华为交换机基础配置.doc

华为交换机培训 .华为交换机培训目录第一章 端口操作31.1配置以太网端口描述31.2配置端口工作模式31.3配置以太网端口速率41.4配置自协商模式41.5 Telnet 配置41.6 IP+MAC+端口绑定51.7堆叠管理配置51.8端口操作实验5第二章 VLAN操作72.1 VLAN的创建与删除72.2 配置VLAN端口72.3 VLAN监控和维护72.4 VLAN间路由82.5VLAN操作实验8第三章QACL访问控制列表操作103.1访问控制列表ACL103.2访问控制列表的子规则113.3 激活访问控制列表113.4访问控制列表实验12第四章Spanning Tree配置134.1开启/关闭端口Spanning Tree特性134.2 Spanning Tree监控和维护134.3 Spanning Tree配置实验14第五章 系统网络管理155.1设置团体名（Community Name）155.2设置管理员的标识及联系方法（sysContact）165.3允许或禁止发送Trap165.4设置本地或远端设备的名字165.5设置或删除一个SNMP的组165.6设置或取消Trap目标主机的地址175.7设置或取消S8016路由交换机的位置（sysLocation）175.8指定发送Trap 的源地址175.9 SNMP的组添加或删除一个新用户185.10创建/更新视图的信息或删除视图185.11监控和维护18第一章 端口操作以太网端口配置包括：l 进入以太网端口视图l 打开/关闭以太网端口l 对以太网端口进行描述l 设置以太网端口双工状态l 设置以太网端口速率S8016路由交换机支持两种类型的以太网接口板：快速以太网板（FE）和千兆以太网板（GE）。快速以太网可提供16个百兆端口；千兆以太网板可提供4个千兆（又称吉比特）端口。1.1配置以太网端口描述请在以太网或吉比特以太网接口配置模式下进行下列配置。配置以太网端口描述操作命令设置以太网端口描述description ethernet-description恢复以太网端口缺省描述undo description1.2配置端口工作模式以太网接口有全双工和半双工两种工作模式，在接口模式下可通过以下命令来进行配置。在配置时，注意要和对端设备的工作模式相同。缺省情况下，普通以太网FE电接口处于自动协商状态，FE光口为非自动协商状态，而GE接口处于非自动协商状态。GE的光接口和FE的光接口只能为全双工，FE的电接口可以为全双工和半双工两种工作模式。缺省情况下，FE的电接口为全双工模式。请注意，在设置半双工模式时，端口只能为FE的电接口，且此端口需工作在非环回态（禁止对内自环和对外回波）。一般情况下，与Hub相连时，应置路由交换机以太网口为半双工方式；与LAN switch相连时，应置路由交换机以太网口为全双工方式。配置端口工作模式操作命令设置端口工作在全双工模式duplex设置端口工作在半双工模式undo duplex1.3配置以太网端口速率以太网接口可支持多种速率。对于FE接口线路板而言，FE的电接口一般支持10Mbit/s、100Mbit/s两种速率，而FE的光接口只支持100Mbit/s；而对于GE接口线路板，则只能选用1000Mbit/s速率。因此，只需对FE电接口进行配置，而FE光口/GE接口不需配置。配置以太网端口速率操作命令设置端口工作速度speed 10 | 100 | 1000 在配置时，注意要和对端设备配置成相同的速率。1.4配置自协商模式以太网接口允许工作在自协商模式，也就是当相连的两接口都在自协商模式时，两接口可通过协商自动确定工作速率和全双工、半双工模式。注意，此时双方的接口必须都处于自协商模式，否则，以太网协议不能保证协商出一致的结果。电接口可以配置自协商模式，但光接口一般不配置自协商模式，因为光接口的工作速度和工作模式都为定配，无须再适配。配置自协商模式操作命令设置成自协商模式negotiation auto禁止自协商undo negotiation auto1.5 Telnet 配置Telnet协议在TCP/IP协议族中属于应用层协议，通过网络提供远程登录和虚拟终端功能。 Telnet Server服务，用户在微机上可以运行Telnet客户端程序登录到交换机上，对交换机进行配置管理。Telnet Client服务，用户在微机上通过终端仿真程序或Telnet程序建立与交换机的连接后，可以输入Telnet命令再登录其它交换机，对其进行配置管理。操作命令创建VLANvlan vlanid配置VLAN接口IPip add ip-address mac-addressTelnetTelnet ip-address1.6 IP+MAC+端口绑定通过对三层交换机进行ipmac端口的绑定，实现对合法用户上网的保护，访问恶意用户通过修改地址上网。需求：对合法的用户进行ipmac端口的绑定，防止恶意用户通过更换自己的地址上网的行为。 操作命令配置端口的静态MAC地址mac-address static mac-address interface interface vlan vlanid1.7堆叠管理配置指定堆叠管理地址池使能堆叠，几秒钟后从交换机加入。操作命令堆叠管理配置stacking ip-pool ip-addressstacking enable查看堆叠信息display stackdisplay stacking members1.8端口操作实验要求：对端口的描述、速率、端口的绑定和堆叠以及Telnet进行配置。第二章 VLAN操作VLAN（Virtual Local Area Network）即虚拟局域网，是将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案2.1 VLAN的创建与删除请在全局配置模式下进行下列配置。创建/删除VLAN操作 命令创建VLANvlan vlanid删除VLANundo vlan vlanid创建VLAN时，如果该VLAN已存在，则直接进入该VLAN配置模式。缺省情况下，系统将所有端口都加入到一个缺省的VLAN中，该VLAN的ID为1。2.2 配置VLAN端口请在VLAN配置模式下进行下列配置。增加/删除VLAN端口操作命令增加一个或一组端口port interfacetype interfacenum to interfacenum & 删除一个或一组端口undo port interfacetype interfacenum to interfacenum & 输入端口组时，应保证输入的端口格式正确，关键字to之后的端口号要大于to之前的端口号，并要保证采用to形式输入的端口类型相同，两者之间包含的端口都存在。一次最大可以采用to形式输入10次。2.3 VLAN监控和维护请在特权用户模式下进行下列操作。VLAN的监控和维护命令操作命令显示当前系统所有VLANdisplay vlan显示一个具体VLAN信息display vlan vlanid 显示一个VLAN的流量统计信息display vlan vlanid statistics2.4 VLAN间路由VLAN间路由的配置任务列表如下：配置VLAN接口配置VLAN接口的IP地址配置VLAN接口的路由属性配置VLAN接口请在全局配置模式下进行下列配置。配置VLAN接口操作命令创建VLAN接口interface vlanif vlanid删除VLAN接口undo interface vlanif vlanid创建VLAN接口需要在配置好VLAN之后进行。配置VLAN接口的IP地址请在VLAN接口配置模式下进行下列配置。创建/删除VLAN接口的IP地址操作命令创建VLAN接口IP地址ip address ip_address mask secondary 删除VLAN接口IP地址undo ip address ip_address mask secondary 配置VLAN接口IP地址的命令中，secondary是可选参数，用于给VLAN配置多个IP地址。当添加或删除非第一个IP地址时需要输入secondary 。2.5VLAN操作实验实验要求：Vlan 1和Vlan 2之间互通 第三章QACL访问控制列表操作3.1访问控制列表ACL【命令】acl number acl-number | name acl-name advanced | basic | interface | link | user match-order config | auto undo acl number acl-number | name acl-name | all 【视图】系统视图【参数】number acl-number：访问列表序号，取值范围为:199：表示基本访问控制列表。100199：表示高级访问控制列表。10001999：表示基于接口的访问控制列表。200299：表示二层访问控制列表。300399：表示用户自定义访问控制列表。name acl-name：字符串参数，必须以英文字母（即a-z,A-Z）开头，而且中间不能有空格和引号；不区分大小写，不允许使用all、any关键字。advanced：表示高级访问控制列表。basic：表示基本访问控制列表。interface：表示基于接口的访问控制列表。link：表示二层访问控制列表。user：表示用户自定义访问控制列表。config：表示匹配访问列表的规则时按用户的配置顺序。auto：表示匹配访问列表的规则时按深度优先顺序。all：表示要删除所有的访问列表（包括数字标识的和名字标识的）。【描述】acl命令用来定义一条数字或名字标识的访问控制列表，并进入相应的访问控制列表视图，undo acl命令用来删除一条数字或名字标识的访问控制列表的所有子项，或者删除全部访问控制列表。缺省情况下，按照config顺序匹配访问控制列表。acl命令可以创建一个以“acl-name”命名的访问控制列表，此访问控制列表的类型由“advanced”、“basic”、“interface”、“link”、“user”关键字决定。无论数字型还是名字型，进入相应的访问列表视图之后，可以用rule命令增加此命名访问列表的子项（用quit命令退出访问列表视图）。可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序（优先匹配范围小的规则），如果不指定则缺省为用户配置顺序。用户一旦指定一条访问列表的匹配顺序后，就不能再更改，除非把该访问列表的子项全部删除，再重新指定其匹配顺序。注意，此处指定的匹配顺序只对用于过滤和分类由软件处理的数据的访问控制列表有效。3.2访问控制列表的子规则【命令】定义或删除基本访问控制列表的子规则rule rule-id permit | deny source source-addr source-wildcard | any fragment time-range time-range-name undo rule rule-id source fragment time-range 定义或删除高级访问控制列表的子规则rule rule-id permit | deny protocol source source-addr source-wildcard | any destination dest-addr dest-mask | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code precedence precedence tos tos dscp dscp fragment time-range time-range-name undo rule rule-id source destination soure-port destination-port icmp-type precedence tos dscp fragment time-range 定义或删除接口访问控制列表的子规则rule rule-id permit | deny interface interface-name | interface-type interface-num | any time-range time-range-name undo rule rule-id 定义或删除二层访问控制列表的子规则rule rule-id permit | deny protocol-type format-type ingress source-vlan-id source-mac-addr | any egress dest-mac-addr dest-vlan-id | any time-range time-range-name undo rule rule-id【视图】相应的访问控制列表视图【参数】rule-id：指定访问控制列表的子项，取值范围为0127。permit：表明允许满足条件的报文通过。deny：表明禁止满足条件的报文通过。time-range time-range-name：时间段的名称，可选参数，表示该规则在此时间段内有效。3.3 激活访问控制列表【命令】packet-filter ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule undo packet-filter ip-group acl-number | acl-name rule rule | link-group acl-number | acl-name rule rule 【视图】系统视图【参数】ip-group acl-number | acl-name ：表示激活IP访问控制列表，包括基本、高级和基于接口的访问控制列表。acl-number：访问控制列表序号，1到199之间和1000到1999之间的一个数值。acl-name：访问控制列表名字，字符串参数，必须以英文字母（即 az，AZ）开头，而且中间不能有空格和引号。link-group acl-number | acl-name ：表示激活二层访问控制列表。acl-number：访问控制列表序号，200到299之间的一个数值。acl-name：访问控制列表名字，字符串参数，必须以英文字母（即 az，AZ）开头，而且中间不能有空格和引号。rule rule：可选参数，指定激活访问列表中的哪个子项，取值范围为0127，如果不指定则表示要激活访问列表中的所有子项。【描述】packet-filter命令用来激活访问控制列表，undo packet-filter命令用来取消激活。3.4访问控制列表实验实验图利用第二章实验图实验要求：只有一个IP地址能Telnet到华为S8016上。第四章Spanning Tree配置4.1开启/关闭端口Spanning Tree特性请在全局配置模式进行下列配置。启动/关闭RSTP操作命令启动RSTP协议spanning-tree enable关闭RSTP协议spanning-tree disable恢复RSTP协议状态为缺省值undo spanning-tree开启设备的Spanning Tree特性后，会占用一部分网络资源。缺省情况下，不运行RSTP协议。为了灵活地控制RSTP工作，可以关闭指定的以太网端口的Spanning Tree特性，使这些端口不参与生成树计算。4.2 Spanning Tree监控和维护请在特权用户配置模式下进行下列操作。RSTP的监控和维护命令操作命令显示本设备及当前端口的配置信息display spanning-tree ports_list 显示本设备及当前端口配置信息和统计信息display spanning-tree Statistics ports_list display spanning-tree命令可显示RSTP当前运行状态等信息以及以太网端口各种RSTP配置参数。4.3 Spanning Tree配置实验实验图同第一章实验二图实验要求：在不配置端口汇聚的情况下，配置Spanning Tree，观察是否还有环路。第五章 系统网络管理SNMP（Simple Network Management Protocol，简单网络管理协议）是被广泛接受并投入使用的工业标准，是Internet 的网络管理标准协议。它的目标是保证管理信息在任意两点中传送，便于网络管理员在网络上的任何节点检索信息、修改信息，完成故障诊断、容量规划和报告生成。 它采用轮询与陷阱（Trap）上报相结合的机制，提供最基本的功能集，适合小型、快速、低价格的环境使用。SNMP协议中的主要概念如下：l MIB：Management Information Base，管理信息库；l NMS：Network Management Station，网络管理站；l MO：Managed Objects，被管理对象。指所有被管理的网络设备；SNMP的配置任务有：l 设置团体名（Community Name）l 设置sysContactl 允许或禁止发送Trapl 配置本地或远端设备的名字l 配置一个SNMP的组l 设置Trap目标主机的地址l 设置sysLocationl 指定发送Trap的源地址l 为一个SNMP的组添加一个新用户l 设定SNMP引擎启动次数l 创建或者更新视图的信息5.1设置团体名（Community Name）SNMPV3采用团体名认证方案，与设备认可的团体名不符的SNMP 报文将被丢弃。SNMP 团体（Community）由一字符串来命名，称为团体名（Community Name）。不同的团体可具有只读（read-only）或读写（read-write）权限。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。请在全局配置模式下进行下列配置。设置团体名操作命令设置团体名及访问权限snmp-server community community-name view view-name ro | rw 取消先前设置的团体名undo snmp-server community community-name5.2设置管理员的标识及联系方法（sysContact）sysContact是MIB II中system组的一个管理变量，内容为被管理设备相关人员的标识及联系方法。请在全局配置模式下进行下列配置。设置管理员的标识及联系方法操作命令设置管理员的标识及联系方法snmp-server contact sysContact删除管理员的标识及联系方法undo snmp-server contactTrap是被管理设备主动向NMS发送的不经请求的信息，用于报告一些紧急的重要事件。请在全局配置模式下进行下列配置。5.3允许或禁止发送Trap允许或禁止发送Trap操作命令允许发送Trapsnmp-server enable traps禁止发送Trapundo snmp-server enable traps缺省情况下，S8016禁止发送Trap。5.4设置本地或远端设备的名字利用该命令可以设置本地或远端设备的引擎ID，缺省为公司的企业号+设备信息，设备信息可以是IP地址、MAC地址或自己定义的文本。请在全局配置模式下进行下列操作。设置本地或远端设备的引擎ID操作命令设置设备的引擎IDsnmp-server engineid engineid设置设备的引擎ID为缺省值undo snmp-server engineid engineid5.5设置或删除一个SNMP的组利用该命令可以设置SNMP的一个组，此命令的undo形式用来删除SNMP的一个组。请在全局配置模式下进行下列操作。设置或删除一个SNMP组操作命令设置一个SNMP组snmp-server group groupname v1 | v2c | v3 auth | undoauth | priv read readview write writeview undotify undotifyview 删除一个SNMP组undo snmp-server group groupname v1 | v2c | v3 auth | undoauth | priv 5.6设置或取消Trap目标主机的地址请在全局配置模式下进行下列操作。设置或取消Trap目标主机的地址操作命令设置Trap主机的地址snmp-server host host-addr version 1 | 2c | 3 auth | undoauth | priv community-string取消Trap主机的地址undo snmp-ser