H3C官方基本配置及网络维护培训ppt课件

1、网络缺点排除目录第一章 VLAN原理及根本配置第二章 ACL原理及根本配置第三章 常用维护方法和命令第四章 案例分析VLAN的产生缘由广播风暴广播传统的以太网是广播型网络，网络中的一切主机经过HUB或交换机相连，处在同一个广播域中经过路由器隔离广播域路由器广播经过VLAN划分广播域Broadcast Domain 1VLAN 10Broadcast Domain 2VLAN 20Broadcast Domain 3VLAN 30市场部工程部财务部以太网端口的链路类型Access link：只能允许某一个VLAN的untagged数据流经过。Trunk link：允许多个VLAN的tagged数

2、据流和某一个VLAN的untagged数据流经过。Hybrid link：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流经过。Hybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN的报文发送时不携带标签。三种类型的端口可以共存在一台设备上Access Link和Trunk LinkAccess linkTrunk linkTrunk Link和VLANVLAN10VLAN2VLAN10VLAN3VLAN2VLAN10VLAN5VLAN5VLAN2VLAN5广播报文发送Trunk LinkVLAN2VLAN3VLAN3VLAN2

3、带有VLAN3标签的以太网帧带有VLAN2标签的以太网帧不带VLAN标签的以太网帧数据帧在网络通讯中的变化第一章 VLAN原理及根本配置第二章 ACL原理及根本配置第三章 常用维护方法和命令第四章 案例分析目录ACL访问控制列表 为了过滤经过网络设备的数据包，需求配置一系列的匹配规那么，以识别需求过滤的对象。在识别出特定的对象之后，网络设备才干根据预先设定的战略允许或制止相应的数据包经过。访问控制列表Access Control List，ACL就是用来实现这些功能。ACL经过一系列的匹配条件对数据包进展分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL可运用在交换机全局或端口上，

4、交换机根据ACL中指定的条件来检测数据包，从而决议是转发还是丢弃该数据包。以太网访问列表主要作用:在整个网络中分布实施接入平安性Internet效力器部门 A部门 BIntranet访问控制列表ACL对到达端口的数据包进展分类，并打上不同的动作标志访问列表作用于交换机的一切端口访问列表的主要用途：包过滤镜像流量限制流量统计分配队列优先级流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型源/目的MAC地址以太网封装格式Vlan ID入/出端口3/4层流分类项协议类型源/目的IP地址源/目的端口号DSCPIP 数据包过滤IP headerTCP headerApplica

5、tion-level headerData运用程序和数据源/目的端口号源/目的IP地址L3/L4过滤运用网关TCP/IP包过滤元素访问控制列表的构成Rule访问控制列表的子规那么Time-range时间段机制ACL=rules + time-range访问控制列表由一系列规那么组成，有必要时会和时间段结合访问控制列表战略:ACL1战略:ACL2战略:ACL3.战略:ACLN时间段的相关配置在系统视图下，配置时间段:time-range time-name start-time to end-time days-of-the-week from start- date to end-date 在

6、系统视图下，删除时间段:undo time-range time-name start-time to end-time days-of-the-week from start- date to end-date 假设管理员需求在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施平安战略，可以定义时间段名为denytime，详细配置如下: Systemtime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003 访问控制列表的类型20002999：表示根本ACL。只根据数据包的源IP地址制定规那么。300039

7、99：表示高级ACL3998与3999是系统为集群管理预留的编号，用户无法配置。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规那么。40004999：表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规那么。50005999：表示用户自定义ACL。以数据包的头部为基准，指定从第几个字节开场与掩码进展“与操作，将从报文提取出来的字符串和用户定义的字符串进展比较，找到匹配的报文。定义访问控制列表 在系统视图下，定义ACL并进入访问控制列表视图:acl number acl-number | name ac

8、l-name basic | advanced | interface | link match-order config | auto 在系统视图下，删除ACL:undo acl number acl-number | name acl-name | all 根本访问控制列表的规那么配置在根本访问控制列表视图下，配置相应的规那么rule rule-id permit | deny source source-addr source-wildcard | any fragment time-range time-range-name 在根本访问控制列表视图下，删除一条子规那么undo rule

9、 rule-id source fragment time-range 高级访问控制列表的规那么配置在高级访问控制列表视图下，配置相应的规那么rule rule-id permit | deny protocol source source-addr source-wildcard | any destination dest-addr dest-mask | any soure-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code established pr

10、ecedence precedence tos tos | dscp dscp fragment time-range time-range-name 在高级访问控制列表视图下，删除一条子规那么undo rule rule-id source destination soure-port destination-port precedence tos | dscp fragment time-range 端口操作符及语法TCP/UDP协议支持的端口操作符及语法操作符及语法含义eq portnumber等于portnumbergt portnumber大于portnumberlt portnum

11、ber小于portnumberneq portnumber不等于portnumberrange portnumber1portnumber2介于端口号portnumber1和portnumber2之间接口访问控制列表的规那么配置在接口访问控制列表视图下，配置相应的规那么rule rule-id permit | deny interface interface-name | interface-type interface-num | any time-range time-range-name 在接口访问控制列表视图下，删除一条子规那么undo rule rule-id二层访问控制列表的规那

12、么配置在二层访问控制列表视图下，配置相应的规那么rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-

13、range time-range-name 在二层访问控制列表视图下，删除一条子规那么undo rule rule-id自定义访问控制列表的规那么配置在自定义访问控制列表视图下，配置相应的规那么rule rule-id permit | deny rule-string rule-mask offset & time-range time-range-name 在自定义访问控制列表视图下，删除一条子规那么undo rule rule-id用户自定义访问控制列表的数字标识取值范围为50005999规那么匹配原那么一条访问控制列表往往会由多条规那么组成，这样在匹配一条访问控制列表的时候就存在匹配顺

14、序的问题。在华为系列交换机产品上，支持以下两种匹配顺序：Config：指定匹配该规那么时按用户的配置顺序后下发先生效Auto：指定匹配该规那么时系统自动排序按“深度优先的顺序激活访问控制列表在系统视图下，激活ACL:packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 在系统视图下，取消激活ACL:undo packet-filter user-group acl-

15、number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 配置ACL进展包过滤的步骤综上所述，在System交换机上配置ACL进展包过滤的步骤如下：配置时间段可选定义访问控制列表四种类型：根本、高级、基于接口、基于二层和用户自定义激活访问控制列表 访问控制列表配置举例一要求配置高级ACL，制止员工在任务日8:0018:00的时间段内访问新浪网站 61.172.201.194 1. 定义时间段System time-range

16、test 8:00 to 18:00 working-day2.定义高级ACL 3000，配置目的IP地址为新浪网站的访问规那么。System acl number 3000System -acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test3.在端口Ethernet1/0/15上运用ACL 3000。System interface Ethernet 1/0/15System-Ethernet1/0/15 packet-filter inbound ip-group 3000访问控制列表配置举例二配置

17、防病毒ACL1. 定义高级ACL 3000System acl number 3000System -acl-adv-3000 rule 1 deny udp destination-port eq 335System -acl-adv-3000 rule 3 deny tcp source-port eq 3365System -acl-adv-3000 rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 38752. 在端口Ethernet1/0/1上运用ACL 3000System-Ethernet1/0/1 pa

18、cket-filter inbound ip-group 3000第一章 VLAN原理及根本配置第二章 ACL原理及根本配置第三章 常用维护方法和命令第四章 案例分析目录缺点排除常用方法分层缺点排除法 分块缺点排除法 分段缺点排除法 交换法 分层缺点排除法。物 理 层数据链路层网 络 层一切的技术都是分层的！关注电缆、衔接头、信号电平、编码、时钟和组帧 关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等分块缺点排除法配置文件分为以下部分：管理部分路由器称号、口令、效力、日志等端口部分地址、封装、cost、认证等路由协议部分静态路由、RIP、OSPF、BGP、路由引入等战略部分路由

19、战略、战略路由、平安配置等接入部分主控制台、Telnet登录或哑终端、拨号等其他运用部分言语配置、VPN配置、Qos配置等 分段缺点排除法网络分为假设干段，逐段测试，减少缺点范围，逐段定位网络缺点，并排除。中继线路ModemModemModemModemDDN节点DDN节点网络连通性测试命令操作命令说明检查IP网络中的指定地址是否可达ping ip -a source-ip | -c count | -f | -h ttl | -i interface-type interface-number | -m interval | -n | -p pad | -q | -r | -s packet

20、-size | -t timeout | -tos tos | -v | -vpn-instance vpn-instance-name * remote-system可选网络层协议为IPv4时使用可在任意视图下执行ping ipv6 -a source-ipv6 | -c count | -m interval | -s packet-size | -t timeout * remote-system -i interface-type interface-number 可选网络层协议为IPv6时使用可在任意视图下执行查看当前设备到目的设备的路由tracert -a source-ip |

21、-f first-ttl | -m max-ttl | -p port | -q packet-number | -vpn-instance vpn-instance-name | -w timeout * remote-system可选网络层协议为IPv4时使用可在任意视图下执行tracert ipv6 -f first-ttl | -m max-ttl | -p port | -q packet-number | -w timeout * remote-system可选网络层协议为IPv6时使用可在任意视图下执行ping命令参数1ip：支持IPv4协议。-a source-ip：指定ICM

22、P回显恳求报文中的源IP地址。该地址必需是设备上已配置的合法IP地址。-c count：指定发送ICMP回显恳求报文的数目，取值范围缺省值为5。-f：将长度大于接口MTU的报文直接丢弃，即不允许对发送的ICMP回显恳求报文进展分片。-h ttl：指定ICMP回显恳求报文中的TTL值，取值范围为1255，缺省值为255。-i interface-type interface-number：指定发送报文的接口的类型和编号。在指定出接口的情况下，只能ping直连网段地址。-m interval：指定发送ICMP回显恳求报文的时间间隔，取值范围为165535，单位为毫秒，缺省

23、值为200毫秒。 假设在timeout时间内收到目的主机的呼应报文，那么下次ICMP回显恳求报文的发送时间间隔为报文的实践呼应时间与interval之和； 假设在timeout时间内没有收到目的主机的呼应报文，那么下次ICMP回显恳求报文的发送时间间隔为timeout与interval之和。 -n：不进展域名解析。缺省情况下，系统将对hostname进展域名解析。ping命令参数-p pad：指定ICMP回显恳求报文的填充字节，格式为16进制。比如将“pad设置为ff，那么报文将被全部填充为ff。缺省情况下，填充的字节从0 x01开场，逐渐递增，直到0 x09，然后又从0 x01开场循环填充。

24、-q：除统计信息外，不显示其它详细信息。缺省情况下，系统将显示包括统计信息在内的全部信息。-r：记录路由。缺省情况下，系统不记录路由。-s packet-size：指定发送的ICMP回显恳求报文的长度不包括IP和ICMP报文头，取值范围为208100，单位为字节，缺省值为56字节。-t timeout：指定ICMP回显应对报文的超时时间，取值范围为165535，单位为毫秒，缺省值为2000毫秒。-tos tos：指定ICMP回显恳求报文中的ToSType of Service，效力类型域的值，取值范围为0255，缺省值为0。-v：显示接纳到的非回显应对的ICMP报文。缺省情况下，系统不显示非回

25、显应对的ICMP报文。-vpn-instance vpn-instance-name：指定MPLS VPN的实例称号，是一个长度为131个字符的字符串，不区分大小写。remote-system：目的设备的IP地址或主机名主机名为120个字符的字符串。 ping命令用来检查指定IP地址能否可达，并输出相应的统计信息。 systemeping 11.1.1.1 PING 11.1.1.1: 56 data bytes, press CTRL_C to break Reply from 11.1.1.1: bytes=56 Sequence=0 ttl=255 time = 31 ms Reply

26、from 11.1.1.1: bytes=56 Sequence=1 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=255 time = 32 ms Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=255 time = 31 ms - 11.1.1.1 ping statistics - 5 packets transmitted 5 packe

27、ts received 0.00% packet loss round-trip min/avg/max = 31/31/32 mstracert命令参数-a source-ip：指明tracert报文的源IP地址。该地址必需是设备上已配置的合法IP地址。-f first-ttl：指定一个初始TTL，即第一个报文所允许的跳数。取值范围为1255，且小于最大TTL，缺省值为1。-m max-ttl：指定一个最大TTL，即一个报文所允许的最大跳数。取值范围为1255，且大于初始TTL，缺省值为30。-p port：指明目的设备的UDP端口号，取值范围为165535，缺省值为33434。用户普通不需

28、求更改此选项。-q packet-number：指明每次发送的探测报文个数，取值范围为165535，缺省值为3。-vpn-instance vpn-instance-name：指定MPLS VPN的实例称号，是一个长度为131个字符的字符串。-w timeout：指定等待探测报文呼应的报文的超时时间，取值范围是165535，单位为毫秒，缺省值为5000毫秒。remote-system：目的设备的IP地址或主机名主机名是长度为120的字符串。tracert命令用来查看IPv4报文从当前设备传到目的设备所经过的途径。 tracert 18.26.0.115traceroute to 18.26.0

29、.115(18.26.0.115) 30 hops max,40 bytes packet, press CTRL_C to break1 128.3.112.1 10 ms 10 ms 10 ms2 128.32.210.1 19 ms 19 ms 19 ms3 128.32.216.1 39 ms 19 ms 19 ms4 128.32.23 19 ms 39 ms 39 ms5 128.32.168.22 20 ms 39 ms 39 ms6 128.32.197.4 59 ms 119 ms 39 ms7 131.119.2.5 59 ms 59 ms 39 ms8 129.140.7

30、0.13 80 ms 79 ms 99 ms9 129.140.71.6 ms ms 159 ms10 129.140.81.7 199 ms 180 ms 300 ms11 129.140.72.17 300 ms 239 ms 239 ms12 * * *13 128.121.54.72 259 ms 499 ms 279 ms14 * * *15 * * *16 * * *17 * * *18 18.26.0.115 339 ms 279 ms 279 ms display interface1 display interface ethernet1/0/1 Ethernet1/0/1

31、current state : DOWN IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 0012-a990-2240 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is force link, link duplex type is force link Flow-control is enable

32、d The Maximum Frame Length is 9216 Broadcast MAX-pps: 500 Unicast MAX-ratio: 100% Multicast MAX-ratio: 100% Allow jumbo frame to pass PVID: 1 Mdi type: auto Port link-type: access Tagged VLAN ID : none Untagged VLAN ID : 1display interface2 Last 300 seconds input: 0 packets/sec 0 bytes/sec Last 300

33、seconds output: 0 packets/sec 0 bytes/sec Input(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Input(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC 0 frame, - overruns, 0 aborts, 0 ignored, - parity error

34、s Output(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Output(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Output: 0 output errors, - underruns, - buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions 0 lost carrier, - no carrierdisplay mac-addre

35、ss用来显示MAC地址转发表的信息，包括MAC地址所对应VLAN和以太网端口、地址形状静态还是动态、能否处在老化时间内等信息# 显示MAC地址000f-e20f-0101的信息。 display mac-address 000f-e20f-0101MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e20f-0101 1 Learned Ethernet1/0/1 AGING# 显示端口Ethernet1/0/4的MAC地址转发表内容。 display mac-address interface Ethernet 1/0/4MAC ADDR

36、VLAN ID STATE PORT INDEX AGING TIME(s)000d-88f6-44ba 1 Learned Ethernet1/0/4 AGING000d-88f7-9f7d 1 Learned Ethernet1/0/4 AGING000d-88f7-b094 1 Learned Ethernet1/0/4 AGING000f-e200-00cc 1 Learned Ethernet1/0/4 AGING000f-e200-2201 1 Learned Ethernet1/0/4 AGING000f-e207-f2e0 1 Learned Ethernet1/0/4 AGING000f-e209-ecf9 1 Learned Ethernet1/