H3C交换机安全配置基线

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。

重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令，关闭端口#检测方法及判定依据1、符合性判定依据端口关闭，不能使用。

2、参考检测方法通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口，只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。

重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；2、避免使用h3c、admin等简单易猜的账号名称；检测方法及判定依据1、符合性判定依据各账号都可以正常使用，不同用户有不同的账号。

X X银行H3C交换机系列安全配置基线(V1.0)目录1适用声明 (2)2访问控制 (3)2.1远程连接源地址限制 (21)3安全审计 (3)3.1开启设备的日志功能 (6)4入侵防范 (7)4.1配置防ARP欺骗攻击 (7)4.2配置常见的漏洞攻击和病毒过滤功能 (4)4.3配置ACL规则 (3)5网络设备防护 (8)5.1限制管理员远程直接登录 (8)5.2连接空闲时间设定 (9)5.3远程登陆加密传输 (10)5.4配置CONSOLE口密码保护功能和连接超时 (11)5.5按照用户分配账号 (12)5.6删除设备中无用的闲置账号 (13)5.7修改设备上存在的弱口令 (13)5.8配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9配置NTP服务 (15)5.10修改SNMP的COMMUNITY默认通行字 (16)5.11使用SNMPV2或以上版本 (17)5.12设置SNMP的访问安全限制 (18)5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14关闭不必要的服务 (19)5.15配置防源地址欺骗攻击 (20)5.16禁止设备未使用或者空闲的端口 (21)1 适用声明2 访问控制2.1配置ACL规则3 安全审计3.1开启设备的日志功能4 入侵防范5 网络设备防护5.2连接空闲时间设定5.3远程登陆加密传输5.4配置console口密码保护功能和连接超时5.6删除设备中无用的闲置账号5.7修改设备上存在的弱口令5.8配置和认证系统联动功能5.9配置NTP服务5.10修改SNMP的community默认通行字5.11使用SNMPV2或以上版本5.12设置SNMP的访问安全限制5.13系统应关闭未使用的SNMP协议及未使用RW权限5.14关闭不必要的服务5.17远程连接源地址限制。

H3C交换机与路由器的基本配置交换机的基本配置:传统的基于集线器的局域网中所有的站点都处于同一个“冲突域”中，这里的“冲突域”是.指CSMA/CD算法中每个站点所监听的网络范围。

处于同一个冲突域中的站点在任意时刻只能有一个站点占用信道，这意味着传统以太网的带宽被各个站点在统计意义上均分的，这决定了传统形式的以太网不具有可伸缩性。

局域网交换机可以让通信的双方拥有一条不受干扰的信道，当一个站点想发送一802.3帧是，他就向交换机发送一标准帧，交换机通过检查帧头的目的地址并将此帧通过高速背板总线从连接目的站点的端口发出。

高速背板总线的设计可以保证同时通信的若干站点互不影响。

对交换机的配置有多中方法:通过Console口，通过telnet等。

用Console口对交换机进行配置是最常用的方法，也是对没有经过任何配置的交换机进行配置单唯一途径，配置过程如下:1(用Console电缆把交换机和PC机进行连接，RJ—45的一端插在交换机的Console口，另一端与计算机的串口相连。

2(在PC机上打开超级终端应用程序建立与交换机的连接，在PC上点击开始，以此选择程序，附件，通讯，单击“超级终端”，弹出“连接描述”对话框，在名称框输入名称并在图标框选择一个图标(名称和图标可以自由设置，不会影响对交换机的配置)，然后点击确定，弹出COM1属性对话框，设置波特率为:9600 数据位为:8 奇偶效验为:无停止位为:1 流量控制为:无，点击“确定”，进入配置编辑窗口。

3(在编辑窗口对交换机进行配置在缺省模式下我们进入交换机是处在用户视图下4(恢复交换机的缺省配置在用户试图下首先使用以下命令<Quidway>reset saved—configuration 清空配置<Quidway>reboot 重启交换机5(VLAN配置:<Quidway>system-view 进入系统试图[Quidway]valn 2 交换机默认所有的端口都属于valn 1,vlan 1既不能创建也不能删除[Quidway-vlan2]port ethernet 0/10 to ethernet 0/12 把以太端口10到12加入到vlan2[Quidway-vlan2]display current-configuration 查看配置信息配置了vlan之后，处于不同vlan的主机不能直接通讯，vlan具有隔离网络的作用，从而实现网络安全。

H3C核心交换机配置H3C核心交换机配置H3C每年将销售额的15%以上用于研发投入，在中国的'北京、杭州和深圳设有研发机构，在北京和杭州设有可靠性试验室以及产品鉴定测试中心。

以下是店铺整理的关于H3C核心交换机配置，希望大家认真阅读!1、核心交换机新建用户admin密码admin@h3c，并关联远程登录服务，如telnet web网页登录、ssh远程登录。

并开启telnet、web登录服务、ftp服务#local-user adminpassword cipher admin@h3cauthorization-attribute level 3service-type telnetservice-type ftpservice-type web#telnet server enable#ip http enable#user-interface vty 0 15authentication-mode scheme2、如需新增vlan网段，先新建对应vlan，新建网关、把网线口加入到此vlan，这里例举新增vlan11，网关172.30.162.1/24,把0/0/27-0/0/28口添加到vlan162#vlan 162port GigabitEthernet 0/0/27 to GigabitEthernet 0/0/28#interface Vlan-interface162ip address 172.30.162.1 255.255.255.03、开启DHCP自动获取功能，此功能一般只需要在核心交换机上开启，比如这里开启vlan162网段的DHCP功能，并禁止分配172.30.162.1-100#dhcp server ip-pool 162network 172.30.162.0 mask 255.255.255.0gateway-list 172.30.162.1dns-list 88.0.0.216 88.0.0.218#dhcp enable#dhcp server forbidden-ip 172.30.162.1 172.30.162.100关闭192.168.11.0网段的DHCP自动获取功能#undo dhcp server ip-pool 114、下联交换机口必须配置成trunk口，并允许所有vlan通过，比如2槽位板卡，开启trunk配置，这里例举2/0/1和2/0/2口要下接接入交换机#interface GigabitEthernet2/0/1port link-type trunkport trunk permit vlan 10 20 30 40 50 80 162 500 1000#interface GigabitEthernet2/0/2port link-type trunkport trunk permit vlan 10 20 30 40 50 80 162 500 10005、查看交换机端口使用情况，可查看端口激活状态up或者DOWN，端口工作速率，端口模式，端口对应的vlan号dis interface briefThe brief information of interface(s) under route mode: Link: ADM - administratively down; Stby - standbyProtocol: (s) - spoofingInterface Link Protocol Main IP DescriptionM-E0/0/0 DOWN DOWN --NULL0 UP UP(s) --Vlan1 UP UP --Vlan10 UP UP 192.168.10.1 POSVlan20 UP UP 192.168.20.1 KELIUVlan30 UP UP 192.168.30.1 MENJINVlan40 UP UP 192.168.40.1 TINGCHECHANGVlan50 UP UP 172.15.0.1 KEYONG-WIFI-IPVlan80 UP UP 192.168.80.1 OFFICE-WIFI-IPVlan162 UP UP 172.30.162.1 OFFICEVlan500 UP UP 192.168.60.1 AP-IPVlan1000 UP UP 172.16.100.1 MANGENT&TO-F100-E-G Vlan1101 UP UP 11.1.1.2 TO-CISCO-11.1.1.1Vlan1102 UP UP 11.1.1.6 TO-CISCO-11.1.1.5The brief information of interface(s) under bridge mode: Link: ADM - administratively down; Stby - standbySpeed or Duplex: (a)/A - auto; H - half; F - fullType: A - access; T - trunk; H - hybridInterface Link Speed Duplex Type PVID DescriptionBAGG1 UP 2G(a) F(a) A 1000 TO-F100-E-GBAGG2 UP 2G(a) F(a) T 1 WLAN-COTROLGE0/0/1 DOWN auto A T 1GE0/0/2 DOWN auto A T 1GE0/0/3 DOWN auto A T 16、查看各个vlan所有在线电脑ip，可通过命令查看在线ip地址-mac地址-学习来源(所接端口)，下面列举查看管理vlan 1000网段交换机在线情况，可以看到下列ip的交换机都在正常工作，都在线dis arp vlan 1000Type: S-Static D-Dynamic M-MultiportIP Address MAC Address VLAN ID Interface Aging Type172.16.100.36 5cdd-703f-6e50 1000 GE0/0/13 18 D172.16.100.14 7425-8aef-811a 1000 GE0/0/13 13 D172.16.100.37 e468-a38e-ee5b 1000 GE0/0/14 3 D172.16.100.2 70ba-ef69-4adf 1000 BAGG1 3 D172.16.100.3 70f9-6d0d-e4d6 1000 BAGG2 15 D【H3C核心交换机配置】。

H3C交换机端口安全模式配置H3C交换机端口安全模式配置用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。

其实在用户的网络访问控制方面，最直接、最简单的方法就是配置基于端口的安全模式，不仅Cisco交换机如此，H3C交换机也有类似的功能，而且看起来功能更加强大。

下面跟yjbys 店铺一起来学习一下H3C以太网交换机端口安全模式配置方法！在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类：控制MAC地址学习类和认证类。

控制MAC地址学习类无需对接入用户进行认证，但是可以允许或者禁止自动学习指定用户MAC 地址，也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中，通过这种方法就可以实现用户网络访问的控制。

认证类则是利用MAC地址认证或IEEE 802.1X认证机制，或者同时结合这两种认证来实现对接入用户的网络访问控制。

配置了安全模式的H3C以太网交换机端口，在收到用户发送数据报文后，首先在本地MAC地址表中查找对应用户的MAC地址。

如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文，否则根据端口所在安全模式进行相应的处理，并在发现非法报文后触发端口执行相应的安全防护特性。

在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。

1. autoLearn模式与secure模式在autoLearn(自动学习)端口安全模式下，可通过手工配置，或动态学习MAC地址，此时得到的MAC地址称为Secure MAC(安全MAC地址)。

在这种模式下，只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后，该端口也不会再添加新的Secure MAC，并且端口会自动转变为Secure模式。

如果直接将端口安全模式设置为Secure模式，则将立即禁止端口学习新的MAC地址，只有源MAC地址是原来已在交换机上静态配置，或者已动态学习到的MAC地址的报文才能通过该端口转发。

华为交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全（可选） (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

H3C设备安全配置基线目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)第2章帐号管理、认证授权安全要求 (6)2.1帐号管理 (6)2.1.1用户帐号分配* (6)2.1.2删除无关的帐号* (7)2.2口令 (8)2.2.1静态口令以密文形式存放 (8)2.2.2帐号、口令和授权 (10)2.2.3密码复杂度 (11)2.3授权 (11)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (11)第3章日志安全要求 (13)3.1日志安全 (13)3.1.1启用信息中心 (13)3.1.2开启NTP服务保证记录的时间的准确性 (14)3.1.3远程日志功能* (15)第4章IP协议安全要求 (17)4.1IP协议 (17)4.1.1VRRP认证 (17)4.1.2系统远程服务只允许特定地址访问 (17)4.2功能配置 (18)4.2.1SNMP的Community默认通行字口令强度 (18)4.2.2只与特定主机进行SNMP协议交互 (20)4.2.3配置SNMPV2或以上版本 (21)4.2.4关闭未使用的SNMP协议及未使用write权限 (21)第5章IP协议安全要求 (23)5.1其他安全配置 (23)5.1.1关闭未使用的接口 (23)5.1.2修改设备缺省BANNER语 (24)5.1.3配置定时账户自动登出 (24)5.1.4配置console口密码保护功能 (25)5.1.5端口与实际应用相符 (26)第1章概述1.1目的规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

H3C华三交换机基本配置命令大全，别到用的时候找不到了！本期我们一起来学习一下H3C最详细的基础命令。

一、不知道密码，如何恢复出厂设置1、开机启动，Ctrl+B进入bootrom菜单，选择恢复出厂设置。

2、用com线连上电脑，用超级终端进入，然后重启电脑，看提示按ctrl+b 进入bootrom模式，然后按照菜单提示删除flash中的.cfg文件，然后重启就可以了。

二、将Trunk端口添加到vlan中Trunk端口可以允许多个VLAN通过，也就是可以加入多个VLAN，所以Trunk 端口的VLAN加入不可能是一个一个地加，而是采取批量添加的方式进行。

但只能在以太网端口视图下进行配置，配置步骤如表7-11所示。

【示例1】使用port trunk permit vlan命令将中继端口Ethernet2/0/1加入到2、6、10、50～100 VLAN中。

1. <H3C> system-view2. System View: return to User View with Ctrl+Z.3. [H3C] interface Ethernet2/0/14. [H3C-Ethernet2/0/1] port trunk permit vlan 2 6 10 50 to 100【示例2】使用undo port trunk permit vlan命令将中继端口Ethernet2/0/1从VLAN 1中删除。

三、H3C交换机基础配置说明1、以太网端口的链路类型Access link：只能允许某一个vlan的untagged数据流通过。

Trunk link：允许多个vlan的tagged数据流和某一个vlan的untagged数据流通过。

Hybrid link：允许多个vlan的tagged数据流和多个vlan的untagged数据流通过。

hybrid link端口可以允许多个vlan的报文发送时不携带标签，而Trunk端口只允许缺省vlan的报文发送时不携带标签。

华为设备（交换机）安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误！未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

H3C交换机安全配置基线 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。

H3C交换机安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号 (2)2.1.1配置默认级别* (2)2.2口令 (3)2.2.1密码认证登录 (3)2.2.2设置访问级密码 (4)2.2.3加密口令 (4)第3章日志安全要求 (6)3.1日志安全 (6)3.1.1配置远程日志服务器 (6)第4章IP协议安全要求 (7)4.1IP协议 (7)4.1.1使用SSH加密管理 (7)4.1.2系统远程管理服务只允许特定地址访问 (7)第5章SNMP安全要求 (9)5.1SNMP安全 (9)5.1.1修改SNMP默认通行字 (9)5.1.2使用SNMPV2或以上版本 (9)5.1.3SNMP访问控制 (10)第6章其他安全要求 (12)6.1其他安全配置 (12)6.1.1关闭未使用的端口 (12)6.1.2帐号登录超时 (12)6.1.3关闭不需要的服务* (13)第7章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行H3C交换机的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本H3C交换机。

1.4 实施1.5 例外条款第2章帐号管理、认证授权安全要求2.1 帐号2.1.1配置默认级别*2.2 口令2.2.1密码认证登录2.2.2设置访问级密码2.2.3加密口令第3章日志安全要求3.1 日志安全3.1.1配置远程日志服务器第4章IP协议安全要求4.1 IP协议4.1.1使用SSH加密管理4.1.2系统远程管理服务只允许特定地址访问第5章SNMP安全要求5.1 SNMP安全5.1.1修改SNMP默认通行字5.1.2使用SNMPV2或以上版本5.1.3SNMP访问控制第6章其他安全要求6.1 其他安全配置6.1.1关闭未使用的端口6.1.2帐号登录超时6.1.3关闭不需要的服务*第7章评审与修订。

通信工程学院06级交换机与路由器配置报告一、实习目的1、掌握路由器和交换机的基本原理2、掌握目前网络中常用的路由协议3、学会使用packet tracer进行网络设置和规划的仿真4、学会使用路由器和交换机二、基本原理1、路由器和交换机的基本原理集线器Hub ：工作在物理层，功能是将收到电气信号向所有端口发送，并连接同网段设备，为所有用户争用固定带宽。

二层交换机Switch ：工作在数据链路层，按照物理MAC地址进行寻址转发，并连接同网段设备，使其中用户各自占用固定带宽，用户之间互相不影响。

路由器Router ：工作在网络层，按照目的网络地址进行寻址转发，它连接不同网段设备。

转发需要收集全网路由信息（OSPF、BGP）。

路由交换机RS路由交换机即具有二层交换的功能又具有三层路由的功能。

RS收到的报文如果目的MAC与本机接口MAC不一致则是需要交换的报文。

2、VLANVLAN的中文名称为“虚拟局域网” ，是一种将在同一个局域网的局域网计算机从逻辑上划分成一个独立网段，从而实现虚拟工作组的新兴数据交换技术。

VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。

由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

3、静态路由选择原理静态路由是由管理员手工配置的。

在下列情况下，可使用静态路由：1）链路的带宽较低(如拨号链路)，不希望它传输动态路由选择更新；2）管理员想完全控制路由器使用的路由；3）需要为动态路由提供一条备用路由；4）前往只有一条路径可以达到的网络(末节网络)时；5）路由器没有足够的CPU或内存资源来运行动态路由选择协议；6）需要让路由器看来路由是一个直连网络。

第1章产品介绍1.1 概述H3C S5100系列交换机是杭州华三通信技术有限公司（以下简称H3C公司）自主开发研制的千兆以太网交换机产品。

H3C S5100系列交换机具备丰富的业务特性，定位为企业网和城域网的汇聚层或接入层，同时还可以用于数据中心服务器群的连接。

表1-1 H3C S5100系列以太网交换机型号每个SFP口和对应的10/100/1000Base-T自适应以太网端口形成一个Combo口，即同一时刻形成Combo口的两个端口只能使用一个，形成Combo口的两个端口间的对应关系，请参见表1-2。

表1-2 形成Combo口的两个端口间的对应关系1.2 S5100系列以太网交换机1.2.1 S5100-26C-EI以太网交换机1. 前面板介绍S5100-26C-EI以太网交换机前面板提供24个10/100/1000BASE-T自适应以太网端口、4个1000Base-X SFP口、1个Console口。

其中每个SFP口和对应的10/100/1000Base-T自适应以太网端口形成一个Combo口，即同一时刻形成Combo 口的两个端口只能使用一个，形成Combo口的两个端口间的对应关系Combo口和以太网端口间的对应关系，请参见表1-2。

S5100-26C-EI以太网交换机的前面板示意图如图1-1所示。

(1): 10/100/1000 BASE-T自适应以太网端口状态指示灯(2): 1000Base-X SFP口状态指示灯(3): Console口(4): 7段数码显示灯(5): 电源指示灯(6): 直流电源指示灯(7): 10G接口插槽1指示灯(8): 10G接口插槽2指示灯(9): 以太网端口模式切换指示灯(10): 端口状态指示灯模式切换按钮图1-1 S5100-26C-EI前面板示意图2. 后面板介绍S5100-26C-EI以太网交换机后面板提供交直流电源输入接口以及2个10G接口插槽，后面板示意图如图1-2所示。

h3c交换机配置教程【图文】精品文档h3c交换机配置教程【图文】其实不同厂家型号的交换机设置都是差不多的，只是不同厂家的交换机设置的命令是不同的!但只要我们知道一种交换机的设置并找一下相关的资料，就很容易设置好不同的交换机!下面学优网为大家整理了关于h3c交换机配置教程【图文】，希望对你有所帮助。

比方说，你们公司新增加了办公室，网络端口不够用了，你们IT主管让你加一个交换机到机房并设置好。

首先的条件是你公司的网络有vlan的划分(在核心交换机上)，比如说vlan ,vlan,vlan4等!那么我们怎么来设置好一个交换机呢?大家可能会想到很多，觉得交换机很难设置，其实只要我们在设置之前想好要做哪些事情，它还是很容易的!我们一般要设置的有: 交换机的名称、管理ip地址(这个也可以不设置的)、登陆的用户和密码以及划分合适的vlan 等。

至于其它的很多功能设置我们一般是不需要改，如果要真的改，那就拿出说明书吧!好了，先给大家看看H3C交换机的登陆界面。

大家看到的上面这个界面就是登陆后出现的，看没看到这个提示，表于你已经进入了交换机的用户操作界面，交换机的名称是 H3C ,这是它给我们的信息。

下面我们看一1 / 5精品文档下在这个用户操作介面下都可以执行哪些命令,输入一个问号得到帮助(很多东西我们都不需要记住的，只要输入”?”问号帮助命令，它就会提示你怎么操做了!),如下图所示。

在用户操作模式下显示的这些命令都是很简单的，也没有什么特别的说明，因为如果要改变交换机的设置,需要进入交换机的系统模式，输入system-view 就可以进入系统修改模式了，如下图所示!看一下系统模式下的命令都有哪些:还真是很多呀!看到这么多命令各位的脑袋是不是又大起来了，没关系的，别紧张，想一想我们们应该完成的任务吧，其实用不到那么多命令的!用sysname 命令设置交换机的名称，如下图:2 / 5精品文档接下来设置管理vlan和管理ip , 管理vlan和管理ip大家可能不明白是什么意思! 每个交换机默认都是有一个vlan 1存在的，在H3C交换机里，这个vlan 1默认就是管理vlan, 管理ip就是用来远程管理这个交换机的ip地址 ,管理ip要设置在管理vlan上，如果我们公司核心交换机上没有设置vlan 1 ，也就是说vlan 1是没有ip地址定义的，那么我们就要设置其它的vlan为管理vlan，这样才能设置ip 地址，才能远程管理交换机!一个交换机里只能有一个管理vlan存在，所以我们要先删除原来的管理vlan , 设置新的管理vlan , 命令如下: 删除原来的管理vlan , 用undo 命令(undo 是取消设置的命令)。

H3C端口绑定与端口安全端口安全：1.启用端口安全功能[H3C]port-security enable2.配置端口允许接入的最大MAC地址数[H3C-Ethernet1/0/3]port-security max-mac-count count-value缺省情况下，最大数不受限制为03.配置端口安全模式[H3C-Ethernet1/0/3]port-security port-mode { autolearn ｜noRestriction… }4.手动添加Secure MAC地址表项[H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id5.配置Intrusion Protection（Intrusion Protection被触发后，设置交换机采取的动作）[H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily }验证命令：display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ]显示Secure MAC地址的配置信息端口+IP+MAC绑定方法一：[H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet 1/0/3方法二：[H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106验证命令：[H3C]display am user-bind 显示端口绑定的配置信息端口+IP绑定[H3C-Ethernet1/0/3] am user-bind ip-addr 192.168.1.106注：交换机只要接收一个3层表项，交换机使用动态ARP产生一条arp条目。