您真的知道怎么初始化一臺(tái)交換機(jī)嗎?
48口全光交換機(jī)
初始化交換(其他華三的交換機(jī)(比如S5554、S6520等)初始化也是類似的): 配置除了業(yè)務(wù)配置之外的其他配置,如下所示:
- 設(shè)備命名
sysname xxxx //交換機(jī)命名(一般命名位置+設(shè)備型號(hào))
- telnet服務(wù)開(kāi)啟
telnet server enable //開(kāi)啟telnet服務(wù)
- 啟用3A遠(yuǎn)程服務(wù)器認(rèn)證
【3A表示認(rèn)證、授權(quán)、審計(jì)】
//啟用TACACS認(rèn)證模式:
hwtacacs scheme hzcnc
primary authentication x.x.x.x //3A服務(wù)器(主用)
primary authorization x.x.x.x //3A服務(wù)器(主用)
primary accounting x.x.x.x //3A服務(wù)器(主用)
secondary authentication x.x.x.x //3A服務(wù)器(備用)
secondary authorization x.x.x.x //3A服務(wù)器(備用)
secondary accounting x.x.x.x //3A服務(wù)器(備用)
key authentication simple xxx //xxx表示認(rèn)證秘鑰
key authorization simple xxx //xxx表示認(rèn)證秘鑰
key accounting simple xxx //xxx表示認(rèn)證秘鑰
user-name-format without-domain
nas-ip (本機(jī)IP)
domain hzcnc //域設(shè)置
authentication login hwtacacs-scheme hzcnc local //優(yōu)先3A認(rèn)證,在3A認(rèn)證失效的情況下進(jìn)行本地認(rèn)證
authorization login hwtacacs-scheme hzcnc local
accounting login hwtacacs-scheme hzcnc local
authentication super hwtacacs-scheme hzcnc
authorization command hwtacacs-scheme hzcnc local
accounting command hwtacacs-scheme hzcnc
domain default enable hzcnc //域關(guān)聯(lián)使用hzcnc域
//啟用RADIUS認(rèn)證模式:
domain system //設(shè)置domain域
authentication login radius-scheme system //使用radius認(rèn)證登錄
authorization login none
access-limit disable
state active
idle-cut disable
self-service-url disable
radius scheme system //設(shè)置radius認(rèn)證模板 system
primary authentication x.x.x.x 1645 //3A 服務(wù)器IP
primary accounting 127.0.0.1 1646 //無(wú)效
secondary authentication x.x.x.x 1645 //備用的3A服務(wù)器IP
key authentication sim chinahcn
user-name-format without-domain
nas-ip 本機(jī)IP
authentication-mode scheme //啟用AAA
domain default enable system //設(shè)置默認(rèn)域system
- VTY及本地賬號(hào)配置
local-user admin class manage
password hash xxxx //設(shè)置本地賬號(hào)密碼
service-type telnet
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
super password role network-admin hash xxxx //設(shè)置super密碼
#
line vty 0 63
authentication-mode scheme //一定要關(guān)聯(lián)scheme,若設(shè)置為password表示需要本地賬號(hào)登錄,設(shè)置為None表示免賬號(hào)登錄。
user-role network-operator
#
- 管理地址配置及默認(rèn)路由配置
vlan 3 //配置管理VLAN
name MANAGER_VLAN3
//配置管理地址
interface Vlan-interface3
description manager_vlan for access switch
ip address xxxx
quit
//指默認(rèn)路由 ,下一跳 網(wǎng)關(guān)IP
ip route-static 0.0.0.0 0 xxxx
- NTP配置
clock timezone beijing add 08:00:00 //設(shè)置clock時(shí)區(qū)(東八區(qū))
clock protocol ntp
ntp-service enable
ntp-service unicast-server x.x.x.x source Vlan-interface3 //x.x.x.x表示ntp服務(wù)器的IP,也可設(shè)置上層交換機(jī)的管理IP
- SNMP配置
//SNMP配置:
snmp-agent
snmp-agent local-engineid xxxx
snmp-agent community read xxxxx //snmp認(rèn)證的團(tuán)體屬性名秘鑰,只讀權(quán)限
snmp-agent community write yyyyy //snmp認(rèn)證的團(tuán)體屬性名秘鑰,可寫(xiě)權(quán)限
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain xxxx params securityname xxxx
- SYSLOG配置
info-center enable
info-center source default loghost log level warnings //日志設(shè)置默認(rèn)源
info-center loghost x.x.x.x facility local2 //設(shè)置日志服務(wù)器為x.x.x.x 默認(rèn)使用的端口號(hào)是UDP 514 可以跟進(jìn)syslog-server修改端口號(hào)
info-center loghost x.x.x.x facility local2
- 業(yè)務(wù)配置
interface GigabitEthernet1/0/49
description xxxx
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 2 to 4094 #trunk模式,放行除了vlan1的所有vlan,一般上行鏈路做聚合,trunk模式放行需要通過(guò)的vlan。
speed 1000 //設(shè)置速率
duplex full //配置全雙工,有些UPS還得半雙工的
quit
interface GigabitEthernet1/0/49
description xxxx
port link-type access
port access vlan100 #業(yè)務(wù)口配置access模式,上行數(shù)據(jù)包打上tag標(biāo)簽100,下行數(shù)據(jù)包剝離vlan標(biāo)簽。
speed 1000 //設(shè)置速率
duplex full //配置全雙工,有些UPS還得半雙工的
quit
綜上所述,一臺(tái)交換機(jī)的初始化配置完畢,其中包含安全認(rèn)證(3A)可以對(duì)接ISE系統(tǒng)或者思科的ASA、日志記錄(syslog或者對(duì)接ELK系統(tǒng))、SNMP對(duì)接Zabbix服務(wù)器進(jìn)行設(shè)備電源、鏈路流量廣播包錯(cuò)誤包等進(jìn)行監(jiān)控。這些你們都理解了嗎?有疑問(wèn)可在下發(fā)處留言。
對(duì)網(wǎng)絡(luò)工程或者Python開(kāi)發(fā)感興趣的可以加個(gè)關(guān)注,我會(huì)不定期發(fā)布相關(guān)技術(shù)分享。
