交換機基本配置及網絡維護培訓1.0日期：2013.7.1交換機基本配置及網絡維護培訓1.0日期：2013.7.1第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄的產生原因－廣播風暴……廣播傳統的以太網是廣播型網絡，網絡中的所有主機通過或交換機相連，處在同一個廣播域中的產生原因－廣播風暴……廣播傳統的以太網是廣播型網絡，網絡中通過路由器隔離廣播域路由器……廣播通過路由器隔離廣播域路由器……廣播通過劃分廣播域110220330市場部工程部財務部通過劃分廣播域123市場部工程部財務部以太網端口的鏈路類型：只能允許某一個的數據流通過。：允許多個的數據流和某一個的數據流通過。：允許多個的數據流和多個的數據流通過。端口可以允許多個的報文發送時不攜帶標簽，而端口只允許缺省的報文發送時不攜帶標簽。三種類型的端口可以共存在一臺設備上以太網端口的鏈路類型：只能允許某一個的數據流通過。和

和和1021032105525廣播報文發送

和1021032105525廣播報文發送2332帶有3標簽的以太網幀帶有2標簽的以太網幀不帶標簽的以太網幀數據幀在網絡通信中的變化2332帶有3標簽的以太網幀帶有2標簽的以太網幀不帶標簽的數配置命令（1）創建.100(1-4094)刪除.100(1-4094)在中增加端口. 2/0/1在中刪除端口. 2/0/1將端口加入 100(1-4094)將端口脫離 100(1-4094)顯示信息(1-4094)配置命令（1）創建.100(1配置命令（2）定義端口屬性為.

刪除端口屬性.

定義端口可以傳輸的.

在中刪除端口.

配置命令（2）定義端口屬性為.配置虛接口為已存在的創建對應的接口，并進入接口視圖

刪除一個接口

*缺省情況下，在交換機上不存在接口*可以通過命令配置地址，使接口可以為在該范圍內接入的設備提供基于層的數據轉發功能*在創建接口之前，必須先創建對應的，否則無法創建接口配置虛接口為已存在的創建對應的接口，并進入配置地址命令用來配置接口接口的地址和掩碼命令用來刪除接口接口的地址和掩碼{|}[][{|}[]]*在一般情況下，一個接口接口/網絡管理接口配置一個地址即可，但為了使交換機的一個接口接口/網絡管理接口可以與多個子網相連，一個接口接口/網絡管理接口最多可以配置多個地址，其中一個為主地址，其余為從地址配置地址命令用來配置接口接口的地址靜態路由的配置命令和示例[H3C]{|}{|}[][|]例如：129.1.0.01610.0.0.2129.1.0.0255.255.0.010.0.0.2129.1.0.0162/0靜態路由的配置命令和示例[H3C]{|}{主從地址舉例主從地址舉例配置舉例為保證部門間數據的二層隔離，現要求將1和1劃分到100中，2和2劃分到200中。并分別為兩個設置描述字符為“1”和“2”在上配置接口，對1發往2的數據進行三層轉發。兩個部門分別使用192.168.1.0/24和192.168.2.0/24兩個網段配置舉例為保證部門間數據的二層隔離，現要求將1和1配置A#創建100，并配置100的描述字符串為“1”，將端口1/0/1加入到100。<>[]100[100]1[100]1/0/1[100]#創建200，并配置200的描述字符串為“2”。[]200[200]2[200]#創建100和200的接口，地址分別配置為192.168.1.1和192.168.2.1，用來對1發往2的報文進行三層轉發。[]100[100]192.168.1.124[100][]200[200]192.168.2.124配置A#創建100，并配置100的描述字符串為“1”，將配置B#創建100，并配置100的描述字符串為“1”，將端口1/0/13加入到100。<>[]100[100]1[100]1/0/13[103]#創建200，并配置200的描述字符串為“2”，將端口1/0/11和1/0/12加入到200。[]200[200]2[200]1/0/111/0/12[200]配置B#創建100，并配置100的描述字符串為“1”，將配置A和B之間的鏈路由于A和B之間的鏈路需要同時傳輸100和200的數據，所以可以配置兩端的端口為端口，且允許這兩個的報文通過。#配置A的1/0/2端口。[]1/0/2[1/0/2][1/0/2]100[1/0/2]200#配置B的1/0/10端口。[]1/0/10[1/0/10][1/0/10]100[1/0/10]200配置A和B之間的鏈路由于A和B之間的鏈路需要同時傳輸注意事項1-缺省就有，不需要創建，也無法刪除-不建議用作業務-可以用作管理鏈路-只允許所需的通過，不要配置

-最好配置上1注意事項1第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄生成樹（，生成樹協議）是根據協會制定的802.1D標準建立的，用于在局域網中消除數據鏈路層物理環路的協議。運行該協議的設備通過彼此交互報文發現網絡中的環路，并有選擇的對某些端口進行阻塞，最終將環路網絡結構修剪成無環路的樹型網絡結構，從而防止報文在環路網絡中不斷增生和無限循環，避免主機由于重復接收相同的報文造成的報文處理能力下降的問題發生。生成樹（，生成樹協議）是根據協會制定的802.1D標準建配置命令啟動全局特性關閉全局特性*全局開啟后，每個接口下的功能也被打開接口視圖下關閉特性接口下開啟特性配置命令啟動全局特性的交換機保護功能1.保護功能由于維護人員的錯誤配置或網絡中的惡意攻擊，網絡中的合法根橋有可能會收到優先級更高的配置消息，這樣當前根橋會失去根橋的地位，引起網絡拓撲結構的錯誤變動。這種不合法的變動，會導致原來應該通過高速鏈路的流量被牽引到低速鏈路上，導致網絡擁塞。命令用來指定當前交換機作為指定生成樹實例的根橋。命令用來取消當前交換機作為指定生成樹實例的根橋資格。0的交換機保護功能1.保護功能優化-邊緣端口邊緣端口是指不直接與任何交換機連接，也不通過端口所連接的網絡間接與任何交換機相連的端口。用戶如果將某個端口指定為邊緣端口，那么當該端口由阻塞狀態向轉發狀態遷移時，這個端口可以實現快速遷移，而無需等待延遲時間。在交換機沒有開啟保護的情況下，如果被設置為邊緣端口的端口上收到來自其它端口的報文，則該端口會重新變為非邊緣端口。對于直接與終端相連的端口，請將該端口設置為邊緣端口，同時啟動保護功能。這樣既能夠使該端口快速遷移到轉發狀態，也可以保證網絡的安全。優化-邊緣端口邊緣端口是指不直接與任何交換機連接，也不通過端邊緣端口配置命令用來將當前的以太網端口配置為邊緣端口命令用來將當前的以太網端口配置為非邊緣端口命令用來將當前的以太網端口恢復為缺省狀態，即非邊緣端口。*缺省情況下，交換機所有以太網端口均被配置為非邊緣端口邊緣端口配置命令用來將當前的以太網端的交換機保護功能2.保護功能邊緣端口接收到配置消息后，系統會自動將這些端口設置為非邊緣端口，重新計算生成樹，這樣就引起網絡拓撲的震蕩。正常情況下，邊緣端口應該不會收到生成樹協議的配置消息。如果有人偽造配置消息惡意攻擊交換機，就會引起網絡震蕩。保護功能可以防止這種網絡攻擊。交換機上啟動了保護功能以后，如果邊緣端口收到了配置消息，系統就將這些端口關閉，同時通知網管這些端口被關閉。被關閉的邊緣端口只能由網絡管理人員恢復。的交換機保護功能2.保護功能查看信息顯示生成樹的簡要狀態信息。<>01/0/11/0/4

01/0/101/0/201/0/301/0/4查看信息顯示生成樹的簡要狀態信息。第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄訪問控制列表為了過濾通過網絡設備的數據包，需要配置一系列的匹配規則，以識別需要過濾的對象。在識別出特定的對象之后，網絡設備才能根據預先設定的策略允許或禁止相應的數據包通過。訪問控制列表（，）就是用來實現這些功能。通過一系列的匹配條件對數據包進行分類，這些條件可以是數據包的源地址、目的地址、端口號等。可應用在交換機全局或端口上，交換機根據中指定的條件來檢測數據包，從而決定是轉發還是丟棄該數據包。訪問控制列表為了過濾通過網絡設備的數據包，需以太網訪問列表主要作用:在整個網絡中分布實施接入安全性Internet服務器部門A部門B以太網訪問列表主要作用:在整個網絡中分布實施接入安全性Int訪問控制列表對到達端口的數據包進行分類，并打上不同的動作標記訪問列表作用于交換機的所有端口訪問列表的主要用途：包過濾鏡像流量限制流量統計分配隊列優先級訪問控制列表對到達端口的數據包進行分類，并打上不同的動作標記流分類通常選擇數據包的包頭信息作為流分類項2層流分類項以太網幀承載的數據類型源/目的地址以太網封裝格式

入/出端口3/4層流分類項協議類型源/目的地址源/目的端口號流分類通常選擇數據包的包頭信息作為流分類項數據包過濾

應用程序和數據源/目的端口號源/目的地址L34過濾應用網關包過濾元素數據包過濾應用程序和數據源/目的端口號源/目的地址L訪問控制列表的構成（訪問控制列表的子規則）（時間段機制）[+]（訪問控制列表由一系列規則組成，有必要時會和時間段結合）訪問控制列表策略1策略2策略3...策略訪問控制列表的構成（訪問控制列表的子規則）訪問控制列表時間段的相關配置在系統視圖下，配置時間段:[][][][]在系統視圖下，刪除時間段:[][][][]假設管理員需要在從2002年12月1日上午8點到2003年1月1日下午18點的時間段內實施安全策略，可以定義時間段名為，具體配置如下:[H3C]8:0012-01-200218:0001-01-2003時間段的相關配置在系統視圖下，配置時間段:假設管理員需要在從訪問控制列表的類型2000～2999：表示基本。只根據數據包的源地址制定規則。3000～3999：表示高級（3998與3999是系統為集群管理預留的編號，用戶無法配置）。根據數據包的源地址、目的地址、承載的協議類型、協議特性等三、四層信息制定規則。4000～4999：表示二層。根據數據包的源地址、目的地址、802.1p優先級、二層協議類型等二層信息制定規則。5000～5999：表示用戶自定義。以數據包的頭部為基準，指定從第幾個字節開始與掩碼進行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文。訪問控制列表的類型2000～2999：表示基本。只根據數據包定義訪問控制列表在系統視圖下，定義并進入訪問控制列表視圖:{||||}[{|}]在系統視圖下，刪除:{||}定義訪問控制列表在系統視圖下，定義并進入訪問控制列表視圖:基本訪問控制列表的規則配置在基本訪問控制列表視圖下，配置相應的規則[]{|}[|][][]在基本訪問控制列表視圖下，刪除一條子規則[][][]基本訪問控制列表的規則配置在基本訪問控制列表視圖下，配置相應高級訪問控制列表的規則配置在高級訪問控制列表視圖下，配置相應的規則[]{|}[|][|][1[2]][1[2]][][][][]|[][][]在高級訪問控制列表視圖下，刪除一條子規則[][][][][][]|[][][]高級訪問控制列表的規則配置在高級訪問控制列表視圖下，配置相應端口操作符及語法協議支持的端口操作符及語法操作符及語法含義

等于

大于

小于

不等于12介于端口號1和2之間端口操作符及語法協議支持的端口操作符及語法操作符及語法含義接口訪問控制列表的規則配置在接口訪問控制列表視圖下，配置相應的規則[]{|}[{||}][]

在接口訪問控制列表視圖下，刪除一條子規則

接口訪問控制列表的規則配置在接口訪問控制列表視圖下，配置相應二層訪問控制列表的規則配置在二層訪問控制列表視圖下，配置相應的規則[]{|}[][]{{[][][{|}]}|}{{[][{|}]}|}[]在二層訪問控制列表視圖下，刪除一條子規則

二層訪問控制列表的規則配置在二層訪問控制列表視圖下，配置相應自定義訪問控制列表的規則配置在自定義訪問控制列表視圖下，配置相應的規則[]{|}{}&<1-20>[]在自定義訪問控制列表視圖下，刪除一條子規則

用戶自定義訪問控制列表的數字標識取值范圍為5000～5999自定義訪問控制列表的規則配置在自定義訪問控制列表視圖下，配置規則匹配原則一條訪問控制列表往往會由多條規則組成，這樣在匹配一條訪問控制列表的時候就存在匹配順序的問題。在華為系列交換機產品上，支持下列兩種匹配順序：：指定匹配該規則時按用戶的配置順序（后下發先生效）：指定匹配該規則時系統自動排序（按“深度優先”的順序）規則匹配原則一條訪問控制列表往往會由多條規則組成，這樣在匹配激活訪問控制列表在系統視圖下，激活:{{|}[]|{[{|}[]][{|}[]]}}在系統視圖下，取消激活:{{|}[]|{[{|}[]][{|}[]]}}激活訪問控制列表在系統視圖下，激活:配置進行包過濾的步驟綜上所述，在H3C交換機上配置進行包過濾的步驟如下：配置時間段（可選）定義訪問控制列表（四種類型：基本、高級、基于接口、基于二層和用戶自定義）激活訪問控制列表配置進行包過濾的步驟綜上所述，在H3C交換機上配置進行包過濾訪問控制列表配置舉例一要求配置高級，禁止員工在工作日8:00～18:00的時間段內訪問新浪網站（61.172.201.194）1.定義時間段[H3C]8:0018:002.定義高級3000，配置目的地址為新浪網站的訪問規則。[H3C]3000[H3C3000]161.172.201.19403.在端口1/0/15上應用3000。[H3C]1/0/15[H31/0/15]3000訪問控制列表配置舉例一要求配置高級，禁止員工在工作日8:00訪問控制列表配置舉例二配置防病毒1.定義高級3000[H3C]3000[H3C3000]1335[H3C3000]33365[H3C3000]461.22.3.00.0.0.25538752.在端口1/0/1上應用3000[H31/0/1]3000訪問控制列表配置舉例二配置防病毒第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄交換機管理方式通過口進行本地登錄通過以太網端口利用或進行本地或遠程登錄通過口利用撥號進行遠程登錄交換機管理方式通過口進行本地登錄配置（2）需要輸入密碼[H3C]04[H30-4][H30-4]3[H30-4]h3c（3）需要輸入用戶名和密碼[H3C]04[H30-4][H3C]h3c[H33c]123456[H33c]3（1）不需要輸入用戶名和密碼[H3C]04[H30-4][H30-4]3配置（2）需要輸入密碼（3）需要輸入用戶名和密碼（1）不需要第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄故障排除常用方法分層故障排除法分塊故障排除法分段故障排除法替換法故障排除常用方法分層故障排除法分層故障排除法。。。。物理層數據鏈路層網絡層所有的技術都是分層的！關注電纜、連接頭、信號電平、編碼、時鐘和組幀關注封裝協議和相關參數、鏈路利用率等關注地址分配、路由協議參數等分層故障排除法。。。。物理層數據鏈路層網絡層所有的技分塊故障排除法配置文件分為以下部分：管理部分（路由器名稱、口令、服務、日志等）端口部分（地址、封裝、、認證等）路由協議部分（靜態路由、、、、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制臺、登錄或啞終端、撥號等）其他應用部分（語言配置、配置、配置等）分塊故障排除法配置文件分為以下部分：分段故障排除法網絡分為若干段，逐段測試，縮小故障范圍，逐段定位網絡故障，并排除。中繼線路節點節點分段故障排除法網絡分為若干段，逐段測試，縮小故障范圍，逐段定常用命令（1）命令用來顯示系統的版本信息。用戶可以通過該命令查看軟件的版本信息、發布時間、交換機的基本硬件配置等信息。<>H3C,3.10,1545(c)2004-2007H3C.,..S3600-520,0,23,15

S3600-52164M16384K

001510[0]48[1]4常用命令（1）命令用來顯示系統的版本信息。常用命令（2）命令用來顯示交換機當前的配置。當用戶完成一組配置之后，需要驗證配置是否生效，則可以執行命令來查看當前生效的參數。注意：*如果當前配置的參數與缺省參數相同，則不予顯示；*對于某些參數，雖然用戶已經配置，但如果這些參數對應的功能沒有生效，則不予顯示。常用命令（2）命令用來顯示交換機當前的配置。常用命令（3）命令用來顯示當前視圖下的運行配置。當用戶在某一視圖下完成一組配置之后，需要驗證配置是否生效，則可以執行命令來查看所在視圖下當前生效的配置參數。注意：*對于已經生效的配置參數如果與缺省工作參數相同，則不顯示；*對于某些參數，雖然用戶已經配置，但如果這些參數對應的功能沒有生效，則不予顯示；*在任意一個用戶界面視圖或視圖下執行此命令，將會顯示所有用戶界面或下生效的配置參數。常用命令（3）命令用來顯示當前視圖下的運行配置。網絡連通性測試命令操作命令說明檢查網絡中的指定地址是否可達[][||||||||||||||]*可選網絡層協議為4時使用可在任意視圖下執行6[6||||]*[]可選網絡層協議為6時使用可在任意視圖下執行查看當前設備到目的設備的路由[||||||]*可選網絡層協議為4時使用可在任意視圖下執行6[||||]*可選網絡層協議為6時使用可在任意視圖下執行網絡連通性測試命令操作命令說明檢查網絡中的指定地址是否可達命令參數（1）：支持4協議。：指定回顯請求報文中的源地址。該地址必須是設備上已配置的合法地址。：指定發送回顯請求報文的數目，取值范圍為1～4294967295，缺省值為5。：將長度大于接口的報文直接丟棄，即不允許對發送的回顯請求報文進行分片。：指定回顯請求報文中的值，取值范圍為1～255，缺省值為255。：指定發送報文的接口的類型和編號。在指定出接口的情況下，只能直連網段地址。：指定發送回顯請求報文的時間間隔，取值范圍為1～65535，單位為毫秒，缺省值為200毫秒。－如果在時間內收到目的主機的響應報文，則下次回顯請求報文的發送時間間隔為報文的實際響應時間與之和；－如果在時間內沒有收到目的主機的響應報文，則下次回顯請求報文的發送時間間隔為與之和。：不進行域名解析。缺省情況下，系統將對進行域名解析。命令參數（1）：支持4協議。命令參數：指定回顯請求報文的填充字節，格式為16進制。比如將“”設置為，則報文將被全部填充為。缺省情況下，填充的字節從0x01開始，逐漸遞增，直到0x09，然后又從0x01開始循環填充。：除統計信息外，不顯示其它詳細信息。缺省情況下，系統將顯示包括統計信息在內的全部信息。：記錄路由。缺省情況下，系統不記錄路由。：指定發送的回顯請求報文的長度（不包括和報文頭），取值范圍為20～8100，單位為字節，缺省值為56字節。：指定回顯應答報文的超時時間，取值范圍為1～65535，單位為毫秒，缺省值為2000毫秒。：指定回顯請求報文中的（，服務類型）域的值，取值范圍為0～255，缺省值為0。：顯示接收到的非回顯應答的報文。缺省情況下，系統不顯示非回顯應答的報文。：指定的實例名稱，是一個長度為1～31個字符的字符串，不區分大小寫。：目的設備的地址或主機名（主機名為1～20個字符的字符串）。命令參數：指定回顯請求報文的填充字節，格式為16進制。比如命令用來檢查指定地址是否可達，并輸出相應的統計信息。[H3C]11.1.1.111.1.1.1:56,11.1.1.1:560255=3111.1.1.1:561255=3111.1.1.1:562255=3211.1.1.1:563255=3111.1.1.1:564255=3111.1.1.1550.00%=31/31/32命令用來檢查指定地址是否可達，并輸出相應的統計信息。命令參數：指明報文的源地址。該地址必須是設備上已配置的合法地址。：指定一個初始，即第一個報文所允許的跳數。取值范圍為1～255，且小于最大，缺省值為1。：指定一個最大，即一個報文所允許的最大跳數。取值范圍為1～255，且大于初始，缺省值為30。：指明目的設備的端口號，取值范圍為1～65535，缺省值為33434。用戶一般不需要更改此選項。：指明每次發送的探測報文個數，取值范圍為1～65535，缺省值為3。：指定的實例名稱，是一個長度為1～31個字符的字符串。：指定等待探測報文響應的報文的超時時間，取值范圍是1～65535，單位為毫秒，缺省值為5000毫秒。：目的設備的地址或主機名（主機名是長度為1～20的字符串）。命令參數：指明報文的源地址。該地址必須是設備上已配置的合法命令用來查看4報文從當前設備傳到目的設備所經過的路徑。<>18.26.0.11518.26.0.115(18.26.0.115)30,40,1128.3.112.11010102128.32.210.11919193128.32.21632.136.231939395128.32.168.222039396128.32.197.459119397131.119.2.55959398129.140.70.138079999129.140.71.613913915910129.140.81.719918030011129.140.72.1730023923912***13128.121.54.7225949927914***15***16***17***1818.26.0.115339279279命令用來查看4報文從當前設備傳到目的設備所經過的路徑。（1）<>1/0/11/0/1:'2,0012990-2240,100100,,

9216:500:100%:100%

:1::::1（1）<>1/0/1（2）300:00300:00():0,00,0,0():-,--,-,-:0,0,0,-,00,-,0,0,-():0,00,0,0():-,--,-,-:0,-,-0,0,0,00,-（2）300:00

用來顯示地址轉發表的信息，包括地址所對應和以太網端口、地址狀態（靜態還是動態）、是否處在老化時間內等信息#顯示地址000200101的信息。<>000200101(s)00020010111/0/1#顯示端口1/0/4的地址轉發表內容。<>1/0/4(s)00088f6-441 1/0/400088f7-9f7d11/0/400088f709411/0/4000200-0011/0/4000200-220111/0/40002072e011/0/4000209911/0/47()1/0/4用來顯示地址轉發表的信息，包括地址所對應和以太網

用來顯示表項<>:/10.2.72.1620000000S192.168.0.7700008f5-6a4a11/0/213D192.168.0.2000014-2229d6a11/0/214D192.168.0.4500088f6-44c111/0/215D192.168.0.1100011-4301-991e11/0/215D192.168.0.3200008f5-7311/0/216D192.168.0.30014-2226911/0/216D192.168.0.1700088f6-379c11/0/217D192.168.0.11500088f7-9f7d11/0/218D192.168.0.43000760172d11/0/218D192.168.0.5000280-2b3811/0/220D

11用來顯示表項S9500常用維護命令-查看硬件狀態命令用來顯示的使用狀態#顯示0槽位上的使用狀態。<>00:6%57%112%5命令用來顯示交換機的電源狀態#顯示電源狀態。<>1:2:3:S9500常用維護命令-查看硬件狀態命令用來顯示的使用狀態

顯示交換機上各單板（主板和子板）的模塊類型、工作狀態信息。可以通過此命令來顯示各單板的模塊類型、工作狀態信息，這些信息包括物理板號、子物理板號、端口個數、版本號、版本號、硬件版本號、軟件版本號、地址學習模式、接口板類型等。<>.0108500-00041234567顯示交換機上各單板（主板和子板）的模塊類型、工作狀態信息。

#顯示設備環境信息。<>():

033104523510654341065#顯示設備環境信息。命令用來顯示交換機的內置風扇的工作狀態信息。可以通過此命令來顯示風扇的工作狀態是否正常。#顯示風扇的工作狀態。<>1:命令用來顯示交換機的內存使用狀態。#顯示交換機0槽位的內存使用狀態。<>0():197932416():65234704:32%命令用來顯示交換機的內置風扇的工作狀態信息。告警日志信息查看項目操作指導參考標準系統告警緩沖區查看

正常情況下無嚴重告警記錄，否則為不正常。系統日志緩沖區查看

正常情況下無嚴重出錯日志記錄，否則為不正常。所有系統日志查看

正常情況下無嚴重告警記錄和嚴重出錯日志，否則為不正常。告警日志信息查看項目操作指導參考標準系統告警緩沖區查看正常交換機基本配置及網絡維護培訓課件演講完畢，謝謝觀看！演講完畢，謝謝觀看！交換機基本配置及網絡維護培訓1.0日期：2013.7.1交換機基本配置及網絡維護培訓1.0日期：2013.7.1第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄的產生原因－廣播風暴……廣播傳統的以太網是廣播型網絡，網絡中的所有主機通過或交換機相連，處在同一個廣播域中的產生原因－廣播風暴……廣播傳統的以太網是廣播型網絡，網絡中通過路由器隔離廣播域路由器……廣播通過路由器隔離廣播域路由器……廣播通過劃分廣播域110220330市場部工程部財務部通過劃分廣播域123市場部工程部財務部以太網端口的鏈路類型：只能允許某一個的數據流通過。：允許多個的數據流和某一個的數據流通過。：允許多個的數據流和多個的數據流通過。端口可以允許多個的報文發送時不攜帶標簽，而端口只允許缺省的報文發送時不攜帶標簽。三種類型的端口可以共存在一臺設備上以太網端口的鏈路類型：只能允許某一個的數據流通過。和

和和1021032105525廣播報文發送

和1021032105525廣播報文發送2332帶有3標簽的以太網幀帶有2標簽的以太網幀不帶標簽的以太網幀數據幀在網絡通信中的變化2332帶有3標簽的以太網幀帶有2標簽的以太網幀不帶標簽的數配置命令（1）創建.100(1-4094)刪除.100(1-4094)在中增加端口. 2/0/1在中刪除端口. 2/0/1將端口加入 100(1-4094)將端口脫離 100(1-4094)顯示信息(1-4094)配置命令（1）創建.100(1配置命令（2）定義端口屬性為.

刪除端口屬性.

定義端口可以傳輸的.

在中刪除端口.

配置命令（2）定義端口屬性為.配置虛接口為已存在的創建對應的接口，并進入接口視圖

刪除一個接口

*缺省情況下，在交換機上不存在接口*可以通過命令配置地址，使接口可以為在該范圍內接入的設備提供基于層的數據轉發功能*在創建接口之前，必須先創建對應的，否則無法創建接口配置虛接口為已存在的創建對應的接口，并進入配置地址命令用來配置接口接口的地址和掩碼命令用來刪除接口接口的地址和掩碼{|}[][{|}[]]*在一般情況下，一個接口接口/網絡管理接口配置一個地址即可，但為了使交換機的一個接口接口/網絡管理接口可以與多個子網相連，一個接口接口/網絡管理接口最多可以配置多個地址，其中一個為主地址，其余為從地址配置地址命令用來配置接口接口的地址靜態路由的配置命令和示例[H3C]{|}{|}[][|]例如：129.1.0.01610.0.0.2129.1.0.0255.255.0.010.0.0.2129.1.0.0162/0靜態路由的配置命令和示例[H3C]{|}{主從地址舉例主從地址舉例配置舉例為保證部門間數據的二層隔離，現要求將1和1劃分到100中，2和2劃分到200中。并分別為兩個設置描述字符為“1”和“2”在上配置接口，對1發往2的數據進行三層轉發。兩個部門分別使用192.168.1.0/24和192.168.2.0/24兩個網段配置舉例為保證部門間數據的二層隔離，現要求將1和1配置A#創建100，并配置100的描述字符串為“1”，將端口1/0/1加入到100。<>[]100[100]1[100]1/0/1[100]#創建200，并配置200的描述字符串為“2”。[]200[200]2[200]#創建100和200的接口，地址分別配置為192.168.1.1和192.168.2.1，用來對1發往2的報文進行三層轉發。[]100[100]192.168.1.124[100][]200[200]192.168.2.124配置A#創建100，并配置100的描述字符串為“1”，將配置B#創建100，并配置100的描述字符串為“1”，將端口1/0/13加入到100。<>[]100[100]1[100]1/0/13[103]#創建200，并配置200的描述字符串為“2”，將端口1/0/11和1/0/12加入到200。[]200[200]2[200]1/0/111/0/12[200]配置B#創建100，并配置100的描述字符串為“1”，將配置A和B之間的鏈路由于A和B之間的鏈路需要同時傳輸100和200的數據，所以可以配置兩端的端口為端口，且允許這兩個的報文通過。#配置A的1/0/2端口。[]1/0/2[1/0/2][1/0/2]100[1/0/2]200#配置B的1/0/10端口。[]1/0/10[1/0/10][1/0/10]100[1/0/10]200配置A和B之間的鏈路由于A和B之間的鏈路需要同時傳輸注意事項1-缺省就有，不需要創建，也無法刪除-不建議用作業務-可以用作管理鏈路-只允許所需的通過，不要配置

-最好配置上1注意事項1第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄生成樹（，生成樹協議）是根據協會制定的802.1D標準建立的，用于在局域網中消除數據鏈路層物理環路的協議。運行該協議的設備通過彼此交互報文發現網絡中的環路，并有選擇的對某些端口進行阻塞，最終將環路網絡結構修剪成無環路的樹型網絡結構，從而防止報文在環路網絡中不斷增生和無限循環，避免主機由于重復接收相同的報文造成的報文處理能力下降的問題發生。生成樹（，生成樹協議）是根據協會制定的802.1D標準建配置命令啟動全局特性關閉全局特性*全局開啟后，每個接口下的功能也被打開接口視圖下關閉特性接口下開啟特性配置命令啟動全局特性的交換機保護功能1.保護功能由于維護人員的錯誤配置或網絡中的惡意攻擊，網絡中的合法根橋有可能會收到優先級更高的配置消息，這樣當前根橋會失去根橋的地位，引起網絡拓撲結構的錯誤變動。這種不合法的變動，會導致原來應該通過高速鏈路的流量被牽引到低速鏈路上，導致網絡擁塞。命令用來指定當前交換機作為指定生成樹實例的根橋。命令用來取消當前交換機作為指定生成樹實例的根橋資格。0的交換機保護功能1.保護功能優化-邊緣端口邊緣端口是指不直接與任何交換機連接，也不通過端口所連接的網絡間接與任何交換機相連的端口。用戶如果將某個端口指定為邊緣端口，那么當該端口由阻塞狀態向轉發狀態遷移時，這個端口可以實現快速遷移，而無需等待延遲時間。在交換機沒有開啟保護的情況下，如果被設置為邊緣端口的端口上收到來自其它端口的報文，則該端口會重新變為非邊緣端口。對于直接與終端相連的端口，請將該端口設置為邊緣端口，同時啟動保護功能。這樣既能夠使該端口快速遷移到轉發狀態，也可以保證網絡的安全。優化-邊緣端口邊緣端口是指不直接與任何交換機連接，也不通過端邊緣端口配置命令用來將當前的以太網端口配置為邊緣端口命令用來將當前的以太網端口配置為非邊緣端口命令用來將當前的以太網端口恢復為缺省狀態，即非邊緣端口。*缺省情況下，交換機所有以太網端口均被配置為非邊緣端口邊緣端口配置命令用來將當前的以太網端的交換機保護功能2.保護功能邊緣端口接收到配置消息后，系統會自動將這些端口設置為非邊緣端口，重新計算生成樹，這樣就引起網絡拓撲的震蕩。正常情況下，邊緣端口應該不會收到生成樹協議的配置消息。如果有人偽造配置消息惡意攻擊交換機，就會引起網絡震蕩。保護功能可以防止這種網絡攻擊。交換機上啟動了保護功能以后，如果邊緣端口收到了配置消息，系統就將這些端口關閉，同時通知網管這些端口被關閉。被關閉的邊緣端口只能由網絡管理人員恢復。的交換機保護功能2.保護功能查看信息顯示生成樹的簡要狀態信息。<>01/0/11/0/4

01/0/101/0/201/0/301/0/4查看信息顯示生成樹的簡要狀態信息。第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄訪問控制列表為了過濾通過網絡設備的數據包，需要配置一系列的匹配規則，以識別需要過濾的對象。在識別出特定的對象之后，網絡設備才能根據預先設定的策略允許或禁止相應的數據包通過。訪問控制列表（，）就是用來實現這些功能。通過一系列的匹配條件對數據包進行分類，這些條件可以是數據包的源地址、目的地址、端口號等。可應用在交換機全局或端口上，交換機根據中指定的條件來檢測數據包，從而決定是轉發還是丟棄該數據包。訪問控制列表為了過濾通過網絡設備的數據包，需以太網訪問列表主要作用:在整個網絡中分布實施接入安全性Internet服務器部門A部門B以太網訪問列表主要作用:在整個網絡中分布實施接入安全性Int訪問控制列表對到達端口的數據包進行分類，并打上不同的動作標記訪問列表作用于交換機的所有端口訪問列表的主要用途：包過濾鏡像流量限制流量統計分配隊列優先級訪問控制列表對到達端口的數據包進行分類，并打上不同的動作標記流分類通常選擇數據包的包頭信息作為流分類項2層流分類項以太網幀承載的數據類型源/目的地址以太網封裝格式

入/出端口3/4層流分類項協議類型源/目的地址源/目的端口號流分類通常選擇數據包的包頭信息作為流分類項數據包過濾

應用程序和數據源/目的端口號源/目的地址L34過濾應用網關包過濾元素數據包過濾應用程序和數據源/目的端口號源/目的地址L訪問控制列表的構成（訪問控制列表的子規則）（時間段機制）[+]（訪問控制列表由一系列規則組成，有必要時會和時間段結合）訪問控制列表策略1策略2策略3...策略訪問控制列表的構成（訪問控制列表的子規則）訪問控制列表時間段的相關配置在系統視圖下，配置時間段:[][][][]在系統視圖下，刪除時間段:[][][][]假設管理員需要在從2002年12月1日上午8點到2003年1月1日下午18點的時間段內實施安全策略，可以定義時間段名為，具體配置如下:[H3C]8:0012-01-200218:0001-01-2003時間段的相關配置在系統視圖下，配置時間段:假設管理員需要在從訪問控制列表的類型2000～2999：表示基本。只根據數據包的源地址制定規則。3000～3999：表示高級（3998與3999是系統為集群管理預留的編號，用戶無法配置）。根據數據包的源地址、目的地址、承載的協議類型、協議特性等三、四層信息制定規則。4000～4999：表示二層。根據數據包的源地址、目的地址、802.1p優先級、二層協議類型等二層信息制定規則。5000～5999：表示用戶自定義。以數據包的頭部為基準，指定從第幾個字節開始與掩碼進行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文。訪問控制列表的類型2000～2999：表示基本。只根據數據包定義訪問控制列表在系統視圖下，定義并進入訪問控制列表視圖:{||||}[{|}]在系統視圖下，刪除:{||}定義訪問控制列表在系統視圖下，定義并進入訪問控制列表視圖:基本訪問控制列表的規則配置在基本訪問控制列表視圖下，配置相應的規則[]{|}[|][][]在基本訪問控制列表視圖下，刪除一條子規則[][][]基本訪問控制列表的規則配置在基本訪問控制列表視圖下，配置相應高級訪問控制列表的規則配置在高級訪問控制列表視圖下，配置相應的規則[]{|}[|][|][1[2]][1[2]][][][][]|[][][]在高級訪問控制列表視圖下，刪除一條子規則[][][][][][]|[][][]高級訪問控制列表的規則配置在高級訪問控制列表視圖下，配置相應端口操作符及語法協議支持的端口操作符及語法操作符及語法含義

等于

大于

小于

不等于12介于端口號1和2之間端口操作符及語法協議支持的端口操作符及語法操作符及語法含義接口訪問控制列表的規則配置在接口訪問控制列表視圖下，配置相應的規則[]{|}[{||}][]

在接口訪問控制列表視圖下，刪除一條子規則

接口訪問控制列表的規則配置在接口訪問控制列表視圖下，配置相應二層訪問控制列表的規則配置在二層訪問控制列表視圖下，配置相應的規則[]{|}[][]{{[][][{|}]}|}{{[][{|}]}|}[]在二層訪問控制列表視圖下，刪除一條子規則

二層訪問控制列表的規則配置在二層訪問控制列表視圖下，配置相應自定義訪問控制列表的規則配置在自定義訪問控制列表視圖下，配置相應的規則[]{|}{}&<1-20>[]在自定義訪問控制列表視圖下，刪除一條子規則

用戶自定義訪問控制列表的數字標識取值范圍為5000～5999自定義訪問控制列表的規則配置在自定義訪問控制列表視圖下，配置規則匹配原則一條訪問控制列表往往會由多條規則組成，這樣在匹配一條訪問控制列表的時候就存在匹配順序的問題。在華為系列交換機產品上，支持下列兩種匹配順序：：指定匹配該規則時按用戶的配置順序（后下發先生效）：指定匹配該規則時系統自動排序（按“深度優先”的順序）規則匹配原則一條訪問控制列表往往會由多條規則組成，這樣在匹配激活訪問控制列表在系統視圖下，激活:{{|}[]|{[{|}[]][{|}[]]}}在系統視圖下，取消激活:{{|}[]|{[{|}[]][{|}[]]}}激活訪問控制列表在系統視圖下，激活:配置進行包過濾的步驟綜上所述，在H3C交換機上配置進行包過濾的步驟如下：配置時間段（可選）定義訪問控制列表（四種類型：基本、高級、基于接口、基于二層和用戶自定義）激活訪問控制列表配置進行包過濾的步驟綜上所述，在H3C交換機上配置進行包過濾訪問控制列表配置舉例一要求配置高級，禁止員工在工作日8:00～18:00的時間段內訪問新浪網站（61.172.201.194）1.定義時間段[H3C]8:0018:002.定義高級3000，配置目的地址為新浪網站的訪問規則。[H3C]3000[H3C3000]161.172.201.19403.在端口1/0/15上應用3000。[H3C]1/0/15[H31/0/15]3000訪問控制列表配置舉例一要求配置高級，禁止員工在工作日8:00訪問控制列表配置舉例二配置防病毒1.定義高級3000[H3C]3000[H3C3000]1335[H3C3000]33365[H3C3000]461.22.3.00.0.0.25538752.在端口1/0/1上應用3000[H31/0/1]3000訪問控制列表配置舉例二配置防病毒第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄交換機管理方式通過口進行本地登錄通過以太網端口利用或進行本地或遠程登錄通過口利用撥號進行遠程登錄交換機管理方式通過口進行本地登錄配置（2）需要輸入密碼[H3C]04[H30-4][H30-4]3[H30-4]h3c（3）需要輸入用戶名和密碼[H3C]04[H30-4][H3C]h3c[H33c]123456[H33c]3（1）不需要輸入用戶名和密碼[H3C]04[H30-4][H30-4]3配置（2）需要輸入密碼（3）需要輸入用戶名和密碼（1）不需要第一章原理及基本配置第二章原理及基本配置第三章原理及基本配置第四章設備管理基本配置第五章常用維護方法和命令目錄第一章原理及基本配置目錄故障排除常用方法分層故障排除法分塊故障排除法分段故障排除法替換法故障排除常用方法分層故障排除法分層故障排除法。。。。物理層數據鏈路層網絡層所有的技術都是分層的！關注電纜、連接頭、信號電平、編碼、時鐘和組幀關注封裝協議和相關參數、鏈路利用率等關注地址分配、路由協議參數等分層故障排除法。。。。物理層數據鏈路層網絡層所有的技分塊故障排除法配置文件分為以下部分：管理部分（路由器名稱、口令、服務、日志等）端口部分（地址、封裝、、認證等）路由協議部分（靜態路由、、、、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制臺、登錄或啞終端、撥號等）其他應用部分（語言配置、配置、配置等）分塊故障排除法配置文件分為以下部分：分段故障排除法網絡分為若干段，逐段測試，縮小故障范圍，逐段定位網絡故障，并排除。中繼線路節點節點分段故障排除法網絡分為若干段，逐段測試，縮小故障范圍，逐段定常用命令（1）命令用來顯示系統的版本信息。用戶可以通過該命令查看軟件的版本信息、發布時間、交換機的基本硬件配置等信息。<>H3C,3.10,1545(c)2004-2007H3C.,..S3600-520,0,23,15

S3600-52164M16384K

001510[0]48[1]4常用命令（1）命令用來顯示系統的版本信息。常用命令（2）命令用來顯示交換機當前的配置。當用戶完成一組配置之后，需要驗證配置是否生效，則可以執行命令來查看當前生效的參數。注意：*如果當前配置的參數與缺省參數相同，則不予顯示；*對于某些參數，雖然用戶已經配置，但如果這些參數對應的功能沒有生效，則不予顯示。常用命令（2）命令用來顯示交換機當前的配置。常用命令（3）命令用來顯示當前視圖下的運行配置。當用戶在某一視圖下完成一組配置之后，需要驗證配置是否生效，則可以執行命令來查看所在視圖下當前生效的配置參數。注意：*對于已經生效的配置參數如果與缺省工作參數相同，則不顯示；*對于某些參數，雖然用戶已經配置，但如果這些參數對應的功能沒有生效，則不予顯示；*在任意一個用戶界面視圖或視圖下執行此命令，將會顯示所有用戶界面或下生效的配置參數。常用命令（3）命令用來顯示當前視圖下的運行配置。網絡連通性測試命令操作命令說明檢查網絡中的指定地址是否可達[][||||||||||||||]*可選網絡層協議為4時使用可在任意視圖下執行6[6||||]*[]可選網絡層協議為6時使用可在任意視圖下執行查看當前設備到目的設備的路由[||||||]*可選網絡層協議為4時使用可在任意視圖下執行6[||||]*可選網絡層協議為6時使用可在任意視圖下執行網絡連通性測試命令操作命令說明檢查網絡中的指定地址是否可達命令參數（1）：支持4協議。：指定回顯請求報文中的源地址。該地址必須是設備上已配置的合法地址。：指定發送回顯請求報文的數目，取值范圍為1～4294967295，缺省值為5。：將長度大于接口的報文直接丟棄，即不允許對發送的回顯請求報文進行分片。：指定回顯請求報文中的值，取值范圍為1～255，缺省值為255。：指定發送報文的接口的類型和編號。在指定出接口的情況下，只能直連網段地址。：指定發送回顯請求報文的時間間隔，取值范圍為1～65535，單位為毫秒，缺省值為200毫秒。－如果在時間內收到目的主機的響應報文，則下次回顯請求報文的發送時間間隔為報文的實際響應時間與之和；－如果在時間內沒有收到目的主機的響應報文，則下次回顯請求報文的發送時間間隔為與之和。：不進行域名解析。缺省情況下，系統將對進行域名解析。命令參數（1）：支持4協議。命令參數：指定回顯請求報文的填充字節，格式為16進制。比如將“”設置為，則報文將被全部填充為。缺省情況下，填充的字節從0x01開始，逐漸遞增，直到0x09，然后又從0x01開始循環填充。：除統計信息外，不顯示其它詳細信息。缺省情況下，系統將顯示包括統計信息在內的全部信息。：記錄路由。缺省情況下，系統不記錄路由。：指定發送的回顯請求報文的長度（不包括和報文頭），取值范圍為20～8100，單位為字節，缺省值為56字節。：指定回顯應答報文的超時時間，取值范圍為1～65535，單位為毫秒，缺省值為2000毫秒。：指定回顯請求報文中的（，服務類型）域的值，取值范圍為0～255，缺省值為0。：顯示接收到的非回顯應答的報文。缺省情況下，系統不顯示非回顯應答的報文。：指定的實例名稱，是一個長度為1～31個字符的字符串，不區分大小寫。：目的設備的地址或主機名（主機名為1～20個字符的字符串）。命令參數：指定回顯請求報文的填充字節，格式為16進制。比如命令用來檢查指定地址是否可達，并輸出相應的統計信息。[H3C]11.1.1.111.1.1.1:56,11.1.1.1:560255=3111.1.1.1:561255=3111.1.1.1:562255=3211.1.1.1:563255=3111.1.1.1:564255=3111.1.1.1550.00%=31/31/32命令用來檢查指定地址是否可達，并輸出相應的統計信息。命令參數：指明報文的源地址。該地址必須是設備上已配置的合法地址。：指定一個初始，即第一個報文所允許的跳數。取值范圍為1～255，且小于最大，缺省值為1。：指定一個最大，即一個報文所允許的最大跳數。取值范圍為1～255，且大于初始，缺省值為30。：指明目的設備的端口號，取值范圍為1～65535，缺省值為33434。用戶一般不需要更改此選項。：指明每次發送的探測報文個數，取值范圍為1～65535，缺省值為3。：指定的實例名稱，是一個長度為1～31個字符的字符串。：指定等待探測報文響應的報文的超時時間，取值范圍是1～65535，單位為毫秒，缺省值為5000毫秒。：目的設備的地址或主機名（主機名是長度為1～20的字符串）。命令參數：指明報文的源地址。該地址必須是設備上已配置的合法命令用來查看4報文從當前設備傳到目的設備所經過的路徑。<>18.26.0.11518.26.0.115(18.26.0.115)30,40,1128.3.112.11010102128.32.210.11919193128.32.21632.136.231939395128.32.168.222039396128.32.197.459119397131.119.2.55959398129.140.70.138079999129.140.71.613913915910129.140.81.719918030011129.140.72.1730023923912***13128.121.54.7225949927914***15***16***17***1818.26.0.115339279279命令用來查看4報文從當前設備傳到目的設備所經過的路徑。（1）<>1/0/11/0/1:'2,0012990-2240,100100,,

9216:500:100%:100%

:1::::1（1）<>1/0/