H3C S12500系列交换机基础配置操作规范ppt课件

S12500系列交换机基础配置最佳实践 日期 规范高端产品的软件部署工作 为后继产品维护和稳定运行奠定坚实的基础 引入 掌握高端交换机的基础配置规范 课程目标 学习完本课程 您应该能够 目录 基础配置最佳实践链路聚合最佳实践配置VRRP最佳实践配置IRF2最佳实践配置OSPF最佳实践配置BGP最佳实践配置 Sysname配置 sysname可以唯一标识一台设备 sysname的命名可以考虑以下因素的几种组合 中间用 或 分隔开 地理位置厂家名称机架编号设备型号业务区域名称设备IRF2形态机房名称举例 某客户在杭州滨江电信大厦普通业务区的12508的命令 设备使用IRF功能 S12500 sysnameHZBJ DXDS PTQ H S12508 IRF Description配置 配置description在不同情况下应体现不同的内容 设备支持注释的地方 各类接口及VLAN VSI及VPNInstance NQA ACL OSPF Sflow 配置description时应体现出业务的功能 目的 业务类型 端口形态 连接关系等因素 以提高配置的可读性 举例 某端口连接到杭州滨江电信大厦普通业务区的12508GigabitEthernet3 0 4 S12500 GigabitEthernet3 0 4 descriptionto HZBJ DXDS PTQ H S12508 G3 0 4 开 关stp功能配置 S12500设备缺省开启stp功能 如果业务不需要 请在全局或接口视图下关闭stp功能 S12500 stpdisable S12500 GigabitEthernet3 0 4 stpdisable Trunk端口配置 建议明确配置端口允许通过的VLAN号 建议不要配置端口允许所有VLAN通过 非业务需要 请配置禁止VLAN1通过IRF2与IPS ACG插卡配合做跨框重定向时要求内联口允许VLAN1通过 S12500 GigabitEthernet3 0 4 undoporttrunkpermitvlan1 S12500 GigabitEthernet3 0 4 porttrunkpermitvlan1020 DLDP功能配置 为了避免产生光纤单通或者交叉连接的现象 在设备通过光纤互连 尤其远距离光纤互连的情况下 在光接口下使能dldp功能 并且建议配置dldp的工作模式为加强模式 在系统视图下配置 在需要配置dldp的端口视图下使能dldp功能 注意 只有在全局和端口上均使能DLDP的情况下 才能启动DLDP功能 正常收发DLDP报文 S12500 dldpenable S12500 dldpwork modeenhance S12500GigabitEthernet3 0 4 dldpenable Port group功能配置 通过配置手工端口组功能简化端口群配的工作 举例 缺省情况下 设备所有端口处于shutdown状态 可以通过创建端口组的方式 在端口组视图下批量打开多个以太网接口 端口组删除后 组内成员配置不会改变 S12500 port groupmanual1 S12500 port group manual 1 group memberGigabitEthernet3 0 1toGigabitEthernet3 0 10 S12500 port group manual 1 undoshutdown 用户登录权限控制 配置ACL 控制VTY用户界面访问权限 提高设备管理的安全性 推荐使用HWTACACS服务器对登录用户进行认证 授权 计费 HWTACACS服务器故障 可以采用本地帐号进行设备管理 用户登录权限配置 全局开启TelnetServer功能 配置ACL2000 用于控制VTY用户界面的访问权限 配置VTY用户界面创建本地用户配置切换到3级 level3 用户权限的密码 S12500 telnetserverenable S12500 aclnumber2000 S12500 acl basic 2000 rulepermitsource192 168 1 00 0 0 255 S12500 user interfacevty04 S12500 ui vty0 4 authentication modescheme S12500 ui vty0 4 acl2000inboundtelnet S12500 local userh3c S12500 luser h3c S12500 luser h3c service typetelnetterminal S12500 superpasswordcipherpassword 用户登录权限配置 续 配置HWTACACS认证方案配置认证域的命令行授权AAA方案 使用HWTACACS方案 S12500 hwtacacsschemehwtacacs S12500 hwtacacs hwtacacs primaryauthentication192 168 2 20 S12500 hwtacacs hwtacacs primaryauthorization192 168 2 20 S12500 hwtacacs hwtacacs primaryaccounting192 168 2 20 S12500 hwtacacs hwtacacs keyauthenticationexpert S12500 hwtacacs hwtacacs keyauthorizationexpert S12500 hwtacacs hwtacacs keyaccountingexpert S12500 hwtacacs hwtacacs nas ip192 168 1 1 S12500 hwtacacs hwtacacs user name formatwithout domain S12500 domainhwtacacs S12500 isp hwtacacs authenticationloginhwtacacs schemehwtacacslocal S12500 isp hwtacacs authorizationloginhwtacacs schemehwtacacslocal S12500 isp hwtacacs authorizationcommandhwtacacs schemehwtacacs S12500 isp hwtacacs accountingcommandhwtacacs schemehwtacacs S12500 isp hwtacacs idle cutenable10 S12500 domaindefaultenablehwtacacs none 配置备份命令行授权方式为不授权 NTP功能配置 S12500作为NTPClient向网络中的NTPServer同步时间 注意 目前设备支持NTP版本号为Version1 3 缺省情况下 设备采用Version3向Server同步时间信息 S12500 ntp servicesource interfaceloopback0 S12500 ntp serviceunicast server10 1 1 1version3 SNMPv1 v2c配置配置ACL2000 用于控制网管站对设备的访问权限 配置SNMPv2基本信息 包括版本 团体名 配置设备向网管软件发送trap信息 SNMP配置 S12500 aclnumber2000namesnmp S12500 acl basic 2000 snmp rulepermitsource1 1 1 20 0 0 0 S12500 snmp agentsys infoversionv1v2c S12500 snmp agentcommunityreadpublicacl2000 S12500 snmp agentcommunitywriteprivateacl2000 S12500 snmp agenttrapenable S12500 snmp agenttarget hosttrapaddressudp domain1 1 1 2paramssecuritynamev2c S12500 snmp agenttrapsourceLoopBack0 public trap消息中的团体字使用读团体字public SNMP配置 续一 SNMPv3认证且加密配置配置ACL2000 用于控制网管站对设备的访问 配置SNMPv3基本信息 包括版本 用户组名 用户名 认证算法 加密算法 认证密钥和加密密钥 配置设备向网管软件发送trap信息 S12500 snmp agentsys infoversionv3 S12500 snmp agentgroupv3groupnameacl2000 S12500 snmp agentsys infocontactName CellphoneNumber S12500 snmp agentsys infolocationHangZhou S12500 snmp agentusm userv3usernamegroupnameauthentication modemd5auth passwordprivacy modedes56priv password S12500 snmptrapenable S12500 snmp agenttarget hosttrapaddressudp domain1 1 1 2paramssecuritynameusernamev3privacy S12500 snmp agenttrapsourceloopback0 日志主机配置 一台S12500交换机最多可配置4台日志主机 在同时配置日志主机和trap主机时 建议 关闭trap转log的开关关掉或者把trap转log级别调整到warnings以上 S12500 info centerenable S12500 info centerloghost1 1 1 1 S12500 info centerloghostsourceloopback0 S12500 info centersourcedefaultchannelloghosttrapstateoff S12500 info centersourcedefaultchannelloghosttraplevelwarningsstateon 基础配置最佳实践链路聚合最佳实践配置VRRP最佳实践配置IRF2最佳实践配置OSPF最佳实践配置BGP最佳实践配置 目录 链路聚合配置最佳实践 link aggregationload sharingmode destination ip destination mac destination port ingress port mpls label1 mpls label2 mpls label3 source ip source mac source port S12500聚合组中最多支持12个处于Selected状态的端口 同一聚合组中端口选择 请尽量遵循跨板跨芯片端口选择原则 建议配置全网设备采用相同的负载分担算法 V3 V5 Cisco不同聚合模式互通可行性 链路聚合配置注意事项 配置注意事项 对聚合端口组的配置会同步到组内的其它成员端口下 但是对聚合组内的单个成员端口的配置修改 不会同步到聚合端口组或者聚合组中的其他端口下 因此 如果需要修改聚合组的配置时 请在聚合端口组下进行 S12500 1 S12500 2 T1 0 1T2 0 1 T1 0 1T2 0 1 请严格按照以下顺序配置 全局视图下 创建聚合组 配置聚合模式 建议配置动态聚合模式 将对应的端口添加至聚合组中 在聚合端口组下完成聚合组的基本配置 链路聚合配置步骤 S12500 interfaceBridge Aggregation1 S12500 Bridge Aggregation1 link aggregationmodedynamic S12500 interfaceBridge Aggregation1 S12500 Bridge Aggregation1 portlink typetrunk S12500 Bridge Aggregation1 undoporttrunkpermitvlan1 S12500 Bridge Aggregation1 porttrunkpermitvlan100101 S12500 interfaceTen GigabitEthernet1 0 1 S12500 Ten GigabitEthernet1 0 1 portlink aggregationgroup1 S12500 interfaceTen GigabitEthernet2 0 1 S12500 Ten GigabitEthernet2 0 1 portlink aggregationgroup1 为已有聚合组新增链路配置 建议按照以下步骤配置 关闭 shutdown 新增链路两端的端口 将现有聚合组中成员端口下的配置拷贝 粘贴到新增端口下 待新增链路两端端口都完成上述配置后 再将两个端口打开 undoshutdown 基础配置最佳实践链路聚合配置最佳实践VRRP最佳实践配置IRF2最佳实践配置OSPF最佳实践配置BGP最佳实践配置 目录 VRRP设计 VRRPMaster的设计VRRP组中Master和Backup核心交换机应与MSTP所设计的instance的主 备根的设备相对应 VRID的设计不同VLAN的VRRPVRID建议配置成不同 并尽量与VLAN保持一定的对应关系 便于后续的维护 VRRP心跳报文交互端口VRRP心跳报文尽量在两台核心设备之间的互连接口转发 VRRP设计 续 VRRP监控 track 端口建议在主设备 Master 上配置track上行链路 实现VRRP状态与上行链路同步 防止上行链路故障导致业务中断 Master设备配置抢占延时 timedelay Master设备抢占时延必须大于路由收敛时间 建议配置为30s以上 VRRP与BFD联动Backup探测Master故障 Master上行链路和对端三层接口间串接一个或多个二层设备 VRRP综合举例 组网图配置说明SW1和SW2在VLAN2里做一个备份组 组ID是1 虚拟地址是10 1 1 1 24 SW1的优先级是200 SW2的优先级为100 启用抢占模式 延迟是15秒 组间使用认证 认证使用明文验证 密码是H3C SW1上Trackvlan3接口 当VLAN3接口down后 优先级下降150 SW2成为master VRRP综合举例 续一 SW1的配置 SW1 vlan interface2 ipaddress10 1 1 224 SW1 vlan interface2 vrrpvrid1virtual ip10 1 1 1 SW1 vlan interface2 vrrpvrid1priority200 SW1 vlan interface2 vrrpvrid1preempt modetimerdelay15 SW1 vlan interface2 vrrpauthentication modesimpleH3C SW1 vlan interface2 vrrpvrid1trackvlan interface3reduce150 VRRP综合举例 续二 SW2的配置 SW2 vlan interface2 ipaddress10 1 1 324 SW2 vlan interface2 vrrpvrid1virtual ip10 1 1 1 SW2 vlan interface2 vrrpvrid1priority1OO SW2 vlan interface2 vrrpvrid1preempt modetimerdelay15 SW2 vlan interface2 vrrpauthentication modesimpleH3C 基础配置最佳实践链路聚合最佳实践配置VRRP最佳实践配置IRF2最佳实践配置OSPF最佳实践配置BGP最佳实践配置 目录 IRF最佳实践 IRF域编号只存在一组IRF的环境 保持缺省值即可 存在多组IRF的环境中 不同的IRF组必须配置不同的域编号 IRF端口用于建立IRF链路的物理接口类型需保持一致 推荐物理直连 推荐堆叠接口至少绑定两个或两个以上来自于不同板卡的物理接口 推荐上行接口和堆叠接口的成员接口来自于不同的板卡 正常情况下 流量模型不建议走堆叠链路 成员编号选择网络位置相对重要的设备作为堆叠组中的Master 将其成员编号配置为1 另一台预计作为Slave的设备配置成员编号为2 成员优先级成员优先级缺省值为1 保持缺省即可 IRF最佳实践 续 桥MAC保留时间当堆叠分裂时 桥MAC缺省永久保留 保持缺省值即可 IRF合并自动重启功能一般情况下IRF堆叠自动重启功能缺省不使能 但在特殊情况下 如远程无人值守的机房中的设备 可使能自动重启功能以减少维护工作量 IRF链路down延迟上报IRF链路down延迟上报时间缺省值为0毫秒 以保证故障的快速检测 保持缺省值即可 IRFMAD检测 S12500 irfauto mergeenable BFDMAD检测 BFDMAD检测BFDMAD检测独立于堆叠组内运行 不依赖于中间设备 需额外占用一条链路 接口充足的情况下优先选择BFDMAD检测方式 配置BFDMAD的注意事项 检测链路使用千兆接口即可 在接口下增加必要的描述信息 不要配置其它无关的配置 BFD检测链路仅用于检测堆叠分裂 必须使用单独的VLAN 配置BFDMAD的物理端口下关闭stp功能 LACPMAD检测 无需额外占用端口 S12500和LSW间配置链路聚合 且链路聚合模式为动态链路聚合模式 LSW为H3C交换机 且使用的软件版本必须能够识别 处理携带了ActiveID值的LACPPDU协议报文 LSW无需配置LACPMAD IRF开局基本步骤 Internet 开局配置步骤 检查环境 确认待堆叠设备的系统工作模式 私网路由的标签处理方式 以及IPv6ACL功能配置相同 配置两台设备IRF编号 将预计加入IRF接口的物理接口手工shutdown 在两台设备上分别创建IRF端口并绑定物理端口 连接堆叠链路 将绑定IRF接口的物理接口undoshutdown 分别保存两台设备的当前配置文件 S12500 irfmember1 S12500 irf port1 S12500 irf port1 portgroupinterfaceGigabitEthernet3 0 1 开局配置步骤 续 先修改预计作为Master的设备模式为IRF2模式 后修改预计作为Slave的设备模式为IRF2模式 修改模式后设备将自动重启 配置MAD检测 BFDMAD或LACPMAD任选一种即可 BFDMAD关键配置 vlan100 interfacevlan interface100madbfdenablemadipaddress100 0 0 130chassis1madipaddress100 0 0 230chassis2 interfaceGigabitethernet1 6 0 1portaccessvlan100stpdisabled interfaceGigabitethernet2 6 0 1portaccessvlan100stpdisabled LACPMAD关键配置 vlan200 interfaceBridge aggregation1link aggregationmodedynamicmadenable interfaceGigabitethernet1 6 0 2portlink aggregationgroup1 interfaceGigabitethernet2 6 0 2portlink aggregationgroup1 interfaceBridge aggregation1portaccessvlan200 S12500 chassisconvertmodeirf 基础配置最佳实践链路聚合最佳实配置践VRRP最佳实践配置IRF2最佳实践配置OSPF最佳实践配置BGP最佳实践配置 目录 OSPF最佳实践配置 手工配置OSPF进程的Router ID 建议配置带宽参考值为OSPF网络中最大物理接口带宽的10倍如网络中最大物理接口带宽为10G 则配置带宽参考值为100000 手工配置VLAN接口开销 cost VLAN接口开销 带宽参考值 bandwidth reference VLAN内物理接口带宽和配置ospfMD5验证在OSPF区域视图下配置md5的区域验证模式 在OSPF接口视图下配置接口验证模式以及验证口令 S12500 ospf10router id1 1 1 1 S12500 ospf 1 area 0 0 0 0 authentication modemd5 S12500 Vlan interface113 ospfauthentication OSPF最佳实践配置 续一 在指定网段的接口上使能OSPF配置只有一个邻居的接口OSPF网络类型改成P2P类型 配置禁止接口收发OSPF报文在ABR上配置路由聚合 手工配置聚合路由开销 S12500 ospf 1 silent interfaceVlan interface113 S12500 ospf 1 area 0 0 0 0 abr summary10 1 0 0255 255 0 0cost100 S12500 Vlan interface113 ospfnetwork typep2p S12500 ospf 1 area 0 0 0 0 network10 1 1 10 0 0 0 OSPF最佳实践配置 续二 在ASBR配置路由聚合 且配置聚合路由开销ASBR上import外部路由时 根据需要配置路由策略控制路由信息 并手工配置路由cost值 可选 优化SPF计算参数 可选 注意 该参数需要全网所有OSPF路由器统一配置才能体现效果 S12500 ospf 1 import routestaticroute policy1cost1000 S12500 ospf 1 asbr summary10 1 0 0255 255 0 0cost1000 S12500 ospf 1 spf schedule interval51001000 OSPF最佳实践配置 续三 接口配置BFD提高收敛速度 可选 在接口视图下配置 注意 该参数需要链路上相关的OSPF路由器统一配置才能体现效果 S12500 Vlan interface113 ospfbfdenable S12500 Vlan interface113 bfdmin transmit interval200 S12500 Vlan interface113 bfdmin receive interval200 S12500 Vlan interface113 bfddetect multiplier3 基础配置最佳实践链路聚合最佳实配置践VRRP最佳实践配置IRF2最佳实践配置OSPF最佳实践配置BGP最佳实践配置 目录 BGP最佳实践配置 配置RouterID创建BGP对等体组创建IBGP对等体创建EBGP对等体建立BGP连接 S12500 bgp router id10 1 1 1 S12500 bgp groupininternal S12500 bgp groupexexternal S12500 bgp peerinas number100 配置建立TCP连接使用的源端口 通常情况下 建立IBGP邻居使用Loopbac