null第一章 交换机的初始配置第一章 交换机的初始配置null1、超级终端的配置
开始-附件-通讯-超级终端,在 COM 口属性的窗口中选择还原默认值。
每秒位数(B):9600
数据位(D): 8
奇偶校验(P):无
停止位(S):1
数据流控制(F): 无2、配置主机名
命令:hostname
:其中主机名长度最长为 64 字节
实例:例如需要配置设备的名称为 Blue,则命令如下
AN(config)#hostname test_5304xl
Test_5304xl(config)#一、基本命令 null3、配置 VLAN IP 地址
命令:[no]vlan ip address 或
[no]vlan ip address 或
Vlan ip addess dhcp-bootp
实例:例如需要对设备划分一个 VLAN 采用两种不同底方式进行配置
Blue(config)# vlan 1 ip address 192.168.0.23 255.255.255.0 或
Blue(config)# vlan 1 ip address 192.168.0.23/24
查看当前 VLAN 地址命令:show vlan
4、配置网关
配置网关命令:
ip default-gateway
实例:配置一个缺省的网关
Blue(config)# ip default-gateway 192.168.0.1null5、测试网络联通情况
HP 系列产品提供了 Ping 和 traceroute 来检查网路的联通状况。
ping 命令示例:
Blue(config)#ping 192.168.0.1
Traceroute 命令示例:
Blue(config)#traceroute 192.168.10.1 null二、配置交换机web访问和telnet 访问 1.配置 CLI 接口访问
列出当前控制台、串口连接配置。这条命令是显示当前接口访问的参数置。
语法:show console
2.默认情况下入口的 TELNET 访问是允许的
语法:[no]telnet-server
3.禁止 TELNET 入口访问
语法:Procurve(config)# no telnet-server
4.重新允许 TELNET 入口访问
语法:Procurve(config)# telnet-server
5.远程 TELNET 另外的一台设备并查看该设备的状态
语法:Procurve(config)# telnet 192.168.2.35
null6.默认情况下 WEB 方式配置交换机是允许的
语法:[no]web-management
7. 禁止 WEB 方式配置交换机
语法:Procurve(config)# no web-management
8. 允许 WEB 方式配置交换机
语法:Procurve(config)# web-management
可以使用 Http://(该地址为虚拟地址,客户可根据具体的设置改动)。三、 设置用户名及密码 语法: [no]password [user-name ASCII][no]password all>
设置操作员密码不用设置用户名:(操作员只有只读的权限)
Blue#config
Blue(config)# password operator
12345678 (密码将显示成:********)12345678 为密码
12345678 (再次输入密码进行校验)
设置管理员的用户名和密码:(管理员有完全的读和写的权限)
Blue#config
Blue(config)# password manager username svacomm svacomm 为用户名
12345678 (密码将显示成:********)12345678 为密码null四、交换机映像更新及配置文件备份与恢复 1.将配置文件备份到 TFTP 服务器上
将交换机的配置备份到远程的 TFTP 服务器上
语法:copy tftp[pc|unix]
或 copy configtftp[pc|unix]
实例:将配置文件备份到一台 TFTP 服务器上
ProCurve# copy startup-config tftp 10.28.227.105 d:\configs\sw5300
2.将从 TFTP 服务器上的配置文件恢复到交换机
将交换机的配置备份到远程的 TFTP 服务器上。
语法:copy tftp [pc|unix]
或 copy tftp config [pc|unix]
实例:将 TFTP 服务器上的备份文件恢复到交换机上
ProCurve#copy tftp startup-config 10.28.227.105 d:\configs\sw2512null3.升级交换机的映象文件
先到网站上下载映象文件。http://www.hp.com/rnd/software/switches.htm 该站点包含了最新的升级软件。
将文件拷贝到 TFTP 服务器使用一下命令
语法:copy tftp flash
实例:将 TFTP 服务器上的映像文件拷贝到交换机上
copy tftp flash 10.1.2.3 h2r07504.bin secondary
boot system flash secondary
在交换机中有两个闪存可以使用如下命令,从第二个闪存区域复制软件映像至第一个区域:Copy flash flash primarynull4. 密码恢复方法和清除配置办法
如果密码丢失点击交换机面板前的 clear 按钮。当点击 clear 按钮后将删除交换面的密码和用户名。可以使用面板上的 reset 及 clear 按钮恢复设备的出厂值:同时按住 reset 及 clear 按钮,大约 5 秒钟后放开 reset 按钮,继续按住 clear 按钮,等 面板上的 sefltest ,放开按钮。为了保护你交换机的配置安全,建议将交换机放置在安全的场所,不被外人有物理接触。
该按钮的可以使用如下命令行格式:
语法:[no] front-panel-security password-clear reset-on-clear
清除配置命令格式:
语法: erase startup-config或者erase config <文件名>。第二章 二层相关
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
设置 第二章 二层相关协议设置 null一、端口的命名方式 HP 5300/5400 交换机的面板如下图所示,端口在配置文件中的命名是以槽位/序号的方式进行:以 5406 为例,槽位编号从左至右,从上到下分别是:A、B、C、D、E、F如 A 模块的第一个端口就叫:A1
其它的非模块化交换机的端口命名以序号标识:如 2626 的 15 个端口就是 15。
给一个端口或一些端口配置一个友好的名字
语法:interface < port-list > name < port-name-string >
在端口列表中删除
语法:no interface < port-list > name实例:给一个端口配置一个名字 link_web_server
test_5304xl(config)# int a1 name link_web_server
test_5304xl(config)# show name
Port Names
Port Type Name
A1 100/1000T link_web_server
A2 100/1000T Link_client_2null二、端口物理参数配置 1.设置端口的工作模式
显示每个端口的工作模式,使用命令:
语法:show interfaces [ brief | config | < port-list >]
查看端口的情况:
test_5304xl(config)# show interfaces brief
更改端口的工作模式,使用命令:
语法: speed-duplex
实例:将 A1 端口的工作模式更换为百兆全双工
test_5304xl(eth-A2)# int a1
test_5304xl(eth-A1)# speed-duplex 100 ful1
test_5304xl(eth-A2)# show int brnull2.对端口的流量进行限制
限制一个或一些端口的 INBOUND 流量使用命令:
语法:[no] int rate-limit< 0..100 >
实例:给一个端口和一些端口限制流量
test_5304xl(config)# int a1,a2 rate-limit all 60
test_5304xl(config)# show rate-limit all三、基于端口的 VLAN 划分方法 基于端口 VLAN 划分命令
语法:vlan < vid >
vlan < vid > < tagged | untagged >
一般情况下,接电脑的端口设为 untagged 端口,而交换机与交换机之间的连接设置为 tagged端口。null在 SW1 上,接普通电脑的端口为 A1,A2,所以它们应该设为 untagged,而 A3 端口用于交换机间互联,并且要让 VLAN2 及 VLAN3 的数据包通过,所以应该设置为 tagged。 SW1交换机的配置
vlan 2
Untagged A1
Tagged A3
Vlan 3
Untagged A2
Tagged A3SW2交换机的配置
vlan 2
Untagged A1
Tagged A3
Vlan 3
Untagged A2
Tagged A3null四、TRUNKING(LAG)的配置 TRUNKING 是指链路聚合,就是把多个端口聚合成一个端口来使用,提供高速链路,并提供交换机连接的冗余性。设置 trunking 时在一个聚合组里的端口的物理参数要一至,如:端口类型要一致,同 为电口或者光口;速率及双工模式一致,同为全双工或者半双工及自动协商。 配置完一个 trunking 组后,以 trk1,trk2 等等设置逻辑参数,如 VLAN 的设置使用如下 命令:
Vlan 5 tagged trk1
这样同在 trk1 组中的端口全部可以接受带 801.1Q VLAN 5 的数包。
配置 Trunk 命令:
最后的表示使用何种协议来建立 trunking, trunk 表示静态的配置,而lacp 则使用链路聚合协议来完成 trunking 的建立。
语法:trunk < port-list > < trk1 ... trk36 > < trunk | lacp > null五、生成树(STP/RSTP)的配置方法 查看生成树命令:
语法:show spanning-tree config
HP ProCurve Switch 2626(config)# show spanning-tree config
启动生成树协议命令:
语法:spanning-tree protocol-version stp
write memory
Boot
该命令是使用标准的生成树,如果要使用 RSTP 则使用如下命令: Spanning-tree protocol-version rstp重新配置每个端口的 STP 协议:
语法:spanning-tree< port-list >path-cost< 1-65535 >priority <0 - 255> mode< norm |fast>
实例:将端口 C5,C6 配置成路径消耗 15,间隔 100 使用快速模式
HP ProCurve Switch 2626(config)# spanning-tree c5-c6 path-cost 15
null第三章 第三层相关设置null一、VLAN 间路由的配置 VLAN 间路由我们知道,一个VLAN相当于一个独立的局域网,要想使两个 VLAN之间进行正常通讯,需要使用一个三层的设备来完成 VLAN 之间的路由。HP 的所有三层交换机都可以实现 VLAN 间的路由。
在 HP 交换机上,开启 VLAN 间路由的命令是
5304(config)# ip routing
在 HP 5400/5300/2600 交换机上配置 VLAN 间路由的示例:
一台 5400 交换机上划分了 3 个 VLAN,分别为 VLAN2 ,VLAN3 ,VLAN4 对应的 IP 网段为 192.168.1.0/24;192.168.2.0/24;192.168.3.0。null5304(config)#
Ip routing
Vlan 2
Untagged A1-A4
Tagged B1
Ip address 192.168.1.1 255.255.255.0
Vlan 3
Untagged A5-A10
Tagged B1
Ip address 192.168.2.1 255.255.255.0
Vlan 4
Untagged A11-A14
Tagged B1
Ip address 192.168.3.1 255.255.255.0
接在 A1-A4 端口上 PC 机设置本机地址为:192.168.1.XX/24 网关为 192.168.1.1
接在 A5-A10 端口上 PC 机设置本机地址为:192.168.2.XX/24 网关为 192.168.2.1 接在 A1-A14 端口上 PC 机设置本机地址为:192.168.3.XX/24 网关为 192.168.3.1 即可以由 54/53/26 系列交换机完成 VLAN 间的路由。null二、静态路由的配置 路由选择表获取信息的方式有两种,以静态路由表项的方式手工输入信息,或者通过几种自动信息发现和共享系统(动态路由选择协议)之一自动地获取信息。
静态路由条目的格式:
5304(config)# ip route 10.1.1.1 255.0.0.0 172.16.1.1
目的网络 下一跳(出口对端接口地址)
缺省路由(默认路由):缺省路由是指本交换机中所有的路由表项都没有符合一个 IP 包的目的地址的时候交换机将 这些数据包发送到什么地方去。
5304(config)# ip route 0.0.0.0 0.0.0.0 172.16.5.1 null三、OSPF 的配置 如下图所示为两台交换机之间运行 OSPF 路由协议,以单一 OSPF 区域为例 null交换机 A 的配置如下
Switch_A(config)# vlan 10
Switch_A(vlan-10)# untag a1
Switch_A(vlan-10)# ip address 10.10.10.2/24
Switch_A(vlan-10)# exit
Switch_A(config)# ip routing
Switch_A(config)# router ospf
Switch_A(ospf)# area 0.0.0.0
Switch_A(ospf)# redistribute connected
Switch_A(ospf)# vlan 10
Switch_A(vlan-10)# ip ospf area 0.0.0.0
Switch_A(vlan-10)# vlan 20
Switch_A(vlan-20)# untag b1
Switch_A(vlan-20)# ip address 20.20.20.2/24null交换机B的配置:
Switch_B(config)# vlan 10
Switch_B(vlan-10)# untag a1
Switch_B(vlan-10)# ip address 10.10.10.3/24
Switch_B(vlan-10)# exit
Switch_B(config)# ip routing
Switch_B(config)# router ospf
Switch_B(ospf)# area 0.0.0.0
Switch_B(ospf)# redistribute connected
Switch_B(ospf)# restrict 198.168.40.0/24
Switch_B(ospf)# vlan 10
Switch_B(vlan-10)# ip ospf area 0.0.0.0
Switch_B(vlan-10)# vlan 30
Switch_B(vlan-30)# untag b1
Switch_B(vlan-30)# ip address 30.30.30.2/24
Switch_B(vlan-30)# vlan 40
Switch_B(vlan-40)# untag b4
Switch_B(vlan-40)# ip address 198.168.40.1/24 相关OSPF的查看命令:
show ip ospf general show ip ospf interface show ip route ospf show ip route
show ip ospf neighbor
show ip ospf database link-state
show ip ospf database external-link-state show ip ospf restrictnull四、DHCP Relay 的配置 DHCP 请求的过程简单说是个广播,当一个 DHCP 客户端发出的请求广播报文是不能直接通过三层接口进行转发的。在划分了 VLAN 的网络中,必须使用 DHCP relay 功能为每个VLAN 中的客户机分配 IP 地址。例如某网络中划分了三个 VLAN,使用一台 DHCP 服务器给这三个 VLAN 中的客户机分配 IP 地址,DHCP 服务器中要配置三个 DHCP 的作用域,每个作用指定不同的 IP 地址池及 路由器地址。 命令格式:
ip helper-address
实例:
Ip helper-address 192.168.0.1
在配置DHCP Relay时,其命令是在vlan 下配置的,对需要DHCP分配的vlan
配置DHCP relay,在同一个vlan下可以配置多个DHCP Relay的地址。nullHP ProCurve Switch 5304XL(config)# ip routing
HP ProCurve Switch 5304XL(config)# vlan 20
HP ProCurve Switch 5304XL(vlan-20)# untagged b3,b4
HP ProCurve Switch 5304XL(vlan-20)# ip address 10.10.20.1/24
HP ProCurve Switch 5304XL(vlan-20)# vlan 30
HP ProCurve Switch 5304XL(vlan-30)# untagged a1
HP ProCurve Switch 5304XL(vlan-30)# ip address 10.10.30.1/24
HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.2
HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.3
HP ProCurve Switch 5304XL(vlan-30)# vlan 40
HP ProCurve Switch 5304XL(vlan-40)# untagged c1
HP ProCurve Switch 5304XL(vlan-40)# ip address 10.10.40.1/24
HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.2
HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.3
HP ProCurve Switch 5304XL(vlan-40)# write memnull第四章 安全与认证null一、端口安全性(MAC 绑定) 命令格式:
Port-security learn-mode [address-limit ]static
mac-address
实例:
5304xl(config)# port-security a3 learn-mode static mac-address 0013D426DE9
或者是
5304xl(config)# port-security a3 address-limit 2 learn-mode static
mac-address 0013d2-26de99 0013d3-26de98
Learn-mode static :交换机初始化状态下,端口的学习模式是自动学习 MAC 地址,所以在欲绑定 MAC 到端口的情况下需要把其改成静态模式。
查看 A3 接口绑定 MAC 的情况:
5304xl(config)# show port-security a3 null 二、访问控制表 ●标准 IP 访问控制列表
一个标准 IP 访问控制列表匹配 IP 包中的源地址或源地址中的一部分,可对匹配的包采取,拒绝或允许两个操作。编号范围是从 1 到 99 的访问控制列表是标准 IP 访问控制列表。
●扩展 IP 访问控制列表
扩展 IP 访问控制列表比标准 IP 访问控制列表具有更多的匹配项,包括协议类型、源地址、 目的地址、源端口、目的端口、建立连接的和 IP 优先级等。编号范围是从 100 到 199 的访 问控制列表是扩展 IP 访问控制列表。null标准访问控制列表
ip access-list standard <1-99> /*创建一个标准访问列表
permit /*定义规则
deny /*定义规则
vlan 100 /*进入接口
ip access-group 1 /*应用在该接口扩展访问控制表
ip access-list extended <100-199> /*创建一个扩展访问列表
Permit [deny] {eq|gt|lt|neg|range}{端
口号
管理印章的关于负责的工作口号抗洪救灾口号体育运动口号宣誓口号公司企业文化口号
或者应用} /*定义规则
ip access-group 1 /*应用在该接口null三、IEEE802.1x 配置 radius 服务器地址:172.16.12.128,设置有一个帐户,共享 key 为 111,以 WINDOWS 2000的 IAS 为 RADIUS 服务器5304 一台,配备一块 4P10/100/1000 电口模块
5304 实例配置如下:
iprouting vlan 1
name "DEFAULT_VLAN"
untagged A1-A4
ip address 172.16.12.130 255.255.255.0
exit
vlan 200
name "test_1"
untagged A2
ip address 172.16.22.1 255.255.255.0
exit
vlan 300
name "test_2"
untagged A3
ip address 172.16.33.1 255.255.255.0
exit nullaaa authentication port-access chap-radius radius-server key 111
radius-server host 172.16.12.128 key 111
aaa port-access authenticator A2-A4
aaa port-access authenticator A2 auth-vid 200
aaa port-access authenticator A3 unauth-vid 300
aaa port-access authenticator active
在该配置下,客户端使用 WINDOWS 2000 SP3 以上时,连入网络就会弹出一个认证窗口要求输入用户名及密码。null四、 WEB 认证 WEB 认证是对客户端认证的一种方法,认证过程为:设备在得到客户端接入请求时发送一个 WEB 窗口,用户在输入用户名和密码后,封装到 SSL 报文中,去往后台 RADIUS 服 务器认证,认证成功后赋予客户端接入权限。实例配置如下:
test_5304xl(config)# aaa port-access web-based A2 client-limit 32
test_5304xl(config)# aaa port-access web-based A2 ssl-login
test_5304xl(config)# aaa port-access web-based A2 redirect-url
test_5304xl(config)# aaa port-access web-based dhcp-addr 172.16.12.0 255.255.255.0
test_5304xl(config)# aaa port-access web-based dhcp-lease 25
在 WEB 认证方式下,客户端连入交换机后需打开一个浏览器,交换机会返回一个页面给客户机要求输入用户名及密码 .null五、MAC 认证 MAC 认证是一种最简便的客户端接入控制方式, 认证过程对无线(有线)客户端来说是透明的。MAC 认证方式有 2 种:第一种称为“ MAC-RADIUS ”认证:设备在得到客户端 MAC 地址后,将 MAC 地址作为用户名和密码,封装到 RADIUS 报文中,去往后台 RADIUS 服务器去认证,认证成功后赋予客户端接入权限;第二种称为“ MAC-ACL ”方式, 在设备上保存一份 MAC 地址列表,每次认证时在本地查表来确认客户端是否可以合法接入。
配置命令如下:
aaa port-access mac-based [e] < port-list > null第五章 动手操作实验null一、交换机基本设置操作实验
1、在HP 5308上面配置主机名为HP-5308
2、在5308上面配置vlan 2,vlan3,vlan4,vlan5,vlan6,vlan7,vlan8。
3、配置vlan1,2,3,4的ip地址分别为为 192.168.1.1/24,192.168.2.1/24,92.168.3.1/24,192.168.4.1/24。
4、配置缺省网关为192.168.1.254
5、配置5308上面vlan1端口A1,vlan2端口A2,vlan3端口A3,vlan4端口A4。
6、删除vlan 5,6,7,8。
7、删除vlan 4 的ip 地址
8、将pc机接在A1端口上并设置网卡地址为对应网段ip地址,接在vlan2,vlan3,vlan4的端口上也可以,测试能否ping同对应的vlan地址。
9,断开串口连接,telnet到交换机上。
10、配置交换机的只读用户名和密码为admin password, 配置交换机的管理用户名和密码为procurve 12345678。
11、退出telnet登陆(使用logout),重新telnet到交换机,并测试所配置的用户名和密码是否生效。
13、禁止web登陆并测试
14、禁止telnet 登陆并测试null二、 IP routing配置测试,交换机升级以及导入、导出系统配置实验
1、上个实验操作成功的前提下,是有串口登陆到交换机。
2、启用telnet访问
3、启用web访问
4、web访问登陆到交换机,浏览下交换机的web界面及配置(PC需要安装java插件)
5、使用telnet登陆到交换机,将A16的端口命名为link-2626
6、将端口A13设置成10M全双工模式,并使用笔记本测试。
7、将A14端口的所有流量限制成20Mb/s,并测试。
8、把A16端口设置成tagged访问端口(vlan1-vlan3)
9、在2626上配置vlan2(端口2)vlan3(端口3)vlan4(端口4)并配置vlan1-3的tagged端口为26号端口。
10、配置2626 vlan 1的ip地址为192.168.1.2/24,配置默认网关为12.168.1.1 删除5308上面的默认网关。
11、在5308上面启用ip routing
12、把A16和2626上面的26号端口用网线连接起来,在2626上2号端口连接笔记本后测试vlan ip地址的可通性。
13、将5308上面的A15和A16端口设置成trunk 模式端口(trk1),同理在2626上设置25和26为trunk端口(trk1)14、5308和2626上的trk1端口设置成vlan1-3的tagged端口。
15、用两根网线把A15和25,A16和26号端口分别连接起来。
16、同上第9步,将两个交换机的级联线断掉一根,在测试同上9null14、5308和2626上的trk1端口设置成vlan1-3的tagged端口。
15、用两根网线把A15和25,A16和26号端口分别连接起来。
16、同上第9步,将两个交换机的级联线断掉一根,在测试同上9三、静态路由和默认路由配置实验
1、在上面两个实验成功条件下配置2626 vlan100(端口2) vlan200(端口3) ip地址为192.168.10.1/24 192.168.20.1/24
2、在2626上断开15,16号口与5308的连接,删除默认网关,启用ip routing
3、将2626的1号口与5308的A1连接
4、在2626上写一条默认路由,所有的IP地址下一条网关是192.168.1.1
5,在5308上写两条静态路由,目的地为192.168.10.0的下一跳地址为192.168.1.2,目的地为192.168.20.0的下一跳地址为192.168.1.2.
6、用两台笔记本一台接在2626的vlan200端口上,另外一台笔记本接在5308上vlan2的端口上,设置好各自的ip地址互ping测试。null四、ACL控制实验
1、在上面的实验成功后,在5308上配置扩展的ACL
2、配置vlan4 的ip地址为192.168.4.1/24
禁止所有的访问vlan4,但vlan4可以访问所有的。
允许所有的只能访问vlan3的网关地址,不能访问vlan3的其他地址,
其它的都允许访问
3、将一台笔记本接在5308的vlan3中,一台接在vlan4中,另外一台接在vlan2或vlan1中互ping测试看是否达到预定效果五、静态ip地址+mac地址+端口绑定实验
1、在以上实验成功后,取消5308上的所有acl
2、将自己的笔记本的ip地址和mac地址以及对应的端口号和vlan绑定起来。
3、用其他笔记本接在此端口上ping其它vlan中的笔记本的ip地址来测试,也可以更改自己笔记本上的mac地址来测试。六、动态OSPF实验
在5308上启用动态OSPF,另外增加一台路由器或者也可以启用OSPF的三层交换机来进行测试,启用后测试并查看对应的OSPF状态信息。七、双机VRRP配置和动态ARP保护配置讲解
浙公网安备 33021202002483