H3C企业级交换机、H3C_POE交换机、海康威视万兆企业级交换机 SSH远程登录与FTP协议备份配置，NTP时间校对,防伪DHCP

H3C企业级交换机、H3C_POE交换机、海康威视万兆企业级交换机

SSH远程登录与FTP协议备份配置，NTP时间校对,防伪DHCP

本文目标：

1、方便工程师们通过SSH协议远程安全地管理配置设备、通过FTP协议备份设备的配置文件。

2、熟悉不同品牌设备远程登录指令配置的差异。

3、为方便网络故障的排查，配置NTP时间校对，用于排查故障出现的准确日期与时间。

一、H3C企业级交换机远程登录：
(一)H3C S5500-28F-EI-D交换机（2个万兆口+24千兆光口+8千兆电口）

前面板光纤为业务端口，网线接到大数据网络管理设备

后面板为万兆上行端口
1、创建2个用户，分别用于远程配置设备、备份设备配置文件
local-user admin
password cipher '`G]]>%(=^=SQ+DGNO)1!!

authorization-attribute level 2
service-type ssh telnet
local-user adminftp
password cipher '*`G]]>%(=^2DKT:4(8S1!!
authorization-attribute work-directory flash:/
authorization-attribute level 3
service-type ftp
2、开启ssh协议远程登录服务器，并指定远程登录方式与认证方式
ssh server enable
ssh user admin service-type stelnet authentication-type password
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
3、开启FTP服务、用户远程FTP用户的连接，设置NTP时间校对服务器
ftp server enable
ntp-service unicast-server 192.168.80.1 #NTP服务器的ip地址
interface vlan 1 #给管理VLAN配置ip地址
ip address 192.168.80.57 24

（二）H3C S5500-28C-SI交换机（4光4电复用千兆+24电口千兆）

1、创建2个用户，分别用于远程配置设备、备份设备配置文件
local-user admin
password cipher $c$3$CcBDUGuOEOvUwmMTThkEifQ8FUM+tPPr2vQfpLU=

authorization-attribute level 2
service-type ssh
local-user adminftp
password cipher $c$3$2JuQEpZuw1lzCTBh8W4jmoQLxAoKBY/PpQFPz8k=

authorization-attribute level 3
service-type ftp
2、开启DHCP-snooping功能，与dhcp服务端的检测，并在指定的上行端口配置为DHCP服务的信任trust端口，防止伪DHCP服务端给用户分配错误的ip地址。用户端口上使能DHCP Snooping的DHCP Request报文检查功能，检查本地是否存在与DHCP Request报文匹配的DHCP Snooping表项。若存在，则DHCP Request报文信息与DHCP Snooping表项信息一致时，认为该报文为合法的续约报文，将其转发给DHCP服务器；不一致时，认为该报文为伪造的续约报文，将其丢弃。若不存在，则认为该报文合法，将其转发给DHCP服务器。
dhcp server detect
dhcp enable
dhcp-snooping
interface GigabitEthernet1/0/1
port access vlan 172
dhcp-snooping check request-message #业务端口以其中1个为例开启dhcp请求检测
interface GigabitEthernet1/0/24
description to 18dong_3lou_80.18_g0/0/18
port link-type trunk
port trunk permit vlan 1 128 158 172
dhcp-snooping trust #连接上行设备的端口开启dhcp的信任
3、开启ssh协议远程登录服务器，并指定远程登录方式stelnet与认证类型为密码认证，认证模式为AAA登录（scheme需要指定用户名与密码），及远程登录用户的权限等级。
ssh server enable
ssh user admin service-type stelnet authentication-type password
user-interface vty 0 4
authentication-mode scheme
user privilege level 2
protocol inbound ssh
user-interface vty 1 2
authentication-mode scheme
user privilege level 3
4、开启FTP服务，用于备份配置文件
ftp server enable
interface vlan 1 #给管理VLAN配置ip地址
ip address 192.168.80.43 24

（三）H3C WP2016 POE交换机（千兆2光2电复用+百兆16口POE）

1、查看POE交换机给每个端口供电的电压、电流值
<H3C_POE_80.83>dis poe interface Ethernet 1/0/9
Port power enabled :enable
Port power ON/OFF :on
Port power status :Standard PD was detected
Port power mode :signal
Port PD class :3
port power priority :low
Port max power :15400 mW
Port current power :2100 mW
Port peak power :6700 mW
Port average power :2881 mW
Port current :40 mA
Port voltage :52 V

2、创建2个用户，分别用于远程配置设备、备份设备配置文件
local-user admin
password cipher '`G]]>%(=^=SQ+DGNO)1!!

service-type ssh
level 2
local-user adminftp
password cipher '*`G]]>%(=^2DKT:4(8S1!!

level 3
service-type ftp

3、开启DHCP-snooping功能，防伪DHCP分配错误的ip地址，导致网络ip冲突，分配地址紊乱等。
dhcp-snooping
interface GigabitEthernet1/1/1
port link-type trunk
port trunk permit vlan 1 128 158 172
dhcp-snooping trust
description to H3C_80.43_g1/0/21
interface Ethernet1/0/9 #连接无线AP
poe enable
port link-type trunk
port trunk permit vlan 1 128 158 172 #含管理VLAN、DHCP服务VLAN、业务VLAN
port trunk pvid vlan 172 #无线AP的业务VLAN
loopback-detection enable

4、开启ssh协议远程登录服务器，并指定远程登录方式stelnet与认证类型为密码认证，认证模式为AAA登录（scheme需要指定用户名与密码），及远程登录用户的权限等级。
ssh authentication-type default password
ssh user admin authentication-type password
ssh user admin service-type stelnet
ssh user adminftp authentication-type password
ssh user adminftp service-type all
user-interface vty 0
authentication-mode scheme
user privilege level 2
protocol inbound ssh
user-interface vty 1 3
authentication-mode scheme
user privilege level 3
protocol inbound ssh

5、开启FTP服务，用于备份配置文件
ftp server enable
interface vlan 1 #给管理VLAN配置ip地址
ip address 192.168.80.83 24

二、海康威视监控网核心交换机远程登录：

HIK DS-3E2728F-H交换机（4光口1Gbps/10Gbps同一端口集成2种速率+16千兆光口+8千兆光电复用口）

1、创建2个用户，分别用于远程配置设备、备份设备配置文件
local-user admin class manage
password hash $h$6$iwG24qkxK/Z/y6o/$PiOMpg0X//

service-type ssh telnet terminal
authorization-attribute user-role level-15
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
local-user adminftp class manage
password hash $h$6$9QNfNmvW6MCgGXjK$eA+N41kR

service-type ftp
authorization-attribute user-role level-15
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator

2、开启ssh协议远程登录服务器，指定不同接口模式下用户对网络管理的级别为网络管理员与网络操作员。
ssh server enable
line class aux
user-role network-admin
line class vty
user-role network-operator
line aux 0
user-role network-admin
line vty 0 4
authentication-mode scheme
user-role network-operator
protocol inbound ssh
command authorization
line vty 5 63
user-role network-operator

3、指定网络设备的NTP时间校对服务器，开启FTP服务，配置管理VLAN的ip
ntp-service unicast-server 192.168.80.1
ftp server enable
interface vlan 1 #给管理VLAN配置ip地址
ip address 192.168.80.70 24