admin管理员组文章数量:1532656
2024年6月6日发(作者:)
H3C交换机基本配置
核心交换机——作为公司核心网络的主要中枢,合理的配置
1. 认证方式为Scheme时的Telnet登录配置
dis cu 查看当前配置
[h3c]telnet server enable //启动Telnet服务
[h3c]local-user winda //创建本地用户winda
[h3c-luser-winda]password cipher 123456 //为本地用户winda创建密文显示的密码
[h3c-luser-winda]service-type telnet //定义该用户的服务类型为telnet
[h3c-luser-winda]authorization-attribute level 3 //定义该用户的特权级别
[h3c-luser-winda]quit //退出用户配置模式
[h3c]user-interface vty 0 4 //设置虚拟用户端口
[h3c-ui-vty0-4]authentication-mode scheme //设定远程登录用户的登录方式使用用户
名和密码
[h3c-ui-vty0-4]user privilege level 3 //设置远程登录用户登录后的最高级别
2. 以太网端口的基本配置
(1)二层以太网端口中,包括三种类型:Access、Trunk、Hybrid
Interface Ethernet 1/0/1 //进入以太网端口视图
port link-type access //access端口:只能属于一个VLAN
port link-type trunk //trunk端口:属于多个VLAN,只允许默认VLAN的报
文发送时不携带VLAN标签
port link-type hybrid //hybrid端口:属于多个VLAN,可以允许多个VLAN的
报文发送时不携带VLAN标签
description text //设置以太网端口的描述字符串,用来表示该端口
duplex {auto |full |half } //设置以太网端口的双工模式
speed{10 |100 |1000 |10000 | auto} //设置以太网端口的速率
(2)以太网端口环回监测功能配置
loopback-detection enable //开启环回监测功能
(3)端口组配置(手工端口组)
S3610、S5120、S5800系列:
port-group manual port-group-name //创建手工端口组,并进入手工端口组视图
S5510-EI系列:
port-group group-id
S3610、S5120、S5800系列:
group-member interface-list //添加二层以太网端口到指定手工端口组中
S5510-EI系列:
port interface-list
(4)手工端口汇聚组配置
link-aggregation group agg-id mode manual //创建手工汇聚组
link-aggregation group agg-id description agg-name //配置汇聚组描述符
port link-aggregation group agg-id //将以太网端口加入到指定的汇聚组
(5)端口绑定配置
am user-bind {mac-addr mac-address |ip-addr ip-address}* interface-list
//将合法用户的MAC地址和IP地址绑定到指定的端口上
(6)三层接口IP地址配置
interface vlan-interface vlan-id
ip address ip-address {mask |mask-length} [sub]
3. VLAN的基本配置
(1) VLAN的创建
vlan vlan-id //创建VLAN
(2) 基于端口VLAN配置
Access端口:
port link-type access //(可选)默认情况下,端口的链路类型为access类型
port access vlan vlan-id //将当前access端口加入到指定vlan
Trunk端口:
port link-type trunk //配置端口的链路类型为trunk类型
port trunk permit vlan {vlan-id-list | all} //将以上trunk端口加入到指定一个或多个VLAN
port trunk pvid vlan vlan-id //(可选)设置以上trunk端口的默认VLAN
Hybrid端口:
port link-type hybrid //配置端口的链路类型为hybrid类型
port hybrid vlan vlan-id-list {tagged |untagged} //将以上hybrid端口加入到指定的一个
或多个VLAN中
port hybrid pvid vlan vlan-id //(可选)设置以上hybrid端口的默认VLAN
4. 端口镜像配置
(1) 本地端口镜像配置
mirroring-group group-id local //未镜像组配置源端口,创建本地镜像组
mirroring-group group-id mirroring-port mirroring-port-list {both |inbound |outbound}
//在系统视图下配置指定端口为本地镜像组的源端口
interface interface-type interface-number
mirroring-group group-id mirroring-port {both |inbound |outbound}
//在接口视图下配置指定端口为本地镜像组的源端口
mirroring-group group-id mirroring-vlan mirroring-vlan-list {both | inbound |outbound}
//为本地镜像组配置源vlan,一个镜像组内可以配置多个源vlan
mirroring-group group-id monitor-port monitor-port-id
//在系统视图下配置指定端口为本地镜像组的目的端口
interface interface-type interface-number
mirroring-group group-id monitor-port
//在接口视图下配置指定端口为本地镜像组的目的端口
(2) 二层远程端口镜像配置
a.反射端口方式
b.出端口方式
1) 低端H3C交换机远程端口镜像的配置,如S3100、S5510、S5600:
充当源交换机时的配置
remote-probe vlan enable //将当前VLAN配置为远程镜像VLAN
mirroring stp-collaboration //(可选)开启端口镜像与STP联动功能,开启
该功能后,设备将通过监测端口的STP状态来自动控制该端口上的镜像功能是否生效。
mirroring-group group-id remote-source //创建远程源镜像组
mirroring-group group-id mirroring-port mirroring-port-list {both |inbound |outbound}
//配置远程端口镜像源端口
mirroring-group group-id reflector-port reflector-port //为远程镜像组配置反射端口
mirroring-group group-id remote-probe vlan remote-probe-vlan-id
//为指定远程源镜像组配置远程镜像VLAN
充当中间交换机时的配置
remote-probe vlan enable //定义当前VLAN配置为远程镜像VLAN
充当目的交换机的配置
remote-probe vlan enable //定义当前VLAN配置为远程镜像VLAN
mirroring-group group-id remote-destination //配置远程目的镜像组
mirroring-group group-id monitor-port monitor-port //为远程目的镜像组配置目的端口
mirroring-group group-id remote-probe vlan remote-probe-vlan-id
//为远程镜像组配置远程镜像VLAN
2) 中高端H3C交换机二层远程端口镜像的配置
➢ 远程源镜像组配置:
mirroring-group group-id remote-source //创建远程源镜像组
mirroring-group group-id mirroring-port mirroring-port-list {both |inbound |outbound}
//系统视图下配置指定端口为远程源镜像组源端口
interface interface-type interface-number
mirroring-group group-id mirroring-port {both |inbound |outbound}
//接口视图下配置指定端口为远程源镜像组源端口
mirroring-group group-id mirroring-vlan mirroring-vlan-list {both | inbound | outbound}
//为远程源镜像组配置源VLAN
mirroring-group group-id monitor-egress monitor-egress-port-id
//系统视图下配置指定端口为远程源镜像组的出端口
interface interface-type interface-number
mirroring-group group-id monitor-egress
//接口视图下配置指定端口为远程源镜像组的出端口
mirroring-group group-id reflector-port reflector-port
//系统视图下配置指定端口为远程源镜像组的反射端口
interface interface-type interface-number
mirroring-group group-id reflector-port
//接口视图下配置指定端口为远程源镜像组的反射端口
mirroring-group group-id remote-probe vlan remote-probe-vlan-id
//为远程源镜像组配置远程镜像VLAN
➢ 远程目的镜像组配置
mirroring-group group-id remote-destination //配置远程目的镜像组
mirroring-group group-id monitor-port monitor-port-id
//系统视图下配置指定端口为远程目的镜像组的目的端口
interface interface-type interface-number
mirroring-group group-id monitor-port
//接口视图下配置指定端口为远程目的镜像组的目的端口
mirroring-group group-id remote-probe vlan remote-probe-vlan-id
//为远程目的镜像组配置远程镜像VLAN
(3) 三层远程端口镜像配置
1) GRE隧道的配置
interface tunnel interface-number //创建一个Tunnel接口,并进入该视图
ip address ip-address {mask | mask-length} //设置Tunnel接口的IPV4地址
tunnel-protocol gre //配置隧道模式为GRE隧道模式
source {ip-address | interface-type interface-number} //设置Tunnel接口的源端地址或接口
destination ip-address //设置Tunnel接口的目的端地址
2) 三层远程端口镜像配置
mirroring-group group-id local //创建本地镜像组
mirroring-group group-id mirroring-port mirroring-port-list {both |inbound |outbound}
//系统视图下为本地镜像组配置源端口
interface interface-type interface-number
mirroring-group group-id mirroring-port {both |inbound |outbound}
//接口视图下为本地镜像组配置源端口
mirroring-group group-id mirroring-cpu slot slot-number-list {both | inbound |outbound}
//(仅S58系列支持)在系统视图下为本地镜像组配置源CPU
mirroring-group group-id monitor-port monitor-port-id
//系统视图下为本地镜像组配置目的端口
interface interface-type interface-number
mirroring-group group-id monitor-port
//接口视图下为本地镜像组配置目的端口
5. DHCP基本配置举例
常见的DHCP组网方式可分为两类:一种是DHCP服务器和客户端都在一个子网内, 直接
进行DHCP 协议的交互;第二种是DHCP 服务器和客户端分别处于不同的子网 中,必须通
过DHCP 中继代理实现IP 地址的分配。
(1)DHCP地址池的配置
示例一:DHCP 服务器为同一网段中的客户端动态分配IP 地址,地址池网段10.1.1.0/24 分 为
两个网段:10.1.1.0/25 和10.1.1.128/25。DHCP 服务器两个Ethernet 接口地址 分别为
10.1.1.1/25 和10.1.1.129/25。 网段10.1.1.0/25 内的地址租用期限为10 天12 小时,域名为
,DNS 地 址为10.1.1.2,无NetBIOS 地址,出口路由器地址为10.1.1.126;网段
10.1.1.128/25 网段内的地址租用期限为5 天,DNS 地址为10.1.1.2,NetBIOS 地址为
10.1.1.4, 出口路由器的地址为10.1.1.254。
# 启动DHCP 服务
dhcp enable
# 配置接口工作在DHCP 服务器模式下,并从全局地址池中分配IP 地址。
dhcp select global interface ethernet 0/0/0 to ethernet 0/0/1
# 配置不参与自动分配的IP 地址(DNS、NetBIOS 和出口网关地址)。
dhcp server forbidden-ip 10.1.1.2
dhcp server forbidden-ip 10.1.1.4
dhcp server forbidden-ip 10.1.1.126
dhcp server forbidden-ip 10.1.1.254
# 配置DHCP 地址池0 的共有属性(地址池范围、DNS 地址)。
dhcp server ip-pool 0
network 10.1.1.0 mask 255.255.255.0
dns-list 10.1.1.2
# 配置DHCP 地址池1 的属性(地址池范围、出口网关、地址租用期限)。
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.128
domain-name
gateway-list 10.1.1.126
expired day 10 hour 12
# 配置DHCP 地址池2 的属性(地址池范围、出口网关、NetBIOS 地址、地址租用 期限)。
dhcp server ip-pool 2
network 10.10.1.128 mask 255.255.255.128
expired day 5
nbns-list 10.1.1.4
gateway-list 10.1.1.254
(2)DHCP中继配置
dhcp enable
dhcp relay server-group group-id ip ip-address
interface Vlan-interface vlan-id
ip address ip-address {mask |mask-length} [sub]
dhcp select relay
dhcp relay server-select group-id
6. SNMP配置
snmp-agent sys-info contact
//设置管理员的标识及联系方法,请把替换为你要设置成的值,下同。这个值初始是HuaWei
BeiJing China,用指令display current-configuration可以在当前执行的配置的靠末尾看到该
项。
snmp-agent sys-info location
//设置交换机的位置信息,这项初始没有设置。
snmp-agent community read public
//设置一个华为交换机snmp Community,使用该Community连接交换机时,只可以读取其
华为交换机snmp信息。你可以把指令中的public换成你想要的字符串。
snmp-agent community write private
//设置一个华为交换机snmp Community,使用该Community连接交换机时,不仅可以读取
其华为交换机snmp信息,还可以将值写入华为交换机snmp的MIB对象,实现对设备进行
配置。你可以把指令中的private换成你想要的字符串。
snmp-agent sys-info version all
//设置交换机支持的华为交换机snmp协议,有v1,v2c,v3这3个版本,如果你不确定,最好
设为all,将会同时支持这3个协议。在S3050C-0025上初始是只支持v3版本的,如果你没
有正确设定它,mibbrower等一些读取软件可能会无法读取信息。
7. ACL配置
基本ACL:编号范围:2000~2999
高级ACL:编号范围:3000~3999
二层ACL:编号范围:4000~4999
(1)基本ACL配置
acl number acl-number [name acl-name][match-order {auto | config }]
//创建基本ACL并进入基本ACL视图
description text //(可选)定义ACL的描述信息
step step-value //(可选)定义ACL规则编号步长
rule [rule-id]{deny | permit }[counting |fragment |logging |source {sour-addr sour-wildcard | any}
| time-range time-range-name |vpn-instance vpn-instance-name]*
//为以上IPV4基本ACL创建一条规则
rule rule-id comment text //(可选)为指定的规则配置描述信息
hardware-count enable //(可选)开启基于硬件应用的ACL统计功能
(2)高级ACL配置
acl number acl-number [name acl-name][match-order {auto | config }]
//创建IPV4高级ACL并进入高级ACL视图
description text //(可选)定义ACL的描述信息
step step-value //(可选)定义ACL规则编号步长
rule [rule-id]{deny | permit }protocol [{{ ack ack-value |fin fin-value |psh psh-value |rst
rst-value |syn syn-value |urg urg-value }* |established } |counting |destination {dest-addr
dest-wildcard |any} |destination-port operator port1[port2] | dscp dscp |fragment |icmp-type
{icmp-type icmp-code |icmp-message} | logging | precedence precedence |reflective |source
{sour-addr sour-wildcard | any} |source-port |operator port1[port2] |time-range
time-range-name |tos tos |vpn-instance vpn-instance-name]*
//为以上IPV4高级ACL创建一条规则
rule rule-id comment text //(可选)为指定的规则配置描述信息
hardware-count enable //(可选)开启基于硬件应用的ACL统计功能
(3)二层ACL配置
acl number acl-number [name acl-name][match-order {auto | config }]
//创建二层ACL并进入二层ACL视图
description text //(可选)定义ACL的描述信息
step step-value //(可选)定义ACL规则编号步长
rule [rule-id]{deny | permit } [cos vlan-pri |counting |dest-mac dest-addr dest-mask |{lsap
lsap-type lsap-type-mask |type protocol-type protocol-type-mask } |source-mac sour-addr
source-mask |time-range time-range-name ]*
//定义二层ACL规则
rule rule-id comment text //(可选)为指定的规则配置描述信息
hardware-count enable //(可选)开启基于硬件应用的ACL统计功能
(4)ACL应用配置
acl copy {source-acl-number |name source-acl-name} to {dest-acl-number |name dest-acl-name}
//ACL复制
packet-filter vlan vlan-id inbound acl-rule
//(可选)在指定VLAN中应用ACL,对VLAN中的所有端口上接收到的数据包进行过滤
8. QoS配置
(1)定义流分类和匹配规则;
(2)定义流行为;
(3)定义QoS策略,并将流分类和流行为绑定在一起;
(4)应用QoS策略。
定义流分类
traffic classifier tcl-name [operator {and |or }] //定义一个流分类,并进入类视图
if-match match-criteria //定义对应流分类的匹配规则
定义流行为
traffic behavior behavior-name //定义流行为,并进入流行为视图
定义QoS策略
qos policy policy-name //定义策略并进入视图
classifier tcl-name behavior behavior-name [mode {dcbx |dot1q-tag-manipulation}]
//在策略中为类指定采用的流行为
应用QoS策略
1) 基于全局应用QoS策略
qos apply policy policy-name global {inbound |outbound}
2) 基于端口应用QoS策略
qos apply policy policy-name {inbound |outbound}
3) 基于在线用户应用QoS策略
user-profile profile-name //创建User Profile并进入相应的user-profile视图
qos apply policy policy-name {inbound |outbound}
//在对应的在线用户上应用指定关联的QoS策略
user-profile profile-name enable //激活User profile
4) 基于VLAN应用QoS策略
qos vlan-policy policy-name vlan vlan-id-list {inbound |outbound}
5) 基于控制平面应用QoS策略
control-plane slot slot-number //进入控制平面视图
qos apply policy policy-name inbound //在控制平面入方向上应用指定的QoS策略
9. IRF配置
(1)Fabric端口配置
fabric-port interface-type interface-number enable //在系统视图下开启Fabric端口
interface interface-type interface-number
port link-type irf-fabric //在对应以太网端口视图下将对应以太网端口配置为Fabric端口
(2)UnitID配置
change self-unit to {unit-id | auto-numbering} //系统视图下配置本地交换机的UnitID
1) 更改当前交换机的UnitID
change unit-id to unit-id | auto-numbering
2) 修改堆叠中其他交换机的UnitID
change unit-id unit-id1 to {unit-id2 | auto-numbering}
3) 保存或取消设置更改
fabric save-unit-id
10. IRF2配置
(1)IRF基本配置
irf domain domain-id //IRF域编号配置
irf member member-id renumber new-member-id //IRF2成员编号配置
(2)IRF2端口配置
irf-port member-id/port-number //创建IRF2逻辑端口,进入IRF2逻辑端口视图
port group interface interface-type interface-number [mode {enhanced |normal }]
//将IRF2逻辑端口和IRF2物理端口绑定
irf-port-configuration active //激活设备中所有IRF2逻辑端口下的配置
(3)IRF2成员优先级配置
irf member member-id priority priority
(4)IRF2成员设备描述信息配置
irf member member-id description text
(5)IRF2链路负载分担类型配置
irf-port load-sharing mode {destination-ip |destination-mac |source-ip |source-mac}*
(6)IRF2的桥MAC保留时间配置
irf mac-address persistent {timer |always}
(7)启用IRF2系统启动文件的自动加载功能
irf auto-update enable
(8)IRF2链路down延迟上报功能配置
irf link-delay interval
(9)IRF2 MAD配置
IRF2支持多IRF2的三种MAD检测方式:LACP MAD检测、BFD MAD检测、ARP MAD
检测。
① LACP MAD检测配置
interface bridge-aggregation interface-number
//创建二层聚合接口和二层聚合组,并进入二层聚合端口视图
link-aggregation mode dynamic
//配置以上聚合组工作在动态聚合模式下
mad enable //在以上静态聚合组中启用LACP MAD检测功能
interface interface-type interface-number
port link-aggregation group number //将以上二层以太网端口加入到指定的聚合组
② BFD MAD检测
interface vlan-interface interface-number
mad bfd enable //在以上VLAN接口上启用BFD MAD检测功能
mad ip address ip-address {mask |mask-length} member member-id
//为指定成员设备的以上VLAN接口配置MAD IP地址
③ ARP MAD检测
interface vlan-interface interface-number
ip address ip-address {mask |mask-length}
mad arp enable //在以上VLAN接口上启用ARP MAD检测功能
11. ARP配置
arp static ip-address mac-address [vlan-id interface-type interface-number]
//手工添加静态ARP表项,相当于IP与MAC地址的静态绑定
arp timer aging aging-time //配置动态ARP表项的老化时间
arp check enable //开启ARP表项的检查功能
display arp [dynamic |static | ip-address ] //显示当前交换机上的ARP表项
display arp [dynamic |staic] |{begin |include |exclude} regular-expression
//查看包含指定内容的ARP映射表
display arp count [[dynamic |static][|{begin |include |exclude} regular-expression ]| ip-address ]
//查看指定类型的ARP表项的数目
display arp count detection statistics interface interface-type interface-number
//查看指定端口被丢弃掉的不可信任的ARP报文的数量
display arp timer aging //查看动态ARP老化定时器的时间
reset arp [dynamic |static |interface interface-type interface-number] //消除ARP表项
interface vlan-interface vlan-id
arp max-learning-num number
//在VLAN接口视图下配置允许学习的动态ARP表项的最大数目
arp anti-attack valid-check enable //系统视图下开启对ARP报文源MAC地址一致性检查功能
#ARP入侵检测功能配置:
dhcp-snooping //全局开启交换机DHCP Snooping功能
ip source static import dot1x //全局开启基于802.1x认证用户的ARP入侵检测功能
interface interface-type interface-number
dhcp-snooping trust //配置DHCP Snooping的信任端口
arp detection trust //设置当前端口为ARP信任端口
vlan vlan-id //进入VLAN视图
arp detection enable //开启指定VLAN内所有端口的ARP入侵检测功能
arp restricted-forwarding enable //在对应VLAN内开启ARP严格转发功能
#ARP报文限速功能配置:
interface interface-type interface-number
arp rate-limit enable //开启以上端口的ARP报文限速功能
arp rate-limit rate //配置允许通过的ARP报文的最大速率
arp protective-down recover enable //全局开启交换机上的端口状态自动恢复功能
arp protective-down recover interval interval
//全局设置端口状态由关闭恢复为开启的时间间隔
#ARP代理配置:
interface Vlan-interface vlan-id
arp proxy enable //开启普通代理ARP功能
local-proxy-arp enable [ip-range startIP to endIP ] //开启本地代理ARP功能
display arp proxy [interface vlan-interface vlan-id ]
//显示普通代理ARP和本地代理ARP的状态
12. 集群配置
(1)NDP的启用及参数配置
ndp enable //启用NDP——用于收集邻接设备信息
ndp timer aging aging-in-seconds //指定接收设备应该保持本设备发送的NDP报文时间
ndp timer hello seconds //修改NDP信息的更新频率
(2)NTDP的启用及参数配置
ntdp enable //启用NTDP——用于收集邻接设备拓扑信息
ntdp hop hop-value //配置拓扑收集范围
ntdp timer hop-delay time //配置当前设备转发拓扑收集请求的跳数延迟时间
ntdp timer port-delay time //配置当前设备转发拓扑收集请求的端口延迟时间
ntdp timer interval-in-minutes //配置定时拓扑收集的时间间隔
ntdp explore //启动拓扑信息的收集过程
(3)集群启用及配置
cluster enable //启用集群功能
#手动配置集群参数:
cluster //进入集群视图
ip-pool administrator-ip-address {ip-mask | ip-mask-length } //配置集群IP地址范围
build name //创建集群,并为集群命名
holdtime seconds //配置交换机的有效保留时间
timer interval //配置握手报文定时发送的时间间隔
#自动创建集群:
cluster //进入集群视图
ip-pool administrator-ip-address {ip-mask | ip-mask-length } //配置集群IP地址范围
auto-build [recover] //自动将候选交换机加入集群成为成员交换机
(4)集群内外交互配置
cluster //进入集群视图
ftp-server ip-address //配置集群内部公用的FTP服务器
tftp-server ip-address //配置集群内部公用的TFTP服务器
logging-host ip-address //配置集群内部公用的日志主机
snmp-host ip-address //配置集群内部公用的网管主机
(5)集群管理配置
1) 基本管理操作
cluster //进入集群视图
add-member [member-number] mac-address H-H-H [password password]
//加入指定的交换机作为集群成员交换机
administrator-address mac-address name name //配置管理交换机的MAC地址
delete-member member-number //集群成员的删除
reboot member {member-number |mac-address H-H-H} [eraseflash] //重启指定的成员交换机
cluster switch-to {member-number |mac-address H-H-H |administrator}
//访问指定成员交换机
tracemac {by-mac mac-address vlan vlan-id |by-ip ip-address} [nondp]
//通过MAC地址或IP地址追踪设备
2) 集群信息管理配置
display ndp [interface interface-list] //显示系统或指定端口的NDP配置信息
display ntdp //显示全局NTDP信息
display ntdp device-list[verbose] //显示NTDP收集到的设信息列表
display cluster //显示集群状态和统计信息
display cluster candidates [mac-address H-H-H |verbose] //显示候选交换机信息
display cluster members [member-number |verbose] //显示集群成员信息
reset ndp statistics [interface interface-list] //清除NDP端口的统计信息
版权声明:本文标题:H3C交换机基本配置命令 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/shuma/1717652599a595056.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论