H3C官方基本配置及网络维护培训

网络故障排除目录第一章VLAN原理及基本配置第二章ACL原理及基本配置第三章常用维护方法和命令第四章案例分析VLAN的产生原因－广播风暴……广播传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中通过路由器隔离广播域路由器……广播通过VLAN划分广播域BroadcastDomain1VLAN10BroadcastDomain2VLAN20BroadcastDomain3VLAN30市场部工程部财务部以太网端口的链路类型•Accesslink：只能允许某一个VLAN的untagged数据流通过。•Trunklink：允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。•Hybridlink：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。•Hybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN的报文发送时不携带标签。•三种类型的端口可以共存在一台设备上AccessLink和TrunkLinkAccesslinkTrunklinkTrunkLink和VLANVLAN10VLAN2VLAN10VLAN3VLAN2VLAN10VLAN5VLAN5VLAN2VLAN5广播报文发送TrunkLinkVLAN2VLAN3VLAN3VLAN2带有VLAN3标签的以太网帧带有VLAN2标签的以太网帧不带VLAN标签的以太网帧数据帧在网络通信中的变化第一章VLAN原理及基本配置第二章ACL原理及基本配置第三章常用维护方法和命令第四章案例分析目录ACL访问控制列表为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（AccessControlList，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL可应用在交换机全局或端口上，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。以太网访问列表•主要作用:在整个网络中分布实施接入安全性服务器部门A部门BIntranet访问控制列表ACL对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包过滤镜像流量限制流量统计分配队列优先级流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型源/目的MAC地址以太网封装格式VlanID入/出端口3/4层流分类项协议类型源/目的IP地址源/目的端口号DSCPIP数据包过滤IPheaderTCPheaderApplication-levelheaderData应用程序和数据源/目的端口号源/目的IP地址L3/L4过滤应用网关TCP/IP包过滤元素访问控制列表的构成•Rule（访问控制列表的子规则）•Time-range（时间段机制）•ACL=rules[+time-range]（访问控制列表由一系列规则组成，有必要时会和时间段结合）访问控制列表策略:ACL1策略:ACL2策略:ACL3...策略:ACLN时间段的相关配置•在系统视图下，配置时间段:–time-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]•在系统视图下，删除时间段:–undotime-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]假设管理员需要在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下:[System]time-rangedenytimefrom8:0012-01-2002to18:0001-01-2003访问控制列表的类型•2000～2999：表示基本ACL。只根据数据包的源IP地址制定规则。•3000～3999：表示高级ACL（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。•4000～4999：表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。•5000～5999：表示用户自定义ACL。以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。定义访问控制列表•在系统视图下，定义ACL并进入访问控制列表视图:–acl{numberacl-number|nameacl-namebasic|advanced|interface|link}[match-order{config|auto}]•在系统视图下，删除ACL:–undoacl{numberacl-number|nameacl-name|all}基本访问控制列表的规则配置•在基本访问控制列表视图下，配置相应的规则–rule[rule-id]{permit|deny}[sourcesource-addrsource-wildcard|any][fragment][time-rangetime-range-name]•在基本访问控制列表视图下，删除一条子规则–undorulerule-id[source][fragment][time-range]高级访问控制列表的规则配置•在高级访问控制列表视图下，配置相应的规则–rule[rule-id]{permit|deny}protocol[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-mask|any][soure-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typeicmp-typeicmp-code][established][precedenceprecedence][tostos]|[dscpdscp][fragment][time-rangetime-range-name]•在高级访问控制列表视图下，删除一条子规则–undorulerule-id[source][destination][soure-port][destination-port][precedence][tos]|[dscp][fragment][time-range]端口操作符及语法•TCP/UDP协议支持的端口操作符及语法操作符及语法含义eqportnumber等于portnumbergtportnumber大于portnumberltportnumber小于portnumberneqportnumber不等于portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间接口访问控制列表的规则配置•在接口访问控制列表视图下，配置相应的规则–rule[rule-id]{permit|deny}[interface{interface-name|interface-typeinterface-num|any}][time-rangetime-range-name]•在接口访问控制列表视图下，删除一条子规则–undorulerule-id二层访问控制列表的规则配置•在二层访问控制列表视图下，配置相应的规则–rule[rule-id]{permit|deny}[protocol][cosvlan-pri]ingress{{[source-vlan-id][source-mac-addrsource-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}egress{{[dest-mac-addrdest-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}[time-rangetime-range-name]•在二层访问控制列表视图下，删除一条子规则–undorulerule-id自定义访问控制列表的规则配置•在自定义访问控制列表视图下，配置相应的规则–rule[rule-id]{permit|deny}{rule-stringrule-maskoffset}&1-20[time-rangetime-range-name]•在自定义访问控制列表视图下，删除一条子规则–undorulerule-id•用户自定义访问控制列表的数字标识取值范围为5000～5999规则匹配原则•一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序：–Config：指定匹配该规则时按用户的配置顺序（后下发先生效）–Auto：指定匹配该规则时系统自动排序（按“深度优先”的顺序）激活访问控制列表•在系统视图下，激活ACL:–packet-filter{user-group{acl-number|acl-name}[rulerule]|{[ip-group{acl-number|acl-name}[rulerule]][link-group{acl-number|acl-name}[rulerule]]}}•在系统视图下，取消激活ACL:–undopacket-filter{user-group{acl-number|acl-name}[rulerule]|{[ip-group{acl-number|acl-name}[rulerule]][link-group{acl-number|acl-name}[rulerule]]}}配置ACL进行包过滤的步骤•综上所述，在System交换机上配置ACL进行包过滤的步骤如下：–配置时间段（可选）–定义访问控制列表（四种类型：基本、高级、基于接口、基于二层和用户自定义）–激活访问控制列表访问控制列表配置举例一要求配置高级ACL，禁止员工在工作日8:00～18:00的时间段内访问新浪网站（61.172.201.194）1.定义时间段[System]time-rangetest8:00to18:00working-day2.定义高级ACL3000，配置目的IP地址为新浪网站的访问规则。[System]aclnumber3000[System-acl-adv-3000]rule1denyipdestination61.172.201.1940time-rangetest3.在端口Ethernet1/0/15上应用ACL3000。[System]interfaceEthernet1/0/15[System-Ethernet1/0/15]packet-filterinboundip-group3000访问控制列表配置举例二配置防病毒ACL1.定义高级ACL3000[System]aclnumber3000[System-acl-adv-3000]rule1denyudpdestination-porteq335[System-acl-adv-3000]rule3denytcpsource-porteq3365[System-acl-adv-3000]rule4denyudpsource61.22.3.00.0.0.255destination-porteq38752.在端口Ethernet1/0/1上应用A