华为QuidwayS3000系列配置.docx
《华为QuidwayS3000系列配置.docx》由会员分享,可在线阅读,更多相关《华为QuidwayS3000系列配置.docx(40页珍藏版)》请在冰豆网上搜索。
华为QuidwayS3000系列配置
QuidwayS3000系列以太网交换机的型号:
①S3026交换机
2S3026FS交换机、S3026FM交换机
3S3026E交换机
4S3026EFS交换机、S3026EFM
5S3050C-48交换机
Telnet用户登录时,缺省需要进行口令认证。
system-view
user-interfacevty0
setauthenticationpasswordsimple6300723
改变语言模式:
language-modechinese
language-modeenglish
设置交换机的名称:
sysnamesysname
设置系统时钟:
displaycurrent-configuration
显示VLAN相关信息:
displayvian
displayvianvlan-id
displayvlanall
AUX用户:
通过Console口对以太网交换机进行访问,每台以太网交换机最多只有一个。
VTY用户:
通过Telnet对以太网交换机进行访问,每台交换机最多可以有5个。
(在Quidway系列以太网交换机中,AUX口和Console口是同一个口。
)
user-interfacevty04
protocolinbound{all,ssh,teInet}(配置用户界面支持的协议,只能在vty
用户下进行。
缺省情况下,系统只支持telnet协议。
)
如果配置用户界面支持SSH协议,为确保登录成功,应该配置相应的认证方式
为authentication-modescheme。
如果配置认证方式为authentication-modepassword和
波特率为9600bit/s;
数据位为8;
奇偶校验为无;
停止位为1;
数据流控制为无;
user-interfaceaux0
speed9600(配置AUX口的传输速率,默认为9600bit/s。
)
flow-controlnone(配置AUX口的流控方式,默认为none,即不进行流控。
)
paritynone(配置AUX口的校验方式,默认为none,即无校验位。
)
stopbits1(配置AUX口的停止位,默认为1。
)
databits8(配置AUX口的数据位,默认为8位。
)
启动、关闭终端服务:
当关闭某用户界面的终端服务后,通过该用户界面将不能登录以太网交换机。
对于在关闭之前已经通过该用户界面登录的用户,仍然可以进行操作。
但当用户
退出该用户界面后,将不能再次登录。
只有启动该用户界面的终端服务后,才能通过该用户界面登录以太网交换机。
启动终端服务:
shell
关闭终端服务:
undoshell
超时断开设置:
user-interfaceaux0或者user-interfacevty0idle-timeout分秒
(idle-timeout0表示关闭超时中断连接功能。
)
end对应return
exit对应quit
锁住用户界面,防止当用户离开时,其它人对该用户界面进行操作
lock
设置用户登录验证方式:
缺省情况下,Console口用户登录不需要进行终端验证;而Telnet用户登录需
要进行口令验证。
不需要验证
user-interfacevty0
authentication-modenone
本地口令验证
user-interfacevty0
或setauthenticationpasswordcipher6300723(密文)
本地或远端用户名和口令验证
例:
设置用户从vty0用户界面登录时,需要进行用户名和口令验证,且登录用
户名和口令分别为huawei和6300723。
user-interfacevty0
authentication-modescheme
quit
local-userhuawei
passwordsimple6300723
service-typetelnetuser-interfacevty0
userprivilegelevel3
缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级,从VTY用户
界面登录后可以访问的命令级别为0级。
(0:
参观级别,1:
监控级别,2:
配置级别,3:
管理级别)
Quidway系列二层以太网交换机同时只能有一个VLAN对应的VLAN接口可以
配置IP地址——这个VLAN就是管理VLAN。
interfacevlan-interface1(管理VLAN接口)
ipaddress10.11.80.1255.255.255.0
descriptiontoma5600(为管理VLAN接口指定描述字符)
undoshutdown
配置静态路由:
iproute-staticip-address{mask,mask-length}
iproute-staticdefault-preferenee
default-preference-value(配置静态路由
的缺省优先级。
缺省情况下,default-preference-value的值为60。
注意,S3026
交换机不支持该配置。
)
displayipinterfacevlan-interfacevian-id(查看管理VLAN接口IP的相关
信息)
displayinterfacevlan-interface(查看管理VLAN接口的相关信息)
displayiprouting-table(查看路由表信息)
displayiprouting-tableverbose(查看路由表详细信息)
interfaceethernet0/1
descriptionthisisethernet0/1(描述)
duplexauto,duplexfull,duplexhalf(以太网口的双工状态,auto:
自协
商)
speed10,speed100,speedauto(百兆以太网口的速率)
speed10,speed100,speed1000,speedauto(千兆以太网口的速率)
undoshutdown
以太网口有三种链路类型:
Access,Hybrid和Trunk。
Access类型的端口只能属于1个VLAN,—般用于连接计算机的端口。
Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口。
Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间的连接,也可以用于连接用户的计算机。
Hybrid端口和Trunk端口的不同之处在于:
Hybrid端口可以允许多个VLAN的报文发送时不打标签,
而Trunk端口只允许缺省VLAN的报文发送时不打标签。
三种类型的端口可以共存在一台以太网交换机上。
但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再
设置为其他类型的端口例如,Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
(缺省情况下,端口为Access端口。
)
把当前以太网口加入到指定VLAN:
(Access端口只能加入到1个VLAN中,Hybrid端口和Trunk端口可以加入
到多个VLAN中。
)
interfaceethernet0/1
portaccessvian2(把当前Access口加入至U指定vian)
porthybridvlan2{tagged,untagged}(把当前Hybrid口加入到指定vian)
porttrunkpermitvlan2(把当前Trunk口加入到指定vian)
undoshutdown
Hybrid口和Trunk口可以加入到多个VLAN中,从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。
Hybrid口还可以设置哪些VLAN的报文打上标签,哪些不打标签。
(方法二:
vian2,portethernetO/1ethernetO/2)
设置以太网口缺省VLANID:
Access口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置。
而Hybrid口和Trunk口属于多个VLAN,所以需要设置缺省VLANID。
如果设置了端口的缺省VLANID,当端口接收到不带VLANTag的报文后,则将报文转发到属于缺省VLAN的端口;
当端口发送带有VLANTag的报文时,如果该报文的VLANID与端口缺省的
VLANID相同,则系统将去掉报文的VLANTag,然后再发送该报文。
interfaceethernet0/1
porthybridpvidvlan2(设置Hybrid口的缺省VLANID)
porttrunkpvidvlan2(设置Trunk口的缺省VLANID)
undoshutdown
本Hybrid口或本Trunk口的缺省VLANID和相连的对端交换机的Hybrid口
或Trunk口的缺省VLANID必须一致,否则报文将不能正确传输。
默认情况下,Hybrid口和Trunk口的缺省VLAN为VLAN1。
端口的VLAN过滤功能:
开启端口的VLAN过滤功能后,当该端口收到带有VLANTag的报文时,会判断该VLAN是否可以从该端口通过,不能通过则被过滤掉。
而当关闭端口的VLAN过滤功能后,当该端口收到带有VLANTag的报文时,会判断该VLAN是否已经在交换机中创建并包含了端口,如果已经创建并包含端口,则该报文被转发到属于此VLAN的端口。
否则,将会被丢弃。
interfaceethernet0/1
portvlanfilterdisable(关闭端口VLAN的过滤功能)
undoshutdown
(默认端口VLAN的过滤功能开启。
)
以太网端口配置举例:
口。
VLAN
如果不是,则应先将其配置成Trunk口或Hybrid口接着再配置缺省
ID。
方法二:
vlan2,portethernet0/1ethernet0/2
以太网端口汇聚配置:
端口汇聚是将多个端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分组,同时也提供了更高的连接可靠性。
一台S2000系列以太网交换机只能有1个汇聚组,1个汇聚组最多可以有4个端口。
S2026以太网交换机的两个扩展模块可以汇聚成1个汇聚组。
组内的端口号必须连续。
一台S3026交换机只能有1个汇聚组,1个汇聚组最多可以有4个端口。
另外,两个扩展模块可以汇聚成1个汇聚组。
一台S3026E/S3050C-48交换机最多可以有6个汇聚组,1个汇聚组最多可以有8个端口。
另外,两个扩展模块可以汇聚成1个汇聚组。
组内的端口号必须连续。
一台S3026FM/S3026FS交换机最多可以有4个汇聚组,1个汇聚组最多可以有8个端口。
端口起始值只能为Ethernet0/1、Ethernet0/9、Ethernet1/5、Gigabitethernet3/1。
如果组内的端口跨越了两个槽,则槽号必须连续。
一台S3026EFM/S3026EFS交换机最多可以有6个汇聚组,1个汇聚组最多可以有8个端口。
如果组内的端口跨越了两个槽,则槽号必须连续
在一个端口汇聚组中,端口号最小的作为主端口,其他的作为成员端口
,ingress}
1000M_FULL,
同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致。
如主端口为Trunk口,则成员端口也为Trunk口。
[Quidway]link-aggregationethernetO/1toethernetO/3{both
进行汇聚的以太网端口必须同为10M_FULL或100M_FULL或
否则无法实现汇聚。
displaylink-aggregationethernet0/1
(显示汇聚端口信息,后接master」nteface_name)
以太网端口汇聚配置举例:
SwitchA:
link-aggregationethernet0/1toethernet0/3both
displaylink-aggregationethernet0/1
(SwitchB上应作相应的配置,汇聚才能生效)
VLAN配置:
EW1EQ/2EO/3EO/4
vian2
portethernetO/1ethernetO/2(为VLAN指定以太网口)
quit
vian3
portethernetO/3ethernetO/4
(Trunk口和Hybrid口只能在以太网口视图下的port命令中加入VLAN或从
VLAN中删除,而不能通过本命令实现即interfaceethernet0/2,port
link-typetrunk,porttrunkpermitvlan2)
显示VLAN相关信息:
displayvlan
displayvlanvlan-iddisplayvlanall
isolate-user-vlan配置:
isolate-user-vlan
是华为公司系列交换机的一个特性。
isolate-user-vlan
采用二层VLAN结构,在一台交换机上设置isolate-user-vlan
和SecondaryVLAN两类VLAN。
一个isolate-user-vlan和多个SecondaryVLAN对应,isolate-user-vlan包含所对应的所有SecondaryVLAN中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的isolate-user-vlan,而不必关心
isolate-user-vlan
中包含的SecondaryVLAN,节省了VLAN资源。
同时,用户可以采用isolate-user-vlan实现二层报文的隔离,即为每个用户分配一个SecondaryVLAN,每个SecondaryVLAN中只包含该用户连接的端口和上行端口。
如果希望实现用户之间二层报文的互通,只要将这些用户连接的端口划入同一个SecondaryVLAN中即可。
vlan3
isolate-user-vlanenable(设置VLAN类型为isolate-user-vlan)
portethernet0/1
(向isolate-user-vlan中添加端口列表)
isolate-user-vlan
不能和Trunk端口同时配置,即如果交换机上配置了
isolate-user-vlan
,就不能配置Trunk口。
如果配置了Trunk口,就不能配置
isolate-user-vlan
。
此外,上行口必须添加到了isolate-user-vlan中。
vlan4(这样等于创建了SecondaryVLAN)
portethernet0/1(向SecondaryVLAN中添加端口列表)
isolate-user-vlan典型配置:
和两
SwitchB上的VLAN5为isolate-user-vlan,包含上行端口ethernet1/1
个SecondaryVLAN。
配置SwitchB:
vlan5
isolate-user-vlanenableportethernet1/1
quit
vlan3
portethernet0/1
quitvlan2
portethernet0/2quit
isolate-user-vlan5secondary2to3(配置isolate-user-vlan和Secondary
VLAN间的映射关系)
配置SwitchC:
vlan6
isolate-user-vlanenable
portethernet1/1
vlan3
portethernet0/3
vlan4
portethernet0/4
quit
isolate-user-vlan6secondary3to4
ACL:
AccessControlList访问控制列表
ACL配置之创建时间段:
1time-rangetime-namestart-timetoend-timedays-of-the-week
2time-rangetime-namestart-timetoend-timedays-of-the-weekfrom
start-timestart-data
3time-rangetime-namestart-timetoend-timedays-of-the-weekfromstart-timestart-datatoend-timeend-data
4time-rangetime-namefromstart-timestart-data
⑤time-range
time-namefromstart-timestart-datatoend-time
end-data
(如果定义ACL时不使用参数time-range,则此访问控制列表激活后将在任何时刻都生效。
)
(在定义ACL的子规则时,用户可以多次使用rule命令给同一个访问控制列表定义多条规则。
)
访问控制列表的数目限制:
基于数字标识的基本访问控制列表:
2000~2999
基于数字标识的高级访问控制列表:
3000~3999
基于数字标识的二层访问控制列表:
4000~4999
基于数字标识的用户自定义型访问控制列表:
5000~5999
一条访问控制列表可以定义的子规则:
0~127
S3026FM/FS访问控制列表案例之一一高级访问控制列表配置:
财务部门的工资查询服务器由Ethernet2/1端口接入。
(工资查询服务器IP:
129.110.1.2)。
配置ACL,在上班时间8:
00至18:
00,其它部门禁止访问工资服务器
定义到工资服务器的ACL
aclnametraffic-of-payserveradvanced
定义其它部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver]
rule1denyipsourceanydestination129.110.1.20.0.0.0time-range
huawei
quit
(deny:
拒绝,destination:
目的地)
激活ACL:
packet-filterip-grouptraffic-of-payserver
S3026FM/FS访问控制列表案例之一一基本访问控制列表配置:
在每天8:
00~18:
00时间段内对源IP为10.1.1.1的主机发出报文的过滤
time-rangehuawei8:
00to18:
00daily
定义基于名字的基本访问控制列表
定义源IP为10.1.1.1的访问规则
[Quidway-acl-basic-traffic-of-host]
rule1denyipsource10.1.1.10time-rangehuaweiquit
激活ACL
packet-filterip-grouptraffic-of-host
S3026FM/FS访问控制列表案例之一一二层访问控制列表配置:
实现在每天8:
00~18:
00时间段内对源MAC为00e0-fc01-0101、目的MAC为00e0-fc01-0303报文的过滤。
time-rangehuawei8:
00to18:
00daily
aclnametraffic-of-linklink
定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则
[Quidway-acl-link-traffic-of-link]
rule1denyingress00e0-fc01-0101egress00e0-fc01-0303time-rangehuaweiquit
高级访问控制列表:
S3026E系列和S3050C-48访问控制列表案例之
财务部门管理部门
至«由器
而总裁办公室(IP地址:
129.111.1.2)不受限制,可以随时访问
time-rangehuawei8:
00to18:
00working-day
aclnametraffic-of-payserveradvanced
(advaneed:
高级的)
定义其它部门到工资服务器的访问规则
rule1denyipsourceanydestination129.110.1.20.0.0.0time-range
huawei
定义总裁办公室到工资服务器的访问规则
rule2permitipsource129.111.1.20.0.0.0destination129.110.1.20.0.0.0
激活ACL
S3026E系列和S3050C-48访问控制列表案例之——基本访问控制列表:
在每天8:
00~18:
00时间段内对源IP为10.1.1.1的主机发出报文的过滤
time-rangehuawei8:
00to18:
00daily
定义基于名字的基本访问控制列表
aclnametraffic-of-hostbasic
定义源IP为10.1.1.1的访问规则
[Quidway-acl-basic-traffic-of-host]
rule1denyipsource10.1.1.10time-rangehuawei
quit
激活ACL
packet-filter