- 論壇徽章:
- 0
|
適合閱讀本文的對象有:
1、因工程緊急,時間不足����,無法仔細閱讀華為vrp配置手冊和命令手冊的
2、對華為vrp操作平臺不夠熟悉的����,而又亟需書面幫助的
3、在學習華為vrp配置手冊和命令手冊的同時���,想在配置上得到直接幫助的
4�、準備參加HCNE���、HCSE�、HCIE認證考試的工程師以及網(wǎng)絡技術(shù)愛好者
本手冊內(nèi)容分為三大部分�。第一部分是日常維護中如何配置交換機��,包括telnet���、aux口遠程登錄�、web網(wǎng)管等內(nèi)容����;第二部分是交換機基礎(chǔ)類配置���,主要包括VLAN配置、IP地址配置�����、端口屬性配置��、端口匯聚配置��、HGMP和集群配置配置等�;第三部分是高級應用類配置,包括了STP��、路由協(xié)議�����、組播��、802.1X���、VRRP����、訪問控制、QOS等配置��。
每部分內(nèi)容后面都附了注明����,請大家一定注意看一下���。
由于時間倉促��,本手冊還有許多內(nèi)容需要完善�����,特別是第三部分的各個QOS章節(jié)�,許多現(xiàn)在僅供參考,實際配置中請以各產(chǎn)品為準���。另外在內(nèi)容安排上也有沖突,這些將在下一個版本的典型配置案例中進行完善����。真誠希望大家給我們提供寶貴意見和建議。
注意:本手冊僅用來對使用華為數(shù)通產(chǎn)品的代理商、用戶進行支持幫助之用����。華為公司在尊重他人版權(quán)的同時,也同樣保留保護自己版權(quán)的權(quán)力����。未經(jīng)華為公司授權(quán)許可,本手冊不得作為商用��。
第1章 LANSWITCH日常維護典型配置
1.1 基本操作
1.1.1 常用命令新舊對照列表
表1-1 常用命令新舊對照表
舊
新
舊
新
show
display
access-list
acl
no
undo
acl
eacl
exit
quit
write
save
show version
disp version
erase
reset
show run
disp current-configuration
show tech-support
disp base-information
show start
disp saved-configuration
router ospf
ospf
router bgp
bgp
router rip
rip
hostname
sysname
user
local-user
0
simple
7
cipher
mode
link-type
multi
hybrid
注意:
1. disp是display的縮寫�����,在沒有歧義時LANSWITCH會自動識別不完整詞
2. disp cur顯示LANSWITCH當前生效的配置參數(shù)
3. disp和ping命令在任何視圖下都可執(zhí)行�����,不必切換到系統(tǒng)視圖
4. 刪除某條命令�����,一般的命令是undo xxx�,另一種情況是用其他的參數(shù)代替現(xiàn)在的參數(shù),如有時雖然xxx abc無法使用undo刪除��,但是可以修改為xxx def
1.2 LANSWITCH配置注意事項
表1-2 LANSWITCH配置注意事項
序號
注意項目
記錄
1
登錄交換機時請注意在超級終端中流控選擇“無”
2
啟動時按”ctrl+B”可以進入到boot menu模式
3
當交換機提示”Please Press ENTER”,敲完回車后請等待一下��,設備需要一定的時間才能進入到命令行界面(具體的時間試產(chǎn)品而定)
4
進入系統(tǒng)視圖請輸入”system-view”(輸入”sys”即可)
5
對使用的端口�、vlan、interface vlan進行詳細的描述
6
如果配置了telnet用戶����,一定要設置權(quán)限或配置super密碼
7
除了S6500系列,模塊不可以帶電插拔
8
使用別的產(chǎn)品模塊前請確認該模塊是否可以混用
9
配置acl時請注意掩碼配置是否準確
10
二層交換機配置管理IP后��,請確保管理vlan包含了管理報文到達的端口
11
配置完畢后請在用戶視圖下(即尖括號視圖下)采用save命令保存配置
12
請確保在設備保存配置的時候不掉電���,否則可能會導致配置丟失
13
如果要清除所有配置��,請在用戶視圖下(即尖括號視圖下)采用reset saved-configuration���,并重啟交換機
注:
其他配置需注意的地方請參考每部分內(nèi)容后面的注明。
1.3 遠程telnet登錄
1.3.1 功能需求及組網(wǎng)說明
圖1-1 telnet配置
說明:如圖��,交換機SwitchA通過以太網(wǎng)口ethernet 0/1和SwitchB的ethernet0/24實現(xiàn)互連����。
PC的IP地址為10.10.10.10/24,SwitchA的管理IP配置在vlan100的虛接口上���,10.10.10.1/24����,使用vlan 10與SwitchB進行互連�����,地址為192.168.0.1/24�,SwitchB也使用vlan 100作為管理vlan,地址為192.168.0.2/24
需求:
1. SwitchA只能允許10.10.10.0/24網(wǎng)段的地址的PC telnet訪問
2. SwitchB允許其它任意網(wǎng)段的地址telnet訪問
1.3.2 配置
表1-3 telnet配置
配置過程
注釋
SwitchA交換機配置:
[SwitchA]vlan 100
[SwitchA-vlan100] port Ethernet 0/10 to Ethernet 0/20
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip address 10.10.10.1 255.255.255.0
[SwitchA]vlan 10
[SwitchA-vlan10] port Ethernet 0/1
[SwitchA]interface Vlan-interface 10
[SwitchA-Vlan-interface10]ip address 192.168.0.1 255.255.255.0
[SwitchA]user-interface vty 0 4
[SwitchA-ui-vty0-4]
[SwitchA-ui-vty0-4]authentication-mode password
[SwitchA-ui-vty0-4]set authentication password simple Huawei
[SwitchA-ui-vty0-4]user privilege level 3
[SwitchA-ui-vty0-4]acl 1 inbound
[SwitchA]acl number 1
[SwitchA-acl-basic-1]
[SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255
SwitchB交換機配置:
[SwitchA]vlan 100
[SwitchA-vlan100] port Ethernet 0/24
[SwitchB]interface Vlan-interface 100
[SwitchB-Vlan-interface100]ip address 192.168.0.2 255.255.255.0
[SwitchB]user-interface vty 0 4
[SwitchB-ui-vty0-4]
[SwitchB-ui-vty0-4]authentication-mode password
[SwitchB-ui-vty0-4]set authentication password simple Huawei
[SwitchB-ui-vty0-4]user privilege level 3
[SwitchB]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
#配置管理vlan 100
#配置與SwitchB互連的vlan 10
#設置telnet登錄為密碼驗證方式�。telnet登錄缺省為密碼驗證方式
#如果配置telnet登錄為密碼驗證方式或使用缺省驗證方式,必須配置登錄密碼����,如果不配置密碼,系統(tǒng)不允許登錄�。
#系統(tǒng)默認VTY登錄方式用戶級別為0,設置為3才能進入系統(tǒng)視圖
#設置只允許10.10.10.0網(wǎng)段地址能夠訪問交換機SwitchA
#允許其它任意網(wǎng)段的地址能夠訪問交換機需要啟動路由協(xié)議或者加一條靜態(tài)默認路由
注意:
1. 一共只可以設置5個telnet用戶
2. 缺省情況下telnet用戶的權(quán)限是0級��,如果沒有配置telnet用戶的權(quán)限����,并且也沒有配置super密碼,則telnet用戶只能對交換機執(zhí)行有限的操作����,無法配置交換機
1.4 遠程AUX口登錄
1.4.1 功能需求及組網(wǎng)說明
圖1-2 通過AUX口遠程登錄交換機
需求:通過AUX口(即console口)登錄到交換機進行配置
1.4.2 配置
表1-4 通過AUX口遠程登錄配置
配置過程
注釋
[Quidway] user-interface aux 0
[Quidway-ui-aux0]modem
#在交換機上執(zhí)行user-interface aux 0 進入console
#鍵入modem進入modem狀態(tài)��。
#與計算機相連的modem為modemA��,與交換機相連的modem為modemB�����。
物理連接后在計算機上啟用超級終端���, com端口選擇和modemA相連的com口
在超級終端屏幕上鍵入命令 atdt 82882285(與交換機modemB的電話號碼)
等待片刻就可以登錄到交換機上。
注:
1. 目前的命令行配置的交換機console口和aux口是合二為一的
2. 連接交換機和modem要采用專用的aux線纜
3. modem要設置成自動應答方式
1.5 打開debug開關(guān)
1.5.1 功能需求及組網(wǎng)說明
圖1-3 Debug 系統(tǒng)調(diào)試
說明:如圖��,PC1與交換機A的Console 口或以太口相連���。如果是通過以太口相連�,要求PC1的IP地址和該以太端口所在的VLAN Interface在同一網(wǎng)段�。在這里,我們假設PC1的地址是10.110.53.247/21, 交換機的以太網(wǎng)口所在VLAN Interface 1的IP 地址是10.110.53.248/21��。
1.5.2 配置
表1-5 打開debug開關(guān)
配置過程
注釋
SwitchA交換機配置:
debbuging ?
all All debugging functions
arp ARP module
bgp BGP module
cluster Cluster module
device Device manage
dhcp-relay DHCP relay module
dot1x Specify 802.1x configuration information
ethernet Ethernet module
fib FIB module
ftp-server FTP server information
garp GARP module
gmrp GMRP module
gvrp GVRP module
habp HABP module
hgmpserver HGMP server module
igmp IGMP module
ip IP module
local-server Local authentication server information
mac-address MAC address table information
modem Modem module
multicast Multicast module
ndp NDP module
ni NI module: NI Debuging information
ntdp NTDP module
ntp-service NTP module
ospf OSPF module
pim PIM module
radius Radius module
rip RIP module
rmon RMON debugging switch
snmp-agent SNMP module
stp STP infomation
tcp TCP module
telnet TELNET module
udp UDP module
vfs Filesystem module
vrrp VRRP module
vtp VTP module
vty VTY module
debugging ip packet
terminal monitor
% Current terminal monitor is on
terminal debugging
% Current terminal debugging is on
#在用戶視圖下面打開調(diào)試開關(guān)��,選擇所需要進行調(diào)試的模塊參數(shù)�。
#打開IP報文調(diào)試開關(guān)
#在用戶視圖模式下打開屏幕輸出開關(guān)�。
#在用戶視圖模式下打開調(diào)試輸出開關(guān)���。
注意:
1. 調(diào)試結(jié)束后,用undo debugging XXX, undo terminal monitor 和 undo terminal debugging 關(guān)閉所有的調(diào)試開關(guān)�。
2. 缺省情況下debug信息只向console口終端輸成信息,如果是telnet到交換機�,則需要在系統(tǒng)視圖下執(zhí)行info-center monitor channel 0命令,否則debug信息無法向telnet終端輸出�����。
1.6 SNMP配置
1.6.1 功能需求及組網(wǎng)說明
圖1-4 SNMP配置
說明:網(wǎng)管工作站(NMS)與以太網(wǎng)交換機通過以太網(wǎng)相連���,網(wǎng)管工作站IP地址為129.102.149.23��,以太網(wǎng)交換機的VLAN接口IP地址為129.102.0.1��。在交換機上進行如下配置:設置團體名和訪問權(quán)限����、管理員標識����、聯(lián)系方法以及交換機的位置信息��、允許交換機發(fā)送Trap消息�。
1.6.2 配置
表1-6 SNMP配置
配置過程
注釋
system-view
[Quidway] snmp-agent community read public
[Quidway] snmp-agent community write private
[Quidway]snmp-agent sys-info contact Mr.Wang-Tel:3306
[Quidway] snmp-agent sys-info location telephone-closet,3rd-floor
[Quidway] snmp-agent trap enable
[Quidway] snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public
# 進入系統(tǒng)視圖
# 設置團體名和訪問權(quán)限
# 設置管理員標識�、聯(lián)系方法以及物理位置
# 允許向網(wǎng)管工作站129.102.149.23發(fā)送Trap報文,使用的團體名為public����。
注:
一般情況下只需設置團體名和訪問權(quán)限設備即可被管理,其他為可選配置
1.7 WEB網(wǎng)管配置
1.7.1 功能需求及組網(wǎng)說明
圖1-5 WEB網(wǎng)管配置
說明:PCA連接在交換機A的端口0/1
需求:PCA使用WEB網(wǎng)管軟件對交換機進行WEB管理
1.7.2 配置
表1-7 WEB網(wǎng)管配置
配置過程
注釋
在System命令模式下進行下面配置
[Quidway]snmp-agent sys-info version v3
[Quidway]snmp-agent mib-view included wnmview internet
[Quidway]snmp-agent group v3 wnmgroup authentication read-view wnmview write-view wnmview notify-view wnmview
[Quidway]snmp-agent usm-user v3 wnm wnmgroup authentication-mode md5 123456
[Quidway]snmp-agent target-host trap address udp-domain 192.168.1.3 params securityname wnm v2c
[Quidway]snmp-agent trap enable standard
[Quidway]snmp-agent trap enable vrrp
[Quidway]snmp-agent trap enable bgp
#啟動Snmp Agent的V3版本
#創(chuàng)建一個范圍為internet的Snmp視圖
#創(chuàng)建一個需要進行認證的Snmp V3的組wnmgroup����,讀寫和接受Trap的視圖都使用wnmview
#創(chuàng)建一個Snmp V3的用戶,用戶名是wnm�����,認證密碼是123456��,采用MD5方式認證�,不進行加密
#設置Trap主機地址為192.168.1.3,接收Trap的用戶名為wnm����,采用TrapV2c格式送Trap
#激活標準Trap,VRRP和BGP的Trap
完成上述配置以后,在PC機打開瀏覽器���,在地址欄輸入交換機的IP地址�,將在顯示的頁面中點擊“圖形管理界面”����,就進入圖形界面的Web網(wǎng)管。首先會彈出對話框�����,如果使用的是上面描述的配置���,則用戶名輸入wnm,認證方式選擇MD5�����,加密方式選擇空�����,認證密碼輸入123456���,點擊確定��。后面就可以根據(jù)菜單和對話框的提示通過Web網(wǎng)管對交換機進行查詢和配置了����。
注意:
1. 如果交換機和PC機的IP地址不在同一個網(wǎng)段,或者需要在PC機上收到Trap�����,則需要根據(jù)Web網(wǎng)管主頁上的提示開發(fā)Java權(quán)限����,對于每個交換機,在PC機上都需要開發(fā)權(quán)限��;
2. PC機上需要安裝JRE1.3以上的版本�。JRE( Java Runtime Environment,Java運行環(huán)境 )可以在Sun公司的網(wǎng)站上免費下載�。
第2章 LANSWITCH基礎(chǔ)應用典型配置
2.1 VLAN配置
2.1.1 功能需求及組網(wǎng)說明
圖2-1 VLAN 配置
需求:把交換機端口Ethernet 0/1加入到VLAN 2 ,Ethernet 0/2加入到VLAN 3
2.1.2 配置
表2-1 VLAN配置
配置過程
注釋
方法一:
[Quidway]vlan 2
[Quidway-vlan2]port ethernet 0/1
[Quidway-vlan2]vlan 3
[Quidway-vlan3]port ethernet 0/2
方法二:
[Quidway]vlan 2
[Quidway-vlan2]quit
[Quidway]interface ethernet 0/1
[Quidway-Ethernet1]port access vlan 2
[Quidway-Ethernet1]quit
[Quidway]vlan 3
[Quidway-vlan3]quit
[Quidway]interface ethernet 0/2
[Quidway-Ethernet2]port access vlan 3
#創(chuàng)建VLAN 2
#將端口1加入到VLAN 2
#創(chuàng)建VLAN 3
#將端口2加入到VLAN 3
注:
1. 缺省情況下所有端口都屬于VLAN 1�����,并且端口是access端口���,一個access端口只能屬于一個vlan���;
2. 如果端口是access端口����,則把端口加入到另外一個vlan的同時��,系統(tǒng)自動把該端口從原來的vlan中刪除掉��。
2.2 IP地址配置
2.2.1 功能需求及組網(wǎng)說明
圖2-2 IP地址配置
說明:如圖�,三層交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2��,分別屬于vlan 2����、vlan 3�����,vlan 2�����、vlan 3的三層接口地址分別是1.0.0.1/24、2.0.0.1/24���,Pc1和Pc2通過三層接口互通��。
2.2.2 配置
表2-2 IP地址配置
配置過程
注釋
[Quidway]vlan 2
[Quidway-vlan2]port ethernet 0/1
[Quidway-vlan2]interface vlan 2
[Quidway-Vlan-interface2]ip address 1.0.0.1 255.255.255.0
[Quidway]vlan 3
[Quidway-vlan3]port ethernet 0/2
[Quidway-vlan3]interface vlan 3
[Quidway-Vlan-interface3]ip address 2.0.0.1 255.255.255.0
#創(chuàng)建VLAN 2
#增加端口
#給虛接口VLAN 2添加IP地址
#創(chuàng)建VLAN 3
#增加端口
#給虛接口VLAN 3添加IP地址
注:
1. 對于交換機而言����,地址只能配置在vlan虛接口上����;但是S6506除外,它的console口旁邊有一個管理以太網(wǎng)口(interface M-ethernet 0)����,可以直接配置IP地址。
2. 該配置例是以三層交換機為例���,如果是二層交換機��,則只能配置一個VLAN 虛接口����。
2.3 端口的trunk屬性配置
2.3.1 功能需求及組網(wǎng)說明
圖2-3 端口的trunk配置
說明:通過交換機端口的trunk功能來實現(xiàn)跨交換機之間的vlan互通
左邊交換機為A�����,右邊交換機為B。交換機A的e0/1接vlan 10 pc�;e0/2接vlan 20 pc; e0/3接交換機B的e0/3
需求:兩臺交換機之間的vlan10的pc可以互通,vlan 20的pc可以互通��。
2.3.2 配置
表2-3 端口的trunk配置
配置過程
注釋
SwitchA交換機配置:
[SwitchA] vlan 10
[SwitchA-vlan10]port Ethernet 0/1
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
[SwitchA-Ethernet0/3]port link-type trunk
[SwitchA-Ethernet0/3]port trunk permit vlan all
#創(chuàng)建 VLAN 10
#端口 e0/1加入VLAN 10
#創(chuàng)建 VLAN 20
#端口 e0/2加入VLAN 20
#配置端口 e0/3 trunk端口��,允許所有VLAN通過
SwitchB交換機配置:
[SwitchB] vlan 10
[SwitchB-vlan10]port Ethernet 0/1
[SwitchB]vlan 20
[SwitchB-vlan20]port Ethernet 0/2
[SwitchB-Ethernet0/3]port link-type trunk
[SwitchB-Ethernet0/3]port trunk permit vlan all
#創(chuàng)建 VLAN 10
#端口 e0/1加入VLAN 10
#創(chuàng)建 VLAN 20
#端口 e0/2加入VLAN 20
#配置端口 e0/3 trunk端口��,允許所有VLAN通過
注:
1. 如果一個端口是trunk端口����,則該端口可以屬于多個vlan;
2. 缺省情況下trunk端口的PVID為1����,可以在端口模式下通過命令port trunk pvid vlan vlanid 來修改端口的PVID����;
3. 如果從trunk轉(zhuǎn)發(fā)出去的數(shù)據(jù)報文的vlan id和端口的PVID一致,則該報文的VLAN信息會被剝?nèi)�,這點在配置trunk端口時需要注意。
4. 一臺交換機上如果已經(jīng)設置了某個端口為hybrid端口�����,則不可以再把另外的端口設置為trunk端口。
2.4 端口的hybrid屬性配置
2.4.1 功能需求及組網(wǎng)說明
圖2-4 端口hybrid屬性的配置
說明:二層交換機之間利用端口的hybrid屬性靈活實現(xiàn)vlan之間的靈活互訪����。
需求:所有設備的ip地址均在同一網(wǎng)段,要求三個vlan的pc均可以訪問server 1�����;只有vlan 10��、20以及vlan30的4端口可以訪問server 2���;同時vlan 10中的2端口的pc可以訪問vlan 30��;vlan 20可以訪問vlan 30的5端口�����。
2.4.2 配置
表2-4 端口hybrid屬性配置
配置過程:
注釋:
sys
Enter system view , return user view with Ctrl+Z.
[Quidway]vlan 10
[Quidway-vlan10]vlan 20
[Quidway-vlan20]vlan 30
[Quidway-vlan30]vlan 40
[Quidway-vlan40]vlan 50
[Quidway-vlan50]int e0/1
[Quidway-Ethernet0/1]port link-type hybrid
[Quidway-Ethernet0/1]port hybrid pvid vlan 10
[Quidway-Ethernet0/1]port hybrid vlan 10 40 50 untagged
[Quidway-Ethernet0/1]int e0/2
[Quidway-Ethernet0/2]port link-type hybrid
[Quidway-Ethernet0/2]port hybrid pvid vlan 10
[Quidway-Ethernet0/2]port hybrid vlan 10 30 40 50 untagged
[Quidway-Ethernet0/2]int e0/3
[Quidway-Ethernet0/3]port link-type hybrid
[Quidway-Ethernet0/3]port hybrid pvid vlan 20
[Quidway-Ethernet0/3]port hybrid vlan 20 30 40 50 untagged
[Quidway-Ethernet0/3]int e0/4
[Quidway-Ethernet0/4]port link-type hybrid
[Quidway-Ethernet0/4]port hybrid pvid vlan 30
[Quidway-Ethernet0/4]port hybrid vlan 10 30 40 50 untagged
[Quidway-Ethernet0/4]int e0/5
[Quidway-Ethernet0/5]port link-type hybrid
[Quidway-Ethernet0/5]port hybrid pvid vlan 30
[Quidway-Ethernet0/5]port hybrid vlan 10 20 30 40 untagged
[Quidway-Ethernet0/5]int e0/23
[Quidway-Ethernet0/23]port link-type hybrid
[Quidway-Ethernet0/23]port hybrid pvid vlan 40
[Quidway-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged
[Quidway-Ethernet0/24]int e0/24
[Quidway-Ethernet0/24]port link-type hybrid
[Quidway-Ethernet0/24]port hybrid pvid vlan 50
[Quidway-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged
#首先創(chuàng)建業(yè)務需要的vlan
#每個端口��,都配置為 hybrid狀態(tài)
#設置端口的pvid等于該端口所屬的vlan
#將希望可以互通的端口的pvid vlan��,設置為untagged vlan����,這樣從該端口發(fā)出的廣播幀就可以到達本端口
#實際上,這種配置是通過 hybrid 端口的 pvid 來唯一的表示一個端口��,接收端口通過是否將 vlan 設置為 untagged vlan���,來控制是否與 pvid vlan 為 該 vlan 的端口互通�。
注:
1. 中端lanswitch(包括S6500��、S5500系列交換機)不支持端口的hybrid屬性�;
2. 如果一個端口是bybrid端口,則可以指定vlan從這個端口轉(zhuǎn)發(fā)出去的時候是否帶vlan信息�����,如果帶�����,則配置成tagged方式���,否則配置成untagged方式;
3. 一臺交換機上如果已經(jīng)設置了某個端口為trunk端口��,則不可以再把另外的端口設置為hybrid端口。
2.5 端口匯聚配置
2.5.1 功能需求及組網(wǎng)說明
圖2-5 端口匯聚配置
說明:如圖��,交換機SwitchA和SwitchB通過以太網(wǎng)口實現(xiàn)互連����。其中SwitchA用于互連的端口為e0/1和e0/2,SwitchB用于互連的端口為e0/1和e0/2��。
需求:增加SwitchA的SwitchB的互連鏈路的帶寬�,并且能夠?qū)崿F(xiàn)鏈路備份,使用端口匯聚��。
2.5.2 配置
表2-5 端口匯聚配置
配置過程
注釋
SwitchA交換機配置:
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]duplex full
[SwitchA-Ethernet0/1]speed 100
[SwitchA-Ethernet0/1]quit
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]duplex full
[SwitchA-Ethernet0/2]speed 100
[SwitchA-Ethernet0/2]quit
[SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both
SwitchB交換機配置:
[SwitchB]interface Ethernet 0/1
[SwitchB-Ethernet0/1]duplex full
[SwitchB-Ethernet0/1]speed 100
[SwitchB-Ethernet0/1]quit
[SwitchB]interface Ethernet 0/2
[SwitchB-Ethernet0/2]duplex full
[SwitchB-Ethernet0/2]speed 100
[SwitchB-Ethernet0/2]quit
[SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both
#匯聚端口必須工作在全雙工模式
#匯聚的端口速率要求相同�����,但不能是自適應
#可以對雙向流量進行匯聚�����,也可以只對入流量進行匯聚
注:
1. 在一個端口匯聚組中��,端口號最小的作為主端口����,其他的作為成員端口��。同一個匯聚組中成員端口的鏈路類型與主端口的鏈路類型保持一致���,即如果主端口為Trunk端口,則成員端口也為Trunk端口��;如主端口的鏈路類型改為Access端口���,則成員端口的鏈路類型也變?yōu)锳ccess端口�����。
2. 不同的產(chǎn)品對端口匯聚時的起始端口號要求各有不同��,請對照《操作手冊》進行配置����。
2.6 端口鏡像配置
2.6.1 功能需求及組網(wǎng)說明
圖2-6 端口鏡像配置
說明:通過交換機端口鏡像的功能使用server對兩臺pc的業(yè)務報文進行監(jiān)控�。
需求:按照不同的產(chǎn)品系列進行配置:
1. 基于端口的鏡像--3026
2. 基于流的鏡像--3526和F系列
3. 基于訪問列表的鏡像--E系列
2.6.2 配置
l 3026產(chǎn)品
表2-6 3026產(chǎn)品端口鏡像配置
配置過程
注釋
配置方法一:
[Quidway]monitor-port e0/8
[Quidway]port mirror e0/1
[Quidway]port mirror e0/2
配置方法二:
[Quidway]port mirror e0/1 to e0/2 observing-port e0/8
#定義e0/8口為監(jiān)控端口
#定義e0/1、e0/2為被監(jiān)控端口
l 3526/3526F/3026F系列
表2-7 3526端口鏡像配置
配置過程
注釋
[Quidway]acl num 100
[Quidway]rule 0 permit ip source 1.1.1.1 0 destination 2.2.2.2 0
[Quidway]rule 1 permit ip source 2.2.2.2 0 destination 1.1.1.1 0
[Quidway]mirrored-to ip-group 100 interface e0/8
#定義一條擴展訪問控制列表
#假定兩臺pc的ip地址分別為1.1.1.1和2.2.2.2�,定義分別以兩臺pc的ip地址做為源和目的的訪問控制規(guī)則
#定義將兩臺pc的業(yè)務報文鏡像到監(jiān)控端口e0/8口上
l 3526E/3526EF/3026E/3050系列
表2-8 3526E端口鏡像配置
配置過程
注釋
[Quidway]acl num 200
[Quidway]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2
[Quidway]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1
[Quidway]mirrored-to link-group 200 interface e0/8
#假定一臺pc接在交換機0/1端口,另一臺pc接在交換機0/2端口�,假定server接在交換機e0/8口。
注:
1. S2026/S2016/S2008/S2403H的端口鏡像配置和S3026一致
2. S5516和S6506目前不支持鏡像的配置。
2.7 堆疊管理配置
2.7.1 功能需求及組網(wǎng)說明
圖2-7 堆疊管理配置
說明:如圖�����,交換機SwitchA通過堆疊1000M口GigabitEthernet 1/1與SwitchB的GigabitEthernet 1/1連接�,同時SwitchA通過堆疊1000M口GigabitEthernet 2/1與SwitchC的GigabitEthernet 1/1連接�����。
需求1:SwitchA作為堆疊主交換機管理SwitchB和SwitchC��,要求SwitchA使用10.10.10.1/24作為堆疊地址池�����。
2.7.2 配置
表2-9 堆疊管理配置
配置過程
注釋
SwitchA交換機配置:
[SwitchA]stacking ip-pool 10.10.10.1 3
[SwitchA]stacking enable
查看堆疊信息:
[stack_0.SwitchA]display stack
Main device for stack.
Total members:2
查看堆疊成員信息:
[stack_0.SwitchA]display stacking members
Member number:0
Name:stack_0.SwitchA
Device:Quidway S3526
MAC Address:00e0-fc00-0003
Member status:Cmdr
IP: 10.10.10.1/16
Member number:1
Name:stack_1.SwitchB
Device:Quidway S3026
MAC Address:00e0-fc06-a045
Member status:Up
IP: 10.10.10.2/16
Member number:2
Name:stack_1.SwitchC
Device:Quidway S3026
MAC Address:00e0-fc06-a045
Member status:Up
IP: 10.10.10.3/16
登錄成員交換機SwitchB:
stacking 1
登錄成員交換機SwitchC
stacking 2
#指定堆疊管理地址池
#使能堆疊��,幾秒鐘后兩個從交換機加入���。
#登錄成員交換機switchB
#登錄成員交換機switchC
注意:
1. 缺省情況下�,堆疊地址池為空�,建立堆疊必須先配置地址池;
2. 缺省情況下堆疊會在成員交換機上創(chuàng)建interface vlan 1�,所以如果成員是二層交換機,請不要創(chuàng)建非VLAN 1的虛接口;
3. S6500系列交換機不支持堆疊�����。
2.8 HGMP V1管理配置
2.8.1 功能需求及組網(wǎng)說明
圖2-8 HGMP V1 管理配置
說明:如圖�����,交換機SwitchA通過ethernet 0/23與SwitchB的ethernet 0/16連接�����,同時SwitchA通過ethernet 0/24與SwitchC的ethernet 0/16連接�。
需求1:SwitchA作為HGMP Server交換機管理 HGMP clinet 交換機SwitchB和SwitchC,在Switch A上開啟HGMP server的功能.
2.8.2 配置
表2-10 HGMP V1配置
配置過程
注釋
SwitchA交換機配置:
[SwitchA] hgmp enable
[SwitchA] interface e0/23
[SwitchA-Ethernet0/23]hgmpport enable
[SwitchA] interface e0/24
[SwitchA-Ethernet0/23]hgmpport enable
[SwitchA] hgmp enable
[SwitchA-hgmp] display lanswitch all
Lanswitch list.........
------------------
No. 1
------------------
Position : LANSWITCH[0/0/23-/]
PortMode : TREE_MODE
Lanswitch Name :
Model : Quidway S2016B
Device ID : Vf.30.1
MacAddr : 00e0-fc0c-0f44
Status : NORMAL
[SwitchA-hgmp]lanswitch 0/0/23-/
[SwitchA-lanswitch0/0/23-/]
#開啟HGMP Server服務
#開啟端口HGMP功能
#顯示注冊成功的HGMP Client交換機
#代表在Switch A上的e0/23上直接連接了一臺交換機S2016B���,注冊成功.
#進入S2016B的配置模式�����,對其相應的參數(shù)進行配置
注:
1. 如果client端是B系列交換機���,請在系統(tǒng)視圖下配置hgmp enable;
2. 如果client端不是帶B的交換機��,在boot menu菜單下選擇開啟HGMP模式即可;
3. HGMP CLENT端的上行端口必須是指定的端口�,否則無法管理。
2.9 集群管理(HGMP V2)配置
2.9.1 功能需求及組網(wǎng)說明
圖2-9 集群管理配置
說明:如圖��,交換機SwitchA通過ethernet 0/1與SwitchB的ethernet 0/24連接����,同時SwitchA通過ethernet 0/2與SwitchC的ethernet 0/24連接��。
需求1:SwitchA作為命令交換機來管理成員交換機SwitchB和SwitchC�,要求使用SwitchA使用10.10.10.1/24作為集群地址池,集群的名稱為huawei
2.9.2 配置
表2-11 集群管理配置
配置過程
注釋
SwitchA交換機配置:
[SwitchA]cluster
[SwitchA-cluster]ip-pool 10.10.10.1 24
[SwitchA-cluster]build Huawei
[huawei_0.SwitchA-cluster]auto-build
Collecting candidate list, please wait...
Candidate list:
Name Hops MAC Address Device
SwitchB 1 00e0-fc06-a045 Quidway S3026
SwitchC 2 00e0-fc06-a021 Quidway S3026
Add all to cluster?(Y/N)y
Cluster auto-build Finish!
2 member(s) added successfully.
查看集群成員:
[huawei_0.SwitchA-cluster]display cluster members
SN Device MAC Address Status Name
0 Quidway S3526 00e0-fc00-0003 Admin Huawei_0. SwitchA
1 Quidway S3026 00e0-fc06-a045 Up Huawei_1. SwitchB
2 Quidway S3026 00e0-fc06-a021 Up Huawei_3. SwitchC
[huawei_0.SwitchA-cluster]
登錄成員交換機SwitchB:
cluster switch-to 1
登錄成員交換機SwitchC
cluster switch-to 2
#指定集群內(nèi)部使用的地址池
#配置集群名稱
#使用命令自動加入成員
#此處輸入Y��,將成員全部加入
#Up表示成員正常
#登錄成員交換機swtichB
#登錄成員交換機swtichC
注:
缺省情況下集群會在成員交換機上創(chuàng)建interface vlan 1����,所以如果成員是二層交換機,請不要創(chuàng)建非VLAN 1的虛接口�。
第3章 LANSWITCH高級應用典型配置
3.1 STP配置
3.1.1 功能需求及組網(wǎng)說明
圖3-1 STP配置
說明:如圖,交換機SwitchA�、SwitchB和SwitchC都通過GE接口互連;SwitchB和SwitchC交換機是核心交換機���,要求主備�����。
需求:要求整個網(wǎng)絡運行STP協(xié)議�。
3.1.2 STP配置
表3-1 STP配置
配置過程
注釋
SwitchA交換機配置:
[SwitchA]stp enable
SwitchB交換機配置:
[SwitchB]stp enable
[SwitchB]stp root primary
SwitchC交換機配置:
[SwitchC]stp enable
[SwitchC]stp root secondary
SwitchD交換機配置:
[SwitchD]stp enable
#啟動生成樹協(xié)議
#啟動生成樹協(xié)議
#配置本橋為根橋
#啟動生成樹協(xié)議
#配置本橋為備份根橋
#啟動生成樹協(xié)議
注:
1. 缺省情況下交換機的優(yōu)先級都是32768,如果想人為指定某一臺交換機為根交換機����,也可以通過修改優(yōu)先級來實現(xiàn);
2. 缺省情況下打開生成樹后���,所有端口都會開啟生成樹協(xié)議���,請把接PC的端口改為邊緣端口模式。
3.2 路由協(xié)議配置
3.2.1 功能需求及組網(wǎng)說明
PC2
PC1
圖3-2 路由協(xié)議配置
說明:如圖�,交換機lanswitchA、lanswitchB�、lanswitchC實現(xiàn)互連。其中l(wèi)answitchA上vlan 10接局域網(wǎng)�����,interface vlan 10的IP地址為為10.1.1.1 /24�����,lanswitchA和lanswitchB通過VLAN 20互連,lanswitchA上vlan 20的虛接口地址為20.1.1.1 /24��,lanswitchB上vlan 20的虛接口地址為20.1.1.2 /24���;lanswitchB和lanswitchC通過vlan 30互連����,lanswitchB上vlan 30的虛接口地址為30.1.1.1 /24�,lanswitchC上vlan 30的虛接口地址為30.1.1.2/24���;lanswitchC上vlan 40接局域網(wǎng)����,interface vlan 40的IP地址為40.1.1.1/24
需求: 交換機之間運行動態(tài)路由協(xié)議�����,保證PC1和PC2互通�。
(PC1的IP地址為10.1.1.2/24,網(wǎng)關(guān)為10.1.1.1�����;PC2的IP地址為40.1.1.2/24,網(wǎng)關(guān)為40.1.1.2)
請分別寫出運行RIP���、OSPF的配置�����。
3.2.2 配置
l rip:
表3-2 RIP協(xié)議配置
配置過程
注釋
LANSWITCHA:
[SwitchA]VLAN 10
[SwitchA-vlan10]PORT (VLAN 10的端口)
[SwitchA-vlan10]Int vlan 10
[SwitchA-Vlan-interface10]Ip add 10.1.1.1 255.255.255.0
[SwitchA]Vlan 20
[SwitchA-vlan10]Port (vlan 20的端口)
[SwitchA-vlan10]Int vlan 20
[SwitchA-Vlan-interface10]Ip add 20.1.1.1 255.255.255.0
[SwitchA-Vlan-interface10]quit
[SwitchA]rip
[SwitchA-rip]Network 10.1.1.0
[SwitchA-rip]Network 20.1.1.0
LANSWTICHB:
[SwitchB]VLAN 20
[SwitchB-vlan20]PORT (VLAN 20的端口)
[SwitchB-vlan20]Int vlan 20
[SwitchB-Vlan-interface20] Ip add 20.1.1.2 255.255.255.0
[SwitchB-Vlan-interface20]Vlan 30
[SwitchB-vlan30]Port (vlan 30的端口)
[SwitchB-vlan30]Int vlan 30
[SwitchB-Vlan-interface30] Ip add 30.1.1.1 255.255.255.0
[SwitchB-Vlan-interface30]quit
[SwitchB]rip
[SwitchB-rip]Network 20.1.1.0
[SwitchB-rip]Network 30.1.1.0
LANSWITCHC:
[SwitchC]VLAN 30
[SwitchC-vlan30]PORT (VLAN 30的端口)
[SwitchC-vlan30]Int vlan 30
[SwitchC-Vlan-interface30]Ip add 30.1.1.2 255.255.255.0
[SwitchC-Vlan-interface30]Vlan 40
[SwitchC-vlan40]Port (vlan 40的端口)
[SwitchC-vlan40]Int vlan 40
[SwitchC-Vlan-interface40]Ip add 40.1.1.1 255.255.255.0
[SwitchC-Vlan-interface40]quit
[SwitchC]rip
[SwitchC-rip]Network 30.1.1.0
[SwitchC-rip]Network 40.1.1.0
#配置相關(guān)VLAN信息
#啟動RIP協(xié)議
#從10.1.1.0網(wǎng)段的接口發(fā)布和接收RIP路由信息
l OSPF:
表3-3 OSPF協(xié)議配置
配置過程
注釋
LANSWITCHA:
[SwitchA]VLAN 10
[SwitchA-vlan10]PORT (VLAN 10的端口)
[SwitchA-vlan10]Int vlan 10
[SwitchA-Vlan-interface10]Ip add 10.1.1.1 255.255.255.0
[SwitchA-Vlan-interface10]Vlan 20
[SwitchA-vlan20]Port (vlan 20的端口)
[SwitchA-vlan20]Int vlan 20
[SwitchA-Vlan-interface20]Ip add 20.1.1.1 255.255.255.0
[SwitchA-Vlan-interface10]quit
[SwitchA]Ospf
[SwitchA-ospf]Area 0
[SwitchA-ospf-area-0.0.0.0]Network 10.1.1.1 255.255.255.0
[SwitchA-ospf-area-0.0.0.0]Network 20.1.1.1 255.255.255.0
LANSWTICHB:
[SwitchB]VLAN 20
[SwitchB-vlan20]PORT (VLAN 20的端口)
[SwitchB-vlan20]Int vlan 20
[SwitchB-Vlan-interface20]Ip add 20.1.1.2 255.255.255.0
[SwitchB-Vlan-interface20]Vlan 30
[SwitchB-vlan30]Port (vlan 30的端口)
[SwitchB-vlan30]Int vlan 30
[SwitchB-Vlan-interface30]Ip add 30.1.1.1 255.255.255.0
[SwitchB-Vlan-interface30]quit
[SwitchB]Ospf
[SwitchB-ospf]Area 0
[SwitchB-ospf-area-0.0.0.0]Network 20.1.1.2 255.255.255.0
[SwitchB-ospf-area-0.0.0.0]Network 30.1.1.1 255.255.255.0
LANSWITCHC:
[SwitchC]VLAN 30
[SwitchC-vlan30]PORT (VLAN 30的端口)
[SwitchC-vlan30]Int vlan 30
[SwitchC-Vlan-interface30]Ip add 30.1.1.2 255.255.255.0
[SwitchC-Vlan-interface30]Vlan 40
[SwitchC-vlan40]Port (vlan 40的端口)
[SwitchC-Vlan40]Int vlan 40
[SwitchC-Vlan-interface40]Ip add 40.1.1.1 255.255.255.0
[SwitchC-Vlan-interface30]quit
[SwitchC]Ospf
[SwitchC-ospf]Area 0
[SwitchC-ospf-area-0.0.0.0]Network 30.1.1.2 255.255.255.0
[SwitchC-ospf-area-0.0.0.0]Network 40.1.1.1 255.255.255.0
#配置相關(guān)VLAN信息
#啟動OSPF路由協(xié)議
#指定區(qū)域號
#從該網(wǎng)段的接口接收和發(fā)布路由信息
3.3 組播配置
3.3.1 功能需求及組網(wǎng)說明
圖3-3 三層交換機組播配置
說明:如圖�����,三層交換機SwitchA通過上行口G1/1連接組播服務器�����,地址為192.168.0.10/24���,交換機連接組播服務器接口interface vlan 100,地址為192.168.0.1�����。vlan10和vlan20下掛兩個二層交換機SwitchB和SwitchC�����,地址為10.10.10.1/24和10.10.20.1/24。
需求1:在SwitchA����、SwitchB和SwitchC上運行組播協(xié)議,要求L3上配置為IP PIM-SM模式
3.3.2 配置
表3-4 組播配置
配置過程
注釋
switchA:
[SwitchA]multicast routing-enable
[SwitchA]int vlan 100
[SwitchA-Vlan-interface100]ip add 192.168.0.1 255.255.255.0
[SwitchA]int vlan 10
[SwitchA-Vlan-interface10]ip add 10.10.10.1 255.255.255.0
[SwitchA-Vlan-interface10]pim SM
[SwitchA-Vlan-interface10]quit
[SwitchA]interface Vlan-interface 20
[SwitchA-Vlan-interface20]ip add 10.10.20.1 255.255.255.0
[SwitchA-Vlan-interface20]pim SM
[SwitchA-Vlan-interface20]quit
[SwitchA]pim
[SwitchA-pim]c-bsr vlan 100 24
[SwitchA-pim]c-rp vlan 100
swtichB,switchC可以不配置���,或者支持IGMP SNOOPING��, 可以系統(tǒng)視圖啟動multicast routing-enable�。
#使能多播路由
#在接口上啟動PIM SM
#在接口上啟動PIM SM
#進入PIM視圖
#配置候選BSR
#配置候選RP
注:
1. PIM-DM的配置相對簡單��,只需兩步:
n 在系統(tǒng)視圖下配置multicast routing-enable
n 在接口上配置PIM-DM
n 不需要配置c-bsr和c-rp
2. 如果是二層交換機����,則只需在系統(tǒng)視圖下配置igmp-snooping即可�����;
3. 目前交換機的IGMP只支持V1/V2版本�。
3.4 DHCP-RELAY配置
3.4.1 功能需求及組網(wǎng)說明
圖3-4 DHCP中繼配置
說明:如圖,交換機SwitchA通過上行口G1/1連接DHCPserver���,地址為192.168.0.10/24�,交換機連接DHCP server接口interface vlan 100,地址為192.168.0.1��。下掛兩個用戶網(wǎng)段���,vlan10和vlan20�����,vlan 10包含的端口為ethernet 0/1到ethernet 0/10�����,網(wǎng)段為10.10.1.1/24���,vlan 20包含端口為ethernet 0/11到ethernet 0/20,網(wǎng)段為10.10.2.1/24��。
需求:在Switch上配置DHCP中繼
3.4.2 配置
表3-5 DHCP中繼配置
配置過程
注釋
SwitchA交換機配置:
[SwitchA]dhcp-server 0 ip 192.168.0.10
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 1/1
[SwitchA-vlan100]q
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
[SwitchA-vlan10]q
[SwitchA]interface Vlan-interface 10
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
[SwitchA-Vlan-interface10]dhcp-server 0
[SwitchA-Vlan-interface10]q
[SwitchA-vlan10]vlan 20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
[SwitchA]interface Vlan-interface 20
[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
[SwitchA-Vlan-interface20]dhcp-server 0
#指定DHCP server0的IP地址
#配置鏈接DHCP server的vlan ���。
#添加vlan10�,網(wǎng)段地址為10.10.1.1/24
#指定vlan 10使用DHCP server0的地址
#添加vlan 20�����,網(wǎng)段地址為10.10.2.1/24
#指定vlan 20使用DHCP server0的地址
注:
目前中低端交換機均不支持DHCP SERVER,只能做relay�。
3.5 802.1X配置
3.5.1 功能需求及組網(wǎng)說明
圖3-5 802.1X配置
說明:如圖,交換機SwitchA通過上行口G1/1連接RADIUS server���,地址為192.168.0.100/24�,交換機連接RADIUS server接口interface vlan 100�,地址為192.168.0.1。下掛兩個用戶網(wǎng)段���,vlan10和vlan20�,vlan 10包含的端口為ethernet 0/1到ethernet 0/10�����,網(wǎng)段為10.10.1.1/24���,vlan 20包含端口為ethernet 0/11到ethernet 0/20,網(wǎng)段為10.10.2.1/24��。
需求:在Switch上配置802.1X
3.5.2 配置
表3-6 802.1X配置
配置過程
注釋
本地認證配置:
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 1/1
[SwitchA-vlan100]quit
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
[SwitchA-vlan10]quit
[SwitchA]interface Vlan-interface 10
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
[SwitchA-Vlan-interface10]quit
[SwitchA-vlan10]vlan 20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
[SwitchA]interface Vlan-interface 20
[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
802.1X相關(guān)配置:
[SwitchA]dot1x
[SwitchA]dot1x interface eth 0/1 to eth 0/10
[SwitchA]local-user test
[SwitchA-user-test]service-type lan-access
[SwitchA-user-test]password simple test
RADIUS認證配置
[SwitchA]dot1x
[SwitchA]dot interface eth 0/1 to eth 0/10
[SwitchA]radius scheme radius1
[SwitchA-radius-radius1]primary authentication 192.168.0.100
[SwitchA-radius-radius1]primary accounting 192.168.0.100
[SwitchA-radius-radius1]key authentication test
[SwitchA-radius-radius1]key accounting test
[SwitchA-radius-radius1]user-name-format without-domain
[SwitchA]domain Huawei
[SwitchA-isp-huawei]radius-scheme radius1
#本地認證不需要RADIUS server���,我們可以將圖1中的RADIUS server去掉�。
#配置vlan 100,地址為192.168.0.1/24
#添加vlan10���,網(wǎng)段地址為10.10.1.1/24
#添加vlan 20���,網(wǎng)段地址為10.10.2.1/24
#采用默認基于MAC的認證方式
#只在前10個端口上開啟802.1X
#這里采用缺省域system,并且缺省域引用缺省radius方案system����。
#如果不采用缺省域system,可以以下面的“RADIUS認證配置”為例設置��,只不過服務器地址為127.0.0.1�,認證/計費端口分別為1645/1646。
#添加本地用戶test�����,密碼為test(明文)
#前面的添加vlan和配置IP地址等和本地配置相同�����,不再重復���。只講802.1X部分
#設置認證方式為RADIUS��,RADIUS認證不成功取本地認證����。
#設置主認證服務器
#本例認證和計費在一個服務器中
#key應該與服務器的設置一致
#交換機送給RADIUS報文去掉域名
#增加一個域
#在域里引用前面設置的radius方案
注意:
1. 一般情況下接入端用戶名需要加上域,本例客戶端認證的時候輸入用戶名時就需要加上域名����;
2. 可以在系統(tǒng)視圖下通過命令domain default enable domain-name 來指定缺省的域名,這樣如果用戶進行認證的時候沒有輸入用戶名�����,則采用缺省指定域名來進行認證和計費�;
3. 新的版本支持對用戶是否使用了代理進行檢測,可以在系統(tǒng)視圖下通過命令dot1x supp-proxy-check xxx實現(xiàn)�;
4. 新的版本也將支持多種認證方式(PAP、CHAP�����、EAP-MAD5)�����,請在系統(tǒng)視圖下通過命令dot1x authentication-method xxx來配置(如果命令行沒有這條命令�����,這說明當前版本不支持多種認證方式�,只支持缺省的CHAP認證方式。)
3.6 VRRP配置
3.6.1 功能需求及組網(wǎng)說明
圖3-6 VRRP配置
說明:如圖���,交換機SwitchA通過ethernet 0/24與SwitchB的ethernet 0/24連接�,同時連接HostA,SwitchA和SwitchB上分別創(chuàng)建兩個虛接口�,interface vlan 10和interface 20做為三層接口,其中interface vlan 10分別包含ethernet 0/24端口��,interface 20包含ethernet 0/23端口����,做為出口。
需求:SwitchA和 SwitchB之間做VRRP����,interface vlan 10做為虛擬網(wǎng)關(guān)接口,Switch A為主設備����,允許搶占���,SwitchB為從設備,Host A主機的網(wǎng)關(guān)設置為VRRP虛擬網(wǎng)關(guān)IP192.168.100.1����,進行冗余備份。訪問遠端主機Host B10.1.1.1/24
3.6.2 配置
表3-7 VRRP 配置
配置過程
注釋
SwitchA交換機配置:
[SwitchA] vlan 10
[SwitchA-vlan10] port Ethernet 0/24
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/23
[SwitchA-vlan20]int vlan 20
[SwitchA-Vlan-interface20]ip add 11.1.1.1 255.255.255.252
[SwitchA-Vlan-interface20]quit
[SwitchA] interface vlan 10
[SwitchA-Vlan-interface10]ip address 192.168.100.2 255.255.255.0
[SwitchA-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.100.1
[SwitchA-Vlan-interface10]vrrp vrid 1 priority 120
[SwitchA-Vlan-interface10]vrrp vrid 1 preempt-mode
[SwitchA-Vlan-interface10]vrrp vrid 1 track Vlan-interface 20 reduced 30
[SwitchA-Vlan-interface10]quit
[SwitchA]ip route-static 10.1.1.1 255.255.255.0 11.1.1.2
Switch B配置:
[SwitchA] vlan 10
[SwitchA-vlan10] port Ethernet 0/24
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/23
[SwitchA-vlan20]int vlan 20
[SwitchA-Vlan-interface20]ip add 12.1.1.1 255.255.255.252
[SwitchA-Vlan-interface20]quit
[SwitchA] interface vlan 10
[SwitchA-Vlan-interface10]ip address 192.168.100.3 255.255.255.0
[SwitchA-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.100.1
[SwitchA-Vlan-interface10]vrrp vrid 1 preempt-mode
[SwitchA-Vlan-interface10]
[SwitchA-Vlan-interface10]quit
[SwitchA]ip route-static 10.1.1.1 255.255.255.0 12.1.1.2
#創(chuàng)建vlan 10,vlan 20,虛擬接口interface vlan 10,interface vlan 20.
#接口實際IP地址
#創(chuàng)建VRRP組1�����,虛擬網(wǎng)關(guān)為192.168.100.1
#設置VRRP組優(yōu)先級為120�����,缺省為100
#設置為搶占模式
#設置監(jiān)控端口為為interface vlan 20,如果端口Down掉優(yōu)先級降低30
#配置一條到對方網(wǎng)段的靜態(tài)路由
3.7 單向訪問控制
3.7.1 功能需求及組網(wǎng)說明
l 同網(wǎng)段單向訪問控制
圖3-7 單向訪問控制
說明:如圖�����,PCA�、PCB和PCC通過交換機互連。其中PCA的IP地址為10.1.1.2/24,PCB的IP地址為10.1.1.3/24���,PCC的IP地址為10.1.1.4/24
需求:PCA����、PCB和PCC之間完成單向訪問,即PCA可以訪問PCB��、PCC�,但是PCB�����、PCC不能訪問PCA
l 不同網(wǎng)段單向訪問控制
圖3-8 不同網(wǎng)段單向訪問控制
說明:如圖���,PCA��、PCB和PCC通過交換機互連��。其中PCA的IP地址為10.1.1.2/24,PCB的IP地址為10.1.2.2/24���,PCC的IP地址為10.1.3.2/24,對應的網(wǎng)關(guān)地址分別為10.1.1.1/24���、10.1.2.1/24和10.1.3.1/24
需求:PCA����、PCB和PCC之間完成單向訪問��,即PCA可以訪問PCB、PCC�����,但是PCB���、PCC不能訪問PCA
3.7.2 配置
l 同網(wǎng)段單向ping配置
表3-8 同一網(wǎng)段PING單向訪問控制
配置過程
注釋
PCA與交換機的e0/1端口相連�����,配置如下:
[Quidway]acl number 100
[Quidway-acl-link-100]rule deny icmp source 1.1.1.1 0 destination 1.1.1.2 0 icmp-type echo
[Quidway]packet-filter ip-group 100
#配置二層訪問控制規(guī)則
#配置二層訪問控制子規(guī)則���,禁止從任何端口的入報文出端口到e0/1
#激活該規(guī)則
注:
完成上面配置后,主機地址為1.1.1.1的pc除了ping不通1.1.1.2這臺pc外����,其余的地址都可以ping通。
l 同網(wǎng)段TCP單向訪問配置
表3-9 同一網(wǎng)段TCP單向訪問控制
配置方法
注釋
[Quidway]acl number 100
[Quidway-acl-adv-100]rule deny tcp established source 1.1.1.1 0 destination 1.1.1.2 0
[Quidway]packet-filter ip-group 100
#配置三層訪問控制規(guī)則
#主機ip地址為1.1.1.1的PC無法向1.1.1.2的PC發(fā)起TCP連接建立請求
#激活該規(guī)則
注:
1. 不同網(wǎng)段的單向訪問配置類似��,請參考上面的配置��。
2. 單向訪問控制一般只能對PING和TCP報文進行控制���,無法對UDP報文進行控制��。如果要對UDP報文進行控制��,必須知道UDP報文的端口號���。
3. 該配置是以S3526E為例����,目前還有S6500系列和S5500可以支持如此配置�,對于后兩款產(chǎn)品來說�����,上面的配置僅供參考�。
3.8 雙向訪問控制
3.8.1 功能需求及組網(wǎng)說明
圖3-9 雙向訪問控制
說明:通過配置三層交換機的acl來實現(xiàn)vlan之間的訪問控制
需求:組網(wǎng)和vlan分配如圖所示,要求vlan 10���、20���、30均可以訪問server 1,但是只有vlan 10和vlan 20可以訪問server 2����,同時vlan 10�、20���、30之間不能互訪�。
3.8.2 配置
表3-10 雙向訪問控制
配置過程
注釋
交換機配置:
[Switch] vlan 10
[Switch-vlan10] interface Vlan-interface 10
[Switch-Vlan-interface10]ip address 10.10.1.1 255.255.0.0
[Switch] vlan 20
[Switch-vlan20] interface Vlan-interface 20
[Switch-Vlan-interface20]ip address 10.20.1.1 255.255.0.0
[Switch] vlan 30
[Switch-vlan30] interface Vlan-interface 30
[Switch-Vlan-interface30]ip address 10.30.1.1 255.255.0.0
[Switch] vlan 100
[Switch-vlan100] interface Vlan-interface 100
[Switch-Vlan-interface100]ip address 10.100.1.1 255.255.0.0
[Switch] vlan 200
[Switch-vlan200] interface Vlan-interface 200
[Switch-Vlan-interface200]ip address 10.200.1.1 255.255.0.0
[Switch] acl num 100
[Switch-acl-adv-100]rule deny ip source 10.10.1.1 0.0.255.255 destination 10.20.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.10.1.1 0.0.255.255 destination 10.30.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.20.1.1 0.0.255.255 destination 10.10.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.20.1.1 0.0.255.255 destination 10.30.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.30.1.1 0.0.255.255 destination 10.10.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.30.1.1 0.0.255.255 destination 10.20.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.30.1.1 0.0.255.255 destination 10.200.1.1 0.0.255.255
[Switch]packet-filter ip 100
#配置VLAN 10
#配置VLAN 10 虛接口
#配置VLAN 20
#配置VLAN 20 虛接口
#配置VLAN 30
#配置VLAN 30 虛接口
#配置VLAN 100
#配置VLAN 100 虛接口
#配置VLAN 200
#配置VLAN 200 虛接口
#配置acl訪問控制列表禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.20.0.0
#禁止網(wǎng)段10.10.0.0訪問網(wǎng)段10.30.0.0
#禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.10.0.0
#禁止網(wǎng)段10.20.0.0訪問網(wǎng)段10.30.0.0
#禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.10.0.0
#禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.20.0.0
#禁止網(wǎng)段10.30.0.0訪問網(wǎng)段10.200.0.0
#下發(fā)訪問控制列表
注:
如果是同一網(wǎng)段內(nèi)的雙向訪問控制����,也可以通過端口的hybrid屬性來實現(xiàn),具體的內(nèi)容可以參考第二章關(guān)于端口bybrid屬性的配置部分����。
3.9 IP+MAC+端口綁定
3.9.1 功能需求及組網(wǎng)說明
圖3-10 IP地址綁定
說明:通過對三層交換機進行ip+mac+端口的綁定,實現(xiàn)對合法用戶上網(wǎng)的保護�����,訪問惡意用戶通過修改地址上網(wǎng)�。
需求:對合法的用戶進行ip+mac+端口的綁定,防止惡意用戶通過更換自己的地址上網(wǎng)的行為���。
3.9.2 配置
表3-11 IP+MAC+端口的綁定
配置過程
注釋
配置方法一:采用DHCP-SECURITY來實現(xiàn):
[Quidway]mac-address static 00e0-fca0-6500 interface e0/1 vlan 1
[Quidway]dhcp-security 10.1.1.2 00e0-fca0-6500 static
[Quidway-Vlan-interface1]dhcp-server 1
[Quidway-Vlan-interface1]address-check enable
#配置端口的靜態(tài)MAC地址
#配置IP和MAC對應表
#配置dhcp-server組號(否則不允許執(zhí)行下一步����,此dhcp-server組不用在交換機上創(chuàng)建也可)
#使能三層地址檢測
#完成此配置即可使10.1.1.2這臺pc只有接到e0/1才可以上網(wǎng)
配置方法二:采用AM命令來實現(xiàn)
[Quidway]am enable
[Quidway]int e0/1
[Quidway-Ethernet0/1]am ip-pool 10.110.91.129 10
#使能AM功能
#該端口只允許起始IP地址為10.110.91.129的10 IP地址上網(wǎng)
#上面的配置把IP地址和端口綁定起來了,MAC地址和端口的綁定參照上面的配置��。IP和MAC的綁定可以通過靜態(tài)ARP來實現(xiàn)�。
注意:
1. 該配置以3526-0008版本為例
2. 三層交換機中目前只有S3526系列支持使用AM命令來進行IP地址和端口的綁定。并且如果S3526系列交換機要采用AM命令來實現(xiàn)綁定功能�,則交換機必須是做三層轉(zhuǎn)發(fā)(即用戶的網(wǎng)關(guān)應該在該交換機上)。
3.10 各種接入控制的配置
3.10.1 功能需求及組網(wǎng)說明
圖3-11 各種接入控制的配置
說明:如圖�,三層交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2分別屬于vlan 1��、vlan 2����,vlan 1����、vlan 2的三層接口地址分別是1.0.0.1/8、2.0.0.1/8���,上行口G 1/1是trunk端口�,并允許vlan 3 通過�����。
需求:
1. 靜態(tài)mac、端口捆綁:端口ethetnet 0/1僅僅允許pc1(mac:0.0.1)接入���。
2. 動態(tài)mac�、端口捆綁:端口ethetnet 0/1僅僅允許一個主機(任何mac地址)接入����。
3. ip、端口捆綁:端口ethetnet 0/1僅僅允許ip地址為(ip:1.0.0.2)的主機接入
4. ip����、mac捆綁:vlan 1下的主機pc1(mac:0.0.1)必須使用ip地址(ip:1.0.0.2)才可以通過交換機。
5. mac��、ip���、端口捆綁:端口ethetnet 0/1僅僅允許mac地址為(mac:0.0.1)而且ip地址為(ip:1.0.0.2)的主機接入��。
3.10.2 配置
表3-12 接入控制配置
配置過程
注釋
需求1:
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 deny ingress interface e0/1 egress any
[Quidway-acl-link-200]rule 1 permit ingress 0.0.1 interface e0/1 egress any
[Quidway-acl-link-200]quit
[Quidway]packet-filter link-group 200
#靜態(tài)mac����、端口捆綁
#命令舉例以S3526E為例����。
#這里必須嚴格rule規(guī)則的順序��,否則不生效����。
需求2:
[Quidway-Ethernet0/2]mac-address max-mac-count 1
#動態(tài)mac�、端口捆綁
需求3:
[Quidway]acl num 1
[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0
[Quidway-acl-basic-1]quit
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 deny ingress interface e0/1 egress any
[Quidway-acl-link-200]rule 1 permit ingress interface e0/1 egress any
[Quidway-acl-link-200]quit
[Quidway]packet-filter ip-group 1 rule 0 link-group 200 rule 0
[Quidway]packet-filter ip-group 1 rule 1 link-group 200 rule 1
#ip、端口捆綁
#命令舉例以S3526E為例����。
注:這是用QACL命令實現(xiàn)的,該功能在S3526系列交換機上可以使用用靜態(tài)dhcp和am命令分別實現(xiàn)�����,具體情況請參考上面的內(nèi)容�����。
需求4:
[Quidway]acl number 1
[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0
[Quidway-acl-basic-1]quit
[Quidway]acl number 200
[Quidway-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any
[Quidway-acl-link-200]rule 0 deny ingress 1 0000-0000-0001 0000-0000-0000 egress any
[Quidway-acl-link-200]quit
[Quidway]packet-filter ip-group 1 rule 0 link-group 200 rule 1
[Quidway]packet-filter link-group 200 rule 0
#ip�、mac捆綁
#命令舉例以S3526E為例����。
需求5:
[Quidway]acl number 1
[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0
[Quidway-acl-basic-1]quit
[Quidway]acl number 200
[Quidway-acl-link-200]rule 0 deny ingress interface Ethernet0/1 egress any
[Quidway-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any
[Quidway-acl-link-200]quit
[Quidway]packet-filter link-group 200 rule 0
[Quidway]packet-filter ip-group 1 rule 0 link-group 200 rule 1
#命令舉例以S3526E為例。
3.11 基于端口限速的配置
3.11.1 功能需求及組網(wǎng)說明
圖3-12 端口限速配置
說明:如圖�����,交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2��。
需求:
1. 對進入ethetnet 0/1的流量做限速��;
2. 對從ethernet 0/2出的流量做限制(流量的粒度與產(chǎn)品有關(guān))�。
3.11.2 配置
表3-13 端口限速配置
配置過程
注釋
需求1:
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 permit ingress any egress any
[Quidway-acl-link-200]quit
[Quidway]interface e0/1
[Quidway-Ethernet0/1]traffic-limit inbound link-group 200 8
需求2:
[Quidway-Ethernet0/1]interface e0/2
[Quidway-Ethernet0/2]line-rate 8
#命令舉例以S3526E為例。
注:
1. 目前低端交換機中只有S3X00E和S3050系列交換機支持端口限速
2. S3X00E和S3050百兆口的粒度為1M���,千兆口的粒度為8M
3. 中端交換機也支持該功能�,由于S6506還沒有提供新命令行版本����,相關(guān)配置在下一個版本的配置案例中提供。
3.12 基于流限速的配置
3.12.1 功能需求及組網(wǎng)說明
圖3-13 基于流限速的配置
說明:如圖����,三層交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2分別屬于vlan 1���、vlan 2���,vlan 1�、vlan 2的三層接口地址分別是1.0.0.1/8����、2.0.0.1/8,上行口G 1/1是trunk端口��,并允許vlan 3 通過�����。
需求:
¨ 對位于ethetnet 0/1下的pc1(mac:0.0.1)進入端口的流量做限速�����。
¨ 對位于ethetnet 0/1下的pc1(mac:0.0.1)訪問本vlan的流量做限速�。
¨ 對位于ethetnet 0/2下的pc2(ip:2.0.0.2)進入端口的流量做限速。
¨ 對pc1到pc2的流量做限速��。
¨ 在上行口對vlan 3外出的流量做限速�����。
3.12.2 配置
表3-14 基于流的限速配置
配置過程
注釋
需求1:
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 permit ingress 0.0.1 0-0-0 egress any
[Quidway-acl-link-200]quit
[Quidway]interface e0/1
[Quidway-Ethernet0/1]traffic-limit inbound link-group 200 8
#命令舉例以S3526E為例��。
需求2:
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 permit ingress 0.0.1 egress 1
[Quidway-acl-link-200]quit
[Quidway]interface e3/0/1
[Quidway-Ethernet3/0/1]traffic-limit inbound link-group 200 20480
#命令舉例以S6506為例�。S3526E不支持目的vlan,而S6506�、S5516支持。
#假設FE在3槽位
需求3:
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 permit ingress 0.0.2 0-0-0 egress any
[Quidway-acl-link-200]quit
[Quidway]interface e0/2
[Quidway-Ethernet0/2]traffic-limit inbound link-group 200 6
#命令舉例以S3526E為例���。
需求4:
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 permit ingress interface e0/1 egress interface e0/2
[Quidway-acl-link-200]quit
[Quidway]interface e0/1
[Quidway-Ethernet0/1]traffic-limit inbound link-group 200 6
#命令舉例以S3526E為例���。
需求5:
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 permit ingress 3 egress any
[Quidway-acl-link-200]quit
[Quidway]interface e3/0/3
[Quidway-Ethernet3/0/3]traffic-limit outbound link-group 200 20480
#命令舉例以S6506為例。S3526E不支持出限速�����,而S6506支持����。
#假設FE板在3槽位
注:
上面以S6506為例的配置僅供參考,在下一版本的配置案例中將給出S6506相關(guān)的完整配置�����。
3.13 其他流動作的配置
3.13.1 功能需求及組網(wǎng)說明
圖3-14 各種流動作的配置
說明:如圖�,三層交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2分別屬于vlan 1��、vlan 2�,vlan 1��、vlan 2的三層接口地址分別是1.0.0.1/8�����、2.0.0.1/8��,上行口G 1/1是trunk端口���,并允許vlan 3 通過。
需求:
1. 訪問控制:允許位于ethetnet 0/1下的pc1(ip:1.0.0.2)進入端口的流量����,拒絕pc3(ip:1.0.0.3)的流量通過端口進入交換機。
2. 帶寬保證:保證位于ethetnet 0/1下的主機(ip網(wǎng)段:1.0.0.0/8)在上行口端口有70mbps帶寬��。
3. 擁塞避免:位于ethetnet 0/1下的主機(ip網(wǎng)段:1.0.0.0/8)在上行口端口有70mbps帶寬�����,當流量超過時�����,為了避免同步丟失�����,啟用RED��。
4. 優(yōu)先級標記:對源于pc1(ip:1.0.0.2)的報文打上ef標記���,并在上行口啟用diff以保證pc1發(fā)出的流量得到相應的服務登記���。
5. 隊列調(diào)度:當上行口發(fā)生擁塞時,保證pc2(ip:2.0.0.2)發(fā)出的報文得到優(yōu)先轉(zhuǎn)發(fā)���。
6. 流量統(tǒng)計:對主機pc1(ip:1.0.0.2)進入端口的流量進行統(tǒng)計��,以作為計費依據(jù)���。
7. 流重定向:將pc1到pc2的報文重定向到cpu。
3.13.2 配置
表3-15 其他流動作的配置
配置過程
注釋
需求1:
#該配置請參考本章第八部分����,此處不再重復。
需求2:
[Quidway]acl num 1
[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0
[Quidway-acl-basic-1]quit
[Quidway]inter e3/0/1
[Quidway-Ethernet3/0/1]traffic-bandwidtch outbround ip-group 1 64 128 80
#命令舉例以S6506為例�。S3526E不能實現(xiàn)基于流的隨即丟棄。同時����,S6506此功能只支持出方向的����,入方向的不支持��。
需求3:
[Quidway]acl num 1
[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0
[Quidway-acl-basic-1]quit
[Quidway]inter e0/1
[Quidway-Ethernet0/1]traffic-red outbround ip-group 1 64 128 80
#命令舉例以S6506為例����。S3526E不能實現(xiàn)基于流的隨即丟棄。同時����,S6506此功能只支持出方向的,入方向的不支持��。
需求4:
[Quidway]acl num 1
[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0
[Quidway-acl-basic-1]quit
[Quidway]traffic-priority ip-group 1 dscp ef
#命令舉例以S3526E為例���。
需求5:
[Quidway]acl num 1
[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0
[Quidway-acl-basic-1]quit
[Quidway]traffic-priority ip-group 1 local-precedence 7
[Quidway] queue-scheduler strict-priority
#命令舉例以S3526E為例�。
需求6:
[Quidway]acl num 1
[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0
[Quidway-acl-basic-1]quit
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 permit ingress interface e0/1 egress any
[Quidway-acl-link-200]quit
[Quidway]traffic-statistic ip-group 1 link-group 200 rule 0
#命令舉例以S3526E為例��。
需求7:
[Quidway]acl num 200
[Quidway-acl-link-200]rule 0 permit ingress interface e0/1 egress interface e0/2
[Quidway-acl-link-200]quit
[Quidway] traffic-redirect link-group 200 cpu
#命令舉例以S3526E為例���。
注:
上面以S6506為例的配置僅供參考����,在下一版本的配置案例中將給出S6506相關(guān)的完整配置�����。
本文來自ChinaUnix博客���,如果查看原文請點:http://blog.chinaunix.net/u/29831/showart_234460.html |
|
免費注冊
發(fā)表于 2007-01-19 09:50