2024年1月12日发(作者:)
华为三层交换机配置步骤
一. VLAN配置
1.建立VLAN
[Quidway]vlan 1 /建立vlan 1
[Quidway]ctrl+z /退出vlan1 到普通模式
[Quidway]vlan 2 /建立vlan 2
[Quidway]ctrl+z /退出vlan2 到普通模式
【注】
划分VLAN,并描述
vlan 1
description local-s3600 //本交换机使用
vlan 2
description link-to-shanxicentre //陕西省中心
vlan 3
description link-to-shangjiecentre //商界分中心内部使用
2.配置端口加入到VLAN
[Quidway]vlan 1 /进入vlan 1
[Quidway-vlan 1]port Ethernet 0/1 /将端口E0/1加入到vlan1
[Quidway-vlan 1] ctrl+z /退出vlan1 到普通模式
[Quidway]vlan 2 /进入vlan 2
[Quidway-vlan 2]port Ethernet 0/2 /将端口E0/2加入到vlan2
[Quidway-vlan 2] ctrl+z /退出vlan2 到普通模式
3.配置VLAN的IP地址
[Quidway]interface vlan 1 /进入接口视图
[Quidway-Vlan-interface1]ip address 13.1.1.130 255.255.255.0 /配置VLAN1的IP地址
[Quidway-Vlan-interface1] ctrl+z /退出vlan1 到普通模式
[Quidway]interface vlan 2 /进入接口视图
[Quidway-Vlan-interface2]ip address 192.168.2.1 255.255.255.0 /配置VLAN2的IP地址
[Quidway-Vlan-interface1] ctrl+z /退出vlan2 到普通模式
4.配置静态路由
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 /静态路由=网关
5.配置上行端口为trunk
[Quidway -Ethernet0/1]port link-type trunk /实际当中一般将上行端口设置成trunk属性,允许vlan透传
[Quidway -Ethernet0/1]port trunk permit vlan all /允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值
5.
端口汇聚配置
(1)进入端口E0/1
[Quidway]interface Ethernet 0/1
(2)汇聚端口必须工作在全双工模式
[Quidway -Ethernet0/1]duplex full
(3)汇聚的端口速率要求相同,但不能是自适应
[Quidway -Ethernet0/1]speed 100
(4)进入端口E0/2
[Quidway]interface Ethernet 0/2
(5)汇聚端口必须工作在全双工模式
[Quidway -Ethernet0/2]duplex full
(6)汇聚的端口速率要求相同,但不能是自适应
[Quidway -Ethernet0/2]speed 100
(7)根据源和目的MAC进行端口选择汇聚
[Quidway]link-aggregation Ethernet 0/1 to Ether
【补充说明】
(1)同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access端口。
(2)不同的产品对端口汇聚时的起始端口号要求各有不同,请对照《操作手册》进行配置。
6. 系统设置
设置系统时间和时区
设置交换机的名称[Quidway]sysname TRAIN-3026-1[TRAIN-3026-1]
配置用户登录[Quidway]user-interface vty 0 4
[Quidway-ui-vty0]authentication-mode scheme
创建本地用户[Quidway]local-user huawei
[Quidway-luser-huawei]password simple huawei
[Quidway-luser-huawei] service-type telnet level 3
二、其它需求配置
(1) 建立ACL定义vlan 2 与vlan 3 之间不能互访
ACL配置
[Quidway]acl number 3015 /建立acl 编号取为3015,该编号可以任意取
[Quidway-acl-adv-3015]rule deny source 192.168.2.0 0.0.0.255 destination
192.168.3.0 0.0.0.255 /定义 192.168.2.0 的ip段不能访问 192.168.3.0 网段,反之也一样.
[Quidway-acl-adv-3015]ctrl+z /退出当前acl 到普通模式
[Quidway]int Ethernet0/1 /进入到e0/1端口
[Quidway-GigabitEthernet0/1]packet-filter inbound ip-group 3015
not-care-for-interface /将定义好的acl 3015下发到整台交换机中,让整台交换机要求建立
Trunk配置
网络环境:
6506 g2/0/4多模光口 接 3026 g1/1 多模光口
3026 建立两个 VLAN
vlan 5 192.168.5.1 255.255.255.0 (原来的用户继续使用,即端口9-24)
vlan 6 192.168.6.1 255.255.255.0 (用于财务1-8口)
不允许任何VLAN访问VLAN 6
步骤:
6506 上的配置步骤如下:
sys /进入特权
vlan 5 /建立两个VLAN,即3026上所要建立的VLAN,必须同名
vlan 6 /建立两个VLAN,即3026上所要建立的VLAN,必须同名
int vlan 5 /进入到 vlan 5
ip add 192.168.5.1 255.255.255.0 /配置 vlan 5 的IP地址
int vlan 6 /进入到 vlan 6
ip add 192.168.6.1 255.255.255.0 /配置VLAN 6 的 IP地址
interface g2/0/4 /进入到端口
port link-type trunk /配置端口工作在Trunk模式
port trunk permit vlan 5 /允许vlan 5通过
port trunk permit vlan 6 /允许vlan 6能过
speed 1000 /配置速度
duplex full /工作模式全双工
acl number 3001 /定义一条ACL,不允许任何VLAN访问VLAN 6
rule deny ip source any destination 192.168.6.0 0.0.0.255 /定久任何IP不能访问
192.168.6.0网段
int g2/0/4 /进入到端口
packet-filter inbound ip-group 3001 /将ACL应用到端口
3026配置步骤如下:
sys /进入特权
vlan 5 /建立vlan 5,必须和6506上的相同
vlan 6 /建立vlan 6,必须和6506上的相同
int g1/1 /进入到g1/1口
port link-type trunk /配置端口工作在Trunk模式
port trunk permit vlan 5 /允许vlan 5通过
port trunk permit vlan 6 /允许vlan 6能过
speed 1000 /配置速度
duplex full /工作模式全双工
int e0/1 /进入端口
port access alvn 6 /将端口添加到vlan 6里
int e0/23 /进入端口
port access vlan 5 /将端口添加到vlan 5里
(2)基于vlan的dhcp server(H3C3600-EI才支持该服务)配置:
5. 在VLAN接口10上选择全局地址池方式分配IP地址
[SwitchA-Vlan-interface10]dhcp select global
6. 创建全局地址池,并命名为”vlan10”
[SwitchA]dhcp server ip-pool vlan10
7. 配置vlan10地址池给用户分配的地址范围以及用户的网关,dns地址
[SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-vlan10]gateway-list 10.1.1.1
[SwitchA-dhcp-vlan10]dns-list 202.96.209.5 202.96.209.133
8. 禁止分配给用户的ip
[SwitchA]dhcp server forbidden-ip 10.1.1.1 10.1.1.23
[SwitchA]dhcp server forbidden-ip 10.1.1.200 10.1.1.250
9.配置vlan接口通过dhcp方式获取ip(缺省情况下vlan接口不通过dhcp方式获取ip)
[h3c]int vlan 3
[h3c-vlan-intterface]ip address dhcp-alloc
(2)三层交换机端口隔离(防止arp,灵活隔离端口)
2010-05-17 13:01
多为Quidway S3952P-EI型号交换机,因为交换机版本问题,此交换机设置端口隔离后,无法设置不同隔离组,默认就一个隔离组。这样做端口隔离后,所有端口相互之间都不可以相互访问(即只有同机柜中的服务器可以访问,不同机柜的机器都不可以相互访问)。具体操作如下:
[]interface Ethernet 1/0/*
[-Ethernet1/0/*]port isolate
即可。
取消隔离命令:undo port isolate
机柜中的普通的交换机灵活隔离端口:
多为 Quidway S2126-EI型号交换机。 也可以进行灵活的端口隔离,把经常有问题的发包的机器放在一个vlan组,在这个vlan组中的服务器无法访问同机柜中的其他机器,不在隔离组的可以互访,不受影响。
操作方法如下:
vlan 1
#
vlan 2
port-isolate enable
#
interface Vlan-interface1
ip address 222.191.251.121 255.255.255.192
#
interface Aux0/0
#
interface Ethernet0/1
#
interface Ethernet0/2
#
interface Ethernet0/3
#
interface Ethernet0/4
.....
interface Ethernet0/18
#
interface Ethernet0/19
#
interface Ethernet0/20
#
interface Ethernet0/21
port link-type hybrid
port hybrid vlan 1 to 2 untagged
port hybrid pvid vlan 2
#
interface Ethernet0/22
port link-type hybrid
port hybrid vlan 1 to 2 untagged
port hybrid pvid vlan 2
#
interface Ethernet0/23
port link-type hybrid
port hybrid vlan 1 to 2 untagged
port hybrid pvid vlan 2
#
interface Ethernet0/24
port link-type hybrid
port hybrid vlan 1 to 2 untagged
port hybrid pvid vlan 2
#
interface Ethernet0/25
port link-type hybrid
port hybrid vlan 1 to 2 untagged
port-isolate uplink-port vlan 2
#
interface NULL0
#
说明:
Ethernet0/25 为上联端口。vlan 1
Ethernet0/20 to Ethernet0/24 为vlan2,端口隔离,相互间不能访问,可以与 Ethernet0//25 通讯
Ethernet0/1 到 Ethernet0/19 内部端口可以相互访问,同时 与e0/25通讯
其中25端口的port-isolate uplink-port vlan 2 这条命令非常重要!
这样就实现了端口的灵活隔离。建议机房对底层交换机进行设置,后四个端口都隔离出来,发生过arp问题的机器,直接网线接入这个端口。这样以后就算再被入侵,也不会造成arp影响了。
如果需要取消端口隔离,命令如下:
[edongjy]interface Ethernet 0/20
[edongjy-Ethernet0/20]undo port link-type
即可。
如何配置一台出厂设置的交换机(适合新手)~
如何配置一台刚刚出厂的交换机,以H3C S3100接入层交换机为例。
先说一下如何把一台交换机恢复到出厂设置。
1、
删除NVRAM中的配置文件
reset saved-configuration
2、
重启
reboot
一台出厂设置的交换机,里面没有任何的配置文件,我们需要做以下配置:
1)
用console线连接到交换机
2)
为交换机配置一个名称
sys
sysname Switch1
此处命名为Switch1
3)
为交换机配置一个ip地址,这个ip用于以后telnet到交换机
交换机为2层设备,只能为交换机的管理VLAN配置一个IP地址,默认情况下,管理VLAN为VLAN 1。
inte vlan-inte 1
ip
undo shut
4)
建立一条指向网关的默认路由
为什么要建立默认路由,默认路由可以理解为默认网关,有了这条路由,其他vlan的PC才可以访问该交换机。
ip route-static 0.0.0.0
0.0.0.0
(为vlan1的网关地址,即三层交换机上VLAN1的ip地址)
5)
建立用户并设置密码
local-user admin
pass cipher
service-type telnet
level 3
6)
开启vty线路,并设置适当的认证模式
VTY线路是用来提供telnet的,VTY线路有多条,编号从0开始。此次以接入层交换机S3100为例,S3100有5条vty 0~5,为VTY线路启用合适的认证方式。
user-interface vty 0
4
authentication-mode scheme (scheme模式要求提供账号和密码)
7)配置vlan信息
配置需要的vlan,这里新建vlan2、3、4。
并将e1/0/1-e1/0/5加入到vlan2
e1/0/6-e1/0/10加入到vlan3
e1/0/11-e1/0/15加入到vlan4
vlan 2
port e1/0/1 to e1/0/5
vlan 3
port e1/0/6 to e1/0/10
vlan 4
port e1/0/11 to e1/0/15
8)配置Trunk链路
trunk链路承载不同vlan的流量,交换机级联的两个端口必须配置为trunk模式,只有这样vlan的信息才能在整个交换环境中传递。这里假设g1/1/1为交换机堆叠的端口,需配置
为trunk模式。
inte g1/1/1
port link-tpye trunk
port trunk permit vlan 2 to 4 (为了避免不必要的带宽的浪费,这里建议写出允许通过的vlan而不是permit all)
9)保存并退出
详细配置
sys
sysname Switch1
local-user admin
password cipher G`M^B service-type telnet level 3 interface Vlan-interface1 ip address 192.168.1.3 255.255.255.0 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 user-interface vty 0 4 authentication-mode scheme vlan 2 port e1/0/1 to e1/0/5 vlan 3 port e1/0/6 to e1/0/10 vlan 4 port e1/0/11 to e1/0/15 quit inte g1/1/1 port link-tpye trunk port trunk permit vlan 2 to 4 “为什么要建立默认路由,默认路由可以理解为默认网关,有了这条路由,其他vlan的PC才可以访问该交换机。 ip route-static 0.0.0.0 0.0.0.0 (为vlan1的网关地址,即三层交换机上VLAN1的ip地址)” 我不是很明白这条默认路由和其他vlan PC访问该交换机有什么关系,其他VLAN指的是该交换机上的vlan 还是三层交换机的vlan ? 该交换机上的vlan和三层交换机上的vlan有区别么? 管理vlan默认为vlan1, 三层上 inte vlan-inte 1 ip add 192.168.1.1 255.255.255.0 二层交换机 inte vlan-inte 1 ip add 192.168.1.2 255.255.255.0 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 如果没有这条默认路由,那么vlan 2、3、4.。。。。。都不可能telnet到交换机。 三层上的vlan2和接入层的vlan2是同一vlan,二者没有有任何区别。 同一vlan的telnet(这里的IP地址继续用上面我所配的) PC:telnet 192.168.1.2 交换是根据mac地址转发数据, mac未知,发送arp请求,希望获得192.168.1.2的mac 泛洪到vlan1所有节点, 192.168.1.1收到该arp请求,应答 已经获悉192.168.1.2的mac帧被转发,telnet会话建立。 不同的vlan的telnet 这里假设是vlan 2 的一台PC inte vlan-inte 2 ip add 192.168.2.1 255.255.255.0 PC: ip:192.168.2.2 /24 gateway:192.168.2.1 telnet 192.168.1.2 mac未知,发送arp 该arp请求属于vlan 2,无法泛洪到vlan1,收不到192.168.1.2的arp应答 当数据包不知道如何转发的时候,使用默认路由,也就是网关。 向默认网关 192.168.2.1 发送该telnet数据包 该包达到三层交换机,查找vlan间路由信息 包被转发到192.168.1.1 192.168.1.1把该包转发到192.168.1.2 192.168.1.2使用默认路由0.0.0.0 0.0.0.0 192.168.1.1回包 H3C三层交换机配置命令大全 2010-05-07 16:16:51 作者:佚名 来源: 浏览次数:448 [Quidway]dis cur ;显示当前配置 [Quidway]display current-configuration ;显示当前配置 [Quidway]display interfaces ; [Quidway]dis cur ;显示当前配置 [Quidway]display current-configuration ;显示当前配置 [Quidway]display interfaces ;显示接口信息 [Quidway]display vlan all ;显示路由信息 [Quidway]display version ;显示版本信息 [Quidway]super password ;修改特权用户密码 [Quidway]sysname ;交换机命名 [Quidway]interface ethernet 0/1 ;进入接口视图 [Quidway]interface vlan x ;进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关 [Quidway]rip ;三层交换支持 [Quidway]local-user ftp 增加用户名 [Quidway]user-interface vty 0 4 ;进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password ;设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令 [S3026-ui-vty0-4]user privilege level 3 ;用户级别 [Quidway]interface ethernet 0/1 ;进入端口模式 [Quidway]int e0/1 ;进入端口模式 [Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率 [Quidway-Ethernet0/1]flow-control ;配置端口流控 [Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式 [Quidway-Ethernet0/1]port access vlan 3 ;当前端口加入到VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;设trunk允许的VLAN [Quidway-Ethernet0/3]port trunk pvid vlan 3 ;设置trunk端口的PVID [Quidway-Ethernet0/1]undo shutdown ;激活端口 [Quidway-Ethernet0/1]shutdown ;关闭端口 [Quidway-Ethernet0/1]quit ;返回 [Quidway]vlan 3 ;创建VLAN [Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加端口 [Quidway-vlan3]port e0/1 ;简写方式 [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增 加端口 [Quidway-vlan3]port e0/1 to e0/4 ;简写方式 [Quidway]monitor-port [Quidway]port mirror [Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像 [Quidway]description string ;指定VLAN描述字符 [Quidway]description ;删除VLAN描述字符 [Quidway]display vlan [vlan_id] ;查看VLAN设置 [Quidway]stp {enable|disable} ;设置生成树,默认关闭 [Quidway]stp priority 4096 ;设置交换机的优先级 [Quidway]stp root {primary|secondary} ;设置为根或根的备份 [Quidway-Ethernet0/1]stp cost 200 ;设置交换机端口的花费 [Quidway]link-aggregation e0/1 to e0/4 ingress|both ; 端口的聚合 [Quidway]undo link-aggregation e0/1|all ; 始端口为通道号 [SwitchA-vlanx]isolate-user-vlan enable ;设置主vlan [SwitchA]isolate-user-vlan [Quidway-Ethernet0/2]port hybrid pvid vlan [Quidway-Ethernet0/2]port hybrid pvid ;删除vlan的pvid [Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的vlan 如果包的vlan id与PVId一致,则去掉vlan信息. 默认PVID=1。 华为3COM交换机配置命令讲解教程 2010-02-07 09:49:21 作者:佚名 来源: 浏览次数:966 1、配置文件相关命令 1、配置文件相关命令 [Quidway]display current-configuration ;显示当前生效的配置 [Quidway]display saved-configuration ;显示flash中配置文件,即下次上电启动时所用的配置文件 2、基本配置 [Quidway]super password ;修改特权用户密码 [Quidway]sysname ;交换机命名 [Quidway]interface ethernet 0/1 ;进入接口视图 [Quidway]interface vlan x ;进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 ;进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password ;设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令 [S3026-ui-vty0-4]user privilege level 3 ;用户级别 4、端口配置 [Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率 [Quidway-Ethernet0/1]flow-control ;配置端口流控 [Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接 [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式 [Quidway-Ethernet0/1]undo shutdown ;激活端口 [Quidway-Ethernet0/2]quit ;退出系统视图 5、链路聚合配置 [DeviceA] link-aggregation group 1 mode manual ;创建手工聚合组1 [DeviceA] interface ethernet 1/0/1 ;将以太网端口Ethernet1/0/1加入聚合组1 [DeviceA-Ethernet1/0/1] port link-aggregation group 1 [DeviceA-Ethernet1/0/1] interface ethernet 1/0/2 ;将以太网端口Ethernet1/0/1加入聚合组1 [DeviceA-Ethernet1/0/2] port link-aggregation group 1 [DeviceA] link-aggregation group 1 service-type tunnel # 在手工聚合组的基础上创建Tunnel业务环回组。 [DeviceA] interface ethernet 1/0/1 # 将以太网端口Ethernet1/0/1加入业务环回组。 [DeviceA-Ethernet1/0/1] undo stp [DeviceA-Ethernet1/0/1] port link-aggregation group 1 6、端口镜像 [Quidway]monitor-port [Quidway]port mirror [Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像 7、VLAN配置 [Quidway]vlan 3 ;创建VLAN [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口 配置基于access的VLAN [Quidway-Ethernet0/2]port access vlan 3 ;当前端口加入到VLAN 注意:缺省情况下,端口的链路类型为Access类型,所有Access端口均属于且只属于VLAN1 配置基于trunk的VLAN [Quidway-Ethernet0/2]port link-type trunk ;设置当前端口为trunk [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;设trunk允许的VLAN 注意:所有端口缺省情况下都是允许VLAN1的报文通过的 [Quidway-Ethernet0/2]port trunk pvid vlan 3 ;设置trunk端口的PVID 配置基于Hybrid端口的VLAN [Quidway-Ethernet0/2]port link-type hybrid ;配置端口的链路类型为Hybrid类型 [Quidway-Ethernet0/2]port hybrid vlan vlan-id-list { tagged | untagged } ;允许指定的VLAN通过当前Hybrid端口 注意:缺省情况下,所有Hybrid端口只允许VLAN1通过 [Quidway-Ethernet0/2]port hybrid pvid vlan vlan-id ;设置Hybrid端口的缺省VLAN 注意:缺省情况下,Hybrid端口的缺省VLAN为VLAN1 VLAN描述 [Quidway]description string ;指定VLAN描述字符 [Quidway]description ;删除VLAN描述字符 [Quidway]display vlan [vlan_id] ;查看VLAN设置 私有VLAN配置 [SwitchA-vlanx]isolate-user-vlan enable ;设置主vlan [SwitchA]Isolate-user-vlan [Quidway-Ethernet0/2]port hybrid pvid vlan [Quidway-Ethernet0/2]port hybrid pvid ;删除vlan的pvid [Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的vlan 如果包的vlan id与PVId一致,则去掉vlan信息. 默认PVID=1。 所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged. 1、配置文件相关命令 8、STP配置 [Quidway]stp {enable|disable} ;设置生成树,默认关闭 [Quidway]stp mode rstp ;设置生成树模式为rstp [Quidway]stp priority 4096 ;设置交换机的优先级 [Quidway]stp root {primary|secondary} ;设置为根或根的备份 [Quidway-Ethernet0/1]stp cost 200 ;设置交换机端口的花费 MSTP配置: # 配置MST域名为info,MSTP修订级别为1,VLAN映射关系为VLAN2~VLAN10映射到生成树实例1上,VLAN20~VLAN30映射生成树实例2上。 [Sysname] stp region-configuration [Sysname-mst-region] region-name info [Sysname-mst-region] instance 1 vlan 2 to 10 [Sysname-mst-region] instance 2 vlan 20 to 30 [Sysname-mst-region] revision-level 1 [Sysname-mst-region] active region-configuration 9、MAC地址表的操作 在系统视图下添加MAC地址表项 [Quidway]mac-address { static | dynamic | blackhole } mac-address interface interface-type interface-number vlan vlan-id ;添加MAC地址表项 在添加MAC地址表项时,命令中interface参数指定的端口必须属于vlan参数指定的VLAN,否则将添加失败。 如果vlan参数指定的VLAN是动态VLAN,在添加静态MAC地址之后,会自动变为静态VLAN。 在以太网端口视图下添加MAC地址表项 [Quidway-Ethernet0/2]mac-address { static | dynamic | blackhole } mac-address vlan vlan-id 在添加MAC地址表项时,当前的端口必须属于命令中vlan参数指定的VLAN,否则将添加失败; 如果vlan参数指定的VLAN是动态VLAN,在添加静态MAC地址之后,会自动变为静态VLAN。 [Quidway]mac-address timer { aging age | no-aging } ;设置MAC地址表项的老化时间 注意:缺省情况下,MAC地址表项的老化时间为300秒,使用参数no-aging时表示不对MAC地址表项进行老化。 MAC地址老化时间的配置对所有端口都生效,但地址老化功能只对动态的(学习到的或者用户配置可老化的)MAC地址表项起作用。 [Quidway-Ethernet0/2]mac-address max-mac-count count ;设置端口最多可以学习到的MAC地址数量 注意:缺省情况下,没有配置对端口学习MAC地址数量的限制。反之,如果端口启动了MAC地址认证和端口安全功能,则不能配置该端口的最大MAC地址学习个数。 [Quidway-Ethernet0/2]port-mac start-mac-address ;配置以太网端口MAC地址的起始值 在缺省情况下,E126/E126A交换机的以太网端口是没有配置MAC地址的,因此当交换机在发送二层协议报文(例如STP)时,由于无法取用发送端口的MAC地址, 将使用该协议预置的MAC地址作为源地址填充到报文中进行发送。在实际组网中,由于多台设备都使用相同的源MAC地址发送二层协议报文,会造成在某台设备的不 同端口学习到相同MAC地址的情况,可能会对MAC地址表的维护产生影响。 [Quidway]display mac-address ;显示地址表信息 [Quidway]display mac-address aging-time ;显示地址表动态表项的老化时间 [Quidway]display port-mac ;显示用户配置的以太网端口MAC地址的起始值 10、GVRP配置 [SwitchA] gvrp # 开启全局GVRP [SwitchA-Ethernet1/0/1] gvrp # 在以太网端口Ethernet1/0/1上开启GVRP [SwitchE-Ethernet1/0/1] gvrp registration { fixed | forbidden | normal } # 配置GVRP端口注册模式 缺省为normal [SwitchA] display garp statistics [ interface interface-list ] ;显示GARP统计信息 [SwitchA] display garp timer [ interface interface-list ] ;显示GARP定时器的值 [SwitchA] display gvrp statistics [ interface interface-list ] ;显示GVRP统计信息 [SwitchA] display gvrp status ;显示GVRP的全局状态信息 [SwitchA] display gvrp statusreset garp statistics [ interface interface-list ] ;清除GARP统计信息 11、DLDP配置 [SwitchA] interface gigabitethernet 1/1/1 # 配置端口工作在强制全双工模式,速率为1000Mbits/s。 [SwitchA-GigabitEthernet1/1/1] duplex full [SwitchA-GigabitEthernet1/1/1] speed 1000 [SwitchA] dldp enable # 全局开启DLDP。 [SwitchA] dldp interval 15 # 设置发送DLDP报文的时间间隔为15秒。 [SwitchA] dldp work-mode { enhance | normal } # 配置DLDP协议的工作模式为加强模式。 缺省为normal [SwitchA] dldp unidirectional-shutdown { auto | manual } # 配置DLDP单向链路操作模式为自动模式。 缺省为auto [SwitchA] display dldp 1 # 查看DLDP状态。 当光纤交叉连接时,可能有两个或三个端口处于Disable状态,剩余端口处于Inactive状态。 当光纤一端连接正确,一端未连接时: 如果DLDP的工作模式为normal,则有收光的一端处于Advertisement状态,没有收光的一端处于Inactive状态。 如果DLDP的工作模式为enhance,则有收光的一端处于Disable状态,没有收光的一端处于Inactive状态。 dldp reset命令在全局下可以重置所有端口的DLDP状态,在接口下可以充值该端口的DLDP状态 1、配置文件相关命令 12、端口隔离配置 通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户 提供了灵活的组网方案。 [Sysname] interface ethernet1/0/2 # 将以太网端口Ethernet1/0/2加入隔离组。 [Sysname-Ethernet1/0/2] port isolate [Sysname]display isolate port # 显示隔离组中的端口信息 配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。 端口隔离特性与以太网端口所属的VLAN无关。 当汇聚组中的某个端口加入或离开隔离组后,本设备中同一汇聚组内的其它端口,均会自动加入或离开该隔离组。 对于既处于某个聚合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影响其他端口,即其他端口仍将处于原聚合组和原隔离组中。 如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚合组中的端口仍将处于该隔离组中。 当隔离组中的某个端口加入聚合组时,该聚合组中的所有端口,将会自动加入隔离组中。 13、端口安全配置 [Switch] port-security enable # 启动端口安全功能 [Switch] interface Ethernet 1/0/1 # 进入以太网Ethernet1/0/1端口视图 [Switch-Ethernet1/0/1] port-security max-mac-count 80 # 设置端口允许接入的最大MAC地址数为80 [Switch-Ethernet1/0/1] port-security port-mode autolearn # 配置端口的安全模式为autolearn [Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1 # 将Host 的MAC地址0001-0002-0003作为Security MAC添加到VLAN 1中 [Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily # 设置Intrusion Protection特性被触发后,暂时关闭该端口 [Switch]port-security timer disableport 30 # 关闭时间为30秒。 14、端口绑定配置 通过端口绑定特性,网络管理员可以将用户的MAC地址和IP地址绑定到指定的端口上。进行绑定操作后,交换机只对从该端口收到的指定MAC地址和IP地 址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控。 [SwitchA-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1 # 将Host 1的MAC地址和IP地址绑定到Ethernet1/0/1端口。 有的交换机上绑定的配置不一样 [SwitchA] interface ethernet 1/0/2 [SwitchA-Ethernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405 端口过滤配置 [SwitchA] interface ethernet1/0/1 # 配置端口Ethernet1/0/1的端口过滤功能。 [SwitchA-Ethernet1/0/1] ip check source ip-address mac-address [SwitchA] dhcp-snooping # 开启DHCP Snooping功能。 [SwitchA] interface ethernet1/0/2 # 设置与DHCP服务器相连的端口Ethernet1/0/2为信任端口。 [SwitchA-Ethernet1/0/2] dhcp-snooping trust 在端口Ethernet1/0/1上启用IP过滤功能,防止客户端使用伪造的不同源IP地址对服务器进行攻击 15、BFD配置 Switch A、Switch B、Switch C相互可达,在Switch A上配置静态路由可以到达Switch C,并使能BFD检测功能。 # 在Switch A上配置静态路由,并使能BFD检测功能,通过BFD echo报文方式实现BFD功能。 [SwitchA] bfd echo-source-ip 123.1.1.1 [SwitchA] interface vlan-interface 10 [SwitchA-vlan-interface10] bfd min-echo-receive-interval 300 [SwitchA-vlan-interface10] bfd detect-multiplier 7 [SwitchA-vlan-interface10] quit [SwitchA] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet # 在Switch A上打开BFD功能调试信息开关。 在Switch A上可以打开BFD功能调试信息开关,断开Hub和Switch B之间的链路,验证配置结果。验证结果显示, Switch A能够快速感知Switch A与Switch B之间链路的变化。 16、QinQ配置 Provider A、Provider B之间通过Trunk端口连接,Provider A属于运营商网络的VLAN1000,Provider B属于运营商网络的VLAN2000。 Provider A和Provider B之间,运营商采用其他厂商的设备,TPID值为0x8200。 希望配置完成后达到下列要求: Customer A的VLAN10的报文可以和Customer B的VLAN10的报文经过运营商网络的VLAN1000转发后互通;Customer A的VLAN20的报文可以 和Customer C的VLAN20的报文经过运营商网络的VLAN2000转发后互通。 [ProviderA] interface ethernet 1/0/1 # 配置端口为Hybrid端口,且允许VLAN10,VLAN20,VLAN1000和VLAN2000的报文通过,并且在发送时去掉外层Tag。 [ProviderA-Ethernet1/0/1] port link-type hybrid [ProviderA-Ethernet1/0/1] port hybrid vlan 10 20 1000 2000 untagged [ProviderA-Ethernet1/0/1] qinq vid 1000 # 将来自VLAN10的报文封装VLAN ID为1000的外层Tag。 [ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10 [ProviderA-Ethernet1/0/1-vid-1000] quit [ProviderA-Ethernet1/0/1] qinq vid 2000 # 将来自VLAN20的报文封装VLAN ID为2000的外层Tag。 [ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20 [ProviderA] interface ethernet 1/0/2 # 配置端口的缺省VLAN为VLAN1000。 [ProviderA-Ethernet1/0/2] port access vlan 1000 [ProviderA-Ethernet1/0/2] qinq enable # 配置端口的基本QinQ功能,将来自VLAN10的报文封装VLAN ID为1000的外层Tag。 [ProviderA] interface ethernet 1/0/3 # 配置端口为Trunk端口,且允许VLAN1000和VLAN2000的报文通过。 [ProviderA-Ethernet1/0/3] port link-type trunk [ProviderA-Ethernet1/0/3] port trunk permit vlan 1000 2000 [ProviderA-Ethernet1/0/3] qinq ethernet-type 8200 # 为与公共网络中的设备进行互通,配置端口添加外层Tag时采用的TPID值为0x8200。 [ProviderB] interface ethernet 1/0/1 # 配置端口为Trunk端口,且允许VLAN1000和VLAN2000的报文通过。 [ProviderB-Ethernet1/0/1] port link-type trunk [ProviderB-Ethernet1/0/1] port trunk permit vlan 1000 2000 [ProviderB-Ethernet1/0/1] qinq ethernet-type 8200 # 为与公共网络中的设备进行互通,配置端口添加外层Tag时采用的TPID值为0x8200。 [ProviderB-Ethernet1/0/1] quit [ProviderB] interface ethernet 1/0/2 # 配置端口的缺省VLAN为VLAN2000。 [ProviderB-Ethernet1/0/2] port access vlan 2000 [ProviderB-Ethernet1/0/2] qinq enable # 配置端口的基本QinQ功能,将来自VLAN20的报文封装VLAN ID为2000的外层Tag。 H3C交换机典型访问控制列表(ACL)配置实例 回复:2 阅读:3241 一 组网需求: 1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤; 2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器; 3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。 二 组网图: 三 配置步骤: 1 H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置 1.根据组网图,创建四个vlan,对应加入各个端口 [H3C]vlan 10 [H3C-vlan10]port GigabitEthernet 1/0/1 [H3C-vlan10]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/2 [H3C-vlan20]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/3 [H3C-vlan20]vlan 30 [H3C-vlan30]port GigabitEthernet 1/0/3 [H3C-vlan30]vlan 40 [H3C-vlan40]port GigabitEthernet 1/0/4 [H3C-vlan40]quit 2.配置各VLAN虚接口地址 [H3C]interface vlan 10 [H3C-Vlan-interface10]ip address 10.1.1.1 24 [H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24 [H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24 [H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24 [H3C-Vlan-interface40]quit 3.定义时间段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求1配置(基本ACL配置) 1.进入2000号的基本访问控制列表视图 [H3C-GigabitEthernet1/0/1] acl number 2000 2.定义访问规则过滤10.1.1.2主机发出的报文 [H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei 3.在接口上应用2000号ACL [H3C-acl-basic-2000] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000 [H3C-GigabitEthernet1/0/1] quit 需求2配置(高级ACL配置) 1.进入3000号的高级访问控制列表视图 [H3C] acl number 3000 2.定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器 [H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000] quit 4.在接口上用3000号ACL [H3C-acl-adv-3000] interface GigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000 需求3配置(二层ACL配置) 1.进入4000号的二层访问控制列表视图 [H3C] acl number 4000 2.定义访问规则过滤源MAC为00e0-fc01-0101的报文 [H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei 3.在接口上应用4000号ACL [H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4 [H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000 2 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置 需求2配置 1.进入3000号的高级访问控制列表视图 [H3C] acl number 3000 2.定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器 [H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000] quit 4.定义流分类 [H3C] traffic classifier abc [H3C-classifier-abc]if-match acl 3000 [H3C-classifier-abc]quit 5.定义流行为,确定禁止符合流分类的报文 [H3C] traffic behavior abc [H3C-behavior-abc] filter deny [H3C-behavior-abc] quit 6.定义Qos策略,将流分类和流行为进行关联 [H3C]qos policy abc [H3C-qospolicy-abc] classifier abc behavior abc [H3C-qospolicy-abc] quit 7.在端口下发Qos policy [H3C] interface g1/1/2 [H3C-GigabitEthernet1/1/2] qos apply policy abc inbound 8.补充说明: acl只是用来区分数据流,permit与deny由filter确定; 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联; QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier; 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。 四 配置关键点: 1.time-name 可以自由定义; 2.设置访问控制规则以后,一定要把规则应用到相应接口上,应用时注意inbound方向应与rule中source和destination对应; 3.S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择; 10、Quidway交换机维护 显示系统版本信息:display version 显示诊断信息:display diagnostic-information 显示系统当前配置:display current-configuration 显示系统保存配置: display saved-configuration 显示接口信息:display interface 显示路由信息:display ip routing-table 显示VLAN信息:display vlan 显示生成树信息:display stp 显示MAC地址表:display mac-address 显示ARP表信息:display arp 显示系统CPU使用率:display cpu 显示系统内存使用率:display memory 显示系统日志:display log 显示系统时钟:display clock 验证配置正确后,使用保存配置命令:save 删除某条命令,一般使用命令: undo ;设置主vlan包括的子vlan
;设置主vlan包括的子vlan
发布评论