cisco H3c 交換機配置遠程ssh和應用中經常使用配置 H3C 6300 CISCO 385

ssh對於如今網絡或遠程管理就很常見，因此如今遠程telnet或ssh對於管理員遠程管理就方便的多了。在遠程管理中的安全也尤爲重要，通常就密碼，用戶名和密碼和密鑰管理登陸。

cisco SSH配置

Switch(config)#enabled password 123456 （明文密碼，在配置文件裏面能直接看的到）
Switch(config)#enabled secret 123456 （加密的密碼，在配置文件中不以明文顯示） 通常採用這種
Switch(config)#vlan 1 （建立虛擬VLAN用於配置接口IP（全局配置模式下））
Switch(config)#interface vlan 1 （進入VLAN接口配置模式（全局配置模式下））
Switch(config-if)#ip address 192.168.5.253 255.255.255.0 （配置接口IP地址（VLAN接口配置模式下））
Switch(config-if)#no shutdown （激活當前虛擬接口（VLAN接口配置模式下））

通常交換機較多的能夠設置個方即是識別的名字
Switch(config)#hostname sw2960
Switch(config)#ip domain-name cisco.com (//配置ssh的時候經理避免使用默認名稱不然報錯)
Switch(config)#crypto key generate rsa (//生成一個rsa算法的密鑰，密鑰長度爲默認長)
Switch(config)#ip ssh time-out 120 (//設置ssh時間爲120秒(默認爲120秒))
Switch(config)#ip ssh authentication 4 (//設置ssh認證重複次數爲4，能夠在0-5之間選擇)
Switch(config)#line vty 0 4 (//進入vty模式)
Switch(config-line)#transport input ssh (//設置vty的登陸模式爲ssh，默認狀況下是all即容許全部登陸)
Switch (config-line)#login local
Switch(config)#aaa new-model (/啓用aaa認證，默認即爲在本地服務器上進行認證，也能夠執行aaa authentication login default local指定在本地服務器上進行認證；)
Switch(config-line)#username sshadmin password 0 sshpassword //建立一個用戶admin並設置其密碼爲sshpassword。

最後記得保存配置，不然交換機重啓配置都白配置了。
write 保存
Show run 查看配置文件
Show ip ssh 查看ssh的配置文件
crypto key zeroize rsa //中止Ssh服務；

配置文件經過tftp備份（tftp軟件能夠經過百度下載）
copy running-config tftp
配置文件恢復 （在配置文件前，最好能有個備份的好習慣）
copy tftp running-config

配置備份
copy startup-config tftp://192.168.120.116/c3850-config.cfg
配置恢復
copy tftp://192.168.120.116/c3850-config.cfg startup-config

cisco交換機vlan配置dhcp
配置vlan ip地址
interface vlan 120
ip address 192.168.120.253 255.255.252.0
配置dhcp
ip dhcp pool 120
network 192.168.120.0 255.255.255.0
default-rotuer 192.168.120.253
dns-server 192.168.0.20
配置dhcp租約時間
lease 0 16 ###16個小時
注意：lease 天 時 秒

配置靜態路由
ip route 192.168.120.0 255.255.252.0 192.168.120.253或者 ip route 192.168.120.0 255.255.252.0 fa0/1

配置vlan acl訪問控制
ip access-list extended vlan 120
deny ip 192.168.199.0 0.0.0.255 192.168.120.0 0.0.252.255
permit ip any any
int vlan 120
ip access-group vlan120 in

配置dhcp排除那些ip不被別人獲取
ip dhcp excluded-address 192.168.120.116

查看mac和ip綁定信息
show ip dhcp binding

Show ip dhcp pool 查看地址池信息
Show ip dhcp server statistics 查看DHCP收發數據包統計表
清除命令：
Clear ip dhcp server statist 清除收發數據統計信息
clear ip dhcp binding * 清除全部租約信息

DHCP維護操做
//開啓也關閉dhcp日誌
ip dhcp conflict logging 
sh ip dhcp binding //顯示地址分配狀況
show ip dhcp conflict //顯示地址衝突狀況
debug ip dhcp server {events | packets | linkage} //觀察DHCP服務器工做狀況
#clear ip dhcp binding * | mac | vrf 釋放Dhcp中的地址
#release dhcp gigabitEthernet 0/40 //另外一種釋放方法

客戶端綁定指定ip
原先有dhcp池的配置
　　1. 排除dhcp地址
　　ip dhcp excluded-address 192.168.20.7

2. 配置綁定MAC的地址池。
   　　ip dhcp pool 201
   　　host 192.168.20.8
   　　client-identifier 01xx.xxxx.xxxx.xx
   　　default-router 192.168.20.1
   　　dns-server 8.8.8.8

3. 配置完後，爲了不其餘用戶私自修改保留的IP地址，須要再增長ARP綁定信息。
   　　arp 192.168.20.7 xxxx.xxxx.xxxx arpa
   注意：若是在綁定的時候出現已經動態綁定了，則須要查看綁定的是那個ip，而後解綁再重新綁定。
   show ip dhcp binding 192.168.20.7
   clear ip dhcp binding 192.168.20.7

   注意：若是在配置client-identifier 01xx.xxxx.xxxx.xx出現以下錯誤：
   a binding for this client already exists
   通常是能夠經過clear ip dhcp binding 192.168.1.*
   若是主機已經獲取了其餘的ip，也會出現如上提示，則須要在主機上釋放ip，而後斷開網線

配置備份
copy startup-config tftp://192.168.120.116/c3850-config.cfg
配置恢復
copy tftp://192.168.120.116/c3850-config.cfg startup-config

根據端口限制訪問(在企業中很實用)
C3850#sho access-lists vlan10
Extended IP access list vlan10
1 permit tcp host 192.168.120.116 any eq 3389
2 permit tcp host 192.168.121.132 any eq 3389
3 permit tcp 192.168.200.0 0.0.0.255 any eq 3389
5 permit tcp host 192.168.0.35 any eq 3389
10 deny tcp any 192.168.0.0 0.0.3.255 eq 3389
30 permit ip any any (150580 matches)

待續。。。。

H3c SSH配置 6300
生成RSA密鑰對
public-key local create rsa
生成DSA密鑰對
public-key local create rsa
啓用ssh服務功能
ssh server enables
建立vlan
vlan 120
端口加入vlan120
port ten-gigabitethernet 1/0/2
端口配置ip
interface vlan-interface 120
ip address 192.168.120.253 255.255.252.0
設置客戶端登陸認證方式爲scheme
line vty 0 63
authentication-mode scheme
建立本地用戶admin，並設置密碼和用戶角色
local-user admin class manage
password simple 123456
service-type ssh
authorization-attribute user-role network-admin
配置就是這麼簡單。

6300端口鏡像
建立本地鏡像組
[DeviceA] mirroring-group 1 local
將 Ten-GigabitEthernet3/0/1 和 Ten-GigabitEthernet3/0/2 配置爲鏡像源端口，對這兩個端口接收的報文進行鏡像。
[DeviceA] mirroring-group 1 mirroring-port ten-gigabitethernet 3/0/1 ten-gigabitethernet 3/0/2 inbound
將 Ten-GigabitEthernet3/0/3 配置爲鏡像目的端口
[DeviceA] mirroring-group 1 monitor-port ten-gigabitethernet 3/0/3

進入端口，配置爲鏡像原
interface Ten-GigabitEthernet1/0/8
mirroring-group 1 mirroring-port both
鏡像到目的端口
interface Ten-GigabitEthernet1/0/31
mirroring-group 1 monitor-port

6300 ip和mac綁定
ip source binding ip-address 192.168.120.45 mac-address 685b-35ce-29ea

6300 爲vlan120建立dhcp
dhcp server ip-pool vlan120
network 192.168.120.0 mask 255.255.252.0
dns-list 192.168.0.7 192.168.0.20
gateway-list 192.168.120.253

配置DHCP Snooping功能
[Sysname] dhcp snooping ###啓用DHCP Snooping功能。默認狀況下，DHCP Snooping功能處於關閉狀態
[Sysname-Ethernet1/1] dhcp-snooping trust ###配置端口爲信任端口，並記錄客戶端IP地址和MAC地址的綁定關係。默認狀況下，在啓用DHCP Snooping功能後，設備的全部端口均爲不信任端口

建立acl訪問控制
acl number 3120
rule 0 deny ip source 192.168.1.0 0.0.0.255
rule 2 permit ip destination 10.100.100.0 0.0.0.255

配置靜態路由表
ip route-static 0.0.0.0 0 192.168.120.253

保存配置save
查看配置文件 display current-configuration
查看ip所對應的mac dis arp 192.168.120.116
查看路由表 dis ip routing-table
刪除命令的話，在命令前面加上no

配置文件備份
使用backup startup-configuration to 192.168.125.149 aaa.cfg或tftp 192.168.125.149 put h3c.cfg aaa.cfg備份配置文件（h3c.cfg爲原配置文件名，aaa.cfg爲備份後的文件名，若不指定指與原文件同名）

恢復
配置恢復 第一步：使用restore startup-configuration from 192.168.125.149 aaa.cfg或tftp 192.168.125.149 get aaa.cfg命令從tftp服務器上下載配置命令

端口綁定，啓用lacp協議
interface Bridge-Aggregation2
port access vlan 20
link-aggregation mode dynamic
link-aggregation load-sharing mode destination-ip source-ip
lacp edge-port

interface Ten-GigabitEthernet1/0/1
port access vlan 20
duplex full
port link-aggregation group 2

interface Ten-GigabitEthernet1/0/2port access vlan 20duplex fullport link-aggregation group 2