isolate

word

1/25

一、根本配置

1、视图

system-view//用户视图

[quidway]interfaceethernet0/1//系统视图

[quidway-ethernet0/1]//接口视图

2、密码与根本参数配置

(1)console口登录配置

system-view

[quidway]ur-interfaceaux0

[quidway-aux0]authentication-mode{none|password|scheme}//设置登录的验证方

法。none是不要验证，password是密码验证，scheme是服务器验证。

[quidway-aux0]tauthenticationpassword{cipher|simple}123456//当上面的

word

2/25

模式为paaword时，设置验证的密码。simple是明文密码。

[quidway-aux0]urprivilegelevel2//设置从AUX登录后可

以访问的命令级别为2级，默认是1级。

[quidway-aux0]speed19200//设置console口使用

的传输速率

[quidway-aux0]screen-length30//设置一屏显示30行

命令

[quidway-aux0]history-mandmax-size20//设置历史命令缓冲区最

多存放20条命令

[quidway-aux0]idle-timeout6//设置超时时间为6

分钟

〔2〕telnet登录

system-view

[quidway]ur-interfacevty04

[quidway-aux0]authentication-mode{none|password|scheme}//设置登录的验证方

法。none是不要验证，password是密码验证，scheme是服务器验证。

word

3/25

[quidway-aux0]tauthenticationpassword{cipher|simple}123456//当上面的

模式为paaword时，设置验证的密码。simple是明文密码。

[quidway-aux0]urprivilegelevel2//设置从AUX登录后可

以访问的命令级别为2级，默认是1级。

[quidway-aux0]protocolinbund{all|ssh|telnet}//设置交换机支持的协

议

[quidway-aux0]screen-length30//设置一屏显示30行

命令

[quidway-aux0]history-mandmax-size20//设置历史命令缓冲区最

多存放20条命令

[quidway-aux0]idle-timeout6//设置超时时间为6

分钟

super3//将普通用户通过TELNET登录到

交换机，将用户级别切换到3级。

〔3)超级用户密码〔用户级别〕

word

4/25

[quidway]superpasswordlevel3{cipher|simper}123456//设置低级别用户到高

级别用户切换的密码

super3

注意：命令行级别分为：0，1，2，3共四级。

访问级〔0级〕：用于网络诊断等功能的命令。包括ping,tracert,telnet等。

监控级〔1级〕：用于系统维护、业务故障诊断等功能命令。包括debuggingterminal等命

令。执和地该级别的命令结果不能被保存到配置文件中。

系统级〔2级〕：用于业务配置的命令。包括路由等网络层次的命令，用于向用户提供网络

服务。

管理级〔3级〕：关系到系统的根本运行、系统支撑模块功能的命令，这些命令对业务的支

持，最后级别。

默认：console口的命令登录级别为3，telnet方式的级别为0。

二、VLAN的根本配置

word

5/25

〔一〕VLAN的链路类型

1、trunklink：作为干线，传输多个VLAN的报文。同时trunk端口也可以划给一个

vlan。

2、hybridlink：作为干线，传输多个vlan的报文。同时hybrid端口也可以划给多

个vlan。

3、accesslink:只能属于一个vlan。

〔二〕GARP

同一个交换网内的成员之间提供了分发、传播、注册某种信息的手段。GARP是一种

协议规X，现在主要有GVRP和GMRP这两种GARP协议的应用。

1、GVRP

GVRP只是遵循GARP协议的一种应用。类似于VTP协议，以把交换机的配置信息动态的迅速

的传播到整个交换网，以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。

word

6/25

GVRP会自动修剪VLAN信息。如果本交换机只有某一个VLAN，那么此交换机的TRUNK端口只

传递一个VLAN的消息。如果本交换机或经过本交换机的下游交换机新增了VLAN，本交换机

的TRUNK链路也会自动允许传播新的VLAN消息。如果删除了VLAN，也会自动禁止不必要的

VLAN报文在TRUNK上发送。

VTP如此需手工增加命令进展修剪。

GVRP和VTP两个协议在实践中的应用比拟：

在具体应用上，VTP支持的是服务器－客户端模式，即在主交换机建立VTP域，并将主交换

机设置成VTPServer，然后在分交换机设置为VTPClient，这样只需在主交换机上建立VLAN，

就会通知到局域网中的任何一台交换机，这样便于集中管理。

GVRP相对繁琐些，它需要在每一台交换机上建立VLAN，并且在每一个交换机〔无论是主交

换机还是分交换机〕首先全局运行gvrp命令，开启gvrp功能，然后在干道会聚连接上运

行gvrp命令，开启GVRP功能，这样才会将本交换机上建立的VLAN通知注册到局域网中的

其它交换机上。

〔三〕VLAN配置

1、把端口参加到VLAN

word

7/25

方法一：

[quidway]vlan2//创建VLAN2

[quidway-vlan2]portE0/1toE0/4//把端口1到4参加到VLAN2

[quidway-vlan2]undoportE0/1toE0/4//把端口从VLAN中删除。

方法二：

[quidway]interfaceethernet0/1//进入端口0/1

[quidway-ethernet0/1]portaccessvlan2//把此端口参加到VLAN2

2、配置接口类型

[quidway]interfaceethernet0/5

[quidway-ethernet0/5]portlink-type{access|trunk|hybrid}//设置端口类型，默

认为ACCESS。

word

8/25

TRUNK类型的设置：

[quidway-ethernet0/1]portlink-typetrunk

[quidway-ethernet0/1]porttrunkpermitvlan{vlan-id|all}//允许哪些VLAN通过

此TRUNK端口。默认只允许VLAN1通过。

[quidway-ethernet0/1]porttrunkpvidvlan{vlan-id}//把trunk端口参加

到哪一个VLAN，默认是VLAN1。即设置TRUNK的PVID。这点与CISCO不一样，CISCO里TRUNK

端口是不参加到VLAN中的。

hybrid类型的设置：

[quidway-ethernet0/1]portlink-typehybrid

[quidway-ethernet0/1]porthybridpvidvlan{vlan-id}//hybrid端口属于哪些

VLAN。可以是多个VLAN。而trunk口只能属于一个VLAN.默认也只属于VLAN1.

[quidway-ethernet0/1]porthybridvlan{vlan-id}{tagged|untagged}//即此端口发

送哪些VLAN的报文时带VLAN标志，哪些不带VLAN标志。tagged是带标志的。untagged

是不带标志的。不带vlan标志的，其他交换机的hybrid接口收到后，会增加PVID的TAG

标志，然后再转发数据包。如果接收到未带VLAN标志的交换机的PVID为VLNA1，如此会自

动加上VLAN1标志，然后在交换机上转发。

word

9/25

3、VLAN开启和关闭

[quidway]vlanenable//开启VLAN

[quidway]vlandisable//关闭VLAN

4、VLAN维护

[quidway]description{string}//描述VLAN

[quidway]displayvlan[static|dynamic]//显示交换机上的VLAN信息

[quidway]displayvlan{vlan-id|all}//显示局部或所有VLAN成员。

〔四〕GRVP配置

[quidway]gvrp//全局开启GVRP

word

10/25

[quidway]undogvrp//全局关闭GVRP。

//在全局下开启关闭GVRP，也可以在接口模式下开启关闭一个接口的GVRP。

[quidway]interfaceethernet0/1//进入接口

[quidway-ethternet0/1]portlink-typetrunk//接口配置为trunk模式

[quidway-ethternet0/1]porttrunkpermitvlanall//允许所有VLAN传输

[quidway-ethternet0/1]gvrpregistraion{normal|fixed|forbidden}

//在接口下开启GVRP。并设置GVRP注册类型。

normal：允许在该接口静态〔本交换机创建的VLAN〕和动态〔其他交换机创建的VLAN，动

态注册到本交换机的VLAN〕创建、注册、注销VLAN。

即：可以传送本交换机创建的VLAN,可以把本交换机的VLAN传输到其他配有normal类型的

trunk端口，可以承受对端交换机创建的VLAN〔动态〕注册。

word

11/25

注意：GVRP会自动裁剪不需要传输的VLAN，但只要需要传输，仍可以传输。

fixed：允许手工静态创建和注册VLAN，静止动态注册、声明和注销VLAN。

即：可以传送本交换机创建的VLAN〔静态〕，可以把本交换机的VLAN通过fixed注册类型

trunk端口传到对端配有normal类型的trunk端口，不承受与本交换机fixed类型的trunk

端口的对端交换机创建的VLAN的注册。

可传递出去，但不承受动态注册、注销VLAN信息。

forbidden：注销除VLAN1以外的所有VLAN，并且禁止该接口上创建、声明、注册其他任何

VLAN。

即此类型trunk接口不传递、承受除VLAN1外的任何其他VLAN信息。

注：GVRP与VTP不同之处：GVRP每个交换机都可以创建VLAN,vtp只有服务器端可以创建

VLAN。

word

12/25

(五〕SuperVLAN

即SUPERvlan映射多个subvlan，subvlan通过arp代理与supervlan通信，并且super

vlan为subvlan提供三层网关功能。当subvlan里的主机需与外界通信时，将报文直接

传送给supervlan虚接口〔而不是subvlan的虚接口〕，supervlan再将数据包传送给下

一跳。

注意：supervlan不能包括任何端口。

[quidway]vlan2//配置subvlan

[quidway-vlan2]protethernet0/2//subvlan参加supervlan以前，一定得有端

口已参加VLAN

[quidway-vlan2]arpproxyenable//一定要开启arp代理

[quidway]vlan3

[quidway-vlan3]protethernet0/39

[quidway-vlan3]arpproxyenable

word

13/25

[quidway]vlan4

[quidway-vlan4]protethernet0/4ethernet0/5

[quidway-vlan4]arpproxyenable

[quidway]vlan10

[quidway-vlan10]supervlan//把vlan10配为supervlan

[quidway-vlan10]subvlan234//子vlan列表为vlan2,3,4

[quidway-vlan10]ipaddress172.16.1.1255.255.255.0//配置supervlan的ip地址。

quidway]vlan1

[quidway]iproute-static0.0.0.0192.168.1.2//配置静态路由，假设

对端三层交换机或路由器的IP地址为192.168.1.2

word

14/25

〔六〕isolate-ur-vlan

类似于cisco的私有VLAN

一个isolate-ur-vlan包含condaryvlan。

一个isolate-ur-vlan对应一个ip子网，即包含的condaryvlan处于同一个子网

主要用于上层交换机支持vlan数不够，但下层交换机又需要划分很多个vlan以隔离彼此间

通信。这样上层交换机知道的只有建立的isolate-ur-vlan，下面的condary-vlan上

层交换机是不知道的。

[quidway]vlan10

[quidway-vlan10]isolate-ur-vlanenable//配置为isolate-ur-vlan

[quidway-vlan10]portethernet0/1//isolate-ur-vlan的端口

[quidway]vlan2//配置condaryvlan，并把端口参加到

condaryvlan

word

15/25

[quidway-vlan2]portethernet0/2

[quidway]vlan3

[quidway-vlan3]portethernet0/3

[quidway]isolate-ur-vlan10condary2-3//isolate-ur-vlan与condary

vlan的映射

注意：isolate-ur-vlan与condaryvlan之间必须已经包含了端口才能建立映射关系

建立映射关系后，不可以向isolate-ur-vlan与condaryvlan执行添加和删除端口的

操作。也不可以执行vlan的操作。只有在解除了映射关系后才能执行。

isolate-ur-vlan中的所有端口都不是802.1q的trunk端口，包括与其他交换机相连的

uplink端口也不能是trunk端口。可以是hybrid端口。

word

16/25

〔七〕管理VLAN

当TELNET或SSH登录时，需要一个管理VLAN，默认是VLAN1

[quidway]vlan100//建立一个VLAN，当不用默认VLAN1作为管理VLAN

时，需要先建立VLAN，然后再把建立的VLAN作为管理VLAN

[quidway-vlan100]quit

[quidway]management-vlan100//把vlan100作为管理vlan

[quidway]interfacevlan-interface100//进入vlan的虚拟接口

[quidway-vlan100]ipaddress172.16.2.1255.255.255.0//给vlan设定ip

[quidway]iproute-static0.0.0.00.0.0.0172.16.2.2//设置默认路由

三、VLAN路由

〔一〕VLAN间路由

[quidway]vlan10//创建VLAN10

word

17/25

[quidway-vlan10]quit

[quidway]interfacevlan10//进入vlan接口

[quidway-vlan-interfacev10]ipaddress192.168.10.1255.255.255.0//给vlan配置

三层虚拟Ip地址

[quidway]vlan20

[quidway-vlan20]quit

[quidway]interfacevlan20//进入VLAN20

[quidway-vlan-interfacev10]ipaddress192.168.20.1255.255.255.0//给vlan配置

三层虚拟Ip地址，给各VLAN的主机分配IP地址，网关都为各VLAN的三层虚拟IP地址。

〔二〕静态路由

word

18/25

当多个三层交换机相连，或三层交换机与路由器相连时，需要设置静态路由或动态路由。现

介绍静态路由。

三层交换机与路由器相连，或三层交换机与三层交机相连的方法:

在三层交换机上新建一个VLAN，并把与三层交换机或路由器相连的端口划分到此VLAN中，

〔此VLAN只作为与三层交换机或路由器相连〕并分配虚拟IP地址。并且此IP地址需要与

其直连的三层交换机或路由器的接口地址处于同一个网段。并在三层交换机上设置到达另一

个三层交换机的静态或动态路由。

同时，与其直连的三层交换机或路由器上也需要有到本三层交换机相连的VLAN的静态或动

态路由。

[quidway]iproute0.0.0.00.0.0.0192.168.3.2//设置默认路由，即所有数据包的

路由的下一跳为192.168.3.2，此IP地址为与本交换机直连的路由器的接口的IP地址或

三层交换机的虚拟IP地址。

此处为省事，写了默认路由，也可以一条一条的路由写。

word

19/25

〔三〕动态路由

1、rip

[quidway]rip

[quidway-rip]network192.168.2.0//发布与其相连的网段的路由

[quidway-rip]network192.168.3.0//发布与其相连的网段的路由

2、ospf

把接入客户端的VLAN划分到区域0以外的区域，三层交换机之间互联的VLAN划分到区域0，

即骨干区域。

四、生成树协议

〔一〕STP

1、原理：

网桥ID〔网桥优先级最小的〕最小的是根网桥

word

20/25

每个网桥选举一个根端口，到根网桥开销最小的是端口是根端口，开销一样时，端口优先级

高的(端口优先级值低的〕为根端口

每个网段选举一个指定端口，到根网桥开销最小的端口为网段的指定端口。开销一样时，网

桥ID小的为指定端口。根网桥的所有端口都是指定端口。

堵塞所有非根端口、指定端口。

注意：网内所有网桥共享一棵生成树，不能按VLAN阻塞冗余链路。

〔二〕RSTP

1、原理

比STP有更快的收敛速度。但是同样不能按LAN阻塞冗余链路，所有VLAN的报文都沿着一

棵生成树进展转发。

word

21/25

2、配置

[h3c]stpenable//开启生成树

[h3c]stpdisable//关闭生成树

[h3c]stppriority0//设置网桥优先级，以选举根网桥。优先级值越低，

优先级越高。缺省32768，取值X围：0--61440

[h3c]stprootprimary//直接让交换机成为根交换机

h3c]stprootcond//直接让交换机成为备份根交换机

[h3c-ethernet0/1]stpcost2000//设置端口的路径开销值。取值X围：

1--200000000，开销越小越容易被选为根端口和指定端口。

[h3c-ethernet0/1]stpportpriority64//设置端口优先级，当开销一样时，优先级高的

成为根端口。

[h3c]stptimerhello60//设置HELLOtime时间，根网桥发送BPDU包的时

间间隔。较长的hello信息可以降低生成树计算的消耗，同时会降低链路故障的反响速度。

较短会频繁发送配置消息增加网络和CPU负担。

[h3c]stptimermax-age30//控制网桥端口保存配置bpdu的最大时间

word

22/25

[h3c]stptimerforward-delay30//从阻塞状态变为转发状态所需的时间

[h3c]stpbridge-diameter7//设置网络直径，最好不要超过7。只用在单生成

树实例的网络中。

〔三〕MSTP

MSTP原理见CISCO交换机配置

配置：

[h3c]stpenable//启动生成树

[h3c]stpregion-configuration//过入MST域视图

[h3c-mst-region]region-nameinfo//设置MST域名

[h3c-mst-region]instance2valn2to10//把VLAN映射到生成树实例。默认是

映射到实例0.

[h3c-mst-region]instance3valn11to20

word

23/25

[h3c-mst-region]revision-level1//设置MST域的MSTP修订级别，即版本

号

[h3c-mst-region]activeregion-configuration//手动激活MST域的配置

[h3c]stpinstance2rootprimary//设置各MSTI实例的根。当实例号为

0时，指定此交换机为CIST的根，而不是MSTI的根。也可以用优先级来设置。

[h3c]stpinstance2rootcondary//设置各实例的备份根

[h3c]undostpinstance2root//取消当前交换机的根或备份根交换机

的资格

以下设置端口开销

[h3c]stpinterfacegig1/0/1instance1cost2000//设置端口在实例中的开销，以

选举实例的根端口或指定端口。

[h3c]interfacegig1/0/1

word

24/25

[h3c-gigabitethernet1/0/1]stpinstance1cost2000//这种方法和上面的结果一样，

只是先进入端口，再设定。

以下设置端口优先级

[h3c]stpinterfacegig1/0/1instance1portpriority16//设置端口优先级

[h3c]interfacegig1/0/1

[h3c-gigabitethernet1/0/1]stpinstance1portpriority16//同样是设置端口优先级

以下设置国边缘端口

[h3c]stpinterfacegig1/0/1edged-portenable//设置为边缘端

口

[h3c]stpinterfacegig1/0/1edged-portdisable//设置为非边缘

端口

word

25/25

[h3c]undostpedged-portgig1/0/1edged-port//恢复为缺省的

非边缘端口

[h3c]interfacegig1/0/1//方法二，先进

入端口，再配置

[h3c-gigabitethernet1/0/1]stpedged-portenable

[h3c-gigabitethernet1/0/1]stpedged-portdisable

[h3c-gigabitethernet1/0/1]undostpedged-port

[h3c]stpmode{stp|mstp}//配置MSTP的工作模式。

[h3c]undostpmode//恢复为默认的模式。默认为MSTP模

式。

[h3c]stpmax-hops5//设置MST域的最大跳数，以限制域的

规模。最大跳数为20