8 实验八 交换机应用一.doc

1、第 1 页 共 15 页实验八 交换机应用一一、实验目的1、掌握交换机常用视图间的切换方法；2、掌握交换机端口设置；3、掌握端口聚合（Link Aggregation ）的原理和配置；4、掌握 VLAN 的原理和配置：基本配置、isolate-user-vlan二、实验环境H3C S3600 以太网交换机 2 台，PC 机 4 台，标准网线 6 根。实验中两个组合并为 1 个大组（4 人/组） 。组网图在实验步骤中给出。三、实验步骤（一）交换机的命令行视图间的切换H3C 交换机提供多种命令行视图方式，方便管理员对交换机进行配置。在系统视图下，可以键入不同的命令进入相应的视图。如下表：视图 功能

2、 提示符 进入命令 退出命令用户视图 查看交换机的简单运行状态和统计信息 与交换机建立连接即进入 quit 断开与交换机连接系统视图 配置系统参数 H3C 在用户视图下键入 system-view quit 或 return 返回用户视图H3C-Ethernet1/0/1百兆以太网端口视图在系统视图下键入 interface ethernet 1/0/1以太网端口视图 配置以太网端口参数H3C-GigabitEthernet1/1/1千兆以太网端口视图在系统视图下键入 interface gigabitethernet 1/1/1quit 返回系统视图return 返回用户视图VLAN 视图

3、配置 VLAN 参数 H3C-vlan1 在系统视图下键入 vlan 1quit 返回系统视图return 返回用户视图VLAN 接口视图配置 VLAN 和 VLAN汇聚对应的 IP 接口参数H3C-Vlan-interface1 在系统视图下键入 interface vlan-interface 1quit 返回系统视图return 返回用户视图LoopBack 接口视图配置 LoopBack 接口参数 H3C-LoopBack0在系统视图下键入 interface loopback 0quit 返回系统视图return 返回用户视图第 2 页 共 15 页视图 功能 提示符 进入命令 退出

4、命令本地用户视图 配置本地用户参数 H3C-luser-user1在系统视图下键入 local-user user1quit 返回系统视图return 返回用户视图用户界面视图 配置用户界面参数 H3C-ui0在系统视图下键入 user-interface 0quit 返回系统视图return 返回用户视图FTP Client 视图配置 FTP Client 参数 ftp 在用户视图下键入 ftp quit 返回用户视图SFTP Client 视图配置 SFTP Client 参数 sftp-client 在系统视图下键入 sftp 10.1.1.1 quit 返回用户视图MST 域视图 配置

5、 MST 域的参数 H3C-mst-region在系统视图下键入 stp region-configurationquit 返回系统视图return 返回用户视图集群视图 配置集群参数 H3C-cluster 在系统视图下键入 clusterquit 返回系统视图return 返回用户视图公共密钥视图配置 SSH 用户的RSA 公共密钥 H3C-rsa-public-key在系统视图下键入 rsa peer-public-key a003peer-public-key end 返回系统视图公共密钥编辑视图编辑 SSH 用户的RSA 公共密钥 H3C-rsa-key-code在公共密钥视图下键入

6、 public-key-code beginpublic-key-code end 返回公共密钥视图DHCP地址池视图配置 DHCP 地址池参数 H3C-dhcp-pool-a123在系统视图下键入 dhcp server ip-pool a123quit 返回系统视图return 返回用户视图PIM 视图 配置 PIM 参数 H3C-pim 在系统视图下键入 pimquit 返回系统视图return 返回用户视图RIP 视图 配置 RIP 协议参数 H3C-rip 在系统视图下键入 ripquit 返回系统视图return 返回用户视图OSPF 视图 配置 OSPF 协议参数 H3C-osp

7、f-1 在系统视图下键入 ospfquit 返回系统视图return 返回用户视图OSPF 区域视图配置 OSPF 区域相关的参数 H3C-ospf-1-area-0.0.0.1 在 OSPF 视图下键入 area 1quit 返回 OSPF 视图return 返回用户视图路由策略视图 配置路由策略 H3C-route-policy在系统视图下键入route-policy policy1 permit node 10quit 返回系统视图return 返回用户视图基本ACL 视图定义基本 ACL 的子规则（取值范围为20002999）H3C-acl- basic-2000 在系统视图下键入 a

8、cl number 2000quit 返回系统视图return 返回用户视图第 3 页 共 15 页视图 功能 提示符 进入命令 退出命令高级ACL 视图定义高级 ACL 的子规则（取值范围为30003999）H3C-acl-adv-3000 在系统视图下键入 acl number 3000quit 返回系统视图return 返回用户视图二层ACL 视图定义二层 ACL 的子规则（取值范围为40004999）H3C-acl-ethernetframe-4000在系统视图下键入 acl number 4000quit 返回系统视图return 返回用户视图用户自定义 ACL视图定义用户自定义 A

9、CL的子规则（取值范围为 50005999）H3C-acl-user-5000 在系统视图下键入 acl number 5000quit 返回系统视图return 返回用户视图QoS profile 视图定义 QoS profile H3C-qos-profile-a123 在系统视图下键入 qos-profile a123quit 返回系统视图return 返回用户视图RADIUS方案视图配置 RADIUS 协议参数 H3C-radius-1在系统视图下键入 radius scheme 1quit 返回系统视图return 返回用户视图ISP 域视图配置 ISP 域的相关属性 H3C-isp

10、-在系统视图下键入 domain quit 返回系统视图return 返回用户视图HWPing视图 配置 HWPing 参数 H3C-hwping-a123-a123在系统视图下键入 hwping a123 a123quit 返回系统视图return 返回用户视图HWTACACS 视图配置 HWTACACS 参数 H3C-hwtacacs-a123在系统视图下键入 hwtacacs scheme a123quit 返回系统视图return 返回用户视图MSDP视图 配置 MSDP 参数 H3C-msdp 在系统视图下键入 msdpquit 返回系统视图return 返回用户视图PoE prof

11、ile 视图配置 PoE profile 参数 H3C-poe-profile-a123在系统视图下键入 poe-profile a123quit 返回系统视图return 返回用户视图注意：（1）return 命令也可以用 CtrlZ 来代替。（2）大家应熟悉以下常用视图间的切换：用户视图、系统视图、以太网端口视图、VLAN 视图、VLAN 接口视图、DHCP 地址池视图、基本 ACL 视图、高级 ACL 视图、二层 ACL 视图、用户自定义 ACL 视图等。（二）设置交换机端口 概述H3C S3600 有 48 个固定的 10/100Mbps 自协商以太网端口，编号为 Ethernet 1

12、/0/1Ethernet 1/0/48。还有 4 个千兆 SFP 接口，可以是光口，也可以是电口，面板编号为 4952，设置编号为 GigabitEthernet 1/1/1GigabitEthernet 1/1/4。 组网图第 4 页 共 15 页H 3 C S 3 6 0 0 使用端口配置命令常用的端口配置命令有：description、duplex、speed、flow control、display interface1、description端口描述为交换机端口设置必要的描述，以区分各个端口。要求在端口视图下执行该命令。如system-view.System View: return

13、 to User View with Ctrl+Z.H3Cinterface Ethernet 1/0/1H3C-Ethernet1/0/1description To_Office 该端口连接到办公区2、duplex端口的工作模式交换机的端口工作模式有全双工 full、半双工 half 和自协商 auto 三种。要求在端口视图下执行。格式如下：duplex half|full|auto如：H3C-Ethernet1/0/1duplex auto3、speed 端口速率设置端口工作速度，S3600 交换机支持 10Mb/s、100Mb/s、1000Mb/s如：H3C-Ethernet1/0/1

14、speed 1004、flow-control流量控制启动或停止端口的流量控制。缺省情况下为关闭流量控制。如：H3C-Ethernet1/0/1flow-control开启流量控制H3C-Ethernet1/0/1undo flow-control禁止流量控制5、shutdown/undo shutdown关闭/重启接口H3C-Ethernet1/0/1 shutdown重启接口H3C-Ethernet1/0/1undo shutdown重启接口6、display interface显示当前接口的配置信息如：第 5 页 共 15 页H3C-Ethernet1/0/1quitH3Cdisplay

15、 interface ethernet1/0/1提示：注意观察配置信息中有关 ethernet1/0/1 的端口描述、工作模式、端口速率、流量控制的相关信息。你看到了吗？（三）配置端口聚合（Link Aggregation ） 概述端口聚合也称为端口汇集、链路聚合。端口汇聚是将多个端口汇聚在一起形成一个汇聚组，以实现出/入负荷在汇聚组中各个成员端口中的分担，同时也提供了更高的连接可靠性。按照汇聚方式的不同，端口汇聚可以分为手工汇聚、静态 LACP 汇聚和动态 LACP 汇聚。按照汇聚组类型的不同，端口汇聚组可以分为负载分担汇聚组和非负载分担汇聚组。同一个汇聚组中端口的基本配置必须保持一致，基本

16、配置主要包括 STP（生成树协议）、QoS（服务质量）、VLAN、端口属性等相关配置。（1）STP 配置包括：端口的 STP 使能/ 关闭、与端口相连的链路属性（如点对点或非点对点）、STP 优先级、STP 开销、STP 标准报文格式、报文发送速率限制、是否环路保护、是否根保护、是否为边缘端口等。（2）QoS 配置包括：流量限速、优先级标记、缺省的 802.1p 优先级、带宽保证、拥塞避免、流重定向、流量统计等。（3）VLAN 配置包括：端口上允许通过的 VLAN、端口缺省 VLAN ID。（4）端口属性配置包括：对于手工和静态汇聚组，要求端口的链路类型（即Trunk、Hybrid、Acces

17、s 类型）一致；对于动态汇聚组，要求端口的速率、双工模式、链路类型一致。基于 IEEE802.3ad 标准的 LACP（Link Aggregation Control Protocol，链路汇聚控制协议）是一种实现链路动态汇聚与解汇聚的协议。LACP 协议通过 LACPDU（Link Aggregation Control Protocol Data Unit，链路汇聚控制协议数据单元）与对端交互信息。使能某端口的 LACP 协议后，该端口将通过发送 LACPDU 向对端通告自己的系统优先级、系统MAC、端口优先级、端口号和操作 Key。对端接收到这些信息后，将这些信息与其它端口所保存的信息

18、比较以选择能够汇聚的端口，从而双方可以对端口加入或退出某个动态汇聚组达成一致。操作 Key 是在端口汇聚时，系统根据端口的配置（即速率、双工、基本配置、管理 Key）生成的一个配置组合。对于手工汇聚组和静态汇聚组，Selected 的端口有相同的操作 Key。静态汇聚端口在使能 LACP 后，端口的管理 Key 与汇聚组 ID 相同。动态汇聚端口在使能 LACP 协议后，其管理 Key 缺省为零。对于动态汇聚组，同组成员一定有相同的操作 Key。端口聚合的应用场合：交换机之间的连接：汇聚层到核心层交换机、核心层交换机之间交换机与服务器间的连接：集群服务器采用多网卡与交换机连接提供集中访问第 6

19、 页 共 15 页交换机与路由器间的连接：解决广域网与局域网之间的瓶颈服务器与路由器间的连接：集群服务器采用多网卡与交换机连接提供集中访问提示：服务器采用端口汇聚时，需要专用的驱动程序与之配合 组网需求以太网交换机 Switch A 使用 3 个端口（Ethernet1/0/1Ethernet1/0/3 ）汇聚接入以太网交换机Switch B，实现出/入负荷在各成员端口中的负载分担。下面的实际配置中，将采用三种汇聚方式（手工汇聚、静态 LACP 汇聚、动态 LACP 汇聚）分别进行举例 组网图H 3 C S 3 6 0 0 AE 1 / 0 / 1E 1 / 0 / 2E 1 / 0 / 3E

20、 1 / 0 / 1E 1 / 0 / 2E 1 / 0 / 3l i n k - a g g r e g a t i o nH 3 C S 3 6 0 0 BP C - AP C - B 配置步骤注意：为保证配置不受以前的配置影响：（1） 清除原来的配置：reset saved-configuration（2） 重启交换机：reboot1、 配置端口基本参数H3C S3600A 的配置：system-view 进入系统视图H3Cinterface e1/0/1 注意：Ethernet 可简写为 EH3C-Ethernet1/0/1duplex fullH3C-Ethernet1/0/1spe

21、ed 100H3C-Ethernet1/0/1interface e1/0/2H3C-Ethernet1/0/2duplex fullH3C-Ethernet1/0/2speed 100请注释上面三条命令的含义H3C-Ethernet1/0/2 interface e1/0/3H3C-Ethernet1/0/3duplex fullH3C-Ethernet1/0/3speed 100观察配置信息：H3C-Ethernet1/0/3 display current-configurationH3C-Ethernet1/0/3quitH3Cquit第 7 页 共 15 页H3C S3600B 的配

22、置：与 H3C S3600A 相同。2、链路汇聚链路汇聚方式的命令（在系统视图下执行）如下：手工和静态 LACP 链路汇聚方式：link-aggregation group 1 mode manual|static动态 LACP 链路汇聚： 在需要汇聚的端口下执行 lacp enable 命令即可。以下只列出了 H3C S3600A 的配置，H3C S3600B 上应作相应的配置，汇聚才能实际有效。（1）采用手工汇聚方式：# 创建手工汇聚组 1。system-viewH3C link-aggregation group 1 mode manual# 将以太网端口 Ethernet1/0/1 至

23、 Ethernet1/0/3 加入汇聚组 1。H3C interface Ethernet1/0/1H3C-Ethernet1/0/1 port link-aggregation group 1H3C-Ethernet1/0/1 interface Ethernet1/0/2H3C-Ethernet1/0/2 port link-aggregation group 1H3C-Ethernet1/0/2 interface Ethernet1/0/3H3C-Ethernet1/0/3 port link-aggregation group 1观察配置信息：H3C-Ethernet1/0/3 di

24、splay current-configuration删除链路聚合：H3C-Ethernet1/0/3quitH3Cundo link-aggregation all（2）采用静态 LACP 汇聚方式：# 创建静态汇聚组 1。system-viewH3C link-aggregation group 1 mode static# 将以太网端口 Ethernet1/0/1 至 Ethernet1/0/3 加入汇聚组 1。H3C interface Ethernet1/0/1H3C-Ethernet1/0/1 port link-aggregation group 1H3C-Ethernet1/0

25、/1 interface Ethernet1/0/2H3C-Ethernet1/0/2 port link-aggregation group 1H3C-Ethernet1/0/2 interface Ethernet1/0/3H3C-Ethernet1/0/3 port link-aggregation group 1观察配置信息：H3C-Ethernet1/0/3 display current-configuration删除链路聚合：H3C-Ethernet1/0/3quitH3Cundo link-aggregation all（3）采用动态 LACP 汇聚方式：# 开启以太网端口 E

26、thernet1/0/1 至 Ethernet1/0/3 的 LACP 协议。system-viewH3C interface Ethernet1/0/1H3C-Ethernet1/0/1 lacp enableH3C-Ethernet1/0/1 interface Ethernet1/0/2H3C-Ethernet1/0/2 lacp enableH3C-Ethernet1/0/2 interface Ethernet1/0/3H3C-Ethernet1/0/3 lacp enable观察配置信息：H3C-Ethernet1/0/3 display current-configuration

27、删除链路聚合：H3C-Ethernet1/0/3quitH3Cundo link-aggregation all第 8 页 共 15 页注意：只有端口的基本配置、速率、双工等参数一致时，上述端口在开启 LACP 协议之后，才能汇聚到同一个动态汇聚组内，实现端口的负载分担。（四）配置 VLAN VLAN 概述传统的以太网是一个平面网络，网络中的所有主机通过 HUB 或交换机相连，处在同一个广播域中。HUB 是物理层设备，没有交换功能，接收的报文会向所有端口转发；交换机是链路层设备，具备根据报文的目的 MAC 地址进行转发的能力，但在收到广播报文或未知单播报文（报文的目的MAC 地址不在交换机 M

28、AC 地址表中）时，也会向除报文入端口之外的所有端口转发。上述情况使网络中的主机会收到大量并非以自身为目的地的报文，在浪费大量带宽资源的同时，也造成了严重的安全隐患。隔离广播域的传统方法是使用路由器，但是路由器成本较高，而且端口较少，无法划分细致的网络。为解决以太网交换机在 LAN 中无法限制广播的问题，出现了 VLAN（Virtual Local Area Network，虚拟局域网）技术。在下图中，VLAN 把一个物理上的 LAN 划分成多个逻辑上的 LAN，每个 VLAN 是一个广播域。VLAN 内的主机间通信就和在一个 LAN 内一样，而不同 VLAN 内的主机不能直接通信。VLAN

29、VLAN BVLAN VLAN B VLAN VLAN BLAN SwitchLAN SwitchRouterVLAN 的组成不受物理位置的限制。一个 VLAN 可以在一个交换机内，也可以跨越交换机，甚至可以跨越路由器。同一 VLAN 内的各台计算机无须被放置在同一物理空间里，即这些计算机不一定属于同一个物理网段。与传统以太网相比，VLAN 具有如下的优点：（1）广播被限制在一个 VLAN 内，节省了带宽，提高了网络处理能力。（2）增强了 LAN 的安全性。 VLAN 间不能直接通信，即一个 VLAN 内的主机无法直接访问另一个 VLAN 内的资源，如果要访问需要通过路由器或三层交换机等三层设

30、备。（3）减少了用户端的网络配置。使用 VLAN 可以划分不同的用户到不同的虚拟工作组中，当用户的物理位置在 VLAN 覆盖范围内移动时，不需要改变其网络的配置。 VLAN 原理要使交换机能够分辨不同 VLAN 的报文，需要在报文中添加标识 VLAN 的字段。由于交换机工作在第二层（三层交换机不在讨论范围内） ，只能对报文的数据链路层封装进行识别。因此，如果添加识别字段，也需要添加到数据链路层封装中。第 9 页 共 15 页IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 IEEE 802.1Q 协议标准草案，对带有VLAN 标识的报文结构进行了统一规定。传统的以太网数据帧在目

31、的 MAC 地址和源 MAC 地址之后封装上层协议的类型字段。如下图所示 Type(2)DA&SA(12) DAT其中 DA 表示目的 MAC 地址，SA 表示源 MAC 地址，Type 表示报文所属协议类型。IEEE 802.1Q 协议规定在目的 MAC 地址和源 MAC 地址之后封装 4 个字节的 VLAN Tag，用以标识 VLAN 的相关信息。 TPID PrioityCFI VLAN IDVLAN TagDA&SA TyperVLAN Tag 的组成字段如上图所示，VLAN Tag 包含四个字段，分别是 TPID，Priority，CFI 和 VLAN ID。 TPID 用来标识本数

32、据帧是带有 VLAN Tag 的数据，长度为 16bit，在 H3C 系列以太网交换机上默认取值为 0x8100。 Priority 表示 802.1P 的优先级，长度为 3bit，相关内容请参见“QoS&QoS Profile”部分的介绍。 CFI 字段标识 MAC 地址在不同的传输介质中是否以标准格式进行封装，在本章中不进行具体描述，长度 1bit。 VLAN ID 标识该报文所属 VLAN 的编号，长度为 12bit，取值范围为 04095。由于 0和 4095 通常不使用，所以 VLAN ID 的取值范围一般为 14094。交换机利用 VLAN ID 来识别报文所属的 VLAN，当接收

33、到的报文不携带 VLAN Tag 时，交换机会为该报文封装带有接收端口缺省 VLAN ID 的 VLAN Tag，将报文划分到接收端口的缺省 VLAN 中传输。有关端口缺省 VLAN 设置的内容，请参见H3C S3600 系列以太网交换机 操作手册 “端口基本配置”部分的介绍。VLAN 的配置方式有两种 ：基于端口： 基于端口的 VLAN 是最简单的一种 VLAN 划分方法。通过将设备上连接用户的端口划分到不同 VLAN，实现用户间的隔离和虚拟工作组的划分。这种划分方法具有实现简单，易于管理的优点，适用于连接位置比较固定的用户。基于协议：基于协议的 VLAN 也称为协议 VLAN，是区别于基于

34、端口的 VLAN 的另一种VLAN 划分方法。通过配置基于协议的 VLAN，交换机可以分析端口上收到的不携带 VLAN Tag的报文，根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配，自动为匹配成功的报文添加相应的 VLAN Tag，实现将属于指定协议的数据自动分发到相应的 VLAN中传输。此特性主要用于将网络中提供的服务类型与 VLAN 相绑定，方便管理和维护。S3600 系列以太网交换机支持的 以太网端口链路类型有三种 ： Access 类型：端口只能属于 1 个 VLAN，一般用于连接计算机； Trunk 类型：端口可以属于多个 VLAN，可以接收和发送多个 VLAN

35、的报文，一般用于交换机之间的连接；第 10 页 共 15 页 Hybrid 类型：端口可以属于多个 VLAN，可以接收和发送多个 VLAN 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。 说明：Hybrid 端口可以允许多个 VLAN 的报文发送时不打标签，而 Trunk 端口只允许缺省 VLAN 的报文发送时不打标签。三种类型的端口可以共存在一台设备上，但 Trunk 端口和 Hybrid 端口之间不能直接切换，只能先设为 Access 端口，再设置为其他类型端口。例如：Trunk 端口不能直接被设置为 Hybrid 端口，只能先设为 Access 端口，再设置为 Hybrid

36、 端口。对接收报文的处理端口类型 当接收到的报文不带 Tag 时 当接收到的报文带有 Tag 时发送报文时的处理Access端口 当 VLAN ID 与缺省 VLAN ID 相同时：接收该报文 当 VLAN ID 与缺省 VLAN ID 不同时：丢弃该报文由于 VLAN ID 就是缺省 VLAN ID，不用设置，去掉Tag 后发送Trunk 端口 当 VLAN ID 与缺省 VLAN ID 相同时：去掉Tag，发送该报文 当 VLAN ID 与缺省 VLAN ID 不同时：保持原有Tag，发送该报文Hybrid端口接收该报文，并为报文添加缺省VLAN 的 Tag 当 VLAN ID 与缺省 V

37、LAN ID 相同时：接收该报文 当 VLAN ID 与缺省 VLAN ID 不同时，但 VLAN ID 是该端口允许通过的 VLAN ID 时：接收该报文 当 VLAN ID 与缺省 VLAN ID 不同时，且 VLAN ID 是该端口不允许通过的 VLAN ID 时：丢弃该报文 当 VLAN ID 与缺省 VLAN ID 相同时：去掉Tag，发送该报文 当 VLAN ID 与缺省 VLAN ID 不同时，可以通过命令 port hybrid vlan vlan-id-list tagged | untagged 配置该端口是否带有 Tag，发送该报文 组网需求（1） 交换机之间两个端口链路

38、聚合（汇聚） ；（2） 同一个 VLAN 内的 PC 机互通；（3） 不同 VLAN 的 PC 机之间不能通信。 组网图H 3 C s w AE 1 / 0 / 1E 1 / 0 / 2E 1 / 0 / 1E 1 / 0 / 2l i n k - a g g r e g a t i o nH 3 C s w BE 1 / 0 / 9 E 1 / 0 / 1 7E 1 / 0 / 9 E 1 / 0 / 1 7P C - A V L A N 2I P : 1 0 . 1 . 1 . 2 / 2 4P C - B V L A N 3I P : 1 0 . 1 . 2 . 2 / 2 4P C - C V L A N 2I P : 1 0 . 1 . 1 . 3 / 2 4P C - D V L A N 3I P : 1 0 . 1 . 2 . 3 / 2 4注意：图中 IP 地址规划参考实验二作修改（此项作为验收标准）