学习--交换机配置.doc

如有侵权，请联系网站删除，仅供学习与交流学习-交换机配置【精品文档】第 17 页交换机配置² 学习计划 设置用户名与密码，两种模式telnet与console。 交换机千兆口和百兆口两种模式的区别，配置方法不一样。 配置VLAN可以互通，添加接口，建立组。 ACL访问控制列表。1 Vlan划分的方法1.1 vlan划分的几个方法。1、基于端口划分：根据交换机的端口编号来划分VLAN。通过为交换机的每个端口配置不同的pvid，将不同端口划分到VLAN中。缺点-主机移动位置时，需要重新配置VLAN2、基于MAC地址划分：提前配置网络中主机的mac地址和valn ID的映射关系。优点-主机位置移动也不用重新配置VLAN3、基于IP子网划分：4、基于协议划分：5、基于策略划分：1.2 vlan练习的实例1) 基于端口划分基于端口划分 采用如下的思路配置VLAN：1. 创建VLAN并将连接用户的端口加入VLAN，实现不同业务用户之间二层流量隔离。2. 配置SwitchA和SwitchB之间的链路类型及通过的VLAN，实现相同业务用户通过SwitchA和SwitchB通信。3.代码流程a. Sw1 有两个vlan 10，20；Vlan10包含的端口Enthernet0/0/2.。Enthernet 0/0/9Vlan20包含的端口Enthernet0/0/10.。Enthernet 0/0/20Sw2 有两个vlan 10，20；Vlan10包含的端口Enthernet0/0/2.。Enthernet 0/0/9Vlan20包含的端口Enthernet0/0/10.。Enthernet 0/0/20b. 设置vlan和vlanif <Huawei>sysEnter system view, return user view with Ctrl+Z.Huaweisysname s1s1undo info enable如果有to便是创建了vlan10，11.。Vlan20Info: Information center is disabled.s1vlan batch 10 20 /如果是vlan batch 10 to 20 那就是创建了10 11.。20了Info: This operation may take a few seconds. Please wait for a moment.done.s1interface Vlanif 10 /设置网关的命令s1-Vlanif10ip address 192.168.10.1 24s1-Vlanif10qs1interface Vlanif 20s1-Vlanif20ip address 192.168.20.1 24s1-Vlanif20qc. 将端口加入到一个组中，将组添加到vlan中s1port-group 1s1-port-group-1group-member Ethernet 0/0/2 to Ethernet 0/0/9s1-port-group-1port link-type access s1-Ethernet0/0/2port link-type access s1-Ethernet0/0/3port link-type access s1-Ethernet0/0/4port link-type access s1-Ethernet0/0/5port link-type access s1-Ethernet0/0/6port link-type access s1-Ethernet0/0/7port link-type access s1-Ethernet0/0/8port link-type access s1-Ethernet0/0/9port link-type access s1-port-group-1port default vlan 10s1-Ethernet0/0/2port default vlan 10s1-Ethernet0/0/3port default vlan 10s1-Ethernet0/0/4port default vlan 10s1-Ethernet0/0/5port default vlan 10s1-Ethernet0/0/6port default vlan 10s1-Ethernet0/0/7port default vlan 10s1-Ethernet0/0/8port default vlan 10s1-Ethernet0/0/9port default vlan 10s1-port-group-1qd. 设置Ethernet0/0/1的模式位trunk，并通过vlan 10 20s1interface Ethernet 0/0/1s1-Ethernet0/0/1port link-type trunk s1-Ethernet0/0/1port trunk allow-pass vlan 10 20s1-Ethernet0/0/1qe. 通过acl控制vlan之间的访问。2) 基于MAC地址划分3) 基于IP子网划分4) 基于协议划分5) 基于策略划分1.3 思考2 VLAN链路类型v 1 access链路：连接用户主机和交换机v 2 trunk链路：连接交换机和交换机3 VLAN的PVID1 PVID即port VLAN ID，代表端口的缺省VLAN。2 VLAN帧含有VLAN标记iyu，但是在交换网络环境中，以太网帧有两种格式-没有添加VLAN标记的标准以太网帧，有VLAN标记的以太网帧。3 PVID的目的就是将通过交换机的没有标记的以太网帧添加标记。为了实现此目的，必须为交换机配置端口缺省的VLAN。当该端口收到没有标记的以太网帧时，交换机将给它加上该缺省的VLAN的VLAN Tag（VLAN标记）4 VLAN配置：1创建VLANswavlan 10     /创建VLAN10swavlan batch 2 to 5    /创建VLAN2，3,4,5swavlan batch 2 4 6     /创建VLAN2,4,6配置验证：swadisplay vlan     /显示VLAN简要信息swadisplay vlan 10 verbose    /查看VLAN10详细信息人人特务r2配置access端口swainterface ether 0/0/1     /进入接口1swa-Ethernet0/0/1port link-type access     /配置接口1的类型为access3添加端口到VLAN，两种方法：进入valn视图，执行port  <interface>swavaln 2swa-vlan2port ethernet 0/0/1进入接口视图，执行port default <vlan-id>swainterface ethernet 0/0/1swa-ethernet0/0/1port default vlan 24配置trunk端口修改端口类型为trunk   swainterface ethernet 0/0/0   swa-ethernet0/0/0port link-type trunk配置那些VLAN可以通过该端口   swa-Ethernet0/0/0port trunk allow-pass vlan 2 to 55 VLAN聚合(VLAN Aggregation)一般一个子网(网段)对应一个VLAN，由于VLAN实际应用非常广泛，这样一个子网(VLAN)下会存在IP地址分配(规划)的浪费(例如192.168.1.x子网下可能没有254台以上的机器)。为了更有效的利用IP地址，并且隔离广播域，引入VLAN聚合技术。VALN聚合把一个子网划分为一个Super VLAN，每个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。 当Sub VLAN之间的用户需要进行三层通信时(需要在Super VLAN上开启ARP Proxy)，将使用Super VLAN三层接口的IP地址作为网关地址，这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。可以跟VLAN做比较，通常一个VLAN，一个子网，也即一个广播域，一个路由接口，而VLAN聚合则把一个子网段分成地址段，即几个广播域，IP地址和路由接口都不变6交换机ACL配置方法一 利用traffic-filter默认配置了vlanif，vlan间是可以访问的，如果你要配置vlan间不能互相访问，通过ACL配置，配置如下：vlan 2:192.168.2.0/255.255.255.0vlan 3:192.168.3.0/255.255.255.0vlan 4:192.186.4.0/255.255.255.0vlan2vlan3vlan4相互之间不能访问acl number 3002 rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255acl number 3003 rule deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule deny ip source 192.168.3.0 0.0.0.255 destination 192.168.4.0 0.0.0.255acl number 3004 rule deny ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule deny ip source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 用traffic-filter在vlan下应用ACL，让人日日日日日 traffic-filter vlan 2 inbound acl 3002 traffic-filter vlan 3 inbound acl 3003 traffic-filter vlan 4 inbound acl 3004方法二 策略流1内容华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用。华为需要先配ACL，然后配流分类（traffic classifier tc1），将ACL和流分类绑定，再配流行为（traffic behavior tb1），接着配置流策略（traffic policy tp1），最后把策略应用到接口下，让ACL生效。2例子具体例子如下：步骤1 配置ACLQuidway acl 3000Quidway-acl-user-3000 rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255步骤2 配置基于用户自定义ACL 的流分类# 配置流分类tc1，对匹配ACL 3000 的报文进行分类。Quidway traffic classifier tc1Quidway-classifier-tc1 if-match acl 3000步骤3 配置流行为# 配置流行为tb1，动作为拒绝报文通过。Quidway traffic behavior tb1Quidway-behavior-tb1 deny步骤4 配置流策略# 定义流策略，将流分类与流行为关联。Quidway traffic policy tp1Quidway-trafficpolicy-tp1 classifier tc1 behavior tb1步骤5 在接口下应用流策略# 在接口GE1/0/1 下应用流策略。Quidway interface gigabitethernet 1/0/1Quidway-GigabitEthernt1/0/1 traffic-policy tp1 inbound 或者直接应用到vlan中。目前用ensp测试的话，发现是所有网络都禁止了，而不是某个端口，换成5700测试也一样7 DHCP自动分配地址池，一般自动获取地址的环境都得配置DHCP8 IP地址绑定mac地址9 交换机登陆配置1 CONSOLE登陆设置方式一：1. 配置Console用户界面的用户优先级。2. 配置Console用户界面的验证方式和验证密码。步骤1 配置Console用户界面的用户优先级<Quidway> system-viewQuidway user-interface console 0Quidway-ui-console0 user privilege level 15步骤2 配置Console用户界面的用户验证方式为密码验证Quidway-ui-console0 authentication-mode passwordQuidway-ui-console0 set authentication password cipher Helloworld6789Quidway-ui-console0 quitConsole用户界面配置完成后，用户可以通过Console口使用Password方式登录设备，现本地维护。用户登录设备的具体过程请参见配置用户通过Console口登录设备。方式二：console 登陆的时候使用用户名和密码验证的情况下修改或重置登陆密码<Huawei> system-viewHuawei aaaHuawei-aaa local-user admin password cipher Huawei2015Huawei-aaa local-user admin privilege level 15Huawei-aaa local-user admin service-type terminalHuawei user-interface console 0Huawei-ui-console0 authentication-mode aaaHuawei-ui-console0 quitHuawei quit<Huawei> save备注：给设备配置 console 验证方式和配置 console 密码的方式同上，上面修改或重置的只是覆盖之前的配置，如果之前没有配置的话就是增加新的验证方式。关于交换机通过 console 登录设备的详细配置说明及具体配置命令，请参考对应版本产品文档：配置>配置指南（通过命令行）>基础配置>首次登陆系统>通过 console 口登陆设备。关于 AR 路由器通过 console 登陆设备的详细说明及具体配置，请参考对应版本产品文档：配置指南（通过命令行）>基础配置>首次登陆系统>通过 console 口登陆设备。关于防火墙通过 console 登陆设备的详细说明及具体配置，请参考对应版本产品文档：部署指南>初次登陆>通过 console 口登陆 CLI 界面。2 telnet登陆设备一些命令序号命令描述1reset saved-configuration清空配置2shutdown当修改了接口的工作参数配置，新的配置未能立即生效，可以使用shutdown和undo shutdown命令关闭和重启接口，使新的配置生效。3undo shutdown4Dis th显示命令5678authentication-mode 常见的配置参数有三种user-interface vty 0 141、authentication-mode aaa或authentication-mode scheme创建本地用户并启用AAA验证。2、authentication-mode password直接在user-interface vty 下用passrod设置密码3、authentication-mode none远程维护登陆不需要密码scheme是组合的意思.就是组合认证方式,即输入:用户名+密码认证.1.进入用户界面：user-interface 0 4 （和思科里面的VTY一样，0 4是指可以有5个用户会话同时连接，0,1,2,3,4 ）2.设置认证模式为组合模式（用户名加密码）：Authenticate-mode scheme3.建立本地用户名:local-user 用户名,4.设置用户密码:password simple 密码.5.设置访问服务类型为telnet：service-type telnet6.设置授权访问级别：level 37.退出:quit9user-interface vty 0 4 表示配置telnet的线程数，0-4，一共五个线程，同时允许5个用户同进TELNET到交换机。authentication-mode password 验证方式采用口令（不是采用RADIUS等其他方式）set authentication-mode password simple 222 设置口令是明文（在配置文件中是明文，不加密显示，能看到配置文件就能看到口令）。也就是密码是222.user privilege level 3 用户权限设置为3，对TELNET用户作权限限制。 基础网址1， 2， l 备注日期问题待解决4.25ACL访问控制链表