-
华为交换机配置实用手册
2011-01-01
华为交换机配置实用手册
实验一
使用华为
Quidway
系列交换机简
单组网
1.1
实验目的
1.
掌握华为
Quidway
系列交换机上的基本配置命令;
2.
掌握
VLAN
的原理和配置;
3.
掌握端口聚合(
Link
Aggregation
)的原理和配置;
4.
掌握生成树协议(
STP
)的原理和配置;
5.
掌握
GVRP
协议的原理和配置;
6.
掌握三层交换机和访问控制列表(
ACL
)的原理和配置;
7.
掌握如何从
PC
机或其他交换机远程配置某交换机。
1.2
实验环境
Quidway
S3026
以太网交换机
2
台,
Quidway S3526
以太
网交换机
1
台,
PC
机
4
台,标准网线
6
根
Quidway
S3026
软件版本:
V100R002B01D011
;
Bootrom
版本:
V1.1
Quidway S3526
软件版本:
V100R001B02D006
;
Boot
rom
版本:
V3.0
1.3
实验组网图
在下面的每个练习中给出。
1.4
实验步骤
1.4.1
VLAN
配置
首先依照下面的组网图将各实验设备相连,然后正确的配置各设备的
IP
地址。有两台
Quidway S3026
交换机和
四台
PC
机。每台
PC
机的
IP
地址指定如下:
PCA
:
10.1.1.1
PCB
:
10.1.2.1
PCC
:
10.1.1.2
PCD
:
10.1.2.2
掩码:
255.255.255.0
请完成以下步骤:
1
、
如上图所示,配置四台
PC
机属于各自的<
/p>
VLAN
。
2
、
将某些端口配置成
trunk
端口,并允许
前面配置的所有
VLAN
通过。
3
、
测试同一
VLAN
中的
PC
机能否相互
Ping
通。
配置如下:
SwitchA
:
SwitchA(config)#vlan
2
//
创建
VLAN 2
SwitchA (config-vlan2)# switchport
ethernet 0/9
//<
/p>
将以太口
9
划入
VLAN 2
SwitchA (config-vlan2)#vlan 3
//
创建
VLAN 3
SwitchA (config-vlan3)# switchport
ethernet 0/10
//
将以太口
10
划入
VLAN 3
SwitchA (config-vlan3)#interface
ethernet 0/1
//<
/p>
进入以太口
1
的接口配置
模式
SwitchA (config-if-
Ethernet0/1)#switch mode trunk
//
将
e0/1
接
口设置为
trunk
模式
SwitchA (config-if-Ethernet0/1)#switch
trunk allow vlan all //
配置允许所有的
VLAN
通过
SwitchB
:
SwitchB(config)#vlan 2
SwitchB (config-vlan2)# switchport
ethernet 0/9
SwitchB (config-
vlan2)#vlan 3
SwitchB (config-vlan3)#
switchport ethernet 0/10
SwitchB
(config-vlan3)#interface ethernet 0/1
SwitchB (config-if-Ethernet0/1)# switch
mode trunk
SwitchB (config-if-
Ethernet0/1)# switch trunk allow vlan all
4
、
SwitchA
端口
e0/1
的
PVID
配置为
2
,然后从
PCA ping PCC
,看能否
相互
Ping
通,如
果不能
Ping
通,请说明原因。
华为
Quidway
系列交换机有一个重要特性:如果帧的
VLAN
ID
等于发送该帧的
trunk
端口
的
P
VID
,那么该帧将会先被删掉
tag
头,再发送。
5
、
将
SwitchA
端口
e0/1
的配置改为属于
VLAN2
的接入端口,然后从
PCApingPCC
。你
将会发现虽然
SwitchA
的
e0/1
、
e0/9
,
SwitchB
的
e0/9
都属于
VLAN2
,但
PCA
却不能
Ping
通
P
CC
。请说明原因。
有两种方法可以
通过改变
SwitchB
端口
e0/1
的配置使
PCA
能
Ping
通
PCC
。
方法一:将
SwitchB
端口
e0/1
的配置改为属于
VLA
N2
的接入端口;
方法二:将
SwitchB
端口
e0/1
的
PVID
改为
2
。
6
、
通过以上步骤,
理解
Quidway
系列交换机添加和删除
802.1qVLANtag
< br>头的过程和规则。
1.4.2
端口聚合(
Link
Aggregation
)
在练习一
的基础上再将
SwitchA
端口
e0
/2
和
SwitchB
端口
e0/2
互连,如下图所示。
VLAN
和
IP
地址的配置保持不变。
1
、
将
SwitchA
和
< br>SwitchB
的端口
e0/1
和
e0/2
配置为端口聚合。
2
、
改变
SwitchA
端口
< br>e0/1
的配置,用“
show interface
e0/2
”观察
SwitchB
端口<
/p>
e0/2
的配
置变化。
< br>
3
、
将
SwitchA
< br>和
SwitchB
之间的两根双绞线拔掉一根,
看看
PCA
是否仍能
P
ing
通
PCC
。
请说明原因。
4
、
通过以上步骤,理解端口聚合的功能和配置。
配置如下:
SwitchA
:
SwitchA (config)#link-aggregation e 0/1
to e 0/2 ingress-egress
//<
/p>
将
e0/1
及
e
0/2
做聚合
SwitchA
(config)#interface e 0/1
SwitchA
(config-if-Ethernet0/1)# switch mode trunk
//
将
e0/1
接
口设置为
trunk
模式
SwitchA (config-if-Ethernet0/1)# switch
trunk allow vlan all //
配置允许所有的
VLAN
通过
SwitchB
:
SwitchB (config)link-aggregation e 0/1
to e 0/2 ingress-egress
SwitchB
(config)#interface e 0/1
SwitchB
(config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-Ethernet0/1)# switch
trunk allow vlan all
------------------
--------------------------------------------------
------------
1.4.3
生成树协议(
STP
)
我们仍然
使用练习二的组网图。
这次在
SwitchA
< br>和
SwitchB
之间不再用端口聚合,
而是配置
STP
。
请完成以下步骤:
1
、
在两台
交换机上使能
STP
。
2
、
将
SwitchA
配置成根桥。
3
、
用“
show
spanning-
tree
statistics
Ethernet
”命令观察接口状态,并根据显示信息解释
spanning-tree
protocol
的运行机制。
4
、
用“
debug stp packet
”命令进一步观察
STP
生成的
BP
DU
信息。
5
、
修改<
/p>
SwitchB
端口
e0/2
的优先级为
64
,
然后用
“
show spanning-tree
statistics ethernet0/2
”
观察端口的
变化。
6
、
修改<
/p>
SwitchB
端口
e0/2
的
pathcost
为
1
00
,
然后用
“
show spanning-tree statistics ethernet0/2
< br>”
观察端口的变化。
7
、
将
SwitchA
和
SwitchB
之间的两根双绞线拔掉一根,然后在两台交换机上用“
show
spanning-tree statistics ethernet0/1 to
ethernet0/2
”观察
STP
信息的变化。测试
PCA
是否仍能
Pi
ng
通
PCC
。请说明原因,并比较端
口聚合和
STP
的不同。
8
、
通过以上步骤,理解
STP
的功能和配置。
配置如下:
SwitchA
:
SwitchA (config)#spanning-tree enable
//
在全局配置模式下启用
STP
SwitchB
:
SwitchB (config)#spanning-tree enable
//
在全局配置模式下启用
STP
SwitchB (config)#spanning-tree priority
4096 //
设置优先级
SwitchB (config)#interface e 0/2
SwitchB (config-if-
Ethernet0/2)#spanning-tree pathcost 100 //
< br>设置端口的
pathcost
值
问题:
如果我们将两台交换机的端口
e0/1
和
e0/2
< br>配置为
trunk
端口并且不配置端口聚合和
STP
,
将
会
发生什么现象?
PCA
是否仍能
Ping
通
PCC
?
1.4.4
通用
< br>VLAN
注册协议(
GVRP
)
仍用练
习二的组网图。这次在
SwitchA
和
SwitchB
上配置
GVRP
。<
/p>
请完成以下步骤:
1
、
配置某些端口为
trunk
端口,并允许前
面配置的所有
VLAN
通过。
2
、
在两个
trunk
端口上使能动态
VLAN
注册协议——
GVRP
。
3
、
在
SwitchA
上注册
VLAN6-10<
/p>
,在
SwitchB
上注册
VLAN11-15
,观察在每个交换机上
的
VLAN
注册状态。
4
、
在
SwitchA
上配置
< br>VLAN4
并将端口
e0/1
配
置为
fixed
模式,将
Switch
B
端口
e0/1
配置
< br>为
forbidden
模式。观察在每个交换机上的
VLAN
注册状态。
5
、
通过以上步骤,理解
GVRP
的功能和配置
。
配置如下:
SwitchA
SwitchA
(config)#gvrp enable
//
在全局配置模式下启用
GVRP
SwitchA (config)#switch ethernet 0/1
SwitchA (config-if-
Ethernet0/1)# switch mode trunk
SwitchA (config-if-Ethernet0/1)# switch
trunk allow vlan all
SwitchA (config-if-Ethernet 0/1)#gvrp
enable //
在接口模式下启用
GVRP
SwitchB
SwitchB (config)#gvrp enable
SwitchB (config)#switch
ethernet 0/1
SwitchB
(config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-
Ethernet0/1)# switch trunk allow vlan all
SwitchB (config-if-Ethernet
0/1)#gvrp enable
1.4.5
三层交换机和
ACL
这次我们要用到
一台三层交换机
QuidwayS3526
,具体组网图如下。
注意
SwitchA
是一台三
层交换机
。
每台
PC
机的
IP
地址指定如下:
PCA
:
10.1.1.1
PCB
:
10.1.2.1
PCC
:
10.1.1.2
PCD
:
10.1.3.1
掩码:
255.255.255.0
请完成以下步骤:
1
、
如上图所示,配置四台
PC
机分别属于各自
相关的
VLAN
。
2
、
配置端口聚合,使
SwitchA
和
SwitchB
之间的带宽为
200Mbps
。
3
、
配置某些端口为
trunk
端口并允许前面
配置的所有
VLAN
通过。
4
、
在两台交换机的端口
e0/1
配置
GVRP
,使能动态注册
VLAN
信息。
5
、
测试在同一
VLAN
内的
< br>PC
机能否互相
Ping
通。<
/p>
以上配置我们在前面的练习中已全部学过,另外还需要完成以下
工作:
我们需要使
PCB
不能和
PCA
、
PCC<
/p>
通信,
PCD
能和
PCA
、
PCB
、
< br>PCC
通信。当然,
PCA
和<
/p>
PCC
仍能互相通信。
我们知道,不同
< br>VLAN
间的通信在二层是隔离的。所以我们必须寻找一种方法能够通过三
层实现通信。
SwitchA
(
QuidwayS3526
)是一种三层交换机,能帮助我们解决这个问题。
按
以下步骤来实现不同
VLAN
之间的
PC
机互通:
1
、
在交换机
A
上配置
VLAN2
的接口地址是
10.
1.1.100
,
VLAN3
的接口地
址是
10.1.2.100
,
VLAN
4
的接口地址是
10.1.3.100
。
2
、
将
PCA
和
PCC
的网关配置为
10.1.1.100
,
PCB
的网关为
10.1.2.100
,
PCD
的网关为
10.1.3.100
。
现在,试着在
PC
机之间互相
Ping
,你会发现
VLAN
不再是隔离的。任何两台计算机现在
都能通讯了。但是很明显,我们仍没有实现
PCB
不能和
PCA
、
PCC
通信的目标,那我们应
该怎么
办呢?
S3526
上提供了一个方法:使用访问控制列表(
ACL
)
。你可以用
ACL
来限制
10.1.1.0
网
段和
10.1.2.0
网段主机之间的通信。
< br>
配置如下:
SwitchA (config)link-
aggregation e 0/1 to e 0/2 ingress-egress
SwitchA(config)#gvrp enable
SwitchA(config)#vlan 2
SwitchA (config-vlan2)#port
e 0/9
SwitchA (config-
vlan2)#vlan 3
SwitchA
(config-vlan3)#port e 0/10
SwitchA (config-vlan4)#interface e 0/1
SwitchA (config-if-
Ethernet0/1)#trunk all
SwitchA (config-if-Ethernet0/1)#gvrp
enable
SwitchA (config-if-
Ethernet0/1)#interface vlan 2
//
进入
VLAN
2
的虚接口配置模式
SwitchA (config-VLAN-Interface2)#ip
address 10.1.1.100 255.255.255.0
//
配置
VLAN 2
虚接口的
IP
地址
SwitchA (config-VLAN-
Interface2)#interface vlan 3
SwitchA (config-VLAN-Interface3)#ip
address 10.1.2.100 255.255.255.0
SwitchA (config-VLAN-
Interface3)#interface vlan 4
SwitchA (config-VLAN-Interface4)#ip
address 10.1.3.100 255.255.255.0
SwitchA (config-VLAN-Interface4)#exit
SwitchA (config)#rule-map
l3 net1tonet2 10.1.1.0 255.255.255.0 10.1.2.0
255.255.255.0
//
定义流分类规则
SwitchA (config)#flow-
action net1tonet2 deny
//
定义流的动作
SwitchA (config)#acl
net1tonet2 net1tonet2 net1tonet2
//
定义访问控制列表
SwitchA (config)#access-
group net1tonet2
//
将<
/p>
ACL
定义的访问控制策略激
现在让我们看一看
show running-
config
的信息:
SwitchA(config)#show running-config
Building running configuration...
Current configuration is :
hostname SwitchA
rule-map l3 net1tonet2 10.1.1.0
255.255.255.0 10.1.2.0 255.255.255.0
flow-action net1tonet2 deny
acl net1tonet2 net1tonet2 net1tonet2
access-group net1tonet2
link-aggregation
Ethernet0/1 to Ethernet0/2 ingress-egress
gvrp enable
interface Aux0/0
vlan 1
vlan 2
port Ethernet0/9
vlan 3
port Ethernet0/10
vlan 4
interface
Ethernet0/1
trunk all
gvrp enable
interface Ethernet0/10
interface NULL0
interface
VLAN-Interface2
ip address 10.1.1.100
255.255.255.0
interface VLAN-Interface3
ip address 10.1.2.100
255.255.255.0
interface VLAN-Interface4
ip address 10.1.3.100
255.255.255.0
line aux 0
no login
line
vty 0 4
end
SwitchB#show
running-config
Building
running configuration...
Current
configuration is :
hostname SwitchB
gvrp
!
interface
Aux0/0
!
vlan 1
!
vlan 2
!
vlan 4
!
interface Ethernet0/1
switchport mode trunk
switchport trunk allowed vlan all
gvrp
!
interface
Ethernet0/10
switchport
access vlan 4
!
interface Ethernet0/11
???
.
!
interface
Ethernet0/2
switchport mode
trunk
switchport trunk
allowed vlan all
gvrp
!
interface Ethernet0/20
???
interface Ethernet0/8
!
interface
Ethernet0/9
switchport
access vlan 2
!
interface NULL0
!
link-
aggregation Ethernet0/1 to Ethernet0/2 ingress-
egress
!
line aux 0
no
login
line vty 0 4
!
end
------------
--------------------------------------------------
------------------
--
作者:
admin
--
发布时间:
2005-4-18
9:46:45
--
4.6
以太交换网安全
仍然沿用练习五的组网图。
有时候我
们必须远程登录来配置交换机,
所以我们需要配置交换
机的远程
登录,
同时我们应避免这些交换机的非法访问。
在这个练习中,
你需要配置
SwitchA
使
PCA
和
PCC
能
telnet
上
SwitchA
并远程配置。
配置如下:
SwitchA(config)#enable password 0
huawei
//
配置进入特权模式的密码
SwitchA(config)#line vty 0
4
//
进入
line
配置模式
SwitchA(config-line-vty0-4)#login local
//
使能本地口令验证
SwitchA(config-line-
vty0-4)#exit
SwitchA(config)#user huawei password 0
huawei
//
配置本地验证的用户名及密码
如果你的配置已正常运行,你可以在
PCA
或
PCC
上用“
telnet
10.1.1.100
”登录
SwitchA
,
然后输入正确的用户名和密码
,你就能从
PC
机远程配置
Switc
hA
了。
问题:
你
能使
SwitchB
能远程登录,并从
PCA
、
PCC
以及
< br>SwitchA
上配置它吗?
实验二
使用华为
Quidway
系列交换机复杂组网
2.1
实验目的
1
、
让学员学会如何设计和
构建一个典型
的交换网络。
2
、
让学员学会如何在交换网络中配置生成树协议(
STP
)
,
STP
在交换机之间是
如何工作
的,如何通过改变
STP
的参
数来改变生成树的状态。另外,学员应能通过
debug
信息分
析
STP
的构建过程。
3
、
让学员学会
GVRP
的动态注册过程。
4
、
让学员学会如何利用三层交换机实现不同
VLAN
< br>间的通信以及如何限制不同
VLAN
间的通信。
5
、
让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6
、
让学员学会交换机的其他配置,例如:端口聚合、
ACL
、端口监控。
7
、
让学员具备在三层交换机和路由器上配置
OSPF
< br>动态路由协议的能力,使得交换网中
的
PC
机能访问外部广域网或
Internet
。
2.2
实验环境
Quidway
S3026
以太网交换机
4
台,
Quidway S3526
以太
网交换机
1
台
Quidway
2501
路由器
1
台,
<
/p>
PC
机
4
台,标
准网线
13
根
Quidway S3026
软件版
本:
V100R002B01D011
;
Bootrom
版本:
V1.1
Quidway S3526
软件版本:
V100R001B02D006
;
Bootrom
版本:
V3.0
Quidway 2501
路由器
VRP
版本
: VRP
1.2
以上
实验二
使用华为
Quidway
系列交换机复
杂组网
2.1
实验目的
1
、
让学员学会如何设计和
构建一个典型
的交换网络。
2
、
让学员学会如何在交换网络中配置生成树协议(
STP
)
,
STP
在交换机之间是
如何工作
的,如何通过改变
STP
的参
数来改变生成树的状态。另外,学员应能通过
debug
信息分
析
STP
的构建过程。
3
、
让学员学会
GVRP
的动态注册过程。
4
、
让学员学会如何利用三层交换机实现不同
VLAN
< br>间的通信以及如何限制不同
VLAN
间的通信。
5
、
让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6
、
让学员学会交换机的其他配置,例如:端口聚合、
ACL
、端口监控。
7
、
让学员具备在三层交换机和路由器上配置
OSPF
< br>动态路由协议的能力,使得交换网中
的
PC
机能访问外部广域网或
Internet
。
2.2
实验环境
Quidway
S3026
以太网交换机
4
台,
Quidway S3526
以太
网交换机
1
台
Quidway
2501
路由器
1
台,
<
/p>
PC
机
4
台,标
准网线
13
根
Quidway S3026
软件版
本:
V100R002B01D011
;
Bootrom
版本:
V1.1
Quidway S3526
软件版本:
V100R001B02D006
;
Bootrom
版本:
V3.0
Quidway 2501
路由器
VRP
版本
: VRP
1.2
以上
-----------
--------------------------------------------------
-------------------
--
作者:
admin
--
发布时间:
2005-4-18
9:49:23
--
2.4
实验步骤
1
、
如上图所示将设备互连起来,并给每台
PC
机配置好
IP
地址。
分配给
PC
机的
IP
地址如下:
PCA
:
10.1.1.1
PCB
:
10.1.2.1
PCC
:
10.1.1.2
PCD
:
10.1.3.1
掩码:
255.255.255.0
2
、
如上图所示配置四台
PC
机属于相关的
VLAN
。
配置端口聚合使得
SwitchA
和
SwitchB
< br>、
SwitchA
和
Switc
hC
之间的带宽为
200Mbps
。配
置某些端口为
trunk
端口并允许以上的所有
VLAN
通过。在所有交换机的
trunk
端口上配置
GVRP
,使得
VLAN
信息能被动态注册。在
所有交换机上配置
STP
以避免由于交换机之间的路径回环而产生“广播风暴”
。然后测试同
一
VLAN
间
的
PC
机能否正常
Ping
通。
3
、
用“
show spanning-
tree
”命令观察生成树的状态。
以下是
SwitchA
(
S3526<
/p>
)的生成树状态:
SwitchA#show spanning-tree statistics
e0/1
The bridge is
executing the IEEE Rapid Spanning Tree protocol
The
bridge has priority 32768, MAC address: 06.81e0
Configured Hello Time 2, Max Age 20,
Forward Delay 15
Root Bridge has priority
32768, MAC address 06.81e0
Path cost to root bridge is
0
Port 1 (Ethernet0/1) of bridge is
Forwarding
Spanning tree protocol is enabled
The
port is a DesignatedPort
Port path cost 180
Port priority 128
Designated
bridge has priority 32768, MAC address 06.81e0
Configured as a non-edge port
Connected to a point-to-point LAN
segment
Maximum transmission limit is 3
BPDUs per hello time
Times: Hello Time 2,
Max Age 20
Forward Delay
15, Message Age 0
sent BPDU:
8584
TCN: 0, RST: 8584, Config BPDU: 0
received BPDU: 7657
TCN: 0, RST: 7657, Config
BPDU: 0
SwitchA# show spanning-tree
statistics e0/9
The bridge is executing the IEEE Rapid
Spanning Tree protocol
The bridge has priority
32768, MAC address: 06.81e0
Configured
Hello Time 2, Max Age 20, Forward Delay 15
Root Bridge has priority 32768, MAC
address 06.81e0
Path cost to root bridge is
0
Port 9 (Ethernet0/9) of bridge is
Forwarding
Spanning tree protocol is enabled
The
port is a DesignatedPort
Port path cost 180
Port priority 128
Designated
bridge has priority 32768, MAC address 06.81e0
Configured as a non-edge port
Connected to a point-to-point LAN
segment
Maximum transmission limit is 3
BPDUs per hello time
Times: Hello Time 2,
Max Age 20
Forward Delay
15, Message Age 0
sent BPDU:
6563
TCN: 0, RST: 6563, Config BPDU: 0
received BPDU: 5377361
TCN: 0, RST: 5377361,
Config BPDU: 0
------------------------
--------------------------------------------------
------
--
作者:
admin
--
发布时间:
2005-4-18
9:51:05
--
以下是
Swi
tchB
(
S3026
)的生成树状态
:
SwitchB>enable
SwitchB# show spanning-tree interface
e0/1
The bridge is executing the IEEE
Rapid Spanning Tree protocol
The
bridge has priority 32768, MAC address: 07.707c
Configured Hello Time 2, Max Age 20,
Forward Delay 15
Root Bridge has
priority 32768, MAC address 06.81e0
Path cost to root bridge is 180
Port 1 (Ethernet0/1) of bridge is
Forwarding
Spanning tree protocol is enabled
-
-
-
-
-
-
-
-
-
上一篇:网络损伤仪介绍及运用
下一篇:策略路由和ACL+QOS典型配置