适合阅读本文的对象有:
1、因工程紧急,时间不足,无法仔细阅读华为vrp配置手册和命令手册的
2、对华为vrp操作平台不够熟悉的,而又亟需书面帮助的
3、在学习华为vrp配置手册和命令手册的同时,想在配置上得到直接帮助的
4、准备参加HCNE、HCSE、HCIE认证考试的工程师以及网络技术爱好者
本手册内容分为三大部分。第一部分是日常维护中如何配置交换机,包括telnet、aux口远程登录、web网管等内容;第二部分是交换机基础类配置,主要包括VLAN配置、IP地址配置、端口属性配置、端口汇聚配置、HGMP和集群配置配置等;第三部分是高级应用类配置,包括了STP、路由协议、组播、802.1X、VRRP、访问控制、QOS等配置。
每部分内容后面都附了注明,请大家一定注意看一下。
由于时间仓促,本手册还有许多内容需要完善,特别是第三部分的各个QOS章节,许多现在仅供参考,实际配置中请以各产品为准。另外在内容安排上也有冲突,这些将在下一个版本的典型配置案例中进行完善。真诚希望大家给我们提供宝贵意见和建议。
注意:本手册仅用来对使用华为数通产品的代理商、用户进行支持帮助之用。华为公司在尊重他人版权的同时,也同样保留保护自己版权的权力。未经华为公司授权许可,本手册不得作为商用。
表1-1 常用命令新旧对照表
旧 |
新 |
|
旧 |
新 |
show |
display |
access-list |
acl |
|
no |
undo |
acl |
eacl |
|
exit |
quit |
|
|
|
write |
save |
show version |
disp version |
|
erase |
reset |
show run |
disp current-configuration |
|
|
|
show tech-support |
disp base-information |
|
|
|
show start |
disp saved-configuration |
|
router ospf |
ospf |
|
|
|
router bgp |
bgp |
|
|
|
router rip |
rip |
|
|
|
|
|
|
|
|
hostname |
sysname |
|
|
|
user |
local-user |
|
|
|
0 |
simple |
|
|
|
7 |
cipher |
|
|
|
|
|
|
|
|
mode |
link-type |
|
|
|
multi |
hybrid |
|
|
注意:
1. disp是display的缩写,在没有歧义时LANSWITCH会自动识别不完整词
2. disp cur显示LANSWITCH当前生效的配置参数
3. disp和ping命令在任何视图下都可执行,不必切换到系统视图
4. 删除某条命令,一般的命令是undo xxx,另一种情况是用其他的参数代替现在的参数,如有时虽然xxx abc无法使用undo删除,但是可以修改为xxx def
表1-2 LANSWITCH配置注意事项
序号 |
注意项目 |
记录 |
1 |
登录交换机时请注意在超级终端中流控选择“无” |
|
2 |
启动时按”ctrl+B”可以进入到boot menu模式 |
|
3 |
当交换机提示”Please Press ENTER”,敲完回车后请等待一下,设备需要一定的时间才能进入到命令行界面(具体的时间试产品而定) |
|
4 |
进入系统视图请输入”system-view”(输入”sys”即可) |
|
5 |
对使用的端口、vlan、interface vlan进行详细的描述 |
|
6 |
如果配置了telnet用户,一定要设置权限或配置super密码 |
|
7 |
除了S6500系列,模块不可以带电插拔 |
|
8 |
使用别的产品模块前请确认该模块是否可以混用 |
|
9 |
配置acl时请注意掩码配置是否准确 |
|
10 |
二层交换机配置管理IP后,请确保管理vlan包含了管理报文到达的端口 |
|
11 |
配置完毕后请在用户视图下(即尖括号视图下)采用save命令保存配置 |
|
12 |
请确保在设备保存配置的时候不掉电,否则可能会导致配置丢失 |
|
13 |
如果要清除所有配置,请在用户视图下(即尖括号视图下)采用reset saved-configuration,并重启交换机 |
|
注:
其他配置需注意的地方请参考每部分内容后面的注明。
图1-1 telnet配置
说明:如图,交换机SwitchA通过以太网口ethernet 0/1和SwitchB的ethernet0/24实现互连。
PC的IP地址为10.10.10.10/24,SwitchA的管理IP配置在vlan100的虚接口上,10.10.10.1/24,使用vlan 10与SwitchB进行互连,地址为192.168.0.1/24,SwitchB也使用vlan 100作为管理vlan,地址为192.168.0.2/24
需求:
1. SwitchA只能允许10.10.10.0/24网段的地址的PC telnet访问
2. SwitchB允许其它任意网段的地址telnet访问
表1-3 telnet配置
配置过程 |
注释 |
SwitchA交换机配置: [SwitchA]vlan 100 [SwitchA-vlan100] port Ethernet 0/10 to Ethernet 0/20 [SwitchA]interface Vlan-interface 100 [SwitchA-Vlan-interface100]ip address 10.10.10.1 255.255.255.0
[SwitchA]vlan 10 [SwitchA-vlan10] port Ethernet 0/1 [SwitchA]interface Vlan-interface 10 [SwitchA-Vlan-interface10]ip address 192.168.0.1 255.255.255.0
[SwitchA]user-interface vty 0 4 [SwitchA-ui-vty0-4] [SwitchA-ui-vty0-4]authentication-mode password [SwitchA-ui-vty0-4]set authentication password simple Huawei
[SwitchA-ui-vty0-4]user privilege level 3
[SwitchA-ui-vty0-4]acl 1 inbound [SwitchA]acl number 1 [SwitchA-acl-basic-1] [SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255
SwitchB交换机配置: [SwitchA]vlan 100 [SwitchA-vlan100] port Ethernet 0/24
[SwitchB]interface Vlan-interface 100 [SwitchB-Vlan-interface100]ip address 192.168.0.2 255.255.255.0
[SwitchB]user-interface vty 0 4 [SwitchB-ui-vty0-4] [SwitchB-ui-vty0-4]authentication-mode password [SwitchB-ui-vty0-4]set authentication password simple Huawei [SwitchB-ui-vty0-4]user privilege level 3 [SwitchB]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 |
#配置管理vlan 100
#配置与SwitchB互连的vlan 10
#设置telnet登录为密码验证方式。telnet登录缺省为密码验证方式
#如果配置telnet登录为密码验证方式或使用缺省验证方式,必须配置登录密码,如果不配置密码,系统不允许登录。
#系统默认VTY登录方式用户级别为0,设置为3才能进入系统视图
#设置只允许10.10.10.0网段地址能够访问交换机SwitchA
#允许其它任意网段的地址能够访问交换机需要启动路由协议或者加一条静态默认路由 |
|
注意:
1. 一共只可以设置5个telnet用户
2. 缺省情况下telnet用户的权限是0级,如果没有配置telnet用户的权限,并且也没有配置super密码,则telnet用户只能对交换机执行有限的操作,无法配置交换机
图1-2 通过AUX口远程登录交换机
需求:通过AUX口(即console口)登录到交换机进行配置
表1-4 通过AUX口远程登录配置
配置过程 |
注释 |
[Quidway] user-interface aux 0
[Quidway-ui-aux0]modem |
#在交换机上执行user-interface aux 0 进入console
#键入modem进入modem状态。
#与计算机相连的modem为modemA,与交换机相连的modem为modemB。 物理连接后在计算机上启用超级终端, com端口选择和modemA相连的com口 在超级终端屏幕上键入命令 atdt 82882285(与交换机modemB的电话号码) 等待片刻就可以登录到交换机上。
|
注:
1. 目前的命令行配置的交换机console口和aux口是合二为一的
2. 连接交换机和modem要采用专用的aux线缆
3. modem要设置成自动应答方式
图1-3 Debug 系统调试
说明:如图,PC1与交换机A的Console 口或以太口相连。如果是通过以太口相连,要求PC1的IP地址和该以太端口所在的VLAN Interface在同一网段。在这里,我们假设PC1的地址是10.110.53.247/21, 交换机的以太网口所在VLAN Interface 1的IP 地址是10.110.53.248/21。
表1-5 打开debug开关
配置过程 |
注释 |
SwitchA交换机配置:
all All debugging functions arp ARP module bgp BGP module cluster Cluster module device Device manage dhcp-relay DHCP relay module dot1x Specify 802.1x configuration information ethernet Ethernet module fib FIB module ftp-server FTP server information garp GARP module gmrp GMRP module gvrp GVRP module habp HABP module hgmpserver HGMP server module igmp IGMP module ip IP module local-server Local authentication server information mac-address MAC address table information modem Modem module multicast Multicast module ndp NDP module ni NI module: NI Debuging information ntdp NTDP module ntp-service NTP module ospf OSPF module pim PIM module radius Radius module rip RIP module rmon RMON debugging switch snmp-agent SNMP module stp STP infomation tcp TCP module telnet TELNET module udp UDP module vfs Filesystem module vrrp VRRP module vtp VTP module vty VTY module
% Current terminal monitor is on
% Current terminal debugging is on |
#在用户视图下面打开调试开关,选择所需要进行调试的模块参数。
#打开IP报文调试开关
#在用户视图模式下打开屏幕输出开关。 #在用户视图模式下打开调试输出开关。
|
注意:
1. 调试结束后,用undo debugging XXX, undo terminal monitor 和 undo terminal debugging 关闭所有的调试开关。
2. 缺省情况下debug信息只向console口终端输成信息,如果是telnet到交换机,则需要在系统视图下执行info-center monitor channel 0命令,否则debug信息无法向telnet终端输出。
图1-4 SNMP配置
说明:网管工作站(NMS)与以太网交换机通过以太网相连,网管工作站IP地址为129.102.149.23,以太网交换机的VLAN接口IP地址为129.102.0.1。在交换机上进行如下配置:设置团体名和访问权限、管理员标识、联系方法以及交换机的位置信息、允许交换机发送Trap消息。
表1-6 SNMP配置
配置过程 |
注释 |
[Quidway] snmp-agent community read public [Quidway] snmp-agent community write private
[Quidway]snmp-agent sys-info contact Mr.Wang-Tel:3306 [Quidway] snmp-agent sys-info location telephone-closet,3rd-floor
[Quidway] snmp-agent trap enable [Quidway] snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public
|
# 进入系统视图 # 设置团体名和访问权限
# 设置管理员标识、联系方法以及物理位置
# 允许向网管工作站129.102.149.23发送Trap报文,使用的团体名为public。
|
注:
一般情况下只需设置团体名和访问权限设备即可被管理,其他为可选配置
图1-5 WEB网管配置
说明:PCA连接在交换机A的端口0/1
需求:PCA使用WEB网管软件对交换机进行WEB管理
表1-7 WEB网管配置
配置过程 |
注释 |
在System命令模式下进行下面配置
[Quidway]snmp-agent sys-info version v3
[Quidway]snmp-agent mib-view included wnmview internet
[Quidway]snmp-agent group v3 wnmgroup authentication read-view wnmview write-view wnmview notify-view wnmview
[Quidway]snmp-agent usm-user v3 wnm wnmgroup authentication-mode md5 123456
[Quidway]snmp-agent target-host trap address udp-domain 192.168.1.3 params securityname wnm v2c
[Quidway]snmp-agent trap enable standard [Quidway]snmp-agent trap enable vrrp [Quidway]snmp-agent trap enable bgp |
#启动Snmp Agent的V3版本
#创建一个范围为internet的Snmp视图
#创建一个需要进行认证的Snmp V3的组wnmgroup,读写和接受Trap的视图都使用wnmview
#创建一个Snmp V3的用户,用户名是wnm,认证密码是123456,采用MD5方式认证,不进行加密
#设置Trap主机地址为192.168.1.3,接收Trap的用户名为wnm,采用TrapV2c格式送Trap
#激活标准Trap,VRRP和BGP的Trap |
完成上述配置以后,在PC机打开浏览器,在地址栏输入交换机的IP地址,将在显示的页面中点击“图形管理界面”,就进入图形界面的Web网管。首先会弹出对话框,如果使用的是上面描述的配置,则用户名输入wnm,认证方式选择MD5,加密方式选择空,认证密码输入123456,点击确定。后面就可以根据菜单和对话框的提示通过Web网管对交换机进行查询和配置了。 |
注意:
1. 如果交换机和PC机的IP地址不在同一个网段,或者需要在PC机上收到Trap,则需要根据Web网管主页上的提示开发Java权限,对于每个交换机,在PC机上都需要开发权限;
2. PC机上需要安装JRE1.3以上的版本。JRE( Java Runtime Environment,Java运行环境 )可以在Sun公司的网站上免费下载。
图2-1 VLAN 配置
需求:把交换机端口Ethernet 0/1加入到VLAN 2 ,Ethernet 0/2加入到VLAN 3
表2-1 VLAN配置
配置过程 |
注释 |
方法一: [Quidway]vlan 2 [Quidway-vlan2]port ethernet 0/1 [Quidway-vlan2]vlan 3 [Quidway-vlan3]port ethernet 0/2
方法二: [Quidway]vlan 2 [Quidway-vlan2]quit [Quidway]interface ethernet 0/1 [Quidway-Ethernet1]port access vlan 2 [Quidway-Ethernet1]quit [Quidway]vlan 3 [Quidway-vlan3]quit [Quidway]interface ethernet 0/2 [Quidway-Ethernet2]port access vlan 3 |
#创建VLAN 2 #将端口1加入到VLAN 2 #创建VLAN 3 #将端口2加入到VLAN 3
|
注:
1. 缺省情况下所有端口都属于VLAN 1,并且端口是access端口,一个access端口只能属于一个vlan;
2. 如果端口是access端口,则把端口加入到另外一个vlan的同时,系统自动把该端口从原来的vlan中删除掉。
图2-2 IP地址配置
说明:如图,三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2,分别属于vlan 2、vlan 3,vlan 2、vlan 3的三层接口地址分别是1.0.0.1/24、2.0.0.1/24,Pc1和Pc2通过三层接口互通。
表2-2 IP地址配置
配置过程 |
注释 |
[Quidway]vlan 2 [Quidway-vlan2]port ethernet 0/1 [Quidway-vlan2]interface vlan 2 [Quidway-Vlan-interface2]ip address 1.0.0.1 255.255.255.0
[Quidway]vlan 3 [Quidway-vlan3]port ethernet 0/2 [Quidway-vlan3]interface vlan 3 [Quidway-Vlan-interface3]ip address 2.0.0.1 255.255.255.0 |
#创建VLAN 2 #增加端口
#给虚接口VLAN 2添加IP地址 #创建VLAN 3 #增加端口
#给虚接口VLAN 3添加IP地址 |
注:
1. 对于交换机而言,地址只能配置在vlan虚接口上;但是S6506除外,它的console口旁边有一个管理以太网口(interface M-ethernet 0),可以直接配置IP地址。
2. 该配置例是以三层交换机为例,如果是二层交换机,则只能配置一个VLAN 虚接口。
图2-3 端口的trunk配置
说明:通过交换机端口的trunk功能来实现跨交换机之间的vlan互通
左边交换机为A,右边交换机为B。交换机A的e0/1接vlan 10 pc;e0/2接vlan 20 pc; e0/3接交换机B的e0/3
需求:两台交换机之间的vlan10的pc可以互通,vlan 20的pc可以互通。
表2-3 端口的trunk配置
配置过程 |
注释 |
SwitchA交换机配置: [SwitchA] vlan 10 [SwitchA-vlan10]port Ethernet 0/1 [SwitchA]vlan 20 [SwitchA-vlan20]port Ethernet 0/2
[SwitchA-Ethernet0/3]port link-type trunk [SwitchA-Ethernet0/3]port trunk permit vlan all |
#创建 VLAN 10 #端口 e0/1加入VLAN 10 #创建 VLAN 20 #端口 e0/2加入VLAN 20
#配置端口 e0/3 trunk端口,允许所有VLAN通过 |
SwitchB交换机配置: [SwitchB] vlan 10 [SwitchB-vlan10]port Ethernet 0/1 [SwitchB]vlan 20 [SwitchB-vlan20]port Ethernet 0/2
[SwitchB-Ethernet0/3]port link-type trunk [SwitchB-Ethernet0/3]port trunk permit vlan all |
#创建 VLAN 10 #端口 e0/1加入VLAN 10 #创建 VLAN 20 #端口 e0/2加入VLAN 20
#配置端口 e0/3 trunk端口,允许所有VLAN通过 |
注:
1. 如果一个端口是trunk端口,则该端口可以属于多个vlan;
2. 缺省情况下trunk端口的PVID为1,可以在端口模式下通过命令port trunk pvid vlan vlanid 来修改端口的PVID;
3. 如果从trunk转发出去的数据报文的vlan id和端口的PVID一致,则该报文的VLAN信息会被剥去,这点在配置trunk端口时需要注意。
4. 一台交换机上如果已经设置了某个端口为hybrid端口,则不可以再把另外的端口设置为trunk端口。
图2-4 端口hybrid属性的配置
说明:二层交换机之间利用端口的hybrid属性灵活实现vlan之间的灵活互访。
需求:所有设备的ip地址均在同一网段,要求三个vlan的pc均可以访问server 1;只有vlan 10、20以及vlan30的4端口可以访问server 2;同时vlan 10中的2端口的pc可以访问vlan 30;vlan 20可以访问vlan 30的5端口。
表2-4 端口hybrid属性配置
配置过程: |
注释: |
Enter system view , return user view with Ctrl+Z. [Quidway]vlan 10 [Quidway-vlan10]vlan 20 [Quidway-vlan20]vlan 30 [Quidway-vlan30]vlan 40 [Quidway-vlan40]vlan 50 [Quidway-vlan50]int e0/1 [Quidway-Ethernet0/1]port link-type hybrid
[Quidway-Ethernet0/1]port hybrid pvid vlan 10
[Quidway-Ethernet0/1]port hybrid vlan 10 40 50 untagged
[Quidway-Ethernet0/1]int e0/2 [Quidway-Ethernet0/2]port link-type hybrid [Quidway-Ethernet0/2]port hybrid pvid vlan 10 [Quidway-Ethernet0/2]port hybrid vlan 10 30 40 50 untagged
[Quidway-Ethernet0/2]int e0/3 [Quidway-Ethernet0/3]port link-type hybrid [Quidway-Ethernet0/3]port hybrid pvid vlan 20 [Quidway-Ethernet0/3]port hybrid vlan 20 30 40 50 untagged [Quidway-Ethernet0/3]int e0/4 [Quidway-Ethernet0/4]port link-type hybrid [Quidway-Ethernet0/4]port hybrid pvid vlan 30 [Quidway-Ethernet0/4]port hybrid vlan 10 30 40 50 untagged [Quidway-Ethernet0/4]int e0/5 [Quidway-Ethernet0/5]port link-type hybrid [Quidway-Ethernet0/5]port hybrid pvid vlan 30 [Quidway-Ethernet0/5]port hybrid vlan 10 20 30 40 untagged [Quidway-Ethernet0/5]int e0/23 [Quidway-Ethernet0/23]port link-type hybrid [Quidway-Ethernet0/23]port hybrid pvid vlan 40 [Quidway-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged [Quidway-Ethernet0/24]int e0/24 [Quidway-Ethernet0/24]port link-type hybrid [Quidway-Ethernet0/24]port hybrid pvid vlan 50 [Quidway-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged
|
#首先创建业务需要的vlan
#每个端口,都配置为 hybrid状态 #设置端口的pvid等于该端口所属的vlan
#将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口
#实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口,接收端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan 为 该 vlan 的端口互通。 |
|
|
注:
1. 中端lanswitch(包括S6500、S5500系列交换机)不支持端口的hybrid属性;
2. 如果一个端口是bybrid端口,则可以指定vlan从这个端口转发出去的时候是否带vlan信息,如果带,则配置成tagged方式,否则配置成untagged方式;
3. 一台交换机上如果已经设置了某个端口为trunk端口,则不可以再把另外的端口设置为hybrid端口。
图2-5 端口汇聚配置
说明:如图,交换机SwitchA和SwitchB通过以太网口实现互连。其中SwitchA用于互连的端口为e0/1和e0/2,SwitchB用于互连的端口为e0/1和e0/2。
需求:增加SwitchA的SwitchB的互连链路的带宽,并且能够实现链路备份,使用端口汇聚。
表2-5 端口汇聚配置
配置过程 |
注释 |
SwitchA交换机配置: [SwitchA]interface Ethernet 0/1 [SwitchA-Ethernet0/1]duplex full [SwitchA-Ethernet0/1]speed 100 [SwitchA-Ethernet0/1]quit [SwitchA]interface Ethernet 0/2 [SwitchA-Ethernet0/2]duplex full [SwitchA-Ethernet0/2]speed 100 [SwitchA-Ethernet0/2]quit [SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both
SwitchB交换机配置: [SwitchB]interface Ethernet 0/1 [SwitchB-Ethernet0/1]duplex full [SwitchB-Ethernet0/1]speed 100 [SwitchB-Ethernet0/1]quit [SwitchB]interface Ethernet 0/2 [SwitchB-Ethernet0/2]duplex full [SwitchB-Ethernet0/2]speed 100 [SwitchB-Ethernet0/2]quit [SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both |
#汇聚端口必须工作在全双工模式
#汇聚的端口速率要求相同,但不能是自适应
#可以对双向流量进行汇聚,也可以只对入流量进行汇聚
|
|
注:
1. 在一个端口汇聚组中,端口号最小的作为主端口,其他的作为成员端口。同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access端口。
2. 不同的产品对端口汇聚时的起始端口号要求各有不同,请对照《操作手册》进行配置。
图2-6 端口镜像配置
说明:通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。
需求:按照不同的产品系列进行配置:
1. 基于端口的镜像--3026
2. 基于流的镜像--3526和F系列
3. 基于访问列表的镜像--E系列
l 3026产品
表2-6 3026产品端口镜像配置
配置过程 |
注释 |
配置方法一: [Quidway]monitor-port e0/8 [Quidway]port mirror e0/1 [Quidway]port mirror e0/2
配置方法二: [Quidway]port mirror e0/1 to e0/2 observing-port e0/8 |
#定义e0/8口为监控端口 #定义e0/1、e0/2为被监控端口 |
l 3526/3526F/3026F系列
表2-7 3526端口镜像配置
配置过程 |
注释 |
[Quidway]acl num 100
[Quidway]rule 0 permit ip source 1.1.1.1 0 destination 2.2.2.2 0 [Quidway]rule 1 permit ip source 2.2.2.2 0 destination 1.1.1.1 0
[Quidway]mirrored-to ip-group 100 interface e0/8 |
#定义一条扩展访问控制列表
#假定两台pc的ip地址分别为1.1.1.1和2.2.2.2,定义分别以两台pc的ip地址做为源和目的的访问控制规则 #定义将两台pc的业务报文镜像到监控端口e0/8口上 |
l 3526E/3526EF/3026E/3050系列
表2-8 3526E端口镜像配置
配置过程 |
注释 |
[Quidway]acl num 200
[Quidway]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2
[Quidway]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1
[Quidway]mirrored-to link-group 200 interface e0/8 |
#假定一台pc接在交换机0/1端口,另一台pc接在交换机0/2端口,假定server接在交换机e0/8口。
|
注:
1. S2026/S2016/S2008/S2403H的端口镜像配置和S3026一致
2. S5516和S6506目前不支持镜像的配置。
图2-7 堆叠管理配置
说明:如图,交换机SwitchA通过堆叠1000M口GigabitEthernet 1/1与SwitchB的GigabitEthernet 1/1连接,同时SwitchA通过堆叠1000M口GigabitEthernet 2/1与SwitchC的GigabitEthernet 1/1连接。
需求1:SwitchA作为堆叠主交换机管理SwitchB和SwitchC,要求SwitchA使用10.10.10.1/24作为堆叠地址池。
表2-9 堆叠管理配置
配置过程 |
注释 |
SwitchA交换机配置: [SwitchA]stacking ip-pool 10.10.10.1 3 [SwitchA]stacking enable
查看堆叠信息: [stack_0.SwitchA]display stack Main device for stack. Total members:2
查看堆叠成员信息: [stack_0.SwitchA]display stacking members Member number:0 Name:stack_0.SwitchA Device:Quidway S3526 MAC Address:00e0-fc00-0003 Member status:Cmdr IP: 10.10.10.1/16
Member number:1 Name:stack_1.SwitchB Device:Quidway S3026 MAC Address:00e0-fc06-a045 Member status:Up IP: 10.10.10.2/16
Member number:2 Name:stack_1.SwitchC Device:Quidway S3026 MAC Address:00e0-fc06-a045 Member status:Up IP: 10.10.10.3/16
登录成员交换机SwitchB:
登录成员交换机SwitchC |
#指定堆叠管理地址池 #使能堆叠,几秒钟后两个从交换机加入。
#登录成员交换机switchB
#登录成员交换机switchC |
|
注意:
1. 缺省情况下,堆叠地址池为空,建立堆叠必须先配置地址池;
2. 缺省情况下堆叠会在成员交换机上创建interface vlan 1,所以如果成员是二层交换机,请不要创建非VLAN 1的虚接口;
3. S6500系列交换机不支持堆叠。
图2-8 HGMP V1 管理配置
说明:如图,交换机SwitchA通过ethernet 0/23与SwitchB的ethernet 0/16连接,同时SwitchA通过ethernet 0/24与SwitchC的ethernet 0/16连接。
需求1:SwitchA作为HGMP Server交换机管理 HGMP clinet 交换机SwitchB和SwitchC,在Switch A上开启HGMP server的功能.
表2-10 HGMP V1配置
配置过程 |
注释 |
SwitchA交换机配置: [SwitchA] hgmp enable
[SwitchA] interface e0/23
[SwitchA-Ethernet0/23]hgmpport enable
[SwitchA] interface e0/24 [SwitchA-Ethernet0/23]hgmpport enable [SwitchA] hgmp enable [SwitchA-hgmp] display lanswitch all Lanswitch list.........
------------------ No. 1 ------------------ Position : LANSWITCH[0/0/23-/] PortMode : TREE_MODE Lanswitch Name : Model : Quidway S2016B Device ID : Vf.30.1 MacAddr : 00e0-fc0c-0f44 Status : NORMAL [SwitchA-hgmp]lanswitch 0/0/23-/ [SwitchA-lanswitch0/0/23-/] |
#开启HGMP Server服务
#开启端口HGMP功能
#显示注册成功的HGMP Client交换机
#代表在Switch A上的e0/23上直接连接了一台交换机S2016B,注册成功.
#进入S2016B的配置模式,对其相应的参数进行配置
|
注:
1. 如果client端是B系列交换机,请在系统视图下配置hgmp enable;
2. 如果client端不是带B的交换机,在boot menu菜单下选择开启HGMP模式即可;
3. HGMP CLENT端的上行端口必须是指定的端口,否则无法管理。
图2-9 集群管理配置
说明:如图,交换机SwitchA通过ethernet 0/1与SwitchB的ethernet 0/24连接,同时SwitchA通过ethernet 0/2与SwitchC的ethernet 0/24连接。
需求1:SwitchA作为命令交换机来管理成员交换机SwitchB和SwitchC,要求使用SwitchA使用10.10.10.1/24作为集群地址池,集群的名称为huawei
表2-11 集群管理配置
配置过程 |
注释 |
SwitchA交换机配置: [SwitchA]cluster [SwitchA-cluster]ip-pool 10.10.10.1 24
[SwitchA-cluster]build Huawei [huawei_0.SwitchA-cluster]auto-build Collecting candidate list, please wait... Candidate list: Name Hops MAC Address Device SwitchB 1 00e0-fc06-a045 Quidway S3026 SwitchC 2 00e0-fc06-a021 Quidway S3026 Add all to cluster?(Y/N)y Cluster auto-build Finish! 2 member(s) added successfully.
查看集群成员: [huawei_0.SwitchA-cluster]display cluster members SN Device MAC Address Status Name 0 Quidway S3526 00e0-fc00-0003 Admin Huawei_0. SwitchA 1 Quidway S3026 00e0-fc06-a045 Up Huawei_1. SwitchB 2 Quidway S3026 00e0-fc06-a021 Up Huawei_3. SwitchC [huawei_0.SwitchA-cluster]
登录成员交换机SwitchB:
登录成员交换机SwitchC |
#指定集群内部使用的地址池 #配置集群名称 #使用命令自动加入成员
#此处输入Y,将成员全部加入
#Up表示成员正常
#登录成员交换机swtichB
#登录成员交换机swtichC |
|
注:
缺省情况下集群会在成员交换机上创建interface vlan 1,所以如果成员是二层交换机,请不要创建非VLAN 1的虚接口。
图3-1 STP配置
说明:如图,交换机SwitchA、SwitchB和SwitchC都通过GE接口互连;SwitchB和SwitchC交换机是核心交换机,要求主备。
需求:要求整个网络运行STP协议。
表3-1 STP配置
配置过程 |
注释 |
SwitchA交换机配置: [SwitchA]stp enable
SwitchB交换机配置: [SwitchB]stp enable [SwitchB]stp root primary
SwitchC交换机配置: [SwitchC]stp enable [SwitchC]stp root secondary SwitchD交换机配置: [SwitchD]stp enable |
#启动生成树协议
#启动生成树协议 #配置本桥为根桥
#启动生成树协议 #配置本桥为备份根桥
#启动生成树协议 |
注:
1. 缺省情况下交换机的优先级都是32768,如果想人为指定某一台交换机为根交换机,也可以通过修改优先级来实现;
2. 缺省情况下打开生成树后,所有端口都会开启生成树协议,请把接PC的端口改为边缘端口模式。
PC2 |
PC1 |
图3-2 路由协议配置
说明:如图,交换机lanswitchA、lanswitchB、lanswitchC实现互连。其中lanswitchA上vlan 10接局域网,interface vlan 10的IP地址为为10.1.1.1 /24,lanswitchA和lanswitchB通过VLAN 20互连,lanswitchA上vlan 20的虚接口地址为20.1.1.1 /24,lanswitchB上vlan 20的虚接口地址为20.1.1.2 /24;lanswitchB和lanswitchC通过vlan 30互连,lanswitchB上vlan 30的虚接口地址为30.1.1.1 /24,lanswitchC上vlan 30的虚接口地址为30.1.1.2/24;lanswitchC上vlan 40接局域网,interface vlan 40的IP地址为40.1.1.1/24
需求: 交换机之间运行动态路由协议,保证PC1和PC2互通。
(PC1的IP地址为10.1.1.2/24,网关为10.1.1.1;PC2的IP地址为40.1.1.2/24,网关为40.1.1.2)
请分别写出运行RIP、OSPF的配置。
l rip:
表3-2 RIP协议配置
配置过程 |
注释 |
LANSWITCHA: [SwitchA]VLAN 10 [SwitchA-vlan10]PORT (VLAN 10的端口) [SwitchA-vlan10]Int vlan 10 [SwitchA-Vlan-interface10]Ip add 10.1.1.1 255.255.255.0 [SwitchA]Vlan 20 [SwitchA-vlan10]Port (vlan 20的端口) [SwitchA-vlan10]Int vlan 20 [SwitchA-Vlan-interface10]Ip add 20.1.1.1 255.255.255.0 [SwitchA-Vlan-interface10]quit
[SwitchA]rip [SwitchA-rip]Network 10.1.1.0
[SwitchA-rip]Network 20.1.1.0
LANSWTICHB: [SwitchB]VLAN 20 [SwitchB-vlan20]PORT (VLAN 20的端口) [SwitchB-vlan20]Int vlan 20 [SwitchB-Vlan-interface20] Ip add 20.1.1.2 255.255.255.0 [SwitchB-Vlan-interface20]Vlan 30 [SwitchB-vlan30]Port (vlan 30的端口) [SwitchB-vlan30]Int vlan 30 [SwitchB-Vlan-interface30] Ip add 30.1.1.1 255.255.255.0 [SwitchB-Vlan-interface30]quit [SwitchB]rip [SwitchB-rip]Network 20.1.1.0 [SwitchB-rip]Network 30.1.1.0
LANSWITCHC: [SwitchC]VLAN 30 [SwitchC-vlan30]PORT (VLAN 30的端口) [SwitchC-vlan30]Int vlan 30 [SwitchC-Vlan-interface30]Ip add 30.1.1.2 255.255.255.0 [SwitchC-Vlan-interface30]Vlan 40 [SwitchC-vlan40]Port (vlan 40的端口) [SwitchC-vlan40]Int vlan 40 [SwitchC-Vlan-interface40]Ip add 40.1.1.1 255.255.255.0 [SwitchC-Vlan-interface40]quit [SwitchC]rip [SwitchC-rip]Network 30.1.1.0 [SwitchC-rip]Network 40.1.1.0
|
#配置相关VLAN信息
#启动RIP协议 #从10.1.1.0网段的接口发布和接收RIP路由信息 |
l OSPF:
表3-3 OSPF协议配置
配置过程 |
注释 |
LANSWITCHA: [SwitchA]VLAN 10 [SwitchA-vlan10]PORT (VLAN 10的端口) [SwitchA-vlan10]Int vlan 10 [SwitchA-Vlan-interface10]Ip add 10.1.1.1 255.255.255.0 [SwitchA-Vlan-interface10]Vlan 20 [SwitchA-vlan20]Port (vlan 20的端口) [SwitchA-vlan20]Int vlan 20 [SwitchA-Vlan-interface20]Ip add 20.1.1.1 255.255.255.0 [SwitchA-Vlan-interface10]quit
[SwitchA]Ospf [SwitchA-ospf]Area 0 [SwitchA-ospf-area-0.0.0.0]Network 10.1.1.1 255.255.255.0 [SwitchA-ospf-area-0.0.0.0]Network 20.1.1.1 255.255.255.0
LANSWTICHB: [SwitchB]VLAN 20 [SwitchB-vlan20]PORT (VLAN 20的端口) [SwitchB-vlan20]Int vlan 20 [SwitchB-Vlan-interface20]Ip add 20.1.1.2 255.255.255.0 [SwitchB-Vlan-interface20]Vlan 30 [SwitchB-vlan30]Port (vlan 30的端口) [SwitchB-vlan30]Int vlan 30 [SwitchB-Vlan-interface30]Ip add 30.1.1.1 255.255.255.0 [SwitchB-Vlan-interface30]quit [SwitchB]Ospf [SwitchB-ospf]Area 0 [SwitchB-ospf-area-0.0.0.0]Network 20.1.1.2 255.255.255.0 [SwitchB-ospf-area-0.0.0.0]Network 30.1.1.1 255.255.255.0
LANSWITCHC: [SwitchC]VLAN 30 [SwitchC-vlan30]PORT (VLAN 30的端口) [SwitchC-vlan30]Int vlan 30 [SwitchC-Vlan-interface30]Ip add 30.1.1.2 255.255.255.0 [SwitchC-Vlan-interface30]Vlan 40 [SwitchC-vlan40]Port (vlan 40的端口) [SwitchC-Vlan40]Int vlan 40 [SwitchC-Vlan-interface40]Ip add 40.1.1.1 255.255.255.0 [SwitchC-Vlan-interface30]quit [SwitchC]Ospf [SwitchC-ospf]Area 0 [SwitchC-ospf-area-0.0.0.0]Network 30.1.1.2 255.255.255.0 [SwitchC-ospf-area-0.0.0.0]Network 40.1.1.1 255.255.255.0
|
#配置相关VLAN信息
#启动OSPF路由协议 #指定区域号 #从该网段的接口接收和发布路由信息 |
图3-3 三层交换机组播配置
说明:如图,三层交换机SwitchA通过上行口G1/1连接组播服务器,地址为192.168.0.10/24,交换机连接组播服务器接口interface vlan 100,地址为192.168.0.1。vlan10和vlan20下挂两个二层交换机SwitchB和SwitchC,地址为10.10.10.1/24和10.10.20.1/24。
需求1:在SwitchA、SwitchB和SwitchC上运行组播协议,要求L3上配置为IP PIM-SM模式
表3-4 组播配置
配置过程 |
注释 |
switchA: [SwitchA]multicast routing-enable [SwitchA]int vlan 100 [SwitchA-Vlan-interface100]ip add 192.168.0.1 255.255.255.0 [SwitchA]int vlan 10 [SwitchA-Vlan-interface10]ip add 10.10.10.1 255.255.255.0 [SwitchA-Vlan-interface10]pim SM [SwitchA-Vlan-interface10]quit [SwitchA]interface Vlan-interface 20 [SwitchA-Vlan-interface20]ip add 10.10.20.1 255.255.255.0 [SwitchA-Vlan-interface20]pim SM [SwitchA-Vlan-interface20]quit [SwitchA]pim [SwitchA-pim]c-bsr vlan 100 24 [SwitchA-pim]c-rp vlan 100
swtichB,switchC可以不配置,或者支持IGMP SNOOPING, 可以系统视图启动multicast routing-enable。 |
#使能多播路由
#在接口上启动PIM SM
#在接口上启动PIM SM
#进入PIM视图 #配置候选BSR #配置候选RP |
|
注:
1. PIM-DM的配置相对简单,只需两步:
n 在系统视图下配置multicast routing-enable
n 在接口上配置PIM-DM
n 不需要配置c-bsr和c-rp
2. 如果是二层交换机,则只需在系统视图下配置igmp-snooping即可;
3. 目前交换机的IGMP只支持V1/V2版本。
图3-4 DHCP中继配置
说明:如图,交换机SwitchA通过上行口G1/1连接DHCPserver,地址为192.168.0.10/24,交换机连接DHCP server接口interface vlan 100,地址为192.168.0.1。下挂两个用户网段,vlan10和vlan20,vlan 10包含的端口为ethernet 0/1到ethernet 0/10,网段为10.10.1.1/24,vlan 20包含端口为ethernet 0/11到ethernet 0/20,网段为10.10.2.1/24。
需求:在Switch上配置DHCP中继
表3-5 DHCP中继配置
配置过程 |
注释 |
SwitchA交换机配置:
[SwitchA]dhcp-server 0 ip 192.168.0.10
[SwitchA]vlan 100 [SwitchA-vlan100]port GigabitEthernet 1/1 [SwitchA-vlan100]q [SwitchA]interface Vlan-interface 100 [SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
[SwitchA]vlan 10 [SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10 [SwitchA-vlan10]q [SwitchA]interface Vlan-interface 10 [SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0 [SwitchA-Vlan-interface10]dhcp-server 0 [SwitchA-Vlan-interface10]q
[SwitchA-vlan10]vlan 20 [SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20 [SwitchA]interface Vlan-interface 20 [SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0 [SwitchA-Vlan-interface20]dhcp-server 0
|
#指定DHCP server0的IP地址
#配置链接DHCP server的vlan 。
#添加vlan10,网段地址为10.10.1.1/24
#指定vlan 10使用DHCP server0的地址
#添加vlan 20,网段地址为10.10.2.1/24
#指定vlan 20使用DHCP server0的地址 |
|
注:
目前中低端交换机均不支持DHCP SERVER,只能做relay。
图3-5 802.1X配置
说明:如图,交换机SwitchA通过上行口G1/1连接RADIUS server,地址为192.168.0.100/24,交换机连接RADIUS server接口interface vlan 100,地址为192.168.0.1。下挂两个用户网段,vlan10和vlan20,vlan 10包含的端口为ethernet 0/1到ethernet 0/10,网段为10.10.1.1/24,vlan 20包含端口为ethernet 0/11到ethernet 0/20,网段为10.10.2.1/24。
需求:在Switch上配置802.1X
表3-6 802.1X配置
配置过程 |
注释 |
本地认证配置: [SwitchA]vlan 100 [SwitchA-vlan100]port GigabitEthernet 1/1 [SwitchA-vlan100]quit [SwitchA]interface Vlan-interface 100 [SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
[SwitchA]vlan 10 [SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10 [SwitchA-vlan10]quit [SwitchA]interface Vlan-interface 10 [SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0 [SwitchA-Vlan-interface10]quit
[SwitchA-vlan10]vlan 20 [SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20 [SwitchA]interface Vlan-interface 20 [SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
802.1X相关配置: [SwitchA]dot1x [SwitchA]dot1x interface eth 0/1 to eth 0/10
[SwitchA]local-user test [SwitchA-user-test]service-type lan-access [SwitchA-user-test]password simple test
RADIUS认证配置
[SwitchA]dot1x [SwitchA]dot interface eth 0/1 to eth 0/10 [SwitchA]radius scheme radius1 [SwitchA-radius-radius1]primary authentication 192.168.0.100 [SwitchA-radius-radius1]primary accounting 192.168.0.100
[SwitchA-radius-radius1]key authentication test [SwitchA-radius-radius1]key accounting test
[SwitchA-radius-radius1]user-name-format without-domain [SwitchA]domain Huawei [SwitchA-isp-huawei]radius-scheme radius1 |
#本地认证不需要RADIUS server,我们可以将图1中的RADIUS server去掉。
#配置vlan 100,地址为192.168.0.1/24
#添加vlan10,网段地址为10.10.1.1/24
#添加vlan 20,网段地址为10.10.2.1/24
#采用默认基于MAC的认证方式 #只在前10个端口上开启802.1X #这里采用缺省域system,并且缺省域引用缺省radius方案system。 #如果不采用缺省域system,可以以下面的“RADIUS认证配置”为例设置,只不过服务器地址为127.0.0.1,认证/计费端口分别为1645/1646。 #添加本地用户test,密码为test(明文)
#前面的添加vlan和配置IP地址等和本地配置相同,不再重复。只讲802.1X部分
#设置认证方式为RADIUS,RADIUS认证不成功取本地认证。
#设置主认证服务器
#本例认证和计费在一个服务器中 #key应该与服务器的设置一致
#交换机送给RADIUS报文去掉域名 #增加一个域 #在域里引用前面设置的radius方案 |
|
注意:
1. 一般情况下接入端用户名需要加上域,本例客户端认证的时候输入用户名时就需要加上域名;
2. 可以在系统视图下通过命令domain default enable domain-name 来指定缺省的域名,这样如果用户进行认证的时候没有输入用户名,则采用缺省指定域名来进行认证和计费;
3. 新的版本支持对用户是否使用了代理进行检测,可以在系统视图下通过命令dot1x supp-proxy-check xxx实现;
4. 新的版本也将支持多种认证方式(PAP、CHAP、EAP-MAD5),请在系统视图下通过命令dot1x authentication-method xxx来配置(如果命令行没有这条命令,这说明当前版本不支持多种认证方式,只支持缺省的CHAP认证方式。)
图3-6 VRRP配置
说明:如图,交换机SwitchA通过ethernet 0/24与SwitchB的ethernet 0/24连接,同时连接HostA,SwitchA和SwitchB上分别创建两个虚接口,interface vlan 10和interface 20做为三层接口,其中interface vlan 10分别包含ethernet 0/24端口,interface 20包含ethernet 0/23端口,做为出口。
需求:SwitchA和 SwitchB之间做VRRP,interface vlan 10做为虚拟网关接口,Switch A为主设备,允许抢占,SwitchB为从设备,Host A主机的网关设置为VRRP虚拟网关IP192.168.100.1,进行冗余备份。访问远端主机Host B10.1.1.1/24
表3-7 VRRP 配置
配置过程 |
注释 |
SwitchA交换机配置: [SwitchA] vlan 10 [SwitchA-vlan10] port Ethernet 0/24 [SwitchA]vlan 20 [SwitchA-vlan20]port Ethernet 0/23 [SwitchA-vlan20]int vlan 20 [SwitchA-Vlan-interface20]ip add 11.1.1.1 255.255.255.252 [SwitchA-Vlan-interface20]quit [SwitchA] interface vlan 10 [SwitchA-Vlan-interface10]ip address 192.168.100.2 255.255.255.0 [SwitchA-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.100.1
[SwitchA-Vlan-interface10]vrrp vrid 1 priority 120
[SwitchA-Vlan-interface10]vrrp vrid 1 preempt-mode
[SwitchA-Vlan-interface10]vrrp vrid 1 track Vlan-interface 20 reduced 30
[SwitchA-Vlan-interface10]quit [SwitchA]ip route-static 10.1.1.1 255.255.255.0 11.1.1.2
Switch B配置: [SwitchA] vlan 10 [SwitchA-vlan10] port Ethernet 0/24 [SwitchA]vlan 20 [SwitchA-vlan20]port Ethernet 0/23 [SwitchA-vlan20]int vlan 20 [SwitchA-Vlan-interface20]ip add 12.1.1.1 255.255.255.252 [SwitchA-Vlan-interface20]quit [SwitchA] interface vlan 10 [SwitchA-Vlan-interface10]ip address 192.168.100.3 255.255.255.0 [SwitchA-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.100.1
[SwitchA-Vlan-interface10]vrrp vrid 1 preempt-mode
[SwitchA-Vlan-interface10] [SwitchA-Vlan-interface10]quit [SwitchA]ip route-static 10.1.1.1 255.255.255.0 12.1.1.2
|
#创建vlan 10,vlan 20,虚拟接口interface vlan 10,interface vlan 20.
#接口实际IP地址
#创建VRRP组1,虚拟网关为192.168.100.1 #设置VRRP组优先级为120,缺省为100
#设置为抢占模式
#设置监控端口为为interface vlan 20,如果端口Down掉优先级降低30
#配置一条到对方网段的静态路由 |
l 同网段单向访问控制
图3-7 单向访问控制
说明:如图,PCA、PCB和PCC通过交换机互连。其中PCA的IP地址为10.1.1.2/24,PCB的IP地址为10.1.1.3/24,PCC的IP地址为10.1.1.4/24
需求:PCA、PCB和PCC之间完成单向访问,即PCA可以访问PCB、PCC,但是PCB、PCC不能访问PCA
l 不同网段单向访问控制
图3-8 不同网段单向访问控制
说明:如图,PCA、PCB和PCC通过交换机互连。其中PCA的IP地址为10.1.1.2/24,PCB的IP地址为10.1.2.2/24,PCC的IP地址为10.1.3.2/24,对应的网关地址分别为10.1.1.1/24、10.1.2.1/24和10.1.3.1/24
需求:PCA、PCB和PCC之间完成单向访问,即PCA可以访问PCB、PCC,但是PCB、PCC不能访问PCA
l 同网段单向ping配置
表3-8 同一网段PING单向访问控制
配置过程 |
注释 |
PCA与交换机的e0/1端口相连,配置如下: [Quidway]acl number 100
[Quidway-acl-link-100]rule deny icmp source 1.1.1.1 0 destination 1.1.1.2 0 icmp-type echo
[Quidway]packet-filter ip-group 100 |
#配置二层访问控制规则
#配置二层访问控制子规则,禁止从任何端口的入报文出端口到e0/1
#激活该规则
|
注:
完成上面配置后,主机地址为1.1.1.1的pc除了ping不通1.1.1.2这台pc外,其余的地址都可以ping通。
l 同网段TCP单向访问配置
表3-9 同一网段TCP单向访问控制
配置方法 |
注释 |
[Quidway]acl number 100
[Quidway-acl-adv-100]rule deny tcp established source 1.1.1.1 0 destination 1.1.1.2 0
[Quidway]packet-filter ip-group 100 |
#配置三层访问控制规则
#主机ip地址为1.1.1.1的PC无法向1.1.1.2的PC发起TCP连接建立请求
#激活该规则 |
注:
1. 不同网段的单向访问配置类似,请参考上面的配置。
2. 单向访问控制一般只能对PING和TCP报文进行控制,无法对UDP报文进行控制。如果要对UDP报文进行控制,必须知道UDP报文的端口号。
3. 该配置是以S3526E为例,目前还有S6500系列和S5500可以支持如此配置,对于后两款产品来说,上面的配置仅供参考。
图3-9 双向访问控制
说明:通过配置三层交换机的acl来实现vlan之间的访问控制
需求:组网和vlan分配如图所示,要求vlan 10、20、30均可以访问server 1,但是只有vlan 10和vlan 20可以访问server 2,同时vlan 10、20、30之间不能互访。
表3-10 双向访问控制
配置过程 |
注释 |
交换机配置: [Switch] vlan 10 [Switch-vlan10] interface Vlan-interface 10 [Switch-Vlan-interface10]ip address 10.10.1.1 255.255.0.0
[Switch] vlan 20 [Switch-vlan20] interface Vlan-interface 20 [Switch-Vlan-interface20]ip address 10.20.1.1 255.255.0.0
[Switch] vlan 30 [Switch-vlan30] interface Vlan-interface 30 [Switch-Vlan-interface30]ip address 10.30.1.1 255.255.0.0
[Switch] vlan 100 [Switch-vlan100] interface Vlan-interface 100 [Switch-Vlan-interface100]ip address 10.100.1.1 255.255.0.0
[Switch] vlan 200 [Switch-vlan200] interface Vlan-interface 200 [Switch-Vlan-interface200]ip address 10.200.1.1 255.255.0.0
[Switch] acl num 100 [Switch-acl-adv-100]rule deny ip source 10.10.1.1 0.0.255.255 destination 10.20.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.10.1.1 0.0.255.255 destination 10.30.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.20.1.1 0.0.255.255 destination 10.10.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.20.1.1 0.0.255.255 destination 10.30.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.30.1.1 0.0.255.255 destination 10.10.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.30.1.1 0.0.255.255 destination 10.20.1.1 0.0.255.255
[Switch-acl-adv-100]rule deny ip source 10.30.1.1 0.0.255.255 destination 10.200.1.1 0.0.255.255
[Switch]packet-filter ip 100 |
#配置VLAN 10 #配置VLAN 10 虚接口
#配置VLAN 20 #配置VLAN 20 虚接口
#配置VLAN 30 #配置VLAN 30 虚接口
#配置VLAN 100 #配置VLAN 100 虚接口
#配置VLAN 200 #配置VLAN 200 虚接口
#配置acl访问控制列表禁止网段10.10.0.0访问网段10.20.0.0
#禁止网段10.10.0.0访问网段10.30.0.0
#禁止网段10.20.0.0访问网段10.10.0.0
#禁止网段10.20.0.0访问网段10.30.0.0
#禁止网段10.30.0.0访问网段10.10.0.0
#禁止网段10.30.0.0访问网段10.20.0.0
#禁止网段10.30.0.0访问网段10.200.0.0
#下发访问控制列表 |
注:
如果是同一网段内的双向访问控制,也可以通过端口的hybrid属性来实现,具体的内容可以参考第二章关于端口bybrid属性的配置部分。
图3-10 IP地址绑定
说明:通过对三层交换机进行ip+mac+端口的绑定,实现对合法用户上网的保护,访问恶意用户通过修改地址上网。
需求:对合法的用户进行ip+mac+端口的绑定,防止恶意用户通过更换自己的地址上网的行为。
表3-11 IP+MAC+端口的绑定
配置过程 |
注释 |
配置方法一:采用DHCP-SECURITY来实现: [Quidway]mac-address static 00e0-fca0-6500 interface e0/1 vlan 1
[Quidway]dhcp-security 10.1.1.2 00e0-fca0-6500 static
[Quidway-Vlan-interface1]dhcp-server 1
[Quidway-Vlan-interface1]address-check enable
|
#配置端口的静态MAC地址
#配置IP和MAC对应表
#配置dhcp-server组号(否则不允许执行下一步,此dhcp-server组不用在交换机上创建也可)
#使能三层地址检测
#完成此配置即可使10.1.1.2这台pc只有接到e0/1才可以上网 |
配置方法二:采用AM命令来实现 [Quidway]am enable [Quidway]int e0/1 [Quidway-Ethernet0/1]am ip-pool 10.110.91.129 10 |
#使能AM功能
#该端口只允许起始IP地址为10.110.91.129的10 IP地址上网
#上面的配置把IP地址和端口绑定起来了,MAC地址和端口的绑定参照上面的配置。IP和MAC的绑定可以通过静态ARP来实现。 |
注意:
1. 该配置以3526-0008版本为例
2. 三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。并且如果S3526系列交换机要采用AM命令来实现绑定功能,则交换机必须是做三层转发(即用户的网关应该在该交换机上)。
图3-11 各种接入控制的配置
说明:如图,三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2分别属于vlan 1、vlan 2,vlan 1、vlan 2的三层接口地址分别是1.0.0.1/8、2.0.0.1/8,上行口G 1/1是trunk端口,并允许vlan 3 通过。
需求:
1. 静态mac、端口捆绑:端口ethetnet 0/1仅仅允许pc1(mac:0.0.1)接入。
2. 动态mac、端口捆绑:端口ethetnet 0/1仅仅允许一个主机(任何mac地址)接入。
3. ip、端口捆绑:端口ethetnet 0/1仅仅允许ip地址为(ip:1.0.0.2)的主机接入
4. ip、mac捆绑:vlan 1下的主机pc1(mac:0.0.1)必须使用ip地址(ip:1.0.0.2)才可以通过交换机。
5. mac、ip、端口捆绑:端口ethetnet 0/1仅仅允许mac地址为(mac:0.0.1)而且ip地址为(ip:1.0.0.2)的主机接入。
表3-12 接入控制配置
配置过程 |
注释 |
需求1: [Quidway]acl num 200
[Quidway-acl-link-200]rule 0 deny ingress interface e0/1 egress any [Quidway-acl-link-200]rule 1 permit ingress 0.0.1 interface e0/1 egress any [Quidway-acl-link-200]quit [Quidway]packet-filter link-group 200 |
#静态mac、端口捆绑 #命令举例以S3526E为例。 #这里必须严格rule规则的顺序,否则不生效。 |
需求2: [Quidway-Ethernet0/2]mac-address max-mac-count 1 |
#动态mac、端口捆绑 |
需求3: [Quidway]acl num 1 [Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0 [Quidway-acl-basic-1]quit [Quidway]acl num 200 [Quidway-acl-link-200]rule 0 deny ingress interface e0/1 egress any [Quidway-acl-link-200]rule 1 permit ingress interface e0/1 egress any [Quidway-acl-link-200]quit [Quidway]packet-filter ip-group 1 rule 0 link-group 200 rule 0 [Quidway]packet-filter ip-group 1 rule 1 link-group 200 rule 1 |
#ip、端口捆绑
#命令举例以S3526E为例。
注:这是用QACL命令实现的,该功能在S3526系列交换机上可以使用用静态dhcp和am命令分别实现,具体情况请参考上面的内容。
|
需求4: [Quidway]acl number 1 [Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0 [Quidway-acl-basic-1]quit [Quidway]acl number 200 [Quidway-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any [Quidway-acl-link-200]rule 0 deny ingress 1 0000-0000-0001 0000-0000-0000 egress any [Quidway-acl-link-200]quit [Quidway]packet-filter ip-group 1 rule 0 link-group 200 rule 1 [Quidway]packet-filter link-group 200 rule 0 |
#ip、mac捆绑 #命令举例以S3526E为例。 |
需求5: [Quidway]acl number 1 [Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0 [Quidway-acl-basic-1]quit [Quidway]acl number 200 [Quidway-acl-link-200]rule 0 deny ingress interface Ethernet0/1 egress any [Quidway-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any [Quidway-acl-link-200]quit [Quidway]packet-filter link-group 200 rule 0 [Quidway]packet-filter ip-group 1 rule 0 link-group 200 rule 1 |
#命令举例以S3526E为例。 |
图3-12 端口限速配置
说明:如图,交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2。
需求:
1. 对进入ethetnet 0/1的流量做限速;
2. 对从ethernet 0/2出的流量做限制(流量的粒度与产品有关)。
表3-13 端口限速配置
配置过程 |
注释 |
需求1: [Quidway]acl num 200 [Quidway-acl-link-200]rule 0 permit ingress any egress any [Quidway-acl-link-200]quit [Quidway]interface e0/1 [Quidway-Ethernet0/1]traffic-limit inbound link-group 200 8
需求2: [Quidway-Ethernet0/1]interface e0/2 [Quidway-Ethernet0/2]line-rate 8 |
#命令举例以S3526E为例。 |
注:
1. 目前低端交换机中只有S3X00E和S3050系列交换机支持端口限速
2. S3X00E和S3050百兆口的粒度为1M,千兆口的粒度为8M
3. 中端交换机也支持该功能,由于S6506还没有提供新命令行版本,相关配置在下一个版本的配置案例中提供。
图3-13 基于流限速的配置
说明:如图,三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2分别属于vlan 1、vlan 2,vlan 1、vlan 2的三层接口地址分别是1.0.0.1/8、2.0.0.1/8,上行口G 1/1是trunk端口,并允许vlan 3 通过。
需求:
¨ 对位于ethetnet 0/1下的pc1(mac:0.0.1)进入端口的流量做限速。
¨ 对位于ethetnet 0/1下的pc1(mac:0.0.1)访问本vlan的流量做限速。
¨ 对位于ethetnet 0/2下的pc2(ip:2.0.0.2)进入端口的流量做限速。
¨ 对pc1到pc2的流量做限速。
¨ 在上行口对vlan 3外出的流量做限速。
表3-14 基于流的限速配置
配置过程 |
注释 |
需求1: [Quidway]acl num 200 [Quidway-acl-link-200]rule 0 permit ingress 0.0.1 0-0-0 egress any [Quidway-acl-link-200]quit [Quidway]interface e0/1 [Quidway-Ethernet0/1]traffic-limit inbound link-group 200 8 |
#命令举例以S3526E为例。 |
需求2: [Quidway]acl num 200 [Quidway-acl-link-200]rule 0 permit ingress 0.0.1 egress 1 [Quidway-acl-link-200]quit [Quidway]interface e3/0/1 [Quidway-Ethernet3/0/1]traffic-limit inbound link-group 200 20480 |
#命令举例以S6506为例。S3526E不支持目的vlan,而S6506、S5516支持。
#假设FE在3槽位 |
需求3: [Quidway]acl num 200 [Quidway-acl-link-200]rule 0 permit ingress 0.0.2 0-0-0 egress any [Quidway-acl-link-200]quit [Quidway]interface e0/2 [Quidway-Ethernet0/2]traffic-limit inbound link-group 200 6 |
#命令举例以S3526E为例。 |
需求4: [Quidway]acl num 200 [Quidway-acl-link-200]rule 0 permit ingress interface e0/1 egress interface e0/2 [Quidway-acl-link-200]quit [Quidway]interface e0/1 [Quidway-Ethernet0/1]traffic-limit inbound link-group 200 6 |
#命令举例以S3526E为例。 |
需求5: [Quidway]acl num 200 [Quidway-acl-link-200]rule 0 permit ingress 3 egress any [Quidway-acl-link-200]quit [Quidway]interface e3/0/3 [Quidway-Ethernet3/0/3]traffic-limit outbound link-group 200 20480 |
#命令举例以S6506为例。S3526E不支持出限速,而S6506支持。
#假设FE板在3槽位 |
注:
上面以S6506为例的配置仅供参考,在下一版本的配置案例中将给出S6506相关的完整配置。
图3-14 各种流动作的配置
说明:如图,三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2分别属于vlan 1、vlan 2,vlan 1、vlan 2的三层接口地址分别是1.0.0.1/8、2.0.0.1/8,上行口G 1/1是trunk端口,并允许vlan 3 通过。
需求:
1. 访问控制:允许位于ethetnet 0/1下的pc1(ip:1.0.0.2)进入端口的流量,拒绝pc3(ip:1.0.0.3)的流量通过端口进入交换机。
2. 带宽保证:保证位于ethetnet 0/1下的主机(ip网段:1.0.0.0/8)在上行口端口有70mbps带宽。
3. 拥塞避免:位于ethetnet 0/1下的主机(ip网段:1.0.0.0/8)在上行口端口有70mbps带宽,当流量超过时,为了避免同步丢失,启用RED。
4. 优先级标记:对源于pc1(ip:1.0.0.2)的报文打上ef标记,并在上行口启用diff以保证pc1发出的流量得到相应的服务登记。
5. 队列调度:当上行口发生拥塞时,保证pc2(ip:2.0.0.2)发出的报文得到优先转发。
6. 流量统计:对主机pc1(ip:1.0.0.2)进入端口的流量进行统计,以作为计费依据。
7. 流重定向:将pc1到pc2的报文重定向到cpu。
表3-15 其他流动作的配置
配置过程 |
注释 |
需求1:
|
#该配置请参考本章第八部分,此处不再重复。 |
需求2: [Quidway]acl num 1 [Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0 [Quidway-acl-basic-1]quit [Quidway]inter e3/0/1 [Quidway-Ethernet3/0/1]traffic-bandwidtch outbround ip-group 1 64 128 80 |
#命令举例以S6506为例。S3526E不能实现基于流的随即丢弃。同时,S6506此功能只支持出方向的,入方向的不支持。 |
需求3: [Quidway]acl num 1 [Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0 [Quidway-acl-basic-1]quit [Quidway]inter e0/1 [Quidway-Ethernet0/1]traffic-red outbround ip-group 1 64 128 80 |
#命令举例以S6506为例。S3526E不能实现基于流的随即丢弃。同时,S6506此功能只支持出方向的,入方向的不支持。 |
需求4: [Quidway]acl num 1 [Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0 [Quidway-acl-basic-1]quit [Quidway]traffic-priority ip-group 1 dscp ef |
#命令举例以S3526E为例。 |
需求5: [Quidway]acl num 1 [Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0 [Quidway-acl-basic-1]quit [Quidway]traffic-priority ip-group 1 local-precedence 7 [Quidway] queue-scheduler strict-priority |
#命令举例以S3526E为例。 |
需求6: [Quidway]acl num 1 [Quidway-acl-basic-1]rule 0 permit source 1.0.0.2 0 [Quidway-acl-basic-1]quit [Quidway]acl num 200 [Quidway-acl-link-200]rule 0 permit ingress interface e0/1 egress any [Quidway-acl-link-200]quit [Quidway]traffic-statistic ip-group 1 link-group 200 rule 0 |
#命令举例以S3526E为例。 |
需求7: [Quidway]acl num 200 [Quidway-acl-link-200]rule 0 permit ingress interface e0/1 egress interface e0/2 [Quidway-acl-link-200]quit [Quidway] traffic-redirect link-group 200 cpu |
#命令举例以S3526E为例。 |
注:
上面以S6506为例的配置仅供参考,在下一版本的配置案例中将给出S6506相关的完整配置。