华为交换机 综合配置案例
2综合配置案例关于本章
2.1 中小型园区/分支出口综合配置举例
2.2 大型园区出口配置示例(防火墙直连部署)
2.3 大型园区出口配置示例(防火墙旁路部署)
2.4 校园敏捷网络配置示例
2.5 轨道交通承载网快速自愈保护技术配置举例
2.6 配置交换机上同时部署ACU2和NGFW的示例
2.1 中小型园区/分支出口综合配置举例
园区网出口简介
园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之
间数据流的唯一出入口。对于中小型企业来说,考虑到企业网络建设的初期投资与长
期运维成本,一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访
问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用
运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络,一般考虑部
署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路
由等技术保证园区出口的可靠性。华为AR系列路由器配合华为S系列交换机是中小型
园区网出口设备的理想解决方案。
l园区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需
求。
l园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求。
l园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全。
l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。
配置注意事项
l本配置案例适用于中小型企业园区/分支出口解决方案。
l本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。
组网需求
某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部
门,分支只有一个部门。现在需要建设跨地域的企业园区网络,需要实现的需求如
下:
l总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门,其中A部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户
都可以访问Internet。
l总部有Web服务器,对外提供WWW服务,外网用户可以访问内网服务器。
l总部和分支之间需要通过Internet进行私网VPN互通,通信内容需要有安全保护。
l总部园区出口可靠性要求较高,需要考虑链路级的可靠性和设备级的可靠性。
l分支可以适当降低可靠性要求。
方案介绍
根据用户需求,可以给出如图2-1所示的综合配置解决方案,该方案具备层次化、模块
化、冗余性、安全性的特点,适用于中小型企业/分支的园区网络部署。
图2-1 中小型园区/分支出口综合配置组网图
ACC1
Eth-Trunk1CORE
RouterA
Eth-Trunk1
Eth-Trunk2
Eth-Trunk1
GE1/0/0GE1/0/0
Web 服务器
Eth-Trunk1
OSPF Area 0
VRRP VRID1
PC5
PC6打印机3
Eth-Trunk3
Eth-Trunk4GE1/0/0
GE2/0/0
RouterC
RouterE
SwitchA
GE0/0/1Eth0/0/2A
C
Eth0/0/2
GE0/0/5
部门部门企业分支
打印机PC2PC1打印机2
PC4PC3 l
在网络的接入层部署华为S2700&S3700交换机(ACC1、ACC2、SwitchA ),在网络的核心部署华为S5700交换机(CORE ),在园区出口部署华为AR3200路由器(RouterA 、RouterB 、RouterC )。
l总部采用双AR出口冗余备份方式,保证设备级的可靠性。分支部署一台AR路由器做出口。
l总部核心交换机采用两台S5700交换机做堆叠,保证设备级的可靠性。
l总部接入交换机与核心交换机之间以及核心交换机与出口路由器之间采用Eth-
Trunk方式组网,保证链路级的可靠性。
l总部每个部门业务划分到一个VLAN中,部门间的业务在核心交换机CORE上通过VLANIF三层互通。
l总部核心交换机作为用户及服务器网关,部署DHCP Server为用户分配IP地址。
l分支用户的网关直接部署在出口路由器上。
l总部两个出口路由器之间部署VRRP,保证可靠性。
l总部和分支之间通过Internet构建IPSec VPN进行私网互通,同时保证数据传输的安全性。
l总部两台出口路由器和核心交换机之间部署OSPF,用于发布用户路由,便于后期扩容及维护。
配置思路
采用如下思路部署中小型园区/分支出口综合配置举例:
1.部署总部及分支园区内网
总部:部署堆叠、链路聚合,配置各VLAN及IP地址、部署DHCP Server,实现园
区内网互通。部门内部通过接入层交换机进行二层互通,部门间通过核心交换机
CORE上的VLANIF进行三层互通。
分支:配置接入层交换机及出口路由器的各接口VLAN及IP地址,部署DHCP
Server,实现分支园区内网互通。
2.部署VRRP
为了保证总部核心交换机与两个出口路由器之间的可靠性,在两个出口路由器之
间部署VRRP,VRRP的心跳报文经过核心交换机进行交互。RouterA为Master设
备,RouterB为Backup设备。
为了防止总部RouterA上行链路故障的时候业务断流,将VRRP状态与RouterA的上
行口进行联动,保证上行链路故障时VRRP进行快速倒换。
3.部署路由
为了引导各设备的上行流量,在总部核心交换机上配置一条缺省路由,下一跳指
向VRRP的虚地址,在总部及分支的出口路由器上各配置一条缺省路由,下一跳指
向运营商网络设备的对接地址(公网网关)。
为了引导总部两个出口路由器的回程流量,在两个出口路由器和核心交换机之间
部署OSPF,核心交换机上将所有用户网段发布到OSPF里面,通告给两个出口路
由器。
为了引导外网用户访问Web服务器的流量,需要在总部的运营商路由器上配置两
条目的地址为服务器公网地址的静态路由,下一跳分别指向两个出口路由器的上
行口IP地址。并且为了保证路由和VRRP同步切换,设置下一跳为RouterA的这条
路由优先,当这条路由失效的时候下一跳指向RouterB的路由生效。
4.部署NAT Outbound
为了使内网用户访问Internet,在两台出口路由器的上行口配置NAT,实现私网地
址和公网地址之间的转换。通过ACL匹配A部门的源IP地址,从而实现A部门的用
户可以访问Internet,而B部门的用户不能访问Internet。
5.NAT Server
为了实现外网用户访问内网Web服务器,在两个出口路由器的上行口上配置NAT
Server,实现服务器公网地址和私网地址之间的映射。
6.部署IPSec VPN
为了实现总部和分支之间进行私网VPN互通,在总部出口路由器和分支出口路由
器之间部署IPSec VPN,通过Internet构建IPSec VPN,实现总部和分支之间的安全
通信。
部署总部及分支园区内网所涉及的配置不在本例中给出,请参见华为S系列园区交换机快速配置
中的“中小园区组网场景”。
数据规划
详细的数据规划如表2-1、表2-2、表2-3所示。
表2-1链路聚合接口规划
所有链路聚合采用LACP模式。
表2-2 VLAN规划
表2-3 IP地址规划
操作步骤
步骤1配置总部核心交换机CORE和两个出口路由器之间互联的Eth-Trunk
# 配置核心交换机CORE。
[HUAWEI] sysname CORE
[CORE] interface eth-trunk 3
[CORE-Eth-Trunk3] mode lacp
[CORE-Eth-Trunk3] quit
[CORE] interface eth-trunk 4
[CORE-Eth-Trunk4] mode lacp
[CORE-Eth-Trunk4] quit
[CORE] interface gigabitethernet 0/0/3
[CORE-GigabitEthernet0/0/3] eth-trunk 3
[CORE-GigabitEthernet0/0/3] quit
[CORE] interface gigabitethernet 1/0/3
[CORE-GigabitEthernet1/0/3] eth-trunk 3
[CORE-GigabitEthernet1/0/3] quit
[CORE] interface gigabitethernet 0/0/4
[CORE-GigabitEthernet0/0/4] eth-trunk 4
[CORE-GigabitEthernet0/0/4] quit
[CORE] interface gigabitethernet 1/0/4
[CORE-GigabitEthernet1/0/4] eth-trunk 4
[CORE-GigabitEthernet1/0/4] quit
# 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。
[Huawei] sysname RouterA
[RouterA] interface eth-trunk 1
[RouterA-Eth-Trunk1] undo portswitch
[RouterA-Eth-Trunk1] mode lacp-static
[RouterA-Eth-Trunk1] quit
[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] eth-trunk 1
[RouterA-GigabitEthernet2/0/0] quit
[RouterA] interface gigabitethernet 2/0/1
[RouterA-GigabitEthernet2/0/1] eth-trunk 1
[RouterA-GigabitEthernet2/0/1] quit
步骤2配置各接口的所属VLAN及IP地址
# 配置核心交换机CORE。
[CORE] vlan 100
[CORE] quit
[CORE] interface Eth-Trunk 3
[CORE-Eth-Trunk3] port link-type trunk
[CORE-Eth-Trunk3] port trunk allow-pass vlan 100
[CORE-Eth-Trunk3] quit
[CORE] interface Eth-Trunk 4
[CORE-Eth-Trunk4] port link-type trunk
[CORE-Eth-Trunk4] port trunk allow-pass vlan 100
[CORE-Eth-Trunk4] quit
[CORE] interface vlanif 100
[CORE-Vlanif100] ip address 10.10.100.4 24
[CORE-Vlanif100] quit
# 配置总部出口路由器RouterA。RouterB的配置与RouterA类似。
[RouterA] interface Eth-Trunk 1.100
[RouterA-Eth-Trunk1.100] ip address 10.10.100.2 24
[RouterA-Eth-Trunk1.100] dot1q termination vid 100
[RouterA-Eth-Trunk1.100] arp broadcast enable //使能接口可以处理ARP广播报文功能;AR3200系列路由
器V200R003C01及之后的版本默认已经使能了该功能,无需配置。
[RouterA-Eth-Trunk1.100] quit
[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] ip address 202.10.1.2 24
[RouterA-GigabitEthernet1/0/0] quit
# 配置分支出口路由器RouterC。
[Huawei] sysname RouterC
[RouterC] interface gigabitethernet 1/0/0
[RouterC-GigabitEthernet1/0/0] ip address 203.10.1.2 24
[RouterC-GigabitEthernet1/0/0] quit
步骤3部署VRRP。在总部两个出口路由器RouterA和RouterB之间配置VRRP,RouterA为VRRP的Master,RouterB为VRRP的Backup
# 配置RouterA。
[RouterA] interface Eth-Trunk 1.100
[RouterA-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1
[RouterA-Eth-Trunk1.100] vrrp vrid 1 priority 120
[RouterA-Eth-Trunk1.100] vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
[RouterA-Eth-Trunk1.100] quit
//为了防止RouterA的上行链路中断的时候数据流发送至VRRP的Master以后不能继续上行,配置VRRP的状态和
RouterA的上行口进行联动,保证RouterA上行链路中断的时候VRRP状态迅速倒换。
# 配置RouterB。
[RouterB] interface Eth-Trunk 1.100
[RouterB-Eth-Trunk1.100] vrrp vrid 1 virtual-ip 10.10.100.1
[RouterB-Eth-Trunk1.100] quit
配置完成后,RouterA和RouterB之间应该能建立VRRP的主备份关系,执行display vrrp 命令可以看到RouterA和RouterB的VRRP状态。
# 查看RouterA的VRRP状态为Master。
[RouterA] display vrrp
Eth-Trunk1.100 | Virtual Router 1
State : Master
Virtual IP : 10.10.100.1
Master IP : 10.10.100.2
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Track IF : GigabitEthernet1/0/0 Priority reduced : 40
IF state : UP
Create time : 2015-05-18 06:53:47 UTC-05:13
Last change time : 2015-05-18 06:54:14 UTC-05:13
# 查看RouterB的VRRP状态为Backup。
[RouterB] display vrrp
Eth-Trunk1.100 | Virtual Router 1
State : Backup
Virtual IP : 10.10.100.1
Master IP : 10.10.100.2
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2015-05-18 06:53:52 UTC-05:13
Last change time : 2015-05-18 06:57:12 UTC-05:13
步骤4部署路由
1.部署缺省路由,用于引导各个设备的上行流量
# 在核心交换机CORE上配置一条缺省路由,下一跳指向VRRP的虚地址。
[CORE] ip route-static 0.0.0.0 0.0.0.0 10.10.100.1
# 在总部及分支出口路由器上各配置一条缺省路由,下一跳指向运行商网络设备的
对接地址(公网网关)。
[RouterA] ip route-static 0.0.0.0 0.0.0.0 202.10.1.1
[RouterB] ip route-static 0.0.0.0 0.0.0.0 202.10.2.1
[RouterC] ip route-static 0.0.0.0 0.0.0.0 203.10.1.1
2.部署OSPF。在总部两个出口路由器RouterA、RouterB以及总部核心交换机CORE
之间部署OSPF,用于两个出口路由器RouterA和RouterB学习用户网段的回程路由
# 配置总部出口路由器RouterA。
[RouterA] ospf 1 router-id 10.1.1.1
[RouterA-ospf-1] area 0
[RouterA-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] quit
# 配置总部出口路由器RouterB。
[RouterB] ospf 1 router-id 10.2.2.2
[RouterB-ospf-1] area 0
[RouterB-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] quit
# 配置总部核心交换机CORE。
[CORE] ospf 1 router-id 10.3.3.3
[CORE-ospf-1] area 0
[CORE-ospf-1-area-0.0.0.0] network 10.10.100.0 0.0.0.255
[CORE-ospf-1-area-0.0.0.0] network 10.10.10.0 0.0.0.255 //将用户网段发布到OSPF里面
[CORE-ospf-1-area-0.0.0.0] network 10.10.20.0 0.0.0.255 //将用户网段发布到OSPF里面
[CORE-ospf-1-area-0.0.0.0] network 10.10.30.0 0.0.0.255 //将Web服务器网段发布到OSPF里面
[CORE-ospf-1-area-0.0.0.0] quit
# 配置完成后,RouterA、RouterB和Core之间应该建立OSPF邻居关系,执行
display ospf peer命令可以查看OSPF邻居状态为Full,以CORE为例,OSPF邻居状
态如下。
[CORE] display ospf peer
OSPF Process 1 with Router ID 10.3.3.3
Neighbors
Area 0.0.0.0 interface 10.10.100.4(Vlanif100)'s neighbors
Router ID: 10.1.1.1 Address: 10.10.100.2
State: Full Mode:Nbr is Slave Priority: 1
DR: 10.10.100.4 BDR: 10.10.100.3 MTU: 0
Dead timer due in 40 sec
Retrans timer interval: 5
Neighbor is up for 00:26:37
Authentication Sequence: [ 0 ]
Router ID: 10.2.2.2 Address: 10.10.100.3
State: Full Mode:Nbr is Slave Priority: 1
DR: 10.10.100.4 BDR: 10.10.100.3 MTU: 0
Dead timer due in 36 sec
Retrans timer interval: 5
Neighbor is up for 00:26:37
Authentication Sequence: [ 0 ]
3.配置外网到内网服务器公网地址的静态路由(回程路由)
# 在和总部出口对接的运营商路由器RouterD上配置两条目的地址为服务器公网地
址的静态路由,下一跳分别指向两个出口路由器RouterA、RouterB的上行口IP地
址。为了保证路由和VRRP同步切换,设置下一跳为RouterA的这条路由优先,当
这条路由失效的时候下一跳指向RouterB的路由生效。
[RouterD] ip route-static 202.10.100.0 255.255.255.0 202.10.1.2 preference 40 //下一跳为
RouterA的这条路由优先
[RouterD] ip route-static 202.10.100.0 255.255.255.0 202.10.2.2
当总部出口路由器RouterA的上行链路中断的时候会触发两个动作:
a.两台总部出口路由器VRRP主备切换,这个通过VRRP状态联动总部出口路由
器上行口状态来实现。
b.和总部出口对接的运营商路由器RouterD到达内网服务器的路由进行主备切
换,这个通过RouterD配置主备路由实现。
这两个动作保证了当出口路由器RouterA的上行链路中断的时候内网VRRP状态和
公网回程主备路由同时切换,保证了来回路径双向可靠性。
步骤5部署NAT Outbound
1.在总部及分支出口路由器上定义需要进行NAT转换的数据流
总部仅部门A允许访问Internet,源IP地址是10.10.10.0/24;分支所有用户都允许访
问Internet,源IP地址是10.10.200.0/24。
# 配置总部出口路由器RouterA。RouterB的配置和RouterA类似。
[RouterA] acl 3000
[RouterA-acl-adv-3000] rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0
0.0.0.255 //需要IPSec保护的数据流
[RouterA-acl-adv-3000] rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0
0.0.0.255 //需要IPSec保护的数据流
[RouterA-acl-adv-3000] rule 15 permit ip source 10.10.10.0 0.0.0.255 //需要进行NAT转换
的数据流
[RouterA-acl-adv-3000] quit
//对于华为AR3200系列路由器,如果接口上同时配置了IPSec和NAT,则先执行NAT。所以为了避免把IPSec
保护的数据流进行NAT转换,需要NAT引用的ACL规则deny掉需要IPSec保护的数据流,即对“IPSec感兴趣的
数据流”做NAT豁免。
# 配置分支出口路由器RouterC。
[RouterC] acl 3000
[RouterC-acl-adv-3000] rule 5 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0
0.0.0.255
[RouterC-acl-adv-3000] rule 10 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0
0.0.0.255
[RouterC-acl-adv-3000] rule 15 permit ip source 10.10.200.0 0.0.0.255
[RouterC-acl-adv-3000] quit
//同样需要配置对“IPSec感兴趣的数据流”做NAT豁免
2.在总部及分支出口路由器的上行口上配置NAT转换
# 配置RouterA。RouterB及RouterC的配置与RouterA类似。
[RouterA] interface GigabitEthernet1/0/0
[RouterA-GigabitEthernet1/0/0] nat outbound 3000
[RouterA-GigabitEthernet1/0/0] quit
3.检查配置结果
# 配置完成后可以通过display nat outbound命令查看NAT转换的配置信息,以
RouterA为例详细信息如下。
[RouterA] display nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
GigabitEthernet1/0/0 3000 202.10.1.2 easyip
--------------------------------------------------------------------------
Total : 1
步骤6部署NAT Server
总部有Web服务器,需在两个出口路由器RouterA和RouterB上都配置NAT Server,实现外网用户访问内网Web服务器。
# 配置RouterA。
[RouterA] interface GigabitEthernet1/0/0
[RouterA-GigabitEthernet1/0/0] nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2 8080
[RouterA-GigabitEthernet1/0/0] quit
# 配置RouterB。
[RouterB] interface GigabitEthernet1/0/0
[RouterB-GigabitEthernet1/0/0] nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2 8080
[RouterB-GigabitEthernet1/0/0] quit
# 配置完成后可以通过display nat server命令查看NAT Server的配置信息,以RouterA为例详细信息如下。
[RouterA] display nat server
Nat Server Information:
Interface : GigabitEthernet1/0/0
Global IP/Port : 202.10.100.3/80(www)
Inside IP/Port : 10.10.30.2/8080
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Description : ----
Total : 1
步骤7部署IPSec VPN,实现总部和分支之间通过Internet实现私网互通,并且数据通信具有安全保护
1.配置ACL,定义需要IPSec保护的数据流
# 配置总部出口路由器RouterA。
[RouterA] acl 3001
[RouterA-acl-adv-3001] rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0
0.0.0.255 //需要IPSec保护的数据流
[RouterA-acl-adv-3001] rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0
0.0.0.255 //需要IPSec保护的数据流
[RouterA-acl-adv-3001] quit
# 配置总部出口路由器RouterB。
[RouterB] acl 3001
[RouterB-acl-adv-3001] rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0
0.0.0.255
[RouterB-acl-adv-3001] rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0
0.0.0.255
[RouterB-acl-adv-3001] quit
# 配置分支出口路由器RouterC。
[RouterC] acl 3001
[RouterC-acl-adv-3001] rule 5 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0
0.0.0.255
[RouterC-acl-adv-3001] rule 10 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0
0.0.0.255
[RouterC-acl-adv-3001] quit
2.配置IPSec安全提议
# 配置总部出口路由器RouterA。总部出口路由器RouterB以及分支出口路由器
RouterC的配置和RouterA类似。
[RouterA] ipsec proposal tran1
[RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 //设置ESP协议采用的认证算法
[RouterA-ipsec-proposal-tran1] esp encryption-algorithm aes-128 //设置ESP协议采用的加密算法
[RouterA-ipsec-proposal-tran1] quit
3.配置IKE安全提议
# 配置总部出口路由器RouterA。总部出口路由器RouterB以及分支出口路由器
RouterC的配置和RouterA类似。
[RouterA] ike proposal 5
[RouterA-ike-proposal-5] encryption-algorithm aes-cbc-128
[RouterA-ike-proposal-5] quit
4.配置IKE对等体
# 配置总部出口路由器RouterA。
[RouterA] ike peer vpn v1
[RouterA-ike-peer-vpn] pre-shared-key cipher huawei123
[RouterA-ike-peer-vpn] ike-proposal 5
[RouterA-ike-peer-vpn] dpd type periodic //配置周期性对等体存活检测
[RouterA-ike-peer-vpn] dpd idle-time 10 //设置对等体存活检测空闲时间为10秒
[RouterA-ike-peer-vpn] remote-address 203.10.1.2
[RouterA-ike-peer-vpn] quit
# 配置总部出口路由器RouterB。
[RouterB] ike peer vpn v1
[RouterB-ike-peer-vpn] pre-shared-key cipher huawei123
[RouterB-ike-peer-vpn] ike-proposal 5
[RouterB-ike-peer-vpn] dpd type periodic
[RouterB-ike-peer-vpn] dpd idle-time 10
[RouterB-ike-peer-vpn] remote-address 203.10.1.2
[RouterB-ike-peer-vpn] quit
# 配置分支出口路由器RouterC。
[RouterC] ike peer vpnr1 v1
[RouterC-ike-peer-vpnr1] pre-shared-key cipher huawei123
[RouterC-ike-peer-vpnr1] ike-proposal 5
[RouterC-ike-peer-vpnr1] dpd type periodic
[RouterC-ike-peer-vpnr1] dpd idle-time 10
[RouterC-ike-peer-vpnr1] remote-address 202.10.1.2
[RouterC-ike-peer-vpnr1] quit
[RouterC] ike peer vpnr2 v1
[RouterC-ike-peer-vpnr2] pre-shared-key cipher huawei123
[RouterC-ike-peer-vpnr2] ike-proposal 5
[RouterC-ike-peer-vpnr2] dpd type periodic
[RouterC-ike-peer-vpnr2] dpd idle-time 10
[RouterC-ike-peer-vpnr2] remote-address 202.10.2.2
[RouterC-ike-peer-vpnr2] quit
5.配置安全策略
# 配置总部出口路由器RouterA。
[RouterA] ipsec policy ipsec_vpn 10 isakmp
[RouterA-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001
[RouterA-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpn
[RouterA-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1
[RouterA-ipsec-policy-isakmp-ipsec_vpn-10] quit
# 配置总部出口路由器RouterB。
[RouterB] ipsec policy ipsec_vpn 10 isakmp
[RouterB-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001
[RouterB-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpn
[RouterB-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1
[RouterB-ipsec-policy-isakmp-ipsec_vpn-10] quit
# 配置分支出口路由器RouterC。
[RouterC] ipsec policy ipsec_vpn 10 isakmp
[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] security acl 3001
[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] ike-peer vpnr1
[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] proposal tran1
[RouterC-ipsec-policy-isakmp-ipsec_vpn-10] quit
[RouterC] ipsec policy ipsec_vpn 20 isakmp
[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] security acl 3001
[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] ike-peer vpnr2
[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] proposal tran1
[RouterC-ipsec-policy-isakmp-ipsec_vpn-20] quit
6.接口上引用安全策略组
# 在总部出口路由器RouterA的接口上引用安全策略组。
[RouterA] interface GigabitEthernet1/0/0
[RouterA-GigabitEthernet1/0/0] ipsec policy ipsec_vpn
[RouterA-GigabitEthernet1/0/0] quit
# 在总部出口路由器RouterB的接口上引用安全策略组。
[RouterB] interface GigabitEthernet1/0/0
[RouterB-GigabitEthernet1/0/0] ipsec policy ipsec_vpn
[RouterB-GigabitEthernet1/0/0] quit
# 在分支出口路由器RouterC的接口上引用安全策略组。
[RouterC] interface GigabitEthernet1/0/0
[RouterC-GigabitEthernet1/0/0] ipsec policy ipsec_vpn
[RouterC-GigabitEthernet1/0/0] quit
7.检查配置结果
# 配置完成后,可以执行display ike sa命令查看由IKE建立的安全联盟信息,以RouterC为例,由IKE建立的安全联盟信息如下。
[RouterC] display ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
7 202.10.2.2 0 RD|ST 2
4 202.10.2.2 0 RD 2
2 202.10.2.2 0 RD 1
6 202.10.1.2 0 RD|ST 2
5 202.10.1.2 0 RD 2
3 202.10.1.2 0 RD 1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
# 配置完成后,可以执行display ipsec sa命令查看安全联盟的相关信息,以RouterC 为例,安全联盟信息如下。
[RouterC] display ipsec sa
===============================
Interface: GigabitEthernet1/0/0
Path MTU: 1500
===============================
-----------------------------
IPSec policy name: "ipsec_vpn"
Sequence number : 10
Acl Group : 3001
Acl rule : 5
Mode : ISAKMP
-----------------------------
Connection ID : 5
Encapsulation mode: Tunnel
Tunnel local : 203.10.1.2
Tunnel remote : 202.10.1.2
Flow source : 10.10.200.0/255.255.255.0 0/0
Flow destination : 10.10.10.0/255.255.255.0 0/0
Qos pre-classify : Disable
[Outbound ESP SAs]
SPI: 969156085 (0x39c425f5)
Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
SA remaining key duration (bytes/sec): 1887313920/1521
Max sent sequence-number: 8
UDP encapsulation used for NAT traversal: N
[Inbound ESP SAs]
SPI: 1258341975 (0x4b00c657)
Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
SA remaining key duration (bytes/sec): 1887436080/1521
Max received sequence-number: 10
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
-----------------------------
IPSec policy name: "ipsec_vpn"
Sequence number : 10
Acl Group : 3001
Acl rule : 10
Mode : ISAKMP
-----------------------------
Connection ID : 6
Encapsulation mode: Tunnel
Tunnel local : 203.10.1.2
Tunnel remote : 202.10.1.2
Flow source : 10.10.200.0/255.255.255.0 0/0
Flow destination : 10.10.20.0/255.255.255.0 0/0
Qos pre-classify : Disable
[Outbound ESP SAs]
SPI: 4217384908 (0xfb602fcc)
Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
SA remaining key duration (bytes/sec): 1887283200/1522
Max sent sequence-number: 10
UDP encapsulation used for NAT traversal: N
[Inbound ESP SAs]
SPI: 654720480 (0x27063de0)
Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
SA remaining key duration (bytes/sec): 1887436080/1522
Max received sequence-number: 10
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
-----------------------------
IPSec policy name: "ipsec_vpn"
Sequence number : 20
Acl Group : 3001
Acl rule : 5
Mode : ISAKMP
-----------------------------
Connection ID : 4
Encapsulation mode: Tunnel
Tunnel local : 203.10.1.2
Tunnel remote : 202.10.2.2
Flow source : 10.10.200.0/255.255.255.0 0/0
Flow destination : 10.10.10.0/255.255.255.0 0/0
Qos pre-classify : Disable
[Outbound ESP SAs]
SPI: 240759500 (0xe59b2cc)
Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
SA remaining key duration (bytes/sec): 1887436800/1521
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N
[Inbound ESP SAs]
SPI: 3888073495 (0xe7bf4b17)
Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
SA remaining key duration (bytes/sec): 1887436800/1521
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
-----------------------------
IPSec policy name: "ipsec_vpn"
Sequence number : 20
Acl Group : 3001
Acl rule : 10
Mode : ISAKMP
-----------------------------
Connection ID : 7
Encapsulation mode: Tunnel
Tunnel local : 203.10.1.2
Tunnel remote : 202.10.2.2
Flow source : 10.10.200.0/255.255.255.0 0/0
Flow destination : 10.10.20.0/255.255.255.0 0/0
Qos pre-classify : Disable
[Outbound ESP SAs]
SPI: 2751917383 (0xa406ed47)
Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
SA remaining key duration (bytes/sec): 1887436800/1522
Max sent sequence-number: 0
UDP encapsulation used for NAT traversal: N
[Inbound ESP SAs]
SPI: 739146604 (0x2c0e7b6c)
Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
SA remaining key duration (bytes/sec): 1887436800/1522
Max received sequence-number: 0
Anti-replay window size: 32
UDP encapsulation used for NAT traversal: N
步骤8检查配置结果
# 通过ping命令验证总部和分支之间的连通性。
PC1>ping 10.10.200.2
Ping 10.10.200.2: 32 data bytes, Press Ctrl_C to break
From 10.10.200.2: bytes=32 seq=1 ttl=126 time=140 ms
From 10.10.200.2: bytes=32 seq=2 ttl=126 time=235 ms
From 10.10.200.2: bytes=32 seq=3 ttl=126 time=266 ms
From 10.10.200.2: bytes=32 seq=4 ttl=126 time=140 ms
From 10.10.200.2: bytes=32 seq=5 ttl=126 time=141 ms
--- 10.10.200.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 140/184/266 ms
PC3>ping 10.10.200.2
Ping 10.10.200.2: 32 data bytes, Press Ctrl_C to break
From 10.10.200.2: bytes=32 seq=1 ttl=126 time=156 ms
From 10.10.200.2: bytes=32 seq=2 ttl=126 time=297 ms
From 10.10.200.2: bytes=32 seq=3 ttl=126 time=156 ms
From 10.10.200.2: bytes=32 seq=4 ttl=126 time=141 ms
From 10.10.200.2: bytes=32 seq=5 ttl=126 time=109 ms
--- 10.10.200.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 109/171/297 ms
可以看到,PC1和PC5、PC3和PC5之间都是可以互通的,公司总部和分支之间可以通过运营商网络组建的私网VPN进行互通。
# 验证企业总部各部门与公网之间的连通性,以企业总部的公网网关202.10.1.1作为测试地址。
PC1>ping 202.10.1.1
Ping 202.10.1.1: 32 data bytes, Press Ctrl_C to break
From 202.10.1.1: bytes=32 seq=1 ttl=253 time=235 ms
From 202.10.1.1: bytes=32 seq=2 ttl=253 time=109 ms
From 202.10.1.1: bytes=32 seq=3 ttl=253 time=79 ms
From 202.10.1.1: bytes=32 seq=4 ttl=253 time=63 ms
From 202.10.1.1: bytes=32 seq=5 ttl=253 time=63 ms
--- 202.10.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 63/109/235 ms
PC3>ping 202.10.1.1
Ping 202.10.1.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 202.10.1.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
可以看到,部门A(PC1)的用户可以访问公网,部门B(PC3)的用户不能访问公网。
----结束
配置文件
l总部核心交换机CORE的配置文件
#
sysname CORE
#
vlan batch 100
#
interface Vlanif100
ip address 10.10.100.4 255.255.255.0
#
interface Eth-Trunk3
port link-type trunk
port trunk allow-pass vlan 100
mode lacp
#
interface Eth-Trunk4
port link-type trunk
port trunk allow-pass vlan 100
mode lacp
#
interface GigabitEthernet0/0/3
eth-trunk 3
#
interface GigabitEthernet0/0/4
eth-trunk 4
#
interface GigabitEthernet1/0/3
eth-trunk 3
#
interface GigabitEthernet1/0/4
eth-trunk 4
#
ospf 1 router-id 10.3.3.3
area 0.0.0.0
network 10.10.100.0 0.0.0.255
network 10.10.10.0 0.0.0.255
network 10.10.20.0 0.0.0.255
network 10.10.30.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 10.10.100.1
#
return
l总部出口路由器RouterA的配置文件
#
sysname RouterA
#
acl number 3000
rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 15 permit ip source 10.10.10.0 0.0.0.255
acl number 3001
rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
#
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
#
ike peer vpn v1
pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!!
ike-proposal 5
dpd type periodic
dpd idle-time 10
remote-address 203.10.1.2
#
ipsec policy ipsec_vpn 10 isakmp
security acl 3001
ike-peer vpn
proposal tran1
#
interface Eth-Trunk1
undo portswitch
mode lacp-static
#
interface Eth-Trunk1.100
dot1q termination vid 100
ip address 10.10.100.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.10.100.1
vrrp vrid 1 priority 120
vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
arp broadcast enable
#
interface GigabitEthernet1/0/0
ip address 202.10.1.2 255.255.255.0
ipsec policy ipsec_vpn
nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2 8080
nat outbound 3000
#
interface GigabitEthernet2/0/0
eth-trunk 1
#
interface GigabitEthernet2/0/1
eth-trunk 1
#
ospf 1 router-id 10.1.1.1
area 0.0.0.0
network 10.10.100.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 202.10.1.1
#
return
l总部出口路由器RouterB的配置文件
#
sysname RouterB
#
acl number 3000
rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 rule 10 deny ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 rule 15 permit ip source 10.10.10.0 0.0.0.255
acl number 3001
rule 5 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 rule 10 permit ip source 10.10.20.0 0.0.0.255 destination 10.10.200.0 0.0.0.255 #
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
#
ike peer vpn v1
pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!!
ike-proposal 5
dpd type periodic
dpd idle-time 10
remote-address 203.10.1.2
#
ipsec policy ipsec_vpn 10 isakmp
security acl 3001
ike-peer vpn
proposal tran1
#
interface Eth-Trunk1
undo portswitch
mode lacp-static
#
interface Eth-Trunk1.100
dot1q termination vid 100
ip address 10.10.100.3 255.255.255.0
vrrp vrid 1 virtual-ip 10.10.100.1
arp broadcast enable
#
interface GigabitEthernet1/0/0
ip address 202.10.2.2 255.255.255.0
ipsec policy ipsec_vpn
nat server protocol tcp global 202.10.100.3 www inside 10.10.30.2 8080
nat outbound 3000
#
interface GigabitEthernet2/0/0
eth-trunk 1
#
interface GigabitEthernet2/0/1
eth-trunk 1
#
ospf 1 router-id 10.2.2.2
area 0.0.0.0
network 10.10.100.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 202.10.2.1
#
return
l分支出口路由器RouterC的配置文件
#
sysname RouterC
#
acl number 3000
rule 5 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 rule 10 deny ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0 0.0.0.255 rule 15 permit ip source 10.10.200.0 0.0.0.255
acl number 3001
rule 5 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 rule 10 permit ip source 10.10.200.0 0.0.0.255 destination 10.10.20.0 0.0.0.255 #
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
#
ike peer vpnr1 v1
pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!!
ike-proposal 5
dpd type periodic
dpd idle-time 10
remote-address 202.10.1.2
#
ike peer vpnr2 v1
pre-shared-key cipher "@J*U2S*(7F,YWX*NZ55OA!!
ike-proposal 5
dpd type periodic
dpd idle-time 10
remote-address 202.10.2.2
#
ipsec policy ipsec_vpn 10 isakmp
security acl 3001
ike-peer vpnr1
proposal tran1
#
ipsec policy ipsec_vpn 20 isakmp
华为交换机基本配置
华为交换机基本配置 Hessen was revised in January 2021
1、华为设备配置基本命令 用户名密码为 yayd yamobile
[HW-group-group]port link-type-access //将端口组定义为access口 [HW-group-group]port default vlan 440 //将vlan440加入该端口组 [HW-group-group]quit [HW]interface ethernet 0/0/21 //进入网口21 [HW-Eth0/0/21]port link-type trunk //将网口21定义为trunk 口 [HW-Eth0/0/21]port trunk allow-pass vlan 338 440 //该端口仅允许vlan338 440通过 [HW-Eth0/0/21]quit [HW]interface gigabitethernet 0/0/1 //进入光口1 [HW-G0/0/1]port link-type trunk //将光口1定义为trunk端口 [HW-G0/0/1]port trunk allow-pass vlan 70 338 440 //该端口允许vlan70,338,440通过。 [HW-G0/0/1]quit [HW]save //保存 2、华为设备故障处理基本命令 1)查看交换机端口状态 2)查看交换机端口描述
华为交换机基本配置命令详细讲解
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
华为交换机基本配置命令29908
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess(注:接口类型access,hybrid、trunk) [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组)vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变DS模块来实现(关闭配置后的确认信息显示) info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现(打开配置后的确认信息显示)
华为交换机配置实用手册OK
华为交换机配置实用手册 实验一使用华为Quidway系列交换机简单组网1.1实验目的 1.掌握华为Quidway系列交换机上的基本配置命令; 2.掌握VLAN的原理和配置; 3.掌握端口聚合(Link Aggregation)的原理和配置; 4.掌握生成树协议(STP)的原理和配置; 5.掌握GVRP协议的原理和配置; 6.掌握三层交换机和访问控制列表(ACL)的原理和配置; 7.掌握如何从PC机或其他交换机远程配置某交换机。 1.2实验环境 Quidway S3026以太网交换机2台,Quidway S3526以太网交换机1台, PC机4台,标准网线6根 Quidway S3026软件版本:V100R002B01D011;Bootrom版本:V1.1 Quidway S3526软件版本:V100R001B02D006;Bootrom版本:V3.0 1.3实验组网图 在下面的每个练习中给出。 1.4实验步骤 1.4.1VLAN配置 首先依照下面的组网图将各实验设备相连,然后正确的配置各设备的IP地址。有两台Quidway S3026交换机和四台PC机。每台PC机的IP地址指定如下: PCA:10.1.1.1 PCB:10.1.2.1 PCC:10.1.1.2 PCD:10.1.2.2 掩码:255.255.255.0 请完成以下步骤: 1、如上图所示,配置四台PC机属于各自的VLAN。 2、将某些端口配置成trunk端口,并允许前面配置的所有VLAN通过。 3、测试同一VLAN中的PC机能否相互Ping通。 配置如下: SwitchA: SwitchA(config)#vlan 2//创建VLAN2 SwitchA(config-vlan2)#switchport ethernet0/9//将以太口9划入VLAN2 SwitchA(config-vlan2)#vlan3//创建VLAN3
华为交换机各种配置实例[网管必学]
华为交换机各种配置实例[网管必学 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
华为的交换机基本配置命令
华为的交换机基本配置命令很多,在此,yjbys小编为大家带来的是最新交换机的配置命令,希望对同学们考试有帮助! 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件 reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123 设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接 [Quidway-Ethernet1/0/1]port link-type {trunk|access|hybrid} 设置端口工作模式 [Quidway-Ethernet1/0/1]undo shutdown 激活端口 [Quidway-Ethernet1/0/2]quit 退出系统视图 5、链路聚合配置
华为交换机及路由器各种配置实例大全(20200909191858)
交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为、 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率 限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的 粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的 级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图
华为s 交换机配置
华为s5720-48交换机配置
dhcp enable # radius-server template default # free-rule-template name default_free_rule # portal-access-profile name portal_access_profile # aaa authentication-scheme default authentication-scheme radius authentication-mode radius authorization-scheme default accounting-scheme default local-aaa-user password policy administrator password expire 0 domain default authentication-scheme radius radius-server default domain default_admin authentication-scheme default local-user admin password irreversible-cipher
华为交换机各种配置方法
端口限速基本配置1 端口绑定基本配置 ACL基本配置 密码恢复 三层交换配置 端口镜像配置 DHCP配置 配置文件管理 远程管理配置 STP配置 私有VLAN配置 端口trunk、hybrid应用配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』
最新华为交换机常用配置实例
最新华为交换机常用配置实例 2016最新华为交换机常用配置实例 华为交换机常用配置实例 sys进入到系统视图 Entersystemview,returntouserviewwithCtrl+Z. [Quidway]user-interfaceaux0 [Quidway-ui-aux0]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-aux0]qu [Quidway]local-userhuawei增加用户名 Newlocaluseradded. [Quidway-luser-huawei]passwordsimplehuawei配置密码,且密码不加密 [Quidway-luser-huawei]service-typetelnetsshlevel3 服务类型为SSH和telnet,且用户登陆后权限为管理员权限 [Quidway-luser-huawei]qu [Quidway]user-interfacevty04 [Quidway-ui-vty0-4]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-vty0-4]
save 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如)。 键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入"?" 2、命令视图 (1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入 (2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view (3)以太网端口视图(配置以太网端口参数)[Quidway- Ethernet0/1]:在系统视图下键入interfaceethernet0/1 (4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan1 (5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参 数)[Quidway-Vlan-interface1]:在系统视图下键入 interfacevlan-interface1 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-useruser1
华为交换机配置命令手册
为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如
华为交换机配置命令
华为交换机配置命令
华为交换机配置指令 视图切换指令
打开以太网端口:[Switch-ethernet port-id]undo shutdown 设置以太网端口描述字符串:[Switch-ethernet port-id]description text 设置以太网端口的双工模式:[Switch-ethernet port-id]duplex { auto| full| half } 设置以太网端口的速率:[Switch-ethernet port-id]speed { 10 | 100 | 1000 | auto } 设置以太网端口的MDI模式:[Switch-ethernet port-id]mdi {across| auto | normal } 开启以太网端口的流量控制功能:[Switch-ethernet port-id]flow-control display查看指令 查看版本信息:
华为交换机及路由器各种配置实例大全
华为交换机各种配置实例 交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate 3 3. 配置acl,定义符合速率限制的数据流
华为交换机的基本设置
华为交换机的应用 精网科技 交换的概述 @交换是指在一个接口上收到数据帧并且从另一个接口上将该数据帧发送出去的过程。 @交换机是二层的设备,它用来解决带宽不足和网络瓶颈的问题,主要作为工作站、服务器、路由器、集线器和其它交换机的集中点。它可以看作是一个多端口的网桥,为所连接的两台网络设备提供一条独享的虚电路,因此避免了冲突。可工作在全双工模式下,意味着可同时收发数据。 @交换机是根据MAC地址传递数据帧的的二层设备。它不能处理三层地址信息。所以交换机的操作与网络层使用什么样的协议无关。 @交换机把大的网络细分成若干微分段,以减小冲突域的大小,即每个接口是一个冲突域。但所有接口仍在一个广播域内。可以认为交换机是硬件桥,而网桥是软件的。交换机与网桥的区分是:网桥最多16个端口,但交换机可有很多端口,这一个缺点,足可以彻底打败网桥。 @网络中的通信分为三种,单播,组播,广播。(举例) 网络环境大的时候,所有主机都在一个广播域内网络性能会很差,所
以这样一来,靠划分微分段的方法已经不行,而常用的就是用交换机在二层隔离广播帧的VLAN技术,实现二层广播域的划分,以后会讲到。 @路由器在网络中的位置,我们用路由器把交换的网络分成若干广播域。这样可以避免广播风暴。路由器的使用大约给网络造成的延迟是20-30%,因为路由器会在三层上根据逻辑地址来做路由。所以造成延迟。 @以太交换机的反应时间。是指一个数据帧从进入交换机开始到离开交换机的这段时间。此时间的长短取决于在交换机上配置的交换操作的类型,以及网络上通过交换机的流量。交换机每秒都会处理海量数据,所以每个数据帧的交换时间哪怕有十亿分之一秒的延迟,对交换机来说都会影响整体的性能。 @交换机与HUB的区别。从内部结构上看,HUB是总线,而SWITCH 内部是每个接口与另外的接口都有连通线。(画图示意一下)再一个就是数据流通的带宽。比如:10M的HUB和10M的SWITH @三层交换机是在二层交换机的基础上融合了三层路由功能的交换机,它不但能基于MAC地址转发数据帧,还能根据数据包的IP地址为数据包提供路由服务。 @对称和不对称交换 100M和10M图13-2、3 @以太交换机的基本功能
华为交换机配置30例
目录 交换机远程TELNET登录 (2) 交换机远程AUX口登录 (5) 交换机DEBUG信息开关 (6) 交换机SNMP配置 (9) 交换机WEB网管配置 (10) 交换机VLAN配置 (12) 端口的TRUNK属性配置(一) (14) 交换机端口TRUNK属性配置(二) (16) 交换机端口TRUNK属性配置(三) (18) 交换机端口HYBRID属性配置 (21) 交换机IP地址配置 (23) 端口汇聚配置 (25) 交换机端口镜像配置 (27) 交换机堆叠管理配置 (29) 交换机HGMP V1 管理配置 (31) 交换机集群管理(HGMP V2)配置 (33) 交换机STP配置 (34) 路由协议配置 (36) 三层交换机组播配置 (41) 中低端交换机DHCP-RELAY配置 (44) 交换机802.1X配置 (46) 交换机VRRP配置 (51) 单向访问控制 (54) 双向访问控制 (57) IP+MAC+端口绑定 (62) 通过ACL实现的各种绑定的配置 (64) 基于端口限速的配置 (66)
基于流限速的配置 (68) 其它流动作的配置 (70) 8016 交换机DHCP配置 (73)
. 交换机远程T ELNET 登录 1 功能需求及组网说明 2 telnet 配置 『配置环境参数 』 PC 机固定I P 地址10.10.10.10/24 SwitchA 为三层交换机,vlan100 地址10.10.10.1/24 SwitchA 与S witchB 互连v lan10 接口地址192.168.0.1/24 SwitchB 与S witchA 互连接口v lan100 接口地址192.168.0.2/24 交换机S witchA 通过以太网口e thernet 0/1 和S witchB 的e thernet0/24 实现互连。 『组网需求』 1. SwitchA 只能允许10.10.10.0/24 网段的地址的P C telnet 访问 2. SwitchA 只能禁止10.10.10.0/24 网段的地址的P C telnet 访问 3. SwitchB 允许其它任意网段的地址t elnet 访问 2 数据配置步骤 『PC 管理交换机的流程』 1. 如果一台P C 想远程T ELNET 到一台设备上,首先要保证能够二者之间正常通信。 SwitchA 为三层交换机,可以有多个三层虚接口,它的管理v lan 可以是任意一个 具有三层接口并配置了I P 地址的v lan 2. SwitchB 为二层交换机,只有一个二层虚接口,它的管理v lan 即是对应三层虚 接口并配置了I P 地址的v lan 3. Telnet 用户登录时,缺省需要进行口令认证,如果没有配置口令而通过T elnet 登录,则系统会提示“password required, but none set.”。 【SwitchA 相关配置】
华为交换机 综合配置案例
2综合配置案例关于本章 2.1 中小型园区/分支出口综合配置举例 2.2 大型园区出口配置示例(防火墙直连部署) 2.3 大型园区出口配置示例(防火墙旁路部署) 2.4 校园敏捷网络配置示例 2.5 轨道交通承载网快速自愈保护技术配置举例 2.6 配置交换机上同时部署ACU2和NGFW的示例
2.1 中小型园区/分支出口综合配置举例 园区网出口简介 园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之 间数据流的唯一出入口。对于中小型企业来说,考虑到企业网络建设的初期投资与长 期运维成本,一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访 问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用 运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络,一般考虑部 署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路 由等技术保证园区出口的可靠性。华为AR系列路由器配合华为S系列交换机是中小型 园区网出口设备的理想解决方案。 l园区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需 求。 l园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求。 l园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全。 l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。 配置注意事项 l本配置案例适用于中小型企业园区/分支出口解决方案。 l本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。 组网需求 某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部 门,分支只有一个部门。现在需要建设跨地域的企业园区网络,需要实现的需求如 下: l总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门,其中A部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户 都可以访问Internet。 l总部有Web服务器,对外提供WWW服务,外网用户可以访问内网服务器。 l总部和分支之间需要通过Internet进行私网VPN互通,通信内容需要有安全保护。 l总部园区出口可靠性要求较高,需要考虑链路级的可靠性和设备级的可靠性。 l分支可以适当降低可靠性要求。 方案介绍 根据用户需求,可以给出如图2-1所示的综合配置解决方案,该方案具备层次化、模块 化、冗余性、安全性的特点,适用于中小型企业/分支的园区网络部署。
2016年华为交换机配置步骤讲解
恢复出厂设置:
ip address 10.120.3.1 255.255.255.0 ///////////////////////////////////////////////////////////////////// management-vlan 1571 interface vlan 1571 ip address 10.120.211.1 255.255.255.0 //////////////////////////////////////////// Switch#con term Switch(config)#inter inter vlan 1166 Switch(config-if)#ip addresss 10.120.6.3 255.255.255.0 Switch(config-if)#exit Switch(config)#ip default-gateway 10.120.6.254 幼儿园的交换机 DHCP服务器210.36.64.80的设置:
新建作用域。。。业务VLAN 核心交换机端的设置: 1、