交换机端口安全防护与配置方法命令介绍

h3c交换机端口列表命令H3C能够提供业界覆盖最全面的交换机产品。

从园区到数据中心、盒式到箱式、从FE、GE到10G和100G，从L2到L4/7，从IPv4到IPv6，从接入到核心，用户都有最丰富的选择和灵活的组合。

下面我们一起来看看H3C交换机的端口配置命令，希望能帮助到大家!1，端口 MACa)AM命令使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。

例如：[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。

但是PC1使用该MAC地址可以在其他端口上网。

b)mac-address命令使用mac-address static命令，来完成MAC地址与端口之间的绑定。

例如：[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1[SwitchA]mac-address max-mac-count 0配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。

2，IP MACa)AM命令使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。

例如：[SwitchA]am user-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的.PC机，在任何端口都无法上网。

支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。

交换机端口安全防护与配置方法命令介绍交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

今天我们来介绍一下交换机端口安全的配置内容，主要防止公司内部的网络攻击和破坏行为，详细的教程，请看下文介绍，需要的朋友可以参考下方法步骤1、配置交换机端口的最大连接数限制。

Switch#configure terminalSwitch(config)#interface range fastethernet 0/3 进行0模块第3端口的配置模式Switch(config-if)#switchport port-security 开启交换机的端口安全功能Switch(config-if)#switchport port-secruity maximum 1 配置端口的最大连接数为1Switch(config-if)#switchport port-secruity violation shutdown 配置安全违例的处理方式为shutdown2、验证测试：查看交换机的端口安全配置。

Switch#show port-security3、配置交换机端口的地址绑定Switch#configure terminalSwitch(config)#interface f astethernet 0/3Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00 06.1bde.13b4 ip-address 172.16.1.55 配置IP 地址和MAC 地址的绑定4、验证测试：查看地址安全绑定配置。

Switch#show port-security address5、查看主机的IP 和MAC 地址信息。

在主机上打开CMD 命令提示符窗口，执行ipconfig /all 命令。

cisco交换机安全配置设定命令详解cisco交换机安全配置设定命令详解一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5hash方式switch(config)#enablesecret5pass_string其中0SpecifiesanUNENCRYPTEDpasswordwillfollow5SpecifiesanENCRYPTEDsecretwillfollow建议不要采用enablepasswordpass_sting密码，破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#servicepassword-encryption3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户switch(config)#enablesecretlevel75pass_string7/7级用户进入特权模式的密码switch(config)#enablesecret5pass_string15/15级用户进入特权模式的密码switch(config)#usernameuserAprivilege7secret5pass_userA switch(config)#usernameuserBprivilege15secret5pass_userB /为7级，15级用户设置用户名和密码，Ciscoprivilegelevel 分为0-15级，级别越高权限越大switch(config)#privilegeexeclevel7commands/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#lineconsole0switch(config-line)#exec-timeout50/设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#loggingsynchronous/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password7pass_sting/设置加密密码switch(config-line)#login/启用登录验证方式(2):本地AAA认证switch(config)#aaanew-model/启用AAA认证switch(config)#aaaauthenticationloginconsole-ingroupacsserverlocalenable/设置认证列表console-in优先依次为ACSServer，local用户名和密码，enable特权密码switch(config)#lineconsole0switch(config-line)#loginauthenticationconsole-in/调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list18permithostx.x.x.x/设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaaauthenticationloginvty-ingroupacsserverlocalenable/设置认证列表vty-in,优先依次为ACSServer，local用户名和密码，enable特权密码switch(config)#aaaauthorizationcommands7vty-ingroupacsserverlocalif-authenticated/为7级用户定义vty-in授权列表，优先依次为ACSServer,local授权switch(config)#aaaauthorizationcommands15vty-ingroupacsserverlocalif-authenticated/为15级用户定义vty-in授权列表，优先依次为ACSServer,local 授权switch(config)#linevty015switch(config-line)#access-class18in/在线路模式下调用前面定义的标准ACL18switch(config-line)#exec-timeout50/设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#authorizationcommands7vty-in/调用设置的授权列表vty-inswitch(config-line)#authorizationcommands15vty-inswitch(config-line)#loggingsynchronous/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见switch(config-line)#loginauthenticationvty-in/调用authentication设置的vty-in列表switch(config-line)#transportinputssh/有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaagroupservertacacs+acsserver/设置AAA服务器组名switch(config-sg-tacacs+)#serverx.x.x.x/设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#serverx.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)#tacacs-serverkeypaa_string/设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#noservicepadswitch(config)#noservicefingerswitch(config)#noservicetcp-small-serversswitch(config)#noserviceudp-small-serversswitch(config)#noserviceconfigswitch(config)#noserviceftpswitch(config)#noiphttpserverswitch(config)#noiphttpsecure-server/关闭http,https远程web管理服务，默认cisco交换机是启用的三、交换机防攻击安全加固配置MACFlooding(泛洪)和Spoofing(欺骗)攻击预防方法：有效配置交换机port-securitySTP攻击预防方法：有效配置rootguard,bpduguard,bpdufilterVLAN，DTP攻击预防方法：设置专用的nativevlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法：设置dhcpsnoopingARP攻击预防方法：在启用dhcpsnooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#intgix/x/xswitch(config-if)#swmodetrunkswitch(config-if)#swtrunkencapsdot1qswitch(config-if)#swtrunkallowedvlanx-xswitch(config-if)#spanning-treeguardloop/启用环路保护功能，启用loopguard时自动关闭rootguard接终端用户的端口上设定switch(config)#intgix/x/xswitch(config-if)#spanning-treeportfast/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。

交换机端口安全Port-Security超级详解交换安全】交换机端口安全Port-Security超级详解一、Port-Security概述在部署园区网的时候，对于交换机，我们往往有如下几种特殊的需求：•限制交换机每个端口下接入主机的数量（MAC地址数量）•限定交换机端口下所连接的主机（根据IP或MAC地址进行过滤）•当出现违例时间的时候能够检测到，并可采取惩罚措施上述需求，可通过交换机的Port-Security功能来实现：二、理解Port-Security1.Port-Security安全地址：secure MAC address在接口上激活Port-Security后，该接口就具有了一定的安全功能，例如能够限制接口（所连接的）的最大MAC数量，从而限制接入的主机用户；或者限定接口所连接的特定MAC，从而实现接入用户的限制。

那么要执行过滤或者限制动作，就需要有依据，这个依据就是安全地址–secure MAC address。

安全地址表项可以通过让使用端口动态学习到的MAC（SecureDynamic），或者是手工在接口下进行配置（SecureConfigured），以及sticy MAC address（SecureSticky）三种方式进行配置。

当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址，那么这个接口将只为该MAC所属的PC服务，也就是源为该MAC的数据帧能够进入该接口。

2.当以下情况发生时，激活惩罚（violation）：当一个激活了Port-Security的接口上，MAC地址数量已经达到了配置的最大安全地址数量，并且又收到了一个新的数据帧，而这个数据帧的源MAC并不在这些安全地址中，那么启动惩罚措施当在一个Port-Security接口上配置了某个安全地址，而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时，启动惩罚措施当设置了Port-Security接口的最大允许MAC的数量后，接口关联的安全地址表项可以通过如下方式获取：•在接口下使用switchport port-security mac-address 来配置静态安全地址表项•使用接口动态学习到的MAC来构成安全地址表项•一部分静态配置，一部分动态学习当接口出现up/down，则所有动态学习的MAC安全地址表项将清空。

1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、port link-type Access|Trunk|Hybrid 设置端口访问模式7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器############################################################################### #######1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由11、ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router############################################################################### ###########1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、language-mode Chinese|English 中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置:<H3C>reset save ；<H3C>reboot ；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。

•交换机基本配置•VLAN配置与管理•生成树协议（STP）配置与优化•端口聚合（EtherChannel）配置与应用目•交换机安全性设置与加固•交换机性能监控与故障排除录01交换机基本配置1 2 3通过控制台端口登录远程登录配置访问控制列表（ACL）交换机登录与访问控制交换机主机名与域名设置主机名配置域名设置系统提示信息配置交换机端口配置与启用端口速率和双工模式配置端口安全配置A B C D端口VLAN分配端口镜像配置在完成交换机的各项配置后，及时保存配置信息，防止因意外断电或其他原因导致配置丢失。

配置保存在需要重启交换机时，可以通过命令行或Web 界面进行重启操作，确保交换机正常启动并加载最新的配置信息。

交换机重启在交换机出现问题时，可以加载之前保存的配置文件，实现配置回滚，快速恢复网络正常运行。

配置回滚查看交换机的系统日志，了解交换机的运行状况和故障信息，为故障排除提供依据。

系统日志查看交换机保存与重启02VLAN配置与管理创建VLAN及分配端口VLAN间路由配置01020304VLAN间通信及访问控制列表（ACL）应用VLAN安全性设置010*******03生成树协议（STP）配置与优化STP基本原理及作用消除环路链路备份自动恢复STP配置命令详解启用STP设置STP模式配置STP优先级配置STP端口状态STP优化策略及实施方法启用PortFast调整STP定时器配置BPDU Guard配置Root Guard逐步排查根据故障现象和网络拓扑结构，逐步排查可能导致STP 故障的原因，如物理链路故障、交换机配置错误等。

查看STP 状态使用命令`show spanning-tree vlan vlan-id`查看指定VLAN 的STP 状态，包括根交换机、根端口、指定端口等信息。

检查端口状态使用命令`show interfaces interface-type interface-number switchport`查看交换机端口的STP 状态及相关配置。

思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac 地址的方法。

当你绑定了mac 地址给一个端口，这个口不会转发限制以外的mac 地址为源的包。

如果你限制安全mac 地址的数目为1，并且把这个唯一的源地址绑定了，那么连接在这个接口的主机将独自占有这个端口的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac 地址，当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规，(security violation).同样地，如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：当你给一个端口配置了最大安全mac 地址数量，安全地址是以一下方式包括在一个地址表中的：·你可以配置所有的mac 地址使用switchport port-security mac-address，这个接口命令。

·你也可以允许动态配置安全mac 地址，使用已连接的设备的mac 地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown 了，所有的动态学的mac 地址都会被移除。

一旦达到配置的最大的mac 地址的数量，地址们就会被存在一个地址表中。

设置最大mac 地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。

·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：·protect-当mac 地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac 地址，来降下最大数值之后才会不丢弃。

H3C交换机基本配置命令大全介绍交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表，其中H3C交换机是比较常用的一种，那么有哪些配置命令呢?这篇文章主要介绍了H3C交换机基本配置命令明细一览,需要的朋友可以参考下1：配置登录用户，口令等//用户直行模式提示符,用户视图system-view //进入配置视图[H3C] //配置视图(配置密码后必须输入密码才可进入配置视图)[H3C] sysname xxx //设置主机名成为xxx这里使用修改特权用户密码system-view[H3C]super password level 3 cipher/simple xxxxx //设置本地登录交换机命令[H3C] aaa //进入aaa认证模式定义用户账户[H3C-aaa] local-user duowan password cipher duowan[H3C-aaa] local-user duowan level 15[H3C-aaa] local-user duowan service-type telnet terminal ssh //有时候这个命令是最先可以运 //行的，上边两个命令像password，level都是定义完vty 的 // authentication-mode aaa后才出现[H3C-aaa] quit[H3C] user-interface vty 0 4 //当时很奇怪这个命令就是找不到，最后尝试了几次才能运行[H3C-ui-vty0-4] authentication-mode aaa[H3C-ui-vty0-4] quit单独设置远程登录账户：system-view[H3C]user-interface vty 0 4[H3C-ui-vty0-4]authentication-mode password //设置登录模式[H3C-ui-vty0-4]user privilege level 3 //管理权限配置，3为管理级权限[H3C-ui-vty0-4]set authentication password cipher 123456 //设置登录密码以密文方式登录[H3C-ui-vty0-4]quit[H3C]2：H3C VLan设置创建vlan：//用户直行模式提示符,用户视图system-view //进入配置视图[H3C] vlan 10 //创建vlan 10，并进入vlan10配置视图，如果vlan10存在就直接进入vlan10配置视图[H3C-vlan10] quit //回到配置视图[H3C] vlan 100 //创建vlan 100，并进入vlan100配置视图，如果vlan10存在就直接进入vlan100配置视图[H3C-vlan100] quit //回到配置视图将端口加入到vlan中：[H3C] interface GigabitEthernet2/0/1 (10G光口)[H3C- GigabitEthernet2/0/1] port link-type access //定义端口传输模式[H3C- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100[H3C- GigabitEthernet2/0/1] quit[H3C] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。

思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全（Port-Security）1、 Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。

2、 Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac地址与端口绑定以及mac地址与ip地址绑定。

3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用：a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。

b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。

4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法：针对第3条的两种应用，分别不同的实现方法a、接受第一次接入该端口计算机的mac地址：Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }//针对非法接入计算机，端口处理模式{丢弃数据包，不发警告 | 丢弃数据包，在console发警告 | 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。

思科交换机安全配置(包括A A A、端口安全、A R P安全、D H C P侦听、日志审计流量限制)-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII网络拓扑图如下：根据图示连接设备。

在本次试验中，具体端口情况如上图数字标出。

核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。

IP 地址分配：Router：e0： 192.168.1.1Core：f0/1: 192.168.1.2Svi接口：Core vlan10: 172.16.10.254Vlan20: 172.16.20.254Vlan30: 172.16.30.254Access vlan10: 172.16.10.253Vlan20: 172.16.20.253Vlan30: 172.16.30.253服务器IP地址：192.168.30.1Office区域网段地址：PC1：192.168.10.1PC2：192.168.10.2路由器清空配置命令：enerase startup-configReload交换机清空配置命令：enerase startup-configdelete vlan.datReload加速命令：enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname一、OFFICE 区域地址静态分配，防止 OFFICE 网络发生 ARP 攻击，不允许OFFICE 网段 PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击；1、基本配置SW1的配置：SW1(config)#vtp domain cisco //SW1配置vtp，模式为server，SW2模式为clientSW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 //链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channel-group 10 mode onSW1(config)#int port-channel 10 //链路设置为trunk模式，封装802.1q协议，三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunkSW2配置：SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunkSW2(config)#int f0/1 //把f0/1,f0/2划入vlan10SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访：使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 //要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 //禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 //对其他数据放行，不然pc机无法ping 通svi口、网关SW2(config-access-map)#action forwardSW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2，如下图：使用VLAN ACL时pc1可以无法ping通pc2，如下图：3、Office区域静态配置ip地址时采用的ARP防护：配置如下：SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplistSW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 //ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust注意：配置静态arp防护（用户主机静态配置地址，不是通过DHCP获取地址），需要新建ip与mac映射表，不然pc1无法ping通svi口4、OSPF与DHCP全网起OSPF协议，使pc1可以ping通路由器。

华为交换机配置命令解释<Quidway>用户视图，只能看配置<Quidway>reset save (清除配置文件)<Quidway>reboot (重启华为交换机)<Quidway>system view (进入配置模式) <Quidway>sys (省略式打法)[]配置模式修改交换机：[Quidway]sysname sw1[sw1]配置VLAN:[Quidway]vlan 2[Quidway-vlan2]port ether 0/10 to e 0/12 [Quidway-vlan2]quit等同于[Quidway]int e0/13[Quidway-Ethernet0/13]port access vlan 2 [Quidway-Ethernet0/13]quit配置trunk端口：[Quidway]int e0/1[Quidway-Ethernet0/1]port link-type trunk [Quidway-Ethernet0/1]int e0/2[Quidway-Ethernet0/2]port link-type trunk [Quidway-Ethernet0/2]quit两边的端口都要配trunk，通过trunk 不打标签！默认trunk 只允许vlan 1 通过[Quidway]int e0/1[Quidway-Ethernet0/1]port trunk permit vlan all [Quidway-Ethernet0/1]int e0/2[Quidway-Ethernet0/2]port trunk permit vlan all两边端口都要配置充许trunk 所有VLAN，如果是指定通过vlan号，将vlan all 改成对应的vlan编号即可。

取消任何命令，是在命令前面加一个undo 即可！如何防止交换机环路:华为的交换机生成树功能默认是关掉的交换机形成环路，所联接的端口会不停的闪烁！方法一：启用交换机生成树[Quidway]stp enable（开）[Quidway]stp disable（关）要在两台交换机上配置:方法二：通过链路聚合的方式来解决问题链路聚合可以提高带宽和负载均衡配置链路聚合时，两端的端口模式需要配置成一样（双工，半又工），速率也要指定,不能自己自协商状态！[Quidway]link-aggregation e0/1 to e0/2 both如：[Quidway]int e0/1[Quidway-Ethernet0/1]duplex full[Quidway-Ethernet0/1]speed 100[Quidway-Ethernet0/1]int e0/2[Quidway-Ethernet0/2]duplex full[Quidway-Ethernet0/2]speed 100查看交换机日志[Quidway]dis log路由器与路由器之间通信的安全保护配置方法一、保护路由器的物理安全二、保护管理接口的安全1、保护控制台端口的访问权限口令的设置应遵循以下原则：初使安装之后立即配置口令，不使用缺省口令；确保特权级口令与用级口令的不同；口令使用字母数字混合字符以使口令破解难以成功。

H3C S5130-EI 端口安全配置举例目录1 简介 (1)2 配置前提 (1)3 使用限制 (1)4 端口安全autoLearn模式配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (2)4.3 使用版本 (2)4.4 配置注意事项 (2)4.5 配置步骤 (2)4.6 验证配置 (3)4.7 配置文件 (4)5 端口安全userLoginWithOUI模式配置举例 (4)5.1 组网需求 (4)5.2 配置思路 (5)5.3 使用版本 (5)5.4 配置步骤 (5)5.4.1 配置RADIUS Server（iMC PLAT 7.0） (5)5.4.2 配置Device (9)5.5 验证配置 (10)5.6 配置文件 (12)6 端口安全macAddressElseUserLoginSecure模式配置举例 (12)6.1 组网需求 (12)6.2 配置思路 (13)6.3 使用版本 (13)6.4 配置步骤 (13)6.4.1 配置RADIUS Server（iMC PLAT 7.0） (13)6.4.2 配置Device (16)6.5 验证配置 (17)6.6 配置文件 (20)7 相关资料 (20)1 简介本文档介绍端口安全的配置举例。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解端口安全特性。

3 使用限制•如果已全局开启了802.1X 或MAC 地址认证功能，则无法使能端口安全功能。

•当端口安全功能开启后，端口上的802.1X功能以及MAC 地址认证功能将不能被手动开启，且802.1X端口接入控制方式和端口接入控制模式也不能被修改，只能随端口安全模式的改变由系统更改。

•端口上有用户在线的情况下，端口安全功能无法关闭。

华为交换机配置命令1、开始建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console口连接。

在主机上运行终端仿真程序（如Windows的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100。

以太网交换机上电，终端上显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如<Quidway>）。

键入命令，配置以太网交换机或查看以太网交换机运行状态。

需要帮助可以随时键入"?"2、命令视图(1)用户视图(查看交换机的简单运行状态和统计信息)<Quidway>:与交换机建立连接即进入(2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view(3)以太网端口视图(配置以太网端口参数)[Quidway-Ethernet0/1]:在系统视图下键入interface ethernet 0/1(4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan 1(5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参数)[Quidway-Vlan-interface1]:在系统视图下键入interface vlan-interface 1(6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-user user1(7)用户界面视图(配置用户界面参数)[Quidway-ui0]:在系统视图下键入user-interface3、其他命令设置系统时间和时区<Quidway>clock time Beijing add 8<Quidway>clock datetime 12:00:00 2005/01/23设置交换机的名称[Quidway]sysname TRAIN-3026-1[TRAIN-3026-1]配置用户登录[Quidway]user-interface vty 0 4[Quidway-ui-vty0]authentication-mode scheme创建本地用户[Quidway]local-user huawei[Quidway-luser-huawei]password simple huawei[Quidway-luser-huawei] service-type telnet level 34、VLAN配置方法『配置环境参数』SwitchA端口E0/1属于VLAN2，E0/2属于VLAN3『组网需求』把交换机端口E0/1加入到VLAN2 ，E0/2加入到VLAN3数据配置步骤『VLAN配置流程』(1)缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access 端口只能属于一个vlan；(2)如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉；(3)除了VLAN1，如果VLAN XX不存在，在系统视图下键入VLAN XX，则创建VLAN XX并进入VLAN视图；如果VLAN XX已经存在，则进入VLAN视图。