目录
第一章 端口操作 3
1.1配置以太网端口描述 3
1.2配置端口工作模式 3
1.3配置以太网端口速率 4
1.4配置自协商模式 4
1.5 Telnet 配置 4
1.6 IP+MAC+端口绑定 5
1.7堆叠管理配置 5
1.8端口操作实验 5
第二章 VLAN操作 7
2.1 VLAN的创建与删除 7
2.2 配置VLAN端口 7
2.3 VLAN监控和维护 7
2.4 VLAN间路由 8
2.5VLAN操作实验 8
第三章QACL访问控制列表操作 10
3.1访问控制列表ACL 10
3.2访问控制列表的子规则 11
3.3 激活访问控制列表 11
3.4访问控制列表实验 12
第四章Spanning Tree配置 13
4.1开启/关闭端口Spanning Tree特性 4.2 Spanning Tree监控和维护 13
4.3 Spanning Tree配置实验 14
第五章 系统网络管理 15
13
5.1设置团体名(Community Name) 15
5.2设置管理员的标识及联系方法(sysContact) 16
5.3允许或禁止发送Trap 16
5.4设置本地或远端设备的名字 16
5.5设置或删除一个SNMP的组 16
5.6设置或取消Trap目标主机的地址 17
5.7设置或取消S8016路由交换机的位置(sysLocation) 5.8指定发送Trap 的源地址 17
5.9 SNMP的组添加或删除一个新用户 18
5.10创建/更新视图的信息或删除视图 18
5.11监控和维护 18
第一章 端口操作
以太网端口配置包括:
17
进入以太网端口视图
打开/关闭以太网端口
对以太网端口进行描述
设置以太网端口双工状态
设置以太网端口速率
S8016路由交换机支持两种类型的以太网接口板:快速以太网板(FE)和千兆以太网板(GE)。快速以太网可提供16个百兆端口;千兆以太网板可提供4个千兆(又称吉比特)端口。
1.1配置以太网端口描述
请在以太网或吉比特以太网接口配置模式下进行下列配置。
配置以太网端口描述
操作 命令
设置以太网端口描述 description ethernet-description
恢复以太网端口缺省描述 undo description
1.2配置端口工作模式
以太网接口有全双工和半双工两种工作模式,在接口模式下可通过以下命令来进行配置。在配置时,注意要和对端设备的工作模式相同。缺省情况下,普通以太网FE电接口处于自动协商状态,FE光口为非自动协商状态,而GE接口处于非自动协商状态。
GE的光接口和FE的光接口只能为全双工,FE的电接口可以为全双工和半双工两种工作模式。缺省情况下,FE的电接口为全双工模式。
请注意,在设置半双工模式时,端口只能为FE的电接口,且此端口需工作在非环回态(禁止对内自环和对外回波)。
一般情况下,与Hub相连时,应置路由交换机以太网口为半双工方式;与LAN switch相连时,应置路由交换机以太网口为全双工方式。
配置端口工作模式
操作 命令
设置端口工作在全双工模式 duplex
设置端口工作在半双工模式 undo duplex
1.3配置以太网端口速率
以太网接口可支持多种速率。对于FE接口线路板而言,FE的电接口一般支持
10Mbit/s、100Mbit/s两种速率,而FE的光接口只支持100Mbit/s;而对于GE接口线路板,则只能选用1000Mbit/s速率。因此,只需对FE电接口进行配置,而FE光口/GE接口不需配置。
配置以太网端口速率
操作 命令
设置端口工作速度 speed { 10 | 100 | 1000 }
在配置时,注意要和对端设备配置成相同的速率。
1.4配置自协商模式
以太网接口允许工作在自协商模式,也就是当相连的两接口都在自协商模式时,两接口可通过协商自动确定工作速率和全双工、半双工模式。注意,此时双方的接口必须都处于自协商模式,否则,以太网协议不能保证协商出一致的结果。
电接口可以配置自协商模式,但光接口一般不配置自协商模式,因为光接口的工作速度和工作模式都为定配,无须再适配。
配置自协商模式
操作 命令
设置成自协商模式 negotiation auto
禁止自协商 undo negotiation auto
1.5 Telnet 配置
Telnet协议在TCP/IP协议族中属于应用层协议,通过网络提供远程登录和虚拟终端功能。
Telnet Server服务,用户在微机上可以运行Telnet客户端程序登录到交换机上,对交换机进行配置管理。
Telnet Client服务,用户在微机上通过终端仿真程序或Telnet程序建立与交换机的连接后,可以输入Telnet命令再登录其它交换机,对其进行配置管理。
操作 命令
创建VLAN vlan vlanid
配置VLAN接口IP ip add ip-address mac-address
Telnet Telnet ip-address
1.6 IP+MAC+端口绑定
通过对三层交换机进行ip+mac+端口的绑定,实现对合法用户上网的保护,访问恶意用户通过修改地址上网。
需求:对合法的用户进行ip+mac+端口的绑定,防止恶意用户通过更换自己的地址上网的行为。
操作 命令
配置端口的静态MAC地址 mac-address static mac-address interface interface vlan vlanid
1.7堆叠管理配置
指定堆叠管理地址池
使能堆叠,几秒钟后从交换机加入。
操作 命令
堆叠管理配置 stacking ip-pool ip-address
stacking enable
查看堆叠信息 display stack
display stacking members
1.8端口操作实验
要求:对端口的描述、速率、端口的绑定和堆叠以及Telnet进行配置。
第二章 VLAN操作
VLAN(Virtual Local Area Network)即虚拟局域网,是将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案
2.1 VLAN的创建与删除
请在全局配置模式下进行下列配置。
创建/删除VLAN
操作 命令
创建VLAN vlan vlanid
删除VLAN undo vlan vlanid
创建VLAN时,如果该VLAN已存在,则直接进入该VLAN配置模式。
缺省情况下,系统将所有端口都加入到一个缺省的VLAN中,该VLAN的ID为1。
2.2 配置VLAN端口
请在VLAN配置模式下进行下列配置。
增加/删除VLAN端口
操作 命令
增加一个或一组端口 port interfacetype { interfacenum [ to interfacenum ] } & <1-10>
删除一个或一组端口 undo port interfacetype { interfacenum [ to interfacenum ] } & <1-10>
输入端口组时,应保证输入的端口格式正确,关键字to之后的端口号要大于to之前的端口号,并要保证采用to形式输入的端口类型相同,两者之间包含的端口都存在。一次最大可以采用to形式输入10次。
2.3 VLAN监控和维护
请在特权用户模式下进行下列操作。
VLAN的监控和维护命令
操作 命令
显示当前系统所有VLAN display vlan
显示一个具体VLAN信息 display vlan vlanid
显示一个VLAN的流量统计信息 display vlan vlanid statistics
2.4 VLAN间路由
VLAN间路由的配置任务列表如下:
配置VLAN接口
配置VLAN接口的IP地址
配置VLAN接口的路由属性
配置VLAN接口
请在全局配置模式下进行下列配置。
配置VLAN接口
操作 命令
创建VLAN接口 interface vlanif vlanid
删除VLAN接口 undo interface vlanif vlanid
创建VLAN接口需要在配置好VLAN之后进行。
配置VLAN接口的IP地址
请在VLAN接口配置模式下进行下列配置。
创建/删除VLAN接口的IP地址
操作 命令
创建VLAN接口IP地址 ip address ip_address mask [ secondary ]
删除VLAN接口IP地址 undo ip address [ip_address mask [ secondary ]]
配置VLAN接口IP地址的命令中,secondary是可选参数,用于给VLAN配置多个IP地址。当添加或删除非第一个IP地址时需要输入secondary 。
2.5VLAN操作实验
实验要求:Vlan 1和Vlan 2之间互通
第三章QACL访问控制列表操作
3.1访问控制列表ACL
【命令】
acl { number acl-number | name acl-name [ advanced | basic | interface | link | user ] } [ match-order { config | auto } ]
undo acl { number acl-number | name acl-name | all }
【视图】
系统视图
【参数】
number acl-number:访问列表序号,取值范围为:
1~99:表示基本访问控制列表。
100~199:表示高级访问控制列表。
1000~1999:表示基于接口的访问控制列表。
200~299:表示二层访问控制列表。
300~399:表示用户自定义访问控制列表。
name acl-name:字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号;不区分大小写,不允许使用all、any关键字。
advanced:表示高级访问控制列表。
basic:表示基本访问控制列表。
interface:表示基于接口的访问控制列表。
link:表示二层访问控制列表。
user:表示用户自定义访问控制列表。
config:表示匹配访问列表的规则时按用户的配置顺序。
auto:表示匹配访问列表的规则时按深度优先顺序。
all:表示要删除所有的访问列表(包括数字标识的和名字标识的)。
【描述】
acl命令用来定义一条数字或名字标识的访问控制列表,并进入相应的访问控制列表视图,undo acl命令用来删除一条数字或名字标识的访问控制列表的所有子项,或者删除全部访问控制列表。
缺省情况下,按照config顺序匹配访问控制列表。
acl命令可以创建一个以“acl-name”命名的访问控制列表,此访问控制列表的类型由“advanced”、“basic”、“interface”、“link”、“user”关键字决定。无论数
字型还是名字型,进入相应的访问列表视图之后,可以用rule命令增加此命名访问列表的子项(用quit命令退出访问列表视图)。
可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序(优先匹配范围小的规则),如果不指定则缺省为用户配置顺序。用户一旦指定一条访问列表的匹配顺序后,就不能再更改,除非把该访问列表的子项全部删除,再重新指定其匹配顺序。注意,此处指定的匹配顺序只对用于过滤和分类由软件处理的数据的访问控制列表有效。
3.2访问控制列表的子规则
【命令】
定义或删除基本访问控制列表的子规则
rule [ rule-id ] { permit | deny } [ source source-addr source-wildcard | any ] [ fragment ] [ time-range time-range-name ]
undo rule rule-id [ source ] [ fragment ] [ time-range ]
定义或删除高级访问控制列表的子规则
rule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-addr dest-mask | any ] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [ fragment ]
[ time-range time-range-name ]
undo rule rule-id [ source ] [ destination ] [ soure-port ] [ destination-port ] [ icmp-type ] [ precedence ] [ tos ] [ dscp ] [ fragment ] [ time-range ]
定义或删除接口访问控制列表的子规则
rule [ rule-id ] { permit | deny } [ interface { interface-name | interface-type interface-num | any } ] [ time-range time-range-name ]
undo rule rule-id
定义或删除二层访问控制列表的子规则
rule [ rule-id ] { permit | deny } [ protocol-type ] [ format-type ] ingress { [ source-vlan-id ] [ source-mac-addr ] | any } egress { [ dest-mac-addr ] [ dest-vlan-id ] | any } [ time-range time-range-name ]
undo rule rule-id
【视图】
相应的访问控制列表视图
【参数】
rule-id:指定访问控制列表的子项,取值范围为0~127。
permit:表明允许满足条件的报文通过。
deny:表明禁止满足条件的报文通过。
time-range time-range-name:时间段的名称,可选参数,表示该规则在此时间段内有效。
3.3 激活访问控制列表
【命令】
packet-filter { [ ip-group { acl-number | acl-name } [ rule rule ] ] | [ link-group { acl-number | acl-name } [ rule rule ] ] }
undo packet-filter { [ ip-group { acl-number | acl-name } [ rule rule ] ] | [ link-group { acl-number | acl-name } [ rule rule ] ] }
【视图】
系统视图
【参数】
ip-group { acl-number | acl-name }:表示激活IP访问控制列表,包括基本、高级
和基于接口的访问控制列表。acl-number:访问控制列表序号,1到199之间和1000到1999之间的一个数值。acl-name:访问控制列表名字,字符串参数,必须以英文字母(即[ a~z,A~Z])开头,而且中间不能有空格和引号。
link-group { acl-number | acl-name }:表示激活二层访问控制列表。acl-number:访问控制列表序号,200到299之间的一个数值。acl-name:访问控制列表名字,字符串参数,必须以英文字母(即[ a~z,A~Z])开头,而且中间不能有空格和引号。
rule rule:可选参数,指定激活访问列表中的哪个子项,取值范围为0~127,如果不指定则表示要激活访问列表中的所有子项。
【描述】
packet-filter命令用来激活访问控制列表,undo packet-filter命令用来取消激活。
3.4访问控制列表实验
实验图利用第二章实验图
实验要求:只有一个IP地址能Telnet到华为S80
第四章Spanning Tree配置
4.1开启/关闭端口Spanning Tree特性
请在全局配置模式进行下列配置。
启动/关闭RSTP
操作 命令
启动RSTP协议 spanning-tree enable
关闭RSTP协议 spanning-tree disable
恢复RSTP协议状态为缺省值 undo spanning-tree
开启设备的Spanning Tree特性后,会占用一部分网络资源。
缺省情况下,不运行RSTP协议。
为了灵活地控制RSTP工作,可以关闭指定的以太网端口的Spanning Tree特性,使这些端口不参与生成树计算。
4.2 Spanning Tree监控和维护
请在特权用户配置模式下进行下列操作。
RSTP的监控和维护命令
操作 命令
显示本设备及当前端口的配置信息 display spanning-tree [ ports_list ]
显示本设备及当前端口配置信息和统计信息 display spanning-tree Statistics [ ports_list ]
display spanning-tree命令可显示RSTP当前运行状态等信息以及以太网端口各种RSTP配置参数。
4.3 Spanning Tree配置实验
实验图同第一章实验二图
实验要求:在不配置端口汇聚的情况下,配置Spanning Tree,观察是否还有环路。
第五章 系统网络管理
SNMP(Simple Network Management Protocol,简单网络管理协议)是被广泛接受并投入使用的工业标准,是Internet 的网络管理标准协议。它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索信息、修改信息,完成故障诊断、容量规划和报告生成。 它采用轮询与陷阱(Trap)上报相结合的机制,提供最基本的功能集,适合小型、快速、低价格的环境使用。SNMP协议中的主要概念如下:
MIB:Management Information Base,管理信息库;
NMS:Network Management Station,网络管理站;
MO:Managed Objects,被管理对象。指所有被管理的网络设备;
SNMP的配置任务有:
设置团体名(Community Name)
设置sysContact
允许或禁止发送Trap
配置本地或远端设备的名字
配置一个SNMP的组
设置Trap目标主机的地址
设置sysLocation
指定发送Trap的源地址
为一个SNMP的组添加一个新用户
设定SNMP引擎启动次数
创建或者更新视图的信息
5.1设置团体名(Community Name)
SNMPV3采用团体名认证方案,与设备认可的团体名不符的SNMP 报文将被丢弃。SNMP 团体(Community)由一字符串来命名,称为团体名(Community Name)。不同的团体可具有只读(read-only)或读写(read-write)权限。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置。
请在全局配置模式下进行下列配置。
设置团体名
操作 命令
设置团体名及访问权限 snmp-server community community-name [ view view-name ] [ ro | rw ]
取消先前设置的团体名 undo snmp-server community community-name
5.2设置管理员的标识及联系方法(sysContact)
sysContact是MIB II中system组的一个管理变量,内容为被管理设备相关人员的标识及联系方法。
请在全局配置模式下进行下列配置。
设置管理员的标识及联系方法
操作 命令
设置管理员的标识及联系方法 snmp-server contact sysContact
删除管理员的标识及联系方法 undo snmp-server contact
Trap是被管理设备主动向NMS发送的不经请求的信息,用于报告一些紧急的重要事件。
请在全局配置模式下进行下列配置。
5.3允许或禁止发送Trap
允许或禁止发送Trap
操作 命令
允许发送Trap snmp-server enable traps
禁止发送Trap undo snmp-server enable traps
缺省情况下,S8016禁止发送Trap。
5.4设置本地或远端设备的名字
利用该命令可以设置本地或远端设备的引擎ID,缺省为公司的企业号+设备信息,设备信息可以是IP地址、MAC地址或自己定义的文本。
请在全局配置模式下进行下列操作。
设置本地或远端设备的引擎ID
操作 命令
设置设备的引擎ID snmp-server engineid engineid
设置设备的引擎ID为缺省值 undo snmp-server engineid engineid
5.5设置或删除一个SNMP的组
利用该命令可以设置SNMP的一个组,此命令的undo形式用来删除SNMP的一个组。
请在全局配置模式下进行下列操作。
设置或删除一个SNMP组
操作 命令
设置一个SNMP组 snmp-server group groupname {v1 | v2c | v3 {auth | undoauth | priv} } [ read readview ] [ write writeview ] [ undotify undotifyview ]
删除一个SNMP组 undo snmp-server group groupname {v1 | v2c | v3 {auth | undoauth | priv} }
5.6设置或取消Trap目标主机的地址
请在全局配置模式下进行下列操作。
设置或取消Trap目标主机的地址
操作 命令
设置Trap主机的地址 snmp-server host host-addr [ version { 1 | 2c | 3 { auth | undoauth | priv} } ] community-string
取消Trap主机的地址 undo snmp-server host
host-addr community-string
5.7设置或取消S8016路由交换机的位置(sysLocation)
sysLocation是MIB中system组的一个管理变量,用于表示被管理设备的位置。
请在全局配置模式下进行下列配置。
设置S8016的位置
操作 命令
设置S8016路由交换机位置 snmp-server location sysLocation
取消S8016路由交换机位置 undo snmp-server location
5.8指定发送Trap 的源地址
该命令可以设定发送Trap 的源地址,如IP地址;此命令的undo形式用来删除指定发送Trap的源地址。
请在全局配置模式下进行下列操作。
设置Trap的源地址
操作 命令
指定发送Trap 的源地址 snmp-server trap-source { meth meth_num | vlanif vlanid }
取消发送Trap 的源地址 undo snmp-server trap-source
5.9 SNMP的组添加或删除一个新用户
该命令可以为SNMP组添加一个新用户,此命令的undo形式用来删除一个用户。
请在全局配置模式下进行下列操作。
SNMP组添加一个新用户或删除一个用户
操作 命令
为SNMP组添加一个新用户 snmp-server user username groupname [ auth { md5 | mkey | sha | skey }auth-password [ { priv | pkey } des56 password ] ]
删除SNMP组的一个用户 undo snmp-server user username groupname
5.10创建/更新视图的信息或删除视图
该命令可以创建或者更新视图的信息,此命令的undo形式用来删除视图。
创建或更新视图的信息或删除视图
操作 命令
创建或更新视图的信息 snmp-server view view-name oid-tree { included | excluded }
删除视图 undo snmp-server view view-name
5.11监控和维护
display snmp命令输出SNMP Agent收发报文的统计数字。
请在特权用户模式下进行下列配置。
显示SNMP系统信息
因篇幅问题不能全部显示,请点此查看更多更全内容