quikcfg.pdf

1、版权所有 华为技术有限公司 2015。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明

2、示或暗示的担保。华为技术有限公司 地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129 网址：http:/ 目录 开始之前 1 中小园区组网场景 2 常见问题 51 更多的参考资料 54 数据规划 3 快速配置中小园区 4 大型园区组网场景 17 数据规划 18 快速配置大型园区 20 1 1 开始之前 本文档帮助您首次登录及快速配置华为S系列交换机。更多业务配置，请查阅交换机配置指南。1完成交换机的安装、上电，具体操作请参考S9700&S7700 快速安装指南，S12700 快速安装指南，2700&S3700&S5700&S6700 快速入门。4获取以下常用联系方式信息，并打印和张贴在您

3、的工作台附近。华为企业业务技术支持热线电话（400-822-9999）。负责贵单位网络建设和服务的代理商的联系电话。访问华为企业技术支持网站（http:/ S12700&S9700&S7700 集群安装指导完成集群线缆连接。2本文适用于交换机V200R003C00及更高版本。在开始数据配置之前，请您首先完成如下工作：2 中小园区组网场景 2 在中小园区中，S2700&S3700通常部署在网络的接入层，而S5700&S6700部署在网络的核心。接入交换机与核心交换机通过Eth-Trunk组网保证可靠性。每个部门业务划分到一个VLAN中，部门间的业务在CORE上通过VLANIF三层互通。核心交换机

4、作为DHCP Server，为园区用户分配IP地址。本文配置步骤以图中所示的接入交换机ACC1（S2750）和核心交换机CORE（S5700）为例。2.1数据规划 在配置交换机数据之前，需按照下面的表格准备好数据。以下数据将在本文后续章节使用。准备项 数据 管理口IP地址 10.10.1.1/24 静态LACP Eth-Trunk 类型 ACC1：VLAN 10 ACC2：VLAN 20 CORE：VLAN 100、10、20 VLAN ID 操作 配置管理IP和Telnet(以CORE为例)配置接口和VLAN 端口类型 说明 Eth-Trunk链路有手工负载分担和静态LACP两种工作模式。管

5、理IP用于登录交换机。连接交换机的端口建议设置为trunk，连接PC的端口设置为access。交换机有缺省VLAN1。为二层隔离部门A和部门B，将部门划分到VLAN 10中，部门B划分到VLAN 20中。CORE通过VLANIF100连接出口路由器。trunk 类型端口一般用于连接交换机。access 类型端口一般用户连接PC。hybrid类型端口是通用端口，既可以用来连接交换机，也可用来以连接PC。管理网口 MEth0/0/1 3 框式交换机管理口是Ethernet0/0/0。S2750&S5700&S6700管理口是MEth0/0/1。S2700/S3700的管理口需要创建VLANIF接口

6、。配置路由 CORE:VLANIF100 10.10.100.1/24 VLANIF10 10.10.10.1/24 VLANIF20 10.10.20.1/24 VLANIF100是CORE与园区出口路由器对接的IP地址，用于园区内部网络与Internet互通。在CORE上配置VLANIF10、VLANIF20的IP地址后，部门A与部门B之间可以通过CORE互访。IP地址 配置DHCP DHCP Server CORE 在园区核心交换机CORE上部署DHCP Server。地址池 VLAN 10：Ip pool 10 VLAN 20：Ip pool 20 部门A的终端从Ip pool 10中

7、获取IP地址。部门B的终端从Ip pool 20中获取IP地址。地址分配方式 基于全局地址池 无 2.2 快速配置中小园区 您可以按照下列流程配置交换机的数据，连通园区内部用户，并使内部用户可访问外网。4 Step7 保存配置 Step1 登录交换机 Step2 配置管理IP和Telnet Step5 配置DHCP Step4 配置路由 Step3 配置接口和VLAN Step6 业务验证 登录交换机 请使用Console通信电缆（产品随机附带）连接交换机与PC。1在PC上打开终端仿真软件，新建连接，设置连接的接口以及通信参数。PC端可能会存在多个连接接口。一般情况下，连接交换机的接口是COM

8、1。PC上的通信参数必须与交换机上的设置为一致。交换机上的通信参数如表1 所示。2表1 交换机Console口缺省值 参数 缺省值 传输速率 数据位 9600bit/s 无 无 1 8 流控方式 校验方式 停止位 5 支持Mini USB接口的设备也可以选择使用Mini USB线缆将交换机连接到PC，详细配置可参见配置指南-基础配置。在PC的终端仿真软件界面按Enter键，直到出现如下信息，提示用户设置登录密码。3Please configure the login password(8-16)Enter Password:Confirm Password:密码为字符串形式，区分大小写，长度范

9、围是816。输入的密码至少包含两种类型字符，包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“？”和空格。请牢记初次登录时设置的密码，当用户再次通过Console口登录交换机，需要输入此密码。完成Console登录密码设置后，用户便可以配置交换机，需要帮助可随时键入“?”。6 7 配置管理IP和Telnet 配置交换机管理IP地址后，可以通过管理IP远程登录交换机。配置管理IP地址。1 system-viewHUAWEI interface meth 0/0/1 /盒式交换机的管理网口为MEth 0/0/1HUAWEI-MEth0/0/1 ip address 10.10.1.1 24H

10、UAWEI-MEth0/0/1 quit配置Telnet。2HUAWEI telnet server enable /Telnet出厂时是关闭的，需要打开。HUAWEI user-interface vty 0 4 /Telnet常用于设备管理员登录，推荐使用AAA认证。HUAWEI-ui-vty0-4 authentication-mode aaaHUAWEI-ui-vty0-4 quitHUAWEI aaaHUAWEI-aaa local-user admin password irreversible-cipher Helloworld6789 /配置管理员Telnet登录交换机的用户名

11、和密码。用户名不区分大小写，密码区分大小写。HUAWEI-aaa local-user admin privilege level 15/将管理员的账号权限设置为15（最高）。使用Telnet协议存在安全风险，建议使用安全级别更高的STelnet V2登录设备，详细配置可参见配置指南-基础配置。在维护终端上Telnet到交换机。出现用户视图的命令行提示符表示登录成功。3C:Documents and SettingsAdministrator telnet 10.10.1.1 /输入交换机管理IP，并回车Login authentication Username:admin/输入用户名和密码P

12、assword:Info:The max number of VTY users is 5,and the number of current VTY users on line is 1.The current login time is 2014-05-06 18:33:18+00:00./用户视图命令行提示符配置接口与VLAN a.配置接入层交换机 以接入交换机ACC1为例，创建ACC1的业务VLAN 10。1 system-view HUAWEI sysname ACC1ACC1 vlan batch 10配置ACC1连接CORE的Eth-Trunk1，透传部门A的VLAN。2ACC1

13、 interface eth-trunk 1ACC1-Eth-Trunk1 port link-type trunk /配置为trunk模式，用于透传VLAN。ACC1-Eth-Trunk1 port trunk allow-pass vlan 10 /配置Eth-Trunk1透传ACC1上的业务VLANACC1-Eth-Trunk1 mode lacp/配置Eth-Trunk1为LACP模式ACC1-Eth-Trunk1 quitACC1 interface GigabitEthernet 0/0/1 /将成员接口加入Eth-Trunk1ACC1-GigabitEthernet0/0/1 E

14、th-Trunk 1 ACC1-GigabitEthernet0/0/1 quit ACC1 interface GigabitEthernet 0/0/2ACC1-GigabitEthernet0/0/2 Eth-Trunk 1ACC1-GigabitEthernet0/0/2 quit配置ACC1连接用户的接口，使用户加入VLAN，并将接口配置成边缘端口。3ACC1 interface Ethernet 0/0/2 /配置连接PC1的接口ACC1-Ethernet0/0/2port link-type accessACC1-Ethernet0/0/2 port default vlan 1

15、0ACC1-Ethernet0/0/2 stp edged-port enableACC1-Ethernet0/0/2 quitACC1 interface Ethernet 0/0/3 /配置连接PC2的接口ACC1-Ethernet0/0/3 port link-type accessACC1-Ethernet0/0/3 port default vlan 10ACC1-Ethernet0/0/3 stp edged-port enableACC1-Ethernet0/0/3 quitACC1 interface Ethernet 0/0/4 /配置连接打印机的接口ACC1-Etherne

16、t0/0/4 port link-type accessACC1-Ethernet0/0/4 port default vlan 10ACC1-Ethernet0/0/4 stp edged-port enableACC1-Ethernet0/0/4 quit8 回到组网场景 ACC1 stp bpdu-protection配置BPDU保护功能，加强网络的稳定性。4b.配置核心层交换机 回到组网场景 批量创建CORE与ACC1、ACC2以及园区出口路由器互通的VLAN。1 system-view HUAWEI sysname CORECORE vlan batch 10 20 100配置下行接

17、口和VLANIF接口，VLANIF接口用于部门A与部门B之间互访。以CORE连接ACC1的Eth-Trunk1为例。2CORE interface eth-trunk 1 CORE-Eth-Trunk1 port link-type trunk /配置为trunk模式，用于透传VLANCORE-Eth-Trunk1 port trunk allow-pass vlan 10/配置Eth-Trunk1透传ACC1上的业务VLANCORE-Eth-Trunk1 mode lacp/配置为LACP模式CORE-Eth-Trunk1 quitCORE interface GigabitEthernet

18、 0/0/1 /将成员接口加入Eth-Trunk1CORE-GigabitEthernet0/0/1 Eth-Trunk 1CORE-GigabitEthernet0/0/1 quitCORE interface GigabitEthernet 0/0/2CORE-GigabitEthernet0/0/2 Eth-Trunk 1CORE-GigabitEthernet0/0/2 quitCORE interface Vlanif 10 /配置VLANIF，使部门A与部门B之间三层互通CORE-Vlanif10 ip address 10.10.10.1 24CORE-Vlanif10 quit

19、CORE interface Vlanif 20 /配置VLANIF，使部门B与部门A之间三层互通CORE-Vlanif20 ip address 10.10.20.1 24CORE-Vlanif20 quit配置上行接口和VLANIF接口，使园区网络与Internet互通。3CORE interfaceGigabitEthernet 0/0/20CORE-GigabitEthernet0/0/20 port link-type trunk /配置为trunk模式CORE-GigabitEthernet0/0/20 port trunk allow-pass vlan 100/配置透传VLAN

20、为CORE与上行设备的互联VLANCORE-GigabitEthernet0/0/20 quitCORE interface Vlanif 100 /配置VLANIF，使CORE与路由器之间三层互通CORE-Vlanif100 ip address 10.10.100.1 24CORE-Vlanif100 quit9 回到组网场景 完成接口和VLAN的配置后，可以通过以下命令查看配置结果，显示信息说明可查阅命令参考。执行display eth-trunk 命令检查ACC1上的Eth-Trunk接口配置结果。410 执行display vlan命令检查ACC1上的VLAN配置结果。ACC1 di

21、splay eth-trunk 1Eth-Trunk1s state information is:Local:LAG ID:1 WorkingMode:LACP Preempt Delay:Disabled Hash arithmetic:According to SA-XOR-DA System Priority:32768 System ID:0200-0000-6704 Least Active-linknumber:1 Max Active-linknumber:8 Operate status:up Number Of Up Port In Trunk:1 -ActorPortNa

22、meStatus PortType PortPri PortNo PortKey PortState WeightGigabitEthernet0/0/1 Selected 100M 32768 2 289 10111100 1 GigabitEthernet0/0/2 Unselect 100M 32768 3 289 10100010 1 Partner:-ActorPortNameSysPriSystemIDPortPri PortNo PortKey PortStateGigabitEthernet0/0/1 32768 0012-3321-2212 32768 1 289 10111

23、100 GigabitEthernet0/0/2 0 0000-0000-0000 0 0 0 10100011ACC1 display vlanThe total number of vlans is:1 -U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;-VID Type Ports -10common UT:Eth0/0/2(U)Eth0/0/3(U)Eth0/0/4(U)TG:Eth-Trunk1(U)VID S

24、tatus Property MAC-LRN Statistics Description -10 enable default enable disable VLAN 0010 可以看到，ACC1上，接口GE0/0/1和GE0/0/2 加入了Eth-Trunk 1；对端设备上，接口GE0/0/1和GE0/0/2加入了Eth-Trunk 1。可以看到，ACC1上，接口Eth0/0/2Eth0/0/4以Untagged方式加入VLAN10，Eth-Trunk 1以Tagged方式加入VLAN10。回到组网场景 执行display eth-trunk 命令检查CORE上Eth-Trunk接口配置结

25、果。11 执行display vlan命令检查CORE上VLAN配置结果。CORE display eth-trunk 1Eth-Trunk1s state information is:Local:LAG ID:1 WorkingMode:LACP Preempt Delay:Disabled Hash arithmetic:According to SA-XOR-DA System Priority:32768 System ID:0200-0000-6703 Least Active-linknumber:1 Max Active-linknumber:8 Operate status:

26、up Number Of Up Port In Trunk:1 -ActorPortNameStatus PortType PortPri PortNo PortKey PortState WeightGigabitEthernet0/0/1 Selected 100M 32768 2 289 10111100 1 GigabitEthernet0/0/2 Unselect 100M 32768 3 289 10100010 1 Partner:-ActorPortNameSysPriSystemIDPortPri PortNo PortKey PortStateGigabitEthernet

27、0/0/1 32768 0012-3321-2211 32768 1 289 10111100 GigabitEthernet0/0/2 0 0000-0000-0000 0 0 0 10100011CORE display vlanThe total number of vlans is:3 -U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;-VID Type Ports -10 common TG:Eth-Trunk

28、1(U)20 common TG:Eth-Trunk2(U)100 common TG:GE0/0/20(U)VID Status Property MAC-LRN Statistics Description -10 enable default enable disable VLAN 0010 20 enable default enable disable VLAN 0020 100 enable default enable disable VLAN 0100 可以看到，CORE上，接口GE0/0/1和GE0/0/2 加入了Eth-Trunk 1；对端设备上，接口GE0/0/1和GE0

29、/0/2加入了Eth-Trunk 1。可以看到，CORE上，接口Eth-Trunk1、Eth-Trunk2分别以Tagged方式加入VLAN10和VLAN20；GE0/0/20以Tagged方式加入VLAN100。配置路由 在CORE上配置一条到园区出口网关的缺省静态路由，使用户能够访问Internet。1CORE ip route-static 0.0.0.0 0 10.10.100.2在CORE上使用display ip routing-table命令查看IP路由表。3CORE display ip routing-tableRoute Flags:R-relay,D-download t

30、o fib -Routing Tables:Public Destinations:5 Routes:5 Destination/Mask Proto Pre Cost Flags NextHopInterface 0.0.0.0/0 Static 60 0 RD 10.10.100.2 Vlanif100 10.10.10.0/24 Direct 0 0 D 10.10.1.1 Vlanif10 10.10.10.1/32 Direct 0 0 D 10.10.1.1 Vlanif1010.10.20.0/24 Direct 0 0 D 10.10.2.1 Vlanif20 10.10.20

31、.1/32 Direct 0 0 D 10.10.2.1 Vlanif20回到组网场景 12 2 在园区出口Router配置一条到CORE的回程路由，实现园区用户与Internet间的双向通信。园区内的主机使用的是私网地址，因此还必须在Router上配置NAT策略，进行公网地址和私网地址的转换。园区内的主机才能正常访问Internet。能够查看到有一条下一跳地址为10.10.100.2的缺省静态路由，表示静态路由配置完成。两条直连路由是链路发现自动生成，用于部门A与部门B之间的互访。配置DHCP 创建全局地址池，配置出口网关、租期（采用缺省值1天，不需配置）并配置为打印机（MAC地址为a-b-

32、c）分配固定的IP地址10.10.10.254。1 system-viewCORE dhcp enableCORE ip pool 10CORE-ip-pool-10 network 10.10.10.0 mask 24 /配置部门A的用户可分配的地址池范围CORE-ip-pool-10 static-bind ip-address 10.10.10.254 mac-address a-b-c/配置为打印机分配固定的IP地址CORE-ip-pool-10 gateway-list 10.10.10.1 /配置部门A的用户的网关地址CORE-ip-pool-10 quit配置部门A的用户从全局地

33、址池获取IP地址。2CORE interface vlanif 10CORE-Vlanif10 dhcp select global /配置部门A的用户从全局地址池获取IP地址CORE-Vlanif10 quit13 在CORE上配置DHCP Server，使部门A（VLAN10）和部门B（VLAN20）的用户都能获取到正确的IP地址。以下以部门A为例，说明DHCP Server的配置步骤。回到组网场景 本文以基于全局地址池的DHCP Server举例。还可以配置基于接口地址池的DHCP Server，详细操作请参见配置指南-IP业务。14 使用display ip pool命令，分别查看全局

34、地址池10的配置和使用信息。3回到组网场景 CORE display ip pool name 10Pool-name :10 Pool-No :0 Lease :1 Days 0 Hours 0 Minutes Domain-name :-DNS-server0 :-NBNS-server0 :-Netbios-type :-Position :Local Status :Unlocked Gateway-0 :10.10.10.1 Network :10.10.10.0 Mask :255.255.255.0 VPN instance :-Start End Total Used Idle

35、(Expired)Conflict Disable -10.10.10.1 10.10.10.254 253 4 249(0)0 0 -查看地址池的配置情况。查看地址池的使用情况。业务验证 部门内部选两台PC进行ping测试，验证部门内部二层互通是否正常。1回到组网场景 从两个部门内各选一台PC进行ping测试，验证部门之间通过VLANIF实现三层互通是否正常。247 以部门A为例，PC1和PC2是通过ACC1实现二层互通的。如果PC1和PC2之间互ping测试正常则说明二层互通正常。部门A和部门B之间的用户是通过CORE上的VLANIF实现三层互通的。如果PC1和PC3之间互ping测试正常

36、则说明两个部门之间通过VLANIF实现三层互通正常。ping测试命令与步骤 1 类似 。ping 10.10.10.100 /假设PC2通过DHCP自动获取的IP地址为10.10.10.100PING 10.10.10.100 data bytes,press CTRL_C to breakReply from 10.10.10.100 :bytes=56 Sequence=1 ttl=253 time=62 msReply from 10.10.10.100:bytes=56 Sequence=2 ttl=253 time=16 ms Reply from 10.10.10.100:byte

37、s=56 Sequence=3 ttl=253 time=62 msReply from 10.10.10.100:bytes=56 Sequence=4 ttl=253 time=94 msReply from 10.10.10.100:bytes=56 Sequence=5 ttl=253 time=63 ms-10.10.10.100 ping statistics-5 packet(s)transmitted 5 packet(s)received能Ping通，说明PC1与PC2之间二层互通正常。3以部门A为例，一般可以通过在PC1上ping公网网关地址（即与出口路由器对接的运营商设备

38、的IP地址）来验证是否可以访问Internet，如果ping测试正常则说明内网用户访问Internet正常。ping测试命令与步骤 1 类似 。每个部门各选一台PC进行ping公网地址测试，验证公司内网用户访问Internet是否正常。15 16 保存配置 通过命令行配置的数据是临时性的。如果不保存，交换机重启后这些配置都会丢失。如果要使当前配置在交换机重启后仍然有效，需要将当前配置保存为配置文件。保存配置。(以CORE举例)saveThe current configuration will be written to the device.Are you sure to continue?

39、Y/Ny Now saving the current configuration to the slot 0.Save the configuration successfully.3 大型园区组网场景 17 大型园区网络通常需要部署接入交换机（ACC）、汇聚交换机（AGG）、核心交换机（CORE）。交换机在核心层/汇聚层通过集群（CSS）组网保证网络核心层可靠性。CORE与AGG，AGG与ACC之间通过Eth-Trunk组网保证链路可靠性。每个部门划分到一个VLAN中，部门间的业务在AGG上通过VLANIF三层互通。楼与楼之间的业务在CORE上通过路由三层互通。在CORE上部署DHCP S

40、erver，为园区用户分配IP地址。AGG作为DHCP Relay。在CORE上部署NAC，对园区用户的网络接入进行控制。交换机CORE、AGG、ACC与网管中心通过SNMP协议互通。后文配置步骤以图中所示的ACC1（S2750）、AGG1（S7700）和CORE（S9700）为例。3.1 数据规划 在配置交换机数据之前，需按照下面的表格准备好数据。以下数据将在本文后续章节使用。准备项 数据 管理口IP地址 CORE：10.10.1.1/24 静态LACP Eth-Trunk 类型 VLAN ID 操作 配置管理IP和Telnet（以CORE为例）配置接口和VLAN 端口类型 说明 Eth-T

41、runk链路有手工负载分担和静态LACP两种工作模式。除非对于各条物理链路的负载分担情况有特殊规划，否则通常采用静态LACP模式。管理IP用于登录交换机。连接交换机的端口建议设置为trunk，连接PC的端口建议设置为access。hybrid 是通用接口类型，既可以用来连接交换机，也可用来以连接PC。配置集群 集群连接方式 集群卡 S7700&S9700支持主控集群卡和业务口集群。S12700支持交换网板集群卡集群。集群 ID 主交换机：1 备交换机：2 集群ID缺省为1。组成集群的2台交换机集群ID必须不同。注1集群 优先级 集群优先级缺省为1.值越大优先级越高，优先级高的交换机会被选举为主

42、交换机。注2管理网口 单台交换机：Ethernet0/0/0 集群系统：Ethernet 0/0/0/0 18 框式交换机管理口是Ethernet0/0/0。S2750&S5700&S6700管理口是MEth0/0/1。S2700/S3700的管理口需要创建VLANIF接口。主交换机：100 备交换机：1 ACC1：VLAN 10 ACC2：VLAN 20 AGG1：VLAN 100 AGG2：VLAN 200 CORE：VLAN 100,200，300,301,302 交换机有缺省VLAN1。每个部门划分一个VLAN，使部门A/B之间二层隔离。AGG1 作 为 二 三 层 网 关，AGG1

43、与AGG2、CORE之间通过VLANIF三层互通。准备项 数据 SNMP版本 SNMPv3 用户组：admin 用户：nms-admin 用户和用户组 操作 说明 交换机可以通过SNMPv1、SNMPv2c和 SNMPv3 与 网 管 对 接，此 处 以SNMPv3为例。配置DHCP DHCP Server 地址池 地址分配方式 无。19 将交换机 连入网管中心 无 认证和加密方式 认证方式：SHA 数据加密算法：aes256 无 网管的IP地址 无 配置路由 接口IP地址 S9700如果主控板是SRUD，缺省值为业务口集群。注1注2 集群主交换机选举过程中，首先比较运行状态，其次比较优先级。

44、如果交换机启动更晚，优先级更高也无法成为主交换机。CORE:VLANIF300 10.10.1.1/24 VLANIF100 10.10.100.1/24 VLANIF200 10.10.200.1/24 AGG1：VLANIF100 10.10.100.2/24 AGG2:VLANIF200 10.10.200.2/24 VLANIF300是CORE与园区出口路由器对接 的 IP 地 址，用 于 园 区 内 部 网 络 与Internet互通。在CORE上配置VLANIF100、VLANIF200的IP地址后，楼与楼之间可以通过CORE互访。CORE 在园区核心交换机CORE上部署DHCP

45、Server。VLAN 10：Ip pool 10 VLAN 20：Ip pool 20 部门的终端从Ip pool 10中获取IP地址。部门B的终端从Ip pool 20中获取IP地址。基于全局地址池 10.10.1.100/24 配置NAC RADIUS方案 认证服务器IP地址：10.10.3.2/24 认证服务器端口号：1812 共享密钥：huawei123 域： 在园区核心交换机CORE上配置。端口号和共享密钥需要与RADIUS服务器上的设置保持一致。NAC认证方式 802.1x和MAC认证 在园区核心交换机CORE上配置。3.2 快速配置大型园区 您可以按照下列流程配置交换机的数据，

46、连通园区内部用户，并使内部用户可访问外网。20 Step8 连接网管中心 Step10 保存配置 Step1 登录交换机 Step2 配置集群 Step3 配置管理IP和Telnet Step6 配置DHCP Step5 配置路由 Step4 配置接口和VLAN Step7 配置NAC Step9 业务验证 登录交换机 集群状态请连接交换机主用主控板上的Console口。ACT灯常亮的主控板即为主用主控板。请使用Console通信电缆（产品随机附带）连接交换机与PC。1在PC上打开终端仿真软件，新建连接，设置连接的接口以及通信参数。PC端可能会存在多个连接接口。一般情况下，连接交换机的接口是C

47、OM1。PC上的通信参数必须与交换机上的设置为一致。交换机上的通信参数如表1 所示。2表1 交换机Console口缺省配置 参数 缺省值 传输速率 数据位 9600bit/s 无 无 1 8 流控方式 校验方式 停止位 21 在PC的终端仿真软件界面按Enter键，直到出现如下信息，提示用户设置登录密码。3Please configure the login password(6-16)Enter Password:Confirm Password:密码为字符串形式，区分大小写，长度范围是616。输入的密码至少包含两种类型字符，包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“？”和空格

48、。请牢记初次登录时设置的密码，当用户再次通过Console口登录交换机，需要输入此密码。完成Console登录密码设置后，用户便可以配置交换机，需要帮助可随时键入“?”。22 配置集群 a.集群卡方式（适用于S7700&S9700）在主交换机上配置集群。集群连接方式为集群卡（缺省值，不需配置）。集群ID采用缺省值1（不需配置）。优先级为100。1在备交换机上配置集群。集群连接方式为集群卡（缺省值，不需配置）。集群ID为2。优先级为采用缺省值1（不需配置）。2 system-viewHUAWEI set css priority 100/集群优先级缺省为1，修改主交换机的优先级大于备交换机HUA

49、WEI css enable Warning:The CSS configuration takes effect only after the system is rebooted.The next CSS mode is CSS-card.Reboot now?Y/N:y /重启交换机 system-viewHUAWEI set css id 2 /集群ID缺省为1，修改备交换机的ID为2HUAWEI css enable Warning:The CSS configuration takes effect only after the system is rebooted.The nex

50、t CSS mode is CSS-card.Reboot now?Y/N:y /重启交换机使能集群后，需要重启设备才能使集群生效。查看集群卡指示灯状态 集群卡上MASTER灯绿色常亮，表示该集群卡所在的主控板为集群系统主用主控板，交换机为主交换机。集群卡上MASTER灯常灭，表示交换机为备交换机。323 通过主用主控板上的Console口登录集群，使用display device命令行查看集群是否组建成功。（对于V200R005C00及之后版本，可以通过任意主控板上的Console口登录集群。）4 display device Chassis 1(Master Switch)S9706s D

51、evice status:Slot Sub Type Online Power Register Status Role-7-EH1D2SRUC000 Present PowerOnRegistered Normal Master /主用主控板normal1 EH1D2VS08000 Present PowerOnRegistered Normal NA /主用主控板的集群卡normal8-EH1D2SRUC000 Present PowerOnRegistered Normal Slave /备用主控板normal1 EH1D2VS08000 Present PowerOnRegistere

52、d Normal NA/备用主控板的集群卡normal Chassis 2(Standby Switch)S9706s Device status:Slot Sub Type Online Power Register Status Role-7 -EH1D2SRUC000 Present PowerOnRegistered Normal Master 1 EH1D2VS08000 Present PowerOnRegistered Normal NA 8 -EH1D2SRUC000 Present PowerOnRegistered Normal Slave 1 EH1D2VS08000 P

53、resent PowerOnRegistered Normal NA24 能够查看到两台交换机的所有单板状态都为Normal，表示集群建立完成。使用display css status命令行查看集群系统的状态。5 display css statusCSS Enable switch On Chassis Id CSS Enable CSS Status CSS Mode Priority Master Force -1 On Master CSS-Card 100 Off 2 On Standby CSS-Card 1 Off 25 b.业务口方式（适用于S7700&S9700）在主交换机上

54、配置集群。集群连接方式为业务口。集群ID采用缺省值1（不需配置）。优先级为100。1 system-viewHUAWEI set css mode lpu/集群连接方式设置为lpuHUAWEI set css priority 100/集群优先级缺省为1，修改主交换机的优先级大于备交换机在备交换机上配置集群。集群连接方式为业务口。集群ID为2。优先级采用缺省值1（不需配置）。2 system-viewHUAWEI set css mode lpu/集群连接方式设置为lpuHUAWEI set css id 2 /集群ID缺省为1，修改备交换机的ID为2配置主交换机逻辑集群口。（备交换机的配置一

55、样，不再重复举例）3HUAWEI interface css-port 1 /把参与集群连接的两个物理口配置为逻辑集群口HUAWEI-css-port1 port interface xgigabitethernet 1/0/1 to xgigabitethernet 1/0/2 enable HUAWEI-css-port1 quit HUAWEI interface css-port 2 /如果有2块单板参与集群连接，则需要配置2个逻辑集群口。HUAWEI-css-port2 port interface xgigabitethernet 2/0/1 to xgigabitethernet

56、 2/0/2 enable HUAWEI-css-port2 quit HUAWEI css enable Warning:The CSS configuration takes effect only after the system is rebooted.The next CSS mode is lpu.Reboot now?Y/N:y /重启交换机使能集群后，需要重启设备才能使集群生效。查看主控板指示灯状态。主控板上ACT灯绿色常亮，表示该主控板为集群系统主用主控板，交换机为主交换机。主控板上ACT灯绿色闪烁，表示该主控板为集群系统备用主控板，交换机为备交换机。4通过主用主控板上的Co

57、nsole口登录集群，使用display device命令行查看集群状态。5 display device Chassis 1(Master Switch)S9706s Device status:Slot Sub Type Online Power Register Status Role-1 -EH1D2X12SSA0 Present PowerOnRegistered Normal NA /连接集群的1号槽单板normal2 -EH1D2X12SSA0 Present PowerOnRegistered Normal NA/连接集群的2号槽单板normal7 -EH1D2SRUC000

58、Present PowerOnRegistered Normal Master /主用主控板normal8-EH1D2SRUC000 Present PowerOnRegistered Normal Slave /备用主控板normalChassis 2(Standby Switch)S9706s Device status:Slot Sub Type Online Power Register Status Role-7 -EH1D2SRUC000 Present PowerOnRegistered Normal Master 1 EH1D2VS08000 Present PowerOnRe

59、gistered Normal NA 8 -EH1D2SRUC000 Present PowerOnRegistered Normal Slave 1 EH1D2VS08000 Present PowerOnRegistered Normal NA 能够查看到两台交换机的所有单板状态都为Normal，表示集群建立完成。26 c.集群卡方式（适用于S12700）在主交换机上配置集群。集群连接方式为集群卡（缺省值，不需配置）。集群ID采用缺省值1（不需配置）。优先级为100。1 system-viewHUAWEI set css priority 100/集群优先级缺省为1，修改主交换机的优先级大

60、于备交换机HUAWEI css enable Warning:The CSS configuration takes effect only after the system is rebooted.The next CSS mode is CSS-card.Reboot now?Y/N:y /重启交换机27 在备交换机上配置集群。集群连接方式为集群卡（缺省值，不需配置）。集群ID为2。优先级为采用缺省值1（不需配置）。2 system-viewHUAWEI set css id 2 /集群ID缺省为1，修改备交换机的ID为2HUAWEI css enable Warning:The CSS

61、configuration takes effect only after the system is rebooted.The next CSS mode is CSS-card.Reboot now?Y/N:y /重启交换机使能集群后，需要重启设备才能使集群生效。查看指示灯状态 主控板上CSS MASTER灯绿色常亮，表示该主控板为集群系统主用主控板，交换机为主交换机。主控板上CSS MASTER灯常灭，表示交换机为备交换机。3通过CSS系统任意主控板上的Console口登录集群，使用display device命令行查看集群状态。4能够查看到两台交换机的所有单板状态都为Normal，表示

62、集群建立完成。display device Chassis 1(Master Switch)S12708s Device status:Slot Sub Type Online Power Register Status Role-9-ET1D2MPUA000 Present PowerOnRegistered Normal Master/主用主控板normal10-ET1D2MPUA000 Present PowerOnRegistered Normal Slave /备用主控板normal11-ET1D2SFUC000 Present PowerOnRegistered Normal NA

63、 /交换网板normal1 EH1D2VS08000 Present PowerOnRegistered Normal NA /集群卡normal12-ET1D2SFUC000 Present PowerOnRegistered Normal NA /交换网板normal1 EH1D2VS08000 Present PowerOnRegistered Normal NA /集群卡normalChassis 2(Standby Switch)S12708s Device status:Slot Sub Type Online Power Register Status Role-9 -ET1D2

64、MPUA000 Present PowerOnRegistered Normal Slave 10 -ET1D2MPUA000 Present PowerOnRegistered Normal Master 11 -ET1D2SFUD000 Present PowerOnRegistered Normal NA 1 EH1D2VS08000 Present PowerOnRegistered Normal NA 12 -ET1D2SFUD000 Present PowerOnRegistered Normal NA 1 EH1D2VS08000 Present PowerOnRegistere

65、d Normal NA28 集群建立后，后续的配置都在主交换机上进行。29 配置管理IP和Telnet 配置交换机管理IP地址后，可以通过管理IP远程登录交换机。配置管理IP地址。1 system-viewHUAWEI interface Ethernet0/0/0/0 /此处以集群系统举例。如果是单台交换机，则管理网口为Ethernet0/0/0HUAWEI-Ethernet0/0/0/0 ip address 10.10.1.1 24HUAWEI-Ethernet0/0/0/0 quit配置Telnet。2HUAWEI telnet server enable /Telnet出厂时是关闭的

66、，需要打开。HUAWEI user-interface vty 0 4 /Telnet常用于设备管理员登录，推荐使用AAA认证。HUAWEI-ui-vty0-4 authentication-mode aaaHUAWEI-ui-vty0-4 quitHUAWEI aaa/配置管理员Telnet登录交换机的用户名和密码。用户名不区分大小写，密码区分大小写。HUAWEI-aaa local-user admin password irreversible-cipher Helloworld6789HUAWEI-aaa local-user admin privilege level 15/将管理员

67、的账号权限设置为15（最高）。使用Telnet协议存在安全风险，建议使用安全级别更高的STelnet V2登录设备。详细操作请参考配置指南-基础配置。在维护终端上Telnet到交换机。出现用户视图的命令行提示符表示登录成功。3C:Documents and SettingsAdministrator telnet 10.10.1.1 /输入交换机管理IP，并回车Login authentication Username:admin/输入用户名和密码Password:Info:The max number of VTY users is 5,and the number of current V

68、TY users on line is 1.The current login time is 2014-05-06 18:33:18+00:00./用户视图命令行提示符要将交换机连入网管中心，请参见“将交换机连入网管中心”。4配置接口与VLAN a.配置汇聚层交换机 以AGG1为例，批量创建AGG1与ACC1、ACC2互通的VLAN，以及AGG1与CORE互通的VLAN。1 system-view HUAWEI sysname AGG1AGG1 vlan batch 10 20 100配置下行接口，以AGG1连接ACC1的Eth-Trunk1为例。2 system-view AGG1 int

69、erface eth-trunk 1 AGG1-Eth-Trunk1 port link-type trunk /配置端口为trunk模式AGG1-Eth-Trunk1 port trunk allow-pass vlan 10 /配置Eth-Trunk1透传ACC1的业务VLANAGG1-Eth-Trunk1 mode lacp/配置为LACP模式AGG1-Eth-Trunk1 quitAGG1 interface GigabitEthernet 1/0/1 /将成员接口加入Eth-Trunk1AGG1-GigabitEthernet1/0/1 Eth-Trunk 1AGG1-Gigabit

70、Ethernet1/0/1 quitAGG1 interface GigabitEthernet 1/0/2AGG1-GigabitEthernet1/0/2 Eth-Trunk 1AGG1-GigabitEthernet1/0/2 quit配置上行接口，配置AGG1连接CORE的Eth-Trunk3为例。3AGG1 interface eth-trunk 3AGG1-Eth-Trunk3 port link-type trunk /配置为trunk模式AGG1-Eth-Trunk3 port trunk allow-pass vlan 10 20 100/配置Eth-Trunk3透传ACC1

71、和ACC2上的业务VLAN，以及与CORE的互通VLANAGG1-Eth-Trunk3 mode lacp/配置为LACP模式AGG1-Eth-Trunk3 quitAGG1 interface GigabitEthernet 1/0/5 /将成员口加入Eth-Trunk3AGG1-GigabitEthernet1/0/5 Eth-Trunk 3 AGG1-GigabitEthernet1/0/5 quitAGG1 interface GigabitEthernet 1/0/6AGG1-GigabitEthernet1/0/6 Eth-Trunk 3AGG1-GigabitEthernet1/

72、0/6 quitAGG1 interface GigabitEthernet 2/0/5 AGG1-GigabitEthernet2/0/5 Eth-Trunk 3AGG1-GigabitEthernet2/0/5 quitAGG1 interface GigabitEthernet 2/0/6AGG1-GigabitEthernet2/0/6 Eth-Trunk 3AGG1-GigabitEthernet2/0/6 quit30 回到组网场景 以AGG1为例，配置VLANIF接口，使部门A和部门B内的用户可以通过AGG1三层互通，并且能与CORE三层互通。4AGG1 interface vl

73、anif 10 AGG1-Vlanif10 ip address 10.10.10.1 255.255.255.0AGG1-Vlanif10 quitAGG1 interface vlanif 20AGG1-Vlanif20 ip address 10.10.20.1 255.255.255.0AGG1-Vlanif20 quitAGG1 interface vlanif 100AGG1-Vlanif100 ip address 10.10.100.2 255.255.255.0AGG1-Vlanif100 quit回到组网场景 完成接口和VLAN的配置后，可以通过以下命令查看配置结果，显示信

74、息说明可查阅命令参考。以AGG1为例，执行display eth-trunk 命令检查Eth-Trunk接口配置结果。531 AGG1 display eth-trunk 1Eth-Trunk1s state information is:Local:LAG ID:1 WorkingMode:LACP Preempt Delay:Disabled Hash arithmetic:According to SA-XOR-DA System Priority:32768 System ID:0200-0000-5703 Least Active-linknumber:1 Max Active-li

75、nknumber:8 Operate status:up Number Of Up Port In Trunk:1 -ActorPortNameStatus PortType PortPri PortNo PortKey PortState WeightGigabitEthernet1/0/1 Selected 100M 32768 2 289 10111100 1 GigabitEthernet1/0/2 Unselect 100M 32768 3 289 10100010 1 Partner:-ActorPortNameSysPriSystemIDPortPri PortNo PortKe

76、y PortStateGigabitEthernet1/0/1 32768 0012-3321-2111 32768 1 289 10111100 GigabitEthernet1/0/2 0 0000-0000-0000 0 0 0 10100011可以看到，AGG1上，接口GE1/0/1和GE1/0/2加入了Eth-Trunk 1，对端设备上，接口GE1/0/1和GE1/0/2加入了Eth-Trunk 1。执行display vlan命令检查VLAN配置结果。AGG1 display vlanThe total number of vlans is:3 -U:Up;D:Down;TG:Ta

77、gged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;-VID Type Ports -10 common TG:Eth-Trunk1(U)Eth-Trunk3(U)20 common TG:Eth-Trunk2(U)Eth-Trunk3(U)100 common TG:Eth-Trunk3(U)VID Status Property MAC-LRN Statistics Description -10 enable default enable disabl

78、e VLAN 0010 20 enable default enable disable VLAN 0020 100 enable default enable disable VLAN 0100 回到组网场景 执行display interface vlanif命令检查VLANIF配置结果，以VLANIF100为例。32 AGG1 display interface vlanif 100Vlanif100 current state:UP Line protocol current state:UP Description:Route Port,The Maximum Transmit Un

79、it is 1500 Internet Address is 10.10.100.2/24 IP Sending Frames Format is PKTFMT_ETHNT_2,Hardware address is 0200-0000-6703 Current system time:2009-04-27 05:11:58 Last 300 seconds input rate 0 bits/sec,0 packets/sec Last 300 seconds output rate 0 bits/sec,0 packets/sec Input:0 packets,0 bytes Outpu

80、t:0 packets,0 bytes Input bandwidth utilization :-Output bandwidth utilization:-可以看到，AGG1有VLAN10、20、100，分别包含Eth-Trunk 1和Eth-Trunk 3、Eth-Trunk 2和Eth-Trunk 3、Eth-Trunk 3，且接口均是以Tagged方式 加入VLAN的。可以看到，接口VLANIF上配置了IP地址10.10.100.2/24。b.配置核心层交换机 回到组网场景 批量创建CORE与AGG1、AGG2互通的VLAN以及与园区出口路由器、网管中心互联的VLAN。1 syste

81、m-view HUAWEI sysname CORECORE vlan batch 100 200 300 301 302以Eth-Trunk1为例，配置CORE连接AGG1的Eth-Trunk1。2CORE interface eth-trunk 1CORE-Eth-Trunk1 port link-type trunk /配置端口为trunk模式CORE-Eth-Trunk1 port trunk allow-pass vlan 100 CORE-Eth-Trunk1 mode lacp/配置为LACP模式CORE-Eth-Trunk1 quitCORE interface Gigabit

82、Ethernet 1/3/0/1 /因CORE是集群系统，所以接口编号是4维。CORE-GigabitEthernet1/3/0/1 Eth-Trunk 1 /因CORE是集群系统，而AGG1连接集群中每台交换机都用2条链路，所以要配置4条链路。CORE-GigabitEthernet1/3/0/1 quitCORE interface GigabitEthernet 1/3/0/2CORE-GigabitEthernet1/3/0/2 Eth-Trunk 1CORE-GigabitEthernet1/3/0/2 quitCORE interface GigabitEthernet 2/3/0

83、/1CORE-GigabitEthernet2/3/0/1 Eth-Trunk 1CORE-GigabitEthernet2/3/0/1 quitCORE interface GigabitEthernet 2/3/0/2CORE-GigabitEthernet2/3/0/2 Eth-Trunk 1CORE-GigabitEthernet2/2/0/2 quit32 配置上行接口，使园区用户能通过CORE访问Internet、网管中心、RADIUS服务器。3CORE interface GigabitEthernet 1/1/0/0CORE-GigabitEthernet1/1/0/0 por

84、t link-type trunkCORE-GigabitEthernet1/1/0/0 port trunk allow-pass vlan 300 CORE-GigabitEthernet1/1/0/0 quitCORE interface GigabitEthernet 1/1/0/1CORE-GigabitEthernet1/1/0/1 port link-type trunkCORE-GigabitEthernet1/1/0/1 port trunk allow-pass vlan 301 CORE-GigabitEthernet1/1/0/1 quitCORE interface

85、GigabitEthernet 1/1/0/2CORE-GigabitEthernet1/1/0/2 port link-type trunkCORE-GigabitEthernet1/1/0/2 port trunk allow-pass vlan 302 CORE-GigabitEthernet1/1/0/2 quit33 回到组网场景 配置VLANIF接口，使1号楼、2号楼的用户可以通过CORE三层互通、访问Internet、网管中心和RADIUS认证服务器。4CORE interface vlanif 100CORE-Vlanif100 ip address 10.10.100.1 2

86、55.255.255.0CORE-Vlanif100 quitCORE interface vlanif 200CORE-Vlanif200 ip address 10.10.200.1 255.255.255.0CORE-Vlanif200 quitCORE interface vlanif 300CORE-Vlanif300 ip address 10.10.1.1 255.255.255.0CORE-Vlanif300 quitCORE interface vlanif 301CORE-Vlanif301 ip address 10.10.2.1 255.255.255.0CORE-Vl

87、anif301 quitCORE interface vlanif 302CORE-Vlanif302 ip address 10.10.3.1 255.255.255.0CORE-Vlanif302 quit34#执行display eth-trunk 命令检查Eth-Trunk接口配置结果。CORE display eth-trunk 1Eth-Trunk1s state information is:Local:LAG ID:1 WorkingMode:LACP Preempt Delay:Disabled Hash arithmetic:According to SA-XOR-DA S

88、ystem Priority:32768 System ID:0200-0000-6703 Least Active-linknumber:1 Max Active-linknumber:8 Operate status:up Number Of Up Port In Trunk:1 -ActorPortNameStatus PortType PortPri PortNo PortKey PortState WeightGigabitEthernet1/3/0/1 Selected 100M 32768 2 289 10111100 1 GigabitEthernet1/3/0/2 Unsel

89、ect 100M 32768 3 289 10100010 1GigabitEthernet2/3/0/1 Unselect 100M 32768 4 289 10111100 1 GigabitEthernet2/3/0/2 Unselect 100M 32768 5 289 10100010 1 Partner:-ActorPortNameSysPriSystemIDPortPri PortNo PortKey PortStateGigabitEthernet1/0/5 32768 0012-3321-2211 32768 1 289 10111100 GigabitEthernet1/0

90、/6 0 0012-3321-2211 0 0 0 10100011GigabitEthernet2/0/5 0 0012-3321-2211 0 0 0 10100011GigabitEthernet2/0/6 0 0012-3321-2211 0 0 0 10100011 可以看到，Eth-Trunk1在CORE上绑定了GE1/3/0/1、GE1/3/0/2、GE2/3/0/1和GE2/3/0/2，对端设备上绑定了GE1/0/5、GE1/0/6、GE2/0/5、GE2/0/6。完成接口和VLAN的配置后，可以通过以下命令查看配置结果，显示信息说明可查阅命令参考。5回到组网场景#执行disp

91、lay vlan命令检查VLAN配置结果。35 CORE display vlanThe total number of vlans is:5 -U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;-VID Type Ports -100 common TG:Eth-Trunk1(U)200common TG:Eth-Trunk2(U)300common TG:GE1/0/0(U)301common TG:GE1/0/1(U

92、)302common TG:GE1/0/2(U)VID Status Property MAC-LRN Statistics Description -100 enable default enable disable VLAN 0100 200enable default enable disable VLAN 0200 300 enable default enable disable VLAN 0300 301enable default enable disable VLAN 0301302enable default enable disable VLAN 0302 CORE上存在V

93、LAN100、200、300、301、302，分别加入的端口为Eth-Trunk1、Eth-Trunk2、GE1/0/0、GE1/0/1、GE1/0/2，各接口均是以Tagged方式加入VLAN。#执行display interface vlanif命令检查VLANIF配置结果，以VLANIF100为例。CORE display interface vlanif 100Vlanif100 current state:UP Line protocol current state:UP Last line protocol up time:2014-06-27 04:13:51 Descripti

94、on:Route Port,The Maximum Transmit Unit is 1500 Internet Address is 10.10.100.1/24 IP Sending Frames Format is PKTFMT_ETHNT_2,Hardware address is 0200-0000-6703 Current system time:2014-06-27 05:12:27 Last 300 seconds input rate 0 bits/sec,0 packets/sec Last 300 seconds output rate 0 bits/sec,0 pack

95、ets/sec Input:0 packets,0 bytes Output:0 packets,0 bytes Input bandwidth utilization :-Output bandwidth utilization:-可以看到，VLANIF100接口状态Up，接口上的IP地址为10.10.100.1/24。配置路由 配置AGG1。1AGG1 interface LoopBack 0AGG1-LoopBack0 ip address 2.2.2.2 32AGG1-LoopBack0 quitAGG1 router id 2.2.2.2AGG1 ospf 1AGG1-ospf-1

96、area 0 /将AGG1到CORE之间的网段规划到骨干区域AGG1-ospf-1-area-0.0.0.0 network 10.10.100.0 0.0.0.255/在VLANif100接口使能OSPFAGG1-ospf-1-area-0.0.0.0 network 2.2.2.2 0.0.0.0/在Loopback0接口使能OSPFAGG1-ospf-1-area-0.0.0.0 quitAGG1-ospf-1 area 1 /将AGG1下行接入的网段规划到非骨干区域AGG1-ospf-1-area-0.0.0.1 network 10.10.10.0 0.0.0.255/在VLANif

97、10接口使能OSPFAGG1-ospf-1-area-0.0.0.1 network 10.10.20.0 0.0.0.255/在VLANif20接口使能OSPFAGG1-ospf-1-area-0.0.0.0 quit 配置AGG2。2AGG1 interface LoopBack 0AGG1-LoopBack0 ip address 3.3.3.3 32AGG1-LoopBack0 quitAGG1 router id 3.3.3.3AGG1 ospf 1AGG1-ospf-1 area 0 /将AGG1到CORE之间的网段规划到骨干区域AGG1-ospf-1-area-0.0.0.0 n

98、etwork 10.10.200.0 0.0.0.255/在VLANif200接口使能OSPFAGG1-ospf-1-area-0.0.0.0 network 3.3.3.3 0.0.0.0/在Loopback0接口使能OSPFAGG1-ospf-1-area-0.0.0.0 quitAGG1-ospf-1 area 1 /将AGG1下行接入的网段规划到非骨干区域AGG1-ospf-1-area-0.0.0.1 network 10.10.30.0 0.0.0.255/在VLANif30接口使能OSPFAGG1-ospf-1-area-0.0.0.1 network 10.10.40.0 0.

99、0.0.255/在VLANif40接口使能OSPFAGG1-ospf-1-area-0.0.0.0 quit回到组网场景 36 在AGG1、AGG2、CORE上配置动态路由协议OSPF，使得部门A与部门B之间能够通过三层互访。在AGG1上使用display ip routing-table命令查看IP路由表 4AGG1 display ip routing-tableRoute Flags:R-relay,D-download to fib -Routing Tables:Public Destinations:10 Routes:10 Destination/Mask Proto Pre C

100、ost Flags NextHopInterface 10.10.1.0/24 OSPF 10 2 D 10.10.10.1 Vlanif1010.10.2.0/24 OSPF 10 2 D 10.10.10.1 Vlanif1010.10.3.0/24 OSPF 10 2 D 10.10.10.1 Vlanif10 10.10.200.0/24 OSPF 10 2 D 10.10.10.1 Vlanif1010.10.30.0/24 OSPF 10 3 D 10.10.0.1 Vlanif10 10.10.40.0/24 OSPF 10 3 D 10.10.0.1 Vlanif1010.10

101、.10.0/24 Direct 0 0 D 10.20.1.1 Vlanif10 10.10.10.1/32 Direct 0 0 D 10.20.1.1 Vlanif1010.10.20.0/24 Direct 0 0 D 10.20.1.1 Vlanif20 10.10.20.1/32 Direct 0 0 D 10.20.1.1 Vlanif2037 配置CORE。3能够查看到有到RADIUS服务器、网管中心、Router、部门B网段的OSPF路由，说明OSPF协议配置成功。两条直连路由是链路发现自动生成，用于部门A内部用户的互访。回到组网场景 CORE interface LoopBa

102、ck 0CORE-LoopBack0 ip address 1.1.1.1 32CORE-LoopBack0 quitCORE router id 1.1.1.1CORE ospf 1CORE-ospf-1 area 0 /将AGG1到CORE、网管中心到CORE、Router到Core之间的网段规划到骨干区域CORE-ospf-1-area-0.0.0.0 network 10.10.100.0 0.0.0.255 /在VLANif100接口使能OSPFCORE-ospf-1-area-0.0.0.0 network 10.10.200.0 0.0.0.255 /在VLANif200接口使能

103、OSPFCORE-ospf-1-area-0.0.0.0 network 10.10.1.0 0.0.0.255 /在VLANif300接口使能OSPFCORE-ospf-1-area-0.0.0.0 network 10.10.2.0 0.0.0.255 /在VLANif301接口使能OSPFCORE-ospf-1-area-0.0.0.0 network 10.10.3.0 0.0.0.255 /在VLANif302接口使能OSPFCORE-ospf-1-area-0.0.0.0 network 1.1.1.1 0.0.0.0 /在Loopback0接口使能OSPFCORE-ospf-1-

104、area-0.0.0.0 quit园区内的主机使用的是私网地址，因此还必须在园区出口网关Router上配置NAT策略，进行公网地址和私网地址的转换。园区内的主机才能正常访问Internet。38 在AGG1上使用ping命令检查1号楼与2号楼之间路由是否可达。（以ping ACC3接入到AGG2的接口网关为例）5AGG1 ping -a 10.10.10.1 10.10.30.1PING 10.10.30.1 data bytes,press CTRL_C to breakReply from 10.10.30.1 :bytes=56 Sequence=1 ttl=253 time=62 ms

105、Reply from 10.10.30.1:bytes=56 Sequence=2 ttl=253 time=16 ms Reply from 10.10.30.1:bytes=56 Sequence=3 ttl=253 time=62 msReply from 10.10.30.1:bytes=56 Sequence=4 ttl=253 time=94 msReply from 10.10.30.1:bytes=56 Sequence=5 ttl=253 time=63 ms-10.10.30.1 ping statistics-5 packet(s)transmitted 5 packet

106、(s)received能Ping通，说明1号楼与2号楼之间路由可达。a.配置DHCP Server 在CORE上配置DHCP Server。使1号楼和2号楼的用户都能获取到正确的IP地址。以下以1号楼为例，说明配置DHCP Server的步骤。创建地址池。配置出口网关、租期（采用缺省值1天，不需配置）并配置为打印机（MAC地址为a-b-c）分配固定的IP地址10.10.10.254。1 system-viewCORE dhcp enableCORE ip pool 10CORE-ip-pool-10 network 10.10.10.0 mask 24 /配置1号楼VLAN10内用户可分配的地

107、址范围CORE-ip-pool-10 static-bind ip-address 10.10.10.254 mac-address a-b-c/配置为打印机分配固定的IP地址CORE-ip-pool-10 gateway-list 10.10.10.1 /配置1号楼VLAN10内用户的网关地址CORE-ip-pool-10 quitCORE ip pool 20CORE-ip-pool-20 network 10.10.20.0 mask 24 /配置1号楼VLAN20内用户可分配的地址范围CORE-ip-pool-20 gateway-list 10.10.20.1 /配置1号楼VLAN2

108、0内用户的网关地址CORE-ip-pool-20 quit配置1号楼用户从全局地址池获取IP地址。2CORE interface vlanif 10CORE-Vlanif10 dhcp select global /配置1号楼VLAN10内用户从全局地址池获取IP地址CORE-Vlanif10 quitCORE interface vlanif 20CORE-Vlanif20 dhcp select global /配置1号楼VLAN20内用户从全局地址池获取IP地址CORE-Vlanif20 quit39 配置DHCP 回到组网场景 40 使用display ip pool命令，查看全局地址

109、池10和20的配置情况和使用情况，以全局地址池10为例。3回到组网场景 CORE display ip pool name 10Pool-name :10 Pool-No :0 Lease :1 Days 0 Hours 0 Minutes Domain-name :-DNS-server0 :-NBNS-server0 :-Netbios-type :-Position :Local Status :Unlocked Gateway-0 :10.10.10.1 Network :10.10.10.0 Mask :255.255.255.0 VPN instance :-Start End T

110、otal Used Idle(Expired)Conflict Disable -10.10.10.1 10.10.10.254 253 4 249(0)0 0 -查看地址池的配置情况。查看地址池的使用情况。因CORE上配置的DHCP Server与1号楼和2号楼的用户不在一个网段，因此需要在AGG1和AGG2上配置DHCP Relay。以下以AGG1为例，说明DHCP Relay的配置。1 system-viewAGG1 dhcp enableAGG1 interface vlanif 10AGG1-Vlanif10 dhcp select relay /使能接口的DHCP Relay功能A

111、GG1-Vlanif10 dhcp relay server-ip 10.10.100.1 /配置中继代理的DHCP服务器AGG1-Vlanif10 quitAGG1 interface vlanif 20AGG1-Vlanif20 dhcp select relay /使能接口的DHCP Relay功能AGG1-Vlanif20 dhcp relay server-ip 10.10.100.1 /配置中继代理的DHCP服务器AGG1-Vlanif20 quit 检查配置结果。2 display dhcp relay allDHCP relay agent running informatio

112、n of interface Vlanif10:Server IP address 00:10.10.100.1 Gateway address in use:10.10.10.1 DHCP relay agent running information of interface Vlanif20:Server IP address 00:10.10.100.1 Gateway address in use:10.10.20.1 41 b.配置DHCP Relay 回到组网场景 查看DHCP Relay的配置情况。创建RADIUS服务器模板。配置RADIUS认证服务器、共享密钥。1 syste

113、m-viewCORE radius-server template rad/配置RADIUS服务器模板radCORE-radius-rad radius-server authentication 10.10.3.2 1812/配置RADIUS认证服务器IP地址、端口号CORE-radius-rad radius-server shared-key cipher Huawei123/配置RADIUS服务器模板内的共享密钥，需与服务器上的配置保持一致CORE-radius-rad quit配置认证方案。2CORE aaaCORE-aaa authentication-scheme auth /配

114、置认证方案authCORE-aaa-authen-auth authentication-mode radius/配置认证模式为RADIUSCORE-aaa-authen-auth quit42 配置NAC 回到组网场景 配置域，在域下应用认证方案auth、RADIUS服务器模板rad。3CORE-aaa domain authentication-scheme auth CORE-aaa-domain-huawei radius-server radCORE-aaa-domain-huawei quit CORE-aaa quit CORE domain quit在CORE上配置RADIUS

115、方案，以便CORE通过RADIUS服务器对接入用户进行身份认证。a.配置RADIUS方案 43 使用display radius-server configuration template template-name命令，可以查看到该RADIUS服务器模板的配置与要求一致。4回到组网场景 display radius-server configuration template rad-Server-template-name :radProtocol-version :standard Traffic-unit :B Shared-secret-key :%.7ZR9L6Qv3Q3=UECY#

116、e9N%Timeout-interval(in second):5 Retransmission :3 EndPacketSendTime:0 Dead time(in minute):5 Domain-included :OrignalNAS-IP-Address :0.0.0.0 Calling-station-id MAC-format:xxxx-xxxx-xxxxNAS-IPv6-Address :Server algorithm :master-backup Authentication Server 1 :10.10.3.2 Port:1812 Weight:80 Vrf:-Loo

117、pBack:NULLSource IP:-在CORE上使能802.1x认证和MAC认证，以便CORE对用户进行网络接入控制。将NAC配置模式切换成统一模式。1 system-viewCORE authentication unified-mode /缺省情况下，NAC配置模式即为统一模式。如果当前模式为传统模式，则切换到统一模式后必须重启设备。b.1 使能802.1x认证和MAC认证（统一模式）在交换机V200R005C00版本及其之后版本，NAC支持统一配置模式与传统配置模式。推荐使用NAC统一配置模式进行配置。能够查看到“rad”服务器模板的各项配置信息。使能802.1x认证和MAC认证。

118、2CORE interface eth-trunk 1 CORE-Eth-Trunk1 authentication dot1x mac-authen/802.1x认证适用于PC终端接入，MAC认证适用于打印机等哑终端接入。CORE-Eth-Trunk1 quit CORE interface eth-trunk 2CORE-Eth-Trunk2 authentication dot1x mac-authenCORE-Eth-Trunk2 quitCORE quit44 使用命令display dot1x查看Eth-Trunk1和Eth-Trunk2接口下的8021.x认证信息，以Eth-Tr

119、unk1为例。3 display dot1x interface eth-trunk 1Eth-Trunk1 status:UP 802.1x protocol is Enabled Authentication mode is multi-authenAuthentication method is CHAP Reauthentication is disabled Maximum users:8192 Current users:0 Authentication Success:0 Failure:0 EAPOL Packets:TX :0 RX :0 Sent EAPOL Request

120、/Identity Packets :0 EAPOL Request/Challenge Packets:0 Multicast Trigger Packets :0 EAPOL Success Packets :0 EAPOL Failure Packets :0 Received EAPOL Start Packets :0 EAPOL Logoff Packets :0 EAPOL Response/Identity Packets:0 EAPOL Response/Challenge Packets:0能够看到Eth-Trunk1接口下802.1x认证已使能。45 回到组网场景 dis

121、play mac-authen interface eth-trunk 1Eth-Trunk1 state:UP.MAC address authentication is enabledReauthentication is enabled Reauthen Period:1800s Maximum users:8192 Current users:0 Authentication Success:0,Failure:0 使用命令display mac-authen查看Eth-Trunk1和Eth-Trunk2接口下的MAC认证信息，以Eth-Trunk1为例。4在CORE上使能802.1x

122、认证，以便CORE对用户进行网络接入控制。将NAC配置模式切换成传统模式。1b.2 使能802.1x认证（传统模式）在交换机SV200R005C00版本及其之后版本，NAC支持统一配置模式与传统配置模式。推荐使用NAC统一配置模式进行配置。system-viewCORE undo authentication unified-mode /缺省情况下，NAC配置模式为统一模式。在将统一模式切换成传统模式后，必须重启设备配置才能生效。在交换机SV200R005C00之前版本，无需配置该步骤。使能802.1x认证。2CORE dot1x enableCORE dot1x enable interfa

123、ce eth-trunk 1 eth-trunk 2CORE dot1x mac-bypass interface eth-trunk 1 eth-trunk 2 /MAC旁路认证适用于打印机等哑终端接入。能够看到Eth-Trunk1接口下MAC认证已使能。46 回到组网场景 在AGG1和ACC1上配置802.1x报文透传功能，以便802.1x认证报文能够透传到CORE上。在AGG1上配置802.1x报文透传功能。1 system-viewAGG1 l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-000

124、3 group-mac 0100-0000-0002 Info:Please make sure the input multicast MAC address doesnt conflict with other protocols.AGG1 interface eth-trunk 1 /在连接上行以及下行设备的接口上均需要使能802.1x报文透传功能AGG1-Eth-Trunk1 l2protocol-tunnel user-defined-protocol 802.1x enableAGG1-Eth-Trunk1 quitAGG1 interface eth-trunk 2 AGG1-E

125、th-Trunk2 l2protocol-tunnel user-defined-protocol 802.1x enableAGG1-Eth-Trunk2 quitAGG1 interface eth-trunk 3 AGG1-Eth-Trunk3 l2protocol-tunnel user-defined-protocol 802.1x enableAGG1-Eth-Trunk3 quitAGG1 quitc.配置802.1x报文透传功能 使用命令display dot1x查看Eth-Trunk1和Eth-Trunk2接口下的8021.x认证信息，以Eth-Trunk1为例。3 disp

126、lay dot1x interface eth-trunk 1Eth-Trunk1 status:UP 802.1x protocol is Enabledmac-bypass Port control type is Auto Authentication mode is MAC-based Authentication method is EAP Reauthentication is disabled Maximum users:16384 Current users:0 Authentication Success:0 Failure:0 EAPOL Packets:TX :0 RX

127、:0 Sent EAPOL Request/Identity Packets :0 EAPOL Request/Challenge Packets:0 Multicast Trigger Packets :0 EAPOL Success Packets :0 EAPOL Failure Packets :0 Received EAPOL Start Packets :0 EAPOL Logoff Packets :0 EAPOL Response/Identity Packets:0 EAPOL Response/Challenge Packets:0 c.配置802.1x报文透传功能 能够看

128、到Eth-Trunk1接口下802.1x认证已使能，并且同时开启了MAC旁路认证功能。47 在ACC1上配置802.1x报文透传功能。2 system-viewAGG1 l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 Info:Please make sure the input multicast MAC address doesnt conflict with other protocols.ACC1 interface eth-trunk

129、 1/在连接上行设备以及下行用户终端的所有接口上均需要使能802.1x报文透传功能ACC1-Eth-Trunk1 l2protocol-tunnel user-defined-protocol 802.1x enableACC1-Eth-Trunk1 bpdu enableACC1-Eth-Trunk1 quitACC1 interface ethernet 0/0/2 ACC1-Ethernet0/0/2 l2protocol-tunnel user-defined-protocol 802.1x enableACC1-Ethernet0/0/2 bpdu enableACC1-Ethern

130、et0/0/2 quitACC1 interface ethernet 0/0/3 ACC1-Ethernet0/0/3 l2protocol-tunnel user-defined-protocol 802.1x enableACC1-Ethernet0/0/3 bpdu enableACC1-Ethernet0/0/3 quitACC1 quit display l2protocol-tunnel statistics eth-trunk 1 user-defined-protocol 802.1x-Port Protocol Drop Input Output DropThreshold

131、 Packets Packets Packets-Eth-Trunk1 802.1x 100 12345 67890 1235使用命令display l2protocol-tunnel statistics查看AGG1和ACC1指定接口透明传输的802.1x协议统计信息。以查看AGG1的Eth-Trunk1接口为例。3在802.1x协议透传配置成功后，用户认证时，能够看到802.1x协议报文统计信息。将交换机接入网管中心 配置用户组和用户，对用户的数据进行认证和加密。1回到组网场景 system-viewCORE snmp-agent sys-info version v3 /配置Core的S

132、NMP版本为SNMPv3CORE snmp-agent mib-view included isoview iso/配置MIB视图CORE snmp-agent group v3 admin privacy write-view isoview/配置用户组CORE snmp-agent usm-user v3 nms-admin group admin /配置用户CORE snmp-agent usm-user v3 nms-admin authentication-mode sha/配置对用户认证形式Please configure the authentication password(8

133、-64)Enter Password:Confirm Password:CORE snmp-agent usm-user v3 nms2-admin privacy-mode aes256/配置对用户数据加密Please configure the privacy password(8-64)Enter Password:Confirm Password:配置告警功能。248 检查配置结果。3CORE snmp-agent target-host trap address udp-domain 10.10.1.100 params securityname nms2-admin v3 priv

134、acy CORE display snmp-agent sys-info versionSNMP version running in the system:SNMPv3CORE display snmp-agent mib-view viewname isoviewView name:isoviewMIB Subtree:isoSubtree mask:FC(Hex)Storage-type:nonVolatileView Type:includedView status:activeCORE display snmp-agent group admin Group name:admin S

135、ecurity model:v3 AuthPriv Readview:ViewDefault Writeview:isoviewNotifyview:Storage-type:nonVolatileCORE display snmp-agent usm-user User name:nms2-adminEngine ID:800007DB0300259E0370C3 active查看SNMP版本。查看MIB视图。查看用户组信息。查看用户信息。业务验证 部门内部选两台PC进行ping测试，验证部门内部二层互通是否正常。1回到组网场景 同一个楼内从两个不同部门内各选一台PC进行ping测试，验证本

136、幢内部楼通过VLANIF实现三层互通是否正常。247 从1号楼和2号楼各选一台PC进行ping测试，验证两个楼之间的用户通过路由实现内网互通是否正常。3以部门A为例，PC1和PC2是通过ACC1实现二层互通的。如果PC1和PC2之间互ping测试正常则说明二层互通正常。以1号楼为例，部门A和部门B之间的用户是通过AGG1上的VLANIF实现三层互通的。如果PC1和PC3之间互ping测试正常则说明两个部门之间通过VLANIF实现三层互通正常。ping测试命令与步骤 1 类似 。ping 10.10.20.10 /假设PC2通过DHCP自动获取的IP地址为10.10.20.10PING 10.1

137、0.20.10 data bytes,press CTRL_C to breakReply from 10.10.20.10 :bytes=56 Sequence=1 ttl=253 time=62 msReply from 10.10.20.10:bytes=56 Sequence=2 ttl=253 time=16 ms Reply from 10.10.20.10:bytes=56 Sequence=3 ttl=253 time=62 msReply from 10.10.20.10:bytes=56 Sequence=4 ttl=253 time=94 msReply from 10.

138、10.20.10:bytes=56 Sequence=5 ttl=253 time=63 ms-10.10.20.10 ping statistics-5 packet(s)transmitted 5 packet(s)received能Ping通，说明PC1与PC2之间二层互通正常。1号楼和2号楼之间的用户是通过路由互通的。以PC1和PC4为例，如果PC1和PC4之间ping测试正常则说明1号楼和2号楼之间路由可达，通过路由实现内网互通正常。ping测试命令与步骤 1 类似 。4以部门A的PC1为例，一般可以通过在PC1上ping公网网关地址（即与出口路由器对接的运营商设备的IP地址）来验证

139、是否可以访问Internet，如果ping测试正常则说明内网用户访问Internet正常。ping测试命令与步骤 1 类似 。每个部门各选一台PC进行ping公网地址测试，验证公司内网用户访问Internet是否正常。49 50 保存配置 通过命令行配置的数据是临时性的。如果不保存，交换机重启后这些配置都会丢失。如果要使当前配置在交换机重启后仍然有效，需要将当前配置保存为配置文件。保存配置。(以CORE为例)saveThe current configuration will be written to the device.Are you sure to continue?Y/Ny Now

140、saving the current configuration to the slot 13.Save the configuration successfully.4 常见问题 1 如何清除配置？如何清空配置？如何恢复出厂配置？恢复出厂配置后，已有配置数据将被全部清除，请提前保存配置文件。恢复交换机出厂配置。reset saved-configurationWarning:The action will delete the saved configuration in the device.The configuration will be erased to reconfigure.C

141、ontinue?Y/N:yWarning:Now clearing the configuration in the device.Info:Succeeded in clearing the configuration in the device.rebootInfo:The system is now comparing the configuration,please wait.Warning:The configuration has been modified,and it will be saved to the next startup saved-configuration f

142、ile flash:/vrpcfg.zip.Continue?Y/N:nInfo:If want to reboot with saving diagnostic information,input N and then execute reboot save diagnostic-information.System will reboot!Continue?Y/N:y2 如何一键清除接口配置？一键清除接口配置，可以执行clear configuration this（接口视图）命令或clear configuration interface（系统视图）命令，并将接口shutdown。一键清

143、除接口配置后接口被shutdown，需要执行undo shutdown打开接口。51 3 如何重置Console密码？Telnet登录交换机，修改Console密码。system-viewHUAWEI user-interface console 0 HUAWEI-ui-console0 authentication-mode password HUAWEI-ui-console0 set authentication password cipher huawei123 HUAWEI-ui-console0 return如果用户的Telnet账号具有3级或更高的权限，则可以通过Telnet登录

144、到设备后修改Console密码。52 4 如何重置Telnet密码？通过Console口登录交换机，修改Telnet密码。（以AAA验证方式为例）system-viewHUAWEI aaaHUAWEI-aaa local-user user11 password irreversible-cipher huawei123 如果用户不记得原登录的用户名，可以新配置一个用户名和密码，配置方法参见“配置管理IP与Telnet”。如果Telnet采用Password验证方式，请参考S7700&S9700 故障处理中的“密码遗忘”重置Telnet密码。5 如何配置地址池中不参与自动分配的IP地址？配置方

145、式：接口视图下（接口地址池）执行命令：dhcp server excluded-ip-address start-ip-address end-ip-address 全局地址池视图下执行命令：excluded-ip-address start-ip-address end-ip-address 地址池中的部分IP地址如果需要保留以提供其他的服务，如分配给DNS服务器，需要把这些不参与自动分配的IP地址在地址池中排除出去，防止这些地址被DHCP服务器自动分配出去，引起IP地址冲突。6 如何配置租期？配置方式：接口视图下（接口地址池）执行命令：dhcp server lease day day h

146、our hour minute minute|unlimited 全局地址池视图下执行命令：lease day day hour hour minute minute|unlimited 缺省情况下，租期为1天。在咖啡厅、机场、酒店等流动性较大的场所，建议设置较短的租期；在企业办公区域等相对稳定的场所，建议设置较长的租期。53 7 如何为客户端分配固定的IP地址？有些重要主机为了保证稳定性，需要使用固定的IP地址。这种情况下，可以为指定客户端分配固定IP地址。被分配的固定IP地址必须在地址池可动态分配的IP地址范围之内。配置方式：接口视图下（接口地址池）执行命令：dhcp server sta

147、tic-bind ip-address ip-address mac-address mac-address 全局地址池视图下执行命令：static-bind ip-address ip-address mac-address mac-address option-template template-name 5 更多的参考资料 在您配置数据的过程中，如果想获得更多的信息，您还可以：信息 链接 浏览和查阅交换机 配置指南 http:/ http:/ http:/ http:/ 浏览和查阅交换机 典型配置案例集 在技术论坛中 发帖求助 在知道社区中 向专家提问 http:/ 浏览和查阅交换机 配置注意事项集 54 二层交换机与防火 墙对接上网 三层交换机与防火 墙对接上网 二层交换机与路由 器对接上网 三层交换机与路由 器对接上网 http:/ http:/ http:/ http:/