LANSWITCH配置注意事项
序号 注意项目 记录
1 登录交换机时请注意在超级终端串口配置属性流控选择“无”
2 启动时按”ctrl+B”可以进入到boot menu模式
3 当交换机提示”Please Press ENTER”,敲完回车后请等待一下,设备需要一定的时间才能进入到命令行界面(具体的时间视产品而定)
4 请在用户视图(如<Quidway>)输入”system-view”(输入”sys”即可)进入系统视图(如[Quidway])
5 对使用的端口、vlan、interface vlan进行详细的描述
6 如果配置了telnet用户,一定要设置权限或配置super密码
7 除了S5516使用SFP模块,S8016和S6500系列使用模块,其它产品使用模块不可以带电插拔
8 某产品使用其它产品模块前请确认该模块是否可以混用
9 配置acl时请注意掩码配置是否准确
10 二层交换机配置管理IP后,请确保管理vlan包含了管理报文到达的端口
11 配置完毕后请在用户视图下(如<Quidway>)采用save命令保存配置
12 请确保在设备保存配置的时候不掉电,否则可能会导致配置丢失
13 如果要清除所有配置,请在用户视图下(如<Quidway>)采用reset saved-configuration,并重启交换机
注:
其他配置需注意的地方请参考每部分内容后面的注明
LANSWITCH日常维护基本操作
1 基本操作
1.1 常用命令新旧对照列表
常用命令新旧对照表
旧 新 旧 新
show display access-list acl
no undo acl eacl
exit quit
write save show version disp version
erase reset show run disp current-configuration
show tech-support disp diagnostic-information
show start disp saved-configuration
router ospf ospf
router bgp bgp
router rip rip
hostname sysname
user local-user
0 simple
7 cipher
mode link-type
multi hybrid
注意:
1. disp是display的缩写,在没有歧义时LANSWITCH会自动识别不完整词
2. disp cur显示LANSWITCH当前生效的配置参数
3. disp和ping命令在任何视图下都可执行,不必切换到系统视图
4. 删除某条命令,一般的命令是undo xxx,另一种情况是用其他的参数代替现在的参数,如有时虽然xxx abc无法使用undo删除,但是可以修改为xxx def
以太网端口链路类型介绍
以太网端口有三种链路类型:Access、Hybrid和Trunk。Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
这里的trunk并不是端口干路的概念,即端口汇聚或者链路聚合,而是允许vlan透传的一个概念。如果想使用端口汇聚请参见相关《端口汇聚》章节。
需要注意的是:
l 在一台以太网交换机上,Trunk端口和Hybrid端口不能同时被设置。
l 如果某端口被指定为镜像端口,则不能再被设置为Trunk端口,反之亦然。
缺省情况下,端口为Access端口。
Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。如果设置了端口的缺省VLAN ID,当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口;当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文。
需要注意的是:
l Trunk端口不能和isolate-user-vlan同时配置;Hybrid端口可以和isolate-user-vlan同时配置。但如果缺省VLAN是在isolate-user-vlan中建立了映射的VLAN,则不允许修改缺省VLAN ID,只有在解除映射后才能进行修改。
l 本Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID必须一致,否则报文将不能正确传输。
缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1,Access端口的缺省VLAN是本身所属于的VLAN。
交换机VLAN配置
1 功能需求及组网说明
VLAN 配置
『配置环境参数』
SwitchA端口E0/1属于VLAN2,E0/2属于VLAN3
『组网需求』
把交换机端口E0/1加入到VLAN2 ,E0/2加入到VLAN3
2 数据配置步骤
『VLAN配置流程』
1. 缺省情况下所有端口都属于VLAN 1,并且端口是access端口,一个access端口只能属于一个vlan;
2. 如果端口是access端口,则把端口加入到另外一个vlan的同时,系统自动把该端口从原来的vlan中删除掉;
3. 除了VLAN1,如果VLAN XX不存在,在系统视图下键入VLAN XX,则创建VLAN XX并进入VLAN视图;如果VLAN XX已经存在,则进入VLAN视图。
【SwitchA相关配置】
方法一:
1. 创建(进入)vlan2
[SwitchA]vlan 2
2. 将端口E0/1加入到vlan2
[SwitchA-vlan2]port ethernet 0/1
3. 创建(进入)vlan3
[SwitchA-vlan2]vlan 3
4. 将端口E0/2加入到vlan3
[SwitchA-vlan3]port ethernet 0/2
方法二:
1. 创建(进入)vlan2
[SwitchA]vlan 2
2. 进入端口E0/1视图
[SwitchA]interface ethernet 0/1
3. 指定端口E0/1属于vlan2
[SwitchA-Ethernet1]port access vlan 2
4. 创建(进入)vlan3
[SwitchA]vlan 3
5. 进入端口E0/2视图
[SwitchA]interface ethernet 0/2
6. 指定端口E0/2属于vlan3
[SwitchA-Ethernet2]port access vlan 3
cisco 划分vlan的方法
Switch#vlan database
Switch(vlan)#vlan 2
Switch(vlan)#vlan 3
Switch(config)# int f0/1
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)# int f0/2
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)# int f0/1 , f0/7 (指定某些端口到vlan)
Switch(config)# int range f0/2 -12 (指定某个端口范围到vlan)
方法二
Switch(config)#vlan 2
Switch(config)#vlan 3
Switch(config-if)#switchport trunk allowed vlan add/remove 3 (在端口模式下添加或删除vlan)
Switch(config)#switchport mode access/trunk (设置交换机的模式是access还是trunk)
Switch(config)#vtp pruning (开启 vtp修剪功能)
3 测试验证
1. 使用命令disp cur可以看到端口E0/1属于vlan2,E0/2属于vlan3;
2. 使用display interface Ethernet 0/1可以看到端口为access端口,PVID为2;
3. 使用display interface Ethernet 0/2可以看到端口为access端口,PVID为3。
端口的trunk属性配置(一)
1 功能需求及组网说明
端口的trunk配置
『配置环境参数』
1. SwitchA 端口E0/1属于vlan10,E0/2属于vlan20,E0/3与SwitchB端口E0/3互连
2. SwitchB 端口E0/1属于vlan10,E0/2属于vlan20,E0/3与SwitchA端口E0/3互连
『组网需求』
1. 要求SwitchA的vlan10的PC与SwitchB的vlan10的PC互通
2. 要求SwitchA的vlan20的PC与SwitchB的vlan20的PC互通
2 数据配置步骤
『vlan透传转发流程』
报文在进入交换机端口时如果没有802.1Q标记将被打上端口的PVID(即defauld vlan ID),之后该数据包就只能在这个vlan域内进行转发,不同的vlan在二层之间是隔离开的,不能实现互相访问。
【SwitchA相关配置】
1. 创建(进入)vlan10
[SwitchA] vlan 10
2. 将E0/1加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
3. 创建(进入)vlan20
[SwitchA]vlan 20
4. 将E0/2加入到vlan20
[SwitchA-vlan20]port Ethernet 0/2
5. 实际当中一般将上行端口设置成trunk属性,允许vlan透传
[SwitchA-Ethernet0/3]port link-type trunk
6. 允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值
[SwitchA-Ethernet0/3]port trunk permit vlan all
【SwitchB相关配置】
1. 创建(进入)vlan10
[SwitchB] vlan 10
2. 将E0/1加入到vlan10
[SwitchB-vlan10]port Ethernet 0/1
3. 创建(进入)vlan20
[SwitchB]vlan 20
4. 将E0/2加入到vlan20
[SwitchB-vlan20]port Ethernet 0/2
5. 实际当中一般将上行端口设置成trunk属性,允许vlan透传
[SwitchB-Ethernet0/3]port link-type trunk
6. 允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值
[SwitchB-Ethernet0/3]port trunk permit vlan all
【补充说明】
1. 如果一个端口是trunk端口,则该端口可以属于多个vlan;
2. 缺省情况下trunk端口的PVID为1,可以在端口模式下通过命令port trunk pvid vlan vlanid 来修改端口的PVID;
3. 如果从trunk转发出去的数据报文的vlan id和端口的PVID一致,则该报文的VLAN信息会被剥去,这点在配置trunk端口时需要注意。
4. 一台交换机上如果已经设置了某个端口为hybrid端口,则不可以再把另外的端口设置为trunk端口。
5. 一般情况下最好指定端口允许通过哪些具体的VLAN,不要设置允许所有的VLAN通过。
3 测试验证
1. SwitchA vlan10内的PC可以与SwitchB vlan10内的PC互通
2. SwitchA vlan20内的PC可以与SwitchB vlan20内的PC互通
3. SwitchA vlan10内的PC不能与SwitchB vlan20内的PC互通
4. SwitchA vlan20内的PC不能与SwitchB vlan10内的PC互通
交换机端口trunk属性配置(二)
1 功能需求及组网说明
端口的trunk配置
『配置环境参数』
1. SwitchA 端口E0/1属于vlan10,E0/2属于vlan20,E0/3与Router端口E0互连
2. vlan10内PC地址192.168.0.2/24,网关为路由器E0.1子接口地址192.168.0.1/24
3. vlan20内PC地址10.10.10.2/24,网关为路由器E0.2子接口地址10.10.10.1/24
4. SwitchA管理vlan100虚接口地址172.16.0.2/24,网关为路由E0接口地址172.16.0.1
『组网需求』
1. vlan10、vlan20和vlan100能够通过交换机透传到路由器,并且能够通过路由器子接口实现三层互通
2 数据配置步骤
『交换机配合路由器子接口数据配置流程』
一般来说交换机与路由器子接口配合,都因为交换机是二层交换机,没有三层路由功能,通过路由器终结二层交换机透传过来的vlan数据包,实现三层互通,是此类组网的主要目的。在路由器子接口之间,各个网段之间为直连路由,如果要实现某些网段之间的访问控制,一般通过在路由器上配置访问控制列表来实现。
三层交换机由于本身支持多个虚接口,可以直接实现多网段之间的三层互通,一般不涉及此类组网。
【SwitchA相关配置】
1. 创建(进入)vlan10
[SwitchA] vlan 10
2. 将E0/1加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
3. 创建(进入)vlan20
[SwitchA]vlan 20
4. 将E0/2加入到vlan20
[SwitchA-vlan20]port Ethernet 0/2
[SwitchA-Ethernet0/3]port link-type trunk
6. 允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值
[SwitchA-Ethernet0/3]port trunk permit vlan all
7. 创建(进入)vlan100
[SwitchA]vlan 100
8. vlan100可以不包含具体的端口
9. 创建(进入)vlan100的虚接口
[SwitchA]interface Vlan-interface 100
10. 给vlan100的虚接口配置IP地址
[SwitchA-Vlan-interface100]ip address 172.16.0.2 255.255.255.0
11. 设置E0/3端口PVID为100,将管理vlan100送出去的报文vlan标记剥去,送往路由器主接口
[SwitchA-Ethernet0/3]port trunk pvid vlan 100
12. 如果需要允许其它网段与交换机管理vlan地址互通,需要配置一条默认路由
[SwitchA]ip route-static 0.0.0.0 0.0.0.0 172.16.0.1
【RouterA相关配置】
1. 创建(进入)E0.1子接口
[RouterA]inter Ethernet 0.1
2. 在E0.1子接口里封装vlan10
[RouterA-Ethernet0.1]vlan-type dot1q vid 10
3. 在E0.1子接口配置IP地址
[RouterA-Ethernet0.1]ip address 192.168.0.1 255.255.255.0
4. 创建(进入)E0.2子接口
[RouterA]inter Ethernet 0.2
5. 在E0.2子接口里封装vlan20
[RouterA-Ethernet0.2]vlan-type dot1q vid 20
6. 在E0.2子接口配置IP地址
[RouterA-Ethernet0.2]ip address 10.10.10.1 255.255.255.0
7. 进入E0接口
[SwitchB-vlan20]port Ethernet 0
[RouterA-Ethernet0]ip address 172.16.0.1 255.255.255.0
【补充说明】
1. 如果一个端口是trunk端口,则该端口可以属于多个vlan
2. 缺省情况下trunk端口的PVID为1,可以在端口模式下通过命令port trunk pvid vlan vlanid 来修改端口的PVID
3. 一台交换机上如果已经设置了某个端口为hybrid端口,则不可以再把另外的端口设置为trunk端口
3 测试验证
1. PC都能PING通自己的网关
2. PC之间能够PING通
3. 交换机能够与路由器E0接口地址互通
交换机端口hybrid属性配置
1 功能需求及组网说明
端口hybrid属性的配置
『配置环境参数』
1. 交换机E0/1和E0/2属于vlan10
2. 交换机E0/3属于vlan20
3. 交换机E0/4和E0/5属于vlan30
4. 交换机E0/23连接Server1
5. 交换机E0/24连接Server2
6. Server1和Server2分属于vlan40和vlan50
7. PC和Server都在同一网段
8. E0/10连接BAS设备,属于vlan60
『组网需求』
1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访;
2. Vlan10、vlan20和vlan30的PC均可以访问Server 1;
3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2;
4. vlan 10中的2端口的PC可以访问vlan 30的PC;
5. vlan 20的PC可以访问vlan 30的5端口的PC;
6. vlan10的PC访问外网需要将vlan信息送到BAS,而vlan20和vlan30则不需要。
2 数据配置步骤
『端口hybrid属性配置流程』
hybrid属性是一种混杂模式,实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的端口之间的互访,这是access和trunk端口所不能实现的。在一台交换机上不允许trunk端口和hybrid端口同时存在。
1. 先创建业务需要的vlan
[SwitchA]vlan 10
[SwitchA]vlan 20
[SwitchA]vlan 30
[SwitchA]vlan 40
[SwitchA]vlan 50
2. 每个端口,都配置为 hybrid状态
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
3. 设置端口的pvid等于该端口所属的vlan
[Switch-Ethernet0/1]port hybrid pvid vlan 10
4. 将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口
[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged
实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口,接收端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan 为 该 vlan 的端口互通。
5. 以下各端口类似:
[Switch-Ethernet0/1]int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 10
[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/2]int e0/3
[Switch-Ethernet0/3]port link-type hybrid
[Switch-Ethernet0/3]port hybrid pvid vlan 20
[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged
[Switch-Ethernet0/3]int e0/4
[Switch-Ethernet0/4]port link-type hybrid
[Switch-Ethernet0/4]port hybrid pvid vlan 30
[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged
[Switch-Ethernet0/4]int e0/5
[Switch-Ethernet0/5]port link-type hybrid
[Switch-Ethernet0/5]port hybrid pvid vlan 30
[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged
[Switch-Ethernet0/5]int e0/23
[Switch-Ethernet0/23]port link-type hybrid
[Switch-Ethernet0/23]port hybrid pvid vlan 40
[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged
[Switch-Ethernet0/24]int e0/24
[Switch-Ethernet0/24]port link-type hybrid
[Switch-Ethernet0/24]port hybrid pvid vlan 50
[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged
6. 在上行口E0/10上允许vlan10以tagged形式送出,其它为untagged
[SwitchA]interface Ethernet 0/10
[SwitchA-Ethernet0/10]port link-type hybrid
[SwitchA-Ethernet0/10]port hybrid pvid vlan 60
[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged
[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged
本例中需求比较复杂,一般人员很难做到一次性在一个端口上指定哪些vlan允许通过,可以根据需求逐条配置,交换机支持在端口上多次设置。
3 测试验证
交换机IP地址配置(vlan三层路由)
1 功能需求及组网说明
IP地址配置
『配置环境参数』
1. 三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2,分别属于vlan 2、vlan 3;
2. 以vlan 2的三层接口地址分别是1.0.0.1/24作为PC1的网关;
3. 以vlan 3的三层接口地址分别是2.0.0.1/24作为PC2的网关;
『组网需求』
PC1和PC2通过三层接口互通。
2 数据配置步骤
『IP地址配置流程』
交换机目前除了某些产品具有管理以太网口,如6500、8016等,可以直接将IP地址配置在管理以太网口上以外,如果要配置IP地址,必须配置在vlan虚接口上。在这个意义上来说,这个虚接口和路由器的以太网口是类似的。
二层交换机只能配置一个三层虚接口,三层交换机可以配置多个三层虚接口。
三层交换机如果起用了多个三层虚接口,这个时候多个虚接口之间是直连路由,所以它们的网段之间默认是直接互通的。如果要实现某些网段之间的隔离,需要通过配置访问控制列表来实现。
【SwitchA相关配置】
1. 创建(进入)vlan2
[Quidway]vlan 2
2. 将端口E0/1加入到vlan2
[Quidway-vlan2]port ethernet 0/1
3. 进入vlan2的虚接口
[Quidway-vlan2]interface vlan 2
4. 在vlan2的虚接口上配置IP地址
[Quidway-Vlan-interface2]ip address 1.0.0.1 255.255.255.0
5. 创建(进入)vlan3
[Quidway]vlan 3
6. 将E0/2加入到vlan3
[Quidway-vlan3]port ethernet 0/2
7. 进入vlan3的虚接口
[Quidway-vlan3]interface vlan 3
8. 在vlan3的虚接口上配置IP地址
[Quidway-Vlan-interface3]ip address 2.0.0.1 255.255.255.0
3 测试验证
1. PC1和PC2都可以PING通自己的网关
2. PC1和PC2可以相互PING通
端口汇聚配置
1 功能需求及组网说明
端口汇聚配置
『配置环境参数』
1. 交换机SwitchA和SwitchB通过以太网口实现互连。
2. SwitchA用于互连的端口为e0/1和e0/2,SwitchB用于互连的端口为e0/1和e0/2。
『组网需求』
增加SwitchA的SwitchB的互连链路的带宽,并且能够实现链路备份,使用端口汇聚。
2 数据配置步骤
【SwitchA交换机配置】
1. 进入端口E0/1
[SwitchA]interface Ethernet 0/1
2. 汇聚端口必须工作在全双工模式
[SwitchA-Ethernet0/1]duplex full
3. 汇聚的端口速率要求相同,但不能是自适应
[SwitchA-Ethernet0/1]speed 100
4. 进入端口E0/2
[SwitchA]interface Ethernet 0/2
5. 汇聚端口必须工作在全双工模式
[SwitchA-Ethernet0/2]duplex full
6. 汇聚的端口速率要求相同,但不能是自适应
[SwitchA-Ethernet0/2]speed 100
7. 根据源和目的MAC进行端口选择汇聚
[SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both
【SwitchA交换机配置】
[SwitchB]interface Ethernet 0/1
[SwitchB-Ethernet0/1]duplex full
[SwitchB-Ethernet0/1]speed 100
[SwitchB]interface Ethernet 0/2
[SwitchB-Ethernet0/2]duplex full
[SwitchB-Ethernet0/2]speed 100
[SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both
【补充说明】
1. 同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access端口。
2. 不同的产品对端口汇聚时的起始端口号要求各有不同,请对照《操作手册》进行配置。
交换机端口镜像配置
1 功能需求及组网说明
端口镜像配置
『环境配置参数』
1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24
2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24
3. E0/24为交换机上行端口
4. Server接在交换机E0/8端口,该端口作为镜像端口
『组网需求』
1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。
2. 按照镜像的不同方式进行配置:
1) 基于端口的镜像
2) 基于流的镜像
2 数据配置步骤
『端口镜像的数据流程』
基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
【3026等交换机镜像】
S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:
方法一
1. 配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2. 配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
方法二
1. 可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
【8016交换机端口镜像配置】
1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
[SwitchA] port monitor ethernet 1/0/15
2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。(高端才有这个功能)
[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15
[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流镜像的数据流程』
基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。
【3500/3026E/3026F/3050】
〖基于流的镜像〗
1. 定义一条扩展访问控制列表
[SwitchA]acl num 100
2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-100]rule 0 permit ip source 1.1.1.1 0 destination any
3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32
[SwitchA-acl-adv-100]rule 1 permit ip source any destination 1.1.1.1 0
4. 将符合上述ACL规则的报文镜像到E0/8端口
[SwitchA]mirrored-to ip-group 100 interface e0/8
〖基于二层流的镜像〗
1. 定义一个ACL
[SwitchA]acl num 200
2. 定义一个规则从E0/1发送某些特定端口的数据包 如:e0/2
[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2
3. 定义一个规则从其它所有端口到E0/1端口的数据包
[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1
4. 将符合上述ACL的数据包镜像到E0/8
[SwitchA]mirrored-to link-group 200 interface e0/8
ingress 流入 egress 流出
【5516/6506/6503/6506R】
目前该三款产品支持对入端口流量进行镜像
1. 定义镜像端口
[SwitchA]monitor-port Ethernet 3/0/2
2. 定义被镜像端口
[SwitchA]mirroring-port Ethernet 3/0/1 inbound
【补充说明】
1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现
3 测试验证
在观测端口上通过工具软件可以看到被镜像端口的相应的报文,可以进行流量观测或者故障定位。
交换机远程TELNET登录
1. 进入用户界面视图
[SwitchA]user-interface vty 0 4
2. 设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
3. 设置密码
[SwitchA-ui-vty0-4]set authentication password simple| cipher Huawei
交换机SNMP配置
一般情况下只需设置团体名和访问权限设备即可被管理,其他为可选配置
1. 设置团体名和访问权限
[SwitchA]snmp-agent community read public
[SwitchA]snmp-agent community write private
2. 允许交换机发送Trap信息
[SwitchA]snmp-agent trap enable
3.允许向网管工作站192.168.0.2 5000端口发送Trap报文,使用的团体名为public
[SwitchA] snmp-agent target-host trap address udp-domain 192.168.0.2 udp-port 5000 params securityname public
