華為3Com8016交換機(jī)DHCP配置1功能需求及組網(wǎng)說(shuō)明StchBG2X1Su^tchAVian1Li□HCPserwerVlanl00G-1.-n.Ci8016G1Xi.-'1G1X0/ZPI朗StchBG2X1Su^tchAVian1Li□HCPserwerVlanl00G-1.-n.Ci8016G1Xi.-'1G1X0/ZPI朗30PC3Vian20PC28016DHCP配置『配置環(huán)境參數(shù)』DHCPserver的IP地址0/24DHCPserver連接在交換機(jī)G1/0/0，屬于vlan100，網(wǎng)關(guān)即vlan100虛接口地址/24交換機(jī)通過(guò)G1/0/1連接SwitchAG1/1,G1/0/2連接SwitchBG1/14.SwitchA通過(guò)G2/1連接SwitchCG1/1vlan10的用戶網(wǎng)段為/24vlan20的用戶網(wǎng)段為/24vlan30的用戶網(wǎng)段為/248.SwitchA和SwitchC為二層交換機(jī)，SwitchB為三層交換機(jī)『組網(wǎng)需求』1.8016作DHCPrelay，利用遠(yuǎn)端DHCPserver為SwitchA下面的vlan10分配IP地址2.SwitchB上的vlan20用戶以8016上的vlan20虛接口為網(wǎng)關(guān)，8016作DHCPserver直接為其分配IP地址3.SwitchC上的vlan30用戶以SwitchB上的vlan30虛接口為網(wǎng)關(guān)，8016作DHCPserver為其分配IP地址2數(shù)據(jù)配置步驟『8016DHCPrelay數(shù)據(jù)流程』DHCPRelay的作用則是為了適應(yīng)客戶端和服務(wù)器不在同一網(wǎng)段的情況，通過(guò)Relay,不同子網(wǎng)的用戶可以到同一個(gè)DHCPserver申請(qǐng)IP地址，這樣便于地址池的管理和維護(hù)。[8016DHCPrelay配置】DHCPserver要配置到一個(gè)VLAN上，這個(gè)VLAN可以是任意的，但是要實(shí)現(xiàn)Relay，不要將Server同任何客戶端配置到同一個(gè)VLAN內(nèi)，建議專門劃出VLAN給DHCPserver組使用，這里將DHCP服務(wù)器組1對(duì)應(yīng)的端口的VLAN配置為100。[Quidway]vlan100[Quidway-vlan100]portgigabitethernet1/0/0[Quidway]interfacevlanif100配置DHCPserver的網(wǎng)關(guān)地址[Quidway-Vlanif100]ipaddress配置DHCP服務(wù)器組1對(duì)應(yīng)的IP地址。[Quidway]dhcprelayserver-group1server0配置DHCP服務(wù)器組1服務(wù)的VLAN范圍為10[Quidway]dhcprelayserver-group1vlan10進(jìn)入G1/0/1，設(shè)置為trunk端口，允許vlan10通過(guò)[Quidway-gigabitethernet1/0/1]porttrunkpermitvlan10配置VLAN10的對(duì)應(yīng)網(wǎng)關(guān)地址。[Quidway]interfacevlanif10[Quidway-Vlanif10]ipaddress『8016作DHCPserver數(shù)據(jù)流程』內(nèi)置DHCPserver下掛的用戶類型有兩種:一種是S8016的VLAN用戶，用戶直接向S8016發(fā)起DHCP請(qǐng)求，這類稱為VLAN地址池用戶；另一種是中間經(jīng)過(guò)了DHCP中繼設(shè)備（例如MA5200設(shè)備），DHCP請(qǐng)求在到達(dá)S8016之前經(jīng)過(guò)了DHCPrelay，這類稱為全局地址池用戶?！?016vlan用戶】1?用戶所在VLANID為20,創(chuàng)建并進(jìn)入VLAN配置視圖。[Quidway]vlan20將VLAN20用戶地址分配方式設(shè)置為本地。[Quidway-vlan20]addressallocatelocal配置VLAN20接口IP地址，同時(shí)指定了DHCPserver可分配的地址資源為~55。[Quidway]interfacevlan20[Quidway-Vlanif20]ipaddress4.S8016下掛了一臺(tái)DNS服務(wù)器，IP地址是5，在S8016中設(shè)置DNS服務(wù)器的IP地址，同時(shí)將這個(gè)IP地址在地址池中禁止分配給用戶。[Quidway-vlan2]dhcpserverforbidden-ip5[Quidway-vlan2]dnsprimary-ip55.進(jìn)入G1/0/2，設(shè)置為trunk端口，允許vlan20通過(guò)[Quidway-gigabitethernet1/0/2]porttrunkpermitvlan20【全局地址用戶】創(chuàng)建全局地址池，并命名為“abc”，地址池用戶網(wǎng)關(guān)地址為[Quidway]dhcpserverip-poolabc配置路由IP信息[Quidway]dhcpservergatewayabc3.S8016下掛了另外一臺(tái)DNS服務(wù)器，IP地址是5，在S8016中設(shè)置DNS服務(wù)器的IP地址，同時(shí)將這個(gè)IP地址在地址池中禁止分配給用戶。[Quidway]dnsprimary-ipabc5[Quidway]dhcpserverforbidden-ipabc5配置VLAN200與SwitchB相應(yīng)的虛接口vlan200在同一個(gè)網(wǎng)段[Quidway]interfacevlanif200[Quidway-Vlanif200]ipaddress【SwitchB相關(guān)配置】創(chuàng)建（進(jìn)入）vlan30[SwitchB]vlan30將EO/1加入到vlan30[SwitchB-vlan30]portEthernet0/1實(shí)際當(dāng)中一般將上行端口設(shè)置成trunk屬性，允許vlan透?jìng)鱗SwitchB-GigabitEthernet2/1]portlink-typetrunk允許SwitchC的vlan從G2/1端口透?jìng)魍ㄟ^(guò)[SwitchB-GigabitEthernet2/1]porttrunkpermitvlan3O實(shí)際當(dāng)中一般將上行端口設(shè)置成trunk屬性，允許vlan透?jìng)鱗SwitchB-GigabitEthernet1/1]portlink-typetrunk允許所有膙lan從E0/3端口透?jìng)魍ㄟ^(guò)，也可以指定具體的vlan值[SwitchB-GigabitEthernet1/1]porttrunkpermitvlan3O創(chuàng)建（進(jìn)入）vlan30的虛接口[SwitchB]interfaceVlan-interface3O&給vlan30的虛接口配置IP地址[SwitchB-Vlan-interface30]ipaddress[SwitchB]定義一個(gè)DHCPserver[SwitchB]dhcp-server0ip[SwitchB-Vlan-interface30]dhcp-server0創(chuàng)建（進(jìn)入）vlan200的虛接口，vlan200用于SwitchB與8016互連[SwitchB]interfaceVlan-interface200給vlan200的虛接口配置IP地址[SwitchB-Vlan-interface200]ipaddress【SwitchC相關(guān)配置】創(chuàng)建（進(jìn)入）vlan30[SwitchC]vlan30將E0/1加入到vlan30[SwitchC-vlan30]portEthernet0/1實(shí)際當(dāng)中一般將上行端口設(shè)置成trunk屬性，允許vlan透?jìng)鱗SwitchC-GigabitEthernet1/1]portlink-typetrunk允許所有的vlan從E0/3端口透?jìng)魍ㄟ^(guò)，也可以指定具體的vlan值[SwitchC-GigabitEthernet1/1]porttrunkpermitvlan303測(cè)試驗(yàn)證PC1、PC2和PC3都能夠正確的獲取IP地址和網(wǎng)關(guān)PC1、PC2和PC3都能夠PING通自己的網(wǎng)關(guān)及DHCPserver華為交換機(jī)端口鏡像配置【3026等交換機(jī)鏡像】S2008/S2016/S2026/S2403H/S3026等交換機(jī)支持的都是基于端口的鏡像，有兩種方法:方法一配置鏡像（觀測(cè)）端口[SwitchA]monitor-porte0/8配置被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二可以一次性定義鏡像和被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8【8016交換機(jī)端口鏡像配置】假設(shè)8016交換機(jī)鏡像端口為E1/0/15，被鏡像端口為E1/0/0，設(shè)置端口1/0/15為端口鏡像的觀測(cè)端口。[SwitchA]portmonitorethernet1/0/15設(shè)置端口1/0/0為被鏡像端口，對(duì)其輸入輸出數(shù)據(jù)都進(jìn)行鏡像。[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15也可以通過(guò)兩個(gè)不同的端口，對(duì)輸入和輸出的數(shù)據(jù)分別鏡像設(shè)置E1/0/15和E2/0/0為鏡像(觀測(cè))端口[SwitchA]portmonitorethernet1/0/15設(shè)置端口1/0/0為被鏡像端口，分別使用E1/0/15和E2/0/0對(duì)輸入和輸出數(shù)據(jù)進(jìn)行鏡像。[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0『基于流鏡像的數(shù)據(jù)流程』基于流鏡像的交換機(jī)針對(duì)某些流進(jìn)行鏡像，每個(gè)連接都有兩個(gè)方向的數(shù)據(jù)流，對(duì)于交換機(jī)來(lái)說(shuō)這兩個(gè)數(shù)據(jù)流是要分開鏡像的?！?500/3026E/3026F/3050】〖基于三層流的鏡像〗定義一條擴(kuò)展訪問(wèn)控制列表[SwitchA]aclnum101定義一條規(guī)則報(bào)文源地址為/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany定義一條規(guī)則報(bào)文源地址為所有源地址目的地址為/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination0將符合上述ACL規(guī)則的報(bào)文鏡像到E0/8端口[SwitchA]mirrored-toip-group101interfacee0/8〖基于二層流的鏡像〗定義一個(gè)ACL[SwitchA]aclnum200定義一個(gè)規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包[SwitchA]rule0permitingressinterfaceEthernet0/1(egressinterfaceany)定義一個(gè)規(guī)則從其它所有端口到E0/1端口的數(shù)據(jù)包[SwitchA]rule1permit(ingressinterfaceany)egressinterfaceEthernet0/1將符合上述ACL的數(shù)據(jù)包鏡像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516】支持對(duì)入端口流量進(jìn)行鏡像配置端口Ethernet3/0/1為監(jiān)測(cè)端口，對(duì)Ethernet3/0/2端口的入流量鏡像。[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1【6506/6503/6506R】目前該三款產(chǎn)品只支持對(duì)入端口流量進(jìn)行鏡像，雖然有OUtbount參數(shù)，但是無(wú)法配置。鏡像組名為1,監(jiān)測(cè)端口為Ethernet4/0/2，端口Ethernet4/0/1的入流量被鏡像。[SwitchA]mirrOring-grOUp1inbOUndEthernet4/0/1mirrOred-tOEthernet4/0/2【補(bǔ)充說(shuō)明】鏡像一般都可以實(shí)現(xiàn)高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口,反之則無(wú)法實(shí)現(xiàn)8016支持跨單板端口鏡像華為路由器qoscar+nat+dhcp+vlan配置心得好久沒(méi)有寫博客了，也好久沒(méi)有泡壇了，工作壓力是大了很多，但實(shí)際上還是自己懶了很多，也比以前浮澡了很多，趁今天領(lǐng)導(dǎo)都去開會(huì)的機(jī)會(huì)，把昨天的幫客戶解決網(wǎng)絡(luò)問(wèn)題的心得寫一下，供大家參考，也希望大家提出寶貴意見(jiàn)?？蛻艟W(wǎng)絡(luò)環(huán)境：一個(gè)小型辦公網(wǎng)絡(luò)，有兩家公司（A、B）在一個(gè)寫字樓辦公，共申請(qǐng)一條4M獨(dú)享VDSL專線（其中A是繳3M的專線費(fèi)用，B是繳1M的專線費(fèi)用），共60臺(tái)電腦左右，各30臺(tái)電腦，各三臺(tái)非網(wǎng)管24口D-LINK交換機(jī)，一臺(tái)華為1821路由器（1wan口，41an口）。用戶特殊需求：（1）、A、B不能互訪。（2）、A、B都通過(guò)華為路由器DHCP獲取地址。（3）、A、B帶寬必須劃分開，A享受3M帶寬，B享受1M帶寬（原來(lái)的時(shí)候B公司網(wǎng)絡(luò)流量過(guò)大經(jīng)常影響到A公司網(wǎng)絡(luò)辦公）。簡(jiǎn)單解決方案：根據(jù)現(xiàn)有網(wǎng)絡(luò)條件，實(shí)際上僅通過(guò)華為1821路由器可以實(shí)現(xiàn)以上功能，具體實(shí)施如下：（1）、在華為路由器1821內(nèi)部網(wǎng)關(guān)口（eth1/0）劃分子接口（eth1/0.1、eth1/0.2），分別配置兩個(gè)網(wǎng)關(guān)（、），并分別進(jìn)行封裝與vlan2、vlan3相對(duì)應(yīng)。（2）、在華為路由器1821兩個(gè)lan口（eth1/1、eth1/2）劃分兩個(gè)vlan（vlan2、vlan3）。（3）、分別在兩個(gè)不同的邏輯子接口（eth1/0.1、eth1/0.2）配置nat并應(yīng)用。（4）、分別在兩個(gè)不同的邏輯子接口（eth1/0.1、eth1/0.2）配置dhcp，在同一物理接口針對(duì)兩個(gè)vlan網(wǎng)絡(luò)應(yīng)用dhcp來(lái)分配兩個(gè)不同的網(wǎng)段。（5）、由于該路由器lan口為二層端口，無(wú)法實(shí)現(xiàn)qoscar限速，只能考慮在其唯一的內(nèi)部網(wǎng)關(guān)接口（eth1/0）的子接口上實(shí)現(xiàn)qoscar限速達(dá)到帶寬限制的作用。（6）、配置wan口地址（X、X、X、X），配置staticroute地址，大功告成。（7）、配置用戶登錄（super、console、vty等）用戶名及密碼（這里僅配置密碼模式）。（8）、測(cè)試并觀察端口信息、負(fù)載信息等，隨時(shí)調(diào)整相應(yīng)策略，由于考慮到其設(shè)備處理能力及時(shí)間緊迫，并未增加太多策略（如ACL等）和功能。具體配置如下：#sysnameQuidway#clocktimezonegmt-12:000minus12:00:00#cpu-usagecycle1min#connection-limitdisableconnection-limitdefaultactiondenyconnection-limitdefaultamountupper-limit50lower-limit20#webset-packageforceflash:/http.zip#radiusschemesystem#domainsystem#local-user*******passwordcipher.]@*********service-typetelnetterminallevel3service-typeftp#aclnumber2000\\配置natAclrule0permitsource55#aclnumber3000\\配置natAclrule0permitipsource55aclnumber3001\\配置FirewallAclrule0denyipdestination55aclnumber3002\\配置FirewallAclrule0denyipdestination55#interfaceEthernet1/0ipaddressdhcp-alloc#interfaceEthernet1/0.1ipaddressdhcpselectinterface\\dhcp應(yīng)用于子接口dhcpserverdns-list015firewallpacket-filter3001inbound\\firewallACL過(guò)濾應(yīng)用于接口vlan-typedotlqvid2\\子接口封裝dotlq

qoscarinboundanycir4096000cbs204800ebs1000greenpassreddiscard\\流量限速qoscar配己置qoscaroutboundanycir4096000cbs204800ebs1000greenpassreddiscard\\流量限速qoscar配己置#interfaceEthernet1/0.2ipaddressdhcpselectinterface\\dhcp應(yīng)用于子接口dhcpserverdns-list015firewallpacket-filter3002inbound\\firewallACL過(guò)濾應(yīng)用于接口vlan-typedotlqvid3\\子接口封裝dotlqqoscarinboundanycir1024000cbs51200ebs1000greenpassreddiscard\\流量限速qoscar配置qoscaroutboundanycirl024000cbs5l200ebsl000greenpassreddiscard\\流量限速qoscar配己置#interfaceEthernetl/l\\將e1/1端口加入\\將e1/1端口加入vlan2\\將e1/1端口加入vlan2\\進(jìn)入wan口配置#interfaceEthernetl/2portaccessvlan3#interfaceEthernetl/3#interfaceEthernetl/4#interfaceEthernet2/0ipaddressX、X、X、X24natoutbound3000natoutbound2000#interfaceNULL0#FTPserverenable#iproute-staticy、y、y、ypreference60#user-interfacecon0\\用戶登錄配置authentication-modepasswordsetauthenticationpasswordcipherOHB8%-MB%「[Q1R','&6NQ!!user-interfacevty04userprivilegelevel3setauthenticationpasswordcipherOHB8%-MB%「[Q1R','&6NQ!!#return[Quidway]華為路由器和交換機(jī)配置地址轉(zhuǎn)換端口：路由器ethernet（以太口）、Serial（串口）、loopback（虛擬端口）交換機(jī)ethernet、vlan、loopback注意：交換機(jī)默認(rèn)其24個(gè)端口全在vlan1里面，交換機(jī)在給vlan配了ip之后就具有路由器的功能了。另一個(gè)需要注意的是，所用的端口是否被shutdown了，如果被shutdown了，需要進(jìn)入相應(yīng)的端口執(zhí)行undoshutdown。配置ip除了交換機(jī)的以太口不可以配置ip外，其他端口都可以，配置方法相同。[Quidway]interface*（所要配置的端口，如vlan1）[Quidway-*]ipadd*.*.*.*（ip）*.*.*.*（掩碼）/*（掩碼位數(shù)，一般只在路由器上適用）NAT上網(wǎng)（此命令是在VRP版本為3.4的路由器上測(cè)試的，在其他版本上是否適用，未經(jīng)考察）組網(wǎng)圖：R1E0/2E0/3E0/1E1:192.192.169.*/24E0:/24Ip:0/24網(wǎng)關(guān):Ip:1/24網(wǎng)關(guān):Ip:2/24網(wǎng)關(guān):Ip:3/24網(wǎng)關(guān):PCAPCBPCCE0/4TointernetPCDS1E0/5NAPT工作過(guò)程：P19用地址池的方法上網(wǎng)：首先配置路由器的接口的ip地址，然后配置地址轉(zhuǎn)換，把所有內(nèi)網(wǎng)地址轉(zhuǎn)換成所配置的地址池中的地址，參考命令如下：[Rl]aclnumber2000//在vrp為3.4的路由器上，2000-2999表示basicacl[R1-acl-basic-2000]rulepermitsource55（地址掩碼的反碼）[R1-acl-basic-2000]ruledenysourceany#這個(gè)訪問(wèn)控制列表定義了IP源地址為/24的外出數(shù)據(jù)包[R1]nataddress-group1（地址池的組號(hào)）05#這條命令定義了一個(gè)包含6個(gè)公網(wǎng)地址（10?15）的地址池，地址池代號(hào)為1[R1]interfacee1[R1-Ethernet1]natoutbound2000（acl的編號(hào)）address-group1（地址池的代號(hào)）[R1]iproute-static（千萬(wàn)不要忘記這一步，?。?上面設(shè)置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。共用一個(gè)ip上網(wǎng)首先配置路由器的接口的ip地址，參考命令如下：system[Router]sysnameR1[R1]interfacee0[R1-Ethernet0]ipadd24[R1]interfacee1[R1-Ethernet1]ipadd024//這里假設(shè)出口ip是0然后配置地址轉(zhuǎn)換，參考命令如下：[R1]aclnumber2000//在vrp為3.4的路由器上，2000-2999表示basicacl[R1-acl-basic-2000]rulepermitsource55（地址掩碼的反碼）[R1-acl-basic-2000]ruledenysourceany#這個(gè)訪問(wèn)控制列表定義了IP源地址為/24的外出數(shù)據(jù)包[R1]interfacee1[R1-Ethernet1]natserverprotocoltcpglobal0（E1的ip）inside（內(nèi)網(wǎng)網(wǎng)關(guān)E0的ip）[R1-Ethernet1]natoutbound2000（acl的編號(hào)）[R1]iproute-static#上面設(shè)置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。注：有的組網(wǎng)圖可能會(huì)復(fù)雜一些，比如交換機(jī)上劃分了vlan,需要在路由器上添加到交換機(jī)的路由四、配置路由默認(rèn)路由[Quidway]iproute-static（目的地址）（地址掩碼）*.*.*.*（下一條地址）靜態(tài)路由[Quidway]iproute-static*.*.*.*（目的地址）*.*.*.*（地址掩碼）*.*.*.*（下一條地址）rip（交換機(jī)和路由器的配置相同）[Quidway]rip[Quidway-rip]network*.*.*.*（所要啟動(dòng)rip協(xié)議的端口的網(wǎng)絡(luò)號(hào)）ospf（交換機(jī)和路由器的配置相同）[Quidway]routerid*.*.*.*[Quidway]ospf[Quidway-ospf]area*（啟動(dòng)ospf的自治區(qū)域）[Quidway-ospf-area-0.0.0.*]network*.*.*.*（所要啟動(dòng)rip協(xié)議的端口的網(wǎng)絡(luò)號(hào)）*.*.*.*（網(wǎng)絡(luò)掩碼的反碼）注：要注意交換機(jī)/路由器對(duì)應(yīng)端口所在的自治區(qū)域。幀在網(wǎng)絡(luò)通信中的變化端口鏡像：將某些指定端口（出或入方向）的數(shù)據(jù)流量映射到監(jiān)控端口，以便集中使用數(shù)據(jù)捕獲軟件進(jìn)行數(shù)據(jù)分析[S1]intere0/13[Sl-EthernetO/13]portlink-typeTrunk[S1-Ethernet0/13]porttrunkpermitVLAN23這樣EO/13既屬于VLAN2又屬于VLAN3,“Tagged”表示從該端口通過(guò)的保溫都要打上IEEE802.1q標(biāo)記，用于標(biāo)記該報(bào)文所屬的VLAN。區(qū)域內(nèi),每臺(tái)路由器描述的是自己能夠確保正確的信息--自己周邊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)--無(wú)論路由器位于網(wǎng)絡(luò)中什么位置，都可以準(zhǔn)確無(wú)誤得接收到全網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖；OSPF根據(jù)收集到的鏈路狀態(tài)用最短路徑樹算法計(jì)算路由，從算法上本身保證了不會(huì)生成自環(huán)路由；當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)，會(huì)有一臺(tái)或多臺(tái)路由器感知到這一變化，重新描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并將其通知給其它路由器，每個(gè)路由器收到更新信息后，都會(huì)立即重新運(yùn)行最短路徑樹算法，得到新的路由。區(qū)域間，通過(guò)ABR將一個(gè)區(qū)域內(nèi)已計(jì)算出的路由封裝成Type3類的LSA發(fā)送到另一個(gè)區(qū)域中來(lái)傳遞路由信息。此時(shí)的OSPF是基于D-V算法的。為消除自環(huán)，所有ABR將本區(qū)域內(nèi)的路由信息封裝成LSA后統(tǒng)一發(fā)送給骨干區(qū)域，再由骨干區(qū)域?qū)⑦@些信息發(fā)送給其他區(qū)域，骨干區(qū)域內(nèi)每一條LSA都確切知道生成者信息（所有區(qū)域必須和骨干區(qū)域相連，骨干區(qū)域自身也必須是連通的）。所以就不會(huì)產(chǎn)生路由自環(huán)。服務(wù)器00我要用的ip：13；網(wǎng)關(guān)：附：displayiproutingiproute-static*.*.*.*（目標(biāo)ip）*.*.*.*（掩碼）*.*.*.*（下一條ip）iproute*.*.*.*（目標(biāo)ip）*.*.*.*（掩碼）*.*.*.*（下一條ip）undoiproute-static*.*.*.*（目標(biāo)ip）*.*.*.*（掩碼）*.*.*.*（下一條ip）import-routestatic將靜態(tài)路由引入ospfdisplayospflsa假如S1上的vlan3與R1的eO/O相連，要設(shè)定其Metric值為100[S1]intervlan3[S1-Vlan-interface3]ospfcost100[R1]intere0/0[R1-Ethernet0]ospfcost100[R1]tracert*.*.*.*（目標(biāo)ip）TOC\o"1-5"\h\zip1ip2ip3說(shuō)明R1到達(dá)目標(biāo)先到ip1再到ip2再到ip3（目標(biāo)），由此可得出最短路徑樹查看交換機(jī)的MAC地址：displayarp華為路由器交換機(jī)VLAN配置實(shí)例使用4臺(tái)PC（pc多和少，原理是一樣的，所以這里我只用了4臺(tái)pc）,華為路由器（R2621）、交換機(jī)（S3026e）各一臺(tái)，組建一VLAN，實(shí)現(xiàn)虛擬網(wǎng)和物理網(wǎng)之間的連接。實(shí)現(xiàn)防火墻策略，和訪問(wèn)控制（ACL）。方案說(shuō)明：四臺(tái)PC的IP地址、掩碼如下列表：P1網(wǎng)關(guān)IP為P2網(wǎng)關(guān)IP為P3網(wǎng)關(guān)IP為P4網(wǎng)關(guān)IP為路由器上Ethernet0的IP為Ethernet1的IP為firewall設(shè)置默認(rèn)為deny實(shí)施命令列表：交換機(jī)上設(shè)置，劃分VLAN：sys//切換到系統(tǒng)視圖[Quidway]vlanenable[Quidway]vlan2[Quidway-vlan2]porte0/1toe0/8[Quidway-vlan2]quit//默認(rèn)所有端口都屬于VLAN1,指定交換機(jī)的eO/1到eO/8八個(gè)端口屬于VLAN2[Quidway]vlan3[Quidway-vlan3]porte0/9toe0/16[Quidway-vlan3]quit//指定交換機(jī)的eO/9到eO/16八個(gè)端口屬于VLAN3[Quidway]disvlanall[Quidway]discu路由器上設(shè)置，實(shí)現(xiàn)訪問(wèn)控制：[Router]interfaceethernet0[Router-Ethernet0]ipaddress[Router-Ethernet0]quit//扌旨定ethernet0的ip[Router]interfaceethernet1[Router-Ethernet1]ipaddress[Router-Ethernet1]quit//開啟firewall,并將默認(rèn)設(shè)置為deny[Router]fireenable[Router]firedefaultdeny//允許訪問(wèn)//firewall策略可根據(jù)需要再進(jìn)行添加[Router]acl101[Router-acl-101]rulepermitipsourcedestination[Router-acl-101]quit//啟用101規(guī)則[Router-Ethernet0]firepa101[Router-Ethernet0]quit[Router-Ethernet1]firepa101[Router-Ethernet1]quit華為三層以太網(wǎng)交換機(jī)基本原理及轉(zhuǎn)發(fā)流程1.二層轉(zhuǎn)發(fā)流程MAC地址介紹MAC地址是48bit二進(jìn)制的地址，如：00-e0-fc-00-00-06?？梢苑譃閱尾サ刂贰⒍嗖サ刂泛蛷V播地址。單播地址：第一字節(jié)最低位為0,如：00-e0-fc-00-00-06多播地址：第一字節(jié)最低位為1,如：01-e0-fc-00-00-06廣播地址：48位全1,如：ff-ff-ff-ff-ff-ff1）普通設(shè)備網(wǎng)卡或者路由器設(shè)備路由接口的MAC地址一定是單播的MAC地址才能保證其與其它設(shè)備的互通。2）MAC地址是一個(gè)以太網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)上運(yùn)行的基礎(chǔ)，也是鏈路層功能實(shí)現(xiàn)的立足點(diǎn)。二層轉(zhuǎn)發(fā)介紹交換機(jī)二層的轉(zhuǎn)發(fā)特性，符合802.1D網(wǎng)橋協(xié)議標(biāo)準(zhǔn)。交換機(jī)的二層轉(zhuǎn)發(fā)涉及到兩個(gè)關(guān)鍵的線程：地址學(xué)習(xí)線程和報(bào)文轉(zhuǎn)發(fā)線程。學(xué)習(xí)線程如下：華為認(rèn)證技術(shù)文章21）交換機(jī)接收網(wǎng)段上的所有數(shù)據(jù)幀，利用接收數(shù)據(jù)幀中的源MAC地址來(lái)建立MAC地址表；2）端口移動(dòng)機(jī)制：交換機(jī)如果發(fā)現(xiàn)一個(gè)包文的入端口和報(bào)文中源MAC地址的所在端口不同，就產(chǎn)生端口移動(dòng)，將MAC地址重新學(xué)習(xí)到新的端口；3）地址老化機(jī)制：如果交換機(jī)在很長(zhǎng)一段時(shí)間之內(nèi)沒(méi)有收到某臺(tái)主機(jī)發(fā)出的報(bào)文，在該主機(jī)對(duì)應(yīng)的MAC地址就會(huì)被刪除，等下次報(bào)文來(lái)的時(shí)候會(huì)重新學(xué)習(xí)。注意：老化也是根據(jù)源MAC地址進(jìn)行老化。報(bào)文轉(zhuǎn)發(fā)線程:1）交換機(jī)在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到，就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向所有的端口發(fā)送；2）如果交換機(jī)收到的報(bào)文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報(bào)文；3）交換機(jī)向入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報(bào)文。VLAN二層轉(zhuǎn)發(fā)介紹報(bào)文轉(zhuǎn)發(fā)線程:引入了VLAN以后對(duì)二層交換機(jī)的報(bào)文轉(zhuǎn)發(fā)線程產(chǎn)生了如下的影響：1）交換機(jī)在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到（同時(shí)還要確保報(bào)文的入VLAN和出VLAN是一致的），就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向（VLAN內(nèi)）所有的端口發(fā)送；2）如果交換機(jī)收到的報(bào)文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報(bào)文；3）交換機(jī)向（VLAN內(nèi)）入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報(bào)文。以太網(wǎng)交換機(jī)上通過(guò)引入VLAN，帶來(lái)了如下的好處：1）限制了局部的網(wǎng)絡(luò)流量，在一定程度上可以提高整個(gè)網(wǎng)絡(luò)的處理能力。2）虛擬的工作組，通過(guò)靈活的VLAN設(shè)置，把不同的用戶劃分到工作華為認(rèn)證技術(shù)文章3組內(nèi)；3）安全性，一個(gè)VLAN內(nèi)的用戶和其它VLAN內(nèi)的用戶不能互訪，提高了安全性。另外，還有常見(jiàn)的兩個(gè)概念VLAN的終結(jié)和透?jìng)鳎瑥淖置嬉馑忌暇涂梢院芎玫牧私膺@兩個(gè)概念。所謂VLAN的透?jìng)骶褪悄硞€(gè)VLAN不僅在一臺(tái)交換機(jī)上有效，它還要通過(guò)某種方法延伸到別的以太網(wǎng)交換機(jī)上，在別的設(shè)備上照樣有效；終結(jié)的意思及相對(duì)，某個(gè)VLAN的有效域不能再延伸到別的設(shè)備，或者不能通過(guò)某條鏈路延伸到別的設(shè)備。VLAN透?jìng)骺梢允褂?02.1Q技術(shù)，VLAN終結(jié)可以使用PVLAN技術(shù)。IEEE802.1Q協(xié)議是VLAN的技術(shù)標(biāo)準(zhǔn),主要是修改了標(biāo)準(zhǔn)的幀頭，添加了一個(gè)tag字段，其中包含了VLANID等VLAN信息，具體實(shí)現(xiàn)這里不談，如果有興趣可以看相關(guān)的標(biāo)準(zhǔn)和資料。注意:在Trunk端口轉(zhuǎn)發(fā)報(bào)文的時(shí)候，如果報(bào)文的VLANTag等于端口上配置的默認(rèn)VLANID，則該報(bào)文的Tag應(yīng)該去掉，對(duì)端收到這個(gè)不帶Tag信息的報(bào)文后，從端口的PVID獲得報(bào)文的所屬VLAN信息，因此配置的時(shí)候必須保證連接兩臺(tái)交換機(jī)之間的一條Trunk鏈路兩端的PVID設(shè)置相同。為什么要去Tag呢？這樣做是為了保證一般的用戶插到Trunk上以后，仍舊可以正常通信，因?yàn)槠胀ㄓ脩魺o(wú)法識(shí)別帶有802.1QVlan信息的報(bào)文。使用802.1Q技術(shù)可以很好的實(shí)現(xiàn)VLAN的透?jìng)?，可是有的時(shí)候需要把VLAN終結(jié)掉，也就是說(shuō)這個(gè)VLAN邊界在哪里終止,PVLAN技術(shù)可以很好的實(shí)現(xiàn)這個(gè)功能，同時(shí)達(dá)到節(jié)省VLAN的目的。cisco的PVLAN意思是privatevlan，而我們的PVLAN意思是primaryvlan。這里的VLAN有兩類：Primaryvlan和secondaryvlan（子VLAN）。實(shí)現(xiàn)了接入用戶二層報(bào)文的隔離，同時(shí)上層交換機(jī)下發(fā)的報(bào)文可以被每一個(gè)用戶接收到，簡(jiǎn)化了配置，節(jié)省了VLAN資源。具體實(shí)現(xiàn)這里不談，如果有興趣可以相關(guān)資料。華為認(rèn)證技術(shù)文章4下面談?wù)勅龑咏粨Q流程。用VLAN分段，隔離了VLAN間的通信，用支持VLAN的路由器（三層設(shè)備）可以建立VLAN間通信。但使用路由器來(lái)互聯(lián)企業(yè)園區(qū)網(wǎng)中不同的VLAN顯然不合時(shí)代的潮流。因?yàn)槲覀兛梢允褂萌龑咏粨Q來(lái)實(shí)現(xiàn)。差別1（性能）：傳統(tǒng)的路由器基于微處理器轉(zhuǎn)發(fā)報(bào)文，靠軟件處理，而三層交換機(jī)通過(guò)ASIC硬件來(lái)進(jìn)行報(bào)文轉(zhuǎn)發(fā)，性能差別很大；差別2（接口類型）:三層交換機(jī)的接口基本都是以太網(wǎng)接口，沒(méi)有路由器接口類型豐富；差別3:三層交換機(jī)，還可以工作在二層模式，對(duì)某些不需路由的包文直接交換，而路由器不具有二層的功能。首先讓我們看一下設(shè)備互通的過(guò)程:如圖所示：交換機(jī)上劃分了兩個(gè)VLAN，在VLAN1，VLAN2上配置了路由接口用來(lái)實(shí)現(xiàn)vlan1和vlan2之間的互通。A和B之間的互通（以A向B發(fā)起ping請(qǐng)求為例）：1）A檢查報(bào)文的目的IP地址，發(fā)現(xiàn)和自己在同一個(gè)網(wǎng)段；2）A——>BARP請(qǐng)求報(bào)文，該報(bào)文在VLAN1內(nèi)廣播；3）B——>AARP回應(yīng)報(bào)文；4）A>Bicmprequest;5）B>Aicmpreply;A和C之間的互通（以A向C發(fā)起ping請(qǐng)求為例）：1）A檢查報(bào)文的目的IP地址，發(fā)現(xiàn)和自己不在同一個(gè)網(wǎng)段；2）A〉switch（intvlan1）ARP請(qǐng)求報(bào)文，該報(bào)文在VLAN1內(nèi)廣播；華為認(rèn)證技術(shù)文章53）網(wǎng)關(guān)——>AARP回應(yīng)報(bào)文；4）A>switchicmprequest（目的MAC是intvlan1的MAC,源MAC是A的MAC，目的IP是C,源IP是A）；5）switch收到報(bào)文后判斷出是三層的報(bào)文。檢查報(bào)文的目的IP地址，發(fā)現(xiàn)是在自己的直連網(wǎng)段；switch(intvlan2)——>CARP請(qǐng)求報(bào)文，該報(bào)文在VLAN2內(nèi)廣播；C>switch(intvlan2)ARP回應(yīng)報(bào)文；switch(intvlan2)>Cicmprequest(目的MAC是C的MAC,源MAC是intvlan2的MAC,目的IP是C，源IP是A)同步驟4)相比報(bào)文的MAC頭進(jìn)行了重新的封裝，而IP層以上的字段基本上不變；C>Aicmpreply，這以后的處理同前面icmprequest的過(guò)程基本相同。以上的各步處理中，如果ARP表中已經(jīng)有了相應(yīng)的表項(xiàng)，則不會(huì)給對(duì)方發(fā)ARP請(qǐng)求報(bào)文。怎么樣來(lái)區(qū)分二和三層的數(shù)據(jù)流？3526產(chǎn)品是三層以太網(wǎng)交換機(jī)，在其處理流程中既包括了二層的處理功能，又包括了三層的處理功能。區(qū)別二三層轉(zhuǎn)發(fā)的基本模型：vlan1vlan2ACB如圖所示：三層交換機(jī)劃分了2個(gè)VLAN，A和B之間的通信是在一個(gè)VLAN內(nèi)6完成，對(duì)與交換機(jī)而言是二層數(shù)據(jù)流，A和C之間的通信需要跨越VLAN，是三層的數(shù)據(jù)流。上面提到的是宏觀的方法，具體到微觀的角度，一個(gè)報(bào)文從端口進(jìn)入后，Swtich設(shè)備是怎么來(lái)區(qū)分二層包文，還是三層報(bào)文的呢？從A到B的報(bào)文由于在同一個(gè)VLAN內(nèi)部，報(bào)文的目的MAC地址將是主機(jī)B的MAC地址，而從A到C的報(bào)文，要跨越VLAN，報(bào)文的目的MAC地址是設(shè)備虛接口VLAN1上的MAC地址。因此交換機(jī)區(qū)分二三層報(bào)文的標(biāo)準(zhǔn)就是看報(bào)文的目的MAC地址是否等于交換機(jī)虛接口上的MAC地址。以華為S3526交換機(jī)為例，三層交換機(jī)整個(gè)處理流程中分成了三個(gè)大的部分：1)平臺(tái)軟件協(xié)議棧部分這部分中關(guān)鍵功能有：運(yùn)行路由協(xié)議，維護(hù)路由信息表；IP協(xié)議棧功能，在整個(gè)系統(tǒng)的處理流程中，這部分擔(dān)負(fù)著重要的功能，當(dāng)硬件不能完成報(bào)文轉(zhuǎn)發(fā)的時(shí)候，這部分可以代替硬件來(lái)完成報(bào)文的三層轉(zhuǎn)發(fā)。另外對(duì)交換機(jī)進(jìn)行telnet,ping,ftp,snmp的數(shù)據(jù)流都是在這部分來(lái)處理。舉例：showiproute：RoutingTables:Destination/MaskProtoPreMetricNexthopInterface/0Static600VLAN-Interface/21Direct00VLAN-Interface/32Direct00InLoopBack0/30Direct000VLAN-Interface0/32Direct00InLoopBack0/8Direct00InLoopBack0/32Direct00InLoopBack0華為認(rèn)證技術(shù)文章7維護(hù)ARP表sh