H3C交換機(jī)基本配置培訓(xùn)總結(jié)

1、交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn) 2011-09-27 杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播 劉光坤：劉光坤目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本配置原理及基本配置 ?第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置 ?第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令 VLAN的產(chǎn)生原因廣播風(fēng)暴的產(chǎn)生原因廣播風(fēng)暴 傳統(tǒng)的以太網(wǎng)是廣播型網(wǎng)絡(luò)，網(wǎng)絡(luò)中的所有主機(jī)通過(guò)HUB或交換機(jī)相連，處在同一個(gè)廣播域中 廣播 3 通過(guò)路

2、由器隔離廣播域通過(guò)路由器隔離廣播域 路由器 廣播 4 通過(guò)通過(guò)VLAN劃分廣播域劃分廣播域 Broadcast Domain 1 Broadcast Domain 3 VLAN 10 VLAN 30 Broadcast Domain 2 VLAN 20 工程部 財(cái)務(wù)部 市場(chǎng)部 5 以太網(wǎng)端口的鏈路類(lèi)型以太網(wǎng)端口的鏈路類(lèi)型 ?Access link：只能允許某一個(gè)：只能允許某一個(gè) VLAN的的untagged數(shù)據(jù)流通過(guò)。數(shù)據(jù)流通過(guò)。 ?Trunk link：允許多個(gè)：允許多個(gè)VLAN的的tagged數(shù)據(jù)流和數(shù)據(jù)流和某一個(gè)某一個(gè)VLAN的的untagged數(shù)據(jù)流通過(guò)。數(shù)據(jù)流通過(guò)。 ?Hybrid

3、link：允許多個(gè)：允許多個(gè)VLAN的的tagged數(shù)據(jù)流和數(shù)據(jù)流和多個(gè)多個(gè)VLAN的的untagged數(shù)據(jù)流通過(guò)。數(shù)據(jù)流通過(guò)。 ? Hybrid端口可以允許多個(gè)端口可以允許多個(gè)VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽，而的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽，而Trunk端口只允許缺省端口只允許缺省VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽。的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽。 ? 三種類(lèi)型的端口可以共存在一臺(tái)設(shè)備上三種類(lèi)型的端口可以共存在一臺(tái)設(shè)備上 6 Access Link和和Trunk Link Trunk link Access link 7 Trunk Link和和VLAN VLAN10 廣播報(bào)文發(fā)送 Trunk Link VLA

4、N5 VLAN2 VLAN10 VLAN3 VLAN2 VLAN10 VLAN5 VLAN5 VLAN2 8 數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化 VLAN2 帶有VLAN3標(biāo)簽的以太網(wǎng)幀 VLAN3 不帶VLAN標(biāo)簽的 以太網(wǎng)幀 帶有VLAN2標(biāo)簽的以太網(wǎng)幀 VLAN3 VLAN2 9 VLAN配置命令（配置命令（1） 創(chuàng)建VLAN. vlan 100 (1-4094) 刪除VLAN. undo vlan 100 (1-4094) 在VLAN中增加端口. port Ethernet 2/0/1 在VLAN中刪除端口. undo port Ethernet 2/0/1 將端口加入V

5、LAN port access vlan 100 (1-4094) 將端口脫離VLAN undo port access vlan 100 (1-4094) 顯示VLAN信息 display vlan VLAN ID (1-4094) 10 VLAN配置命令（配置命令（2） 定義端口屬性為T(mén)runk. port link-type trunk 刪除端口Trunk屬性. undo port link-type 定義端口可以傳輸?shù)?VLAN. port trunk permit vlan VLAN ID 在VLAN中刪除端口. undo port trunk permit vlan VLAN ID

6、 11 配置配置VLAN虛接口虛接口 為已存在的VLAN創(chuàng)建對(duì)應(yīng)的VLAN接口，并進(jìn)入 VLAN接口視圖 interface Vlan-interface vlan-id 刪除一個(gè)VLAN接口 undo interface Vlan-interface *缺省情況下，在交換機(jī)上不存在VLAN接口 *可以通過(guò)ip address命令配置IP地址，使接口可以為在該 VLAN范圍內(nèi)接入的設(shè)備提供基于IP層的數(shù)據(jù)轉(zhuǎn)發(fā)功能 *在創(chuàng)建VLAN接口之前，必須先創(chuàng)建對(duì)應(yīng)的VLAN，否則無(wú) 法創(chuàng)建VLAN接口 12 配置配置IP地址地址 ip address命令用來(lái)配置VLAN接口/LoopBack接口的IP地

7、址 和掩碼 undo ip address命令用來(lái)刪除VLAN接口/LoopBack接口的 IP地址和掩碼 ip address ip-address mask | mask-length sub undo ip address ip-address mask | mask-length sub *在一般情況下，一個(gè)VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口配置一個(gè) IP地址即可，但為了使交換機(jī)的一個(gè)VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理 接口可以與多個(gè)子網(wǎng)相連，一個(gè)VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口 最多可以配置多個(gè)IP地址，其中一個(gè)為主IP地址，其余為從IP地址

8、13 靜態(tài)路由的配置命令和示例靜態(tài)路由的配置命令和示例 H3Cip route-static ip-address mask | masklen interface-type interfacce-name | nexthop-address preference value reject | blackhole 例如： ip route-static 129.1.0.0 16 10.0.0.2 ip route-static 129.1.0.0 255.255.0.0 10.0.0.2 ip route-static 129.1.0.0 16 Serial 2/0 14 主從主從IP地址舉例

9、地址舉例 172.16.1.0/24Host BSwitchVlan-int1172.16.1.2/24172.16.1.1/24172.16.2.1/24 sub172.16.2.2/24Host A172.16.2.0/24 15 VLAN配置舉例配置舉例 Server2Server1SwitchAEth1/0/2Eth1/0/12Eth1/0/13Eth1/0/10Eth1/0/1SwitchBEth1/0/11PC1PC2 為保證部門(mén)間數(shù)據(jù)的二層隔離，現(xiàn)要求將為保證部門(mén)間數(shù)據(jù)的二層隔離，現(xiàn)要求將PC1和和Server1劃分到劃分到VLAN100 中，中，PC2和和Server2劃分到劃

10、分到VLAN200中。并分別為兩個(gè)中。并分別為兩個(gè)VLAN設(shè)置描述字符為設(shè)置描述字符為 “Dept1”和和“Dept2” 在在SwitchA上配置上配置VLAN接口，對(duì)接口，對(duì)PC1發(fā)往發(fā)往Server2的數(shù)據(jù)進(jìn)行三層轉(zhuǎn)發(fā)。的數(shù)據(jù)進(jìn)行三層轉(zhuǎn)發(fā)。 兩個(gè)部門(mén)分別使用兩個(gè)部門(mén)分別使用192.168.1.0/24和和192.168.2.0/24兩個(gè)網(wǎng)段兩個(gè)網(wǎng)段 16 配置配置Switch A # 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口Ethernet1/0/1加 入到VLAN100。 system-view SwitchA vlan 100 SwitchA-vla

11、n100 description Dept1 SwitchA-vlan100 port Ethernet 1/0/1 SwitchA-vlan100 quit # 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”。 SwitchA vlan 200 SwitchA-vlan200 description Dept2 SwitchA-vlan200 quit # 創(chuàng)建VLAN100和VLAN200的接口，IP地址分別配置為192.168.1.1和192.168.2.1，用 來(lái)對(duì)PC1發(fā)往Server2的報(bào)文進(jìn)行三層轉(zhuǎn)發(fā)。 SwitchA interface Vlan-inte

12、rface 100 SwitchA-Vlan-interface100 ip address 192.168.1.1 24 SwitchA-Vlan-interface100 quit SwitchA interface Vlan-interface 200 SwitchA-Vlan-interface200 ip address 192.168.2.1 24 17 配置配置Switch B # 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口 Ethernet1/0/13加入到VLAN100。 system-view SwitchB vlan 100 Switch

13、B-vlan100 description Dept1 SwitchB-vlan100 port Ethernet 1/0/13 SwitchB-vlan103 quit # 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”，將端口 Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。 SwitchB vlan 200 SwitchB-vlan200 description Dept2 SwotchB-vlan200 port Ethernet1/0/11 Ethernet 1/0/12 SwitchB-vlan200 quit 18 配置配置S

14、witch A和和Switch B之間的鏈路之間的鏈路 由于Switch A和Switch B之間的鏈路需要同時(shí)傳輸VLAN100和VLAN200 的數(shù)據(jù)，所以可以配置兩端的端口為T(mén)runk端口，且允許這兩個(gè)VLAN的 報(bào)文通過(guò)。 # 配置Switch A的Ethernet1/0/2端口。 SwitchA interface Ethernet 1/0/2 SwitchA-Ethernet1/0/2 port link-type trunk SwitchA-Ethernet1/0/2 port trunk permit vlan 100 SwitchA-Ethernet1/0/2 port tr

15、unk permit vlan 200 # 配置Switch B的Ethernet1/0/10端口。 SwitchB interface Ethernet 1/0/10 SwitchB-Ethernet1/0/10 port link-type trunk SwitchB-Ethernet1/0/10 port trunk permit vlan 100 SwitchB-Ethernet1/0/10 port trunk permit vlan 200 19 注意事項(xiàng)注意事項(xiàng) ?VLAN 1 -缺省就有，不需要?jiǎng)?chuàng)建，也無(wú)法刪除缺省就有，不需要?jiǎng)?chuàng)建，也無(wú)法刪除 -不建議用作業(yè)務(wù)不建議用作業(yè)務(wù)VL

16、AN -可以用作管理可以用作管理VLAN ?Trunk鏈路鏈路 -只允許所需的只允許所需的VLAN通過(guò)，不要配置通過(guò)，不要配置 port trunk permit vlan all -最好配置上最好配置上undo port trunk permit vlan 1 20 目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本配置原理及基本配置 ?第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置 ?第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令 生成樹(shù)生成樹(shù) ?STP（Spanning Tree Pro

17、tocol ，生成樹(shù)協(xié)議）是根據(jù)IEEE協(xié)會(huì)制定的802.1D標(biāo)準(zhǔn)建立的，用于在局域網(wǎng)中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議。運(yùn)行該協(xié)議的設(shè)備通過(guò)彼此交互報(bào)文發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選擇的對(duì)某些端口進(jìn)行阻塞，最終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無(wú)環(huán)路的樹(shù)型網(wǎng)絡(luò)結(jié)構(gòu)，從而防止報(bào)文在環(huán)路網(wǎng)絡(luò)中不斷增生和無(wú)限循環(huán)，避免主機(jī)由于重復(fù)接收相同的報(bào)文造成的報(bào)文處理能力下降的問(wèn)題發(fā)生。 22 STP配置命令配置命令 啟動(dòng)全局啟動(dòng)全局STP特性特性 stp enable 關(guān)閉全局關(guān)閉全局STP特性特性 undo stp enable *全局開(kāi)啟后，每個(gè)接口下的全局開(kāi)啟后，每個(gè)接口下的STP功能也被打開(kāi)功能也被打開(kāi) 接口視圖下關(guān)閉接

18、口視圖下關(guān)閉STP特性特性 stp disable 接口下開(kāi)啟接口下開(kāi)啟STP特性特性 stp enable 23 STP的交換機(jī)保護(hù)功能的交換機(jī)保護(hù)功能 1. Root保護(hù)功能保護(hù)功能 由于維護(hù)人員的錯(cuò)誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合由于維護(hù)人員的錯(cuò)誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合 法根橋有可能會(huì)收到優(yōu)先級(jí)更高的配置消息，這樣當(dāng)前根橋法根橋有可能會(huì)收到優(yōu)先級(jí)更高的配置消息，這樣當(dāng)前根橋 會(huì)失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不會(huì)失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不 合法的變動(dòng)，會(huì)導(dǎo)致原來(lái)應(yīng)該通過(guò)高速鏈路的流量被牽引到合法的變動(dòng)，會(huì)導(dǎo)致原來(lái)應(yīng)該通過(guò)高速鏈路的流

19、量被牽引到 低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。 stp root primary命令用來(lái)指定當(dāng)前交換機(jī)作為指命令用來(lái)指定當(dāng)前交換機(jī)作為指 定生成樹(shù)實(shí)例的根橋。定生成樹(shù)實(shí)例的根橋。 undo stp root命令用來(lái)取消當(dāng)前交換機(jī)作為指定生命令用來(lái)取消當(dāng)前交換機(jī)作為指定生 成樹(shù)實(shí)例的根橋資格。成樹(shù)實(shí)例的根橋資格。 stp instance 0 root primary 24 STP優(yōu)化優(yōu)化-邊緣端口邊緣端口 邊緣端口是指不直接與任何交換機(jī)連接，也不通過(guò)端口所連邊緣端口是指不直接與任何交換機(jī)連接，也不通過(guò)端口所連 接的網(wǎng)絡(luò)間接與任何交換機(jī)相連的端口。接的網(wǎng)絡(luò)間接與任何交換機(jī)相連的

20、端口。 用戶(hù)如果將某個(gè)端口指定為邊緣端口，那么當(dāng)該端口由阻塞用戶(hù)如果將某個(gè)端口指定為邊緣端口，那么當(dāng)該端口由阻塞 狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口可以實(shí)現(xiàn)快速遷移，而無(wú)狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口可以實(shí)現(xiàn)快速遷移，而無(wú) 需等待延遲時(shí)間。需等待延遲時(shí)間。 在交換機(jī)沒(méi)有開(kāi)啟在交換機(jī)沒(méi)有開(kāi)啟BPDU保護(hù)的情況下，如果被設(shè)置為邊緣保護(hù)的情況下，如果被設(shè)置為邊緣 端口的端口上收到來(lái)自其它端口的端口的端口上收到來(lái)自其它端口的BPDU報(bào)文，則該端口會(huì)報(bào)文，則該端口會(huì) 重新變?yōu)榉沁吘壎丝?。重新變?yōu)榉沁吘壎丝凇?對(duì)于直接與終端相連的端口，請(qǐng)將該端口設(shè)置為邊緣端口，對(duì)于直接與終端相連的端口，請(qǐng)將該端口設(shè)置為邊緣端

21、口， 同時(shí)啟動(dòng)同時(shí)啟動(dòng)BPDU保護(hù)功能。這樣既能夠使該端口快速遷移到保護(hù)功能。這樣既能夠使該端口快速遷移到 轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。 25 邊緣端口配置邊緣端口配置 stp edged-port enable 命令用來(lái)將當(dāng)前的以太網(wǎng)端命令用來(lái)將當(dāng)前的以太網(wǎng)端 口配置為邊緣端口口配置為邊緣端口 stp edged-port disable 命令用來(lái)將當(dāng)前的以太網(wǎng)命令用來(lái)將當(dāng)前的以太網(wǎng) 端口配置為非邊緣端口端口配置為非邊緣端口 undo stp edged-port 命令用來(lái)將當(dāng)前的以太網(wǎng)端命令用來(lái)將當(dāng)前的以太網(wǎng)端 口恢復(fù)為缺省狀態(tài)，即非邊緣端口?？诨謴?fù)為缺

22、省狀態(tài)，即非邊緣端口。 *缺省情況下，交換機(jī)所有以太網(wǎng)端口均被配置為非缺省情況下，交換機(jī)所有以太網(wǎng)端口均被配置為非 邊緣端口邊緣端口 26 STP的交換機(jī)保護(hù)功能的交換機(jī)保護(hù)功能 2. BPDU保護(hù)功能保護(hù)功能 邊緣端口接收到配置消息后，系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非邊緣端口接收到配置消息后，系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非 邊緣端口，重新計(jì)算生成樹(shù)，這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯＿吘壎丝?，重新?jì)算生成樹(shù)，這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯?正常情況下，邊緣端口應(yīng)該不會(huì)收到生成樹(shù)協(xié)議的配置消息。正常情況下，邊緣端口應(yīng)該不會(huì)收到生成樹(shù)協(xié)議的配置消息。 如果有人偽造配置消息惡意攻擊交換機(jī)，就會(huì)引起網(wǎng)絡(luò)震蕩。如果有人

23、偽造配置消息惡意攻擊交換機(jī)，就會(huì)引起網(wǎng)絡(luò)震蕩。 BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了BPDU 保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些 端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被MSTP關(guān)閉。被關(guān)閉的邊關(guān)閉。被關(guān)閉的邊 緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。 27 查看查看STP信息信息 display stp brief 顯示STP生成樹(shù)的簡(jiǎn)要狀態(tài)信息。 display stp instance 0 interface E

24、thernet 1/0/1 to Ethernet 1/0/4 brief MSTID Port Role STP State Protection 0 Ethernet1/0/1 ALTE DISCARDING LOOP 0 Ethernet1/0/2 DESI FORWARDING NONE 0 Ethernet1/0/3 DESI FORWARDING NONE 0 Ethernet1/0/4 DESI FORWARDING NONE 28 目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本

25、配置原理及基本配置 ?第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置 ?第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令 ACL訪問(wèn)控制列表訪問(wèn)控制列表 為了過(guò)濾通過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配置一系列的匹 配規(guī)則，以識(shí)別需要過(guò)濾的對(duì)象。在識(shí)別出特定的對(duì)象之后 ，網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù) 包通過(guò)。 訪問(wèn)控制列表（Access Control List，ACL）就是用來(lái)實(shí)現(xiàn) 這些功能。 ACL通過(guò)一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)，這些條件可 以是數(shù)據(jù)包的源地址、目的地址、端口號(hào)等。ACL可應(yīng)用在 交換機(jī)全局或端口上，交換機(jī)根據(jù)ACL中指定的條件來(lái)檢測(cè) 數(shù)據(jù)包，從而決定是轉(zhuǎn)

26、發(fā)還是丟棄該數(shù)據(jù)包。 30 以太網(wǎng)訪問(wèn)列表以太網(wǎng)訪問(wèn)列表 ?主要作用:在整個(gè)網(wǎng)絡(luò)中分布實(shí)施接入安全性 服務(wù)器服務(wù)器 部門(mén)部門(mén) B 部門(mén)部門(mén) A Intranet 31 訪問(wèn)控制列表訪問(wèn)控制列表ACL 對(duì)到達(dá)端口的數(shù)據(jù)包進(jìn)行分類(lèi)，并打上不同的動(dòng)作標(biāo)記 訪問(wèn)列表作用于交換機(jī)的所有端口 訪問(wèn)列表的主要用途： 包過(guò)濾包過(guò)濾 鏡像鏡像 流量限制流量限制 流量統(tǒng)計(jì)流量統(tǒng)計(jì) 分配隊(duì)列優(yōu)先級(jí)分配隊(duì)列優(yōu)先級(jí) 32 流分類(lèi)流分類(lèi) 通常選擇數(shù)據(jù)包的包頭信息作為流分類(lèi)項(xiàng) 2層流分類(lèi)項(xiàng) 以太網(wǎng)幀承載的數(shù)據(jù)類(lèi)型以太網(wǎng)幀承載的數(shù)據(jù)類(lèi)型 源源/目的目的MAC地址地址 以太網(wǎng)封裝格式以太網(wǎng)封裝格式 Vlan ID 入入/出端口

27、出端口 3/4層流分類(lèi)項(xiàng) 協(xié)議類(lèi)型協(xié)議類(lèi)型 源源/目的目的IP地址地址 源源/目的端口號(hào)目的端口號(hào) DSCP 33 IP 數(shù)據(jù)包過(guò)濾數(shù)據(jù)包過(guò)濾 TCP/IP包過(guò)濾元素包過(guò)濾元素 源源/目的目的IP地址地址 源源/目的端口號(hào)目的端口號(hào) 應(yīng)用程序和數(shù)據(jù)應(yīng)用程序和數(shù)據(jù) IP header TCP header Application-level header Data L3/L4過(guò)濾過(guò)濾 應(yīng)用網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān) 34 訪問(wèn)控制列表的構(gòu)成訪問(wèn)控制列表的構(gòu)成 ? Rule（訪問(wèn)控制列表的子規(guī)則） ? Time-range（時(shí)間段機(jī)制） 訪問(wèn)控制列表訪問(wèn)控制列表 ? ACL=rules + time-range

28、 策略策略:ACL1 （訪問(wèn)控制列表由一系列規(guī)則組成，有必要時(shí) 策略策略:ACL2 會(huì)和時(shí)間段結(jié)合） 策略策略:ACL3 . 策略策略:ACLN 35 時(shí)間段的相關(guān)配置時(shí)間段的相關(guān)配置 ? 在系統(tǒng)視圖下，配置時(shí)間段: ?time-range time-name start-time to end-time days-of-the-week from start- date to end-date ? 在系統(tǒng)視圖下，刪除時(shí)間段: ?undo time-range time-name start-time to end-time days-of-the-week from start- date

29、to end-date ? 假設(shè)管理員需要在從2002年12月1日上午8點(diǎn)到2003年1月1日下午18點(diǎn)的時(shí)間段內(nèi)實(shí)施安全策略，可以定義時(shí)間段名為denytime，具體配置如下: ?H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003 36 訪問(wèn)控制列表的類(lèi)型訪問(wèn)控制列表的類(lèi)型 ? 20002999：表示基本：表示基本ACL。只根據(jù)數(shù)據(jù)包的源。只根據(jù)數(shù)據(jù)包的源IP地址地址制定規(guī)則。制定規(guī)則。 ? 30003999：表示高級(jí)：表示高級(jí)ACL（3998與與3999是系統(tǒng)為集群是系統(tǒng)為集群管理預(yù)留的編號(hào)，用戶(hù)無(wú)法配置）。根據(jù)數(shù)

30、據(jù)包的源管理預(yù)留的編號(hào)，用戶(hù)無(wú)法配置）。根據(jù)數(shù)據(jù)包的源IP地地址、目的址、目的IP地址、地址、IP承載的協(xié)議類(lèi)型、協(xié)議特性等三、四承載的協(xié)議類(lèi)型、協(xié)議特性等三、四層信息制定規(guī)則。層信息制定規(guī)則。 ? 40004999：表示二層：表示二層ACL。根據(jù)數(shù)據(jù)包的源。根據(jù)數(shù)據(jù)包的源MAC地址地址、目的、目的MAC地址、地址、802.1p優(yōu)先級(jí)、二層協(xié)議類(lèi)型等二層優(yōu)先級(jí)、二層協(xié)議類(lèi)型等二層信息制定規(guī)則。信息制定規(guī)則。 ? 50005999：表示用戶(hù)自定義：表示用戶(hù)自定義ACL。以數(shù)據(jù)包的頭部為。以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個(gè)字節(jié)開(kāi)始與掩碼進(jìn)行基準(zhǔn)，指定從第幾個(gè)字節(jié)開(kāi)始與掩碼進(jìn)行“與與”操作，將操作，

31、將從報(bào)文提取出來(lái)的字符串和用戶(hù)定義的字符串進(jìn)行比較，從報(bào)文提取出來(lái)的字符串和用戶(hù)定義的字符串進(jìn)行比較，找到匹配的報(bào)文。找到匹配的報(bào)文。 37 定義訪問(wèn)控制列表定義訪問(wèn)控制列表 ? 在系統(tǒng)視圖下，定義ACL并進(jìn)入訪問(wèn)控制列表視圖: ?acl number acl-number | name acl-name basic | advanced | interface | link match-order config | auto ? 在系統(tǒng)視圖下，刪除ACL: ?undo acl number acl-number | name acl-name | all 38 基本訪問(wèn)控制列表的規(guī)則配置基本

32、訪問(wèn)控制列表的規(guī)則配置 ? 在基本訪問(wèn)控制列表視圖下，配置相應(yīng)的規(guī)則 ?rule rule-id permit | deny source source-addr source-wildcard | any fragment time-range time-range-name ? 在基本訪問(wèn)控制列表視圖下，刪除一條子規(guī)則 ?undo rule rule-id source fragment time-range 39 高級(jí)訪問(wèn)控制列表的規(guī)則配置高級(jí)訪問(wèn)控制列表的規(guī)則配置 ? 在高級(jí)訪問(wèn)控制列表視圖下，配置相應(yīng)的規(guī)則 ?rule rule-id permit | deny protocol s

33、ource source-addr source-wildcard | any destination dest-addr dest-mask | any soure-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code established precedence precedence tos tos | dscp dscp fragment time-range time-range-name ? 在高級(jí)訪問(wèn)控制列表視圖下，刪除一條子規(guī)則 ?undo rul

34、e rule-id source destination soure-port destination-port precedence tos | dscp fragment time-range 40 端口操作符及語(yǔ)法端口操作符及語(yǔ)法 ?TCP/UDP協(xié)議支持的端口操作符及語(yǔ)法 操作符及語(yǔ)法操作符及語(yǔ)法 含義含義 eq portnumber 等于等于portnumber gt portnumber 大于大于portnumber lt portnumber 小于小于portnumber neq portnumber 不等于不等于portnumber range portnumber1 介于端口

35、號(hào)介于端口號(hào)portnumber1和和 portnumber2 portnumber2之間之間 41 接口訪問(wèn)控制列表的規(guī)則配置接口訪問(wèn)控制列表的規(guī)則配置 ? 在接口訪問(wèn)控制列表視圖下，配置相應(yīng)的規(guī)則 ?rule rule-id permit | deny interface interface-name | interface-type interface-num | any time-range time-range-name ? 在接口訪問(wèn)控制列表視圖下，刪除一條子規(guī)則 ?undo rule rule-id 42 二層訪問(wèn)控制列表的規(guī)則配置二層訪問(wèn)控制列表的規(guī)則配置 ? 在二層訪問(wèn)控制列

36、表視圖下，配置相應(yīng)的規(guī)則 ?rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-range time

37、-range-name ? 在二層訪問(wèn)控制列表視圖下，刪除一條子規(guī)則 ?undo rule rule-id 43 自定義訪問(wèn)控制列表的規(guī)則配置自定義訪問(wèn)控制列表的規(guī)則配置 ? 在自定義訪問(wèn)控制列表視圖下，配置相應(yīng)的規(guī)則 ?rule rule-id permit | deny rule-string rule-mask offset & time-range time-range-name ? 在自定義訪問(wèn)控制列表視圖下，刪除一條子規(guī)則 ?undo rule rule-id ?用戶(hù)自定義訪問(wèn)控制列表的數(shù)字標(biāo)識(shí)取值范圍為50005999 44 規(guī)則匹配原則規(guī)則匹配原則 ? 一條訪問(wèn)控制列表往往會(huì)由

38、多條規(guī)則組成，這樣在匹配一條訪問(wèn)控制列表的時(shí)候就存在匹配順序的問(wèn)題。在華為系列交換機(jī)產(chǎn)品上，支持下列兩種匹配順序： ?Config：指定匹配該規(guī)則時(shí)按用戶(hù)的配置順序（后：指定匹配該規(guī)則時(shí)按用戶(hù)的配置順序（后下發(fā)先生效）下發(fā)先生效） ?Auto：指定匹配該規(guī)則時(shí)系統(tǒng)自動(dòng)排序（按：指定匹配該規(guī)則時(shí)系統(tǒng)自動(dòng)排序（按“深度深度優(yōu)先優(yōu)先”的順序）的順序） 45 激活訪問(wèn)控制列表激活訪問(wèn)控制列表 ? 在系統(tǒng)視圖下，激活A(yù)CL: ?packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name

39、 rule rule link-group acl-number | acl-name rule rule ? 在系統(tǒng)視圖下，取消激活A(yù)CL: ?undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 46 配置配置ACL進(jìn)行包過(guò)濾的步驟進(jìn)行包過(guò)濾的步驟 ? 綜上所述，在H3C交換機(jī)上配置ACL進(jìn)行包過(guò)濾的步驟如下： ?配置時(shí)間段（可選）配置時(shí)間段（可選）

40、?定義訪問(wèn)控制列表（四種類(lèi)型：基本、高級(jí)、基定義訪問(wèn)控制列表（四種類(lèi)型：基本、高級(jí)、基于接口、基于二層和用戶(hù)自定義）于接口、基于二層和用戶(hù)自定義） ?激活訪問(wèn)控制列表激活訪問(wèn)控制列表 47 訪問(wèn)控制列表配置舉例一訪問(wèn)控制列表配置舉例一 要求配置高級(jí)要求配置高級(jí)ACL，禁止員工在工作日，禁止員工在工作日8:0018:00的時(shí)間段內(nèi)訪問(wèn)新的時(shí)間段內(nèi)訪問(wèn)新浪網(wǎng)站（浪網(wǎng)站（ 61.172.201.194 ） 1. 定義時(shí)間段定義時(shí)間段 H3C time-range test 8:00 to 18:00 working-day 2.定義高級(jí)定義高級(jí)ACL 3000，配置目的，配置目的IP地址為新浪網(wǎng)站的

41、訪問(wèn)規(guī)則。地址為新浪網(wǎng)站的訪問(wèn)規(guī)則。 H3C acl number 3000 H3C -acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test 3.在端口在端口Ethernet1/0/15上應(yīng)用上應(yīng)用ACL 3000。 H3C interface Ethernet 1/0/15 H3C-Ethernet1/0/15 packet-filter inbound ip-group 3000 48 訪問(wèn)控制列表配置舉例二訪問(wèn)控制列表配置舉例二 配置防病毒配置防病毒ACL 1. 定義高級(jí)定義高級(jí)ACL 3000

42、H3C acl number 3000 H3C -acl-adv-3000 rule 1 deny udp destination-port eq 335 H3C -acl-adv-3000 rule 3 deny tcp source-port eq 3365 H3C -acl-adv-3000 rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 3875 2. 在端口在端口Ethernet1/0/1上應(yīng)用上應(yīng)用ACL 3000 H3C-Ethernet1/0/1 packet-filter inbound ip-gr

43、oup 3000 49 目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本配置原理及基本配置 ?第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置 ?第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令 交換機(jī)管理方式交換機(jī)管理方式 ?通過(guò)通過(guò)Console口進(jìn)行本地登錄口進(jìn)行本地登錄 ?通過(guò)以太網(wǎng)端口利用通過(guò)以太網(wǎng)端口利用 Telnet或或SSH進(jìn)行本地或遠(yuǎn)進(jìn)行本地或遠(yuǎn)程登錄程登錄 ?通過(guò)通過(guò)Console口利用口利用Modem撥號(hào)進(jìn)行遠(yuǎn)程登錄撥號(hào)進(jìn)行遠(yuǎn)程登錄 51 Telnet配置配置 （1）不需要

44、輸入用戶(hù)名和密碼 H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode none H3C-ui-vty0-4 user privilege level 3 （2）需要輸入密碼 H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode password H3C-ui-vty0-4 user privilege level 3 H3C-ui-vty0-4 set authentication password simple h3c （3）需要輸入用戶(hù)名和密碼 H3C

45、user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode scheme H3C local-user h3c H3C-luser-h3c password cipher 123456 H3C-luser-h3c service-type telnet level 3 52 目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本配置原理及基本配置 ?第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置 ?第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令

46、 53 故障排除常用方法故障排除常用方法 ?分層故障排除法 ?分塊故障排除法 ?分段故障排除法 ?替換法 54 分層故障排除法分層故障排除法 所有的技術(shù)都是分層的！所有的技術(shù)都是分層的！ 。網(wǎng)網(wǎng) 絡(luò)絡(luò) 層層 關(guān)注地址分配、路由協(xié)議參數(shù)等 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層 關(guān)注封裝協(xié)議和相關(guān)參數(shù)、鏈路利用率等 物物 理理 層層 關(guān)注電纜、連接頭、信號(hào)電平、編碼、時(shí)鐘和組幀 55 分塊故障排除法分塊故障排除法 ?配置文件分為以下部分： ?管理部分（路由器名稱(chēng)、口令、服務(wù)、日志等） ?端口部分（地址、封裝、cost、認(rèn)證等） ?路由協(xié)議部分（靜態(tài)路由、RIP、OSPF、BGP、路由引入等） ?策略部分（路由策略

47、、策略路由、安全配置等） ?接入部分（主控制臺(tái)、Telnet登錄或啞終端、撥號(hào)等） ?其他應(yīng)用部分（語(yǔ)言配置、VPN配置、Qos配置等） 56 分段故障排除法分段故障排除法 Modem Modem DDN節(jié)點(diǎn)節(jié)點(diǎn) 中繼線路中繼線路 DDN節(jié)點(diǎn)節(jié)點(diǎn) Modem Modem 網(wǎng)絡(luò)分為若干段，逐段測(cè)試，縮小故障范網(wǎng)絡(luò)分為若干段，逐段測(cè)試，縮小故障范圍，逐段定位網(wǎng)絡(luò)故障，并排除。圍，逐段定位網(wǎng)絡(luò)故障，并排除。 57 常用命令（常用命令（1） display version命令用來(lái)顯示系統(tǒng)的版本信息。 用戶(hù)可以通過(guò)該命令查看軟件的版本信息、發(fā)布時(shí)間、交換機(jī)的基本硬 件配置等信息。 display ver

48、sion H3C Comware Platform Software Comware Software, Version 3.10, Test 1545 Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved. S3600-52P-EI uptime is 0 week, 0 day, 23 hours, 15 minutes S3600-52P-EI with 1 Processor 64M bytes DRAM 16384K bytes Flash Memory Config Regis

49、ter points to FLASH Hardware Version is REV.C CPLD Version is CPLD 001 Bootrom Version is 510 Subslot 0 48 FE Hardware Version is REV.C Subslot 1 4 GE Hardware Version is REV.C 58 常用命令（常用命令（2） display current-configuration命令用來(lái)顯示交換機(jī)當(dāng)前的配置。 當(dāng)用戶(hù)完成一組配置之后，需要驗(yàn)證配置是否生效，則可以執(zhí) 行display current-configuration命令來(lái)查

50、看當(dāng)前生效的參數(shù)。 注意： *如果當(dāng)前配置的參數(shù)與缺省參數(shù)相同，則不予顯示； *對(duì)于某些參數(shù)，雖然用戶(hù)已經(jīng)配置，但如果這些參數(shù)對(duì)應(yīng)的功能沒(méi)有生效， 則不予顯示。 59 常用命令（常用命令（3） display this命令用來(lái)顯示當(dāng)前視圖下的運(yùn)行配置。 當(dāng)用戶(hù)在某一視圖下完成一組配置之后，需要驗(yàn)證配置是否 生效，則可以執(zhí)行display this命令來(lái)查看所在視圖下當(dāng)前生 效的配置參數(shù)。 注意： *對(duì)于已經(jīng)生效的配置參數(shù)如果與缺省工作參數(shù)相同，則不顯示； *對(duì)于某些參數(shù)，雖然用戶(hù)已經(jīng)配置，但如果這些參數(shù)對(duì)應(yīng)的功能沒(méi)有生 效，則不予顯示； *在任意一個(gè)用戶(hù)界面視圖或VLAN視圖下執(zhí)行此命令，將會(huì)

51、顯示所有用 戶(hù)界面或VLAN下生效的配置參數(shù)。 60 網(wǎng)絡(luò)連通性測(cè)試命令網(wǎng)絡(luò)連通性測(cè)試命令 操作 命令 ping ip - a source-ip | -c count | -f | -h ttl | - i interface-type interface-number | -m interval | -n | -p pad | -q | -r | -s packet-size | -t timeout | -tos tos | -v | -vpn-instance vpn-instance-name * remote-system ping ipv6 -a source-ipv6 | -c

52、 count | -m interval | -s packet-size | -t timeout * remote-system -i interface-type interface-number tracert -a source-ip | -f first-ttl | -m max-ttl | -p port | -q packet-number | -vpn-instance vpn-instance-name | -w timeout * remote-system 說(shuō)明 可選 網(wǎng)絡(luò)層協(xié)議為IPv4時(shí)使用 可在任意視圖下執(zhí)行 可選 網(wǎng)絡(luò)層協(xié)議為IPv6時(shí)使用 可在任意視圖下執(zhí)行

53、可選 網(wǎng)絡(luò)層協(xié)議為IPv4時(shí)使用 可在任意視圖下執(zhí)行 檢查IP網(wǎng)絡(luò)中的指定地址是否可達(dá) 查看當(dāng)前設(shè)備到目的設(shè)備的路由 可選 tracert ipv6 -f first-ttl | -m max-ttl | -p 網(wǎng)絡(luò)層協(xié)議為IPv6時(shí)port | -q packet-number | -w timeout * 使用 remote-system 可在任意視圖下執(zhí)行 61 ping命令參數(shù)（命令參數(shù)（1） ?ip：支持IPv4協(xié)議。 ?-a source-ip：指定ICMP回顯請(qǐng)求報(bào)文中的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。 ?-c count：指定發(fā)送ICMP回顯請(qǐng)求報(bào)文的數(shù)目，

54、取值范圍缺省值為5。 ?-f：將長(zhǎng)度大于接口MTU的報(bào)文直接丟棄，即不允許對(duì)發(fā)送的ICMP回顯請(qǐng)求報(bào)文進(jìn)行分片。 ?-h ttl：指定ICMP回顯請(qǐng)求報(bào)文中的TTL值，取值范圍為1255，缺省值為255。 ?-i interface-type interface-number：指定發(fā)送報(bào)文的接口的類(lèi)型和編號(hào)。在指定出接口的情況下，只能ping直連網(wǎng)段地址。 ?-m interval：指定發(fā)送ICMP回顯請(qǐng)求報(bào)文的時(shí)間間隔，取值范圍為165535，單位為毫秒，缺省值為200毫秒。 如果在timeout時(shí)間內(nèi)收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請(qǐng)求報(bào)文的發(fā)送時(shí)間間隔

55、為報(bào)文的實(shí)際響應(yīng)時(shí)間與interval之和； 如果在timeout時(shí)間內(nèi)沒(méi)有收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請(qǐng)求報(bào)文的發(fā)送時(shí)間間隔為timeout與interval之和。 ?-n：不進(jìn)行域名解析。缺省情況下，系統(tǒng)將對(duì)hostname進(jìn)行域名解析。 62 ping命令參數(shù)命令參數(shù) ?-p pad：指定ICMP回顯請(qǐng)求報(bào)文的填充字節(jié)，格式為16進(jìn)制。比如將“pad” 設(shè)置為ff，則報(bào)文將被全部填充為ff。缺省情況下，填充的字節(jié)從0 x01開(kāi)始，逐漸遞增，直到0 x09，然后又從0 x01開(kāi)始循環(huán)填充。 ?-q：除統(tǒng)計(jì)信息外，不顯示其它詳細(xì)信息。缺省情況下，系統(tǒng)將顯示包括統(tǒng)計(jì)信息在內(nèi)的全部

56、信息。 ?-r：記錄路由。缺省情況下，系統(tǒng)不記錄路由。 ?-s packet-size：指定發(fā)送的ICMP回顯請(qǐng)求報(bào)文的長(zhǎng)度（不包括IP和ICMP報(bào)文頭），取值范圍為208100，單位為字節(jié)，缺省值為56字節(jié)。 ?-t timeout：指定ICMP回顯應(yīng)答報(bào)文的超時(shí)時(shí)間，取值范圍為165535，單位為毫秒，缺省值為2000毫秒。 ?-tos tos：指定ICMP回顯請(qǐng)求報(bào)文中的ToS（Type of Service，服務(wù)類(lèi)型）域的值，取值范圍為0255，缺省值為0。 ?-v：顯示接收到的非回顯應(yīng)答的ICMP報(bào)文。缺省情況下，系統(tǒng)不顯示非回顯應(yīng)答的ICMP報(bào)文。 ?-vpn-instance v

57、pn-instance-name：指定MPLS VPN的實(shí)例名稱(chēng)，是一個(gè)長(zhǎng)度為131個(gè)字符的字符串，不區(qū)分大小寫(xiě)。 ?remote-system：目的設(shè)備的IP地址或主機(jī)名（主機(jī)名為120個(gè)字符的字符串）。 63 Ping命令參數(shù)命令參數(shù) ping命令用來(lái)檢查指定IP地址是否可達(dá)，并輸出相應(yīng)的統(tǒng)計(jì)信息。 H3Cping 11.1.1.1 PING 11.1.1.1: 56 data bytes, press CTRL_C to break Reply from 11.1.1.1: bytes=56 Sequence=0 ttl=255 time = 31 ms Reply from 11.1.

58、1.1: bytes=56 Sequence=1 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=255 time = 32 ms Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=255 time = 31 ms - 11.1.1.1 ping statistics - 5 packets transmitted 5 packets receive

59、d 0.00% packet loss round-trip min/avg/max = 31/31/32 ms 64 tracert命令參數(shù)命令參數(shù) ?-a source-ip：指明tracert報(bào)文的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。 ?-f first-ttl：指定一個(gè)初始TTL，即第一個(gè)報(bào)文所允許的跳數(shù)。取值范圍為1255，且小于最大TTL，缺省值為1。 ?-m max-ttl：指定一個(gè)最大TTL，即一個(gè)報(bào)文所允許的最大跳數(shù)。取值范圍為1255，且大于初始TTL，缺省值為30。 ?-p port：指明目的設(shè)備的UDP端口號(hào)，取值范圍為165535，缺省值為33434。用戶(hù)一般不需要更改此選項(xiàng)。 ?-q packet-number：指明每次發(fā)送的探測(cè)報(bào)文個(gè)數(shù)，取值范圍為165535，缺省值為3。 ?-vpn-instance vpn-instance-name：指定MPLS VPN的實(shí)例名稱(chēng)，是一個(gè)長(zhǎng)度為131個(gè)字符的字符串。 ?-w timeout：指定等待探測(cè)報(bào)文響應(yīng)的報(bào)文的超時(shí)時(shí)間，取值范圍是165535，單位為毫秒，缺省值為5000毫秒。 ?remote-system：目的設(shè)備的IP地址或主機(jī)名（主機(jī)名是長(zhǎng)度為120的字符串）。 65 tr