H3C_S3600系列交换机配置

目录n基本命令n交换n网络管理n安全管理命令行接口简介H3C系列以太网交换机向用户提供一系列配置命令以及命令行接口，方便用户配置和管理以太网交换机。命令行接口有如下特性：配置命令分级保护，确保未授权用户无法使用相关的命令对交换机进行配置。用户可以随时键入以获得在线帮助。提供网络测试命令，如Tracert、Ping等，帮助用户迅速诊断网络是否正常。提供种类丰富、内容详尽的调试信息，帮助用户诊断、定位网络故障。提供类似Doskey的功能，可以执行某条历史命令。交换机对命令行关键字采取不完全匹配的搜索方法，用户只需键入无冲突关键字即可正确执行。命令行分级 H3C系列以太网交换机的命令行采用分级保护方式，防止未授权用 非 法侵入。命令行划分为访问级、监控级、系统级、管理级4个级别，简介如下：访问级：包含的命令用于网络诊断、用户界面的语言模式切换。包括ping、tracert、language-mode命令等，该级别命令不能被保存到配置文件中。监控级：包含的命令用于系统维护、业务故障诊断等。包括display、debugging命令等，该级别命令不能被保存到配置文件中。系统级：包含的命令用于业务配置。包括各个网络层次的命令，用于向用户提供直接网络服务。管理级：包含的命令关系到系统的基本运行、系统支撑的模块，这些命令对业务提供支撑作用。包括文件系统、FTP、TFTP下载、用户管理命令、级别设置命令等。登录交换机的用户也划分为4个级别，分别与命令级别相对应，即不同级别的用户登录后，只能使用等于或低于自己级别的命令。命令视图 各命令行视图是针对不同的配置要求实现的，它们之间有联系又有区别，比如，与以太网交换机建立连接即进入用户视图，它只完成查看运行状态和统计信息的简单功能，再键入system-view进入系统视图，在系统视图下，可以键入不同的命令进入相应的视图。命令视图用户视图查看交换机的简单运行状态和统计信息与交换机建立连接即进入quit断开与交换机连接系统视图配置系统参数H3C在用户视图下键入system-viewquit或return返回用户视图以太网端口视图配置以太网端口参数H3C-Ethernet1/0/1百兆以太网端口视图在系统视图下键入interface ethernet 1/0/1quit返回系统视图return返回用户视图H3C-GigabitEthernet1/1/1千兆以太网端口视图在系统视图下键入interface gigabitethernet 1/1/1配置系统名用途用户名是设备的名字，目的是让用户更加方便的使用设备配置命令 接口描述用途接口描述是为了指明接口的一些属性，如是什么接口，对端接的什么设备等，让用户更加了解该接口配置命令 接口IP地址的配置 用途给接口一个网络上唯一的区分符配置命令 查看交换机信息用途让用户对设备的信息更了解，也有利于对设备做配置配置命令显示版本 显示当前配置信息 显示接口信息 显示路由信息 调试交换机端口镜像（监控端口）目录n基本命令n交换n网络管理n安全管理VLAN（Virtual Local Area Network）nVLAN（Virtual Local Area Network）技术是把一个LAN划分成多个逻辑的“LAN”VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。命令行(1)创建VLAN.vlan 100 (1-4094)删除VLAN.undo vlan 100 (1-4094)在VLAN中增加端口.port Ethernet 2/0/1在VLAN中删除端口.undo port Ethernet 2/0/1命令行(2)将端口加入VLAN port access vlan 100(1-4094)将端口脱离VLAN undo port access vlan 100(1-4094)显示VLAN信息 display vlan VLAN ID(1-4094)端口类型【命令】port link-type access|hybrid|trunk undo port link-type【视图】以太网端口视图【参数】access：设置端口的链路类型为Access。hybrid：设置端口的链路类型为Hybrid。trunk：设置端口的链路类型为Trunk。【举例】#将以太网端口Ethernet1/0/1 设置为Trunk 端口。system-viewSystem View:return to User View with Ctrl+Z.H3C interface ethernet1/0/1H3C-Ethernet1/0/1 port link-type trunk配置Trunk允许通过的VLAN【命令】port trunk permit vlan vlan-id-list|all undo port trunk permit vlan vlan-id-list|all【视图】以太网端口视图【参数】vlan-id-list：vlan-id-list=vlan-id1 to vlan-id2&，为此Trunk 端口加入的VLAN 的范围，可以是离散的，vlan-id 取值范围为14094。&表示前面的参数最多可以重复输10 次。all：将Trunk 端口加入到所有VLAN 中。【举例】#将Trunk 端口Ethernet1/0/1 加入到2、4、50100 VLAN 中。H3C interface ethernet1/0/1H3C-Ethernet1/0/1 port trunk permit vlan 2 4 50 to 100指定Trunk PVID号【命令】port trunk pvid vlan vlan-idundo port trunk pvid【视图】以太网端口视图【参数】vlan-id：指定的VLAN ID，取值范围为14094。缺省值为1。【举例】#将Trunk 端口Ethernet1/0/1 的缺省VLAN 设为100。system-viewSystem View:return to User View with Ctrl+Z.H3C interface ethernet1/0/1H3C-Ethernet1/0/1 port trunk pvid vlan 100Link Aggregation 端口汇聚是将多个端口汇聚在一起形成一个汇聚组，在汇聚组中的各个成员端口之间，实现出/入负荷的分担，同时也提供了更高的连接可靠性。按照汇聚组类型的不同，端口汇聚组可以分为负载分担汇聚组和非负载分担汇聚组。同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP、QoS、VLAN、端口属性等相关配置。、STP配置一致，包括：端口的STP使能/关闭、与端口相连的链路属性（如点对点或非点对点）、STP优先级、报文发送速率限制、是否环路保护、是否根保护、是否为边缘端口。QoS配置一致，包括：流量限速、优先级标记、缺省的802.1p优先级、带宽保证、拥塞避免、流重定向、流量统计等。VLAN配置一致，包括：端口上允许通过的VLAN、端口缺省VLAN ID。端口属性配置一致，包括：端口的速率、双工模式、链路类型（即Trunk、Hybrid、Access类型）。静态聚合端口 link-aggregation Ethernet 0/1 to Ethernet 0/4 both删除端口的静态聚合 undo link-aggregation all 在端口下进行动态聚合 lacp enable在端口下取消动态聚合 undo lacp enableSTP（Spanning Tree Protocol）STP（Spanning Tree Protocol）是生成树协议的英文缩写。该协议可应用于环路网络，通过一定的算法阻断某些冗余路径，将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。(1)根桥 树形的网络结构必须有树根，于是 STP 引入了根桥Root Bridge）的概念。根桥在全网中有且只有一个，而且根桥会根据网络拓扑的变化而改变，因此根桥并不是固定的。(2)根端口 所谓根端口，是指一个非根桥的设备上离根桥最近的端口。根端口负责与根桥进行通信。非根桥设 备上有且只有一个根端口。根桥上没有根端口。STP 的基本概念(3)指定桥与指定端口 对于一台设备而言 指定桥：与本机直接相连并且负责向本机转发配置消息的设备 指定端口：指定桥向本机转发配置消息的端口 对于一个局域网而言 指定桥：负责向本网段转发配置消息的设备 指定端口：指定桥向本网段转发配置消息的端口(4)路径开销 路径开销是 STP 协议用于选择链路的参考值。STP 协议通过计算路径开销，选择较为“强壮”的链路，阻塞多余的链路，将网络修剪成无环路的树型网络结构。STP 的基本概念STP 的基本原理 STP 采用的协议报文是BPDU（Bridge Protocol Data Unit，桥协议数据单元），也称为配置消息。STP 通过在设备之间传递BPDU 来确定网络的拓扑结构。BPDU 中包含了足够的信息来保证设备完成生成树的计算过程。根桥 ID：由根桥的优先级和 MAC 地址组成；根路径开销：到根桥的路径开销；指定桥 ID：由指定桥的优先级和 MAC 地址组成；指定端口 ID：由指定端口的优先级和端口名称组成；配置消息在网络中传播的生存期：Message Age；配置消息在设备中能够保存的最大生存期：Max Age；配置消息发送的周期：Hello Time；端口状态迁移的延时：Forward Delay。MSTP 典型配置以太网交换机支持MSTP（Multiple Spanning Tree Protocol，多生成树协议）功能，允许用户将一个或者多个VLAN映射到MSTI（MultipleSpanningTreeInstance，多生成树实例）上，但每个VLAN只允许对应一个MSTI。使指定VLAN的报文只在建立了映射关系的实例内发送，以节省通信开销和减少资源占用率。定义STP模式stp mode stp取消STP模式undo stp mode定义MSTP模式stp mode mstp取消MSTP模式 undo stp mode目录n基本命令n交换n网络管理n安全管理SNMP的介绍介绍简单网络管理协议（SNMP)是被广泛应用的一项工业标准，是目前用得最广泛的计算机网络管理协议结构SNMP结构分为NMS(Network Management Station)和AGENT两部分，NMS是运行客户端的工作站，AGENT是运行在网络设备上的服务端软件SNMP版本SNMP现在有三个版本，SNMP v3/v2c/v1,SNMP v3兼容v1和v2c.SNMP的配置SNMP的配置包括：启动和关闭SNMP AGENT服务设置团体名配置一个SNMP组设置管理员的联系方法允许禁止发送Trap报文设置Trap目标主机的地址指定发送报文的源地址SNMP实例配置Snmp agent129.102.149.23Switch 129.102.149.1nSystem-view 进入视图nSnmp-agent community read public 只读团体属性名publicnSnmp-agent communty write private 只写团体属性名privatenSnmp-agent sys-inf contact Mr.wang-tel 3306 设置管理员联系方法nSnmp-agent sys-info location telephone 3rd floor 路由器物理位置nSnmp-agent trap enable 使能trap报文nSnmp-agent target-host trap address udp-domain 129.102.149.23 udp-port 5000 params securityname public 允许向网管工作站129.102.149.23发送trap报文，使用团体名为public.n基本命令n交换n网络管理n安全管理建立用户设置用户级别切换密码【命令】super password level level simple|cipher passwordundo super password level level【视图】系统视图【参数】level：用户的级别，取值范围为13。缺省值为3，即不指定用户级别，表示设置的是进入级别3 的密码。simple：以明文方式显示口令。cipher：以密文方式显示口令。password：口令字符串。如果验证方式是simple，则password 必须是明文口令。配置Console/Telnet登录【命令】user-interface type first-number last-number【视图】系统视图【参数】type：用户界面的类型。first-number：需要配置的第一个用户界面。last-number：需要配置的最后一个用户界面。【举例】#进入VTY 0 用户界面进行配置。system-viewSystem View:return to User View with Ctrl+Z.H3C user-interface vty 0H3C-ui-vty0配置Console/Telnet登录【命令】authentication-mode password|scheme command-authorization|none【视图】用户界面视图【参数】password：进行本地口令认证。scheme：进行本地或远端用户名和口令认证。none：不认证。【举例】#配置AUX 接口的认证方式为本地口令认证H3C user-interface aux0H3C-ui-aux0 authentication-mode password访问控制列表概述 为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。分类 基本的访问控制列表（basic acl）高级的访问控制列表（advanced acl）基于接口的访问控制列表（interface-based acl）基于MAC的访问控制列表（mac-based acl）标准访问列表的配置在系统视图下，创建一个基本访问控制列表 acl number number/name name basic match-order config/auto在基本访问控制列表试图下，配置ACL规则 rule rule-id permit/deny source sour-add sour-wildcast/any time-range time-name logging fragment vpn-instance vpn-instance-name标准访问列表的配置acl number 3000rule 0 permit ip destination 10.17.0.0 0.0.255.255 41 结束语结束语