一、基本配置
1、視圖
[quidway]interface ethernet 0/1 //系統視圖
[quidway-ethernet0/1] //接口視圖
2、密碼及基本參數配置
(1) console口登錄配置
[quidway]user-interface aux 0
[quidway-aux0]authentication-mode {none|password|scheme} //設置登錄的驗證方法。none是不要驗證,password是密碼驗證,scheme是服務器驗證。
[quidway-aux0]set authentication password {cipher|simple} 123456 //當上面的模式為 paaword時,設置驗證的密碼。simple是明文密碼。
[quidway-aux0]user privilege level 2 //設置從AUX登錄後可以訪問的命令級別為2級,默認是1級。
[quidway-aux0]speed 19200 //設置console口使用的傳輸速率
[quidway-aux0]screen-length 30 //設置一屏顯示30行命令
[quidway-aux0]history-command max-size 20 //設置歷史命令緩衝區最多存放20條命令
[quidway-aux0]idle-timeout 6 //設置超時時間為6分鐘
(2)telnet 登錄
[quidway]user-interface vty 0 4
[quidway-aux0]authentication-mode {none|password|scheme} //設置登錄的驗證方法。none是不要驗證,password是密碼驗證,scheme是服務器驗證。
[quidway-aux0]set authentication password {cipher|simple} 123456 //當上面的模式為 paaword時,設置驗證的密碼。simple是明文密碼。
[quidway-aux0]user privilege level 2 //設置從AUX登錄後可以訪問的命令級別為2級,默認是1級。
[quidway-aux0]protocol inbund {all |ssh|telnet} //設置交換機支持的協議
[quidway-aux0]screen-length 30 //設置一屏顯示30行命令
[quidway-aux0]history-command max-size 20 //設置歷史命令緩衝區最多存放20條命令
[quidway-aux0]idle-timeout 6 //設置超時時間為6分鐘
(3)超級用戶密碼(用戶級別)
[quidway]super password level 3 {cipher|simper} 123456 //設置低級別用戶到高級別用戶切換的密碼
注意:命令行級別分為:0,1,2,3 共四級。
訪問級(0級):用於網絡診斷等功能的命令。包括ping ,tracert,telnet等。
監控級(1級):用於系統維護、業務故障診斷等功能命令。包括debugging\terminal等命令。執和地該級別的命令結果不能被保存到配置文件中。
系統級(2級):用於業務配置的命令。包括路由等網絡層次的命令,用於向用戶提供網絡服務。
管理級(3級):關係到系統的基本運行、系統支撐模塊功能的命令,這些命令對業務的支持,最後級別。
默認:console口的命令登錄級別為3, telnet 方式的級別為0。
二、VLAN的基本配置
(一)VLAN 的鏈路類型
1、trunk link:作為幹線,傳輸多個VLAN的報文。同時trunk端口也可以劃給一個vlan。
2、hybrid link:作為幹線,傳輸多個vlan的報文。同時hybrid 端口也可以劃給多個vlan。
3、access link:只能屬於一個vlan。
(二) GARP
同一個交換網內的成員之間提供了分發、傳播、註冊某種信息的手段。GARP是一種協議規範,現在主要有GVRP和GMRP這兩種GARP協議的應用。
1、GVRP
GVRP只是遵循GARP協議的一種應用。類似於VTP協議,以把交換機的配置信息動態的迅速的傳播到整個交換網,以便使同一交換網內所有支持GVRP特性的設備的VLAN信息達成一致。
GVRP會自動修剪VLAN信息。如果本交換機只有某一個VLAN,那麼此交換機的TRUNK端口只傳遞一個VLAN的消息。如果本交換機或經過本交換機的下游交換機新增了VLAN,本交換機的TRUNK鏈路也會自動允許傳播新的VLAN消息。如果刪除了VLAN,也會自動禁止不必要的VLAN報文在TRUNK上發送。
VTP則需手工增加命令進行修剪。
GVRP和VTP兩個協議在實踐中的應用比較:
在具體應用上,VTP支持的是服務器-客戶端模式,即在主交換機建立VTP域,並將主交換機設置成VTPServer,然後在分交換機設置為VTPClient,這樣只需在主交換機上建立VLAN,就會通知到局域網中的任何一臺交換機,這樣便於集中管理。
GVRP相對繁瑣些,它需要在每一臺交換機上建立VLAN,並且在每一個交換機(無論是主交換機還是分交換機)首先全局運行gvrp命令,開啟 gvrp功能,然後在幹道匯聚連接上運行gvrp命令,開啟GVRP功能,這樣才會將本交換機上建立的VLAN通知註冊到局域網中的其它交換機上。
(三)VLAN配置
1、把端口加入到VLAN
方法一:
[quidway]vlan 2 //創建VLAN2
[quidway-vlan2] port E0/1 to E0/4 //把端口 1到4加入到VLAN2
[quidway-vlan2]undo port E0/1 to E0/4 //把端口從VLAN中刪除。
方法二:
[quidway]interface ethernet 0/1 //進入端口0/1
[quidway-ethernet0/1] port access vlan2 //把此端口加入到VLAN2
2、配置接口類型
[quidway]interface ethernet 0/5
[quidway-ethernet0/5]port link-type {access|trunk|hybrid} //設置端口類型,默認為ACCESS。
TRUNK類型的設置:
[quidway-ethernet0/1]port link-type trunk
[quidway-ethernet0/1]port trunk permit vlan {vlan-id |all} //允許哪些VLAN通過此TRUNK端口。默認只允許VLAN1通過。
[quidway-ethernet0/1]port trunk pvid vlan {vlan-id} //把trunk端口加入到哪一個VLAN,默認是VLAN1。即設置TRUNK的PVID。這點與CISCO不一樣,CISCO裡TRUNK端口是不加入到VLAN中的。
hybrid類型的設置:
[quidway-ethernet0/1]port link-type hybrid
[quidway-ethernet0/1]port hybrid pvid vlan {vlan-id} //hybrid端口屬於哪些VLAN。可以是多個VLAN。而 trunk口只能屬於一個VLAN.默認也只屬 於VLAN1.
[quidway-ethernet0/1]port hybrid vlan {vlan-id} {tagged|untagged} //即此端口發送哪些VLAN的報文時帶VLAN標誌,哪些不帶VLAN標誌。 tagged是帶標誌的。untagged是不帶標誌的。不帶vlan標誌的,其他交換機的hybrid接口收到後,會增加PVID的TAG標誌,然後再轉發數據包。如果接收到未帶VLAN標誌的交換機的PVID為VLNA1,則會自動加上VLAN1標誌,然後在交換機上轉發。
3、VLAN開啟和關閉
[quidway]vlan enable //開啟VLAN
[quidway]vlan disable //關閉VLAN
4、VLAN維護
[quidway]description {string} //描述VLAN
[quidway]display vlan [static | dynamic] //顯示交換機上的VLAN信息
[quidway]display vlan {vlan-id|all} //顯示部分或所有VLAN成員。
(四)GRVP配置
[quidway]gvrp //全局開啟GVRP
[quidway]undo gvrp //全局關閉GVRP。
//在全局下開啟關閉GVRP,也可以在接口模式下開啟關閉一個接口的GVRP。
[quidway]interface ethernet 0/1 //進入接口
[quidway-ethternet0/1]port link-type trunk //接口配置為trunk模式
[quidway-ethternet0/1]port trunk permit vlan all //允許所有VLAN傳輸
[quidway-ethternet0/1]gvrp registraion {normal|fixed|forbidden}
//在接口下開啟GVRP。並設置GVRP註冊類型。
normal:允許在該接口靜態(本交換機創建的VLAN)和動態(其他交換機創建的VLAN,動態註冊到本交換機的VLAN)創建、註冊、註銷VLAN。
即:可以傳送本交換機創建的VLAN,可以把本交換機的VLAN傳輸到其他配有normal類型的trunk端口,可以接受對端交換機創建的VLAN(動態)註冊。
注意:GVRP會自動裁剪不需要傳輸的VLAN,但只要需要傳輸,仍可以傳輸。
fixed:允許手工靜態創建和註冊VLAN,靜止動態註冊、聲明和註銷VLAN。
即:可以傳送本交換機創建的VLAN(靜態),可以把本交換機的VLAN通過fixed註冊類型trunk端口傳到對端配有normal類型的trunk端口,不接受與本交換機fixed類型的trunk端口的對端交換機創建的VLAN的註冊。
可傳遞出去,但不接受動態註冊、註銷VLAN信息。
forbidden:註銷除VLAN1以外的所有VLAN,並且禁止該接口上創建、聲明、註冊其他任何VLAN。
即此類型trunk 接口不傳遞、接受除VLAN1外的任何其他VLAN信息。
注:GVRP與VTP不同之處:GVRP每個交換機都可以創建VLAN,vtp只有服務器端可以創建VLAN。
(五)Super VLAN
即SUPER vlan映射多個sub vlan,sub vlan通過arp代理與super vlan通信,並且super vlan 為sub vlan提供三層網關功能。當sub vlan裡的主機需與外界通信時,將報文直接傳送給super vlan虛接口(而不是sub vlan的虛接口),super vlan再將數據包傳送給下一跳。
注意:super vlan不能包括任何端口。
[quidway] vlan 2 //配置sub vlan
[quidway-vlan2] prot ethernet 0/2 //sub vlan加入super vlan以前,一定得有端口已加入VLAN
[quidway-vlan2]arp proxy enable //一定要開啟 arp 代理
[quidway] vlan 3
[quidway-vlan3] prot ethernet 0/39
[quidway-vlan3]arp proxy enable
[quidway] vlan 4
[quidway-vlan4] prot ethernet 0/4 ethernet 0/5
[quidway-vlan4] arp proxy enable
[quidway] vlan 10
[quidway-vlan10]super vlan //把vlan 10配為super vlan
[quidway-vlan10]subvlan 2 3 4 //子vlan列表為vlan 2,3,4
[quidway-vlan10]ip address 172.16.1.1 255.255.255.0 // 配置supervlan的ip地址。
quidway] vlan 1
[quidway-vlan10]ip address 192.168.1.1 255.255.255.0
[quidway]ip route-static 0.0.0.0 192.168.1.2 //配置靜態路由,假設對端三層交換機或路由器的IP地址為192.168.1.2
(六)isolate-user-vlan
類似於cisco的私有VLAN
一個isolate-user-vlan 包含secondary vlan。
一個isolate-user-vlan對應一個ip子網,即包含的secondary vlan處於同一個子網
主要用於上層交換機支持vlan數不夠,但下層交換機又需要劃分很多個vlan以隔離彼此間通信。這樣上層交換機知道的只有建立的isolate-user-vlan ,下面的secondary-vlan上層交換機是不知道的。
[quidway]vlan 10
[quidway-vlan10]isolate-user-vlan enable //配置為isolate-user-vlan
[quidway-vlan10]port ethernet0/1 //isolate-user-vlan 的端口
[quidway]vlan 2 //配置secondary vlan,並把端口加入到secondary vlan
[quidway-vlan2]port ethernet 0/2
[quidway]vlan 3
[quidway-vlan3]port ethernet 0/3
[quidway]isolate-user-vlan 10 secondary 2-3 //isolate-user-vlan 與 secondary vlan的映射
注意:isolate-user-vlan與secondary vlan之間必須已經包含了端口才能建立映射關係
建立映射關係後,不可以向isolate-user-vlan與secondary vlan執行添加和刪除端口的操作。也不可以執行vlan的操作。只有在解除了映射關係後才能執行。
isolate-user-vlan中的所有端口都不是802.1q的trunk端口,包括與其他交換機相連的uplink端口也不能是trunk端口。可以是hybrid端口。
(七)管理VLAN
當TELNET或SSH登錄時,需要一個管理VLAN,默認是VLAN1
[quidway]vlan 100 //建立一個VLAN,當不用默認VLAN1作為管理VLAN時,需要先建 立VLAN,然後再把建立的VLAN作為管理VLAN
[quidway-vlan100]quit
[quidway]management-vlan 100 //把vlan 100作為管理vlan
[quidway]interface vlan-interface 100 //進入vlan的虛擬接口
[quidway-vlan100]ip address 172.16.2.1 255.255.255.0 //給vlan設定ip
[quidway]ip route-static 0.0.0.0 0.0.0.0 172.16.2.2 //設置默認路由
三、VLAN路由
(一)VLAN間路由
[quidway]vlan 10 //創建VLAN10
[quidway-vlan10]quit
[quidway]interface vlan 10 //進入vlan接口
[quidway-vlan-interfacev10]ip address 192.168.10.1 255.255.255.0 //給vlan配置三層虛擬Ip地址
[quidway]vlan 20
[quidway-vlan20]quit
[quidway]interface vlan 20 //進入VLAN20
[quidway-vlan-interfacev10]ip address 192.168.20.1 255.255.255.0 //給vlan配置三層虛擬Ip地址,給各VLAN的主機分配IP地址,網關都為各VLAN的三層虛擬IP地址。
(二)靜態路由
當多個三層交換機相連,或三層交換機與路由器相連時,需要設置靜態路由或動態路由。現介紹靜態路由。
三層交換機與路由器相連,或三層交換機與三層交機相連的方法:
在三層交換機上新建一個VLAN,並把與三層交換機或路由器相連的端口劃分到此VLAN中,(此VLAN只作為與三層交換機或路由器相連)並分配虛擬IP地址。並且此IP地址需要與其直連的三層交換機或路由器的接口地址處於同一個網段。並在三層交換機上設置到達另一個三層交換機的靜態或動態路由。
同時,與其直連的三層交換機或路由器上也需要有到本三層交換機相連的VLAN的靜態或動態路由。
[quidway]ip route 0.0.0.0 0.0.0.0 192.168.3.2 //設置默認路由,即所有數據包的路由的下一跳為192.168.3.2 ,此IP地址為與本交換機直連的路由器的接口的IP地址或三層交換機的虛擬IP地址。
此處為省事,寫了默認路由,也可以一條一條的路由寫。
(三)動態路由
1、rip
[quidway]rip
[quidway-rip]network 192.168.2.0 //發佈與其相連的網段的路由
[quidway-rip]network 192.168.3.0 //發佈與其相連的網段的路由
2、ospf
把接入客戶端的VLAN劃分到區域0以外的區域,三層交換機之間互聯的VLAN劃分到區域0,即骨幹區域。
四、生成樹協議
(一)STP
1、原理:
網橋ID(網橋優先級最小的)最小的是根網橋
每個網橋選舉一個根端口,到根網橋開銷最小的是端口是根端口,開銷相同時,端口優先級高的(端口優先級值低的)為根端口
每個網段選舉一個指定端口,到根網橋開銷最小的端口為網段的指定端口。開銷相同時,網橋ID小的為指定端口。根網橋的所有端口都是指定端口。
堵塞所有非根端口、指定端口。
注意:網內所有網橋共享一棵生成樹,不能按 VLAN阻塞冗餘鏈路。
(二)RSTP
1、原理
比STP有更快的收斂速度。但是同樣不能按LAN阻塞冗餘鏈路,所有VLAN的報文都沿著一棵生成樹進行轉發。
2、配置
[h3c]stp enable //開啟生成樹
[h3c]stp disable //關閉生成樹
[h3c]stp priority 0 //設 置網橋優先級,以選舉根網橋。優先級值越低,優先級越高。缺省32768,取值範圍:0--61440
[h3c]stp root primary //直接讓交換機成為根交換機
h3c]stp root second //直接讓交換機成為備份根交換機
[h3c-ethernet0/1]stp cost 2000 //設置端口的路徑開銷值。 取值範圍:1--200000000,開銷越小越容易被選為根端口和指定端口。
[h3c-ethernet0/1]stp port priority 64 //設置端口優先級,當開銷相同時,優先級高的成為根端口。
[h3c]stp timer hello 60 // 設置HELLO time時間,根網橋發送BPDU包的時間間隔。較長的hello 信息可以降低生成樹計算的消耗,同時會降低鏈路故障的反應速度。較短會頻繁發送配置消息增加網絡和CPU負擔。
[h3c]stp timer max-age 30 //控制網橋端口保存配置bpdu的最大時間
[h3c]stp timer forward-delay 30 //從阻塞狀態變為轉發狀態所需的時間
[h3c]stp bridge-diameter 7 //設置網絡直徑,最好不要超過7。只用在單生成樹實例的網絡中。
(三)MSTP
MSTP原理見CISCO交換機配置
配置:
[h3c]stp enable //啟動生成樹
[h3c]stp region-configuration //過入MST域視圖
[h3c-mst-region]region-name info //設置MST域名
[h3c-mst-region]instance 2 valn 2 to 10 //把VLAN映射 到生成樹實例。默認是映射到實例0.
[h3c-mst-region]instance 3 valn 11 to 20
[h3c-mst-region]revision-level 1 //設置MST域的MSTP修訂級別,即版本號
[h3c-mst-region]active region-configuration //手動激活MST域的配置
[h3c]stp instance 2 root primary //設置各MSTI實例的根。當實例號為0時,指定此交換機為CIST的根,而不是MSTI的根。也可以用優先級來設置。
[h3c]stp instance 2 root secondary //設置各實例的備份根
[h3c]undo stp instance 2 root //取消當前交換機的根或備份根交換機的資格
以下設置端口開銷
[h3c]stp interface gig1/0/1 instance 1 cost 2000 //設置端口在實例中的開銷,以選舉實例的根端口或指定端口。
[h3c]interface gig1/0/1
[h3c-gigabitethernet1/0/1] stp instance 1 cost 2000 //這種方法和上面的結果一樣,只是先進入端口,再設定。
以下設置端口優先級
[h3c]stp interface gig1/0/1 instance 1 port priority 16 //設置端口優先級
[h3c]interface gig1/0/1
[h3c-gigabitethernet1/0/1] stp instance 1 port priority 16//同樣是設置端口優先級
以下設置國邊緣端口
[h3c]stp interface gig1/0/1 edged-port enable //設置為邊緣端口
[h3c]stp interface gig1/0/1 edged-port disable //設置為非邊緣端口
[h3c]undo stp edged-port gig1/0/1 edged-port //恢復為缺省的非邊緣端口
[h3c]interface gig1/0/1 //方法二,先進入端口,再配置
[h3c-gigabitethernet1/0/1]stp edged-port enable
[h3c-gigabitethernet1/0/1]stp edged-port disable
[h3c-gigabitethernet1/0/1]undo stp edged-port
[h3c]stp mode {stp|mstp} //配置MSTP的工作模式。
[h3c]undo stp mode //恢復為默認的模式。默認為MSTP模式。
[h3c]stp max-hops 5 //設置MST域的最大跳數,以限制域的規模。最大跳數為20
閱讀更多 智能化弱電圈 的文章
