某公司新建了一栋办公大楼,为了满足日常的办公需求,公司决定为财务部、项目管理部和服务器群建立互联互通的有线网络。其中,为方便项目管理部开展业务,需要自动获取公司DNS服务器IP地址。公司已经申请了一条互联网专线并配有一个公网IP,希望所有员工都能访问internet。后期规划所有设备由网络管理员进行远程管理。
网络IP规划方案请参考「企业组网实例」中小企业网络组建规划方案及配置部署(一)
根据需求分析,对拓扑进行规划。核心交换机、财务部接入交换机和项目管理部接入交换机各有一条线路互联,计划使用RSTP提高网络可靠性;
核心交换机与服务器*交群**换机使用两条链路互联,可以使用链路聚合提高链路带宽;核心交换机、服务器群和路由器使用IP互联,可以配置OSPF动态路由实现网络互联互通。
公司网络拓扑规划如下图所示:
项目实施
任务1、VLAN配置,部署设备管理与各部门局域网,主要在核心交换机、各部门交换机上创建VLAN,并将接入交换机的接口划分给VLAN。
任务2、以太网配置;部署TRUNK链路,实现交换机之间互联及VLAN互通,同时配置ETH-TRUNK提高核心交换机互联带宽,配置生成树提高各部门网络与核心网络的健壮性。
任务3、IP业务配置;路由器、核心交换机和服务器*交群**换机上配置VLANif接口的IP作为各部门的网关及设备互联IP,并在核心交换机上启用DHCP,为项目管理部PC自动分配IP地址。
任务4、路由配置,在核心交换机出口路由器和交换机上开启OSPF动态路由协议,接入交换机上配置默认路由,实现公司内网互联互通。
任务5、出口配置,在核心交换机出口路由器上配置NAT地址转换,实现内网用户通过地址转换可访问Internet。
3.1 VLAN配置
(1)在交换机SW1、SW2、SW3、SW4上创建VLAN并修改VLAN备注。
SW1
<Huawei>system-view //进入系统视图
[Huawei] sysname SW1 //修改设备名称为SW1
[SW1] vlan 10 //创建VLAN 10
[SW1-vlan10] description FA //修改VLAN10备注为FA
[SW1] vlan 20 //创建VLAN 20
[SW1-vlan20] description PM //修改VLAN20备注为PM
[SW1] vlan 100 //创建VLAN 100
[SW1-vlan100] description SW-MGMT //修改VLAN100备注为SW-MGMT
[SW1] vlan 201 //创建VLAN 201
[SW1-vlan201] description SW1-R1 //修改VLAN201备注为SW1-R1
SW2
<Huawei>system-view //进入系统视图
[Huawei] sysname SW2 //修改设备名称为SW2
[SW2] vlan 90 //创建VLAN 90
[SW2-vlan90] description DC //修改VLAN90备注为DC
[SW2] vlan 100 //创建VLAN 100
[SW2-vlan100] description SW-MGMT //修改VLAN100备注为SW-MGMT
SW3
<Huawei>system-view //进入系统视图
[Huawei] sysname SW3 //修改设备名称为SW3
[SW3] vlan 10 //创建VLAN 10
[SW3-vlan10] description FA //修改VLAN10备注为FA
[SW3] vlan 20 //创建VLAN 20
[SW3-vlan20] description PM //修改VLAN20备注为PM
[SW3] vlan 100 //创建VLAN 100
[SW3-vlan100] description SW-MGMT //修改VLAN100备注为SW-MGMT
SW4
<Huawei>system-view //进入系统视图
[Huawei] sysname SW4 //修改设备名称为SW4
[SW4] vlan 10 //创建VLAN 10
[SW4-vlan10] description FA //修改VLAN10备注为FA
[SW4] vlan 20 //创建VLAN 20
[SW4-vlan20] description PM //修改VLAN20备注为PM
[SW4] vlan 100 //创建VLAN 100
[SW4-vlan100] description SW-MGMT //修改VLAN100备注为SW-MGMT
(2)在交换机SW1、SW2、SW3、SW4上将接口划分给VLAN。
SW1
[SW1] interface GigabitEthernet 0/0/24 //进入Gi0/0/24接口
[SW1-GigabitEthernet 0/0/24] port link-type access
//配置接口模式为access
[SW1-GigabitEthernet 0/0/24] port default vlan 201
//配置接口默认VLAN为VLAN 201
[SW1-GigabitEthernet 0/0/24] quit //退出
SW2
[SW2] port-group 1 //创建端口组1
[SW2-port-group-1] group-member Gi 0/0/1 to Gi 0/0/10
//将Gi0/0/1至Gi0/0/10接口加入到端口组中
[SW2-port-group-1] port link-type access
//配置接口模式为access
[SW2-port-group-1] port default vlan 90
//配置接口默认VLAN为VLAN 90
[SW2-port-group-1] quit //退出
SW3
[SW3] port-group 1 //创建端口组1
[SW3-port-group-1] group-member Eth 0/0/1 to Eth 0/0/20
//将eth0/0/1至eth0/0/20接口加入到端口组中
[SW3-port-group-1] port link-type access
//配置接口模式为access
[SW3-port-group-1] port default vlan 10
//配置接口默认VLAN为VLAN 10
[SW3-port-group-1] quit //退出
SW4
[SW4] port-group 1 //创建端口组1
[SW4-port-group-1] group-member Eth 0/0/1 to Eth 0/0/20
//将eth0/0/1至eth0/0/20接口加入到端口组中
[SW4-port-group-1] port link-type access
//配置接口模式为access
[SW4-port-group-1] port default vlan 20
//配置接口默认VLAN为VLAN 20
[SW4-port-group-1] quit //退出
验证VLAN配置
(1)在交换机上使用【display vlan】命令查看VLAN配置是否生效,以SW3为例。
[SW3]display vlan
The total number of vlans is : 4
----------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
----------------------------------------------------------------------------
VID Status Property MAC-LRN Statistics Description
----------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
10 enable default enable disable FA
20 enable default enable disable PM
100 enable default enable disable SW-MGMT
(2)在各接入交换机上使用【display port vlan】命令查看接口分配状态,以SW3为例。
[SW3]display port vlan
Port Link Type PVID Trunk VLAN List
----------------------------------------------------------------------------
Ethernet0/0/1 access 10 -
Ethernet0/0/2 access 10 -
省略部分内容……
Ethernet0/0/18 access 10 -
Ethernet0/0/19 access 10 -
Ethernet0/0/20 access 10 -
Ethernet0/0/21 hybrid 1 -
Ethernet0/0/22 hybrid 1 -
GigabitEthernet0/0/1 hybrid 1 -
GigabitEthernet0/0/2 hybrid 1 -
3.2 以太网配置
(1)配置交换机SW1、SW3、SW4的互联接口为Trunk模式,配置TRUNK放通相应VLAN。
SW1
[SW1] interface GigabitEthernet 0/0/1 //进入Gi0/0/1接口
[SW1-GigabitEthernet 0/0/1] port link-type trunk
//配置接口模式为trunk
[SW1-GigabitEthernet 0/0/1] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW1-GigabitEthernet 0/0/1] quit //退出
[SW1] interface GigabitEthernet 0/0/2 //进入Gi0/0/2接口
[SW1-GigabitEthernet 0/0/2] port link-type trunk
//配置接口模式为trunk
[SW1-GigabitEthernet 0/0/2] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW1-GigabitEthernet 0/0/2] quit //退出
SW3
[SW3] interface GigabitEthernet 0/0/1
//进入Gi0/0/1接口
[SW3-GigabitEthernet 0/0/1] port link-type trunk
//配置接口模式为trunk
[SW3-GigabitEthernet 0/0/1] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW3-GigabitEthernet 0/0/1] quit
//退出
[SW3] interface GigabitEthernet 0/0/2
//进入Gi0/0/2接口
[SW3-GigabitEthernet 0/0/2] port link-type trunk
//配置接口模式为trunk
[SW3-GigabitEthernet 0/0/2] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW3-GigabitEthernet 0/0/2] quit //退出
SW4
[SW4] interface GigabitEthernet 0/0/1 //进入Gi0/0/1接口
[SW4-GigabitEthernet 0/0/1] port link-type trunk
//配置接口模式为trunk
[SW4-GigabitEthernet 0/0/1] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW4-GigabitEthernet 0/0/1] quit //退出
[SW4] interface GigabitEthernet 0/0/2 //进入Gi0/0/2接口
[SW4-GigabitEthernet 0/0/2] port link-type trunk
//配置接口模式为trunk
[SW4-GigabitEthernet 0/0/2] port trunk allow-pass vlan 10 20 100
//配置trunk放通VLAN10、20、100
[SW4-GigabitEthernet 0/0/2] quit //退出
(2)配置核心交换机与服务器*交群**换机互联线路为ETH-TRUNK,配置接口模式为TRUNK并放通相应VLAN。
SW1
[SW1] interface Eth-Trunk 1 //创建eth-trunk接口1
[SW1-Eth-Trunk1] port link-type trunk //配置接口模式为trunk
[SW1-Eth-Trunk1] port trunk allow-pass vlan 100
//配置trunk放通VLAN 100
[SW1-Eth-Trunk1] quit //退出
[SW1] interface gi0/0/21 //进入Gi0/0/21接口
[SW1-GigabitEthernet0/0/21] eth-trunk 1 //加入eth-trunk 1
[SW1] interface gi0/0/22 //进入Gi0/0/22接口
[SW1-GigabitEthernet0/0/22] eth-trunk 1 //加入eth-trunk 1
[SW1-GigabitEthernet0/0/22] quit //退出
SW2
[SW2] interface Eth-Trunk 1 //创建eth-trunk接口1
[SW2-Eth-Trunk1] port link-type trunk //配置接口模式为trunk
[SW2-Eth-Trunk1] port trunk allow-pass vlan 100
//配置trunk放通VLAN 100
[SW2-Eth-Trunk1] quit //退出
[SW2] interface gi0/0/21 //进入Gi0/0/21接口
[SW2-GigabitEthernet0/0/21] eth-trunk 1 //加入eth-trunk 1
[SW2] interface gi0/0/22 //进入Gi0/0/22接口
[SW2-GigabitEthernet0/0/22] eth-trunk 1 //加入eth-trunk 1
[SW2-GigabitEthernet0/0/22] quit //退出
(3)在交换机开启多生成树,指定核心交换机的生成树优先级,配置连接PC的接口为生成树边缘端口。
SW1
[SW1] stp enable //开启生成树
[SW1] stp mode rstp //配置生成树模式为RSTP
[SW1] stp priority 4096 //配置生成树优先级为4096
SW3
[SW3] stp enable //开启生成树
[SW3] stp mode rstp //配置生成树模式为RSTP
[SW3] port-group 1 //进入端口组1
[SW3-port-group-1] stp edged-port enable
//配置端口为生成树边缘端口
[SW3-port-group-1] quit //退出
SW4
[SW4] stp enable //开启生成树
[SW4] stp mode rstp //配置生成树模式为RSTP
[SW4] port-group 1 //进入端口组1
[SW4-port-group-1] stp edged-port enable
//配置端口为生成树边缘端口
[SW4-port-group-1] quit //退出
验证以太网配置
(1)在核心交换机上使用【display port vlan】命令查看接口VLAN配置信息。
[SW1]display port vlan
Port Link Type PVID Trunk VLAN List
----------------------------------------------------------------------------
GigabitEthernet0/0/1 trunk 1 1 10 20 100
GigabitEthernet0/0/2 trunk 1 1 10 20 100
GigabitEthernet0/0/3 hybrid 1 -
GigabitEthernet0/0/4 hybrid 1 -
GigabitEthernet0/0/5 hybrid 1 -
省略部分内容……
(2)在各接入交换机上使用【display port vlan】命令查看接口分配状态,以SW3为例。
[SW3]display port vlan
Port Link Type PVID Trunk VLAN List
----------------------------------------------------------------------------
Ethernet0/0/1 access 10 -
Ethernet0/0/2 access 10 -
省略部分内容……
Ethernet0/0/18 access 10 -
Ethernet0/0/19 access 10 -
Ethernet0/0/20 access 10 -
Ethernet0/0/21 hybrid 1 -
Ethernet0/0/22 hybrid 1 -
GigabitEthernet0/0/1 trunk 1 1 10 20 100
GigabitEthernet0/0/2 trunk 1 1 10 20 100
(3)在核心交换机、服务器*交群**换机上使用【display eth-trunk】命令查看eth-trunk端口状态,以SW1为例。
[SW1]display eth-trunk
Eth-Trunk1's state information is:
WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP
Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 2
----------------------------------------------------------------------------
PortName Status Weight
GigabitEthernet0/0/21 Up 1
GigabitEthernet0/0/22 Up 1
(4)在交换机上使用【display stp】命令查看生成树配置状态,以SW3为例。
[SW3]display stp
-------[CIST Global Info][Mode RSTP]-------
CIST Bridge :32768.4c1f-cc24-5024
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :4096 .4c1f-ccb3-69ef / 20000
CIST RegRoot/IRPC :32768.4c1f-cc24-5024 / 0
CIST RootPortId :128.23
BPDU-Protection :Disabled
TC or TCN received :57
TC count per hello :0
STP Converge Mode :Normal
Time since last TC :0 days 0h:0m:11s
Number of TC :36
Last TC occurred :GigabitEthernet0/0/1
省略部分内容……
(5)在交换机上查看使用【display stp brief】命令生成树实例的端口状态,以SW3为例。
[SW3]display stp brief
MSTID Port Role STP State Protection
0 Ethernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
3.3IP业务配置
(1)在交换机的Vlanif接口和路由器的GE接口上配置IP地址。
SW1
[SW1] interface Vlanif 10 //进入VLANif10接口视图
[SW1-Vlanif10] ip address 192.168.10.1 24 //配置IP地址为10
[SW1-Vlanif10] quit //退出接口视图
[SW1] interface Vlanif 20 //进入VLANif20接口视图
[SW1-Vlanif20] ip address 192.168.20.1 24 //配置IP地址为20
[SW1-Vlanif20] quit //退出接口视图
[SW1] interface Vlanif 100 //进入VLANif100接口视图
[SW1-Vlanif100] ip address 192.168.100.1 24
//配置IP地址为192.168.100.1/24
[SW1-Vlanif100] quit //退出接口视图
[SW1] interface Vlanif 201 //进入VLANif201接口视图
[SW1-Vlanif201] ip address 10.1.1.1 30
//配置IP地址为10.1.1.1/30
[SW1-Vlanif201] quit //退出接口视图
SW2
[SW2] interface Vlanif 90 //进入VLANif90接口视图
[SW2-Vlanif90] ip address 192.168.90.1 24
//配置IP地址为192.168.90.1/24
[SW2-Vlanif90] quit //退出接口视图
[SW2] interface Vlanif 100 //进入VLANif100接口视图
[SW2-Vlanif100] ip address 192.168.100.2 24
//配置IP地址为192.168.100.2/24
[SW2-Vlanif100] quit //退出接口视图
SW3
[SW3] interface Vlanif 100 //进入VLANif100接口视图
[SW3-Vlanif100] ip address 192.168.100.3 24
//配置IP地址为192.168.100.3/24
[SW3-Vlanif100] quit //退出接口视图
SW4
[SW4] interface Vlanif 100 //进入VLANif100接口视图
[SW4-Vlanif100] ip address 192.168.100.4 24
//配置IP地址为192.168.100.4/24
[SW4-Vlanif100] quit //退出接口视图
R1
<Huawei>system-view //进入系统视图
[Huawei] sysname R1 //修改设备名称为R1
[R1] interface GigabitEthernet 0/0/0
//进入Gi0/0/0接口
[R1-GigabitEthernet0/0/0] ip address 16.16.16.1 24
//配置IP地址为16.16.16.1/24
[R1] interface GigabitEthernet 0/0/1
//进入Gi0/0/1接口
[R1-GigabitEthernet0/0/1] ip address 10.1.1.2 30
//配置IP地址为10.1.1.2/30
[R1] interface GigabitEthernet 0/0/2
//进入Gi0/0/2接口
[R1-GigabitEthernet0/0/2] ip address 10.1.1.6 30
//配置IP地址为10.1.1.6/30
(2)在R2(模拟Internet设备)上配置IP地址。
R2
<Huawei>system-view //进入系统视图
[Huawei] sysname R2 //修改设备名称为R2
[R2] interface GigabitEthernet 0/0/0
//进入Gi0/0/0接口
[R2-GigabitEthernet0/0/0] ip address 16.16.16.16 24
//配置IP地址为16.16.16.16/24
(3)在核心交换机SW1上对VLAN 20启用DHCP,配置客户端从接口地址池中获取IP地址。
SW1
[SW1]dhcp enable //全局开启DHCP功能
[SW1]interface Vlanif 20 //进入VLANif20接口
[SW1-Vlanif20]dhcp select interface
//配置客户端从接口地址池中获取IP地址
[SW1-Vlanif20]dhcp server dns-list 192.168.90.100
//配置客户端从DHCP服务器获取DNS地址
[SW1-Vlanif20]quit //退出
IP业务配置验证
(1)在核心交换机、出口路由器上使用【display ip interface brief】命令查看IP地址配置是否生效,以SW1为例。
[SW1] display ip interface brief
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned up down
Vlanif10 192.168.10.1/24 up up
Vlanif20 192.168.20.1/24 up up
Vlanif100 192.168.100.1/24 up up
Vlanif201 10.1.1.1/30 up up
(2)在交换机上使用【display ip pool interface vlanif20】命令查看VLAN IF20接口的地址池信息。
[SW1]display ip pool interface vlanif20
Pool-name : vlanif20
Pool-No : 0
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : 192.168.90.100
NBNS-server0 : -
Netbios-type : -
Position : Interface Status : Unlocked
Gateway-0 : 192.168.20.1
Mask : 255.255.255.0
VPN instance : --
---------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
---------------------------------------------------------------------------
192.168.20.1 192.168.20.254 253 1 252(0) 0 0
---------------------------------------------------------------------------
3.4 路由配置
(1)在路由器R1、交换机SW1、SW2上启用OSPF路由协议,并将对应网段加入到OSPF区域0中,R1将缺省路由通告到OSPF区域。
R1
[R1]ospf 10 //创建OSPF进程10
[R1-ospf-10]area 0 //进入OSPF区域0
[R1-ospf-10-area-0.0.0.0]network 10.1.1.0 0.0.0.3
//将10.1.1.0/30加入到区域0
[R1-ospf-10-area-0.0.0.0]quit //退出到OSPF进程视图
[R1-ospf-10]default-route-advertise always
//将缺省路由通告到OSPF区域
[R1-ospf-10]quit //退出到系统视图
SW1
[SW1]ospf 10 //创建OSPF进程10
[SW1-ospf-10]area 0 //进入OSPF区域0
[SW1-ospf-10-area-0.0.0.0]network 192.168.10.0 0.0.0.255
//将192.168.10.0/24加入到区域0
[SW1-ospf-10-area-0.0.0.0]network 192.168.20.0 0.0.0.255
//将192.168.20.0/24加入到区域0
[SW1-ospf-10-area-0.0.0.0]network 192.168.100.0 0.0.0.255
//将192.168.100.0/24加入到区域0
[SW1-ospf-10-area-0.0.0.0]network 10.1.1.0 0.0.0.3
//将10.1.1.0/30加入到区域0
[SW1-ospf-10-area-0.0.0.0]quit //退出到OSPF进程视图
[SW1-ospf-10]quit //退出到系统视图
SW2
[SW2]ospf 10 //创建OSPF进程10
[SW2-ospf-10]area 0 //进入OSPF区域0
[SW2-ospf-10-area-0.0.0.0]network 192.168.90.0 0.0.0.255
//将192.168.90.0/24加入到区域0
[SW2-ospf-10-area-0.0.0.0]network 192.168.100.0 0.0.0.255
//将192.168.100.0/24加入到区域0
[SW2-ospf-10-area-0.0.0.0]quit //退出到OSPF进程视图
[SW2-ospf-10]quit //退出到系统视图
(2)接入交换机SW3、SW4上配置默认路由指向SW1。
SW3
[SW3] ip route-static 0.0.0.0 0 192.168.100.1
//配置默认路由指向192.168.100.1
SW4
[SW4] ip route-static 0.0.0.0 0 192.168.100.1
//配置默认路由指向192.168.100.1
路由配置验证
在各设备上使用【display ip routing-table】命令查看路由表,以SW2为例。
[SW2]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 12 Routes : 13
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 O_ASE 150 1 D 192.168.100.1 Vlanif100
10.1.1.0/30 OSPF 10 2 D 192.168.100.1 Vlanif100
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
192.168.10.0/24 OSPF 10 2 D 192.168.100.1 Vlanif100
192.168.20.0/24 OSPF 10 2 D 192.168.100.1 Vlanif100
192.168.90.0/24 Direct 0 0 D 192.168.90.1 Vlanif90
192.168.90.1/32 Direct 0 0 D 127.0.0.1 Vlanif90
192.168.100.0/24 Direct 0 0 D 192.168.100.2 Vlanif100
192.168.100.2/32 Direct 0 0 D 127.0.0.1 Vlanif100
3.5 出口配置
创建访问控制列表2000,配置规则允许内网用户网段同构,在R1的Gi0/0/0接口上配置Easy IP方式的NAT Outbound,调用的访问控制列表编号为2000。
[R1]acl 2000 //创建ACL,编号为2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
//配置规则允许源192.168.10.0/24网段通过
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
//配置规则允许源192.168.20.0/24网段通过
[R1-acl-basic-2000]rule permit source 192.168.90.0 0.0.0.255
//配置规则允许源192.168.90.0/24网段通过
[R1-acl-basic-2000]quit //退出到全局模式
[R1]interface GigabitEthernet 0/0/0 //进入Gi0/0/0接口
[R1-GigabitEthernet0/0/0]nat outbound 2000
//配置接口启用Easy IP方式的NAT
[R1-GigabitEthernet0/0/0]quit //退出
出口配置验证
在出口路由器上使用【display nat outbound】命令查看NAT配置。
[R1]display nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
GigabitEthernet0/0/0 2000 16.16.16.1 easyip
--------------------------------------------------------------------------
Total : 1
3.6 SSH服务配置
(1)以SW1为例在网络设备上配置SSH服务。
[SW1]rsa local-key-pair create
Input the bits in the modulus[default = 512]:2048
//创建RSA密钥,在此过程中需要填写RSA密钥长度为2048
[SW1]stelnet server enable //使能stelnet服务(开启SSH)
[SW1]user-interface vty 0 4 //进入VTY用户界面
[SW1-ui-vty0-4]authentication-mode aaa
//配置VTY用户界面认证方式为aaa
[SW1-ui-vty0-4]protocol inbound ssh
//配置VTY用户界面支持SSH
[SW1-ui-vty0-4]quit //退出VTY用户界面
[SW1]ssh user admin //创建SSH用户
[SW1]ssh user admin authentication-type password
//配置admin用户认证类型为密码认证
[SW1]ssh user admin service-type stelnet
//配置admin用户服务方式为stelnet
[SW1]aaa //进入AAA视图
[SW1-aaa]local-user admin password cipher HwEdu12#$
//配置本地用户admin,密码为HwEdu12#$
[SW1-aaa]local-user admin service-type ssh
//配置本地用户admin的服务方式为ssh
[SW1-aaa]local-user admin privilege level 15
//配置本地用户admin的用户等级为15
[SW1-aaa]quit //退出AAA视图
(2)其他交换机或路由器都执行同样的操作启用SSH服务,过程略过,自行配置。
SSH配置验证
(1)在交换机上使用【display ssh server status】查看SSH状态信息(以SW1为例)。
[SW1]display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH authentication retries :3 times
SFTP server :Disable
Stelnet server :Enable
Scp server :Disable
[SW1]
(2)在交换机上使用【display ssh user-information】查看SSH用户信息(以SW1为例)
[SW1]display ssh user-information
User 1:
User Name : admin
Authentication-type : password
User-public-key-name : -
User-public-key-type : -
Sftp-directory : -
Service-type : stelnet
Authorization-cmd : No
以上就是所有配置方案,请参考,如果本文对你有所帮助,请记得转发支持一下。
环境配置完毕,下一篇我们将会对配置情况进行测试网络是否畅通,是否达到预期。请关注头条号,【企业组网实例】中小企业网络组建规划方案及配置部署(三)。