2024年6月5日发(作者:图门蕴秀)
第一章
交换机的初始配置
1.1 使用 CONSOLE 口进行交换机的配置
1.超级终端配置如下:
开始-附件-通讯-超级终端,在 COM 口属性的窗口中选择还原默认值。
每秒位数(B): 9600
数据位(D): 8
奇偶校验(P): 无
停止位(S): 1
数据流控制(F): 无
2.配置好超级终端后,回车登陆。HP 系列产品默认需要认证,才能进行管理配置,默认的
用户名为空,口令为空。
图:
此时将进入登陆模式,登陆模式的符号是一个大于号“>”,在此模式下可以实现基本的状 态
查看功能,通过问号“?”可以查看此状态下所有可操作的命令.
HP 系列产品所有模式下(登陆模式,管理模式和配置模式)均有这种帮助功能,同时
在输入命令时,可以通过
z 登陆模式:以“>”开头,仅仅能够进行一些基本状态查看
z 管理模式:以“#”开头,能够进行所有状态信息的查看,同一时刻允许有多个管 理
员处在此模式下。
从登陆模式进入管理模式的命令:enable(可简写为 en),通过 enable 口令
认证后,即可进入管理模式。
第 42 页 共 44
页
配置模式:以“(config)”开头,能够对设备进行配置和管理,同一时刻仅仅允
许一个管理人员处在配置模式下。此模式下可以同时具有管理模式和登陆模式的功
能。
从管理模式进入配置模式的命令为:configure,即可进入配置模式。 从
高级模式退出到低级模式的命令为 exit 或 disable。
3.基本命令
1、 查看操作系统版本及硬件信息
命令:show version
作用:查看当前系统版本和状态信息
‹ 系统当前版本:
test_5304xl# show version
Image stamp: /sw/code/build/alpmo(m35)
Aug 2 2005 11:27:11
E.10.04
4015
Primary
z
Boot Image:
‹ 系统主机名:
‹ 系统 CPU 类型:
‹ 系统内存容量:
‹ 系统启动时间:
‹ 系统当前时间:
‹ 系统端口类型:
‹ 系统序列号:
‹ 系统当前能实现的功能:
配置主机名:
命令:hostname
:其中主机名长度最长为 64 字节
实例:例如需要配置设备的名称为 Blue,则命令如下。
AN(config)#hostname test_5304xl
Test_5304xl(config)#
3. 配置 VLAN IP 地址:
命令:[no]vlan
或
[no]vlan
Vlan
实例:例如需要对设备划分一个 VLAN 采用两种不同底方式进行配置
Blue(config)# vlan 1 ip address 192.168.0.23 255.255.255.0 或
Blue(config)# vlan 1 ip address 192.168.0.23/24
查看当前 VLAN 地址命令:
B()
4. 配置网关:
配置网关命令:
2.
第 5 页 共 44
页
ip default-gateway
实例:配置一个缺省的网关
Blue(config)# ip default-gateway 192.168.0.1
4. 测试网络联通情况
HP 系列产品提供了 Ping 和 traceroute 来检查网路的联通状况
ping 命令示例:
Blue(config)#ping 192.168.0.1
Traceroute 命令示例:
Blue(config)#traceroute 192.168.10.1
1.2 使用 TELNET 或者 WEB 方式对交换机进行配
置
1.2.1 使用 TELNET 方式对交换机进行配置
1.配置 CLI 接口访问
列出当前控制台、串口连接配置。这条命令是显示当前接口访问的参数设置。
语法:show console
下面图例显示交换机缺省的控制台,串口的配置信息:
接口访 问允
许 / 禁
列出事件值和类型
控制台控制选项
2.默认情况下入口的 TELNET 访问是允许的。
语法:[no]telnet-server
3.禁止 TELNET 入口访问
语法:Procurve(config)# no telnet-server
4.重新允许 TELNET 入口访问
语法:Procurve(config)# telnet-server
5.远程 TELNET 另外的一台设备并查看该设备的状态。
语法:Procurve(config)# telnet 192.168.2.35
1.2.2 通过 WEB 方式对交换机进行配置
1.默认情况下 WEB 方式配置交换机是允许的。
语法:[no]web-management
2. 禁止 WEB 方式配置交换机
第 6 页 共 44
页
语法:Procurve(config)# no web-management
3. 允许 WEB 方式配置交换机
语法:Procurve(config)# web-management
可以使用 Http://192.168.0.3(该地址为虚拟地址,客户可根据具体的设置改动),一切 OK
后如下图所示:
1.3 设置用户名及密码
1.通过 CLI 方式配置用户名和密码
对于一个企业的安全来说保密是非常重要的。如果不设置密码那么任何人知道 IP 地址的
人都可以通过 WEB/CLI/菜单的方式查看和修改交换机的配置。其后果是非常严重的,所以
强烈建议客户设置本地密码和用户名。只有专人才能控制和管理这台设备。
语法: [no]password
设置操作员密码不用设置用户名:(操作员只有只读的权限)
Blue#config
Blue(config)# password operator
12345678 (密码将显示成:********) 12345678 为密码
12345678 (再次输入密码进行校验)
设置管理员的用户名和密码:(管理员有完全的读和写的权限)
Blue#config
Blue(config)# password manager username svacomm svacomm 为用户名
12345678 (密码将显示成:********) 12345678 为密码
12345678 (再次输入密码进行校验)
2.通过 WEB 方式设置用户名和密码
第 7 页 共 44
页
设置操作员密码不用设置用户名:(操作员只有只读的权限),设置管理员的用户名和
密码:(管理员有完全的读和写的权限)
这里有两种访问的权限 Read-only access 只分配给普通用户权限,而下面的 read-write
access 是分配给管理员的权限。输入相应的用户名和密码点击 Apply Changes 按钮保存即可。
客户再次登陆时候会弹出以下窗口,输入相应的用户名和密码就能获得相应的权限。
普通用户可以是没有用户名的。只输入密码点击 OK 就可以。
1.4 配置 SNMP 相关信
a. 打开 SNMP3 使用 snmp3 enable 命令。一个初始用户登陆将会产生 MD5 验证和
DES
数据加密。
b. 可以限制对 SNMP3 代理的访问可以使用 snmpv3 only 命令。同时你也可以限制
对
1.开启或关闭 SNMPV3 代理访问交换机,包括建立初始的用户记录。
第 8 页 共 44
页
语法:[no]snmpv3 enable
2.开启或关闭限制 SNMPV3 代理的访问,如果是开启状态将拒收所有非 SNMPV3 的
信息。
语法:[no]snmpv3 only
3.开启或关闭限制所有非 SNMPV3 代理只读权限。
语法:[no]snmpv3 restricted-access
4.显示非 SNMPV3 操作状态
语法:show snmpv3 enable
5.显示非 SNMP3 写的状态信息
语法:show snmpv3 restricted-access
以下案例将详细介绍了 SNMPV3 的详细配置:
打开 SNMPv3
SNMPV3 管理程序建立初
始用户模式
设 置 限
制 非
SNMPV3 信息。
设置 SNMPV3 共同体名称
SNMPV3 共同体允许使用 V1,V2 版本的交换机进行访问。共同体只能在支持 2C 及
1C 的组接口级别设备上进行映像。这一映像可在有组件接口授权的设备上自动生成,但特殊
映 像必须使用 snmpv3 communty 命令
1.5 LLDP 配置
IEEE 标准——802.1AB 链接层发现协议(Link Layer Discovery Protocol),将能够使企
业网络的故障查找变得更加容易,并加强网络管理工具在多厂商环境中发现和保持精确网络 拓
扑结构的能力。
链路层发现协议(Link Layer Discovery Protocol,LLDP)是 802.1ab 中定义的新协议,
它可使邻近设备向其他设备发出其状态信息的通知,并且所有设备的每个端口上都存储着定
第 9 页 共 44
页
义自己的信息,如果需要还可以向与它们直接连接的近邻设备发送更新的信息,近邻的设备
会将信息存储在标准的 SNMP MIBs。网络管理系统可从 MIB 处查询出当前第二层的连接情
况。LLDP 不会配置也不会控制网络元素或流量,它只是报告第二层的配置。802.1ab 中的
另一个内容是使网络管理软件利用 LLDP 所提供的信息去发现某些第二层的矛盾之处。IEEE
目前使用的是 IETF 现有的物理拓扑、接口和 Entity MIBs。
简单说来,LLDP 是一种邻近发现协议。它为以太网网络设备,如交换机、路由器和无
线局域网接入点定义了一种标准的方法,使其可以向网络中其他节点公告自身的存在,并保
存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公
告。
1.显示交换机 LLDP 配置信息,端口的流量信息和 trap 信息。
语法:show lldp config
如下图所示:
2.显示交换机 LLDP 单个端口的配置信息。
语法:show lldp config
如下图所示
第 10 页 共 44
页
3.打开和禁止 LLDP 功能。
语法:[no] lldp run
1.6 密码恢复方法
如果密码丢失点击交换机面板前的 clear 按钮。当点击 clear 按钮后将删除交换面的密码
和用户名。
可以使用面板上的 reset 及 clear 按钮恢复设备的出厂值:
同时按住 reset 及 clear 按钮,大约 5 秒钟后放开 reset 按钮,继续按住 clear 按钮,
等 面板上的 sefltest ,放开按钮。
为了保护你交换机的配置安全,建议将交换机放置在安全的场所,不被外人有物理接触。
该按钮的可以使用如下命令行禁止:
语法:[no] front-panel-security password-clear reset-on-clear
1.7 交换机映像更新及配置文件备份与恢复
1.将配置文件备份到 TFTP 服务器上
将交换机的配置备份到远程的 TFTP 服务器上。
语法:copy
或 copy config
实例:将配置文件备份到一台 TFTP 服务器上
ProCurve# copy startup-config tftp 10.28.227.105 d:configssw5300
第 11 页 共 44
页
2.将从 TFTP 服务器上的配置文件恢复到交换机
将交换机的配置备份到远程的 TFTP 服务器上。
语法:copy tftp
或 copy tftp config
实例:将 TFTP 服务器上的备份文件恢复到交换机上
ProCurve# copy tftp startup-config 10.28.227.105 d:configssw2512
3.升级交换机的映象文件
先到网站上下载映象文件。/rnd/software/ 该站点包含了
最新的升级软件。
将文件拷贝到 TFTP 服务器使用一下命令
语法:copy tftp flash
实例:将 TFTP 服务器上的映像文件拷贝到交换机上
copy tftp flash 10.1.2.3 secondary
boot system flash secondary
在交换机中有两个闪存可以使用如下命令,从第二个闪存区域复制软件映像至第一个
区域:
Copy flash flash primary
第 12 页 共 44
页
第二章 二层相关协议设置
2.1 端口的命名方式
HP 5300/5400 交换机的面板如下图所示,端口在配置文件中的命名是以槽位/序号的方
式进行:以 5406 为例,槽位编号从左至右,从上到下分别是:A、B、C、D、E、F
如 A 模块的第一个端口就叫:A1
其它的非模块化交换机的端口命名以序号标识:
如 2626 的 15 个端口就是 15
给一个端口或一些端口配置一个友好的名字
语法:interface < port-list > name < port-name-
string >
在端口列表中删除
语法:no interface < port-list > name
实例:给一个端口配置一个名字 link_web_server
test_5304xl(config)# int a1 name link_web_server
test_5304xl(config)# show name
Port Names
Port Type Name
A1 100/1000T link_web_server
2.2 端口物理参数配置
第 13 页 共 44
页
1.设置端口的工作模式
显示每个端口的工作模式,使用命令:
语法:show interfaces [ brief | config | < port-list >]
查看端口的情况:
test_5304xl(config)# show interfaces brief
Status and Counters - Port Status
| Intrusion MDI Flow
Port Type | Alert Enabled Status Mode Mode Ctrl
------- --------- + --------- ------- ------ ---------- ----- -----
A1 100/1000T | Yes Yes Down 1000FDx Auto off
A2 100/1000T | No Yes Up 100FDx MDIX off
A3-Trk1 100/1000T | No Yes Down 1000FDx Auto off
A4-Trk1 100/1000T | No Yes Up 1000FDx MDIX off
更改端口的工作模式,使用命令:
语法: speed-duplex < auto-10 |10-full | 10-half | 100-full | 100-half
|auto|
auto-100 | 1000-full >
实例:将 A1 端口的工作模式更换为百兆全双工
test_5304xl(eth-A2)# int a1
test_5304xl(eth-A1)# speed-duplex 100 ful1
test_5304xl(eth-A2)# show int br
Status and Counters - Port Status
| Intrusion
Port Type | Alert Enabled Status Mode
A1 100/1000T | Yes Yes Down 100FDx
A2 100/1000T | No
A3-Trk1 100/1000T | No
Yes
Yes
Up
Down
100FDx
1000FDx
MDI Flow
Mode Ctrl
Auto off
MDI off
Auto off
2.对端口的流量进行限制
限制一个或一些端口的 INBOUND 流量使用命令:
语法:[no] int < port- list > rate-limit < all | icmp ><
0..100 >
实例:给一个端口和一些端口限制流量
test_5304xl(config)# int a1,a2 rate-limit all 60
test_5304xl(config)# show rate-limit all
Inbound Rate Limit Maximum %
Port | Limit Radius Override
----- + -------- ---------------
A1 | 60 No-override
A2 | 60 No-override
第 14 页 共 44
页
A4 | Disabled No-override
2.3 802.1qVLAN 的基本概念
802.1QVLAN:802.1Q 主要定义了 VLAN。VLAN 可使属于同一 VLAN 的设备实现互相访问,
使属于不同 VLAN 间的设备不能互相访问,划分了网络的广播域。利用 VLAN 可大大减少网络
中不必要的数据交换的数量,提升网络传输性能。
IEEE802.1Q 是虚拟桥接局域网的正式标准,它定义了同一个物理链路上承载多个逻辑
子网 VLAN 的方法。IEEE802.1Q 在标准的 IEEE802.3 以太帧结构中加入 4 个字节,这 4
字节统称为虚拟局域网标签(VLAN Tag)。如图 1 所示。
带有 IEEE 802.1Q 标签的以太网帧
2.4 基于端口的 VLAN 划分方法
基于端口 VLAN 划分命令:
语法:vlan < vid >
vlan < vid > < tagged | untagged > <
一般情况下,接电脑的端口设为 untagged 端口,而交换机与交换机之间的连接设置为 tagged
端口。
如下图的配置,我们要让交换机 1 上的 VLAN2 与交换机 2 上的 VLAN2 互相之间通
讯,
第 15 页 共 44
页
在 SW1 上,接普通电脑的端口为 A1,A2,所以它们应该设为 untagged,而 A3 端口用于交
换机间互联,并且要让 VLAN2 及 VLAN3 的数据包通过,所以应该设置为 tagged,交换机的
配置如下:
SW1#
vlan 2
Untagged A1
Tagged A3
Vlan 3
Untagged A2
Tagged A3
SW2#
vlan 2
Untagged A1
Tagged A3
Vlan 3
Untagged A2
Tagged A3
2.5 GVRP 的配置
GVRP(GARP VLAN Registration Protocol,GARP VLAN 注册协议)是 GARP 的一种
应用,它基于 GARP 的工作机制,维护交换机中的 VLAN 动态注册信息,并传播该信息
到 其它的交换机中。所有支持 GVRP 特性的交换机能够接收来自其它交换机的 VLAN 注
册信 息,并动态更新本地的 VLAN 注册信息,包括当前的 VLAN 成员、这些 VLAN 成员
可以通 过哪个端口到达等。而且所有支持 GVRP 特性的交换机能够将本地的 VLAN 注册
信息向其 它交换机传播,以便使同一交换网内所有支持 GVRP 特性的设备的 VLAN 信息
达成一致。 GVRP 传播的 VLAN 注册信息既包括本地手工配置的静态注册信息,也包括
来自其它交换 机的动态注册信息
配置 GVRP 命令:
语法:GVRP
第 16 页 共 44
页
显示 GVRP 命令:
语法:show GVRP
实例:
HP ProCurve Switch 2626(config)# show gvrp
GVRP support
Maximum VLANs to support [8] : 8
Primary VLAN : web
GVRP Enabled [No] : Yes
Port Type | Unknown VLAN Join Leave Leaveall
---- --------- + ------------ ----- ----- --------
1 10/100TX | Learn 20 300 1000
2 10/100TX | Learn 20 300 1000
3 10/100TX | Learn 20 300 1000
4 10/100TX | Learn 20 300 1000
5 10/100TX | Learn 20 300 1000
2.6 TRUNKING(LAG)的配置
TRUNKING 是指链路聚合,就是把多个端口聚合成一个端口来使用,提供高速链路,并
提供交换机连接的冗余性。
设置 trunking 时在一个聚合组里的端口的物理参数要一至,如:端口类型要一致,同
电口或者光口;速率及双工模式一致,同为全双工或者半双工及自动协商。 配置完一个
trunking 组后,以 trk1,trk2 等等设置逻辑参数,如 VLAN 的设置使用如下 命令:
Vlan 5 tagged trk1
这样同在 trk1 组中的端口全部可以接受带 801.1Q VLAN 5 的数据包
配置 Trunk 命令:
最后的
lacp 则使用链路聚合协议来完成 trunking 的建立.
语法:trunk < port-list > < trk1 ... trk36 > < trunk | lacp >
2.7 生成树的基本概念(STP/RSTP)及配置方法
2.7.1.生成树的基本概念
如果拥有一个分成多个域的庞大网络系统,就无法保证在网络中没有循环。一旦在网络
系统中存在循环,就存在有相同的数据包在网络中往返传递并消耗带宽。有可能形成广播风 暴,
生成树则是一个能排除这个烦恼的运算法则(IEEE802.3D)。
Spanning Tree 的工作原理
Spanning Tree 的工作方式如同生成一棵的树,树的根就称为“根网桥”,每个设备会
定义一个优先级,数值越小代表它成为根桥的可能性越大。参与 STP 的所有交换机都通过数
据消息的交换来获取网络中其它交换机的信息,这些消息被称为桥接协议数据单元(BPDU)。
BPDU 主要内容包括:根信息 、路径开销、端口信息、记时器。
第 17 页 共 44
页
实现管理冗余链路,建立无环路生成树的首先选举一个根网桥。根网桥是所有交换机用
来决定网络中是否存在环路的依据。通过网桥 ID 决定谁将成为根网桥,根网桥 ID 由两部分
组成:优先级域(两字节)和 MAC 地址域(六字节)。以上两个部分决定了根网桥的选定结
果。数值越低,就越有可能成为根网桥。如果交换机发现一个比它自己更低的根 ID,就将
根 ID 在 BPDU 中进行宣告。通过交换 BPDU 报文,交换机决定谁是根网桥。
当根网桥选举完后,每台交换机与根网桥建立关联。交换机首先判断路径开销。路径开
销是根据链路速率和 BPDU 从根网桥到达本端口所经过的链路数量而计算出来的。如果一个
端口有最低的路径开销,它将被置于转发模式。接收 BPDU 的所有其它端口将被置于阻断模
式。 若各端口接收到 BPDU 的路径开销相同,交换机将根据网桥 ID 以决定哪个端口应该
进 行转发。有最低网桥 ID 的端口将被选为转发端口,所有其它端口将被阻断。
经过 BPDU 的交换,可实现根网桥交换机的选举,并计算出每台交换机到根交换机的最
短距离,离根交换机最近的交换机被称为指定交换机,每台交换机的根端口被选举出来。这 是
一个提供从该交换机到根交换机最佳路径(通常是最低开销路径)的端口,不进行数据帧 转
发的端口被置于阻断状态。这些端口可继续发送和接收 BPDU 信息,但禁止发送或接收用 户
数据。
为了建立一个无环路网络,生成树使交换机的各个端口经历几种不同的状态:阻断、倾
听、学习、转发、关闭
倾听和学习状态都是生成树所实施的过渡状态,指挥交换机端口等待从其它交换机上获 得
BPDU 报文。端口状态转换如下:
当生成树通过了 STP 状态时,采用一系列记时器来防止网络中桥接环路的发生。
快速生成树协议(Rapid Spanning Tree Protocol,RSTP)
生成树协议 IEEE 802.1d 虽可在 50 秒内恢复连接,但已不能满足现代交换式网络和应
用的需要,在 802.1w 中定义的 RSTP 协议可解决 802.1d 的自恢复问题。 快速生成树协议
(RSTP)是从生成树算法的基础上发展而来的,通过配置消息来传递生成树信息,并通过优
先级比较来进行计算。快速生成树能够完成生成树的所有功能,优异之处在于快速生成树减
小了端口从阻塞到转发的延时,快速恢复网络的正常工作状态。它采用桥-桥握手机制,并
不采用 802.1d 中根桥所指定的计时器。
快速生成树协议与生成树协议的区别不少:如端口状态迁移方式不同;配置消息的格式
不同;拓朴改变消息的传播方式不同。
RSTP 除了对根端口和 802.1d 中的指定端口进行了定义之外,还增加了两种新的作用:
一是备份端口。指定端口向生成树提供的路径备份。二是替代端口。为当前根端口所提供的 根
桥提供了替代路径。RSTP 中新定义的端口作用使替代端口可以进行快速转换,能转发根 端
口的故障。
为了防止环路,RSTP 利用网桥之间的握手来确保通过网络分配的端口任务能够保持一
致。由于这种握手机制不依赖于定时器,因此可以迅速地传送到网络各处,随着拓朴结构的
改变而在很短的时间内恢复连接。802.1w 仅工作在点到点的连接中,否则 802.1w 协议将回
到 802.1d 模式。 新的根端口从阻塞到转发的实现:原有根端口已经知道自己不再是根端口了
进入阻塞
状态。新的根端口连接的网段的指定端口处于转发状态,这个新的根端口就可以无延时地进 入
转发状态。
非边缘指定端口从阻塞到转发:此个端口连接着其他网桥。等待进入转发状态的指定端
口向下游网桥发送一个握手请求报文,若下游的网桥响应了,则这个指定端口就可以无延时
地进入转发状态。
第 18 页 共 44
页
边缘端口从阻塞到转发:边缘端口直接和终端设备相连,不再连接任何网桥的端口。网
桥启动后这些端口即无延时地快速进入转发状态。
通过 STP 实现链路冗余管理
正确理解 STP 原理和配置,对于维持交换网络的正常运行有重要的影响。设计好生成树, 可
以使网络保持良好的性能。
通过人工设定的方法为网络指定网桥的优先级别,将其置于网络的中心位置,保证该网
桥能被选举为根网桥,并配备备份根网桥是实现链路优化管理的手段之一。为更好地定制生
成树,可通过调整交换机的端口 ID、端口成本、网络直径等方法来实现。
快速生成树改进的只是生成树的收敛时间,没有解决在整个桥接网络只应用一个单生成 树
实例的不足。网络设计时最好使网络直径不超过 7
2.7.2.生成树的配置方法
查看生成树命令:
语法:show spanning-tree config
HP ProCurve Switch 2626(config)# show spanning-tree config
Rapid Spanning Tree Configuration
STP Enabled [No] : No
Force Version [RSTP-operation] : RSTP-operation
Switch Priority [8] : 8 Hello Time [2] : 2
Max Age [20] : 20 Forward Delay [15] : 15
Port Type | Cost Priority Edge Point-to-Point MChec
---- --------- + --------- -------- ---- -------------- ------
1 10/100TX | 200000 8 Yes Force-True Yes
2 10/100TX | 200000 8 Yes Force-True Yes
3 10/100TX | 200000 8 Yes Force-True Yes
4 10/100TX | 200000 8 Yes Force-True Yes
5 10/100TX | 200000 8 Yes Force-True Yes
6 10/100TX | 200000 8 Yes Force-True Yes
7 10/100TX | 200000 8 Yes Force-True Yes
启动生成树协议命令:
语法:spanning-tree protocol-version stp
write memory
boot
该命令是使用标准的生成树,如果要使用 RSTP 则使用如下命令:
Spanning-tree protocol-version rstp
查看结果,是否打开了 STP 协议:
HP ProCurve Switch 2626# show run
Running configuration:
J4900A Configuration Editor; Created on release
#H.08.53
第 19 页 共 44
页
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-26
ip address dhcp-bootp
exit
spanning-tree protocol-version STP
重新配置每个端口的 STP 协议:
语法:spanning-tree < port-list > path-cost < 1 - 65535 > priority < 0 -
255
> mode< norm | fast >
实例:将端口 C5,C6 配置成路径消耗 15,间隔 100 使用快速模式
HP ProCurve Switch 2626(config)# spanning-tree c5-c6 path-cost 15
2.8 实
验
一、实验架构
„ 演示设备 5304 一台、2626 二台、WEB_SERVER 一台、客户 PC
„ 模拟网络规划: 一
楼有(设备 2626):
1. A 部门 Clinet_1 在 vlan 100 IP 地址:172.16.1.100/24
2. B 部门 Clinet_2 在 vlan 200 IP 地址:172.16.2.100/24
第 20 页 共 44
页
三楼有(设备 2626):
a) A 部门 Clinet_3 在 vlan 100 IP 地址:172.16.1.20/24
b) B 部门 Clinet_4 在 vlan 200 IP 地址:172.16.2.200/24
数据中心(设备 5304xl):
WEB_Server 在 vlan 300 IP 地址:172.16.3.254/24
„ 功能实现
1. A 部门与 B 部门都能访问数据中心 WEB_Server
2. A 部门与 B 部门不能互访;
3. 主干链路均采用冗余双链路,保证干路带宽的同时提供链路备份。
二、基本操作命令
1、设备调试前的准备
z 连接设备,进入终端调试界面
z 使用设备附带的 Cab 把交换机的 console 口与 PC 的 232 串口连起
来
z
2、常用操作命令
5304xl#configure
5304xl(config)# interface ethernet A2
5304xl(eth-A2)#exit
5304xl(config)#ip routing
5304xl(config)#vlan 1
5304xl(vlan-1)#ip address 192.168.0.1/24
//进入特权模式
//进入接口 A2
//退出接口模式
//启用三层路由功能
//进入 vlan 1
//设置 vlan 接口的 ip 地址
第 21 页 共 44
页
5304xl(vlan-1)#untagged A1-A4
5304xl(vlan-1)#tagged A8
5304xl(vlan-1)#exit
5304xl(config)#trunk Ethernet A5-A6 trk1
5304xl(config)#show running-config
5304xl(config)#exit
5304xl#write memory
5304xl#copy startup-config tftp 192.168.0.2 config
5304xl#reload
三、实验配置
1、5304xl
hostname "test_5304xl"
ip access-list extended "100"
//把 A1-A4 加入 vlan 1 里面
//把 A8 端口作为干路端口
//退出 vlan 接口
//把 A5/A6 作为链路聚合 1 组
//查看当前运行的配置
//退出特权模式
//保存当前运行的配置到 RAM
//保存配置到 TFTP 服务器上
//重启
//交换机命名
//制定扩展访问控制列
表100
deny ip 172.16.1.1 0.0.0.255 172.16.2.1 0.0.0.255 //禁止1段访问2段
permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 //允许剩余的全部通
过
exit
module 1 type J4821A
interface A1
name "Link_client_1"
exit
interface
A2
name "Link_client_2"
exit
interface
A3
name "Link_Web_Server"
exit
trunk A1,A2 Trk1 Trunk
1
trunk A3,A4 Trk1 Trunk
2
ip routing
snmp-server community "public" Unrestricted
vlan 1
name "Manage_vlan"
untagged A6
ip address 10.1.1.1 255.255.255.0
no untagged A1-A5
exit
//设置端口A1/A2为端口聚合组
//设置端口A3/A4为端口聚合组
//启用三层路由功能
//命名接口
//vlan命名
//设置交换机的管理地址
第 22 页 共 44
页
ip address 172.16.1.1 255.255.255.0
tagged Trk1
Trk1
ip access-group "100" in
ip access-group "100"
out exit
vlan 200
name "Test_2"
ip address 172.16.2.1 255.255.255.0
tagged Trk2
Trk2
exit
vlan 300
name "Web_server"
untagged A4
ip address 172.16.3.1 255.255.255.0
exit
spanning-tree
2、2626_1
hostname "test_2626_1"
ip routing
trunk 25,26 Trk1
snmp-server community "public" Unrestricted
vlan 1
name "Manage_Vlan"
untagged 25-26
ip address 10.1.1.2 255.255.255.0
no untagged 1-24
exit
vlan 100
name "Test_1"
untagged 1-12
tagged trk1
exit
vlan 200
name "Test_2"
untagged 13-24
tagged trk1
exit
spanning-tree
//设置vlan100的干路端口为聚合端口
//设置vlan 100的干路端口为聚合端口
//把端口A4加入vlan 300
//启用生成树协议,防止形成环路
第 23 页 共 44
页
3、2626_2
hostname "test_2626_2"
ip routing
trunk 25,26 Trk2
snmp-server community "public" Unrestricted
vlan 1
name "Manage_Vlan"
untagged 25-26
ip address 10.1.1.3 255.255.255.0
no untagged 1-24
exit
vlan 100
name "Test_1"
untagged 1-12
tagged trk2
exit
vlan 200
name "Test_2"
untagged 13-24
tagged Trk2
exit
spanning-tree
4、测试结果
a) A 部门与 B 部门都能访问数据中心 WEB_Server
使用一楼或三楼的任意 PC 客户端,均能访问计算机中心的 WEB Server;
b) A 部门与 B 部门不能互访;
A 部门的 PC 客户端 ping 不通 B 部门的客户端;B 部门的客户端也不能 ping 通 A
部门
c) 主干链路均采用冗余双链路,保证干路带宽的同时提供链路备份。
计算机中心连接到一、三楼的主干链路均是双链路,链路都正常的时候主干链路可以达
到 4G 的流量(1000M 全双工),当任意断掉一根,另一条链路仍然可以正常通信。
第 24 页 共 44
页
第三章 第三层相关设置
3.1 VLAN 间路由的配置
z VLAN 间路由
我们知道,一个 VLAN 相当于一个独立的局域网,要想使两个 VLAN 之间进行正常
通讯,需要使用一个三层的设备来完成 VLAN 之间的路由。HP 的所有三层交换机都可以实
现 VLAN 间的路由。
在 HP 交换机上,开启 VLAN 间路由的命令是
5304(config)# ip routing
在 HP 5400/5300/2600 交换机上配置 VLAN 间路由的示例:
一台 5400 交换机上划分了 3 个 VLAN,分别为 VLAN2 ,VLAN3 ,VLAN4 对应的 IP 网段
为 192.168.1.0/24;192.168.2.0/24;192.168.3.0,在交换机上的配置为:
5304(config)#
Ip routing
Vlan 2
Untagged A1-A4
Tagged B1
Ip address 192.168.1.1 255.255.255.0
Vlan 3
Untagged A5-A10
Tagged B1
Ip address 192.168.2.1 255.255.255.0
Vlan 2
Untagged A11-A14
Tagged B1
Ip address 192.168.3.1 255.255.255.0
接在 A1-A4 端口上 PC 机设置本机地址为:192.168.1XX/24 网关为 192.168.1.1
接在 A5-A10 端口上 PC 机设置本机地址为:192.168.2XX/24 网关为
192.168.2.1 接在 A1-A14 端口上 PC 机设置本机地址为:/24 网关
为 192.168.3.1 即可以由 54/53/26 系列交换机完成 VLAN 间的路由
3.2 静态路由的配置
路由选择表获取信息的方式有两种,以静态路由表项的方式手工输入信息,或者通过几种
自动信息发现和共享系统(动态路由选择协议)之一自动地获取信息。我们先来看下静态路
由。
静态路由条目的格式:
5304(config)# ip route 10.1.1.1 255.0.0.0 172.16.1.1
目的网络 下一跳(出口对端接口地址)
第 25 页 共 44
页
缺省路由:
缺省路由是指本交换机中所有的路由表项都没有符合一个 IP 包的目的地址的时候交换机将
这些数据包发送到什么地方去。
5304(config)# ip route 0.0.0.0 0.0.0.0 172.16.5.1
3.3 RIP 路由协议基本概念
路由选择信息协议(RIP)作为最早的距离矢量型 IP 路由选择协议仍然被广泛地使用着,
当前存在着两个版本。版本 1(RIPv1)和版本 2(RIPv2)的区别是,RIPv1 是有类别路由
选择协议,而 RIPv2 是无类别路由选择协议。RIPv2 对 RIPv1 的功能作了部分增强。
RIP 协议的处理是通过 UDP 520 端口来操作的。所有的 RIP 消息都被封装在 UDP
数据 报文中,其中数据报文的源和目的端口字段被设置为 520。RIP 的度量是基于跳数(hop
count) 的,1 跳表示的是与发出通告的路由器相直连的网络,16 跳表示网络不可到达。
HP 5400/5300 支持 RIP 路由协议,而 2600 系列不支持 RIP 路由协议
3.4 RIP 的配置
交换机 A 与 B 之间运行 RIP 路由协议,配置如
下
交换机 A 的配置
Switch_A(config)# vlan 10
Switch_A(vlan-10)# untag a1
Switch_A(vlan-10)# ip address 10.10.10.2/24
Switch_A(vlan-10)# exit
Switch_A(config)# ip routing
Switch_A(config)# router rip
Switch_A(rip)# vlan 10
第 26 页 共 44
页
Switch_A(vlan-10)# ip rip
Switch_A(vlan-10)# vlan 20
Switch_A(vlan-20)# untag b1
Switch_A(vlan-20)# ip address 20.20.20.2/24
交换机 B 的配置
Switch_B(config)# vlan 10
Switch_B(vlan-10)# untag a1
Switch_B(vlan-10)# ip address 10.10.10.3/24
Switch_B(vlan-10)# exit
Switch_B(config)# ip routing
Switch_B(config)# router rip
Switch_B(rip)# restrict 198.168.40.0/24
Switch_B(rip)# vlan 10
Switch_B(vlan-10)# ip rip
Switch_B(vlan-10)# vlan 30
Switch_B(vlan-30)# untag b1
Switch_B(vlan-30)# ip address 30.30.30.2/24
Switch_B(vlan-30)# vlan 40
Switch_B(vlan-40)# untag b4
Switch_B(vlan-40)# ip address 198.168.40.1/24
相关的查看命令
Switch_A# sh ip rip general
RIP global parameters
RIP protocol : enabled
Auto-summary : enabled
Default Metric : 1
Route changes : 7
Queries : 0
RIP interface information
IP Address Status Send mode Recv mode Metric Auth
--------------- ----------- ---------------- ---------- ----------- ----
10.10.10.2 enabled V2-only V2-only 1 none
RIP peer information
IP Address Bad routes Last update timeticks
--------------- ----------- ---------------------
10.10.10.3 0 27
Switch_B# sh ip rip general
RIP global parameters
RIP protocol : enabled
Auto-summary : enabled
Default Metric : 1
第 27 页 共 44
页
Route changes : 5
Queries : 0
RIP interface information
IP Address Status Send mode Recv mode Metric Auth
--------------- ----------- ---------------- ---------- ----------- ----
10.10.10.3 enabled V2-only V2-only 1 none
RIP peer information
IP Address Bad routes Last update timeticks
--------------- ----------- ---------------------
10.10.10.2 0 16
Switch_A# sh ip rip interface
RIP interface information
IP Address Status Send mode Recv mode Metric Auth
--------------- ----------- ---------------- ---------- ----------- ----
10.10.10.2 enabled V2-only V2-only 1 none
Switch_B# sh ip rip interface
RIP interface information
IP Address Status Send mode Recv mode Metric Auth
--------------- ----------- ---------------- ---------- ----------- ----
10.10.10.3 enabled V2-only V2-only 1 none
Switch_A# sh ip route rip
IP Route Entries
Destination Network Mask | Gateway Type Sub-Type Metric
--------------- --------------- + --------------- --------- ---------- ------
30.0.0.0 255.0.0.0 | 10.10.10.3 rip 2
Switch_B# sh ip route rip
IP Route Entries
Destination Network Mask | Gateway Type Sub-Type Metric
--------------- --------------- + --------------- --------- ---------- ------
20.0.0.0 255.0.0.0 | 10.10.10.2 rip 2
Destination Network Mask | Gateway Type Sub-Type Metric
--------------- --------------- + --------------- --------- ---------- ------
10.10.10.0 255.255.255.0 | VLAN10 connected 0
20.20.20.0 255.255.255.0 | VLAN20 connected 0
30.0.0.0 255.0.0.0 | 10.10.10.3 rip 2
127.0.0.0 255.0.0.0 | reject static 0
127.0.0.1 255.255.255.255 | lo0 connected 0
Switch_B# sh ip route
IP Route Entries
Destination Network Mask | Gateway Type Sub-Type Metric
--------------- --------------- + --------------- --------- ---------- ------
第 28 页 共 44
页
10.10.10.0 255.255.255.0 | VLAN10 connected 0
20.0.0.0 255.0.0.0 | 10.10.10.2 rip 2
30.30.30.0 255.255.255.0 | VLAN30 connected 0
127.0.0.0 255.0.0.0 | reject static 0
127.0.0.1 255.255.255.255 | lo0 connected 0
198.168.40.0 255.255.255.0 | VLAN40 connected 0
Switch_A# sh ip rip peer
RIP peer information
IP Address Bad routes Last update timeticks
--------------- ----------- ---------------------
10.10.10.3 0 6
Switch_B# sh ip rip peer
RIP peer information
IP Address Bad routes Last update timeticks
--------------- ----------- ---------------------
10.10.10.2 0 23
Switch_A# sh ip rip restrict
RIP restrict list
IP Address Mask
--------------- ---------------
Switch_B# sh ip rip restrict
OSPF restrict list
IP Address Mask
--------------- ---------------
198.168.40.0 255.255.255.0
3.5 OSPF 路由协议的基本概念
开放最短路径优先协议(Open Shortest Path First,OSPF)是由 Internet 工程任务组(IETF)
开发的路由选择协议,用来替代存在一些问题的 RIP 协议。现在,OSPF 协议是 IETF 组
织 建议使用的内部网关协议(IGP)。OSPF 协议是一个链路状态协议,正如它的命名所描述的,
OSPF 使用 Dijkstra 的最短路径优先算法(SPF),而且是开放的。这里所说的开放是指它不
属于任何一个厂商或组织所私有。
像所有的链路状态协议一样,OSPF 协议和距离矢量协议相比,一个主要的改善就在于它
的快速收敛,这样使 OSPF 协议可以支持更大的互连网络,并且不容易受到有害路由选择信
息的影响。OSPF 协议的其他一些特性有:
z 使用了区域的概念,这样可以有效地减少路由选择协议对路由器的 CPU 和内存的
占 用,划分区域还可以降低路由选择协议的通信量,这使构建一个层次化的互联网络
拓 扑成为可能;
z 完全无类别地处理地址问题,排除了像不连续的子网这样的有类别路由选择协议的问
题;
z 支持无类别的路由选择表查询、VLSM 和用来进行有效地址管理的超网技术;
z 支持无大小限制的、任意的度量值;
第 29 页 共 44
页
z 支持使用多条路由路径的效率更高的等价负载均衡;
z
z
z
使用保留的组播地址来减少对不宣告 OSPF 报文的设备的影响;
支持更安全的路由选择认证;
使用可以跟踪外部路由的路由标记。
HP 5300 系列交换机支持 OSPF,5400 系列交换机需要许可证,2600 系列不支持 OSPF
3.6 OSPF 的配置
如下图所示为两台交换机之间运行 OSPF 路由协议,以单一 OSPF 区域为例
交换机 A 的配置如下
Switch_A(config)# vlan 10
Switch_A(vlan-10)# untag a1
Switch_A(vlan-10)# ip address 10.10.10.2/24
Switch_A(vlan-10)# exit
Switch_A(config)# ip routing
Switch_A(config)# router ospf
Switch_A(ospf)# area 0.0.0.0
Switch_A(ospf)# redistribute connected
Switch_A(ospf)# vlan 10
Switch_A(vlan-10)# ip ospf area 0.0.0.0
Switch_A(vlan-10)# vlan 20
第 30 页 共 44
页
Switch_A(vlan-20)# untag b1
Switch_A(vlan-20)# ip address 20.20.20.2/24
交换机 B 的配置如下:
Switch_B(config)# vlan 10
Switch_B(vlan-10)# untag a1
Switch_B(vlan-10)# ip address 10.10.10.3/24
Switch_B(vlan-10)# exit
Switch_B(config)# ip routing
Switch_B(config)# router ospf
Switch_B(ospf)# area 0.0.0.0
Switch_B(ospf)# redistribute connected
Switch_B(ospf)# restrict 198.168.40.0/24
Switch_B(ospf)# vlan 10
Switch_B(vlan-10)# ip ospf area 0.0.0.0
Switch_B(vlan-10)# vlan 30
Switch_B(vlan-30)# untag b1
Switch_B(vlan-30)# ip address 30.30.30.2/24
Switch_B(vlan-30)# vlan 40
Switch_B(vlan-40)# untag b4
Switch_B(vlan-40)# ip address 198.168.40.1/24
相关的查看命令:
show ip ospf general
show ip ospf interface
show ip route ospf
show ip route
show ip ospf neighbor
show ip ospf database link-state
show ip ospf database external-link-state
show ip ospf restrict
3.7 路由重分发
当路由器使用路由选择协议进行路由通告时,如果该路由是通过其他方式获取的,那么路
由器将要执行重新分配。这里所谓的其他方式可能是另外一个路由选择协议、静态路由或直
连目标网络。例如,路由器可能同时运行 OSPF 进程和 RIP 进程。如果设置 OSPF 进程通
告 来自 RIP 进程的路由,这就叫做重新分配 RIP。
下面的示例配置是在运行 RIP 和 OSPF 两个路由协议之间做重分发:
5304xl(config)# router rip
5304xl(rip)# redistribute ospf
5304xl(rip)# exit
5304xl(config)# router ospf
5304xl(ospf)# redistribute rip
第 31 页 共 44
页
5304xl(config)# show run
router ospf
area 0.0.0.1
area backbone
redistribute rip
exit
router rip
redistribute ospf
exit
3.8 VRRP/XRRP 配置
HP 5400 支持 VRRP,需要许可证,5300 支持 XRRP,不需要许可证.我们仅对 5300 的 XRRP 作
一介绍如下:
网络中两台 HP5304XL 交换机所采用的路由冗余协议 XRRP,主要是用来在两台路由交换 机
之间实现失效切换的。XRRP 相对于其他厂商所推出的路由冗余协议而言,该协议的优势 就
在于它可以通过配置实现两台设备对传输的数据共同分担负载,而且当其中一台设备
down 掉后,另一台设备可以立即接手它的全部工作。这样网络中心部分的单点产生故障后,
网络还能照常运行。
相关配置如下:
xrrp domain < 1-16 > 创建一个XRRP域组(如果要更改,则先NO XRRP)
no xrrp disable(禁用)XRRP
xrrp [ router < 1-2 >] 设置一个域组里XRRP路由器的编号
xrrp failback < 10-999 > 设置一个失效时间(秒),默认10S
xrrp trap < trap-name | all > 设置XRRP发生哪些变化发送信息到SNMP服务器
xrrp instance < owner-router-number > < vlan-id > [advertise < 1-60 > |
authentication < auth-string > | ip < ip-addr/mask-length >]
owner-router-number——路由器编号(1/2)本端的和对端的;
vlan-id——VRRP 接口所在的 vlan ID 号; advertise——发送通
告的频率(1~60)S; authentication——选择是否加密 xrrp 报
文,默认关闭; ip——vlan 接口的 ip 地址,对端的;
举例:
拓扑结构图如下:
第 32 页 共 44
页
配置一:服务器无线路冗余
配置二:服务器也线路冗余
第 33 页 共 44
页
3.9 DHCP Relay 的配置
DHCP 请求的过程简单说是个广播,当一个 DHCP 客户端发出的请求广播报文是不能直
接通过三层接口进行转发的。在划分了 VLAN 的网络中,必须使用 DHCP relay 功能为每个
VLAN 中的客户机分配 IP 地址。
例如某网络中划分了三个 VLAN,使用一台 DHCP 服务器给这三个 VLAN 中的客户机分
配 IP 地址,DHCP 服务器中要配置三个 DHCP 的作用域,每个作用指定不同的 IP 地址池及
路由器地址。
如图的交换配置如下:
第 34 页 共 44
页
在交换机上对应的每个 VLAN 启用 dhcp relay
配置如下:
HP ProCurve Switch 5304XL>enable
HP ProCurve Switch 5304XL# config term
HP ProCurve Switch 5304XL(config)# ip routing
HP ProCurve Switch 5304XL(config)# vlan 20
HP ProCurve Switch 5304XL(vlan-20)# untagged b3,b4
HP ProCurve Switch 5304XL(vlan-20)# ip address 10.10.20.1/24
HP ProCurve Switch 5304XL(vlan-20)# vlan 30
HP ProCurve Switch 5304XL(vlan-30)# untagged a1
HP ProCurve Switch 5304XL(vlan-30)# ip address 10.10.30.1/24
HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.2
HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.3
HP ProCurve Switch 5304XL(vlan-30)# vlan 40
HP ProCurve Switch 5304XL(vlan-40)# untagged c1
HP ProCurve Switch 5304XL(vlan-40)# ip address 10.10.40.1/24
HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.2
HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.3
HP ProCurve Switch 5304XL(vlan-40)# write mem
HP ProCurve Switch 5304XL(vlan-40)#
第 35 页 共 44
页
第四章 安全与认
4.1 端口安全性(MAC 绑定)
IP 地址的修改非常容易,而 MAC 地址存储在网卡的 EEPROM 中,而且网卡的 MAC 地
址是唯一确定的。因此,为了防止内部人员 进行非法 IP 盗用(例如盗用权限更高人员的 IP
地址,以获得权限外的信息),可以将内部网络的 IP 地址与 MAC 地址绑定,盗用者 即使
修改了 IP 地址,也因 MAC 地址不匹配而盗用失败:而且由于网卡 MAC 地址的唯一确定性,
可以根据 MAC 地址查出使用该 MA C 地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,都采用了 MAC 地址与端口的绑定技术。下面我们就针对
HP ProCurve 5300 交换机介绍一下 MAC 地址绑定的设置。
5304xl(config)# port-security a3 learn-mode static mac-address
0013D426DE9
或
5304xl(config)# port-security a3 address-limit 2 learn-mode static
mac-addr
ess 0013d2-26de99 0013d3-26de98
Learn-mode static :交换机初始化状态下,端口的学习模式是自动学习 MAC 地址,
所以在欲绑定 MAC 到端口的情况下需要把其改成静态模式。
查看 A3 接口绑定 MAC 的情况:
5304xl(config)# show port-security a3
Port Security
Port : A3
Learn Mode [Continuous] : Static
Action [None] : None
Authorized Addresses
--------------------
Address Limit [1] : 1
第 36 页 共 44
页
0013d2-26de99
4.2 访问控制表
访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能
些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地
址、目的地址、端口号等的特定指示条件来决定。
HP2600 不支持访问控制表.
下面是对几种访问控制列表的简要总结。
●标准 IP 访问控制列表
一个标准 IP 访问控制列表匹配 IP 包中的源地址或源地址中的一部分,可对匹配的包采取
拒绝或允许两个操作。编号范围是从 1 到 99 的访问控制列表是标准 IP 访问控制列表。
●扩展 IP 访问控制列表
扩展 IP 访问控制列表比标准 IP 访问控制列表具有更多的匹配项,包括协议类型、源地址、
目的地址、源端口、目的端口、建立连接的和 IP 优先级等。编号范围是从 100 到 199 的
访 问控制列表是扩展 IP 访问控制列表。
4.2.1 标准访问控制列表
5304xl(config)# ip access-list standard <1-99> /*创建一个标准访问列表
5304xl(config-std-nacl)# permit
5304xl(config-std-nacl)# deny
5304xl(config)# vlan 100 /*进入接口
5304xl(vlan-100)# ip access-group 1
4.2.2 扩展访问控制表
5304xl(config)# ip access-list extended <100-199> /*创建一个扩展访问列表
5304xl(config-ext-nacl)# permit address> {eq|gt|lt|neg|range}{端口号或者应用} /*定义规则 5304xl(config)# vlan 100 /*进入接口 5304xl(vlan-100)# ip access-group 100 4.4 802.1X 认证 随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数 量急剧增加和宽带业务多样性的要求。IEEE802.1x 协议具有完备的用户认证、管理功能, 可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带 IP 城域网等电信级网络 的运营和管理具有极大的优势。IEEE802.1x 协议对认证方式和认证体系结构上进行了优化, 解决了传统 PPPOE 和 WEB/PORTAL 认证方式带来的问题,更加适合在宽带以太网中的使 用。 第 37 页 共 44 页 IEEE802.1x 是 IEEE2001 年 6 月通过的基于端口访问控制的接入管理协议标准。 IEEE802 系列 LAN 标准是目前居于主导地位的局域网络标准,传统的 IEEE802 协议定 义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的 LanSwitch,用户 就可以访问局域网中的设备或资源,这是一个安全隐患。对于移动办公,驻地网运营等应用, 设 备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。 IEEE802.1x 是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接 入 设备进行认证和控制,此处的物理接入级指的是 LanSwitch 设备的端口。连接在该类 端口 上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认 证,则无法 访问 LAN 内的资源,相当于物理上断开连接。 下面首先让我们了解一下 IEEE802.1x 端口访问控制协议的体系结构。 1.IEEE802.1x 体系介绍 虽然 IEEE802.1x 定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适 用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端 口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理 端口的; IEEE 802.11 定义的无线 LAN 接入方式是基于逻辑端口的。 IEEE802.1x 的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。 在用户接入层设备(如 LanSwitch)实现 IEEE802.1x 的认证系统部分,即 Authenticator; IEEE802.1x 的客户端一般安装在用户 PC 中,典型的为 Windows XP 操作系统自带的客户端; IEEE802.1x 的认证服务器系统一般驻留在运营商的 AAA 中心。 Supplicant 与 Authenticator 间运行 IEEE802.1x 定义的 EAPOL 协议; Authenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证 数据,将该协议承载在 其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务 器。 Authenticator 每个物理端口 内 部 有 受 控端 口( Controlled Port )和 非 受 控 端口 (unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协 议帧,可保证随时接收 Supplicant 发出的认证 EAPOL 报文。受控端口只有在认证通过的 状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方 式,以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合,例如管理员远程唤 醒一台计算机(supplicant)。 2.IEEE802.1x 认证过程简介 IEEE802.1x 通过 EAP 承载认证信息,共定义了如下 EAP 包类型: l EAP-Packet,认证信息帧,用于承载认证信息; l EAPOL-Start,认证发起帧,Supplicant 和 Authenticator 均可以发起; l EAPOL-Logoff,退出请求帧,可主动终止已认证状态; 息; 其中 EAPOL-Start,EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 和认证服务器间,EAP-Packet 报文重新封装承载于 Radius 协议之上,以 间存在,在交换机 便穿越复杂的网络到达认证服务器。 EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息, 例如各种告警信息,由 Authenticator 终结。 5.IEEE802.1x 配置 试验环境: radius 服务器地址:172.16.12.128,设置有一个帐户,共享 key 为 111,以 WINDOWS 2000 第 38 页 共 44 页 的 IAS 为 RADIUS 服务器 5304 一台,配备一块 4P10/100/1000 电口模块 5304 配置如下: iprouting vlan 1 name "DEFAULT_VLAN" untagged A1-A4 ip address 172.16.12.130 255.255.255.0 exit vlan 200 name "test_1" untagged A2 ip address 172.16.22.1 255.255.255.0 exit vlan 300 name "test_2" untagged A3 ip address 172.16.33.1 255.255.255.0 exit aaa authentication port-access chap-radius radius-server key 111 radius-server host 172.16.12.128 key 111 aaa port-access authenticator A2-A4 aaa port-access authenticator A2 auth-vid 200 aaa port-access authenticator A3 unauth-vid 300 aaa port-access authenticator active 在该配置下,客户端使用 WINDOWS 2000 SP3 以上时,连入网络就会弹出一个认证窗口要 求输入用户名及密码. 4.5 WEB 认证 WEB 认证是对客户端认证的一种方法,认证过程为:设备在得到客户端接入请求时发送 一个 WEB 窗口,用户在输入用户名和密码后,封装到 SSL 报文中,去往后台 RADIUS 服 务器认证,认证成功后赋予客户端接入权限。 配置如下: test_5304xl(config)# aaa port-access web-based A2 client-limit 32 test_5304xl(config)# aaa port-access web-based A2 ssl- test_5304xl(config)# aaa port-access web-based A2 redirect- url hp://wwwhpm/hm test_5304xl(config)# aaa port-access web-based dhcp-addr 172.16.12.0 255.255.255.0 第 39 页 共 44 页 test_5304xl(config)# aaa port-access web-based dhcp-lease 25 在 WEB 认证方式下,客户端连入交换机后需打开一个浏览器,交换机会返回一个页面给客 户机要求输入用户名及密码 4.6 MAC 认证 MAC 认证是一种最简便的客户端接入控制方式, 认证过程对无线(有线)客户端来说 是透明的。MAC 认证方式有 2 种:第一种称为“ MAC-RADIUS ”认证:设备在得到客户端 MAC 地址后,将 MAC 地址作为用户名和密码,封装到 RADIUS 报文中,去 往后台 RADIUS 服务器去认证,认证成功后赋予客户端接入权限;第二种称为“ MAC- ACL ”方式, 在设备上保存一份 MAC 地址列表,每次认证时在本地查表来确认客户端是 否可以合法接 入。 配置如 下: 5304XL(config)#aaa port-access mac-based [e] < port-list > 如: 4.7 病毒抑制技术的原理与配置 对于企业网络,网络防病毒技术越来越受到管理者的高度重视,因其泛滥会直接影响办公 及业务,造成高额的经济损失。现在网络中普遍采用的反病毒解决方案,如防病毒软件、防 病毒防火墙、入侵检测系统等,但这也并不能免受诸如 Sasser、Slammer 等蠕虫病毒或新病 毒肆意入侵所造成的严重的破坏。出现这种现象的主要原因在于: 一、反病毒技术主要依靠病毒特征码来识别病毒,在没有出现能识别这种特征码之前, 用户依旧处于被动的被攻击的地位。及在出现病毒及防病毒特征码出现之前的一段 时间内,类似蠕虫的病毒就可以以毫秒级的速度不被限制的进行传播,造成网络带 宽被耗尽、网络的传输设备如交换机的内存、cpu 被耗尽、所有交换机的端口被阻 塞,相信很多人都有过台式机因病毒导致内存、CPU 的利用率都达到接近 100%的 状态,那是我们能做的就是开机、关机。 二、入侵检测系统技术(IPS)曾被广泛的认为可以解决上述的问题,因它不依赖病毒的特 征码,也无需人工干预,当出现病毒侵袭时,显示一点或多点对多点的连接数量增 加,造成整体网络流量负载增加,网络状态异常,显示病毒出现预兆的报警信息。 HP 通过在 5400/5300 专利技术的 IPS 技术组件,具有 virus throtting 功能,将网络防病 毒技术提高到一个新的层次,这种技术并不是依靠病毒特征码进行病毒的识别,它无需外置 IPS 模块,而是根据类似蠕虫病毒的特性来进行病毒的划分,识别可路由 vlan 上的数据特性, 可通过简单的系统软件免费升级便可智能的进行病毒的抑制、阻断的防御,在不增加网络负 担、管理复杂的前提下,将对病毒的反应所需的时间缩短到病毒出现的时间。 HP 2600 不支持该功能 病毒抑制功能的实现在配置上主 要分为一下几步: 一、在全局模式下对不同的连接 次数设定敏感度 5308switch(config)#connection-rate-filter sensitivity 抑制模式 low 同一源地址连接请求时 对目的主机连接频 处罚时间间隔 间频率 率 < 0.1 秒 54 < 30 秒 第 40 页 共 44 页 Medium High aggressive < 1.0 秒 < 1.0 秒 < 1.0 秒 37 22 15 30-60 秒 60-90 秒 90-120 秒 二、配置端口抑制模式 在全局配置模式下配置端口抑制 5308switch(config)#filter connection-rage 如果交换机检测到从一台主机发出特定数量可路由的 ip 连接请求 notify-only: 产生错误日志,发送信息到 snmp 主机; throttle: 产生错误日志,发送信息到 snmp 主机,同时在处罚间隔内阻断连接端 口, 处罚时间过期后,端口允许此主机进行网络连接,同时检测端口数据流 量, 如果依旧出现可疑的行为,交换机阻断连接端口; block: 产生错误日志,发送信息到 snmp 主机,同时阻断所有路由与交换的流量数据; 举例: hp5308(config)#connection-rate-filter sensitivity low hp5308(config)#filter connection-rate b1 notify-only hp5308(config)#filter connection-rate a1-a4 throttle hp5308(config)#filter connection-rate b9 block 三、ACL 的端口抑制 此功能可对源 IP 地址、TCP/UDP 端口等进行端口抑制 举例: hp5308(config)#show config startup configuration: hostname “hp5308” connction-rate-filter sensitivity medium ip access-list connection-rate-filter “ignore server” filter ip 192.168.0.0 0.0.0.255 ignore ip 0.0.0.0 255.255.255.255 exit vlan 2 untagged a1-a4 Ip add 192.168.1.1 255.255.255.0 Ip connection-rate-filter-access-group “ignore server” Filter connection-rage a1-a4 bloack 第 41 页 共 44 页 第五章 组播协 5.1 组播基本概念 z 组播协议分为主机-路由器之间的组成员关系协议和路由器-路由器之间的组播路由 协议。 z 组成员关系协议包括 IGMP(互连网组管理协议)。组播路由协议分为域内组播路由协 议及域间组播路由协议。 z 域内的组播协议又分为密集模式与稀疏模式。域内组播路由协议主要使用 PIM-SM, PIM-DM,DVMRP 协议。 组播 IP 地址: z 组播地址范围 Î 224.0.0.0-239.255.255.255 z 保留组播地址 Î 224.0.0.0-224.0.0.255 z 本地管理组地址 Î 239.0.0.0-239.255.255.255 z 用户组播地址 Î 224.0.1.0-238.255.255.255 组播 MAC 地址: Î 以太网: 01-00-5e-xx-xx-xx 5.2 IGMP 的配置 IGMP(Internet Group Management Protocol)协议是主机与路由器之间唯一信令协议 5304xl(config)# ip multicast-routing 5304xl(config)#vlan 100 5304xl(vlan 100)#ip igmp 5.3 PIM 的配置 z PIM 协议分为: Î PIM_DM(协议无关组播_密集模式) Î PIM_SM(协议无关组播_稀疏模式) HP ProCurve 5400 支持 PIM_SM/DM.5300 系列支持组播路由协议 PIM-DM。 第 42 页 共 44 页 5304xl(config)#ip multicast-routing 5304xl(config)#vlan 100 5304xl(vlan 100)#ip pim HP 5300 支持 PIM,5400 需要许可证,2600 不支持 PIM 附件 A:5400 交换机的许可证安装与删除 HP 5400 系列交换机的 OSPF/VRRP/PIM 等功能需要购买一个 LICENSE 才可以使用,在适当 的时候使用这些高级特性,不使用的时候可以不需购买该许可证从而减少设备成本. 要使用该许可证需进行以下的步骤: 1,购买一个 Premium-Edge 许可证,将会获得一个注册的 ID 2,在交换机的配置界面中产生一个硬件相关的 ID,命令如下 licenses hardware-id premium-edge 3,进入 My ProCurve 网站,输入您的注册 ID 及硬件相关 ID /?ReturnUrl=%2fprofile% 4, My ProCurve 网站会产生一个许可证的 KEY 通过 EMAIL 发送给您 5,在交换机的命令行中打入如下的命令激活该许可证 licenses install premium-edge 6,重启交换机 使用 show license 命令查看结果: show licenses Feature Group ============== Premium-edge OSPF PIM-SM/DM VRRP 如果在某台交换机上不使用该许可证,可以将它迁移到其它交换机中,过程如下: 1,使用命令行输入: licenses uninstall premium-edge 2,交换机会返回一个认证的 KEY,如 SG433PN01G-V-2VJ7GXP-7MD97GP-FHCWBQW-CPD2WT4 3,进行 My ProCurve portal 输入该认证 KEY 及原注册 ID 4,My ProCurve 将返回一个新的注册 5,使用该新的注册 ID 重新为另一台设备申请许可证 License Status ============== Installed 第 44 页 共 44 页
2024年6月5日发(作者:图门蕴秀)
第一章
交换机的初始配置
1.1 使用 CONSOLE 口进行交换机的配置
1.超级终端配置如下:
开始-附件-通讯-超级终端,在 COM 口属性的窗口中选择还原默认值。
每秒位数(B): 9600
数据位(D): 8
奇偶校验(P): 无
停止位(S): 1
数据流控制(F): 无
2.配置好超级终端后,回车登陆。HP 系列产品默认需要认证,才能进行管理配置,默认的
用户名为空,口令为空。
图:
此时将进入登陆模式,登陆模式的符号是一个大于号“>”,在此模式下可以实现基本的状 态
查看功能,通过问号“?”可以查看此状态下所有可操作的命令.
HP 系列产品所有模式下(登陆模式,管理模式和配置模式)均有这种帮助功能,同时
在输入命令时,可以通过
z 登陆模式:以“>”开头,仅仅能够进行一些基本状态查看
z 管理模式:以“#”开头,能够进行所有状态信息的查看,同一时刻允许有多个管 理
员处在此模式下。
从登陆模式进入管理模式的命令:enable(可简写为 en),通过 enable 口令
认证后,即可进入管理模式。
第 42 页 共 44
页
配置模式:以“(config)”开头,能够对设备进行配置和管理,同一时刻仅仅允
许一个管理人员处在配置模式下。此模式下可以同时具有管理模式和登陆模式的功
能。
从管理模式进入配置模式的命令为:configure,即可进入配置模式。 从
高级模式退出到低级模式的命令为 exit 或 disable。
3.基本命令
1、 查看操作系统版本及硬件信息
命令:show version
作用:查看当前系统版本和状态信息
‹ 系统当前版本:
test_5304xl# show version
Image stamp: /sw/code/build/alpmo(m35)
Aug 2 2005 11:27:11
E.10.04
4015
Primary
z
Boot Image:
‹ 系统主机名:
‹ 系统 CPU 类型:
‹ 系统内存容量:
‹ 系统启动时间:
‹ 系统当前时间:
‹ 系统端口类型:
‹ 系统序列号:
‹ 系统当前能实现的功能:
配置主机名:
命令:hostname
:其中主机名长度最长为 64 字节
实例:例如需要配置设备的名称为 Blue,则命令如下。
AN(config)#hostname test_5304xl
Test_5304xl(config)#
3. 配置 VLAN IP 地址:
命令:[no]vlan
或
[no]vlan
Vlan
实例:例如需要对设备划分一个 VLAN 采用两种不同底方式进行配置
Blue(config)# vlan 1 ip address 192.168.0.23 255.255.255.0 或
Blue(config)# vlan 1 ip address 192.168.0.23/24
查看当前 VLAN 地址命令:
B()
4. 配置网关:
配置网关命令:
2.
第 5 页 共 44
页
ip default-gateway
实例:配置一个缺省的网关
Blue(config)# ip default-gateway 192.168.0.1
4. 测试网络联通情况
HP 系列产品提供了 Ping 和 traceroute 来检查网路的联通状况
ping 命令示例:
Blue(config)#ping 192.168.0.1
Traceroute 命令示例:
Blue(config)#traceroute 192.168.10.1
1.2 使用 TELNET 或者 WEB 方式对交换机进行配
置
1.2.1 使用 TELNET 方式对交换机进行配置
1.配置 CLI 接口访问
列出当前控制台、串口连接配置。这条命令是显示当前接口访问的参数设置。
语法:show console
下面图例显示交换机缺省的控制台,串口的配置信息:
接口访 问允
许 / 禁
列出事件值和类型
控制台控制选项
2.默认情况下入口的 TELNET 访问是允许的。
语法:[no]telnet-server
3.禁止 TELNET 入口访问
语法:Procurve(config)# no telnet-server
4.重新允许 TELNET 入口访问
语法:Procurve(config)# telnet-server
5.远程 TELNET 另外的一台设备并查看该设备的状态。
语法:Procurve(config)# telnet 192.168.2.35
1.2.2 通过 WEB 方式对交换机进行配置
1.默认情况下 WEB 方式配置交换机是允许的。
语法:[no]web-management
2. 禁止 WEB 方式配置交换机
第 6 页 共 44
页
语法:Procurve(config)# no web-management
3. 允许 WEB 方式配置交换机
语法:Procurve(config)# web-management
可以使用 Http://192.168.0.3(该地址为虚拟地址,客户可根据具体的设置改动),一切 OK
后如下图所示:
1.3 设置用户名及密码
1.通过 CLI 方式配置用户名和密码
对于一个企业的安全来说保密是非常重要的。如果不设置密码那么任何人知道 IP 地址的
人都可以通过 WEB/CLI/菜单的方式查看和修改交换机的配置。其后果是非常严重的,所以
强烈建议客户设置本地密码和用户名。只有专人才能控制和管理这台设备。
语法: [no]password
设置操作员密码不用设置用户名:(操作员只有只读的权限)
Blue#config
Blue(config)# password operator
12345678 (密码将显示成:********) 12345678 为密码
12345678 (再次输入密码进行校验)
设置管理员的用户名和密码:(管理员有完全的读和写的权限)
Blue#config
Blue(config)# password manager username svacomm svacomm 为用户名
12345678 (密码将显示成:********) 12345678 为密码
12345678 (再次输入密码进行校验)
2.通过 WEB 方式设置用户名和密码
第 7 页 共 44
页
设置操作员密码不用设置用户名:(操作员只有只读的权限),设置管理员的用户名和
密码:(管理员有完全的读和写的权限)
这里有两种访问的权限 Read-only access 只分配给普通用户权限,而下面的 read-write
access 是分配给管理员的权限。输入相应的用户名和密码点击 Apply Changes 按钮保存即可。
客户再次登陆时候会弹出以下窗口,输入相应的用户名和密码就能获得相应的权限。
普通用户可以是没有用户名的。只输入密码点击 OK 就可以。
1.4 配置 SNMP 相关信
a. 打开 SNMP3 使用 snmp3 enable 命令。一个初始用户登陆将会产生 MD5 验证和
DES
数据加密。
b. 可以限制对 SNMP3 代理的访问可以使用 snmpv3 only 命令。同时你也可以限制
对
1.开启或关闭 SNMPV3 代理访问交换机,包括建立初始的用户记录。
第 8 页 共 44
页
语法:[no]snmpv3 enable
2.开启或关闭限制 SNMPV3 代理的访问,如果是开启状态将拒收所有非 SNMPV3 的
信息。
语法:[no]snmpv3 only
3.开启或关闭限制所有非 SNMPV3 代理只读权限。
语法:[no]snmpv3 restricted-access
4.显示非 SNMPV3 操作状态
语法:show snmpv3 enable
5.显示非 SNMP3 写的状态信息
语法:show snmpv3 restricted-access
以下案例将详细介绍了 SNMPV3 的详细配置:
打开 SNMPv3
SNMPV3 管理程序建立初
始用户模式
设 置 限
制 非
SNMPV3 信息。
设置 SNMPV3 共同体名称
SNMPV3 共同体允许使用 V1,V2 版本的交换机进行访问。共同体只能在支持 2C 及
1C 的组接口级别设备上进行映像。这一映像可在有组件接口授权的设备上自动生成,但特殊
映 像必须使用 snmpv3 communty 命令
1.5 LLDP 配置
IEEE 标准——802.1AB 链接层发现协议(Link Layer Discovery Protocol),将能够使企
业网络的故障查找变得更加容易,并加强网络管理工具在多厂商环境中发现和保持精确网络 拓
扑结构的能力。
链路层发现协议(Link Layer Discovery Protocol,LLDP)是 802.1ab 中定义的新协议,
它可使邻近设备向其他设备发出其状态信息的通知,并且所有设备的每个端口上都存储着定
第 9 页 共 44
页
义自己的信息,如果需要还可以向与它们直接连接的近邻设备发送更新的信息,近邻的设备
会将信息存储在标准的 SNMP MIBs。网络管理系统可从 MIB 处查询出当前第二层的连接情
况。LLDP 不会配置也不会控制网络元素或流量,它只是报告第二层的配置。802.1ab 中的
另一个内容是使网络管理软件利用 LLDP 所提供的信息去发现某些第二层的矛盾之处。IEEE
目前使用的是 IETF 现有的物理拓扑、接口和 Entity MIBs。
简单说来,LLDP 是一种邻近发现协议。它为以太网网络设备,如交换机、路由器和无
线局域网接入点定义了一种标准的方法,使其可以向网络中其他节点公告自身的存在,并保
存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公
告。
1.显示交换机 LLDP 配置信息,端口的流量信息和 trap 信息。
语法:show lldp config
如下图所示:
2.显示交换机 LLDP 单个端口的配置信息。
语法:show lldp config
如下图所示
第 10 页 共 44
页
3.打开和禁止 LLDP 功能。
语法:[no] lldp run
1.6 密码恢复方法
如果密码丢失点击交换机面板前的 clear 按钮。当点击 clear 按钮后将删除交换面的密码
和用户名。
可以使用面板上的 reset 及 clear 按钮恢复设备的出厂值:
同时按住 reset 及 clear 按钮,大约 5 秒钟后放开 reset 按钮,继续按住 clear 按钮,
等 面板上的 sefltest ,放开按钮。
为了保护你交换机的配置安全,建议将交换机放置在安全的场所,不被外人有物理接触。
该按钮的可以使用如下命令行禁止:
语法:[no] front-panel-security password-clear reset-on-clear
1.7 交换机映像更新及配置文件备份与恢复
1.将配置文件备份到 TFTP 服务器上
将交换机的配置备份到远程的 TFTP 服务器上。
语法:copy
或 copy config
实例:将配置文件备份到一台 TFTP 服务器上
ProCurve# copy startup-config tftp 10.28.227.105 d:configssw5300
第 11 页 共 44
页
2.将从 TFTP 服务器上的配置文件恢复到交换机
将交换机的配置备份到远程的 TFTP 服务器上。
语法:copy tftp
或 copy tftp config
实例:将 TFTP 服务器上的备份文件恢复到交换机上
ProCurve# copy tftp startup-config 10.28.227.105 d:configssw2512
3.升级交换机的映象文件
先到网站上下载映象文件。/rnd/software/ 该站点包含了
最新的升级软件。
将文件拷贝到 TFTP 服务器使用一下命令
语法:copy tftp flash
实例:将 TFTP 服务器上的映像文件拷贝到交换机上
copy tftp flash 10.1.2.3 secondary
boot system flash secondary
在交换机中有两个闪存可以使用如下命令,从第二个闪存区域复制软件映像至第一个
区域:
Copy flash flash primary
第 12 页 共 44
页
第二章 二层相关协议设置
2.1 端口的命名方式
HP 5300/5400 交换机的面板如下图所示,端口在配置文件中的命名是以槽位/序号的方
式进行:以 5406 为例,槽位编号从左至右,从上到下分别是:A、B、C、D、E、F
如 A 模块的第一个端口就叫:A1
其它的非模块化交换机的端口命名以序号标识:
如 2626 的 15 个端口就是 15
给一个端口或一些端口配置一个友好的名字
语法:interface < port-list > name < port-name-
string >
在端口列表中删除
语法:no interface < port-list > name
实例:给一个端口配置一个名字 link_web_server
test_5304xl(config)# int a1 name link_web_server
test_5304xl(config)# show name
Port Names
Port Type Name
A1 100/1000T link_web_server
2.2 端口物理参数配置
第 13 页 共 44
页
1.设置端口的工作模式
显示每个端口的工作模式,使用命令:
语法:show interfaces [ brief | config | < port-list >]
查看端口的情况:
test_5304xl(config)# show interfaces brief
Status and Counters - Port Status
| Intrusion MDI Flow
Port Type | Alert Enabled Status Mode Mode Ctrl
------- --------- + --------- ------- ------ ---------- ----- -----
A1 100/1000T | Yes Yes Down 1000FDx Auto off
A2 100/1000T | No Yes Up 100FDx MDIX off
A3-Trk1 100/1000T | No Yes Down 1000FDx Auto off
A4-Trk1 100/1000T | No Yes Up 1000FDx MDIX off
更改端口的工作模式,使用命令:
语法: speed-duplex < auto-10 |10-full | 10-half | 100-full | 100-half
|auto|
auto-100 | 1000-full >
实例:将 A1 端口的工作模式更换为百兆全双工
test_5304xl(eth-A2)# int a1
test_5304xl(eth-A1)# speed-duplex 100 ful1
test_5304xl(eth-A2)# show int br
Status and Counters - Port Status
| Intrusion
Port Type | Alert Enabled Status Mode
A1 100/1000T | Yes Yes Down 100FDx
A2 100/1000T | No
A3-Trk1 100/1000T | No
Yes
Yes
Up
Down
100FDx
1000FDx
MDI Flow
Mode Ctrl
Auto off
MDI off
Auto off
2.对端口的流量进行限制
限制一个或一些端口的 INBOUND 流量使用命令:
语法:[no] int < port- list > rate-limit < all | icmp ><
0..100 >
实例:给一个端口和一些端口限制流量
test_5304xl(config)# int a1,a2 rate-limit all 60
test_5304xl(config)# show rate-limit all
Inbound Rate Limit Maximum %
Port | Limit Radius Override
----- + -------- ---------------
A1 | 60 No-override
A2 | 60 No-override
第 14 页 共 44
页
A4 | Disabled No-override
2.3 802.1qVLAN 的基本概念
802.1QVLAN:802.1Q 主要定义了 VLAN。VLAN 可使属于同一 VLAN 的设备实现互相访问,
使属于不同 VLAN 间的设备不能互相访问,划分了网络的广播域。利用 VLAN 可大大减少网络
中不必要的数据交换的数量,提升网络传输性能。
IEEE802.1Q 是虚拟桥接局域网的正式标准,它定义了同一个物理链路上承载多个逻辑
子网 VLAN 的方法。IEEE802.1Q 在标准的 IEEE802.3 以太帧结构中加入 4 个字节,这 4
字节统称为虚拟局域网标签(VLAN Tag)。如图 1 所示。
带有 IEEE 802.1Q 标签的以太网帧
2.4 基于端口的 VLAN 划分方法
基于端口 VLAN 划分命令:
语法:vlan < vid >
vlan < vid > < tagged | untagged > <
一般情况下,接电脑的端口设为 untagged 端口,而交换机与交换机之间的连接设置为 tagged
端口。
如下图的配置,我们要让交换机 1 上的 VLAN2 与交换机 2 上的 VLAN2 互相之间通
讯,
第 15 页 共 44
页
在 SW1 上,接普通电脑的端口为 A1,A2,所以它们应该设为 untagged,而 A3 端口用于交
换机间互联,并且要让 VLAN2 及 VLAN3 的数据包通过,所以应该设置为 tagged,交换机的
配置如下:
SW1#
vlan 2
Untagged A1
Tagged A3
Vlan 3
Untagged A2
Tagged A3
SW2#
vlan 2
Untagged A1
Tagged A3
Vlan 3
Untagged A2
Tagged A3
2.5 GVRP 的配置
GVRP(GARP VLAN Registration Protocol,GARP VLAN 注册协议)是 GARP 的一种
应用,它基于 GARP 的工作机制,维护交换机中的 VLAN 动态注册信息,并传播该信息
到 其它的交换机中。所有支持 GVRP 特性的交换机能够接收来自其它交换机的 VLAN 注
册信 息,并动态更新本地的 VLAN 注册信息,包括当前的 VLAN 成员、这些 VLAN 成员
可以通 过哪个端口到达等。而且所有支持 GVRP 特性的交换机能够将本地的 VLAN 注册
信息向其 它交换机传播,以便使同一交换网内所有支持 GVRP 特性的设备的 VLAN 信息
达成一致。 GVRP 传播的 VLAN 注册信息既包括本地手工配置的静态注册信息,也包括
来自其它交换 机的动态注册信息
配置 GVRP 命令:
语法:GVRP
第 16 页 共 44
页
显示 GVRP 命令:
语法:show GVRP
实例:
HP ProCurve Switch 2626(config)# show gvrp
GVRP support
Maximum VLANs to support [8] : 8
Primary VLAN : web
GVRP Enabled [No] : Yes
Port Type | Unknown VLAN Join Leave Leaveall
---- --------- + ------------ ----- ----- --------
1 10/100TX | Learn 20 300 1000
2 10/100TX | Learn 20 300 1000
3 10/100TX | Learn 20 300 1000
4 10/100TX | Learn 20 300 1000
5 10/100TX | Learn 20 300 1000
2.6 TRUNKING(LAG)的配置
TRUNKING 是指链路聚合,就是把多个端口聚合成一个端口来使用,提供高速链路,并
提供交换机连接的冗余性。
设置 trunking 时在一个聚合组里的端口的物理参数要一至,如:端口类型要一致,同
电口或者光口;速率及双工模式一致,同为全双工或者半双工及自动协商。 配置完一个
trunking 组后,以 trk1,trk2 等等设置逻辑参数,如 VLAN 的设置使用如下 命令:
Vlan 5 tagged trk1
这样同在 trk1 组中的端口全部可以接受带 801.1Q VLAN 5 的数据包
配置 Trunk 命令:
最后的
lacp 则使用链路聚合协议来完成 trunking 的建立.
语法:trunk < port-list > < trk1 ... trk36 > < trunk | lacp >
2.7 生成树的基本概念(STP/RSTP)及配置方法
2.7.1.生成树的基本概念
如果拥有一个分成多个域的庞大网络系统,就无法保证在网络中没有循环。一旦在网络
系统中存在循环,就存在有相同的数据包在网络中往返传递并消耗带宽。有可能形成广播风 暴,
生成树则是一个能排除这个烦恼的运算法则(IEEE802.3D)。
Spanning Tree 的工作原理
Spanning Tree 的工作方式如同生成一棵的树,树的根就称为“根网桥”,每个设备会
定义一个优先级,数值越小代表它成为根桥的可能性越大。参与 STP 的所有交换机都通过数
据消息的交换来获取网络中其它交换机的信息,这些消息被称为桥接协议数据单元(BPDU)。
BPDU 主要内容包括:根信息 、路径开销、端口信息、记时器。
第 17 页 共 44
页
实现管理冗余链路,建立无环路生成树的首先选举一个根网桥。根网桥是所有交换机用
来决定网络中是否存在环路的依据。通过网桥 ID 决定谁将成为根网桥,根网桥 ID 由两部分
组成:优先级域(两字节)和 MAC 地址域(六字节)。以上两个部分决定了根网桥的选定结
果。数值越低,就越有可能成为根网桥。如果交换机发现一个比它自己更低的根 ID,就将
根 ID 在 BPDU 中进行宣告。通过交换 BPDU 报文,交换机决定谁是根网桥。
当根网桥选举完后,每台交换机与根网桥建立关联。交换机首先判断路径开销。路径开
销是根据链路速率和 BPDU 从根网桥到达本端口所经过的链路数量而计算出来的。如果一个
端口有最低的路径开销,它将被置于转发模式。接收 BPDU 的所有其它端口将被置于阻断模
式。 若各端口接收到 BPDU 的路径开销相同,交换机将根据网桥 ID 以决定哪个端口应该
进 行转发。有最低网桥 ID 的端口将被选为转发端口,所有其它端口将被阻断。
经过 BPDU 的交换,可实现根网桥交换机的选举,并计算出每台交换机到根交换机的最
短距离,离根交换机最近的交换机被称为指定交换机,每台交换机的根端口被选举出来。这 是
一个提供从该交换机到根交换机最佳路径(通常是最低开销路径)的端口,不进行数据帧 转
发的端口被置于阻断状态。这些端口可继续发送和接收 BPDU 信息,但禁止发送或接收用 户
数据。
为了建立一个无环路网络,生成树使交换机的各个端口经历几种不同的状态:阻断、倾
听、学习、转发、关闭
倾听和学习状态都是生成树所实施的过渡状态,指挥交换机端口等待从其它交换机上获 得
BPDU 报文。端口状态转换如下:
当生成树通过了 STP 状态时,采用一系列记时器来防止网络中桥接环路的发生。
快速生成树协议(Rapid Spanning Tree Protocol,RSTP)
生成树协议 IEEE 802.1d 虽可在 50 秒内恢复连接,但已不能满足现代交换式网络和应
用的需要,在 802.1w 中定义的 RSTP 协议可解决 802.1d 的自恢复问题。 快速生成树协议
(RSTP)是从生成树算法的基础上发展而来的,通过配置消息来传递生成树信息,并通过优
先级比较来进行计算。快速生成树能够完成生成树的所有功能,优异之处在于快速生成树减
小了端口从阻塞到转发的延时,快速恢复网络的正常工作状态。它采用桥-桥握手机制,并
不采用 802.1d 中根桥所指定的计时器。
快速生成树协议与生成树协议的区别不少:如端口状态迁移方式不同;配置消息的格式
不同;拓朴改变消息的传播方式不同。
RSTP 除了对根端口和 802.1d 中的指定端口进行了定义之外,还增加了两种新的作用:
一是备份端口。指定端口向生成树提供的路径备份。二是替代端口。为当前根端口所提供的 根
桥提供了替代路径。RSTP 中新定义的端口作用使替代端口可以进行快速转换,能转发根 端
口的故障。
为了防止环路,RSTP 利用网桥之间的握手来确保通过网络分配的端口任务能够保持一
致。由于这种握手机制不依赖于定时器,因此可以迅速地传送到网络各处,随着拓朴结构的
改变而在很短的时间内恢复连接。802.1w 仅工作在点到点的连接中,否则 802.1w 协议将回
到 802.1d 模式。 新的根端口从阻塞到转发的实现:原有根端口已经知道自己不再是根端口了
进入阻塞
状态。新的根端口连接的网段的指定端口处于转发状态,这个新的根端口就可以无延时地进 入
转发状态。
非边缘指定端口从阻塞到转发:此个端口连接着其他网桥。等待进入转发状态的指定端
口向下游网桥发送一个握手请求报文,若下游的网桥响应了,则这个指定端口就可以无延时
地进入转发状态。
第 18 页 共 44
页
边缘端口从阻塞到转发:边缘端口直接和终端设备相连,不再连接任何网桥的端口。网
桥启动后这些端口即无延时地快速进入转发状态。
通过 STP 实现链路冗余管理
正确理解 STP 原理和配置,对于维持交换网络的正常运行有重要的影响。设计好生成树, 可
以使网络保持良好的性能。
通过人工设定的方法为网络指定网桥的优先级别,将其置于网络的中心位置,保证该网
桥能被选举为根网桥,并配备备份根网桥是实现链路优化管理的手段之一。为更好地定制生
成树,可通过调整交换机的端口 ID、端口成本、网络直径等方法来实现。
快速生成树改进的只是生成树的收敛时间,没有解决在整个桥接网络只应用一个单生成 树
实例的不足。网络设计时最好使网络直径不超过 7
2.7.2.生成树的配置方法
查看生成树命令:
语法:show spanning-tree config
HP ProCurve Switch 2626(config)# show spanning-tree config
Rapid Spanning Tree Configuration
STP Enabled [No] : No
Force Version [RSTP-operation] : RSTP-operation
Switch Priority [8] : 8 Hello Time [2] : 2
Max Age [20] : 20 Forward Delay [15] : 15
Port Type | Cost Priority Edge Point-to-Point MChec
---- --------- + --------- -------- ---- -------------- ------
1 10/100TX | 200000 8 Yes Force-True Yes
2 10/100TX | 200000 8 Yes Force-True Yes
3 10/100TX | 200000 8 Yes Force-True Yes
4 10/100TX | 200000 8 Yes Force-True Yes
5 10/100TX | 200000 8 Yes Force-True Yes
6 10/100TX | 200000 8 Yes Force-True Yes
7 10/100TX | 200000 8 Yes Force-True Yes
启动生成树协议命令:
语法:spanning-tree protocol-version stp
write memory
boot
该命令是使用标准的生成树,如果要使用 RSTP 则使用如下命令:
Spanning-tree protocol-version rstp
查看结果,是否打开了 STP 协议:
HP ProCurve Switch 2626# show run
Running configuration:
J4900A Configuration Editor; Created on release
#H.08.53
第 19 页 共 44
页
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-26
ip address dhcp-bootp
exit
spanning-tree protocol-version STP
重新配置每个端口的 STP 协议:
语法:spanning-tree < port-list > path-cost < 1 - 65535 > priority < 0 -
255
> mode< norm | fast >
实例:将端口 C5,C6 配置成路径消耗 15,间隔 100 使用快速模式
HP ProCurve Switch 2626(config)# spanning-tree c5-c6 path-cost 15
2.8 实
验
一、实验架构
„ 演示设备 5304 一台、2626 二台、WEB_SERVER 一台、客户 PC
„ 模拟网络规划: 一
楼有(设备 2626):
1. A 部门 Clinet_1 在 vlan 100 IP 地址:172.16.1.100/24
2. B 部门 Clinet_2 在 vlan 200 IP 地址:172.16.2.100/24
第 20 页 共 44
页
三楼有(设备 2626):
a) A 部门 Clinet_3 在 vlan 100 IP 地址:172.16.1.20/24
b) B 部门 Clinet_4 在 vlan 200 IP 地址:172.16.2.200/24
数据中心(设备 5304xl):
WEB_Server 在 vlan 300 IP 地址:172.16.3.254/24
„ 功能实现
1. A 部门与 B 部门都能访问数据中心 WEB_Server
2. A 部门与 B 部门不能互访;
3. 主干链路均采用冗余双链路,保证干路带宽的同时提供链路备份。
二、基本操作命令
1、设备调试前的准备
z 连接设备,进入终端调试界面
z 使用设备附带的 Cab 把交换机的 console 口与 PC 的 232 串口连起
来
z
2、常用操作命令
5304xl#configure
5304xl(config)# interface ethernet A2
5304xl(eth-A2)#exit
5304xl(config)#ip routing
5304xl(config)#vlan 1
5304xl(vlan-1)#ip address 192.168.0.1/24
//进入特权模式
//进入接口 A2
//退出接口模式
//启用三层路由功能
//进入 vlan 1
//设置 vlan 接口的 ip 地址
第 21 页 共 44
页
5304xl(vlan-1)#untagged A1-A4
5304xl(vlan-1)#tagged A8
5304xl(vlan-1)#exit
5304xl(config)#trunk Ethernet A5-A6 trk1
5304xl(config)#show running-config
5304xl(config)#exit
5304xl#write memory
5304xl#copy startup-config tftp 192.168.0.2 config
5304xl#reload
三、实验配置
1、5304xl
hostname "test_5304xl"
ip access-list extended "100"
//把 A1-A4 加入 vlan 1 里面
//把 A8 端口作为干路端口
//退出 vlan 接口
//把 A5/A6 作为链路聚合 1 组
//查看当前运行的配置
//退出特权模式
//保存当前运行的配置到 RAM
//保存配置到 TFTP 服务器上
//重启
//交换机命名
//制定扩展访问控制列
表100
deny ip 172.16.1.1 0.0.0.255 172.16.2.1 0.0.0.255 //禁止1段访问2段
permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 //允许剩余的全部通
过
exit
module 1 type J4821A
interface A1
name "Link_client_1"
exit
interface
A2
name "Link_client_2"
exit
interface
A3
name "Link_Web_Server"
exit
trunk A1,A2 Trk1 Trunk
1
trunk A3,A4 Trk1 Trunk
2
ip routing
snmp-server community "public" Unrestricted
vlan 1
name "Manage_vlan"
untagged A6
ip address 10.1.1.1 255.255.255.0
no untagged A1-A5
exit
//设置端口A1/A2为端口聚合组
//设置端口A3/A4为端口聚合组
//启用三层路由功能
//命名接口
//vlan命名
//设置交换机的管理地址
第 22 页 共 44
页
ip address 172.16.1.1 255.255.255.0
tagged Trk1
Trk1
ip access-group "100" in
ip access-group "100"
out exit
vlan 200
name "Test_2"
ip address 172.16.2.1 255.255.255.0
tagged Trk2
Trk2
exit
vlan 300
name "Web_server"
untagged A4
ip address 172.16.3.1 255.255.255.0
exit
spanning-tree
2、2626_1
hostname "test_2626_1"
ip routing
trunk 25,26 Trk1
snmp-server community "public" Unrestricted
vlan 1
name "Manage_Vlan"
untagged 25-26
ip address 10.1.1.2 255.255.255.0
no untagged 1-24
exit
vlan 100
name "Test_1"
untagged 1-12
tagged trk1
exit
vlan 200
name "Test_2"
untagged 13-24
tagged trk1
exit
spanning-tree
//设置vlan100的干路端口为聚合端口
//设置vlan 100的干路端口为聚合端口
//把端口A4加入vlan 300
//启用生成树协议,防止形成环路
第 23 页 共 44
页
3、2626_2
hostname "test_2626_2"
ip routing
trunk 25,26 Trk2
snmp-server community "public" Unrestricted
vlan 1
name "Manage_Vlan"
untagged 25-26
ip address 10.1.1.3 255.255.255.0
no untagged 1-24
exit
vlan 100
name "Test_1"
untagged 1-12
tagged trk2
exit
vlan 200
name "Test_2"
untagged 13-24
tagged Trk2
exit
spanning-tree
4、测试结果
a) A 部门与 B 部门都能访问数据中心 WEB_Server
使用一楼或三楼的任意 PC 客户端,均能访问计算机中心的 WEB Server;
b) A 部门与 B 部门不能互访;
A 部门的 PC 客户端 ping 不通 B 部门的客户端;B 部门的客户端也不能 ping 通 A
部门
c) 主干链路均采用冗余双链路,保证干路带宽的同时提供链路备份。
计算机中心连接到一、三楼的主干链路均是双链路,链路都正常的时候主干链路可以达
到 4G 的流量(1000M 全双工),当任意断掉一根,另一条链路仍然可以正常通信。
第 24 页 共 44
页
第三章 第三层相关设置
3.1 VLAN 间路由的配置
z VLAN 间路由
我们知道,一个 VLAN 相当于一个独立的局域网,要想使两个 VLAN 之间进行正常
通讯,需要使用一个三层的设备来完成 VLAN 之间的路由。HP 的所有三层交换机都可以实
现 VLAN 间的路由。
在 HP 交换机上,开启 VLAN 间路由的命令是
5304(config)# ip routing
在 HP 5400/5300/2600 交换机上配置 VLAN 间路由的示例:
一台 5400 交换机上划分了 3 个 VLAN,分别为 VLAN2 ,VLAN3 ,VLAN4 对应的 IP 网段
为 192.168.1.0/24;192.168.2.0/24;192.168.3.0,在交换机上的配置为:
5304(config)#
Ip routing
Vlan 2
Untagged A1-A4
Tagged B1
Ip address 192.168.1.1 255.255.255.0
Vlan 3
Untagged A5-A10
Tagged B1
Ip address 192.168.2.1 255.255.255.0
Vlan 2
Untagged A11-A14
Tagged B1
Ip address 192.168.3.1 255.255.255.0
接在 A1-A4 端口上 PC 机设置本机地址为:192.168.1XX/24 网关为 192.168.1.1
接在 A5-A10 端口上 PC 机设置本机地址为:192.168.2XX/24 网关为
192.168.2.1 接在 A1-A14 端口上 PC 机设置本机地址为:/24 网关
为 192.168.3.1 即可以由 54/53/26 系列交换机完成 VLAN 间的路由
3.2 静态路由的配置
路由选择表获取信息的方式有两种,以静态路由表项的方式手工输入信息,或者通过几种
自动信息发现和共享系统(动态路由选择协议)之一自动地获取信息。我们先来看下静态路
由。
静态路由条目的格式:
5304(config)# ip route 10.1.1.1 255.0.0.0 172.16.1.1
目的网络 下一跳(出口对端接口地址)
第 25 页 共 44
页
缺省路由:
缺省路由是指本交换机中所有的路由表项都没有符合一个 IP 包的目的地址的时候交换机将
这些数据包发送到什么地方去。
5304(config)# ip route 0.0.0.0 0.0.0.0 172.16.5.1
3.3 RIP 路由协议基本概念
路由选择信息协议(RIP)作为最早的距离矢量型 IP 路由选择协议仍然被广泛地使用着,
当前存在着两个版本。版本 1(RIPv1)和版本 2(RIPv2)的区别是,RIPv1 是有类别路由
选择协议,而 RIPv2 是无类别路由选择协议。RIPv2 对 RIPv1 的功能作了部分增强。
RIP 协议的处理是通过 UDP 520 端口来操作的。所有的 RIP 消息都被封装在 UDP
数据 报文中,其中数据报文的源和目的端口字段被设置为 520。RIP 的度量是基于跳数(hop
count) 的,1 跳表示的是与发出通告的路由器相直连的网络,16 跳表示网络不可到达。
HP 5400/5300 支持 RIP 路由协议,而 2600 系列不支持 RIP 路由协议
3.4 RIP 的配置
交换机 A 与 B 之间运行 RIP 路由协议,配置如
下
交换机 A 的配置
Switch_A(config)# vlan 10
Switch_A(vlan-10)# untag a1
Switch_A(vlan-10)# ip address 10.10.10.2/24
Switch_A(vlan-10)# exit
Switch_A(config)# ip routing
Switch_A(config)# router rip
Switch_A(rip)# vlan 10
第 26 页 共 44
页
Switch_A(vlan-10)# ip rip
Switch_A(vlan-10)# vlan 20
Switch_A(vlan-20)# untag b1
Switch_A(vlan-20)# ip address 20.20.20.2/24
交换机 B 的配置
Switch_B(config)# vlan 10
Switch_B(vlan-10)# untag a1
Switch_B(vlan-10)# ip address 10.10.10.3/24
Switch_B(vlan-10)# exit
Switch_B(config)# ip routing
Switch_B(config)# router rip
Switch_B(rip)# restrict 198.168.40.0/24
Switch_B(rip)# vlan 10
Switch_B(vlan-10)# ip rip
Switch_B(vlan-10)# vlan 30
Switch_B(vlan-30)# untag b1
Switch_B(vlan-30)# ip address 30.30.30.2/24
Switch_B(vlan-30)# vlan 40
Switch_B(vlan-40)# untag b4
Switch_B(vlan-40)# ip address 198.168.40.1/24
相关的查看命令
Switch_A# sh ip rip general
RIP global parameters
RIP protocol : enabled
Auto-summary : enabled
Default Metric : 1
Route changes : 7
Queries : 0
RIP interface information
IP Address Status Send mode Recv mode Metric Auth
--------------- ----------- ---------------- ---------- ----------- ----
10.10.10.2 enabled V2-only V2-only 1 none
RIP peer information
IP Address Bad routes Last update timeticks
--------------- ----------- ---------------------
10.10.10.3 0 27
Switch_B# sh ip rip general
RIP global parameters
RIP protocol : enabled
Auto-summary : enabled
Default Metric : 1
第 27 页 共 44
页
Route changes : 5
Queries : 0
RIP interface information
IP Address Status Send mode Recv mode Metric Auth
--------------- ----------- ---------------- ---------- ----------- ----
10.10.10.3 enabled V2-only V2-only 1 none
RIP peer information
IP Address Bad routes Last update timeticks
--------------- ----------- ---------------------
10.10.10.2 0 16
Switch_A# sh ip rip interface
RIP interface information
IP Address Status Send mode Recv mode Metric Auth
--------------- ----------- ---------------- ---------- ----------- ----
10.10.10.2 enabled V2-only V2-only 1 none
Switch_B# sh ip rip interface
RIP interface information
IP Address Status Send mode Recv mode Metric Auth
--------------- ----------- ---------------- ---------- ----------- ----
10.10.10.3 enabled V2-only V2-only 1 none
Switch_A# sh ip route rip
IP Route Entries
Destination Network Mask | Gateway Type Sub-Type Metric
--------------- --------------- + --------------- --------- ---------- ------
30.0.0.0 255.0.0.0 | 10.10.10.3 rip 2
Switch_B# sh ip route rip
IP Route Entries
Destination Network Mask | Gateway Type Sub-Type Metric
--------------- --------------- + --------------- --------- ---------- ------
20.0.0.0 255.0.0.0 | 10.10.10.2 rip 2
Destination Network Mask | Gateway Type Sub-Type Metric
--------------- --------------- + --------------- --------- ---------- ------
10.10.10.0 255.255.255.0 | VLAN10 connected 0
20.20.20.0 255.255.255.0 | VLAN20 connected 0
30.0.0.0 255.0.0.0 | 10.10.10.3 rip 2
127.0.0.0 255.0.0.0 | reject static 0
127.0.0.1 255.255.255.255 | lo0 connected 0
Switch_B# sh ip route
IP Route Entries
Destination Network Mask | Gateway Type Sub-Type Metric
--------------- --------------- + --------------- --------- ---------- ------
第 28 页 共 44
页
10.10.10.0 255.255.255.0 | VLAN10 connected 0
20.0.0.0 255.0.0.0 | 10.10.10.2 rip 2
30.30.30.0 255.255.255.0 | VLAN30 connected 0
127.0.0.0 255.0.0.0 | reject static 0
127.0.0.1 255.255.255.255 | lo0 connected 0
198.168.40.0 255.255.255.0 | VLAN40 connected 0
Switch_A# sh ip rip peer
RIP peer information
IP Address Bad routes Last update timeticks
--------------- ----------- ---------------------
10.10.10.3 0 6
Switch_B# sh ip rip peer
RIP peer information
IP Address Bad routes Last update timeticks
--------------- ----------- ---------------------
10.10.10.2 0 23
Switch_A# sh ip rip restrict
RIP restrict list
IP Address Mask
--------------- ---------------
Switch_B# sh ip rip restrict
OSPF restrict list
IP Address Mask
--------------- ---------------
198.168.40.0 255.255.255.0
3.5 OSPF 路由协议的基本概念
开放最短路径优先协议(Open Shortest Path First,OSPF)是由 Internet 工程任务组(IETF)
开发的路由选择协议,用来替代存在一些问题的 RIP 协议。现在,OSPF 协议是 IETF 组
织 建议使用的内部网关协议(IGP)。OSPF 协议是一个链路状态协议,正如它的命名所描述的,
OSPF 使用 Dijkstra 的最短路径优先算法(SPF),而且是开放的。这里所说的开放是指它不
属于任何一个厂商或组织所私有。
像所有的链路状态协议一样,OSPF 协议和距离矢量协议相比,一个主要的改善就在于它
的快速收敛,这样使 OSPF 协议可以支持更大的互连网络,并且不容易受到有害路由选择信
息的影响。OSPF 协议的其他一些特性有:
z 使用了区域的概念,这样可以有效地减少路由选择协议对路由器的 CPU 和内存的
占 用,划分区域还可以降低路由选择协议的通信量,这使构建一个层次化的互联网络
拓 扑成为可能;
z 完全无类别地处理地址问题,排除了像不连续的子网这样的有类别路由选择协议的问
题;
z 支持无类别的路由选择表查询、VLSM 和用来进行有效地址管理的超网技术;
z 支持无大小限制的、任意的度量值;
第 29 页 共 44
页
z 支持使用多条路由路径的效率更高的等价负载均衡;
z
z
z
使用保留的组播地址来减少对不宣告 OSPF 报文的设备的影响;
支持更安全的路由选择认证;
使用可以跟踪外部路由的路由标记。
HP 5300 系列交换机支持 OSPF,5400 系列交换机需要许可证,2600 系列不支持 OSPF
3.6 OSPF 的配置
如下图所示为两台交换机之间运行 OSPF 路由协议,以单一 OSPF 区域为例
交换机 A 的配置如下
Switch_A(config)# vlan 10
Switch_A(vlan-10)# untag a1
Switch_A(vlan-10)# ip address 10.10.10.2/24
Switch_A(vlan-10)# exit
Switch_A(config)# ip routing
Switch_A(config)# router ospf
Switch_A(ospf)# area 0.0.0.0
Switch_A(ospf)# redistribute connected
Switch_A(ospf)# vlan 10
Switch_A(vlan-10)# ip ospf area 0.0.0.0
Switch_A(vlan-10)# vlan 20
第 30 页 共 44
页
Switch_A(vlan-20)# untag b1
Switch_A(vlan-20)# ip address 20.20.20.2/24
交换机 B 的配置如下:
Switch_B(config)# vlan 10
Switch_B(vlan-10)# untag a1
Switch_B(vlan-10)# ip address 10.10.10.3/24
Switch_B(vlan-10)# exit
Switch_B(config)# ip routing
Switch_B(config)# router ospf
Switch_B(ospf)# area 0.0.0.0
Switch_B(ospf)# redistribute connected
Switch_B(ospf)# restrict 198.168.40.0/24
Switch_B(ospf)# vlan 10
Switch_B(vlan-10)# ip ospf area 0.0.0.0
Switch_B(vlan-10)# vlan 30
Switch_B(vlan-30)# untag b1
Switch_B(vlan-30)# ip address 30.30.30.2/24
Switch_B(vlan-30)# vlan 40
Switch_B(vlan-40)# untag b4
Switch_B(vlan-40)# ip address 198.168.40.1/24
相关的查看命令:
show ip ospf general
show ip ospf interface
show ip route ospf
show ip route
show ip ospf neighbor
show ip ospf database link-state
show ip ospf database external-link-state
show ip ospf restrict
3.7 路由重分发
当路由器使用路由选择协议进行路由通告时,如果该路由是通过其他方式获取的,那么路
由器将要执行重新分配。这里所谓的其他方式可能是另外一个路由选择协议、静态路由或直
连目标网络。例如,路由器可能同时运行 OSPF 进程和 RIP 进程。如果设置 OSPF 进程通
告 来自 RIP 进程的路由,这就叫做重新分配 RIP。
下面的示例配置是在运行 RIP 和 OSPF 两个路由协议之间做重分发:
5304xl(config)# router rip
5304xl(rip)# redistribute ospf
5304xl(rip)# exit
5304xl(config)# router ospf
5304xl(ospf)# redistribute rip
第 31 页 共 44
页
5304xl(config)# show run
router ospf
area 0.0.0.1
area backbone
redistribute rip
exit
router rip
redistribute ospf
exit
3.8 VRRP/XRRP 配置
HP 5400 支持 VRRP,需要许可证,5300 支持 XRRP,不需要许可证.我们仅对 5300 的 XRRP 作
一介绍如下:
网络中两台 HP5304XL 交换机所采用的路由冗余协议 XRRP,主要是用来在两台路由交换 机
之间实现失效切换的。XRRP 相对于其他厂商所推出的路由冗余协议而言,该协议的优势 就
在于它可以通过配置实现两台设备对传输的数据共同分担负载,而且当其中一台设备
down 掉后,另一台设备可以立即接手它的全部工作。这样网络中心部分的单点产生故障后,
网络还能照常运行。
相关配置如下:
xrrp domain < 1-16 > 创建一个XRRP域组(如果要更改,则先NO XRRP)
no xrrp disable(禁用)XRRP
xrrp [ router < 1-2 >] 设置一个域组里XRRP路由器的编号
xrrp failback < 10-999 > 设置一个失效时间(秒),默认10S
xrrp trap < trap-name | all > 设置XRRP发生哪些变化发送信息到SNMP服务器
xrrp instance < owner-router-number > < vlan-id > [advertise < 1-60 > |
authentication < auth-string > | ip < ip-addr/mask-length >]
owner-router-number——路由器编号(1/2)本端的和对端的;
vlan-id——VRRP 接口所在的 vlan ID 号; advertise——发送通
告的频率(1~60)S; authentication——选择是否加密 xrrp 报
文,默认关闭; ip——vlan 接口的 ip 地址,对端的;
举例:
拓扑结构图如下:
第 32 页 共 44
页
配置一:服务器无线路冗余
配置二:服务器也线路冗余
第 33 页 共 44
页
3.9 DHCP Relay 的配置
DHCP 请求的过程简单说是个广播,当一个 DHCP 客户端发出的请求广播报文是不能直
接通过三层接口进行转发的。在划分了 VLAN 的网络中,必须使用 DHCP relay 功能为每个
VLAN 中的客户机分配 IP 地址。
例如某网络中划分了三个 VLAN,使用一台 DHCP 服务器给这三个 VLAN 中的客户机分
配 IP 地址,DHCP 服务器中要配置三个 DHCP 的作用域,每个作用指定不同的 IP 地址池及
路由器地址。
如图的交换配置如下:
第 34 页 共 44
页
在交换机上对应的每个 VLAN 启用 dhcp relay
配置如下:
HP ProCurve Switch 5304XL>enable
HP ProCurve Switch 5304XL# config term
HP ProCurve Switch 5304XL(config)# ip routing
HP ProCurve Switch 5304XL(config)# vlan 20
HP ProCurve Switch 5304XL(vlan-20)# untagged b3,b4
HP ProCurve Switch 5304XL(vlan-20)# ip address 10.10.20.1/24
HP ProCurve Switch 5304XL(vlan-20)# vlan 30
HP ProCurve Switch 5304XL(vlan-30)# untagged a1
HP ProCurve Switch 5304XL(vlan-30)# ip address 10.10.30.1/24
HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.2
HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.3
HP ProCurve Switch 5304XL(vlan-30)# vlan 40
HP ProCurve Switch 5304XL(vlan-40)# untagged c1
HP ProCurve Switch 5304XL(vlan-40)# ip address 10.10.40.1/24
HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.2
HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.3
HP ProCurve Switch 5304XL(vlan-40)# write mem
HP ProCurve Switch 5304XL(vlan-40)#
第 35 页 共 44
页
第四章 安全与认
4.1 端口安全性(MAC 绑定)
IP 地址的修改非常容易,而 MAC 地址存储在网卡的 EEPROM 中,而且网卡的 MAC 地
址是唯一确定的。因此,为了防止内部人员 进行非法 IP 盗用(例如盗用权限更高人员的 IP
地址,以获得权限外的信息),可以将内部网络的 IP 地址与 MAC 地址绑定,盗用者 即使
修改了 IP 地址,也因 MAC 地址不匹配而盗用失败:而且由于网卡 MAC 地址的唯一确定性,
可以根据 MAC 地址查出使用该 MA C 地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,都采用了 MAC 地址与端口的绑定技术。下面我们就针对
HP ProCurve 5300 交换机介绍一下 MAC 地址绑定的设置。
5304xl(config)# port-security a3 learn-mode static mac-address
0013D426DE9
或
5304xl(config)# port-security a3 address-limit 2 learn-mode static
mac-addr
ess 0013d2-26de99 0013d3-26de98
Learn-mode static :交换机初始化状态下,端口的学习模式是自动学习 MAC 地址,
所以在欲绑定 MAC 到端口的情况下需要把其改成静态模式。
查看 A3 接口绑定 MAC 的情况:
5304xl(config)# show port-security a3
Port Security
Port : A3
Learn Mode [Continuous] : Static
Action [None] : None
Authorized Addresses
--------------------
Address Limit [1] : 1
第 36 页 共 44
页
0013d2-26de99
4.2 访问控制表
访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能
些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地
址、目的地址、端口号等的特定指示条件来决定。
HP2600 不支持访问控制表.
下面是对几种访问控制列表的简要总结。
●标准 IP 访问控制列表
一个标准 IP 访问控制列表匹配 IP 包中的源地址或源地址中的一部分,可对匹配的包采取
拒绝或允许两个操作。编号范围是从 1 到 99 的访问控制列表是标准 IP 访问控制列表。
●扩展 IP 访问控制列表
扩展 IP 访问控制列表比标准 IP 访问控制列表具有更多的匹配项,包括协议类型、源地址、
目的地址、源端口、目的端口、建立连接的和 IP 优先级等。编号范围是从 100 到 199 的
访 问控制列表是扩展 IP 访问控制列表。
4.2.1 标准访问控制列表
5304xl(config)# ip access-list standard <1-99> /*创建一个标准访问列表
5304xl(config-std-nacl)# permit
5304xl(config-std-nacl)# deny
5304xl(config)# vlan 100 /*进入接口
5304xl(vlan-100)# ip access-group 1
4.2.2 扩展访问控制表
5304xl(config)# ip access-list extended <100-199> /*创建一个扩展访问列表
5304xl(config-ext-nacl)# permit address> {eq|gt|lt|neg|range}{端口号或者应用} /*定义规则 5304xl(config)# vlan 100 /*进入接口 5304xl(vlan-100)# ip access-group 100 4.4 802.1X 认证 随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数 量急剧增加和宽带业务多样性的要求。IEEE802.1x 协议具有完备的用户认证、管理功能, 可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带 IP 城域网等电信级网络 的运营和管理具有极大的优势。IEEE802.1x 协议对认证方式和认证体系结构上进行了优化, 解决了传统 PPPOE 和 WEB/PORTAL 认证方式带来的问题,更加适合在宽带以太网中的使 用。 第 37 页 共 44 页 IEEE802.1x 是 IEEE2001 年 6 月通过的基于端口访问控制的接入管理协议标准。 IEEE802 系列 LAN 标准是目前居于主导地位的局域网络标准,传统的 IEEE802 协议定 义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的 LanSwitch,用户 就可以访问局域网中的设备或资源,这是一个安全隐患。对于移动办公,驻地网运营等应用, 设 备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。 IEEE802.1x 是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接 入 设备进行认证和控制,此处的物理接入级指的是 LanSwitch 设备的端口。连接在该类 端口 上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认 证,则无法 访问 LAN 内的资源,相当于物理上断开连接。 下面首先让我们了解一下 IEEE802.1x 端口访问控制协议的体系结构。 1.IEEE802.1x 体系介绍 虽然 IEEE802.1x 定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适 用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端 口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理 端口的; IEEE 802.11 定义的无线 LAN 接入方式是基于逻辑端口的。 IEEE802.1x 的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。 在用户接入层设备(如 LanSwitch)实现 IEEE802.1x 的认证系统部分,即 Authenticator; IEEE802.1x 的客户端一般安装在用户 PC 中,典型的为 Windows XP 操作系统自带的客户端; IEEE802.1x 的认证服务器系统一般驻留在运营商的 AAA 中心。 Supplicant 与 Authenticator 间运行 IEEE802.1x 定义的 EAPOL 协议; Authenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证 数据,将该协议承载在 其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务 器。 Authenticator 每个物理端口 内 部 有 受 控端 口( Controlled Port )和 非 受 控 端口 (unControlled Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协 议帧,可保证随时接收 Supplicant 发出的认证 EAPOL 报文。受控端口只有在认证通过的 状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方 式,以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合,例如管理员远程唤 醒一台计算机(supplicant)。 2.IEEE802.1x 认证过程简介 IEEE802.1x 通过 EAP 承载认证信息,共定义了如下 EAP 包类型: l EAP-Packet,认证信息帧,用于承载认证信息; l EAPOL-Start,认证发起帧,Supplicant 和 Authenticator 均可以发起; l EAPOL-Logoff,退出请求帧,可主动终止已认证状态; 息; 其中 EAPOL-Start,EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 和认证服务器间,EAP-Packet 报文重新封装承载于 Radius 协议之上,以 间存在,在交换机 便穿越复杂的网络到达认证服务器。 EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息, 例如各种告警信息,由 Authenticator 终结。 5.IEEE802.1x 配置 试验环境: radius 服务器地址:172.16.12.128,设置有一个帐户,共享 key 为 111,以 WINDOWS 2000 第 38 页 共 44 页 的 IAS 为 RADIUS 服务器 5304 一台,配备一块 4P10/100/1000 电口模块 5304 配置如下: iprouting vlan 1 name "DEFAULT_VLAN" untagged A1-A4 ip address 172.16.12.130 255.255.255.0 exit vlan 200 name "test_1" untagged A2 ip address 172.16.22.1 255.255.255.0 exit vlan 300 name "test_2" untagged A3 ip address 172.16.33.1 255.255.255.0 exit aaa authentication port-access chap-radius radius-server key 111 radius-server host 172.16.12.128 key 111 aaa port-access authenticator A2-A4 aaa port-access authenticator A2 auth-vid 200 aaa port-access authenticator A3 unauth-vid 300 aaa port-access authenticator active 在该配置下,客户端使用 WINDOWS 2000 SP3 以上时,连入网络就会弹出一个认证窗口要 求输入用户名及密码. 4.5 WEB 认证 WEB 认证是对客户端认证的一种方法,认证过程为:设备在得到客户端接入请求时发送 一个 WEB 窗口,用户在输入用户名和密码后,封装到 SSL 报文中,去往后台 RADIUS 服 务器认证,认证成功后赋予客户端接入权限。 配置如下: test_5304xl(config)# aaa port-access web-based A2 client-limit 32 test_5304xl(config)# aaa port-access web-based A2 ssl- test_5304xl(config)# aaa port-access web-based A2 redirect- url hp://wwwhpm/hm test_5304xl(config)# aaa port-access web-based dhcp-addr 172.16.12.0 255.255.255.0 第 39 页 共 44 页 test_5304xl(config)# aaa port-access web-based dhcp-lease 25 在 WEB 认证方式下,客户端连入交换机后需打开一个浏览器,交换机会返回一个页面给客 户机要求输入用户名及密码 4.6 MAC 认证 MAC 认证是一种最简便的客户端接入控制方式, 认证过程对无线(有线)客户端来说 是透明的。MAC 认证方式有 2 种:第一种称为“ MAC-RADIUS ”认证:设备在得到客户端 MAC 地址后,将 MAC 地址作为用户名和密码,封装到 RADIUS 报文中,去 往后台 RADIUS 服务器去认证,认证成功后赋予客户端接入权限;第二种称为“ MAC- ACL ”方式, 在设备上保存一份 MAC 地址列表,每次认证时在本地查表来确认客户端是 否可以合法接 入。 配置如 下: 5304XL(config)#aaa port-access mac-based [e] < port-list > 如: 4.7 病毒抑制技术的原理与配置 对于企业网络,网络防病毒技术越来越受到管理者的高度重视,因其泛滥会直接影响办公 及业务,造成高额的经济损失。现在网络中普遍采用的反病毒解决方案,如防病毒软件、防 病毒防火墙、入侵检测系统等,但这也并不能免受诸如 Sasser、Slammer 等蠕虫病毒或新病 毒肆意入侵所造成的严重的破坏。出现这种现象的主要原因在于: 一、反病毒技术主要依靠病毒特征码来识别病毒,在没有出现能识别这种特征码之前, 用户依旧处于被动的被攻击的地位。及在出现病毒及防病毒特征码出现之前的一段 时间内,类似蠕虫的病毒就可以以毫秒级的速度不被限制的进行传播,造成网络带 宽被耗尽、网络的传输设备如交换机的内存、cpu 被耗尽、所有交换机的端口被阻 塞,相信很多人都有过台式机因病毒导致内存、CPU 的利用率都达到接近 100%的 状态,那是我们能做的就是开机、关机。 二、入侵检测系统技术(IPS)曾被广泛的认为可以解决上述的问题,因它不依赖病毒的特 征码,也无需人工干预,当出现病毒侵袭时,显示一点或多点对多点的连接数量增 加,造成整体网络流量负载增加,网络状态异常,显示病毒出现预兆的报警信息。 HP 通过在 5400/5300 专利技术的 IPS 技术组件,具有 virus throtting 功能,将网络防病 毒技术提高到一个新的层次,这种技术并不是依靠病毒特征码进行病毒的识别,它无需外置 IPS 模块,而是根据类似蠕虫病毒的特性来进行病毒的划分,识别可路由 vlan 上的数据特性, 可通过简单的系统软件免费升级便可智能的进行病毒的抑制、阻断的防御,在不增加网络负 担、管理复杂的前提下,将对病毒的反应所需的时间缩短到病毒出现的时间。 HP 2600 不支持该功能 病毒抑制功能的实现在配置上主 要分为一下几步: 一、在全局模式下对不同的连接 次数设定敏感度 5308switch(config)#connection-rate-filter sensitivity 抑制模式 low 同一源地址连接请求时 对目的主机连接频 处罚时间间隔 间频率 率 < 0.1 秒 54 < 30 秒 第 40 页 共 44 页 Medium High aggressive < 1.0 秒 < 1.0 秒 < 1.0 秒 37 22 15 30-60 秒 60-90 秒 90-120 秒 二、配置端口抑制模式 在全局配置模式下配置端口抑制 5308switch(config)#filter connection-rage 如果交换机检测到从一台主机发出特定数量可路由的 ip 连接请求 notify-only: 产生错误日志,发送信息到 snmp 主机; throttle: 产生错误日志,发送信息到 snmp 主机,同时在处罚间隔内阻断连接端 口, 处罚时间过期后,端口允许此主机进行网络连接,同时检测端口数据流 量, 如果依旧出现可疑的行为,交换机阻断连接端口; block: 产生错误日志,发送信息到 snmp 主机,同时阻断所有路由与交换的流量数据; 举例: hp5308(config)#connection-rate-filter sensitivity low hp5308(config)#filter connection-rate b1 notify-only hp5308(config)#filter connection-rate a1-a4 throttle hp5308(config)#filter connection-rate b9 block 三、ACL 的端口抑制 此功能可对源 IP 地址、TCP/UDP 端口等进行端口抑制 举例: hp5308(config)#show config startup configuration: hostname “hp5308” connction-rate-filter sensitivity medium ip access-list connection-rate-filter “ignore server” filter ip 192.168.0.0 0.0.0.255 ignore ip 0.0.0.0 255.255.255.255 exit vlan 2 untagged a1-a4 Ip add 192.168.1.1 255.255.255.0 Ip connection-rate-filter-access-group “ignore server” Filter connection-rage a1-a4 bloack 第 41 页 共 44 页 第五章 组播协 5.1 组播基本概念 z 组播协议分为主机-路由器之间的组成员关系协议和路由器-路由器之间的组播路由 协议。 z 组成员关系协议包括 IGMP(互连网组管理协议)。组播路由协议分为域内组播路由协 议及域间组播路由协议。 z 域内的组播协议又分为密集模式与稀疏模式。域内组播路由协议主要使用 PIM-SM, PIM-DM,DVMRP 协议。 组播 IP 地址: z 组播地址范围 Î 224.0.0.0-239.255.255.255 z 保留组播地址 Î 224.0.0.0-224.0.0.255 z 本地管理组地址 Î 239.0.0.0-239.255.255.255 z 用户组播地址 Î 224.0.1.0-238.255.255.255 组播 MAC 地址: Î 以太网: 01-00-5e-xx-xx-xx 5.2 IGMP 的配置 IGMP(Internet Group Management Protocol)协议是主机与路由器之间唯一信令协议 5304xl(config)# ip multicast-routing 5304xl(config)#vlan 100 5304xl(vlan 100)#ip igmp 5.3 PIM 的配置 z PIM 协议分为: Î PIM_DM(协议无关组播_密集模式) Î PIM_SM(协议无关组播_稀疏模式) HP ProCurve 5400 支持 PIM_SM/DM.5300 系列支持组播路由协议 PIM-DM。 第 42 页 共 44 页 5304xl(config)#ip multicast-routing 5304xl(config)#vlan 100 5304xl(vlan 100)#ip pim HP 5300 支持 PIM,5400 需要许可证,2600 不支持 PIM 附件 A:5400 交换机的许可证安装与删除 HP 5400 系列交换机的 OSPF/VRRP/PIM 等功能需要购买一个 LICENSE 才可以使用,在适当 的时候使用这些高级特性,不使用的时候可以不需购买该许可证从而减少设备成本. 要使用该许可证需进行以下的步骤: 1,购买一个 Premium-Edge 许可证,将会获得一个注册的 ID 2,在交换机的配置界面中产生一个硬件相关的 ID,命令如下 licenses hardware-id premium-edge 3,进入 My ProCurve 网站,输入您的注册 ID 及硬件相关 ID /?ReturnUrl=%2fprofile% 4, My ProCurve 网站会产生一个许可证的 KEY 通过 EMAIL 发送给您 5,在交换机的命令行中打入如下的命令激活该许可证 licenses install premium-edge 6,重启交换机 使用 show license 命令查看结果: show licenses Feature Group ============== Premium-edge OSPF PIM-SM/DM VRRP 如果在某台交换机上不使用该许可证,可以将它迁移到其它交换机中,过程如下: 1,使用命令行输入: licenses uninstall premium-edge 2,交换机会返回一个认证的 KEY,如 SG433PN01G-V-2VJ7GXP-7MD97GP-FHCWBQW-CPD2WT4 3,进行 My ProCurve portal 输入该认证 KEY 及原注册 ID 4,My ProCurve 将返回一个新的注册 5,使用该新的注册 ID 重新为另一台设备申请许可证 License Status ============== Installed 第 44 页 共 44 页