华为交换机培训手册
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Quidway S2403H
•Quidway S2008/2016
提供8/16/24个10/100M自适应端口;
提供百兆光纤上行能力; 基于VRP网络操作系统;
•Quidway S2016B
低成本10/100M以太网接入、工作组解决方案;
基于华为设计ASIC核心交换平台实现
•Quidway S2403H /2026
网络安全
可运营/可管理的以太网系统五大功能特点
业务
设备维护管理 灵活的计费
用户访问策略控制 用户的认证(PPPOE/VLAN/WEB/802.1X)
MA5200下挂S2000系列边缘接入交换机和S3000系列快速以太网交换机,
可完成上述五大功能,构成一个可运营可管理的以太网的完整体系
Quidway® S低端以太网交换机系列
1×1000Base-T 接口单元
MAC地址4K,32个VLAN
Quidway S3026F全光口交换机
Quidway S3026F前视图
适于城域网小区汇聚,提供光/电混合接入,减少通常使用光电转换器造成 的故障点和管理维护点
Quidway S3026F后视图
提供2种固定光接口的主机;
12个固定的单模FE光接口F主机(FS); 12个固定的多模FE光接口F主机(FM);
3、根据DHCP AGENT 的IP 地址从相应地址池 中分配用户IP 地址
DHCP Server
Core
2、MA5200根 据用户权限作 DHCP RELAY
MA5200F
4、MA5200转发分配 的IP 地址,同时完成 IP +VLAN+MAC的绑 定
1、用户发起 DHCP申请
Quidway2403H
性价比
256 VLAN L2--L7过滤与流分类 CAR 802.1X HGMP V2 可控组播
智能快速以太网交换机
3050 3526E-F 3026E-F 3026E 3526E
快速交换机 边缘接入以太网交换机
2008/2016/ 2026 2403H 2008B/2016B/2026B
低成本 远程供电 端口VLAN HGMP V1 基于端口的VLAN 弱网管
5、用户获得IP地 址
华为自主设计的灵活接入方式——VLAN+WEB用户认证
WEB认证为用户提供了灵活的认证方式
1、VLAN端口状态(阻塞/激活)可配置 2、VLAN端口业务类型 (General/Fast/Bind)可配置 3、VLAN端口允许建立连接数目可管理 4、用户连接带宽限制 5、用户连接访问控制权限限制 6、用户连接的流量适时采集上报 7、帐号可同时允许建立用户连接数目 限制 8、与认证服务器配合实现的其它功能
MAC地址16K,4K个VLAN
Quidway S3000系列共性
采用与VRP的软件平台,提供丰富的业务支持能力
交换容量 12.8G, 最大转发率达6.55Mpps; (3050交换容量16G, 最大转发率达10Mpps)
支持所有端口间全线速二/三层交换;;
所有FE电口支持MDI/MDI-X自适应; 支持基于端口的VLAN,支持全局802.1Q VLAN;
支持PVLAN,支持VLAN Trunking; 支持GARP、GVRP,VTP; 支持端口绑定; 支持端口镜像、支持堆叠; 支持802.1x认证方式,支持设备终结EAP或作EAP RELAY ;
Quidway S3000系列共性
采用与VRP的软件平台,提供丰富的业务支持能力:
支持组播:IGMP SNOOPING、GMRP ; 支持802.1p优先级控制(两个优先级)、802.3X流控;
•Quidway S2008/2016
可选配的外挂机箱:
Quidway S2008
具备防尘、防潮、防雷击的能力 可以在-20°至50°的环境温度下正常工作 Quidway S2016 机箱内外双重防盗设计,保护运营商的财产安全 具备远端故障定位能力,支持物理端口环回,便于维护
培训内容提纲
产品概述
华为对标准802.1X的扩展
标准规定认证后的握手报文是由认证单元发起,即Radius server每3600秒发送 一次,这样首先无法在一个小时内判断用户的合法性,另外无法做到费率的准确性, 同时由Radius server发起的握手报文会由网络高层向下蔓延对网络的数据链路造 成压力。华为公司支持在接入控制设备上发起握手报文,对网络不会造成压力,同 时可以设置较短的握手周期; 标 准 要 求 Radius server 支 持 解 析 EAP 的 能 力 , 这 就 要 求 对 现 有 的 Radius server进行升级。华为公司支持在接入控制单元终结EAP报文,转换成标准的 Radius报文与上层Radius server对接; 现有的客户端拨号软件只在XP上支持,用户下网必须注销系统或禁用网卡,且 要求用户必须1分钟内完成注册,否则无法获取IP地址。华为公司开发了自己的客户 端软件,可以在98/2000/ME/NT/UNIX/XP上安装,支持点击下线,同时可以支持自 动获取IP地址,方便灵活。
前面板提供2×FE SOLT,可以支持
后面板提供2×GE SOLT,可以支持
6×100Base-FX(多模)接口单元;
6×100Base-LX(单模)接口单元; 6×10/100Base-TX(RJ45)接口单元;
1×1000Base-FX 接口单元; 1×1000Base-LX 接口单元 1×1000Base-T 接口单元
根据报文前80字节进行过滤;
根据报文前80字节进行流分类,并在此基础上支持带宽限制,报 文重定向,优先级修改。
适用于对QOS/ACL需求高的网络
Quidway S2000系列边缘接入交换机
Quidway S2000 系列产品 Quidway S2008/S2016/S2026
Quidway S2008B/S2016B/S2026B
支持RSTP快速生成树协议;
支持MAC地址表锁定以及静态配置、对MAC的控制过虑及安全控制; 支持多种管理方式:SNMP、RMON、WEB、TELNET、CONSOLE、HGMP ; 支持华为iManager N2000/iManager Quidview 统一网管。
3026E/3026E-F增强的特性:
方式
Radius Server
Core
2、MA5200 终结PPPoE 1、用户发起 PPPoE
MA5200F S2403H
3、MA5200与Radius服 务器配合完成PPPoE的 帐号、密码的验证处理, 给用户分配一个合法的 IP地址
4、用户获得IP地 址并可以访问 Internet
802.1X认证方式
1、用户发起认 证
S2403/S3026
4、用户通过认证后可 以从DHCP获得IP地址
802.1X认证方式
接入设备与接入控制设备之间运行EAPOL报文,接入控制单元与接入认证单元运行EAP OVER RADIUS报文,认证通过之后接入控制单元端口状态由非控制状态变为控制状态,可以 正常转发数据包,至此802.1X认证结束。可以看到,802.1X只是完成了认证的功能,没有办法 支持授权和计费,同时需要接入控制单元支持端口的受控与开放,对芯片有特殊要求。
华为公司的802.1X向下兼容标准的IEEE 802.1X协议
用户认证管理-集中方式
DHCP, RADIUS Server
城域网/校园网
DHCP RELAY Arp Proxy 802.1X认证客户端
小区中心 3526E/3526 大楼机房 3026E/3026 大楼楼道 2026/2016/2008 2403H/2403F 2026B/2016B/2008B
端口VLAN 隔离用户
小区
用户认证管理-分布方式
802.1X认证服务器
AAA/DHCP/DNS
Quidway S6506/S8016 QuidwayS5516
QuidwayS3526/S3526E/FM/FS QuidwayS3026/S3026E/FM/FS 802.1X 设备端
Quidway S2008/16楼道交换机
为楼道工作环境量身定做:
机身小巧,便于楼道安装 端口密度低,节省运营商投资 散热采用低噪音风扇,静音设计 指示灯设计在机箱顶板上,便于壁挂维护 支持群组管理,配置简单方便 支持用户IP地址、MAC地址和端口的绑定 支持802.1P对不同用户业务区分优先级 支持802.1x 32个全局802.1Q VLAN、支持PVLAN
适用于城域网小区接入以及大中型企业LAN接入、小型企业LAN汇聚的以
太网交换产品
支持24×FE,2×GE Slot;
1×1000Base-Sx 接口单元
1×100Base-Sx 接口单元
1×100Base-Lx 接口单元 1×100Base-Tx 接口单元
1×1000Base-Lx 接口单元
低端接入层以太网交换机培训
华为3Com技术有限 公司深圳办事处 售后服务热线:
800-810-0504
培训内容提纲
产品介绍 业务特性介绍 组网应用案例 设备配置介绍
用户对低端以太网交换机的要求
端口规格 环境要求 端口规格 维护能力 业务能力 网络安全 设备成本 …… 增值业务 支持 QOS保证 环境要求 维护方便性
Core
MA5200
5、用户通过认证 后可以正常实现 Internet访问
3、用户发起 认证
S2403
1、用户通过DHCP 获得IP地址
2、MA5200的ACL控 制用户在未经过认证 前只能访问一个或几 个特定WWW服务器 (WEB认证服务器)
VLAN+WEB用户认证-实现过程 1
申请MagicNumber
3、接入设备作为认证客户 端,与Radius Server配合 完成用户的认证过程
Core
2、接入设备的端口在 用户未经过认证前不能 能访问任何地方,并且 不能获得IP地址 DHCP Server
Radius Server
5、用户获得IP地址后可以正常实 现Internet访问,设备将用户的IP 地址+MAC地址和VLAN进行绑 定 S3026e/S3526e/S5516
PVLAN的应用
S3526 vlan 6
vlan 5
3026 1
5 2 3
6
3026 4
vlan 1
vlan 3 vlan 2 1 vlan 1 vlan 4
vlan 2
vlan vlan 3 4
• 使用PVLAN(Primary VLAN)节省
VLAN资源
2 3 4 5
S3026
• 隔离用户
基于物理位置的接入-VLAN方式
2
转发申请
4
转发MagicNumber
3
生成MagicNumber回送
5
发送认证请求(用户名和密码摘要)
6
转发认证请求
7
Radius请求
8
9
10
转发认证结果 发送认证结果
反馈认证结果
用户
门户服务器
MA5200
AAAServer
PPPOE认证方式
PPPoE方式是基于 帐号、密码的认证
5、Radius服务器完成对 用户的计费
3526F 3526
4K VLAN 二.三层流分类 802.来自百度文库X HGMP 可控组播
3026F 3026
32 VLAN 802.1X HGMP 可控组播 VLAN透传 2个PQ队列
网络位置
Quidway S3026高能线速可堆叠交换机
Quidway S3026前视图
Quidway S3026后视图
业务特性介绍
组网应用案例
设备配置介绍
华为统一的网络操作系统 VRP
Quidway S系列 中低端L2/L3交换机 Quidway 8016 核心交换机
Quidway 6505 骨干交换机
A8010 接入服务器
Quidway 中低端路由器
MA5200 以太网接入设备
VRP: Versatile routing platform 通用路由平台
MA5200F
Quidway2403H
Quidway2403H
Login:帐号A@ISP1 Password:密码
Login:帐号B@ISP2
Password:密码
VLAN+WEB认证方式
VLAN+WEB方式是结合了 帐号和物理位置的认证方 式 ,可以作为实现Portal (门户业务)的基础
WEB Server Radius Server 4、MA5200作为认证客户 端,与Radius Server配合 完成用户的认证过程
•Quidway S2008/2016
提供8/16/24个10/100M自适应端口;
提供百兆光纤上行能力; 基于VRP网络操作系统;
•Quidway S2016B
低成本10/100M以太网接入、工作组解决方案;
基于华为设计ASIC核心交换平台实现
•Quidway S2403H /2026
网络安全
可运营/可管理的以太网系统五大功能特点
业务
设备维护管理 灵活的计费
用户访问策略控制 用户的认证(PPPOE/VLAN/WEB/802.1X)
MA5200下挂S2000系列边缘接入交换机和S3000系列快速以太网交换机,
可完成上述五大功能,构成一个可运营可管理的以太网的完整体系
Quidway® S低端以太网交换机系列
1×1000Base-T 接口单元
MAC地址4K,32个VLAN
Quidway S3026F全光口交换机
Quidway S3026F前视图
适于城域网小区汇聚,提供光/电混合接入,减少通常使用光电转换器造成 的故障点和管理维护点
Quidway S3026F后视图
提供2种固定光接口的主机;
12个固定的单模FE光接口F主机(FS); 12个固定的多模FE光接口F主机(FM);
3、根据DHCP AGENT 的IP 地址从相应地址池 中分配用户IP 地址
DHCP Server
Core
2、MA5200根 据用户权限作 DHCP RELAY
MA5200F
4、MA5200转发分配 的IP 地址,同时完成 IP +VLAN+MAC的绑 定
1、用户发起 DHCP申请
Quidway2403H
性价比
256 VLAN L2--L7过滤与流分类 CAR 802.1X HGMP V2 可控组播
智能快速以太网交换机
3050 3526E-F 3026E-F 3026E 3526E
快速交换机 边缘接入以太网交换机
2008/2016/ 2026 2403H 2008B/2016B/2026B
低成本 远程供电 端口VLAN HGMP V1 基于端口的VLAN 弱网管
5、用户获得IP地 址
华为自主设计的灵活接入方式——VLAN+WEB用户认证
WEB认证为用户提供了灵活的认证方式
1、VLAN端口状态(阻塞/激活)可配置 2、VLAN端口业务类型 (General/Fast/Bind)可配置 3、VLAN端口允许建立连接数目可管理 4、用户连接带宽限制 5、用户连接访问控制权限限制 6、用户连接的流量适时采集上报 7、帐号可同时允许建立用户连接数目 限制 8、与认证服务器配合实现的其它功能
MAC地址16K,4K个VLAN
Quidway S3000系列共性
采用与VRP的软件平台,提供丰富的业务支持能力
交换容量 12.8G, 最大转发率达6.55Mpps; (3050交换容量16G, 最大转发率达10Mpps)
支持所有端口间全线速二/三层交换;;
所有FE电口支持MDI/MDI-X自适应; 支持基于端口的VLAN,支持全局802.1Q VLAN;
支持PVLAN,支持VLAN Trunking; 支持GARP、GVRP,VTP; 支持端口绑定; 支持端口镜像、支持堆叠; 支持802.1x认证方式,支持设备终结EAP或作EAP RELAY ;
Quidway S3000系列共性
采用与VRP的软件平台,提供丰富的业务支持能力:
支持组播:IGMP SNOOPING、GMRP ; 支持802.1p优先级控制(两个优先级)、802.3X流控;
•Quidway S2008/2016
可选配的外挂机箱:
Quidway S2008
具备防尘、防潮、防雷击的能力 可以在-20°至50°的环境温度下正常工作 Quidway S2016 机箱内外双重防盗设计,保护运营商的财产安全 具备远端故障定位能力,支持物理端口环回,便于维护
培训内容提纲
产品概述
华为对标准802.1X的扩展
标准规定认证后的握手报文是由认证单元发起,即Radius server每3600秒发送 一次,这样首先无法在一个小时内判断用户的合法性,另外无法做到费率的准确性, 同时由Radius server发起的握手报文会由网络高层向下蔓延对网络的数据链路造 成压力。华为公司支持在接入控制设备上发起握手报文,对网络不会造成压力,同 时可以设置较短的握手周期; 标 准 要 求 Radius server 支 持 解 析 EAP 的 能 力 , 这 就 要 求 对 现 有 的 Radius server进行升级。华为公司支持在接入控制单元终结EAP报文,转换成标准的 Radius报文与上层Radius server对接; 现有的客户端拨号软件只在XP上支持,用户下网必须注销系统或禁用网卡,且 要求用户必须1分钟内完成注册,否则无法获取IP地址。华为公司开发了自己的客户 端软件,可以在98/2000/ME/NT/UNIX/XP上安装,支持点击下线,同时可以支持自 动获取IP地址,方便灵活。
前面板提供2×FE SOLT,可以支持
后面板提供2×GE SOLT,可以支持
6×100Base-FX(多模)接口单元;
6×100Base-LX(单模)接口单元; 6×10/100Base-TX(RJ45)接口单元;
1×1000Base-FX 接口单元; 1×1000Base-LX 接口单元 1×1000Base-T 接口单元
根据报文前80字节进行过滤;
根据报文前80字节进行流分类,并在此基础上支持带宽限制,报 文重定向,优先级修改。
适用于对QOS/ACL需求高的网络
Quidway S2000系列边缘接入交换机
Quidway S2000 系列产品 Quidway S2008/S2016/S2026
Quidway S2008B/S2016B/S2026B
支持RSTP快速生成树协议;
支持MAC地址表锁定以及静态配置、对MAC的控制过虑及安全控制; 支持多种管理方式:SNMP、RMON、WEB、TELNET、CONSOLE、HGMP ; 支持华为iManager N2000/iManager Quidview 统一网管。
3026E/3026E-F增强的特性:
方式
Radius Server
Core
2、MA5200 终结PPPoE 1、用户发起 PPPoE
MA5200F S2403H
3、MA5200与Radius服 务器配合完成PPPoE的 帐号、密码的验证处理, 给用户分配一个合法的 IP地址
4、用户获得IP地 址并可以访问 Internet
802.1X认证方式
1、用户发起认 证
S2403/S3026
4、用户通过认证后可 以从DHCP获得IP地址
802.1X认证方式
接入设备与接入控制设备之间运行EAPOL报文,接入控制单元与接入认证单元运行EAP OVER RADIUS报文,认证通过之后接入控制单元端口状态由非控制状态变为控制状态,可以 正常转发数据包,至此802.1X认证结束。可以看到,802.1X只是完成了认证的功能,没有办法 支持授权和计费,同时需要接入控制单元支持端口的受控与开放,对芯片有特殊要求。
华为公司的802.1X向下兼容标准的IEEE 802.1X协议
用户认证管理-集中方式
DHCP, RADIUS Server
城域网/校园网
DHCP RELAY Arp Proxy 802.1X认证客户端
小区中心 3526E/3526 大楼机房 3026E/3026 大楼楼道 2026/2016/2008 2403H/2403F 2026B/2016B/2008B
端口VLAN 隔离用户
小区
用户认证管理-分布方式
802.1X认证服务器
AAA/DHCP/DNS
Quidway S6506/S8016 QuidwayS5516
QuidwayS3526/S3526E/FM/FS QuidwayS3026/S3026E/FM/FS 802.1X 设备端
Quidway S2008/16楼道交换机
为楼道工作环境量身定做:
机身小巧,便于楼道安装 端口密度低,节省运营商投资 散热采用低噪音风扇,静音设计 指示灯设计在机箱顶板上,便于壁挂维护 支持群组管理,配置简单方便 支持用户IP地址、MAC地址和端口的绑定 支持802.1P对不同用户业务区分优先级 支持802.1x 32个全局802.1Q VLAN、支持PVLAN
适用于城域网小区接入以及大中型企业LAN接入、小型企业LAN汇聚的以
太网交换产品
支持24×FE,2×GE Slot;
1×1000Base-Sx 接口单元
1×100Base-Sx 接口单元
1×100Base-Lx 接口单元 1×100Base-Tx 接口单元
1×1000Base-Lx 接口单元
低端接入层以太网交换机培训
华为3Com技术有限 公司深圳办事处 售后服务热线:
800-810-0504
培训内容提纲
产品介绍 业务特性介绍 组网应用案例 设备配置介绍
用户对低端以太网交换机的要求
端口规格 环境要求 端口规格 维护能力 业务能力 网络安全 设备成本 …… 增值业务 支持 QOS保证 环境要求 维护方便性
Core
MA5200
5、用户通过认证 后可以正常实现 Internet访问
3、用户发起 认证
S2403
1、用户通过DHCP 获得IP地址
2、MA5200的ACL控 制用户在未经过认证 前只能访问一个或几 个特定WWW服务器 (WEB认证服务器)
VLAN+WEB用户认证-实现过程 1
申请MagicNumber
3、接入设备作为认证客户 端,与Radius Server配合 完成用户的认证过程
Core
2、接入设备的端口在 用户未经过认证前不能 能访问任何地方,并且 不能获得IP地址 DHCP Server
Radius Server
5、用户获得IP地址后可以正常实 现Internet访问,设备将用户的IP 地址+MAC地址和VLAN进行绑 定 S3026e/S3526e/S5516
PVLAN的应用
S3526 vlan 6
vlan 5
3026 1
5 2 3
6
3026 4
vlan 1
vlan 3 vlan 2 1 vlan 1 vlan 4
vlan 2
vlan vlan 3 4
• 使用PVLAN(Primary VLAN)节省
VLAN资源
2 3 4 5
S3026
• 隔离用户
基于物理位置的接入-VLAN方式
2
转发申请
4
转发MagicNumber
3
生成MagicNumber回送
5
发送认证请求(用户名和密码摘要)
6
转发认证请求
7
Radius请求
8
9
10
转发认证结果 发送认证结果
反馈认证结果
用户
门户服务器
MA5200
AAAServer
PPPOE认证方式
PPPoE方式是基于 帐号、密码的认证
5、Radius服务器完成对 用户的计费
3526F 3526
4K VLAN 二.三层流分类 802.来自百度文库X HGMP 可控组播
3026F 3026
32 VLAN 802.1X HGMP 可控组播 VLAN透传 2个PQ队列
网络位置
Quidway S3026高能线速可堆叠交换机
Quidway S3026前视图
Quidway S3026后视图
业务特性介绍
组网应用案例
设备配置介绍
华为统一的网络操作系统 VRP
Quidway S系列 中低端L2/L3交换机 Quidway 8016 核心交换机
Quidway 6505 骨干交换机
A8010 接入服务器
Quidway 中低端路由器
MA5200 以太网接入设备
VRP: Versatile routing platform 通用路由平台
MA5200F
Quidway2403H
Quidway2403H
Login:帐号A@ISP1 Password:密码
Login:帐号B@ISP2
Password:密码
VLAN+WEB认证方式
VLAN+WEB方式是结合了 帐号和物理位置的认证方 式 ,可以作为实现Portal (门户业务)的基础
WEB Server Radius Server 4、MA5200作为认证客户 端,与Radius Server配合 完成用户的认证过程