H3C培训.ppt.Convertor

H3C交换机基本配置及网络维护培训Page1of251交换机基本配置及网络维护培训ISSUE1.0目录第一章VLAN原理及基本配置第二章STP原理及基本配置第三章ACL原理及基本配置第四章设备管理基本配置第五章常用维护方法和命令第一章VLAN原理及基本配置1.VLAN的产生原因－广播风暴传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中…………广播广播HUB是物理层设备，没有交换功能，接收到的报文会向除接收端口外的所有端口转发；交换机是数据链路层设备，具备根据报文的目的MAC地址进行转发的能力，但在收到广播报文或未知单播报文（报文的目的MAC地址不在交换机MAC地址表中）时，也会向除接收端口之外的所有端口转发。上述情况会造成以下的网络问题：网络中可能存在着大量广播和未知单播报文，浪费网络资源。网络中的主机收到大量并非以自身为目的地的报文，造成了严重的安全隐患。H3C交换机基本配置及网络维护培训Page2of2522.通过路由器隔离广播域路由器路由器…………广播广播路由器的成本较高，而且端口较少，无法细致地划分网络，所以使用路由器隔离广播域有很大的局限性3.通过VLAN划分广播域BroadcastDomain1BroadcastDomain1VLAN10VLAN10BroadcastDomain2BroadcastDomain2VLAN20VLAN20BroadcastDomain3BroadcastDomain3VLAN30VLAN30市场部工程部财务部VLAN优点：控制广播域的范围：局域网内的广播报文被限制在一个VLAN内，节省了带宽，提高了网络处理能力。增强了LAN的安全性：由于报文在数据链路层被VLAN划分的广播域所隔离，因此各个VLAN内的主机间不能直接通信，需要通过路由器或三层交换机等网络层设备对报文进行三层转发。灵活创建虚拟工作组：使用VLAN可以创建跨物理网络范围的虚拟工作组，当用户的物理位置在虚拟工作组范围内移动时，不需要更改网络配置即可以正常访问网络。H3C交换机基本配置及网络维护培训Page3of2534.以太网端口的链路类型Accesslink：只能允许某一个VLAN的untagged数据流通过。Trunklink：允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。Hybridlink：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。Hybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN的报文发送时不携带标签。三种类型的端口可以共存在一台设备上AccessLink和TrunkLinkAccesslinkAccesslinkTrunklinkTrunklinkTrunkLink和VLANVLAN10VLAN10VLAN2VLAN2VLAN10VLAN10VLAN3VLAN3VLAN2VLAN2VLAN10VLAN10VLAN5VLAN5VLAN5VLAN5VLAN2VLAN2VLAN5VLAN5广播报文发送广播报文发送TrunkLinkTrunkLinkH3C交换机基本配置及网络维护培训Page4of254数据帧在网络通信中的变化VLAN2VLAN2VLAN3VLAN3VLAN3VLAN3VLAN2VLAN2带有带有VLAN3VLAN3标签的以太网帧标签的以太网帧带有带有VLAN2VLAN2标签的以太网帧标签的以太网帧不带不带VLANVLAN标签的标签的以太网帧以太网帧VLAN配置命令（1）创建VLAN.vlan100(1-4094)删除VLAN.undovlan100(1-4094)在VLAN中增加端口.portEthernet2/0/1在VLAN中删除端口.undoportEthernet2/0/1将端口加入VLANportaccessvlan100(1-4094)将端口脱离VLANundoportaccessvlan100(1-4094)显示VLAN信息displayvlanVLANID(1-4094)VLAN配置命令（2）定义端口属性为Trunk.portlink-typetrunk删除端口Trunk属性.undoportlink-type定义端口可以传输的VLAN.porttrunkpermitvlanVLANID在VLAN中删除端口.undoporttrunkpermitvlanVLANIDH3C交换机基本配置及网络维护培训Page5of255配置VLAN虚接口为已存在的VLAN创建对应的VLAN接口，并进入VLAN接口视图interfaceVlan-interfacevlan-id删除一个VLAN接口undointerfaceVlan-interface*缺省情况下，在交换机上不存在VLAN接口*可以通过ipaddress命令配置IP地址，使接口可以为在该VLAN范围内接入的设备提供基于IP层的数据转发功能*在创建VLAN接口之前，必须先创建对应的VLAN，否则无法创建VLAN接口配置IP地址ipaddress命令用来配置VLAN接口/LoopBack接口的IP地址和掩码undoipaddress命令用来删除VLAN接口/LoopBack接口的IP地址和掩码ipaddressip-address{mask|mask-length}[sub]undoipaddress[ip-address{mask|mask-length}[sub]]*在一般情况下，一个VLAN接口/LoopBack接口/网络管理接口配置一个IP地址即可，但为了使交换机的一个VLAN接口/LoopBack接口/网络管理接口可以与多个子网相连，一个VLAN接口/LoopBack接口/网络管理接口最多可以配置多个IP地址，其中一个为主IP地址，其余为从IP地址静态路由的配置命令和示例[H3C]iproute-staticip-address{mask|masklen}{interface-typeinterfacce-name|nexthop-address}[preferencevalue][reject|blackhole]例如：iproute-static129.1.0.01610.0.0.2iproute-static129.1.0.0255.255.0.010.0.0.2iproute-static129.1.0.016Serial2/0H3C交换机基本配置及网络维护培训Page6of256主从IP地址举例Vlan-int1172.16.1.1/24172.16.2.1/24sub172.16.1.0/24172.16.1.2/24172.16.2.0/24172.16.2.2/24HostAHostBSwitchVLAN配置举例为保证部门间数据的二层隔离，现要求将PC1和Server1划分到VLAN100中，PC2和Server2划分到VLAN200中。并分别为两个VLAN设置描述字符为“Dept1”和“Dept2”在SwitchA上配置VLAN接口，对PC1发往Server2的数据进行三层转发。两个部门分别使用192.168.1.0/24和192.168.2.0/24两个网段SwitchASwitchBPC1PC2Eth1/0/1Eth1/0/2Eth1/0/10Eth1/0/11Eth1/0/12Eth1/0/13Server2Server1H3C交换机基本配置及网络维护培训Page7of257配置SwitchA#创建VLAN100，并配置VLAN100的描述字符串为“Dept1”，将端口Ethernet1/0/1加入到VLAN100。SwitchAsystem-view[SwitchA]vlan100[SwitchA-vlan100]descriptionDept1[SwitchA-vlan100]portEthernet1/0/1[SwitchA-vlan100]quit#创建VLAN200，并配置VLAN200的描述字符串为“Dept2”。[SwitchA]vlan200[SwitchA-vlan200]descriptionDept2[SwitchA-vlan200]quit#创建VLAN100和VLAN200的接口，IP地址分别配置为192.168.1.1和192.168.2.1，用来对PC1发往Server2的报文进行三层转发。[SwitchA]interfaceVlan-interface100[SwitchA-Vlan-interface100]ipaddress192.168.1.124[SwitchA-Vlan-interface100]quit[SwitchA]interfaceVlan-interface200[SwitchA-Vlan-interface200]ipaddress192.168.2.124配置SwitchB#创建VLAN100，并配置VLAN100的描述字符串为“Dept1”，将端口Ethernet1/0/13加入到VLAN100。SwitchBsystem-view[SwitchB]vlan100[SwitchB-vlan100]descriptionDept1[SwitchB-vlan100]portEthernet1/0/13[SwitchB-vlan103]quit#创建VLAN200，并配置VLAN200的描述字符串为“Dept2”，将端口Ethernet1/0/11和Ethernet1/0/12加入到VLAN200。[SwitchB]vlan200[SwitchB-vlan200]descriptionDept2[SwotchB-vlan200]portEthernet1/0/11Ethernet1/0/12[SwitchB-vlan200]quitH3C交换机基本配置及网络维护培训Page8of258配置SwitchA和SwitchB之间的链路由于SwitchA和SwitchB之间的链路需要同时传输VLAN100和VLAN200的数据，所以可以配置两端的端口为Trunk端口，且允许这两个VLAN的报文通过。#配置SwitchA的Ethernet1/0/2端口。[SwitchA]interfaceEthernet1/0/2[SwitchA-Ethernet1/0/2]portlink-typetrunk[SwitchA-Ethernet1/0/2]porttrunkpermitvlan100[SwitchA-Ethernet1/0/2]porttrunkpermitvlan200#配置SwitchB的Ethernet1/0/10端口。[SwitchB]interfaceEthernet1/0/10[SwitchB-Ethernet1/0/10]portlink-typetrunk[SwitchB-Ethernet1/0/10]porttrunkpermitvlan100[SwitchB-Ethernet1/0/10]porttrunkpermitvlan200注意事项VLAN1-缺省就有，不需要创建，也无法删除-不建议用作业务VLAN-可以用作管理VLANTrunk链路-只允许所需的VLAN通过，不要配置porttrunkpermitvlanall-最好配置上undoporttrunkpermitvlan1第二章STP原理及基本配置生成树STP（SpanningTreeProtocol，生成树协议）是根据IEEE协会制定的802.1D标准建立的，用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互报文发现网络中的环路，并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免主机由于重复接收相同的报文造成的报文处理能力下降的问题发生。STP配置命令启动全局STP特性stpenable关闭全局STP特性undostpe