华为quidways3000系列配置.docx

1、华为quidways3000系列配置华为Quidway S3000系列配置Quidway S3000系列以太网交换机的型号：S3026交换机S3026 FS交换机、S3026FM交换机S3026E交换机S3026E FS交换机、S3026E FMS3050C-48交换机Telnet用户登录时，缺省需要进行口令认证。system-viewuser-interface vty 0set authentication password simple 6300723改变语言模式：language-mode chineselanguage-mode english设置交换机的名称：sysname sys

2、name设置系统时钟：clock datatime 时:分:秒 年:月:日display version可以看到VRP版本。display current-configuration显示VLAN相关信息：display vlandisplay vlan vlan-iddisplay vlan allAUX用户：通过Console口对以太网交换机进行访问，每台以太网交换机最多只有一个。VTY用户：通过Telnet对以太网交换机进行访问，每台交换机最多可以有5个。（在Quidway系列以太网交换机中，AUX口和Console口是同一个口。）user-interface vty 0 4protoco

3、l inbound all，ssh，telnet（配置用户界面支持的协议，只能在vty用户下进行。缺省情况下，系统只支持telnet协议。）= = = = =如果配置用户界面支持SSH协议，为确保登录成功，应该配置相应的认证方式为authentication-mode scheme。如果配置认证方式为authentication-mode password和authentication-mode none，则protocol inbound ssh配置结果将失败。波特率为9600bit/s；数据位为8；奇偶校验为无；停止位为1；数据流控制为无；user-interface aux 0speed

4、 9600（配置AUX口的传输速率，默认为9600bit/s。）flow-control none（配置AUX口的流控方式，默认为none，即不进行流控。）parity none（配置AUX口的校验方式，默认为none，即无校验位。）stopbits 1（配置AUX口的停止位，默认为1。）databits 8（配置AUX口的数据位，默认为8位。）启动、关闭终端服务：当关闭某用户界面的终端服务后，通过该用户界面将不能登录以太网交换机。对于在关闭之前已经通过该用户界面登录的用户，仍然可以进行操作。但当用户退出该用户界面后，将不能再次登录。只有启动该用户界面的终端服务后，才能通过该用户界面登录以太网

5、交换机。启动终端服务：shell关闭终端服务：undo shell超时断开设置：缺省情况下，启动了超时断连功能，时间是10分钟。user-interface aux 0或者user-interface vty 0idle-timeout 分 秒（idle-timeout 0表示关闭超时中断连接功能。）end对应returnexit对应quit锁住用户界面，防止当用户离开时，其它人对该用户界面进行操作。lock设置用户登录验证方式：缺省情况下，Console口用户登录不需要进行终端验证；而Telnet用户登录需要进行口令验证。= = = = =不需要验证user-interface vty 0a

6、uthentication-mode none= = = = =本地口令验证user-interface vty 0authentication-mode password（需要口令验证）set authentication password simple 6300723（明文）或set authentication password cipher 6300723（密文）= = = = =本地或远端用户名和口令验证例：设置用户从vty 0用户界面登录时，需要进行用户名和口令验证，且登录用户名和口令分别为huawei和6300723。user-interface vty 0authenticat

7、ion-mode schemequitlocal-user huaweipassword simple 6300723service-type telnet= = = = =user-interface vty 0user privilege level 3缺省情况下，从AUX用户界面登录后可以访问的命令级别为3级，从VTY用户界面登录后可以访问的命令级别为0级。（0：参观级别，1：监控级别，2：配置级别，3：管理级别）Quidway系列二层以太网交换机同时只能有一个VLAN对应的VLAN接口可以配置IP地址这个VLAN就是管理VLAN。interface vlan-interface 1（管

8、理VLAN接口）ip address 10.11.80.1 255.255.255.0description toma5600（为管理VLAN接口指定描述字符）undo shutdown配置静态路由：ip route-static ip-address mask，mask-lengthip route-static default-preference default-preference-value（配置静态路由的缺省优先级。缺省情况下，default-preference-value的值为60。注意，S3026交换机不支持该配置。）display ip interface vlan-int

9、erface vlan-id（查看管理VLAN接口IP的相关信息）display interface vlan-interface（查看管理VLAN接口的相关信息）display ip routing-table（查看路由表信息）display ip routing-table verbose（查看路由表详细信息）interface ethernet 0/1description thisisethernet0/1（描述）duplex auto，duplex full，duplex half（以太网口的双工状态，auto：自协商）speed 10，speed 100，speed auto（百兆

10、以太网口的速率）speed 10，speed 100，speed 1000，speed auto（千兆以太网口的速率）undo shutdown以太网口有三种链路类型：Access，Hybrid和Trunk。Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口。Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口。Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间的连接，也可以用于连接用户的计算机。Hybrid端口和Trunk端口的不同之处在于：Hybrid端口可以允许多个VLAN

11、的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。interface ethernet 0/1port link-type access（设置为Access端口）port link-type hybrid（设置为Hybrid端口）port link-type trunk（设置为Trunk端口）undo shutdown三种类型的端口可以共存在一台以太网交换机上。但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型的端口。例如，Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端

12、口。（缺省情况下，端口为Access端口。）把当前以太网口加入到指定VLAN：（Access端口只能加入到1个VLAN中，Hybrid端口和Trunk端口可以加入到多个VLAN中。）interface ethernet 0/1port access vlan 2（把当前Access口加入到指定vlan）port hybrid vlan 2 tagged，untagged（把当前Hybrid口加入到指定vlan）port trunk permit vlan 2（把当前Trunk口加入到指定vlan）undo shutdownHybrid口和Trunk口可以加入到多个VLAN中，从而实现本交换机上

13、的VLAN与对端交换机上相同VLAN的互通。Hybrid口还可以设置哪些VLAN的报文打上标签，哪些不打标签。= = = = =（方法二：vlan 2，port ethernet0/1 ethernet0/2）设置以太网口缺省VLAN ID：Access口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置。而Hybrid口和Trunk口属于多个VLAN，所以需要设置缺省VLAN ID。如果设置了端口的缺省VLAN ID，当端口接收到不带VLAN Tag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag的报文时，如果该报文的VLAN ID与端口缺省

14、的VLAN ID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。interface ethernet 0/1port hybrid pvid vlan 2（设置Hybrid口的缺省VLAN ID）port trunk pvid vlan 2（设置Trunk口的缺省VLAN ID）undo shutdown本Hybrid口或本Trunk口的缺省VLAN ID和相连的对端交换机的Hybrid口或Trunk口的缺省VLAN ID必须一致，否则报文将不能正确传输。= = = = =默认情况下，Hybrid口和Trunk口的缺省VLAN为VLAN 1。端口的VLAN过滤功能：开启端口的VLA

15、N过滤功能后，当该端口收到带有VLAN Tag的报文时，会判断该VLAN是否可以从该端口通过，不能通过则被过滤掉。而当关闭端口的VLAN过滤功能后，当该端口收到带有VLAN Tag的报文时，会判断该VLAN是否已经在交换机中创建并包含了端口，如果已经创建并包含端口，则该报文被转发到属于此VLAN的端口。否则，将会被丢弃。interface ethernet 0/1port vlan filter disable（关闭端口VLAN的过滤功能）undo shutdown（默认端口VLAN的过滤功能开启。）以太网端口配置举例：vlan 2quitvlan 100quitvlan 6 to 50qui

16、tinterface ethernet 0/8port link-type trunkport trunk permit vlan 2 6 to 50 100（允许vlan 2，vlan 6-50，vlan 100通过）port trunk pvid vlan 100undo shutdown（Switch B上应作相应的配置）= = = = =使用display interface或display port检查该端口是否为Trunk口或Hybrid口。如果不是，则应先将其配置成Trunk口或Hybrid口接着再配置缺省VLAN ID。= = = = =（方法二：vlan 2，port eth

17、ernet0/1 ethernet0/2）以太网端口汇聚配置：端口汇聚是将多个端口聚合在一起形成1个汇聚组，以实现出/入负荷在各成员端口中的分组，同时也提供了更高的连接可靠性。一台S2000系列以太网交换机只能有1个汇聚组，1个汇聚组最多可以有4个端口。S2026以太网交换机的两个扩展模块可以汇聚成1个汇聚组。组内的端口号必须连续。一台S3026交换机只能有1个汇聚组，1个汇聚组最多可以有4个端口。另外，两个扩展模块可以汇聚成1个汇聚组。一台S3026E/S3050C-48交换机最多可以有6个汇聚组，1个汇聚组最多可以有8个端口。另外，两个扩展模块可以汇聚成1个汇聚组。组内的端口号必须连续。一

18、台S3026FM/S3026FS交换机最多可以有4个汇聚组，1个汇聚组最多可以有8个端口。端口起始值只能为Ethernet0/1、Ethernet0/9、Ethernet1/5、Gigabitethernet3/1。如果组内的端口跨越了两个槽，则槽号必须连续。一台S3026E FM/S3026E FS交换机最多可以有6个汇聚组，1个汇聚组最多可以有8个端口。如果组内的端口跨越了两个槽，则槽号必须连续。在一个端口汇聚组中，端口号最小的作为主端口，其他的作为成员端口。同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致。如主端口为Trunk口，则成员端口也为Trunk口。Quidwaylin

19、k-aggregation ethernet0/1 to ethernet0/3 both，ingress进行汇聚的以太网端口必须同为10M_FULL或100M_FULL或1000M_FULL，否则无法实现汇聚。display link-aggregation ethernet0/1（显示汇聚端口信息，后接master_interface_name）以太网端口汇聚配置举例：Switch A：link-aggregation ethernet0/1 to ethernet0/3 bothdisplay link-aggregation ethernet0/1（Switch B上应作相应的配置，汇

20、聚才能生效）VLAN配置：vlan 2port ethernet0/1 ethernet0/2（为VLAN指定以太网口）quitvlan 3port ethernet0/3 ethernet0/4（Trunk口和Hybrid口只能在以太网口视图下的port命令中加入VLAN或从VLAN中删除，而不能通过本命令实现即interface ethernet 0/2，port link-type trunk，port trunk permit vlan 2）显示VLAN相关信息：display vlandisplay vlan vlan-iddisplay vlan allisolate-user-v

21、lan配置：isolate-user-vlan是华为公司系列交换机的一个特性。isolate-user-vlan采用二层VLAN结构，在一台交换机上设置isolate-user-vlan和Secondary VLAN两类VLAN。一个isolate-user-vlan和多个Secondary VLAN对应，isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口，这样对上层交换机来说，只须识别下层交换机中的isolate-user-vlan，而不必关心isolate-user-vlan中包含的Secondary VLAN，节省了VLAN资源。同时，用

22、户可以采用isolate-user-vlan实现二层报文的隔离，即为每个用户分配一个Secondary VLAN，每个Secondary VLAN中只包含该用户连接的端口和上行端口。如果希望实现用户之间二层报文的互通，只要将这些用户连接的端口划入同一个Secondary VLAN中即可。= = = = =vlan 3isolate-user-vlan enable（设置VLAN类型为isolate-user-vlan）port ethernet 0/1（向isolate-user-vlan中添加端口列表）= = = = =isolate-user-vlan不能和Trunk端口同时配置，即如果交

23、换机上配置了isolate-user-vlan，就不能配置Trunk口。如果配置了Trunk口，就不能配置isolate-user-vlan。此外，上行口必须添加到了isolate-user-vlan中。= = = = =vlan 4（这样等于创建了Secondary VLAN）port ethernet 0/1（向Secondary VLAN中添加端口列表）isolate-user-vlan典型配置：Switch B上的VLAN 5为isolate-user-vlan，包含上行端口ethernet 1/1和两个Secondary VLAN。配置Switch B：vlan 5isolate-u

24、ser-vlan enableport ethernet 1/1quitvlan 3port ethernet 0/1quitvlan 2port ethernet 0/2quitisolate-user-vlan 5 secondary 2 to 3（配置isolate-user-vlan和Secondary VLAN间的映射关系）配置Switch C：vlan 6isolate-user-vlan enableport ethernet 1/1vlan 3port ethernet 0/3vlan 4port ethernet 0/4quitisolate-user-vlan 6 seco

25、ndary 3 to 4ACL：Access Control List访问控制列表ACL配置之创建时间段：time-range time-name start-time to end-time days-of-the-weektime-range time-name start-time to end-time days-of-the-week from start-time start-datatime-range time-name start-time to end-time days-of-the-week from start-time start-data to end-time

26、end-datatime-range time-name from start-time start-datatime-range time-name from start-time start-data to end-time end-data（如果定义ACL时不使用参数time-range，则此访问控制列表激活后将在任何时刻都生效。）（在定义ACL的子规则时，用户可以多次使用rule命令给同一个访问控制列表定义多条规则。）访问控制列表的数目限制：基于数字标识的基本访问控制列表：20002999基于数字标识的高级访问控制列表：30003999基于数字标识的二层访问控制列表：40004999基

27、于数字标识的用户自定义型访问控制列表：50005999一条访问控制列表可以定义的子规则：0127S3026 FM/FS访问控制列表案例之高级访问控制列表配置：公司企业网通过Switch的百兆端口实现各部门之间的互连。财务部门的工资查询服务器由Ethernet 2/1端口接入。（工资查询服务器IP：129.110.1.2）。配置ACL，在上班时间8:00至18:00，其它部门禁止访问工资服务器。= = = = =time-range huawei 8:00 to 18:00 working-day定义到工资服务器的ACLacl name traffic-of-payserver advanced

28、定义其它部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserverrule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huaweiquit（deny：拒绝，destination：目的地）激活ACL：packet-filter ip-group traffic-of-payserverS3026 FM/FS访问控制列表案例之基本访问控制列表配置：在每天8:0018:00时间段内对源IP为10.1.1.1的主机发出报文的过滤。= = = = =time-range hu

29、awei 8:00 to 18:00 daily定义基于名字的基本访问控制列表acl name traffic-of-host basic定义源IP为10.1.1.1的访问规则Quidway-acl-basic-traffic-of-hostrule 1 deny ip source 10.1.1.1 0 time-range huaweiquit激活ACLpacket-filter ip-group traffic-of-hostS3026 FM/FS访问控制列表案例之二层访问控制列表配置：实现在每天8:0018:00时间段内对源MAC为00e0-fc01-0101、目的MAC为00e0-f

30、c01-0303报文的过滤。= = = = =time-range huawei 8:00 to 18:00 dailyacl name traffic-of-link link定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则Quidway-acl-link-traffic-of-linkrule 1 deny ingress 00e0-fc01-0101 egress 00e0-fc01-0303 time-range huaweiquitpacket-filter link-group traffic-of-linkS3026E系列和S3050C-48访问控制列表案例之高级访问控制列表：限制其它部门在上班时间8:00至18:00访问工资服务器，而总裁办公室（IP地址：129.111.1.2）不受限制，可以随时访问。= = = = =time-range huawei 8:00 to 18:00 working-dayacl name traffic-of-payserver advanced（advanced：高级的）定义其它部门到工资服务器的访问规则rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei