H3C交換機基本配置培訓

1、交換機基本配置及網(wǎng)絡(luò)維護培訓交換機基本配置及網(wǎng)絡(luò)維護培訓2011-09-27杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播劉光坤：劉光坤 第一章第一章 VLAN原理及基本配置原理及基本配置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護方法和命令常用維護方法和命令目錄目錄3VLAN的產(chǎn)生原因廣播風暴的產(chǎn)生原因廣播風暴傳統(tǒng)的以太網(wǎng)是廣播型網(wǎng)絡(luò)，網(wǎng)絡(luò)中的所有主機通過HUB或交換機相連，處在同一個廣播域中4通過路由器隔離廣播域通過路

2、由器隔離廣播域5通過通過VLAN劃分廣播域劃分廣播域市場部工程部財務部6以太網(wǎng)端口的鏈路類型以太網(wǎng)端口的鏈路類型l Access link：只能允許某一個：只能允許某一個VLAN的的untagged數(shù)據(jù)流通過。數(shù)據(jù)流通過。l Trunk link：允許多個：允許多個VLAN的的tagged數(shù)據(jù)流和數(shù)據(jù)流和某一個某一個VLAN的的untagged數(shù)據(jù)流通過。數(shù)據(jù)流通過。l Hybrid link：允許多個：允許多個VLAN的的tagged數(shù)據(jù)流和數(shù)據(jù)流和多個多個VLAN的的untagged數(shù)據(jù)流通過。數(shù)據(jù)流通過。l Hybrid端口可以允許多個端口可以允許多個VLAN的報文發(fā)送時不攜帶標簽，而的

3、報文發(fā)送時不攜帶標簽，而Trunk端口只允許缺省端口只允許缺省VLAN的報文發(fā)送時不攜帶標簽。的報文發(fā)送時不攜帶標簽。l 三種類型的端口可以共存在一臺設(shè)備上三種類型的端口可以共存在一臺設(shè)備上7Access Link和和Trunk L8Trunk Link和和VLAN9數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化10VLAN配置命令（配置命令（1）創(chuàng)建VLAN. vlan 100 (1-4094)刪除VLAN. undo vlan 100 (1-4094)在VLAN中增加端口. port Ethernet 2/0/1在VLAN中刪除端口. undo port Ethernet 2/0/1將端

4、口加入VLAN port access vlan 100 (1-4094)將端口脫離VLAN undo port access vlan 100 (1-4094)顯示VLAN信息 display vlan VLAN ID (1-4094)11VLAN配置命令（配置命令（2）定義端口屬性為Trunk. port link-type trunk刪除端口Trunk屬性. undo port link-type定義端口可以傳輸?shù)腣LAN. port trunk permit vlan VLAN ID 在VLAN中刪除端口. undo port trunk permit vlan VLAN ID12配置

5、配置VLAN虛接口虛接口為已存在的VLAN創(chuàng)建對應的VLAN接口，并進入VLAN接口視圖 interface Vlan-interface vlan-id刪除一個VLAN接口 undo interface Vlan-interface*缺省情況下，在交換機上不存在VLAN接口*可以通過ip address命令配置IP地址，使接口可以為在該VLAN范圍內(nèi)接入的設(shè)備提供基于IP層的數(shù)據(jù)轉(zhuǎn)發(fā)功能*在創(chuàng)建VLAN接口之前，必須先創(chuàng)建對應的VLAN，否則無法創(chuàng)建VLAN接口13配置配置IP地址地址ip address命令用來配置VLAN接口/LoopBack接口的IP地址和掩碼undo ip addre

6、ss命令用來刪除VLAN接口/LoopBack接口的IP地址和掩碼ip address ip-address mask | mask-length sub undo ip address ip-address mask | mask-length sub *在一般情況下，一個VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口配置一個IP地址即可，但為了使交換機的一個VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口可以與多個子網(wǎng)相連，一個VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口最多可以配置多個IP地址，其中一個為主IP地址，其余為從IP地址14靜態(tài)路由的配置命令和示例靜態(tài)路由的配置命令和示

7、例H3Cip route-static ip-address mask | masklen interface-type interfacce-name | nexthop-address preference value reject | blackhole 例如：ip route-static 129.1.0.0 16 10.0.0.2ip route-static 129.1.0.0 255.255.0.0 10.0.0.2ip route-static 129.1.0.0 16 Serial 2/15主從主從IP地址舉例地址舉例16VLAN配置舉例配置舉例 為保證部門間數(shù)據(jù)的二層隔離，

8、現(xiàn)要求將為保證部門間數(shù)據(jù)的二層隔離，現(xiàn)要求將PC1和和Server1劃分到劃分到VLAN100中，中，PC2和和Server2劃分到劃分到VLAN200中。并分別為兩個中。并分別為兩個VLAN設(shè)置描述字符為設(shè)置描述字符為“Dept1”和和“Dept2” 在在SwitchA上配置上配置VLAN接口，對接口，對PC1發(fā)往發(fā)往Server2的數(shù)據(jù)進行三層轉(zhuǎn)發(fā)。的數(shù)據(jù)進行三層轉(zhuǎn)發(fā)。兩個部門分別使用兩個部門分別使用192.168.1.0/24和和192.168.2.0/24兩個網(wǎng)段兩個網(wǎng)段17配置配置Switch A# 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口Ethe

9、rnet1/0/1加入到VLAN100。 system-viewSwitchA vlan 100SwitchA-vlan100 description Dept1SwitchA-vlan100 port Ethernet 1/0/1SwitchA-vlan100 quit# 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”。SwitchA vlan 200SwitchA-vlan200 description Dept2SwitchA-vlan200 quit# 創(chuàng)建VLAN100和VLAN200的接口，IP地址分別配置為192.168.1.1和192.168.2.1，用來

10、對PC1發(fā)往Server2的報文進行三層轉(zhuǎn)發(fā)。SwitchA interface Vlan-interface 100SwitchA-Vlan-interface100 ip address 192.168.1.1 24SwitchA-Vlan-interface100 quitSwitchA interface Vlan-interface 200SwitchA-Vlan-interface200 ip address 192.168.2.1 18配置配置Switch B# 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口Ethernet1/0/13加入到VLAN

11、100。 system-viewSwitchB vlan 100SwitchB-vlan100 description Dept1SwitchB-vlan100 port Ethernet 1/0/13SwitchB-vlan103 quit# 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”，將端口Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。SwitchB vlan 200SwitchB-vlan200 description Dept2SwotchB-vlan200 port Ethernet1/0/11 Ethernet 1/0/1

12、2SwitchB-vlan200 19配置配置Switch A和和Switch B之間的鏈路之間的鏈路由于Switch A和Switch B之間的鏈路需要同時傳輸VLAN100和VLAN200的數(shù)據(jù)，所以可以配置兩端的端口為Trunk端口，且允許這兩個VLAN的報文通過。# 配置Switch A的Ethernet1/0/2端口。SwitchA interface Ethernet 1/0/2SwitchA-Ethernet1/0/2 port link-type trunkSwitchA-Ethernet1/0/2 port trunk permit vlan 100SwitchA-Ether

13、net1/0/2 port trunk permit vlan 200# 配置Switch B的Ethernet1/0/10端口。SwitchB interface Ethernet 1/0/10SwitchB-Ethernet1/0/10 port link-type trunkSwitchB-Ethernet1/0/10 port trunk permit vlan 100SwitchB-Ethernet1/0/10 port trunk permit vlan 20注意事項注意事項l VLAN 1 -缺省就有，不需要創(chuàng)建，也無法刪除缺省就有，不需要創(chuàng)建，也無法刪除 -不建議用作業(yè)務不建議

14、用作業(yè)務VLAN -可以用作管理可以用作管理VLAN l Trunk鏈路鏈路 -只允許所需的只允許所需的VLAN通過，不要配置通過，不要配置 port trunk permit vlan all -最好配置上最好配置上undo port trunk permit vlan 1n 第一章第一章 VLAN原理及基本配置原理及基本配置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護方法和命令常用維護方法和命令目錄目錄22生成樹生成樹l STP（Spanning Tree

15、 Protocol，生成樹協(xié)議）是根據(jù)IEEE協(xié)會制定的802.1D標準建立的，用于在局域網(wǎng)中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議。運行該協(xié)議的設(shè)備通過彼此交互報文發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選擇的對某些端口進行阻塞，最終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無環(huán)路的樹型網(wǎng)絡(luò)結(jié)構(gòu)，從而防止報文在環(huán)路網(wǎng)絡(luò)中不斷增生和無限循環(huán)，避免主機由于重復接收相同的報文造成的報文處理能力下降的問題發(fā)生。23STP配置命令配置命令啟動全局啟動全局STP特性特性 stp enable關(guān)閉全局關(guān)閉全局STP特性特性 undo stp enable*全局開啟后，每個接口下的全局開啟后，每個接口下的STP功能也被打開功能也被打開接口視圖下關(guān)閉接口視圖

16、下關(guān)閉STP特性特性 stp disable接口下開啟接口下開啟STP特性特性 stp 24STP的交換機保護功能的交換機保護功能1. Root保護功能保護功能由于維護人員的錯誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合由于維護人員的錯誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當前根橋法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當前根橋會失去根橋的地位，引起網(wǎng)絡(luò)拓撲結(jié)構(gòu)的錯誤變動。這種不會失去根橋的地位，引起網(wǎng)絡(luò)拓撲結(jié)構(gòu)的錯誤變動。這種不合法的變動，會導致原來應該通過高速鏈路的流量被牽引到合法的變動，會導致原來應該通過高速鏈路的流量被牽引到低速鏈路上，導致網(wǎng)絡(luò)擁塞

17、。低速鏈路上，導致網(wǎng)絡(luò)擁塞。stp root primary命令用來指定當前交換機作為指命令用來指定當前交換機作為指定生成樹實例的根橋。定生成樹實例的根橋。undo stp root命令用來取消當前交換機作為指定生命令用來取消當前交換機作為指定生成樹實例的根橋資格。成樹實例的根橋資格。stp instance 0 root 25STP優(yōu)化優(yōu)化-邊緣端口邊緣端口邊緣端口是指不直接與任何交換機連接，也不通過端口所連邊緣端口是指不直接與任何交換機連接，也不通過端口所連接的網(wǎng)絡(luò)間接與任何交換機相連的端口。接的網(wǎng)絡(luò)間接與任何交換機相連的端口。用戶如果將某個端口指定為邊緣端口，那么當該端口由阻塞用戶如果將

18、某個端口指定為邊緣端口，那么當該端口由阻塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時，這個端口可以實現(xiàn)快速遷移，而無狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時，這個端口可以實現(xiàn)快速遷移，而無需等待延遲時間。需等待延遲時間。在交換機沒有開啟在交換機沒有開啟BPDU保護的情況下，如果被設(shè)置為邊緣保護的情況下，如果被設(shè)置為邊緣端口的端口上收到來自其它端口的端口的端口上收到來自其它端口的BPDU報文，則該端口會報文，則該端口會重新變?yōu)榉沁吘壎丝?。重新變?yōu)榉沁吘壎丝?。對于直接與終端相連的端口，請將該端口設(shè)置為邊緣端口，對于直接與終端相連的端口，請將該端口設(shè)置為邊緣端口，同時啟動同時啟動BPDU保護功能。這樣既能夠使該端口快速遷移到保護功能。這樣既

19、能夠使該端口快速遷移到轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。26邊緣端口配置邊緣端口配置stp edged-port enable命令用來將當前的以太網(wǎng)端命令用來將當前的以太網(wǎng)端口配置為邊緣端口口配置為邊緣端口stp edged-port disable命令用來將當前的以太網(wǎng)命令用來將當前的以太網(wǎng)端口配置為非邊緣端口端口配置為非邊緣端口undo stp edged-port命令用來將當前的以太網(wǎng)端命令用來將當前的以太網(wǎng)端口恢復為缺省狀態(tài)，即非邊緣端口?？诨謴蜑槿笔顟B(tài)，即非邊緣端口。*缺省情況下，交換機所有以太網(wǎng)端口均被配置為非缺省情況下，交換機所有以太網(wǎng)端口均被配置

20、為非邊緣端口邊緣端口27STP的交換機保護功能的交換機保護功能2. BPDU保護功能保護功能邊緣端口接收到配置消息后，系統(tǒng)會自動將這些端口設(shè)置為非邊緣端口接收到配置消息后，系統(tǒng)會自動將這些端口設(shè)置為非邊緣端口，重新計算生成樹，這樣就引起網(wǎng)絡(luò)拓撲的震蕩。邊緣端口，重新計算生成樹，這樣就引起網(wǎng)絡(luò)拓撲的震蕩。正常情況下，邊緣端口應該不會收到生成樹協(xié)議的配置消息。正常情況下，邊緣端口應該不會收到生成樹協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊交換機，就會引起網(wǎng)絡(luò)震蕩。如果有人偽造配置消息惡意攻擊交換機，就會引起網(wǎng)絡(luò)震蕩。BPDU保護功能可以防止這種網(wǎng)絡(luò)攻擊。交換機上啟動了保護功能可以防止這種網(wǎng)絡(luò)攻擊

21、。交換機上啟動了BPDU保護功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些保護功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時通知網(wǎng)管這些端口被端口關(guān)閉，同時通知網(wǎng)管這些端口被MSTP關(guān)閉。被關(guān)閉的邊關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復。緣端口只能由網(wǎng)絡(luò)管理人員恢復。28查看查看STP信息信息display stp brief 顯示STP生成樹的簡要狀態(tài)信息。 display stp instance 0 interface Ethernet 1/0/1 to Ethernet 1/0/4 brief MSTID Port Role STP State Protec

22、tion 0 Ethernet1/0/1 ALTE DISCARDING LOOP 0 Ethernet1/0/2 DESI FORWARDING NONE 0 Ethernet1/0/3 DESI FORWARDING NONE 0 Ethernet1/0/4 DESI FORWARDING NONEn 第一章第一章 VLAN原理及基本配置原理及基本配置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護方法和命令常用維護方法和命令目錄目錄30ACL訪問控制列表訪問

23、控制列表 為了過濾通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配置一系列的匹配規(guī)則，以識別需要過濾的對象。在識別出特定的對象之后，網(wǎng)絡(luò)設(shè)備才能根據(jù)預先設(shè)定的策略允許或禁止相應的數(shù)據(jù)包通過。訪問控制列表（Access Control List，ACL）就是用來實現(xiàn)這些功能。ACL通過一系列的匹配條件對數(shù)據(jù)包進行分類，這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號等。ACL可應用在交換機全局或端口上，交換機根據(jù)ACL中指定的條件來檢測數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。31以太網(wǎng)訪問列表以太網(wǎng)訪問列表l主要作用:在整個網(wǎng)絡(luò)中分布實施接入安全性32訪問控制列表訪問控制列表ACL對到達端口的數(shù)據(jù)包進行分類，并打上不

24、同的動作標記訪問列表作用于交換機的所有端口訪問列表的主要用途：包過濾包過濾鏡像鏡像流量限制流量限制流量統(tǒng)計流量統(tǒng)計分配隊列優(yōu)先級分配隊列優(yōu)先級33流分類流分類通常選擇數(shù)據(jù)包的包頭信息作為流分類項2層流分類項以太網(wǎng)幀承載的數(shù)據(jù)類型以太網(wǎng)幀承載的數(shù)據(jù)類型源源/目的目的MAC地址地址以太網(wǎng)封裝格式以太網(wǎng)封裝格式Vlan ID入入/出端口出端口3/4層流分類項協(xié)議類型協(xié)議類型源源/目的目的IP地址地址源源/目的端口號目的端口號DSCP34IP 數(shù)據(jù)包過濾數(shù)據(jù)包過濾35訪問控制列表的構(gòu)成訪問控制列表的構(gòu)成l Rule（訪問控制列表的子規(guī)則）l Time-range（時間段機制）l ACL=rules +

25、 time-range（訪問控制列表由一系列規(guī)則組成，有必要時會和時間段結(jié)合）36時間段的相關(guān)配置時間段的相關(guān)配置 37訪問控制列表的類型訪問控制列表的類型l 20002999：表示基本：表示基本ACL。只根據(jù)數(shù)據(jù)包的源。只根據(jù)數(shù)據(jù)包的源IP地址地址制定規(guī)則。制定規(guī)則。l 30003999：表示高級：表示高級ACL（3998與與3999是系統(tǒng)為集群是系統(tǒng)為集群管理預留的編號，用戶無法配置）。根據(jù)數(shù)據(jù)包的源管理預留的編號，用戶無法配置）。根據(jù)數(shù)據(jù)包的源IP地地址、目的址、目的IP地址、地址、IP承載的協(xié)議類型、協(xié)議特性等三、四承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。層信息制定規(guī)則。l 4

26、0004999：表示二層：表示二層ACL。根據(jù)數(shù)據(jù)包的源。根據(jù)數(shù)據(jù)包的源MAC地址地址、目的、目的MAC地址、地址、802.1p優(yōu)先級、二層協(xié)議類型等二層優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則。信息制定規(guī)則。l 50005999：表示用戶自定義：表示用戶自定義ACL。以數(shù)據(jù)包的頭部為。以數(shù)據(jù)包的頭部為基準，指定從第幾個字節(jié)開始與掩碼進行基準，指定從第幾個字節(jié)開始與掩碼進行“與與”操作，將操作，將從報文提取出來的字符串和用戶定義的字符串進行比較，從報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文。找到匹配的報文。38定義訪問控制列表定義訪問控制列表 39基本訪問控制列表的規(guī)則配置基

27、本訪問控制列表的規(guī)則配置 40高級訪問控制列表的規(guī)則配置高級訪問控制列表的規(guī)則配置 41端口操作符及語法端口操作符及語法42接口訪問控制列表的規(guī)則配置接口訪問控制列表的規(guī)則配置 43二層訪問控制列表的規(guī)則配置二層訪問控制列表的規(guī)則配置 44自定義訪問控制列表的規(guī)則配置自定義訪問控制列表的規(guī)則配置 45規(guī)則匹配原則規(guī)則匹配原則l 一條訪問控制列表往往會由多條規(guī)則組成，這樣在匹配一條訪問控制列表的時候就存在匹配順序的問題。在華為系列交換機產(chǎn)品上，支持下列兩種匹配順序：Config：指定匹配該規(guī)則時按用戶的配置順序（后：指定匹配該規(guī)則時按用戶的配置順序（后下發(fā)先生效）下發(fā)先生效）Auto：指定匹配該

28、規(guī)則時系統(tǒng)自動排序（按：指定匹配該規(guī)則時系統(tǒng)自動排序（按“深度深度優(yōu)先優(yōu)先”的順序）的順序）46激活訪問控制列表激活訪問控制列表 47配置配置ACL進行包過濾的步驟進行包過濾的步驟48訪問控制列表配置舉例一訪問控制列表配置舉例一要求配置高級要求配置高級ACL，禁止員工在工作日，禁止員工在工作日8:0018:00的時間段內(nèi)訪問新的時間段內(nèi)訪問新浪網(wǎng)站（浪網(wǎng)站（ 61.172.201.194 ）1. 定義時間段定義時間段H3C time-range test 8:00 to 18:00 working-day2.定義高級定義高級ACL 3000，配置目的，配置目的IP地址為新浪網(wǎng)站的訪問規(guī)則。地址

29、為新浪網(wǎng)站的訪問規(guī)則。H3C acl number 3000H3C -acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test3.在端口在端口Ethernet1/0/15上應用上應用ACL 3000。H3C interface Ethernet 1/0/15H3C-Ethernet1/0/15 packet-filter inbound ip-group 49訪問控制列表配置舉例二訪問控制列表配置舉例二配置防病毒配置防病毒ACL1. 定義高級定義高級ACL 3000H3C acl number 3000H3

30、C -acl-adv-3000 rule 1 deny udp destination-port eq 335H3C -acl-adv-3000 rule 3 deny tcp source-port eq 3365H3C -acl-adv-3000 rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 38752. 在端口在端口Ethernet1/0/1上應用上應用ACL 3000H3C-Ethernet1/0/1 packet-filter inbound ip-group 3000n 第一章第一章 VLAN原理及基本

31、配置原理及基本配置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護方法和命令常用維護方法和命令目錄目錄51交換機管理方式交換機管理方式l 通過通過Console口進行本地登錄口進行本地登錄l 通過以太網(wǎng)端口利用通過以太網(wǎng)端口利用Telnet或或SSH進行本地或遠進行本地或遠程登錄程登錄l 通過通過Console口利用口利用Modem撥號進行遠程登錄撥號進行遠程登錄52Telnet配置配置（2）需要輸入密碼H3C user-interface vty 0 4H3C-

32、ui-vty0-4 authentication-mode passwordH3C-ui-vty0-4 user privilege level 3 H3C-ui-vty0-4 set authentication password simple h3c （3）需要輸入用戶名和密碼H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode schemeH3C local-user h3cH3C-luser-h3c password cipher 123456 H3C-luser-h3c service-type telnet leve

33、l 3 （1）不需要輸入用戶名和密碼H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode noneH3C-ui-vty0-4 user privilege level 3 53n 第一章第一章 VLAN原理及基本配置原理及基本配置n 第二章第二章 STP原理及基本配置原理及基本配置n 第三章第三章 ACL原理及基本配置原理及基本配置n 第四章第四章 設(shè)備管理基本配置設(shè)備管理基本配置n 第五章第五章 常用維護方法和命令常用維護方法和命令目錄目錄54故障排除常用方法故障排除常用方法l 分層故障排除法 l 分塊故障排除法 l 分段故障

34、排除法 l 替換法 55分層故障排除法分層故障排除法。物物 理理 層層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層網(wǎng)網(wǎng) 絡(luò)絡(luò) 層層所有的技術(shù)都是分層的！所有的技術(shù)都是分層的！關(guān)注電纜、連接頭、信號電平、編碼、時鐘和組幀 關(guān)注封裝協(xié)議和相關(guān)參數(shù)、鏈路利用率等關(guān)注地址分配、路由協(xié)議參數(shù)等56分塊故障排除法分塊故障排除法l 配置文件分為以下部分：管理部分（路由器名稱、口令、服務、日志等）端口部分（地址、封裝、cost、認證等）路由協(xié)議部分（靜態(tài)路由、RIP、OSPF、BGP、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制臺、Telnet登錄或啞終端、撥號等）其他應用部分（語言配置、VPN配置、Qos

35、配置等） 57分段故障排除法分段故障排除法網(wǎng)絡(luò)分為若干段，逐段測試，縮小故障范網(wǎng)絡(luò)分為若干段，逐段測試，縮小故障范圍，逐段定位網(wǎng)絡(luò)故障，并排除。圍，逐段定位網(wǎng)絡(luò)故障，并排除。中繼線路中繼線路ModemModemModemModemDDN節(jié)點節(jié)點DDN節(jié)點節(jié)點58常用命令（常用命令（1）display version命令用來顯示系統(tǒng)的版本信息。用戶可以通過該命令查看軟件的版本信息、發(fā)布時間、交換機的基本硬件配置等信息。 display versionH3C Comware Platform Software Comware Software, Version 3.10, Test 1545Cop

36、yright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved.S3600-52P-EI uptime is 0 week, 0 day, 23 hours, 15 minutes S3600-52P-EI with 1 Processor64M bytes DRAM16384K bytes Flash MemoryConfig Register points to FLASH Hardware Version is REV.CCPLD Version is CPLD 001Bootrom Version

37、 is 510Subslot 0 48 FE Hardware Version is REV.CSubslot 1 4 GE Hardware Version is REV.C59常用命令（常用命令（2）display current-configuration命令用來顯示交換機當前的配置。當用戶完成一組配置之后，需要驗證配置是否生效，則可以執(zhí)行display current-configuration命令來查看當前生效的參數(shù)。注意：*如果當前配置的參數(shù)與缺省參數(shù)相同，則不予顯示；*對于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對應的功能沒有生效，則不予顯示。60常用命令（常用命令（3）dis

38、play this命令用來顯示當前視圖下的運行配置。當用戶在某一視圖下完成一組配置之后，需要驗證配置是否生效，則可以執(zhí)行display this命令來查看所在視圖下當前生效的配置參數(shù)。注意：*對于已經(jīng)生效的配置參數(shù)如果與缺省工作參數(shù)相同，則不顯示；*對于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對應的功能沒有生效，則不予顯示；*在任意一個用戶界面視圖或VLAN視圖下執(zhí)行此命令，將會顯示所有用戶界面或VLAN下生效的配置參數(shù)。61網(wǎng)絡(luò)連通性測試命令網(wǎng)絡(luò)連通性測試命令操作命令說明檢查IP網(wǎng)絡(luò)中的指定地址是否可達ping ip -a source-ip | -c count | -f | -h tt

39、l | -i interface-type interface-number | -m interval | -n | -p pad | -q | -r | -s packet-size | -t timeout | -tos tos | -v | -vpn-instance vpn-instance-name * remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv4時使用可在任意視圖下執(zhí)行ping ipv6 -a source-ipv6 | -c count | -m interval | -s packet-size | -t timeout * remote-system -i inter

40、face-type interface-number 可選網(wǎng)絡(luò)層協(xié)議為IPv6時使用可在任意視圖下執(zhí)行查看當前設(shè)備到目的設(shè)備的路由tracert -a source-ip | -f first-ttl | -m max-ttl | -p port | -q packet-number | -vpn-instance vpn-instance-name | -w timeout * remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv4時使用可在任意視圖下執(zhí)行tracert ipv6 -f first-ttl | -m max-ttl | -p port | -q packet-number | -

41、w timeout * remote-system可選網(wǎng)絡(luò)層協(xié)議為IPv6時使用可在任意視圖下執(zhí)行62ping命令參數(shù)（命令參數(shù)（1）ip：支持IPv4協(xié)議。-a source-ip：指定ICMP回顯請求報文中的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。-c count：指定發(fā)送ICMP回顯請求報文的數(shù)目，取值范圍缺省值為5。-f：將長度大于接口MTU的報文直接丟棄，即不允許對發(fā)送的ICMP回顯請求報文進行分片。-h ttl：指定ICMP回顯請求報文中的TTL值，取值范圍為1255，缺省值為255。-i interface-type interface-nu

42、mber：指定發(fā)送報文的接口的類型和編號。在指定出接口的情況下，只能ping直連網(wǎng)段地址。-m interval：指定發(fā)送ICMP回顯請求報文的時間間隔，取值范圍為165535，單位為毫秒，缺省值為200毫秒。 如果在timeout時間內(nèi)收到目的主機的響應報文，則下次ICMP回顯請求報文的發(fā)送時間間隔為報文的實際響應時間與interval之和； 如果在timeout時間內(nèi)沒有收到目的主機的響應報文，則下次ICMP回顯請求報文的發(fā)送時間間隔為timeout與interval之和。 -n：不進行域名解析。缺省情況下，系統(tǒng)將對hostname進行域名解析。63ping命令參數(shù)命令參數(shù)-p pad：指

43、定ICMP回顯請求報文的填充字節(jié)，格式為16進制。比如將“pad”設(shè)置為ff，則報文將被全部填充為ff。缺省情況下，填充的字節(jié)從0 x01開始，逐漸遞增，直到0 x09，然后又從0 x01開始循環(huán)填充。-q：除統(tǒng)計信息外，不顯示其它詳細信息。缺省情況下，系統(tǒng)將顯示包括統(tǒng)計信息在內(nèi)的全部信息。-r：記錄路由。缺省情況下，系統(tǒng)不記錄路由。-s packet-size：指定發(fā)送的ICMP回顯請求報文的長度（不包括IP和ICMP報文頭），取值范圍為208100，單位為字節(jié)，缺省值為56字節(jié)。-t timeout：指定ICMP回顯應答報文的超時時間，取值范圍為165535，單位為毫秒，缺省值為2000毫

44、秒。-tos tos：指定ICMP回顯請求報文中的ToS（Type of Service，服務類型）域的值，取值范圍為0255，缺省值為0。-v：顯示接收到的非回顯應答的ICMP報文。缺省情況下，系統(tǒng)不顯示非回顯應答的ICMP報文。-vpn-instance vpn-instance-name：指定MPLS VPN的實例名稱，是一個長度為131個字符的字符串，不區(qū)分大小寫。remote-system：目的設(shè)備的IP地址或主機名（主機名為120個字符的字符串）。 64Ping命令參數(shù)命令參數(shù)ping命令用來檢查指定IP地址是否可達，并輸出相應的統(tǒng)計信息。 H3Cping 11.1.1.1 PIN

45、G 11.1.1.1: 56 data bytes, press CTRL_C to break Reply from 11.1.1.1: bytes=56 Sequence=0 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=255 time = 32 ms Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=255 time = 31 ms Rep

46、ly from 11.1.1.1: bytes=56 Sequence=4 ttl=255 time = 31 ms - 11.1.1.1 ping statistics - 5 packets transmitted 5 packets received 0.00% packet loss round-trip min/avg/max = 31/31/32 65tracert命令參數(shù)命令參數(shù)-a source-ip：指明tracert報文的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。-f first-ttl：指定一個初始TTL，即第一個報文所允許的跳數(shù)。取值范圍為1255，且小于最大

47、TTL，缺省值為1。-m max-ttl：指定一個最大TTL，即一個報文所允許的最大跳數(shù)。取值范圍為1255，且大于初始TTL，缺省值為30。-p port：指明目的設(shè)備的UDP端口號，取值范圍為165535，缺省值為33434。用戶一般不需要更改此選項。-q packet-number：指明每次發(fā)送的探測報文個數(shù)，取值范圍為165535，缺省值為3。-vpn-instance vpn-instance-name：指定MPLS VPN的實例名稱，是一個長度為131個字符的字符串。-w timeout：指定等待探測報文響應的報文的超時時間，取值范圍是165535，單位為毫秒，缺省值為5000毫秒

48、。remote-system：目的設(shè)備的IP地址或主機名（主機名是長度為120的字符串）。66tracert命令參數(shù)命令參數(shù)tracert命令用來查看IPv4報文從當前設(shè)備傳到目的設(shè)備所經(jīng)過的路徑。 tracert 18.26.0.115traceroute to 18.26.0.115(18.26.0.115) 30 hops max,40 bytes packet, press CTRL_C to break1 128.3.112.1 10 ms 10 ms 10 ms2 128.32.210.1 19 ms 19 ms 19 ms3 128.32.216.1 39 ms 19 ms 19

49、 ms4 128.32.136.23 19 ms 39 ms 39 ms5 128.32.168.22 20 ms 39 ms 39 ms6 128.32.197.4 59 ms 119 ms 39 ms7 131.119.2.5 59 ms 59 ms 39 ms8 129.140.70.13 80 ms 79 ms 99 ms9 129.140.71.6 139 ms 139 ms 159 ms10 129.140.81.7 199 ms 180 ms 300 ms11 129.140.72.17 300 ms 239 ms 239 ms12 * * *13 128.121.54.72 2

50、59 ms 499 ms 279 ms14 * * *15 * * *16 * * *17 * * *18 18.26.0.115 339 ms 279 ms 279 ms 67display interface（1） display interface ethernet1/0/1 Ethernet1/0/1 current state : DOWN IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 0012-a990-2240 Media type is twisted pair, loopback not set

51、 Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is force link, link duplex type is force link Flow-control is enabled The Maximum Frame Length is 9216 Broadcast MAX-pps: 500 Unicast MAX-ratio: 100% Multicast MAX-ratio: 100% Allow jumbo frame to pass PVID: 1 Md

52、i type: auto Port link-type: access Tagged VLAN ID : none Untagged VLAN ID : 68display interface（2） Last 300 seconds input: 0 packets/sec 0 bytes/sec Last 300 seconds output: 0 packets/sec 0 bytes/sec Input(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Input(normal): - packets, - b

53、ytes - broadcasts, - multicasts, - pauses Input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC 0 frame, - overruns, 0 aborts, 0 ignored, - parity errors Output(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Output(normal): - packets, - bytes - broadcasts, - multicasts, - pau

54、ses Output: 0 output errors, - underruns, - buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions 0 lost carrier, - no 69display mac-address用來顯示MAC地址轉(zhuǎn)發(fā)表的信息，包括MAC地址所對應VLAN和以太網(wǎng)端口、地址狀態(tài)（靜態(tài)還是動態(tài)）、是否處在老化時間內(nèi)等信息# 顯示MAC地址000f-e20f-0101的信息。 display mac-address 000f-e20f-0101MAC ADDR VLAN ID STA

55、TE PORT INDEX AGING TIME(s)000f-e20f-0101 1 Learned Ethernet1/0/1 AGING# 顯示端口Ethernet1/0/4的MAC地址轉(zhuǎn)發(fā)表內(nèi)容。 display mac-address interface Ethernet 1/0/4MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000d-88f6-44ba 1 Learned Ethernet1/0/4 AGING000d-88f7-9f7d 1 Learned Ethernet1/0/4 AGING000d-88f7-b094 1 L

56、earned Ethernet1/0/4 AGING000f-e200-00cc 1 Learned Ethernet1/0/4 AGING000f-e200-2201 1 Learned Ethernet1/0/4 AGING000f-e207-f2e0 1 Learned Ethernet1/0/4 AGING000f-e209-ecf9 1 Learned Ethernet1/0/4 AGING- 7 mac address(es) found on port Ethernet1/0/4 - 70display arp用來顯示ARP表項 display arp Type: S-Stati

57、c D-DynamicIP Address MAC Address VLAN ID Port Name / AL ID Aging Type10.2.72.162 000a-000a-0aaa N/A N/A N/A S192.168.0.77 0000-e8f5-6a4a 1 Ethernet1/0/2 13 D192.168.0.200 0014-222c-9d6a 1 Ethernet1/0/2 14 D192.168.0.45 000d-88f6-44c1 1 Ethernet1/0/2 15 D192.168.0.110 0011-4301-991e 1 Ethernet1/0/2 15 D192.168.0.32 0000-e8f5-73ee 1 Et