华为交换机各种配置实例[网管必学]

1、华为交换机各种配置实例 网管必学交换机配置(一)端口限速基本配置华为 3Com2000_EI、S2000-SI、S3000-SI、S3026E、S3526E S3528 S3552、S3900、S3O50 S5012、S5024、S5600系列: 华为交换机端口限速2000_EI系列以上的交换机都可以限速！ 限速不同的交换机限速的方式不一样 !2000_EI 直接在端口视图下面输入 LINE-RATE (4 )参数可选 ！端口限速配置1 功能需求及组网说明端口限速配置配置环境参数1. PC1 和 PC2 的 IP 地址分别为 10.10.1.1/24、10.10.1.2/24组网需求1. 在S

2、witchA上配置端口限速，将 PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps2 数据配置步骤S2000EI系列交换机端口限速配置流程 使用以太网物理端口下面的 line-rate 命令，来对该端口的出、入报文进行流量限速。【 SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到 3MbpsSwitchA- Ethernet0/1line-rate outbound 303. 对端口 E0/1 的入方向报文进行流量限速，限制到 1MbpsSwit

3、chA- Ethernet0/1line-rate inbound 16【补充说明】报文速率限制级别取值为1127。如果速率限制级别取值在128范围内，则速率限制的粒度为 64Kbps,这种情况下，当设置 的级别为N，则端口上限制的速率大小为 N*64K ;如果速率限制级别取值在 29127范围内，则速率限制的粒度为1Mbps，这 种情况下，当设置的级别为 N，则端口上限制的速率大小为（N-27）*1Mbps。此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI。S2000-SI和S3000-SI系列交换机端口限速配置流程使用以太网物理端口下面的lin e-rat

4、e命令，来对该端口的出、入报文进行流量限速。SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到 6MbpsSwitchA- Ethernet0/1line-rate outbound 23. 对端口 E0/1 的入方向报文进行流量限速，限制到 3MbpsSwitchA- Ethernet0/1line-rate inbound 1【补充说明】对端口发送或接收报文限制的总速率，这里以8个级别来表示，取值范围为18,含义为：端口工作在10M速率时，18分别表示 312K,

5、625K, 938K, 1.25M , 2M , 4M , 6M , 8M ;端口工作在 100M 速率时，1 8 分别表示 3.12M , 6.25M , 9.38M , 12.5M, 20M40M60M80M 。此系列交换机的具体型号包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl ,使用以太网物理端口下面的traffic-limit 命令 对端口的入方向报文进行流量限速。【 Switc

6、hA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到 3MbpsSwitchA- Ethernet0/1line-rate 33. 配置acl,定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口 E0/1 的入方向报文进行流量限速,限制到 1MbpsSwitchA- Ethernet0/1traffic-limit inbound link-g

7、roup 4000 1 exceed drop【补充说明】line-rate 命令直接对端口的所有出方向数据报文进行流量限制,而 traffic-limit 命令必须结合 acl 使用,对匹配了指定访问控制列 表规则的数据报文进行流量限制。在配置 acl 的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口 的入方向数据报文进行流量限制。端口出入方向限速的粒度为 1Mbps。此系列交换机的具体型号包括：S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T 和 S5024G。S3528 S3552系列交换机端口限速配置流程使用以太网物理端口下面的

8、traffic-shape 和 traffic-limit 命令，分别来对该端口的出、入报文进行流量限速。【 SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到 3MbpsSwitchA- Ethernet0/1traffic-shape 3250 32503. 配置acl,定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口 E0/

9、1 的入方向报文进行流量限速,限制到 1MbpsSwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop 【补充说明】此系列交换机的具体型号包括：S3528G/P和S3552G/P/F。S3900系列交换机端口限速配置流程traffic-limit使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的 命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。SwitchA 相关配置】1. 进入

10、端口 E1/0/1 的配置视图SwitchAinterface Ethernet 1/0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到 3MbpsSwitchA- Ethernet1/0/1line-rate 30003. 配置acl,定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口 E0/1 的入方向报文进行流量限速,限制到 1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-gro

11、up 4000 1000 exceed drop【补充说明】line-rate 命令直接对端口的所有出方向数据报文进行流量限制,而 traffic-limit 命令必须结合 acl 使用,对匹配了指定访问控制列 表规则的数据报文进行流量限制。在配置 acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口 的入方向数据报文进行流量限制。端口出入方向限速的粒度为 64Kbps。此系列交换机的具体型号包括：S3924 S3928P/F/TP和S3952RS5600系列交换机端口限速配置流程 使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合

12、acl,使用以太网物理端口下面的traffic-limit 命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【 SwitchA 相关配置】1. 进入端口 E1/0/1 的配置视图SwitchAinterface Ethernet 1/0/12. 对端口 E0/1 的出方向报文进行流量限速,限制到 3MbpsSwitchA- Ethernet1/0/1line-rate 30003. 配置acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4.

13、对端口 E0/1 的入方向报文进行流量限速，限制到 1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop【补充说明】line-rate 命令直接对端口的所有出方向数据报文进行流量限制，而 traffic-limit 命令必须结合 acl 使用，对匹配了指定访问控制列 表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制 端口出入方向限速的粒度为 64Kbps。此系列交换机的具体型号包括：S5624

14、P/F和S5648P。交换机配置(二)端口绑定基本配置1，端口 +MACa)AM 命令使用特殊的 AM User-bind 命令，来完成 MAC 地址与端口之间的绑定。例如：SwitchAam user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的 MAC地址的PC机则无法上网。但是 PC1使用该MAC地址可以在其他端口上网。b)mac-address命令使用mac-address static命令，来完成 MAC地址与端口之间

15、的绑定。例如：SwitchAmac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1 SwitchAmac-address max-mac-count 0 配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口 mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。2， IP+MACa) AM 命令使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22

16、-f8d3配置说明：以上配置完成对 PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何 端口都无法上网。支持型号： S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb) arp 命令使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如：SwitchAarp static 10.1.1.2 00e0-fc22-f8d3配置说明：以上配置完成对 PC机的IP地址和MAC地址的全局绑定。3，端口 +IP+MAC使用特殊的 AM

17、User-bind 命令，来完成 IP、MAC 地址与端口之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明：可以完成将 PC1的IP地址、MAC地址与端口 E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物， 即此时端口 E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是 PC1使用该IP地址和 MAC 地址可以在其他端口上网。支持型号： S3026E/S3026E-FM/S3026-FS；

18、S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S6500（3代引擎）交换机配置（三） ACL 基本配置1 ，二层 ACL. 组网需求 :通过二层访问控制列表，实现在每天8:0018:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。 该主机从 GigabitEthernet0/1 接入。.配置步骤 :（1）定义时间段# 定义 8:00至 18:00的周期时间段。Quidway time-range huawei 8

19、:00 to 18:00 daily(2) 定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的 ACL # 进入基于名字的二层访问控制列表视图，命名为 traffic-of-link 。Quidway acl name traffic-of-link link# 定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-f

20、c01-0303 0-0-0 time-range huawei(3) 激活 ACL 。# 将 traffic-of-link 的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter link-group traffic-of-link2，三层 ACLa)基本访问控制列表配置案例. 组网需求 :通过基本访问控制列表，实现在每天8:0018:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernetO/1接入。. 配置步骤 :(1) 定义时间段# 定义 8:00至 18:00的周期时间段。Quidway time-

21、range huawei 8:00 to 18:00 daily(2) 定义源 IP 为 10.1.1.1 的 ACL# 进入基于名字的基本访问控制列表视图，命名为 traffic-of-host 。Quidway acl name traffic-of-host basic# 定义源 IP 为 10.1.1.1 的访问规则。Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei(3) 激活 ACL 。# 将 traffic-of-host 的 ACL 激活。Quidway-Gig

22、abitEthernet0/1 packet-filter inbound ip-group traffic-of-hostb)高级访问控制列表配置案例.组网需求:公司企业网通过 Switch 的端口实现各部门之间的互连。研发部门的由 GigabitEthernet0/1 端口接入，工资查询服务器的地址为129.110.1.2。要求正确配置 ACL ，限制研发部门在上班时间 8:00至 18:00访问工资服务器。.配置步骤 :(1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidway time-range huawei 8:00 to 18:00 working-day

23、(2) 定义到工资服务器的 ACL# 进入基于名字的高级访问控制列表视图，命名为 traffic-of-payserver 。Quidway acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei(3) 激活 ACL 。# 将 traffic-of-payserver 的 ACL 激活。Quidway-Gigab

24、itEthernet0/1 packet-filter inbound ip-group traffic-of-payserver 3，常见病毒的 ACL创建 aclacl number 100禁 pingrule deny icmp source any destination any用于控制 Blaster 蠕虫的传播rule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病

25、毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destination any destination-port eq netbios-dgm rule deny tcp sour

26、ce any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port

27、eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995rule deny tcp sourc

28、e any destination any destination-port eq 9996 用于控制Worm_MSBIast.A蠕虫的传播rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号（可以不作）ruledeny tcpsource anydestinationany destination-port eq 1068ruledeny tcpsource anydestinationany destination-port eq 5800ruledeny tcpsource anyde

29、stinationany destination-port eq 5900ruledeny tcpsource anydestinationany destination-port eq 10080ruledeny tcpsource anydestinationany destination-port eq 455rule deny udp source any destination any destination-port eq 455 ruledeny tcpsource anydestinationany destination-port eq 3208ruledeny tcpsou

30、rce anydestinationany destination-port eq 1871ruledeny tcpsource anydestinationany destination-port eq 4510rule deny udp source any destination any destination-port eq 4334 ruledeny tcpsource anydestinationany destination-port eq 4331ruledeny tcpsource anydestinationany destination-port eq 4557然后下发配

31、置packet-filter ip-group 100 目的：针对目前网上出现的问题，对目的是端口号为1434的 UDP 报文进行过滤的配置方法，详细和复杂的配置请看配置手册。NE80 的配置：NE80(config)#rule-map r1 udp any any eq 1434r1为role-map的名字，udp为关键字，any any所有源、目的IP, eq为等于，1434为udp端口号 NE80(config)#acl a1 r1 denya1为acl的名字，r1为要绑定的rule-map的名字，NE80(config-if-Ethernet1/0/0)#access-group ac

32、l a1/在 1/0/0 接口上绑定 acl， acl 为关键字， a1 为 acl 的名字NE16 的配置：NE16-4(config)#firewall enable all/首先启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434/deny为禁止的关键字，针对udp报文，any any为所有源、目的IP, eq为等于，1434为udp端口号NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in/ 在接口上启用 access-lis，t in 表示进来的报文，也可以用

33、out 表示出去的报文 中低端路由器的配置Routerfirewall enableRouteracl 101Router-acl-101rule deny udp source any destion any destination-port eq 1434 Router-Ethernet0firewall packet-filter 101 inbound6506 产品的配置：旧命令行配置如下：6506(config)#acl extended aaa deny protocol udp any any eq 1434 6506(config-if-Ethernet5/0/1)#acces

34、s-group aaa 国际化新命令行配置如下：Quidwayacl number 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidway-acl-adv-100quitQuidwayinterface ethernet 5/0/1 Quidway-Ethernet5/0/1packet-filter inbound ip-group 100 not-care-for-interface5516 产品的配置： 旧命令行配置如下：5516(config)#rul

35、e-map l3 aaa protocol-type udp ingress any egress any eq 1434 5516(config)#flow-action fff deny5516(config)#acl bbb aaa fff5516(config)#access-group bbb 国际化新命令行配置如下：Quidwayacl num 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidwaypacket-filter ip-group 10

36、03526 产品的配置：旧命令行配置如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434 flow-action f1 denyacl acl1 r1 f1 access-group acl1国际化新命令配置如下：acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注： 3526 产品只能配置外网对内网的过滤规则，其中1.1.0.0 25

37、5.255.0.0是内网的地址段。8016 产品的配置：旧命令行配置如下：8016(config)#rule-map intervlan aaa udp any anyeq 14348016(config)#acl bbb aaa deny8016(config)#access-group acl bbb vlan 10 port all国际化新命令行配置如下：8016(config)#rule-map intervlan aaa udp any anyeq 14348016(config)#eacl bbb aaa deny8016(config)#access-group eacl bbb

38、 vlan 10 port all防止同网段 ARP 欺骗的 ACL、组网需求：1. 二层交换机阻止网络用户仿冒网关 IP 的 ARP 攻击 二、组网图：图 1 二层交换机防 ARP 攻击组网S3552P是三层设备，其中IP: 100.1.1.1是所有PC的网关，S3552P上的网关 MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义 ACL （number为5000到5999）的交换机，可以配置 ACL来进行ARP报文过滤。 全局配置

39、 ACL 禁止所有源 IP 是网关的 ARP 报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分 64010101是网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文，斜体部分为网关的 mac地址000f-e200-3999。注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。在 S3026C

40、-A 系统视图下发 acl 规则：S3026C-A packet-filter user-group 5000arp 响应报文这样只有S3026C_A上连网关设备才能够发送网关的 ARP报文，其它主机都不能发送假冒网关的 三层交换机实现仿冒网关的 ARP 防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关 IP 的 ARP 攻击二、组网图图 2 三层交换机防 ARP 攻击组网三、配置步骤1. 对于三层设备，需要配置过滤源 IP 是网关的 ARP 报文的 ACL 规则，配置如下 ACL 规则： acl number 5000rule 0 deny 0806 ffff 24 6401

41、0105 ffffffff 40ruleO禁止S3526E的所有端口接收冒充网关的 ARP报文，其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。2. 下发 ACL 到全局S3526E packet-filter user-group 5000仿冒他人 IP 的 ARP 防攻击一、组网需求：作为网关的设备有可能会出现错误 ARP 的表项，因此在网关设备上还需对用户仿冒他人 IP 的 ARP 攻击报文进行过滤。二、组网图： 参见图 1 和图 2三、配置步骤：1. 如图1所示，当PC-B发送源IP地址为PC-D的arp reply攻击报文，源 mac是PC-B的mac

42、 (000d-88f8-09fa)，源ip是PC-D 的ip(100.1.1.3),目的ip和mac是网关(3552P)的，这样3552上就会学习到错误的arp,如下所示：- 错误 arp 表项 IP AddressMAC AddressVLAN IDPort NameAging Type100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic从网络连接可以知道 PC-D 的 arp 表项应该学习到端口 E0/8 上，而不应该学习到 E0/2 端口上。但实际上交换机上学习到该

43、 ARP 表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击:arp static 100.1.1.3 000f-3d81-45b4 1 e0/82. 在图2 S3526C上也可以配置静态 ARP来防止设备学习到错误的 ARP表项。3. 对于二层设备（S3050C和S3026E系列），除了可以配置静态 ARP外，还可以配置IP+ MAC + port绑定，比如在S3026C端 口 E0/4 上做如下操作:am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4则IP为100.1.1.4并且MAC为000d-8

44、8f8-09fa的ARP报文可以通过E0/4端口，仿冒其它设备的 ARP报文则无法通过，从而不 会出现错误 ARP 表项。四、配置关键点:此处仅仅列举了部分 Quidway S 系列以太网交换机的应用。 在实际的网络应用中， 请根据配置手册确认该产品是否支持用户自定 义 ACL 和地址绑定。仅仅具有上述功能的交换机才能防止 ARP 欺骗。5，关于 ACL 规则匹配的说明a） ACL 直接下发到硬件中的情况交换机中 ACL 可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。 此时一条 ACL 中多个子规则的匹配顺序是 由交换机的硬件决定的，用户即使在定义 ACL 时配置了匹配顺序也不

45、起作用。ACL 直接下发到硬件的情况包括：交换机实现 QoS 功能时引用 ACL 、硬件转发时通过 ACL 过滤转发数据等b） ACL 被上层模块引用的情况交换机也使用 ACL 来对由软件处理的报文进行过滤和流分类。此时 ACL 子规则的匹配顺序有两种： config （指定匹配该规则时 按用户的配置顺序）和auto （指定匹配该规则时系统自动排序，即按“深度优先”的顺序）。这种情况下用户可以在定义 ACL的 时候指定一条 ACL 中多个子规则的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序，就不能再更改该顺序。只有把该 列表中所有的规则全部删除后，才能重新指定其匹配顺序。ACL被软件引用

46、的情况包括：路由策略引用 ACL、对登录用户进行控制时引用 ACL等。交换机配置（四）密码恢复说明：以下方法将删除原有 config 文件，使设备恢复到出厂配置。在设备重启时按 Ctrl+B 进入 BOOT MENU 之后，Press Ctrl-B to enter Boot Menu. 5Password : 缺省为空，回车即可1. Download application file to flash2. select application file to boot3. Display all files in flash4. Delete file from Flash5. Modify

47、 bootrom password0. Reboot选择 4File Size(bytes)Enter your choice(0-5): 4No. File Name2wnm2.2.2-0005.zip4478273snmpboots44 *R0023P01.app29856915hostkey4286serverkey5727vrpcfg.txt12811 S3026CGSSI.btm257224Free Space : 3452928 bytesThe current application file is R0023P01.appPlease input the file number

48、 to delete: 7选择 7,删除当前的配置文件Do you want to delete vrpcfg.txt now? Yes or No(Y/N)yDelete file.done!BOOT MENU1. Down load applicati on file to flash2. select application file to boot3. Display all files in flash4. Delete file from Flash5. Modify bootrom password0. Reboot选择0,重启设备Enter your choice(0-5):0

49、注：删除之后交换机就恢复了出厂配置交换机配置(五)三层交换配置1, 三层交换数据包转发流程图：2, 三层交换机配置实例：服务器1双网卡，内网IP:192.168.0.1,其它计算机通过其代理上网PORT1 属于 VLAN1PORT2 属于 VLAN2PORT3 属于 VLAN3VLAN1 的机器可以正常上网配置 VLAN2 的计算机的网关为： 192.168.1.254配置 VLAN3 的计算机的网关为： 192.168.2.254即可实现 VLAN 间互联如果 VLAN2 和 VLAN3 的计算机要通过服务器 1 上网则需在三层交换机上配置默认路由系统视图下： ip route-static

50、 0.0.0.0 0.0.0.0 192.168.0.1然后再在服务器 1 上配置回程路由进入命令提示符route add 192.168.1.0 255.255.255.0 192.168.0.254route add 192.168.2.0 255.255.255.0 192.168.0.254这个时候 vlan2 和 vlan3 中的计算机就可以通过服务器 1 访问 internet 了 3，三层交换机 VLAN 之间的通信VLAN 的划分应与 IP 规划结合起来，使得一个 VLAN 接口 IP 就是对应的子网段就是某个部门的子网段， VLAN 接口 IP 就是一 个子网关。 VLAN

51、应以部门划分，相同部门的主机 IP 以 VLAN 接口 IP 为依据划归在一个子网范围，同属于一个 VLAN 。这样不 仅在安全上有益，而且更方便网络管理员的管理和监控。注意：各 VLAN 中的客户机的网关分别对应各 VLAN 的接口 IP。在这企业网中计划规划四个 VLAN 子网对应着四个重要部门，笔者认为这也是小企业最普遍的部门结构，分别是：VLAN10 综合行政办公室；VLAN20 销售部；VLAN30 财务部；VLAN40 数据中心（网络中心） 。划分 VLAN 以后，要为每一个 VLAN 配一个“虚拟接口 IP 地址”。VLAN10 192.168.10.1VLAN20 192.16

52、8.20.1VLAN30 192.168.30.1VLAN40 192.168.40.1拓朴图如下：VLAN 及路由配置1. DES-3326SR 三层交换机的 VLAN 的配置过程：（ 1）创建 VLANDES-3326SR#Config vlan default delete 1 -24DES-3326SR#Create vlan vlan10 tag 10DES-3326SR#Create vlan vlan20 tag 20DES-3326SR#Create vlan vlan30 tag 30DES-3326SR#Create vlan vlan40 tag 40（ 2）添加端口到各

53、 VLANDES-3326SR#Config vian vian10 add untag 1-6DES-3326SR#Config vian vian20 add untag 7-12DES-3326SR#Config vian vian30 add untag 13-18DES-3326SR#Config vian vian40 add untag 19-24（3）创建 VLAN 接口 IPVLAN（default） 包含的端口 1-24VLAN名为vian10，并标记VID为10VLAN名为vian20,并标记VID为20VLAN名为vian10,并标记VID为30VLAN名为vian10

54、,并标记VID为401 -6添加到 VLAN101-6 添加到 VLAN201-6 添加到 VLAN301-6 添加到 VLAN40if10 给名为 VLAN10 的 VLAN 子网，DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabied并且指定该接口的IP为192.168.10.1/24创建后enabied激活该接口同样方法设置其它的接口IP：DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabledDES-3326SR#Create ipif if

55、30 192.168.30.1/24 VLAN30 state enabledDES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled（4）路由当配置三层交换机的三层功能时，如果只是单台三层交换机，只需要配置各 VLAN 的虚拟接口就行，不再配路由选择协议。 因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现，因此不需要静态路由或动态路由协议的配置。2. DES-3226S 二层交换机的 VLAN 的配置过程：（ 1）创建 VLANDES-3226S#Config vlan default delete 1 -24VLAN（default） 包含的端口 1-24DES-3226S#Create vlan vian10 tag 10VLAN 名为 vian10,并标记 VID 为 10（2）添加端口到各 VLANDES-3226S#Config vlan vlan10 add untag 1-241-24添加到 VLAN10同理，配置其它DES-3226S二层交换机。完成以后就可以将各个所属VLAN的二层交换机与DES-3326SR三层交换机的相应 VLAN 的端口连接即可。交换机配置（六）端口镜像配置【3026等交换机镜像】S2