华为三层交换机配置步骤最新修改版0517.docx
《华为三层交换机配置步骤最新修改版0517.docx》由会员分享,可在线阅读,更多相关《华为三层交换机配置步骤最新修改版0517.docx(24页珍藏版)》请在冰豆网上搜索。
华为三层交换机配置步骤最新修改版0517
华为三层交换机配置步骤
一.VLAN配置
1.建立VLAN
sys/进入特权模式
[Quidway]vlan1/建立vlan1
[Quidway]ctrl+z/退出vlan1到普通模式
[Quidway]vlan2/建立vlan2
[Quidway]ctrl+z/退出vlan2到普通模式
【注】
划分VLAN,并描述
vlan1
descriptionlocal-s3600 //本交换机使用
vlan2
descriptionlink-to-shanxicentre//陕西省中心
vlan3
descriptionlink-to-shangjiecentre//商界分中心内部使用
2.配置端口加入到VLAN
[Quidway]vlan1/进入vlan1
[Quidway-vlan1]portEthernet0/1/将端口E0/1加入到vlan1
[Quidway-vlan1]ctrl+z/退出vlan1到普通模式
[Quidway]vlan2/进入vlan2
[Quidway-vlan2]portEthernet0/2/将端口E0/2加入到vlan2
[Quidway-vlan2]ctrl+z/退出vlan2到普通模式
3.配置VLAN的IP地址
[Quidway]interfacevlan1/进入接口视图
[Quidway-Vlan-interface1]ipaddress13.1.1.130255.255.255.0/配置VLAN1的IP地址
[Quidway-Vlan-interface1]ctrl+z/退出vlan1到普通模式
[Quidway]interfacevlan2/进入接口视图
[Quidway-Vlan-interface2]ipaddress192.168.2.1255.255.255.0/配置VLAN2的IP地址
[Quidway-Vlan-interface1]ctrl+z/退出vlan2到普通模式
4.配置静态路由
[Quidway]iproute-static0.0.0.00.0.0.010.65.1.2 /静态路由=网关
5.配置上行端口为trunk
[Quidway-Ethernet0/1]portlink-typetrunk/实际当中一般将上行端口设置成trunk属性,允许vlan透传
[Quidway-Ethernet0/1]porttrunkpermitvlanall/允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值
5.端口汇聚配置
(1)进入端口E0/1
[Quidway]interfaceEthernet0/1
(2)汇聚端口必须工作在全双工模式
[Quidway-Ethernet0/1]duplexfull
(3)汇聚的端口速率要求相同,但不能是自适应
[Quidway-Ethernet0/1]speed100
(4)进入端口E0/2
[Quidway]interfaceEthernet0/2
(5)汇聚端口必须工作在全双工模式
[Quidway-Ethernet0/2]duplexfull
(6)汇聚的端口速率要求相同,但不能是自适应
[Quidway-Ethernet0/2]speed100
(7)根据源和目的MAC进行端口选择汇聚
[Quidway]link-aggregationEthernet0/1toEther
【补充说明】
(1)同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access端口。
(2)不同的产品对端口汇聚时的起始端口号要求各有不同,请对照《操作手册》进行配置。
6.系统设置
设置系统时间和时区clocktimeBeijingadd8
clockdatetime12:
00:
002005/01/23
设置交换机的名称[Quidway]sysnameTRAIN-3026-1[TRAIN-3026-1]
配置用户登录[Quidway]user-interfacevty04
[Quidway-ui-vty0]authentication-modescheme
创建本地用户[Quidway]local-userhuawei
[Quidway-luser-huawei]passwordsimplehuawei
[Quidway-luser-huawei]service-typetelnetlevel3
二、其它需求配置
(1)建立ACL定义vlan2与vlan3之间不能互访
ACL配置
sys/进入特权模式
[Quidway]aclnumber3015/建立acl编号取为3015,该编号可以任意取
[Quidway-acl-adv-3015]ruledenysource192.168.2.00.0.0.255destination192.168.3.00.0.0.255/定义192.168.2.0的ip段不能访问192.168.3.0网段,反之也一样.
[Quidway-acl-adv-3015]ctrl+z/退出当前acl到普通模式
sys/进入特权模式
[Quidway]intEthernet0/1/进入到e0/1端口
[Quidway-GigabitEthernet0/1]packet-filterinboundip-group3015not-care-for-interface/将定义好的acl3015下发到整台交换机中,让整台交换机要求建立
Trunk配置
网络环境:
6506g2/0/4多模光口接3026g1/1多模光口
3026建立两个VLAN
vlan5192.168.5.1255.255.255.0(原来的用户继续使用,即端口9-24)
vlan6192.168.6.1255.255.255.0(用于财务1-8口)
不允许任何VLAN访问VLAN6
步骤:
6506上的配置步骤如下:
sys/进入特权
vlan5/建立两个VLAN,即3026上所要建立的VLAN,必须同名
vlan6/建立两个VLAN,即3026上所要建立的VLAN,必须同名
intvlan5/进入到vlan5
ipadd192.168.5.1255.255.255.0/配置vlan5的IP地址
intvlan6/进入到vlan6
ipadd192.168.6.1255.255.255.0/配置VLAN6的IP地址
interfaceg2/0/4/进入到端口
portlink-typetrunk/配置端口工作在Trunk模式
porttrunkpermitvlan5/允许vlan5通过
porttrunkpermitvlan6/允许vlan6能过
speed1000/配置速度
duplexfull/工作模式全双工
aclnumber3001/定义一条ACL,不允许任何VLAN访问VLAN6
ruledenyipsourceanydestination192.168.6.00.0.0.255/定久任何IP不能访问192.168.6.0网段
intg2/0/4/进入到端口
packet-filterinboundip-group3001/将ACL应用到端口
3026配置步骤如下:
sys/进入特权
vlan5/建立vlan5,必须和6506上的相同
vlan6/建立vlan6,必须和6506上的相同
intg1/1/进入到g1/1口
portlink-typetrunk/配置端口工作在Trunk模式
porttrunkpermitvlan5/允许vlan5通过
porttrunkpermitvlan6/允许vlan6能过
speed1000/配置速度
duplexfull/工作模式全双工
inte0/1/进入端口
portaccessalvn6/将端口添加到vlan6里
inte0/23/进入端口
portaccessvlan5/将端口添加到vlan5里
(2)基于vlan的dhcpserver(H3C3600-EI才支持该服务)配置:
5.在VLAN接口10上选择全局地址池方式分配IP地址
[SwitchA-Vlan-interface10]dhcpselectglobal
6.创建全局地址池,并命名为”vlan10”
[SwitchA]dhcpserverip-poolvlan10
7.配置vlan10地址池给用户分配的地址范围以及用户的网关,dns地址
[SwitchA-dhcp-vlan10]network10.1.1.0mask255.255.255.0
[SwitchA-dhcp-vlan10]gateway-list10.1.1.1
[SwitchA-dhcp-vlan10]dns-list202.96.209.5202.96.209.133
8.禁止分配给用户的ip
[SwitchA]dhcpserverforbidden-ip10.1.1.110.1.1.23
[SwitchA]dhcpserverforbidden-ip10.1.1.20010.1.1.250
9.配置vlan接口通过dhcp方式获取ip(缺省情况下vlan接口不通过dhcp方式获取ip)
[h3c]intvlan3
[h3c-vlan-intterface]ipaddressdhcp-alloc
(2)三层交换机端口隔离(防止arp,灵活隔离端口)
2010-05-1713:
01
多为QuidwayS3952P-EI型号交换机,因为交换机版本问题,此交换机设置端口隔离后,无法设置不同隔离组,默认就一个隔离组。
这样做端口隔离后,所有端口相互之间都不可以相互访问(即只有同机柜中的服务器可以访问,不同机柜的机器都不可以相互访问)。
具体操作如下:
[]interfaceEthernet1/0/*
[-Ethernet1/0/*]portisolate
即可。
取消隔离命令:
undoportisolate
机柜中的普通的交换机灵活隔离端口:
多为QuidwayS2126-EI型号交换机。
也可以进行灵活的端口隔离,把经常有问题的发包的机器放在一个vlan组,在这个vlan组中的服务器无法访问同机柜中的其他机器,不在隔离组的可以互访,不受影响。
操作方法如下:
vlan1
#
vlan2
port-isolateenable
#
interfaceVlan-interface1
ipaddress222.191.251.121255.255.255.192
#
interfaceAux0/0
#
interfaceEthernet0/1
#
interfaceEthernet0/2
#
interfaceEthernet0/3
#
interfaceEthernet0/4
.....
interfaceEthernet0/18
#
interfaceEthernet0/19
#
interfaceEthernet0/20
#
interfaceEthernet0/21
portlink-typehybrid
porthybridvlan1to2untagged
porthybridpvidvlan2
#
interfaceEthernet0/22
portlink-typehybrid
porthybridvlan1to2untagged
porthybridpvidvlan2
#
interfaceEthernet0/23
portlink-typehybrid
porthybridvlan1to2untagged
porthybridpvidvlan2
#
interfaceEthernet0/24
portlink-typehybrid
porthybridvlan1to2untagged
porthybridpvidvlan2
#
interfaceEthernet0/25
portlink-typehybrid
porthybridvlan1to2untagged
port-isolateuplink-portvlan2
#
interfaceNULL0
#
说明:
Ethernet0/25为上联端口。
vlan1
Ethernet0/20 toEthernet0/24为vlan2,端口隔离,相互间不能访问,可以与 Ethernet0//25通讯
Ethernet0/1到Ethernet0/19内部端口可以相互访问,同时 与e0/25通讯
其中25端口的port-isolateuplink-portvlan2这条命令非常重要!
这样就实现了端口的灵活隔离。
建议机房对底层交换机进行设置,后四个端口都隔离出来,发生过arp问题的机器,直接网线接入这个端口。
这样以后就算再被入侵,也不会造成arp影响了。
如果需要取消端口隔离,命令如下:
[edongjy]interfaceEthernet0/20
[edongjy-Ethernet0/20]undoportlink-type
即可。
如何配置一台出厂设置的交换机(适合新手)~
如何配置一台刚刚出厂的交换机,以H3CS3100接入层交换机为例。
先说一下如何把一台交换机恢复到出厂设置。
1、
删除NVRAM中的配置文件
resetsaved-configuration
2、
重启
reboot
一台出厂设置的交换机,里面没有任何的配置文件,我们需要做以下配置:
1)
用console线连接到交换机
2)
为交换机配置一个名称
sys
sysnameSwitch1
此处命名为Switch1
3)
为交换机配置一个ip地址,这个ip用于以后telnet到交换机
交换机为2层设备,只能为交换机的管理VLAN配置一个IP地址,默认情况下,管理VLAN为VLAN1。
intevlan-inte1
ipaddx.x.x.xx.x.x.x
undoshut
4)
建立一条指向网关的默认路由
为什么要建立默认路由,默认路由可以理解为默认网关,有了这条路由,其他vlan的PC才可以访问该交换机。
iproute-static0.0.0.0
0.0.0.0
x.x.x.x(x.x.x.x为vlan1的网关地址,即三层交换机上VLAN1的ip地址)
5)
建立用户并设置密码
local-useradmin
passcipher
service-typetelnet
level3
6)
开启vty线路,并设置适当的认证模式
VTY线路是用来提供telnet的,VTY线路有多条,编号从0开始。
此次以接入层交换机S3100为例,S3100有5条vty0~5,为VTY线路启用合适的认证方式。
user-interfacevty0
4
authentication-modescheme(scheme模式要求提供账号和密码)
7)配置vlan信息
配置需要的vlan,这里新建vlan2、3、4。
并将e1/0/1-e1/0/5加入到vlan2
e1/0/6-e1/0/10加入到vlan3
e1/0/11-e1/0/15加入到vlan4
vlan2
porte1/0/1toe1/0/5
vlan3
porte1/0/6toe1/0/10
vlan4
porte1/0/11toe1/0/15
8)配置Trunk链路
trunk链路承载不同vlan的流量,交换机级联的两个端口必须配置为trunk模式,只有这样vlan的信息才能在整个交换环境中传递。
这里假设g1/1/1为交换机堆叠的端口,需配置为trunk模式。
integ1/1/1
portlink-tpyetrunk
porttrunkpermitvlan2to4(为了避免不必要的带宽的浪费,这里建议写出允许通过的vlan而不是permitall)
9)保存并退出
详细配置
sys
sysnameSwitch1
local-useradmin
passwordcipherG`M^B!
service-typetelnet
level3
interfaceVlan-interface1
ipaddress192.168.1.3255.255.255.0
iproute-static0.0.0.00.0.0.0192.168.1.1
user-interfacevty04
authentication-modescheme
vlan2
porte1/0/1toe1/0/5
vlan3
porte1/0/6toe1/0/10
vlan4
porte1/0/11toe1/0/15
quit
integ1/1/1
portlink-tpyetrunk
porttrunkpermitvlan2to4
“为什么要建立默认路由,默认路由可以理解为默认网关,有了这条路由,其他vlan的PC才可以访问该交换机。
iproute-static0.0.0.0
0.0.0.0
x.x.x.x(x.x.x.x为vlan1的网关地址,即三层交换机上VLAN1的ip地址)”
我不是很明白这条默认路由和其他vlanPC访问该交换机有什么关系,其他VLAN指的是该交换机上的vlan还是三层交换机的vlan?
该交换机上的vlan和三层交换机上的vlan有区别么?
管理vlan默认为vlan1,
三层上intevlan-inte1
ipadd192.168.1.1255.255.255.0
二层交换机
intevlan-inte1
ipadd192.168.1.2255.255.255.0
iproute-static0.0.0.00.0.0.0192.168.1.1
如果没有这条默认路由,那么vlan2、3、4.。
。
。
。
。
都不可能telnet到交换机。
三层上的vlan2和接入层的vlan2是同一vlan,二者没有有任何区别。
同一vlan的telnet(这里的IP地址继续用上面我所配的)
PC:
telnet 192.168.1.2
交换是根据mac地址转发数据,
mac未知,发送arp请求,希望获得192.168.1.2的mac
泛洪到vlan1所有节点,
192.168.1.1收到该arp请求,应答
已经获悉192.168.1.2的mac帧被转发,telnet会话建立。
不同的vlan的telnet
这里假设是vlan2的一台PC
intevlan-inte2
ipadd192.168.2.1255.255.255.0
PC:
ip:
192.168.2.2/24
gateway:
192.168.2.1
telnet192.168.1.2
mac未知,发送arp
该arp请求属于vlan2,无法泛洪到vlan1,收不到192.168.1.2的arp应答
当数据包不知道如何转发的时候,使用默认路由,也就是网关。
向默认网关192.168.2.1发送该telnet数据包
该包达到三层交换机,查找vlan间路由信息
包被转发到192.168.1.1
192.168.1.1把该包转发到192.168.1.2
192.168.1.2使用默认路由0.0.0.00.0.0.0192.168.1.1回包
H3C三层交换机配置命令大全
2010-05-0716:
16:
51作者:
佚名来源:
浏览次数:
448
[Quidway]discur;显示当前配置[Quidway]displaycurrent-configuration;显示当前配置[Quidway]displayinterfaces;
[Quidway]discur ;显示当前配置
[Quidway]displaycurrent-configuration ;显示当前配置
[Quidway]displayinterfaces ;显示接口信息
[Quidway]displayvlanall ;显示路由信息
[Quidway]displayversion ;显示版本信息
[Quidway]superpassword ;修改特权用户密码
[Quidway]sysname ;交换机命名
[Quidway]interfaceethernet0/1 ;进入接口视图
[Quidway]interface
升级会员 