ui-vty0-4]user privilege level 16、WEB访问用户名和密码[H3C]local-user admin[H3C-luser-admin]password cipher huawei[H3C-luser-admin]service-type telnet [H3C-luser-admin]level 37、网管配置[H3C]snmp-agent community read public[H3C]snmp-agent community write H3C[H3C]snmp-agent sys-info version all[H3C]snmp-agent trap enable8、链路捆绑及端口描述[H3C]link-aggregation group1modemanual[H3C]interface GigabitEthernet3/0/1[H3C-GigabitEthernet3/0/1]port link-type trunk[H3C-GigabitEthernet3/0/1]port trunk permit vlan1000[H3C-GigabitEthernet3/0/1]port link-aggregation group1[H3C-GigabitEthernet3/0/1]description TO_对端设备名_对端设备型号_对端接口#[H3C]interface GigabitEthernet3/0/2[H3C-GigabitEthernet3/0/2]port link-type trunk[H3C-GigabitEthernet3/0/2]port trunk permit vlan1000[H3C-GigabitEthernet3/0/2]port link-aggregation group19、Trunk链路配置[H3C]interface GigabitEthernet1/1/3[H3C-GigabitEthernet1/1/3]port link-type trunk[H3C-GigabitEthernet1/1/3]port trunk permit vlan all10、S3100交换机堆叠[H3C]stacking ip-pool IP地址前缀堆叠交换机个数IP地址掩码[H3C]stacking enable11、O SPF简易配置过程[H3C]ospf[H3C -ospf-1]area 区域编码[H3C -ospf-1-area-0.0.0.1]network IP地址 IP地址反掩码12、O SPF和RIP路由的双向引入[H3C]ospf[H3C -ospf-1]import-route rip[H3C]rip[H3C -ospf-1]import-route ospf。

交换机、进入系统视图模式、为设备命名、当前配置情况、中英文切换、进入以太网端口视图、设置端口访问模式、打开以太网端口、关闭以太网端口、退出当前视图模式、创建并进入的视图模式、在端口模式下将当前端口加入到中、在模式下将指定端口加入到当前中、允许所有的通过路由器、进入系统视图模式、为设备命名为、显示当前路由表、中英文切换、进入以太网端口视图、配置地址和子网掩码、打开以太网端口、关闭以太网端口、退出当前视图模式、配置静态路由、配置默认的路由、调整超级终端的显示字号。

、捕获超级终端操作命令行，以备日后查对。

、中英文切换。

、复制命令到超级终端命令行，粘贴到主机。

、交换机清除配置:<> 。

<> 。

、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的不对。

、等同。

在配置交换机和路由器时，可以写成：、设备命名规则：地名设备名系列号例：华为交换机端口绑定基本配置，端口)命令使用特殊的命令，来完成地址与端口之间的绑定。

例如：[]配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口只允许上网，而使用其他未绑定的地址的机则无法上网。

但是使用该地址可以在其他端口上网。

)命令使用命令，来完成地址与端口之间的绑定。

例如：[][]配置说明：由于使用了端口学习功能，故静态绑定后，需再设置该端口学习数为，使其他接入此端口后其地址无法被学习。

，)命令使用特殊的命令，来完成地址与地址之间的绑定。

例如：[]配置说明：以上配置完成对机的地址和地址的全局绑定，即与绑定的地址或者地址不同的机，在任何端口都无法上网。

支持型号：、、、、、、、)命令使用特殊的命令，来完成地址与地址之间的绑定。

例如：[]配置说明：以上配置完成对机的地址和地址的全局绑定。

，端口使用特殊的命令，来完成、地址与端口之间的绑定。

例如：[]配置说明：可以完成将的地址、地址与端口之间的绑定功能。

由于使用了端口参数，则会以端口为参照物，即此时端口只允许上网，而使用其他未绑定的地址、地址的机则无法上网。

H3C交换机1、system-view 进入系统视图模式2、sysname为设备命名3、display current-configuration 当前配置情况4、Ianguage-mode Chinese|English中英文切换5、进入以太网端口视图6、port link-type Access|Trunk|Hybrid 设置端口访问模式7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan 10创建VLAN 10并进入VLAN 10的视图模式11、port access vlan 10在端口模式下将当前端口加入到vlan 10中12、在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan 通过H3C路由器ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff Il II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II IIf* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f*Il II II II II II II II II II II II II II II II II1、system-view 进入系统视图模式2、sysname R1为设备命名为R13、display ip routing-table 显示当前路由表4、Ianguage-mode Chinese|English中英文切换5、进入以太网端口视图6、i p address配置IP地址和子网掩码7、u ndo shutdown 打开以太网端口8、s hutdown 关闭以太网端口9、q uit 退出当前视图模式10、ip route-staticdescription 配置静态路由11、ip route-staticdescription 配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Routerf* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II IIf* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f* f*Il II II II II II II II II II II II II II II II II II II II II II II II II1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、I anguage-mode Chinese|English中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置:<H3C>reset save；<H3C>reboot；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。

S3600系列交换机EAD和MAC地址本地认证结合的配置（二）一、组网：1． PC的IP地址为1.1.1.1/8，交换机VLAN1的IP地址为1.1.1.2/8；2． PC接在交换机的G1/0/1口；3．先进行mac-authentication认证，如果成功则表明认证通过，如果失败则再进行dot1x认证。

二、组网图：无三、配置步骤：1. 全局使能MAC地址认证功能[Switch] MAC-authentication2. 配置认证方式为使用MAC地址作为用户名[Switch] MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen3. 配置使用系统默认域为用户的MAC认证域[Switch] MAC-authentication domain system4. 进入以太网Ethernet1/0/1端口视图[Switch] interface Ethernet1/0/15. 使能端口的MAC认证功能[Switch-Ethernet1/0/1] MAC-authentication6. 退出到系统视图[Switch-Ethernet1/0/1] quit7. 添加MAC认证的用户（用户名和密码都为需要进行验证的PC机MAC地址）[Switch] local-user 00-15-c5-0d-1a-348. 设置MAC认证的密码[Switch-luser-00-15-c5-0d-1a-34] password simple 00-15-c5-0d-1a-349. 服务类型为局域网接入类型[Switch-luser-00-15-c5-0d-1a-34] service-type lan-access10. 全局使能dot1x认证功能[Switch] dot1x11. 设置交换机为RADIUS服务器[Switch]local-server nas-ip 127.0.0.1 key huawei12. 进入以太网Ethernet1/0/1端口视图[Switch] interface Ethernet1/0/113. 使能端口的dot1x认证功能[Switch-Ethernet1/0/1] dot1x14. 退出到系统视图[Switch-Ethernet1/0/1] quit15. 添加本地接入用户[Switch] local-user huawei16. 设置本地用户的服务类型[Switch-luser-huawei] service-type lan-access17. 设置密码[Switch-luser-huawei] password simple huawei四、配置关键点：1. 正在进行MAC地址认证的时候，无法更改或删除用户配置；2. MAC认证和dot1x认证都必须使用system做为其认证域，而且认证时间比较长；3. 此处以H3C S3600为例，其他交换机如H3C S5600、Quidway S3900和Quidway S5600等配置相同。

H3C交换‎机MAC地‎址表管理配‎置MA‎C地址表‎项的分类与‎特点‎根据自身‎特点和配置‎方式等的不‎同，MAC‎地址表项‎可以分为三‎类：1‎、静态 M‎A C 地址‎表项：‎也称‎为“永久地‎址”，由用‎户手工添加‎和删除，不‎会随着时间‎老化。

对于‎一个设备变‎动较小的网‎络，手工添‎加静态地址‎表项可以减‎少网络中的‎广播流量。

‎2、‎动态 MA‎C地址表‎项：‎指‎可以按照用‎户配置的老‎化时间而老‎化掉的MA‎C地址表‎项，交换机‎可以通过M‎A C 地址‎学习机制或‎通过用户手‎工建立的方‎式添加动态‎M AC 地‎址表项。

‎3、黑‎洞 MAC‎地址表项‎：‎由用户手‎工配置的一‎类特殊的M‎A C 地址‎，当交换机‎接收到源M‎A C 地址‎或目的MA‎C地址为‎黑洞MAC‎地址的报‎文时，会将‎该报文丢弃‎。

‎(4)在系‎统视图下添‎加MAC ‎地址表项的‎操作进入‎系统视图‎s yste‎m-vie‎w添加‎M AC 地‎址表项：‎m ac-a‎d dres‎s { s‎t atic‎| dy‎n amic‎| bl‎a ckho‎l e } ‎m ac-a‎d dres‎s int‎e rfac‎e int‎e rfac‎e-typ‎eint‎e rfac‎e-num‎b er ‎v lan ‎v lan-‎i d水‎1. 组网‎需求‎用户‎通过con‎s ole口‎登录到交换‎机，配置地‎址表管理。

‎要求(1‎)设置交‎换机上动态‎m ac地址‎表项的老化‎时间为50‎0秒(2‎)在vla‎n1中的e‎t hern‎e t 2/‎1/2端口‎添加一个静‎态地址00‎e0-fc‎35-dc‎71(3‎)在vla‎n1中的G‎i gabi‎t Ethe‎r net ‎1/0/2‎端口添加一‎个黑洞ma‎c地址,以‎阻止该电脑‎参与网络活‎动。

(4‎)在vla‎n1中的G‎i gabi‎t Ethe‎r net ‎1/0/2‎端口删除黑‎洞mac地‎址‎2. 配置‎步骤‎ # ‎进入交换机‎系统视图。

H3C S3100 【2 】低端交流机设置装备摆设步骤1.给装备定名<H3C>system[H3C]sysname （楼宇名称简写）2、配IP地址及vlan描写[H3C]interface Vlan-interface1 （VLAN 1作为下级单位的治理VLAN）[H3C-Vlan-interface1] ip address （各楼宇装备IP）IP地址掩码[H3C-Vlan-interface1]description GL_VLAN3、缺省网关[H3C]ip route-static 0.0.0.0 0.0.0.0 本地网关地址4、超级用户暗码[H3C]super password level 3 cipher H3C5、设置装备摆设telnet暗码[H3C]user-interface vty 0 4[H3C-ui-vty0-4]authentication-mode password[H3C-ui-vty0-4]set authentication password cipher huawei[H3C-ui-vty0-4]user privilege level 16、WEB拜访用户名和暗码[H3C]local-user admin[H3C-luser-admin]password cipher huawei[H3C-luser-admin]service-type telnet[H3C-luser-admin]level 37、网管设置装备摆设[H3C]snmp-agent community read public[H3C]snmp-agent community write H3C[H3C]snmp-agent sys-info version all[H3C]snmp-agent trap enable8、链路绑缚及端口描写[H3C]link-aggregation group1modemanual[H3C]interface GigabitEthernet3/0/1[H3C-GigabitEthernet3/0/1]port link-type trunk[H3C-GigabitEthernet3/0/1]port trunk permit vlan1000[H3C-GigabitEthernet3/0/1]port link-aggregation group1[H3C-GigabitEthernet3/0/1]description TO_对端装备名_对端装备型号_对端接口#[H3C]interface GigabitEthernet3/0/2[H3C-GigabitEthernet3/0/2]port link-type trunk[H3C-GigabitEthernet3/0/2]port trunk permit vlan1000[H3C-GigabitEthernet3/0/2]port link-aggregation group19、Trunk链路设置装备摆设[H3C]interface GigabitEthernet1/1/3[H3C-GigabitEthernet1/1/3]port link-type trunk[H3C-GigabitEthernet1/1/3]port trunk permit vlan all10、S3100交流机堆叠[H3C]stacking ip-pool IP地址前缀堆叠交流机个数IP地址掩码[H3C]stacking enable11、O SPF简略单纯设置装备摆设进程[H3C]ospf[H3C -ospf-1]area 区域编码[H3C -ospf-1-area-0.0.0.1]network IP地址 IP地址反掩码12、O SPF和RIP路由的双向引入[H3C]ospf[H3C -ospf-1]import-route rip[H3C]rip[H3C -ospf-1]import-route ospf。

H3C 无线控制器本地MAC 认证典型配置一、组网需求如图所示，集中式转发架构下，AP 和CIient 通过DHCPSerVer 获取IP 地址，要求在AC 上使用MAC 地址用户名格式认证方式进行用户身份认证，以控制其对网络资源的访 问。

图1本地MAC 地址认证配置组网图二、配置注意事项1、配置AP 的序列号时请确保该序列号与AP 唯一对应，AP 的序列号可以通过AP设备背面的标签获取。

2、在AC 上配置的MAC 地址认证的用户名、密码需要与Client 上配置的用户名、密码保持一致，即使用Client 的MAC 地址作为用户名和密码进行MAC 地址认证。

3、配置Switch 和AP 相连的接口禁止VLAN 1报文通过，以防止AC 上VLAN 1内的报文过多°三、配置步骤1、 配置AC(1) 配置AC 的接口# 创建VLAN IOO 及其对应的VLAN 接口，并为该接口配置IP 地址。

AP 将获取该IP 地址与AC 建立CAPWAP 隧道。

<AC> system-view [AC] vlan 100 [AC-vlanl00] quit [AC] interface vlan-interface 100 [AC-Vlan-InterfacelOO] ip address 112.12.1.25 24 [AC-Vlan-interfacelOO] quit# 创建VLAN 200及其对应的VLAN 接口，并为该接口配置IP 地址。

CIient 使用该 VLAN 接入无线网络。

[AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface200Vlaπ4πt100; 112 12 1.25/16AC DHCP server Switch AP Client[AC-Vlan-interface200] ip address 112.12.2 ∙ 25 24 [AC -Vlan-interface200] quit# 配置 AC 和 Switch 相连的接口 GigabitEthernetI/0/1 为 Trunk 类型，禁止 VLAN 1 报文通过，允许VLANIoO 和VLAN 200通过，当前TnJnk 口的PVID 为100。

华为交换机配置H3C S3100端口表示方法E1/0/1显示系统版本信息：display version显示诊断信息：display diagnostic-information显示系统当前配置：display current-configuration 显示系统保存配置： display saved-configuration 显示接口信息：display interface显示路由信息：display ip routing-table显示VLAN信息：display vlan显示生成树信息：display stp显示MAC地址表：display mac-address显示ARP表信息：display arp显示系统CPU使用率：display cpu显示系统内存使用率：display memory显示系统日志：display log显示系统时钟：display clock验证配置正确后，使用保存配置命令：save删除某条命令，一般使用命令： undosystem-view进入配置模式操作完毕后save保存配置quit退出接口模式到系统视图按Tab键可以自动跳出完整命令1、创建VLANvlan 2删除VLANundo vlan 22、把端口划入VLANint e1/0/2port access vlan 3端口退出vlan（在vlan里删除端口）inter vlan 10undo port e 1/0/13、设置trunk端口port link-type trunk（access为普通端口）4、设置SNMP# 设置团体名为mgr，并且可以进行读写访问。

[Sysname] snmp-agent community write mgr[Sysname] snmp-agent sys-info version all# 删除团体名comaccess。

[Sysname] undo snmp-agent community comaccess时间同步[Sysname] interface Vlan-interface1[Sysname-Vlan-interface1] ntp-service broadcast-client用户：local-user <>password simple/cipher <>services-type terminal/telnet/ssh配置了认证登录后，必须配置用户的类型，否则会出现超级终端上登录不了的情况，同时配level 3，否则telnet后没有相应的操作权限5、配consoleuser-interface aux 0authentication-mode scheme/password local-user 用户名password cipher 密码service-type telnet terminal level 3配Telnetuser-interface vty 0 4authentication-mode schemeprotocol inbound telnet一般步骤：先创建用户设置密码设置用户类型配置console加密配置telnet加密6、更改主机名sysname name7、设置端口名称端口描述8、设置交换机管理地址interface Vlan-interface 1ip address 129.12.0.1 255.255.255.09、备份文件tftp 1.1.1.1 get abc.txt efg.txttftp 1.1.1.1 put config.cfg temp.cfg10、配置静态路由：ip route 129.1.0.0 255.255.0.0 10.0.0.211、恢复出厂配置<H3C>reset saved-configuration<H3C>reboot出厂配置没有用户名和密码，恢复出厂设置后设置的用户名和密码依然存在；12、配置生成树（预防环路发生）stp enable本地密码形式<Sysname> system-view[Sysname] user-interface aux 0[Sysname-ui-aux0] authentication-mode password# 设置用户的认证口令为明文方式，口令为123456。