-
华为
3Com 8016
交换机
DHCP
配置
1
功能需求及组网说明
8016DHCP
配置
『配置环境参数』
server
的
< br>IP
地址
192.168.
0.10/24
server
连接在交换机
G1/0
/0
,属于
vlan100
,网关即<
/p>
vlan100
虚接口地址
192.16
8.0.1/24
3.
交换机通过
G1/0/1
连接
SwitchAG1/1
,
G1
/0/2
连接
SwitchBG1/1
A
通过<
/p>
G2/1
连接
SwitchC
G1/1
10
的用户网段为
10.10.1.1/24
20
< br>的用户网段为
10.10.2.1/24
30
的用
户网段为
10.10.3.1/24
A
和
Swi
tchC
为二层交换机,
SwitchB
为三层交换机
『组网需求』
1.8016
作
DHCP
relay
,利用远端
DHCP server
为
SwitchA
下面的
vl
an10
分配
IP
地址
B
上的
vlan20
用户以
8016
上的
vlan20
虚接口为网关,
8016
作
DHCP server
直接为其分配
IP
地址
C
上
的
vlan30
用户以
SwitchB
上的
vlan30
虚接口为网关,
8016
作
DHCP
server
为其分配
IP
地址<
/p>
2
数据配置步骤
『
8016DHCP
relay
数据流程』
DHCP
Relay
的作用则是为了适应客户端和服务器不在同一网段的情况,通过
Relay<
/p>
,不
同子网的用户可以到同一个
DHCP
server
申请
IP
地址,这样便于
地址池的管理和维护。
【
8016DHCP
relay
配置】
server
要配置到一个
VLAN
上,这个
VLAN
< br>可以是任意的,但是要实现
Relay
,
不要将
Server
同任何客户端配置到同一个
VLAN
内,建议专门划出
VLAN
给
DHCP server
组
< br>使用,这里将
DHCP
服务器组
1
对应的端口的
VLAN
配置为
100
。
[Quidway] vlan
100
[Quidway-vlan100] port gigabitethernet
1/0/0
[Quidway] interface vlanif
100
2.
配置
DHCP
server
的网关地址
[Quidway-Vlanif100] ip
address 192.168.0.1 255.255.255.0
3.
配置
DHCP
服务器组
1
< br>对应的
IP
地址。
[Quidway] dhcp
relay server-group 1 server
192.168.0.10
4.
配置
DHCP
服务器组
1
服务的
VLAN
范围为
10
[Quidway] dhcp relay
server-group 1 vlan 10
5.
进入
G1/0/1
,设置为
trunk
端口
,允许
vlan10
通过
[Quidway-
gigabitethernet 1/0/1] port trunk permit vlan
10
6
.
配置
VLAN10
的对应网关地址。
[Quidway] interface vlanif
10
[Quidway-Vlanif10] ip address 10.10.1.1
255.255.255.0
<
/p>
『
8016
作
D
HCP server
数据流程』
内置
DHCP
server
下挂的用户类型有两种:
一种是
S8016
的
VLAN
用户
,
用户直接向
S8016
发起
DHCP
请求,
这类称为
VLAN
地址池用户;
另一种是中间经过了
< br>DHCP
中继设备
(例如
MA5
200
设备)
,
DHCP
请求在到达
S8016
之前经过了
< br>DHCP relay
,这类称为全局地址池用户。
【
801
6vlan
用户】
1.
用户所在
VLAN ID
为
20
,创建并进入
V
LAN
配置视图。
[Quidway] vlan
20
2.
将
VLAN
20
用户地址分配方式设置为本地。
[Quidway-vlan20] address
allocate local
3.
配置
VLAN 20
接口
IP
地址
10.10.
2.1
,同时指定了
DHCP server
< br>可分配的地址资源
为
10.10.2.0~10.10.
2.255
。
[Quidway] interface vlan
20
[Quidway-Vlanif20] ip address 10.10.2.1
255.255.255.0
<
/p>
4.S8016
下挂了一台
DNS
服务器,
IP
地址是
10.10.2.15
,在
S8016
中设置
DNS
服务器
的
IP
地址,同时将这个
IP
地
址在地址池中禁止分配给用户。
[Quidway-vlan2] dhcp server forbidden-
ip 10.10.2.15
[Quidway-vlan2] dns primary-ip
10.10.2.15
5.
进入
G1/0/2
,设置为
trunk
端口,允许
vlan20
通过
[Quidway-gigabitethernet
1/0/2] port trunk permit vlan 20
【全局地址用户】
1.
创建全局地址池,并命名为“<
/p>
abc
”
,地址池用户网关地址为
10.10.30.1
[Quidway] dhcp server ip-
pool abc
10.10.3.1
255.255.255.0
<
/p>
2.
配置路由
IP
信息
[Quidway] dhcp server gateway abc
10.10.3.1
3.S8016
下挂了另外一台
DNS
服务器,
IP
地址是
10
.10.3.15
,在
S8016
中设
置
DNS
服
务器的
IP
地址,同时将这个
IP
地址在
地址池中禁止分配给用户。
[Quidway] dns primary-ip abc
10.10.3.15
[Quidway] dhcp server forbidden-ip abc
10.10.3.15
4.
配置
VLAN200
与
SwitchB
相应的虚接口
vl
an200
在同一个网段
[Quidway] interface vlanif
200
[Quidway-Vlanif200] ip address
10.10.10.1 255.255.255.0
【
SwitchB
< br>相关配置】
1.
创建(进入)
vlan30
[SwitchB] vlan 30
2.
将
E0/1
加入到
vlan30
[SwitchB-
vlan30]port Ethernet 0/1
3.<
/p>
实际当中一般将上行端口设置成
trunk
属性,允许
vlan
透传
[SwitchB-GigabitEthernet2/1]port link-
type trunk
4.
允许
SwitchC
的
vlan
从
G2/1
端口透传通过
[SwitchB-GigabitEthernet2/1]port trunk
permit vlan 30
5.
实际当中一般将上行端口设置成
trunk
属性,允许
vlan
透传
[SwitchB-GigabitEthernet1/1]port link-
type trunk
6.
允许所有
膙
lan
从
E0/3
< br>端口透传通过,也可以指定具体的
vlan
值
[SwitchB-GigabitEthernet1/1]port
trunk permit vlan 30
7.
创建(进入)
vlan30
的虚接口
[SwitchB]interface Vlan-interface
30
8.
给
vlan30
的虚接口配置
IP
地址<
/p>
[SwitchB-Vlan-interface30]ip
address 10.10.3.1 255.255.255.0
[SwitchB]
9.
定义一个
DHCP
server
[SwitchB]dhcp-server
0 ip 10.10.10.1
[SwitchB-
Vlan-interface30]dhcp-server
0
10.
创建(进入)
vlan200
的虚接口,
vlan200
用于
SwitchB
与
8016
互连
[SwitchB]interface Vlan-interface
200
11.
给
< br>vlan200
的虚接口配置
IP
地址
[SwitchB-Vlan-
interface200]ip address 10.10.10.2
255.255.255.0
【
Sw
itchC
相关配置】
1.
创建(进入)
vlan30
[SwitchC] vlan 30
2.
将
E0/1
加入到
vlan30
[SwitchC-
vlan30]port Ethernet 0/1
3.<
/p>
实际当中一般将上行端口设置成
trunk
属性,允许
vlan
透传
[SwitchC-GigabitEthernet1/1]port link-
type trunk
4.
允许所有
的
vlan
从
E0/3
端口透传通过,也可以指定具体的
vlan
值
[SwitchC-
GigabitEthernet1/1]port trunk permit vlan
30
3
测试验证
1
、
PC2
和
PC3
都能够正确的获取
IP
地址和网
关
1
、
PC
2
和
PC3
都能够
PING
通自己的网关及
DHCP
server
华为交换机端口镜像配置
-----
--------------------------------------------------
------------------------
-
【
3026
等交换机镜像】
S2008/S2016/S2026/S2
403H/S3026
等交换机支持的都是基于端口的镜像,有两种方法:
方法一
1.
配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2.
配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to
Ethernet 0/2
方法二
1.
可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to
Ethernet 0/2 observing-port Ethernet
0/8
【
8016
< br>交换机端口镜像配置】
1.
假设
8016
交换机镜像端口为
E1/
0/15
,被镜像端口为
E1/0/0
,设置端口
1/0/15
为端口
镜像的
观测端口。
[SwitchA] port monitor
ethernet 1/0/15
2.
设置端口
1/0/0
为被镜像端口,对其输入输出数据都进
行镜像。
[SwitchA] port
mirroring ethernet 1/0/0 both ethernet
1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1.
设置
E1/0/15
和
E2/0/0
为镜像(观测)端口
[SwitchA] port monitor ethernet
1/0/15
2.
设置端口
1/0/0
为被镜像端口,
分别使用
E1/0/15
和
E2/0/0
对输入和输出数据进行镜像。
[SwitchA]
port mirroring gigabitethernet 1/0/0 ingress
ethernet 1/0/15
[SwitchA]
port mirroring gigabitethernet 1/0/0 egress
ethernet 2/0/0
『基于流镜像的数据流程』
基于流镜
像的交换机针对某些流进行镜像,
每个连接都有两个方向的数据流,
对于交换机来
说这两个数据流是要分开镜像的。
【
3500/3026E/3026F/3050
】
〖基于三层流的镜像〗
1.
定义一条扩展访问控制列表
[SwitchA]acl num 101
2.
定义一条规则报文源地址为
1.
1.1.1/32
去往所有目的地址
[SwitchA-acl-adv-101]rule 0 permit ip
source 1.1.1.1 0 destination any
3.
定义一条规则报文源地址为所有源地址目的地址为
1.1.1.1/32
[SwitchA-
acl-adv-101]rule 1 permit ip source any
destination 1.1.1.1 0
4.
将符合上述
ACL
规则的报文镜像到
E0/8
端口
[SwitchA]mirrored-to ip-group 101
interface e0/8
〖基于二层流的镜像〗
1.
定义一个
ACL
[SwitchA]acl num 200
2.
定义一个规则从
E0/1
发送至其它所有端口的数据包
[SwitchA]rule 0 permit ingress
interface Ethernet0/1 (egress interface
any)
3.
定义一个规则从其它
所有端口到
E0/1
端口的数据包
[SwitchA]rule 1 permit (ingress
interface any) egress interface
Ethernet0/1
4.
将符
合上述
ACL
的数据包镜像到
E0/8
[SwitchA]mirrored-to link-
group 200 interface e0/8
【
5516
】
支持对入端口流量进行镜像
配置端口
Ethernet
3/0/1
为监测端口,对
Ethernet
3/0/2
端口的入流量镜像。
[SwitchA]mirror Ethernet 3/0/2
ingress-to Ethernet 3/0/1
<
/p>
【
6506/6503/6506R
】<
/p>
目前该三款产品只支持对入端口流量进行镜像,虽然有
outbount
参数,但是无法配置。
镜像组名为
1
,监测端口为
Ethernet4/0/2
,端口
Ethernet
4/0/1
的入流量被镜像。
[SwitchA]mirroring-group 1 inbound
Ethernet4/0/1 mirrored-to Ethernet4/0/2
【补充说明】
1.
镜像一般都可以实现高速率端口镜像低速率端口,例如<
/p>
1000M
端口可以镜像
100M
端口,
反之则无法实现
2. 8016
支持跨单板端口镜像
华为路由器
qos
car+nat+dhcp+vlan
配置心得
---------------------------------------------
----------------------------------
-
好久没有写博客了,也好久没有泡坛了,工
作压力是大了很多,但实际上还是自己懒了很
多,
也比以前浮澡
了很多,
趁今天领导都去开会的机会,
把昨天的帮客户解决网络
问题的心
得写一下,供大家参考,也希望大家提出宝贵意见。
客户网络环境:
一个小型办公网络,有两家公司(
A
、
B
)在一个写字楼办公,共申请一条
4M
独享
VDSL
专线
(其中
A
是缴
3M
的专线费用,
B
是缴
1M
的专线费用)
,共
60
台电脑左右,各
30
台电脑,
各三台非网管
24
口
< br>D-LINK
交换机,一台华为
1821
路由器(
1wan
口,
4la
n
口)
。
用户特殊需求:
(
< br>1
)
、
A
、
B
不能互访。
< br>(
2
)
、
A
、
B
都通过华为路由器
DHCP
获取地址。
(
3
)
、
A
、
B
带宽必须划分开,
A
享受
3M
带宽,
B
享受
1M
带宽(原来的时候
B
公司网络流量
过大经常影响到
A
公司网络办公)
。
简单解决方案:
根据现有网络条件,实际上仅通过华为
1821
路由器可以实现以上功能,具体实施如下:
(
1
)
、在华为路由
器
1821
内部网关口(
eth1/0
)划分子接口(
eth1/0.1
、<
/p>
eth1/0.2
)
,分别
配置两个网关(
192.168.0.1
、
192.168.0.2
)
,并分别进行封装与
vlan2
、
vlan3
相对应。
(
2
)
、在华为路由器
1821
两个
lan
口(
eth1/1
、
eth1/2
)划分两个
< br>vlan(vlan2
、
vlan3)
< br>。
(
3
)
、分别在两个不同的逻辑子接口(
eth1/0.1
、
eth1/0.2
)配置
< br>nat
并应用。
(
4
)
、分别在两个不同的逻辑子接口(
eth1/0.1
、
eth1/0.2
)配置
dhcp
,在同一物理接口
针对两个
vlan
网络应用
d
hcp
来分配两个不同的网段。
(<
/p>
5
)
、由于该路由器
lan
口为二层端口,无法实现
qos
< br>car
限速,只能考虑在其唯一的内部
网关接口(
eth1/0
)的子接口上实现
qos
car
限速达到带宽限制的作用。
(
6
)
、配置
w
an
口地址(
X
、
X
、
X
、
X
)
,配置
static
route
地址,大功告成。
(
7
)
、配置用户登录(
super
、
console
、<
/p>
vty
等)用户名及密码(这里仅配置密码模式)
。
(
8
)
、
测试并观察端口信息、负载信息等,随时调整相应策略
,由于考虑到其设备处理能力
及时间紧迫,并未增加太多策略(如
ACL
等)和功能。
具体配置如下:
#
sysname
Quidway
#
clock timezone gmt-12:000 minus
12:00:00
#
cpu-usage cycle 1min
#
connection-
limit disable
connection-
limit default action deny
connection-limit default amount upper-
limit 50 lower-limit 20
#
web set-package
force flash:/
#
radius scheme system
#
domain
system
#
local-user *******
password cipher .]@*********
service-type telnet terminal
level 3
service-
type ftp
#
acl number 2000
配置
nat Acl
rule 0 permit source 192.168.0.0
0.0.0.255
#
acl number 3000
配置
nat Acl
rule 0 permit ip source 192.168.1.0
0.0.0.255
acl number 3001
配置
Firewall Acl
rule 0 deny ip destination 192.168.1.0
0.0.0.255
acl number 3002
配置
Firewall Acl
rule 0 deny ip destination 192.168.0.0
0.0.0.255
#
interface Ethernet1/0
ip address dhcp-alloc
#
interface
Ethernet1/0.1
ip address
192.168.0.1 255.255.255.0
dhcp select interface
dhcp
应用于子接口
dhcp
server dns-list 202.106.0.20 202.106.196.115
firewall packet-filter 3001
inbound firewall
ACL
过滤应用于接口
vlan-
type dot1q vid 2
子接口封装
dot1q
qos car inbound any cir 4096000 cbs
204800 ebs 1000 green pass red discard
流
量
限
速
qos car
配置
qos car outbound any cir 4096000 cbs
204800 ebs 1000 green pass red discard
流
量
限
速
qos car
配置
#
interface
Ethernet1/0.2
ip address
192.168.1.1 255.255.255.0
dhcp select interface
dhcp
应用于子接口
dhcp
server dns-list 202.106.0.20
202.106.196.115
firewall
packet-filter 3002 inbound firewall
ACL
过滤应用于接口
vlan-
type dot1q vid 3
子接口封装
dot1q
qos car inbound any cir 1024000 cbs
51200 ebs 1000 green pass red discard
流量限速
qos
car
配置
qos car
outbound any cir 1024000 cbs 51200 ebs 1000 green
pass red discard
流
量
限
速
qos car
配置
#
interface Ethernet1/1
port access vlan 2
将
e1/1
端口加入
< br>vlan2
#
interface Ethernet1/2
port access vlan 3
将
e1/1
端口加入
< br>vlan2
#
interface Ethernet1/3
#
interface
Ethernet1/4
#
interface Ethernet2/0
进入
wan
口配置
ip address X
、
X
、
X
、
X
255.255.255.224
nat outbound
3000
nat outbound
2000
#
interface NULL0
#
FTP server
enable
#
ip route-static 0.0.0.0 0.0.0.0 y
、
y
、
y
、
y preference 60
#
user-interface
con 0
用户登录配置
authentication-mode password
set authentication password cipher
0HB8%-MB%I^[Q1R','&6NQ!!
user-interface vty 0 4
user privilege level 3
set authentication password cipher
0HB8%-MB%I^[Q1R','&6NQ!!
#
return
[Quidway]
华为路由器和交换机配置地址转换
-
--------------------------------------------------
----------------------------
-
一
.
端口:
路由器——
< br>ethernet
(以太口)
、
Serial
(串口)
、
loopba
ck
(虚拟端口)
交换机——
ethernet
、
vlan
、
loopback
注意:
交换机默认其
24
个端口全在
vlan
1
里面,交换机在给
vlan
配了
ip
之后就具有路由
器的功能了。
另一个需要注意的是,
所用的端口是否被
shutdown
了,
如果被
shutdown
了,
需要
进入相应的端口执行
undo
shutdown
。
二
.
配置
ip
除
了交换机的以太口不可以配置
ip
外,其他端口都可以,配置方
法相同。
[Quidway] interface
*
(所要配置的端口,如
vlan
1
)
[Quidway-*]ip
add *.*.*.*
(
ip
)
*.*.*.*
(掩码)
/*
(掩码位数,一般只在路由器上适
用)
三
.
NAT
上网(此命令是在
VRP
版本为
3.4
的路由器上测试的,在其他版本上是否适用,未
经考察)组网图:
R1
E0/2
E0/3
E0/1
E1:192.192.169.*/24
E0:192.168.2.1/24
Ip:192.168.2.10/24
网关
:192.168.2.1
Ip:192.168.2.11/24
网关
:192.168.2.1
Ip:192.168.2.12/24
网关
:192.168.2.1
Ip:192.168.2.13/24
网关
:192.168.2.1
PCA
PCB
PCC
E0/4
To internet
PCD
S1
E0/5
NAPT
工作过程:
P19
1.
用地址池的方法上网:
首先配置路由器的接口的
ip
地址,
然后配置地址转换,把所有内网地址转换成所
配置的地址池中的地址,参考命令如下:
[R1]acl
number 2000 //
在
vrp
< br>为
3.4
的路由器上,
2000
-2999
表示
basic acl
[R1-acl-basic-2000]rule permit source
192.168.2.0
0.0.0.255
(地址掩码的反码)
[R1-acl-basic-2000]rule deny source
any
#
这个访问控制列表定义了<
/p>
IP
源地址为
192.168.2.0/
24
的外出数据包
[R1]nat address-group
1
(地址池的组号)
192.192.169.10
192.192.169.15
#
这条命令定义了一个包含
6
个公网地址(
10
~
15
)的地址池,地址池代号
为
1
[R1]
interface e 1
[R1-Ethernet1]
nat outbound 2000
(
acl
的编号)
address-group 1
(地址池的代号)
[R1]ip route-static 0.0.0.0
0.0.0.0 192.192.169.1
(千万不要忘记这一步,
!
)
#
上面设置了路由器的
E0
和
E1
端口
IP
地址,并在路由表中添加缺省路由。
2.
共用一个
ip
上网
首先配置路由器的接口的
ip
地址,参考命令如下:
system
[Router]sysname
R1
[R1]interface
e0
[R1-Ethernet0]ip add
192.168.2.1 24
[R1]interface
e1
[R1-Ethernet1]ip add
192.192.169.10 24 //
这里假设出口
ip
是
192.192.169.10
然后配置地址转换,参考命令如下:
[R1]acl number 2000 //
在
vrp
为
3.4
的路
由器上,
2000-2999
表示
ba
sic acl
[R1-acl-
basic-2000]rule permit source 192.168.2.0
0.0.0.255
(地址掩码的反码)
[R1-acl-basic-2000]rule deny source
any
#
这个访问控制列表定义了<
/p>
IP
源地址为
192.168.2.0/
24
的外出数据包
[R1]
interface e 1
[R1-Ethernet1]nat server protocol tcp
global 192.192.169.10
(
E1
的
ip
)
inside
192.168.2.1
(内网网关
E0
的
ip
)
[R1-Ethernet1] nat
outbound 2000
(
acl
的编号)
[R1]ip route-static 0.0.0.0 0.0.0.0
192.192.169.1
#
上面
设置了路由器的
E0
和
E1
端口
IP
地址,并在路由表中添加缺省路由。
注:有的组网图可能会复杂一些,比如交换机上划分了
vlan
,需要在路由器上添加到交换
机的路由<
/p>
四、配置路由
1.
默认路由
[Quidway]ip
route-static
0.0.0.0
(目的地址)
0.0.0.0
(地址掩码)
*.*.*.*
(下一条
地
址)
2.
静态路由
[Quidway]ip
route-static
*.*.*.*
(目的地址)
*.*.*.*
(地址掩码)
*.*.*.*
(下一条
地
址)
3.
rip
(交换机和路由器的配置相同)
[Quidway]rip
[Quidway-rip]network *.*.*.*
(所要启动
rip
协议的端口的网络号)
4.
ospf
(交换机和路由器的配置相同)
[Quidway]router id *.*.*.*
[Quidway]ospf
[Quidway-ospf]area *
(启动
ospf
的自治区域)
[Quidway-ospf-area-0.0.0.*] network *.*
.*.*
(所要启动
rip
协议的端口
的网络号)
*.*.*.*
(网络掩码的反码)
注:要注意交换机
/
路由器
对应端口所在的自治区域。帧在网络通信中的变化
端口镜像:
将某些指定端口(出或入方向)的数据流量映射到监控端口,以便集中使用数据
捕获软
件进行数据分析
[S1]inter e
0/13
[S1-Ethernet0/13]port
link
–
type Trunk
[S1-Ethernet0/13]port trunk permit VLAN
2 3
这样
E0/13
既属于
VLAN2
又属于
VLAN3
,
“
Tagged
”表示从该端口通过的保温都要打上
IEEE802.1q
标记,用于标记该报文所属的
VLAN
。
区域内,
每台路由器描述的是自己能够确保正确的信息
--
自己周边的网络拓扑结构
--
无论路
由器位于网络中什么位置,都可以准确无误得接收到全网的拓扑结构图;
OSPF
根据收集到
的链路状态用最短路径树算法计算路由,
从算法上本身保证了不会生成自环路由;
当网络拓
扑结
构发生变化时,
会有一台或多台路由器感知到这一变化,
重新描
述网络拓扑结构,
并将
其通知给其它路由器,
< br>每个路由器收到更新信息后,
都会立即重新运行最短路径树算法,
得
到新的路由。
区域间,
通过
ABR
将
一个区域内已计算出的路由封装成
Type3
类的
LSA
发送到另一个区域中
来传递路由信息。此时的
OSPF
是基于
D-V
算法的。为消除自环,所有
ABR
将本区域内的路
由信息封装成
LSA
后统一发送给骨干区域
,
再由骨干区域将这些信息发送给其他区域,
骨干
区域内每一条
LSA
都确切知道生成者信息
(所有区域必须和骨干区域相连,
骨干区域自身也
必须是连通的)
。所以就不会产生路由自环。
服务器
192.192.169.200
< br>我要用的
ip
:
192.192
.169.113
;网关:
192.192.169.1
附:
display ip routing
ip route-static
*.*.*.* (
目标
ip) *.*.*.*
(
掩码
)
*.*.*.*(
下一条
ip)
ip route *.*.*.*
(
目标
ip) *.*.*.*
(
掩码
)
*.*.*.*(
下一条
ip)
undo ip route-static
*.*.*.* (
目标
ip) *.*.*.*
(
掩码
)
*.*.*.*(
下一条
ip)
import-route static
将静态路由引入
ospf
display ospf lsa
假如
S1
上的
vlan3
与
R1
的
e0/0
相连,要设定其<
/p>
Metric
值为
100
[S1]inter vlan3
[S1-Vlan-
interface3]ospf cost 100
[R1]inter e 0/0
[R1-Ethernet0]ospf cost 100
[R1]tracert *.*.*.*
(
目标
ip)
1 ip1
2 ip2
3 ip3
说明
R1
到
达目标先到
ip1
再到
ip2
再到
ip3(
目标
)<
/p>
,由此可得出最短路径树
查看交换机的MAC地址:
display arp
华为路由器交换机
VLAN
配置实例
----------------
--------------------------------------------------
-------------
-
<
/p>
使用
4
台
PC<
/p>
(
pc
多和少,
原理是一样的,
所以这里我只用了
4
台
pc
)
,
华为
路由器
(
R2621
)
、
交换机(
S3026e
)各
一台,组建一
VLAN
,实现虚拟网和物理网之间的连接。实现
防火墙策
略,和访问控制(
ACL
)<
/p>
。
方案说明:
四台
PC
的
IP
地址、掩码如下列表:
P1 192.168.1.1
255.255.255.0
网关
IP
为
192.168.1.5
P2 192.168.1.2
255.255.255.0
网关
IP
为
192.168.1.5
P3 192.168.1.3
255.255.255.0
网关
IP
为
192.168.1.6
P4 192.168.1.4
255.255.255.0
网关
IP
为
192.168.1.6
路由器上
Ethernet0
的
IP
为
192.168.1.5
Ethernet1
的
IP
为
192.168.1.6
firewall
设置默认为
deny
实施命令列表:
交换机上设置,划分
VLAN
:
sys
//
切换到系统视图
[Quidway]vlan
enable
[Quidway]vlan 2
[Quidway-vlan2]port e0/1 to
e0/8
[Quidway-vlan2]quit
//
默认
所有端口都属于
VLAN1,
指定交换机的
e0/1
到
e0/8
八个端口属
于
VLAN2
[Quidway]vlan 3
[Quidway-
vlan3]port e0/9 to e0/16
[Quidway-
vlan3]quit
//
指定交换机的
e0/9
到
e0/16
八个端口属于
VLAN3
[Quidway]dis vlan all
[Quidway]dis
cu
路由器上设置,实现访问控制:
[Router]interface ethernet
0
[Router-Ethernet0]ip address
192.168.1.5 255.255.255.0
[Router-
Ethernet0]quit
//
指定
ethernet
0
的
ip
[Router]interface ethernet
1
[Router-Ethernet1]ip address
192.168.1.6 255.255.255.0
[Router-
Ethernet1]quit
//
开启
firewall
,并将默认设置为
deny
[Router]fire
enable
[Router]fire default deny
//
允许
192.168.1.1
访问
192.
168.1.3
//firewall
策略可根据需要再进行添加
[Router]acl
101
[Router-acl-101]rule permit ip source
192.168.1.1 255.255.255.0 destination
192.168.1.3 255.255.255.0
[Router-
acl-101]quit
//
启用
101
规
则
[Router-Ethernet0]fire pa
101
[Router-Ethernet0]quit
[Router-
Ethernet1]fire pa 101
[Router-
Ethernet1]quit
华为三层以太网交换机基本原理及转发流程
< br>----------------------------------------------- --------------------------------
-
1.
二层转发流程
1.1. MAC
地址介绍
MAC
地址是
48 bit
二进制的地址,如:
00-e0-fc-00-00-06
。
可以分为单播地址、多播地址和广播地址。
< br>单播地址:第一字节最低位为
0
,如:
< br>00-e0-fc-00-00-06
多播地址:第一
字节最低位为
1
,如:
01-e0-f
c-00-00-06
广播地址:
48
位全
1
,如:
ff-ff-ff-ff-ff-
ff
注意:
1
)
普通设备网卡或者路由器设备路由接口的
MAC
地址一定是单播的
MAC
地址才能保证其与
其它设备的互通。
2
)
MAC
地址是一个以太网络设备在网络上运行的基础,也是链路层功能实现的立足点。
1.2.
二层转发介绍
交换机二层的转发特性,符合
802.1D
网桥协议标准。
交换机的二层转发涉
及到两个关键的线程:地址学习线程和报文转发线程。
学习线程如下:
华为认证技术文章
2
1
)交换
机接收网段上的所有数据帧,利用接收数据帧中的源
MAC
地址来建立
MAC
地址表;
2
)
端口移动机制:
交换机如果发现一个包文的入端口和报文中源
MAC
地址的所在端口不同,
就产生端
口移动,将
MAC
地址重新学习到新的端口;
3
)
地址老化机制:
如果交换机在很长一段时间之内没有收到某台主机发出的报文,
在该主
< br>机对应的
MAC
地址就会被删除,等下次报文来的时候会重新学习。
注意:
老化也是根据源
MAC
地址进行老化。
报文转发线程
:
1
)
交换机在
MAC
地址表中查找数据帧中的目的
MAC
地址,
如果找到,
就将该数据帧发送到
相应的端口,如果找不到,就向所有的端口发送;
2
)如果交换机收到的报文中源
MAC
地址和目的
MAC
地址所在的端口相同,则丢弃该报文;
3
)交换机向入端口以外的其它所有端口转发广播报文。
1.3. VLAN
二层转发介绍
报文转发线程
:
引入了
VLAN
以后对二层交换机的报文转发线程产生了如下的影响:
1
)
交换机在
MAC
地址表中查找数据帧中的目的
MAC
地址,
如果找到
(同时还要确保报文的
入
VLAN
和出
VLAN
是一致的)
,
就将该数据帧发送到相应的端口,
如果找不到,就向
(
VLAN
内)所有的端口发送;
2
)如果交换机收到的报文中源
MAC
地址和目的
MAC
地址所在的端口相同,则丢弃该报文;
3
)交换机向(
VLAN
内)入端口以外的其它所有端口转发广播报文。
以太网交换机上通过引入
VLAN
,带来了如下的好
处:
1
)限制了局部的网络流量,
在一定程度上可以提高整个网络的处理能力。
2
)虚拟的工作组,通过灵活的
VLAN
设置,把不同的用户划分到工作
华为认证技术文章
3
组内;
3
)安全性,一个
VLAN
内的用户和其它
VLAN
内的用户不能互访,
提高了安全性。
另外,还有常见的两个概念
VLAN
的终结和透传,
从字面意思上就可以
很好的了解这两个
概念。所谓
VLAN
的透传就是某个
VLAN
不仅在一台
交换机上有效,它还要通过某种方法延
伸到别的以太网交换机上,在别的设备上照样有效
;终结的意思及相对,某个
VLAN
的有效
< br>域不能再延伸到别的设备,或者不能通过某条链路延伸到别的设备。
VLAN
透传可以使用
802.1Q
技术,
VLAN
终结可以使用
PVLAN
技术。
IEEE802.1Q
协议是
VLAN
的技术标准
,
主要是修改了标准的帧头,
添加了一个
tag
字段,
其