华为交换机培训手册

5、用户获得IP地 址
华为自主设计的灵活接入方式——VLAN+WEB用户认证
WEB认证为用户提供了灵活的认证方式
1、VLAN端口状态（阻塞/激活）可配置 2、VLAN端口业务类型 （General/Fast/Bind）可配置 3、VLAN端口允许建立连接数目可管理 4、用户连接带宽限制 5、用户连接访问控制权限限制 6、用户连接的流量适时采集上报 7、帐号可同时允许建立用户连接数目 限制 8、与认证服务器配合实现的其它功能
Core
MA5200
5、用户通过认证 后可以正常实现 Internet访问
3、用户发起 认证
S2403
1、用户通过DHCP 获得IP地址
2、MA5200的ACL控 制用户在未经过认证 前只能访问一个或几 个特定WWW服务器 （WEB认证服务器）
VLAN+WEB用户认证－实现过程 1
申请MagicNumber
2
转发申请
4
转发MagicNumber
3
生成MagicNumber回送
5
发送认证请求（用户名和密码摘要）
6
转发认证请求
7
Radius请求
8
9
10
转发认证结果 发送认证结果
反馈认证结果
用户
门户服务器
MA5200
AAAServer
PPPOE认证方式
PPPoE方式是基于 帐号、密码的认证
5、Radius服务器完成对 用户的计费


前面板提供2×FE SOLT，可以支持


后面板提供2×GE SOLT，可以支持

6×100Base-FX（多模）接口单元；
6×100Base-LX（单模）接口单元； 6×10/100Base-TX(RJ45）接口单元；
1×1000Base-FX 接口单元； 1×1000Base-LX 接口单元 1×1000Base-T 接口单元
支持PVLAN，支持VLAN Trunking； 支持GARP、GVRP，VTP； 支持端口绑定； 支持端口镜像、支持堆叠； 支持802.1x认证方式，支持设备终结EAP或作EAP RELAY ；
Quidway S3000系列共性
采用与VRP的软件平台，提供丰富的业务支持能力：


支持组播：IGMP SNOOPING、GMRP ； 支持802.1p优先级控制（两个优先级）、802.3X流控；
方式
Radius Server
Core
2、MA5200 终结PPPoE 1、用户发起 PPPoE
MA5200F
S2403H
3、MA5200与Radius服 务器配合完成PPPoE的 帐号、密码的验证处理， 给用户分配一个合法的 IP地址
4、用户获得IP地 址并可以访问 Internet
802.1X认证方式

根据报文前80字节进行过滤；
根据报文前80字节进行流分类，并在此基础上支持带宽限制，报 文重定向，优先级修改。

适用于对QOS/ACL需求高的网络
Quidway S2000系列边缘接入交换机
Quidway S2000 系列产品 Quidway S2008/S2016/S2026
Quidway S2008B/S2016B/S2026B
网络安全
可运营/可管理的以太网系统五大功能特点
业务
设备维护管理 灵活的计费
用户访问策略控制 用户的认证（PPPOE/VLAN/WEB/802.1X）
MA5200下挂S2000系列边缘接入交换机和S3000系列快速以太网交换机，
可完成上述五大功能，构成一个可运营可管理的以太网的完整体系
Quidway® S低端以太网交换机系列
性价比
256 VLAN L2--L7过滤与流分类 CAR 802.1X HGMP V2 可控组播
智能快速以太网交换机
3050 3026E-F 3026E 3526E-F 3526E
快速交换机 边缘接入以太网交换机
2008/2016/ 2026 2403H 2008B/2016B/2026B
低成本 远程供电 端口VLAN HGMP V1 基于端口的VLAN 弱网管

业务特性介绍
组网应用案例
设备配置介绍
华为统一的网络操作系统 VRP
Quidway S系列 中低端L2/L3交换机 Quidway 8016 核心交换机
Quidway 6505 骨干交换机
A8010 接入服务器
Quidway 中低端路由器
MA5200 以太网接入设备
VRP: Versatile routing platform 通用路由平台
适用于城域网小区接入以及大中型企业LAN接入、小型企业LAN汇聚的以
太网交换产品

支持24×FE，2×GE Slot；

1Βιβλιοθήκη Baidu1000Base-Sx 接口单元


1×100Base-Sx 接口单元
1×100Base-Lx 接口单元 1×100Base-Tx 接口单元
1×1000Base-Lx 接口单元
华为对标准802.1X的扩展
标准规定认证后的握手报文是由认证单元发起，即Radius server每3600秒发送 一次，这样首先无法在一个小时内判断用户的合法性，另外无法做到费率的准确性， 同时由 Radius server 发起的握手报文会由网络高层向下蔓延对网络的数据链路造 成压力。华为公司支持在接入控制设备上发起握手报文，对网络不会造成压力，同 时可以设置较短的握手周期； 标 准 要 求 Radius server 支 持 解 析 EAP 的 能 力 ， 这 就 要 求 对 现 有 的 Radius server 进行升级。华为公司支持在接入控制单元终结 EAP 报文，转换成标准的 Radius报文与上层Radius server对接； 现有的客户端拨号软件只在XP上支持，用户下网必须注销系统或禁用网卡，且 要求用户必须1分钟内完成注册，否则无法获取IP地址。华为公司开发了自己的客户 端软件，可以在98/2000/ME/NT/UNIX/XP上安装，支持点击下线，同时可以支持自 动获取IP地址，方便灵活。
1、用户发起认 证
S2403/S3026
4、用户通过认证后可 以从DHCP获得IP地址
802.1X认证方式
接入设备与接入控制设备之间运行EAPOL报文，接入控制单元与接入认证单元运行EAP OVER RADIUS报文，认证通过之后接入控制单元端口状态由非控制状态变为控制状态，可以 正常转发数据包，至此802.1X认证结束。可以看到，802.1X只是完成了认证的功能，没有办法 支持授权和计费，同时需要接入控制单元支持端口的受控与开放，对芯片有特殊要求。
华为公司的802.1X向下兼容标准的IEEE 802.1X协议
用户认证管理－集中方式
DHCP, RADIUS Server
城域网/校园网
DHCP RELAY Arp Proxy 802.1X认证客户端
小区中心 3526E/3526 大楼机房 3026E/3026 大楼楼道 2026/2016/2008 2403H/2403F 2026B/2016B/2008B
Quidway S2008/16楼道交换机
为楼道工作环境量身定做：
机身小巧，便于楼道安装 端口密度低，节省运营商投资 散热采用低噪音风扇，静音设计 指示灯设计在机箱顶板上，便于壁挂维护 支持群组管理，配置简单方便 支持用户IP地址、MAC地址和端口的绑定 支持802.1P对不同用户业务区分优先级 支持802.1x 32个全局802.1Q VLAN、支持PVLAN
3、接入设备作为认证客户 端，与Radius Server配合 完成用户的认证过程
Core
2、接入设备的端口在 用户未经过认证前不能 能访问任何地方，并且 不能获得IP地址 DHCP Server
Radius Server
5、用户获得IP地址后可以正常实 现Internet访问，设备将用户的IP 地址＋MAC地址和VLAN进行绑 定 S3026e/S3526e/S5516
端口VLAN 隔离用户
小区
用户认证管理－分布方式
802.1X认证服务器
AAA/DHCP/DNS
Quidway S6506/S8016 QuidwayS5516
QuidwayS3526/S3526E/FM/FS QuidwayS3026/S3026E/FM/FS 802.1X 设备端
Quidway S2403H


•Quidway S2008/2016
提供8/16/24个10/100M自适应端口；
提供百兆光纤上行能力； 基于VRP网络操作系统；
•Quidway S2016B


低成本10/100M以太网接入、工作组解决方案；
基于华为设计ASIC核心交换平台实现
•Quidway S2403H /2026
3、根据DHCP AGENT 的IP 地址从相应地址池 中分配用户IP 地址
DHCP Server
Core
2、MA5200根 据用户权限作 DHCP RELAY
MA5200F
4、MA5200转发分配 的IP 地址，同时完成 IP +VLAN+MAC的绑 定
1、用户发起 DHCP申请
Quidway2403H
MA5200F
Quidway2403H
Quidway2403H
Login:帐号A@ISP1 Password:密码
Login:帐号B@ISP2
Password:密码
VLAN+WEB认证方式
VLAN+WEB方式是结合了 帐号和物理位置的认证方 式 ，可以作为实现Portal （门户业务）的基础
WEB Server Radius Server 4、MA5200作为认证客户 端，与Radius Server配合 完成用户的认证过程


支持RSTP快速生成树协议；
支持MAC地址表锁定以及静态配置、对MAC的控制过虑及安全控制； 支持多种管理方式：SNMP、RMON、WEB、TELNET、CONSOLE、HGMP ； 支持华为iManager N2000/iManager Quidview 统一网管。

3026E/3026E-F增强的特性：
3526F 3526
4K VLAN 二.三层流分类 802.1X HGMP 可控组播
3026F 3026
32 VLAN 802.1X HGMP 可控组播 VLAN透传 2个PQ队列
网络位置
Quidway S3026高能线速可堆叠交换机
Quidway S3026前视图
Quidway S3026后视图
低端接入层以太网交换机培训
华为3Com技术有限 公司深圳办事处 售后服务热线：
800-810-0504
培训内容提纲
产品介绍 业务特性介绍 组网应用案例 设备配置介绍
用户对低端以太网交换机的要求
端口规格 环境要求 端口规格 维护能力 业务能力 网络安全 设备成本 …… 增值业务 支持 QOS保证 环境要求 维护方便性
PVLAN的应用
S3526 vlan 6
vlan 5
3026 1
5 2 3
6
3026 4
vlan 1
vlan 3 vlan 2 1 vlan 1 vlan 4
vlan 2
vlan vlan 3 4
• 使用PVLAN(Primary VLAN)节省
VLAN资源
2 3 4 5
S3026
• 隔离用户
基于物理位置的接入－VLAN方式
1×1000Base-T 接口单元

MAC地址4K,32个VLAN
Quidway S3026F全光口交换机
Quidway S3026F前视图
适于城域网小区汇聚，提供光/电混合接入，减少通常使用光电转换器造成 的故障点和管理维护点

Quidway S3026F后视图
提供2种固定光接口的主机；

12个固定的单模FE光接口F主机(FS)； 12个固定的多模FE光接口F主机(FM)；
•Quidway S2008/2016
可选配的外挂机箱：
Quidway S2008
具备防尘、防潮、防雷击的能力 可以在－20°至50°的环境温度下正常工作 Quidway S2016 机箱内外双重防盗设计，保护运营商的财产安全 具备远端故障定位能力，支持物理端口环回，便于维护
培训内容提纲
产品概述

MAC地址16K,4K个VLAN
Quidway S3000系列共性
采用与VRP的软件平台，提供丰富的业务支持能力

交换容量 12.8G， 最大转发率达6.55Mpps； （3050交换容量16G， 最大转发率达10Mpps）

支持所有端口间全线速二/三层交换；；

所有 FE电口支持MDI/MDI-X 自适应； 支持基于端口的 VLAN，支持全局 802.1Q VLAN；