LANSWITCH配置注意事項
序號 注意項目 記錄
1 登錄交換機時請注意在超級終端串口配置屬性流控選擇“無”
2 啟動時按”ctrl+B”可以進入到boot menu模式
3 當交換機提示”Please Press ENTER”,敲完回車后請等待一下,設備需要一定的時間才能進入到命令行界面(具體的時間視產品而定)
4 請在用戶視圖(如<Quidway>)輸入”system-view”(輸入”sys”即可)進入系統視圖(如[Quidway])
5 對使用的端口、vlan、interface vlan進行詳細的描述
6 如果配置了telnet用戶,一定要設置權限或配置super密碼
7 除了S5516使用SFP模塊,S8016和S6500系列使用模塊,其它產品使用模塊不可以帶電插拔
8 某產品使用其它產品模塊前請確認該模塊是否可以混用
9 配置acl時請注意掩碼配置是否準確
10 二層交換機配置管理IP后,請確保管理vlan包含了管理報文到達的端口
11 配置完畢后請在用戶視圖下(如<Quidway>)采用save命令保存配置
12 請確保在設備保存配置的時候不掉電,否則可能會導致配置丟失
13 如果要清除所有配置,請在用戶視圖下(如<Quidway>)采用reset saved-configuration,并重啟交換機
注:
其他配置需注意的地方請參考每部分內容后面的注明
LANSWITCH日常維護基本操作
1 基本操作
1.1 常用命令新舊對照列表
常用命令新舊對照表
舊 新 舊 新
show display access-list acl
no undo acl eacl
exit quit
write save show version disp version
erase reset show run disp current-configuration
show tech-support disp diagnostic-information
show start disp saved-configuration
router ospf ospf
router bgp bgp
router rip rip
hostname sysname
user local-user
0 simple
7 cipher
mode link-type
multi hybrid
注意:
1. disp是display的縮寫,在沒有歧義時LANSWITCH會自動識別不完整詞
2. disp cur顯示LANSWITCH當前生效的配置參數
3. disp和ping命令在任何視圖下都可執行,不必切換到系統視圖
4. 刪除某條命令,一般的命令是undo xxx,另一種情況是用其他的參數代替現在的參數,如有時雖然xxx abc無法使用undo刪除,但是可以修改為xxx def
以太網端口鏈路類型介紹
以太網端口有三種鏈路類型:Access、Hybrid和Trunk。Access類型的端口只能屬于1個VLAN,一般用于連接計算機的端口;Trunk類型的端口可以屬于多個VLAN,可以接收和發送多個VLAN的報文,一般用于交換機之間連接的端口;Hybrid類型的端口可以屬于多個VLAN,可以接收和發送多個VLAN的報文,可以用于交換機之間連接,也可以用于連接用戶的計算機。Hybrid端口和Trunk端口的不同之處在于Hybrid端口可以允許多個VLAN的報文發送時不打標簽,而Trunk端口只允許缺省VLAN的報文發送時不打標簽。
這里的trunk并不是端口干路的概念,即端口匯聚或者鏈路聚合,而是允許vlan透傳的一個概念。如果想使用端口匯聚請參見相關《端口匯聚》章節。
需要注意的是:
l 在一臺以太網交換機上,Trunk端口和Hybrid端口不能同時被設置。
l 如果某端口被指定為鏡像端口,則不能再被設置為Trunk端口,反之亦然。
缺省情況下,端口為Access端口。
Access端口只屬于1個VLAN,所以它的缺省VLAN就是它所在的VLAN,不用設置;Hybrid端口和Trunk端口屬于多個VLAN,所以需要設置缺省VLAN ID。如果設置了端口的缺省VLAN ID,當端口接收到不帶VLAN Tag的報文后,則將報文轉發到屬于缺省VLAN的端口;當端口發送帶有VLAN Tag的報文時,如果該報文的VLAN ID與端口缺省的VLAN ID相同,則系統將去掉報文的VLAN Tag,然后再發送該報文。
需要注意的是:
l Trunk端口不能和isolate-user-vlan同時配置;Hybrid端口可以和isolate-user-vlan同時配置。但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN,則不允許修改缺省VLAN ID,只有在解除映射后才能進行修改。
l 本Hybrid端口或Trunk端口的缺省VLAN ID和相連的對端交換機的Hybrid端口或Trunk端口的缺省VLAN ID必須一致,否則報文將不能正確傳輸。
缺省情況下,Hybrid端口和Trunk端口的缺省VLAN為VLAN 1,Access端口的缺省VLAN是本身所屬于的VLAN。
交換機VLAN配置
1 功能需求及組網說明
VLAN 配置
『配置環境參數』
SwitchA端口E0/1屬于VLAN2,E0/2屬于VLAN3
『組網需求』
把交換機端口E0/1加入到VLAN2 ,E0/2加入到VLAN3
2 數據配置步驟
『VLAN配置流程』
1. 缺省情況下所有端口都屬于VLAN 1,并且端口是access端口,一個access端口只能屬于一個vlan;
2. 如果端口是access端口,則把端口加入到另外一個vlan的同時,系統自動把該端口從原來的vlan中刪除掉;
3. 除了VLAN1,如果VLAN XX不存在,在系統視圖下鍵入VLAN XX,則創建VLAN XX并進入VLAN視圖;如果VLAN XX已經存在,則進入VLAN視圖。
【SwitchA相關配置】
方法一:
1. 創建(進入)vlan2
[SwitchA]vlan 2
2. 將端口E0/1加入到vlan2
[SwitchA-vlan2]port ethernet 0/1
3. 創建(進入)vlan3
[SwitchA-vlan2]vlan 3
4. 將端口E0/2加入到vlan3
[SwitchA-vlan3]port ethernet 0/2
方法二:
1. 創建(進入)vlan2
[SwitchA]vlan 2
2. 進入端口E0/1視圖
[SwitchA]interface ethernet 0/1
3. 指定端口E0/1屬于vlan2
[SwitchA-Ethernet1]port access vlan 2
4. 創建(進入)vlan3
[SwitchA]vlan 3
5. 進入端口E0/2視圖
[SwitchA]interface ethernet 0/2
6. 指定端口E0/2屬于vlan3
[SwitchA-Ethernet2]port access vlan 3
cisco 劃分vlan的方法
Switch#vlan database
Switch(vlan)#vlan 2
Switch(vlan)#vlan 3
Switch(config)# int f0/1
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)# int f0/2
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)# int f0/1 , f0/7 (指定某些端口到vlan)
Switch(config)# int range f0/2 -12 (指定某個端口范圍到vlan)
方法二
Switch(config)#vlan 2
Switch(config)#vlan 3
Switch(config-if)#switchport trunk allowed vlan add/remove 3 (在端口模式下添加或刪除vlan)
Switch(config)#switchport mode access/trunk (設置交換機的模式是access還是trunk)
Switch(config)#vtp pruning (開啟 vtp修剪功能)
3 測試驗證
1. 使用命令disp cur可以看到端口E0/1屬于vlan2,E0/2屬于vlan3;
2. 使用display interface Ethernet 0/1可以看到端口為access端口,PVID為2;
3. 使用display interface Ethernet 0/2可以看到端口為access端口,PVID為3。
端口的trunk屬性配置(一)
1 功能需求及組網說明
端口的trunk配置
『配置環境參數』
1. SwitchA 端口E0/1屬于vlan10,E0/2屬于vlan20,E0/3與SwitchB端口E0/3互連
2. SwitchB 端口E0/1屬于vlan10,E0/2屬于vlan20,E0/3與SwitchA端口E0/3互連
『組網需求』
1. 要求SwitchA的vlan10的PC與SwitchB的vlan10的PC互通
2. 要求SwitchA的vlan20的PC與SwitchB的vlan20的PC互通
2 數據配置步驟
『vlan透傳轉發流程』
報文在進入交換機端口時如果沒有802.1Q標記將被打上端口的PVID(即defauld vlan ID),之后該數據包就只能在這個vlan域內進行轉發,不同的vlan在二層之間是隔離開的,不能實現互相訪問。
【SwitchA相關配置】
1. 創建(進入)vlan10
[SwitchA] vlan 10
2. 將E0/1加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
3. 創建(進入)vlan20
[SwitchA]vlan 20
4. 將E0/2加入到vlan20
[SwitchA-vlan20]port Ethernet 0/2
5. 實際當中一般將上行端口設置成trunk屬性,允許vlan透傳
[SwitchA-Ethernet0/3]port link-type trunk
6. 允許所有的vlan從E0/3端口透傳通過,也可以指定具體的vlan值
[SwitchA-Ethernet0/3]port trunk permit vlan all
【SwitchB相關配置】
1. 創建(進入)vlan10
[SwitchB] vlan 10
2. 將E0/1加入到vlan10
[SwitchB-vlan10]port Ethernet 0/1
3. 創建(進入)vlan20
[SwitchB]vlan 20
4. 將E0/2加入到vlan20
[SwitchB-vlan20]port Ethernet 0/2
5. 實際當中一般將上行端口設置成trunk屬性,允許vlan透傳
[SwitchB-Ethernet0/3]port link-type trunk
6. 允許所有的vlan從E0/3端口透傳通過,也可以指定具體的vlan值
[SwitchB-Ethernet0/3]port trunk permit vlan all
【補充說明】
1. 如果一個端口是trunk端口,則該端口可以屬于多個vlan;
2. 缺省情況下trunk端口的PVID為1,可以在端口模式下通過命令port trunk pvid vlan vlanid 來修改端口的PVID;
3. 如果從trunk轉發出去的數據報文的vlan id和端口的PVID一致,則該報文的VLAN信息會被剝去,這點在配置trunk端口時需要注意。
4. 一臺交換機上如果已經設置了某個端口為hybrid端口,則不可以再把另外的端口設置為trunk端口。
5. 一般情況下最好指定端口允許通過哪些具體的VLAN,不要設置允許所有的VLAN通過。
3 測試驗證
1. SwitchA vlan10內的PC可以與SwitchB vlan10內的PC互通
2. SwitchA vlan20內的PC可以與SwitchB vlan20內的PC互通
3. SwitchA vlan10內的PC不能與SwitchB vlan20內的PC互通
4. SwitchA vlan20內的PC不能與SwitchB vlan10內的PC互通
交換機端口trunk屬性配置(二)
1 功能需求及組網說明
端口的trunk配置
『配置環境參數』
1. SwitchA 端口E0/1屬于vlan10,E0/2屬于vlan20,E0/3與Router端口E0互連
2. vlan10內PC地址192.168.0.2/24,網關為路由器E0.1子接口地址192.168.0.1/24
3. vlan20內PC地址10.10.10.2/24,網關為路由器E0.2子接口地址10.10.10.1/24
4. SwitchA管理vlan100虛接口地址172.16.0.2/24,網關為路由E0接口地址172.16.0.1
『組網需求』
1. vlan10、vlan20和vlan100能夠通過交換機透傳到路由器,并且能夠通過路由器子接口實現三層互通
2 數據配置步驟
『交換機配合路由器子接口數據配置流程』
一般來說交換機與路由器子接口配合,都因為交換機是二層交換機,沒有三層路由功能,通過路由器終結二層交換機透傳過來的vlan數據包,實現三層互通,是此類組網的主要目的。在路由器子接口之間,各個網段之間為直連路由,如果要實現某些網段之間的訪問控制,一般通過在路由器上配置訪問控制列表來實現。
三層交換機由于本身支持多個虛接口,可以直接實現多網段之間的三層互通,一般不涉及此類組網。
【SwitchA相關配置】
1. 創建(進入)vlan10
[SwitchA] vlan 10
2. 將E0/1加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
3. 創建(進入)vlan20
[SwitchA]vlan 20
4. 將E0/2加入到vlan20
[SwitchA-vlan20]port Ethernet 0/2
[SwitchA-Ethernet0/3]port link-type trunk
6. 允許所有的vlan從E0/3端口透傳通過,也可以指定具體的vlan值
[SwitchA-Ethernet0/3]port trunk permit vlan all
7. 創建(進入)vlan100
[SwitchA]vlan 100
8. vlan100可以不包含具體的端口
9. 創建(進入)vlan100的虛接口
[SwitchA]interface Vlan-interface 100
10. 給vlan100的虛接口配置IP地址
[SwitchA-Vlan-interface100]ip address 172.16.0.2 255.255.255.0
11. 設置E0/3端口PVID為100,將管理vlan100送出去的報文vlan標記剝去,送往路由器主接口
[SwitchA-Ethernet0/3]port trunk pvid vlan 100
12. 如果需要允許其它網段與交換機管理vlan地址互通,需要配置一條默認路由
[SwitchA]ip route-static 0.0.0.0 0.0.0.0 172.16.0.1
【RouterA相關配置】
1. 創建(進入)E0.1子接口
[RouterA]inter Ethernet 0.1
2. 在E0.1子接口里封裝vlan10
[RouterA-Ethernet0.1]vlan-type dot1q vid 10
3. 在E0.1子接口配置IP地址
[RouterA-Ethernet0.1]ip address 192.168.0.1 255.255.255.0
4. 創建(進入)E0.2子接口
[RouterA]inter Ethernet 0.2
5. 在E0.2子接口里封裝vlan20
[RouterA-Ethernet0.2]vlan-type dot1q vid 20
6. 在E0.2子接口配置IP地址
[RouterA-Ethernet0.2]ip address 10.10.10.1 255.255.255.0
7. 進入E0接口
[SwitchB-vlan20]port Ethernet 0
[RouterA-Ethernet0]ip address 172.16.0.1 255.255.255.0
【補充說明】
1. 如果一個端口是trunk端口,則該端口可以屬于多個vlan
2. 缺省情況下trunk端口的PVID為1,可以在端口模式下通過命令port trunk pvid vlan vlanid 來修改端口的PVID
3. 一臺交換機上如果已經設置了某個端口為hybrid端口,則不可以再把另外的端口設置為trunk端口
3 測試驗證
1. PC都能PING通自己的網關
2. PC之間能夠PING通
3. 交換機能夠與路由器E0接口地址互通
交換機端口hybrid屬性配置
1 功能需求及組網說明
端口hybrid屬性的配置
『配置環境參數』
1. 交換機E0/1和E0/2屬于vlan10
2. 交換機E0/3屬于vlan20
3. 交換機E0/4和E0/5屬于vlan30
4. 交換機E0/23連接Server1
5. 交換機E0/24連接Server2
6. Server1和Server2分屬于vlan40和vlan50
7. PC和Server都在同一網段
8. E0/10連接BAS設備,屬于vlan60
『組網需求』
1. 利用二層交換機端口的hybrid屬性靈活實現vlan之間的靈活互訪;
2. Vlan10、vlan20和vlan30的PC均可以訪問Server 1;
3. vlan 10、20以及vlan30的4端口的PC可以訪問Server 2;
4. vlan 10中的2端口的PC可以訪問vlan 30的PC;
5. vlan 20的PC可以訪問vlan 30的5端口的PC;
6. vlan10的PC訪問外網需要將vlan信息送到BAS,而vlan20和vlan30則不需要。
2 數據配置步驟
『端口hybrid屬性配置流程』
hybrid屬性是一種混雜模式,實現了在一個untagged端口允許報文以tagged形式送出交換機。同時可以利用hybrid屬性定義分屬于不同的vlan的端口之間的互訪,這是access和trunk端口所不能實現的。在一臺交換機上不允許trunk端口和hybrid端口同時存在。
1. 先創建業務需要的vlan
[SwitchA]vlan 10
[SwitchA]vlan 20
[SwitchA]vlan 30
[SwitchA]vlan 40
[SwitchA]vlan 50
2. 每個端口,都配置為 hybrid狀態
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
3. 設置端口的pvid等于該端口所屬的vlan
[Switch-Ethernet0/1]port hybrid pvid vlan 10
4. 將希望可以互通的端口的pvid vlan,設置為untagged vlan,這樣從該端口發出的廣播幀就可以到達本端口
[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged
實際上,這種配置是通過 hybrid 端口的 pvid 來唯一的表示一個端口,接收端口通過是否將 vlan 設置為 untagged vlan,來控制是否與 pvid vlan 為 該 vlan 的端口互通。
5. 以下各端口類似:
[Switch-Ethernet0/1]int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 10
[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/2]int e0/3
[Switch-Ethernet0/3]port link-type hybrid
[Switch-Ethernet0/3]port hybrid pvid vlan 20
[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged
[Switch-Ethernet0/3]int e0/4
[Switch-Ethernet0/4]port link-type hybrid
[Switch-Ethernet0/4]port hybrid pvid vlan 30
[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/4]int e0/5
[Switch-Ethernet0/5]port link-type hybrid
[Switch-Ethernet0/5]port hybrid pvid vlan 30
[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged
[Switch-Ethernet0/5]int e0/23
[Switch-Ethernet0/23]port link-type hybrid
[Switch-Ethernet0/23]port hybrid pvid vlan 40
[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged
[Switch-Ethernet0/24]int e0/24
[Switch-Ethernet0/24]port link-type hybrid
[Switch-Ethernet0/24]port hybrid pvid vlan 50
[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged
6. 在上行口E0/10上允許vlan10以tagged形式送出,其它為untagged
[SwitchA]interface Ethernet 0/10
[SwitchA-Ethernet0/10]port link-type hybrid
[SwitchA-Ethernet0/10]port hybrid pvid vlan 60
[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged
[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged
本例中需求比較復雜,一般人員很難做到一次性在一個端口上指定哪些vlan允許通過,可以根據需求逐條配置,交換機支持在端口上多次設置。
3 測試驗證
交換機IP地址配置(vlan三層路由)
1 功能需求及組網說明
IP地址配置
『配置環境參數』
1. 三層交換機SwitchA有兩個端口ethetnet 0/1、ethernet 0/2,分別屬于vlan 2、vlan 3;
2. 以vlan 2的三層接口地址分別是1.0.0.1/24作為PC1的網關;
3. 以vlan 3的三層接口地址分別是2.0.0.1/24作為PC2的網關;
『組網需求』
PC1和PC2通過三層接口互通。
2 數據配置步驟
『IP地址配置流程』
交換機目前除了某些產品具有管理以太網口,如6500、8016等,可以直接將IP地址配置在管理以太網口上以外,如果要配置IP地址,必須配置在vlan虛接口上。在這個意義上來說,這個虛接口和路由器的以太網口是類似的。
二層交換機只能配置一個三層虛接口,三層交換機可以配置多個三層虛接口。
三層交換機如果起用了多個三層虛接口,這個時候多個虛接口之間是直連路由,所以它們的網段之間默認是直接互通的。如果要實現某些網段之間的隔離,需要通過配置訪問控制列表來實現。
【SwitchA相關配置】
1. 創建(進入)vlan2
[Quidway]vlan 2
2. 將端口E0/1加入到vlan2
[Quidway-vlan2]port ethernet 0/1
3. 進入vlan2的虛接口
[Quidway-vlan2]interface vlan 2
4. 在vlan2的虛接口上配置IP地址
[Quidway-Vlan-interface2]ip address 1.0.0.1 255.255.255.0
5. 創建(進入)vlan3
[Quidway]vlan 3
6. 將E0/2加入到vlan3
[Quidway-vlan3]port ethernet 0/2
7. 進入vlan3的虛接口
[Quidway-vlan3]interface vlan 3
8. 在vlan3的虛接口上配置IP地址
[Quidway-Vlan-interface3]ip address 2.0.0.1 255.255.255.0
3 測試驗證
1. PC1和PC2都可以PING通自己的網關
2. PC1和PC2可以相互PING通
端口匯聚配置
1 功能需求及組網說明
端口匯聚配置
『配置環境參數』
1. 交換機SwitchA和SwitchB通過以太網口實現互連。
2. SwitchA用于互連的端口為e0/1和e0/2,SwitchB用于互連的端口為e0/1和e0/2。
『組網需求』
增加SwitchA的SwitchB的互連鏈路的帶寬,并且能夠實現鏈路備份,使用端口匯聚。
2 數據配置步驟
【SwitchA交換機配置】
1. 進入端口E0/1
[SwitchA]interface Ethernet 0/1
2. 匯聚端口必須工作在全雙工模式
[SwitchA-Ethernet0/1]duplex full
3. 匯聚的端口速率要求相同,但不能是自適應
[SwitchA-Ethernet0/1]speed 100
4. 進入端口E0/2
[SwitchA]interface Ethernet 0/2
5. 匯聚端口必須工作在全雙工模式
[SwitchA-Ethernet0/2]duplex full
6. 匯聚的端口速率要求相同,但不能是自適應
[SwitchA-Ethernet0/2]speed 100
7. 根據源和目的MAC進行端口選擇匯聚
[SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both
【SwitchA交換機配置】
[SwitchB]interface Ethernet 0/1
[SwitchB-Ethernet0/1]duplex full
[SwitchB-Ethernet0/1]speed 100
[SwitchB]interface Ethernet 0/2
[SwitchB-Ethernet0/2]duplex full
[SwitchB-Ethernet0/2]speed 100
[SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both
【補充說明】
1. 同一個匯聚組中成員端口的鏈路類型與主端口的鏈路類型保持一致,即如果主端口為Trunk端口,則成員端口也為Trunk端口;如主端口的鏈路類型改為Access端口,則成員端口的鏈路類型也變為Access端口。
2. 不同的產品對端口匯聚時的起始端口號要求各有不同,請對照《操作手冊》進行配置。
交換機端口鏡像配置
1 功能需求及組網說明
端口鏡像配置
『環境配置參數』
1. PC1接在交換機E0/1端口,IP地址1.1.1.1/24
2. PC2接在交換機E0/2端口,IP地址2.2.2.2/24
3. E0/24為交換機上行端口
4. Server接在交換機E0/8端口,該端口作為鏡像端口
『組網需求』
1. 通過交換機端口鏡像的功能使用server對兩臺pc的業務報文進行監控。
2. 按照鏡像的不同方式進行配置:
1) 基于端口的鏡像
2) 基于流的鏡像
2 數據配置步驟
『端口鏡像的數據流程』
基于端口的鏡像是把被鏡像端口的進出數據報文完全拷貝一份到鏡像端口,這樣來進行流量觀測或者故障定位。
【3026等交換機鏡像】
S2008/S2016/S2026/S2403H/S3026等交換機支持的都是基于端口的鏡像,有兩種方法:
方法一
1. 配置鏡像(觀測)端口
[SwitchA]monitor-port e0/8
2. 配置被鏡像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
方法二
1. 可以一次性定義鏡像和被鏡像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
【8016交換機端口鏡像配置】
1. 假設8016交換機鏡像端口為E1/0/15,被鏡像端口為E1/0/0,設置端口1/0/15為端口鏡像的觀測端口。
[SwitchA] port monitor ethernet 1/0/15
2. 設置端口1/0/0為被鏡像端口,對其輸入輸出數據都進行鏡像。
[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
也可以通過兩個不同的端口,對輸入和輸出的數據分別鏡像
1. 設置端口1/0/0為被鏡像端口,分別使用E1/0/15和E2/0/0對輸入和輸出數據進行鏡像。(高端才有這個功能)
[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15
[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流鏡像的數據流程』
基于流鏡像的交換機針對某些流進行鏡像,每個連接都有兩個方向的數據流,對于交換機來說這兩個數據流是要分開鏡像的。
【3500/3026E/3026F/3050】
〖基于流的鏡像〗
1. 定義一條擴展訪問控制列表
[SwitchA]acl num 100
2. 定義一條規則報文源地址為1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-100]rule 0 permit ip source 1.1.1.1 0 destination any
3. 定義一條規則報文源地址為所有源地址目的地址為1.1.1.1/32
[SwitchA-acl-adv-100]rule 1 permit ip source any destination 1.1.1.1 0
4. 將符合上述ACL規則的報文鏡像到E0/8端口
[SwitchA]mirrored-to ip-group 100 interface e0/8
〖基于二層流的鏡像〗
1. 定義一個ACL
[SwitchA]acl num 200
2. 定義一個規則從E0/1發送某些特定端口的數據包 如:e0/2
[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2
3. 定義一個規則從其它所有端口到E0/1端口的數據包
[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1
4. 將符合上述ACL的數據包鏡像到E0/8
[SwitchA]mirrored-to link-group 200 interface e0/8
ingress 流入 egress 流出
【5516/6506/6503/6506R】
目前該三款產品支持對入端口流量進行鏡像
1. 定義鏡像端口
[SwitchA]monitor-port Ethernet 3/0/2
2. 定義被鏡像端口
[SwitchA]mirroring-port Ethernet 3/0/1 inbound
【補充說明】
1. 鏡像一般都可以實現高速率端口鏡像低速率端口,例如1000M端口可以鏡像100M端口,反之則無法實現
3 測試驗證
在觀測端口上通過工具軟件可以看到被鏡像端口的相應的報文,可以進行流量觀測或者故障定位。
交換機遠程TELNET登錄
1. 進入用戶界面視圖
[SwitchA]user-interface vty 0 4
2. 設置認證方式為密碼驗證方式
[SwitchA-ui-vty0-4]authentication-mode password
3. 設置密碼
[SwitchA-ui-vty0-4]set authentication password simple| cipher Huawei
交換機SNMP配置
一般情況下只需設置團體名和訪問權限設備即可被管理,其他為可選配置
1. 設置團體名和訪問權限
[SwitchA]snmp-agent community read public
[SwitchA]snmp-agent community write private
2. 允許交換機發送Trap信息
[SwitchA]snmp-agent trap enable
3.允許向網管工作站192.168.0.2 5000端口發送Trap報文,使用的團體名為public
[SwitchA] snmp-agent target-host trap address udp-domain 192.168.0.2 udp-port 5000 params securityname public
