交换机与VLAN培训

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,课程内容,第一章 华为中低端交换机介绍,第二章 以太网交换机基础,第三章 交换机的常用配置,第四章 交换机的日常维护,S2000系列交换机,支持协议：IEEE 802.1d、IEEE 802.3、IEEE 802.3ad、IEEE 802.3x、IEEE 802.1w、 IEEE 802.1Q、IEEE 802.1P、IEEE 802.1x、Telnet、SNMP、RMON等。,生成树协议支持：STP、RSTP,端口聚合：最大支持4个,广播风暴抑制：支持,安全：分级命令保护机制、双网卡proxy检测、端口限制MAC地址接入数目,管理：支持命令行接口配置、支持Telnet远程配置、支持通过Console口配置,支持VLAN数：32个,型号,S2008,S2016,S2403H,固定用户接口,10M/100M自适应以太网口,8,16,24,固定上行接口,10M/100M自适应以太网口,2,2,1,扩展接口模块,1,1,1,S2000EI系列交换机,型号,S2008-EI,S2016-EI,S2403H-EI,固定用户接口,10M/100M自适应以太网口,8,16,25,扩展接口模块,0,1,1,支持协议：IEEE 802.1d、IEEE 802.3、IEEE 802.3ad、IEEE 802.3x、IEEE 802.1w、 IEEE 802.1Q、IEEE 802.1P、IEEE 802.1x、Telnet、SNMP、RMON等。,生成树协议支持：STP、RSTP、MSTP,端口聚合：最多可以支持4/8/12组端口汇聚，每个端口汇聚组最多可以有8个端口,广播风暴抑制：所有端口上支持基于带宽百分比的广播风暴抑制端口镜像：支持一对多的端口镜像，即一个镜像端口，对被镜像端口的数量没有限制,安全：支持MAC地址和端口绑定、对属于同一个802.1Q VLAN的端口之间可以设置隔离或互通。,管理：支持命令行接口配置、支持Telnet远程配置、支持通过Console口配置,支持VLAN数：512个支持4K的MAC地址远程受电S2016-EI的直流机型支持远程受电，满足802.3af标准,课程内容,第一章 华为中低端交换机介绍,第二章 以太网交换机基础,第三章 交换机的常用配置,第四章 交换机的日常维护,以太网交换机的工作模型,基于源地址学习,基于目的地址转发,二层交换机的操作：,查MAC转发表处理转发,对于表中不包含的地址，通过广播的方式转发,使用地址自动学习和老化机制进行地址表维护,一般不对帧格式进行修改,二层交换机原理,接收网段上的所有数据帧,利用接收数据帧中的源MAC地址来建立MAC地址表（源地址自学习），使用地址老化机制进行地址表维护,在MAC地址表中查找数据帧中的目的MAC地址，如果找到就将该数据帧发送到相应的端口（不包括源端口）；如果找不到，就向所有的端口发送（不包括源端口）,向所有端口转发广播帧和多播帧（不包括源端口）,冲突域与广播域,在共享式HUB中所有的工作站共享同一个冲突域和广播域,在没有划分VLAN的交换机中,每一个端口拥有自己的冲突域，,但所有的PC仍处于同一个广播域中,划分了VLAN后，交换机的每一个端口拥有自己的冲突域，在这个交换机中，每个VLAN是一个广播域,VLAN原理及配置,VLAN基础,VLAN（Virtual Local Area Network）,将局域网内的设备逻辑地划分段,VLAN标准IEEE 802.1Q,优势,VLAN内部的广播和单播流量,不会被转发到其它VLAN中,VLAN原理及配置,802.1Q的帧结构,DA,SA,Type,Data,CRC,标准以太网帧,untagged frame,DA,SA,Type,Data,CRC,tag,0x8100,Priority,CFI,VLAN ID,TCI,带有,IEEE802.1Q,标记的以太网帧,tagged frame,0x8100：协议标识字段，表明这个帧为802.1Q帧,Priority：优先级字段，一共3个bits,CFI：用于总线型以太网和FDDI、令牌环网交换数据,时，共1个bits,VLAN ID：VLAN的标识，从04095，一般使用,1-4094,VLAN原理及配置,帧在网络通信中的变化,VLAN 2,VLAN 1,VLAN 1,VLAN 2,带有,VLAN 1,标签的以太网帧,带有,VLAN 2,标签的以太网帧,不带,VLAN,标签的,以太网帧,Trunk,Access,Access,VLAN原理及配置,端口分类,根据端口连接的以太网段的主机是否能识别和发送这种带802.1Q标签头的数据包，将端口分为：,Access（Untagged）端口：一般接主机或路由器,Tag Aware（tagged）端口：一般接支持802.1Q的交换机或路由器,VLAN原理及配置,转发流程中涉及的几个名词,PVID：端口上设置的默认的VLAN ID号,VID：802.1Q帧中所带的VLAN ID号,广播域：表示特定的VLAN可以在哪些端口发广播,VLAN原理及配置,VALN的转发流程,1、接收过程：,当Untagged端口收到帧时：,交换机将认为该帧不包含802.1Q Tag header，因此将会把它定义为属于接收端口的缺省VLAN（对带Tag的处理方法各种交换机不尽相同）,当Tagged 端口收到帧时：,若收到没有合法的802.1Q Tag header的帧，则利用接收端口的缺省VLAN来确定该帧所属VLAN,如果该帧已包含Tag header，则该帧所属于的虚拟网由Tag header中指明的VLAN ID所确定,2、查找/路由过程：,根据数据包的目的MAC地址、VLAN 标识以及数据库中注册的信息决定把数据包发送到哪个端口。（过滤数据库）,3、发送过程：,当Untagged 端口发送帧时：,交换机同样认为端口所连接的设备不能识别802.1Q Tag header，因此发送出去的帧也将不包含802.1Q Tag header,当Tagged端口发送帧时：,一般包含合法的802.1Q Tag header，（如端口的缺省VLAN与该帧所属的VLAN相一致时去掉Tag头）。,VLAN原理及配置,数据设定规范,UNTAGGED端口不能接TAGGED端口。,两个相连的TAGGED端口的PVID值要求一致。,与不支持802.1Q的设备相连的端口不能是TAGGED端口。,课程内容,第一章 华为中低端交换机介绍,第二章 以太网交换机基础,第三章 交换机的常用配置,第四章 交换机的日常维护,宽带小区交换机的组网结构,S2403H-EI,MA5200F,B:S2016-EI,A:S2016-EI,PC,进入交换机配置界面,建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console口连接。,在主机上运行终端仿真程序（如Windows的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100。,以太网交换机上电，终端上显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如）。,键入命令，配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入?,命令行视图,视图,功能,提示符,进入命令,退出命令,用户视图,查看交换机的简单运行状态和统计信息,与交换机建立连接即进入,quit断开与交换机连接,系统视图,配置系统参数,Quidway,在用户视图下键入,system-view,quit或return返回用户视图,以太网端口视图,配置以太网端口参数,Quidway-Ethernet0/1,在系统视图下键入：,interface ethernet 0/1,quit返回系统视图,VLAN视图,配置,VLAN,参数,Quidway-Vlan1,在系统视图下键入,vlan 1,quit返回系统视图,VLAN接口视图,配置,VLAN,和,VLAN,汇聚对应的,IP,接口参数,Quidway-Vlan-interface1,在系统视图下键入：,interface vlan-interface 1,quit返回系统视图,本地用户视图,配置本地用户参数,Quidway-luser-user1,在系统视图下键入：,local-user user1,quit返回系统视图,用户界面视图,配置用户界面参数,Quidway-ui0,在系统视图下键入,user-interface,quit,返回系统视图,交换机基本命令,旧,新,解释,show,display,显示,no,undo,删除,/,取消,user,local-user,新建用户,end,return,退回到系统视图,exit,quit,返回上级视图,exit,quit,telnet,的推出,hostname,sysname,设置主机名字,access-list,acl,控制访问列表,write,save,保存配置,erase,delete,删除配置,0,simple,明文,7,cipher,密文,常用命令,交换机基本操作,如何获得命令帮助,Quidway 系列交换机提供了丰富的在线帮助：,(1) 在任一视图下，键入,”?”,获取该视图下所有命令及其简单描述。,(2) 键入一命令，后接以空格分隔的,”?”,键，如果该位置为关键字，则列出全部关键字及其简单描述。,(3) 键入一命令，后接以空格分隔的”?”键，如果该位置为参数，则列出有关的参数描述。,(4) 键入一字符串，其后紧接”?”，列出以该字符串开头的所有命令 。,(5) 键入一命令，后接一字符串紧接”?”键，列出该命令以该字符串开头的所有关键字。,交换机系统基本配置,设置系统时间,clock datetime 12:00:00 2006/01/23,设置交换机的名称,Quidwaysysname sjhy,TRAIN-sjhy,配置用户登录,Quidwayuser-interface vty 0 4,Quidway-ui-vty0authentication-mode password,Quidway-ui-vty0,set authentication password simple Huawei,VLAN和管理IP地址的配置,VLAN 配置,创建（进入）vlan2,Quidwayvlan 2,将端口E0/1加入到vlan2,Quidway-vlan2port ethernet 0/1,管理IP地址的配置,创建（进入）vlan10,Quidwayvlan 10,进入vlan10的虚接口,Quidway-vlan2interface vlan 10,在vlan10的虚接口上配置IP地址,上行口与默认路由的配置,Trunk口的配置,SwitchA-Ethernet0/16port link-type trunk,SwitchA-Ethernet0/16port trunk permit vlan 100 to 116,SwitchA-Ethernet0/16undo port trunk permit vlan 1,（注：允许指,定的vlan从E0/16端口透传通过，并且不透传VLAN1）,默认路由的配置:,Swithch ip route-static 0.0.0.0 220.180.17.1,配置实例：,常用配置-端口汇聚配置(1),功能需求及组网说明,配置环境参数,交换机SwitchA和SwitchB通过以太网口实现互连。,SwitchA用于互连的端口为e0/1和e0/2，SwitchB用于互连的端口为e0/1和e0/2。,组网需求,增加SwitchA的SwitchB的互连链路的带宽，并且能够实现链路备份，使用端口汇聚。,常用配置-端口汇聚配置(2),SwitchA交换机配置,进入端口E0/1,SwitchAinterface Ethernet 0/1,汇聚端口必须工作在全双工模式,SwitchA-Ethernet0/1duplex full,汇聚的端口速率要求相同，但不能是自适应,SwitchA-Ethernet0/1speed 100,进入端口E0/2,SwitchAinterface Ethernet 0/2,汇聚端口必须工作在全双工模式,SwitchA-Ethernet0/2duplex full,汇聚的端口速率要求相同，但不能是自适应,SwitchA-Ethernet0/2speed 100,根据源和目的MAC进行端口选择汇聚,SwitchAlink-aggregation Ethernet 0/1 to Ethernet 0/2 both,SwitchB交换机配置,进入端口E0/1,SwitchAinterface Ethernet 0/1,汇聚端口必须工作在全双工模式,SwitchA-Ethernet0/1duplex full,汇聚的端口速率要求相同，但不能是自适应,SwitchA-Ethernet0/1speed 100,进入端口E0/2,SwitchAinterface Ethernet 0/2,汇聚端口必须工作在全双工模式,SwitchA-Ethernet0/2duplex full,汇聚的端口速率要求相同，但不能是自适应,SwitchA-Ethernet0/2speed 100,根据源和目的MAC进行端口选择汇聚,SwitchAlink-aggregation Ethernet 0/1 to Ethernet 0/2 both,常用配置-,端口限速,在端口下限速命令,SwitchA-Ethernet0/1line-rate ?,Inbound Limit the rate of the inbound packets of the interface,outbound Limit the rate of the outbound packets of the interface,如：,SwitchA-Ethernet0/1line-rate inbound 37,报文速率限制级别取值为1127：,1、如果速率限制级别取值在128范围内，则速率限制的粒度为64Kbps，这种情况下，如果用户设置的级别为N，则端口上限制的速率大小为N*64K。,2、如果速率限制级别取值在29127范围内，则速率限制的粒度为1Mbps，这种情况下，如果用户设置的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。,小区交换机配置的一些建议(一）,每台交换机必须能够网管到，且楼道交换机每个端口一个VLAN。,交换机的对连端口（即某交换机的上行口和另一端交换机的下行口）要求设置完全一致，建议设为强制100M双工（包括中间用到的光电转换器），PVID设置为此交换机的管理VLAN，能通过的VLAN按实际设置，不要让所有VLAN能过：,Interface e0/25,duplex full,speed 100,port link-type trunk,port trunk permit vlan 2530 to 2554 (透传实际VLAN)undo port trunk permit vlan 1,port trunk pvid vlan 2500 （管理VLAN为2500）,小区交换机配置的一些建议（二）,建议给每个交换机预留24个VLAN，即使此交换机为S2008，方便以后的升级。,启用了vlan disable 功能后需要在端口配置广播抑制。,建议广播抑制比为5%,汇聚机房的设备，没有使用的端口请手工shutdown。,所有中低端设备必须安装接地，不接地可能导致设备雷击、静电、死机、端口损坏等异常问题。,课程内容,第一章 华为中低端交换机介绍,第二章 以太网交换机基础,第三章 交换机的常用配置,第四章 交换机的日常维护,以太网故障排除的一般步骤,以太网故障排除的一般步骤,首先是要确定故障是否确定出现在局域网上,Ping命令检测,display命令检查,以太网故障排除步骤（先分段再分层）,查看主机和交换机下的局域网连接是否正确。,考虑速率匹配问题。,查看主机和以太网接口的IP地址是否位于同一子网内。,查看链路层协议是否匹配。,查看以太网接口的工作方式是否正确。,故障排除,交换机运行一段时间后，发生网络中断。定位思路可以参考以下几点：,1） 环境改变：组网变化？配置改变？用户增加？是否停电？,2）交换机是否打开了Loopback-detection，是否发现环路并隔离了对应的端口？,3）stp 状态是否正确？,4）mac 是否在所有设备上学习正常？,5）同一个交换机同一vlan 内是否互通？,6）是否存在网络广播风暴,7）网络中是否存在自环头,8）端口统计是否存在异常,9）ping 网关是否通；tracert 到目的IP，确定断点,10）路由是否正常，下一跳arp、mac 是否存在,11）回程路由是否存在,12）对于精确匹配三层交换机，底层的IPFDB 是否正常？,13）如果交换机支持基于流的统计，可以使用流统计来判断交换机是否收到指定报文，是否转发。,14）抓包或者通过镜像抓包，判断报文是在何处给丢弃的，请注意有些报文是带vlantag 的，抓包的计算机是否能抓取tagged 报文？是否会自动去掉vlan tag？,Quidway交换机的基本维护,显示系统当前配置：display current-configuration,显示接口信息：display interface,显示系统版本信息：display version,显示诊断信息：display diagnostic-information,显示系统保存配置： display saved-configuration,显示路由信息：display ip routing-table,显示VLAN信息：display vlan,显示生成树信息：display stp,显示MAC地址表：display,mac-address,显示ARP表信息：display arp,显示系统CPU使用率：display cpu,显示系统内存使用率：display memory,显示系统日志：display log,显示系统时钟：display clock,保存配置命令：save,删除某条命令，一般使用命令： undo,删除所有配置信息：reset save-configuration,清除端口信息：reset couter interface,显示系统版本信息,display version,Huawei Versatile Routing Platform Software,VRP (R) Software, Version 3.10,RELEASE 0013,Copyright (c) 2000-2004 HUAWEI TECH CO., LTD.,Quidway S2008-EI,uptime is 0 week,0 day,23 hours,5 minutes,Quidway S2008-EI with 50M Arm7 Processor,32M bytes SDRAM,4096K bytes Flash Memory,Config Register points to FLASH,Hardware Version is VER.C,Bootrom Version is 130,Subslot 0 8 FE Hardware Version is VER.C,显示接口信息,dis inter e0/8,Ethernet0/8 current state : UP,IP Sending Frames Format is PKTFMT_ETHNT_2,Hardware address is 000f-e206-1c3c,The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set,Port hardware type is 100_BASE_TX,100Mbps-speed mode, full-duplex mode,Link speed type is,autonegotiation,link duplex type is,autonegotiation,The Maximum Frame Length is 1518 Broadcast MAX-ratio: 5%,PVID: 1,Mdi type: normal,Port link-type: trunk,VLAN passing : 322, 3066-3072, VLAN allowed : 322, 3066-3072,Trunk port encapsulation: IEEE 802.1q,Last 300 seconds input: 0 packets/sec 26 bytes/sec Last 300 seconds output: 0 packets/sec 0 bytes/sec,Input(total): 405144 packets, 143028139 bytes 31680 broadcasts, 1362 multicasts,Input(normal): 405144 packets, - bytes 31680 broadcasts, 1362 multicasts,Input:,0 input errors, 0 runts, 0 giants, - throttles,0 CRC,0 frame, - overruns, 0 aborts, 0 ignored, - parity errors,Output(total): 478410 packets, 421655832 bytes 597 broadcasts, 46 multicasts, 0 pauses,Output(normal): 478410 packets, - bytes 597 broadcasts, 46 multicasts, - pauses,Output:,0 output errors, - underruns, - buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions,lost carrier, - no carrier,以太网交换机常见故障（一）,交换机吊死,现象：,有用户反应交换机有经常吊死的现象，交换机运行了一段时间后所 有的用户都不能正常上网，网管不到；重启交换机后正常。,原因分析：产生吊交换机吊死的原因主要有两种：,两交换机之间的链路有问题。,两交换机之间的端口协商有问题。,处理办法：,查看此交换机的上行端口时会看到有CRC或错误包产生，将两交换机之间的端口配置设为一致，如果中间用到光电转换器要求将光电转换器和交换机的对连端口都设为强制双工模式。 如果还是解决不了问题，建议将链路重做。,结论：交换机吊死一般都是由于端口之间协商不一致引起的。,以太网交换机常见故障（二）,交换机环路,现象：小区用户反映频繁掉线。,组图：,MA5200-S2403H-S2016-S2008-小区用户（PPPOE）,查看S2008的log日志(display log),Loopbackdoesexistonport6vlan22,pleasecheckit处理办法：,通过log日志可知，S2008的E0/6端口所接用户存在环路，于是把环路检测信息上报到S2016上，S2016会停止存在环路端口的流量转发，而此端口下级联的S2008上的用户因为上行口不转发流量，就异常掉线，当环路消失后，就恢复正常。 也可暂时将环路检测功能关闭，等将环路消除后再打开。,命令：undo,loopback-detechion,enable (关闭环路检测功能),以太网交换机常见故障（三.一）,CPU高,在三层交换机中用display cpu 时发现达到40%-50%,在日志中有大量的如下信息：,%Feb 1 21:48:24 2005 Quidway ARP/5/DUPIP:IP address 222.170.130.94 collision detected, sourced by,0004-9340-14a1,on Ethernet2/3 of VLAN3016 and 000e-a696-3260 on Ethernet2/3 of VLAN3016,%Feb 1 21:48:25 2005 Quidway ARP/4/DUPIFIP:Duplicate address 222.170.130.65 on VLAN3016, sourced by,0004-9340-14a1,处理办法：,在三层交换机中一定要做如下的配置：,以太网交换机常见故障（三.二）,建立ACL并将此ACL应用于端口,quidway Acl number 3001,rule deny udp source any destination any destination-port eq 1434,rule deny udp source any destination any destination-port eq 135,rule deny udp source any destination any destination-port eq 139,rule deny udp source any destination any destination-port eq 137,rule deny udp source any destination any destination-port eq 138,rule deny udp source any destination any destination-port eq 445,rule deny udp source any destination any destination-port eq 593,rule deny tcp source any destination any destination-port eq 135,rule deny tcp source any destination any destination-port eq 139,rule deny tcp source any destination any destination-port eq 445,rule deny tcp source any destination any destination-port eq 593,rule deny tcp source any destination any destination-port eq 4444,rule deny udp source any destination any destination-port eq 69,rule deny tcp source any destination any destination-port eq 5554,rule deny tcp source any destination any destination-port eq 9996,quidway packet-filter ip-group 3001,以太网交换机常见故障（四）,配置的问题,现象：,小区某台交换机下的所有用户都上不了网,原因分析：,上层设备有问题,上行链路有问题,交换机本身有问题,配置的问题,处理过程：,查看上行端口没发现异常情况（查看有没有大量的错误包和CRC产生、端口有没有将所有的VLAN透传上去、端口有没有流量）。查看交换机的上一层设备时发现配置中没有下一层交换机的VLAN实体，即没有创建不能正常上网的交换机的VLAN信息，创建后正常。,S2000EI交换机的一些特征,S2000EI系列VRP0010版本中在做了VLAN DISABLE后可以再创建VLAN，,但在VRP0013、0017版本做了VLAN DISABLE后不可以再创建VLAN，可升,级到VRP0020，此版本解决了此问题。,当两台S2000EI用双绞线直接相连时，如果相连的端口都采用强制100M全双工模式，双绞线采用平行线时要将其中一端口的MDI改为ACROSS，否则端口会DOWN；而双绞线采用交叉线时则端口的MDI不需要更改。因为当两台交换机直连时本身要求用交叉双绞线相连。注意在S2000EI系列中端口的MDI模式只能用NORMAL或ACROSS，如果用AUTO时系统将提示不支持此操作，端口默认情况下为NORMAL。,