huawei交換機典型配置


適合閱讀本文的對象有:

1、因工程緊急,時間不足,無法仔細閱讀華為vrp配置手冊和命令手冊的

2、對華為vrp操作平台不夠熟悉的,而又亟需書面幫助的

3、在學習華為vrp配置手冊和命令手冊的同時,想在配置上得到直接幫助的

4、准備參加HCNE、HCSE、HCIE認證考試的工程師以及網絡技術愛好者

 

本手冊內容分為三大部分。第一部分是日常維護中如何配置交換機,包括telnet、aux口遠程登錄、web網管等內容;第二部分是交換機基礎類配置,主要包括VLAN配置、IP地址配置、端口屬性配置、端口匯聚配置、HGMP和集群配置配置等;第三部分是高級應用類配置,包括了STP、路由協議、組播、802.1X、VRRP、訪問控制、QOS等配置。

 

每部分內容后面都附了注明,請大家一定注意看一下。

 

由於時間倉促,本手冊還有許多內容需要完善,特別是第三部分的各個QOS章節,許多現在僅供參考,實際配置中請以各產品為准。另外在內容安排上也有沖突,這些將在下一個版本的典型配置案例中進行完善。真誠希望大家給我們提供寶貴意見和建議。

 

 

注意:本手冊僅用來對使用華為數通產品的代理商、用戶進行支持幫助之用。華為公司在尊重他人版權的同時,也同樣保留保護自己版權的權力。未經華為公司授權許可,本手冊不得作為商用。


第1章  LANSWITCH日常維護典型配置

1.1  基本操作

1.1.1  常用命令新舊對照列表

                                                                                                                                          表1-1 常用命令新舊對照表

 

show

display

access-list

acl

no

undo

acl

eacl

exit

quit

 

 

write

save

show version

disp version

erase

reset

show run

disp current-configuration

 

 

show tech-support

disp base-information

 

 

show start

disp saved-configuration

router ospf

ospf

 

 

router bgp

bgp

 

 

router rip

rip

 

 

 

 

 

 

hostname

sysname

 

 

user

local-user

 

 

0

simple

 

 

7

cipher

 

 

 

 

 

 

mode

link-type

 

 

multi

hybrid

 

 

注意:

1.     disp是display的縮寫,在沒有歧義時LANSWITCH會自動識別不完整詞

2.     disp cur顯示LANSWITCH當前生效的配置參數

3.     disp和ping命令在任何視圖下都可執行,不必切換到系統視圖

4.     刪除某條命令,一般的命令是undo xxx,另一種情況是用其他的參數代替現在的參數,如有時雖然xxx abc無法使用undo刪除,但是可以修改為xxx def

 


 

1.2  LANSWITCH配置注意事項

                                                                                                                                  表1-2 LANSWITCH配置注意事項

序號

注意項目

記錄

1

登錄交換機時請注意在超級終端中流控選擇“無”

 

2

啟動時按”ctrl+B”可以進入到boot menu模式

 

3

當交換機提示”Please Press ENTER”,敲完回車后請等待一下,設備需要一定的時間才能進入到命令行界面(具體的時間試產品而定)

 

4

進入系統視圖請輸入”system-view”(輸入”sys”即可)

 

5

對使用的端口、vlan、interface vlan進行詳細的描述

 

6

如果配置了telnet用戶,一定要設置權限或配置super密碼

 

7

除了S6500系列,模塊不可以帶電插拔

 

8

使用別的產品模塊前請確認該模塊是否可以混用

 

9

配置acl時請注意掩碼配置是否准確

 

10

二層交換機配置管理IP后,請確保管理vlan包含了管理報文到達的端口

 

11

配置完畢后請在用戶視圖下(即尖括號視圖下)采用save命令保存配置

 

12

請確保在設備保存配置的時候不掉電,否則可能會導致配置丟失

 

13

如果要清除所有配置,請在用戶視圖下(即尖括號視圖下)采用reset saved-configuration,並重啟交換機

 

注:

其他配置需注意的地方請參考每部分內容后面的注明。

 


 

1.3  遠程telnet登錄

1.3.1  功能需求及組網說明

                                                                                                                                                      圖1-1 telnet配置

 

說明:如圖,交換機SwitchA通過以太網口ethernet 0/1和SwitchB的ethernet0/24實現互連。

PC的IP地址為10.10.10.10/24,SwitchA的管理IP配置在vlan100的虛接口上,10.10.10.1/24,使用vlan 10與SwitchB進行互連,地址為192.168.0.1/24,SwitchB也使用vlan 100作為管理vlan,地址為192.168.0.2/24

 

需求:

1.      SwitchA只能允許10.10.10.0/24網段的地址的PC telnet訪問

2.      SwitchB允許其它任意網段的地址telnet訪問

1.3.2  配置

                                                                                                                                                      表1-3 telnet配置

配置過程

注釋

SwitchA交換機配置:

[SwitchA]vlan 100

[SwitchA-vlan100] port Ethernet 0/10 to Ethernet 0/20

[SwitchA]interface Vlan-interface 100

[SwitchA-Vlan-interface100]ip address 10.10.10.1 255.255.255.0

 

[SwitchA]vlan 10

[SwitchA-vlan10] port Ethernet 0/1

[SwitchA]interface Vlan-interface 10

[SwitchA-Vlan-interface10]ip address 192.168.0.1 255.255.255.0

 

[SwitchA]user-interface vty 0 4

[SwitchA-ui-vty0-4]

[SwitchA-ui-vty0-4]authentication-mode password

[SwitchA-ui-vty0-4]set authentication password simple Huawei

 

 

 

 

[SwitchA-ui-vty0-4]user  privilege level 3

 

 

 

[SwitchA-ui-vty0-4]acl 1 inbound

[SwitchA]acl number 1

[SwitchA-acl-basic-1]

[SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255

 

 

SwitchB交換機配置:

[SwitchA]vlan 100

[SwitchA-vlan100] port Ethernet 0/24

 

[SwitchB]interface Vlan-interface 100

[SwitchB-Vlan-interface100]ip address 192.168.0.2 255.255.255.0

 

[SwitchB]user-interface vty 0 4

[SwitchB-ui-vty0-4]

[SwitchB-ui-vty0-4]authentication-mode password

[SwitchB-ui-vty0-4]set authentication password simple Huawei

[SwitchB-ui-vty0-4]user  privilege level 3

[SwitchB]ip route-static  0.0.0.0 0.0.0.0 192.168.0.1

 

#配置管理vlan 100

 

 

 

 

 

 

#配置與SwitchB互連的vlan 10

 

 

 

 

 

#設置telnet登錄為密碼驗證方式。telnet登錄缺省為密碼驗證方式

 

 

#如果配置telnet登錄為密碼驗證方式或使用缺省驗證方式,必須配置登錄密碼,如果不配置密碼,系統不允許登錄。

 

#系統默認VTY登錄方式用戶級別為0,設置為3才能進入系統視圖

 

 

#設置只允許10.10.10.0網段地址能夠訪問交換機SwitchA

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

#允許其它任意網段的地址能夠訪問交換機需要啟動路由協議或者加一條靜態默認路由

注意:

1.      一共只可以設置5telnet用戶

2.      缺省情況下telnet用戶的權限是0級,如果沒有配置telnet用戶的權限,並且也沒有配置super密碼,則telnet用戶只能對交換機執行有限的操作,無法配置交換機


 

1.4  遠程AUX口登錄

1.4.1  功能需求及組網說明

 

 

                                                                                                                               圖1-2 通過AUX口遠程登錄交換機

 

需求:通過AUX口(即console口)登錄到交換機進行配置

1.4.2  配置

                                                                                                                                  表1-4 通過AUX口遠程登錄配置

配置過程

注釋

[Quidway] user-interface aux 0

 

 

[Quidway-ui-aux0]modem

#在交換機上執行user-interface aux 0  進入console

 

#鍵入modem進入modem狀態。

 

#與計算機相連的modem為modemA,與交換機相連的modem為modemB。

物理連接后在計算機上啟用超級終端, com端口選擇和modemA相連的com口

在超級終端屏幕上鍵入命令 atdt 82882285(與交換機modemB的電話號碼)

等待片刻就可以登錄到交換機上。

 

注:

1.      目前的命令行配置的交換機console口和aux口是合二為一的

2.      連接交換機和modem要采用專用的aux線纜

3.      modem要設置成自動應答方式


 

1.5  打開debug開關

1.5.1  功能需求及組網說明

 

                                                                                                                                                圖1-3 Debug 系統調試

 

說明:如圖,PC1與交換機A的Console 口或以太口相連。如果是通過以太口相連,要求PC1的IP地址和該以太端口所在的VLAN Interface在同一網段。在這里,我們假設PC1的地址是10.110.53.247/21, 交換機的以太網口所在VLAN Interface 1的IP 地址是10.110.53.248/21。

1.5.2  配置

                                                                                                                                                表1-5 打開debug開關

配置過程

注釋

SwitchA交換機配置:

 

<Quidway>debbuging  ?

  all           All debugging functions

  arp           ARP module

  bgp           BGP module

  cluster       Cluster module

  device        Device manage

  dhcp-relay    DHCP relay module

  dot1x         Specify 802.1x configuration information

  ethernet      Ethernet module

  fib           FIB module

  ftp-server    FTP server information

  garp          GARP module

  gmrp          GMRP module

  gvrp          GVRP module

  habp          HABP module

  hgmpserver    HGMP server module

  igmp          IGMP module

  ip            IP module

  local-server    Local authentication server information

  mac-address    MAC address table information

  modem        Modem module

  multicast       Multicast module

  ndp           NDP module

  ni            NI module: NI Debuging information

  ntdp          NTDP module

  ntp-service     NTP module

  ospf          OSPF module

  pim           PIM module

  radius        Radius module

  rip           RIP module

  rmon          RMON debugging switch

  snmp-agent    SNMP module

  stp           STP infomation

  tcp           TCP module

  telnet         TELNET module

  udp           UDP module

  vfs           Filesystem module

  vrrp          VRRP module

  vtp           VTP module

  vty           VTY module

 

<Quidway> debugging ip packet

 

<Quidway>terminal monitor

% Current terminal monitor is on

 

<Quidway>terminal debugging

% Current terminal debugging is on

<Quidway>

 

 

#在用戶視圖下面打開調試開關,選擇所需要進行調試的模塊參數。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

#打開IP報文調試開關

 

#在用戶視圖模式下打開屏幕輸出開關。

#在用戶視圖模式下打開調試輸出開關。

 

注意:

1.      調試結束后,用undo debugging XXX, undo terminal monitor undo terminal debugging關閉所有的調試開關。

2.      缺省情況下debug信息只向console口終端輸成信息,如果是telnet到交換機,則需要在系統視圖下執行info-center monitor channel 0命令,否則debug信息無法向telnet終端輸出。


 

1.6  SNMP配置

1.6.1  功能需求及組網說明

 

                                                                                                                                                          圖1-4 SNMP配置

 

說明:網管工作站(NMS)與以太網交換機通過以太網相連,網管工作站IP地址為129.102.149.23,以太網交換機的VLAN接口IP地址為129.102.0.1。在交換機上進行如下配置:設置團體名和訪問權限管理員標識、聯系方法以及交換機的位置信息、允許交換機發送Trap消息。

1.6.2  配置

                                                                                                                                                          表1-6 SNMP配置

配置過程

注釋

<Quidway>system-view

 

[Quidway] snmp-agent community read public

[Quidway] snmp-agent community write private

 

[Quidway]snmp-agent sys-info contact Mr.Wang-Tel:3306

[Quidway] snmp-agent sys-info location telephone-closet,3rd-floor

 

[Quidway] snmp-agent trap enable

[Quidway] snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public

 

 

# 進入系統視圖

# 設置團體名和訪問權限

 

 

# 設置管理員標識、聯系方法以及物理位置

 

 

 

# 允許向網管工作站129.102.149.23發送Trap報文,使用的團體名為public。

 

 

 

 

注:

一般情況下只需設置團體名和訪問權限設備即可被管理,其他為可選配置


 

1.7  WEB網管配置

1.7.1  功能需求及組網說明

 

                                                                                                                                                     圖1-5 WEB網管配置

 

說明:PCA連接在交換機A的端口0/1

需求:PCA使用WEB網管軟件對交換機進行WEB管理

1.7.2  配置

                                                                                                                                                     表1-7 WEB網管配置

配置過程

注釋

在System命令模式下進行下面配置

 

[Quidway]snmp-agent sys-info version v3

 

[Quidway]snmp-agent mib-view included wnmview internet

 

[Quidway]snmp-agent group v3 wnmgroup authentication  read-view wnmview write-view wnmview notify-view wnmview

 

 

 [Quidway]snmp-agent usm-user v3 wnm wnmgroup  authentication-mode md5 123456

 

 

 

 

[Quidway]snmp-agent target-host trap address udp-domain 192.168.1.3 params securityname wnm v2c

 

 

 

[Quidway]snmp-agent trap enable standard

[Quidway]snmp-agent trap enable vrrp

[Quidway]snmp-agent trap enable bgp

 

 

#啟動Snmp Agent的V3版本

 

#創建一個范圍為internet的Snmp視圖

 

#創建一個需要進行認證的Snmp V3的組wnmgroup,讀寫和接受Trap的視圖都使用wnmview

 

#創建一個Snmp V3的用戶,用戶名是wnm,認證密碼是123456,采用MD5方式認證,不進行加密

 

#設置Trap主機地址為192.168.1.3,接收Trap的用戶名為wnm,采用TrapV2c格式送Trap

 

#激活標准Trap,VRRP和BGP的Trap

完成上述配置以后,在PC機打開瀏覽器,在地址欄輸入交換機的IP地址,將在顯示的頁面中點擊“圖形管理界面”,就進入圖形界面的Web網管。首先會彈出對話框,如果使用的是上面描述的配置,則用戶名輸入wnm,認證方式選擇MD5,加密方式選擇空,認證密碼輸入123456,點擊確定。后面就可以根據菜單和對話框的提示通過Web網管對交換機進行查詢和配置了。

注意:

1. 如果交換機和PC機的IP地址不在同一個網段,或者需要在PC機上收到Trap,則需要根據Web網管主頁上的提示開發Java權限,對於每個交換機,在PC機上都需要開發權限;

2. PC機上需要安裝JRE1.3以上的版本。JRE( Java Runtime EnvironmentJava運行環境 )可以在Sun公司的網站上免費下載。

 

 


第2章  LANSWITCH基礎應用典型配置

2.1  VLAN配置

2.1.1  功能需求及組網說明

 

                                                                                                                                                         圖2-1 VLAN 配置

 

需求:把交換機端口Ethernet 0/1加入到VLAN 2 ,Ethernet 0/2加入到VLAN 3

2.1.2  配置

                                                                                                                                                          表2-1 VLAN配置

配置過程

注釋

方法一:

[Quidway]vlan 2

[Quidway-vlan2]port ethernet 0/1

[Quidway-vlan2]vlan 3

[Quidway-vlan3]port ethernet 0/2

 

方法二:

[Quidway]vlan 2

[Quidway-vlan2]quit

[Quidway]interface ethernet 0/1

[Quidway-Ethernet1]port access vlan 2

[Quidway-Ethernet1]quit

[Quidway]vlan 3

[Quidway-vlan3]quit

[Quidway]interface ethernet 0/2

[Quidway-Ethernet2]port access vlan 3

 

#創建VLAN 2

#將端口1加入到VLAN 2

#創建VLAN 3

#將端口2加入到VLAN 3

 

 

 

 

 

注:

1.      缺省情況下所有端口都屬於VLAN 1,並且端口是access端口,一個access端口只能屬於一個vlan

2.      如果端口是access端口,則把端口加入到另外一個vlan的同時,系統自動把該端口從原來的vlan中刪除掉。

 


 

2.2  IP地址配置

2.2.1  功能需求及組網說明

 

                                                                                                                                                       圖2-2 IP地址配置

 

說明:如圖,三層交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2,分別屬於vlan 2、vlan 3,vlan 2、vlan 3的三層接口地址分別是1.0.0.1/24、2.0.0.1/24,Pc1和Pc2通過三層接口互通。

2.2.2  配置

                                                                                                                                                       表2-2 IP地址配置

配置過程

注釋

[Quidway]vlan 2

[Quidway-vlan2]port ethernet 0/1

[Quidway-vlan2]interface vlan 2

[Quidway-Vlan-interface2]ip address 1.0.0.1 255.255.255.0

 

[Quidway]vlan 3

[Quidway-vlan3]port ethernet 0/2

[Quidway-vlan3]interface vlan 3

[Quidway-Vlan-interface3]ip address 2.0.0.1 255.255.255.0

#創建VLAN 2

#增加端口

 

#給虛接口VLAN 2添加IP地址

#創建VLAN 3

#增加端口

 

#給虛接口VLAN 3添加IP地址

注:

1. 對於交換機而言,地址只能配置在vlan虛接口上;但是S6506除外,它的console口旁邊有一個管理以太網口(interface M-ethernet 0),可以直接配置IP地址。

2. 該配置例是以三層交換機為例,如果是二層交換機,則只能配置一個VLAN 虛接口。

 

 

 


 

2.3  端口的trunk屬性配置

2.3.1  功能需求及組網說明

 

                                                                                                                                            圖2-3 端口的trunk配置

 

說明:通過交換機端口的trunk功能來實現跨交換機之間的vlan互通

左邊交換機為A,右邊交換機為B。交換機A的e0/1接vlan 10 pc;e0/2接vlan 20 pc; e0/3接交換機B的e0/3

 

需求:兩台交換機之間的vlan10的pc可以互通,vlan 20的pc可以互通。

2.3.2  配置

                                                                                                                                            表2-3 端口的trunk配置

配置過程

注釋

SwitchA交換機配置:

[SwitchA] vlan 10

[SwitchA-vlan10]port Ethernet 0/1

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

 

[SwitchA-Ethernet0/3]port link-type trunk

[SwitchA-Ethernet0/3]port trunk permit vlan all

 

#創建 VLAN 10

#端口 e0/1加入VLAN 10

#創建 VLAN 20

#端口 e0/2加入VLAN 20

 

#配置端口 e0/3 trunk端口,允許所有VLAN通過

SwitchB交換機配置:

[SwitchB] vlan 10

[SwitchB-vlan10]port Ethernet 0/1

[SwitchB]vlan 20

[SwitchB-vlan20]port Ethernet 0/2

 

[SwitchB-Ethernet0/3]port link-type trunk

[SwitchB-Ethernet0/3]port trunk permit vlan all

 

#創建 VLAN 10

#端口 e0/1加入VLAN 10

#創建 VLAN 20

#端口 e0/2加入VLAN 20

 

#配置端口 e0/3 trunk端口,允許所有VLAN通過

注:

1. 如果一個端口是trunk端口,則該端口可以屬於多個vlan

2. 缺省情況下trunk端口的PVID1,可以在端口模式下通過命令port trunk pvid vlan vlanid 來修改端口的PVID

3. 如果從trunk轉發出去的數據報文的vlan id和端口的PVID一致,則該報文的VLAN信息會被剝去,這點在配置trunk端口時需要注意。

4. 一台交換機上如果已經設置了某個端口為hybrid端口,則不可以再把另外的端口設置為trunk端口。

 


 

2.4  端口的hybrid屬性配置

2.4.1  功能需求及組網說明

 

                                                                                                                                   圖2-4 端口hybrid屬性的配置

 

說明:二層交換機之間利用端口的hybrid屬性靈活實現vlan之間的靈活互訪。

 

需求:所有設備的ip地址均在同一網段,要求三個vlan的pc均可以訪問server 1;只有vlan 10、20以及vlan30的4端口可以訪問server 2;同時vlan 10中的2端口的pc可以訪問vlan 30;vlan 20可以訪問vlan 30的5端口。

2.4.2  配置

                                                                                                                                       表2-4 端口hybrid屬性配置

 

配置過程:

注釋:

 

<Quidway>sys

Enter system view , return user view with Ctrl+Z.

[Quidway]vlan 10

[Quidway-vlan10]vlan 20

[Quidway-vlan20]vlan 30

[Quidway-vlan30]vlan 40

[Quidway-vlan40]vlan 50

[Quidway-vlan50]int e0/1

[Quidway-Ethernet0/1]port link-type hybrid

 

[Quidway-Ethernet0/1]port hybrid pvid vlan 10

 

 

 

[Quidway-Ethernet0/1]port hybrid vlan 10 40 50 untagged

 

 

 

[Quidway-Ethernet0/1]int e0/2

[Quidway-Ethernet0/2]port link-type hybrid

[Quidway-Ethernet0/2]port hybrid pvid vlan 10

[Quidway-Ethernet0/2]port hybrid vlan 10 30 40 50 untagged

 

[Quidway-Ethernet0/2]int e0/3

[Quidway-Ethernet0/3]port link-type hybrid

[Quidway-Ethernet0/3]port hybrid pvid vlan 20

[Quidway-Ethernet0/3]port hybrid vlan 20 30 40 50 untagged

[Quidway-Ethernet0/3]int e0/4

[Quidway-Ethernet0/4]port link-type hybrid

[Quidway-Ethernet0/4]port hybrid pvid vlan 30

[Quidway-Ethernet0/4]port hybrid vlan 10 30 40 50 untagged

[Quidway-Ethernet0/4]int e0/5

[Quidway-Ethernet0/5]port link-type hybrid

[Quidway-Ethernet0/5]port hybrid pvid vlan 30

[Quidway-Ethernet0/5]port hybrid vlan 10 20 30 40 untagged

[Quidway-Ethernet0/5]int e0/23

[Quidway-Ethernet0/23]port link-type hybrid

[Quidway-Ethernet0/23]port hybrid pvid vlan 40

[Quidway-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged

[Quidway-Ethernet0/24]int e0/24

[Quidway-Ethernet0/24]port link-type hybrid

[Quidway-Ethernet0/24]port hybrid pvid vlan 50

[Quidway-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged

 

 

 

 

#首先創建業務需要的vlan

 

 

 

 

 

#每個端口,都配置為 hybrid狀態

#設置端口的pvid等於該端口所屬的vlan

 

#將希望可以互通的端口的pvid vlan,設置為untagged vlan,這樣從該端口發出的廣播幀就可以到達本端口

 

 

 

#實際上,這種配置是通過 hybrid 端口的 pvid 來唯一的表示一個端口,接收端口通過是否將 vlan 設置為 untagged vlan,來控制是否與 pvid vlan 為 該 vlan 的端口互通。

 

注:

1. 中端lanswitch(包括S6500S5500系列交換機)不支持端口的hybrid屬性;

2. 如果一個端口是bybrid端口,則可以指定vlan從這個端口轉發出去的時候是否帶vlan信息,如果帶,則配置成tagged方式,否則配置成untagged方式;

3. 一台交換機上如果已經設置了某個端口為trunk端口,則不可以再把另外的端口設置為hybrid端口。

 

 

 


 

2.5  端口匯聚配置

2.5.1  功能需求及組網說明

 

                                                                                                                                                    圖2-5 端口匯聚配置

 

說明:如圖,交換機SwitchA和SwitchB通過以太網口實現互連。其中SwitchA用於互連的端口為e0/1和e0/2,SwitchB用於互連的端口為e0/1和e0/2。

 

需求:增加SwitchA的SwitchB的互連鏈路的帶寬,並且能夠實現鏈路備份,使用端口匯聚。

2.5.2  配置

                                                                                                                                                    表2-5 端口匯聚配置

配置過程

注釋

SwitchA交換機配置:

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]duplex full

[SwitchA-Ethernet0/1]speed 100

[SwitchA-Ethernet0/1]quit

[SwitchA]interface Ethernet 0/2

[SwitchA-Ethernet0/2]duplex full

[SwitchA-Ethernet0/2]speed 100

[SwitchA-Ethernet0/2]quit

[SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both

 

SwitchB交換機配置:

[SwitchB]interface Ethernet 0/1

[SwitchB-Ethernet0/1]duplex full

[SwitchB-Ethernet0/1]speed 100

[SwitchB-Ethernet0/1]quit

[SwitchB]interface Ethernet 0/2

[SwitchB-Ethernet0/2]duplex full

[SwitchB-Ethernet0/2]speed 100

[SwitchB-Ethernet0/2]quit

[SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both

 

 

#匯聚端口必須工作在全雙工模式

 

 

#匯聚的端口速率要求相同,但不能是自適應

 

#可以對雙向流量進行匯聚,也可以只對入流量進行匯聚

 

 

 

 

 

 

 

 

 

 

 

 

 

:

1.      在一個端口匯聚組中,端口號最小的作為主端口,其他的作為成員端口。同一個匯聚組中成員端口的鏈路類型與主端口的鏈路類型保持一致,即如果主端口為Trunk端口,則成員端口也為Trunk端口;如主端口的鏈路類型改為Access端口,則成員端口的鏈路類型也變為Access端口。

2.      不同的產品對端口匯聚時的起始端口號要求各有不同,請對照《操作手冊》進行配置。

 

 


 

2.6  端口鏡像配置

2.6.1  功能需求及組網說明

 

 

                                                                                                                                                    圖2-6 端口鏡像配置

說明:通過交換機端口鏡像的功能使用server對兩台pc的業務報文進行監控。

 

需求:按照不同的產品系列進行配置:

1.      基於端口的鏡像--3026

2.      基於流的鏡像--3526和F系列

3.      基於訪問列表的鏡像--E系列

2.6.2  配置

l         3026產品

                                                                                                                                     表2-6 3026產品端口鏡像配置

配置過程

注釋

配置方法一:

[Quidway]monitor-port e0/8

[Quidway]port mirror e0/1

[Quidway]port mirror e0/2

 

配置方法二:

[Quidway]port mirror e0/1 to e0/2 observing-port e0/8

 

#定義e0/8口為監控端口

#定義e0/1、e0/2為被監控端口

 

l         3526/3526F/3026F系列

                                                                                                                                            表2-7 3526端口鏡像配置

配置過程

注釋

[Quidway]acl num 100

 

[Quidway]rule 0 permit ip source 1.1.1.1 0 destination 2.2.2.2 0

[Quidway]rule 1 permit ip source 2.2.2.2 0 destination 1.1.1.1 0

 

[Quidway]mirrored-to ip-group 100 interface e0/8

#定義一條擴展訪問控制列表

 

#假定兩台pc的ip地址分別為1.1.1.1和2.2.2.2,定義分別以兩台pc的ip地址做為源和目的的訪問控制規則

#定義將兩台pc的業務報文鏡像到監控端口e0/8口上

 

l         3526E/3526EF/3026E/3050系列

                                                                                                                                          表2-8 3526E端口鏡像配置

配置過程

注釋

[Quidway]acl num 200

 

[Quidway]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2

 

[Quidway]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1

 

[Quidway]mirrored-to link-group 200 interface e0/8

 

#假定一台pc接在交換機0/1端口,另一台pc接在交換機0/2端口,假定server接在交換機e0/8口。

 

注:

1.      S2026/S2016/S2008/S2403H的端口鏡像配置和S3026一致

2.      S5516S6506目前不支持鏡像的配置。


 

2.7  堆疊管理配置

2.7.1  功能需求及組網說明

 

                                                                                                                                                    圖2-7 堆疊管理配置

說明:如圖,交換機SwitchA通過堆疊1000M口GigabitEthernet 1/1與SwitchB的GigabitEthernet 1/1連接,同時SwitchA通過堆疊1000M口GigabitEthernet 2/1與SwitchC的GigabitEthernet 1/1連接。

 

需求1:SwitchA作為堆疊主交換機管理SwitchB和SwitchC,要求SwitchA使用10.10.10.1/24作為堆疊地址池。

2.7.2  配置

                                                                                                                                                    表2-9 堆疊管理配置

配置過程

注釋

SwitchA交換機配置:

[SwitchA]stacking ip-pool 10.10.10.1 3

[SwitchA]stacking enable

 

查看堆疊信息:

 [stack_0.SwitchA]display stack

 Main device for stack.

 Total members:2

 

查看堆疊成員信息:

[stack_0.SwitchA]display stacking members

Member number:0

 Name:stack_0.SwitchA

 Device:Quidway S3526

 MAC Address:00e0-fc00-0003

 Member status:Cmdr

 IP: 10.10.10.1/16

 

Member number:1

 Name:stack_1.SwitchB

 Device:Quidway S3026

 MAC Address:00e0-fc06-a045

 Member status:Up

 IP: 10.10.10.2/16

 

Member number:2

 Name:stack_1.SwitchC

 Device:Quidway S3026

 MAC Address:00e0-fc06-a045

 Member status:Up

 IP: 10.10.10.3/16

 

登錄成員交換機SwitchB:

<stack_0.SwitchA>stacking 1

 

登錄成員交換機SwitchC

<stack_0.SwitchA>stacking 2

 

#指定堆疊管理地址池

#使能堆疊,幾秒鍾后兩個從交換機加入。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

#登錄成員交換機switchB

 

 

#登錄成員交換機switchC

注意:

1.      缺省情況下,堆疊地址池為空,建立堆疊必須先配置地址池;

2.      缺省情況下堆疊會在成員交換機上創建interface vlan 1,所以如果成員是二層交換機,請不要創建非VLAN 1的虛接口;

3.      S6500系列交換機不支持堆疊。


 

2.8  HGMP V1管理配置

2.8.1  功能需求及組網說明

 

 

                                                                                                                                            圖2-8 HGMP V1 管理配置

說明:如圖,交換機SwitchA通過ethernet 0/23與SwitchB的ethernet 0/16連接,同時SwitchA通過ethernet 0/24與SwitchC的ethernet 0/16連接。

 

需求1:SwitchA作為HGMP Server交換機管理 HGMP clinet 交換機SwitchB和SwitchC,在Switch A上開啟HGMP server的功能.

2.8.2  配置

                                                                                                                                                 表2-10 HGMP V1配置

配置過程

注釋

SwitchA交換機配置:

[SwitchA] hgmp enable

 

[SwitchA] interface e0/23

 

[SwitchA-Ethernet0/23]hgmpport enable

 

[SwitchA] interface e0/24

[SwitchA-Ethernet0/23]hgmpport enable

[SwitchA] hgmp enable

[SwitchA-hgmp] display lanswitch all

  Lanswitch list.........

 

 ------------------

   No. 1

 ------------------

           Position        : LANSWITCH[0/0/23-/]

           PortMode        : TREE_MODE

           Lanswitch Name  :                

           Model           : Quidway S2016B

           Device ID       : Vf.30.1

           MacAddr         : 00e0-fc0c-0f44

           Status          : NORMAL

[SwitchA-hgmp]lanswitch 0/0/23-/

[SwitchA-lanswitch0/0/23-/]

 

#開啟HGMP Server服務

 

 

#開啟端口HGMP功能

 

 

 

 

#顯示注冊成功的HGMP Client交換機

 

 

#代表在Switch A上的e0/23上直接連接了一台交換機S2016B,注冊成功.

 

 

#進入S2016B的配置模式,對其相應的參數進行配置

 

 

 

注:

1.      如果client端是B系列交換機,請在系統視圖下配置hgmp enable

2.      如果client端不是帶B的交換機,在boot menu菜單下選擇開啟HGMP模式即可;

3.      HGMP CLENT端的上行端口必須是指定的端口,否則無法管理。


 

2.9  集群管理(HGMP V2)配置

2.9.1  功能需求及組網說明

 

                                                                                                                                                    圖2-9 集群管理配置

說明:如圖,交換機SwitchA通過ethernet 0/1與SwitchB的ethernet 0/24連接,同時SwitchA通過ethernet 0/2與SwitchC的ethernet 0/24連接。

 

需求1:SwitchA作為命令交換機來管理成員交換機SwitchB和SwitchC,要求使用SwitchA使用10.10.10.1/24作為集群地址池,集群的名稱為huawei

2.9.2  配置

                                                                                                                                                 表2-11 集群管理配置

配置過程

注釋

SwitchA交換機配置:

[SwitchA]cluster

[SwitchA-cluster]ip-pool 10.10.10.1 24

 

[SwitchA-cluster]build Huawei

[huawei_0.SwitchA-cluster]auto-build

Collecting candidate list, please wait...

Candidate list:

Name       Hops  MAC Address     Device

SwitchB   1      00e0-fc06-a045  Quidway S3026

SwitchC   2      00e0-fc06-a021  Quidway S3026

Add all to cluster?(Y/N)y

Cluster auto-build Finish!

2 member(s) added successfully.

 

查看集群成員:

[huawei_0.SwitchA-cluster]display cluster members

SN   Device          MAC Address     Status Name

0    Quidway S3526  00e0-fc00-0003 Admin   Huawei_0. SwitchA

1    Quidway S3026  00e0-fc06-a045  Up     Huawei_1. SwitchB

2    Quidway S3026  00e0-fc06-a021  Up     Huawei_3. SwitchC  

[huawei_0.SwitchA-cluster]

 

登錄成員交換機SwitchB:

<huawei_0.SwitchA>cluster switch-to 1

 

登錄成員交換機SwitchC

<huawei_0.SwitchA>cluster switch-to 2

 

 

#指定集群內部使用的地址池

#配置集群名稱

#使用命令自動加入成員

 

 

 

 

#此處輸入Y,將成員全部加入

 

 

 

 

 

 

#Up表示成員正常

 

 

 

 

 

 

 

#登錄成員交換機swtichB

 

 

#登錄成員交換機swtichC

注:

缺省情況下集群會在成員交換機上創建interface vlan 1,所以如果成員是二層交換機,請不要創建非VLAN 1的虛接口。

 

 

 

 

 


 

第3章  LANSWITCH高級應用典型配置

3.1  STP配置

3.1.1  功能需求及組網說明

 

                                                                                                                                                            圖3-1 STP配置

說明:如圖,交換機SwitchA、SwitchB和SwitchC都通過GE接口互連;SwitchB和SwitchC交換機是核心交換機,要求主備。

需求:要求整個網絡運行STP協議。

3.1.2  STP配置

                                                                                                                                                            表3-1 STP配置

配置過程

注釋

SwitchA交換機配置:

[SwitchA]stp enable

 

SwitchB交換機配置:

[SwitchB]stp enable

[SwitchB]stp root primary

 

SwitchC交換機配置:

[SwitchC]stp enable

[SwitchC]stp root secondary

SwitchD交換機配置:

[SwitchD]stp enable

 

#啟動生成樹協議

 

 

#啟動生成樹協議

#配置本橋為根橋

 

 

#啟動生成樹協議

#配置本橋為備份根橋

 

#啟動生成樹協議

注:

1.      缺省情況下交換機的優先級都是32768,如果想人為指定某一台交換機為根交換機,也可以通過修改優先級來實現;

2.      缺省情況下打開生成樹后,所有端口都會開啟生成樹協議,請把接PC的端口改為邊緣端口模式。


 

3.2  路由協議配置

3.2.1  功能需求及組網說明

PC2

PC1

                                                                                                                                                    圖3-2 路由協議配置

說明:如圖,交換機lanswitchA、lanswitchB、lanswitchC實現互連。其中lanswitchA上vlan 10接局域網,interface  vlan 10的IP地址為為10.1.1.1 /24,lanswitchA和lanswitchB通過VLAN 20互連,lanswitchA上vlan 20的虛接口地址為20.1.1.1 /24,lanswitchB上vlan 20的虛接口地址為20.1.1.2 /24;lanswitchB和lanswitchC通過vlan 30互連,lanswitchB上vlan 30的虛接口地址為30.1.1.1 /24,lanswitchC上vlan 30的虛接口地址為30.1.1.2/24;lanswitchC上vlan 40接局域網,interface vlan 40的IP地址為40.1.1.1/24

 

需求: 交換機之間運行動態路由協議,保證PC1和PC2互通。

(PC1的IP地址為10.1.1.2/24,網關為10.1.1.1;PC2的IP地址為40.1.1.2/24,網關為40.1.1.2)

請分別寫出運行RIP、OSPF的配置。

3.2.2  配置

l         rip:

                                                                                                                                                     表3-2 RIP協議配置

配置過程

注釋

LANSWITCHA:

[SwitchA]VLAN 10

[SwitchA-vlan10]PORT (VLAN 10的端口)

[SwitchA-vlan10]Int vlan 10

[SwitchA-Vlan-interface10]Ip add 10.1.1.1 255.255.255.0

[SwitchA]Vlan 20

[SwitchA-vlan10]Port (vlan 20的端口)

[SwitchA-vlan10]Int vlan 20

[SwitchA-Vlan-interface10]Ip add 20.1.1.1 255.255.255.0

[SwitchA-Vlan-interface10]quit

 

[SwitchA]rip

[SwitchA-rip]Network 10.1.1.0

 

[SwitchA-rip]Network 20.1.1.0

 

LANSWTICHB:

[SwitchB]VLAN 20

[SwitchB-vlan20]PORT (VLAN 20的端口)

[SwitchB-vlan20]Int vlan 20

[SwitchB-Vlan-interface20]  Ip add 20.1.1.2 255.255.255.0

[SwitchB-Vlan-interface20]Vlan 30

[SwitchB-vlan30]Port (vlan 30的端口)

[SwitchB-vlan30]Int vlan 30

[SwitchB-Vlan-interface30]  Ip add 30.1.1.1 255.255.255.0

[SwitchB-Vlan-interface30]quit

[SwitchB]rip

[SwitchB-rip]Network 20.1.1.0

[SwitchB-rip]Network 30.1.1.0

 

LANSWITCHC:

[SwitchC]VLAN 30

[SwitchC-vlan30]PORT (VLAN 30的端口)

[SwitchC-vlan30]Int vlan 30

[SwitchC-Vlan-interface30]Ip add 30.1.1.2 255.255.255.0

[SwitchC-Vlan-interface30]Vlan 40

[SwitchC-vlan40]Port (vlan 40的端口)

[SwitchC-vlan40]Int vlan 40

[SwitchC-Vlan-interface40]Ip add 40.1.1.1 255.255.255.0

[SwitchC-Vlan-interface40]quit

[SwitchC]rip

[SwitchC-rip]Network 30.1.1.0

[SwitchC-rip]Network 40.1.1.0

 

 

#配置相關VLAN信息

 

 

 

 

 

 

 

 

 

 

 

 

#啟動RIP協議

#從10.1.1.0網段的接口發布和接收RIP路由信息

 

l         OSPF:

                                                                                                                                                   表3-3 OSPF協議配置

配置過程

注釋

 

LANSWITCHA:

[SwitchA]VLAN 10

[SwitchA-vlan10]PORT (VLAN 10的端口)

[SwitchA-vlan10]Int vlan 10

[SwitchA-Vlan-interface10]Ip add 10.1.1.1 255.255.255.0

[SwitchA-Vlan-interface10]Vlan 20

[SwitchA-vlan20]Port (vlan 20的端口)

[SwitchA-vlan20]Int vlan 20

[SwitchA-Vlan-interface20]Ip add 20.1.1.1 255.255.255.0

[SwitchA-Vlan-interface10]quit

 

[SwitchA]Ospf

[SwitchA-ospf]Area 0

[SwitchA-ospf-area-0.0.0.0]Network 10.1.1.1 255.255.255.0

[SwitchA-ospf-area-0.0.0.0]Network 20.1.1.1 255.255.255.0

 

LANSWTICHB:

[SwitchB]VLAN 20

[SwitchB-vlan20]PORT (VLAN 20的端口)

[SwitchB-vlan20]Int vlan 20

[SwitchB-Vlan-interface20]Ip add 20.1.1.2 255.255.255.0

[SwitchB-Vlan-interface20]Vlan 30

[SwitchB-vlan30]Port (vlan 30的端口)

[SwitchB-vlan30]Int vlan 30

[SwitchB-Vlan-interface30]Ip add 30.1.1.1 255.255.255.0

[SwitchB-Vlan-interface30]quit

[SwitchB]Ospf

[SwitchB-ospf]Area 0

[SwitchB-ospf-area-0.0.0.0]Network 20.1.1.2 255.255.255.0

[SwitchB-ospf-area-0.0.0.0]Network 30.1.1.1 255.255.255.0

 

LANSWITCHC:

[SwitchC]VLAN 30

[SwitchC-vlan30]PORT (VLAN 30的端口)

[SwitchC-vlan30]Int vlan 30

[SwitchC-Vlan-interface30]Ip add 30.1.1.2 255.255.255.0

[SwitchC-Vlan-interface30]Vlan 40

[SwitchC-vlan40]Port (vlan 40的端口)

[SwitchC-Vlan40]Int vlan 40

[SwitchC-Vlan-interface40]Ip add 40.1.1.1 255.255.255.0

[SwitchC-Vlan-interface30]quit

[SwitchC]Ospf

[SwitchC-ospf]Area 0

[SwitchC-ospf-area-0.0.0.0]Network 30.1.1.2 255.255.255.0

[SwitchC-ospf-area-0.0.0.0]Network 40.1.1.1 255.255.255.0

 

 

 

#配置相關VLAN信息

 

 

 

 

 

 

 

 

 

 

 

 

#啟動OSPF路由協議

#指定區域號

#從該網段的接口接收和發布路由信息

 

 


 

3.3  組播配置

3.3.1  功能需求及組網說明

 

 

                                                                                                                                          圖3-3 三層交換機組播配置

說明:如圖,三層交換機SwitchA通過上行口G1/1連接組播服務器,地址為192.168.0.10/24,交換機連接組播服務器接口interface vlan 100,地址為192.168.0.1。vlan10和vlan20下掛兩個二層交換機SwitchB和SwitchC,地址為10.10.10.1/24和10.10.20.1/24。

 

需求1:在SwitchA、SwitchB和SwitchC上運行組播協議,要求L3上配置為IP PIM-SM模式

3.3.2  配置

                                                                                                                                                           表3-4 組播配置

配置過程

注釋

switchA:

[SwitchA]multicast routing-enable

[SwitchA]int vlan 100

[SwitchA-Vlan-interface100]ip add 192.168.0.1 255.255.255.0

[SwitchA]int vlan 10

[SwitchA-Vlan-interface10]ip add 10.10.10.1 255.255.255.0

[SwitchA-Vlan-interface10]pim SM

[SwitchA-Vlan-interface10]quit

[SwitchA]interface Vlan-interface 20

[SwitchA-Vlan-interface20]ip add 10.10.20.1 255.255.255.0

[SwitchA-Vlan-interface20]pim  SM

[SwitchA-Vlan-interface20]quit

[SwitchA]pim

[SwitchA-pim]c-bsr vlan 100 24

[SwitchA-pim]c-rp vlan 100

 

swtichB,switchC可以不配置,或者支持IGMP SNOOPING, 可以系統視圖啟動multicast routing-enable。

 

#使能多播路由

 

 

 

 

 

 

#在接口上啟動PIM SM

 

 

 

 

#在接口上啟動PIM SM

 

#進入PIM視圖

#配置候選BSR

#配置候選RP

注:

1.      PIM-DM的配置相對簡單,只需兩步:

n         在系統視圖下配置multicast routing-enable

n         在接口上配置PIM-DM

n         不需要配置c-bsrc-rp

2.      如果是二層交換機,則只需在系統視圖下配置igmp-snooping即可;

3.      目前交換機的IGMP只支持V1/V2版本。


 

3.4  DHCP-RELAY配置

3.4.1  功能需求及組網說明

 

                                                                                                                                                   圖3-4 DHCP中繼配置

 

說明:如圖,交換機SwitchA通過上行口G1/1連接DHCPserver,地址為192.168.0.10/24,交換機連接DHCP server接口interface vlan 100,地址為192.168.0.1。下掛兩個用戶網段,vlan10和vlan20,vlan 10包含的端口為ethernet 0/1到ethernet 0/10,網段為10.10.1.1/24,vlan 20包含端口為ethernet 0/11到ethernet 0/20,網段為10.10.2.1/24。

需求:在Switch上配置DHCP中繼

3.4.2  配置

                                                                                                                                                   表3-5 DHCP中繼配置

配置過程

注釋

SwitchA交換機配置:

 

[SwitchA]dhcp-server 0 ip 192.168.0.10

 

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 1/1

[SwitchA-vlan100]q

[SwitchA]interface Vlan-interface  100

[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0

 

 

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

[SwitchA-vlan10]q

[SwitchA]interface Vlan-interface 10

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

[SwitchA-Vlan-interface10]dhcp-server  0

[SwitchA-Vlan-interface10]q

 

[SwitchA-vlan10]vlan 20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

[SwitchA]interface Vlan-interface 20

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

[SwitchA-Vlan-interface20]dhcp-server 0

 

 

 

#指定DHCP server0的IP地址

 

#配置鏈接DHCP server的vlan 。

 

 

 

 

 

#添加vlan10,網段地址為10.10.1.1/24

 

 

 

 

#指定vlan 10使用DHCP server0的地址

 

 

#添加vlan 20,網段地址為10.10.2.1/24

 

 

 

#指定vlan 20使用DHCP server0的地址

注:

目前中低端交換機均不支持DHCP SERVER,只能做relay

 


 

3.5  802.1X配置

3.5.1  功能需求及組網說明

 

 

                                                                                                                                                      圖3-5 802.1X配置

 

說明:如圖,交換機SwitchA通過上行口G1/1連接RADIUS server,地址為192.168.0.100/24,交換機連接RADIUS server接口interface vlan 100,地址為192.168.0.1。下掛兩個用戶網段,vlan10和vlan20,vlan 10包含的端口為ethernet 0/1到ethernet 0/10,網段為10.10.1.1/24,vlan 20包含端口為ethernet 0/11到ethernet 0/20,網段為10.10.2.1/24。

需求:在Switch上配置802.1X

3.5.2  配置

                                                                                                                                                      表3-6 802.1X配置

配置過程

注釋

本地認證配置:

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 1/1

[SwitchA-vlan100]quit

[SwitchA]interface Vlan-interface  100

[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0

 

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

[SwitchA-vlan10]quit

[SwitchA]interface Vlan-interface 10

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

[SwitchA-Vlan-interface10]quit

 

[SwitchA-vlan10]vlan 20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

[SwitchA]interface Vlan-interface 20

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

 

802.1X相關配置:

[SwitchA]dot1x

[SwitchA]dot1x interface eth 0/1 to eth 0/10

 

 

 

 

 

 

 

[SwitchA]local-user test

[SwitchA-user-test]service-type lan-access

[SwitchA-user-test]password simple test

 

 

 

 

 

RADIUS認證配置

 

[SwitchA]dot1x

[SwitchA]dot interface eth 0/1 to eth 0/10

[SwitchA]radius scheme radius1

[SwitchA-radius-radius1]primary  authentication 192.168.0.100

[SwitchA-radius-radius1]primary accounting 192.168.0.100

 

[SwitchA-radius-radius1]key authentication test

[SwitchA-radius-radius1]key accounting test

 

[SwitchA-radius-radius1]user-name-format without-domain

[SwitchA]domain Huawei

[SwitchA-isp-huawei]radius-scheme radius1

#本地認證不需要RADIUS server,我們可以將圖1中的RADIUS server去掉。

 

#配置vlan 100,地址為192.168.0.1/24

 

 

 

 

 

#添加vlan10,網段地址為10.10.1.1/24

 

 

 

 

 

 

#添加vlan 20,網段地址為10.10.2.1/24

 

#采用默認基於MAC的認證方式

#只在前10個端口上開啟802.1X

#這里采用缺省域system,並且缺省域引用缺省radius方案system。

#如果不采用缺省域system,可以以下面的“RADIUS認證配置”為例設置,只不過服務器地址為127.0.0.1,認證/計費端口分別為1645/1646。

#添加本地用戶test,密碼為test(明文)

 

 

#前面的添加vlan和配置IP地址等和本地配置相同,不再重復。只講802.1X部分

 

#設置認證方式為RADIUS,RADIUS認證不成功取本地認證。

 

 

 

#設置主認證服務器

 

 

 

#本例認證和計費在一個服務器中

#key應該與服務器的設置一致

 

#交換機送給RADIUS報文去掉域名

#增加一個域

#在域里引用前面設置的radius方案

注意:

1.      一般情況下接入端用戶名需要加上域,本例客戶端認證的時候輸入用戶名時就需要加上域名;

2.      可以在系統視圖下通過命令domain default enabledomain-name 來指定缺省的域名,這樣如果用戶進行認證的時候沒有輸入用戶名,則采用缺省指定域名來進行認證和計費;

3.      新的版本支持對用戶是否使用了代理進行檢測,可以在系統視圖下通過命令dot1x supp-proxy-check xxx實現;

4.      新的版本也將支持多種認證方式(PAPCHAPEAP-MAD5),請在系統視圖下通過命令dot1x authentication-method xxx來配置(如果命令行沒有這條命令,這說明當前版本不支持多種認證方式,只支持缺省的CHAP認證方式。) 


 

3.6  VRRP配置

3.6.1  功能需求及組網說明

 

                                                                                                                                                          圖3-6 VRRP配置

 

說明:如圖,交換機SwitchA通過ethernet 0/24與SwitchB的ethernet 0/24連接,同時連接HostA,SwitchA和SwitchB上分別創建兩個虛接口,interface vlan 10和interface 20做為三層接口,其中interface vlan 10分別包含ethernet 0/24端口,interface 20包含ethernet 0/23端口,做為出口。

需求:SwitchA和 SwitchB之間做VRRP,interface vlan 10做為虛擬網關接口,Switch A為主設備,允許搶占,SwitchB為從設備,Host A主機的網關設置為VRRP虛擬網關IP192.168.100.1,進行冗余備份。訪問遠端主機Host B10.1.1.1/24

3.6.2  配置

                                                                                                                                                         表3-7 VRRP 配置

配置過程

注釋

SwitchA交換機配置:

[SwitchA] vlan 10

[SwitchA-vlan10] port Ethernet 0/24

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/23

[SwitchA-vlan20]int vlan 20

[SwitchA-Vlan-interface20]ip add 11.1.1.1 255.255.255.252

[SwitchA-Vlan-interface20]quit

[SwitchA] interface vlan 10

[SwitchA-Vlan-interface10]ip address 192.168.100.2 255.255.255.0

[SwitchA-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.100.1

 

[SwitchA-Vlan-interface10]vrrp vrid 1 priority 120

 

 

 

[SwitchA-Vlan-interface10]vrrp vrid 1 preempt-mode

 

[SwitchA-Vlan-interface10]vrrp vrid 1 track Vlan-interface 20 reduced 30

 

 

 

 

[SwitchA-Vlan-interface10]quit

[SwitchA]ip route-static 10.1.1.1 255.255.255.0 11.1.1.2

 

Switch B配置:

[SwitchA] vlan 10

[SwitchA-vlan10] port Ethernet 0/24

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/23

[SwitchA-vlan20]int vlan 20

[SwitchA-Vlan-interface20]ip add 12.1.1.1 255.255.255.252

[SwitchA-Vlan-interface20]quit

[SwitchA] interface vlan 10

[SwitchA-Vlan-interface10]ip address 192.168.100.3 255.255.255.0

[SwitchA-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.100.1

 

 

[SwitchA-Vlan-interface10]vrrp vrid 1 preempt-mode

 

[SwitchA-Vlan-interface10]

[SwitchA-Vlan-interface10]quit

[SwitchA]ip route-static 10.1.1.1 255.255.255.0 12.1.1.2

 

 

 

#創建vlan 10,vlan 20,虛擬接口interface vlan 10,interface vlan 20.

 

 

#接口實際IP地址

 

#創建VRRP組1,虛擬網關為192.168.100.1

#設置VRRP組優先級為120,缺省為100

 

#設置為搶占模式

 

#設置監控端口為為interface vlan 20,如果端口Down掉優先級降低30

 

 

#配置一條到對方網段的靜態路由

 


 

3.7  單向訪問控制

3.7.1  功能需求及組網說明

l         同網段單向訪問控制

 

 

                                                                                                                                                    圖3-7 單向訪問控制

 

說明:如圖,PCA、PCB和PCC通過交換機互連。其中PCA的IP地址為10.1.1.2/24,PCB的IP地址為10.1.1.3/24,PCC的IP地址為10.1.1.4/24

 

需求:PCA、PCB和PCC之間完成單向訪問,即PCA可以訪問PCB、PCC,但是PCB、PCC不能訪問PCA

 

l         不同網段單向訪問控制

 

 

                                                                                                                                      圖3-8 不同網段單向訪問控制

 

說明:如圖,PCA、PCB和PCC通過交換機互連。其中PCA的IP地址為10.1.1.2/24,PCB的IP地址為10.1.2.2/24,PCC的IP地址為10.1.3.2/24,對應的網關地址分別為10.1.1.1/24、10.1.2.1/24和10.1.3.1/24

 

需求:PCA、PCB和PCC之間完成單向訪問,即PCA可以訪問PCB、PCC,但是PCB、PCC不能訪問PCA

 

3.7.2  配置

l         同網段單向ping配置

                                                                                                                             表3-8 同一網段PING單向訪問控制

配置過程

注釋

PCA與交換機的e0/1端口相連,配置如下:

[Quidway]acl number 100

 

[Quidway-acl-link-100]rule deny icmp source 1.1.1.1 0 destination 1.1.1.2 0 icmp-type echo

 

[Quidway]packet-filter ip-group 100

 

#配置二層訪問控制規則

 

#配置二層訪問控制子規則,禁止從任何端口的入報文出端口到e0/1

 

#激活該規則

 

:

完成上面配置后,主機地址為1.1.1.1pc除了ping不通1.1.1.2這台pc外,其余的地址都可以ping通。

 

l         同網段TCP單向訪問配置

                                                                                                                               表3-9 同一網段TCP單向訪問控制

配置方法

注釋

[Quidway]acl number 100

 

[Quidway-acl-adv-100]rule deny tcp established source 1.1.1.1 0 destination 1.1.1.2 0

 

 

 

[Quidway]packet-filter ip-group 100

#配置三層訪問控制規則

 

#主機ip地址為1.1.1.1的PC無法向1.1.1.2的PC發起TCP連接建立請求

 

#激活該規則

注:

1.      不同網段的單向訪問配置類似,請參考上面的配置。

2.      單向訪問控制一般只能對PINGTCP報文進行控制,無法對UDP報文進行控制。如果要對UDP報文進行控制,必須知道UDP報文的端口號。

3.      該配置是以S3526E為例,目前還有S6500系列和S5500可以支持如此配置,對於后兩款產品來說,上面的配置僅供參考。


 

3.8  雙向訪問控制

3.8.1  功能需求及組網說明

 

                                                                                                                                                    圖3-9 雙向訪問控制

 

說明:通過配置三層交換機的acl來實現vlan之間的訪問控制

 

需求:組網和vlan分配如圖所示,要求vlan 10、20、30均可以訪問server 1,但是只有vlan 10和vlan 20可以訪問server 2,同時vlan 10、20、30之間不能互訪。

3.8.2  配置

                                                                                                                                                 表3-10 雙向訪問控制

配置過程

注釋

交換機配置:

[Switch] vlan 10

[Switch-vlan10] interface Vlan-interface 10

[Switch-Vlan-interface10]ip address 10.10.1.1 255.255.0.0

 

[Switch] vlan 20

[Switch-vlan20] interface Vlan-interface 20

[Switch-Vlan-interface20]ip address 10.20.1.1 255.255.0.0

 

[Switch] vlan 30

[Switch-vlan30] interface Vlan-interface 30

[Switch-Vlan-interface30]ip address 10.30.1.1 255.255.0.0

 

[Switch] vlan 100

[Switch-vlan100] interface Vlan-interface 100

[Switch-Vlan-interface100]ip address 10.100.1.1 255.255.0.0

 

[Switch] vlan 200

[Switch-vlan200] interface Vlan-interface 200

[Switch-Vlan-interface200]ip address 10.200.1.1 255.255.0.0

 

[Switch] acl num 100

[Switch-acl-adv-100]rule deny ip source 10.10.1.1  0.0.255.255 destination 10.20.1.1 0.0.255.255

 

[Switch-acl-adv-100]rule deny ip source 10.10.1.1  0.0.255.255 destination 10.30.1.1 0.0.255.255

 

[Switch-acl-adv-100]rule deny ip source 10.20.1.1  0.0.255.255 destination 10.10.1.1 0.0.255.255

 

[Switch-acl-adv-100]rule deny ip source 10.20.1.1  0.0.255.255 destination 10.30.1.1 0.0.255.255

 

[Switch-acl-adv-100]rule deny ip source 10.30.1.1  0.0.255.255 destination 10.10.1.1 0.0.255.255

 

[Switch-acl-adv-100]rule deny ip source 10.30.1.1  0.0.255.255 destination 10.20.1.1 0.0.255.255

 

[Switch-acl-adv-100]rule deny ip source 10.30.1.1  0.0.255.255 destination 10.200.1.1 0.0.255.255

 

[Switch]packet-filter ip 100

 

#配置VLAN 10

#配置VLAN 10 虛接口

 

 

 

#配置VLAN 20

#配置VLAN 20 虛接口

 

 

 

#配置VLAN 30

#配置VLAN 30 虛接口

 

 

 

#配置VLAN 100

#配置VLAN 100 虛接口

 

 

 

#配置VLAN 200

#配置VLAN 200 虛接口

 

 

 

#配置acl訪問控制列表禁止網段10.10.0.0訪問網段10.20.0.0

 

 

#禁止網段10.10.0.0訪問網段10.30.0.0

 

#禁止網段10.20.0.0訪問網段10.10.0.0

 

 

#禁止網段10.20.0.0訪問網段10.30.0.0

 

 

 

#禁止網段10.30.0.0訪問網段10.10.0.0

 

#禁止網段10.30.0.0訪問網段10.20.0.0

 

 

#禁止網段10.30.0.0訪問網段10.200.0.0

 

#下發訪問控制列表

注:

如果是同一網段內的雙向訪問控制,也可以通過端口的hybrid屬性來實現,具體的內容可以參考第二章關於端口bybrid屬性的配置部分。


 

3.9  IP+MAC+端口綁定

3.9.1  功能需求及組網說明

 

 

                                                                                                                                                    圖3-10 IP地址綁定

 

說明:通過對三層交換機進行ip+mac+端口的綁定,實現對合法用戶上網的保護,訪問惡意用戶通過修改地址上網。

 

需求:對合法的用戶進行ip+mac+端口的綁定,防止惡意用戶通過更換自己的地址上網的行為。

3.9.2  配置

                                                                                                                                       表3-11 IP+MAC+端口的綁定

配置過程

注釋

配置方法一:采用DHCP-SECURITY來實現:

[Quidway]mac-address static 00e0-fca0-6500 interface e0/1 vlan 1

 

[Quidway]dhcp-security 10.1.1.2 00e0-fca0-6500 static

 

[Quidway-Vlan-interface1]dhcp-server 1

 

 

 

 

[Quidway-Vlan-interface1]address-check enable

 

 

 

 

 

#配置端口的靜態MAC地址

 

 

#配置IP和MAC對應表

 

#配置dhcp-server組號(否則不允許執行下一步,此dhcp-server組不用在交換機上創建也可)

 

#使能三層地址檢測

 

#完成此配置即可使10.1.1.2這台pc只有接到e0/1才可以上網

配置方法二:采用AM命令來實現

[Quidway]am enable

[Quidway]int e0/1

[Quidway-Ethernet0/1]am ip-pool 10.110.91.129 10

 

#使能AM功能

 

#該端口只允許起始IP地址為10.110.91.129的10 IP地址上網

 

#上面的配置把IP地址和端口綁定起來了,MAC地址和端口的綁定參照上面的配置。IP和MAC的綁定可以通過靜態ARP來實現。

 

注意:

1.      該配置以3526-0008版本為例

2.      三層交換機中目前只有S3526系列支持使用AM命令來進行IP地址和端口的綁定。並且如果S3526系列交換機要采用AM命令來實現綁定功能,則交換機必須是做三層轉發(即用戶的網關應該在該交換機上)。


3.10  各種接入控制的配置

3.10.1  功能需求及組網說明

 

                                                                                                                                       圖3-11 各種接入控制的配置

說明:如圖,三層交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2分別屬於vlan 1、vlan 2,vlan 1、vlan 2的三層接口地址分別是1.0.0.1/8、2.0.0.1/8,上行口G 1/1是trunk端口,並允許vlan 3 通過。

 

需求:

1.        靜態mac、端口捆綁:端口ethetnet 0/1僅僅允許pc1(mac:0.0.1)接入。

2.        動態mac、端口捆綁:端口ethetnet 0/1僅僅允許一個主機(任何mac地址)接入。

3.        ip、端口捆綁:端口ethetnet 0/1僅僅允許ip地址為(ip:1.0.0.2)的主機接入

4.        ip、mac捆綁:vlan 1下的主機pc1(mac:0.0.1)必須使用ip地址(ip:1.0.0.2)才可以通過交換機。

5.        mac、ip、端口捆綁:端口ethetnet 0/1僅僅允許mac地址為(mac:0.0.1)而且ip地址為(ip:1.0.0.2)的主機接入。

3.10.2  配置

                                                                                                                                                 表3-12 接入控制配置

配置過程

注釋

需求1:

[Quidway]acl num 200

 

[Quidway-acl-link-200]rule 0 deny ingress interface e0/1 egress any

[Quidway-acl-link-200]rule 1 permit ingress 0.0.1 interface e0/1 egress any

[Quidway-acl-link-200]quit

[Quidway]packet-filter link-group 200

#靜態mac、端口捆綁

#命令舉例以S3526E為例。

#這里必須嚴格rule規則的順序,否則不生效。

需求2:

[Quidway-Ethernet0/2]mac-address  max-mac-count  1

#動態mac、端口捆綁

需求3:

[Quidway]acl num 1

[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0

[Quidway-acl-basic-1]quit

[Quidway]acl num 200

[Quidway-acl-link-200]rule 0 deny ingress interface e0/1 egress any

[Quidway-acl-link-200]rule 1 permit ingress interface e0/1 egress any

[Quidway-acl-link-200]quit

[Quidway]packet-filter ip-group 1 rule 0 link-group 200 rule 0

[Quidway]packet-filter ip-group 1 rule 1 link-group 200 rule 1

#ip、端口捆綁

 

#命令舉例以S3526E為例。

 

 

 

 

注:這是用QACL命令實現的,該功能在S3526系列交換機上可以使用用靜態dhcpam命令分別實現,具體情況請參考上面的內容。

 

需求4:

[Quidway]acl number 1

[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0

[Quidway-acl-basic-1]quit

[Quidway]acl number 200

[Quidway-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any

[Quidway-acl-link-200]rule 0 deny ingress 1 0000-0000-0001 0000-0000-0000 egress any

[Quidway-acl-link-200]quit

[Quidway]packet-filter ip-group 1 rule 0 link-group 200 rule 1

[Quidway]packet-filter link-group 200 rule 0

#ip、mac捆綁

#命令舉例以S3526E為例。

需求5:

[Quidway]acl number 1

[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0

[Quidway-acl-basic-1]quit

[Quidway]acl number 200

[Quidway-acl-link-200]rule 0 deny ingress interface Ethernet0/1 egress any

[Quidway-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any

[Quidway-acl-link-200]quit

[Quidway]packet-filter link-group 200 rule 0

[Quidway]packet-filter ip-group 1 rule 0 link-group 200 rule 1  

#命令舉例以S3526E為例。

 

 


 

3.11  基於端口限速的配置

3.11.1  功能需求及組網說明

 

                                                                                                                                                 圖3-12 端口限速配置

 

說明:如圖,交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2。

 

需求:

1.      對進入ethetnet 0/1的流量做限速;

2.      對從ethernet 0/2出的流量做限制(流量的粒度與產品有關)。

3.11.2  配置

                                                                                                                                                 表3-13 端口限速配置

配置過程

注釋

需求1:

[Quidway]acl num 200

[Quidway-acl-link-200]rule 0 permit ingress any egress any

[Quidway-acl-link-200]quit

[Quidway]interface e0/1

[Quidway-Ethernet0/1]traffic-limit inbound link-group 200 8

 

需求2:

[Quidway-Ethernet0/1]interface e0/2

[Quidway-Ethernet0/2]line-rate 8

#命令舉例以S3526E為例。

注:

1.      目前低端交換機中只有S3X00ES3050系列交換機支持端口限速

2.      S3X00ES3050百兆口的粒度為1M,千兆口的粒度為8M

3.      中端交換機也支持該功能,由於S6506還沒有提供新命令行版本,相關配置在下一個版本的配置案例中提供。

 


 

3.12  基於流限速的配置

3.12.1  功能需求及組網說明

 

                                                                                                                                          圖3-13 基於流限速的配置

 

說明:如圖,三層交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2分別屬於vlan 1、vlan 2,vlan 1、vlan 2的三層接口地址分別是1.0.0.1/8、2.0.0.1/8,上行口G 1/1是trunk端口,並允許vlan 3 通過。

 

需求:

¨         對位於ethetnet 0/1下的pc1(mac:0.0.1)進入端口的流量做限速。

¨         對位於ethetnet 0/1下的pc1(mac:0.0.1)訪問本vlan的流量做限速。

¨         對位於ethetnet 0/2下的pc2(ip:2.0.0.2)進入端口的流量做限速。

¨         對pc1到pc2的流量做限速。

¨         在上行口對vlan 3外出的流量做限速。

3.12.2  配置

                                                                                                                                          表3-14 基於流的限速配置

 

配置過程

注釋

需求1:

[Quidway]acl num 200

[Quidway-acl-link-200]rule 0 permit ingress 0.0.1 0-0-0 egress any

[Quidway-acl-link-200]quit

[Quidway]interface e0/1

[Quidway-Ethernet0/1]traffic-limit inbound link-group 200 8

#命令舉例以S3526E為例。

需求2:

[Quidway]acl num 200

[Quidway-acl-link-200]rule 0 permit ingress  0.0.1 egress 1

[Quidway-acl-link-200]quit

[Quidway]interface e3/0/1

[Quidway-Ethernet3/0/1]traffic-limit inbound link-group 200 20480

#命令舉例以S6506為例。S3526E不支持目的vlan,而S6506、S5516支持。

 

 

#假設FE在3槽位

需求3:

[Quidway]acl num 200

[Quidway-acl-link-200]rule 0 permit ingress 0.0.2  0-0-0 egress any

[Quidway-acl-link-200]quit

[Quidway]interface e0/2

[Quidway-Ethernet0/2]traffic-limit inbound link-group 200 6

#命令舉例以S3526E為例。

需求4:

[Quidway]acl num 200

[Quidway-acl-link-200]rule 0 permit ingress interface e0/1 egress interface e0/2

[Quidway-acl-link-200]quit

[Quidway]interface e0/1

[Quidway-Ethernet0/1]traffic-limit inbound link-group 200 6

#命令舉例以S3526E為例。

需求5:

[Quidway]acl num 200

[Quidway-acl-link-200]rule 0 permit ingress 3 egress any

[Quidway-acl-link-200]quit

[Quidway]interface e3/0/3

[Quidway-Ethernet3/0/3]traffic-limit outbound link-group 200 20480

#命令舉例以S6506為例。S3526E不支持出限速,而S6506支持。

 

 

#假設FE板在3槽位

注:

上面以S6506為例的配置僅供參考,在下一版本的配置案例中將給出S6506相關的完整配置。

 


 

3.13  其他流動作的配置

3.13.1  功能需求及組網說明

 

                                                                                                                                          圖3-14 各種流動作的配置

 

說明:如圖,三層交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2分別屬於vlan 1、vlan 2,vlan 1、vlan 2的三層接口地址分別是1.0.0.1/8、2.0.0.1/8,上行口G 1/1是trunk端口,並允許vlan 3 通過。

 

需求:

1.        訪問控制:允許位於ethetnet 0/1下的pc1(ip:1.0.0.2)進入端口的流量,拒絕pc3(ip:1.0.0.3)的流量通過端口進入交換機。

2.        帶寬保證:保證位於ethetnet 0/1下的主機(ip網段:1.0.0.0/8)在上行口端口有70mbps帶寬。

3.        擁塞避免:位於ethetnet 0/1下的主機(ip網段:1.0.0.0/8)在上行口端口有70mbps帶寬,當流量超過時,為了避免同步丟失,啟用RED。

4.        優先級標記:對源於pc1(ip:1.0.0.2)的報文打上ef標記,並在上行口啟用diff以保證pc1發出的流量得到相應的服務登記。

5.        隊列調度:當上行口發生擁塞時,保證pc2(ip:2.0.0.2)發出的報文得到優先轉發。

6.      流量統計:對主機pc1(ip:1.0.0.2)進入端口的流量進行統計,以作為計費依據。

7.      流重定向:將pc1到pc2的報文重定向到cpu。

 

3.13.2  配置

                                                                                                                                          表3-15 其他流動作的配置

配置過程

注釋

需求1:

 

#該配置請參考本章第八部分,此處不再重復。

需求2:

[Quidway]acl num 1

[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0

[Quidway-acl-basic-1]quit

[Quidway]inter  e3/0/1

[Quidway-Ethernet3/0/1]traffic-bandwidtch outbround ip-group 1 64 128 80

#命令舉例以S6506為例。S3526E不能實現基於流的隨即丟棄。同時,S6506此功能只支持出方向的,入方向的不支持。

需求3:

[Quidway]acl num 1

[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0

[Quidway-acl-basic-1]quit

[Quidway]inter  e0/1

[Quidway-Ethernet0/1]traffic-red outbround ip-group 1 64 128 80

#命令舉例以S6506為例。S3526E不能實現基於流的隨即丟棄。同時,S6506此功能只支持出方向的,入方向的不支持。

需求4:

[Quidway]acl num 1

[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0

[Quidway-acl-basic-1]quit

[Quidway]traffic-priority ip-group 1 dscp ef

#命令舉例以S3526E為例。

需求5:

[Quidway]acl num 1

[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0

[Quidway-acl-basic-1]quit

[Quidway]traffic-priority ip-group 1 local-precedence 7

[Quidway] queue-scheduler strict-priority

#命令舉例以S3526E為例。

需求6:

[Quidway]acl num 1

[Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0

[Quidway-acl-basic-1]quit

[Quidway]acl num 200

[Quidway-acl-link-200]rule 0 permit ingress interface e0/1 egress any

[Quidway-acl-link-200]quit

[Quidway]traffic-statistic ip-group 1 link-group 200 rule 0

#命令舉例以S3526E為例。

需求7:

[Quidway]acl num 200

[Quidway-acl-link-200]rule 0 permit ingress interface e0/1 egress interface e0/2

[Quidway-acl-link-200]quit

[Quidway] traffic-redirect link-group 200 cpu

#命令舉例以S3526E為例。

注:

上面以S6506為例的配置僅供參考,在下一版本的配置案例中將給出S6506相關的完整配置。


注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2020 ITdaan.com