H3C交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)課件

交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)ISSUE1.0日期：2013.7.1交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)ISSUE1.0日期：201第一章VLAN原理及基本配置第二章STP原理及基本配置第三章ACL原理及基本配置第四章設(shè)備管理基本配置第五章常用維護(hù)方法和命令目錄第一章VLAN原理及基本配置目錄VLAN的產(chǎn)生原因－廣播風(fēng)暴……廣播傳統(tǒng)的以太網(wǎng)是廣播型網(wǎng)絡(luò)，網(wǎng)絡(luò)中的所有主機(jī)通過HUB或交換機(jī)相連，處在同一個(gè)廣播域中VLAN的產(chǎn)生原因－廣播風(fēng)暴……廣播傳統(tǒng)的以太網(wǎng)是廣播型網(wǎng)絡(luò)通過路由器隔離廣播域路由器……廣播通過路由器隔離廣播域路由器……廣播通過VLAN劃分廣播域BroadcastDomain1VLAN10BroadcastDomain2VLAN20BroadcastDomain3VLAN30市場部工程部財(cái)務(wù)部通過VLAN劃分廣播域BroadcastDomain1B以太網(wǎng)端口的鏈路類型Accesslink：只能允許某一個(gè)VLAN的untagged數(shù)據(jù)流通過。Trunklink：允許多個(gè)VLAN的tagged數(shù)據(jù)流和某一個(gè)VLAN的untagged數(shù)據(jù)流通過。Hybridlink：允許多個(gè)VLAN的tagged數(shù)據(jù)流和多個(gè)VLAN的untagged數(shù)據(jù)流通過。Hybrid端口可以允許多個(gè)VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽，而Trunk端口只允許缺省VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽。三種類型的端口可以共存在一臺設(shè)備上以太網(wǎng)端口的鏈路類型Accesslink：只能允許某一個(gè)VAccessLink和TrunkLinkAccesslinkTrunklinkAccessLink和TrunkLinkAccesslTrunkLink和VLANVLAN10VLAN2VLAN10VLAN3VLAN2VLAN10VLAN5VLAN5VLAN2VLAN5廣播報(bào)文發(fā)送TrunkLinkTrunkLink和VLANVLAN10VLAN2VLANVLAN2VLAN3VLAN3VLAN2帶有VLAN3標(biāo)簽的以太網(wǎng)幀帶有VLAN2標(biāo)簽的以太網(wǎng)幀不帶VLAN標(biāo)簽的以太網(wǎng)幀數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化VLAN2VLAN3VLAN3VLAN2帶有VLAN3標(biāo)簽的VLAN配置命令（1）創(chuàng)建VLAN.vlan

100

(1-4094)刪除VLAN.undo

vlan

100

(1-4094)在VLAN中增加端口.

port

Ethernet

2/0/1在VLAN中刪除端口.

undo

port

Ethernet

2/0/1將端口加入VLAN

port

access

vlan100(1-4094)將端口脫離VLAN undo

port

access

vlan

100

(1-4094)顯示VLAN信息

display

vlan

VLAN

ID

(1-4094)VLAN配置命令（1）創(chuàng)建VLAN.VLAN配置命令（2）定義端口屬性為Trunk.

port

link-type

trunk刪除端口Trunk屬性.

undo

port

link-type定義端口可以傳輸?shù)腣LAN.

port

trunk

permit

vlan

VLANID在VLAN中刪除端口.

undo

port

trunk

permit

vlan

VLANIDVLAN配置命令（2）定義端口屬性為Trunk.配置VLAN虛接口為已存在的VLAN創(chuàng)建對應(yīng)的VLAN接口，并進(jìn)入VLAN接口視圖interfaceVlan-interfacevlan-id刪除一個(gè)VLAN接口

undointerfaceVlan-interface*缺省情況下，在交換機(jī)上不存在VLAN接口*可以通過ipaddress命令配置IP地址，使接口可以為在該VLAN范圍內(nèi)接入的設(shè)備提供基于IP層的數(shù)據(jù)轉(zhuǎn)發(fā)功能*在創(chuàng)建VLAN接口之前，必須先創(chuàng)建對應(yīng)的VLAN，否則無法創(chuàng)建VLAN接口配置VLAN虛接口為已存在的VLAN創(chuàng)建對應(yīng)的VLAN接口，配置IP地址ipaddress命令用來配置VLAN接口/LoopBack接口的IP地址和掩碼undoipaddress命令用來刪除VLAN接口/LoopBack接口的IP地址和掩碼ipaddressip-address{mask|mask-length}[sub]undoipaddress[ip-address{mask|mask-length}[sub]]*在一般情況下，一個(gè)VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口配置一個(gè)IP地址即可，但為了使交換機(jī)的一個(gè)VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口可以與多個(gè)子網(wǎng)相連，一個(gè)VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口最多可以配置多個(gè)IP地址，其中一個(gè)為主IP地址，其余為從IP地址配置IP地址ipaddress命令用來配置VLAN接口/L靜態(tài)路由的配置命令和示例[H3C]iproute-staticip-address{mask|masklen}{interface-typeinterfacce-name|nexthop-address}[preference

value][reject|blackhole]例如：iproute-static16iproute-staticiproute-static16Serial2/0靜態(tài)路由的配置命令和示例[H3C]iproute-stat主從IP地址舉例主從IP地址舉例VLAN配置舉例為保證部門間數(shù)據(jù)的二層隔離，現(xiàn)要求將PC1和Server1劃分到VLAN100中，PC2和Server2劃分到VLAN200中。并分別為兩個(gè)VLAN設(shè)置描述字符為“Dept1”和“Dept2”在SwitchA上配置VLAN接口，對PC1發(fā)往Server2的數(shù)據(jù)進(jìn)行三層轉(zhuǎn)發(fā)。兩個(gè)部門分別使用/24和/24兩個(gè)網(wǎng)段VLAN配置舉例為保證部門間數(shù)據(jù)的二層隔離，現(xiàn)要求配置SwitchA#創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口Ethernet1/0/1加入到VLAN100。<SwitchA>system-view[SwitchA]vlan100[SwitchA-vlan100]descriptionDept1[SwitchA-vlan100]portEthernet1/0/1[SwitchA-vlan100]quit#創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”。[SwitchA]vlan200[SwitchA-vlan200]descriptionDept2[SwitchA-vlan200]quit#創(chuàng)建VLAN100和VLAN200的接口，IP地址分別配置為和，用來對PC1發(fā)往Server2的報(bào)文進(jìn)行三層轉(zhuǎn)發(fā)。[SwitchA]interfaceVlan-interface100[SwitchA-Vlan-interface100]ipaddress24[SwitchA-Vlan-interface100]quit[SwitchA]interfaceVlan-interface200[SwitchA-Vlan-interface200]ipaddress24配置SwitchA#創(chuàng)建VLAN100，并配置VLAN1配置SwitchB#創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口Ethernet1/0/13加入到VLAN100。<SwitchB>system-view[SwitchB]vlan100[SwitchB-vlan100]descriptionDept1[SwitchB-vlan100]portEthernet1/0/13[SwitchB-vlan103]quit#創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”，將端口Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。[SwitchB]vlan200[SwitchB-vlan200]descriptionDept2[SwotchB-vlan200]portEthernet1/0/11Ethernet1/0/12[SwitchB-vlan200]quit配置SwitchB#創(chuàng)建VLAN100，并配置VLAN1配置SwitchA和SwitchB之間的鏈路由于SwitchA和SwitchB之間的鏈路需要同時(shí)傳輸VLAN100和VLAN200的數(shù)據(jù)，所以可以配置兩端的端口為Trunk端口，且允許這兩個(gè)VLAN的報(bào)文通過。#配置SwitchA的Ethernet1/0/2端口。[SwitchA]interfaceEthernet1/0/2[SwitchA-Ethernet1/0/2]portlink-typetrunk[SwitchA-Ethernet1/0/2]porttrunkpermitvlan100[SwitchA-Ethernet1/0/2]porttrunkpermitvlan200#配置SwitchB的Ethernet1/0/10端口。[SwitchB]interfaceEthernet1/0/10[SwitchB-Ethernet1/0/10]portlink-typetrunk[SwitchB-Ethernet1/0/10]porttrunkpermitvlan100[SwitchB-Ethernet1/0/10]porttrunkpermitvlan200配置SwitchA和SwitchB之間的鏈路由于Swit注意事項(xiàng)VLAN1-缺省就有，不需要?jiǎng)?chuàng)建，也無法刪除-不建議用作業(yè)務(wù)VLAN-可以用作管理VLANTrunk鏈路-只允許所需的VLAN通過，不要配置porttrunkpermitvlanall-最好配置上undoporttrunkpermitvlan1注意事項(xiàng)VLAN1第一章VLAN原理及基本配置第二章STP原理及基本配置第三章ACL原理及基本配置第四章設(shè)備管理基本配置第五章常用維護(hù)方法和命令目錄第一章VLAN原理及基本配置目錄生成樹STP（SpanningTreeProtocol，生成樹協(xié)議）是根據(jù)IEEE協(xié)會制定的802.1D標(biāo)準(zhǔn)建立的，用于在局域網(wǎng)中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議。運(yùn)行該協(xié)議的設(shè)備通過彼此交互報(bào)文發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選擇的對某些端口進(jìn)行阻塞，最終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無環(huán)路的樹型網(wǎng)絡(luò)結(jié)構(gòu)，從而防止報(bào)文在環(huán)路網(wǎng)絡(luò)中不斷增生和無限循環(huán)，避免主機(jī)由于重復(fù)接收相同的報(bào)文造成的報(bào)文處理能力下降的問題發(fā)生。生成樹STP（SpanningTreeProtocol，STP配置命令啟動(dòng)全局STP特性

stpenable關(guān)閉全局STP特性undostpenable*全局開啟后，每個(gè)接口下的STP功能也被打開接口視圖下關(guān)閉STP特性stpdisable接口下開啟STP特性stpenableSTP配置命令啟動(dòng)全局STP特性stpenablSTP的交換機(jī)保護(hù)功能1.Root保護(hù)功能由于維護(hù)人員的錯(cuò)誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當(dāng)前根橋會失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不合法的變動(dòng)，會導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。stprootprimary命令用來指定當(dāng)前交換機(jī)作為指定生成樹實(shí)例的根橋。undostproot命令用來取消當(dāng)前交換機(jī)作為指定生成樹實(shí)例的根橋資格。stpinstance0rootprimarySTP的交換機(jī)保護(hù)功能1.Root保護(hù)功能STP優(yōu)化-邊緣端口邊緣端口是指不直接與任何交換機(jī)連接，也不通過端口所連接的網(wǎng)絡(luò)間接與任何交換機(jī)相連的端口。用戶如果將某個(gè)端口指定為邊緣端口，那么當(dāng)該端口由阻塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口可以實(shí)現(xiàn)快速遷移，而無需等待延遲時(shí)間。在交換機(jī)沒有開啟BPDU保護(hù)的情況下，如果被設(shè)置為邊緣端口的端口上收到來自其它端口的BPDU報(bào)文，則該端口會重新變?yōu)榉沁吘壎丝?。對于直接與終端相連的端口，請將該端口設(shè)置為邊緣端口，同時(shí)啟動(dòng)BPDU保護(hù)功能。這樣既能夠使該端口快速遷移到轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。STP優(yōu)化-邊緣端口邊緣端口是指不直接與任何交換機(jī)連接，也不邊緣端口配置stpedged-portenable命令用來將當(dāng)前的以太網(wǎng)端口配置為邊緣端口stpedged-portdisable命令用來將當(dāng)前的以太網(wǎng)端口配置為非邊緣端口undostpedged-port命令用來將當(dāng)前的以太網(wǎng)端口恢復(fù)為缺省狀態(tài)，即非邊緣端口。*缺省情況下，交換機(jī)所有以太網(wǎng)端口均被配置為非邊緣端口邊緣端口配置stpedged-portenable命令用STP的交換機(jī)保護(hù)功能2.BPDU保護(hù)功能邊緣端口接收到配置消息后，系統(tǒng)會自動(dòng)將這些端口設(shè)置為非邊緣端口，重新計(jì)算生成樹，這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗?。正常情況下，邊緣端口應(yīng)該不會收到生成樹協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊交換機(jī)，就會引起網(wǎng)絡(luò)震蕩。BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了BPDU保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被MSTP關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。/STP的交換機(jī)保護(hù)功能2.BPDU保護(hù)功能查看STP信息displaystpbrief顯示STP生成樹的簡要狀態(tài)信息。<Sysname>displaystpinstance0interfaceEthernet1/0/1toEthernet1/0/4briefMSTIDPortRoleSTPStateProtection0Ethernet1/0/1ALTEDISCARDINGLOOP0Ethernet1/0/2DESIFORWARDINGNONE0Ethernet1/0/3DESIFORWARDINGNONE0Ethernet1/0/4DESIFORWARDINGNONE查看STP信息displaystpbrief顯示ST第一章VLAN原理及基本配置第二章STP原理及基本配置第三章ACL原理及基本配置第四章設(shè)備管理基本配置第五章常用維護(hù)方法和命令目錄第一章VLAN原理及基本配置目錄ACL訪問控制列表為了過濾通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識別需要過濾的對象。在識別出特定的對象之后，網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過。訪問控制列表（AccessControlList，ACL）就是用來實(shí)現(xiàn)這些功能。ACL通過一系列的匹配條件對數(shù)據(jù)包進(jìn)行分類，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號等。ACL可應(yīng)用在交換機(jī)全局或端口上，交換機(jī)根據(jù)ACL中指定的條件來檢測數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。ACL訪問控制列表為了過濾通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)以太網(wǎng)訪問列表主要作用:在整個(gè)網(wǎng)絡(luò)中分布實(shí)施接入安全性Internet服務(wù)器部門

A部門

BIntranet以太網(wǎng)訪問列表主要作用:在整個(gè)網(wǎng)絡(luò)中分布實(shí)施接入安全性Int訪問控制列表ACL對到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動(dòng)作標(biāo)記訪問列表作用于交換機(jī)的所有端口訪問列表的主要用途：包過濾鏡像流量限制流量統(tǒng)計(jì)分配隊(duì)列優(yōu)先級訪問控制列表ACL對到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動(dòng)流分類通常選擇數(shù)據(jù)包的包頭信息作為流分類項(xiàng)2層流分類項(xiàng)以太網(wǎng)幀承載的數(shù)據(jù)類型源/目的MAC地址以太網(wǎng)封裝格式VlanID入/出端口3/4層流分類項(xiàng)協(xié)議類型源/目的IP地址源/目的端口號DSCP流分類通常選擇數(shù)據(jù)包的包頭信息作為流分類項(xiàng)IP數(shù)據(jù)包過濾IPheaderTCPheaderApplication-levelheaderData應(yīng)用程序和數(shù)據(jù)源/目的端口號源/目的IP地址L3/L4過濾應(yīng)用網(wǎng)關(guān)TCP/IP包過濾元素IP數(shù)據(jù)包過濾IPheaderTCPheaderApp訪問控制列表的構(gòu)成Rule（訪問控制列表的子規(guī)則）Time-range（時(shí)間段機(jī)制）ACL=rules[+time-range]（訪問控制列表由一系列規(guī)則組成，有必要時(shí)會和時(shí)間段結(jié)合）訪問控制列表策略:ACL1策略:ACL2策略:ACL3...策略:ACLN訪問控制列表的構(gòu)成Rule（訪問控制列表的子規(guī)則）訪問控制列時(shí)間段的相關(guān)配置在系統(tǒng)視圖下，配置時(shí)間段:time-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]

在系統(tǒng)視圖下，刪除時(shí)間段:undotime-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]

假設(shè)管理員需要在從2002年12月1日上午8點(diǎn)到2003年1月1日下午18點(diǎn)的時(shí)間段內(nèi)實(shí)施安全策略，可以定義時(shí)間段名為denytime，具體配置如下:[H3C]time-rangedenytimefrom8:0012-01-2002to18:0001-01-2003

時(shí)間段的相關(guān)配置在系統(tǒng)視圖下，配置時(shí)間段:假設(shè)管理員需要在從訪問控制列表的類型2000～2999：表示基本ACL。只根據(jù)數(shù)據(jù)包的源IP地址制定規(guī)則。3000～3999：表示高級ACL（3998與3999是系統(tǒng)為集群管理預(yù)留的編號，用戶無法配置）。根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。4000～4999：表示二層ACL。根據(jù)數(shù)據(jù)包的源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則。5000～5999：表示用戶自定義ACL。以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個(gè)字節(jié)開始與掩碼進(jìn)行“與”操作，將從報(bào)文提取出來的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報(bào)文。訪問控制列表的類型2000～2999：表示基本ACL。只根據(jù)定義訪問控制列表在系統(tǒng)視圖下，定義ACL并進(jìn)入訪問控制列表視圖:acl{numberacl-number|nameacl-namebasic|advanced|interface|link}[match-order{config|auto}]在系統(tǒng)視圖下，刪除ACL:undoacl{numberacl-number|nameacl-name|all}

定義訪問控制列表在系統(tǒng)視圖下，定義ACL并進(jìn)入訪問控制列表基本訪問控制列表的規(guī)則配置在基本訪問控制列表視圖下，配置相應(yīng)的規(guī)則rule[rule-id]{permit|deny}[sourcesource-addrsource-wildcard|any][fragment][time-rangetime-range-name]

在基本訪問控制列表視圖下，刪除一條子規(guī)則undorulerule-id[source][fragment][time-range]基本訪問控制列表的規(guī)則配置在基本訪問控制列表視圖下，配置相應(yīng)高級訪問控制列表的規(guī)則配置在高級訪問控制列表視圖下，配置相應(yīng)的規(guī)則rule[rule-id]{permit|deny}protocol[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-mask|any][soure-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typeicmp-type

icmp-code][established][precedenceprecedence][tostos]|[dscpdscp][fragment][time-rangetime-range-name]

在高級訪問控制列表視圖下，刪除一條子規(guī)則undorulerule-id[source][destination][soure-port][destination-port][precedence][tos]|[dscp][fragment][time-range]

高級訪問控制列表的規(guī)則配置在高級訪問控制列表視圖下，配置相應(yīng)端口操作符及語法TCP/UDP協(xié)議支持的端口操作符及語法操作符及語法含義eqportnumber等于portnumbergtportnumber大于portnumberltportnumber小于portnumberneqportnumber不等于portnumberrangeportnumber1portnumber2介于端口號portnumber1和portnumber2之間端口操作符及語法TCP/UDP協(xié)議支持的端口操作符及語法操作接口訪問控制列表的規(guī)則配置在接口訪問控制列表視圖下，配置相應(yīng)的規(guī)則rule[rule-id]{permit|deny}[interface{interface-name|interface-type

interface-num|any}][time-rangetime-range-name]

在接口訪問控制列表視圖下，刪除一條子規(guī)則undorulerule-id接口訪問控制列表的規(guī)則配置在接口訪問控制列表視圖下，配置相應(yīng)二層訪問控制列表的規(guī)則配置在二層訪問控制列表視圖下，配置相應(yīng)的規(guī)則rule[rule-id]

{permit|deny}[protocol][cosvlan-pri]ingress{{[source-vlan-id][source-mac-addr

source-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}egress{{[dest-mac-addr

dest-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}[time-rangetime-range-name]

在二層訪問控制列表視圖下，刪除一條子規(guī)則undorulerule-id二層訪問控制列表的規(guī)則配置在二層訪問控制列表視圖下，配置相應(yīng)自定義訪問控制列表的規(guī)則配置在自定義訪問控制列表視圖下，配置相應(yīng)的規(guī)則rule[rule-id]{permit|deny}{rule-string

rule-mask

offset}&<1-20>[time-rangetime-range-name]

在自定義訪問控制列表視圖下，刪除一條子規(guī)則undorulerule-id用戶自定義訪問控制列表的數(shù)字標(biāo)識取值范圍為5000～5999自定義訪問控制列表的規(guī)則配置在自定義訪問控制列表視圖下，配置規(guī)則匹配原則一條訪問控制列表往往會由多條規(guī)則組成，這樣在匹配一條訪問控制列表的時(shí)候就存在匹配順序的問題。在華為系列交換機(jī)產(chǎn)品上，支持下列兩種匹配順序：Config：指定匹配該規(guī)則時(shí)按用戶的配置順序（后下發(fā)先生效）Auto：指定匹配該規(guī)則時(shí)系統(tǒng)自動(dòng)排序（按“深度優(yōu)先”的順序）規(guī)則匹配原則一條訪問控制列表往往會由多條規(guī)則組成，這樣在匹配激活訪問控制列表在系統(tǒng)視圖下，激活A(yù)CL:packet-filter{user-group{acl-number|acl-name}[rulerule]|{[ip-group{acl-number|acl-name}[rulerule]][link-group{acl-number|acl-name}[rulerule]]}}

在系統(tǒng)視圖下，取消激活A(yù)CL:undopacket-filter{user-group{acl-number|acl-name}[rulerule]|{[ip-group{acl-number|acl-name}[rulerule]][link-group{acl-number|acl-name}[rulerule]]}}

激活訪問控制列表在系統(tǒng)視圖下，激活A(yù)CL:配置ACL進(jìn)行包過濾的步驟綜上所述，在H3C交換機(jī)上配置ACL進(jìn)行包過濾的步驟如下：配置時(shí)間段（可選）定義訪問控制列表（四種類型：基本、高級、基于接口、基于二層和用戶自定義）激活訪問控制列表配置ACL進(jìn)行包過濾的步驟綜上所述，在H3C交換機(jī)上配置AC訪問控制列表配置舉例一要求配置高級ACL，禁止員工在工作日8:00～18:00的時(shí)間段內(nèi)訪問新浪網(wǎng)站（94）1.定義時(shí)間段[H3C]time-rangetest8:00to18:00working-day2.定義高級ACL3000，配置目的IP地址為新浪網(wǎng)站的訪問規(guī)則。[H3C]aclnumber3000[H3C-acl-adv-3000]rule1denyipdestination940time-rangetest3.在端口Ethernet1/0/15上應(yīng)用ACL3000。[H3C]interfaceEthernet1/0/15[H3C-Ethernet1/0/15]packet-filterinboundip-group3000訪問控制列表配置舉例一要求配置高級ACL，禁止員工在工作日8訪問控制列表配置舉例二配置防病毒ACL1.定義高級ACL3000[H3C]aclnumber3000[H3C-acl-adv-3000]rule1denyudpdestination-porteq335[H3C-acl-adv-3000]rule3denytcpsource-porteq3365[H3C-acl-adv-3000]rule4denyudpsource55destination-porteq38752.在端口Ethernet1/0/1上應(yīng)用ACL3000[H3C-Ethernet1/0/1]packet-filterinboundip-group3000訪問控制列表配置舉例二配置防病毒ACL第一章VLAN原理及基本配置第二章STP原理及基本配置第三章ACL原理及基本配置第四章設(shè)備管理基本配置第五章常用維護(hù)方法和命令目錄第一章VLAN原理及基本配置目錄交換機(jī)管理方式通過Console口進(jìn)行本地登錄通過以太網(wǎng)端口利用Telnet或SSH進(jìn)行本地或遠(yuǎn)程登錄通過Console口利用Modem撥號進(jìn)行遠(yuǎn)程登錄交換機(jī)管理方式通過Console口進(jìn)行本地登錄Telnet配置（2）需要輸入密碼[H3C]user-interfacevty04[H3C-ui-vty0-4]authentication-modepassword[H3C-ui-vty0-4]userprivilegelevel3[H3C-ui-vty0-4]setauthenticationpasswordsimpleh3c（3）需要輸入用戶名和密碼[H3C]user-interfacevty04[H3C-ui-vty0-4]authentication-modescheme[H3C]local-userh3c[H3C-luser-h3c]passwordcipher123456[H3C-luser-h3c]service-typetelnetlevel3（1）不需要輸入用戶名和密碼[H3C]user-interfacevty04[H3C-ui-vty0-4]authentication-modenone[H3C-ui-vty0-4]userprivilegelevel3Telnet配置（2）需要輸入密碼（3）需要輸入用戶名和密碼第一章VLAN原理及基本配置第二章STP原理及基本配置第三章ACL原理及基本配置第四章設(shè)備管理基本配置第五章常用維護(hù)方法和命令目錄第一章VLAN原理及基本配置目錄故障排除常用方法分層故障排除法分塊故障排除法分段故障排除法替換法故障排除常用方法分層故障排除法分層故障排除法。。。。物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層所有的技術(shù)都是分層的！關(guān)注電纜、連接頭、信號電平、編碼、時(shí)鐘和組幀

關(guān)注封裝協(xié)議和相關(guān)參數(shù)、鏈路利用率等關(guān)注地址分配、路由協(xié)議參數(shù)等分層故障排除法。。。。物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層所有的技分塊故障排除法配置文件分為以下部分：管理部分（路由器名稱、口令、服務(wù)、日志等）端口部分（地址、封裝、cost、認(rèn)證等）路由協(xié)議部分（靜態(tài)路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制臺、Telnet登錄或啞終端、撥號等）其他應(yīng)用部分（語言配置、VPN配置、Qos配置等）分塊故障排除法配置文件分為以下部分：分段故障排除法網(wǎng)絡(luò)分為若干段，逐段測試，縮小故障范圍，逐段定位網(wǎng)絡(luò)故障，并排除。中繼線路ModemModemModemModemDDN節(jié)點(diǎn)DDN節(jié)點(diǎn)分段故障排除法網(wǎng)絡(luò)分為若干段，逐段測試，縮小故障范圍，逐段定常用命令（1）displayversion命令用來顯示系統(tǒng)的版本信息。用戶可以通過該命令查看軟件的版本信息、發(fā)布時(shí)間、交換機(jī)的基本硬件配置等信息。<Sysname>displayversionH3CComwarePlatformSoftwareComwareSoftware,Version3.10,Test1545Copyright(c)2004-2007HangzhouH3CTechnologiesCo.,Ltd.Allrightsreserved.S3600-52P-EIuptimeis0week,0day,23hours,15minutes

S3600-52P-EIwith1Processor64MbytesDRAM16384KbytesFlashMemoryConfigRegisterpointstoFLASH

HardwareVersionisREV.CCPLDVersionisCPLD001BootromVersionis510[Subslot0]48FEHardwareVersionisREV.C[Subslot1]4GEHardwareVersionisREV.C常用命令（1）displayversion命令用來顯示系統(tǒng)常用命令（2）displaycurrent-configuration命令用來顯示交換機(jī)當(dāng)前的配置。當(dāng)用戶完成一組配置之后，需要驗(yàn)證配置是否生效，則可以執(zhí)行displaycurrent-configuration命令來查看當(dāng)前生效的參數(shù)。注意：*如果當(dāng)前配置的參數(shù)與缺省參數(shù)相同，則不予顯示；*對于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對應(yīng)的功能沒有生效，則不予顯示。常用命令（2）displaycurrent-configu常用命令（3）displaythis命令用來顯示當(dāng)前視圖下的運(yùn)行配置。當(dāng)用戶在某一視圖下完成一組配置之后，需要驗(yàn)證配置是否生效，則可以執(zhí)行displaythis命令來查看所在視圖下當(dāng)前生效的配置參數(shù)。注意：*對于已經(jīng)生效的配置參數(shù)如果與缺省工作參數(shù)相同，則不顯示；*對于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對應(yīng)的功能沒有生效，則不予顯示；*在任意一個(gè)用戶界面視圖或VLAN視圖下執(zhí)行此命令，將會顯示所有用戶界面或VLAN下生效的配置參數(shù)。常用命令（3）displaythis命令用來顯示當(dāng)前視圖下網(wǎng)絡(luò)連通性測試命令操作命令說明檢查IP網(wǎng)絡(luò)中的指定地址是否可達(dá)ping[ip][-a

source-ip|-c

count|-f|-h

ttl|-i

interface-typeinterface-number|-m

interval|-n|-p

pad|-q|-r|-s

packet-size|-t

timeout|-tos

tos|-v|-vpn-instancevpn-instance-name]*remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv4時(shí)使用可在任意視圖下執(zhí)行pingipv6[-a

source-ipv6|-c

count|-m

interval|-s

packet-size|-t

timeout]*remote-system[-i

interface-typeinterface-number]可選網(wǎng)絡(luò)層協(xié)議為IPv6時(shí)使用可在任意視圖下執(zhí)行查看當(dāng)前設(shè)備到目的設(shè)備的路由tracert[-a

source-ip|-f

first-ttl|-m

max-ttl|-p

port|-q

packet-number|-vpn-instance

vpn-instance-name|-w

timeout]*remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv4時(shí)使用可在任意視圖下執(zhí)行tracertipv6[-f

first-ttl|-m

max-ttl|-p

port|-q

packet-number|-w

timeout]*remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv6時(shí)使用可在任意視圖下執(zhí)行網(wǎng)絡(luò)連通性測試命令操作命令說明檢查IP網(wǎng)絡(luò)中的指定地址是否可ping命令參數(shù)（1）ip：支持IPv4協(xié)議。-a

source-ip：指定ICMP回顯請求報(bào)文中的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。-c

count：指定發(fā)送ICMP回顯請求報(bào)文的數(shù)目，取值范圍為1～4294967295，缺省值為5。-f：將長度大于接口MTU的報(bào)文直接丟棄，即不允許對發(fā)送的ICMP回顯請求報(bào)文進(jìn)行分片。-h

ttl：指定ICMP回顯請求報(bào)文中的TTL值，取值范圍為1～255，缺省值為255。-iinterface-typeinterface-number：指定發(fā)送報(bào)文的接口的類型和編號。在指定出接口的情況下，只能ping直連網(wǎng)段地址。-m

interval：指定發(fā)送ICMP回顯請求報(bào)文的時(shí)間間隔，取值范圍為1～65535，單位為毫秒，缺省值為200毫秒。－如果在timeout時(shí)間內(nèi)收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請求報(bào)文的發(fā)送時(shí)間間隔為報(bào)文的實(shí)際響應(yīng)時(shí)間與interval之和；－如果在timeout時(shí)間內(nèi)沒有收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請求報(bào)文的發(fā)送時(shí)間間隔為timeout與interval之和。-n：不進(jìn)行域名解析。缺省情況下，系統(tǒng)將對hostname進(jìn)行域名解析。ping命令參數(shù)（1）ip：支持IPv4協(xié)議。ping命令參數(shù)-p

pad：指定ICMP回顯請求報(bào)文的填充字節(jié)，格式為16進(jìn)制。比如將“pad”設(shè)置為ff，則報(bào)文將被全部填充為ff。缺省情況下，填充的字節(jié)從0x01開始，逐漸遞增，直到0x09，然后又從0x01開始循環(huán)填充。-q：除統(tǒng)計(jì)信息外，不顯示其它詳細(xì)信息。缺省情況下，系統(tǒng)將顯示包括統(tǒng)計(jì)信息在內(nèi)的全部信息。-r：記錄路由。缺省情況下，系統(tǒng)不記錄路由。-spacket-size：指定發(fā)送的ICMP回顯請求報(bào)文的長度（不包括IP和ICMP報(bào)文頭），取值范圍為20～8100，單位為字節(jié)，缺省值為56字節(jié)。-ttimeout：指定ICMP回顯應(yīng)答報(bào)文的超時(shí)時(shí)間，取值范圍為1～65535，單位為毫秒，缺省值為2000毫秒。-tos

tos：指定ICMP回顯請求報(bào)文中的ToS（TypeofService，服務(wù)類型）域的值，取值范圍為0～255，缺省值為0。-v：顯示接收到的非回顯應(yīng)答的ICMP報(bào)文。缺省情況下，系統(tǒng)不顯示非回顯應(yīng)答的ICMP報(bào)文。-vpn-instancevpn-instance-name：指定MPLSVPN的實(shí)例名稱，是一個(gè)長度為1～31個(gè)字符的字符串，不區(qū)分大小寫。remote-system：目的設(shè)備的IP地址或主機(jī)名（主機(jī)名為1～20個(gè)字符的字符串）。ping命令參數(shù)-ppad：指定ICMP回顯請求報(bào)文的填充ping命令用來檢查指定IP地址是否可達(dá)，并輸出相應(yīng)的統(tǒng)計(jì)信息。

[H3C]pingPING:56databytes,pressCTRL_CtobreakReplyfrom:bytes=56Sequence=0ttl=255time=31msReplyfrom:bytes=56Sequence=1ttl=255time=31msReplyfrom:bytes=56Sequence=2ttl=255time=32msReplyfrom:bytes=56Sequence=3ttl=255time=31msReplyfrom:bytes=56Sequence=4ttl=255time=31ms---pingstatistics---

5packetstransmitted5packetsreceived0.00%packetlossround-tripmin/avg/max=31/31/32msping命令用來檢查指定IP地址是否可達(dá)，并輸出相應(yīng)的統(tǒng)計(jì)信tracert命令參數(shù)-a

source-ip：指明tracert報(bào)文的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。-ffirst-ttl：指定一個(gè)初始TTL，即第一個(gè)報(bào)文所允許的跳數(shù)。取值范圍為1～255，且小于最大TTL，缺省值為1。-mmax-ttl：指定一個(gè)最大TTL，即一個(gè)報(bào)文所允許的最大跳數(shù)。取值范圍為1～255，且大于初始TTL，缺省值為30。-pport：指明目的設(shè)備的UDP端口號，取值范圍為1～65535，缺省值為33434。用戶一般不需要更改此選項(xiàng)。-q

packet-number：指明每次發(fā)送的探測報(bào)文個(gè)數(shù)，取值范圍為1～65535，缺省值為3。-vpn-instance

vpn-instance-name：指定MPLSVPN的實(shí)例名稱，是一個(gè)長度為1～31個(gè)字符的字符串。-wtimeout：指定等待探測報(bào)文響應(yīng)的報(bào)文的超時(shí)時(shí)間，取值范圍是1～65535，單位為毫秒，缺省值為5000毫秒。remote-system：目的設(shè)備的IP地址或主機(jī)名（主機(jī)名是長度為1～20的字符串）。tracert命令參數(shù)-asource-ip：指明tractracert命令用來查看IPv4報(bào)文從當(dāng)前設(shè)備傳到目的設(shè)備所經(jīng)過的路徑。<Sysname>tracert15tracerouteto15(15)30hopsmax,40bytespacket,pressCTRL_Ctobreak110ms10ms10ms219ms19ms19ms339ms19ms19ms4319ms39ms39ms5220ms39ms39ms659ms119ms39ms759ms59ms39ms8380ms79ms99ms9139ms139ms159ms10199ms180ms300ms117300ms239ms239ms12***132259ms499ms279ms14***15***16***17***1815339ms279ms279mstracert命令用來查看IPv4報(bào)文從當(dāng)前設(shè)備傳到目的設(shè)備displayinterface（1）<Sysname>displayinterfaceethernet1/0/1Ethernet1/0/1currentstate:DOWNIPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis0012-a990-2240Mediatypeistwistedpair,loopbacknotsetPorthardwaretypeis100_BASE_TX100Mbps-speedmode,full-duplexmodeLinkspeedtypeisforcelink,linkduplextypeisforcelinkFlow-controlisenabledTheMaximumFrameLengthis9216BroadcastMAX-pps:500UnicastMAX-ratio:100%MulticastMAX-ratio:100%AllowjumboframetopassPVID:1Mditype:auto

Portlink-type:accessTaggedVLANID:noneUntaggedVLANID:1displayinterface（1）<Sysname>displayinterface（2）

Last300secondsinput:0packets/sec0bytes/secLast300secondsoutput:0packets/sec0bytes/secInput(total):0packets,0bytes

0broadcasts,0multicasts,0pausesInput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesInput:0inputerrors,0runts,0giants,-throttles,0CRC0frame,-overruns,0aborts,0ignored,-parityerrorsOutput(total):0packets,0bytes

0broadcasts,0multicasts,0pausesOutput(normal):-packets,-bytes-broadcasts,-multicasts,-pausesOutput:0outputerrors,-underruns,-bufferfailures0aborts,0deferred,0collisions,0latecollisions0lostcarrier,-nocarrierdisplayinterface（2）Last300displaymac-address用來顯示MAC地址轉(zhuǎn)發(fā)表的信息，包括MAC地址所對應(yīng)VLAN和以太網(wǎng)端口、地址狀態(tài)（靜態(tài)還是動(dòng)態(tài)）、是否處在老化時(shí)間內(nèi)等信息#顯示MAC地址000f-e20f-0101的信息。<Sysname>displaymac-address000f-e20f-0101MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000f-e20f-01011LearnedEthernet1/0/1AGING#顯示端口Ethernet1/0/4的MAC地址轉(zhuǎn)發(fā)表內(nèi)容。<Sysname>displaymac-addressinterfaceEthernet1/0/4MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000d-88f6-44ba1 LearnedEthernet1/0/4AGING000d-88f7-9f7d1LearnedEthernet1/0/4AGING000d-88f7-b0941LearnedEthernet1/0/4AGING000f-e200-00cc1LearnedEthernet1/0/4AGING000f-e200-22011LearnedEthernet1/0/4AGING000f-e207-f2e01LearnedEthernet1/0/4AGING000f-e209-ecf91LearnedEthernet1/0/4AGING---7macaddress(es)foundonportEthernet1/0/4---displaymac-address用來顯示MAC地址轉(zhuǎn)發(fā)displayarp用來顯示ARP表項(xiàng)<Sysname>displayarpType:S-StaticD-DynamicIPAddressMACAddressVLANIDPortName/ALIDAgingType62000a-000a-0aaaN/AN/AN/AS70000-e8f5-6a4a1Ethernet1/0/213D000014-222c-9d6a1Ethernet1/0/214D5000d-88f6-44c11Ethernet1/0/215D100011-4301-991e1Ethernet1/0/215D20000-e8f5-73ee1Ethernet1/0/216D0014-222c-aa691Ethernet1/0/216D7000d-88f6-379c1Ethernet1/0/217D15000d-88f7-9f7d1Ethernet1/0/218D3000c-760a-172d1Ethernet1/0/218D000f-e280-2b381Ethernet1/0/220D

---11entriesfound---displayarp用來顯示ARP表項(xiàng)S9500常用維護(hù)命令-查看硬件狀態(tài)displaycpu命令用來顯示CPU的使用狀態(tài)#顯示0槽位上CPU的使用狀態(tài)。<Quidway>displaycpuslot0Board0CPUbusystatus:6%inlast5seconds7%inlast1minute12%inlast5minutesdisplaypower命令用來顯示交換機(jī)的電源狀態(tài)#顯示電源狀態(tài)。<Quidway>displaypowerPower1State:AbsentPower2State:NormalPower3State:AbsentS9500常用維護(hù)命令-查看硬件狀態(tài)displaycpu命displaydevice顯示交換機(jī)上各單板（主板和子板）的模塊類型、工作狀態(tài)信息?？梢酝ㄟ^此命令來顯示各單板的模塊類型、工作狀態(tài)信息，這些信息包括物理板號、子物理板號、端口個(gè)數(shù)、PCB版本號、FPGA版本號、硬件版本號、BOOTROM軟件版本號、地址學(xué)習(xí)模式、接口板類型等。<Quidway>displaydeviceSlotNo.BrdTypeBrdStatusSubslotNumSftVer0LSB1SRPBMaster08500-00041NONEAbsentAbsentNone2NONEAbsentAbsentNone3NONEAbsentAbsentNone4NONEAbsentAbsentNone5NONEAbsentAbsentNone6NONEAbsentAbsentNone7NONEAbsentAbsentNonedisplaydevice顯示交換機(jī)上各單板（主板和子板）displayenvironment#顯示設(shè)備環(huán)境信息。<Quidway>displayenvironmentSystemtemperatureinformation(degreecentigrade):----------------------------------------------------BoardTemperatureLowerlimitUpperlimit033104523510654341065displayenvironment#顯示設(shè)備環(huán)境信息。displayfan命令用來顯示交換機(jī)的內(nèi)置風(fēng)扇的工作狀態(tài)信息?？梢酝ㄟ^此命令來顯示風(fēng)扇的工作狀態(tài)是否正常。#顯示風(fēng)扇的工作狀態(tài)。<Quidway>displayfanFan1State:Normaldisplaymemory命令用來顯示交換機(jī)的內(nèi)存使用狀態(tài)。#顯示交換機(jī)0槽位的內(nèi)存使用狀態(tài)。<Quidway>displaymemoryslot0SystemTotalMemory(bytes):197932416TotalUsedMemory(bytes):65234704UsedRate:32%displayfan命令用來顯示交換機(jī)的內(nèi)置風(fēng)扇的工作狀態(tài)告警日志信息查看項(xiàng)目操作指導(dǎo)參考標(biāo)準(zhǔn)系統(tǒng)告警緩沖區(qū)查看displaytrapbuffer正常情況下無嚴(yán)重告警記錄，否則為不正常。系統(tǒng)日志緩沖區(qū)查看displaylogbuffer正常情況下無嚴(yán)重出錯(cuò)日志記錄，否則為不正常。所有系統(tǒng)日志查看displaylog正常情況下無嚴(yán)重告警記錄和嚴(yán)重出錯(cuò)日志，否則為不正常。告警日志信息查看項(xiàng)目操作指導(dǎo)參考標(biāo)準(zhǔn)系統(tǒng)告警緩沖區(qū)查看disH3C交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)課件交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)ISSUE1.0日期：2013.7.1交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn)ISSUE1.0日期：201第一章VLAN原理及基本配置第二章STP原理及基本配置第三章ACL原理及基本配置第四章設(shè)備管理基本配置第五章常用維護(hù)方法和命令目錄第一章VLAN原理及基本配置目錄VLAN的產(chǎn)生原因－廣播風(fēng)暴……廣播傳統(tǒng)的以太網(wǎng)是廣播型網(wǎng)絡(luò)，網(wǎng)絡(luò)中的所有主機(jī)通過HUB或交換機(jī)相連，處在同一個(gè)廣播域中VLAN的產(chǎn)生原因－廣播風(fēng)暴……廣播傳統(tǒng)的以太網(wǎng)是廣播型網(wǎng)絡(luò)通過路由器隔離廣播域路由器……廣播通過路由器隔離廣播域路由器……廣播通過VLAN劃分廣播域BroadcastDomain1VLAN10BroadcastDomain2VLAN20BroadcastDomain3VLAN30市場部工程部財(cái)務(wù)部通過VLAN劃分廣播域BroadcastDomain1B以太網(wǎng)端口的鏈路類型Accesslink：只能允許某一個(gè)VLAN的untagged數(shù)據(jù)流通過。Trunklink：允許多個(gè)VLAN的tagged數(shù)據(jù)流和某一個(gè)VLAN的untagged數(shù)據(jù)流通過。Hybridlink：允許多個(gè)VLAN的tagged數(shù)據(jù)流和多個(gè)VLAN的untagged數(shù)據(jù)流通過。Hybrid端口可以允許多個(gè)VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽，而Trunk端口只允許缺省VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽。三種類型的端口可以共存在一臺設(shè)備上以太網(wǎng)端口的鏈路類型Accesslink：只能允許某一個(gè)VAccessLink和TrunkLinkAccesslinkTrunklinkAccessLink和TrunkLinkAccesslTrunkLink和VLANVLAN10VLAN2VLAN10VLAN3VLAN2VLAN10VLAN5VLAN5VLAN2VLAN5廣播報(bào)文發(fā)送TrunkLinkTrunkLink和VLANVLAN10VLAN2VLANVLAN2VLAN3VLAN3VLAN2帶有VLAN3標(biāo)簽的以太網(wǎng)幀帶有VLAN2標(biāo)簽的以太網(wǎng)幀不帶VLAN標(biāo)簽的以太網(wǎng)幀數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化VLAN2VLAN3VLAN3VLAN2帶有VLAN3標(biāo)簽的VLAN配置命令（1）創(chuàng)建VLAN.vlan

100

(1-4094)刪除VLAN.undo

vlan

100

(1-4094)在VLAN中增加端口.

port

Ethernet

2/0/1在VLAN中刪除端口.

undo

port

Ethernet

2/0/1將端口加入VLAN

port

access

vlan100(1-4094)將端口脫離VLAN undo

port

access

vlan

100

(1-4094)顯示VLAN信息

display

vlan

VLAN

ID

(1-4094)VLAN配置命令（1）創(chuàng)建VLAN.VLAN配置命令（2）定義端口屬性為Trunk.

port

link-type

trunk刪除端口Trunk屬性.

undo

port

link-type定義端口可以傳輸?shù)腣LAN.

port

trunk

permit

vlan

VLANID在VLAN中刪除端口.

undo

port

trunk

permit

vlan

VLANIDVLAN配置命令（2）定義端口屬性為Trunk.配置VLAN虛接口為已存在的VLAN創(chuàng)建對應(yīng)的VLAN接口，并進(jìn)入VLAN接口視圖interfaceVlan-interfacevlan-id刪除一個(gè)VLAN接口

undointerfaceVlan-interface*缺省情況下，在交換機(jī)上不存在VLAN接口*可以通過ipaddress命令配置IP地址，使接口可以為在該VLAN范圍內(nèi)接入的設(shè)備提供基于IP層的數(shù)據(jù)轉(zhuǎn)發(fā)功能*在創(chuàng)建VLAN接口之前，必須先創(chuàng)建對應(yīng)的VLA