华为交换机及路由器各种配置实例大全

华为互换机多种配备实例 互换机配备（三）ACL基本配备互换机配备（一）端口限速基本配备华为3Com _EI、S-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:华为互换机端口限速_EI系列以上的互换机都可以限速!限速不同的互换机限速的方式不同样!_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选!端口限速配备1功能需求及组网阐明端口限速配备配备环境参数1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24组网需求1. 在SwitchA上配备端口限速，将PC1的下载速率限制在3Mbps，同步将PC1的上传速率限制在1Mbps2数据配备环节SEI系列互换机端口限速配备流程使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。【SwitchA有关配备】1. 进入端口E0/1的配备视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速，限制到3MbpsSwitchA- Ethernet0/1line-rate outbound 303. 对端口E0/1的入方向报文进行流量限速，限制到1MbpsSwitchA- Ethernet0/1line-rate inbound 16【补充阐明】报文速率限制级别取值为1127。如果速率限制级别取值在128范畴内，则速率限制的粒度为64Kbps，这种状况下，当设立的级别为N，则端口上限制的速率大小为N*64K；如果速率限制级别取值在29127范畴内，则速率限制的粒度为1Mbps，这种状况下，当设立的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。此系列互换机的具体型号涉及：S-EI、S-EI和S2403H-EI。S-SI和S3000-SI系列互换机端口限速配备流程使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。【SwitchA有关配备】1. 进入端口E0/1的配备视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速，限制到6MbpsSwitchA- Ethernet0/1line-rate outbound 23. 对端口E0/1的入方向报文进行流量限速，限制到3MbpsSwitchA- Ethernet0/1line-rate inbound 1【补充阐明】对端口发送或接受报文限制的总速率，这里以8个级别来表达，取值范畴为18，含义为：端口工作在10M速率时，18分别表达312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率时，18分别表达3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。此系列互换机的具体型号涉及：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。S3026E、S3526E、S3050、S5012、S5024系列互换机端口限速配备流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进行流量限速。【SwitchA有关配备】1. 进入端口E0/1的配备视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速，限制到3MbpsSwitchA- Ethernet0/1line-rate 33. 配备acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进行流量限速，限制到1MbpsSwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1 exceed drop【补充阐明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配备acl的时候，也可以通过配备三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为1Mbps。此系列互换机的具体型号涉及：S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。S3528、S3552系列互换机端口限速配备流程使用以太网物理端口下面的traffic-shape和traffic-limit命令，分别来对该端口的出、入报文进行流量限速。【SwitchA有关配备】1. 进入端口E0/1的配备视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速，限制到3MbpsSwitchA- Ethernet0/1traffic-shape 3250 32503. 配备acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进行流量限速，限制到1MbpsSwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop【补充阐明】此系列互换机的具体型号涉及：S3528G/P和S3552G/P/F。S3900系列互换机端口限速配备流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA有关配备】1. 进入端口E1/0/1的配备视图SwitchAinterface Ethernet 1/0/12. 对端口E0/1的出方向报文进行流量限速，限制到3MbpsSwitchA- Ethernet1/0/1line-rate 30003. 配备acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进行流量限速，限制到1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop【补充阐明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配备acl的时候，也可以通过配备三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列互换机的具体型号涉及：S3924、S3928P/F/TP和S3952P。S5600系列互换机端口限速配备流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA有关配备】1. 进入端口E1/0/1的配备视图SwitchAinterface Ethernet 1/0/12. 对端口E0/1的出方向报文进行流量限速，限制到3MbpsSwitchA- Ethernet1/0/1line-rate 30003. 配备acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进行流量限速，限制到1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop【补充阐明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配备acl的时候，也可以通过配备三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列互换机的具体型号涉及：S5624P/F和S5648P。互换机配备（二）端口绑定基本配备1，端口+MACa)AM命令使用特殊的AM User-bind命令，来完毕MAC地址与端口之间的绑定。例如：SwitchAam user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配备阐明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只容许PC1上网，而使用其她未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其她端口上网。b)mac-address命令使用mac-address static命令，来完毕MAC地址与端口之间的绑定。例如：SwitchAmac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1SwitchAmac-address max-mac-count 0 配备阐明：由于使用了端口学习功能，故静态绑定mac后，需再设立该端口mac学习数为0，使其她PC接入此端口后其mac地址无法被学习。2，IP+MACa)AM命令使用特殊的AM User-bind命令，来完毕IP地址与MAC地址之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3配备阐明：以上配备完毕对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arp static命令，来完毕IP地址与MAC地址之间的绑定。例如：SwitchAarp static 10.1.1.2 00e0-fc22-f8d3配备阐明：以上配备完毕对PC机的IP地址和MAC地址的全局绑定。3，端口+IP+MAC使用特殊的AM User-bind命令，来完毕IP、MAC地址与端口之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配备阐明：可以完毕将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只容许PC1上网，而使用其她未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其她端口上网。支持型号：S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)1，二层ACL. 组网需求:通过二层访问控制列表，实目前每天8:0018:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配备环节:(1)定义时间段# 定义8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。Quidway acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei(3)激活ACL。# 将traffic-of-link的ACL激活。Quidway-GigabitEthernet0/1 packet-filter link-group traffic-of-link2，三层ACLa)基本访问控制列表配备案例. 组网需求:通过基本访问控制列表，实目前每天8:0018:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配备环节:(1)定义时间段# 定义8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。Quidway acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则。Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei(3)激活ACL。# 将traffic-of-host的ACL激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-hostb)高档访问控制列表配备案例.组网需求:公司公司网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2。规定对的配备ACL，限制研发部门在上班时间8:00至18:00访问工资服务器。.配备环节:(1)定义时间段# 定义8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 working-day(2)定义到工资服务器的ACL# 进入基于名字的高档访问控制列表视图，命名为traffic-of-payserver。Quidway acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei(3)激活ACL。# 将traffic-of-payserver的ACL激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-payserver3，常用病毒的ACL创立aclacl number 100禁pingrule  deny icmp source any destination any用于控制Blaster蠕虫的传播rule  deny udp source any destination any destination-port eq 69rule  deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和袭击rule  deny tcp source any destination any destination-port eq 135rule  deny udp source any destination any destination-port eq 135rule  deny udp source any destination any destination-port eq netbios-nsrule  deny udp source any destination any destination-port eq netbios-dgmrule  deny tcp source any destination any destination-port eq 139rule  deny udp source any destination any destination-port eq 139rule  deny tcp source any destination any destination-port eq 445rule  deny udp source any destination any destination-port eq 445rule  deny udp source any destination any destination-port eq 593rule  deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和袭击rule  deny tcp source any destination any destination-port eq 445rule  deny tcp source any destination any destination-port eq 5554rule  deny tcp source any destination any destination-port eq 9995rule  deny tcp source any destination any destination-port eq 9996用于控制 Worm_MSBlast.A 蠕虫的传播rule  deny udp source any destination any destination-port eq 1434下面的不出名的病毒端标语  （可以不作）rule  deny tcp source any destination any destination-port eq 1068rule  deny tcp source any destination any destination-port eq 5800rule  deny tcp source any destination any destination-port eq 5900rule  deny tcp source any destination any destination-port eq 10080rule  deny tcp source any destination any destination-port eq 455rule  deny udp source any destination any destination-port eq 455rule  deny tcp source any destination any destination-port eq 3208rule  deny tcp source any destination any destination-port eq 1871rule  deny tcp source any destination any destination-port eq 4510rule  deny udp source any destination any destination-port eq 4334rule  deny tcp source any destination any destination-port eq 4331rule  deny tcp source any destination any destination-port eq 4557然后下发配备packet-filter ip-group 100目的：针对目前网上浮现的问题，对目的是端标语为1434的UDP报文进行过滤的配备措施，具体和复杂的配备请看配备手册。NE80的配备：NE80(config)#rule-map r1 udp any any eq 1434/r1为role-map的名字，udp 为核心字，any any 所有源、目的IP，eq为等于，1434为udp端标语NE80(config)#acl a1 r1 deny/a1为acl的名字，r1为要绑定的rule-map的名字，NE80(config-if-Ethernet1/0/0)#access-group acl a1/在1/0/0接口上绑定acl，acl为核心字，a1为acl的名字NE16的配备：NE16-4(config)#firewall enable all/一方面启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434/deny为严禁的核心字，针对udp报文，any any 为所有源、目的IP，eq为等于， 1434为udp端标语NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in/在接口上启用access-list，in表达进来的报文，也可以用out表达出去的报文中低端路由器的配备Routerfirewall enableRouteracl 101Router-acl-101rule deny udp source any destion any destination-port eq 1434Router-Ethernet0firewall packet-filter 101 inbound6506产品的配备：旧命令行配备如下：6506(config)#acl extended aaa deny protocol udp any any eq 14346506(config-if-Ethernet5/0/1)#access-group  aaa国际化新命令行配备如下：Quidwayacl number 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434Quidway-acl-adv-100quitQuidwayinterface ethernet  5/0/1Quidway-Ethernet5/0/1packet-filter inbound ip-group 100 not-care-for-interface5516产品的配备：旧命令行配备如下：5516(config)#rule-map  l3 aaa protocol-type udp ingress any egress any eq 14345516(config)#flow-action fff deny5516(config)#acl bbb aaa fff5516(config)#access-group  bbb国际化新命令行配备如下：Quidwayacl num 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434Quidwaypacket-filter ip-group 1003526产品的配备：旧命令行配备如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配备如下：acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注：3526产品只能配备外网对内网的过滤规则，其中1.1.0.0 255.255.0.0是内网的地址段。8016产品的配备：旧命令行配备如下：8016(config)#rule-map intervlan aaa udp  any  any   eq 14348016(config)#acl bbb aaa deny8016(config)#access-group acl bbb vlan 10 port all国际化新命令行配备如下：8016(config)#rule-map intervlan aaa udp  any  any   eq 14348016(config)#eacl bbb aaa deny8016(config)#access-group eacl bbb vlan 10 port all避免同网段ARP欺骗的ACL一、组网需求：1. 二层互换机制止网络顾客仿冒网关IP的ARP袭击二、组网图：1二层互换机防ARP袭击组网S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP袭击软件。目前需要对S3026C_A进行某些特殊配备，目的是过滤掉仿冒网关IP的ARP报文。三、配备环节对于二层互换机如S3026C等支持顾客自定义ACL（number为5000到5999）的互换机，可以配备ACL来进行ARP报文过滤。全局配备ACL严禁所有源IP是网关的ARP报文acl num  5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表达形式。Rule1容许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。注意：配备Rule时的配备顺序，上述配备为先下发后生效的状况。在S3026C-A系统视图下发acl规则：S3026C-A packet-filter user-group 5000这样只有S3026C_A上连网关设备才可以发送网关的ARP报文，其他主机都不能发送假冒网关的arp响应报文。三层互换机实现仿冒网关的ARP防袭击一、组网需求：1.  三层互换机实现避免同网段的顾客仿冒网关IP的ARP袭击二、组网图图2 三层互换机防ARP袭击组网三、配备环节1. 对于三层设备，需要配备过滤源IP是网关的ARP报文的ACL规则，配备如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0严禁S3526E的所有端口接受冒充网关的ARP报文，其中斜体部分64010105是网关IP地址100.1.1.5的16进制表达形式。2. 下发ACL到全局S3526E packet-filter user-group 5000仿冒她人IP的ARP防袭击一、组网需求：作为网关的设备有也许会浮现错误ARP的表项，因此在网关设备上还需对顾客仿冒她人IP的ARP袭击报文进行过滤。二、组网图：参见图1和图2三、配备环节：1. 如图1所示，当PC-B发送源IP地址为PC-D的arp reply袭击报文，源mac是PC-B的mac (000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是网关（3552P）的，这样3552上就会学习到错误的arp，如下所示：-  错误 arp 表项 -IP Address    MAC Address     VLAN ID  Port Name       Aging Type100.1.1.4     000d-88f8-09fa   1        Ethernet0/2     20    Dynamic100.1.1.3     000f-3d81-45b4   1       Ethernet0/2     20    Dynamic从网络连接可以懂得PC-D的arp表项应当学习到端口E0/8上，而不应当学习到E0/2端口上。但事实上互换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配备静态ARP实现防袭击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/82. 在图2 S3526C上也可以配备静态ARP来避免设备学习到错误的ARP表项。 3. 对于二层设备（S3050C和S3026E系列），除了可以配备静态ARP外，还可以配备IPMACport绑定，例如在S3026C端口E0/4上做如下操作： am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口，仿冒其他设备的ARP报文则无法通过，从而不会浮现错误ARP表项。 四、配备核心点：此处仅仅列举了部分Quidway S系列以太网互换机的应用。在实际的网络应用中，请根据配备手册确认该产品与否支持顾客自定义ACL和地址绑定。仅仅具有上述功能的互换机才干避免ARP欺骗。5，有关ACL规则匹配的阐明 a) ACL直接下发到硬件中的状况互换机中ACL可以直接下发到互换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL中多种子规则的匹配顺序是由互换机的硬件决定的，顾客虽然在定义ACL时配备了匹配顺序也不起作用。ACL直接下发到硬件的状况涉及：互换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。b) ACL被上层模块引用的状况互换机也使用ACL来对由软件解决的报文进行过滤和流分类。此时ACL子规则的匹配顺序有两种：config（指定匹配该规则时按顾客的配备顺序）和auto（指定匹配该规则时系统自动排序，即按“深度优先”的顺序）。这种状况下顾客可以在定义ACL的时候指定一条ACL中多种子规则的匹配顺序。顾客一旦指定某一条访问控制列表的匹配顺序，就不能再更改该顺序。只有把该列表中所有的规则所有删除后，才干重新指定其匹配顺序。ACL被软件引用的状况涉及：路由方略引用ACL、对登录顾客进行控制时引用ACL等。互换机配备（四）密码恢复阐明：如下措施将删除原有config文献，使设备恢复到出厂配备。在设备重启时按Ctrl+B进入BOOT MENU之后，Press Ctrl-B to enter Boot Menu. 5Password : 缺省为空，回车即可1. Download application file to flash2. Select application file to boot3. Display all files in flash4. Delete file from Flash5. Modify bootrom password0. RebootEnter your choice(0-5): 4                   选择4No.             File Name                       File Size(bytes)=1      S3026CGSSI.btm                                   2572242      wnm2.2.2-0005.zip                                4478273      snmpboots                                        44  *   R0023P01.app                                     29856915      hostkey                                          4286      serverkey                                        5727      vrpcfg.txt                                       1281Free Space : 3452928 bytesThe current application file is R0023P01.appPlease input the file number to delete: 7        选择7,删除目前的配备文献Do you want to delete vrpcfg.txt now? Yes or No(Y/N)yDelete file.done!         BOOT  MENU1. Download application file to flash2. Select application file to boot3. Display all files in flash4. Delete file from Flash5. Modify bootrom password0. RebootEnter your choice(0-5):0                    选择0,重启设备注：删除之后互换机就恢复了出厂配备。互换机配备（五）三层互换配备1，  三层互换数据包转发流程图：2，三层互换机配备实例：服务器1双网卡，内网IP:192.168.0.1，其他计算机通过其代理上网PORT1属于VLAN1PORT2属于VLAN2PORT3属于VLAN3VLAN1的机器可以正常上网配备VLAN2的计算机的网关为：192.168.1.254配备VLAN3的计算机的网关为：192.168.2.254即可实现VLAN间互联如果VLAN2和VLAN3的计算机要通过服务器1上网则需在三层互换机上配备默认路由系统视图下：ip route-static 0.0.0.0 0.0.0.0 192.168.0.1然后再在服务器1上配备回程路由进入命令提示符route add 192.168.1.0 255.255.255.0 192.168.0.254route add 192.168.2.0 255.255.255.0 192.168.0.254这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了3，三层互换机VLAN之间的通信VLAN的划分应与IP规划结合起来，使得一种VLAN 接口IP就是相应的子网段就是某个部门的子网段，VLAN接口IP就是一种子网关。VLAN应以部门划分，相似部门的主机IP以VLAN接口IP为根据划归在一种子网范畴，同属于一种VLAN。这样不仅在安全上有益，并且更以便网络管理员的管理和监控。注意：各VLAN中的客户机的网关分别相应各VLAN的接口IP。    在这公司网中筹划规划四个VLAN子网相应着四个重要部门，笔者觉得这也是小公司最普遍的部门构造，分别是：    VLAN10综合行政办公室；    VLAN20销售部；    VLAN30财务部；    VLAN40数据中心（网络中心）。    划分VLAN后来，要为每一种VLAN配一种“虚拟接口IP地址”。    VLAN10192.168.10.1    VLAN20192.168.20.1    VLAN30192.168.30.1    VLAN40192.168.40.1    拓朴图如下： VLAN及路由配备    1.DES-3326SR三层互换机的VLAN的配备过程：    （1）创立VLAN    DES-3326SR#Config vlan default delete 1 -24 ß删除默认VLAN(default)涉及的端口1-24''    DES-3326SR#Create vlan vlan10 tag 10 ß创立VLAN名为vlan10，并标记VID为10    DES-3326SR#Create vlan vlan20 tag 20 ß创立VLAN名为vlan20，并标记VID为20    DES-3326SR#Create vlan vlan30 tag 30 ß创立VLAN名为vlan10，并标记VID为30    DES-3326SR#Create vlan vlan40 tag 40 ß创立VLAN名为vlan10，并标记VID为40    （2）添加端口到各VLAN    DES-3326SR#Config vlan vlan10 add untag 1-6 ß把端口1-6添加到VLAN10    DES-3326SR#Config vlan vlan20 add untag 7-12 ß把端口1-6添加到VLAN20    DES-3326SR#Config vlan vlan30 add untag 13-18 ß把端口1-6添加到VLAN30    DES-3326SR#Config vlan vlan40 add untag 19-24 ß把端口1-6添加到VLAN40    （3）创立VLAN接口IP    DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled  ß创立虑拟的接口if10给名为VLAN10的VLAN子网，并且指定该接口的IP为192.168.10.1/24。创立后enabled激活该接口。    同样措施设立其他的接口IP：    DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled    DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30 state enabled    DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled    （4）路由    当配备三层互换机的三层功能时，如果只是单台三层互换机，只需要配备各VLAN的虚拟接口就行，不再配路由选择合同。由于一台三层互换机上的虚拟接口会在互换机里以直接路由的身份浮现，因此不需要静态路由或动态路由合同的配备。    2.DES-3226S二层互换机的VLAN的配备过程：    （1）创立VLAN    DES-3226S#Config vlan default delete 1 -24 ß删除默认VLAN(default)涉及的端口1-24''    DES-3226S#Create vlan vlan10 tag 10 ß创立VLAN名为vlan10，并标记VID为10    （2）添加端口到各VLAN    DES-3226S#Config vlan vlan10 add untag 1-24 ß把端口1-24添加到VLAN10    同理，配备其他DES-3226S二层互换机。完毕后来就可以将各个所属VLAN的二层互换机与DES-3326SR三层互换机的相应VLAN的端口连接即可。互换机配备（六）端口镜像配备【3026等互换机镜像】S/S/S2026/S2403H/S3026等互换机支持的都是基于端口的镜像，有两种措施：措施一1. 配备镜像（观测）端口SwitchAmonitor-port e0/82. 配备被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2措施二1. 可以一次性定义镜像和被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016互换机端口镜像配备】1. 假设8016互换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设立端口1/0/15为端口镜像的观测端口。SwitchA port monitor ethernet 1/0/152. 设立端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像1. 设立E1/0/15和E2/0/0为镜像（观测）端口SwitchA port monitor ethernet 1/0/152. 设立端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。SwitchA port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15SwitchA port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0基于流镜像的数据流程基于流镜像的互换机针对某些流进行镜像，每个连接均有两个方向的数据流，对于互换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050】基于三层流的镜像1. 定义一条扩展访问控制列表SwitchAacl num 1012. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址SwitchA-acl-adv-101rule 0 permit ip source 1.1.1.1 0 destination any3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32SwitchA-acl-adv-101rule 1 permit ip source any destination 1.1.1.1 04. 将符合上述ACL规则的报文镜像到E0/8端口SwitchAmirrored-to ip-group 101 interface e0/8基于二层流的镜像1. 定义一种ACLSwitchAacl num 2002. 定义一种规则从E0/1发送至其他所有端口的数据包SwitchArule 0 permit ingress interface Ethernet0/1 (egress interface any)3. 定义一种规则从其他所有端口到E0/1端口的数据包SwitchArule 1 permit (ingress interface any)  egress interface Ethernet0/14. 将符合上述ACL的数据包镜像到E0/8SwitchAmirrored-to link-group 200 interface e0/8【5516】支持对入端口流量进行镜像配备端口Ethernet 3/0/1为监测端口，对Ethernet 3/0/2端口的入流量镜像。SwitchAmirror Ethernet 3/0/2  ingress-to Ethernet 3/0/1【6506/6503/6506R】目前该三款产品只支持对入端口流量进行镜像，虽然有outbount参数，但是无法配备。镜像组名为1，监测端口为Ethernet4/0/2，端口Ethernet4/0/1的入流量被镜像。SwitchAmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2【补充阐明】1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜