交换机基本配置命令.docx
《交换机基本配置命令.docx》由会员分享,可在线阅读,更多相关《交换机基本配置命令.docx(26页珍藏版)》请在冰点文库上搜索。
交换机基本配置命令
H3C交换机基本配置
核心交换机——作为公司核心网络的主要中枢,合理的配置
1.认证方式为Scheme时的Telnet登录配置
dis cu 查看当前配置
[h3c]telnet server enable //启动Telnet服务
[h3c]local-user winda //创建本地用户winda
[h3c-luser-winda]password cipher 123456 //为本地用户winda创建密文显示的密码
[h3c-luser-winda]service-type telnet //定义该用户的服务类型为telnet
[h3c-luser-winda]authorization-attribute level 3 //定义该用户的特权级别
[h3c-luser-winda]quit //退出用户配置模式
[h3c]user-interface vty 0 4 //设置虚拟用户端口
[h3c-ui-vty0-4]authentication-mode scheme //设定远程登录用户的登录方式使用用户名和密码
[h3c-ui-vty0-4]user privilege level 3 //设置远程登录用户登录后的最高级别
2.以太网端口的基本配置
(1)二层以太网端口中,包括三种类型:
Access、Trunk、Hybrid
InterfaceEthernet1/0/1//进入以太网端口视图
portlink-typeaccess//access端口:
只能属于一个VLAN
portlink-typetrunk//trunk端口:
属于多个VLAN,只允许默认VLAN的报文发送时不携带VLAN标签
portlink-typehybrid//hybrid端口:
属于多个VLAN,可以允许多个VLAN的报文发送时不携带VLAN标签
descriptiontext//设置以太网端口的描述字符串,用来表示该端口
duplex{auto|full|half}//设置以太网端口的双工模式
speed{10|100|1000|10000|auto}//设置以太网端口的速率
(2)以太网端口环回监测功能配置
loopback-detectionenable//开启环回监测功能
(3)端口组配置(手工端口组)
S3610、S5120、S5800系列:
port-groupmanualport-group-name//创建手工端口组,并进入手工端口组视图
S5510-EI系列:
port-groupgroup-id
S3610、S5120、S5800系列:
group-memberinterface-list//添加二层以太网端口到指定手工端口组中
S5510-EI系列:
portinterface-list
(4)手工端口汇聚组配置
link-aggregationgroupagg-idmodemanual//创建手工汇聚组
link-aggregationgroupagg-iddescriptionagg-name//配置汇聚组描述符
portlink-aggregationgroupagg-id//将以太网端口加入到指定的汇聚组
(5)端口绑定配置
amuser-bind{mac-addrmac-address|ip-addrip-address}*interface-list
//将合法用户的MAC地址和IP地址绑定到指定的端口上
(6)三层接口IP地址配置
interfacevlan-interfacevlan-id
ipaddressip-address{mask|mask-length}[sub]
3.VLAN的基本配置
(1)VLAN的创建
vlanvlan-id//创建VLAN
(2)基于端口VLAN配置
Access端口:
portlink-typeaccess//(可选)默认情况下,端口的链路类型为access类型
portaccessvlanvlan-id//将当前access端口加入到指定vlan
Trunk端口:
portlink-typetrunk//配置端口的链路类型为trunk类型
porttrunkpermitvlan{vlan-id-list|all}//将以上trunk端口加入到指定一个或多个VLAN
porttrunkpvidvlanvlan-id//(可选)设置以上trunk端口的默认VLAN
Hybrid端口:
portlink-typehybrid//配置端口的链路类型为hybrid类型
porthybridvlanvlan-id-list{tagged|untagged}//将以上hybrid端口加入到指定的一个或多个VLAN中
porthybridpvidvlanvlan-id//(可选)设置以上hybrid端口的默认VLAN
4.端口镜像配置
(1)本地端口镜像配置
mirroring-groupgroup-idlocal//未镜像组配置源端口,创建本地镜像组
●
mirroring-groupgroup-idmirroring-portmirroring-port-list{both|inbound|outbound}//在系统视图下配置指定端口为本地镜像组的源端口
●interfaceinterface-typeinterface-number
mirroring-groupgroup-idmirroring-port{both|inbound|outbound}
//在接口视图下配置指定端口为本地镜像组的源端口
mirroring-groupgroup-idmirroring-vlanmirroring-vlan-list{both|inbound|outbound}
//为本地镜像组配置源vlan,一个镜像组内可以配置多个源vlan
●
mirroring-groupgroup-idmonitor-portmonitor-port-id
//在系统视图下配置指定端口为本地镜像组的目的端口
●interfaceinterface-typeinterface-number
mirroring-groupgroup-idmonitor-port
//在接口视图下配置指定端口为本地镜像组的目的端口
(2)二层远程端口镜像配置
a.反射端口方式
b.出端口方式
1)低端H3C交换机远程端口镜像的配置,如S3100、S5510、S5600:
◆充当源交换机时的配置
remote-probevlanenable//将当前VLAN配置为远程镜像VLAN
mirroringstp-collaboration//(可选)开启端口镜像与STP联动功能,开启该功能后,设备将通过监测端口的STP状态来自动控制该端口上的镜像功能是否生效。
mirroring-groupgroup-idremote-source//创建远程源镜像组
mirroring-groupgroup-idmirroring-portmirroring-port-list{both|inbound|outbound}//配置远程端口镜像源端口
mirroring-groupgroup-idreflector-portreflector-port//为远程镜像组配置反射端口
mirroring-groupgroup-idremote-probevlanremote-probe-vlan-id
//为指定远程源镜像组配置远程镜像VLAN
◆充当中间交换机时的配置
remote-probevlanenable//定义当前VLAN配置为远程镜像VLAN
◆充当目的交换机的配置
remote-probevlanenable//定义当前VLAN配置为远程镜像VLAN
mirroring-groupgroup-idremote-destination//配置远程目的镜像组
mirroring-groupgroup-idmonitor-portmonitor-port//为远程目的镜像组配置目的端口
mirroring-groupgroup-idremote-probevlanremote-probe-vlan-id
//为远程镜像组配置远程镜像VLAN
2)中高端H3C交换机二层远程端口镜像的配置
Ø远程源镜像组配置:
mirroring-groupgroup-idremote-source//创建远程源镜像组
●
mirroring-groupgroup-idmirroring-portmirroring-port-list{both|inbound|outbound}//系统视图下配置指定端口为远程源镜像组源端口
●interfaceinterface-typeinterface-number
mirroring-groupgroup-idmirroring-port{both|inbound|outbound}
//接口视图下配置指定端口为远程源镜像组源端口
mirroring-groupgroup-idmirroring-vlanmirroring-vlan-list{both|inbound|outbound}
//为远程源镜像组配置源VLAN
●
mirroring-groupgroup-idmonitor-egressmonitor-egress-port-id
//系统视图下配置指定端口为远程源镜像组的出端口
●interfaceinterface-typeinterface-number
mirroring-groupgroup-idmonitor-egress
//接口视图下配置指定端口为远程源镜像组的出端口
●
mirroring-groupgroup-idreflector-portreflector-port
//系统视图下配置指定端口为远程源镜像组的反射端口
●interfaceinterface-typeinterface-number
mirroring-groupgroup-idreflector-port
//接口视图下配置指定端口为远程源镜像组的反射端口
mirroring-groupgroup-idremote-probevlanremote-probe-vlan-id
//为远程源镜像组配置远程镜像VLAN
Ø远程目的镜像组配置
mirroring-groupgroup-idremote-destination//配置远程目的镜像组
●
mirroring-groupgroup-idmonitor-portmonitor-port-id
//系统视图下配置指定端口为远程目的镜像组的目的端口
●interfaceinterface-typeinterface-number
mirroring-groupgroup-idmonitor-port
//接口视图下配置指定端口为远程目的镜像组的目的端口
mirroring-groupgroup-idremote-probevlanremote-probe-vlan-id
//为远程目的镜像组配置远程镜像VLAN
(3)三层远程端口镜像配置
1)GRE隧道的配置
interfacetunnelinterface-number//创建一个Tunnel接口,并进入该视图
ipaddressip-address{mask|mask-length}//设置Tunnel接口的IPV4地址
tunnel-protocolgre//配置隧道模式为GRE隧道模式
source{ip-address|interface-typeinterface-number}//设置Tunnel接口的源端地址或接口
destinationip-address//设置Tunnel接口的目的端地址
2)三层远程端口镜像配置
mirroring-groupgroup-idlocal//创建本地镜像组
●
mirroring-groupgroup-idmirroring-portmirroring-port-list{both|inbound|outbound}//系统视图下为本地镜像组配置源端口
●interfaceinterface-typeinterface-number
mirroring-groupgroup-idmirroring-port{both|inbound|outbound}
//接口视图下为本地镜像组配置源端口
mirroring-groupgroup-idmirroring-cpuslotslot-number-list{both|inbound|outbound}
//(仅S58系列支持)在系统视图下为本地镜像组配置源CPU
●
mirroring-groupgroup-idmonitor-portmonitor-port-id
//系统视图下为本地镜像组配置目的端口
●interfaceinterface-typeinterface-number
mirroring-groupgroup-idmonitor-port
//接口视图下为本地镜像组配置目的端口
5.DHCP基本配置举例
常见的DHCP组网方式可分为两类:
一种是DHCP服务器和客户端都在一个子网内, 直接进行DHCP 协议的交互;第二种是DHCP 服务器和客户端分别处于不同的子网 中,必须通过DHCP 中继代理实现IP 地址的分配。
(1)DHCP地址池的配置
示例一:
DHCP 服务器为同一网段中的客户端动态分配IP 地址,地址池网段10.1.1.0/24 分 为两个网段:
10.1.1.0/25 和10.1.1.128/25。
DHCP 服务器两个Ethernet 接口地址 分别为10.1.1.1/25 和10.1.1.129/25。
网段10.1.1.0/25 内的地址租用期限为10 天12 小时,域名为,DNS 地 址为10.1.1.2,无NetBIOS 地址,出口路由器地址为10.1.1.126;网段10.1.1.128/25 网段内的地址租用期限为5 天,DNS 地址为10.1.1.2,NetBIOS 地址为10.1.1.4, 出口路由器的地址为10.1.1.254。
# 启动DHCP 服务
dhcp enable
# 配置接口工作在DHCP 服务器模式下,并从全局地址池中分配IP 地址。
dhcp select global interface ethernet 0/0/0 to ethernet 0/0/1
# 配置不参与自动分配的IP 地址(DNS、NetBIOS 和出口网关地址)。
dhcp server forbidden-ip 10.1.1.2
dhcp server forbidden-ip 10.1.1.4
dhcp server forbidden-ip 10.1.1.126
dhcp server forbidden-ip 10.1.1.254
# 配置DHCP 地址池0 的共有属性(地址池范围、DNS 地址)。
dhcp server ip-pool 0
network10.1.1.0mask255.255.255.0
dns-list 10.1.1.2
# 配置DHCP 地址池1 的属性(地址池范围、出口网关、地址租用期限)。
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.128
domain-name
gateway-list 10.1.1.126
expired day 10 hour 12
# 配置DHCP 地址池2 的属性(地址池范围、出口网关、NetBIOS 地址、地址租用 期限)。
dhcp server ip-pool 2
network 10.10.1.128 mask 255.255.255.128
expired day 5
nbns-list 10.1.1.4
gateway-list 10.1.1.254
(2)DHCP中继配置
dhcpenable
dhcprelayserver-groupgroup-idipip-address
interfaceVlan-interfacevlan-id
ipaddressip-address{mask|mask-length}[sub]
dhcpselectrelay
dhcprelayserver-selectgroup-id
6.SNMP配置
snmp-agentsys-infocontact
//设置管理员的标识及联系方法,请把替换为你要设置成的值,下同。
这个值初始是HuaWeiBeiJingChina,用指令displaycurrent-configuration可以在当前执行的配置的靠末尾看到该项。
snmp-agentsys-infolocation
//设置交换机的位置信息,这项初始没有设置。
snmp-agentcommunityreadpublic
//设置一个华为交换机snmpCommunity,使用该Community连接交换机时,只可以读取其华为交换机snmp信息。
你可以把指令中的public换成你想要的字符串。
snmp-agentcommunitywriteprivate
//设置一个华为交换机snmpCommunity,使用该Community连接交换机时,不仅可以读取其华为交换机snmp信息,还可以将值写入华为交换机snmp的MIB对象,实现对设备进行配置。
你可以把指令中的private换成你想要的字符串。
snmp-agentsys-infoversionall
//设置交换机支持的华为交换机snmp协议,有v1,v2c,v3这3个版本,如果你不确定,最好设为all,将会同时支持这3个协议。
在S3050C-0025上初始是只支持v3版本的,如果你没有正确设定它,mibbrower等一些读取软件可能会无法读取信息。
7.ACL配置
基本ACL:
编号范围:
2000~2999
高级ACL:
编号范围:
3000~3999
二层ACL:
编号范围:
4000~4999
(1)基本ACL配置
aclnumberacl-number[nameacl-name][match-order{auto|config}]
//创建基本ACL并进入基本ACL视图
descriptiontext//(可选)定义ACL的描述信息
stepstep-value//(可选)定义ACL规则编号步长
rule[rule-id]{deny|permit}[counting|fragment|logging|source{sour-addrsour-wildcard|any}|time-rangetime-range-name|vpn-instancevpn-instance-name]*
//为以上IPV4基本ACL创建一条规则
rulerule-idcommenttext//(可选)为指定的规则配置描述信息
hardware-countenable//(可选)开启基于硬件应用的ACL统计功能
(2)高级ACL配置
aclnumberacl-number[nameacl-name][match-order{auto|config}]
//创建IPV4高级ACL并进入高级ACL视图
descriptiontext//(可选)定义ACL的描述信息
stepstep-value//(可选)定义ACL规则编号步长
rule[rule-id]{deny|permit}protocol[{{ackack-value|finfin-value|pshpsh-value|rstrst-value|synsyn-value|urgurg-value}*|established}|counting|destination{dest-addrdest-wildcard|any}|destination-portoperatorport1[port2]|dscpdscp|fragment|icmp-type{icmp-typeicmp-code|icmp-message}|logging|precedenceprecedence|reflective|source{sour-addrsour-wildcard|any}|source-port|operatorport1[port2]|time-rangetime-range-name|tostos|vpn-instancevpn-instance-name]*
//为以上IPV4高级ACL创建一条规则
rulerule-idcommenttext//(可选)为指定的规则配置描述信息
hardware-countenable//(可选)开启基于硬件应用的ACL统计功能
(3)二层ACL配置
aclnumberacl-number[nameacl-name][match-order{auto|config}]
//创建二层ACL并进入二层ACL视图
descriptiontext//(可选)定义ACL的描述信息
stepstep-value//(可选)定义ACL规则编号步长
rule[rule-id]{deny|permit}[cosvlan-pri|counting|dest-macdest-addrdest-mask|{lsaplsap-typelsap-type-mask|typeprotocol-typeprotocol-type-mask}|source-macsour-addrsource-mask|time-rangetime-range-name]*
//定义二层ACL规则
rulerule-idcommenttext//(可选)为指定的规则配置描述信息
ha
升级会员 