三十功名尘与土、八千里路云和月
分类: 网络与安全
2015-09-15 10:26:57
华为三层交换机S3900配置摘要
一、视图的转换
登录后的视图
#这是用户视图
<Quidway>
#进入了系统视图
<Quidway>system-view
System View: return to User View with Ctrl+Z.
[Quidway] 已经进入了系统视图,按Ctrl+Z.可以返回用户视图<Quidway>
二、设置主机名和IP地址
在系统视图下操作
#添加主机名和IP地址
[Quidway]ip host gdkm 192.168.1.1
[Quidway]
#查看主机名和IP地址
[Quidway]display ip host
Host Age Flags Address
gdkm 0 static 192.168.1.1
[Quidway]
#删除主机名和IP地址
[Quidway]undo ip host gdkm
[Quidway]
三、VLAN接口操作(即VLAN的IP配置)
# 进入VLAN接口1
[Quidway] interface vlan-interface 1
# 配置VLAN接口1(vlan1的IP)的IP地址
[Quidway-Vlan-interface1] ip address 129.2.2.1 255.255.255.0
#一个VLAN接口可以有5个IP,但只有一个主的,其他的是附加的,而且不能在同一个网段。
[Quidway-Vlan-interface1] ip address 129.2.200.1 255.255.255.0 sub
# 显示VLAN接口的(即VLAN的)IP地址
[Quidway-Vlan-interface2]display ip interface
或者[Quidway]display interface Vlan-interface 2
# 删除VLAN接口1(VLAN1的IP)的IP地址
[Quidway-Vlan-interface1]undo ip address 129.2.2.1 255.255.255.0
四、VLAN操作
# 创建VLAN2并进入其视图。
[Quidway] vlan 2
# 向VLAN2中加入端口Ethernet1/0/1和Ethernet1/0/2。
[Quidway-vlan2] port ethernet1/0/1 ethernet1/0/2
# 创建VLAN3并进入其视图。
[Quidway-vlan2] vlan 3
# 向VLAN3中加入端口Ethernet1/0/3和Ethernet1/0/4。
[Quidway-vlan3] port ethernet1/0/3 ethernet1/0/4
# 删除VLAN3中的端口Ethernet1/0/3和Ethernet1/0/4。
[Quidway-vlan3] undo port ethernet1/0/3 ethernet1/0/4
#在任意视图下显示VLAN的IP及VLAN的端口
[Quidway-vlan2] display vlan 1
[Quidway-vlan2] display vlan 2
[Quidway-vlan2] display vlan all
#在任意视图下显示端口属性
[Quidway] display interface
五、用户管理
设置登录模式(二种用户模式)
# VTY用户模式
[Quidway]user-interface vty 0
[Quidway-ui-vty0]
[Quidway-ui-vty0]authentication-mode ?
none Login without checking不用用户名和密码
password Use terminal interface password不用用户名,但要输密码
scheme Use RADIUS scheme要输用户名和密码
[Quidway-ui-vty0]authentication-mode scheme
# AUX用户模式
[Quidway]user-interface aux 0
[Quidway-ui-aux0]
[Quidway-ui-aux0]authentication-mode ?
none Login without checking不用用户名和密码
password Use terminal interface password不用用户名,但要输密码
scheme Use RADIUS scheme要输用户名和密码
[Quidway-ui-aux0]authentication-mode scheme
设置用户
[Quidway]local-user ldy 添加用户或进入用户
[Quidway-luser-ldy]password simple gdkm85292581 设置密码或修改密码
[Quidway-luser-ldy]undo password 删除密码
[Quidway-luser-ldy]service-type telnet level 3 设置或修改此用户可通过TELNET连接且等级为3(共有0,1,2,3四个等级,3的权限最高)
[Quidway-luser-ldy] undo service-type …….可删除服务类型
[Quidway-luser-ldy] undo level .可删除等级
查看用户情况
# 查看用户界面用户
[Quidway]display users all
# 或者
[Quidway-ui-aux0]display user-interface
Idx Type Tx/Rx Modem Privi Auth Int
F 0 AUX 0 9600 - 3 N -
1 AUX 1 9600 - 3 N -
2 AUX 2 9600 - 3 N -
3 AUX 3 9600 - 3 N -
4 AUX 4 9600 - 3 N -
5 AUX 5 9600 - 3 N -
6 AUX 6 9600 - 3 N -
7 AUX 7 9600 - 3 N -
8 VTY 0 - 0 A -
9 VTY 1 - 0 P -
10 VTY 2 - 0 P -
11 VTY 3 - 0 P -
12 VTY 4 - 0 P -
* : Current UI is active. 当前用户已经激活
F : Current UI is active and work in async mode.
Idx : Absolute index of UIs.
Type : Type and relative index of UIs.
Privi: The privilege of UIs.
Auth : The authentication mode of UIs.
Int : The physical location of UIs.
A : Authentication use AAA. 设置了用户模式为scheme,即要输用户名和密码的用户模式
L : Authentication use local database.
N : Current UI need not authentication. 用户模式为NONE
P : Authentication use current UI's password. 用户模式为PASSWORD,即只要输密码的。
# 或者
[Quidway]display local-user
The contents of local user gdkm:
State: Active ServiceType Mask: T允许TELNET登录
Idle-cut: Disable
Access-limit: Disable Current AccessNum: 0
Bind location: Disable
Vlan ID: Disable 登录进来的VLAN
IP address: Disable 登录进来的IP地址
MAC address: Disable 登录进来的硬件地址
User Privilege: 3 权限级别为3,即最大权限
The contents of local user ldy:
State: Active ServiceType Mask: None 不允许任何连接方式
Idle-cut: Disable
Access-limit: Disable Current AccessNum: 0
Bind location: Disable
Vlan ID: Disable 登录进来的VLAN
IP address: Disable 登录进来的IP地址
MAC address: Disable 登录进来的硬件地址
没有显示权限级别,即权限级别为0,最低权限。
Total 2 local user(s) Matched, 2 listed.
ServiceType Mask Meaning: C--Terminal F--FTP L--LanAccess S--SSH T—Telnet 五种连接方式的字母代号
访问控制列表典型配置案例
1. 组网需求
公司企业网通过Switch的百兆端口实现各部门之间的互连。财务部门的工资查询服务器由Ethernet1/0/1端口接入(子网地址129.110.1.2)。要求正确配置ACL,限制其它部门在上班时间8:00至18:00访问工资服务器。
2. 组网图
图1-1 访问控制典型配置举例
3. 配置步骤
& 说明:
以下的配置,只列出了与ACL配置相关的命令。
(1) 定义时间段
# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 working-day
# 查看时间段
[Quidway]display time-range all
# 删除时间段
[Quidway]undo time-range name huawei
(2) 定义到工资服务器的ACL
# 进入3000号的高级访问控制列表视图。
[Quidway] acl number 3000
# 定义其它部门到工资服务器的访问规则。
[Quidway-acl-adv-3000]
rule 1 deny ip source any destination 129.110.1.2
# 查看ACL
[Quidway]display acl all
# 删除ACL(在删除前必须先取消激活这条ACL)
[Quidway]undo acl number 3000
(3) 激活ACL。
# 将3000号ACL激活。
[Quidway] interface ethernet1/0/1
如果是华为S6502三层交换机,在使用packet-filter命令前必须先输入qos命令再回车,才会有packet-filter命令。
[Quidway-Ethernet1/0/1] packet-filter inbound ip-group 3000
#取消3000号ACL激活
[Quidway]interface Ethernet 1/0/1
[Quidway-Ethernet1/0/1]undo packet-filter inbound ip-group 3000
1. 组网需求
通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为
2. 组网图
图1-2 访问控制典型配置举例
3. 配置步骤
& 说明:
以下的配置,只列出了与ACL配置相关的命令。
(1) 定义时间段
# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2) 定义源IP为
# 进入2000号的基本访问控制列表视图。
[Quidway] acl number 2000
# 定义源IP为
[Quidway-acl-basic-2000]
rule 1 deny source
(3) 激活ACL。
# 将2000号ACL激活。
[Quidway] interface ethernet1/0/1
[Quidway-Ethernet1/0/1] packet-filter inbound ip-group 2000
1. 组网需求
通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。(在交换机的Ethernet1/0/1进行本项配置)
2. 组网图
图1-3 访问控制典型配置举例
3. 配置步骤
& 说明:
以下的配置,只列出了与ACL配置相关的命令。
(1) 定义时间段
# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2) 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL
# 进入4000号的二层访问控制列表视图。
[Quidway] acl number 4000
# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff dest 00e0-fc01-0303 ffff-ffff-ffff time-range huawei
(3) 激活ACL。
# 将4000号ACL激活。
[Quidway] interface ethernet1/0/1
[Quidway-Ethernet1/0/1] packet-filter inbound link-group 4000
1. 组网需求
通过用户自定义访问控制列表,实现在每天8:00~18:00时间段内将所有的TCP报文过滤出。
2. 组网图
图1-4 访问控制典型配置举例
3. 配置步骤
& 说明:
以下的配置,只列出了与ACL配置相关的命令。
(1) 定义时间段
# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2) 定义TCP报文的ACL
# 进入5000号用户自定义访问控制列表视图。
[Quidway] acl number 5000
# 定义TCP报文的流分类规则。
[Quidway-acl-user-5000] rule 1 deny 06 ff 35 time-range huawei
(3) 激活ACL。
# 将5000号ACL激活。
[Quidway] interface ethernet1/0/1
[Quidway-Ethernet1/0/1] packet-filter inbound user-group 5000
路由操作
显示路由表
# 显示当前路由表
[Quidway]display ip routing-table
【视图】任意视图
【参数】无
【描述】display ip routing-table命令用来查看路由表的摘要信息。该命令以摘要形式显示路由表信息,每一行代表一条路由,内容包括:目的地址/掩码长度、协议、优先级、度量值、下一跳、输出接口。
使用display ip routing-table命令仅能查看到当前被使用的路由,即最佳路由。
【举例】查看当前路由表的摘要信息。
<Quidway> display ip routing-table
Routing Table: public net
Destination/Mask Protocol Pre Cost Nexthop Interface
127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
表1-1 display ip routing-table命令显示信息解释
|
域名 |
意义 |
|
Destination/Mask |
目的地址/掩码长度 |
|
Protocol |
发现该路由的路由协议 |
|
Pre |
路由的优先级 |
|
Cost |
路由的开销值 |
|
Nexthop |
此路由的下一跳地址 |
|
Interface |
输出接口,即到该目的网段的数据包将从此接口发出 |
2、静态路由配置
#配置静态路由的命令及注解
ip route-static ip-address { mask | mask-length } { interface-type interface-number | next-hop } [ preference preference-value ] [ reject | blackhole ]
undo ip route-static ip-address { mask | mask-length } [ interface-type interface-number | next-hop ] [ preference preference-value ] [ reject blackhole ]
【视图】系统视图
【参数】
ip-address:目的IP地址,用点分十进制格式表示。
mask:掩码。
mask-length:掩码长度。由于要求32位掩码中的“
interface-type interface-number:指定下一跳出接口。其中,null接口是一种虚拟接口,到这个接口的数据包会被立即丢弃,能够减少系统的负荷。
next-hop:指定该路由的下一跳IP地址(点分十进制格式)。
preference-value:为该路由的优先级别,范围1~255。缺省值为60。
reject:指明为不可达路由。当到某一目的地的静态路由具有“reject”属性时,任何去往该目的地的IP报文都将被丢弃,并且通知源主机目的地不可达。
blackhole:指明为黑洞路由。当去往某一目的地的静态路由具有“blackhole”属性时,无论配置的下一跳地址是什么,该路由的出接口均为Null 0接口,任何去往该目的地的IP报文都将被丢弃,并且不通知源主机。
# 配置缺省路由的下一跳为192.168.1.254
[Quidway]
ip route-static
# 配置静态路由:目标IP范围为125.216.192.0 255.255.255.0,下一跳为192.168.1.253
[Quidway]ip route-static 125.216.192.0 255.255.255.0 192.168.1.253
# 删除全部静态路由
【命令】delete static-routes all
【视图】系统视图
【参数】无
【描述】delete static-routes all命令用来删除全部静态路由。使用本命令删除静态路由时,系统会提示确认,确认后才会删除所配置的全部静态路由。相关配置可参考命令ip route-static和display ip routing-table。
【举例】删除路由器的全部静态路由。
[Quidway] delete static-routes all
Are you sure to delete all the unicast static routes?[Y/N]y
# 删除某一条静态路由:删除目标IP范围为125.216.192.0 255.255.255.0的静态路由。
[Quidway]undo ip route-static 125.216.192.0 255.255.255.0
ARP配置
ARP映射表既可以动态维护,也可以手工维护。通常将用户手工配置的IP地址到MAC地址的映射,称之为静态ARP。通过相关的手工维护命令,用户可以显示、添加、删除ARP映射表中的映射项。
ARP配置包括:
l 手工添加/删除静态ARP映射项
l 配置动态ARP老化定时器的时间
l 使能/关闭ARP表项的检查功能
1、手工添加/删除静态ARP映射项
静态ARP映射项可以在系统视图或以太网端口视图下配置。在系统视图下既可以配置全局静态ARP映射项,也可以配置指定出端口的静态ARP映射项;在以太网端口视图下,所在端口即指定为静态ARP的出端口。
请在系统视图或以太网端口视图下进行下列配置。
表2-1 手工添加/删除静态ARP映射项
|
操作 |
命令 |
|
手工添加静态ARP映射项(系统视图) |
arp static ip-address mac-address [ vlan-id { interface-type interface-number | interface-name } ] |
|
手工添加静态ARP映射项(以太网端口视图) |
arp static ip-address mac-address vlan-id |
|
手工删除静态ARP映射项(系统视图或以太网端口视图) |
undo arp ip-address |
需要注意的是:
l 静态ARP映射项在以太网交换机正常工作时间一直有效,但如果某ARP映射项所对应的VLAN被删除,则该ARP表项也被删除。动态ARP映射项的缺省有效时间为20分钟。
l 参数vlan-id必须是用户已经创建好的VLAN的ID,且vlan-id参数后面指定的以太网端口必须属于这个VLAN。
l 如果某端口为聚合端口或启动了LACP协议,则不能被指定为静态ARP的出端口。
缺省情况下,系统ARP映射表为空,由动态ARP协议获取地址映射。
2、配置动态ARP老化定时器的时间
[Quidway]arp timer aging 20 设置老化时间为20分钟
[Quidway]undo arp timer aging 删除老化时间设置,恢复为默认的20分钟
3、使能/关闭ARP表项的检查功能
[Quidway]arp check enable 设置为开
[Quidway]undo arp check enable 设置检查功能为关闭
