三层交换机通用配置
非常好!您提到了两个关键点:行业规范配置和远程SSH管理。这些正是将“能通”的网络升级为“稳定、安全、易运维”的网络所必须的。
下面,我将严格按照行业通用规范,为您完善之前“貌似没有配置”的隐藏项,并包含远程SSH的最佳实践。
我们将从核心交换机开始,因为它是最关键的设备。
核心交换机 - 完整规范化配置示例 (以华为/华三CLI风格为例)
bash
! 进入系统视图
system-view
! 设置设备主机名,便于管理(规范:使用位置-角色-型号等约定)
sysname Core-Switch-01
! 1. 配置Loopback接口 - 最关键的规范化配置之一
! 用途:作为OSPF/BGP的Router-ID、作为SNMP/SSH等管理的源地址、提供永久的逻辑地址。
interface LoopBack 0
ip address 10.0.0.1 255.255.255.255 ! 通常使用32位掩码
description Management-loopback
! 2. 配置SSH远程登录 - 禁用不安全的Telnet
! 首先创建用于管理的本地用户
aaa
local-user admin password cipher YourStrongPassword123! ! cipher表示密码加密存储
local-user admin privilege level 15 ! 权限等级15为最高
local-user admin service-type ssh ! 该用户只能用于SSH服务
quit
! 生成RSA密钥对,这是SSH连接的基础
rsa local-key-pair create
! 启用SSH服务并配置
stelnet server enable
ssh user admin authentication-type password
ssh user admin service-type stelnet
line vty 0 4 ! 配置虚拟终端线路
authentication-mode aaa ! 使用AAA认证
protocol inbound ssh ! 只允许SSH接入,禁止Telnet
user-role network-admin ! 用户角色为网络管理员
idle-timeout 20 ! 设置空闲超时20分钟,增强安全
! 3. 配置SNMP用于网管系统监控
snmp-agent
snmp-agent sys-info version v2c ! 根据网管系统支持选择v2c或v3
snmp-agent community read public ! 设置只读团体字,生产环境应更复杂
snmp-agent community write private ! 设置读写团体字,生产环境应更复杂
snmp-agent sys-info contact netadmin@company.com
snmp-agent sys-info location "Core-Room-Rack-01"
! 4. 配置NTP时间同步 - 所有设备时间一致是排查故障的基础
ntp-service enable
ntp-service unicast-server 192.168.1.1 ! 指向公司内网的NTP服务器或互联网NTP服务器
! 5. 创建VLAN并描述
vlan batch 10 20
vlan 10
description Wired-User-Network ! 清晰的描述至关重要
vlan 20
description Wireless-User-Network
! 6. 配置上行链路和下行链路(以G1/0/1下行至汇聚为例)
interface GigabitEthernet 1/0/1
description Link-To-Agg-Switch-01-G1/0/48 ! 链路描述,必须规范!
port link-type trunk
port trunk allow-pass vlan 10 20 ! 精确允许所需的VLAN,而不是ALL
undo negotiation auto ! 强制速率和双工模式,避免自协商问题
speed 1000
duplex full
! 7. 配置VLAN接口(网关)并开启防伪冒IP功能
interface Vlanif 10
ip address 192.168.10.1 255.255.255.0
description Gateway-for-VLAN10-Wired
mac-address learning strict ! 开启严格MAC地址学习,增强安全
arp anti-attack check user-bind enable ! 可结合IP-MAC绑定表防ARP欺骗
interface Vlanif 20
ip address 192.168.20.1 255.255.255.0
description Gateway-for-VLAN20-Wireless
! 8. 配置默认路由指向防火墙
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 description To-Firewall
! 9. (可选但推荐) 开启日志并发送到日志服务器
info-center enable
info-center loghost 192.168.100.10 ! 日志服务器地址
! 10. 保存配置 !!! 最重要的一步 !!!
save force汇聚/接入交换机 - 关键规范化配置
汇聚/接入层的配置与核心类似,但更侧重于二层安全和接入控制。
bash
system-view
sysname Access-Switch-01-Floor-1
! 1. 环路防护 - 接入层的生命线
stp enable ! 全局开启生成树协议
stp mode rstp ! 配置为快速生成树RSTP或MSTP
stp bpdu-protection ! 开启BPDU保护,防止非法接入交换机
stp root-protection ! 在上联口可配置根保护
! 2. 端口安全 - 控制终端接入
interface GigabitEthernet 1/0/1
description Connect-to-PC-UserA
port link-type access
port default vlan 10
stp edged-port enable ! 将该端口设置为边缘端口,快速进入转发状态
bpdu-filter enable ! 边缘端口可开启BPDU过滤
storm-control broadcast min-ratio 20 ! 开启广播风暴抑制
mac-limit maximum 5 ! 限制该端口最多学习5个MAC地址,防私接Hub/AP
! 3. 下行端口默认配置为关闭,需要时再开启(安全最佳实践)
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/48
shutdown ! 初始状态下所有端口关闭
description UNUSED-PORT ! 未使用端口打上标签
! 当确认某端口需要使用时,再进入该端口执行:
! undo shutdown
! port link-type access/trunk ... (其他配置)
! 4. 上联端口配置
interface GigabitEthernet 1/0/48
description UPLINK-To-Core-Switch-G1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
undo negotiation auto
speed 1000
duplex full
stp disable ! 上联至核心,若确信无环路可关闭STP以提升性能总结:行业规范的核心思想
- 描述清晰:每一条链路、每一个VLAN、每一个接口都要有清晰的
description。 - 安全最小化原则:按需放通VLAN,关闭未用端口,配置端口安全。
- 可管理性:配置SSH、SNMP、NTP、Logging,让网络“可见、可控、可管理”。
- 可靠性:部署STP,强制速率/双工,避免自协商带来的不稳定。
- 标准化:所有同类设备配置风格、命名约定、IP地址规划保持一致。
关于远程SSH:它绝对是行业标准和管理员的“生命线”。通过上述配置,您就可以从网络的任何位置,使用 ssh admin@10.0.0.1(通过Loopback地址)或 ssh admin@192.168.10.1 安全地登录到核心交换机进行管理,彻底告别不安全的Telnet和console线缆的物理限制。
这套配置模板是一个生产级网络的坚实基础,您可以根据实际设备和需求进行微调。
