H3C配置案例【优质内容】

资源描述

《H3C配置案例【优质内容】》由会员分享，可在线阅读，更多相关《H3C配置案例【优质内容】（76页珍藏版）》请在金锄头文库上搜索。

1、交换机基本配置及网络维护培训交换机基本配置及网络维护培训ISSUE 1.0日期：2009.4.3杭州华三通信技术有限公司版权所有，未经授权不得使用与传播n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 STP原理及基本配置原理及基本配置n第三章第三章 ACL原理及基本配置原理及基本配置n第四章第四章设备管理基本配置设备管理基本配置n第五章第五章常用维护方法和命令常用维护方法和命令目录目录3VLANVLAN的产生原因广播风暴的产生原因广播风暴的产生原因广播风暴的产生原因广播风暴广播广播传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中4通过

2、通过通过通过路由器隔离广播域路由器隔离广播域路由器隔离广播域路由器隔离广播域路由器路由器广播广播5通过通过通过通过VLANVLAN划分广播域划分广播域划分广播域划分广播域BroadcastDomain1BroadcastDomain1VLAN10VLAN10BroadcastDomain2BroadcastDomain2VLAN20VLAN20BroadcastDomain3BroadcastDomain3VLAN30VLAN30市场部工程部财务部6以太网端口的链路类型以太网端口的链路类型lAccess link：只能允：只能允许某一个某一个VLAN的的untagged数据流通数据流通过。lT

3、runk link：允：允许多个多个VLAN的的tagged数据流和数据流和某一个某一个VLAN的的untagged数据流通数据流通过。lHybrid link：允：允许多个多个VLAN的的tagged数据流和数据流和多个多个VLAN的的untagged数据流通数据流通过。lHybrid端口可以允端口可以允许多个多个VLAN的的报文文发送送时不携不携带标签，而，而Trunk端口只允端口只允许缺省缺省VLAN的的报文文发送送时不携不携带标签。l三种三种类型的端口可以共存在一台型的端口可以共存在一台设备上上7Access Link和和Trunk LinkAccesslinkAccesslinkTr

4、unklinkT8Trunk Link和和VLANVLAN10VLAN10VLAN2VLAN2VLAN10VLAN10VLAN3VLAN3VLAN2VLAN2VLAN10VLAN10 VLAN5VLAN5VLAN5VLAN5VLAN2VLAN2VLAN5VLAN5广播报文发送广播报文发送TrunkLinkTrunkL9VLAN2VLAN2VLAN3VLAN3VLAN3VLAN3VLAN2VLAN2带有带有VLAN3VLAN3标签的以太网帧标签的以太网帧带有带有VLAN2VLAN2标签的以太网帧标签的以太网帧不带不带VLANVLAN标签的标签的以太网帧以太网帧数据帧在网络通信中的变化数据帧在网络

5、通信中的变化10VLAN配置命令（配置命令（1）创建VLAN.vlan 100 (1-4094)删除VLAN.undo vlan 100 (1-4094)在VLAN中增加端口. port Ethernet 2/0/1在VLAN中删除端口. undo port Ethernet 2/0/1将端口加入VLANport access vlan 100 (1-4094)将端口脱离VLANundoport access vlan 100 (1-4094)显示VLAN信息 display vlan VLAN ID(1-4094)11VLAN配置命令（配置命令（2）定义端口属性为Trunk. port li

6、nk-type trunk删除端口Trunk属性. undo port link-type定义端口可以传输的VLAN. port trunk permit vlan VLAN ID 在VLAN中删除端口. undo port trunk permit vlan VLAN ID12配置配置VLAN虚接口虚接口为已存在的VLAN创建对应的VLAN接口，并进入VLAN接口视图interfaceVlan-interfacevlan-id删除一个VLAN接口undointerfaceVlan-interface*缺省情况下，在交换机上不存在VLAN接口*可以通过ipaddress命令配置IP地址，使接口

7、可以为在该VLAN范围内接入的设备提供基于IP层的数据转发功能*在创建VLAN接口之前，必须先创建对应的VLAN，否则无法创建VLAN接口13配置配置IP地址地址ipaddress命令用来配置VLAN接口/LoopBack接口的IP地址和掩码undoipaddress命令用来删除VLAN接口/LoopBack接口的IP地址和掩码ipaddressip-addressmask | mask-length subundoipaddress ip-addressmask | mask-length sub*在一般情况下，一个VLAN接口/LoopBack接口/网络管理接口配置一个IP地址即可，但为了

8、使交换机的一个VLAN接口/LoopBack接口/网络管理接口可以与多个子网相连，一个VLAN接口/LoopBack接口/网络管理接口最多可以配置多个IP地址，其中一个为主IP地址，其余为从IP地址14静态路由的配置命令和示例静态路由的配置命令和示例H3Cip route-static ip-addressmask|maskleninterface-type interfacce-name |nexthop-addresspreferencevaluereject|blackhole例如：iproute-static129.1.0.01610.0.0.2iproute-static129.1.

9、0.0255.255.0.010.0.0.2iproute-static129.1.0.016Serial2/15主从主从IP地址举例地址举例16VLAN配置举例配置举例为保保证部部门间数据的二数据的二层隔离，隔离，现要求将要求将PC1和和Server1划分到划分到VLAN100中，中，PC2和和Server2划分到划分到VLAN200中。并分中。并分别为两个两个VLAN设置描述字符置描述字符为“Dept1”和和“Dept2” 在在SwitchA上配置上配置VLAN接口，接口，对PC1发往往Server2的数据的数据进行三行三层转发。两个部两个部门分分别使用使用192.168.1.0/24和

10、和192.168.2.0/24两个网段两个网段17配置配置Switch A#创建VLAN100，并配置VLAN100的描述字符串为“Dept1”，将端口Ethernet1/0/1加入到VLAN100。system-viewSwitchAvlan100SwitchA-vlan100descriptionDept1SwitchA-vlan100portEthernet1/0/1SwitchA-vlan100quit#创建VLAN200，并配置VLAN200的描述字符串为“Dept2”。SwitchAvlan200SwitchA-vlan200descriptionDept2SwitchA-vlan

11、200quit#创建VLAN100和VLAN200的接口，IP地址分别配置为192.168.1.1和192.168.2.1，用来对PC1发往Server2的报文进行三层转发。SwitchAinterfaceVlan-interface100SwitchA-Vlan-interface100ipaddress192.168.1.124SwitchA-Vlan-interface100quitSwitchAinterfaceVlan-interface200SwitchA-Vlan-18配置配置Switch B#创建VLAN100，并配置VLAN100的描述字符串为“Dept1”，将端口Ether

12、net1/0/13加入到VLAN100。system-viewSwitchBvlan100SwitchB-vlan100descriptionDept1SwitchB-vlan100portEthernet1/0/13SwitchB-vlan103quit#创建VLAN200，并配置VLAN200的描述字符串为“Dept2”，将端口Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。SwitchBvlan200SwitchB-vlan200descriptionDept2SwotchB-vlan200portEthernet1/0/11Ethernet1/0/12S

13、witchB-19配置配置Switch A和和Switch B之间的链路之间的链路由于SwitchA和SwitchB之间的链路需要同时传输VLAN100和VLAN200的数据，所以可以配置两端的端口为Trunk端口，且允许这两个VLAN的报文通过。#配置SwitchA的Ethernet1/0/2端口。SwitchAinterfaceEthernet1/0/2SwitchA-Ethernet1/0/2portlink-typetrunkSwitchA-Ethernet1/0/2porttrunkpermitvlan100SwitchA-Ethernet1/0/2porttrunkpermitvl

14、an200#配置SwitchB的Ethernet1/0/10端口。SwitchBinterfaceEthernet1/0/10SwitchB-Ethernet1/0/10portlink-typetrunkSwitchB-Ethernet1/0/10porttrunkpermitvlan100SwitchB-Ethernet1/0/20注意事项注意事项lVLAN 1 -缺省就有，不需要缺省就有，不需要创建，也无法建，也无法删除除 -不建不建议用作用作业务VLAN -可以用作管理可以用作管理VLAN lTrunk链路路 -只允只允许所需的所需的VLAN通通过，不要配置，不要配置 port tru

15、nk permit vlan all -最好配置上最好配置上undo port trunk permit vlan 1n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 STP原理及基本配置原理及基本配置n第三章第三章 ACL原理及基本配置原理及基本配置n第四章第四章设备管理基本配置设备管理基本配置n第五章第五章常用维护方法和命令常用维护方法和命令目录目录22生成树生成树lSTP（SpanningTreeProtocol，生成树协议）是根据IEEE协会制定的802.1D标准建立的，用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路，

16、并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。23STP配置命令配置命令启启动全局全局STP特性特性 stp enable关关闭全局全局STP特性特性 undo stp enable*全局开启后，每个接口下的全局开启后，每个接口下的STP功能也被打开功能也被打开接口接口视图下关下关闭STP特性特性 stp disable接口下开启接口下开启STP特性特性 stp 24STP的交换机保护功能的交换机保护功能1. Root保保护功能功能由于由于维护人人员的的错误

17、配置或网配置或网络中的中的恶意攻意攻击，网，网络中的合中的合法根法根桥有可能会收到有可能会收到优先先级更高的配置消息，更高的配置消息，这样当前根当前根桥会失去根会失去根桥的地位，引起网的地位，引起网络拓扑拓扑结构的构的错误变动。这种不种不合法的合法的变动，会，会导致原来致原来应该通通过高速高速链路的流量被路的流量被牵引到引到低速低速链路上，路上，导致网致网络拥塞。塞。stp root primary命令用来指定当前交命令用来指定当前交换机作机作为指指定生成定生成树实例的根例的根桥。undo stp root命令用来取消当前交命令用来取消当前交换机作机作为指定生指定生成成树实例的根例的根桥资格。

18、格。stp instance 0 root 25STP优化优化-边缘端口边缘端口边缘端口是指不直接与任何交端口是指不直接与任何交换机机连接，也不通接，也不通过端口所端口所连接的网接的网络间接与任何交接与任何交换机相机相连的端口。的端口。用用户如果将某个端口指定如果将某个端口指定为边缘端口，那么当端口，那么当该端口由阻塞端口由阻塞状状态向向转发状状态迁移迁移时，这个端口可以个端口可以实现快速迁移，而无快速迁移，而无需等待延需等待延迟时间。在交在交换机没有开启机没有开启BPDU保保护的情况下，如果被的情况下，如果被设置置为边缘端口的端口上收到来自其它端口的端口的端口上收到来自其它端口的BPDU报文

19、，文，则该端口会端口会重新重新变为非非边缘端口。端口。对于直接与于直接与终端相端相连的端口，的端口，请将将该端口端口设置置为边缘端口，端口，同同时启启动BPDU保保护功能。功能。这样既能既能够使使该端口快速迁移到端口快速迁移到转发状状态，也可以保，也可以保证网网络的安全。的安全。26边缘端口配置边缘端口配置stp edged-port enable命令用来将当前的以太网端命令用来将当前的以太网端口配置口配置为边缘端口端口stp edged-port disable命令用来将当前的以太网命令用来将当前的以太网端口配置端口配置为非非边缘端口端口undo stp edged-port命令用来将当前的

20、以太网端命令用来将当前的以太网端口恢复口恢复为缺省状缺省状态，即非，即非边缘端口。端口。*缺省情况下，交缺省情况下，交换机所有以太网端口均被配置机所有以太网端口均被配置为非非边缘端口端口27STP的交换机保护功能的交换机保护功能2. BPDU保保护功能功能边缘端口接收到配置消息后，系端口接收到配置消息后，系统会自会自动将将这些端口些端口设置置为非非边缘端口，重新端口，重新计算生成算生成树，这样就引起网就引起网络拓扑的震拓扑的震荡。正常情况下，正常情况下，边缘端口端口应该不会收到生成不会收到生成树协议的配置消息。的配置消息。如果有人如果有人伪造配置消息造配置消息恶意攻意攻击交交换机，就会引起网机

21、，就会引起网络震震荡。BPDU保保护功能可以防止功能可以防止这种网种网络攻攻击。交。交换机上启机上启动了了BPDU保保护功能以后，如果功能以后，如果边缘端口收到了配置消息，系端口收到了配置消息，系统就将就将这些些端口关端口关闭，同，同时通知网管通知网管这些端口被些端口被MSTP关关闭。被关。被关闭的的边缘端口只能由网端口只能由网络管理人管理人员恢复。恢复。28查看查看STP信息信息displaystpbrief显示STP生成树的简要状态信息。displaystpinstance0interfaceEthernet1/0/1toEthernet1/0/4briefMSTIDPortRoleSTP

22、StateProtection0Ethernet1/0/1ALTEDISCARDINGLOOP0Ethernet1/0/2DESIFORWARDINGNONE0Ethernet1/0/3DESIFORWARDINGNONE0Ethernet1/0/4DESIFORWARDINGNONEn第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 STP原理及基本配置原理及基本配置n第三章第三章 ACL原理及基本配置原理及基本配置n第四章第四章设备管理基本配置设备管理基本配置n第五章第五章常用维护方法和命令常用维护方法和命令目录目录30ACL访问控制列表访问控制列表为了过滤通过网络设备

23、的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（AccessControlList，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL可应用在交换机全局或端口上，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。31以太网访问列表以太网访问列表l主要作用:在整个网络中分布实施接入安全性服务器服务器服务器服务器部门部门部门部门 A A部门部门部门部门 B BIntranetI32访问控制列

24、表访问控制列表ACL对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包包过滤镜像像流量限制流量限制流量流量统计分配分配队列列优先先级33流分类流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网以太网帧承承载的数据的数据类型型源源/目的目的MAC地址地址以太网封装格式以太网封装格式Vlan ID入入/出端口出端口3/4层流分类项协议类型型源源/目的目的IP地址地址源源/目的端口号目的端口号DSCP34IP 数据包过滤数据包过滤IPheaderIPheader TCPheaderTCPheader Application-levelhea

25、derApplication-levelheaderDataData应用程序和数据应用程序和数据应用程序和数据应用程序和数据源源源源/ /目的端口号目的端口号目的端口号目的端口号源源源源/ /目的目的目的目的IPIP地址地址地址地址L3/L4L3/L4过滤过滤过滤过滤应用网关应用网关应用网关应用网关TCP/IPTCP/IP包过滤元素包过滤元素包过滤元素包过滤元素35访问控制列表的构成访问控制列表的构成lRule（访问控制列表的子规则）lTime-range（时间段机制）lACL=rules+time-range（访问控制列表由一系列规则组成，有必要时会和时间段结合）访问控制列表访问控制列表访问

26、控制列表访问控制列表策略策略策略策略:ACL1:ACL1策略策略策略策略:ACL2:ACL2策略策略策略策略:ACL3:ACL3.策略策略策略策略:ACLN:ACLN36时间段的相关配置时间段的相关配置l l在系在系统视图统视图下，配置下，配置时间时间段段: :time-range time-range time-nametime-name start-timestart-time to to end-end-timetime days-of-the-week days-of-the-week from from start- datestart- date to to end-dateend

27、-date l l在系在系统视图统视图下，下，删删除除时间时间段段: :undo time-rangeundo time-range time-name start-time time-name start-time toto end-time days-of-the-week end-time days-of-the-week fromfrom start- start- date date toto end-date end-date l l假设管理员需要在从假设管理员需要在从20022002年年1212月月1 1日上午日上午8 8点到点到20032003年年1 1月月1 1日下午日下午1

28、818点的时间段内实施安全策略，点的时间段内实施安全策略，可以定义时间段名为可以定义时间段名为denytimedenytime，具体配置如下，具体配置如下: :H3Ctime-range denytime from 8:00 12-01-H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-20032002 to 18:00 01-01-37访问控制列表的类型访问控制列表的类型l20002999：表示基本：表示基本ACL。只根据数据包的源。只根据数据包的源IP地址地址制定制定规则。l30003999：表示高：表示高级ACL（399

29、8与与3999是系是系统为集群集群管理管理预留的留的编号，用号，用户无法配置）。根据数据包的源无法配置）。根据数据包的源IP地地址、目的址、目的IP地址、地址、IP承承载的的协议类型、型、协议特性等三、四特性等三、四层信息制定信息制定规则。l40004999：表示二：表示二层ACL。根据数据包的源。根据数据包的源MAC地址、地址、目的目的MAC地址、地址、802.1p优先先级、二、二层协议类型等二型等二层信信息制定息制定规则。l50005999：表示用：表示用户自定自定义ACL。以数据包的。以数据包的头部部为基准，指定从第几个字基准，指定从第几个字节开始与掩开始与掩码进行行“与与”操作，将操作

32、-addr source-wildcardsource-addr source-wildcard | any | any fragment time-range fragment time-range time-range-name time-range-name l l在基本在基本访问访问控制列表控制列表视图视图下，下，删删除一条子除一条子规则规则undo rule undo rule rule-idrule-id source fragment source fragment time-range time-range 40高级访问控制列表的规则配置高级访问控制列表的规则配置l l在高在高

34、or port1port1 port2 port2 destination-port destination-port operator port1 operator port1 port2 port2 icmp-type icmp-type icmp-typeicmp-type icmp-code icmp-code established precedence established precedence precedenceprecedence tos tos tostos | | dscp dscp dscpdscp fragment time-range fragment time-

35、range time-range-time-range-namename l l在高在高级访问级访问控制列表控制列表视图视图下，下，删删除一条子除一条子规则规则undo rule undo rule rule-idrule-id source destination soure- source destination soure-port destination-port precedence tos | port destination-port precedence tos | dscp fragment time-range dscp fragment time-range 41端口操作

36、符及语法端口操作符及语法l lTCP/UDPTCP/UDP协议支持的端口操作符及语法协议支持的端口操作符及语法操作符及语法操作符及语法操作符及语法操作符及语法含义含义含义含义eq eq portnumberportnumber等于等于等于等于portnumberportnumbergt gt portnumberportnumber大于大于大于大于portnumberportnumberlt lt portnumberportnumber小于小于小于小于portnumberportnumberneq neq portnumberportnumber不等于不等于不等于不等于portnumberp

37、ortnumberrange range portnumber1portnumber1portnumber2portnumber2介于端口号介于端口号介于端口号介于端口号portnumber1portnumber1和和和和portnumber2portnumber2之间之间之间之间42接口访问控制列表的规则配置接口访问控制列表的规则配置l l在接口在接口访问访问控制列表控制列表视图视图下，配置相下，配置相应应的的规则规则rule rule rule-id rule-id permit | deny interface permit | deny interface interface-name

38、interface-name | | interface-typeinterface-type interface-interface-numnum | any time-range | any time-range time-range-nametime-range-name l l在接口在接口访问访问控制列表控制列表视图视图下，下，删删除一条子除一条子规则规则undo rule undo rule rule-idrule-43二层访问控制列表的规则配置二层访问控制列表的规则配置l l在二在二层访问层访问控制列表控制列表视图视图下，配置相下，配置相应应的的规则规则rule rule rule

39、-id rule-id permit | deny permit | deny protocol protocol cos cos vlan-privlan-pri ingress ingress source-vlan-idsource-vlan-id source-mac-addrsource-mac-addr source-mac-wildcard source-mac-wildcard interface interface interface-nameinterface-name | | interface-type interface-type interface-numinter

40、face-num | any egress | any egress dest-dest-mac-addrmac-addr dest-mac-wildcard dest-mac-wildcard interface interface interface-nameinterface-name | | interface-type interface-interface-type interface-numnum | any time-range | any time-range time-range-time-range-namename l l在二在二层访问层访问控制列表控制列表视图视图下，

41、下，删删除一条子除一条子规则规则undo rule undo rule rule-idrule-44自定义访问控制列表的规则配置自定义访问控制列表的规则配置l l在自定在自定义访问义访问控制列表控制列表视图视图下，配置相下，配置相应应的的规则规则rule rule rule-id rule-id permit | deny permit | deny rule-stringrule-string rule-maskrule-mask offsetoffset & time-range & time-range time-time-range-namerange-name l l在自定在自定义访

42、问义访问控制列表控制列表视图视图下，下，删删除一条子除一条子规则规则undo rule undo rule rule-idrule-idl用用户户自定自定义访问义访问控制列表的数字控制列表的数字标识标识取取值值范范围为围为45规则匹配原则规则匹配原则l一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：Config：指定匹配：指定匹配该规则时按用按用户的配置的配置顺序（后序（后下下发先生效）先生效）Auto：指定匹配：指定匹配该规则时系系统自自动排序（按排序（按“深度深度优先先”的的顺序）序）46激活访问控制

43、列表激活访问控制列表l l在系在系统视图统视图下，激活下，激活ACL:ACL:packet-filter user-group packet-filter user-group acl-numberacl-number | | acl-acl-namename rule rule rulerule | ip-group | ip-group acl-acl-numbernumber | | acl-nameacl-name rule rule rulerule link- link-group group acl-numberacl-number | | acl-nameacl-name ru

44、le rule rulerule l l在系在系统视图统视图下，取消激活下，取消激活ACL:ACL:undo packet-filter user-group undo packet-filter user-group acl-numberacl-number | | acl-nameacl-name rule rule rulerule | ip-group | ip-group acl-acl-numbernumber | | acl-nameacl-name rule rule rulerule link- link-group group acl-numberacl-number |

45、| acl-nameacl-name rule rule rulerule 47配置配置ACL进行包过滤的步骤进行包过滤的步骤l l综综上所述，在上所述，在H3CH3C交交换换机上配置机上配置ACLACL进进行包行包过滤过滤的的步步骤骤如下：如下：配置配置配置配置时间时间段（可段（可段（可段（可选选）定定定定义访问义访问控制列表（四种控制列表（四种控制列表（四种控制列表（四种类类型：基本、高型：基本、高型：基本、高型：基本、高级级、基、基、基、基于接口、基于二于接口、基于二于接口、基于二于接口、基于二层层和用和用和用和用户户自定自定自定自定义义）激活激活激活激活访问访问控制列表控制列表控制列表

46、控制列表 48访问控制列表配置举例一访问控制列表配置举例一要求配置高级要求配置高级ACL，禁止员工在工作日，禁止员工在工作日8:0018:00的时间段内访问新的时间段内访问新浪网站（浪网站（ 61.172.201.194 ）1. 定义时间段定义时间段H3C time-range test 8:00 to 18:00 working-day2.定义高级定义高级ACL 3000，配置目的，配置目的IP地址为新浪网站的访问规则。地址为新浪网站的访问规则。H3C acl number 3000H3C -acl-adv-3000 rule 1 deny ip destination 61.172.201

47、.194 0 time-range test3.在端口在端口Ethernet1/0/15上应用上应用ACL 3000。H3C interface Ethernet 1/0/15H3C-Ethernet1/0/15 packet-filter inbound ip-group 49访问控制列表配置举例二访问控制列表配置举例二配置防病毒配置防病毒ACL1. 定定义高高级ACL 3000H3C acl number 3000H3C -acl-adv-3000 rule 1 deny udp destination-port eq 335H3C -acl-adv-3000 rule 3 deny tc

48、p source-port eq 3365H3C -acl-adv-3000 rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 38752. 在端口在端口Ethernet1/0/1上上应用用ACL 3000H3C-Ethernet1/0/1 packet-filter inbound ip-group 3000n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 STP原理及基本配置原理及基本配置n第三章第三章 ACL原理及基本配置原理及基本配置n第四章第四章设备管理基本配置设备管理基本配置n第五章第五

49、章常用维护方法和命令常用维护方法和命令目录目录51交换机管理方式交换机管理方式l通通过Console口口进行本地登行本地登录l通通过以太网端口利用以太网端口利用Telnet或或SSH进行本地或行本地或远程登程登录l通通过Console口利用口利用Modem拨号号进行行远程登程登录52Telnet配置配置（2 2）需要输入密码）需要输入密码H3Cuser-interfacevty04H3Cuser-interfacevty04H3C-ui-vty0-4authentication-modepasswordH3C-ui-vty0-4authentication-modepasswordH3C-u

50、i-vty0-4userprivilegelevel3H3C-ui-vty0-4userprivilegelevel3H3C-ui-vty0-4setauthenticationpasswordsimpleh3cH3C-ui-vty0-4setauthenticationpasswordsimpleh3c（3 3）需要输入用户名和密码）需要输入用户名和密码H3Cuser-interfacevty04H3Cuser-interfacevty04H3C-ui-vty0-4authentication-modeschemeH3C-ui-vty0-4authentication-modeschemeH

51、3Clocal-userh3cH3Clocal-userh3cH3C-luser-h3cpasswordcipher123456H3C-luser-h3cpasswordcipher123456H3C-luser-h3cservice-typetelnetlevel3H3C-luser-h3cservice-typetelnetlevel3（1 1）不需要输入用户名和密码）不需要输入用户名和密码H3Cuser-interfacevty04H3Cuser-interfacevty04H3C-ui-vty0-4authentication-modenoneH3C-ui-vty0-4authenti

52、cation-modenoneH3C-ui-vty0-4userprivilegelevel3H3C-ui-vty0-53n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 STP原理及基本配置原理及基本配置n第三章第三章 ACL原理及基本配置原理及基本配置n第四章第四章设备管理基本配置管理基本配置n第五章第五章常用常用维护方法和命令方法和命令目目录54故障排除常用方法故障排除常用方法l分层故障排除法l分块故障排除法l分段故障排除法l替换法55分层故障排除法分层故障排除法。物物理理层数据数据链路路层网网络层所有的技所有的技术都是分都是分层的！的！关注电缆、连接头、信

53、号电平、编码、时钟和组帧关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等56分块故障排除法分块故障排除法l配置文件分为以下部分：管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、cost、认证等）路由协议部分（静态路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制台、Telnet登录或哑终端、拨号等）其他应用部分（语言配置、VPN配置、Qos配置等）57分段故障排除法分段故障排除法网网络分分为若干段，逐段若干段，逐段测试，缩小故障范小故障范围，逐段定位网，逐段定位网络故障，并排除。故障，并排除。中中继线路路Mo

54、demModemModemModemDDN节点点DDN节点点58常用命令（常用命令（1）displayversion命令用来显示系统的版本信息。用户可以通过该命令查看软件的版本信息、发布时间、交换机的基本硬件配置等信息。displayversionH3CComwarePlatformSoftwareComwareSoftware,Version3.10,Test1545Copyright(c)2004-2007HangzhouH3CTechnologiesCo.,Ltd.Allrightsreserved.S3600-52P-EIuptimeis0week,0day,23hours,15min

55、utesS3600-52P-EIwith1Processor64MbytesDRAM16384KbytesFlashMemoryConfigRegisterpointstoFLASHHardwareVersionisREV.CCPLDVersionisCPLD001BootromVersionis510Subslot048FEHardwareVersionisREV.CSubslot14GEHardwareVersionisREV.C59常用命令（常用命令（2）displaycurrent-configuration命令用来显示交换机当前的配置。当用户完成一组配置之后，需要验证配置是否生效，则

56、可以执行displaycurrent-configuration命令来查看当前生效的参数。注意：*如果当前配置的参数与缺省参数相同，则不予显示；*对于某些参数，虽然用户已经配置，但如果这些参数对应的功能没有生效，则不予显示。60常用命令（常用命令（3）displaythis命令用来显示当前视图下的运行配置。当用户在某一视图下完成一组配置之后，需要验证配置是否生效，则可以执行displaythis命令来查看所在视图下当前生效的配置参数。注意：*对于已经生效的配置参数如果与缺省工作参数相同，则不显示；*对于某些参数，虽然用户已经配置，但如果这些参数对应的功能没有生效，则不予显示；*在任意一个用户界

59、ame | -w timeout * remote-system可选网络层协议为IPv4时使用可在任意视图下执行tracert ipv6 -f first-ttl | -m max-ttl | -p port | -q packet-number | -w timeout * remote-system可选网络层协议为IPv6时使用可在任意视图下执行62ping命令参数（命令参数（1）ip：支持IPv4协议。-asource-ip：指定ICMP回显请求报文中的源IP地址。该地址必须是设备上已配置的合法IP地址。-ccount：指定发送ICMP回显请求报文的数目，取值范围为14294967295

60、，缺省值为5。-f：将长度大于接口MTU的报文直接丢弃，即不允许对发送的ICMP回显请求报文进行分片。-httl：指定ICMP回显请求报文中的TTL值，取值范围为1255，缺省值为255。-i interface-type interface-number：指定发送报文的接口的类型和编号。在指定出接口的情况下，只能ping直连网段地址。-minterval：指定发送ICMP回显请求报文的时间间隔，取值范围为165535，单位为毫秒，缺省值为200毫秒。如果在timeout时间内收到目的主机的响应报文，则下次ICMP回显请求报文的发送时间间隔为报文的实际响应时间与interval之和；如果在ti

61、meout时间内没有收到目的主机的响应报文，则下次ICMP回显请求报文的发送时间间隔为timeout与interval之和。-n：不进行域名解析。缺省情况下，系统将对hostname进行域名解析。63ping命令参数命令参数-ppad：指定ICMP回显请求报文的填充字节，格式为16进制。比如将“pad”设置为ff，则报文将被全部填充为ff。缺省情况下，填充的字节从0x01开始，逐渐递增，直到0x09，然后又从0x01开始循环填充。-q：除统计信息外，不显示其它详细信息。缺省情况下，系统将显示包括统计信息在内的全部信息。-r：记录路由。缺省情况下，系统不记录路由。-s packet-size：指

62、定发送的ICMP回显请求报文的长度（不包括IP和ICMP报文头），取值范围为208100，单位为字节，缺省值为56字节。-t timeout：指定ICMP回显应答报文的超时时间，取值范围为165535，单位为毫秒，缺省值为2000毫秒。-tostos：指定ICMP回显请求报文中的ToS（TypeofService，服务类型）域的值，取值范围为0255，缺省值为0。-v：显示接收到的非回显应答的ICMP报文。缺省情况下，系统不显示非回显应答的ICMP报文。-vpn-instance vpn-instance-name：指定MPLSVPN的实例名称，是一个长度为131个字符的字符串，不区分大小写。

63、remote-system：目的设备的IP地址或主机名（主机名为120个字符的字符串）。64ping命令用来检查指定IP地址是否可达，并输出相应的统计信息。H3Cping11.1.1.1PING11.1.1.1:56databytes,pressCTRL_CtobreakReplyfrom11.1.1.1:bytes=56Sequence=0ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=1ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=2ttl=255time=32msReplyfro

64、m11.1.1.1:bytes=56Sequence=3ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=4ttl=255time=31ms-11.1.1.1pingstatistics-5packetstransmitted5packetsreceived0.00%packetlossround-tripmin/avg/max=31/31/65tracert命令参数命令参数-asource-ip：指明tracert报文的源IP地址。该地址必须是设备上已配置的合法IP地址。-f first-ttl：指定一个初始TTL，即第一个报文所允许的跳数

65、。取值范围为1255，且小于最大TTL，缺省值为1。-m max-ttl：指定一个最大TTL，即一个报文所允许的最大跳数。取值范围为1255，且大于初始TTL，缺省值为30。-p port：指明目的设备的UDP端口号，取值范围为165535，缺省值为33434。用户一般不需要更改此选项。-qpacket-number：指明每次发送的探测报文个数，取值范围为165535，缺省值为3。-vpn-instancevpn-instance-name：指定MPLSVPN的实例名称，是一个长度为131个字符的字符串。-w timeout：指定等待探测报文响应的报文的超时时间，取值范围是165535，单位为

66、毫秒，缺省值为5000毫秒。remote-system：目的设备的IP地址或主机名（主机名是长度为120的字符串）。66tracert命令用来查看IPv4报文从当前设备传到目的设备所经过的路径。 tracert 18.26.0.115traceroute to 18.26.0.115(18.26.0.115) 30 hops max,40 bytes packet, press CTRL_C to break1 128.3.112.1 10 ms 10 ms 10 ms2 128.32.210.1 19 ms 19 ms 19 ms3 128.32.216.1 39 ms 19 ms 19 m

67、s4 128.32.136.23 19 ms 39 ms 39 ms5 128.32.168.22 20 ms 39 ms 39 ms6 128.32.197.4 59 ms 119 ms 39 ms7 131.119.2.5 59 ms 59 ms 39 ms8 129.140.70.13 80 ms 79 ms 99 ms9 129.140.71.6 139 ms 139 ms 159 ms10 129.140.81.7 199 ms 180 ms 300 ms11 129.140.72.17 300 ms 239 ms 239 ms12 * * *13 128.121.54.72 259

68、 ms 499 ms 279 ms14 * * *15 * * *16 * * *17 * * *18 18.26.0.115 339 ms 279 ms 279 ms 67display interface（1）displayinterfaceethernet1/0/1Ethernet1/0/1currentstate:DOWNIPSendingFramesFormatisPKTFMT_ETHNT_2,Hardwareaddressis0012-a990-2240Mediatypeistwistedpair,loopbacknotsetPorthardwaretypeis100_BASE_T

69、X100Mbps-speedmode,full-duplexmodeLinkspeedtypeisforcelink,linkduplextypeisforcelinkFlow-controlisenabledTheMaximumFrameLengthis9216BroadcastMAX-pps:500UnicastMAX-ratio:100%MulticastMAX-ratio:100%AllowjumboframetopassPVID:1Mditype:autoPortlink-type:accessTaggedVLANID:noneUntaggedVLANID:68display int

70、erface（2）Last300secondsinput:0packets/sec0bytes/secLast300secondsoutput:0packets/sec0bytes/secInput(total):0packets,0bytes0broadcasts,0multicasts,0pausesInput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesInput:0inputerrors,0runts,0giants,-throttles,0CRC0frame,-overruns,0aborts,0ignored,-par

71、ityerrorsOutput(total):0packets,0bytes0broadcasts,0multicasts,0pausesOutput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesOutput:0outputerrors,-underruns,-bufferfailures0aborts,0deferred,0collisions,0latecollisions0lostcarrier,-69display mac-address用来显示MAC地址转发表的信息，包括MAC地址所对应VLAN和以太网端口、地址状态（静

72、态还是动态）、是否处在老化时间内等信息#显示MAC地址000f-e20f-0101的信息。displaymac-address000f-e20f-0101MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000f-e20f-01011LearnedEthernet1/0/1AGING#显示端口Ethernet1/0/4的MAC地址转发表内容。displaymac-addressinterfaceEthernet1/0/4MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000d-88f6-44ba1LearnedEthernet1/0/4

73、AGING000d-88f7-9f7d1LearnedEthernet1/0/4AGING000d-88f7-b0941LearnedEthernet1/0/4AGING000f-e200-00cc1LearnedEthernet1/0/4AGING000f-e200-22011LearnedEthernet1/0/4AGING000f-e207-f2e01LearnedEthernet1/0/4AGING000f-e209-ecf91LearnedEthernet1/0/4AGING-7macaddress(es)foundonportEthernet1/0/4-70display arp用

74、来显示ARP表项displayarpType:S-StaticD-DynamicIPAddressMACAddressVLANIDPortName/ALIDAgingType10.2.72.162000a-000a-0aaaN/AN/AN/AS192.168.0.770000-e8f5-6a4a1Ethernet1/0/213D192.168.0.2000014-222c-9d6a1Ethernet1/0/214D192.168.0.45000d-88f6-44c11Ethernet1/0/215D192.168.0.1100011-4301-991e1Ethernet1/0/215D192.

75、168.0.320000-e8f5-73ee1Ethernet1/0/216D192.168.0.30014-222c-aa691Ethernet1/0/216D192.168.0.17000d-88f6-379c1Ethernet1/0/217D192.168.0.115000d-88f7-9f7d1Ethernet1/0/218D192.168.0.43000c-760a-172d1Ethernet1/0/218D192.168.0.5000f-e280-2b381Ethernet1/0/220D-11entriesfound-71S9500常用维护命令常用维护命令-查看硬件状态查看硬件状

76、态displaycpu命令用来显示CPU的使用状态#显示0槽位上CPU的使用状态。displaycpuslot0Board0CPUbusystatus:6%inlast5seconds7%inlast1minute12%inlast5minutesdisplaypower命令用来显示交换机的电源状态#显示电源状态。displaypowerPower1State:AbsentPower2State:NormalPower3State:A72display device显示交换机上各单板（主板和子板）的模块类型、工作状态信息。可以通过此命令来显示各单板的模块类型、工作状态信息，这些信息包括物理板号

77、、子物理板号、端口个数、PCB版本号、FPGA版本号、硬件版本号、BOOTROM软件版本号、地址学习模式、接口板类型等。displaydeviceSlotNo.BrdTypeBrdStatusSubslotNumSftVer0LSB1SRPBMaster08500-00041NONEAbsentAbsentNone2NONEAbsentAbsentNone3NONEAbsentAbsentNone4NONEAbsentAbsentNone5NONEAbsentAbsentNone6NONEAbsentAbsentNone7NONEAbsentAbsentN73display environme

78、nt#显示设备环境信息。displayenvironmentSystemtemperatureinformation(degreecentigrade):-BoardTemperatureLowerlimitU74displayfan命令用来显示交换机的内置风扇的工作状态信息。可以通过此命令来显示风扇的工作状态是否正常。#显示风扇的工作状态。displayfanFan1State:Normaldisplaymemory命令用来显示交换机的内存使用状态。#显示交换机0槽位的内存使用状态。displaymemoryslot0SystemTotalMemory(bytes):197932416Tot

79、alUsedMemory(bytes):65234704UsedRate:32%75告警日志信息查看告警日志信息查看项目项目操作指导操作指导参考标准参考标准系统告警缓系统告警缓冲区查看冲区查看display trapbuffer正常情况下无严重告警正常情况下无严重告警记录，否则为不正常。记录，否则为不正常。系统日志缓系统日志缓冲区查看冲区查看 display logbuffer 正常情况下无严重出错正常情况下无严重出错日志记录，否则为不正日志记录，否则为不正常。常。所有系统日所有系统日志查看志查看 display log 正常情况下无严重告警正常情况下无严重告警记录和严重出错日志，记录和严重出错日志，否则为不正常。否则为不正常。杭州华三通信技术有限公司

展开阅读全文

H3C配置案例【优质内容】

最新文档