H3C S2000-EA系列交换机产品培训.ppt

H3CS2000 EA系列交换机产品概述 ISSUE1 0 日期 杭州华三通信技术有限公司版权所有 未经授权不得使用与传播 写在前面 H3C湖南广电支撑队伍业务接口销售代表 刘振zx 产品经理 谭anwei 服务专员 曾engsheng 服务经理 付洁ujielian 合作伙伴 合一科技 EPON 城域网 特成等 楼道交换机 24小时服务支持热线 400 810 0504H3C广电专业技术论坛 熟悉S2000 EA系列交换机硬件形态掌握S2000 EA系列交换机的软件特性熟悉S2000 EA系列交换机基本维护和常见问题处理 课程目标 学习完本课程 您应该能够 第一章S2000 EA系列交换机概述第二章S2000 EA系列交换机的软件特性第三章S2000 EA系列交换机的维护 目录 产品定位 L2线速以太网交换产品主要提供10 100M以太网接口 作为接入设备提供百兆到桌面应用 向下可以提供百兆电接口接入最终用户或汇接低端交换机 向上可以通过GE接口或者链路聚合汇聚到IP端局或大容量的L3交换机 产品形态 S2000 EA系列交换机包含如下型号 S2008 TP EA S2008 TP EA SI S2016TP EA S2016TP EA SI S2403TP EA S2403TP EA SI S2000 EA分别有交流机型和直流机型S2000 EA SI 只有交流机型 产品特点 S2000 EA系列以太网交换机具有以下优点 小尺寸 支持壁挂 无风扇设计 低噪音 低功耗 环保节能 ComboGE端口上行 强大的QoS ACL能力 普通QinQ 灵活QinQ Vlanmapping 或称vlantranslation IGMPv3snooping IPv6管理特性 ARP入侵检测功能 ARP限速功能 IPcheck功能 EAD EndpointAdmissionDefense 端点准入防御 产品比较 1 S2000 EA和S2000 EA SI 的主要区别 产品比较 2 第一章S2000 EA系列交换机概述第二章S2000 EA系列交换机的软件特性第三章S2000 EA系列交换机的维护 目录 软件特性概述 H3CS2000 EA系列交换机的特性常见二层交换特性VLAN 协议VLAN MACVLANSTPdot1x认证SmartLink端口镜像 远程镜像链路聚合 Manual Static Dynamic QinQ VLANVPN 灵活QinQVLANMappingIPv6管理特性安全特性端口绑定 IPSourceGuardARPDetectionDHCPSnoopingEADQoS QinQ VLANVPN 原理 在边缘入端口添加新的TAG标签 在边缘出端口剥离外层TAG标签 应用隔离不同客户数据的同时保持客户内部的数据隔离 VLAN汇聚 扩展VLAN数量 配置 2000EA Ethernet1 0 1 vlan vpnenable 灵活QinQ SelectiveVLAN VPN VLAN201 300 组播业务路由器 A 园区接入交换机 S3500 EA S7500E DHCPserver S2000 EA 园区汇聚交换机 PC上网VLAN101 200 IPTVVLAN301 大客户 VLAN1001 1002 VLAN302 VLAN303 上网用户 IPTV用户和大客户都是园区的宽带接入对象 且他们对分别接入不同范围的用户 用Vlan来加以区分 在S2000 EA上的A处开启灵活QinQ 根据不同的内层Vlanid增加外层Vlan或不增加外层Vlan 将报文送至不同的上层设备 PC上网业务报文Vlanid为101 200 封装外层Vlanid1001 IPTV业务报文vlan为组播vlan301 不封装外层Vlanid 大客户报文Vlanid为201 300 封装外层Vlanid1002 VLAN1001 1002上网业务报文 双Tag VLAN301报文送DHCP server分配地址或组播业务路由器 灵活QinQ的配置 灵活QinQ的配置分两个步骤 全局配置内外层标签的映射关系 2000EA vlan vpnvid1001 2000EA vid 1001 raw vlan idinbound101to200 2000EA vlan vpnvid1002 2000EA vid 1001 raw vlan idinbound201to300端口配置允许通过的VLAN并使能灵活QiniQ 2000EA Ethernet1 0 3 portlink typehybrid 2000EA Ethernet1 0 3 porthybridpvidvlan301 2000EA Ethernet1 0 3 porthybridvlan30110011002untagged 2000EA Ethernet1 0 3 vlan vpnselectiveenable VLANMapping VLANMapping原理根据配置的映射规则在入口和出口替换VLANID全局VLANmapping的配置 3100EI vlan mappingvlan1remark100 3100EI vlan mappingvlan2remark200 3100EI vlan mappingvlan3remark300 3100EI Ethernet1 0 1 vlan mappingenable 3100EI Ethernet1 0 2 vlan mappingenable 3100EI Ethernet1 0 3 vlan mappingenable基于端口的VLANMapping的配置 3100EI Ethernet1 0 1 vlan mappingvlan1remark100 3100EI Ethernet1 0 2 vlan mappingvlan2remark200 3100EI Ethernet1 0 3 vlan mappingvlan3remark300注意 全局Mapping和端口Mapping互斥 VLANMapping应用 基于端口的1 1 接入交换机基于端口实现VLAN的1 1mapping 在HG配置统一的情况下实现PUPSPV IPTV IPTV 每HG配置两VLAN 不同用户采用相同的VLAN配置 接入交换机在用户端口运行1 1VLANmapping 为每用户分配用户VLAN 对Internet与IPTV业务进行基于VLAN的灵活QinQ的动作 封装外层VLAN 端口绑定 端口绑定原理 将制定IP MAC和端口进行一一绑定 限定用户从固定端口接入 提高网络安全端口绑定后 当端口接收报文中的MAC和IP与所绑定的相同时 报文正常转发 否则报文被丢弃 端口绑定配置 2000EA amuser bindmac addr1 203 406ip addr192 168 0 1interfaceEthernet1 0 4 2000EA amuser bindmac addr1 203 407ip addr192 168 0 2interfaceEthernet1 0 4注意事项 同一IP或MAC只能配置一个绑定表项没有配置绑定表项的端口不受限制 IPSourceGuard IPSourceGuard原理手工或动态 DHCPSnooping 维护IP MAC Port映射根据映射表检查端口接收的报文 匹配的报文转发 否则丢弃IPSourceGuard的配置配置静态过滤表项 2000EA Ethernet1 0 1 ipsourcestaticbindingip address1 1 1 1mac address1 1 1vlan1配置DHCPSnooping维护动态表项 2000EA dhcp snooping 2000EA GigabitEthernet1 1 1 dhcp snoopingtrust使能端口的IP过滤 3100EI Ethernet1 0 1 ipchecksourceip addressmac address注意事项静态表项优先级高于动态表项请优先配置DHCPSnooping并设置信任端口 ARPDetection ARP入侵检测 ARPDetectionARP报文的交互机制使得主机之间的通信存在被欺骗的可能 经过交换机的所有ARP 请求与回应 报文重定向到CPU 利用DHCP Snooping表或手工配置的IP静态绑定表 对ARP报文进行合法性检测可以预防欺骗 如果ARP报文中的源MAC 源IP 接收ARP报文的端口编号以及端口所在VLAN与DHCP Snooping表或手工配置的IP静态绑定表表项一致 则认为该ARP报文合法 进行转发 否则认为是非法ARP报文 直接丢弃 配置步骤及命令配置DHCPSnooping 2000EA dhcp snooping 2000EA GigabitEthernet1 1 1 dhcp snoopingtrust配置ARPDetection 2000EA vlan100 arpdetectionenable 2000EA GigabitEthernet1 1 1 arpdetectiontrust EAD S2000 EA EI 病毒补丁服务器 认证服务器 3 交换机和认证服务器间交互完成认证 2 身份认证通过前用户无法访问网络 CoreNetwork 4 身份验证后用户即可以从病毒补丁服务器升级 5 客户端开始安全认证 安全策略服务器 7 安全认证通过后 用户可以正常的访问网络 1 用户开始认证 6 安全认证通过前只能访问病毒补丁服务器 QACL功能 ACL包过滤基于端口 VLAN 全局下发支持时间段支持L2 Layer2 L4的rule定义队列调度每个端口支持4个输出队列 支持SP WRR SP WRR三种模式 限速支持端口双向限速 traffic limit traffic shape 控制粒度为64Kbit s 流量统计优先级重标记流镜像 第一章S2000 EA系列交换机概述第二章S2000 EA系列交换机的软件特性第三章S2000 EA系列交换机的维护 目录 常见问题处理 常见故障定位BootROM密码丢失收集交换机的桥MAC提供给H3C工程师H3C工程师提供唯一的超级密码代替Bootrom密码用户密码丢失进入BootROM主菜单 选择 Skipcurrentconfigurationfile 项 以忽略系统配置方式启动再次出现BootROM主菜单时 选择 Reboot 重新启动重启后在系统视图下设置新的用户密码光模块和对端设备相连 出现不能UP问题端口自环测试修改两端的速率双工模式排除协商问题确认两端收发光功率是否正常模块替换测试 常见问题处理 CPU利用率高 2000EA dis