華三接入層交換機需注意配置方法技巧

　　交換機的主要功能包括物理編址、網路拓撲結構、錯誤校驗、幀序列以及流控。交換機還具備了一些新的功能，如對VLAN***虛擬區域網***的支援、對鏈路匯聚的支援，甚至有的還具有防火牆的功能。本文將詳細介紹華三接入層交換機需配置的幾項細節，需要的朋友可以參考下

　　方法步驟

　　1、檢視交換機上應用的配置檔案

　　[h3c]dis startup

　　Current startup saved-configuration file:

　　Next main startup saved-configuration file:

　　Next backup startup saved-configuration file: NULL

　　2、配置主備配置檔案

　　startup saved-configuration config.cfg ?

　　backup Backup config file

　　main Main config file

　　3、Telnet 使用者認證方式登入

　　user-interface vty 0 4

　　authentication-mode scheme

　　user privilege level 3

　　Telnet 密碼方式登入

　　user-interface aux 0

　　user-interface vty 0 4

　　user privilege level 3

　　set authentication password simple abc

　　新建使用者

　　local-user admin

　　password simple abcpassword

　　service-type telnet

　　level 3

　　4、配置MSTP

　　stp enable

　　stp region-configuration

　　region-name abc

　　revision-level 1

　　instance 1 vlan 200

　　active region-configuration

　　*********************************************************

　　5、配置接入層交換機只接電腦，不能接交換機，避免已經配置好的生成樹受新新增的交換機影響造成網路的不穩定。

　　stp bpdu-protection

　　對於接入層裝置，接入埠一般直接與使用者終端***如PC機***或檔案伺服器相連，此時接入埠被設定為邊緣埠以實現這些埠的快速遷移。當這些邊緣埠接收到配置訊息後，系統會自動將這些埠設定為非邊緣埠，重新計算生成樹，這樣就引起網路拓撲的震盪。

　　正常情況下，邊緣埠應該不會收到生成樹協議的配置訊息。如果有人偽造配置訊息惡意攻擊交換機，就會引起網路震盪。BPDU保護功能可以防止這種網路攻擊。交換機上啟動了BPDU保護功能以後，如果邊緣埠收到了配置訊息，系統就將這些埠關閉，同時通知網管這些埠被MSTP關閉。被關閉的邊緣埠只能由網路管理人員恢復。

　　配置埠為邊緣埠

　　[h3c]interface Ethernet1/0/5

　　[h3c-Ethernet1/0/5]stp edged-port enable

　　對於直接與終端相連的埠，請將該埠設定為邊緣埠，同時啟動BPDU保護功能。這樣既能夠使該埠快速遷移到轉發狀態，也可以保證網路的安全。

　　**********************************************************

　　6、DHCP Snooping防止非法DHCP伺服器分發地址影響正常網路

　　例：

　　開啟交換機DHCP Snooping功能

　　[h3c]DHCP Snooping

　　配置合法的DHCP伺服器轉發埠

　　[h3c]interface Ethernet1/0/5

　　[h3c-Ethernet1/0/5]dhcp-snooping trust

　　配置防DHCP伺服器仿冒功能

　　例：

　　開啟交換機DHCP Snooping功能

　　[h3c]DHCP Snooping

　　開啟防DHCP伺服器仿冒功能

　　[h3c]interface Ethernet1/0/5

　　[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable

　　意思是在埠上啟用仿冒功能，萬一有非法DHCP伺服器進入即觸發預設定的策略

　　配置防DHCP伺服器仿冒功能的處理策略

　　[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }

　　預設情況下，交換機防DHCP伺服器仿冒功能的處理策略為trap

　　顯示DHCP伺服器仿冒相關資訊

　　display dhcp-snooping server-guard

　　其實配置snooping和仿冒功能效果都是一樣，防止非法的DHCP伺服器進入網路，只是h3c交換機不同型號支援的方法不同。

　　彙總有點亂，都是平時配置接入層交換機時經常用到的，也解決了不少問題，現在發上來，一個是自己留個記錄，二是也給大家參考一下，或者大家看後，覺得還有什麼需要補充的配置，儘管說，共同學習。

　　補充：交換機基本使用方法

　　作為基本核心交換機使用，連線多個有線裝置使用：網路結構如下圖，基本連線參考上面的【方法/步驟1：基本連線方式 】

　　作為網路隔離使用：對於一些功能好的交換機，可以通過模式選擇開關選擇網路隔離模式，實現網路隔離的作用，可以只允許普通埠和UPlink埠通訊，普通埠之間是相互隔離不可以通訊的

　　除了作為核心交換機***中心交換機***使用，還可以作為擴充套件交換機***接入交換機***來擴充套件網路

　　放在路由器上方，擴充套件網路供應商的網路線路***用於一條線路多個IP的網路***，連線之後不同的路由器用不同的IP連線至公網

　　相關閱讀：交換機硬體故障常見問題

　　電源故障：

　　由於外部供電不穩定，或者電源線路老化或者雷擊等原因導致電源損壞或者風扇停止，從而不能正常工作。

　　由於電源緣故而導致機內其他部件損壞的事情也經常發生。

　　如果面板上的POWER指示燈是綠色的，就表示是正常的;如果該指示燈滅了，則說明交換機沒有正常供電。

　　這類問題很容易發現，也很容易解決，同時也是最容易預防的。

　　針對這類故障，首先應該做好外部電源的供應工作，一般通過引入獨立的電力線來提供獨立的電源，並新增穩壓器來避免瞬間高壓或低壓現象。

　　如果條件允許，可以新增UPS***不間斷電源***來保證交換機的正常供電，有的UPS提供穩壓功能，而有的沒有，選擇時要注意。

　　在機房內設定專業的避雷措施，來避免雷電對交換機的傷害。現在有很多做避雷工程的專業公司，實施網路佈線時可以考慮。