44-三层基本功能配置 MyPower S4330 V1.0 系列交换机配置手册

版权所有 2011 迈普通信技术股份有限公司 保留所有权利 三三层层功功能能 配配置置 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 本手册著作权属迈普通信技术有限公司所有 未经著作权人书面许可 任何单位或个 人不得以任何方式摘录 复制或翻译 侵权必究 策 划 研究院 资料服务处 迈普通信技术有限公司 地址 成都市高新区九兴大道 16 号迈普大厦 技术支持热线 400 886 8669 传真 8628 85148948 E mail support 网址 邮编 610041 版本 2011 年 8 月 v1 0 版 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 目目 录录 第第 1 章章三层功能配置三层功能配置 4 1 1 三层功能简介三层功能简介 4 1 2 三层功能配置三层功能配置 5 1 2 1 三层功能配置列表 5 1 2 2 划分 VLAN 和三层接口创建 5 1 2 3 转发模式配置 6 1 2 4 为普通 VLAN 配置创建 VLAN 接口 6 1 2 5 创建 superVLAN 接口并把 VLAN 加入 superVLAN 6 1 2 6 为 VLAN 接口或者 superVLAN 接口配置 IP 地址 7 1 2 7 配置 VLAN 接口或者 superVLAN 接口接入 IP 地址范围 7 1 2 8 ARP 代理配置 8 1 2 9 显示 vlan supervlan 接口信息 8 1 2 10 URPF 功能配置 9 1 2 11 关闭接口发送 ICMP 目的主机不可达报文功能配置 9 1 3 配置实例配置实例 10 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 第第 1 章章 三层功能配置三层功能配置 1 1 三层功能简介三层功能简介 MyPower S4330 是一台基于 ASIC 技术的万兆智能路由交换机 可以进行二层和三层 转发 当同一个 VLAN 中的主机互相访问时是二层转发 不同 VLAN 的主机互相访问时 是三层转发 1 2 三层功能配置三层功能配置 1 2 1 三层功能配置列表三层功能配置列表 表 1 1 三层功能配置任务列表 配置任务说明详细配置 划分 VLAN 和三层接口创建划分 VLAN 和三层接口创建必选1 2 2 转发模式配置转发模式配置必选1 2 3 为普通 VLAN 配置创建 VLAN 接口为普通 VLAN 配置创建 VLAN 接口必选1 2 4 创建 superVLAN 接口并把 VLAN 加 入 superVLAN 创建 superVLAN 接口并把 VLAN 加 入 superVLAN 必选1 2 5 为 VLAN 接口或者 superVLAN 接口 配置 IP 地址 为 VLAN 接口或者 superVLAN 接口 配置 IP 地址 必选1 2 6 配置 VLAN 接口或者 superVLAN 接 口接入 IP 地址范围 配置 VLAN 接口或者 superVLAN 接 口接入 IP 地址范围 必选1 2 7 ARP 代理配置ARP 代理配置必选1 2 8 显示接口配置显示接口配置必选1 2 9 URPF 功能配置URPF 功能配置必选1 2 10 关闭接口发送 ICMP 目的主机不可达 报文功能配置 关闭接口发送 ICMP 目的主机不可达 报文功能配置 必选1 2 11 1 2 2 划分划分 VLAN 和三层接口创建和三层接口创建 划分 VLAN 的具体配置请参考 VLAN 配置章节 三层接口分为普通 VLAN 接口和 superVLAN 接口 普通 VLAN 接口为在具体某个 VLAN 创建的接口 而 superVLAN 接口在 superVLAN 上面创建 superVLAN 为不存在的 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 VLAN 它不包含任何端口 superVLAN 可以包含多个子 VLAN 子 VLAN 为具体存在的 VLAN 系统可以最多创建 256 个三层接口 其中 superVLAN 接口最多可达 128 个 所有三层接口包含的 VLAN 最大数目总和为 256 每个 VLAN 只存在一个三层接口中 在 superVLAN 中 端口只能在一个子 VLAN 为 untagged 成员 在其它子 VLAN 必需为 tagged 成员 创建三层接口的详细命令请参考 1 2 4 节 为普通 VLAN 配置创建 VLAN 接口 1 2 3 转发模式配置转发模式配置 本交换机支持两种报文转发模式 1 流转发 2 网络括朴转发 在流转发模式中查 找失败的路由或者目的不可达的主机路由将发送到 CPU 进一步处理 而在网络括朴转发模 式中这些报文将给直接丢弃 默认为流转发模式 表 1 3 转发模式配置 操作命令备注 进入全局配置模式configure terminal 配置系统中的报文转发模式 为流转发模式 ip def cpu可选 配置系统中的报文转发模式 为网络拓扑转发模式 no ip def cpu可选 显示当前配置的报文转发模 式 show ip def cpu 所有模式下都可 以执行 1 2 4 为普通为普通 VLAN 配置创建配置创建 VLAN 接口接口 设备需要为每个进行三层转发的 VLAN 配置 VLAN 接口 或者将该 VLAN 加入到 superVLAN 中 表 1 4 VLAN 转换功能配置 操作命令备注 进入全局配置模式configure terminal 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 创建 vlan 号为 vid 的 vlan 接 口 并进入 vlan 接口配置模 式 interface vlan interface 可选 返回全局模式 exit 删除 vlan 号为 vid 的 vlan 接 口 no interface vlan interface 可选 1 2 5 创建创建 superVLAN 接口并把接口并把 VLAN 加入加入 superVLAN superVLAN 接口实现位于不同 VLAN 但属于同一网段的主机间通信 superVLAN 接 口通过 ARP 代理实现 表 1 5 创建 superVLAN 接口并把 VLAN 加入 superVLAN 配置 操作命令备注 进入全局配置模式configure terminal 创建接口号为 vid 的 superVLAN 接口 并进入 superVLAN 接口配置模式 interface supervlan interface 可选 返回全局配置模式exit 删除接口号为 vid 的 superVLAN 接口 no interface supervlan interface 可选 配置 superVlan 接口的子 vlansubvlan 可选 删除 superVlan 接口的子 vlanno subvlan 可选 1 2 6 为为 VLAN 接口或者接口或者 superVLAN 接口配置接口配置 IP 地址地址 每个 VLAN 接口或者 superVLAN 接口最多可以配置 32 个 IP 地址 这些接口的 IP 地 址不能在同一网段 接口的第一个配置的 IP 地址会被自动选举为主 IP 地址 当删除主 IP 地址后接口会自动选举此接口的另一个 IP 地址为主 IP 地址 也可以手工指定已经配置的 一个 IP 地址为主 IP 地址 如 VLAN 接口 1 的 IP 地址为 10 11 0 1 16 那么其它接口就不 能配置属于 10 11 0 0 16 网段的 IP 地址 如 10 11 1 1 24 表 1 6 为 VLAN 接口或者 superVLAN 接口配置 IP 地址 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 操作命令备注 进入全局配置模式configure terminal 进入 vlan 或 superVLAN 接口 配置模式 interface vlan interface interface supervlan interface 配置接口的 ip 地址和掩码ip address 可选 删除接口的所有 ip 地址no ip address 可选 删除接口的指定 ip 地址no ip address 可选 配置此接口的主 ip 地址ip address primary 可选 1 2 7 配置配置 VLAN 接口或者接口或者 superVLAN 接口接入接口接入 IP 地址范围地址范围 每个 VLAN 接口或者 superVLAN 接口最多可以配置 8 个接入范围 当配置接入范围 后用户 ARP 必须在这些范围之内才可以学习 通过这样来限制用户的接入 当删除 VLAN 接口或者 superVLAN 接口时 相关配置自动删除 对于 superVLAN 接口 可以同时指定子 VLAN 这样限制的范围仅适用于该子 VLAN 表 1 7 配置 VLAN 接口或者 superVLAN 接口接入 IP 地址范围 操作命令备注 进入全局配置模式configure terminal 进入 vlan 或 superVLAN 接口 配置模式 interface vlan interface interface supervlan interface 配置此接口下可以接入的 IP 地址范围 介于 startip 和 endip 之间 ip address range startip endip可选 删除接口下的所有接入 ip 地 址范围 no ip address range可选 删除接口下的指定接入 ip 地 址范围 no ip address range startip endip可选 为 superVLAN 接口的子 vlan 配置接入 ip 地址范围 ip address range startip endip vlan 可选 删除 superVLAN 接口的子 vlan 对应的接入 ip 地址范围 no ip address range startip endip vlan 可选 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 1 2 8 ARP 代理配置代理配置 因为 ARP 请求报文是广播报文 不能穿越 VLAN 如果启动了 ARP 代理功能 就可 以使同一 superVLAN 中子 VLAN 的主机进行 ARP 交互 当 ARP 代理处于关闭状态时 superVLAN 接口中的子 VLAN 的主机无法进行通信 默认情况下 从所有子 VLAN 进来的 ARP 请求报文都会按照上述方式处理 使用命 令也可以限制从某个子 VLAN 进来的 ARP 请求报文 ARP 代理处理时不向其他子 VLAN 进 行广播 表 1 8 ARP 代理配置 操作命令备注 进入 vlan 配置模式vlan 开启此 vlan 的 arp proxy 功能arp proxy可选 关闭此 vlan 的 arp proxy 功能no arp proxy可选 开启此 vlan 的 arp proxy 广播 功能 arp proxy broadcast可选 关闭此 vlan 的 arp proxy 广播 功能 no arp proxy broadcast可选 显示目前系统中配置的 ARP 代理信息 show arp proxy 所有模式下都可 以执行 显示目前系统中配置的 ARP 代理广播信息 show arp proxy broadcast 所有模式下都可 以执行 1 2 9 显示显示 vlan supervlan 接口信息接口信息 本设备将vlan 接口信息和superVLAN 接口信息统一整合在一起 使用统一的显示命令 查看即可 表 1 9 显示 vlan supervlan 接口信息 操作命令备注 显示目前系统中已经配置的 vlan 和 superVLAN 接口信息 show ip interface vlan interface supervlan interface 所有模式下都可 以执行 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 1 2 10 URPF 功能配置功能配置 URPF 是单播反向路径检测 unicast Reverse Path Forwarding 的简称 其主要功能 是防止基于源地址欺骗的网络攻击行为 URPF 通过获取报文的源地址和入接口 以源地址 为目的地址 在路由表中查找源地址对应的路由 若报文符合条件 则进行转发 否则丢 弃 URPF 有两种模式 1 strict mode 严格模式 就是在查找路由表进行反向路径检测的时候 必须匹配 源地址存在在路由表中 且到达数据包源地址的出接口与数据包入接口相同 2 loose mode 松散模式 就是在查找路由表进行反向路径检测的时候 只检查数 据包的源地址是否在单播路由表中 如果路由表中存在 就通过检测 表 1 10 URPF 功能配置 操作命令备注 进入全局配置模式configure terminal 进入 vlan 或 superVLAN 接口 配置模式 interface vlan interface interface supervlan interface 开启此接口下的 urpf 功能 并指定其 urpf 模式 urpf loose strict 可选 关闭此接口下的 urpf 功能no urpf可选 显示系统中配置的 urpf 信息show urpf 所有模式下都可 以执行 1 2 11 关闭接口发送关闭接口发送 ICMP 目的主机不可达报文功能配置目的主机不可达报文功能配置 为防止类似 ip scan 之类的地址扫描软件的攻击 用户可以选择关闭接口发送 ICMP 目 的主机不可达报文 表 1 11 关闭接口发送 ICMP 目的主机不可达报文功能配置 操作命令备注 进入全局配置模式configure terminal 进入 vlan 或 superVLAN 接口 interface vlan interface 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 配置模式 interface supervlan interface 开启此接口发送 icmp 目的不 可达报文功能 ip icmp unreachable可选 关闭此接口发送 icmp 目的不 可达报文功能 no ip icmp unreachable可选 显示目前的 icmp 目的不可达 报文发送功能配置情况 show ip icmp unreachable 所有模式下都可 以执行 1 3 配置实例配置实例 1 配置全局关闭流转发模式 Switch config no ip def cpu Switch config sho ip def cpu Routing def routes and def hosts to CPU FALSE 2 创建一个 vlan 2 接口和一个 superVLAN 2 接口 为 vlan 2 接口分配 IP 地址 10 11 0 1 16 为 superVLAN 2 接口分配 IP 地址 10 12 0 1 16 superVLAN 2 接口包含子 vlan 3 和 vlan 4 同时配置 vlan 2 接口接入的 IP 地址范围为 10 11 0 2 10 11 0 200 superVLAN 2 接口接入的 IP 地址范围为 10 12 0 2 10 12 0 200 开启 vlan 2 接口和 superVLAN 2 接口的 arp 代理功能 并限制 superVLAN 2 接口的 arp 代理报文转 发到其他 vlan 设置 vlan 2 接口的 urpf 功能为严格模式 设置 superVLAN 2 接口的 urpf 功能为松散模式 关闭 superVLAN 2 接口的 icmp 目的主机不可达报文发送功能 配置如下 Switch config vlan 2 Switch config if vlan exit Switch config interface vlan interface 2 Create vlan interface successfully Switch config if vlanInterface 2 exit Switch config interface supervlan interface 2 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 Create success Switch config if superVLANInterface 2 exit Switch config interface vlan interface 2 Switch config if vlanInterface 2 ip address 10 11 0 1 255 255 0 0 This ipaddress will be the primary ipaddress of this interface Config ipaddress successfully Switch config if vlanInterface 2 exit Switch config interface supervlan interface 2 Switch config if superVLANInterface 2 ip address 10 12 0 1 255 255 0 0 This ipaddress will be the primary ipaddress of this interface Config ipaddress successfully Switch config if superVLANInterface 2 exit Switch config vlan 3 4 Switch config if vlan exit Switch config interface supervlan interface 2 Switch config if superVLANInterface 2 subvlan 3 4 Switch config if superVLANInterface 2 exit Switch config interface vlan interface 2 Switch config if vlanInterface 2 ip address range 10 11 0 2 10 11 0 200 Switch config if vlanInterface 2 exit Switch config interface supervlan interface 2 Switch config if superVLANInterface 2 ip address range 10 12 0 2 10 12 0 200 Switch config if superVLANInterface 2 exit Switch config vlan 2 Switch config if vlan arp proxy Config arp proxy enable successfully Switch config if vlan vlan 3 4 Switch config if vlan no arp proxy broadcast Config arp proxy broadcast disable successfully 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 Switch config if vlan exit Switch config interface vlan interface 2 Switch config if vlanInterface 2 urpf strict Configure URPF strict mode successfully Switch config if vlanInterface 2 exit Switch config interface supervlan interface 2 Switch config if superVLANInterface 2 urpf loose Configure URPF loose mode successfully Switch config if superVLANInterface 2 no ip icmp unreachable Disable sending ICMP unreachable on this interface