华为交换机配置实用手册
[ 2006-6-19 23:19:21 | By: sail ]
实验一 使用华为Quidway系列交换机简单组网11 实验目的
1 掌握华为Quidway系列交换机上的基本配置命令;
2 掌握VLAN的原理和配置;
3 掌握端口聚合(Link Aggregation)的原理和配置;
4 掌握生成树协议(STP)的原理和配置;
5 掌握GVRP协议的原理和配置;
6 掌握三层交换机和访问控制列表(ACL)的原理和配置;
7 掌握如何从PC机或其他交换机远程配置某交换机。
12 实验环境
Quidway S3026以太网交换机 2 台,Quidway S3526以太网交换机1台,
PC机4台,标准网线6根
Quidway S3026软件版本:V100R002B01D011;Bootrom版本:V11
Quidway S3526软件版本:V100R001B02D006;Bootrom版本:V30
13 实验组网图
在下面的每个练习中给出。
14 实验步骤
141 VLAN配置
首先依照下面的组网图将各实验设备相连,然后正确的配置各设备的IP地址。有两台Quidway S3026交换机和四台PC机。每台PC机的IP地址指定如下:
PCA:10111
PCB:10121
PCC:10112
PCD:10122
掩码:2552552550
请完成以下步骤:
1、 如上图所示,配置四台PC机属于各自的VLAN。
2、 将某些端口配置成trunk端口,并允许前面配置的所有VLAN通过。
3、 测试同一VLAN中的PC机能否相互Ping通。
配置如下:
SwitchA:
SwitchA(config)#vlan 2 //创建VLAN 2
SwitchA (config-vlan2)# switchport ethernet 0/9 //将以太口9划入VLAN 2
SwitchA (config-vlan2)#vlan 3 //创建VLAN 3
SwitchA (config-vlan3)# switchport ethernet 0/10 //将以太口10划入VLAN 3
SwitchA (config-vlan3)#interface ethernet 0/1 //进入以太口1的接口配置模式
SwitchA (config-if-Ethernet0/1)#switch mode trunk //将e0/1接口设置为trunk模式
SwitchA (config-if-Ethernet0/1)#switch trunk allow vlan all //配置允许所有的VLAN通过
SwitchB:
SwitchB(config)#vlan 2
SwitchB (config-vlan2)# switchport ethernet 0/9
SwitchB (config-vlan2)#vlan 3
SwitchB (config-vlan3)# switchport ethernet 0/10
SwitchB (config-vlan3)#interface ethernet 0/1
SwitchB (config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-Ethernet0/1)# switch trunk allow vlan all
4、 SwitchA端口e0/1的PVID配置为2,然后从PCA ping PCC,看能否相互Ping通,如果不能Ping通,请说明原因。
华为Quidway系列交换机有一个重要特性:如果帧的VLAN ID等于发送该帧的trunk端口的PVID,那么该帧将会先被删掉tag头,再发送。
5、 将SwitchA端口e0/1的配置改为属于VLAN2的接入端口,然后从PCApingPCC。你将会发现虽然SwitchA的e0/1、e0/9,SwitchB的e0/9都属于VLAN2,但PCA却不能Ping通PCC。请说明原因。
有两种方法可以通过改变SwitchB端口e0/1的配置使PCA能Ping通PCC。
方法一:将SwitchB端口e0/1的配置改为属于VLAN2的接入端口;
方法二:将SwitchB端口e0/1的PVID改为2。
6、 通过以上步骤,理解Quidway系列交换机添加和删除8021qVLANtag头的过程和规则。
142 端口聚合(Link Aggregation)
在练习一的基础上再将SwitchA端口e0/2和SwitchB端口e0/2互连,如下图所示。VLAN和IP地址的配置保持不变。
1、 将SwitchA和SwitchB的端口e0/1和e0/2配置为端口聚合。
2、 改变SwitchA端口e0/1的配置,用“show interface e0/2”观察SwitchB端口e0/2的配置变化。
3、 将SwitchA和SwitchB之间的两根双绞线拔掉一根,看看PCA是否仍能Ping通PCC。请说明原因。
4、 通过以上步骤,理解端口聚合的功能和配置。
配置如下:
SwitchA:
SwitchA (config)#link-aggregation e 0/1 to e 0/2 ingress-egress //将e0/1及e0/2做聚合
SwitchA (config)#interface e 0/1
SwitchA (config-if-Ethernet0/1)# switch mode trunk //将e0/1接口设置为trunk模式
SwitchA (config-if-Ethernet0/1)# switch trunk allow vlan all //配置允许所有的VLAN通过
SwitchB:
SwitchB (config)link-aggregation e 0/1 to e 0/2 ingress-egress
SwitchB (config)#interface e 0/1
SwitchB (config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-Ethernet0/1)# switch trunk allow vlan all
--------------------------------------------------------------------------------
143 生成树协议(STP)
我们仍然使用练习二的组网图。这次在SwitchA和SwitchB之间不再用端口聚合,而是配置STP。
请完成以下步骤:
1、 在两台交换机上使能STP。
2、 将SwitchA配置成根桥。
3、 用“show spanning-tree statistics Ethernet”命令观察接口状态,并根据显示信息解释spanning-tree protocol的运行机制。
4、 用“debug stp packet”命令进一步观察STP生成的BPDU信息。
5、 修改SwitchB端口e0/2的优先级为64,然后用“show spanning-tree statistics ethernet0/2”观察端口的变化。
6、 修改SwitchB端口e0/2的pathcost为100,然后用“show spanning-tree statistics ethernet0/2”观察端口的变化。
7、 将SwitchA和SwitchB之间的两根双绞线拔掉一根,然后在两台交换机上用“show spanning-tree statistics ethernet0/1 to ethernet0/2”观察STP信息的变化。测试PCA是否仍能Ping通PCC。请说明原因,并比较端口聚合和STP的不同。
8、 通过以上步骤,理解STP的功能和配置。
配置如下:
SwitchA:
SwitchA (config)#spanning-tree enable //在全局配置模式下启用STP
SwitchB:
SwitchB (config)#spanning-tree enable //在全局配置模式下启用STP
SwitchB (config)#spanning-tree priority 4096 //设置优先级
SwitchB (config)#interface e 0/2
SwitchB (config-if-Ethernet0/2)#spanning-tree pathcost 100 //设置端口的pathcost值
问题:
如果我们将两台交换机的端口e0/1和e0/2配置为trunk端口并且不配置端口聚合和STP,将会
发生什么现象?PCA是否仍能Ping通PCC?
144 通用VLAN注册协议(GVRP)
仍用练习二的组网图。这次在SwitchA和SwitchB上配置GVRP。
请完成以下步骤:
1、 配置某些端口为trunk端口,并允许前面配置的所有VLAN通过。
2、 在两个trunk端口上使能动态VLAN注册协议——GVRP。
3、 在SwitchA上注册VLAN6-10,在SwitchB上注册VLAN11-15,观察在每个交换机上的VLAN注册状态。
4、 在SwitchA上配置VLAN4并将端口e0/1配置为fixed模式,将SwitchB端口e0/1配置为forbidden模式。观察在每个交换机上的VLAN注册状态。
5、 通过以上步骤,理解GVRP的功能和配置。
配置如下:
SwitchA
SwitchA (config)#gvrp enable //在全局配置模式下启用GVRP
SwitchA (config)#switch ethernet 0/1
SwitchA (config-if-Ethernet0/1)# switch mode trunk
SwitchA (config-if-Ethernet0/1)# switch trunk allow vlan all
SwitchA (config-if-Ethernet 0/1)#gvrp enable //在接口模式下启用GVRP
SwitchB
SwitchB (config)#gvrp enable
SwitchB (config)#switch ethernet 0/1
SwitchB (config-if-Ethernet0/1)# switch mode trunk
SwitchB (config-if-Ethernet0/1)# switch trunk allow vlan all
SwitchB (config-if-Ethernet 0/1)#gvrp enable
145 三层交换机和ACL
这次我们要用到一台三层交换机QuidwayS3526,具体组网图如下。注意SwitchA是一台三层交换机。
每台PC机的IP地址指定如下:
PCA:10111
PCB:10121
PCC:10112
PCD:10131
掩码:2552552550
请完成以下步骤:
1、 如上图所示,配置四台PC机分别属于各自相关的VLAN。
2、 配置端口聚合,使SwitchA和SwitchB之间的带宽为200Mbps。
3、 配置某些端口为trunk端口并允许前面配置的所有VLAN通过。
4、 在两台交换机的端口e0/1配置GVRP,使能动态注册VLAN信息。
5、 测试在同一VLAN内的PC机能否互相Ping通。
以上配置我们在前面的练习中已全部学过,另外还需要完成以下工作:
我们需要使PCB不能和PCA、PCC通信,PCD能和PCA、PCB、PCC通信。当然,PCA和PCC仍能互相通信。
我们知道,不同VLAN间的通信在二层是隔离的。所以我们必须寻找一种方法能够通过三层实现通信。SwitchA(QuidwayS3526)是一种三层交换机,能帮助我们解决这个问题。按以下步骤来实现不同VLAN之间的PC机互通:
1、 在交换机A上配置VLAN2的接口地址是1011100,VLAN3的接口地址是1012100,VLAN4的接口地址是1013100。
2、 将PCA和PCC的网关配置为1011100,PCB的网关为1012100,PCD的网关为1013100。
现在,试着在PC机之间互相Ping,你会发现VLAN不再是隔离的。任何两台计算机现在都能通讯了。但是很明显,我们仍没有实现PCB不能和PCA、 PCC通信的目标,那我们应该怎么办呢?S3526上提供了一个方法:使用访问控制列表(ACL)。你可以用ACL来限制10110 网段和10120网段主机之间的通信。
配置如下:
SwitchA (config)link-aggregation e 0/1 to e 0/2 ingress-egress
SwitchA(config)#gvrp enable
SwitchA(config)#vlan 2
SwitchA (config-vlan2)#port e 0/9
SwitchA (config-vlan2)#vlan 3
SwitchA (config-vlan3)#port e 0/10
SwitchA (config-vlan4)#interface e 0/1
SwitchA (config-if-Ethernet0/1)#trunk all
SwitchA (config-if-Ethernet0/1)#gvrp enable
SwitchA (config-if-Ethernet0/1)#interface vlan 2
//进入VLAN 2的虚接口配置模式
SwitchA (config-VLAN-Interface2)#ip address 1011100 2552552550
//配置VLAN 2虚接口的IP地址
SwitchA (config-VLAN-Interface2)#interface vlan 3
SwitchA (config-VLAN-Interface3)#ip address 1012100 2552552550
SwitchA (config-VLAN-Interface3)#interface vlan 4
SwitchA (config-VLAN-Interface4)#ip address 1013100 2552552550
SwitchA (config-VLAN-Interface4)#exit
SwitchA (config)#rule-map l3 net1tonet2 10110 2552552550 10120 2552552550
//定义流分类规则
SwitchA (config)#flow-action net1tonet2 deny //定义流的动作
SwitchA (config)#acl net1tonet2 net1tonet2 net1tonet2 //定义访问控制列表
SwitchA (config)#access-group net1tonet2 //将ACL定义的访问控制策略激
现在让我们看一看show running-config的信息:
SwitchA(config)#show running-config
Building running configuration
Current configuration is :
hostname SwitchA
rule-map l3 net1tonet2 10110 2552552550 10120 2552552550
flow-action net1tonet2 deny
acl net1tonet2 net1tonet2 net1tonet2
access-group net1tonet2
link-aggregation Ethernet0/1 to Ethernet0/2 ingress-egress
gvrp enable
interface Aux0/0
vlan 1
vlan 2
port Ethernet0/9
vlan 3
port Ethernet0/10
vlan 4
interface Ethernet0/1
trunk all
gvrp enable
interface Ethernet0/10
interface NULL0
interface VLAN-Interface2
ip address 1011100 2552552550
interface VLAN-Interface3
ip address 1012100 2552552550
interface VLAN-Interface4
ip address 1013100 2552552550
line aux 0
no login
line vty 0 4
end
SwitchB#show running-config
Building running configuration
Current configuration is :
hostname SwitchB
gvrp
!
interface Aux0/0
!
vlan 1
!
vlan 2
!
vlan 4
!
interface Ethernet0/1
switchport mode trunk
switchport trunk allowed vlan all
gvrp
!
interface Ethernet0/10
switchport access vlan 4
!
interface Ethernet0/11
………
!
interface Ethernet0/2
switchport mode trunk
switchport trunk allowed vlan all
gvrp
!
interface Ethernet0/20
………
interface Ethernet0/8
!
interface Ethernet0/9
switchport access vlan 2
!
interface NULL0
!
link-aggregation Ethernet0/1 to Ethernet0/2 ingress-egress
!
line aux 0
no login
line vty 0 4
!
end
--------------------------------------------------------------------------------
-- 作者:admin
-- 发布时间:2005-4-18 9:46:45
--
46 以太交换网安全
仍然沿用练习五的组网图。有时候我们必须远程登录来配置交换机,所以我们需要配置交换机的远程登录,同时我们应避免这些交换机的非法访问。在这个练习中,你需要配置SwitchA使PCA和PCC能telnet上SwitchA并远程配置。
配置如下:
SwitchA(config)#enable password 0 huawei //配置进入特权模式的密码
SwitchA(config)#line vty 0 4 //进入line配置模式
SwitchA(config-line-vty0-4)#login local //使能本地口令验证
SwitchA(config-line-vty0-4)#exit
SwitchA(config)#user huawei password 0 huawei //配置本地验证的用户名及密码
如果你的配置已正常运行,你可以在PCA或PCC上用“telnet 1011100”登录SwitchA,然后输入正确的用户名和密码,你就能从PC机远程配置SwitchA了。
问题:
你能使SwitchB能远程登录,并从PCA、PCC以及SwitchA上配置它吗?
实验二 使用华为Quidway系列交换机复杂组网21 实验目的1、 让学员学会如何设计和构建一个典型的交换网络。
2、 让学员学会如何在交换网络中配置生成树协议(STP),STP在交换机之间是如何工作的,如何通过改变STP的参数来改变生成树的状态。另外,学员应能通过debug信息分析STP的构建过程。
3、 让学员学会GVRP的动态注册过程。
4、 让学员学会如何利用三层交换机实现不同VLAN间的通信以及如何限制不同VLAN间的通信。
5、 让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6、 让学员学会交换机的其他配置,例如:端口聚合、ACL、端口监控。
7、 让学员具备在三层交换机和路由器上配置OSPF动态路由协议的能力,使得交换网中的PC机能访问外部广域网或Internet。
22 实验环境Quidway S3026以太网交换机 4 台,Quidway S3526以太网交换机1台
Quidway 2501路由器 1台,
PC机4台,标准网线13根
Quidway S3026软件版本:V100R002B01D011;Bootrom版本:V11
Quidway S3526软件版本:V100R001B02D006;Bootrom版本:V30
Quidway 2501路由器 VRP版本: VRP 12以上
实验二 使用华为Quidway系列交换机复杂组网21 实验目的1、 让学员学会如何设计和构建一个典型的交换网络。
2、 让学员学会如何在交换网络中配置生成树协议(STP),STP在交换机之间是如何工作的,如何通过改变STP的参数来改变生成树的状态。另外,学员应能通过debug信息分析STP的构建过程。
3、 让学员学会GVRP的动态注册过程。
4、 让学员学会如何利用三层交换机实现不同VLAN间的通信以及如何限制不同VLAN间的通信。
5、 让学员学会如何远程配置交换机以及如何保护交换机不受非法登录。
6、 让学员学会交换机的其他配置,例如:端口聚合、ACL、端口监控。
7、 让学员具备在三层交换机和路由器上配置OSPF动态路由协议的能力,使得交换网中的PC机能访问外部广域网或Internet。
22 实验环境Quidway S3026以太网交换机 4 台,Quidway S3526以太网交换机1台
Quidway 2501路由器 1台,
PC机4台,标准网线13根
Quidway S3026软件版本:V100R002B01D011;Bootrom版本:V11
Quidway S3526软件版本:V100R001B02D006;Bootrom版本:V30
Quidway 2501路由器 VRP版本: VRP 12以上可以
1、开始首先安装Loopback 0虚拟网卡,然后配置它自动获得IP地址:
CCNA实验五 配置路由器为DHCP服务器
打开GNS新建一个工程,创建拓扑:
CCNA实验五 配置路由器为DHCP服务器
右键Colud “Loopback0”选择“配置”进行如下 *** 作:
CCNA实验五 配置路由器为DHCP服务器
接着连接设备启动R1,查看的console端口为2000:
CCNA实验五 配置路由器为DHCP服务器
2、打开cmd命令,输入“telnet 127001 2000 ”登录到路由器R1并配置,命令如下
Router>en
Router#conf t
Router(config)#hostname R1
R1(config)#enable pass cisco
R1(config)#ip dhcp excluded-address 19216821 192168210 //配置dhcp不分发的IP地址
R1(config)#ip dhcp pool dhcp //创建一个地址池叫dhcp
R1(dhcp-config)#network 19216820 2552552550 //配置地址池中的网段
R1(dhcp-config)#default-router 19216821 //配置默认网关
R1(dhcp-config)#dns-server 19216821 //配置DNS服务器
R1(dhcp-config)#lease 200 //配置地址池中的IP地址的租期
R1(dhcp-config)#end
R1#conf t
R1(config)#int fa0/0 //进入fa0/0接口
R1(config-if)#ip add 19216821 2552552550 //配置接口的地址19216820/24
R1(config-if)#no shutdown //开启接口
R1(config-if)#end //退出
CCNA实验五 配置路由器为DHCP服务器
3、回到物理机,打开cmd命令行,输入ipconfig /renew:查看Loopback 0网卡地址的变化
CCNA实验五 配置路由器为DHCP服务器
在路由器R1上输入Show ip dhcp binding 与 show ip dhcp pool查看dhcp地址池租约信息:
CCNA实验五 配置路由器为DHCP服务器
实验A成功,客户端已从R1获得IP地址。
1、并不是只能通过命令 *** 作,而是路由器这玩意主要是使用命令行玩的,而不是web
2、导出配置方法有很多,最简单的就是用securecrt软件,记录会话或者,如果你想用ftp导出文件也行
具体 *** 作如下:
将设备配置为FTP服务器,PC配置为FTP客户端
在Switch上创建VLAN 10,并配置VLAN 10的接口IP地址为10112/24
<Quidway> system-view
[Quidway] vlan 10
[Quidway-vlan10] quit
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[Quidway-GigabitEthernet0/0/1] port hybrid untagged vlan 10
[Quidway-GigabitEthernet0/0/1] quit
[Quidway] interface vlanif 10
[Quidway-Vlanif10] ip address 10112 24
在Switch上启动FTP服务,并配置FTP用户名u1,口令ftppwd
[Quidway] ftp server enable //开启FTP服务
[Quidway] aaa
[Quidway-aaa] local-user u1 password cipher ftppwd
[Quidway-aaa] local-user u1 service-type ftp
[Quidway-aaa] local-user u1 privilege level 15
[Quidway-aaa] local-user u1 ftp-directory flash:/
[Quidway-aaa] return
在PC机上,向Switch发起FTP连接,输入用户名u1和口令ftppwd
PC机上的FTP客户端以Window XP *** 作系统为例说明。
C:\WINDOWS\Desktop> ftp 10112
Connected to 10112
220 FTP service ready
User (10111:(none)): u1
331 Password required for u1
Password:
230 User logged in
ftp>
在PC机上,配置二进制传输格式和PC机本地目录
ftp> binary
200 Type set to I
ftp> lcd c:\temp
Local directory now C:\temp
在PC上,从Switch下载文件vrpcfgcfg
ftp> get vrpcfgcfg vrpcfgcfg
200 Port command okay
150 Opening BINARY mode data connection for vrpcfgcfg
ftp> quit
C:\WINDOWS\Desktop>
在PC上,从Switch上传文件vrpcfgcfg
ftp> put vrpcfgcfg vrpcfgcfg
200 Port command okay
150 Opening BINARY mode data connection for vrpcfgcfg
ftp> quit
C:\WINDOWS\Desktop>
如果你什么都不懂的话建议你还是用securecrt软件记录会话,或者录制脚本,因为使用ftp命令 *** 作对网络理论知识还是有一定要求的,理论是指里面每句话的含义,如果你不知道直接copy命令遇到问题难以解决。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)