H3C交换机基本配置培训课件

资源描述

《H3C交换机基本配置培训课件》由会员分享，可在线阅读，更多相关《H3C交换机基本配置培训课件（75页珍藏版）》请在金锄头文库上搜索。

1、交换机基本配置及网络维护培训交换机基本配置及网络维护培训ISSUE1.0ISSUE1.0日期： 2009.4.3H3C交换机基本配置培训课件n第一章第一章 VLANVLAN原理及基本配置原理及基本配置n第二章第二章 STPSTP原理及基本配置原理及基本配置n第三章第三章 ACLACL原理及基本配置原理及基本配置n第四章第四章设备管理基本配置设备管理基本配置n第五章第五章常用维护方法和命令常用维护方法和命令目录目录H3C交换机基本配置培训课件VLANVLANVLANVLAN的产生原因广播风暴的产生原因广播风暴的产生原因广播风暴的产生原因广播风暴广播广播传统的以太网是广播型网络，网络中的所有主

2、机通过HUB或交换机相连，处在同一个广播域中H3C交换机基本配置培训课件通过路由器隔离广播域通过路由器隔离广播域通过路由器隔离广播域通过路由器隔离广播域路由器路由器广播广播H3C交换机基本配置培训课件通过通过通过通过VLANVLANVLANVLAN划分广播域划分广播域划分广播域划分广播域BroadcastDomain1BroadcastDomain1VLAN10VLAN10BroadcastDomain2BroadcastDomain2VLAN20VLAN20BroadcastDomain3BroadcastDomain3VLAN30VLAN30市场部工程部财务部H3C交换机基本配置培训课件以

3、太网端口的链路类型以太网端口的链路类型lAccesslink：只能允许某一个VLAN的untagged数据流通过。lTrunklink：允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。lHybridlink：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。lHybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN的报文发送时不携带标签。l三种类型的端口可以共存在一台设备上H3C交换机基本配置培训课件AccessLinkAccessLink和和TrunkLinkTrunkLinkAccessl

4、inkAccesslinkTrunklinkTrunklinkH3C交换机基本配置培训课件TrunkLinkTrunkLink和和VLANVLANVLAN10VLAN10VLAN2VLAN2VLAN10VLAN10VLAN3VLAN3VLAN2VLAN2VLAN10VLAN10VLAN5VLAN5VLAN5VLAN5VLAN2VLAN2VLAN5VLAN5广播报文发送广播报文发送TrunkLinkTrunkLinkH3C交换机基本配置培训课件VLAN2VLAN2VLAN3VLAN3VLAN3VLAN3VLAN2VLAN2带有带有VLAN3VLAN3标签的以太网帧标签的以太网帧带有带有VLAN2

5、VLAN2标签的以太网帧标签的以太网帧不带不带VLANVLAN标签的标签的以太网帧以太网帧数据帧在网络通信中的变化数据帧在网络通信中的变化H3C交换机基本配置培训课件VLANVLAN配置命令（配置命令（1 1）创建VLAN.vlan100(1-4094)删除VLAN.undovlan100(1-4094)在VLAN中增加端口.portEthernet2/0/1在VLAN中删除端口.undoportEthernet2/0/1将端口加入VLANportaccessvlan100(1-4094)将端口脱离VLANundoportaccessvlan100(1-4094)显示VLAN信息display

6、vlanVLANID(1-4094)H3C交换机基本配置培训课件VLANVLAN配置命令（配置命令（2 2）定义端口属性为Trunk.portlink-typetrunk删除端口Trunk属性.undoportlink-type定义端口可以传输的VLAN.porttrunkpermitvlanVLANID在VLAN中删除端口.undoporttrunkpermitvlanVLANIDH3C交换机基本配置培训课件配置配置VLANVLAN虚接口虚接口为已存在的VLAN创建对应的VLAN接口，并进入VLAN接口视图interfaceVlan-interfacevlan-id删除一个VLAN接口und

7、ointerfaceVlan-interface*缺省情况下，在交换机上不存在VLAN接口*可以通过ipaddress命令配置IP地址，使接口可以为在该VLAN范围内接入的设备提供基于IP层的数据转发功能*在创建VLAN接口之前，必须先创建对应的VLAN，否则无法创建VLAN接口H3C交换机基本配置培训课件配置配置IP IP地址地址ipaddress命令用来配置VLAN接口/LoopBack接口的IP地址和掩码undoipaddress命令用来删除VLAN接口/LoopBack接口的IP地址和掩码ipaddressip-addressmask|mask-lengthsubundoipaddre

8、ssip-addressmask|mask-lengthsub*在一般情况下，一个VLAN接口/LoopBack接口/网络管理接口配置一个IP地址即可，但为了使交换机的一个VLAN接口/LoopBack接口/网络管理接口可以与多个子网相连，一个VLAN接口/LoopBack接口/网络管理接口最多可以配置多个IP地址，其中一个为主IP地址，其余为从IP地址H3C交换机基本配置培训课件静态路由的配置命令和示例静态路由的配置命令和示例H3Ciproute-staticip-addressmask|maskleninterface-typeinterfacce-name|nexthop-address

9、preferencevaluereject|blackhole例如：iproute-static129.1.0.01610.0.0.2iproute-static129.1.0.0255.255.0.010.0.0.2iproute-static129.1.0.016Serial2/0H3C交换机基本配置培训课件主从主从IP IP地址举例地址举例H3C交换机基本配置培训课件VLANVLAN配置举例配置举例为保证部门间数据的二层隔离，现要求将PC1和Server1划分到VLAN100中，PC2和Server2划分到VLAN200中。并分别为两个VLAN设置描述字符为“Dept1”和“Dept2”

10、在SwitchA上配置VLAN接口，对PC1发往Server2的数据进行三层转发。两个部门分别使用192.168.1.0/24和192.168.2.0/24两个网段H3C交换机基本配置培训课件配置配置SwitchASwitchA#创建VLAN100，并配置VLAN100的描述字符串为“Dept1”，将端口Ethernet1/0/1加入到VLAN100。system-viewSwitchAvlan100SwitchA-vlan100descriptionDept1SwitchA-vlan100portEthernet1/0/1SwitchA-vlan100quit#创建VLAN200，并配置VL

11、AN200的描述字符串为“Dept2”。SwitchAvlan200SwitchA-vlan200descriptionDept2SwitchA-vlan200quit#创建VLAN100和VLAN200的接口，IP地址分别配置为192.168.1.1和192.168.2.1，用来对PC1发往Server2的报文进行三层转发。SwitchAinterfaceVlan-interface100SwitchA-Vlan-interface100ipaddress192.168.1.124SwitchA-Vlan-interface100quitSwitchAinterfaceVlan-interf

12、ace200SwitchA-Vlan-interface200ipaddress192.168.2.124H3C交换机基本配置培训课件配置配置SwitchBSwitchB#创建VLAN100，并配置VLAN100的描述字符串为“Dept1”，将端口Ethernet1/0/13加入到VLAN100。system-viewSwitchBvlan100SwitchB-vlan100descriptionDept1SwitchB-vlan100portEthernet1/0/13SwitchB-vlan103quit#创建VLAN200，并配置VLAN200的描述字符串为“Dept2”，将端口Ethe

13、rnet1/0/11和Ethernet1/0/12加入到VLAN200。SwitchBvlan200SwitchB-vlan200descriptionDept2SwotchB-vlan200portEthernet1/0/11Ethernet1/0/12SwitchB-vlan200quitH3C交换机基本配置培训课件配置配置SwitchASwitchA和和SwitchBSwitchB之间的链路之间的链路由于SwitchA和SwitchB之间的链路需要同时传输VLAN100和VLAN200的数据，所以可以配置两端的端口为Trunk端口，且允许这两个VLAN的报文通过。#配置SwitchA的E

14、thernet1/0/2端口。SwitchAinterfaceEthernet1/0/2SwitchA-Ethernet1/0/2portlink-typetrunkSwitchA-Ethernet1/0/2porttrunkpermitvlan100SwitchA-Ethernet1/0/2porttrunkpermitvlan200#配置SwitchB的Ethernet1/0/10端口。SwitchBinterfaceEthernet1/0/10SwitchB-Ethernet1/0/10portlink-typetrunkSwitchB-Ethernet1/0/10porttrunkpe

15、rmitvlan100SwitchB-Ethernet1/0/10porttrunkpermitvlan200H3C交换机基本配置培训课件注意事项注意事项lVLAN1-缺省就有，不需要创建，也无法删除-不建议用作业务VLAN-可以用作管理VLANlTrunk链路-只允许所需的VLAN通过，不要配置porttrunkpermitvlanall-最好配置上undoporttrunkpermitvlan1H3C交换机基本配置培训课件n第一章第一章 VLANVLAN原理及基本配置原理及基本配置n第二章第二章 STPSTP原理及基本配置原理及基本配置n第三章第三章 ACLACL原理及基本配置原理及基本配

16、置n第四章第四章设备管理基本配置设备管理基本配置n第五章第五章常用维护方法和命令常用维护方法和命令目录目录H3C交换机基本配置培训课件生成树生成树lSTP（SpanningTreeProtocol，生成树协议）是根据IEEE协会制定的802.1D标准建立的，用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路，并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。H3C交换机基本配置培训课件STPSTP配置命令配置命令启动

17、全局STP特性stpenable关闭全局STP特性undostpenable*全局开启后，每个接口下的STP功能也被打开接口视图下关闭STP特性stpdisable接口下开启STP特性stpenableH3C交换机基本配置培训课件STPSTP的交换机保护功能的交换机保护功能1.Root保护功能由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前根桥会失去根桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。stprootprimary命令用来指定当前交换机作为指定生成树实例的根

18、桥。undostproot命令用来取消当前交换机作为指定生成树实例的根桥资格。stpinstance0rootprimaryH3C交换机基本配置培训课件STPSTP优化优化- -边缘端口边缘端口边缘端口是指不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口，那么当该端口由阻塞状态向转发状态迁移时，这个端口可以实现快速迁移，而无需等待延迟时间。在交换机没有开启BPDU保护的情况下，如果被设置为边缘端口的端口上收到来自其它端口的BPDU报文，则该端口会重新变为非边缘端口。对于直接与终端相连的端口，请将该端口设置为边缘端口，同时启动BPDU保

19、护功能。这样既能够使该端口快速迁移到转发状态，也可以保证网络的安全。H3C交换机基本配置培训课件边缘端口配置边缘端口配置stpedged-portenable命令用来将当前的以太网端口配置为边缘端口stpedged-portdisable命令用来将当前的以太网端口配置为非边缘端口undostpedged-port命令用来将当前的以太网端口恢复为缺省状态，即非边缘端口。*缺省情况下，交换机所有以太网端口均被配置为非边缘端口H3C交换机基本配置培训课件STPSTP的交换机保护功能的交换机保护功能2.BPDU保护功能边缘端口接收到配置消息后，系统会自动将这些端口设置为非边缘端口，重新计算生成树，这样

20、就引起网络拓扑的震荡。正常情况下，边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被MSTP关闭。被关闭的边缘端口只能由网络管理人员恢复。H3C交换机基本配置培训课件查看查看STPSTP信息信息displaystpbrief显示STP生成树的简要状态信息。displaystpinstance0interfaceEthernet1/0/1toEthernet1/0/4briefMSTIDPortRoleST

21、PStateProtection0Ethernet1/0/1ALTEDISCARDINGLOOP0Ethernet1/0/2DESIFORWARDINGNONE0Ethernet1/0/3DESIFORWARDINGNONE0Ethernet1/0/4DESIFORWARDINGNONEH3C交换机基本配置培训课件n第一章第一章 VLANVLAN原理及基本配置原理及基本配置n第二章第二章 STPSTP原理及基本配置原理及基本配置n第三章第三章 ACLACL原理及基本配置原理及基本配置n第四章第四章设备管理基本配置设备管理基本配置n第五章第五章常用维护方法和命令常用维护方法和命令目录目录H3

22、C交换机基本配置培训课件ACLACL访问控制列表访问控制列表为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（AccessControlList，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL可应用在交换机全局或端口上，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。H3C交换机基本配置培训课件以太网访问列表以太网访问列表l主要作用:在整个网络中分布实施接入安全性

23、Internet服务器服务器服务器服务器部门部门部门部门 A A部门部门部门部门 B BIntranetIntranetH3C交换机基本配置培训课件访问控制列表访问控制列表ACLACL对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包过滤镜像流量限制流量统计分配队列优先级H3C交换机基本配置培训课件流分类流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型源/目的MAC地址以太网封装格式VlanID入/出端口3/4层流分类项协议类型源/目的IP地址源/目的端口号DSCPH3C交换机基本配置培训课件IPIP数据包过滤数据包

24、过滤IPheaderIPheaderTCPheaderTCPheaderApplication-levelheaderApplication-levelheaderDataData应用程序和数据应用程序和数据应用程序和数据应用程序和数据源源源源/ / / /目的端口号目的端口号目的端口号目的端口号源源源源/ / / /目的目的目的目的IP IPIP IP地址地址地址地址L3/L4L3/L4L3/L4L3/L4过滤过滤过滤过滤应用网关应用网关应用网关应用网关TCP/IPTCP/IPTCP/IPTCP/IP包过滤元素包过滤元素包过滤元素包过滤元素H3C交换机基本配置培训课件访问控制列表的构成访问控

25、制列表的构成lRule（访问控制列表的子规则）lTime-range（时间段机制）lACL=rules+time-range（访问控制列表由一系列规则组成，有必要时会和时间段结合）访问控制列表访问控制列表访问控制列表访问控制列表策略策略策略策略:ACL1:ACL1:ACL1:ACL1策略策略策略策略:ACL2:ACL2:ACL2:ACL2策略策略策略策略:ACL3:ACL3:ACL3:ACL3. . . .策略策略策略策略:ACLN:ACLN:ACLN:ACLNH3C交换机基本配置培训课件时间段的相关配置时间段的相关配置l l在系统视图下，配置时间段在系统视图下，配置时间段: : time-r

26、angetime-rangetime-nametime-namestart-timestart-timetotoend-end-timetimedays-of-the-weekdays-of-the-weekfromfromstart-datestart-date totoend-dateend-date l l在系统视图下，删除时间段在系统视图下，删除时间段: : undotime-rangeundotime-rangetime-namestart-timetime-namestart-timetoto end-timedays-of-the-weekend-timedays-of-the-

27、weekfromfromstart-start-datedatetotoend-dateend-datel l假设管理员需要在从假设管理员需要在从20022002年年1212月月1 1日上午日上午8 8点到点到20032003年年1 1月月1 1日下午日下午1818点的时间段内实施安全策略，可以点的时间段内实施安全策略，可以定义时间段名为定义时间段名为denytimedenytime，具体配置如下，具体配置如下: :H3Ctime-rangedenytimefrom8:0012-01-2002H3Ctime-rangedenytimefrom8:0012-01-2002H3Ctime-rang

28、edenytimefrom8:0012-01-2002H3Ctime-rangedenytimefrom8:0012-01-2002to18:0001-01-2003to18:0001-01-2003to18:0001-01-2003to18:0001-01-2003H3C交换机基本配置培训课件访问控制列表的类型访问控制列表的类型l20002999：表示基本ACL。只根据数据包的源IP地址制定规则。l30003999：表示高级ACL（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。l4000

29、4999：表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。l50005999：表示用户自定义ACL。以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。H3C交换机基本配置培训课件定义访问控制列表定义访问控制列表 l l在系统视图下，定义在系统视图下，定义ACLACL并进入访问控制列表视图并进入访问控制列表视图: : aclnumberaclnumberacl-number|acl-number|namenameacl-nameacl-namebasic

31、rule-idrule-idpermit|denysourcepermit|denysource source-addrsource-wildcardsource-addrsource-wildcard|any|anyfragmenttime-rangefragmenttime-rangetime-range-nametime-range-name l l在基本访问控制列表视图下，删除一条子规则在基本访问控制列表视图下，删除一条子规则 undoruleundorulerule-idrule-idsourcefragmentsourcefragmenttime-rangetime-rangeH3

32、C交换机基本配置培训课件高级访问控制列表的规则配置高级访问控制列表的规则配置l l在高级访问控制列表视图下，配置相应的规则在高级访问控制列表视图下，配置相应的规则 rulerulerule-idrule-idpermit|denypermit|denyprotocolprotocolsourcesource source-addrsource-wildcardsource-addrsource-wildcard|anydestination|anydestinationdest-dest-addrdest-maskaddrdest-mask|anysoure-port|anysoure-por

33、toperatorport1operatorport1port2port2destination-portdestination-portoperatorport1operatorport1 port2port2icmp-typeicmp-typeicmp-typeicmp-type icmp-codeicmp-codeestablishedestablishedprecedenceprecedenceprecedenceprecedencetostostostos|dscp|dscpdscpdscpfragmenttime-rangefragmenttime-rangetime-range-

34、nametime-range-name l l在高级访问控制列表视图下，删除一条子规则在高级访问控制列表视图下，删除一条子规则 undoruleundorulerule-idrule-idsourcedestinationsoure-portsourcedestinationsoure-portdestination-portprecedencetos|dscpdestination-portprecedencetos|dscpfragmenttime-rangefragmenttime-rangeH3C交换机基本配置培训课件端口操作符及语法端口操作符及语法l lTCP/UDPTCP/UDP协

35、议支持的端口操作符及语法协议支持的端口操作符及语法操作符及语法操作符及语法操作符及语法操作符及语法含义含义含义含义eqeqeqeqportnumberportnumber等于等于等于等于portnumberportnumbergtgtgtgtportnumberportnumber大于大于大于大于portnumberportnumberlt ltlt ltportnumberportnumber小于小于小于小于portnumberportnumberneqneqneqneqportnumberportnumber不等于不等于不等于不等于portnumberportnumberrangerang

36、erangerangeportnumber1portnumber1portnumber2portnumber2介于端口号介于端口号介于端口号介于端口号portnumber1portnumber1和和和和portnumber2portnumber2之间之间之间之间H3C交换机基本配置培训课件接口访问控制列表的规则配置接口访问控制列表的规则配置l l在接口访问控制列表视图下，配置相应的规则在接口访问控制列表视图下，配置相应的规则 rulerulerule-idrule-idpermit|denyinterfacepermit|denyinterfaceinterface-nameinterface

37、-name|interface-typeinterface-type interface-numinterface-num |anytime-range|anytime-rangetime-range-nametime-range-name l l在接口访问控制列表视图下，删除一条子规则在接口访问控制列表视图下，删除一条子规则 undoruleundorulerule-idrule-idH3C交换机基本配置培训课件二层访问控制列表的规则配置二层访问控制列表的规则配置l l在二层访问控制列表视图下，配置相应的规则在二层访问控制列表视图下，配置相应的规则 rulerulerule-idrule-i

38、d permit|denypermit|denyprotocolprotocolcoscosvlan-privlan-priingressingresssource-vlan-idsource-vlan-idsource-mac-addrsource-mac-addr source-mac-wildcardsource-mac-wildcardinterfaceinterfaceinterface-nameinterface-name|interface-typeinterface-typeinterface-numinterface-num|anyegress|anyegressdest-d

39、est-mac-addrmac-addr dest-mac-wildcarddest-mac-wildcardinterfaceinterfaceinterface-nameinterface-name|interface-typeinterface-numinterface-typeinterface-num |anytime-range|anytime-rangetime-range-nametime-range-name l l在二层访问控制列表视图下，删除一条子规则在二层访问控制列表视图下，删除一条子规则 undoruleundorulerule-idrule-idH3C交换机基本配置

40、培训课件自定义访问控制列表的规则配置自定义访问控制列表的规则配置l l在自定义访问控制列表视图下，配置相应的规则在自定义访问控制列表视图下，配置相应的规则 rulerulerule-idrule-idpermit|denypermit|denyrule-stringrule-string rule-maskrule-mask offsetoffset&time-range&time-rangetime-range-nametime-range-name l l在自定义访问控制列表视图下，删除一条子规则在自定义访问控制列表视图下，删除一条子规则 undoruleundorulerule-idru

41、le-idl用户自定义访问控制列表的数字标识取值范用户自定义访问控制列表的数字标识取值范围为围为5000500059995999H3C交换机基本配置培训课件规则匹配原则规则匹配原则l一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：Config：指定匹配该规则时按用户的配置顺序（后下发先生效）Auto：指定匹配该规则时系统自动排序（按“深度优先”的顺序）H3C交换机基本配置培训课件激活访问控制列表激活访问控制列表l l在系统视图下，激活在系统视图下，激活ACL:ACL: packet-filteruser-

42、grouppacket-filteruser-groupacl-numberacl-number|acl-acl-namenamerulerulerulerule|ip-group|ip-groupacl-numberacl-number | |acl-nameacl-namerulerulerulerulelink-grouplink-groupacl-acl-numbernumber|acl-nameacl-namerulerulerulerulel l在系统视图下，取消激活在系统视图下，取消激活ACL:ACL: undopacket-filteruser-groupundopacket-

43、filteruser-groupacl-numberacl-number|acl-nameacl-namerulerulerulerule|ip-group|ip-groupacl-acl-numbernumber|acl-nameacl-namerulerulerulerulelink-grouplink-group acl-numberacl-number|acl-nameacl-nameruleruleruleruleH3C交换机基本配置培训课件配置配置ACLACL进行包过滤的步骤进行包过滤的步骤l l综上所述，在综上所述，在H3CH3C交换机上配置交换机上配置ACLACL进行包过滤的进

44、行包过滤的步骤如下：步骤如下：配置时间段（可选）配置时间段（可选）定义访问控制列表（四种类型：基本、高级、基定义访问控制列表（四种类型：基本、高级、基于接口、基于二层和用户自定义）于接口、基于二层和用户自定义）激活访问控制列表激活访问控制列表 H3C交换机基本配置培训课件访问控制列表配置举例一访问控制列表配置举例一要求配置高级要求配置高级ACLACL，禁止员工在工作日，禁止员工在工作日8:008:0018:0018:00的时间段内访问新浪的时间段内访问新浪网站（网站（ 61.172.201.19461.172.201.194）1.1.定义时间段定义时间段H3Ctime-rangetest

45、8:00to18:00working-dayH3Ctime-rangetest8:00to18:00working-day2. 2.定义高级定义高级ACL3000ACL3000，配置目的，配置目的IP IP地址为新浪网站的访问规则。地址为新浪网站的访问规则。H3Caclnumber3000H3Caclnumber3000H3C-acl-adv-3000rule1denyipdestination61.172.201.1940time-H3C-acl-adv-3000rule1denyipdestination61.172.201.1940time-rangetestrangetest3. 3.

46、在端口在端口Ethernet1/0/15Ethernet1/0/15上应用上应用ACL3000ACL3000。H3CinterfaceEthernet1/0/15H3CinterfaceEthernet1/0/15H3C-Ethernet1/0/15packet-filterinboundip-group3000H3C-Ethernet1/0/15packet-filterinboundip-group3000H3C交换机基本配置培训课件访问控制列表配置举例二访问控制列表配置举例二配置防病毒ACL1.定义高级ACL3000H3Caclnumber3000H3C-acl-adv-3000rule

47、1denyudpdestination-porteq335H3C-acl-adv-3000rule3denytcpsource-porteq3365H3C-acl-adv-3000rule4denyudpsource61.22.3.00.0.0.255destination-porteq38752.在端口Ethernet1/0/1上应用ACL3000H3C-Ethernet1/0/1packet-filterinboundip-group3000H3C交换机基本配置培训课件n第一章第一章 VLANVLAN原理及基本配置原理及基本配置n第二章第二章 STPSTP原理及基本配置原理及基本配置n第三

48、章第三章 ACLACL原理及基本配置原理及基本配置n第四章第四章设备管理基本配置设备管理基本配置n第五章第五章常用维护方法和命令常用维护方法和命令目录目录H3C交换机基本配置培训课件交换机管理方式交换机管理方式l通过Console口进行本地登录l通过以太网端口利用Telnet或SSH进行本地或远程登录l通过Console口利用Modem拨号进行远程登录H3C交换机基本配置培训课件TelnetTelnet配置配置（2 2）需要输入密码）需要输入密码H3Cuser-interfacevty04H3Cuser-interfacevty04H3C-ui-vty0-4authentication-m

49、odepasswordH3C-ui-vty0-4authentication-modepasswordH3C-ui-vty0-4userprivilegelevel3H3C-ui-vty0-4userprivilegelevel3H3C-ui-vty0-4setauthenticationpasswordsimpleh3cH3C-ui-vty0-4setauthenticationpasswordsimpleh3c（3 3）需要输入用户名和密码）需要输入用户名和密码H3Cuser-interfacevty04H3Cuser-interfacevty04H3C-ui-vty0-4authenti

50、cation-modeschemeH3C-ui-vty0-4authentication-modeschemeH3Clocal-userh3cH3Clocal-userh3cH3C-luser-h3cpasswordcipher123456H3C-luser-h3cpasswordcipher123456H3C-luser-h3cservice-typetelnetlevel3H3C-luser-h3cservice-typetelnetlevel3（1 1）不需要输入用户名和密码）不需要输入用户名和密码H3Cuser-interfacevty04H3Cuser-interfacevty04H

51、3C-ui-vty0-4authentication-modenoneH3C-ui-vty0-4authentication-modenoneH3C-ui-vty0-4userprivilegelevel3H3C-ui-vty0-4userprivilegelevel3H3C交换机基本配置培训课件n第一章第一章 VLANVLAN原理及基本配置原理及基本配置n第二章第二章 STPSTP原理及基本配置原理及基本配置n第三章第三章 ACLACL原理及基本配置原理及基本配置n第四章第四章设备管理基本配置设备管理基本配置n第五章第五章常用维护方法和命令常用维护方法和命令目录目录H3C交换机基本配置培

52、训课件故障排除常用方法故障排除常用方法l分层故障排除法l分块故障排除法l分段故障排除法l替换法H3C交换机基本配置培训课件分层故障排除法分层故障排除法。物物理理层层数据链路层数据链路层网网络络层层所有的技术都是分层的！所有的技术都是分层的！关注电缆、连接头、信号电平、编码、时钟和组帧关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等H3C交换机基本配置培训课件分块故障排除法分块故障排除法l配置文件分为以下部分：管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、cost、认证等）路由协议部分（静态路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略

53、、策略路由、安全配置等）接入部分（主控制台、Telnet登录或哑终端、拨号等）其他应用部分（语言配置、VPN配置、Qos配置等）H3C交换机基本配置培训课件分段故障排除法分段故障排除法网络分为若干段，逐段测试，缩小故障范网络分为若干段，逐段测试，缩小故障范围，逐段定位网络故障，并排除。围，逐段定位网络故障，并排除。中继线路中继线路ModemModemModemModemModemModemModemModemDDNDDN节点节点DDNDDN节点节点H3C交换机基本配置培训课件常用命令（常用命令（1 1）displayversion命令用来显示系统的版本信息。用户可以通过该命令查看软件的版本信息

54、、发布时间、交换机的基本硬件配置等信息。displayversionH3CComwarePlatformSoftwareComwareSoftware,Version3.10,Test1545Copyright(c)2004-2007HangzhouH3CTechnologiesCo.,Ltd.Allrightsreserved.S3600-52P-EIuptimeis0week,0day,23hours,15minutesS3600-52P-EIwith1Processor64MbytesDRAM16384KbytesFlashMemoryConfigRegisterpointstoFLAS

55、HHardwareVersionisREV.CCPLDVersionisCPLD001BootromVersionis510Subslot048FEHardwareVersionisREV.CSubslot14GEHardwareVersionisREV.CH3C交换机基本配置培训课件常用命令（常用命令（2 2）displaycurrent-configuration命令用来显示交换机当前的配置。当用户完成一组配置之后，需要验证配置是否生效，则可以执行displaycurrent-configuration命令来查看当前生效的参数。注意：*如果当前配置的参数与缺省参数相同，则不予显示；*对于某

56、些参数，虽然用户已经配置，但如果这些参数对应的功能没有生效，则不予显示。H3C交换机基本配置培训课件常用命令（常用命令（3 3）displaythis命令用来显示当前视图下的运行配置。当用户在某一视图下完成一组配置之后，需要验证配置是否生效，则可以执行displaythis命令来查看所在视图下当前生效的配置参数。注意：*对于已经生效的配置参数如果与缺省工作参数相同，则不显示；*对于某些参数，虽然用户已经配置，但如果这些参数对应的功能没有生效，则不予显示；*在任意一个用户界面视图或VLAN视图下执行此命令，将会显示所有用户界面或VLAN下生效的配置参数。H3C交换机基本配置培训课件网络连通性测试

59、意视图下执行tracert ipv6 -f first-ttl | -m max-ttl | -p port | -q packet-number | -w timeout * remote-system可选网络层协议为IPv6时使用可在任意视图下执行H3C交换机基本配置培训课件pingping命令参数（命令参数（1 1）ip：支持IPv4协议。-asource-ip：指定ICMP回显请求报文中的源IP地址。该地址必须是设备上已配置的合法IP地址。-ccount：指定发送ICMP回显请求报文的数目，取值范围为14294967295，缺省值为5。-f：将长度大于接口MTU的报文直接丢弃，即不允许

60、对发送的ICMP回显请求报文进行分片。-httl：指定ICMP回显请求报文中的TTL值，取值范围为1255，缺省值为255。-iinterface-typeinterface-number：指定发送报文的接口的类型和编号。在指定出接口的情况下，只能ping直连网段地址。-minterval：指定发送ICMP回显请求报文的时间间隔，取值范围为165535，单位为毫秒，缺省值为200毫秒。如果在timeout时间内收到目的主机的响应报文，则下次ICMP回显请求报文的发送时间间隔为报文的实际响应时间与interval之和；如果在timeout时间内没有收到目的主机的响应报文，则下次ICMP回显请求报

61、文的发送时间间隔为timeout与interval之和。-n：不进行域名解析。缺省情况下，系统将对hostname进行域名解析。H3C交换机基本配置培训课件pingping命令参数命令参数-ppad：指定ICMP回显请求报文的填充字节，格式为16进制。比如将“pad”设置为ff，则报文将被全部填充为ff。缺省情况下，填充的字节从0x01开始，逐渐递增，直到0x09，然后又从0x01开始循环填充。-q：除统计信息外，不显示其它详细信息。缺省情况下，系统将显示包括统计信息在内的全部信息。-r：记录路由。缺省情况下，系统不记录路由。-spacket-size：指定发送的ICMP回显请求报文的长度（不

62、包括IP和ICMP报文头），取值范围为208100，单位为字节，缺省值为56字节。-ttimeout：指定ICMP回显应答报文的超时时间，取值范围为165535，单位为毫秒，缺省值为2000毫秒。-tostos：指定ICMP回显请求报文中的ToS（TypeofService，服务类型）域的值，取值范围为0255，缺省值为0。-v：显示接收到的非回显应答的ICMP报文。缺省情况下，系统不显示非回显应答的ICMP报文。-vpn-instancevpn-instance-name：指定MPLSVPN的实例名称，是一个长度为131个字符的字符串，不区分大小写。remote-system：目的设备的IP

63、地址或主机名（主机名为120个字符的字符串）。H3C交换机基本配置培训课件ping命令用来检查指定IP地址是否可达，并输出相应的统计信息。H3Cping11.1.1.1PING11.1.1.1:56databytes,pressCTRL_CtobreakReplyfrom11.1.1.1:bytes=56Sequence=0ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=1ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=2ttl=255time=32msReplyfrom11.1.1.1

64、:bytes=56Sequence=3ttl=255time=31msReplyfrom11.1.1.1:bytes=56Sequence=4ttl=255time=31ms-11.1.1.1pingstatistics-5packetstransmitted5packetsreceived0.00%packetlossround-tripmin/avg/max=31/31/32msH3C交换机基本配置培训课件tracerttracert命令参数命令参数-asource-ip：指明tracert报文的源IP地址。该地址必须是设备上已配置的合法IP地址。-ffirst-ttl：指定一个初始TTL

65、，即第一个报文所允许的跳数。取值范围为1255，且小于最大TTL，缺省值为1。-mmax-ttl：指定一个最大TTL，即一个报文所允许的最大跳数。取值范围为1255，且大于初始TTL，缺省值为30。-pport：指明目的设备的UDP端口号，取值范围为165535，缺省值为33434。用户一般不需要更改此选项。-qpacket-number：指明每次发送的探测报文个数，取值范围为165535，缺省值为3。-vpn-instancevpn-instance-name：指定MPLSVPN的实例名称，是一个长度为131个字符的字符串。-wtimeout：指定等待探测报文响应的报文的超时时间，取值范围是

66、165535，单位为毫秒，缺省值为5000毫秒。remote-system：目的设备的IP地址或主机名（主机名是长度为120的字符串）。H3C交换机基本配置培训课件tracert命令用来查看IPv4报文从当前设备传到目的设备所经过的路径。tracert18.26.0.115tracerouteto18.26.0.115(18.26.0.115)30hopsmax,40bytespacket,pressCTRL_Ctobreak1128.3.112.110ms10ms10ms2128.32.210.119ms19ms19ms3128.32.216.139ms19ms19ms4128.32.136

67、.2319ms39ms39ms5128.32.168.2220ms39ms39ms6128.32.197.459ms119ms39ms7131.119.2.559ms59ms39ms8129.140.70.1380ms79ms99ms9129.140.71.6139ms139ms159ms10129.140.81.7199ms180ms300ms11129.140.72.17300ms239ms239ms12*13128.121.54.72259ms499ms279ms14*15*16*17*1818.26.0.115339ms279ms279msH3C交换机基本配置培训课件displayin

68、terfacedisplayinterface（1 1）displayinterfaceethernet1/0/1Ethernet1/0/1currentstate:DOWNIPSendingFramesFormatisPKTFMT_ETHNT_2,Hardwareaddressis0012-a990-2240Mediatypeistwistedpair,loopbacknotsetPorthardwaretypeis100_BASE_TX100Mbps-speedmode,full-duplexmodeLinkspeedtypeisforcelink,linkduplextypeisforc

69、elinkFlow-controlisenabledTheMaximumFrameLengthis9216BroadcastMAX-pps:500UnicastMAX-ratio:100%MulticastMAX-ratio:100%AllowjumboframetopassPVID:1Mditype:autoPortlink-type:accessTaggedVLANID:noneUntaggedVLANID:1H3C交换机基本配置培训课件displayinterfacedisplayinterface（2 2）Last300secondsinput:0packets/sec0bytes/s

70、ecLast300secondsoutput:0packets/sec0bytes/secInput(total):0packets,0bytes0broadcasts,0multicasts,0pausesInput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesInput:0inputerrors,0runts,0giants,-throttles,0CRC0frame,-overruns,0aborts,0ignored,-parityerrorsOutput(total):0packets,0bytes0broadcasts

71、,0multicasts,0pausesOutput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesOutput:0outputerrors,-underruns,-bufferfailures0aborts,0deferred,0collisions,0latecollisions0lostcarrier,-nocarrierH3C交换机基本配置培训课件displaymac-addressdisplaymac-address用来显示MAC地址转发表的信息，包括MAC地址所对应VLAN和以太网端口、地址状态（静态还是动态）、是否处在

72、老化时间内等信息#显示MAC地址000f-e20f-0101的信息。displaymac-address000f-e20f-0101MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000f-e20f-01011LearnedEthernet1/0/1AGING#显示端口Ethernet1/0/4的MAC地址转发表内容。displaymac-addressinterfaceEthernet1/0/4MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000d-88f6-44ba1LearnedEthernet1/0/4AGING000d-8

73、8f7-9f7d1LearnedEthernet1/0/4AGING000d-88f7-b0941LearnedEthernet1/0/4AGING000f-e200-00cc1LearnedEthernet1/0/4AGING000f-e200-22011LearnedEthernet1/0/4AGING000f-e207-f2e01LearnedEthernet1/0/4AGING000f-e209-ecf91LearnedEthernet1/0/4AGING-7macaddress(es)foundonportEthernet1/0/4-H3C交换机基本配置培训课件displayarpd

74、isplayarp用来显示ARP表项displayarpType:S-StaticD-DynamicIPAddressMACAddressVLANIDPortName/ALIDAgingType10.2.72.162000a-000a-0aaaN/AN/AN/AS192.168.0.770000-e8f5-6a4a1Ethernet1/0/213D192.168.0.2000014-222c-9d6a1Ethernet1/0/214D192.168.0.45000d-88f6-44c11Ethernet1/0/215D192.168.0.1100011-4301-991e1Ethernet1/

75、0/215D192.168.0.320000-e8f5-73ee1Ethernet1/0/216D192.168.0.30014-222c-aa691Ethernet1/0/216D192.168.0.17000d-88f6-379c1Ethernet1/0/217D192.168.0.115000d-88f7-9f7d1Ethernet1/0/218D192.168.0.43000c-760a-172d1Ethernet1/0/218D192.168.0.5000f-e280-2b381Ethernet1/0/220D-11entriesfound-H3C交换机基本配置培训课件S9500S9

76、500常用维护命令常用维护命令- -查看硬件状态查看硬件状态displaycpu命令用来显示CPU的使用状态#显示0槽位上CPU的使用状态。displaycpuslot0Board0CPUbusystatus:6%inlast5seconds7%inlast1minute12%inlast5minutesdisplaypower命令用来显示交换机的电源状态#显示电源状态。displaypowerPower1State:AbsentPower2State:NormalPower3State:AbsentH3C交换机基本配置培训课件displaydevicedisplaydevice显示交换机上各

77、单板（主板和子板）的模块类型、工作状态信息。可以通过此命令来显示各单板的模块类型、工作状态信息，这些信息包括物理板号、子物理板号、端口个数、PCB版本号、FPGA版本号、硬件版本号、BOOTROM软件版本号、地址学习模式、接口板类型等。displaydeviceSlotNo.BrdTypeBrdStatusSubslotNumSftVer0LSB1SRPBMaster08500-00041NONEAbsentAbsentNone2NONEAbsentAbsentNone3NONEAbsentAbsentNone4NONEAbsentAbsentNone5NONEAbsentAbsentNone

78、6NONEAbsentAbsentNone7NONEAbsentAbsentNoneH3C交换机基本配置培训课件displayenvironmentdisplayenvironment#显示设备环境信息。displayenvironmentSystemtemperatureinformation(degreecentigrade):-BoardTemperatureLowerlimitUpperlimit033104523510654341065H3C交换机基本配置培训课件displayfan命令用来显示交换机的内置风扇的工作状态信息。可以通过此命令来显示风扇的工作状态是否正常。#显示风扇的工

79、作状态。displayfanFan1State:Normaldisplaymemory命令用来显示交换机的内存使用状态。#显示交换机0槽位的内存使用状态。displaymemoryslot0SystemTotalMemory(bytes):197932416TotalUsedMemory(bytes):65234704UsedRate:32%H3C交换机基本配置培训课件告警日志信息查看告警日志信息查看项目项目操作指导操作指导参考标准参考标准系统告警缓系统告警缓冲区查看冲区查看displaydisplaytrapbuffertrapbuffer正常情况下无严重告警正常情况下无严重告警记录，否则为不正常。记录，否则为不正常。系统日志缓系统日志缓冲区查看冲区查看 displaydisplaylogbufferlogbuffer正常情况下无严重出错正常情况下无严重出错日志记录，否则为不正日志记录，否则为不正常。常。所有系统日所有系统日志查看志查看 displaylogdisplaylog正常情况下无严重告警正常情况下无严重告警记录和严重出错日志，记录和严重出错日志，否则为不正常。否则为不正常。 H3C交换机基本配置培训课件

展开阅读全文

H3C交换机基本配置培训课件

最新文档