H3C-S3600系列交换机配置.ppt

资源描述

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,H3C S3600,系列交换机配置,1,目录,基本命令,交换,网络管理,安全管理,2,命令行接口简介,H3C,系列以太网交换机向用户提供一系列配置命令以及命令行接口，方便用户配置和管理以太网交换机。命令行接口有如下特性：,配置命令分级保护，确保未授权用户无法使用相关的命令对交换机进行配置。,用户可以随时键入,以获得在线帮助。,提供网络测试命令，如,Tracert,、,Ping,等，帮助用户迅速诊断网络是否正常。,提供种类丰富、内容详尽的调试信息，帮助用户诊断、定位网络故障。,提供类似,Doskey,的功能，可以执行某条历史命令。,交换机对命令行关键字采取不完全匹配的搜索方法，用户只需键入无冲突关键字即可正确执行。,3,命令行分级,H3C,系列以太网交换机的命令行采用分级保护方式，防止未授权用非法侵入。,命令行划分为访问级、监控级、系统级、管理级,4,个级别，简介如下：,访问级：包含的命令用于网络诊断、用户界面的语言模式切换。包括,ping,、,tracert,、,language-mode,命令等，该级别命令不能被保存到配置文件中。,监控级：包含的命令用于系统维护、业务故障诊断等。包括,display,、,debugging,命令等，该级别命令不能被保存到配置文件中。,系统级：包含的命令用于业务配置。包括各个网络层次的命令，用于向用户提供直接网络服务。,管理级：包含的命令关系到系统的基本运行、系统支撑的模块，这些命令对业务提供支撑作用。包括文件系统、,FTP,、,TFTP,下载、用户管理命令、级别设置命令等。,登录交换机的用户也划分为,4,个级别，分别与命令级别相对应，即不同级别的用户登录后，只能使用等于或低于自己级别的命令。,4,命令视图,各命令行视图是针对不同的配置要求实现的，它们之间有联系又有区别，比如，与以太网交换机建立连接即进入用户视图，它只完成查看运行状态和统计信息的简单功能，再键入,system-view,进入系统视图，在系统视图下，可以键入不同的命令进入相应的视图。,5,命令视图,视图,功能,提示符,进入命令,退出命令,用户视图,查看交换机的简单运行状态和统计信息,与交换机建立连接即进入,quit,断开与交换机连接,系统视图,配置系统参数,H3C,在用户视图下键入,system-view,quit,或,return,返回用户视图,以太网端口视图,配置以太网端口参数,H3C-Ethernet1/0/1,百兆以太网端口视图,在系统视图下键入,interface ethernet 1/0/1,quit,返回系统视图,return,返回用户视图,H3C-GigabitEthernet1/1/1,千兆以太网端口视图,在系统视图下键入,interface gigabitethernet 1/1/1,6,配置系统名,用途,用户名是设备的名字，目的是让用户更加方便的使用设备,配置命令,sysname,7,接口描述,用途,接口描述是为了指明接口的一些属性，如是什么接口，对端接的什么设备等，让用户更加了解该接口,配置命令,interface ethernet0/1,description connect to student,8,接口,IP,地址的配置,用途,给接口一个网络上唯一的区分符,配置命令,interface vlan 1,ip address 168.10.2.1,255.255.255.0,9,查看交换机信息,用途,让用户对设备的信息更了解，也有利于对设备做配置,配置命令,显示版本,display version,显示当前配置信息,display current,显示,NVRAM,的配置,display saved-config,显示接口信息,display interface XX,显示路由信息,display ip routing-table,10,调试交换机,用途,更细致的查看交换机的各种数据包，帮助发现网络问题,常用调试命令,terminal debugging,terminal monitor,debugging ip packet,undo debugging all,11,端口镜像,用途,通过镜像来抓取网络流量，帮助分析网络问题,配置命令,monitor-port Ethernet 0/1 both,（监控端口）,mirroring-port Ethernet0/2 both,（源端口）,12,目录,基本命令,交换,网络管理,安全管理,13,VLAN,（,Virtual Local Area Network,）,VLAN,（,Virtual Local Area Network,）技术是把一个,LAN,划分成多个逻辑的“,LAN”,VLAN,，每个,VLAN,是一个广播域，,VLAN,内的主机间通信就和在一个,LAN,内一样，而,VLAN,间则不能直接互通，这样，广播报文被限制在一个,VLAN,内。,14,命令行,(1),创建,VLAN,.,vlan,100,(,1-4094,),删除,VLAN,.,undo,vlan,100,(,1-4094,),在,VLAN,中增加端口,.,port,Ethernet,2/0/1,在,VLAN,中删除端口,.,undo,port,Ethernet,2/0/1,15,命令行,(2),将端口加入,VLAN,port,access,vlan,100(,1-4094,),将端口脱离,VLAN,undo,port,access,vlan,100,(,1-4094,),显示,VLAN,信息,display,vlan,VLAN,ID,(,1-4094,),16,端口类型,【,命令,】,port link-type,access,|,hybrid,|,trunk,undo port link-type,【,视图,】,以太网端口视图,【,参数,】,access,：设置端口的链路类型为,Access,。,hybrid,：设置端口的链路类型为,Hybrid,。,trunk,：设置端口的链路类型为,Trunk,。,【,举例,】,#,将以太网端口,Ethernet1/0/1,设置为,Trunk,端口。,system-view,System View:return to User View with Ctrl+Z.,H3C interface ethernet1/0/1,H3C-Ethernet1/0/1 port link-type trunk,17,配置,Trunk,允许通过的,VLAN,【,命令,】,port trunk permit vlan,vlan-id-list,|,all,undo port trunk permit vlan,vlan-id-list,|,all,【,视图,】,以太网端口视图,【,参数,】,vlan-id-list,：,vlan-id-list,=,vlan-id1,to,vlan-id2,&,，为此,Trunk,端口加入,的,VLAN,的范围，可以是离散的，,vlan-id,取值范围为,1,4094,。,&,表示前面,的参数最多可以重复输,10,次。,all,：将,Trunk,端口加入到所有,VLAN,中。,【,举例,】,#,将,Trunk,端口,Ethernet1/0/1,加入到,2,、,4,、,50,100 VLAN,中。,H3C interface ethernet1/0/1,H3C-Ethernet1/0/1 port trunk permit vlan 2 4 50 to 100,18,指定,Trunk PVID,号,【,命令,】,port trunk pvid vlan,vlan-id,undo port trunk pvid,【,视图,】,以太网端口视图,【,参数,】,vlan-id,：指定的,VLAN ID,，取值范围为,1,4094,。缺省值为,1,。,【,举例,】,#,将,Trunk,端口,Ethernet1/0/1,的缺省,VLAN,设为,100,。,system-view,System View:return to User View with Ctrl+Z.,H3C interface ethernet1/0/1,H3C-Ethernet1/0/1 port trunk pvid vlan 100,19,Link,Aggregation,端口汇聚是将多个端口汇聚在一起形成一个汇聚组，在汇聚组中的各个成员端口之间，实现出,/,入负荷的分担，同时也提供了更高的连接可靠性。按照汇聚组类型的不同，端口汇聚组可以分为负载分担汇聚组和非负载分担汇聚组。,同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括,STP,、,QoS,、,VLAN,、端口属性等相关配置。、,STP,配置一致，包括：端口的,STP,使能,/,关闭、与端口相连的链路属性（如点对点或非点对点）、,STP,优先级、报文发送速率限制、是否环路保护、是否根保护、是否为边缘端口。,QoS,配置一致，包括：流量限速、优先级标记、缺省的,802.1p,优先级、带宽保证、拥塞避免、流重定向、流量统计等。,VLAN,配置一致，包括：端口上允许通过的,VLAN,、端口缺省,VLAN ID,。端口属性配置一致，包括：端口的速率、双工模式、链路类型（即,Trunk,、,Hybrid,、,Access,类型）。,20,静态聚合端口,link-aggregation,Ethernet,0/1,to,Ethernet,0/4,both,删除端口的静态聚合,undo,link-aggregation,all,在端口下进行动态聚合,lacp,enable,在端口下取消动态聚合,undo,lacp enable,21,STP,（,Spanning Tree Protocol,）,STP,（,Spanning Tree Protocol,）是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法阻断某些冗余路径，将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。,22,(1),根桥,树形的网络结构必须有树根，于是,STP,引入了根桥,Root Bridge,）的概念。根桥在全网中有且只有一个，而且根桥会根据网络拓扑的变化而改变，因此根桥并不是固定的。,(2),根端口,所谓根端口，是指一个非根桥的设备上离根桥最近的端口。根端口负责与根桥进行通信。非根桥设备上有且只有一个根端口。根桥上没有根端口。,STP,的基本概念,23,(3),指定桥与指定端口,对于一台设备而言,指定桥：与本机直接相连并且负责向本机转发配置消息的设备指定端口：指定桥向本机转发配置消息的端口,对于一个局域网而言,指定桥：负责向本网段转发配置消息的设备,指定端口：指定桥向本网段转发配置消息的端口,(4),路径开销,路径开销是,STP,协议用于选择链路的参考值。,STP,协议通过计算路径开销，选择较为“强壮”的链路，阻塞多余的链路，将网络修剪成无环路的树型网络结构。,STP,的基本概念,24,STP,的基本原理,STP,采用的协议报文是,BPDU,（,Bridge Protocol Data Unit,，桥协议数据单元），也称为配置消息。,STP,通过在设备之间传递,BPDU,来确定网络的拓扑结构。,BPDU,中包含了足够的信息来保证设备完成生成树的计算过程。,根桥,ID,：由根桥的优先级和,MAC,地址组成；,根路径开销：到根桥的路径开销；,指定桥,ID,：由指定桥的优先级和,MAC,地址组成；,指定端口,ID,：由指定端口的优先级和端口名称组成；,配置消息在网络中传播的生存期：,Message Age,；,配置消息在设备中能够保存的最大生存期：,Max Age,；,配置消息发送的周期：,Hello Time,；,端口状态迁移的延时：,Forward Delay,。,25,MSTP 典型配置,以太网交换机支持,MSTP,（,Multiple Spanning Tree Protocol,，多生成树协议）功能，允许用户将一个或者多个,VLAN,映射到,MSTI,（,MultipleSpanningTreeInstance,，多生成树实例）上，但每个,VLAN,只允许对应一个,MSTI,。使指定,VLAN,的报文只在建立了映射关系的实例内发送，以节省通信开销和减少资源占用率。,26,定义,STP,模式,stp mode stp,取消,STP,模式,undo stp mode,定义,MSTP,模式,stp mode mstp,取消,MSTP,模式,undo stp mode,27,目录,基本命令,交换,网络管理,安全管理,28,SNMP,的介绍,介绍,简单网络管理协议（,SNMP,),是被广泛应用的一项工业标准，是目前用得最广泛的计算机网络管理协议,结构,SNMP,结构分为,NMS(Network Management Station),和,AGENT,两部分，,NMS,是运行客户端的工作站，,AGENT,是运行在网络设备上的服务端软件,SNMP,版本,SNMP,现在有三个版本，,SNMP v3/v2c/v1,SNMP v3,兼容,v1,和,v2c.,29,SNMP,的配置,SNMP,的配置包括：,启动和关闭,SNMP AGENT,服务,设置团体名,配置一个,SNMP,组,设置管理员的联系方法,允许禁止发送,Trap,报文,设置,Trap,目标主机的地址,指定发送报文的源地址,30,SNMP,实例配置,Snmp agent,129.102.149.23,Switch,129.102.149.1,31,System-view,进入视图,Snmp-agent community read public,只读团体属性名,public,Snmp-agent communty write private,只写团体属性名,private,Snmp-agent sys-inf contact Mr.wang-tel 3306,设置管理员联系方法,Snmp-agent sys-info location telephone 3rd floor,路由器物理位置,Snmp-agent trap enable,使能,trap,报文,Snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public,允许向网管工作站,129.102.149.23,发送,trap,报文，使用团体名为,public.,32,基本命令,交换,网络管理,安全管理,33,建立用户,34,设置用户级别切换密码,【,命令,】,super password,level,level,simple,|,cipher,password,undo super password,level,level,【,视图,】,系统视图,【,参数,】,level,：用户的级别，取值范围为,1,3,。缺省值为,3,，即不指定用户级别，表示设,置的是进入级别,3,的密码。,simple,：以明文方式显示口令。,cipher,：以密文方式显示口令。,password,：口令字符串。如果验证方式是,simple,，则,password,必须是明文口令。,35,配置,Console/Telnet,登录,【,命令,】,user-interface,type,first,-,number,last-number,【,视图,】,系统视图,【,参数,】,type,：用户界面的类型。,first-number,：需要配置的第一个用户界面。,last-number,：需要配置的最后一个用户界面。,【,举例,】,#,进入,VTY 0,用户界面进行配置。,system-view,System View:return to User View with Ctrl+Z.,H3C user-interface vty 0,H3C-ui-vty0,36,配置,Console/Telnet,登录,【,命令,】,authentication-mode,password,|,scheme,command-authorization,|,none,【,视图,】,用户界面视图,【,参数,】,password,：进行本地口令认证。,scheme,：进行本地或远端用户名和口令认证。,none,：不认证。,【,举例,】,#,配置,AUX,接口的认证方式为本地口令认证,H3C user-interface aux0,H3C-ui-aux0 authentication-mode password,37,访问控制列表,概述,为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表,ACL,（,Access Control List,）,定义的。,分类,基本的访问控制列表,（,basic acl,）,高级的访问控制列表,（,advanced acl,）,基于接口的访问控制列表,（,interface-based acl,）,基于,MAC,的访问控制列表,（,mac-based acl,）,38,标准访问列表的配置,在系统视图下，创建一个基本访问控制列表,acl number number/name name basic match-order config/auto,在基本访问控制列表试图下，配置,ACL,规则,rule rule-id permit/deny source sour-add sour-wildcast/any time-range time-name logging fragment vpn-instance vpn-instance-name,39,标准访问列表的配置,acl number 3000,rule 0 permit ip destination 10.17.0.0 0.0.255.255,40,

展开阅读全文