华为三层交换机配置步骤(最新修改版0217).doc

华为三层交换机配置步骤一. vlan配置1.建立vlansys /进入特权模式quidwayvlan 1 /建立vlan 1quidwayctrl+z /退出vlan1 到普通模式quidwayvlan 2 /建立vlan 2quidwayctrl+z /退出vlan2 到普通模式【注】划分vlan，并描述vlan 1description local-s3600 /本交换机使用vlan 2description link-to-shanxicentre /陕西省中心vlan 3description link-to-shangjiecentre /商界分中心内部使用2.配置端口加入到vlan quidwayvlan 1 /进入vlan 1quidway-vlan 1port ethernet 0/1 /将端口e0/1加入到vlan1quidway-vlan 1 ctrl+z /退出vlan1 到普通模式quidwayvlan 2 /进入vlan 2quidway-vlan 2port ethernet 0/2 /将端口e0/2加入到vlan2quidway-vlan 2 ctrl+z /退出vlan2 到普通模式3.配置vlan的ip地址quidwayinterface vlan 1 /进入接口视图quidway-vlan-interface1ip address 30 /配置vlan1的ip地址quidway-vlan-interface1 ctrl+z /退出vlan1 到普通模式quidwayinterface vlan 2 /进入接口视图quidway-vlan-interface2ip address /配置vlan2的ip地址quidway-vlan-interface1 ctrl+z /退出vlan2 到普通模式4.配置静态路由quidwayip route-static /静态路由网关5.配置上行端口为trunkquidway -ethernet0/1port link-type trunk /实际当中一般将上行端口设置成trunk属性，允许vlan透传quidway -ethernet0/1port trunk permit vlan all /允许所有的vlan从e0/3端口透传通过，也可以指定具体的vlan值5. 端口汇聚配置(1)进入端口e0/1quidwayinterface ethernet 0/1(2)汇聚端口必须工作在全双工模式quidway -ethernet0/1duplex full(3)汇聚的端口速率要求相同，但不能是自适应quidway -ethernet0/1speed 100(4)进入端口e0/2quidwayinterface ethernet 0/2(5)汇聚端口必须工作在全双工模式quidway -ethernet0/2duplex full(6)汇聚的端口速率要求相同，但不能是自适应quidway -ethernet0/2speed 100(7)根据源和目的mac进行端口选择汇聚quidwaylink-aggregation ethernet 0/1 to ether【补充说明】(1)同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致，即如果主端口为trunk端口，则成员端口也为trunk端口；如主端口的链路类型改为access端口，则成员端口的链路类型也变为access端口。(2)不同的产品对端口汇聚时的起始端口号要求各有不同，请对照操作手册进行配置。6. 系统设置设置系统时间和时区clock time beijing add 8 clock datetime 12:00:00 2005/01/23设置交换机的名称quidwaysysname train-3026-1train-3026-1配置用户登录quidwayuser-interface vty 0 4 quidway-ui-vty0authentication-mode scheme创建本地用户quidwaylocal-user huawei quidway-luser-huaweipassword simple huawei quidway-luser-huawei service-type telnet level 3二、其它需求配置(1) 建立acl定义vlan 2 与vlan 3 之间不能互访acl配置sys /进入特权模式quidwayacl number 3015 /建立acl 编号取为3015,该编号可以任意取quidway-acl-adv-3015rule deny source 55 destination 55 /定义 的ip段不能访问 网段,反之也一样.quidway-acl-adv-3015ctrl+z /退出当前acl 到普通模式sys /进入特权模式quidwayint ethernet0/1 /进入到e0/1端口quidway-gigabitethernet0/1packet-filter inbound ip-group 3015 not-care-for-interface /将定义好的acl 3015下发到整台交换机中,让整台交换机要求建立trunk配置网络环境:6506 g2/0/4多模光口 接 3026 g1/1 多模光口 3026 建立两个 vlan vlan 5 (原来的用户继续使用,即端口9-24)vlan 6 (用于财务1-8口)不允许任何vlan访问vlan 6步骤：6506 上的配置步骤如下：sys /进入特权vlan 5 /建立两个vlan，即3026上所要建立的vlan，必须同名vlan 6 /建立两个vlan，即3026上所要建立的vlan，必须同名int vlan 5 /进入到 vlan 5 ip add /配置 vlan 5 的ip地址int vlan 6 /进入到 vlan 6ip add /配置vlan 6 的 ip地址interface g2/0/4 /进入到端口port link-type trunk /配置端口工作在trunk模式port trunk permit vlan 5 /允许vlan 5通过port trunk permit vlan 6 /允许vlan 6能过speed 1000 /配置速度duplex full /工作模式全双工acl number 3001 /定义一条acl，不允许任何vlan访问vlan 6rule deny ip source any destination 55 /定久任何ip不能访问 网段int g2/0/4 /进入到端口packet-filter inbound ip-group 3001 /将acl应用到端口3026配置步骤如下：sys /进入特权vlan 5 /建立vlan 5,必须和6506上的相同vlan 6 /建立vlan 6,必须和6506上的相同int g1/1 /进入到g1/1口port link-type trunk /配置端口工作在trunk模式port trunk permit vlan 5 /允许vlan 5通过port trunk permit vlan 6 /允许vlan 6能过speed 1000 /配置速度duplex full /工作模式全双工int e0/1 /进入端口port access alvn 6 /将端口添加到vlan 6里int e0/23 /进入端口port access vlan 5 /将端口添加到vlan 5里（2）基于vlan的dhcp server（h3c3600-ei才支持该服务）配置： 5. 在vlan接口10上选择全局地址池方式分配ip地址 switcha-vlan-interface10dhcp select global 6. 创建全局地址池，并命名为”vlan10” switchadhcp server ip-pool vlan10 7. 配置vlan10地址池给用户分配的地址范围以及用户的网关,dns地址 switcha-dhcp-vlan10network mask switcha-dhcp-vlan10gateway-list switcha-dhcp-vlan10dns-list 33 8. 禁止分配给用户的ip switchadhcp server forbidden-ip 3 switchadhcp server forbidden-ip 00 50 9.配置vlan接口通过dhcp方式获取ip（缺省情况下vlan接口不通过dhcp方式获取ip） h3cint vlan 3 h3c-vlan-intterfaceip address dhcp-alloc（2）三层交换机端口隔离（防止arp，灵活隔离端口）2010-05-17 13:01多为quidway s3952p-ei型号交换机，因为交换机版本问题，此交换机设置端口隔离后，无法设置不同隔离组，默认就一个隔离组。这样做端口隔离后，所有端口相互之间都不可以相互访问(即只有同机柜中的服务器可以访问，不同机柜的机器都不可以相互访问)。具体操作如下： interface ethernet 1/0/* -ethernet1/0/*port isolate 即可。 取消隔离命令:undo port isolate 机柜中的普通的交换机灵活隔离端口： 多为 quidway s2126-ei型号交换机。 也可以进行灵活的端口隔离,把经常有问题的发包的机器放在一个vlan组，在这个vlan组中的服务器无法访问同机柜中的其他机器，不在隔离组的可以互访，不受影响。 操作方法如下： vlan 1 # vlan 2 port-isolate enable # interface vlan-interface1 ip address 21 92 # interface aux0/0 # interface ethernet0/1 # interface ethernet0/2 # interface ethernet0/3 # interface ethernet0/4 . interface ethernet0/18 # interface ethernet0/19 # interface ethernet0/20 # interface ethernet0/21 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface ethernet0/22 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface ethernet0/23 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface ethernet0/24 port link-type hybrid port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2 # interface ethernet0/25 port link-type hybrid port hybrid vlan 1 to 2 untagged port-isolate uplink-port vlan 2 # interface null0 # 说明： ethernet0/25 为上联端口。vlan 1 ethernet0/20to ethernet0/24 为vlan2，端口隔离，相互间不能访问，可以与ethernet0/25 通讯 ethernet0/1 到 ethernet0/19 内部端口可以相互访问，同时与e0/25通讯 其中25端口的port-isolate uplink-port vlan 2 这条命令非常重要！ 这样就实现了端口的灵活隔离。建议机房对底层交换机进行设置，后四个端口都隔离出来，发生过arp问题的机器，直接网线接入这个端口。这样以后就算再被入侵，也不会造成arp影响了。 如果需要取消端口隔离，命令如下： edongjyinterface ethernet 0/20 edongjy-ethernet0/20undo port link-type 即可。如何配置一台出厂设置的交换机（适合新手）如何配置一台刚刚出厂的交换机，以h3c s3100接入层交换机为例。先说一下如何把一台交换机恢复到出厂设置。1、删除nvram中的配置文件reset saved-configuration2、重启reboot一台出厂设置的交换机，里面没有任何的配置文件，我们需要做以下配置：1）用console线连接到交换机2）为交换机配置一个名称 sys sysname switch1此处命名为switch13）为交换机配置一个ip地址，这个ip用于以后telnet到交换机交换机为2层设备，只能为交换机的管理vlan配置一个ip地址，默认情况下，管理vlan为vlan 1。inte vlan-inte 1ip add x.x.x.x x.x.x.x undo shut4）建立一条指向网关的默认路由为什么要建立默认路由，默认路由可以理解为默认网关，有了这条路由，其他vlan的pc才可以访问该交换机。 ip route-static x.x.x.x (x.x.x.x为vlan1的网关地址，即三层交换机上vlan1的ip地址)5）建立用户并设置密码 local-user admin pass cipherservice-type telnetlevel 36）开启vty线路，并设置适当的认证模式vty线路是用来提供telnet的，vty线路有多条，编号从0开始。此次以接入层交换机s3100为例，s3100有5条vty 05，为vty线路启用合适的认证方式。 user-interface vty 0 4 authentication-mode scheme (scheme模式要求提供账号和密码)7）配置vlan信息 配置需要的vlan，这里新建vlan2、3、4。并将e1/0/1-e1/0/5加入到vlan2e1/0/6-e1/0/10加入到vlan3e1/0/11-e1/0/15加入到vlan4vlan 2port e1/0/1 to e1/0/5vlan 3port e1/0/6 to e1/0/10vlan 4port e1/0/11 to e1/0/158）配置trunk链路trunk链路承载不同vlan的流量，交换机级联的两个端口必须配置为trunk模式，只有这样vlan的信息才能在整个交换环境中传递。这里假设g1/1/1为交换机堆叠的端口，需配置为trunk模式。inte g1/1/1port link-tpye trunkport trunk permit vlan 2 to 4 (为了避免不必要的带宽的浪费，这里建议写出允许通过的vlan而不是permit all)9）保存并退出详细配置syssysname switch1local-user adminpassword cipher gmbsdbbq=qmaf41!service-type telnetlevel 3interface vlan-interface1ip address ip route-static user-interface vty 0 4authentication-mode schemevlan 2port e1/0/1 to e1/0/5vlan 3port e1/0/6 to e1/0/10vlan 4port e1/0/11 to e1/0/15quitinte g1/1/1port link-tpye trunkport trunk permit vlan 2 to 4 “为什么要建立默认路由，默认路由可以理解为默认网关，有了这条路由，其他vlan的pc才可以访问该交换机。 ip route-static x.x.x.x (x.x.x.x为vlan1的网关地址，即三层交换机上vlan1的ip地址)”我不是很明白这条默认路由和其他vlan pc访问该交换机有什么关系，其他vlan指的是该交换机上的vlan 还是三层交换机的vlan ？ 该交换机上的vlan和三层交换机上的vlan有区别么？管理vlan默认为vlan1，三层上 inte vlan-inte 1 ip add 二层交换机 inte vlan-inte 1 ip add ip route-static 如果没有这条默认路由，那么vlan 2、3、4.。都不可能telnet到交换机。三层上的vlan2和接入层的vlan2是同一vlan，二者没有有任何区别。同一vlan的telnet（这里的ip地址继续用上面我所配的）pc：telnet 交换是根据mac地址转发数据，mac未知，发送arp请求，希望获得的mac泛洪到vlan1所有节点，收到该arp请求，应答已经获悉的mac帧被转发，telnet会话建立。不同的vlan的telnet这里假设是vlan 2 的一台pcinte vlan-inte 2 ip add pc： ip： /24gateway：telnet mac未知，发送arp该arp请求属于vlan 2，无法泛洪到vlan1，收不到的arp应答当数据包不知道如何转发的时候，使用默认路由，也就是网关。向默认网关 发送该telnet数据包该包达到三层交换机，查找vlan间路由信息包被转发到把该包转发到使用默认路由 回包h3c三层交换机配置命令大全2010-05-07 16:16:51 作者：佚名 来源： 浏览次数：448quidwaydis cur ；显示当前配置 quidwaydisplay current-configuration ；显示当前配置 quidwaydisplay interfaces ；quidwaydis cur ；显示当前配置quidwaydisplay current-configuration ；显示当前配置quidwaydisplay interfaces ；显示接口信息quidwaydisplay vlan all ；显示路由信息quidwaydisplay version ；显示版本信息quidwaysuper password ；修改特权用户密码quidwaysysname ；交换机命名quidwayinterface ethernet 0/1 ；进入接口视图quidwayinterface vlan x ；进入接口视图quidway-vlan-interfacexip address ；配置vlan的ip地址quidwayip route-static ；静态路由网关quidwayrip ；三层交换支持quidwaylocal-user ftp 增加用户名quidwayuser-interface vty 0 4 ；进入虚拟终端s3026-ui-vty0-4authentication-mode password ；设置口令模式s3026-ui-vty0-4set authentication-mode password simple 222 ；设置口令s3026-ui-vty0-4user privilege level 3 ；用户级别quidwayinterface ethernet 0/1 ；进入端口模式quidwayint e0/1 ；进入端口模式quidway-ethernet0/1duplex half|full|auto ；配置端口工作状态quidway-ethernet0/1speed 10|100|auto ；配置端口工作速率quidway-ethernet0/1flow-control ；配置端口流控quidway-ethernet0/1mdi across|auto|normal ；配置端口平接扭接quidway-ethernet0/1port link-type trunk|access|hybrid ；设置端口工作模式quidway-ethernet0/1port access vlan 3 ；当前端口加入到vlanquidway-ethernet0/2port trunk permit vlan id|all ；设trunk允许的vlanquidway-ethernet0/3port trunk pvid vlan 3 ；设置trunk端口的pvidquidway-ethernet0/1undo shutdown ；激活端口quidway-ethernet0/1shutdown ；关闭端口quidway-ethernet0/1quit ；返回quidwayvlan 3 ；创建vlanquidway-vlan3port ethernet 0/1 ；在vlan中增加端口quidway-vlan3port e0/1 ；简写方式quidway-vlan3port ethernet 0/1 to ethernet 0/4 ；在vlan中增加端口quidway-vlan3port e0/1 to e0/4 ；简写方式quidwaymonitor-port ；指定镜像端口quidwayport mirror ；指定被镜像端口quidwayport mirror int_list observing-port int_type int_num ；指定镜像和被镜像quidwaydescription string ；指定vlan描述字符quidwaydescription ；删除vlan描述字符quidwaydisplay vlan vlan_id ；查看vlan设置quidwaystp enable|disable ；设置生成树,默认关闭quidwaystp priority 4096 ；设置交换机的优先级quidwaystp root primary|secondary ；设置为根或根的备份quidway-ethernet0/1stp cost 200 ；设置交换机端口的花费quidwaylink-aggregation e0/1 to e0/4 ingress|both ; 端口的聚合quidwayundo link-aggregation e0/1|all ; 始端口为通道号switcha-vlanxisolate-user-vlan enable ；设置主vlanswitchaisolate-user-vlan secondary ；设置主vlan包括的子vlanquidway-ethernet0/2port hybrid pvid vlan ；设置vlan的pvidquidway-ethernet0/2port hybrid pvid ；删除vlan的pvidquidway-ethernet0/2port hybrid vlan vlan_id_list untagged ；设置无标识的vlan如果包的vlan id与pvid一致，则去掉vlan信息. 默认pvid=1。华为3com交换机配置命令讲解教程2010-02-07 09:49:21 作者：佚名 来源： 浏览次数：9661、配置文件相关命令1、配置文件相关命令quidwaydisplay current-configuration ;显示当前生效的配置quidwaydisplay saved-configuration ；显示flash中配置文件，即下次上电启动时所用的配置文件reset saved-configuration ；檫除旧的配置文件reboot ；交换机重启display version ；显示系统版本信息language-mode chinese ；切换到中文模式2、基本配置quidwaysuper password ；修改特权用户密码quidwaysysname ；交换机命名quidwayinterface ethernet 0/1 ；进入接口视图quidwayinterface vlan x ；进入接口视图quidway-vlan-interfacexip address ；配置vlan的ip地址quidwayip route-static ；静态路由网关3、telnet配置quidwayuser-interface vty 0 4 ；进入虚拟终端s3026-ui-vty0-4authentication-mode password ；设置口令模式s3026-ui-vty0-4set authentication-mode password simple 222 ；设置口令s3026-ui-vty0-4user privilege level 3 ；用户级别4、端口配置quidway-ethernet0/1duplex half|full|auto ；配置端口工作状态quidway-ethernet0/1speed 10|100|auto ；配置端口工作速率quidway-ethernet0/1flow-control ；配置端口流控quidway-ethernet0/1mdi across|auto|normal ；配置端口平接扭接quidway-ethernet0/1port link-type trunk|access|hybrid ；设置端口工作模式quidway-ethernet0/1undo shutdown ；激活端口quidway-ethernet0/2quit ；退出系统视图5、链路聚合配置devicea link-aggregation group 1 mode manual ；创建手工聚合组1devicea interface ethernet 1/0/1 ；将以太网端口ethernet1/0/1加入聚合组1devicea-ethernet1/0/1 port link-aggregation group 1devicea-ethernet1/0/1 interface ethernet 1/0/2 ；将以太网端口ethernet1/0/1加入聚合组1devicea-ethernet1/0/2 port link-aggregation group 1devicea link-aggregation group 1 service-type tunnel # 在手工聚合组的基础上创建tunnel业务环回组。devicea interface ethernet 1/0/1 # 将以太网端口ethernet1/0/1加入业务环回组。devicea-ethernet1/0/1 undo stpdevicea-ethernet1/0/1 port link-aggregation group 16、端口镜像quidwaymonitor-port ；指定镜像端口quidwayport mirror ；指定被镜像端口quidwayport mirror int_list observing-port int_type int_num ；指定镜像和被镜像7、vlan配置quidwayvlan 3 ；创建vlanquidway-vlan3port ethernet 0/1 to ethernet 0/4 ；在vlan中增加端口配置基于access的vlanquidway-ethernet0/2port access vlan 3 ；当前端口加入到vlan 注意：缺省情况下，端口的链路类型为access类型，所有access端口均属于且只属于vlan1配置基于trunk的vlanquidway-ethernet0/2port link-type trunk ；设置当前端口为trunkquidway-ethernet0/2port trunk permit vlan id|all ；设trunk允许的vlan 注意：所有端口缺省情况下都是允许vlan1的报文通过的quidway-ethernet0/2port trunk pvid vlan 3 ；设置trunk端口的pvid配置基于hybrid端口的vlanquidway-ethernet0/2port link-type hybrid ;配置端口的链路类型为hybrid类型quidway-ethernet0/2port hybrid vlan vlan-id-list tagged | untagged ;允许指定的vlan通过当前hybrid端口 注意：缺省情况下，所有hybrid端口只允许vlan1通过quidway-ethernet0/2port hybrid pvid vlan vlan-id ;设置hybrid端口的缺省vlan 注意：缺省情况下，hybrid端口的缺省vlan为vlan1vlan描述quidwaydescription string ；指定vlan描述字符quidwaydescription ；删除vlan描述字符quidwaydisplay vlan vlan_id ；查看vlan设置私有vlan配置switcha-vlanxisolate-user-vlan enable ；设置主vlanswitchaisolate-user-vlan secondary ；设置主vlan包括的子vlanquidway-ethernet0/2port hybrid pvid vlan ；设置vlan的pvidquidway-ethernet0/2port hybrid pvid ；删除vlan的pvidquidway-ethernet0/2port hybrid vlan vlan_id_list untagged ；设置无标识的vlan如果包的vlan id与pvid一致，则去掉vlan信息. 默认pvid=1。所以设置pvid为所属vlan id, 设置可以互通的vlan为untagged.1、配置文件相关命令8、stp配置quidwaystp enable|disable ；设置生成树,默认关闭quidwaystp mode rstp ；设置生成树模式为rstpquidwaystp priority 4096 ；设置交换机的优先级quidwaystp root primary|secondary ；设置为根或根的备份quidway-ethernet0/1stp cost 200 ；设置交换机端口的花费mstp配置：# 配置mst域名为info，mstp修订级别为1，vlan映射关系为vlan2vlan10映射到生成树实例1上，vlan20vlan30映射生成树实例2上。 system-viewsysname stp region-configurationsysname-mst-region region-name infosysname-mst-region instance 1 vlan 2 to 10sysname-mst-region instance 2 vlan 20 to 30sysname-mst-region revision-level 1sysname-mst-region active region-configuration9、mac地址表的操作在系统视图下添加mac地址表项quidwaymac-address static | dynamic | blackhole mac-address interface interface-type interface-number vlan vlan-id ；添加mac地址表项在添加mac地址表项时，命令中interface参数指定的端口必须属于vlan参数指定的vlan，否则将添加失败。如果vlan参数指定的vlan是动态vlan，在添加静态mac地址之后，会自动变为静态vlan。在以太网端口视图下添加mac地址表项 quidway-ethernet0/2mac-address static | dynamic | blackhol