位置:主机房
管理地址:172.16.0.1
帐号:admin
密码:000111
[S7503]dis current-configuration
#
sysname S7503 交换机名称
#
local-rver nas-ip 127.0.0.1 key h3c
配置本机RADIUS服务器的相关参数,nas-ip用来配置接入服务器的IP地址,key用来配置登录用户的密码}
#
domain default enable system 将域” system”配置为缺省域
当需要为合法用户提供网络接入服务,同时对网络设备进行保护,防止非授权访问和抵赖行为,需要配置AAA。当需要通过 ISP域来对接入用户进行 AAA(认证、授权和计费)等管理时,需要配置 ISP域。
#
temperature-limit 0 10 70
temperature-limit 1 10 70
temperature-limit 2 10 70
temperature-limit 3 10 70
dis envir 可以看到交换机上显示,温度是否正常
#
poe power max-value 2400
#
radius scheme system
指定当前ISP域引用的RADIUS服务器组。此处RADIUS服务器组名为“system”}
primary authentication 127.0.0.1 1645
配置主RADIUS认证/授权的IP地址和端口号
primary accounting 127.0.0.1 1646
配置主RADIUS计费服务器的IP地址和端口号
ur-name-format without-domain
ur-name-format命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。这里表示送往RADIUS的报文不带域名
#
domain system
vlan-assignment-mode integer
动态 VLAN下发是指以太网交换机根据 RADIUS服务器下发的属性值,将已经通过
身份认证的用户所在的端口动态地加入到不同的 VLAN 中,从而对用户所能访问的
网络资源进行控制。
配置VLAN下发模式 缺省情况下,VLAN下发模式为整型(integer)
access-limit disable
指定可容纳接入用户数的最大值 缺省情况下,当一个ISP域被创建以后,其可容纳的接入
用户没有数量限制
state active 域的状态
idle-cut disable 关闭用户闲置切断功能
lf-rvice-url disable 交换机关闭自助服务器定位功能
mesnger time disable 交换机关闭信使提醒功能
#
local-ur admin 本地用户设置
password cipher ,Ya8PEG&8$_Q=^Q`MAF4<1!!
rvice-type telnet
level 3 命令级别共分为访问、监控、系统、管理 4个级别,分别对应标识 0、1、2、3。
#
stp TC-protection enable
stp tc-protection enable命令用来启动设备防止TC-BPDU报文攻击的保护功能。stp tc-protection disable命令用来关闭设备防止TC-BPDU报文攻击的保护功能。缺省情况下,防止TC-BPDU报文攻击的保护功能处于启动状态。
定义基本ACL视图 : 只根据三层源 IP地址制定规则。
基本ACL视 的子规则(取值范围为 2000~2999)
提示符 [H3C-acl- basic-2000]
在系统视图下键入:
acl number 2000
return返回用户视图 quit返回系统
定义高级ACL视图 : 根据数据包的源 IP地址信息、目的 IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。
高级ACL视 的子规则(取值范围为3000~3999)
提示符 :[H3C-acl-adv-3000]
在系统视图下键入 :
acl number 3000
定义二层ACL 根据源 MAC 地址、目的 MAC 地址、VLAN 优先级、二层协议类型等二层信息制定规则。
二层ACL视 的子规则(取值范围为4000~4999)
在系统视图下键入
acl number 4000
[H3C-acl-link-4000]
定义用户自定义 以数据包的头部为基准,指定从第几个字节开始进行“与”
操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的
报文。
用户自定义 ACL的子规则(取值范围为5000~5999)
[H3C-acl-ur-5000】
在系统视图下键入
acl number 5000
#
acl number 3000 定义高级ACL
高级rule
rule [ rule-id ] { permit | deny } rule-string
rule-id:ACL规则编号,范围为0~127。
deny:表示丢弃符合条件的数据包。
permit:表示允许符合条件的数据包通过。
rule-string:ACL规则信息, ACL规则信息中必须首先配置protocol参数,然后才能配置其他参数。
具体参数:
source { sour-addr sour-wildcard | any }
destination { dest-addr dest-wildcard | any }
source:可选参数,指定ACL规则的源地址信息。如果不配置,表示报文的任何源地址都匹配。可选参数,指定ACL规则的目的地址信息。如果不配置,表示报文的任何目的地址都匹配。any:表示所有源地址或目的地址,作用与源或目的地址是0.0.0.0,通配符是255.255.255.255相同。
dest-addr dest-wildcard用来确定数据包的目的地址,点分十进制表示;dest-wildcard可以
为0,表示主机地址
sour-wildcard与dest-wildcard为目标子网掩码的反码,点分十进制表示。例如,如果用户想指定子网掩码255.255.0.0,则需要输入0.0.255.255。可以为0,表示主机地址。
rule 1 permit ip destination 192.168.1.1 0 (路由器的网关)
rule命令用来增加访问控制列表的一条子规则
允许 ip协议 源地址为any主机到(访问)目的地址为192.168.2.1/0这个主机。
rule 2 permit ip destination 192.168.2.1 0
rule 3 permit ip destination 192.168.3.1 0
rule 4 permit ip destination 192.168.4.1 0
rule 5 permit ip destination 192.168.5.1 0
rule 6 permit ip destination 192.168.6.1 0
rule 7 permit ip destination 192.168.7.1 0
rule 8 permit ip destination 192.168.8.1 0
rule 9 permit ip destination 192.168.9.1 0
rule 10 permit ip destination 192.168.10.1 0
rule 11 permit ip destination 192.168.11.1 0
rule 12 permit ip destination 192.168.12.1 0
rule 13 permit ip destination 192.168.13.1 0
rule 14 permit ip destination 192.168.14.1 0
rule 15 permit ip destination 192.168.15.1 0
rule 16 permit ip destination 192.168.16.1 0
rule 17 permit ip destination 192.168.17.1 0
rule 18 permit ip destination 192.168.18.1 0
rule 19 permit ip destination 192.168.19.1 0
rule 20 permit ip destination 192.168.20.1 0
rule 21 permit ip destination 192.168.21.1 0
rule 22 permit ip destination 192.168.22.1 0
rule 23 permit ip destination 192.168.23.1 0
rule 24 permit ip destination 192.168.24.1 0
rule 25 permit ip destination 192.168.25.1 0
rule 26 permit ip destination 192.168.26.1 0
rule 27 permit ip destination 192.168.27.1 0
rule 28 permit ip destination 192.168.28.1 0
rule 29 permit ip destination 192.168.29.1 0
rule 30 permit ip destination 192.168.30.1 0
rule 31 permit ip destination 192.168.31.1 0
