交换机基本配置及网络维护培训课件

交换机基本配置及网络维护培训1.0日期：2013.7.1交换机基本配置及网络维护培训1.0日期：2013.7.1第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录的产生原因－广播风暴……广播传统的以太网是广播型网络，网络中的所有主机通过或交换机相连，处在同一个广播域中的产生原因－广播风暴……广播传统的以太网是广播型网络，网络中通过路由器隔离广播域路由器……广播通过路由器隔离广播域路由器……广播通过划分广播域110220330市场部工程部财务部通过划分广播域123市场部工程部财务部以太网端口的链路类型：只能允许某一个的数据流通过。：允许多个的数据流和某一个的数据流通过。：允许多个的数据流和多个的数据流通过。端口可以允许多个的报文发送时不携带标签，而端口只允许缺省的报文发送时不携带标签。三种类型的端口可以共存在一台设备上以太网端口的链路类型：只能允许某一个的数据流通过。和

和和1021032105525广播报文发送

和1021032105525广播报文发送2332带有3标签的以太网帧带有2标签的以太网帧不带标签的以太网帧数据帧在网络通信中的变化2332带有3标签的以太网帧带有2标签的以太网帧不带标签的数配置命令（1）创建.100(1-4094)删除.100(1-4094)在中增加端口. 2/0/1在中删除端口. 2/0/1将端口加入 100(1-4094)将端口脱离 100(1-4094)显示信息(1-4094)配置命令（1）创建.100(1配置命令（2）定义端口属性为.

删除端口属性.

定义端口可以传输的.

在中删除端口.

配置命令（2）定义端口属性为.配置虚接口为已存在的创建对应的接口，并进入接口视图

删除一个接口

*缺省情况下，在交换机上不存在接口*可以通过命令配置地址，使接口可以为在该范围内接入的设备提供基于层的数据转发功能*在创建接口之前，必须先创建对应的，否则无法创建接口配置虚接口为已存在的创建对应的接口，并进入配置地址命令用来配置接口接口的地址和掩码命令用来删除接口接口的地址和掩码{|}[][{|}[]]*在一般情况下，一个接口接口/网络管理接口配置一个地址即可，但为了使交换机的一个接口接口/网络管理接口可以与多个子网相连，一个接口接口/网络管理接口最多可以配置多个地址，其中一个为主地址，其余为从地址配置地址命令用来配置接口接口的地址静态路由的配置命令和示例[H3C]{|}{|}[][|]例如：129.1.0.01610.0.0.2129.1.0.0255.255.0.010.0.0.2129.1.0.0162/0静态路由的配置命令和示例[H3C]{|}{主从地址举例主从地址举例配置举例为保证部门间数据的二层隔离，现要求将1和1划分到100中，2和2划分到200中。并分别为两个设置描述字符为“1”和“2”在上配置接口，对1发往2的数据进行三层转发。两个部门分别使用192.168.1.0/24和192.168.2.0/24两个网段配置举例为保证部门间数据的二层隔离，现要求将1和1配置A#创建100，并配置100的描述字符串为“1”，将端口1/0/1加入到100。<>[]100[100]1[100]1/0/1[100]#创建200，并配置200的描述字符串为“2”。[]200[200]2[200]#创建100和200的接口，地址分别配置为192.168.1.1和192.168.2.1，用来对1发往2的报文进行三层转发。[]100[100]192.168.1.124[100][]200[200]192.168.2.124配置A#创建100，并配置100的描述字符串为“1”，将配置B#创建100，并配置100的描述字符串为“1”，将端口1/0/13加入到100。<>[]100[100]1[100]1/0/13[103]#创建200，并配置200的描述字符串为“2”，将端口1/0/11和1/0/12加入到200。[]200[200]2[200]1/0/111/0/12[200]配置B#创建100，并配置100的描述字符串为“1”，将配置A和B之间的链路由于A和B之间的链路需要同时传输100和200的数据，所以可以配置两端的端口为端口，且允许这两个的报文通过。#配置A的1/0/2端口。[]1/0/2[1/0/2][1/0/2]100[1/0/2]200#配置B的1/0/10端口。[]1/0/10[1/0/10][1/0/10]100[1/0/10]200配置A和B之间的链路由于A和B之间的链路需要同时传输注意事项1-缺省就有，不需要创建，也无法删除-不建议用作业务-可以用作管理链路-只允许所需的通过，不要配置

-最好配置上1注意事项1第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录生成树（，生成树协议）是根据协会制定的802.1D标准建立的，用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路，并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。生成树（，生成树协议）是根据协会制定的802.1D标准建配置命令启动全局特性关闭全局特性*全局开启后，每个接口下的功能也被打开接口视图下关闭特性接口下开启特性配置命令启动全局特性的交换机保护功能1.保护功能由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前根桥会失去根桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。命令用来指定当前交换机作为指定生成树实例的根桥。命令用来取消当前交换机作为指定生成树实例的根桥资格。0的交换机保护功能1.保护功能优化-边缘端口边缘端口是指不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口，那么当该端口由阻塞状态向转发状态迁移时，这个端口可以实现快速迁移，而无需等待延迟时间。在交换机没有开启保护的情况下，如果被设置为边缘端口的端口上收到来自其它端口的报文，则该端口会重新变为非边缘端口。对于直接与终端相连的端口，请将该端口设置为边缘端口，同时启动保护功能。这样既能够使该端口快速迁移到转发状态，也可以保证网络的安全。优化-边缘端口边缘端口是指不直接与任何交换机连接，也不通过端边缘端口配置命令用来将当前的以太网端口配置为边缘端口命令用来将当前的以太网端口配置为非边缘端口命令用来将当前的以太网端口恢复为缺省状态，即非边缘端口。*缺省情况下，交换机所有以太网端口均被配置为非边缘端口边缘端口配置命令用来将当前的以太网端的交换机保护功能2.保护功能边缘端口接收到配置消息后，系统会自动将这些端口设置为非边缘端口，重新计算生成树，这样就引起网络拓扑的震荡。正常情况下，边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。保护功能可以防止这种网络攻击。交换机上启动了保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被关闭。被关闭的边缘端口只能由网络管理人员恢复。的交换机保护功能2.保护功能查看信息显示生成树的简要状态信息。<>01/0/11/0/4

01/0/101/0/201/0/301/0/4查看信息显示生成树的简要状态信息。第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录访问控制列表为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（，）就是用来实现这些功能。通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。可应用在交换机全局或端口上，交换机根据中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。访问控制列表为了过滤通过网络设备的数据包，需以太网访问列表主要作用:在整个网络中分布实施接入安全性Internet服务器部门A部门B以太网访问列表主要作用:在整个网络中分布实施接入安全性Int访问控制列表对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包过滤镜像流量限制流量统计分配队列优先级访问控制列表对到达端口的数据包进行分类，并打上不同的动作标记流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型源/目的地址以太网封装格式

入/出端口3/4层流分类项协议类型源/目的地址源/目的端口号流分类通常选择数据包的包头信息作为流分类项数据包过滤

应用程序和数据源/目的端口号源/目的地址L34过滤应用网关包过滤元素数据包过滤应用程序和数据源/目的端口号源/目的地址L访问控制列表的构成（访问控制列表的子规则）（时间段机制）[+]（访问控制列表由一系列规则组成，有必要时会和时间段结合）访问控制列表策略1策略2策略3...策略访问控制列表的构成（访问控制列表的子规则）访问控制列表时间段的相关配置在系统视图下，配置时间段:[][][][]在系统视图下，删除时间段:[][][][]假设管理员需要在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为，具体配置如下:[H3C]8:0012-01-200218:0001-01-2003时间段的相关配置在系统视图下，配置时间段:假设管理员需要在从访问控制列表的类型2000～2999：表示基本。只根据数据包的源地址制定规则。3000～3999：表示高级（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源地址、目的地址、承载的协议类型、协议特性等三、四层信息制定规则。4000～4999：表示二层。根据数据包的源地址、目的地址、802.1p优先级、二层协议类型等二层信息制定规则。5000～5999：表示用户自定义。以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。访问控制列表的类型2000～2999：表示基本。只根据数据包定义访问控制列表在系统视图下，定义并进入访问控制列表视图:{||||}[{|}]在系统视图下，删除:{||}定义访问控制列表在系统视图下，定义并进入访问控制列表视图:基本访问控制列表的规则配置在基本访问控制列表视图下，配置相应的规则[]{|}[|][][]在基本访问控制列表视图下，删除一条子规则[][][]基本访问控制列表的规则配置在基本访问控制列表视图下，配置相应高级访问控制列表的规则配置在高级访问控制列表视图下，配置相应的规则[]{|}[|][|][1[2]][1[2]][][][][]|[][][]在高级访问控制列表视图下，删除一条子规则[][][][][][]|[][][]高级访问控制列表的规则配置在高级访问控制列表视图下，配置相应端口操作符及语法协议支持的端口操作符及语法操作符及语法含义

等于

大于

小于

不等于12介于端口号1和2之间端口操作符及语法协议支持的端口操作符及语法操作符及语法含义接口访问控制列表的规则配置在接口访问控制列表视图下，配置相应的规则[]{|}[{||}][]

在接口访问控制列表视图下，删除一条子规则

接口访问控制列表的规则配置在接口访问控制列表视图下，配置相应二层访问控制列表的规则配置在二层访问控制列表视图下，配置相应的规则[]{|}[][]{{[][][{|}]}|}{{[][{|}]}|}[]在二层访问控制列表视图下，删除一条子规则

二层访问控制列表的规则配置在二层访问控制列表视图下，配置相应自定义访问控制列表的规则配置在自定义访问控制列表视图下，配置相应的规则[]{|}{}&<1-20>[]在自定义访问控制列表视图下，删除一条子规则

用户自定义访问控制列表的数字标识取值范围为5000～5999自定义访问控制列表的规则配置在自定义访问控制列表视图下，配置规则匹配原则一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：：指定匹配该规则时按用户的配置顺序（后下发先生效）：指定匹配该规则时系统自动排序（按“深度优先”的顺序）规则匹配原则一条访问控制列表往往会由多条规则组成，这样在匹配激活访问控制列表在系统视图下，激活:{{|}[]|{[{|}[]][{|}[]]}}在系统视图下，取消激活:{{|}[]|{[{|}[]][{|}[]]}}激活访问控制列表在系统视图下，激活:配置进行包过滤的步骤综上所述，在H3C交换机上配置进行包过滤的步骤如下：配置时间段（可选）定义访问控制列表（四种类型：基本、高级、基于接口、基于二层和用户自定义）激活访问控制列表配置进行包过滤的步骤综上所述，在H3C交换机上配置进行包过滤访问控制列表配置举例一要求配置高级，禁止员工在工作日8:00～18:00的时间段内访问新浪网站（61.172.201.194）1.定义时间段[H3C]8:0018:002.定义高级3000，配置目的地址为新浪网站的访问规则。[H3C]3000[H3C3000]161.172.201.19403.在端口1/0/15上应用3000。[H3C]1/0/15[H31/0/15]3000访问控制列表配置举例一要求配置高级，禁止员工在工作日8:00访问控制列表配置举例二配置防病毒1.定义高级3000[H3C]3000[H3C3000]1335[H3C3000]33365[H3C3000]461.22.3.00.0.0.25538752.在端口1/0/1上应用3000[H31/0/1]3000访问控制列表配置举例二配置防病毒第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录交换机管理方式通过口进行本地登录通过以太网端口利用或进行本地或远程登录通过口利用拨号进行远程登录交换机管理方式通过口进行本地登录配置（2）需要输入密码[H3C]04[H30-4][H30-4]3[H30-4]h3c（3）需要输入用户名和密码[H3C]04[H30-4][H3C]h3c[H33c]123456[H33c]3（1）不需要输入用户名和密码[H3C]04[H30-4][H30-4]3配置（2）需要输入密码（3）需要输入用户名和密码（1）不需要第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录故障排除常用方法分层故障排除法分块故障排除法分段故障排除法替换法故障排除常用方法分层故障排除法分层故障排除法。。。。物理层数据链路层网络层所有的技术都是分层的！关注电缆、连接头、信号电平、编码、时钟和组帧关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等分层故障排除法。。。。物理层数据链路层网络层所有的技分块故障排除法配置文件分为以下部分：管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、、认证等）路由协议部分（静态路由、、、、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制台、登录或哑终端、拨号等）其他应用部分（语言配置、配置、配置等）分块故障排除法配置文件分为以下部分：分段故障排除法网络分为若干段，逐段测试，缩小故障范围，逐段定位网络故障，并排除。中继线路节点节点分段故障排除法网络分为若干段，逐段测试，缩小故障范围，逐段定常用命令（1）命令用来显示系统的版本信息。用户可以通过该命令查看软件的版本信息、发布时间、交换机的基本硬件配置等信息。<>H3C,3.10,1545(c)2004-2007H3C.,..S3600-520,0,23,15

S3600-52164M16384K

001510[0]48[1]4常用命令（1）命令用来显示系统的版本信息。常用命令（2）命令用来显示交换机当前的配置。当用户完成一组配置之后，需要验证配置是否生效，则可以执行命令来查看当前生效的参数。注意：*如果当前配置的参数与缺省参数相同，则不予显示；*对于某些参数，虽然用户已经配置，但如果这些参数对应的功能没有生效，则不予显示。常用命令（2）命令用来显示交换机当前的配置。常用命令（3）命令用来显示当前视图下的运行配置。当用户在某一视图下完成一组配置之后，需要验证配置是否生效，则可以执行命令来查看所在视图下当前生效的配置参数。注意：*对于已经生效的配置参数如果与缺省工作参数相同，则不显示；*对于某些参数，虽然用户已经配置，但如果这些参数对应的功能没有生效，则不予显示；*在任意一个用户界面视图或视图下执行此命令，将会显示所有用户界面或下生效的配置参数。常用命令（3）命令用来显示当前视图下的运行配置。网络连通性测试命令操作命令说明检查网络中的指定地址是否可达[][||||||||||||||]*可选网络层协议为4时使用可在任意视图下执行6[6||||]*[]可选网络层协议为6时使用可在任意视图下执行查看当前设备到目的设备的路由[||||||]*可选网络层协议为4时使用可在任意视图下执行6[||||]*可选网络层协议为6时使用可在任意视图下执行网络连通性测试命令操作命令说明检查网络中的指定地址是否可达命令参数（1）：支持4协议。：指定回显请求报文中的源地址。该地址必须是设备上已配置的合法地址。：指定发送回显请求报文的数目，取值范围为1～4294967295，缺省值为5。：将长度大于接口的报文直接丢弃，即不允许对发送的回显请求报文进行分片。：指定回显请求报文中的值，取值范围为1～255，缺省值为255。：指定发送报文的接口的类型和编号。在指定出接口的情况下，只能直连网段地址。：指定发送回显请求报文的时间间隔，取值范围为1～65535，单位为毫秒，缺省值为200毫秒。－如果在时间内收到目的主机的响应报文，则下次回显请求报文的发送时间间隔为报文的实际响应时间与之和；－如果在时间内没有收到目的主机的响应报文，则下次回显请求报文的发送时间间隔为与之和。：不进行域名解析。缺省情况下，系统将对进行域名解析。命令参数（1）：支持4协议。命令参数：指定回显请求报文的填充字节，格式为16进制。比如将“”设置为，则报文将被全部填充为。缺省情况下，填充的字节从0x01开始，逐渐递增，直到0x09，然后又从0x01开始循环填充。：除统计信息外，不显示其它详细信息。缺省情况下，系统将显示包括统计信息在内的全部信息。：记录路由。缺省情况下，系统不记录路由。：指定发送的回显请求报文的长度（不包括和报文头），取值范围为20～8100，单位为字节，缺省值为56字节。：指定回显应答报文的超时时间，取值范围为1～65535，单位为毫秒，缺省值为2000毫秒。：指定回显请求报文中的（，服务类型）域的值，取值范围为0～255，缺省值为0。：显示接收到的非回显应答的报文。缺省情况下，系统不显示非回显应答的报文。：指定的实例名称，是一个长度为1～31个字符的字符串，不区分大小写。：目的设备的地址或主机名（主机名为1～20个字符的字符串）。命令参数：指定回显请求报文的填充字节，格式为16进制。比如命令用来检查指定地址是否可达，并输出相应的统计信息。[H3C]11.1.1.111.1.1.1:56,11.1.1.1:560255=3111.1.1.1:561255=3111.1.1.1:562255=3211.1.1.1:563255=3111.1.1.1:564255=3111.1.1.1550.00%=31/31/32命令用来检查指定地址是否可达，并输出相应的统计信息。命令参数：指明报文的源地址。该地址必须是设备上已配置的合法地址。：指定一个初始，即第一个报文所允许的跳数。取值范围为1～255，且小于最大，缺省值为1。：指定一个最大，即一个报文所允许的最大跳数。取值范围为1～255，且大于初始，缺省值为30。：指明目的设备的端口号，取值范围为1～65535，缺省值为33434。用户一般不需要更改此选项。：指明每次发送的探测报文个数，取值范围为1～65535，缺省值为3。：指定的实例名称，是一个长度为1～31个字符的字符串。：指定等待探测报文响应的报文的超时时间，取值范围是1～65535，单位为毫秒，缺省值为5000毫秒。：目的设备的地址或主机名（主机名是长度为1～20的字符串）。命令参数：指明报文的源地址。该地址必须是设备上已配置的合法命令用来查看4报文从当前设备传到目的设备所经过的路径。<>18.26.0.11518.26.0.115(18.26.0.115)30,40,1128.3.112.11010102128.32.210.11919193128.32.21632.136.231939395128.32.168.222039396128.32.197.459119397131.119.2.55959398129.140.70.138079999129.140.71.613913915910129.140.81.719918030011129.140.72.1730023923912***13128.121.54.7225949927914***15***16***17***1818.26.0.115339279279命令用来查看4报文从当前设备传到目的设备所经过的路径。（1）<>1/0/11/0/1:'2,0012990-2240,100100,,

9216:500:100%:100%

:1::::1（1）<>1/0/1（2）300:00300:00():0,00,0,0():-,--,-,-:0,0,0,-,00,-,0,0,-():0,00,0,0():-,--,-,-:0,-,-0,0,0,00,-（2）300:00

用来显示地址转发表的信息，包括地址所对应和以太网端口、地址状态（静态还是动态）、是否处在老化时间内等信息#显示地址000200101的信息。<>000200101(s)00020010111/0/1#显示端口1/0/4的地址转发表内容。<>1/0/4(s)00088f6-441 1/0/400088f7-9f7d11/0/400088f709411/0/4000200-0011/0/4000200-220111/0/40002072e011/0/4000209911/0/47()1/0/4用来显示地址转发表的信息，包括地址所对应和以太网

用来显示表项<>:/10.2.72.1620000000S192.168.0.7700008f5-6a4a11/0/213D192.168.0.2000014-2229d6a11/0/214D192.168.0.4500088f6-44c111/0/215D192.168.0.1100011-4301-991e11/0/215D192.168.0.3200008f5-7311/0/216D192.168.0.30014-2226911/0/216D192.168.0.1700088f6-379c11/0/217D192.168.0.11500088f7-9f7d11/0/218D192.168.0.43000760172d11/0/218D192.168.0.5000280-2b3811/0/220D

11用来显示表项S9500常用维护命令-查看硬件状态命令用来显示的使用状态#显示0槽位上的使用状态。<>00:6%57%112%5命令用来显示交换机的电源状态#显示电源状态。<>1:2:3:S9500常用维护命令-查看硬件状态命令用来显示的使用状态

显示交换机上各单板（主板和子板）的模块类型、工作状态信息。可以通过此命令来显示各单板的模块类型、工作状态信息，这些信息包括物理板号、子物理板号、端口个数、版本号、版本号、硬件版本号、软件版本号、地址学习模式、接口板类型等。<>.0108500-00041234567显示交换机上各单板（主板和子板）的模块类型、工作状态信息。

#显示设备环境信息。<>():

033104523510654341065#显示设备环境信息。命令用来显示交换机的内置风扇的工作状态信息。可以通过此命令来显示风扇的工作状态是否正常。#显示风扇的工作状态。<>1:命令用来显示交换机的内存使用状态。#显示交换机0槽位的内存使用状态。<>0():197932416():65234704:32%命令用来显示交换机的内置风扇的工作状态信息。告警日志信息查看项目操作指导参考标准系统告警缓冲区查看

正常情况下无严重告警记录，否则为不正常。系统日志缓冲区查看

正常情况下无严重出错日志记录，否则为不正常。所有系统日志查看

正常情况下无严重告警记录和严重出错日志，否则为不正常。告警日志信息查看项目操作指导参考标准系统告警缓冲区查看正常交换机基本配置及网络维护培训课件演讲完毕，谢谢观看！演讲完毕，谢谢观看！交换机基本配置及网络维护培训1.0日期：2013.7.1交换机基本配置及网络维护培训1.0日期：2013.7.1第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录的产生原因－广播风暴……广播传统的以太网是广播型网络，网络中的所有主机通过或交换机相连，处在同一个广播域中的产生原因－广播风暴……广播传统的以太网是广播型网络，网络中通过路由器隔离广播域路由器……广播通过路由器隔离广播域路由器……广播通过划分广播域110220330市场部工程部财务部通过划分广播域123市场部工程部财务部以太网端口的链路类型：只能允许某一个的数据流通过。：允许多个的数据流和某一个的数据流通过。：允许多个的数据流和多个的数据流通过。端口可以允许多个的报文发送时不携带标签，而端口只允许缺省的报文发送时不携带标签。三种类型的端口可以共存在一台设备上以太网端口的链路类型：只能允许某一个的数据流通过。和

和和1021032105525广播报文发送

和1021032105525广播报文发送2332带有3标签的以太网帧带有2标签的以太网帧不带标签的以太网帧数据帧在网络通信中的变化2332带有3标签的以太网帧带有2标签的以太网帧不带标签的数配置命令（1）创建.100(1-4094)删除.100(1-4094)在中增加端口. 2/0/1在中删除端口. 2/0/1将端口加入 100(1-4094)将端口脱离 100(1-4094)显示信息(1-4094)配置命令（1）创建.100(1配置命令（2）定义端口属性为.

删除端口属性.

定义端口可以传输的.

在中删除端口.

配置命令（2）定义端口属性为.配置虚接口为已存在的创建对应的接口，并进入接口视图

删除一个接口

*缺省情况下，在交换机上不存在接口*可以通过命令配置地址，使接口可以为在该范围内接入的设备提供基于层的数据转发功能*在创建接口之前，必须先创建对应的，否则无法创建接口配置虚接口为已存在的创建对应的接口，并进入配置地址命令用来配置接口接口的地址和掩码命令用来删除接口接口的地址和掩码{|}[][{|}[]]*在一般情况下，一个接口接口/网络管理接口配置一个地址即可，但为了使交换机的一个接口接口/网络管理接口可以与多个子网相连，一个接口接口/网络管理接口最多可以配置多个地址，其中一个为主地址，其余为从地址配置地址命令用来配置接口接口的地址静态路由的配置命令和示例[H3C]{|}{|}[][|]例如：129.1.0.01610.0.0.2129.1.0.0255.255.0.010.0.0.2129.1.0.0162/0静态路由的配置命令和示例[H3C]{|}{主从地址举例主从地址举例配置举例为保证部门间数据的二层隔离，现要求将1和1划分到100中，2和2划分到200中。并分别为两个设置描述字符为“1”和“2”在上配置接口，对1发往2的数据进行三层转发。两个部门分别使用192.168.1.0/24和192.168.2.0/24两个网段配置举例为保证部门间数据的二层隔离，现要求将1和1配置A#创建100，并配置100的描述字符串为“1”，将端口1/0/1加入到100。<>[]100[100]1[100]1/0/1[100]#创建200，并配置200的描述字符串为“2”。[]200[200]2[200]#创建100和200的接口，地址分别配置为192.168.1.1和192.168.2.1，用来对1发往2的报文进行三层转发。[]100[100]192.168.1.124[100][]200[200]192.168.2.124配置A#创建100，并配置100的描述字符串为“1”，将配置B#创建100，并配置100的描述字符串为“1”，将端口1/0/13加入到100。<>[]100[100]1[100]1/0/13[103]#创建200，并配置200的描述字符串为“2”，将端口1/0/11和1/0/12加入到200。[]200[200]2[200]1/0/111/0/12[200]配置B#创建100，并配置100的描述字符串为“1”，将配置A和B之间的链路由于A和B之间的链路需要同时传输100和200的数据，所以可以配置两端的端口为端口，且允许这两个的报文通过。#配置A的1/0/2端口。[]1/0/2[1/0/2][1/0/2]100[1/0/2]200#配置B的1/0/10端口。[]1/0/10[1/0/10][1/0/10]100[1/0/10]200配置A和B之间的链路由于A和B之间的链路需要同时传输注意事项1-缺省就有，不需要创建，也无法删除-不建议用作业务-可以用作管理链路-只允许所需的通过，不要配置

-最好配置上1注意事项1第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录生成树（，生成树协议）是根据协会制定的802.1D标准建立的，用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路，并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。生成树（，生成树协议）是根据协会制定的802.1D标准建配置命令启动全局特性关闭全局特性*全局开启后，每个接口下的功能也被打开接口视图下关闭特性接口下开启特性配置命令启动全局特性的交换机保护功能1.保护功能由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前根桥会失去根桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。命令用来指定当前交换机作为指定生成树实例的根桥。命令用来取消当前交换机作为指定生成树实例的根桥资格。0的交换机保护功能1.保护功能优化-边缘端口边缘端口是指不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口，那么当该端口由阻塞状态向转发状态迁移时，这个端口可以实现快速迁移，而无需等待延迟时间。在交换机没有开启保护的情况下，如果被设置为边缘端口的端口上收到来自其它端口的报文，则该端口会重新变为非边缘端口。对于直接与终端相连的端口，请将该端口设置为边缘端口，同时启动保护功能。这样既能够使该端口快速迁移到转发状态，也可以保证网络的安全。优化-边缘端口边缘端口是指不直接与任何交换机连接，也不通过端边缘端口配置命令用来将当前的以太网端口配置为边缘端口命令用来将当前的以太网端口配置为非边缘端口命令用来将当前的以太网端口恢复为缺省状态，即非边缘端口。*缺省情况下，交换机所有以太网端口均被配置为非边缘端口边缘端口配置命令用来将当前的以太网端的交换机保护功能2.保护功能边缘端口接收到配置消息后，系统会自动将这些端口设置为非边缘端口，重新计算生成树，这样就引起网络拓扑的震荡。正常情况下，边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。保护功能可以防止这种网络攻击。交换机上启动了保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被关闭。被关闭的边缘端口只能由网络管理人员恢复。的交换机保护功能2.保护功能查看信息显示生成树的简要状态信息。<>01/0/11/0/4

01/0/101/0/201/0/301/0/4查看信息显示生成树的简要状态信息。第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录访问控制列表为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（，）就是用来实现这些功能。通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。可应用在交换机全局或端口上，交换机根据中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。访问控制列表为了过滤通过网络设备的数据包，需以太网访问列表主要作用:在整个网络中分布实施接入安全性Internet服务器部门A部门B以太网访问列表主要作用:在整个网络中分布实施接入安全性Int访问控制列表对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包过滤镜像流量限制流量统计分配队列优先级访问控制列表对到达端口的数据包进行分类，并打上不同的动作标记流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型源/目的地址以太网封装格式

入/出端口3/4层流分类项协议类型源/目的地址源/目的端口号流分类通常选择数据包的包头信息作为流分类项数据包过滤

应用程序和数据源/目的端口号源/目的地址L34过滤应用网关包过滤元素数据包过滤应用程序和数据源/目的端口号源/目的地址L访问控制列表的构成（访问控制列表的子规则）（时间段机制）[+]（访问控制列表由一系列规则组成，有必要时会和时间段结合）访问控制列表策略1策略2策略3...策略访问控制列表的构成（访问控制列表的子规则）访问控制列表时间段的相关配置在系统视图下，配置时间段:[][][][]在系统视图下，删除时间段:[][][][]假设管理员需要在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为，具体配置如下:[H3C]8:0012-01-200218:0001-01-2003时间段的相关配置在系统视图下，配置时间段:假设管理员需要在从访问控制列表的类型2000～2999：表示基本。只根据数据包的源地址制定规则。3000～3999：表示高级（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源地址、目的地址、承载的协议类型、协议特性等三、四层信息制定规则。4000～4999：表示二层。根据数据包的源地址、目的地址、802.1p优先级、二层协议类型等二层信息制定规则。5000～5999：表示用户自定义。以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。访问控制列表的类型2000～2999：表示基本。只根据数据包定义访问控制列表在系统视图下，定义并进入访问控制列表视图:{||||}[{|}]在系统视图下，删除:{||}定义访问控制列表在系统视图下，定义并进入访问控制列表视图:基本访问控制列表的规则配置在基本访问控制列表视图下，配置相应的规则[]{|}[|][][]在基本访问控制列表视图下，删除一条子规则[][][]基本访问控制列表的规则配置在基本访问控制列表视图下，配置相应高级访问控制列表的规则配置在高级访问控制列表视图下，配置相应的规则[]{|}[|][|][1[2]][1[2]][][][][]|[][][]在高级访问控制列表视图下，删除一条子规则[][][][][][]|[][][]高级访问控制列表的规则配置在高级访问控制列表视图下，配置相应端口操作符及语法协议支持的端口操作符及语法操作符及语法含义

等于

大于

小于

不等于12介于端口号1和2之间端口操作符及语法协议支持的端口操作符及语法操作符及语法含义接口访问控制列表的规则配置在接口访问控制列表视图下，配置相应的规则[]{|}[{||}][]

在接口访问控制列表视图下，删除一条子规则

接口访问控制列表的规则配置在接口访问控制列表视图下，配置相应二层访问控制列表的规则配置在二层访问控制列表视图下，配置相应的规则[]{|}[][]{{[][][{|}]}|}{{[][{|}]}|}[]在二层访问控制列表视图下，删除一条子规则

二层访问控制列表的规则配置在二层访问控制列表视图下，配置相应自定义访问控制列表的规则配置在自定义访问控制列表视图下，配置相应的规则[]{|}{}&<1-20>[]在自定义访问控制列表视图下，删除一条子规则

用户自定义访问控制列表的数字标识取值范围为5000～5999自定义访问控制列表的规则配置在自定义访问控制列表视图下，配置规则匹配原则一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：：指定匹配该规则时按用户的配置顺序（后下发先生效）：指定匹配该规则时系统自动排序（按“深度优先”的顺序）规则匹配原则一条访问控制列表往往会由多条规则组成，这样在匹配激活访问控制列表在系统视图下，激活:{{|}[]|{[{|}[]][{|}[]]}}在系统视图下，取消激活:{{|}[]|{[{|}[]][{|}[]]}}激活访问控制列表在系统视图下，激活:配置进行包过滤的步骤综上所述，在H3C交换机上配置进行包过滤的步骤如下：配置时间段（可选）定义访问控制列表（四种类型：基本、高级、基于接口、基于二层和用户自定义）激活访问控制列表配置进行包过滤的步骤综上所述，在H3C交换机上配置进行包过滤访问控制列表配置举例一要求配置高级，禁止员工在工作日8:00～18:00的时间段内访问新浪网站（61.172.201.194）1.定义时间段[H3C]8:0018:002.定义高级3000，配置目的地址为新浪网站的访问规则。[H3C]3000[H3C3000]161.172.201.19403.在端口1/0/15上应用3000。[H3C]1/0/15[H31/0/15]3000访问控制列表配置举例一要求配置高级，禁止员工在工作日8:00访问控制列表配置举例二配置防病毒1.定义高级3000[H3C]3000[H3C3000]1335[H3C3000]33365[H3C3000]461.22.3.00.0.0.25538752.在端口1/0/1上应用3000[H31/0/1]3000访问控制列表配置举例二配置防病毒第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录交换机管理方式通过口进行本地登录通过以太网端口利用或进行本地或远程登录通过口利用拨号进行远程登录交换机管理方式通过口进行本地登录配置（2）需要输入密码[H3C]04[H30-4][H30-4]3[H30-4]h3c（3）需要输入用户名和密码[H3C]04[H30-4][H3C]h3c[H33c]123456[H33c]3（1）不需要输入用户名和密码[H3C]04[H30-4][H30-4]3配置（2）需要输入密码（3）需要输入用户名和密码（1）不需要第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令目录第一章原理及基本配置目录故障排除常用方法分层故障排除法分块故障排除法分段故障排除法替换法故障排除常用方法分层故障排除法分层故障排除法。。。。物理层数据链路层网络层所有的技术都是分层的！关注电缆、连接头、信号电平、编码、时钟和组帧关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等分层故障排除法。。。。物理层数据链路层网络层所有的技分块故障排除法配置文件分为以下部分：管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、、认证等）路由协议部分（静态路由、、、、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制台、登录或哑终端、拨号等）其他应用部分（语言配置、配置、配置等）分块故障排除法配置文件分为以下部分：分段故障排除法网络分为若干段，逐段测试，缩小故障范围，逐段定位网络故障，并排除。中继线路节点节点分段故障排除法网络分为若干段，逐段测试，缩小故障范围，逐段定常用命令（1）命令用来显示系统的版本信息。用户可以通过该命令查看软件的版本信息、发布时间、交换机的基本硬件配置等信息。<>H3C,3.10,1545(c)2004-2007H3C.,..S3600-520,0,23,15

S3600-52164M16384K

001510[0]48[1]4常用命令（1）命令用来显示系统的版本信息。常用命令（2）命令用来显示交换机当前的配置。当用户完成一组配置之后，需要验证配置是否生效，则可以执行命令来查看当前生效的参数。注意：*如果当前配置的参数与缺省参数相同，则不予显示；*对于某些参数，虽然用户已经配置，但如果这些参数对应的功能没有生效，则不予显示。常用命令（2）命令用来显示交换机当前的配置。常用命令（3）命令用来显示当前视图下的运行配置。当用户在某一视图下完成一组配置之后，需要验证配置是否生效，则可以执行命令来查看所在视图下当前生效的配置参数。注意：*对于已经生效的配置参数如果与缺省工作参数相同，则不显示；*对于某些参数，虽然用户已经配置，但如果这些参数对应的功能没有生效，则不予显示；*在任意一个用户界面视图或视图下执行此命令，将会显示所有用户界面或下生效的配置参数。常用命令（3）命令用来显示当前视图下的运行配置。网络连通性测试命令操作命令说明检查网络中的指定地址是否可达[][||||||||||||||]*可选网络层协议为4时使用可在任意视图下执行6[6||||]*[]可选网络层协议为6时使用可在任意视图下执行查看当前设备到目的设备的路由[||||||]*可选网络层协议为4时使用可在任意视图下执行6[||||]*可选网络层协议为6时使用可在任意视图下执行网络连通性测试命令操作命令说明检查网络中的指定地址是否可达命令参数（1）：支持4协议。：指定回显请求报文中的源地址。该地址必须是设备上已配置的合法地址。：指定发送回显请求报文的数目，取值范围为1～4294967295，缺省值为5。：将长度大于接口的报文直接丢弃，即不允许对发送的回显请求报文进行分片。：指定回显请求报文中的值，取值范围为1～255，缺省值为255。：指定发送报文的接口的类型和编号。在指定出接口的情况下，只能直连网段地址。：指定发送回显请求报文的时间间隔，取值范围为1～65535，单位为毫秒，缺省值为200毫秒。－如果在时间内收到目的主机的响应报文，则下次回显请求报文的发送时间间隔为报文的实际响应时间与之和；－如果在时间内没有收到目的主机的响应报文，则下次回显请求报文的发送时间间隔为与之和。：不进行域名解析。缺省情况下，系统将对进行域名解析。命令参数（1）：支持4协议。命令参数：指定回显请求报文的填充字节，格式为16进制。比如将“”设置为，则报文将被全部填充为。缺省情况下，填充的字节从0x01开始，逐渐递增，直到0x09，然后又从0x01开始循环填充。：除统计信息外，不显示其它详细信息。缺省情况下，系统将显示包括统计信息在内的全部信息。：记录路由。缺省情况下，系统不记录路由。：指定发送的回显请求报文的长度（不包括和报文头），取值范围为20～8100，单位为字节，缺省值为56字节。：指定回显应答报文的超时时间，取值范围为1～65535，单位为毫秒，缺省值为2000毫秒。：指定回显请求报文中的（，服务类型）域的值，取值范围为0～255，缺省值为0。：显示接收到的非回显应答的报文。缺省情况下，系统不显示非回显应答的报文。：指定的实例名称，是一个长度为1～31个字符的字符串，不区分大小写。：目的设备的地址或主机名（主机名为1～20个字符的字符串）。命令参数：指定回显请求报文的填充字节，格式为16进制。比如命令用来检查指定地址是否可达，并输出相应的统计信息。[H3C]11.1.1.111.1.1.1:56,11.1.1.1:560255=3111.1.1.1:561255=3111.1.1.1:562255=3211.1.1.1:563255=3111.1.1.1:564255=3111.1.1.1550.00%=31/31/32命令用来检查指定地址是否可达，并输出相应的统计信息。命令参数：指明报文的源地址。该地址必须是设备上已配置的合法地址。：指定一个初始，即第一个报文所允许的跳数。取值范围为1～255，且小于最大，缺省值为1。：指定一个最大，即一个报文所允许的最大跳数。取值范围为1～255，且大于初始，缺省值为30。：指明目的设备的端口号，取值范围为1～65535，缺省值为33434。用户一般不需要更改此选项。：指明每次发送的探测报文个数，取值范围为1～65535，缺省值为3。：指定的实例名称，是一个长度为1～31个字符的字符串。：指定等待探测报文响应的报文的超时时间，取值范围是1～65535，单位为毫秒，缺省值为5000毫秒。：目的设备的地址或主机名（主机名是长度为1～20的字符串）。命令参数：指明报文的源地址。该地址必须是设备上已配置的合法命令用来查看4报文从当前设备传到目的设备所经过的路径。<>18.26.0.11518.26.0.115(18.26.0.115)30,40,1128.3.112.11010102128.32.210.11919193128.32.21632.136.231939395128.32.168.222039396128.32.197.459119397131.119.2.55959398129.140.70.138079999129.140.71.613913915910129.140.81.719918030011129.140.72.1730023923912***13128.121.54.7225949927914***15***16***17***1818.26.0.115339279279命令用来查看4报文从当前设备传到目的设备所经过的路径。（1）<>1/0/11/0/1:'2,0012990-2240,100100,,

9216:500:100%:100%

:1::::1（1）<>1/0/