H3C交換機基本配置培訓總結

1、交換機基本配置及網絡維護培訓交換機基本配置及網絡維護培訓 2011-09-27 杭州華三通信技術有限公司 版權所有，未經授權不得使用與傳播 劉光坤：劉光坤目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本配置原理及基本配置 ?第四章第四章 設備管理基本配置設備管理基本配置 ?第五章第五章 常用維護方法和命令常用維護方法和命令 VLAN的產生原因廣播風暴的產生原因廣播風暴 傳統(tǒng)的以太網是廣播型網絡，網絡中的所有主機通過HUB或交換機相連，處在同一個廣播域中 廣播 3 通過路

2、由器隔離廣播域通過路由器隔離廣播域 路由器 廣播 4 通過通過VLAN劃分廣播域劃分廣播域 Broadcast Domain 1 Broadcast Domain 3 VLAN 10 VLAN 30 Broadcast Domain 2 VLAN 20 工程部 財務部 市場部 5 以太網端口的鏈路類型以太網端口的鏈路類型 ?Access link：只能允許某一個：只能允許某一個 VLAN的的untagged數(shù)據(jù)流通過。數(shù)據(jù)流通過。 ?Trunk link：允許多個：允許多個VLAN的的tagged數(shù)據(jù)流和數(shù)據(jù)流和某一個某一個VLAN的的untagged數(shù)據(jù)流通過。數(shù)據(jù)流通過。 ?Hybrid

3、link：允許多個：允許多個VLAN的的tagged數(shù)據(jù)流和數(shù)據(jù)流和多個多個VLAN的的untagged數(shù)據(jù)流通過。數(shù)據(jù)流通過。 ? Hybrid端口可以允許多個端口可以允許多個VLAN的報文發(fā)送時不攜帶標簽，而的報文發(fā)送時不攜帶標簽，而Trunk端口只允許缺省端口只允許缺省VLAN的報文發(fā)送時不攜帶標簽。的報文發(fā)送時不攜帶標簽。 ? 三種類型的端口可以共存在一臺設備上三種類型的端口可以共存在一臺設備上 6 Access Link和和Trunk Link Trunk link Access link 7 Trunk Link和和VLAN VLAN10 廣播報文發(fā)送 Trunk Link VLA

4、N5 VLAN2 VLAN10 VLAN3 VLAN2 VLAN10 VLAN5 VLAN5 VLAN2 8 數(shù)據(jù)幀在網絡通信中的變化數(shù)據(jù)幀在網絡通信中的變化 VLAN2 帶有VLAN3標簽的以太網幀 VLAN3 不帶VLAN標簽的 以太網幀 帶有VLAN2標簽的以太網幀 VLAN3 VLAN2 9 VLAN配置命令（配置命令（1） 創(chuàng)建VLAN. vlan 100 (1-4094) 刪除VLAN. undo vlan 100 (1-4094) 在VLAN中增加端口. port Ethernet 2/0/1 在VLAN中刪除端口. undo port Ethernet 2/0/1 將端口加入V

5、LAN port access vlan 100 (1-4094) 將端口脫離VLAN undo port access vlan 100 (1-4094) 顯示VLAN信息 display vlan VLAN ID (1-4094) 10 VLAN配置命令（配置命令（2） 定義端口屬性為Trunk. port link-type trunk 刪除端口Trunk屬性. undo port link-type 定義端口可以傳輸?shù)?VLAN. port trunk permit vlan VLAN ID 在VLAN中刪除端口. undo port trunk permit vlan VLAN ID

6、 11 配置配置VLAN虛接口虛接口 為已存在的VLAN創(chuàng)建對應的VLAN接口，并進入 VLAN接口視圖 interface Vlan-interface vlan-id 刪除一個VLAN接口 undo interface Vlan-interface *缺省情況下，在交換機上不存在VLAN接口 *可以通過ip address命令配置IP地址，使接口可以為在該 VLAN范圍內接入的設備提供基于IP層的數(shù)據(jù)轉發(fā)功能 *在創(chuàng)建VLAN接口之前，必須先創(chuàng)建對應的VLAN，否則無 法創(chuàng)建VLAN接口 12 配置配置IP地址地址 ip address命令用來配置VLAN接口/LoopBack接口的IP地

7、址 和掩碼 undo ip address命令用來刪除VLAN接口/LoopBack接口的 IP地址和掩碼 ip address ip-address mask | mask-length sub undo ip address ip-address mask | mask-length sub *在一般情況下，一個VLAN接口/LoopBack接口/網絡管理接口配置一個 IP地址即可，但為了使交換機的一個VLAN接口/LoopBack接口/網絡管理 接口可以與多個子網相連，一個VLAN接口/LoopBack接口/網絡管理接口 最多可以配置多個IP地址，其中一個為主IP地址，其余為從IP地址

8、13 靜態(tài)路由的配置命令和示例靜態(tài)路由的配置命令和示例 H3Cip route-static ip-address mask | masklen interface-type interfacce-name | nexthop-address preference value reject | blackhole 例如： ip route-static 129.1.0.0 16 10.0.0.2 ip route-static 129.1.0.0 255.255.0.0 10.0.0.2 ip route-static 129.1.0.0 16 Serial 2/0 14 主從主從IP地址舉例

9、地址舉例 172.16.1.0/24Host BSwitchVlan-int1172.16.1.2/24172.16.1.1/24172.16.2.1/24 sub172.16.2.2/24Host A172.16.2.0/24 15 VLAN配置舉例配置舉例 Server2Server1SwitchAEth1/0/2Eth1/0/12Eth1/0/13Eth1/0/10Eth1/0/1SwitchBEth1/0/11PC1PC2 為保證部門間數(shù)據(jù)的二層隔離，現(xiàn)要求將為保證部門間數(shù)據(jù)的二層隔離，現(xiàn)要求將PC1和和Server1劃分到劃分到VLAN100 中，中，PC2和和Server2劃分到劃

10、分到VLAN200中。并分別為兩個中。并分別為兩個VLAN設置描述字符為設置描述字符為 “Dept1”和和“Dept2” 在在SwitchA上配置上配置VLAN接口，對接口，對PC1發(fā)往發(fā)往Server2的數(shù)據(jù)進行三層轉發(fā)。的數(shù)據(jù)進行三層轉發(fā)。 兩個部門分別使用兩個部門分別使用192.168.1.0/24和和192.168.2.0/24兩個網段兩個網段 16 配置配置Switch A # 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口Ethernet1/0/1加 入到VLAN100。 system-view SwitchA vlan 100 SwitchA-vla

11、n100 description Dept1 SwitchA-vlan100 port Ethernet 1/0/1 SwitchA-vlan100 quit # 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”。 SwitchA vlan 200 SwitchA-vlan200 description Dept2 SwitchA-vlan200 quit # 創(chuàng)建VLAN100和VLAN200的接口，IP地址分別配置為192.168.1.1和192.168.2.1，用 來對PC1發(fā)往Server2的報文進行三層轉發(fā)。 SwitchA interface Vlan-inte

12、rface 100 SwitchA-Vlan-interface100 ip address 192.168.1.1 24 SwitchA-Vlan-interface100 quit SwitchA interface Vlan-interface 200 SwitchA-Vlan-interface200 ip address 192.168.2.1 24 17 配置配置Switch B # 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口 Ethernet1/0/13加入到VLAN100。 system-view SwitchB vlan 100 Switch

13、B-vlan100 description Dept1 SwitchB-vlan100 port Ethernet 1/0/13 SwitchB-vlan103 quit # 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”，將端口 Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。 SwitchB vlan 200 SwitchB-vlan200 description Dept2 SwotchB-vlan200 port Ethernet1/0/11 Ethernet 1/0/12 SwitchB-vlan200 quit 18 配置配置S

14、witch A和和Switch B之間的鏈路之間的鏈路 由于Switch A和Switch B之間的鏈路需要同時傳輸VLAN100和VLAN200 的數(shù)據(jù)，所以可以配置兩端的端口為Trunk端口，且允許這兩個VLAN的 報文通過。 # 配置Switch A的Ethernet1/0/2端口。 SwitchA interface Ethernet 1/0/2 SwitchA-Ethernet1/0/2 port link-type trunk SwitchA-Ethernet1/0/2 port trunk permit vlan 100 SwitchA-Ethernet1/0/2 port tr

15、unk permit vlan 200 # 配置Switch B的Ethernet1/0/10端口。 SwitchB interface Ethernet 1/0/10 SwitchB-Ethernet1/0/10 port link-type trunk SwitchB-Ethernet1/0/10 port trunk permit vlan 100 SwitchB-Ethernet1/0/10 port trunk permit vlan 200 19 注意事項注意事項 ?VLAN 1 -缺省就有，不需要創(chuàng)建，也無法刪除缺省就有，不需要創(chuàng)建，也無法刪除 -不建議用作業(yè)務不建議用作業(yè)務VL

16、AN -可以用作管理可以用作管理VLAN ?Trunk鏈路鏈路 -只允許所需的只允許所需的VLAN通過，不要配置通過，不要配置 port trunk permit vlan all -最好配置上最好配置上undo port trunk permit vlan 1 20 目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本配置原理及基本配置 ?第四章第四章 設備管理基本配置設備管理基本配置 ?第五章第五章 常用維護方法和命令常用維護方法和命令 生成樹生成樹 ?STP（Spanning Tree Pro

17、tocol ，生成樹協(xié)議）是根據(jù)IEEE協(xié)會制定的802.1D標準建立的，用于在局域網中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議。運行該協(xié)議的設備通過彼此交互報文發(fā)現(xiàn)網絡中的環(huán)路，并有選擇的對某些端口進行阻塞，最終將環(huán)路網絡結構修剪成無環(huán)路的樹型網絡結構，從而防止報文在環(huán)路網絡中不斷增生和無限循環(huán)，避免主機由于重復接收相同的報文造成的報文處理能力下降的問題發(fā)生。 22 STP配置命令配置命令 啟動全局啟動全局STP特性特性 stp enable 關閉全局關閉全局STP特性特性 undo stp enable *全局開啟后，每個接口下的全局開啟后，每個接口下的STP功能也被打開功能也被打開 接口視圖下關閉接

18、口視圖下關閉STP特性特性 stp disable 接口下開啟接口下開啟STP特性特性 stp enable 23 STP的交換機保護功能的交換機保護功能 1. Root保護功能保護功能 由于維護人員的錯誤配置或網絡中的惡意攻擊，網絡中的合由于維護人員的錯誤配置或網絡中的惡意攻擊，網絡中的合 法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當前根橋法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當前根橋 會失去根橋的地位，引起網絡拓撲結構的錯誤變動。這種不會失去根橋的地位，引起網絡拓撲結構的錯誤變動。這種不 合法的變動，會導致原來應該通過高速鏈路的流量被牽引到合法的變動，會導致原來應該通過高速鏈路的流

19、量被牽引到 低速鏈路上，導致網絡擁塞。低速鏈路上，導致網絡擁塞。 stp root primary命令用來指定當前交換機作為指命令用來指定當前交換機作為指 定生成樹實例的根橋。定生成樹實例的根橋。 undo stp root命令用來取消當前交換機作為指定生命令用來取消當前交換機作為指定生 成樹實例的根橋資格。成樹實例的根橋資格。 stp instance 0 root primary 24 STP優(yōu)化優(yōu)化-邊緣端口邊緣端口 邊緣端口是指不直接與任何交換機連接，也不通過端口所連邊緣端口是指不直接與任何交換機連接，也不通過端口所連 接的網絡間接與任何交換機相連的端口。接的網絡間接與任何交換機相連的

20、端口。 用戶如果將某個端口指定為邊緣端口，那么當該端口由阻塞用戶如果將某個端口指定為邊緣端口，那么當該端口由阻塞 狀態(tài)向轉發(fā)狀態(tài)遷移時，這個端口可以實現(xiàn)快速遷移，而無狀態(tài)向轉發(fā)狀態(tài)遷移時，這個端口可以實現(xiàn)快速遷移，而無 需等待延遲時間。需等待延遲時間。 在交換機沒有開啟在交換機沒有開啟BPDU保護的情況下，如果被設置為邊緣保護的情況下，如果被設置為邊緣 端口的端口上收到來自其它端口的端口的端口上收到來自其它端口的BPDU報文，則該端口會報文，則該端口會 重新變?yōu)榉沁吘壎丝?。重新變?yōu)榉沁吘壎丝凇?對于直接與終端相連的端口，請將該端口設置為邊緣端口，對于直接與終端相連的端口，請將該端口設置為邊緣端

21、口， 同時啟動同時啟動BPDU保護功能。這樣既能夠使該端口快速遷移到保護功能。這樣既能夠使該端口快速遷移到 轉發(fā)狀態(tài)，也可以保證網絡的安全。轉發(fā)狀態(tài)，也可以保證網絡的安全。 25 邊緣端口配置邊緣端口配置 stp edged-port enable 命令用來將當前的以太網端命令用來將當前的以太網端 口配置為邊緣端口口配置為邊緣端口 stp edged-port disable 命令用來將當前的以太網命令用來將當前的以太網 端口配置為非邊緣端口端口配置為非邊緣端口 undo stp edged-port 命令用來將當前的以太網端命令用來將當前的以太網端 口恢復為缺省狀態(tài)，即非邊緣端口?？诨謴蜑槿?/p>

22、省狀態(tài)，即非邊緣端口。 *缺省情況下，交換機所有以太網端口均被配置為非缺省情況下，交換機所有以太網端口均被配置為非 邊緣端口邊緣端口 26 STP的交換機保護功能的交換機保護功能 2. BPDU保護功能保護功能 邊緣端口接收到配置消息后，系統(tǒng)會自動將這些端口設置為非邊緣端口接收到配置消息后，系統(tǒng)會自動將這些端口設置為非 邊緣端口，重新計算生成樹，這樣就引起網絡拓撲的震蕩。邊緣端口，重新計算生成樹，這樣就引起網絡拓撲的震蕩。 正常情況下，邊緣端口應該不會收到生成樹協(xié)議的配置消息。正常情況下，邊緣端口應該不會收到生成樹協(xié)議的配置消息。 如果有人偽造配置消息惡意攻擊交換機，就會引起網絡震蕩。如果有人

23、偽造配置消息惡意攻擊交換機，就會引起網絡震蕩。 BPDU保護功能可以防止這種網絡攻擊。交換機上啟動了保護功能可以防止這種網絡攻擊。交換機上啟動了BPDU 保護功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些保護功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些 端口關閉，同時通知網管這些端口被端口關閉，同時通知網管這些端口被MSTP關閉。被關閉的邊關閉。被關閉的邊 緣端口只能由網絡管理人員恢復。緣端口只能由網絡管理人員恢復。 27 查看查看STP信息信息 display stp brief 顯示STP生成樹的簡要狀態(tài)信息。 display stp instance 0 interface E

24、thernet 1/0/1 to Ethernet 1/0/4 brief MSTID Port Role STP State Protection 0 Ethernet1/0/1 ALTE DISCARDING LOOP 0 Ethernet1/0/2 DESI FORWARDING NONE 0 Ethernet1/0/3 DESI FORWARDING NONE 0 Ethernet1/0/4 DESI FORWARDING NONE 28 目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本

25、配置原理及基本配置 ?第四章第四章 設備管理基本配置設備管理基本配置 ?第五章第五章 常用維護方法和命令常用維護方法和命令 ACL訪問控制列表訪問控制列表 為了過濾通過網絡設備的數(shù)據(jù)包，需要配置一系列的匹 配規(guī)則，以識別需要過濾的對象。在識別出特定的對象之后 ，網絡設備才能根據(jù)預先設定的策略允許或禁止相應的數(shù)據(jù) 包通過。 訪問控制列表（Access Control List，ACL）就是用來實現(xiàn) 這些功能。 ACL通過一系列的匹配條件對數(shù)據(jù)包進行分類，這些條件可 以是數(shù)據(jù)包的源地址、目的地址、端口號等。ACL可應用在 交換機全局或端口上，交換機根據(jù)ACL中指定的條件來檢測 數(shù)據(jù)包，從而決定是轉

26、發(fā)還是丟棄該數(shù)據(jù)包。 30 以太網訪問列表以太網訪問列表 ?主要作用:在整個網絡中分布實施接入安全性 服務器服務器 部門部門 B 部門部門 A Intranet 31 訪問控制列表訪問控制列表ACL 對到達端口的數(shù)據(jù)包進行分類，并打上不同的動作標記 訪問列表作用于交換機的所有端口 訪問列表的主要用途： 包過濾包過濾 鏡像鏡像 流量限制流量限制 流量統(tǒng)計流量統(tǒng)計 分配隊列優(yōu)先級分配隊列優(yōu)先級 32 流分類流分類 通常選擇數(shù)據(jù)包的包頭信息作為流分類項 2層流分類項 以太網幀承載的數(shù)據(jù)類型以太網幀承載的數(shù)據(jù)類型 源源/目的目的MAC地址地址 以太網封裝格式以太網封裝格式 Vlan ID 入入/出端口

27、出端口 3/4層流分類項 協(xié)議類型協(xié)議類型 源源/目的目的IP地址地址 源源/目的端口號目的端口號 DSCP 33 IP 數(shù)據(jù)包過濾數(shù)據(jù)包過濾 TCP/IP包過濾元素包過濾元素 源源/目的目的IP地址地址 源源/目的端口號目的端口號 應用程序和數(shù)據(jù)應用程序和數(shù)據(jù) IP header TCP header Application-level header Data L3/L4過濾過濾 應用網關應用網關 34 訪問控制列表的構成訪問控制列表的構成 ? Rule（訪問控制列表的子規(guī)則） ? Time-range（時間段機制） 訪問控制列表訪問控制列表 ? ACL=rules + time-range

28、 策略策略:ACL1 （訪問控制列表由一系列規(guī)則組成，有必要時 策略策略:ACL2 會和時間段結合） 策略策略:ACL3 . 策略策略:ACLN 35 時間段的相關配置時間段的相關配置 ? 在系統(tǒng)視圖下，配置時間段: ?time-range time-name start-time to end-time days-of-the-week from start- date to end-date ? 在系統(tǒng)視圖下，刪除時間段: ?undo time-range time-name start-time to end-time days-of-the-week from start- date

29、to end-date ? 假設管理員需要在從2002年12月1日上午8點到2003年1月1日下午18點的時間段內實施安全策略，可以定義時間段名為denytime，具體配置如下: ?H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003 36 訪問控制列表的類型訪問控制列表的類型 ? 20002999：表示基本：表示基本ACL。只根據(jù)數(shù)據(jù)包的源。只根據(jù)數(shù)據(jù)包的源IP地址地址制定規(guī)則。制定規(guī)則。 ? 30003999：表示高級：表示高級ACL（3998與與3999是系統(tǒng)為集群是系統(tǒng)為集群管理預留的編號，用戶無法配置）。根據(jù)數(shù)

30、據(jù)包的源管理預留的編號，用戶無法配置）。根據(jù)數(shù)據(jù)包的源IP地地址、目的址、目的IP地址、地址、IP承載的協(xié)議類型、協(xié)議特性等三、四承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則。層信息制定規(guī)則。 ? 40004999：表示二層：表示二層ACL。根據(jù)數(shù)據(jù)包的源。根據(jù)數(shù)據(jù)包的源MAC地址地址、目的、目的MAC地址、地址、802.1p優(yōu)先級、二層協(xié)議類型等二層優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則。信息制定規(guī)則。 ? 50005999：表示用戶自定義：表示用戶自定義ACL。以數(shù)據(jù)包的頭部為。以數(shù)據(jù)包的頭部為基準，指定從第幾個字節(jié)開始與掩碼進行基準，指定從第幾個字節(jié)開始與掩碼進行“與與”操作，將操作，

31、將從報文提取出來的字符串和用戶定義的字符串進行比較，從報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文。找到匹配的報文。 37 定義訪問控制列表定義訪問控制列表 ? 在系統(tǒng)視圖下，定義ACL并進入訪問控制列表視圖: ?acl number acl-number | name acl-name basic | advanced | interface | link match-order config | auto ? 在系統(tǒng)視圖下，刪除ACL: ?undo acl number acl-number | name acl-name | all 38 基本訪問控制列表的規(guī)則配置基本

32、訪問控制列表的規(guī)則配置 ? 在基本訪問控制列表視圖下，配置相應的規(guī)則 ?rule rule-id permit | deny source source-addr source-wildcard | any fragment time-range time-range-name ? 在基本訪問控制列表視圖下，刪除一條子規(guī)則 ?undo rule rule-id source fragment time-range 39 高級訪問控制列表的規(guī)則配置高級訪問控制列表的規(guī)則配置 ? 在高級訪問控制列表視圖下，配置相應的規(guī)則 ?rule rule-id permit | deny protocol s

33、ource source-addr source-wildcard | any destination dest-addr dest-mask | any soure-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code established precedence precedence tos tos | dscp dscp fragment time-range time-range-name ? 在高級訪問控制列表視圖下，刪除一條子規(guī)則 ?undo rul

34、e rule-id source destination soure-port destination-port precedence tos | dscp fragment time-range 40 端口操作符及語法端口操作符及語法 ?TCP/UDP協(xié)議支持的端口操作符及語法 操作符及語法操作符及語法 含義含義 eq portnumber 等于等于portnumber gt portnumber 大于大于portnumber lt portnumber 小于小于portnumber neq portnumber 不等于不等于portnumber range portnumber1 介于端口

35、號介于端口號portnumber1和和 portnumber2 portnumber2之間之間 41 接口訪問控制列表的規(guī)則配置接口訪問控制列表的規(guī)則配置 ? 在接口訪問控制列表視圖下，配置相應的規(guī)則 ?rule rule-id permit | deny interface interface-name | interface-type interface-num | any time-range time-range-name ? 在接口訪問控制列表視圖下，刪除一條子規(guī)則 ?undo rule rule-id 42 二層訪問控制列表的規(guī)則配置二層訪問控制列表的規(guī)則配置 ? 在二層訪問控制列

36、表視圖下，配置相應的規(guī)則 ?rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-range time

37、-range-name ? 在二層訪問控制列表視圖下，刪除一條子規(guī)則 ?undo rule rule-id 43 自定義訪問控制列表的規(guī)則配置自定義訪問控制列表的規(guī)則配置 ? 在自定義訪問控制列表視圖下，配置相應的規(guī)則 ?rule rule-id permit | deny rule-string rule-mask offset & time-range time-range-name ? 在自定義訪問控制列表視圖下，刪除一條子規(guī)則 ?undo rule rule-id ?用戶自定義訪問控制列表的數(shù)字標識取值范圍為50005999 44 規(guī)則匹配原則規(guī)則匹配原則 ? 一條訪問控制列表往往會由

38、多條規(guī)則組成，這樣在匹配一條訪問控制列表的時候就存在匹配順序的問題。在華為系列交換機產品上，支持下列兩種匹配順序： ?Config：指定匹配該規(guī)則時按用戶的配置順序（后：指定匹配該規(guī)則時按用戶的配置順序（后下發(fā)先生效）下發(fā)先生效） ?Auto：指定匹配該規(guī)則時系統(tǒng)自動排序（按：指定匹配該規(guī)則時系統(tǒng)自動排序（按“深度深度優(yōu)先優(yōu)先”的順序）的順序） 45 激活訪問控制列表激活訪問控制列表 ? 在系統(tǒng)視圖下，激活ACL: ?packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name

39、 rule rule link-group acl-number | acl-name rule rule ? 在系統(tǒng)視圖下，取消激活ACL: ?undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 46 配置配置ACL進行包過濾的步驟進行包過濾的步驟 ? 綜上所述，在H3C交換機上配置ACL進行包過濾的步驟如下： ?配置時間段（可選）配置時間段（可選）

40、?定義訪問控制列表（四種類型：基本、高級、基定義訪問控制列表（四種類型：基本、高級、基于接口、基于二層和用戶自定義）于接口、基于二層和用戶自定義） ?激活訪問控制列表激活訪問控制列表 47 訪問控制列表配置舉例一訪問控制列表配置舉例一 要求配置高級要求配置高級ACL，禁止員工在工作日，禁止員工在工作日8:0018:00的時間段內訪問新的時間段內訪問新浪網站（浪網站（ 61.172.201.194 ） 1. 定義時間段定義時間段 H3C time-range test 8:00 to 18:00 working-day 2.定義高級定義高級ACL 3000，配置目的，配置目的IP地址為新浪網站的

41、訪問規(guī)則。地址為新浪網站的訪問規(guī)則。 H3C acl number 3000 H3C -acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test 3.在端口在端口Ethernet1/0/15上應用上應用ACL 3000。 H3C interface Ethernet 1/0/15 H3C-Ethernet1/0/15 packet-filter inbound ip-group 3000 48 訪問控制列表配置舉例二訪問控制列表配置舉例二 配置防病毒配置防病毒ACL 1. 定義高級定義高級ACL 3000

42、H3C acl number 3000 H3C -acl-adv-3000 rule 1 deny udp destination-port eq 335 H3C -acl-adv-3000 rule 3 deny tcp source-port eq 3365 H3C -acl-adv-3000 rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 3875 2. 在端口在端口Ethernet1/0/1上應用上應用ACL 3000 H3C-Ethernet1/0/1 packet-filter inbound ip-gr

43、oup 3000 49 目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本配置原理及基本配置 ?第四章第四章 設備管理基本配置設備管理基本配置 ?第五章第五章 常用維護方法和命令常用維護方法和命令 交換機管理方式交換機管理方式 ?通過通過Console口進行本地登錄口進行本地登錄 ?通過以太網端口利用通過以太網端口利用 Telnet或或SSH進行本地或遠進行本地或遠程登錄程登錄 ?通過通過Console口利用口利用Modem撥號進行遠程登錄撥號進行遠程登錄 51 Telnet配置配置 （1）不需要

44、輸入用戶名和密碼 H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode none H3C-ui-vty0-4 user privilege level 3 （2）需要輸入密碼 H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode password H3C-ui-vty0-4 user privilege level 3 H3C-ui-vty0-4 set authentication password simple h3c （3）需要輸入用戶名和密碼 H3C

45、user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode scheme H3C local-user h3c H3C-luser-h3c password cipher 123456 H3C-luser-h3c service-type telnet level 3 52 目錄目錄 ?第一章第一章 VLAN原理及基本配置原理及基本配置 ?第二章第二章 STP原理及基本配置原理及基本配置 ?第三章第三章 ACL原理及基本配置原理及基本配置 ?第四章第四章 設備管理基本配置設備管理基本配置 ?第五章第五章 常用維護方法和命令常用維護方法和命令

46、 53 故障排除常用方法故障排除常用方法 ?分層故障排除法 ?分塊故障排除法 ?分段故障排除法 ?替換法 54 分層故障排除法分層故障排除法 所有的技術都是分層的！所有的技術都是分層的！ 。網網 絡絡 層層 關注地址分配、路由協(xié)議參數(shù)等 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層 關注封裝協(xié)議和相關參數(shù)、鏈路利用率等 物物 理理 層層 關注電纜、連接頭、信號電平、編碼、時鐘和組幀 55 分塊故障排除法分塊故障排除法 ?配置文件分為以下部分： ?管理部分（路由器名稱、口令、服務、日志等） ?端口部分（地址、封裝、cost、認證等） ?路由協(xié)議部分（靜態(tài)路由、RIP、OSPF、BGP、路由引入等） ?策略部分（路由策略

47、、策略路由、安全配置等） ?接入部分（主控制臺、Telnet登錄或啞終端、撥號等） ?其他應用部分（語言配置、VPN配置、Qos配置等） 56 分段故障排除法分段故障排除法 Modem Modem DDN節(jié)點節(jié)點 中繼線路中繼線路 DDN節(jié)點節(jié)點 Modem Modem 網絡分為若干段，逐段測試，縮小故障范網絡分為若干段，逐段測試，縮小故障范圍，逐段定位網絡故障，并排除。圍，逐段定位網絡故障，并排除。 57 常用命令（常用命令（1） display version命令用來顯示系統(tǒng)的版本信息。 用戶可以通過該命令查看軟件的版本信息、發(fā)布時間、交換機的基本硬 件配置等信息。 display ver

48、sion H3C Comware Platform Software Comware Software, Version 3.10, Test 1545 Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved. S3600-52P-EI uptime is 0 week, 0 day, 23 hours, 15 minutes S3600-52P-EI with 1 Processor 64M bytes DRAM 16384K bytes Flash Memory Config Regis

49、ter points to FLASH Hardware Version is REV.C CPLD Version is CPLD 001 Bootrom Version is 510 Subslot 0 48 FE Hardware Version is REV.C Subslot 1 4 GE Hardware Version is REV.C 58 常用命令（常用命令（2） display current-configuration命令用來顯示交換機當前的配置。 當用戶完成一組配置之后，需要驗證配置是否生效，則可以執(zhí) 行display current-configuration命令來查

50、看當前生效的參數(shù)。 注意： *如果當前配置的參數(shù)與缺省參數(shù)相同，則不予顯示； *對于某些參數(shù)，雖然用戶已經配置，但如果這些參數(shù)對應的功能沒有生效， 則不予顯示。 59 常用命令（常用命令（3） display this命令用來顯示當前視圖下的運行配置。 當用戶在某一視圖下完成一組配置之后，需要驗證配置是否 生效，則可以執(zhí)行display this命令來查看所在視圖下當前生 效的配置參數(shù)。 注意： *對于已經生效的配置參數(shù)如果與缺省工作參數(shù)相同，則不顯示； *對于某些參數(shù)，雖然用戶已經配置，但如果這些參數(shù)對應的功能沒有生 效，則不予顯示； *在任意一個用戶界面視圖或VLAN視圖下執(zhí)行此命令，將會

51、顯示所有用 戶界面或VLAN下生效的配置參數(shù)。 60 網絡連通性測試命令網絡連通性測試命令 操作 命令 ping ip - a source-ip | -c count | -f | -h ttl | - i interface-type interface-number | -m interval | -n | -p pad | -q | -r | -s packet-size | -t timeout | -tos tos | -v | -vpn-instance vpn-instance-name * remote-system ping ipv6 -a source-ipv6 | -c

52、 count | -m interval | -s packet-size | -t timeout * remote-system -i interface-type interface-number tracert -a source-ip | -f first-ttl | -m max-ttl | -p port | -q packet-number | -vpn-instance vpn-instance-name | -w timeout * remote-system 說明 可選 網絡層協(xié)議為IPv4時使用 可在任意視圖下執(zhí)行 可選 網絡層協(xié)議為IPv6時使用 可在任意視圖下執(zhí)行

53、可選 網絡層協(xié)議為IPv4時使用 可在任意視圖下執(zhí)行 檢查IP網絡中的指定地址是否可達 查看當前設備到目的設備的路由 可選 tracert ipv6 -f first-ttl | -m max-ttl | -p 網絡層協(xié)議為IPv6時port | -q packet-number | -w timeout * 使用 remote-system 可在任意視圖下執(zhí)行 61 ping命令參數(shù)（命令參數(shù)（1） ?ip：支持IPv4協(xié)議。 ?-a source-ip：指定ICMP回顯請求報文中的源IP地址。該地址必須是設備上已配置的合法IP地址。 ?-c count：指定發(fā)送ICMP回顯請求報文的數(shù)目，

54、取值范圍缺省值為5。 ?-f：將長度大于接口MTU的報文直接丟棄，即不允許對發(fā)送的ICMP回顯請求報文進行分片。 ?-h ttl：指定ICMP回顯請求報文中的TTL值，取值范圍為1255，缺省值為255。 ?-i interface-type interface-number：指定發(fā)送報文的接口的類型和編號。在指定出接口的情況下，只能ping直連網段地址。 ?-m interval：指定發(fā)送ICMP回顯請求報文的時間間隔，取值范圍為165535，單位為毫秒，缺省值為200毫秒。 如果在timeout時間內收到目的主機的響應報文，則下次ICMP回顯請求報文的發(fā)送時間間隔

55、為報文的實際響應時間與interval之和； 如果在timeout時間內沒有收到目的主機的響應報文，則下次ICMP回顯請求報文的發(fā)送時間間隔為timeout與interval之和。 ?-n：不進行域名解析。缺省情況下，系統(tǒng)將對hostname進行域名解析。 62 ping命令參數(shù)命令參數(shù) ?-p pad：指定ICMP回顯請求報文的填充字節(jié)，格式為16進制。比如將“pad” 設置為ff，則報文將被全部填充為ff。缺省情況下，填充的字節(jié)從0 x01開始，逐漸遞增，直到0 x09，然后又從0 x01開始循環(huán)填充。 ?-q：除統(tǒng)計信息外，不顯示其它詳細信息。缺省情況下，系統(tǒng)將顯示包括統(tǒng)計信息在內的全部

56、信息。 ?-r：記錄路由。缺省情況下，系統(tǒng)不記錄路由。 ?-s packet-size：指定發(fā)送的ICMP回顯請求報文的長度（不包括IP和ICMP報文頭），取值范圍為208100，單位為字節(jié)，缺省值為56字節(jié)。 ?-t timeout：指定ICMP回顯應答報文的超時時間，取值范圍為165535，單位為毫秒，缺省值為2000毫秒。 ?-tos tos：指定ICMP回顯請求報文中的ToS（Type of Service，服務類型）域的值，取值范圍為0255，缺省值為0。 ?-v：顯示接收到的非回顯應答的ICMP報文。缺省情況下，系統(tǒng)不顯示非回顯應答的ICMP報文。 ?-vpn-instance v

57、pn-instance-name：指定MPLS VPN的實例名稱，是一個長度為131個字符的字符串，不區(qū)分大小寫。 ?remote-system：目的設備的IP地址或主機名（主機名為120個字符的字符串）。 63 Ping命令參數(shù)命令參數(shù) ping命令用來檢查指定IP地址是否可達，并輸出相應的統(tǒng)計信息。 H3Cping 11.1.1.1 PING 11.1.1.1: 56 data bytes, press CTRL_C to break Reply from 11.1.1.1: bytes=56 Sequence=0 ttl=255 time = 31 ms Reply from 11.1.

58、1.1: bytes=56 Sequence=1 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=255 time = 32 ms Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=255 time = 31 ms - 11.1.1.1 ping statistics - 5 packets transmitted 5 packets receive

59、d 0.00% packet loss round-trip min/avg/max = 31/31/32 ms 64 tracert命令參數(shù)命令參數(shù) ?-a source-ip：指明tracert報文的源IP地址。該地址必須是設備上已配置的合法IP地址。 ?-f first-ttl：指定一個初始TTL，即第一個報文所允許的跳數(shù)。取值范圍為1255，且小于最大TTL，缺省值為1。 ?-m max-ttl：指定一個最大TTL，即一個報文所允許的最大跳數(shù)。取值范圍為1255，且大于初始TTL，缺省值為30。 ?-p port：指明目的設備的UDP端口號，取值范圍為165535，缺省值為33434。用戶一般不需要更改此選項。 ?-q packet-number：指明每次發(fā)送的探測報文個數(shù)，取值范圍為165535，缺省值為3。 ?-vpn-instance vpn-instance-name：指定MPLS VPN的實例名稱，是一個長度為131個字符的字符串。 ?-w timeout：指定等待探測報文響應的報文的超時時間，取值范圍是165535，單位為毫秒，缺省值為5000毫秒。 ?remote-system：目的設備的IP地址或主機名（主機名是長度為120的字符串）。 65 tr