交換機(jī)配置（一）S5012、S5024、S5600系列:2000_EI系列以上的交換機(jī)都可以限速!2000_EI直接在端口視圖下面輸入LINE-RATE4參數(shù)可選1.PC1PC2IP/24、1.在SwitchA上配置端口限速，將PC1的速率限制在3Mbps，同時(shí)將PC1的上傳速率1Mbps【SwitchA進(jìn)入端口E0/1[SwitchA]interfaceEthernetE0/13Mbps[SwitchA-Ethernet0/1]line-rateoutbound30E0/11Mbps[SwitchA-Ethernet0/1]line-rateinbound161～1271～28范圍內(nèi)，則速率限制的粒度為64Kbps，這種情況下，當(dāng)設(shè)置的級(jí)別為N，則端口上限制的速率大小為N*64K；如的級(jí)別為N，則端口上限制的速率大小為(N-27)*1Mbps。【SwitchA進(jìn)入端口E0/1[SwitchA]interfaceEthernetE0/16Mbps[SwitchA-Ethernet0/1]line-rateoutbound2E0/13Mbps[SwitchA-Ethernet0/1]line-rateinbound1line-rate命令，對(duì)該端口的出方向報(bào)文進(jìn)行流量限速；結(jié)合acl，traffic-limit命令，對(duì)端口的入方向報(bào)文進(jìn)行流量限速。【SwitchA進(jìn)入端口E0/1[SwitchA]interfaceEthernetE0/13Mbps[SwitchA-Ethernet0/1]line-rate3[SwitchA]aclnumber[SwitchA-acl-link-4000]rulepermitingressanyegress[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceedacl使用，對(duì)匹配了指定控制列表規(guī)則的數(shù)據(jù)報(bào)文進(jìn)行流量限制。在配置acl的時(shí)候，traffic-shtraffic-limit命令，分別來對(duì)該端口的出、入報(bào)文【SwitchA進(jìn)入端口E0/1[SwitchA]interfaceEthernet對(duì)端口E0/1的出方向報(bào)文進(jìn)行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]traffic-sh 32503250[SwitchA]aclnumber[SwitchA-acl-link-4000]rulepermitingressanyegress[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceedline-rate命令，對(duì)該端口的出方向報(bào)文進(jìn)行流量限速；結(jié)合acl，使用以太網(wǎng)物理端口下面的traffic-limit命令，對(duì)匹配指定控制列表規(guī)則的端口入方向【SwitchA進(jìn)入端口E1/0/1[SwitchA]interfaceEthernetE0/13Mbps[SwitchA-Ethernet1/0/1]line-rate3000[SwitchA]aclnumber[SwitchA-acl-link-4000]rulepermitingressanyegress[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceedacl使用，對(duì)匹配了指定控制列表規(guī)則的數(shù)據(jù)報(bào)文進(jìn)行流量限制。在配置acl的時(shí)候，line-rate命令，對(duì)該端口的出方向報(bào)文進(jìn)行流量限速；結(jié)合acl，使用以太網(wǎng)物理端口下面的traffic-limit命令，對(duì)匹配指定控制列表規(guī)則的端口入方向【SwitchA進(jìn)入端口E1/0/1[SwitchA]interfaceEthernetE0/13Mbps[SwitchA-Ethernet1/0/1]line-rate3000[SwitchA]aclnumber[SwitchA-acl-link-4000]rulepermitingressanyegress[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceedacl使用，對(duì)匹配了指定控制列表規(guī)則的數(shù)據(jù)報(bào)文進(jìn)行流量限制。在配置acl的時(shí)候，交換機(jī)配置（二）1，端口AM使用特殊的AMUser-bindMAC[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernetMACPCPC1MAC地址可以在其mac-addressstaticMAC地址與端口之間的綁定。例如：[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1[SwitchA]mac-addressmax-mac-count0macmacAM使用特殊的AMUser-bindIPMAC[SwitchA]amuser-bindip-addressmac-address00e0-fc22-PCIPMACIP地址MACPC機(jī)，在任何端口都無法上網(wǎng)。arp使用特殊的arpstaticIPMAC[SwitchA]arpstatic00e0-fc22-PCIPMAC3，端口使用特殊的AMUser-bindIP、MAC[SwitchA]amuser-bindip-addressmac-address00e0-fc22-f8d3interfaceEthernet的IP地址、MAC地址的PC機(jī)則無法上網(wǎng)。但是PC1使用該IP地址和MAC地址可以在其;交換機(jī)配置（三）ACL1.組網(wǎng)需求通過二層控制列表，實(shí)現(xiàn)在每天8:00～18:00時(shí)間段內(nèi)對(duì)源MAC為00e0-fc01-0101目MAC00e0-fc01-0303GigabitEthernet0/1接入。.配置步驟#8:0018:00[Quidway]time-range8:00to18:00MAC00e0-fc01-0101MAC00e0-fc01-0303#進(jìn)入基于名字的二層控制列表視圖，命名為traffic-of-link。[Quidway]aclnametraffic-of-linklink#MAC00e0-fc01-0101MAC00e0-fc01-0303 00e0-fc01-03030-0-0time-range#traffic-of-link的ACL[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link2ACL.組網(wǎng)需求通過基本控制列表，實(shí)現(xiàn)在每天8:00～18:00時(shí)間段內(nèi)對(duì)源IP為主機(jī)發(fā)出報(bào)文GigabitEthernet0/1接入。.配置步驟#8:0018:00 8:00to18:00IP#進(jìn)入基于名字的基本控制列表視圖，命名為traffic-of-host。[Quidway]aclnametraffic-of-hostbasic#定義源IP為的規(guī)則[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-#traffic-of-host的ACL.組網(wǎng)需求ACL，限制研發(fā)部門在上班時(shí)間8:00至18:00工資服務(wù)器。.配置步驟#8:0018:00[Quidway]time-range8:00to18:00working-day(2)定義到工資服務(wù)器的ACL#進(jìn)入基于名字的高級(jí)控制列表視圖，命名為traffic-of-payserver。[Quidway]aclnametraffic-of-payserveradvanced#定義研發(fā)部門到工資服務(wù)器的規(guī)則[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestination#traffic-of-payserver的ACL[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver3，常見的ACLaclnumber禁 denyicmpsourceanydestinationBlaster denyudpsourceanydestinationanydestination-porteq denytcpsourceanydestinationanydestination-porteq denytcpsourceanydestinationanydestination-porteq135 denyudpsourceanydestinationanydestination-porteq135 denyudpsourceanydestinationanydestination-porteqnetbios-ns denyudpsourceanydestinationanydestination-porteqnetbios-dgm denytcpsourceanydestinationanydestination-porteq139ruledenyudpsourceanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振蕩波的掃描和ruledenytcpsourceanydestinationanydestination-porteqruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制Worm_MSBlast.A蠕蟲的ruledenyudpsourceanydestinationanydestination-porteq denytcpsourceanydestinationanydestination-porteq1068 denytcpsourceanydestinationanydestination-porteq5800 denytcpsourceanydestinationanydestination-porteq5900 denytcpsourceanydestinationanydestination-porteq10080 denytcpsourceanydestinationanydestination-porteq455 denyudpsourceanydestinationanydestination-porteq455 denytcpsourceanydestinationanydestination-porteq3208 denytcpsourceanydestinationanydestination-porteq1871 denytcpsourceanydestinationanydestination-porteq4510 denyudpsourceanydestinationanydestination-porteq4334 denytcpsourceanydestinationanydestination-porteq4331 denytcpsourceanydestinationanydestination-porteq4557packet-filterip-group目的針對(duì)目前網(wǎng)上出現(xiàn)的問題對(duì)目的是端為1434的UDP報(bào)文進(jìn)行過濾的配置方法，NE80NE80(config)#rule-mapr1udpanyanyeq//r1role-map的名字，udp為關(guān)鍵字，anyanyIP，eq為等于，1434端NE80(config)#acla1r1//a1acl的名字，r1rule-map//1/0/0acl，acl為關(guān)鍵字，a1為aclNE16NE16-4(config)#firewallenableNE16-4(config)#access-list101denyudpanyanyeq//deny為的關(guān)鍵字，針對(duì)udp報(bào)文，anyany為所有源、目的IP，eq為等于，1434udp端NE16-4(config-if-Ethernet2/2/0)#ipaccess-group101//access-list，inout表示出去的報(bào)文中路由器的配置[Router]firewallenable[Router]acl101[Router-acl-101]ruledenyudpsourceanydestionanydestination-porteq1434[Router-Ethernet0]firewallpacket-filter101inbound65066506(config)#aclextendedaaadenyprotocoludpanyanyeq1434 [Quidway]aclnumber[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434 [Quidway-Ethernet5/0/1]packet-filterinboundip-group100not-care-for-interface5516產(chǎn)品的配置： l3aaaprotocol-typeudressanyegressanyeq14345516(config)#flow-actionfffdeny5516(config)#aclbbbaaafff [Quidway]aclnum100[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway]packet-filterip-group1003526rule-mapl3reqflow-actionf1denyaclacl1r1f1access-groupacl1aclnumberrule0denyudpsource0source-porteq1434destinationpacket-filterip-group101rule注：3526產(chǎn)品只能配置對(duì)內(nèi)網(wǎng)的過濾規(guī)則，其中是內(nèi)網(wǎng)的地址段8016產(chǎn)品的配置：8016(config)#rule-mapintervlanaaaudp eq14348016(config)#aclbbbaaadeny8016(config)#access-groupaclbbbvlan10port8016(config)#rule-mapintervlanaaaudp eq14348016(config)#eaclbbbaaadeny8016(config)#access-groupeaclbbbvlan10port防止同網(wǎng)段ARP的1.二層交換機(jī)網(wǎng)絡(luò)用戶仿冒網(wǎng)關(guān)IP的ARP圖1二層交換機(jī)防ARP組S3552PIP：PC的網(wǎng)關(guān)，S3552PMAC地址為000f-e200-3999。PC-B上裝有ARP。現(xiàn)在需要對(duì)S3026C_A進(jìn)行一些特殊配置，IPARP報(bào)文。對(duì)于二層交換機(jī)如S3026C等支持用戶自定義ACL（number50005999）的交換機(jī)，可ACL來進(jìn)行ARP報(bào)文過濾。全局配置ACL所有源IP是網(wǎng)關(guān)的ARP報(bào)acl rule0deny0806ffff2464010101ffffffffrule1permit0806ffff24000fe2003999ffffffffffffIP16進(jìn)制表示形式。Rule1ARP報(bào)文，斜體部mac000f-e200-3999。S3026C-Aacl[S3026C-A]packet-filteruser-groupS3026C_AARP報(bào)文，其它主機(jī)都不能發(fā)送arp響應(yīng)報(bào)文。三層交換機(jī)實(shí)現(xiàn)仿冒網(wǎng)關(guān)的ARP防IP的ARP圖2三層交換機(jī)防ARP組網(wǎng)IPARPACLACL規(guī)aclnumberrule0deny0806ffff2464010105ffffffffrule0S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報(bào)文其中斜體部分64010105是網(wǎng)關(guān)16ACL[S3526E]packet-filteruser-groupIPARP防的ARP報(bào)文進(jìn)行過濾。1如圖1所示，當(dāng)PC-B發(fā)送源IP地址為PC-D的arpreply報(bào)文，源mac是PC-B的3552arp，如下所示：VLAN PortAging arpstatic000f-3d81-45b412S3526C上也可以配置靜態(tài)ARPARPMAC＋portS3026C端口E0/4上做如下操作：amuser-bindip-addrmac-addr000d-88f8-09faintIPMAC000d-88f8-09faARP報(bào)文可以通過E0/4ARPARP表項(xiàng)。ACL和地址綁定。僅僅具有上述功能的交換機(jī)才能防止ARP。5ACLACL可以直接下發(fā)到交換機(jī)的硬件中用于數(shù)據(jù)轉(zhuǎn)發(fā)過程中的過濾和流分類。此時(shí)ACL直接下發(fā)到硬件的情況包括交換機(jī)實(shí)現(xiàn)QoS功能時(shí)ACL硬件轉(zhuǎn)發(fā)時(shí)通過ACL被上層模塊的情ACL被的情況包括：路由策略ACL、對(duì)登錄用戶進(jìn)行控制時(shí)ACL等。說明：以下方法將刪除原有config文件，使設(shè)備恢復(fù)到出廠配置。在設(shè)備重啟時(shí)按Ctrl+B進(jìn)入BOOT之后，PressCtrl-BtoenterBoot 5Password:缺省為空，回車即可DownloadapplicationfiletoSelectapplicationfiletoDisplayallfilesinDeletefilefromModifybootromEnteryourchoice(0-5 File File1234 567FreeSpace:3452928ThecurrentapplicationfileisPleaseinputthefilenumbertodelete:7 Doyouwanttodeletevrpcfg.txtnow?YesorNo(Y/N)yDelete DownloadapplicationfiletoSelectapplicationfiletoDisplayallfilesinDeletefilefromModifybootromEnteryourchoice(0-5):0 交換機(jī)配置（五）VLAN1即可實(shí)現(xiàn)VLAN間互聯(lián)VLAN2VLAN31上網(wǎng)系統(tǒng)視圖下：iproute-static1上配置回程路由routeaddrouteadd這個(gè)時(shí)候vlan2和vlan3中的計(jì)算機(jī)就可以通過服務(wù)器1internet了~~3VLAN之間的通信VLANIPVLANIP就是對(duì)應(yīng)的子網(wǎng)段就是某個(gè)部門的子網(wǎng)段，VLANIP就是一個(gè)子網(wǎng)關(guān)。VLANIPVLANIPVLAN而且更方便網(wǎng)絡(luò)管理員的管理和注意各VLAN中的客戶機(jī)的網(wǎng)關(guān)分別對(duì)應(yīng)各VLANIP。VLAN子網(wǎng)對(duì)應(yīng)著四個(gè)重要部門，筆者認(rèn)為這也是小企業(yè)VLAN10——綜合行政；劃分VLANVLANIPVLANDES-3326SR三層交換機(jī)的VLANDES-3326SR#Configvlandefauelete1-24 刪除默認(rèn)VLAN(default)包含的端口1-24''DES-3326SR#Createvlanvlan10tag10 創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為10DES-3326SR#Createvlanvlan20tag20 創(chuàng)建VLAN名為vlan20，并標(biāo)記VID為20DES-3326SR#Createvlanvlan30tag30 創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為30DES-3326SR#Createvlanvlan40tag40 創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為40DES-3326SR#Configvlanvlan10adduntag1- 1-6添加到DES-3326SR#Configvlanvlan20adduntag7-12 把端口1-6添加到VLAN20DES-3326SR#Configvlanvlan30adduntag13-18 把端口1-6添加到VLAN30DES-3326SR#Configvlanvlan40adduntag19- 把端口1-6添加到VLANDES-3326SR#Createipifif10/24VLAN10stateenabled創(chuàng)建慮擬的接口if10給名為VLAN10的VLAN子網(wǎng)并且指定該接口的IP為/24建后enabledDES-3326SR#Createipifif20/24VLAN20stateenabledDES-3326SR#Createipifif30/24VLAN30stateenabledDES-3326SR#Createipifif40/24VLAN40stateVLAN的接路由的出現(xiàn)，因此不需要靜態(tài)路由或動(dòng)態(tài)路由協(xié)議的配置。DES-3226S二層交換機(jī)的VLANDES-3226S#Configvlandefau elete1-24 DES-3226S#Createvlanvlan10tag10 創(chuàng)建VLAN名為vlan10，并標(biāo)記VID為10DES-3226S#Configvlanvlan10adduntag1- 1-24添加到同理，配置其它DES-3226S二層交換機(jī)。完成以后就可以將各個(gè)所屬VLAN的二層交DES-3326SRVLAN的端口連接即可。交換機(jī)配置（六）【3026S2008/S2016/S2026/S2403H/S3026等交換機(jī)支持的都是基于端口的鏡像，有兩種方法：[SwitchA]portmirrorEthernet0/1toEthernet可以定義鏡像和被鏡像端[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet【80168016E1/0/15E1/0/01/0/15為端口鏡[SwitchA]portmonitorethernet[SwitchA]portmirroringethernet1/0/0bothethernetE1/0/15E2/0/0為鏡像（觀測(cè)）[SwitchA]portmonitorethernet1/0/0為被鏡像端口，分別使用E1/0/15E2/0/0[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0[SwitchA]aclnum[SwitchA-acl-adv-101]rule0permitipsource0destination[SwitchA-acl-adv-101]rule1permitipsourceanydestinationACL規(guī)則的報(bào)文鏡像到E0/8[SwitchA]mirrored-toip-group101interface定義一個(gè)[SwitchA]aclnum[SwitchA]rule0permitingressinterfaceEthernet0/1(egressinterface[SwitchA]rule1permit(ingressinterface egressinterfaceACLE0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516Ethernet3/0/1Ethernet3/0/2[SwitchA]mirrorEthernet ingress-toEthernetoutbount參數(shù)，但是無法配置。1Ethernet4/0/2Ethernet4/0/1的入流量被鏡像。[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/21000M100M端口，8016PortMirror(端口鏡像）AB之間建立鏡像關(guān)系，這樣，通過端口A傳輸?shù)臄?shù)據(jù)將同時(shí)到端口B，以便于在端口B上連接的分析儀或者進(jìn)行性能分析或故障判斷。PC1接在交換機(jī)E0/1端口，IPPC2接在交換機(jī)E0/2端口，IPE0/24ServerE0/82【3026S2008/S2016/S2026/S2403H/S3026等交換機(jī)支持的都是基于端口的鏡像，有兩種方法：[SwitchA]portmirrorEthernet0/1toEthernet可以定義鏡像和被鏡像端[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet【80168016E1/0/15E1/0/01/0/15為端口鏡[SwitchA]portmonitorethernet[SwitchA]portmirroringethernet1/0/0bothethernetE1/0/15E2/0/0為鏡像（觀測(cè)）[SwitchA]portmonitorethernet1/0/0為被鏡像端口，分別使用E1/0/15E2/0/0[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0[SwitchA]aclnum[SwitchA-acl-adv-101]rule0permitipsource0destination[SwitchA-acl-adv-101]rule1permitipsourceanydestinationACL規(guī)則的報(bào)文鏡像到E0/8[SwitchA]mirrored-toip-group100interface定義一個(gè)[SwitchA]aclnum[SwitchA]rule0permitingressinterfaceEthernet0/1egressinterface[SwitchA]rule1permitingressinterfaceEthernet0/2egressinterfaceACLE0/8[SwitchA]mirrored-tolink-group200interfacee0/8[SwitchA]mirroring-portEthernet3/0/11000M100M端口，交換機(jī)配置（七）DHCP1，交換機(jī)作DHCPPC10/1VLAN10；PC2連接到交換機(jī)的以太網(wǎng)0/2VLAN20SwitchAVLAN10/24，VLAN20PC/24；PC2可以動(dòng)態(tài)/24『DHCPServerPCIPDHCP中繼設(shè)備連PCIP地址。[SwitchA]vlanE0/1VLAN10[SwitchA-vlan10]portEthernet0/1VLAN10IP[SwitchA-Vlan-interface10]ipaddressVLAN10IP[SwitchA-Vlan-interface10]dhcpselect[SwitchA]dhcpserverforbidden-ip[SwitchA]vlanE0/1VLAN10[SwitchA-vlan10]portEthernet0/1VLAN10IP[SwitchA-Vlan-interface10]ipaddressVLAN10IP[SwitchA]dhcpserverip-pool[SwitchA-dhcp-vlan10]networkmask[SwitchA]dhcpserverforbidden-ip以上配置以VLAN10的為例，VLAN20VLAN10的配置即可。在采用全局地址經(jīng)過以上配置，可以完成為PC1IP地址為/24，同時(shí)PC1PC2IP/24，同時(shí)PCVLANVLAN接口配置了以全局VLAN接口下無法看到有DHCP的配置。IP2，DHCPRelayDHCPServerIP在SwitchADHCPRelayIPPC1、PC2均可以通自己的網(wǎng)關(guān)，同時(shí)PC1、PC2之間可以互『交換機(jī)DHCPRelay網(wǎng)的用戶可以到同一個(gè)DHCPServer申請(qǐng)IP地址，這樣便于地址池的管理和。【SwitchA全局使能DHCP功能（缺省情況下，DHCP功能處于使能狀態(tài)[SwitchA]dhcp[SwitchA]vlanG1/1VLAN100IP[SwitchA-Vlan-interface100]ipaddress[SwitchA]vlanE0/1-E0/10[SwitchA-vlan10]portEthernet0/1toEthernetVLAN10IP[SwitchA-Vlan-interface10]ipaddress使能VLAN10的DHCPVLAN10DHCP[SwitchA-Vlan-interface10]iprelayaddressE0/11-E0/20加入到[SwitchA-vlan20]portEthernet0/11toEthernet為VLAN20IP[SwitchA-Vlan-interface20]ipaddress使能VLAN20的DHCP為VLAN20配置DHCP[SwitchA-Vlan-interface20]iprelayaddress也可以在全局配置模式下，使能某個(gè)或某些VLAN接口上的DHCP[SwitchA]dhcpselectrelayinterfaceVlan-interface103，DHCPSnooDHCPServer連接在交換機(jī)SwitchA的G1/1端口，屬于vlan10，IPE0/1和E0/2PC1、PC2均可以從指定DHCPServerIP防止其他的DHCPServer影響網(wǎng)絡(luò)中的主『交換機(jī)DHCP-Snoo配置流程Request或DHCPAckIPMAC地址信息。另外，DHCP-Snoo允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP冒DHCPServer的作用，確保客戶端從合法的DHCPServer獲取IP地址。【SwitchA[SwitchA]vlanE0/1、E0/2G1/1VLAN10[SwitchA-vlan10]portEthernet0/1Ethernet0/2GigabitEthernet1/1G1/1trustDHCPIP地址的報(bào)文――”dhcpoffer”SwitchATrunkDHCP中繼設(shè)備，也需要將上行端

交換機(jī)配置（八）1，命令displaycurrent-configuration:查看以太網(wǎng)交換機(jī)的當(dāng)前配置，命令3resetsaved-configurationFlashMemory中的配置文件，以太網(wǎng)交換機(jī)下次FTP文件上傳與，F(xiàn)TPServerPCFTPClientFTPServer上作了如下配置：配置了一個(gè)FTP用戶名為switch為o，對(duì)該用戶了交換機(jī)上Flash根的讀寫權(quán)限。交換機(jī)上的一個(gè)VLAN接口的IP地址為，PCIP地址為，交換機(jī)和PC，switch.appPC上。PC通過FTPswitch.app，同時(shí)將交換機(jī)的配置文件vrpcfg.txt到PC實(shí)現(xiàn)配置文件的備份。#用戶登錄到交換機(jī)上（Console#在交換機(jī)上開啟FTP服務(wù)，設(shè)置好用戶名、和路徑：[Quidway]ftpserverenable[Quidway]local-user[Quidway-luser-switch]service-typeftpftp-directory 在PC上運(yùn)行FTPClient程序，同交換機(jī)建立FTP連接，同時(shí)通過上載操作把交換機(jī)的應(yīng)用程序switch.app上載到交換機(jī)的Flash根 下，同時(shí)從交換機(jī)上配置文件注意：如果交換機(jī)的Flashmemory空間不夠大，請(qǐng)刪除Flash中原有的應(yīng)用程序然后再上載新的應(yīng)用程序到交換機(jī)Flash中。#用戶可以通過命令bootboot-loader來指定的程序?yàn)橄麓螁?dòng)時(shí)的應(yīng)用程序，然后重bootboot-loaderswitch.appTFTP文件上傳與VLANIPPCVLAN，PCIP。交換機(jī)的應(yīng)用程序switch.app保存在PC上。交換機(jī)通過TFTP從TFTPServer上switch.appvrpcfg.txtTFTPServer的工作實(shí)現(xiàn)配置文 Flash中。#進(jìn)入系統(tǒng)視圖。#VLANIPPC相連的端口屬于這個(gè)VLAN（本例VLAN1）[Quidway]interfacevlan[Quidway-vlan-interface1]ipaddress[Quidway-vlan-interface1]quit#將交換機(jī)的應(yīng)用程序switch.app從TFTPServer到交換機(jī)[Quidway] get///switch.app#vrpcfg.txt上傳到TFTPServer。[Quidway]tftpputvrpcfg.txt///vrpcfg.txt#quit[Quidway]#用戶可以通過命令bootboot-loader來指定的程序?yàn)橄麓螁?dòng)時(shí)的應(yīng)用程序，然后重bootboot-loaderswitch.app1，WEB

交換機(jī)配置（九 管理配『WEB方式管理交換機(jī)配置流程首先必備條件要保證PC可以與SwitchB通信，比如PC可以通SwitchBWEBWEB管理的文件載入交換機(jī)的flash中，該文件需要與交換機(jī)當(dāng)前使用的版本相配套。WEB管理文件的擴(kuò)展名為”tar”或者”zip，可以從上相應(yīng)的交換機(jī)版本時(shí)得到。需要在交換機(jī)上添加WEB管理使用的用戶名及，該用戶的類型為 net類型，而且權(quán)限為別3。WEBflash時(shí)，不要將文件進(jìn)行解壓縮，只需將完整的文【SwitchBflash里面的文件(保證WEB管理文件已經(jīng)在交換機(jī)flash中)dir/allDirectoryof-rwxrwx1noonenogroup442797Apr02200013:09:50 net， ，為user[SwitchB-luser-]service-typenetlevel3[SwitchB-luser-]passwordsimplewnm[SwitchB]interfacevlan[SwitchB-Vlan-interface100]ipaddr對(duì)HTTP用戶的控制（Option）[SwitchB]iphttpaclacl_num/acl_name 2，NET方式【NET驗(yàn)證配置[SwitchA]user-interfacevty0設(shè)置登陸驗(yàn)證的password為明文 [SwitchA-ui-vty0-4]setauthenticationpassword配置登陸用戶的級(jí)別為別3(缺省為級(jí)別1)[SwitchA-ui-vty0-4]userprivilegelevel3superpassword(VTY用戶界面登錄后的級(jí)別)例如，配置級(jí)別3用戶的superpassword為明文”super3”[SwitchA]superpasswordlevel3simple【NET本地用戶名和驗(yàn)證配置[SwitchA]user-interfacevty03(1) ]passwordsimple netlevel3[SwitchA]superpasswordlevel3simple NETRADIUS驗(yàn)證配置以使 3Com公司開發(fā)的CAMS作為RADIUS服務(wù)器為[SwitchA]user-interfacevty0[SwitchA]radiusscheme 在域””中名為”cams”的認(rèn)證方[SwitchA]defaultenable NET控制配置[SwitchA]aclnumber[SwitchA-acl-basic-2000]ruledenysource[SwitchA-acl-basic-2000]rulepermitsource[SwitchA-ui-vty0-4]acl2000 3，SSH方式[Quidway]rsalocal-key-pair [Quidway]user-interfacevty0[Quidway-ui-vty0-4]authentication-modescheme[Quidway-ui-vty0-4]protocolinboundssh[Quidway]local-userclient001[Quidway-luser-client001]passwordsimple[Quidway-luser-client001]service-typessh[Quidway]sshuserclient001authentication-typeSSH的認(rèn)證超時(shí)時(shí)間、重試次數(shù)以及服務(wù)器密鑰更新時(shí)間可以采取系統(tǒng)默認(rèn)值，這些配置完成以后您就可以在其它與以太網(wǎng)交換機(jī)連接的終端上運(yùn)行支持SSH1.5的客戶端，以用戶名client001， 交換機(jī)配置（十）STPSwitchA選用公司的高中端交換機(jī)，如S8500或者S6500系列交換SwitchB和SwitchC選用公司的交換機(jī)，如S3500或者S3550系列交換SwitchD、SwitchE和SwitchF選用--3com公司的交換機(jī)，如S3000或者所有設(shè)備運(yùn)行STP(SpanningTreeProtocol)『交換機(jī)STPSTP【SwitchB全局使能STP功能（缺省情況下，DHCP功能處于使能狀態(tài)[SwitchB]stpSwtichB配置為樹根(SwitchBBridge0，或者直接將SwitchB指定為樹根，兩種方法一個(gè)效果)[SwitchB]stppriotity0[SwitchB]stprootprimary[SwitchB]interfaceEthernet【SwitchC全局使能STP功能（缺省情況下，DHCP功能處于使能狀態(tài)[SwitchB]stpSwtichC配置為備份樹根(兩種方法：將SwitcCBBridge4096，或者直SwitchC指定為備份樹根，兩種方法一個(gè)效果)[SwitchB]stppriotity4096[SwitchB]stprootsecondary[SwitchB]interfaceEthernet【其他Switch[SwitchD--Ethernet0/5]stpedged-portenable[SwitchD-]stpbpdu-protection當(dāng)端口上配置了”stproot-protection”以后，該端口的角色只能是指定端口，且一旦該端口交換機(jī)配置（十一）VLANPC1IP/24，PC2IP/24，PC3IPIP53/24；PC1、PC2PC3E0/1、E0/2PVLANVLAN配置視圖中，Isolate-user-VLAN命令(原有命Primary-VLAN)來完成。【SwitchA創(chuàng)建（進(jìn)入）VLAN10E0/1加入到VLAN10[SwitchA]vlan10[SwitchA-vlan10]portEthernet創(chuàng)建（進(jìn)入）VLAN20E0/2加入到VLAN20[SwitchA]vlan20[SwitchA-vlan20]portEthernet創(chuàng)建（進(jìn)入）VLAN30E0/3加入到VLAN30[SwitchA]vlan30[SwitchA-vlan30]portEthernet創(chuàng)建（進(jìn)入）VLAN100G2/1VLAN100[SwitchA]vlan100VLAN100Isolate-user-VLAN[SwitchA-vlan100]Isolate-user-VLANenable[SwitchA]isolate-user-vlan100secondary1020此功能配置主要用于對(duì)用戶主機(jī)進(jìn)行二層在配置Isolate-user-VLAN與secondaryVLAN之間的關(guān)系之前，Isolate-user-VLAN配置了關(guān)系之后不可以再對(duì)Isolate-user-VLAN或secondaryVLAN進(jìn)行端口增減的操 1trunkPC1IP/24，PC2IP/24，PC3IP/24，PC4IP/24；PC1PC2分別連接到交換機(jī)SwitchAE0/1E0/2，端口分屬于VLAN1020；PC3PC4SwitchBE0/10E0/20VLAN10和SwitchAG2/1SwitchBG1/1；SwitchAG2/1G1/1TrunkVLAN10和VLAN20SwitchA與SwitchBVLANPCSwitchA與S