网络工程华为交换机经典配置.docx

网络工程华为交换机经典配置.docx

《网络工程华为交换机经典配置.docx》由会员分享，可在线阅读，更多相关《网络工程华为交换机经典配置.docx（45页珍藏版）》请在冰豆网上搜索。

网络工程华为交换机经典配置

华为3Com8016交换机DHCP配置

1功能需求及组网说明

8016DHCP配置

　　『配置环境参数』

　　1.DHCPserver的IP地址192.168.0.10/24

　　2.DHCPserver连接在交换机G1/0/0，属于vlan100，网关即vlan100虚接口地址192.168.0.1/24

　　3.交换机通过G1/0/1连接SwitchAG1/1，G1/0/2连接SwitchBG1/1

　　4.SwitchA通过G2/1连接SwitchCG1/1

　　5.vlan10的用户网段为10.10.1.1/24

　　6.vlan20的用户网段为10.10.2.1/24

　　7.vlan30的用户网段为10.10.3.1/24

　　8.SwitchA和SwitchC为二层交换机，SwitchB为三层交换机

　　『组网需求』

　　1.8016作DHCPrelay，利用远端DHCPserver为SwitchA下面的vlan10分配IP地址

　　2.SwitchB上的vlan20用户以8016上的vlan20虚接口为网关，8016作DHCPserver直接为其分配IP地址

　　3.SwitchC上的vlan30用户以SwitchB上的vlan30虚接口为网关，8016作DHCPserver为其分配IP地址

　　2数据配置步骤

　　『8016DHCPrelay数据流程』

　　DHCPRelay的作用则是为了适应客户端和服务器不在同一网段的情况，通过Relay，不同子网的用户可以到同一个DHCPserver申请IP地址，这样便于地址池的管理和维护。

　　【8016DHCPrelay配置】

　　1.DHCPserver要配置到一个VLAN上，这个VLAN可以是任意的，但是要实现Relay，不要将Server同任何客户端配置到同一个VLAN内，建议专门划出VLAN给DHCPserver组使用，这里将DHCP服务器组1对应的端口的VLAN配置为100。

　　[Quidway]vlan100

　　[Quidway-vlan100]portgigabitethernet1/0/0

　　[Quidway]interfacevlanif100

　　2.配置DHCPserver的网关地址

　　[Quidway-Vlanif100]ipaddress192.168.0.1255.255.255.0

　　3.配置DHCP服务器组1对应的IP地址。

　　[Quidway]dhcprelayserver-group1server192.168.0.10

　　4.配置DHCP服务器组1服务的VLAN范围为10

　　[Quidway]dhcprelayserver-group1vlan10

　　5.进入G1/0/1，设置为trunk端口，允许vlan10通过

　　[Quidway-gigabitethernet1/0/1]porttrunkpermitvlan10

　　6.配置VLAN10的对应网关地址。

　　[Quidway]interfacevlanif10

　　[Quidway-Vlanif10]ipaddress10.10.1.1255.255.255.0

　　『8016作DHCPserver数据流程』

　　内置DHCPserver下挂的用户类型有两种：

一种是S8016的VLAN用户，用户直接向S8016发起DHCP请求，这类称为VLAN地址池用户；另一种是中间经过了DHCP中继设备（例如MA5200设备），DHCP请求在到达S8016之前经过了DHCPrelay，这类称为全局地址池用户。

　　【8016vlan用户】

　　1.用户所在VLANID为20，创建并进入VLAN配置视图。

　　[Quidway]vlan20

　　2.将VLAN20用户地址分配方式设置为本地。

　　[Quidway-vlan20]addressallocatelocal

　　3.配置VLAN20接口IP地址10.10.2.1，同时指定了DHCPserver可分配的地址资源为10.10.2.0~10.10.2.255。

　　[Quidway]interfacevlan20

　　[Quidway-Vlanif20]ipaddress10.10.2.1255.255.255.0

　　4.S8016下挂了一台DNS服务器，IP地址是10.10.2.15，在S8016中设置DNS服务器的IP地址，同时将这个IP地址在地址池中禁止分配给用户。

　　[Quidway-vlan2]dhcpserverforbidden-ip10.10.2.15

　　[Quidway-vlan2]dnsprimary-ip10.10.2.15

　　5.进入G1/0/2，设置为trunk端口，允许vlan20通过

　　[Quidway-gigabitethernet1/0/2]porttrunkpermitvlan20

　　【全局地址用户】

　　1.创建全局地址池，并命名为“abc”，地址池用户网关地址为10.10.30.1

　　[Quidway]dhcpserverip-poolabc　10.10.3.1255.255.255.0

　　2.配置路由IP信息

　　[Quidway]dhcpservergatewayabc10.10.3.1

　　3.S8016下挂了另外一台DNS服务器，IP地址是10.10.3.15，在S8016中设置DNS服务器的IP地址，同时将这个IP地址在地址池中禁止分配给用户。

　　[Quidway]dnsprimary-ipabc10.10.3.15

　　[Quidway]dhcpserverforbidden-ipabc10.10.3.15

　　4.配置VLAN200与SwitchB相应的虚接口vlan200在同一个网段

　　[Quidway]interfacevlanif200

　　[Quidway-Vlanif200]ipaddress10.10.10.1255.255.255.0

　　【SwitchB相关配置】

　　1.创建（进入）vlan30

　　[SwitchB]vlan30

　　2.将E0/1加入到vlan30

　　[SwitchB-vlan30]portEthernet0/1

　　3.实际当中一般将上行端口设置成trunk属性，允许vlan透传

　　[SwitchB-GigabitEthernet2/1]portlink-typetrunk

　　4.允许SwitchC的vlan从G2/1端口透传通过

　　[SwitchB-GigabitEthernet2/1]porttrunkpermitvlan30

　　5.实际当中一般将上行端口设置成trunk属性，允许vlan透传

　　[SwitchB-GigabitEthernet1/1]portlink-typetrunk

　　6.允许所有膙lan从E0/3端口透传通过，也可以指定具体的vlan值

　　[SwitchB-GigabitEthernet1/1]porttrunkpermitvlan30

　　7.创建（进入）vlan30的虚接口

　　[SwitchB]interfaceVlan-interface30

　　8.给vlan30的虚接口配置IP地址

　　[SwitchB-Vlan-interface30]ipaddress10.10.3.1255.255.255.0

　　[SwitchB]

　　9.定义一个DHCPserver

　　[SwitchB]dhcp-server0ip10.10.10.1

　　[SwitchB-Vlan-interface30]dhcp-server　0

　　10.　创建（进入）vlan200的虚接口，vlan200用于SwitchB与8016互连

　　[SwitchB]interfaceVlan-interface200

　　11.　给vlan200的虚接口配置IP地址

　　[SwitchB-Vlan-interface200]ipaddress10.10.10.2255.255.255.0

　　【SwitchC相关配置】

　　1.创建（进入）vlan30

　　[SwitchC]vlan30

　　2.将E0/1加入到vlan30

　　[SwitchC-vlan30]portEthernet0/1

　　3.实际当中一般将上行端口设置成trunk属性，允许vlan透传

　　[SwitchC-GigabitEthernet1/1]portlink-typetrunk

　　4.允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值

　　[SwitchC-GigabitEthernet1/1]porttrunkpermitvlan30

　　3测试验证

　　1.PC1、PC2和PC3都能够正确的获取IP地址和网关

　　2.PC1、PC2和PC3都能够PING通自己的网关及DHCPserver

华为交换机端口镜像配置

--------------------------------------------------------------------------------

【3026等交换机镜像】

S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：

方法一

1.配置镜像（观测）端口

[SwitchA]monitor-porte0/8

2.配置被镜像端口

[SwitchA]portmirrorEthernet0/1toEthernet0/2

方法二

1.可以一次性定义镜像和被镜像端口

[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8

【8016交换机端口镜像配置】

1.假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA]portmonitorethernet1/0/15

2.设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15

也可以通过两个不同的端口，对输入和输出的数据分别镜像

1.设置E1/0/15和E2/0/0为镜像（观测）端口

[SwitchA]portmonitorethernet1/0/15

2.设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15

[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1.定义一条扩展访问控制列表

[SwitchA]aclnum101

2.定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule0permitipsource1.1.1.10destinationany

3.定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule1permitipsourceanydestination1.1.1.10

4.将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-toip-group101interfacee0/8

〖基于二层流的镜像〗

1.定义一个ACL

[SwitchA]aclnum200

2.定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule0permitingressinterfaceEthernet0/1（egressinterfaceany）

3.定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule1permit（ingressinterfaceany）egressinterfaceEthernet0/1

4.将符合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-tolink-group200interfacee0/8

【5516】

支持对入端口流量进行镜像

配置端口Ethernet3/0/1为监测端口，对Ethernet3/0/2端口的入流量镜像。

[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1

【6506/6503/6506R】

目前该三款产品只支持对入端口流量进行镜像，虽然有outbount参数，但是无法配置。

镜像组名为1，监测端口为Ethernet4/0/2，端口Ethernet4/0/1的入流量被镜像。

[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/2

【补充说明】

1.镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现

2.8016支持跨单板端口镜像

华为路由器qoscar+nat+dhcp+vlan配置心得

--------------------------------------------------------------------------------

好久没有写博客了，也好久没有泡坛了，工作压力是大了很多，但实际上还是自己懒了很多，也比以前浮澡了很多，趁今天领导都去开会的机会，把昨天的帮客户解决网络问题的心得写一下，供大家参考，也希望大家提出宝贵意见。

客户网络环境：

一个小型办公网络，有两家公司（A、B）在一个写字楼办公，共申请一条4M独享VDSL专线（其中A是缴3M的专线费用，B是缴1M的专线费用），共60台电脑左右，各30台电脑，各三台非网管24口D-LINK交换机，一台华为1821路由器（1wan口，4lan口）。

用户特殊需求：

（1）、A、B不能互访。

（2）、A、B都通过华为路由器DHCP获取地址。

（3）、A、B带宽必须划分开，A享受3M带宽，B享受1M带宽（原来的时候B公司网络流量过大经常影响到A公司网络办公）。

简单解决方案：

根据现有网络条件，实际上仅通过华为1821路由器可以实现以上功能，具体实施如下：

（1）、在华为路由器1821内部网关口（eth1/0）划分子接口（eth1/0.1、eth1/0.2），分别配置两个网关（192.168.0.1、192.168.0.2），并分别进行封装与vlan2、vlan3相对应。

（2）、在华为路由器1821两个lan口（eth1/1、eth1/2）划分两个vlan（vlan2、vlan3）。

（3）、分别在两个不同的逻辑子接口（eth1/0.1、eth1/0.2）配置nat并应用。

（4）、分别在两个不同的逻辑子接口（eth1/0.1、eth1/0.2）配置dhcp，在同一物理接口针对两个vlan网络应用dhcp来分配两个不同的网段。

（5）、由于该路由器lan口为二层端口，无法实现qoscar限速，只能考虑在其唯一的内部网关接口（eth1/0）的子接口上实现qoscar限速达到带宽限制的作用。

（6）、配置wan口地址（X、X、X、X），配置staticroute地址，大功告成。

（7）、配置用户登录（super、console、vty等）用户名及密码（这里仅配置密码模式）。

（8）、测试并观察端口信息、负载信息等，随时调整相应策略，由于考虑到其设备处理能力及时间紧迫，并未增加太多策略（如ACL等）和功能。

具体配置如下：

#

sysnameQuidway

#

clocktimezonegmt-12:

000minus12:

00:

00

#

cpu-usagecycle1min

#

connection-limitdisable

connection-limitdefaultactiondeny

connection-limitdefaultamountupper-limit50lower-limit20

#

webset-packageforceflash:

/http.zip

#

radiusschemesystem

#

domainsystem

#

local-user*******

passwordcipher.]@*********

service-typetelnetterminal

level3

service-typeftp

#

aclnumber2000\\配置natAcl

rule0permitsource192.168.0.00.0.0.255

#

aclnumber3000\\配置natAcl

rule0permitipsource192.168.1.00.0.0.255

aclnumber3001\\配置FirewallAcl

rule0denyipdestination192.168.1.00.0.0.255

aclnumber3002\\配置FirewallAcl

rule0denyipdestination192.168.0.00.0.0.255

#

interfaceEthernet1/0

ipaddressdhcp-alloc

#

interfaceEthernet1/0.1

ipaddress192.168.0.1255.255.255.0

dhcpselectinterface\\dhcp应用于子接口

dhcpserverdns-list202.106.0.20202.106.196.115

firewallpacket-filter3001inbound\\firewallACL过滤应用于接口

vlan-typedot1qvid2\\子接口封装dot1q

qoscarinboundanycir4096000cbs204800ebs1000greenpassreddiscard

\\流量限速qoscar配置

qoscaroutboundanycir4096000cbs204800ebs1000greenpassreddiscard

\\流量限速qoscar配置

#

interfaceEthernet1/0.2

ipaddress192.168.1.1255.255.255.0

dhcpselectinterface\\dhcp应用于子接口

dhcpserverdns-list202.106.0.20202.106.196.115

firewallpacket-filter3002inbound\\firewallACL过滤应用于接口

vlan-typedot1qvid3\\子接口封装dot1q

qoscarinboundanycir1024000cbs51200ebs1000greenpassreddiscard

\\流量限速qoscar配置

qoscaroutboundanycir1024000cbs51200ebs1000greenpassreddiscard

\\流量限速qoscar配置

#

interfaceEthernet1/1

portaccessvlan2\\将e1/1端口加入vlan2

#

interfaceEthernet1/2

portaccessvlan3\\将e1/1端口加入vlan2

#

interfaceEthernet1/3

#

interfaceEthernet1/4

#

interfaceEthernet2/0\\进入wan口配置

ipaddressX、X、X、X255.255.255.224

natoutbound3000

natoutbound2000

#

interfaceNULL0

#

FTPserverenable

#

iproute-static0.0.0.00.0.0.0y、y、y、ypreference60

#

user-interfacecon0\\用户登录配置

authentication-modepassword

setauthenticationpasswordcipher0HB8%-MB%I^[Q1R','&6NQ!

!

user-interfacevty04

userprivilegelevel3

setauthenticationpasswordcipher0HB8%-MB%I^[Q1R','&6NQ!

!

#

return

[Quidway]

华为路由器和交换机配置地址转换

--------------------------------------------------------------------------------

一.端口：

路由器——ethernet（以太口）、Serial（串口）、loopback（虚拟端口）

交换机——ethernet、vlan、loopback

注意：

交换机默认其24个端口全在vlan1里面，交换机在给vlan配了ip之后就具有路由器的功能了。

另一个需要注意的是，所用的端口是否被shutdown了，如果被shutdown了，需要进入相应的端口执行undoshutdown。

二.配置ip

除了交换机的以太口不可以配置ip外，其他端口都可以，配置方法相同。

[Quidway]interface*（所要配置的端口，如vlan1）

[Quidway-*]ipadd*.*.*.*（ip）*.*.*.*（掩码）/*（掩码位数，一般只在路由器上适用）

三.NAT上网（此命令是在VRP版本为3.4的路由器上测试的，在其他版本上是否适用，未经考察）组网图：

R1

E0/2

E0/3

E0/1