cisco H3c 交换机配置远程ssh

ssh对于现在网络或远程管理就很常见，所以现在远程telnet或ssh对于管理员远程管理就方便的多了。在远程管理中的安全也尤其重要，一般就密码，用户名和密码和密钥管理登录。

cisco SSH配置

Switch(config)#enabled password 123456 （明文密码，在配置文件里面能直接看的到） Switch(config)#enabled secret 123456 （加密的密码，在配置文件中不以明文显示） 一般采用这种 Switch(config)#vlan 1 （创建虚拟VLAN用于配置接口IP（全局配置模式下）） Switch(config)#interface vlan 1 （进入VLAN接口配置模式（全局配置模式下）） Switch(config-if)#ip address 192.168.5.253 255.255.255.0 （配置接口IP地址（VLAN接口配置模式下）） Switch(config-if)#no shutdown （激活当前虚拟接口（VLAN接口配置模式下））

一般交换机较多的可以设置个方便是识别的名字 Switch(config)#hostname sw2960 Switch(config)#ip domain-name cisco.com (//配置ssh的时候经理避免使用默认名称否则报错) Switch(config)#crypto key generate rsa (//生成一个rsa算法的密钥，密钥长度为默认长) Switch(config)#ip ssh time-out 120 (//设置ssh时间为120秒(默认为120秒)) Switch(config)#ip ssh authentication 4 (//设置ssh认证重复次数为4，可以在0-5之间选择) Switch(config)#line vty 0 4 (//进入vty模式) Switch(config-line)#transport input ssh (//设置vty的登录模式为ssh，默认情况下是all即允许所有登录) Switch (config-line)#login local Switch(config)#aaa new-model (/启用aaa认证，默认即为在本地服务器上进行认证，也可以执行aaa authentication login default local指定在本地服务器上进行认证；) Switch(config-line)#username sshadmin password 0 sshpassword //创建一个用户admin并设置其密码为sshpassword。

最后记得保存配置，否则交换机重启配置都白配置了。 write 保存 Show run 查看配置文件 Show ip ssh 查看ssh的配置文件 crypto key zeroize rsa //停止Ssh服务；

配置文件通过tftp备份（tftp软件可以通过百度下载） copy running-config tftp 配置文件恢复 （在配置文件前，最好能有个备份的好习惯） copy tftp running-config

cisco交换机vlan配置dhcp 配置vlan ip地址 interface vlan 120 ip address 192.168.120.253 255.255.252.0 配置dhcp ip dhcp pool 120 network 192.168.120.0 255.255.255.0 default-rotuer 192.168.120.253 dns-server 192.168.0.20

配置静态路由 ip route 192.168.120.0 255.255.252.0 192.168.120.253或者 ip route 192.168.120.0 255.255.252.0 fa0/1

配置vlan acl访问控制 ip access-list extended vlan 120 deny ip 192.168.199.0 0.0.0.255 192.168.120.0 0.0.252.255 permit ip any any int vlan 120 ip access-group vlan120 in

配置dhcp排除那些ip不被别人获取 ip dhcp excluded-address 192.168.120.116

查看mac和ip绑定信息 show ip dhcp binding

Show ip dhcp pool 查看地址池信息 Show ip dhcp server statistics 查看DHCP收发数据包统计表 清除命令： Clear ip dhcp server statist 清除收发数据统计信息 clear ip dhcp binding * 清除所有租约信息

DHCP维护操作 //开启也关闭dhcp日志 ip dhcp conflict logging  sh ip dhcp binding //显示地址分配情况 show ip dhcp conflict //显示地址冲突情况 debug ip dhcp server {events | packets | linkage} //观察DHCP服务器工作情况 #clear ip dhcp binding * | mac | vrf 释放Dhcp中的地址 #release dhcp gigabitEthernet 0/40 //另一种释放方法

客户端绑定指定ip 原先有dhcp池的配置 　　1. 排除dhcp地址 　　ip dhcp excluded-address 192.168.20.7

1. 配置绑定MAC的地址池。 　　ip dhcp pool 201 　　host 192.168.20.8 　　client-identifier 01xx.xxxx.xxxx.xx 　　default-router 192.168.20.1 　　dns-server 8.8.8.8
2. 配置完后，为了避免其他用户私自修改保留的IP地址，需要再增加ARP绑定信息。 　　arp 192.168.20.7 xxxx.xxxx.xxxx arpa 注意：如果在绑定的时候出现已经动态绑定了，则需要查看绑定的是那个ip，然后解绑再从新绑定。 show ip dhcp binding 192.168.20.7 clear ip dhcp binding 192.168.20.7

配置备份 copy startup-config tftp://192.168.120.116/c3850-config.cfg 配置恢复 copy tftp://192.168.120.116/c3850-config.cfg startup-config

待续。。。。

H3c SSH配置 6300 生成RSA密钥对 public-key local create rsa 生成DSA密钥对 public-key local create rsa 启用ssh服务功能 ssh server enables 创建vlan vlan 120 端口加入vlan120 port ten-gigabitethernet 1/0/2 端口配置ip interface vlan-interface 120 ip address 192.168.120.253 255.255.252.0 设置客户端登录认证方式为scheme line vty 0 63 authentication-mode scheme 创建本地用户admin，并设置密码和用户角色 local-user admin class manage password simple 123456 service-type ssh authorization-attribute user-role network-admin 配置就是这么简单。

6300端口镜像 创建本地镜像组 [DeviceA] mirroring-group 1 local 将 Ten-GigabitEthernet3/0/1 和 Ten-GigabitEthernet3/0/2 配置为镜像源端口，对这两个端口接收的报文进行镜像。 [DeviceA] mirroring-group 1 mirroring-port ten-gigabitethernet 3/0/1 ten-gigabitethernet 3/0/2 inbound 将 Ten-GigabitEthernet3/0/3 配置为镜像目的端口 [DeviceA] mirroring-group 1 monitor-port ten-gigabitethernet 3/0/3

进入端口，配置为镜像原 interface Ten-GigabitEthernet1/0/8 mirroring-group 1 mirroring-port both 镜像到目的端口 interface Ten-GigabitEthernet1/0/31 mirroring-group 1 monitor-port

6300 ip和mac绑定 ip source binding ip-address 192.168.120.45 mac-address 685b-35ce-29ea

6300 为vlan120创建dhcp dhcp server ip-pool vlan120 network 192.168.120.0 mask 255.255.252.0 dns-list 192.168.0.7 192.168.0.20 gateway-list 192.168.120.253

配置DHCP Snooping功能 [Sysname] dhcp snooping ###启用DHCP Snooping功能。默认情况下，DHCP Snooping功能处于关闭状态 [Sysname-Ethernet1/1] dhcp-snooping trust ###配置端口为信任端口，并记录客户端IP地址和MAC地址的绑定关系。默认情况下，在启用DHCP Snooping功能后，设备的所有端口均为不信任端口

创建acl访问控制 acl number 3120 rule 0 deny ip source 192.168.1.0 0.0.0.255 rule 2 permit ip destination 10.100.100.0 0.0.0.255

配置静态路由表 ip route-static 0.0.0.0 0 192.168.120.253

保存配置save 查看配置文件 display current-configuration 查看ip所对应的mac dis arp 192.168.120.116 查看路由表 dis ip routing-table 删除命令的话，在命令前面加上no

配置文件备份 使用backup startup-configuration to 192.168.125.149 aaa.cfg或tftp 192.168.125.149 put h3c.cfg aaa.cfg备份配置文件（h3c.cfg为原配置文件名，aaa.cfg为备份后的文件名，若不指定指与原文件同名）

恢复 配置恢复 第一步：使用restore startup-configuration from 192.168.125.149 aaa.cfg或tftp 192.168.125.149 get aaa.cfg命令从tftp服务器上下载配置命令

端口绑定，启用lacp协议 interface Bridge-Aggregation2 port access vlan 20 link-aggregation mode dynamic link-aggregation load-sharing mode destination-ip source-ip lacp edge-port

interface Ten-GigabitEthernet1/0/1 port access vlan 20 duplex full port link-aggregation group 2

interface Ten-GigabitEthernet1/0/2 port access vlan 20 duplex full port link-aggregation group 2