【网络工程】华为交换机经典配置.docx

《【网络工程】华为交换机经典配置.docx》由会员分享，可在线阅读，更多相关《【网络工程】华为交换机经典配置.docx（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、华为 3Com 8016交换机DHCP配置 1功能需求及组网说明 8016DHCP配置 配置环境参数1.DHCP server的IP地址192.168. 0.10/242.DHCP server连接在交换机G1/0/0，属于vlan100，网关即vlan100虚接口地址192.168.0.1/243.交换机通过G1/0/1连接SwitchAG1/1，G1/0/2连接SwitchBG1/14.SwitchA通过G2/1连接SwitchC G1/15.vlan10的用户网段为10.10.1.1/246.vlan20的用户网段为10.10.2.1/247.vlan30的用户网段为10.10.3.1/

2、248.SwitchA和SwitchC为二层交换机，SwitchB为三层交换机组网需求1.8016作DHCP relay，利用远端DHCP server为SwitchA下面的vlan10分配IP地址2.SwitchB上的vlan20用户以8016上的vlan20虚接口为网关，8016作DHCP server直接为其分配IP地址3.SwitchC上的vlan30用户以SwitchB上的vlan30虚接口为网关，8016作DHCP server为其分配IP地址2数据配置步骤8016DHCP relay数据流程DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况，通过Relay，不

3、同子网的用户可以到同一个DHCP server申请IP地址，这样便于地址池的管理和维护。【8016DHCP relay配置】1.DHCP server要配置到一个VLAN上，这个VLAN可以是任意的，但是要实现Relay，不要将Server同任何客户端配置到同一个VLAN内，建议专门划出VLAN给DHCP server组使用，这里将DHCP服务器组1对应的端口的VLAN配置为100。Quidway vlan 100Quidway-vlan100 port gigabitethernet 1/0/0Quidway interface vlanif 1002.配置DHCP server的网关地址Q

4、uidway-Vlanif100 ip address 192.168.0.1 255.255.255.03.配置DHCP服务器组1对应的IP地址。Quidway dhcp relay server-group 1 server 192.168.0.104.配置DHCP服务器组1服务的VLAN范围为10Quidway dhcp relay server-group 1 vlan 105. 进入G1/0/1，设置为trunk端口，允许vlan10通过Quidway-gigabitethernet 1/0/1 port trunk permit vlan 106.配置VLAN10的对应网关地址。Q

5、uidway interface vlanif 10Quidway-Vlanif10 ip address 10.10.1.1 255.255.255.08016作DHCP server数据流程内置DHCP server下挂的用户类型有两种：一种是S8016的VLAN用户，用户直接向S8016发起DHCP请求，这类称为VLAN地址池用户；另一种是中间经过了DHCP中继设备（例如MA5200设备），DHCP请求在到达S8016之前经过了DHCP relay，这类称为全局地址池用户。【8016vlan用户】1.用户所在VLAN ID为20，创建并进入VLAN配置视图。Quidway vlan 20

6、2.将VLAN 20用户地址分配方式设置为本地。Quidway-vlan20 address allocate local3.配置VLAN 20接口IP地址10.10.2.1，同时指定了DHCP server可分配的地址资源为10.10.2.010.10.2.255。Quidway interface vlan 20Quidway-Vlanif20 ip address 10.10.2.1 255.255.255.04.S8016下挂了一台DNS服务器，IP地址是10.10.2.15，在S8016中设置DNS服务器的IP地址，同时将这个IP地址在地址池中禁止分配给用户。Quidway-vlan

7、2 dhcp server forbidden-ip 10.10.2.15Quidway-vlan2 dns primary-ip 10.10.2.155. 进入G1/0/2，设置为trunk端口，允许vlan20通过Quidway-gigabitethernet 1/0/2 port trunk permit vlan 20【全局地址用户】1.创建全局地址池，并命名为“abc”，地址池用户网关地址为10.10.30.1Quidway dhcp server ip-pool abc10.10.3.1 255.255.255.02.配置路由IP信息Quidway dhcp server gate

8、way abc 10.10.3.13.S8016下挂了另外一台DNS服务器，IP地址是10.10.3.15，在S8016中设置DNS服务器的IP地址，同时将这个IP地址在地址池中禁止分配给用户。Quidway dns primary-ip abc 10.10.3.15Quidway dhcp server forbidden-ip abc 10.10.3.154.配置VLAN200与SwitchB相应的虚接口vlan200在同一个网段Quidway interface vlanif 200Quidway-Vlanif200 ip address 10.10.10.1 255.255.255.0

9、【SwitchB相关配置】1.创建（进入）vlan30SwitchB vlan 302.将E0/1加入到vlan30SwitchB-vlan30port Ethernet 0/13.实际当中一般将上行端口设置成trunk属性，允许vlan透传SwitchB-GigabitEthernet2/1port link-type trunk4.允许SwitchC的vlan从G2/1端口透传通过SwitchB-GigabitEthernet2/1port trunk permit vlan 305.实际当中一般将上行端口设置成trunk属性，允许vlan透传SwitchB-GigabitEthernet

10、1/1port link-type trunk6.允许所有膙lan从E0/3端口透传通过，也可以指定具体的vlan值SwitchB-GigabitEthernet1/1port trunk permit vlan 307.创建（进入）vlan30的虚接口SwitchBinterface Vlan-interface 308.给vlan30的虚接口配置IP地址SwitchB-Vlan-interface30ip address 10.10.3.1 255.255.255.0SwitchB9.定义一个DHCP serverSwitchBdhcp-server 0 ip 10.10.10.1Swit

11、chB-Vlan-interface30dhcp-server010.创建（进入）vlan200的虚接口，vlan200用于SwitchB与8016互连SwitchBinterface Vlan-interface 20011.给vlan200的虚接口配置IP地址SwitchB-Vlan-interface200ip address 10.10.10.2 255.255.255.0【SwitchC相关配置】1.创建（进入）vlan30SwitchC vlan 302.将E0/1加入到vlan30SwitchC-vlan30port Ethernet 0/13.实际当中一般将上行端口设置成tru

12、nk属性，允许vlan透传SwitchC-GigabitEthernet1/1port link-type trunk4.允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值SwitchC-GigabitEthernet1/1port trunk permit vlan 303测试验证1.PC1、PC2和PC3都能够正确的获取IP地址和网关2.PC1、PC2和PC3都能够PING通自己的网关及DHCP server华为交换机端口镜像配置- 【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1.

13、 配置镜像（观测）端口SwitchAmonitor-port e0/82. 配置被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。SwitchA port monitor ethernet 1/0/152.

14、 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像（观测）端口SwitchA port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。SwitchA port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15Swi

15、tchA port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0基于流镜像的数据流程基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050】基于三层流的镜像1. 定义一条扩展访问控制列表SwitchAacl num 1012. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址SwitchA-acl-adv-101rule 0 permit ip source 1.1.1.1 0 destination any3. 定义一条

16、规则报文源地址为所有源地址目的地址为1.1.1.1/32SwitchA-acl-adv-101rule 1 permit ip source any destination 1.1.1.1 04. 将符合上述ACL规则的报文镜像到E0/8端口SwitchAmirrored-to ip-group 101 interface e0/8基于二层流的镜像1. 定义一个ACLSwitchAacl num 200 2. 定义一个规则从E0/1发送至其它所有端口的数据包SwitchArule 0 permit ingress interface Ethernet0/1 (egress interface

17、any)3. 定义一个规则从其它所有端口到E0/1端口的数据包SwitchArule 1 permit (ingress interface any) egress interface Ethernet0/14. 将符合上述ACL的数据包镜像到E0/8SwitchAmirrored-to link-group 200 interface e0/8【5516】支持对入端口流量进行镜像配置端口Ethernet 3/0/1为监测端口，对Ethernet 3/0/2端口的入流量镜像。SwitchAmirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1【6506/

18、6503/6506R】目前该三款产品只支持对入端口流量进行镜像，虽然有outbount参数，但是无法配置。镜像组名为1，监测端口为Ethernet4/0/2，端口Ethernet4/0/1的入流量被镜像。SwitchAmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2【补充说明】1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现2. 8016支持跨单板端口镜像华为路由器qos car+nat+dhcp+vlan配置心得- 好久没有写博客了，也好久没有泡坛了，工作

19、压力是大了很多，但实际上还是自己懒了很多，也比以前浮澡了很多，趁今天领导都去开会的机会，把昨天的帮客户解决网络问题的心得写一下，供大家参考，也希望大家提出宝贵意见。客户网络环境：一个小型办公网络，有两家公司（A、B）在一个写字楼办公，共申请一条4M独享VDSL专线（其中A是缴3M的专线费用，B是缴1M的专线费用），共60台电脑左右，各30台电脑，各三台非网管24口D-LINK交换机，一台华为1821路由器（1wan口，4lan口）。用户特殊需求：（1）、A、B不能互访。（2）、A、B都通过华为路由器DHCP获取地址。（3）、A、B带宽必须划分开，A享受3M带宽，B享受1M带宽（原来的时候B公司

20、网络流量过大经常影响到A公司网络办公）。简单解决方案：根据现有网络条件，实际上仅通过华为1821路由器可以实现以上功能，具体实施如下：（1）、在华为路由器1821内部网关口（eth1/0）划分子接口（eth1/0.1、eth1/0.2），分别配置两个网关（192.168.0.1、192.168.0.2），并分别进行封装与vlan2、vlan3相对应。（2）、在华为路由器1821两个lan口（eth1/1、eth1/2）划分两个vlan(vlan2、vlan3)。（3）、分别在两个不同的逻辑子接口（eth1/0.1、eth1/0.2）配置nat并应用。（4）、分别在两个不同的逻辑子接口（eth1

21、/0.1、eth1/0.2）配置dhcp，在同一物理接口针对两个vlan网络应用dhcp来分配两个不同的网段。（5）、由于该路由器lan口为二层端口，无法实现qos car限速，只能考虑在其唯一的内部网关接口（eth1/0）的子接口上实现qos car限速达到带宽限制的作用。（6）、配置wan口地址（X、X、X、X），配置static route地址，大功告成。（7）、配置用户登录（super、console、vty等）用户名及密码（这里仅配置密码模式）。（8）、测试并观察端口信息、负载信息等，随时调整相应策略，由于考虑到其设备处理能力及时间紧迫，并未增加太多策略（如ACL等）和功能。具体配置

22、如下：#sysname Quidway#clock timezone gmt-12:000 minus 12:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20#web set-package force flash:/http.zip#radius scheme system#domain system#local-user *password ci

23、pher .*service-type telnet terminallevel 3service-type ftp#acl number 2000 配置nat Aclrule 0 permit source 192.168.0.0 0.0.0.255#acl number 3000 配置nat Aclrule 0 permit ip source 192.168.1.0 0.0.0.255acl number 3001 配置 Firewall Acl rule 0 deny ip destination 192.168.1.0 0.0.0.255acl number 3002 配置 Fire

24、wall Aclrule 0 deny ip destination 192.168.0.0 0.0.0.255#interface Ethernet1/0ip address dhcp-alloc#interface Ethernet1/0.1ip address 192.168.0.1 255.255.255.0dhcp select interface dhcp 应用于子接口dhcp server dns-list 202.106.0.20 202.106.196.115 firewall packet-filter 3001 inbound firewall ACL过滤应用于接口vla

25、n-type dot1q vid 2 子接口封装dot1qqos car inbound any cir 4096000 cbs 204800 ebs 1000 green pass red discard 流量限速qos car 配置qos car outbound any cir 4096000 cbs 204800 ebs 1000 green pass red discard 流量限速qos car 配置#interface Ethernet1/0.2ip address 192.168.1.1 255.255.255.0dhcp select interface dhcp 应用于子接

26、口dhcp server dns-list 202.106.0.20 202.106.196.115firewall packet-filter 3002 inbound firewall ACL过滤应用于接口vlan-type dot1q vid 3 子接口封装dot1qqos car inbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard 流量限速qos car 配置qos car outbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard

27、流量限速qos car 配置#interface Ethernet1/1port access vlan 2 将e1/1端口加入vlan2#interface Ethernet1/2port access vlan 3 将e1/1端口加入vlan2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet2/0 进入wan口配置ip address X、X、X、X 255.255.255.224nat outbound 3000nat outbound 2000#interface NULL0#FTP server enabl

28、e#ip route-static 0.0.0.0 0.0.0.0 y、y、y、y preference 60#user-interface con 0 用户登录配置authentication-mode passwordset authentication password cipher 0HB8%-MB%IQ1R,&6NQ!user-interface vty 0 4user privilege level 3set authentication password cipher 0HB8%-MB%IQ1R,&6NQ!#returnQuidway华为路由器和交换机配置地址转换- 一. 端口：

29、路由器ethernet（以太口）、Serial（串口）、loopback（虚拟端口）交换机ethernet、vlan、loopback注意：交换机默认其24个端口全在vlan 1里面，交换机在给vlan配了ip之后就具有路由器的功能了。 另一个需要注意的是，所用的端口是否被shutdown了，如果被shutdown了，需要进入相应的端口执行undo shutdown。二. 配置ip除了交换机的以太口不可以配置ip外，其他端口都可以，配置方法相同。Quidway interface *（所要配置的端口，如vlan 1）Quidway-*ip add *.*.*.*（ip） *.*.*.*（掩码）

30、/*（掩码位数，一般只在路由器上适用）三. NAT 上网（此命令是在VRP版本为3.4的路由器上测试的，在其他版本上是否适用，未经考察）组网图：R1 E0/2 E0/3 E0/1 E1:192.192.169.*/24 E0:192.168.2.1/24 Ip:192.168.2.10/24 网关:192.168.2.1 Ip:192.168.2.11/24 网关:192.168.2.1 Ip:192.168.2.12/24 网关:192.168.2.1 Ip:192.168.2.13/24 网关:192.168.2.1 PCA PCB PCC E0/4 To internet PCD S1

31、E0/5 NAPT工作过程：P191.用地址池的方法上网：首先配置路由器的接口的ip地址， 然后配置地址转换，把所有内网地址转换成所配置的地址池中的地址，参考命令如下：R1acl number 2000 /在vrp为3.4的路由器上，2000-2999表示basic acl R1-acl-basic-2000rule permit source 192.168.2.0 0.0.0.255（地址掩码的反码）R1-acl-basic-2000rule deny source any#这个访问控制列表定义了IP源地址为192.168.2.0/24的外出数据包 R1nat address-group

32、1（地址池的组号）192.192.169.10 192.192.169.15 #这条命令定义了一个包含6个公网地址（1015）的地址池，地址池代号为1 R1 interface e 1R1-Ethernet1 nat outbound 2000（acl的编号） address-group 1 （地址池的代号） R1ip route-static 0.0.0.0 0.0.0.0 192.192.169.1 （千万不要忘记这一步，！） #上面设置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。2.共用一个ip上网首先配置路由器的接口的ip地址，参考命令如下：systemRoutersy

33、sname R1R1interface e0R1-Ethernet0ip add 192.168.2.1 24R1interface e1R1-Ethernet1ip add 192.192.169.10 24 /这里假设出口ip是192.192.169.10然后配置地址转换，参考命令如下：R1acl number 2000 /在vrp为3.4的路由器上，2000-2999表示basic aclR1-acl-basic-2000rule permit source 192.168.2.0 0.0.0.255（地址掩码的反码）R1-acl-basic-2000rule deny source a

34、ny#这个访问控制列表定义了IP源地址为192.168.2.0/24的外出数据包R1 interface e 1R1-Ethernet1nat server protocol tcp global 192.192.169.10（E1的ip） inside 192.168.2.1（内网网关E0的ip） R1-Ethernet1 nat outbound 2000（acl的编号） R1ip route-static 0.0.0.0 0.0.0.0 192.192.169.1#上面设置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。注：有的组网图可能会复杂一些，比如交换机上划分了vlan

35、，需要在路由器上添加到交换机的路由 四、配置路由1.默认路由Quidwayip route-static 0.0.0.0（目的地址）0.0.0.0（地址掩码）*.*.*.*（下一条地址）2.静态路由Quidwayip route-static *.*.*.*（目的地址）*.*.*.*（地址掩码）*.*.*.*（下一条地址）3. rip（交换机和路由器的配置相同）QuidwayripQuidway-ripnetwork *.*.*.*（所要启动rip协议的端口的网络号）4. ospf（交换机和路由器的配置相同）Quidwayrouter id *.*.*.*QuidwayospfQuidway-

36、ospfarea * （启动ospf的自治区域）Quidway-ospf-area-0.0.0.* network *.*.*.*（所要启动rip协议的端口的网络号）*.*.*.*（网络掩码的反码）注：要注意交换机/路由器对应端口所在的自治区域。帧在网络通信中的变化 端口镜像：将某些指定端口（出或入方向）的数据流量映射到监控端口，以便集中使用数据捕获软件进行数据分析S1inter e 0/13S1-Ethernet0/13port link type TrunkS1-Ethernet0/13port trunk permit VLAN 2 3 这样E0/13既属于VLAN2又属于VLAN3，“

37、Tagged”表示从该端口通过的保温都要打上IEEE802.1q标记，用于标记该报文所属的VLAN。 区域内，每台路由器描述的是自己能够确保正确的信息-自己周边的网络拓扑结构-无论路由器位于网络中什么位置，都可以准确无误得接收到全网的拓扑结构图；OSPF 根据收集到的链路状态用最短路径树算法计算路由，从算法上本身保证了不会生成自环路由；当网络拓扑结构发生变化时，会有一台或多台路由器感知到这一变化，重新描述网络拓扑结构，并将其通知给其它路由器，每个路由器收到更新信息后，都会立即重新运行最短路径树算法，得到新的路由。 区域间，通过ABR将一个区域内已计算出的路由封装成Type3类的LSA发送到另一

38、个区域中来传递路由信息。此时的OSPF是基于D-V算法的。为消除自环，所有ABR将本区域内的路由信息封装成LSA后统一发送给骨干区域，再由骨干区域将这些信息发送给其他区域，骨干区域内每一条LSA都确切知道生成者信息（所有区域必须和骨干区域相连，骨干区域自身也必须是连通的）。所以就不会产生路由自环。 服务器192.192.169.200 我要用的ip：192.192.169.113；网关：192.192.169.1 附： display ip routing ip route-static *.*.*.* (目标ip) *.*.*.* (掩码) *.*.*.*(下一条ip) ip route *

39、.*.*.* (目标ip) *.*.*.* (掩码) *.*.*.*(下一条ip) undo ip route-static *.*.*.* (目标ip) *.*.*.* (掩码) *.*.*.*(下一条ip) import-route static 将静态路由引入ospf display ospf lsa 假如S1上的vlan3与R1的e0/0相连，要设定其Metric值为100 S1inter vlan3 S1-Vlan-interface3ospf cost 100 R1inter e 0/0 R1-Ethernet0ospf cost 100 R1tracert *.*.*.* (目标

40、ip) 1 ip1 2 ip2 3 ip3 说明R1到达目标先到ip1再到ip2再到ip3(目标)，由此可得出最短路径树 查看交换机的地址：display arp华为路由器交换机VLAN配置实例- 使用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。实现防火墙策略，和访问控制（ACL）。 方案说明：四台PC的IP地址、掩码如下列表： P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5 P2 192.168.1.2 255.255.255

41、.0 网关IP 为192.168.1.5 P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6 P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny实施命令列表：交换机上设置，划分VLAN：sys/切换到系统视图Quidwayvlan enableQuidwayvlan 2Quidway-vlan2port e0/1 to e0/8Quidway-vlan2quit/默认所

42、有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2Quidwayvlan 3Quidway-vlan3port e0/9 to e0/16Quidway-vlan3quit/指定交换机的e0/9 到e0/16八个端口属于VLAN3Quidwaydis vlan allQuidwaydis cu路由器上设置，实现访问控制：Routerinterface ethernet 0Router-Ethernet0ip address 192.168.1.5 255.255.255.0 Router-Ethernet0quit/指定ethernet 0的ipRouterinterface ethernet 1Router-E