收藏
下载资源

2022年2022年华为交换机实例

上传人:人*** 文档编号:567250334 上传时间:2024-07-19 格式:PDF 页数:45 大小:731.18KB
返回 下载 相关 举报
2022年2022年华为交换机实例_第1页
第1页 / 共45页
2022年2022年华为交换机实例_第2页
第2页 / 共45页
2022年2022年华为交换机实例_第3页
第3页 / 共45页
2022年2022年华为交换机实例_第4页
第4页 / 共45页
2022年2022年华为交换机实例_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《2022年2022年华为交换机实例》由会员分享,可在线阅读,更多相关《2022年2022年华为交换机实例(45页珍藏版)》请在金锄头文库上搜索。

1、交换机配置(一)端口限速基本配置交换机配置(二)端口绑定基本配置交换机配置(三) ACL基本配置防止同网段ARP欺骗的 ACL 交换机配置(四)密码恢复交换机配置(五)三层交换配置交换机配置(六)端口镜像配置交换机配置(七) DHCP 配置交换机配置(八)配置文件管理交换机配置(九)远程管理配置交换机配置(十) STP配置交换机配置(十一)私有VLAN配置交换机配置(十二)端口trunk 、hybrid 应用配置华为 3Com 2000_EI 、S2000-SI、S3000-SI 、S3026E 、S3526E 、S3528、S3552、S3900、S3050 、S5012 、S5024 、S

2、5600系列: 华为交换机端口限速2000_EI 系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI 直接在端口视图下面输入LINE-RATE (4 ) 参数可选 ! 端口限速配置1 功能需求及组网说明端口限速配置配置环境参数1. PC1 和 PC2的 IP 地址分别为 10.10.1.1/24、10.10.1.2/24 组网需求1. 在 SwitchA 上配置端口限速,将PC1的下载速率限制在3Mbps ,同时将 PC1的上传速率限制在1Mbps 2 数据配置步骤S2000EI系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令,来对该端口的

3、出、 入报文进行流量名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 45 页 - - - - - - - - - 限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速,限制到3Mbps SwitchA- Ethernet0/1line-rate outbound 30 3. 对端口 E0/1 的入方向报文进行流量限速,限制到1Mbps Switch

4、A- Ethernet0/1line-rate inbound 16 【补充说明】报文速率限制级别取值为1127。如果速率限制级别取值在128 范围内,则速率限制的粒度为64Kbps,这种情况下, 当设置的级别为 N,则端口上限制的速率大小为 N*64K ;如果速率限制级别取值在29127 范围内,则速率限制的粒度为 1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps 。此系列交换机的具体型号包括:S2008-EI、S2016-EI 和 S2403H-EI。S2000-SI 和 S3000-SI 系列交换机端口限速配置流程使用以太网物理端口下面的line

5、-rate命令,来对该端口的出、 入报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速,限制到6Mbps SwitchA- Ethernet0/1line-rate outbound 2 3. 对端口 E0/1 的入方向报文进行流量限速,限制到3Mbps SwitchA- Ethernet0/1line-rate inbound 1 【补充说明】对端口发送或接收报文限制的总速率,这里以8 个级别来表示,取值范围为18,含义为:端口工作在10M速率时, 18

6、 分别表示 312K,625K,938K,1.25M,2M ,4M ,6M ,8M ;端口工作在 100M速率时,18分别表示 3.12M,6.25M,9.38M,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 45 页 - - - - - - - - - 12.5M,20M ,40M ,60M ,80M 。此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI 和 E026-SI。S3026E 、S3526E 、S3050 、S5012 、S50

7、24系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令, 对该端口的出方向报文进行流量限速;结合 acl ,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速,限制到3Mbps SwitchA- Ethernet0/1line-rate 3 3. 配置 acl ,定义符合速率限制的数据流SwitchAacl number 4000 SwitchA-acl-link-

8、4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速,限制到1Mbps SwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1 exceed drop 【补充说明】line-rate命 令 直 接 对 端 口 的 所 有 出 方 向 数 据 报 文 进 行 流 量 限 制 , 而traffic-limit命令必须结合 acl 使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候, 也可以通过配置三层访问规则,来对指定的源或目的网

9、段报文,进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为1Mbps 。此系列交换机的具体型号包括: S3026E/C/G/T、S3526E/C/EF 、S3050C 、S5012G/T和 S5024G 。S3528 、S3552系列交换机端口限速配置流程使用以太网物理端口下面的traffic-shape和 traffic-limit命令, 分别来对该端口的出、入报文进行流量限速。【SwitchA 相关配置】名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 45

10、 页 - - - - - - - - - 1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速,限制到3Mbps SwitchA- Ethernet0/1traffic-shape 3250 3250 3. 配置 acl ,定义符合速率限制的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速,限制到1Mbps SwitchA- Ethernet

11、0/1traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop 【补充说明】此系列交换机的具体型号包括:S3528G/P和 S3552G/P/F。S3900系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令, 对该端口的出方向报文进行流量限速;结合 acl ,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA 相关配置】1. 进入端口 E1/0/1 的配置视图SwitchAinterface Ether

12、net 1/0/1 2. 对端口 E0/1 的出方向报文进行流量限速,限制到3Mbps SwitchA- Ethernet1/0/1line-rate 3000 3. 配置 acl ,定义符合速率限制的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速,限制到1Mbps SwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop 【补充说明】

13、line-rate命 令 直 接 对 端 口 的 所 有 出 方 向 数 据 报 文 进 行 流 量 限 制 , 而名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 45 页 - - - - - - - - - traffic-limit命令必须结合 acl 使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候, 也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。

14、此系列交换机的具体型号包括:S3924 、S3928P/F/TP和 S3952P 。S5600系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令, 对该端口的出方向报文进行流量限速;结合 acl ,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA 相关配置】1. 进入端口 E1/0/1 的配置视图SwitchAinterface Ethernet 1/0/1 2. 对端口 E0/1 的出方向报文进行流量限速,限制到3Mbps SwitchA- Ethernet1/0/1line-rate

15、3000 3. 配置 acl ,定义符合速率限制的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速,限制到1Mbps SwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop 【补充说明】line-rate命 令 直 接 对 端 口 的 所 有 出 方 向 数 据 报 文 进 行 流 量 限 制 , 而traffic-limit命令必须结

16、合 acl 使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候, 也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括:S5624P/F和 S5648P 。交换机配置(二)端口绑定基本配置1,端口 +MAC 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 45 页 - - - - - - - - - a)AM命令使用特殊的 AM Use

17、r-bind 命令,来完成 MAC 地址与端口之间的绑定。例如:SwitchAam user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1 只允许 PC1上网,而使用其他未绑定的MAC 地址的 PC机则无法上网。但是PC1使用该 MAC 地址可以在其他端口上网。b)mac-address 命令使用 mac-address static命令,来完成 MAC 地址与端口之间的绑定。例如:SwitchAmac-address static 00e0-fc22-f8d3

18、 interface Ethernet 0/1 vlan 1 SwitchAmac-address max-mac-count 0 配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为 0,使其他 PC接入此端口后其 mac地址无法被学习。2,IP+MAC a)AM命令使用特殊的 AM User-bind 命令,来完成 IP 地址与 MAC 地址之间的绑定。例如:SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 配置说明:以上配置完成对 PC机的 IP 地址和 MAC 地址的全局绑

19、定, 即与绑定的IP 地址或者 MAC 地址不同的 PC机,在任何端口都无法上网。支 持 型 号: S3026E/EF/C/G/T、S3026C-PWR 、 E026/E026T、 S3050C 、 E050、S3526E/C/EF、S5012T/G 、S5024G b)arp 命令使用特殊的 arp static命令,来完成 IP 地址与 MAC 地址之间的绑定。例如:SwitchAarp static 10.1.1.2 00e0-fc22-f8d3 配置说明:以上配置完成对PC机的 IP 地址和 MAC 地址的全局绑定。3,端口 +IP+MAC 使用特殊的 AM User-bind 命令,

20、来完成 IP、MAC 地址与端口之间的绑定。例如:SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 45 页 - - - - - - - - - interface Ethernet 0/1 配置说明:可以完成将PC1的 IP 地址、 MAC 地址与端口 E0/1 之间的绑定功能。由于使用了端口参数, 则会以端口为参照物, 即此时端口 E0/

21、1 只允许 PC1上网,而使用其他未绑定的IP 地址、MAC 地址的 PC机则无法上网。 但是 PC1使用该 IP地址和 MAC 地址可以在其他端口上网。支持型号:S3026E/S3026E-FM/S3026-FS ;S3026G ;S3026C ;S3026C-PWR;E3026 ;E050;S3526E/C;S3526E-FM/FS; S5012T/G、S5024G 、S3900、S5600、S6500(3代引擎 ) 交换机配置(三) ACL基本配置1,二层 ACL . 组网需求 : 通过二层访问控制列表,实现在每天8:00 18:00时间段内对源MAC为00e0-fc01-0101目 的

22、MAC为00e0-fc01-0303报 文 的 过 滤 。 该 主 机 从GigabitEthernet0/1接入。. 配置步骤 : (1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily (2) 定义源 MAC 为 00e0-fc01-0101目的 MAC 为 00e0-fc01-0303 的 ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。Quidway acl name traffic-of-link link # 定义源 MAC 为 00e0-f

23、c01-0101 目的 MAC 为 00e0-fc01-0303的流分类规则。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3) 激活 ACL 。# 将 traffic-of-link的 ACL激活。Quidway-GigabitEthernet0/1 packet-filter link-group traffic-of-link 2,三层 ACL a) 基本访问控制列表配置案例名师资料总结 - -

24、 -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 45 页 - - - - - - - - - . 组网需求 : 通过基本访问控制列表, 实现在每天 8:00 18:00 时间段内对源 IP 为 10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。. 配置步骤 : (1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily (2) 定义源 IP 为 10.1.1

25、.1的 ACL # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。Quidway acl name traffic-of-host basic # 定义源 IP 为 10.1.1.1的访问规则。Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei (3) 激活 ACL 。# 将 traffic-of-host的 ACL激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic

26、-of-host b) 高级访问控制列表配置案例. 组网需求 : 公 司企 业网 通 过 Switch的 端 口 实现 各部 门之间 的互 连 。 研 发 部门 的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2 。要求正确配置 ACL ,限制研发部门在上班时间8:00 至 18:00 访问工资服务器。. 配置步骤 : (1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidway time-range huawei 8:00 to 18:00 working-day (2) 定义到工资服务器的ACL # 进入基于名字的高级访问控

27、制列表视图,命名为traffic-of-payserver。Quidway acl name traffic-of-payserver advanced 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 45 页 - - - - - - - - - # 定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0

28、 time-range huawei (3) 激活 ACL 。# 将 traffic-of-payserver的 ACL激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-payserver 3,常见病毒的 ACL 创建 acl acl number 100 禁 ping rule deny icmp source any destination any 用于控制 Blaster蠕虫的传播rule deny udp source any destination any destination-port

29、eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-ns rule deny u

30、dp source any destination any destination-port eq netbios-dgm rule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any de

31、stination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 名师资料

32、总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 45 页 - - - - - - - - - rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制 Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination a

33、ny destination-port eq 1434 下面的不出名的病毒端口号(可以不作)rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-por

34、t eq 10080 rule deny tcp source any destination any destination-port eq 455 rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any de

35、stination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置packet-filter ip-group 100 目的:针对目前网上出现的问题,对目的是端口号为1434 的

36、UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。NE80的配置:NE80(config)#rule-map r1 udp any any eq 1434 /r1为 role-map 的名字, udp 为关键字, any any 所有源、目的IP,eq 为等于,1434为 udp端口号NE80(config)#acl a1 r1 deny /a1 为 acl 的名字, r1 为要绑定的 rule-map 的名字,NE80(config-if-Ethernet1/0/0)#access-group acl a1 / 在 1/0/0 接口上绑定 acl ,acl 为关键字, a1为 ac

37、l 的名字名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 45 页 - - - - - - - - - NE16的配置:NE16-4(config)#firewall enable all / 首先启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434 /deny 为禁止的关键字,针对udp报文, any any 为所有源、目的 IP,eq 为等于, 1434 为 udp端口号NE16-4(config-

38、if-Ethernet2/2/0)#ip access-group 101 in / 在接口上启用 access-list,in 表示进来的报文, 也可以用 out 表示出去的报文中低端路由器的配置Routerfirewall enable Routeracl 101 Router-acl-101rule deny udp source any destion any destination-port eq 1434 Router-Ethernet0firewall packet-filter 101 inbound 6506产品的配置:旧命令行配置如下:6506(config)#acl ex

39、tended aaa deny protocol udp any any eq 1434 6506(config-if-Ethernet5/0/1)#access-group aaa 国际化新命令行配置如下:Quidwayacl number 100 Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidway-acl-adv-100quit Quidwayinterface ethernet 5/0/1 Quidway-Ethernet5/0/1packet-filte

40、r inbound ip-group 100 not-care-for-interface 5516产品的配置:旧命令行配置如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 45 页 - - - - - - - - - 5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434 5516(config)#flow-action fff deny 5516(config)#

41、acl bbb aaa fff 5516(config)#access-group bbb 国际化新命令行配置如下:Quidwayacl num 100 Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidwaypacket-filter ip-group 100 3526产品的配置:旧命令行配置如下:rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434 flow-action f1 deny acl ac

42、l1 r1 f1 access-group acl1 国际化新命令配置如下:acl number 100 rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0 packet-filter ip-group 101 rule 0 注:3526 产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。8016产品的配置:旧命令行配置如下:8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(confi

43、g)#acl bbb aaa deny 8016(config)#access-group acl bbb vlan 10 port all 国际化新命令行配置如下:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 45 页 - - - - - - - - - 8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#eacl bbb aaa deny 8016(config)#access-

44、group eacl bbb vlan 10 port all 防止同网段 ARP欺骗的 ACL 一、组网需求:1. 二层交换机阻止网络用户仿冒网关IP 的 ARP攻击二、组网图:图 1 二层交换机防 ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有 PC的网关, S3552P上的网关MAC 地址为 000f-e200-3999 。PC-B上装有 ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP 的 ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL (number为 5000 到 5999)的交换机,可以配置

45、ACL来进行 ARP报文过滤。全局配置 ACL禁止所有源 IP 是网关的 ARP报文acl num 5000 rule 0 deny 0806 ffff 24 64010101 ffffffff 40 rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34 其中 rule0把整个 S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 45 页 - - - - -

46、 - - - - 64010101是网关 IP 地址 100.1.1.1的 16进制表示形式。Rule1 允许通过网关发送的 ARP报文,斜体部分为网关的mac地址 000f-e200-3999 。注意:配置 Rule 时的配置顺序,上述配置为先下发后生效的情况。在 S3026C-A系统视图下发 acl 规则:S3026C-A packet-filter user-group 5000 这样只有 S3026C_A 上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的 arp 响应报文。三层交换机实现仿冒网关的ARP防攻击一、组网需求:1. 三层交换机实现防止同网段的用户仿冒网关

47、IP 的 ARP攻击二、组网图图 2 三层交换机防 ARP攻击组网三、配置步骤1. 对于三层设备, 需要配置过滤源IP 是网关的 ARP 报文的 ACL规则,配置如下ACL规则:acl number 5000 rule 0 deny 0806 ffff 24 64010105 ffffffff 40 rule0 禁止 S3526E的所有端口接收冒充网关的ARP 报文, 其中斜体部分 64010105是网关 IP 地址 100.1.1.5的 16 进制表示形式。2. 下发 ACL到全局S3526E packet-filter user-group 5000 名师资料总结 - - -精品资料欢迎下

48、载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 45 页 - - - - - - - - - 仿冒他人 IP 的 ARP防攻击一、组网需求:作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人 IP 的 ARP攻击报文进行过滤。二、组网图:参见图 1 和图 2 三、配置步骤:1. 如图 1 所示,当 PC-B发送源 IP 地址为 PC-D的 arp reply 攻击报文,源 mac是 PC-B的 mac (000d-88f8-09fa),源 ip 是 PC-D的 ip(100.1.

49、1.3),目的 ip和 mac是网关( 3552P )的,这样 3552 上就会学习到错误的arp,如下所示:- 错误 arp 表项 - IP Address MAC Address VLAN ID Port Name Aging Type 100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic 100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic 从网络连接可以知道PC-D的 arp 表项应该学习到端口E0/8 上, 而不应该学习到E0/2 端口上。但实际上交换机上学习到该ARP表项在 E0/2。上述现

50、象可以在S3552上配置静态 ARP 实现防攻击:arp static 100.1.1.3 000f-3d81-45b4 1 e0/8 2. 在图 2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。3. 对于二层设备( S3050C和 S3026E系列) ,除了可以配置静态ARP 外,还可以配置 IPMAC port 绑定,比如在 S3026C端口 E0/4 上做如下操作:am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4 则 IP 为 100.1.1.4并且 MAC 为 000d-88f8-09

51、fa的 ARP 报文可以通过 E0/4 端口,仿冒其它设备的 ARP报文则无法通过,从而不会出现错误ARP表项。四、配置关键点:此处仅仅列举了部分Quidway S系列以太网交换机的应用。 在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。5,关于 ACL规则匹配的说明名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 45 页 - - - - - - - - - a) ACL 直接下发到硬件中的情况

52、交换机中ACL 可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条 ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义 ACL时配置了匹配顺序也不起作用。ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用 ACL 、硬件转发时通过 ACL过滤转发数据等。b) ACL 被上层模块引用的情况交换机也使用 ACL来对由软件处理的报文进行过滤和流分类。此时 ACL子规则的匹配顺序有两种: config (指定匹配该规则时按用户的配置顺序)和auto (指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义 ACL的时候指定一条 AC

53、L中多个子规则的匹配顺序。 用户一旦指定某一条访问控制列表的匹配顺序, 就不能再更改该顺序。 只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。ACL被软件引用的情况包括: 路由策略引用 ACL 、 对登录用户进行控制时引用ACL等。交换机配置(四)密码恢复说明:以下方法将删除原有config文件,使设备恢复到出厂配置。在设备重启时按 Ctrl+B 进入 BOOT MENU之后,Press Ctrl-B to enter Boot Menu. 5 Password : 缺省为空,回车即可1. Download application file to flash 2. Select a

54、pplication file to boot 3. Display all files in flash 4. Delete file from Flash 5. Modify bootrom password 0. Reboot Enter your choice(0-5): 4 选择 4 No. File Name File Size(bytes) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 45 页 - - - - - - - - - = 1 S3026CG

55、SSI.btm 257224 2 wnm2.2.2-0005.zip 447827 3 snmpboots 4 4 * R0023P01.app 2985691 5 hostkey 428 6 serverkey 572 7 vrpcfg.txt 1281 Free Space : 3452928 bytes The current application file is R0023P01.app Please input the file number to delete: 7 选择 7, 删除当前的配置文件Do you want to delete vrpcfg.txt now? Yes

56、or No(Y/N)y Delete file.done! BOOT MENU 1. Download application file to flash 2. Select application file to boot 3. Display all files in flash 4. Delete file from Flash 5. Modify bootrom password 0. Reboot Enter your choice(0-5):0 选择 0, 重启设备注:删除之后交换机就恢复了出厂配置。交换机配置(五)三层交换配置1,三层交换数据包转发流程图:名师资料总结 - - -

57、精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 45 页 - - - - - - - - - 2,三层交换机配置实例:服务器 1 双网卡,内网 IP:192.168.0.1,其它计算机通过其代理上网PORT1 属于 VLAN1 PORT2 属于 VLAN2 PORT3 属于 VLAN3 VLAN1 的机器可以正常上网配置 VLAN2的计算机的网关为: 192.168.1.254 配置 VLAN3的计算机的网关为: 192.168.2.254 即可实现 VLAN间互联如果 VLAN2和 VLAN

58、3的计算机要通过服务器1 上网则需在三层交换机上配置默认路由系统视图下: ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 然后再在服务器 1 上配置回程路由进入命令提示符route add 192.168.1.0 255.255.255.0 192.168.0.254 route add 192.168.2.0 255.255.255.0 192.168.0.254 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 45 页 - -

59、 - - - - - - - 这个时候 vlan2 和 vlan3 中的计算机就可以通过服务器1 访问 internet了 3,三层交换机 VLAN之间的通信VLAN 的划分应与 IP 规划结合起来,使得一个 VLAN 接口 IP 就是对应的子网段就是某个部门的子网段, VLAN接口 IP 就是一个子网关。 VLAN应以部门划分, 相同部门的主机 IP 以 VLAN接口 IP 为依据划归在一个子网范围,同属于一个VLAN 。这样不仅在安全上有益,而且更方便网络管理员的管理和监控。注意:各VLAN中的客户机的网关分别对应各VLAN的接口 IP。在这企业网中计划规划四个VLAN子网对应着四个重要部

60、门,笔者认为这也是小企业最普遍的部门结构,分别是: VLAN10 综合行政办公室; VLAN20 销售部; VLAN30 财务部; VLAN40 数据中心(网络中心) 。划分 VLAN以后,要为每一个VLAN配一个“虚拟接口 IP 地址” 。 VLAN10 192.168.10.1 VLAN20 192.168.20.1 VLAN30 192.168.30.1 VLAN40 192.168.40.1 拓朴图如下: VLAN及路由配置 1.DES-3326SR三层交换机的 VLAN 的配置过程:(1)创建 VLAN DES-3326SR#Config vlan default delete 1

61、-24 VLAN(default)包含的端口 1-24 DES-3326SR#Create vlan vlan10 tag 10 VLAN名为 vlan10 ,并标记 VID 为 10 DES-3326SR#Create vlan vlan20 tag 20 VLAN名为 vlan20 ,并标记 VID 为 20 DES-3326SR#Create vlan vlan30 tag 30 VLAN名为 vlan10 ,并标名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 4

62、5 页 - - - - - - - - - 记 VID 为 30 DES-3326SR#Create vlan vlan40 tag 40 VLAN名为 vlan10 ,并标记 VID 为 40 (2)添加端口到各 VLAN DES-3326SR#Config vlan vlan10 add untag 1-6 1-6 添加到 VLAN10 DES-3326SR#Config vlan vlan20 add untag 7-12 1-6 添加到VLAN20 DES-3326SR#Config vlan vlan30 add untag 13-18 1-6 添加到VLAN30 DES-3326S

63、R#Config vlan vlan40 add untag 19-24 1-6 添加到VLAN40 (3)创建 VLAN接口 IP DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled 创建虑拟的接口if10给名为 VLAN10的 VLAN子网,并且指定该接口的IP 为192.168.10.1/24。创建后 enabled 激活该接口。同样方法设置其它的接口IP: DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled DES-3326SR#C

64、reate ipif if30 192.168.30.1/24 VLAN30 state enabled DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled (4)路由当配置三层交换机的三层功能时,如果只是单台三层交换机, 只需要配置各VLAN的虚拟接口就行,不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现,因此不需要静态路由或动态路由协议的配置。 2.DES-3226S二层交换机的 VLAN 的配置过程:(1)创建 VLAN DES-3226S#Config vlan defaul

65、t delete 1 -24 VLAN(default)包含的端口 1-24 DES-3226S#Create vlan vlan10 tag 10 VLAN 名为 vlan10 ,并标记名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 45 页 - - - - - - - - - VID 为 10 (2)添加端口到各 VLAN DES-3226S#Config vlan vlan10 add untag 1-24 1-24 添加到VLAN10 同理,配置其它DES-32

66、26S二层交换机。完成以后就可以将各个所属VLAN的二层交换机与 DES-3326SR 三层交换机的相应 VLAN的端口连接即可。交换机配置(六)端口镜像配置【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026 等交换机支持的都是基于端口的镜像,有两种方法:方法一1. 配置镜像(观测)端口SwitchAmonitor-port e0/8 2. 配置被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 方法二1. 可以一次性定义镜像和被镜像端口SwitchAport mirror Ethernet 0/1 to

67、Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】1. 假设 8016 交换机镜像端口为E1/0/15 ,被镜像端口为E1/0/0 ,设置端口1/0/15 为端口镜像的观测端口。SwitchA port monitor ethernet 1/0/15 2. 设置端口 1/0/0 为被镜像端口,对其输入输出数据都进行镜像。SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15 也可以通过两个不同的端口,对输入和输出的数据分别镜像1. 设置 E1/0/15 和 E2/0/0

68、为镜像(观测)端口SwitchA port monitor ethernet 1/0/15 2. 设置端口 1/0/0 为被镜像端口,分别使用 E1/0/15 和 E2/0/0 对输入和输出数名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 45 页 - - - - - - - - - 据进行镜像。SwitchA port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15 SwitchA port mirror

69、ing gigabitethernet 1/0/0 egress ethernet 2/0/0 基于流镜像的数据流程基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050 】基于三层流的镜像1. 定义一条扩展访问控制列表SwitchAacl num 101 2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址SwitchA-acl-adv-101rule 0 permit ip source 1.1.1.1 0 destination any 3. 定义一条规则报文源地址为所有源地

70、址目的地址为1.1.1.1/32 SwitchA-acl-adv-101rule 1 permit ip source any destination 1.1.1.1 0 4. 将符合上述 ACL规则的报文镜像到E0/8 端口SwitchAmirrored-to ip-group 101 interface e0/8 基于二层流的镜像1. 定义一个 ACL SwitchAacl num 200 2. 定义一个规则从 E0/1 发送至其它所有端口的数据包SwitchArule 0 permit ingress interface Ethernet0/1 (egress interface any

71、) 3. 定义一个规则从其它所有端口到E0/1 端口的数据包SwitchArule 1 permit (ingress interface any) egress interface Ethernet0/1 4. 将符合上述 ACL的数据包镜像到 E0/8 SwitchAmirrored-to link-group 200 interface e0/8 【5516】支持对入端口流量进行镜像名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页,共 45 页 - - - - - -

72、- - - 配置端口 Ethernet 3/0/1为监测端口,对 Ethernet 3/0/2端口的入流量镜像。SwitchAmirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1 【6506/6503/6506R】目前该三款产品只支持对入端口流量进行镜像,虽然有outbount 参数,但是无法配置。镜像组名为 1,监测端口为 Ethernet4/0/2,端口 Ethernet4/0/1的入流量被镜像。SwitchAmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2 【补充说

73、明】1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现2. 8016 支持跨单板端口镜像华为各种型号交换机端口镜像配置方法总结有不少朋友在问华为交换机镜像方面的问题。通过本人现有的资料和文档, 现把各种型号的交换机镜像方法总结一下。以便各位朋友能够方便查阅! 在学配置之前,对于端口镜像的基本概念还是要一定的了解!一、端口镜像概念:Port Mirror(端口镜像) 是用于进行网络性能监测。 可以这样理解: 在端口 A 和端口 B 之间建立镜像关系, 这样,通过端口 A 传输的数据将同时复制到端口B ,以便于在端口 B 上连接的分析仪或者分析

74、软件进行性能分析或故障判断。二、端口镜像配置环境配置参数1. PC1 接在交换机 E0/1 端口, IP 地址 1.1.1.1/24 2. PC2 接在交换机 E0/2 端口, IP 地址 2.2.2.2/24 3. E0/24为交换机上行端口4. Server接在交换机 E0/8 端口,该端口作为镜像端口组网需求1. 通过交换机端口镜像的功能使用server 对两台 pc 的业务报文进行监控。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页,共 45 页 - - - - -

75、 - - - - 2. 按照镜像的不同方式进行配置:1) 基于端口的镜像2) 基于流的镜像2 数据配置步骤端口镜像的数据流程基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026 等交换机支持的都是基于端口的镜像,有两种方法:方法一1. 配置镜像(观测)端口SwitchAmonitor-port e0/8 2. 配置被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 方法二1. 可以一次性定义镜像和被镜像端口Swi

76、tchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】1. 假设 8016 交换机镜像端口为E1/0/15 ,被镜像端口为E1/0/0 ,设置端口1/0/15 为端口镜像的观测端口。SwitchA port monitor ethernet 1/0/15 2. 设置端口 1/0/0 为被镜像端口,对其输入输出数据都进行镜像。SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15 也可以通过两个不同的端口,对输入和

77、输出的数据分别镜像1. 设置 E1/0/15 和 E2/0/0 为镜像(观测)端口SwitchA port monitor ethernet 1/0/15 2. 设置端口 1/0/0 为被镜像端口,分别使用 E1/0/15 和 E2/0/0 对输入和输出数名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页,共 45 页 - - - - - - - - - 据进行镜像。SwitchA port mirroring gigabitethernet 1/0/0 ingress eth

78、ernet 1/0/15 SwitchA port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0 基于流镜像的数据流程基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050 】基于三层流的镜像1. 定义一条扩展访问控制列表SwitchAacl num 100 2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址SwitchA-acl-adv-101rule 0 permit ip source 1.1.1.1 0 des

79、tination any 3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32 SwitchA-acl-adv-101rule 1 permit ip source any destination 1.1.1.1 0 4. 将符合上述 ACL规则的报文镜像到E0/8 端口SwitchAmirrored-to ip-group 100 interface e0/8 基于二层流的镜像1. 定义一个 ACL SwitchAacl num 200 2. 定义一个规则从 E0/1 发送至其它所有端口的数据包SwitchArule 0 permit ingress interface E

80、thernet0/1 egress interface Ethernet0/2 3. 定义一个规则从其它所有端口到E0/1 端口的数据包SwitchArule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1 4. 将符合上述 ACL的数据包镜像到 E0/8 SwitchAmirrored-to link-group 200 interface e0/8 【5516/6506/6503/6506R 】目前该三款产品支持对入端口流量进行镜像名师资料总结 - - -精品资料欢迎下载 - - - - - - - -

81、 - - - - - - - - - - 名师精心整理 - - - - - - - 第 25 页,共 45 页 - - - - - - - - - 1. 定义镜像端口SwitchAmonitor-port Ethernet 3/0/2 2. 定义被镜像端口SwitchAmirroring-port Ethernet 3/0/1 inbound 【补充说明】1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现2. 8016 支持跨单板端口镜像端口镜像配置环境配置参数交换机配置(七) DHCP 配置1,交换机作 DHCP Server 配置环境参

82、数1. PC1、PC2的网卡均采用动态获取IP 地址的方式2. PC1连接到交换机的以太网端口0/1 ,属于 VLAN10 ;PC2连接到交换机的以太网端口 0/2 ,属于 VLAN20 3. 三层交换机 SwitchA 的 VLAN接口 10 地址为 10.1.1.1/24,VLAN接口20 地址为 10.1.2.1/24 组网需求1. PC1可以动态获取 10.1.1.0/24网段地址,并且网关地址为10.1.1.1 ;PC2可以动态获取 10.1.2.0/24网段地址,并且网关地址为10.1.2.1 DHCP Server配置流程流程可以完成对直接连接到三层交换机的PC机分配 IP 地址

83、,也可以对通过DHCP 中继设备连接到三层交换机的PC机分配 IP 地址。分配地址的方式可以采用接口方式,或者全局地址池方式。【SwitchA 采用接口方式分配地址相关配置】1. 创建(进入) VLAN10 SwitchAvlan 10 2. 将 E0/1 加入到 VLAN10 SwitchA-vlan10port Ethernet 0/1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 26 页,共 45 页 - - - - - - - - - 3. 创建(进入) VLAN 接口

84、10 SwitchAinterface Vlan-interface 10 4. 为 VLAN接口 10 配置 IP 地址SwitchA-Vlan-interface10ip address 10.1.1.1 255.255.255.0 5. 在 VLAN接口 10 上选择接口方式分配IP 地址SwitchA-Vlan-interface10dhcp select interface 6. 禁止将 PC机的网关地址分配给用户SwitchAdhcp server forbidden-ip 10.1.1.1 【SwitchA 采用全局地址池方式分配地址相关配置】1. 创建(进入) VLAN10 S

85、witchAvlan 10 2. 将 E0/1 加入到 VLAN10 SwitchA-vlan10port Ethernet 0/1 3. 创建(进入) VLAN 接口 10 SwitchAinterface Vlan-interface 10 4. 为 VLAN接口 10 配置 IP 地址SwitchA-Vlan-interface10ip address 10.1.1.1 255.255.255.0 5. 在 VLAN接口 10 上选择全局地址池方式分配IP 地址SwitchA-Vlan-interface10dhcp select global 6. 创建全局地址池,并命名为”vlan1

86、0 ”SwitchAdhcp server ip-pool vlan10 7. 配置 vlan10 地址池给用户分配的地址范围以及用户的网关地址SwitchA-dhcp-vlan10network 10.1.1.0 mask 255.255.255.0 SwitchA-dhcp-vlan10gateway-list 10.1.1.1 8. 禁止将 PC机的网关地址分配给用户SwitchAdhcp server forbidden-ip 10.1.1.1 【补充说明】以上配置以 VLAN10的为例, VLAN20的配置参照 VLAN10的配置即可。在采用全局地址池方式时,需新建一个与”vlan1

87、0 ”不同名的全局地址池。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 27 页,共 45 页 - - - - - - - - - 经过以上配置,可以完成为PC1分配的 IP 地址为 10.1.1.0/24,同时 PC1的网关地址为 10.1.1.1 ;为 PC2分配的 IP 地址为 10.1.2.0/24,同时 PC2的网关地址为 10.1.2.1 。VLAN 接口默认情况下以全局地址池方式进行地址分配,因此当 VLAN接口配置了以全局地址池方式进行地址分配后,查看交换机当前配置

88、时,在相应的VLAN接口下无法看到有关DHCP 的配置。利用全局地址池方式,可以完成为用户分配与三层交换机本身VLAN接口地址不同网段的 IP 地址。2,DHCP Relay配置配置环境参数1. DHCP Server的 IP 地址为 192.168.0.10/24 2. DHCP Server 连接在交换机的 G1/1 端口,属于 vlan100 ,网关即交换机vlan 接口 100的地址 192.168.0.1/24 3. E0/1-E0/10属于 vlan10 ,网段地址 10.10.1.1/24 4. E0/11-E0/20属于 vlan20 ,网段地址 10.10.2.1/24 组网

89、需求1. 在 SwitchA 上配置 DHCP Relay使下面用户动态获取指定的相应网段的IP 地址2. PC1、PC2均可以 ping 通自己的网关,同时PC1 、PC2之间可以互访交换机 DHCP Relay配置流程DHCP Relay 的作用则是为了适应客户端和服务器不在同一网段的情况,通过Relay,不同子网的用户可以到同一个DHCP Server 申请 IP 地址,这样便于地址池的管理和维护。【SwitchA 相关配置】1. 全局使能 DHCP 功能(缺省情况下, DHCP 功能处于使能状态)SwitchAdhcp enable 2. 创建(进入) VLAN100 SwitchAv

90、lan 100 3. 将 G1/1 加入到 VLAN100 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 28 页,共 45 页 - - - - - - - - - SwitchA-vlan100port GigabitEthernet 1/1 4. 创建(进入) VLAN 接口 100 SwitchAinterface Vlan-interface 100 5. 为 VLAN接口 100 配置 IP 地址SwitchA-Vlan-interface100ip address 19

91、2.168.0.1 255.255.255.0 6. 创建(进入) VLAN10 SwitchAvlan 10 7. 将 E0/1-E0/10 加入到 VLAN10 SwitchA-vlan10port Ethernet 0/1 to Ethernet 0/10 8. 创建(进入) VLAN 接口 10 SwitchAinterface Vlan-interface 10 9. 为 VLAN接口 10 配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.255.0 10. 使能 VLAN接口 10 的 DHCP 中继功能Sw

92、itchA-Vlan-interface10dhcp select relay 11. 为 VLAN接口 10 配置 DHCP 服务器的地址SwitchA-Vlan-interface10ip relay address 192.168.0.10 12. 创建(进入) VLAN20 SwitchA-vlan10vlan 20 13. 将 E0/11-E0/20 加入到 VLAN20 SwitchA-vlan20port Ethernet 0/11 to Ethernet 0/20 14. 创建(进入) VLAN 接口 20 SwitchAinterface Vlan-interface 20

93、15. 为 VLAN接口 20 配置 IP 地址SwitchA-Vlan-interface20ip address 10.10.2.1 255.255.255.0 16. 使能 VLAN接口 20 的 DHCP 中继功能SwitchA-Vlan-interface20dhcp select relay 17. 为 VLAN接口 20 配置 DHCP 服务器的地址SwitchA-Vlan-interface20ip relay address 192.168.0.10 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理

94、 - - - - - - - 第 29 页,共 45 页 - - - - - - - - - 【补充说明】也可以在全局配置模式下, 使能某个或某些VLAN接口上的 DHCP 中继功能,例如:SwitchAdhcp select relay interface Vlan-interface 10 3,DHCP Snooping 配置环境参数1. DHCP Server 连接在交换机 SwitchA 的 G1/1 端口,属于 vlan10 ,IP 地址为 10.10.1.253/24 2. 端口 E0/1 和 E0/2 同属于 vlan10 组网需求1. PC1、PC2均可以从指定 DHCP Se

95、rver获取到 IP 地址2. 防止其他非法的 DHCP Server影响网络中的主机交换机 DHCP-Snooping配置流程当交换机开启了DHCP-Snooping后,会对 DHCP 报文进行侦听,并可以从接收到的 DHCP Request 或 DHCP Ack报文中提取并记录IP 地址和 MAC 地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer 报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server 的屏蔽作用,确保客户端从合法的 DHCP Serv

96、er获取 IP 地址。【SwitchA 相关配置】1. 创建(进入) VLAN10 SwitchAvlan 10 2. 将端口 E0/1、E0/2 和 G1/1 加入到 VLAN10 SwitchA-vlan10port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1 3. 全局使能 dhcp-snooping 功能SwitchAdhcp-snooping 4. 将端口 G1/1 配置为 trust端口,SwitchA-GigabitEthernet1/1dhcp-snooping trust 【补充说明】由于 DHCP 服务器提供给用户包含了服务器

97、分配给用户的IP 地址的报文”名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 30 页,共 45 页 - - - - - - - - - dhcp offer ” 报文,由 G1/1 端口进入 SwitchA 并进行转发,因此需要将端口 G1/1配置为” trust ”端口。如果 SwitchA 上行接口配置为Trunk 端口,并且连接到DHCP 中继设备,也需要将上行端口配置为”trust ”端口。交换机配置(八)配置文件管理(1)文件常用操作 1 ,命令 display curr

98、ent-configuration:查看以太网交换机的当前配置 2 ,命令 display saved-configuration:查看以太网交换机的启动配置 3 ,命令 reset saved-configuration:擦除 Flash Memory中的配置文件,以太网交换机下次上电时,系统将采用缺省的配置参数进行初始化。(2)FTP文件上传与下载1. 组网需求交换机作为 FTP Server ,远端的 PC作为 FTP Client 。在 FTP Server 上作了如下配置:配置了一个 FTP用户名为 switch ,密码为 hello ,对该用户授权了交换机上 Flash 根目录的读

99、写权限。交换机上的一个 VLAN 接口的 IP 地址为 1.1.1.1 ,PC的 IP 地址为 2.2.2.2 ,交换机和 PC之间路由可达。交换机的应用程序switch.app保存在 PC上。PC通过 FTP向远端的交换机上传switch.app , 同时将交换机的配置文件vrpcfg.txt下载到 PC实现配置文件的备份。2. 组网图(略)3. 配置步骤1) 交换机上的配置# 用户登录到交换机上。(用户可以在本地通过Console 口登录到交换机上,也可以通过 telnet远程登录到交换机上。各种登录方式请参见入门模块的描述。)# 在交换机上开启 FTP服务,设置好用户名、密码和路径:Qu

100、idway ftp server enable Quidway local-user switch Quidway-luser-switch service-type ftp ftp-directory flash: Quidway-luser-switch password simple hello 2) 在 PC上运行 FTP Client程序,同交换机建立FTP连接,同时通过上载操作名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 31 页,共 45 页 - - - - - -

101、- - - 把交换机的应用程序switch.app上载到交换机的Flash 根目录下,同时从交换机上下载配置文件vrpcfg.txt。FTP Client应用程序由用户自己购买、安装,Quidway系列交换机不附带此软件。注意:如果交换机的Flash memory 空间不够大,请删除Flash 中原有的应用程序然后再上载新的应用程序到交换机Flash 中。3) 在上载完毕后,用户在交换机上进行升级操作。# 用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序,然后重启交换机,实现交换机应用程序的升级。boot boot-loader switch.app re

102、boot (3)TFTP文件上传与下载1. 组网需求交换机作为 TFTP Client ,PC作为 TFTP Server ,在 TFTP Server 上配置了 TFTP的工作路径。交换机上的一个VLAN接口的 IP 地址为 1.1.1.1 ,交换机和 PC相连的端口属于该 VLAN ,PC的 IP 地址为 1.1.1.2 。交换机的应用程序switch.app保存在 PC上。交换机通过TFTP从 TFTP Server上下载 switch.app ,同时将交换机的配置文件vrpcfg.txt上传到 TFTP Server的工作目录实现配置文件的备份。2. 组网图(略)3. 配置步骤1) 在

103、 PC上启动了 TFTP Server,配置 TFTP Server 的工作目录。2) 交换机上的配置# 用户登录到交换机上。(用户可以在本地通过Console 口登录到交换机上,也可以通过 telnet远程登录到交换机上。各种登录方式请参见入门模块的描述。)注意:如果交换机的Flash memory 空间不够大,请删除Flash 中原有的应用程序然后再下载新的应用程序到交换机的Flash 中。# 进入系统视图。system-view Quidway 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - -

104、- - - 第 32 页,共 45 页 - - - - - - - - - # 配置 VLAN 接口的 IP 地址为 1.1.1.1 , 同时保证与 PC 相连的端口属于这个VLAN 。(本例中以 VLAN 1为例。 )Quidway interface vlan 1 Quidway-vlan-interface1 ip address 1.1.1.1 255.255.255.0 Quidway-vlan-interface1 quit # 将交换机的应用程序switch.app从 TFTP Server 下载到交换机。Quidway tftp get /1.1.1.2/switch.app

105、switch.app # 将交换机的配置文件vrpcfg.txt上传到 TFTP Server。Quidway tftp put vrpcfg.txt /1.1.1.2/vrpcfg.txt # 执行 quit命令退回到用户视图下。Quidway quit # 用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序,然后重启交换机,实现交换机应用程序的升级。boot boot-loader switch.app reboot 交换机配置(九)远程管理配置1,WEB 方式WEB 方式远程管理交换机配置流程首先必备条件要保证PC可以与 SwitchB 通信,比如 P

106、C可以 ping 通 SwitchB。如果想通过 WEB 方式管理交换机,必须首先将一个用于支持WEB 管理的文件载入交换机的 flash中,该文件需要与交换机当前使用的软件版本相配套。WEB 管理文件的扩展名为” tar ”或者” zip ” ,可以从网站上下载相应的交换机软件版本时得到。需要在交换机上添加WEB 管理使用的用户名及密码,该用户的类型为telnet类型,而且权限为最高级别3。注意,在将 WEB 管理文件载入交换机flash时,不要将文件进行解压缩, 只需将完整的文件载入交换机即可( 向交换机 flash载入 WEB 管理文件的方法,请参考本配置实例中交换机的系统管理配置章节)

107、 。【SwitchB 相关配置】名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 33 页,共 45 页 - - - - - - - - - 1. 查看交换机 flash里面的文件 (保证 WEB 管理文件已经在交换机flash中) dir /all Directory of flash:/ -rwxrwx 1 noone nogroup 442797 Apr 02 2000 13:09:50 wnm-xxx.zip 2. 添加 WEB 管理的用户,用户类型为”telnet ” ,用户

108、名为” huawei” ,密码为”wnm ”SwitchBlocal-user huawei SwitchB-luser-huaweiservice-type telnet level 3 SwitchB-luser-huaweipassword simple wnm 3. 配置交换机管理地址SwitchBinterface vlan 100 SwitchB-Vlan-interface100ip addr 192.168.0.2 255.255.255.0 4. 对 HTTP访问用户的控制( Option )SwitchBip http acl acl_num/acl_name 相关学习帖:

109、http:/ 2,TELNET 方式【TELNET 密码验证配置】只需输入 password 即可登陆交换机。1. 进入用户界面视图SwitchAuser-interface vty 0 4 2. 设置认证方式为密码验证方式SwitchA-ui-vty0-4authentication-mode password 3. 设置登陆验证的 password 为明文密码” huawei”SwitchA-ui-vty0-4set authentication password simple huawei 4. 配置登陆用户的级别为最高级别3(缺省为级别 1) SwitchA-ui-vty0-4user

110、 privilege level 3 5. 或者在交换机上增加super password( 缺省情况下,从 VTY用户界面登录后的级别为 1 级,无法对设备进行配置操作。 必须要将用户的权限设置为最名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 34 页,共 45 页 - - - - - - - - - 高级别 3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入 super password 改变自己的级别 )例如,配置级别 3 用户的 super passwor

111、d为明文密码” super3”SwitchAsuper password level 3 simple super3 【TELNET 本地用户名和密码验证配置】需要输入 username和 password 才可以登陆交换机。1. 进入用户界面视图SwitchAuser-interface vty 0 4 2. 配置本地或远端用户名和口令认证SwitchA-ui-vty0-4authentication-mode scheme 3. 配置本地 TELNET 用户,用户名为” huawei” ,密码为” huawei” ,权限为最高级别 3( 缺省为级别 1) SwitchAlocal-user

112、 huawei SwitchA-user-huaweipassword simple huawei SwitchA-user-huaweiservice-type telnet level 3 4. 在交换机上增加 super password SwitchAsuper password level 3 simple super3 【TELNET RADIUS 验证配置】以使用华为 3Com 公司开发的 CAMS 作为 RADIUS 服务器为例1. 进入用户界面视图SwitchAuser-interface vty 0 4 2. 配置远端用户名和口令认证SwitchA-ui-vty0-4aut

113、hentication-mode scheme 3. 配置 RADIUS 认证方案,名为” cams ”SwitchAradius scheme cams 4. 配置 RADIUS 认证服务器地址 10.110.51.31 SwitchA-radius-camsprimary authentication 10.110.51.31 1812 5. 配置交换机与认证服务器的验证口令为”huawei”名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 35 页,共 45 页 - - - -

114、- - - - - SwitchA-radius-camskey authentication huawei 6. 送往 RADIUS 的报文不带域名SwitchA-radius-camsuser-name-format without-domain 7. 创建(进入)一个域,名为”huawei”SwitchAdomain huawei 8. 在域” huawei”中引用名为” cams ”的认证方案SwitchA-isp-huaweiradius-scheme cams 9. 将域” huawei”配置为缺省域SwitchAdomain default enable huawei 【TELN

115、ET 访问控制配置】1. 配置访问控制规则只允许10.1.1.0/24网段登录SwitchAacl number 2000 SwitchA-acl-basic-2000rule deny source any SwitchA-acl-basic-2000rule permit source 10.1.1.0 0.0.0.255 2. 配置只允许符合 ACL2000的 IP 地址登录交换机SwitchA-ui-vty0-4acl 2000 inbound 相关学习帖:http:/ 3,SSH方式1. 组网需求配置终端( SSH Client )与以太网交换机建立本地连接。终端采用SSH 协议进行

116、登录到交换机上,以保证数据信息交换的安全。2. 组网图(略)3. 配置步骤( SSH 认证方式为口令认证)Quidway rsa local-key-pair create & 说明:如果此前已完成生成本地密钥对的配置,可以略过此项操作。Quidway user-interface vty 0 4 Quidway-ui-vty0-4 authentication-mode scheme 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 36 页,共 45 页 - - - - - - -

117、 - - Quidway-ui-vty0-4 protocol inbound ssh Quidway local-user client001 Quidway-luser-client001 password simple huawei Quidway-luser-client001 service-type ssh Quidway ssh user client001 authentication-type password SSH的认证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值,这些配置完成以后,您就可以在其它与以太网交换机连接的终端上,运行支持SSH1.5的客户端软件,

118、以用户名client001,密码 huawei,访问以太网交换机了。交换机配置(十) STP配置配置环境参数1. SwitchA 选用华为 -3com公司的高中端交换机, 如 S8500或者 S6500系列交换机2. SwitchB 和 SwitchC 选用华为 -3com公司的低端交换机,如S3500或者 S3550系列交换机3. SwitchD、SwitchE 和 SwitchF 选用华为- -3com公司的低端交换机,如S3000或者 S2000系列交换机组网需求1. 所有设备运行 STP(Spanning Tree Protocol)生成树协议2. 以 SwitchB 为根网桥,阻断网

119、络中的环路,并能达到链路冗余备份的效果名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 37 页,共 45 页 - - - - - - - - - 交换机 STP配置流程通过改变交换机或者端口的STP优先级,从而达到手工指定网络中的根网桥,以及端口的 STP角色,完成阻断环路及链路的冗余备份。【SwitchB 相关配置】1. 全局使能 STP功能(缺省情况下, DHCP 功能处于使能状态)SwitchBstp enable 2. 将 SwtichB 配置为树根 (两种方法:将 Swit

120、chB 的 Bridge 优先级设置为 0,或者直接将 SwitchB 指定为树根,两种方法一个效果) SwitchBstp priotity 0 SwitchBstp root primary 3. 在各个指定端口上启动根保护功能( 在此例中, SwtichB 的所有端口都是制定端口) SwitchBinterface Ethernet 0/1 SwitchB-Ethernet-0/1stp root-protection 【SwitchC 相关配置】1. 全局使能 STP功能(缺省情况下, DHCP 功能处于使能状态)SwitchBstp enable 2. 将 SwtichC 配置为备份

121、树根 (两种方法:将SwitcCB 的 Bridge 优先级设置为4096,或者直接将 SwitchC 指定为备份树根,两种方法一个效果) SwitchBstp priotity 4096 SwitchBstp root secondary 3. 在指定端口上启动根保护功能(在此例中, SwtichC 的端口 0/1 、0/2 和 0/3 是指定端口 ) SwitchBinterface Ethernet 0/1 SwitchB-Ethernet-0/1stp root-protection 【其他 Switch 的相关配置】将接 PC机的端口 stp 功能关闭,或者配置为边缘端口,并使能BP

122、DU 保护功能SwitchD- -Ethernet0/4stp disable SwitchD- -Ethernet0/5stp edged-port enable 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 38 页,共 45 页 - - - - - - - - - SwitchD-stp bpdu-protection 【补充说明】配置了”bpdu-protection”以后,如果某个边缘端口收到BPDU 报文,则该边缘端口将会被关闭,必须由手工进行恢复。当端口上配置了” s

123、tp root-protection”以后,该端口的角色只能是指定端口,且一旦该端口上收到了优先级高的配置消息,则该端口的状态将被配置为侦听状态,不再转发报文, 当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。交换机配置(十一)私有VLAN配置配置环境参数PC1的 IP 地址为 10.1.1.1/24,PC2的 IP 地址为 10.1.1.2/24,PC3的 IP 地址为 10.1.1.3/24,服务器的 IP 地址为 10.1.1.253/24;PC1 、PC2和 PC3分别连接到交换机的端口E0/1 、E0/2 和 E0/3 ,端口分属于VLAN10 、20 和 30

124、,服务器连接到交换机的端口G2/1,属于 VLAN100 。交换机 Isolate-user-VLAN完成端口隔离配置流程等同于原有命令行中的PVLAN ,利用 VLAN配置视图中, Isolate-user-VLAN命令( 原有命令行中的 Primary-VLAN) 来完成。配置过程【SwitchA 相关配置】名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 39 页,共 45 页 - - - - - - - - - 1. 创建(进入) VLAN10 ,将 E0/1 加入到 VLAN

125、10 SwitchAvlan 10 SwitchA-vlan10port Ethernet 0/1 2. 创建(进入) VLAN20 ,将 E0/2 加入到 VLAN20 SwitchAvlan 20 SwitchA-vlan20port Ethernet 0/2 3. 创建(进入) VLAN30 ,将 E0/3 加入到 VLAN30 SwitchAvlan 30 SwitchA-vlan30port Ethernet 0/3 4. 创建(进入) VLAN100 ,将 G2/1 加入到 VLAN100 SwitchAvlan 100 SwitchA-vlan100port GigabitEth

126、ernet 2/1 5. 将 VLAN100 配置为 Isolate-user-VLAN SwitchA-vlan100Isolate-user-VLAN enable 6. 在系统视图模式下,配置Isolate-user-VLAN与各个 secondary VLAN 之间的映射关系SwitchAisolate-user-vlan 100 secondary 10 20 30 【补充说明】此功能配置主要用于对用户主机进行二层隔离。在 配 置Isolate-user-VLAN与secondary VLAN 之 间 的 映 射 关 系 之 前 ,Isolate-user-VLAN与 seconda

127、ry VLAN 必须都包含物理端口。配置了映射关系之后,不可以再对Isolate-user-VLAN或 secondary VLAN 进行端口增减的操作,必须先解除映射关系。交换机配置(十二)端口trunk 、hybrid 应用配置1,端口 trunk 应用配置环境参数1.PC1 的 IP 地址为 10.1.1.1/24,PC2的 IP 地址为 10.1.1.2/24,PC3的 IP 地址为 10.1.1.3/24,PC4的 IP 地址为 10.1.1.4/24;2.PC1和 PC2分别连接到交换机 SwitchA 的端口 E0/1 和 E0/2, 端口分属于 VLAN10名师资料总结 - -

128、 -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 40 页,共 45 页 - - - - - - - - - 和 20;PC3和 PC4分别连接在交换机SwitchB 的端口 E0/10 和 E0/20,端口分别属于 VLAN10和 20。3.SwitchA 通过端口 G2/1,连接到 SwitchB 的端口 G1/1;SwitchA 的端口 G2/1和 SwitchB 的端口 G1/1 均是 Trunk 端口,而且允许 VLAN10 和 VLAN20 通过。组网需求1.SwitchA 与 SwitchB

129、 之间相同 VLAN 的 PC之间可以互访。2.SwitchA 与 SwitchB 之间不同 VLAN 的 PC之间禁止互访。交换机 Trunk 端口配置流程利用将端口配置为Trunk 端口来完成在不同交换机之间透传VLAN ,达到属于相同 VLAN的 PC机,跨交换机进行二层访问; 或者不同 VLAN 的 PC机跨交换机进行三层访问的目的。配置过程【SwitchA 相关配置】1. 创建(进入) VLAN10 ,将 E0/1 加入到 VLAN10 SwitchAvlan 10 SwitchA-vlan10port Ethernet 0/1 2. 创建(进入) VLAN20 ,将 E0/2 加入

130、到 VLAN20 SwitchAvlan 20 SwitchA-vlan20port Ethernet 0/2 3. 将端口 G2/1 配置为 Trunk 端口,并允许 VLAN10 和 VLAN20 通过SwitchAinterface GigabitEthernet 1/1 SwitchA-GigabitEthernet1/1port link-type trunk SwitchA-GigabitEthernet1/1port trunk permit vlan 10 20 【SwitchB 相关配置】1. 创建(进入) VLAN10 ,将 E0/10 加入到 VLAN10 SwitchA

131、vlan 10 SwitchA-vlan10port Ethernet 0/10 2. 创建(进入) VLAN20 ,将 E0/20 加入到 VLAN20 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 41 页,共 45 页 - - - - - - - - - SwitchAvlan 20 SwitchA-vlan20port Ethernet 0/20 3. 将端口 G2/1 配置为 Trunk 端口,并允许 VLAN10 和 VLAN20 通过SwitchAinterface

132、GigabitEthernet 2/1 SwitchA-GigabitEthernet2/1port link-type trunk SwitchA-GigabitEthernet2/1port trunk permit vlan 10 20 2,端口 hybrid应用配置环境参数1.PC1、 PC2和 PC3分别连接到二层交换机SwitchA 的端口 E0/1 、 E0/2 和 E0/3 ,端口分属于 VLAN10 、20 和 30,服务器连接到端口G2/1,属于 VLAN100 。2.PC1 的 IP 地址为 10.1.1.1/24,PC2的 IP 地址为 10.1.1.2/24,PC3的

133、 IP 地址为 10.1.1.3/24,服务器的 IP 地址为 10.1.1.254/24。组网需求1.PC1和 PC2之间可以互访;2.PC1和 PC3之间可以互访;3.PC1、PC2和 PC3都可以访问服务器;4. 其余的 PC间访问均禁止。交换机 Hybrid 端口配置流程利用 Hybrid 端口的特性一个端口可以属于多个不同的VLAN ,来完成分属不同 VLAN内的同网段 PC机的访问需求。配置过程【SwitchA 相关配置】1. 创建(进入) VLAN10 ,将 E0/1 加入到 VLAN10 SwitchAvlan 10 SwitchA-vlan10port Ethernet 0/

134、1 2. 创建(进入) VLAN20 ,将 E0/2 加入到 VLAN20 SwitchAvlan 20 SwitchA-vlan20port Ethernet 0/2 3. 创建(进入) VLAN30 ,将 E0/3 加入到 VLAN30 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 42 页,共 45 页 - - - - - - - - - SwitchAvlan 30 SwitchA-vlan30port Ethernet 0/3 4. 创建(进入) VLAN100 ,将 G

135、2/1 加入到 VLAN100 SwitchAvlan 100 SwitchA-vlan100port GigabitEthernet 2/1 5. 配置端口 E0/1 为 Hybrid 端口,能够接收 VLAN20 、30 和 100 发过来的报文SwitchAinterface Ethernet 0/1 SwitchA-Ethernet0/1port link-type hybrid SwitchA-Ethernet0/1port hybrid vlan 20 30 100 untagged 6. 配置端口 E0/2 为 Hybrid 端口,能够接收 VLAN10 和 100 发过来的报文

136、SwitchAinterface Ethernet 0/2 SwitchA-Ethernet0/2port link-type hybrid SwitchA-Ethernet0/2port hybrid vlan 10 100 untagged 7. 配置端口 E0/3 为 Hybrid 端口,能够接收 VLAN10 和 100 发过来的报文SwitchAinterface Ethernet 0/3 SwitchA-Ethernet0/3port link-type hybrid SwitchA-Ethernet0/3port hybrid vlan 10 100 untagged 8. 配置

137、端口 G2/1 为 Hybrid 端口,能够接收 VLAN10 、20 和 30 发过来的报文SwitchAinterface GigabitEthernet 2/1 SwitchA-GigabitEthernet2/1port link-type hybrid SwitchA-GigabitEthernet2/1port hybrid vlan 10 20 30 untagged 【补充说明】对于 Hybrid 端口来说,可以同时属于多个VLAN 。这些 VLAN分别是该 Hybrid 端口的 PVID,以及手工配置的” untagged”及” tagged”方式的 VLAN 。一定要注意对

138、应端口的 VLAN配置,保证报文能够被端口进行正常的收发处理。此应用在二层网络中,对相同网段的主机进行访问权限的控制。S系列交换机实现不同VLAN 之间互访的配置一、组网需求:交换机配置了 4 个 VLAN ,分别为 VLAN1 ,VLAN2 ,VLAN3 ,VLAN4 ,要求 VLAN1 可名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 43 页,共 45 页 - - - - - - - - - 以与 VLAN2 ,3,4 互访,但是 VLAN2 ,3,4 之间不能互访,用Hybr

139、id 端口属性实现此功能。二、组网图:无三、配置步骤:1. 创建 VLAN2 Quidwayvlan 2 2. 创建 VLAN3 Quidway-vlan2vlan 3 3. 创建 VLAN4 Quidway-vlan3vlan 4 4. 进入端口 Ethernet1/0/1 Quidway-vlan4 interface Ethernet1/0/1 5. 将端口设置为 hybrid 模式Quidway-Ethernet1/0/1port link-type hybrid 6. 设置端口 pvid 为 1 Quidway-Ethernet1/0/1port hybrid pvid vlan 1

140、 7. 允许 VLAN1 ,2,3,4 不打标签通过Quidway-Ethernet1/0/1port hybrid vlan 1 to 4 untagged 8. 进入端口 Ethernet1/0/2 Quidway-Ethernet1/0/1interface Ethernet1/0/2 9. 将端口设置为 hybrid 模式Quidway-Ethernet1/0/2port link-type hybrid 10. 设置端口 pvid 为 2 Quidway-Ethernet1/0/2port hybrid pvid vlan 2 11. 允许 VLAN1 ,2 不打标签通过Quidwa

141、y-Ethernet1/0/2port hybrid vlan 1 to 2 untagged 12. 进入端口 Ethernet1/0/3 Quidway-Ethernet1/0/2interface Ethernet1/0/3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 44 页,共 45 页 - - - - - - - - - 13. 将端口设置为 hybrid 模式Quidway-Ethernet1/0/3port link-type hybrid 14. 设置端口 pv

142、id 为 3 Quidway-Ethernet1/0/3port hybrid pvid vlan 3 15. 允许 VLAN1 ,3 不打标签通过Quidway-Ethernet1/0/3port hybrid vlan 1 3 untagged 16. 进入端口 Ethernet1/0/4 Quidway-Ethernet1/0/3interface Ethernet1/0/4 17. 将端口设置为 hybrid 模式Quidway-Ethernet1/0/4port link-type hybrid 18. 设置端口 pvid 为 4 Quidway-Ethernet1/0/4port

143、hybrid pvid vlan 4 19. 允许 VLAN1 ,4 不打标签通过Quidway-Ethernet1/0/4port hybrid vlan 1 4 untagged 四、配置关键点:1. 利用交换机以太网端口的Hybrid 特性,可以实现 PVLAN 的功能。2. 采用 Hybrid 属性实现的 PVLAN 功能和 PVLAN 的工作机制存在较大差异, 上述情况只适用于网络流量,网络用户较少的应用。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 45 页,共 45 页 - - - - - - - - -

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号