华为交换机常用配置ppt课件

华为交换机常用配置介绍 交换机开局 三层交换机和二层交换机功能上有很大区别5700的交换机除了LI的机型都是三层设备二层交换机运行在数据链路层 主要作用是数据交换和转发 三层交换机运行在网络层 主要作用是寻址和路由 所有对于交换机的开局而言主要工作是在三层交换机上 配置AAA AAA是认证 Authentication 授权 Authorization 和计费 Accounting 的简称 是网络安全中进行访问控制的一种安全管理机制 提供认证 授权和计费三种安全服务 配置用户名称和权限等级 Huawei Huawei aaa Huawei aaa local useradminpasswordcipheradmin 123 Huawei aaa local useradminservice typetelnetsshweb Huawei aaa local useradminprivilegelevel15备注 服务类型除了telnet ssh 还有ftp ppp terminal http web等 用户权限等级 配置远程控制 华为常用的远程控制分为三种方式ssh telnet web 默认开启 1 ssh Huawei stelnetserverenable 开启SSH功能 Huawei rsalocal key paircreate 创建加密秘钥 Huawei user interfacevty03 创建4个远程用户 Huawei ui vty0 3 authentication modeaaa 认证方式为AAA Huawei ui vty0 3 protocolinboundssh 协议为SSH Huawei sshuseradminauthentication typepassword 配置SSH用户的验证方式为password Huawei sshserverrekey interval20 修改密钥生成时间20小时更新一次 Huawei sshuseradminservice typestelnet 指定用户协议 2 telnet Huawei telnetserverenable 开启telnet服务功能 Huawei user interfacevty4 创建一个远程用户 Huawei ui vty4 authentication modeaaa 认证方式为AAA Huawei ui vty4 protocolinboundtelnet 协议为telnet或者认证方式为password Huawei user interfacevty4 创建一个远程用户 Huawei ui vty4 authentication modepassword 认证方式为password Huawei ui vty4 setauthenticationpasswordcipheradmin 123 设置认证密码 Huawei ui vty4 protocolinboundtelnet 协议为telnet 管理口 console 设置 Huawei user interfaceconsole0 配置管理口 Huawei ui vty4 authentication modeaaa 认证方式为AAA或者认证方式为password Huawei user interfaceconsole0 配置管理口 Huawei ui vty4 authentication modepassword 认证方式为password Huawei ui vty4 setauthenticationpasswordcipheradmin 123 设置认证密码 划分VLAN 对于一台交换机 首先要知道根据公司的部门划分不通的网段 而在三层交换机中可以通过划分VLAN来区分不通的网段 并且不同网段之间可以互通 在接入层交换机上只需要将下连接口需要用的vlan宣告出来 system view 进入系统视图模式 Huawei Huawei sysnameSWITCH 给交换机命名 SWITCH SWITCH vlanbatch27899 宣告多个vlan 2 7 8 99 SWITCH vlan2 进入vlan2视图下 SWITCH vlan2 descriptionoffice 给这个vlan加个描述 方便管理 配置网段IP地址 各部门的VLAN划分完毕之后 要个每个网段设置一个IP地址作为网关 各网段之间能够互相通信就要通过这个IP SWITCH interfaceVlanif2 进入vlan2虚接口下 SWITCH Vlanif2 ipaddress192 168 2 1255 255 255 0 配置IP地址 SWITCH interfaceVlanif7 进入vlan7虚接口下 SWITCH Vlanif2 ipaddress192 168 7 1255 255 255 0 配置IP地址 设置管理IP 如果是二层的接入交换机 需求远程管理这台机器 则需要给这台机器配置个管理IP 在给整个网络规划的时候 就会给整个网络中的网络设备 例如交换机 路由器 无线设备等 划分一个管理网段 所以新加的这个交换机就必须也设置在这个网段上 例如你们公司的管理网段是10 178 245 0 24 vlan号是1 所以新交换机也在vlan1上设置一个管理IP 10 178 245 1524 SWITCH interfaceVlanif1 进入vlan1虚接口下 SWITCH Vlanif2 ipaddress10 178 245 15255 255 255 0 配置IP地址 配置接口类型 根据交换机的接口接入的设备配置不同接口的类型华为的交换机接口分为三种 trunk access hybrid所有华为交换机的默认接口类型为hybrid当下联设备为交换机时 SWITCH interfaceGigabitEthernet0 0 1 进入接口模式下 SWITCH GigabitEthernet0 0 1 portlink typetrunk 配置为trunk型 SWITCH GigabitEthernet0 0 1 porttrunkallow passvlanall 允许所有vlan通过当下联设备为PC终端时 SWITCH interfaceGigabitEthernet0 0 2 进入接口模式下 SWITCH GigabitEthernet0 0 2 portlink typeaccess 配置为access型 SWITCH GigabitEthernet0 0 2 portdefaultvlan2 将接口加入到vlan2下 上联核心的接口设置 由于连接核心的交换机的下连端口可能划分到几个vlan中 所以上联口一般都设置为trunk模式 允许多个vlan通过 例如你们新加的那个交换机 下联口分到2 7 8 99的vlan中 那上联口的1口就需要设置为trunk模式 SWITCH interfaceGigabitEthernet0 0 1 进入接口模式下 SWITCH GigabitEthernet0 0 1 portlink typetrunk 配置为trunk型 SWITCH GigabitEthernet0 0 1 porttrunkallow passvlanall 允许所有vlan通过 DHCP 选用 DHCP DynamicHostConfigurationProtocol 动态主机配置协议 如果客户有DHCP服务器 则不用将DHCP地址池放到核心交换上 SWITCH ippoolvlan2 设置一个VLAN地址池 SWITCH ip pool vlan2 network192 168 2 0mask24 宣告网段 SWITCH ip pool vlan2 gateway list192 168 2 1 设置网关 SWITCH ip pool vlan2 dns list202 96 209 133 设置DNS SWITCH ip pool vlan2 excluded ip address192 168 2 2192 168 2 10 保留2 10地址不分配 选用 虚接口下启用DHCP DHCP地址池建好之后 要启用DHCP功能 SWITCH dhcpenable 开启DHCP功能在接口下要引用DHCP地址池 SWITCH interfaceVlanif2 SWITCH Vlanif2 dhcpselectglobal 引用全局地址池或者引用DHCP服务器的地址池 SWITCH interfaceVlanif2 SWITCH Vlanif2 dhcprelayserver ip192 168 1 2 引用DHCP中继 路由 华为交换机的各VLAN之间默认是互通的 不需要再写路由 当核心交换和其他核心之间或者路由器互通时就需要写路由 路由分静态路由和动态路由中小企业常用的为静态路由当通过路由器上网时 则需将内网的所有数据路由到路由器 就要写默认路由 SWITCH iproute static0 0 0 00 0 0 0172 16 1 254 默认路由指向路由器内网地址 部分客户的常用配置要求 访客网段不能访问办公网可通过policy进行流量控制或者进行2层端口隔离1 流量控制 SWITCH acl3001 新建一个高级ACL SWITCH acl adv 3001 rule5denyipsource192 168 7 00 0 0 255destination192 168 2 00 0 0 255 禁止5网段访问2网段 SWITCH acl adv 3001 rule100permitip 允许访问任何网段 SWITCH acl adv 3001 quit 退出当前模式 配置基于ACL的流分类 Switch trafficclassifiertc1 创建流分类 Switch classifier tc1 if matchacl3001 将ACL与流分类关联 Switch classifier tc1 quit配置流行为 Switch trafficbehaviortb1 创建流行为 Switch behavior tb1 deny 配置流行为动作为拒绝报文通过 Switch behavior tb1 quit配置流策略 Switch trafficpolicytp1 创建流策略 Switch trafficpolicy tp1 classifiertc1behaviortb1 将流分类tc1与流行为tb1关联 Switch trafficpolicy tp1 quit在接口下应用流策略 Switch interfacegigabitethernet0 0 1 Switch GigabitEthernet0 0 1 traffic policytp1inbound 流策略应用在接口入方向 2 端口隔离华为的端口隔离默认是配置二层隔离三层互通模式 SWITCH interfacegigabitethernet0 0 2 SWITCH GigabitEthernet0 0 2 portlink typeaccess 配置为access型 SWITCH GigabitEthernet0 0 2 portdefaultvlan2 将接口加入到vlan2下 SWITCH GigabitEthernet0 0 2 port isolateenable 缺省加入端口隔离组1 且隔离模式为二层隔离三层互通 SWITCH interfacegigabitethernet0 0 3 SWITCH GigabitEthernet0 0 2 portlink typeaccess 配置为access型 SWITCH GigabitEthernet0 0 2 portdefaultvlan7 将接口加入到vlan5下 SWITCH GigabitEthernet0 0 3 port isolateenable 缺省加入端口隔离组1 且隔离模式为二层隔离三层互通 接口限速 某些情况下客户会对接口限速 当报文的发送速率超过限制速率时 超出的那部分报文先进入缓存队列 当令牌桶有足够的令牌时 再均匀向外发送这些被缓存的报文 当缓存队列已满时 新到达的报文将被丢弃 SWITCH intGigabitEthernet0 0 1 SWITCH GigabitEthernet0 0 1 qoslroutboundcir10000 对出接口方向限速10M 端口汇聚 当单条链路速率不足或者对链路做冗余配置时可考虑端口汇聚端口汇聚一般应用在交换机之间的上下行链路 SWITCH interfaceEth Trunk1 建立一个聚合组 SWITCH Eth Trunk1 trunkportGigabitEthernet0 0 5to0 0 6 将5 6口加入聚合组 SWITCH Eth Trunk1 portlink typetrunk 配置为trunk模式 SWITCH Eth Trunk1 porttrunkallow passvlanall 允许所有vlan通过备注 两台交换机的汇聚组号必须一致 并且加入组的接口必须默认配置 保存配置 Huawei Huawei quit 退出到用户视图save 保存配置Thecurrentconfigurationwillbewrittentothedevice Areyousuretocontinue Y N y 选择Y确认继续Nowsavingthecurrentconfigurationtotheslot0 Mar7201710 39 28 08 00Huawei 01CFM 4 SAVE l 48 TheuserchoseYwhendecidingwhethertosavetheconfigurationtothedevice Savetheconfigurationsuccessfully 备份配置 dir 查看内存目录Directoryofflash IdxAttrSize Byte DateTimeFileName0drw Mar07201710 07 16src1drw Mar07201710 07 35compatible2 rw 581Mar07201710 39 30vrpcfg zip 交换机的配置文件32 004KBtotal 31 968KBfree tftp192 168 1 2putvrpcfg zip向TFTP服务器上传配置文件tftp192 168 1 2getvrpcfg zip向TFTP服务器下载配置文件 导入配置 tftp10 178 245 88getvrpcfg zipThefilevrpcfg zipexists Overwriteit Y N yInfo Transferfileinbinarymode DownloadingthefilefromtheremoteTFTPserver Pleasewait 100 TFTP Downloadingthefilesuccessfully 926byte s receivedin1second s startupsaved configurationflash vrpcfg ziprebootInfo Thesystemisnowcompar