收藏 分享(赏)
下载资源 加入VIP,免费下载

华为三层交换机配置步骤解释资料.doc

上传人:精品资料 文档编号:9488675 上传时间:2019-08-09 格式:DOC 页数:8 大小:230KB
下载 相关 举报
华为三层交换机配置步骤解释资料.doc_第1页
第1页 / 共8页
华为三层交换机配置步骤解释资料.doc_第2页
第2页 / 共8页
华为三层交换机配置步骤解释资料.doc_第3页
第3页 / 共8页
华为三层交换机配置步骤解释资料.doc_第4页
第4页 / 共8页
华为三层交换机配置步骤解释资料.doc_第5页
第5页 / 共8页
点击查看更多>>
资源描述

1、华为三层交换机配置步骤 1.给交换机划分 VLANVlan 是虚拟局域网的意思,它相当于一个局域网工作组。“vlan 几”可以理解成编号为几的 vlan,比如 vlan 2 就是编号为 2 的 vlan,只是一个编号而已,并不是说 vlan 2 的网段一定要是 2 网段,vlan 2 的 IP 地址是可以随便设置的。下面我将三层交换机的第 20 个端口添加到 vlan 10 里,步骤如下:A.在交换机里添加 VLAN 10system-view (一般用缩写:sys)Quidway vlan 10 (添加编号为 10 的 vlan)Quidway-vlan10 quit (一般缩写:q)B.设

2、置 vlan 10 的 IP 地址为 192.168.66.66 网关为 255.255.255.0Quidwayinterface vlanif 10 (interface 一般可以缩写为:int ;vlanif 也可以只写 vlan)Quidway-vlanif10 ip address 192.168.66.66 255.255.255.0 (address 缩写 add)Quidway-vlanif10quitC.设定交换机上第 20 个端口模式为 access (默认为 trunk,需在将端口划入 VLAN 前转为 ACCESS)Quidway int gigabitethernet

3、 0/0/20 (gigabitethernet:千兆以太网口)Quidway-GigabitEthernet0/0/20 port link-type access (port:端口)Quidway-GigabitEthernet0/0/20quitD.将第 20 个端口加入到 vlan 10 里Quidway vlan 10Quidway-vlan10 port gigabitethernet 0/0/20 (如果是多个连续端口,用 XX to XX)Quidway-Vlan10 quit这样就是成功的将交换机上的第 20 个端口添加到了编号为 10 的 Vlan 里,划分 VLAN 就是

4、这 4 个步骤,2 个步骤设置 vlan,2 个步骤设置端口。现在可以用网线把交换机的第 20 个端口和电脑网卡连接起来,设置网卡地址为 192.168.66.XX,网关为 192.168.66.66,在 CMD 里 ping192.168.66.66 可以 ping 通。2.删除 vlanA.在系统视图下,用“undo int vlan 2”命令删除 vlan 2 的 3 层口,这样 vlan 2 就没有了,但是划分给 vlan 2 的那些端口依然还处于 vlan 2 里,这时可以将那些端口释放出来,让他们不再属于任何 vlanB.在系统视图下,用“undo vlan 2”命令删除 2 层口

5、,这个命令可以释放那些原先划分给了 vlan 2 的端口,现在它们不属于任何 vlan 了。当然,将交换机上的某个端口更换到某个 vlan 里,是可以直接在 vlan 视图里添加端口的。注意:交换机上的某个端口被设置成了 access 模式,且加入了一个 vlan,要想将这个端口的模式更改为 trunk,直接在端口视图里打上“port link-type trunk”是不行的,会出现 Error: Please renew the default configurations.这时需要先从 VLAN 里删除这个端口,也就是前面说的让这个端口不属于任何 vlan,才能将这个端口设置为 trunk

6、。3.通过端口进行限速现在要对交换机上的第 2 个端口进行限速操作,让通过这个端口的下载速度不超过 128KB/S配置命令说明:Inbound:对入端口报文进行限速Outbound:对出端口报文进行限速sysQuidway int gigabitethernet 0/0/2Quidway-GigabitEthernet0/0/2 qos lr outbound cir 1024 cbs 204800 (1024 代表 1M 的带宽,理论下载速度就是 128KB/S,204800=1024*200,cbs 代表突发信息速率 cir 代表承诺信息速率 )这个命令执行后,端口 2 的下载速度就被限制

7、在 128KB/S 以内,实际测速表明,这个限速数值是该端口数据流量稳定后的速度,它的短暂峰值高出 128KB/S 很多,这个应该是交换机从侦测端口流量到启动限速需要一个过程,下载速度稳定后是在 128KB/S 上下徘徊,效果还是不错的,比路由器限速和限速软件的效果都要好很多,最关键的交换机稳定。注:取消限速方法Quidway-GigabitEthernet0/0/2 undo qos lr outbound4.配置基于地址池的 DHCP 服务器A全局启动 DHCP 服务。sysQuidway dhcp enableB配置 IP 地址池 10 的属性(地址池范围,dns 地址,出口网关,地址池

8、租期)Quidway ip pool 10Info:Its successful to create an IP address pool.Quidway-ip-pool-10 network 192.168.10.0 mask 255.255.255.0Quidway-ip-pool-10 dns-list 202.103.24.68Quidway-ip-pool-10 gateway-list 192.168.10.1Quidway-ip-pool-10 lease day 10Quidway-ip-pool-10 qC将接口 GE0/0/1 加入到 VLAN 10Quidway vlan

9、 10Quidway-vlan10 port gigabitethernet 0/0/1 (如果是多个连续端口,用 XX to XX)Quidway-Vlan10 quitD. 配置 VLANIF10 接口下的客户端从全局地址池中获取 IP 地址Quidwayint vlan 10Quidway-vlanif10 ip add 192.168.10.1 24Quidway-vlanif10 dhcp select globalQuidway-vlanif10 q这时,可以用“dis ip pool”命令查看 IP 地址池配置情况最后可以在电脑上验证是否成功5.telnet 远程登录设置syst

10、em-viewQuidway aaa (进入 aaa 视图)Quidway-aaa local-user tcwq password cipher tcwq (cipher 是暗号的意思,password cipher 就是指密码显示出来的是乱码,在用 dis cur 命令时,看到的密码是乱码)Quidway-aaa local-user tcwq password simple tcwq (simple 是简单的意思,passwor simple:弱口令,可以理解为明文,和 cipher 是相对的,在用 dis cur 命令时,看到的密码是明文)Quidway-aaa local-user

11、tcwq service-type telnet (设置用户 tcwq 的登录方式为 telnet)Quidway-aaa local-user tcwq privilege level 3 (privilege level:权限级别,3 为最高级别,拥有最高权限)Quidway-aaa qQuidwayuser-interface vty 0 4 (vty:虚拟终端,0 4 代表有 0 到 4 一共最多 5 个终端可以同时登录到交换机)Quidway-vty0-4authentication-mode aaa (authentication:认证,验证。验证模式设置为 aaa 模式)Quid

12、way -ui-vty0-4q设置完毕,这时可以在 cmd 里 telnet 网关,即可登录到交换机。下面是 S5324 和 S5700 成功配置 telnet 后的截图注意:当提示验证失败时,将网卡禁用再启用可以解决问题。6.配置 FTP 服务器建立一个 FTP 服务器,用户名为 tcwq,密码为 tcwqsysQuidway ftp server enable (开启 FTP 服务)Quidway aaaQuidway-aaa local-user tcwq password simple tcwqQuidway-aaa local-user tcwq service-type ftpQu

13、idway-aaa local-user tcwq ftp-directory flash:/ (配置 FTP 用户的访问路径,如果不配置这一项,登录时会提示“530 logged incorrect”)Quidway-aaa q这时用网线把电脑网卡和交换机的某个端口相连,电脑 IP 设置为和该端口所在 Vlan 的网关同一网段的地址(如 IP:192.168.1.128,网关:192.168.1.1),在CMD 命令行里输入 FTP 192.168.1.1 即可进入 FTP 的验证界面,输入账号 tcwq,密码 tcwq,即可登录登录到 ftp 后,可以从交换机的 Flash 里下载文件到电

14、脑里(下载的文件所在位置是登录到 ftp 服务器前的盘符,如上图中是从 F 盘根目录登录到 FTP 的,那么文件都会被下载到 F 盘的根目录里),也可以从电脑里选择文件上传到交换机的 Flash 里(速度很快,比串口烧录快多了),还可以删除 flash 里文件ftpdir (查看文件)ftpget vrpcfg.zip (下载文件名为“vrpcfg.zip”的文件)ftpput f:S5700web.zip (将电脑 F 盘里名字为 S5700 的文件夹里的 web.zip 文件上传的交换机的 Flash 里)ftpdelete web.zip (删除文件名为“web.zip”的文件) 7.W

15、EB 网页管理三层交换机可以进行网页管理,前提是 HTTP 服务要开启,且交换机 Flash 里有 web 管理文件并被成功加载。上一步进行了 FTP 服务器配置,如果交换机里没有 ZIP 后缀名的 WEB 管理文件,就需要先用 FTP 把 WEB 管理文件上传到 Flash 里ftp put f:S5700web.zip200 Port command okay.150 Opening ASCII mode data connection for web.zip.226 Transfer complete.显示到这里就说明 web.zip 文件被成功上传到 Flash 里了。 下面就需要在终

16、端或者 telnet 里将刚刚上传的 web.zip 进行加载sysQuidway http server load web.zip (加载 web.zip)接下来就可以开启 HTTP 服务了,在没有加载 web.zip 之前,HTTP 服务是开启不了的Quidway http server enable现在建立一个网管账号,账户名 xiaodong,密码 xiaodongQuidway aaaQuidway-aaa local-user xiaodong password simple xiaodongQuidway-aaa local-user xiaodong service-type

17、httpQuidway-aaa q这时可以在电脑上打开浏览器,输入 192.168.1.1,进入登录验证界面,输入账号 xiaodong,密码 xiaodong,验证码,即可登录。校园网中 NAT 的综合应用介绍了 NAT 特性在校园网中的应用,包括域间 NAT,域内 NAT,内部服务器等。组网需求如 图 1 所示,一个校园网通过 SRG 连接到 Internet。校园内部网络分为三个区域:教学区、宿舍区和图书馆区。业务需求如下: 教学区和宿舍区的主机能够访问 Internet,图书馆区的主机不能访问 Internet。 学校从 ISP 申请了 202.10.10.2/24 和 202.10.

18、10.3/24 两个公网 IP 地址。教学区、宿舍区用户访问 Internet 时,通过 NAPT 实现多个内网 IP 地址映射到同一个公网 IP 地址。 图书馆区设置了 Web 服务器和 FTP 服务器,可以供 Internet 用户和校园网用户访问。用户可以通过 IP 地址 202.10.10.4 访问 Web 服务器;通过 IP 地址 202.10.10.5 访问 FTP 服务器。 网络管理员可以通过 SRG 监控用户访问图书馆区 Web 服务器和 FTP 服务器的情况。图 1 校园网网络部署 配置思路1. 配置 SRG 各接口的 IP 地址,将校园网用户部署在 Trust 区域,外网用

19、户部署在 Untrust 区域。2. 配置域间 NAT,使教学区和宿舍区的用户使用公网 IP 地址访问 Internet。3. 配置内部服务器,使 Internet 用户可以访问图书馆区的服务器。4. 配置域内 NAT,将访问图书馆区服务器的校园网用户的 IP 地址转换为申请的公网 IP 地址,使 SRG 可以监控校园网用户访问图书馆区服务器的情况。操作步骤1. 按照 图 1 配置 SRG 各接口的 IP 地址,把接口 GigabitEthernet 0/0/1 加入 Untrust 安全区域,把接口 GigabitEthernet 0/0/0、GigabitEthernet 5/0/0、Gi

20、gabitEthernet 6/0/0 加入 Trust 安全区域。具体配置过程略。2. 配置域间 NAT。# 创建 ACL 2000,配置源地址为 10.10.0.0/16 和 10.20.0.0/16 的规则。SRG acl 2000SRG-acl-basic-2000 rule permit source 10.10.0.0 0.0.255.255SRG-acl-basic-2000 rule permit source 10.20.0.0 0.0.255.255SRG-acl-basic-2000 quit# 配置 NAT 地址池。SRG nat address-group 0 202

21、.10.10.2 202.10.10.3# 在 Trust 区域和 Untrust 区域域间应用 ACL 2000,允许教学区和宿舍区用户访问 Internet。SRG firewall interzone trust untrustSRG-interzone-trust-untrust packet-filter 2000 outbound# 配置域间 NAT,将 NAT 地址池和 ACL 关联。SRG-interzone-trust-untrust nat outbound 2000 address-group 0SRG-interzone-trust-untrust quit3. 配置内

22、部服务器供 Internet 用户访问。# 配置内部服务器。SRG nat server protocol tcp global 202.10.10.4 www inside 10.30.10.1 80SRG nat server protocol tcp global 202.10.10.5 ftp inside 10.30.10.2 ftp# 创建高级 ACL 3000,配置目的地址为 10.30.10.1 和 10.30.10.2 的规则。SRG acl 3000SRG-acl-adv-3000 rule permit tcp destination 10.30.10.1 0 desti

23、nation-port eq ftpSRG-acl-adv-3000 rule permit tcp destination 10.30.10.2 0 destination-port eq 80SRG-acl-adv-3000 quit配置在 Trust 区域和 Untrust 区域域间应用 ACL 3000,允许 Internet 用户访问 Web 服务器和 FTP 服务器。SRG firewall interzone trust untrustSRG-interzone-trust-untrust packet-filter 3000 inbound# 配置 Trust 区域和 Untr

24、ust 区域的域间开启 FTP 和 HTTP 协议的 ASPF 功能。SRG-interzone-trust-untrust detect ftpSRG-interzone-trust-untrust detect httpSRG-interzone-trust-untrust quit4. 配置内部服务器供内网用户访问。# 创建 ACL 2001,配置源地址为 10.10.0.0/16、10.20.0.0/16 和 10.30.0.0/16 的规则。SRG acl 2001SRG-acl-basic-2001 rule permit source 10.10.0.0 0.0.255.255S

25、RG-acl-basic-2001 rule permit source 10.20.0.0 0.0.255.255SRG-acl-basic-2001 rule permit source 10.30.0.0 0.0.255.255SRG-acl-basic-2001 quit# 在 Trust 区域内配置 NAT,允许校园网用户使用公网地址访问 Web 服务器和 FTP 服务器。SRG firewall zone trustSRG-zone-trust nat 2001 address-group 0说明:域内 NAT 可以与域间 NAT 引用相同的地址池,这里都引用了地址池 0。# 配置

26、 Trust 区域开启 FTP 协议的 ASPF 功能。SRG-zone-trust detect ftpSRG-zone-trust quit5. 配置教学楼的主机的默认网关为 10.10.0.1/16;配置宿舍区的主机的默认网关为 10.20.0.1/16;配置图书馆的主机和服务器的默认网关为10.30.0.1/16。结果验证 在教学区和宿舍区的主机上能够访问 Internet。在 SRG 上执行命令 display firewall session table,查看会话表。display firewall session tableHTTP VPN: public - public 10

27、.10.2.2:1674202.10.10.2:12889202.10.10.5:80 可以看到校园网用户访问 Internet 时,IP 地址转换为公网 IP 地址。 Internet 上的用户可以通过 http:/202.10.10.4 访问图书馆的 Web 服务器,通过 IP 地址 202.10.10.5 访问图书馆的 FTP 服务器。 校园网内的用户可以通过 http:/202.10.10.4 访问图书馆的 Web 服务器,通过 IP 地址 202.10.10.5 访问图书馆的 FTP 服务器。在 SRG 上执行命令 display firewall session table,查看会

28、话表。display firewall session tableHTTP VPN: public - public 10.10.2.3:1903202.10.10.2:31495202.10.10.4:8010.30.10.1:80可以看到校园网内用户通过 IP 地址 202.10.10.4 访问 Web 服务器时,源 IP 地址转换为公网地址。配置脚本SRG 配置脚本:# acl number 2000 rule 0 permit source 10.10.0.0 0.0.255.255 rule 5 permit source 10.20.0.0 0.0.255.255 acl numb

29、er 2001 rule 0 permit source 10.10.0.0 0.0.255.255 rule 5 permit source 10.20.0.0 0.0.255.255 rule 10 permit source 10.30.0.0 0.0.255.255 # acl number 3000 rule 0 permit tcp destination 10.30.10.1 0 destination-port eq ftp rule 5 permit tcp destination 10.30.10.2 0 destination-port eq www # sysname

30、SRG # nat address-group 0 202.10.10.2 202.10.10.3 nat server protocol tcp global 202.10.10.4 www inside 10.30.10.1 www nat server protocol tcp global 202.10.10.5 ftp inside 10.30.10.2 ftp # interface GigabitEthernet0/0/0 ip address 10.10.0.1 255.255.0.0 # interface GigabitEthernet0/0/1 ip address 20

31、2.10.10.1 255.255.255.0 # interface GigabitEthernet5/0/0 ip address 10.20.0.1 255.255.0.0 # interface GigabitEthernet6/0/0 ip address 10.30.0.1 255.255.0.0 # firewall zone trust set priority 85 nat 2001 address-group 0 detect ftp add interface GigabitEthernet0/0/0 add interface GigabitEthernet5/0/0

32、add interface GigabitEthernet6/0/0 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/1 # firewall interzone trust untrust packet-filter 3000 inbound packet-filter 2000 outbound nat outbound 2000 address-group 0 detect ftp detect http # return 限制互访1.配置 ACL 规则 (192.168.1.0 为内网地址与

33、 2 网段通,与 3 网段不通)Switch acl 3001Switch-acl-adv-3001 rule 5 permit ip source 192.168.1.0 0.0.0.255 dest 192.168.2.0 0.0.0.255Switch acl 3002Switch-acl-adv-3002 rule 5 permit ip source 192.168.1.0 0.0.0.255 dest 192.168.3.0 0.0.0.2552.配置流分类在 Switch 上创建流分类 c1、匹配规则分别为 ACL 3001Switch traffic classifier c1

34、Switch-classifier-c1 if-match acl 3001Switch traffic classifier c2Switch-classifier-c1 if-match acl 3002Switch-classifier-c1 quit3.配置流行为# 在 Switch 上创建流行为 b1、Switch traffic behavior b1Switch-behavior-b1 permitSwitch-behavior-b1 quit# 在 Switch 上创建流行为 b2、Switch traffic behavior b2Switch-behavior-b2 den

35、ySwitch-behavior-b2 quit4.配置流策略并应用到接口上# 在 Switch 上创建流策略 p1,将流分类和对应的流行为进行绑定。Switch traffic policy p1Switch-trafficpolicy-p1 classifier c1 behavior b1Switch-trafficpolicy-p1 classifier c2 behavior b2Switch-trafficpolicy-p1 quit# 将流策略 p1 应用到接口 VLAN 10。(接口为数据流进入设备方向)Switch vlan 10Switch-vlan10 traffic-policy p1 inboundSwitch-vlan10 quit

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报