20140313003533281

Configuración básica de la velocidad del puerto de configuración de
conmutación (A)
Huawei 3Com 2000_EI , S2000-SI , S3000-SI , S3026E , S3526E , S3528 , S3552 , S3900 ,
S3050 , S5012 , S5024 , serie S5600 :
Límite de velocidad del puerto del conmutador Huawei
¡La serie 2000_EI de interruptores de arriba puede acelerar !
Diferentes velocidades limitan la velocidad del interruptor no es lo mismo !
2000_EI directamente en la entrada de la vista de puerto parámetros LINE-RATE
(4) opcionales !
Configuración de límite de velocidad de puerto
1 requisitos funcionales y descripción de la red
Configuración de límite de velocidad de puerto
"Configurar los parámetros del entorno"
1. Las direcciones IP de PC1 y PC2 son 10.10.1 .1 / 24 y 10.10.1.2/24, respectivamente
"Requisitos de red"
1. Configure la limitación de velocidad de puerto en SwitchA , limite la
velocidad de descarga de PC1 a 3Mbps y limite la velocidad de carga de PC1 a
1Mbps.
2 pasos de configuración de datos
" Flujo de configuración del límite de velocidad del puerto del conmutador de
la serie S2000EI "
Utilice el comando de velocidad de línea debajo del puerto físico de Ethernet para
calificar los paquetes salientes y entrantes en este puerto.
Configuración relacionada con SwitchA
1. Ingrese la vista de configuración del puerto E0 / 1
[SwitchA] interfaz Ethernet 0/1
2. Establezca el límite de velocidad para los paquetes salientes en el puerto E0 / 1
a 3 Mbps
[Sw itchA-Ethernet0 / 1] salida de línea de 30
3. Limite la tasa de tráfico de los paquetes entrantes en el puerto E0 / 1 a 1 Mbps
[SwitchA-Ethernet0 / 1] línea entrante 16
Explicación suplementaria
El límite de velocidad del paquete es de 1 a 127 . Si el límite de velocidad está
en el rango de 1 a 28 , la granularidad del límite de velocidad es 64 Kbps . En
este caso , el límite de velocidad en el puerto es N * 64K si el nivel se
establece en N. Si el límite de velocidad se establece en 1 En el rango de 29 a
127 , la granularidad del límite de velocidad es 1 Mbps . En este caso, si el
nivel establecido es N , el límite de velocidad en el puerto es (N-27) * 1Mbps .
Los modelos específicos de esta serie de interruptores incluyen: S2008-EI ,
S2016-EI y S2403H-EI .
" Flujo de configuración del límite de velocidad del puerto del conmutador de
la serie S2000-SI y S3000-SI "
Utilice el comando de velocidad de línea debajo del puerto físico de Ethernet para
calificar los paquetes salientes y entrantes en este puerto.
a 6 Mbps
[SwitchA-Eth ernet0 / 1] salida de línea 2
3. Establezca el límite de velocidad para los paquetes entrantes en el puerto E0 / 1
a 3 Mbps
[SwitchA-Ethernet0 / 1] línea de entrada 1
La velocidad total de envío o recepción de paquetes en un puerto se expresa en
ocho niveles, en el rango de 1 a 8. El significado es el siguiente: Cuando el
puerto opera a 10 Mbps, de 1 a 8 respectivamente indican 312K , 625K , 938K , 1.25
M , 2M , 4M , 6M , 8M ; trabajo portuario a una velocidad de 100M , 1 ~ 8 ,
respectivamente, dijo 3.12M , 6.25M , 9.38M , 12.5M , 20M , 40M , 60M , 80M .
Los modelos específicos de esta serie de interruptores incluyen: S 2026C / Z-SI ,
S 3026C / G / S-SI y E026-SI .
" S3026E , S3526E , S3050 , S5012 , serie S5024 cambia el flujo de configuración
del límite de velocidad del puerto"
Utilice el comando de velocidad de línea debajo del puerto físico Ethernet para
establecer el límite de velocidad en los paquetes salientes del puerto. En
combinación con acl , use el comando traffic-limit en el puerto físico Ethernet para
limitar el tráfico entrante en el puerto. Velocidad
a 3 Mbps
[SwitchA-Ethernet0 / 1] línea-tasa 3
3. Configure acl para definir el flujo de datos que cumple con el límite de
velocidad
[SwitchA] acl número 4000
[SwitchA-acl-link-4000] la regla permite el ingreso de cualquier salida
4. Limite el tráfico entrante en el puerto E0 / 1 a 1Mbps
[SwitchA-Ethernet0 / 1] límite de tráfico grupo de enlace entrante 4000 1 excede la caída
El comando de velocidad de línea limita directamente los paquetes de datos
salientes en el puerto. El comando de límite de tráfico se debe combinar con el
comando acl para limitar los paquetes de datos que coinciden con la regla de ACL
especificada. Al configurar acl , también puede configurar las reglas de acceso
de Capa 3 para limitar el tráfico de paquetes entrantes en un segmento de red
de origen o destino especificado.
La granularidad del límite de velocidad del puerto es de 1 Mbps .
Los modelos específicos de esta serie de interruptores incluyen: S3026E / C / G /
T , S3526E / C / EF , S 3050C , S 5012G / T y S 5024G .
Flujo de configuración de límite de velocidad del puerto del conmutador de la
serie S3528 , S3552
Utilice los comandos de forma de tráfico y límite de tráfico en el puerto físico de
Ethernet para calificar los paquetes de salida y de salida en el puerto,
respectivamente.
a 3 Mbps
[SwitchA-Ethernet0 / 1] traffic-shape 3250 3250
velocidad
[S witchA] acl número 4000
[SwitchA-Ethernet0 / 1] límite de tráfico entrante grupo de enlaces 4000 1000 150000 150000
1000 excede la caída
Los modelos específicos de esta serie de interruptores incluyen: S 3528G / P y S
3552G / P / F.
Flujo de configuración de límite de velocidad del puerto del conmutador de la
serie S3900
limitar la tasa de paquetes salientes en el puerto. En combinación con acl , use
el comando traffic-limit debajo del puerto físico de la interfaz Ethernet para que
coincida con el tráfico entrante de la lista de control de acceso especificada
Paquetes de datos direccionales para restricciones de tráfico.
1. Ingrese la vista de configuración de E1 / 0/1
[SwitchA] interfaz Ethernet 1/0/1
a 3 Mbps
[SwitchA-Ethernet1 / 0/1] línea de frecuencia 3 000
velocidad
[SwitchA-Ethernet1 / 0/1] límite de tráfico grupo de enlace entrante 4000 1000 excede la caída
La granularidad del límite de velocidad del puerto es 64 Kbps .
Los modelos específicos de esta serie de interruptores incluyen: S3924 , S3928P /
F / TP y S3952P .
Serie S5600 Cambia el flujo de configuración de límite de tasa de puertos
limitar la tasa de paquetes salientes en el puerto. En combinación con acl , use
el comando traffic-limit debajo del puerto físico de la interfaz Ethernet para que
coincida con el tráfico entrante de la lista de control de acceso especificada
Paquetes de datos direccionales para restricciones de tráfico.
1. Ingrese la vista de configuración de E1 / 0/1
[SwitchA] interfaz Ethernet 1/0/1
a 3 Mbps
[SwitchA-Ethernet1 / 0/1] línea-tasa 3000
velocidad
[SwitchA-acl-link-4000] permite ingresar cualquier salida
[SwitchA-Ethernet1 / 0/1] límite de tráfico grupo de enlace entrante 4000 1000 excede la caída
La granularidad del límite de velocidad del puerto es 64 Kbps .
Los modelos específicos de esta serie de interruptores incluyen: S5624P / F y
S5648P .
Conmutación de puerto de configuración de conmutador (B) Configuración
básica
1 , puerto + MAC
a) comando AM
Utilice un comando especial AM de enlace de usuario para completar el enlace entre
la dirección MAC y el puerto. Por ejemplo:
[SwitchA] am enlace de usuario mac-address 00e0-fc22-f8d3 interfaz Ethernet 0/1
Descripción de la configuración: El puerto se usa como referencia porque se usa
el parámetro de puerto. Es decir, el puerto E0 / 1 solo permite que la PC1 acceda
a Internet, pero la PC que usa otras direcciones MAC no conectadas no puede
acceder a Internet. Sin embargo, PC1 puede usar esta dirección MAC para acceder
a otros puertos.
b) comando mac-dirección
Utilice el comando estático mac-address para completar el enlace entre la dirección
MAC y el puerto. Por ejemplo:
[SwitchA] mac-address estática 00e0-fc22-f8d3 interfaz Ethernet 0/1 vlan 1
[SwitchA] mac-dirección max-mac-count 0
Descripción de la configuración: como resultado de la función de aprendizaje

del puerto, entonces después del mac de enlace estático , necesita configurar el
número de aprendizaje del mac del puerto en 0 , de modo que no se puede aprender
otro acceso de la PC a esta dirección mac del puerto .
2 , IP + MAC
a) comando AM
Use un comando especial AM de enlace de usuario para completar el enlace entre la
dirección IP y la dirección MAC . Por ejemplo:
[SwitchA] am user-bind ip-address 10.1.1 .2 mac-address 00e0-fc22-f8d3
Notas de configuración: la configuración anterior completa la vinculación
global de la dirección IP y la dirección MAC de la PC . Es decir, la PC con una
dirección IP diferente o una dirección MAC enlazada no puede acceder a ningún
puerto.
Modelos admitidos: S3026E / EF / C / G / T , S 3026C - WR , E026 / E026T , S 3050C ,
E050 , S3526E / C / EF , S5012T / G , S 5024G
b) comando arp
Use un comando especial arp estático para completar el enlace entre la dirección IP y
la dirección MAC . Por ejemplo:
[SwitchA] arp estático 10.1.1 .2 00e0-fc22-f8d3
Descripción de la configuración: la configuración anterior se completa en la
dirección IP de la PC y la dirección MAC de la vinculación global.
3 , puerto + IP + MAC
Utilice un comando especial AM de enlace de usuario para completar el enlace entre
las direcciones IP y MAC y los puertos. Por ejemplo:
[SwitchA] am user-bind ip-address 10.1.1 .2 mac-address 00e0-fc22-f8d3 interfaz Ethernet 0/1
Descripción de la configuración: puede completar el enlace entre la dirección IP
y la dirección MAC de la PC1 y el puerto E0 / 1 . Debido al uso de los parámetros
del puerto, el puerto se toma como referencia, es decir, el puerto E0 / 1 solo
permite que la PC1 acceda a Internet en este momento , pero la PC con otras
direcciones IP y direcciones MAC no conectadas no puede acceder a Internet. Sin
embargo, PC1 puede usar esta dirección IP y MAC para acceder a otros puertos.
Modelos admitidos: S3026E / S3026E-FM / S3026-FS ; S 3026G ; S 3026C ; S 3026C- WR
; E3026 ; E050 ; S3526E / C; S3526E-FM / FS; S5012T / G , S 5024G , S3900 , S5600 ,
S6500 ( Motor de 3ra generación )
Configuración básica de la configuración de conmutación (C) ACL
1 , ACL de dos niveles
Requisitos de red :
A través de la capa 2 ACL, los paquetes de la dirección MAC de destino 00e0-fc01-
0101 con la dirección MAC de origen de 00e0-fc01-0303 se filtran dentro del intervalo
de tiempo de 8:00 a 18:00 cada día . Este host está conectado a GigabitEthernet 0/1 .
Pasos de configuración :
(1) defina el período de tiempo
# Defina el período de tiempo del ciclo de 8:00 a 18:00 .
[Quidway] rango de tiempo huawei 8:00 a 18:00 todos los días
2) Defina la ACL cuya dirección MAC de origen es 00e0-fc01-0101 y cuya dirección MAC de
destino es 00e0-fc01-0303.
# Ingrese la vista de ACL de Capa 2 basada en nombre y asígnele el nombre traffic-
of-link .
[Quidway] acl nombre de enlace de tráfico de enlace
# Defina la regla de clasificación de tráfico con la dirección MAC de origen 00e0-
fc01-0101 y la dirección MAC de destino 00e0-fc01-0303 .
[Quidway-a cl-link-traffic-of-link] regla 1 deny ingreso 00e0-fc01-0101 0-0-0 egreso 00e0-fc01-
0303 0-0-0 rango de tiempo huawei
(3) activar la ACL .
# Activar la ACL del tráfico de enlace .
[Quidway-GigabitEthernet0 / 1] packet-filter link-group traffic-of-link
2 , ACL de tres niveles
a) caso de configuración de lista de control de acceso básico
Requisitos de red :
La ACL básica se utiliza para filtrar los paquetes enviados por el host con la
dirección IP de origen 10.1.1.1 todos los días de 8:00 a 18:00 . Este host está
conectado a GigabitEthernet 0/1 .
[Quidway] rango de tiempo huawei 8:00 a 18:00 todos los días
2) Defina la ACL con la fuente IP 10.1.1.1
# Ingrese la vista de la lista de control de acceso básico basada en nombre
llamada traffic-of-host .
[Quidway] acl nombre traffic-of-host b asic
# Definir reglas de acceso con la fuente IP 10.1.1.1 .
[Quidway-acl-basic-traffic-of-host] regla 1 denegar fuente ip 10.1.1. 1 0 rango de tiempo huawei
# Activar la ACL del tráfico de host .
[Quidway-GigabitEthernet0 / 1] paquete-filtro entrante ip-group tráfico-de-host
b) Caso de configuración de lista de control de acceso avanzado
Requisitos de red :
La red corporativa a través del puerto Switch para lograr la interconexión entre
varios departamentos. El puerto de acceso del departamento de I + D es
GigabitEthernet0 / 1 , y la dirección del servidor de consultas salariales es
129.110.1.2 . Requiere una configuración adecuada de las ACL para evitar que los
departamentos de I + D accedan a los servidores de nómina durante el horario
laboral de 8:00 a 18:00 .
[Quidway] rango de tiempo huawei 8:00 a 18:00 día laborable
(2) defina la ACL del servidor de sueldos
# Ingrese la vista de ACL avanzada basada en nombre y asígnele el nombre traffic-of-
payserver .
[Quidway] acl nombre traffic-of-payserver advanced
# Definir reglas de acceso para el departamento de I + D al servidor de nómina.
[Quidway-acl-adv-traffic-of-payserver] regla 1 denegar fuente ip cualquier destino 129.110.1.2
0.0.0 .0 rango de tiempo huawei
# Activar la ACL para traffic-of-payserver .
[Quidway-GigabitEthernet0 / 1] paquete-filtro entrante grupo-ip traffic-of-payserver
3 , virus común ACL
Crear acl
acl número 100
Prohibir ping
regla denegar fuente icmp cualquier destino cualquiera
Usado para controlar la propagación de gusanos Blaster
rule deny udp source any destination any destination-port eq 69
regla denegar tcp fuente cualquier destino cualquier puerto de destino eq 4444
Se usa para controlar ataques y ataques de ondas de choque
rule deny tcp source any destination any destination-port eq 135
rule deny udp source any destination any destination-port eq netbios-ns
rle niega a udp origen cualquier destino cualquier puerto de destino eq netbios-dgm
Se usa para controlar el escaneo y ataque de ondas de oscilación
Usado para controlar la propagación del gusano Worm_MSBlast.A
El siguiente número de puerto de virus desconocido (no se puede hacer)
regla denegar tcp fuente cualquier destino cualquier destinat ion-port eq 5800
Luego emita la configuración
paquete-filtro ip-group 100
Propósito: Para resolver el problema en Internet , configure el método para
filtrar los paquetes UDP destinados al número de puerto 1434. Para la
configuración detallada y complicada, consulte el manual de configuración.
Configuración NE80 :
NE80 (config) # rule-map r1 udp any any eq 1434
// r1 es el nombre del role-map , udp es la palabra clave, any any All sources,
destination IP , eq is equal to, 1434 es udp número de puerto
NE80 (config) #acl a1 r1 deny
// a1 es el nombre de acl , r1 es el nombre del mapa de reglas a vincular ,
NE80 (config-if-Ethernet1 / 0/0) # access-group acl a1
// vincula acl en la interfaz 1/0/0 , acl es palabra clave, a1 es el nombre de acl
Configuración NE16 :
NE16-4 (config) #firewall habilita todo
// Primero, inicie el firewall
NE16-4 (config) # access-list 101 niega udp any any eq 1434
// deny es una palabra clave prohibida para los paquetes udp , cualquiera para todas
las fuentes, IP de destino , equivalentes a eq , número de puerto de 1434 udp
NE16-4 (config-if-Ethernet 2/2/0 ) #ip access-group 101 en
// habilitar la lista de acceso en la interfaz , en dicho mensaje entrante, también
puede usar fuera del mensaje
Configuración de enrutador de bajo costo
[Router] habilitar firewall
[Router] acl 101
[Router-acl-101] rule deny udp source any destion any destination-port eq 1434
[Router-Ethernet0] firewall packet-filter 101 entrante
6506 configuración del producto:
La configuración de línea de comando anterior es la siguiente:
6506 (config) #acl extended aaa deny protocol udp any any eq 1434
6506 (config-if-Ethernet5 / 0/1) # access-group aaa
La nueva línea de comando internacional se configura de la siguiente manera:
[Quidway] acl número 100
[Quidway-acl-adv-100] rule deny udp source any destination any destination-port eq 1434
[Quidway-acl-adv-100] renunciar
[Quidway] interface e thernet 5/0/1
[Quidway-Ethernet5 / 0/1] paquete-filtro entrante ip-group 100 no-cuidado-para-interfaz
5516 (config) # rule-map l3 aaa protocolo-tipo udp ingreso cualquier egreso cualquier eq 1434
5516 (config) # flow-action fff deny
5516 (config) #acl bbb aaa fff
5516 (config) # access-group bbb
[Quidway] acl num 100
[Quidway-acl-adv-100] rule deny udp source any destination any destination-port eq 1434
[Quidway] paquete-filtro ip-group 100
regla-mapa l3 r1 0.0.0 .0 0.0.0.0 1.1.0.0 255.2 55.0.0 eq 1434
flow-action f1 deny
acl acl1 r 1 f 1
access-group acl1
El nuevo orden internacional se configura de la siguiente manera:
acl número 100
regla 0 denegar udp fuente 0.0.0 .0 0 fuente-puerto eq 1434 destino 1.1.0.0 0
paquete-filtro ip-grupo 101 regla 0
Nota: El producto 3526 solo puede configurar las reglas de filtrado de red
externa para la red interna, donde 1.1.0 .0 255.255.0.0 es el segmento de la
dirección de red interna.
8016 (config) # rule-map intervlan aaa udp any any eq 1434
8016 (config) #acl bbb aaa deny
8016 (config) # access-group acl bbb vlan 10 port all
8016 (config) # rule-map intervlan aaa udp any any eq 1434
8016 (config) #eacl bb b aaa deny
8016 (config) # access-group eacl bbb vlan 10 port all
Evitar la suplantación de ARP en el mismo segmento de red
Primero, requisitos de red:
Conmutador de capa 2 para evitar que los usuarios de la red falsifiquen los ataques
ARP IP de Gateway
En segundo lugar, el diagrama de red:
Figura 1 Cambio de capa 2 contra la red de ataque ARP

El S3552P es un dispositivo de Capa 3, donde IP : 100.1.1.1 es la puerta de enlace de
todas las PC y la dirección MAC de la puerta de enlace del S3552P es 000f -e200-
3999 . PC-B está equipado con software de ataque ARP . Ahora necesitamos S 3026C
_A alguna configuración especial, el propósito es filtrar la copia ARP de la
puerta de enlace IP del mensaje.
En tercer lugar, los pasos de configuración
Para los conmutadores de Capa 2, como el S 3026C que admiten ACL definidas por
el usuario ( número de 5000 a 5999 ), puede configurar una ACL para filtrar los
paquetes ARP .
Configuración global La ACL prohíbe que todas las direcciones IP de origen sean
paquetes ARP de la puerta de enlace
acl num 5000
regla 0 denegar 0806 ffff 24 64010101 ffffffff 4 0
regla 1 permiso 0806 ffff 24 000fe2003999 ffffffffffff 34
La regla0 inhabilita la totalidad del puerto S 3026C_A como un paquete ARP de puerta
de enlace . La cursiva 64010101 es una representación hexadecimal de la dirección
IP de la puerta de enlace 100.1.1.1 . La regla 1 permite enviar paquetes ARP a través
de la puerta de enlace . La parte en cursiva es la dirección MAC de la puerta
de enlace 000f -e200-3999 .
Nota: El orden en que se configura la regla tiene efecto después de la
configuración anterior.
La regla de Acl se emite en S 3026C -una vista del sistema :
[S 3026C -A] packet-fil ter usuario-grupo 5000
Entonces, solo el dispositivo de puerta de enlace S 3026C _A puede enviar
paquetes ARP de puerta de enlace , otros hosts no pueden enviar paquetes de
respuesta arp de puerta de enlace falsa .
Layer 3 cambia al ataque ARP de la entrada falsificada
1. Interruptor de capa 3 para evitar que los mismos usuarios de la red falsifiquen
los ataques IP ARP de la puerta de enlace
En segundo lugar, el diagrama de red
Figura 2 Switch de capa 3 contra redes de ataque ARP

En tercer lugar, los pasos de configuración
1. Para dispositivos de Capa 3, debe configurar la dirección IP del origen de
filtrado como la regla de ACL de los paquetes ARP de la puerta de enlace .
Configure las siguientes reglas de ACL :
acl número 5000
regla 0 denegar 0806 ffff 24 6 4010105 ffffffff 40
rule0 Deshabilita todos los puertos S3526E para que no reciban los paquetes ARP que
se usan como puerta de enlace . La cursiva 64010105 es una representación
hexadecimal de la dirección IP de la puerta de enlace 100.1.1.5 .
2 ACL emitidos para la situación general
[S3526E] grupo de usuarios filtro de paquetes 5000
Prevención contra ataques de IP falsificados
Como dispositivo de puerta de enlace, las entradas ARP pueden aparecer
incorrectamente . Por lo tanto, el dispositivo de puerta de enlace necesita
filtrar los paquetes de ataque ARP para que el usuario falsifique las direcciones IP
de otros usuarios .
En segundo lugar, el diagrama de red:
Ver la Figura 1 y la Figura 2
En tercer lugar, los pasos de configuración:
1. Como se muestra en la Figura 1 , cuando PC-B envía un paquete de respuesta arp con
la dirección IP de origen de PC-D , el MAC fuente es mac-0 (000d -88f 8-09fa) de PC-B
y la fuente IP es PC-D Ip (100.1.1.3) , el propósito de la puerta de enlace ip y mac (
3552P ), 3552 aprenderá el arp incorrecto , de la siguiente manera:
--------------------- Error arp entry ------------------------- -------
Dirección IP Dirección MAC ID de VLAN Nombre del puerto Aging Ty pe
100.1.1.4 000d -88f 8-09fa 1 Ethernet0 / 2 20 Dinámico
100.1.1.3 000f -3d81-45b4 1 Ethernet0 / 2 20 Dinámico
Puede saber por la conexión de red que la entrada arp PC-D debe aprender en el
puerto E0 / 8 y no debe aprender en el puerto E0 / 2 . Sin embargo, el interruptor
aprende que la entrada ARP está en E0 / 2 . El fenómeno anterior se puede
configurar en el anti-ataque ARP estático S3552 :
arp estático 100.1. 1.3 000f -3d81-45b4 1 e0 / 8
2. En la Figura 2, S3526C también se puede configurar con ARP estático para
evitar que el dispositivo aprenda las entradas ARP incorrectas .
3. Para dispositivos de Capa 2 ( series S 3050C y S3026E ), puede configurar el
enlace de puertos IP + MAC + además del ARP estático . Por ejemplo , haga lo
siguiente en S 3026C E0 / 4 :
am user-bind ip-addr 100.1.1.4 mac-addr 000d -88f 8-09fa int e0 / 4
Los paquetes ARP con una dirección IP de 100.1.1.4 y una dirección MAC de 000d -88f 8-
09fa pueden pasar por el puerto E0 / 4 , y los paquetes ARP que falsifican otros
dispositivos no pueden pasar entradas ARP . Por lo tanto, no se muestra una
entrada ARP incorrecta .
En cuarto lugar, configure los puntos clave:
Estos son solo algunos ejemplos de los interruptores Ethernet de la serie S de
Quidway . En aplicaciones de red reales, confirme si el producto admite ACL
definida por el usuario y enlace de direcciones de acuerdo con el manual de
configuración . Solo los conmutadores con estas características pueden evitar
la suplantación de ARP .
5 , la descripción de concordancia de la regla ACL
a) La ACL se entrega directamente al hardware

La ACL en el interruptor se puede entregar directamente al hardware del
interruptor para filtrar y clasificar el flujo durante el reenvío de datos. En
este caso , el orden de coincidencia de varias subreglas en una ACL está
determinado por el hardware del conmutador. Incluso si configura el orden de
coincidencia al definir una ACL , la configuración no tendrá efecto.
El caso en el que la ACL se entrega directamente al hardware incluye lo siguiente:
Se hace referencia a la ACL cuando el interruptor implementa la función de QoS ,
y los datos se envían a través de la ACL cuando se reenvía el hardware .
b) La ACL es referenciada por el módulo superior
El interruptor también usa ACL para filtrar y clasificar los paquetes
procesados por el software. En este caso, hay dos reglas coincidentes para las
reglas secundarias de ACL : config (en el orden de configuración del usuario) y
automático (en el orden de "profundidad-primero" cuando se combina la regla). En
este caso, puede especificar el orden de coincidencia de varias subreglas en una
ACL al definir una ACL . Una vez que un usuario especifica el orden de
coincidencia de una lista de control de acceso, no se puede cambiar el orden.
Solo después de que se hayan eliminado todas las reglas de la lista, se puede
volver a especificar el orden de coincidencia.
Los casos en los que el software hace referencia a las ACL incluyen las ACL a
las que hacen referencia las políticas de enrutamiento y las ACL utilizadas al
controlar usuarios de inicio de sesión .
Cambiar la recuperación de contraseña de configuración (D)
Nota: El siguiente método eliminará el archivo de configuración original y
restaurará el dispositivo a la configuración de fábrica.
Presiona Ctrl + B cuando el dispositivo se reinicia Después de ingresar al menú de
inicio ,
Presione Ctrl-B para ingresar al menú de inicio ... 5
Contraseña: el valor predeterminado está en blanco, presione Entrar
Descargue el archivo de la aplicación para actualizar
2. Seleccione el archivo de solicitud para arrancar
3. Mostrar todos los archivos en flash
4. Eliminar archivo de Flash
5. Modificar la contraseña de arranque
0. Reiniciar
Ingrese su elección (0-5): 4 Elija 4
No. Tamaño del archivo de nombre de archivo (bytes)
==================================================
======================
1 S3026CGSSI.btm 257224
2 wnm 2.2.2 -0005.zip 447827
3 snmpboots 4
4 * R0023P01.app 2985691
5 clave de host 428
6 servidor clave 572
7 vrpcfg.txt 1281
Espacio libre: 3452928 bytes
El archivo de aplicación actual es R0023P01.app
Seleccione 7, elimine el archivo de configuración actual
¿Desea eliminar vrpcfg.txt ahora? Sí o No (S / N) y
Eliminar archivo ... hecho!
ARRIBA MENÚ
Descargue el archivo de la aplicación para actualizar
2. Seleccione el archivo de la aplicación para arrancar
3. Mostrar todos los archivos en flash
4. Eliminar archivo de Flash
5. Modificar la contraseña de arranque
0. Reiniciar
Ingrese su elección (0-5): 0 Seleccione 0 para reiniciar el dispositivo
Nota: El interruptor se restablece a su configuración de fábrica después de la
eliminación.
Switch Configuration (E) configuración de intercambio de tres niveles
1 , Diagrama de flujo de reenvío de paquete de intercambio de Capa 3:
Ejemplo de configuración de 2 , tres conmutadores:

Servidor 1 tarjeta de red dual, intranet IP: 192.168.0.1 , otras computadoras a
través de su proxy Internet
PORT1 pertenece a VLAN1
Las máquinas VLAN1 pueden ser un acceso normal a Internet
La puerta de enlace de la computadora con VLAN2 es 192.168.1.254
La puerta de enlace de la computadora con VLAN3 es 192.168.2.254
La VLAN se puede lograr entre Internet
Si la computadora VLAN2 y VLAN3 pasa por el servidor de Internet 1
Necesita configurar la ruta predeterminada en el conmutador de Capa 3
En la vista del sistema: ip route-static 0.0.0 .0 0.0.0.0 192.168.0.1
A continuación, configure la ruta de backhaul en el servidor1
Ingrese el símbolo del sistema
ruta agregar 192.168.1.0 255.255.255.0 192.168.0.254
ruta agregar 192.168.2.0 255.255.255.0 192.168.0.254
Esta vez vlan2 y vlan3 en la computadora pueden acceder a Internet a través del
servidor 1 ~ ~
3 , Layer 3 conmuta comunicación de VLAN
La división de VLAN se debe combinar con la planificación de IP , lo que hace que
una interfaz VLAN IP sea la subred correspondiente sea una subred de un
departamento, la interfaz VLAN IP es una sub-puerta de enlace. La VLAN se debe
dividir en departamentos, el mismo departamento de IP del host a la interfaz de
la VLAN. La IP se clasifica bajo el alcance de una subred y pertenece a la
misma VLAN . Esto no solo es útil en términos de seguridad, sino también más
conveniente para que los administradores de red administren y supervisen. Nota:
La puerta de enlace de cada cliente en cada VLAN corresponde a la interfaz IP de
cada VLAN .
En esta red empresarial, la planificación y la planificación de cuatro subredes
de VLAN corresponden a cuatro departamentos importantes; creo que esta es la
estructura más común del sector de pequeñas empresas, a saber:
VLAN10 - Oficina de Administración General;
VLAN20 - Departamento de ventas;
VLAN30 - Departamento de Finanzas;
VLAN40 - Centro de datos (Centro de red).
Después de la división de VLAN , a cada VLAN con una " dirección IP del
adaptador virtual ".
VLAN10- -192.168.10.1
VLAN20--192.168.20.1
VLAN30--192.168.30.1
VLAN40--192.168.40.1
La topología es la siguiente:
VLAN y configuración de enrutamiento
1.DES-3326SR tres interruptores VLAN proceso de configuración:
( 1 ) crear una VLAN
DES-3326SR # Config vlan default delete 1 -24  Borrar la VLAN predeterminada (por
defecto) contiene el puerto 1-24 '
DES-3326SR # Crear etiqueta vlan vlan10 10  Crear VLAN llamada vlan10 y marcar VID
como 10
DES-3326SR # Crear etiqueta vlan vlan20 20  Crear VLAN llamada vlan20 y marcar VID
como 20
DES-3326SR # Crear la etiqueta vlan vlan30 30  Crear una VLAN llamada vlan10 y marcar
VID como 30
DES-3326SR # Crear etiqueta vlan 40 de vlan 40  Crear una VLAN llamada vlan10 y marcar
el VID como 40
( 2 ) Agregue puertos a cada VLAN
DES-3326SR # Config vlan vlan10 add untag 1-6  Agregue los puertos 1-6 a VLAN10
DES-3326SR # Config vlan vlan20 add untag 7-12 添 Agregue los puertos 1-6 a VLAN20
DES-3326SR # Config vlan vlan30 add untag 13-18 添 Agregue los puertos 1-6 a VLAN 30
DES-3326SR # Config vlan vlan40 add untag 19-24 添 Agregue los puertos 1-6 a VLAN 40
( 3 ) Crear una IP de interfaz VLAN
DES-3326SR # Create ipif if10 192.168.10.1/24 Estado VLAN10 habilitado  Cree una
interfaz VLAN 10 llamada if10 a VLAN10 y especifique la dirección IP de esta
interfaz como 192.168.10.1/24 . Después de la creación habilitada, active esta
interfaz.
El mismo método para configurar la otra interfaz IP :
DES-3326SR # Create ipif if20 192.168.20.1/24 VLAN 20 st ate habilitado
DES-3326SR # Create ipif if30 192.168.30.1/24 Estado VLAN30 activado
DES-3326SR # Create ipif if40 192.168.40.1/24 Estado VLAN40 habilitado
( 4 ) enrutamiento
Al configurar la función de Capa 3 de un conmutador de Capa 3, si solo se
configura un solo conmutador de Capa 3, solo necesita configurar la interfaz
virtual de cada VLAN en la línea y no más protocolos de enrutamiento. Debido a
que la interfaz virtual en un conmutador de capa 3 aparece como una ruta
directa en el conmutador, no se requiere una ruta estática o una configuración
de protocolo de enrutamiento dinámico.
2.DES-3226S Cambio de capa 2 Proceso de configuración de VLAN :
( 1 ) crear una VLAN
DES-3226S # Config vlan default delete 1 -24  Eliminar Default VLAN (predeterminado)
Contiene el puerto 1-24 ''
DES-3226S # Crear etiqueta vlan vlan10 10  Crear VLAN llamada vlan10 y marcar VID
como 10
( 2 ) Agregue puertos a cada VLAN
DES-3226S # Config vlan vlan10 add untag 1-24  Agregue el puerto 1-24 a VLAN10
Del mismo modo, configure otros conmutadores DES-3226S Layer 2. Una vez
completada la VLAN respectiva, pueden conectarse los dos interruptores y los
conmutadores DES-3326SR Layer 3 correspondientes al puerto VLAN .
Configuración de duplicación del puerto de configuración del conmutador
(f)
【 3026 y otro espejo de conmutación】
S2008 / S2016 / S2026 / S2403H / S3026 y otros switches admiten duplicación basada
en puertos. Hay dos métodos:
Método uno
1. Configure el puerto espejo (observación)
[SwitchA] monitor-puerto e0 / 8
2. Configure el puerto que se duplica
[Swit chA] puerto espejo Ethernet 0/1 a Ethernet 0/2
Método dos
1. Defina los puertos espejados y reflejados a la vez
[SwitchA] espejo de puerto Ethernet 0/1 a Ethernet 0/2 puerto de observación Ethernet 0/8
【 Configuración del espejo del puerto 8016 】
1. Suponga que el puerto reflejado del conmutador 8016 es E1 / 0/15 y que el puerto
que se va a duplicar es E1 / 0/0 . Establezca el puerto 1/0/15 como puerto de
observación para duplicación de puertos.
[SwitchA] monitor de puerto ethernet 1 / 0/15
2. Configure el puerto 1/0/0 para que sea un puerto reflejado, reflejando sus
datos de entrada y salida.
[SwitchA] puerto que refleja ethernet 1/0/0 ambos ethernet 1/0/15
También puede duplicar los datos de entrada y salida por separado a través de
dos puertos diferentes
1. Configure E1 / 0/15 y E2 / 0/0 como puertos espejo (observación)
[SwitchA] puerto monitor ethernet 1/0/15
2. Configure el puerto 1/0/0 como el puerto reflejado para duplicar los datos de
entrada y salida utilizando E1 / 0/15 y E2 / 0/0, respectivamente .
[SwitchA] puerto reflejo gigabitethernet 1/0/0 ingreso ethernet 1/0/15
[SwitchA] puerto reflejo gigabitethernet 1/0/0 egress ethernet 2/0/0
Flujo de datos basado en flujo
Los conmutadores basados en flujo reflejan algunos de los flujos, cada uno con
dos direcciones de flujo de datos, que están separadas para el conmutador.
【 3500 / 3026E / 3026F / 3050 】
[Basado en el flujo de tres niveles del espejo]
1. Defina una lista de control de acceso extendido
[Switc hA] acl num 101
2. Defina una dirección de origen de paquete de regla 1.1.1 .1 / 32 para todas las
direcciones de destino
[SwitchA-acl-adv-101] regla 0 permiso fuente ip 1.1.1. 1 0 destino cualquiera
3. Defina una dirección de origen de paquete de regla cuya dirección de origen
sea 1.1.1 .1 / 32
[SwitchA-acl-adv-101] la regla 1 permite la fuente de IP cualquier destino 1.1.1 .1 0
4. Refleje los paquetes que coinciden con las reglas de ACL anteriores para el
puerto E0 / 8
[Sw itchA] interfaz espejo-a-grupo 101 e0 / 8
Duplicación basada en capa 2
Definir una ACL
[SwitchA] acl num 200
2. Defina una regla para enviar paquetes de E0 / 1 a todos los demás puertos
La regla 0 de [SwitchA] permite la interfaz de ingreso Ethernet0 / 1 (cualquier interfaz de salida)
3. Defina un paquete que gobierna desde todos los otros puertos al puerto E0 / 1
Permiso de la regla 1 de [SwitchA] (ingreso en terface cualquiera) interfaz de salida Ethernet0 / 1
4. Refleje los paquetes que coinciden con la ACL anterior a E0 / 8
[SwitchA] interfaz del grupo de enlaces duplicados e0 / 8
【 5516 】
Soporte para reflejar el tráfico entrante
Configure Ethernet 3/0/1 como puerto de monitoreo y refleje el tráfico entrante de
Ethernet 3/0/2 .
[SwitchA] espejo Ethernet 3/0/2 ingreso a Ethernet 3/0/1
【 6506/6503 / 6506R 】
En la actualidad, los tres productos solo admiten la duplicación del tráfico
entrante, aunque hay un parámetro de salida , pero no se puede configurar.
El nombre del grupo de duplicación es 1 , el puerto de supervisión es Ethernet
4/0/2 y la entrada del puerto Ethernet 4/0/1 se refleja.
[SwitchA] mirroring-group 1 entrante Ethernet4 / 0/1 duplicado-a Ethernet4 / 0/2
1. La creación de reflejos generalmente puede lograr un puerto de baja velocidad
de duplicación de puertos de alta velocidad, por ejemplo, un puerto de 100M que
duplica el puerto de 100M , de lo contrario no se puede lograr
2. 8016 admite duplicación de puertos a bordo
Huawei varios modelos de espejo puerto método de configuración espejo resumen
Muchos de mis amigos hacen preguntas sobre la duplicación de los conmutadores
Huawei. A través de mi información y documentos existentes, ahora se pueden
resumir los distintos tipos de métodos de espejo de conmutación. Con el fin de
poder facilitar el acceso a todos nuestros amigos! Antes de la configuración de
la escuela, los conceptos básicos de la duplicación de puertos oa una cierta
comprensión!
En primer lugar, el concepto de duplicación de puertos:
Puerto Espejo ( Duplicación de puertos) se utiliza para la monitorización del
rendimiento de la red. Se puede entender: el puerto A y el puerto B establecer
una relación de espejo entre tal que, por el puerto A se copiará a un puerto de
transmisión de datos, mientras que B , de modo que el puerto B análisis de
rendimiento o el diagnóstico de fallos en el software analizador o análisis
conectado .
En segundo lugar, la duplicación de puertos
"Parámetros de configuración de entorno"
1. PC1 conectado al conmutador E0 / 1 puerto, la IP dirección 1.1.1 0,1 / 24
2. PC2 conectado al conmutador E0 / 2 puerto, la IP dirección 2.2.2 0,2 / 24
3. E0 / 24 para los puertos del interruptor de enlace ascendente
4. Servidor conectado al conmutador E0 / 8 un puerto reflejado puerto
"Requisitos de red"
1. Utilice el conmutador a través de la duplicación de puertos función de
servidor tanto para pc paquetes de servicios a monitorizar.
2. La configuración del espejo de diferentes maneras:
1) basado en la duplicación de puertos
2) flujo Mirroring
2 paso de configuración de datos
"Duplicación de puertos de flujo de datos."
Duplicación de puertos es que reflejarse puerto y fuera de los datagramas
paquetes a copiar exactamente puerto espejo, por lo que el caudal de observar o
ubicación de la falla.
[ 3026 pares imagen interruptor]
S2008 / S2016 / S2026 / S2403H / S3026 y los conmutadores están basados como soporte
de puertos, hay dos métodos:
método uno
1. Configuración de duplicación de puertos (observado)
[SwitchA] e0 monitor de puerto / 8
2. La configuración es puerto duplicado
[SwitchA] Ethernet puerto espejo 0/1 0/2 a Ethernet
Segundo método
1 se puede definir una vez y un puerto de espejo de reflejo
[SwitchA] Ethernet puerto espejo 0/1 0/2 a Ethernet Ethernet de observación puertos 0/8
[ 8016 Interruptor de duplicación de puertos]
1. Supongamos 8016 puerto espejo interruptor E1 / 0/15 , reflejó puerto E1 / 0/0 ,
se proporciona el puerto 1/0/15 observación es la duplicación de puertos.
[SwitchA] ethernet monitor de puerto 1/0/15
2. Establecer el puerto 1/0/0 para reflejar el puerto, sus datos de entrada y de
salida se refleja.
[SwitchA] copia de puertos Ethernet 1/0/0 tanto ethernet 1/0/15
También por dos puertos diferentes, los datos de entrada y de salida son imagen
1. Conjunto E1 / 0/15 y E2 / 0/0 duplicación de puertos (observado)
[SwitchA] ethernet monitor de puerto 1/0/15
2. Establecer el puerto 1/0/0 a la copia de puertos, respectivamente, utilizando
E1 / 0/15 y E2 / 0/0 para duplicar los datos de entrada y salida.
[SwitchA] copia de puertos gigabitethernet 1/0/0 entrada ethernet 1/0/15
[SwitchA] copia de puertos gigabitethernet 1/0/0 2/0/0 salida ethernet
"Sobre la base de la duplicación de tráfico de flujo de datos"
Reflejando reflejo de cierto flujo basado en el interruptor de flujo, cada
conexión tiene dos direcciones de flujo de datos, para el interruptor de los
dos flujos de datos a imagen separada.
[ 3500 / 3026E / 3026F / 3050 ]
Reflejo de tres 〖〗 flujo
1. Definir una lista de control de acceso extendida
2. La definición de una dirección de origen del paquete regla 1.1.1 0,1 / 32 con
destino a todos los destinos
[SwitchA-ACL-ADV-101] la regla de permiso de 0 Fuente IP 1.1.1 0.1 0 ¿Dónde quieres que la de
cualquier
3. La definición de una dirección de origen imperio de la dirección de destino
del paquete es la dirección de origen de todos 1.1.1 0,1 / 32
[SwitchA-ACL-ADV-101] la regla de permiso. IP Fuente 1 ¿Dónde quieres que la de cualquier
1.1.1 0,1 0
4. La reunión de los anteriores ACL paquetes de reglas duplicadas / 8 E0 puertos
[SwitchA] reflejado-a IP grupo-100 interfaz e0 / 8
flujo de la capa duplicación basada 〖〗
1. Definir una ACL
2. La definición de una regla de E0 / 1 transmite paquetes de datos a todos los
demás puertos
[SwitchA] regla 0 permiso de interfaz de entrada ethernet0 / 1 interfaz de salida ethernet0 / 2
3. La definición de una regla de todos los otros puertos a E0 / 1 puerto de
paquetes
[SwitchA] regla 1 permiso de interfaz de entrada ethernet0 / 2 interfaz de salida ethernet0 / 1
4. La reunión lo anterior ACL paquete de reflejo a E0 / 8
[SwitchA] reflejado a enlace-grupo 200 e0 interfaz / 8
[ 5516/6506/6503 / 6506R ]
Los tres productos soportan actualmente el puerto para el tráfico de reflejo
1. La definición del puerto espejo
[SwitchA] Ethernet monitor de puerto 3/0/2
2. La definición del puerto espejo
[SwitchA] duplicación de puertos Ethernet entrante 3/0/1
[Suplemento]
1. El espejo puede ser implementado puerto generalmente alta tasa de reflejo de
puerto de baja velocidad, por ejemplo 1000M puerto puede reflejar 100M puerto,
no se puede lograr de otra manera
2,8016 la ayuda del puerto transversal a bordo de reflejo de configuración de
duplicación puerto
"Parámetros de configuración de entorno"
Conmutador de configuración (vii) el DHCP configuración
1 , el interruptor de servidor DHCP
"Configuración de los parámetros ambientales."
1. PC1 , PC2 NIC se utilizan para obtener una dinámica IP modo de
direccionamiento
2. PC1 conectado al puerto Ethernet del interruptor 0/1 , perteneciente VLAN10 ;
PC2 conectado a un puerto de conmutación Ethernet 0/2 , perteneciente VLAN20
3. Los tres interruptores SwitchA la VLAN interfaces de 10 dirección 10.1.1 0,1 / 24
, VLAN interfaces de 20 dirección como 10.1.2.1/24
"Requisitos de red"
1. PC1 puede adquirir dinámico 10.1.1 0.0 / 24 de direcciones de red, y la dirección
de puerta de entrada a 10.1.1.1 ; PC2 puede adquirir dinámico 10.1.2.0/24 dirección
de subred y la dirección de puerta de enlace es 10.1.2.1
" Servidor DHCP proceso de configuración de proceso"
Se puede hacer directamente conectado a los tres interruptores PC asignar una
IP dirección, también a través de DHCP conectado a tres interruptores
dispositivo de relé PC dispensador IP dirección.
Dirección manera asignación se puede adoptar el modo de interfaz, o la piscina
global de direcciones.
[ SwitchA utilizando configuración de direcciones de asignación de Interfaz]
1. crear (entrar) VLAN10
[SwitchA] VLAN 10
2. El E0 / 1 fue añadido a VLAN10
[SwitchA-vlan10] puerto Ethernet 0/1
3. Creación (ENTER) VLAN interfaces de 10
[SwitchA] interfaz VLAN-interface 10
4 es una VLAN interfaces de 10 configurado IP de direcciones
[SwitchA-de-Vlan interface10 Para] dirección IP 10.1.1 0.1 255.255.255.0
5. En la VLAN hace interfaz 10 para seleccionar el modo de interfaz asignar IP
direcciones
[SwitchA-Vlan-interface10] DHCP Seleccione interfaz
6. prohibir la PC dirección de la entrada de distribución para la máquina del
usuario
[SwitchA] Servidor DHCP Prohibida I- P 10.1.1 0.1
[ SwitchA usando configuración global piscina asignación de direcciones de
direcciones]
[SwitchA] VLAN 10
2. El E0 / 1 fue añadido a VLAN10
3. Creación (ENTER) VLAN interfaces de 10
[SwitchA-de-Vlan interface10 Para] dirección IP 10.1.1 0.1 255.255.255.0
5. En la VLAN hace interfaz 10 para seleccionar el grupo asignado global de
direcciones IP direcciones
[SwitchA-VLAN interface10] DHCP seleccionar mundial
6. Crear un grupo global de direcciones, y fue nombrado " VLAN 10 "
[SwitchA] servidor DHCP IP-piscina vlan10
7. Configurar vlan10 conjunto de direcciones asignado al usuario y la dirección
de puerta de enlace rango de direcciones del usuario
[SwitchA-DHCP-VLAN10] Red 10.1.1 0.0 máscara 255.255.255.0
[SwitchA-DHCP-VLAN10] Lista -Portal 10.1.1 0.1
8. prohibido PC dirección de la entrada de distribución para la máquina del
usuario
[SwitchA] Servidor DHCP Prohibida I- P 10.1.1 0.1
[Suplemento]
En la configuración anterior VLAN10 ejemplificado, VLAN20 referencia de
configuración VLAN10 configuración al. Al utilizar conjunto de direcciones
global, y la necesidad de crear una " VLAN 10 " pool global de direcciones
diferentes nombres.
Después de la configuración anterior, es posible completar la PC1 asignado IP
dirección 10.1.1 0,0 / 24 , mientras que PC1 dirección de pasarela a 10.1.1.1 ; como
PC2 asignado IP dirección 10.1.2.0/24 , mientras PC2 dirección de puerta de enlace
es 10.1.2.1 .
VLAN asignación de direcciones a un grupo de direcciones global sobre una
interfaz por defecto, por lo que cuando una VLAN interfaz está configurado
para asignar direcciones IP a la modalidad mundial conjunto de direcciones, al
ver la configuración actual del interruptor en la correspondiente VLAN no
puede ver la interfaz correspondiente DHCP configuración.
El uso de la piscina global de direcciones, el usuario puede completar los tres
interruptores en sí la asignación de VLAN direcciones de interfaces diferentes
redes IP direcciones.
2 , el relé DHCP configuración
1. Servidor DHCP 's IP dirección 192.168.0.10/24
2. Servidor DHCP está conectado al conmutador / 1 G1 puerto perteneciente VLANs
100 , es decir, el interruptor de puerta de enlace de VLAN interfaces de 100
direcciones 192.168.0.1/24
3. E0 / 1-E0 / 10 pertenece VLAN10 , dirección de red 10.10.1 0,1 / 24
4. E0 / 11-E0 / 20 pertenece VLAN20 , dirección de red 10.10.2 0,1 / 24
"Requisitos de red"
1. En SwitchA configuración DHCP Relay permiten al usuario para obtener
dinámicamente el siguiente segmento correspondiente especifica IP dirección
2. PC1 , PC2 puede ser de ping a través de sus propias puertas de enlace,
mientras que PC1 , PC2 puede intercambiar visitas entre
"Switch Relay DHCP proceso de configuración."
DHCP Relay función es adaptar el cliente y el servidor no están en el mismo
segmento de red caso, relé , los usuarios pueden ir a una subred diferente con
un servidor DHCP aplicación IP dirección, es fácil de administrar y mantener
conjunto de direcciones.
[ SwitchA configuración]
1. El mundial activar DHCP función (por defecto, DHCP función está activada)
[SwitchA] DHCP Enable
2. crear (introducir) VLAN100
[SwitchA] VLAN 100
3. El G1 / 1 se añadió a VLAN100
[SwitchA-VLAN100] puerto gigabitethernet 1/1
4. Crear (entrando) la VLAN interconecta 100
[SwitchA-Vlan-interface100] dirección IP 255.255.255.0 192.168.0.1
6. Creación (entrar) VLAN10
[SwitchA] VLAN 10
7. El E0 / 1-E0 / 10 fue añadido a VLAN10
[SwitchA-vlan10] puerto Ethernet a Ethernet 0/1 0/10
8. Crear (entrando) la VLAN Interfaces 10
[SwitchA-de-Vlan interface10 Para] dirección IP 10.10.1 0,1 255.255.255.0
10. Habilitar VLAN interfaces de 10 del DHCP función de relé
[SwitchA-VLAN interface10] DHCP selección de un relé
11 es VLAN interfaces de 10 configurado DHCP la dirección del servidor
[SwitchA-Vlan-interface10] relé dirección 192.168.0.10 ip
12. crear (introducir) VLAN20
[SwitchA-vlan10] VLAN 20
13. El E0 / 11-E0 / 20 fue añadido a VLAN20
[SwitchA-vlan20] puerto Ethernet 0/11 0/20 a Ethernet
14. Crear (ENTER) VLAN interfaces de 20
15 es VLAN interfaces de 20 configurado IP de direcciones
[SwitchA-de-Vlan interface20] dirección IP 10.10.2 0,1 255.255.255.0
16. Habilitar VLAN interfaces de 20 del DHCP función de relé
[SwitchA-VLAN interface20] DHCP selección de un relé
17 es VLAN interfaces de 20 configurado DHCP la dirección del servidor
[SwitchA-Vlan-interface20] relé dirección 192.168.0.10 ip
[Suplemento]
Puede ser el modo de configuración global, o habilitar un cierto VLAN en la
interfaz DHCP función de relé, por ejemplo: [SwitchA] SELECT interfaz de
retransmisión DHCP 10 de Vlan-interface
3 , el snooping DHCP
1. Servidor DHCP está conectado al conmutador SwitchA el G1 / 1 puerto
perteneciente VLAN10 , la IP dirección de 10.10.1 0.253 / 24
2. puerto E0 / 1 y E0 / 2 pertenecen vlan10
"Requisitos de red"
1. PC1 , PC2 se puede especificar desde el servidor DHCP para obtener la IP de
direcciones
2. prevenir otra ilegal del servidor DHCP anfitrión afectar a la red
"Switch DHCP-Snooping proceso de configuración."
Cuando el interruptor abre el DHCP Snooping , que posteriormente DHCP paquetes
oyente, y puede ser recibida desde la solicitud de DHCP o DHCP Ack paquete de
extracto y registrada IP dirección y el MAC información de la dirección.
Además, el DHCP snooping permite a un puerto físico al puerto de confianza o
puerto no es de confianza. puertos autónomos normalmente pueden recibir y
enviar la oferta de DHCP paquete, el puerto no confiará recibido DHCP Oferta
descarte de paquetes. De esta manera, se puede completar el cambio de
falsificar servidor DHCP efecto de protección, asegurando de clientes legítimos
servidor DHCP para obtener IP direcciones.
[SwitchA] VLAN 10
2. El puerto E0 /. 1 , E0 / 2 y G1 / 1 fue añadido a VLAN10
[SwitchA-vlan10] puerto Ethernet 0/1 Ethernet 0/2 1/1 GigabitEthernet
3. Habilitar mundial dhcp snooping- función
[SwitchA] dhcp-snooping
4. puerto G1 / 1 configurado como la confianza puerto,
[SwitchA-GigabitEthernet1 / 1] confianza dhcp-snooping
[Suplemento]
Dado que el DHCP servidor al usuario incluye el servidor asignado al usuario
de las IP direcciones de paquetes - " dhcp la oferta " mensaje, el G1 / 1 puerto
para entrar SwitchA y hacia delante, por lo que necesita al puerto G1 / 1
configurado para " Confianza " puerto. Si SwitchA interfaz de enlace ascendente
como Trunk puerto, y está conectado a un DHCP dispositivo de relé, la
configuración del puerto de enlace ascendente también necesidad de " confianza
puerto".
Cambiar la configuración (ocho) Administrador de perfiles
( 1 ) Operación de archivos Común
1 , el comando actual configuración de visualización: ver la configuración actual del
conmutador Ethernet
2 , el comando Ejecutar la pantalla de configuración del salvado- : Vista del conmutador
Ethernet de configuración de inicio
3 , comando RESET guardado el Configuration- : Borrado de Memoria Flash archivo de
configuración, el siguiente conmutador Ethernet tiempo, el sistema usará la
configuración por defecto parámetros se inicializan.
( 2 ) el FTP de subida y descarga de archivos
1. Requisitos de red
Cambiar como el servidor FTP , el control remoto de PC como el cliente FTP . En el
servidor FTP hizo la siguiente configuración: configurar un FTP nombre de usuario
es interruptor , la contraseña es el Hola , el usuario autorizado en el interruptor
de destello de leer y escribir en el directorio raíz. Un interruptor en una VLAN
de la interfaz IP dirección 1.1.1 0.1 , PC 's IP dirección 2.2.2.2 , interruptores y
PC ruta entre arriba.
cambio de aplicación switch.app almacena en PC sucesivamente. PC a través de FTP
cargar en el interruptor remoto switch.app , mientras que el archivo de
configuración del conmutador vrpcfg.txt descargar a un PC para copia de seguridad
del archivo de configuración.
2. Diagrama de red (omitido)
3. Pasos de configuración
1) Configurar el conmutador
# Usuario inicia sesión en el conmutador. (El usuario puede localmente por
Consola de iniciar sesión en el puerto del conmutador, o por medio de telnet
inicio de sesión remoto al conmutador. Véase la entrada de inicio de sesión
diferentes módulos describen a continuación.)
# Encienda el interruptor de FTP servicio, y establecer nombre de usuario,
contraseña y la ruta:
[Quidway] servidor FTP Habilita
interruptor-usuario local [Quidway]
[Quidway-luser-interruptor] Flash de tipo de servicio de directorio ftp ftp:
[Quidway-luser-interruptor] contraseña simple hola
2) En el PC que ejecuta cliente FTP programa, establecida con el interruptor de
FTP conexión mientras la operación de carga a través de la aplicación del
interruptor switch.app subido para cambiar el flash directorio raíz, descargue el
archivo de configuración del conmutador vrpcfg.txt . Cliente FTP aplicaciones
necesitan adquirir, instalar Quidway switches de la serie no se envía.
Nota: Si el interruptor de memoria flash espacio es lo suficientemente grande,
eliminar los flash programas de aplicación original, a continuación, cargar la
nueva aplicación para el interruptor de flash en.
3) Una vez finalizada la carga, el usuario puede actualizar la aplicación en el
interruptor.
# Los usuarios pueden mandar arranque el sistema de arranque para especificar el
programa descargado como la aplicación en el próximo inicio de sesión y
reiniciar el conmutador, la aplicación Transfer se actualiza.
arranque el sistema de arranque switch.app
reiniciar
( 3 ) el TFTP archivo de carga y descarga
Interruptor como TFTP Client , PC como servidor TFTP , el servidor TFTP de la
configuración de la TFTP ruta de trabajo. Un interruptor en una VLAN de la
interfaz IP dirección 1.1.1 0.1 , el interruptor y PC puertos conectados a
pertenecen a la VLAN , PC 's IP dirección 1.1.1.2 .
cambio de aplicación switch.app almacena en PC sucesivamente. Interruptor por
TFTP del servidor TFTP descarga switch.app , mientras que el archivo de
configuración del conmutador vrpcfg.txt cargado en el servidor TFTP directorio de
copia de seguridad de los archivos de configuración.
3. Pasos de configuración
1) En el PC de iniciar el servidor TFTP , configurar el servidor TFTP directorio de
trabajo.
2) dispuesta en el interruptor
# Usuario inicia sesión en el conmutador. (El usuario puede localmente por
Consola de iniciar sesión en el puerto del conmutador, o por medio de telnet
inicio de sesión remoto al conmutador. Véase la entrada de inicio de sesión
diferentes módulos describen a continuación.)
Nota: Si el interruptor de memoria flash espacio es lo suficientemente grande,
eliminar los flash programas de aplicación original, antes de descargar nuevas
aplicaciones para cambiar el flash en.
# Introduzca vista del sistema.
sistema de vista
[Quidway]
# Configurar VLAN interfaz IP dirección 1.1.1 0.1 , garantizando al mismo tiempo
que el PC conectado al puerto pertenece a esta VLAN . (En la presente
realización a VLAN 1 como un ejemplo).
[Quidway] interfaz VLAN 1
[Quidway-VLAN-interface1] dirección IP 1.1.1 0.1 255.255.255.0
[Quidway-VLAN-Interface1] dejar de fumar
# De cambio de aplicaciones switch.app desde el servidor TFTP descargado al
conmutador.
[Quidway] GET // TFTP 1.1.1 0,2 / la switch.app la switch.app
# El archivo de configuración del conmutador vrpcfg.txt subido al servidor TFTP .
[Quidway] // TFTP PUT vrpcfg.txt 1.1.1 0,2 / vrpcfg.txt
# Ejecutar dejar de comando para volver a la vista del usuario.
[Quidway] dejar de fumar
# Los usuarios pueden mandar arranque el sistema de arranque para especificar el
programa descargado como la aplicación en el próximo inicio de sesión y
reiniciar el conmutador, la aplicación Transfer se actualiza.
arranque el sistema de arranque switch.app
reiniciar
Cambiar la configuración (nueve) de configuración de gestión remota
1 , la WEB camino
" WEB remota gestionar el proceso de configuración del switch."
En primer lugar de todos los requisitos previos para asegurar que la PC puede
ser SwitchB comunicaciones, tales como PC puede hacer ping a través SwitchB .
Si desea WEB interruptor de gestión manera debe primero ser utilizado para
apoyar un WEB archivo de gestión en el interruptor de flash , el archivo tiene
que cambiar la versión de software actualmente en uso para que coincida. WEB
archivo Administrador de extensiones llamada " alquitrán " o " postal llegar", la
versión del software se puede descargar desde el interruptor sitio.
Es necesario añadir en el interruptor WEB nombre de usuario y contraseña de
gestión y uso, el tipo de usuario es telnet tipo y permisos para el más alto
nivel 3 .
Obsérvese que en la WEB archivo de gestión en el interruptor de flash , no
descomprimir el archivo, cambia simplemente archivo completo se puede cargar (
para cambiar de flash cargado WEB método para la gestión de archivos, consulte
los ejemplos de configuración del switch el capítulo de gestión del sistema ) .
[ SwitchB configuración]
1. Compruebe el interruptor de destello dentro del archivo ( garantizar WEB
archivo de gestión ya está en el interruptor de flash en )
dir / todos
Directorio de inflamación: /
-rwxrwx 1 nadie nogroup 442797 Abr 02 el año 2000 13:09:50 wnm-xxx.zip
2. Añadir WEB gestión de usuarios, el tipo de usuario es " Telnet ", un usuario
llamado " HUAWEI ", la contraseña es " WNM "
[SwitchB] Huawei-usuario local
[SwitchB-luser-Huawei] nivel telnet-tipo de servicio 3
[SwitchB-luser-Huawei] contraseña sencilla WNM
3. Configurar la dirección de administración del conmutador
[SwitchB] VLAN interfaz 100
[SwitchB-Vlan-interface100] ip addr 192.168.0.2 255.255.255.0
4. a HTTP de acceso de usuario de control ( Opción- )
[SwitchB] ip http acl acl_num / nombre_acl
Mensajes de aprendizaje relevantes:
http://bbs.51cto.com/viewthread.php?tid=401882&fpage=1&highlight=web
2 , TELNET camino
[ TELNET configuración de autenticación de contraseña]
Solo tienes que introducir la contraseña para iniciar la sesión en el conmutador.
1. La vista de la interfaz de usuario
[SwitchA] interfaz de usuario vty 0 4
2. Ajuste el modo de autenticación como la autenticación de contraseña
[SwitchA-ui-vty0-4] contraseña modo de autenticación
3. Configurar la autenticación de inicio de sesión contraseña en contraseña en
texto plano " HUAWEI "
[SwitchA-ui-vty0-4] establecer una contraseña de autenticación sencilla Huawei
4. nivel de usuario de inicio de sesión Configurar es el más alto nivel 3 ( nivel
predeterminado 1)
[SwitchA-ui-vty0-4] nivel de privilegio de usuario 3
5. o aumentar el interruptor en súper contraseña ( por defecto, de VTY nivel de la
interfaz de usuario de inicio de sesión es una necesidad para nivel de permisos
de usuario para el nivel más alto, la configuración del dispositivo no puede
funcionar. 3 , antes de que puedan entrar en el sistema ver y configurar el
interruptor de inicio de sesión de usuario de bajo nivel de funcionamiento debe
entrar súper contraseña cambiar sus niveles ) , por ejemplo, el nivel de
configuración 3 usuario súper contraseña es una contraseña en texto plano " de
super 3 "
[SwitchA] nivel de contraseña súper 3 Super3 sencillo
[ TELNET local de nombre de usuario y la autenticación de contraseña de
configuración]
Es necesario introducir un nombre de usuario y contraseña para poder iniciar sesión
en el conmutador.
2. Configuración de nombres de usuarios locales o remotos y contraseñas para
[Ui-SwitchA-vty0-4] esquema de modo de autenticación
3. Configurar el local de TELNET usuario con el nombre " HUAWEI ", la
contraseña es " HUAWEI ", es el más alto nivel de privilegio 3 ( por defecto
nivel 1)
[SwitchA] Huawei-usuario local
[SwitchA-user-Huawei] contraseña huawei sencillo
[SwitchA-user-Huawei] nivel telnet-tipo de servicio 3
4. El incremento en el interruptor de contraseña estupenda
[SwitchA] nivel de contraseña súper 3 Super3 sencillo
[ RADIUS TELNET Configuración de autenticación]

Para utilizar Huawei 3Com desarrolló CÁMARAS como RADIUS , por ejemplo, el
servidor
2. Configurar nombre de usuario remoto y la autenticación de contraseña
[Ui-SwitchA-vty0-4] esquema de modo de autenticación
3. Configurar RADIUS esquema de autenticación llamado " CAMS "
[SwitchA] levas esquema de radio
4. Configuración de RADIUS dirección del servidor de autenticación 10.110.51.31
[SwitchA-radio-levas] autenticación principal 10.110.51.31 1812
La configuración del interruptor y la contraseña de autenticación al servidor
de autenticación " HUAWEI "
[SwitchA-radio-levas] Huawei clave de autenticación
6. enviado a RADIUS paquetes sin el nombre de dominio
[SwitchA-radio-levas] de nombre de usuario de formato sin-dominio
7. Creación (introducir) un dominio llamado " HUAWEI "
[SwitchA] Huawei dominio
8. En el campo " HUAWEI nombre de referencia" en " CÁMARAS Programa de
autenticación"
[SwitchA-isp-Huawei] levas radio-Esquema
9. dominio " HUAWEI " como la configuración de dominio predeterminado
[SwitchA] predeterminada de dominio permiten Huawei
[ TELNET configuración de control de acceso]
1. Configurar reglas de control de acceso sólo permiten 10.1.1 0.0 / 24 red
Conectarse
[SwitchA] número acl 2000
[SwitchA-acl-basic-2000] regla de negar cualquier fuente
[SwitchA-Basic-ACL-2000] Fuente la regla de permiso 10.1.1 0.0 0.0.0.255
2. Configurar sólo permiten cualificado ACL2000 la IP interruptor de registro de
direcciones
[SwitchA-ui-vty0-4] acl 2000 entrante
Mensajes de aprendizaje relevantes:
http://bbs.51cto.com/viewthread.php?tid=349090&fpage=1&highlight=telnet
3 , SSH manera
terminal de consola ( el cliente SSH ) para establecer una conexión local con el
conmutador Ethernet. Terminales utilizando SSH registros de protocolo en el
interruptor, a fin de garantizar la seguridad del intercambio de datos.
3. Procedimiento de configuración ( SSH autenticación para la autenticación de
contraseña)
[Quidway] RSA-clave local de par crear
Y Nota: Si ya ha completado configurado para generar un par de claves local,
puede omitir este paso.
[Quidway] interfaz de usuario vty 0 4
[Ui-Quidway-vty0-4] esquema de modo de autenticación
[Quidway-ui-vty0-4] protocolo ssh entrante
[Quidway] client001-usuario local
[Quidway-luser-client001] Huawei contraseña sencilla
[Quidway-luser-client001]-tipo de servicio ssh
[Quidway] ssh usuario client001 tipo de autenticación de contraseña
SSH tiempo de espera de autenticación y reintentos pueden tomar valores
predeterminados del sistema de actualización de clave del servidor de tiempo,
después de la configuración se ha completado, usted estará en el otro extremo
está conectado al conmutador Ethernet, soporte operativo SSH1.5 software
cliente, nombre de usuario (client001) , contraseña de HUAWEI , visite el
conmutador Ethernet.
Configuración de conmutación (diez) la STP configuración

1. SwitchA selecciona Huawei -3com conmutadores de gama alta 's, tales como
S8500 o S6500 conmutador de la serie
2. SwitchB y SwitchC seleccionados Huawei -3com conmutadores de gama baja de la
empresa, tales como los S3500 o S3550 conmutadores de la serie
SwitchD 3. , Switche y SwitchF seleccionados Huawei -3com conmutadores de gama
baja de la empresa, tales como los S3000 o S2000 conmutadores de la serie
"Requisitos de red"
1. Todos los dispositivos que ejecutan STP (Spanning Tree Protocol) Spanning Tree
Protocol
2. En SwitchB puente raíz, el bloqueo de los bucles en la red y redundancia de
enlaces puede lograr el efecto de
"Switch STP proceso de configuración."
Al cambiar el interruptor o puerto STP prioridad, con el fin de especificar
manualmente el puente raíz en la red, y el puerto STP papel, el bloqueo de la
finalización del bucle y redundancia de enlaces.
1. Activación global del STP función (por defecto, el DHCP función está
activada)
[SwitchB] permitir stp
2. El SwtichB raíz configure ( dos métodos: el SwitchB el puente de prioridad se
establece en 0 , o directamente SwitchB designada como una raíz, un dos métodos
de efectos )
[SwitchB] stp priotity 0
[SwitchB] primaria de la raíz STP
3. Activar la función de protección de raíz en cada puerto especificado ( en
este caso, SwtichB todos los puertos para desarrollar el puerto )
[SwitchB] Ethernet interfaz 0/1
[-0 SwitchB-Ethernet / 1] raíz de protección STP
[ SwitchC configuración]
1. Activación global del STP función (por defecto, el DHCP función está
activada)
[SwitchB] permitir stp
2. El SwtichC configurado raíz secundario ( dos métodos: el SwitcCB el puente de
prioridad se establece en 4096 , o directamente SwitchC designada como la raíz
de copia de seguridad, el efecto de ambos métodos a )
[SwitchB] priotity stp 4096
[SwitchB] raíz stp secundaria
3. En el puerto designado de la función de protección de raíz ( en este ejemplo,
SwtichC puerto de 0/1 , 0/2 y 0/3 se especifican puerto )
[SwitchB] Ethernet interfaz 0/1
[-0 SwitchB-Ethernet / 1] raíz de protección STP
[Otro interruptor de configuración 's]
La selección de PC puerto máquina STP fuera, o como un puerto de borde y
permitir BPDU protección
[SwitchD-ethernet0 / 4] disable stp
[SwitchD-ethernet0 / 5] stp-afiladas Activar puerto
[SwitchD] STP BPDU-protección
[Suplemento]
La configuración de " la BPDU-protección " en el futuro, si un puerto de borde
recibe BPDU de paquetes, se cerrará el borde del puerto, debe ser restaurado
con la mano.
Cuando el puerto está configurado con " STP la raíz-Protección ", más adelante, el
papel del puerto se puede designar el puerto, y una vez recibido el mensaje de
alta prioridad en la configuración del puerto, el puerto se configura estado
para el estado de escucha, no reenviar paquetes, cuando no se recibe el mensaje
con una prioridad más alta por un período de tiempo suficiente, el puerto se
reanuda el estado normal.
Cambiar la configuración (xi) privada VLAN de configuración

PC1 's IP dirección 10.1.1 0.1 / 24 , PC2 ' s IP dirección 10.1.1.2/24 , PC3 de la IP
dirección 10.1.1.3/24 , del servidor IP dirección 10.1.1.253/24 ; PC1 , PC2 y PC3
están conectados al puerto del conmutador E0 /. 1 , E0 / 2 y E0 /. 3 , los puertos
pertenecen VLAN10 , 20 es y 30 , el servidor está conectado al puerto del
conmutador G2 /. 1 , pertenecen a VLAN 100 .
"Switch Isolate-user-VLAN proceso completo de configuración de aislamiento
puerto".
Es equivalente a la línea de comando original de Aplicación de PVLAN ,
utilizando la VLAN vista de configuración, un aislado-User-VLAN de comandos (
línea de comandos de edad primaria-VLAN) para completar.
"Proceso de configuración".
1. crear (introducir) VLAN10 , el E0 / 1 fue añadido a VLAN10
[SwitchA] VLAN 10
2. crear (introducir) VLAN20 , el E0 / 2 añadido a VLAN20
[SwitchA] VLAN 20
3. Creación (ENTER) VLAN30 , el E0 / 3 añadido a VLAN30
[SwitchA] la VLAN 30
[SwitchA-VLAN30] puerto Ethernet 0/3
4. Crear (introducir) VLAN100 , la G2 / 1 fue añadido a VLAN100
[SwitchA] VLAN 100
5. El VLAN100 configurado para aislar-user-VLAN
[SwitchA-VLAN100] Aislar-user-VLAN permiten
6. En el sistema de modo de vista, dispuestos Isolate-user-VLAN respectiva VLAN
secundaria relación de mapeado entre
[SwitchA] aislar-user-VLAN 100 secundaria 10 20 30
[Suplemento]
Esta función es principalmente usado para el anfitrión de configuración de
usuario de capa aislada.
En la configuración Isolate-user-VLAN y VLAN secundaria de la correspondencia
entre el, Isolate-user-VLAN y VLAN secundaria deben contener puerto físico.
Después de configurar la relación de proyección, otra vez no Aislar-user-VLAN o
de VLAN secundaria operaciones portuarias aumentan o disminuyen deben eliminarse
primero.
Cambiar de configuración del puerto (xii) del tronco , híbrido configuración
de la aplicación
1 , puerto de tronco de aplicaciones
1.PC1 la IP dirección de 10.1.1 0,1 / 24 , PC2 's IP dirección 10.1.1.2/24 , PC3 de la
IP dirección 10.1.1.3/24 , PC4 ' s IP dirección como 10.1.1.4/24 ;
2.PC1 y PC2 están conectados al conmutador SwitchA puerto E0 / 1 y E0 / 2 , el
puerto pertenece VLAN10 y 20 se ; PC3 y PC4 están conectados al conmutador
SwitchB puerto E0 / 10 y E0 / 20 es , los puertos pertenecen VLAN10 y 20 .
3.SwitchA a través del puerto G2 / 1 , conectado a SwitchB puerto G1 / 1 ; SwitchA
puerto G2 / 1 y SwitchB puerto G1 / 1 son Trunk puerto y permite VLAN10 y VLAN20
través.
"Requisitos de red"
1.SwitchA y SwitchB misma entre VLAN del PC entre pueden intercambiar visitas.
2.SwitchA y SwitchB diferente entre VLAN de PC prohibida entre las visitas.
"Cambiar tronco proceso de configuración de puerto"
Utilizando el puerto está configurado como tronco de puerto para completar el
interruptor de transmisión transparente entre diferentes VLAN , que pertenece
a alcanzar la misma VLAN el PC unidad, a través de conmutador de acceso de
capa 2; o una diferente VLAN de PC de la máquina a través de los tres
conmutadores de acceso propósitos.
[SwitchA] VLAN 10

[SwitchA] VLAN 20
3. puerto G2 / 1 configurada como tronco de puerto y permite VLAN10 y VLAN20 por
[SwitchA] GigabitEthernet interfaz 1/1
[SwitchA-GigabitEthernet1 / 1] puerto de tipo enlace troncal
[SwitchA-GigabitEthernet1 / 1] tronco puerto permiso de VLAN 10 20
[SwitchA] VLAN 10
[SwitchA] VLAN 20
3. puerto G2 / 1 configurada como tronco de puerto y permite VLAN10 y VLAN20 por
[SwitchA-GigabitEthernet2 / 1] puerto de tipo enlace troncal
[SwitchA-GigabitEthernet2 / 1] tronco puerto permiso de VLAN 10 20
2 , el puerto híbrido aplicación
1.PC1 , PC2 y PC3 están conectados al conmutador de SwitchA puerto E0 /. 1 , E0 / 2
y E0 /. 3 , los puertos pertenecen VLAN10 , 20 es y 30 , el servidor está
conectado al puerto G2 /. 1 , pertenecen a VLAN 100 .
2.PC1 la IP dirección del 10.1.1 0.1 / 24 , PC2 's IP dirección 10.1.1.2/24 , PC3 de la
IP dirección 10.1.1.3/24 , del servidor IP dirección 10.1.1.254/24 .
"Requisitos de red"
1.PC1 y PC2 pueden acceder unos a otros;
2.PC1 y PC3 puedan intercambiar visitas entre;
3.PC1 , PC2 y PC3 puede acceder al servidor;
4. El resto de la PC están prohibidos entre el acceso.
"Switch Hybrid proceso de configuración de puerto".
El uso de híbridos características del puerto - un puerto puede pertenecer a
diferentes VLAN , se completará en diferentes VLAN segmentos diferentes
dentro de los PC de los requisitos de acceso de la máquina.
[SwitchA] VLAN 10
[SwitchA] VLAN 20
3. Creación (ENTER) VLAN30 , el E0 / 3 añadido a VLAN30
[SwitchA] la VLAN 30
[SwitchA-VLAN30] puerto Ethernet 0/3
4. Crear (introducir) VLAN100 , la G2 / 1 fue añadido a VLAN100
[SwitchA] VLAN 100
El puerto de configuración E0 / 1 es un híbrido puerto, capaz de recibir VLAN20 ,
30 , y 100 envía paquetes desde
[SwitchA] Ethernet interfaz 0/1
[SwitchA-ethernet0 / 1] puerto de tipo enlace híbrido
[SwitchA-ethernet0 / 1] híbrido puerto VLAN 20 30 100 sin etiquetar
6. El puerto de configuración E0 / 2 de Hybrid puerto, capaz de recibir VLAN10 y
100 envía paquetes desde
[SwitchA-ethernet0 / 2] VLAN híbrido puerto 10 100 sin etiquetar
7. Configurar puerto E0 / 3 como híbrido puerto, capaz de recibir VLAN10 y 100
paquetes de envío desde
[SwitchA-ethernet0 / 3] VLAN híbrido puerto 10 100 sin etiquetar
8. El puerto de configuración G2 / 1 es un híbrido puerto, capaz de recibir VLAN10
, 20 es y 30 enviados a través de paquete
[SwitchA-GigabitEthernet2 / 1] puerto de tipo enlace híbrido
[SwitchA-GigabitEthernet2 / 1] híbrido puerto VLAN 10 20 30 sin etiquetar
[Suplemento]
Por híbrido puerto, puede pertenecer a una pluralidad de manera simultánea la
VLAN . La VLAN son el híbrido puerto del PVID , y "configurado manualmente el no
etiquetado " y " etiqueta " modo VLAN . Se debe prestar atención al
correspondiente puerto de VLAN de configuración para asegurarse de que los
paquetes pueden ser puerto normal de procesamiento de recepción.
Esta red de capa 2 de aplicación, para controlar el acceso al mismo segmento de
red que el host.
S conmutadores de la serie para diferentes VLAN visitas dispuestos entre
En primer lugar, los requisitos de red:
Conmutador está configurado . 4 º de la VLAN , respectivamente, VLAN1 , VLAN2 ,
VLAN3 , la VLAN4 , requiere VLAN1 puede VLAN2 , . 3 , . 4 visitas, pero VLAN2
, . 3 , . 4 no se puede comunicar con el híbrido lograr atribuye este puerto.
En segundo lugar, el diagrama de redes:
no
En tercer lugar, los pasos de configuración:
1. Crear un VLAN2
[Quidway] VLAN 2
2. Crear un VLAN3
[Quidway-vlan2] VLAN 3
3. Crear un VLAN4
[Quidway-VLAN3] VLAN 4
4. El puerto de acceso Ethernet1 / 0/1
[Quidway-vlan4] interfaz Ethernet1 / 0/1
El puerto se establece en híbrido modo
[Quidway-Ethernet1 / 0/1] puerto de tipo enlace híbrido
6. Establecer el puerto pvid a 1
[Quidway-Ethernet1 / 0/1] híbrido puerto pvid VLAN 1
7. Permitir la VLAN1 , 2 , . 3 , . 4 sin marcar por
[Quidway-Ethernet1 / 0/1] híbrido puerto VLAN 1 a 4 sin etiquetar
[Quidway-Ethernet1 / 0/1] interfaz Ethernet1 / 0/2
9. El puerto de híbrido modo
11. Permitir la VLAN1 , 2 sin etiquetar por
[Quidway-Ethernet1 / 0/2] híbrido puerto VLAN 1 a 2 sin etiquetar
14. Ajuste el puerto pvid a 3
15. Permitir la VLAN1 , . 3 sin etiquetar por
[Quidway-Ethernet1 / 0/3] híbrido puerto VLAN 1 3 sin etiquetar
19. permiten VLAN1 , 4 sin marcar por
[Quidway-Ethernet1 / 0/4] híbrido puerto VLAN 1 4 sin etiquetar
En cuarto lugar, la configuración de los puntos clave:
1. El uso de puertos de conmutación Ethernet Híbridos características se puede
lograr PVLAN función.
2. usando Híbridos propiedades logradas PVLAN función y PVLAN mecanismo es
bastante diferente, lo anterior se aplica sólo para el tráfico de red, un menor
número de aplicaciones de usuario de la red.

20140313003533281

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

20140313003533281

Uploaded by

Copyright:

Available Formats

Configuración básica de la velocidad del puerto de configuración de

Descripción de la configuración: como resultado de la función de aprendizaje

Figura 1 Cambio de capa 2 contra la red de ataque ARP

Figura 2 Switch de capa 3 contra redes de ataque ARP

a) La ACL se entrega directamente al hardware

Ejemplo de configuración de 2 , tres conmutadores:

[ RADIUS TELNET Configuración de autenticación]

"Configuración de los parámetros ambientales."

"Configuración de los parámetros ambientales."

2. crear (introducir) VLAN20 , el E0 / 2 añadido a VLAN20

You might also like