华为三层交换机S3900配置.docx
- 文档编号:13896991
- 上传时间:2023-06-19
- 格式:DOCX
- 页数:15
- 大小:20.27KB
华为三层交换机S3900配置.docx
《华为三层交换机S3900配置.docx》由会员分享,可在线阅读,更多相关《华为三层交换机S3900配置.docx(15页珍藏版)》请在冰点文库上搜索。
华为三层交换机S3900配置
华为三层交换机S3900配置摘要
一、视图的转换
登录后的视图
#这是用户视图
#进入了系统视图
SystemView:
returntoUserViewwithCtrl+Z.
[Quidway] 已经进入了系统视图,按Ctrl+Z.可以返回用户视图
二、设置主机名和IP地址
在系统视图下操作
#添加主机名和IP地址
[Quidway]iphostgdkm192.168.1.1
[Quidway]
#查看主机名和IP地址
[Quidway]displayiphost
Host Age Flags Address
gdkm 0 static192.168.1.1
[Quidway]
#删除主机名和IP地址
[Quidway]undoiphostgdkm
[Quidway]
三、VLAN接口操作(即VLAN的IP配置)
#进入VLAN接口1
[Quidway]interfacevlan-interface1
#配置VLAN接口1(vlan1的IP)的IP地址
[Quidway-Vlan-interface1]ipaddress129.2.2.1255.255.255.0
#一个VLAN接口可以有5个IP,但只有一个主的,其他的是附加的,而且不能在同一个网段。
[Quidway-Vlan-interface1]ipaddress129.2.200.1255.255.255.0sub
#显示VLAN接口的(即VLAN的)IP地址
[Quidway-Vlan-interface2]displayipinterface
或者[Quidway]displayinterfaceVlan-interface2
#删除VLAN接口1(VLAN1的IP)的IP地址
[Quidway-Vlan-interface1]undoipaddress129.2.2.1255.255.255.0
四、VLAN操作
#创建VLAN2并进入其视图。
[Quidway]vlan2
#向VLAN2中加入端口Ethernet1/0/9和Ethernet1/0/2。
[Quidway-vlan2]portethernet1/0/1ethernet1/0/2
# 创建VLAN3并进入其视图。
[Quidway-vlan2]vlan3
#向VLAN3中加入端口Ethernet1/0/3和Ethernet1/0/4。
[Quidway-vlan3]portethernet1/0/3ethernet1/0/4
#删除VLAN3中的端口Ethernet1/0/3和Ethernet1/0/4。
[Quidway-vlan3]undoportethernet1/0/3ethernet1/0/4
#在任意视图下显示VLAN的IP及VLAN的端口
[Quidway-vlan2]displayvlan1
[Quidway-vlan2]displayvlan2
[Quidway-vlan2]displayvlanall
#在任意视图下显示端口属性
[Quidway]displayinterface
五、用户管理
设置登录模式(二种用户模式)
#VTY用户模式
[Quidway]user-interfacevty0
[Quidway-ui-vty0]
[Quidway-ui-vty0]authentication-mode?
none Loginwithoutchecking不用用户名和密码
password Useterminalinterfacepassword不用用户名,但要输密码
scheme UseRADIUSscheme要输用户名和密码
[Quidway-ui-vty0]authentication-modescheme
#AUX用户模式
[Quidway]user-interfaceaux0
[Quidway-ui-aux0]
[Quidway-ui-aux0]authentication-mode?
none Loginwithoutchecking不用用户名和密码
password Useterminalinterfacepassword不用用户名,但要输密码
scheme UseRADIUSscheme要输用户名和密码
[Quidway-ui-aux0]authentication-modescheme
设置用户
[Quidway]local-userldy 添加用户或进入用户
[Quidway-luser-ldy]passwordsimplegdkm85292581 设置密码或修改密码
[Quidway-luser-ldy]undopassword 删除密码
[Quidway-luser-ldy]service-typetelnetlevel3 设置或修改此用户可通过TELNET连接且等级为3(共有0,1,2,3四个等级,3的权限最高)
[Quidway-luser-ldy]undo service-type…….可删除服务类型
[Quidway-luser-ldy]undo level .可删除等级
查看用户情况
#查看用户界面用户
[Quidway]displayusersall
#或者
[Quidway-ui-aux0]displayuser-interface
Idx Type Tx/Rx Modem Privi Auth Int
F0 AUX0 9600 - 3 N -
1 AUX1 9600 - 3 N -
2 AUX2 9600 - 3 N -
3 AUX3 9600 - 3 N -
4 AUX4 9600 - 3 N -
5 AUX5 9600 - 3 N -
6 AUX6 9600 - 3 N -
7 AUX7 9600 - 3 N -
8 VTY0 - 0 A -
9 VTY1 - 0 P -
10 VTY2 - 0 P -
11 VTY3 - 0 P -
12 VTY4 - 0 P -
* :
CurrentUIisactive. 当前用户已经激活
F :
CurrentUIisactiveandworkinasyncmode.
Idx :
AbsoluteindexofUIs.
Type:
TypeandrelativeindexofUIs.
Privi:
TheprivilegeofUIs.
Auth:
TheauthenticationmodeofUIs.
Int :
ThephysicallocationofUIs.
A :
AuthenticationuseAAA. 设置了用户模式为scheme,即要输用户名和密码的用户模式
L :
Authenticationuselocaldatabase.
N :
CurrentUIneednotauthentication. 用户模式为NONE
P :
AuthenticationusecurrentUI'spassword. 用户模式为PASSWORD,即只要输密码的。
#或者
[Quidway]displaylocal-user
Thecontentsoflocalusergdkm:
State:
Active ServiceType Mask:
T允许TELNET登录
Idle-cut:
Disable
Access-limit:
Disable CurrentAccessNum:
0
Bindlocation:
Disable
VlanID:
Disable 登录进来的VLAN
IPaddress:
Disable 登录进来的IP地址
MACaddress:
Disable 登录进来的硬件地址
UserPrivilege:
3 权限级别为3,即最大权限
Thecontentsoflocaluserldy:
State:
Active ServiceType Mask:
None不允许任何连接方式
Idle-cut:
Disable
Access-limit:
Disable CurrentAccessNum:
0
Bindlocation:
Disable
VlanID:
Disable 登录进来的VLAN
IPaddress:
Disable 登录进来的IP地址
MACaddress:
Disable 登录进来的硬件地址
没有显示权限级别,即权限级别为0,最低权限。
Total2localuser(s)Matched,2listed.
ServiceTypeMaskMeaning:
C--Terminal F--FTP L--LanAccess S--SSH T—Telnet 五种连接方式的字母代号
访问控制列表典型配置案例
1.3.1 高级访问控制列表配置案例
1.组网需求
公司企业网通过Switch的百兆端口实现各部门之间的互连。
财务部门的工资查询服务器由Ethernet1/0/1端口接入(子网地址129.110.1.2)。
要求正确配置ACL,限制其它部门在上班时间8:
00至18:
00访问工资服务器。
2.组网图
图1-1访问控制典型配置举例
3.配置步骤
& 说明:
以下的配置,只列出了与ACL配置相关的命令。
(1) 定义时间段
#定义8:
00至18:
00的周期时间段。
[Quidway]time-rangehuawei8:
00to18:
00working-day
#查看时间段
[Quidway]displaytime-rangeall
#删除时间段
[Quidway]undotime-rangenamehuawei
(2) 定义到工资服务器的ACL
#进入3000号的高级访问控制列表视图。
[Quidway]aclnumber3000
#定义其它部门到工资服务器的访问规则。
[Quidway-acl-adv-3000]rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei
#查看ACL
[Quidway]displayaclall
#删除ACL(在删除前必须先取消激活这条ACL)
[Quidway]undoaclnumber3000
(3) 激活ACL。
#将3000号ACL激活。
[Quidway]interfaceethernet1/0/1
如果是华为S6502三层交换机,在使用packet-filter命令前必须先输入qos命令再回车,才会有packet-filter命令。
[Quidway-Ethernet1/0/1]packet-filterinboundip-group3000
#取消3000号ACL激活
[Quidway]interfaceEthernet1/0/1
[Quidway-Ethernet1/0/1]undopacket-filterinboundip-group3000
1.3.2 基本访问控制列表配置案例
1.组网需求
通过基本访问控制列表,实现在每天8:
00~18:
00时间段内对源IP为10.1.1.1主机发出报文的过滤(该主机从交换机的Ethernet1/0/1接入)。
2.组网图
图1-2访问控制典型配置举例
3.配置步骤
& 说明:
以下的配置,只列出了与ACL配置相关的命令。
(1) 定义时间段
#定义8:
00至18:
00的周期时间段。
[Quidway]time-rangehuawei8:
00to18:
00daily
(2) 定义源IP为10.1.1.1的ACL
#进入2000号的基本访问控制列表视图。
[Quidway]aclnumber2000
#定义源IP为10.1.1.1的访问规则。
[Quidway-acl-basic-2000]rule1denysource10.1.1.10time-rangehuawei
(3) 激活ACL。
#将2000号ACL激活。
[Quidway]interfaceethernet1/0/1
[Quidway-Ethernet1/0/1]packet-filterinboundip-group2000
1.3.3 二层访问控制列表配置案例
1.组网需求
通过二层访问控制列表,实现在每天8:
00~18:
00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。
(在交换机的Ethernet1/0/1进行本项配置)
2.组网图
图1-3访问控制典型配置举例
3.配置步骤
& 说明:
以下的配置,只列出了与ACL配置相关的命令。
(1) 定义时间段
#定义8:
00至18:
00的周期时间段。
[Quidway]time-rangehuawei8:
00to18:
00daily
(2) 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL
#进入4000号的二层访问控制列表视图。
[Quidway]aclnumber4000
#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff-ffff-ffffdest00e0-fc01-0303ffff-ffff-fffftime-rangehuawei
(3) 激活ACL。
#将4000号ACL激活。
[Quidway]interfaceethernet1/0/1
[Quidway-Ethernet1/0/1]packet-filterinboundlink-group4000
1.3.4 用户自定义访问控制列表配置案例
1.组网需求
通过用户自定义访问控制列表,实现在每天8:
00~18:
00时间段内将所有的TCP报文过滤出。
2.组网图
图1-4访问控制典型配置举例
3.配置步骤
& 说明:
以下的配置,只列出了与ACL配置相关的命令。
(1) 定义时间段
#定义8:
00至18:
00的周期时间段。
[Quidway]time-rangehuawei8:
00to18:
00daily
(2) 定义TCP报文的ACL
#进入5000号用户自定义访问控制列表视图。
[Quidway]aclnumber5000
#定义TCP报文的流分类规则。
[Quidway-acl-user-5000]rule1deny06ff35time-rangehuawei
(3) 激活ACL。
#将5000号ACL激活。
[Quidway]interfaceethernet1/0/1
[Quidway-Ethernet1/0/1]packet-filterinbounduser-group5000
路由操作
显示路由表
#显示当前路由表
[Quidway]displayiprouting-table
【视图】任意视图
【参数】无
【描述】displayiprouting-table命令用来查看路由表的摘要信息。
该命令以摘要形式显示路由表信息,每一行代表一条路由,内容包括:
目的地址/掩码长度、协议、优先级、度量值、下一跳、输出接口。
使用displayiprouting-table命令仅能查看到当前被使用的路由,即最佳路由。
【举例】查看当前路由表的摘要信息。
RoutingTable:
publicnet
Destination/Mask Protocol PreCost Nexthop Interface
1.1.1.0/24 DIRECT 0 0 1.1.1.1 Vlan-interface1
1.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
2.2.2.0/24 DIRECT 0 0 2.2.2.1 Vlan-interface2
2.2.2.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
3.3.3.0/24 DIRECT 0 0 3.3.3.1 Vlan-interface3
3.3.3.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
4.4.4.0/24 DIRECT 0 0 4.4.4.1 Vlan-interface4
4.4.4.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
表1-1displayiprouting-table命令显示信息解释
域名
意义
Destination/Mask
目的地址/掩码长度
Protocol
发现该路由的路由协议
Pre
路由的优先级
Cost
路由的开销值
Nexthop
此路由的下一跳地址
Interface
输出接口,即到该目的网段的数据包将从此接口发出
2、静态路由配置
#配置静态路由的命令及注解
iproute-staticip-address{mask|mask-length}{interface-typeinterface-number|next-hop}[preferencepreference-value][reject|blackhole]
undoiproute-staticip-address{mask|mask-length}[interface-typeinterface-number|next-hop][preferencepreference-value][rejectblackhole]
【视图】系统视图
【参数】
ip-address:
目的IP地址,用点分十进制格式表示。
mask:
掩码。
mask-length:
掩码长度。
由于要求32位掩码中的“1”必须是连续的,因此点分十进制格式的掩码也可以用掩码长度mask-length来代替(掩码长度是掩码中连续“1”的位数)。
interface-typeinterface-number:
指定下一跳出接口。
其中,null接口是一种虚拟接口,到这个接口的数据包会被立即丢弃,能够减少系统的负荷。
next-hop:
指定该路由的下一跳IP地址(点分十进制格式)。
preference-value:
为该路由的优先级别,范围1~255。
缺省值为60。
reject:
指明为不可达路由。
当到某一目的地的静态路由具有“reject”属性时,任何去往该目的地的IP报文都将被丢弃,并且通知源主机目的地不可达。
blackhole:
指明为黑洞路由。
当去往某一目的地的静态路由具有“blackhole”属性时,无论配置的下一跳地址是什么,该路由的出接口均为Null0接口,任何去往该目的地的IP报文都将被丢弃,并且不通知源主机。
#配置缺省路由的下一跳为192.168.1.254
[Quidway]iproute-static0.0.0.00.0.0.0192.168.1.254
#配置静态路由:
目标IP范围为125.216.192.0255.255.255.0,下一跳为192.168.1.253
[Quidway]iproute-static125.216.192.0255.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 三层 交换机 S3900 配置