华为quidways3000系列配置.docx
《华为quidways3000系列配置.docx》由会员分享,可在线阅读,更多相关《华为quidways3000系列配置.docx(39页珍藏版)》请在冰豆网上搜索。
华为quidways3000系列配置
华为QuidwayS3000系列配置
QuidwayS3000系列以太网交换机的型号:
①S3026交换机
②S3026FS交换机、S3026FM交换机
③S3026E交换机
④S3026EFS交换机、S3026EFM
⑤S3050C-48交换机
Telnet用户登录时,缺省需要进行口令认证。
system-view
user-interfacevty0
setauthenticationpasswordsimple6300723
改变语言模式:
language-modechinese
language-modeenglish
设置交换机的名称:
sysnamesysname
设置系统时钟:
clockdatatime时:
分:
秒年:
月:
日
displayversion——可以看到VRP版本。
displaycurrent-configuration
显示VLAN相关信息:
displayvlan
displayvlanvlan-id
displayvlanall
AUX用户:
通过Console口对以太网交换机进行访问,每台以太网交换机最多只有一个。
VTY用户:
通过Telnet对以太网交换机进行访问,每台交换机最多可以有5个。
(在Quidway系列以太网交换机中,AUX口和Console口是同一个口。
)
user-interfacevty04
protocolinbound{all,ssh,telnet}(配置用户界面支持的协议,只能在vty用户下进行。
缺省情况下,系统只支持telnet协议。
)
=====
如果配置用户界面支持SSH协议,为确保登录成功,应该配置相应的认证方式为authentication-modescheme。
如果配置认证方式为authentication-modepassword和authentication-modenone,则protocolinboundssh配置结果将失败。
波特率为9600bit/s;
数据位为8;
奇偶校验为无;
停止位为1;
数据流控制为无;
user-interfaceaux0
speed9600(配置AUX口的传输速率,默认为9600bit/s。
)
flow-controlnone(配置AUX口的流控方式,默认为none,即不进行流控。
)
paritynone(配置AUX口的校验方式,默认为none,即无校验位。
)
stopbits1(配置AUX口的停止位,默认为1。
)
databits8(配置AUX口的数据位,默认为8位。
)
启动、关闭终端服务:
当关闭某用户界面的终端服务后,通过该用户界面将不能登录以太网交换机。
对于在关闭之前已经通过该用户界面登录的用户,仍然可以进行操作。
但当用户退出该用户界面后,将不能再次登录。
只有启动该用户界面的终端服务后,才能通过该用户界面登录以太网交换机。
启动终端服务:
shell
关闭终端服务:
undoshell
超时断开设置:
缺省情况下,启动了超时断连功能,时间是10分钟。
user-interfaceaux0或者user-interfacevty0
idle-timeout分秒
(idle-timeout0表示关闭超时中断连接功能。
)
end——对应return
exit——对应quit
锁住用户界面,防止当用户离开时,其它人对该用户界面进行操作。
lock
设置用户登录验证方式:
缺省情况下,Console口用户登录不需要进行终端验证;而Telnet用户登录需要进行口令验证。
=====
不需要验证
user-interfacevty0
authentication-modenone
=====
本地口令验证
user-interfacevty0
authentication-modepassword(需要口令验证)
setauthenticationpasswordsimple6300723(明文)
或setauthenticationpasswordcipher6300723(密文)
=====
本地或远端用户名和口令验证
例:
设置用户从vty0用户界面登录时,需要进行用户名和口令验证,且登录用户名和口令分别为huawei和6300723。
user-interfacevty0
authentication-modescheme
quit
local-userhuawei
passwordsimple6300723
service-typetelnet
=====
user-interfacevty0
userprivilegelevel3
缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级,从VTY用户界面登录后可以访问的命令级别为0级。
(0:
参观级别,1:
监控级别,2:
配置级别,3:
管理级别)
Quidway系列二层以太网交换机同时只能有一个VLAN对应的VLAN接口可以配置IP地址——这个VLAN就是管理VLAN。
interfacevlan-interface1(管理VLAN接口)
ipaddress10.11.80.1255.255.255.0
descriptiontoma5600(为管理VLAN接口指定描述字符)
undoshutdown
配置静态路由:
iproute-staticip-address{mask,mask-length}
iproute-staticdefault-preferencedefault-preference-value(配置静态路由的缺省优先级。
缺省情况下,default-preference-value的值为60。
注意,S3026交换机不支持该配置。
)
displayipinterfacevlan-interfacevlan-id(查看管理VLAN接口IP的相关信息)
displayinterfacevlan-interface(查看管理VLAN接口的相关信息)
displayiprouting-table(查看路由表信息)
displayiprouting-tableverbose(查看路由表详细信息)
interfaceethernet0/1
descriptionthisisethernet0/1(描述)
duplexauto,duplexfull,duplexhalf(以太网口的双工状态,auto:
自协商)
speed10,speed100,speedauto(百兆以太网口的速率)
speed10,speed100,speed1000,speedauto(千兆以太网口的速率)
undoshutdown
以太网口有三种链路类型:
Access,Hybrid和Trunk。
Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口。
Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口。
Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间的连接,也可以用于连接用户的计算机。
Hybrid端口和Trunk端口的不同之处在于:
Hybrid端口可以允许多个VLAN的报文发送时不打标签,
而Trunk端口只允许缺省VLAN的报文发送时不打标签。
interfaceethernet0/1
portlink-typeaccess(设置为Access端口)
portlink-typehybrid(设置为Hybrid端口)
portlink-typetrunk(设置为Trunk端口)
undoshutdown
三种类型的端口可以共存在一台以太网交换机上。
但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型的端口。
例如,Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
(缺省情况下,端口为Access端口。
)
把当前以太网口加入到指定VLAN:
(Access端口只能加入到1个VLAN中,Hybrid端口和Trunk端口可以加入到多个VLAN中。
)
interfaceethernet0/1
portaccessvlan2(把当前Access口加入到指定vlan)
porthybridvlan2{tagged,untagged}(把当前Hybrid口加入到指定vlan)
porttrunkpermitvlan2(把当前Trunk口加入到指定vlan)
undoshutdown
Hybrid口和Trunk口可以加入到多个VLAN中,从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。
Hybrid口还可以设置哪些VLAN的报文打上标签,哪些不打标签。
=====
(方法二:
vlan2,portethernet0/1ethernet0/2)
设置以太网口缺省VLANID:
Access口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置。
而Hybrid口和Trunk口属于多个VLAN,所以需要设置缺省VLANID。
如果设置了端口的缺省VLANID,当端口接收到不带VLANTag的报文后,则将报文转发到属于缺省VLAN的端口;
当端口发送带有VLANTag的报文时,如果该报文的VLANID与端口缺省的VLANID相同,则系统将去掉报文的VLANTag,然后再发送该报文。
interfaceethernet0/1
porthybridpvidvlan2(设置Hybrid口的缺省VLANID)
porttrunkpvidvlan2(设置Trunk口的缺省VLANID)
undoshutdown
本Hybrid口或本Trunk口的缺省VLANID和相连的对端交换机的Hybrid口或Trunk口的缺省VLANID必须一致,否则报文将不能正确传输。
=====
默认情况下,Hybrid口和Trunk口的缺省VLAN为VLAN1。
端口的VLAN过滤功能:
开启端口的VLAN过滤功能后,当该端口收到带有VLANTag的报文时,会判断该VLAN是否可以从该端口通过,不能通过则被过滤掉。
而当关闭端口的VLAN过滤功能后,当该端口收到带有VLANTag的报文时,会判断该VLAN是否已经在交换机中创建并包含了端口,如果已经创建并包含端口,则该报文被转发到属于此VLAN的端口。
否则,将会被丢弃。
interfaceethernet0/1
portvlanfilterdisable(关闭端口VLAN的过滤功能)
undoshutdown
(默认端口VLAN的过滤功能开启。
)
以太网端口配置举例:
vlan2
quit
vlan100
quit
vlan6to50
quit
interfaceethernet0/8
portlink-typetrunk
porttrunkpermitvlan26to50100(允许vlan2,vlan6-50,vlan100通过)
porttrunkpvidvlan100
undoshutdown
(SwitchB上应作相应的配置)
=====
使用displayinterface或displayport检查该端口是否为Trunk口或Hybrid口。
如果不是,则应先将其配置成Trunk口或Hybrid口——接着再配置缺省VLANID。
=====
(方法二:
vlan2,portethernet0/1ethernet0/2)
以太网端口汇聚配置:
端口汇聚是将多个端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分组,同时也提供了更高的连接可靠性。
一台S2000系列以太网交换机只能有1个汇聚组,1个汇聚组最多可以有4个端口。
S2026以太网交换机的两个扩展模块可以汇聚成1个汇聚组。
组内的端口号必须连续。
一台S3026交换机只能有1个汇聚组,1个汇聚组最多可以有4个端口。
另外,两个扩展模块可以汇聚成1个汇聚组。
一台S3026E/S3050C-48交换机最多可以有6个汇聚组,1个汇聚组最多可以有8个端口。
另外,两个扩展模块可以汇聚成1个汇聚组。
组内的端口号必须连续。
一台S3026FM/S3026FS交换机最多可以有4个汇聚组,1个汇聚组最多可以有8个端口。
端口起始值只能为Ethernet0/1、Ethernet0/9、Ethernet1/5、Gigabitethernet3/1。
如果组内的端口跨越了两个槽,则槽号必须连续。
一台S3026EFM/S3026EFS交换机最多可以有6个汇聚组,1个汇聚组最多可以有8个端口。
如果组内的端口跨越了两个槽,则槽号必须连续。
在一个端口汇聚组中,端口号最小的作为主端口,其他的作为成员端口。
同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致。
如主端口为Trunk口,则成员端口也为Trunk口。
[Quidway]link-aggregationethernet0/1toethernet0/3{both,ingress}
进行汇聚的以太网端口必须同为10M_FULL或100M_FULL或1000M_FULL,否则无法实现汇聚。
displaylink-aggregationethernet0/1
(显示汇聚端口信息,后接master_interface_name)
以太网端口汇聚配置举例:
SwitchA:
link-aggregationethernet0/1toethernet0/3both
displaylink-aggregationethernet0/1
(SwitchB上应作相应的配置,汇聚才能生效)
VLAN配置:
vlan2
portethernet0/1ethernet0/2(为VLAN指定以太网口)
quit
vlan3
portethernet0/3ethernet0/4
(Trunk口和Hybrid口只能在以太网口视图下的port命令中加入VLAN或从VLAN中删除,而不能通过本命令实现——即interfaceethernet0/2,portlink-typetrunk,porttrunkpermitvlan2)
显示VLAN相关信息:
displayvlan
displayvlanvlan-id
displayvlanall
isolate-user-vlan配置:
isolate-user-vlan是华为公司系列交换机的一个特性。
isolate-user-vlan采用二层VLAN结构,在一台交换机上设置isolate-user-vlan和SecondaryVLAN两类VLAN。
一个isolate-user-vlan和多个SecondaryVLAN对应,isolate-user-vlan包含所对应的所有SecondaryVLAN中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的isolate-user-vlan,而不必关心isolate-user-vlan中包含的SecondaryVLAN,节省了VLAN资源。
同时,用户可以采用isolate-user-vlan实现二层报文的隔离,即为每个用户分配一个SecondaryVLAN,每个SecondaryVLAN中只包含该用户连接的端口和上行端口。
如果希望实现用户之间二层报文的互通,只要将这些用户连接的端口划入同一个SecondaryVLAN中即可。
=====
vlan3
isolate-user-vlanenable(设置VLAN类型为isolate-user-vlan)
portethernet0/1(向isolate-user-vlan中添加端口列表)
=====
isolate-user-vlan不能和Trunk端口同时配置,即如果交换机上配置了isolate-user-vlan,就不能配置Trunk口。
如果配置了Trunk口,就不能配置isolate-user-vlan。
此外,上行口必须添加到了isolate-user-vlan中。
=====
vlan4(这样等于创建了SecondaryVLAN)
portethernet0/1(向SecondaryVLAN中添加端口列表)
isolate-user-vlan典型配置:
SwitchB上的VLAN5为isolate-user-vlan,包含上行端口ethernet1/1和两个SecondaryVLAN。
配置SwitchB:
vlan5
isolate-user-vlanenable
portethernet1/1
quit
vlan3
portethernet0/1
quit
vlan2
portethernet0/2
quit
isolate-user-vlan5secondary2to3(配置isolate-user-vlan和SecondaryVLAN间的映射关系)
配置SwitchC:
vlan6
isolate-user-vlanenable
portethernet1/1
vlan3
portethernet0/3
vlan4
portethernet0/4
quit
isolate-user-vlan6secondary3to4
ACL:
AccessControlList——访问控制列表
ACL配置之——创建时间段:
①time-rangetime-namestart-timetoend-timedays-of-the-week
②time-rangetime-namestart-timetoend-timedays-of-the-weekfromstart-timestart-data
③time-rangetime-namestart-timetoend-timedays-of-the-weekfromstart-timestart-datatoend-timeend-data
④time-rangetime-namefromstart-timestart-data
⑤time-rangetime-namefromstart-timestart-datatoend-timeend-data
(如果定义ACL时不使用参数time-range,则此访问控制列表激活后将在任何时刻都生效。
)
(在定义ACL的子规则时,用户可以多次使用rule命令给同一个访问控制列表定义多条规则。
)
访问控制列表的数目限制:
基于数字标识的基本访问控制列表:
2000~2999
基于数字标识的高级访问控制列表:
3000~3999
基于数字标识的二层访问控制列表:
4000~4999
基于数字标识的用户自定义型访问控制列表:
5000~5999
一条访问控制列表可以定义的子规则:
0~127
S3026FM/FS访问控制列表案例之——高级访问控制列表配置:
公司企业网通过Switch的百兆端口实现各部门之间的互连。
财务部门的工资查询服务器由Ethernet2/1端口接入。
(工资查询服务器IP:
129.110.1.2)。
配置ACL,在上班时间8:
00至18:
00,其它部门禁止访问工资服务器。
=====
time-rangehuawei8:
00to18:
00working-day
定义到工资服务器的ACL
aclnametraffic-of-payserveradvanced
定义其它部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver]
rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei
quit
(deny:
拒绝,destination:
目的地)
激活ACL:
packet-filterip-grouptraffic-of-payserver
S3026FM/FS访问控制列表案例之——基本访问控制列表配置:
在每天8:
00~18:
00时间段内对源IP为10.1.1.1的主机发出报文的过滤。
=====
time-rangehuawei8:
00to18:
00daily
定义基于名字的基本访问控制列表
aclnametraffic-of-hostbasic
定义源IP为10.1.1.1的访问规则
[Quidway-acl-basic-traffic-of-host]
rule1denyipsource10.1.1.10time-rangehuawei
quit
激活ACL
packet-filterip-grouptraffic-of-host
S3026FM/FS访问控制列表案例之——二层访问控制列表配置:
实现在每天8:
00~18:
00时间段内对源MAC为00e0-fc01-0101、目的MAC为00e0-fc01-0303报文的过滤。
=====
time-rangehuawei8:
00to18:
00daily
aclnametraffic-of-linklink
定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则
[Quidway-acl-link-traffic-of-link]
rule1denyingress00e0-fc01-0101egress00e0-fc01-0303time-rangehuawei
quit
packet-filterlink-grouptraffic-of-link
S3026E系列和S3050C-48访问控制列表案例之——高级访问控制列表:
限制其它部门在上班时间8:
00至18:
00访问工资服务器,
而总裁办公室(IP地址:
129.111.1.2)不受限制,可以随时访问。
=====
time-rangehuawei8:
00to18:
00working-day
aclnametraffic-of-payserveradvanced
(advanced:
高级的)
定义其它部门到工资服务器的访问规则
rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei
升级会员 