一、基本配置
1、视图
system-view //用户视图
[quidway]interface ethernet 0/1 //系统视图
[quidway-ethernet0/1] //接口视图
2、密码及基本参数配置
(1) console口登录配置
system-view
[quidway]user-interface aux 0
[quidway-aux0]authentication-mode {none|password|scheme} //设置登录的验证方法。none是不要验证,password是密码验证,scheme是服务器验证。
[quidway-aux0]set authentication password {cipher|simple} 123456 //当上面的模式为 paaword时,设置验证的密码。simple是明文密码。
[quidway-aux0]user privilege level 2 //设置从AUX登录后可以访问的命令级别为2级,默认是1级。
[quidway-aux0]speed 19200 //设置console口使用的传输速率
[quidway-aux0]screen-length 30 //设置一屏显示30行命令
[quidway-aux0]history-command max-size 20 //设置历史命令缓冲区最多存放20条命令
[quidway-aux0]idle-timeout 6 //设置超时时间为6分钟
(2)telnet 登录
system-view
[quidway]user-interface vty 0 4
[quidway-aux0]authentication-mode {none|password|scheme} //设置登录的验证方法。none是不要验证,password是密码验证,scheme是服务器验证。
[quidway-aux0]set authentication password {cipher|simple} 123456 //当上面的模式为 paaword时,设置验证的密码。simple是明文密码。
[quidway-aux0]user privilege level 2 //设置从AUX登录后可以访问的命令级别为2级,默认是1级。
[quidway-aux0]protocol inbund {all |ssh|telnet} //设置交换机支持的协议
[quidway-aux0]screen-length 30 //设置一屏显示30行命令
[quidway-aux0]history-command max-size 20 //设置历史命令缓冲区最多存放20条命令
[quidway-aux0]idle-timeout 6 //设置超时时间为6分钟
super 3 //将普通用户通过TELNET登录到交换机,将用户级别切换到3级。
(3)超级用户密码(用户级别)
[quidway]super password level 3 {cipher|simper} 123456 //设置低级别用户到高级别用户切换的密码
super 3
注意:命令行级别分为:0,1,2,3 共四级。
访问级(0级):用于网络诊断等功能的命令。包括ping ,tracert,telnet等。
监控级(1级):用于系统维护、业务故障诊断等功能命令。包括debugging\terminal等命令。执和地该级别的命令结果不能被保存到配置文件中。
系统级(2级):用于业务配置的命令。包括路由等网络层次的命令,用于向用户提供网络服务。
管理级(3级):关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务的支持,最后级别。
默认:console口的命令登录级别为3, telnet 方式的级别为0。
二、VLAN的基本配置
(一)VLAN 的链路类型
1、trunk link:作为干线,传输多个VLAN的报文。同时trunk端口也可以划给一个vlan。
2、hybrid link:作为干线,传输多个vlan的报文。同时hybrid 端口也可以划给多个vlan。
3、access link:只能属于一个vlan。
(二) GARP
同一个交换网内的成员之间提供了分发、传播、注册某种信息的手段。GARP是一种协议规范,现在主要有GVRP和GMRP这两种GARP协议的应用。
1、GVRP
GVRP只是遵循GARP协议的一种应用。类似于VTP协议,以把交换机的配置信息动态的迅速的传播到整个交换网,以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。
GVRP会自动修剪VLAN信息。如果本交换机只有某一个VLAN,那么此交换机的TRUNK端口只传递一个VLAN的消息。如果本交换机或经过本交换机的下游交换机新增了VLAN,本交换机的TRUNK链路也会自动允许传播新的VLAN消息。如果删除了VLAN,也会自动禁止不必要的VLAN报文在TRUNK上发送。
VTP则需手工增加命令进行修剪。
GVRP和VTP两个协议在实践中的应用比较:
在具体应用上,VTP支持的是服务器-客户端模式,即在主交换机建立VTP域,并将主交换机设置成VTPServer,然后在分交换机设置为VTPClient,这样只需在主交换机上建立VLAN,就会通知到局域网中的任何一台交换机,这样便于集中管理。
GVRP相对繁琐些,它需要在每一台交换机上建立VLAN,并且在每一个交换机(无论是主交换机还是分交换机)首先全局运行gvrp命令,开启 gvrp功能,然后在干道汇聚连接上运行gvrp命令,开启GVRP功能,这样才会将本交换机上建立的VLAN通知注册到局域网中的其它交换机上。
(三)VLAN配置
1、把端口加入到VLAN
方法一:
[quidway]vlan 2 //创建VLAN2
[quidway-vlan2] port E0/1 to E0/4 //把端口 1到4加入到VLAN2
[quidway-vlan2]undo port E0/1 to E0/4 //把端口从VLAN中删除。
方法二:
[quidway]interface ethernet 0/1 //进入端口0/1
[quidway-ethernet0/1] port access vlan2 //把此端口加入到VLAN2
2、配置接口类型
[quidway]interface ethernet 0/5
[quidway-ethernet0/5]port link-type {access|trunk|hybrid} //设置端口类型,默认为ACCESS。
TRUNK类型的设置:
[quidway-ethernet0/1]port link-type trunk
[quidway-ethernet0/1]port trunk permit vlan {vlan-id |all} //允许哪些VLAN通过此TRUNK端口。默认只允许VLAN1通过。
[quidway-ethernet0/1]port trunk pvid vlan {vlan-id} //把trunk端口加入到哪一个VLAN,默认是VLAN1。即设置TRUNK的PVID。这点与CISCO不一样,CISCO里TRUNK端口是不加入到VLAN中的。
hybrid类型的设置:
[quidway-ethernet0/1]port link-type hybrid
[quidway-ethernet0/1]port hybrid pvid vlan {vlan-id} //hybrid端口属于哪些VLAN。可以是多个VLAN。而 trunk口只能属于一个VLAN.默认也只属 于VLAN1.
[quidway-ethernet0/1]port hybrid vlan {vlan-id} {tagged|untagged} //即此端口发送哪些VLAN的报文时带VLAN标志,哪些不带VLAN标志。 tagged是带标志的。untagged是不带标志的。不带vlan标志的,其他交换机的hybrid接口收到后,会增加PVID的TAG标志,然后再转发数据包。如果接收到未带VLAN标志的交换机的PVID为VLNA1,则会自动加上VLAN1标志,然后在交换机上转发。
3、VLAN开启和关闭
[quidway]vlan enable //开启VLAN
[quidway]vlan disable //关闭VLAN
4、VLAN维护
[quidway]description {string} //描述VLAN
[quidway]display vlan [static | dynamic] //显示交换机上的VLAN信息
[quidway]display vlan {vlan-id|all} //显示部分或所有VLAN成员。
(四)GRVP配置
[quidway]gvrp //全局开启GVRP
[quidway]undo gvrp //全局关闭GVRP。
//在全局下开启关闭GVRP,也可以在接口模式下开启关闭一个接口的GVRP。
[quidway]interface ethernet 0/1 //进入接口
[quidway-ethternet0/1]port link-type trunk //接口配置为trunk模式
[quidway-ethternet0/1]port trunk permit vlan all //允许所有VLAN传输
[quidway-ethternet0/1]gvrp registraion {normal|fixed|forbidden}
//在接口下开启GVRP。并设置GVRP注册类型。
normal:允许在该接口静态(本交换机创建的VLAN)和动态(其他交换机创建的VLAN,动态注册到本交换机的VLAN)创建、注册、注销VLAN。
即:可以传送本交换机创建的VLAN,可以把本交换机的VLAN传输到其他配有normal类型的trunk端口,可以接受对端交换机创建的VLAN(动态)注册。
注意:GVRP会自动裁剪不需要传输的VLAN,但只要需要传输,仍可以传输。
fixed:允许手工静态创建和注册VLAN,静止动态注册、声明和注销VLAN。
即:可以传送本交换机创建的VLAN(静态),可以把本交换机的VLAN通过fixed注册类型trunk端口传到对端配有normal类型的trunk端口,不接受与本交换机fixed类型的trunk端口的对端交换机创建的VLAN的注册。
可传递出去,但不接受动态注册、注销VLAN信息。
forbidden:注销除VLAN1以外的所有VLAN,并且禁止该接口上创建、声明、注册其他任何VLAN。
即此类型trunk 接口不传递、接受除VLAN1外的任何其他VLAN信息。
注:GVRP与VTP不同之处:GVRP每个交换机都可以创建VLAN,vtp只有服务器端可以创建VLAN。
(五)Super VLAN
即SUPER vlan映射多个sub vlan,sub vlan通过arp代理与super vlan通信,并且super vlan 为sub vlan提供三层网关功能。当sub vlan里的主机需与外界通信时,将报文直接传送给super vlan虚接口(而不是sub vlan的虚接口),super vlan再将数据包传送给下一跳。
注意:super vlan不能包括任何端口。
[quidway] vlan 2 //配置sub vlan
[quidway-vlan2] prot ethernet 0/2 //sub vlan加入super vlan以前,一定得有端口已加入VLAN
[quidway-vlan2]arp proxy enable //一定要开启 arp 代理
[quidway] vlan 3
[quidway-vlan3] prot ethernet 0/39
[quidway-vlan3]arp proxy enable
[quidway] vlan 4
[quidway-vlan4] prot ethernet 0/4 ethernet 0/5
[quidway-vlan4] arp proxy enable
[quidway] vlan 10
[quidway-vlan10]super vlan //把vlan 10配为super vlan
[quidway-vlan10]subvlan 2 3 4 //子vlan列表为vlan 2,3,4
[quidway-vlan10]ip address 172.16.1.1 255.255.255.0 // 配置supervlan的ip地址。
quidway] vlan 1
[quidway-vlan10]ip address 192.168.1.1 255.255.255.0
[quidway]ip route-static 0.0.0.0 192.168.1.2 //配置静态路由,假设对端三层交换机或路由器的IP地址为192.168.1.2
(六)isolate-user-vlan
类似于cisco的私有VLAN
一个isolate-user-vlan 包含secondary vlan。
一个isolate-user-vlan对应一个ip子网,即包含的secondary vlan处于同一个子网
主要用于上层交换机支持vlan数不够,但下层交换机又需要划分很多个vlan以隔离彼此间通信。这样上层交换机知道的只有建立的isolate-user-vlan ,下面的secondary-vlan上层交换机是不知道的。
[quidway]vlan 10
[quidway-vlan10]isolate-user-vlan enable //配置为isolate-user-vlan
[quidway-vlan10]port ethernet0/1 //isolate-user-vlan 的端口
[quidway]vlan 2 //配置secondary vlan,并把端口加入到secondary vlan
[quidway-vlan2]port ethernet 0/2
[quidway]vlan 3
[quidway-vlan3]port ethernet 0/3
[quidway]isolate-user-vlan 10 secondary 2-3 //isolate-user-vlan 与 secondary vlan的映射
注意:isolate-user-vlan与secondary vlan之间必须已经包含了端口才能建立映射关系
建立映射关系后,不可以向isolate-user-vlan与secondary vlan执行添加和删除端口的操作。也不可以执行vlan的操作。只有在解除了映射关系后才能执行。
isolate-user-vlan中的所有端口都不是802.1q的trunk端口,包括与其他交换机相连的uplink端口也不能是trunk端口。可以是hybrid端口。
(七)管理VLAN
当TELNET或SSH登录时,需要一个管理VLAN,默认是VLAN1
[quidway]vlan 100 //建立一个VLAN,当不用默认VLAN1作为管理VLAN时,需要先建 立VLAN,然后再把建立的VLAN作为管理VLAN
[quidway-vlan100]quit
[quidway]management-vlan 100 //把vlan 100作为管理vlan
[quidway]interface vlan-interface 100 //进入vlan的虚拟接口
[quidway-vlan100]ip address 172.16.2.1 255.255.255.0 //给vlan设定ip
[quidway]ip route-static 0.0.0.0 0.0.0.0 172.16.2.2 //设置默认路由
三、VLAN路由
(一)VLAN间路由
[quidway]vlan 10 //创建VLAN10
[quidway-vlan10]quit
[quidway]interface vlan 10 //进入vlan接口
[quidway-vlan-interfacev10]ip address 192.168.10.1 255.255.255.0 //给vlan配置三层虚拟Ip地址
[quidway]vlan 20
[quidway-vlan20]quit
[quidway]interface vlan 20 //进入VLAN20
[quidway-vlan-interfacev10]ip address 192.168.20.1 255.255.255.0 //给vlan配置三层虚拟Ip地
给各VLAN的主机分配IP地址,网关都为各VLAN的三层虚拟IP地址。
(二)静态路由
当多个三层交换机相连,或三层交换机与路由器相连时,需要设置静态路由或动态路由。现介绍静态路由。
三层交换机与路由器相连,或三层交换机与三层交机相连的方法:
在三层交换机上新建一个VLAN,并把与三层交换机或路由器相连的端口划分到此VLAN中,(此VLAN只作为与三层交换机或路由器相连)并分配虚拟IP地址。并且此IP地址需要与其直连的三层交换机或路由器的接口地址处于同一个网段。并在三层交换机上设置到达另一个三层交换机的静态或动态路由。
同时,与其直连的三层交换机或路由器上也需要有到本三层交换机相连的VLAN的静态或动态路由。
[quidway]ip route 0.0.0.0 0.0.0.0 192.168.3.2 //设置默认路由,即所有数据包的路由的下一跳为192.168.3.2 ,此IP地址为与本交换机直连的路由器的接口的IP地址或三层交换机的虚拟IP地址。
此处为省事,写了默认路由,也可以一条一条的路由写。
(三)动态路由
1、rip
[quidway]rip
[quidway-rip]network 192.168.2.0 //发布与其相连的网段的路由
[quidway-rip]network 192.168.3.0 //发布与其相连的网段的路由
2、ospf
把接入客户端的VLAN划分到区域0以外的区域,三层交换机之间互联的VLAN划分到区域0,即骨干区域。
四、生成树协议
(一)STP
1、原理:
网桥ID(网桥优先级最小的)最小的是根网桥
每个网桥选举一个根端口,到根网桥开销最小的是端口是根端口,开销相同时,端口优先级高的(端口优先级值低的)为根端口
每个网段选举一个指定端口,到根网桥开销最小的端口为网段的指定端口。开销相同时,网桥ID小的为指定端口。根网桥的所有端口都是指定端口。
堵塞所有非根端口、指定端口。
注意:网内所有网桥共享一棵生成树,不能按 VLAN阻塞冗余链路。
(二)RSTP
1、原理
比STP有更快的收敛速度。但是同样不能按LAN阻塞冗余链路,所有VLAN的报文都沿着一棵生成树进行转发。
2、配置
[h3c]stp enable //开启生成树
[h3c]stp disable //关闭生成树
[h3c]stp priority 0 //设 置网桥优先级,以选举根网桥。优先级值越低,优先级越高。缺省32768,取值范围:0--61440
[h3c]stp root primary //直接让交换机成为根交换机
h3c]stp root second //直接让交换机成为备份根交换机
[h3c-ethernet0/1]stp cost 2000 //设置端口的路径开销值。 取值范围:1--200000000,开销越小越容易被选为根端口和指定端口。
[h3c-ethernet0/1]stp port priority 64 //设置端口优先级,当开销相同时,优先级高的成为根端口。
[h3c]stp timer hello 60 // 设置HELLO time时间,根网桥发送BPDU包的时间间隔。较长的hello 信息可以降低生成树计算的消耗,同时会降低链路故障的反应速度。较短会频繁发送配置消息增加网络和CPU负担。
[h3c]stp timer max-age 30 //控制网桥端口保存配置bpdu的最大时间
[h3c]stp timer forward-delay 30 //从阻塞状态变为转发状态所需的时间
[h3c]stp bridge-diameter 7 //设置网络直径,最好不要超过7。只用在单生成树实例的网络中。
(三)MSTP
MSTP原理见CISCO交换机配置一
配置:
[h3c]stp enable //启动生成树
[h3c]stp region-configuration //过入MST域视图
[h3c-mst-region]region-name info //设置MST域名
[h3c-mst-region]instance 2 valn 2 to 10 //把VLAN映射 到生成树实例。默认是映射到实例0.
[h3c-mst-region]instance 3 valn 11 to 20
[h3c-mst-region]revision-level 1 //设置MST域的MSTP修订级别,即版本号
[h3c-mst-region]active region-configuration //手动激活MST域的配置
[h3c]stp instance 2 root primary //设置各MSTI实例的根。当实例号为0时,指定此交换机为CIST的根,而不是MSTI的根。也可以用优先级来设置。
[h3c]stp instance 2 root secondary //设置各实例的备份根
[h3c]undo stp instance 2 root //取消当前交换机的根或备份根交换机的资格
以下设置端口开销
[h3c]stp interface gig1/0/1 instance 1 cost 2000 //设置端口在实例中的开销,以选举实例的根端口或指定端口。
[h3c]interface gig1/0/1
[h3c-gigabitethernet1/0/1] stp instance 1 cost 2000 //这种方法和上面的结果一样,只是先进入端口,再设定。
以下设置端口优先级
[h3c]stp interface gig1/0/1 instance 1 port priority 16 //设置端口优先级
[h3c]interface gig1/0/1
[h3c-gigabitethernet1/0/1] stp instance 1 port priority 16//同样是设置端口优先级
以下设置国边缘端口
[h3c]stp interface gig1/0/1 edged-port enable //设置为边缘端口
[h3c]stp interface gig1/0/1 edged-port disable //设置为非边缘端口
[h3c]undo stp edged-port gig1/0/1 edged-port //恢复为缺省的非边缘端口
[h3c]interface gig1/0/1 //方法二,先进入端口,再配置
[h3c-gigabitethernet1/0/1]stp edged-port enable
[h3c-gigabitethernet1/0/1]stp edged-port disable
[h3c-gigabitethernet1/0/1]undo stp edged-port
[h3c]stp mode {stp|mstp} //配置MSTP的工作模式。
[h3c]undo stp mode //恢复为默认的模式。默认为MSTP模式。
[h3c]stp max-hops 5 //设置MST域的最大跳数,以限制域的规模。最大跳数为20
(四)增强的生成树特性
1、BPDU保护
[h3c]stp bpdu-protection //配置交换机的BPDU保护功能
[h3c]undo stp bpdu-protection
2、根桥保护
[h3c]stp interface gig 1/0/1 root-protection //配置端口的root保护
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]stp root-protection //配置端口的root保护
3、环路保护
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]stp loop-protection //配置端口的环路保护
注意:对于某一个端口,其中环路保护和根桥 保护以及边缘端口只能配置其中之一。
五、端口操作
(一) 端口基本配置
[quidway] interface ethernet 0/1
[quidway-ethernet0/1] speed {10|100|auto} //设置接口速率
[quidway-ethernet0/1] undo speed //恢复端口速率缺省值
[quidway-ethernet0/1] duplex {half |full |auto}//设置双工状态
[quidway-ethernet0/1] undo speed //双工设置为默认状态,AUTO
[quidway-ethernet0/1] flow-control //开启端口流控制,当本端发生拥塞时,向对端发送消息,暂停发送报文。
[quidway-ethernet0/1] undo flow-control //关闭端口流控制。默认是关闭的。
[quidway-ethernet0/1] mdi {across |auto |normal} //设置端口网线类型
(二)端口汇聚操作
1、手工汇聚
(1)原理:
由用户手工配置,不允许系统自动添加或删除汇聚组中的端口。
汇聚组中必须至少包含一个端口。当汇聚组中只有一个端口时,只能通过删除汇聚组的方式将该端口从汇聚组中删除。
手工汇聚端口的LACP协议为关闭状态。
端口状态 :
有两种状态:selected和unseleted。
汇聚组中处于up状态的端口中选出主端口(按全双 工高速率、全双工低速率、半双工高速率、半双工低速率的顺序选择主端口)。与主端口速率、双工属性、链路状态一致的端口才成为selected状态。其他端口处于unseleted状态。
当selected端口数多于设备支持的数量时,按端口号从小到大顺序选择限制数量以内的端口为selected端口。其他 为unselected端口。
再从selected状态的端口中选出端口号最小的为汇聚组的主端口,其他处于selected状态的端口为汇聚组的成员端口。
(2)配置
[h3c]link-aggregation group {agg-id} mode {manual} //配置创建汇聚组,agg-id是组号,manual是指手工模式。
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]port link-aggregation group {agg-id} //把端口加入到汇聚组
2、静态LACP汇聚
(1)原理
静 态LACP汇聚由用户手工配置,不允许系统自动添加或删除汇聚组中的端口。
汇聚组中必须至少包含一个端口。当汇聚组中只有一个端口时,只能通过删除汇聚组的方式将该端口从汇聚组中删除。
手工汇聚端口的LACP协议为开启状态。当一个静态LACP汇聚组被删除时,处理UP状态的端口会自动成为一个或多个动态LACP汇聚。
端口状态 :
有两种状态:selected和unseleted。
汇聚组中处于up状态的端口中选出主端口(按全双 工高速率、全双工低速率、半双工高速率、半双工低速率的顺序选择主端口)。与主端口速率、双工属性、链路状态一致的端口才成为selected状态。其他端口处于unseleted状态。
与主端口连接的对端设备不同,或者连接的同一个对端设备,但对端端口处于不同汇聚组的,处于unseleted状态。
与主端口基本配置不同的端口处于unseleted状态
当selected端口数多于设备支持的数量时,按端口号从小到大顺序选择限制数量以内的端口为selected端口。其他 为unselected端口。
再从selected状态的端口中选出端口号最小的为汇聚组的主端口,其他处于selected状态的端口为汇聚组的成员端口。
(2)配置
[h3c]link-aggregation group {agg-id} mode {static} //配置创建汇聚组,agg-id是组号,static是指静态模式。
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]port link-aggregation group {agg-id} //把端口加入到汇聚组
3、动态LACP汇聚
(1)原理:
动态LACP汇聚是一种系统自动创建或删除的汇聚,动态汇聚组内端口的添加和删除是LACP协议自动完成的。只有基本配置相同、速率和双工属性相同、连接到同一个设备、并且对端端口也满足以上条件时,端口才会被动态汇聚在一起。
即使只有一个端口也可以创建动态汇聚,此时为单端口汇聚。动态汇聚中,端口的LACP协议处理开启状态。
端口状态 :
有两种状态:selected和unseleted。
当可成为selected端口数超过设备限制时,先比较相连设备的优先级,以选定哪一端设备为主。然后比较主设备各端口的优先级,在限制数量内的优先级高的selected端口处于selected状态,其他端口处理unselected状态。对端设备的端口和主设备同步为同种状态。
(2)配置
[h3c]lacp system-priority {priority} //配置系统优先级,以确定互连设备间以哪一端设备为主。
[h3c]interface gig 1/0/1 //进入端口
[h3c-gigabitethernet1/0/1]lacp enable //开启端口LACP协议
[h3c-gigabitethernet1/0/1]lacp port-priority {priority} //配置端口优先级,以便确定哪些端口为selected状态。
[h3c]link-aggregation group {agg-id} description {agg-name} //设置汇聚组描述。
4、汇聚配置显示与维护
[h3c]display link-aggregation summary //显示汇聚的摘要信息
[h3c]display link-aggregation verbose {agg-id} //显示指定汇聚组的详细信息
[h3c]display link-aggregation interface {{interface number} [to] {interface number}} //显示端口的汇聚详细信息
[h3c]display display lacp system-id //显示本端系统的设备ID
reset lacp statistics interface {{interface number} [to] {interface number}} //清除端口的LACP统计信息
注意:
对于配置MAC地址和IP绑定的端口不能加入汇聚组
配置了端口安全特性的端口不能加入汇聚组
开启了Voice vlan功能的端口不能加入到汇聚组中。
开启ip过滤功能的端口,不要加入到汇聚组。
开启arp***检测功能的端口,不加入汇聚组。
(三)端口隔离操作
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间的二层、三层数据的隔离。目前一台设备只支持一个隔离组,但组内的端口数没有限制。
注:只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]port isolate //把端口加入到隔离组中。
[h3c]display isolate port //查看隔离组。
六、华为交换机管理
1、视图
[quidway]interface ethernet 0/1 //系统视图
[quidway-ethernet0/1] //接口视图
2、密码及基本参数配置
(1) console口登录配置
[quidway]user-interface aux 0
[quidway-aux0]authentication-mode {none|password|scheme} //设置登录的验证方法。none是不要验证,password是密码验证,scheme是服务器验证。
[quidway-aux0]set authentication password {cipher|simple} 123456 //当上面的模式为 paaword时,设置验证的密码。simple是明文密码。
[quidway-aux0]user privilege level 2 //设置从AUX登录后可以访问的命令级别为2级,默认是1级。
[quidway-aux0]speed 19200 //设置console口使用的传输速率
[quidway-aux0]screen-length 30 //设置一屏显示30行命令
[quidway-aux0]history-command max-size 20 //设置历史命令缓冲区最多存放20条命令
[quidway-aux0]idle-timeout 6 //设置超时时间为6分钟
(2)telnet 登录
[quidway]user-interface vty 0 4
[quidway-aux0]authentication-mode {none|password|scheme} //设置登录的验证方法。none是不要验证,password是密码验证,scheme是服务器验证。
[quidway-aux0]set authentication password {cipher|simple} 123456 //当上面的模式为 paaword时,设置验证的密码。simple是明文密码。
[quidway-aux0]user privilege level 2 //设置从AUX登录后可以访问的命令级别为2级,默认是1级。
[quidway-aux0]protocol inbund {all |ssh|telnet} //设置交换机支持的协议
[quidway-aux0]screen-length 30 //设置一屏显示30行命令
[quidway-aux0]history-command max-size 20 //设置历史命令缓冲区最多存放20条命令
[quidway-aux0]idle-timeout 6 //设置超时时间为6分钟
(3)超级用户密码(用户级别)
[quidway]super password level 3 {cipher|simper} 123456 //设置低级别用户到高级别用户切换的密码
注意:命令行级别分为:0,1,2,3 共四级。
访问级(0级):用于网络诊断等功能的命令。包括ping ,tracert,telnet等。
监控级(1级):用于系统维护、业务故障诊断等功能命令。包括debugging\terminal等命令。执和地该级别的命令结果不能被保存到配置文件中。
系统级(2级):用于业务配置的命令。包括路由等网络层次的命令,用于向用户提供网络服务。
管理级(3级):关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务的支持,最后级别。
默认:console口的命令登录级别为3, telnet 方式的级别为0。
二、VLAN的基本配置
(一)VLAN 的链路类型
1、trunk link:作为干线,传输多个VLAN的报文。同时trunk端口也可以划给一个vlan。
2、hybrid link:作为干线,传输多个vlan的报文。同时hybrid 端口也可以划给多个vlan。
3、access link:只能属于一个vlan。
(二) GARP
同一个交换网内的成员之间提供了分发、传播、注册某种信息的手段。GARP是一种协议规范,现在主要有GVRP和GMRP这两种GARP协议的应用。
1、GVRP
GVRP只是遵循GARP协议的一种应用。类似于VTP协议,以把交换机的配置信息动态的迅速的传播到整个交换网,以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。
GVRP会自动修剪VLAN信息。如果本交换机只有某一个VLAN,那么此交换机的TRUNK端口只传递一个VLAN的消息。如果本交换机或经过本交换机的下游交换机新增了VLAN,本交换机的TRUNK链路也会自动允许传播新的VLAN消息。如果删除了VLAN,也会自动禁止不必要的VLAN报文在TRUNK上发送。
VTP则需手工增加命令进行修剪。
GVRP和VTP两个协议在实践中的应用比较:
在具体应用上,VTP支持的是服务器-客户端模式,即在主交换机建立VTP域,并将主交换机设置成VTPServer,然后在分交换机设置为VTPClient,这样只需在主交换机上建立VLAN,就会通知到局域网中的任何一台交换机,这样便于集中管理。
GVRP相对繁琐些,它需要在每一台交换机上建立VLAN,并且在每一个交换机(无论是主交换机还是分交换机)首先全局运行gvrp命令,开启 gvrp功能,然后在干道汇聚连接上运行gvrp命令,开启GVRP功能,这样才会将本交换机上建立的VLAN通知注册到局域网中的其它交换机上。
(三)VLAN配置
1、把端口加入到VLAN
方法一:
[quidway]vlan 2 //创建VLAN2
[quidway-vlan2] port E0/1 to E0/4 //把端口 1到4加入到VLAN2
[quidway-vlan2]undo port E0/1 to E0/4 //把端口从VLAN中删除。
方法二:
[quidway]interface ethernet 0/1 //进入端口0/1
[quidway-ethernet0/1] port access vlan2 //把此端口加入到VLAN2
2、配置接口类型
[quidway]interface ethernet 0/5
[quidway-ethernet0/5]port link-type {access|trunk|hybrid} //设置端口类型,默认为ACCESS。
TRUNK类型的设置:
[quidway-ethernet0/1]port link-type trunk
[quidway-ethernet0/1]port trunk permit vlan {vlan-id |all} //允许哪些VLAN通过此TRUNK端口。默认只允许VLAN1通过。
[quidway-ethernet0/1]port trunk pvid vlan {vlan-id} //把trunk端口加入到哪一个VLAN,默认是VLAN1。即设置TRUNK的PVID。这点与CISCO不一样,CISCO里TRUNK端口是不加入到VLAN中的。
hybrid类型的设置:
[quidway-ethernet0/1]port link-type hybrid
[quidway-ethernet0/1]port hybrid pvid vlan {vlan-id} //hybrid端口属于哪些VLAN。可以是多个VLAN。而 trunk口只能属于一个VLAN.默认也只属 于VLAN1.
[quidway-ethernet0/1]port hybrid vlan {vlan-id} {tagged|untagged} //即此端口发送哪些VLAN的报文时带VLAN标志,哪些不带VLAN标志。 tagged是带标志的。untagged是不带标志的。不带vlan标志的,其他交换机的hybrid接口收到后,会增加PVID的TAG标志,然后再转发数据包。如果接收到未带VLAN标志的交换机的PVID为VLNA1,则会自动加上VLAN1标志,然后在交换机上转发。
3、VLAN开启和关闭
[quidway]vlan enable //开启VLAN
[quidway]vlan disable //关闭VLAN
4、VLAN维护
[quidway]description {string} //描述VLAN
[quidway]display vlan [static | dynamic] //显示交换机上的VLAN信息
[quidway]display vlan {vlan-id|all} //显示部分或所有VLAN成员。
(四)GRVP配置
[quidway]gvrp //全局开启GVRP
[quidway]undo gvrp //全局关闭GVRP。
//在全局下开启关闭GVRP,也可以在接口模式下开启关闭一个接口的GVRP。
[quidway]interface ethernet 0/1 //进入接口
[quidway-ethternet0/1]port link-type trunk //接口配置为trunk模式
[quidway-ethternet0/1]port trunk permit vlan all //允许所有VLAN传输
[quidway-ethternet0/1]gvrp registraion {normal|fixed|forbidden}
//在接口下开启GVRP。并设置GVRP注册类型。
normal:允许在该接口静态(本交换机创建的VLAN)和动态(其他交换机创建的VLAN,动态注册到本交换机的VLAN)创建、注册、注销VLAN。
即:可以传送本交换机创建的VLAN,可以把本交换机的VLAN传输到其他配有normal类型的trunk端口,可以接受对端交换机创建的VLAN(动态)注册。
注意:GVRP会自动裁剪不需要传输的VLAN,但只要需要传输,仍可以传输。
fixed:允许手工静态创建和注册VLAN,静止动态注册、声明和注销VLAN。
即:可以传送本交换机创建的VLAN(静态),可以把本交换机的VLAN通过fixed注册类型trunk端口传到对端配有normal类型的trunk端口,不接受与本交换机fixed类型的trunk端口的对端交换机创建的VLAN的注册。
可传递出去,但不接受动态注册、注销VLAN信息。
forbidden:注销除VLAN1以外的所有VLAN,并且禁止该接口上创建、声明、注册其他任何VLAN。
即此类型trunk 接口不传递、接受除VLAN1外的任何其他VLAN信息。
注:GVRP与VTP不同之处:GVRP每个交换机都可以创建VLAN,vtp只有服务器端可以创建VLAN。
(五)Super VLAN
即SUPER vlan映射多个sub vlan,sub vlan通过arp代理与super vlan通信,并且super vlan 为sub vlan提供三层网关功能。当sub vlan里的主机需与外界通信时,将报文直接传送给super vlan虚接口(而不是sub vlan的虚接口),super vlan再将数据包传送给下一跳。
注意:super vlan不能包括任何端口。
[quidway] vlan 2 //配置sub vlan
[quidway-vlan2] prot ethernet 0/2 //sub vlan加入super vlan以前,一定得有端口已加入VLAN
[quidway-vlan2]arp proxy enable //一定要开启 arp 代理
[quidway] vlan 3
[quidway-vlan3] prot ethernet 0/39
[quidway-vlan3]arp proxy enable
[quidway] vlan 4
[quidway-vlan4] prot ethernet 0/4 ethernet 0/5
[quidway-vlan4] arp proxy enable
[quidway] vlan 10
[quidway-vlan10]super vlan //把vlan 10配为super vlan
[quidway-vlan10]subvlan 2 3 4 //子vlan列表为vlan 2,3,4
[quidway-vlan10]ip address 172.16.1.1 255.255.255.0 // 配置supervlan的ip地址。
quidway] vlan 1
[quidway-vlan10]ip address 192.168.1.1 255.255.255.0
[quidway]ip route-static 0.0.0.0 192.168.1.2 //配置静态路由,假设对端三层交换机或路由器的IP地址为192.168.1.2
(六)isolate-user-vlan
类似于cisco的私有VLAN
一个isolate-user-vlan 包含secondary vlan。
一个isolate-user-vlan对应一个ip子网,即包含的secondary vlan处于同一个子网
主要用于上层交换机支持vlan数不够,但下层交换机又需要划分很多个vlan以隔离彼此间通信。这样上层交换机知道的只有建立的isolate-user-vlan ,下面的secondary-vlan上层交换机是不知道的。
[quidway]vlan 10
[quidway-vlan10]isolate-user-vlan enable //配置为isolate-user-vlan
[quidway-vlan10]port ethernet0/1 //isolate-user-vlan 的端口
[quidway]vlan 2 //配置secondary vlan,并把端口加入到secondary vlan
[quidway-vlan2]port ethernet 0/2
[quidway]vlan 3
[quidway-vlan3]port ethernet 0/3
[quidway]isolate-user-vlan 10 secondary 2-3 //isolate-user-vlan 与 secondary vlan的映射
注意:isolate-user-vlan与secondary vlan之间必须已经包含了端口才能建立映射关系
建立映射关系后,不可以向isolate-user-vlan与secondary vlan执行添加和删除端口的操作。也不可以执行vlan的操作。只有在解除了映射关系后才能执行。
isolate-user-vlan中的所有端口都不是802.1q的trunk端口,包括与其他交换机相连的uplink端口也不能是trunk端口。可以是hybrid端口。
(七)管理VLAN
当TELNET或SSH登录时,需要一个管理VLAN,默认是VLAN1
[quidway]vlan 100 //建立一个VLAN,当不用默认VLAN1作为管理VLAN时,需要先建 立VLAN,然后再把建立的VLAN作为管理VLAN
[quidway-vlan100]quit
[quidway]management-vlan 100 //把vlan 100作为管理vlan
[quidway]interface vlan-interface 100 //进入vlan的虚拟接口
[quidway-vlan100]ip address 172.16.2.1 255.255.255.0 //给vlan设定ip
[quidway]ip route-static 0.0.0.0 0.0.0.0 172.16.2.2 //设置默认路由
三、VLAN路由
(一)VLAN间路由
[quidway]vlan 10 //创建VLAN10
[quidway-vlan10]quit
[quidway]interface vlan 10 //进入vlan接口
[quidway-vlan-interfacev10]ip address 192.168.10.1 255.255.255.0 //给vlan配置三层虚拟Ip地址
[quidway]vlan 20
[quidway-vlan20]quit
[quidway]interface vlan 20 //进入VLAN20
[quidway-vlan-interfacev10]ip address 192.168.20.1 255.255.255.0 //给vlan配置三层虚拟Ip地
给各VLAN的主机分配IP地址,网关都为各VLAN的三层虚拟IP地址。
(二)静态路由
当多个三层交换机相连,或三层交换机与路由器相连时,需要设置静态路由或动态路由。现介绍静态路由。
三层交换机与路由器相连,或三层交换机与三层交机相连的方法:
在三层交换机上新建一个VLAN,并把与三层交换机或路由器相连的端口划分到此VLAN中,(此VLAN只作为与三层交换机或路由器相连)并分配虚拟IP地址。并且此IP地址需要与其直连的三层交换机或路由器的接口地址处于同一个网段。并在三层交换机上设置到达另一个三层交换机的静态或动态路由。
同时,与其直连的三层交换机或路由器上也需要有到本三层交换机相连的VLAN的静态或动态路由。
[quidway]ip route 0.0.0.0 0.0.0.0 192.168.3.2 //设置默认路由,即所有数据包的路由的下一跳为192.168.3.2 ,此IP地址为与本交换机直连的路由器的接口的IP地址或三层交换机的虚拟IP地址。
此处为省事,写了默认路由,也可以一条一条的路由写。
(三)动态路由
1、rip
[quidway]rip
[quidway-rip]network 192.168.2.0 //发布与其相连的网段的路由
[quidway-rip]network 192.168.3.0 //发布与其相连的网段的路由
2、ospf
把接入客户端的VLAN划分到区域0以外的区域,三层交换机之间互联的VLAN划分到区域0,即骨干区域。
四、生成树协议
(一)STP
1、原理:
网桥ID(网桥优先级最小的)最小的是根网桥
每个网桥选举一个根端口,到根网桥开销最小的是端口是根端口,开销相同时,端口优先级高的(端口优先级值低的)为根端口
每个网段选举一个指定端口,到根网桥开销最小的端口为网段的指定端口。开销相同时,网桥ID小的为指定端口。根网桥的所有端口都是指定端口。
堵塞所有非根端口、指定端口。
注意:网内所有网桥共享一棵生成树,不能按 VLAN阻塞冗余链路。
(二)RSTP
1、原理
比STP有更快的收敛速度。但是同样不能按LAN阻塞冗余链路,所有VLAN的报文都沿着一棵生成树进行转发。
2、配置
[h3c]stp enable //开启生成树
[h3c]stp disable //关闭生成树
[h3c]stp priority 0 //设 置网桥优先级,以选举根网桥。优先级值越低,优先级越高。缺省32768,取值范围:0--61440
[h3c]stp root primary //直接让交换机成为根交换机
h3c]stp root second //直接让交换机成为备份根交换机
[h3c-ethernet0/1]stp cost 2000 //设置端口的路径开销值。 取值范围:1--200000000,开销越小越容易被选为根端口和指定端口。
[h3c-ethernet0/1]stp port priority 64 //设置端口优先级,当开销相同时,优先级高的成为根端口。
[h3c]stp timer hello 60 // 设置HELLO time时间,根网桥发送BPDU包的时间间隔。较长的hello 信息可以降低生成树计算的消耗,同时会降低链路故障的反应速度。较短会频繁发送配置消息增加网络和CPU负担。
[h3c]stp timer max-age 30 //控制网桥端口保存配置bpdu的最大时间
[h3c]stp timer forward-delay 30 //从阻塞状态变为转发状态所需的时间
[h3c]stp bridge-diameter 7 //设置网络直径,最好不要超过7。只用在单生成树实例的网络中。
(三)MSTP
MSTP原理见CISCO交换机配置一
配置:
[h3c]stp enable //启动生成树
[h3c]stp region-configuration //过入MST域视图
[h3c-mst-region]region-name info //设置MST域名
[h3c-mst-region]instance 2 valn 2 to 10 //把VLAN映射 到生成树实例。默认是映射到实例0.
[h3c-mst-region]instance 3 valn 11 to 20
[h3c-mst-region]revision-level 1 //设置MST域的MSTP修订级别,即版本号
[h3c-mst-region]active region-configuration //手动激活MST域的配置
[h3c]stp instance 2 root primary //设置各MSTI实例的根。当实例号为0时,指定此交换机为CIST的根,而不是MSTI的根。也可以用优先级来设置。
[h3c]stp instance 2 root secondary //设置各实例的备份根
[h3c]undo stp instance 2 root //取消当前交换机的根或备份根交换机的资格
以下设置端口开销
[h3c]stp interface gig1/0/1 instance 1 cost 2000 //设置端口在实例中的开销,以选举实例的根端口或指定端口。
[h3c]interface gig1/0/1
[h3c-gigabitethernet1/0/1] stp instance 1 cost 2000 //这种方法和上面的结果一样,只是先进入端口,再设定。
以下设置端口优先级
[h3c]stp interface gig1/0/1 instance 1 port priority 16 //设置端口优先级
[h3c]interface gig1/0/1
[h3c-gigabitethernet1/0/1] stp instance 1 port priority 16//同样是设置端口优先级
以下设置国边缘端口
[h3c]stp interface gig1/0/1 edged-port enable //设置为边缘端口
[h3c]stp interface gig1/0/1 edged-port disable //设置为非边缘端口
[h3c]undo stp edged-port gig1/0/1 edged-port //恢复为缺省的非边缘端口
[h3c]interface gig1/0/1 //方法二,先进入端口,再配置
[h3c-gigabitethernet1/0/1]stp edged-port enable
[h3c-gigabitethernet1/0/1]stp edged-port disable
[h3c-gigabitethernet1/0/1]undo stp edged-port
[h3c]stp mode {stp|mstp} //配置MSTP的工作模式。
[h3c]undo stp mode //恢复为默认的模式。默认为MSTP模式。
[h3c]stp max-hops 5 //设置MST域的最大跳数,以限制域的规模。最大跳数为20
(四)增强的生成树特性
1、BPDU保护
[h3c]stp bpdu-protection //配置交换机的BPDU保护功能
[h3c]undo stp bpdu-protection
2、根桥保护
[h3c]stp interface gig 1/0/1 root-protection //配置端口的root保护
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]stp root-protection //配置端口的root保护
3、环路保护
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]stp loop-protection //配置端口的环路保护
注意:对于某一个端口,其中环路保护和根桥 保护以及边缘端口只能配置其中之一。
五、端口操作
(一) 端口基本配置
[quidway] interface ethernet 0/1
[quidway-ethernet0/1] speed {10|100|auto} //设置接口速率
[quidway-ethernet0/1] undo speed //恢复端口速率缺省值
[quidway-ethernet0/1] duplex {half |full |auto}//设置双工状态
[quidway-ethernet0/1] undo speed //双工设置为默认状态,AUTO
[quidway-ethernet0/1] flow-control //开启端口流控制,当本端发生拥塞时,向对端发送消息,暂停发送报文。
[quidway-ethernet0/1] undo flow-control //关闭端口流控制。默认是关闭的。
[quidway-ethernet0/1] mdi {across |auto |normal} //设置端口网线类型
(二)端口汇聚操作
1、手工汇聚
(1)原理:
由用户手工配置,不允许系统自动添加或删除汇聚组中的端口。
汇聚组中必须至少包含一个端口。当汇聚组中只有一个端口时,只能通过删除汇聚组的方式将该端口从汇聚组中删除。
手工汇聚端口的LACP协议为关闭状态。
端口状态 :
有两种状态:selected和unseleted。
汇聚组中处于up状态的端口中选出主端口(按全双 工高速率、全双工低速率、半双工高速率、半双工低速率的顺序选择主端口)。与主端口速率、双工属性、链路状态一致的端口才成为selected状态。其他端口处于unseleted状态。
当selected端口数多于设备支持的数量时,按端口号从小到大顺序选择限制数量以内的端口为selected端口。其他 为unselected端口。
再从selected状态的端口中选出端口号最小的为汇聚组的主端口,其他处于selected状态的端口为汇聚组的成员端口。
(2)配置
[h3c]link-aggregation group {agg-id} mode {manual} //配置创建汇聚组,agg-id是组号,manual是指手工模式。
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]port link-aggregation group {agg-id} //把端口加入到汇聚组
2、静态LACP汇聚
(1)原理
静 态LACP汇聚由用户手工配置,不允许系统自动添加或删除汇聚组中的端口。
汇聚组中必须至少包含一个端口。当汇聚组中只有一个端口时,只能通过删除汇聚组的方式将该端口从汇聚组中删除。
手工汇聚端口的LACP协议为开启状态。当一个静态LACP汇聚组被删除时,处理UP状态的端口会自动成为一个或多个动态LACP汇聚。
端口状态 :
有两种状态:selected和unseleted。
汇聚组中处于up状态的端口中选出主端口(按全双 工高速率、全双工低速率、半双工高速率、半双工低速率的顺序选择主端口)。与主端口速率、双工属性、链路状态一致的端口才成为selected状态。其他端口处于unseleted状态。
与主端口连接的对端设备不同,或者连接的同一个对端设备,但对端端口处于不同汇聚组的,处于unseleted状态。
与主端口基本配置不同的端口处于unseleted状态
当selected端口数多于设备支持的数量时,按端口号从小到大顺序选择限制数量以内的端口为selected端口。其他 为unselected端口。
再从selected状态的端口中选出端口号最小的为汇聚组的主端口,其他处于selected状态的端口为汇聚组的成员端口。
(2)配置
[h3c]link-aggregation group {agg-id} mode {static} //配置创建汇聚组,agg-id是组号,static是指静态模式。
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]port link-aggregation group {agg-id} //把端口加入到汇聚组
3、动态LACP汇聚
(1)原理:
动态LACP汇聚是一种系统自动创建或删除的汇聚,动态汇聚组内端口的添加和删除是LACP协议自动完成的。只有基本配置相同、速率和双工属性相同、连接到同一个设备、并且对端端口也满足以上条件时,端口才会被动态汇聚在一起。
即使只有一个端口也可以创建动态汇聚,此时为单端口汇聚。动态汇聚中,端口的LACP协议处理开启状态。
端口状态 :
有两种状态:selected和unseleted。
当可成为selected端口数超过设备限制时,先比较相连设备的优先级,以选定哪一端设备为主。然后比较主设备各端口的优先级,在限制数量内的优先级高的selected端口处于selected状态,其他端口处理unselected状态。对端设备的端口和主设备同步为同种状态。
(2)配置
[h3c]lacp system-priority {priority} //配置系统优先级,以确定互连设备间以哪一端设备为主。
[h3c]interface gig 1/0/1 //进入端口
[h3c-gigabitethernet1/0/1]lacp enable //开启端口LACP协议
[h3c-gigabitethernet1/0/1]lacp port-priority {priority} //配置端口优先级,以便确定哪些端口为selected状态。
[h3c]link-aggregation group {agg-id} description {agg-name} //设置汇聚组描述。
4、汇聚配置显示与维护
[h3c]display link-aggregation summary //显示汇聚的摘要信息
[h3c]display link-aggregation verbose {agg-id} //显示指定汇聚组的详细信息
[h3c]display link-aggregation interface {{interface number} [to] {interface number}} //显示端口的汇聚详细信息
[h3c]display display lacp system-id //显示本端系统的设备ID
注意:
对于配置MAC地址和IP绑定的端口不能加入汇聚组
配置了端口安全特性的端口不能加入汇聚组
开启了Voice vlan功能的端口不能加入到汇聚组中。
开启ip过滤功能的端口,不要加入到汇聚组。
开启arp***检测功能的端口,不加入汇聚组。
(三)端口隔离操作
通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间的二层、三层数据的隔离。目前一台设备只支持一个隔离组,但组内的端口数没有限制。
注:只有隔离组内各个端口之间的报文不能互通,隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。
[h3c]interface gig 1/0/1
[h3c-gigabitethernet1/0/1]port isolate //把端口加入到隔离组中。
[h3c]display isolate port //查看隔离组。
六、华为交换机管理
(一)交换机的文件传输协议
1、FTP
(1) 交换机作为FTP服务器
[h3c]ftp server enable //启用FTP服务器
[h3c]local-user {user-name} //建立FTP用户帐号
[h3c]password {simple|cipher} {password} //设置用户密码
[h3c]service-type ftp //设置用户可以使用的服务类型为FTP。缺省是不对用户授权服务的。
[h3c] ftp timeout {minutes} //连接空闲时间,缺省30分钟
[h3c]local-user {user-name} //建立FTP用户帐号
[h3c]password {simple|cipher} {password} //设置用户密码
[h3c]service-type ftp //设置用户可以使用的服务类型为FTP。缺省是不对用户授权服务的。
[h3c] ftp timeout {minutes} //连接空闲时间,缺省30分钟
[h3c]ftp-server source-interface {interface } //设置FTP用户只能通过哪个接口登录交换机的FTP
[h3c]ftp-server source-ip {ip} //设置FTP用户只能通过本交换机的哪个IP地址登录交换机。以上两条选其一。
[h3c]ftp disconnect {user} //断开哪个用户的连接
[h3c]header login {text} //配置FTP用户登录上来时的显示信息
[h3c]ftp-server source-ip {ip} //设置FTP用户只能通过本交换机的哪个IP地址登录交换机。以上两条选其一。
[h3c]ftp disconnect {user} //断开哪个用户的连接
[h3c]header login {text} //配置FTP用户登录上来时的显示信息
(2)交换机作为FTP客户端时的一些命令
[h3c]mkdir {pathname} //建立文件夹
[h3c]get {remotefile} {localfile} //把远程FTP服务器上的文件下载到本地
[h3c]put {localfile} {remotefile} //把本地的文件上传到ftp服务器上
[h3c]rename {remote-source} {remote-dest} //更改FTP服务器上的文件名
[h3c]delete //删除文件
[h3c]rmdir //删除文件夹
[h3c]mkdir {pathname} //建立文件夹
[h3c]get {remotefile} {localfile} //把远程FTP服务器上的文件下载到本地
[h3c]put {localfile} {remotefile} //把本地的文件上传到ftp服务器上
[h3c]rename {remote-source} {remote-dest} //更改FTP服务器上的文件名
[h3c]delete //删除文件
[h3c]rmdir //删除文件夹
[h3c]user {username} {password} //改变用户名和密码登录
2、TFTP
[h3c]tftp {tftp-server-ip} {get|put} {source-file} {des-file} //从TFTP服务器上传和下载文件
例:
[h3c]tftp 192.168.1.50 put 5100.bin 5100.bin //要先打开tftp服务器
[h3c]tftp 192.168.1.50 put 5100.bin 5100.bin //要先打开tftp服务器
[h3c]tftp {ascii|binary} //设置模式
3、ssh
(二)系统维护与调试操作
1、通过Console口利用XModem完成加载
(1)开机时 CTRL+B 进入boot菜单
(2)选择6,ENter bootrom upgrade menu,选择不同的协议进行对Bootrom 进行加载。
(3)先选3,选择xmodem协议
(4)再根据实际情况选择合适的下载速率。这里选择115200
(5)然后超级终端中,“文件--》属性”中更改速率,然后中断,再连接,以生效新的速率。(一定要先中断一次)
(6)再后回车,“传送--》发送文件”。开始加载bootrom
(2)选择6,ENter bootrom upgrade menu,选择不同的协议进行对Bootrom 进行加载。
(3)先选3,选择xmodem协议
(4)再根据实际情况选择合适的下载速率。这里选择115200
(5)然后超级终端中,“文件--》属性”中更改速率,然后中断,再连接,以生效新的速率。(一定要先中断一次)
(6)再后回车,“传送--》发送文件”。开始加载bootrom
加载主机软件时,只是在第(2)步时,选择1,进行主机软件加载,其他与后面相同。
2、通过TFTP进行bootrom传输
先运行TFTP服务器,再保证交换机和TFTP服务器可以互通。再开始以下步骤。
(1)开机时 CTRL+B 进入boot菜单
(2)选择6,ENter bootrom upgrade menu,选择不同的协议进行对Bootrom 进行加载。
(3)先选3,选择TFTP协议
(4)然后设置要加载的 bootrom文件名,TFTP服务器IP和交换机IP,即可。
(2)选择6,ENter bootrom upgrade menu,选择不同的协议进行对Bootrom 进行加载。
(3)先选3,选择TFTP协议
(4)然后设置要加载的 bootrom文件名,TFTP服务器IP和交换机IP,即可。
3、通过FTP进行bootrom传输
先运行FTP服务器,再保证交换机和FTP服务器可以互通。把要升级的文件放到FTP服务器指定位置,再开始以下步骤。
(1)开机时 CTRL+B 进入boot菜单
(2)选择6,ENter bootrom upgrade menu,选择不同的协议进行对Bootrom 进行加载。
(3)先选3,选FTP协议
(4)然后设置要加载的 bootrom文件名,FTP服务器IP和交换机IP,FTP用户名和密码,即可。
(2)选择6,ENter bootrom upgrade menu,选择不同的协议进行对Bootrom 进行加载。
(3)先选3,选FTP协议
(4)然后设置要加载的 bootrom文件名,FTP服务器IP和交换机IP,FTP用户名和密码,即可。
(三)交换机文件系统管理
1、目录操作
[h3c]mkdir
[h3c]rmdir
[h3c]dir [/all] [file]
[h3c]more
[h3c]delete [/unreserved] {file} //删除文件
[h3c]undelete {file} //从回收站中恢复被删除了的文件。前提是删除时没有加[/unreserved] 参数。加了[/unreserved] 参数就是直接彻底删除。
[h3c]execute {filename} //执行指定的批处理文件
[h3c]rmdir
[h3c]dir [/all] [file]
[h3c]more
[h3c]delete [/unreserved] {file} //删除文件
[h3c]undelete {file} //从回收站中恢复被删除了的文件。前提是删除时没有加[/unreserved] 参数。加了[/unreserved] 参数就是直接彻底删除。
[h3c]execute {filename} //执行指定的批处理文件
2、文件属性配置
(1)三种文件:.bin 主机运行程序 .cfg配置文件 .web 用于WEB网管
(2)文件的三种属性:
(2)文件的三种属性:
main:主启动文件,优先使用主启动文件启动。
backup:备启动文件。主启动文件失败,就用各用启动文件启动。
none:不具有main和backup属性的其他文件。
backup:备启动文件。主启动文件失败,就用各用启动文件启动。
none:不具有main和backup属性的其他文件。
[h3c]boot boot-lader {appfile} //设置用哪个文件作为下次启动时的启动文件
[h3c]boot boot-lader backup-attribute {appfile} //设置文件为备启动文件
[h3c]boot web-package {webfile} {backup|main} //设置web文件及属性。
[h3c]boot attribute-switch {all|app |configuration|web} //切换文件的主备属性。
[h3c]display boot-loader [unit {unit-id}] //显示启用采用的app文件
[h3c]boot boot-lader backup-attribute {appfile} //设置文件为备启动文件
[h3c]boot web-package {webfile} {backup|main} //设置web文件及属性。
[h3c]boot attribute-switch {all|app |configuration|web} //切换文件的主备属性。
[h3c]display boot-loader [unit {unit-id}] //显示启用采用的app文件
3、flash操作
[h3c]format {device} //格式化flash
[h3c]fixdisk {device} //恢复flash空间
[h3c]fixdisk {device} //恢复flash空间
七、DHCP
(一)DHCP中继配置
[h3c]dhcp-server 1 ip 192.168.9.1 //设置DHCP服务器组,并指定组中的服务器IP地址。此处DHCP服务器组名为:1,组中的服务器的IP地址为192.168.9.1,一个组可以有8个DHCP服务器地址。
[h3c]interface vlan-interface 3 //进入vlan3, 可以设置配置DHCP中继的任何接口。此处是VLAN3
[h3c-vlan-interface3] dhcp-server 1 //把VLAN3与DHCP服务器组相关联。
[h3c-vlan-interface3] dhcp-server 1 //把VLAN3与DHCP服务器组相关联。
-------------------------------------
[h3c]dhcp-security static {ip-address mac-address} //静态用户地址表项
[h3c]interface vlan-interface 3 //进入vlan3, 可以设置配置DHCP中继的任何接口。此处是VLAN3
[h3c-vlan-interface3] address-check enable //开启DHCP中继的地址匹配检查功能。默认是禁止的。开启此功能后,一定要定义用户的静态地址表项,即IP到MAC地址的绑定表,否则客户端可能分配不到IP地址。
[h3c]interface vlan-interface 3 //进入vlan3, 可以设置配置DHCP中继的任何接口。此处是VLAN3
[h3c-vlan-interface3] address-check enable //开启DHCP中继的地址匹配检查功能。默认是禁止的。开启此功能后,一定要定义用户的静态地址表项,即IP到MAC地址的绑定表,否则客户端可能分配不到IP地址。
-------------------------------------
[h3c]dhcp-server detect //伪DHCP服务器检测功能。防止非法DHCP服务器分配IP地址。即在日志中会记录所有DHCP服务器的记录,需要管理员在日志中找出非法DHCP服务器。
[h3c]display dhcp-server {groupno}
[h3c]display dhcp-server interface vlan-interface {vlan-id}
(二)DHCP snooping配置
即二层交换机,通过配置接口为 信任接口和不信任接口来控制和阻止非法DHCP服务器。即某些接口直接或间接连接DHCP服务器的配置成信任接口。 不连接DHCP服务器的接口配为不信任接口,当不信任接口接收到DHCP服务器的信息时,就丢弃信息。
[h3c]dhcp-snooping //开启snooping开能
[h3c]interface gigbit 1/1/3 //进入接口中
[h3c-interface-gig]dhcp-snooping trust //此接口配置成信任接口
[h3c]interface gigbit 1/1/3
[h3c-interface-gig] ip check source ip-address [mac-address] //开启IP过滤功能。 配置IP过滤功能前,需要先开启交换机的DHCP snooping功能,并配置信任端口,信任端口可以是任意端口,不需是此端口。建议不要在汇聚组中的端口上配置IP过滤功能。
[h3c-interface-gig] ip source static binding ip-address 192.168.9.243 mac-address 0001-acde-0032 //配置静态表项。 如果开启接口时,配置了MAC-ADDRESS选项,此处必须配置MAC地址,不然此接口将不接受此IP地址通过。
[h3c-interface-gig] ip check source ip-address [mac-address] //开启IP过滤功能。 配置IP过滤功能前,需要先开启交换机的DHCP snooping功能,并配置信任端口,信任端口可以是任意端口,不需是此端口。建议不要在汇聚组中的端口上配置IP过滤功能。
[h3c-interface-gig] ip source static binding ip-address 192.168.9.243 mac-address 0001-acde-0032 //配置静态表项。 如果开启接口时,配置了MAC-ADDRESS选项,此处必须配置MAC地址,不然此接口将不接受此IP地址通过。
(三)DHCP客户端配置
[h3c]interface vlan-interface 3
[h3c-vlan-interface3] ip address {bootp-alloc | dhcp-alloc} //设置VLAN接口IP通过DHCP服务器获取IP地址,并指定获取IP的方式。
[h3c-vlan-interface3] ip address {bootp-alloc | dhcp-alloc} //设置VLAN接口IP通过DHCP服务器获取IP地址,并指定获取IP的方式。
(三)DHCP服务器配置
1、全局地址池分配
先开启DHCP服务器,然后定义DHCP地址范围,网关,DNS,不可划分的IP等。 最后配置VLAN的IP地址和DHCP模式。vlan和全局地址池间的关联是根据网段,自动匹配的。
先开启DHCP服务器,然后定义DHCP地址范围,网关,DNS,不可划分的IP等。 最后配置VLAN的IP地址和DHCP模式。vlan和全局地址池间的关联是根据网段,自动匹配的。
[h3c]dhcp enable
[h3c]dhcp server ip-pool h3c
[h3c-dhcp-pool-h3c]network 192.168.0.1 mask 255.255.255.0 //配置动态分配的IP地址范围
[h3c-dhcp-pool-h3c] expired day 3 //有效期
[h3c-dhcp-pool-h3c]gateway-list 192.168.0.1 //网关地址
[h3c-dhcp-pool-h3c]dns-list 221.3.131.118 //DNS地址
[h3c-dhcp-pool-h3c]network 192.168.0.1 mask 255.255.255.0 //配置动态分配的IP地址范围
[h3c-dhcp-pool-h3c] expired day 3 //有效期
[h3c-dhcp-pool-h3c]gateway-list 192.168.0.1 //网关地址
[h3c-dhcp-pool-h3c]dns-list 221.3.131.118 //DNS地址
[h3c]dhcp server forbidden-ip 192.168.0.10 192.168.0.60 //排除IP地址段
-----------------------------------------------
[h3c]interface Vlan-interface 10
[h3c-Vlan-interface10]ip address 192.168.0.1 255.255.255.0 //为VLAN指定IP地址
[h3c-Vlan-interface10]dhcp select global //指定为全局地址分配模式
-----------------------------------------------
[h3c]interface Vlan-interface 10
[h3c-Vlan-interface10]ip address 192.168.0.1 255.255.255.0 //为VLAN指定IP地址
[h3c-Vlan-interface10]dhcp select global //指定为全局地址分配模式
2、接口地址池分配
先开启DHCP服务器,然后定义排除地址范围。进入VLAN,配置VLAN ip地址和DHCP模式。 然后在VLAN接口下设置DNS和WINS,有效期等配置。客户端会自动根据VLAN接口的IP网段,来分配地址,所以不用定义网段范围。
[h3c]dhcp enable
[h3c]dhcp server forbidden-ip 192.168.0.1 //排除不可分配的IP地址
[h3c]dhcp server forbidden-ip 192.168.0.20
[h3c]dhcp server forbidden-ip 192.168.0.30
[h3c]dhcp server forbidden-ip 192.168.0.20
[h3c]dhcp server forbidden-ip 192.168.0.30
[h3c]interface Vlan-interface 10
[h3c-Vlan-interface10]ip address 192.168.0.1 255.255.255.0 //为VLAN指定IP地址
[h3c-Vlan-interface10]dhcp select interface //指定为接口地址分配模式
[h3c-Vlan-interface10]dhcp server static-bind ip-address 192.168.0.10 mac-address 000D-88F7-0001 //配置静态MAC地址绑定
[h3c-Vlan-interface10]dhcp server expired day 10 //有效期
[h3c-Vlan-interface10]dhcp server dns-list 192.168.0.20 //dns服务器
[h3c-Vlan-interface10]dhcp server nbns-list 192.168.0.30 //wins服务器指定
[h3c-Vlan-interface10]dhcp server dns-list 192.168.0.20 //dns服务器
[h3c-Vlan-interface10]dhcp server nbns-list 192.168.0.30 //wins服务器指定