-
华为交换机配置实用手册
华为交换机配置实用手册
实验一
使用华为
Quidway
系列交换机简单组网
1.1
实验目的
1. <
/p>
掌握华为
Quidway
系列交换机上的
基本配置命令;
2.
掌握
VLAN
的原理和配置;
3.
掌握端口聚合(
Link
Aggregation
)的原理和配置;
4.
掌握生成树协议(
STP
)的原理和配置;
5.
掌握
GVRP
协议的原理和配置;
6.
掌握三层交换机
和访问控制列表(
ACL
)的原理和配置;
7.
掌握如何从
PC
机或其他交换机远程配置某交换机。
1.2
实验环境
Quidway
S3026
以太网交换机
2
台,
Quidway S3526
以太
网交换机
1
台,
PC
机
4
台,标准网线
6
根
Quidway
S3026
软件版本:
V100R002B01D011
;
Bootrom
版本:
V1.1
Quidway S3526
软件版本:
V100R001B02D006
;
Boot
rom
版本:
V3.0
1.3
实验组网图
在下面的每个练习中给出。
1.4
实验步骤
1.4.1
VLAN
配置
首先依照下面的组网图
将各实验设备相连,
然后正确的配置各设备的
IP
地址。
有两台
Quidway
S3026
交换机和四台
PC
机。
每台
PC
机的
IP
地址指定如下:
PCA
:
10.1.1.1
PCB
:
10.1.2.1
PCC
:
10.1.1.2
PCD
:
10.1.2.2
掩码:
255.255.255.0
请完成以下步骤:
1
、
如上
图所示,配置四台
PC
机属于各自的
V
LAN
。
2
、
将某
些端口配置成
trunk
端口,并允许前面配置的所有
VLAN
通过。
3
、
测试
同一
VLAN
中的
PC
机能否相互
Ping
通。
配置如下:
SwitchA
:
SwitchA(config)#vlan 2
//
创建
VLAN
2
SwitchA (config-vlan2)# switchport
ethernet 0/9 //
将以太口
9
划入
VLAN 2
SwitchA
(config-vlan2)#vlan
3
//
创建
VLAN
3
SwitchA
(config-vlan3)#
switchport
ethernet
0/10 //
将以太口
< br>10
划入
VLAN
3
SwitchA
(config-
vlan3)#interface
ethernet
0/1 //
进入以太口
1
的接口配置模式
SwitchA
(config-if-Ethernet0/1)#switch
mode
trunk //
将<
/p>
e0/1
接口设置为
trunk
模式
SwitchA (config-
if-Ethernet0/1)#switch trunk allow vlan all //
配置允许所有的
VLAN
通过
< br>
SwitchB
:
SwitchB(config)#vlan 2
SwitchB (config-vlan2)# switchport
ethernet 0/9
SwitchB (config-
vlan2)#vlan 3
SwitchB (config-vlan3)#
switchport ethernet 0/10
SwitchB
(config-vlan3)#interface ethernet 0/1
SwitchB (config-if-Ethernet0/1)# switch
mode trunk
SwitchB (config-if-
Ethernet0/1)# switch trunk allow vlan all
4
、
SwitchA
端口
e0/1
的
PVID<
/p>
配置为
2
,然后从
PCA ping PCC
,看能否相互
Ping
通,如
果不能
Ping
通
,请说明原因。
华为
Quidway
系列交换机有一个重要特性:如果帧的
VLAN ID
等于发送该帧的
trunk
端口的
PVID
,那么该帧将会先被删掉
tag
头,再发送。
5
、
将<
/p>
SwitchA
端口
e0/1
的配置改为属于
VLAN2
的接入端口,然后从<
/p>
PCApingPCC
。你将会
发现虽然
SwitchA
的
e0/1
、
e0/9
,
Switc
hB
的
e0/9
都属于
VLAN2
,
但
PCA
却不能
Ping
通
P
CC
。
请说明原因。
有两种方法可以通过改变
SwitchB
端口
e0/1
的配置使
PCA
能
Ping
通
PCC
。
方法一:将
Switch
B
端口
e0/1
的配置改为属于
VLAN2
的接入端口;
< br>方法二:将
SwitchB
端口
e0/1
的
PVID
改为
2
。
6
、
通过
以上步骤,理解
Quidway
系列交换机添加和删除
802.1qVLANtag
头的过程和规则。
1.4.2
端口聚合(
Link
Aggregation
)
在练习一
的基础上再将
SwitchA
端口
e0
/2
和
SwitchB
端口
e0/2
互连,如下图所示。
VLAN
和
IP
地址的配置保持不变。
1
、
将
SwitchA
和
SwitchB
的端口
e0/1
和
e0/2
配置为端口聚合。
2
、
改变
SwitchA
端口
e0/1
的配置,用“show interface e0/2”观察
Swit
chB
端口
e0/2
的配置变化。
3
、
将
SwitchA
和
SwitchB
之间的两根双绞线拔掉一根,看看
PCA
是否仍能
Ping
通
PCC
。
请说明原因。
4
、
通过以上步骤,理解端口聚合的功能和配置。
配置如下:
SwitchA
:
SwitchA (config)#link-aggregation e 0/1
to e 0/2 ingress-egress //
将
e0/1
及
e0/2
做聚合
SwitchA (config)#interface e 0/1
SwitchA (config-if-Ethernet0/1)# switch
mode trunk //
将
e0/1
接口设置为
trunk
模式
SwitchA (config-if-Ethernet0/1)#
switch trunk allow vlan all //
配置允许所有的
VLAN
通过
SwitchB
:
SwitchB (config)link-aggregation e 0/1
to e 0/2 ingress-egress
SwitchB
(config)#interface e 0/1
SwitchB
(config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-Ethernet0/1)# switch
trunk allow vlan all
------------------
--------------------------------------------------
------------
1.4.3
生成树协议(
STP
)
我们仍然
使用练习二的组网图。这次在
SwitchA
和
SwitchB
之间不再用端口聚合,而是配置
STP
。
请完成以下步骤:
1
、
在两台
交换机上使能
STP
。
2
、
将
SwitchA
配置成根桥。
3
、
用“show
spanning
-
tree statistics Eth
ernet”命令观察接口状态,并根据显示信息
解释
span
ning-tree protocol
的运行机制。
4
、
用“debug stp packet”命令进一步观察
ST
P
生成的
BPDU
信息。
5
、
修改<
/p>
SwitchB
端口
e0/2
的优先级为
64
,然后用“show
spanning
-tree statistics
ethernet0/2”观察端口的变化。
6
、
修改
SwitchB
端口
< br>e0/2
的
pathcost
为
100
,然后用“show
spanning
-tree statistics
ethernet0/2”观察端口的变化。
7
、
将
SwitchA
和
SwitchB
之间的两根双绞线拔掉一根,然后在两台交换机上用“show
spanning-
tree statistics
ethernet0/1 to ethernet0/2”观察
STP
信息的变化。测试
PCA
是否仍能
Ping
通
PCC
。请说明原因,
并比较端口聚合和
STP
的不同。
8
、
通过以上步骤,理解
STP
的功能和配置。
配置如下:
SwitchA
:
SwitchA (config)#spanning-
tree enable //
在全局配置模式下启用
STP
SwitchB
:
SwitchB (config)#spanning-tree enable
//
在全局配置模式下启用
STP
SwitchB (config)#spanning-tree priority
4096 //
设置优先级
SwitchB (config)#interface e 0/2
SwitchB (config-if-
Ethernet0/2)#spanning-tree pathcost 100 //
< br>设置端口的
pathcost
值
问题:
如果我们将两台交换机的端口
e0/1
和
e0/2
配置为
trunk
端口并且不配置端口聚合和
STP
,
将会
发生什么现象?
P
CA
是否仍能
Ping
通
PCC
?
1.4.4
通用
< br>VLAN
注册协议(
GVRP
)
仍用练习二的组网图。这次在<
/p>
SwitchA
和
SwitchB
上配置
GVRP
。
请完成以下步骤:
1
、
配置某
些端口为
trunk
端口,并允许前面配置的所有
VLAN
通过。
2
、
在两个
trunk
端口上使能动态
VLAN<
/p>
注册协议——
GVRP
。
3
、
在
SwitchA
上注册
VLAN6-10<
/p>
,
在
SwitchB
上注册
VLAN11-15
,
观察
在每个交换机上的
VLAN
注册状态。
4
、
在
SwitchA
上配置
< br>VLAN4
并将端口
e0/1
配
置为
fixed
模式,将
Switch
B
端口
e0/1
配置
< br>为
forbidden
模式。观察在每个交换机上的
VLAN
注册状态。
5
、
通过以上步骤,理解
GVRP
的功能和配置
。
配置如下:
SwitchA
SwitchA
(config)#gvrp enable
//
在全局配置模式下启用
GVRP
SwitchA (config)#switch ethernet 0/1
SwitchA (config-if-
Ethernet0/1)# switch mode trunk
SwitchA (config-if-Ethernet0/1)# switch
trunk allow vlan all
SwitchA (config-if-Ethernet 0/1)#gvrp
enable //
在接口模式下启用
GVRP
SwitchB
SwitchB (config)#gvrp enable
SwitchB (config)#switch
ethernet 0/1
SwitchB
(config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-
Ethernet0/1)# switch trunk allow vlan all
SwitchB (config-if-Ethernet
0/1)#gvrp enable
1.4.5
三层交换机和
ACL
这次我们要用到
一台三层交换机
QuidwayS3526
,具体组网图如下。
注意
SwitchA
是一台三层
交换机
。
每台
PC
机的
IP
地址指定如下:
PCA
:
10.1.1.1
PCB
:
10.1.2.1
PCC
:
10.1.1.2
PCD
:
10.1.3.1
掩码:
255.255.255.0
请完成以下步骤:
1
、
如上
图所示,配置四台
PC
机分别属于各自相关的
< br>VLAN
。
2
、
配置
端口聚合,使
SwitchA
和
Swi
tchB
之间的带宽为
200Mbps
。
3
、
配置某些端口为
trunk
端口并允许
前面配置的所有
VLAN
通过。
4
、
在两
台交换机的端口
e0/1
配置
GVRP
,使能动态注册
VLAN
信息。
5
、
测试在同一
VLAN
内的
PC
机能否互相
Ping
通。
以上配置我们在前面的练习中已全部学过,另外还需要完成以下工作
:
我们需要使
PCB
不能和
PCA
、
PCC
通信,
PCD
能和
P
CA
、
PCB
、
PCC
通信。当然,
PCA
和
PCC
仍
能互相通信。
我们知道,
不同
VLAN
间的通信在二层是隔离的。
所以我们必须寻
找一种方法能够通过三层实
现通信。
SwitchA
(
QuidwayS3526
)是一种三层交换机
,能帮助我们解决这个问题。按以下步
骤来实现不同
VLAN<
/p>
之间的
PC
机互通:
1
、
在交换机
A
上配置
VLAN2
的接口地址是
10.1.1.100
,
VLAN3
的接口地址是
10.1.2.100
,
VLAN4
的接口地址是
10.1.3.100
。
2
、
<
/p>
将
PCA
和
PC
C
的网关配置为
10.1.1.100
,
PCB
的网关为
10.1.2.10
0
,
PCD
的网关为
< br>10.1.3.100
。
<
/p>
现在,试着在
PC
机之间互相
Ping
,你会发现
VLAN
不再是隔离的。任何两台计算机现在都能
通讯了。但是很明显,我们仍没有实现
PCB
不能和
PCA
、
PCC
通信的目标,那我们应该怎么办
呢?
S3526
上提供了一个方法:
使用访问控制列表
(
ACL
)
。
你可以用
ACL
来
限制
10.1.1.0
网
段和
10.1.2.0
网段主机之间的通信。
配置如下:
SwitchA (config)link-
aggregation e 0/1 to e 0/2 ingress-egress
SwitchA(config)#gvrp enable
SwitchA(config)#vlan 2
SwitchA (config-vlan2)#port
e 0/9
SwitchA (config-
vlan2)#vlan 3
SwitchA
(config-vlan3)#port e 0/10
SwitchA (config-vlan4)#interface e 0/1
SwitchA (config-if-
Ethernet0/1)#trunk all
SwitchA (config-if-Ethernet0/1)#gvrp
enable
SwitchA (config-if-
Ethernet0/1)#interface vlan 2
//
进入
VLAN
2
的虚接口配置模式
SwitchA (config-VLAN-Interface2)#ip
address 10.1.1.100 255.255.255.0
//
配置
VLAN 2
虚接口的
IP
地址
SwitchA (config-VLAN-
Interface2)#interface vlan 3
SwitchA (config-VLAN-Interface3)#ip
address 10.1.2.100 255.255.255.0
SwitchA (config-VLAN-
Interface3)#interface vlan 4
SwitchA (config-VLAN-Interface4)#ip
address 10.1.3.100 255.255.255.0
SwitchA (config-VLAN-Interface4)#exit
SwitchA (config)#rule-map
l3 net1tonet2 10.1.1.0 255.255.255.0 10.1.2.0
255.255.255.0
//
定义流分类规则
SwitchA (config)#flow-
action net1tonet2 deny
//
定义流的动作
SwitchA (config)#acl net1tonet2
net1tonet2 net1tonet2
//
定义访问控制列表
SwitchA (config)#access-group
net1tonet2 //
将
ACL
定义的访问控制策略激
现在让我们看一看
show running-
config
的信息:
SwitchA(config)#show running-
config
Building running
configuration...
Current configuration
is :
hostname SwitchA
rule-map l3 net1tonet2 10.1.1.0
255.255.255.0 10.1.2.0 255.255.255.0
flow-action net1tonet2 deny
acl net1tonet2 net1tonet2 net1tonet2
access-group net1tonet2
link-aggregation
Ethernet0/1 to Ethernet0/2 ingress-egress
gvrp enable
interface Aux0/0
vlan 1
vlan 2
port Ethernet0/9
vlan 3
port Ethernet0/10
vlan 4
interface
Ethernet0/1
trunk all
gvrp enable
interface Ethernet0/10
interface NULL0
interface
VLAN-Interface2
ip address 10.1.1.100
255.255.255.0
interface VLAN-Interface3
ip address 10.1.2.100
255.255.255.0
interface VLAN-Interface4
ip address 10.1.3.100
255.255.255.0
line aux 0
no login
line
vty 0 4
end
SwitchB#show
running-config
Building
running configuration...
Current
configuration is :
hostname SwitchB
gvrp
!
interface
Aux0/0
!
vlan 1
!
vlan 2
!
vlan 4
!
interface Ethernet0/1
switchport mode trunk
switchport trunk allowed vlan all
gvrp
!
interface
Ethernet0/10
switchport
access vlan 4
!
interface Ethernet0/11
???.
!
interface
Ethernet0/2
switchport mode
trunk
switchport trunk
allowed vlan all
gvrp
!
interface Ethernet0/20
???
interface Ethernet0/8
!
interface
Ethernet0/9
switchport
access vlan 2
!
interface NULL0
!
link-
aggregation Ethernet0/1 to Ethernet0/2 ingress-
egress
!
line aux 0
no
login
line vty 0 4
!
end
------------
--------------------------------------------------
------------------
--
作者:
admin
--
发布时间:
2005-4-18 9:46:45
--
4.6
以太交换网安全
仍然沿用练习五的组网图。有时候我们必须远程登录来配置交换机,所以我们需要配置交换
机的远程登录,
同时我们应避免这些交换机的非法访问。
在这个练习中,
你需要配置
SwitchA
使
PCA
和
PCC
能
telnet
上
Swi
tchA
并远程配置。
配置如下:
SwitchA(config)#enable password 0
huawei
//
配置进入特权模式的密码
SwitchA(config)#line vty 0 4
//
进入
line
配置模式
SwitchA(config-line-
vty0-4)#login local
//
使能本地口令验证
SwitchA(config-line-vty0-4)#exit
SwitchA(config)#user huawei
password 0 huawei
//
配置本地验证的用户名及密码
如果你的配置已正常运行,你可以在
PCA
或
PCC
上用“telnet 10.1.1.100”登
录
SwitchA
,
然后输入正确的用
户名和密码,你就能从
PC
机远程配置
SwitchA
了。
问题:
你
能使
SwitchB
能远程登录,并从
PCA
、
PCC
以及
< br>SwitchA
上配置它吗?
实验二
使用华为
Quidway
系列交换机复杂组网
< br>2.1
实验目的
1
、
让学员学会如何设计和
构建一个典型的交换网络。
2
、
让学
员学会如何在交换网络中配置生成树协议(
STP
),
STP
在交换机之间是如何工作
的,
如何通过改变
STP
的参数来改变生成树的状态。
另外,
学员应能通过
debug
信息分析
STP
的构建过程。
3
、
让学
员学会
GVRP
的动态注册过程。
4
、
<
/p>
让学员学会如何利用三层交换机实现不同
VLAN
间的通信以及如何限制不同
VLAN
间的通
信。
5
、
让学
员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6
、
<
/p>
让学员学会交换机的其他配置,例如:端口聚合、
ACL
、端口监控。
7
、
让学
员具备在三层交换机和路由器上配置
OSPF
动态路由协议的能
力,使得交换网中的
PC
机能访问外部广域网或
Internet
。
2.2
实验环境
Quidway
S3026
以太网交换机
4
台,
Quidway S3526
以太
网交换机
1
台
Quidway
2501
路由器
1
台,
P
C
机
4
台,标准网线
< br>13
根
Quidway S3026
软件版本:
V100R002B01D011
;
Bootrom
版本:
V1.1
Quidway S3526
软件版本:
V100R001B02D006
;
Bootrom
版本:
V3.0
Quidway 2501
路由器
VRP
版本
: VRP
1.2
以上
实验二
使用华为
< br>Quidway
系列交换机复杂组网
2.1
实验目的
1
、
让学员学会如何设计和
构建一个典型的交换网络。
2
、
让学
员学会如何在交换网络中配置生成树协议(
STP
),
STP
在交换机之间是如何工作
的,
如何通过改变
STP
的参数来改变生成树的状态。
另外,
学员应能通过
debug
信息分析
STP
的构建过程。
3
、
让学
员学会
GVRP
的动态注册过程。
4
、
<
/p>
让学员学会如何利用三层交换机实现不同
VLAN
间的通信以及如何限制不同
VLAN
间的通
信。
5
、
让学
员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6
、
<
/p>
让学员学会交换机的其他配置,例如:端口聚合、
ACL
、端口监控。
7
、
让学
员具备在三层交换机和路由器上配置
OSPF
动态路由协议的能
力,使得交换网中的
PC
机能访问外部广域网或
Internet
。
2.2
实验环境
Quidway
S3026
以太网交换机
4
台,
Quidway S3526
以太
网交换机
1
台
Quidway
2501
路由器
1
台,
P
C
机
4
台,标准网线
< br>13
根
Quidway S3026
软件版本:
V100R002B01D011
;
Bootrom
版本:
V1.1
Quidway S3526
软件版本:
V100R001B02D006
;
Bootrom
版本:
V3.0
Quidway 2501
路由器
VRP
版本
: VRP
1.2
以上
-----------
--------------------------------------------------
-------------------
--
作者:
admin
--
发布时间:
2005-4-18 9:49:23
--
2.4
实验步骤
1
、
如上
图所示将设备互连起来,并给每台
PC
机配置好
IP
地址。
分配给
PC
机的
IP<
/p>
地址如下:
PCA
:
10.1.1.1
PCB
:
10.1.2.1
PCC
:
10.1.1.2
PCD
:
10.1.3.1
掩码:
255.255.255.0
2
、
如上
图所示配置四台
PC
机属于相关的
VL
AN
。配置端口聚合使得
SwitchA
和
SwitchB
、
SwitchA
和
SwitchC
之间的带宽为
200Mbps
。配置某些端口为
trunk
端口并允许以上的所有
VLAN
通过。
在所有交换机的
trunk
端口上配置
GVRP
,使得
VLAN
信息能被动态
注册。在所有
交换机上配置
STP
以避
免由于交换机之间的路径回环而产生“广播风暴”。然后测试同一
VLAN
间的
PC
机能否正常
Pin
g
通。
3
、
用“show spanning
-
t
ree”命令观察生成树的状态。
以下是
SwitchA
(
S3526
)的
生成树状态:
SwitchA#show
spanning-tree statistics e0/1
The bridge is executing the IEEE
Rapid Spanning Tree protocol
The
bridge has priority 32768, MAC address: 06.81e0
Configured Hello Time 2, Max Age 20,
Forward Delay 15
Root Bridge has
priority 32768, MAC address 06.81e0
Path cost to root bridge is 0
Port 1 (Ethernet0/1) of
bridge is Forwarding
Spanning tree
protocol is enabled
The port is a
DesignatedPort
Port path cost 180
Port priority 128
Designated bridge has priority 32768, MAC address
06.81e0
Configured as a non-edge
port
Connected to a point-to-point
LAN segment
Maximum transmission
limit is 3 BPDUs per hello time
Times: Hello Time 2, Max Age 20
Forward Delay 15, Message Age 0
sent
BPDU: 8584
TCN: 0, RST:
8584, Config BPDU: 0
received BPDU:
7657
TCN: 0, RST: 7657,
Config BPDU: 0
SwitchA# show spanning-
tree statistics e0/9
The
bridge is executing the IEEE Rapid Spanning Tree
protocol
The bridge has priority
32768, MAC address: 06.81e0
Configured Hello Time 2, Max Age 20, Forward Delay
15
Root Bridge has priority 32768,
MAC address 06.81e0
Path cost to
root bridge is 0
Port 9 (Ethernet0/9) of bridge is
Forwarding
Spanning tree protocol is
enabled
The port is a DesignatedPort
Port path cost 180
Port priority 128
Designated bridge
has priority 32768, MAC address 06.81e0
Configured as a non-edge port
Connected to a point-to-point LAN
segment
Maximum transmission limit
is 3 BPDUs per hello time
Times:
Hello Time 2, Max Age 20
Forward Delay 15, Message Age 0
sent
BPDU: 6563
TCN: 0, RST:
6563, Config BPDU: 0
received BPDU:
5377361
TCN: 0, RST: 5377361,
Config BPDU: 0
------------------------
--------------------------------------------------
------
--
作者:
admin
--
发布时间:
2005-4-18 9:51:05
--
以下是
SwitchB
(
S3026
)的生成树状态:
SwitchB>enable
SwitchB# show spanning-tree interface
e0/1
The bridge is executing the IEEE
Rapid Spanning Tree protocol
The bridge has priority 32768, MAC
address: 07.707c
Configured Hello Time 2, Max Age 20, Forward Delay
15
Root Bridge has
priority 32768, MAC address 06.81e0
Path cost to root bridge is 180
Port 1
(Ethernet0/1) of bridge is Forwarding
-
-
-
-
-
-
-
-
-
上一篇:MPLS 基础概念
下一篇:总经理年度总结大会发言稿