-
完全版华为交换机配置实用大全
实验一
使用华为
Quidway
系列交换机简单组网
1.1
实验目的
1. <
/p>
掌握华为
Quidway
系列交换机上的
基本配置命令;
2.
掌握
VLAN
的原理和配置;
3.
掌握端口聚合(
Link
Aggregation
)的原理和配置;
4.
掌握生成树协议(
STP
)的原理和配置;
5.
掌握
GVRP
协议的原理和配置;
6.
掌握三层交换机
和访问控制列表(
ACL
)的原理和配置;
7.
掌握如何从
PC
机或其他交换机远程配置某交换机。
1.2
实验环境
Quidway
S3026
以太网交换机
2
台,
Quidway S3526
以太
网交换机
1
台,
PC
机
4
台,标准网线
6
根
Quidway
S3026
软件版本:
V100R002B01D011
;
Bootrom
版本:
V1.1
Quidway S3526
软件版本:
V100R001B02D006
;
Boot
rom
版本:
V3.0
1.3
实验组网图
在下面的每个练习中给出。
1.4
实验步骤
1.4.1
VLAN
配置
首先依照下面的组网图
将各实验设备相连,然后正确的配置各设备的
IP
地址。有两台
Quidway S3026
交换
PC
机。每台
PC
机的
IP
地址指定如下:
PCA
:
10.1.1.1
PCB
:
10.1.2.1
PCC
:
10.1.1.2
PCD
:
10.1.2.2
掩码:
255.255.255.0
请完成以下步骤:
1
、
如上
图所示,配置四台
PC
机属于各自的
V
LAN
。
2
、
将某
些端口配置成
trunk
端口,并允许前面配置的所有
VLAN
通过。
3
、
测试
同一
VLAN
中的
PC
机能否相互
Ping
通。
配置如下:
SwitchA
:
SwitchA(config)#vlan 2
//
创建
VLAN 2
SwitchA (config-vlan2)# switchport
ethernet 0/9 //
将以太口
9
划入
VLAN 2
SwitchA (config-vlan2)#vlan 3
//
创建
VLAN 3
SwitchA (config-vlan3)# switchport
ethernet 0/10 //
将以太口
10
划入
VLAN 3
SwitchA (config-vlan3)#interface
ethernet 0/1 //
进入以太口<
/p>
1
的接口配置模式
SwitchA
(config-if-Ethernet0/1)#switch mode trunk
//
将
e0/1
接口设置为
trunk
模式
SwitchA (config-if-Ethernet0/1)#switch
trunk allow vlan all //
配置允许所有的
VLAN
通过
SwitchB
:
SwitchB(config)#vlan 2
SwitchB (config-vlan2)# switchport
ethernet 0/9
SwitchB (config-
vlan2)#vlan 3
SwitchB (config-vlan3)#
switchport ethernet 0/10
SwitchB
(config-vlan3)#interface ethernet 0/1
SwitchB (config-if-Ethernet0/1)# switch
mode trunk
SwitchB (config-if-
Ethernet0/1)# switch trunk allow vlan all
4
、
SwitchA
端口
e0/1
的
PVID<
/p>
配置为
2
,然后从
PCA
ping
PCC
,看能否
相互
Ping
通,如果不能
Ping<
/p>
通
因。
华为<
/p>
Quidway
系列交换机有一个重要特性:如果帧的
VLAN
ID
等于发送该帧的
< br>trunk
端口的
PVID
,那
么该
删掉
tag
头,再发送。
5
、
将
SwitchA
端口
e
0/1
的配置改为属于
VLAN2
的接
入端口,
然后从
PCApingPCC
。
你将会发现虽然
Switc
e0/9
,
SwitchB
的
< br>e0/9
都属于
VLAN2
,但
PCA
却不能
Ping
通
PCC
。请说明原因。
<
/p>
有两种方法可以通过改变
SwitchB
端口
e0/1
的配置使
PCA
能
Ping
通
PCC<
/p>
。
方法一:将
SwitchB
端口
e0/1
的配置改
为属于
VLAN2
的接入端口;
方法二:将
SwitchB
端口
e0/1
的
PVID
改为
2
。
6
、
通过
以上步骤,理解
Quidway
系列交换机添加和删除
802.1qVLANtag
头的过程和规则。
1.4.2
端口聚合(
Link
Aggregation
)
在练习一
的基础上再将
SwitchA
端口
e0
/2
和
SwitchB
端口
e0/2
互连,
如下图所示。
VLAN
和
IP
地址的配置
1
、
将
SwitchA
和
SwitchB
的端口
e0/1
和
e0/2
配置为端口聚合。
2
、
改变
SwitchA
端口
e0/1
的配置,用“show interface e0/2”观察
Swit
chB
端口
e0/2
的配置变化。
3
、
将
SwitchA
和
SwitchB
之间的两根双绞线拔掉一根,看看
PCA
是否仍能
Ping
通
PCC
。请说明原因。
4
、
通过以上步骤,理解端口聚合的功能和配置。
配置如下:
SwitchA
:
SwitchA (config)#link-aggregation e 0/1
to e 0/2 ingress-egress //
将
e0/1
及
e0/2
做聚合
SwitchA (config)#interface e 0/1
SwitchA (config-if-Ethernet0/1)# switch
mode trunk //
将
e0/1
接口设置为
trunk
模式
SwitchA (config-if-Ethernet0/1)#
switch trunk allow vlan all //
配置允许所有的
VLAN
通过
SwitchB
:
SwitchB (config)link-aggregation e 0/1
to e 0/2 ingress-egress
SwitchB
(config)#interface e 0/1
SwitchB
(config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-Ethernet0/1)# switch
trunk allow vlan all
------------------
--------------------------------------------------
------------
1.4.3
生成树协议(
STP
)
我们仍然
使用练习二的组网图。这次在
SwitchA
和
SwitchB
之间不再用端口聚合,而是配置
STP
。
请完成以下步骤:
1
、
在两台
交换机上使能
STP
。
2
、
将
SwitchA
配置成根桥。
3
、
用“show spanning
-tree
statist
ics Ethernet”命令观察接口状态,并根据显示信息解释<
/p>
spannin
protocol
的运行
机制。
4
、
用“debug stp packet”命令进一步观察
ST
P
生成的
BPDU
信息。
5
、
修改<
/p>
SwitchB
端口
e0/2
的优先级为
64
,然后用“show
spanning
-
tree statistics
ethernet0/2”观
化。
6
、
修改<
/p>
SwitchB
端口
e0/2
的
pathcost
为
1
00
,然后用“show spanning
-tree
statistics
eth
ernet0/2
的变化。
7
、
将
SwitchA
和
SwitchB
之间的两根双绞线拔掉一根,然后在两台交换机上用“show
spanning
-tree s
ethernet0/1
to
ethernet0/2”观察
STP
信息的变化。测试
PCA
是否仍
能
Ping
通
PCC
< br>。请说明原因,并比
和
STP
的
不同。
8
、
通过以
上步骤,理解
STP
的功能和配置。
配置如下:
SwitchA
:
SwitchA (config)#spanning-
tree enable //
在全局配置模式下启用
STP
SwitchB
:
SwitchB (config)#spanning-tree enable
//
在全局配置模式下启用
STP
SwitchB (config)#spanning-tree priority
4096 //
设置优先级
SwitchB (config)#interface e 0/2
SwitchB (config-if-
Ethernet0/2)#spanning-tree pathcost 100 //
< br>设置端口的
pathcost
值
问题:
如果我们将两台交换机的端口
e0/1
和
e0/2
配置为
trunk
端口并且不配置端口聚合和
STP
,将会
发生什么现象?
PCA
是否仍能
Ping
通
PCC
?
1.4.4
通用
VLAN
注册协议(
GVRP
)
仍用练习二的组网图。这次在
Sw
itchA
和
SwitchB
上配置<
/p>
GVRP
。
请完成以下步骤:
1
、
配置某
些端口为
trunk
端口,并允许前面配置的所有
VLAN
通过。
2
、
在两个
trunk
端口上使能动态
VLAN<
/p>
注册协议——
GVRP
。
3
、
在
SwitchA
上注册
VLAN6-10<
/p>
,在
SwitchB
上注册
VLAN11-15
,观察在每个交换机上的
VLA
N
注册状态。
4
、
在
SwitchA
上配置
VLAN4
并将端口
e0/1
配置为
fixed
模式,将
SwitchB
端口
e0/1
配置为
forbidde
n
在每个交换机上的
VLAN
注册状态
。
5
、
通过以
上步骤,理解
GVRP
的功能和配置。
配置如下:
SwitchA
SwitchA (config)#gvrp enable
//
在全局配置模式下启用
GVRP
SwitchA (config)#switch ethernet 0/1
SwitchA (config-if-
Ethernet0/1)# switch mode trunk
SwitchA (config-if-Ethernet0/1)# switch
trunk allow vlan all
SwitchA (config-if-Ethernet 0/1)#gvrp
enable //
在接口模式下启用
GVRP
SwitchB
SwitchB (config)#gvrp enable
SwitchB (config)#switch
ethernet 0/1
SwitchB
(config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-
Ethernet0/1)# switch trunk allow vlan all
SwitchB (config-if-Ethernet
0/1)#gvrp enable
1.4.5
三层交换机和
ACL
这次我们要用到
一台三层交换机
QuidwayS3526
,具体组网图如下。
注意
SwitchA
是一台三层交换机。
每台
PC
机的
IP
地址指定如下:
PCA
:
10.1.1.1
PCB
:
10.1.2.1
PCC
:
10.1.1.2
PCD
:
10.1.3.1
掩码:
255.255.255.0
请完成以下步骤:
1
、
如上
图所示,配置四台
PC
机分别属于各自相关的
< br>VLAN
。
2
、
配置
端口聚合,使
SwitchA
和
Swi
tchB
之间的带宽为
200Mbps
。
3
、
配置某些端口为
trunk
端口并允许
前面配置的所有
VLAN
通过。
4
、
在两
台交换机的端口
e0/1
配置
GVRP
,使能动态注册
VLAN
信息。
5
、
测试在同一
VLAN
内的
PC
机能否互相
Ping
通。
以上配置我们在前面的练习中已全部学过,另外还需要完成以下工作
:
我们需要使
PCB
不能和
PCA
、
PCC
通信,
PCD
能和
P
CA
、
PCB
、
PCC
通信。当然,
PCA
和
PCC
仍能互相通信。
< br>我们知道,不同
VLAN
间的通信在二层是隔离的。所以
我们必须寻找一种方法能够通过三层实现通信。
Swi
(
QuidwayS3526
)是一种三层交换机,能帮助我们解决这个
问题。按以下步骤来实现不同
VLAN
之间的
< br>PC
1
、
在交
换机
A
上配置
VLAN2
的接口地址是
10.1.1.100
,
VLAN3
的接口地址是
10.1.2.100
,
VLAN4
的接口
10.1.3.100
。
2
、
将<
/p>
PCA
和
PCC
的网关配置为
10.1.1.100
,
PCB
的网关为
10.1.2.100
,
PCD
的网关为
10.1.3.10
0
。
现在
,试着在
PC
机之间互相
Ping
,你会发现
VLAN
不再是隔离的。任何两
台计算机现在都能通讯了。但是
们仍没有实现
PCB
不能和
PCA
、
PCC<
/p>
通信的目标,那我们应该怎么办呢?
S3526
< br>上提供了一个方法:使用访
(
ACL
)。你可以用
ACL
来限制
10.
1.1.0
网段和
10.1.2.0
网段主机之间的通信。
配置如下:
SwitchA (config)link-aggregation e 0/1
to e 0/2 ingress-egress
SwitchA(config)#gvrp enable
SwitchA(config)#vlan 2
SwitchA (config-vlan2)#port e 0/9
SwitchA (config-vlan2)#vlan
3
SwitchA (config-
vlan3)#port e 0/10
SwitchA
(config-vlan4)#interface e 0/1
SwitchA (config-if-Ethernet0/1)#trunk
all
SwitchA (config-if-
Ethernet0/1)#gvrp enable
SwitchA (config-if-
Ethernet0/1)#interface vlan 2
//
进入
VLAN
2
的虚接口配置模式
SwitchA (config-VLAN-Interface2)#ip
address 10.1.1.100 255.255.255.0
//
配置
VLAN 2
虚接口的
IP
地址
SwitchA (config-VLAN-
Interface2)#interface vlan 3
SwitchA (config-VLAN-Interface3)#ip
address 10.1.2.100 255.255.255.0
SwitchA (config-VLAN-
Interface3)#interface vlan 4
SwitchA (config-VLAN-Interface4)#ip
address 10.1.3.100 255.255.255.0
SwitchA (config-VLAN-Interface4)#exit
SwitchA (config)#rule-map
l3 net1tonet2 10.1.1.0 255.255.255.0 10.1.2.0
255.255.255.0
//
定义流分类规则
SwitchA (config)#flow-
action net1tonet2 deny
//
定义流的动作
SwitchA (config)#acl net1tonet2
net1tonet2 net1tonet2
//
定义访问控制列表
SwitchA (config)#access-group
net1tonet2 //
将
ACL
定义的访问控制策略激
现在让我们看一看
show running-
config
的信息:
SwitchA(config)#show running-
config
Building running
configuration...
Current configuration
is :
hostname SwitchA
rule-map l3 net1tonet2 10.1.1.0
255.255.255.0 10.1.2.0 255.255.255.0
flow-action net1tonet2 deny
acl net1tonet2 net1tonet2 net1tonet2
access-group net1tonet2
link-aggregation
Ethernet0/1 to Ethernet0/2 ingress-egress
gvrp enable
interface Aux0/0
vlan 1
vlan 2
port Ethernet0/9
vlan 3
port Ethernet0/10
vlan 4
interface
Ethernet0/1
trunk all
gvrp enable
interface Ethernet0/10
interface NULL0
interface
VLAN-Interface2
ip address 10.1.1.100
255.255.255.0
interface VLAN-Interface3
ip address 10.1.2.100
255.255.255.0
interface VLAN-Interface4
ip address 10.1.3.100
255.255.255.0
line aux 0
no login
line
vty 0 4
end
SwitchB#show
running-config
Building
running configuration...
Current
configuration is :
hostname SwitchB
gvrp
!
interface
Aux0/0
!
vlan 1
!
vlan 2
!
vlan 4
!
interface Ethernet0/1
switchport mode trunk
switchport trunk allowed vlan all
gvrp
!
interface
Ethernet0/10
switchport
access vlan 4
!
interface Ethernet0/11
???.
!
interface
Ethernet0/2
switchport mode
trunk
switchport trunk
allowed vlan all
gvrp
!
interface Ethernet0/20
???
interface Ethernet0/8
!
interface
Ethernet0/9
switchport
access vlan 2
!
interface NULL0
!
link-
aggregation Ethernet0/1 to Ethernet0/2 ingress-
egress
!
line aux 0
no
login
line vty 0 4
!
end
------------
--------------------------------------------------
------------------
--
作者:
admin
--
发布时间:
2005-4-18 9:46:45
--
4.6
以太交换网安全
仍然沿用练习五的组网图。有时候我们必须远程登录来配置交换机,所以我们需要配置交换机的远程登录
应避免这些交换机的非法访问。在这个练习中,你需要配置
Sw
itchA
使
PCA
和
PCC
能
telnet
上
SwitchA
并
配置如下:
SwitchA(config)#enable password 0
huawei
//
配置进入特权模式的密码
SwitchA(config)#line vty 0 4
//
进入
line
配置模式
SwitchA(config-line-
vty0-4)#login local
//
使能本地口令验证
SwitchA(config-line-vty0-4)#exit
SwitchA(config)#user huawei
password 0 huawei
//
配置本地验证的用户名及密码
如果你的配置已正常运行,你可以在
PCA
或
PCC
上用“telnet
1
0.1.1.100”登录
SwitchA
,然后输入正确
密码,你就能从
PC
机远程配置
SwitchA
了。
问题:
你
能使
SwitchB
能远程登录,并从
PCA
、
PCC
以及
< br>SwitchA
上配置它吗?
实验二
使用华为
Quidway
系列交换机复杂组网
< br>2.1
实验目的
1
、
让学员学会如何设计和构建一个典型的
2
、
让学
员学会如何在交换网络中配置生成树协议(
STP
),
STP
在交换机之间是如何工作的,如何通过
参
数来改变生成树的状态。另外,学员应能通过
debug
信息分
析
STP
的构建过程。
3
、
<
/p>
让学员学会
GVRP
的动态注册过程。<
/p>
4
、
让学
员学会如何利用三层交换机实现不同
VLAN
间的通信以及如何
限制不同
VLAN
间的通信。
5
、
<
/p>
让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6
、
让学员学会交换机的其他配置,例如:端口聚合、
ACL
、端口监控。
7
、
让学
员具备在三层交换机和路由器上配置
OSPF
动态路由协议的能
力,使得交换网中的
PC
机能访问外
或
Internet
。
2.2
实验环境
Quidway
S3026
以太网交换机
4
台,
Quidway S3526
以太
网交换机
1
台
Quidway
2501
路由器
1
台,
P
C
机
4
台,标准网线
< br>13
根
Quidway S3026
软件版本:
V100R002B01D011
;
Bootrom
版本:
V1.1
Quidway S3526
软件版本:
V100R001B02D006
;
Bootrom
版本:
V3.0
Quidway 2501
路由器
VRP
版本
: VRP
1.2
以上
实验二
使用华为
< br>Quidway
系列交换机复杂组网
2.1
实验目的
1
、
让学员学会如何设计和构建一个典型的
2
、
让学
员学会如何在交换网络中配置生成树协议(
STP
),
STP
在交换机之间是如何工作的,如何通过
参
数来改变生成树的状态。另外,学员应能通过
debug
信息分
析
STP
的构建过程。
3
、
<
/p>
让学员学会
GVRP
的动态注册过程。<
/p>
4
、
让学
员学会如何利用三层交换机实现不同
VLAN
间的通信以及如何
限制不同
VLAN
间的通信。
5
、
<
/p>
让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6
、
让学员学会交换机的其他配置,例如:端口聚合、
ACL
、端口监控。
7
、
让学
员具备在三层交换机和路由器上配置
OSPF
动态路由协议的能
力,使得交换网中的
PC
机能访问外
或
Internet
。
2.2
实验环境
Quidway
S3026
以太网交换机
4
台,
Quidway S3526
以太
网交换机
1
台
Quidway
2501
路由器
1
台,
P
C
机
4
台,标准网线
< br>13
根
Quidway S3026
软件版本:
V100R002B01D011
;
Bootrom
版本:
V1.1
Quidway S3526
软件版本:
V100R001B02D006
;
Bootrom
版本:
V3.0
Quidway 2501
路由器
VRP
版本
: VRP
1.2
以上
-----------
--------------------------------------------------
-------------------
--
作者:
admin
--
发布时间:
2005-4-18 9:49:23
--
2.4
实验步骤
1
、
如上
图所示将设备互连起来,并给每台
PC
机配置好
IP
地址。
分配给
PC
机的
IP<
/p>
地址如下:
PCA
:
10.1.1.1
PCB
:
10.1.2.1
PCC
:
10.1.1.2
PCD
:
10.1.3.1
掩码:
255.255.255.0
2
、
如上
图所示配置四台
PC
机属于相关的
VL
AN
。配置端口聚合使得
SwitchA
和
SwitchB
、
SwitchA
和
Sw
的带宽为
200Mbps
。
配置某些端口为
t
runk
端口并允许以上的所有
VLAN
通过。
在所有交换机的
trunk
端
口上
使得
VLAN
信息能被动态注册。
在所有交换机上配置
STP
以避免由于交换机之间的路径回环而
产生“广播风
后测试同一
VLAN
间的
PC
机能否正常
Ping
通。
3
、
用“show spanning
-
t
ree”命令观察生成树的状态。
以下是
SwitchA
(
S3526
)的
生成树状态:
SwitchA#show
spanning-tree statistics e0/1
The bridge is executing the IEEE
Rapid Spanning Tree protocol
The
bridge has priority 32768, MAC address: 06.81e0
Configured Hello Time 2, Max Age 20,
Forward Delay 15
Root Bridge has
priority 32768, MAC address 06.81e0
Path cost to root bridge is 0
Port 1 (Ethernet0/1) of
bridge is Forwarding
Spanning tree
protocol is enabled
The port is a
DesignatedPort
Port path cost 180
Port priority 128
Designated bridge has priority 32768, MAC address
06.81e0
Configured as a non-edge
port
Connected to a point-to-point
LAN segment
Maximum transmission
limit is 3 BPDUs per hello time
Times: Hello Time 2, Max Age 20
Forward Delay 15, Message Age 0
sent
BPDU: 8584
TCN: 0, RST:
8584, Config BPDU: 0
received BPDU:
7657
TCN: 0, RST: 7657,
Config BPDU: 0
SwitchA# show spanning-
tree statistics e0/9
The
bridge is executing the IEEE Rapid Spanning Tree
protocol
The bridge has priority
32768, MAC address: 06.81e0
Configured Hello Time 2, Max Age 20, Forward Delay
15
Root Bridge has priority 32768,
MAC address 06.81e0
Path cost to
root bridge is 0
Port 9 (Ethernet0/9) of bridge is
Forwarding
Spanning tree protocol is
enabled
The port is a DesignatedPort
Port path cost 180
Port priority 128
Designated bridge
has priority 32768, MAC address 06.81e0
Configured as a non-edge port
Connected to a point-to-point LAN
segment
Maximum transmission limit
is 3 BPDUs per hello time
Times:
Hello Time 2, Max Age 20
Forward Delay 15, Message Age 0
sent
BPDU: 6563
TCN: 0, RST:
6563, Config BPDU: 0
received BPDU:
5377361
TCN: 0, RST: 5377361,
Config BPDU: 0
------------------------
--------------------------------------------------
------
--
作者:
admin
--
发布时间:
2005-4-18 9:51:05
--
以下是
SwitchB
(
S3026
)的生成树状态:
SwitchB>enable
SwitchB# show spanning-tree interface
e0/1
The bridge is executing the IEEE
Rapid Spanning Tree protocol
The bridge has priority 32768, MAC
address: 07.707c
Configured Hello Time 2, Max Age 20, Forward Delay
15
Root Bridge has
priority 32768, MAC address 06.81e0
Path cost to root bridge is 180
Port 1
(Ethernet0/1) of bridge is Forwarding
Spanning tree protocol is enabled
The port is a RootPort
Port path cost 180
Port priority 128
Designated bridge has priority
32768, MAC address 06.81e0
Configured as a non-edge port
Connected to a point-to-point LAN
segment
Maximum
transmission limit is 3 BPDUs per hello time
Times: Hello Time 2,
Max Age 20
Forward Delay 15, Message Age 0