网工配置命令总结（1）---Web访问及vlan配置

目录

1.Telnet远程登录设备

2.用户通过Web网管登录设备

3.端口隔离功能的实现

4.配置vlan聚合

5.部分vlan间互通，部分vlan间隔离，vlan内用户隔离

6.限制内网网段互访

---

1.Telnet远程登录设备

1.使能服务器功能
<HUAWEI> system-view
[HUAWEI] telnet server enable
2.配置 VTY 用户界面的相关参数
#进入 VTY 用户界面视图，配置支持协议。
[HUAWEI] user-interface vty 0 4
HUAWEI-ui-vty0-4] protocol inbound telnet
#配置 VTY 用户界面的用户验证方式
[HUAWEI-ui-vty0-4] authentication-mode aaa
HUAWEI-ui-vty0-4] quit
3.配置登录用户的相关信息
#配置登录验证方式。
[HUAWEI] aaa
[HUAWEI-aaa]local-user admin1234 password admin1234
#配置协议
[HUAWEI-aaa]local-user admin1234 service-type telnet
#配置用户优先级
[HUAWEI-aaa]local-user admin1234 privilege level 15
[HUAWEI-aaa]quit
4.客户端登录
进入管理员 PC 的 windows 的命令行提示符，执行相关命令，通过 Telnet 方式登录设备
c:\Documents and Settings\Administrator> telnet 10.137.217.177
输入 Enter 键后，在登录窗口输入 AAA 验证方式配置的登录用户名和密码，验证通过后，出现用户视图的命令行提示符，至此用户成功登录设备。

2.用户通过Web网管登录设备

1、配置管理 IP 地址
<huawei> system view
[huawei] interface Vlanif 1
[huawei-Vlanif1] ip address 192.168.0.1 24
 
2、 (可选) 上传 web 文件(参考 web 文件附录表选择是否执行此步骤)
[huawei]ftp server enable//系统视图下使能 FTP 功能
[huawei]aaa //系统系统下进入 aaa 模式
[huawei-aaa]local-user admin password cipher Admin@123//配置 FTP 用户名、密码
[huawei-aaa]local-useradmin ftp-directory flash:    //配置FTP用户的访问路径
[huawei-aaa]local-user admin service-type ftp    //开启 FTP 服务类型
[huaweil aaa]quit    //退出 aaa 模式
 
# 将 PC 电脑上的 web 文件上传至交换机
C: >ftp 192.168.0.1    //PC 电脑的 cmd 下登录 FTP
Connected to 192.168.0.1
220 FTP service ready.
User (10.1.1.132 : (none)) : admin    //输入 FTP 的用户名
331 Password required for client.
Password: Admin123    //输入 FTP 的密码
230 User logged in.
ftp>
ftp> put web.zip
//将 PC 上的 web 文件上传
 
3.(可选) 加载 web 网页文件 (参考 web 文件附录表选择是否执行此步骤)
[huawei] http server load s5700-28c-ei-v200r005c00spc300 .web.zip//系统系统下加载
4、创建 web 管理账号
[huawei]http server enable    //系统视图下使能 http 功能
[huawei]aaa    //系统视图下进入 aaa 模式
[huawei-aaa]local-user admin password cipher Admin@123  //创建 HTTP 登录用户密码
[huawei-aaa]local-user admin privilege level 15    //配置 http 登录名权限
[huawei-aaa]local-user admin service-type http    //开启 http 登录服务
[huawei-aaa]quit

3.端口隔离功能的实现

[HUAWEI] interface g0/0/3
[HUAWEI-GigabitEthernet0/0/3]port link-type access
[HUAWEI-GigabitEthernet0/0/3]port default vlan 10
[HUAWEI-GigabitEthernet0/0/3]port-isolate enable    //配置端口隔离
[HUAWEI-GigabitEthernet0/0/3]quit

4.配置vlan聚合

思路：

•把 Switch 接口加入到相应的 sub-VLAN 中，实现不同 sub-VLAN 间的二层隔离。
•把 sub-VLAN 聚合为 super-VLAN。
•配置 VLANIF 接口的 IP 地址。
•配置 super-VLAN 的 Proxy ARP，实现 sub-VLAN 间的三层互通。

配置接口类型
# 配置接口GEO/0/1为Access 类型。接口 GEO/0/2、GE0/0/3、GEO/0/4 配置与GE0/0/1相同，不再赘述。
<HUAWEI> system-view
[HUAWEI]sysname Switch
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] quit
创建 sub-vlan
# 创建VLAN2 并向 VLAN2 中加入 GEO/0/1 和 GEO/0/2。
[switch]vlan 2    //创建 sub-vlan 2
[Switch-vlan2]port gigabitethernet 0/0/1 0/0/2    //将接口加入到 vlan 中
[Switch-vlan2] quit
 
# 创建VLAN3 并向 VLAN3 中加入 GEO/0/3 和 GEO/0/4。
[Switch] vlan 3
[Switch-vlan3] port gigabitethernet 0/0/3 0/0/4
[Switch-vlan3] quit
 
3.配置 super-vlan，把 sub-vlan 加入到 super-vlan
[Switch] vlan 4
Switch-vlan4] aggregate-vlan    //配置 vlan4 为 super vlan
Switch-vlan4] access-vlan 2 to 3    //将 Sub-VLAN 加入 Super-VLAN
Switch-vlan4] quit
 
# 配置 super-vlan 的VIANIE 接口地址，所有 sub-vlan 共有 super-vlan 的接口地址
[Switch]interface vlanif 4
[Switch-Vlanif4] ip address 10.1.1.12 255.255.255.0//配置IP 地址作为 PC 的网关
[Switch-Vlanif4] quit
 
4.配置 Proxy ARP ，必须配置此步骤 vlan2 和 vlan3 之间才能互访
[Switch] interface vlanif 4    
[Switch-Vlanif4]arp-proxy inter-sub-vlan-proxy enable    //配置 ARP 代理
[Switch-Vlanif4]quit

5.部分vlan间互通，部分vlan间隔离，vlan内用户隔离

要求所有 HOST 都可以访问服务器 (Server) ，即 VLAN3 和 VLAN4 可以访问 VLAN2。

HOSTB 和HOSTC之间可以互访，和HOSTC、HOSTE 不能互访，即 VLAN3 和VLAN4 不能互访。

HOSTC 和 HOSTE 之间隔离，不能互访，即 VLAN4 内用户不能互访。

如图所示，为了解决上述问题，可在连接终端的交换机上部署MUX VLAN 特性。MUX VIAN不但能够实现企业需求，同时也解决了 VLAN ID 紧缺问题，也便于网络管理者维护。

 思路：
1.配置主 VLAN 的 MUX-VLAN 功能。
2.配置 Group-VLAN功能,，Group VLAN 可以和 Principal VLAN 和本VLAN 内互通
3.配置 Separate-VLAN 功能,，Separate VLAN 只能和 Principal VLAN 互通，本 VILAN内不能互通。
4.配置接口加入 VLAN 并使能 MUX-VLAN 功能。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2 3 4
 
# 配置 MUX VLAN 中的 Group VLAN 和 Separate VLAN。
[Switch] vlan 2
[Switch-vlan2] mux-vlan    //配置该VIAN为MUX VLAN,即 Principal VIAN
[Switch-vlan2]subordinate group 3    //配置Group VLAN
[Switch-vlan2]subordinate separate 4    //配置Separate VLAN    
[Switch-vlan2] quit
 
#配置接口加入 VLAN 并使能 MUX VIAN 功能
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 2 //Principal VIAN可以和所有 VLAN 互通
[Switch-GigabitEthernet0/0/1] port mux-vlan enable vlan 2    //接口使能 mux-vlan
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 3
[Switch-GigabitEthernet0/0/2] port mux-vlan enable vlan 3     //接口使能mux-vlan
[Switch-GigabitEthernet0/0/2] quit
[Switch] interfacegigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 3
[Switch-GigabitEthernet0/0/3] port mux-vlan enable vlan 3    //接口使能 mux-vlan
[Switch-GigabitEthernet0/0/3] quit
[Switch] interface gigabitethernet 0/0/4
[Switch-GigabitEthernet0/0/4] port link-type access
[Switch-GigabitEthernet0/0/4] port default vlan 4
[Switch-GigabitEthernet0/0/4] port mux-vlan enable vlan 4    //接口使能 mux-vlan
[Switch-GigabitEthernet0/0/4] quit
[Switch] interface gigabitethernet 0/0/5
[Switch-GigabitEthernet0/0/5] port link-type access
[Switch-GigabitEthernet0/0/5] port default vlan 4
[Switch-GigabitEthernet0/0/5] port mux-vlan enable vlan 4 //接口使能mux-vlan
[Switch-GigabitEthernet0/0/5] quit

6.限制内网网段互访

如图所示,公司企业网通过 Switch 实现各部门之间的互连,不同部门在不同的vlan 及网段下。要求正确配置 ACL，禁止研发部门和市场部门在上班时间(8:00 至 17:30) 访问工资查询服务器 (IP 地址为 10.164.9.9)，而总裁办公室不受限制，可以随时访问。

思路：

1. 配置接口 IP 地址。
2. 配置时间段。
3.配置 ACL。
4. 配置流分类。
5. 配置流行为。
6.配置流策略
7.在接口上应用流策略

1. 配置接口 IP 地址
# 配置接口加入 VLAN，并配置 VLANIF 接口的 IP 地址
规划GE0/0/1~GE0/0/3 分别加入VLAN10、20、30，GE0/0/4 加入VLAN100。VIANIE接口的地址取所在网段的第一个IP 地址。下面配置以 GEO/0/1 接口为例,其他接口的配置与此类似
<HUAWEI> system-view
[HUAWEI] vlan batch 10 20 30 100
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type access    //连终端接口类型为 access
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10
[HUAWEI-GigabitEthernet0/0/1] quit    //进入三层 vlanif 接口
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] ip address 10.164.1.1 255.255,255.0    //配置 vlan 下网段IP 地址
[HUAWEI-Vlanif10]quit
 
配置时间段
# 配置 8:00 至17:30 的周期时间段
[HUAWEI] time-range satime 8:00 to 17:30 working-day
3.配置ACI
#配置市场部门到工资查询服务器的访问规则。
[HUAWEI] ac1 3002
(HUAWEI-acl-adv-3002] rule deny ip source 10.164,2.0 0.0.0.255 destination 10 .164 .9.9 0.0.0.0 time-range satime    //acl 访问规则调用时间段
[HUAWEI-acl-adv-3002] quit
 
#配置研发部门到工资查询服务器的访问规则
[HUAWEI] acl 3003
[HUAWEI-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10 .164 .9.9 0.0.0.0 time-range satime
//acl 访问规则调用时间段
[HUAWEI-acl-adv-3003] quit
 
4.配置基于 ACI 的流分类
#配置流分类 c_market，对匹配 ACL 3002 的报文进行分类
[HUAWEIl traffic classifier c_market    //市场部门流分类
[HUAWEI-classifier-c market] if-match acl 3002    //匹配研发部门 acl 3002
[HUAWEI-classifier-c market] quit
#配置流分类 c rd，对匹配 ACL 3003 的报文进行分类
[HUAWEI] traffic classifier c_rd
[HUAWEI-classifier-c_rd] if-match acl 3003
[HUAWEI-classifier-c_rd] quit
 
 
5.配置流行为
#配置流行为 b_market，动作为拒绝报文通过
[HUAWEI] traffic behavior b_market
[HUAWEI]-behavior-b_market] deny
[HUAWEI-behavior-b_market]quit
 
# 配置流行为 b_rd，动作为拒绝报文通过
[HUAWEI] traffic behavior b rd
[HUAWEI-behavior-b_rd] deny
[HUAWEI-behavior-b_rd] quit
 
6.配置流策略
# 配置流策略p_market，将流分类 c_market 与流行为b_market关联
[HUAWEI] traffic policy p_market    //市场部门流策略
[HUAWEI-trafficpolicy-p market] classifier c_market behavior b_market //分类关联行为
[HUAWEI-trafficpolicy-p market] quit
 
# 配置流策略 p_rd，将流分类 c_rd 与流行为b_rd 关联
[HUAWEI] traffic policy p_rd 
[HUAWEI-trafficpolicy-p_rd] classifier c_rd behavior b_rd
[HUAWEI-trafficpolicy-p rd] quit
 
7.应用流策略
# 将流策略 p_market 应用到 GEO/0/2 接口
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernyet0/0/2] traffic-policy p_market inbound    //调用市场部门流策略
[HUAWEI-GigabitEthernet0/0/2] quit
 
# 将流策略p_rd 应用到 GEO/0/3 接口
[HUAWEI] interface gigabitethernet 0/0/3
[HUAWEI-GigabitEthernet0/0/3] traffic-policy p_rd inbound    //调用研发部门流策略
[HUAWEI-GigabitEthernet0/0/3] quit