华为交换机常用配置PPT课件

.,1,华为交换机常用配置介绍,.,2,交换机开局,三层交换机和二层交换机功能上有很大区别5700的交换机除了LI的机型都是三层设备二层交换机运行在数据链路层，主要作用是数据交换和转发；三层交换机运行在网络层，主要作用是寻址和路由。所有对于交换机的开局而言主要工作是在三层交换机上。,.,3,配置AAA,AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的简称，是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务。配置用户名称和权限等级HuaweiHuaweiaaaHuawei-aaalocal-useradminpasswordcipheradmin123Huawei-aaalocal-useradminservice-typetelnetsshwebHuawei-aaalocal-useradminprivilegelevel15备注：服务类型除了telnet,ssh，还有ftp,ppp,terminal,http,web等,.,4,用户权限等级,.,5,配置远程控制,华为常用的远程控制分为三种方式ssh、telnet、web（默认开启）1、sshHuaweistelnetserverenable#开启SSH功能Huaweirsalocal-key-paircreate#创建加密秘钥Huaweiuser-interfacevty03#创建4个远程用户Huawei-ui-vty0-3authentication-modeaaa#认证方式为AAAHuawei-ui-vty0-3protocolinboundssh#协议为SSHHuaweisshuseradminauthentication-typepassword#配置SSH用户的验证方式为passwordHuaweisshserverrekey-interval20#修改密钥生成时间20小时更新一次Huaweisshuseradminservice-typestelnet#指定用户协议,.,6,2、telnetHuaweitelnetserverenable#开启telnet服务功能Huaweiuser-interfacevty4#创建一个远程用户Huawei-ui-vty4authentication-modeaaa#认证方式为AAAHuawei-ui-vty4protocolinboundtelnet#协议为telnet或者认证方式为passwordHuaweiuser-interfacevty4#创建一个远程用户Huawei-ui-vty4authentication-modepassword#认证方式为passwordHuawei-ui-vty4setauthenticationpasswordcipheradmin123#设置认证密码Huawei-ui-vty4protocolinboundtelnet#协议为telnet,.,7,管理口（console）设置,Huaweiuser-interfaceconsole0#配置管理口Huawei-ui-vty4authentication-modeaaa#认证方式为AAA或者认证方式为passwordHuaweiuser-interfaceconsole0#配置管理口Huawei-ui-vty4authentication-modepassword#认证方式为passwordHuawei-ui-vty4setauthenticationpasswordcipheradmin123#设置认证密码,.,8,划分VLAN,对于一台交换机，首先要知道根据公司的部门划分不通的网段，而在三层交换机中可以通过划分VLAN来区分不通的网段，并且不同网段之间可以互通。在接入层交换机上只需要将下连接口需要用的vlan宣告出来。system-view#进入系统视图模式HuaweiHuaweisysnameSWITCH#给交换机命名SWITCHSWITCHvlanbatch27899#宣告多个vlan，2、7、8、99SWITCHvlan2#进入vlan2视图下SWITCH-vlan2descriptionoffice#给这个vlan加个描述，方便管理,.,9,配置网段IP地址,各部门的VLAN划分完毕之后，要个每个网段设置一个IP地址作为网关，各网段之间能够互相通信就要通过这个IP；SWITCHinterfaceVlanif2#进入vlan2虚接口下SWITCH-Vlanif2ipaddress#配置IP地址SWITCHinterfaceVlanif7#进入vlan7虚接口下SWITCH-Vlanif2ipaddress#配置IP地址,.,10,设置管理IP,如果是二层的接入交换机，需求远程管理这台机器，则需要给这台机器配置个管理IP。在给整个网络规划的时候，就会给整个网络中的网络设备，例如交换机，路由器，无线设备等，划分一个管理网段。所以新加的这个交换机就必须也设置在这个网段上。例如你们公司的管理网段是/24,vlan号是1.所以新交换机也在vlan1上设置一个管理IP：524SWITCHinterfaceVlanif1#进入vlan1虚接口下SWITCH-Vlanif2ipaddress5#配置IP地址,.,11,配置接口类型,根据交换机的接口接入的设备配置不同接口的类型华为的交换机接口分为三种：trunk、access、hybrid所有华为交换机的默认接口类型为hybrid当下联设备为交换机时：SWITCHinterfaceGigabitEthernet0/0/1#进入接口模式下SWITCH-GigabitEthernet0/0/1portlink-typetrunk#配置为trunk型SWITCH-GigabitEthernet0/0/1porttrunkallow-passvlanall#允许所有vlan通过当下联设备为PC终端时：SWITCHinterfaceGigabitEthernet0/0/2#进入接口模式下SWITCH-GigabitEthernet0/0/2portlink-typeaccess#配置为access型SWITCH-GigabitEthernet0/0/2portdefaultvlan2#将接口加入到vlan2下,.,12,上联核心的接口设置,由于连接核心的交换机的下连端口可能划分到几个vlan中，所以上联口一般都设置为trunk模式，允许多个vlan通过。例如你们新加的那个交换机，下联口分到2、7、8、99的vlan中；那上联口的1口就需要设置为trunk模式。SWITCHinterfaceGigabitEthernet0/0/1#进入接口模式下SWITCH-GigabitEthernet0/0/1portlink-typetrunk#配置为trunk型SWITCH-GigabitEthernet0/0/1porttrunkallow-passvlanall#允许所有vlan通过,.,13,DHCP（选用）,DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）如果客户有DHCP服务器，则不用将DHCP地址池放到核心交换上；SWITCHippoolvlan2#设置一个VLAN地址池SWITCH-ip-pool-vlan2networkmask24#宣告网段SWITCH-ip-pool-vlan2gateway-list#设置网关SWITCH-ip-pool-vlan2dns-list33#设置DNSSWITCH-ip-pool-vlan2excluded-ip-address0#保留2-10地址不分配（选用）,.,14,虚接口下启用DHCP,DHCP地址池建好之后，要启用DHCP功能；SWITCHdhcpenable#开启DHCP功能在接口下要引用DHCP地址池SWITCHinterfaceVlanif2SWITCH-Vlanif2dhcpselectglobal#引用全局地址池或者引用DHCP服务器的地址池SWITCHinterfaceVlanif2SWITCH-Vlanif2dhcprelayserver-ip#引用DHCP中继,.,15,路由,华为交换机的各VLAN之间默认是互通的，不需要再写路由；当核心交换和其他核心之间或者路由器互通时就需要写路由；路由分静态路由和动态路由中小企业常用的为静态路由当通过路由器上网时，则需将内网的所有数据路由到路由器，就要写默认路由；SWITCHiproute-static54#默认路由指向路由器内网地址,.,16,部分客户的常用配置要求,访客网段不能访问办公网可通过policy进行流量控制或者进行2层端口隔离1、流量控制SWITCHacl3001#新建一个高级ACLSWITCH-acl-adv-3001rule5denyipsource55destination55#禁止5网段访问2网段SWITCH-acl-adv-3001rule100permitip#允许访问任何网段SWITCH-acl-adv-3001quit#退出当前模式,.,17,配置基于ACL的流分类Switchtrafficclassifiertc1/创建流分类Switch-classifier-tc1if-matchacl3001/将ACL与流分类关联Switch-classifier-tc1quit配置流行为Switchtrafficbehaviortb1/创建流行为Switch-behavior-tb1deny/配置流行为动作为拒绝报文通过Switch-behavior-tb1quit配置流策略Switchtrafficpolicytp1/创建流策略Switch-trafficpolicy-tp1classifiertc1behaviortb1/将流分类tc1与流行为tb1关联Switch-trafficpolicy-tp1quit在接口下应用流策略Switchinterfacegigabitethernet0/0/1Switch-GigabitEthernet0/0/1traffic-policytp1inbound/流策略应用在接口入方向,.,18,2、端口隔离华为的端口隔离默认是配置二层隔离三层互通模式SWITCHinterfacegigabitethernet0/0/2SWITCH-GigabitEthernet0/0/2portlink-typeaccess#配置为access型SWITCH-GigabitEthernet0/0/2portdefaultvlan2#将接口加入到vlan2下SWITCH-GigabitEthernet0/0/2port-isolateenable#缺省加入端口隔离组1，且隔离模式为二层隔离三层互通。SWITCHinterfacegigabitethernet0/0/3SWITCH-GigabitEthernet0/0/2portlink-typeaccess#配置为access型SWITCH-GigabitEthernet0/0/2portdefaultvlan7#将接口加入到vlan5下SWITCH-GigabitEthernet0/0/3port-isolateenable#缺省加入端口隔离组1，且隔离模式为二层隔离三层互通。,.,19,接口限速,某些情况下客户会对接口限速。当报文的发送速率超过限制速率时，超出的那部分报文先进入缓存队列；当令牌桶有足够的令牌时，再均匀向外发送这些被缓存的报文；当缓存队列已满时，新到达的报文将被丢弃。SWITCHintGigabitEthernet0/0/1SWITCH-GigabitEthernet0/0/1qoslroutboundcir10000#对出接口方向限速10M,.,20,端口汇聚,当单条链路速率不足或者对链路做冗余配置时可考虑端口汇聚端口汇聚一般应用在交换机之间的上下行链路SWITCHinterfaceEth-Trunk1#建立一个聚合组SWITCH-Eth-Trunk1trunkportGigabitEthernet0/0/5to0/0/6#将5、6口加入聚合组SWITCH-Eth-Trunk1portlink-typetrunk#配置为trunk模式SWITCH-Eth-Trunk1porttrunkallow-passvlanall#允许所有vlan通过备注：两台交换机的汇聚组号必须一致，并且加入组的接口必须默认配置,.,21,保存配置,HuaweiHuaweiquit#退出到用户视图save#保存配置Thecurrentconfigurationwillbewrittentothedevice.Areyousuretocontinue?Y/Ny#选择Y确认继续Nowsavingthecurrentconfigurationtotheslot0.Mar7201710:39:28-08:00Huawei%01CFM/4/SAVE(l)48:TheuserchoseYwhendecidingwhethertosavetheconfigurationtothedevice.Savetheconfigurationsuccessfully.,.,22,备份配置,dir#查看内存目录Directoryofflash:/IdxAttrSize(Byte)DateTimeFileName0drw-Mar07201710:07:16src1drw-Mar07201710:07:35compatible2-rw-581Mar07201710:39:30vrpcfg.zip#交换机的配置文件32,004KBtotal(31,968KBfree)tftpputvrpcfg.zip向TFTP服务器上传配置文件tftpgetvrpcfg.zip向TFTP服务器下载配置文件,.,23,导入配置,tftp8getvrpcfg.zipThefilevrpcfg.zipexists.Overwriteit?Y/N:yInfo:Transferfileinbinarymode.DownloadingthefilefromtheremoteTFTPserver.Pleasewait.100%TFTP:Downloadingthefilesuccessfully.926byte(s)receivedin1second(s).startupsaved-configurationflash:/vrpcfg.ziprebo