1、1、超级终端的配置、超级终端的配置开始-附件-通讯-超级终端,在 COM 口属性的窗口中选择还原默认值。 每秒位数(B):9600数据位(D): 8 奇偶校验(P):无 停止位(S):1 数据流控制(F): 无2、配置主机名、配置主机名命令:hostname :其中主机名长度最长为 64 字节实例:例如需要配置设备的名称为 Blue,则命令如下AN(config)#hostname test_5304xlTest_5304xl(config)#一、基本命令一、基本命令 3、配置、配置 VLAN IP 地址地址命令:novlan ip address 或novlan ip address 或Vl
2、an ip addess dhcp-bootp实例:例如需要对设备划分一个 VLAN 采用两种不同底方式进行配置Blue(config)# vlan 1 ip address 192.168.0.23 255.255.255.0 或Blue(config)# vlan 1 ip address 192.168.0.23/24查看当前 VLAN 地址命令:show vlan4、配置网关、配置网关配置网关命令:ip default-gateway实例:配置一个缺省的网关Blue(config)# ip default-gateway 192.168.0.15、测试网络联通情况HP 系列产品提供了
3、Ping 和 traceroute 来检查网路的联通状况。ping 命令示例:Blue(config)#ping 192.168.0.1Traceroute 命令示例:Blue(config)#traceroute 192.168.10.1 二、配置交换机二、配置交换机web访问和访问和telnet 访问访问 1配置配置 CLI 接口访问接口访问列出当前控制台、串口连接配置。这条命令是显示当前接口访问的参数置。语法:show console 2默认情况下入口的默认情况下入口的 TELNET 访问是允许的访问是允许的语法:notelnet-server3禁止禁止 TELNET 入口访问入口访问语
4、法:Procurve(config)# no telnet-server4重新允许重新允许 TELNET 入口访问入口访问语法:Procurve(config)# telnet-server5远程远程 TELNET 另外的一台设备并查看该设备的状态另外的一台设备并查看该设备的状态语法:Procurve(config)# telnet 192.168.2.356默认情况下默认情况下 WEB 方式配置交换机是允许的方式配置交换机是允许的语法:noweb-management7. 禁止禁止 WEB 方式配置交换机方式配置交换机语法:Procurve(config)# no web-managemen
5、t8. 允许允许 WEB 方式配置交换机方式配置交换机语法:Procurve(config)# web-management可以使用 Http:/(该地址为虚拟地址,客户可根据具体的设置改动)。三、 设置用户名及密码设置用户名及密码 语法: nopassword user-name ASCIInopassword all设置操作员密码不用设置用户名:(操作员只有只读的权限)Blue#configBlue(config)# password operator12345678 (密码将显示成:*)12345678 为密码12345678 (再次输入密码进行校验)设置管理员的用户名和密码:(管理员有
6、完全的读和写的权限)Blue#configBlue(config)# password manager username svacomm svacomm 为用户名12345678 (密码将显示成:*)12345678 为密码四、交换机映像更新及配置文件备份与恢复四、交换机映像更新及配置文件备份与恢复 1将配置文件备份到将配置文件备份到 TFTP 服务器上服务器上将交换机的配置备份到远程的 TFTP 服务器上语法:copy tftppc|unix或 copy configtftppc|unix实例:将配置文件备份到一台 TFTP 服务器上ProCurve# copy startup-config
7、 tftp 10.28.227.105 d:configssw53002将从将从 TFTP 服务器上的配置文件恢复到交换机服务器上的配置文件恢复到交换机将交换机的配置备份到远程的 TFTP 服务器上。语法:copy tftp pc|unix或 copy tftp config pc|unix实例:将 TFTP 服务器上的备份文件恢复到交换机上ProCurve#copy tftp startup-config 10.28.227.105 d:configssw25123升级交换机的映象文件升级交换机的映象文件先到网站上下载映象文件。http:/ 该站点包含了最新的升级软件。将文件拷贝到 TFTP
8、 服务器使用一下命令语法:copy tftp flash 实例:将 TFTP 服务器上的映像文件拷贝到交换机上copy tftp flash 10.1.2.3 h2r07504.bin secondaryboot system flash secondary在交换机中有两个闪存可以使用如下命令,从第二个闪存区域复制软件映像至第一个区域:Copy flash flash primary4. 密码恢复方法和清除配置办法密码恢复方法和清除配置办法如果密码丢失点击交换机面板前的 clear 按钮。当点击 clear 按钮后将删除交换面的密码和用户名。可以使用面板上的 reset 及 clear 按钮恢
9、复设备的出厂值:同时按住 reset 及 clear 按钮,大约 5 秒钟后放开 reset 按钮,继续按住 clear 按钮,等 面板上的 sefltest ,放开按钮。为了保护你交换机的配置安全,建议将交换机放置在安全的场所,不被外人有物理接触。该按钮的可以使用如下命令行格式:语法:no front-panel-security password-clear reset-on-clear清除配置命令格式:语法: erase startup-config或者erase config 。一、端口的命名方式一、端口的命名方式 HP 5300/5400 交换机的面板如下图所示,端口在配置文件中的命
10、名是以槽位/序号的方式进行:以 5406 为例,槽位编号从左至右,从上到下分别是:A、B、C、D、E、F如 A 模块的第一个端口就叫:A1其它的非模块化交换机的端口命名以序号标识:如 2626 的 15 个端口就是 15。给一个端口或一些端口配置一个友好的名字语法:interface name 在端口列表中删除语法:no interface name实例:给一个端口配置一个名字 link_web_servertest_5304xl(config)# int a1 name link_web_servertest_5304xl(config)# show namePort NamesPort T
11、ype NameA1 100/1000T link_web_serverA2 100/1000T Link_client_2二、端口物理参数配置二、端口物理参数配置 1.设置端口的工作模式设置端口的工作模式显示每个端口的工作模式,使用命令显示每个端口的工作模式,使用命令:语法:show interfaces brief | config | 查看端口的情况查看端口的情况:test_5304xl(config)# show interfaces brief更改端口的工作模式,使用命令更改端口的工作模式,使用命令:语法: speed-duplex 实例:将 A1 端口的工作模式更换为百兆全双工te
12、st_5304xl(eth-A2)# int a1test_5304xl(eth-A1)# speed-duplex 100 ful1test_5304xl(eth-A2)# show int br2对端口的流量进行限制对端口的流量进行限制限制一个或一些端口的 INBOUND 流量使用命令:语法:no int rate-limit实例:给一个端口和一些端口限制流量test_5304xl(config)# int a1,a2 rate-limit all 60test_5304xl(config)# show rate-limit all三、基于端口的三、基于端口的 VLAN 划分方法划分方法
13、基于端口基于端口 VLAN 划分命令划分命令语法:vlan vlan 一般情况下,接电脑的端口设为 untagged 端口,而交换机与交换机之间的连接设置为 tagged端口。在 SW1 上,接普通电脑的端口为 A1,A2,所以它们应该设为 untagged,而 A3 端口用于交换机间互联,并且要让 VLAN2 及 VLAN3 的数据包通过,所以应该设置为 tagged。 SW1交换机的配置交换机的配置vlan 2Untagged A1Tagged A3Vlan 3Untagged A2Tagged A3SW2交换机的配置交换机的配置vlan 2Untagged A1Tagged A3Vlan
14、 3Untagged A2Tagged A3四、四、TRUNKING(LAG)的配置的配置 TRUNKING 是指链路聚合,就是把多个端口聚合成一个端口来使用,提供高速链路,并提供交换机连接的冗余性。设置 trunking 时在一个聚合组里的端口的物理参数要一至,如:端口类型要一致,同 为电口或者光口;速率及双工模式一致,同为全双工或者半双工及自动协商。 配置完一个 trunking 组后,以 trk1,trk2 等等设置逻辑参数,如 VLAN 的设置使用如下 命令:Vlan 5 tagged trk1这样同在 trk1 组中的端口全部可以接受带 801.1Q VLAN 5 的数包。配置 Tr
15、unk 命令:最后的表示使用何种协议来建立 trunking, trunk 表示静态的配置,而lacp 则使用链路聚合协议来完成 trunking 的建立。语法:trunk 五、生成树五、生成树(STP/RSTP)的配置方法的配置方法 查看生成树命令:语法:show spanning-tree configHP ProCurve Switch 2626(config)# show spanning-tree config启动生成树协议命令:语法:spanning-tree protocol-version stpwrite memoryBoot该命令是使用标准的生成树,如果要使用 RSTP 则
16、使用如下命令: Spanning-tree protocol-version rstp重新配置每个端口的 STP 协议:语法:spanning-treepath-costpriority mode实例:将端口 C5,C6 配置成路径消耗 15,间隔 100 使用快速模式HP ProCurve Switch 2626(config)# spanning-tree c5-c6 path-cost 15第三章第三章 第三层相关设置第三层相关设置一、一、VLAN 间路由的配置间路由的配置 VLAN 间路由我们知道,一个VLAN相当于一个独立的局域网,要想使两个 VLAN之间进行正常通讯,需要使用一个三
17、层的设备来完成 VLAN 之间的路由。HP 的所有三层交换机都可以实现 VLAN 间的路由。在 HP 交换机上,开启 VLAN 间路由的命令是5304(config)# ip routing在 HP 5400/5300/2600 交换机上配置 VLAN 间路由的示例:一台 5400 交换机上划分了 3 个 VLAN,分别为 VLAN2 ,VLAN3 ,VLAN4 对应的 IP 网段为 192.168.1.0/24;192.168.2.0/24;192.168.3.0。5304(config)# Ip routingVlan 2Untagged A1-A4Tagged B1Ip address
18、192.168.1.1 255.255.255.0Vlan 3Untagged A5-A10Tagged B1Ip address 192.168.2.1 255.255.255.0Vlan 4Untagged A11-A14Tagged B1Ip address 192.168.3.1 255.255.255.0接在 A1-A4 端口上 PC 机设置本机地址为:192.168.1.XX/24 网关为 192.168.1.1接在 A5-A10 端口上 PC 机设置本机地址为:192.168.2.XX/24 网关为 192.168.2.1 接在 A1-A14 端口上 PC 机设置本机地址为:19
19、2.168.3.XX/24 网关为 192.168.3.1 即可以由 54/53/26 系列交换机完成 VLAN 间的路由。二、静态路由的配置二、静态路由的配置 路由选择表获取信息的方式有两种,以静态路由表项的方式手工输入信息,或者通过几种自动信息发现和共享系统(动态路由选择协议)之一自动地获取信息。静态路由条目的格式静态路由条目的格式:5304(config)# ip route 10.1.1.1 255.0.0.0 172.16.1.1 目的网络 下一跳(出口对端接口地址)缺省路由(默认路由)缺省路由(默认路由):缺省路由是指本交换机中所有的路由表项都没有符合一个 IP 包的目的地址的时候
20、交换机将 这些数据包发送到什么地方去。5304(config)# ip route 0.0.0.0 0.0.0.0 172.16.5.1 三、三、OSPF 的配置的配置 如下图所示为两台交换机之间运行 OSPF 路由协议,以单一 OSPF 区域为例 交换机交换机 A 的配置如下的配置如下Switch_A(config)# vlan 10Switch_A(vlan-10)# untag a1Switch_A(vlan-10)# ip address 10.10.10.2/24Switch_A(vlan-10)# exit Switch_A(config)# ip routing Switch_A
21、(config)# router ospf Switch_A(ospf)# area 0.0.0.0Switch_A(ospf)# redistribute connectedSwitch_A(ospf)# vlan 10Switch_A(vlan-10)# ip ospf area 0.0.0.0Switch_A(vlan-10)# vlan 20Switch_A(vlan-20)# untag b1Switch_A(vlan-20)# ip address 20.20.20.2/24交换机交换机B的配置:的配置:Switch_B(config)# vlan 10Switch_B(vlan-
22、10)# untag a1Switch_B(vlan-10)# ip address 10.10.10.3/24Switch_B(vlan-10)# exit Switch_B(config)# ip routing Switch_B(config)# router ospfSwitch_B(ospf)# area 0.0.0.0Switch_B(ospf)# redistribute connectedSwitch_B(ospf)# restrict 198.168.40.0/24Switch_B(ospf)# vlan 10Switch_B(vlan-10)# ip ospf area 0
23、.0.0.0Switch_B(vlan-10)# vlan 30Switch_B(vlan-30)# untag b1Switch_B(vlan-30)# ip address 30.30.30.2/24Switch_B(vlan-30)# vlan 40Switch_B(vlan-40)# untag b4Switch_B(vlan-40)# ip address 198.168.40.1/24 相关OSPF的查看命令:show ip ospf general show ip ospf interface show ip route ospf show ip routeshow ip osp
24、f neighborshow ip ospf database link-stateshow ip ospf database external-link-state show ip ospf restrict四、四、DHCP Relay 的配置的配置 DHCP 请求的过程简单说是个广播,当一个 DHCP 客户端发出的请求广播报文是不能直接通过三层接口进行转发的。在划分了 VLAN 的网络中,必须使用 DHCP relay 功能为每个VLAN 中的客户机分配 IP 地址。例如某网络中划分了三个 VLAN,使用一台 DHCP 服务器给这三个 VLAN 中的客户机分配 IP 地址,DHCP 服务器
25、中要配置三个 DHCP 的作用域,每个作用指定不同的 IP 地址池及 路由器地址。 命令格式:命令格式:ip helper-address 实例:Ip helper-address 192.168.0.1在配置DHCP Relay时,其命令是在vlan 下配置的,对需要DHCP分配的vlan配置DHCP relay,在同一个vlan下可以配置多个DHCP Relay的地址。HP ProCurve Switch 5304XL(config)# ip routingHP ProCurve Switch 5304XL(config)# vlan 20HP ProCurve Switch 5304XL
26、(vlan-20)# untagged b3,b4HP ProCurve Switch 5304XL(vlan-20)# ip address 10.10.20.1/24HP ProCurve Switch 5304XL(vlan-20)# vlan 30HP ProCurve Switch 5304XL(vlan-30)# untagged a1HP ProCurve Switch 5304XL(vlan-30)# ip address 10.10.30.1/24HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.2H
27、P ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.3HP ProCurve Switch 5304XL(vlan-30)# vlan 40HP ProCurve Switch 5304XL(vlan-40)# untagged c1HP ProCurve Switch 5304XL(vlan-40)# ip address 10.10.40.1/24HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.2HP ProCurve Switch 5304
28、XL(vlan-40)# ip helper-address 10.10.20.3HP ProCurve Switch 5304XL(vlan-40)# write mem第四章第四章 安全与认证安全与认证一、端口安全性一、端口安全性(MAC 绑定绑定) 命令格式命令格式:Port-security learn-mode address-limit static mac-address实例:实例:5304xl(config)# port-security a3 learn-mode static mac-address 0013D426DE9或者是5304xl(config)# port-se
29、curity a3 address-limit 2 learn-mode staticmac-address 0013d2-26de99 0013d3-26de98Learn-mode static :交换机初始化状态下,端口的学习模式是自动学习 MAC 地址,所以在欲绑定 MAC 到端口的情况下需要把其改成静态模式。查看 A3 接口绑定 MAC 的情况:5304xl(config)# show port-security a3 二、访问控制表二、访问控制表 标准标准 IP 访问控制列表访问控制列表一个标准 IP 访问控制列表匹配 IP 包中的源地址或源地址中的一部分,可对匹配的包采取,拒绝或
30、允许两个操作。编号范围是从 1 到 99 的访问控制列表是标准 IP 访问控制列表。扩展扩展 IP 访问控制列表访问控制列表扩展 IP 访问控制列表比标准 IP 访问控制列表具有更多的匹配项,包括协议类型、源地址、 目的地址、源端口、目的端口、建立连接的和 IP 优先级等。编号范围是从 100 到 199 的访 问控制列表是扩展 IP 访问控制列表。标准访问控制列表标准访问控制列表ip access-list standard /*创建一个标准访问列表permit /*定义规则deny /*定义规则vlan 100 /*进入接口ip access-group 1 /*应用在该接口扩展访问控制表
31、扩展访问控制表ip access-list extended /*创建一个扩展访问列表Permit deny eq|gt|lt|neg|range端口号或者应用 /*定义规则ip access-group 1 /*应用在该接口三、三、IEEE802.1x 配置配置 radius 服务器地址:172.16.12.128,设置有一个帐户,共享 key 为 111,以 WINDOWS 2000的 IAS 为 RADIUS 服务器5304 一台,配备一块 4P10/100/1000 电口模块5304 实例配置如下:iprouting vlan 1name DEFAULT_VLANuntagged A1
32、-A4ip address 172.16.12.130 255.255.255.0exit vlan 200name test_1untagged A2ip address 172.16.22.1 255.255.255.0exit vlan 300name test_2untagged A3ip address 172.16.33.1 255.255.255.0exit aaa authentication port-access chap-radius radius-server key 111radius-server host 172.16.12.128 key 111aaa port
33、-access authenticator A2-A4aaa port-access authenticator A2 auth-vid 200aaa port-access authenticator A3 unauth-vid 300aaa port-access authenticator active在该配置下,客户端使用 WINDOWS 2000 SP3 以上时,连入网络就会弹出一个认证窗口要求输入用户名及密码。四、四、 WEB 认证认证 WEB 认证是对客户端认证的一种方法,认证过程为:设备在得到客户端接入请求时发送一个 WEB 窗口,用户在输入用户名和密码后,封装到 SSL 报文
34、中,去往后台 RADIUS 服 务器认证,认证成功后赋予客户端接入权限。实例配置如下:test_5304xl(config)# aaa port-access web-based A2 client-limit 32test_5304xl(config)# aaa port-access web-based A2 ssl-logintest_5304xl(config)# aaa port-access web-based A2 redirect-urltest_5304xl(config)# aaa port-access web-based dhcp-addr 172.16.12.0 25
35、5.255.255.0test_5304xl(config)# aaa port-access web-based dhcp-lease 25在 WEB 认证方式下,客户端连入交换机后需打开一个浏览器,交换机会返回一个页面给客户机要求输入用户名及密码 .五、五、MAC 认证认证 MAC 认证是一种最简便的客户端接入控制方式, 认证过程对无线(有线)客户端来说是透明的。MAC 认证方式有 2 种:第一种称为“ MAC-RADIUS ”认证:设备在得到客户端 MAC 地址后,将 MAC 地址作为用户名和密码,封装到 RADIUS 报文中,去往后台 RADIUS 服务器去认证,认证成功后赋予客户端接
36、入权限;第二种称为“ MAC-ACL ”方式, 在设备上保存一份 MAC 地址列表,每次认证时在本地查表来确认客户端是否可以合法接入。 配置命令如下:配置命令如下:aaa port-access mac-based e 第五章第五章 动手操作实验动手操作实验一、交换机基本设置操作实验一、交换机基本设置操作实验 1、在HP 5308上面配置主机名为HP-53082、在5308上面配置vlan 2,vlan3,vlan4,vlan5,vlan6,vlan7,vlan8。3、配置vlan1,2,3,4的ip地址分别为为 192.168.1.1/24,192.168.2.1/24,92.168.3.1
37、/24,192.168.4.1/24。4、配置缺省网关为192.168.1.2545、配置5308上面vlan1端口A1,vlan2端口A2,vlan3端口A3,vlan4端口A4。6、删除vlan 5,6,7,8。7、删除vlan 4 的ip 地址8、将pc机接在A1端口上并设置网卡地址为对应网段ip地址,接在vlan2,vlan3,vlan4的端口上也可以,测试能否ping同对应的vlan地址。9,断开串口连接,telnet到交换机上。10、配置交换机的只读用户名和密码为admin password, 配置交换机的管理用户名和密码为procurve 12345678。11、退出telnet
38、登陆(使用logout),重新telnet到交换机,并测试所配置的用户名和密码是否生效。13、禁止web登陆并测试14、禁止telnet 登陆并测试二、二、 IP routing配置测试,交换机升级以及导入、导出系统配置实验配置测试,交换机升级以及导入、导出系统配置实验1、上个实验操作成功的前提下,是有串口登陆到交换机。2、启用telnet访问3、启用web访问4、web访问登陆到交换机,浏览下交换机的web界面及配置(PC需要安装java插件)5、使用telnet登陆到交换机,将A16的端口命名为link-26266、将端口A13设置成10M全双工模式,并使用笔记本测试。7、将A14端口的所
39、有流量限制成20Mb/s,并测试。8、把A16端口设置成tagged访问端口(vlan1-vlan3)9、在2626上配置vlan2(端口2)vlan3(端口3)vlan4(端口4)并配置vlan1-3的tagged端口为26号端口。10、配置2626 vlan 1的ip地址为192.168.1.2/24,配置默认网关为12.168.1.1 删除5308上面的默认网关。11、在5308上面启用ip routing 12、把A16和2626上面的26号端口用网线连接起来,在2626上2号端口连接笔记本后测试vlan ip地址的可通性。13、将5308上面的A15和A16端口设置成trunk 模式
40、端口(trk1),同理在2626上设置25和26为trunk端口(trk1)14、5308和2626上的trk1端口设置成vlan1-3的tagged端口。15、用两根网线把A15和25,A16和26号端口分别连接起来。16、同上第9步,将两个交换机的级联线断掉一根,在测试同上914、5308和2626上的trk1端口设置成vlan1-3的tagged端口。15、用两根网线把A15和25,A16和26号端口分别连接起来。16、同上第9步,将两个交换机的级联线断掉一根,在测试同上9三、静态路由和默认路由配置实验三、静态路由和默认路由配置实验1、在上面两个实验成功条件下配置2626 vlan100
41、(端口2) vlan200(端口3) ip地址为192.168.10.1/24 192.168.20.1/24 2、在2626上断开15,16号口与5308的连接,删除默认网关,启用ip routing3、将2626的1号口与5308的A1连接4、在2626上写一条默认路由,所有的IP地址下一条网关是192.168.1.15,在5308上写两条静态路由,目的地为192.168.10.0的下一跳地址为192.168.1.2,目的地为192.168.20.0的下一跳地址为192.168.1.2.6、用两台笔记本一台接在2626的vlan200端口上,另外一台笔记本接在5308上vlan2的端口上,
42、设置好各自的ip地址互ping测试。四、四、ACL控制实验控制实验1、在上面的实验成功后,在5308上配置扩展的ACL2、配置vlan4 的ip地址为192.168.4.1/24 禁止所有的访问vlan4,但vlan4可以访问所有的。 允许所有的只能访问vlan3的网关地址,不能访问vlan3的其他地址, 其它的都允许访问3、将一台笔记本接在5308的vlan3中,一台接在vlan4中,另外一台接在vlan2或vlan1中互ping测试看是否达到预定效果五、静态五、静态ip地址地址+mac地址地址+端口绑定实验端口绑定实验1、在以上实验成功后,取消5308上的所有acl2、将自己的笔记本的ip地址和mac地址以及对应的端口号和vlan绑定起来。3、用其他笔记本接在此端口上ping其它vlan中的笔记本的ip地址来测试,也可以更改自己笔记本上的mac地址来测试。六、动态六、动态OSPF实验实验在5308上启用动态OSPF,另外增加一台路由器或者也可以启用OSPF的三层交换机来进行测试,启用后测试并查看对应的OSPF状态信息。七、双机七、双机VRRP配置和动态配置和动态ARP保护配置讲解保护配置讲解