中低LANSWITCH典型配置实例范本.docx

HUAWEILANSWITCH日常维护典型配置LANSWITCH基础应用典型配置LANSWITCH高级应用典型配置Quidway®系列中低端LANSWITCH典型配置手册Copyright ©2004华为技术有限公司技术支援网址： 客户服务邮箱：support客户服务电话：8008302118 0755-28560000传真：0755-28560111版权所有，侵权必究地址：深圳市龙岗区坂田华为总部办公楼邮编：518129声明Copyright ©2004华为技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。®、HUAWEI®、华为®、C&C08®、EAST8000®、HONET®、®、视点®、ViewPoint®、INtess®、ETS®、DMC®、TELLIN®、InfoLink®、Netkey®、Quidway®、SYNLOCK®、Radium®、雷霆®、M900/M1800®、TELESIGHT®、Quidview®、Musa®、视点通®、Airbridge®、Tellwin®、Inmedia®、VRP®、DOPRA®、iTELLIN®、HUAWEI OptiX®、C&C08 iNET®、NETENGINE、OptiX、iSite、U-SYS、iMUSE、OpenEye、Lansway、SmartAX、边际网、infoX、TopEng均为华为技术有限公司的商标。对于本手册中出现的其它商标，由各自的所有人拥有。由于产品版本升级或其它原因，本手册内容会不定期进行更新。除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。目 录声明iQuidway系列中低端LANSWITCH 典型配置手册21 LANSWITCH日常维护典型配置21.1 基本操作21.2 LANSWITCH配置注意事项21.3 远程telnet登录21.4 远程AUX口登录21.5 打开debug开关21.6 SNMP配置21.7 WEB网管配置22 LANSWITCH基础应用典型配置22.1 VLAN配置22.2 IP地址配置22.3 端口的trunk属性配置22.4 端口的hybrid属性配置22.5 端口汇聚配置22.6 端口镜像配置22.7 堆叠管理配置22.8 HGMP V1管理配置22.9 集群管理（HGMP V2）配置23 LANSWITCH高级应用典型配置23.1 STP配置23.2 路由协议配置23.3 组播配置23.4 DHCP-RELAY配置23.5 802.1X配置23.6 VRRP配置23.7 单向访问控制23.8 双向访问控制23.9 IP+MAC+端口绑定23.10 各种接入控制的配置23.11 基于端口限速的配置23.12 基于流限速的配置23.13 其他流动作的配置2图表目录图1 telnet配置2图2 通过AUX口远程登录交换机2图3 Debug 系统调试2图4 SNMP配置2图5 WEB网管配置2图6 VLAN 配置2图7 IP地址配置2图8 端口的trunk配置2图9 端口hybrid属性的配置2图10 端口汇聚配置2图11 端口镜像配置2图12 堆叠管理配置2图13 HGMP V1 管理配置2图14 集群管理配置2图15 STP配置2图16 路由协议配置2图17 三层交换机组播配置2图18 DHCP中继配置2图19 802.1X配置2图20 VRRP配置2图21 单向访问控制2图22 不同网段单向访问控制2图23 双向访问控制2图24 IP地址绑定2图25 各种接入控制的配置2图26 端口限速配置2图27 基于流限速的配置2图28 各种流动作的配置2表格目录表1 常用命令新旧对照表2表2 LANSWITCH配置注意事项2表3 telnet配置2表4 通过AUX口远程登录配置2表5 打开debug开关2表6 SNMP配置2表7 WEB网管配置2表8 VLAN配置2表9 IP地址配置2表10 端口的trunk配置2表11 端口hybrid属性配置2表12 端口汇聚配置2表13 3026产品端口镜像配置2表14 3526端口镜像配置2表15 3526E端口镜像配置2表16 堆叠管理配置2表17 HGMP V1配置2表18 集群管理配置2表19 STP配置2表20 RIP协议配置2表21 OSPF协议配置2表22 组播配置2表23 DHCP中继配置2表24 802.1X配置2表25 VRRP 配置2表26 同一网段PING单向访问控制2表27 同一网段TCP单向访问控制2表28 双向访问控制2表29 IP+MAC+端口的绑定2表30 接入控制配置2表31 端口限速配置2表32 基于流的限速配置2表33 其他流动作的配置2Quidway系列中低端LANSWITCH 典型配置手册1.1 LANSWITCH日常维护典型配置1.1.1 基本操作常用命令新旧对照列表常用命令新旧对照表旧新旧新showdisplayaccess-listaclnoundoacleaclexitquitwritesaveshow versiondisp versioneraseresetshow rundisp current-configurationshow tech-supportdisp diagnostic-informationshow startdisp saved-configurationrouter ospfospfrouter bgpbgprouter ripriphostnamesysnameuserlocal-user0simple7ciphermodelink-typemultihybrid 注意:l disp是display的缩写，在没有歧义时LANSWITCH会自动识别不完整词l disp cur显示LANSWITCH当前生效的配置参数l disp和ping命令在任何视图下都可执行，不必切换到系统视图l 删除某条命令，一般的命令是undo xxx，另一种情况是用其他的参数代替现在的参数，如有时虽然xxx abc无法使用undo删除，但是可以修改为xxx def1.1.2 LANSWITCH配置注意事项LANSWITCH配置注意事项序号注意项目记录1登录交换机时请注意在超级终端中流控选择“无”2启动时按”ctrl+B”可以进入到boot menu模式3当交换机提示”Please Press ENTER”，敲完回车后请等待一下，设备需要一定的时间才能进入到命令行界面（具体的时间试产品而定）4进入系统视图请输入”system-view”（输入”sys”即可）5对使用的端口、vlan、interface vlan进行详细的描述6如果配置了telnet用户，一定要设置权限或配置super密码7除了S6500系列，模块不可以带电插拔8使用别的产品模块前请确认该模块是否可以混用9配置acl时请注意掩码配置是否准确10二层交换机配置管理IP后，请确保管理vlan包含了管理报文到达的端口11配置完毕后请在用户视图下（即尖括号视图下）采用save命令保存配置12请确保在设备保存配置的时候不掉电，否则可能会导致配置丢失13如果要清除所有配置，请在用户视图下（即尖括号视图下）采用reset saved-configuration，并重启交换机 注意：其他配置需注意的地方请参考每部分内容后面的注明。1.1.3 远程telnet登录功能需求及组网说明telnet配置说明：如图，交换机SwitchA通过以太网口ethernet 0/1和SwitchB的ethernet0/24实现互连。PC的IP地址为10.10.10.10/24，SwitchA的管理IP配置在vlan100的虚接口上，10.10.10.1/24，使用vlan 10与SwitchB进行互连，地址为192.168.0.1/24，SwitchB也使用vlan 100作为管理vlan，地址为192.168.0.2/24需求:SwitchA只能允许10.10.10.0/24网段的地址的PC telnet访问SwitchB允许其它任意网段的地址telnet访问配置telnet配置配置过程注释SwitchA交换机配置：SwitchAvlan 100SwitchA-vlan100 port Ethernet 0/10 to Ethernet 0/20SwitchAinterface Vlan-interface 100SwitchA-Vlan-interface100ip address 10.10.10.1 255.255.255.0SwitchAvlan 10SwitchA-vlan10 port Ethernet 0/1 SwitchAinterface Vlan-interface 10SwitchA-Vlan-interface10ip address 192.168.0.1 255.255.255.0SwitchAuser-interface vty 0 4SwitchA-ui-vty0-4SwitchA-ui-vty0-4authentication-mode passwordSwitchA-ui-vty0-4set authentication password simple HuaweiSwitchA-ui-vty0-4user privilege level 3SwitchA-ui-vty0-4 acl 2000 inboundSwitchAacl number 2000SwitchA-acl-basic-2000SwitchA-acl-basic-2000rule permit source 10.10.10.0 0.0.0.255SwitchB交换机配置：SwitchAvlan 100SwitchA-vlan100 port Ethernet 0/24SwitchBinterface Vlan-interface 100SwitchB-Vlan-interface100ip address 192.168.0.2 255.255.255.0SwitchBuser-interface vty 0 4SwitchB-ui-vty0-4SwitchB-ui-vty0-4authentication-mode passwordSwitchB-ui-vty0-4set authentication password simple HuaweiSwitchB-ui-vty0-4user privilege level 3SwitchBip route-static 0.0.0.0 0.0.0.0 192.168.0.1#配置管理vlan 100#配置与SwitchB互连的vlan 10#设置telnet登录为密码验证方式。telnet登录缺省为密码验证方式#如果配置telnet登录为密码验证方式或使用缺省验证方式，必须配置登录密码，如果不配置密码，系统不允许登录。#系统默认VTY登录方式用户级别为0，设置为3才能进入系统视图#设置只允许10.10.10.0网段地址能够访问交换机SwitchA#允许其它任意网段的地址能够访问交换机需要启动路由协议或者加一条静态默认路由 注意：l 一共只可以设置5个telnet用户l 缺省情况下telnet用户的权限是0级，如果没有配置telnet用户的权限，并且也没有配置super密码，则telnet用户只能对交换机执行有限的操作，无法配置交换机1.1.4 远程AUX口登录功能需求及组网说明通过AUX口远程登录交换机需求：通过AUX口（即console口）登录到交换机进行配置配置通过AUX口远程登录配置配置过程注释Quidway user-interface aux 0Quidway-ui-aux0modem#在交换机上执行user-interface aux 0 进入console#键入modem进入modem状态。 #与计算机相连的modem为modemA，与交换机相连的modem为modemB。物理连接后在计算机上启用超级终端， com端口选择和modemA相连的com口在超级终端屏幕上键入命令 atdt 82882285（与交换机modemB的电话号码）等待片刻就可以登录到交换机上。 注意：l 目前的命令行配置的交换机console口和aux口是合二为一的l 连接交换机和modem要采用专用的aux线缆l modem要设置成自动应答方式1.1.5 打开debug开关功能需求及组网说明PCADebug 系统调试说明：如图，PC1与交换机A的Console 口或以太口相连。如果是通过以太口相连，要求PC1的IP地址和该以太端口所在的VLAN Interface在同一网段。在这里，我们假设PC1的地址是10.110.53.247/21, 交换机的以太网口所在VLAN Interface 1的IP 地址是10.110.53.248/21。配置打开debug开关配置过程注释SwitchA交换机配置：<Quidway>debbuging ? all All debugging functions arp ARP module bgp BGP module cluster Cluster module device Device manage dhcp-relay DHCP relay module dot1x Specify 802.1x configuration information ethernet Ethernet module fib FIB module ftp-server FTP server information garp GARP module gmrp GMRP module gvrp GVRP module habp HABP module hgmpserver HGMP server module igmp IGMP module ip IP module local-server Local authentication server information mac-address MAC address table information modem Modem module multicast Multicast module ndp NDP module ni NI module: NI Debuging information ntdp NTDP module ntp-service NTP module ospf OSPF module pim PIM module radius Radius module rip RIP module rmon RMON debugging switch snmp-agent SNMP module stp STP infomation tcp TCP module telnet TELNET module udp UDP module vfs Filesystem module vrrp VRRP module vtp VTP module vty VTY module<Quidway> debugging ip packet<Quidway>terminal monitor% Current terminal monitor is on<Quidway>terminal debugging% Current terminal debugging is on<Quidway>#在用户视图下面打开调试开关，选择所需要进行调试的模块参数。#打开IP报文调试开关#在用户视图模式下打开屏幕输出开关。在用户视图模式下打开调试输出开关。 注意：l 调试结束后，用undo debugging XXX, undo terminal monitor 和 undo terminal debugging 关闭所有的调试开关。l 缺省情况下debug信息只向console口终端输成信息，如果是telnet到交换机，则需要在系统视图下执行info-center monitor channel 0命令，否则debug信息无法向telnet终端输出。1.1.6 SNMP配置功能需求及组网说明PCASNMP配置说明：网管工作站（NMS）与以太网交换机通过以太网相连，网管工作站IP地址为129.102.149.23，以太网交换机的VLAN接口IP地址为129.102.0.1。在交换机上进行如下配置：设置团体名和访问权限、管理员标识、联系方法以及交换机的位置信息、允许交换机发送Trap消息。配置SNMP配置配置过程注释<Quidway>system-viewQuidway snmp-agent community read publicQuidway snmp-agent community write privateQuidwaysnmp-agent sys-info contact Mr.Wang-Tel:3306Quidway snmp-agent sys-info location telephone-closet,3rd-floorQuidway snmp-agent trap enableQuidway snmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public# 进入系统视图# 设置团体名和访问权限# 设置管理员标识、联系方法以及物理位置# 允许向网管工作站129.102.149.23发送Trap报文，使用的团体名为public。 注意：一般情况下只需设置团体名和访问权限设备即可被管理，其他为可选配置1.1.7 WEB网管配置功能需求及组网说明PCAWEB网管配置说明：PCA连接在交换机A的端口0/1需求：PCA使用WEB网管软件对交换机进行WEB管理 配置WEB网管配置配置过程注释在System命令模式下进行下面配置Quidwaysnmp-agent sys-info version v3Quidwaysnmp-agent mib-view included wnmview internetQuidwaysnmp-agent group v3 wnmgroup authentication read-view wnmview write-view wnmview notify-view wnmview Quidwaysnmp-agent usm-user v3 wnm wnmgroup authentication-mode md5 123456Quidwaysnmp-agent target-host trap address udp-domain 192.168.1.3 params securityname wnm v2cQuidwaysnmp-agent trap enable standardQuidwaysnmp-agent trap enable vrrpQuidwaysnmp-agent trap enable bgp#启动Snmp Agent的V3版本#创建一个范围为internet的Snmp视图#创建一个需要进行认证的Snmp V3的组wnmgroup，读写和接受Trap的视图都使用wnmview#创建一个Snmp V3的用户，用户名是wnm，认证密码是123456，采用MD5方式认证，不进行加密#设置Trap主机地址为192.168.1.3，接收Trap的用户名为wnm，采用TrapV2c格式送Trap#激活标准Trap，VRRP和BGP的Trap完成上述配置以后，在PC机打开浏览器，在地址栏输入交换机的IP地址，将在显示的页面中点击“图形管理界面”，就进入图形界面的Web网管。首先会弹出对话框，如果使用的是上面描述的配置，则用户名输入wnm，认证方式选择MD5，加密方式选择空，认证密码输入123456，点击确定。后面就可以根据菜单和对话框的提示通过Web网管对交换机进行查询和配置了。 注意：l 如果交换机和PC机的IP地址不在同一个网段，或者需要在PC机上收到Trap，则需要根据Web网管主页上的提示开发Java权限，对于每个交换机，在PC机上都需要开发权限；l PC机上需要安装JRE1.3以上的版本。JRE( Java Runtime Environment，Java运行环境 )可以在Sun公司的网站上免费下载。1.2 LANSWITCH基础应用典型配置1.2.1 VLAN配置功能需求及组网说明VLAN 配置需求：把交换机端口Ethernet 0/1加入到VLAN 2 ，Ethernet 0/2加入到VLAN 3配置VLAN配置配置过程注释方法一：Quidwayvlan 2Quidway-vlan2port ethernet 0/1Quidway-vlan2vlan 3Quidway-vlan3port ethernet 0/2方法二：Quidwayvlan 2Quidway-vlan2quitQuidwayinterface ethernet 0/1Quidway-Ethernet1port access vlan 2Quidway-Ethernet1quitQuidwayvlan 3Quidway-vlan3quitQuidwayinterface ethernet 0/2Quidway-Ethernet2port access vlan 3#创建VLAN 2#将端口1加入到VLAN 2#创建VLAN 3#将端口2加入到VLAN 3 注意：l 缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access端口只能属于一个vlan；l 如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉。1.2.2 IP地址配置功能需求及组网说明IP地址配置说明：如图，三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2，分别属于vlan 2、vlan 3，vlan 2、vlan 3的三层接口地址分别是1.0.0.1/24、2.0.0.1/24，Pc1和Pc2通过三层接口互通。配置IP地址配置配置过程注释Quidwayvlan 2Quidway-vlan2port ethernet 0/1Quidway-vlan2interface vlan 2Quidway-Vlan-interface2ip address 1.0.0.1 255.255.255.0Quidwayvlan 3Quidway-vlan3port ethernet 0/2Quidway-vlan3interface vlan 3Quidway-Vlan-interface3ip address 2.0.0.1 255.255.255.0#创建VLAN 2#增加端口#给虚接口VLAN 2添加IP地址#创建VLAN 3#增加端口#给虚接口VLAN 3添加IP地址 注意：l 对于交换机而言，地址只能配置在vlan虚接口上；但是S6506除外，它的console口旁边有一个管理以太网口（interface M-ethernet 0），可以直接配置IP地址。l 该配置例是以三层交换机为例，如果是二层交换机，则只能配置一个VLAN 虚接口。1.2.3 端口的trunk属性配置功能需求及组网说明Vlan 10Vlan 20Vlan 10Vlan 20Switch ASwitch BE0/1E0/2E0/1E0/2E0/3E0/3端口的trunk配置说明：通过交换机端口的trunk功能来实现跨交换机之间的vlan互通左边交换机为A，右边交换机为B。交换机A的e0/1接vlan 10 pc；e0/2接vlan 20 pc; e0/3接交换机B的e0/3需求：两台交换机之间的vlan10的pc可以互通，vlan 20的pc可以互通。 配置端口的trunk配置配置过程注释SwitchA交换机配置：SwitchA vlan 10SwitchA-vlan10port Ethernet 0/1SwitchAvlan 20SwitchA-vlan20port Ethernet 0/2SwitchA-Ethernet0/3port link-type trunkSwitchA-Ethernet0/3port trunk permit vlan all#创建 VLAN 10#端口 e0/1加入VLAN 10#创建 VLAN 20#端口 e0/2加入VLAN 20配置端口 e0/3 trunk端口，允许所有VLAN通过SwitchB交换机配置：SwitchB vlan 10SwitchB-vlan10port Ethernet 0/1SwitchBvlan 20SwitchB-vlan20port Ethernet 0/2SwitchB-Ethernet0/3port link-type trunkSwitchB-Ethernet0/3port trunk permit vlan all#创建 VLAN 10#端口 e0/1加入VLAN 10#创建 VLAN 20#端口 e0/2加入VLAN 20#配置端口 e0/3 trunk端口，允许所有VLAN通过 注意：l 如果一个端口是trunk端口，则该端口可以属于多个vlan；l 缺省情况下trunk端口的PVID为1，可以在端口模式下通过命令port trunk pvid vlan vlanid 来修改端口的PVID；l 如果从trunk转发出去的数据报文的vlan id和端口的PVID一致，则该报文的VLAN信息会被剥去，这点在配置trunk端口时需要注意。l 一台交换机上如果已经设置了某个端口为hybrid端口，则不可以再把另外的端口设置为trunk端口。1.2.4 端口的hybrid属性配置功能需求及组网说明Server 1Server 2Port 1Port 2Port 4Port 3Port 5Port 23Port 24Vlan 10Vlan 30Vlan 20端口hybrid属性的配置说明：二层交换机之间利用端口的hybrid属性灵活实现vlan之间的灵活互访。需求：所有设备的ip地址均在同一网段，要求三个vlan的pc均可以访问server 1；只有vlan 10、20以及vlan30的4端口可以访问server 2；同时vlan 10中的2端口的pc可以访问vlan 30；vlan 20可以访问vlan 30的5端口。配置端口hybrid属性配置配置过程：注释：<Quidway>sysEnter system view , return user view with Ctrl+Z.Quidwayvlan 10Quidway-vlan10vlan 20Quidway-vlan20vlan 30Quidway-vlan30vlan 40Quidway-vlan40vlan 50Quidway-vlan50int e0/1Quidway-Ethernet0/1port link-type hybrid Quidway-Ethernet0/1port hybrid pvid vlan 10 Quidway-Ethernet0/1port hybrid vlan 10 40 50 untaggedQuidway-Ethernet0/1int e0/2Quidway-Ethernet0/2port link-type hybridQuidway-Ethernet0/2port hybrid pvid vlan 10Quidway-Ethernet0/2port hybrid vlan 10 30 40 50 untaggedQuidway-Ethernet0/2int e0/3Quidway-Ethernet0/3port link-type hybridQuidway-Ethernet0/3port hybrid pvid vlan 20Quidway-Ethernet0/3port hybrid vlan 20 30 40 50 untaggedQuidway-Ethernet0/3int e0/4Quidway-Ethernet0/4port link-type hybridQuidway-Ethernet0/4port hybrid pvid vlan 30Quidway-Ethernet0/4port hybrid vlan 10 30 40 50 untaggedQuidway-Ethernet0/4int e0/5Quidway-Ethernet0/5port link-type hybridQuidway-Ethernet0/5port hybrid pvid vlan 30Quidway-Ethernet0/5port hybrid vlan 10 20 30 40 untaggedQuidway-Ethernet0/5int e0/23Quidway-Ethernet0/23port link-type hybridQuidway-Ethernet0/23port hybrid pvid vlan 40Quidway-Ethernet0/23port hybrid vlan 10 20 30 40 untaggedQuidway-Ethernet0/24int e0/24Quidway-Ethernet0/24port link-type hybridQuidway-Ethernet0/24port hybrid pvid vlan 50Quidway-Ethernet0/24port hybrid vlan 10 20 30 50 untagged #首先创建业务需要的vlan#每个端口，都配置为 hybrid状态#设置端口的pvid等于该端口所属的vlan#将希望可以互通的端口的pvid vlan，设置为untagged vlan，这样从