搜索
您的当前位置:首页正文

华为交换机的配置

2023-08-02 来源:趣尚旅游网


怪狗

交换机配置(一)端口限速基本配置

交换机配置(二)端口绑定基本配置

交换机配置(三)ACL基本配置

交换机配置(四)密码恢复

交换机配置(五)三层交换配置

交换机配置(六)端口镜像配置

交换机配置(七)DHCP配置

交换机配置(八)配置文件管理

交换机配置(九)远程管理配置

交换机配置(十)STP配置

交换机配置(十一)私有VLAN配置

交换机配置(十二)端口trunk、hybrid应用配置

交换机配置(十三)同一VLAN内部端口之间隔离

交换机配置(十四)S系列交换机实现不同VLAN之间互访的配置

怪狗

交换机配置(一)端口限速基本配置

华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3900、S3050、S5012、S5024、S5600系列:

华为交换机端口限速

2000_EI系列以上的交换机都可以限速!

限速不同的交换机限速的方式不一样!

2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!

端口限速配置

1功能需求及组网说明

端口限速配置

『配置环境参数』

S3528、、S3552

1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24

『组网需求』

1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps

2数据配置步骤

『S2000EI系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】

1. 进入端口E0/1的配置视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet0/1]line-rate outbound 30

3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet0/1]line-rate inbound 16

【补充说明】

报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。

此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。

『S2000-SI和S3000-SI系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】

1. 进入端口E0/1的配置视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps

[SwitchA- Ethernet0/1]line-rate outbound 2

3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet0/1]line-rate inbound 1

【补充说明】

对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。

此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。

『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。

【SwitchA相关配置】

1. 进入端口E0/1的配置视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet0/1]line-rate 3

3. 配置acl,定义符合速率限制的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1 exceed drop

【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为1Mbps。

此系列交换机的具体型号包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。

『S3528、S3552系列交换机端口限速配置流程』

使用以太网物理端口下面的traffic-shape和traffic-limit命令,分别来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】

1. 进入端口E0/1的配置视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet0/1]traffic-shape 3250 3250

3. 配置acl,定义符合速率限制的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop

【补充说明】

此系列交换机的具体型号包括:S3528G/P和S3552G/P/F。

『S3900系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结

合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。

【SwitchA相关配置】

1. 进入端口E1/0/1的配置视图

[SwitchA]interface Ethernet 1/0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet1/0/1]line-rate 3000

3. 配置acl,定义符合速率限制的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括:S3924、S3928P/F/TP和S3952P。

『S5600系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。

【SwitchA相关配置】

1. 进入端口E1/0/1的配置视图

[SwitchA]interface Ethernet 1/0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet1/0/1]line-rate 3000

3. 配置acl,定义符合速率限制的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括:S5624P/F和S5648P。

怪狗 00:43

交换机配置(二)端口绑定基本配置

1,端口+MAC

a)AM命令

使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。例如:

[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。

b)mac-address命令

使用mac-address static命令,来完成MAC地址与端口之间的绑定。例如:

[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

[SwitchA]mac-address max-mac-count 0

配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。

2,IP+MAC

a)AM命令

使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。例如:

[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3

配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。

支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G

b)arp命令

使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定。例如:

[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3

配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。

3,端口+IP+MAC

使用特殊的AM User-bind命令,来完成IP、MAC地址与端口之间的绑定。例如:

[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置说明:可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地

址可以在其他端口上网。

支持型号:S3026E/S3026E-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;E3026;E050;S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)

怪狗 00:43

交换机配置(三)ACL基本配置

1,二层ACL

. 组网需求:

通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。

.配置步骤:

(1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL

# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。

[Quidway] acl name traffic-of-link link

# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei

(3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link

2,三层ACL

a)基本访问控制列表配置案例

. 组网需求:

通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。

.配置步骤:

(1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源IP为10.1.1.1的ACL

# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。

[Quidway] acl name traffic-of-host basic

# 定义源IP为10.1.1.1的访问规则。

[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei

(3)激活ACL。

# 将traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host

b)高级访问控制列表配置案例

.组网需求:

公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。

.配置步骤:

(1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 working-day

(2)定义到工资服务器的ACL

# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。

[Quidway] acl name traffic-of-payserver advanced

# 定义研发部门到工资服务器的访问规则。

[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei

(3)激活ACL。

# 将traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1] traffic-of-payserver

packet-filter inbound ip-group

3,常见病毒的ACL

[url]http://bbs.51cto.com/viewthread.php?tid=34982&fpage=1&highlight=ACL[/url]

4,防止同网段ARP欺骗的ACL

[url]http://bbs.51cto.com/viewthread.php?tid=403852&fpage=1&highlight=arp%C6%DB%C6%AD[/url]

5,关于ACL规则匹配的说明

a) ACL直接下发到硬件中的情况

交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用。

ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。

b) ACL被上层模块引用的情况

交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL子规则的匹配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。

ACL被软件引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL等。

怪狗 00:44

交换机配置(四)密码恢复

说明:以下方法将删除原有config文件,使设备恢复到出厂配置。

在设备重启时按Ctrl+B进入BOOT MENU之后,

Press Ctrl-B to enter Boot Menu... 5

Password : 缺省为空,回车即可

1. Download application file to flash

2. Select application file to boot

3. Display all files in flash

4. Delete file from Flash

5. Modify bootrom password

0. Reboot

Enter your choice(0-5): 4 选择4

No. File Name File Size(bytes)

===========================================================================

1 S3026CGSSI.btm 257224

2 wnm2.2.2-0005.zip 447827

3 snmpboots 4

4 * R0023P01.app 2985691

5 hostkey 428

6 serverkey 572

7 vrpcfg.txt 1281

Free Space : 3452928 bytes

The current application file is R0023P01.app

Please input the file number to delete: 7 选择7,删除当前的配置文件

Do you want to delete vrpcfg.txt now? Yes or No(Y/N)y

Delete file....done!

BOOT MENU

1. Download application file to flash

2. Select application file to boot

3. Display all files in flash

4. Delete file from Flash

5. Modify bootrom password

0. Reboot

Enter your choice(0-5):0 选择0,重启设备

注:删除之后交换机就恢复了出厂配置。

怪狗 00:44

交换机配置(五)三层交换配置

1,三层交换数据包转发流程图:

[attach]504[/attach]

2,三层交换机配置实例:

服务器1双网卡,内网IP:192.168.0.1,其它计算机通过其代理上网

PORT1属于VLAN1

PORT2属于VLAN2

PORT3属于VLAN3

VLAN1的机器可以正常上网

配置VLAN2的计算机的网关为:192.168.1.254

配置VLAN3的计算机的网关为:192.168.2.254

即可实现VLAN间互联

如果VLAN2和VLAN3的计算机要通过服务器1上网

则需在三层交换机上配置默认路由

系统视图下:ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

然后再在服务器1上配置回程路由

进入命令提示符

route add 192.168.1.0 255.255.255.0 192.168.0.254

route add 192.168.2.0 255.255.255.0 192.168.0.254

这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~

[attach]505[/attach]

3,三层交换机VLAN之间的通信:

acl number 3192

rule 1 permit ip source 192.168.0.0 0.0.15.255 destination 192.168.1.0 0.0.0.15

rule 2 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.15.255

rule 3 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.6.0 0.0.0.255

rule 4 permit ip source 192.168.8.0 0.0.0.255 destination 192.168.8.0 0.0.0.255

rule 5 permit ip source 192.168.9.0 0.0.0.255 destination 192.168.9.0 0.0.0.255

rule 6 deny ip source 192.168.0.0 0.0.15.255 destination 10.0.0.0 0.255.255.255

rule 7 deny ip source 192.168.0.0 0.0.15.255 destination 192.168.0.0 0.0.15.255

rule 8 permit ip

vlan 191

name SUSHE

#

..................

#

vlan 199

name BINGUAN

#

interface Vlan-interface191

ip address 192.168.1.1 255.255.255.0

#

interface Vlan-interface196

ip address 192.168.6.1 255.255.255.0

#

interface Vlan-interface198

ip address 192.168.8.1255.255.255.0

#

interface Vlan-interface199

ip address 192.168.9.1 255.255.255.0

#

interface Ethernet5/0/5

port access vlan 196

packet-filter inbound ip-group 3192

#

这是我6506R上的一部分配置,供参考

VLAN的划分应与IP规划结合起来,使得一个VLAN 接口IP就是对应的子网段就是某个部门的子网段,VLAN接口IP就是一个子网关。VLAN应以部门划分,相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围,同属于一个VLAN。这样不仅在安全上有益,而且更方便网络管理员的管理和监控。注意:各VLAN中的客户机的网关分别对应各VLAN的接口IP。

在这企业网中计划规划四个VLAN子网对应着四个重要部门,笔者认为这也是小企业最普遍的部门结构,分别是:

VLAN10——综合行政办公室;

VLAN20——销售部;

VLAN30——财务部;

VLAN40——数据中心(网络中心)。

划分VLAN以后,要为每一个VLAN配一个“虚拟接口IP地址”。

VLAN10——192.168.10.1

VLAN20——192.168.20.1

VLAN30——192.168.30.1

VLAN40——192.168.40.1

拓朴图如下:

[attach]506[/attach]

图2

VLAN及路由配置

1.DES-3326SR三层交换机的VLAN的配置过程:

(1)创建VLAN

DES-3326SR#Config 删除默认VLAN(default)包含的端口1-24''delete 1 -24

vlan default

DES-3326SR#Create 创建VLAN名为vlan10,并标记VID为1010

vlan vlan10 tag

DES-3326SR#Create vlan vlan20 创建VLAN名为vlan20,并标记VID为20tag 20

DES-3326SR#Create vlan vlan30 tag 30 创建VLAN名为vlan10,并标记VID为30

DES-3326SR#Create vlan vlan40 tag 40 创建VLAN名为vlan10,并标记VID为40

(2)添加端口到各VLAN

DES-3326SR#Config vlan vlan10 add 把端口1-6添加到VLAN10untag 1-6

DES-3326SR#Config vlan vlan20 add untag 7-12 把端口1-6添加到VLAN20

DES-3326SR#Config vlan vlan30 add untag 13-18 把端口1-6添加到VLAN30

DES-3326SR#Config vlan vlan40 add untag 19-24 把端口1-6添加到VLAN40

(3)创建VLAN接口IP

DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled 创建虑拟的接口if10给名为VLAN10的VLAN子网,并且指定该接口的IP为192.168.10.1/24。创建后enabled激活该接口。

同样方法设置其它的接口IP:

DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled

DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30 state enabled

DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled

(4)路由

当配置三层交换机的三层功能时,如果只是单台三层交换机,只需要配置各VLAN的虚拟接口就行,不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现,因此不需要静态路由或动态路由协议的配置。

2.DES-3226S二层交换机的VLAN的配置过程:

(1)创建VLAN

DES-3226S#Config 删除默认VLAN(default)包含的端口1-24''delete 1 -24

vlan default

DES-3226S#Create vlan 创建VLAN名为vlan10,并标记VID为10vlan10 tag 10

(2)添加端口到各VLAN

DES-3226S#Config vlan vlan10 add untag 1-24 把端口1-24添加到VLAN10

同理,配置其它DES-3226S二层交换机。完成以后就可以将各个所属VLAN的二层交换机与DES-3326SR三层交换机的相应VLAN的端口连接即可。

怪狗 00:45

1,华为交换机端口镜像配置:

【3026等交换机镜像】

S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:

方法一

1. 配置镜像(观测)端口

[SwitchA]monitor-port e0/8

2. 配置被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

方法二

1. 可以一次性定义镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口,对输入和输出的数据分别镜像

1. 设置E1/0/15和E2/0/0为镜像(观测)端口

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1. 定义一条扩展访问控制列表

[SwitchA]acl num 101

2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 101 interface e0/8

〖基于二层流的镜像〗

1. 定义一个ACL

[SwitchA]acl num 200

2. 定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 (egress interface any)

3. 定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule 1 permit (ingress interface any) egress interface Ethernet0/1

4. 将符合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516】

支持对入端口流量进行镜像

配置端口Ethernet 3/0/1为监测端口,对Ethernet 3/0/2端口的入流量镜像。

[SwitchA]mirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1

【6506/6503/6506R】

目前该三款产品只支持对入端口流量进行镜像,虽然有outbount参数,但是无法配置。

镜像组名为1,监测端口为Ethernet4/0/2,端口Ethernet4/0/1的入流量被镜像。

[SwitchA]mirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2

【补充说明】

1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现

2. 8016支持跨单板端口镜像

2,华为各种型号交换机端口镜像配置方法总结:

华为各种型号交换机端口镜像配置方法总结

有不少朋友在问华为交换机镜像方面的问题。通过本人现有的资料和文档,现把各种型号的交换机镜像方法总结一下。以便各位朋友能够方便查阅!在学配置之前,对于端口镜像的基本概念还是要一定的了解!

一、端口镜像概念:

Port Mirror(端口镜像)是用于进行网络性能监测。可以这样理解:在端口A 和端口B 之间建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。

二、端口镜像配置

『环境配置参数』

1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24

2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24

3. E0/24为交换机上行端口

4. Server接在交换机E0/8端口,该端口作为镜像端口

『组网需求』

1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2. 按照镜像的不同方式进行配置:

1) 基于端口的镜像

2) 基于流的镜像

2 数据配置步骤

『端口镜像的数据流程』

基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。

【3026等交换机镜像】

S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:

方法一

1. 配置镜像(观测)端口

[SwitchA]monitor-port e0/8

2. 配置被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

方法二

1. 可以一次性定义镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口,对输入和输出的数据分别镜像

1. 设置E1/0/15和E2/0/0为镜像(观测)端口

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1. 定义一条扩展访问控制列表

[SwitchA]acl num 100

2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

〖基于二层流的镜像〗

1. 定义一个ACL

[SwitchA]acl num 200

2. 定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 Ethernet0/2

3. 定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule 1 permit ingress interface Ethernet0/2 Ethernet0/1

4. 将符合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516/6506/6503/6506R】

目前该三款产品支持对入端口流量进行镜像

1. 定义镜像端口

egress egress interface interface

[SwitchA]monitor-port Ethernet 3/0/2

2. 定义被镜像端口

[SwitchA]mirroring-port Ethernet 3/0/1 inbound

【补充说明】

1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现

2. 8016支持跨单板端口镜像端口镜像配置

『环境配置参数』

怪狗 00:45

交换机配置(七)DHCP配置

1,交换机作DHCP Server

『配置环境参数』

1. PC1、PC2的网卡均采用动态获取IP地址的方式

2. PC1连接到交换机的以太网端口0/1,属于VLAN10;PC2连接到交换机的以太

网端口0/2,属于VLAN20

3. 三层交换机SwitchA的VLAN接口10地址为10.1.1.1/24,VLAN接口20地址为10.1.2.1/24

『组网需求』

1. PC1可以动态获取10.1.1.0/24网段地址,并且网关地址为10.1.1.1;PC2可以动态获取10.1.2.0/24网段地址,并且网关地址为10.1.2.1

『DHCP Server配置流程流程』

可以完成对直接连接到三层交换机的PC机分配IP地址,也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址。

分配地址的方式可以采用接口方式,或者全局地址池方式。

【SwitchA采用接口方式分配地址相关配置】

1. 创建(进入)VLAN10

[SwitchA]vlan 10

2. 将E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1

3. 创建(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

4. 为VLAN接口10配置IP地址

[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0

5. 在VLAN接口10上选择接口方式分配IP地址

[SwitchA-Vlan-interface10]dhcp select interface

6. 禁止将PC机的网关地址分配给用户

[SwitchA]dhcp server forbidden-ip 10.1.1.1

【SwitchA采用全局地址池方式分配地址相关配置】

1. 创建(进入)VLAN10

[SwitchA]vlan 10

2. 将E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1

3. 创建(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

4. 为VLAN接口10配置IP地址

[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0

5. 在VLAN接口10上选择全局地址池方式分配IP地址

[SwitchA-Vlan-interface10]dhcp select global

6. 创建全局地址池,并命名为”vlan10”

[SwitchA]dhcp server ip-pool vlan10

7. 配置vlan10地址池给用户分配的地址范围以及用户的网关地址

[SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0

[SwitchA-dhcp-vlan10]gateway-list 10.1.1.1

8. 禁止将PC机的网关地址分配给用户

[SwitchA]dhcp server forbidden-ip 10.1.1.1

【补充说明】

以上配置以VLAN10的为例,VLAN20的配置参照VLAN10的配置即可。在采用全局地址池方式时,需新建一个与”vlan10”不同名的全局地址池。

经过以上配置,可以完成为PC1分配的IP地址为10.1.1.0/24,同时PC1的网关地址为10.1.1.1;为PC2分配的IP地址为10.1.2.0/24,同时PC2的网关地址为10.1.2.1。

VLAN接口默认情况下以全局地址池方式进行地址分配,因此当VLAN接口配置了以全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的VLAN接口下无法看到有关DHCP的配置。

利用全局地址池方式,可以完成为用户分配与三层交换机本身VLAN接口地址不同网段的IP地址。

2,DHCP Relay配置

『配置环境参数』

1. DHCP Server的IP地址为192.168.0.10/24

2. DHCP Server连接在交换机的G1/1端口,属于vlan100,网关即交换机vlan接口100的地址192.168.0.1/24

3. E0/1-E0/10属于vlan10,网段地址10.10.1.1/24

4. E0/11-E0/20属于vlan20,网段地址10.10.2.1/24

『组网需求』

1. 在SwitchA上配置DHCP Relay使下面用户动态获取指定的相应网段的IP地址

2. PC1、PC2均可以ping通自己的网关,同时PC1、PC2之间可以互访

『交换机DHCP Relay配置流程』

DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况,通过Relay,不同子网的用户可以到同一个DHCP Server申请IP地址,这样便于地址池的管理和维护。

【SwitchA相关配置】

1. 全局使能DHCP功能(缺省情况下,DHCP功能处于使能状态)

[SwitchA]dhcp enable

2. 创建(进入)VLAN100

[SwitchA]vlan 100

3. 将G1/1加入到VLAN100

[SwitchA-vlan100]port GigabitEthernet 1/1

4. 创建(进入)VLAN接口100

[SwitchA]interface Vlan-interface 100

5. 为VLAN接口100配置IP地址

[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0

6. 创建(进入)VLAN10

[SwitchA]vlan 10

7. 将E0/1-E0/10加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

8. 创建(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

9. 为VLAN接口10配置IP地址

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

10. 使能VLAN接口10的DHCP中继功能

[SwitchA-Vlan-interface10]dhcp select relay

11. 为VLAN接口10配置DHCP服务器的地址

[SwitchA-Vlan-interface10]ip relay address 192.168.0.10

12. 创建(进入)VLAN20

[SwitchA-vlan10]vlan 20

13. 将E0/11-E0/20加入到VLAN20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

14. 创建(进入)VLAN接口20

[SwitchA]interface Vlan-interface 20

15. 为VLAN接口20配置IP地址

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

16. 使能VLAN接口20的DHCP中继功能

[SwitchA-Vlan-interface20]dhcp select relay

17. 为VLAN接口20配置DHCP服务器的地址

[SwitchA-Vlan-interface20]ip relay address 192.168.0.10

【补充说明】

也可以在全局配置模式下,使能某个或某些VLAN接口上的DHCP中继功能,例如:[SwitchA]dhcp select relay interface Vlan-interface 10

3,DHCP Snooping

『配置环境参数』

1. DHCP Server连接在交换机SwitchA的G1/1端口,属于vlan10,IP地址为10.10.1.253/24

2. 端口E0/1和E0/2同属于vlan10

『组网需求』

1. PC1、PC2均可以从指定DHCP Server获取到IP地址

2. 防止其他非法的DHCP Server影响网络中的主机

『交换机DHCP-Snooping配置流程』

当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

【SwitchA相关配置】

1. 创建(进入)VLAN10

[SwitchA]vlan 10

2. 将端口E0/1、E0/2和G1/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1

3. 全局使能dhcp-snooping功能

[SwitchA]dhcp-snooping

4. 将端口G1/1配置为trust端口,

[SwitchA-GigabitEthernet1/1]dhcp-snooping trust

【补充说明】

由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文――”dhcp offer”报文,由G1/1端口进入SwitchA并进行转发,因此需要将端口G1/1配置为”trust”端口。如果SwitchA上行接口配置为Trunk端口,并且连接到DHCP中继设备,也需要将上行端口配置为”trust”端口。

相关学习帖:

1,华为 3Com 8016交换机DHCP配置

2,多个vlan用一台路由器做DHCP服务如何设置

怪狗 00:45

交换机配置(八)配置文件管理

(1)文件常用操作

1,命令 display current-configuration:查看以太网交换机的当前配置

2,命令 display saved-configuration:查看以太网交换机的启动配置

3,命令 reset saved-configuration:擦除Flash Memory中的配置文件,以太网交换机下次上电时,系统将采用缺省的配置参数进行初始化。

(2)FTP文件上传与下载

1. 组网需求

交换机作为FTP Server,远端的PC作为FTP Client。在FTP Server上作了如下配置:配置了一个FTP用户名为switch,密码为hello,对该用户授权了交换机上Flash根目录的读写权限。交换机上的一个VLAN接口的IP地址为1.1.1.1,PC的IP地址为2.2.2.2,交换机和PC之间路由可达。

交换机的应用程序switch.app保存在PC上。PC通过FTP向远端的交换机上传switch.app,同时将交换机的配置文件vrpcfg.txt下载到PC实现配置文件的备份。

2. 组网图(略)

3. 配置步骤

1) 交换机上的配置

# 用户登录到交换机上。(用户可以在本地通过Console口登录到交换机上,也可以通过telnet远程登录到交换机上。各种登录方式请参见入门模块的描述。)

# 在交换机上开启FTP服务,设置好用户名、密码和路径:

[Quidway] ftp server enable

[Quidway] local-user switch

[Quidway-luser-switch] service-type ftp ftp-directory flash:

[Quidway-luser-switch] password simple hello

2) 在PC上运行FTP Client程序,同交换机建立FTP连接,同时通过上载操作把交换机的应用程序switch.app上载到交换机的Flash根目录下,同时从交换机上下载配置文件vrpcfg.txt。FTP Client应用程序由用户自己购买、安装,Quidway系列交换机不附带此软件。

注意:如果交换机的Flash memory空间不够大,请删除Flash中原有的应用程序然后再上载新的应用程序到交换机Flash中。

3) 在上载完毕后,用户在交换机上进行升级操作。

# 用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序,然后重启交换机,实现交换机应用程序的升级。

boot boot-loader switch.app

reboot

(3)TFTP文件上传与下载

1. 组网需求

交换机作为TFTP Client,PC作为TFTP Server,在TFTP Server上配置了TFTP的工作路径。交换机上的一个VLAN接口的IP地址为1.1.1.1,交换机和PC相连的端口属于该VLAN,PC的IP地址为1.1.1.2。

交换机的应用程序switch.app保存在PC上。交换机通过TFTP从TFTP Server上下载switch.app,同时将交换机的配置文件vrpcfg.txt上传到TFTP Server的工作目录实现配置文件的备份。

2. 组网图(略)

3. 配置步骤

1) 在PC上启动了TFTP Server,配置TFTP Server的工作目录。

2) 交换机上的配置

# 用户登录到交换机上。(用户可以在本地通过Console口登录到交换机上,也可以通过telnet远程登录到交换机上。各种登录方式请参见入门模块的描述。)

注意:如果交换机的Flash memory空间不够大,请删除Flash中原有的应用程序然后再下载新的应用程序到交换机的Flash中。

# 进入系统视图。

system-view

[Quidway]

# 配置VLAN接口的IP地址为1.1.1.1,同时保证与PC相连的端口属于这个VLAN。(本例中以VLAN 1为例。)

[Quidway] interface vlan 1

[Quidway-vlan-interface1] ip address 1.1.1.1 255.255.255.0

[Quidway-vlan-interface1] quit

# 将交换机的应用程序switch.app从TFTP Server下载到交换机。

[Quidway] tftp get //1.1.1.2/switch.app switch.app

# 将交换机的配置文件vrpcfg.txt上传到TFTP Server。

[Quidway] tftp put vrpcfg.txt //1.1.1.2/vrpcfg.txt

# 执行quit命令退回到用户视图下。

[Quidway] quit

# 用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序,然后重启交换机,实现交换机应用程序的升级。

boot boot-loader switch.app

reboot

怪狗 00:46

交换机配置(九)远程管理配置

1,WEB方式

『WEB方式远程管理交换机配置流程』

首先必备条件要保证PC可以与SwitchB通信,比如PC可以ping通SwitchB。

如果想通过WEB方式管理交换机,必须首先将一个用于支持WEB管理的文件载入交换机的flash中,该文件需要与交换机当前使用的软件版本相配套。WEB管理文件的扩展名为”tar”或者”zip”,可以从网站上下载相应的交换机软件版本时得到。

需要在交换机上添加WEB管理使用的用户名及密码,该用户的类型为telnet类型,而且权限为最高级别3。

注意,在将WEB管理文件载入交换机flash时,不要将文件进行解压缩,只需将完整的文件载入交换机即可(向交换机flash载入WEB管理文件的方法,请参考本配置实例中交换机的系统管理配置章节)。

【SwitchB相关配置】

1.查看交换机flash里面的文件(保证WEB管理文件已经在交换机flash中)

dir /all

Directory of flash:/

-rwxrwx 1 noone nogroup 442797 Apr 02 2000 13:09:50 wnm-xxx.zip

2.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”wnm”

[SwitchB]local-user huawei

[SwitchB-luser-huawei]service-type telnet level 3

[SwitchB-luser-huawei]password simple wnm

3.配置交换机管理地址

[SwitchB]interface vlan 100

[SwitchB-Vlan-interface100]ip addr 192.168.0.2 255.255.255.0

4.对HTTP访问用户的控制(Option)

[SwitchB]ip http acl acl_num/acl_name

相关学习帖:

[url]http://bbs.51cto.com/viewthread.php?tid=401882&fpage=1&highlight=web[/url]

2,TELNET方式

【TELNET密码验证配置】

只需输入password即可登陆交换机。

1. 进入用户界面视图

[SwitchA]user-interface vty 0 4

2. 设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

3. 设置登陆验证的password为明文密码”huawei”

[SwitchA-ui-vty0-4]set authentication password simple huawei

4. 配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

5. 或者在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super password为明文密码”super3”

[SwitchA]super password level 3 simple super3

【TELNET本地用户名和密码验证配置】

需要输入username和password才可以登陆交换机。

1. 进入用户界面视图

[SwitchA]user-interface vty 0 4

2. 配置本地或远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

3. 配置本地TELNET用户,用户名为”huawei”,密码为”huawei”,权限为最高级别3(缺省为级别1)

[SwitchA]local-user huawei

[SwitchA-user-huawei]password simple huawei

[SwitchA-user-huawei]service-type telnet level 3

4. 在交换机上增加super password

[SwitchA]super password level 3 simple super3

【TELNET RADIUS验证配置】

以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例

1. 进入用户界面视图

[SwitchA]user-interface vty 0 4

2. 配置远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

3. 配置RADIUS认证方案,名为”cams”

[SwitchA]radius scheme cams

4. 配置RADIUS认证服务器地址10.110.51.31

[SwitchA-radius-cams]primary authentication 10.110.51.31 1812

5. 配置交换机与认证服务器的验证口令为”huawei”

[SwitchA-radius-cams]key authentication huawei

6. 送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

7. 创建(进入)一个域,名为”huawei”

[SwitchA]domain huawei

8. 在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

9. 将域”huawei”配置为缺省域

[SwitchA]domain default enable huawei

【TELNET访问控制配置】

1. 配置访问控制规则只允许10.1.1.0/24网段登录

[SwitchA]acl number 2000

[SwitchA-acl-basic-2000]rule deny source any

[SwitchA-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255

2. 配置只允许符合ACL2000的IP地址登录交换机

[SwitchA-ui-vty0-4]acl 2000 inbound

相关学习帖:

[url]http://bbs.51cto.com/viewthread.php?tid=349090&fpage=1&highlight=telnet[/url]

3,SSH方式

1. 组网需求

配置终端(SSH Client)与以太网交换机建立本地连接。终端采用SSH协议进行登录到交换机上,以保证数据信息交换的安全。

2. 组网图(略)

3. 配置步骤(SSH认证方式为口令认证)

[Quidway] rsa local-key-pair create

& 说明:如果此前已完成生成本地密钥对的配置,可以略过此项操作。

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode scheme

[Quidway-ui-vty0-4] protocol inbound ssh

[Quidway] local-user client001

[Quidway-luser-client001] password simple huawei

[Quidway-luser-client001] service-type ssh

[Quidway] ssh user client001 authentication-type password

SSH的认证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值,这些配置完成以后,您就可以在其它与以太网交换机连接的终端上,运行支持SSH1.5的客户端软件,以用户名client001,密码huawei,访问以太网交换机了。

怪狗 00:46

交换机配置(十)STP配置

『配置环境参数』

1. SwitchA选用华为-3com公司的高中端交换机,如S8500或者S6500系列交换机

2. SwitchB和SwitchC选用华为-3com公司的低端交换机,如S3500或者S3550系列交换机

3. SwitchD、SwitchE和SwitchF选用华为

怪狗 00:47

交换机配置(十一)私有VLAN配置

[attach]508[/attach]

『配置环境参数』

PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,服务器的IP地址为10.1.1.253/24;PC1、PC2和PC3分别连接到交换机的端口E0/1 、E0/2和 E0/3,端口分属于VLAN10、20和30,服务器连接到交换机的端口G2/1,属于VLAN100。

『交换机Isolate-user-VLAN完成端口隔离配置流程』

等同于原有命令行中的PVLAN,利用VLAN配置视图中,Isolate-user-VLAN命令(原有命令行中的Primary-VLAN)来完成。

『配置过程』

【SwitchA相关配置】

1.创建(进入)VLAN10,将E0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1

2.创建(进入)VLAN20,将E0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

3.创建(进入)VLAN30,将E0/3加入到VLAN30

[SwitchA]vlan 30

[SwitchA-vlan30]port Ethernet 0/3

4.创建(进入)VLAN100,将G2/1加入到VLAN100

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 2/1

5.将VLAN100配置为Isolate-user-VLAN

[SwitchA-vlan100]Isolate-user-VLAN enable

6.在系统视图模式下,配置Isolate-user-VLAN与各个secondary VLAN之间的映射关系

[SwitchA]isolate-user-vlan 100 secondary 10 20 30

【补充说明】

此功能配置主要用于对用户主机进行二层隔离。

在配置Isolate-user-VLAN与secondary VLAN之间的映射关系之前,Isolate-user-VLAN与secondary VLAN必须都包含物理端口。

配置了映射关系之后,不可以再对Isolate-user-VLAN或secondary VLAN进行端口增减的操作,必须先解除映射关系。

因篇幅问题不能全部显示,请点此查看更多更全内容

Top