华为交换机配置命令大全
1.1 产品简介
随着Internet(因特网)的高速发展,人们对通信的需求已逐渐从传统的电话、传真、电报等低速业务向高速的Internet接入、可视电话、视频点播等宽带业务领域延伸,用户对上网速率的需求也越来越高。在这种需求条件下,以太网接入因其成本低、速度高、使用简单而倍受市场的关注。面对宽带网络建设的迅猛发展,华为公司根据不同的客户类型需求,推出了Quidway系列以太网交换机。
Quidway S2008B/Quidway S2016B/Quidway S2026B以太网交换机是华为公司自主开发的三款二层线速以太网交换产品,它除了能提供传统以太网的功能外,还针对楼道级交换机的特点,从软件、硬件及结构造型等方面进行了优化设计,因而特别适合于以太网宽带接入的要求。
Quidway S2008B/Quidway S2016B以太网交换机均为44mm高的盒式设备,可以壁挂安装。S2008B以太网交换机提供8个固定的10/100Base-TX自适应端口,S2016B以太网交换机提供16个固定的10/100Base-TX自适应端口,此外两者都提供1个10/100Base-TX自适应上行端口及1个用于配置的Console口。另外S2016B以太网交换机还提供1个扩展模块插槽,可选插100Base-FX多模光纤接口模块或100Base-FX单模光纤接口模块。
Quidway S2026B以太网交换机为42mm高的盒式设备,可以壁挂安装,也可以通过19英寸机架安装。Quidway S2026B以太网交换机提供24个固定的10/100Base-TX自适应端口、1个100Base-TX上行端口(实际为1个100Base-TX上行端口复用为1个MDIX端口和1个MDI端口,同时只能有1个端口工作)、1个用于配置的Console口和1个扩展模块插槽,可选插100Base-FX多模光纤接口模块或100Base-FX单模光纤接口模块。
Quidway S2008B/Quidway S2016B/Quidway S2026B以太网交换机支持:
l 宽带小区以太网接入
l 企业网和园区网组网
l 组播服务,支持组播音频/视频服务
在本手册中,Quidway S2008B/Quidway S2016B/Quidway S2026B以太网交换机简称为S2000B系列以太网交换机。
1.2 功能特性列表
表1-1 功能特性列表
业务
实现
线速二层交换
所有端口支持线速转发
交换容量:1.8Gbps/3.6Gbps/5.2Gbps(S2008B/S2016B/S2026B)
包转发率:1.3Mpps/2.6Mpps/3.9Mpps(S2008B/S2016B/S2026B)
交换模式
存储转发模式(Store and Forward)
VLAN(Virtual Local Area Network)
最多支持32个基于端口的VLAN
QoS(Quality of Service)
按端口设置转发优先级,支持2个优先级设置
端口汇聚
S2016B支持Ethernet0/15和Ethernet0/16两个端口的汇聚
S2026B支持Ethernet0/23和Ethernet0/24两个端口的汇聚
端口镜像
支持基于端口的镜像,将特定端口的流量全部复制到监控端口
MAC地址表
地址自学习
地址表规格:
最多支持4K个单播MAC地址,2个组播MAC地址(HGMP启动后将占用ID为0的组播地址,如果该地址已存在,则会被覆盖)
流控
支持IEEE 802.3x流控(全双工)
支持背压式流控(半双工)
加载与升级
支持通过串口以XModem协议实现加载升级
支持通过华为组管理协议HGMP(Huawei Group Management Protocol)实现远程加载升级
管理
支持命令行接口CLI(Command Line Interface)配置
支持通过Console口配置
支持HGMP Client
维护
支持状态查询信息输出
支持通过HGMP进行远程维护
支持上行端口远端馈电(仅限于S2008B/S2016B直流设备)
第2章 登录以太网交换机
2.1 命令行接口
S2000B系列以太网交换机向用户提供一系列的配置命令以及命令行接口,以方便用户配置和管理。命令行接口有如下特性:
l 通过Console口进行本地配置。
l 通过HGMP进行远程配置。
l 配置命令分级保护,确保未授权用户无法侵入交换机。
l 用户可以随时键入“?”以获得在线帮助。
l 提供种类丰富、内容详尽的调试信息,帮助诊断网络故障。
l 提供类似Doskey的功能,可以执行某条历史命令。
l 命令行解释器对关键字采取不完全匹配的搜索方法,用户只需键入无冲突关键字即可解释,如display命令,键入disp即可。
2.1.1 命令行视图
S2000B系列以太网交换机的命令行视图是针对不同的配置要求实现的,它们之间有联系又有区别,比如,与S2000B系列建立连接即进入用户视图,它只完成查看运行状态和统计信息的简单功能,再键入system-view进入系统视图,在系统视图下,可以键入不同的命令进入相应的视图。
命令行提供如下视图:
l 用户视图
l 系统视图
l 用户界面视图
l VLAN视图
l 以太网端口视图
视图关系简图如图2-1所示:
图2-1 视图关系简图
各命令视图的功能特性、进入各视图的命令等细则如表2-1所示。
表2-1 命令视图功能特性列表
视图
功能
提示符
进入命令
退出命令
用户视图
查看交换机的简单运行状态和统计信息
查看交换机的全部运行状态和统计信息,进行文件管理和系统管理
与交换机建立连接即进入
quit断开与交换机连接
系统视图
配置系统参数
[Quidway]
在用户视图下键入system-view
quit返回用户视图
return返回用户视图
以太网端口视图
配置以太网端口参数
[Quidway-Ethernet0/1]
固定以太网端口视图:在系统视图下键入interface ethernet0/1
quit返回系统视图
return返回用户视图
[Quidway-Ethernet1/1]
扩展百兆以太网端口视图:在系统视图下键入interface ethernet 1/1
VLAN视图
配置VLAN参数
[Quidway-vlan1]
在系统视图下键入vlan 1
quit返回系统视图
return返回用户视图
用户界面视图
配置用户界面参数
[Quidway-ui-aux0]
在系统视图下键入user-interface aux
quit返回系统视图
return返回用户视图
2.1.2 设置用户分级保护密码
为了防止未授权用户的非法侵入,S2000B系列以太网交换机将用户分为两个级别:参观级别和监控级别。从串口登录上以太网交换机后就只见进入参观用户,仅能执行简单的查询操作;监控级别的用户则可以执行监控、配置、管理等操作。
在使用super命令从参观级别用户切换到监控级别用户时,要进行用户身份验证,即需要输入切换口令(如果用户已经使用命令super password password设置了切换口令)。为了保密,用户在屏幕上看不到所键入的口令,如果三次以内输入正确的口令,则切换到监控级别用户,否则保持原用户级别不变。
请在系统视图下进行下列配置。
表2-2 设置用户分级保护密码,操作,命令
切换用户级别至监控级
super
设置切换用户级别密码
super password password
取消切换用户级别密码
undo super password
命令中的参数含义如下:
password:明文字符串,取值范围为1~16个字符。
& 说明:
(1) 密码区分大小写。
(2) 如果用户丢失了super密码,请与代理商联系。
例:在系统视图下设置切换用户级别密码为Quidway。
super
system-view
[Quidway] super password Quidway
2.1.3 设置终端屏幕一屏显示的行数
当某命令显示信息的行数多于一屏能够显示的范围时,可以使用以下命令设置用户终端上屏幕一屏显示的行数,以便将信息分成几段,方便查看。
请在用户界面视图下进行下列配置。
表2-3 设置终端屏幕行数,操作,命令
设置用户终端上屏幕一屏显示的行数
screen-length screen-length
恢复用户终端上屏幕一屏显示的行数为缺省值
undo screen-length
命令中的参数含义如/下:
screen-length:用户终端一屏显示的行数,取值范围为0~512。
缺省情况下,用户终端屏幕一屏显示25行。
& 说明:
screen-length 0表示关闭分屏功能。
例:将终端线的屏幕一屏显示行数设置为30。
[Quidway] user-interface aux
[Quidway-ui-aux0] screen-length 30
2.1.4 命令行在线帮助
命令行接口提供如下几种在线帮助:
l 完全帮助
l 部分帮助
通过上述各种在线帮助能够获得帮助信息,分别描述如下:
(1) 在任一视图下,键入获取该视图下所有的命令及其简单描述。
?
Monitor view commands:
debugging Enable system debugging functions
display Display running system information
quit Exit from current command view
reboot Reset slot
reset Reset all ethernet interfaces counter information
save Save current configuration
super Enter the monitor view with specified priority level
system-view Enter the system view
undo Cancel current setting
(2) 键入一命令,后接以空格分隔的“?”,如果该位置为关键字,则列出全部关键字及其简单描述。
display ?
current-configuration Current configuration
diagnostic-information System information for diagnosis
hgmp Hgmp information
interface Interface status and configuration information
link-aggregation Ports aggregation mode
mac-address Configure MAC address
memory Display mem info
monitor Display the monitor port
qos-info Display Qos information
saved-configuration The saved configuration information
version System hardware and software version information
vlan Vlan configuration information
(3) 键入一字符串,其后紧接,列出以该字符串开头的所有命令。
debugg?
Monitor view commands:
debugging Enable system debugging functions
(4) 键入一命令,后接一字符串紧接,列出命令以该字符串开头的所有关键字。
display ver?
version System hardware and software version information
(5) 输入一命令的前面几个字母,键入键则会将该命令的字符串补全。
dis
display
& 说明:
如果以输入的字母打头的命令不唯一,则无法联想出命令。
2.1.5 命令行错误信息
所有用户键入的命令,如果通过语法检查,则正确执行,否则向用户报告错误信息,常见错误信息参见表2-4。
表2-4 命令行常见错误信息表,英文错误信息.错误原因
Unrecognized command
没有查找到命令
没有查找到关键字
参数类型错
参数值越界
Incomplete command
输入命令不完整
Too many parameters
输入参数太多
Ambiguous command
输入参数不明确
2.1.6 历史命令
命令行接口提供类似Doskey功能,将用户键入的历史命令自动保存,用户可以随时调用命令行接口保存的历史命令,并重复执行。命令行接口为每个用户最多可以保存10条历史命令。操作如表2-5所示。
表2-5 访问历史命令,操作,按键,结果
访问上一条历史命令上光标键
如果还有更早的历史命令,则取出上一条历史命令。
访问下一条历史命令下光标键
如果还有更晚的历史命令,则取出下一条历史命令。& 说明:
用光标键对历史命令进行访问,在Windows 3.X的Terminal下是有效的,但对于Windows 9X的超级终端,↑、↓光标键无效,这是由于Windows 9X的超级终端对这两个键作了不同解释所致,这时可以用组合键和来代替↑、↓光标键达到同样目的。
2.1.7 编辑特性
命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为256个字符,如表2-6所示。
表2-6 编辑功能表按键功能,普通按键
若编辑缓冲区未满,则插入到当前光标位置,并向右移动光标。
退格键Backspace
删除光标位置的前一个字符,光标前移。
2.1.8 显示特性
在一次显示信息超过一屏时,提供了暂停功能,这时用户可以有两种选择,如表2-7所示。
表2-7 显示功能表按键或命令功能
暂停显示时键入
退出显示
暂停显示时键入除外的其他键
继续显示下一屏信息
2.2 通过Console口搭建配置环境
2.2.1 配置环境搭建
第一步:如图2-2所示,建立本地配置环境,只需将微机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。
第二步:在微机上运行终端仿真程序(如Windows 3.X的Terminal或Windows 9X的超级终端等),设置终端通信参数为波特率9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100,
第三步:终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,直到出现命令行提示符(如)。
第四步:键入命令,配置或查看以太网交换机的运行状态,需要帮助可以随时键入“?”,关于具体的命令请参考以后各章节。
2.2.2 配置Console口传输速率
当通过Console口访问S2000B系列以太网交换机时,用户可以使用以下命令配置Console口的传输速率。
请在用户界面视图下进行下列配置。
Console口传输速率
配置Console口传输速率
speed speed-value
恢复Console口的传输速率为缺省值
undo speed
命令中的参数含义如下:
speed-value:Console口的传输速率值,支持的传输速率为:9600bit/s、115200bit/s。
缺省情况下,Console口的传输速率为9600bit/s。
例:配置Console口的传输速率为9600bit/s。
[Quidway] user-interface aux
[Quidway-ui-aux0] speed 9600
2.3 通过HGMP搭建配置环境& 说明:
S2000B系列以太网交换机可以采用该方式进行远程配置和维护管理。
2.3.1 HGMP协议简介
华为组管理协议HGMP(Huawei Group Management Protocol)实现对设备的集中管理。目前HGMP有两个版本:V1和V2,S2000B系列支持HGMP V1。HGMP V1分为HGMP Server和HGMP Client。HGMP Server在管理设备上实现,主要是提供人机命令输入接口,控制维护命令的显示,同时提供一定的数据结构以存储其下挂的多台以太网交换机的相关信息。HGMP Client则主要要求根据管理设备下发的维护和查询命令作出相应的处理,同时保证与管理设备之间的通信。S2000B系列作为HGMP Client,接受管理设备的管理和维护。
通过管理设备维护和管理S2000B系列的过程可以参见管理设备(例如S3000系列以太网交换机)的用户手册中HGMP Server配置的描述。
2.3.2 配置环境搭建5555
2.3.3 HGMP协议配置.
注意:
S2000B系列以太网交换机作为HGMP Client时,必须要通过固定的上行端口与管理设备相连。
对于S2008B,这些上行端口包括Ethernet0/8、Ethernet0/9。
对于S2016B,这些上行端口包括Ethernet0/15、Ethernet0/16、Ethernet0/17、Ethernet1/1。
对于S2026B,这些上行端口包括Ethernet0/23、Ethernet0/24、Ethernet0/25、Ethernet1/1。
必须先启动HGMP,才可以通过HGMP协议对S2000B系列以太网交换机进行配置。
可以使用下面的命令在S2000B系列以太网交换机上启动HGMP Client。
请在系统视图下进行下列配置。
开启HGMP
hgmp enable
关闭HGMP
hgmp disable
使用命令hgmp enable将开启HGMP协议,需要重启交换机后才能生效,hgmp disable命令亦然。在HGMP协议开启的情况下,shutdown命令在交换机与管理设备相连的上行端口上无效(即在上行端口上使用shutdown命令后此端口会自动被HGMP协议重新开启)。
HGMP启动后将占用ID为0的组播地址(若该地址已存在,则被覆盖),此时用户只能配置一个组播地址表项,具体配置组播地址的描述请参见本书6.1.3节。
需要注意的是,设备启动后的HGMP运行状态由上次的HGMP设置决定。在开启或关闭HGMP协议后,必须重新启动以太网交换机才能生效。
缺省情况下,HGMP是启动的,即必须通过HGMP Server对设备进行配置。如果想直接通过命令行进行配置,则必须使用hgmp disable命令关闭HGMP功能。
第3章 端口配置
3.1 以太网端口简介
S2008B以太网交换机提供8个固定的10/100Base-TX自适应端口,S2016B以太网交换机提供16个固定的10/100Base-TX自适应端口,此外两者都提供1个10/100Base-TX自适应上行端口及1个用于配置的Console口。S2026B以太网交换机提供24个固定的10/100Base-TX自适应端口,1个100Base-TX上行端口(实际为1个100Base-TX上行端口复用为1个MDIX端口和1个MDI端口,同时只能有1个端口工作)及1个用于配置的Console口。另外S2016B/S2026B以太网交换机还提供1个扩展模块插槽,可选插100Base-FX多模光纤接口模块或100Base-FX单模光纤接口模块。
S2000B系列以太网交换机支持的以太网端口特性如下:
l 10/100Base-TX以太网端口可以工作在半双工、全双工、自协商模式下。在自协商模式时支持MDI/MDIX自适应,并且能够与其他网络设备协商确定工作方式和速率,自动选择最合适的工作方式和速率,从而大大简化系统的配置和管理。
l 100Base-FX多模/单模以太网端口的速率及工作模式不需用户进行配置,速率均为100Mbit/s,工作在全双工模式下。100Base-FX多模以太网端口可以为用户提供1个百兆多模光端口;100Base-FX单模以太网端口可以为用户提供1个百兆单模光端口。
几种以太网端口的配置基本相同,下面一起介绍。注意:
(1) S2026B以太网交换机的100Base-TX上行端口不支持MDI/MDIX自适应,需要根据网线类型接相应的上行端口。
(2) 100Base-FX多模/单模以太网端口的工作模式由系统设置为100Mbit/s、全双工工作模式,不允许将工作模式设置成10Mbit/s或者半双工工作模式。
3.2 以太网端口配置
要配置以太网端口的相关特性参数,首先要进入以太网端口视图,然后对相关参数进行配置。
以太网端口配置包括:
l 进入以太网端口视图
l 打开/关闭以太网端口
l 设置以太网端口为自协商方式
l 设置以太网端口速率和双工状态
l 设置以太网端口的流量控制
3.2.1 进入以太网端口视图
要对以太网端口进行配置,首先要进入以太网端口视图。
请在系统视图下进行下列配置。
进入以太网端口视图
interface { interface_type interface_num | interface_name }
命令中的参数含义如下:
interface_type:端口类型,在S2000B系列以太网交换机中只有ethernet。
interface_num:端口号,采用槽位编号/端口编号的格式。S2008B以太网交换机的槽号只能取0,端口号取值范围为1~9。S2016B以太网交换机的槽号取值范围为0~1,槽号取0表示固定的以太网端口,端口号取值范围为1~17;槽号取1表示扩展的以太网百兆光口,端口号只能取1。S2026B以太网交换机的槽号取值范围为0~1,槽号取0表示固定的以太网端口,端口号取值范围为1~25;槽号取1表示扩展的以太网百兆光口,端口号只能取1。
interface_name:端口名,表示方法为端口类型+端口号(槽位编号/端口编号)。
例:进入Ethernet0/3以太网端口视图。
[Quidway] interface ethernet0/3
[Quidway-Ethernet0/3]
3.2.2 打开/关闭以太网端口
以太网交换机启动后,用户可以根据实际需要使用以下的命令打开或关闭以太网端口。当端口出现工作状态不正常时,可以使用shutdown命令将端口先关闭,之后再使用undo shutdown命令启动端口,这样有可能使端口恢复正常。
关闭以太网端口
shutdown
打开以太网端口
undo shutdown
省情况下,端口为打开状态。
例:关闭以太网端口Ethernet0/3后再打开该端口。
[Quidway-Ethernet0/3] shutdown
[Quidway-Ethernet0/3] undo shutdown
3.2.3 设置以太网端口为自协商方式
可以使用以下命令设置以太网端口为自协商方式。当以太网端口被设置为自协商方式后,端口的速率及双工状态均由本端口和对端端口双方自动协商而定。
设置以太网端口为自协商方式
negotiation-auto
需要注意的是,当以太网端口的速率和双工状态被设置后,自协商方式自动关闭。
例:将以太网端口Ethernet0/3设置为自协商方式。
[Quidway-Ethernet0/3] negotiation-auto
3.2.4 设置以太网端口速率和双工状态
可以使用以下命令对以太网端口的速率和双工状态进行设置。
设置以太网端口的速率
speed { 10 | 100 }
设置以太网端口的双工状态
duplex { full | half }
命令中的参数含义如下:
10:表示10Mbit/s速率。
100:表示100Mbit/s速率。
full:表示全双工状态。
half:表示半双工状态。
需要注意的是,
l 以太网端口的速率和双工状态必须同时设置才能生效,只设置其中一项将不会起作用。
l 10Base-T/100Base-TX以太网端口支持10Mbit/s、100Mbit/s两种速率,可以根据需要对其设置;100Base-FX多模/单模以太网端口的速率和工作模式由系统设置为100Mbit/s、全双工模式,用户不能对其进行设置。如果设置,则系统会给出提示“Can’t set the ports by the mode”。
l 汇聚端口不能设置双工、速率模式。
l 当希望在发送数据包的同时可以接收数据包,可以将端口设置为全双工状态;当希望端口在同一时刻只能发送或接收数据包时,可以将端口设置为半双工状态;当希望端口的双工状态由本端和对端协商而定的话,可以将端口设置为自协商方式,且不需进行本命令的设置。
缺省情况下,端口的速率为自协商方式,双工状态为自协商方式。
例:将以太网端口Ethernet0/1的速率设置为10Mbit/s,工作模式设置为全双工模式。
[Quidway-Ethernet0/1] speed 10
Please set the interface duplex mode,
Now it work in AUTO NEGOTIATION mode
[Quidway-Ethernet0/1] display interface ethernet0/1
Ethernet0/1 is down
Hardware is Fast Ethernet, Hardware address is 00e0-fc00-0010
auto_negotiation, 100_BASE_TX
Flow control is disable
The port belongs to these vlans:
Vlan 1
It is not a monitor port
It doesn’t belong to a port-aggregation
0 packets output
0 bytes, 0 multicasts, 0 broadcasts, 0 pauses
0 packets input
0 bytes, 0 multicasts, 0 broadcasts, 0 pauses
0 CRC errors
0 long frames
[Quidway-Ethernet0/1] duplex full
[Quidway-Ethernet0/1] display interface ethernet0/1
Ethernet0/1 is down
Hardware is Fast Ethernet, Hardware address is 00e0-fc00-0010
Full-duplex 10M 100_BASE_TX
Flow control is disable
The port belongs to these vlans:
Vlan 1
It is not a monitor port
It doesn’t belong to a port-aggregation
0 packets output
0 bytes, 0 multicasts, 0 broadcasts, 0 pauses
0 packets input
0 bytes, 0 multicasts, 0 broadcasts, 0 pauses
0 CRC errors
0 long frames
从以上配置和系统显示可以看出,当配置了速率后,系统提示“请配置双工模式,目前处于自协商状态”;查看端口信息也可以看到端口处于自协商状态;之后配置双工状态,再次查看端口信息,可以看到所配置的速率和双工状态已经起作用
华为交换机、路由器命令集
交换机命令
~~~~~~~~~~
[Quidway]dis cur ;显示当前配置
[Quidway]display current-configuration ;显示当前配置
[Quidway]display interfaces ;显示接口信息
[Quidway]display vlan all ;显示路由信息
[Quidway]display version ;显示版本信息
[Quidway]super password ;修改特权用户密码
[Quidway]sysname ;交换机命名
[Quidway]interface ethernet 0/1 ;进入接口视图
[Quidway]interface vlan x ;进入接口视图
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关
[Quidway]rip ;三层交换支持
[Quidway]local-user ftp
[Quidway]user-interface vty 0 4 ;进入虚拟终端
[S3026-ui-vty0-4]authentication-mode password ;设置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令
[S3026-ui-vty0-4]user privilege level 3 ;用户级别
[Quidway]interface ethernet 0/1 ;进入端口模式
[Quidway]int e0/1 ;进入端口模式
[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态
[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率
[Quidway-Ethernet0/1]flow-control ;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式
[Quidway-Ethernet0/1]port access vlan 3 ;当前端口加入到VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;设trunk允许的VLAN
[Quidway-Ethernet0/3]port trunk pvid vlan 3 ;设置trunk端口的PVID
[Quidway-Ethernet0/1]undo shutdown ;激活端口
[Quidway-Ethernet0/1]shutdown ;关闭端口
[Quidway-Ethernet0/1]quit ;返回
[Quidway]vlan 3 ;创建VLAN
[Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加端口
[Quidway-vlan3]port e0/1 ;简写方式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口
[Quidway-vlan3]port e0/1 to e0/4 ;简写方式
[Quidway]monitor-port
;指定镜像端口
[Quidway]port mirror ;指定被镜像端口
[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像
[Quidway]description string ;指定VLAN描述字符
[Quidway]description ;删除VLAN描述字符
[Quidway]display vlan [vlan_id] ;查看VLAN设置
[Quidway]stp {enable|disable} ;设置生成树,默认关闭
[Quidway]stp priority 4096 ;设置交换机的优先级
[Quidway]stp root {primary|secondary} ;设置为根或根的备份
[Quidway-Ethernet0/1]stp cost 200 ;设置交换机端口的花费
[Quidway]link-aggregation e0/1 to e0/4 ingress|both ; 端口的聚合
[Quidway]undo link-aggregation e0/1|all ; 始端口为通道号
[SwitchA-vlanx]isolate-user-vlan enable ;设置主vlan
[SwitchA]isolate-user-vlan secondary ;设置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan ;设置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid ;删除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的vlan
如果包的vlan id与PVId一致,则去掉vlan信息. 默认PVID=1。
所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged.
----------------------------------------
路由器命令
~~~~~~~~~~
[Quidway]display version ;显示版本信息
[Quidway]display current-configuration ;显示当前配置
[Quidway]display interfaces ;显示接口信息
[Quidway]display ip route ;显示路由信息
[Quidway]sysname aabbcc ;更改主机名
[Quidway]super passwrod 123456 ;设置口令
[Quidway]interface serial0 ;进入接口
[Quidway-serial0]ip address ;配置端口IP地址
[Quidway-serial0]undo shutdown ;激活端口
[Quidway]link-protocol hdlc ;绑定hdlc协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 ;显示所有信息
[Quidway]debugging hdlc event serial0 ;调试事件信息
[Quidway]debugging hdlc packet serial0 ;显示包的信息
静态路由:
[Quidway]ip route-static {interface number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip ;设置动态路由
[Quidway]rip work ;设置工作允许
[Quidway]rip input ;设置入口允许
[Quidway]rip output ;设置出口允许
[Quidway-rip]network 1.0.0.0 ;设置交换路由网络
[Quidway-rip]network all ;设置与所有网络交换
[Quidway-rip]peer ip-address ;
[Quidway-rip]summary ;路由聚合
[Quidway]rip version 1 ;设置工作在版本1
[Quidway]rip version 2 multicast ;设版本2,多播方式
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D ;配置路由器的ID
[Quidway]ospf enable ;启动OSPF协议
[Quidway-ospf]import-route direct ;引入直联路由
[Quidway-Serial0]ospf enable area ;配置OSPF区域
标准访问列表命令格式如下:
acl [match-order config|auto] ;默认前者顺序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
扩展访问控制列表配置命令
配置TCP/UDP协议的扩展访问列表:
rule {normal|special}{permit|deny}{tcp|udp}source {|any}destination |any}
[operate]
配置ICMP协议的扩展访问列表:
rule {normal|special}{permit|deny}icmp source {|any]destination {|any]
[icmp-code] [logging]
扩展访问控制列表操作符的含义
equal portnumber ;等于
greater-than portnumber ;大于
less-than portnumber ;小于
not-equal portnumber ;不等
range portnumber1 portnumber2 ;区间
扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址转换配置举例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101 ;内部指定主机可以进入e0
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]quit
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway]acl 102 ;外部特定主机和大于1024端口的数据包允许进入S0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-acl-102]quit
[Quidway]int s0
[Quidway-Serial0]firewall packet-filter 102 inbound ;设202.38.160.1是路由器出口IP。
[Quidway-Serial0]nat outbound 101 interface ;是Easy ip,将acl 101允许的IP从本接口出时变换源地址。
内部服务器地址转换配置命令(静态nat):
nat server global [port] inside port [protocol] ;global_port不写时使用inside_port
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
设有公网IP:202.38.160.101~202.38.160.103 可以使用。 ;对外访问(原例题)
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1 ;建立地址池
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255 ;指定允许的内部网络
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1 ;在s0口从地址池取出IP对外访问
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP设置:
[Quidway-s0]link-protocol ppp ;默认的协议
PPP验证:
主验方:pap|chap
[Quidway]local-user q2 password {simple|cipher} hello ;路由器1
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user q1 ;pap时,没有此句
pap被验方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp pap local-user q2 password {simple|cipher} hello
chap被验方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp chap user q2 ;自己路由器名
[Quidway-serial0]local-user q1 password {simple|cipher} hello ;对方路由器名
帧中继frame-relay (二分册6-61)
[q1]fr switching
[q1]int s1
[q1-Serial1]ip address 192.168.34.51 255.255.255.0
[q1-Serial1]link-protocol fr ;封装帧中继协议
[q1-Serial1]fr interface-type dce
[q1-Serial1]fr dlci 100
[q1-Serial1]fr inarp
[q1-Serial1]fr map ip 192.168.34.52 dlci 100
[q2]int s1
[q2-Serial1]ip address 192.168.34.52 255.255.255.0
[q2-Serial1]link-protocol fr
[q2-Serial1]fr interface-type dte
[q2-Serial1]fr dlci 100
[q2-Serial1]fr inarp
[q2-Serial1]fr map ip 192.168.34.51 dlci 100
帧中继监测
[q1]display fr lmi-info[]interface type number]
[q1]display fr map
[q1]display fr pvc-info[serial interface-number][dlci dlci-number]
[q1]display fr dlci-switch
[q1]display fr interface
[q1]reset fr inarp-info
[q1]debugging fr all[interface type number]
[q1]debugging fr arp[interface type number]
[q1]debugging fr event[interface type number]
[q1]debugging fr lmi[interface type number]
启动ftp服务:
[Quidway]local-user ftp password {simple|cipher} aaa service-type ftp
[Quidway]ftp server enable
华为交换机配置实用手册
2006-10-01 21:35
华为交换机配置实用手册
实验一 使用华为Quidway系列交换机简单组网1.1 实验目的
1. 掌握华为Quidway系列交换机上的基本配置命令;
2. 掌握VLAN的原理和配置;
3. 掌握端口聚合(Link Aggregation)的原理和配置;
4. 掌握生成树协议(STP)的原理和配置;
5. 掌握GVRP协议的原理和配置;
6. 掌握三层交换机和访问控制列表(ACL)的原理和配置;
7. 掌握如何从PC机或其他交换机远程配置某交换机。
1.2 实验环境
Quidway S3026以太网交换机 2 台,Quidway S3526以太网交换机1台,
PC机4台,标准网线6根
Quidway S3026软件版本:V100R002B01D011;Bootrom版本:V1.1
Quidway S3526软件版本:V100R001B02D006;Bootrom版本:V3.0
1.3 实验组网图
在下面的每个练习中给出。
1.4 实验步骤
1.4.1 VLAN配置
首先依照下面的组网图将各实验设备相连,然后正确的配置各设备的IP地址。有两台Quidway S3026交换机和四台PC机。每台PC机的IP地址指定如下:
PCA:10.1.1.1
PCB:10.1.2.1
PCC:10.1.1.2
PCD:10.1.2.2
掩码:255.255.255.0
请完成以下步骤:
1、 如上图所示,配置四台PC机属于各自的VLAN。
2、 将某些端口配置成trunk端口,并允许前面配置的所有VLAN通过。
3、 测试同一VLAN中的PC机能否相互Ping通。
配置如下:
SwitchA:
SwitchA(config)#vlan 2 //创建VLAN 2
SwitchA (config-vlan2)# switchport ethernet 0/9 //将以太口9划入VLAN 2
SwitchA (config-vlan2)#vlan 3 //创建VLAN 3
SwitchA (config-vlan3)# switchport ethernet 0/10 //将以太口10划入VLAN 3
SwitchA (config-vlan3)#interface ethernet 0/1 //进入以太口1的接口配置模式
SwitchA (config-if-Ethernet0/1)#switch mode trunk //将e0/1接口设置为trunk模式
SwitchA (config-if-Ethernet0/1)#switch trunk allow vlan all //配置允许所有的VLAN通过
SwitchB:
SwitchB(config)#vlan 2
SwitchB (config-vlan2)# switchport ethernet 0/9
SwitchB (config-vlan2)#vlan 3
SwitchB (config-vlan3)# switchport ethernet 0/10
SwitchB (config-vlan3)#interface ethernet 0/1
SwitchB (config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-Ethernet0/1)# switch trunk allow vlan all
4、 SwitchA端口e0/1的PVID配置为2,然后从PCA ping PCC,看能否相互Ping通,如果不能Ping通,请说明原因。
华为Quidway系列交换机有一个重要特性:如果帧的VLAN ID等于发送该帧的trunk端口的PVID,那么该帧将会先被删掉tag头,再发送。
5、 将SwitchA端口e0/1的配置改为属于VLAN2的接入端口,然后从PCApingPCC。你将会发现虽然SwitchA的e0/1、e0/9,SwitchB的e0/9都属于VLAN2,但PCA却不能Ping通PCC。请说明原因。
有两种方法可以通过改变SwitchB端口e0/1的配置使PCA能Ping通PCC。
方法一:将SwitchB端口e0/1的配置改为属于VLAN2的接入端口;
方法二:将SwitchB端口e0/1的PVID改为2。
6、 通过以上步骤,理解Quidway系列交换机添加和删除802.1qVLANtag头的过程和规则。
1.4.2 端口聚合(Link Aggregation)
在练习一的基础上再将SwitchA端口e0/2和SwitchB端口e0/2互连,如下图所示。VLAN和IP地址的配置保持不变。
1、 将SwitchA和SwitchB的端口e0/1和e0/2配置为端口聚合。
2、 改变SwitchA端口e0/1的配置,用“show interface e0/2”观察SwitchB端口e0/2的配置变化。
3、 将SwitchA和SwitchB之间的两根双绞线拔掉一根,看看PCA是否仍能Ping通PCC。请说明原因。
4、 通过以上步骤,理解端口聚合的功能和配置。
配置如下:
SwitchA:
SwitchA (config)#link-aggregation e 0/1 to e 0/2 ingress-egress //将e0/1及e0/2做聚合
SwitchA (config)#interface e 0/1
SwitchA (config-if-Ethernet0/1)# switch mode trunk //将e0/1接口设置为trunk模式
SwitchA (config-if-Ethernet0/1)# switch trunk allow vlan all //配置允许所有的VLAN通过
SwitchB:
SwitchB (config)link-aggregation e 0/1 to e 0/2 ingress-egress
SwitchB (config)#interface e 0/1
SwitchB (config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-Ethernet0/1)# switch trunk allow vlan all
--------------------------------------------------------------------------------
1.4.3 生成树协议(STP)
我们仍然使用练习二的组网图。这次在SwitchA和SwitchB之间不再用端口聚合,而是配置STP。
请完成以下步骤:
1、 在两台交换机上使能STP。
2、 将SwitchA配置成根桥。
3、 用“show spanning-tree statistics Ethernet”命令观察接口状态,并根据显示信息解释spanning-tree protocol的运行机制。
4、 用“debug stp packet”命令进一步观察STP生成的BPDU信息。
5、 修改SwitchB端口e0/2的优先级为64,然后用“show spanning-tree statistics ethernet0/2”观察端口的变化。
6、 修改SwitchB端口e0/2的pathcost为100,然后用“show spanning-tree statistics ethernet0/2”观察端口的变化。
7、 将SwitchA和SwitchB之间的两根双绞线拔掉一根,然后在两台交换机上用“show spanning-tree statistics ethernet0/1 to ethernet0/2”观察STP信息的变化。测试PCA是否仍能Ping通PCC。请说明原因,并比较端口聚合和STP的不同。
8、 通过以上步骤,理解STP的功能和配置。
配置如下:
SwitchA:
SwitchA (config)#spanning-tree enable //在全局配置模式下启用STP
SwitchB:
SwitchB (config)#spanning-tree enable //在全局配置模式下启用STP
SwitchB (config)#spanning-tree priority 4096 //设置优先级
SwitchB (config)#interface e 0/2
SwitchB (config-if-Ethernet0/2)#spanning-tree pathcost 100 //设置端口的pathcost值
问题:
如果我们将两台交换机的端口e0/1和e0/2配置为trunk端口并且不配置端口聚合和STP,将会
发生什么现象?PCA是否仍能Ping通PCC?
1.4.4 通用VLAN注册协议(GVRP)
仍用练习二的组网图。这次在SwitchA和SwitchB上配置GVRP。
请完成以下步骤:
1、 配置某些端口为trunk端口,并允许前面配置的所有VLAN通过。
2、 在两个trunk端口上使能动态VLAN注册协议——GVRP。
3、 在SwitchA上注册VLAN6-10,在SwitchB上注册VLAN11-15,观察在每个交换机上的VLAN注册状态。
4、 在SwitchA上配置VLAN4并将端口e0/1配置为fixed模式,将SwitchB端口e0/1配置为forbidden模式。观察在每个交换机上的VLAN注册状态。
5、 通过以上步骤,理解GVRP的功能和配置。
配置如下:
SwitchA
SwitchA (config)#gvrp enable //在全局配置模式下启用GVRP
SwitchA (config)#switch ethernet 0/1
SwitchA (config-if-Ethernet0/1)# switch mode trunk
SwitchA (config-if-Ethernet0/1)# switch trunk allow vlan all
SwitchA (config-if-Ethernet 0/1)#gvrp enable //在接口模式下启用GVRP
SwitchB
SwitchB (config)#gvrp enable
SwitchB (config)#switch ethernet 0/1
SwitchB (config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-Ethernet0/1)# switch trunk allow vlan all
SwitchB (config-if-Ethernet 0/1)#gvrp enable
1.4.5 三层交换机和ACL
这次我们要用到一台三层交换机QuidwayS3526,具体组网图如下。注意SwitchA是一台三层交换机。
每台PC机的IP地址指定如下:
PCA:10.1.1.1
PCB:10.1.2.1
PCC:10.1.1.2
PCD:10.1.3.1
掩码:255.255.255.0
请完成以下步骤:
1、 如上图所示,配置四台PC机分别属于各自相关的VLAN。
2、 配置端口聚合,使SwitchA和SwitchB之间的带宽为200Mbps。
3、 配置某些端口为trunk端口并允许前面配置的所有VLAN通过。
4、 在两台交换机的端口e0/1配置GVRP,使能动态注册VLAN信息。
5、 测试在同一VLAN内的PC机能否互相Ping通。
以上配置我们在前面的练习中已全部学过,另外还需要完成以下工作:
我们需要使PCB不能和PCA、PCC通信,PCD能和PCA、PCB、PCC通信。当然,PCA和PCC仍能互相通信。
我们知道,不同VLAN间的通信在二层是隔离的。所以我们必须寻找一种方法能够通过三层实现通信。SwitchA(QuidwayS3526)是一种三层交换机,能帮助我们解决这个问题。按以下步骤来实现不同VLAN之间的PC机互通:
1、 在交换机A上配置VLAN2的接口地址是10.1.1.100,VLAN3的接口地址是10.1.2.100,VLAN4的接口地址是10.1.3.100。
2、 将PCA和PCC的网关配置为10.1.1.100,PCB的网关为10.1.2.100,PCD的网关为10.1.3.100。
现在,试着在PC机之间互相Ping,你会发现VLAN不再是隔离的。任何两台计算机现在都能通讯了。但是很明显,我们仍没有实现PCB不能和PCA、PCC通信的目标,那我们应该怎么办呢?S3526上提供了一个方法:使用访问控制列表(ACL)。你可以用ACL来限制10.1.1.0 网段和10.1.2.0网段主机之间的通信。
配置如下:
SwitchA (config)link-aggregation e 0/1 to e 0/2 ingress-egress
SwitchA(config)#gvrp enable
SwitchA(config)#vlan 2
SwitchA (config-vlan2)#port e 0/9
SwitchA (config-vlan2)#vlan 3
SwitchA (config-vlan3)#port e 0/10
SwitchA (config-vlan4)#interface e 0/1
SwitchA (config-if-Ethernet0/1)#trunk all
SwitchA (config-if-Ethernet0/1)#gvrp enable
SwitchA (config-if-Ethernet0/1)#interface vlan 2
//进入VLAN 2的虚接口配置模式
SwitchA (config-VLAN-Interface2)#ip address 10.1.1.100 255.255.255.0
//配置VLAN 2虚接口的IP地址
SwitchA (config-VLAN-Interface2)#interface vlan 3
SwitchA (config-VLAN-Interface3)#ip address 10.1.2.100 255.255.255.0
SwitchA (config-VLAN-Interface3)#interface vlan 4
SwitchA (config-VLAN-Interface4)#ip address 10.1.3.100 255.255.255.0
SwitchA (config-VLAN-Interface4)#exit
SwitchA (config)#rule-map l3 net1tonet2 10.1.1.0 255.255.255.0 10.1.2.0 255.255.255.0
//定义流分类规则
SwitchA (config)#flow-action net1tonet2 deny //定义流的动作
SwitchA (config)#acl net1tonet2 net1tonet2 net1tonet2 //定义访问控制列表
SwitchA (config)#access-group net1tonet2 //将ACL定义的访问控制策略激
现在让我们看一看show running-config的信息:
SwitchA(config)#show running-config
Building running configuration...
Current configuration is :
hostname SwitchA
rule-map l3 net1tonet2 10.1.1.0 255.255.255.0 10.1.2.0 255.255.255.0
flow-action net1tonet2 deny
acl net1tonet2 net1tonet2 net1tonet2
access-group net1tonet2
link-aggregation Ethernet0/1 to Ethernet0/2 ingress-egress
gvrp enable
interface Aux0/0
vlan 1
vlan 2
port Ethernet0/9
vlan 3
port Ethernet0/10
vlan 4
interface Ethernet0/1
trunk all
gvrp enable
interface Ethernet0/10
interface NULL0
interface VLAN-Interface2
ip address 10.1.1.100 255.255.255.0
interface VLAN-Interface3
ip address 10.1.2.100 255.255.255.0
interface VLAN-Interface4
ip address 10.1.3.100 255.255.255.0
line aux 0
no login
line vty 0 4
end
SwitchB#show running-config
Building running configuration...
Current configuration is :
hostname SwitchB
gvrp
!
interface Aux0/0
!
vlan 1
!
vlan 2
!
vlan 4
!
interface Ethernet0/1
switchport mode trunk
switchport trunk allowed vlan all
gvrp
!
interface Ethernet0/10
switchport access vlan 4
!
interface Ethernet0/11
……….
!
interface Ethernet0/2
switchport mode trunk
switchport trunk allowed vlan all
gvrp
!
interface Ethernet0/20
………
interface Ethernet0/8
!
interface Ethernet0/9
switchport access vlan 2
!
interface NULL0
!
link-aggregation Ethernet0/1 to Ethernet0/2 ingress-egress
!
line aux 0
no login
line vty 0 4
!
end
--------------------------------------------------------------------------------
-- 作者:admin
-- 发布时间:2005-4-18 9:46:45
--
4.6 以太交换网安全
仍然沿用练习五的组网图。有时候我们必须远程登录来配置交换机,所以我们需要配置交换机的远程登录,同时我们应避免这些交换机的非法访问。在这个练习中,你需要配置SwitchA使PCA和PCC能telnet上SwitchA并远程配置。
配置如下:
SwitchA(config)#enable password 0 huawei //配置进入特权模式的密码
SwitchA(config)#line vty 0 4 //进入line配置模式
SwitchA(config-line-vty0-4)#login local //使能本地口令验证
SwitchA(config-line-vty0-4)#exit
SwitchA(config)#user huawei password 0 huawei //配置本地验证的用户名及密码
如果你的配置已正常运行,你可以在PCA或PCC上用“telnet 10.1.1.100”登录SwitchA,然后输入正确的用户名和密码,你就能从PC机远程配置SwitchA了。
问题:
你能使SwitchB能远程登录,并从PCA、PCC以及SwitchA上配置它吗?
实验二 使用华为Quidway系列交换机复杂组网2.1 实验目的1、 让学员学会如何设计和构建一个典型的交换网络。
2、 让学员学会如何在交换网络中配置生成树协议(STP),STP在交换机之间是如何工作的,如何通过改变STP的参数来改变生成树的状态。另外,学员应能通过debug信息分析STP的构建过程。
3、 让学员学会GVRP的动态注册过程。
4、 让学员学会如何利用三层交换机实现不同VLAN间的通信以及如何限制不同VLAN间的通信。
5、 让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6、 让学员学会交换机的其他配置,例如:端口聚合、ACL、端口监控。
7、 让学员具备在三层交换机和路由器上配置OSPF动态路由协议的能力,使得交换网中的PC机能访问外部广域网或Internet。
2.2 实验环境Quidway S3026以太网交换机 4 台,Quidway S3526以太网交换机1台
Quidway 2501路由器 1台,
PC机4台,标准网线13根
Quidway S3026软件版本:V100R002B01D011;Bootrom版本:V1.1
Quidway S3526软件版本:V100R001B02D006;Bootrom版本:V3.0
Quidway 2501路由器 VRP版本: VRP 1.2以上
实验二 使用华为Quidway系列交换机复杂组网2.1 实验目的1、 让学员学会如何设计和构建一个典型的交换网络。
2、 让学员学会如何在交换网络中配置生成树协议(STP),STP在交换机之间是如何工作的,如何通过改变STP的参数来改变生成树的状态。另外,学员应能通过debug信息分析STP的构建过程。
3、 让学员学会GVRP的动态注册过程。
4、 让学员学会如何利用三层交换机实现不同VLAN间的通信以及如何限制不同VLAN间的通信。
5、 让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6、 让学员学会交换机的其他配置,例如:端口聚合、ACL、端口监控。
7、 让学员具备在三层交换机和路由器上配置OSPF动态路由协议的能力,使得交换网中的PC机能访问外部广域网或Internet。
2.2 实验环境Quidway S3026以太网交换机 4 台,Quidway S3526以太网交换机1台
Quidway 2501路由器 1台,
PC机4台,标准网线13根
Quidway S3026软件版本:V100R002B01D011;Bootrom版本:V1.1
Quidway S3526软件版本:V100R001B02D006;Bootrom版本:V3.0
Quidway 2501路由器 VRP版本: VRP 1.2以上
--------------------------------------------------------------------------------
-- 作者:admin
-- 发布时间:2005-4-18 9:49:23
--
2.4 实验步骤
1、 如上图所示将设备互连起来,并给每台PC机配置好IP地址。
分配给PC机的IP地址如下:
PCA:10.1.1.1
PCB:10.1.2.1
PCC:10.1.1.2
PCD:10.1.3.1
掩码:255.255.255.0
2、 如上图所示配置四台PC机属于相关的VLAN。配置端口聚合使得SwitchA和SwitchB、SwitchA和SwitchC之间的带宽为200Mbps。配置某些端口为trunk端口并允许以上的所有VLAN通过。在所有交换机的trunk端口上配置GVRP,使得VLAN信息能被动态注册。在所有交换机上配置STP以避免由于交换机之间的路径回环而产生“广播风暴”。然后测试同一VLAN间的PC机能否正常Ping通。
3、 用“show spanning-tree”命令观察生成树的状态。
以下是SwitchA(S3526)的生成树状态:
SwitchA#show spanning-tree statistics e0/1
The bridge is executing the IEEE Rapid Spanning Tree protocol
The bridge has priority 32768, MAC address: 00e0.fc06.81e0
Configured Hello Time 2, Max Age 20, Forward Delay 15
Root Bridge has priority 32768, MAC address 00e0.fc06.81e0
Path cost to root bridge is 0
Port 1 (Ethernet0/1) of bridge is Forwarding
Spanning tree protocol is enabled
The port is a DesignatedPort
Port path cost 180
Port priority 128
Designated bridge has priority 32768, MAC address 00e0.fc06.81e0
Configured as a non-edge port
Connected to a point-to-point LAN segment
Maximum transmission limit is 3 BPDUs per hello time
Times: Hello Time 2, Max Age 20
Forward Delay 15, Message Age 0
sent BPDU: 8584
TCN: 0, RST: 8584, Config BPDU: 0
received BPDU: 7657
TCN: 0, RST: 7657, Config BPDU: 0
SwitchA# show spanning-tree statistics e0/9
The bridge is executing the IEEE Rapid Spanning Tree protocol
The bridge has priority 32768, MAC address: 00e0.fc06.81e0
Configured Hello Time 2, Max Age 20, Forward Delay 15
Root Bridge has priority 32768, MAC address 00e0.fc06.81e0
Path cost to root bridge is 0
Port 9 (Ethernet0/9) of bridge is Forwarding
Spanning tree protocol is enabled
The port is a DesignatedPort
Port path cost 180
Port priority 128
Designated bridge has priority 32768, MAC address 00e0.fc06.81e0
Configured as a non-edge port
Connected to a point-to-point LAN segment
Maximum transmission limit is 3 BPDUs per hello time
Times: Hello Time 2, Max Age 20
Forward Delay 15, Message Age 0
sent BPDU: 6563
TCN: 0, RST: 6563, Config BPDU: 0
received BPDU: 5377361
TCN: 0, RST: 5377361, Config BPDU: 0
--------------------------------------------------------------------------------
-- 作者:admin
-- 发布时间:2005-4-18 9:51:05
--
以下是SwitchB(S3026)的生成树状态:
SwitchB>enable
SwitchB# show spanning-tree interface e0/1
The bridge is executing the IEEE Rapid Spanning Tree protocol
The bridge has priority 32768, MAC address: 00e0.fc07.707c
Configured Hello Time 2, Max Age 20, Forward Delay 15
Root Bridge has priority 32768, MAC address 00e0.fc06.81e0
Path cost to root bridge is 180
Port 1 (Ethernet0/1) of bridge is Forwarding
Spanning tree protocol is enabled
The port is a RootPort
Port path cost 180
Port priority 128
Designated bridge has priority 32768, MAC address 00e0.fc06.81e0
Configured as a non-edge port
Connected to a point-to-point LAN segment
Maximum transmission limit is 3 BPDUs per hello time
Times: Hello Time 2, Max Age 20
Forward Delay 15, Message Age 0
sent BPDU: 9
TCN: 0, RST: 9, Config BPDU: 0
received BPDU: 3903
TCN: 0, RST: 3903, Config BPDU: 0
你可以通过观察所有这些端口的信息来描述这棵生成树。
还可以用“debug stp packet”命令来进一步观察STP生成的BPDU信息:
以下是debug信息:
SwitchA#debug stp packet
SwitchA#terminal debug
*0.28473716-RSTP-8-PACKET:
Port0: Sent Packet
*0.28473775-RSTP-8-PACKET:
Protocol Identifier: 0000
Protocol Version ID: 02
BPDU Type: 02
Flags: 2c
Root Identifier: 80.00.00.e0.fc.06.81.e0
Root Path Cost: 0000
Bridge Identifier: 80.00.00.e0.fc.06.81.e0
Port Identifier: 80.01
Message Age: 0000
Max Age: 1400
Hello Time: 0200
Forward Delay: 0f00
Version 1 Length: 00
改变交换机的一些配置参数,例如priority、path cost、hello time、max age、forward delay、bridge diameter。然后用上面的命令观察生成树的变化。
4、用“show interface”命令观察每台交换机上trunk端口的VLAN注册状态。下面是GVRP注册状态的结果:
SwitchC(config)#show interface e0/10
Ethernet0/10 is up
Hardware is Fast Ethernet, Hardware address is 00e0.fc07.7042
Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
Flow control is disabled
Broadcast max-ratio is 100
PVID is 1
Mdi type: auto
It is a vlan trunking port, vlan(s) passing this port:
1(default vlan), 2-3
vlan(s) allowed to pass this port:
1(default vlan), 2-4000
It is not a monitor port
It doesn\'t belong to a port-aggregation
28287 packets output
2210677 bytes, 13133 multicasts, 241 broadcasts, 0 pauses
17511 packets input
1504252 bytes, 2373 multicasts, 240 broadcasts, 0 pauses
0 FCS errors
0 long frames
SwitchC(config)#show interface e0/9
Ethernet0/9 is up
Hardware is Fast Ethernet, Hardware address is 00e0.fc07.7042
Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX
Flow control is disabled
Broadcast max-ratio is 100
PVID is 1
Mdi type: auto
It is a vlan trunking port, vlan(s) passing this port:
1(default vlan), 2, 4
vlan(s) allowed to pass this port:
1(default vlan), 2-4000
It is not a monitor port
It doesn\'t belong to a port-aggregation
27603 packets output
2182362 bytes, 12321 multicasts, 357 broadcasts, 0 pauses
18249 packets input
1537891 bytes, 3171 multicasts, 126 broadcasts, 0 pauses
0 FCS errors
0 long frames
在SwitchB上注册VLAN6-10,在SwitchD上注册VLAN11-15,在SwitchE上注册VLAN16-20。用“show interface”命令和“show vlan”命令来观察每个trunk端口的VLAN注册状态。复习GVRP原理并说明原因。
5、在SwitchA上配置VLAN2的接口地址为10.1.1.100,配置VLAN3的接口地址为10.1.2.100,配置VLAN4的接口地址为10.1.3.100。配置PCA和PCC的网关为10.1.1.100,PCB的网关为10.1.2.100,PCD的网关为10.1.3.100。试着在PC机之间互相Ping,看是否能Ping通。然后在SwitchA上配置ACL来限制VLAN2和VLAN3内的PC机相互通信。
6、配置RouterA接口S0的IP地址为202.101.10.1,并在RouterA和SwitchA上启动OSPF。
试着在任意一台PC上PingRouterA接口S0的IP地址,测试PC机和RouterA之间的通信。
用“show ip route”命令来观察OSPF路由。
配置如下:
SwitchA#show running-config
Building running configuration...
Current configuration is :
!
hostname SwitchA
rule-map l3 net1tonet2 10.1.1.0 255.255.255.0 10.1.2.0 255.255.255.0
flow-action net1tonet2 deny
acl net1tonet2 net1tonet2 net1tonet2
access-group net1tonet2
spanning-tree enable
link-aggregation Ethernet0/1 to Ethernet0/2 ingress-egress
link-aggregation Ethernet0/9 to Ethernet0/10 ingress-egress
gvrp enable
!
interface Aux0/0
!
vlan 1
!
vlan 2
!
vlan 3
!
vlan 4
!
interface Ethernet0/1
--------------------------------------------------------------------------------
-- 作者:admin
-- 发布时间:2005-4-18 9:51:18
--
trunk all
gvrp enable
!
interface Ethernet0/10
trunk all
gvrp enable
!
interface Ethernet0/11
………………..
interface Ethernet0/2
trunk all
gvrp enable
!
……………
!
interface Ethernet0/9
trunk all
gvrp enable
!
interface NULL0
!
interface VLAN-Interface1
ip address 202.101.10.2 255.255.255.0
!
interface VLAN-Interface2
ip address 10.1.1.100 255.255.255.0
!
interface VLAN-Interface3
ip address 10.1.2.100 255.255.255.0
!
interface VLAN-Interface4
ip address 10.1.3.100 255.255.255.0
!
!
router ospf
network 10.1.1.0 0.0.0.255 area 0.0.0.0
network 10.1.2.0 0.0.0.255 area 0.0.0.0
network 10.1.3.0 0.0.0.255 area 0.0.0.0
network 202.101.10.0 0.0.0.255 area 0.0.0.0
!
!
!
line aux 0
no login
line vty 0 4
!
end
RouterA#show running-config
Now create configuration...
Current configuration
!
hostname RouterA
!
interface Ethernet0
ip address 202.101.10.1 255.255.255.0
ip ospf enable area 0.0.0.0
!
interface Serial0
encapsulation ppp
!
interface Serial1
encapsulation ppp
!
interface Serial2
flowcontrol normal
async mode dedicated
encapsulation ppp
!
exit
router ospf enable
!
end
RouterA#show ip route
Routing Tables:
Destination/Mask Proto Pref Metric Nexthop Interface
10.1.1.0/24 OSPF 10 20 202.101.10.2 Ethernet0
10.1.2.0/24 OSPF 10 20 202.101.10.2 Ethernet0
10.1.3.0/24 OSPF 10 20 202.101.10.2 Ethernet0
127.0.0.0/8 Static 0 0 127.0.0.1 LoopBack0
127.0.0.1/32 Direct 0 0 127.0.0.1 LoopBack0
202.101.10.0/24 Direct 0 0 202.101.10.1 Ethernet0
202.101.10.1/32 Direct 0 0 127.0.0.1 LoopBack0
7、在每台交换机和RouterA上配置enable password和line login password,观察他们能否相互Ping通,并试着从PC机和交换机上telnet到交换机或RouterA上。
--------------------------------------------------------------------------------
-- 作者:admin
-- 发布时间:2005-4-18 9:51:57
--
你可以将每台交换机的VLAN1接口配置如下:
SwitchA的VLAN1接口:202.101.10.2
SwitchB的VLAN1接口:202.101.10.3
SwitchC的VLAN1接口:202.101.10.4
SwitchD的VLAN1接口:202.101.10.5
SwitchE的VLAN1接口:202.101.10.6
以下是SwitchA的配置,其余交换机的配置也是类似的:
SwitchA#show running-config
Building running configuration...
Current configuration is :
!
hostname SwitchA
enable password level 15 7 `C3CJaRZSBZa-,^U52H(_A!!
user huawei password 0 huawei
spanning-tree enable
link-aggregation Ethernet0/1 to Ethernet0/2 ingress-egress
link-aggregation Ethernet0/9 to Ethernet0/10 ingress-egress
gvrp enable
!
interface Aux0/0
!
vlan 1
!
vlan 2
!
vlan 3
!
vlan 4
!
interface Ethernet0/1
trunk all
gvrp enable
!
interface Ethernet0/10
trunk all
gvrp enable
!
interface Ethernet0/11
…………
interface Ethernet0/2
trunk all
gvrp enable
!
interface Ethernet0/20
………….
interface Ethernet0/9
trunk all
gvrp enable
!
interface NULL0
!
interface VLAN-Interface1
ip address 202.101.10.2 255.255.255.0
!
interface VLAN-Interface2
ip address 10.1.1.100 255.255.255.0
!
interface VLAN-Interface3
ip address 10.1.2.100 255.255.255.0
interface VLAN-Interface4
ip address 10.1.3.100 255.255.255.0
router ospf
network 10.1.1.0 0.0.0.255 area 0.0.0.0
network 10.1.2.0 0.0.0.255 area 0.0.0.0
network 10.1.3.0 0.0.0.255 area 0.0.0.0
network 202.101.10.0 0.0.0.255 area 0.0.0.0
!
!
!
line aux 0
no login
line vty 0 4
login local
!
end
SwitchE#telnet 202.101.10.2
Trying 202.101.10.2 ...
Connected to 202.101.10.2 ...
User Access Verification
Username:huawei
Password:
SwitchA>enable
Password:
SwitchA#
8、试着在SwitchA上用端口e0/3监控e0/1,和端口e0/3的相连的PC机使用netXray或其它抓包软件来分析数据包,这样你就可以更清楚的观察发送的信息。
