网络配置技术点.doc

配置Telnet方式登录 一、 组网需求 PC通过Telnet登录交换机并对英进行管理。 分别应用本地认证和Radius+本地认证方式对用户名密码进行验证。 只允许192. 168. 1. 2/24这个IP或只允许192. 168. 1. 0/24这个1P地址段的PC进行Telnet 登录。 二、 组网图 交换机192.168.1.254/24局域网局域网 交换机192.168.1.254/24 局域网 局域网 PC机和交换机之间保证路由可达，PC机可以Ping通交换机的管理地址。 三、配置步骤 登录到交换机，配置本地的用户名密码 swi tchenable switch#config termincl switch(config)#username test privilege 15 password 0 test 配置Telnet用户登录时的验证方式为本地验证 switch(config)#authentication line vty login local 配置允许Telnet管理交换机的地址限制(单独IP或IP地址段) 限制单个IP允许Telnet登录交换机 switch(config)#authentication securityip 192.168? 1.2 限制允许IP地址段Telnet登录交换机 switch(config)#access-list 1 permit 192. 168.1.0 0. 0. 0. 255 switch(config)#authentication ip access-class 1 in 端口汇聚功能典型配置 一、 组网说明 为交换机SW 1和SW 2的端口 E 1/1和E 1/2配置端口聚合。 二、 组网图 SW1 SW2 三、配置步骤 SW 1的配置 #配置端口聚合 Swi tch (config)#port-group 1 Switch(config)#interface ethernet 1/I-2 Switch(Config-If-Port-Rangc)#port-group 1 mode on Switch(Conf ig~If-Port-Rangc)#exit SW 2的配置 Swi tch (config )#p ort-gwup 1 Switch(config)#interface ethernet 1/1-2 Switch (ConfigTf-Port-Rnnge)#port-group 1 mode on Switch(Conf ig-If-Port-Range)#exit ARP攻击防护 一、组网说明 SW 1做为网络屮的网关设备，配置了 Vian 10和Vian 20两个三层接口。SW 2做为接入交换机, 连接用户PC。为了防止下联的用户PC产生的ARP欺骗报文影响到网络中的其他用户，在SW 2 上配置ARP防护相关功能。 二、组网图 PC1E1/1Vian 10SW2E1/24E1/2Vian 20El/24TrunkSW1Vian 10 PC1 E1/1Vian 10 SW2 E1/24 E1/2Vian 20 El/24Trunk SW1 Vian 10 192.168.10.1/24 Vian 20192.168.20.1/24 PC 2 三、配置步骤 #开启Anti-ArpScan功能，防止PC机发出大量ARP影响其他PC Switch(config)#anti-arpscan enable Switch(config)#anti-arpscan recovery time 3600 Switch(config)#interface ethernet 1/24 Switch(config-lf-Ethernet1/24)#anti-arpscan trust supertrust-port Switch(config-lf-Ethernet1/24)#exit #针对静态IP用户，使用AM功能防止PC机发出主机欺骗报文。针对动态IP用户，使用DHCP Snooping Binding功能防止PC机发出主机欺骗报文。 AM和DHCP Snooping Binding配置命令略，请参照手册中对应章节 四、注意事项 Anti-ArpScan功能不建议单独使用，建议配合A\1或DHCP Snooping Binding功能同时使用° FE置Anti-Ai-pScan功能时，上联口必须配置为SuperTust模式 交换机DHCP Snooping典型配置 一、 组网说明 网络中己存在指定的DHCP Server,连接在Switch的E 1/24端口。但在用户端,还是有用户私 自架设的DHCP Server,为了不影响其他用户的地址获得。在Swit