改头换面，请访问Ubuntu高地

Login authentication

Password:

<S5600>

%Oct 26 13:15:22:079 2006 S5600 SHELL/5/LOGIN:- 1 - VTY(172.29.22.24) in unit1 l

oginsuper

Password:

User privilege level is 3, and only those commands can be used

whose level is equal or less than this.

Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

<S5600>dis cur

#

sysname S5600

#

super password level 3 simple *****

#

vfs check check-method fix

#

radius scheme system

#

domain system

#

vlan 1

#

vlan 51

description Lan1

#

vlan 52

description Lab2

#

vlan 53

#

vlan 54

#

vlan 55

#

vlan 56

#

vlan 57

#

vlan 58

#

vlan 59

#

vlan 60

#

vlan 61

#

vlan 62

#

vlan 88

#

interface Vlan-interface51

ip address 172.29.51.254 255.255.255.0

#

interface Vlan-interface52

ip address 172.29.52.254 255.255.255.0

#

interface Vlan-interface53

ip address 172.29.53.254 255.255.255.0

#

interface Vlan-interface54

ip address 172.29.54.254 255.255.255.0

#

interface Vlan-interface55

ip address 172.29.55.254 255.255.255.0

#

interface Vlan-interface56

ip address 172.29.56.254 255.255.255.0

#

interface Vlan-interface57

ip address 172.29.57.254 255.255.255.0

#

interface Vlan-interface58

ip address 172.29.58.254 255.255.255.0

#

interface Vlan-interface59

ip address 172.29.21.254 255.255.255.0

#

interface Vlan-interface60

ip address 172.29.22.254 255.255.255.0

#

interface Vlan-interface61

ip address 172.29.61.1 255.255.255.0

#

interface Vlan-interface62

ip address 172.29.10.254 255.255.255.0

#

interface Vlan-interface88

ip address 172.169.88.2 255.255.255.252

#

interface Aux1/0/0

#

interface GigabitEthernet1/0/1

port access vlan 51

#

interface GigabitEthernet1/0/2

port access vlan 52

#

interface GigabitEthernet1/0/3

port access vlan 53

#

interface GigabitEthernet1/0/4

port access vlan 54

#

interface GigabitEthernet1/0/5

port access vlan 55

#

interface GigabitEthernet1/0/6

port access vlan 56

#

interface GigabitEthernet1/0/7

port access vlan 57

#

interface GigabitEthernet1/0/8

port access vlan 58

#

interface GigabitEthernet1/0/9

port access vlan 59

#

interface GigabitEthernet1/0/10

port access vlan 60

#

interface GigabitEthernet1/0/11

port access vlan 61

#

interface GigabitEthernet1/0/12

port link-type trunk

port trunk permit vlan 1 60 62

#

interface GigabitEthernet1/0/13

port access vlan 51

#

interface GigabitEthernet1/0/14

port access vlan 52

#

interface GigabitEthernet1/0/15

port access vlan 51

#

interface GigabitEthernet1/0/16

port access vlan 51

#

interface GigabitEthernet1/0/17

port link-type trunk

port trunk permit vlan 1 60 62

#

interface GigabitEthernet1/0/18

port link-type trunk

port trunk permit vlan 1 60 62

#

interface GigabitEthernet1/0/19

#

interface GigabitEthernet1/0/20

#

interface GigabitEthernet1/0/21

#

interface GigabitEthernet1/0/22

#

interface GigabitEthernet1/0/23

shutdown

port access vlan 88

#

interface GigabitEthernet1/0/24

shutdown

port access vlan 88

#

interface GigabitEthernet1/0/25

shutdown

#

interface GigabitEthernet1/0/26

port access vlan 88

#

interface GigabitEthernet1/0/27

shutdown

#

interface GigabitEthernet1/0/28

port access vlan 88

#

interface Cascade1/2/1

#

interface Cascade1/2/2

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 172.169.88.1 preference 60

ip route-static 172.29.62.0 255.255.255.0 172.29.61.2 preference 60

ip route-static 172.29.63.0 255.255.255.0 172.29.61.2 preference 60

ip route-static 172.29.64.0 255.255.255.0 172.29.61.2 preference 60

ip route-static 172.29.65.0 255.255.255.0 172.29.61.2 preference 60

ip route-static 172.29.66.0 255.255.255.0 172.29.61.2 preference 60

ip route-static 172.29.67.0 255.255.255.0 172.29.61.2 preference 60

ip route-static 172.29.68.0 255.255.255.0 172.29.61.2 preference 60

#

snmp-agent

snmp-agent local-engineid 800007DB00E0FC7DAD966877

snmp-agent community read *****

snmp-agent sys-info version v2c v3

#

user-interface aux 0 7

user-interface vty 0 4

set authentication password simple huawei

#

return

<S5600>

一．中心交换的VLAN配置

（1）激活vlan路由

Switch1#config t

Switch1(config)#ip routing

（2）创建三个VLAN

Switch1#

Switch1#vlan database

Switch1(vlan)#vlan 2

Switch1(vlan)#vlan 3

Switch1(vlan)#vlan 10

Switch1(vlan)#exit

（3）给VLAN分配IP

Switch1#config t

Switch1(config)#config vlan2

Switch1(config-if)#ip address 192.168.2.1 255.255.255.0

Switch1(config-if)#no shutdown

Switch1#config t

Switch1(config)#config vlan3

Switch1(config-if)#ip address 192.168.3.1 255.255.255.0

Switch1(config-if)#no shutdown

Switch1#config t

Switch1(config)#config vlan10

Switch1(config-if)#ip address 192.168.10.1 255.255.255.0

Switch1(config-if)#no shutdown

（4）配VTP

Switch1#

Switch1#config t

Switch1(config)#vtp domain china_mobile

Switch1(config)#vtp mode server

Switch1(config)#end

（5）配Trunk

Switch1#

Switch1#config t

Switch1(config)#interface gigabitethernet0/1

Switch1(config-if)#switchport trunk encapsulation isl

Switch1(config-if)#switchport mode trunk

Switch1(config-if)#end

（6）给中心交换机通往路由器的接口配IP

Switch1#

Switch1#config t

Switch1(config)#interface fastethernet0/1

Switch1(config-if)#no switchport

Switch1(config-if)#ip address 200.1.1.1 255.255.255.0

Switch1(config-if)#no shutdown

（7）给中心交换机配置缺省路由

Switch1#

Switch1#config t

Switch(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2

（8）把VLAN号分配给IP接口

Switch1#

Switch1#config t

Switch1(config)#interface fastethernet0/2

Switch1(config-if)#switchport mode access

Switch1(config-if)#switchport access vlan2

Switch1(config-if)#spanning-tree portfast

… …

Switch1#

Switch1#config t

Switch1(config)#interface fastethernet0/13

Switch1(config-if)#switchport mode access

Switch1(config-if)#switchport access vlan3

Switch1(config-if)#spanning-tree portfast

(其它同)

（9）配访问控制列表ACL禁VLAN3子网的客户机访问服务器

Switch1#

Switch1#config t

Switch1(config)#access-list 1 deny 192.168.3.0 0.0.0.255

Switch1(config)#access-list 1 permit any

Switch1(config)#interface fastethernet0/13 （此接口接服务器）

Switch1(config-if)#ip access-group 1 out

（10）检查上述配置

Switch1#show vlan

Switch1#show ip route

Switch1#show interface gigabitethernet0/1 switchport

Switch1#show run

Switch1#show vtp status

（11）存配置

Switch1#copy running-config startup-config

二．在接入层交换机Swith2上VLAN的配置

(1)配TRUNK

Switch2#

Swtich2#config t

Switch2(config)#interface gigabitethernet0/1

Switch2(config-if)#switchport trunk encapsulation isl

Switch2(config-if)#switchport mode trunk

Switch2(config-if)#end

Switch2#

Swtich2#config t

Switch2(config)#interface gigabitethernet0/2

Switch2(config-if)#switchport trunk encapsulation isl

Switch2(config-if)#switchport mode trunk

Switch2(config-if)#end

(2)配VTP

Switch2#

Switch2#config t

Switch2(config)#vtp mode client

Switch2(config)#vtp domain china_mobile

Switch2(config)#end

(3)给接口分配VLAN号

Switch2#

Switch2#config t

Switch2(config)#interface fastethernet0/1

Switch2(config-if)#switchport mode access

Switch2(config-if)#switchport access vlan2

Switch2(config-if)#spanning-tree portfast

… …

(其它端口配置同)

(4)存配置

Switch2#copy running-config startup-config

(其它交换机同)

小结：

对于企业级的应用来说，局域网内的业务流量类型起来越多，对网络的整体性能也就提出了苟刻的要求。我们只有设计出技术优越的网络才能适应这种要求。思科CATALYST 3550 -24 EMI在QoS上性能超群，能按业务类型进行分类，以进行优先级服务，使关键性业务，带宽敏感性业务优先转发。而三层交换功能更是能完美胜任当今企业局域网越来越普遍的在交换环境中部署三层交换的需求。本案例就说明了CATALYST 3550 -24 EMI的三层交换功能很好地胜任了这种需求。

网络环境：一台3550EMI交换机，划分三个vlan，vlan2为服务器所在网络，名为server，IP地址段为192.168.2.0，子网掩码：255.255.255.0，网关：192.168.2.1，域服务器为windows 2000 advance server，同时兼作DNS服务器，IP地址为192.168.2.10，vlan3为客户机1所在网络，IP地址段为192.168.3.0，子网掩码：255.255.255.0，网关：192.168.3.1命名为work01，vlan4为客户机2所在网络，命名为work02，IP地址段为 192.168.4.0，子网掩码：255.255.255.0，网关：192.168.4.1，3550作DHCP服务器,端口1-8划到VLAN 2，端口9-16划分到VLAN 3，端口17-24划分到VLAN 4．DHCP服务器实现功能：各VLAN保留2-10的IP地址不分配置，例如：192.168.2.0的网段，保留192.168.2.2至 192.168.2.10的IP地址段不分配．

安全要求：

VLAN 3和VLAN 4 不允许互相访问,但都可以访问服务器所在的VLAN 2,默认访问控制列表的规则是拒绝所有包．

配置命令及步骤如下：

第一步:创建VLAN：

Switch>en

Switch#Vlan Database

Switch(Vlan)>Vlan 2 Name server

Switch(Vlan)>Vlan 3 Name work01

Switch(vlan)>Vlan 4 Name work02

第二步：设置VLAN IP地址：

Switch#Config T

Switch(Config)>Int Vlan 2

Switch(Config-vlan)Ip Address 192.168.2.1 255.255.255.0

Switch(Config-vlan)No Shut

Switch(Config-vlan)>Int Vlan 3

Switch(Config-vlan)Ip Address 192.168.3.1 255.255.255.0

Switch(Config-vlan)No Shut

Switch(Config-vlan)>Int Vlan 4

Switch(Config-vlan)Ip Address 192.168.4.1 255.255.255.0

Switch(Config-vlan)No Shut

Switch(Config-vlan)Exit

/*注意:由于此时没有将端口分配置到VLAN2,3,4,所以各VLAN会DOWN掉,待将端口分配到各VLAN后,VLAN会起来*/

第三步：设置端口全局参数

Switch(Config)Interface Range Fa 0/1 - 24

Switch(Config-if-range)Switchport Mode Access

Switch(Config-if-range)Spanning-tree Portfast

第四步:将端口添加到VLAN2,3,4中

/*将端口1-8添加到VLAN 2*/

Switch(Config)Interface Range Fa 0/1 - 8

Switch(Config-if-range)Switchport Access Vlan 2

/*将端口9-16添加到VLAN 3*/

Switch(Config)Interface Range Fa 0/9 - 16

Switch(Config-if-range)Switchport Access Vlan 3

/*将端口17-24添加到VLAN 4*/

Switch(Config)Interface Range Fa 0/17 - 24

Switch(Config-if-range)Switchport Access Vlan 4

Switch(Config-if-range)Exit

/*经过这一步后,各VLAN会起来*/

第五步：配置3550作为DHCP服务器

/*VLAN 2可用地址池和相应参数的配置,有几个VLAN要设几个地址池*/

Switch(Config)Ip Dhcp Pool Test01

/*设置可分配的子网*/

Switch(Config-pool)Network 192.168.2.0 255.255.255.0

/*设置DNS服务器*/

Switch(Config-pool)Dns-server 192.168.2.10

/*设置该子网的网关*/

Switch(Config-pool)Default-router 192.168.2.1

/*配置VLAN 3所用的地址池和相应参数*/

Switch(Config)Ip Dhcp Pool Test02

Switch(Config-pool)Network 192.168.3.0 255.255.255.0

Switch(Config-pool)Dns-server 192.168.2.10

Switch(Config-pool)Default-router 192.168.3.1

/*配置VLAN 4所用的地址池和相应参数*/

Switch(Config)Ip Dhcp Pool Test03

Switch(Config-pool)Network 192.168.4.0 255.255.255.0

Switch(Config-pool)Dns-server 192.168.2.10

Switch(Config-pool)Default-router 192.168.4.1

第六步：设置DHCP保留不分配的地址

Switch(Config)Ip Dhcp Excluded-address 192.168.2.2 192.168.2.10

Switch(Config)Ip Dhcp Excluded-address 192.168.3.2 192.168.3.10

Switch(Config)Ip Dhcp Excluded-address 192.168.4.2 192.168.4.10

第七步：启用路由

/*路由启用后，各VLAN间主机可互相访问*/

Switch(Config)Ip Routing

第八步：配置访问控制列表

Switch(Config)access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

Switch(Config)access-list 103 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

Switch(Config)access-list 103 permit udp any any eq bootpc

Switch(Config)access-list 103 permit udp any any eq tftp

Switch(Config)access-list 103 permit udp any eq bootpc any

Switch(Config)access-list 103 permit udp any eq tftp any

Switch(Config)access-list 104 permit ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255

Switch(Config)access-list 104 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255

Switch(Config)access-list 104 permit udp any eq tftp any

Switch(Config)access-list 104 permit udp any eq bootpc any

Switch(Config)access-list 104 permit udp any eq bootpc any

Switch(Config)access-list 104 permit udp any eq tftp any

第九步：应用访问控制列表

/*将访问控制列表应用到VLAN 3和VLAN 4,VLAN 2不需要*/

Switch(Config)Int Vlan 3

Switch(Config-vlan)ip access-group 103 out

Switch(Config-vlan)Int Vlan 4

Switch(Config-vlan)ip access-group 104 out

第十步：结束并保存配置

Switch(Config-vlan)End

Switch#Copy Run Start

T客户端 端口范围

贪婪ABC 可以手工设置

BitComet 没有公开

BitTorrent Plus 可以手工设置

BitTorrent 6881～6889

比特精灵Bit Spirit 16881

禁止BT配置:

定义用户自定义流模板：

[Quidway]flow-template user-defined ip-protocol bt-flag

定义高级访问列表：

[Quidway]acl num 3000

[Quidway-acl-adv-3000]rule 0 deny tcp bt-flag

[Quidway-acl-adv-3000]rule 1 deny udp bt-flag

在接口下配置对BT流进行禁止：

[Quidway-Ethernet2/1/1]flow-template user-defined

[Quidway-Ethernet2/1/1]packet-filter inbound ip-group 3000

目前支持对BT进行限制的设备有:

8505/8508/8512

eudemon500/1000

ne20

secpath1800f

1. ip地址分类

ip地址分为网络地址和主机地址二个部分，a类地址前8位为网络地址，后24位为主机地址，b类地址16位为网络地址，后16位为主机地址，c类地址前24位为网络地址，后8位为主机地址，网络地址范围如下表所示：

种类 网络地址范围

a　 1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留

b 128.1.0.0到191.254.0.0有效 128.0.0.0和191.255.0.0保留

c 192.0.1.0 到223.255.254.0有效 192.0.0.0和223.255.255.0保留

d 224.0.0.0到239.255.255.255用于多点广播

e 240.0.0.0到255.255.255.254保留 255.255.255.255用于广播

2. 分配接口ip地址

任务 命令

接口设置 interface type slot/number

为接口设置ip地址 ip address ip-address mask

掩玛（mask）用于识别ip地址中的网络地址位数，ip地址（ip-address）和掩码（mask）相与即得到网络地址。

3. 使用可变长的子网掩码

通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码，这样可以节省ip地址，充分利用有效的ip地址空间。

如下图所示：

router1 和router2的e0端口均使用了c类地址192.1.0.0作为网络地址，router1的e0的网络地址为192.1.0.128,掩码为 255.255.255.192, router2的e0的网络地址为192.1.0.64,掩码为255.255.255.192，这样就将一个c类网络地址分配给了二个网，既划分了二个子网，起到了节约地址的作用。

4. 使用网络地址翻译（nat）

nat（network address translation）起到将内部私有地址翻译成外部合法的全局地址的功能，它使得不具有合法ip地址的用户可以通过nat访问到外部internet.

当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由network working group(rfc 1918)保留用于私有网络地址分配的.

l class a:10.1.1.1 to 10.254.254.254

l class b:172.16.1.1 to 172.31.254.254

l class c:192.168.1.1 to 192.168.254.254

命令描述如下：

任务 命令

定义一个标准访问列表 access-list access-list-number permit source [source-wildcard]

定义一个全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]

建立动态地址翻译 ip nat inside source {list {access-list-number | name} pool name [overload] | static local-ip global-ip}

指定内部和外部端口 ip nat {inside | outside}

路由器的ethernet 0端口为inside端口，即此端口连接内部网络，并且此端口所连接的网络应该被翻译，serial 0端口为outside端口，其拥有合法ip地址（由nic或服务提供商所分配的合法的ip地址）,来自网络10.1.1.0/24的主机将从ip地址池 c2501中选择一个地址作为自己的合法地址，经由serial 0口访问internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload，将允许多个内部地址使用相同的全局地址（一个合法ip地址，它是由nic或服务提供商所分配的地址）。命令 ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围。

设置如下：

ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192

interface ethernet 0

ip address 10.1.1.1 255.255.255.0

ip nat inside

!

interface serial 0

ip address 202.200.10.5 255.255.255.252

ip nat outside

!

ip route 0.0.0.0 0.0.0.0 serial 0

access-list 2 permit 10.0.0.0 0.0.0.255

! dynamic nat

!

ip nat inside source list 2 pool c2501 overload

line console 0

exec-timeout 0 0

!

line vty 0 4

end

三层交换机配置实例及说明

这个不像路由器那个，那个是show run出来的，这个就是自己直接写的了。，使用在汇聚层的三层交换机的配置。

Enable //进入私有模式

Configure terminal //进入全局模式

service password-encryption //对密码进行加密

hostname Catalyst 3550-12T1 //给三层交换机定义名称

enable password 123456. //enable密码

Enable secret 654321 //enable的加密密码（应该是乱码而不是654321这样）

Ip subnet-zero //允许使用全0子网（默认都是打开的）

Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1

Service dhcp //提供DHCP服务

ip routing //启用三层交换机上的路由模块

Exit

Vtp mode server //定义VTP工作模式为sever模式

Vtp domain centervtp //定义VTP域的名称为centervtp

Vlan 2 name vlan2 //定义vlan并给vlan取名（如果不取名的话，vlan2的名字应该是vlan002）

Vlan 3 name vlan3

Vlan 4 name vlan4

Vlan 5 name vlan5

Vlan 6 name vlan6

Vlan 7 name vlan7

Vlan 8 name vlan8

Vlan 9 name vlan9

Exit

interface Port-channel 1 //进入虚拟的以太通道组1

Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1

channel-group 1 mode on //把这个接口放到快速以太通道组1中

Interface gigabitethernet 0/2 //同上

channel-group 1 mode on

port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式（依靠源和目的IP的方式）

interface gigabitethernet 0/3 //进入模块0上的吉比特以太口3< trunk 给trunk封装为802.1Q

< all >

interface gigabitethernet 0/4 //同上<>

interface gigbitethernet 0/5 //同上<>

interface gigbitethernet 0/6 //同上< trunk

interface gigbitethernet 0/7 //进入模块0上的吉比特以太口7

no shutdown

spanning-tree vlan 6-9 cost 1000 //在生成树中，vlan6-9的开销定义为10000

interface range gigabitethernet 0/8 – 10 //进入模块0上的吉比特以太口8,9,10

no shutdown

spanning-tree portfast //在这些接口上使用portfast（使用portfast以后，在生成树的时候不参加运算，直接成为转发状态）

interface gigabitethernet 0/11 //进入模块0上的吉比特以太口11< 给这个接口封装为802.1Q

interface gigabitethernet 0/12 //同上<>

interface vlan 1 //进入vlan1的逻辑接口（不是物理接口，用来给vlan做路由用）

ip address 172.16.1.7 255.255.255.0 //配置IP地址和子网掩码

no shutdown

standby 1 ip 172.16.1.9 //开启了冗余热备份（HSRP），冗余热备份组1，虚拟路由器的IP地址为172.16.1.9

standby 1 priority 110 preempt //定义这个三层交换机在冗余热备份组1中的优先级为110，preempt是用来开启抢占模式

interface vlan 2 //同上

ip address 172.16.2.252 255.255.255.0

no shutdown

standby 2 ip 172.16.2.254

standby 2 priority 110 preempt

ip access-group 101 in //在入方向上使用扩展的访问控制列表101

interface vlan 3 //同上

ip address 172.16.3.252 255.255.255.0

no shutdown

standby 3 ip 172.16.3.254

standby 3 priority 110 preempt

ip access-group 101 in

interface vlan 4 //同上

ip address 172.16.4.252 255.255.255.0

no shutdown

standby 4 ip 172.16.4.254

standby 4 priority 110 preempt

ip access-group 101 in

interface vlan 5

ip address 172.16.5.252 255.255.255.0

no shutdown

standby 5 ip 172.16.5.254

standby 5 priority 110 preempt

ip access-group 101 in

interface vlan 6

ip address 172.16.6.252 255.255.255.0

no shutdown

standby 6 ip 172.16.6.254

standby 6 priority 100 preempt

interface vlan 7

ip address 172.16.7.252 255.255.255.0

no shutdown

standby 7 ip 172.16.7.254

standby 7 priority 100 preempt

interface vlan 8

ip address 172.16.8.252 255.255.255.0

no shutdown

standby 8 ip 172.16.8.254

standby 8 priority 100 preempt

interface vlan 9

ip address 172.16.9.252 255.255.255.0

no shutdown

standby 9 ip 172.16.9.254

standby 9 priority 100 preempt

access-list 101 deny ip any 172.16.7.0 0.0.0.255 //扩展的访问控制列表101

access-list 101 permit ip any any

Interface vlan 1 //进入vlan1这个逻辑接口

Ip helper-address 172.16.8.1 //可以转发广播（helper－address的作用就是把广播转化为单播，然后发向172.16.8.1）

Interface vlan 2

Ip helper-address 172.16.8.1

Interface vlan 3

ip helper-address 172.16.8.1

interface vlan 4

ip helper-address 172.16.8.1

interface vlan 5

ip helper-address 172.16.8.1

interface vlan 6

ip helper-address 172.16.8.1

interface vlan 7

ip helper-address 172.16.8.1

interface vlan 9

ip helper-address 172.16.8.1

router rip //启用路由协议RIP

version 2 //使用的是RIPv2，如果没有这句，则是使用RIPv1

network 172.16.0.0 //宣告直连的网段

exit

ip route 0.0.0.0 0.0.0.0 172.16.9.250 //缺省路由，所有在路由表中没有办法匹配的数据包，都发向下一跳地址为172.16.9.250这个路由器

line con 0

line aux 0

line vty 0 15 //telnet线路（路由器只有5个，是0-4）

password 12345678 //login密码

login

end

copy running-config startup-config 保存配置

『配置环境参数』



1. 交换机E0/1和E0/2属于vlan10



2. 交换机E0/3属于vlan20



3. 交换机E0/4和E0/5属于vlan30



4. 交换机E0/23连接Server1



5. 交换机E0/24连接Server2



6. Server1和Server2分属于vlan40和vlan50



7. PC和Server都在同一网段



8. E0/10连接BAS设备，属于vlan60



『组网需求』



1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访；



2. Vlan10、vlan20和vlan30的PC均可以访问Server 1；



3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2；



4. vlan 10中的2端口的PC可以访问vlan 30的PC；



5. vlan 20的PC可以访问vlan 30的5端口的PC；



6. vlan10的PC访问外网需要将vlan信息送到BAS，而vlan20和vlan30则不需要。



2 数据配置步骤

『端口hybrid属性配置流程』



hybrid 属性是一种混杂模式，实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的 端口之间的互访，这是access和trunk端口所不能实现的。在一台交换机上不允许trunk端口和hybrid端口同时存在。



1. 先创建业务需要的vlan



[SwitchA]vlan 10



[SwitchA]vlan 20



[SwitchA]vlan 30



[SwitchA]vlan 40



[SwitchA]vlan 50



2. 每个端口，都配置为 hybrid状态



[SwitchA]interface Ethernet 0/1



[SwitchA-Ethernet0/1]port link-type hybrid



3. 设置端口的pvid等于该端口所属的vlan



[Switch-Ethernet0/1]port hybrid pvid vlan 10



4. 将希望可以互通的端口的pvid vlan，设置为untagged vlan，这样从该端口发出的广播帧就可以到达本端口



[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged







实际上，这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口，接收端口通过是否将 vlan 设置为 untagged vlan，来控制是否与 pvid vlan 为 该 vlan 的端口互通。



5. 以下各端口类似：



[Switch-Ethernet0/1]int e0/2



[Switch-Ethernet0/2]port link-type hybrid



[Switch-Ethernet0/2]port hybrid pvid vlan 10



[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged







[Switch-Ethernet0/2]int e0/3



[Switch-Ethernet0/3]port link-type hybrid



[Switch-Ethernet0/3]port hybrid pvid vlan 20



[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged



[Switch-Ethernet0/3]int e0/4



[Switch-Ethernet0/4]port link-type hybrid



[Switch-Ethernet0/4]port hybrid pvid vlan 30



[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged







[Switch-Ethernet0/4]int e0/5



[Switch-Ethernet0/5]port link-type hybrid



[Switch-Ethernet0/5]port hybrid pvid vlan 30



[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged







[Switch-Ethernet0/5]int e0/23



[Switch-Ethernet0/23]port link-type hybrid



[Switch-Ethernet0/23]port hybrid pvid vlan 40



[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged







[Switch-Ethernet0/24]int e0/24



[Switch-Ethernet0/24]port link-type hybrid



[Switch-Ethernet0/24]port hybrid pvid vlan 50



[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged







6. 在上行口E0/10上允许vlan10以tagged形式送出，其它为untagged



[SwitchA]interface Ethernet 0/10



[SwitchA-Ethernet0/10]port link-type hybrid



[SwitchA-Ethernet0/10]port hybrid pvid vlan 60



[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged



[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged



本例中需求比较复杂，一般人员很难做到一次性在一个端口上指定哪些vlan允许通过，可以根据需求逐条配置，交换机支持在端口上多次设置。



S系列交换机实现不同VLAN之间互访的配置



一、组网需求：



交换机配置了4个VLAN，分别为VLAN1，VLAN2，VLAN3，VLAN4，要求VLAN1可以与VLAN2，3，4互访，但是VLAN2，3，4之间不能互访，用Hybrid端口属性实现此功能。



二、组网图：



无



三、配置步骤：



1. 创建VLAN2



[Quidway]vlan 2



2. 创建VLAN3



[Quidway-vlan2]vlan 3



3. 创建VLAN4



[Quidway-vlan3]vlan 4



4. 进入端口Ethernet1/0/1



[Quidway-vlan4] interface Ethernet1/0/1



5. 将端口设置为hybrid模式



[Quidway-Ethernet1/0/1]port link-type hybrid



6. 设置端口pvid为1



[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1



7. 允许VLAN1，2，3，4不打标签通过



[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged



8. 进入端口Ethernet1/0/2



[Quidway-Ethernet1/0/1]interface Ethernet1/0/2



9. 将端口设置为hybrid模式



[Quidway-Ethernet1/0/2]port link-type hybrid



10. 设置端口pvid为2



[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2



11. 允许VLAN1，2不打标签通过



[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged



12. 进入端口Ethernet1/0/3



[Quidway-Ethernet1/0/2]interface Ethernet1/0/3



13. 将端口设置为hybrid模式



[Quidway-Ethernet1/0/3]port link-type hybrid



14. 设置端口pvid为3



[Quidway-Ethernet1/0/3]port hybrid pvid vlan 3



15. 允许VLAN1，3不打标签通过



[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged



16. 进入端口Ethernet1/0/4



[Quidway-Ethernet1/0/3]interface Ethernet1/0/4



17. 将端口设置为hybrid模式



[Quidway-Ethernet1/0/4]port link-type hybrid



18. 设置端口pvid为4



[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4



19. 允许VLAN1，4不打标签通过



[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged



四、配置关键点：



1. 利用交换机以太网端口的Hybrid特性，可以实现PVLAN的功能。



2. 采用Hybrid属性实现的PVLAN功能和PVLAN的工作机制存在较大差异，上述情况只适用于网络流量，网络用户较少的应用。

S3000-EI系列交换机实现不同VLAN之间互访的配置



一、组网：



S3026C交换机配置了4个VLAN，分别为VLAN1，VLAN2，VLAN3，VLAN4，要求VLAN1可以与VLAN2，3，4互访，但是VLAN2，3，4之间不能互访，用PVLAN实现此功能。



二、组网图：



无



三、配置步骤：



1. 进入VLAN1



[Switch] vlan 1



2. 设置VLAN1类型为isolate-user-vlan



[Switch-vlan1] isolate-user-vlan enable



3. 创建（进入）进入VLAN2



[Switch-vlan1] vlan 2



4. 将端口E0/2加入VLAN2



[Switch-vlan2] port ethernet0/2



5. 创建（进入）进入VLAN3



[Switch-vlan2] vlan 3



6. 将端口E0/3加入VLAN3



[Switch-vlan3] port ethernet0/3



7. 创建（进入）进入VLAN4



[Switch-vlan3] vlan 4



8. 将端口E0/4加入VLAN4



[Switch-vlan4] port ethernet0/4



9. 退出到系统视图



[Switch-vlan4] quit



10. 配置isolate-user-vlan和Secondary VLAN间的映射关系



[Switch] isolate-user-vlan 1 secondary 2 to 4



四、配置关键点：



1. 目前S系列交换机S2403H、S2026Z-SI 、S2026C-SI与S3000系列都支持PVLAN，此处仅以S3026C为例，其他交换机配置相同；



2. isolate-user-vlan不能和Trunk端口同时配置，即如果交换机上配置了isolate-user-vlan，就不能配置Trunk端口；如果配置了Trunk端口，就不能配置isolate-user-vlan；



isolate-user-vlan简介

isolate -user-vlan是华为公司系列以太网交换机的一个特性，通过该特性可实现网络中VLAN资源的节约。isolate-user-vlan采用二层 VLAN结构，在一台以太网交换机上设置isolate-user-vlan和Secondary VLAN两类VLAN。一个isolate-user-vlan和多个Secondary VLAN对应，isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口，这样对上层交换机来说，只须识别下层交换机中的isolate-user-vlan，而不必关心isolate- user-vlan中包含的Secondary VLAN，简化了网络配置，节省了VLAN资源。同时，用户可以采用isolate-user-vlan实现二层报文的隔离，即为每个用户分配一个 Secondary VLAN，每个Secondary VLAN中只包含该用户连接的端口和上行端口；如果希望实现用户之间二层报文的互通，只要将这些用户连接的端口划入同一个Secondary VLAN中即可。

2.2 isolate-user-vlan配置

isolate-user-vlan配置包括：

l 配置isolate-user-vlan

l 配置Secondary VLAN

l 设置isolate-user-vlan和Secondary VLAN间的映射关系

以上任务都是必选的，一旦启用isolate-user-vlan就必须配置。

2.2.1 配置isolate-user-vlan

可以使用下面的命令为一个以太网交换机创建一个isolate-user-vlan，并且向此isolate-user-vlan中添加端口。

请在系统视图下进行创建VLAN的配置，在VLAN视图下进行设置VLAN类型为isolate-user-vlan及给该VLAN添加端口的配置。

表2-1 配置isolate-user-vlan

*作 命令

创建VLAN vlan vlan-id

设置VLAN类型为isolate-user-vlan isolate-user-vlan enable

取消VLAN为isolate-user-vlan的设置 undo isolate-user-vlan enable

向isolate-user-vlan中添加端口 port interface-list



一 台以太网交换机可以有多个isolate-user-vlan，可以为每个isolate-user-vlan指定多个端口。isolate-user- vlan不能和Trunk端口同时配置，即如果以太网交换机上配置了isolate-user-vlan，就不能配置Trunk端口；如果配置了 Trunk端口，就不能配置isolate-user-vlan。此外，上行端口必须添加到了isolate-user-vlan中。

2.2.2 配置Secondary VLAN

可以使用下面的命令来创建Secondary VLAN，并为Secondary VLAN指定端口。

请在系统视图下进行下列配置。

表2-2 配置Secondary VLAN

*作 命令

创建Secondary VLAN vlan vlan-id

向Secondary VLAN中添加端口 port interface-list



可以向每一个Secondary VLAN中添加多个端口（非上行端口）。

2.2.3 配置isolate-user-vlan和Secondary VLAN间的映射关系

可以使用下面的命令来建立isolate-user-vlan和Secondary VLAN之间的映射关系。

请在系统视图下进行下列配置。

表2-3 配置isolate-user-vlan和Secondary VLAN间的映射关系

*作 命令

配 置isolate-user-vlan和Secondary VLAN间的映射关系 isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]

取消配置isolate-user-vlan和Secondary VLAN间的映射关系 undo isolate-user-vlan isolate-user-vlan_num [secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]



需要注意的是，执行该命令前，isolate-user-vlan和Secondary VLAN中都必须已经包含了端口。最多可以向一个isolate-user-vlan中映射30个Secondary VLAN。

建立映射关系后，向isolate-user-vlan和Secondary VLAN中添加和删除端口以及删除VLAN的*作被系统禁止。只有在解除了映射关系后才可以执行。

undo isolate-user-vlan命令如果不带参数secondary secondary_vlan_numlist的话，就解除所有Secondary VLAN和指定isolate-user-vlan的映射关系；如果带有该参数的话就解除参数指定的Secondary VLAN和指定isolate-user-vlan的映射关系。

2.3 isolate-user-vlan显示和调试

在完成上述配置后，在所有视图?葱衐isplay命令可以显示配置后isolate-user-vlan的运行情况，通过查看显示信息验证配置的效果。

表2-4 isolate-user-vlan的显示与调试

*作 命令

显示isolate-user-vlan和Secondary VLAN的映射关系 display isolate-user-vlan [isolate-user-vlan_num | secondary_vlan_numlist ]

显示VLAN信息 display vlan [ vlan-id ]



2.4 isolate-user-vlan典型配置举例

1. 组网需求

Switch A太网交换机下接Switch B、Switch C以太网交换机。Switch B上的VLAN5为isolate-user-vlan，包含上行端口Ethernet 1/1和两个Secondary VLAN：VLAN2和VLAN3，VLAN3包含端口Ethernet 0/1，VLAN2包含端口Ethernet 0/2；Switch C上的VLAN6为isolate-user-vlan，包含上行端口Ethernet 1/1和两个Secondary VLAN：VLAN3和VLAN4，VLAN3包含端口Ethernet 0/3，VLAN4包含端口Ethernet 0/4。从Switch A 看，下接的Switch B、Switch C都只有一个VLAN：VLAN 5 和VLAN 6。

2. 组网图



图2-1 isolate-user-vlan配置组网图

3. 配置步骤

下面只列出Switch B和Switch C的配置过程。

配置Switch B：

# 配置isolate-user-vlan。

[Quidway] vlan 5

[Quidway-vlan5] isolate-user-vlan enable

[Quidway-vlan5] port ethernet 1/1

# 配置Secondary VLAN。

[Quidway-vlan5] vlan 3

[Quidway-vlan3] port ethernet 0/1

[Quidway-vlan3] quit

[Quidway] vlan 2

[Quidway-vlan2] port ethernet 0/2

[Quidway-vlan2] quit

# 配置isolate-user-vlan和Secondary VLAN间的映射关系。

[Quidway] isolate-user-vlan 5 secondary 2 to 3

配置Switch C：

# 配置isolate-user-vlan。

[Quidway] vlan 6

[Quidway-vlan6] isolate-user-vlan enable

[Quidway-vlan6] port ethernet 1/1

# 配置Secondary VLAN。

[Quidway] vlan 3

[Quidway-vlan3] port ethernet 0/3

[Quidway-vlan3] quit

[Quidway] vlan 4

[Quidway-vlan4] port ethernet 0/4

[Quidway-vlan4] quit

# 配置isolate-user-vlan和Secondary VLAN间的映射关系。

[Quidway] isolate-user-vlan 6 secondary 3 to 4

第一步，在作为服务器的微机上安装两块网卡，联接到ISP的网卡取名"外网卡"，联接到局域网的网卡取名"内网卡"；

　　第二步，在"外网卡"上配置IP地址和子网掩码（由ISP提供），如IP是10.32.101.11,子网掩码是255.255.255.0(表示局域网规模小于256台);其它都按ISP的要求设置。注意：下面的操作是关键：

　　1、在Windows 2000操作系统中，双击"外网卡"连接属性，选"共享"标签，选中"启用此连接的Internet连接共享"项。

　　2、在Ｗindows 98操作系统中，点设置，控制面板，双击Internet选项，点"连接"标签，单击"局域网设置"下的"共享"选项，选中"启用此连接的Internet连接共享"项。

　　第三步，"内网卡"IP地址设为：192.168.0.1。

　　第四步，局域网中其它客户机网卡静态设置为192.168.0.2到192.168.0.253之间的任何IP地址，网关、DNS均设为192.168.0.1（即服务器"内网卡"的IP地址），照此设置，即可共享一条线路连上Internet，很简单吧。

问:本公司计算机数量不多，大概有50台左右，总共分两个部门。一个是培训部一个是工程部。网络结构要求这两个部门的计算机分属于不同的子网，这样在管理和安全方面都有所保障，然而两个子网之间又要求能够互连，也就是说在工程部的计算机可以访问到培训部，相应的培训部门的计算机也可以访问到工程部中的网络设备。由于公司经费有限没有购买路由器或三层交换机，有没有办法能够实现这个要求呢？马上就要实施了！急！谢谢了！

　　答:这个现象比较普遍，特别是在有机房的公司中，机房主要用于培训使用，这样为了提高安全机房中计算机设置的IP地址所在子网和办公室中的IP地址子网不同。然而实际中又希望机房和办公室可以互连，这种现象和上面网友提出的问题是一样的。

　　如何解决这个问题呢？首先要介绍下使用路由器或三层交换机实现该要求的方法，如果公司有经费的话可以购买一台路由交换设备，这样为这个设备两个以太网端口设置不同的IP地址，例如192.168.1.254和10.91.30.254。然后将10.91.30.0网段的计算机接入 10.91.30.254接口，将192.168.1.0网段计算机连接到192.168.1.254接口上。由于默认情况下路由器和三层交换机都具备端口和网络识别的功能，所以不需要配置任何路由两个接口就可以互相PING通了，访问起共享资源来也没有一丝问题。

　　当然如果公司没有费用购买路由交换设备的话，正如上面网友所问的一样，如何解决呢？其实可以使用计算机自行建立路由的方法，也就是说找到一台配置中等的计算机，安装两个网卡并添加路由及远程拨号访问组件，接着配置路由及远程拨号访问，让这台计算机起到路由功能，充当路由器的角色。一个网卡接一个网段，从而实现了网友的要求。下面就请跟随笔者一起一步步的设置路由及远程拨号访问。实际环境中笔者是在windows server 2003下配置该服务，当然windows 2000 server中的配置方法也是类似的。

　　环境描述：公司要求两个网络，一个是10.91.30.*，一个是192.168.0.*，要求让这两个网络互连，使用一台计算机充当路由器角色。

　　第一步：找到两块网卡和一台计算机，然后接在其PCI插槽中。安装windows 2003操作系统，网卡的驱动程序会自动安装。安装完毕后会在“网上邻居—>属性—>本地连接”看到出现了“本地连接”和“本地连接2”，表明网卡安装及工作正常。（如图1）

图1 点击看大图

　　第二步：双击“本地连接”图标，然后点“属性”按钮。在常规标签中双击internet协议（TCP/IP），设置本地连接1对应的IP地址等信息。其中IP地址设置为192.168.0.1，子网掩码为255.255.255.0，默认网关空着不填，DNS服务器也是192.168.0.1。（如图 2）

图2

　　第三步：接着配置“本地连接2”的属性，双击“本地连接2”图标，然后点“属性”按钮。在常规标签中双击internet协议（TCP/IP），设置本地连接2对应的IP地址等信息。其中IP地址设置为10.91.30.45，子网掩码为255.255.255.0，网关仍然空着不填。DNS地址也为 10.91.30.45。

　　小提示：由于笔者所在公司10.91.30.*网段的10.91.30.1和10.91.30.254 是另外两台提供数据库服务的服务器，所以这台路由服务器网卡2只能设置IP地址为10.91.30.45了。当然对于大多数情况来说如果要互连两个网段最好还是使用10.91.30.1以及10.91.30.254这样的形式。

　　第四步：然后我们查询配置是否正确，通过任务栏的“开始->运行->输入CMD”，进入命令行模式，然后输入ipconfig。你会看到刚才配置的所有信息，包括网卡1和网卡2的网络参数。（如图3）

图3 点击看大图

　　第五步：这时将连接192.168.0.*的网线接到网卡1上，将连接10.91.30.*的网线接到网卡2上，我们通过ping这两个网段计算机的 IP来查询连接情况，如果在充当路由器那台计算机上ping两个网段的计算机都通的话就表明线路连接没有问题，我们可以继续下面的操作了。（如图4）

图4 点击看大图

　　第六步：在windows2003中通过任务栏的“开始->运行->管理工具->路由和远程访问”来进一步配置。（如图5）

图5 点击看大图

　　第七步：可能你会发现路由和远程访问中“本地”计算机的图标是红色的，也就是说没有启用或者配置。（如图6）这是因为服务在捣鬼，我们通过“开始- >运行->输入services.msc”进入服务设置窗口，你会发现原来routing and remote access服务被禁用了。（如图7）将其设置为自动启动后就能解决上面的问题。（如图9）

图6 点击看大图

图7

图8

　　第八步：再次来到“路由和远程访问”设置窗口，在“softer本地”上点鼠标右键，选择“配置并启用路由和远程访问”。开始设置路由和远程访问。（如图9）

图9 点击看大图

　　第九步：首先出现欢迎使用路由和远程访问服务器安装向导。我们点“下一步”继续。（如图10）

图10

　　第十步：在配置窗口中我们选择“两个专用网络之间的安全连接”。然后点“下一步”继续。（如图11）

图11

　　第十一步：系统将自动启用路由和远程访问服务。（如图12）

图12

　　第十二步：启用而我们就可以在192.168.0.*网络中的计算机ping通10.91.30.*网络中的计算机了，访问共享资源也没有任何问题。（如图13）

图13 点击看大图

　　小提示：实际上当互连两个网络时可以不在路由和远程访问服务中启用动态路由发现协议，因为组件会自动找到直连的两个网络。当互连网络多或者网络跳跃点比较多的时候就需要在路由和远程访问中启用相应的动态路由协议了，例如rip等。

　　当然我们在路由和远程访问服务器安装向导出现配置窗口时不选择“两个专用网络之间的安全连接”也是可以的，例如选择“自定义配置”。（如图14）然而勾选LAN路由即可。（如图15）这个方法和上面提到的方法效果是一样的，两个网络互访都是没有问题的。另外在设置网卡网络参数时可以将网关地址设置为自己，同样不影响使用。例如本地连接处的默认网关也填写192.168.0.1。

图14

图15

总结：

　　路由和远程拨号访问使用的范围还是相当广泛的，可以互连两个网段或者三个网段，可以启用NAT功能保护内网计算机的安全，也可以设置VPN保证企业多子部门安全连接。感兴趣的读者可以自行研究，我们IT168服务器频道也会做相关的后续报道。

华为6500系列作为企业级核心交换机使用在项目实施中还是经常会遇到的，此次借前阶段一项目中配置华为-3Com 6506核心交换机，向大家共享一下该配置，并配备注释文字。为了避免产生侵权问题，配置中隐去了该客户设备的真实名称。

简单描述一下环境：

局域网环境，很简单，采用Core-Access结构，核心设备6506与另一台3500系列核心交换机配置成为VRRP热冗余组，提供核心交换功能。底下接入交换机采用3000系列快速以太网交换机以Trunk方式上联核心交换机，提供链路冗余及生成树功能。使用Vlan划分功能子网，提供三层路由。 AAA认证及访问控制在该配置文件中暂时没有进行过多设置。

个人能力有限，如果注释中有不清楚或错误的地方，望指正，谢谢。

dis cur

#

sysname HuaweiOfLeonhart {不便透露用户设备名称}

#

super password level 3 simple huawei {配置切换低级别用户到高级别用户的密码}

#

radius scheme system {指定当前ISP域引用的RADIUS服务器组。此处RADIUS服务器组名为“system”}

server-type huawei {配置指定用户的服务类型}

primary authentication 127.0.0.1 1645 {配置主RADIUS认证/授权的IP地址和端口号,目前环境没有AAA服务器}

primary accounting 127.0.0.1 1646 {配置主RADIUS计费服务器的IP地址和端口号}

user-name-format without-domain {配置发送给RADIUS服务器的用户名格式。指定发送给RADIUS服务器的用户名不带域名}

domain system {创建一个ISP域，缺省情况下，系统中已创建了一个名为“system”的ISP域。ISP域即ISP用户群，一个ISP域即是由同属于一个 ISP的用户构成的用户群。引入ISP域的设置是为了支持多ISP的应用环境：在这种环境中，同一个接入设备接入的有可能是不同ISP的用户。由于各 ISP用户的用户属性（例如用户名及密码构成、服务类型/权限等）有可能各不相同，因此有必要通过设置ISP域的方法把它们区别开。在ISP域视图下，可以为每个ISP域配置包括AAA策略（使用的RADIUS服务器组等）在内的一整套单独的ISP域属性。对于交换机来说，每个接入用户都属于一个ISP 域。系统中最多可以配置16个ISP域。}

radius-scheme system

access-limit disable {表示不对当前ISP域可容纳的接入用户数作限制}

state active {指定当前ISP域/当前用户处于活动状态，即系统允许该域下的用户/当前用户请求网络服务}

idle-cut disable {配置当前ISP域下的用户模板,表示禁止用户启用闲置切断功能}

self-service-url disable

messenger time disable

domain default enable system

#

local-server nas-ip 127.0.0.1 key huawei {配置本机RADIUS服务器的相关参数，nas-ip用来配置接入服务器的IP地址，key用来配置登录用户的密码}

#

temperature-limit 0 20 80

temperature-limit 1 10 80

temperature-limit 3 10 80

#

monitor slot 1 disable

monitor slot 3 disable

#

link-aggregation group 1 mode manual {将一组端口配置为汇聚端口，配置后系统会自动为这组聚合端口分配一个组号。mode用来创建手工或静态聚合组，目前环境为manual：手工聚合组}

#

vrrp ping-enable {配置备份组的虚拟IP地址可以被ping通，开启该命令后便于调试确认客户机与虚拟网关的连通性,个人强烈建议开启该功能}

#

stp instance 0 root primary {配置生成树实例并将此核心交换机设为生成树根}

stp TC-protection enable

stp enable

#

vlan 1 {创建vlan}

#

vlan 13

#

vlan 14

#

vlan 15

#

vlan 16

#

vlan 17

#

vlan 18

#

vlan 19

#

vlan 20

#

vlan 21

#

vlan 30

#

interface Vlan-interface13 {配置vlan逻辑接口}

ip address 192.168.13.240 255.255.255.0 {配置vlan实际IP地址}

vrrp vrid 13 virtual-ip 192.168.13.254 {配置vrrp虚拟IP地址}

vrrp vrid 13 priority 110 {配置vrrp优先级，优先级高的成为Active设备}

#

interface Vlan-interface14

ip address 192.168.14.253 255.255.255.0

vrrp vrid 14 virtual-ip 192.168.14.254

vrrp vrid 14 priority 110

#

interface Vlan-interface15

ip address 192.168.15.253 255.255.255.0

vrrp vrid 15 virtual-ip 192.168.15.254

vrrp vrid 15 priority 110

#

interface Vlan-interface16

ip address 192.168.16.253 255.255.255.0

vrrp vrid 16 virtual-ip 192.168.16.254

vrrp vrid 16 priority 110

#

interface Vlan-interface17

ip address 192.168.17.253 255.255.255.0

vrrp vrid 17 virtual-ip 192.168.17.254

vrrp vrid 17 priority 110

#

interface Vlan-interface18

ip address 192.168.18.253 255.255.255.0

vrrp vrid 18 virtual-ip 192.168.18.254

vrrp vrid 18 priority 110

#

interface Vlan-interface19

ip address 192.168.19.253 255.255.255.0

vrrp vrid 19 virtual-ip 192.168.19.254

vrrp vrid 19 priority 110

#

interface Vlan-interface20

ip address 192.168.20.253 255.255.255.0

vrrp vrid 20 virtual-ip 192.168.20.254

vrrp vrid 20 priority 110

#

interface Vlan-interface21

ip address 192.168.21.253 255.255.255.0

vrrp vrid 21 virtual-ip 192.168.21.254

vrrp vrid 21 priority 110

#

interface Vlan-interface30

ip address 192.168.30.253 255.255.255.0

vrrp vrid 30 virtual-ip 192.168.30.254

vrrp vrid 30 priority 110

#

interface Aux0/0/0

#

interface M-Ethernet0/0/0

#

interface GigabitEthernet1/0/1 {千兆快速以太端口}

#

interface GigabitEthernet1/0/2

#

interface GigabitEthernet1/0/3

#

interface GigabitEthernet1/0/4

#

interface GigabitEthernet1/0/5

#

interface GigabitEthernet1/0/6

#

interface GigabitEthernet1/0/7

#

interface GigabitEthernet1/0/8

#

interface GigabitEthernet3/0/1

port access vlan 20 {配置端口从属的vlan}

#

interface GigabitEthernet3/0/2

port access vlan 13

#

interface GigabitEthernet3/0/3

port access vlan 13

#

interface GigabitEthernet3/0/4

port access vlan 13

#

interface GigabitEthernet3/0/5

port access vlan 13

#

interface GigabitEthernet3/0/6

port access vlan 13

#

interface GigabitEthernet3/0/7

port access vlan 13

#

interface GigabitEthernet3/0/8

port access vlan 13

#

interface GigabitEthernet3/0/9

port access vlan 13

#

interface GigabitEthernet3/0/10

port access vlan 13

#

interface GigabitEthernet3/0/11

port link-type trunk {配置以太网端口的链路类型，由于此处该端口为二级接入交换机的上联端口，开启为Trunk端口}

port trunk permit vlan all {将Trunk端口加入到指定的VLAN，此处为允许所有vlan通过Trunk干道}

#

interface GigabitEthernet3/0/12

port link-type trunk

port trunk permit vlan all

#

interface GigabitEthernet3/0/13

port link-type trunk

port trunk permit vlan all

#

interface GigabitEthernet3/0/14

port link-type trunk

port trunk permit vlan all

#

interface GigabitEthernet3/0/15

port link-type trunk

port trunk permit vlan all

#

interface GigabitEthernet3/0/16

port link-type trunk

port trunk permit vlan all

#

interface GigabitEthernet3/0/17

#

interface GigabitEthernet3/0/18

#

interface GigabitEthernet3/0/19

duplex full {配置端口为全双工}

speed 100 {手工配置该端口为百兆速率}

port link-type trunk

port trunk permit vlan all

port link-aggregation group 1 {将以太网端口加入手工或静态汇聚组，此处根据前面的配置加入手工聚合组1}

#

interface GigabitEthernet3/0/20

duplex full

speed 100

port link-type trunk

port trunk permit vlan all

port link-aggregation group 1

#

interface NULL0

#

user-interface aux 0 {配置Console用户登录}

set authentication password simple huawei {配置本地验证的口令，可以以明文simple方式，或是密文方式cipher}

user-interface vty 0 4 {配置VTY用户登录}

set authentication password simple huawei {从AUX用户界面登录后可以访问的命令级别为3级，从VTY用户界面登录后可以访问的命令级别为0级}