DHCP中继配置命令
dhcp relay address-check enable 命令用来使能DHCP 中继的地址匹配检查功能。
undo dhcp relay address-check enable 命令用来禁止DHCP 中继的地址匹配检查功能。
{ 常用命令汇总:1、dis cu (display current-configuration) ;查看设备当前生效的配置。
2、dis int bri (display interface brief ) ;查看端口IP简要状态信息
3、dis arp | include 192.168.2.2 ;显示筛选ARP(地址解析协议)192.168.2.2信息。
4、dis ip rou (display ip routing-table) ;查看路由表中当前激活路由的摘要信息。
5、dis arp ;用来显示ARP表项
}
缺省情况下,禁止 DHCP 中继的地址匹配检查功能。
接口上使能该功能后,当客户端通过DHCP 中继从DHCP 服务器获取到IP 地址时,DHCP 中继可
以自动记录客户端IP 地址与MAC 地址的绑定关系,生成DHCP 中继的动态用户地址表项。同时,
为满足用户采用合法固定IP 地址访问外部网络的需求,DHCP 中继也支持静态配置用户地址表项,
即在DHCP 中继上手工配置IP 地址与MAC 地址的绑定关系。
DHCP 中继接收到主机发送的报文后,如果在用户地址表中(包括DHCP 中继动态记录的表项以及
手工配置的用户地址表项)没有与报文源IP 地址和源MAC 地址匹配的表项,则不学习该主机的
ARP 表项,从而保证非法主机不能通过DHCP 中继与外部网络通信。
需要注意的是:
• 目前只能在三层以太网端口和 VLAN 接口上执行本命令。
• 执行 dhcp relay address-check enable 命令后将只检查IP 和MAC 地址,不检查接口。不能手工输入
【举例】
# 使能DHCP 中继的地址匹配检查功能。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] dhcp relay address-check enable【注意】目前只能在三层以太网接口(包括子接口)和VLAN接口上执行本命令。执行dhcp relay address-check enable命令后将只检查IP和MAC地址,不检查接口,不能手动配置IP。
首先连接交换机的CONSOLE口,使用超级终端进入交换机操作的指令界面:
配置VLAN1地址:
<HG-S5500> sys
System View: return to User View with Ctrl+Z.
[HG-S5500] interface Vlan-interface 1
[HG-S5500-Vlan-interface1] ip address 192.168.254.1 24
开启web和telnet服务:
[HG-S5500] ip http enable
[HG-S5500] telnet server enable
建立管理用户:
[HG-S5500] local-user admin
设置密码:
[HG-S5500-luser-admin] password cipher admin110
为该用户开启web服务:
[HG-S5500-luser-admin] service-type web
为该用户开启telnet服务:
[HG-S5500-luser-admin] service-type telnet
将该用户设置为管理员级别:
[HG-S5500-luser-admin] authorization-attribute level 3
telnet访问(vty)配置:
[HG-S5500] user-interface vty 0 4
配置本地或远端用户名口令认证方式
[HG-S5500-ui-vty0-4] authentication-mode scheme
配置静态路由连接外网:
[HG-S5500] ip route-static 0.0.0.0 0.0.0.0 192.168.254.2 (注:静态路由地址为外网进来的接口地址)
建立网段访问策略,以vlan31为例,首先建立vlan31:
[HG-S5500]vlan 31
配置vlan31的ip地址:
[HG-S5500] interface Vlan-interface 31
[HG-S5500-Vlan-interface31] ip address 192.168.31.1 24
在vlan31下配置子网ip地址:
[HG-S5500] interface Vlan-interface 31
[HG-S5500-Vlan-interface31] ip address 192.168.32.1 24 sub
编写31网段的访问规则如能访问34、35网段,不能访问其他网段:
给其能访问的规则名为 acl number 3100:
[HG-S5500] acl number 3100
[HG-S5500-acl-adv-3100] rule permit ip source 192.168.31.1 0.0.0.255 destination 192.168.34.0 0.0.0.255
[HG-S5500-acl-adv-3100] rule permit ip source 192.168.31.1 0.0.0.255 destination 192.168.35.0 0.0.0.255
限制其访问其他网段名为 acl number 3600:
[HG-S5500] acl number 3600
[HG-S5500-acl-adv-3600] rule permit ip source 192.168.31.1 0.0.0.255 destination 192.168.0.0 0.0.255.255
首先注意一点交换机S5500不支持packet_filter,因此只能通过Qos实现vlan策略,以上诉vlan31为例接着定义类h3100:
[HG-S5500] traffic classifier h3100
[HG-S5500-classifier-h3100] if-match acl 3100
定义类h3600:
[HG-S5500] traffic classifier h3600
[HG-S5500-classifier-h3600] if-match acl 3600
创建流hb3100为允许访问,hb3600为不允许访问:
[HG-S5500] traffic behavior hb3100
[HG-S5500-behavior-hb3100] filter permit
[HG-S5500] traffic behavior hb3600
[HG-S5500-behavior-hb3600] filter deny
创建Qos policy:
[HG-S5500] qos policy hvlan31
绑定:
[HG-S5500-qospolicy-hvlan31] classifier h3100 behavior hb3100
[HG-S5500-qospolicy-hvlan31] classifier h3600 behavior hb3600
绑定Qos策略:
[HG-S5500] qos vlan-policy hvlan31 vlan 31 inbound
初始化操作:
<HG-S5500> reset saved-configuration
选择确认初始化Y:
<HG-S5500> Y
重启即可生效:
<HG-S5500> reboot
保存配置:
[HG-S5500] save
The current configuration will be written to the device. Are you sure? [Y/N]: y
Please input the file name(*.cfg)[flash:/20130115.cfg]
(To leave the existing filename unchanged, press the enter key): 20140408.cfg
备注:编写其他vlan策略,请仿照红字处vlan31开始根据步骤编写即可。
华为3COM交换机配置命令详解
1、 配置文件相关命令
[Quidway]display device manuinfo ;显示设备型号、序列号、mac地址信息。
DEVICE NAME : S5500-28C-EI ;设备名称:S5500-28C-EI
DEVICE SERIAL NUMBER : 210235A252C173000074 ;设备序列号:210235A252C173000074
MAC ADDRESS : 9C06-1B82-9D2C ;MAC地址:9C06-1B82-9D2C
MANUFACTURING DATE : 2017-04-17 ;生产日期:2017-04-17