H3C交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)

1、交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)ISSUE 1.0日期： 2009.4.3杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播n 第一章第一章 VLAN原理及基本配置原理及基本配置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令目錄目錄3VLAN的產(chǎn)生原因廣播風(fēng)暴的產(chǎn)生原因廣播風(fēng)暴傳統(tǒng)的以太網(wǎng)是廣播型網(wǎng)絡(luò)，網(wǎng)絡(luò)中的所有主機(jī)通過HUB或交換機(jī)相連，處在同一個廣播域中4通過通過路由器隔離廣播域路由器隔離廣播域5

2、通過通過VLAN劃分廣播域劃分廣播域市場部工程部財(cái)務(wù)部6以太網(wǎng)端口的鏈路類型以太網(wǎng)端口的鏈路類型l Access link：只能允許某一個：只能允許某一個VLAN的的untagged數(shù)據(jù)流通過。數(shù)據(jù)流通過。l Trunk link：允許多個：允許多個VLAN的的tagged數(shù)據(jù)流和數(shù)據(jù)流和某一個某一個VLAN的的untagged數(shù)據(jù)流通過。數(shù)據(jù)流通過。l Hybrid link：允許多個：允許多個VLAN的的tagged數(shù)據(jù)流和數(shù)據(jù)流和多個多個VLAN的的untagged數(shù)據(jù)流通過。數(shù)據(jù)流通過。l Hybrid端口可以允許多個端口可以允許多個VLAN的報(bào)文發(fā)送時不攜帶標(biāo)簽，而的報(bào)文發(fā)送時不攜帶

3、標(biāo)簽，而Trunk端口只允許缺省端口只允許缺省VLAN的報(bào)文發(fā)送時不攜帶標(biāo)簽。的報(bào)文發(fā)送時不攜帶標(biāo)簽。l 三種類型的端口可以共存在一臺設(shè)備上三種類型的端口可以共存在一臺設(shè)備上7Access Link和和Trunk L8Trunk Link和和VLAN9數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化10VLAN配置命令（配置命令（1）創(chuàng)建VLAN. vlan 100 (1-4094)刪除VLAN. undo vlan 100 (1-4094)在VLAN中增加端口. port Ethernet 2/0/1在VLAN中刪除端口. undo port Ethernet 2/0/1將端口加入VLAN

4、port access vlan 100 (1-4094)將端口脫離VLAN undo port access vlan 100 (1-4094)顯示VLAN信息 display vlan VLAN ID (1-4094)11VLAN配置命令（配置命令（2）定義端口屬性為Trunk. port link-type trunk刪除端口Trunk屬性. undo port link-type定義端口可以傳輸?shù)腣LAN. port trunk permit vlan VLAN ID 在VLAN中刪除端口. undo port trunk permit vlan VLAN ID12配置配置VLAN虛接

5、口虛接口為已存在的VLAN創(chuàng)建對應(yīng)的VLAN接口，并進(jìn)入VLAN接口視圖 interface Vlan-interface vlan-id刪除一個VLAN接口 undo interface Vlan-interface*缺省情況下，在交換機(jī)上不存在VLAN接口*可以通過ip address命令配置IP地址，使接口可以為在該VLAN范圍內(nèi)接入的設(shè)備提供基于IP層的數(shù)據(jù)轉(zhuǎn)發(fā)功能*在創(chuàng)建VLAN接口之前，必須先創(chuàng)建對應(yīng)的VLAN，否則無法創(chuàng)建VLAN接口13配置配置IP地址地址ip address命令用來配置VLAN接口/LoopBack接口的IP地址和掩碼undo ip address命令用來刪除

6、VLAN接口/LoopBack接口的IP地址和掩碼ip address ip-address mask | mask-length sub undo ip address ip-address mask | mask-length sub *在一般情況下，一個VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口配置一個IP地址即可，但為了使交換機(jī)的一個VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口可以與多個子網(wǎng)相連，一個VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口最多可以配置多個IP地址，其中一個為主IP地址，其余為從IP地址14靜態(tài)路由的配置命令和示例靜態(tài)路由的配置命令和示例H3Cip r

7、oute-static ip-address mask | masklen interface-type interfacce-name | nexthop-address preference value reject | blackhole 例如：ip route-static 129.1.0.0 16 10.0.0.2ip route-static 129.1.0.0 255.255.0.0 10.0.0.2ip route-static 129.1.0.0 16 Serial 2/15主從主從IP地址舉例地址舉例16VLAN配置舉例配置舉例 為保證部門間數(shù)據(jù)的二層隔離，現(xiàn)要求將為保證部

8、門間數(shù)據(jù)的二層隔離，現(xiàn)要求將PC1和和Server1劃分到劃分到VLAN100中，中，PC2和和Server2劃分到劃分到VLAN200中。并分別為兩個中。并分別為兩個VLAN設(shè)置描述字符為設(shè)置描述字符為“Dept1”和和“Dept2” 在在SwitchA上配置上配置VLAN接口，對接口，對PC1發(fā)往發(fā)往Server2的數(shù)據(jù)進(jìn)行三層轉(zhuǎn)發(fā)。的數(shù)據(jù)進(jìn)行三層轉(zhuǎn)發(fā)。兩個部門分別使用兩個部門分別使用192.168.1.0/24和和192.168.2.0/24兩個網(wǎng)段兩個網(wǎng)段17配置配置Switch A# 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口Ethernet1/0/

9、1加入到VLAN100。 system-viewSwitchA vlan 100SwitchA-vlan100 description Dept1SwitchA-vlan100 port Ethernet 1/0/1SwitchA-vlan100 quit# 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”。SwitchA vlan 200SwitchA-vlan200 description Dept2SwitchA-vlan200 quit# 創(chuàng)建VLAN100和VLAN200的接口，IP地址分別配置為192.168.1.1和192.168.2.1，用來對PC1發(fā)往Se

10、rver2的報(bào)文進(jìn)行三層轉(zhuǎn)發(fā)。SwitchA interface Vlan-interface 100SwitchA-Vlan-interface100 ip address 192.168.1.1 24SwitchA-Vlan-interface100 quitSwitchA interface Vlan-interface 200SwitchA-Vlan-interface200 ip address 192.168.2.1 18配置配置Switch B# 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口Ethernet1/0/13加入到VLAN100。 sys

11、tem-viewSwitchB vlan 100SwitchB-vlan100 description Dept1SwitchB-vlan100 port Ethernet 1/0/13SwitchB-vlan103 quit# 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”，將端口Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。SwitchB vlan 200SwitchB-vlan200 description Dept2SwotchB-vlan200 port Ethernet1/0/11 Ethernet 1/0/12SwitchB

12、-vlan200 19配置配置Switch A和和Switch B之間的鏈路之間的鏈路由于Switch A和Switch B之間的鏈路需要同時傳輸VLAN100和VLAN200的數(shù)據(jù)，所以可以配置兩端的端口為Trunk端口，且允許這兩個VLAN的報(bào)文通過。# 配置Switch A的Ethernet1/0/2端口。SwitchA interface Ethernet 1/0/2SwitchA-Ethernet1/0/2 port link-type trunkSwitchA-Ethernet1/0/2 port trunk permit vlan 100SwitchA-Ethernet1/0/2

13、 port trunk permit vlan 200# 配置Switch B的Ethernet1/0/10端口。SwitchB interface Ethernet 1/0/10SwitchB-Ethernet1/0/10 port link-type trunkSwitchB-Ethernet1/0/10 port trunk permit vlan 100SwitchB-Ethernet1/0/10 port trunk permit vlan 20注意事項(xiàng)注意事項(xiàng)l VLAN 1 -缺省就有，不需要創(chuàng)建，也無法刪除缺省就有，不需要創(chuàng)建，也無法刪除 -不建議用作業(yè)務(wù)不建議用作業(yè)務(wù)VLAN

14、 -可以用作管理可以用作管理VLAN l Trunk鏈路鏈路 -只允許所需的只允許所需的VLAN通過，不要配置通過，不要配置 port trunk permit vlan all -最好配置上最好配置上undo port trunk permit vlan 1n 第一章第一章 VLAN原理及基本配置原理及基本配置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令目錄目錄22生成樹生成樹l STP（Spanning Tree Protoco

15、l，生成樹協(xié)議）是根據(jù)IEEE協(xié)會制定的802.1D標(biāo)準(zhǔn)建立的，用于在局域網(wǎng)中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議。運(yùn)行該協(xié)議的設(shè)備通過彼此交互報(bào)文發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選擇的對某些端口進(jìn)行阻塞，最終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無環(huán)路的樹型網(wǎng)絡(luò)結(jié)構(gòu)，從而防止報(bào)文在環(huán)路網(wǎng)絡(luò)中不斷增生和無限循環(huán)，避免主機(jī)由于重復(fù)接收相同的報(bào)文造成的報(bào)文處理能力下降的問題發(fā)生。23STP配置命令配置命令啟動全局啟動全局STP特性特性 stp enable關(guān)閉全局關(guān)閉全局STP特性特性 undo stp enable*全局開啟后，每個接口下的全局開啟后，每個接口下的STP功能也被打開功能也被打開接口視圖下關(guān)閉接口視圖下關(guān)閉STP特性

16、特性 stp disable接口下開啟接口下開啟STP特性特性 stp 24STP的交換機(jī)保護(hù)功能的交換機(jī)保護(hù)功能1. Root保護(hù)功能保護(hù)功能由于維護(hù)人員的錯誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合由于維護(hù)人員的錯誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當(dāng)前根橋法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當(dāng)前根橋會失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯誤變動。這種不會失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯誤變動。這種不合法的變動，會導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到合法的變動，會導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。低速鏈路上，導(dǎo)

17、致網(wǎng)絡(luò)擁塞。stp root primary命令用來指定當(dāng)前交換機(jī)作為指命令用來指定當(dāng)前交換機(jī)作為指定生成樹實(shí)例的根橋。定生成樹實(shí)例的根橋。undo stp root命令用來取消當(dāng)前交換機(jī)作為指定生命令用來取消當(dāng)前交換機(jī)作為指定生成樹實(shí)例的根橋資格。成樹實(shí)例的根橋資格。stp instance 0 root 25STP優(yōu)化優(yōu)化-邊緣端口邊緣端口邊緣端口是指不直接與任何交換機(jī)連接，也不通過端口所連邊緣端口是指不直接與任何交換機(jī)連接，也不通過端口所連接的網(wǎng)絡(luò)間接與任何交換機(jī)相連的端口。接的網(wǎng)絡(luò)間接與任何交換機(jī)相連的端口。用戶如果將某個端口指定為邊緣端口，那么當(dāng)該端口由阻塞用戶如果將某個端口指定為邊

18、緣端口，那么當(dāng)該端口由阻塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時，這個端口可以實(shí)現(xiàn)快速遷移，而無狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時，這個端口可以實(shí)現(xiàn)快速遷移，而無需等待延遲時間。需等待延遲時間。在交換機(jī)沒有開啟在交換機(jī)沒有開啟BPDU保護(hù)的情況下，如果被設(shè)置為邊緣保護(hù)的情況下，如果被設(shè)置為邊緣端口的端口上收到來自其它端口的端口的端口上收到來自其它端口的BPDU報(bào)文，則該端口會報(bào)文，則該端口會重新變?yōu)榉沁吘壎丝凇Ｖ匦伦優(yōu)榉沁吘壎丝?。對于直接與終端相連的端口，請將該端口設(shè)置為邊緣端口，對于直接與終端相連的端口，請將該端口設(shè)置為邊緣端口，同時啟動同時啟動BPDU保護(hù)功能。這樣既能夠使該端口快速遷移到保護(hù)功能。這樣既能夠使該端口快速

19、遷移到轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。26邊緣端口配置邊緣端口配置stp edged-port enable命令用來將當(dāng)前的以太網(wǎng)端命令用來將當(dāng)前的以太網(wǎng)端口配置為邊緣端口口配置為邊緣端口stp edged-port disable命令用來將當(dāng)前的以太網(wǎng)命令用來將當(dāng)前的以太網(wǎng)端口配置為非邊緣端口端口配置為非邊緣端口undo stp edged-port命令用來將當(dāng)前的以太網(wǎng)端命令用來將當(dāng)前的以太網(wǎng)端口恢復(fù)為缺省狀態(tài)，即非邊緣端口?？诨謴?fù)為缺省狀態(tài)，即非邊緣端口。*缺省情況下，交換機(jī)所有以太網(wǎng)端口均被配置為非缺省情況下，交換機(jī)所有以太網(wǎng)端口均被配置為非邊緣端口邊緣

20、端口27STP的交換機(jī)保護(hù)功能的交換機(jī)保護(hù)功能2. BPDU保護(hù)功能保護(hù)功能邊緣端口接收到配置消息后，系統(tǒng)會自動將這些端口設(shè)置為非邊緣端口接收到配置消息后，系統(tǒng)會自動將這些端口設(shè)置為非邊緣端口，重新計(jì)算生成樹，這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗?。邊緣端口，重新?jì)算生成樹，這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗?。正常情況下，邊緣端口應(yīng)該不會收到生成樹協(xié)議的配置消息。正常情況下，邊緣端口應(yīng)該不會收到生成樹協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊交換機(jī)，就會引起網(wǎng)絡(luò)震蕩。如果有人偽造配置消息惡意攻擊交換機(jī)，就會引起網(wǎng)絡(luò)震蕩。BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動了保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動了

21、BPDU保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時通知網(wǎng)管這些端口被端口關(guān)閉，同時通知網(wǎng)管這些端口被MSTP關(guān)閉。被關(guān)閉的邊關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。28查看查看STP信息信息display stp brief 顯示STP生成樹的簡要狀態(tài)信息。 display stp instance 0 interface Ethernet 1/0/1 to Ethernet 1/0/4 brief MSTID Port Role STP State Protection 0 E

22、thernet1/0/1 ALTE DISCARDING LOOP 0 Ethernet1/0/2 DESI FORWARDING NONE 0 Ethernet1/0/3 DESI FORWARDING NONE 0 Ethernet1/0/4 DESI FORWARDING NONEn 第一章第一章 VLAN原理及基本配置原理及基本配置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令目錄目錄30ACL訪問控制列表訪問控制列表 為了過

23、濾通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識別需要過濾的對象。在識別出特定的對象之后，網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過。訪問控制列表（Access Control List，ACL）就是用來實(shí)現(xiàn)這些功能。ACL通過一系列的匹配條件對數(shù)據(jù)包進(jìn)行分類，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號等。ACL可應(yīng)用在交換機(jī)全局或端口上，交換機(jī)根據(jù)ACL中指定的條件來檢測數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。31以太網(wǎng)訪問列表以太網(wǎng)訪問列表l主要作用:在整個網(wǎng)絡(luò)中分布實(shí)施接入安全性32訪問控制列表訪問控制列表ACL對到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動作標(biāo)記訪問

24、列表作用于交換機(jī)的所有端口訪問列表的主要用途：包過濾包過濾鏡像鏡像流量限制流量限制流量統(tǒng)計(jì)流量統(tǒng)計(jì)分配隊(duì)列優(yōu)先級分配隊(duì)列優(yōu)先級33流分類流分類通常選擇數(shù)據(jù)包的包頭信息作為流分類項(xiàng)2層流分類項(xiàng)以太網(wǎng)幀承載的數(shù)據(jù)類型以太網(wǎng)幀承載的數(shù)據(jù)類型源源/目的目的MAC地址地址以太網(wǎng)封裝格式以太網(wǎng)封裝格式Vlan ID入入/出端口出端口3/4層流分類項(xiàng)協(xié)議類型協(xié)議類型源源/目的目的IP地址地址源源/目的端口號目的端口號DSCP34IP 數(shù)據(jù)包過濾數(shù)據(jù)包過濾35訪問控制列表的構(gòu)成訪問控制列表的構(gòu)成l Rule（訪問控制列表的子規(guī)則）l Time-range（時間段機(jī)制）l ACL=rules + time-ra

25、nge（訪問控制列表由一系列規(guī)則組成，有必要時會和時間段結(jié)合）36時間段的相關(guān)配置時間段的相關(guān)配置 37訪問控制列表的類型訪問控制列表的類型l 20002999：表示基本：表示基本ACL。只根據(jù)數(shù)據(jù)包的源。只根據(jù)數(shù)據(jù)包的源IP地址地址制定規(guī)則。制定規(guī)則。l 30003999：表示高級：表示高級ACL（3998與與3999是系統(tǒng)為集群是系統(tǒng)為集群管理預(yù)留的編號，用戶無法配置）。根據(jù)數(shù)據(jù)包的源管理預(yù)留的編號，用戶無法配置）。根據(jù)數(shù)據(jù)包的源IP地地址、目的址、目的IP地址、地址、IP承載的協(xié)議類型、協(xié)議特性等三、四承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。層信息制定規(guī)則。l 40004999：

26、表示二層：表示二層ACL。根據(jù)數(shù)據(jù)包的源。根據(jù)數(shù)據(jù)包的源MAC地址地址、目的、目的MAC地址、地址、802.1p優(yōu)先級、二層協(xié)議類型等二層優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則。信息制定規(guī)則。l 50005999：表示用戶自定義：表示用戶自定義ACL。以數(shù)據(jù)包的頭部為。以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個字節(jié)開始與掩碼進(jìn)行基準(zhǔn)，指定從第幾個字節(jié)開始與掩碼進(jìn)行“與與”操作，將操作，將從報(bào)文提取出來的字符串和用戶定義的字符串進(jìn)行比較，從報(bào)文提取出來的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報(bào)文。找到匹配的報(bào)文。38定義訪問控制列表定義訪問控制列表 39基本訪問控制列表的規(guī)則配置基本訪問控制列表的

27、規(guī)則配置 40高級訪問控制列表的規(guī)則配置高級訪問控制列表的規(guī)則配置 41端口操作符及語法端口操作符及語法42接口訪問控制列表的規(guī)則配置接口訪問控制列表的規(guī)則配置 43二層訪問控制列表的規(guī)則配置二層訪問控制列表的規(guī)則配置 44自定義訪問控制列表的規(guī)則配置自定義訪問控制列表的規(guī)則配置 45規(guī)則匹配原則規(guī)則匹配原則l 一條訪問控制列表往往會由多條規(guī)則組成，這樣在匹配一條訪問控制列表的時候就存在匹配順序的問題。在華為系列交換機(jī)產(chǎn)品上，支持下列兩種匹配順序：Config：指定匹配該規(guī)則時按用戶的配置順序（后：指定匹配該規(guī)則時按用戶的配置順序（后下發(fā)先生效）下發(fā)先生效）Auto：指定匹配該規(guī)則時系統(tǒng)自動排

28、序（按：指定匹配該規(guī)則時系統(tǒng)自動排序（按“深度深度優(yōu)先優(yōu)先”的順序）的順序）46激活訪問控制列表激活訪問控制列表 47配置配置ACL進(jìn)行包過濾的步驟進(jìn)行包過濾的步驟48訪問控制列表配置舉例一訪問控制列表配置舉例一要求配置高級要求配置高級ACL，禁止員工在工作日，禁止員工在工作日8:0018:00的時間段內(nèi)訪問新的時間段內(nèi)訪問新浪網(wǎng)站（浪網(wǎng)站（ 61.172.201.194 ）1. 定義時間段定義時間段H3C time-range test 8:00 to 18:00 working-day2.定義高級定義高級ACL 3000，配置目的，配置目的IP地址為新浪網(wǎng)站的訪問規(guī)則。地址為新浪網(wǎng)站的訪問

29、規(guī)則。H3C acl number 3000H3C -acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test3.在端口在端口Ethernet1/0/15上應(yīng)用上應(yīng)用ACL 3000。H3C interface Ethernet 1/0/15H3C-Ethernet1/0/15 packet-filter inbound ip-group 49訪問控制列表配置舉例二訪問控制列表配置舉例二配置防病毒配置防病毒ACL1. 定義高級定義高級ACL 3000H3C acl number 3000H3C -acl-a

30、dv-3000 rule 1 deny udp destination-port eq 335H3C -acl-adv-3000 rule 3 deny tcp source-port eq 3365H3C -acl-adv-3000 rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 38752. 在端口在端口Ethernet1/0/1上應(yīng)用上應(yīng)用ACL 3000H3C-Ethernet1/0/1 packet-filter inbound ip-group 3000n 第一章第一章 VLAN原理及基本配置原理及基本配

31、置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令目錄目錄51交換機(jī)管理方式交換機(jī)管理方式l 通過通過Console口進(jìn)行本地登錄口進(jìn)行本地登錄l 通過以太網(wǎng)端口利用通過以太網(wǎng)端口利用Telnet或或SSH進(jìn)行本地或遠(yuǎn)進(jìn)行本地或遠(yuǎn)程登錄程登錄l 通過通過Console口利用口利用Modem撥號進(jìn)行遠(yuǎn)程登錄撥號進(jìn)行遠(yuǎn)程登錄52Telnet配置配置（2）需要輸入密碼H3C user-interface vty 0 4H3C-ui-vty0-

32、4 authentication-mode passwordH3C-ui-vty0-4 user privilege level 3 H3C-ui-vty0-4 set authentication password simple h3c （3）需要輸入用戶名和密碼H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode schemeH3C local-user h3cH3C-luser-h3c password cipher 123456 H3C-luser-h3c service-type telnet level 3 （1）不

33、需要輸入用戶名和密碼H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode noneH3C-ui-vty0-4 user privilege level 3 53n 第一章第一章 VLAN原理及基本配置原理及基本配置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護(hù)方法和命令常用維護(hù)方法和命令目錄目錄54故障排除常用方法故障排除常用方法l 分層故障排除法 l 分塊故障排除法 l 分段故障排除法 l 替換

34、法 55分層故障排除法分層故障排除法。物物 理理 層層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層網(wǎng)網(wǎng) 絡(luò)絡(luò) 層層所有的技術(shù)都是分層的！所有的技術(shù)都是分層的！關(guān)注電纜、連接頭、信號電平、編碼、時鐘和組幀 關(guān)注封裝協(xié)議和相關(guān)參數(shù)、鏈路利用率等關(guān)注地址分配、路由協(xié)議參數(shù)等56分塊故障排除法分塊故障排除法l 配置文件分為以下部分：管理部分（路由器名稱、口令、服務(wù)、日志等）端口部分（地址、封裝、cost、認(rèn)證等）路由協(xié)議部分（靜態(tài)路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制臺、Telnet登錄或啞終端、撥號等）其他應(yīng)用部分（語言配置、VPN配置、Qos配置等） 57分

35、段故障排除法分段故障排除法網(wǎng)絡(luò)分為若干段，逐段測試，縮小故障范網(wǎng)絡(luò)分為若干段，逐段測試，縮小故障范圍，逐段定位網(wǎng)絡(luò)故障，并排除。圍，逐段定位網(wǎng)絡(luò)故障，并排除。中繼線路中繼線路ModemModemModemModemDDN節(jié)點(diǎn)節(jié)點(diǎn)DDN節(jié)點(diǎn)節(jié)點(diǎn)58常用命令（常用命令（1）display version命令用來顯示系統(tǒng)的版本信息。用戶可以通過該命令查看軟件的版本信息、發(fā)布時間、交換機(jī)的基本硬件配置等信息。 display versionH3C Comware Platform Software Comware Software, Version 3.10, Test 1545Copyright (

36、c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved.S3600-52P-EI uptime is 0 week, 0 day, 23 hours, 15 minutes S3600-52P-EI with 1 Processor64M bytes DRAM16384K bytes Flash MemoryConfig Register points to FLASH Hardware Version is REV.CCPLD Version is CPLD 001Bootrom Version is 510S

37、ubslot 0 48 FE Hardware Version is REV.CSubslot 1 4 GE Hardware Version is REV.C59常用命令（常用命令（2）display current-configuration命令用來顯示交換機(jī)當(dāng)前的配置。當(dāng)用戶完成一組配置之后，需要驗(yàn)證配置是否生效，則可以執(zhí)行display current-configuration命令來查看當(dāng)前生效的參數(shù)。注意：*如果當(dāng)前配置的參數(shù)與缺省參數(shù)相同，則不予顯示；*對于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對應(yīng)的功能沒有生效，則不予顯示。60常用命令（常用命令（3）display thi

38、s命令用來顯示當(dāng)前視圖下的運(yùn)行配置。當(dāng)用戶在某一視圖下完成一組配置之后，需要驗(yàn)證配置是否生效，則可以執(zhí)行display this命令來查看所在視圖下當(dāng)前生效的配置參數(shù)。注意：*對于已經(jīng)生效的配置參數(shù)如果與缺省工作參數(shù)相同，則不顯示；*對于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對應(yīng)的功能沒有生效，則不予顯示；*在任意一個用戶界面視圖或VLAN視圖下執(zhí)行此命令，將會顯示所有用戶界面或VLAN下生效的配置參數(shù)。61網(wǎng)絡(luò)連通性測試命令網(wǎng)絡(luò)連通性測試命令操作命令說明檢查IP網(wǎng)絡(luò)中的指定地址是否可達(dá)ping ip -a source-ip | -c count | -f | -h ttl | -i i

39、nterface-type interface-number | -m interval | -n | -p pad | -q | -r | -s packet-size | -t timeout | -tos tos | -v | -vpn-instance vpn-instance-name * remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv4時使用可在任意視圖下執(zhí)行ping ipv6 -a source-ipv6 | -c count | -m interval | -s packet-size | -t timeout * remote-system -i interface-typ

40、e interface-number 可選網(wǎng)絡(luò)層協(xié)議為IPv6時使用可在任意視圖下執(zhí)行查看當(dāng)前設(shè)備到目的設(shè)備的路由tracert -a source-ip | -f first-ttl | -m max-ttl | -p port | -q packet-number | -vpn-instance vpn-instance-name | -w timeout * remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv4時使用可在任意視圖下執(zhí)行tracert ipv6 -f first-ttl | -m max-ttl | -p port | -q packet-number | -w timeou

41、t * remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv6時使用可在任意視圖下執(zhí)行62ping命令參數(shù)（命令參數(shù)（1）ip：支持IPv4協(xié)議。-a source-ip：指定ICMP回顯請求報(bào)文中的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。-c count：指定發(fā)送ICMP回顯請求報(bào)文的數(shù)目，取值范圍缺省值為5。-f：將長度大于接口MTU的報(bào)文直接丟棄，即不允許對發(fā)送的ICMP回顯請求報(bào)文進(jìn)行分片。-h ttl：指定ICMP回顯請求報(bào)文中的TTL值，取值范圍為1255，缺省值為255。-i interface-type interface-number：指定發(fā)

42、送報(bào)文的接口的類型和編號。在指定出接口的情況下，只能ping直連網(wǎng)段地址。-m interval：指定發(fā)送ICMP回顯請求報(bào)文的時間間隔，取值范圍為165535，單位為毫秒，缺省值為200毫秒。 如果在timeout時間內(nèi)收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請求報(bào)文的發(fā)送時間間隔為報(bào)文的實(shí)際響應(yīng)時間與interval之和； 如果在timeout時間內(nèi)沒有收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請求報(bào)文的發(fā)送時間間隔為timeout與interval之和。 -n：不進(jìn)行域名解析。缺省情況下，系統(tǒng)將對hostname進(jìn)行域名解析。63ping命令參數(shù)命令參數(shù)-p pad：指定ICMP回顯請

43、求報(bào)文的填充字節(jié)，格式為16進(jìn)制。比如將“pad”設(shè)置為ff，則報(bào)文將被全部填充為ff。缺省情況下，填充的字節(jié)從0 x01開始，逐漸遞增，直到0 x09，然后又從0 x01開始循環(huán)填充。-q：除統(tǒng)計(jì)信息外，不顯示其它詳細(xì)信息。缺省情況下，系統(tǒng)將顯示包括統(tǒng)計(jì)信息在內(nèi)的全部信息。-r：記錄路由。缺省情況下，系統(tǒng)不記錄路由。-s packet-size：指定發(fā)送的ICMP回顯請求報(bào)文的長度（不包括IP和ICMP報(bào)文頭），取值范圍為208100，單位為字節(jié)，缺省值為56字節(jié)。-t timeout：指定ICMP回顯應(yīng)答報(bào)文的超時時間，取值范圍為165535，單位為毫秒，缺省值為2000毫秒。-tos t

44、os：指定ICMP回顯請求報(bào)文中的ToS（Type of Service，服務(wù)類型）域的值，取值范圍為0255，缺省值為0。-v：顯示接收到的非回顯應(yīng)答的ICMP報(bào)文。缺省情況下，系統(tǒng)不顯示非回顯應(yīng)答的ICMP報(bào)文。-vpn-instance vpn-instance-name：指定MPLS VPN的實(shí)例名稱，是一個長度為131個字符的字符串，不區(qū)分大小寫。remote-system：目的設(shè)備的IP地址或主機(jī)名（主機(jī)名為120個字符的字符串）。 64ping命令用來檢查指定IP地址是否可達(dá)，并輸出相應(yīng)的統(tǒng)計(jì)信息。 H3Cping 11.1.1.1 PING 11.1.1.1: 56 data

45、bytes, press CTRL_C to break Reply from 11.1.1.1: bytes=56 Sequence=0 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=255 time = 32 ms Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=255 time = 31 ms Reply from 11.1.1.1: by

46、tes=56 Sequence=4 ttl=255 time = 31 ms - 11.1.1.1 ping statistics - 5 packets transmitted 5 packets received 0.00% packet loss round-trip min/avg/max = 31/31/32 65tracert命令參數(shù)命令參數(shù)-a source-ip：指明tracert報(bào)文的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。-f first-ttl：指定一個初始TTL，即第一個報(bào)文所允許的跳數(shù)。取值范圍為1255，且小于最大TTL，缺省值為1。-m max-ttl

47、：指定一個最大TTL，即一個報(bào)文所允許的最大跳數(shù)。取值范圍為1255，且大于初始TTL，缺省值為30。-p port：指明目的設(shè)備的UDP端口號，取值范圍為165535，缺省值為33434。用戶一般不需要更改此選項(xiàng)。-q packet-number：指明每次發(fā)送的探測報(bào)文個數(shù)，取值范圍為165535，缺省值為3。-vpn-instance vpn-instance-name：指定MPLS VPN的實(shí)例名稱，是一個長度為131個字符的字符串。-w timeout：指定等待探測報(bào)文響應(yīng)的報(bào)文的超時時間，取值范圍是165535，單位為毫秒，缺省值為5000毫秒。remote-system：目的設(shè)備的

48、IP地址或主機(jī)名（主機(jī)名是長度為120的字符串）。66tracert命令用來查看IPv4報(bào)文從當(dāng)前設(shè)備傳到目的設(shè)備所經(jīng)過的路徑。 tracert 18.26.0.115traceroute to 18.26.0.115(18.26.0.115) 30 hops max,40 bytes packet, press CTRL_C to break1 128.3.112.1 10 ms 10 ms 10 ms2 128.32.210.1 19 ms 19 ms 19 ms3 128.32.216.1 39 ms 19 ms 19 ms4 128.32.136.23 19 ms 39 ms 39 m

49、s5 128.32.168.22 20 ms 39 ms 39 ms6 128.32.197.4 59 ms 119 ms 39 ms7 131.119.2.5 59 ms 59 ms 39 ms8 129.140.70.13 80 ms 79 ms 99 ms9 129.140.71.6 139 ms 139 ms 159 ms10 129.140.81.7 199 ms 180 ms 300 ms11 129.140.72.17 300 ms 239 ms 239 ms12 * * *13 128.121.54.72 259 ms 499 ms 279 ms14 * * *15 * * *

50、16 * * *17 * * *18 18.26.0.115 339 ms 279 ms 279 ms 67display interface（1） display interface ethernet1/0/1 Ethernet1/0/1 current state : DOWN IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 0012-a990-2240 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX

51、100Mbps-speed mode, full-duplex mode Link speed type is force link, link duplex type is force link Flow-control is enabled The Maximum Frame Length is 9216 Broadcast MAX-pps: 500 Unicast MAX-ratio: 100% Multicast MAX-ratio: 100% Allow jumbo frame to pass PVID: 1 Mdi type: auto Port link-type: access

52、 Tagged VLAN ID : none Untagged VLAN ID : 68display interface（2） Last 300 seconds input: 0 packets/sec 0 bytes/sec Last 300 seconds output: 0 packets/sec 0 bytes/sec Input(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Input(normal): - packets, - bytes - broadcasts, - multicasts, -

53、pauses Input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC 0 frame, - overruns, 0 aborts, 0 ignored, - parity errors Output(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Output(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Output: 0 output errors, - unde

54、rruns, - buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions 0 lost carrier, - no 69display mac-address用來顯示MAC地址轉(zhuǎn)發(fā)表的信息，包括MAC地址所對應(yīng)VLAN和以太網(wǎng)端口、地址狀態(tài)（靜態(tài)還是動態(tài)）、是否處在老化時間內(nèi)等信息# 顯示MAC地址000f-e20f-0101的信息。 display mac-address 000f-e20f-0101MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e20

55、f-0101 1 Learned Ethernet1/0/1 AGING# 顯示端口Ethernet1/0/4的MAC地址轉(zhuǎn)發(fā)表內(nèi)容。 display mac-address interface Ethernet 1/0/4MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000d-88f6-44ba 1 Learned Ethernet1/0/4 AGING000d-88f7-9f7d 1 Learned Ethernet1/0/4 AGING000d-88f7-b094 1 Learned Ethernet1/0/4 AGING000f-e200

56、-00cc 1 Learned Ethernet1/0/4 AGING000f-e200-2201 1 Learned Ethernet1/0/4 AGING000f-e207-f2e0 1 Learned Ethernet1/0/4 AGING000f-e209-ecf9 1 Learned Ethernet1/0/4 AGING- 7 mac address(es) found on port Ethernet1/0/4 - 70display arp用來顯示ARP表項(xiàng) display arp Type: S-Static D-DynamicIP Address MAC Address VLAN ID Port Name / AL ID Aging Type10.2.72.162 000a-000a-0aaa N/A N/A N/A S192.168.0.77 0000-e8f5-6a4a 1 Ethernet1/0/2 13 D192