H3C5500实用配置.doc

目录一、端口的链路类型2二、各种通迅协议和用户名及密码配置43.1Console 口登录方式43.2TELNET口登录方式（认证方式三种跟上面一样）63.3HTTP登录方式8三、VLAN配置93.1创建及配置端口VLAN123.2基于IP子网的VLAN配置命令12四、以太网链路聚合144.1静态聚合配置举例144.2动态聚合配置举例17五、静态路由配置185.1静态路由典型配置185.2动态路由典型配置21六、ACL访问控制列表配置21七、创建管理VLAN22一、 端口的链路类型根据端口在转发报文时对Tag标签的不同处理方式，可将端口的链路类型分为三种：l Access类型：端口只能属于1个VLAN，并在发送该VLAN的报文时不带Tag标签，一般用于连接用户设备；l Trunk类型：端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于设备之间连接；l Hybrid类型：端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，可以用于设备之间连接，也可以用于连接用户设备。Hybrid端口和Trunk端口的不同之处在于：l Hybrid端口允许多个VLAN的报文发送时不带Tag标签；l Trunk端口只允许缺省VLAN的报文发送时不带Tag标签。l 当执行undo vlan命令删除的VLAN是某个端口的缺省VLAN时，对Access端口，端口的缺省VLAN会恢复到VLAN1；对Trunk或Hybrid端口，端口的缺省VLAN配置不会改变，即它们可以使用已经不存在的VLAN作为缺省VLAN。表1-3 端口收发报文的处理端口类型对接收报文的处理对发送报文的处理当接收到的报文不带Tag时当接收到的报文带有Tag时Access端口为报文封装缺省VLAN的Tagl 当VLAN ID与缺省VLAN ID相同时，接收该报文l 当VLAN ID与缺省VLAN ID不同时，丢弃该报文由于VLAN ID就是缺省VLAN ID，去掉Tag，发送该报文Trunk端口l 当VLAN ID与缺省VLAN ID相同时，接收该报文l 当VLAN ID与缺省VLAN ID不同，但VLAN ID是该端口允许通过的VLAN ID时，接收该报文l 当VLAN ID与缺省VLAN ID不同，且VLAN ID是该端口不允许通过的VLAN ID时，丢弃该报文l 当VLAN ID与缺省VLAN ID相同时：去掉Tag，发送该报文l 当VLAN ID与缺省VLAN ID不同，且是该端口允许通过的VLAN ID时：保持原有Tag，发送该报文Hybrid端口当VLAN ID是该端口允许通过的VLAN ID时，发送该报文，并可以通过命令port hybrid vlan命令配置端口在发送该VLAN（包括缺省VLAN）的报文时是否携带Tag二、 各种通迅协议和用户名及密码配置3.1 Console 口登录方式配置步骤认证方试：none system-view# 进入AUX 用户界面视图。H3C user-interface aux 0# 配置通过AUX 用户界面登录交换机的用户不需要进行认证。H3C-ui-aux0 authentication-mode none# 配置通过AUX 用户界面登录后可以访问的命令级别为3级。H3C-ui-aux0 user privilege level 3认证方试：Password system-viewH3C user-interface aux 0H3C-ui-aux0 authentication-mode password# 配置本地用户的认证口令为明文显示方式，口令为123456。 H3C-ui-aux0 set authentication password simple 123456# 配置通过AUX 用户界面登录后可以访问的命令级别为3级。 H3C-ui-aux0 user privilege level 3认证方试：Scheme(先创建一个用户) system-view# 创建本地用户guest，并进入本地用户视图。H3C local-user guest# 配置本地用户的认证口令为明文显示方式，口令为123456。H3C-luser-guest password simple 123456# 配置本地用户的服务类型为Telnet H3C-luser-guest service-type telnet# 配置本地用户的命令级别为3级。H3C-luser-guestauthorization-attribute level 3 H3C-luser-guest quit# 进入AUX 用户界面视图。H3C user-interface aux 0# 配置通过AUX 用户界面登录交换机的用户进行Scheme 认证。H3C-ui-aux0 authentication-mode scheme3.2 TELNET口登录方式（认证方式三种跟上面一样）配置步骤认证方试：none # 进入系统视图，启动Telnet 服务。 system-viewH3C telnet server enable# 进入VTY0 用户界面视图。H3C user-interface vty 0# 配置通过VTY0 用户界面登录交换机的Telnet 用户不需要进行认证。H3C-ui-vty0 authentication-mode none# 配置通过VTY0 用户界面登录后用户可以访问的命令级别为3 级。qH3C-ui-vty0 user privilege level 3# 配置VTY0 用户界面支持Telnet 协议。H3C-ui-vty0 protocol inbound telnet认证方试：Scheme(先创建一个用户)# 进入系统视图，启动Telnet 服务。 system-viewH3C telnet server enable# 创建本地用户guest，并进入本地用户视图。H3C local-user guest# 配置本地用户的认证口令为明文显示方式，口令为123456。H3C-luser-guest password simple 123456# 配置本地用户的服务类型为Telnet H3C-luser-guest service-type telnet# 配置本地用户的命令级别为3级。H3C-luser-guest authorization-attribute level 3H3C-luser-guest quit# 进入VTY0 用户界面视图。H3C user-interface vty 0# 配置通过VTY0 用户界面登录交换机的Telnet 用户进行Scheme 认证。H3C-ui-vty0 authentication-mode scheme（其它认证方式跟Console差不多）3.3 HTTP登录方式# 配置WEB 网管用户名为admin，认证口令为admin，用户级别为3 级。H3C local-user adminH3C-luser-admin authorization-attribute level 3H3C-luser-admin password simple admin# 配置本地用户的服务类型为Telnet H3C-luser- admin service-type telnet#上面配置的账号可能只有普通权限，可能需要配置超级管理密码才能对交换进行操作#设置超级密码为admin H3Csuper password level 3 cipher admin进入系统视图 system-view关闭WEB ServerH3Cundo ip http enable启动WEB ServerH3Cip http enable三、 VLAN配置配置基于Access端口的VLAN有两种方法：一种是在VLAN视图下进行配置，另一种是在以太网端口视图/端口组视图下进行配置。表1-4 配置基于Access端口的VLAN（在VLAN视图下）配置命令说明进入系统视图system-view-进入VLAN视图vlan vlan-id必选如果指定的VLAN不存在，则该命令先完成VLAN的创建，然后再进入该VLAN的视图为指定的VLAN增加以太网端口port interface-list必选缺省情况下，系统将所有端口都加入到VLAN 1表1-5 配置基于Access端口的VLAN（在以太网端口视图/端口组视图下）操作命令说明进入系统视图system-view-进入以太网端口视图或端口组视图进入以太网端口视图interface interface-type interface-number二者必选其一进入以太网端口视图后，下面进行的配置只在当前端口下生效；进入端口组视图后，下面进行的配置将在端口组中的所有端口生效进入端口组视图port-group manual port-group-name | aggregation agg-id 配置端口的链路类型为Access类型port link-type access可选缺省情况下，端口的链路类型为Access类型将当前Access端口加入到指定VLANport access vlan vlan-id必选缺省情况下，所有Access端口均只属于VLAN1& 说明：在将Access端口加入到指定VLAN之前，要加入的VLAN必须已经存在。1.4.3 配置基于Trunk端口的VLANTrunk端口可以允许多个VLAN通过，可以在以太网端口视图/端口组视图下进行配置。表1-6 配置基于Trunk端口的VLAN操作命令说明进入系统视图system-view-进入以太网端口视图或端口组视图进入以太网端口视图interface interface-type interface-number二者必选其一进入以太网端口视图后，下面进行的配置只在当前端口下生效；进入端口组视图后，下面进行的配置将在端口组中的所有端口生效进入端口组视图port-group manual port-group-name | aggregation agg-id 配置端口的链路类型为Trunk类型port link-type trunk必选缺省情况下，端口的链路类型为Access类型允许指定的VLAN通过当前Trunk端口port trunk permit vlan vlan-id-list | all 必选缺省情况下，所有Trunk端口只允许VLAN 1通过设置Trunk端口的缺省VLANport trunk pvid vlan vlan-id可选缺省情况下，Trunk端口的缺省VLAN为VLAN 1& 说明：l Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。l 本端设备Trunk端口的缺省VLAN ID和相连的对端设备的Trunk端口的缺省VLAN ID必须一致，否则本端缺省VLAN的报文将不能正确传输至对端。1.4.4 配置基于Hybrid端口的VLANHybrid端口可以允许多个VLAN通过，可以在以太网端口视图/端口组视图下进行配置。表1-7 配置基于Hybrid端口的VLAN操作命令说明进入系统视图system-view-进入以太网端口视图或端口组视图进入以太网端口视图interface interface-type interface-number二者必选其一进入以太网端口视图后，下面进行的配置只在当前端口下生效；进入端口组视图后，下面进行的配置将在端口组中的所有端口生效进入端口组视图port-group manual port-group-name | aggregation agg-id 配置端口的链路类型为Hybrid类型port link-type hybrid必选缺省情况下，端口的链路类型为Access类型允许指定的VLAN通过当前Hybrid端口port hybrid vlan vlan-id-list tagged | untagged 必选缺省情况下，所有Hybrid端口只允许VLAN1通过设置Hybrid端口的缺省VLANport hybrid pvid vlan vlan-id可选缺省情况下，Hybrid端口的缺省VLAN为VLAN 1& 说明：l Hybrid端口和Trunk端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Hybrid端口不能直接被设置为Trunk端口，只能先设为Access端口，再设置为Trunk端口。l 在设置允许指定的VLAN通过Hybrid端口之前，允许通过的VLAN必须已经存在。3.1 创建及配置端口VLAN # 创建VLAN 2、VLAN 6到VLAN 50、VLAN 100。 system-viewSysname vlan 2Sysname-vlan2 quitSysname vlan 100Sysname-vlan100 quitSysname vlan 6 to 50给VLAN添加端口Sysname-vlan2port GigabitEthernet 1/0/6# 进入GigabitEthernet1/0/1以太网端口视图。Sysname interface GigabitEthernet 1/0/1# 配置GigabitEthernet1/0/1为Trunk端口，并配置端口的缺省VLAN ID为100。Sysname-GigabitEthernet1/0/1 port link-type trunkSysname-GigabitEthernet1/0/1 port trunk pvid vlan 100# 配置GigabitEthernet1/0/1，允许VLAN2、VLAN6到VLAN 50、VLAN 100的报文通过。Sysname-GigabitEthernet1/0/1 port trunk permit vlan 2 6 to 50 100Please wait. Done. 3.2 基于IP子网的VLAN配置命令先建一个vlan system-viewSysname vlan 3给VLAN3配IP地址H3Cinterface vlan 3 H3C-Vlan-interface3ip address 24将VLAN3配置为基于IP子网的VLAN，与/24网段进行关联，使得源地址为该网段的报文可以分发到VLAN3中传输。Sysname vlan 3 Sysname-vlan3 ip-subnet-vlan ip # 将端口GigabitEthernet2/0/1与IP子网VLAN3相关联。 Sysname interface gigabitethernet 1/0/48Sysname-GigabitEthernet1/0/48 port link-type hybridSysname-GigabitEthernet1/0/48 port hybrid vlan 3 untaggedPlease wait. Done.Sysname-GigabitEthernet1/0/48 port hybrid ip-subnet-vlan vlan 3需要注意的是：端口必须是Hybrid类型。端口在与基于IP子网的VLAN进行关联之前，必须已经允许该VLAN通过，否则，不允许进行关联删除undo ip-subnet-vlanSysname interface gigabitethernet 1/0/48（允许该VLAN通过的端口）Sysname-GigabitEthernet1/0/48 undo port hybrid ip-subnet-vlan vlan 3H3Cvlan 3（基于IP子网关联的vlan）H3C-vlan3undo ip-subnet-vlan allH3Cundo vlan 0003四、 以太网链路聚合手工聚合、静态聚合、动态聚合区别手工汇聚由用户手工配置，不允许系统自动添加或删除汇聚组中的端口。汇聚组中必须至少包含一个端口。当汇聚组只有一个端口时，只能通过删除汇聚组的方式将该端口从汇聚组中删除。手工汇聚端口的LACP 协议为关闭状态，禁止用户使能手工汇聚端口的LACP 协议。静态LACP 汇聚由用户手工配置，不允许系统自动添加或删除汇聚组中的端口。汇聚组中必须至少包含一个端口。当汇聚组只有一个端口时，只能通过删除汇聚组的方式将该端口从汇聚组中删除。静态汇聚端口的LACP 协议为使能状态，当一个静态汇聚组被删除时，其成员端口将形成一个或多个动态LACP 汇聚，并保持LACP 使能。禁止用户关闭静态汇聚端口的LACP 协议。动态LACP 汇聚是一种系统自动创建或删除的汇聚，动态汇聚组内端口的添加和删除是协议自动完成的。只有速率和双工属性相同、连接到同一个设备、有相同基本配置的端口才能被动态汇聚在一起。即使只有一个端口也可以创建动态汇聚，此时为单端口汇聚。动态汇聚中，端口的LACP 协议处于使能状态。一般情况下配置手工聚合就可以了。如果需要配置动态聚合，则对端设备也必须支持动态LACP聚合才可以。4.1 静态聚合配置举例1. 组网需求l Device A与Device B通过各自的以太网端口GigabitEthernet1/0/1GigabitEthernet1/0/3相互连接。l 在Device A和Device B上分别配置静态链路聚合组，并使两端的VLAN 10和VLAN 20之间分别互通。l 通过按照报文的源MAC地址和目的MAC地址进行聚合负载分担的方式，来实现数据流量在各成员端口间的负载分担。2. 组网图图1-5 静态聚合配置组网图3. 配置步骤(1) 配置Device A# 创建VLAN 10，并将端口GigabitEthernet1/0/4加入到该VLAN中。 system-viewDeviceA vlan 10DeviceA-vlan10 port gigabitEthernet 1/0/4DeviceA-vlan10 quit# 创建VLAN 20，并将端口GigabitEthernet1/0/5加入到该VLAN中。DeviceA vlan 20DeviceA-vlan20 port gigabitEthernet 1/0/5DeviceA-vlan20 quit# 创建二层聚合接口1。DeviceA interface bridge-aggregation 1DeviceA-Bridge-Aggregation1 quit# 分别将端口GigabitEthernet1/0/1至 GigabitEthernet1/0/3加入到聚合组1中。DeviceA interface gigabitethernet 1/0/1DeviceA-gigabitethernet1/0/1 port link-aggregation group 1DeviceA-gigabitethernet1/0/1 quitDeviceA interface gigabitethernet 1/0/2DeviceA-gigabitethernet1/0/2 port link-aggregation group 1DeviceA-gigabitethernet1/0/2 quitDeviceA interface gigabitethernet 1/0/3DeviceA-gigabitethernet1/0/3 port link-aggregation group 1DeviceA-gigabitethernet1/0/3 quit# 配置二层聚合接口1为Trunk端口，并允许VLAN 10和20的报文通过。该配置将被自动同步到聚合组1内的所有成员端口上。DeviceA interface bridge-aggregation 1DeviceA-Bridge-Aggregation1 port link-type trunkDeviceA-Bridge-Aggregation1 port trunk permit vlan 10 20Please wait. Done.Configuring GigabitEthernet1/0/1. Done.Configuring GigabitEthernet1/0/2. Done.Configuring GigabitEthernet1/0/3. Done.DeviceA-Bridge-Aggregation1 quit# 配置全局按照报文的源MAC地址和目的MAC地址进行聚合负载分担。DeviceA link-aggregation load-sharing mode source-mac destination-mac(2) 配置Device BDevice B的配置与Device A相似，配置过程略。(3) 检验配置效果# 查看Device A上所有聚合组的摘要信息。DeviceA display link-aggregation summaryAggregation Interface Type:BAGG - Bridge-Aggregation, RAGG - Route-AggregationAggregation Mode: S - Static, D - DynamicLoadsharing Type: Shar - Loadsharing, NonS - Non-LoadsharingActor System ID: 0x8000, 000f-e2ff-0001AGG AGG Partner ID Select Unselect ShareInterface Mode Ports Ports Type-BAGG1 S none 3 0 Shar以上信息表明，聚合组1为负载分担类型的静态聚合组，包含有三个选中端口。# 查看Device A上全局采用的聚合负载分担类型。DeviceA display link-aggregation load-sharing modeLink-Aggregation Load-Sharing Mode:destination-mac address, source-mac address以上信息表明，所有聚合组都按照报文的源MAC地址和目的MAC地址进行聚合负载分担。4.2 动态聚合配置举例# 创建二层聚合接口1，并配置该接口为动态聚合模式。DeviceA interface bridge-aggregation 1DeviceA-Bridge-Aggregation1 link-aggregation mode dynamicDeviceA-Bridge-Aggregation1 quit五、 静态路由配置在配置静态路由时，如果先指定下一跳地址，然后将该地址配置为本地接口（如VLAN 接口等）的IP 地址，静态路由不会生效。如果在配置静态路由时没有指定优先级，就会使用缺省优先级。重新设置缺省优先级后，新设置的缺省优先级仅对新增的静态路由有效。设置静态路由的Tag 值，可以在路由策略中根据Tag 值对路由进行灵活的控制。在使用ip route-static 配置静态路由时，如果将目的地址与掩码配置为全零（ ），则表示配置的是缺省路由。5.1 静态路由典型配置3. 配置步骤(1) 配置各接口的IP 地址（略）(2) 配置静态路由# 在Switch A 上配置缺省路由。 system-view1-7SwitchA ip route-static # 在Switch B 上配置两条静态路由。 system-viewSwitchB ip route-static SwitchB ip route-static # 在Switch C 上配置缺省路由。 system-viewSwitchC ip route-static (3) 配置主机配置Host A 的缺省网关为，Host B 的缺省网关为，Host C 的缺省网关为，具体配置过程略。(4) 查看配置结果# 显示Switch A 的IP 路由表。SwitchA display ip routing-tableRouting Tables: PublicDestinations : 7 Routes : 7Destination/Mask Proto Pre Cost NextHop Interface/0 Static 60 0 Vlan500/24 Direct 0 0 Vlan300/32 Direct 0 0 InLoop0/30 Direct 0 0 Vlan500/32 Direct 0 0 InLoop0/8 Direct 0 0 InLoop0/32 Direct 0 0 InLoop0# 显示Switch B 的IP 路由表。SwitchB display ip routing-tableRouting Tables: PublicDestinations : 10 Routes : 10Destination/Mask Proto Pre Cost NextHop Interface/24 Static 60 0 Vlan500/24 Static 60 0 Vlan600/30 Direct 0 0 Vlan500/32 Direct 0 0 InLoop0/30 Direct 0 0 Vlan600/32 Direct 0 0 InLoop0/8 Direct 0 0 InLoop0/32 Direct 0 0 InLoop0/24 Direct 0 0 Vlan100/32 Direct 0 0 InLoop0# 在Host B 上使用ping 命令验证Host A 是否可达（假定主机安装的操作系统为Windows XP）。C:Documents and SettingsAdministratorping Pinging with 32 bytes of data:Reply from : bytes=32 time=1ms TTL=2551-8Reply from : bytes=32 time=1ms TTL=255Reply from : bytes=32 time=1ms TTL=255Reply from : bytes=32 time=1ms TTL=255Ping statistics for :Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 1ms, Maximum = 1ms, Average = 1ms# 在Host B 上使用tracert 命令验证Host A 是否可达。C:Documents and SettingsAdministratortracert Tracing route to over a m