华为交换机培训手册

低端接入层以太网交换机培训,华为3Com技术有限公司深圳办事处售后服务热线：800-810-0504,产品介绍业务特性介绍组网应用案例设备配置介绍,培训内容提纲,用户对低端以太网交换机的要求,我需要VOIP！,端口规格,网络安全,增值业务支持,环境要求,维护方便性,环境要求端口规格维护能力业务能力网络安全设备成本,QOS保证,可运营/可管理的以太网系统五大功能特点,MA5200下挂S2000系列边缘接入交换机和S3000系列快速以太网交换机，可完成上述五大功能，构成一个可运营可管理的以太网的完整体系,QuidwayS低端以太网交换机系列,性价比,2008/2016/2026,2008B/2016B/2026B,2403H,3026,3526,3026E,3526E,3050,256VLANL2-L7过滤与流分类CAR802.1XHGMPV2可控组播,4KVLAN二.三层流分类802.1XHGMP可控组播,32VLAN802.1XHGMP可控组播VLAN透传2个PQ队列,低成本远程供电端口VLANHGMPV1基于端口的VLAN弱网管,智能快速以太网交换机,边缘接入以太网交换机,网络位置,快速交换机,3026F,3526F,3526E-F,3026E-F,QuidwayS3026高能线速可堆叠交换机,适用于城域网小区接入以及大中型企业LAN接入、小型企业LAN汇聚的以太网交换产品支持24FE，2GESlot；11000Base-Sx接口单元11000Base-Lx接口单元11000Base-T接口单元MAC地址4K,32个VLAN,QuidwayS3026前视图,QuidwayS3026后视图,1100Base-Sx接口单元1100Base-Lx接口单元1100Base-Tx接口单元,适于城域网小区汇聚，提供光/电混合接入，减少通常使用光电转换器造成的故障点和管理维护点提供2种固定光接口的主机；12个固定的单模FE光接口F主机(FS)；12个固定的多模FE光接口F主机(FM)；前面板提供2FESOLT，可以支持6100Base-FX（多模）接口单元；6100Base-LX（单模）接口单元；610/100Base-TX(RJ45）接口单元；MAC地址16K,4K个VLAN,QuidwayS3026F前视图,QuidwayS3026F后视图,QuidwayS3026F全光口交换机,后面板提供2GESOLT，可以支持11000Base-FX接口单元；11000Base-LX接口单元11000Base-T接口单元,QuidwayS3000系列共性,交换容量12.8G，最大转发率达6.55Mpps；（3050交换容量16G，最大转发率达10Mpps）支持所有端口间全线速二/三层交换；所有FE电口支持MDI/MDI-X自适应；,支持基于端口的VLAN，支持全局802.1QVLAN；支持PVLAN，支持VLANTrunking；支持GARP、GVRP，VTP；支持端口绑定；支持端口镜像、支持堆叠；支持802.1x认证方式，支持设备终结EAP或作EAPRELAY；,采用与VRP的软件平台，提供丰富的业务支持能力,QuidwayS3000系列共性,采用与VRP的软件平台，提供丰富的业务支持能力：,支持组播：IGMPSNOOPING、GMRP；支持802.1p优先级控制（两个优先级）、802.3X流控；支持RSTP快速生成树协议；支持MAC地址表锁定以及静态配置、对MAC的控制过虑及安全控制；支持多种管理方式：SNMP、RMON、WEB、TELNET、CONSOLE、HGMP；支持华为iManagerN2000/iManagerQuidview统一网管。,3026E/3026E-F增强的特性：根据报文前80字节进行过滤；根据报文前80字节进行流分类，并在此基础上支持带宽限制，报文重定向，优先级修改。适用于对QOS/ACL需求高的网络,QuidwayS2000系列边缘接入交换机,QuidwayS2000系列产品QuidwayS2008/S2016/S2026QuidwayS2008B/S2016B/S2026BQuidwayS2403H提供8/16/24个10/100M自适应端口；提供百兆光纤上行能力；基于VRP网络操作系统；低成本10/100M以太网接入、工作组解决方案；基于华为设计ASIC核心交换平台实现,QuidwayS2008/2016,QuidwayS2403H/2026,QuidwayS2016B,QuidwayS2008/16楼道交换机,为楼道工作环境量身定做：机身小巧，便于楼道安装端口密度低，节省运营商投资散热采用低噪音风扇，静音设计指示灯设计在机箱顶板上，便于壁挂维护支持群组管理，配置简单方便支持用户IP地址、MAC地址和端口的绑定支持802.1P对不同用户业务区分优先级支持802.1x32个全局802.1QVLAN、支持PVLAN可选配的外挂机箱：具备防尘、防潮、防雷击的能力可以在20至50的环境温度下正常工作机箱内外双重防盗设计，保护运营商的财产安全具备远端故障定位能力，支持物理端口环回，便于维护,QuidwayS2008/2016,QuidwayS2008,QuidwayS2016,产品概述业务特性介绍组网应用案例设备配置介绍,培训内容提纲,华为统一的网络操作系统VRP,VRP,Quidway中低端路由器,Quidway6505骨干交换机,A8010接入服务器,VRP:Versatileroutingplatform通用路由平台,MA5200以太网接入设备,QuidwayS系列中低端L2/L3交换机,Quidway8016核心交换机,vlan5,vlan,1,vlan,2,vlan6,5,6,1,2,vlan,1,vlan,2,PVLAN的应用,使用PVLAN(PrimaryVLAN)节省VLAN资源隔离用户,3026,vlan,3,vlan,4,3,4,vlan,3,vlan,4,3026,S3526,Core,MA5200F,DHCPServer,1、用户发起DHCP申请,2、MA5200根据用户权限作DHCPRELAY,3、根据DHCPAGENT的IP地址从相应地址池中分配用户IP地址,4、MA5200转发分配的IP地址，同时完成IP+VLAN+MAC的绑定,5、用户获得IP地址,Quidway2403H,基于物理位置的接入VLAN方式,华为自主设计的灵活接入方式VLAN+WEB用户认证,1、VLAN端口状态（阻塞/激活）可配置2、VLAN端口业务类型（General/Fast/Bind）可配置3、VLAN端口允许建立连接数目可管理4、用户连接带宽限制5、用户连接访问控制权限限制6、用户连接的流量适时采集上报7、帐号可同时允许建立用户连接数目限制8、与认证服务器配合实现的其它功能,WEB认证为用户提供了灵活的认证方式,Login:帐号AISP1Password:密码,Login:帐号BISP2Password:密码,MA5200F,Quidway2403H,Quidway2403H,Core,MA5200,RadiusServer,3、用户发起认证,4、MA5200作为认证客户端，与RadiusServer配合完成用户的认证过程,2、MA5200的ACL控制用户在未经过认证前只能访问一个或几个特定WWW服务器（WEB认证服务器）,1、用户通过DHCP获得IP地址,S2403,WEBServer,5、用户通过认证后可以正常实现Internet访问,VLAN+WEB方式是结合了帐号和物理位置的认证方式，可以作为实现Portal（门户业务）的基础,VLAN+WEB认证方式,VLAN+WEB用户认证实现过程,用户,门户服务器,发送认证请求（用户名和密码摘要）,1,2,3,4,5,6,7,8,9,10,MA5200,AAAServer,申请MagicNumber,转发申请,生成MagicNumber回送,转发MagicNumber,转发认证请求,Radius请求,反馈认证结果,发送认证结果,转发认证结果,Core,MA5200F,RadiusServer,1、用户发起PPPoE,2、MA5200终结PPPoE,5、Radius服务器完成对用户的计费,3、MA5200与Radius服务器配合完成PPPoE的帐号、密码的验证处理，给用户分配一个合法的IP地址,4、用户获得IP地址并可以访问Internet,S2403H,PPPoE方式是基于帐号、密码的认证方式,PPPOE认证方式,Core,RadiusServer,1、用户发起认证,3、接入设备作为认证客户端，与RadiusServer配合完成用户的认证过程,2、接入设备的端口在用户未经过认证前不能能访问任何地方，并且不能获得IP地址,4、用户通过认证后可以从DHCP获得IP地址,5、用户获得IP地址后可以正常实现Internet访问，设备将用户的IP地址MAC地址和VLAN进行绑定,S2403/S3026,S3026e/S3526e/S5516,DHCPServer,802.1X认证方式,802.1X认证方式,接入设备与接入控制设备之间运行EAPOL报文，接入控制单元与接入认证单元运行EAPOVERRADIUS报文，认证通过之后接入控制单元端口状态由非控制状态变为控制状态，可以正常转发数据包，至此802.1X认证结束。可以看到，802.1X只是完成了认证的功能，没有办法支持授权和计费，同时需要接入控制单元支持端口的受控与开放，对芯片有特殊要求。,标准规定认证后的握手报文是由认证单元发起，即Radiusserver每3600秒发送一次，这样首先无法在一个小时内判断用户的合法性，另外无法做到费率的准确性，同时由Radiusserver发起的握手报文会由网络高层向下蔓延对网络的数据链路造成压力。华为公司支持在接入控制设备上发起握手报文，对网络不会造成压力，同时可以设置较短的握手周期；标准要求Radiusserver支持解析EAP的能力，这就要求对现有的Radiusserver进行升级。华为公司支持在接入控制单元终结EAP报文，转换成标准的Radius报文与上层Radiusserver对接；现有的客户端拨号软件只在XP上支持，用户下网必须注销系统或禁用网卡，且要求用户必须1分钟内完成注册，否则无法获取IP地址。华为公司开发了自己的客户端软件，可以在98/2000/ME/NT/UNIX/XP上安装，支持点击下线，同时可以支持自动获取IP地址，方便灵活。华为公司的802.1X向下兼容标准的IEEE802.1X协议,华为对标准802.1X的扩展,3526E/3526,3026E/3026,小区,城域网/校园网,DHCP,RADIUSServer,DHCPRELAYArpProxy,端口VLAN隔离用户,802.1X认证客户端,小区中心,大楼机房,大楼楼道,用户认证管理集中方式,2026/2016/20082403H/2403F2026B/2016B/2008B,QuidwayS5516,QuidwayS3526/S3526E/FM/FS,AAA/DHCP/DNS,QuidwayS3026/S3026E/FM/FS802.1X设备端,802.1X客户端,802.1X认证服务器,QuidwayS6506/S8016,用户认证管理分布方式,QuidwayS3026/S3026E/FM/FS802.1X设备端,802.1X客户端,QuidwayS2008/16/26802.1X设备端,802.1X客户端,QuidwayS2008B/16B/26B,QuidwayS3526/3026,STACKmodule2,STACKCable,STACKCable,QuidwayS3526/3026,QuidwayS3526/3026,QuidwayR3000系列产品支持华为私有的堆叠控制协议，可以实现：2.16Gbps的高速堆叠连接；交换机对堆叠模块实现完全即插即用；完全等同于同一台交换机的配置管理方式；图形化（98/2000/NT）配置界面；实现低成本的端口扩展；使用S3026、3526可以实现低于72个二三层端口的堆叠工作组；可以直接扩展到16层堆叠；支持华为特有的堆叠汇聚协议，可以选择堆叠连接带宽，最高可达4.32Gbps；,本地LAN用户,2个可以选配的GE外联端口,QuidwayS3000系列堆叠工作模式,S3026启动后自动在上局侧S3526注册配置和查询3026的端口禁止和激活3026端口配置和查询3026的IP地址、掩码、网关对线路中断和恢复的告警远端复位3026节省IP地址，减少网元个数；减少开局和维护的工作量。,HGMP,局侧QuidwayS3526,QuidwayS3026,QuidwayS3026,HGMP华为集群管理协议,IP网,QuidwayS2403H,QuidwayS2000B系列,QuidwayS2000系列,QuidwayS2016,QuidwayS3026E/3026,QuidwayS3026,QuidwayS3026/2000系列,QuidwayS3526E/3526、5516、6506,GE,GE,GE,GE,GE,GE,FE,FE,FE,FE,一个管理IP地址26管理组内全部设备(commandswitch),QuidwayS系列交换机集群管理典型组网,HGMPV2(cluster),hgmpclient,hgmpserver,memberswitch,memberswitch,hgmpserver,hgmpclient,hgmpclient,hgmpclient,HGMPV1(hgmp),HGMPV1(hgmp),QuidwayS2403H,FE,hgmpclient,hgmpserver,hgmpclient,memberswitch,FTAM,HTTP,SNMP,.,MML,ProtocolAdapter,Switch,AccessNetwork,Datacomm,Transmissionnetwork,OtherNMS,MML,WEB,故障,配置,性能,安全,.,DCN/Internet,ALL-IN-ONE,iMAPTM集成管理应用平台,iManagerN2000,Eventservice,Securityservice,Logservice,Databaseservice,.,MA5100,MD5500,A8010,C&C08iNET,HONET,Radium8750,ISN8850,NE16/50,LanSwitch,Routers,.,MetroSeries,PVCVPN,CNM,.,Q3,MML,CORBA,SNMP,.,业务管理,VPNmanagement,GUI,MA5200,iManagerN2000功能结构,可视化图形网管界面,方便的面板启动方式双击拓扑节点,逼真的设备面板采用实际的设备照片前后面板同时浏览,QuidwayS系列交换机主要优点,快速的转发能力：在稳定流量、突发背景流量以及启动ACL等条件下表现了强大的转发性能；丰富的二层特性：MAC地址表项、多种VLAN策略、端口捆绑、端口镜像、RSTP、VLAN路由、802.1Q和802.1p等；可运营可管理的802.1x协议扩展：802.1X受控端口机制灵活,支持基于端口,基于VLAN,基于MAC地址的受控端口,可以灵活地应用在各种网络环境；完善的安全特性设计：包括配置安全、协议报文认证、用户本地认证和RADIUS认证等，强大的ACL等保证网络的安全运行；强大的堆叠功能：可以实现的高速堆叠连接；交换机对堆叠模块实现完全即插即用；完全等同于同一台交换机的配置管理方式；可以实现16级菊花链堆叠；,产品介绍业务特性介绍组网应用案例设备配置介绍,培训内容提纲,QuidwayRouter,INTERNET,QuidwayS2016/2403,QuidwayS2026,Server,防火墙,QuidwayS3526,其他相关业务网络,GE,QuidwayS3026,2GE,QuidwayS5516,QuidwayS2026,百兆光纤,QuidwayS3526/3026,GE,QuidwayS2026/2403,网络中心,分部1,分部2,分部3,QuidwayS系列产品组建典型交换网络,广域骨干网,QuidwayS3026/3526,QuidwayS5516S6505,QuidwayS5516S6505,QuidwayS3526,QuidwayS6505/5516,QuidwayS8016,QuidwayS8016,千兆Server,Server,GE,GE,GE,GE,GE,FE,GE,GE,QuidwayS3026/3526E,QuidwayNE80/16,QuidwayNE80/16,ATM/POS,ATM/POS,QuidwayS3026,QuidwayS3526,FE,QuidwayS3026,QuidwayS3526,FE,GE,GE,QuidwayS2000,QuidwayS系列产品构建园区网,可管理、可运营的IP城域网解决方案,城域骨干,QuidwayS5516,城域汇聚,iManagerM综合网管,QuidwayS8016,业务/管理,城域接入,QuidwayS2000,小区,上网、Ephone、IPTV,QuidwayS3526E/3526,QuidwayS2000,宾馆,上网、VOD,MA5200,QuidwayS3026V,SOHO,ISN8850,VPN互联,QuidwayS8016,QuidwayNE80,QuidwayW1000系列AP,会议中心/机场,移动办公,QuidwayS2000,QuidwayS3526E/3526,iTellin,福州电信宽带小区,城域汇聚层,GE,GE,城域接入层,GE,城域网,iManagerN2000,QuidwayS3026,小区,QuidwayS3526,.,QuidwayS2000,QuidwayS3026,福州大学,.,QuidwayS2000,ISN8850,.,QuidwayS3026,小区,QuidwayS3526,.,QuidwayS2000,IPCORE,L3,L3,L3,L3,上海电信可运营/可管理以太网接入,500台MA5200,4000台S2403F,2001年4月，上海电信以太网宽带接入全部采用华为MA5200、S2403F以太网交换机构建，整个框架为24.5万用户提供接入，一期接入10万用户，二期1000台MA5200，接入14.5万用户,产品介绍业务特性介绍组网应用案例设备配置介绍,培训内容提纲,设备配置介绍,关于设备数据配置的说明设备数据配置环境的搭建设备常规数据属性的配置设备物理端口的属性配置组网中VLAN操作的配置各设备间路由的相关配置设备需进行网管时的配置设备其他相关配置的简介,关于设备数据配置的几点说明,1、数据的规范性对于设备的一些基本数据应该尽可能的规范统一。对于所有设备，没有特殊情况的话，选择VLAN1作为管理VLAN。设备的命名遵循统一的规则，形象且方便记忆。各个端口和接口的描述要遵循统一的规则，描述直观易于理解。2、数据的安全性对设备进行分级管理，设置不同的用户名和密码。3、设备的可维护性开放设备的telnet服务，并给予相应的权限。4、网络的可扩展性IP地址和VLANID要合理规划，合理使用。5、文档资料的重要性完整详细的文档有利于网络的维护。,设备数据配置环境的搭建（一）,通过console口搭建本地的配置环境。,设备数据配置环境的搭建（二）,通过telnet远程登录搭建远程的配置环境。（1）Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet登录，则系统会提示“passwordrequired,butnoneset.”（2）通过Telnet配置交换机时，不要删除或修改对应本telnet连接的交换机上的VLAN接口的IP地址，否则会导致Telnet连接断开（3）Telnet用户登录时，缺省可以访问命令级别为0级的命令（4）如果通过PC直接接在交换机上进行telnet配置，注意接PC的以太网端口要属于交换机的管理VLAN（5）如果出现“Toomanyusers!”的提示，表示当前Telnet到以太网交换机的用户过多，则请稍候再连（Quidway系列以太网交换机最多允许5个Telnet用户同时登录）,设备数据配置环境的搭建（三）,通过modem拨号搭建远程的配置环境（1）在通过Modem拨号登录以太网交换机之前，先通过Console口在以太网交换机上配置欲登录的Modem用户名和认证口令，如果没有配置口令而通过Modem登录，则系统会提示“passwordrequired,butnoneset.”（2）在通过Modem登录支持硬件流控的以太网交换机之前，需要在交换机上进行一些配置；在通过Modem登录不支持硬件流控的以太网交换机之前，需要在Modem上进行一些配置。（3）对于支持硬件流控的以太网交换机（S3026F、S3050C-48等），需要在以太网交换机上将Console口配置为Modem方式。Quidway-ui-aux0modem,设备常规数据属性的配置（一）,1、设备名称的设置：例：设置以太网交换机的域名为Huawei。QuidwaysysnameHuawei2、添加本地用户：local-useruser-namepasswordsimple|cipherpassword|service-typeexec|ftp|dot1xinterfaceportnum|ipip-address|macmac-address|idle-cutminute|vlanvlanid|stateactive|block例：Quidwaylocal-userhuaweipasswordsimplequidwayservice-typeftp,设备常规数据属性的配置（二）,3、设置telnet认证：例：配置vty0的认证方式为本地口令认证/本地或远端用户名和口令认证Quidwayuser-interfacevty0Quidway-ui-vty0authentication-modepassword/schemeQuidway-ui-vty0userprivilegelevel04、设置本地认证的密码：例：设置VTY0的本地认证口令为huaweiQuidway-ui-vty0setauthenticationpasswordsimplehuawei5、设置切换低级别用户到高级别用户的密码例：配置从当前级别用户切换到用户级别3的密码为zbrQuidwaysuperpasswordlevel3simplezbr,设备物理端口的属性配置（一）,1、设置以太网端口的全双工/半双工属性例：将以太网端口Ethernet0/1端口设置为自协商状态/半双工/全双工Quidway-Ethernet0/1duplexauto/half/full2、设置端口的速率例：将以太网端口Ethernet0/1的端口速率设置为10Mbit/sQuidway-Ethernet0/1speed103、设置端口的描述字符串例：设置以太网端口Ethernet0/1的描述字符串为lanswitch-interfaceQuidway-Ethernet0/1descriptionlanswitch-interface4、指定以太网端口最大广播流量的线速度百分比例：允许20%的广播报文通过，即对端口的广播流量作80%的广播风暴抑制Quidway-Ethernet0/1broadcast-suppression20,设备物理端口的属性配置（二）,5、设置汇聚端口，端口中端口号最小的为主端口例：对出端口方向的数据流进行负荷分担Quidwaylink-aggregationethernet0/1toethernet0/2both6、配置端口镜像（1）monitor-port命令用来设置镜像端口Quidwaymonitor-portethernet0/1（2）portmirror命令用来设置被镜像端口Quidwayportmirrorethernet0/1（3）portmirrorobserving-port命令用来设置镜像端口和被镜像端口此命令相当于执行了monitor-port、portmirror两条命令例：设置以太网端口Ethernet0/1为镜像端口，Ethernet0/2为被镜像端口Quidwayportmirrorethernet0/2observing-portethernet0/1,VLAN相关操作的配置（一）,1、创建一个新的VLAN或者进入一个已经创建的VLANQuidwayvlan1002、向一个已经创建的VLAN中添加一个或一组端口Quidway-vlan100portethernet0/4toethernet0/7ethernet0/9注：向VLAN中添加端口还可以在相应的端口视图下通过portaccessvlan命令来实现，但前提是该VLAN已经创建。3、设置VLAN的trunk端口，并设定允许通过的VLANIDQuidway-Ethernet0/18portlink-typetrunkQuidway-Ethernet0/18porttrunkpermitvlan26to50100注：此配置是在相应物理端口视图下进行的。4、配置VLAN的描述Quidway-vlan100descriptionResearch,VLAN相关操作的配置（二）,5、isolate-user-vlan的相关内容和配置。简介：isolate-user-vlan是华为公司系列以太网交换机的一个新特性，它的功能是在小区接入中，通过将用户划入不同的VLAN，实现用户之间二层报文的隔离。isolate-user-vlan采用二层VLAN的结构，在一台以太网交换机上存在isolate-user-vlan和SecondaryVLAN。一个isolate-user-vlan和多个SecondaryVLAN对应，isolate-user-vlan包含所对应的所有SecondaryVLAN