学习交换机配置.docx
《学习交换机配置.docx》由会员分享,可在线阅读,更多相关《学习交换机配置.docx(12页珍藏版)》请在冰豆网上搜索。
学习交换机配置
交换机配置
✧学习计划
1 设置用户名与密码,两种模式telnet与console。
2 交换机千兆口和百兆口两种模式的区别,配置方法不一样。
3 配置VLAN可以互通,添加接口,建立组。
4 ACL访问控制列表。
1Vlan划分的方法
1.1vlan划分的几个方法。
1、基于端口划分:
根据交换机的端口编号来划分VLAN。
通过为交换机的每个端口配置不同的pvid,将不同端口划分到VLAN中。
缺点---主机移动位置时,需要重新配置VLAN
2、基于MAC地址划分:
提前配置网络中主机的mac地址和valnID的映射关系。
优点---主机位置移动也不用重新配置VLAN
3、基于IP子网划分:
4、基于协议划分:
5、基于策略划分:
1.2vlan练习的实例
1)基于端口划分
基于端口划分
采用如下的思路配置VLAN:
1. 创建VLAN并将连接用户的端口加入VLAN,实现不同业务用户之间二层流量隔离。
2. 配置SwitchA和SwitchB之间的链路类型及通过的VLAN,实现相同业务用户通过SwitchA
和SwitchB通信。
3.代码流程
a.Sw1有两个vlan10,20;
Vlan10包含的端口Enthernet0/0/2.。
。
Enthernet0/0/9
Vlan20包含的端口Enthernet0/0/10.。
。
Enthernet0/0/20
Sw2有两个vlan10,20;
Vlan10包含的端口Enthernet0/0/2.。
。
Enthernet0/0/9
Vlan20包含的端口Enthernet0/0/10.。
。
Enthernet0/0/20
b.设置vlan和vlanif
sys
Entersystemview,returnuserviewwithCtrl+Z.
[Huawei]sysnames1
[s1]undoinfoenable
如果有to便是创建了vlan10,11.。
。
Vlan20
Info:
Informationcenterisdisabled.
[s1]vlanbatch1020//如果是vlanbatch10to20那就是创建了1011.。
20了
Info:
Thisoperationmaytakeafewseconds.Pleasewaitforamoment...done.
[s1]interfaceVlanif10//设置网关的命令
[s1-Vlanif10]ipaddress192.168.10.124
[s1-Vlanif10]q
[s1]interfaceVlanif20
[s1-Vlanif20]ipaddress192.168.20.124
[s1-Vlanif20]q
c.将端口加入到一个组中,将组添加到vlan中
[s1]port-group1
[s1-port-group-1]group-memberEthernet0/0/2toEthernet0/0/9
[s1-port-group-1]portlink-typeaccess
[s1-Ethernet0/0/2]portlink-typeaccess
[s1-Ethernet0/0/3]portlink-typeaccess
[s1-Ethernet0/0/4]portlink-typeaccess
[s1-Ethernet0/0/5]portlink-typeaccess
[s1-Ethernet0/0/6]portlink-typeaccess
[s1-Ethernet0/0/7]portlink-typeaccess
[s1-Ethernet0/0/8]portlink-typeaccess
[s1-Ethernet0/0/9]portlink-typeaccess
[s1-port-group-1]portdefaultvlan10
[s1-Ethernet0/0/2]portdefaultvlan10
[s1-Ethernet0/0/3]portdefaultvlan10
[s1-Ethernet0/0/4]portdefaultvlan10
[s1-Ethernet0/0/5]portdefaultvlan10
[s1-Ethernet0/0/6]portdefaultvlan10
[s1-Ethernet0/0/7]portdefaultvlan10
[s1-Ethernet0/0/8]portdefaultvlan10
[s1-Ethernet0/0/9]portdefaultvlan10
[s1-port-group-1]q
d.设置Ethernet0/0/1的模式位trunk,并通过vlan1020
[s1]interfaceEthernet0/0/1
[s1-Ethernet0/0/1]portlink-typetrunk
[s1-Ethernet0/0/1]porttrunkallow-passvlan1020
[s1-Ethernet0/0/1]q
e.通过acl控制vlan之间的访问。
2)基于MAC地址划分
3)基于IP子网划分
4)基于协议划分
5)基于策略划分
1.3思考
2VLAN链路类型
v1access链路:
连接用户主机和交换机
v2trunk链路:
连接交换机和交换机
3VLAN的PVID
1PVID即portVLANID,代表端口的缺省VLAN。
2VLAN帧含有VLAN标记iyu,但是在交换网络环境中,以太网帧有两种格式---没有添加VLAN标记的标准以太网帧,有VLAN标记的以太网帧。
3PVID的目的就是将通过交换机的没有标记的以太网帧添加标记。
为了实现此目的,必须为交换机配置端口缺省的VLAN。
当该端口收到没有标记的以太网帧时,交换机将给它加上该缺省的VLAN的VLANTag(VLAN标记)
4VLAN配置:
1创建VLAN
①[swa]vlan10 //创建VLAN10
②[swa]vlanbatch2to5 //创建VLAN2,3,4,5
③[swa]vlanbatch246 //创建VLAN2,4,6
配置验证:
[swa]displayvlan //显示VLAN简要信息
[swa]displayvlan10verbose //查看VLAN10详细信息人人特务r
2配置access端口
①[swa]interfaceether0/0/1 //进入接口1
②[swa-Ethernet0/0/1]portlink-typeaccess //配置接口1的类型为access
3添加端口到VLAN,两种方法:
①进入valn视图,执行port
[swa]valn2
[swa-vlan2]portethernet0/0/1
②进入接口视图,执行portdefault
[swa]interfaceethernet0/0/1
[swa-ethernet0/0/1]portdefaultvlan2
4配置trunk端口
①修改端口类型为trunk
[swa]interfaceethernet0/0/0
[swa-ethernet0/0/0]portlink-typetrunk
②配置那些VLAN可以通过该端口
[swa-Ethernet0/0/0]porttrunkallow-passvlan2to5
5VLAN聚合(VLANAggregation)
一般一个子网(网段)对应一个VLAN,由于VLAN实际应用非常广泛,这样一个子网(VLAN)下会存在IP地址分配(规划)的浪费(例如192.168.1.x子网下可能没有254台以上的机器)。
为了更有效的利用IP地址,并且隔离广播域,引入VLAN聚合技术。
VALN聚合把一个子网划分为一个SuperVLAN,每个SuperVLAN包含多个SubVLAN,每个SubVLAN是一个广播域,不同SubVLAN之间二层相互隔离。
SuperVLAN可以配置三层接口,SubVLAN不能配置三层接口。
当SubVLAN之间的用户需要进行三层通信时(需要在SuperVLAN上开启ARPProxy),将使用SuperVLAN三层接口的IP地址作为网关地址,这样多个SubVLAN共用一个IP网段,从而节省了IP地址资源。
可以跟VLAN做比较,通常一个VLAN,一个子网,也即一个广播域,一个路由接口,而VLAN聚合则把一个子网段分成地址段,即几个广播域,IP地址和路由接口都不变
6交换机ACL配置
方法一利用traffic-filter
默认配置了vlanif,vlan间是可以访问的,如果你要配置vlan间不能互相访问,通过ACL配置,配置如下:
vlan2:
192.168.2.0/255.255.255.0
vlan3:
192.168.3.0/255.255.255.0
vlan4:
192.186.4.0/255.255.255.0
vlan2\vlan3\vlan4相互之间不能访问
aclnumber3002
ruledenyipsource192.168.2.00.0.0.255destination192.168.3.00.0.0.255
ruledenyipsource192.168.2.00.0.0.255destination192.168.4.00.0.0.255
aclnumber3003
ruledenyipsource192.168.3.00.0.0.255destination192.168.2.00.0.0.255
ruledenyipsource192.168.3.00.0.0.255destination192.168.4.00.0.0.255
aclnumber3004
ruledenyipsource192.168.4.00.0.0.255destination192.168.2.00.0.0.255
ruledenyipsource192.168.4.00.0.0.255destination192.168.3.00.0.0.255
用traffic-filter在vlan下应用ACL,让人日日日日日
traffic-filtervlan2inboundacl3002
traffic-filtervlan3inboundacl3003
traffic-filtervlan4inboundacl3004
方法二策略流
1内容
华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用。
华为需要先配ACL,然后配流分类(trafficclassifiertc1),将ACL和流分类绑定,再配流行为(trafficbehaviortb1),接着配置流策略(trafficpolicytp1),最后把策略应用到接口下,让ACL生效。
2例子
具体例子如下:
步骤1配置ACL
[Quidway]acl3000
[Quidway-acl-user-3000]ruledenyipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255
步骤2配置基于用户自定义ACL的流分类
#配置流分类tc1,对匹配ACL3000的报文进行分类。
[Quidway]trafficclassifiertc1
[Quidway-classifier-tc1]if-matchacl3000
步骤3配置流行为
#配置流行为tb1,动作为拒绝报文通过。
[Quidway]trafficbehaviortb1
[Quidway-behavior-tb1]deny
步骤4配置流策略
#定义流策略,将流分类与流行为关联。
[Quidway]trafficpolicytp1
[Quidway-trafficpolicy-tp1]classifiertc1behaviortb1
步骤5在接口下应用流策略
#在接口GE1/0/1下应用流策略。
[Quidway]interfacegigabitethernet1/0/1
[Quidway-GigabitEthernt1/0/1]traffic-policytp1inbound或者直接应用到vlan中。
目前用ensp测试的话,发现是所有网络都禁止了,而不是某个端口,换成5700测试也一样
7DHCP
自动分配地址池,一般自动获取地址的环境都得配置DHCP
8IP地址绑定mac地址
9交换机登陆配置
1CONSOLE登陆设置
方式一:
1. 配置Console用户界面的用户优先级。
2. 配置Console用户界面的验证方式和验证密码。
步骤1 配置Console用户界面的用户优先级
system-view
[Quidway]user-interfaceconsole0
[Quidway-ui-console0]userprivilegelevel15
步骤2 配置Console用户界面的用户验证方式为密码验证
[Quidway-ui-console0]authentication-modepassword
[Quidway-ui-console0]setauthenticationpasswordcipherHelloworld@6789
[Quidway-ui-console0]quit
Console用户界面配置完成后,用户可以通过Console口使用Password方式登录设备,
现本地维护。
用户登录设备的具体过程请参见配置用户通过Console口登录设备。
方式二:
console登陆的时候使用用户名和密码验证的情况下修改或重置登陆密码
system-view
[Huawei]aaa
[Huawei-aaa]local-useradminpasswordcipherHuawei@2015
[Huawei-aaa]local-useradminprivilegelevel15
[Huawei-aaa]local-useradminservice-typeterminal
[Huawei]user-interfaceconsole0
[Huawei-ui-console0]authentication-modeaaa
[Huawei-ui-console0]quit
[Huawei]quit
save
备注:
给设备配置console验证方式和配置console密码的方式同上,上面修改或重置的只是覆盖之前的
配置,如果之前没有配置的话就是增加新的验证方式。
关于交换机通过console登录设备的详细配置说明及具体配置命令,请参考对应版本产品文档:
配
置>配置指南(通过命令行)>基础配置>首次登陆系统>通过console口登陆设备。
关于AR路由器通过console登陆设备的详细说明及具体配置,请参考对应版本产品文档:
配置指南
(通过命令行)>基础配置>首次登陆系统>通过console口登陆设备。
关于防火墙通过console登陆设备的详细说明及具体配置,请参考对应版本产品文档:
部署指南>初
次登陆>通过console口登陆CLI界面。
2telnet登陆设备
※一些命令
序号
命令
描述
1
resetsaved-configuration
清空配置
2
shutdown
当修改了接口的工作参数配置,新的配置未能立即生效,可以使用shutdown和undoshutdown命令关闭和重启接口,使新的配置生效。
3
undoshutdown
4
Disth
显示命令
5
6
7
8
authentication-mode常见的配置参数有三种
user-interfacevty014
1、authentication-modeaaa或authentication-modescheme
创建本地用户并启用AAA验证。
2、authentication-modepassword
直接在user-interfacevty下用passrod设置密码
3、authentication-modenone
远程维护登陆不需要密码
scheme是组合的意思.就是组合认证方式,即输入:
用户名+密码认证..
1.进入用户界面:
user-interface04(和思科里面的VTY一样,04是指可以有5个用户会话同时连接,0,1,2,3,4)
2.设置认证模式为组合模式(用户名加密码):
Authenticate-modescheme
3.建立本地用户名:
local-user用户名,
4.设置用户密码:
passwordsimple密码...
5.设置访问服务类型为telnet:
service-typetelnet
6.设置授权访问级别:
level3
7.退出:
quit
9
user-interfacevty04表示配置telnet的线程数,0-4,一共五个线程,同时允许5个用户同进TELNET到交换机。
authentication-modepassword验证方式采用口令(不是采用RADIUS等其他方式)
setauthentication-modepasswordsimple222设置口令是明文(在配置文件中是明文,不加密显示,能看到配置文件就能看到口令)。
也就是密码是222.
userprivilegelevel3用户权限设置为3,对TELNET用户作权限限制。
※基础网址
1,
2,
●备注
日期
问题待解决
4.25
ACL访问控制链表