分类： 网络

一、 组网需求
设备开启SSH服务器功能后，用户能够使用线路上配置的口令密码登录到设备。

二、组网图

三、 配置要点
● 开启SSH服务器功能。
● 配置线路口令。
● 在线路上开启口令认证。

四、 配置步骤
(1) 开启SSH服务器功能。
Device> enable
Device# configure terminal
Device(config)# enable service ssh-server

(2) 配置线路口令为password1。
Device(config)# line vty 0 4
Device(config-line)# password password1

(3) 在线路上开启口令认证。
Device(config-line)# login

五、验证配置结果
● 使用客户端软件进行SSH登录，密码为password1，用户名可以为任意值，能够正常登录设备。以PuTTY软件举例，登录界面如下：
login as: anyname
anyname@192.168.1.1’s password:
Last login: Apr 2 2021 10:00:00 from 192.168.1.2 through ssh.
Device#

● 通过show ip ssh命令查看SSH服务器已生效。
Device# show ip ssh

● 通过show ssh命令查看SSH连接信息，存在用户名为anyname（登录时使用的用户名）的连接。
Device# show ssh

● 通过show users命令查看连接的终端信息。
Device#show users

六、配置文件
!
enable service ssh-server
!
line console 0
line vty 0 4
login
password 7 $10$396$mnO2p3SVaxm7$
!

 

一、 组网需求
如下图所示，Device A下的网络中有User A、User B和User C等多个设备，为了对Device A从接口GigabitEthernet 0/1上学习到的MAC地址表项以及老化的MAC地址表项进行记录，并将设备MAC地址变化通知以SNMP Trap消息的方式将发送给指定的网络管理工作站，同时还需要尽量避免短时间内产生大量的MAC地址变化信息，以免占用过多的网络资源。

二、组网图

三、 配置要点
● 在Device A上配置开启全局MAC地址通知功能，并配置发送MAC地址Trap消息的时间间隔。
● 在Device A的接口GigabitEthernet 0/1上配置开启接口的MAC地址通知功能。
● 指定SNMP主机的地址，并配置开启MAC地址事件的Trap通知。
● 需要保证Device A与网络管理工作站之间路由可达。

四、 配置步骤
# 配置开启全局MAC地址通知功能，并指定发送MAC地址Trap消息的时间间隔为300秒。
DeviceA# configure terminal
DeviceA(config)# mac-address-table notification
DeviceA(config)# mac-address-table notification interval 300

# 在接口GigabitEthernet 0/1上配置开启接口的MAC地址通知功能，指定在MAC地址增加与删除时均发送Trap通告。
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/2)# snmp trap mac-notification added
DeviceA(config-if-GigabitEthernet 0/2)# snmp trap mac-notification removed

# 指定SNMP主机的地址为192.168.1.1，SNMP版本为SNMP v1版本，团体字符串为“123”，主动发送MAC地址类型的Trap信息。
DeviceA(config-if-GigabitEthernet 0/2)# exit
DeviceA(config)# snmp-server host 192.168.1.10 traps version 2c 123 mac-notification

# 配置启动MAC地址事件的Trap通知。
DeviceA(config)# snmp-server enable traps

五、验证配置结果
上述配置完成后，通过show mac-address-table notification命令可以查看全局MAC地址通知功能的配置状态。同时，可以通过show mac-address-table notification history命令查看MAC通知历史记录表信息。
# 查看全局MAC地址通知功能的配置状态。
DeviceA# show mac-address-table notification


# MAC地址变化后，查看MAC通知历史记录表信息。
DeviceA# show mac-address-table notification history

六、配置文件
●Device A的配置文件
hostname DeviceA
!
mac-address-table notification
mac-address-table notification interval 300
!
!
interface GigabitEthernet 0/1
snmp trap mac-notification added
snmp trap mac-notification removed
!
!
snmp-server host 192.168.1.10 traps version 2c 7 $10$135$2c+O$ mac-notification
snmp-server enable traps
!

 

一、 组网需求
两台设备互联，配置设备接口属性。

二、组网图

三、 配置要点
● 在Device A上配置GigabitEthernet 0/1为Access模式交换接口，缺省VLAN ID为1，配置SVI 1，并为SVI1配置IP以及到Switch D的路由。
● 在Device B上配置GigabitEthernet 0/1和GigabitEthernet 0/2为Trunk模式交换接口，Native VLAN ID为1，并配置SVI 1，并为SVI 1配置IP，配置GigabitEthernet 0/3为三层接口并为该接口配置另一个网段的IP。
● 在Device C上配置GigabitEthernet 0/1为Access模式交换接口，缺省VLAN ID为1，配置SVI 1，并为SVI 1配置IP。
● 在Device D上配置GigabitEthernet 0/1为路由接口，并为该接口配置IP以及到Switch A的路由。

四、 配置步骤
# 在DeviceA上面创建AP3口。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface GigabitEthernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# switchport mode access
DeviceA(config-if-GigabitEthernet 0/1)# switchport access vlan 1
DeviceA(config-if-GigabitEthernet 0/1)# exit
DeviceA(config)# interface vlan 1
DeviceA(config-if-VLAN 1)# ip address 192.168.1.1 255.255.255.0
DeviceA(config-if-VLAN 1)# exit
DeviceA(config)# ip route 192.168.2.0 255.255.255.0 VLAN 1 192.168.1.2

# 在设备B上配置如下。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# interface GigabitEthernet 0/1
DeviceB(config-if-GigabitEthernet 0/1)# switchport mode trunk
DeviceB(config-if-GigabitEthernet 0/1)# exit
DeviceB(config)# interface GigabitEthernet 0/2
DeviceB(config-if-GigabitEthernet 0/2)# switchport mode trunk
DeviceB(config-if-GigabitEthernet 0/2)# exit
DeviceB(config)# interface vlan 1
DeviceB(config-if-VLAN 1)# ip address 192.168.1.2 255.255.255.0
DeviceB(config-if-VLAN 1)# exit
DeviceB(config)# interface GigabitEthernet 0/3
DeviceB(config-if-GigabitEthernet 0/3)# no switchport
DeviceB(config-if-GigabitEthernet 0/3)# ip address 192.168.2.2 255.255.255.0
DeviceB(config-if-GigabitEthernet 0/3)# exit

# 在设备C上配置如下。
DeviceC> enable
DeviceC# configure terminal
DeviceC(config)# interface GigabitEthernet 0/1
DeviceC(config-if-GigabitEthernet 0/1)# port-group 1
DeviceC(config-if-GigabitEthernet 0/1)# exit
DeviceC(config)# interface aggregateport 1
DeviceC(config-if-AggregatePort 1)# switchport mode access
DeviceC(config-if-AggregatePort 1)# switchport access vlan 1
DeviceC(config-if-AggregatePort 1)# exit
DeviceC(config)# interface vlan 1
DeviceC(config-if-VLAN 1)# ip address 192.168.1.3 255.255.255.0
DeviceC(config-if-VLAN 1)# exit

# 在设备D上配置如下。
DeviceD> enable
DeviceD# configure terminal
DeviceD(config)# interface GigabitEthernet 0/1
DeviceD(config-if-GigabitEthernet 0/1)# no switchport
DeviceD(config-if-GigabitEthernet 0/1)# ip address 192.168.2.1 255.255.255.0
DeviceD(config-if-GigabitEthernet 0/1)# exit
DeviceD(config)# ip route 192.168.1.0 255.255.255.0 GigabitEthernet 0/1 192.168.2.2

五、验证配置结果
# 在DeviceA、DeviceB、DeviceC和DeviceD四台设备上分别进行如下检验：
● DeviceA Ping其它3台设备的接口IP，两两之间可以相互访问。
● DeviceB和DeviceD互Ping能通。
● 检查接口状态是否正确。
# 在设备A上查看接口GigabitEthernet 0/1的状态。
DeviceA# show interfaces gigabitEthernet 0/1
…………………………………(略)

# 在设备B上查看接口GigabitEthernet 0/1的状态。
DeviceB# show interfaces gigabitEthernet 0/1
…………………………………(略)

# 在设备C上查看接口GigabitEthernet 0/1的状态。
DeviceC# show interfaces gigabitEthernet 0/1# 在设备C上查看接口GigabitEthernet 0/1的状态。
DeviceC# show interfaces gigabitEthernet 0/1
…………………………………(略)

# 在设备D上查看接口GigabitEthernet 0/1的状态。
DeviceD# show interfaces gigabitEthernet 0/1
…………………………………(略)

 

 

一、 组网需求
两台设备互联，配置设备接口的基本属性。

二、组网图

三、 配置要点
● 将两台设备通过交换接口进行连接。
● 分别给两台设备配置一个SVI接口，并配置相同网段的IP地址。
●在两台设备上分别配置接口索引永久化。
● 在两台设备上分别启用LinkTrap功能。
●在两台设备上配置接口管理状态。

四、 配置步骤
# 在DeviceA上面创建AP3口。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# snmp-server if-index persist
DeviceA(config)# interface vlan 1
DeviceA(config-if-VLAN 1)# ip address 192.168.1.1 255.255.255.0
DeviceA(config-if-VLAN 1)# exit
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# snmp trap link-status
DeviceA(config-if-GigabitEthernet 0/1)# shutdown

# 在设备B上配置如下。
DeviceB# configure terminal
DeviceB(config)# snmp-server if-index persist
DeviceB(config)# interface vlan 1
DeviceB(config-if-VLAN 1)# ip address 192.168.1.2 255.255.255.0
DeviceB(config-if-VLAN 1)# exit
DeviceB(config)# interface gigabitethernet 0/1
DeviceB(config-if-GigabitEthernet 0/1)# snmp trap link-status
DeviceB(config-if-GigabitEthernet 0/1)# shutdown

五、验证配置结果
# 在A和B设备上分别进行如下检验。
● 检查设备上的GigabitEthernet 0/1和SVI 1在接口GigabitEthernet 0/1 shutdown操作后的接口状态是否正
确。
● 检查接口GigabitEthernet 0/1 shutdown操作后，是否有发出该接口Link Down的Trap信息。
● 重启设备后，接口GigabitEthernet 0/1的接口索引值是否和重启前的一致。
# DeviceA。
DeviceA # show interfaces gigabitEthernet 0/1

# DeviceB。
DeviceB# show interfaces gigabitEthernet 0/1

 

1、网线连接电脑和交换机任意网口，修改电脑 IP 为 192.168.1.x 段，掩码为
255.255.255.0，如下图所示;

2、打开浏览器，输入设备初始 IP 后会弹出登录界面。输入默认用户名 admin ，密码 admin，会提示修改新密码，一定要保存好设置的新密码。修改完毕后，需要使用新密码重新登录一次。

3、点击“物理端口配置”、“端口保护组配置”，进入端口保护组配置页面

4、点击“端口保护组列表”新建，可以新建端口保护组，如图所示；通过选中端口保护组，可以进行删除，端口保护组 0 为默认保护组，不能删除。
输入端口保护组编号，点击应用，即可新建端口保护组

5、点击“端口保护组端口配置”，可以把端口加入端口保护组中，端口保护组必须是已创建的组。

备注：加入到同一个端口保护组的端口互相之间是不通的，端口保护组内端口和非端口保护组的端口是互通的。

6、示例
例如交换机有 24 个端口，现场需要 1 号端口接互联网，2~5 号端口接 NVR，6~10 口接现场的交换机，交换机带了摄像头，现客户需要 NVR 可以上互联网，且可以访问摄像头，但是交换机带的摄像头不能访问互联网。则配置规则如下：
1) 建立端口保护组 1

2) 把 1 号口，6~10 号口，均加入端口保护组 1

3) 点击保存

本地镜像的局限性
配置本地镜像组时，一个镜像组可以包含多个源端口，但是只能包含一个目的端口，当现场某些端口的流量需要被多台监控主机监控时，想要实现上述需求时，现场需要配置多个镜像组，配置麻烦且浪费设备的镜像资源，因此可以在交换机上配置远程镜像实现以上需求。

一、现场需求
现场组网图下图所示，监控PC_A接在交换机的G1/0/1口，监控PC_B接在交换机的G1/0/2口，两台服务器分别接在交换机的G1/0/3、G1/0/4口，现有如下需求：
监控PC_A和监控PC_B均需要监控服务器A入方向和出方向、服务器B入方向和出方向的流量。

二、配置命令及步骤
①建立本地镜像组1
<HIK>system-view //进入系统配置视图

[HIK]vlan 1000 //创建 VLAN，作为远程镜像 VLAN，该 VLAN 不能再作其他用途，该示例 VLAN 为 1000

[HIK-vlan1000]undo mac-address mac-learning enable //关闭该 VLAN 下的 MAC 地址学习功能

[HIK-vlan1000]port g1/0/1 g1/0/2 //将监控 PC_A 和监控 PC_B 所接交换机端口加入到 VLAN 中

[HIK-vlan1000]quit //退出 VLAN 视图

②创建远程源镜像组3
[HIK]mirroring-group 3 remote-source //创建远程源镜像组 1

[HIK]mirroring-group 3 remote-probe vlan 1000 //配置 VLAN1000 作为镜像组 1 的远程镜像 VLAN。

[HIK]mirroring-group 3 mirroring-port gigabitethernet 1/0/3 both //配置源端口，镜像服务器 A 双向的流量

[HIK]mirroring-group 3 mirroring-port gigabitethernet 1/0/4 both //配置源端口，镜像服务器 B 双向的流量

[HIK]mirroring-group 3 reflector-port gigabitethernet 1/0/5
//配置反射端口，该示例为 G1/0/5，注：反射端口必须为设备上未使用的端口，且该端口后续也不能插设备

This operation may delete all settings made on the interface. Continue? [Y/N]: y
[HIK]save force

③配置截图

④验证配置
[HIK]dis mirroring-group all

⑤删除镜像组（配置错误时可以删除）
[HIK]undo mirroring-group 3 //如果现场配置错误，或者不再需要，可以使用此命令删除，镜像组编号以现场为准，此示例为 3

一、现场需求
现场组网图如下图所示，监控PC接在交换机的G1/0/1口，两台服务器分别接在交换机的G1/0/2、G1/0/3口，现有如下需求：
监控PC需要监控服务器A入方向、服务器B出方向和入方向的流量。

二、配置命令及步骤
①建立本地镜像组1
<HIK>system-view //进入系统配置视图

[HIK]mirroring-group 1 local //建立本地镜像组 1，数字可以自定义

 ②配置本地镜像组1的源端口和目的端口
[HIK]mirroring-group 1 mirroring-port g1/0/2 inbound //配置源端口，镜像服务器 A 的入方向的流量，注：源端口可以有多个端口

[HIK]mirroring-group 1 mirroring-port g1/0/3 both //配置源端口，镜像服务器 B 的入和出方向的流量

[HIK]mirroring-group 1 monitor-port g1/0/1 //配置目的端口，将 G1/0/2 端口入方向、G1/0/3 端口入方向和出方向的流量复制到 G1/0/1 ，注：一个镜像组只能有一个目的端口

[HIK]int g1/0/1 //进入目的端口

[HIK-GigabitEthernet1/0/1]undo stp enable //关闭目的端口的 STP 协议，如果未关闭会影响镜像功能的正常使用

[HIK-GigabitEthernet1/0/1]quit //退出接口视图

[HIK]save force //保存配置

③配置截图

④验证配置
[HIK]dis mirroring-group all

⑤删除镜像组（配置错误时可以删除）
[HIK]undo mirroring-group 1 //如果现场配置错误，或者不再需要，可以使用此命令删除，镜像组编号以现场为准，此示例为 1

一、 组网需求
在IPv4网络上创建2台的AP互联，且配动态AP。

二、组网图

三、 配置要点
●在DeviceA上设置LACP系统优先级为4096。
● 在DeviceA上的接口GigabitEthernet0/1和GigabitEthernet0/2上启用动态链路聚合协议，将其加入到LACP 3中。
● 在DeviceB上设置LACP系统优先级为61440。
● 在DeviceB上的接口GigabitEthernet0/1和GigabitEthernet0/2启用动态链路聚合协议，将其加入到LACP 3中。

四、 配置步骤
# 在DeviceA上面配置LACP。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# lacp system-priority 4096
DeviceA(config)# interface range GigabitEthernet 0/1-2
DeviceA(config-if-range)# port-group 3 mode active
DeviceA(config-if-range)# end

# 在DeviceB上面配置LACP。
DevicB> enable
DeviceB# configure terminal
DeviceB(config)# lacp system-priority 61440
DeviceB(config)# interface range GigabitEthernet 0/1-2
DeviceB(config-if-range)# port-group 3 mode active

五、验证配置结果
# 通过show lacp summary 3查看LACP和成员接口的对应关系是否正确。
DeviceA# show LACP summary

六、配置文件
●Device A的配置文件
!
lacp system-priority 4096
!
interface GigabitEthernet 0/1
port-group 3 mode active
!
interface GigabitEthernet 0/2
port-group 3 mode active
!
interface AggregatePort 3
!
● Device B的配置文件
!
lacp system-priority 61440
!
interface GigabitEthernet 0/1
port-group 3 mode active
!
interface GigabitEthernet 0/2
port-group 3 mode active
!
interface AggregatePort 3
!

 

一、 组网需求
在IPv4网络上创建2台的AP互联，且配置静态AP。

二、组网图

三、 配置要点
● 将DeviceA上的接口GigabitEthernet 0/1和GigabitEthernet 0/2加入到静态AP 3中。
● 将DeviceB上的接口GigabitEthernet 0/1和GigabitEthernet 0/2加入到静态AP 3中。

四、 配置步骤
# 在DeviceA上面创建AP3口。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface range GigabitEthernet 0/1-2
DeviceA(config-if-range)# port-group 3

# 在DeviceB上面创建AP3口。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# interface range GigabitEthernet 0/1-2
DeviceB(config-if-range)# port-group 3

五、验证配置结果
# 通过show aggregateport summary查看聚合接口和成员接口的对应关系是否正确。
DeviceA# show aggregateport summary

六、配置文件
●Device A的配置文件
!
interface GigabitEthernet 0/1
port-group 3
!
interface GigabitEthernet 0/2
port-group 3
!
interface AggregatePort 3
!
● Device B的配置文件
!
interface GigabitEthernet 0/1
port-group 3
!
interface GigabitEthernet 0/2
port-group 3
!
interface AggregatePort 3
!

 

一、 组网需求
在IPv4网络上创建2台的AP互联，且配置静态AP，启动LinkTrap功能。

二、组网图

三、 配置要点
● 将DeviceA上的接口GigabitEthernet 0/1和GigabitEthernet 0/2加入到静态AP 3中。
● 将DeviceB上的接口GigabitEthernet 0/1和GigabitEthernet 0/2加入到静态AP 3中。
●在DeviceA上配置关闭AP 3的LinkTrap功能，同时打开成员接口的LinkTrap功能。
● 在DeviceB上配置关闭AP 3的LinkTrap功能，同时打开成员接口的LinkTrap功能。

四、 配置步骤
# 在DeviceA上配置。
DeviceA# configure terminal
DeviceA(config)# interface range GigabitEthernet 0/1-2
DeviceA(config-if-range)# port-group 3
DeviceA(config-if-range)# exit
DeviceA(config)# aggregateport member linktrap
DeviceA(config)# interface Aggregateport 3
DeviceA(config-if-AggregatePort 3)# no snmp trap link-status

# 在DeviceB上配置。
DeviceB# configure terminal
DeviceB(config)# interface range GigabitEthernet 0/1-2
DeviceB(config-if-range)# port-group 3
DeviceB(config-if-range)# exit
DeviceB(config)# aggregateport member linktrap
DeviceB(config)# interface Aggregateport 3
DeviceB(config-if-AggregatePort 3)# no snmp trap link-status

五、验证配置结果
# 通过show running查看AP的流量均衡算法配置是否正确。
DeviceA# show run | include AggregatePort 3

DeviceB# show run | include AggregatePort 3

六、配置文件
●Device A的配置文件
!
interface GigabitEthernet 0/1
port-group 3
!
interface GigabitEthernet 0/2
port-group 3
!
interface AggregatePort 3
no snmp trap link-status
!
aggregateport member linktrap
!
●Device B的配置文件
!
interface GigabitEthernet 0/1
port-group 3 mode active
!
interface GigabitEthernet 0/2
port-group 3 mode active
!
interface AggregatePort 3
no snmp trap link-status
!
aggregateport member linktrap
!