H3C 端口安全配置

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。

重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令，关闭端口#检测方法及判定依据1、符合性判定依据端口关闭，不能使用。

2、参考检测方法通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口，只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。

重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；2、避免使用h3c、admin等简单易猜的账号名称；检测方法及判定依据1、符合性判定依据各账号都可以正常使用，不同用户有不同的账号。

H3C交换机路由器配置总结本文档涉及附件：无附件。

本文所涉及的法律名词及注释：1. H3C交换机：H3C是一家网络设备供应商，该公司的交换机产品广泛应用于企业网络中，提供可靠的数据交换和通信功能。

2. 路由器：路由器是一种网络设备，用于将数据包从一个网络转发到另一个网络，它通过查看数据包的目标IP地址并使用路由表来确定下一跳的路径。

3. 配置：配置是指对网络设备进行设置和调整，以使其能够适应特定的网络环境和需求。

章节一：交换机基本配置1.1 网络拓扑- 描述网络的物理连线和设备分布情况。

- 提供拓扑图和设备列表。

1.2 IP地址规划- 定义每个交换机接口的IP地址，网关和子网掩码。

- 提供IP地址规划表。

1.3 VLAN配置- 划分交换机的虚拟局域网（VLAN）。

- 设置VLAN间的互联和VLAN端口成员关系。

- 提供VLAN配置命令示例。

章节二：交换机高级配置2.1 交换机端口安全配置- 配置端口安全特性，限制每个端口连接的设备数量或MAC地址。

- 防止未经授权的设备接入网络。

- 提供端口安全配置命令示例。

2.2 交换机链路聚合配置- 配置链路聚合，将多个物理链路聚合成一个逻辑链路。

- 提高链路容量和可靠性。

- 提供链路聚合配置命令示例。

2.3 交换机交换机协议配置- 配置交换机间的协议，如树协议（STP），路由信息协议（RIP），开放最短路径优先（OSPF）等。

- 提供交换机协议配置命令示例。

章节三：路由器基本配置3.1 IP地址配置- 设置路由器接口的IP地址，网关和子网掩码。

- 提供IP地址配置命令示例。

3.2 静态路由配置- 配置静态路由，手动设置路由跳转路径。

- 提供静态路由配置命令示例。

3.3 动态路由配置- 配置动态路由，使路由器能够自动学习和选择最佳的路由路径。

- 提供动态路由配置命令示例。

章节四：路由器高级配置4.1 ACL配置- 配置访问控制列表（ACL），控制数据包的流动。

欢迎共阅H3C交换机1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、port link-type Access|Trunk|Hybrid 设置端口访问模式7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器##################################################################### #################1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router#################################################################### ######################1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、language-mode Chinese|English 中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置:<H3C>reset save ；<H3C>reboot ；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。

H3C 交换机配置命令详解华为3COM交换机配置命令详解1、配置文件相关命令[Quidway]display current-configuration ;显示当前生效的配置[Quidway]display saved-configuration ；显示flash中配置文件，即下次上电启动时所用的配置文件<Quidway>reset saved-configuration ；檫除旧的配置文件<Quidway>reboot ；交换机重启<Quidway>display version ；显示系统版本信息2、基本配置[Quidway]super password ；修改特权用户密码[Quidway]sysname ；交换机命名[Quidway]interface ethernet 0/1 ；进入接口视图[Quidway]interface vlan x ；进入接口视图[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ；配置VLAN的IP地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ；静态路由＝网关3、telnet配置[Quidway]user-interface vty 0 4 ；进入虚拟终端[S3026-ui-vty0-4]authentication-mode password ；设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple 222 ；设置口令[S3026-ui-vty0-4]user privilege level 3 ；用户级别4、端口配置[Quidway-Ethernet0/1]duplex {half|full|auto} ；配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto} ；配置端口工作速率[Quidway-Ethernet0/1]flow-control ；配置端口流控[Quidway-Ethernet0/1]mdi {across|auto|normal} ；配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ；设置端口工作模式[Quidway-Ethernet0/1]undo shutdown ；激活端口[Quidway-Ethernet0/2]quit ；退出系统视图5、链路聚合配置[DeviceA] link-aggregation group 1 mode manual ；创建手工聚合组1[DeviceA] interface ethernet 1/0/1 ；将以太网端口Ethernet1/0/1加入聚合组1 [DeviceA-Ethernet1/0/1] port link-aggregation group 1[DeviceA-Ethernet1/0/1] interface ethernet 1/0/2 ；将以太网端口Ethernet1/0/1加入聚合组1[DeviceA-Ethernet1/0/2] port link-aggregation group 1[DeviceA] link-aggregation group 1 service-type tunnel # 在手工聚合组的基础上创建Tunnel业务环回组。

目录第1章端口基本配置命令.......................................................................................................1-1 1.1 端口基本配置命令..............................................................................................................1-1 1.1.1 broadcast-suppression............................................................................................1-11.1.2 copy configuration...................................................................................................1-21.1.3 description...............................................................................................................1-41.1.4 display brief interface..............................................................................................1-51.1.5 display interface......................................................................................................1-61.1.6 display loopback-detection......................................................................................1-91.1.7 display transceiver-information interface..............................................................1-101.1.8 display port............................................................................................................1-111.1.9 display unit............................................................................................................1-111.1.10 duplex..................................................................................................................1-131.1.11 flow-control..........................................................................................................1-141.1.12 flow-interval.........................................................................................................1-141.1.13 giant-frame statistics enable...............................................................................1-151.1.14 interface...............................................................................................................1-161.1.15 jumboframe enable.............................................................................................1-171.1.16 loopback..............................................................................................................1-171.1.17 loopback-detection control enable......................................................................1-181.1.18 loopback-detection enable..................................................................................1-191.1.19 loopback-detection interval-time.........................................................................1-201.1.20 loopback-detection per-vlan enable....................................................................1-201.1.21 mdi.......................................................................................................................1-211.1.22 multicast-suppression.........................................................................................1-221.1.23 port access vlan..................................................................................................1-231.1.24 port hybrid pvid vlan............................................................................................1-231.1.25 port hybrid vlan....................................................................................................1-241.1.26 port link-type........................................................................................................1-251.1.27 port trunk permit vlan..........................................................................................1-261.1.28 port trunk pvid vlan..............................................................................................1-271.1.29 reset counters interface.......................................................................................1-281.1.30 shutdown.............................................................................................................1-281.1.31 speed...................................................................................................................1-291.1.32 unicast-suppression............................................................................................1-301.1.33 virtual-cable-test..................................................................................................1-30第1章端口基本配置命令1.1 端口基本配置命令1.1.1 broadcast-suppression【命令】broadcast-suppression { ratio | pps max-pps }undo broadcast-suppression【视图】系统视图/以太网端口视图【参数】ratio：指定以太网端口允许接收的最大广播流量的带宽百分比，取值范围为1～100，缺省值为100，步长为1。

h3c交换机mac地址绑定和端口IP设置h3c交换机mac地址绑定和端口IP设置由于一些单位网络规模越来越大，同时处于网络安全的考虑，通常会采用三层交换机划分多个网段，并且设置网段之间禁止通讯，以此来更好地保护信息安全，防止商业机密泄露以及电脑遭遇病毒侵袭的风险。

但在加强网络安全的同时，也对网络管理提出了新的`挑战，如何管理多网段电脑上网行为、跨网段监控电脑上网就成为当前企事业单位网络管理的一个重要课题。

比较常见的跨网段管理问题通常有如下几种：跨网段限制电脑网速、跨网段控制电脑上网行为(比如禁止迅雷下载、禁止在线玩游戏、限制在线看视频、禁止上班炒股、禁止工作时间网购等)，跨网段绑定电脑IP和MAC地址，防止电脑修改IP地址等行为。

那么，如何实现上述跨网段监控电脑上网、管理三层交换机多网段电脑上网行为呢? 可以通过以下两种方法来实现：方法一通过三层交换机自带的网管功能来实现控制多网段电脑网速、跨网段限制电脑上网行为以及跨网段实现交换机端口限速、跨网段实现三层交换机固定IP上网。

两种设置IP地址的命令：一种直接在物理端口上设置IP地址，设置过程比较简单。

如三层交换机上配置端口1/0/1为路由端口，IP地址为172.16.1.0，OSPF采用点到点类型，配置过程如下：#interface Ethernet 1/1#port link-mode route#ip address 172.16.1.0 255.255.255.0#ospf networt-type p2p方法二IP地址配置方式是通过逻辑VLAN设置IP地址，需先给VLAN设置IP地址，然后将物理端口配置在VLAN下。

为了保证IP地址和物理端口一一对应的关系。

例如在和上面一样的三层交换机上要配置端口1/0/1为路由端口，并配置端口的VLAN ID为101，VLAN 101 IP地址为172.16.1.1，OSPF 采用点到点类型，配置过程如下：#interface Vlan-interface 101#ip address 172.16.1.0 255.255.255.0#ospf network-type p2p#interface Ethernet 1/0/1#port link-mode route#port access Vlan 101以上两种方法都能为交换机端口设置IP地址，从操作步骤上看，第一种方法比较简单，第二种方法需要先将端口和VLAN对应起来再设置IP地址。

一、测试拓扑：点对点模式核心交换机AP 192.168.6.101/24AP 192.168.6.100/24移动用户群移动用户注：AP192.168.6.101的SSID是test，AP192.168.6.100的SSID是h3c二、测试设备清单三、注意事项1.AP信道保持一致2.AP预共享密钥保持一致四、配置步骤# 使能端口安全功能。

<WA2612> system-view[WA2612] port-security enable# 在WLAN Mesh接口下配置端口安全为PSK认证方式（预共享密钥为1qaz2wsx），并使能11key类型的密钥协商功能。

[WA2612] interface WLAN-MESH 1[WA2612-WLAN-MESH1] port-security port-mode psk[WA2612-WLAN-MESH1] port-security preshared-key pass-phrase simple1qaz2wsx[WA2612-WLAN-MESH1] port-security tx-key-type 11key# 在Mesh Profile下配置Mesh ID为h3c，将WLAN-Mesh 1接口绑定到服务模板，使能当前Mesh Profile服务模板。

[WA2612] wlan mesh-profile 1[WA2612-wlan-mshp-1] mesh-id h3c[WA2612-wlan-mshp-1] bind WLAN-MESH 1[WA2612-wlan-mshp-1] mesh-profile enable[WA2612-wlan-mshp-1] quit# 在802.11gn射频接口下指定工作信道为10。

[WA2612] interface WLAN-Radio 1/0/1[WA2612-WLAN-Radio1/0/1] channel 10# 配置WDS邻居MAC地址，即对端射频接口的MAC地址。

目录1 端口安全配置命令..............................................................................................................................1-11.1 端口安全配置命令.............................................................................................................................1-11.1.1 display port-security...............................................................................................................1-11.1.2 display port-security mac-address block................................................................................1-41.1.3 display port-security mac-address security............................................................................1-61.1.4 display port-security preshared-key user...............................................................................1-81.1.5 port-security authorization ignore...........................................................................................1-91.1.6 port-security enable................................................................................................................1-91.1.7 port-security intrusion-mode.................................................................................................1-101.1.8 port-security mac-address security......................................................................................1-111.1.9 port-security max-mac-count................................................................................................1-121.1.10 port-security ntk-mode........................................................................................................1-131.1.11 port-security oui..................................................................................................................1-141.1.12 port-security port-mode......................................................................................................1-151.1.13 port-security pre-shared-key..............................................................................................1-161.1.14 port-security timer disableport............................................................................................1-171.1.15 port-security trap.................................................................................................................1-181.1.16 port-security tx-key-type.....................................................................................................1-19z H3C WX系列无线控制产品包含无线控制器、无线控制业务板和有线无线一体化交换机的无线控制引擎模块，无线控制产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见本模块的命令手册。

h3c交换机清除配置命令整理 H3C不但拥有全线路由器和以太⽹交换机产品，还在⽹络安全、云存储、云桌⾯、硬件服务器、WLAN、SOHO及软件管理系统等领域稳健成长。

下⾯是店铺整理的h3c交换机清除配置命令整理，欢迎⼤家参考! 1、配置⽂件相关命令 [Quidway]display current-configuration ;显⽰当前⽣效的配置 [Quidway]display saved-configuration ;显⽰flash中配置⽂件，即下次上电启动时所⽤的配置⽂件 reset saved-configuration ;檫除旧的配置⽂件 reboot ;交换机重启 display version ;显⽰系统版本信息 2、基本配置 [Quidway]super password ;修改特权⽤户密码 [Quidway]sysname ;交换机命名 [Quidway]interface ethernet 0/1 ;进⼊接⼝视图 [Quidway]interface vlan x ;进⼊接⼝视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=⽹关 3、telnet配置 [Quidway]user-interface vty 0 4 ;进⼊虚拟终端 [S3026-ui-vty0-4]authentication-mode password ;设置⼝令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置⼝令 [S3026-ui-vty0-4]user privilege level 3 ;⽤户级别 4、端⼝配置 [Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端⼝⼯作状态 [Quidway-Ethernet0/1]speed {10|100|auto} ;配置端⼝⼯作速率 [Quidway-Ethernet0/1]flow-control ;配置端⼝流控 [Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端⼝平接扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端⼝⼯作模式 [Quidway-Ethernet0/1]undo shutdown ;激活端⼝ [Quidway-Ethernet0/2]quit ;退出系统视图 5、链路聚合配置 [DeviceA] link-aggregation group 1 mode manual ;创建⼿⼯聚合组1 [DeviceA] interface ethernet 1/0/1 ;将以太⽹端⼝Ethernet1/0/1加⼊聚合组1 [DeviceA-Ethernet1/0/1] port link-aggregation group 1 [DeviceA-Ethernet1/0/1] interface ethernet 1/0/2 ;将以太⽹端⼝Ethernet1/0/1加⼊聚合组1 [DeviceA-Ethernet1/0/2] port link-aggregation group 1 [DeviceA] link-aggregation group 1 service-type tunnel # 在⼿⼯聚合组的基础上创建Tunnel业务环回组。

H3C S5130-EI 端口安全配置举例目录1 简介 (1)2 配置前提 (1)3 使用限制 (1)4 端口安全autoLearn模式配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (2)4.3 使用版本 (2)4.4 配置注意事项 (2)4.5 配置步骤 (2)4.6 验证配置 (3)4.7 配置文件 (4)5 端口安全userLoginWithOUI模式配置举例 (4)5.1 组网需求 (4)5.2 配置思路 (5)5.3 使用版本 (5)5.4 配置步骤 (5)5.4.1 配置RADIUS Server（iMC PLAT 7.0） (5)5.4.2 配置Device (9)5.5 验证配置 (10)5.6 配置文件 (12)6 端口安全macAddressElseUserLoginSecure模式配置举例 (12)6.1 组网需求 (12)6.2 配置思路 (13)6.3 使用版本 (13)6.4 配置步骤 (13)6.4.1 配置RADIUS Server（iMC PLAT 7.0） (13)6.4.2 配置Device (16)6.5 验证配置 (17)6.6 配置文件 (20)7 相关资料 (20)1 简介本文档介绍端口安全的配置举例。

2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解端口安全特性。

3 使用限制•如果已全局开启了802.1X 或MAC 地址认证功能，则无法使能端口安全功能。

•当端口安全功能开启后，端口上的802.1X功能以及MAC 地址认证功能将不能被手动开启，且802.1X端口接入控制方式和端口接入控制模式也不能被修改，只能随端口安全模式的改变由系统更改。

•端口上有用户在线的情况下，端口安全功能无法关闭。

有两种方式。

我先说第一种，动态绑定。

就是说你这个接口只能接入2个PC，只学前2个PC的mac。

如果当第三个PC接入的话，就会被拒绝。

配置案例如下：(1)配置Switch# 使能端口安全功能。

<Switch> system-view[Switch] port-security enable# 打开入侵检测Trap开关。

[Switch] port-security trap intrusion# 设置端口允许的最大安全MAC地址数为64。

[Switch] interface GigabitEthernet 1/0/1[Switch-GigabitEthernet1/0/1] port-security max-mac-count 64# 设置端口安全模式为autoLearn。

[Switch-GigabitEthernet1/0/1] port-security port-mode autolearn# 设置触发入侵检测特性后的保护动作为暂时关闭端口，关闭时间为30秒。

[Switch-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily[Switch-GigabitEthernet1/0/1] quit[Switch] port-security timer disableport 30(2)验证配置结果上述配置完成后，可以用display命令显示端口安全配置情况，如下：<Switch> display port-security interface gigabitethernet 1/0/1 Equipment port-security is enabledIntrusion trap is enabledDisableport Timeout: 30sOUI value:GigabitEthernet1/0/1 is link-upPort mode is autoLearnNeedToKnow mode is disabledIntrusion Protection mode is DisablePortTemporarilyMax MAC address number is 64Stored MAC address number is 0Authorization is permitted可以看到端口的最大安全MAC数为64，端口模式为autoLearn，入侵检测Trap开关打开，入侵保护动作为DisablePortTemporarily，入侵发生后端口禁用时间为30秒。