专栏首页python3H3C基础配置篇

H3C基础配置篇

        最近,入手一台H3CS3600V2-SI鼓捣了大半个月终于是按照BOSS的要求配好.大部分时间都花在查官方文档和售后Email上,效率极低.如果基础知识,扎实感觉有一个星期完全足够了!下面就来总结一下:

组网需求及内网信息收集:

1,

Vlan2使用192.168.2.0网段,服务器,通过HUB接到e1/0/10

Vlan3使用192.168.3.0网段,研发部,通过HUB接到e1/0/11

Vlan4使用192.168.4.0网段,运营部,通过HUB接到e1/0/12

Vlan20使用192.168.20.0做端口镜像抓包

2,

需要把2网段的FTP和2个业务端口映射到外网,2,3网段又必须外网隔离,

VLAN2,3,4之间不能互访

Vlan2,3要访问192.168.2.253:8000

Vlan2,3要访问192.168.2.245:8080

192.168.2.0和192.168.3.0的31104-31109,要互通

192.168.3.0要能访问2.0的21000 ,21001

2网段3389和部分其他端口要被3网段指定机器访问

3,

Acl3001作用在vlan10 outbound 即交换机出口方向

Acl3020作用在vlan2 inbound

Acl3030作用在vlan3 inbound

Acl3040 作用在vlan4 inbound

一首先需要配置ssh,web管理接口和用户配置

不通的命令需要注意在不同视图才能使用.管理级别有0,1,2,3四个级别从低到高

# 在交换机上创建VLAN接口,并为其分配IP地址192.168.0.2,作为客户端连接的SSH服务器地址

system-view

interface vlan-interface 10

ip address 192.168.0.2 255.255.255.0

quit

#生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。

public-key local create rsa

public-key local create dsa

# 设置用户接口上的认证模式为本地认证。

user-interface vty 15

authentication-mode scheme

# 设置用户接口上支持SSH协议。

protocol inbound ssh

quit

# 创建用户admin,设置认证密码为abc,登录协议为SSH,能访问的命令级别为3。

local-user admin

password simple abc

service-type ssh level 3

quit

# 指定用户admin的认证方式为password

ssh user admin authentication-type password

# 开启http服务用户级别设为3(管理级用户)

system-view

ip http shutdown

local-user admin

service-type web level 3

quit

创建基于端口的vlan

1,VLAN2

# 创建VLAN2,并配置VLAN2的描述字符串为“fuwuqi”,将端口Ethernet1/0/10加入到VLAN2,

# 创建VLAN2接口IP地址,即VLAN网关192.168.2.1对VLAN内PC的报文进行转发.由于没有使用到链路等高级功能端口使用默认ACCESS类型(如需要改变端口链路类型使用port link-type { access | hybrid | trunk })

system-view

vlan 2

description fuwuqi

port Ethernet 1/0/10

quit

interface Vlan-interface 2

ip address 192.168.2.0 24

quit

2,VLAN3

system-view

vlan 3

description yanfabu

port Ethernet 1/0/11

quit

interface Vlan-interface 3

ip address 192.168.3.0 24

quit

3,VLAN4

system-view

vlan 4

description yunyingbu

port Ethernet 1/0/12

quit

interface Vlan-interface 4

ip address 192.168.4.0 24

quit

4,VLAN20

system-view

vlan 20

description mirror

port Ethernet 1/0/20

quit

interface Vlan-interface 20

ip address 192.168.20.0 24

quit

制作端口镜像,以便组网过程中的调试,排除的抓包.注意:镜像端口不能是和被镜像端口在一个VLAN中,所以单独建了一个VLAN20

# 创建本地镜像组。

system-view

mirroring-group 1 local

# 为本地镜像组配置源端口和目的端口。

mirroring-group 1 mirroring-port Ethernet 1/0/10 Ethernet 1/0/11 Ethernet 1/0/12 both

mirroring-group 1 monitor-port Ethernet 1/0/20

二设置ACL规则

1,对ACL规则写起来很简单,注意的是首先要想好是作用在进来的方向(inbound)还是出去的方向(outbound)

# 配置外网限制,禁止VLAN2,3的报文通过。并作用到VLAN10(rule不用编号,会以默认步长5进行递增编号)

system-view

acl number 3001

 rule permit tcp source 192.168.2.247 0 source-port eq ftp   #允许来至192.168.247的FTP端口数据包出去  rule permit tcp source 192.168.2.248 0 source-port eq 21000  rule permit tcp source 192.168.2.249 0 source-port eq 21001  rule deny ip source 192.168.2.0 0.0.0.255        #拒绝来至VLAN2的数据包从这里出去  rule deny ip source 192.168.3.0 0.0.0.255       

quit

int vlan 10

packet-filter 3001 outbound             #作用在outbound

2,对不同VLAN做ACL规则,因为需要对指定端口进行放行所以使用高级ACL,需要注意放行的rule需要到对应的VLAN做反向rule per

3020

3030

3040

3,在vlan上作用对应的ACL

sys

interface Vlan-interface 2

packet-filter 3020 inbound

quit

interface Vlan-interface 3

packet-filter 3030 inbound

quit

interface Vlan-interface 2

packet-filter 3040 inbound

quit

save s

到这里基本配置就完成了,最后使用save命令将配置保存为默认配置.

 PS:

1,实际使用中命令可以很精简的输入,只要保证你精简的内容是独一无二的.例如:

packet-filter 3040 inbound >> pac 3020 in

acl number 2000 >> a n 2000

rule permit tcp source 192.168.3.20 0 destination 192.168.2.247 0 destination-port eq 3389 >> rule per t s 192.168.3.20 0 des 192.168.2.247 0 des e 3389

system-view >> sys

2,小技巧可以使用TAB键进行命令的自动补全,或者输入?号查看帮助.

3,dis cu查看交换机主配置,同样dis命令也可以查看其他的独立项信息,用法

dis acl all

dis acl 3020

dis int vlan

4,任何时候都可以使用?号.比如我想输入interface但是忘了拼写.

当然问号也可以用在dis命令,功能相当强大

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • python paramiko 问题总结

    SSHClient is the main class provided by the paramkio module. It provides the bas...

    用户2398817
  • 一起 goroutine 泄漏问题的排查

    在 golang 中创建 goroutine 是一件很容易的事情,但是不合理的使用可能会导致大量 goroutine 无法结束,资源也无法被释放,随着时间推移造...

    用户6859632
  • python paramiko

    近段时间用Python写一个小东西,每次修改代码后要手工上传到服务器,觉得很麻烦,虽然有WinSCP,找了一下资料,发现paramiko可以实现自动上传文件的功...

    用户2398817
  • openwrt安装python整理

    今日研究的基于openwrt安装python,遇到几个问题,硬了折腾...

    用户2398817
  • H3C交换机python命令下发脚本

    新时代网工编程能力变成比敲命令更重要的能力了,大潮流已经无法改变。最近一直在研究python里面的netmiko作为ssh的方法。把第一个脚本共享出来大家研究一...

    用户2398817
  • 如何远程调试Python代码

    平时使用python写的代码对外部依赖性都不复杂,这些代码在本地调试,运行没问题之后,就可以放到生产去跑了。然而,最近的一个项目,由于使用了一些内部服务,需要连...

    用户2398817
  • H3C基本命令学习(整理)

    super password [  level  user-level ] {simple | cipher} password

    用户2398817
  • python学习-paramiko简单使

        paramiko是基于python实现的ssh2远程安全连接,支持认证及密钥方式。可以实现远程命令执行,文件传输、中间ssh代理等功能。

    用户2398817
  • python multiprocessi

    import multiprocessing import time,datetime def Ssh_Cmd(host,CmdFile):         e...

    用户2398817
  • Paramiko: SSH and SF

    Paramiko 是一个用于python2.5或更高版本的实现了使用SSH2协议安全(加密与验证)的连接远程计算机的模块

    用户2398817

扫码关注云+社区

领取腾讯云代金券