华三 二层交换机 企业完整正式版配置

完整包含设备初始化、时间运维、本地密码、SSH 远程加密管理、VLAN 划分、管理 IP、Access 接入端口、Trunk 上联端口、环路防护、安全加固、上线查验、配置保存一、基础系统初始化H3C system-view # 进入系统配置视图[H3C] sysname L2-Access-SW # 修改设备名称[L2-Access-SW] undo info-center enable # 关闭系统日志信息输出[L2-Access-SW] clock timezone BJ add 8 # 设置时区为东八区[L2-Access-SW] ntp-service server 114.114.114.114 # 配置NTP时间同步服务器[L2-Access-SW] info-center logbuffer enable # 开启日志缓存功能二、Console本地控制台[L2-Access-SW] line console 0 # 进入Console控制台线路[L2-Access-SW-line-console0] authentication-mode password # 启用密码认证方式[L2-Access-SW-line-console0] set password simpleAdmin123# 设置Console登录密码[L2-Access-SW-line-console0] idle-timeout 3 # 配置3分钟无操作自动退出[L2-Access-SW-line-console0] quit # 退出Console线路视图三、SSH完整远程安全配置[L2-Access-SW] local-user admin # 创建本地管理员账号admin[L2-Access-SW-luser-admin] password simpleAdmin123# 设置管理员账号密码[L2-Access-SW-luser-admin] authorization-attribute level 3 # 配置管理员权限等级[L2-Access-SW-luser-admin] service-type ssh # 允许SSH方式登录[L2-Access-SW-luser-admin] quit # 退出用户配置视图[L2-Access-SW] ssh server enable # 全局开启SSH服务[L2-Access-SW] line vty 0 15 # 进入远程登录线路[L2-Access-SW-line-vty0-15] authentication-mode scheme # 使用本地账号认证[L2-Access-SW-line-vty0-15] protocol inbound ssh # 仅允许SSH协议登录[L2-Access-SW-line-vty0-15] idle-timeout 5 # 5分钟无操作自动断开[L2-Access-SW-line-vty0-15] quit # 退出远程线路视图四、配置管理 IP 地址远程登录必备[L2-Access-SW] interface Vlan-interface 1 # 进入VLAN1三层接口[L2-Access-SW-Vlan-interface1] ip address 192.168.1.2 255.255.255.0 # 配置管理IP[L2-Access-SW-Vlan-interface1] description MGMT # 配置接口描述信息[L2-Access-SW-Vlan-interface1] quit # 退出三层接口视图[L2-Access-SW] ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 # 配置默认网关五、批量创建业务VLAN[L2-Access-SW] vlan 10 # 创建VLAN10[L2-Access-SW-vlan10] name Office-VLAN # 命名为办公VLAN[L2-Access-SW-vlan10] quit # 退出VLAN视图[L2-Access-SW] vlan 20 # 创建VLAN20[L2-Access-SW-vlan20] name Camera-VLAN # 命名为监控VLAN[L2-Access-SW-vlan20] quit # 退出VLAN视图[L2-Access-SW] vlan 30 # 创建VLAN30[L2-Access-SW-vlan30] name Guest-VLAN # 命名为访客VLAN[L2-Access-SW-vlan30] quit # 退出VLAN视图六、接入端口配置[L2-Access-SW] interface GigabitEthernet 1/0/1 # 进入物理端口1/0/1[L2-Access-SW-GigabitEthernet1/0/1] port link-type access # 设置端口为Access模式[L2-Access-SW-GigabitEthernet1/0/1] port access vlan 10 # 划入办公VLAN10[L2-Access-SW-GigabitEthernet1/0/1] stp edged-port enable # 配置STP边缘端口[L2-Access-SW-GigabitEthernet1/0/1] description PC_Office # 端口描述[L2-Access-SW-GigabitEthernet1/0/1] undo shutdown # 开启端口[L2-Access-SW-GigabitEthernet1/0/1] quit # 退出端口视图[L2-Access-SW] interface GigabitEthernet 1/0/2 # 进入物理端口1/0/2[L2-Access-SW-GigabitEthernet1/0/2] port link-type access # 设置端口为Access模式[L2-Access-SW-GigabitEthernet1/0/2] port access vlan 20 # 划入监控VLAN20[L2-Access-SW-GigabitEthernet1/0/2] stp edged-port enable # 配置STP边缘端口[L2-Access-SW-GigabitEthernet1/0/2] description Camera # 端口描述[L2-Access-SW-GigabitEthernet1/0/2] undo shutdown # 开启端口[L2-Access-SW-GigabitEthernet1/0/2] quit # 退出端口视图七、Trunk上联端口配置对接路由器/上级交换机[L2-Access-SW] interface GigabitEthernet 1/0/24 # 进入上联端口1/0/24[L2-Access-SW-GigabitEthernet1/0/24] port link-type trunk # 设置端口为Trunk模式[L2-Access-SW-GigabitEthernet1/0/24] port trunk permit vlan 10 20 30 # 放行所有业务VLAN[L2-Access-SW-GigabitEthernet1/0/24] port trunk pvid vlan 1 # 设置默认PVID[L2-Access-SW-GigabitEthernet1/0/24] description To_Core_SW # 上联描述[L2-Access-SW-GigabitEthernet1/0/24] undo shutdown # 开启上联端口[L2-Access-SW-GigabitEthernet1/0/24] quit # 退出端口视图八、全网路由配置上网核心[Core-L3-SW] ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 # 配置默认路由所有外网流量指向路由器内网网关九、全局安全加固 防环路防护企业等保必配[L2-Access-SW] stp enable # 开启生成树协议[L2-Access-SW] stp mode rstp # 启用快速生成树[L2-Access-SW] undo telnet server enable # 关闭不安全Telnet[L2-Access-SW] undo http server enable # 关闭Web管理[L2-Access-SW] undo snmp-agent # 关闭SNMP协议[L2-Access-SW] arp anti-attack valid-check enable # 开启ARP防攻击[L2-Access-SW] port-security enable # 开启端口安全[L2-Access-SW] loopback-detection enable # 开启环路检测十、保存配置[L2-Access-SW] save force # 强制保存当前配置