核心交换机双机热备解决方案教学内容

核心交换机双机热备解决方案

一、项目背景

稳定持续的系网络系统运行变得越来越重要，而原来有单机核心三层交换数据潜伏巨大的崩溃风险。

VRRP（虚拟路由冗余协议）技术来解决该问题，以实现主、备核心三层交换设备之间动态、无停顿的热切换。

二、方案设计：

2.1、简要介绍VRRP的基本概念。

通常情况下，内部网络中的所有主机都设置一条相同的缺省路由，指向出口网关（即图1中的交换机S9300A），实现主机与外部网络的通信。当出口网关发生故障时，主机与外部网络的通信就会中断。

图1 局域网缺省网关

配置多个出口网关是提高系统可靠性的常见方法，但需要解决如何在多个出口网关之间进行选路的问题。

VRRP（Virtual Router Redundancy Protocol）是RFC3768定义的一种容错协议，通过物理设备和逻辑设备的分离，实现在多个出口网关之间选路，很好地解决了上述问题。

在具有多播或广播能力的局域网（如以太网）中，VRRP提供逻辑网关确保高利用度的传输链路，不仅能够解决因某网关设备故障带来的业务中断，而且无需修改路由协议的配置。

2.2、VRRP工作原理：

vrrp只定义了一种报文——vrrp报文，这是一种组播报文，由主三层交换机定时发出来通告他的存在。使用这些报文可以检测虚拟三层交换机各种参数，还可以用于主三层交换机的选举。

VRRP中定义了三种状态模型，初始状态Initialize，活动状态Master 和备份状态Backup，其中只有活动状态的交换机可以为到虚拟IP地址的的转发请求提供服务。

VRR报文是封装在IP报文上的，支持各种上层协议，同时VRRP还支持将真实接口IP地址设置为虚拟IP地址。

那么如何从备份组的多台交换机中选举Master？这项工作由我们在备份组内每台交换机上配置的相同IP地址的虚拟交换机完成。

虚拟交换机根据配置的优先级的大小选择主交换机，优先级最大的作为主交换机，状态为Master，若优先级相同（如果交换机没有配置优先级，就采用默认值100），则比较接口的主IP地址，主IP地址大的就成为主交换机，由它提供实际的路由服务。其他交换机作为备份交换机，随时监测主交换机的状态。当主交换机正常工作时，它会每隔一段时间发送一个VRRP 组播报文，以通知组内的备份交换机，主交换机除正常工作状态。如果组内的备份交换机长时间没有接收到来自主交换机，则将自己状态转换为Master。当组内有多台备份交换机，将有可能产生多个主交换机。这时每一个主交换机就会比较VRRP报文中的优先级和自己本地的优先级，如果本地的优先级小于VRRP中的优先级，则将自己的状态转换为Backup，否则保持自己的状态不变。通过这样一个过程，就会将优先级最大的交换机选成新的主交换机，完成VRRP的备份功能。

2.3、S9303核心交换机在组网中的拓扑图：

核心交换机和接入交换机之间通过光纤连接，接入交换机北电4524和4548分别引两条光纤到核心交换机S9303A和S9303B，核心之间采用VRRP协议来实现负载均衡和双机热备的性能。其中任意一个核心交换机和线路出现问题，都不会影响网络的畅通。为网络运行提供了更高的安全行能。

三、方案分析：

介绍VRRP特性在S9300中的支持情况。

3.1、主备备份VRRP

这是VRRP提供IP地址备份功能的基本方式。主备备份方式需要建立一个虚拟交换机，该虚拟交换机包括一个Master设备和若干Backup设备，这些交换机构成一个备份组。正常情况下，业务全部由Master承担。Master出现故障时，Backup 接替工作。

3、2、负载分担VRRP

负载分担方式是指建立两个或更多备份组，多台交换机同时承担业务。其中允许一台交换机为多个备份组作备份，在不同备份组中有不同的优先级。通过多虚拟交换机设置可以实现负载分担。每个备份组都包括一个Master设备和若干Backup设备。各备份组的Master可以不同。

3.2、监视接口状态

S9300支持监控备份组中接口的状态，当接口状态变化时，交换机的优选级自动调整，从而使备份组中各交换机优选级高低顺序发生变化，VRRP重新确定Master 设备。

3.3、VRRP快速切换

S9300实现双向转发检测BFD（Bidirectional Forwarding Detection）机制，能够快速检测、监控网络中链路或者IP路由的连通状况，VRRP通过监视BFD会话状态实现主备快速切换，可以配置8个BFD Session，主备切换的时间控制在1秒以内。结合使用BFD会话的检测结果，可以加快VRRP主备倒换的速度。

3.4、虚拟IP地址Ping开关

由于VRRP备份组使用虚拟IP地址，不能Ping通虚拟IP地址，会给监控虚拟交换机的工作情况带来一定的麻烦，能够Ping通虚拟IP地址可以比较方便的监控虚拟交换机的工作情况，但是带来可能遭到ICMP攻击的隐患。在S9300中，提供了控制Ping通虚拟IP地址的开关命令，用户可以选择是否打开。

3.5、VRRP的安全功能

对于安全程度不同的网络环境，可以在报头上设定不同的认证方式和认证字。在一个安全的网络中，可以采用缺省设置：交换机对要发送的VRRP报文不进行任何认证处理，收到VRRP报文的交换机也不进行任何认证，认为收到的都是真实的、合法的VRRP报文。这种情况下，不需要设置认证字。

在有可能受到安全威胁的网络中，VRRP提供简单字符认证，可以设置长度为1～8的认证字。

3.6、VRRP平滑倒换功能

在配置了VRRP备份组的网络中，在Master设备主备倒换期间，由于Master和Backup之间不能及时通信，在原Master发生倒换时，Backup切换成为Master。当原Master倒换完成后，由于其优先级高于原Backup，它又会抢占成为Master。由于倒换过程中报文处理较为繁忙，Master发送的免费ARP表项报文被阻塞或

傻瓜式全网管交换机通用命令配置vlan database vlan 10 vlan 20 vlan routing 10 vlan routing 20 ex con interface vlan 10 ip address 172.16.1.254 255.255.255.0 routing ex interface vlan 20 ip address 192.168.1.1 255.255.255.0 routing ex interface 0/1-0/12 vlan participation include 10 vlan pvid 10 ex interface 0/23-0/24 vlan participation include 10 vlan pvid 10 ex interface 0/13-0/22 vlan participation include 20 vlan pvid 20 ex interface 0/25-0/26 vlan participation include 20 vlan pvid 20 ex ip routing ip route default 172.16.1.1 ex con service dhcp

ip dhcp pool vlan10 network 172.16.1.0 255.255.255.0 default-router 172.16.1.254 dns-server 114.114.114.114 lease 0 8 0 ex ip dhcp pool vlan20 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 114.114.114.114 lease 0 8 0 ex ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 172.16.1.1 ex sa y

Cisco交换机配置实例(双机热备) Cisco交换机6509配置实例（双机热备） 1.设置时间 switch#config t switch(config)#clock timezone GMT8；配置时区 switch(config)#clock set13:30:2131JAN2004；配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname6506a 6506a(config)#enable password cisco 6506a(config)#enable secret cisco 6506a(config)#line con0 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#line vty015 6506a(config-line)#login 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#^z 6506a#show running-config

6506a#copy running-config startup-config 6506a#show startup-config 6506a#show bootvar 6506a#dir bootflash: 6506a#copy system:running-config nvram:startup-config 6506a#show fabric status 6506a#show hardware 3.配置vlan 6506a#config t 6506a(config)#vlan301 6506a(config-vlan)#name hexinxitong 6506a(config)#vlan302 6506a(config-vlan)#name callcenter 6506a(config)#vlan303 6506a(config-vlan)#name kuaijicaiwu 6506a(config)#vlan304 6506a(config-vlan)#name guojiyewu 6506a(config)#vlan305 6506a(config-vlan)#name guanlixitong 6506a(config)#vlan306 6506a(config-vlan)#name ceshihuanjing 6506a(config)#vlan307

一、交换机基本配置 1、交换机命名： 在项目实施的时候，建议为处于不同位置的交换机命名，便于记忆，可提高后期管理效率。 switch(config)#hostname ruijie //ruijie为该交换机的名字 2、交换机配置管理密码： 配置密码可以提高交换机的安全性，另外，telnet登录交换机的时候，必须要求有telnet管理密码。 switch (config)#enable secret level 1 0 rg //配置telnet管理密码为rg，其中1表示telnet密码，0表示密码不加密 switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg，其中15表示为特权密码3、交换机配置管理IP switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1 switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址 switch (config-if)#no shutdown //激活管理IP，养成习惯，无论配置什么设备，都使用一下这个命令 4、交换机配置网关： switch(config)#ip default-gateway 192.168.1.254 //假设网关地址为192.168.1.254，此命令用户二层设备。通过以上几个命令的配置，设备便可以实现远程管理，在项目实施时（尤其是设备位置比较分散）特别能提高效率。 二、接口介质类型配置 锐捷为了降低SME客户的总体拥有成本，推出灵活选择的端口形式：电口和光口复用接口，方便用户根据网络环境选择对应的介质类型。 但光口和电口同时只能用其一，如图1，如使用了光口1F，则电口1不能使用。 1、接口介质类型的转换： Switch(config)#interface gigabitethernet 0/25-28

核心交换机配置问题 除了一些常见的故障之外，在遇到问题的时候，我们应该去找一些专业的人员去修理，这里我们分析了登陆慢的核心交换机故障现象，一个局域网无论其组网规模多么合理。无论其选用的网络设备性能多么良好，它都有可能发生网络故障，就象一个人那样，无论他身体多么棒，偶尔也会有一些小病小痛的; 我们平时能做的就是对网络加强管理，做到防范于未然，以便让局域网尽可能少地出现交换机故障现象。当然，在实际管理网络的过程中，一些细节因素往往并不是我们所能控制的，由一些不起眼的因素引起的网络故障，排查起来自然也就不那么顺利了。 这不，本文下面的一则故障就是由于设备通风效果不好，造成核心交换机严重“发烧”，最终引起登录服务器狂慢故障;由于这种因素很少会出现，在排查过程中网络管理员忽视了它，导致其故障排查过程异常曲折，现在本文将它共享出来，与大家进行交流! 登录速度狂慢 某大楼局域网组网结构很简单，100台左右的计算机分布在六层楼上，每个楼层上的计算机都通过实达品牌的24口交换机，与单位局域网的QUIDWAYS3050主交换机进行连接。 其中单位的Web服务器、打印服务器以及一些重要的计算机，全部单独连接到一个实达核心交换机上，这些实达交换机都通过100M 双绞线与主交换机进行级联。平时，局域网中的所有普通计算机都能互相共享访问，而且它们也能正常地访问单位的Web服务器、打印服务器等重要主机。 可是，最近单位在局域网的Web服务器中发布了一则通知消息，要求各位员工上网浏览时，员工纷纷反应，说登录Web服务器的速度非常缓慢，完全没有以往一气呵成的感觉。

故障就是命令，接到登录速度狂慢的电话后，笔者立即打开自己的笔记本电脑，使用ping命令测试Web服务器的IP地址，从测试 操作返回的结果来看。Web服务器的IP地址一会儿能ping通，一 会儿不能ping通，而且在ping通的情况下，服务器响应时间也是 比较长，这与平时响应时间小于1ms的时间相比，简直是相差太大，看来局域网中真的存在网络故障。 既然局域网中多数员工不能正常登录单位的Web服务器，那会不会是该服务器工作状态出现了意外呢?大家知道，Web服务器持续工 作的时间一长，特别容易发生反应迟钝现象。 毕竟该服务器平时处理的各种请求比较多，要是在同一时间段内处理的访问请求数量超过一定标准的话，那么服务器系统资源可能 会迅速消耗殆尽，如此一来Web服务器服务器系统自然就不能正常 运行了。 想到这一点，笔者立即远程启动了该服务器系统，待启动成功后，笔者再次ping了一下该服务器的IP地址，发现ping命令的响应时 间还是不正常;尝试进行登录访问时，笔者看到访问速度还是慢吞吞的。为了确认登录狂慢的交换机故障现象与Web服务器的工作状态 无关。 笔者又测试了打印服务器以及其他一些重要计算机的IP地址， 发现这些重要的计算机IP地址也不能被正常ping通，这说明问题 的确不在Web服务器身上，在排除Web服务器自身状态不正常因素后，笔者开始怀疑局域网网络中有病毒存在，造成了整个网络传输 通道发生了堵塞现象。 由于局域网中包含的计算机数量比较多，单纯依靠杀毒软件进行逐一查杀，那工作量将是非常的巨大，而且也不利于高效解决网络 故障，为此笔者打算测试一下局域网中计算机相互之间的通信速度 是否正常。 想到做到，笔者先是ping了其中一台计算机的IP地址，发现此次ping命令操作的响应时间很快;但是笔者还是有点不放心，于是 又尝试着与这台计算机进行文件共享交流，结果发现几兆大小的文

---------------------------------------------------------------最新资料推荐------------------------------------------------------ 三层交换机配置实例 三层交换综合实验一般来讲，设计方案中主要包括以下内容： 用户需求需求分析使用什么技术来实现用户需求设计原则拓扑图设备清单一、模拟设计方案【用户需求】 1. 应用背景描述某公司新建办公大楼，布线工程已经与大楼内装修同步完成。 现公司需要建设大楼内部的办公网络系统。 大楼的设备间位于大楼一层，可用于放置核心交换机、路由器、服务器、网管工作站、电话交换机等设备。 在每层办公楼中有楼层配线间，用来放置接入层交换机与配线架。 目前公司工程部 25 人、销售部 25人、发展部 25 人、人事部 10 人、财务部加经理共 15 人。 2. 用户需求为公司提供办公自动化、计算机管理、资源共享及信息交流等全方位的服务，目前的信息点数大约 100 个，今后有扩充到 200 个的可能。 公司的很多业务依托于网络，要求网络的性能满足高效的办公要求。 同时对网络的可靠性要求也很高，要求在办公时间内，网络不能宕掉。 1 / 14

因此，在网络设计过程中，要充分考虑到网络设备的可靠性。 同时，无论是网络设备还是网络线路，都应该考虑冗余备份。 不能因为单点故障，而导致整个网络的瘫痪，影响公司业务的正常进行。 公司需要通过专线连接外部网络。 【需求分析】为了实现网络的高速、高性能、高可靠性还有冗余备份功能，主要用于双核心拓扑结构的网络中。 本实验采用双核心拓扑结构，将三层交换技术和 VTP、 STP、EthernetChannel综合运用。 【设计方案】 1、在交换机上配置 VLAN，控制广播流量 2、配置 2 台三层交换机之间的 EthernetChannel，实现三层交换机之间的高速互通 3、配置 VTP，实现单一平台管理 VLAN，同时启用修剪，减少中继端口上不必要的广播信息量 4、配置 STP，实现冗余备份、负载分担、避免环路 5、在三层交换机上配置 VLAN 间路由，实现不同 VLAN 之间互通 6、通过路由连入外网，可以通过静态路由或 RIP 路由协议【网络拓扑】根据用户对可靠性的要求，我们将网络设计为双核心结构，为了保证高性能，采用双核心进行负载分担。 当其中的一台核心交换机出现故障的时候，数据能自动转换到另一台交换机上，起到冗余备份作用。 注意： 本实验为了测试与外网的连通性，使用一个简单网络【设备

存储集群双机热备方案

目录 一、前言 (3) 1、公司简介 (3) 2、企业构想 (3) 3、背景资料 (4) 二、需求分析 (4) 三、方案设计 (5) 1．双机容错基本架构 (5) 2、软件容错原理 (6) 3、设计原则 (7) 4、拓扑结构图 (7) 四、方案介绍 (10) 方案一1对1数据库服务器应用 (10) 方案二CLUSTER数据库服务器应用 (11) 五、设备选型 (12) 方案1：双机热备+冷机备份 (12) 方案2：群集+负载均衡+冷机备份 (13) 六、售后服务 (15) 1、技术支持与服务 (15) 2、用户培训 (15)

一、前言 1.1、公司简介 《公司名称》成立于2000年,专业从事网络安全设备营销。随着业务的迅速发展，经历了从计算机营销到综合系统集成的飞跃发展。从成立至今已完成数百个网络工程，为政府、银行、公安、交通、电信、电力等行业提供了IT相关系统集成项目项目和硬件安全产品，并取得销售思科、华为、安达通、IBM、HP、Microsoft等产品上海地区市场名列前茅的骄人业绩。 《公司名称》致力于实现网络商务模式的转型。作为国内领先的联网和安全性解决方案供应商，《公司名称》对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全国各行各业，包括主要的网络运营商、企业、政府机构以及研究和教育机构等。 《公司名称》推出的一系列互联网解决方案，提供所需的安全性和性能来支持国内大型、复杂、要求严格的关键网络，其中包括国内的20余家企事业和政府机关. 《公司名称》成立的唯一宗旨是--企业以诚信为本安全以创新为魂。今天，《公司名称》通过以下努力，帮助国内客户转变他们的网络经济模式，从而建立强大的竞争优势：（1）提出合理的解决方案，以抵御日益频繁复杂的攻击 （2）利用网络应用和服务来取得市场竞争优势。 （3）为客户和业务合作伙伴提供安全的定制方式来接入远程资源 1.2、企业构想 《公司名称》的构想是建立一个新型公共安全网络，将互联网广泛的连接性和专用网络有保障的性能和安全性完美地结合起来。《公司名称》正与业界顶尖的合作伙伴协作，通过先进的技术和高科产品来实施这个构想。使我们和国内各大企业可通过一个新型公共网络来获得有保障的安全性能来支持高级应用。 《公司名称》正在帮助客户改进关键网络的经济模式、安全性以及性能。凭借国际上要求最严格的网络所开发安全产品，《公司名称》正致力于使联网超越低价商品化连接性的境界。《公司名称》正推动国内各行业的网络转型，将今天的"尽力而为"网络改造成可靠、安全的高速网络，以满足今天和未来应用的需要。 1.3、背景资料 随着计算机系统的日益庞大，应用的增多，客户要求计算机网络系统具有高可靠，高

Written by Strongtzq.唐 (E-mail:Strongtzq@https://www.wendangku.net/doc/e418375431.html, QQ:21033068) 交换机通用配置方法全接触 交换机的配置一直以来是非常神秘的，不仅对于一般用户，对于绝大多数网管人员来说也是如此，同时也是作为网管水平高低衡量的一个重要而又基本的标志。这主要在两个原因，一是绝大多数企业所配置的交换机都是桌面非网管型交换机，根本不需任何配置，纯属“傻瓜”型，与集线器一样，接上电源，插好网线就可以正常工作；另一方面多数中、小企业老总对自己的网管员不是很放心，所以即使购买的交换机是网管型的，也不让自己的网管人员来配置，而是请厂商工程师或者其它专业人员来配置，所以这些中、小企业网管员也就很难有机会真正自己动手来配置一台交換機。 交換换机的详细配置过程比较复杂，而且具体的配置方法会因不同品牌、不同系列的交换机而有所不同，本文教给大家的只是通用配置方法，有了这些通用配置方法，我们就能举一反三，融会贯通。 通常网管型交换机可以通过两种方法进行配置：一种就是本地配置；另一种就是远程网络配置两种方式，但是要注意后一种配置方法只有在前一种配置成功后才可进行，下面分别讲述。 一、 本地配置方法 本地配置我们首先要遇到的是它的物理连接方式，然后还需要面对软件配置，在软件配置方面我们主要以思科的“Catalyst 1900”交换机为例来讲述。 因为要进行交换机的本地配置就要涉及到硬、软件的连接及建立，所以下面我们分这两步来说明配置的基本连接过程。 1、 物理连接 因为笔记本电脑的便携性能，所以配置交换机通常是采用笔记本电脑进行，在实在无笔记本的情况下，当然也可以采用台式机，但移动起来麻烦些。交换机的本地配置方式是通过计算机与交换机的“Console”端口直接连接的方式进行通信的，它的连接图如图1所示： 圖示-1 可进行网络管理的交换机上一般都有一个“Console”端口，它是专门用于对交换机进行配置和管理的。通过Console 端口连接并配置交换机，是配置和管理交换机必须经过的步骤。虽然除此之外还有其他若干种配置和管理交换机的方式（如Web 方式、 Telnet 方式等），但是，这些方式必须依靠通过Console 端口进行基本配置后才能进行。因为其他方式往往需要借助于IP 地址、域名或设备名称才可以实现，而新购买的交换机显然不可能内置有这些参数，所以通过Console 端口连接并配置交换机是最常用、最基本也是网络管理员必须掌握的管理和配置方式。 不同类型的交换机Console 端口所处的位置并不相同，有的位于前面板（如Catalyst 3200和Catalyst 4006），而有的则位于后面板（如Catalyst 1900和Catalyst 2900XL ）。通常是模块化交换机大多位于前面板，而固定配置交换机则大多位于后面板。不过，倒不用担心无法找到Console 端口，在该端口的上方或侧方都会有类似“CONSOLE”字样的标识，如图2所示： 華迪實訓 網路工程部 2008.08.06

三层交换机vlan配置 实验目的： 1.会使用三层交换机的路由功能。 2.会进行三层交换机与二层交换机之间的vlan配置。 实验步骤： 一、绘制实验拓扑如下： 二、配置S1、S2、S3间的Trunk（中继链路） S1(config)#int range f0/1 -2 S1(config-if-range)#sw mo trunk S2(config)#int f0/1 S2(config-if)#sw mo trunk S3(config)#int f0/1 S3(config-if)#sw mo trunk 三、配置VTP并创建vlan S1(config)#vtp mode server Device mode already VTP SERVER. S1(config)#vtp domain 123 S2(config)#vtp mode client Setting device to VTP CLIENT mode. S2(config)#vtp domain 123 S3(config)#vtp mode client Setting device to VTP CLIENT mode. S3(config)#vtp domain 123 //以上配置S1为VTP服务器模式，配置S2、S3为客户端模式S1(config)#vlan 2 S1(config)#vlan 3 //以上利用VTP在S1、S2、S3上创建vlan2、vlan3

四、配置三层交换机S1的路由功能下的vlan S1(config)#ip routing //打开三层交换机的路由功能 S1(config)#int vlan 2 S1(config-if)#ip add 192.168.2.1 255.255.255.0 S1(config-if)#no shut //启用vlan2 //以上为vlan2配置ip S1(config)#int vlan 3 S1(config-if)#ip add 192.168.3.1 255.255.255.0 S1(config-if)#no shut //启用vlan3 //以上为vlan3配置ip 五、配置S2、S3交换机的vlan接口 S2(config)#int f0/3 S2(config-if)#switchport access vlan 2 //端口f0/3划入vlan 2 S2(config)#int f0/4 S2(config-if)#switchport access vlan 3 //端口f0/4划入vlan 3 S3(config)#int f0/3 S3(config-if)#switchport access vlan 2 //端口f0/3划入vlan 2 S3(config)#int f0/4 S3(config-if)#switchport access vlan 3 //端口f0/4划入vlan3 六、主机配置 主机1、3分配192.168.2.0网段地址，网关为：192.168.2.1 主机2、4分配192.168.3.0网段地址，网关为：192.168.3.1 七、测试连通性 配置完成后，两个VLAN（VLAN2、VLAN3）就可以通过三层交换机进行通信了。 在分别属于不同VLAN的主机（1、2、3、4）之间使用ping命令测试VLAN间路由配置的正确性。能ping通即表示两个不同VLAN 之间实现通信。

适用场景：1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中，若未指定优先级，则是根据它们的MAC地址（mac小的为主机）来确定谁是主机。优先级为越大越好，范围1-10。出场默认为1。 1、系统时间同步：如果客户有使用 ntp/sntp进行全网统一的时间配置的需求，可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址，此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一：限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二：限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三：使用加密管理协议，使用SSH管理，禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式

局域网交换技术-题库带答案 16、VLAN的划分方法包括以下哪些项？ A、基于端口划分 B、基于端口安全划分 C、基于MAC地址划分 D、基于IP地址划分 答案： ACD 32、参见图示。下列哪三种说法描述了Host1和Host2无法通信的原因？（选三项） A、交换机端口处于不同的 VLAN 中 B、交换机的 IP 地址在错误的子网中 C、主机被配置在不同的逻辑网络中 D、需要路由器在Host1与Host2之间转发流量 E、每个 VLAN 中的 VLAN 端口必须连续分配 F、主机的默认网关地址必须处于同一个逻辑网络中 答案： ACD 33、参见图示。网络管理员需要删除 east-hosts VLAN 并将属于该 VLAN 的交换机端口用到一个现有 VLAN 中。如果要从 S1-Central 完全删除 VLAN 2，同时保证交换机及其所有接口工作正常，应该使用哪两组命令？ (选三项)

A、 S1-Central#reload B、S1-Central#erase flash: C、 S1-Central#delete flash:vlan.dat D、 S1-Central(config)#no vlan 2 E、 S1-Central(config-if)#interface fastethernet 0/1 F、 S1-Central(config-if)# switchport access vlan 3 答案： DEF 37、给VLAN配置管理地址的正确命令是（）。 A、 Switch(config)# ip add 192.168.6.1 B、 Switch(config)# ip add 192.168.6.1 255.255.255.0 C、 Switch(config-if)#ip add 192.168.6.1 255.255.255.0 D、 Switch(config-vlan)#ip add 192.168.6.1 255.255.255.0 答案： C 38、以下哪项不是项目收尾中的工作？ A、设备的安装与配置 B、竣工文档 C、项目验收 D、项目质量考核 答案： A 39、需求分析中需要用网络专业术语描述出的有哪几项？（选三项） A、网络规模 B、建网目的 C、网络应用 D、设计方案

CISCO 6509配置手册 1.设置时间 switch#config t switch(config)# clock timezone GMT 8 ；配置时区 switch(config)# clock set 13:30:21 31 JAN 2004 ；配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname 6509a //配置交换机名称6509a(config)#enable password cisco //配置用户密码 6509a (config)#enable secret cisco //配置安全密码 6509a (config-line)#line vty 0 15 //配置远程访问密码6509a (config-line)#login 6509a (config-line)#password cisco 6509a (config-line)#login 6509a (config-line)#^z 6509a #show running-config //查看配置信息 6509a #copy running-config startup-config 6509a #show startup-config 6509a #show bootvar 6509a #dir bootflash: 6509a #copy system:running-config nvram:startup-config 6509a #show fabric status 6509a #show hardware 3.配置vlan 6509a #config t 6509a (config)#vlan 301 6509a (config-vlan)# name hexinxitong 6509a (config)#vlan 302 6509a (config-vlan)# name callcenter 6509a (config)#vlan 303 6509a (config-vlan)# name kuaijicaiwu

《网络基础学习之十四》交换机配置教程全接触 《网络基础学习之十四》交换机配置教程全接触 交换机的配置教程一直以来是非常神秘的，不仅对于一般用户，对于绝大多数网管人员来说也是如此，同时也是作为网管水平高低衡量的一个重要而又基本的标志。这主要在两个原因，一是绝大多数企业所配置教程的交换机都是桌面非网管型交换机，根本不需任何配置教程，纯属“傻瓜”型，与集线器一样，接上电源，插好网线就可以正常工作；另一方面多数中、小企业老总对自己的网管员不是很放心，所以即使购买的交换机是网管型的，也不让自己的网管人员来配置教程，而是请厂商工程师 或者其它专业人员来配置教程，所以这些中、小企业网管员也就很难有机会真正自己动手来配置教程一台交换机。 交换机的详细配置教程过程比较复杂，而且具体的配置教程方法会因不同品牌、不同系列的交换机而有所不同，本文教给大家的只是通用配置教程方法，有了这些通用配置教程方法，我们就能举一反三，融会贯通。 通常网管型交换机可以通过两种方法进行配置教程：一种就是本地配置教程；另一种就是远程网络配置教程两种方式，但是要注意后一种配置教程方法只有在前一种配置教程成功后才可进行，下面分别讲述。 一、本地配置教程方式 本地配置教程我们首先要遇到的是它的物理连接方式，然后还需要面对软件配置教程，在软件配置教程方面我们主要以最常见的思科的“Catalyst 1900”交换机为例来讲述。 因为要进行交换机的本地配置教程就要涉及到硬、软件的连接了，所以下面我们分这两步来说明配置教程的基本连接过程。 1．物理连接 因为笔记本电脑的便携性能，所以配置教程交换机通常是采用笔记本电脑进行，在实在无笔记本的情况下，当然也可以采用台式机，但移动起来麻烦些。交换机的本地配置教程方式是通过计算机与交换机的“Console”端口直接连接的方式进行通信的，它的连接图如图1所示。

Enable //进入私有模式 Configure terminal //进入全局模式 service password-encryption //对密码进行加密 hostname Catalyst 3550-12T1 //给三层交换机定义名称 enable password 123456. //enable密码 Enable secret 654321 //enable的加密密码（应该是乱码而不是654321这样） Ip subnet-zero //允许使用全0子网（默认都是打开的） Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1 Service dhcp //提供DHCP服务 ip routing //启用三层交换机上的路由模块 Exit Vtp mode server //定义VTP工作模式为sever模式 Vtp domain centervtp //定义VTP域的名称为centervtp Vlan 2 name vlan2 //定义vlan并给vlan取名（如果不取名的话，vlan2的名字应该是vlan002） Vlan 3 name vlan3 Vlan 4 name vlan4 Vlan 5 name vlan5 Vlan 6 name vlan6 Vlan 7 name vlan7 Vlan 8 name vlan8 Vlan 9 name vlan9 Exit interface Port-channel 1 //进入虚拟的以太通道组1 Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1 channel-group 1 mode on //把这个接口放到快速以太通道组1中 Interface gigabitethernet 0/2 //同上channel-group 1 mode on port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式（依靠源和目的IP的方式）

中兴交换机 可以登录到交换机，会出现如下提示： 其中login为admin，password为zhongxing。 登录到设备后，便进入用户模式，用户模式的提示符是交换机的主机名后跟一个“>”，如下： 在用户模式下输入enable命令（或缩写en）和相应口令后，即可进入全局配置模式，缺省无密码。如下所示： 这样就进入全局配置模式，在该模式下，可以进行全局数据的配置和配置信息的查看。 清空配置: 一般在进行数据配置之前，需要清空原有数据，防止原有数据和即将配置的数据产生冲突或者带来隐患。 在配置前，可以通过show run命令查看现有设备的配置，如果有数据，则需要清空，操作如下：

配置主机名 用户名默认为zte ，一般根据需要作修改，这样会便于记忆，能更好的区分设备。 zte(cfg)#hostname 2826E_2F 在全局模式下修改 2826E_2F(cfg)# 主机名已经有zte 变成设置的2826E-2F 了。 设置系统日期和时间 一般情况下，设备的开机时间为出产时间，在使用交换机之前，需要修改系统时间。这样在查询设备告警等信息时时间才准确。 首先，查看系统时间，看是否准确，命令为show date-time 然后修改系统时间 ,set date xx time xx 例如： 设置登录用户名和密码 在telnet 到交换机时，需要设置交换机的用户名和密码，默认情况下使用console 的用户名和密码。默认情况下，登陆到全局模式的enable 密码为空，建议设置密码以保证交换机的安全。命令如下： 设置远程登录地址 set ipport 0 ipaddress 172.27.62.245 255.255.255.240 //交换机地址、掩码 set ipport 0 vlan 4064 //指定管理vlan set ipport 0 enable iproute 0.0.0.0 0.0.0.0 172.27.62.241 1 //回程路由

华为三层交换机配置步骤 1.给交换机划分VLAN Vlan是虚拟局域网的意思，它相当于一个局域网工作组。“vlan几”可以理解成编号为几的vlan，比如vlan 2就是编号为2的vlan，只是一个编号而已，并不是说vlan 2的网段一定要是2网段，vlan 2的IP地址是可以随便设置的。 下面我将三层交换机的第20个端口添加到vlan 10里，步骤如下： A.在交换机里添加VLAN 10 system-view （一般用缩写：sys） [Quidway] vlan10 （添加编号为10的vlan） [Quidway-vlan10] quit （一般缩写：q） B.设置vlan 10的IP地址为192.168.66.66 网关为255.255.255.0 [Quidway]interface vlanif 10（interface一般可以缩写为：int ；vlanif也可以只写vlan） [Quidway-vlanif10] ip address 192.168.66.66 255.255.255.0 (address缩写add) [Quidway-vlanif10]quit C.设定交换机上第20个端口模式为access（默认为trunk，需在将端口划入VLAN前转为ACCESS） [Quidway]int gigabitethernet 0/0/20（gigabitethernet：千兆以太网口） [Quidway-GigabitEthernet0/0/20]port link-type access （port：端口） [Quidway-GigabitEthernet0/0/20]quit D.将第20个端口加入到vlan 10里 [Quidway] vlan 10 [Quidway-vlan10] port gigabitethernet 0/0/20（如果是多个连续端口，用XX to XX） [Quidway-Vlan10] quit 这样就是成功的将交换机上的第20个端口添加到了编号为10的Vlan 里，划分VLAN就是这4个步骤，2个步骤设置vlan，2个步骤设置端口。现在可以用网线把交换机的第20个端口和电脑网卡连接起来，设置网卡地址为192.168.66.XX，网关为192.168.66.66，在CMD里ping192.168.66.66可以ping通。 2.删除vlan A.在系统视图下，用“undo int vlan 2”命令删除vlan 2的3层口，这样vlan 2就没有了，但是划分给vlan 2的那些端口依然还处于vlan 2里，这时可以将那些端口释放出来，让他们不再属于任何vlan B.在系统视图下，用“undo vlan 2”命令删除2层口，这个命令可以释放那些原先划分给了vlan 2的端口，现在它们不属于任何vlan了。 当然，将交换机上的某个端口更换到某个vlan里，是可以直接在vlan视图里添加端口的。 注意：交换机上的某个端口被设置成了access模式，且加入了一个vlan，要想将这个端口的模式更改为trunk，直接在端口视图里打上“port link-type trunk”是不行的，会出现Error: Please renew the default configurations.这时需要先从VLAN里删除这个端口，也就是前面说的让这个端口不属于任何vlan，才能将这个端口设置为trunk。 3.通过端口进行限速 现在要对交换机上的第2个端口进行限速操作，让通过这个端口的下载速度不超过128KB/S 配置命令说明： Inbound：对入端口报文进行限速 Outbound：对出端口报文进行限速 sys [Quidway]int gigabitethernet 0/0/2 [Quidway-GigabitEthernet0/0/2]qos lr outbound cir 1024 cbs 204800（1024代表1M的带宽，理论下载速度就是128KB/S,204800=1024*200，cbs代表突发信息速率cir代表承诺信息速率）

华为三层交换机配置实例一例 服务器1双网卡，内网IP:192.168.0.1，其它计算机通过其代理上网 PORT1属于VLAN1 PORT2属于VLAN2 PORT3属于VLAN3 VLAN1的机器可以正常上网 配置VLAN2的计算机的网关为：192.168.1.254 配置VLAN3的计算机的网关为：192.168.2.254 即可实现VLAN间互联 如果VLAN2和VLAN3的计算机要通过服务器1上网 则需在三层交换机上配置默认路由 系统视图下：ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 然后再在服务器1上配置回程路由 进入命令提示符 route add 192.168.1.0 255.255.255.0 192.168.0.254 route add 192.168.2.0 255.255.255.0 192.168.0.254 这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~ 华为路由器与CISCO路由器在配置上的差别＂ 华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致，有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面，使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。另外它的软件升级，远程配置，备份中心，PPP回拨，路由器热备份等，对用户来说均是极有用的功能特性。 在配置方面，华为路由器以前的软件版本(VRP1.0－相当于CISCO的IOS)与CISCO有细微的差别，但目前的版本(VRP1.1)已和CISCO兼容，下面首先介绍VRP软件的升级方法，然后给出配置上的说明。 一、VRP软件升级操作 升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本，因为这关系到是否可以升级以及升级的方法，否则升级失败会导致路由器不能运行。在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。 1.路由器配置电缆一端与PC机的串口一端与路由器的console口连接 2.在win95/98下建立使用直连线的超级终端，参数如下： 波特率9600，数据位8，停止位1，无效验，无流控，VT100终端类型 3.超级终端连机后打开路由器电源，屏幕上会出现引导信息，在出现： Press Ctrl－B to enter Boot Menu. 时三秒内按下Ctrl＋b,会提示输入密码 Please input Bootrom password: 默认密码为空，直接回车进入引导菜单Boot Menu,在该菜单下选1，即Download application program升级VRP软件，之后屏幕提示选择下载波特率，我们一般选择38400 bps，随即出现提示信息： Download speed is 38400 bps.Please change the terminal's speed to 38400 bps,and select XMODEM protocol.Press ENTER key when ready. 此时进入超级终端“属性”，修改波特率为38400，修改后应断开超级终端的连接，再进入连接状态，以使新属性起效，之后屏幕提示： Downloading…CCC 这表示路由器已进入等待接收文件的状态，我们可以选择超级终端的文件“发送”功能，选定相应的VRP软件文件名，通讯协议选Xmodem，之后超级终端自动发送文件到路由器中，整个传送过程大约耗时8分半钟。完成后有提示信息出现，系统会将收到的VRP软件写入Flash Memory覆盖原来的系统，此时整个升级过程完成，系统提示改回超级终端的波特率： Restore the terminal's speed to 9600 bps. Press ENTER key when ready. 修改完后记住进行超级终端的断开和连接操作使新属性起效，之后路由器软件开始启动，用show ver命令将看见

华为三层二层交换机双机热备份配置举例 集团文件版本号：（M928-T898-M248-WU2669-I2896-DQ586-M1988）

华为三层+二层交换机双机热备份配置举例 组网需求 SE2300作为会话边界控制器被部署在企业网络和NGN网络之间，考虑到设备运行的可靠性，采用两台SE2300以主备备份方式工作。其中 SE2300-A作为主用，SE2300-B作为备用。 如 SE2300-A和SE2300-B分别通过接口Ethernet1/0/0连接企业网络1，通过Ethernet2/0/0连接企业网络2，通过Ethernet4/0/0连接NGN网络。图1-10 双机热备份典型配置组网 配置思路 采用如下思路进行配置： l 在接口上配置VRRP备份组 l 配置VRRP管理组，将备份组添加到VRRP管理组中 l 配置HRP 数据准备 数据规划如下： l VRRP备份组虚拟IP地址 l VRRP管理组的优先级 配置步骤

在进行VRRP相关配置前，请先确保SE2300自己能够正常工作，即已经成功地配置了信令代理和媒体代理功能，及各接口的IP地址。之后进行如下配置： 步骤 1 配置SE2300-A # 在Ethernet1/0/0接口上配置VRRP备份组1，并配置备份组的虚拟IP 地址。 首先配置实地址，再配置虚地址，实地址和虚地址要配置在同一网段。在组网环境中一定要注意检查不能有相同的vrid配置存在，不允许出现vrid相同的两台设备接在同一台交换机上。 system-view [Quidway] interface ethernet 1/0/0 [Quidway-Ethernet1/0/0] [Quidway-Ethernet1/0/0] vrrp vrid 1 virtual-ip 1 [Quidway-Ethernet1/0/0] quit # 在Ethernet2/0/0接口上配置VRRP备份组2，并配置备份组的虚拟IP 地址。 [Quidway] interface ethernet 2/0/0 [Quidway-Ethernet2/0/0] [Quidway-Ethernet2/0/0]