三层交换机组播配置

华三命令配置显示组播：dis pim rp-info 选举信息Dis pim bsr-info 区域信息Dis multicast routing-table 组播表项Language-mode Chinese 中文模式显示系统版本信息：display version显示诊断信息：display diagnostic-information显示系统当前配置：display current-configuration显示系统保存配置：display saved-configuration显示接口信息：display interface显示路由信息：display ip routing-table显示VLAN 信息：display vlan显示生成树信息：display stp显示MAC 地址表：display mac-address显示ARP表信息：display arp显示系统CPU使用率：display cpu显示系统内存使用率：display memory显示系统日志：display log显示系统时钟：display clock验证配置正确后，使用保存配置命令：save删除某条命令，一般使用命令：undosys进入到系统视图Enter system view, return to user view with Ctrl+Z.[Quidway]user-interface aux 0[Quidway-ui-aux0]authentication-mode schemeNotice: Telnet or SSH user must be added , otherwise operator cant login! [Quidway-ui-aux0]qu[Quidway]local-user huawei 增加用户名New local user added.[Quidway-luser-huawei]password simple huawei 配置密码，且密码不加密[Quidway-luser-huawei]service-type telnet ssh level 3服务类型为SSH和telnet，且用户登陆后权限为管理员权限[Quidway-luser-huawei]qu[Quidway]user-interface vty 0 4[Quidway-ui-vty0-4]authentication-mode schemeNotice: Telnet or SSH user must be added , otherwise operator cant login! [Quidway-ui-vty0-4]<Quidway>save华为QuidWay交换机配置命令手册:1、开始建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console 口连接。

交换机组播功能的设置1. 什么是组播？组播协议允许将一台主机发送的数据通过网络路由器和交换机复制到多个加入此组播的主机，是一种一对多的通讯方式。

IP 组播的好处、优势？组播协议的优势在于当需要将大量相同的数据传输到不通主机时，1能节省发送数据的主机的系统资源和带宽；2组播是有选择地复制给又要求的主机；3 3. 组播可以穿越公网广泛传播，而广播则只能在局域网或专门的广播网内部传播；4 4. 组播能节省网络主干的带宽单播：主机之间“一对一”的通讯模式，网络中的交换机和路由器对数据只进行转发不进行复制。

如果10个客户机需要相同的数据，则服务器需要逐一传送，重复10次相同的工作。

但由于其能够针对每个客户的及时响应，所以现在的网页浏览全部都是采用IP单播协议。

网络中的路由器和交换机根据其目标地址选择传输路径，将IP单播数据传送到其指定的目的地。

广播：主机之间“一对所有”的通讯模式，网络对其中每一台主机发出的信号都进行无条件复制并转发，所有主机都可以接收到所有信息（不管你是否需要），由于其不用路径选择，所以其网络成本可以很低廉。

有线电视网就是典型的广播型网络，我们的电视机实际上是接受到所有频道的信号，但只将一个频道的信号还原成画面。

在数据网络中也允许广播的存在，但其被限制在二层交换机的局域网范围内，禁止广播数据穿过路由器，防止广播数据影响大面积的主机。

组播：主机之间“一对一组”的通讯模式，也就是加入了同一个组的主机可以接受到此组内的所有数据，网络中的交换机和路由器只向有需求者复制并转发其所需数据。

主机可以向路由器请求加入或退出某个组，网络中的路由器和交换机有选择的复制并传输数据，即只将组内数据传输给那些加入组的主机。

这样既能一次将数据传输给多个有需要（加入组）的主机，又能保证不影响其他不需要（未加入组）的主机的其他通讯。

2.二层组播设置1、 IP 组播技术体系结构组播协议分为主机-路由器之间的组成员关系协议和路由器-路由器之间的组播路由协议。

BFD配置步骤华为路由器交换机BFD配置步骤一、静态BFD单跳和多跳检测BFD单跳检测：两个直连系统进行ip连通性检测;BFD会话必须绑定本端出接口和对端IP地址BFD多跳检测：两个系统之间的任意路径检测；BFD会话绑定对端IP地址1、静态BFD单跳检测配置（设备两端同时配置）：配置前需先配置链路层参数，使接口的链路协议状态为UP，路由可达，如果是三层接口（包括子接口）还需配置IP地址。

二层接口和三层接口配置方法有些区别1、全局使能BFD[router 1]bfd2、配置BFD组播 IP地址（可选）。

默认值为224.0.0.184。

仅当对端设备无法配置IP地址（如二层设备）时采用。

如果BFD检测路径上存在重叠的BFD会话（如三层接口通过具有BFD功能的二层交换设备连接），必须配置不同的缺省组播IP地址，以免BFD报文被错误转发。

如果已经配置了缺省组播地址的BFD会话，则不能更改缺省组播地址。

[router 1-bfd]default-ip-address 224.0.0.1843、创建BFD会话绑定信息（区别不同的BFD会话）[Huawei]bfd test[Huawei-bfd-session-test]3.1对于三层接口创建IP连通性[router 1]bfd 1 bind peer-ip 10.1.1.254 interface GigabitEthernet 0/0/2（本端接口） source-ip 10.1.1.13.2对于二层接口创建检测链路物理状态[router 1]bfd 2 bind peer-ip default-ip interface GigabitEthernet 0/0/24、配置BFD会话本地标识符[Huawei-bfd-session-001]discriminator local 1005、配置BFD会话远端标识符[Huawei-bfd-session-001]discriminator remote 1016、提交BFD会话配置[Huawei-bfd-session-001]commit2、静态BFD 多跳配置检测多跳检测需要三层接口来实现，不能连接二成设备。

华为三层交换机配置实例一例服务器1双网卡，内网IP:192.168.0.1，其它计算机通过其代理上网PORT1属于VLAN1PORT2属于VLAN2PORT3属于VLAN3VLAN1的机器可以正常上网配置VLAN2的计算机的网关为：192.168.1.254配置VLAN3的计算机的网关为：192.168.2.254即可实现VLAN间互联如果VLAN2和VLAN3的计算机要通过服务器1上网则需在三层交换机上配置默认路由系统视图下：ip route-static 0.0.0.0 0.0.0.0 192.168.0.1然后再在服务器1上配置回程路由进入命令提示符route add 192.168.1.0 255.255.255.0 192.168.0.254route add 192.168.2.0 255.255.255.0 192.168.0.254这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~华为路由器与CISCO路由器在配置上的差别＂华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致，有些方面还根据国内用户的需求作了很好的改进。

例如中英文可切换的配置与调试界面，使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。

另外它的软件升级，远程配置，备份中心，PPP回拨，路由器热备份等，对用户来说均是极有用的功能特性。

在配置方面，华为路由器以前的软件版本(VRP1.0－相当于CISCO的IOS)与CISCO有细微的差别，但目前的版本(VRP1.1)已和CISCO兼容，下面首先介绍VRP软件的升级方法，然后给出配置上的说明。

一、 VRP软件升级操作升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本，因为这关系到是否可以升级以及升级的方法，否则升级失败会导致路由器不能运行。

在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。

华三交换机配置方法及操作案例一、系统IP配置:[H3C]vlan20[H3C]management-vlan20[H3C]interfacevlan-interface 20 创建并进入管理VLAN[H3C]undointerface vlan-interface 20 删除管理VLAN接口[H3C-Vlan-interface20]ipaddress 192.168.1.2 255.255.255.0 配置管理VLAN接口静态IP地址(缺省为192.168.0.234)[H3C-Vlan-interface20]undoip address 删除IP 地址[H3C-Vlan-interface20]ipgateway192.168.1.1 指定缺省网关(默认无网关地址) [H3C-Vlan-interface20]undoip gateway[H3C-Vlan-interface20]shutdown 关闭接口[H3C-Vlan-interface20]undoshutdown 开启[H3C]displayip 显示管理VLAN接口IP的相关信息[H3C]displayinterface vlan-interface 20 查看管理VLAN的接口信息<H3C>debuggingip 开启IP调试功能<H3C>undodebugging ip二、DHCP客户端配置:[H3C-Vlan-interface20]ipaddress dhcp-alloc 管理VLAN接口通过DHCP方式获取IP地址[H3C-Vlan-interface20]undoip address dhcp-alloc 取消[H3C]displaydhcp 显示DHCP客户信息<H3C>debuggingdhcp-alloc 开启DHCP调试功能<H3C>undodebugging dhcp-alloc三、端口配置:[H3C]interfaceEthernet0/3[H3C-Ethernet0/3]shutdown[H3C-Ethernet0/3]speed100 速率,可为10,100,1000和auto(缺省)[H3C-Ethernet0/3]duplexfull 双工,可为half,full 和auto(缺省) 光口和汇聚后不能配置[H3C-Ethernet0/3]flow-control 开启流控,默认为关闭[H3C-Ethernet0/3]broadcast-suppression20 设置抑制广播百分比为20%,可取5,10,20,100,缺省为100,同时组播和未知单播也受此影响[H3C-Ethernet0/3]loopbackinternal 内环测试[H3C-Ethernet0/3]loopbackexternal 外环测试,需插接自环头,必须为全双工或者自协商模式[H3C-Ethernet0/3]portlink-type trunk 设置链路的类型为trunk,可为access(缺省),trunk[H3C-Ethernet0/3]porttrunk pvid vlan 20 设置20为该trunk的缺省VLAN,默认为1(trunk线路两端的PVID必须一致)[H3C-Ethernet0/3]portaccess vlan 20 将当前access端口加入指定的VLAN[H3C-Ethernet0/3]porttrunk permit vlan all 允许所有的VLAN通过当前的trunk端口,可多次使用该命令[H3C-Ethernet0/3]mdiauto 设置以太端口为自动监测,normal(缺省)为直通线,across为交叉线[H3C]link-aggregationEthernet 0/1 to Ethernet 0/4 将1-4口加入汇聚组,1为主端口,两端需要同时配置,设置了端口镜像以及端口隔离的端口无法汇聚[H3C]undolink-aggregation Ethernet 0/1 删除该汇聚组[H3C]link-aggregationmode egress 配置端口汇聚模式为根据目的MAC地址进行负荷分担,可选为 ingress,egress和both,缺省为both[H3C]monitor-portEthernet 0/2 将该端口设置为镜像端口,必须先设置镜像端口,删除时必须先删除被镜像端口,而且它们不能同在一个端口,该端口不能在汇聚组中,设置新镜像端口时,新取代旧,被镜像不变[H3C]mirroring-portEthernet 0/3 to Ethernet 0/4 both 将端口3和4设置为被镜像端口,both为同时监控接收和发送的报文,inbound表示仅监控接收的报文,outbound表示仅监控发送的报文[H3C]displaymirror[H3C]displayinterface Ethernet 0/3<H3C>resetcounters 清除所有端口的统计信息[H3C]displaylink-aggregation Ethernet 0/3 显示端口汇聚信息[H3C-Ethernet0/3]virtual-cable-test 诊断该端口的电路状况四、VLAN配置:[H3C]vlan2[H3C]undovlan all 删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除[H3C-vlan2]portEthernet 0/4 to Ethernet 0/7 将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口[H3C-vlan2]port-isolateenable 打开VLAN内端口隔离特性,不能二层转发,默认不启用该功能[H3C-Ethernet0/4]port-isolateuplink-port vlan 2 设置4为VLAN2的隔离上行端口,用于转发二层数据,只能配置一个上行端口,若为trunk,则建议允许所有VLAN通过,隔离不能与汇聚同时配置[H3C]displayvlan all 显示所有VLAN的详细信息S1550E支持基于端口的VLAN,通过创建不同的user-group来实现,一个端口可以属于多个user-group,不属于同一个user-group的端口不能互相通信,最多支持50个user-group[H3C]user-group20 创建user-group 20,默认只存在user-group 1[H3C-UserGroup20]portEthernet 0/4 to Ethernet 0/7 将4到7号端口加入到VLAN20中,初始时都属于user-group1中[H3C]displayuser-group 20 显示user-group 20的相关信息五、系统管理:[H3C]mac-addressblackhole H-H-H vlan 1 在VLAN1中添加黑洞MAC[H3C]mac-addressstatic H-H-H interface Ethernet 0/1 vlan 1 在VLAN1中添加端口一的一个mac [H3C]mac-addresstimer aging 500 设置MAC地址表的老化时间为500s[H3C]displaymac-address[H3C]displayarp[H3C]mac-addressport-binding H-H-H interface Ethernet 0/1 vlan 1 配置端口邦定[H3C]displaymac-address port-binding[H3C]displaysaved-configuration[H3C]displaycurrent-configuration<H3C>save[H3C]restoredefault 恢复交换机出厂默认配置,恢复后需重启才能生效[H3C]displayversion<H3C>reboot[H3C]displaydevice[H3C]sysnamebigheap[H3C]info-centerenable 启用系统日志功能,缺省情况下启用[H3C]info-centerloghost ip 192.168.0.3 向指定日志主机(只能为UNIX或LINUX,不能为Windows)输出信息,需先开启日志功能,缺省关闭[H3C]info-centerloghost level 8 设置系统日志级别为8,默认为 5.级别说明:1.emergencies2.alerts 3.critical 4.errors 5.warnings 6.notifications rmational8.debugging<H3C>terminaldebugging 启用控制台对调试信息的显示,缺省控制台为禁用<H3C>terminallogging 启用控制台对日志信息的显示,缺省控制台为启用<H3C>terminaltrapping 启用控制台对告警信息的显示,缺省控制台为启用[H3C]displayinfo-center 显示系统日志的配置和缓冲区记录的信息[H3C]displaylogbuffer 显示日志缓冲区最近记录的指定数目的日志信息[H3C]displaytrapbuffer 显示告警缓冲区最近记录的指定数目的日志信息<H3C>resetlogbuffer 清除日志缓冲区的信息<H3C>resettrapbuffer 清除告警缓冲区的信息六、案例:某公司有一台三层交换机、两台二层交换机，给每个部门划分不用VLAN，但是VLAN要互联，三层到二层交换机为了防止单线故障使用链路聚合，vlan2为销售部，vlan3为财务部。

11组播VLAN配置关于本章组播VLAN复制功能可以使三层设备只需把组播数据传送给该组播VLAN，而不必再为每个用户VLAN都复制一份组播报文，减少带宽浪费。

11.1 组播VLAN的简介介绍组播VLAN的定义和目的。

11.2 原理描述介绍组播VLAN功能的实现原理。

11.3 配置任务概览根据不同的应用场景，组播VLAN有不同的配置方式。

11.4 配置注意事项介绍配置组播VLAN的注意事项。

11.5 缺省配置介绍缺省情况下，组播VLAN的配置信息。

11.6 配置组播VLAN介绍组播VLAN的详细配置过程。

11.7 配置举例介绍组播VLAN复制功能的配置举例。

11.8 常见配置错误介绍了常见的配置错误的故障现象以及处理步骤。

11.1 组播VLAN的简介介绍组播VLAN的定义和目的。

定义组播VLAN全称Multicast VLAN，用于将接收到的相同的组播数据在不同的用户VLAN进行复制分发。

目的二层组播侦听功能很好的弥补了组播数据如果到达的是二层广播网络，就会进行广播的缺陷。

但是这种功能是基于一个广播域，即基于VLAN来实现的。

如果不同VLAN的用户有相同的组播数据需求时，上游路由器仍然需要发送多份相同报文到不同VLAN中。

通过在二层设备上配置组播VLAN功能就可以解决这个问题，它实现了在二层网络设备上进行跨VLAN组播复制。

在二层设备上部署了组播VLAN功能后，上游路由器不必在每个用户VLAN内都复制一份组播流，而是数据流在组播VLAN内复制一份后发送给二层设备。

这样就避免了组播流在上游路由器的重复复制，不仅节省了网络带宽，又减轻了上游路由器的负担。

11.2 原理描述介绍组播VLAN功能的实现原理。

基于用户VLAN的组播VLAN交换机支持将用户VLAN与组播VLAN进行绑定，实现在不同的用户VLAN间进行组播报文复制。

基于用户VLAN的组播VLAN功能提供了组播VLAN复制功能中最核心的功能：上游设备只需要向配置了组播VLAN的交换机上发送一份组播数据，然后交换机再将其复制分发到有相同组播需求的不同用户VLAN中，从而减少了上游设备与交换机之间的带宽浪费，即如图11-1所示。

华为、H3C、锐捷三家交换机配置命令详解一、华为交换机基础配置命令1<Quidway> //用户视图，也就是在Quidway模式下运行命令。

<Quidway>system-view //进入配置视图[Quidway] vlan 10 //创建vlan 10，并进入vlan10配置视图，如果vlan10存在就直接进入vlan10配置视图[Quidway-vlan10] quit //回到配置视图[Quidway] vlan 100 //创建vlan 100，并进入vlan100配置视图，如果vlan10存在就直接进入vlan100配置视图[Quidway-vlan100] quit //回到配置视图2[Quidway] interface GigabitEthernet2/0/1 (10G光口)[Quidway- GigabitEthernet2/0/1] port link-type access //定义端口传输模式[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100 [Quidway- GigabitEthernet2/0/1] quit //回到配置视图[Quidway] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。

0代表1号口[Quidway- GigabitEthernet1/0/0] port link-type access //定义端口传输模式[Quidway- GigabitEthernet2/0/1] port default vlan 10 //将这个端口加入到vlan10中[Quidway- GigabitEthernet2/0/1] quit3<Quidway>system-view[Quidway]vlan 10[Quidway-vlan10]port GigabitEthernet 1/0/0 to 1/0/29 //将0到29号口加入到vlan10中[Quidway-vlan10]quit4[Quidway] interface Vlanif100 // 进入vlan100接口视图与vlan 100命令进入的地方不同[Quidway-Vlanif100] ip address 119.167.200.90 255.255.255.252 // 定义vlan100管理IP三层交换网关路由[Quidway-Vlanif100] quit //返回视图[Quidway] interface Vlanif10 // 进入vlan10接口视图与vlan 10命令进入的地方不同[Quidway-Vlanif10] ip address 119.167.206.129 255.255.255.128 // 定义vlan10管理IP三层交换网关路由[Quidway-Vlanif10] quit5[Quidway]ip route-static 0.0.0.0 0.0.0.0 119.167.200.89 //配置默认网关。

万兆上联堆叠式三层网管交换机TL-SH7428/TL-SH8434用户手册REV1.1.01910040845声明Copyright © 2018 普联技术有限公司版权所有，保留所有权利未经普联技术有限公司明确书面许可，任何单位或个人不得擅自仿制、复制、誊抄或转译本手册部分或全部内容，且不得以营利为目的进行任何方式（电子、影印、录制等）的传播。

为普联技术有限公司注册商标。

本手册提及的所有商标，由各自所有人拥有。

本手册所提到的产品规格和资讯仅供参考，如有内容更新，恕不另行通知。

除非有特殊约定，本手册仅作为使用指导，所作陈述均不构成任何形式的担保。

目录第1章用户手册简介 (1)1.1目标读者 (1)1.2本书约定 (1)1.3章节安排 (1)第2章产品介绍 (5)2.1产品简介 (5)2.2产品外观 (5)2.2.1前面板 (5)2.2.2后面板 (7)第3章配置指南 (9)3.1登录Web页面 (9)第4章系统管理 (11)4.1系统配置 (11)4.1.1系统信息 (11)4.1.2设备描述 (13)4.1.3系统时间 (14)4.1.4夏令时 (15)4.1.5管理口设置 (16)4.2用户管理 (17)4.2.1用户列表 (17)4.2.2用户配置 (17)4.3系统工具 (18)4.3.1启动配置 (18)4.3.2配置导入 (20)4.3.3配置导出 (20)4.3.4软件升级 (20)4.3.5系统重启 (21)4.3.6软件复位 (21)4.4安全管理 (22)4.4.1安全配置 (22)4.4.3HTTPS配置 (24)4.4.4SSH配置 (26)4.4.5Telnet配置 (32)4.5SDM模板 (32)第5章堆叠功能 (34)5.1堆叠管理 (39)5.1.1堆叠信息 (39)5.1.2堆叠配置 (40)5.1.3组网应用 (41)第6章二层交换 (43)6.1端口管理 (43)6.1.1端口配置 (43)6.1.2端口监控 (44)6.1.3端口安全 (46)6.1.4端口隔离 (47)6.1.5环路监测 (48)6.2汇聚管理 (50)6.2.1汇聚列表 (51)6.2.2手动配置 (52)6.2.3LACP配置 (53)6.3流量统计 (54)6.3.1流量概览 (54)6.3.2详细统计 (55)6.4地址表管理 (56)6.4.1地址表显示 (57)6.4.2静态地址表 (58)6.4.3动态地址表 (59)6.4.4过滤地址表 (61)第7章VLAN (62)7.1802.1Q VLAN (62)7.1.1VLAN配置 (64)7.1.3802.1Q VLAN功能的组网应用 (67)7.2MAC VLAN (69)7.2.1MAC VLAN (69)7.2.2端口使能 (70)7.3协议VLAN (71)7.3.1协议组列表 (71)7.3.2协议组配置 (72)7.3.3协议模板 (73)7.3.4协议VLAN功能的组网应用 (74)7.4IP子网VLAN (75)7.4.1IP子网VLAN (76)7.4.2端口使能 (76)7.5VLAN VPN (77)7.5.1VPN配置 (78)7.5.2端口使能 (79)7.5.3VLAN映射 (80)7.6GVRP (81)7.7Private VLAN (84)7.7.1PVLAN配置 (86)7.7.2端口配置 (87)7.7.3Private VLAN功能的组网应用 (88)第8章生成树 (90)8.1基本配置 (95)8.1.1基本配置 (96)8.1.2生成树信息 (97)8.2端口配置 (98)8.3MSTP实例 (99)8.3.1域配置 (99)8.3.2实例配置 (100)8.3.3实例端口 (101)8.4安全配置 (102)8.4.1端口保护 (102)8.5STP功能的组网应用 (105)第9章组播管理 (109)9.1IGMP侦听 (111)9.1.1基本配置 (112)9.1.2端口配置 (114)9.1.3VLAN配置 (115)9.1.4组播VLAN (116)9.1.5查询器配置 (117)9.1.6Profile配置 (118)9.1.7Profile绑定 (120)9.1.8报文统计 (122)9.1.9IGMP侦听功能组网应用 (123)9.2MLD侦听 (124)9.2.1基本配置 (126)9.2.2端口配置 (127)9.2.3VLAN配置 (128)9.2.4组播VLAN (129)9.2.5查询器配置 (130)9.2.6Profile配置 (131)9.2.7Profile绑定 (133)9.2.8报文统计 (135)9.2.9MLD侦听功能组网应用 (136)9.3组播地址表 (137)9.3.1IPv4组播地址表 (137)9.3.2IPv4静态组播地址表 (138)9.3.3IPv6组播地址表 (139)9.3.4IPv6静态组播地址表 (139)第10章路由功能 (141)10.1接口 (141)10.2路由表 (146)10.2.1路由表 (146)10.3静态路由 (147)10.3.1IPv4静态路由条目 (147)10.3.2IPv6静态路由条目 (148)10.3.3IPv4静态路由功能的组网应用 (149)10.4路由映射表 (151)10.4.1创建路由映射表 (151)10.4.2配置路由映射表 (151)10.4.3规则列表 (152)10.5策略路由 (152)10.6DHCP服务器 (152)10.6.1DHCP服务器 (154)10.6.2地址池设置 (154)10.6.3静态绑定 (156)10.6.4绑定表 (157)10.6.5DHCP服务器功能的组网应用 (158)10.7DHCP中继 (159)10.7.1全局配置 (161)10.7.2DHCP服务器 (162)10.8代理ARP (163)10.8.1代理ARP (164)10.8.2本地代理ARP (164)10.8.3代理ARP功能的组网应用 (165)10.9ARP (166)10.9.1ARP表 (166)10.9.2静态ARP (166)10.10RIP (167)10.10.1基本配置 (173)10.10.2接口配置 (175)10.10.3路由表 (176)10.10.4RIP的组网应用 (177)第11章服务质量 (178)11.1QoS配置 (178)11.1.3802.1P (183)11.1.4DSCP (184)11.2流量管理 (185)11.2.1带宽控制 (185)11.2.2风暴抑制 (186)11.3语音VLAN (188)11.3.1全局配置 (190)11.3.2端口配置 (190)11.3.3OUI配置 (192)第12章访问控制 (194)12.1时间段配置 (194)12.1.1时间段列表 (194)12.1.2新建时间段 (194)12.1.3节假日定义 (196)12.2ACL配置 (196)12.2.1ACL列表 (196)12.2.2新建ACL (197)12.2.3MAC ACL (197)12.2.4标准IP ACL (198)12.2.5扩展IP ACL (199)12.2.6IPv6 ACL (201)12.3Policy配置 (202)12.3.1Policy列表 (202)12.3.2新建Policy (203)12.3.3配置Policy (203)12.4ACL绑定配置 (204)12.4.1绑定列表 (204)12.4.2端口绑定 (205)12.4.3VLAN绑定 (206)12.5Policy绑定配置 (206)12.5.1绑定列表 (207)12.6访问控制功能组网应用 (209)第13章网络安全 (212)13.1四元绑定 (212)13.1.1绑定列表 (212)13.1.2手动绑定 (213)13.1.3扫描绑定 (215)13.2DHCP侦听 (216)13.2.1全局配置 (219)13.2.2端口配置 (220)13.2.3Option 82配置 (221)13.3ARP防护 (222)13.3.1防ARP欺骗 (225)13.3.2防ARP攻击 (226)13.3.3报文统计 (226)13.4IP源防护 (227)13.5DoS防护 (228)13.6802.1X认证 (230)13.6.1全局配置 (234)13.6.2端口配置 (235)13.7AAA (236)13.7.1全局配置 (236)13.7.2方法列表 (237)13.7.3Dot1x配置 (238)13.7.4服务器组 (239)13.7.5RADIUS配置 (240)13.7.6TACACS+配置 (240)第14章SNMP (243)14.1SNMP配置 (244)14.1.1全局配置 (245)14.1.2视图管理 (245)14.1.5团体管理 (249)14.2通知管理 (251)14.3RMON (253)14.3.1统计组 (254)14.3.2历史组 (255)14.3.3事件组 (256)14.3.4警报组 (257)第15章LLDP (259)15.1基本配置 (262)15.1.1全局配置 (262)15.1.2端口配置 (263)15.2设备信息 (264)15.2.1本地信息 (264)15.2.2邻居信息 (265)15.3设备统计 (265)15.4LLDP-MED (267)15.4.1基本配置 (267)15.4.2端口配置 (267)15.4.3本地信息 (270)15.4.4邻居信息 (271)第16章系统维护 (272)16.1运行状态 (272)16.1.1CPU监控 (272)16.1.2内存监控 (273)16.2系统日志 (273)16.2.1日志列表 (274)16.2.2本地日志 (274)16.2.3远程日志 (275)16.2.4日志导出 (276)16.3系统诊断 (277)16.4网络诊断 (278)16.4.1Ping检测 (278)16.4.2Tracert检测 (279)16.5sFlow (280)16.5.1sFlow接收端 (280)16.5.2sFlow采样端 (281)第17章软件系统维护 (283)17.1硬件连接图 (283)17.2配置超级终端 (283)第18章交换机U盘开局功能 (285)18.1交换机U盘开局流程 (285)18.2交换机U盘开局文件分类 (286)18.3交换机U盘开局设备运行流程 (287)18.4交换机U盘开局索引文件分析 (289)18.4.1U盘开局索引文件制作 (289)18.4.2U盘开局索引文件smart_config.ini格式分析 (289)附录A术语表 (292)附录B技术参数规格 (296)第1章用户手册简介本手册旨在帮助您正确使用交换机。

[配置实例]三层交换机组播配置实例「配置环境参数」 1. 组播服务器地址为192.168.0.10/24，⽹关为192.168.0.1/24 2. 三层交换机SwitchA通过上⾏⼝G1/1连接组播服务器，交换机连接组播服务器接⼝interface vlan 100，地址为192.168.0.1.3. vlan10和vlan20下挂两个⼆层交换机SwitchB和SwitchC，地址为10.10.10.1/24和10.10.20.1/24. 「组⽹需求」 1：在SwitchA、SwitchB和SwitchC上运⾏组播协议，要求L3上配置为IP PIM-SM模式 2：数据配置步骤「PIM-SM数据流程」 PIM-SM（Protocol Independent Multicast，Sparse Mode）即与协议⽆关的组播稀疏模式，属于稀疏模式的组播路由协议。

PIM-SM主要⽤于组成员分布相对分散、范围较⼴、⼤规模的⽹络。

与密集模式的扩散？剪枝不同，PIM-SM协议假定所有的主机都不需要接收组播数据包，只有主机明确指定需要时，PIM-SM路由器才向它转发组播数据包。

PIM-SM协议中，通过设置汇聚点RP（Rendezvous Point）和⾃举路由器BSR（Bootstrap Router），向所有PIM-SM路由器通告组播信息，并利⽤路由器的加⼊/剪枝信息，建⽴起基于RP的共享树RPT（RP-rooted shared tree）。

从⽽减少了数据报⽂和控制报⽂占⽤的⽹络带宽，降低路由器的处理开销。

组播数据沿着共享树流到该组播组成员所在的⽹段，当数据流量达到⼀定程度，组播数据流可以切换到基于源的最短路径树SPT，以减少⽹络延迟。

PIM-SM不依赖于特定的单播路由协议，⽽是使⽤现存的单播路由表进⾏RPF检查。

运⾏PIM-SM协议，需要配置候选RP和BSR，BSR负责收集候选RP发来的信息，并把它们⼴播出去。

H3C交换机supervlan技术详解2009-11-14 16:36Super VLAN又称为VLAN聚合（VLAN Aggregation），是一种节省VLAN接口及IP地址的三层VLAN技术，其原理是一个Super VLAN包含多个SubVLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通，需要在Super vlan 开启ARP代理功能。

通过ARP代理可以进行ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

当设置vlan类型为super vlan 后，该vlan接口上的arp代理自动开启，无需配置，且不能关闭。

super vlan可以节省IP地址，让不同VLAN的网关使用同一个IP，在交换网络环境中引进Sub VLAN和Super VLAN，它们是一种可以实现IP地址划分的更加优化的途径。

它通常将多个不同的VLAN划分至同一IP子网，而不是每个VLAN单独占用一个子网，然后将整个IP子网指定为一个VLAN聚合（Super VLAN），它包含整个IP子网内的所有VLAN（Sub VLAN）。

而这个IP就是SUPER VLAN的IP,它是逻辑上的VLAN,它是不需要把端口加到这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理的,要加端口才能激活的.只要有一个子VLAN是激活的,那么SUPERVLAN就是激活的.super vlan 可以实现同一个VLAN 内的端口间的隔离,实质上不同的Sub VLAN仍保留各自独立的广播域，而一个或多个Sub VLAN同属于一个Super VLAN，并且都使用Super VLAN的接口地址为默认网关IP地址。

组播配置举例组播配置举例关键词：IGMP、IGMP Snooping、组播VLAN、PIM、MSDP、MBGP摘要：本文主要介绍组播功能在具体组网中的应用配置，包括以下两种典型组网应用：域内的二、三层组播应用情况，以及域间的三层组播应用情况。

缩略语：目录1 特性简介2 应用场合3 域内二、三层组播配置举例3.1 组网需求3.2 配置思路3.3 配置步骤3.3.1 Router A的配置3.3.2 Router B的配置3.3.3 Router C的配置3.3.4 Router D的配置3.3.5 Switch A的配置3.3.6 Switch B的配置3.3.7 Switch C的配置3.4 验证结果4 域间三层组播配置举例4.1 组网需求4.2 配置思路4.3 配置步骤4.3.1 Router A的配置4.3.2 Router B的配置4.3.3 Router C的配置4.3.4 Router D的配置4.3.5 Router E的配置4.3.6 Router F的配置4.4 验证结果5 相关资料5.1 相关协议和标准1 特性简介组播是指在IP网络中将数据包以尽力传送的形式发送到某个确定的节点集合，其基本思想是：源主机只发送一份数据，其目的地址为组播组地址；组播组中的所有接收者都可收到同样的数据拷贝，并且只有组播组内的主机可以接收该数据，而其它主机则不能收到。

作为一种与单播和广播并列的通信方式，组播技术能够有效地解决单点发送、多点接收的问题，从而实现了IP网络中点到多点的高效数据传送，能够节约大量网络带宽、降低网络负载。

以下是对各常用组播协议的简单介绍：1. IGMPIGMP是TCP/IP协议族中负责IP组播组成员管理的协议，用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。

IGMP运行于主机和与主机直连的路由器之间，其实现的功能是双向的：一方面，主机通过IGMP通知路由器希望接收某个特定组播组的信息；另一方面，路由器通过IGMP周期性地查询局域网内的组播组成员是否处于活动状态，实现所连网段组成员关系的收集与维护。

【cisco交换机安全配置设定】 cisco交换机配置教程你还在为不知道cisco交换机安全配置设定而烦恼么?接下来是为大家收集的cisco交换机安全配置设定教程，希望能帮到大家。

cisco交换机安全配置设定的方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash 方式switch(config)#enable secret 5 pass_string其中 0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码，破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户switch(config)#enable secret level 7 5pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级，15级用户设置用户名和密码，Ciscoprivilege level分为0-15级，级别越高权限越大switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver local enable/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in /调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver local enable/设置认证列表vty-in, 优先依次为ACS Server，local 用户名和密码，enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated/为7级用户定义vty-in授权列表，优先依次为ACS Server,local授权switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated/为15级用户定义vty-in授权列表，优先依次为ACS Server,local授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见switch(config-line)#login authentication vty-in /调用authentication设置的vty-in列表switch(config-line)#transport input ssh /有Telnet 协议不安全，仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA 服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务，默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法：有效配置交换机port-securitySTP攻击预防方法：有效配置root guard,bpduguard,bpdufilter VLAN，DTP攻击预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法：设置dhcp snoopingARP攻击预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能，启用loop guard时自动关闭root guard接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。