交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)

1、交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)的產(chǎn)生原因播送風(fēng)暴的產(chǎn)生原因播送風(fēng)暴傳統(tǒng)的以太網(wǎng)是播送型網(wǎng)絡(luò)，網(wǎng)絡(luò)中的所有主機(jī)通過(guò)或交換機(jī)相連，處在同一個(gè)播送域中通過(guò)路由器隔離播送域通過(guò)路由器隔離播送域通過(guò)劃分播送域通過(guò)劃分播送域市場(chǎng)部工程部財(cái)務(wù)部以太網(wǎng)端口的鏈路類型以太網(wǎng)端口的鏈路類型l ：只能允許某一個(gè)的數(shù)據(jù)流通過(guò)。：只能允許某一個(gè)的數(shù)據(jù)流通過(guò)。l ：允許多個(gè)的數(shù)據(jù)流和某一個(gè)的數(shù)據(jù)流通過(guò)。：允許多個(gè)的數(shù)據(jù)流和某一個(gè)的數(shù)據(jù)流通過(guò)。l ：允許多個(gè)的數(shù)據(jù)流和多個(gè)的數(shù)據(jù)流通過(guò)。：允許多個(gè)的數(shù)據(jù)流和多個(gè)的數(shù)據(jù)流通過(guò)。l 端口可以允許多個(gè)的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽，而端口可以允許多個(gè)的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽，而端口只允許缺省的

2、報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽。端口只允許缺省的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽。l 三種類型的端口可以共存在一臺(tái)設(shè)備上三種類型的端口可以共存在一臺(tái)設(shè)備上 和和 和和數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化配置命令配置命令1創(chuàng)立創(chuàng)立. 100 (1-4094)刪除刪除. 100 (1-4094)在中增加端口在中增加端口. 2/0/1在中刪除端口在中刪除端口. 2/0/1將端口參加將端口參加 100 (1-4094)將端口脫離將端口脫離 100 (1-4094)顯示信息顯示信息 (1-4094)配置命令配置命令2定義端口屬性為定義端口屬性為. 刪除端口屬性刪除端口屬性. 定義端口可以傳輸?shù)亩x端口可以傳輸?shù)?

3、 在中刪除端口在中刪除端口. 配置虛接口配置虛接口為已存在的創(chuàng)立對(duì)應(yīng)的接口，并進(jìn)入為已存在的創(chuàng)立對(duì)應(yīng)的接口，并進(jìn)入接口視圖接口視圖 刪除一個(gè)接口刪除一個(gè)接口 *缺省情況下，在交換機(jī)上不存在接口缺省情況下，在交換機(jī)上不存在接口*可以通過(guò)可以通過(guò) 命令配置地址，使接口可以為在該命令配置地址，使接口可以為在該范圍內(nèi)接入的設(shè)備提供基于層的數(shù)據(jù)轉(zhuǎn)發(fā)功能范圍內(nèi)接入的設(shè)備提供基于層的數(shù)據(jù)轉(zhuǎn)發(fā)功能*在創(chuàng)立接口之前，必須先創(chuàng)立對(duì)應(yīng)的，否那么無(wú)在創(chuàng)立接口之前，必須先創(chuàng)立對(duì)應(yīng)的，否那么無(wú)法創(chuàng)立接口法創(chuàng)立接口配置地址配置地址 命令用來(lái)配置接口接口的地址命令用來(lái)配置接口接口的地址和掩碼和掩碼 命令用來(lái)刪除接口接口的命令

4、用來(lái)刪除接口接口的地址和掩碼地址和掩碼 | | *在一般情況下，一個(gè)接口接口在一般情況下，一個(gè)接口接口/網(wǎng)絡(luò)管理接口配置一個(gè)網(wǎng)絡(luò)管理接口配置一個(gè)地址即可，但為了使交換機(jī)的一個(gè)接口接口地址即可，但為了使交換機(jī)的一個(gè)接口接口/網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理接口可以與多個(gè)子網(wǎng)相連，一個(gè)接口接口接口可以與多個(gè)子網(wǎng)相連，一個(gè)接口接口/網(wǎng)絡(luò)管理接口網(wǎng)絡(luò)管理接口最多可以配置多個(gè)地址，其中一個(gè)為主地址，其余為從地址最多可以配置多個(gè)地址，其中一個(gè)為主地址，其余為從地址靜態(tài)路由的配置命令和例如靜態(tài)路由的配置命令和例如H3C | | | 例如：例如： 129.1.0.0 16 2/0主從地址舉例主從地址舉例配置舉例配置舉例 為保

5、證部門間數(shù)據(jù)的二層隔離，現(xiàn)要求將為保證部門間數(shù)據(jù)的二層隔離，現(xiàn)要求將1和和1劃分到劃分到100中，中，2和和2劃分到劃分到200中。并分別為兩個(gè)設(shè)置描述字符為中。并分別為兩個(gè)設(shè)置描述字符為“1和和“2 在上配置接口，對(duì)在上配置接口，對(duì)1發(fā)往發(fā)往2的數(shù)據(jù)進(jìn)行三層轉(zhuǎn)發(fā)。的數(shù)據(jù)進(jìn)行三層轉(zhuǎn)發(fā)。兩個(gè)部門分別使用兩個(gè)部門分別使用192.168.1.0/24和和192.168.2.0/24兩個(gè)網(wǎng)段兩個(gè)網(wǎng)段配置配置 A# 創(chuàng)立創(chuàng)立100，并配置，并配置100的描述字符串為的描述字符串為“1，將端口，將端口1/0/1加加入到入到100。 100100 1100 1/0/1100 # 創(chuàng)立創(chuàng)立200，并配置，并配

6、置200的描述字符串為的描述字符串為“2。 200200 2200 # 創(chuàng)立創(chuàng)立100和和200的接口，地址分別配置為的接口，地址分別配置為192.168.1.1和和192.168.2.1，用，用來(lái)對(duì)來(lái)對(duì)1發(fā)往發(fā)往2的報(bào)文進(jìn)行三層轉(zhuǎn)發(fā)。的報(bào)文進(jìn)行三層轉(zhuǎn)發(fā)。 100100 192.168.1.1 24100 200200 192.168.2.1 24配置配置 B# 創(chuàng)立創(chuàng)立100，并配置，并配置100的描述字符串為的描述字符串為“1，將端口，將端口1/0/13參加到參加到100。 100100 1100 1/0/13103 # 創(chuàng)立創(chuàng)立200，并配置，并配置200的描述字符串為的描述字符串為“2

7、，將端口，將端口1/0/11和和1/0/12參加到參加到200。 200200 2200 1/0/11 1/0/12200 配置配置 A和和 B之間的鏈路之間的鏈路由于由于 A和和 B之間的鏈路需要同時(shí)傳輸之間的鏈路需要同時(shí)傳輸100和和200的數(shù)據(jù)，所以可以配置兩端的端口為端口，且允許這兩個(gè)的的數(shù)據(jù)，所以可以配置兩端的端口為端口，且允許這兩個(gè)的報(bào)文通過(guò)。報(bào)文通過(guò)。# 配置配置 A的的1/0/2端口。端口。 1/0/21/0/2 1/0/2 1001/0/2 200# 配置配置 B的的1/0/10端口。端口。 1/0/101/0/10 1/0/10 1001/0/10 200本卷須知本卷須知l

8、 1l -缺省就有，不需要?jiǎng)?chuàng)立，也無(wú)法刪除缺省就有，不需要?jiǎng)?chuàng)立，也無(wú)法刪除l -不建議用作業(yè)務(wù)不建議用作業(yè)務(wù)l -可以用作管理可以用作管理 l 鏈路鏈路l -只允許所需的通過(guò)，不要配置只允許所需的通過(guò)，不要配置l l -最好配置上最好配置上 1n 第一章第一章 原理及根本配置原理及根本配置n 第二章第二章 原理及根本配置原理及根本配置n 第三章第三章 原理及根本配置原理及根本配置n 第四章第四章 設(shè)備管理根本配置設(shè)備管理根本配置n 第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令目錄目錄生成樹生成樹l ，生成樹協(xié)議是根據(jù)協(xié)會(huì)制定的，生成樹協(xié)議是根據(jù)協(xié)會(huì)制定的802.1D標(biāo)標(biāo)準(zhǔn)建立的，用于在局

9、域網(wǎng)中消除數(shù)據(jù)鏈路層物理準(zhǔn)建立的，用于在局域網(wǎng)中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議。運(yùn)行該協(xié)議的設(shè)備通過(guò)彼此交互報(bào)環(huán)路的協(xié)議。運(yùn)行該協(xié)議的設(shè)備通過(guò)彼此交互報(bào)文發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選擇的對(duì)某些端口進(jìn)文發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選擇的對(duì)某些端口進(jìn)行阻塞，最終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無(wú)環(huán)路的樹行阻塞，最終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無(wú)環(huán)路的樹型網(wǎng)絡(luò)結(jié)構(gòu)，從而防止報(bào)文在環(huán)路網(wǎng)絡(luò)中不斷增型網(wǎng)絡(luò)結(jié)構(gòu)，從而防止報(bào)文在環(huán)路網(wǎng)絡(luò)中不斷增生和無(wú)限循環(huán)，防止主機(jī)由于重復(fù)接收相同的報(bào)生和無(wú)限循環(huán)，防止主機(jī)由于重復(fù)接收相同的報(bào)文造成的報(bào)文處理能力下降的問(wèn)題發(fā)生。文造成的報(bào)文處理能力下降的問(wèn)題發(fā)生。配置命令配置命令啟動(dòng)全局特性啟動(dòng)全局特性

10、關(guān)閉全局特性關(guān)閉全局特性 *全局開啟后，每個(gè)接口下的功能也被翻開全局開啟后，每個(gè)接口下的功能也被翻開接口視圖下關(guān)閉特性接口視圖下關(guān)閉特性 接口下開啟特性接口下開啟特性 的交換機(jī)保護(hù)功能的交換機(jī)保護(hù)功能1. 保護(hù)功能保護(hù)功能由于維護(hù)人員的錯(cuò)誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)由于維護(hù)人員的錯(cuò)誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合絡(luò)中的合法根橋有可能會(huì)收到優(yōu)先級(jí)更高的配置消息，這樣法根橋有可能會(huì)收到優(yōu)先級(jí)更高的配置消息，這樣當(dāng)前根橋當(dāng)前根橋會(huì)失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。會(huì)失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不這種不合法的變動(dòng)，會(huì)導(dǎo)致原來(lái)應(yīng)該通過(guò)高速鏈路的流量合法的變動(dòng)，會(huì)導(dǎo)致原來(lái)

11、應(yīng)該通過(guò)高速鏈路的流量被牽引到被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。 命令用來(lái)指定當(dāng)前交換機(jī)作為指命令用來(lái)指定當(dāng)前交換機(jī)作為指定生成樹實(shí)例的根橋。定生成樹實(shí)例的根橋。 命令用來(lái)取消當(dāng)前交換機(jī)作為指定生命令用來(lái)取消當(dāng)前交換機(jī)作為指定生成樹實(shí)例的根橋資格。成樹實(shí)例的根橋資格。 0 優(yōu)化優(yōu)化-邊緣端口邊緣端口邊緣端口是指不直接與任何交換機(jī)連接，也不通過(guò)端口所連邊緣端口是指不直接與任何交換機(jī)連接，也不通過(guò)端口所連接的網(wǎng)絡(luò)間接與任何交換機(jī)相連的端口。接的網(wǎng)絡(luò)間接與任何交換機(jī)相連的端口。用戶如果將某個(gè)端口指定為邊緣端口，那么當(dāng)該端口由阻塞用戶如果將某個(gè)端口指定為邊緣端口，那么當(dāng)該端口

12、由阻塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口可以實(shí)現(xiàn)快速遷移，而無(wú)狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口可以實(shí)現(xiàn)快速遷移，而無(wú)需等待延遲時(shí)間。需等待延遲時(shí)間。在交換機(jī)沒(méi)有開啟保護(hù)的情況下，如果被設(shè)置為邊緣在交換機(jī)沒(méi)有開啟保護(hù)的情況下，如果被設(shè)置為邊緣端口的端口上收到來(lái)自其它端口的報(bào)文，那么該端口會(huì)端口的端口上收到來(lái)自其它端口的報(bào)文，那么該端口會(huì)重新變?yōu)榉沁吘壎丝凇Ｖ匦伦優(yōu)榉沁吘壎丝?。?duì)于直接與終端相連的端口，請(qǐng)將該端口設(shè)置為邊緣端口，對(duì)于直接與終端相連的端口，請(qǐng)將該端口設(shè)置為邊緣端口，同時(shí)啟動(dòng)保護(hù)功能。這樣既能夠使該端口快速遷移到同時(shí)啟動(dòng)保護(hù)功能。這樣既能夠使該端口快速遷移到轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的平安。轉(zhuǎn)

13、發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的平安。邊緣端口配置邊緣端口配置 命令用來(lái)將當(dāng)前的以太網(wǎng)端命令用來(lái)將當(dāng)前的以太網(wǎng)端口配置為邊緣端口口配置為邊緣端口 命令用來(lái)將當(dāng)前的以太網(wǎng)命令用來(lái)將當(dāng)前的以太網(wǎng)端口配置為非邊緣端口端口配置為非邊緣端口 命令用來(lái)將當(dāng)前的以太網(wǎng)端命令用來(lái)將當(dāng)前的以太網(wǎng)端口恢復(fù)為缺省狀態(tài)，即非邊緣端口?？诨謴?fù)為缺省狀態(tài)，即非邊緣端口。*缺省情況下，交換機(jī)所有以太網(wǎng)端口均被配置為非缺省情況下，交換機(jī)所有以太網(wǎng)端口均被配置為非邊緣端口邊緣端口的交換機(jī)保護(hù)功能的交換機(jī)保護(hù)功能2. 保護(hù)功能保護(hù)功能邊緣端口接收到配置消息后，系統(tǒng)會(huì)自動(dòng)將這些端口邊緣端口接收到配置消息后，系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非設(shè)置

14、為非邊緣端口，重新計(jì)算生成樹，這樣就引起網(wǎng)絡(luò)拓?fù)涞倪吘壎丝?，重新?jì)算生成樹，這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗?。震蕩。正常情況下，邊緣端口應(yīng)該不會(huì)收到生成樹協(xié)議的配正常情況下，邊緣端口應(yīng)該不會(huì)收到生成樹協(xié)議的配置消息。置消息。如果有人偽造配置消息惡意攻擊交換機(jī)，就會(huì)引起網(wǎng)如果有人偽造配置消息惡意攻擊交換機(jī)，就會(huì)引起網(wǎng)絡(luò)震蕩。絡(luò)震蕩。保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些就將這些端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被關(guān)閉。被關(guān)閉的端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被關(guān)

15、閉。被關(guān)閉的邊邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。查看信息查看信息 顯示生成樹的簡(jiǎn)要狀態(tài)信息。顯示生成樹的簡(jiǎn)要狀態(tài)信息。 0 1/0/1 1/0/4 0 1/0/1 0 1/0/2 0 1/0/3 0 1/0/4 n 第一章第一章 原理及根本配置原理及根本配置n 第二章第二章 原理及根本配置原理及根本配置n 第三章第三章 原理及根本配置原理及根本配置n 第四章第四章 設(shè)備管理根本配置設(shè)備管理根本配置n 第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令目錄目錄訪問(wèn)控制列表訪問(wèn)控制列表 為了過(guò)濾通過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配置一系列的匹為了過(guò)濾通過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配

16、置一系列的匹配規(guī)那么，以識(shí)別需要過(guò)濾的對(duì)象。在識(shí)別出特定的對(duì)象之配規(guī)那么，以識(shí)別需要過(guò)濾的對(duì)象。在識(shí)別出特定的對(duì)象之后后，網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過(guò)。包通過(guò)。訪問(wèn)控制列表訪問(wèn)控制列表 ，就是用來(lái)實(shí)現(xiàn)，就是用來(lái)實(shí)現(xiàn)這些功能。這些功能。通過(guò)一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類，這些條件可通過(guò)一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號(hào)等?？蓱?yīng)用在以是數(shù)據(jù)包的源地址、目的地址、端口號(hào)等?？蓱?yīng)用在交換機(jī)全局或端口上，交換機(jī)根據(jù)中指定的條件來(lái)檢測(cè)交換機(jī)全局或端口上，交換機(jī)根據(jù)中指定的條件來(lái)檢

17、測(cè)數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。以太網(wǎng)訪問(wèn)列表以太網(wǎng)訪問(wèn)列表l主要作用主要作用:在整個(gè)網(wǎng)絡(luò)中分布實(shí)施接入平安性在整個(gè)網(wǎng)絡(luò)中分布實(shí)施接入平安性訪問(wèn)控制列表訪問(wèn)控制列表對(duì)到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動(dòng)作標(biāo)記對(duì)到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動(dòng)作標(biāo)記訪問(wèn)列表作用于交換機(jī)的所有端口訪問(wèn)列表作用于交換機(jī)的所有端口訪問(wèn)列表的主要用途：訪問(wèn)列表的主要用途：包過(guò)濾包過(guò)濾鏡像鏡像流量限制流量限制流量統(tǒng)計(jì)流量統(tǒng)計(jì)分配隊(duì)列優(yōu)先級(jí)分配隊(duì)列優(yōu)先級(jí)流分類流分類通常選擇數(shù)據(jù)包的包頭信息作為流分類項(xiàng)通常選擇數(shù)據(jù)包的包頭信息作為流分類項(xiàng)2層流分類項(xiàng)層流分類項(xiàng)以太

18、網(wǎng)幀承載的數(shù)據(jù)類型以太網(wǎng)幀承載的數(shù)據(jù)類型源源/目的地址目的地址以太網(wǎng)封裝格式以太網(wǎng)封裝格式 入入/出端口出端口3/4層流分類項(xiàng)層流分類項(xiàng)協(xié)議類型協(xié)議類型源源/目的地址目的地址源源/目的端口號(hào)目的端口號(hào) 數(shù)據(jù)包過(guò)濾數(shù)據(jù)包過(guò)濾訪問(wèn)控制列表的構(gòu)成訪問(wèn)控制列表的構(gòu)成l 訪問(wèn)控制列表的子規(guī)那么訪問(wèn)控制列表的子規(guī)那么l 時(shí)間段機(jī)制時(shí)間段機(jī)制l + l 訪問(wèn)控制列表由一系列規(guī)那么組成，有必要時(shí)訪問(wèn)控制列表由一系列規(guī)那么組成，有必要時(shí)l 會(huì)和時(shí)間段結(jié)合會(huì)和時(shí)間段結(jié)合時(shí)間段的相關(guān)配置時(shí)間段的相關(guān)配置訪問(wèn)控制列表的類型訪問(wèn)控制列表的類型l 20002999：表示根本。只根據(jù)數(shù)據(jù)包的源地址制定規(guī)：表示根本。只根據(jù)數(shù)

19、據(jù)包的源地址制定規(guī)那么。那么。l 30003999：表示高級(jí)：表示高級(jí)3998與與3999是系統(tǒng)為集群管理是系統(tǒng)為集群管理預(yù)留的編號(hào)，用戶無(wú)法配置。根據(jù)數(shù)據(jù)包的源地址、目預(yù)留的編號(hào)，用戶無(wú)法配置。根據(jù)數(shù)據(jù)包的源地址、目的地址、承載的協(xié)議類型、協(xié)議特性等三、四層信息制定的地址、承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)那么。規(guī)那么。l 40004999：表示二層。根據(jù)數(shù)據(jù)包的源地址、目的地：表示二層。根據(jù)數(shù)據(jù)包的源地址、目的地址、址、802.1p優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定規(guī)那么。優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定規(guī)那么。l 50005999：表示用戶自定義。以數(shù)據(jù)包的頭部為基準(zhǔn)，：表示

20、用戶自定義。以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個(gè)字節(jié)開始與掩碼進(jìn)行指定從第幾個(gè)字節(jié)開始與掩碼進(jìn)行“與操作，將從報(bào)文與操作，將從報(bào)文提取出來(lái)的字符串和用戶定義的字符串進(jìn)行比較，找到匹提取出來(lái)的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報(bào)文。配的報(bào)文。定義訪問(wèn)控制列表定義訪問(wèn)控制列表 根本訪問(wèn)控制列表的規(guī)那么配置根本訪問(wèn)控制列表的規(guī)那么配置高級(jí)訪問(wèn)控制列表的規(guī)那么配置高級(jí)訪問(wèn)控制列表的規(guī)那么配置端口操作符及語(yǔ)法端口操作符及語(yǔ)法接口訪問(wèn)控制列表的規(guī)那么配置接口訪問(wèn)控制列表的規(guī)那么配置二層訪問(wèn)控制列表的規(guī)那么配置二層訪問(wèn)控制列表的規(guī)那么配置自定義訪問(wèn)控制列表的規(guī)那么配置自定義訪問(wèn)控制列表的規(guī)那么配置規(guī)

21、那么匹配原那么規(guī)那么匹配原那么l 一條訪問(wèn)控制列表往往會(huì)由多條規(guī)那么組成，這樣在一條訪問(wèn)控制列表往往會(huì)由多條規(guī)那么組成，這樣在匹配一條訪問(wèn)控制列表的時(shí)候就存在匹配順序的問(wèn)題。匹配一條訪問(wèn)控制列表的時(shí)候就存在匹配順序的問(wèn)題。在華為系列交換機(jī)產(chǎn)品上，支持以下兩種匹配順序：在華為系列交換機(jī)產(chǎn)品上，支持以下兩種匹配順序：l ：指定匹配該規(guī)那么時(shí)按用戶的配置順序后下發(fā)先：指定匹配該規(guī)那么時(shí)按用戶的配置順序后下發(fā)先生效生效l ：指定匹配該規(guī)那么時(shí)系統(tǒng)自動(dòng)排序按：指定匹配該規(guī)那么時(shí)系統(tǒng)自動(dòng)排序按“深度優(yōu)先深度優(yōu)先的順序的順序激活訪問(wèn)控制列表激活訪問(wèn)控制列表配置進(jìn)行包過(guò)濾的步驟配置進(jìn)行包過(guò)濾的步驟訪問(wèn)控制列表

22、配置舉例一訪問(wèn)控制列表配置舉例一要求配置高級(jí)，禁止員工在工作日要求配置高級(jí)，禁止員工在工作日8:0018:00的時(shí)間段內(nèi)訪問(wèn)新浪網(wǎng)的時(shí)間段內(nèi)訪問(wèn)新浪網(wǎng)站站 61.172.201.194 1. 定義時(shí)間段定義時(shí)間段H3C 8:00 18:00 2.定義高級(jí)定義高級(jí) 3000，配置目的地址為新浪網(wǎng)站的訪問(wèn)規(guī)那么。，配置目的地址為新浪網(wǎng)站的訪問(wèn)規(guī)那么。H3C 3000H3C 3000 1 61.172.201.194 0 3.在端口在端口1/0/15上應(yīng)用上應(yīng)用 3000。H3C 1/0/15H31/0/15 3000訪問(wèn)控制列表配置舉例二訪問(wèn)控制列表配置舉例二配置防病毒配置防病毒1. 定義高級(jí)定義

23、高級(jí) 3000H3C 3000H3C 3000 1 335H3C 3000 3 3365H3C 3000 4 61.22.3.0 0.0.0.255 38752. 在端口在端口1/0/1上應(yīng)用上應(yīng)用 3000H31/0/1 3000n 第一章第一章 原理及根本配置原理及根本配置n 第二章第二章 原理及根本配置原理及根本配置n 第三章第三章 原理及根本配置原理及根本配置n 第四章第四章 設(shè)備管理根本配置設(shè)備管理根本配置n 第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令目錄目錄交換機(jī)管理方式交換機(jī)管理方式l 通過(guò)口進(jìn)行本地登錄通過(guò)口進(jìn)行本地登錄l 通過(guò)以太網(wǎng)端口利用或進(jìn)行本地或遠(yuǎn)程登錄通過(guò)以太

24、網(wǎng)端口利用或進(jìn)行本地或遠(yuǎn)程登錄l 通過(guò)口利用撥號(hào)進(jìn)行遠(yuǎn)程登錄通過(guò)口利用撥號(hào)進(jìn)行遠(yuǎn)程登錄配置配置2需要輸入密碼H3C 0 4H30-4 H30-4 3 H30-4 h3c 3需要輸入用戶名和密碼H3C 0 4H30-4 H3C h3cH33c 123456 H33c 3 1不需要輸入用戶名和密碼H3C 0 4H30-4 H30-4 3 n 第一章第一章 原理及根本配置原理及根本配置n 第二章第二章 原理及根本配置原理及根本配置n 第三章第三章 原理及根本配置原理及根本配置n 第四章第四章 設(shè)備管理根本配置設(shè)備管理根本配置n 第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令目錄目錄故障排除常用方

25、法故障排除常用方法l 分層故障排除法分層故障排除法 l 分塊故障排除法分塊故障排除法 l 分段故障排除法分段故障排除法 l 替換法替換法 分層故障排除法分層故障排除法。物物 理理 層層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層網(wǎng)網(wǎng) 絡(luò)絡(luò) 層層所有的技術(shù)都是分層的！所有的技術(shù)都是分層的！關(guān)注電纜、連接頭、信號(hào)電平、編碼、時(shí)鐘和組幀 關(guān)注封裝協(xié)議和相關(guān)參數(shù)、鏈路利用率等關(guān)注地址分配、路由協(xié)議參數(shù)等分塊故障排除法分塊故障排除法l 配置文件分為以下局部：配置文件分為以下局部：l 管理局部路由器名稱、口令、效勞、日志管理局部路由器名稱、口令、效勞、日志等等l 端口局部地址、封裝、認(rèn)證等端口局部地址、封裝、認(rèn)證等l 路由協(xié)議局

26、部靜態(tài)路由、路由引入路由協(xié)議局部靜態(tài)路由、路由引入等等l 策略局部路由策略、策略路由、平安配置策略局部路由策略、策略路由、平安配置等等l 接入局部主控制臺(tái)、登錄或啞終端、撥號(hào)接入局部主控制臺(tái)、登錄或啞終端、撥號(hào)等等l 其他應(yīng)用局部語(yǔ)言配置、配置、配置等其他應(yīng)用局部語(yǔ)言配置、配置、配置等 分段故障排除法分段故障排除法網(wǎng)絡(luò)分為假設(shè)干段，逐段測(cè)試，縮小故障網(wǎng)絡(luò)分為假設(shè)干段，逐段測(cè)試，縮小故障范圍，逐段定位網(wǎng)絡(luò)故障，并排除。范圍，逐段定位網(wǎng)絡(luò)故障，并排除。中繼線路中繼線路節(jié)點(diǎn)節(jié)點(diǎn)節(jié)點(diǎn)節(jié)點(diǎn)常用命令常用命令1 命令用來(lái)顯示系統(tǒng)的版本信息。命令用來(lái)顯示系統(tǒng)的版本信息。用戶可以通過(guò)該命令查看軟件的版本信息、發(fā)

27、布時(shí)間、交換機(jī)的用戶可以通過(guò)該命令查看軟件的版本信息、發(fā)布時(shí)間、交換機(jī)的根本硬根本硬件配置等信息。件配置等信息。 H3C , 3.10, 1545 (c) 2004-2007 H3C ., . .S3600-52 0 , 0 , 23 , 15 S3600-52 1 64M 16384K 001 510 0 48 1 4 常用命令常用命令2 命令用來(lái)顯示交換機(jī)當(dāng)前的配置。命令用來(lái)顯示交換機(jī)當(dāng)前的配置。當(dāng)用戶完成一組配置之后，需要驗(yàn)證配置是否生效，那么可以當(dāng)用戶完成一組配置之后，需要驗(yàn)證配置是否生效，那么可以執(zhí)執(zhí)行行 命令來(lái)查看當(dāng)前生效的參數(shù)。命令來(lái)查看當(dāng)前生效的參數(shù)。注意：注意：*如果當(dāng)前配置

28、的參數(shù)與缺省參數(shù)相同，那么不予顯示；如果當(dāng)前配置的參數(shù)與缺省參數(shù)相同，那么不予顯示；*對(duì)于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對(duì)應(yīng)的功對(duì)于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對(duì)應(yīng)的功能沒(méi)有生效，能沒(méi)有生效，那么不予顯示。那么不予顯示。常用命令常用命令3 命令用來(lái)顯示當(dāng)前視圖下的運(yùn)行配置。命令用來(lái)顯示當(dāng)前視圖下的運(yùn)行配置。當(dāng)用戶在某一視圖下完成一組配置之后，需要驗(yàn)證配置是否當(dāng)用戶在某一視圖下完成一組配置之后，需要驗(yàn)證配置是否生效，那么可以執(zhí)行生效，那么可以執(zhí)行 命令來(lái)查看所在視圖下當(dāng)前生命令來(lái)查看所在視圖下當(dāng)前生效的配置參數(shù)。效的配置參數(shù)。注意：注意：*對(duì)于已經(jīng)生效的配置參數(shù)如果與缺

29、省工作參數(shù)相同，那么對(duì)于已經(jīng)生效的配置參數(shù)如果與缺省工作參數(shù)相同，那么不顯示；不顯示；*對(duì)于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對(duì)應(yīng)對(duì)于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對(duì)應(yīng)的功能沒(méi)有生的功能沒(méi)有生效，那么不予顯示；效，那么不予顯示；*在任意一個(gè)用戶界面視圖或視圖下執(zhí)行此命令，將會(huì)顯示在任意一個(gè)用戶界面視圖或視圖下執(zhí)行此命令，將會(huì)顯示所有用所有用戶界面或下生效的配置參數(shù)。戶界面或下生效的配置參數(shù)。網(wǎng)絡(luò)連通性測(cè)試命令網(wǎng)絡(luò)連通性測(cè)試命令操作命令說(shuō)明檢查網(wǎng)絡(luò)中的指定地址是否可達(dá) | | | | | | | | | | | | | | * 可選網(wǎng)絡(luò)層協(xié)議為4時(shí)使用可在任意視圖下執(zhí)行 6

30、6 | | | | * 可選網(wǎng)絡(luò)層協(xié)議為6時(shí)使用可在任意視圖下執(zhí)行查看當(dāng)前設(shè)備到目的設(shè)備的路由 | | | | | | * 可選網(wǎng)絡(luò)層協(xié)議為4時(shí)使用可在任意視圖下執(zhí)行 6 | | | | * 可選網(wǎng)絡(luò)層協(xié)議為6時(shí)使用可在任意視圖下執(zhí)行命令參數(shù)命令參數(shù)1：支持：支持4協(xié)議。協(xié)議。 ：指定回顯請(qǐng)求報(bào)文中的源地址。該地址必須是設(shè)備上已配置的合：指定回顯請(qǐng)求報(bào)文中的源地址。該地址必須是設(shè)備上已配置的合法地址。法地址。 ：指定發(fā)送回顯請(qǐng)求報(bào)文的數(shù)目，取值范圍為：指定發(fā)送回顯請(qǐng)求報(bào)文的數(shù)目，取值范圍缺，缺省值為省值為5。：將長(zhǎng)度大于接口的報(bào)文直接丟棄，即不允許對(duì)發(fā)送的回顯請(qǐng)求報(bào)文

31、：將長(zhǎng)度大于接口的報(bào)文直接丟棄，即不允許對(duì)發(fā)送的回顯請(qǐng)求報(bào)文進(jìn)行分片。進(jìn)行分片。 ：指定回顯請(qǐng)求報(bào)文中的值，取值范圍為：指定回顯請(qǐng)求報(bào)文中的值，取值范圍為1255，缺省值為，缺省值為255。 ：指定發(fā)送報(bào)文的接口的類型和編號(hào)。在指定出接口的情況下，只：指定發(fā)送報(bào)文的接口的類型和編號(hào)。在指定出接口的情況下，只能直連網(wǎng)段地址。能直連網(wǎng)段地址。 ：指定發(fā)送回顯請(qǐng)求報(bào)文的時(shí)間間隔，取值范圍為：指定發(fā)送回顯請(qǐng)求報(bào)文的時(shí)間間隔，取值范圍為165535，單位，單位為毫秒，缺省值為為毫秒，缺省值為200毫秒。毫秒。 如果在時(shí)間內(nèi)收到目的主機(jī)的響應(yīng)報(bào)文，那么下次回顯請(qǐng)求報(bào)如果在時(shí)間內(nèi)收到目的主機(jī)的響應(yīng)報(bào)文，那么

32、下次回顯請(qǐng)求報(bào)文的發(fā)送時(shí)間間隔為報(bào)文的實(shí)際響應(yīng)時(shí)間與之和；文的發(fā)送時(shí)間間隔為報(bào)文的實(shí)際響應(yīng)時(shí)間與之和； 如果在時(shí)間內(nèi)沒(méi)有收到目的主機(jī)的響應(yīng)報(bào)文，那么下次回顯請(qǐng)如果在時(shí)間內(nèi)沒(méi)有收到目的主機(jī)的響應(yīng)報(bào)文，那么下次回顯請(qǐng)求報(bào)文的發(fā)送時(shí)間間隔為與之和。求報(bào)文的發(fā)送時(shí)間間隔為與之和。 ：不進(jìn)行域名解析。缺省情況下，系統(tǒng)將對(duì)進(jìn)行域名解析。：不進(jìn)行域名解析。缺省情況下，系統(tǒng)將對(duì)進(jìn)行域名解析。命令參數(shù)命令參數(shù) ：指定回顯請(qǐng)求報(bào)文的填充字節(jié)，格式為：指定回顯請(qǐng)求報(bào)文的填充字節(jié)，格式為16進(jìn)制。比方將進(jìn)制。比方將“設(shè)置為，設(shè)置為，那么報(bào)文將被全部填充為。缺省情況下，填充的字節(jié)從那么報(bào)文將被全部填充為。缺省情況下，填

33、充的字節(jié)從0 x01開始，逐開始，逐漸遞增，直到漸遞增，直到0 x09，然后又從，然后又從0 x01開始循環(huán)填充。開始循環(huán)填充。：除統(tǒng)計(jì)信息外，不顯示其它詳細(xì)信息。缺省情況下，系統(tǒng)將顯示包：除統(tǒng)計(jì)信息外，不顯示其它詳細(xì)信息。缺省情況下，系統(tǒng)將顯示包括統(tǒng)計(jì)信息在內(nèi)的全部信息。括統(tǒng)計(jì)信息在內(nèi)的全部信息。：記錄路由。缺省情況下，系統(tǒng)不記錄路由。：記錄路由。缺省情況下，系統(tǒng)不記錄路由。 ：指定發(fā)送的回顯請(qǐng)求報(bào)文的長(zhǎng)度不包括和報(bào)文頭，取值范圍：指定發(fā)送的回顯請(qǐng)求報(bào)文的長(zhǎng)度不包括和報(bào)文頭，取值范圍為為208100，單位為字節(jié)，缺省值為，單位為字節(jié)，缺省值為56字節(jié)。字節(jié)。 ：指定回顯應(yīng)答報(bào)文的超時(shí)時(shí)間，取

34、值范圍為：指定回顯應(yīng)答報(bào)文的超時(shí)時(shí)間，取值范圍為165535，單位為毫，單位為毫秒，缺省值為秒，缺省值為2000毫秒。毫秒。 ：指定回顯請(qǐng)求報(bào)文中的：指定回顯請(qǐng)求報(bào)文中的 ，效勞類型域的值，取值范圍為，效勞類型域的值，取值范圍為0255，缺省值為，缺省值為0。：顯示接收到的非回顯應(yīng)答的報(bào)文。缺省情況下，系統(tǒng)不顯示非回顯：顯示接收到的非回顯應(yīng)答的報(bào)文。缺省情況下，系統(tǒng)不顯示非回顯應(yīng)答的報(bào)文。應(yīng)答的報(bào)文。 ：指定：指定 的實(shí)例名稱，是一個(gè)長(zhǎng)度為的實(shí)例名稱，是一個(gè)長(zhǎng)度為131個(gè)字符的字符串，不區(qū)分大個(gè)字符的字符串，不區(qū)分大小寫。小寫。：目的設(shè)備的地址或主機(jī)名主機(jī)名為：目的設(shè)備的地址或主機(jī)名主機(jī)名為1

35、20個(gè)字符的字符串。個(gè)字符的字符串。 命令用來(lái)檢查指定地址是否可達(dá)，并輸出相應(yīng)的統(tǒng)計(jì)信息。命令用來(lái)檢查指定地址是否可達(dá)，并輸出相應(yīng)的統(tǒng)計(jì)信息。 11.1.1.1: 56 , 11.1.1.1: 56 0 255 = 31 11.1.1.1: 56 1 255 = 31 11.1.1.1: 56 2 255 = 32 11.1.1.1: 56 3 255 = 31 11.1.1.1: 56 4 255 = 31 11.1.1.1 5 5 0.00% = 31/31/32 命令參數(shù)命令參數(shù) ：指明報(bào)文的源地址。該地址必須是設(shè)備上已配置的合法地址。：指明報(bào)文的源地址。該地址必須是設(shè)備上已配置的合法地

36、址。 ：指定一個(gè)初始，即第一個(gè)報(bào)文所允許的跳數(shù)。取值范圍為：指定一個(gè)初始，即第一個(gè)報(bào)文所允許的跳數(shù)。取值范圍為1255，且小于最大，缺省值為且小于最大，缺省值為1。 ：指定一個(gè)最大，即一個(gè)報(bào)文所允許的最大跳數(shù)。取值范圍為：指定一個(gè)最大，即一個(gè)報(bào)文所允許的最大跳數(shù)。取值范圍為1255，且大于初始，缺省值為，且大于初始，缺省值為30。 ：指明目的設(shè)備的端口號(hào)，取值范圍為：指明目的設(shè)備的端口號(hào)，取值范圍為165535，缺省值為，缺省值為33434。用戶一般不需要更改此選項(xiàng)。用戶一般不需要更改此選項(xiàng)。 ：指明每次發(fā)送的探測(cè)報(bào)文個(gè)數(shù)，取值范圍為：指明每次發(fā)送的探測(cè)報(bào)文個(gè)數(shù)，取值范圍為165535，缺省值

37、為，缺省值為3。 ：指定：指定 的實(shí)例名稱，是一個(gè)長(zhǎng)度為的實(shí)例名稱，是一個(gè)長(zhǎng)度為131個(gè)字符的字符串。個(gè)字符的字符串。 ：指定等待探測(cè)報(bào)文響應(yīng)的報(bào)文的超時(shí)時(shí)間，取值范圍是：指定等待探測(cè)報(bào)文響應(yīng)的報(bào)文的超時(shí)時(shí)間，取值范圍是165535，單位為毫秒，缺省值為單位為毫秒，缺省值為5000毫秒。毫秒。：目的設(shè)備的地址或主機(jī)名主機(jī)名是長(zhǎng)度為：目的設(shè)備的地址或主機(jī)名主機(jī)名是長(zhǎng)度為120的字符串。的字符串。命令用來(lái)查看命令用來(lái)查看4報(bào)文從當(dāng)前設(shè)備傳到目的設(shè)備所經(jīng)過(guò)的路徑。報(bào)文從當(dāng)前設(shè)備傳到目的設(shè)備所經(jīng)過(guò)的路徑。 18.26.0.115(18.26.0.115) 30 ,40 , 1 128.3.112.1

38、10 10 10 2 128.32.210.1 19 19 19 3 128.32.216.1 39 19 19 4 128.32.136.23 19 39 39 5 128.32.168.22 20 39 39 6 128.32.197.4 59 119 39 7 131.119.2.5 59 59 39 8 129.140.70.13 80 79 99 9 129.140.71.6 139 139 159 10 129.140.81.7 199 180 300 11 129.140.72.17 300 239 239 12 * * *13 128.121.54.72 259 499 279 14 * * *15 * * *16 * * *17 * * *18 18.26.0.115 339 279 279 1 1/0/1 1/0/1 : 2, 0012990-2240 , 100 100 , , 9216 : 500 : 100% : 100% : 1 : : : : 1 2 300 : 0 0 300 : 0 0 (): 0 , 0 0 , 0 , 0 (): - , - - , - , - : 0 , 0 , 0 , - , 0 0 , - , 0 , 0 , - (): 0 ,