三层华为路由器app官网交换一台,二层两台,PC4台,pc全部自动获取,要求 互通,怎么配置
点击联系发帖人
时间:2018-07-17 05:45
华为三层交换机怎么让两个不同网段ip互通_百度知道
华为三层交换机怎么让两个不同网段ip互通
现有两个网段分别为192.168.1.0 和192.168.2.0 ,都接到三层交换机,都是内网。请大神帮我解答,越简单的办法越好,本人不太懂,最好直接写命令
我有更好的答案
很简单,做一个VLAN透传 我举个例子:按照你所说的,假如S1是上层,S2是下层 那么S1里做一个VLAN,比方说:ip address 192.168.1.253 255.255.255.252 让S1连接到S2的端口使用这个VLAN
S2里做一个VLAN,比如:ip address 192.168.1.254 255.255.255.252 让S2连接到S1的端口使用这个VLAN
然后做明细路由 系统视图下S1:ip route-static 把你想要从S1划到S2的IP,指引到192.168.1.254 系统视图下S2:做一个缺省路由,ip route-static 0.0.0.0 0.0.0.0 192.168.1.253 即可
然后S2就可以连通S1,并且使用S1划分下去的IP地址池,接下来很简单 只需要把划给S2的地址池做VLAN划分,然后port到各个端口上
我都在3层交换机上面
知道智能回答机器人
我是知道站内的人工智能,可高效智能地为您解答问题。很高兴为您服务。
为您推荐:
其他类似问题
三层交换机的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。如何把一台华为三层交换机虚拟成两台普通交换机使用,需要分别物理连接两个相对独立的局域网。_百度知道
如何把一台华为三层交换机虚拟成两台普通交换机使用,需要分别物理连接两个相对独立的局域网。
我有更好的答案
这时就应该将PC的网线插在交换机的以太网的普通口上就行吧.!.
两个局域网完全隔离,不互通。
采纳率:76%
为您推荐:
其他类似问题
三层交换机的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。当前位置: >>
华为三层交换机配置步骤(最新修改版)
华为三层交换机配置步骤一. VLAN 配置1.建立 VLAN&Quidway&sys /进入特权模式 [Quidway]vlan 1 /建立 vlan 1 [Quidway]ctrl+z /退出 vlan1 到普通模式 [Quidway]vlan 2 /建立 vlan 2 [Quidway]ctrl+z /退出 vlan2 到普通模式 【注】 划分 VLAN,并描述 vlan 1 description local-s3600 //本交换机使用 vlan 2 description link-to-shanxicentre //陕西省中心 vlan 3 description link-to-shangjiecentre //商界分中心内部使用2.配置端口加入到 VLAN[Quidway]vlan [Quidway-vlan [Quidway-vlan [Quidway]vlan [Quidway-vlan [Quidway-vlan 1 /进入 vlan 1 1]port Ethernet 0/1 /将端口 E0/1 加入到 vlan1 1] ctrl+z /退出 vlan1 到普通模式 2 /进入 vlan 2 2]port Ethernet 0/2 /将端口 E0/2 加入到 vlan2 2] ctrl+z /退出 vlan2 到普通模式3.配置 VLAN 的 IP 地址[Quidway]interface vlan 1 /进入接口视图 [Quidway-Vlan-interface1]ip address 13.1.1.130 255.255.255.0 [Quidway-Vlan-interface1] ctrl+z /退出 vlan1 到普通模式 [Quidway]interface vlan 2 /进入接口视图 [Quidway-Vlan-interface2]ip address 192.168.2.1 255.255.255.0 /配置 VLAN2 的 IP 地址 [Quidway-Vlan-interface1] ctrl+z /退出 vlan2 到普通模式 /配置 VLAN1 的 IP 地址4.配置静态路由[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 /静态路由=网关 5.配置上行端口为 trunk[Quidway -Ethernet0/1]port link-type trunk /实际当中一般将上行端口设置成 trunk 属性, 允许 vlan 透传 [Quidway -Ethernet0/1]port trunk permit vlan all /允许所有的 vlan 从 E0/3 端口透传通过, 也可以指定具体的 vlan 值5. 端口汇聚配置(1)进入端口 E0/1 [Quidway]interface Ethernet 0/1 (2)汇聚端口必须工作在全双工模式 [Quidway -Ethernet0/1]duplex full (3)汇聚的端口速率要求相同,但不能是自适应 [Quidway -Ethernet0/1]speed 100 (4)进入端口 E0/2 [Quidway]interface Ethernet 0/2 (5)汇聚端口必须工作在全双工模式 [Quidway -Ethernet0/2]duplex full (6)汇聚的端口速率要求相同,但不能是自适应 [Quidway -Ethernet0/2]speed 100 (7)根据源和目的 MAC 进行端口选择汇聚 [Quidway]link-aggregation Ethernet 0/1 to Ether 【补充说明】 (1)同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为 Trunk 端口,则成员端口也为 Trunk 端口;如主端口的链路类型改为 Access 端口,则成员 端口的链路类型也变为 Access 端口。 (2)不同的产品对端口汇聚时的起始端口号要求各有不同,请对照《操作手册》进行配置。6.系统设置设置系统时间和时区&Quidway&clock time Beijing add 8 &Quidway&clock datetime 12:00:00
设置交换机的名称[Quidway]sysname TRAIN-3026-1[TRAIN-3026-1] 配置用户登录[Quidway]user-interface vty 0 4 [Quidway-ui-vty0]authentication-mode scheme 创建本地用户[Quidway]local-user huawei [Quidway-luser-huawei]password simple huawei [Quidway-luser-huawei] service-type telnet level 3二、其它需求配置 (1)建立 ACL 定义 vlan 2 与 vlan 3 之间不能互访ACL 配置 &Quidway&sys /进入特权模式 [Quidway]acl number 3015 /建立 acl 编号取为 3015,该编号可以任意取 [Quidway-acl-adv-3015]rule deny source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 /定义 192.168.2.0 的 ip 段不能访问 192.168.3.0 网段,反之也 一样. [Quidway-acl-adv-3015]ctrl+z /退出当前 acl 到普通模式 &Quidway&sys /进入特权模式 [Quidway]int Ethernet0/1 /进入到 e0/1 端口 [Quidway-GigabitEthernet0/1]packet-filter inbound ip-group 3015 not-care-for-interface /将定义好的 acl 3015 下发到整台交换机中,让整台交换机要求建 立Trunk 配置 网络环境: /4 多模光口 接
多模光口 3026 建立两个 VLAN vlan 5 192.168.5.1 255.255.255.0 (原来的用户继续使用,即端口 9-24) vlan 6 192.168.6.1 255.255.255.0 (用于财务 1-8 口) 不允许任何 VLAN 访问 VLAN 6 步骤: 6506 上的配置步骤如下: sys /进入特权 vlan 5 /建立两个 VLAN,即 3026 上所要建立的 VLAN,必须同名 vlan 6 /建立两个 VLAN,即 3026 上所要建立的 VLAN,必须同名 int vlan 5 /进入到 vlan 5 ip add 192.168.5.1 255.255.255.0 /配置 vlan 5 的 IP 地址 int vlan 6 /进入到 vlan 6 ip add 192.168.6.1 255.255.255.0 /配置 VLAN 6 的 IP 地址 interface g2/0/4 /进入到端口 port link-type trunk /配置端口工作在 Trunk 模式 port trunk permit vlan 5 /允许 vlan 5 通过 port trunk permit vlan 6 /允许 vlan 6 能过 speed 1000 /配置速度 duplex full /工作模式全双工 acl number 3001 /定义一条 ACL,不允许任何 VLAN 访问 VLAN 6 rule deny ip source any destination 192.168.6.0 0.0.0.255 /定久任何 IP 不能访问 192.168.6.0 网段 int g2/0/4 /进入到端口 packet-filter inbound ip-group 3001 /将 ACL 应用到端口 3026 配置步骤如下: sys /进入特权 vlan 5 /建立 vlan 5,必须和 6506 上的相同 vlan 6 /建立 vlan 6,必须和 6506 上的相同 int g1/1 /进入到 g1/1 口 port link-type trunk /配置端口工作在 Trunk 模式 port trunk permit vlan 5 /允许 vlan 5 通过 port trunk permit vlan 6 /允许 vlan 6 能过 speed 1000 /配置速度 duplex full /工作模式全双工 int e0/1 /进入端口 port access alvn 6 /将端口添加到 vlan 6 里 int e0/23 /进入端口 port access vlan 5 /将端口添加到 vlan 5 里 (2)基于 vlan 的 dhcpserver(H3C3600-EI 才支持该服务)配置:5. 在 VLAN 接口 10 上选择全局地址池方式分配 IP 地址 [SwitchA-Vlan-interface10]dhcp select global 6. 创建全局地址池,并命名为”vlan10” [SwitchA]dhcp server ip-pool vlan10 7. 配置 vlan10 地址池给用户分配的地址范围以及用户的网关,dns 地址 [SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0 [SwitchA-dhcp-vlan10]gateway-list 10.1.1.1 [SwitchA-dhcp-vlan10]dns-list 202.96.209.5 202.96.209.133 8. 禁止分配给用户的 ip [SwitchA]dhcp server forbidden-ip 10.1.1.1 10.1.1.23 [SwitchA]dhcp server forbidden-ip 10.1.1.200 10.1.1.250 9.配置 vlan 接口通过 dhcp 方式获取 ip(缺省情况下 vlan 接口不通过 dhcp 方式获取 ip) [h3c]int vlan 3 [h3c-vlan-intterface]ip address dhcp-alloc(2)三层交换机端口隔离(防止 arp,灵活隔离端口) 13:01 多为 Quidway S3952P-EI 型号交换机,因为交换机版本问题,此交换机设置端口 隔离后,无法设置不同隔离组,默认就一个隔离组。这样做端口隔离后,所有端 口相互之间都不可以相互访问(即只有同机柜中的服务器可以访问,不同机柜的 机器都不可以相互访问)。具体操作如下: [router.edong.com]interface Ethernet 1/0/* [router.edong.com-Ethernet1/0/*]port isolate 即可。 取消隔离命令:undo port isolate 机柜中的普通的交换机灵活隔离端口: 多为 Quidway S2126-EI 型号交换机。 也可以进行灵活的端口隔离,把经常有问 题的发包的机器放在一个 vlan 组, 在这个 vlan 组中的服务器无法访问同机柜中 的其他机器,不在隔离组的可以互访,不受影响。 操作方法如下:vlan 1 # vlan 2 port-isolate enable # interface Vlan-interface1 ip address 222.191.251.121 255.255.255.192 # interface Aux0/0 # interface Ethernet0/1 # interface Ethernet0/2 # interface Ethernet0/3 # interface Ethernet0/4 ..... interface Ethernet0/18 # interface Ethernet0/19 # interface Ethernet0/20 # interface Ethernet0/21 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface Ethernet0/22 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface Ethernet0/23 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface Ethernet0/24 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface Ethernet0/25 port link-type hybrid port hybrid vlan 1 to 2 untagged port-isolate uplink-port vlan 2 # interface NULL0 # 说明: Ethernet0/25 为上联端口。vlan 1 Ethernet0/20 to Ethernet0/24 为 vlan2,端口隔离,相互间不能访问,可以 与 Ethernet0//25 通讯 Ethernet0/1 到 Ethernet0/19 内部端口可以相互访问,同时 与 e0/25 通讯其中 25 端口的 port-isolate uplink-port vlan 2 这条命令非常重要! 这样就实现了端口的灵活隔离。 建议机房对底层交换机进行设置,后四个端口都 隔离出来,发生过 arp 问题的机器,直接网线接入这个端口。这样以后就算再被 入侵,也不会造成 arp 影响了。 如果需要取消端口隔离,命令如下: [edongjy]interface Ethernet 0/20 [edongjy-Ethernet0/20]undo port link-type 即可。 如何配置一台出厂设置的交换机(适合新手)~如何配置一台刚刚出厂的交换机,以 H3C S3100 接入层交换机为例。先说一下如何把一台交换机恢复到出厂设置。 1、 删除 NVRAM 中的配置文件 reset saved-configuration 2、 重启 reboot一台出厂设置的交换机,里面没有任何的配置文件,我们需要做以下配置: 1) 用 console 线连接到交换机 2) 为交换机配置一个名称 sys sysname Switch1 此处命名为 Switch1 3) 为交换机配置一个 ip 地址,这个 ip 用于以后 telnet 到交换机 交换机为 2 层设备, 只能为交换机的管理 VLAN 配置一个 IP 地址, 默认情况下, 管理 VLAN 为 VLAN 1。 inte vlan-inte 1 ip add x.x.x.x x.x.x.x undo shut 4) 建立一条指向网关的默认路由 为什么要建立默认路由,默认路由可以理解为默认网关,有了这条路由,其他 vlan 的 PC 才 可以访问该交换机。 ip route-static 0.0.0.0 0.0.0.0 x.x.x.x (x.x.x.x 为 vlan1 的网关地址,即三层交换机上 VLAN1 的 ip 地址) 5) 建立用户并设置密码 local-user admin pass cipher service-type telnet level 3 6) 开启 vty 线路,并设置适当的认证模式 VTY 线路是用来提供 telnet 的, VTY 线路有多条, 编号从 0 开始。 此次以接入层交换机 S3100 为例,S3100 有 5 条 vty 0~5,为 VTY 线路启用合适的认证方式。 user-interface vty 0 4 authentication-mode scheme (scheme 模式要求提供账号和密码)7)配置 vlan 信息 配置需要的 vlan,这里新建 vlan2、3、4。 并将 e1/0/1-e1/0/5 加入到 vlan2e1/0/6-e1/0/10 加入到 vlan3e1/0/11-e1/0/15 加入到 vlan4vlan 2port e1/0/1 to e1/0/5vlan 3port e1/0/6 to e1/0/10vlan 4port e1/0/11 to e1/0/158)配置 Trunk 链路trunk 链路承载不同 vlan 的流量,交换机级联的两个端口必须配置为 trunk 模式,只有这样 vlan 的信息才能在整个交换环境中传递。这里假设 g1/1/1 为交换机堆叠的端口,需配置为 trunk 模式。inte g1/1/1port link-tpye trunkport trunk permit vlan 2 to 4 (为了避免不必要的带宽的浪费,这里建议写出允许通过的 vlan 而不是 permit all)9)保存并退出详细配置 sys sysname Switch1local-user admin password cipher G`M^B&SDBB[Q=^Q`MAF4&1!! service-type telnet level 3interface Vlan-interface1 ip address 192.168.1.3 255.255.255.0ip route-static 0.0.0.0 0.0.0.0 192.168.1.1user-interface vty 0 4 authentication-mode schemevlan 2 port e1/0/1 to e1/0/5 vlan 3 port e1/0/6 to e1/0/10 vlan 4 port e1/0/11 to e1/0/15 quit inte g1/1/1 port link-tpye trunk port trunk permit vlan 2 to 4“为什么要建立默认路由,默认路由可以理解为默认网关,有了这条路由,其他 vlan 的 PC 才可以访问该交换机。 ip route-static 0.0.0.0 0.0.0.0 x.x.x.x (x.x.x.x 为 vlan1 的网关地址,即三层交换机上 VLAN1 的 ip 地址)”我不是很明白这条默认路由和其他 vlan PC 访问该交换机有什么关系,其他 VLAN 指的是该 交换机上的 vlan 还是三层交换机的 vlan ?该交换机上的 vlan 和三层交换机上的 vlan 有区别么? 管理 vlan 默认为 vlan1, 三层上 inte vlan-inte 1 ip add 192.168.1.1 255.255.255.0 二层交换机 inte vlan-inte 1 ip add 192.168.1.2 255.255.255.0ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 如果没有这条默认路由,那么 vlan 2、3、4.。。。都不可能 telnet 到交换机。 。。 三层上的 vlan2 和接入层的 vlan2 是同一 vlan,二者没有有任何区别。 同一 vlan 的 telnet(这里的 IP 地址继续用上面我所配的) PC:telnet 192.168.1.2 交换是根据 mac 地址转发数据, mac 未知,发送 arp 请求,希望获得 192.168.1.2 的 mac 泛洪到 vlan1 所有节点, 192.168.1.1 收到该 arp 请求,应答 已经获悉 192.168.1.2 的 mac 帧被转发,telnet 会话建立。 不同的 vlan 的 telnet 这里假设是 vlan 2 的一台 PC inte vlan-inte 2 ip add 192.168.2.1 255.255.255.0 PC: ip:192.168.2.2 /24 gateway:192.168.2.1 telnet 192.168.1.2 mac 未知,发送 arp 该 arp 请求属于 vlan 2,无法泛洪到 vlan1,收不到 192.168.1.2 的 arp 应答 当数据包不知道如何转发的时候,使用默认路由,也就是网关。 向默认网关 192.168.2.1 发送该 telnet 数据包 该包达到三层交换机,查找 vlan 间路由信息 包被转发到 192.168.1.1 192.168.1.1 把该包转发到 192.168.1.2 192.168.1.2 使用默认路由 0.0.0.0 0.0.0.0 192.168.1.1 回包H3C 三层交换机配置命令大全 16:16:51 作者:佚名 来源: 浏览次数:448[Quidway]dis cur ;显示当前配置 [Quidway]display current-configuration ;显 示当前配置 [Quidway]display interfaces ;[Quidway]dis cur [Quidway]display current-configuration [Quidway]display interfaces [Quidway]display vlan all [Quidway]display version [Quidway]super password 户密码 [Quidway]sysname [Quidway]interface ethernet 0/1 [Quidway]interface vlan x;显示当前配置 ;显示当前配置 ;显示接口信息 ;显示路由信息 ;显示版本信息 ;修改特权用;交换机命名 ;进入接口视图 ;进入接口视图 ;配置 VLAN 的 IP[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 网关 [Quidway]rip [Quidway]local-user ftp [Quidway]user-interface vty 0 4 端 [S3026-ui-vty0-4]authentication-mode password 增加用户名;静态路由=;三层交换支持;进入虚拟终;设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令 [S3026-ui-vty0-4]user privilege level 3 [Quidway]interface ethernet 0/1 式 [Quidway]int e0/1 [Quidway-Ethernet0/1]duplex {half|full|auto} [Quidway-Ethernet0/1]speed {10|100|auto} [Quidway-Ethernet0/1]flow-control [Quidway-Ethernet0/1]mdi {across|auto|normal} [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} [Quidway-Ethernet0/1]port access vlan 3 [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} [Quidway-Ethernet0/3]port trunk pvid vlan 3 [Quidway-Ethernet0/1]undo shutdown [Quidway-Ethernet0/1]shutdown [Quidway-Ethernet0/1]quit [Quidway]vlan 3 [Quidway-vlan3]port ethernet 0/1 [Quidway-vlan3]port e0/1 [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 [Quidway-vlan3]port e0/1 to e0/4 ;进入端口模式 ;配置端口工作状态 ;配置端口工作速率 ;配置端口流控 ;配置端口平接扭接 ;设置端口工作模式 ;当前端口加入到 VLAN ;设 trunk 允许的 VLAN ;设置 trunk 端口的 PVID ;激活端口 ;关闭端口 ;返回 ;创建 VLAN ;在 VLAN 中增加端口 ;简写方式 ;在 VLAN 中增加端口 ;简写方式 ;用户级别 ;进入端口模 [Quidway]monitor-port &interface_type interface_num& [Quidway]port mirror &interface_type interface_num&;指定镜像端口 ;指定被镜像端口[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像 [Quidway]description string 符 [Quidway]description [Quidway]display vlan [vlan_id] [Quidway]stp {enable|disable} 默认关闭 [Quidway]stp priority 4096 [Quidway]stp root {primary|secondary} [Quidway-Ethernet0/1]stp cost 200 [Quidway]link-aggregation e0/1 to e0/4 ingress|both [Quidway]undo link-aggregation e0/1|all [SwitchA-vlanx]isolate-user-vlan enable [SwitchA]isolate-user-vlan &x& secondary &list& vlan [Quidway-Ethernet0/2]port hybrid pvid vlan &id& [Quidway-Ethernet0/2]port hybrid pvid ;设置 vlan 的 pvid ;删除 vlan 的 pvid ;设置交换机的优先级 ;设置为根或根的备份 ;设置交换机端口的花费 ; 端口的聚合 ; 始端口为通道号 ;设置主 vlan ;设置主 vlan 包括的子 ;删除 VLAN 描述字符 ;查看 VLAN 设置 ;设置生成树, ;指定 VLAN 描述字[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的 vlan 如果包的 vlan id 与 PVId 一致,则去掉 vlan 信息. 默认 PVID=1。华为 3COM 交换机配置命令讲解教程 09:49:21 作者:佚名 来源: 浏览次数:9661、配置文件相关命令 1、配置文件相关命令 [Quidway]display current-configuration [Quidway]display saved-configuration 件 &Quidway&reset saved-configuration &Quidway&reboot &Quidway&display version ;檫除旧的配置文件 ;交换机重启 ;显示系统版本信息 ;显示当前生效的配置 ;显示 flash 中配置文件,即下次上电启动时所用的配置文&Quidway&language-mode chinese2、基本配置 [Quidway]super password [Quidway]sysname [Quidway]interface ethernet 0/1 [Quidway]interface vlan x [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 3、telnet 配置 [Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]user privilege level 3 4、端口配置 [Quidway-Ethernet0/1]duplex {half|full|auto} [Quidway-Ethernet0/1]speed {10|100|auto} [Quidway-Ethernet0/1]flow-control [Quidway-Ethernet0/1]mdi {across|auto|normal} [Quidway-Ethernet0/1]undo shutdown [Quidway-Ethernet0/2]quit 5、链路聚合配置 [DeviceA] link-aggregation group 1 mode manual [DeviceA] interface ethernet 1/0/1 组1;切换到中文模式;修改特权用户密码 ;交换机命名 ;进入接口视图 ;进入接口视图 ;静态路由=网关 ;进入虚拟终端 ;设置口令模式 ;设置口令 ;用户级别 ;配置端口工作状态 ;配置端口工作速率 ;配置端口流控 ;配置端口平接扭接 ;激活端口 ;退出系统视图 ;创建手工聚合组 1 ;将以太网端口 Ethernet1/0/1 加入聚合[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置 VLAN 的 IP 地址[S3026-ui-vty0-4]set authentication-mode password simple 222[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式[DeviceA-Ethernet1/0/1] port link-aggregation group 1 [DeviceA-Ethernet1/0/1] interface ethernet 1/0/2 1 [DeviceA-Ethernet1/0/2] port link-aggregation group 1 [DeviceA] link-aggregation group 1 service-type tunnel 环回组。 [DeviceA] interface ethernet 1/0/1 业务环回组。 [DeviceA-Ethernet1/0/1] undo stp [DeviceA-Ethernet1/0/1] port link-aggregation group 1 # 将以太网端口 Ethernet1/0/1 加入 # 在手工聚合组的基础上创建 Tunnel 业务 ;将以太网端口 Ethernet1/0/1 加入聚合组 6、端口镜像 [Quidway]monitor-port &interface_type interface_num& [Quidway]port mirror &interface_type interface_num& ;指定镜像端口 ;指定被镜像端口[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像 7、VLAN 配置 [Quidway]vlan 3 [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 配置基于 access 的 VLAN [Quidway-Ethernet0/2]port access vlan 3 配置基于 trunk 的 VLAN [Quidway-Ethernet0/2]port link-type trunk [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 注意:所有端口缺省情况下都是允许 VLAN1 的报文通过的 [Quidway-Ethernet0/2]port trunk pvid vlan 3 配置基于 Hybrid 端口的 VLAN [Quidway-Ethernet0/2]port link-type hybrid 前 Hybrid 端口 注意:缺省情况下,所有 Hybrid 端口只允许 VLAN1 通过 [Quidway-Ethernet0/2]port hybrid pvid vlan vlan-id VLAN 注意:缺省情况下,Hybrid 端口的缺省 VLAN 为 VLAN1 VLAN 描述 [Quidway]description string [Quidway]description [Quidway]display vlan [vlan_id] 私有 VLAN 配置 [SwitchA-vlanx]isolate-user-vlan enable [SwitchA]Isolate-user-vlan &x& secondary &list& [Quidway-Ethernet0/2]port hybrid pvid vlan &id& [Quidway-Ethernet0/2]port hybrid pvid ;设置主 vlan ;设置主 vlan 包括的子 vlan ;设置 vlan 的 pvid ;删除 vlan 的 pvid ;设置无标识的 vlan ;指定 VLAN 描述字符 ;删除 VLAN 描述字符 ;查看 VLAN 设置 ;设置 Hybrid 端口的缺省 ;配置端口的链路类型为 Hybrid 类型 ;允许指定的 VLAN 通过当 [Quidway-Ethernet0/2]port hybrid vlan vlan-id-list { tagged | untagged } ;设置 trunk 端口的 PVID ;设置当前端口为 trunk ;设 trunk 允许的 VLAN ;当前端口加入到 VLAN 注意:缺省情况下,端口的链路类型为 Access 类型,所有 Access 端口均属于且只属于 VLAN1 ;创建 VLAN ;在 VLAN 中增加端口[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged 如果包的 vlan id 与 PVId 一致,则去掉 vlan 信息. 默认 PVID=1。 所以设置 PVID 为所属 vlan id, 设置可以互通的 vlan 为 untagged.1、配置文件相关命令8、STP 配置 [Quidway]stp {enable|disable} [Quidway]stp mode rstp [Quidway]stp priority 4096 [Quidway]stp root {primary|secondary} ;设置生成树,默认关闭 ;设置生成树模式为 rstp ;设置交换机的优先级 ;设置为根或根的备份 [Quidway-Ethernet0/1]stp cost 200 MSTP 配置:;设置交换机端口的花费# 配置 MST 域名为 info,MSTP 修订级别为 1,VLAN 映射关系为 VLAN2~VLAN10 映射到生成树实例 1 上,VLAN20~ VLAN30 映射生成树实例 2 上。 &Sysname& system-view [Sysname] stp region-configuration [Sysname-mst-region] region-name info [Sysname-mst-region] instance 1 vlan 2 to 10 [Sysname-mst-region] instance 2 vlan 20 to 30 [Sysname-mst-region] revision-level 1 [Sysname-mst-region] active region-configuration 9、MAC 地址表的操作 在系统视图下添加 MAC 地址表项 [Quidway]mac-address { static | dynamic | blackhole } mac-address interface interface-type interface-number vlan vlan-id ;添加 MAC 地址表项 在添加 MAC 地址表项时,命令中 interface 参数指定的端口必须属于 vlan 参数指定的 VLAN,否则将添加失败。 如果 vlan 参数指定的 VLAN 是动态 VLAN,在添加静态 MAC 地址之后,会自动变为静态 VLAN。 在以太网端口视图下添加 MAC 地址表项 [Quidway-Ethernet0/2]mac-address { static | dynamic | blackhole } mac-address vlan vlan-id 在添加 MAC 地址表项时,当前的端口必须属于命令中 vlan 参数指定的 VLAN,否则将添加失败; 如果 vlan 参数指定的 VLAN 是动态 VLAN,在添加静态 MAC 地址之后,会自动变为静态 VLAN。 [Quidway]mac-address timer { aging age | no-aging } ;设置 MAC 地址表项的老化时间 注意:缺省情况下,MAC 地址表项的老化时间为 300 秒,使用参数 no-aging 时表示不对 MAC 地址表项进行老化。 MAC 地址老化时间的配置对所有端口都生效,但地址老化功能只对动态的(学习到的或者用户配置可老化的)MAC 地址表项起作用。 [Quidway-Ethernet0/2]mac-address max-mac-count count ;设置端口最多可以学习到的 MAC 地址数量 注意:缺省情况下,没有配置对端口学习 MAC 地址数量的限制。反之,如果端口启动了 MAC 地址认证和端口安全功 能,则不能配置该端口的最大 MAC 地址学习个数。 [Quidway-Ethernet0/2]port-mac start-mac-address ;配置以太网端口 MAC 地址的起始值 在缺省情况下,E126/E126A 交换机的以太网端口是没有配置 MAC 地址的,因此当交换机在发送二层协议报文(例 如 STP)时,由于无法取用发送端口的 MAC 地址, 将使用该协议预置的 MAC 地址作为源地址填充到报文中进行发送。在实际组网中,由于多台设备都使用相同的源 MAC 地址发送二层协议报文,会造成在某台设备的不 同端口学习到相同 MAC 地址的情况,可能会对 MAC 地址表的维护产生影响。 [Quidway]display mac-address [Quidway]display port-mac 10、GVRP 配置 ;显示地址表信息 ;显示地址表动态表项的老化时间 ;显示用户配置的以太网端口 MAC 地址的起始值[Quidway]display mac-address aging-time [SwitchA] gvrp# 开启全局 GVRP # 在以太网端口 Ethernet1/0/1 上开启 GVRP 配置 GVRP 端口注册模式 缺[SwitchA-Ethernet1/0/1] gvrp 省为 normal[SwitchE-Ethernet1/0/1] gvrp registration { fixed | forbidden | normal } #[SwitchA] display garp statistics [ interface interface-list ] ;显示 GARP 统计信息 [SwitchA] display garp timer [ interface interface-list ] [SwitchA] display gvrp status ;显示 GARP 定时器的值 ;显示 GVRP 的全局状态信息 [SwitchA] display gvrp statistics [ interface interface-list ] ;显示 GVRP 统计信息 [SwitchA] display gvrp statusreset garp statistics [ interface interface-list ] ;清除 GARP 统计信息 11、DLDP 配置 [SwitchA] interface gigabitethernet 1/1/1 [SwitchA-GigabitEthernet1/1/1] duplex full [SwitchA-GigabitEthernet1/1/1] speed 1000 [SwitchA] dldp enable [SwitchA] 省为 auto [SwitchA] display dldp 1 # 查看 DLDP 状态。 当光纤交叉连接时,可能有两个或三个端口处于 Disable 状态,剩余端口处于 Inactive 状态。 当光纤一端连接正确,一端未连接时: 如果 DLDP 的工作模式为 normal,则有收光的一端处于 Advertisement 状态,没有收光的一端处于 Inactive 状态。 如果 DLDP 的工作模式为 enhance,则有收光的一端处于 Disable 状态,没有收光的一端处于 Inactive 状态。 dldp reset 命令在全局下可以重置所有端口的 DLDP 状态,在接口下可以充值该端口的 DLDP 状态 # 全局开启 DLDP。 缺省为 normal 缺 # 配置端口工作在强制全双工模式,速率为 1000Mbits/s。[SwitchA] dldp interval 15 # 设置发送 DLDP 报文的时间间隔为 15 秒。 dldp work-mode { enhance | normal } # 配置 DLDP 协议的工作模式为加强模式。 [SwitchA] dldp unidirectional-shutdown { auto | manual } # 配置 DLDP 单向链路操作模式为自动模式。1、配置文件相关命令12、端口隔离配置 通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数 据的隔离,既增强了网络的安全性,也为用户 提供了灵活的组网方案。 [Sysname] interface ethernet1/0/2 # 将以太网端口 Ethernet1/0/2 加入隔离组。 [Sysname-Ethernet1/0/2] port isolate [Sysname]display isolate port # 显示隔离组中的端口信息 配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间 的通信不会受到影响。 端口隔离特性与以太网端口所属的 VLAN 无关。 当汇聚组中的某个端口加入或离开隔离组后,本设备中同一汇聚组内的其它端口,均会自动加入或离开该隔离组。 对于既处于某个聚合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影响其他端口,即其他端 口仍将处于原聚合组和原隔离组中。 如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚合组中的端口仍将处于 该隔离组中。 当隔离组中的某个端口加入聚合组时,该聚合组中的所有端口,将会自动加入隔离组中。 13、端口安全配置 [Switch] port-security enable # 启动端口安全功能 [Switch] interface Ethernet 1/0/1 # 进入以太网 Ethernet1/0/1 端口视图 # 设置端口允许接入的最大 MAC 地址数为 80 # 配置端口的安全模式为 autolearn [Switch-Ethernet1/0/1] port-security max-mac-count 80 [Switch-Ethernet1/0/1] port-security port-mode autolearn 作为 Security MAC 添加到 VLAN 1 中 [Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily # 设置 Intrusion Protection 特性被触发后,暂时关闭该端口 [Switch]port-security timer disableport 30 14、端口绑定配置 通过端口绑定特性,网络管理员可以将用户的 MAC 地址和 IP 地址绑定到指定的端口上。进行绑定操作后,交换机 只对从该端口收到的指定 MAC 地址和 IP 地 址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控。 [SwitchA-Ethernet1/0/1] am user-bind mac-addr 03 ip-addr 10.12.1.1 # 将 Host 1 的 MAC 地址 和 IP 地址绑定到 Ethernet1/0/1 端口。 有的交换机上绑定的配置不一样 [SwitchA] interface ethernet 1/0/2 [SwitchA-Ethernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 05 端口过滤配置 [SwitchA] interface ethernet1/0/1 [SwitchA] dhcp-snooping # 配置端口 Ethernet1/0/1 的端口过滤功能。 # 关闭时间为 30 秒。[Switch-Ethernet1/0/1] mac-address security 03 vlan 1 # 将 Host 的 MAC 地址 03[SwitchA-Ethernet1/0/1] ip check source ip-address mac-address # 开启 DHCP Snooping 功能。 # 设置与 DHCP 服务器相连的端口 Ethernet1/0/2 为信任端口。 [SwitchA] interface ethernet1/0/2[SwitchA-Ethernet1/0/2] dhcp-snooping trust 在端口 Ethernet1/0/1 上启用 IP 过滤功能,防止客户端使用伪造的不同源 IP 地址对服务器进行攻击 15、BFD 配置 Switch A、Switch B、Switch C 相互可达,在 Switch A 上配置静态路由可以到达 Switch C,并使能 BFD 检测功能。 # 在 Switch A 上配置静态路由,并使能 BFD 检测功能,通过 BFD echo 报文方式实现 BFD 功能。 &SwitchA& system-view [SwitchA] bfd echo-source-ip 123.1.1.1 [SwitchA] interface vlan-interface 10 [SwitchA-vlan-interface10] bfd min-echo-receive-interval 300 [SwitchA-vlan-interface10] bfd detect-multiplier 7 [SwitchA-vlan-interface10] quit [SwitchA] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet # 在 Switch A 上打开 BFD 功能调试信息开关。 &SwitchA& debugging bfd event &SwitchA& debugging bfd scm &SwitchA& terminal debugging 在 Switch A 上可以打开 BFD 功能调试信息开关,断开 Hub 和 Switch B 之间的链路,验证配置结果。验证结果显示, Switch A 能够快速感知 Switch A 与 Switch B 之间链路的变化。 16、QinQ 配置 Provider A、Provider B 之间通过 Trunk 端口连接,Provider A 属于运营商网络的 VLAN1000,Provider B 属于运 营商网络的 VLAN2000。 Provider A 和 Provider B 之间,运营商采用其他厂商的设备,TPID 值为 0x8200。 希望配置完成后达到下列要求: Customer A 的 VLAN10 的报文可以和 Customer B 的 VLAN10 的报文经过运营商网络的 VLAN1000 转发后互通; Customer A 的 VLAN20 的报文可以 和 Customer C 的 VLAN20 的报文经过运营商网络的 VLAN2000 转发后互通。 [ProviderA] interface ethernet 1/0/1 # 配置端口为 Hybrid 端口, 且允许 VLAN10, VLAN20, VLAN1000 和 VLAN2000 的报文通过,并且在发送时去掉外层 Tag。 [ProviderA-Ethernet1/0/1] port link-type hybrid [ProviderA-Ethernet1/0/1] port hybrid vlan 10 20
untagged [ProviderA-Ethernet1/0/1] qinq vid 1000 [ProviderA-Ethernet1/0/1-vid-1000] quit [ProviderA-Ethernet1/0/1] qinq vid 2000 # 将来自 VLAN20 的报文封装 VLAN ID 为 2000 的外层 Tag。 [ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20 [ProviderA] interface ethernet 1/0/2 # 配置端口的缺省 VLAN 为 VLAN1000。 [ProviderA-Ethernet1/0/2] port access vlan 1000 [ProviderA-Ethernet1/0/2] qinq enable # 配置端口的基本 QinQ 功能,将来自 VLAN10 的报文封装 VLAN ID 为 1000 的外层 Tag。 [ProviderA] interface ethernet 1/0/3 # 配置端口为 Trunk 端口,且允许 VLAN1000 和 VLAN2000 的报文通过。 [ProviderA-Ethernet1/0/3] port link-type trunk [ProviderA-Ethernet1/0/3] port trunk permit vlan
[ProviderA-Ethernet1/0/3] qinq ethernet-type 8200 # 为与公共网络中的设备进行互通,配置端口添加外层 Tag 时采用的 TPID 值为 0x8200。 [ProviderB] interface ethernet 1/0/1 # 配置端口为 Trunk 端口,且允许 VLAN1000 和 VLAN2000 的报文通过。 [ProviderB-Ethernet1/0/1] port link-type trunk [ProviderB-Ethernet1/0/1] port trunk permit vlan
[ProviderB-Ethernet1/0/1] qinq ethernet-type 8200 # 为与公共网络中的设备进行互通,配置端口添加外层 Tag 时采用的 TPID 值为 0x8200。 [ProviderB-Ethernet1/0/1] quit [ProviderB] interface ethernet 1/0/2 # 配置端口的缺省 VLAN 为 VLAN2000。 [ProviderB-Ethernet1/0/2] port access vlan 2000 [ProviderB-Ethernet1/0/2] qinq enable # 配置端口的基本 QinQ 功能,将来自 VLAN20 的报文封装 VLAN ID 为 2000 的外层 Tag。 H3C 交换机典型访问控制列表(ACL)配置实例 回复:2 阅读:3241 # 将来自 VLAN10 的报文封装 VLAN ID 为 1000 的外层 Tag。 [ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10 一组网需求:1.通过配置基本访问控制列表,实现在每天 8:00~18:00 时间段内对源 IP 为 10.1.1.2 主机发出报文的过滤; 2. 要求配置高级访问控制列表, 禁止研发部门与技术支援部门之间互访, 并限制研发部门在上班时间 8:00 至 18:00 访问工资查询服务器; 3.通过二层访问控制列表,实现在每天 8:00~18:00 时间段内对源 MAC 为 00e0-fc01-0101 的报文进行过滤。 二 组网图:三 1 共用配置 1.根据组网图,创建四个 vlan,对应加入各个端口 &H3C&system-view [H3C]vlan 10 [H3C-vlan10]port GigabitEthernet 1/0/1 [H3C-vlan10]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/2 [H3C-vlan20]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/3 [H3C-vlan20]vlan 30 [H3C-vlan30]port GigabitEthernet 1/0/3 [H3C-vlan30]vlan 40 [H3C-vlan40]port GigabitEthernet 1/0/4 [H3C-vlan40]quit 2.配置各 VLAN 虚接口地址 [H3C]interface vlan 10 H3C 00 系列交换机典型访问控制列表配置配置步骤: [H3C-Vlan-interface10]ip address 10.1.1.1 24 [H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24 [H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24 [H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24 [H3C-Vlan-interface40]quit 3.定义时间段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求 1 配置(基本 ACL 配置) 1.进入 2000 号的基本访问控制列表视图 [H3C-GigabitEthernet1/0/1] acl number 2000 2.定义访问规则过滤 10.1.1.2 主机发出的报文 [H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei 3.在接口上应用 2000 号 ACL [H3C-acl-basic-2000] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000 [H3C-GigabitEthernet1/0/1] quit 需求 2 配置(高级 ACL 配置) 1.进入 3000 号的高级访问控制列表视图 [H3C] acl number 3000 2.定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3.定义访问规则禁止研发部门在上班时间 8:00 至 18:00 访问工资查询服务器 [H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000] quit 4.在接口上用 3000 号 ACL [H3C-acl-adv-3000] interface GigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000 需求 3 配置(二层 ACL 配置) 1.进入 4000 号的二层访问控制列表视图 [H3C] acl number 4000 2.定义访问规则过滤源 MAC 为 00e0-fc01-0101 的报文 [H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei 3.在接口上应用 4000 号 ACL [H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4 [H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000 2 需求 2 配置 1.进入 3000 号的高级访问控制列表视图 H3C 5500-SI
系列交换机典型访问控制列表配置 [H3C] acl number 3000 2.定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3.定义访问规则禁止研发部门在上班时间 8:00 至 18:00 访问工资查询服务器 [H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000] quit 4.定义流分类 [H3C] traffic classifier abc [H3C-classifier-abc]if-match acl 3000 [H3C-classifier-abc]quit 5.定义流行为,确定禁止符合流分类的报文 [H3C] traffic behavior abc [H3C-behavior-abc] filter deny [H3C-behavior-abc] quit 6.定义 Qos 策略,将流分类和流行为进行关联 [H3C]qos policy abc [H3C-qospolicy-abc] classifier abc behavior abc [H3C-qospolicy-abc] quit 7.在端口下发 Qos policy [H3C] interface g1/1/2 [H3C-GigabitEthernet1/1/2] qos apply policy abc inbound 8.补充说明: ????????? ????????? 策略中进行关联; ????????? ????????? 发。 四 配置关键点: 1.time-name 可以自由定义; 2.设置访问控制规则以后,一定要把规则应用到相应接口上,应用时注意 inbound 方向应与 rule 中 source 和 destination 对应; 3.S5600 系列交换机只支持 inbound 方向的规则,所以要注意应用接口的选择; QoS 策略会按照配置顺序将报文和 classifier 相匹配,当报文和某一个 classifier 匹配后, 将 QoS 策略应用到端口后,系统不允许对应修改义流分类、流行为以及 QoS 策略,直至取消下 执行该 classifier 所对应的 behavior,然后策略执行就结束了,不会再匹配剩下的 classifier; acl 只是用来区分数据流,permit 与 deny 由 filter 确定; 如果一个端口同时有 permit 和 deny 的数据流,需要分别定义流分类和流行为,并在同一 QoS10、Quidway 交换机维护 显示系统版本信息:display version 显示诊断信息:display diagnostic-information 显示系统当前配置:display current-configuration 显示系统保存配置: display saved-configuration 显示接口信息:display interface 显示路由信息:display ip routing-table 显示 VLAN 信息:display vlan 显示生成树信息:display stp 显示 MAC 地址表:display mac-address 显示 ARP 表信息:display arp 显示系统 CPU 使用率:display cpu 显示系统内存使用率:display memory 显示系统日志:display log 显示系统时钟:display clock 验证配置正确后,使用保存配置命令:save 删除某条命令,一般使用命令: undo
更多搜索:
All rights reserved Powered by
文档资料库内容来自网络,如有侵犯请联系客服。}
华为三层交换机怎么让两个不同网段ip互通
现有两个网段分别为192.168.1.0 和192.168.2.0 ,都接到三层交换机,都是内网。请大神帮我解答,越简单的办法越好,本人不太懂,最好直接写命令
我有更好的答案
很简单,做一个VLAN透传 我举个例子:按照你所说的,假如S1是上层,S2是下层 那么S1里做一个VLAN,比方说:ip address 192.168.1.253 255.255.255.252 让S1连接到S2的端口使用这个VLAN
S2里做一个VLAN,比如:ip address 192.168.1.254 255.255.255.252 让S2连接到S1的端口使用这个VLAN
然后做明细路由 系统视图下S1:ip route-static 把你想要从S1划到S2的IP,指引到192.168.1.254 系统视图下S2:做一个缺省路由,ip route-static 0.0.0.0 0.0.0.0 192.168.1.253 即可
然后S2就可以连通S1,并且使用S1划分下去的IP地址池,接下来很简单 只需要把划给S2的地址池做VLAN划分,然后port到各个端口上
我都在3层交换机上面
知道智能回答机器人
我是知道站内的人工智能,可高效智能地为您解答问题。很高兴为您服务。
为您推荐:
其他类似问题
三层交换机的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。如何把一台华为三层交换机虚拟成两台普通交换机使用,需要分别物理连接两个相对独立的局域网。_百度知道
如何把一台华为三层交换机虚拟成两台普通交换机使用,需要分别物理连接两个相对独立的局域网。
我有更好的答案
这时就应该将PC的网线插在交换机的以太网的普通口上就行吧.!.
两个局域网完全隔离,不互通。
采纳率:76%
为您推荐:
其他类似问题
三层交换机的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。当前位置: >>
华为三层交换机配置步骤(最新修改版)
华为三层交换机配置步骤一. VLAN 配置1.建立 VLAN&Quidway&sys /进入特权模式 [Quidway]vlan 1 /建立 vlan 1 [Quidway]ctrl+z /退出 vlan1 到普通模式 [Quidway]vlan 2 /建立 vlan 2 [Quidway]ctrl+z /退出 vlan2 到普通模式 【注】 划分 VLAN,并描述 vlan 1 description local-s3600 //本交换机使用 vlan 2 description link-to-shanxicentre //陕西省中心 vlan 3 description link-to-shangjiecentre //商界分中心内部使用2.配置端口加入到 VLAN[Quidway]vlan [Quidway-vlan [Quidway-vlan [Quidway]vlan [Quidway-vlan [Quidway-vlan 1 /进入 vlan 1 1]port Ethernet 0/1 /将端口 E0/1 加入到 vlan1 1] ctrl+z /退出 vlan1 到普通模式 2 /进入 vlan 2 2]port Ethernet 0/2 /将端口 E0/2 加入到 vlan2 2] ctrl+z /退出 vlan2 到普通模式3.配置 VLAN 的 IP 地址[Quidway]interface vlan 1 /进入接口视图 [Quidway-Vlan-interface1]ip address 13.1.1.130 255.255.255.0 [Quidway-Vlan-interface1] ctrl+z /退出 vlan1 到普通模式 [Quidway]interface vlan 2 /进入接口视图 [Quidway-Vlan-interface2]ip address 192.168.2.1 255.255.255.0 /配置 VLAN2 的 IP 地址 [Quidway-Vlan-interface1] ctrl+z /退出 vlan2 到普通模式 /配置 VLAN1 的 IP 地址4.配置静态路由[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 /静态路由=网关 5.配置上行端口为 trunk[Quidway -Ethernet0/1]port link-type trunk /实际当中一般将上行端口设置成 trunk 属性, 允许 vlan 透传 [Quidway -Ethernet0/1]port trunk permit vlan all /允许所有的 vlan 从 E0/3 端口透传通过, 也可以指定具体的 vlan 值5. 端口汇聚配置(1)进入端口 E0/1 [Quidway]interface Ethernet 0/1 (2)汇聚端口必须工作在全双工模式 [Quidway -Ethernet0/1]duplex full (3)汇聚的端口速率要求相同,但不能是自适应 [Quidway -Ethernet0/1]speed 100 (4)进入端口 E0/2 [Quidway]interface Ethernet 0/2 (5)汇聚端口必须工作在全双工模式 [Quidway -Ethernet0/2]duplex full (6)汇聚的端口速率要求相同,但不能是自适应 [Quidway -Ethernet0/2]speed 100 (7)根据源和目的 MAC 进行端口选择汇聚 [Quidway]link-aggregation Ethernet 0/1 to Ether 【补充说明】 (1)同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为 Trunk 端口,则成员端口也为 Trunk 端口;如主端口的链路类型改为 Access 端口,则成员 端口的链路类型也变为 Access 端口。 (2)不同的产品对端口汇聚时的起始端口号要求各有不同,请对照《操作手册》进行配置。6.系统设置设置系统时间和时区&Quidway&clock time Beijing add 8 &Quidway&clock datetime 12:00:00
设置交换机的名称[Quidway]sysname TRAIN-3026-1[TRAIN-3026-1] 配置用户登录[Quidway]user-interface vty 0 4 [Quidway-ui-vty0]authentication-mode scheme 创建本地用户[Quidway]local-user huawei [Quidway-luser-huawei]password simple huawei [Quidway-luser-huawei] service-type telnet level 3二、其它需求配置 (1)建立 ACL 定义 vlan 2 与 vlan 3 之间不能互访ACL 配置 &Quidway&sys /进入特权模式 [Quidway]acl number 3015 /建立 acl 编号取为 3015,该编号可以任意取 [Quidway-acl-adv-3015]rule deny source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 /定义 192.168.2.0 的 ip 段不能访问 192.168.3.0 网段,反之也 一样. [Quidway-acl-adv-3015]ctrl+z /退出当前 acl 到普通模式 &Quidway&sys /进入特权模式 [Quidway]int Ethernet0/1 /进入到 e0/1 端口 [Quidway-GigabitEthernet0/1]packet-filter inbound ip-group 3015 not-care-for-interface /将定义好的 acl 3015 下发到整台交换机中,让整台交换机要求建 立Trunk 配置 网络环境: /4 多模光口 接
多模光口 3026 建立两个 VLAN vlan 5 192.168.5.1 255.255.255.0 (原来的用户继续使用,即端口 9-24) vlan 6 192.168.6.1 255.255.255.0 (用于财务 1-8 口) 不允许任何 VLAN 访问 VLAN 6 步骤: 6506 上的配置步骤如下: sys /进入特权 vlan 5 /建立两个 VLAN,即 3026 上所要建立的 VLAN,必须同名 vlan 6 /建立两个 VLAN,即 3026 上所要建立的 VLAN,必须同名 int vlan 5 /进入到 vlan 5 ip add 192.168.5.1 255.255.255.0 /配置 vlan 5 的 IP 地址 int vlan 6 /进入到 vlan 6 ip add 192.168.6.1 255.255.255.0 /配置 VLAN 6 的 IP 地址 interface g2/0/4 /进入到端口 port link-type trunk /配置端口工作在 Trunk 模式 port trunk permit vlan 5 /允许 vlan 5 通过 port trunk permit vlan 6 /允许 vlan 6 能过 speed 1000 /配置速度 duplex full /工作模式全双工 acl number 3001 /定义一条 ACL,不允许任何 VLAN 访问 VLAN 6 rule deny ip source any destination 192.168.6.0 0.0.0.255 /定久任何 IP 不能访问 192.168.6.0 网段 int g2/0/4 /进入到端口 packet-filter inbound ip-group 3001 /将 ACL 应用到端口 3026 配置步骤如下: sys /进入特权 vlan 5 /建立 vlan 5,必须和 6506 上的相同 vlan 6 /建立 vlan 6,必须和 6506 上的相同 int g1/1 /进入到 g1/1 口 port link-type trunk /配置端口工作在 Trunk 模式 port trunk permit vlan 5 /允许 vlan 5 通过 port trunk permit vlan 6 /允许 vlan 6 能过 speed 1000 /配置速度 duplex full /工作模式全双工 int e0/1 /进入端口 port access alvn 6 /将端口添加到 vlan 6 里 int e0/23 /进入端口 port access vlan 5 /将端口添加到 vlan 5 里 (2)基于 vlan 的 dhcpserver(H3C3600-EI 才支持该服务)配置:5. 在 VLAN 接口 10 上选择全局地址池方式分配 IP 地址 [SwitchA-Vlan-interface10]dhcp select global 6. 创建全局地址池,并命名为”vlan10” [SwitchA]dhcp server ip-pool vlan10 7. 配置 vlan10 地址池给用户分配的地址范围以及用户的网关,dns 地址 [SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0 [SwitchA-dhcp-vlan10]gateway-list 10.1.1.1 [SwitchA-dhcp-vlan10]dns-list 202.96.209.5 202.96.209.133 8. 禁止分配给用户的 ip [SwitchA]dhcp server forbidden-ip 10.1.1.1 10.1.1.23 [SwitchA]dhcp server forbidden-ip 10.1.1.200 10.1.1.250 9.配置 vlan 接口通过 dhcp 方式获取 ip(缺省情况下 vlan 接口不通过 dhcp 方式获取 ip) [h3c]int vlan 3 [h3c-vlan-intterface]ip address dhcp-alloc(2)三层交换机端口隔离(防止 arp,灵活隔离端口) 13:01 多为 Quidway S3952P-EI 型号交换机,因为交换机版本问题,此交换机设置端口 隔离后,无法设置不同隔离组,默认就一个隔离组。这样做端口隔离后,所有端 口相互之间都不可以相互访问(即只有同机柜中的服务器可以访问,不同机柜的 机器都不可以相互访问)。具体操作如下: [router.edong.com]interface Ethernet 1/0/* [router.edong.com-Ethernet1/0/*]port isolate 即可。 取消隔离命令:undo port isolate 机柜中的普通的交换机灵活隔离端口: 多为 Quidway S2126-EI 型号交换机。 也可以进行灵活的端口隔离,把经常有问 题的发包的机器放在一个 vlan 组, 在这个 vlan 组中的服务器无法访问同机柜中 的其他机器,不在隔离组的可以互访,不受影响。 操作方法如下:vlan 1 # vlan 2 port-isolate enable # interface Vlan-interface1 ip address 222.191.251.121 255.255.255.192 # interface Aux0/0 # interface Ethernet0/1 # interface Ethernet0/2 # interface Ethernet0/3 # interface Ethernet0/4 ..... interface Ethernet0/18 # interface Ethernet0/19 # interface Ethernet0/20 # interface Ethernet0/21 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface Ethernet0/22 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface Ethernet0/23 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface Ethernet0/24 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface Ethernet0/25 port link-type hybrid port hybrid vlan 1 to 2 untagged port-isolate uplink-port vlan 2 # interface NULL0 # 说明: Ethernet0/25 为上联端口。vlan 1 Ethernet0/20 to Ethernet0/24 为 vlan2,端口隔离,相互间不能访问,可以 与 Ethernet0//25 通讯 Ethernet0/1 到 Ethernet0/19 内部端口可以相互访问,同时 与 e0/25 通讯其中 25 端口的 port-isolate uplink-port vlan 2 这条命令非常重要! 这样就实现了端口的灵活隔离。 建议机房对底层交换机进行设置,后四个端口都 隔离出来,发生过 arp 问题的机器,直接网线接入这个端口。这样以后就算再被 入侵,也不会造成 arp 影响了。 如果需要取消端口隔离,命令如下: [edongjy]interface Ethernet 0/20 [edongjy-Ethernet0/20]undo port link-type 即可。 如何配置一台出厂设置的交换机(适合新手)~如何配置一台刚刚出厂的交换机,以 H3C S3100 接入层交换机为例。先说一下如何把一台交换机恢复到出厂设置。 1、 删除 NVRAM 中的配置文件 reset saved-configuration 2、 重启 reboot一台出厂设置的交换机,里面没有任何的配置文件,我们需要做以下配置: 1) 用 console 线连接到交换机 2) 为交换机配置一个名称 sys sysname Switch1 此处命名为 Switch1 3) 为交换机配置一个 ip 地址,这个 ip 用于以后 telnet 到交换机 交换机为 2 层设备, 只能为交换机的管理 VLAN 配置一个 IP 地址, 默认情况下, 管理 VLAN 为 VLAN 1。 inte vlan-inte 1 ip add x.x.x.x x.x.x.x undo shut 4) 建立一条指向网关的默认路由 为什么要建立默认路由,默认路由可以理解为默认网关,有了这条路由,其他 vlan 的 PC 才 可以访问该交换机。 ip route-static 0.0.0.0 0.0.0.0 x.x.x.x (x.x.x.x 为 vlan1 的网关地址,即三层交换机上 VLAN1 的 ip 地址) 5) 建立用户并设置密码 local-user admin pass cipher service-type telnet level 3 6) 开启 vty 线路,并设置适当的认证模式 VTY 线路是用来提供 telnet 的, VTY 线路有多条, 编号从 0 开始。 此次以接入层交换机 S3100 为例,S3100 有 5 条 vty 0~5,为 VTY 线路启用合适的认证方式。 user-interface vty 0 4 authentication-mode scheme (scheme 模式要求提供账号和密码)7)配置 vlan 信息 配置需要的 vlan,这里新建 vlan2、3、4。 并将 e1/0/1-e1/0/5 加入到 vlan2e1/0/6-e1/0/10 加入到 vlan3e1/0/11-e1/0/15 加入到 vlan4vlan 2port e1/0/1 to e1/0/5vlan 3port e1/0/6 to e1/0/10vlan 4port e1/0/11 to e1/0/158)配置 Trunk 链路trunk 链路承载不同 vlan 的流量,交换机级联的两个端口必须配置为 trunk 模式,只有这样 vlan 的信息才能在整个交换环境中传递。这里假设 g1/1/1 为交换机堆叠的端口,需配置为 trunk 模式。inte g1/1/1port link-tpye trunkport trunk permit vlan 2 to 4 (为了避免不必要的带宽的浪费,这里建议写出允许通过的 vlan 而不是 permit all)9)保存并退出详细配置 sys sysname Switch1local-user admin password cipher G`M^B&SDBB[Q=^Q`MAF4&1!! service-type telnet level 3interface Vlan-interface1 ip address 192.168.1.3 255.255.255.0ip route-static 0.0.0.0 0.0.0.0 192.168.1.1user-interface vty 0 4 authentication-mode schemevlan 2 port e1/0/1 to e1/0/5 vlan 3 port e1/0/6 to e1/0/10 vlan 4 port e1/0/11 to e1/0/15 quit inte g1/1/1 port link-tpye trunk port trunk permit vlan 2 to 4“为什么要建立默认路由,默认路由可以理解为默认网关,有了这条路由,其他 vlan 的 PC 才可以访问该交换机。 ip route-static 0.0.0.0 0.0.0.0 x.x.x.x (x.x.x.x 为 vlan1 的网关地址,即三层交换机上 VLAN1 的 ip 地址)”我不是很明白这条默认路由和其他 vlan PC 访问该交换机有什么关系,其他 VLAN 指的是该 交换机上的 vlan 还是三层交换机的 vlan ?该交换机上的 vlan 和三层交换机上的 vlan 有区别么? 管理 vlan 默认为 vlan1, 三层上 inte vlan-inte 1 ip add 192.168.1.1 255.255.255.0 二层交换机 inte vlan-inte 1 ip add 192.168.1.2 255.255.255.0ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 如果没有这条默认路由,那么 vlan 2、3、4.。。。都不可能 telnet 到交换机。 。。 三层上的 vlan2 和接入层的 vlan2 是同一 vlan,二者没有有任何区别。 同一 vlan 的 telnet(这里的 IP 地址继续用上面我所配的) PC:telnet 192.168.1.2 交换是根据 mac 地址转发数据, mac 未知,发送 arp 请求,希望获得 192.168.1.2 的 mac 泛洪到 vlan1 所有节点, 192.168.1.1 收到该 arp 请求,应答 已经获悉 192.168.1.2 的 mac 帧被转发,telnet 会话建立。 不同的 vlan 的 telnet 这里假设是 vlan 2 的一台 PC inte vlan-inte 2 ip add 192.168.2.1 255.255.255.0 PC: ip:192.168.2.2 /24 gateway:192.168.2.1 telnet 192.168.1.2 mac 未知,发送 arp 该 arp 请求属于 vlan 2,无法泛洪到 vlan1,收不到 192.168.1.2 的 arp 应答 当数据包不知道如何转发的时候,使用默认路由,也就是网关。 向默认网关 192.168.2.1 发送该 telnet 数据包 该包达到三层交换机,查找 vlan 间路由信息 包被转发到 192.168.1.1 192.168.1.1 把该包转发到 192.168.1.2 192.168.1.2 使用默认路由 0.0.0.0 0.0.0.0 192.168.1.1 回包H3C 三层交换机配置命令大全 16:16:51 作者:佚名 来源: 浏览次数:448[Quidway]dis cur ;显示当前配置 [Quidway]display current-configuration ;显 示当前配置 [Quidway]display interfaces ;[Quidway]dis cur [Quidway]display current-configuration [Quidway]display interfaces [Quidway]display vlan all [Quidway]display version [Quidway]super password 户密码 [Quidway]sysname [Quidway]interface ethernet 0/1 [Quidway]interface vlan x;显示当前配置 ;显示当前配置 ;显示接口信息 ;显示路由信息 ;显示版本信息 ;修改特权用;交换机命名 ;进入接口视图 ;进入接口视图 ;配置 VLAN 的 IP[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 网关 [Quidway]rip [Quidway]local-user ftp [Quidway]user-interface vty 0 4 端 [S3026-ui-vty0-4]authentication-mode password 增加用户名;静态路由=;三层交换支持;进入虚拟终;设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令 [S3026-ui-vty0-4]user privilege level 3 [Quidway]interface ethernet 0/1 式 [Quidway]int e0/1 [Quidway-Ethernet0/1]duplex {half|full|auto} [Quidway-Ethernet0/1]speed {10|100|auto} [Quidway-Ethernet0/1]flow-control [Quidway-Ethernet0/1]mdi {across|auto|normal} [Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} [Quidway-Ethernet0/1]port access vlan 3 [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} [Quidway-Ethernet0/3]port trunk pvid vlan 3 [Quidway-Ethernet0/1]undo shutdown [Quidway-Ethernet0/1]shutdown [Quidway-Ethernet0/1]quit [Quidway]vlan 3 [Quidway-vlan3]port ethernet 0/1 [Quidway-vlan3]port e0/1 [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 [Quidway-vlan3]port e0/1 to e0/4 ;进入端口模式 ;配置端口工作状态 ;配置端口工作速率 ;配置端口流控 ;配置端口平接扭接 ;设置端口工作模式 ;当前端口加入到 VLAN ;设 trunk 允许的 VLAN ;设置 trunk 端口的 PVID ;激活端口 ;关闭端口 ;返回 ;创建 VLAN ;在 VLAN 中增加端口 ;简写方式 ;在 VLAN 中增加端口 ;简写方式 ;用户级别 ;进入端口模 [Quidway]monitor-port &interface_type interface_num& [Quidway]port mirror &interface_type interface_num&;指定镜像端口 ;指定被镜像端口[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像 [Quidway]description string 符 [Quidway]description [Quidway]display vlan [vlan_id] [Quidway]stp {enable|disable} 默认关闭 [Quidway]stp priority 4096 [Quidway]stp root {primary|secondary} [Quidway-Ethernet0/1]stp cost 200 [Quidway]link-aggregation e0/1 to e0/4 ingress|both [Quidway]undo link-aggregation e0/1|all [SwitchA-vlanx]isolate-user-vlan enable [SwitchA]isolate-user-vlan &x& secondary &list& vlan [Quidway-Ethernet0/2]port hybrid pvid vlan &id& [Quidway-Ethernet0/2]port hybrid pvid ;设置 vlan 的 pvid ;删除 vlan 的 pvid ;设置交换机的优先级 ;设置为根或根的备份 ;设置交换机端口的花费 ; 端口的聚合 ; 始端口为通道号 ;设置主 vlan ;设置主 vlan 包括的子 ;删除 VLAN 描述字符 ;查看 VLAN 设置 ;设置生成树, ;指定 VLAN 描述字[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的 vlan 如果包的 vlan id 与 PVId 一致,则去掉 vlan 信息. 默认 PVID=1。华为 3COM 交换机配置命令讲解教程 09:49:21 作者:佚名 来源: 浏览次数:9661、配置文件相关命令 1、配置文件相关命令 [Quidway]display current-configuration [Quidway]display saved-configuration 件 &Quidway&reset saved-configuration &Quidway&reboot &Quidway&display version ;檫除旧的配置文件 ;交换机重启 ;显示系统版本信息 ;显示当前生效的配置 ;显示 flash 中配置文件,即下次上电启动时所用的配置文&Quidway&language-mode chinese2、基本配置 [Quidway]super password [Quidway]sysname [Quidway]interface ethernet 0/1 [Quidway]interface vlan x [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 3、telnet 配置 [Quidway]user-interface vty 0 4 [S3026-ui-vty0-4]authentication-mode password [S3026-ui-vty0-4]user privilege level 3 4、端口配置 [Quidway-Ethernet0/1]duplex {half|full|auto} [Quidway-Ethernet0/1]speed {10|100|auto} [Quidway-Ethernet0/1]flow-control [Quidway-Ethernet0/1]mdi {across|auto|normal} [Quidway-Ethernet0/1]undo shutdown [Quidway-Ethernet0/2]quit 5、链路聚合配置 [DeviceA] link-aggregation group 1 mode manual [DeviceA] interface ethernet 1/0/1 组1;切换到中文模式;修改特权用户密码 ;交换机命名 ;进入接口视图 ;进入接口视图 ;静态路由=网关 ;进入虚拟终端 ;设置口令模式 ;设置口令 ;用户级别 ;配置端口工作状态 ;配置端口工作速率 ;配置端口流控 ;配置端口平接扭接 ;激活端口 ;退出系统视图 ;创建手工聚合组 1 ;将以太网端口 Ethernet1/0/1 加入聚合[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置 VLAN 的 IP 地址[S3026-ui-vty0-4]set authentication-mode password simple 222[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式[DeviceA-Ethernet1/0/1] port link-aggregation group 1 [DeviceA-Ethernet1/0/1] interface ethernet 1/0/2 1 [DeviceA-Ethernet1/0/2] port link-aggregation group 1 [DeviceA] link-aggregation group 1 service-type tunnel 环回组。 [DeviceA] interface ethernet 1/0/1 业务环回组。 [DeviceA-Ethernet1/0/1] undo stp [DeviceA-Ethernet1/0/1] port link-aggregation group 1 # 将以太网端口 Ethernet1/0/1 加入 # 在手工聚合组的基础上创建 Tunnel 业务 ;将以太网端口 Ethernet1/0/1 加入聚合组 6、端口镜像 [Quidway]monitor-port &interface_type interface_num& [Quidway]port mirror &interface_type interface_num& ;指定镜像端口 ;指定被镜像端口[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像 7、VLAN 配置 [Quidway]vlan 3 [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 配置基于 access 的 VLAN [Quidway-Ethernet0/2]port access vlan 3 配置基于 trunk 的 VLAN [Quidway-Ethernet0/2]port link-type trunk [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 注意:所有端口缺省情况下都是允许 VLAN1 的报文通过的 [Quidway-Ethernet0/2]port trunk pvid vlan 3 配置基于 Hybrid 端口的 VLAN [Quidway-Ethernet0/2]port link-type hybrid 前 Hybrid 端口 注意:缺省情况下,所有 Hybrid 端口只允许 VLAN1 通过 [Quidway-Ethernet0/2]port hybrid pvid vlan vlan-id VLAN 注意:缺省情况下,Hybrid 端口的缺省 VLAN 为 VLAN1 VLAN 描述 [Quidway]description string [Quidway]description [Quidway]display vlan [vlan_id] 私有 VLAN 配置 [SwitchA-vlanx]isolate-user-vlan enable [SwitchA]Isolate-user-vlan &x& secondary &list& [Quidway-Ethernet0/2]port hybrid pvid vlan &id& [Quidway-Ethernet0/2]port hybrid pvid ;设置主 vlan ;设置主 vlan 包括的子 vlan ;设置 vlan 的 pvid ;删除 vlan 的 pvid ;设置无标识的 vlan ;指定 VLAN 描述字符 ;删除 VLAN 描述字符 ;查看 VLAN 设置 ;设置 Hybrid 端口的缺省 ;配置端口的链路类型为 Hybrid 类型 ;允许指定的 VLAN 通过当 [Quidway-Ethernet0/2]port hybrid vlan vlan-id-list { tagged | untagged } ;设置 trunk 端口的 PVID ;设置当前端口为 trunk ;设 trunk 允许的 VLAN ;当前端口加入到 VLAN 注意:缺省情况下,端口的链路类型为 Access 类型,所有 Access 端口均属于且只属于 VLAN1 ;创建 VLAN ;在 VLAN 中增加端口[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged 如果包的 vlan id 与 PVId 一致,则去掉 vlan 信息. 默认 PVID=1。 所以设置 PVID 为所属 vlan id, 设置可以互通的 vlan 为 untagged.1、配置文件相关命令8、STP 配置 [Quidway]stp {enable|disable} [Quidway]stp mode rstp [Quidway]stp priority 4096 [Quidway]stp root {primary|secondary} ;设置生成树,默认关闭 ;设置生成树模式为 rstp ;设置交换机的优先级 ;设置为根或根的备份 [Quidway-Ethernet0/1]stp cost 200 MSTP 配置:;设置交换机端口的花费# 配置 MST 域名为 info,MSTP 修订级别为 1,VLAN 映射关系为 VLAN2~VLAN10 映射到生成树实例 1 上,VLAN20~ VLAN30 映射生成树实例 2 上。 &Sysname& system-view [Sysname] stp region-configuration [Sysname-mst-region] region-name info [Sysname-mst-region] instance 1 vlan 2 to 10 [Sysname-mst-region] instance 2 vlan 20 to 30 [Sysname-mst-region] revision-level 1 [Sysname-mst-region] active region-configuration 9、MAC 地址表的操作 在系统视图下添加 MAC 地址表项 [Quidway]mac-address { static | dynamic | blackhole } mac-address interface interface-type interface-number vlan vlan-id ;添加 MAC 地址表项 在添加 MAC 地址表项时,命令中 interface 参数指定的端口必须属于 vlan 参数指定的 VLAN,否则将添加失败。 如果 vlan 参数指定的 VLAN 是动态 VLAN,在添加静态 MAC 地址之后,会自动变为静态 VLAN。 在以太网端口视图下添加 MAC 地址表项 [Quidway-Ethernet0/2]mac-address { static | dynamic | blackhole } mac-address vlan vlan-id 在添加 MAC 地址表项时,当前的端口必须属于命令中 vlan 参数指定的 VLAN,否则将添加失败; 如果 vlan 参数指定的 VLAN 是动态 VLAN,在添加静态 MAC 地址之后,会自动变为静态 VLAN。 [Quidway]mac-address timer { aging age | no-aging } ;设置 MAC 地址表项的老化时间 注意:缺省情况下,MAC 地址表项的老化时间为 300 秒,使用参数 no-aging 时表示不对 MAC 地址表项进行老化。 MAC 地址老化时间的配置对所有端口都生效,但地址老化功能只对动态的(学习到的或者用户配置可老化的)MAC 地址表项起作用。 [Quidway-Ethernet0/2]mac-address max-mac-count count ;设置端口最多可以学习到的 MAC 地址数量 注意:缺省情况下,没有配置对端口学习 MAC 地址数量的限制。反之,如果端口启动了 MAC 地址认证和端口安全功 能,则不能配置该端口的最大 MAC 地址学习个数。 [Quidway-Ethernet0/2]port-mac start-mac-address ;配置以太网端口 MAC 地址的起始值 在缺省情况下,E126/E126A 交换机的以太网端口是没有配置 MAC 地址的,因此当交换机在发送二层协议报文(例 如 STP)时,由于无法取用发送端口的 MAC 地址, 将使用该协议预置的 MAC 地址作为源地址填充到报文中进行发送。在实际组网中,由于多台设备都使用相同的源 MAC 地址发送二层协议报文,会造成在某台设备的不 同端口学习到相同 MAC 地址的情况,可能会对 MAC 地址表的维护产生影响。 [Quidway]display mac-address [Quidway]display port-mac 10、GVRP 配置 ;显示地址表信息 ;显示地址表动态表项的老化时间 ;显示用户配置的以太网端口 MAC 地址的起始值[Quidway]display mac-address aging-time [SwitchA] gvrp# 开启全局 GVRP # 在以太网端口 Ethernet1/0/1 上开启 GVRP 配置 GVRP 端口注册模式 缺[SwitchA-Ethernet1/0/1] gvrp 省为 normal[SwitchE-Ethernet1/0/1] gvrp registration { fixed | forbidden | normal } #[SwitchA] display garp statistics [ interface interface-list ] ;显示 GARP 统计信息 [SwitchA] display garp timer [ interface interface-list ] [SwitchA] display gvrp status ;显示 GARP 定时器的值 ;显示 GVRP 的全局状态信息 [SwitchA] display gvrp statistics [ interface interface-list ] ;显示 GVRP 统计信息 [SwitchA] display gvrp statusreset garp statistics [ interface interface-list ] ;清除 GARP 统计信息 11、DLDP 配置 [SwitchA] interface gigabitethernet 1/1/1 [SwitchA-GigabitEthernet1/1/1] duplex full [SwitchA-GigabitEthernet1/1/1] speed 1000 [SwitchA] dldp enable [SwitchA] 省为 auto [SwitchA] display dldp 1 # 查看 DLDP 状态。 当光纤交叉连接时,可能有两个或三个端口处于 Disable 状态,剩余端口处于 Inactive 状态。 当光纤一端连接正确,一端未连接时: 如果 DLDP 的工作模式为 normal,则有收光的一端处于 Advertisement 状态,没有收光的一端处于 Inactive 状态。 如果 DLDP 的工作模式为 enhance,则有收光的一端处于 Disable 状态,没有收光的一端处于 Inactive 状态。 dldp reset 命令在全局下可以重置所有端口的 DLDP 状态,在接口下可以充值该端口的 DLDP 状态 # 全局开启 DLDP。 缺省为 normal 缺 # 配置端口工作在强制全双工模式,速率为 1000Mbits/s。[SwitchA] dldp interval 15 # 设置发送 DLDP 报文的时间间隔为 15 秒。 dldp work-mode { enhance | normal } # 配置 DLDP 协议的工作模式为加强模式。 [SwitchA] dldp unidirectional-shutdown { auto | manual } # 配置 DLDP 单向链路操作模式为自动模式。1、配置文件相关命令12、端口隔离配置 通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数 据的隔离,既增强了网络的安全性,也为用户 提供了灵活的组网方案。 [Sysname] interface ethernet1/0/2 # 将以太网端口 Ethernet1/0/2 加入隔离组。 [Sysname-Ethernet1/0/2] port isolate [Sysname]display isolate port # 显示隔离组中的端口信息 配置隔离组后,只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间 的通信不会受到影响。 端口隔离特性与以太网端口所属的 VLAN 无关。 当汇聚组中的某个端口加入或离开隔离组后,本设备中同一汇聚组内的其它端口,均会自动加入或离开该隔离组。 对于既处于某个聚合组又处于某个隔离组的一组端口,其中的一个端口离开聚合组时不会影响其他端口,即其他端 口仍将处于原聚合组和原隔离组中。 如果某个聚合组中的端口同时属于某个隔离组,当在系统视图下直接删除该聚合组后,该聚合组中的端口仍将处于 该隔离组中。 当隔离组中的某个端口加入聚合组时,该聚合组中的所有端口,将会自动加入隔离组中。 13、端口安全配置 [Switch] port-security enable # 启动端口安全功能 [Switch] interface Ethernet 1/0/1 # 进入以太网 Ethernet1/0/1 端口视图 # 设置端口允许接入的最大 MAC 地址数为 80 # 配置端口的安全模式为 autolearn [Switch-Ethernet1/0/1] port-security max-mac-count 80 [Switch-Ethernet1/0/1] port-security port-mode autolearn 作为 Security MAC 添加到 VLAN 1 中 [Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily # 设置 Intrusion Protection 特性被触发后,暂时关闭该端口 [Switch]port-security timer disableport 30 14、端口绑定配置 通过端口绑定特性,网络管理员可以将用户的 MAC 地址和 IP 地址绑定到指定的端口上。进行绑定操作后,交换机 只对从该端口收到的指定 MAC 地址和 IP 地 址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控。 [SwitchA-Ethernet1/0/1] am user-bind mac-addr 03 ip-addr 10.12.1.1 # 将 Host 1 的 MAC 地址 和 IP 地址绑定到 Ethernet1/0/1 端口。 有的交换机上绑定的配置不一样 [SwitchA] interface ethernet 1/0/2 [SwitchA-Ethernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 05 端口过滤配置 [SwitchA] interface ethernet1/0/1 [SwitchA] dhcp-snooping # 配置端口 Ethernet1/0/1 的端口过滤功能。 # 关闭时间为 30 秒。[Switch-Ethernet1/0/1] mac-address security 03 vlan 1 # 将 Host 的 MAC 地址 03[SwitchA-Ethernet1/0/1] ip check source ip-address mac-address # 开启 DHCP Snooping 功能。 # 设置与 DHCP 服务器相连的端口 Ethernet1/0/2 为信任端口。 [SwitchA] interface ethernet1/0/2[SwitchA-Ethernet1/0/2] dhcp-snooping trust 在端口 Ethernet1/0/1 上启用 IP 过滤功能,防止客户端使用伪造的不同源 IP 地址对服务器进行攻击 15、BFD 配置 Switch A、Switch B、Switch C 相互可达,在 Switch A 上配置静态路由可以到达 Switch C,并使能 BFD 检测功能。 # 在 Switch A 上配置静态路由,并使能 BFD 检测功能,通过 BFD echo 报文方式实现 BFD 功能。 &SwitchA& system-view [SwitchA] bfd echo-source-ip 123.1.1.1 [SwitchA] interface vlan-interface 10 [SwitchA-vlan-interface10] bfd min-echo-receive-interval 300 [SwitchA-vlan-interface10] bfd detect-multiplier 7 [SwitchA-vlan-interface10] quit [SwitchA] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet # 在 Switch A 上打开 BFD 功能调试信息开关。 &SwitchA& debugging bfd event &SwitchA& debugging bfd scm &SwitchA& terminal debugging 在 Switch A 上可以打开 BFD 功能调试信息开关,断开 Hub 和 Switch B 之间的链路,验证配置结果。验证结果显示, Switch A 能够快速感知 Switch A 与 Switch B 之间链路的变化。 16、QinQ 配置 Provider A、Provider B 之间通过 Trunk 端口连接,Provider A 属于运营商网络的 VLAN1000,Provider B 属于运 营商网络的 VLAN2000。 Provider A 和 Provider B 之间,运营商采用其他厂商的设备,TPID 值为 0x8200。 希望配置完成后达到下列要求: Customer A 的 VLAN10 的报文可以和 Customer B 的 VLAN10 的报文经过运营商网络的 VLAN1000 转发后互通; Customer A 的 VLAN20 的报文可以 和 Customer C 的 VLAN20 的报文经过运营商网络的 VLAN2000 转发后互通。 [ProviderA] interface ethernet 1/0/1 # 配置端口为 Hybrid 端口, 且允许 VLAN10, VLAN20, VLAN1000 和 VLAN2000 的报文通过,并且在发送时去掉外层 Tag。 [ProviderA-Ethernet1/0/1] port link-type hybrid [ProviderA-Ethernet1/0/1] port hybrid vlan 10 20
untagged [ProviderA-Ethernet1/0/1] qinq vid 1000 [ProviderA-Ethernet1/0/1-vid-1000] quit [ProviderA-Ethernet1/0/1] qinq vid 2000 # 将来自 VLAN20 的报文封装 VLAN ID 为 2000 的外层 Tag。 [ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20 [ProviderA] interface ethernet 1/0/2 # 配置端口的缺省 VLAN 为 VLAN1000。 [ProviderA-Ethernet1/0/2] port access vlan 1000 [ProviderA-Ethernet1/0/2] qinq enable # 配置端口的基本 QinQ 功能,将来自 VLAN10 的报文封装 VLAN ID 为 1000 的外层 Tag。 [ProviderA] interface ethernet 1/0/3 # 配置端口为 Trunk 端口,且允许 VLAN1000 和 VLAN2000 的报文通过。 [ProviderA-Ethernet1/0/3] port link-type trunk [ProviderA-Ethernet1/0/3] port trunk permit vlan
[ProviderA-Ethernet1/0/3] qinq ethernet-type 8200 # 为与公共网络中的设备进行互通,配置端口添加外层 Tag 时采用的 TPID 值为 0x8200。 [ProviderB] interface ethernet 1/0/1 # 配置端口为 Trunk 端口,且允许 VLAN1000 和 VLAN2000 的报文通过。 [ProviderB-Ethernet1/0/1] port link-type trunk [ProviderB-Ethernet1/0/1] port trunk permit vlan
[ProviderB-Ethernet1/0/1] qinq ethernet-type 8200 # 为与公共网络中的设备进行互通,配置端口添加外层 Tag 时采用的 TPID 值为 0x8200。 [ProviderB-Ethernet1/0/1] quit [ProviderB] interface ethernet 1/0/2 # 配置端口的缺省 VLAN 为 VLAN2000。 [ProviderB-Ethernet1/0/2] port access vlan 2000 [ProviderB-Ethernet1/0/2] qinq enable # 配置端口的基本 QinQ 功能,将来自 VLAN20 的报文封装 VLAN ID 为 2000 的外层 Tag。 H3C 交换机典型访问控制列表(ACL)配置实例 回复:2 阅读:3241 # 将来自 VLAN10 的报文封装 VLAN ID 为 1000 的外层 Tag。 [ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10 一组网需求:1.通过配置基本访问控制列表,实现在每天 8:00~18:00 时间段内对源 IP 为 10.1.1.2 主机发出报文的过滤; 2. 要求配置高级访问控制列表, 禁止研发部门与技术支援部门之间互访, 并限制研发部门在上班时间 8:00 至 18:00 访问工资查询服务器; 3.通过二层访问控制列表,实现在每天 8:00~18:00 时间段内对源 MAC 为 00e0-fc01-0101 的报文进行过滤。 二 组网图:三 1 共用配置 1.根据组网图,创建四个 vlan,对应加入各个端口 &H3C&system-view [H3C]vlan 10 [H3C-vlan10]port GigabitEthernet 1/0/1 [H3C-vlan10]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/2 [H3C-vlan20]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/3 [H3C-vlan20]vlan 30 [H3C-vlan30]port GigabitEthernet 1/0/3 [H3C-vlan30]vlan 40 [H3C-vlan40]port GigabitEthernet 1/0/4 [H3C-vlan40]quit 2.配置各 VLAN 虚接口地址 [H3C]interface vlan 10 H3C 00 系列交换机典型访问控制列表配置配置步骤: [H3C-Vlan-interface10]ip address 10.1.1.1 24 [H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24 [H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24 [H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24 [H3C-Vlan-interface40]quit 3.定义时间段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求 1 配置(基本 ACL 配置) 1.进入 2000 号的基本访问控制列表视图 [H3C-GigabitEthernet1/0/1] acl number 2000 2.定义访问规则过滤 10.1.1.2 主机发出的报文 [H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei 3.在接口上应用 2000 号 ACL [H3C-acl-basic-2000] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000 [H3C-GigabitEthernet1/0/1] quit 需求 2 配置(高级 ACL 配置) 1.进入 3000 号的高级访问控制列表视图 [H3C] acl number 3000 2.定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3.定义访问规则禁止研发部门在上班时间 8:00 至 18:00 访问工资查询服务器 [H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000] quit 4.在接口上用 3000 号 ACL [H3C-acl-adv-3000] interface GigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000 需求 3 配置(二层 ACL 配置) 1.进入 4000 号的二层访问控制列表视图 [H3C] acl number 4000 2.定义访问规则过滤源 MAC 为 00e0-fc01-0101 的报文 [H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei 3.在接口上应用 4000 号 ACL [H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4 [H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000 2 需求 2 配置 1.进入 3000 号的高级访问控制列表视图 H3C 5500-SI
系列交换机典型访问控制列表配置 [H3C] acl number 3000 2.定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3.定义访问规则禁止研发部门在上班时间 8:00 至 18:00 访问工资查询服务器 [H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000] quit 4.定义流分类 [H3C] traffic classifier abc [H3C-classifier-abc]if-match acl 3000 [H3C-classifier-abc]quit 5.定义流行为,确定禁止符合流分类的报文 [H3C] traffic behavior abc [H3C-behavior-abc] filter deny [H3C-behavior-abc] quit 6.定义 Qos 策略,将流分类和流行为进行关联 [H3C]qos policy abc [H3C-qospolicy-abc] classifier abc behavior abc [H3C-qospolicy-abc] quit 7.在端口下发 Qos policy [H3C] interface g1/1/2 [H3C-GigabitEthernet1/1/2] qos apply policy abc inbound 8.补充说明: ????????? ????????? 策略中进行关联; ????????? ????????? 发。 四 配置关键点: 1.time-name 可以自由定义; 2.设置访问控制规则以后,一定要把规则应用到相应接口上,应用时注意 inbound 方向应与 rule 中 source 和 destination 对应; 3.S5600 系列交换机只支持 inbound 方向的规则,所以要注意应用接口的选择; QoS 策略会按照配置顺序将报文和 classifier 相匹配,当报文和某一个 classifier 匹配后, 将 QoS 策略应用到端口后,系统不允许对应修改义流分类、流行为以及 QoS 策略,直至取消下 执行该 classifier 所对应的 behavior,然后策略执行就结束了,不会再匹配剩下的 classifier; acl 只是用来区分数据流,permit 与 deny 由 filter 确定; 如果一个端口同时有 permit 和 deny 的数据流,需要分别定义流分类和流行为,并在同一 QoS10、Quidway 交换机维护 显示系统版本信息:display version 显示诊断信息:display diagnostic-information 显示系统当前配置:display current-configuration 显示系统保存配置: display saved-configuration 显示接口信息:display interface 显示路由信息:display ip routing-table 显示 VLAN 信息:display vlan 显示生成树信息:display stp 显示 MAC 地址表:display mac-address 显示 ARP 表信息:display arp 显示系统 CPU 使用率:display cpu 显示系统内存使用率:display memory 显示系统日志:display log 显示系统时钟:display clock 验证配置正确后,使用保存配置命令:save 删除某条命令,一般使用命令: undo
更多搜索:
All rights reserved Powered by
文档资料库内容来自网络,如有侵犯请联系客服。}
我要回帖
更多关于 华为路由器怎么样 的文章
更多推荐
- ·请问莱斯曼瓷砖的生产基地在哪里陶瓷陶瓷的性价比怎么样?
- ·怎样设置微信共享定位怎么设置实时位置
- ·微信共享虚拟位置软件如何共享实时位置?
- ·在微信上如何进行微信好友分组怎么分?
- ·隐形战甲产品提供质保期内更换的配件有没有保质期服务吗?
- ·无线u盘怎样在电脑上使用怎么使用明澈u盘
- ·手机上的百家号注册怎么上传封面和类型
- ·请问谁有德国威能和菲斯曼哪个好这张照片的原文件
- ·求一个做个电商网站多少钱的后台和FTP
- ·请问 电脑主机有多少瓦多少瓦?32寸液晶显示屏多少瓦?
- ·漫游宝超人在国内能用吗,漫游宝超人官网,用后评价
- ·苹果6sp和红米note4和苹果6sp那个好5性能那个好
- ·手机麻麻是嘴唇麻麻应该做什么检查的?
- ·求万能的网友三部篮球电影的百度云。
- ·华硕X470I主板微星X299主板,配7800X,我想把内存提高到128G,能不能插三星的ECC内存条32G单条
- ·接长图的软件伴奏那个软件
- ·拜托有奇怪的搭档口哨声播放百度云资源吗 谢谢~
- ·苹果7手机苹果id账号及密码大全和密码都忘记了,手机不能用了怎么办?
- ·Win2003 64位系统 下载 Win 7/8.1/10CPU:Intel Core i5-4570 3.20G
- ·PS4eve欧服华人正面决战账号注册失败,老是提示网络错误什么什么的,求教程
- ·三层华为路由器app官网交换一台,二层两台,PC4台,pc全部自动获取,要求 互通,怎么配置
- ·请问你有汉责的吗当责 百度云云的
- ·电脑缝纫机坏了怎么修,要回厂修,有能帮的吗
- ·东尚蜂鸟最新房价团队的安全性高吗?哪位清楚?
- ·问下东营恩光共赢商贸送智能手环销售的中央系统是什么牌子的?
- ·在网上看到网络辽源今日广告公司招聘内勤文员 文员数名 工作地址温州鹿城 保底3000加提成 ,有谁知道这具体是做什么?
- ·快充知多少,目前手机支持的快无线充方案公司
- ·ios为什么充值不了呢点击充值金额,都不苹果总是跳出语音控制
- ·叫你如何添加boot省电补丁技术.让你不再纠结电量
- ·什么拍照软件排行榜2018可以永远不断网络
- ·大家知道蜂鸟众包兼职要押金吗团队吗?这个平台安不安全?
- ·为什么我的电脑玩先知抽堡垒还是森林好之夜和森林老是死机?
- ·华硕飞行堡垒fx80gm进不了pe
- ·这个情侣头像卡通呆萌2017是什么
- ·做过植发后取发区出现斑秃快1年了,网上出现的失败是真的?
- ·北欧世家皮草商标注册了吗
