华为交换机配置入门到精通.doc

1、入门篇TELNET 远程管理交换机配置一 组网需求：1PC 通过 telnet 登陆交换机并对其进行管理；2分别应用帐号 +密码方式、仅密码方式以及 radius 认证方式；3只允许 192.1.1.0/24 网段的地址的 PC TELNET 访问。二 组网图：作为 telnet 登陆主机的 PC 与 Switch A 之间通过局域网互连（也可以直连） ，PC 可以 ping 通 Switch A。三 配置步骤：1 H3C S3100-SI S5100 系列交换机 TELNET 配置流程账号+密码方式登陆1配置 TELNET 登陆的 ip 地址system-view SwitchAvlan 2

2、 SwitchA-vlan2port Ethernet 1/0/1 SwitchA-vlan2quit SwitchAmanagement-vlan 2 SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 192.168.0.1 24 2进入用户界面视图SwitchAuser-interface vty 0 43配置本地或远端用户名+ 口令认证方式SwitchA-ui-vty0-4authentication-mode scheme4配置登陆用户的级别为最高级别 3(缺省为级别 1)SwitchA-ui-vty0-4user pr

3、ivilege level 35添加 TELNET 管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为” admin”SwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin仅密码方式登陆1配置 TELNET 登陆的 ip 地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43设置认证方式为密码验证方式SwitchA-ui-vty0-4authen

4、tication-mode password4设置登陆验证的 password 为明文密码”huawei”SwitchA-ui-vty0-4set authentication password simple huawei5配置登陆用户的级别为最高级别 3(缺省为级别 1)SwitchA-ui-vty0-4user privilege level 3TELNET RADIUS 验证方式配置1配置 TELNET 登陆的 ip 地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43配置远端用户名和口令认证SwitchA-ui-vty0-4

5、authentication-mode scheme4配置 RADIUS 认证方案，名为”cams”SwitchAradius scheme cams5配置 RADIUS 认证服务器地址 192.168.0.31 SwitchA-radius-camsprimary authentication 192.168.0.31 18126配置交换机与认证服务器的验证口令为”huawei”SwitchA-radius-camskey authentication huawei7送往 RADIUS 的报文不带域名SwitchA-radius-camsuser-name-format without-do

6、main8创建（进入）一个域，名为”huawei”SwitchAdomain huawei9在域”huawei”中引用名为”cams”的认证方案SwitchA-isp-huaweiradius-scheme cams10将域”huawei”配置为缺省域SwitchAdomain default enable HuaweiTELNET 访问控制配置1配置访问控制规则只允许 192.1.1.0/24 网段登录SwitchAacl number 2000SwitchA-acl-basic-2000rule deny source anySwitchA-acl-basic-2000rule permi

7、t source 192.1.1.0 0.0.0.2552配置只允许符合 ACL2000 的 IP 地址登录交换机SwitchAuser-interface vty 0 4SwitchA-ui-vty0-4acl 2000 inbound3补充说明： TELNET 访问控制配置是在以上三种验证方式配置完成的基础上进行的配置； TELNET 登陆主机与交换机不是直连的情况下需要配置默认路由。2 H3C S3600 S5600 系列交换机 TELNET 配置流程账号+密码方式登陆1配置 TELNET 登陆的 ip 地址system-view SwitchAvlan 2 SwitchA-vlan2p

8、ort Ethernet 1/0/1 SwitchA-vlan2quit SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 192.168.0.1 24 2进入用户界面视图SwitchAuser-interface vty 0 43配置本地或远端用户名+ 口令认证方式SwitchA-ui-vty0-4authentication-mode scheme4配置登陆用户的级别为最高级别 3(缺省为级别 1)SwitchA-ui-vty0-4user privilege level 35添加 TELNET 管理的用户，用户类型为”te

9、lnet”，用户名为”huawei”，密码为” admin”SwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin仅密码方式登陆1配置 TELNET 登陆的 ip 地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43设置认证方式为密码验证方式SwitchA-ui-vty0-4authentication-mode password4设置登陆验证的 password

10、为明文密码”huawei”SwitchA-ui-vty0-4set authentication password simple huawei5配置登陆用户的级别为最高级别 3(缺省为级别 1)SwitchA-ui-vty0-4user privilege level 3TELNET RADIUS 验证方式配置(以使用华为 3Com 公司开发的 CAMS 作为RADIUS 服务器为例)1配置 TELNET 登陆的 ip 地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43配置远端用户名和口令认证SwitchA-ui-vty0-4au

11、thentication-mode scheme4配置 RADIUS 认证方案，名为”cams”SwitchAradius scheme cams5配置 RADIUS 认证服务器地址 192.168.0.31 SwitchA-radius-camsprimary authentication 192.168.0.31 18126配置交换机与认证服务器的验证口令为”huawei”SwitchA-radius-camskey authentication huawei7送往 RADIUS 的报文不带域名SwitchA-radius-camsuser-name-format without-doma

12、in8创建（进入）一个域，名为”huawei”SwitchAdomain huawei9在域”huawei”中引用名为”cams”的认证方案SwitchA-isp-huaweiradius-scheme cams10将域”huawei”配置为缺省域SwitchAdomain default enable HuaweiTELNET 访问控制配置1配置访问控制规则只允许 192.1.1.0/24 网段登录SwitchAacl number 2000SwitchA-acl-basic-2000rule deny source anySwitchA-acl-basic-2000rule permit

13、source 192.1.1.0 0.0.0.2552配置只允许符合 ACL2000 的 IP 地址登录交换机SwitchAuser-interface vty 0 4SwitchA-ui-vty0-4acl 2000 inbound3补充说明： TELNET 登陆主机与交换机不是直连的情况下需要配置默认路由； 在交换机上增加 super password(缺省情况下，从 VTY 用户界面登录后的级别为 1 级，无法对设备进行配置操作。必须要将用户的权限设置为最高级别 3，才可以进入系统视图并进行配置操作。低级别用户登陆交换机后，需输入super password 改变自己的级别)例如，配置级

14、别 3 用户的 super password 为明文密码”super3”：SwitchAsuper password level 3 simple super33 H3C S5500-SI S3610 S5510 系列交换机 TELNET 配置流程1补充说明： 由于 H3C S5500-SI S3610 S5510 系列交换机采用全新的 Comware V5 平台，命令行稍有改动。在采用上述配置的基础上，只要在系统视图下增加命令：SwitchAtelnet server enable 即可。四 配置关键点：1三层交换机，可以有多个三层虚接口，它的管理 VLAN 可以是任意一个具有三层接口并配置

15、了 IP 地址的 VLAN，而二层交换机，只有一个二层虚接口，它的管理VLAN 即是对应三层虚接口并配置了 IP 地址的 VLAN；2交换机缺省的 TELNET 认证模式是密码认证，如果没有在交换机上配置口令，当 TELNET 登录交换机时，系统会出现”password required, but none set.”的提示；3TELNET 登陆可以应用 windows 自带的 dos、超级终端，也可以应用别的telnet 软件进行登陆。交换机基于端口 VLAN 应用配置一 组网需求：PC1 和 PC2 分别连接到交换机的端口 E1/0/1 和 E1/0/2，端口分别属于 VLAN10和 VL

16、AN20。二 组网图：三 配置步骤：1 方法 11创建（进入） VLAN10，将 E1/0/1 加入到 VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 1/0/12创建（进入） VLAN20，将 E1/0/2 加入到 VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 1/0/2方法 21进入以太网端口 E1/0/1 的配置视图SwitchAinterface Ethernet 1/0/12配置端口 E1/0/1 的 PVID 为 10SwitchA-Ethernet1/0/1port access v

17、lan 103进入以太网端口 E1/0/1 的配置视图SwitchAinterface Ethernet 0/24配置端口 E1/0/2 的 PVID 为 20SwitchA-Ethernet1/0/2port access vlan 20四 配置关键点：无Web 管理的配置五 组网需求：PC 通过 IE 浏览器对 Switch A 进行管理。六 组网图：作为 Web 登陆主机的 PC 与 Switch A 之间通过局域网互连（也可以直连） ，PC 可以 ping 通 Switch A。七 配置步骤：2 H3C S3100-SI-SI S5100 系列交换机 Web 配置流程1确认 WEB 管

18、理文件已经在交换机 flash 中dir7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw-http3.1.5-0042.web 2配置 Web 登陆的 ip 地址system-view SwitchAvlan 2 SwitchA-vlan2port Ethernet 1/0/1 SwitchA-vlan2quit SwitchAmanagement-vlan 2 SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 192.168.0.1 24 3添加 WEB 管理的用户，用户类型为”telnet”

19、，用户名为”huawei”，密码为”admin”SwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin3 H3C S3600 S5600 系列交换机 Web 配置流程1确认 WEB 管理文件已经在交换机 flash 中dir7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw-http3.1.5-0042.web 2配置 Web 登陆的 ip 地址system-view SwitchAvlan 2

20、 SwitchA-vlan2port Ethernet 1/0/1 SwitchA-vlan2quit SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 192.168.0.1 24 3添加 WEB 管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为”admin”SwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin4补充说明： 如果想通过

21、 WEB 方式管理交换机，必须首先将一个用于支持 WEB 管理的文件（可以从网站上下载相应的交换机软件版本时得到，其扩展名为”web”或者”zip”）载入交换机的 flash 中，该文件需要与交换机当前使用的软件版本相配套； Web 登陆主机与交换机不是直连情况下需要配置默认路由； 登陆的时候在 IE 浏览器中输入 http:/192.168.0.1 即可进入 Web 登陆页面。4 H3C S5500-SI S3610 S5510 系列交换机 Web 配置流程1补充说明： 配置跟上述配置完全一致，但是不需要在 flash 中有 web 管理的文件，因为该文件已经被集成在 vrp 软件版本中了，

22、只要按照上述的配置作就可以了。八 配置关键点：1对于 S3100-SI S5100 系列二层交换机，配置管理 VLAN 时必须保证没有别的VLAN 虚接口；2在将 WEB 管理文件载入交换机 flash 时，不要将文件进行解压缩，只需将完整的文件载入交换机即可(向交换机 flash 载入 WEB 管理文件的方法，请参考本配置实例中交换机的系统管理配置章节)。VLAN 接口动态获取 IP 地址配置九 组网需求：1SwitchA 为二层交换机，管理 VLAN 为 VLAN10，SwitchA 的 VLAN 接口 10 动态获取 IP 地址；2SwitchA 的以太网端口 E1/0/1 为 Trun

23、k 端口，连接到 SwitchB，同时 SwitchB提供 DHCP Server 功能。一 组网图：一一 配置步骤：5 SwitchA 配置1将 E0/1 端口设为 trunk,并允许所有的 vlan 通过SwitchA-Ethernet1/0/1port link-type trunkSwitchA-Ethernet1/0/1port trunk permit vlan all2创建（进入） VLAN10SwitchAvlan 103创建（进入） VLAN 接口 10SwitchAinterface Vlan-interface 104为 VLAN 接口 10 配置 IP 地址Switch

24、A-Vlan-interface10ip address dhcp-allocSwitch B 配置请参考 DHCP Server 配置部分一二 配置关键点：1二层交换机只允许设置一个 VLAN 虚接口，在创建 VLAN10 的虚接口前需要保证没有别的 VLAN 虚接口；2虽然交换机的 VLAN 接口动态获取了 IP 地址，但是不能获得网关地址，因此还需要在交换机上手工添加静态默认路由。流限速的配置一三 组网需求：在交换机的 Ethernet1/0/1 口的入方向设置流量限速，限定速率为1Mbps（1024Kbps） 。一四 组网图：一五 配置步骤：6 H3C 5100 3500 3600 5

25、600 系列交换机典型访问控制列表配置1配置 acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any2对端口 E1/0/1 的入方向报文进行流量限速，限制到 1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1 exceed drop配置关键点： 无自定义 ACL 的配置一六 组网需求：配置自定义 ACL，通过匹配报文对应的协议号、MAC 地址及 IP 地址等字段，过滤攻击主机发出的冒

26、充网关的 ARP 报文。一七 组网图：一八 配置步骤：H3C 3600 的配置1定义 5000 aclSwitch acl number 50002把整个端口 arp 协议报文中源 ip 地址为 192.168.0.1 的 ARP 报文禁掉（16 和32 分别是协议字段和源 IP 字段的偏移量）Switch-acl-user-5000rule 0 deny 0806 ffff 16 c0a80001 ffffffff 323允许 arp 协议报文源 mac 地址（偏移量为 26）是 000f-e226-233c（网关）的arp 报文通过Switch-acl-user-5000rule 1 pe

27、rmit 0806 ffff 16 000fe226233c ffffffffffff 26Switch-acl-user-5000quit4端口下下发创建的 ACLSwitchinterface Ethernet 1/0/1 Switch-Ethernet1/0/1packet-filter inbound user-group 5000 H3C 5600 的配置1定义 5000 aclSwitch acl number 50002把整个端口 arp 协议报文源 ip 地址为 192.168.0.1 的 ARP 报文禁掉 Switch-acl-user-5000rule 0 deny 080

28、6 ffff 20 c0a80001 ffffffff 363允许 arp 协议报文中源 mac 地址是 000f-e226-233c 的 arp 报文通过Switch-acl-user-5000rule 1 permit 0806 ffff 20 000fe226233c ffffffffffff 32Switch-acl-user-5000quit4端口下下发创建的 ACLSwitchinterface Ethernet 1/0/1 Switch-Ethernet1/0/1packet-filter inbound user-group 5000H3C 3610 5510 的配置1定义 5

29、000 aclSwitch acl number 50002定义匹配的 ACL 规则，匹配 arp 报文Switch-acl-user-5000 rule deny l2 0806 ffff 123配置扩展流模板 bbbSwitch flow-template bbb extend l2 12 24在端口 E1/0/1 上应用流模板 bbbSwitch interface Ethernet 1/0/1Switch-Ethernet1/0/1 flow-template bbbSwitch-Ethernet1/0/1 quit配置关键点：1如果开启了 QinQ 功能后，不建议应用用户自定义 ac

30、l；2H3C 3100-SI 5100 5500-SI 不支持 5000-5999 的 acl，H3C 3610 及 5510 因为与流模板冲突，无法下发以上防 ARP 的 ACL，需要配置自定义流模板。交换机 Trunk 端口配置一九 组网需求：1SwitchA 与 SwitchB 用 trunk 互连，相同 VLAN 的 PC 之间可以互访，不同VLAN 的 PC 之间禁止互访；2PC1 与 PC2 之间在不同 VLAN，通过设置上层三层交换机 SwitchB 的 VLAN 接口 10 的 IP 地址为 10.1.1.254/24，VLAN 接口 20 的 IP 地址为 20.1.1.25

31、4/24 可以实现 VLAN 间的互访。二 组网图：1VLAN 内互访，VLAN 间禁访2通过三层交换机实现 VLAN 间互访二一 配置步骤：7 实现 VLAN 内互访 VLAN 间禁访配置过程SwitchA 相关配置：1创建（进入） VLAN10，将 E0/1 加入到 VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/12创建（进入） VLAN20，将 E0/2 加入到 VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/23将端口 G1/1 配置为 Trunk 端口，并允许 VLAN10 和

32、VLAN20 通过SwitchAinterface GigabitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20SwitchB 相关配置：1创建（进入） VLAN10，将 E0/10 加入到 VLAN10SwitchBvlan 10SwitchB-vlan10port Ethernet 0/102创建（进入） VLAN20，将 E0/20 加入到 VLAN20SwitchBvlan 20SwitchB-vlan20po

33、rt Ethernet 0/203将端口 G1/1 配置为 Trunk 端口，并允许 VLAN10 和 VLAN20 通过SwitchBinterface GigabitEthernet 1/1SwitchB-GigabitEthernet1/1port link-type trunkSwitchB-GigabitEthernet1/1port trunk permit vlan 10 208 通过三层交换机实现 VLAN 间互访的配置SwitchA 相关配置：1创建（进入） VLAN10，将 E0/1 加入到 VLAN10SwitchAvlan 10SwitchA-vlan10port Et

34、hernet 0/12创建（进入） VLAN20，将 E0/2 加入到 VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/23将端口 G1/1 配置为 Trunk 端口，并允许 VLAN10 和 VLAN20 通过SwitchAinterface GigabitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20SwitchB 相关配置：1创建 VLAN10SwitchBvl

35、an 102设置 VLAN10 的虚接口地址SwitchBinterface vlan 10SwitchB-int-vlan10ip address 10.1.1.254 255.255.255.03创建 VLAN20SwitchBvlan 204设置 VLAN20 的虚接口地址SwitchBinterface vlan 20SwitchB-int-vlan20ip address 20.1.1.254 255.255.255.05将端口 G1/1 配置为 Trunk 端口，并允许 VLAN10 和 VLAN20 通过SwitchAinterface GigabitEthernet 1/1Sw

36、itchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20二二 配置关键点：无交换机端口链路类型介绍二三 交换机端口链路类型介绍交换机以太网端口共有三种链路类型：Access 、Trunk 和 Hybrid。1Access 类型的端口只能属于 1 个 VLAN，一般用于连接计算机的端口；2Trunk 类型的端口可以属于多个 VLAN，可以接收和发送多个 VLAN 的报文，一般用于交换机之间连接的端口；3Hybrid 类型的端口可以属于多个 VLAN，可以接收

37、和发送多个 VLAN 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。其中，Hybrid 端口和 Trunk 端口的相同之处在于两种链路类型的端口都可以允许多个 VLAN 的报文发送时打标签；不同之处在于 Hybrid 端口可以允许多个 VLAN 的报文发送时不打标签，而 Trunk 端口只允许缺省 VLAN 的报文发送时不打标签。三种类型的端口可以共存在一台以太网交换机上，但 Trunk 端口和 Hybrid 端口之间不能直接切换，只能先设为 Access 端口，再设置为其他类型端口。例如： Trunk端口不能直接被设置为 Hybrid 端口，只能先设为 Access 端口，再设

38、置为 Hybrid端口。二四 各类型端口使用注意事项配置 Trunk 端口或 Hybrid 端口，并利用 Trunk 端口或 Hybrid 端口发送多个 VLAN报文时一定要注意：本端端口和对端端口的缺省 VLAN ID(端口的 PVID)要保持一致。当在交换机上使用 isolate-user-vlan 来进行二层端口隔离时，参与此配置的端口的链路类型会自动变成 Hybrid 类型。Hybrid 端口的应用比较灵活，主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上，利用 Hybrid 端口收发报文时的处理机制，来完成对同一网段的 PC 机之间的二层访问控制。二五 各类型

39、端口在接收和发送报文时的处理1端口接收报文时的处理： 端口接收到的报文类型 报文帧结构中携带 VLAN标记报文帧结构中不携带VLAN 标记Access 端口 丢弃该报文 为该报文打上 VLAN 标记为本端口的 PVIDTrunk 端口 判断本端口是否允许携带该 VLAN 标记的报文通过。如果允许则报文携带原有 VLAN 标记进行转发，否则丢弃该报文同上Hybrid 端口 同上 同上2端口发送报文时的处理： Access 端口 剥掉报文所携带的 VLAN 标记，进行转发Trunk 端口 首先判断报文所携带的 VLAN 标记是否和端口的PVID 相等。如果相等，则剥掉报文所携带的 VLAN标记，进

40、行转发；否则报文将携带原有的 VLAN 标记进行转发Hybrid 端口 首先判断报文所携带的 VLAN 标记在本端口需要做怎样的处理。如果是 untagged 方式转发，则处理方式同 Access 端口；如果是 tagged 方式转发，则处理方式同 Trunk 端口交换机 DHCP Sever 的配置二六 组网需求：1在交换机上配置 DHCP Server，使下面的用户动态获取相应网段的 IP 地址；2DHCP Server 的 IP 地址是 192.168.0.1/24，PC 机接在 E1/0/2 口上。二七 组网图：二八 配置步骤：1创建（进入） VLAN2Switchvlan 22将 E

41、1/0/1 端口加入 VLAN2Switch-vlan2port Ethernet1/0/23进入 VLAN 接口 2Switch-vlan2int vlan 24为 VLAN2 配置 IP 地址Switch-Vlan-interface2ip address 192.168.0.1 255.255.255.05全局使能 DHCP 功能Switchdhcp enable6创建 DHCP 地址池并进入 DHCP 地址池视图Switchdhcp server ip-pool h3c7配置动态分配的 IP 地址范围Switch-dhcp-pool-h3cnetwork 192.168.0.1 mas

42、k 255.255.255.08配置网关地址Switch-dhcp-pool-h3c gateway-list 192.168.0.19禁止将 PC 机的网关地址分配给用户Switchdhcp server forbidden-ip 192.168.0.110指定 vlan2 虚接口工作在全局地址池模式Switchdhcp select global interface vlan-interface 2二九 配置关键点：1需保证虚接口地址在地址池中，这样 VLAN 下接的 PC 机方能自动获得192.168.0.0/24 网段的 IP 地址；2对于 DHCP Server 设备，可以使用全局地

43、址池和接口地址池进行地址分配，这两种配置方法的适用情况是：如果 DHCP Client 和 DHCP Server 在同一网段，这两种配置方法都适用，如果 DHCP Client 与 DHCP Server 不在同一网段，那么只能用基于全局地址池的 DHCP Server 配置。当虚接口工作在全局地址池模式时使用以下命令：Switchdhcp select global all3Vlan 接口默认情况下以全局地址池方式进行地址分配，因此当 vlan 接口配置了全局地址池方式进行地址分配后，查看交换机当前配置时，在相应的 vlan 接口下无法看到有关 DHCP 的配置；4此系列交换机的具体型号包

44、括：Quidway S3500、Quidway S3900-EI、 Quidway S5600、H3C S3600-EI、H3C S5600 系列交换机。交换机 DHCP Relay 的配置三 组网需求：在交换机上配置 DHCP Relay，使下面的用户动态获取相应网段的 IP 地址。三一 组网图：三二 配置步骤：1全局使能 DHCP 功能H3Cdhcp enable2指定 DHCP Server 组 1 所采用的 DHCP Server 的 IP 地址H3Cdhcp-server 1 ip 192.168.0.13配置 DHCP Relay 到 DHCP Server 的接口地址H3Cvla

45、n 2H3C-vlan2port e1/0/2H3Cint vlan 2H3C-Vlan-interface2ip address 192.168.0.2 255.255.255.04配置 DHCP Relay 到 PC 的接口地址H3Cvlan 3H3C-vlan3port e1/0/3H3Cint vlan 3H3C-Vlan-interface3ip address 192.168.1.1 255.255.255.05指定 VLAN 接口归属到 DHCP Server 组 1H3C-Vlan-interface3dhcp-server 1三三 配置关键点：1必须保证路由可达；2保证动态获

46、得的 IP 地址在地址池中；3此系列交换机的具体型号包括：Quidway S3500、Quidway S3900、Quidway S5600、H3C S3600 和 H3C S5600 系列交换机。防 ARP 攻击配置举例关键词：ARP、DHCP Snooping摘 要：本文主要介绍如何利用以太网交换机 DHCP 监控模式下的防 ARP 攻击功能，防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP 泛洪等攻击形式。同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。缩略语：ARP（Address Resolution Protocol，地址解析协议）MITM（Man-In-The-Middle，中间人攻击）第 1 章 ARP 攻击防御功能介绍近来，许多校园网络都出现了 ARP 攻击现象。严重者甚至造成大