h3c交换机基本配置培训

交换机基本配置及网络维护培训ISSUE 1.0日期： 2009.4.3杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n 第一章 VLAN原理及基本配置n 第二章 STP原理及基本配置n 第三章 ACL原理及基本配置n 第四章 设备管理基本配置n 第五章 常用维护方法和命令目录 3VLAN的产生原因广播风暴广播广播传统的以太网是广播型网络，网络中的所有主机通过 HUB或交换机相连，处在同一个广播域中 4通过 路由器隔离广播域路由器路由器广播广播 5通过 VLAN划分广播域Broadcast Domain 1VLAN 10 Broadcast Domain 2VLAN 20Broadcast Domain 3VLAN 30市场部工程部 财务部 6以太网端口的链路类型lAccess link：只能允许某一个 VLAN的untagged数据流通过。lTrunk link：允许多个 VLAN的 tagged数据流和某一个 VLAN的 untagged数据流通过。lHybrid link：允许多个 VLAN的 tagged数据流和多个 VLAN的 untagged数据流通过。l Hybrid端口可以允许多个 VLAN的报文发送时不携带标签，而 Trunk端口只允许缺省 VLAN的报文发送时不携带标签。l 三种类型的端口可以共存在一台设备上 7Access Link和 Trunk LinkAccess linkTrunk 8Trunk Link和 VLANVLAN10VLAN2 VLAN10 VLAN3 VLAN2 VLAN10 VLAN5 VLAN5 VLAN2VLAN5广播报文发送广播报文发送Trunk L 9VLAN2 VLAN3VLAN3 VLAN2带有带有 VLAN3标签的以太网帧标签的以太网帧带有带有 VLAN2标签的以太网帧标签的以太网帧不带不带 VLAN标签的标签的以太网帧以太网帧数据帧在网络通信中的变化 10VLAN配置命令（ 1）创建 VLAN. vlan 100 (1-4094)删除 VLAN. undo vlan 100 (1-4094)在 VLAN中增加端口 .port Ethernet 2/0/1在 VLAN中删除端口 .undo port Ethernet 2/0/1将端口加入 VLAN port access vlan 100 (1-4094)将端口脱离 VLAN undo port access vlan 100 (1-4094)显示 VLAN信息display vlan VLAN ID (1-4094) 11VLAN配置命令（ 2）定义端口属性为 Trunk. port link-type trunk删除端口 Trunk属性 .undo port link-type定义端口可以传输的 VLAN.port trunk permit vlan VLAN ID 在 VLAN中删除端口 . undo port trunk permit vlan VLAN ID 12配置 VLAN虚接口为已存在的 VLAN创建对应的 VLAN接口，并进入VLAN接口视图interface Vlan-interface vlan-id删除一个 VLAN接口undo interface Vlan-interface*缺省情况下，在交换机上不存在 VLAN接口*可以通过 ip address命令配置 IP地址，使接口可以为在该VLAN范围内接入的设备提供基于 IP层的数据转发功能*在创建 VLAN接口之前，必须先创建对应的 VLAN，否则无法创建 VLAN接口 13配置 IP地址ip address命令用来配置 VLAN接口 /LoopBack接口的 IP地址和掩码undo ip address命令用来删除 VLAN接口 /LoopBack接口的IP地址和掩码ip address ip-address mask | mask-length sub undo ip address ip-address mask | mask-length sub *在一般情况下，一个 VLAN接口 /LoopBack接口 /网络管理接口配置一个IP地址即可，但为了使交换机的一个 VLAN接口 /LoopBack接口 /网络管理接口可以与多个子网相连，一个 VLAN接口 /LoopBack接口 /网络管理接口最多可以配置多个 IP地址，其中一个为主 IP地址，其余为从 IP地址 14静态路由的配置命令和示例H3Cip route-static ip-address mask | masklen interface-type interfacce-name | nexthop-address preference value reject | blackhole 例如：ip route-static 16 ip route-static ip route-static 16 Serial 2/0 15主从 IP地址举例 16VLAN配置举例为保证部门间数据的二层隔离，现要求将 PC1和 Server1划分到 VLAN100中， PC2和 Server2划分到 VLAN200中。并分别为两个 VLAN设置描述字符为“Dept1”和 “Dept2”在 SwitchA上配置 VLAN接口，对 PC1发往 Server2的数据进行三层转发。两个部门分别使用 /24和 /24两个网段 17配置 Switch A# 创建 VLAN100，并配置 VLAN100的描述字符串为 “Dept1”，将端口 Ethernet1/0/1加入到 VLAN100。system-viewSwitchA vlan 100SwitchA-vlan100 description Dept1SwitchA-vlan100 port Ethernet 1/0/1SwitchA-vlan100 quit# 创建 VLAN200，并配置 VLAN200的描述字符串为 “Dept2”。SwitchA vlan 200SwitchA-vlan200 description Dept2SwitchA-vlan200 quit# 创建 VLAN100和 VLAN200的接口， IP地址分别配置为 和 ，用来对 PC1发往 Server2的报文进行三层转发。SwitchA interface Vlan-interface 100SwitchA-Vlan-interface100 ip address 24SwitchA-Vlan-interface100 quitSwitchA interface Vlan-interface 200SwitchA-Vlan-interface200 ip address 24 18配置 Switch B# 创建 VLAN100，并配置 VLAN100的描述字符串为 “Dept1”，将端口Ethernet1/0/13加入到 VLAN100。system-viewSwitchB vlan 100SwitchB-vlan100 description Dept1SwitchB-vlan100 port Ethernet 1/0/13SwitchB-vlan103 quit# 创建 VLAN200，并配置 VLAN200的描述字符串为 “Dept2”，将端口Ethernet1/0/11和 Ethernet1/0/12加入到 VLAN200。SwitchB vlan 200SwitchB-vlan200 description Dept2SwotchB-vlan200 port Ethernet1/0/11 Ethernet 1/0/12SwitchB-vlan200 19配置 Switch A和 Switch B之间的链路由于 Switch A和 Switch B之间的链路需要同时传输 VLAN100和 VLAN200的数据，所以可以配置两端的端口为 Trunk端口，且允许这两个 VLAN的报文通过。# 配置 Switch A的 Ethernet1/0/2端口。SwitchA interface Ethernet 1/0/2SwitchA-Ethernet1/0/2 port link-type trunkSwitchA-Ethernet1/0/2 port trunk permit vlan 100SwitchA-Ethernet1/0/2 port trunk permit vlan 200# 配置 Switch B的 Ethernet1/0/10端口。SwitchB interface Ethernet 1/0/10SwitchB-Ethernet1/0/10 port link-type trunkSwitchB-Ethernet1/0/10 port trunk permit vlan 100SwitchB-Ethernet1/0/10 port trunk permit vlan 200 20注意事项lVLAN 1-缺省就有，不需要创建，也无法删除-不建议用作业务 VLAN-可以用作管理 VLAN lTrunk链路-只允许所需的 VLAN通过，不要配置port trunk permit vlan all-最好配置上 undo port trunk permit vlan 1n 第一章 VLAN原理及基本配置n 第二章 STP原理及基本配置n 第三章 ACL原理及基本配置n 第四章 设备管理基本配置n 第五章 常用维护方法和命令目录 22生成树lSTP（ Spanning Tree Protocol，生成树协议）是根据 IEEE协会制定的 802.1D标准建立的，用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路，并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。 23STP配置命令启动全局 STP特性 stp enable关闭全局 STP特性 undo stp enable*全局开启后，每个接口下的 STP功能也被打开接口视图下关闭 STP特性 stp disable接口下开启 STP特性 stp 24STP的交换机保护功能1. Root保护功能由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前根桥会失去根桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。stp root primary命令用来指定当前交换机作为指定生成树实例的根桥。undo stp root命令用来取消当前交换机作为指定生成树实例的根桥资格。stp instance 0 root 25STP优化 -边缘端口边缘端口是指不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口，那么当该端口由阻塞状态向转发状态迁移时，这个端口可以实现快速迁移，而无需等待延迟时间。在交换机没有开启 BPDU保护的情况下，如果被设置为边缘端口的端口上收到来自其它端口的 BPDU报文，则该端口会重新变为非边缘端口。对于直接与终端相连的端口，请将该端口设置为边缘端口，同时启动 BPDU保护功能。这样既能够使该端口快速迁移到转发状态，也可以保证网络的安全。 26边缘端口配置stp edged-port enable命令用来将当前的以太网端口配置为边缘端口stp edged-port disable命令用来将当前的以太网端口配置为非边缘端口undo stp edged-port命令用来将当前的以太网端口恢复为缺省状态，即非边缘端口。*缺省情况下，交换机所有以太网端口均被配置为非边缘端口 27STP的交换机保护功能2. BPDU保护功能边缘端口接收到配置消息后，系统会自动将这些端口设置为非边缘端口，重新计算生成树，这样就引起网络拓扑的震荡。正常情况下，边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了 BPDU保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被 MSTP关闭。被关闭的边缘端口只能由网络管理人员恢复。 2