【網(wǎng)絡(luò)工程】華為交換機(jī)經(jīng)典配置

1、華為 3Com 8016交換機(jī)DHCP配置 1功能需求及組網(wǎng)說(shuō)明 8016DHCP配置 配置環(huán)境參數(shù)1.DHCP server的IP地址192.168. 0.10/242.DHCP server連接在交換機(jī)G1/0/0，屬于vlan100，網(wǎng)關(guān)即vlan100虛接口地址/243.交換機(jī)通過(guò)G1/0/1連接SwitchAG1/1，G1/0/2連接SwitchBG1/14.SwitchA通過(guò)G2/1連接SwitchC G1/15.vlan10的用戶網(wǎng)段為/246.vlan20的用戶網(wǎng)段為/247.vlan30的用戶網(wǎng)段為/

2、248.SwitchA和SwitchC為二層交換機(jī)，SwitchB為三層交換機(jī)組網(wǎng)需求1.8016作DHCP relay，利用遠(yuǎn)端DHCP server為SwitchA下面的vlan10分配IP地址2.SwitchB上的vlan20用戶以8016上的vlan20虛接口為網(wǎng)關(guān)，8016作DHCP server直接為其分配IP地址3.SwitchC上的vlan30用戶以SwitchB上的vlan30虛接口為網(wǎng)關(guān)，8016作DHCP server為其分配IP地址2數(shù)據(jù)配置步驟8016DHCP relay數(shù)據(jù)流程DHCP Relay的作用則是為了適應(yīng)客戶端和服務(wù)器不在同一網(wǎng)段的情況，通過(guò)Relay，不

3、同子網(wǎng)的用戶可以到同一個(gè)DHCP server申請(qǐng)IP地址，這樣便于地址池的管理和維護(hù)。【8016DHCP relay配置】1.DHCP server要配置到一個(gè)VLAN上，這個(gè)VLAN可以是任意的，但是要實(shí)現(xiàn)Relay，不要將Server同任何客戶端配置到同一個(gè)VLAN內(nèi)，建議專門劃出VLAN給DHCP server組使用，這里將DHCP服務(wù)器組1對(duì)應(yīng)的端口的VLAN配置為100。Quidway vlan 100Quidway-vlan100 port gigabitethernet 1/0/0Quidway interface vlanif 1002.配置DHCP server的網(wǎng)關(guān)地址Q

4、uidway-Vlanif100 ip address 3.配置DHCP服務(wù)器組1對(duì)應(yīng)的IP地址。Quidway dhcp relay server-group 1 server 04.配置DHCP服務(wù)器組1服務(wù)的VLAN范圍為10Quidway dhcp relay server-group 1 vlan 105. 進(jìn)入G1/0/1，設(shè)置為trunk端口，允許vlan10通過(guò)Quidway-gigabitethernet 1/0/1 port trunk permit vlan 106.配置VLAN10的對(duì)應(yīng)網(wǎng)關(guān)地址。Q

5、uidway interface vlanif 10Quidway-Vlanif10 ip address 8016作DHCP server數(shù)據(jù)流程內(nèi)置DHCP server下掛的用戶類型有兩種：一種是S8016的VLAN用戶，用戶直接向S8016發(fā)起DHCP請(qǐng)求，這類稱為VLAN地址池用戶；另一種是中間經(jīng)過(guò)了DHCP中繼設(shè)備（例如MA5200設(shè)備），DHCP請(qǐng)求在到達(dá)S8016之前經(jīng)過(guò)了DHCP relay，這類稱為全局地址池用戶?！?016vlan用戶】1.用戶所在VLAN ID為20，創(chuàng)建并進(jìn)入VLAN配置視圖。Quidway vlan 20

6、2.將VLAN 20用戶地址分配方式設(shè)置為本地。Quidway-vlan20 address allocate local3.配置VLAN 20接口IP地址，同時(shí)指定了DHCP server可分配的地址資源為55。Quidway interface vlan 20Quidway-Vlanif20 ip address 4.S8016下掛了一臺(tái)DNS服務(wù)器，IP地址是5，在S8016中設(shè)置DNS服務(wù)器的IP地址，同時(shí)將這個(gè)IP地址在地址池中禁止分配給用戶。Quidway-vlan

7、2 dhcp server forbidden-ip 5Quidway-vlan2 dns primary-ip 55. 進(jìn)入G1/0/2，設(shè)置為trunk端口，允許vlan20通過(guò)Quidway-gigabitethernet 1/0/2 port trunk permit vlan 20【全局地址用戶】1.創(chuàng)建全局地址池，并命名為“abc”，地址池用戶網(wǎng)關(guān)地址為Quidway dhcp server ip-pool abc 2.配置路由IP信息Quidway dhcp server gate

8、way abc 3.S8016下掛了另外一臺(tái)DNS服務(wù)器，IP地址是5，在S8016中設(shè)置DNS服務(wù)器的IP地址，同時(shí)將這個(gè)IP地址在地址池中禁止分配給用戶。Quidway dns primary-ip abc 5Quidway dhcp server forbidden-ip abc 54.配置VLAN200與SwitchB相應(yīng)的虛接口vlan200在同一個(gè)網(wǎng)段Quidway interface vlanif 200Quidway-Vlanif200 ip address

9、【SwitchB相關(guān)配置】1.創(chuàng)建（進(jìn)入）vlan30SwitchB vlan 302.將E0/1加入到vlan30SwitchB-vlan30port Ethernet 0/13.實(shí)際當(dāng)中一般將上行端口設(shè)置成trunk屬性，允許vlan透?jìng)鱏witchB-GigabitEthernet2/1port link-type trunk4.允許SwitchC的vlan從G2/1端口透?jìng)魍ㄟ^(guò)SwitchB-GigabitEthernet2/1port trunk permit vlan 305.實(shí)際當(dāng)中一般將上行端口設(shè)置成trunk屬性，允許vlan透?jìng)鱏witchB-GigabitEthernet

10、1/1port link-type trunk6.允許所有膙lan從E0/3端口透?jìng)魍ㄟ^(guò)，也可以指定具體的vlan值SwitchB-GigabitEthernet1/1port trunk permit vlan 307.創(chuàng)建（進(jìn)入）vlan30的虛接口SwitchBinterface Vlan-interface 308.給vlan30的虛接口配置IP地址SwitchB-Vlan-interface30ip address SwitchB9.定義一個(gè)DHCP serverSwitchBdhcp-server 0 ip Swit

11、chB-Vlan-interface30dhcp-server010.創(chuàng)建（進(jìn)入）vlan200的虛接口，vlan200用于SwitchB與8016互連SwitchBinterface Vlan-interface 20011.給vlan200的虛接口配置IP地址SwitchB-Vlan-interface200ip address 【SwitchC相關(guān)配置】1.創(chuàng)建（進(jìn)入）vlan30SwitchC vlan 302.將E0/1加入到vlan30SwitchC-vlan30port Ethernet 0/13.實(shí)際當(dāng)中一般將上行端口設(shè)置成tru

12、nk屬性，允許vlan透?jìng)鱏witchC-GigabitEthernet1/1port link-type trunk4.允許所有的vlan從E0/3端口透?jìng)魍ㄟ^(guò)，也可以指定具體的vlan值SwitchC-GigabitEthernet1/1port trunk permit vlan 303測(cè)試驗(yàn)證1.PC1、PC2和PC3都能夠正確的獲取IP地址和網(wǎng)關(guān)2.PC1、PC2和PC3都能夠PING通自己的網(wǎng)關(guān)及DHCP server華為交換機(jī)端口鏡像配置- 【3026等交換機(jī)鏡像】S2008/S2016/S2026/S2403H/S3026等交換機(jī)支持的都是基于端口的鏡像，有兩種方法：方法一1.

13、 配置鏡像（觀測(cè)）端口SwitchAmonitor-port e0/82. 配置被鏡像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定義鏡像和被鏡像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交換機(jī)端口鏡像配置】1. 假設(shè)8016交換機(jī)鏡像端口為E1/0/15，被鏡像端口為E1/0/0，設(shè)置端口1/0/15為端口鏡像的觀測(cè)端口。SwitchA port monitor ethernet 1/0/152.

14、 設(shè)置端口1/0/0為被鏡像端口，對(duì)其輸入輸出數(shù)據(jù)都進(jìn)行鏡像。SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通過(guò)兩個(gè)不同的端口，對(duì)輸入和輸出的數(shù)據(jù)分別鏡像1. 設(shè)置E1/0/15和E2/0/0為鏡像（觀測(cè)）端口SwitchA port monitor ethernet 1/0/152. 設(shè)置端口1/0/0為被鏡像端口，分別使用E1/0/15和E2/0/0對(duì)輸入和輸出數(shù)據(jù)進(jìn)行鏡像。SwitchA port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15Swi

15、tchA port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0基于流鏡像的數(shù)據(jù)流程基于流鏡像的交換機(jī)針對(duì)某些流進(jìn)行鏡像，每個(gè)連接都有兩個(gè)方向的數(shù)據(jù)流，對(duì)于交換機(jī)來(lái)說(shuō)這兩個(gè)數(shù)據(jù)流是要分開(kāi)鏡像的?！?500/3026E/3026F/3050】基于三層流的鏡像1. 定義一條擴(kuò)展訪問(wèn)控制列表SwitchAacl num 1012. 定義一條規(guī)則報(bào)文源地址為/32去往所有目的地址SwitchA-acl-adv-101rule 0 permit ip source 0 destination any3. 定義一條

16、規(guī)則報(bào)文源地址為所有源地址目的地址為/32SwitchA-acl-adv-101rule 1 permit ip source any destination 04. 將符合上述ACL規(guī)則的報(bào)文鏡像到E0/8端口SwitchAmirrored-to ip-group 101 interface e0/8基于二層流的鏡像1. 定義一個(gè)ACLSwitchAacl num 200 2. 定義一個(gè)規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包SwitchArule 0 permit ingress interface Ethernet0/1 (egress interface

17、any)3. 定義一個(gè)規(guī)則從其它所有端口到E0/1端口的數(shù)據(jù)包SwitchArule 1 permit (ingress interface any) egress interface Ethernet0/14. 將符合上述ACL的數(shù)據(jù)包鏡像到E0/8SwitchAmirrored-to link-group 200 interface e0/8【5516】支持對(duì)入端口流量進(jìn)行鏡像配置端口Ethernet 3/0/1為監(jiān)測(cè)端口，對(duì)Ethernet 3/0/2端口的入流量鏡像。SwitchAmirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1【6506/

18、6503/6506R】目前該三款產(chǎn)品只支持對(duì)入端口流量進(jìn)行鏡像，雖然有outbount參數(shù)，但是無(wú)法配置。鏡像組名為1，監(jiān)測(cè)端口為Ethernet4/0/2，端口Ethernet4/0/1的入流量被鏡像。SwitchAmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2【補(bǔ)充說(shuō)明】1. 鏡像一般都可以實(shí)現(xiàn)高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口，反之則無(wú)法實(shí)現(xiàn)2. 8016支持跨單板端口鏡像華為路由器qos car+nat+dhcp+vlan配置心得- 好久沒(méi)有寫博客了，也好久沒(méi)有泡壇了，工作

19、壓力是大了很多，但實(shí)際上還是自己懶了很多，也比以前浮澡了很多，趁今天領(lǐng)導(dǎo)都去開(kāi)會(huì)的機(jī)會(huì)，把昨天的幫客戶解決網(wǎng)絡(luò)問(wèn)題的心得寫一下，供大家參考，也希望大家提出寶貴意見(jiàn)?？蛻艟W(wǎng)絡(luò)環(huán)境：一個(gè)小型辦公網(wǎng)絡(luò)，有兩家公司（A、B）在一個(gè)寫字樓辦公，共申請(qǐng)一條4M獨(dú)享VDSL專線（其中A是繳3M的專線費(fèi)用，B是繳1M的專線費(fèi)用），共60臺(tái)電腦左右，各30臺(tái)電腦，各三臺(tái)非網(wǎng)管24口D-LINK交換機(jī)，一臺(tái)華為1821路由器（1wan口，4lan口）。用戶特殊需求：（1）、A、B不能互訪。（2）、A、B都通過(guò)華為路由器DHCP獲取地址。（3）、A、B帶寬必須劃分開(kāi)，A享受3M帶寬，B享受1M帶寬（原來(lái)的時(shí)候B公司

20、網(wǎng)絡(luò)流量過(guò)大經(jīng)常影響到A公司網(wǎng)絡(luò)辦公）。簡(jiǎn)單解決方案：根據(jù)現(xiàn)有網(wǎng)絡(luò)條件，實(shí)際上僅通過(guò)華為1821路由器可以實(shí)現(xiàn)以上功能，具體實(shí)施如下：（1）、在華為路由器1821內(nèi)部網(wǎng)關(guān)口（eth1/0）劃分子接口（eth1/0.1、eth1/0.2），分別配置兩個(gè)網(wǎng)關(guān)（、），并分別進(jìn)行封裝與vlan2、vlan3相對(duì)應(yīng)。（2）、在華為路由器1821兩個(gè)lan口（eth1/1、eth1/2）劃分兩個(gè)vlan(vlan2、vlan3)。（3）、分別在兩個(gè)不同的邏輯子接口（eth1/0.1、eth1/0.2）配置nat并應(yīng)用。（4）、分別在兩個(gè)不同的邏輯子接口（eth1

21、/0.1、eth1/0.2）配置dhcp，在同一物理接口針對(duì)兩個(gè)vlan網(wǎng)絡(luò)應(yīng)用dhcp來(lái)分配兩個(gè)不同的網(wǎng)段。（5）、由于該路由器lan口為二層端口，無(wú)法實(shí)現(xiàn)qos car限速，只能考慮在其唯一的內(nèi)部網(wǎng)關(guān)接口（eth1/0）的子接口上實(shí)現(xiàn)qos car限速達(dá)到帶寬限制的作用。（6）、配置wan口地址（X、X、X、X），配置static route地址，大功告成。（7）、配置用戶登錄（super、console、vty等）用戶名及密碼（這里僅配置密碼模式）。（8）、測(cè)試并觀察端口信息、負(fù)載信息等，隨時(shí)調(diào)整相應(yīng)策略，由于考慮到其設(shè)備處理能力及時(shí)間緊迫，并未增加太多策略（如ACL等）和功能。具體配置

22、如下：#sysname Quidway#clock timezone gmt-12:000 minus 12:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20#web set-package force flash:/http.zip#radius scheme system#domain system#local-user *password ci

23、pher .*service-type telnet terminallevel 3service-type ftp#acl number 2000 配置nat Aclrule 0 permit source 55#acl number 3000 配置nat Aclrule 0 permit ip source 55acl number 3001 配置 Firewall Acl rule 0 deny ip destination 55acl number 3002 配置 Fire

24、wall Aclrule 0 deny ip destination 55#interface Ethernet1/0ip address dhcp-alloc#interface Ethernet1/0.1ip address dhcp select interface dhcp 應(yīng)用于子接口dhcp server dns-list 0 15 firewall packet-filter 3001 inbound firewall ACL過(guò)濾應(yīng)用于接口vla

25、n-type dot1q vid 2 子接口封裝dot1qqos car inbound any cir 4096000 cbs 204800 ebs 1000 green pass red discard 流量限速qos car 配置qos car outbound any cir 4096000 cbs 204800 ebs 1000 green pass red discard 流量限速qos car 配置#interface Ethernet1/0.2ip address dhcp select interface dhcp 應(yīng)用于子接

26、口dhcp server dns-list 0 15firewall packet-filter 3002 inbound firewall ACL過(guò)濾應(yīng)用于接口vlan-type dot1q vid 3 子接口封裝dot1qqos car inbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard 流量限速qos car 配置qos car outbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard

27、流量限速qos car 配置#interface Ethernet1/1port access vlan 2 將e1/1端口加入vlan2#interface Ethernet1/2port access vlan 3 將e1/1端口加入vlan2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet2/0 進(jìn)入wan口配置ip address X、X、X、X 24nat outbound 3000nat outbound 2000#interface NULL0#FTP server enabl

28、e#ip route-static y、y、y、y preference 60#user-interface con 0 用戶登錄配置authentication-mode passwordset authentication password cipher 0HB8%-MB%IQ1R','&6NQ!user-interface vty 0 4user privilege level 3set authentication password cipher 0HB8%-MB%IQ1R','&6NQ!#returnQu

29、idway華為路由器和交換機(jī)配置地址轉(zhuǎn)換- 一. 端口：路由器ethernet（以太口）、Serial（串口）、loopback（虛擬端口）交換機(jī)ethernet、vlan、loopback注意：交換機(jī)默認(rèn)其24個(gè)端口全在vlan 1里面，交換機(jī)在給vlan配了ip之后就具有路由器的功能了。 另一個(gè)需要注意的是，所用的端口是否被shutdown了，如果被shutdown了，需要進(jìn)入相應(yīng)的端口執(zhí)行undo shutdown。二. 配置ip除了交換機(jī)的以太口不可以配置ip外，其他端口都可以，配置方法相同。Quidway interface *（所要配置的端口，如vlan 1）Quidway-*ip

30、 add *.*.*.*（ip） *.*.*.*（掩碼）/*（掩碼位數(shù)，一般只在路由器上適用）三. NAT 上網(wǎng)（此命令是在VRP版本為3.4的路由器上測(cè)試的，在其他版本上是否適用，未經(jīng)考察）組網(wǎng)圖：R1 E0/2 E0/3 E0/1 E1:192.192.169.*/24 E0:/24 Ip:0/24 網(wǎng)關(guān): Ip:1/24 網(wǎng)關(guān): Ip:2/24 網(wǎng)關(guān): Ip:3/24 網(wǎng)關(guān): PCA PCB

31、PCC E0/4 To internet PCD S1 E0/5 NAPT工作過(guò)程：P191.用地址池的方法上網(wǎng)：首先配置路由器的接口的ip地址， 然后配置地址轉(zhuǎn)換，把所有內(nèi)網(wǎng)地址轉(zhuǎn)換成所配置的地址池中的地址，參考命令如下：R1acl number 2000 /在vrp為3.4的路由器上，2000-2999表示basic acl R1-acl-basic-2000rule permit source 55（地址掩碼的反碼）R1-acl-basic-2000rule deny source any#這個(gè)訪問(wèn)控制列表定義了IP源地址為/2

32、4的外出數(shù)據(jù)包 R1nat address-group 1（地址池的組號(hào)）0 5 #這條命令定義了一個(gè)包含6個(gè)公網(wǎng)地址（1015）的地址池，地址池代號(hào)為1 R1 interface e 1R1-Ethernet1 nat outbound 2000（acl的編號(hào)） address-group 1 （地址池的代號(hào)） R1ip route-static （千萬(wàn)不要忘記這一步，?。?#上面設(shè)置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。2.共用一個(gè)ip上網(wǎng)首先配置路由器的接

33、口的ip地址，參考命令如下：systemRoutersysname R1R1interface e0R1-Ethernet0ip add 24R1interface e1R1-Ethernet1ip add 0 24 /這里假設(shè)出口ip是0然后配置地址轉(zhuǎn)換，參考命令如下：R1acl number 2000 /在vrp為3.4的路由器上，2000-2999表示basic aclR1-acl-basic-2000rule permit source 55（地址掩碼的反碼）R1-acl-

34、basic-2000rule deny source any#這個(gè)訪問(wèn)控制列表定義了IP源地址為/24的外出數(shù)據(jù)包R1 interface e 1R1-Ethernet1nat server protocol tcp global 0（E1的ip） inside （內(nèi)網(wǎng)網(wǎng)關(guān)E0的ip） R1-Ethernet1 nat outbound 2000（acl的編號(hào)） R1ip route-static #上面設(shè)置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。

35、注：有的組網(wǎng)圖可能會(huì)復(fù)雜一些，比如交換機(jī)上劃分了vlan，需要在路由器上添加到交換機(jī)的路由 四、配置路由1.默認(rèn)路由Quidwayip route-static （目的地址）（地址掩碼）*.*.*.*（下一條地址）2.靜態(tài)路由Quidwayip route-static *.*.*.*（目的地址）*.*.*.*（地址掩碼）*.*.*.*（下一條地址）3. rip（交換機(jī)和路由器的配置相同）QuidwayripQuidway-ripnetwork *.*.*.*（所要啟動(dòng)rip協(xié)議的端口的網(wǎng)絡(luò)號(hào)）4. ospf（交換機(jī)和路由器的配置相同）Quidwayrouter i

36、d *.*.*.*QuidwayospfQuidway-ospfarea * （啟動(dòng)ospf的自治區(qū)域）Quidway-ospf-area-0.0.0.* network *.*.*.*（所要啟動(dòng)rip協(xié)議的端口的網(wǎng)絡(luò)號(hào)）*.*.*.*（網(wǎng)絡(luò)掩碼的反碼）注：要注意交換機(jī)/路由器對(duì)應(yīng)端口所在的自治區(qū)域。幀在網(wǎng)絡(luò)通信中的變化 端口鏡像：將某些指定端口（出或入方向）的數(shù)據(jù)流量映射到監(jiān)控端口，以便集中使用數(shù)據(jù)捕獲軟件進(jìn)行數(shù)據(jù)分析S1inter e 0/13S1-Ethernet0/13port link type TrunkS1-Ethernet0/13port trunk permit VLAN 2

37、 3 這樣E0/13既屬于VLAN2又屬于VLAN3，“Tagged”表示從該端口通過(guò)的保溫都要打上IEEE802.1q標(biāo)記，用于標(biāo)記該報(bào)文所屬的VLAN。 區(qū)域內(nèi)，每臺(tái)路由器描述的是自己能夠確保正確的信息-自己周邊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)-無(wú)論路由器位于網(wǎng)絡(luò)中什么位置，都可以準(zhǔn)確無(wú)誤得接收到全網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖；OSPF 根據(jù)收集到的鏈路狀態(tài)用最短路徑樹(shù)算法計(jì)算路由，從算法上本身保證了不會(huì)生成自環(huán)路由；當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)，會(huì)有一臺(tái)或多臺(tái)路由器感知到這一變化，重新描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并將其通知給其它路由器，每個(gè)路由器收到更新信息后，都會(huì)立即重新運(yùn)行最短路徑樹(shù)算法，得到新的路由。 區(qū)域間，通過(guò)ABR將一個(gè)

38、區(qū)域內(nèi)已計(jì)算出的路由封裝成Type3類的LSA發(fā)送到另一個(gè)區(qū)域中來(lái)傳遞路由信息。此時(shí)的OSPF是基于D-V算法的。為消除自環(huán)，所有ABR將本區(qū)域內(nèi)的路由信息封裝成LSA后統(tǒng)一發(fā)送給骨干區(qū)域，再由骨干區(qū)域?qū)⑦@些信息發(fā)送給其他區(qū)域，骨干區(qū)域內(nèi)每一條LSA都確切知道生成者信息（所有區(qū)域必須和骨干區(qū)域相連，骨干區(qū)域自身也必須是連通的）。所以就不會(huì)產(chǎn)生路由自環(huán)。 服務(wù)器00 我要用的ip：13；網(wǎng)關(guān)： 附： display ip routing ip route-static *.*.*.* (目標(biāo)ip) *.*.*.* (掩

39、碼) *.*.*.*(下一條ip) ip route *.*.*.* (目標(biāo)ip) *.*.*.* (掩碼) *.*.*.*(下一條ip) undo ip route-static *.*.*.* (目標(biāo)ip) *.*.*.* (掩碼) *.*.*.*(下一條ip) import-route static 將靜態(tài)路由引入ospf display ospf lsa 假如S1上的vlan3與R1的e0/0相連，要設(shè)定其Metric值為100 S1inter vlan3 S1-Vlan-interface3ospf cost 100 R1inter e 0/0 R1-Ethernet0ospf co

40、st 100 R1tracert *.*.*.* (目標(biāo)ip) 1 ip1 2 ip2 3 ip3 說(shuō)明R1到達(dá)目標(biāo)先到ip1再到ip2再到ip3(目標(biāo))，由此可得出最短路徑樹(shù) 查看交換機(jī)的地址：display arp華為路由器交換機(jī)VLAN配置實(shí)例- 使用4臺(tái)PC（pc多和少，原理是一樣的，所以這里我只用了4臺(tái)pc），華為路由器（R2621）、交換機(jī)（S3026e）各一臺(tái)，組建一VLAN，實(shí)現(xiàn)虛擬網(wǎng)和物理網(wǎng)之間的連接。實(shí)現(xiàn)防火墻策略，和訪問(wèn)控制（ACL）。 方案說(shuō)明：四臺(tái)PC的IP地址、掩碼如下列表： P1 網(wǎng)關(guān)IP 為192.168.1.

41、5 P2 網(wǎng)關(guān)IP 為 P3 網(wǎng)關(guān)IP 為 P4 網(wǎng)關(guān)IP 為路由器上Ethernet0的IP 為Ethernet1的IP 為firewall 設(shè)置默認(rèn)為deny實(shí)施命令列表：交換機(jī)上設(shè)置，劃分VLAN：sys/切換到系統(tǒng)視圖Quidwayvlan enableQuidwayvlan 2Quidway-vlan2port e0/1

42、to e0/8Quidway-vlan2quit/默認(rèn)所有端口都屬于VLAN1,指定交換機(jī)的e0/1 到e0/8八個(gè)端口屬于VLAN2Quidwayvlan 3Quidway-vlan3port e0/9 to e0/16Quidway-vlan3quit/指定交換機(jī)的e0/9 到e0/16八個(gè)端口屬于VLAN3Quidwaydis vlan allQuidwaydis cu路由器上設(shè)置，實(shí)現(xiàn)訪問(wèn)控制：Routerinterface ethernet 0Router-Ethernet0ip address Router-Ethernet0qu

43、it/指定ethernet 0的ipRouterinterface ethernet 1Router-Ethernet1ip address Router-Ethernet1quit/開(kāi)啟firewall，并將默認(rèn)設(shè)置為denyRouterfire enableRouterfire default deny/允許訪問(wèn)/firewall策略可根據(jù)需要再進(jìn)行添加Routeracl 101Router-acl-101rule permit ip source 255.255.255.

44、0 destination Router-acl-101quit/啟用101規(guī)則Router-Ethernet0fire pa 101Router-Ethernet0quitRouter-Ethernet1fire pa 101Router-Ethernet1quit華為三層以太網(wǎng)交換機(jī)基本原理及轉(zhuǎn)發(fā)流程- 1. 二層轉(zhuǎn)發(fā)流程1.1. MAC地址介紹MAC 地址是48 bit 二進(jìn)制的地址，如：00-e0-fc-00-00-06?？梢苑譃閱尾サ刂贰⒍嗖サ刂泛蛷V播地址。單播地址：第一字節(jié)最低位為0，如：00-e0-fc-00-00-06多播地址：

45、第一字節(jié)最低位為1，如：01-e0-fc-00-00-06廣播地址：48 位全1，如：ff-ff-ff-ff-ff-ff注意：1）普通設(shè)備網(wǎng)卡或者路由器設(shè)備路由接口的MAC 地址一定是單播的MAC 地址才能保證其與其它設(shè)備的互通。2） MAC 地址是一個(gè)以太網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)上運(yùn)行的基礎(chǔ)，也是鏈路層功能實(shí)現(xiàn)的立足點(diǎn)。1.2. 二層轉(zhuǎn)發(fā)介紹交換機(jī)二層的轉(zhuǎn)發(fā)特性，符合802.1D 網(wǎng)橋協(xié)議標(biāo)準(zhǔn)。交換機(jī)的二層轉(zhuǎn)發(fā)涉及到兩個(gè)關(guān)鍵的線程：地址學(xué)習(xí)線程和報(bào)文轉(zhuǎn)發(fā)線程。學(xué)習(xí)線程如下：華為認(rèn)證技術(shù)文章21）交換機(jī)接收網(wǎng)段上的所有數(shù)據(jù)幀，利用接收數(shù)據(jù)幀中的源MAC 地址來(lái)建立MAC 地址表；2）端口移動(dòng)機(jī)制：交換機(jī)

46、如果發(fā)現(xiàn)一個(gè)包文的入端口和報(bào)文中源MAC地址的所在端口不同，就產(chǎn)生端口移動(dòng)，將MAC 地址重新學(xué)習(xí)到新的端口；3）地址老化機(jī)制： 如果交換機(jī)在很長(zhǎng)一段時(shí)間之內(nèi)沒(méi)有收到某臺(tái)主機(jī)發(fā)出的報(bào)文，在該主機(jī)對(duì)應(yīng)的MAC 地址就會(huì)被刪除，等下次報(bào)文來(lái)的時(shí)候會(huì)重新學(xué)習(xí)。注意： 老化也是根據(jù)源MAC 地址進(jìn)行老化。報(bào)文轉(zhuǎn)發(fā)線程:1）交換機(jī)在MAC 地址表中查找數(shù)據(jù)幀中的目的MAC 地址，如果找到，就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向所有的端口發(fā)送；2）如果交換機(jī)收到的報(bào)文中源MAC 地址和目的MAC 地址所在的端口相同，則丟棄該報(bào)文；3）交換機(jī)向入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報(bào)文。1.3. VLAN

47、二層轉(zhuǎn)發(fā)介紹報(bào)文轉(zhuǎn)發(fā)線程:引入了VLAN 以后對(duì)二層交換機(jī)的報(bào)文轉(zhuǎn)發(fā)線程產(chǎn)生了如下的影響：1）交換機(jī)在MAC 地址表中查找數(shù)據(jù)幀中的目的MAC 地址，如果找到（同時(shí)還要確保報(bào)文的入VLAN 和出VLAN 是一致的），就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向（VLAN 內(nèi)）所有的端口發(fā)送；2）如果交換機(jī)收到的報(bào)文中源MAC 地址和目的MAC 地址所在的端口相同，則丟棄該報(bào)文；3）交換機(jī)向（VLAN 內(nèi)）入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報(bào)文。以太網(wǎng)交換機(jī)上通過(guò)引入VLAN，帶來(lái)了如下的好處：1）限制了局部的網(wǎng)絡(luò)流量， 在一定程度上可以提高整個(gè)網(wǎng)絡(luò)的處理能力。2）虛擬的工作組，通過(guò)靈活的VLA

48、N 設(shè)置，把不同的用戶劃分到工作華為認(rèn)證技術(shù)文章3組內(nèi)；3）安全性，一個(gè)VLAN 內(nèi)的用戶和其它VLAN 內(nèi)的用戶不能互訪，提高了安全性。另外，還有常見(jiàn)的兩個(gè)概念VLAN 的終結(jié)和透?jìng)鳎?從字面意思上就可以很好的了解這兩個(gè)概念。所謂VLAN 的透?jìng)骶褪悄硞€(gè)VLAN 不僅在一臺(tái)交換機(jī)上有效，它還要通過(guò)某種方法延伸到別的以太網(wǎng)交換機(jī)上，在別的設(shè)備上照樣有效；終結(jié)的意思及相對(duì)，某個(gè)VLAN 的有效域不能再延伸到別的設(shè)備，或者不能通過(guò)某條鏈路延伸到別的設(shè)備。VLAN 透?jìng)骺梢允褂?02.1Q 技術(shù)，VLAN 終結(jié)可以使用PVLAN 技術(shù)。IEEE802.1Q 協(xié)議是VLAN 的技術(shù)標(biāo)準(zhǔn),主要是修改了標(biāo)

49、準(zhǔn)的幀頭，添加了一個(gè)tag 字段，其中包含了VLAN ID 等VLAN 信息，具體實(shí)現(xiàn)這里不談，如果有興趣可以看相關(guān)的標(biāo)準(zhǔn)和資料。注意：在Trunk 端口轉(zhuǎn)發(fā)報(bào)文的時(shí)候，如果報(bào)文的VLAN Tag 等于端口上配置的默認(rèn)VLAN ID，則該報(bào)文的Tag 應(yīng)該去掉，對(duì)端收到這個(gè)不帶Tag 信息的報(bào)文后， 從端口的PVID 獲得報(bào)文的所屬VLAN 信息，因此配置的時(shí)候必須保證連接兩臺(tái)交換機(jī)之間的一條Trunk 鏈路兩端的PVID 設(shè)置相同。為什么要去Tag 呢？這樣做是為了保證一般的用戶插到Trunk 上以后，仍舊可以正常通信，因?yàn)槠胀ㄓ脩魺o(wú)法識(shí)別帶有802.1Q Vlan 信息的報(bào)文。使用802.

50、1Q 技術(shù)可以很好的實(shí)現(xiàn)VLAN 的透?jìng)?，可是有的時(shí)候需要把VLAN 終結(jié)掉，也就是說(shuō)這個(gè)VLAN 邊界在哪里終止，PVLAN 技術(shù)可以很好的實(shí)現(xiàn)這個(gè)功能， 同時(shí)達(dá)到節(jié)省VLAN 的目的。cisco 的PVLAN 意思是private vlan，而我們的PVLAN 意思是primary vlan。這里的VLAN 有兩類：Primary vlan 和secondary vlan（子VLAN）。實(shí)現(xiàn)了接入用戶二層報(bào)文的隔離，同時(shí)上層交換機(jī)下發(fā)的報(bào)文可以被每一個(gè)用戶接收到，簡(jiǎn)化了配置，節(jié)省了VLAN 資源。具體實(shí)現(xiàn)這里不談，如果有興趣可以相關(guān)資料。華為認(rèn)證技術(shù)文章4下面談?wù)勅龑咏粨Q流程。用VLAN

51、分段，隔離了VLAN 間的通信，用支持VLAN 的路由器（三層設(shè)備）可以建立VLAN 間通信。但使用路由器來(lái)互聯(lián)企業(yè)園區(qū)網(wǎng)中不同的VLAN 顯然不合時(shí)代的潮流。因?yàn)槲覀兛梢允褂萌龑咏粨Q來(lái)實(shí)現(xiàn)。差別1（性能）：傳統(tǒng)的路由器基于微處理器轉(zhuǎn)發(fā)報(bào)文，靠軟件處理，而三層交換機(jī)通過(guò)ASIC 硬件來(lái)進(jìn)行報(bào)文轉(zhuǎn)發(fā)，性能差別很大；差別2（接口類型）：三層交換機(jī)的接口基本都是以太網(wǎng)接口，沒(méi)有路由器接口類型豐富；差別3：三層交換機(jī)，還可以工作在二層模式，對(duì)某些不需路由的包文直接交換，而路由器不具有二層的功能。首先讓我們看一下設(shè)備互通的過(guò)程：如圖所示：交換機(jī)上劃分了兩個(gè)VLAN，在VLAN1，VLAN 2 上配置了路由接口用來(lái)實(shí)現(xiàn)vlan1 和 vlan 2 之間的互通。A 和B 之間的互通（以A 向B 發(fā)起ping 請(qǐng)求為例）：1） A 檢查報(bào)文的目的IP 地址，發(fā)現(xiàn)和自己在同一個(gè)網(wǎng)段；2） A->B ARP 請(qǐng)求報(bào)文，該報(bào)文在VLAN1 內(nèi)廣播；3） B->A ARP 回應(yīng)報(bào)文；4） A->B icmp request;5） B->A icmp reply;A 和C 之間的互通（以A 向C 發(fā)起ping 請(qǐng)求為例）：1