拓扑如下图所示：

开启R1、R2、SW1，并运行OSPF，根据选举规则R2将成为DR，R1成为BDR：

然后将R3启动并运行OSPF，查看DR和BDR：

发现R3加入后，DR和BDR没有变动，验证了DR和BDR选举的非抢占性，当网络中有DR存在时，即使有优先级高的，Router-ID大的路由器加入网络也不会进行重新选举。

如果要让R3成为DR，可进行下述操作：

方法1：重启现在为DR的R2的OSPF进程，触发重新选举

<R2>reset ospf 1 process

R3从BDR->DR，而且也把Router-ID第二大的R2选为了BDR。

方法2：把R1和R2的优先级设置为0（不参与选举）

我们先让R3恢复DRother身份

[R3-GigabitEthernet0/0/0]shutdown

先shutdown后等40s路由器失效再undo shutdown

[R3-GigabitEthernet0/0/0]undo shutdown

这样又让R2成为了DR，R1成为了BDR

[R1-GigabitEthernet0/0/0]ospf dr-priority 0

[R2-GigabitEthernet0/0/0]ospf dr-priority 0

将R1和R2的OSPF的dr都优先级置为0（不再参与选举）

触发两次选举，R3从Drother->BDR->DR

由于R1和R2都不参与选举，此时网络中只有DR没有BDR

将R2优先级调为1，让R2成为BDR。

1.首先进入BIOS，通过键盘上下左右键来控制选项，选择Power Management主选项，选择第一项Rsstore AC power loss，默认是关闭。

2.需要把关闭设置为启动，按回车进行选择。

3.还得设置启动的时间，启动时间在最后一项，默认也是不允许设置（Disabled）

4.按住键盘上的Enter键，把选项改为Enabled

5.会看到可以唤醒天、时、分、秒，我默认设置的都为0，可以随时唤醒。

1.开启华为交换机ntp服务

undo ntp-service server disable

2.设置交换机的时区为东八区

clock timezone BeiJing add 08:00:00

3.设置交换机同步的ntp-server服务器（此教程使用的是阿里的ntp服务器1）

ntp-service unicast-server 120.25.115.20

配置完成后可以查看交换机时间

可以看见同步了成了正确的北京时间

附：国内外常用ntp服务器

NTP 服务器列表

Windows系统上自带的两个：time.windows.com 和 time.nist.gov

MacOS上自带的两个：time.apple.com 和 time.asia.apple.com

NTP授时快速域名服务：cn.ntp.org.cn

1、阿里云授时服务器

#NTP服务器

ntp.aliyun.com

ntp1.aliyun.com

ntp2.aliyun.com

ntp3.aliyun.com

ntp4.aliyun.com

ntp5.aliyun.com

ntp6.aliyun.com

ntp7.aliyun.com

#Time服务器

time1.aliyun.com

time2.aliyun.com

time3.aliyun.com

time4.aliyun.com

time5.aliyun.com

time6.aliyun.com

time7.aliyun.com

2、国内大学授时服务器

s1c.time.edu.cn 北京大学

s2m.time.edu.cn 北京大学

s1b.time.edu.cn 清华大学

s1e.time.edu.cn 清华大学

s2a.time.edu.cn 清华大学

s2b.time.edu.cn 清华大学

3、国外授时服务器

#苹果提供的授时服务器

time1.apple.com

time2.apple.com

time3.apple.com

time4.apple.com

time5.apple.com

time6.apple.com

time7.apple.com

#Google提供的授时服务器

time1.google.com

time2.google.com

time3.google.com

time4.google.com

可以ping下地址获取到对应 ip

若远程连接服务器时出现提示错误：远程计算机获取不支持所需的FIPS安全级别。需要在客户端进行设置。本教程客户端为Windows 7系统。

1.在客户端打开“运行”，输入secpol.msc，打开本地安全策略

2.在本地策略的安全选项中找到系统加密：将FIPS兼容算法用于机密、哈希和签名

3.双击进入设置，改为已禁用设置，点击确定退出后再尝试进行远程连接操作即可

在配置限速时，需要cir、cbs等参数，各参数释义如下：

CIR：用户平均速度

CBS：令牌桶最大容量，相当于线路总带宽，华为缺省值为CIR*125

PBS（Peak Burst Size，峰值突发尺寸）

EBS（Excess Burst Size，超出突发尺寸）

PIR（Peak Information Rate，峰值信息速率）：即允许传输或转发报文的最大速率；单位为bit

本文将演示如何在华为交换机上通过流策略对端口进行限速，具体配置如下：

traffic classifier xiansu \\创建流分类

if-match any \\创建基于所有数据报文进行分类的匹配规则

quit

traffic behavior 50m \\创建流行为

car cir 51200 \\限速50M

备注：这条命令在交换机系统中会自动生成为：

quit

traffic policy 50m \\创建流策略

classifier xiansu behavior 50m \\将流分类与对应的流行为进行绑定

quit

interface GigabitEthernet0/0/1 \\进入具体接口

traffic-policy 50m inbound \\将流策略应用到接口上

traffic-policy 50m outbound

quit

1.配置本地观察口

observe-port 1 interface gigabitethernet 0/0/4 //将G0/0/4口设置为本地观察口

2.配置镜像口,将镜像端口接收到的指定方向的报文复制到本地观察端口上

interface gigabitethernet 0/0/1

port-mirroring to observe-port 1 inbound //镜像进方向的流量

interface gigabitethernet 0/0/2

port-mirroring to observe-port 1 outbound //镜像出方向的流量

interface gigabitethernet 0/0/3

port-mirroring to observe-port 1 both //镜像双向的流量

1.使能telnet服务

[huawei]telnet server enable

2.配置Telnet用户登录的用户界面：包括VTY用户界面的用户级别、验证方式、呼入呼出限制及其他基本属性

[huawei]user-interface vty 0 4

[huawei-line-vty0-4]authentication-mode aaa //使用aaa验证方式

[huawei-line-vty0-4]protocol inbound telnet //允许Telnet接入

3.配置Telnet类型的本地用户（AAA验证方式），包括配置验证方式为AAA时的用户名和密码

[huawei]aaa

[huawei-aaa]local-user 用户名 password cipher 密码 //设置用户名密码

[huawei-aaa]local-user 用户名 service-type telnet //该用户类型为Telnet

[huawei-aaa]local-user 用户名 privilege level 15 //该用户级别为15级（最高级）

本文档以华为S5720交换机为例，配置交换机防病毒策略，用于防范蠕虫病毒的攻击和传播，具体配置如下：

1.创建1个高级ACL访问控制列表，这里可以命名为virus：

acl name virus

2.在该ACL内做如下配置：

rule permit tcp source any destination any destination-port eq 135

rule permit udp source any destination any destination-port eq 135

rule permit udp source any destination any destination-port eq 137

rule permit udp source any destination any destination-port eq 138

rule permit tcp source any destination any destination-port eq 139

rule permit udp source any destination any destination-port eq 139

rule permit tcp source any destination any destination-port eq 445

rule permit udp source any destination any destination-port eq 445

rule permit tcp source any destination any destination-port eq 593

rule permit udp source any destination any destination-port eq 593

rule permit udp source any destination any destination-port eq 1434

rule permit tcp source any destination any destination-port eq 4444

rule permit tcp source any destination any destination-port eq 5554

rule permit tcp source any destination any destination-port eq 9995

rule permit tcp source any destination any destination-port eq 9996

3.配置基于ACL的流分类

traffic classifier virus

if-match acl virus

4.配置流行为

traffic behavior virus_deny

deny

5.创建流策略

traffic policy virus_deny

classifier virus behavior virus_deny

6.接下来，只需要将名为virus_deny的流策略应用到具体的交换机接口上就行了。应用该策略的命令为（在具体的接口模式下）：

traffic-policy virus_deny inbound

或traffic-policy virus_deny outbound

本文档以华为S5720交换机为例，演示华为交换机SSH远程登录的配置步骤。具体操作如下：

1.在特权模式下，输入aaa进入AAA模式：

2.设置本地用户名和密码，并采用cipher加密：

local-user <用户名> password <cipher|irreversible-cipher> <密码>

3.设置用户登录类型为ssh：

local-user <用户名> service-type ssh

4.设置用户权限级别为15（最高）：

local-user <用户名> privilege level 15

5.quit返回特权模式，然后开启SSH功能：

stelnet ipv4 server enable

6.创建SSH用户：

ssh user <用户名>

7.配置用户采用密码认证：

ssh user <用户名> authentication-type password

备注：缺省情况下，SSH用户的认证方式是空，即不支持任何认证方式。当设置用户采用密码认证时，在服务器端由AAA为每一个合法用户分配一个用于登录时进行身份验证的口令，即在服务器端存在“用户名＋口令”的一一对应的关系。当某个用户请求登录时，服务器需要对用户名以及其口令分别进行鉴别，其中任何一项不能验证通过均告验证失败，拒绝该用户的登录请求。对于使用password认证方式的用户，用户的账号信息可以配置在设备或者远程认证服务器（如RADIUS认证服务器）上。

8.指定SSH用户采用Stelnet的服务方式：

ssh user <用户名> service-type stelnet

9.出于交换机本身的网络安全角度考虑，建议改下SSH的远程端口号：

ssh ipv4 server port <端口号>

10.接下来，进入vty 0 4远程虚拟端口(0 4表示可以同时打开5个会话)：

user-interface vty 0 4

11.为虚拟用户终端配置AAA身份验证模式：

authentication-mode aaa

配置到这里，已经可以通过SSH协议方式远程到此交换机了，如果需要限制远程登录的IP地址，还可以在vty 0 4远程虚拟端口中，通过应用acl策略的方式做IP地址限制。

PING.PE是一家专业的ping测试网站，可以测试各节点与目标服务器的连接情况，目前主要提供ping测试、TCP端口测试、dig测试三项服务。

1.PING.PE网站官方主页：http://ping.pe，打开网站后的界面如下图所示，会详细列出你的IP相关详细信息

2.使用ping测试时，在空白框内输入目标IP地址或域名地址，然后点击“Go”

3.测试ping google域名地址结果如下图所示，在“chart”这栏查看国外节点都是绿色，国内各节点都是红色，代表连接失败，基本可以判断地址被墙

4.点击节点“MTR”栏下的show可以查看相应节点至目标地址的连接路由

5.在ping.pe首页点击port选项可以测试特定端口TCP连接，用于排查一些地址可以ping通但是无法连接的情况，有可能是被TCP阻断了

6.如图测试说明国内外的TCP连接正常

7.在ping.pe首页点击dig选项可以测试目标域名及其IP地址，类似于DNS解析

8.在Host空白框中输入目标域名，其它项目默认即可，最后点击“Go”

9.如图可以查看地区节点对指定域名的解析情况