资源预览内容
第1页 / 共56页
第2页 / 共56页
第3页 / 共56页
第4页 / 共56页
第5页 / 共56页
第6页 / 共56页
第7页 / 共56页
第8页 / 共56页
第9页 / 共56页
第10页 / 共56页
亲,该文档总共56页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
Hirschmann交换机配置简介交换机配置简介2009.07网络应用网络应用q网络设备安装供电初始配置链路冗余qIP地址规划q访问控制VLANACLq路由路由配置路由冗余2初始配置初始配置内容内容3IP地址分配地址分配q超级终端连接以CLI方式进行配置使用终端电缆连接交换机V.24端口和PC机COM口使用Windows附件超级终端模拟VT100连接配置:Speed 9600BaudData 8BitParity noneStopbit 1Handshakeoffq或直接还原Windows默认值4IP地址分配地址分配q用户名:adminq口令:privateqEnable 开启配置模式qNetwork protocol none 关闭DHCPqNetwork parms 配置IP属性qCopy system:runningconfig nvram:startupconfig 将当前IP地址配置复制到启动配置5IP地址分配地址分配qHiDiscovery软件配置IP属性以太网连接配置PC和交换机开启HiDiscovery软件自动安装WinPcap3.0软件自动扫描后于主页面添加扫描到的交换机使用Singal按键定位交换机按下Singal按键后,主页面高亮交换机LED会反复交替闪烁6IP地址分配地址分配双击需要配置的交换机条目弹出对话框于对话框内分别填写交换机名称1IP地址2子网掩码3默认网管412347Web页面登陆页面登陆q以Web页面登陆交换机须满足如下条件IE6.0以上版本或其它浏览器1.4以上版本的JAVA运行环境被登陆交换机已配置IP地址并与配置PC处于同一网段q在浏览器地址栏内输入交换机IP地址q登陆页面中填写相应的用户名和口令默认设置:只读 user/public可写 admin/private只提供英语或德语界面8Web 管理管理web 页面左侧是树型结构的导航菜单,每一项对应一个功能页面。点击页面右下角的Help按钮,会弹出对应页面的操作说明。注意:Set 按钮是将 PC 上的配置数据发送到交换机的 RAM 中,而 Reload 按钮用于将交换机 RAM 中配置上传更新到 PC 上。出于安全考虑,RAM 中的数据不支持断电(重启)保护。只有 Basics - System 页面的数据会自动更新,其它页面的数据需要按Reload按钮手动更新。9保存设置到闪存保存设置到闪存通常对赫思曼交换机所做的设置 也就是按Set按钮后生效的设置 都是保存在交换机 RAM 中的,一旦交换机重启,这些设置都将丢失。必须把交换机的设置保存到交换机的Flash中,才能保证交换机重启后有效数据不丢失。保存设置的方法是:进入 Basics - Load/Save 页面,选中 Save 下的Local项,然后点击Save configuration按钮。10配置备份与读取配置备份与读取q存储配置到远程PC使用tftp协议传输配置文件,配置存储PC需打开tftp服务程序例:pumpkin登陆Web页面(或其他管理方式)选项卡 Basic:Load/SaveURL栏内填写t/选择Save to URL点击Save Configuration执行Tftp服务程序确认写入11配置备份与读取配置备份与读取q读取远程PC上的配置使用tftp协议传输配置文件,配置存储PC需打开tftp服务程序例:pumpkin登陆Web页面(或其他管理方式)选项卡 Basic:Load/SaveURL栏内填写t/选择Load from URL点击Load Configuration执行Tftp服务程序确认写入12冗余配置冗余配置内容内容13HIPER-Ring配置配置q!冗余线路连接前,需确认冗余配置已经完成q!除了可以使用软件功能进行环网配置,DIP开关也能完成RM功能开启,和环网端口一定范围内的调整。q登陆交换机Web页面q!配置环网前应关闭环网交换机的RSTP协议q选择Redundancy:HIPERRing选项卡q在Version栏中选择“Version 1”q在RingPort中填写环网端口编号q!环网端口功能应确认为非自适应全双工q!环网连接线应为交叉线q点击Set写入14HIPER-Ring配置配置q完成所有环网交换机的环网端口设置,并确认环网线路正确连接。q选择一台交换机担当RMq!一个环内有且只有一台交换机可以担当RMq!RM功能不应与Coupling功能在同一台机器上使用q将选择担当RM的交换机Redundancy Manager选项置于Onq在Ring Recovery栏中,选择“Standard”q点击Set写入q确认无误后,连接冗余线路q!如果划分VLAN,需保证环网端口是VLAN ID为1的级联端口15HIPER-Ring配置配置qRedundancy Manager StatusActive:环网有断点,RM功能启动,冗余连接生效Inactive:环网闭合qInformationRedundancy guaranteed:环网有断点,冗余连接生效Configuration failure:配置不完全或存在错误16Media Ring Protocol IEC Standardized RingRedundancymanagertestpackets17Coupling配置配置q!冗余线路连接前,需确认冗余配置已经完成q!产品不同DIP功能优先级不同。RS20/30依靠DIP开关选择Standby状态,MS20/30可以依靠软件,也可以依靠DIP开关选择Standby状态。q!配置Coupling前应关闭环网交换机的RSTP协议q!Coupling的端口自适应状态应打开q!如划分VLAN,应保证Coupling端口是VLAN ID为1的级联端口q! RM功能不应与Coupling功能在同一台机器上使用q登陆交换机Web页面q选择Redundancy:Ring/Network Coupling选项卡18Coupling配置配置q共计三种Coupling连接方式1单机Coupling2双机Coupling3含控制线双击Couplingq根据DIP开关状态不同,可以选择的配置类型不同Standby DIP 为on时可选A/C/EStandby DIP为off时可选B/DA B C D E19Coupling配置配置q单机Coupling设置配置交换机Standby开关置于1位选择Redundancy:Ring/Network Coupling选项卡选择右侧图案配置填写Partner Coupling端口及Coupling端口默认为1.3/1.4(MS30为2.3/2.4)Operation项开启确认后连接冗余线路20Coupling配置配置qPort Mode显示该端口设置状态qPort Status显示该端口当前状态qInformationRedundancy guaranteed:主链路断开,冗余连接生效Configuration failure:配置不完全或促在错误qExtended为扩展的链路冗余,如图qRing Coupling用于环网耦合qNetwork Coupling用于总线性网络耦合21Coupling配置配置q双机Coupling设置交换机A Standby开关置于0位选择Redundancy:Ring/Network Coupling选项卡选择右侧图案配置填写Coupling端口Operation项开启确认后连接线路交换机B Standby开关置于1位选择Redundancy:Ring/Network Coupling选项卡选择右侧图案配置填写Partner Coupling端口Operation项开启确认后连接线路22Office networkLayer 3 backbone Transfer network Transfer network IP 1 IP 2 IP 1 IP 2 HIVRRP 三层冗余技术三层冗余技术 23VLAN配置配置内容内容24Virtual LANs (VLAN)qVLAN定义是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。q作用:解决以太网的广播问题和安全性的一种手段。只能提供有限的安全作用。(端口广播限制可以限制到端口)q交叉VLAN:对于部分终端设备而言有好处(如打印机,服务器等)对于其他设备也有副作用,其他设备不得不接受所有组的广播数据q标准化进程:IEEE 802.1D (Bridging), .1Q (port based)IEEE 802 .1v (Layer 3 protocol based).LAN VLAN 1 VLAN 2 VLAN 3 25Different VLANsqVLANs layer 1:基于端口基于端口VLAN(IEEE 802.1Q)大多数厂家支持,基于标准,推荐使用。qVLANs layer 2:MAC-address basedqVLANs layer 3:基于网络地址或基于协议 (IEEE 802.1v)qVLANs layer 4-7: application based futureqCombined VLANs: combination of different layers (free criteria)不再使用,配置复杂,故障排查困难26Port-based VLANs (L1) over Switches (with Tagging)VLAN 1VLAN 2VLAN 3VLAN 1Port 1Port 3Port 5VLAN 2VLAN 3Port 2Port 3Switch 2Port 1Port 4Port 4Part BPart Atagged packetsVLAN 1Switch 1Port 2q优点配置简单协议独立性能可靠较低的部署成本q规则VLAN标记27VLAN Mechanisms: Tagging Static/Current (Egress) VIDPort 1 2 3 4 5 1M 2U UM 3U U M Ingress StationPortVID A12 B22 C33 D43 Uplink5“任意” 2 U 2 U 4 U 3 U x M VLAN2 VLAN3 ABDEFHG12345Cq将LAN分成VLAN,需要规划两个表:Ingress(入口规则)(端口接受的VLAN ID)Egress (出口规则).(端口发送数据时是否打标)28VLANs机制机制: TaggingA2 Aall2 AallAall2 U 2 U 4 U 3 U x MPVID/Tag?VLAN2VLAN4VLAN3ABCDEFHG12345AallBIngressStation Port PVIDA12B22C34D43Uplink5arbitr.“Static/Current (Egress)VIDPort1 2 3 4 51M2U U UM3U U M4U U U U M29GVRP Automatic VLAN Configurationq任务:Communication of end devices via several VLAN switchesq解决:Exchange of VLAN information between VLAN switches per GVRPFrame Tagging acc. to IEEE 802.1Q30提醒提醒q配置VLAN推荐使用HiVision 6.4qHirshcmann交换机支持VLAN 0模式(手工配置)即在任意一个VLAN中都可管理交换机从而可以将管理VLAN不必拘泥于VLAN 1实现方法将管理VLAN指定为VLAN 0下放VLAN配置,将管理VLAN改为对应VLAN31配置故障导致交换机不能访问配置故障导致交换机不能访问q故障1:由于VLAN配置错误,所有端口不能直接访问交换机q故障2:由于路由配置错误,导致交换机不能访问(忘记网关地址)。q解决方法:关闭VLAN.访问方式:通过Console端口,连接到交换机输入用户名/密码:admin/private然后输入(Hirschmann Railswitch)enable(Hirschmann Railswitch) #clear vlan 或清除配置到出厂设置。(Hirschmann Railswitch) #clear config32VRRP/HiVRRP配置配置内容内容33VRRPq作用:VRRP是一种容错协议,它保证当主机的下一跳路由器坏掉时,可以及时的由另一台路由器来代替,从而保持通讯的连续性和可靠性。为了使VRRP工作,要在路由器上配置虚拟路由器号和虚拟IP地址。同时产生一个虚拟MAC地址。这样在这个网络中就加入了一个虚拟路由器,而网络上的主机与虚拟路由器通信无需了解这个网络上物理路由器的任何信息,一个虚拟路由器由一个主路由器和若干个备份路由器组成;主路由器实现真正的转发功能当主路由器出现故障时,一个备份路由器将成为新的主路由器接替它的工作。34工作方式工作方式q当Master路由器失败时,其余路由器指定一台新的路由器作为Master,这台路由器使用虚拟路由器的IP和MAC地址。虚拟IP地址可以人为设定,虚拟MAC地址如下;q最后一个字节是虚拟路由ID(VRID:范围1255)qVRRP路由器发送组播(MC)信息到224.0.0.28来决定Master Router。q1)根据优先级的大小挑选主路由器,优先级最大的为主路由器,状态为Master。q2)若优先级相同则比较接口的主IP地址,主IP地址大的就成为主路由器。由它提供实际的路由服务 q3)其它路由器作为备份路由器随时监测主路由器的状态当主路由器正常工作时它会每隔一段时间发送一个VRRP多播报文以通知组内的备份路由器主路由器处于正常工作状态如果组内的备份路由器长时间没有接收到来自主路由器的报文则将自己状态转为Master35VRRP 虚拟路由器虚拟路由器q组成虚拟路由器的路由器会有三种状态,分别是Initialize 、Master和Backup;lInitializeq系统启动后进入此状态,当收到接口startup的消息,将转入Backup(优先级不为255时)或Master状态(优先级为255时)。在此状态时,路由器不会对VRRP报文做任何处理。lMasteru定期发送VRRP多播报文u发送免费gratuitous ARP报文,以使网络内各主机知道虚拟IP地址所对应的虚拟MAC地址;u响应对虚拟IP地址的ARP请求并且响应的是虚拟MAC地址而不是接口的真实MAC地址u转发目的MAC地址为虚拟MAC地址的IP报文q如果它是这个虚拟IP地址的拥有者IP Address Owner 则接收目的IP地址为这个虚拟IP地址的IP报文否则丢弃这个IP报文q 在Master状态中,只有接收到比自己的优先级大的VRRP报文时才会转为Backup ,只有当接收到接口的Shutdown事件时才会转为Initialize。lBackupu接收Master发送的VRRP多播报文从中了解Master的状态u对虚拟IP地址的ARP请求不做响应u丢弃目的MAC地址为虚拟MAC地址的IP报文u丢弃目的IP地址为虚拟IP地址的IP报文q只有当Backup接收到MASTER_DOWN这个定时器到时的事件时,才会转为Master。而当接收到比自己的优先级小的VRRP报文时,它只是做丢弃这个报文的处理。从而就不对定时器做重置处理。这样,定时器就会在若干次这样的处理之后到时,于是就转为Master。只有当接收到接口的Shutdown事件时才会转为Initialize。36VRRP 配置要点配置要点STEPSqSwitch on routing globally (if this has not already been done).qSwitch on VRRP globally.qConfigure port - assign IP address and network mask.qSwitch on VRRP at the port.qCreate virtual router ID (VRID), because you have the option of activating a multiple virtual routers for each port.qAssign virtual router IP address.qSwitch on virtual router.qAssign VRRP priority.步骤:q全局开启路由功能q全局开启VRRP功能q端口配置:分配IP地址及网路掩码;q开启端口VRRP功能;q建立虚拟路由ID(VRID),用户可以选择激活每个端口的多个虚拟路由q给虚拟路由器分配IP地址q分配VRRP优先级37配置步骤配置步骤q每个端口都以相同的方式进行配置和激活。q然后,在冗余路由器上执行同样操作。enable /Switch to the Priviledged EXEC mode.configure/Switch to the Configuration mode.ip routing /Switch on the router function globally.ip vrrp /Switch on VRRP globally.interface 2/3 /Select the port for setting up VRRP.(VLAN虚拟网关端口)ip address 10.0.1.1 255.255.255.0 / Assign the port its IP parameters.routing /Activate the router function at this interface.ip vrrp 1 /Create the VRID for the first virtual router at this port.ip vrrp 1 mode /Switch on the first virtual router at this port.ip vrrp 1 ip 10.0.1.100/Assign virtual router 1 its IP address.ip vrrp 1 priority 200 /Assign virtual router 1 the router priority 200.38VRRP VS. HiVRRP-收敛时间收敛时间q要点:q1、依据RFC2338:VRRP 报文(MC)发送间隔为1sec,连续3次收不到该报文,其余Router就进行Master Router选举;q2、路由器优先级如下:Router A:64; Router B:128; Router C:254;q3、收敛时间3* advertisement interval + Skew TimeSkew Time(256VRRP priority)/256 *advertisement interval 39VRRP VS. HiVRRP-收敛时间收敛时间HiVRRP 要点:1、advertisement interval 0.1 sec;2、收敛时间:毫秒级HiVRRP master down interval = 3 * advertisement interval + HiVRRP skew time3、高级特性:Unicast方式发送HiVRRP报文 40典型应用典型应用VRRP TrackingTrack功能:缩短VRRP切换时间配置要点:1、配置Track 对象2、配置VRRP3、为VRRP入口添加Track ID41配置实例配置实例设置1.1端口的接口Tracking,链路Down的延迟为0 Sec.链路UP延迟为3 Sec. enable /特权EXEC模式configure /全局配置模式track 1 interface 1/1 link-down-delay 0 link-up-delay 3 /输入Track参数,激活Track对象链路Down延迟为0;链路Up延迟为3秒全局开启VRRP路由功能. ip routing /全局开启路由功能 ip vrrp /全局开启VRRP功能配置VRRP端口IP地址.interface 1/1 /选择VRRP端口. ip address 10.0.1.1 255.255.255.0 /分配IP地址及子网掩码routing /开启端口路由功能ip vrrp 1 /在本端口为第一个虚拟VRRP路由器分配VRIDip vrrp 1 mode /激活第一个VRRP路由器ip vrrp 1 ip 10.0.1.254 /分配第一个虚拟路由器IP地址ip vrrp 1 priority 250 /路由器优先级为250为VRRP注册tracking 对象ip vrrp 1 track 1 decrement 100 /exitexit 在冗余路由器上执行同样操作在冗余路由器上执行同样操作42典型应用典型应用 VRRP with load sharing q配置要点在路由接口上定义第二个VRID. 将路由接口IP地址分配给第二个VRID. 第二个虚拟路由器优先级降低,低于第一个虚拟路由器.配置冗余路由时,确保第二个虚拟路由器的优先级高于第一个虚拟路由器.任选一个虚拟路由器IP地址作为终端设备的默认网关 43典型应用典型应用VRRP mit Multinetting q配置要点q给端口分配第二个IP地址q将第二个IP地址分配给虚拟路由器44Web配置页面配置页面说明:开启或关闭VRRP功能VRRP版本,默认2成为VRRP Master后,立即发送一个Trap信号认证错误Trap配置向导按钮45Web配置页面配置页面指定端口及端口VRID46Web配置页面配置页面指定端口IP地址开启HiVRRP功能HiVRRP信息发送间隔,可以调整为100ms认证选项VRRP通告报文目的地址VRRP协议只有一种报文,仅有master 虚拟路由器可以发送VRRP报文,该报文封装在IP报文内。47Web配置页面配置页面48Web配置页面配置页面49Web配置页面配置页面50简介简介q两种类型的访问表:标准访问表和扩展访问表。标准的访问表只允许过滤源地址,且功能十分有限。扩展的访问表允许过滤源地址、目的地址和上层应用数据。MAC ACL 工作在2层,IP ACL工作在3层,基于端口的ACL就在四层q配置要点:1、定义访问规则2、全局模式下定义访问控制列表access-list 3、将访问规则应用于端口组51关于通配符关于通配符 地址通配符的格式与IP地址一样,也是32位点分十进制格式。地址通配符某一位为1,则相应的源IP地址(对应source-wildcard)或目的IP地址(对应destination-wildcard)对应位为任意值(即无意义),地址通配任某一位为0,则相应的IP地址对应位值为你设置的值。可简单地认为地址通配符等于子网掩码按位取反。以下公式可以作为验证地址用:报文的源IP地址*(source-wildcard按位取反)=ACE表项的source*(source-wildcard按位取反);报文的目的IP地址*(destination-wildcard按位取反)=ACE表项的destination*(destination-wildcard按位取反)。 按照该公式,如果你想对源IP地址为192.168.12.2的主机进行过滤,则你应该设置相应ACE的source=192.168.12.2,source-wildcard=0.0.0.0。如果你想对192.168.12.0网段的所有主机进行过滤,则你可以设置source=192.168.12.x(x表示0-255任意值),source-wildcard=0.0.0.255。 source ,source-wildcard,destination,destination-wildcard可以以如下三种方式表示:l32位点分十进制格式l关键字any是source及source-wildcard为0.0.0.0 255.255.255.255(或destination及destinaton-wildcard)的缩写,或者指明为任意源(目的)主机。lhost source代表源主机source及source-wilcard为0.0.0.0,host destination代表目的主机destiation及destination-wildcard为0.0.0.052参数说明参数说明 1 99 IP表中访问控制列表;100199为扩展访问控制列表;deny | permit关键字permit和deny用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。关键字permit表示允许报文通过接口,而关键字deny表示匹配标准I P访问表源地址的报文要被丢弃掉。可以基于以下协议进行过滤:icmp,igmp,ip,tcp,udp 源IP和源通配符 and 基于4层端口过滤可以通告指定端口参数设定值来实现,范围065536 可选domain,echo, ftp, , http, smtp, snmp, telnet, tftp, and www.等协议对应的端口号 目的IP和目的通配符53相关命令相关命令q标准访问控制列表格式qIP访问组命令格式q扩展访问控制列表格式54其他相关命令其他相关命令q删除命令:qno access-list qno ip access-group q查看命令:qshow ip access-lists qshow access-lists interface 55Thank You-End of Presentation56
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号