学习交换机配置.docx

学习交换机配置.docx

《学习交换机配置.docx》由会员分享，可在线阅读，更多相关《学习交换机配置.docx（12页珍藏版）》请在冰豆网上搜索。

学习交换机配置

交换机配置

✧学习计划

1　设置用户名与密码，两种模式telnet与console。

2　交换机千兆口和百兆口两种模式的区别，配置方法不一样。

3　配置VLAN可以互通，添加接口，建立组。

4　ACL访问控制列表。

1Vlan划分的方法

1.1vlan划分的几个方法。

1、基于端口划分：

根据交换机的端口编号来划分VLAN。

通过为交换机的每个端口配置不同的pvid，将不同端口划分到VLAN中。

缺点---主机移动位置时，需要重新配置VLAN

2、基于MAC地址划分：

提前配置网络中主机的mac地址和valnID的映射关系。

优点---主机位置移动也不用重新配置VLAN

3、基于IP子网划分：

4、基于协议划分：

5、基于策略划分：

1.2vlan练习的实例

1）基于端口划分

基于端口划分

采用如下的思路配置VLAN：

1. 创建VLAN并将连接用户的端口加入VLAN，实现不同业务用户之间二层流量隔离。

2. 配置SwitchA和SwitchB之间的链路类型及通过的VLAN，实现相同业务用户通过SwitchA

和SwitchB通信。

3.代码流程

a.Sw1有两个vlan10，20；

Vlan10包含的端口Enthernet0/0/2.。

。

Enthernet0/0/9

Vlan20包含的端口Enthernet0/0/10.。

。

Enthernet0/0/20

Sw2有两个vlan10，20；

Vlan10包含的端口Enthernet0/0/2.。

。

Enthernet0/0/9

Vlan20包含的端口Enthernet0/0/10.。

。

Enthernet0/0/20

b.设置vlan和vlanif

sys

Entersystemview,returnuserviewwithCtrl+Z.

[Huawei]sysnames1

[s1]undoinfoenable

如果有to便是创建了vlan10，11.。

。

Vlan20

Info:

Informationcenterisdisabled.

[s1]vlanbatch1020//如果是vlanbatch10to20那就是创建了1011.。

20了

Info:

Thisoperationmaytakeafewseconds.Pleasewaitforamoment...done.

[s1]interfaceVlanif10//设置网关的命令

[s1-Vlanif10]ipaddress192.168.10.124

[s1-Vlanif10]q

[s1]interfaceVlanif20

[s1-Vlanif20]ipaddress192.168.20.124

[s1-Vlanif20]q

c.将端口加入到一个组中，将组添加到vlan中

[s1]port-group1

[s1-port-group-1]group-memberEthernet0/0/2toEthernet0/0/9

[s1-port-group-1]portlink-typeaccess

[s1-Ethernet0/0/2]portlink-typeaccess

[s1-Ethernet0/0/3]portlink-typeaccess

[s1-Ethernet0/0/4]portlink-typeaccess

[s1-Ethernet0/0/5]portlink-typeaccess

[s1-Ethernet0/0/6]portlink-typeaccess

[s1-Ethernet0/0/7]portlink-typeaccess

[s1-Ethernet0/0/8]portlink-typeaccess

[s1-Ethernet0/0/9]portlink-typeaccess

[s1-port-group-1]portdefaultvlan10

[s1-Ethernet0/0/2]portdefaultvlan10

[s1-Ethernet0/0/3]portdefaultvlan10

[s1-Ethernet0/0/4]portdefaultvlan10

[s1-Ethernet0/0/5]portdefaultvlan10

[s1-Ethernet0/0/6]portdefaultvlan10

[s1-Ethernet0/0/7]portdefaultvlan10

[s1-Ethernet0/0/8]portdefaultvlan10

[s1-Ethernet0/0/9]portdefaultvlan10

[s1-port-group-1]q

d.设置Ethernet0/0/1的模式位trunk，并通过vlan1020

[s1]interfaceEthernet0/0/1

[s1-Ethernet0/0/1]portlink-typetrunk

[s1-Ethernet0/0/1]porttrunkallow-passvlan1020

[s1-Ethernet0/0/1]q

e.通过acl控制vlan之间的访问。

2）基于MAC地址划分

3）基于IP子网划分

4）基于协议划分

5）基于策略划分

1.3思考

2VLAN链路类型

v1access链路：

连接用户主机和交换机

v2trunk链路：

连接交换机和交换机

3VLAN的PVID

1PVID即portVLANID，代表端口的缺省VLAN。

2VLAN帧含有VLAN标记iyu，但是在交换网络环境中，以太网帧有两种格式---没有添加VLAN标记的标准以太网帧，有VLAN标记的以太网帧。

3PVID的目的就是将通过交换机的没有标记的以太网帧添加标记。

为了实现此目的，必须为交换机配置端口缺省的VLAN。

当该端口收到没有标记的以太网帧时，交换机将给它加上该缺省的VLAN的VLANTag（VLAN标记）

4VLAN配置：

1创建VLAN

①[swa]vlan10  //创建VLAN10

②[swa]vlanbatch2to5  //创建VLAN2，3,4,5

③[swa]vlanbatch246  //创建VLAN2,4,6

配置验证：

[swa]displayvlan  //显示VLAN简要信息

[swa]displayvlan10verbose  //查看VLAN10详细信息人人特务r

2配置access端口

①[swa]interfaceether0/0/1  //进入接口1

②[swa-Ethernet0/0/1]portlink-typeaccess  //配置接口1的类型为access

3添加端口到VLAN，两种方法：

①进入valn视图，执行port 

[swa]valn2

[swa-vlan2]portethernet0/0/1

②进入接口视图，执行portdefault

[swa]interfaceethernet0/0/1

[swa-ethernet0/0/1]portdefaultvlan2

4配置trunk端口

①修改端口类型为trunk

  [swa]interfaceethernet0/0/0

  [swa-ethernet0/0/0]portlink-typetrunk

②配置那些VLAN可以通过该端口

  [swa-Ethernet0/0/0]porttrunkallow-passvlan2to5

5VLAN聚合（VLANAggregation）

一般一个子网（网段）对应一个VLAN，由于VLAN实际应用非常广泛，这样一个子网（VLAN）下会存在IP地址分配（规划）的浪费（例如192.168.1.x子网下可能没有254台以上的机器）。

为了更有效的利用IP地址，并且隔离广播域，引入VLAN聚合技术。

VALN聚合把一个子网划分为一个SuperVLAN，每个SuperVLAN包含多个SubVLAN，每个SubVLAN是一个广播域，不同SubVLAN之间二层相互隔离。

SuperVLAN可以配置三层接口，SubVLAN不能配置三层接口。

当SubVLAN之间的用户需要进行三层通信时（需要在SuperVLAN上开启ARPProxy），将使用SuperVLAN三层接口的IP地址作为网关地址，这样多个SubVLAN共用一个IP网段，从而节省了IP地址资源。

可以跟VLAN做比较，通常一个VLAN，一个子网，也即一个广播域，一个路由接口，而VLAN聚合则把一个子网段分成地址段，即几个广播域，IP地址和路由接口都不变

6交换机ACL配置

方法一利用traffic-filter

默认配置了vlanif，vlan间是可以访问的，如果你要配置vlan间不能互相访问，通过ACL配置，配置如下：

vlan2:

192.168.2.0/255.255.255.0

vlan3:

192.168.3.0/255.255.255.0

vlan4:

192.186.4.0/255.255.255.0

vlan2\vlan3\vlan4相互之间不能访问

aclnumber3002

ruledenyipsource192.168.2.00.0.0.255destination192.168.3.00.0.0.255

ruledenyipsource192.168.2.00.0.0.255destination192.168.4.00.0.0.255

aclnumber3003

ruledenyipsource192.168.3.00.0.0.255destination192.168.2.00.0.0.255

ruledenyipsource192.168.3.00.0.0.255destination192.168.4.00.0.0.255

aclnumber3004

ruledenyipsource192.168.4.00.0.0.255destination192.168.2.00.0.0.255

ruledenyipsource192.168.4.00.0.0.255destination192.168.3.00.0.0.255

用traffic-filter在vlan下应用ACL，让人日日日日日

traffic-filtervlan2inboundacl3002

traffic-filtervlan3inboundacl3003

traffic-filtervlan4inboundacl3004

方法二策略流

1内容

华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用。

华为需要先配ACL，然后配流分类（trafficclassifiertc1），将ACL和流分类绑定，再配流行为（trafficbehaviortb1），接着配置流策略（trafficpolicytp1），最后把策略应用到接口下，让ACL生效。

2例子

具体例子如下：

步骤1配置ACL

[Quidway]acl3000

[Quidway-acl-user-3000]ruledenyipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255

步骤2配置基于用户自定义ACL的流分类

#配置流分类tc1，对匹配ACL3000的报文进行分类。

[Quidway]trafficclassifiertc1

[Quidway-classifier-tc1]if-matchacl3000

步骤3配置流行为

#配置流行为tb1，动作为拒绝报文通过。

[Quidway]trafficbehaviortb1

[Quidway-behavior-tb1]deny

步骤4配置流策略

#定义流策略，将流分类与流行为关联。

[Quidway]trafficpolicytp1

[Quidway-trafficpolicy-tp1]classifiertc1behaviortb1

步骤5在接口下应用流策略

#在接口GE1/0/1下应用流策略。

[Quidway]interfacegigabitethernet1/0/1

[Quidway-GigabitEthernt1/0/1]traffic-policytp1inbound或者直接应用到vlan中。

目前用ensp测试的话，发现是所有网络都禁止了，而不是某个端口，换成5700测试也一样

7DHCP

自动分配地址池，一般自动获取地址的环境都得配置DHCP

8IP地址绑定mac地址

9交换机登陆配置

1CONSOLE登陆设置

方式一：

1. 配置Console用户界面的用户优先级。

2. 配置Console用户界面的验证方式和验证密码。

步骤1 配置Console用户界面的用户优先级

system-view

[Quidway]user-interfaceconsole0

[Quidway-ui-console0]userprivilegelevel15

步骤2 配置Console用户界面的用户验证方式为密码验证

[Quidway-ui-console0]authentication-modepassword

[Quidway-ui-console0]setauthenticationpasswordcipherHelloworld@6789

[Quidway-ui-console0]quit

Console用户界面配置完成后，用户可以通过Console口使用Password方式登录设备，

现本地维护。

用户登录设备的具体过程请参见配置用户通过Console口登录设备。

方式二：

console登陆的时候使用用户名和密码验证的情况下修改或重置登陆密码

system-view

[Huawei]aaa

[Huawei-aaa]local-useradminpasswordcipherHuawei@2015

[Huawei-aaa]local-useradminprivilegelevel15

[Huawei-aaa]local-useradminservice-typeterminal

[Huawei]user-interfaceconsole0

[Huawei-ui-console0]authentication-modeaaa

[Huawei-ui-console0]quit

[Huawei]quit

save

备注：

给设备配置console验证方式和配置console密码的方式同上，上面修改或重置的只是覆盖之前的

配置，如果之前没有配置的话就是增加新的验证方式。

关于交换机通过console登录设备的详细配置说明及具体配置命令，请参考对应版本产品文档：

配

置>配置指南（通过命令行）>基础配置>首次登陆系统>通过console口登陆设备。

关于AR路由器通过console登陆设备的详细说明及具体配置，请参考对应版本产品文档：

配置指南

（通过命令行）>基础配置>首次登陆系统>通过console口登陆设备。

关于防火墙通过console登陆设备的详细说明及具体配置，请参考对应版本产品文档：

部署指南>初

次登陆>通过console口登陆CLI界面。

2telnet登陆设备

※一些命令

序号

命令

描述

1

resetsaved-configuration

清空配置

2

shutdown

当修改了接口的工作参数配置，新的配置未能立即生效，可以使用shutdown和undoshutdown命令关闭和重启接口，使新的配置生效。

3

undoshutdown

4

Disth

显示命令

5

6

7

8

authentication-mode常见的配置参数有三种

user-interfacevty014

1、authentication-modeaaa或authentication-modescheme

创建本地用户并启用AAA验证。

2、authentication-modepassword

直接在user-interfacevty下用passrod设置密码

3、authentication-modenone

远程维护登陆不需要密码

scheme是组合的意思.就是组合认证方式,即输入:

用户名+密码认证..

1.进入用户界面：

user-interface04（和思科里面的VTY一样，04是指可以有5个用户会话同时连接，0,1,2,3,4）

2.设置认证模式为组合模式（用户名加密码）：

Authenticate-modescheme

3.建立本地用户名:

local-user用户名,

4.设置用户密码:

passwordsimple密码...

5.设置访问服务类型为telnet：

service-typetelnet

6.设置授权访问级别：

level3

7.退出:

quit

9

user-interfacevty04表示配置telnet的线程数，0-4，一共五个线程，同时允许5个用户同进TELNET到交换机。

authentication-modepassword验证方式采用口令（不是采用RADIUS等其他方式）

setauthentication-modepasswordsimple222设置口令是明文（在配置文件中是明文，不加密显示，能看到配置文件就能看到口令）。

也就是密码是222.

userprivilegelevel3用户权限设置为3，对TELNET用户作权限限制。

※基础网址

1，

2，

●备注

日期

问题待解决

4.25

ACL访问控制链表