1、網絡缺點排除目錄第一章 VLAN原理及根本配置第二章 ACL原理及根本配置第三章 常用維護方法和命令第四章 案例分析VLAN的產生緣由廣播風暴廣播傳統的以太網是廣播型網絡，網絡中的一切主機經過HUB或交換機相連，處在同一個廣播域中經過路由器隔離廣播域路由器廣播經過VLAN劃分廣播域Broadcast Domain 1VLAN 10Broadcast Domain 2VLAN 20Broadcast Domain 3VLAN 30市場部工程部財務部以太網端口的鏈路類型Access link：只能允許某一個VLAN的untagged數據流經過。Trunk link：允許多個VLAN的tagged數

2、據流和某一個VLAN的untagged數據流經過。Hybrid link：允許多個VLAN的tagged數據流和多個VLAN的untagged數據流經過。Hybrid端口可以允許多個VLAN的報文發送時不攜帶標簽，而Trunk端口只允許缺省VLAN的報文發送時不攜帶標簽。三種類型的端口可以共存在一臺設備上Access Link和Trunk LinkAccess linkTrunk linkTrunk Link和VLANVLAN10VLAN2VLAN10VLAN3VLAN2VLAN10VLAN5VLAN5VLAN2VLAN5廣播報文發送Trunk LinkVLAN2VLAN3VLAN3VLAN2

3、帶有VLAN3標簽的以太網幀帶有VLAN2標簽的以太網幀不帶VLAN標簽的以太網幀數據幀在網絡通訊中的變化第一章 VLAN原理及根本配置第二章 ACL原理及根本配置第三章 常用維護方法和命令第四章 案例分析目錄ACL訪問控制列表 為了過濾經過網絡設備的數據包，需求配置一系列的匹配規那么，以識別需求過濾的對象。在識別出特定的對象之后，網絡設備才干根據預先設定的戰略允許或制止相應的數據包經過。訪問控制列表Access Control List，ACL就是用來實現這些功能。ACL經過一系列的匹配條件對數據包進展分類，這些條件可以是數據包的源地址、目的地址、端口號等。ACL可運用在交換機全局或端口上，

4、交換機根據ACL中指定的條件來檢測數據包，從而決議是轉發還是丟棄該數據包。以太網訪問列表主要作用:在整個網絡中分布實施接入平安性Internet效力器部門 A部門 BIntranet訪問控制列表ACL對到達端口的數據包進展分類，并打上不同的動作標志訪問列表作用于交換機的一切端口訪問列表的主要用途：包過濾鏡像流量限制流量統計分配隊列優先級流分類通常選擇數據包的包頭信息作為流分類項2層流分類項以太網幀承載的數據類型源/目的MAC地址以太網封裝格式Vlan ID入/出端口3/4層流分類項協議類型源/目的IP地址源/目的端口號DSCPIP 數據包過濾IP headerTCP headerApplica

5、tion-level headerData運用程序和數據源/目的端口號源/目的IP地址L3/L4過濾運用網關TCP/IP包過濾元素訪問控制列表的構成Rule訪問控制列表的子規那么Time-range時間段機制ACL=rules + time-range訪問控制列表由一系列規那么組成，有必要時會和時間段結合訪問控制列表戰略:ACL1戰略:ACL2戰略:ACL3.戰略:ACLN時間段的相關配置在系統視圖下，配置時間段:time-range time-name start-time to end-time days-of-the-week from start- date to end-date 在

6、系統視圖下，刪除時間段:undo time-range time-name start-time to end-time days-of-the-week from start- date to end-date 假設管理員需求在從2002年12月1日上午8點到2003年1月1日下午18點的時間段內實施平安戰略，可以定義時間段名為denytime，詳細配置如下: Systemtime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003 訪問控制列表的類型20002999：表示根本ACL。只根據數據包的源IP地址制定規那么。300039

7、99：表示高級ACL3998與3999是系統為集群管理預留的編號，用戶無法配置。根據數據包的源IP地址、目的IP地址、IP承載的協議類型、協議特性等三、四層信息制定規那么。40004999：表示二層ACL。根據數據包的源MAC地址、目的MAC地址、802.1p優先級、二層協議類型等二層信息制定規那么。50005999：表示用戶自定義ACL。以數據包的頭部為基準，指定從第幾個字節開場與掩碼進展“與操作，將從報文提取出來的字符串和用戶定義的字符串進展比較，找到匹配的報文。定義訪問控制列表 在系統視圖下，定義ACL并進入訪問控制列表視圖:acl number acl-number | name ac

8、l-name basic | advanced | interface | link match-order config | auto 在系統視圖下，刪除ACL:undo acl number acl-number | name acl-name | all 根本訪問控制列表的規那么配置在根本訪問控制列表視圖下，配置相應的規那么rule rule-id permit | deny source source-addr source-wildcard | any fragment time-range time-range-name 在根本訪問控制列表視圖下，刪除一條子規那么undo rule

9、 rule-id source fragment time-range 高級訪問控制列表的規那么配置在高級訪問控制列表視圖下，配置相應的規那么rule rule-id permit | deny protocol source source-addr source-wildcard | any destination dest-addr dest-mask | any soure-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code established pr

10、ecedence precedence tos tos | dscp dscp fragment time-range time-range-name 在高級訪問控制列表視圖下，刪除一條子規那么undo rule rule-id source destination soure-port destination-port precedence tos | dscp fragment time-range 端口操作符及語法TCP/UDP協議支持的端口操作符及語法操作符及語法含義eq portnumber等于portnumbergt portnumber大于portnumberlt portnum

11、ber小于portnumberneq portnumber不等于portnumberrange portnumber1portnumber2介于端口號portnumber1和portnumber2之間接口訪問控制列表的規那么配置在接口訪問控制列表視圖下，配置相應的規那么rule rule-id permit | deny interface interface-name | interface-type interface-num | any time-range time-range-name 在接口訪問控制列表視圖下，刪除一條子規那么undo rule rule-id二層訪問控制列表的規那

12、么配置在二層訪問控制列表視圖下，配置相應的規那么rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-

13、range time-range-name 在二層訪問控制列表視圖下，刪除一條子規那么undo rule rule-id自定義訪問控制列表的規那么配置在自定義訪問控制列表視圖下，配置相應的規那么rule rule-id permit | deny rule-string rule-mask offset & time-range time-range-name 在自定義訪問控制列表視圖下，刪除一條子規那么undo rule rule-id用戶自定義訪問控制列表的數字標識取值范圍為50005999規那么匹配原那么一條訪問控制列表往往會由多條規那么組成，這樣在匹配一條訪問控制列表的時候就存在匹配順

14、序的問題。在華為系列交換機產品上，支持以下兩種匹配順序：Config：指定匹配該規那么時按用戶的配置順序后下發先生效Auto：指定匹配該規那么時系統自動排序按“深度優先的順序激活訪問控制列表在系統視圖下，激活ACL:packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 在系統視圖下，取消激活ACL:undo packet-filter user-group acl-

15、number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 配置ACL進展包過濾的步驟綜上所述，在System交換機上配置ACL進展包過濾的步驟如下：配置時間段可選定義訪問控制列表四種類型：根本、高級、基于接口、基于二層和用戶自定義激活訪問控制列表 訪問控制列表配置舉例一要求配置高級ACL，制止員工在任務日8:0018:00的時間段內訪問新浪網站 61.172.201.194 1. 定義時間段System time-range

16、test 8:00 to 18:00 working-day2.定義高級ACL 3000，配置目的IP地址為新浪網站的訪問規那么。System acl number 3000System -acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test3.在端口Ethernet1/0/15上運用ACL 3000。System interface Ethernet 1/0/15System-Ethernet1/0/15 packet-filter inbound ip-group 3000訪問控制列表配置舉例二配置

17、防病毒ACL1. 定義高級ACL 3000System acl number 3000System -acl-adv-3000 rule 1 deny udp destination-port eq 335System -acl-adv-3000 rule 3 deny tcp source-port eq 3365System -acl-adv-3000 rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 38752. 在端口Ethernet1/0/1上運用ACL 3000System-Ethernet1/0/1 pa

18、cket-filter inbound ip-group 3000第一章 VLAN原理及根本配置第二章 ACL原理及根本配置第三章 常用維護方法和命令第四章 案例分析目錄缺點排除常用方法分層缺點排除法 分塊缺點排除法 分段缺點排除法 交換法 分層缺點排除法。物 理 層數據鏈路層網 絡 層一切的技術都是分層的！關注電纜、銜接頭、信號電平、編碼、時鐘和組幀 關注封裝協議和相關參數、鏈路利用率等關注地址分配、路由協議參數等分塊缺點排除法配置文件分為以下部分：管理部分路由器稱號、口令、效力、日志等端口部分地址、封裝、cost、認證等路由協議部分靜態路由、RIP、OSPF、BGP、路由引入等戰略部分路由

19、戰略、戰略路由、平安配置等接入部分主控制臺、Telnet登錄或啞終端、撥號等其他運用部分言語配置、VPN配置、Qos配置等 分段缺點排除法網絡分為假設干段，逐段測試，減少缺點范圍，逐段定位網絡缺點，并排除。中繼線路ModemModemModemModemDDN節點DDN節點網絡連通性測試命令操作命令說明檢查IP網絡中的指定地址是否可達ping ip -a source-ip | -c count | -f | -h ttl | -i interface-type interface-number | -m interval | -n | -p pad | -q | -r | -s packet

20、-size | -t timeout | -tos tos | -v | -vpn-instance vpn-instance-name * remote-system可選網絡層協議為IPv4時使用可在任意視圖下執行ping ipv6 -a source-ipv6 | -c count | -m interval | -s packet-size | -t timeout * remote-system -i interface-type interface-number 可選網絡層協議為IPv6時使用可在任意視圖下執行查看當前設備到目的設備的路由tracert -a source-ip |

21、-f first-ttl | -m max-ttl | -p port | -q packet-number | -vpn-instance vpn-instance-name | -w timeout * remote-system可選網絡層協議為IPv4時使用可在任意視圖下執行tracert ipv6 -f first-ttl | -m max-ttl | -p port | -q packet-number | -w timeout * remote-system可選網絡層協議為IPv6時使用可在任意視圖下執行ping命令參數1ip：支持IPv4協議。-a source-ip：指定ICM

22、P回顯懇求報文中的源IP地址。該地址必需是設備上已配置的合法IP地址。-c count：指定發送ICMP回顯懇求報文的數目，取值范圍缺省值為5。-f：將長度大于接口MTU的報文直接丟棄，即不允許對發送的ICMP回顯懇求報文進展分片。-h ttl：指定ICMP回顯懇求報文中的TTL值，取值范圍為1255，缺省值為255。-i interface-type interface-number：指定發送報文的接口的類型和編號。在指定出接口的情況下，只能ping直連網段地址。-m interval：指定發送ICMP回顯懇求報文的時間間隔，取值范圍為165535，單位為毫秒，缺省

23、值為200毫秒。 假設在timeout時間內收到目的主機的呼應報文，那么下次ICMP回顯懇求報文的發送時間間隔為報文的實踐呼應時間與interval之和； 假設在timeout時間內沒有收到目的主機的呼應報文，那么下次ICMP回顯懇求報文的發送時間間隔為timeout與interval之和。 -n：不進展域名解析。缺省情況下，系統將對hostname進展域名解析。ping命令參數-p pad：指定ICMP回顯懇求報文的填充字節，格式為16進制。比如將“pad設置為ff，那么報文將被全部填充為ff。缺省情況下，填充的字節從0 x01開場，逐漸遞增，直到0 x09，然后又從0 x01開場循環填充。

24、-q：除統計信息外，不顯示其它詳細信息。缺省情況下，系統將顯示包括統計信息在內的全部信息。-r：記錄路由。缺省情況下，系統不記錄路由。-s packet-size：指定發送的ICMP回顯懇求報文的長度不包括IP和ICMP報文頭，取值范圍為208100，單位為字節，缺省值為56字節。-t timeout：指定ICMP回顯應對報文的超時時間，取值范圍為165535，單位為毫秒，缺省值為2000毫秒。-tos tos：指定ICMP回顯懇求報文中的ToSType of Service，效力類型域的值，取值范圍為0255，缺省值為0。-v：顯示接納到的非回顯應對的ICMP報文。缺省情況下，系統不顯示非回

25、顯應對的ICMP報文。-vpn-instance vpn-instance-name：指定MPLS VPN的實例稱號，是一個長度為131個字符的字符串，不區分大小寫。remote-system：目的設備的IP地址或主機名主機名為120個字符的字符串。 ping命令用來檢查指定IP地址能否可達，并輸出相應的統計信息。 systemeping 11.1.1.1 PING 11.1.1.1: 56 data bytes, press CTRL_C to break Reply from 11.1.1.1: bytes=56 Sequence=0 ttl=255 time = 31 ms Reply

26、from 11.1.1.1: bytes=56 Sequence=1 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=255 time = 32 ms Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=255 time = 31 ms - 11.1.1.1 ping statistics - 5 packets transmitted 5 packe

27、ts received 0.00% packet loss round-trip min/avg/max = 31/31/32 mstracert命令參數-a source-ip：指明tracert報文的源IP地址。該地址必需是設備上已配置的合法IP地址。-f first-ttl：指定一個初始TTL，即第一個報文所允許的跳數。取值范圍為1255，且小于最大TTL，缺省值為1。-m max-ttl：指定一個最大TTL，即一個報文所允許的最大跳數。取值范圍為1255，且大于初始TTL，缺省值為30。-p port：指明目的設備的UDP端口號，取值范圍為165535，缺省值為33434。用戶普通不需

28、求更改此選項。-q packet-number：指明每次發送的探測報文個數，取值范圍為165535，缺省值為3。-vpn-instance vpn-instance-name：指定MPLS VPN的實例稱號，是一個長度為131個字符的字符串。-w timeout：指定等待探測報文呼應的報文的超時時間，取值范圍是165535，單位為毫秒，缺省值為5000毫秒。remote-system：目的設備的IP地址或主機名主機名是長度為120的字符串。tracert命令用來查看IPv4報文從當前設備傳到目的設備所經過的途徑。 tracert 18.26.0.115traceroute to 18.26.0

29、.115(18.26.0.115) 30 hops max,40 bytes packet, press CTRL_C to break1 128.3.112.1 10 ms 10 ms 10 ms2 128.32.210.1 19 ms 19 ms 19 ms3 128.32.216.1 39 ms 19 ms 19 ms4 128.32.23 19 ms 39 ms 39 ms5 128.32.168.22 20 ms 39 ms 39 ms6 128.32.197.4 59 ms 119 ms 39 ms7 131.119.2.5 59 ms 59 ms 39 ms8 129.140.7

30、0.13 80 ms 79 ms 99 ms9 129.140.71.6 ms ms 159 ms10 129.140.81.7 199 ms 180 ms 300 ms11 129.140.72.17 300 ms 239 ms 239 ms12 * * *13 128.121.54.72 259 ms 499 ms 279 ms14 * * *15 * * *16 * * *17 * * *18 18.26.0.115 339 ms 279 ms 279 ms display interface1 display interface ethernet1/0/1 Ethernet1/0/1

31、current state : DOWN IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 0012-a990-2240 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is force link, link duplex type is force link Flow-control is enable

32、d The Maximum Frame Length is 9216 Broadcast MAX-pps: 500 Unicast MAX-ratio: 100% Multicast MAX-ratio: 100% Allow jumbo frame to pass PVID: 1 Mdi type: auto Port link-type: access Tagged VLAN ID : none Untagged VLAN ID : 1display interface2 Last 300 seconds input: 0 packets/sec 0 bytes/sec Last 300

33、seconds output: 0 packets/sec 0 bytes/sec Input(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Input(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC 0 frame, - overruns, 0 aborts, 0 ignored, - parity error

34、s Output(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Output(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Output: 0 output errors, - underruns, - buffer failures 0 aborts, 0 deferred, 0 collisions, 0 late collisions 0 lost carrier, - no carrierdisplay mac-addre

35、ss用來顯示MAC地址轉發表的信息，包括MAC地址所對應VLAN和以太網端口、地址形狀靜態還是動態、能否處在老化時間內等信息# 顯示MAC地址000f-e20f-0101的信息。 display mac-address 000f-e20f-0101MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e20f-0101 1 Learned Ethernet1/0/1 AGING# 顯示端口Ethernet1/0/4的MAC地址轉發表內容。 display mac-address interface Ethernet 1/0/4MAC ADDR

36、VLAN ID STATE PORT INDEX AGING TIME(s)000d-88f6-44ba 1 Learned Ethernet1/0/4 AGING000d-88f7-9f7d 1 Learned Ethernet1/0/4 AGING000d-88f7-b094 1 Learned Ethernet1/0/4 AGING000f-e200-00cc 1 Learned Ethernet1/0/4 AGING000f-e200-2201 1 Learned Ethernet1/0/4 AGING000f-e207-f2e0 1 Learned Ethernet1/0/4 AGING000f-e209-ecf9 1 Learned Ethernet1/