1、H3C 網絡設備配置與管理總結性報告網絡設備配置與管理總結性報告【任務要求】1、 vlan 的劃分2、交換機的基本配置3、跨交換機的vlan 的配置 4、 Vlan 間通信5、動態路由配置6、高級 acl的配置7、Nat協議的配置命令8、Chap驗證的配置命令【實訓環境】實訓設備1臺H3CS2126 (SWB)交換機，1臺H3CE328 (SWA)交換機；4臺計算 機(PC1、PC2、PC3、PC4),安裝超級終端程序；2條Cosole電纜(RJ45- DB9 型)； 7 條直通雙絞線。實訓環境要求按如下拓撲圖進行組網連接，要求實現VLAN 間通過單臂路由設置可以進行通信，兩路由器間通過 PP

2、P協議連接，并使用CHAP驗證。并配置NAT實 現內部網絡中的VLAN10可以在每天的08001600可以訪問公網PC4的www服 務， VLAN20 可以在每天的16002000進行訪問。【實訓步驟】基本設置按拓撲圖中建立物理連接，并為 PC機配置IP地址與默認網關，并搭建 Web 服務器。交換機 VLAN 配置(劃分VLAN 及設置 Trunk 鏈路)交換機 H3CE328(SWA)配置:systemH3CsysnameSWASWAvlan10SWA-Vlan10portEthernet1/0/5SWA-Vlan10vlan20SWA-Ethernet0/1portlink-typeacc

3、essSWA-Ethernet0/1portaccessvlan20SWA-Ethernet0/1quitSWAinterfaceEthernet1/0/6SWA-Ethernet0/1portlink-typeaccessSWA-Ethernet0/1portaccessvlan20SWA-Ethernet0/1quitSWAinterfaceEthernet1/0/23SWA-Ethernet1/0/23portlink-typetrunkSWA-Ethernet1/0/23porttrunkpermitvlanallSWA-Ethernet1/0/23quit交換機 H3CS2126(S

4、WB)配置:systemH3CsysnameSWBSWBvlan20SWB-Vlan20portEthernet0/6SWB-Vlan20quitSWBinterfaceEthernet0/6SWB-Ethernet0/1portlink-typeaccessSWB-Ethernet0/1portaccessvlan20SWB-Ethernet0/1quitSWBinterfaceEthernet0/23SWB-Ethernet0/23portlink-typetrunkSWB-Ethernet0/23porttrunkpermitvlanallSWB-Ethernet0/23quit單臂路由

5、配置RTA上的配置(設置子接口及其IP地址)systemH3CsysnameRTARTAinterfaceEthernet0/0.10RTA-Ethernet0/0.1vlan-typedot1qvid10RTA-Ethernet0/0.1ipaddress191610.124RTA-Ethernet0/0.1quitRTAinterfaceEthernet0/0.20RTA-Ethernet0/0.2vlan-typedot1qvid20RTA-Ethernet0/0.2ipaddress191620.124RTA-Ethernet0/0.2quitRTA-Ethernet0/20vlan-

6、typedot1qvid20RTA- Ethernet0/20ipaddress191630.124網絡路由器配置（為接口添加 IP 地址）由于現實中內網地址無法在公網上進行路由，故在該試驗中進行配置時，模擬不對內網網段的接口通告 RIP協議即可。路由器 RTA 上的配置RTAinterfaceSerial0/0RTA-Serial0/0ipaddress519124RTA-Serial0/0quitRTAripRTA-ripnetwork50.0.0路由器 RTB 上的配置 RTBinterfaceSerial0/0RTB-Serial0/0ipaddress519224RTB-Serial

7、0/0interfaceEthernet0/0RTB- Ethernet0/0ipaddress519224RTBripRTB-ripnetwork50.0.0CHAP 驗證配置路由器 RTA 配置RTAlocal-userrtbRTA-luser-rtbpasswordsimplefjRTA-luser-rtbservice-typepppRTAinterfaceSerial0/0RTA-Serial0/0link-protocolpppRTA-Serial0/0pppauthentication-modechapRTA-Serial0/0pppchapuserrta路由器 RTB 配置RT

8、Blocal-userrtaRTB-luser-rtapasswordsimplefjRTB-luser-rtaservice- typepppRTBinterfaceSerial0/0RTB-Serial0/0link-protocolpppRTB-Serial0/0pppchapuserrtbNAT 配置RTA 上的配置首先在用戶視圖下設置時間段time-rangetime_18:00to16:00dailytime-rangetime_216:00to20:00dailyiS 置ACL 規則，并在接口上應用 RTAaclnumber3000RTA-acl-adv-3000rule0per

9、mittcpsource191610.055destination5190.055destination- porteqRTA-acl-adv-3000rule1permittcpsource191620.055destination5190.055destination- porteqRTA-acl-adv-3000rule2permittcpsource191630.055destination5190.055destination- porteqRTA-acl-adv-3000rule3denysourceanydestinationanyRTA-acl-adv-3000quitRTAn

10、ataddress-group15194519RTAinterfaceSerial0/0RTA-Serial0/0natoutbound3000address-group1RTA-Serial0/0quit【測試驗證】配置完成后測試pci、pc2、pc3之間可以相互ping通。在8:00到16:00pc1能訪問公網web服務器（pc4）。并進入到RTA路由器使用命令“clockdatetime18001/5/201型改路由器系統時間后進行測試可以發現在16:00到20:00之間pc2、pc3能訪問web服務器。【實訓總結】本次實訓需要注意VLAN 間路由與路由的區別。而且必須思路清晰，在想好解

11、決方案后再進行實驗，同時實驗進行的每一步都要知道是在做什么。出現錯誤后要使用display、 tarcert、 ping 等命令逐步排錯，而不是一出錯就清空重配。在本次實訓中我滿還發現如果在內網網段上發布了RIP協議（即公網路由器有到達內網的動態路由信息），會造成NAT 設置的時間限制不起作用，可能是數據傳送時不經過NAT 進行地址轉換，而是直接通過路由信息傳送。另外，我們也注意到清楚數據發送與接受時經過的路徑是很重要的。再結合清晰的拓撲圖，在排錯中是非常有用的。團隊配合，分工明確則可以節省時間。擴展閱讀 H3C 配置總結 （第二階段看）H3c交換機配置命令詳解華為3COM交換機配置命令詳解1

12、、配置文件相 關命令Quidwaydisplaycurrent-configuration; 顯示當前生效的配置Quidwaydisplaysaved-configuration； 顯示 flash 中酉己置文件， 即下次上電啟動時所用的配置文件resetsaved-configuration 榛除舊的配置文件 reboot；交換機重啟displayversion；顯示系統版本信息2、基本配置Quidwaysuperpassword;修改特權用戶密碼Quidwaysysname；交換機命 名Quidwayinterfaceethernet0/1；進入接口視圖Quidwayinterfacevl

13、anx ；進入 接口視圖Quidway-Vlan-interfacexipaddress10.6125250.O;配置 VLAN 的 IP 地址Quidwayiproute-static10.62;靜態路由=網關 3、telnet配置Quidwayuser-interfacevty04 ；進入虛擬終端S3026-ui-vty0-4authentication-modepassworc| 設置口 令模式S3026-ui- vty0-4setauthentication-modepasswordsimple222 設置 口 令S3026-ui-vty0- 4userprivilegelevel3;

14、用戶級另4、端口配置Quidway-Ethernet0/1duplexhalf|full|auto ；配置端口工作狀態Quidway-Ethernet0/1speed10|100|auto配置端 口 工作速率Quidway-Ethernet0/1flow- control；配置端口流控Quidway-Ethernet0/1mdiacross|auto|normal；配置端口平接扭接Quidway-Ethernet0/1portlink-typetrunk|access|hybrid ；設置端口工作模式Quidway-Ethernet0/1undoshutdown；激活端口 Quidway-Et

15、hernet0/2quit ；退出系統視圖5、鏈路聚合配置DeviceAlink-aggregationgroup1modemanual；創建手工聚合組 1DeviceAinterfaceethernet1/0/1；將以太網端口 Ethernet1/0/1 力口入聚合組 1DeviceA-Ethernet1/0/1portlink-aggregationgroup1DeviceA-Ethernet1/0/1interfaceethernet1/0/2 將以太網端口 Ethernet1/0/1加入聚合組1DeviceA-Ethernet1/0/2portlink-aggregationgroup

16、1DeviceAlink-aggregationgroup1service-typetunnel#ft 手工聚合組的基礎上倉 建 Tunnel 業務環回組。DeviceAinterfaceethernet1/0/1#等以太網端口 Ethernet1/0/1 加入業務環回 組。 DeviceA-Ethernet1/0/1undostpDeviceA-Ethernet1/0/1portlink-aggregationgroup16、端口 鏡像Quidwaymonitor-port ；指定鏡像端口 Quidwayportmirror ；指定被鏡像端 口 Quidwayportmirrorint_li

17、stobserving-portint_typeint_num ；指定鏡像和被鏡像VLAN 配置Quidwayvlan3 ；創建 VLANQuidway-vlan3portethernet0/1toethernet0/4 在 VLAN 中增加端口配置基于access的VLANQuidway-Ethernet0/2portaccessvlan3 當前端口加入到 VLAN注意缺省情況下，端口的鏈路類型為 Access類型，所有Access端口均屬于 且只屬于 VLAN1配置基于 trunk 的 VLANQuidway-Ethernet0/2portlink-typetrunk ；設置當前端口為 t

18、runkQuidway-Ethernet0/2porttrunkpermitvlanID|All ；設 trunk 允許的 VLAN注意所有端口缺省情況下都是允許VLAN1 的報文通過的Quidway-Ethernet0/2porttrunkpvidvlan3 ；設置 trunk 端口的 PVID配置基于 Hybrid 端口的 VLANQuidway-Ethernet0/2portlink-typehybrid; 配置端口的鏈路類型為 Hybrid 類Quidway-Ethernet0/2porthybridvlanvlan-id-listtagged|untagged; 允許指定的VLAN

19、通過當前 Hybrid 端口注意缺省情況下，所有Hybrid 端口只允許VLAN1 通過Quidway-Ethernet0/2porthybridpvidvlanvlan-id; 設置 Hybrid 端口的缺省 VLAN注意缺省情況下， Hybrid 端口的缺省 VLAN 為 VLAN1VLAN 描述Quidwaydescriptionstring ；指定 VLAN 描述字符 Quidwaydescription ；刪 除 VLAN 描述字符 Quidwaydisplayvlanvlan_id ；查看 VLAN 設置私有 VLAN 配置SwitchA-vlanxisolate-user-vla

20、nenable；設置主 vlanSwitchAIsolate-user-vlansecondary;設置主 vlan 包括的子 vlanQuidway-Ethernet0/2porthybridpvidvlan ；設置 vlan 的 pvidQuidway-Ethernet0/2porthybridpvid ；刪除vlan 的 pvidQuidway-Ethernet0/2porthybridvlanvlan_id_listuntagged;設置無標識的 vlan如果包的 vlanid 與 PVId 一致，則去掉vlan 信息.默認PVID=1 。所以設置PVID為所屬vlanid,設置可以互

21、通的vlan為untagged.8 STP配置Quidwaystpenable|disable ；設置生成樹,默認關閉Quidwaystpmoderstp；設置生成樹模式為 rstpQuidwaystppriority4096 ；設置交換機的優先級 Quidwaystprootprimary|secondary ；設置為根或根的備份Quidway-Ethernet0/1stpcost200；設置交換機端口 的花費MSTP 配置#配置MST 域名為 info ， MSTP 修訂級別為 1， VLAN 映射關系為VLAN2VLAN10映射到生成樹實例1上，VLAN20VLAN30映射生成樹實 例

22、2 上。 system-viewSysnamestpregion-configurationSysname-mst-regionregion-nameinfoSysname-mst-regioninstance1vlan2to10Sysname-mst-regioninstance2vlan20to30Sysname-mst-regionrevision-level1Sysname-mst-regionactiveregion-configuration9、 MAC 地址表的操作在系統視圖下添加MAC 地址表項Quidwaymac-addressstatic|dynamic|blackhole

23、mac-addressinterfaceinterface- typeinterface-numbervlanvlan-id;添力口 MAC 地址表項在添加MAC地址表項時，命令中interface參數指定的端口必須屬于 vlan 參數指定的 VLAN ，否則將添加失敗。如果 vlan 參數指定的 VLAN 是動態 VLAN ，在添加靜態MAC 地址之后，會自動變為靜態VLAN 。在以太網端口視圖下添加MAC 地址表項Quidway-Ethernet0/2mac-addressstatic|dynamic|blackholemac- addressvlanvlan-id在添加 MAC 地址表項

24、時，當前的端口必須屬于命令中 vlan 參數指定的VLAN ，否則將添加失敗；如果 vlan 參數指定的 VLAN 是動態 VLAN ，在添加靜態MAC 地址之后，會自動變為靜態VLAN 。Quidwaymac-addresstimeragingage|no-aging；設置 MAC 地址表項的老化 時間注意缺省情況下， MAC 地址表項的老化時間為 300秒，使用參數no-aging時表示不對MAC 地址表項進行老化。MAC 地址老化時間的配置對所有端口都生效，但地址老化功能只對動態的（學習到的或者用戶配置可老化的） MAC 地址表項起作用。Quidway-Ethernet0/2mac-ad

25、dressmax-mac-countcoum 設置端 口 最多可以學習到的 MAC 地址數量注意缺省情況下，沒有配置對端口學習 MAC 地址數量的限制。反之，如果端口啟動了 MAC 地址認證和端口安全功能，則不能配置該端口的最大MAC 地址學習個數。Quidway-Ethernet0/2port-macstart-mac-address 配置以太網端口 MAC 地 址的起始值在缺省情況下，E126/E126A交換機的以太網端口是沒有配置 MAC地址 的，因此當交換機在發送二層協議報文（例如 STP）時，由于無法取用發送端 口的 MAC 地址，將使用該協議預置的 MAC 地址作為源地址填充到報文

26、中進行發送。在實際組網中，由于多臺設備都使用相同的源MAC 地址發送二層協議報文，會造成在某臺設備的不同端口學習到相同 MAC 地址的情況，可能會對MAC 地址表的維護產生影響。Quidwaydisplaymac-address；顯示地址表信息Quidwaydisplaymac-addressaging-time；顯示地址表動態表項的老化時間Quidwaydisplayport-mac ；顯示用戶配置的以太網端口 MAC 地址的起始值10、GVRP 配置SwitchAgvrp# 開啟全局 GVRPSwitchA-Ethernet1/0/1gvrp# 在以太網端口 Ethernet1/0/1 上

27、開啟GVRPSwitchE-Ethernet1/0/1gvrpregistrationfixed|forbidden|normal# 配置 GVRP 端口注冊模式缺省為 normalSwitchAdisplaygarpstatisticsinterfaceinterface-list ；顯示GARP 統計信息SwitchAdisplaygarptimerinterfaceinterface-list ；顯示 GARP 定時器的值SwitchAdisplaygvrpstatisticsinterfaceinterface-list ；顯示GVRP 統計信息SwitchAdisplaygvrpst

28、atus ；顯示 GVRP 的全局狀態信息SwitchAdisplaygvrpstatusresetgarpstatisticsinterfaceinterface-list；清除GARP 統計信息 11、 DLDP 配置SwitchAinterfacegigabitethernet1/1/1#配置端口工作在強制全雙工模式，速率為 1000Mbits/s。SwitchA-GigabitEthernet1/1/1duplexfullSwitchA-GigabitEthernet1/1/1speed1000SwitchAdldpenable#ir局開啟 DLDP。SwitchAdldpinterv

29、al15# 設置發送 DLDP 報文的時間間隔為 15秒。SwitchAdldpwork-modeenhance|normal# 配置 DLDP 協議的工作模式為加強模式。缺省為 normalSwitchAdldpunidirectional-shutdownauto|manual# 配置 DLDP 單向鏈路操作模式為自動模式。缺省為 autoSwitchAdisplaydldp1# 查看 DLDP 狀態。當光纖交叉連接時，可能有兩個或三個端口處于Disable狀態，剩余端口處于Inactive狀態。當光纖一端連接正確，一端未連接時如果DLDP的工作模式為normal,則有收光的一端處于 Ad

30、vertisement狀 態，沒有收光的一端處于Inactive狀態。如果DLDP的工作模式為enhance則有收光白一端處于 Disable狀態，沒 有收光的一端處于 Inactive 狀態。dldpreset命令在全局下可以重置所有端口的DLDP狀態，在接口下可以充值該端口的 DLDP 狀態12、端口隔離配置通過端口隔離特性，用戶可以將需要進行控制的端口加入到一個隔離組中，實現隔離組中的端口之間二層、三層數據的隔離，既增強了網絡的安全性，也為用戶提供了靈活的組網方案。Sysnameinterfaceethernet1/0/2耨以太網端口 Ethernet1/0/2加入隔離組。 Sysnam

31、e-Ethernet1/0/2portisolateSysnamedisplayisolateport#顯示隔離組中的端口信息配置隔離組后，只有隔離組內各個端口之間的報文不能互通，隔離組內端口與隔離組外端口以及隔離組外端口之間的通信不會受到影響。端口隔離特性與以太網端口所屬的VLAN 無關。當匯聚組中的某個端口加入或離開隔離組后，本設備中同一匯聚組內的其它端口，均會自動加入或離開該隔離組。對于既處于某個聚合組又處于某個隔離組的一組端口，其中的一個端口離開聚合組時不會影響其他端口，即其他端口仍將處于原聚合組和原隔離組中。如果某個聚合組中的端口同時屬于某個隔離組，當在系統視圖下直接刪除該聚合組后，

32、該聚合組中的端口仍將處于該隔離組中。當隔離組中的某個端口加入聚合組時，該聚合組中的所有端口，將會自動加入隔離組中。13、端口安全配置Switchport-secuhtyenable#啟動端 口 安全功能SwitchinterfaceEthernet1/0/1#入以太網 Ethernet1/0/1 端口視圖Switch-Ethernet1/0/1port-secuhtymax-mac-count80獻置端口 允許接入的最 大 MAC 地址數為 80Switch-Ethernet1/0/1port-secuhtyport-modeautolearn#f己置端 口的安全模式 為 autolearnS

33、witch-Ethernet1/0/1mac-addresssecurity0001-0002-0003vlan1# Host 的MAC 地址0001-0002-0003作為SecurityMAC 添加到 VLAN1 中disableport-temporarily獻置 IntrusionProtection 特性被觸發后，暫時關閉該端口Switchport-secuhtytimerdisableport30#關閉時間為 30秒。14、端口綁定配 置通過端口綁定特性，網絡管理員可以將用戶的 MAC 地址和 IP 地址綁定到指定的端口上。進行綁定操作后，交換機只對從該端口收到的指定MAC 地址和

34、IP地址的用戶發出的報文進行轉發，提高了系統的安全性，增強了對網絡安全的監控。 SwitchA-Ethernet1/0/1amuser-bindmac-addr0001-0002-0003ip-addr10.11#等Host1的MAC地址和IP地址綁定到Ethernet1/0/1端口。有的交換機上綁定的配置不一樣SwitchAinterfaceethernet1/0/2SwitchA-Ethernet1/0/2user-bindip-address19160.3mac-address0001-0203- 0405端口過濾配置SwitchAinterfaceethernet1/0/1#S己置端口

35、 Ethernet1/0/1 的端 口過濾功能。SwitchA-Ethernet1/0/1ipchecksourceip-addressmac-addressSwitchAdhcp- snooping#FF啟 DHCPSnooping 功能。SwitchAinterfaceethernet1/0/2獻置與 DHCP 服務器相連的端口Ethernet1/0/2 為信任端口。SwitchA-Ethernet1/0/2dhcp-snoopingtrust在端口 Ethernet1/0/1上啟用IP過濾功能，防止客戶端使用偽造的不同源 IP地址對服務器進行攻擊15、 BFD 配置 SwitchA、 S

36、witchB、 SwitchC 相互可達，在SwitchA上配置靜態路由可以到達 SwitchC,并使能BFD檢測功能。#在$0計2人上配置靜態路由，并使能 BFD檢測功能，通過BFDecho報文方式實現 BFD 功能。system-viewSwitchAbfdecho-source-ip121SwitchAinterfacevlan-interface10SwitchA-vlan-interface10bfdmin-echo-receive-interval300SwitchA-vlan-interface10bfddetect-multiplier7SwitchA-vlan-interfa

37、ce10quitSwitchAiproute-static120.12410.100bfdecho-packet#t SwitchA 上打開 BFD 功能調試信息開關。debuggingbfdeventdebuggingbfdscmterminaldebugging在 SwitchA 上可以打開BFD 功能調試信息開關，斷開Hub 和 SwitchB 之間的鏈路，驗證配置結果。驗證結果顯示，SwitchA能夠快速感知SwitchA與SwitchB之間鏈路的變化。16、QinQ配 置ProviderA、 ProviderB 之間通過 Trunk 端口連接， ProviderA 屬于運營商網 絡的

38、VLAN1000, ProviderB屬于運營商網絡的 VLAN201*。ProviderA和ProviderB之間，運營商采用其他廠商的設備，TPID值為0 x8200。希望配置完成后達到下列要求CustomerA的VLAN10的報文可以和 CustomerB的VLAN10的報文經過運 營商網絡的VLAN1000轉發后互通；CustomerA的VLAN20的報文可以和CustomerC的VLAN20的報文經過運營商網絡的 VLAN201*轉發后互 通。ProviderAinterfaceethernet1/0/1挪己置端口為 Hybrid 端口，且允許 VLAN10 ， VLAN20 ， VLAN1000 和 VLAN201* 的報文通過，并且在發送時去掉 外層 Tag。 ProviderA-Ethernet1/0/1portlink-typehybridProviderA-Ethernet1/0/1porthybridvlan10201*00201*untaggedP