H3C_系统实验手册

2016年南通市地税系统实验手册

目录

实验一：通过Telnet方式登录交换机典型配置举例 (2)

实验二：基于端口的VLAN典型配置举例 (3)

实验三：802.1X认证配置举例 (4)

实验四：网络地址转换配置举例 (6)

实验五：DHCP配置举例 (9)

实验六：静态路由 (10)

实验七：配置OSPF基本功能 (11)

实验一：通过Telnet方式登录交换机典型配置举例

组网图

配置步骤

(1)配置Device接口地址

#配置接口GigabitEthernet0/0地址为192.168.100.230/24。

system

[Sysname] interface GigabitEthernet 0/0

[Sysname-GigabitEthernet0/0] ip address 192.168.100.230 24

[Sysname-GigabitEthernet0/0] quit

(2)配置认证

#设置VTY的认证模式为scheme。

[Sysname] line vty 0 15

[Sysname-line-vty0-15] authentication-mode scheme

[Sysname-line-vty0-15] quit

#创建设备管理类本地用户admin。

[Sysname] local-user admin

#指定本地用户的授权用户角色为network-admin

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin #配置该本地用户的服务类型为Telnet。

[Sysname-luser-manage-admin] service-type telnet

#配置该本地用户密码为密文admin。

[Sysname-luser-manage-admin] password simple admin

[Sysname-luser-manage-admin] quit

(3)开启Telnet服务

[Sysname] telnet server enable

配置完成后，Host A 与Host B 能通过Telnet 登录设备

运行cmd->输入telnet 192.168.100.230->回车->输入用户名密码登录

实验二：基于端口的VLAN典型配置举例

组网需求

如图所示，Host A和Host C属于部门A，但是通过不同的设备接入公司网络；Host B和Host D属于部门B，也通过不同的设备接入公司网络。为了通信的安全性，以及避免广播报文泛滥，公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100，部门B使用VLAN 200。

现要求同一VLAN内的主机能够互通，即Host A和Host C能够互通，Host B和Host D能够互通。

组网图

(1)配置Device A

# 批量配置接口GigabitEthernet1/0/1～GigabitEthernet1/0/2工作在二层模式。

system-view

[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/3

[DeviceA-if-range] port link-mode bridge

[DeviceA-if-range] quit

# 创建VLAN 100，并将GigabitEthernet1/0/1加入VLAN 100。

[DeviceA] vlan 100

[DeviceA-vlan100] port gigabitethernet 1/0/1

[DeviceA-vlan100] quit

# 创建VLAN 200，并将GigabitEthernet1/0/2加入VLAN 200。

[DeviceA] vlan 200

[DeviceA-vlan200] port gigabitethernet 1/0/2

[DeviceA-vlan200] quit

# 为了使Device A上VLAN 100和VLAN 200的报文能发送给Device B，将GigabitEthernet2/0/3的链路类型配置为Trunk，并允许VLAN 100和VLAN 200的报文通过。

[DeviceA] interface gigabitethernet 1/0/3

[DeviceA-GigabitEthernet1/0/3] port link-type trunk

[DeviceA-GigabitEthernet1/0/3] port trunk permit vlan 100 200

(2)Device B上的配置与Device A上的配置相同，不再赘述。

验证配置

(1)Host A和Host C能够互相ping通，但是均不能ping通Host B。Host B和Host D能够互相ping通，但是均不能ping通Host A。

实验三：802.1X认证配置举例

1. 组网需求

用户通过Device的端口GigabitEthernet1/0/1接入网络，设备对该端口接入的用户进行802.1X 认证以控制其访问Internet，具体要求如下：

?由两台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24，使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。

?端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

?认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。

?所有接入用户都属于同一个ISP域bbb。

? Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

3. 配置步骤

(1) 配置各接口的IP地址（略）

(2) 配置本地用户

# 添加网络接入类本地用户，用户名为localuser，密码为明文输入的localpass。（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置）

system-view

[Device] local-user localuser class network

[Device-luser-network-localuser] password simple localpass

# 配置本地用户的服务类型为lan-access。

[Device-luser-network-localuser] service-type lan-access

[Device-luser-network-localuser] quit

(3) 配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

[Device] radius scheme radius1

# 配置主认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] primary authentication 10.1.1.1

[Device-radius-radius1] primary accounting 10.1.1.1

# 配置备份认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] secondary authentication 10.1.1.2

[Device-radius-radius1] secondary accounting 10.1.1.2

# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。

[Device-radius-radius1] key authentication simple name

[Device-radius-radius1] key accounting simple money

# 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-radius1] user-name-format without-domain

[Device-radius-radius1] quit

(4) 配置ISP域

# 创建域bbb并进入其视图。

[Device] domain bbb

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费，并采用local作为备选方法。

[Device-isp-bbb] authentication lan-access radius-scheme radius1 local

[Device-isp-bbb] authorization lan-access radius-scheme radius1 local

[Device-isp-bbb] accounting lan-access radius-scheme radius1 local

[Device-isp-bbb] quit

(5) 配置802.1X

# 开启端口GigabitEthernet1/0/1的802.1X。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] dot1x

# 配置端口的802.1X接入控制方式为mac-based（该配置可选，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

[Device-GigabitEthernet1/0/1] dot1x port-method macbased

# 指定端口上接入的802.1X用户使用强制认证域bbb。

[Device-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

[Device-GigabitEthernet1/0/1] quit

# 开启全局802.1X。

[Device] dot1x

4. 验证配置

使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功上线后，可使用命令display dot1x connection 查看到上线用户的连接情况。

实验四：网络地址转换配置举例

组网需求

内部网络中192.168.100.0/24网段的用户可以访问Internet，使用的外网地址为202.38.1.2和202.38.1.3。

配置步骤

# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置地址组0，包含两个外网地址202.38.1.2和202.38.1.3。

[Router]nat address-group 0

[Router-address-group-0]address 202.38.1.2 202.38.1.3

[Router-address-group-0]quit

# 配置ACL 2000，仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。[Router]acl basic 2000

[Router-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[Router-acl-ipv4-basic-2000]# quit

在接口GigabitEthernet0/2上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换，并在转换过程中使用端口信息。

[Router] interface gigabitethernet 0/2

[Router -GigabitEthernet0/2] nat outbound 2000 address-group 0

[Router -GigabitEthernet0/2] quit

配置步骤

（1）配置routerA

[routerA]interface GigabitEthernet 0/0

[routerA-GigabitEthernet0/0]ip address 12.0.0.1 24 [routerA-GigabitEthernet0/0]quit

[routerA]ip route-static 23.0.0.0 255.255.255.0 12.0.0.2 （2）配置routerB

[routerB]interface GigabitEthernet 0/1

[routerB-GigabitEthernet0/1]ip address 23.0.0.2 24 [routerB-GigabitEthernet0/1]quit

[routerB]interface GigabitEthernet 0/0

[routerB-GigabitEthernet0/0]ip add

[routerB-GigabitEthernet0/0]ip address 12.0.0.2 24 [routerB-GigabitEthernet0/0]quit

（3）配置routerC

[routerC]]interface GigabitEthernet 0/0

[routerC]-GigabitEthernet0/0]ip address 23.0.0.3 24 [routerC]-GigabitEthernet0/0]quit

[routerC]]ip route-static 12.0.0.0 255.255.255.0 23.0.0.2 验证配置

配置完成后，各主机间能够ping 通。

实验五：DHCP配置举例

组网图

配置步骤

# 配置VLAN 接口的IP 地址。

system-view

[H3C] interface GigabitEthernet 0/0

[H3C-GigabitEthernet0/0] ip address 10.1.1.1 24

# 使能DHCP 服务。

[H3C] dhcp enable

# 配置不参与自动分配的IP 地址。

[H3C] dhcp server forbidden-ip 10.1.1.3

# 配置DHCP 地址池0。

[H3C] dhcp server ip-pool 0

[H3C-dhcp-pool-0]network 10.1.1.0 mask 255.255.255.0 [H3C-dhcp-pool-0] dns-list 10.1.1.3

[H3C-dhcp-pool-0] gateway-list 10.1.1.1

[H3C-dhcp-pool-0] quit

验证配置

#查看电脑获取到该网段地址

实验六：静态路由

组网图

配置步骤

(1) 配置接口地址

# 配置RTA的接口地址。

system-view

[RTA]interface GigabitEthernet 0/0

[RTA-GigabitEthernet0/0]ip address 192.168.0.1 24

# 配置RTB的接口地址。

system-view

[RTB]interface GigabitEthernet 0/0

[RTB-GigabitEthernet0/0]ip address 192.168.0.2 24 [RTB]interface GigabitEthernet 0/1

[RTB-GigabitEthernet0/1]ip address 192.168.1.1 24 # 配置RTC的接口地址。

system-view

[RTC]interface GigabitEthernet 0/1

[RTC-GigabitEthernet0/1]ip address 192.168.1.2 24 (2) 配置静态路由

# 在RTA上配置静态路由。

system-view

[RTA] ip route-static 192.168.1.0 24 192.168.0.2

# 在RTC上配置静态路由。

system-view

[RTC] ip route-static 192.168.0.0 24 192.168.1.1 验证配置

配置完成后，RTA可以ping通RTC。

实验七：配置OSPF基本功能

组网图

配置步骤

(1)配置各接口的IP地址（略）

(2)配置OSPF基本功能

# 配置Router A。

system-view

[RouterA] ospf

[RouterA-ospf-1] area 0

[RouterA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 [RouterA-ospf-1-area-0.0.0.0] quit

[RouterA-ospf-1] area 1

[RouterA-ospf-1-area-0.0.0.1] network 10.2.1.0 0.0.0.255 [RouterA-ospf-1-area-0.0.0.1] quit

[RouterA-ospf-1] quit

# 配置Router B。

system-view

[RouterB] ospf

[RouterB-ospf-1] area 0

[RouterB-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 [RouterB-ospf-1-area-0.0.0.0] quit

[RouterB-ospf-1] area 2

[RouterB-ospf-1-area-0.0.0.2] network 10.3.1.0 0.0.0.255 [RouterB-ospf-1-area-0.0.0.2] quit

[RouterB-ospf-1] quit

# 配置Router C。

system-view

[RouterC] ospf

[RouterC-ospf-1] area 1

[RouterC-ospf-1-area-0.0.0.1] network 10.2.1.0 0.0.0.255 [RouterC-ospf-1-area-0.0.0.1] network 10.4.1.0 0.0.0.255 [RouterC-ospf-1-area-0.0.0.1] quit

[RouterC-ospf-1] quit

# 配置Router D。

system-view

[RouterD] ospf

[RouterD-ospf-1] area 2

[RouterD-ospf-1-area-0.0.0.2] network 10.3.1.0 0.0.0.255 [RouterD-ospf-1-area-0.0.0.2] network 10.5.1.0 0.0.0.255 [RouterD-ospf-1-area-0.0.0.2] quit

[RouterD-ospf-1] quit

验证配置

# 在Router D上使用Ping测试连通性。

[RouterD] ping 10.4.1.1

PING 10.4.1.1: 56 data bytes, press CTRL_C to break

Reply from 10.4.1.1: bytes=56 Sequence=2 ttl=253 time=2 ms

Reply from 10.4.1.1: bytes=56 Sequence=2 ttl=253 time=1 ms Reply from 10.4.1.1: bytes=56 Sequence=3 ttl=253 time=1 ms Reply from 10.4.1.1: bytes=56 Sequence=4 ttl=253 time=1 ms Reply from 10.4.1.1: bytes=56 Sequence=5 ttl=253 time=1 ms

--- 10.4.1.1 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 1/1/2 ms