H3C网络设备配置与管理总结性报告

1、H3C 网络设备配置与管理总结性报告网络设备配置与管理总结性报告【任务要求】1、 vlan 的划分2、交换机的基本配置3、跨交换机的vlan 的配置 4、 Vlan 间通信5、动态路由配置6、高级 acl的配置7、Nat协议的配置命令8、Chap验证的配置命令【实训环境】实训设备1台H3CS2126 (SWB)交换机，1台H3CE328 (SWA)交换机；4台计算 机(PC1、PC2、PC3、PC4),安装超级终端程序；2条Cosole电缆(RJ45- DB9 型)； 7 条直通双绞线。实训环境要求按如下拓扑图进行组网连接，要求实现VLAN 间通过单臂路由设置可以进行通信，两路由器间通过 PP

2、P协议连接，并使用CHAP验证。并配置NAT实 现内部网络中的VLAN10可以在每天的08001600可以访问公网PC4的www服 务， VLAN20 可以在每天的16002000进行访问。【实训步骤】基本设置按拓扑图中建立物理连接，并为 PC机配置IP地址与默认网关，并搭建 Web 服务器。交换机 VLAN 配置(划分VLAN 及设置 Trunk 链路)交换机 H3CE328(SWA)配置:systemH3CsysnameSWASWAvlan10SWA-Vlan10portEthernet1/0/5SWA-Vlan10vlan20SWA-Ethernet0/1portlink-typeacc

3、essSWA-Ethernet0/1portaccessvlan20SWA-Ethernet0/1quitSWAinterfaceEthernet1/0/6SWA-Ethernet0/1portlink-typeaccessSWA-Ethernet0/1portaccessvlan20SWA-Ethernet0/1quitSWAinterfaceEthernet1/0/23SWA-Ethernet1/0/23portlink-typetrunkSWA-Ethernet1/0/23porttrunkpermitvlanallSWA-Ethernet1/0/23quit交换机 H3CS2126(S

4、WB)配置:systemH3CsysnameSWBSWBvlan20SWB-Vlan20portEthernet0/6SWB-Vlan20quitSWBinterfaceEthernet0/6SWB-Ethernet0/1portlink-typeaccessSWB-Ethernet0/1portaccessvlan20SWB-Ethernet0/1quitSWBinterfaceEthernet0/23SWB-Ethernet0/23portlink-typetrunkSWB-Ethernet0/23porttrunkpermitvlanallSWB-Ethernet0/23quit单臂路由

5、配置RTA上的配置(设置子接口及其IP地址)systemH3CsysnameRTARTAinterfaceEthernet0/0.10RTA-Ethernet0/0.1vlan-typedot1qvid10RTA-Ethernet0/0.1ipaddress191610.124RTA-Ethernet0/0.1quitRTAinterfaceEthernet0/0.20RTA-Ethernet0/0.2vlan-typedot1qvid20RTA-Ethernet0/0.2ipaddress191620.124RTA-Ethernet0/0.2quitRTA-Ethernet0/20vlan-

6、typedot1qvid20RTA- Ethernet0/20ipaddress191630.124网络路由器配置（为接口添加 IP 地址）由于现实中内网地址无法在公网上进行路由，故在该试验中进行配置时，模拟不对内网网段的接口通告 RIP协议即可。路由器 RTA 上的配置RTAinterfaceSerial0/0RTA-Serial0/0ipaddress519124RTA-Serial0/0quitRTAripRTA-ripnetwork50.0.0路由器 RTB 上的配置 RTBinterfaceSerial0/0RTB-Serial0/0ipaddress519224RTB-Serial

7、0/0interfaceEthernet0/0RTB- Ethernet0/0ipaddress519224RTBripRTB-ripnetwork50.0.0CHAP 验证配置路由器 RTA 配置RTAlocal-userrtbRTA-luser-rtbpasswordsimplefjRTA-luser-rtbservice-typepppRTAinterfaceSerial0/0RTA-Serial0/0link-protocolpppRTA-Serial0/0pppauthentication-modechapRTA-Serial0/0pppchapuserrta路由器 RTB 配置RT

8、Blocal-userrtaRTB-luser-rtapasswordsimplefjRTB-luser-rtaservice- typepppRTBinterfaceSerial0/0RTB-Serial0/0link-protocolpppRTB-Serial0/0pppchapuserrtbNAT 配置RTA 上的配置首先在用户视图下设置时间段time-rangetime_18:00to16:00dailytime-rangetime_216:00to20:00dailyiS 置ACL 规则，并在接口上应用 RTAaclnumber3000RTA-acl-adv-3000rule0per

9、mittcpsource191610.055destination5190.055destination- porteqRTA-acl-adv-3000rule1permittcpsource191620.055destination5190.055destination- porteqRTA-acl-adv-3000rule2permittcpsource191630.055destination5190.055destination- porteqRTA-acl-adv-3000rule3denysourceanydestinationanyRTA-acl-adv-3000quitRTAn

10、ataddress-group15194519RTAinterfaceSerial0/0RTA-Serial0/0natoutbound3000address-group1RTA-Serial0/0quit【测试验证】配置完成后测试pci、pc2、pc3之间可以相互ping通。在8:00到16:00pc1能访问公网web服务器（pc4）。并进入到RTA路由器使用命令“clockdatetime18001/5/201型改路由器系统时间后进行测试可以发现在16:00到20:00之间pc2、pc3能访问web服务器。【实训总结】本次实训需要注意VLAN 间路由与路由的区别。而且必须思路清晰，在想好解

11、决方案后再进行实验，同时实验进行的每一步都要知道是在做什么。出现错误后要使用display、 tarcert、 ping 等命令逐步排错，而不是一出错就清空重配。在本次实训中我满还发现如果在内网网段上发布了RIP协议（即公网路由器有到达内网的动态路由信息），会造成NAT 设置的时间限制不起作用，可能是数据传送时不经过NAT 进行地址转换，而是直接通过路由信息传送。另外，我们也注意到清楚数据发送与接受时经过的路径是很重要的。再结合清晰的拓扑图，在排错中是非常有用的。团队配合，分工明确则可以节省时间。扩展阅读 H3C 配置总结 （第二阶段看）H3c交换机配置命令详解华为3COM交换机配置命令详解1

12、、配置文件相 关命令Quidwaydisplaycurrent-configuration; 显示当前生效的配置Quidwaydisplaysaved-configuration； 显示 flash 中酉己置文件， 即下次上电启动时所用的配置文件resetsaved-configuration 榛除旧的配置文件 reboot；交换机重启displayversion；显示系统版本信息2、基本配置Quidwaysuperpassword;修改特权用户密码Quidwaysysname；交换机命 名Quidwayinterfaceethernet0/1；进入接口视图Quidwayinterfacevl

13、anx ；进入 接口视图Quidway-Vlan-interfacexipaddress10.6125250.O;配置 VLAN 的 IP 地址Quidwayiproute-static10.62;静态路由=网关 3、telnet配置Quidwayuser-interfacevty04 ；进入虚拟终端S3026-ui-vty0-4authentication-modepassworc| 设置口 令模式S3026-ui- vty0-4setauthentication-modepasswordsimple222 设置 口 令S3026-ui-vty0- 4userprivilegelevel3;

14、用户级另4、端口配置Quidway-Ethernet0/1duplexhalf|full|auto ；配置端口工作状态Quidway-Ethernet0/1speed10|100|auto配置端 口 工作速率Quidway-Ethernet0/1flow- control；配置端口流控Quidway-Ethernet0/1mdiacross|auto|normal；配置端口平接扭接Quidway-Ethernet0/1portlink-typetrunk|access|hybrid ；设置端口工作模式Quidway-Ethernet0/1undoshutdown；激活端口 Quidway-Et

15、hernet0/2quit ；退出系统视图5、链路聚合配置DeviceAlink-aggregationgroup1modemanual；创建手工聚合组 1DeviceAinterfaceethernet1/0/1；将以太网端口 Ethernet1/0/1 力口入聚合组 1DeviceA-Ethernet1/0/1portlink-aggregationgroup1DeviceA-Ethernet1/0/1interfaceethernet1/0/2 将以太网端口 Ethernet1/0/1加入聚合组1DeviceA-Ethernet1/0/2portlink-aggregationgroup

16、1DeviceAlink-aggregationgroup1service-typetunnel#ft 手工聚合组的基础上仓 建 Tunnel 业务环回组。DeviceAinterfaceethernet1/0/1#等以太网端口 Ethernet1/0/1 加入业务环回 组。 DeviceA-Ethernet1/0/1undostpDeviceA-Ethernet1/0/1portlink-aggregationgroup16、端口 镜像Quidwaymonitor-port ；指定镜像端口 Quidwayportmirror ；指定被镜像端 口 Quidwayportmirrorint_li

17、stobserving-portint_typeint_num ；指定镜像和被镜像VLAN 配置Quidwayvlan3 ；创建 VLANQuidway-vlan3portethernet0/1toethernet0/4 在 VLAN 中增加端口配置基于access的VLANQuidway-Ethernet0/2portaccessvlan3 当前端口加入到 VLAN注意缺省情况下，端口的链路类型为 Access类型，所有Access端口均属于 且只属于 VLAN1配置基于 trunk 的 VLANQuidway-Ethernet0/2portlink-typetrunk ；设置当前端口为 t

18、runkQuidway-Ethernet0/2porttrunkpermitvlanID|All ；设 trunk 允许的 VLAN注意所有端口缺省情况下都是允许VLAN1 的报文通过的Quidway-Ethernet0/2porttrunkpvidvlan3 ；设置 trunk 端口的 PVID配置基于 Hybrid 端口的 VLANQuidway-Ethernet0/2portlink-typehybrid; 配置端口的链路类型为 Hybrid 类Quidway-Ethernet0/2porthybridvlanvlan-id-listtagged|untagged; 允许指定的VLAN

19、通过当前 Hybrid 端口注意缺省情况下，所有Hybrid 端口只允许VLAN1 通过Quidway-Ethernet0/2porthybridpvidvlanvlan-id; 设置 Hybrid 端口的缺省 VLAN注意缺省情况下， Hybrid 端口的缺省 VLAN 为 VLAN1VLAN 描述Quidwaydescriptionstring ；指定 VLAN 描述字符 Quidwaydescription ；删 除 VLAN 描述字符 Quidwaydisplayvlanvlan_id ；查看 VLAN 设置私有 VLAN 配置SwitchA-vlanxisolate-user-vla

20、nenable；设置主 vlanSwitchAIsolate-user-vlansecondary;设置主 vlan 包括的子 vlanQuidway-Ethernet0/2porthybridpvidvlan ；设置 vlan 的 pvidQuidway-Ethernet0/2porthybridpvid ；删除vlan 的 pvidQuidway-Ethernet0/2porthybridvlanvlan_id_listuntagged;设置无标识的 vlan如果包的 vlanid 与 PVId 一致，则去掉vlan 信息.默认PVID=1 。所以设置PVID为所属vlanid,设置可以互

21、通的vlan为untagged.8 STP配置Quidwaystpenable|disable ；设置生成树,默认关闭Quidwaystpmoderstp；设置生成树模式为 rstpQuidwaystppriority4096 ；设置交换机的优先级 Quidwaystprootprimary|secondary ；设置为根或根的备份Quidway-Ethernet0/1stpcost200；设置交换机端口 的花费MSTP 配置#配置MST 域名为 info ， MSTP 修订级别为 1， VLAN 映射关系为VLAN2VLAN10映射到生成树实例1上，VLAN20VLAN30映射生成树实 例

22、2 上。 system-viewSysnamestpregion-configurationSysname-mst-regionregion-nameinfoSysname-mst-regioninstance1vlan2to10Sysname-mst-regioninstance2vlan20to30Sysname-mst-regionrevision-level1Sysname-mst-regionactiveregion-configuration9、 MAC 地址表的操作在系统视图下添加MAC 地址表项Quidwaymac-addressstatic|dynamic|blackhole

23、mac-addressinterfaceinterface- typeinterface-numbervlanvlan-id;添力口 MAC 地址表项在添加MAC地址表项时，命令中interface参数指定的端口必须属于 vlan 参数指定的 VLAN ，否则将添加失败。如果 vlan 参数指定的 VLAN 是动态 VLAN ，在添加静态MAC 地址之后，会自动变为静态VLAN 。在以太网端口视图下添加MAC 地址表项Quidway-Ethernet0/2mac-addressstatic|dynamic|blackholemac- addressvlanvlan-id在添加 MAC 地址表项

24、时，当前的端口必须属于命令中 vlan 参数指定的VLAN ，否则将添加失败；如果 vlan 参数指定的 VLAN 是动态 VLAN ，在添加静态MAC 地址之后，会自动变为静态VLAN 。Quidwaymac-addresstimeragingage|no-aging；设置 MAC 地址表项的老化 时间注意缺省情况下， MAC 地址表项的老化时间为 300秒，使用参数no-aging时表示不对MAC 地址表项进行老化。MAC 地址老化时间的配置对所有端口都生效，但地址老化功能只对动态的（学习到的或者用户配置可老化的） MAC 地址表项起作用。Quidway-Ethernet0/2mac-ad

25、dressmax-mac-countcoum 设置端 口 最多可以学习到的 MAC 地址数量注意缺省情况下，没有配置对端口学习 MAC 地址数量的限制。反之，如果端口启动了 MAC 地址认证和端口安全功能，则不能配置该端口的最大MAC 地址学习个数。Quidway-Ethernet0/2port-macstart-mac-address 配置以太网端口 MAC 地 址的起始值在缺省情况下，E126/E126A交换机的以太网端口是没有配置 MAC地址 的，因此当交换机在发送二层协议报文（例如 STP）时，由于无法取用发送端 口的 MAC 地址，将使用该协议预置的 MAC 地址作为源地址填充到报文

26、中进行发送。在实际组网中，由于多台设备都使用相同的源MAC 地址发送二层协议报文，会造成在某台设备的不同端口学习到相同 MAC 地址的情况，可能会对MAC 地址表的维护产生影响。Quidwaydisplaymac-address；显示地址表信息Quidwaydisplaymac-addressaging-time；显示地址表动态表项的老化时间Quidwaydisplayport-mac ；显示用户配置的以太网端口 MAC 地址的起始值10、GVRP 配置SwitchAgvrp# 开启全局 GVRPSwitchA-Ethernet1/0/1gvrp# 在以太网端口 Ethernet1/0/1 上

27、开启GVRPSwitchE-Ethernet1/0/1gvrpregistrationfixed|forbidden|normal# 配置 GVRP 端口注册模式缺省为 normalSwitchAdisplaygarpstatisticsinterfaceinterface-list ；显示GARP 统计信息SwitchAdisplaygarptimerinterfaceinterface-list ；显示 GARP 定时器的值SwitchAdisplaygvrpstatisticsinterfaceinterface-list ；显示GVRP 统计信息SwitchAdisplaygvrpst

28、atus ；显示 GVRP 的全局状态信息SwitchAdisplaygvrpstatusresetgarpstatisticsinterfaceinterface-list；清除GARP 统计信息 11、 DLDP 配置SwitchAinterfacegigabitethernet1/1/1#配置端口工作在强制全双工模式，速率为 1000Mbits/s。SwitchA-GigabitEthernet1/1/1duplexfullSwitchA-GigabitEthernet1/1/1speed1000SwitchAdldpenable#ir局开启 DLDP。SwitchAdldpinterv

29、al15# 设置发送 DLDP 报文的时间间隔为 15秒。SwitchAdldpwork-modeenhance|normal# 配置 DLDP 协议的工作模式为加强模式。缺省为 normalSwitchAdldpunidirectional-shutdownauto|manual# 配置 DLDP 单向链路操作模式为自动模式。缺省为 autoSwitchAdisplaydldp1# 查看 DLDP 状态。当光纤交叉连接时，可能有两个或三个端口处于Disable状态，剩余端口处于Inactive状态。当光纤一端连接正确，一端未连接时如果DLDP的工作模式为normal,则有收光的一端处于 Ad

30、vertisement状 态，没有收光的一端处于Inactive状态。如果DLDP的工作模式为enhance则有收光白一端处于 Disable状态，没 有收光的一端处于 Inactive 状态。dldpreset命令在全局下可以重置所有端口的DLDP状态，在接口下可以充值该端口的 DLDP 状态12、端口隔离配置通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层、三层数据的隔离，既增强了网络的安全性，也为用户提供了灵活的组网方案。Sysnameinterfaceethernet1/0/2耨以太网端口 Ethernet1/0/2加入隔离组。 Sysnam

31、e-Ethernet1/0/2portisolateSysnamedisplayisolateport#显示隔离组中的端口信息配置隔离组后，只有隔离组内各个端口之间的报文不能互通，隔离组内端口与隔离组外端口以及隔离组外端口之间的通信不会受到影响。端口隔离特性与以太网端口所属的VLAN 无关。当汇聚组中的某个端口加入或离开隔离组后，本设备中同一汇聚组内的其它端口，均会自动加入或离开该隔离组。对于既处于某个聚合组又处于某个隔离组的一组端口，其中的一个端口离开聚合组时不会影响其他端口，即其他端口仍将处于原聚合组和原隔离组中。如果某个聚合组中的端口同时属于某个隔离组，当在系统视图下直接删除该聚合组后，

32、该聚合组中的端口仍将处于该隔离组中。当隔离组中的某个端口加入聚合组时，该聚合组中的所有端口，将会自动加入隔离组中。13、端口安全配置Switchport-secuhtyenable#启动端 口 安全功能SwitchinterfaceEthernet1/0/1#入以太网 Ethernet1/0/1 端口视图Switch-Ethernet1/0/1port-secuhtymax-mac-count80献置端口 允许接入的最 大 MAC 地址数为 80Switch-Ethernet1/0/1port-secuhtyport-modeautolearn#f己置端 口的安全模式 为 autolearnS

33、witch-Ethernet1/0/1mac-addresssecurity0001-0002-0003vlan1# Host 的MAC 地址0001-0002-0003作为SecurityMAC 添加到 VLAN1 中disableport-temporarily献置 IntrusionProtection 特性被触发后，暂时关闭该端口Switchport-secuhtytimerdisableport30#关闭时间为 30秒。14、端口绑定配 置通过端口绑定特性，网络管理员可以将用户的 MAC 地址和 IP 地址绑定到指定的端口上。进行绑定操作后，交换机只对从该端口收到的指定MAC 地址和

34、IP地址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的监控。 SwitchA-Ethernet1/0/1amuser-bindmac-addr0001-0002-0003ip-addr10.11#等Host1的MAC地址和IP地址绑定到Ethernet1/0/1端口。有的交换机上绑定的配置不一样SwitchAinterfaceethernet1/0/2SwitchA-Ethernet1/0/2user-bindip-address19160.3mac-address0001-0203- 0405端口过滤配置SwitchAinterfaceethernet1/0/1#S己置端口

35、 Ethernet1/0/1 的端 口过滤功能。SwitchA-Ethernet1/0/1ipchecksourceip-addressmac-addressSwitchAdhcp- snooping#FF启 DHCPSnooping 功能。SwitchAinterfaceethernet1/0/2献置与 DHCP 服务器相连的端口Ethernet1/0/2 为信任端口。SwitchA-Ethernet1/0/2dhcp-snoopingtrust在端口 Ethernet1/0/1上启用IP过滤功能，防止客户端使用伪造的不同源 IP地址对服务器进行攻击15、 BFD 配置 SwitchA、 S

36、witchB、 SwitchC 相互可达，在SwitchA上配置静态路由可以到达 SwitchC,并使能BFD检测功能。#在$0计2人上配置静态路由，并使能 BFD检测功能，通过BFDecho报文方式实现 BFD 功能。system-viewSwitchAbfdecho-source-ip121SwitchAinterfacevlan-interface10SwitchA-vlan-interface10bfdmin-echo-receive-interval300SwitchA-vlan-interface10bfddetect-multiplier7SwitchA-vlan-interfa

37、ce10quitSwitchAiproute-static120.12410.100bfdecho-packet#t SwitchA 上打开 BFD 功能调试信息开关。debuggingbfdeventdebuggingbfdscmterminaldebugging在 SwitchA 上可以打开BFD 功能调试信息开关，断开Hub 和 SwitchB 之间的链路，验证配置结果。验证结果显示，SwitchA能够快速感知SwitchA与SwitchB之间链路的变化。16、QinQ配 置ProviderA、 ProviderB 之间通过 Trunk 端口连接， ProviderA 属于运营商网 络的

38、VLAN1000, ProviderB属于运营商网络的 VLAN201*。ProviderA和ProviderB之间，运营商采用其他厂商的设备，TPID值为0 x8200。希望配置完成后达到下列要求CustomerA的VLAN10的报文可以和 CustomerB的VLAN10的报文经过运 营商网络的VLAN1000转发后互通；CustomerA的VLAN20的报文可以和CustomerC的VLAN20的报文经过运营商网络的 VLAN201*转发后互 通。ProviderAinterfaceethernet1/0/1挪己置端口为 Hybrid 端口，且允许 VLAN10 ， VLAN20 ， VLAN1000 和 VLAN201* 的报文通过，并且在发送时去掉 外层 Tag。 ProviderA-Ethernet1/0/1portlink-typehybridProviderA-Ethernet1/0/1porthybridvlan10201*00201*untaggedP