交换机基本配置及网络维护培训
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
www.h3c.com
37
定义访问控制列表
在系统视图下,定义并进入访问控制列表视图: { | | | |}[ { | }] 在系统视图下,删除: { | |}
www.h3c.com
38
基本访问控制列表的规则配置
在基本访问控制列表视图下,配置相应的规则 [ ]{ | } [ | ][ ][ ] 在基本访问控制列表视图下,删除一条子规则 [ ][ ][ ]
用户如果将某个端口指定为边缘端口,那么当该端口由阻塞 状态向转发状态迁移时,这个端口可以实现快速迁移,而无 需等待延迟时间。 在交换机没有开启保护的情况下,如果被设置为边缘 端口的端口上收到来自其它端口的报文,则该端口会 重新变为非边缘端口。
对于直接与终端相连的端口,请将该端口设置为边缘端口, 同时启动保护功能。这样既能够使该端口快速迁移到 转发状态,也可以保证网络的安全。
定义端口属性为. 删除端口属性. 定义端口可以传输的. 在中删除端口.
www.h3c.com
11
配置虚接口
为已存在的创建对应的接口,并进入 接口视图
删除一个接口
*缺省情况下,在交换机上不存在接口 *可以通过 命令配置地址,使接口可以为在该 范围内接入的设备提供基于层的数据转发功能 *在创建接口之前,必须先创建对应的,否则无 法创建接口
3
不带标签的 以太网帧
3
www.h3c.com
2
9
配置命令(1)
创建.
100 (1-4094)
删除.
100 (1-4094)
在中增加端口.
2/0/1
在中删除端口.
2/0/1
将端口加入
100 (1-4094)
将端口脱离
100 (1-4094)
显示信息
(1-4094)
www.h3c.com
10
配置命令(2)
www.h3c.com
16
配置 A
# 创建100,并配置100的描述字符串为“1”,将端口1/0/1加 入到100。 <> [] 100 [100] 1 [100] 1/0/1 [100] # 创建200,并配置200的描述字符串为“2”。 [] 200 [200] 2 [200] # 创建100和200的接口,地址分别配置为192.168.1.1和192.168.2.1,用 来对1发往2的报文进行三层转发。 [] 100 [100] 192.168.1.1 24 [100] [] 200 [200] 192.168.2.1 24
www.h3c.com
17
配置 B
# 创建100,并配置100的描述字符串为“1”,将端口 1/0/13加入到100。 <> [] 100 [100] 1 [100] 1/0/13 [103] # 创建200,并配置200的描述字符串为“2”,将端口 1/0/11和1/0/12加入到200。 [] 200 [200] 2 [200] 1/0/11 1/0/12 [200]
www.h3c.com
19
注意事项
1 -缺省就有,不需要创建,也无法删除 -不建议用作业务 -可以用作管理 链路 -只允许所需的通过,不要配置 -最好配置上 1
www.h3c.com
20
目录
第一章 原理及基本配置 第二章 原理及基本配置 第三章 原理及基本配置 第四章 设备管理基本配置 第五章 常用维护方法和命令
3000~3999:表示高级(3998与3999是系统为集群管理 预留的编号,用户无法配置)。根据数据包的源地址、目 的地址、承载的协议类型、协议特性等三、四层信息制定 规则。
4000~4999:表示二层。根据数据包的源地址、目的地 址、802.1p优先级、二层协议类型等二层信息制定规则。
5000~5999:表示用户自定义。以数据包的头部为基准 ,指定从第几个字节开始与掩码进行“与”操作,将从报文 提取出来的字符串和用户定义的字符串进行比较,找到匹 配的报文。
www.h3c.com
12
配置地址
命令用来配置接口接口的地址 和掩码
命令用来删除接口接口的 地址和掩码
{ | }[ ] [ { | }[ ]]
*在一般情况下,一个接口接口/网络管理接口配置一个 地址即可,但为了使交换机的一个接口接口/网络管理 接口可以与多个子网相连,一个接口接口/网络管理接口 最多可以配置多个地址,其中一个为主地址,其余为从地址
www.h3c.com
22
配置命令
启动全局特性 关闭全局特性
*全局开启后,每个接口下的功能也被打开
接口视图下关闭特性 接口下开启特性
www.h3c.com
23
的交换机保护功能
1. 保护功能 由于维护人员的错误配置或网络中的恶意攻击,网
络中的合 法根桥有可能会收到优先级更高的配置消息,这样
当前根桥 会失去根桥的地位,引起网络拓扑结构的错误变动
广播
……
www.h3c.com
3
通过路由器隔离广播域
路由器
广播
……
www.h3c.com
4
通过划分广播域
1
3
10
2
30
20
工程部
www.h3c.com
市场部
财务部
5
以太网端口的链路类型
:只能允许某一个的数据流通过。 :允许多个的数据流和某一个的数据流通过。 :允许多个的数据流和多个的数据流通过。
www.h3c.com
18
配置 A和 B之间的链路
由于 A和 B之间的链路需要同时传输100和200 的数据,所以可以配置两端的端口为端口,且允许这两个的 报文通过。 # 配置 A的1/0/2端口。 [] 1/0/2 [1/0/2] [1/0/2] 100 [1/0/2] 200 # 配置 B的1/0/10端口。 [] 1/0/10 [1/0/10] [1/0/10] 100 [1/0/10] 200
] [ ][ ]
www.h3c.com
40
端口操作符及语法
协议支持的端口操作符及语法
操作符及语法
1 2
含义
等于
大于
小于
不等于 介于端口号1和
2之间
www.h3c.com
41
接口访问控制列表的规则配置
在接口访问控制列表视图下,配置相应的规则 [ ]{ | }[ { | | }] [ ] 在接口访问控制列表视图下,删除一条子规则
假设管理员需要在从2002年12月1日上午8点到 2003年1月1日下午18点的时间段内实施安全策略, 可以定义时间段名为,具体配置如下:
[H3C] 8:00 12-01-2002 18:00 01-01-2003
www.h3c.com
36
访问控制列表的类型
2000~2999:表示基本。只根据数据包的源地址制定规 则。
www.h3c.com
25
边缘端口配置
命令用来将当前的以太网端 口配置为边缘端口
命令用来将当前的以太网 端口配置为非边缘端口
命令用来将当前的以太网端 口恢复为缺省状态,即非边缘端口。
*缺省情况下,交换机所有以太网端口均被配置为非 边缘端口
www.h3c.com
26
的交换机保护功能
2. 保护功能 边缘端口接收到配置消息后,系统会自动将这些端口
生成树
( ,生成树协议)是根据协会制定的802.1D标 准建立的,用于在局域网中消除数据链路层物理 环路的协议。运行该协议的设备通过彼此交互报 文发现网络中的环路,并有选择的对某些端口进 行阻塞,最终将环路网络结构修剪成无环路的树 型网络结构,从而防止报文在环路网络中不断增 生和无限循环,避免主机由于重复接收相同的报 文造成的报文处理能力下降的问题发生。
Eth1/0/12
Eth1/0/13
Eth1/0/10
SwitchB Eth1/0/11
PC1
PC2
为保证部门间数据的二层隔离,现要求将1和1划分到100 中,2和2划分到200中。并分别为两个设置描述字符为 “1”和“2”
在上配置接口,对1发往2的数据进行三层转发。 两个部门分别使用192.168.1.0/24和192.168.2.0/24两个网段
设置为非 边缘端口,重新计算生成树,这样就引起网络拓扑的
震荡。
正常情况下,边缘端口应该不会收到生成树协议的配 置消息。
如果有人伪造配置消息恶意攻击交换机,就会引起网 络震荡。
保护功能可以防止这种网络攻击。交换机上启动了
保护功能以后,如果边缘端口收到了配置消息,系统
就将这些 www.h3c.com
27
端口可以允许多个的报文发送时不携带标签,而 端口只允许缺省的报文发送时不携带标签。
三种类型的端口可以共存在一台设备上
www.h3c.com
6
和
www.h3c.com
7
和
10 5
广播报文发送
2
10
3
2
10
5
5
2
www.h3c.com
8
数据帧在网络通信中的变化
Baidu Nhomakorabea
2
带有3标签的以太网帧 带有2标签的以太网帧
www.h3c.com
39
高级访问控制列表的规则配置
在高级访问控制列表视图下,配置相应的规则 [ ]{ | } [ | ][ | ] [ 1[2]][ 1[2]][
[ ]|[ ][ ][ ] 在高级访问控制列表视图下,删除一条子规则 [ ][ ][ ][ ] [ ][ ]|[ ][ ] [ ]
Host B
172.16.1.2/24
Switch
Vlan-int1 172.16.1.1/24 172.16.2.1/24 sub
172.16.2.2/24
172.16.2.0/24
Host A
www.h3c.com
15
配置举例
Server2
Server1
SwitchA
Eth1/0/2
Eth1/0/1
交换机基本配置及网络维护培训
1.0
日期: 2013.7.1
目录
第一章 原理及基本配置 第二章 原理及基本配置 第三章 原理及基本配置 第四章 设备管理基本配置 第五章 常用维护方法和命令
的产生原因-广播风暴
传统的以太网是广播型网络,网络中的所有主机通过或交换机相连, 处在同一个广播域中
为了过滤通过网络设备的数据包,需要配置一系列的匹 配规则,以识别需要过滤的对象。在识别出特定的对象之后 ,网络设备才能根据预先设定的策略允许或禁止相应的数据 包通过。 访问控制列表( ,)就是用来实现 这些功能。
通过一系列的匹配条件对数据包进行分类,这些条件可 以是数据包的源地址、目的地址、端口号等。可应用在 交换机全局或端口上,交换机根据中指定的条件来检测 数据包,从而决定是转发还是丢弃该数据包。
32
流分类
通常选择数据包的包头信息作为流分类项 2层流分类项 以太网帧承载的数据类型 源/目的地址 以太网封装格式
入/出端口 3/4层流分类项 协议类型 源/目的地址 源/目的端口号
www.h3c.com
33
数据包过滤
包过滤元素
源/目的地址 源/目的端口号
应用程序和数据
L34过滤
应用网关
www.h3c.com
www.h3c.com
30
以太网访问列表
主要作用:在整个网络中分布实施接入安全性
服务器
部门 B
部门 A
www.h3c.com
31
访问控制列表
对到达端口的数据包进行分类,并打上不同的动作标记
访问列表作用于交换机的所有端口 访问列表的主要用途: 包过滤 镜像 流量限制 流量统计 分配队列优先级
www.h3c.com
。这种不 合法的变动,会导致原来应该通过高速链路的流量
被牵引到 低速链路上,导致网络拥塞。
命令用来指定当前交换机作为指
定生成树实例的根桥。
ww命w.h3令c.com用来取消当前交换机作为指定生
24
优化-边缘端口
边缘端口是指不直接与任何交换机连接,也不通过端口所连 接的网络间接与任何交换机相连的端口。
www.h3c.com
13
静态路由的配置命令和示例
[H3C] { | } { | } [ ] [ | ]
例如:
129.1.0.0 16 10.0.0.2 129.1.0.0 255.255.0.0 10.0.0.2 129.1.0.0 16 2/0
www.h3c.com
14
主从地址举例
172.16.1.0/24
查看信息
显示生成树的简要状态信息。
<> 0 1/0/1 1/0/4
0 1/0/1 0 1/0/2 0 1/0/3 0 1/0/4
www.h3c.com
28
目录
第一章 原理及基本配置 第二章 原理及基本配置 第三章 原理及基本配置 第四章 设备管理基本配置 第五章 常用维护方法和命令
访问控制列表
34
访问控制列表的构成
(访问控制列表的子规则)
(时间段机制) [+ ]
访问控制列表
(访问控制列表由一系列规则组成,有必策要略时1
会和时间段结合)
策略2 策略3
...
策略
www.h3c.com
35
时间段的相关配置
在系统视图下,配置时间段: [ ][ ][ ][ ] 在系统视图下,删除时间段: [ ][ ][ ][ ]