duty,华为交换机端口绑定限速镜像,奔驰s500

交流机装备(一)端口限速根本装备

华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:

华为交流机端口限速

2000_EI系列以上的交流机都能够限速!

限速不同的交流机限速的办法不一样!

2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!

端口限速装备

1功用需求及组网阐明

端口限速装备

『装备环境参数』

1. PC1和PC2的IP地址别离为10.10.1.1/24、10.10.1.2/24

『组网需求』

1. 在SwitchA上装备端口限速,将PC1的下载速率约束在3Mbps,一起将PC1的上传速率约束在1Mbps

2数据装备进程

『S2000EI系列交流机端口限速装备流程』

运用以太网物理端口下面的line-rate指令,来对该端口的出、入报文进行流量限速。

【SwitchA相关装备】

1. 进入端口E0/1的装备视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,约束到3Mbps

[SwitchA- Ethernet0/1]line-rate outbound 30

3. 对端口E0/1的入方向报文进行流量限速,约束到1Mbps

[SwitchA- Ethernet0/1]line-rate inbound 16

【弥补阐明】

报文速率约束等级取值为1~127。假如速率约束等级取值在1~28规模内,则速率约束的粒度为64Kbps,这种状况下,当设置的等级为N,则端口上约束的速率巨细为N*64K;假如速率约束等级取值在29~127规模内,则速率约束的粒度为1Mbps,这种状况下,当设置的等级为N,则端口上约束的速率巨细为(N-27)*1Mbps。

此系列交流机的具体类型包括:S2008-EI、S2016-EI和S2403H-EI。

『S2000-SI和S3000-SI系列交流机端口限速装备流程』

运用以太网物理端口下面的line-rate指令,来对该端口的出、入报文进行流量限速。

【SwitchA相关装备】

1. 进入端口E0/1的装备视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,约束到6Mbps

[SwitchA- Ethernet0/1]line-rate outbound 2

3. 对端口E0/1的入方向报文进行流量限速,约束到3Mbps

[SwitchA- Ethernet0/1]line-rate inbound 1

【弥补阐明】

对端口发送或接纳报文约束的总速率,这儿以8个等级来表明,取值规模为1~8,意义为:端口作业在10M速率时,1~8别离表明312K,625K,938K,1.25M,2M,4M,6M,8M;端口作业在100M速率时,1~8别离表明3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。

此系列交流机的具体类型包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。

『S3026E、S3526E、S3050、S5012、S5024系列交流机端口限速装备流程』

运用以太网物理端口下面的line-rate指令,对该端口的出方向报文进行流量限速;结合acl,运用以太网物理端口下面的traffic-limit指令,对端口的入方向报文进行流量限速。

【SwitchA相关装备】

1. 进入端口E0/1的装备视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流丝袜微博量限速,约束到3Mbps

[SwitchA- Ethernet0/1]line-rate 3

3. 装备acl,界说契合速率约束的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,约束到1Mbps

[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1 exceed drop

【弥补阐明】

line-rate指令直接对端口的一切出方向数据报文进行流量约束,而traffic-limit指令有必要结合acl运用,对匹配了指定拜访操控列表规矩的数据报文进行流量约束。在装备acl的时分,也能够经过装备三层拜访规矩,来对指定的源或意图网段报文,进行端口的入方向数据报文进行流量约束。

端口收支方向限速的粒度为1Mbps。

此系列交流机的具体类型包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。

『S3528、S3552系列交流机端口限速装备流程』

运用以太网物理端口下面的traffic-shape和traffic-limit指令,别离来对该端口的出、入报文进行流量限速。

【SwitchA相关装备】

1. 进入端口E0/1的装备视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,约束到3Mbps

[SwitchA- Ethernet0/1]traffic-shape 3250 3250

3. 装备acl,界说契合速率约束的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,约束到1Mbps

[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop

【弥补阐明】

此系列交流机的具体类型包括:S3528G/P和S3552G/P/F。

『S3900系列交流机端口限速装备流程』

运用以太网物理端口下面的line-rate指令,对该端口的出方向报文进行流量限速;结合acl,运用以太网物理端口下面的traffic-limit指令,对匹配指定拜访操控列表规矩的端口入方向数据报文进行流量约束。

【SwitchA相关装备】

1. 进入端口E1/0/1的装备视图

[SwitchA]interface Ethernet 1/0/1

2. 对端口E0/1的出方向报文进行流量限速,约束到3Mbps

[SwitchA- Ethernet1/0/1]line-rate 3000

3. 装备acl,界说契合速率约束的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入075595501方向报文进行流量限速,约束到1Mbps

[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【弥补阐明】

line-rate指令直接对端口的一切出方向数据报文进行流量约束,而traffic-limit指令有必要结合acl运用,对匹配了指定拜访操控列表规矩的数据报文进行流量约束。在装备acl的时分,也能够经过装备三层拜访规矩,来对指定的源或意图网段报文,进行端口的入方向数据报文进行流量约束。

端口收支方向限速的粒度为64Kbps。

此系列交流机的具体类型包括:S3924、S3928P/F/TP和S3952P。

『S5600系列交流机端口限速装备流程』

运用以太网物理端口下面的line-rate指令,对该端口的出方向报文进行流量限速;结合acl,运用以太网物理端口下面的traffic-limit指令,对匹配指定拜访操控列表规矩的端口入方向数据报文进行流量约束。

【SwitchA相关装备】

1. 进入端口E1/0/1的装备视图

[SwitchA]interface Ethernet 1/0/1

2. 对端口E0/1的出方向报文进行流量限速,约束到3Mbps

[SwitchA- Ethernet1/0/1]line-rate 3000

3. 装备acl,界说契合速率约束的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,约束到1Mbps

[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【弥补阐明】

line-rate指令直接对端口的一切出方向数据报文进行流量约束,而traffic-limit指令有必要结合acl运用,对匹配了指定拜访操控列表规矩的数据报文进行流量约束。在装备acl的时分,也能够经过装备三层拜访规矩,来对指定的源或意图网段报文,进行端口的入方向数据报文进行流量约束。

端口收支方向限速的粒度为64Kbps。

此系列交流机的具体类型包括:S5624P/F和S5648P。

交流机装备(二)端口绑定根本装备

1,端口+MAC

a)AM指令

运用特别的AM User-bind指令,来完结MAC地址与端口之间的绑定。例如:

[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

装备阐明:因为运用了端口参数,则会以端口为参照物,即此刻端口E0/1只答应PC1上网,而运用其他未绑定的MAC地址的PC机则无法上网。可是PC1运用该MAC地址能够在其他端口上网。

b)mac-address指令

运用mac-address static指令,来完结MAC地址与端口之间的绑定。例如:

[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

[SwitchA]mac-address max-mac-count 0

装备阐明:因为运用了端口学习功用,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。

2,IP+MAC

a)AM指令

运用特别的AM User-bind指令,来完结IP地址与MAC地址之间的绑定。例如:

[SwitchA]am user-bind ip-任殿国address 10.1.1.2 mac-address 00e0-fc22-f8d3

装备阐明:以上装备完结对PC机的IP地址和MAC地址的大局绑定,即与绑定的IP地址或许MAC地址不同的PC机,在任何端口都无法上网。

支撑类型:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G

b)arp指令

运用特别的arp static指令,来完结IP地址与MAC地址之间的绑定。例如:

[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3

装备阐明:以上装备完结对PC机的IP地址和MAC地址的大局绑定。

3,端口+IP+MAC

运用特别的AM User-bind指令,来完结IP、MAC地址与端口之间的绑定。例如:

[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

装备阐明:能够完结将PC1的IP地址、MAC地址与端口E0/1之间的绑定功用。因为运用了端口参数,则会以端口为参照物,即此刻端口E0/1只答应PC1上网,而运用其他未绑定的IP地址、MAC地址的PC机则无法上网。可是PC1运用该IP地址和MAC地址能够在其他端口上网。

支撑类型:S3026E/S3026cosersukiE-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;E3026;E050;S3526E/C;S3526E-FM/FS; S5012T/女奶G、S5024G、S3900、S5600、S6500(3代引擎)

交流机装备(三)ACL根本装备

1,二层ACL

. 组网需求:

经过二层拜访操控列表,完结在每天8:00~18:00时刻段内对源MAC为00e0-fc01-0101意图MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。

.装备进程:

(1)界说时刻段

# 界说8:00至18:00的周期时刻段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)界说源MAC为00e0-fc01-0101意图MAC为00e0-fc01-0303的ACL

# 进入根据姓名的二层拜访操控列表视图,命名为traffic-of-link。

[Quidway] acl name traffic-of-link link

# 界说源MAC为00e0-fc01-0101意图MAC为00e0-fc01-0303的流分类规矩。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei

(3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link

2,三层ACL

a)根本拜访操控列表装备事例

. 组网需求:

经过根本拜访操控列表,完结在每天8:00~18:00时刻段内对源IP为10.1.1.1主机宣布报文的过滤。该主机从GigabitEthernet0/1接入。

.装备进程:

(1很想吃掉你)界说时刻段

# 界说8:00至18:00的周期时刻段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)界说源IP为10.1.1.1的ACL

# 进入根据姓名的根本拜访操控列表视图,命名为traffic-of-host。

[Quidway] acl name traffic-of-host basic

# 界说源IP为10.1.1.1的拜访规矩。

[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei

(3)激活ACL。

# 将traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host

b)高档拜访操控列表装备事例

.组网需求:

公司企业网经过Switch的端口完结各部分之间的互连。研发部分的由GigabitEthernet0/1端口接入,薪酬查询服懵比树上懵比果全文务器的地址为129.110.1.2。要求正确装备ACL,约束研发部分在上班时刻8:00至18:00拜访薪酬效劳器。

.装备进程:

(1)界说时刻段

# 界说8:00至18:00的周期时刻段。

[Quidway] time-range huawei 8:00 to 18:00 working-day

(2)界说到薪酬效劳器的ACL

# 进入根据姓名的高档拜访操控列表视图,命名为traffic-of-payserver。

[Quidway] acl name traffic-of-payserver advanced

# 界说研发部分到薪酬效劳器的拜访规矩。

[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei

(3)激活ACL。

# 将traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver

3,常见病毒的ACL

创立acl

acl number 100

禁ping

rule deny icmp source any destination any

用于操控Blaster蠕虫的传达

rule deny udp source any destination any destination-port eq 69

rule deny tcp source any destination any destination-port eq 4444

用于操控冲击波病毒的扫描和进犯

rule deny tcp source any destination any destination-port eq 135

rule deny udp source any destination any destination-port eq 135

rule deny udp source any destination any destination-port eq netbios-ns

rule deny udp source any destination any destination-port eq netbios-dgm

rule deny tcp source any destination any destination-port eq 139

rule deny udp source any destination any destination-port eq 139

rule deny tcp source any destination any destination-port eq 445

rule deny udp source any destination any destination-port eduty,华为交流机端口绑定限速镜像,奔跑s500q 445

rule deny udp source any destination any destination-port eq 593

rule deny tcp source any destination any destination-port eq 593

用于操控振荡波的扫描和进犯

rule deny tcp source any destination any destination-port eq 445

rule deny tcp source any destination any destination-port eq 5554

rule deny tcp source any destination any destination-port eq 9995

rule deny tcp source any destination any destination-port eq 9996

用于操控 Worm_MSBlast.A 蠕虫的传达

rule deny udp source any destination any destination-port eq 1434

下面的不出名的病毒端口号 (能够不作)

rule deny tcp source any destination any destination-port eq 1068

rule deny tcp source any destination any destination-port eq 5800

rule deny tcp source any destination any destination-port eq 5900

rule deny tcp source any destination any destination-port eq 10080

rule deny tcp source any destination any destination-port eq 455

rule deny udp source any destination any destination-port eq 455

rule deny tcp source any destination any destination-port eq 3208

rule deny tcp source any destination any destination-port eq 1871

rule deny tcp source any destination any destination-port eq 4510

rule deny udp source any destination any destination-port eq 4334

rule deny tcp source any destination any destination-port eq 4331

rule deny tcp source any destination any destination-port eq 4557

然后下发装备

packet-filter ip-group 100

意图:针对现在网上呈现的问题,对意图是端口号为1434的UDP报文进行过滤的装备办法,具体和杂乱的装备请看装备手册。

NE80的装备:

NE80(config)#rule-map r1 udp any any eq 1434

//r1为role-map的姓名,udp 为要害字,any any 一切源、意图IP,eq为等于,1434为udp端口号

NE80(config)#acl a1 r1 deny

//a1为acl的姓名,r1为要绑定的rule-map的姓名,

NE80(config-if-Ethernet1/0/0)#access-group acl a1

//在1/0/0接口上绑定acl,acl为要害字,a1为acl的姓名

NE16的装备:

NE16-4(config)#firewall enable all

//首要发动防火墙

NE16-4(config)#access-list 101 deny udp any any eq 1434

//deny为制止的要害字,针对udp报文,any any 为一切源、意图IP,eq为等于, 1434为udp端口号

NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in

//在接口上启用access-list,in表明进来的报文,也能够用out表明出去的报文

中低端路由器的装备

[Router]firewall enable

[Router]acl 101

[Router-acl-101]rule deny udp source any destion any destination-port eq 1434

[Router-Ethernet0]firewall packet-filter 101 inbound

6506产品的装备:

旧指令行装备如下:

6506(config)#acl extended aaa deny protocol udp any any eq 1434

6506(config-if-Ethernet5/0/1)#access-group aaa

国际化新指令行装备如下:

[Quidway]acl number 100

[Quidwayduty,华为交流机端口绑定限速镜像,奔跑s500-acl-adv-100]rule deny udp source any destination any destination-port eq 1434

[Quidway-acl-adv-100]quit

[Quidway]interface ethernet 5/0/1

[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface

5516产品的装备:

旧指令行装备如下:

5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434

5516(config)#flow-action fff deny

5516(config)#acl bbb aaa fff

5516(config)#access-group bbb

国际化新指令行装备如下:

[Quidway]acl num 100

[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434

[Quidway]packet-filter ip-group 100

3526产品的装备:

旧指令行装备如下:

rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434

flow-action f1 deny

acl acl1 r1 f1

access-group acl1

国际化新指令装备如下:

acl number 100

rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0

packet-filter ip-group 101 rule 0

注:3526产品只能装备外网对内网的过滤规矩,其间1.1.0.0 255.255.0.0是内网的地址段。

8016产品的装备:

旧指令行装备如下:

8016(config)#rule-map intervlan aaa udp any any eq 1434

8016(config)#acl bbb aaa deny

8016(config)#access-group acl bbb vlan 10 port all

国际化新指令行装备如下:

8016(config)#rule-map intervlan aaa udp any any eq 1434

8016(config)#eacl bbb aaa deny

8016(config)#access-group eacl bbb vlan 10 port all

避免同网段ARP诈骗的ACL

一、组网需求:

1. 二层交流机阻挠网络用户仿冒网关IP的ARP进犯

二、组网图:

图1二层交流机防ARP进犯组网

S3552P是三层设备,其间IP:100.1.1.1是一切PC的网关,S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP进犯软件。现在需求对S3026C_A进行一些特别装备,意图是过滤掉仿冒网关IP的ARP报文。

三、装备进程

关于二层交流机如S3026C等支撑用户自界说ACL(number为5000到5999)的交流机,能够装备ACL来进鬼面车神行ARP报文过滤。

大局装备ACL制止一切源IP是网关的ARP报文

acl num 5000

rule 0 deny 0806 ffff 24 64010101 ffffffff 40

rule 1 permit 0806 ffff 24 000fe2003999 ffduty,华为交流机端口绑定限速镜像,奔跑s500ffffffffff 34

其间rule0把整个S3026C_A的端口假充网关的ARP报文禁掉,其间斜体部分64010101是网关IP地址100.1.1.1的16进制表明办法。Rule1答应经过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999。

留意:装备Rule时的装备次序,上述装备为先下发后收效的状况。

在S3026C-A体系视图下发acl规矩:

[S3026C-A] packet-filter user-group 5000

这样只要S3026C_A上连网关设备才干够发送网关的ARP报文,其它主机都不能发送假充网关的arp呼应报文。

三层交流机完结仿冒网关的ARP防进犯

一、组网需求:

1. 三层交流机完结避免同网段的用户仿冒网关IP的ARP进犯

二、组网图

图2 三层交流机防ARP进犯组网

三、装备进程

1. 关于三层设备,需求装备过滤源IP是网关的ARP报文的ACL规矩,装备如下ACL规矩:

acl number 5000

rule 0 deny 0806 ffff 24 64010105 ffffffff 40

rule0制止S3526E的一切端口接纳假充网关的ARP报文,其间斜体部分64010105是网关IP地址100.1.1.5的16进制表明办法。

2. 下发ACL到大局

[S3526E] packet-filter user-group 5000

仿冒别人IP的ARP防进犯

一、组网需求:

作为网关的设备有可能会呈现过错ARP的表项,因而在网关设备上还需对用户仿冒别人IP的ARP进犯报文进行过滤。

二、组网图:

拜见图1和图2

三、装备进程:

1. 如图1所示,当PC-B发送源IP地址为PC-D的arp reply进犯报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),意图ip和mac是网关(3552P)的,这样3552上就会学习到过错的arp,如下所示:

--------------------- 过错 arp 表项 --------------------------------

IP Address MAC Address VLAN ID Port Name Aging Type

100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic

100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic

从网络衔接能够知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实践上交流机上学习到该ARP表项在E0/2。上述现象能够在S3552上装备静态ARP完结防进犯:

arp static 100.1.1.3 000f-3d81-45b4 1 e0/8

2. 在图2 S3526C上也能够装备静态ARP来避免设备学习到过错的ARP表项。

3. 关于二层设备(S3050C和S3026E系列),除了能够装备静态ARP外,还能够装备IP+MAC+port绑定,比方在S3026C端口E0/4上做如下操作:

am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4

则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文能够经过E0/4端口,仿冒其它设备的ARP报文则无法经过,然后不会呈现过错ARP表项。

四、装备要害点:

此处仅仅列举了部分Quidway S系列以太网交流机的运用。在实践的网络运用中,请根据装备手册承认该产品是否支撑用户自界说ACL和地址绑定。仅仅具有上述功用的交流机才干避免ARP诈骗。

5,关于ACL规矩匹配的阐明

a) ACL直接下发到硬件中的状况

交流机中ACL能够直接下发到交流机的硬件中用于数据转发进程中的过滤和流分类。此刻一条ACL中多个子规矩的匹配次序是由交流机的硬件决议的,用户即便在界说ACL时装备了匹配次序也不起作用。

ACL直接下发到硬件的状况包括:交流机完结QoS功用时引证ACL、硬件转发时经过AC吴帮囯L过滤转发数据等。

b) ACL被上层模块引证的状况

交流机也运用ACL来对由软件处理的报文进行过滤和流分类。此刻ACL子规矩的匹配次序有两种:config(指定匹配该规矩时按用户的装备次序)和auto(指定匹配该规矩时体系主动排序,即按"深度优先"的次序)。这种状况下用户能够在界说ACL的时分指定一条ACL中多个子规矩的匹配次序。用户一旦指定某一条拜访操控列表的匹配次序,就不能再更改该次序。只要把该列表中一切的规矩悉数删去后,才干从头指定其匹配次序。

ACL被软件引证的状况包括:路由战略引证ACL、对登录用户进行操控时引证ACL等。

交流机装备(四)暗码康复

阐明:以下办法将删去原有config文件,使设备康复到出厂装备。

在设备重启时按Ctrl+B进入BOOT MENU之后,

Press Ctrl-B to enter Boot Menu... 5

Password : 缺省为空,回车即可

1. Download application file to flash

2. Select application file to boot

3. Display all files in flash

4. Delete file from Flash

5. Modify bootrom password

0. Reboot

Enter your choice(0-5): 4 挑选4

No. File Name File Size(bytes)

===========================================================================

1 S3026CGSSI.btm 257224

2 wnm2.2.2-0005.zip 447827

3 snmpboots 4

4 * R0023P01.app 2985691

5 hostkey 428

6 serverk蔡同伟ey 572

7 vrpcfg.txt 1281

Free Space : 3452928 bytes

The current application file is R0023P01.app

Please input the file number to delete: 7 挑选7,删去当时的装备文件

Do you want to delete vrpcfg.txt now? Yes or No(Y/N)y

Delete file....done!

BOOT MENU

1. Download application file to flash

2. Select application file to boot

3. Display all files in flash

4. Delete file from Flash

5. Modify bootrom password

0. Reboot

Enter your choice(0-5):0 挑选0,重启设备

注:删去之后交流机就康复了出厂装备。

交流机装备(五)三层交流装备

1, 三层交流数据包转发流程图:

2,三层交流机装备实例:

效劳器1双网卡,内网IP:192.168.0.1,其它核算机经过其署理上网

PORT1归于VLAN1

PORT2归于VLAN2

PORT3归于VLAN3

VLAN1的机器能够正常上网

装备VLAN2的核算机的网关为:192.168.1.254

装备VLAN3的核算机的网关为:192.168.2.254

即可完结VLAN间互联

假如VLAN2和VLAN3的核算机要经过效劳器1上网

则需在三层交流机上装备默许路由

体系视图下:ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

然后再在效劳器1上装备回程路由

进入指令提示符

route add 192.168.1.0 255.255.255.0 192.168.0.254

route add 192.168.2.0 255.255.255.0 192.168.0.254

这个时分vlan2和vlan3中的核算机就能够经过效劳器1拜访internet了~~

3,三层交流机VLAN之间的通讯

VLAN的区分应与IP规划结合起来,使得一个VLAN 接口IP便是对应的子网段便是某个部分的子网段,VLAN接口IP便是一个子网关。VLAN应以部分区分,相同部分的主机IP以VLAN接口IP为根据划归在一个子网规模,同归于一个VLAN。这样不仅在安全上有利,并且更便利网络办理员的办理和监控。留意:各VLAN中的客户机的网关别离对应各VLAN的接口IP。

在这企业网中计划规划四个VLAN子网对应着四个杨梦樱重要部分,笔者以为这也是小企业最遍及的部分结构,别离是:

VLAN10——归纳行政办公室;

VLAN20——销售部;

V庶人坊LAN30——财务部;

VLAN40——数据中心(网络中心)。

区分VLAN今后,要为每一个VLAN配一个"虚拟接口IP地址"。

VLAN10——192.168.10.1

VLAN20——192.168.20.1

VLAN30——192.168.30.1

VLAN40——192.168.40.1

拓朴图如下:

VLAN及路由装备

1.DES-3326SR三层交流机的VLAN的装备进程:

(1)创立VLAN

DES-3326SR#Config vlan default delete 1 -24 删去默许VLAN(default)包括的端口1-24''

DES-3326SR#Create vlan vlan10 tag 10 创立VLAN名为vlan10,并符号VID为10

DES-3326SR#Create vlan vlan20 tag 20 创立VLAN名为vlan20,并符号VID为20

DES-3326SR#Create vlan vlan30 tag 30 创立VLAN名为vlan10,并符号VID为30

DES-3326SR#Create vlan vlan40 tag 40 创立VLAN名为vlan10,并符号VID为40

(2)添加端口到各VLAN

DES-3326SR#Config vlan vlan10 add untag 1-6 把端口1-6添加到VLAN10

DES-3326SR#Config vlan vlan20 add untag 7-12 把端口1-6添加到VLAN20

DES-3326SR#Config vlan vlan30 add untag 13-18 把端口1-6添加到VLAN30

DES-3326SR#Config vlan vlan40 add untag 19-24 把端口1-6添加到VLAN40

(3)创立VLAN接口IP

DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled 创立虑拟的接口if10给名为VLAN10的VLAN子网,并且指定该接口的IP为192.168.10.1/24。创立后enabled激活该接口。

相同办法设置其它的接口IP:

DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled

DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30 state enabled

DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled

(4)路由

当装备三层交流机的三层功用时,假如仅仅单台三层交流机,只需求装备各VLAN的虚拟接口就行,不再配路由挑选协议。因为一台三层交流机上的虚拟接口会在交流机里以直接路由的身份呈现,因而不需求静态路由或动态路由协议的装备。

2.DES-3226S二层交流机的VLAN的装备进程:

(1)创立VLAN

DES-3226S#Config vlan default delete 1 -24 删去默许VLAN(default)包括的端口1-24''

DES-3226S#Create vlan vla邝宝强n10 tag 10 创立VLAN名为vlan10,并符号VID为10

(2)添加端口到各VLAN

DES-3226S#Config vlan vlan10 add untag 1-24 把端口1-24添加到VLAN10

同理,装备其它DES-3226S二层交流机。完结今后就能够将各个所属VLAN的二层交流机与DES-3326SR三层交流机的相应VLAN的端口衔接即可。

交流机装备(六)端口镜像装备

【3026等交流机镜像】

S2008/S2016/S2026/S2403H/S3026等交流机支撑的都是根据端口的镜像,有两种办法:

办法一

1. 装备镜像(观测)端口

[SwitchA]monitor-port e0/8

2. 装备被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

办法二

1. 能够一次性界说镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交流机端口镜像装备】

1. 假定8016交流机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也能够经过两个不同的端口,对输入和输出的数据别离镜像

1. 设置E1/0/15和E2/0/0为镜像(观测)端口

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,别离运用E1/0/15和E2/0/0对输入和输出数据进行镜像。

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『根据流镜像的数据流程』

根据流镜像的交流机针对duty,华为交流机端口绑定限速镜像,奔跑s500某些流进行镜像,每个衔接都有两个方向的数据流,黑白灰平行国际吧关于交流机来说这两个数据流是要分隔镜像的。

【3500/3026E/3026F/3050】

〖根据三层流的镜像〗

1. 界说一条扩展拜访操控列表

[SwitchA]acl num 101

2. 界说一条规矩报文源地址为1.1.1.1/32去往一切意图地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 界说一条规矩报文源地址为一切源地址意图地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将契合上述ACL规矩的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 101 interface e0/8

〖根据二层流的镜像〗

1. 界说一个ACL

[SwitchA]acl num 200

2. 界说一个规矩从E0/1发送至其它一切端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 (egress interface any)

3. 界说一个规矩从其它一切端口到E0/1端口的数据包

[SwitchA]rule 1 permit (ingress interface any) egress interface Ethernet0/1

4. 将契合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516】

支撑对入端口流量进行镜像

装备端口Ethernet 3/0/1为监测端口,对Ethernet 3/0/2端口的入流量镜像。

[SwitchA]mirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1

【6506/6503/6506R】

现在该三款产品只支撑对入端口流量进行镜像,虽然有outbount参数,可是无法装备。

镜像组名为1,监测端口为Ethernet4/0/2,端口Ethernet4/0/1的入流量被镜像。

[SwitchA]mirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2

【弥补阐明】

1. 镜像一般都能够完结高速率端口镜像低速率端口,例如1000M端口能够镜像100M端口,反之则无法完结

2. 8016支撑跨单板端口镜像

华为各种类型交流机端口镜像装备办法总结

有不少朋友在问华为交流机镜像方面的问题。经过自己现有的材料和文档,现把各种类型的交流机镜像办法总结一下。以便各位朋友能够便利查阅!在学装备之前,关于端口镜像的根本概念仍是要必定的了解!

一、端口镜像概念:

Port Mirror(端口镜像)是用于进行网络功用监测。能够这样了解:在端口A 和端口B 之间树立镜像联系,这样,经过端口A 传输的数据将一起复制到端口B ,以便于在端口B 上衔接的剖析仪或许剖析软件进行功用剖析或毛病判别。

二、端口镜像装备

『环境装备参数』

1. PC1接在交流机E0/1端口,IP地址1.1.1.1/24

2. PC2接在交流机E0/2端口,IP地址2.2.2.2/24

3. E0/24为交流机上行端口

4. Server接在交流机E0/8端口,该端口作为镜像端口

『组网需求』

1. 经过交流机端口镜像的功用运用server对两台pc的事务报文进行监控。

2. 依照镜像的不同办法进行装备:

1) 根据端口的镜像

2) 根据流的镜像

2 数据装备进程

『端口镜像的数据流程』

根据端口的镜像是把被镜像端口的进出数据报文彻底复制一份到镜像端口,这样来进行流量观测或许毛病定位。

【3026等交流机镜像】

S2008/S2016/S2026/S2403H/S3026等交流机支撑的都是根据端口的镜像,有两种办法:

办法一

1. 装备镜像(观测)端口

[SwitchA]monitor-port e0/8

2. 装备被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

办法二

1. 能够一次性界说镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交流机端口镜像装备】

1. 假定8016交流机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也能够经过两个不同的端口,对输入和输出的数据别离镜像

1. 设置E1/0/15和E2/0/0为镜像(观测)端口

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,别离运用E1/0/15和E2/0/0对输入和输出数据进行镜像。

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『根据流镜像的数据流程』

根据流镜像的交流机针对某些流进行镜像,每个衔接都有两个方向的数据流,关于交流机来说这两个数据流是要分隔镜像的。

【3500/3026E/3026F/3050】

〖根据三层流的镜像〗

1. 界说一条扩展拜访操控列表

[SwitchA]acl num 100

2. 界说一条规矩报文源地址为1.1.1.1/32去往一切意图地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 界说一条规矩报文源地址为一切源地址意图地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将契合上述ACL规矩的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

〖根据二层流的镜像〗

1. 界说一个ACL

[SwitchA]acl 柯震东终身禁演令num 200

2. 界说一个规矩从E0/1发送至其它一切端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2

3. 界说一个规矩从其它一切端口到E0/1端口的数据包

[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1

4. 将契合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516/6506/6503/6506R】

现在该三款产品支撑对入端口流量进行镜像

1. 界说镜像端口

[SwitchA]monitor-port Ethernet 3/0/2

2. 界说被镜像端口

[SwitchA]mirroring-port Ethernet 3/0/1 inbound

【弥补阐明】

1. 镜像一般都能够完结高速率端口镜像低速率端口,例如1000M端口能够镜像100M端口,反之则无法完结

2. 8016支撑跨单板端口镜像端口镜像装备

『环境装备参数』

交流机装备(七)DHCP装备

1,交流机作DHCP Server

『装备环境参数』

1. PC1、PC2的网卡均选用动态获取IP地址的办法

2. PC1衔接到交流机的以太网端口0/1,归于VLAN10;PC2衔接到交流机的以太网端口0/2,归于VLAN20

3. 三层交流机SwitchA的VLAN接口10地址为10.1.1.1/24,VLAN接口20地址为10.1.2.1/24

『组网需求』

1. PC1能够动duty,华为交流机端口绑定限速镜像,奔跑s500态获取10.1.1.0/24网段地址,并且网关地址为10.1.1.1;PC2能够动态获取10.1.2.0/24网段地址,并且网关地址为10.1.2.1

『DHCP Server装备流程流程』

能够完结对直接衔接到三层交流机的PC机分配IP地址,也能够对经过DHCP中继设备衔接到三层交流机的PC机分配IP地址。

分配地址的办法能够选用接口办法,或许大局地址池办法。

【SwitchA选用接口办法分配地址相关装备】

1. 创立(进入)VLAN10

[SwitchA]vlan 10

2. 将E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1

3. 创立(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

4. 为VLAN接口10装备IP地址

[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0

5. 在VLAN接口10上挑选接口办法分配IP地址

[SwitchA-Vlan-interface10]dhcp select interface

6. 制止将PC机的网关地址分配给用户

[SwitchA]dhcp server forbidden-ip 10.1.1.1

【SwitchA选用大局地址池办法分配地址相关装备】

1. 创立(进入)VLAN10

[SwitchA]vlan 10

2. 将E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1

3. 创立(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

4. 为VLAN接口10装备IP地址

[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0

5. 在VLAN接口10上挑选大局地址池办法分配IP地址

[SwitchA-Vlan-interface10]dhcp select global

6. 创立大局地址池,并命名为"vlan10"

[SwitchA]dhcp server ip-pool vlan10

7.duty,华为交流机端口绑定限速镜像,奔跑s500 装备vlan10地址池给用户分配的地址规模以及用户的网关地址

[SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0

[SwitchA-dhcp-vlan10]gateway-list 10.1.1.1

8. 制止将PC机的网关地址分配给用户

[SwitchA]dhcp server forbidden-ip 10.1.1.1

【弥补阐明】

以上装备以VLAN10的为例,VLAN20的装备参照VLAN10的装备即可。在选用大局地址池办法时,需新建一个与"vlan10"不同名的大局地址池。

经过以上装备,能够完结为PC1分配的IP地址为10.1.1.0/24,一起PC1的网关地址为10.1.1.1;为PC2分配的IP地址为10.1.2.0/24,一起PC2的网关地址为10.1.2.1。

VLAN接口默许状况下以大局地址池办法进行地址分配,因而当VLAN接口装备了以大局地址池办法进行地址分配后,检查交流机当时装备时,在相应的VLAN接口下无法看到有关DHCP的装备。

运用大局地址池办法,能够完结为用户分配与三层交流机自身VLAN接口地址不同网段的IP地址。

2,DHCP Relay装备

『装备环境参数』

1. DHCP Server的IP地址为192.168.0.10/24

2. DHCP Server衔接在交流机的G1/1端口,归于vlan100,网关即交流机vlan接口100的地址192.168.0.1/24

3. E0/1-E0/10归于vlan10,网段地址10.10.1.1/24

4. E0/11-E0/20归于vlan20,网段地址10.10.2.1/24

『组网需求』

1. 在SwitchA上装备DHCP Relay使下面用户动态获取指定的相应网段的IP地址

2. PC1、PC2均能够ping通自己的网关,一起PC1、PC2之间能够互访

『交流机DHCP Relay装备流程』

DHCP Relay的作用则是为了习惯客户端和效劳器不在同一网段的状况,经过Relay,不同子网的用户能够到同一个DHCP Server请求IP地址,这样便于地址池的办理和维护。

【SwitchA相关装备】

1. 大局使能DHCP功用(缺省状况下,DHCP功用处于使能状况)

[SwitchA]dhcp enable

2. 创立(进入)VLAN100

[SwitchA]vlan 100

3. 将G1/1加入到VLAN100

[SwitchA-vlan100]port GigabitEthernet 1/1

4. 创立(进入)VLAN接口100

[SwitchA]interface Vlan-interface 100

5. 为VLAN接口100装备IP地址

[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0

6. 创立(进入)VLAN10

[SwitchA]vlan 10

7. 将E0/1-E0/10加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

8. 创立(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

9. 为VLAN接口10装备IP地址

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

10. 使能VLAN接口10的DHCP中继功用

[SwitchA-Vlan-interface10]dhcp select relay

11. 为VLAN接口10装备DHCP效劳器的地址

[SwitchA-Vlan-interface10]ip relay address 192.168.0.10

12. 创立(进入)VLAN20

[SwitchA-vlan10]vlan 20

13. 将E0/11-E0/20加入到VLAN20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

14. 创立(进入)VLAN接口20

[SwitchA]interface Vlan-interface 20

15. 为VLAN接口20装备IP地址

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

16. 使能VLAN接口20的DHCP中继功用

[SwitchA-Vlan-interface20]dhcp select relay

17. 为VLAN接口20装备DHCP效劳器的地址

[SwitchA-Vlan-interface20]ip relay address 192.168.0.10

【弥补阐明】

也能够在大局装备形式下,使能某个或某些VLAN接口上gapminder的DHCP中继功用,例如:[SwitchA]dhcp select relay interface Vlan-interface 10

3,DHCP Snooping

『装备环境参数』

1. DHCP Server衔接在交流机SwitchA的G1/1端口,归于vlan10,IP地址为10.10.1.253/24

2. 端口E0/1和E0/2同归于vlan10

『组网需求』

1. PC1、PC2均能够从指定DHCP Server获取到IP地址

2. 避免其他不合法的DHCP Server影响网络中的主机

『交流机DHCP-Snooping装备流程』

当交流机敞开了DHCP-Snooping后,会对DHCP报文进行侦听,并能够从接纳到的DHCP Request或DHCP Ack报文中提取并记载IP地址和MAC地址信息。别的,DHCP-Snooping答应将某个物理端口设置为信赖端口或不信赖端口。信赖端口能够正常接纳并转发DHCP Offer报文,而不信赖端口会将接纳到的DHCP Offer报文丢掉。这样,能够完结交流机对假充DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

【SwitchA相关装备】

1. 创立(进入)VLAN10

[SwitchA]vlan 10

2. 将端口E0/1、E0/2和G1/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1

3. 大局使能dhcp-snooping功用

[SwitchA]dhcp-snooping

4. 将端口G1/1装备为trust端口,

[SwitchA-GigabitEthernet1/1]dhcp-snooping trust

【弥补阐明】

因为DHCP效劳器提供给用户包括了效劳器分配给用户的IP地址的报文――"dhcp offer"报文,由G1/1端口进入SwitchA并进行转发,因而需求将端口G1/1装备为"trust"端口。假如SwitchA上行接口装备为Trunk端口,并且衔接到DHCP中继设备,也需求将上行端口装备为"trust"端口。

交流机装备(八)装备文件办理

(1)文件常用操作

1,指令 display current-configuration:检查以太网交流机的当时装备

2,指令 display saved-configuration:检查以太网交流机的发动装备

3,指令 reset saved-configuration:擦除Flash Memory中的装备文件,以太网交流机下次上电时,体系将选用缺省的装备参数进行初始化。

(2)FTP文件上传与下载

1. 组网需求

交流机作为FTP Server,远端的PC作为FTP Client。在FTP Server上作了如下装备:装备了一个FTP用户名为switch,暗码为hello,对该用户授权了交流机上Flash根目录的读写权限。交流机上的一个VLAN接口的IP地址为1.1.1.1,PC的IP地址为2.2.2.2,交流机和PC之间路由可达。

交流机的运用程序switch.app保存在PC上。PC经过FTP向远端的交流机上传switch.app,一起将交流机的装备文件vrpcfg.txt下载到PC完结装备文件的备份。

2. 组网图(略)

3. 装备进程

1) 交流机上的装备

# 用户登录到交流机上。(用户能够在本地经过Console口登录到交流机上,也能够经过telnet长途登录到交流机上。各种登录办法请拜见入门模块的描绘。)

# 在交流机上敞开FTP效劳,设置好用户名、暗码和途径:

[Quidway] ftp server enable

[Quidway] local-user switch

[Quidway-luser-switch] service-type ftp ftp-directory flash:

[Quidway-luser-switch] password simple hello

2) 在PC上运转FTP Client程序,同交流机树立FTP衔接,一起经过上载操作把交流机的运用程序switch.app上载到交流机的Flash根目录下,一起从交流机上下载装备文件vrpcfg.txt。FTP Client运用程序由用户自己购买、装置,Quidway系列交流机不顺便此软件。

留意:假如交流机的Flash memory空间不够大,请删去Flash华夏有的运用程序然后再上载新的运用程序到交流机Flash中。

3) 在上载结束后,用户在交流机上进行晋级操作。

# 用户能够经过指令boot boot-loader来指定下载的程序为下次发动时的运用程序,然后重启交流机,完结交流机运用程序的晋级。

boot boot-loader switch.app

reboot

(3)TFTP文件上传与下载

1. 组网需求

交流机作为TFTP Client,PC作为TFTP Server,在TFTP Server上装备了TFTP的作业途径。交流机上的一个VLAN接口的IP地址为1.1.1.1,交流机和PC相连的端口归于该VLAN,PC的IP地址为1.1.1.2。

交流机的运用程序switch.app保存在PC上。交流机经过TFTP从TFTP Server上下载switch.app,一起将交流机的装备文件vrpcfg.txt上传到TFTP Server的作业目录完结装备文件的备份。

2. 组网图(略)

3. 装备进程

1) 在PC上发动了TFTP Server,装备TFTP Server的作业目录。

2) 交流机上的装备

# 用户登录到交流机上。(用户能够在本地经过Console口登录到交流机上,也能够经过telnet长途登录到交流机上。各种登录办法请拜见入门模块的描绘。)

留意:假如交流机的Flash memory空间不够大,请删去Flash华夏有的运用程序然后再下载新的运用程序到交流机的Flash中。

# 进入体系视图。

system-view

[Quidway]

# 装备VLAN接口的IP地址为1.1.1.1,一起确保与PC相连的端口归于这个VLAN。(本例中以VLAN 1为例。)

[Quidway] interface vlan 1

[Quidway-vlan-interface1] ip address 1.1.1.1 255.255.255.0

[Quidway-vlan-interface1] quit

# 将交流机的运用程序switch.app从TFTP Server下载到交流机。

[Quidway] tftp get //1.1.1.2/switch.app switch.app

# 将交流机的装备文件vrpcfg.txt上传到TFTP Server。

[Quidway] tftp put vrpcfg.txt //1.1.1.2/vrpcfg.txt

# 履行quit指令退回到用户视图下。

[Quidway] quit

# 用户能够经过指令boot boot-loader来指定下载的程序为下次发动时的运用程序,然后重启交流机,完结交流机运用程序的晋级。

boot boot-loader switch.app

reboot

交流机装备(九)长途办理装备

1,WEB办法

『WEB办法长途办理交流机装备流程』

首要必备条件要确保PC能够与SwitchB通讯,比方PC能够ping通SwitchB。

假如想经过WEB办法办理交流机,有必要首要将一个用于支撑WEB办理的文件载入交流机的flash中,该文件需求与交流机当时运用的软件版别相配套。WEB办理文件的扩展名为"tar"或许"zip",能够从网站上下载相应的交流机软件版别时得到。

需求在交流机上添加WEB办理运用的用户名及密duty,华为交流机端口绑定限速镜像,奔跑s500码,该用户的类型为telnet类型,并且权限为最高等级3。

留意,在将WEB办理文件载入交流机flash时,不要将文件进行解压缩,只需将完好的文件载入交流机即可(向交流机flash载入WEB办理文件的办法,请参阅本装备实例中交流机的体系办理装备章节)。

【SwitchB相关装备】

1.检查交流机flash里边的文件(确保WEB办理文件已经在交流机flash中)

dir /all

Directory of flash:/

-rwxrwx 1 noone nogroup 442797 Apr 02 2000 13:09:50 wnm-xxx.zip

2.添加WEB办理的用户,用户类型为"telnet",用户名为"huawei",暗码为"wnm"

[SwitchB]local-user huawei

[SwitchB-luser-huawei]service-type telnet level 3

[SwitchB-luser-huawei]password simple wnm

3.装备交流机办理地址

[SwitchB]interface vlan 100

[SwitchB-Vlan-interface100]ip addr 192.168.0.2 255.255.255.0

4.对HTTP拜访用户的操控(Option)

[SwitchB]ip http acl acl_num/acl_name

相关学习帖:

http://bbs.51cto.com/viewthread.php?tid=401882&fpage=1&highlight=web

2,TELNET办法

【TELNET暗码验证装备】

只需输入password即可登陆交流机。

1. 进入用户界面视图

[SwitchA]user-interface vty 0 4

2. 设置认证办法为暗码验证办法

[SwitchA-ui-vty0-4]authentication-mode password

3. 设置登陆验证的password为明文暗码"huawei"

[SwitchA-ui-vty0-4]set authentication password simple huawei

4. 装备登陆用户的等级为最高等级3(缺省为等级1)

[SwitchA-ui-vty0-4]user privilege level 3

5. 或许在交流机上添加super password(缺省状况下,从VTY用户界面登录后的等级为1级,无法对设备进行装备操作。有必要要将用户的权限设置为最高等级3,才干够进入体系视图并进行装备操作。低等级用户登陆交流机后,需输入super password改动自己的等级)例如,装备等级3用户的super password为明文暗码"super3"

[SwitchA]super password level 3 simple super3

【TELNET本地用户名和暗码验证装备】

需求输入username和password才干够登陆交流机。

1. 进入用户界面视图

[SwitchA]user-interface vty 0 4

2. 装备本地或远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

3. 装备本地TELNET用户,用户名为"huawei",暗码为"huawei",权限为最高等级3(缺省为等级1)

[SwitchA]local-user huawei

[SwitchA-user-huawei]password simple huawei

[SwitchA-user-huawei]service-type telnet level 3

4. 在交流机上添加super password

[SwitchA]super password level 3 simple super3

【TELNET RADIUS验证装备】

以运用华为3Com公司开发的CAMS 作为RADIUS效劳器为例

1. 进入用户界面视图

[SwitchA]user-interface vty 0 4

2. 装备远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

3. 装备RADIUS认证计划,名为"cams"

[SwitchA]radius scheme cams

4. 装备RADIUS认证效劳器地址10.110.51.31

[SwitchA-radius-cams]primary奥术水晶哪里多 authentication 10.110.51.31 1812

5. 装备交流机与认证效劳器的验证口令为"huawei"

[SwitchA-radius-cams]key authentication huawei

6. 送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

7. 创立(进入)一个域,名为"huawei"

[SwitchA]domain huawei

8. 在域"huawei"中引证名为"cams"的认证计划

[SwitchA-isp-huawei]radius-scheme cams

9. 将域"huawei"装备为缺省域

[SwitchA]domain default enable huawei

【TELNET拜访操控装备】

1. 装备拜访操控规矩只答应10.1.1.0/24网段登录

[SwitchA]acl number 2000

[SwitchA-acl-basic-2000]rule deny source any

[SwitchA-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255

2. 装备只答应契合ACL2000的IP地址登录交流机

[SwitchA-ui-vty0-4]acl 2000 inbound

相关学习帖:

http://bbs.51cto.com/viewthread.php?tid=349090&fpage=1&highlight=telnet

3,SSH办法

1. 组网需求

装备终端(SSH Client)与以太网交流机树立本地衔接。终端选用SSH协议进行登录到交流机上,以确保数据信息交流的安全。

2. 组网图(略)

3. 装备进程(SSH认证办法为口令认证)

[Quidway] rsa local-key-pair create

& 阐明:假如此前已完结生成本地密钥对的装备,能够略过此项操作。

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode scheme

[Quidway-ui-vty0-4] protocol inbound ssh

[Quidway] local-user client001

[Quidway-luser-client001] password simple huawei

[Quidway-luser-client001] service-type ssh

[Quidway] ssh user client001 authentication-type password

SSH的认证超时时刻、重试次数以及效劳器密钥更新时刻能够采纳体系默许值,这些装备完结今后,您就能够在其它与以太网交流机衔接的终端上,运转支撑SSH1.5的客户端软件,以用户名client001,暗码huawei,拜访以太网交流机了。

交流机装备(十)STP装备

『装备环境参数』

1. SwitchA选用华为-3com公司的高中端交流机,如S8500或许S6500系列交流机

2. SwitchB和SwitchC选用华为-3com公司的低端交流机,如S3500或许S3550系列交流机

3. SwitchD、SwitchE和SwitchF选用华为-3com公司的低端交流机,如S3000或许S2000系列交流机

『组网需求』

1. 一切设备运转STP(Spanning Tree Protocol)生成树协议

2. 以SwitchB为根网桥,阻断网络中的环路,并能到达链路冗余备份的作用

『交流机STP装备流程』

经过改动交流机或许端口的STP优先级,然后到达手艺指定网络中的根网桥,以及端口的STP人物,完结阻断环路及链路的冗余备份。

【SwitchB相关装备】

1.大局使能STP功用(缺省状况下,DHCP功用处于使能状况)

[SwitchB]stp enable

2.将SwtichB装备为树根(两种办法:将SwitchB的Bridge优先级设置为0,或许直接将SwitchB指定为树根,两种办法一个作用)

[SwitchB]stp priotity 0

[SwitchB]stp root primary

3.在各个指定端口上发动根维护功用(在此例中,SwtichB的一切端口都是拟定端口)

[SwitchB]interface Ethernet 0/1

[SwitchB-Ethernet-0/1]stp root-protection

【SwitchC相关装备】

1.大局使能STP功用(缺省状况下,DHCP功用处于使能状况)

[SwitchB]stp enable

2.将SwtichC装备为备份树根(两种办法:将SwitcCB的Bridge优先级设置为4096,或许直接将SwitchC指定为备份树根,两种办法一个作用)

[SwitchB]stp priotity 4096

[SwitchB]stp root secondary

3.在指定端口上发动根维护功用(在此例中,SwtichC的端口0/1、0/2和0/3是指定端口)

[SwitchB]interface Ethernet 0/1

[SwitchB-Ethernet-0/1]stp root-protection

【其他Switch的相关装备】

将接PC机的端口stp功用封闭,或许装备为边际端口,并使能BPDU维护功用

[SwitchD-Ethernet0/4]stp disable

[SwitchD-Ethernet0/5]stp edged-port enable

[SwitchD]stp bpdu-protection

【弥补阐明】

装备了"bpdu-protection"今后,假如某个边际端口收到BPDU报文,则该边际端口将会被封闭,有必要由手艺进行康复。

当端口上装备了"stp root-protection"今后,该端口的人物只能是指定端口,且一旦该端口上收到了优先级高的装备音讯,则该端口的状况将被装备为侦听状况,不再转发报文,当在满足长的时刻内没有收到更优的装备音讯时,端口会康复本来的正常状况。

交流机装备(十一)私有VLAN装备

『装备环境参数』

PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,效劳器的IP地址为10.1.1.253/24;PC1、PC2和PC3别离衔接到交流机的端口E0/1 、E0/2和 E0/3,端口分归于VLAN10、20和30,效劳器衔接到交流机的端口G2/1,归于VLAN100。

『交流机Isolate-user-VLAN完结端口阻隔装备流程』

等同于原有指令行中的converagePVLAN,运用VLAN装备视图中,Isolate-user-VLAN指令(原有指令行中的Primary-VLAN)来完结。

『装备进程』

【SwitchA相关装备】

1.创立(进入)VLAN10,将E0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1

2.创立(进入)VLAN20,将E0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

3.创立(进入)VLAN30,将E0/3加入到VLAN30

[SwitchA]vlan 30

[SwitchA-vlan30]port Ethernet 0/3

4.创立(进入)VLAN100,将G2/1加入到李洁仪VLAN100

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 2/1

5.将VLAN100装备为Isolate-user-VLAN

[SwitchA-vlan100]Isolate-user-VLAN enable

6.在体系视图形式下,装备Isolate-user-VLAN与各个secondary VLAN之间的映射联系

[SwitchA]isolate-user-vlan 100 secondary 10 20 30

【弥补阐明】

此功用装备首要用于对用户主机进行二层阻隔。

在装备Isolate-user-VLAN与secondary VLAN之间的映射联系之前,Isolate-user-VLAN与secondary VLAN有必要都包括物理端口。

装备了映射联系之后,不能够再对Isolate-user-VLAN或secondary VLAN进行端口增减的操作,有必要先免除映射联系。

交流机装备(十二)端口trunk、hybrid运用装备

1,端口trunk运用

『装备环境参数』

1.PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,PC4的IP地址为10.1.1.4/24;

2.PC1和PC2别离衔接到交流机SwitchA的端口E0/1和E0/2,端口分归于VLAN10和20;PC3和PC4别离衔接在交流机SwitchB的端口E0/10和E0/20,端口别离归于VLAN10和20。

3.SwitchA经过端口G2/1,衔接到SwitchB的端口G1/1;SwitchA的端口G2/1和SwitchB的端口G1/1均是Trunk端口,并且答应VLAN10和VLAN20经过。

『组网需求』

1.SwitchA与SwitchB之间相同VLAN的PC之间能够互访。

2.SwitchA与SwitchB之间不同VLAN的PC之间制止互访。

『交流机Trunk端口装备流程』

运用将端口装备为Trunk端口来完结在不同交流机之间透传VLAN,到达归于相同VLAN的PC机,跨交流机进行二层拜访;或许不同VLAN的PC机跨交流机进行三层拜访的意图。

『装备进程』

【SwitchA相关装备】

1.创立(进入)VLAN10,将E0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1

2. 创立(进入)VLAN20,将E0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

3.将端口G2/1装备为Trunk端口,并答应VLAN10和VLAN20经过

[SwitchA]interface GigabitEthernet 1/1

[SwitchA-GigabitEthernet1/1]port link-type trunk

[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20

【SwitchB相关装备】

1.创立(进入)VLAN10,将E0/10加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/10

2.创立(进入)VLAN20,将E0/20加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/20

3.将端口G2/1装备为Trunk端口,并答应VLAN10和VLAN20经过

[SwitchA]interface GigabitEthernet 2/1

[SwitchA-GigabitEthernet2/1]port link-type trunk

[SwitchA-GigabitEthernet2/1]port trunk permit vlan 10 20

2,端口hybrid运用

『装备环境参数』

1.PC1、PC2和PC3别离衔接到二层交流机SwitchA的端口E0/1 、E0/2和 E0/3,端口分归于VLAN10、20和30,效劳器衔接到端口G2/1,归于VLAN100。

2.PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,效劳器的IP地址为10.1.1.254/24。

『组网需求』

1.PC1和PC2之间能够互访;

2.PC1和PC3之间能够互访;

3.PC1、PC2和PC3都能够拜访效劳器;

4.其他的PC间拜访均制止。

『交流机Hybrid端口装备流程』

运用Hybrid端口的特性――一个端口能够归于多个不同的VLAN,来完结分属不同VLAN内的同网段PC机的拜访需求。

『装备进程』

【SwitchA相关装备】

1.创立(进入)VLAN10,将E0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1

2.创立(进入)VLAN20,将E0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

3.创立(进入)VLAN30,将E0/3加入到VLAN30

[SwitchA]vlan 30

[SwitchA-vlan30]port Ethernet 0/3

4.创立(进入)VLAN100,将G2/1加入到VLAN100

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 2/1

5.装备端口E0/1为Hybrid端口,能够接纳VLAN20、30和100发过来的报文

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]port link-type hybrid

[SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged

6.装备端口E0/2为Hybrid端口,能够接纳VLAN10和100发过来的报文

[SwitchA]interface Ethernet 0/2

[SwitchA-Ethernet0/2]port link-type hybrid

[SwitchA-Ethernet0/2]port hybrid vlan 10 100 untagged

7.装备端口E0/3为Hybrid端口,能够接纳VLAN10和100发过来的报文

[SwitchA]interface Ethernet 0/3

[SwitchA-Ethernet0/3]port link-type hybrid

[SwitchA-Ethernet0/3]port hybrid vlan 10 100 untagged

8.装备端口G2/1为Hybrid端口,能够接纳VLAN10、20和30发过来的报文

[SwitchA]interface GigabitEthernet 2/1

[SwitchA-GigabitEthernet2/1]port link-type hybrid

[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 30 untagged

【弥补阐明】

关于Hybrid端口来说,能够一起归于多个VLAN。这些VLAN别离是该Hybrid端口的PVID,以及手艺装备的"untagged"及"tagged"办法的VLAN。必定要留意对应端口的VLAN装备,确保报文能够被端口进行正常的收发处理。

此运用在二层网络中,对相同网段的主机进行拜访权限的操控。

S系列交流机完结不同VLAN之间互访的装备

一、组网需求:

交流机装备了4个VLAN,别离为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1能够与VLAN2,3,4互访,可是VLAN2,3,4之间不能互访,用Hybrid端口特点完结此功用。

二、组网图:

三、装备进程:

1. 创立VLAN2

[Quidway]vlan 2

2. 创立VLAN3

[Quidway-vlan2]vlan 3

3. 创立VLAN4

[Quidway-vlan3]vlan 4

4. 进入端口Ethernet1/0/1

[Quidway-vlan4] interface Ethernet1/0/1

5. 将端口设置为hybrid形式

[Quidway-Ethernet1/0/1]port link-type hybrid

6. 设置端口pvid为1

[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1

7. 答应VLAN1,2,3,4不打标签经过

[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged

8. 进入端口Ethernet1/0/2

[Quidway-Ethernet1/0/1]interface Ethernet1/0/2

9. 将端口设置为hybrid形式

[Quidway-Ethernet1/0/2]port link-type hybrid

10. 设置端口pvid为2

[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2

11. 答应VLAN1,2不打标签经过

[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged

12. 进入端口Ethernet1/0/3

[Quidway-Ethernet1/0/2]interface Ethernet1/0/3

13. 将端口设置为hybrid形式

[Quidway-Ethernet1/0/3]port link-type hybrid

14. 设置端口pvid为3

[Quidway-Ethernet1/0/3]port hybrid pvid vlan 3

15. 答应VLAN1,3不打标签经过

[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged

16. 进入端口Ethernet1/0/4

[Quidway-Ethernet1/0/3]interface Ethernet1/0/4

17. 将端口设置为hybrid形式

[Quidway-Ethernet1/0/4]port link-type hybrid

18. 设置端口pvid为4

[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4

19. 答应VLAN1,4不打标签经过

[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged

四、装备要害点:

1. 运用交流机以太网端口的Hybrid特性,能够完结PVLAN的功用。

2. 选用Hybrid特点完结的PVLAN功用和PVLAN的作业机制存在较大差异,上述状况只适用于网络流量,网络用户较少的运用。

展开全文

最新文章


横线是咱们的生命线,人生的路途有多长咱们是不知道的?但从咱们出世开端,一向有一条线随同咱们终身,这条线就叫消费线。


人生一向都是一个消费的进程,可是咱们挣钱的时刻却有限,大约25岁到60岁之间,咱们要在有限的时刻内赚到终身所需的花费。但一个人不管有多成功,也无法避免意外和疾病的降临,所以美好的人生需求提早规划。


T型图


假如现在你每个月拿780元也便是每年9300元做保存出资,从30岁开端出资20年到50岁,再放多10年到您60岁,依照均匀年利率3%来核算,您知道 这个保存账户能堆集到多少钱?大约20万左右。每个月存一点点,通过这么多年能堆集到一大笔,假如咱们终身安全到老,这笔钱拿出来养老也挺不错的。

只需略微改动一下储蓄习气,将放在银行的钱放一点点在咱们稳妥公司,就能够马上为咱们的日子水平建立一堵防火墙,避免当不幸发作时,咱们的日子水平仍然能维持在现有层面不至于下降。


一家之主图

美好的人生就像是在走上坡路。咱们的日子水平一般分为四个阶段:赤贫、一般、小康、殷实。每个家庭都有一辆美好快车,车里坐着咱们的爸爸妈妈、爱人和孩子每个家庭由一家之主拉着这辆车,每根绳子代表收入,收入越高,速度越快。