交换机

最近接触了一些全光网的调测项目，涉及OLT等设备，由于部分调测是全命令行，对于刚接触的人不太友好，无意间发现老版本的iManager U2000，在此写一个简单的安装教程。希望能帮到大家。

一、前期准备：
操作系统：Windows 2012 （安装好.NET 3.5环境，最好使用纯净系统，避免和其他软件冲突）
硬件配置：CPU≥8核，内存≥16G，硬盘≥300G
iManager U2000版本：V200R018C50SPC200 （非公开）

二、安装过程：
1、将下载好的安装包解压并放置在非系统盘，如D盘，文件夹名不要带有中文和空格（如U2000），然后打开目录，双击“setup.bat”开始安装，会提示开始安装数据库，耐心等待即可，安装时间根据硬件情况而定：

2、数据库安装完成后，软件许可协议选择“我接受上述条款”，然后点击下一步：

3、U2000的运行语言，根据自己需要进行选择，这里选择“简体中文”，然后点击下一步：

4、可以根据自己需求进行选择是否使用客户端服务器场景，这里选择“客户端服务器非一体化场景”，然后点击下一步：

5、这里由于只需要管理OLT设备，因此只配置了接入域（其他如IP域请自行解压安装包），点击下一步：

6、数据库服务器信息设置，数据库管理员用户密码为“Changeme_123”，网管数据库用户密码配置为“Changeme_123”，可根据情况自行修改，点击下一步：

7、安装前检查所有都正常，点击下一步：

8、安装信息确认无误，点击下一步：

9、正在执行安装程序，时间视硬件情况而定，耐心等待。

10、安装完毕后，点击完成，会提示重启服务器，重启服务器即可。

11、重启完成后，启动桌面上的“U2000客户端”，默认密码为“Changeme_123”，登录后会提示修改密码，修改密码完成后牢记密码即可。

12、修改完成密码后，使用新密码登录，并导入授权，在OLT端开启SNMP，U2000客户端添加对应设备即可进行管理OLT设备。

在日常的调试和运维中，经常会用到一些小工具，在此整理一份方便日后常用：

1、3CDaemon是一款功能丰富的TFTP软件，TFTP软件是集成了TFTP、FTP和SYSLOG多种功能的程序，支持多种协议。软件已完全汉化为中文，解压即用。

3CDaemon下载地址：点我下载

2、轻量级ftp服务器软件，没有复杂的设置，没有复杂的操作，傻瓜都能搭建属于自己的ftp服务器！

轻量级FTPServer下载地址：点我下载

3、PingInfoView(批量ping工具)是一款绿色小巧的批量Ping辅助软件。

PingInfoView下载地址：点我下载

4、putty(远程登录工具)是一款windows ssh工具，通过多种连接方式管理您的远程主机，小巧的体积和强大的功能让其无需安装即可完成丰富的远程操作。

Putty下载地址：点我下载

5、tcping命令 (可以直接运行tcping命令，和用ping命令一样，在机房禁PING或服务器禁PING的情况下来监控服务器的端口的状态，默认是检测80端口,也可以检测其他端口(需要在IP后空格端口号)。

相关使用教程详见《Tcping命令安装方法和使用教程》

Tcping下载地址：点我下载

6、WinMTR官方版是款适用于网络监测与诊断的小工具。WinMTR电脑版集成了tracert与ping这两个命令的图形界面工具。WinMTR可以直接的看到各个节点的响应时间及丢包率，合windows下客户做路由追踪及PING测试，对日常的路由器、交换机网络的维护和故障检测非常有帮助。

WinMTR下载地址：点我下载

7、Tftpd32这个软件是一个集DHCP, TFTP, SNTP和Syslog多种服务为一体的袖珍网络服务器包，与此同时还提供TFTP客户端应用，支持tsize, Blocksize 与 Timeout等。

Tftpd32下载地址：点我下载

8、USB-RS232驱动：

FTDI芯片驱动下载地址：点我下载

PL2303芯片驱动下载地址：点我下载

以上工具解压密码无特殊说明均为：www.cnitdog.com

很多华为设备开局第一步，需要配置Telnet或SSH更或是web网页登录，之前写过一篇单独开启SSH，参见：《华为交换机开启SSH登录》，但是还有很多其他登陆要求，本次就一起写一下华为交换机、路由器开启Telnet、SSH、web网页登录的配置方法：

一、配置Telnet登录：
1、配置管理地址（以管理vlan为默认vlan1和管理地址：192.168.0.2为例）：

system-view	//进入系统视图
[Cnitdog]interface vlan 1	//配置管理vlan1，以默认vlan为例，实际情况根据需求配置	 
[Cnitdog-Vlanif1]ip address 192.168.0.2 255.255.255.0	//配置管理地址：192.168.0.2 掩码：255.255.255.0
[Cnitdog-Vlanif1]quit

2、建立管理账号（以账号：cnitdog 密码：Cnitdog@com为例）：

[Cnitdog]aaa  //进入AAA模式
[Cnitdog-aaa]local-user cnitdog password irreversible-cipher Cnitdog@com	//建立账号：cnitdog 密码：Cnitdog@com
[Cnitdog-aaa]local-user cnitdog privilege level 15		//授予cnitdog账号权限为最高级，15级
[Cnitdog-aaa]local-user cnitdog service-type terminal telnet	////授予cnitdog账号console登录和telnet权限（亦可同时授予其他权限，如terminal、ssh、http、https）
[Cnitdog-aaa]quit

3、开启vty登录方式授权：

[Cnitdog]user-interface vty 0 4	//进入VTY视图	
[Cnitdog-ui-vty0-4]authentication-mode aaa	//配置验证方式为AAA
[Cnitdog-ui-vty0-4]protocol inbound telnet	//配置允许telnet方式登入
[Cnitdog-ui-vty0-4]quit

4、开启telnet服务：

[Cnitdog]telnet server enable		//开启telnet服务。

5、至此配置完成，可接入网线，终端配置对应网段IP，用putty等客户端登录测试；验证成功后记得保存配置。

二、配置SSH登录：
1、配置管理地址（以管理vlan为默认vlan1和管理地址：192.168.0.2为例）：

system-view	//进入系统视图
[Cnitdog]interface vlan 1	//配置管理vlan1，以默认vlan为例，实际情况根据需求配置	 
[Cnitdog-Vlanif1]ip address 192.168.0.2 255.255.255.0	//配置管理地址：192.168.0.2 掩码：255.255.255.0
[Cnitdog-Vlanif1]quit

2、建立管理账号（以账号：cnitdog 密码：Cnitdog@com为例）：

[Cnitdog]aaa  //进入AAA模式
[Cnitdog-aaa]local-user cnitdog password irreversible-cipher Cnitdog@com	//建立账号：cnitdog 密码：Cnitdog@com
[Cnitdog-aaa]local-user cnitdog privilege level 15		//授予cnitdog账号权限为最高级，15级
[Cnitdog-aaa]local-user cnitdog service-type terminal ssh 		////授予cnitdog账号console登录和ssh网页权限（亦可同时授予其他权限，如terminal、telnet、http、https）
[Cnitdog-aaa]quit
[Cnitdog]ssh user cnitdog authentication-type password	//配置SSH账号cnitdog验证方式为密码验证
[Cnitdog]ssh user  cnitdog service-type all		//允许SSH账号cnitdog登录服务为全部
[Cnitdog]ssh client first-time enable 			//使能SSH客户端首次认证
[Cnitdog]rsa local-key-pair create		//创建本地密钥对	

3、开启vty登录方式授权：

[Cnitdog]user-interface vty 0 4	//进入VTY视图	
[Cnitdog-ui-vty0-4]authentication-mode aaa	//配置验证方式为AAA
[Cnitdog-ui-vty0-4]protocol inbound ssh	//配置允许ssh方式登入
[Cnitdog-ui-vty0-4]quit

4、开启SSH服务：

[Cnitdog]stelnet server enable		//开启telnet服务。

5、至此配置完成，可接入网线，终端配置对应网段IP，用putty等客户端登录测试；验证成功后记得保存配置。

三、配置web网页登录：
1、配置管理地址（以管理vlan为默认vlan1和管理地址：192.168.0.2为例）：

system-view	//进入系统视图
[Cnitdog]interface vlan 1	//配置管理vlan1，以默认vlan为例，实际情况根据需求配置	 
[Cnitdog-Vlanif1]ip address 192.168.0.2 255.255.255.0	//配置管理地址：192.168.0.2 掩码：255.255.255.0
[Cnitdog-Vlanif1]quit

2、建立管理账号（以账号：cnitdog 密码：Cnitdog@com为例）：

[Cnitdog]aaa  //进入AAA模式
[Cnitdog-aaa]local-user cnitdog password irreversible-cipher Cnitdog@com	//建立账号：cnitdog 密码：Cnitdog@com
[Cnitdog-aaa]local-user cnitdog privilege level 15		//授予cnitdog账号权限为最高级，15级
[Cnitdog-aaa]local-user cnitdog service-type terminal http https 	//授予cnitdog账号console登录和web网页权限（亦可同时授予其他权限，如terminal、telnet、ssh）
[Cnitdog-aaa]quit

3、开启web网页登录服务（如登录失败，请加载web网页包）：

[Cnitdog]http server enable	//开启http服务
[Cnitdog]http secure-server enable	//开启https服务

4、至此配置完成，可接入网线，终端配置对应网段IP，用火狐等浏览器登录测试；验证成功后记得保存配置。

四、最后注意保存、设备要根据实际情况配置，切勿生搬硬套！

一、适用场景：
爱快、高恪、RouerOS等各类路由WAN口扩展，即路由器WAN口不够用或需要多条ADSL拨号接入情况下前端交换机设置。
二、网络拓扑：

三、配置规划：
交换机1端口至23端口每个端口设置不同VLAN（例如VLAN1-VLAN23）供宽带接入使用，24口连接路由器进行宽带拨号。

四、设备配置：
1、建立VLAN1-VLAN23

[Cnitdog-Huawei-Switch-Wan]vlan batch 1 to 23

2、将1端口至23口划分至对应VLAN（以1端口为例，其他端口以此类推进行设置）
（1）进入1端口

[Cnitdog-Huawei-Switch-Wan]interface GigabitEthernet 0/0/1

（2）将1端口模式设置成ACCESS模式

[Cnitdog-Huawei-Switch-Wan-GigabitEthernet0/0/1]port link-type access

（3）将1端口设置为VLAN1

[Cnitdog-Huawei-Switch-Wan-GigabitEthernet0/0/1]port default vlan 1

4、设置24端口接入路由器
（1）进入24端口

[Cnitdog-Huawei-Switch-Wan]interface GigabitEthernet 0/0/24

（2）将24端口设置成TRUNK模式

[Cnitdog-Huawei-Switch-Wan-GigabitEthernet0/0/24]port link-type trunk

（3）将24端口设置成允许VLAN1-VLAN23通过

[Cnitdog-Huawei-Switch-Wan-GigabitEthernet0/0/24]port trunk allow-pass vlan 1 to 23

五、设备配置文件

[Cnitdog-Huawei-Switch-Wan]dis cu
#
sysname Cnitdog-Huawei-Switch-Wan
#
vlan batch 2 to 23
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 4
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 5
#
interface GigabitEthernet0/0/6
 port link-type access
 port default vlan 6
#
interface GigabitEthernet0/0/7
 port link-type access
 port default vlan 7
#
interface GigabitEthernet0/0/8
 port link-type access
 port default vlan 8
#
interface GigabitEthernet0/0/9
 port link-type access
 port default vlan 9
#
interface GigabitEthernet0/0/10
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/11
 port link-type access
 port default vlan 11
#
interface GigabitEthernet0/0/12
 port link-type access
 port default vlan 12
#
interface GigabitEthernet0/0/13
 port link-type access
 port default vlan 13
#
interface GigabitEthernet0/0/14
 port link-type access
 port default vlan 14
#
interface GigabitEthernet0/0/15
 port link-type access
 port default vlan 15
#
interface GigabitEthernet0/0/16
 port link-type access
 port default vlan 16
#
interface GigabitEthernet0/0/17
 port link-type access
 port default vlan 17
#
interface GigabitEthernet0/0/18
 port link-type access
 port default vlan 18
#
interface GigabitEthernet0/0/19
 port link-type access
 port default vlan 19
#
interface GigabitEthernet0/0/20
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/21
 port link-type access
 port default vlan 21
#
interface GigabitEthernet0/0/22
 port link-type access
 port default vlan 22
#
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 23
#
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 2 to 23
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return
[Cnitdog-Huawei-Switch-Wan]

六、注意事项：
1、设置完毕后记得注意保存设备配置，防止设备重启配置丢失（用户视图下设置）。
2、在路由器或软路由上面拨号设置VLAN要和交换机的VLAN一致（1端口是VLAN1，那么路由器也要设置成VLAN1，并且账户密码为插入1端口的宽带账户密码），否则拨号会失败！
3、交换机1端口不是没有设置VLAN，因为VLAN1为默认VLAN不显示，为了免得混淆交换机端口和VLAN的对应关系，故使用了VLAN1，生产环境不推荐使用VLAN1。

后续文章将进行介绍如何设置各种路由器多WAN口设置。

DHCP-Snooping配置用途：

DHCP-snooping的任务就是对DHCP报文进行判断，防止伪造的DHCP服务器提供DHCP服务，维护接口上MAC地址与IP地址的对应绑定关系。根据MAC地址与IP地址的对应绑定，可以完成DAI（动态ARP监测）和IP source guard功能。DHCP-Snooping功能主要包括侦听DHCP报文、动态维护MAC地址与IP地址的对应绑定表，二层交换机过滤非信任端口的不满足这种对应绑定关系的报文，防止非法用户对网络的攻击。

关于思科交换机DHCP服务器配置详见：思科交换机DHCP服务配置方法

一、配置DHCP Snooping功能

1、打开DHCP Snooping功能：

Cntidog-Cisco-Switch(config)#ip dhcp snooping

2、设置DHCP Snooping功能将作用于哪些VLAN（例如VLAN 10）：

Cntidog-Cisco-Switch(config)#ip dhcp snooping vlan 10

3、非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同，以防止DHCP耗竭攻击，该功能默认即为开启：

Cntidog-Cisco-Switch(config)#ip dhcp snooping verify mac-address

4、配置接口为DHCP监听特性的信任接口（一般为上联端口），所有接口默认为非信任接口：

Cntidog-Cisco-Switch(config-if)#ip dhcp snooping trust

二、扩展功能（非必须）

限制非信任端口的DHCP报文速率为每秒15个包（默认即为每秒15个包）如果不配该语句，则show ip dhcp snooping的结果将不列出没有该语句的端口，可选速率范围为1-2048建议，在配置了端口的DHCP报文限速之后，最好配置以下两条命令：

Cntidog-Cisco-Switch(config-if)#ip dhcp snoopiing limit rate 15

使由于DHCP报文限速而被禁用的端口能自动从err-disable状态后，经过30秒时间才能恢复：

Cntidog-Cisco-Switch(config)#errdisable recovery cause dhcp-rate-limit

设置交换机是否为非信任端口收到的DHCP报文插入Option 82，默认即为开启状态：

Cntidog-Cisco-Switch(config)#ip dhcp snooping information option

设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文：

Cntidog-Cisco-Switch(config)#ip dhcp snooping information option   allow-untrusted

三、DHCP Snooping的状态维护

显示当前DHCP监听的各选项和各端口的配置情况：

Cntidog-Cisco-Switch#show ip dhcp snooping

显示当前的DHCP监听绑定表：

Cntidog-Cisco-Switch#show ip dhcp snooping binding

显示DHCP监听绑定数据库的相关信息：

Cntidog-Cisco-Switch#show ip dhcp snooping database

显示DHCP监听的工作统计：

Cntidog-Cisco-Switch#show ip dhcp snooping statistics

清除DHCP监听绑定表；注意：本命令无法对单一条目进行清除，只能清除所有条目：

Cntidog-Cisco-Switch#clear ip dhcp snooping binding

清空DHCP监听绑定数据库的计数器：

Cntidog-Cisco-Switch#clear ip dhcp snooping database statistics

清空DHCP监听的工作统计计数器：

Cntidog-Cisco-Switch#clear ip dhcp snooping statistics

配置说明：

客户端端口推荐配置spanning-tree portfast命令，使得该端口不参与生成树计算，节省端口启动时间，防止可能因为端口启动时间过长导致客户端得不到IP地址。

思科交换机DHCP服务配置命令

DHCP服务用途：

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）一般被应用于较大型的局域网络的环境里，期主要用途是集中的管理和对IP地址的分配，让局域网络中的主机动态的取得IP地址、网关Gateway地址、DNS Server域名解析服务器地址等信息，并且可以提高地址的使用率。其功能包括确保任何一个IP地址在同一时间只可以由一台DHCP客户机所拥有使用。可以给指定用户分配固定永久的IP地址等等。大概了解了一下什么是DHCP那么我们还是进入今天的主题，了解交换机上的DHCP配置。

配置命令

1、配置三层VLAN10配置为接口，并配置IP地址

Cnitdog-Cisco-Switch#configure terminal

Cnitdog-Cisco-Switch(config)#interface vlan 10

Cnitdog-Cisco-Switch(config-if)#ip address 192.168.10.254 255.255.255.0

Cnitdog-Cisco-Switch(config-if)#no shutdown

Cnitdog-Cisco-Switch(config-if)#exit

2、配置 DHCP地址池和相应参数

建立名为 lan 的地址池：

Cnitdog-Cisco-Switch(config)#ip dhcp pool lan

配置DHCP服务的网络地址：

Cnitdog-Cisco-Switch(dhcp-config)#network 192.168.10.0 255.255.255.0

配置DHCP服务的DNS地址：

Cnitdog-Cisco-Switch(dhcp-config)#dns-server 114.114.114.114

配置DHCP服务的默认网关：

Cnitdog-Cisco-Switch(dhcp-config)#default-router 192.168.10.254

3、设置保留不分配的IP地址（192.168.10.10-192.168.10.20不分配）

Cnitdog-Cisco-Switch(config)#ip dhcp excluded-address 192.168.10.10 192.168.10.20

4、维护命令：

停止DHCP服务（默认为启用 DHCP服务）：

Cnitdog-Cisco-Switch(config)#no service dhcp

显示DHCP服务地址分配情况：

Cnitdog-Cisco-Switch#show ip dhcp binding

显示DHCP服务地址冲突情况：

Cnitdog-Cisco-Switch#show ip dhcp conflict

查看DHCP服务dhcp pool 的信息：

Cnitdog-Cisco-Switch#show ip dhcp pool

查看DHCP服务状态：

Cnitdog-Cisco-Switch#sh ip dhcp server statistics

查看DHCP服务租约期：

Cnitdog-Cisco-Switch#show dhcp lease

本篇文章介绍华为交换机配置NTP实现时间自动同步，此方法适用于华为路由器和交换机等网络设备配置NTP自动同步时间服务，关于时钟服务器搭建详见《CentOS 7利用chrony搭建NTP时钟服务器（替代ntp）》

1、设置时区：

[Huawei-Cnitdog]clock timezone BeiJing add 08:00:00

2、设置NTP服务器地址：

[Huawei-Cnitdog]ntp-service unicast-server 10.10.10.250 #将此处IP更改为时钟服务器地址。 

3、查看当前时间：

[Huawei-Cnitdog]display clock
23:32:42  2019/09/10
2019-09-10 23:32:42
Tuesday
Time Zone : Beijing add 08:00:00

4、查看NTP服务会话：

[Huawei-Cnitdog]display ntp-service sessions
23:33:46  2019/09/10
        source          reference       stra reach poll  now offset delay disper
********************************************************************************
 [12345]10.10.10.250   108.29.15.12       3  377 1024  178     68   65.6   14.9
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured,
      6 vpn-instance

在日常交换机运维管理中，已经在逐步放弃使用telnet方式进行登录管理设备，升级为更安全的ssh方式进行管理，下面写一下华为交换机开启ssh登录配置方法：

1、创建用户

[Huawei-Cnitdog]aaa
[Huawei-Cnitdog-aaa]local-user cnitdog password cipher xxx #xxx设置为您想要设置的密码。
[Huawei-Cnitdog-aaa]local-user cnitdog privilege level 15
[Huawei-Cnitdog-aaa]local-user cnitdog service-type terminal http ssh #开启cnitdog用户允许使用Console、Web、SSH访问设备的权限。

2、创建SSH user

[Huawei-Cnitdog]ssh user cnitdog authentication-type password #认证模式为密码认证。
[Huawei-Cnitdog]ssh user cnitdog service-type stelnet #服务类型为stelnet，即SSH。

3、创建本地密钥对

[Huawei-Cnitdog]rsa local-key-pair create

4、启用SSH（stelnet）服务

[Huawei-Cnitdog]stelnet server enable

5、配置vty界面支持的登录协议

[Huawei-Cnitdog]user-interface vty 0 4 
[Huawei-Cnitdog-ui-vty0-4]authentication-mode aaa #认证方式为AAA验证。
[Huawei-Cnitdog-ui-vty0-4]protocol inbound ssh #允许ssh协议登入。