HP交换机基本命令配置.ppt

第一章交换机的初始配置 1 超级终端的配置开始 附件 通讯 超级终端 在COM口属性的窗口中选择还原默认值 每秒位数 B 9600数据位 D 8奇偶校验 P 无停止位 S 1数据流控制 F 无 2 配置主机名命令 hostname 其中主机名长度最长为64字节实例 例如需要配置设备的名称为Blue 则命令如下AN config hostnametest 5304xlTest 5304xl config 一 基本命令 3 配置VLANIP地址命令 no vlanipaddress或 no vlanipaddress或Vlanipaddessdhcp bootp实例 例如需要对设备划分一个VLAN采用两种不同底方式进行配置Blue config vlan1ipaddress192 168 0 23255 255 255 0或Blue config vlan1ipaddress192 168 0 23 24查看当前VLAN地址命令 showvlan 4 配置网关配置网关命令 Blue config Iproute实例 配置一个缺省的网关Blue config iproute0 0 0 00 0 0 0192 168 0 1 5 测试网络联通情况HP系列产品提供了Ping和traceroute来检查网路的联通状况 ping命令示例 Blue config ping192 168 0 1Traceroute命令示例 Blue config traceroute192 168 10 1 二 配置交换机web访问和telnet访问 1 配置CLI接口访问列出当前控制台 串口连接配置 这条命令是显示当前接口访问的参数置 语法 showconsole2 默认情况下入口的TELNET访问是允许的语法 no telnet server3 禁止TELNET入口访问语法 Procurve config notelnet server4 重新允许TELNET入口访问语法 Procurve config telnet server5 远程TELNET另外的一台设备并查看该设备的状态语法 Procurve config telnet192 168 2 35 6 默认情况下WEB方式配置交换机是允许的语法 no web management7 禁止WEB方式配置交换机语法 Procurve config noweb management8 允许WEB方式配置交换机语法 Procurve config web management可以使用Http 该地址为虚拟地址 客户可根据具体的设置改动 三 设置用户名及密码 语法 no password user nameASCII no passwordall 设置操作员密码不用设置用户名 操作员只有只读的权限 Blue configBlue config passwordoperator12345678 密码将显示成 12345678为密码12345678 再次输入密码进行校验 设置管理员的用户名和密码 管理员有完全的读和写的权限 Blue configBlue config passwordmanagerusernamesvacommsvacomm为用户名12345678 密码将显示成 12345678为密码 四 交换机映像更新及配置文件备份与恢复 1 将配置文件备份到TFTP服务器上将交换机的配置备份到远程的TFTP服务器上语法 copytftp pc unix 或copyconfigtftp pc unix 实例 将配置文件备份到一台TFTP服务器上ProCurve copystartup configtftp10 28 227 105d configs sw53002 将从TFTP服务器上的配置文件恢复到交换机将交换机的配置备份到远程的TFTP服务器上 语法 copytftp pc unix 或copytftpconfig pc unix 实例 将TFTP服务器上的备份文件恢复到交换机上ProCurve copytftpstartup config10 28 227 105d configs sw2512 3 升级交换机的映象文件先到网站上下载映象文件 4 密码恢复方法和清除配置办法如果密码丢失点击交换机面板前的clear按钮 当点击clear按钮后将删除交换面的密码和用户名 可以使用面板上的reset及clear按钮恢复设备的出厂值 同时按住reset及clear按钮 大约5秒钟后放开reset按钮 继续按住clear按钮 等面板上的sefltest 放开按钮 为了保护你交换机的配置安全 建议将交换机放置在安全的场所 不被外人有物理接触 该按钮的可以使用如下命令行格式 语法 no front panel securitypassword clearreset on clear清除配置命令格式 语法 erasestartup config或者eraseconfig 第二章二层相关协议设置 一 端口的命名方式 HP5300 5400交换机的面板如下图所示 端口在配置文件中的命名是以槽位 序号的方式进行 以5406为例 槽位编号从左至右 从上到下分别是 A B C D E F如A模块的第一个端口就叫 A1其它的非模块化交换机的端口命名以序号标识 如2626的15个端口就是15 给一个端口或一些端口配置一个友好的名字语法 interfacename在端口列表中删除语法 nointerfacename 实例 给一个端口配置一个名字link web servertest 5304xl config inta1namelink web servertest 5304xl config shownamePortNamesPortTypeNameA1100 1000Tlink web serverA2100 1000TLink client 2 二 端口物理参数配置 1 设置端口的工作模式显示每个端口的工作模式 使用命令 语法 showinterfaces brief config 查看端口的情况 test 5304xl config showinterfacesbrief更改端口的工作模式 使用命令 语法 speed duplex实例 将A1端口的工作模式更换为百兆全双工test 5304xl eth A2 inta1test 5304xl eth A1 speed duplex100ful1test 5304xl eth A2 showintbr 2 对端口的流量进行限制限制一个或一些端口的INBOUND流量使用命令 语法 no intrate limit实例 给一个端口和一些端口限制流量test 5304xl config inta1 a2rate limitall60test 5304xl config showrate limitall 三 基于端口的VLAN划分方法 基于端口VLAN划分命令语法 vlanvlan一般情况下 接电脑的端口设为untagged端口 而交换机与交换机之间的连接设置为tagged端口 在SW1上 接普通电脑的端口为A1 A2 所以它们应该设为untagged 而A3端口用于交换机间互联 并且要让VLAN2及VLAN3的数据包通过 所以应该设置为tagged SW1交换机的配置vlan2UntaggedA1TaggedA3Vlan3UntaggedA2TaggedA3 SW2交换机的配置vlan2UntaggedA1TaggedA3Vlan3UntaggedA2TaggedA3 四 TRUNKING LAG 的配置 TRUNKING是指链路聚合 就是把多个端口聚合成一个端口来使用 提供高速链路 并提供交换机连接的冗余性 设置trunking时在一个聚合组里的端口的物理参数要一至 如 端口类型要一致 同为电口或者光口 速率及双工模式一致 同为全双工或者半双工及自动协商 配置完一个trunking组后 以trk1 trk2等等设置逻辑参数 如VLAN的设置使用如下命令 Vlan5taggedtrk1这样同在trk1组中的端口全部可以接受带801 1QVLAN5的数包 配置Trunk命令 最后的表示使用何种协议来建立trunking trunk表示静态的配置 而lacp则使用链路聚合协议来完成trunking的建立 语法 trunk 五 生成树 STP RSTP 的配置方法 查看生成树命令 语法 showspanning treeconfigHPProCurveSwitch2626 config showspanning treeconfig启动生成树协议命令 语法 spanning treeprotocol versionstpwritememoryBoot该命令是使用标准的生成树 如果要使用RSTP则使用如下命令 Spanning treeprotocol versionrstp 重新配置每个端口的STP协议 语法 spanning treepath costprioritymode实例 将端口C5 C6配置成路径消耗15 间隔100使用快速模式HPProCurveSwitch2626 config spanning treec5 c6path cost15 第三章第三层相关设置 一 VLAN间路由的配置 VLAN间路由我们知道 一个VLAN相当于一个独立的局域网 要想使两个VLAN之间进行正常通讯 需要使用一个三层的设备来完成VLAN之间的路由 HP的所有三层交换机都可以实现VLAN间的路由 在HP交换机上 开启VLAN间路由的命令是5304 config iprouting在HP5400 5300 2600交换机上配置VLAN间路由的示例 一台5400交换机上划分了3个VLAN 分别为VLAN2 VLAN3 VLAN4对应的IP网段为192 168 1 0 24 192 168 2 0 24 192 168 3 0 5304 config IproutingVlan2UntaggedA1 A4TaggedB1Ipaddress192 168 1 1255 255 255 0Vlan3UntaggedA5 A10TaggedB1Ipaddress192 168 2 1255 255 255 0Vlan4UntaggedA11 A14TaggedB1Ipaddress192 168 3 1255 255 255 0接在A1 A4端口上PC机设置本机地址为 192 168 1 XX 24网关为192 168 1 1接在A5 A10端口上PC机设置本机地址为 192 168 2 XX 24网关为192 168 2 1接在A1 A14端口上PC机设置本机地址为 192 168 3 XX 24网关为192 168 3 1即可以由54 53 26系列交换机完成VLAN间的路由 二 静态路由的配置 路由选择表获取信息的方式有两种 以静态路由表项的方式手工输入信息 或者通过几种自动信息发现和共享系统 动态路由选择协议 之一自动地获取信息 静态路由条目的格式 5304 config iproute10 1 1 1255 0 0 0172 16 1 1目的网络下一跳 出口对端接口地址 缺省路由 默认路由 缺省路由是指本交换机中所有的路由表项都没有符合一个IP包的目的地址的时候交换机将这些数据包发送到什么地方去 5304 config iproute0 0 0 00 0 0 0172 16 5 1 三 OSPF的配置 如下图所示为两台交换机之间运行OSPF路由协议 以单一OSPF区域为例 交换机A的配置如下Switch A config vlan10Switch A vlan 10 untaga1Switch A vlan 10 ipaddress10 10 10 2 24Switch A vlan 10 exitSwitch A config iproutingSwitch A config routerospfSwitch A ospf area0 0 0 0Switch A ospf redistributeconnectedSwitch A ospf vlan10Switch A vlan 10 ipospfarea0 0 0 0Switch A vlan 10 vlan20Switch A vlan 20 untagb1Switch A vlan 20 ipaddress20 20 20 2 24 交换机B的配置 Switch B config vlan10Switch B vlan 10 untaga1Switch B vlan 10 ipaddress10 10 10 3 24Switch B vlan 10 exitSwitch B config iproutingSwitch B config routerospfSwitch B ospf area0 0 0 0Switch B ospf redistributeconnectedSwitch B ospf restrict198 168 40 0 24Switch B ospf vlan10Switch B vlan 10 ipospfarea0 0 0 0Switch B vlan 10 vlan30Switch B vlan 30 untagb1Switch B vlan 30 ipaddress30 30 30 2 24Switch B vlan 30 vlan40Switch B vlan 40 untagb4Switch B vlan 40 ipaddress198 168 40 1 24 相关OSPF的查看命令 showipospfgeneralshowipospfinterfaceshowiprouteospfshowiprouteshowipospfneighborshowipospfdatabaselink stateshowipospfdatabaseexternal link stateshowipospfrestrict 四 DHCPRelay的配置 DHCP请求的过程简单说是个广播 当一个DHCP客户端发出的请求广播报文是不能直接通过三层接口进行转发的 在划分了VLAN的网络中 必须使用DHCPrelay功能为每个VLAN中的客户机分配IP地址 例如某网络中划分了三个VLAN 使用一台DHCP服务器给这三个VLAN中的客户机分配IP地址 DHCP服务器中要配置三个DHCP的作用域 每个作用指定不同的IP地址池及路由器地址 命令格式 iphelper address实例 Iphelper address192 168 0 1在配置DHCPRelay时 其命令是在vlan下配置的 对需要DHCP分配的vlan配置DHCPrelay 在同一个vlan下可以配置多个DHCPRelay的地址 HPProCurveSwitch5304XL config iproutingHPProCurveSwitch5304XL config vlan20HPProCurveSwitch5304XL vlan 20 untaggedb3 b4HPProCurveSwitch5304XL vlan 20 ipaddress10 10 20 1 24HPProCurveSwitch5304XL vlan 20 vlan30HPProCurveSwitch5304XL vlan 30 untaggeda1HPProCurveSwitch5304XL vlan 30 ipaddress10 10 30 1 24HPProCurveSwitch5304XL vlan 30 iphelper address10 10 20 2HPProCurveSwitch5304XL vlan 30 iphelper address10 10 20 3HPProCurveSwitch5304XL vlan 30 vlan40HPProCurveSwitch5304XL vlan 40 untaggedc1HPProCurveSwitch5304XL vlan 40 ipaddress10 10 40 1 24HPProCurveSwitch5304XL vlan 40 iphelper address10 10 20 2HPProCurveSwitch5304XL vlan 40 iphelper address10 10 20 3HPProCurveSwitch5304XL vlan 40 writemem 第四章安全与认证 一 端口安全性 MAC绑定 命令格式 Port securitylearn mode address limit staticmac address实例 5304xl config port securitya3learn modestaticmac address0013D426DE9或者是5304xl config port securitya3address limit2learn modestaticmac address0013d2 26de990013d3 26de98Learn modestatic 交换机初始化状态下 端口的学习模式是自动学习MAC地址 所以在欲绑定MAC到端口的情况下需要把其改成静态模式 查看A3接口绑定MAC的情况 5304xl config showport securitya3 二 访问控制表 标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分 可对匹配的包采取 拒绝或允许两个操作 编号范围是从1到99的访问控制列表是标准IP访问控制列表 扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项 包括协议类型 源地址 目的地址 源端口 目的端口 建立连接的和IP优先级等 编号范围是从100到199的访问控制列表是扩展IP访问控制列表 标准访问控制列表ipaccess liststandard 创建一个标准访问列表permit 定义规则deny 定义规则vlan100 进入接口ipaccess group1 应用在该接口 扩展访问控制表ipaccess listextended 创建一个扩展访问列表Permit deny eq gt lt neg range 端口号或者应用 定义规则ipaccess group1 应用在该接口 三 IEEE802 1x配置 radius服务器地址 172 16 12 128 设置有一个帐户 共享key为111 以WINDOWS2000的IAS为RADIUS服务器5304一台 配备一块4P10 100 1000电口模块5304实例配置如下 iproutingvlan1name DEFAULT VLAN untaggedA1 A4ipaddress172 16 12 130255 255 255 0exitvlan200name test 1 untaggedA2ipaddress172 16 22 1255 255 255 0exitvlan300name test 2 untaggedA3ipaddress172 16 33 1255 255 255 0exit aaaauthenticationport accesschap radiusradius serverkey111radius serverhost172 16 12 128key111aaaport accessauthenticatorA2 A4aaaport accessauthenticatorA2auth vid200aaaport accessauthenticatorA3unauth vid300aaaport accessauthenticatoractive在该配置下 客户端使用WINDOWS2000SP3以上时 连入网络就会弹出一个认证窗口要求输入用户名及密码 四 WEB认证 WEB认证是对客户端认证的一种方法 认证过程为 设备在得到客户端接入请求时发送一个WEB窗口 用户在输入用户名和密码后 封装到SSL报文中 去往后台RADIUS服务器认证 认证成功后赋予客户端接入权限 实例配置如下 test 5304xl config aaaport accessweb basedA2client limit32test 5304xl config aaaport accessweb basedA2ssl logintest 5304xl config aaaport accessweb basedA2redirect urltest 5304xl config aaaport accessweb baseddhcp addr172 16 12 0255 255 255 0test 5304xl config aaaport accessweb baseddhcp lease25在WEB认证方式下 客户端连入交换机后需打开一个浏览器 交换机会返回一个页面给客户机要求输入用户名及密码 五 MAC认证 MAC认证是一种最简便的客户端接入控制方式 认证过程对无线 有线 客户端来说是透明的 MAC认证方式有2种 第一种称为 MAC RADIUS 认证 设备在得到客户端MAC地址后 将MAC地址作为用户名和密码 封装到RADIUS报文中 去往后台RADIUS服务器去认证 认证成功后赋予客户端接入权限 第二种称为 MAC ACL 方式 在设备上保存一份MAC地址列表 每次认证时在本地查表来确认客户端是否可以合法接入 配置命令如下 aaaport accessmac based e 第五章动手操作实验 一 交换机基本设置操作实验1 在HP5308上面配置主机名为HP 53082 在5308上面配置vlan2 vlan3 vlan4 vlan5 vlan6 vlan7 vlan8 3 配置vlan1 2 3 4的ip地址分别为为192 168 1 1 24 192 168 2 1 24 92 168 3 1 24 192 168 4 1 24 4 配置缺省网关为192 168 1 2545 配置5308上面vlan1端口A1 vlan2端口A2 vlan3端口A3 vlan4端口A4 6 删除vlan5 6 7 8 7 删除vlan4的ip地址8 将pc机接在A1端口上并设置网卡地址为对应网段ip地址 接在vlan2 vlan3 vlan4的端口上也可以 测试能否ping同对应的vlan地址 9 断开串口连接 telnet到交换机上 10 配置交换机的只读用户名和密码为adminpassword 配置交换机的管理用户名和密码为procurve12345678 11 退出telnet登陆 使用logout 重新telnet到交换机 并测试所配置的用户名和密码是否生效 13 禁止web登陆并测试14 禁止telnet登陆并测试 二 IProuting配置测试 交换机升级以及导入 导出系统配置实验1 上个实验操作成功的前提下 是有串口登陆到交换机 2 启用telnet访问3 启用web访问4 web访问登陆到交换机 浏览下交换机的web界面及配置 PC需要安装java插件 5 使用telnet登陆到交换机 将A16的端口命名为link 26266 将端口A13设置成10M全双工模式 并使用笔记本测试 7 将A14端口的所有流量限制成20Mb s 并测试 8 把A16端口设置成tagged访问端口 vlan1 vlan3 9 在2626上配置vlan2 端口2 vlan3 端口3 vlan4 端口4 并配置vlan1 3的tagged端口为26号端口 10 配置2626vlan1的ip地址为192 168 1 2 24 配置默认网关为12 168 1 1删除5308上面的默认网关 11 在5308上面启用iprouting12 把A16和2626上面的26号端