版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1.1以太网端口常用配置1.1.1交换机端口链路类型介绍交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid0Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。其中,Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签;不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。各类型端口使用注意事项配置Trunk端口或Hybrid端口,并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意:本端端口和对端端口的缺省VLANID(端口的PVID)要保持一致。当在交换机上使用isolate-user-vlan来进行二层端口隔离时,参与此配置的端口的链路类型会自动变成Hybrid类型。Hybrid端口的应用比较灵活,主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上,利用Hybrid端口收发报文时的处理机制,来完成对同一网段的PC机之间的二层访问控制。各类型端口在接收和发送报文时的处理1)端口接收报文时的处理:端口接收到的报文•类型报文帧结构中携带VLAN标记报文帧结构中不携带VLAN标记Access端口丢弃该报文为该报文打上VLAN标记为本端口的PVIDTrunk端口判断本端口是否允许携带该VLAN标记的报文通过。如果允许则报文携带原有VLAN标记进行转发,否则丢弃该报文同上Hybrid端口同上同上2)端口发送报文时的处理:Access端口剥掉报文所携带的VLAN标记,进行转发Trunk端口首先判断报文所携带的VLAN标记是否和端口的PVID相等。如果相等,则剥掉报文所携带的VLAN标记,进行转发;否则报文将携带原有的VLAN标记进行转发Hybrid端口首先判断报文所携带的VLAN标记在本端口需要做怎样的处理。如果是untagged方式转发,则处理方式同Access端口;如果是tagged方式转发,则处理方式同Trunk端口1.1.2交换机端口镜像的配置交换机的端口镜像分为两种:端口镜像和流镜像。其中,在所有的交换机设备中:S3X26E只支持流镜像;S3900、S5600、S3552系列交换机即支持流镜像又支持端口镜像;其余的交换机产品只支持端口镜像。对应交换机的不同型号,端口的镜像配置命令也有所区别。其命令配置如下:S2000EI、S2000C系列交换机端口镜像配置流程mirroring-port用来定义镜像端口,monitor-port用来定义监控端口。1) 将端口E0/2配置为监控端口[SwitchA]monitor-portEthernet0/2no-filt2) 将端口E0/1配置为镜像端口[SwitchA]mirroring-portEthernet0/1both【补充说明】支持多对一的端口镜像,但是镜像端口必须与监控端口属于同一个芯片内(每8端口一个芯片)。配置镜像端口时,可以使用参数定义被监控报文的方向。例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。配置监控端口时,可以使用参数定义监控端口类型。例如:参数no-filt,表示监控所有的报文;参数filt-da,表示只监控指定的目的mac地址的报文;参数filt-sa,表示只监控指定的源mac地址的报文。此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI,S2008C、S2016C和S2024C。S3026E、S3526E、S3526系列交换机端口镜像配置流程monitor-port用来定义监控端口;结合acl的配置,在系统视图使用mirroed-to命令,将匹配acl规则的数据报文镜像到监控端口。1) 配置acl,定义符合监控的数据流规则[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressinterfacee0/1egressany[SwitchA-acl-link-4000]rulepermitingressanyegressinterfacee0/12) 将匹配acl规则的报文镜像到监控端口E0/2[SwitchA]mirroed-tolink-group4000interfaceEthernet0/2【补充说明】此系列交换机使用的是流镜像,而非端口镜像。因此,必须结合3^的配置,对匹配了acl规则的报文进行镜像。此系列交换机的具体型号包括:S3026E/C/G/T,S3526E/C,S3026FS/FM,S3526和S3526FS/FM。S3528、S3552系列交换机端口镜像配置流程mirroring-port用来定义镜像端口,monitor-port用来定义监控端口。1) 将端口E0/2配置为监控端口[SwitchA]monitor-portEthernet0/2both2) 将端口E0/1配置为镜像端口[SwitchA]mirroring-portEthernet0/1both【补充说明】配置监控端口时,可以使用参数定义镜像端口所监控的报文方向。例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。此系列交换机的具体型号包括:S3528G/P和S3552G/P/F。S5012、S5024系列交换机端口镜像配置流程mirroring-port用来定义镜像端口,monitor-port用来定义监控端口。1) 将端口E0/2配置为监控端口[SwitchA]monitor-portGigabitEthernet0/22) 将端口E0/1配置为镜像端口[SwitchA]mirroring-portGigabitEthernet0/1both【补充说明】支持多对一的端口镜像。配置镜像端口时,可以使用参数定义被监控报文的方向。例如:参数both,表示同时监控端口的接收和发送报文;参数inbound,表示只监控端口接收的报文;参数outbound,表示只监控端口发送的报文。此系列交换机的具体型号包括:S5012G/T和S5024G。S3900、S5600系列交换机端口镜像配置流程monitor-port用来定义监控端口;结合acl的配置,在以太网物理端口配置视图下使用mirroed-to命令,将匹配acl规则的数据报文镜像到监控端口。或者直接将某物理端口配置为镜像端口。『方法一,流镜像』1) 将端口G1/0/2配置为监控端口[SwitchA]interfaceGigabitEthernet1/0/2[SwitchA-GigabitEthernet1/0/2]monitor-port2) 配置acl,定义符合监控的数据流规则[SwitchA]aclnumber3000[SwitchA-acl-link-3000]rulepermitipsource10.10.1.10destinationany[SwitchA-acl-link-3000]rulepermitipsourceanydestination10.10.1.103) 将经过端口G1/0/1,匹配acl规则的报文镜像到监控端口[SwitchA]interfaceGigabitEthernet1/0/1[SwitchA-GigabitEthernet1/0/1]mirrored-toinboundip-group3000monitor-interface[SwitchA-GigabitEthernet1/0/1]mirrored-tooutboundip-group3000monitor-interface『方法二,端口镜像』1) 将端口G1/0/2配置为监控端口[SwitchA]interfaceGigabitEthernet1/0/2[SwitchA-GigabitEthernet1/0/2]monitor-port2) 将端口G1/0/1配置为镜像端口[SwitchA]interfaceGigabitEthernet1/0/1[SwitchA-GigabitEthernet1/0/1]mirroring-portboth【补充说明】S3900、S5600系列交换机既支持流镜像,又支持端口镜像。此系列交换机的具体型号包括:S3924、S3928P/F/TP和S3952P;S5624P/F和S5648P。6.S6500、S8500系列交换机端口镜像的配置S6500系列交换机采用端口镜像组的方式来配置端口镜像功能。每个端口镜像组包含一个监控端口,和一组被监控端口。最多可以配置二十组端口镜像组。[Quidway]mirroring-group1inboundethernet3/0/1ethernet3/0/2mirrored-toethernet3/0/8[Quidway]mirroring-group2outboundethernet3/0/1ethernet3/0/2mirrored-toethernet3/0/81.1.3交换机端口限速的配置对应交换机的不同型号,限速配置命令也有所区别。其命令配置如下:1.S2000EI系列交换机端口限速配置使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。1)进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12) 对端口E0/1的出方向报文进行流量限速,限制到3Mbps[SwitchA-Ethernet0/1]line-rateoutbound303) 对端口E0/1的入方向报文进行流量限速,限制到1Mbps[SwitchA-Ethernet0/1]line-rateinbound16【补充说明】报文速率限制级别取值为1〜127。如果速率限制级别取值在1〜28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29〜127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EIS2000-SI和S3000-SI系列交换机端口限速配置使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。1) 进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12) 对端口E0/1的出方向报文进行流量限速,限制到6Mbps[SwitchA-Ethernet0/1]line-rateoutbound23) 对端口E0/1的入方向报文进行流量限速,限制到3Mbps[SwitchA-Ethernet0/1]line-rateinbound1【补充说明】对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1〜8,含义为:端口工作在10M速率时,1〜8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1〜8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SIS3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。1) 进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12) 对端口E0/1的出方向报文进行流量限速,限制到3Mbps[SwitchA-Ethernet0/1]line-rate33) 配置acl,定义符合速率限制的数据流4)对端口E0/1的入方向报文进行流量限速,限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为1Mbps。此系列交换机的具体型号包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。4.S3528、S3552系列交换机端口限速配置流程使用以太网物理端口下面的traffic-shape和traffic-limit命令,分别来对该端口的出、入报文进行流量限速。进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/1对端口E0/1的出方向报文进行流量限速,限制到3Mbps[SwitchA-Ethernet0/1]traffic-shape325016配置acl,定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany对端口E0/1的入方向报文进行流量限速,限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceeddrop【补充说明】此系列交换机的具体型号包括:S3528G/P和S3552G/P/FS3552F-HI交换机端口限速配置流程S3552F-HI交换机的端口限速配置命令与S3528系列交换机的配置命令相同,但是限速命令是配置在vlan的视图下的S3900、S5600系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。1) 进入端口E1/0/1的配置视图[SwitchA]interfaceEthernet1/0/12) 对端口E0/1的出方向报文进行流量限速,限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate30003) 配置acl,定义符合速率限制的数据流4)对端口E0/1的入方向报文进行流量限速,限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括:S3924、S3928P/F/TP和S3952P。S6500系列交换机端口限速配置流程S6500系列交换机的限速命令根据不同的业务单板分为两种:A型业务板支持对端口接收和发送的数据包进行流量限制,使用命令:traffic-limitinbound/outbound进行端口限速;非A型业务板只支持对报文接收的报文进行流量限制,使用命令:traffic-limitinbound进行端口入方向限速,line-rate进行,出方向限速。1) 在A型业务板的端口Ethernet3/0/1上对匹配2000号访问列表中permit规则的数据包进行入方向流量限制。正常流量设为128kbps。[Quidway-qoss-Ethernet3/0/1]traffic-limitinboundip-group20001282) 在A型业务板的端口Ethernet3/0/1上对匹配2000号访问列表中permit规则的数据包进行出方向流量限制。正常流量设为128kbps。[Quidway-qoss-Ethernet3/0/1]traffic-limitoutboundip-group20001283) 在非A型业务板的端口GigabitEthernet3/0/1上对匹配2000号访问列表中permit规则的数据包进行入方向流量限制。正常流量设为128kbps。[Quidway-qosb-GigabitEthernet3/0/1]traffic-limitinboundip-group2000kbps1284) 在非A型业务板的端口GigabitEthernet3/0/1上进行出方向的限速为10Mbps。[Quidway-qosb-GigabitEthernet3/0/1]line-rate10【补充说明】S6500系列交换机从20XX版本以后限速的命令是在QoS的视图下进行配置,20XX版本以前的版本限速命令在端口视图下配置。端口出入方向限速的最小粒度为64KbpsS8500系列交换机端口限速配置流程S8500交换机的端口限速配置命令与S3528系列交换机的配置命令相同,参见S3528的限速配置命令。1.2远程telnet管理1.2.1功能需求及组网说明TELNE面程管理交换机配苣『配置环境参数』PC机固定IP地址10.10.10.10/24,连接到三层交换机SwitchA的VLAN10,PC网关地址为SwitchA的VLAN10接口地址10.10.10.1/24SwitchA与二层交换机SwitchB使用VLAN100互连,SwitchA的VLAN100接口地址为192.168.0.1/24,SwitchB的VLAN100接口地址为192.168.0.2/243.SwitchA通过以太网口E0/1和SwitchB的E0/24互连『组网需求』SwitchA只允许10.1.10.0/24网段的地址的PCTELNET访问SwitchB允许其它任意网段的地址TELNET访问1.2.2数据配置步骤『TELNET远程管理交换机配置流程』如果一台PC想远程TELNET到一台设备上,首先要保证能够二者之间正常通信。SwitchA为三层交换机,可以有多个三层虚接口,它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN。SwitchB为二层交换机,只有一个二层虚接口,它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN。交换机缺省的TELNET认证模式是密码认证,如果没有在交换机上配置口令,当TELNET登录交换机时,系统会出现”passwordrequired,butnoneset”的提示。【SwitchA相关配置】1.创建(进入)VLAN10[SwitchA]vlan10将连接PC的E0/10加入VLAN10[SwitchA-Vlan10]portEthernet0/10创建(进入)VLAN10的虚接口[SwitchA]interfaceVLAN-interface10为VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ipaddr10.10.10.1255.255.255.0创建(进入)VLAN100[SwitchA]vlan100为VLAN接口100配置IP地址[SwitchA-Vlan-interface100]ipaddr192.168.0.1255.255.255.0进入端口E0/1,将其配置为TRUNK端口,并允许VLAN100通过[SwitchA]interfaceEthernet0/1[SwitchA-Ethernet0/1]portlink-typetrunk[SwitchA-Ethernet0/1]porttrunkpermitvlan100【SwitchB相关配置】创建(进入)VLAN100[SwitchB]vlan100为VLAN接口100配置IP地址[SwitchB-Vlan-interface100]ipaddr192.168.0.2255.255.255.0进入端口E0/24,将其配置为TRUNK端口,并允许VLAN100通过[SwitchB]interfaceEthernet0/24[SwitchB-Ethernet0/24]portlink-typetrunk[SwitchB-Ethernet0/24]porttrunkpermitvlan100二层交换机被其他网段设备管理,需要增加一条默认路由[SwitchB]iproute-static0.0.0.00.0.0.0192.168.0.1『以下为公共配置』1、TELNET密码验证配置只需输入password即可登陆交换机。1) 进入用户界面视图[SwitchA]user-interfacevty042) 设置认证方式为密码验证方式[SwitchA-ui-vty0-4]authentication-modepassword3) 设置登陆验证的password为明文密码"huawei”[SwitchA-ui-vty0-4]setauthenticationpasswordsimplehuawei4) 配置登陆用户的级别为最高级别3(缺省为级别1)[SwitchA-ui-vty0-4]userprivilegelevel35) 或者在交换机上增加superpassword(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入superpassword改变自己的级别)例如,配置级别3用户的superpassword为明文密码”super3”[SwitchA]superpasswordlevel3simplesuper32、 TELNET本地用户名和密码验证配置需要输入username和password才可以登陆交换机。进入用户界面视图[SwitchA]user-interfacevty04配置本地或远端用户名和口令认证[SwitchA-ui-vty0-4]authentication-modescheme配置本地TELNET用户,用户名为,huawei”,密码为”huawei”,权限为最高级别3(缺省为级别1)[SwitchA]local-userhuawei[SwitchA-user-huawei]passwordsimplehuawei[SwitchA-user-huawei]service-typetelnetlevel3在交换机上增加superpassword[SwitchA]superpasswordlevel3simplesuper33、 TELNET访问控制配置配置访问控制规则只允许10.1.1.0/24网段登录[SwitchA]aclnumber2000[SwitchA-acl-basic-2000]rulepermitsource10.1.1.00.0.0.255[SwitchA-acl-basic-2000]ruledenysourceany配置只允许符合ACL2000的IP地址登录交换机[SwitchA-ui-vty0-4]acl2000inbound1.3vlan内的端口隔离1.3.1功能需求及组网说明图1-1端口隔离组网示意图小区用户连接到交换机,交换机通过Ethernt0/1端口与外部网络互通。小区用户属于同一个VLAN1,且相互之间不能互通。1.3.2配置步骤#使能VLAN内的端口二层隔离。[Quidway-vlan1]port-isolateenable#配置端口Ethernet0/1为上行端口。[Quidway-Ethernet0/1]port-isolateuplink-portvlan1【补充说明】目前只有2000EI、3528-3552系列交换机支持vlan内的端口隔离。2000HI39005600系列交换机是隔离组的概念,在端口模式下配置portisolate将端口添加到隔离组。1.4防病毒列表1.4.1常用的防病毒控制类表1.用于控制Blaster蠕虫的传播rulerule2.denytcpsourceanydestinationanydestination-portdenyudpsourceanydestinationanydestination-port用于控制Blaster蠕虫的扫描和攻击eq4444eq69rule3denytcpsourceanydestinationanydestination-porteq135rule4denyudpsourceanydestinationanydestination-porteq135rule5denytcpsourceanydestinationanydestination-porteq139rule6denyudpsourceanydestinationanydestination-porteq139rule7denytcpsourceanydestinationanydestination-porteq445rule8denyudpsourceanydestinationanydestination-porteq445rule9denytcpsourceanydestinationanydestination-porteq593rule10denyudpsourceanydes
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 进行性延髓麻痹病因介绍
- T-CIE 232-2024 液气换热型水冷板式间接液冷数据中心设计规范
- 中考地理总复习七下第七章了解地区第九课时教材知识梳理
- 呼吸道职业暴露
- (报批版)塑料造粒环评报告书
- 商务励志工作报告汇报模板33
- 重庆2020-2024年中考英语5年真题回-教师版-专题01 语法选择
- 云南省曲靖市沾益区2024-2025学年七年级9月月考道德与法治试题(解析版)-A4
- 2023年汽车电喷项目融资计划书
- 2023年变压器、整流器和电感器项目融资计划书
- 新教材人教A版高中数学选择性必修第一册全册教学课件
- IEC60335-1-2020中文版-家用和类似用途电器的安全第1部分:通用要求(中文翻译稿)
- 《HSK标准教程1》-HSK1-L8课件
- 幼儿园小班绘本:《藏在哪里了》 课件
- 上册外研社六年级英语复习教案
- 替班换班登记表
- 社会保险法 课件
- 阿利的红斗篷 完整版课件PPT
- 桥梁工程挡土墙施工
- 供应商质量问题处理流程范文
- 实验室生物安全手册(完整版)资料
评论
0/150
提交评论