华为交换机各种配置十二实例
交换机配置(一)端口限速基本配置
华为3Com2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、
S3900、S3050、S5012、S5024、S5600系列:
华为交换机端口限速
2000_EI系列以上的交换机都可以限速!
限速不同的交换机限速的方式不一样!
2000_EI直接在端口视图下面输入LINE-RATE(4)参数可选!
端口限速配置
1功能需求及组网说明
端口限速配置
『配置环境参数』
1.PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24
『组网需求』
1.在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤
『S2000EI系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】
1.进入端口E0/1的配置视图
[SwitchA]interface Ethernet0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet0/1]line-rate outbound30
3.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet0/1]line-rate inbound16
【补充说明】
报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。
此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
『S2000-SI和S3000-SI系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。
【SwitchA相关配置】
1.进入端口E0/1的配置视图
[SwitchA]interface Ethernet0/1
2.对端口E0/1的出方向报文进行流量限速,限制到6Mbps
[SwitchA-Ethernet0/1]line-rate outbound2
3.对端口E0/1的入方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet0/1]line-rate inbound1
【补充说明】
对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。
此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。
『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。
【SwitchA相关配置】
1.进入端口E0/1的配置视图
[SwitchA]interface Ethernet0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet0/1]line-rate3
3.配置acl,定义符合速率限制的数据流
[SwitchA]acl number4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet0/1]traffic-limit inbound link-group40001exceed drop
【补充说明】
line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。
端口出入方向限速的粒度为1Mbps。
此系列交换机的具体型号包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T 和S5024G。
『S3528、S3552系列交换机端口限速配置流程』
使用以太网物理端口下面的traffic-shape和traffic-limit命令,分别来对该端口的出、入报文进行流量限速。
【SwitchA相关配置】
1.进入端口E0/1的配置视图
[SwitchA]interface Ethernet0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet0/1]traffic-shape32503250
3.配置acl,定义符合速率限制的数据流
[SwitchA]acl number4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet0/1]traffic-limit inbound link-group40001000150000150000 1000exceed drop
【补充说明】
此系列交换机的具体型号包括:S3528G/P和S3552G/P/F。
『S3900系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。
【SwitchA相关配置】
1.进入端口E1/0/1的配置视图
[SwitchA]interface Ethernet1/0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet1/0/1]line-rate3000
3.配置acl,定义符合速率限制的数据流
[SwitchA]acl number4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet1/0/1]traffic-limit inbound link-group40001000exceed drop 【补充说明】
line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。
端口出入方向限速的粒度为64Kbps。
此系列交换机的具体型号包括:S3924、S3928P/F/TP和S3952P。
『S5600系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。
【SwitchA相关配置】
1.进入端口E1/0/1的配置视图
[SwitchA]interface Ethernet1/0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet1/0/1]line-rate3000
3.配置acl,定义符合速率限制的数据流
[SwitchA]acl number4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet1/0/1]traffic-limit inbound link-group40001000exceed drop 【补充说明】
line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。
端口出入方向限速的粒度为64Kbps。
此系列交换机的具体型号包括:S5624P/F和S5648P。
交换机配置(二)端口绑定基本配置
1,端口+MAC
a)AM命令
使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。例如:[SwitchA]am user-bind mac-address00e0-fc22-f8d3interface Ethernet0/1
配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。
b)mac-address命令
使用mac-address static命令,来完成MAC地址与端口之间的绑定。例如:[SwitchA]mac-address static00e0-fc22-f8d3interface Ethernet0/1vlan1 [SwitchA]mac-address max-mac-count0
配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。
2,IP+MAC
a)AM命令
使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。例如:[SwitchA]am user-bind ip-address10.1.1.2mac-address00e0-fc22-f8d3
配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP 地址或者MAC地址不同的PC机,在任何端口都无法上网。
支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、
S3526E/C/EF、S5012T/G、S5024G
b)arp命令
使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定。例如:
[SwitchA]arp static10.1.1.200e0-fc22-f8d3
配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。
3,端口+IP+MAC
使用特殊的AM User-bind命令,来完成IP、MAC地址与端口之间的绑定。例如:[SwitchA]am user-bind ip-address10.1.1.2mac-address00e0-fc22-f8d3interface Ethernet0/1
配置说明:可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC 地址可以在其他端口上网。
支持型号:S3026E/S3026E-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;
E3026;E050;S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、
S6500(3代引擎)
交换机配置(三)ACL基本配置
1,二层ACL
.组网需求:
通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:
(1)定义时间段
#定义8:00至18:00的周期时间段。
[Quidway]time-range huawei8:00to18:00daily
(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL
#进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway]acl name traffic-of-link link
#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-link-traffic-of-link]rule1deny ingress00e0-fc01-01010-0-0egress
00e0-fc01-03030-0-0time-range huawei
(3)激活ACL。
#将traffic-of-link的ACL激活。
[Quidway-GigabitEthernet0/1]packet-filter link-group traffic-of-link
2,三层ACL
a)基本访问控制列表配置案例
.组网需求:
通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。
.配置步骤:
(1)定义时间段
#定义8:00至18:00的周期时间段。
[Quidway]time-range huawei8:00to18:00daily
(2)定义源IP为10.1.1.1的ACL
#进入基于名字的基本访问控制列表视图,命名为traffic-of-host。[Quidway]acl name traffic-of-host basic
#定义源IP为10.1.1.1的访问规则。
[Quidway-acl-basic-traffic-of-host]rule1deny ip source10.1.1.10time-range huawei
(3)激活ACL。
#将traffic-of-host的ACL激活。
[Quidway-GigabitEthernet0/1]packet-filter inbound ip-group traffic-of-host
b)高级访问控制列表配置案例
.组网需求:
公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。
.配置步骤:
(1)定义时间段
#定义8:00至18:00的周期时间段。
[Quidway]time-range huawei8:00to18:00working-day
(2)定义到工资服务器的ACL
#进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。[Quidway]acl name traffic-of-payserver advanced
#定义研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver]rule1deny ip source any destination 129.110.1.20.0.0.0time-range huawei
(3)激活ACL。
#将traffic-of-payserver的ACL激活。
[Quidway-GigabitEthernet0/1]packet-filter inbound ip-group traffic-of-payserver 3,常见病毒的ACL
创建acl
acl number100
禁ping
rule deny icmp source any destination any
用于控制Blaster蠕虫的传播
rule deny udp source any destination any destination-port eq69
rule deny tcp source any destination any destination-port eq4444
用于控制冲击波病毒的扫描和攻击
rule deny tcp source any destination any destination-port eq135
rule deny udp source any destination any destination-port eq135
rule deny udp source any destination any destination-port eq netbios-ns
rule deny udp source any destination any destination-port eq netbios-dgm
rule deny tcp source any destination any destination-port eq139
rule deny udp source any destination any destination-port eq139
rule deny tcp source any destination any destination-port eq445
rule deny udp source any destination any destination-port eq445
rule deny udp source any destination any destination-port eq593
rule deny tcp source any destination any destination-port eq593
用于控制振荡波的扫描和攻击
rule deny tcp source any destination any destination-port eq445
rule deny tcp source any destination any destination-port eq5554
rule deny tcp source any destination any destination-port eq9995
rule deny tcp source any destination any destination-port eq9996
用于控制Worm_MSBlast.A蠕虫的传播
rule deny udp source any destination any destination-port eq1434
下面的不出名的病毒端口号(可以不作)
rule deny tcp source any destination any destination-port eq1068
rule deny tcp source any destination any destination-port eq5800
rule deny tcp source any destination any destination-port eq5900
rule deny tcp source any destination any destination-port eq10080
rule deny tcp source any destination any destination-port eq455
rule deny udp source any destination any destination-port eq455
rule deny tcp source any destination any destination-port eq3208
rule deny tcp source any destination any destination-port eq1871
rule deny tcp source any destination any destination-port eq4510
rule deny udp source any destination any destination-port eq4334
rule deny tcp source any destination any destination-port eq4331
rule deny tcp source any destination any destination-port eq4557
然后下发配置
packet-filter ip-group100
目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。
NE80的配置:
NE80(config)#rule-map r1udp any any eq1434
//r1为role-map的名字,udp为关键字,any any所有源、目的IP,eq为等于,1434为udp端口号
NE80(config)#acl a1r1deny
//a1为acl的名字,r1为要绑定的rule-map的名字,
NE80(config-if-Ethernet1/0/0)#access-group acl a1
//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字
NE16的配置:
NE16-4(config)#firewall enable all
//首先启动防火墙
NE16-4(config)#access-list101deny udp any any eq1434
//deny为禁止的关键字,针对udp报文,any any为所有源、目的IP,eq为等于,1434为udp端口号
NE16-4(config-if-Ethernet2/2/0)#ip access-group101in
//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文
中低端路由器的配置
[Router]firewall enable
[Router]acl101
[Router-acl-101]rule deny udp source any destion any destination-port eq1434 [Router-Ethernet0]firewall packet-filter101inbound
6506产品的配置:
旧命令行配置如下:
6506(config)#acl extended aaa deny protocol udp any any eq1434
6506(config-if-Ethernet5/0/1)#access-group aaa
国际化新命令行配置如下:
[Quidway]acl number100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway-acl-adv-100]quit
[Quidway]interface ethernet5/0/1
[Quidway-Ethernet5/0/1]packet-filter inbound ip-group100not-care-for-interface 5516产品的配置:
旧命令行配置如下:
5516(config)#rule-map l3aaa protocol-type udp ingress any egress any eq1434 5516(config)#flow-action fff deny
5516(config)#acl bbb aaa fff
5516(config)#access-group bbb
国际化新命令行配置如下:
[Quidway]acl num100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway]packet-filter ip-group100
3526产品的配置:
旧命令行配置如下:
rule-map l3r10.0.0.00.0.0.01.1.0.0255.255.0.0eq1434
flow-action f1deny
acl acl1r1f1
access-group acl1
国际化新命令配置如下:
acl number100
rule0deny udp source0.0.0.00source-port eq1434destination1.1.0.00
packet-filter ip-group101rule0
注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0255.255.0.0是内网的地址段。
8016产品的配置:
旧命令行配置如下:
8016(config)#rule-map intervlan aaa udp any any eq1434
8016(config)#acl bbb aaa deny
8016(config)#access-group acl bbb vlan10port all
国际化新命令行配置如下:
8016(config)#rule-map intervlan aaa udp any any eq1434
8016(config)#eacl bbb aaa deny
8016(config)#access-group eacl bbb vlan10port all
防止同网段ARP欺骗的ACL
一、组网需求:
1.二层交换机阻止网络用户仿冒网关IP的ARP攻击
二、组网图:
图1二层交换机防ARP攻击组网
S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文。
三、配置步骤
对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。
全局配置ACL禁止所有源IP是网关的ARP报文
acl num5000
rule0deny0806ffff2464010101ffffffff40
rule1permit0806ffff24000fe2003999ffffffffffff34
其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999。
注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。
在S3026C-A系统视图下发acl规则:
[S3026C-A]packet-filter user-group5000
这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。
三层交换机实现仿冒网关的ARP防攻击
一、组网需求:
1.三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击
二、组网图
图2三层交换机防ARP攻击组网
三、配置步骤
1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL 规则:
acl number5000
rule0deny0806ffff2464010105ffffffff40
rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是
网关IP地址100.1.1.5的16进制表示形式。
2.下发ACL到全局
[S3526E]packet-filter user-group5000
仿冒他人IP的ARP防攻击
一、组网需求:
作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤。
二、组网图:
参见图1和图2
三、配置步骤:
1.如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac(000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习到错误的arp,如下所示:
---------------------错误arp表项--------------------------------
IP Address MAC Address VLAN ID Port Name Aging Type
100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic
100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic
从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击:
arp static100.1.1.3000f-3d81-45b41e0/8
2.在图2S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。
3.对于二层设备(S3050C和S3026E系列),除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作:
am user-bind ip-addr100.1.1.4mac-addr000d-88f8-09fa int e0/4
则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。
四、配置关键点:
此处仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。
5,关于ACL规则匹配的说明
a)ACL直接下发到硬件中的情况
交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用。
ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。
b)ACL被上层模块引用的情况
交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL子规则的匹配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。
ACL被软件引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL 等。
交换机配置(四)密码恢复
说明:以下方法将删除原有config文件,使设备恢复到出厂配置。
在设备重启时按Ctrl+B进入BOOT MENU之后,
Press Ctrl-B to enter Boot Menu (5)
Password:缺省为空,回车即可
1.Download application file to flash
2.select application file to boot
3.Display all files in flash
4.Delete file from Flash
5.Modify bootrom password
0.Reboot
Enter your choice(0-5):4选择4
No.File Name File Size(bytes)
=================================================== ========================
1S3026CGSSI.btm257224
2wnm2.2.2-0005.zip447827
3snmpboots4
4*R0023P01.app2985691
5hostkey428
6serverkey572
7vrpcfg.txt1281
Free Space:3452928bytes
The current application file is R0023P01.app
Please input the file number to delete:7选择7,删除当前的配置文件Do you want to delete vrpcfg.txt now?Yes or No(Y/N)y
Delete file....done!
BOOT MENU
1.Download application file to flash
2.select application file to boot
3.Display all files in flash
4.Delete file from Flash
5.Modify bootrom password
0.Reboot
Enter your choice(0-5):0选择0,重启设备
注:删除之后交换机就恢复了出厂配置。
交换机配置(五)三层交换配置
1,三层交换数据包转发流程图:
2,三层交换机配置实例:
服务器1双网卡,内网IP:192.168.0.1,其它计算机通过其代理上网PORT1属于VLAN1
PORT2属于VLAN2
PORT3属于VLAN3
VLAN1的机器可以正常上网
配置VLAN2的计算机的网关为:192.168.1.254
配置VLAN3的计算机的网关为:192.168.2.254
即可实现VLAN间互联
如果VLAN2和VLAN3的计算机要通过服务器1上网
则需在三层交换机上配置默认路由
系统视图下:ip route-static0.0.0.00.0.0.0192.168.0.1
然后再在服务器1上配置回程路由
进入命令提示符
route add192.168.1.0255.255.255.0192.168.0.254
route add192.168.2.0255.255.255.0192.168.0.254
这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~
3,三层交换机VLAN之间的通信
VLAN的划分应与IP规划结合起来,使得一个VLAN接口IP就是对应的子网段就是某个部门的子网段,VLAN接口IP就是一个子网关。VLAN应以部门划分,相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围,同属于一个VLAN。这样不仅在安全上有益,而且更方便网络管理员的管理和监控。注意:各VLAN中的客户机的网关分别对应各VLAN的接口IP。
在这企业网中计划规划四个VLAN子网对应着四个重要部门,笔者认为这也是小企业最普遍的部门结构,分别是:
VLAN10——综合行政办公室;
VLAN20——销售部;
VLAN30——财务部;
VLAN40——数据中心(网络中心)。
划分VLAN以后,要为每一个VLAN配一个“虚拟接口IP地址”。
VLAN10——192.168.10.1
VLAN20——192.168.20.1
VLAN30——192.168.30.1
VLAN40——192.168.40.1
拓朴图如下:
VLAN及路由配置
1.DES-3326SR三层交换机的VLAN的配置过程:
(1)创建VLAN
DES-3326SR#Config vlan default delete1-24?删除默认VLAN(default)包含的端口1-24''
DES-3326SR#Create vlan vlan10tag10?创建VLAN名为vlan10,并标记VID为10
DES-3326SR#Create vlan vlan20tag20?创建VLAN名为vlan20,并标记VID为20
DES-3326SR#Create vlan vlan30tag30?创建VLAN名为vlan10,并标记VID为30
DES-3326SR#Create vlan vlan40tag40?创建VLAN名为vlan10,并标记VID为40
(2)添加端口到各VLAN
DES-3326SR#Config vlan vlan10add untag1-6?把端口1-6添加到VLAN10
DES-3326SR#Config vlan vlan20add untag7-12?把端口1-6添加到VLAN20 DES-3326SR#Config vlan vlan30add untag13-18?把端口1-6添加到VLAN30 DES-3326SR#Config vlan vlan40add untag19-24?把端口1-6添加到VLAN40(3)创建VLAN接口IP
DES-3326SR#Create ipif if10192.168.10.1/24VLAN10state enabled?创建虑拟的接口if10给名为VLAN10的VLAN子网,并且指定该接口的IP为
192.168.10.1/24。创建后enabled激活该接口。
同样方法设置其它的接口IP:
DES-3326SR#Create ipif if20192.168.20.1/24VLAN20state enabled
DES-3326SR#Create ipif if30192.168.30.1/24VLAN30state enabled
DES-3326SR#Create ipif if40192.168.40.1/24VLAN40state enabled
(4)路由
当配置三层交换机的三层功能时,如果只是单台三层交换机,只需要配置各VLAN 的虚拟接口就行,不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现,因此不需要静态路由或动态路由协议的配置。
2.DES-3226S二层交换机的VLAN的配置过程:
(1)创建VLAN
DES-3226S#Config vlan default delete1-24?删除默认VLAN(default)包含的端口1-24''
DES-3226S#Create vlan vlan10tag10?创建VLAN名为vlan10,并标记VID为10(2)添加端口到各VLAN
DES-3226S#Config vlan vlan10add untag1-24?把端口1-24添加到VLAN10
同理,配置其它DES-3226S二层交换机。完成以后就可以将各个所属VLAN的二层交换机与DES-3326SR三层交换机的相应VLAN的端口连接即可。
交换机配置(六)端口镜像配置
【3026等交换机镜像】
S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:
方法一
1.配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2.配置被镜像端口
[SwitchA]port mirror Ethernet0/1to Ethernet0/2
方法二
1.可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet0/1to Ethernet0/2observing-port Ethernet0/8【8016交换机端口镜像配置】
1.假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
[SwitchA]port monitor ethernet1/0/15
2.设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA]port mirroring ethernet1/0/0both ethernet1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1.设置E1/0/15和E2/0/0为镜像(观测)端口
[SwitchA]port monitor ethernet1/0/15
2.设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
[SwitchA]port mirroring gigabitethernet1/0/0ingress ethernet1/0/15 [SwitchA]port mirroring gigabitethernet1/0/0egress ethernet2/0/0
『基于流镜像的数据流程』
基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。
【3500/3026E/3026F/3050】
〖基于三层流的镜像〗
1.定义一条扩展访问控制列表
[SwitchA]acl num101
2.定义一条规则报文源地址为1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-101]rule0permit ip source1.1.1.10destination any
3.定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32
[SwitchA-acl-adv-101]rule1permit ip source any destination1.1.1.10
4.将符合上述ACL规则的报文镜像到E0/8端口
[SwitchA]mirrored-to ip-group101interface e0/8
〖基于二层流的镜像〗
1.定义一个ACL
[SwitchA]acl num200
2.定义一个规则从E0/1发送至其它所有端口的数据包
[SwitchA]rule0permit ingress interface Ethernet0/1(egress interface any)
3.定义一个规则从其它所有端口到E0/1端口的数据包
[SwitchA]rule1permit(ingress interface any)egress interface Ethernet0/1
4.将符合上述ACL的数据包镜像到E0/8
[SwitchA]mirrored-to link-group200interface e0/8
【5516】
支持对入端口流量进行镜像
配置端口Ethernet3/0/1为监测端口,对Ethernet3/0/2端口的入流量镜像。[SwitchA]mirror Ethernet3/0/2ingress-to Ethernet3/0/1
【6506/6503/6506R】
目前该三款产品只支持对入端口流量进行镜像,虽然有outbount参数,但是无法配置。
镜像组名为1,监测端口为Ethernet4/0/2,端口Ethernet4/0/1的入流量被镜像。[SwitchA]mirroring-group1inbound Ethernet4/0/1mirrored-to Ethernet4/0/2
【补充说明】
1.镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M
端口,反之则无法实现
2.8016支持跨单板端口镜像
华为各种型号交换机端口镜像配置方法总结
有不少朋友在问华为交换机镜像方面的问题。通过本人现有的资料和文档,现把各种型号的交换机镜像方法总结一下。以便各位朋友能够方便查阅!在学配置之前,对于端口镜像的基本概念还是要一定的了解!
一、端口镜像概念:
Port Mirror(端口镜像)是用于进行网络性能监测。可以这样理解:在端口A和端口B 之间建立镜像关系,这样,通过端口A传输的数据将同时复制到端口B,以便于在端口B上连接的分析仪或者分析软件进行性能分析或故障判断。
二、端口镜像配置
『环境配置参数』
1.PC1接在交换机E0/1端口,IP地址1.1.1.1/24
2.PC2接在交换机E0/2端口,IP地址2.2.2.2/24
3.E0/24为交换机上行端口
4.Server接在交换机E0/8端口,该端口作为镜像端口
『组网需求』
1.通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。
2.按照镜像的不同方式进行配置:
1)基于端口的镜像
2)基于流的镜像
2数据配置步骤
『端口镜像的数据流程』
基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
【3026等交换机镜像】
S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:
方法一
1.配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2.配置被镜像端口
[SwitchA]port mirror Ethernet0/1to Ethernet0/2
方法二
1.可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet0/1to Ethernet0/2observing-port Ethernet0/8【8016交换机端口镜像配置】
1.假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
[SwitchA]port monitor ethernet1/0/15
2.设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA]port mirroring ethernet1/0/0both ethernet1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1.设置E1/0/15和E2/0/0为镜像(观测)端口
[SwitchA]port monitor ethernet1/0/15
2.设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
[SwitchA]port mirroring gigabitethernet1/0/0ingress ethernet1/0/15 [SwitchA]port mirroring gigabitethernet1/0/0egress ethernet2/0/0
『基于流镜像的数据流程』
基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。
【3500/3026E/3026F/3050】
〖基于三层流的镜像〗
1.定义一条扩展访问控制列表
[SwitchA]acl num100
2.定义一条规则报文源地址为1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-101]rule0permit ip source1.1.1.10destination any
3.定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32
[SwitchA-acl-adv-101]rule1permit ip source any destination1.1.1.10
4.将符合上述ACL规则的报文镜像到E0/8端口
[SwitchA]mirrored-to ip-group100interface e0/8
〖基于二层流的镜像〗
1.定义一个ACL
[SwitchA]acl num200
2.定义一个规则从E0/1发送至其它所有端口的数据包
[SwitchA]rule0permit ingress interface Ethernet0/1egress interface Ethernet0/2 3.定义一个规则从其它所有端口到E0/1端口的数据包
[SwitchA]rule1permit ingress interface Ethernet0/2egress interface Ethernet0/1 4.将符合上述ACL的数据包镜像到E0/8
[SwitchA]mirrored-to link-group200interface e0/8
【5516/6506/6503/6506R】
目前该三款产品支持对入端口流量进行镜像
1.定义镜像端口
[SwitchA]monitor-port Ethernet3/0/2
2.定义被镜像端口
[SwitchA]mirroring-port Ethernet3/0/1inbound
【补充说明】
1.镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M 端口,反之则无法实现
2.8016支持跨单板端口镜像端口镜像配置
『环境配置参数』
交换机配置(七)DHCP配置
1,交换机作DHCP Server
『配置环境参数』
1.PC1、PC2的网卡均采用动态获取IP地址的方式
2.PC1连接到交换机的以太网端口0/1,属于VLAN10;PC2连接到交换机的以太网端口0/2,属于VLAN20
3.三层交换机SwitchA的VLAN接口10地址为10.1.1.1/24,VLAN接口20地址为10.1.2.1/24
『组网需求』
1.PC1可以动态获取10.1.1.0/24网段地址,并且网关地址为10.1.1.1;PC2可以动态获取10.1.
2.0/24网段地址,并且网关地址为10.1.2.1
『DHCP Server配置流程流程』
可以完成对直接连接到三层交换机的PC机分配IP地址,也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址。
分配地址的方式可以采用接口方式,或者全局地址池方式。
【SwitchA采用接口方式分配地址相关配置】
1.创建(进入)VLAN10
[SwitchA]vlan10
2.将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet0/1
3.创建(进入)VLAN接口10
[SwitchA]interface Vlan-interface10
4.为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address10.1.1.1255.255.255.0
5.在VLAN接口10上选择接口方式分配IP地址
[SwitchA-Vlan-interface10]dhcp select interface
6.禁止将PC机的网关地址分配给用户
[SwitchA]dhcp server forbidden-ip10.1.1.1
【SwitchA采用全局地址池方式分配地址相关配置】
1.创建(进入)VLAN10
[SwitchA]vlan10
2.将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet0/1
3.创建(进入)VLAN接口10
[SwitchA]interface Vlan-interface10
4.为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address10.1.1.1255.255.255.0
5.在VLAN接口10上选择全局地址池方式分配IP地址
[SwitchA-Vlan-interface10]dhcp select global
6.创建全局地址池,并命名为”vlan10”
[SwitchA]dhcp server ip-pool vlan10
7.配置vlan10地址池给用户分配的地址范围以及用户的网关地址
[SwitchA-dhcp-vlan10]network10.1.1.0mask255.255.255.0
[SwitchA-dhcp-vlan10]gateway-list10.1.1.1
8.禁止将PC机的网关地址分配给用户
[SwitchA]dhcp server forbidden-ip10.1.1.1
【补充说明】
以上配置以VLAN10的为例,VLAN20的配置参照VLAN10的配置即可。在采用全局地址池方式时,需新建一个与”vlan10”不同名的全局地址池。
经过以上配置,可以完成为PC1分配的IP地址为10.1.1.0/24,同时PC1的网关地址为10.1.1.1;为PC2分配的IP地址为10.1.2.0/24,同时PC2的网关地址为
10.1.2.1。
VLAN接口默认情况下以全局地址池方式进行地址分配,因此当VLAN接口配置了以全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的VLAN接口下无法看到有关DHCP的配置。
利用全局地址池方式,可以完成为用户分配与三层交换机本身VLAN接口地址不同网段的IP地址。
2,DHCP Relay配置
『配置环境参数』
1.DHCP Server的IP地址为19
2.168.0.10/24
2.DHCP Server连接在交换机的G1/1端口,属于vlan100,网关即交换机vlan接口100的地址192.168.0.1/24
3.E0/1-E0/10属于vlan10,网段地址10.10.1.1/24
4.E0/11-E0/20属于vlan20,网段地址10.10.2.1/24
『组网需求』
1.在SwitchA上配置DHCP Relay使下面用户动态获取指定的相应网段的IP地址
2.PC1、PC2均可以ping通自己的网关,同时PC1、PC2之间可以互访
『交换机DHCP Relay配置流程』
DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况,通过Relay,不同子网的用户可以到同一个DHCP Server申请IP地址,这样便于地址池的管理和维护。
【SwitchA相关配置】
1.全局使能DHCP功能(缺省情况下,DHCP功能处于使能状态)
[SwitchA]dhcp enable
2.创建(进入)VLAN100
[SwitchA]vlan100
3.将G1/1加入到VLAN100
[SwitchA-vlan100]port GigabitEthernet1/1
4.创建(进入)VLAN接口100
[SwitchA]interface Vlan-interface100
5.为VLAN接口100配置IP地址
[SwitchA-Vlan-interface100]ip address192.168.0.1255.255.255.0
6.创建(进入)VLAN10
[SwitchA]vlan10
7.将E0/1-E0/10加入到VLAN10
[SwitchA-vlan10]port Ethernet0/1to Ethernet0/10
8.创建(进入)VLAN接口10
[SwitchA]interface Vlan-interface10
9.为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address10.10.1.1255.255.255.0
10.使能VLAN接口10的DHCP中继功能
[SwitchA-Vlan-interface10]dhcp select relay
11.为VLAN接口10配置DHCP服务器的地址
[SwitchA-Vlan-interface10]ip relay address192.168.0.10
12.创建(进入)VLAN20
[SwitchA-vlan10]vlan20
13.将E0/11-E0/20加入到VLAN20
[SwitchA-vlan20]port Ethernet0/11to Ethernet0/20
14.创建(进入)VLAN接口20
[SwitchA]interface Vlan-interface20
15.为VLAN接口20配置IP地址
[SwitchA-Vlan-interface20]ip address10.10.2.1255.255.255.0
16.使能VLAN接口20的DHCP中继功能
[SwitchA-Vlan-interface20]dhcp select relay
17.为VLAN接口20配置DHCP服务器的地址
[SwitchA-Vlan-interface20]ip relay address192.168.0.10
【补充说明】
也可以在全局配置模式下,使能某个或某些VLAN接口上的DHCP中继功能,例如:[SwitchA]dhcp select relay interface Vlan-interface10
3,DHCP Snooping
『配置环境参数』
1.DHCP Server连接在交换机SwitchA的G1/1端口,属于vlan10,IP地址为10.10.1.253/24
2.端口E0/1和E0/2同属于vlan10
『组网需求』
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
华为交换机基本配置 Hessen was revised in January 2021
1、华为设备配置基本命令 用户名密码为 yayd yamobile
[HW-group-group]port link-type-access //将端口组定义为access口 [HW-group-group]port default vlan 440 //将vlan440加入该端口组 [HW-group-group]quit [HW]interface ethernet 0/0/21 //进入网口21 [HW-Eth0/0/21]port link-type trunk //将网口21定义为trunk 口 [HW-Eth0/0/21]port trunk allow-pass vlan 338 440 //该端口仅允许vlan338 440通过 [HW-Eth0/0/21]quit [HW]interface gigabitethernet 0/0/1 //进入光口1 [HW-G0/0/1]port link-type trunk //将光口1定义为trunk端口 [HW-G0/0/1]port trunk allow-pass vlan 70 338 440 //该端口允许vlan70,338,440通过。 [HW-G0/0/1]quit [HW]save //保存 2、华为设备故障处理基本命令 1)查看交换机端口状态 2)查看交换机端口描述
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess(注:接口类型access,hybrid、trunk) [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组)vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变DS模块来实现(关闭配置后的确认信息显示) info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现(打开配置后的确认信息显示)
华为交换机配置实用手册 实验一使用华为Quidway系列交换机简单组网1.1实验目的 1.掌握华为Quidway系列交换机上的基本配置命令; 2.掌握VLAN的原理和配置; 3.掌握端口聚合(Link Aggregation)的原理和配置; 4.掌握生成树协议(STP)的原理和配置; 5.掌握GVRP协议的原理和配置; 6.掌握三层交换机和访问控制列表(ACL)的原理和配置; 7.掌握如何从PC机或其他交换机远程配置某交换机。 1.2实验环境 Quidway S3026以太网交换机2台,Quidway S3526以太网交换机1台, PC机4台,标准网线6根 Quidway S3026软件版本:V100R002B01D011;Bootrom版本:V1.1 Quidway S3526软件版本:V100R001B02D006;Bootrom版本:V3.0 1.3实验组网图 在下面的每个练习中给出。 1.4实验步骤 1.4.1VLAN配置 首先依照下面的组网图将各实验设备相连,然后正确的配置各设备的IP地址。有两台Quidway S3026交换机和四台PC机。每台PC机的IP地址指定如下: PCA:10.1.1.1 PCB:10.1.2.1 PCC:10.1.1.2 PCD:10.1.2.2 掩码:255.255.255.0 请完成以下步骤: 1、如上图所示,配置四台PC机属于各自的VLAN。 2、将某些端口配置成trunk端口,并允许前面配置的所有VLAN通过。 3、测试同一VLAN中的PC机能否相互Ping通。 配置如下: SwitchA: SwitchA(config)#vlan 2//创建VLAN2 SwitchA(config-vlan2)#switchport ethernet0/9//将以太口9划入VLAN2 SwitchA(config-vlan2)#vlan3//创建VLAN3
华为交换机各种配置实例[网管必学 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
最新华为交换机常用配置实例 2016最新华为交换机常用配置实例 华为交换机常用配置实例 sys进入到系统视图 Entersystemview,returntouserviewwithCtrl+Z. [Quidway]user-interfaceaux0 [Quidway-ui-aux0]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-aux0]qu [Quidway]local-userhuawei增加用户名 Newlocaluseradded. [Quidway-luser-huawei]passwordsimplehuawei配置密码,且密码不加密 [Quidway-luser-huawei]service-typetelnetsshlevel3 服务类型为SSH和telnet,且用户登陆后权限为管理员权限 [Quidway-luser-huawei]qu [Quidway]user-interfacevty04 [Quidway-ui-vty0-4]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-vty0-4]
save 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如)。 键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入"?" 2、命令视图 (1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入 (2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view (3)以太网端口视图(配置以太网端口参数)[Quidway- Ethernet0/1]:在系统视图下键入interfaceethernet0/1 (4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan1 (5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参 数)[Quidway-Vlan-interface1]:在系统视图下键入 interfacevlan-interface1 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-useruser1
华为的交换机基本配置命令很多,在此,yjbys小编为大家带来的是最新交换机的配置命令,希望对同学们考试有帮助! 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件 reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123 设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接 [Quidway-Ethernet1/0/1]port link-type {trunk|access|hybrid} 设置端口工作模式 [Quidway-Ethernet1/0/1]undo shutdown 激活端口 [Quidway-Ethernet1/0/2]quit 退出系统视图 5、链路聚合配置
交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为、 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率 限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的 粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的 级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图
1:配置登录用户,口令等 vQuidway> // 用户直行模式提示符,用户视图 vQuidway>system-view // 进入配置视图 [Quidway] // 配置视图(配置密码后必须输入密码才可进入配置视图)[Quidway] sysname xxx // 设置主机名成为xxx这里使用 [Quidway] aaa // 进入aaa认证模式定义用户账户 [Quidway-aaa] local-user wds password cipher wds [Quidway-aaa] local-user wds level 15 [Quidway-aaa] local-user wds service-type telnet term inal ssh // 有时候这个命令是最先可以运 // 行的,上边两个命令像password,level都是定义完vty 的 // authe nticati on-m ode aaa 后才出现 [Quidway-aaa] quit [Quidway] user-i nteface vty 0 4 // 当时很奇怪这个命令就是找不到,最后尝试了几次 才能运行 [Quidway-ui-vtyO-4] authe nticati on-m ode aaa [Quidway-ui-vtyO-4] quit 2 :华为S930 3 VLan设置 创建vlan :
华为s5720-48交换机配置
dhcp enable # radius-server template default # free-rule-template name default_free_rule # portal-access-profile name portal_access_profile # aaa authentication-scheme default authentication-scheme radius authentication-mode radius authorization-scheme default accounting-scheme default local-aaa-user password policy administrator password expire 0 domain default authentication-scheme radius radius-server default domain default_admin authentication-scheme default local-user admin password irreversible-cipher
实验三华为交换机配置 【实验题目】 华为交换机配置 【实验课时】 2课时。 【实验目的】 1.了解华为交换机的基本端口以及IOS软件。 2.掌握华为交换机的配置途径。 3.掌握华为交换机的三种访问方式。 4.掌握华为交换机初始设置。 【实验环境】 华为交换机一台(型号不限)、PC机一台,操作系统要为Windows 98/NT/2000/xp,装有超级终端软件;Console 电缆1条。 【实验内容和主要步骤】 一、交换机配置途径 一般来说,可以用5种方式来设置交换机: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但交换机的第一次设置必须通过第1种方式进行;这时终端的硬件设置为波特率:9600,数据位:8,停止位:1,无校验。
二、交换机的几种基本访问模式: 一台新交换机开机时自动进入的状态,这时可通过对话方式对交换机进行设置。利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后,交换机首先会显示一些提示信息, 华为交换机基本配置过程 一:交换机基本配置: 1.进入2403交换机,进入用户模式。 2.在命令提示符“>”下,键入“system-view”并回车。 3.键入“display courrent-config”,察看当前配置情况,注意这是缺省值。(有可能是display courrent-config,因为版本不一)。 4.键入“display version”参看交换机上IOS版本。 5.设置2403交换机名称,使用“sysname”命令(也有可能是hostname命令)。 如:Hostname 2403A(此交换机名为2403A)。 6.使用display interface来察看关于全部接口的统计表。 7.使用display int ?来察看所有可用的以太网和快速以太网的命令。 8.使用display int Ethernet ? 9. 使用display int e 0/2 来察看关于2接口的统计表 10. 使用reset saved-configuration 删除flash或NVRAM中的配置信息。保持默认信息。请大家不要轻易使用。.
为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如
华为交换机各种配置实例 交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate 3 3. 配置acl,定义符合速率限制的数据流
华为交换机的应用 精网科技 交换的概述 @交换是指在一个接口上收到数据帧并且从另一个接口上将该数据帧发送出去的过程。 @交换机是二层的设备,它用来解决带宽不足和网络瓶颈的问题,主要作为工作站、服务器、路由器、集线器和其它交换机的集中点。它可以看作是一个多端口的网桥,为所连接的两台网络设备提供一条独享的虚电路,因此避免了冲突。可工作在全双工模式下,意味着可同时收发数据。 @交换机是根据MAC地址传递数据帧的的二层设备。它不能处理三层地址信息。所以交换机的操作与网络层使用什么样的协议无关。 @交换机把大的网络细分成若干微分段,以减小冲突域的大小,即每个接口是一个冲突域。但所有接口仍在一个广播域内。可以认为交换机是硬件桥,而网桥是软件的。交换机与网桥的区分是:网桥最多16个端口,但交换机可有很多端口,这一个缺点,足可以彻底打败网桥。 @网络中的通信分为三种,单播,组播,广播。(举例) 网络环境大的时候,所有主机都在一个广播域内网络性能会很差,所
以这样一来,靠划分微分段的方法已经不行,而常用的就是用交换机在二层隔离广播帧的VLAN技术,实现二层广播域的划分,以后会讲到。 @路由器在网络中的位置,我们用路由器把交换的网络分成若干广播域。这样可以避免广播风暴。路由器的使用大约给网络造成的延迟是20-30%,因为路由器会在三层上根据逻辑地址来做路由。所以造成延迟。 @以太交换机的反应时间。是指一个数据帧从进入交换机开始到离开交换机的这段时间。此时间的长短取决于在交换机上配置的交换操作的类型,以及网络上通过交换机的流量。交换机每秒都会处理海量数据,所以每个数据帧的交换时间哪怕有十亿分之一秒的延迟,对交换机来说都会影响整体的性能。 @交换机与HUB的区别。从内部结构上看,HUB是总线,而SWITCH 内部是每个接口与另外的接口都有连通线。(画图示意一下)再一个就是数据流通的带宽。比如:10M的HUB和10M的SWITH @三层交换机是在二层交换机的基础上融合了三层路由功能的交换机,它不但能基于MAC地址转发数据帧,还能根据数据包的IP地址为数据包提供路由服务。 @对称和不对称交换 100M和10M图13-2、3 @以太交换机的基本功能
2综合配置案例关于本章 2.1 中小型园区/分支出口综合配置举例 2.2 大型园区出口配置示例(防火墙直连部署) 2.3 大型园区出口配置示例(防火墙旁路部署) 2.4 校园敏捷网络配置示例 2.5 轨道交通承载网快速自愈保护技术配置举例 2.6 配置交换机上同时部署ACU2和NGFW的示例
2.1 中小型园区/分支出口综合配置举例 园区网出口简介 园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之 间数据流的唯一出入口。对于中小型企业来说,考虑到企业网络建设的初期投资与长 期运维成本,一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访 问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用 运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络,一般考虑部 署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路 由等技术保证园区出口的可靠性。华为AR系列路由器配合华为S系列交换机是中小型 园区网出口设备的理想解决方案。 l园区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需 求。 l园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求。 l园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全。 l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。 配置注意事项 l本配置案例适用于中小型企业园区/分支出口解决方案。 l本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。 组网需求 某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部 门,分支只有一个部门。现在需要建设跨地域的企业园区网络,需要实现的需求如 下: l总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门,其中A部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户 都可以访问Internet。 l总部有Web服务器,对外提供WWW服务,外网用户可以访问内网服务器。 l总部和分支之间需要通过Internet进行私网VPN互通,通信内容需要有安全保护。 l总部园区出口可靠性要求较高,需要考虑链路级的可靠性和设备级的可靠性。 l分支可以适当降低可靠性要求。 方案介绍 根据用户需求,可以给出如图2-1所示的综合配置解决方案,该方案具备层次化、模块 化、冗余性、安全性的特点,适用于中小型企业/分支的园区网络部署。
恢复出厂设置:
ip address 10.120.3.1 255.255.255.0 ///////////////////////////////////////////////////////////////////// management-vlan 1571 interface vlan 1571 ip address 10.120.211.1 255.255.255.0 //////////////////////////////////////////// Switch#con term Switch(config)#inter inter vlan 1166 Switch(config-if)#ip addresss 10.120.6.3 255.255.255.0 Switch(config-if)#exit Switch(config)#ip default-gateway 10.120.6.254 幼儿园的交换机 DHCP服务器210.36.64.80的设置:
新建作用域。。。业务VLAN 核心交换机端的设置: 1、
华为交换机配置实例 序号注意项目记录 1 登录交换机时请注意在超级终端串口配置属性流控选择“无” 2 启动时按”ctrl+B”可以进入到boot menu模式 3 当交换机提示”Please Press ENTER”,敲完回车后请等待一下,设备需要一定的时间才 能进入到命令行界面(具体的时间视产品而定) 4 请在用户视图(如
1 基本操作 1.1 常用命令新旧对照列表 常用命令新旧对照表 旧新旧新 show display access-list acl no undo acl eacl exit quit write save show version disp version erase reset show run disp current-configuration show tech-support disp diagnostic-information show start disp saved-configuration router ospf ospf router bgp bgp router rip rip hostname sysname user local-user 0 simple 7 cipher mode link-type multi hybrid 注意: ITCH会自动识别不完整词 1. disp是display的缩写,在没有歧义时LANSW2. disp cur显示LANSWITCH当前生效的配置参数 3. disp和ping命令在任何视图下都可执行,不必切换到系统视图