H3C交換機(jī)基本配置培訓(xùn)總結(jié)

1、交換機(jī)基本配置及網(wǎng)絡(luò)維護(hù)培訓(xùn),2011-09-27,杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播,劉光坤第一章 VLAN原理及基本配置 第二章 STP原理及基本配置 第三章 ACL原理及基本配置 第四章 設(shè)備管理基本配置 第五章 常用維護(hù)方法和命令,目錄,VLAN的產(chǎn)生原因廣播風(fēng)暴,廣播,傳統(tǒng)的以太網(wǎng)是廣播型網(wǎng)絡(luò)，網(wǎng)絡(luò)中的所有主機(jī)通過HUB或交換機(jī)相連，處在同一個(gè)廣播域中,通過路由器隔離廣播域,路由器,廣播,通過VLAN劃分廣播域,Broadcast Domain 1 VLAN 10,Broadcast Domain 2 VLAN 20,Broadcas

2、t Domain 3 VLAN 30,市場(chǎng)部,工程部,財(cái)務(wù)部,以太網(wǎng)端口的鏈路類型,Access link：只能允許某一個(gè)VLAN的untagged數(shù)據(jù)流通過。 Trunk link：允許多個(gè)VLAN的tagged數(shù)據(jù)流和某一個(gè)VLAN的untagged數(shù)據(jù)流通過。 Hybrid link：允許多個(gè)VLAN的tagged數(shù)據(jù)流和多個(gè)VLAN的untagged數(shù)據(jù)流通過。 Hybrid端口可以允許多個(gè)VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽，而Trunk端口只允許缺省VLAN的報(bào)文發(fā)送時(shí)不攜帶標(biāo)簽。 三種類型的端口可以共存在一臺(tái)設(shè)備上,Access Link和Trunk Link,Access link,

3、Trunk link,Trunk Link和VLAN,VLAN10,VLAN2,VLAN10,VLAN3,VLAN2,VLAN10,VLAN5,VLAN5,VLAN2,VLAN5,廣播報(bào)文發(fā)送,Trunk Link,VLAN2,VLAN3,VLAN3,VLAN2,帶有VLAN3標(biāo)簽的以太網(wǎng)幀,帶有VLAN2標(biāo)簽的以太網(wǎng)幀,不帶VLAN標(biāo)簽的 以太網(wǎng)幀,數(shù)據(jù)幀在網(wǎng)絡(luò)通信中的變化,VLAN配置命令（1）,創(chuàng)建VLAN. vlan 100 (1-4094) 刪除VLAN. undo vlan 100 (1-4094) 在VLAN中增加端口. port Ethernet 2/0/1 在VLAN中刪除端

4、口. undo port Ethernet 2/0/1 將端口加入VLAN port access vlan 100 (1-4094) 將端口脫離VLAN undo port access vlan 100 (1-4094) 顯示VLAN信息 display vlan VLAN ID (1-4094),VLAN配置命令（2）,定義端口屬性為Trunk. port link-type trunk 刪除端口Trunk屬性. undo port link-type 定義端口可以傳輸?shù)腣LAN. port trunk permit vlan VLAN ID 在VLAN中刪除端口. undo port

5、trunk permit vlan VLAN ID,配置VLAN虛接口,為已存在的VLAN創(chuàng)建對(duì)應(yīng)的VLAN接口，并進(jìn)入 VLAN接口視圖 interface Vlan-interface vlan-id 刪除一個(gè)VLAN接口 undo interface Vlan-interface *缺省情況下，在交換機(jī)上不存在VLAN接口 *可以通過ip address命令配置IP地址，使接口可以為在該 VLAN范圍內(nèi)接入的設(shè)備提供基于IP層的數(shù)據(jù)轉(zhuǎn)發(fā)功能 *在創(chuàng)建VLAN接口之前，必須先創(chuàng)建對(duì)應(yīng)的VLAN，否則無 法創(chuàng)建VLAN接口,配置IP地址,ip address命令用來配置VLAN接口/Loop

6、Back接口的IP地址 和掩碼 undo ip address命令用來刪除VLAN接口/LoopBack接口的 IP地址和掩碼 ip address ip-address mask | mask-length sub undo ip address ip-address mask | mask-length sub *在一般情況下，一個(gè)VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口配置一個(gè) IP地址即可，但為了使交換機(jī)的一個(gè)VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理 接口可以與多個(gè)子網(wǎng)相連，一個(gè)VLAN接口/LoopBack接口/網(wǎng)絡(luò)管理接口 最多可以配置多個(gè)IP地址，其中一個(gè)為主IP地址

7、，其余為從IP地址,靜態(tài)路由的配置命令和示例,H3Cip route-static ip-address mask | masklen interface-type interfacce-name | nexthop-address preference value reject | blackhole 例如： ip route-static 129.1.0.0 16 10.0.0.2 ip route-static 129.1.0.0 255.255.0.0 10.0.0.2 ip route-static 129.1.0.0 16 Serial 2/0,主從IP地址舉例,VLAN配置舉例,

8、為保證部門間數(shù)據(jù)的二層隔離，現(xiàn)要求將PC1和Server1劃分到VLAN100 中，PC2和Server2劃分到VLAN200中。并分別為兩個(gè)VLAN設(shè)置描述字符為 “Dept1”和“Dept2” 在SwitchA上配置VLAN接口，對(duì)PC1發(fā)往Server2的數(shù)據(jù)進(jìn)行三層轉(zhuǎn)發(fā)。 兩個(gè)部門分別使用192.168.1.0/24和192.168.2.0/24兩個(gè)網(wǎng)段,配置Switch A,# 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口Ethernet1/0/1加 入到VLAN100。 system-view SwitchA vlan 100 SwitchA-vla

9、n100 description Dept1 SwitchA-vlan100 port Ethernet 1/0/1 SwitchA-vlan100 quit # 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”。 SwitchA vlan 200 SwitchA-vlan200 description Dept2 SwitchA-vlan200 quit # 創(chuàng)建VLAN100和VLAN200的接口，IP地址分別配置為192.168.1.1和192.168.2.1，用 來對(duì)PC1發(fā)往Server2的報(bào)文進(jìn)行三層轉(zhuǎn)發(fā)。 SwitchA interface Vlan-inte

10、rface 100 SwitchA-Vlan-interface100 ip address 192.168.1.1 24 SwitchA-Vlan-interface100 quit SwitchA interface Vlan-interface 200 SwitchA-Vlan-interface200 ip address 192.168.2.1 24,配置Switch B,# 創(chuàng)建VLAN100，并配置VLAN100的描述字符串為“Dept1”，將端口 Ethernet1/0/13加入到VLAN100。 system-view SwitchB vlan 100 SwitchB-vla

11、n100 description Dept1 SwitchB-vlan100 port Ethernet 1/0/13 SwitchB-vlan103 quit # 創(chuàng)建VLAN200，并配置VLAN200的描述字符串為“Dept2”，將端口 Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。 SwitchB vlan 200 SwitchB-vlan200 description Dept2 SwotchB-vlan200 port Ethernet1/0/11 Ethernet 1/0/12 SwitchB-vlan200 quit,配置Switch A和Sw

12、itch B之間的鏈路,由于Switch A和Switch B之間的鏈路需要同時(shí)傳輸VLAN100和VLAN200 的數(shù)據(jù)，所以可以配置兩端的端口為Trunk端口，且允許這兩個(gè)VLAN的 報(bào)文通過。 # 配置Switch A的Ethernet1/0/2端口。 SwitchA interface Ethernet 1/0/2 SwitchA-Ethernet1/0/2 port link-type trunk SwitchA-Ethernet1/0/2 port trunk permit vlan 100 SwitchA-Ethernet1/0/2 port trunk permit vlan

13、200 # 配置Switch B的Ethernet1/0/10端口。 SwitchB interface Ethernet 1/0/10 SwitchB-Ethernet1/0/10 port link-type trunk SwitchB-Ethernet1/0/10 port trunk permit vlan 100 SwitchB-Ethernet1/0/10 port trunk permit vlan 200,注意事項(xiàng),VLAN 1 -缺省就有，不需要?jiǎng)?chuàng)建，也無法刪除 -不建議用作業(yè)務(wù)VLAN -可以用作管理VLAN Trunk鏈路 -只允許所需的VLAN通過，不要配置 port

14、trunk permit vlan all -最好配置上undo port trunk permit vlan 1,第一章 VLAN原理及基本配置 第二章 STP原理及基本配置 第三章 ACL原理及基本配置 第四章 設(shè)備管理基本配置 第五章 常用維護(hù)方法和命令,目錄,生成樹,STP（Spanning Tree Protocol，生成樹協(xié)議）是根據(jù)IEEE協(xié)會(huì)制定的802.1D標(biāo)準(zhǔn)建立的，用于在局域網(wǎng)中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議。運(yùn)行該協(xié)議的設(shè)備通過彼此交互報(bào)文發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選擇的對(duì)某些端口進(jìn)行阻塞，最終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無環(huán)路的樹型網(wǎng)絡(luò)結(jié)構(gòu)，從而防止報(bào)文在環(huán)路網(wǎng)絡(luò)中不斷增生和無限循

15、環(huán)，避免主機(jī)由于重復(fù)接收相同的報(bào)文造成的報(bào)文處理能力下降的問題發(fā)生。,STP配置命令,啟動(dòng)全局STP特性 stp enable 關(guān)閉全局STP特性 undo stp enable *全局開啟后，每個(gè)接口下的STP功能也被打開 接口視圖下關(guān)閉STP特性 stp disable 接口下開啟STP特性 stp enable,STP的交換機(jī)保護(hù)功能,1. Root保護(hù)功能 由于維護(hù)人員的錯(cuò)誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合 法根橋有可能會(huì)收到優(yōu)先級(jí)更高的配置消息，這樣當(dāng)前根橋 會(huì)失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不 合法的變動(dòng)，會(huì)導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到 低速鏈路上，導(dǎo)致

16、網(wǎng)絡(luò)擁塞。 stp root primary命令用來指定當(dāng)前交換機(jī)作為指 定生成樹實(shí)例的根橋。 undo stp root命令用來取消當(dāng)前交換機(jī)作為指定生 成樹實(shí)例的根橋資格。 stp instance 0 root primary,STP優(yōu)化-邊緣端口,邊緣端口是指不直接與任何交換機(jī)連接，也不通過端口所連 接的網(wǎng)絡(luò)間接與任何交換機(jī)相連的端口。 用戶如果將某個(gè)端口指定為邊緣端口，那么當(dāng)該端口由阻塞 狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口可以實(shí)現(xiàn)快速遷移，而無 需等待延遲時(shí)間。 在交換機(jī)沒有開啟BPDU保護(hù)的情況下，如果被設(shè)置為邊緣 端口的端口上收到來自其它端口的BPDU報(bào)文，則該端口會(huì) 重新變?yōu)榉沁吘?/p>

17、端口。 對(duì)于直接與終端相連的端口，請(qǐng)將該端口設(shè)置為邊緣端口， 同時(shí)啟動(dòng)BPDU保護(hù)功能。這樣既能夠使該端口快速遷移到 轉(zhuǎn)發(fā)狀態(tài)，也可以保證網(wǎng)絡(luò)的安全。,邊緣端口配置,stp edged-port enable命令用來將當(dāng)前的以太網(wǎng)端 口配置為邊緣端口 stp edged-port disable命令用來將當(dāng)前的以太網(wǎng) 端口配置為非邊緣端口 undo stp edged-port命令用來將當(dāng)前的以太網(wǎng)端 口恢復(fù)為缺省狀態(tài)，即非邊緣端口。 *缺省情況下，交換機(jī)所有以太網(wǎng)端口均被配置為非 邊緣端口,STP的交換機(jī)保護(hù)功能,2. BPDU保護(hù)功能 邊緣端口接收到配置消息后，系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非

18、 邊緣端口，重新計(jì)算生成樹，這樣就引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯?正常情況下，邊緣端口應(yīng)該不會(huì)收到生成樹協(xié)議的配置消息。 如果有人偽造配置消息惡意攻擊交換機(jī)，就會(huì)引起網(wǎng)絡(luò)震蕩。 BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。交換機(jī)上啟動(dòng)了BPDU 保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些 端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被MSTP關(guān)閉。被關(guān)閉的邊 緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。,查看STP信息,display stp brief 顯示STP生成樹的簡(jiǎn)要狀態(tài)信息。 display stp instance 0 interface Ethernet 1/0/1 to Ethernet 1/0/4 bri

19、ef MSTID Port Role STP State Protection 0 Ethernet1/0/1 ALTE DISCARDING LOOP 0 Ethernet1/0/2 DESI FORWARDING NONE 0 Ethernet1/0/3 DESI FORWARDING NONE 0 Ethernet1/0/4 DESI FORWARDING NONE,第一章 VLAN原理及基本配置 第二章 STP原理及基本配置 第三章 ACL原理及基本配置 第四章 設(shè)備管理基本配置 第五章 常用維護(hù)方法和命令,目錄,ACL訪問控制列表,為了過濾通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，需要配置一系列的匹 配

20、規(guī)則，以識(shí)別需要過濾的對(duì)象。在識(shí)別出特定的對(duì)象之后 ，網(wǎng)絡(luò)設(shè)備才能根據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù) 包通過。 訪問控制列表（Access Control List，ACL）就是用來實(shí)現(xiàn) 這些功能。 ACL通過一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類，這些條件可 以是數(shù)據(jù)包的源地址、目的地址、端口號(hào)等。ACL可應(yīng)用在 交換機(jī)全局或端口上，交換機(jī)根據(jù)ACL中指定的條件來檢測(cè) 數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。,以太網(wǎng)訪問列表,主要作用:在整個(gè)網(wǎng)絡(luò)中分布實(shí)施接入安全性,Internet,服務(wù)器,部門 A,部門 B,Intranet,訪問控制列表ACL,對(duì)到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動(dòng)作

21、標(biāo)記 訪問列表作用于交換機(jī)的所有端口 訪問列表的主要用途： 包過濾 鏡像 流量限制 流量統(tǒng)計(jì) 分配隊(duì)列優(yōu)先級(jí),流分類,通常選擇數(shù)據(jù)包的包頭信息作為流分類項(xiàng) 2層流分類項(xiàng) 以太網(wǎng)幀承載的數(shù)據(jù)類型 源/目的MAC地址 以太網(wǎng)封裝格式 Vlan ID 入/出端口 3/4層流分類項(xiàng) 協(xié)議類型 源/目的IP地址 源/目的端口號(hào) DSCP,IP 數(shù)據(jù)包過濾,IP header,TCP header,Application-level header,Data,應(yīng)用程序和數(shù)據(jù),源/目的端口號(hào),源/目的IP地址,L3/L4過濾,應(yīng)用網(wǎng)關(guān),TCP/IP包過濾元素,訪問控制列表的構(gòu)成,Rule（訪問控制列表的子規(guī)則

22、） Time-range（時(shí)間段機(jī)制） ACL=rules + time-range （訪問控制列表由一系列規(guī)則組成，有必要時(shí) 會(huì)和時(shí)間段結(jié)合）,訪問控制列表 策略:ACL1 策略:ACL2 策略:ACL3 . 策略:ACLN,時(shí)間段的相關(guān)配置,在系統(tǒng)視圖下，配置時(shí)間段: time-range time-name start-time to end-time days-of-the-week from start- date to end-date 在系統(tǒng)視圖下，刪除時(shí)間段: undo time-range time-name start-time to end-time days-of-th

23、e-week from start- date to end-date ,假設(shè)管理員需要在從2002年12月1日上午8點(diǎn)到2003年1月1日下午18點(diǎn)的時(shí)間段內(nèi)實(shí)施安全策略，可以定義時(shí)間段名為denytime，具體配置如下: H3Ctime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003,訪問控制列表的類型,20002999：表示基本ACL。只根據(jù)數(shù)據(jù)包的源IP地址制定規(guī)則。 30003999：表示高級(jí)ACL（3998與3999是系統(tǒng)為集群管理預(yù)留的編號(hào)，用戶無法配置）。根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)

24、議特性等三、四層信息制定規(guī)則。 40004999：表示二層ACL。根據(jù)數(shù)據(jù)包的源MAC地址、目的MAC地址、802.1p優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定規(guī)則。 50005999：表示用戶自定義ACL。以數(shù)據(jù)包的頭部為基準(zhǔn)，指定從第幾個(gè)字節(jié)開始與掩碼進(jìn)行“與”操作，將從報(bào)文提取出來的字符串和用戶定義的字符串進(jìn)行比較，找到匹配的報(bào)文。,定義訪問控制列表,在系統(tǒng)視圖下，定義ACL并進(jìn)入訪問控制列表視圖: acl number acl-number | name acl-name basic | advanced | interface | link match-order config | aut

25、o 在系統(tǒng)視圖下，刪除ACL: undo acl number acl-number | name acl-name | all ,基本訪問控制列表的規(guī)則配置,在基本訪問控制列表視圖下，配置相應(yīng)的規(guī)則 rule rule-id permit | deny source source-addr source-wildcard | any fragment time-range time-range-name 在基本訪問控制列表視圖下，刪除一條子規(guī)則 undo rule rule-id source fragment time-range ,高級(jí)訪問控制列表的規(guī)則配置,在高級(jí)訪問控制列表視圖下，配

26、置相應(yīng)的規(guī)則 rule rule-id permit | deny protocol source source-addr source-wildcard | any destination dest-addr dest-mask | any soure-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code established precedence precedence tos tos | dscp dscp fragment time-range time

27、-range-name 在高級(jí)訪問控制列表視圖下，刪除一條子規(guī)則 undo rule rule-id source destination soure-port destination-port precedence tos | dscp fragment time-range ,端口操作符及語法,TCP/UDP協(xié)議支持的端口操作符及語法,操作符及語法,含義,eq portnumber,等于portnumber,gt portnumber,大于portnumber,lt portnumber,小于portnumber,neq portnumber,不等于portnumber,range por

28、tnumber1 portnumber2,介于端口號(hào)portnumber1和 portnumber2之間,接口訪問控制列表的規(guī)則配置,在接口訪問控制列表視圖下，配置相應(yīng)的規(guī)則 rule rule-id permit | deny interface interface-name | interface-type interface-num | any time-range time-range-name 在接口訪問控制列表視圖下，刪除一條子規(guī)則 undo rule rule-id,二層訪問控制列表的規(guī)則配置,在二層訪問控制列表視圖下，配置相應(yīng)的規(guī)則 rule rule-id permit |

29、deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-range time-range-name 在二層訪問控制列表視圖下，刪除一條子規(guī)則 und

30、o rule rule-id,自定義訪問控制列表的規(guī)則配置,在自定義訪問控制列表視圖下，配置相應(yīng)的規(guī)則 rule rule-id permit | deny rule-string rule-mask offset & time-range time-range-name 在自定義訪問控制列表視圖下，刪除一條子規(guī)則 undo rule rule-id 用戶自定義訪問控制列表的數(shù)字標(biāo)識(shí)取值范圍為50005999,規(guī)則匹配原則,一條訪問控制列表往往會(huì)由多條規(guī)則組成，這樣在匹配一條訪問控制列表的時(shí)候就存在匹配順序的問題。在華為系列交換機(jī)產(chǎn)品上，支持下列兩種匹配順序： Config：指定匹配該規(guī)則時(shí)按

31、用戶的配置順序（后下發(fā)先生效） Auto：指定匹配該規(guī)則時(shí)系統(tǒng)自動(dòng)排序（按“深度優(yōu)先”的順序）,激活訪問控制列表,在系統(tǒng)視圖下，激活A(yù)CL: packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 在系統(tǒng)視圖下，取消激活A(yù)CL: undo packet-filter user-group acl-number | acl-name rule rule | ip-gro

32、up acl-number | acl-name rule rule link-group acl-number | acl-name rule rule ,配置ACL進(jìn)行包過濾的步驟,綜上所述，在H3C交換機(jī)上配置ACL進(jìn)行包過濾的步驟如下： 配置時(shí)間段（可選） 定義訪問控制列表（四種類型：基本、高級(jí)、基于接口、基于二層和用戶自定義） 激活訪問控制列表,訪問控制列表配置舉例一,要求配置高級(jí)ACL，禁止員工在工作日8:0018:00的時(shí)間段內(nèi)訪問新浪網(wǎng)站（ 61.172.201.194 ） 1. 定義時(shí)間段 H3C time-range test 8:00 to 18:00 working-d

33、ay 2.定義高級(jí)ACL 3000，配置目的IP地址為新浪網(wǎng)站的訪問規(guī)則。 H3C acl number 3000 H3C -acl-adv-3000 rule 1 deny ip destination 61.172.201.194 0 time-range test 3.在端口Ethernet1/0/15上應(yīng)用ACL 3000。 H3C interface Ethernet 1/0/15 H3C-Ethernet1/0/15 packet-filter inbound ip-group 3000,訪問控制列表配置舉例二,配置防病毒ACL 1. 定義高級(jí)ACL 3000 H3C acl nu

34、mber 3000 H3C -acl-adv-3000 rule 1 deny udp destination-port eq 335 H3C -acl-adv-3000 rule 3 deny tcp source-port eq 3365 H3C -acl-adv-3000 rule 4 deny udp source 61.22.3.0 0.0.0.255 destination-port eq 3875 2. 在端口Ethernet1/0/1上應(yīng)用ACL 3000 H3C-Ethernet1/0/1 packet-filter inbound ip-group 3000,第一章 VLA

35、N原理及基本配置 第二章 STP原理及基本配置 第三章 ACL原理及基本配置 第四章 設(shè)備管理基本配置 第五章 常用維護(hù)方法和命令,目錄,交換機(jī)管理方式,通過Console口進(jìn)行本地登錄 通過以太網(wǎng)端口利用Telnet或SSH進(jìn)行本地或遠(yuǎn)程登錄 通過Console口利用Modem撥號(hào)進(jìn)行遠(yuǎn)程登錄,Telnet配置,（2）需要輸入密碼 H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode password H3C-ui-vty0-4 user privilege level 3 H3C-ui-vty0-4 set authent

36、ication password simple h3c,（3）需要輸入用戶名和密碼 H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode scheme H3C local-user h3c H3C-luser-h3c password cipher 123456 H3C-luser-h3c service-type telnet level 3,（1）不需要輸入用戶名和密碼 H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode none H3C-ui-vty0

37、-4 user privilege level 3,第一章 VLAN原理及基本配置 第二章 STP原理及基本配置 第三章 ACL原理及基本配置 第四章 設(shè)備管理基本配置 第五章 常用維護(hù)方法和命令,目錄,故障排除常用方法,分層故障排除法 分塊故障排除法 分段故障排除法 替換法,分層故障排除法,所有的技術(shù)都是分層的！,關(guān)注電纜、連接頭、信號(hào) 電平、編碼、時(shí)鐘和組幀,關(guān)注封裝協(xié)議和相關(guān) 參數(shù)、鏈路利用率等,關(guān)注地址分配、路由協(xié)議參數(shù)等,分塊故障排除法,配置文件分為以下部分： 管理部分（路由器名稱、口令、服務(wù)、日志等） 端口部分（地址、封裝、cost、認(rèn)證等） 路由協(xié)議部分（靜態(tài)路由、RIP、OSP

38、F、BGP、路由引入等） 策略部分（路由策略、策略路由、安全配置等） 接入部分（主控制臺(tái)、Telnet登錄或啞終端、撥號(hào)等） 其他應(yīng)用部分（語言配置、VPN配置、Qos配置等）,分段故障排除法,網(wǎng)絡(luò)分為若干段，逐段測(cè)試，縮小故障范圍，逐段定位網(wǎng)絡(luò)故障，并排除。,中繼線路,Modem,Modem,Modem,Modem,DDN節(jié)點(diǎn),DDN節(jié)點(diǎn),常用命令（1）,display version命令用來顯示系統(tǒng)的版本信息。 用戶可以通過該命令查看軟件的版本信息、發(fā)布時(shí)間、交換機(jī)的基本硬 件配置等信息。 display version H3C Comware Platform Software Comw

39、are Software, Version 3.10, Test 1545 Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved. S3600-52P-EI uptime is 0 week, 0 day, 23 hours, 15 minutes S3600-52P-EI with 1 Processor 64M bytes DRAM 16384K bytes Flash Memory Config Register points to FLASH Hardware Version is

40、 REV.C CPLD Version is CPLD 001 Bootrom Version is 510 Subslot 0 48 FE Hardware Version is REV.C Subslot 1 4 GE Hardware Version is REV.C,常用命令（2）,display current-configuration命令用來顯示交換機(jī)當(dāng)前的配置。 當(dāng)用戶完成一組配置之后，需要驗(yàn)證配置是否生效，則可以執(zhí) 行display current-configuration命令來查看當(dāng)前生效的參數(shù)。 注意： *如果當(dāng)前配置的參數(shù)與缺省參數(shù)相同，則不予顯示； *對(duì)于某些參數(shù)，

41、雖然用戶已經(jīng)配置，但如果這些參數(shù)對(duì)應(yīng)的功能沒有生效， 則不予顯示。,常用命令（3）,display this命令用來顯示當(dāng)前視圖下的運(yùn)行配置。 當(dāng)用戶在某一視圖下完成一組配置之后，需要驗(yàn)證配置是否 生效，則可以執(zhí)行display this命令來查看所在視圖下當(dāng)前生 效的配置參數(shù)。 注意： *對(duì)于已經(jīng)生效的配置參數(shù)如果與缺省工作參數(shù)相同，則不顯示； *對(duì)于某些參數(shù)，雖然用戶已經(jīng)配置，但如果這些參數(shù)對(duì)應(yīng)的功能沒有生 效，則不予顯示； *在任意一個(gè)用戶界面視圖或VLAN視圖下執(zhí)行此命令，將會(huì)顯示所有用 戶界面或VLAN下生效的配置參數(shù)。,網(wǎng)絡(luò)連通性測(cè)試命令,ping命令參數(shù)（1）,ip：支持IPv4

42、協(xié)議。 -a source-ip：指定ICMP回顯請(qǐng)求報(bào)文中的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。 -c count：指定發(fā)送ICMP回顯請(qǐng)求報(bào)文的數(shù)目，取值范圍缺省值為5。 -f：將長(zhǎng)度大于接口MTU的報(bào)文直接丟棄，即不允許對(duì)發(fā)送的ICMP回顯請(qǐng)求報(bào)文進(jìn)行分片。 -h ttl：指定ICMP回顯請(qǐng)求報(bào)文中的TTL值，取值范圍為1255，缺省值為255。 -i interface-type interface-number：指定發(fā)送報(bào)文的接口的類型和編號(hào)。在指定出接口的情況下，只能ping直連網(wǎng)段地址。 -m interval：指定發(fā)送ICMP回顯請(qǐng)求報(bào)

43、文的時(shí)間間隔，取值范圍為165535，單位為毫秒，缺省值為200毫秒。 如果在timeout時(shí)間內(nèi)收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請(qǐng)求報(bào)文的發(fā)送時(shí)間間隔為報(bào)文的實(shí)際響應(yīng)時(shí)間與interval之和； 如果在timeout時(shí)間內(nèi)沒有收到目的主機(jī)的響應(yīng)報(bào)文，則下次ICMP回顯請(qǐng)求報(bào)文的發(fā)送時(shí)間間隔為timeout與interval之和。 -n：不進(jìn)行域名解析。缺省情況下，系統(tǒng)將對(duì)hostname進(jìn)行域名解析。,ping命令參數(shù),-p pad：指定ICMP回顯請(qǐng)求報(bào)文的填充字節(jié)，格式為16進(jìn)制。比如將“pad”設(shè)置為ff，則報(bào)文將被全部填充為ff。缺省情況下，填充的字節(jié)從0 x01開始，逐漸

44、遞增，直到0 x09，然后又從0 x01開始循環(huán)填充。 -q：除統(tǒng)計(jì)信息外，不顯示其它詳細(xì)信息。缺省情況下，系統(tǒng)將顯示包括統(tǒng)計(jì)信息在內(nèi)的全部信息。 -r：記錄路由。缺省情況下，系統(tǒng)不記錄路由。 -s packet-size：指定發(fā)送的ICMP回顯請(qǐng)求報(bào)文的長(zhǎng)度（不包括IP和ICMP報(bào)文頭），取值范圍為208100，單位為字節(jié)，缺省值為56字節(jié)。 -t timeout：指定ICMP回顯應(yīng)答報(bào)文的超時(shí)時(shí)間，取值范圍為165535，單位為毫秒，缺省值為2000毫秒。 -tos tos：指定ICMP回顯請(qǐng)求報(bào)文中的ToS（Type of Service，服務(wù)類型）域的值，取值范圍為0255，缺省值為0

45、。 -v：顯示接收到的非回顯應(yīng)答的ICMP報(bào)文。缺省情況下，系統(tǒng)不顯示非回顯應(yīng)答的ICMP報(bào)文。 -vpn-instance vpn-instance-name：指定MPLS VPN的實(shí)例名稱，是一個(gè)長(zhǎng)度為131個(gè)字符的字符串，不區(qū)分大小寫。 remote-system：目的設(shè)備的IP地址或主機(jī)名（主機(jī)名為120個(gè)字符的字符串）。,Ping命令參數(shù),ping命令用來檢查指定IP地址是否可達(dá)，并輸出相應(yīng)的統(tǒng)計(jì)信息。 H3Cping 11.1.1.1 PING 11.1.1.1: 56 data bytes, press CTRL_C to break Reply from 11.1.1.1: b

46、ytes=56 Sequence=0 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=255 time = 32 ms Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=255 time = 31 ms Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=255 time = 31 ms - 11.1.1.1 p

47、ing statistics - 5 packets transmitted 5 packets received 0.00% packet loss round-trip min/avg/max = 31/31/32 ms,tracert命令參數(shù),-a source-ip：指明tracert報(bào)文的源IP地址。該地址必須是設(shè)備上已配置的合法IP地址。 -f first-ttl：指定一個(gè)初始TTL，即第一個(gè)報(bào)文所允許的跳數(shù)。取值范圍為1255，且小于最大TTL，缺省值為1。 -m max-ttl：指定一個(gè)最大TTL，即一個(gè)報(bào)文所允許的最大跳數(shù)。取值范圍為1255，且大于初始TTL，缺省值為30。

48、 -p port：指明目的設(shè)備的UDP端口號(hào)，取值范圍為165535，缺省值為33434。用戶一般不需要更改此選項(xiàng)。 -q packet-number：指明每次發(fā)送的探測(cè)報(bào)文個(gè)數(shù)，取值范圍為165535，缺省值為3。 -vpn-instance vpn-instance-name：指定MPLS VPN的實(shí)例名稱，是一個(gè)長(zhǎng)度為131個(gè)字符的字符串。 -w timeout：指定等待探測(cè)報(bào)文響應(yīng)的報(bào)文的超時(shí)時(shí)間，取值范圍是165535，單位為毫秒，缺省值為5000毫秒。 remote-system：目的設(shè)備的IP地址或主機(jī)名（主機(jī)名是長(zhǎng)度為120的字符串）。,tracert命令參數(shù),tracert命

49、令用來查看IPv4報(bào)文從當(dāng)前設(shè)備傳到目的設(shè)備所經(jīng)過的路徑。 tracert 18.26.0.115 traceroute to 18.26.0.115(18.26.0.115) 30 hops max,40 bytes packet, press CTRL_C to break 1 128.3.112.1 10 ms 10 ms 10 ms 2 128.32.210.1 19 ms 19 ms 19 ms 3 128.32.216.1 39 ms 19 ms 19 ms 4 128.32.136.23 19 ms 39 ms 39 ms 5 128.32.168.22 20 ms 39 ms

50、39 ms 6 128.32.197.4 59 ms 119 ms 39 ms 7 131.119.2.5 59 ms 59 ms 39 ms 8 129.140.70.13 80 ms 79 ms 99 ms 9 129.140.71.6 139 ms 139 ms 159 ms 10 129.140.81.7 199 ms 180 ms 300 ms 11 129.140.72.17 300 ms 239 ms 239 ms 12 * * * 13 128.121.54.72 259 ms 499 ms 279 ms 14 * * * 15 * * * 16 * * * 17 * * *

51、18 18.26.0.115 339 ms 279 ms 279 ms,display interface（1）, display interface ethernet1/0/1 Ethernet1/0/1 current state : DOWN IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 0012-a990-2240 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mod

52、e, full-duplex mode Link speed type is force link, link duplex type is force link Flow-control is enabled The Maximum Frame Length is 9216 Broadcast MAX-pps: 500 Unicast MAX-ratio: 100% Multicast MAX-ratio: 100% Allow jumbo frame to pass PVID: 1 Mdi type: auto Port link-type: access Tagged VLAN ID :

53、 none Untagged VLAN ID : 1,display interface（2）,Last 300 seconds input: 0 packets/sec 0 bytes/sec Last 300 seconds output: 0 packets/sec 0 bytes/sec Input(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Input(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Input: 0 i

54、nput errors, 0 runts, 0 giants, - throttles, 0 CRC 0 frame, - overruns, 0 aborts, 0 ignored, - parity errors Output(total): 0 packets, 0 bytes 0 broadcasts, 0 multicasts, 0 pauses Output(normal): - packets, - bytes - broadcasts, - multicasts, - pauses Output: 0 output errors, - underruns, - buffer f

55、ailures 0 aborts, 0 deferred, 0 collisions, 0 late collisions 0 lost carrier, - no carrier,display mac-address,用來顯示MAC地址轉(zhuǎn)發(fā)表的信息，包括MAC地址所對(duì)應(yīng)VLAN和以太網(wǎng) 端口、地址狀態(tài)（靜態(tài)還是動(dòng)態(tài)）、是否處在老化時(shí)間內(nèi)等信息 # 顯示MAC地址000f-e20f-0101的信息。 display mac-address 000f-e20f-0101 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000f-e20f-0101

56、 1 Learned Ethernet1/0/1 AGING # 顯示端口Ethernet1/0/4的MAC地址轉(zhuǎn)發(fā)表內(nèi)容。 display mac-address interface Ethernet 1/0/4 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000d-88f6-44ba 1 Learned Ethernet1/0/4 AGING 000d-88f7-9f7d 1 Learned Ethernet1/0/4 AGING 000d-88f7-b094 1 Learned Ethernet1/0/4 AGING 000f-e200-00cc 1 Learned Ethernet1/0/4 AGING 000f-e200-2201 1 Learned Ethernet1/0/4 AGING 000f-e207-f2e0 1 Learned Ethernet1/0/4 AGING 000f-e209-ecf9 1 Learned Ethernet1/0/4 AGING - 7 mac address