華為交換機(jī)各種配置實(shí)例

交換機(jī)配置（一）端口限速基本配置

交換機(jī)配置（二）端口綁定基本配置

交換機(jī)配置（三）ACL基本配置

防止同網(wǎng)段ARP欺騙的ACL

交換機(jī)配置（四）密碼恢復(fù)交換機(jī)配置（五）三層交換配置交換機(jī)配置（六）端口鏡像配置交換機(jī)配置（七）DHCP配置交換機(jī)配置（八）配置文件管理交換機(jī)配置（九）遠(yuǎn)程管理配置交換機(jī)配置（十）STP配置交換機(jī)配置（十一）私有VLAN配置

交換機(jī)配置（十二）端口trunk、hybrid應(yīng)用配置華為3Com2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列：華為交換機(jī)端口限速2000_EI系列以上的交換機(jī)都可以限速！限速不同的交換機(jī)限速的方式不一樣！2000_EI直接在端口視圖下面輸入LINE-RATE（4參數(shù)可選！端口限速配置1功能需求及組網(wǎng)說明端口限速配置『配置環(huán)境參數(shù)』1.PC1和PC2的IP地址分別為/24、/24『組網(wǎng)需求』1.在SwitchA上配置端口限速，將PC1的下載速率限制在3Mbps，同時(shí)將PC1的上傳速率限制在1Mbps2數(shù)據(jù)配置步驟『S2000EI系列交換機(jī)端口限速配置流程』使用以太網(wǎng)物理端口下面的line-rate命令，來對該端口的出、入報(bào)文進(jìn)行流量限速?！維witchA相關(guān)配置】進(jìn)入端口E0/1的配置視圖[SwitchA]interfaceEthernet0/1對端口E0/1的出方向報(bào)文進(jìn)行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateoutbound30對端口E0/1的入方向報(bào)文進(jìn)行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]line-rateinbound16【補(bǔ)充說明】報(bào)文速率限制級(jí)別取值為1?127。如果速率限制級(jí)別取值在1?28范圍內(nèi)，則速率限制的粒度為64Kbps，這種情況下，當(dāng)設(shè)置的級(jí)別為N，則端口上限制的速率大小為N*64K；如果速率限制級(jí)別取值在29?127范圍內(nèi)，貝0速率限制的粒度為1Mbps，這種情況下，當(dāng)設(shè)置的級(jí)別為N，則端口上限制的速率大小為（N-27）*1Mbps。此系列交換機(jī)的具體型號(hào)包括：S2008-EI、S2016-EI和S2403H-EI?！篠2000-SI和S3000-SI系列交換機(jī)端口限速配置流程』使用以太網(wǎng)物理端口下面的line-rate命令，來對該端口的出、入報(bào)文進(jìn)行流量限速?！維witchA相關(guān)配置】進(jìn)入端口E0/1的配置視圖[SwitchA]interfaceEthernet0/1對端口E0/1的出方向報(bào)文進(jìn)行流量限速，限制到6Mbps[SwitchA-Ethernet0/1]line-rateoutbound2對端口E0/1的入方向報(bào)文進(jìn)行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateinbound1【補(bǔ)充說明】對端口發(fā)送或接收報(bào)文限制的總速率，這里以8個(gè)級(jí)別來表示，取值范圍為1?8,含義為：端口工作在10M速率時(shí)，1?8分別表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率時(shí)，1?8分別表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。此系列交換機(jī)的具體型號(hào)包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。『S3026E、S3526E、S3050、S5012、S5024系列交換機(jī)端口限速配置流程』使用以太網(wǎng)物理端口下面的line-rate命令，對該端口的出方向報(bào)文進(jìn)行流量限速；結(jié)合acl，使用以太網(wǎng)物理端口下面的traffic-limit命令，對端口的入方向報(bào)文進(jìn)行流量限速。【SwitchA相關(guān)配置】進(jìn)入端口E0/1的配置視圖[SwitchA]interfaceEthernet0/1對端口E0/1的出方向報(bào)文進(jìn)行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rate3配置acl，定義符合速率限制的數(shù)據(jù)流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany對端口E0/1的入方向報(bào)文進(jìn)行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceeddrop【補(bǔ)充說明】line-rate命令直接對端口的所有出方向數(shù)據(jù)報(bào)文進(jìn)行流量限制，而traffic-limit命令必須結(jié)合acl使用，對匹配了指定訪問控制列表規(guī)則的數(shù)據(jù)報(bào)文進(jìn)行流量限制。在配置acl的時(shí)候，也可以通過配置三層訪問規(guī)則，來對指定的源或目的網(wǎng)段報(bào)文，進(jìn)行端口的入方向數(shù)據(jù)報(bào)文進(jìn)行流量限制。端口出入方向限速的粒度為1Mbps。此系列交換機(jī)的具體型號(hào)包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G?！篠3528、S3552系列交換機(jī)端口限速配置流程』使用以太網(wǎng)物理端口下面的traffic-shape和traffic-limit命令，分別來對該端口的出、入報(bào)文進(jìn)行流量限速?！維witchA相關(guān)配置】進(jìn)入端口E0/1的配置視圖[SwitchA]interfaceEthernet0/1對端口E0/1的出方向報(bào)文進(jìn)行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]traffic-shape32503250配置acl，定義符合速率限制的數(shù)據(jù)流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany4,對端口E0/1的入方向報(bào)文進(jìn)行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceeddrop【補(bǔ)充說明】此系列交換機(jī)的具體型號(hào)包括：S3528G/P和S3552G/P/F。『S3900系列交換機(jī)端口限速配置流程』使用以太網(wǎng)物理端口下面的line-rate命令，對該端口的出方向報(bào)文進(jìn)行流量限速；結(jié)合acl，使用以太網(wǎng)物理端口下面的traffic-limit命令，對匹配指定訪問控制列表規(guī)則的端口入方向數(shù)據(jù)報(bào)文進(jìn)行流量限制?！維witchA相關(guān)配置】進(jìn)入端口E1/0/1的配置視圖[SwitchA]interfaceEthernet1/0/1對端口E0/1的出方向報(bào)文進(jìn)行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate3000配置acl，定義符合速率限制的數(shù)據(jù)流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany對端口E0/1的入方向報(bào)文進(jìn)行流量限速，限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【補(bǔ)充說明】line-rate命令直接對端口的所有出方向數(shù)據(jù)報(bào)文進(jìn)行流量限制，而traffic-limit命令必須結(jié)合acl使用，對匹配了指定訪問控制列表規(guī)則的數(shù)據(jù)報(bào)文進(jìn)行流量限制。在配置acl的時(shí)候，也可以通過配置三層訪問規(guī)則，來對指定的源或目的網(wǎng)段報(bào)文，進(jìn)行端口的入方向數(shù)據(jù)報(bào)文進(jìn)行流量限制。端口出入方向限速的粒度為64Kbps。此系列交換機(jī)的具體型號(hào)包括：S3924、S3928P/F/TP和S3952P?！篠5600系列交換機(jī)端口限速配置流程』使用以太網(wǎng)物理端口下面的line-rate命令，對該端口的出方向報(bào)文進(jìn)行流量限速；結(jié)合acl，使用以太網(wǎng)物理端口下面的traffic-limit命令，對匹配指定訪問控制列表規(guī)則的端口入方向數(shù)據(jù)報(bào)文進(jìn)行流量限制?！維witchA相關(guān)配置】進(jìn)入端口E1/0/1的配置視圖[SwitchA]interfaceEthernet1/0/1對端口E0/1的出方向報(bào)文進(jìn)行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate3000配置acl，定義符合速率限制的數(shù)據(jù)流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany對端口E0/1的入方向報(bào)文進(jìn)行流量限速，限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【補(bǔ)充說明】line-rate命令直接對端口的所有出方向數(shù)據(jù)報(bào)文進(jìn)行流量限制，而traffic-limit命令必須結(jié)合acl使用，對匹配了指定訪問控制列表規(guī)則的數(shù)據(jù)報(bào)文進(jìn)行流量限制。在配置acl的時(shí)候，也可以通過配置三層訪問規(guī)則，來對指定的源或目的網(wǎng)段報(bào)文，進(jìn)行端口的入方向數(shù)據(jù)報(bào)文進(jìn)行流量限制。端口出入方向限速的粒度為64Kbps。此系列交換機(jī)的具體型號(hào)包括：S5624P/F和S5648P。交換機(jī)配置（二）端口綁定基本配置1，端口+MACa）AM命令使用特殊的AMUser-bind命令，來完成MAC地址與端口之間的綁定。例如：[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置說明：由于使用了端口參數(shù)，則會(huì)以端口為參照物，即此時(shí)端口E0/1只允許PC1上網(wǎng)，而使用其他未綁定的MAC地址的PC機(jī)則無法上網(wǎng)。但是PC1使用該MAC地址可以在其他端口上網(wǎng)。b）mac-address命令使用mac-addressstatic命令，來完成MAC地址與端口之間的綁定。例如：[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1[SwitchA]mac-addressmax-mac-count0配置說明：由于使用了端口學(xué)習(xí)功能，故靜態(tài)綁定mac后，需再設(shè)置該端口mac學(xué)習(xí)數(shù)為0，使其他PC接入此端口后其mac地址無法被學(xué)習(xí)。2，IP+MACa）AM命令使用特殊的AMUser-bind命令，來完成IP地址與MAC地址之間的綁定。例如：[SwitchA]amuser-bindip-addressmac-address00e0-fc22-f8d3配置說明：以上配置完成對PC機(jī)的IP地址和MAC地址的全局綁定，即與綁定的IP地址或者M(jìn)AC地址不同的PC機(jī)，在任何端口都無法上網(wǎng)。支持型號(hào)：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb）arp命令使用特殊的arpstatic命令，來完成IP地址與MAC地址之間的綁定。例如：[SwitchA]arpstatic00e0-fc22-f8d3配置說明：以上配置完成對PC機(jī)的IP地址和MAC地址的全局綁定。3，端口+IP+MAC使用特殊的AMUser-bind命令，來完成IP、MAC地址與端口之間的綁定。例如：[SwitchA]amuser-bindip-addressmac-address00e0-fc22-f8d3interfaceEthernet0/1配置說明：可以完成將PC1的IP地址、MAC地址與端口E0/1之間的綁定功能。由于使用了端口參數(shù)，則會(huì)以端口為參照物，即此時(shí)端口E0/1只允許PC1上網(wǎng)，而使用其他未綁定的IP地址、MAC地址的PC機(jī)則無法上網(wǎng)。但是PC1使用該IP地址和MAC地址可以在其他端口上網(wǎng)。支持型號(hào)：S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、S6500（3代引擎）交換機(jī)配置（三）ACL基本配置1，二層ACL.組網(wǎng)需求：通過二層訪問控制列表，實(shí)現(xiàn)在每天8:00?18:00時(shí)間段內(nèi)對源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303報(bào)文的過濾。該主機(jī)從GigabitEthernet0/1接入。.配置步驟：⑴定義時(shí)間段#定義8:00至18:00的周期時(shí)間段。[Quidway]time-rangehuawei8:00to18:00daily(2)定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的ACL#進(jìn)入基于名字的二層訪問控制列表視圖，命名為traffic-of-linko[Quidway]aclnametraffic-of-linklink#定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的流分類規(guī)則。[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei⑶激活A(yù)CLo將traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link2,三層ACL基本訪問控制列表配置案例.組網(wǎng)需求：通過基本訪問控制列表，實(shí)現(xiàn)在每天8:00?18:00時(shí)間段內(nèi)對源IP為主機(jī)發(fā)出報(bào)文的過濾。該主機(jī)從GigabitEthernet0/1接入。.配置步驟:定義時(shí)間段#定義8:00至18:00的周期時(shí)間段。[Quidway]time-rangehuawei8:00to18:00daily定義源IP為的ACL#進(jìn)入基于名字的基本訪問控制列表視圖，命名為traffic-of-hosto[Quidway]aclnametraffic-of-hostbasic#定義源IP為的訪問規(guī)則。[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-rangehuawei⑶激活A(yù)CLo將traffic-of-host的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-host高級(jí)訪問控制列表配置案例.組網(wǎng)需求:公司企業(yè)網(wǎng)通過Switch的端口實(shí)現(xiàn)各部門之間的互連。研發(fā)部門的由GigabitEthernet0/1端口接入，工資查詢服務(wù)器的地址為o要求正確配置ACL，限制研發(fā)部門在上班時(shí)間8:00至18:00訪問工資服務(wù)器。.配置步驟:定義時(shí)間段#定義8:00至18:00的周期時(shí)間段。[Quidway]time-rangehuawei8:00to18:00working-day定義到工資服務(wù)器的ACL#進(jìn)入基于名字的高級(jí)訪問控制列表視圖，命名為traffic-of-payserver。[Quidway]aclnametraffic-of-payserveradvanced定義研發(fā)部門到工資服務(wù)器的訪問規(guī)則。[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestinationtime-rangehuawei⑶激活A(yù)CL。#將traffic-of-payserver的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver3,常見病毒的ACL創(chuàng)建aclaclnumber100禁pingruledenyicmpsourceanydestinationany用于控制Blaster蠕蟲的傳播ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444用于控制沖擊波病毒的掃描和攻擊ruledenytcpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteqnetbios-nsruledenyudpsourceanydestinationanydestination-porteqnetbios-dgmruledenytcpsourceanydestinationanydestination-porteq139ruledenyudpsourceanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振蕩波的掃描和攻擊ruledenytcpsourceanydestinationanydestination-porteq445ruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制Worm_MSBlast.A蠕蟲的傳播ruledenyudpsourceanydestinationanydestination-porteq1434下面的不出名的病毒端口號(hào)（可以不作）ruledenytcpsourceanydestinationanydestination-porteq1068ruledenytcpsourceanydestinationanydestination-porteq5800ruledenytcpsourceanydestinationanydestination-porteq5900ruledenytcpsourceanydestinationanydestination-porteq10080ruledenytcpsourceanydestinationanydestination-porteq455ruledenyudpsourceanydestinationanydestination-porteq455ruledenytcpsourceanydestinationanydestination-porteq3208ruledenytcpsourceanydestinationanydestination-porteq1871ruledenytcpsourceanydestinationanydestination-porteq4510ruledenyudpsourceanydestinationanydestination-porteq4334ruledenytcpsourceanydestinationanydestination-porteq4331ruledenytcpsourceanydestinationanydestination-porteq4557然后下發(fā)配置packet-filterip-group100目的:針對目前網(wǎng)上出現(xiàn)的問題，對目的是端口號(hào)為1434的UDP報(bào)文進(jìn)行過濾的配置方法，詳細(xì)和復(fù)雜的配置請看配置手冊。NE80的配置：NE80(config)#rule-mapr1udpanyanyeq1434//r1為role-map的名字，udp為關(guān)鍵字，anyany所有源、目的IP，eq為等于，1434為udp端口號(hào)NE80(config)#acla1r1deny//a1為acl的名字，r1為要綁定的rule-map的名字，NE80(config-if-Ethernet1/0/0)#access-groupacla1//在1/0/0接口上綁定acl，acl為關(guān)鍵字，a1為acl的名字NE16的配置：NE16-4(config)#firewallenableall〃首先啟動(dòng)防火墻NE16-4(config)#access-list101denyudpanyanyeq1434//deny為禁止的關(guān)鍵字，針對udp報(bào)文，anyany為所有源、目的IP，eq為等于，1434為udp端口號(hào)NE16-4(config-if-Ethernet2/2/0)#ipaccess-group101in//在接口上啟用access-list，in表示進(jìn)來的報(bào)文，也可以用out表示出去的報(bào)文中低端路由器的配置[Router]firewallenable[Router]acl101[Router-acl-101]ruledenyudpsourceanydestionanydestination-porteq1434[Router-Ethernet0]firewallpacket-filter101inbound6506產(chǎn)品的配置：舊命令行配置如下：6506(config)#aclextendedaaadenyprotocoludpanyanyeq14346506(config-if-Ethernet5/0/1)#access-groupaaa國際化新命令行配置如下：[Quidway]aclnumber100[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway-acl-adv-100]quit[Quidway]interfaceethernet5/0/1[Quidway-Ethernet5/0/1]packet-filterinboundip-group100not-care-for-interface5516產(chǎn)品的配置：舊命令行配置如下：5516(config)#rule-mapl3aaaprotocol-typeudpingressanyegressanyeq14345516(config)#flow-actionfffdeny5516(config)#aclbbbaaafff5516(config)#access-groupbbb國際化新命令行配置如下：[Quidway]aclnum100[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway]packet-filterip-group1003526產(chǎn)品的配置：舊命令行配置如下：rule-mapl3req1434flow-actionf1denyaclacl1r1f1access-groupacl1國際化新命令配置如下：aclnumber100rule0denyudpsource0source-porteq1434destination0packet-filterip-group101rule0注：3526產(chǎn)品只能配置外網(wǎng)對內(nèi)網(wǎng)的過濾規(guī)則，其中是內(nèi)網(wǎng)的地址段。8016產(chǎn)品的配置：舊命令行配置如下：8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#aclbbbaaadeny8016(config)#access-groupaclbbbvlan10portall國際化新命令行配置如下：8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#eaclbbbaaadeny8016(config)#access-groupeaclbbbvlan10portall防止同網(wǎng)段ARP欺騙的ACL一、組網(wǎng)需求：二層交換機(jī)阻止網(wǎng)絡(luò)用戶仿冒網(wǎng)關(guān)IP的ARP攻擊二、組網(wǎng)圖：圖1二層交換機(jī)防ARP攻擊組網(wǎng)S3552P是三層設(shè)備，其中IP：是所有PC的網(wǎng)關(guān)，S3552P上的網(wǎng)關(guān)MAC地址為000f-e200-3999。PC-B上裝有ARP攻擊軟件?，F(xiàn)在需要對S3026C_A進(jìn)行一些特殊配置，目的是過濾掉仿冒網(wǎng)關(guān)IP的ARP報(bào)文。

三、配置步驟對于二層交換機(jī)如S3026C等支持用戶自定義ACL（number為5000到5999）的交換機(jī)，可以配置ACL來進(jìn)行ARP報(bào)文過濾。全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP報(bào)文aclnum5000rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34其中rule0把整個(gè)S3026C_A的端口冒充網(wǎng)關(guān)的ARP報(bào)文禁掉，其中斜體部分64010101是網(wǎng)關(guān)IP地址的16進(jìn)制表示形式。Rule1允許通過網(wǎng)關(guān)發(fā)送的ARP報(bào)文，斜體部分為網(wǎng)關(guān)的mac地址000f-e200-3999。注意：配置Rule時(shí)的配置順序，上述配置為先下發(fā)后生效的情況。在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則：[S3026C-A]packet-filteruser-group5000這樣只有S3026C_A上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報(bào)文，其它主機(jī)都不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報(bào)文。三層交換機(jī)實(shí)現(xiàn)仿冒網(wǎng)關(guān)的ARP防攻擊一、組網(wǎng)需求：1.三層交換機(jī)實(shí)現(xiàn)防止同網(wǎng)段的用戶仿冒網(wǎng)關(guān)IP的ARP攻擊、組網(wǎng)圖S3552S3526EB黑24圖2三層交換機(jī)防ARP攻擊組網(wǎng)三、配置步驟對于三層設(shè)備，需要配置過濾源IP是網(wǎng)關(guān)的ARP報(bào)文的ACL規(guī)則，配置如下ACL規(guī)則：B黑24aclnumber5000rule0deny0806ffff2464010105ffffffff40rule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報(bào)文，其中斜體部分64010105是網(wǎng)關(guān)IP地址的16進(jìn)制表示形式。下發(fā)ACL到全局[S3526E]packet-filteruser-group5000仿冒他人IP的ARP防攻擊一、組網(wǎng)需求：作為網(wǎng)關(guān)的設(shè)備有可能會(huì)出現(xiàn)錯(cuò)誤ARP的表項(xiàng)，因此在網(wǎng)關(guān)設(shè)備上還需對用戶仿冒他人IP的ARP攻擊報(bào)文進(jìn)行過濾。二、組網(wǎng)圖：參見圖1和圖2三、配置步驟：如圖1所示，當(dāng)PC-B發(fā)送源IP地址為PC-D的arpreply攻擊報(bào)文，源mac是PC-B的mac（000d-88f8-09fa），源ip是PC-D的ip（），目的ip和mac是網(wǎng)關(guān)（3552P）的，這樣3552上就會(huì)學(xué)習(xí)到錯(cuò)誤的arp，如下所示：錯(cuò)誤arp表項(xiàng)IPAddressMACAddressVLANIDPortNameAgingType000d-88f8-09fa1Ethernet0/220Dynamic000f-3d81-45b41Ethernet0/220Dynamic從網(wǎng)絡(luò)連接可以知道PC-D的arp表項(xiàng)應(yīng)該學(xué)習(xí)到端口E0/8上，而不應(yīng)該學(xué)習(xí)到E0/2端口上。但實(shí)際上交換機(jī)上學(xué)習(xí)到該ARP表項(xiàng)在E0/2。上述現(xiàn)象可以在S3552上配置靜態(tài)ARP實(shí)現(xiàn)防攻擊：arpstatic000f-3d81-45b41e0/8在圖2S3526C上也可以配置靜態(tài)ARP來防止設(shè)備學(xué)習(xí)到錯(cuò)誤的ARP表項(xiàng)。對于二層設(shè)備（S3050C和S3026E系列），除了可以配置靜態(tài)ARP外，還可以配置IP+MAC+port綁定，比如在S3026C端口E0/4上做如下操作：amuser-bindip-addrmac-addr000d-88f8-09fainte0/4則IP為并且MAC為000d-88f8-09fa的ARP報(bào)文可以通過E0/4端口，仿冒其它設(shè)備的ARP報(bào)文則無法通過，從而不會(huì)出現(xiàn)錯(cuò)誤ARP表項(xiàng)。四、配置關(guān)鍵點(diǎn)：此處僅僅列舉了部分QuidwayS系列以太網(wǎng)交換機(jī)的應(yīng)用。在實(shí)際的網(wǎng)絡(luò)應(yīng)用中，請根據(jù)配置手冊確認(rèn)該產(chǎn)品是否支持用戶自定義ACL和地址綁定。僅僅具有上述功能的交換機(jī)才能防止ARP欺騙。5,關(guān)于ACL規(guī)則匹配的說明a）ACL直接下發(fā)到硬件中的情況交換機(jī)中ACL可以直接下發(fā)到交換機(jī)的硬件中用于數(shù)據(jù)轉(zhuǎn)發(fā)過程中的過濾和流分類。此時(shí)一條ACL中多個(gè)子規(guī)則的匹配順序是由交換機(jī)的硬件決定的，用戶即使在定義ACL時(shí)配置了匹配順序也不起作用。ACL直接下發(fā)到硬件的情況包括：交換機(jī)實(shí)現(xiàn)QoS功能時(shí)引用ACL、硬件轉(zhuǎn)發(fā)時(shí)通過ACL過濾轉(zhuǎn)發(fā)數(shù)據(jù)等。b）ACL被上層模塊引用的情況交換機(jī)也使用ACL來對由軟件處理的報(bào)文進(jìn)行過濾和流分類。此時(shí)ACL子規(guī)則的匹配順序有兩種：config（指定匹配該規(guī)則時(shí)按用戶的配置順序）和auto（指定匹配該規(guī)則時(shí)系統(tǒng)自動(dòng)排序，即按“深度優(yōu)先”的順序）。這種情況下用戶可以在定義ACL的時(shí)候指定一條ACL中多個(gè)子規(guī)則的匹配順序。用戶一旦指定某一條訪問控制列表的匹配順序，就不能再更改該順序。只有把該列表中所有的規(guī)則全部刪除后，才能重新指定其匹配順序。ACL被軟件引用的情況包括：路由策略引用ACL、對登錄用戶進(jìn)行控制時(shí)引用ACL等。交換機(jī)配置（四）密碼恢復(fù)說明：以下方法將刪除原有config文件，使設(shè)備恢復(fù)到出廠配置。在設(shè)備重啟時(shí)按Ctrl+B進(jìn)入BOOTMENU之后，PressCtrl-BtoenterBootMenu...5

Password:缺省為空，回車即可DownloadapplicationfiletoflashSelectapplicationfiletobootDisplayallfilesinflashDeletefilefromFlashModifybootrompassword0.Reboot選擇4FileSize(bytes)Enteryourchoice(0-5):4No.FileName選擇4FileSize(bytes)1S3026CGSSI.btm2572242wnm2.2.2-0005.zip4478273snmpboots44*R0023P01.app29856915hostkey4286serverkey5727vrpcfg.txt1281FreeSpace:3452928bytesThecurrentapplicationfileisR0023P01.appPleaseinputthefilenumbertodelete:7選擇7,刪除當(dāng)前的配置文件Doyouwanttodeletevrpcfg.txtnow?YesorNo(Y/N)yDeletefiledone!BOOTMENUDownloadapplicationfiletoflashSelectapplicationfiletobootDisplayallfilesinflashDeletefilefromFlashModifybootrompassword0.RebootEnteryourchoice(0-5):0選擇0,重啟設(shè)備注：刪除之后交換機(jī)就恢復(fù)了出廠配置。交換機(jī)配置(五)三層交換配置1，三層交換數(shù)據(jù)包轉(zhuǎn)發(fā)流程圖：三層交換技術(shù)數(shù)據(jù)包轉(zhuǎn)發(fā)流程圖一制作A已知B的IP地址，向B發(fā)數(shù)據(jù)包得到MACA已知B的IP地址，向B發(fā)數(shù)據(jù)包得到MAC地址三層交換模塊得到一個(gè)MAC保存并轉(zhuǎn)發(fā)給A注:當(dāng)?shù)诙位虻贜次A在轉(zhuǎn)發(fā)給不在同一網(wǎng)段的B,這時(shí)A已經(jīng)知道了B的MAC就直接進(jìn)行轉(zhuǎn)發(fā),無須經(jīng)過三層交換模塊,這樣不同網(wǎng)段之間的三層數(shù)據(jù)包的保存MAC并用此等發(fā)塑整一個(gè)網(wǎng)段P大大提高項(xiàng)岬贏MAC封包轉(zhuǎn)發(fā)給B度。請大家批評指正mHenre—-20。藻宗侮夢想三層交換模塊向目的地發(fā)送一個(gè)ARP廣播一個(gè)ARP請求三層交換機(jī)配置實(shí)例:服務(wù)器1雙網(wǎng)卡，內(nèi)網(wǎng)IP:,其它計(jì)算機(jī)通過其代理上網(wǎng)PORT1屬于VLAN1PORT2屬于VLAN2PORT3屬于VLAN3VLAN1的機(jī)器可以正常上網(wǎng)配置VLAN2的計(jì)算機(jī)的網(wǎng)關(guān)為：54配置VLAN3的計(jì)算機(jī)的網(wǎng)關(guān)為：54即可實(shí)現(xiàn)VLAN間互聯(lián)如果VLAN2和VLAN3的計(jì)算機(jī)要通過服務(wù)器1上網(wǎng)則需在三層交換機(jī)上配置默認(rèn)路由系統(tǒng)視圖下：iproute-static然后再在服務(wù)器1上配置回程路由進(jìn)入命令提示符routeadd54routeadd54這個(gè)時(shí)候vlan2和vlan3中的計(jì)算機(jī)就可以通過服務(wù)器1訪問internet了~~3，三層交換機(jī)VLAN之間的通信VLAN的劃分應(yīng)與IP規(guī)劃結(jié)合起來，使得一個(gè)VLAN接口IP就是對應(yīng)的子網(wǎng)段就是某個(gè)部門的子網(wǎng)段，VLAN接口IP就是一個(gè)子網(wǎng)關(guān)。VLAN應(yīng)以部門劃分，相同部門的主機(jī)IP以VLAN接口IP為依據(jù)劃歸在一個(gè)子網(wǎng)范圍，同屬于一個(gè)VLAN。這樣不僅在安全上有益，而且更方便網(wǎng)絡(luò)管理員的管理和監(jiān)控。注意：各VLAN中的客戶機(jī)的網(wǎng)關(guān)分別對應(yīng)各VLAN的接口IP。在這企業(yè)網(wǎng)中計(jì)劃規(guī)劃四個(gè)VLAN子網(wǎng)對應(yīng)著四個(gè)重要部門，筆者認(rèn)為這也是小企業(yè)最普遍的部門結(jié)構(gòu)，分別是：VLAN10——綜合行政辦公室；VLAN20——銷售部；VLAN30——財(cái)務(wù)部；VLAN40——數(shù)據(jù)中心（網(wǎng)絡(luò)中心）。劃分VLAN以后，要為每一個(gè)VLAN配一個(gè)“虛擬接口IP地址”。VLAN10——VLAN20——VLAN30——VLAN40——拓樸圖如下：VLAN及路由配置DES-3326SR三層交換機(jī)的VLAN的配置過程：（1）創(chuàng)建VLANDES-3326SR#Configvlandefaultdelete1-24口刪除默認(rèn)VLAN（default）包含的端口1-24”DES-3326SR#Createvlanvlan10tag10口創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為10DES-3326SR#Createvlanvlan20tag20□創(chuàng)建VLAN名為vlan20，并標(biāo)記VID為20DES-3326SR#Createvlanvlan30tag30□創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為30DES-3326SR#Createvlanvlan40tag40□創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為40（2）添加端口到各VLANDES-3326SR#Configvlanvlan10adduntag1-6口把端口1-6添加到VLAN10DES-3326SR#Configvlanvlan20adduntag7-12口把端口1-6添加到VLAN20DES-3326SR#Configvlanvlan30adduntag13-18口把端口1-6添加到VLAN30DES-3326SR#Configvlanvlan40adduntag19-24口把端口1-6添加到VLAN40（3）創(chuàng)建VLAN接口IPDES-3326SR#Createipifif10/24VLAN10stateenabled□創(chuàng)建慮擬的接口if10給名為VLAN10的VLAN子網(wǎng)，并且指定該接口的IP為/24。創(chuàng)建后enabled激活該接口。同樣方法設(shè)置其它的接口IP：DES-3326SR#Createipifif20/24VLAN20stateenabledDES-3326SR#Createipifif30/24VLAN30stateenabledDES-3326SR#Createipifif40/24VLAN40stateenabled（4）路由當(dāng)配置三層交換機(jī)的三層功能時(shí)，如果只是單臺(tái)三層交換機(jī)，只需要配置各VLAN的虛擬接口就行，不再配路由選擇協(xié)議。因?yàn)橐慌_(tái)三層交換機(jī)上的虛擬接口會(huì)在交換機(jī)里以直接路由的身份出現(xiàn)，因此不需要靜態(tài)路由或動(dòng)態(tài)路由協(xié)議的配置。DES-3226S二層交換機(jī)的VLAN的配置過程：（1）創(chuàng)建VLANDES-3226S#Configvlandefaultdelete1-24口刪除默認(rèn)VLAN（default）包含的端口1-24”DES-3226S#Createvlanvlan10tag10口創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為10（2）添加端口到各VLANDES-3226S#Configvlanvlan10adduntag1-24口把端口1-24添加到VLAN10同理，配置其它DES-3226S二層交換機(jī)。完成以后就可以將各個(gè)所屬VLAN的二層交換機(jī)與DES-3326SR三層交換機(jī)的相應(yīng)VLAN的端口連接即可。交換機(jī)配置（六）端口鏡像配置【3026等交換機(jī)鏡像】S2008/S2016/S2026/S2403H/S3026等交換機(jī)支持的都是基于端口的鏡像，有兩種方法：方法一配置鏡像（觀測）端口[SwitchA]monitor-porte0/8配置被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二可以一次性定義鏡像和被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8【8016交換機(jī)端口鏡像配置】假設(shè)8016交換機(jī)鏡像端口為E1/0/15，被鏡像端口為E1/0/0，設(shè)置端口1/0/15為端口鏡像的觀測端口。[SwitchA]portmonitorethernet1/0/15設(shè)置端口1/0/0為被鏡像端口，對其輸入輸出數(shù)據(jù)都進(jìn)行鏡像。[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15也可以通過兩個(gè)不同的端口，對輸入和輸出的數(shù)據(jù)分別鏡像設(shè)置E1/0/15和E2/0/0為鏡像（觀測）端口[SwitchA]portmonitorethernet1/0/15設(shè)置端口1/0/0為被鏡像端口，分別使用E1/0/15和E2/0/0對輸入和輸出數(shù)據(jù)進(jìn)行鏡像。[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0『基于流鏡像的數(shù)據(jù)流程』基于流鏡像的交換機(jī)針對某些流進(jìn)行鏡像，每個(gè)連接都有兩個(gè)方向的數(shù)據(jù)流，對于交換機(jī)來說這兩個(gè)數(shù)據(jù)流是要分開鏡像的?！?500/3026E/3026F/3050]〖基于三層流的鏡像〗定義一條擴(kuò)展訪問控制列表[SwitchA]aclnum101定義一條規(guī)則報(bào)文源地址為/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany定義一條規(guī)則報(bào)文源地址為所有源地址目的地址為/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination0將符合上述ACL規(guī)則的報(bào)文鏡像到E0/8端口[SwitchA]mirrored-toip-group101interfacee0/8〖基于二層流的鏡像〗定義一個(gè)ACL[SwitchA]aclnum200定義一個(gè)規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包[SwitchA]rule0permitingressinterfaceEthernet0/1（egressinterfaceany）定義一個(gè)規(guī)則從其它所有端口到E0/1端口的數(shù)據(jù)包[SwitchA]rule1permit（ingressinterfaceany）egressinterfaceEthernet0/1將符合上述ACL的數(shù)據(jù)包鏡像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516】支持對入端口流量進(jìn)行鏡像配置端口Ethernet3/0/1為監(jiān)測端口，對Ethernet3/0/2端口的入流量鏡像。[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1【6506/6503/6506R】目前該三款產(chǎn)品只支持對入端口流量進(jìn)行鏡像，雖然有outbount參數(shù)，但是無法配置。鏡像組名為1，監(jiān)測端口為Ethernet4/0/2，端口Ethernet4/0/1的入流量被鏡像。[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/2【補(bǔ)充說明】鏡像一般都可以實(shí)現(xiàn)高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口，反之則無法實(shí)現(xiàn)8016支持跨單板端口鏡像華為各種型號(hào)交換機(jī)端口鏡像配置方法總結(jié)有不少朋友在問華為交換機(jī)鏡像方面的問題。通過本人現(xiàn)有的資料和文檔，現(xiàn)把各種型號(hào)的交換機(jī)鏡像方法總結(jié)一下。以便各位朋友能夠方便查閱！在學(xué)配置之前，對于端口鏡像的基本概念還是要一定的了解！一、端口鏡像概念：PortMirror（端口鏡像）是用于進(jìn)行網(wǎng)絡(luò)性能監(jiān)測?？梢赃@樣理解：在端口A和端口B之間建立鏡像關(guān)系，這樣，通過端口A傳輸?shù)臄?shù)據(jù)將同時(shí)復(fù)制到端口B，以便于在端口B上連接的分析儀或者分析軟件進(jìn)行性能分析或故障判斷。二、端口鏡像配置『環(huán)境配置參數(shù)』PC1接在交換機(jī)E0/1端口，IP地址/24PC2接在交換機(jī)E0/2端口，IP地址/24E0/24為交換機(jī)上行端口Server接在交換機(jī)E0/8端口，該端口作為鏡像端口『組網(wǎng)需求』通過交換機(jī)端口鏡像的功能使用server對兩臺(tái)pc的業(yè)務(wù)報(bào)文進(jìn)行監(jiān)控。按照鏡像的不同方式進(jìn)行配置：1）基于端口的鏡像2）基于流的鏡像2數(shù)據(jù)配置步驟『端口鏡像的數(shù)據(jù)流程』基于端口的鏡像是把被鏡像端口的進(jìn)出數(shù)據(jù)報(bào)文完全拷貝一份到鏡像端口，這樣來進(jìn)行流量觀測或者故障定位?！?026等交換機(jī)鏡像】S2008/S2016/S2026/S2403H/S3026等交換機(jī)支持的都是基于端口的鏡像，有兩種方法：方法一配置鏡像（觀測）端口[SwitchA]monitor-porte0/8配置被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二可以一次性定義鏡像和被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8【8016交換機(jī)端口鏡像配置】假設(shè)8016交換機(jī)鏡像端口為E1/0/15，被鏡像端口為E1/0/0，設(shè)置端口1/0/15為端口鏡像的觀測端口。[SwitchA]portmonitorethernet1/0/15設(shè)置端口1/0/0為被鏡像端口，對其輸入輸出數(shù)據(jù)都進(jìn)行鏡像。[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15也可以通過兩個(gè)不同的端口，對輸入和輸出的數(shù)據(jù)分別鏡像設(shè)置E1/0/15和E2/0/0為鏡像（觀測）端口[SwitchA]portmonitorethernet1/0/15設(shè)置端口1/0/0為被鏡像端口，分別使用E1/0/15和E2/0/0對輸入和輸出數(shù)據(jù)進(jìn)行鏡像。[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0『基于流鏡像的數(shù)據(jù)流程』基于流鏡像的交換機(jī)針對某些流進(jìn)行鏡像，每個(gè)連接都有兩個(gè)方向的數(shù)據(jù)流，對于交換機(jī)來說這兩個(gè)數(shù)據(jù)流是要分開鏡像的?！?500/3026E/3026F/3050】〖基于三層流的鏡像〗定義一條擴(kuò)展訪問控制列表[SwitchA]aclnum100定義一條規(guī)則報(bào)文源地址為/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany定義一條規(guī)則報(bào)文源地址為所有源地址目的地址為/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination0將符合上述ACL規(guī)則的報(bào)文鏡像到E0/8端口[SwitchA]mirrored-toip-group100interfacee0/8〖基于二層流的鏡像〗定義一個(gè)ACL[SwitchA]aclnum200定義一個(gè)規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包[SwitchA]rule0permitingressinterfaceEthernet0/1egressinterfaceEthernet0/2定義一個(gè)規(guī)則從其它所有端口到E0/1端口的數(shù)據(jù)包[SwitchA]rule1permitingressinterfaceEthernet0/2egressinterfaceEthernet0/1將符合上述ACL的數(shù)據(jù)包鏡像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516/6506/6503/6506R】目前該三款產(chǎn)品支持對入端口流量進(jìn)行鏡像定義鏡像端口[SwitchA]monitor-portEthernet3/0/2定義被鏡像端口[SwitchA]mirroring-portEthernet3/0/1inbound【補(bǔ)充說明】鏡像一般都可以實(shí)現(xiàn)高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口，反之則無法實(shí)現(xiàn)8016支持跨單板端口鏡像端口鏡像配置『環(huán)境配置參數(shù)』交換機(jī)配置（七）DHCP配置1，交換機(jī)作DHCPServer『配置環(huán)境參數(shù)』PC1、PC2的網(wǎng)卡均采用動(dòng)態(tài)獲取IP地址的方式PC1連接到交換機(jī)的以太網(wǎng)端口0/1，屬于VLAN10；PC2連接到交換機(jī)的以太網(wǎng)端口0/2，屬于VLAN20三層交換機(jī)SwitchA的VLAN接口10地址為/24，VLAN接口20地址為/24『組網(wǎng)需求』1.PC1可以動(dòng)態(tài)獲取/24網(wǎng)段地址，并且網(wǎng)關(guān)地址為；PC2可以動(dòng)態(tài)獲取/24網(wǎng)段地址，并且網(wǎng)關(guān)地址為『DHCPServer配置流程流程』可以完成對直接連接到三層交換機(jī)的PC機(jī)分配IP地址，也可以對通過DHCP中繼設(shè)備連接到三層交換機(jī)的PC機(jī)分配IP地址。分配地址的方式可以采用接口方式，或者全局地址池方式?！維witchA采用接口方式分配地址相關(guān)配置】創(chuàng)建（進(jìn)入）VLAN10[SwitchA]vlan10將E0/1加入到VLAN10[SwitchA-vlan10]portEthernet0/1創(chuàng)建（進(jìn)入）VLAN接口10[SwitchA]interfaceVlan-interface10為VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ipaddress在VLAN接口10上選擇接口方式分配IP地址[SwitchA-Vlan-interface10]dhcpselectinterface禁止將PC機(jī)的網(wǎng)關(guān)地址分配給用戶[SwitchA]dhcpserverforbidden-ip【SwitchA采用全局地址池方式分配地址相關(guān)配置】創(chuàng)建（進(jìn)入）VLAN10[SwitchA]vlan10將E0/1加入到VLAN10[SwitchA-vlan10]portEthernet0/1創(chuàng)建（進(jìn)入）VLAN接口10[SwitchA]interfaceVlan-interface10為VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ipaddress在VLAN接口10上選擇全局地址池方式分配IP地址[SwitchA-Vlan-interface10]dhcpselectglobal創(chuàng)建全局地址池，并命名為”vlan10”[SwitchA]dhcpserverip-poolvlan10配置vlan10地址池給用戶分配的地址范圍以及用戶的網(wǎng)關(guān)地址[SwitchA-dhcp-vlan10]networkmask[SwitchA-dhcp-vlan10]gateway-list禁止將PC機(jī)的網(wǎng)關(guān)地址分配給用戶[SwitchA]dhcpserverforbidden-ip【補(bǔ)充說明】以上配置以VLAN10的為例，VLAN20的配置參照VLAN10的配置即可。在采用全局地址池方式時(shí)，需新建一個(gè)與”vlan10”不同名的全局地址池。經(jīng)過以上配置，可以完成為PC1分配的IP地址為/24，同時(shí)PC1的網(wǎng)關(guān)地址為；為PC2分配的IP地址為/24，同時(shí)PC2的網(wǎng)關(guān)地址為。VLAN接口默認(rèn)情況下以全局地址池方式進(jìn)行地址分配，因此當(dāng)VLAN接口配置了以全局地址池方式進(jìn)行地址分配后，查看交換機(jī)當(dāng)前配置時(shí)，在相應(yīng)的VLAN接口下無法看到有關(guān)DHCP的配置。利用全局地址池方式，可以完成為用戶分配與三層交換機(jī)本身VLAN接口地址不同網(wǎng)段的IP地址。2，DHCPRelay配置『配置環(huán)境參數(shù)』DHCPServer的IP地址為0/24DHCPServer連接在交換機(jī)的G1/1端口，屬于vlan100，網(wǎng)關(guān)即交換機(jī)vlan接口100的地址/24E0/1-E0/10屬于vlan10，網(wǎng)段地址/24E0/11-E0/20屬于vlan20，網(wǎng)段地址/24『組網(wǎng)需求』在SwitchA上配置DHCPRelay使下面用戶動(dòng)態(tài)獲取指定的相應(yīng)網(wǎng)段的IP地址PC1、PC2均可以ping通自己的網(wǎng)關(guān)，同時(shí)PC1、PC2之間可以互訪『交換機(jī)DHCPRelay配置流程』DHCPRelay的作用則是為了適應(yīng)客戶端和服務(wù)器不在同一網(wǎng)段的情況，通過Relay，不同子網(wǎng)的用戶可以到同一個(gè)DHCPServer申請IP地址，這樣便于地址池的管理和維護(hù)。【SwitchA相關(guān)配置】全局使能DHCP功能（缺省情況下，DHCP功能處于使能狀態(tài)）[SwitchA]dhcpenable創(chuàng)建（進(jìn)入）VLAN100[SwitchA]vlan100將G1/1加入到VLAN100[SwitchA-vlan100]portGigabitEthernet1/1創(chuàng)建（進(jìn)入）VLAN接口100[SwitchA]interfaceVlan-interface100為VLAN接口100配置IP地址[SwitchA-Vlan-interface100]ipaddress創(chuàng)建（進(jìn)入）VLAN10[SwitchA]vlan10將E0/1-E0/10加入到VLAN10[SwitchA-vlan10]portEthernet0/1toEthernet0/10創(chuàng)建（進(jìn)入）VLAN接口10[SwitchA]interfaceVlan-interface10為VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ipaddress使能VLAN接口10的DHCP中繼功能[SwitchA-Vlan-interface10]dhcpselectrelay為VLAN接口10配置DHCP服務(wù)器的地址[SwitchA-Vlan-interface10]iprelayaddress0創(chuàng)建（進(jìn)入）VLAN20[SwitchA-vlan10]vlan20將E0/11-E0/20加入到VLAN20[SwitchA-vlan20]portEthernet0/11toEthernet0/20創(chuàng)建（進(jìn)入）VLAN接口20[SwitchA]interfaceVlan-interface20為VLAN接口20配置IP地址[SwitchA-Vlan-interface20]ipaddress使能VLAN接口20的DHCP中繼功能[SwitchA-Vlan-interface20]dhcpselectrelay為VLAN接口20配置DHCP服務(wù)器的地址[SwitchA-Vlan-interface20]iprelayaddress0【補(bǔ)充說明】也可以在全局配置模式下，使能某個(gè)或某些VLAN接口上的DHCP中繼功能，例如：[SwitchA]dhcpselectrelayinterfaceVlan-interface103，DHCPSnooping『配置環(huán)境參數(shù)』DHCPServer連接在交換機(jī)SwitchA的G1/1端口，屬于vlan10，IP地址為53/24端口E0/1和E0/2同屬于vlan10『組網(wǎng)需求』PC1、PC2均可以從指定DHCPServer獲取到IP地址防止其他非法的DHCPServer影響網(wǎng)絡(luò)中的主機(jī)『交換機(jī)DHCP-Snooping配置流程』當(dāng)交換機(jī)開啟了DHCP-Snooping后，會(huì)對DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCPRequest或DHCPAck報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCPOffer報(bào)文，而不信任端口會(huì)將接收到的DHCPOffer報(bào)文丟棄。這樣，可以完成交換機(jī)對假冒DHCPServer的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCPServer獲取IP地址?！維witchA相關(guān)配置】創(chuàng)建（進(jìn)入）VLAN10[SwitchA]vlan10將端口E0/1、E0/2和G1/1加入到VLAN10[SwitchA-vlan10]portEthernet0/1Ethernet0/2GigabitEthernet1/1全局使能dhcp-snooping功能[SwitchA]dhcp-snooping將端口G1/1配置為trust端口，[SwitchA-GigabitEthernet1/1]dhcp-snoopingtrust【補(bǔ)充說明】由于DHCP服務(wù)器提供給用戶包含了服務(wù)器分配給用戶的IP地址的報(bào)文一一”dhcpoffer”報(bào)文，由G1/1端口進(jìn)入SwitchA并進(jìn)行轉(zhuǎn)發(fā)，因此需要將端口G1/1配置為”trust”端口。如果SwitchA上行接口配置為Trunk端口，并且連接到DHCP中繼設(shè)備，也需要將上行端口配置為"trust”端口。交換機(jī)配置（八）配置文件管理（1）文件常用操作1，命令displaycurrent-configuration:查看以太網(wǎng)交換機(jī)的當(dāng)前配置2，命令displaysaved-configuration：查看以太網(wǎng)交換機(jī)的啟動(dòng)配置3，命令resetsaved-configuration:擦除FlashMemory中的配置文件，以太網(wǎng)交換機(jī)下次上電時(shí)，系統(tǒng)將采用缺省的配置參數(shù)進(jìn)行初始化。（2）FTP文件上傳與下載組網(wǎng)需求交換機(jī)作為FTPServer，遠(yuǎn)端的PC作為FTPClient。在FTPServer上作了如下配置：配置了一個(gè)FTP用戶名為switch，密碼為hello,對該用戶授權(quán)了交換機(jī)上Flash根目錄的讀寫權(quán)限。交換機(jī)上的一個(gè)VLAN接口的IP地址為，PC的IP地址為,交換機(jī)和PC之間路由可達(dá)。交換機(jī)的應(yīng)用程序switch.app保存在PC上。PC通過FTP向遠(yuǎn)端的交換機(jī)上傳switch.app，同時(shí)將交換機(jī)的配置文件vrpcfg.txt下載到PC實(shí)現(xiàn)配置文件的備份。組網(wǎng)圖（略）配置步驟1）交換機(jī)上的配置#用戶登錄到交換機(jī)上。（用戶可以在本地通過Console口登錄到交換機(jī)上，也可以通過telnet遠(yuǎn)程登錄到交換機(jī)上。各種登錄方式請參見入門模塊的描述。）#在交換機(jī)上開啟FTP服務(wù)，設(shè)置好用戶名、密碼和路徑：[Quidway]ftpserverenable[Quidway]local-userswitch[Quidway-luser-switch]service-typeftpftp-directoryflash:[Quidway-luser-switch]passwordsimplehello2）在PC上運(yùn)行FTPClient程序，同交換機(jī)建立FTP連接，同時(shí)通過上載操作把交換機(jī)的應(yīng)用程序switch.app上載到交換機(jī)的Flash根目錄下，同時(shí)從交換機(jī)上下載配置文件vrpcfg.txt（FTPClient應(yīng)用程序由用戶自己購買、安裝，Quidway系列交換機(jī)不附帶此軟件。注意：如果交換機(jī)的Flashmemory空間不夠大，請刪除Flash中原有的應(yīng)用程序然后再上載新的應(yīng)用程序到交換機(jī)Flash中。3）在上載完畢后，用戶在交換機(jī)上進(jìn)行升級(jí)操作。#用戶可以通過命令bootboot-loader來指定下載的程序?yàn)橄麓螁?dòng)時(shí)的應(yīng)用程序，然后重啟交換機(jī)，實(shí)現(xiàn)交換機(jī)應(yīng)用程序的升級(jí)。bootboot-loaderswitch.appreboot（3）TFTP文件上傳與下載1.組網(wǎng)需求交換機(jī)作為TFTPClient，PC作為TFTPServer，在TFTPServer上配置了TFTP的工作路徑。交換機(jī)上的一個(gè)VLAN接口的IP地址為，交換機(jī)和PC相連的端口屬于該VLAN，PC的IP地址為。交換機(jī)的應(yīng)用程序switch.app保存在PC上。交換機(jī)通過TFTP從TFTPServer上下載switch.app，同時(shí)將交換機(jī)的配置文件vrpcfg.txt上傳到TFTPServer的工作目錄實(shí)現(xiàn)配置文件的備份。組網(wǎng)圖（略）配置步驟1）在PC上啟動(dòng)了TFTPServer，配置TFTPServer的工作目錄。2）交換機(jī)上的配置#用戶登錄到交換機(jī)上。（用戶可以在本地通過Console口登錄到交換機(jī)上，也可以通過telnet遠(yuǎn)程登錄到交換機(jī)上。各種登錄方式請參見入門模塊的描述。）注意：如果交換機(jī)的Flashmemory空間不夠大，請刪除Flash中原有的應(yīng)用程序然后再下載新的應(yīng)用程序到交換機(jī)的Flash中。#進(jìn)入系統(tǒng)視圖。system-view[Quidway]#配置VLAN接口的IP地址為,同時(shí)保證與PC相連的端口屬于這個(gè)VLAN。（本例中以VLAN1為例。）[Quidway]interfacevlan1[Quidway-vlan-interface1]ipaddress[Quidway-vlan-interface1]quit#將交換機(jī)的應(yīng)用程序switch.app從TFTPServer下載到交換機(jī)。[Quidway]tftpget///switch.appswitch.app#將交換機(jī)的配置文件vrpcfg.txt上傳到TFTPServer（[Quidway]tftpputvrpcfg.txt///vrpcfg.txt#執(zhí)行quit命令退回到用戶視圖下。[Quidway]quit#用戶可以通過命令bootboot-loader來指定下載的程序?yàn)橄麓螁?dòng)時(shí)的應(yīng)用程序，然后重啟交換機(jī)，實(shí)現(xiàn)交換機(jī)應(yīng)用程序的升級(jí)。bootboot-loaderswitch.appreboot交換機(jī)配置（九）遠(yuǎn)程管理配置1，WEB方式『WEB方式遠(yuǎn)程管理交換機(jī)配置流程』首先必備條件要保證PC可以與SwitchB通信，比如PC可以ping通SwitchB。如果想通過WEB方式管理交換機(jī)，必須首先將一個(gè)用于支持WEB管理的文件載入交換機(jī)的flash中，該文件需要與交換機(jī)當(dāng)前使用的軟件版本相配套。WEB管理文件的擴(kuò)展名為”tar”或者”zip”，可以從網(wǎng)站上下載相應(yīng)的交換機(jī)軟件版本時(shí)得到。需要在交換機(jī)上添加WEB管理使用的用戶名及密碼，該用戶的類型為telnet類型，而且權(quán)限為最高級(jí)別3。注意，在將WEB管理文件載入交換機(jī)flash時(shí)，不要將文件進(jìn)行解壓縮，只需將完整的文件載入交換機(jī)即可（向交換機(jī)flash載入WEB管理文件的方法，請參考本配置實(shí)例中交換機(jī)的系統(tǒng)管理配置章節(jié)）。【SwitchB相關(guān)配置】1.查看交換機(jī)flash里面的文件（保證WEB管理文件已經(jīng)在交換機(jī)flash中）dir/allDirectoryofflash:/-rwxrwx1noonenogroup442797Apr02200013:09:50wnm-xxx.zip添加WEB管理的用戶，用戶類型為”telnet”，用戶名為”huawei”，密碼為”wnm”[SwitchB]local-userhuawei[SwitchB-luser-huawei]service-typetelnetlevel3[SwitchB-luser-huawei]passwordsimplewnm配置交換機(jī)管理地址[SwitchB]interfacevlan100[SwitchB-Vlan-interface100]ipaddr對HTTP訪問用戶的控制（Option）[SwitchB]iphttpaclacl_num/acl_name相關(guān)學(xué)習(xí)帖：/viewthread.php?tid=401882&fpage=1&highlight=web2，TELNET方式[TELNET密碼驗(yàn)證配置】只需輸入password即可登陸交換機(jī)。進(jìn)入用戶界面視圖[SwitchA]user-interfacevty04設(shè)置認(rèn)證方式為密碼驗(yàn)證方式[SwitchA-ui-vty0-4]authentication-modepassword設(shè)置登陸驗(yàn)證的password為明文密碼”huawei”[SwitchA-ui-vty0-4]setauthenticationpasswordsimplehuawei配置登陸用戶的級(jí)別為最高級(jí)別3（缺省為級(jí)別1）[SwitchA-ui-vty0-4]userprivilegelevel3或者在交換機(jī)上增加superpassword（缺省情況下，從VTY用戶界面登錄后的級(jí)別為1級(jí)，無法對設(shè)備進(jìn)行配置操作。必須要將用戶的權(quán)限設(shè)置為最高級(jí)別3,才可以進(jìn)入系統(tǒng)視圖并進(jìn)行配置操作。低級(jí)別用戶登陸交換機(jī)后，需輸入superpassword改變自己的級(jí)別）例如，配置級(jí)別3用戶的superpassword為明文密碼”super3”[SwitchA]superpasswordlevel3simplesuper3[TELNET本地用戶名和密碼驗(yàn)證配置】需要輸入username和password才可以登陸交換機(jī)。進(jìn)入用戶界面視圖[SwitchA]user-interfacevty04配置本地或遠(yuǎn)端用戶名和口令認(rèn)證[SwitchA-ui-vty0-4]authentication-modescheme配置本地TELNET用戶，用戶名為”huawei”，密碼為”huawei”，權(quán)限為最高級(jí)別3（缺省為級(jí)別1）[SwitchA]local-userhuawei[SwitchA-user-huawei]passwordsimplehuawei[SwitchA-user-huawei]service-typetelnetlevel3在交換機(jī)上增加superpassword[SwitchA]superpasswordlevel3simplesuper3[TELNETRADIUS驗(yàn)證配置】以使用華為3Com公司開發(fā)的CAMS作為RADIUS服務(wù)器為例進(jìn)入用戶界面視圖[SwitchA]user-interfacevty04配置遠(yuǎn)端用戶名和口令認(rèn)證[SwitchA-ui-vty0-4]authentication-modescheme配置RADIUS認(rèn)證方案，名為”cams”[SwitchA]radiusschemecams配置RADIUS認(rèn)證服務(wù)器地址1[SwitchA-radius-cams]primaryauthentication11812配置交換機(jī)與認(rèn)證服務(wù)器的驗(yàn)證口令為”huawei”[SwitchA-radius-cams]keyauthenticationhuawei送往RADIUS的報(bào)文不帶域名[SwitchA-radius-cams]user-name-formatwithout-domain創(chuàng)建（進(jìn)入）一個(gè)域，名為”huawei”[SwitchA]domainhuawei在域”huawei”中引用名為”cams”的認(rèn)證方案[SwitchA-isp-huawei]radius-schemecams將域”huawei”配置為缺省域[SwitchA]domaindefaultenablehuawei[TELNET訪問控制配置】配置訪問控制規(guī)則只允許/24網(wǎng)段登錄[SwitchA]aclnumber2000[SwitchA-acl-basic-2000]ruledenysourceany[SwitchA-acl-basic-2000]rulepermitsource55配置只允許符合ACL2000的IP地址登錄交換機(jī)[SwitchA-ui-vty0-4]acl2000inbound相關(guān)學(xué)習(xí)帖：/viewthread.php?tid=349090&fpage=1&highlight=telnetSSH方