实用华为交换机配置实用手册.docx
《实用华为交换机配置实用手册.docx》由会员分享,可在线阅读,更多相关《实用华为交换机配置实用手册.docx(29页珍藏版)》请在冰点文库上搜索。
实用华为交换机配置实用手册
实用华为交换机配置实用手册
(2011-01-01)
华为交换机配置实用手册
实验一使用华为Quidway系列交换机简单组网1.1实验目的
1.掌握华为Quidway系列交换机上的基本配置命令;
2.掌握VLAN的原理和配置;
3.掌握端口聚合(LinkAggregation)的原理和配置;
4.掌握生成树协议(STP)的原理和配置;
5.掌握GVRP协议的原理和配置;
6.掌握三层交换机和访问控制列表(ACL)的原理和配置;
7.掌握如何从PC机或其他交换机远程配置某交换机。
1.2实验环境
QuidwayS3026以太网交换机2台,QuidwayS3526以太网交换机1台,
PC机4台,标准网线6根
QuidwayS3026软件版本:
V100R002B01D011;Bootrom版本:
V1.1
QuidwayS3526软件版本:
V100R001B02D006;Bootrom版本:
V3.0
1.3实验组网图
在下面的每个练习中给出。
1.4实验步骤
1.4.1VLAN配置
首先依照下面的组网图将各实验设备相连,然后正确的配置各设备的IP地址。
有两台QuidwayS3026交换机和四台PC机。
每台PC机的IP地址指定如下:
PCA:
10.1.1.1
PCB:
10.1.2.1
PCC:
10.1.1.2
PCD:
10.1.2.2
掩码:
255.255.255.0
请完成以下步骤:
1、如上图所示,配置四台PC机属于各自的VLAN。
2、将某些端口配置成trunk端口,并允许前面配置的所有VLAN通过。
3、测试同一VLAN中的PC机能否相互Ping通。
配置如下:
SwitchA:
SwitchA(config)#vlan2//创建VLAN2
SwitchA(config-vlan2)#switchportethernet0/9//将以太口9划入VLAN2
SwitchA(config-vlan2)#vlan3//创建VLAN3
SwitchA(config-vlan3)#switchportethernet0/10//将以太口10划入VLAN3
SwitchA(config-vlan3)#interfaceethernet0/1//进入以太口1的接口配置模式
SwitchA(config-if-Ethernet0/1)#switchmodetrunk//将e0/1接口设置为trunk模式
SwitchA(config-if-Ethernet0/1)#switchtrunkallowvlanall//配置允许所有的VLAN通过
SwitchB:
SwitchB(config)#vlan2
SwitchB(config-vlan2)#switchportethernet0/9
SwitchB(config-vlan2)#vlan3
SwitchB(config-vlan3)#switchportethernet0/10
SwitchB(config-vlan3)#interfaceethernet0/1
SwitchB(config-if-Ethernet0/1)#switchmodetrunk
SwitchB(config-if-Ethernet0/1)#switchtrunkallowvlanall
4、SwitchA端口e0/1的PVID配置为2,然后从PCApingPCC,看能否相互Ping通,如果不能Ping通,请说明原因。
华为Quidway系列交换机有一个重要特性:
如果帧的VLANID等于发送该帧的trunk端口的PVID,那么该帧将会先被删掉tag头,再发送。
5、将SwitchA端口e0/1的配置改为属于VLAN2的接入端口,然后从PCApingPCC。
你将会发现虽然SwitchA的e0/1、e0/9,SwitchB的e0/9都属于VLAN2,但PCA却不能Ping通PCC。
请说明原因。
有两种方法可以通过改变SwitchB端口e0/1的配置使PCA能Ping通PCC。
方法一:
将SwitchB端口e0/1的配置改为属于VLAN2的接入端口;
方法二:
将SwitchB端口e0/1的PVID改为2。
6、通过以上步骤,理解Quidway系列交换机添加和删除802.1qVLANtag头的过程和规则。
1.4.2端口聚合(LinkAggregation)
在练习一的基础上再将SwitchA端口e0/2和SwitchB端口e0/2互连,如下图所示。
VLAN和IP地址的配置保持不变。
1、将SwitchA和SwitchB的端口e0/1和e0/2配置为端口聚合。
2、改变SwitchA端口e0/1的配置,用“showinterfacee0/2”观察SwitchB端口e0/2的配置变化。
3、将SwitchA和SwitchB之间的两根双绞线拔掉一根,看看PCA是否仍能Ping通PCC。
请说明原因。
4、通过以上步骤,理解端口聚合的功能和配置。
配置如下:
SwitchA:
SwitchA(config)#link-aggregatione0/1toe0/2ingress-egress//将e0/1及e0/2做聚合
SwitchA(config)#interfacee0/1
SwitchA(config-if-Ethernet0/1)#switchmodetrunk//将e0/1接口设置为trunk模式
SwitchA(config-if-Ethernet0/1)#switchtrunkallowvlanall//配置允许所有的VLAN通过
SwitchB:
SwitchB(config)link-aggregatione0/1toe0/2ingress-egress
SwitchB(config)#interfacee0/1
SwitchB(config-if-Ethernet0/1)#switchmodetrunk
SwitchB(config-if-Ethernet0/1)#switchtrunkallowvlanall
--------------------------------------------------------------------------------
1.4.3生成树协议(STP)
我们仍然使用练习二的组网图。
这次在SwitchA和SwitchB之间不再用端口聚合,而是配置STP。
请完成以下步骤:
1、在两台交换机上使能STP。
2、将SwitchA配置成根桥。
3、用“showspanning-treestatisticsEthernet”命令观察接口状态,并根据显示信息解释spanning-treeprotocol的运行机制。
4、用“debugstppacket”命令进一步观察STP生成的BPDU信息。
5、修改SwitchB端口e0/2的优先级为64,然后用“showspanning-treestatisticsethernet0/2”观察端口的变化。
6、修改SwitchB端口e0/2的pathcost为100,然后用“showspanning-treestatisticsethernet0/2”观察端口的变化。
7、将SwitchA和SwitchB之间的两根双绞线拔掉一根,然后在两台交换机上用“showspanning-treestatisticsethernet0/1toethernet0/2”观察STP信息的变化。
测试PCA是否仍能Ping通PCC。
请说明原因,并比较端口聚合和STP的不同。
8、通过以上步骤,理解STP的功能和配置。
配置如下:
SwitchA:
SwitchA(config)#spanning-treeenable//在全局配置模式下启用STP
SwitchB:
SwitchB(config)#spanning-treeenable//在全局配置模式下启用STP
SwitchB(config)#spanning-treepriority4096//设置优先级
SwitchB(config)#interfacee0/2
SwitchB(config-if-Ethernet0/2)#spanning-treepathcost100//设置端口的pathcost值
问题:
如果我们将两台交换机的端口e0/1和e0/2配置为trunk端口并且不配置端口聚合和STP,将会
发生什么现象?
PCA是否仍能Ping通PCC?
1.4.4通用VLAN注册协议(GVRP)
仍用练习二的组网图。
这次在SwitchA和SwitchB上配置GVRP。
请完成以下步骤:
1、配置某些端口为trunk端口,并允许前面配置的所有VLAN通过。
2、在两个trunk端口上使能动态VLAN注册协议——GVRP。
3、在SwitchA上注册VLAN6-10,在SwitchB上注册VLAN11-15,观察在每个交换机上的VLAN注册状态。
4、在SwitchA上配置VLAN4并将端口e0/1配置为fixed模式,将SwitchB端口e0/1配置为forbidden模式。
观察在每个交换机上的VLAN注册状态。
5、通过以上步骤,理解GVRP的功能和配置。
配置如下:
SwitchA
SwitchA(config)#gvrpenable//在全局配置模式下启用GVRP
SwitchA(config)#switchethernet0/1
SwitchA(config-if-Ethernet0/1)#switchmodetrunk
SwitchA(config-if-Ethernet0/1)#switchtrunkallowvlanall
SwitchA(config-if-Ethernet0/1)#gvrpenable//在接口模式下启用GVRP
SwitchB
SwitchB(config)#gvrpenable
SwitchB(config)#switchethernet0/1
SwitchB(config-if-Ethernet0/1)#switchmodetrunk
SwitchB(config-if-Ethernet0/1)#switchtrunkallowvlanall
SwitchB(config-if-Ethernet0/1)#gvrpenable
1.4.5三层交换机和ACL
这次我们要用到一台三层交换机QuidwayS3526,具体组网图如下。
注意SwitchA是一台三层交换机。
每台PC机的IP地址指定如下:
PCA:
10.1.1.1
PCB:
10.1.2.1
PCC:
10.1.1.2
PCD:
10.1.3.1
掩码:
255.255.255.0
请完成以下步骤:
1、如上图所示,配置四台PC机分别属于各自相关的VLAN。
2、配置端口聚合,使SwitchA和SwitchB之间的带宽为200Mbps。
3、配置某些端口为trunk端口并允许前面配置的所有VLAN通过。
4、在两台交换机的端口e0/1配置GVRP,使能动态注册VLAN信息。
5、测试在同一VLAN内的PC机能否互相Ping通。
以上配置我们在前面的练习中已全部学过,另外还需要完成以下工作:
我们需要使PCB不能和PCA、PCC通信,PCD能和PCA、PCB、PCC通信。
当然,PCA和PCC仍能互相通信。
我们知道,不同VLAN间的通信在二层是隔离的。
所以我们必须寻找一种方法能够通过三层实现通信。
SwitchA(QuidwayS3526)是一种三层交换机,能帮助我们解决这个问题。
按以下步骤来实现不同VLAN之间的PC机互通:
1、在交换机A上配置VLAN2的接口地址是10.1.1.100,VLAN3的接口地址是10.1.2.100,VLAN4的接口地址是10.1.3.100。
2、将PCA和PCC的网关配置为10.1.1.100,PCB的网关为10.1.2.100,PCD的网关为10.1.3.100。
现在,试着在PC机之间互相Ping,你会发现VLAN不再是隔离的。
任何两台计算机现在都能通讯了。
但是很明显,我们仍没有实现PCB不能和PCA、PCC通信的目标,那我们应该怎么办呢?
S3526上提供了一个方法:
使用访问控制列表(ACL)。
你可以用ACL来限制10.1.1.0网段和10.1.2.0网段主机之间的通信。
配置如下:
SwitchA(config)link-aggregatione0/1toe0/2ingress-egress
SwitchA(config)#gvrpenable
SwitchA(config)#vlan2
SwitchA(config-vlan2)#porte0/9
SwitchA(config-vlan2)#vlan3
SwitchA(config-vlan3)#porte0/10
SwitchA(config-vlan4)#interfacee0/1
SwitchA(config-if-Ethernet0/1)#trunkall
SwitchA(config-if-Ethernet0/1)#gvrpenable
SwitchA(config-if-Ethernet0/1)#interfacevlan2
//进入VLAN2的虚接口配置模式
SwitchA(config-VLAN-Interface2)#ipaddress10.1.1.100255.255.255.0
//配置VLAN2虚接口的IP地址
SwitchA(config-VLAN-Interface2)#interfacevlan3
SwitchA(config-VLAN-Interface3)#ipaddress10.1.2.100255.255.255.0
SwitchA(config-VLAN-Interface3)#interfacevlan4
SwitchA(config-VLAN-Interface4)#ipaddress10.1.3.100255.255.255.0
SwitchA(config-VLAN-Interface4)#exit
SwitchA(config)#rule-mapl3net1tonet210.1.1.0255.255.255.010.1.2.0255.255.255.0
//定义流分类规则
SwitchA(config)#flow-actionnet1tonet2deny//定义流的动作
SwitchA(config)#aclnet1tonet2net1tonet2net1tonet2//定义访问控制列表
SwitchA(config)#access-groupnet1tonet2//将ACL定义的访问控制策略激
现在让我们看一看showrunning-config的信息:
SwitchA(config)#showrunning-config
Buildingrunningconfiguration...
Currentconfigurationis:
hostnameSwitchA
rule-mapl3net1tonet210.1.1.0255.255.255.010.1.2.0255.255.255.0
flow-actionnet1tonet2deny
aclnet1tonet2net1tonet2net1tonet2
access-groupnet1tonet2
link-aggregationEthernet0/1toEthernet0/2ingress-egress
gvrpenable
interfaceAux0/0
vlan1
vlan2
portEthernet0/9
vlan3
portEthernet0/10
vlan4
interfaceEthernet0/1
trunkall
gvrpenable
interfaceEthernet0/10
interfaceNULL0
interfaceVLAN-Interface2
ipaddress10.1.1.100255.255.255.0
interfaceVLAN-Interface3
ipaddress10.1.2.100255.255.255.0
interfaceVLAN-Interface4
ipaddress10.1.3.100255.255.255.0
lineaux0
nologin
linevty04
end
SwitchB#showrunning-config
Buildingrunningconfiguration...
Currentconfigurationis:
hostnameSwitchB
gvrp
!
interfaceAux0/0
!
vlan1
!
vlan2
!
vlan4
!
interfaceEthernet0/1
switchportmodetrunk
switchporttrunkallowedvlanall
gvrp
!
interfaceEthernet0/10
switchportaccessvlan4
!
interfaceEthernet0/11
……….
!
interfaceEthernet0/2
switchportmodetrunk
switchporttrunkallowedvlanall
gvrp
!
interfaceEthernet0/20
………
interfaceEthernet0/8
!
interfaceEthernet0/9
switchportaccessvlan2
!
interfaceNULL0
!
link-aggregationEthernet0/1toEthernet0/2ingress-egress
!
lineaux0
nologin
linevty04
!
end
--------------------------------------------------------------------------------
--作者:
admin
--发布时间:
2005-4-189:
46:
45
--
4.6以太交换网安全
仍然沿用练习五的组网图。
有时候我们必须远程登录来配置交换机,所以我们需要配置交换机的远程登录,同时我们应避免这些交换机的非法访问。
在这个练习中,你需要配置SwitchA使PCA和PCC能telnet上SwitchA并远程配置。
配置如下:
SwitchA(config)#enablepassword0huawei//配置进入特权模式的密码
SwitchA(config)#linevty04//进入line配置模式
SwitchA(config-line-vty0-4)#loginlocal//使能本地口令验证
SwitchA(config-line-vty0-4)#exit
SwitchA(config)#userhuaweipassword0huawei//配置本地验证的用户名及密码
如果你的配置已正常运行,你可以在PCA或PCC上用“telnet10.1.1.100”登录SwitchA,然后输入正确的用户名和密码,你就能从PC机远程配置SwitchA了。
问题:
你能使SwitchB能远程登录,并从PCA、PCC以及SwitchA上配置它吗?
实验二使用华为Quidway系列交换机复杂组网2.1实验目的1、让学员学会如何设计和构建一个典型的交换网络。
2、让学员学会如何在交换网络中配置生成树协议(STP),STP在交换机之间是如何工作的,如何通过改变STP的参数来改变生成树的状态。
另外,学员应能通过debug信息分析STP的构建过程。
3、让学员学会GVRP的动态注册过程。
4、让学员学会如何利用三层交换机实现不同VLAN间的通信以及如何限制不同VLAN间的通信。
5、让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6、让学员学会交换机的其他配置,例如:
端口聚合、ACL、端口监控。
7、让学员具备在三层交换机和路由器上配置OSPF动态路由协议的能力,使得交换网中的PC机能访问外部广域网或Internet。
2.2实验环境QuidwayS3026以太网交换机4台,QuidwayS3526以太网交换机1台
Quidway2501路由器1台,
PC机4台,标准网线13根
QuidwayS3026软件版本:
V100R002B01D011;Bootrom版本:
V1.1
QuidwayS3526软件版本:
V100R001B02D006;Bootrom版本:
V3.0
Quidway2501路由器VRP版本:
VRP1.2以上
实验二使用华为Quidway系列交换机复杂组网2.1实验目的1、让学员学会如何设计和构建一个典型的交换网络。
2、让学员学会如何在交换网络中配置生成树协议(STP),STP在交换机之间是如何工作的,如何通过改变STP的参数来改变生成树的状态。
另外,学员应能通过debug信息分析STP的构建过程。
3、让学员学会GVRP的动态注册过程。
4、让学员学会如何利用三层交换机实现不同VLAN间的通信以及如何限制不同VLAN间的通信。
5、让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6、让学员学会交换机的其他配置,例如:
端口聚合、ACL、端口监控。
7、让学员具备在三层交换机和路由器上配置OSPF动态路由协议的能力,使得交换网中的PC机能访问外部广域网或Internet。
2.2实验环境QuidwayS3026以太网交换机4台,QuidwayS3526以太网交换机1台
Quidway2501路由器1台,
PC机4台,标准网线13根
QuidwayS3026软件版本:
V100R002B01D011;Bootrom版本:
V1.1
QuidwayS3526软件版本:
V100R001B02D006;Bootrom版本:
V3.0
Quidway2501路由器VRP版本:
VRP1.2以上
--------------------------------------------------------------------------------
--作者:
admin
--发布时间:
2005-4-189:
49:
23
升级会员 