HC交换机基本配置培训.pptx

1、n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 STP原理及基本配置原理及基本配置n第三章第三章 ACL原理及基本配置原理及基本配置n第四章第四章 设备管理基本配置设备管理基本配置n第五章第五章 常用维护方法和命令常用维护方法和命令目录目录2VLANVLAN的产生原因广播风暴的产生原因广播风暴的产生原因广播风暴的产生原因广播风暴广播广播传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中3通过通过通过通过路由器隔离广播域路由器隔离广播域路由器隔离广播域路由器隔离广播域路由器路由器广播广播4通过通过通过通过VLANVLAN划分广播域划分广播域划

2、分广播域划分广播域BroadcastDomain1BroadcastDomain1VLAN10VLAN10BroadcastDomain2BroadcastDomain2VLAN20VLAN20BroadcastDomain3BroadcastDomain3VLAN30VLAN30市场部工程部财务部5以太网端口的链路类型以太网端口的链路类型lAccess link：只能允许某一个：只能允许某一个VLAN的的untagged数据流通过。数据流通过。lTrunk link：允许多个：允许多个VLAN的的tagged数据流和数据流和某一个某一个VLAN的的untagged数据流通过。数据流通过。lH

3、ybrid link：允许多个：允许多个VLAN的的tagged数据流和数据流和多个多个VLAN的的untagged数据流通过。数据流通过。lHybrid端口可以允许多个端口可以允许多个VLAN的报文发送时不携带标签，而的报文发送时不携带标签，而Trunk端口只允许缺省端口只允许缺省VLAN的报文发送时不携带标签。的报文发送时不携带标签。l三种类型的端口可以共存在一台设备上三种类型的端口可以共存在一台设备上6Access Link和和Trunk LinkAccesslinkAccesslinkTrunklinkT7Trunk Link和和VLANVLAN10VLAN10VLAN2VLAN2VL

4、AN10VLAN10VLAN3VLAN3VLAN2VLAN2VLAN10VLAN10 VLAN5VLAN5VLAN5VLAN5VLAN2VLAN2VLAN5VLAN5广播报文发送广播报文发送TrunkLinkTrunkL8VLAN2VLAN2VLAN3VLAN3VLAN3VLAN3VLAN2VLAN2带有带有VLAN3VLAN3标签的以太网帧标签的以太网帧带有带有VLAN2VLAN2标签的以太网帧标签的以太网帧不带不带VLANVLAN标签的标签的以太网帧以太网帧数据帧在网络通信中的变化数据帧在网络通信中的变化9VLAN配置命令（配置命令（1）创建VLAN.vlan 100 (1-4094)删除

5、VLAN.undo vlan 100 (1-4094)在VLAN中增加端口.port Ethernet 2/0/1在VLAN中删除端口.undo port Ethernet 2/0/1将端口加入VLANport access vlan 100(1-4094)将端口脱离VLANundoport access vlan 100(1-4094)显示VLAN信息 display vlan VLAN ID(1-4094)10VLAN配置命令（配置命令（2）定义端口属性为Trunk.port link-type trunk删除端口Trunk属性.undo port link-type定义端口可以传输的VL

6、AN.port trunk permit vlan VLAN ID 在VLAN中删除端口.undo port trunk permit vlan VLAN ID11配置配置VLAN虚接口虚接口为已存在的VLAN创建对应的VLAN接口，并进入VLAN接口视图interfaceVlan-interfacevlan-id删除一个VLAN接口undointerfaceVlan-interface*缺省情况下，在交换机上不存在VLAN接口*可以通过ipaddress命令配置IP地址，使接口可以为在该VLAN范围内接入的设备提供基于IP层的数据转发功能*在创建VLAN接口之前，必须先创建对应的VLAN，否

7、则无法创建VLAN接口12配置配置IP地址地址ipaddress命令用来配置VLAN接口/LoopBack接口的IP地址和掩码undoipaddress命令用来删除VLAN接口/LoopBack接口的IP地址和掩码ipaddressip-addressmask|mask-length subundoipaddress ip-addressmask|mask-length sub*在一般情况下，一个VLAN接口/LoopBack接口/网络管理接口配置一个IP地址即可，但为了使交换机的一个VLAN接口/LoopBack接口/网络管理接口可以与多个子网相连，一个VLAN接口/LoopBack接口/网

8、络管理接口最多可以配置多个IP地址，其中一个为主IP地址，其余为从IP地址13静态路由的配置命令和示例静态路由的配置命令和示例H3Cip route-static ip-addressmask|maskleninterface-type interfacce-name|nexthop-addresspreferencevaluereject|blackhole例如：iproute-static129.1.0.01610.0.0.2iproute-static129.1.0.0255.255.0.010.0.0.2iproute-static129.1.0.016Serial2/14主从主从IP

9、地址举例地址举例15VLAN配置举例配置举例 为保证部门间数据的二层隔离，现要求将为保证部门间数据的二层隔离，现要求将PC1和和Server1划分到划分到VLAN100中，中，PC2和和Server2划分到划分到VLAN200中。并分别为两个中。并分别为两个VLAN设置描述字符为设置描述字符为“Dept1”和和“Dept2”在在SwitchA上配置上配置VLAN接口，对接口，对PC1发往发往Server2的数据进行三层转发。的数据进行三层转发。两个部门分别使用两个部门分别使用192.168.1.0/24和和192.168.2.0/24两个网段两个网段16配置配置Switch A#创建VLAN1

10、00，并配置VLAN100的描述字符串为“Dept1”，将端口Ethernet1/0/1加入到VLAN100。system-viewSwitchAvlan100SwitchA-vlan100descriptionDept1SwitchA-vlan100portEthernet1/0/1SwitchA-vlan100quit#创建VLAN200，并配置VLAN200的描述字符串为“Dept2”。SwitchAvlan200SwitchA-vlan200descriptionDept2SwitchA-vlan200quit#创建VLAN100和VLAN200的接口，IP地址分别配置为192.168

11、1.1和192.168.2.1，用来对PC1发往Server2的报文进行三层转发。SwitchAinterfaceVlan-interface100SwitchA-Vlan-interface100ipaddress192.168.1.124SwitchA-Vlan-interface100quitSwitchAinterfaceVlan-interface200SwitchA-Vlan-17配置配置Switch B#创建VLAN100，并配置VLAN100的描述字符串为“Dept1”，将端口Ethernet1/0/13加入到VLAN100。system-viewSwitchBvlan100

12、SwitchB-vlan100descriptionDept1SwitchB-vlan100portEthernet1/0/13SwitchB-vlan103quit#创建VLAN200，并配置VLAN200的描述字符串为“Dept2”，将端口Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。SwitchBvlan200SwitchB-vlan200descriptionDept2SwotchB-vlan200portEthernet1/0/11Ethernet1/0/12SwitchB-18配置配置Switch A和和Switch B之间的链路之间的链路由于Sw

13、itchA和SwitchB之间的链路需要同时传输VLAN100和VLAN200的数据，所以可以配置两端的端口为Trunk端口，且允许这两个VLAN的报文通过。#配置SwitchA的Ethernet1/0/2端口。SwitchAinterfaceEthernet1/0/2SwitchA-Ethernet1/0/2portlink-typetrunkSwitchA-Ethernet1/0/2porttrunkpermitvlan100SwitchA-Ethernet1/0/2porttrunkpermitvlan200#配置SwitchB的Ethernet1/0/10端口。SwitchBinter

14、faceEthernet1/0/10SwitchB-Ethernet1/0/10portlink-typetrunkSwitchB-Ethernet1/0/10porttrunkpermitvlan100SwitchB-Ethernet1/0/19注意事项注意事项lVLAN 1 -缺省就有，不需要创建，也无法删除缺省就有，不需要创建，也无法删除 -不建议用作业务不建议用作业务VLAN -可以用作管理可以用作管理VLAN lTrunk链路链路 -只允许所需的只允许所需的VLAN通过，不要配置通过，不要配置 port trunk permit vlan all -最好配置上最好配置上undo po

15、rt trunk permit vlan 1n第一章第一章 VLAN原理及基本配置原理及基本配置n第二章第二章 STP原理及基本配置原理及基本配置n第三章第三章 ACL原理及基本配置原理及基本配置n第四章第四章 设备管理基本配置设备管理基本配置n第五章第五章 常用维护方法和命令常用维护方法和命令目录目录21生成树生成树lSTP（SpanningTreeProtocol，生成树协议）是根据IEEE协会制定的802.1D标准建立的，用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路，并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构

16、从而防止报文在环路网络中不断增生和无限循环，避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。22STP配置命令配置命令启动全局启动全局STP特性特性 stp enable关闭全局关闭全局STP特性特性 undo stp enable*全局开启后，每个接口下的全局开启后，每个接口下的STP功能也被打开功能也被打开接口视图下关闭接口视图下关闭STP特性特性 stp disable接口下开启接口下开启STP特性特性 stp 23STP的交换机保护功能的交换机保护功能1.Root保护功能保护功能由于维护人员的错误配置或网络中的恶意攻击，网络中的合由于维护人员的错误配置或网络中的恶意攻

17、击，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前根桥法根桥有可能会收到优先级更高的配置消息，这样当前根桥会失去根桥的地位，引起网络拓扑结构的错误变动。这种不会失去根桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。低速链路上，导致网络拥塞。stp root primary命令用来指定当前交换机作为指命令用来指定当前交换机作为指定生成树实例的根桥。定生成树实例的根桥。undo stp root命令用来取消当前交换机作为指定生命令用来取消当前交换机作为指定生成树

18、实例的根桥资格。成树实例的根桥资格。stp instance 0 root 24STP优化优化-边缘端口边缘端口边缘端口是指不直接与任何交换机连接，也不通过端口所连边缘端口是指不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连的端口。接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口，那么当该端口由阻塞用户如果将某个端口指定为边缘端口，那么当该端口由阻塞状态向转发状态迁移时，这个端口可以实现快速迁移，而无状态向转发状态迁移时，这个端口可以实现快速迁移，而无需等待延迟时间。需等待延迟时间。在交换机没有开启在交换机没有开启BPDU保护的情况下，如果被设置为边缘保

19、护的情况下，如果被设置为边缘端口的端口上收到来自其它端口的端口的端口上收到来自其它端口的BPDU报文，则该端口会报文，则该端口会重新变为非边缘端口。重新变为非边缘端口。对于直接与终端相连的端口，请将该端口设置为边缘端口，对于直接与终端相连的端口，请将该端口设置为边缘端口，同时启动同时启动BPDU保护功能。这样既能够使该端口快速迁移到保护功能。这样既能够使该端口快速迁移到转发状态，也可以保证网络的安全。转发状态，也可以保证网络的安全。25边缘端口配置边缘端口配置stp edged-port enable命令用来将当前的以太网端命令用来将当前的以太网端口配置为边缘端口口配置为边缘端口stp edg

20、ed-port disable命令用来将当前的以太网命令用来将当前的以太网端口配置为非边缘端口端口配置为非边缘端口undo stp edged-port命令用来将当前的以太网端命令用来将当前的以太网端口恢复为缺省状态，即非边缘端口。口恢复为缺省状态，即非边缘端口。*缺省情况下，交换机所有以太网端口均被配置为非缺省情况下，交换机所有以太网端口均被配置为非边缘端口边缘端口26STP的交换机保护功能的交换机保护功能2.BPDU保护功能保护功能边缘端口接收到配置消息后，系统会自动将这些端口设置为非边缘端口接收到配置消息后，系统会自动将这些端口设置为非边缘端口，重新计算生成树，这样就引起网络拓扑的震荡。

21、边缘端口，重新计算生成树，这样就引起网络拓扑的震荡。正常情况下，边缘端口应该不会收到生成树协议的配置消息。正常情况下，边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后，如果边缘端口收到了配置消息，系统就将这些保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被端口关闭，同时通知网管这些端口被MSTP关闭。被关闭的边关闭。被关闭的边缘端口只能由网络

22、管理人员恢复。缘端口只能由网络管理人员恢复。27查看查看STP信息信息displaystpbrief显示STP生成树的简要状态信息。displaystpinstance0interfaceEthernet1/0/1toEthernet1/0/4briefMSTIDPortRoleSTPStateProtection0Ethernet1/0/1ALTEDISCARDINGLOOP0Ethernet1/0/2DESIFORWARDINGNONE0Ethernet1/0/3DESIFORWARDINGNONE0Ethernet1/0/4DESIFORWARDINGNONEn第一章第一章 VLAN原理

23、及基本配置原理及基本配置n第二章第二章 STP原理及基本配置原理及基本配置n第三章第三章 ACL原理及基本配置原理及基本配置n第四章第四章 设备管理基本配置设备管理基本配置n第五章第五章 常用维护方法和命令常用维护方法和命令目录目录29ACL访问控制列表访问控制列表为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（AccessControlList，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。

24、ACL可应用在交换机全局或端口上，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。30以太网访问列表以太网访问列表l主要作用:在整个网络中分布实施接入安全性服务器服务器服务器服务器部门部门部门部门 A A部门部门部门部门 B BIntranetI31访问控制列表访问控制列表ACL对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包过滤包过滤镜像镜像流量限制流量限制流量统计流量统计分配队列优先级分配队列优先级32流分类流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型以太网帧承载的数据类型源源/目

25、的目的MAC地址地址以太网封装格式以太网封装格式Vlan ID入入/出端口出端口3/4层流分类项协议类型协议类型源源/目的目的IP地址地址源源/目的端口号目的端口号DSCP33IP 数据包过滤数据包过滤IPheaderIPheader TCPheaderTCPheader Application-levelheaderApplication-levelheaderDataData应用程序和数据应用程序和数据应用程序和数据应用程序和数据源源源源/目的端口号目的端口号目的端口号目的端口号源源源源/目的目的目的目的IPIP地址地址地址地址L3/L4L3/L4过滤过滤过滤过滤应用网关应用网关应用网关应

26、用网关TCP/IPTCP/IP包过滤元素包过滤元素包过滤元素包过滤元素34访问控制列表的构成访问控制列表的构成lRule（访问控制列表的子规则）lTime-range（时间段机制）lACL=rules+time-range（访问控制列表由一系列规则组成，有必要时会和时间段结合）访问控制列表访问控制列表访问控制列表访问控制列表策略策略策略策略:ACL1:ACL1策略策略策略策略:ACL2:ACL2策略策略策略策略:ACL3:ACL3.策略策略策略策略:ACLN:ACLN35时间段的相关配置时间段的相关配置l l在系统视图下，配置时间段在系统视图下，配置时间段:time-range time-ra

27、nge time-nametime-name start-timestart-time to to end-end-timetime days-of-the-week days-of-the-week from from start-datestart-date to to end-dateend-date l l在系统视图下，删除时间段在系统视图下，删除时间段:undo time-rangeundo time-range time-name start-time time-name start-time toto end-time days-of-the-week end-time days

28、of-the-week fromfrom start-start-date date toto end-date end-date l l假设管理员需要在从假设管理员需要在从20022002年年1212月月1 1日上午日上午8 8点到点到20032003年年1 1月月1 1日下午日下午1818点的时间段内实施安全策略，点的时间段内实施安全策略，可以定义时间段名为可以定义时间段名为denytimedenytime，具体配置如下，具体配置如下:H3Ctime-range denytime from 8:00 12-01-H3Ctime-range denytime from 8:00 12-01

29、2002 to 18:00 01-01-20032002 to 18:00 01-01-36访问控制列表的类型访问控制列表的类型l20002999：表示基本：表示基本ACL。只根据数据包的源。只根据数据包的源IP地址地址制定规则。制定规则。l30003999：表示高级：表示高级ACL（3998与与3999是系统为集群是系统为集群管理预留的编号，用户无法配置）。根据数据包的源管理预留的编号，用户无法配置）。根据数据包的源IP地地址、目的址、目的IP地址、地址、IP承载的协议类型、协议特性等三、四承载的协议类型、协议特性等三、四层信息制定规则。层信息制定规则。l40004999：表示二层：表示二

30、层ACL。根据数据包的源。根据数据包的源MAC地址、地址、目的目的MAC地址、地址、802.1p优先级、二层协议类型等二层信优先级、二层协议类型等二层信息制定规则。息制定规则。l50005999：表示用户自定义：表示用户自定义ACL。以数据包的头部为。以数据包的头部为基准，指定从第几个字节开始与掩码进行基准，指定从第几个字节开始与掩码进行“与与”操作，将操作，将从报文提取出来的字符串和用户定义的字符串进行比较，从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。找到匹配的报文。37定义访问控制列表定义访问控制列表 l l在系统视图下，定义在系统视图下，定义ACLACL并进入访问控

31、制列表视图并进入访问控制列表视图:acl number acl number acl-number|acl-number|namename acl-name acl-name basic|advanced|interface|link match-basic|advanced|interface|link match-order config|auto order config|auto l l在系统视图下，删除在系统视图下，删除ACL:ACL:undo aclundo acl numbernumber acl-number|acl-number|namename acl-acl-name|n

32、ame|allall 38基本访问控制列表的规则配置基本访问控制列表的规则配置l l在基本访问控制列表视图下，配置相应的规则在基本访问控制列表视图下，配置相应的规则rule rule rule-id rule-id permit|deny source permit|deny source source-addr source-wildcardsource-addr source-wildcard|any|any fragment time-range fragment time-range time-range-name time-range-name l l在基本访问控制列表视图下，删除一

33、条子规则在基本访问控制列表视图下，删除一条子规则undo rule undo rule rule-idrule-id source fragment source fragment time-range time-range 39高级访问控制列表的规则配置高级访问控制列表的规则配置l l在高级访问控制列表视图下，配置相应的规则在高级访问控制列表视图下，配置相应的规则rule rule rule-id rule-id permit|deny permit|deny protocolprotocol source source source-addr source-wildcardsource-a

34、ddr source-wildcard|any destination|any destination dest-addr dest-maskdest-addr dest-mask|any soure-port|any soure-port operator operator port1port1 port2 port2 destination-port destination-port operator port1 operator port1 port2 port2 icmp-type icmp-type icmp-typeicmp-type icmp-code icmp-code est

35、ablished precedence established precedence precedenceprecedence tos tos tostos|dscp dscp dscpdscp fragment time-range fragment time-range time-range-time-range-namename l l在高级访问控制列表视图下，删除一条子规则在高级访问控制列表视图下，删除一条子规则undo rule undo rule rule-idrule-id source destination soure-source destination soure-por

36、t destination-port precedence tos|port destination-port precedence tos|dscp fragment time-range dscp fragment time-range 40端口操作符及语法端口操作符及语法l lTCP/UDPTCP/UDP协议支持的端口操作符及语法协议支持的端口操作符及语法操作符及语法操作符及语法操作符及语法操作符及语法含义含义含义含义eq eq portnumberportnumber等于等于等于等于portnumberportnumbergt gt portnumberportnumber大于大于大于

37、大于portnumberportnumberlt lt portnumberportnumber小于小于小于小于portnumberportnumberneq neq portnumberportnumber不等于不等于不等于不等于portnumberportnumberrange range portnumber1portnumber1portnumber2portnumber2介于端口号介于端口号介于端口号介于端口号portnumber1portnumber1和和和和portnumber2portnumber2之间之间之间之间41接口访问控制列表的规则配置接口访问控制列表的规则配置l l在

38、接口访问控制列表视图下，配置相应的规则在接口访问控制列表视图下，配置相应的规则rule rule rule-id rule-id permit|deny interface permit|deny interface interface-nameinterface-name|interface-typeinterface-type interface-interface-numnum|any time-range|any time-range time-range-nametime-range-name l l在接口访问控制列表视图下，删除一条子规则在接口访问控制列表视图下，删除一条子规则un

39、do rule undo rule rule-idrule-42二层访问控制列表的规则配置二层访问控制列表的规则配置l l在二层访问控制列表视图下，配置相应的规则在二层访问控制列表视图下，配置相应的规则rule rule rule-id rule-id permit|deny permit|deny protocol protocol cos cos vlan-privlan-pri ingress ingress source-vlan-idsource-vlan-id source-mac-addrsource-mac-addr source-mac-wildcard source-mac

40、wildcard interface interface interface-nameinterface-name|interface-type interface-type interface-numinterface-num|any egress|any egress dest-dest-mac-addrmac-addr dest-mac-wildcard dest-mac-wildcard interface interface interface-nameinterface-name|interface-type interface-interface-type interface-

41、numnum|any time-range|any time-range time-range-time-range-namename l l在二层访问控制列表视图下，删除一条子规则在二层访问控制列表视图下，删除一条子规则undo rule undo rule rule-idrule-43自定义访问控制列表的规则配置自定义访问控制列表的规则配置l l在自定义访问控制列表视图下，配置相应的规则在自定义访问控制列表视图下，配置相应的规则rule rule rule-id rule-id permit|deny permit|deny rule-stringrule-string rule-mask

42、rule-mask offsetoffset&time-range&time-range time-time-range-namerange-name l l在自定义访问控制列表视图下，删除一条子规则在自定义访问控制列表视图下，删除一条子规则undo rule undo rule rule-idrule-idl用户自定义访问控制列表的数字标识取值范用户自定义访问控制列表的数字标识取值范围为围为44规则匹配原则规则匹配原则l一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：Config：指定匹配该规则时按用户

43、的配置顺序（后：指定匹配该规则时按用户的配置顺序（后下发先生效）下发先生效）Auto：指定匹配该规则时系统自动排序（按：指定匹配该规则时系统自动排序（按“深度深度优先优先”的顺序）的顺序）45激活访问控制列表激活访问控制列表l l在系统视图下，激活在系统视图下，激活ACL:ACL:packet-filter user-group packet-filter user-group acl-numberacl-number|acl-acl-namename rule rule rulerule|ip-group|ip-group acl-acl-numbernumber|acl-nameacl-n

44、ame rule rule rulerule link-link-group group acl-numberacl-number|acl-nameacl-name rule rule rulerule l l在系统视图下，取消激活在系统视图下，取消激活ACL:ACL:undo packet-filter user-group undo packet-filter user-group acl-numberacl-number|acl-nameacl-name rule rule rulerule|ip-group|ip-group acl-acl-numbernumber|acl-namea

45、cl-name rule rule rulerule link-link-group group acl-numberacl-number|acl-nameacl-name rule rule rulerule 46配置配置ACL进行包过滤的步骤进行包过滤的步骤l l综上所述，在综上所述，在H3CH3C交换机上配置交换机上配置ACLACL进行包过滤的进行包过滤的步骤如下：步骤如下：配置时间段（可选）配置时间段（可选）配置时间段（可选）配置时间段（可选）定义访问控制列表（四种类型：基本、高级、基定义访问控制列表（四种类型：基本、高级、基定义访问控制列表（四种类型：基本、高级、基定义访问控制列表（

46、四种类型：基本、高级、基于接口、基于二层和用户自定义）于接口、基于二层和用户自定义）于接口、基于二层和用户自定义）于接口、基于二层和用户自定义）激活访问控制列表激活访问控制列表激活访问控制列表激活访问控制列表 47访问控制列表配置举例一访问控制列表配置举例一要求配置高级要求配置高级ACL，禁止员工在工作日，禁止员工在工作日8:0018:00的时间段内访问新的时间段内访问新浪网站（浪网站（61.172.201.194）1.定义时间段定义时间段H3C time-range test 8:00 to 18:00 working-day2.定义高级定义高级ACL 3000，配置目的，配置目的IP地址为

47、新浪网站的访问规则。地址为新浪网站的访问规则。H3C acl number 3000H3C-acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test3.在端口在端口Ethernet1/0/15上应用上应用ACL 3000。H3C interface Ethernet 1/0/15H3C-Ethernet1/0/15 packet-filter inbound ip-group 48访问控制列表配置举例二访问控制列表配置举例二配置防病毒配置防病毒ACL1.定义高级定义高级ACL 3000H3C acl num

48、ber 3000H3C-acl-adv-3000 rule 1 deny udp destination-port eq 335H3C-acl-adv-3000 rule 3 deny tcp source-port eq 3365H3C-acl-adv-3000 rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 38752.在端口在端口Ethernet1/0/1上应用上应用ACL 3000H3C-Ethernet1/0/1 packet-filter inbound ip-group 3000n第一章第一章 VLAN

49、原理及基本配置原理及基本配置n第二章第二章 STP原理及基本配置原理及基本配置n第三章第三章 ACL原理及基本配置原理及基本配置n第四章第四章 设备管理基本配置设备管理基本配置n第五章第五章 常用维护方法和命令常用维护方法和命令目录目录50交换机管理方式交换机管理方式l通过通过Console口进行本地登录口进行本地登录l通过以太网端口利用通过以太网端口利用Telnet或或SSH进行本地或远进行本地或远程登录程登录l通过通过Console口利用口利用Modem拨号进行远程登录拨号进行远程登录51Telnet配置配置（2 2）需要输入密码）需要输入密码H3Cuser-interfacevty04H

50、3Cuser-interfacevty04H3C-ui-vty0-4authentication-modepasswordH3C-ui-vty0-4authentication-modepasswordH3C-ui-vty0-4userprivilegelevel3H3C-ui-vty0-4userprivilegelevel3H3C-ui-vty0-4setauthenticationpasswordsimpleh3cH3C-ui-vty0-4setauthenticationpasswordsimpleh3c（3 3）需要输入用户名和密码）需要输入用户名和密码H3Cuser-interfa