二层交换机组网方案

H3C设备组网详细配置步骤(总7页)-CAL-FENGHAI.-(YICAI)-Company Onel-CAL-本页仅作为文档封面，使用请直接删除设备清单:设备名称 产品型号数量 配置单价 价格 核心路由器 H3C MSR 20-20 1 2 x 100M WAN 接口 6000 6000 核心三层交换机 H3C S3600-28TP-SI 1 24 x 100M+2 x 10/100/100M50005000 核心二层交换机 H3C S3100-26C-SI 1 24 x 10/100M 3000 3000 服务器 浪潮 NF190D2 2 E5405(2.00G)/12M/2G DDR2/73GSAS/1000M*2/单电源2003040060 客户机浪潮日升S300 PRSS300000062E2200 2.2G/1M/1G/160G SATA/集成显卡/17”纯平37007400网络拓朴:配置步骤:1.端口设置及端口捆绑1.1 在3L 和2L 上设置以下命令：（在三层交换机与二层交换机上配置） interface Ethernet 0/2 to Ethernet 0/3 speed 100 duplex full192.1 US ,0.174VlanIWl 132,1^0,0,2.24Vian 3工程部 网段:1S2.16S.3J0网关:192.168.3,1Vian 2市场部 同段：192/1SS 工J0 网关羲曦2.1组网需求：1,利用端口报绑技术实现高速上行醒路 2.利用GVRP 实现vlan 信息动态学习3,利用三层交换机实现Wan 间通讯4,实现三层交换机和路由器互连互通 5 .利用ACL 限制Vian 2访问Vian 3 6 .设置三层交换机的DHCP 服务器功能 7 .没置STP,实现防止广播风暴功能 8 .路由器上做NAT 实现内部主机上网 9,发布雕务器实现外离用户访问 发布地址：192.1684.5 4 123.1.1.2 192.1684.6 . 123.1.1.310 .实现网络设备远程faeln£噌理 11 .实现网络设备的安全设置S3600-28TP-SIVian 1网管网段:1遨1底力 网关：192.168.1.1port link-type trunkport trunk permit vlan all #link-aggregation Ethernet 0/2 to Ethernet 0/3 both 2.GVRP配置2.1在3L上和2L上设置system-view #gvrp/设备开启gvrp功能#interface ethernet 0/2 to ethernet 0/3gvrp/在trunk端口上开启gvrp3.VLAN设置3.1在3L上设置Vlan 2市场部#Vlan 3工程部#Vlan 4服务器3.2在2L上设置interface Ethernet 0/8Port access vlan 3#interface Ethernet 0/9Port access vlan 2#interface ethernet 0/4 to ethernet 0/5/3L上设置端口加服务器vlanPort access vlan 44.三层交换实现Vlan互通4.1在3L上设置interface vlan-interface 1/网管Vlanip address 192.168.1.1 255.255.255.0 undo shutdown#interface vlan-interface 2/市场Vlanip address 192.168.2.1 255.255.255.0 undo shutdown#interface vlan-interface 3/工程vlan ip address 192.168.3.1 255.255.255.0 undo shutdown #interface vlan-interface 4 /服务器vlanip address 192.168.4.1 255.255.255.0 undo shutdown5.三层交换机和路由器互通5.1在3L上设置Interface vlan-interface 100Ip address 192.168.0.2 255.255.255.0 Undo shutdown#Ip route-static 0.0.0.0 0.0.0.0 192.168.0.1/指向路由器的默认路由5.2在路由器上设置Interface Ethernet 0/0Ip address 192.168.0.1 255.255.255.0 Undo shutdown#Ip route-static 192.168.0.0 255.255.0.0/超网路由，指向所有vlan的回程路由#Ip route-static 0.0.0.0 0.0.0.0 123.1.1.4/指向ISP的默认路由器6.ACL限制vlan2和vlan3互访6.1在三层交换机上设置acl number 3000rule 0 denyip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 1 permitip6.2在vlan2的三层接口上设置Interface vlan-interface 2packet-filterinbound ip-group 30007.三层交换机做DHCP服务器7.1在3L上设置dhcp server ip-pool vlan2network 192.168.2.0 mask 255.255.255.0gateway-list 192.168.2.1domain-name dns-list 192.168.4.5dhcp server forbidden-ip 192.168.2.1 #dhcp server ip-pool vlan3network 192.168.3.0 mask 255.255.255.0gateway-list 192.168.3.1domain-name dns-list 192.168.4.5dhcp server forbidden-ip 192.168.3.17.2在3L的vlan2和vlan3三层接口上设置interface vlan-interface 2dhcp select global #interface vlan-interface 3dhcp select global8.STP设置8.1在3L上设置stp root primary # interface ethernet 0/10 to ethernet 0/24 set root-protenction /在指定端口启用根保护功能（根网桥上所有端口都是指定端口）8.2在2L上设置stp enable # interface ethernet 0/1 to Ethernet 0/24 stp disable /在交换机连PC端口关闭stp功能9.路由器做NAT9.1在路由器上设置acl number 2000/配置允许进行NAT转换的内网地址段/rule 0 permit source 192.168.0.0 0.0.255.255rule 1 deny#interface Ethernet0/1/外网接口/ip address 123.1.1.1 255.255.255.248nat outbound 2000#interface Ethernet0/0ip address 192.168.0.1 255.255.255.0/内网网关/#10.发布内网月艮务器10.1在路由器上设置nat server protocol tcp global 123.1.1.2 inside 192.168.4.5 nat server protocol tcp global 123.1.1.3 inside 192.168.4.611.网络设置telnet设置11.1在三层交换机和路由器上设置telnetuser-interface vty 0authentication-mode passwordset authentication password simple ly-benetuser privilege level 3protocol inbound telnetidle-timeout 611.2在2L上设置telnet和管理ip地址Interface vlan-interface 1Ip address 192.168.1.2 255.255.255.0Undo shutdown#user-interface vty 0authentication-mode passwordset authentication password simple ly-benetuser privilege level 3protocol inbound telnet idle-timeout 612.网络设备安全设置12.1关闭没有使用的端口Interface Ethernet 0/10 to Ethernet 0/24Undo shutdwon12.2设置console 口令user-interface aux 0authentication-mode passwordset authentication password simple ly-benetuser privilege level 3idle-timeout 512.3设置服务器IP,MAC和端口绑定System-viewAm user-bind ip-address 192.168.4.5 mac-address 00e0-fcab-cd11 interface e0/4 Am user-bind ip-address 192.168.4.6 mac-address 0000-0cab-cd12 interface e0/5。

在云计算时代下，数据中心内部一般采用分布式架构处理海量数据存储、挖掘、查询、搜索等相关业务，服务器和服务器之间需要进行大量的协同工作，在服务器之间产生了大量的东西向流量。

其次，数据中心普遍采用虚拟化技术，虚拟化的直接后果是使单位计算密度极大提升，物理服务器吞吐量将比虚拟化之前成数倍提升。

还有为了更大幅度地增大数据中心内业务可靠性、降低IT成本、提高业务部署灵活性、降低运维成本高，需要虚拟机能够在整个数据中心范围内进行动态迁移。

上面这些是云计算时代下的数据中心业务需求，这些需求促进了数据中心网络架构的演进，催生了大二层网络架构的诞生，TRILL便是一种构建数据中心大二层组网的技术。

本文旨在分析云计算时代下数据中心对网络架构的需求，并提出华为基于TRILL的解决方案，帮助用户在建设数据中心网络时，能选择合适的网络解决方案以更好满足云计算业务需求。

云计算时代下数据中心对网络架构要求• 虚拟机任意迁移作为云计算的核心技术之一，服务器虚拟化已经得到越来越广泛的应用。

为了更大幅度地增大数据中心内业务可靠性、降低IT成本、提高业务部署灵活性、降低运维成本高，需要虚拟机能够在整个数据中心范围内进行动态迁移，而不是局限在一个汇聚或接入交换机范围内进行迁移。

传统数据中心一般采用二层+三层组网架构，POD内采用二层组网，POD间通过三层网络进行互联。

VM只能在一个POD内进行迁移，如果需要跨二层区域迁移，需要更改VM 的IP地址，如果没有负载均衡器LoadBalance屏蔽等手段，应用会中断。

在云计算时代，为提升大量闲置服务器的资源利用率，计算虚拟化技术已经逐步在IDC 进行应用。

IDC运营商为了更充分的利用数据中心资源，VM需要更大的迁移范围，可以通过TRILL构建的大二层网络来实现。

• 无阻塞、低延迟数据转发云计算时代下的数据中心流量模型和传统运营商流量模型不同，数据中心中主要是服务器和服务器之间的东西向流量，数据中心网络相当于是服务器之间的总线。

⼆层交换机与路由器对接上⽹配置⽰例组⽹图形图1 ⼆层交换机与路由器对接上⽹组⽹图⼆层交换机简介配置注意事项组⽹需求配置思路操作步骤配置⽂件相关信息⼆层交换机简介⼆层交换机指的是仅能够进⾏⼆层转发，不能进⾏三层转发的交换机。

也就是说仅⽀持⼆层特性，不⽀持路由等三层特性的交换机。

⼆层交换机⼀般部署在接⼊层，不能作为⽤户的⽹关。

配置注意事项本举例中的交换机配置适⽤于S系列交换机所有产品的所有版本。

本举例中的路由器配置以AR3600 V200R007C00SPCc00为例，其他路由器的配置⽅法请参见对应的⽂档指南。

组⽹需求如所⽰，某公司拥有多个部门且位于不同⽹段，各部门均有访问Internet的需求。

现要求⽤户通过⼆层交换机和路由器访问外部⽹络，且要求路由器作为⽤户的⽹关。

配置思路采⽤如下思路进⾏配置：1. 配置⼆层交换机基于接⼝划分VLAN，实现⼆层转发。

2. 配置路由器作为⽤户的⽹关，通过⼦接⼝或VLANIF接⼝实现跨⽹段的三层转发。

3. 配置路由器作为DHCP服务器，为⽤户PC分配IP地址。

4. 配置路由器NAT功能，使内⽹⽤户可以访问外部⽹络。

操作步骤1. 配置交换机# 配置下⾏连接⽤户的接⼝。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 2 3[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type access//配置接⼝接⼊类型为access[Switch-GigabitEthernet0/0/2] port default vlan 2//配置接⼝加⼊VLAN 2[Switch-GigabitEthernet0/0/2] quit[Switch] interface gigabitethernet 0/0/3[Switch-GigabitEthernet0/0/3] port link-type access[Switch-GigabitEthernet0/0/3] port default vlan 3[Switch-GigabitEthernet0/0/3] quit# 配置上⾏连接路由器的接⼝。

合肥地铁2号线AFC系统集成与安装项目工业以太网交换机MOXA解决方案四零四科技股份有限公司**目录1项目背景 (1)** MOXA方案优势 (1)** 可靠性 (1)** 设备的可靠性 (1)** 网络的可靠性 (1)** 容错性 (1)** 实时性 (2)** 安全性 (2)** 稳定性 (2)** 可管理性 (2)2系统网络3** AFC系统整体网络结构 (3)** 车站局域网 (4)3硬件产品6** 产品配置 (6)** 车站工业以太网交换机 (7)** 车站三层工业以太网交换机 (7)** 车站二层工业以太网交换机 (7)** MOXA硬件产品性能 (7)** Turboring 冗余环网技术 (7)** IPv6 IP地址协议 (8)** IEEE1588精确时间协议 (9)** IP防护等级 (9)** 宽温工作 (9)** 冗余电源输入 (10)** 事件触发的自动报警 (11)** 高阶的网络控制和管理 (11)** LACP达成最佳化带宽管理 (11)** 链路聚合可提供灵活的网络连接 (12)** IEEE802.1X增强用户认证 (12)** IGMP Snooping及GMRP控制以太网络封包流量 (12)** RMON进行有效的网络监控 (12)** VLAN让网络规划更加容易 (13)** QoS提高传输确定性 (13)** 带宽管理功能阻止不可预料的网络状态 (13)** 端口锁定允许对特定MAC地址授权访问 (13)** 用于在线监视的端口镜像功能 (14)** 铁路认证 (14)** NEMA TS2 (14)** EN50155 (14)** EN 50121 (14)4网管软件15** MXview 基于便捷的浏览器的网络管理软件 (15)** EDS-SNMP OPC Server Pro (17)5安装方式19** 导轨式安装 (19)6MOXA公司介绍20** 关于MOXA (20)** 企业文化 (20)** 产品研发 (21)** 技术支持 (23)** 业务行销 (24)** 质量保证 (24)** 绿色产品 (25)** 客户服务 (26)7业绩文件27** 中国城市轨道交通行业AFC系统业绩 (27)** 中国城市轨道交通行业其他系统业绩27项目背景1.1MOXA方案优势本次投标采用的以太网交换机为国际知名品牌MOXA摩莎的主流成熟产品，已经在广州、北京、深圳、武汉、重庆、昆明等全国各地线路中有了丰富的应用业绩，并且在已运行的多条线路中一直运行良好，未出现过任何责任事故，受到各方好评。

《计算机网络》课程设计二层交换机组网方案院（系）名称专业班级学号学生姓名指导教师2010年6月13日课程设计任务书2009—2010学年第二学期专业：网络工程学号：姓名：课程设计名称：计算机网络课程设计设计题目：二层交换机组网方案 ---需求分析及设备B的设置完成期限：自 2010 年5 月 31日至 2010年 06 月06日共 1 周设计目的:能够充分利用所学的计算机网络知识，建立一个以二层交换机为媒介的小型局域网，通过这个局域网可以对该网上的其他主机进行连通，利用较少而又简单的设备，达到组网连通的作用。

功能要求：包括两个二层交换机，数台主机，组建一个简单小型的局域网，实现此局域网内部的通信。

设计的任务：对此次组网进行整体规划和布局，分析各个方面的需求及设备的选用，包括怎样设计，划分VLAN的必要性，网络拓扑的定义及意义。

一、开发工具：交换机，visio。

二、进度安排：三、主要参考资料：[1] 《计算机网络教程（第2版）》谢希人人民邮电出版社 2007[2] 《计算机网络交换路由实验实训指导（第2版）》王鸿运 2010[3] 《校园网组建与管理》清华大学出版社王竹林 2002.1指导教师（签字）：教研室主任（签字）：批准日期：年月日摘要21世纪是一个以网络为核心的信息时代。

要实现信息化，就必须依靠完善的网络，同时也需要与之相关的设计与服务。

本课程设计, 主要基于交换机的设置，建立一个以交换机为媒介的小型局域网的组网方案，例如校园网、企业网等。

由于在教学教育领域，资源共享、教学网络化、办公自动化无疑是大势所趋，为了让师生之间、教工之间达成互联互通，很多中小学校、大学都需要急需建立校园网。

由于条件限制，本课程设计只进行了一个小的模拟测试，并没有实地布线操作。

此次模拟测试只使用了两台二层交换机，两台主机以及数根网线进行简单的配置，然后测试。

关键词：交换机switch;主机PC；局域网：LAN。

目录一、课程设计的目的和意义 (1)二、二层交换机的工作原理 (1)三、设计题目和要求 (2)3.1设计题目 (2)3.2设计要求 (2)四、设计内容 (2)4.1需求分析 (2)4.2设计原则 (3)4.3网络拓扑设计方案 (3)4.4子网设计方案 (4)4.5交换机B的VLAN划分和配置 (6)4.6测试 (7)五、设计成成果及心得 (8)参考文献 (10)参考网站 (10)一、课程设计的目的和意义21世纪是一个Internet为核心的信息时代，要实现信息化，就必须依靠完善的网络。

电信PON网络二层专线组网方案研究林慰【摘要】随着电信光网络建设进程推进,PON网络蓬勃发展,并已实现精细化覆盖.PON网络上除宽带、语音、ITV等多种公众业务外,专线、MPLS VPN等专线业务均已实现承载,同步在PON网络实现二层互通专线并组网的业务需求相应而生,为充分运用电信PON网络资源优势,满足二层专线组网需求,经前期调研评估及建网测试验证,笔者提出各种应用场景的PON网络二层专线组网方案,供讨论促进.【期刊名称】《电子世界》【年(卷),期】2016(000)020【总页数】2页(P136-137)【关键词】PON网络;二层专线;组网【作者】林慰【作者单位】中国电信股份有限公司厦门分公司【正文语种】中文中国电信PON网络定位为二层汇接层，作为各类型业务的接入设备，用户业务数据经PON网络二层封装后，上联至业务接入点实现业务承载。

1.不在电信PON网络设备或城域网设备上配置用户三层IP的相关命令，即电信不参与用户网络IP地址的路由及配置。

2.无论是同局点或不同局点的接入、无论是点对点专线或点对多点的组网结构，在电信网内均采用点对点专线配置模式，针对组网型需求，应在用户中心点部署支持SuperVlan功能的小型汇聚交换机并启用ARP PROXY配合实施。

3.所有二层PON专线定义为VPN类专线，上联接入PE设备，采用MPLSL2VPN的VLL点到点专线模式建设实现。

1.点到点类裸纤业务PON网络点到点类裸纤业务，适用于两点一线的独立业务建链应用场景，用户无组网需求。

该应用场景的相应要点如下：（1）采用PON接入，用户端可选择E8-C光猫或是ONU LAN/ ADSL接入方式；专线资源需体现双端的接入资源。

（2）电信网络通道对用户透明，用户自行规划双端IP设置。

（3）电信侧在二层网络通过QinQ Vlan隔离，三层网络通过MPLS VLL L2VPN独立专线，确保用户专线业务安全。

（4）用户专线双端不处于相同OLT接入设备时，专线限速点为PE设备专线接口，否则在二层接入侧流策略限速。

办公室局域网组网方案第1篇办公室局域网组网方案一、引言随着信息化建设的不断深入，办公室局域网已成为企业、机构内部信息传输的重要载体。

为提高办公效率，降低运营成本，确保网络安全，本方案旨在为用户提供一套合法合规的办公室局域网组网方案。

二、需求分析1. 覆盖范围：办公室局域网需覆盖整个办公区域，包括会议室、领导办公室、普通员工工位等。

2. 传输速率：满足日常办公需求，保证数据传输速度，提供高速稳定的网络环境。

3. 安全性：确保数据安全，防止外部攻击和内部数据泄露。

4. 可扩展性：网络架构具备良好的可扩展性，便于后期升级和拓展。

5. 稳定性：网络设备要求高稳定性，降低故障率，确保办公正常进行。

三、组网方案1. 网络架构采用星型拓扑结构，核心层、汇聚层和接入层三级网络架构。

2. 设备选型（1）核心层：选用高性能的三层交换机，承担数据的高速转发和路由功能。

（2）汇聚层：选用二层交换机，实现接入层设备的汇聚和接入。

（3）接入层：选用千兆以太网交换机，为办公区域提供接入端口。

（4）无线接入：选用企业级无线AP，实现办公区域无线覆盖。

3. IP地址规划采用私有地址进行内部网络规划，分为多个VLAN，提高网络安全性。

4. 网络安全（1）防火墙：在核心层交换机与互联网之间部署防火墙，实现安全隔离。

（2）入侵检测与防御系统：实时监测网络流量，防御恶意攻击。

（3）病毒防护：部署网络版杀毒软件，定期更新病毒库，防止病毒感染。

（4）数据加密：对重要数据进行加密传输，确保数据安全。

5. 网络管理采用专业的网络管理系统，实现对网络设备、链路、流量的实时监控，便于运维人员快速定位故障，确保网络稳定运行。

四、实施步骤1. 梳理需求：与用户充分沟通，明确组网需求。

2. 网络设计：根据需求，设计合理的网络架构和设备选型。

3. 设备采购：采购符合国家标准的网络设备。

4. 网络布线：按照施工规范进行布线，确保线缆整齐、美观。

5. 设备安装与调试：安装网络设备，进行调试，确保设备正常运行。

如前文所述，传统的数据中心汇聚交换机作为网关，为了提高HA性能，基本都采用双机冗余建设模式。

随着数据中心进入虚拟化时代，接入服务器的规模飞速增加，虚拟服务器的规模出现级数增加。

同时，更多的客户要求在同一个二层网络内，任意两台虚拟服务器之间要做无阻塞的快速交换。

这就导致作为网关的汇聚交换机出现容量不足而降低整网性能，因此需要采用新得技术有效的增加汇聚交换机的容量，同时还必须采用有效的技术提高接入到汇聚交换机之间的带宽利用率。

前面几篇文章介绍了各种可用于数据中心二层网络扩展的技术，本文将就这几类技术做一下对比。

1传统STP技术应用分析STP是IEEE 802.1D中定义的一个应用于以太网交换机的标准，这个标准为交换机定义了一组规则用于探知链路层拓扑，并对交换机的链路层转发行为进行控制。

如果STP发现网络中存在环路，它会在环路上选择一个恰当的位置阻塞链路上的端口——阻止端口转发或接收以太网帧，通过这种方式消除二层网络中可能产生的广播风暴。

然而在实际部署中，为确保网络的高可用性，无论是数据中心网络还是园区网络，通常都会采用具有环路的物理拓扑，并采用STP阻塞部分端口的转发。

对于被阻塞端口，只有在处于转发状态的端口及链路发生故障时，才可能被STP加入到二层数据帧的转发树中。

图1 STP引起的带宽利用率不足的问题STP的这种机制导致了二层链路利用率不足，尤其是在网络设备具有全连接拓扑关系时，这种缺陷尤为突出。

如图1所示，当采用全网STP二层设计时，STP将阻塞大多数链路，使接入到汇聚间带宽降至1/4，汇聚至核心间带宽降至1/8。

这种缺陷造成越接近树根的交换机，端口拥塞越严重，造成的带宽资源浪费就越可观。

可见，STP可以很好地支持传统的小规模范围的二层网络，但在一些规模部署虚拟化应用的数据中心内（或数据中心之间），会出现大范围的二层网络，STP在这样的网络中应用存在严重的不足。

主要表现为以下问题（如图2所示）。

24+4G千兆二层网管交换机TL-SL3428用户手册声明Copyright © 2010 深圳市普联技术有限公司版权所有，保留所有权利未经深圳市普联技术有限公司明确书面许可，任何单位或个人不得擅自仿制、复制、誊抄或转译本书部分或全部内容。

不得以任何形式或任何方式（电子、机械、影印、录制或其它可能的方式）进行商品传播或用于任何商业、赢利目的。

为深圳市普联技术有限公司注册商标。

本文档提及的其它所有商标或注册商标，由各自的所有人拥有。

本手册所提到的产品规格和资讯仅供参考，如有内容更新，恕不另行通知。

可随时查阅我们的万维网页。

除非有特殊约定，本手册仅作为使用指导，本手册中的所有陈述、信息等均不构成任何形式的担保。

目录第1章用户手册简介 (1)1.1目标读者 (1)1.2本书约定 (1)1.3章节安排 (1)第2章产品介绍 (4)2.1产品简介 (4)2.2产品特性 (4)2.3产品外观 (5)2.3.1前面板 (5)2.3.2后面板 (7)第3章配置指南 (8)3.1登录Web页面 (8)3.2Web页面简介 (9)3.2.1页面总览 (9)3.2.2页面常见按键及操作 (10)第4章系统管理 (12)4.1系统配置 (12)4.1.1系统信息 (12)4.1.2设备描述 (14)4.1.3系统时间 (14)4.1.4管理IP (15)4.2用户管理 (17)4.2.1用户列表 (17)4.2.2用户配置 (17)4.3系统工具 (18)4.3.1配置导入 (19)4.3.2配置导出 (19)4.3.3软件升级 (20)4.3.4系统重启 (20)4.4安全管理 (21)4.4.1安全配置 (21)4.4.2SSL配置 (23)4.4.3SSH配置 (24)第5章二层交换 (30)5.1端口管理 (30)5.1.1端口配置 (30)5.1.2端口监控 (31)5.1.3端口安全 (32)5.2汇聚管理 (33)5.2.1汇聚列表 (34)5.2.2手动配置 (35)5.3流量统计 (36)5.3.1流量概览 (36)5.3.2详细统计 (37)5.4地址表管理 (38)5.4.1地址表显示 (38)5.4.2静态地址表 (40)5.4.3动态地址表 (41)5.4.4过滤地址表 (43)第6章VLAN (45)6.1802.1Q VLAN (45)6.1.1VLAN配置 (47)6.1.2端口配置 (49)第7章生成树 (52)7.1基本配置 (57)7.1.1基本配置 (58)7.1.2生成树信息 (59)7.2端口配置 (60)7.3MSTP实例 (61)7.3.1域配置 (61)7.4.1端口保护 (65)7.4.2TC保护 (67)7.5STP功能的组网应用 (67)第8章组播管理 (71)8.1IGMP侦听 (73)8.1.1基本配置 (74)8.1.2端口参数 (75)8.1.3VLAN参数 (76)8.1.4组播VLAN (77)8.2组播地址表 (80)8.2.1地址表显示 (80)8.2.2静态地址表 (81)8.3组播过滤 (82)8.3.1过滤地址 (83)8.3.2端口过滤 (83)8.4报文统计 (85)第9章服务质量 (87)9.1QoS配置 (87)9.1.1基本配置 (90)9.1.2调度模式 (91)9.1.3802.1P (92)9.1.4DSCP (93)9.2流量管理 (95)9.2.1带宽控制 (95)9.2.2风暴抑制 (96)第10章网络安全 (98)10.1四元绑定 (98)10.1.1绑定列表 (98)10.1.2手动绑定 (99)10.2.1防ARP欺骗 (111)10.2.2防ARP攻击 (112)10.2.3报文统计 (113)10.3DoS防护 (113)10.3.1DoS防护 (114)10.3.2攻击检测 (115)10.4802.1X认证 (116)10.4.1全局配置 (120)10.4.2端口配置 (121)10.4.3RADIUS配置 (122)第11章SNMP (124)11.1SNMP配置 (125)11.1.1全局配置 (126)11.1.2视图管理 (126)11.1.3组管理 (127)11.1.4用户管理 (129)11.1.5团体管理 (130)11.2通知管理 (132)11.3RMON (134)11.3.1历史采样 (135)11.3.2事件配置 (135)11.3.3警报管理 (136)第12章系统维护 (138)12.1运行状态 (138)12.1.1CPU监控 (138)12.1.2内存监控 (139)12.2系统日志 (139)12.2.1日志列表 (140)12.2.2本地日志 (140)12.2.3日志导出 (141)12.3系统诊断 (142)12.3.1线缆检测 (142)12.3.2环回检测 (142)12.4网络诊断 (143)12.4.1Ping检测 (143)12.4.2Tracert检测 (144)第13章软件系统维护 (146)13.1硬件连接图 (146)13.2配置超级终端 (146)13.3bootrom菜单下加载软件 (148)附录A802.1X客户端软件使用说明 (151)1.安装说明 (151)2.卸载说明 (154)3.使用说明 (155)4.常见问题： (157)附录B术语表 (158)附录C技术参数规格 (163)第1章 用户手册简介本手册旨在帮助您正确使用这款交换机。

WLAN组网方式：胖AP设备的典型组网：1.家庭或SOHO网络的组网模式：无线覆盖范围小，胖AP可以不仅实现无线覆盖的要求，还可同时作为路由器，实现对有线网络的路由转发2.企业网络的组网模式：无线覆盖范围比较大，则可将AP接入到接入交换机端，数据通过交换机的转发，到达企业核心网。

在企业核心网也可以架设起网管系统，便于对AP的统一管理瘦AP+AC组网方式：无线控制器＋FIT AP控制架构（瘦AP）对设备的功能进行了重新划分，其中无线控制器负责无线网络的接入控制，转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FIT AP负责802.11报文的加解密、802.11的物理层功能、接受无线控制器的管理、RF空口的统计等简单功能组网方式：根据AP与AC之间的网络架构可分为：二层组网：瘦AP和无线控制器同属于一个二层广播域，瘦 AP和AC之间通过二层交换机互联优点：组网比较简单，适用于简单临时的组网，能够进行比较快速的组网配置缺点：不适用于大型组网架构三层组网：瘦AP和无线控制器属于不同的IP网段。

瘦AP和AC之间的通信需要通过路由器或者三层交换机三层转发来完成一台AC可以连接几十甚至几百台AP，组网一般比较复杂，一般应用在在大型组网中根据AC在网络中的位置可分为：直连式组网：直连式组网中AC同时扮演AC和汇聚交换机的功能，AP的数据业务和管理业务都由AC集中转发和处理直连式组网可以认为AP、AC与上层网络串联在一起，所有数据必须通过AC到达上层网络；采用这种组网方式，对AC的吞吐量以及处理数据能力比较高，否则AC会是整个无线网络带宽的瓶颈优点：组网架构清晰，实施起来简单，多采用直接转发模式，适用于大规模集中部署的WLAN网络，并可以简化网络架构旁挂式组网：AC旁挂在AP与上行网络的直连网络上，AP的业务数据可以不经AC而直接到达上行网络AC只承载对AP的管理功能，管理流封装在CAPWAP隧道中传输。

常见组网方案第1篇常见组网方案一、引言随着信息技术的不断发展，网络已经成为企业、机构乃至个人日常生活中不可或缺的部分。

为满足各类用户在组网方面的需求，本文将结合实际情况，制定一份合法合规的常见组网方案，旨在提供高效、稳定、安全的网络环境。

二、方案概述1. 适用范围：本方案适用于企业、机构及个人用户，涉及有线、无线网络接入，内部网络架构及网络安全等方面。

2. 目标：构建稳定、高效、安全的网络环境，满足用户在数据传输、信息共享、业务处理等方面的需求。

3. 遵循原则：合法合规、安全可靠、易于管理、灵活扩展。

三、网络架构1. 接入层：（1）企业/机构用户：采用光纤或铜缆接入，配置高性能交换机，提供有线网络接入。

（2）个人用户：采用无线接入点（AP）覆盖，提供高速无线网络接入。

2. 核心层：（1）采用高性能路由器或三层交换机，实现内外网络的高速互联。

（2）配置防火墙，实现网络安全防护。

3. 汇聚层：（1）采用二层或三层交换机，实现接入层与核心层的互联。

（2）配置网络流量监控设备，实时监测网络运行状况。

4. 边缘层：（1）配置边缘路由器，实现与其他网络或互联网的互联。

（2）配置VPN设备，提供远程接入服务。

四、网络设备选型1. 交换机：选用知名品牌的高性能、可网管交换机，确保网络稳定运行。

2. 路由器：选用高性能、支持多种路由协议的路由器，实现高效路由转发。

3. 防火墙：选用具备高性能、高安全性、易于管理的防火墙设备，保护网络安全。

4. 无线接入点：选用支持高速无线接入、具备安全防护功能的无线接入点。

5. VPN设备：选用支持多种VPN协议、具备高安全性的VPN设备。

五、网络安全1. 防火墙策略：配置防火墙，实现访问控制、入侵检测、内容过滤等功能。

2. VPN加密：采用VPN技术，实现远程接入数据加密，保障数据安全。

3. 无线安全：采用WPA2及以上加密标准，配置无线接入点的安全策略。

4. 安全审计：定期对网络设备、安全设备进行安全审计，发现并整改安全隐患。

配置旁挂式二层组网隧道转发举例组网需求有线网络需要进行大量的网线布放，耗费大量成本和人力，且用户使用网络不具备灵活性。

用户希望通过AC+Fit AP的方式部署WLAN网络，减少网线布放的成本和人力，提高用户使用网络的灵活性以及网络的可维护性。

如图1所示，现有网络中汇聚交换机连接上层网络，AC采用旁挂方式通过汇聚交换机和接入交换机连接管理AP。

AC和AP之间网络属于二层组网，管理VLAN为VLAN100。

采用隧道转发的方式，可以对数据报文进行有效地管理。

图1 组网配置图数据准备配置思路采用如下的思路进行WLAN配置：1.使用配置向导，配置AP在AC上线。

2.使用配置向导在AC上配置WLAN相关业务。

3.业务下发至AP，用户完成业务验证。

说明：当用户新开局时，对于AP的射频信道的设置，用户可根据网络规划手动指定，也可使用射频调优功能自动选择最佳信道。

如果使用射频调优功能自动选择信道，用户可在所有的AP完成配置下发后，执行下述步骤：1.依次单击“配置> AP管理> 射频模板”，进入“射频模板列表”页面。

在“射频模板列表”页面中，单击“刷新”，将信道模式和功率模式都指定为自动。

2.单击“维护> 射频调优”，进入“射频调优”界面。

在“射频调优配置”选择“调优模式”为“手动”，单击“开始”，手动触发调优功能。

3.执行手动调优一小时后，调优结束。

此时用户可以选以下两种方案：∙（推荐）将射频调优模式改为定时调优，并将调优时间定为用户业务空闲时段（如当地时间凌晨00:00-06:00时段）。

∙手动固定信道：将射频模板下的信道模式和功率模式指定“手动”模式。

如果有新AP加入，用户可重复执行上述步骤2。

操作步骤1.配置周边设备# 配置接入交换机的GE0/0/1和GE0/0/2接口加入VLAN100，GE0/0/1的缺省VLAN为VLAN100。

# 配置汇聚交换机的接口GE0/0/1和GE0/0/2加入VLAN100。

华为ap3010DN-V2刷出胖AP并配置接⼊POE交换机实现上⽹配置FAT AP⼆层组⽹⽰例组⽹图形图1 配置⼆层⽹络WLAN基本业务⽰例组⽹图组⽹需求如所⽰，FAT AP通过有线⽅式接⼊Internet，通过⽆线⽅式连接终端。

现某企业分⽀机构为了保证⼯作⼈员可以随时随地的访问公司⽹络，需要通过部署WLAN基本业务实现移动办公。

具体要求如下：提供名为“wlan-net”的⽆线⽹络。

Router作为DHCP服务器为⼯作⼈员分配IP地址。

数据准备配置思路采⽤如下的思路进⾏WLAN配置：1. 配置Router作为DHCP服务器，为STA分配IP地址。

2. 使⽤WLAN配置向导，配置WLAN基本业务。

3. 配置AP的信道和功率。

4. STA关联WLAN⽹络，完成业务验证。

配置注意事项纯组播报⽂由于协议要求在⽆线空⼝没有ACK机制保障，且⽆线空⼝链路不稳定，为了纯组播报⽂能够稳定发送，通常会以低速报⽂形式发送。

如果⽹络侧有⼤量异常组播流量涌⼊，则会造成⽆线空⼝拥堵。

为了减⼩⼤量低速组播报⽂对⽆线⽹络造成的冲击，建议在直连AP的交换机接⼝上配置组播报⽂抑制功能。

配置前请确认是否有组播业务，如果有，请谨慎配置限速值。

配置⽅法请参见。

操作步骤1. 配置Router作为DHCP服务器，为STA分配IP地址# 配置基于接⼝地址池的DHCP服务器，GE1/0/0为STA提供IP地址。

说明：DNS服务器地址请根据实际需要配置。

常⽤配置⽅法如下：接⼝地址池场景，需要在VLANIF接⼝视图下执⾏命令dhcp server dns-list ip-address &<1-8>。

全局地址池场景，需要在IP地址池视图下执⾏命令dns-list ip-address &<1-8>。

1. [Router] dhcp enable[Router] interface gigabitethernet 1/0/0[Router-GigabitEthernet1/0/0] ip address 10.23.101.1 24[Router-GigabitEthernet1/0/0] dhcp select interface[Router-GigabitEthernet1/0/0] dhcp server excluded-ip-address 10.23.101.2[Router-GigabitEthernet1/0/0] quit2. 配置WLAN基本业务a. 单击“向导 > 配置向导”，进⼊“Wi-Fi信号设置”页⾯。