首页
统计
留言
友链
Search
1
关于人生的七个辩题
102 阅读
2
I am no hero-Underwater Cities
63 阅读
3
H3C华为路由器-内网主机通过公网地址访问内部服务器配置
61 阅读
4
With an Orchid
55 阅读
5
H3C ComwareV7 OSPF 错误统计数据
44 阅读
清风解语
什袭而藏
岁月留声
问天呵壁
学海无涯
桃花映红
登录
Search
标签搜索
散文随笔
励志
无线网络
杂谈
后摇
交换机
资料收集
专辑
华为
WLAN
电声音乐
钢琴曲
流行
VLAN
漫画
心灵鸡汤
信息安全
SDN
网络管理
VM
cyrus
累计撰写
91
篇文章
累计收到
0
条评论
首页
栏目
清风解语
什袭而藏
岁月留声
问天呵壁
学海无涯
桃花映红
页面
统计
留言
友链
搜索到
3
篇与
的结果
2014-06-09
交换机维护秘籍-端口隔离
话说张飞接到诸葛神人下达的保障中军大营信息安全的军令后,不禁大为挠头。幸得姜维提醒,才想起诸葛神人留的第二个锦囊。两人打开锦囊,定睛观看,只见锦帛上书:两军对垒,信息至上,保障安全,唯有隔离。张飞瞪着虎目环眼,一脸茫然:“维维老弟,丞相的锦囊暗藏什么玄机,你造不?”姜维呵呵一笑:“飞飞不要捉急,且听我慢慢道来。下图是我军的大营分布图。飞飞你看,我军的中军大营、士兵大营和辎重大营同属于一个VLAN且位于相同网段。默认情况下,三个大营可以互相访问。现在,丞相要求咱们在不改变我军网段规划和VLAN规划的情况下,实现:1) 中军大营和士兵大营不能互相访问; 2) 中军大营可以访问辎重大营,但辎重大营不能访问中军大营,且辎重大营和士兵大营始终可以互相访问。那么,该如何实现呢?这就需要咱们祭出端口隔离这个大招啦。此招一出,威力无穷,必然能够完成丞相军令,到时候丞相肯定夸你是个爱学习、肯动脑的好孩子,哈哈哈哈!”姜维调侃完张飞后,开心得哈哈大笑。张飞假装愠怒:“维维老弟,别臭美了,你快告诉我怎么配置端口隔离吧!” “好,长话短说。说到端口隔离,就要引入端口隔离组的概念,交换机的端口可以加入到特定的端口隔离组中,同一端口隔离组的端口之间互相隔离,不同端口隔离组的端口之间不隔离。因此,要完成丞相的军令,配置思路其实非常简单。如下图所示,在交换机上将端口GE0/0/1和GE0/0/2加入同一个端口隔离组,GE0/0/3不加入端口隔离组或者加入另一个端口隔离组就OK了。 配置步骤如下:<Huawei> system-view [Huawei] sysname Switch [Switch] interface gigabitEthernet 0/0/1 [Switch-GigabitEthernet0/0/1] port link-type access [Switch-GigabitEthernet0/0/1] port default vlan 10 [Switch-GigabitEthernet0/0/1] port-isolate enable group 5 //端口GE0/0/1加入到端口隔离组5 [Switch-GigabitEthernet0/0/1] quit [Switch] interface gigabitEthernet 0/0/2 [Switch-GigabitEthernet0/0/2] port link-type access [Switch-GigabitEthernet0/0/2] port default vlan 10 [Switch-GigabitEthernet0/0/2] port-isolate enable group 5 //端口GE0/0/2加入到端口隔离组5 [Switch-GigabitEthernet0/0/2] quit [Switch] interface gigabitEthernet 0/0/3 [Switch-GigabitEthernet0/0/3] port link-type access [Switch-GigabitEthernet0/0/3] port default vlan 10 //端口GE0/0/3不加入端口隔离组 [Switch-GigabitEthernet0/0/3] quit 完成配置后,端口GE0/0/1和GE0/0/2就加入同一个端口隔离组,端口GE0/0/3不加入任何端口隔离组。这样,中军大营和士兵大营就不能互相访问了,但中军大营和辎重大营、士兵大营和辎重大营仍然可以互相访问。”江湖小贴士:如何查看端口隔离组的配置信息呢?执行命令display port-isolate group { group-id| all }命令就可以查看端口隔离组的配置信息啦。 张飞闻言大喜,不过他心中还压着一个小包袱:“维维老弟,丞相还要咱们实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营。这个问题也能用端口隔离解决吗?”姜维微微一笑,淡定地说:“端口隔离既然是大招,当然不仅仅只有端口隔离组这件杀器喽,它的武器库里还要另外一件杀器——单向隔离,正好解决你提的这个问题。”张飞有点不相信,怀疑地说:“神马是单向隔离?有这么神奇吗?”姜维笑着说:“单向隔离,顾名思义,只在单个方向上进行信息隔离。举个栗子,在接口A上配置它与接口B之间单向隔离,则从接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。就拿你提的这个问题来说吧,要实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营,就可以使用单向隔离功能。如下图所示,在端口GE0/0/3上配置单向隔离功能,并指定隔离的端口是GE0/0/1,这样,GE0/0/3上发出的报文不能到达GE0/0/1,而GE0/0/1发出的报文可以到达GE0/0/3,从而实现中军大营可以访问辎重大营,但辎重大营不能访问中军大营。配置步骤如下:[Switch] interface GigabitEthernet 0/0/3 [Switch-GigabitEthernet0/0/3] am isolate gigabitethernet 0/0/1 //在GE0/0/3上配置端口隔离功能,并指定隔离的端口是GE0/0/1 [Switch-GigabitEthernet0/0/3] quit配置单向隔离大功告成,看,就是这么简单!”张飞按照诸葛神人的锦囊,轻轻松松地在交换机上配置了端口隔离功能,经过验证,中军大营果然不能与士兵大营互相访问,且辎重大营不能访问中军大营。 第二天,张飞美滋滋地等着诸葛神人的表扬,不料,诸葛神人却告诉张飞:“飞飞,端口GE0/0/1与端口GE0/0/2现在是二层隔离,虽然ARP啥的无法透传过来,但是通过VLAN内Proxy ARP功能,中军大营与士兵大营仍然能够借助自己的网关实现三层互访,这就是所谓的二层隔离但是三层不隔离。”张飞有点小郁闷:“丞相,管它二层隔离三层隔离,只要能实现信息隔离不就行了?反正我现在看不出来二层隔离和三层隔离有啥区别。”诸葛神人不慌不忙地摇着鹅毛扇:“事实胜于雄辩。我们做个小实验,你就完全明白了。实验过程如下:步骤1如下图所示,取中军大营的主机PC1和士兵大营中的主机PC2,在PC1和PC2加入同一个端口隔离组条件下,用PC1和PC2互相Ping对方,结果两者无法互相Ping通,说明端口隔离功能起了作用。 在PC1 Ping PC2的过程中,在交换机上抓取经过GE0/0/1和GE0/0/2的报文。l GE0/0/1的抓包信息如图所示:抓包信息显示,PC1发送了ARP请求报文(绿线框围住的Protocol为ARP的报文)后,并没有收到来自PC2的ARP应答报文。 l GE0/0/2的抓包信息如图所示:抓包信息显示, PC2并没有收到来自PC1的ARP请求报文。 结论 综合GE0/0/1和GE0/0/2的抓包信息,说明了PC1发送的ARP请求报文无法通过交换机透传到PC2上,这样,PC1和PC2之间就无法完成ARP学习过程,两者之间也就无法实现相互访问。 步骤2 PC1和PC2上配置的网关是VLANIF10的IP地址:10.10.10.250/24,我们在VLANIF10上使能VLAN内Proxy ARP功能。步骤如下:[Switch] interface vlanif 10 [Switch-Vlanif10] ip address 10.10.10.250 24 [Switch-Vlanif10] arp-proxy inner-sub-vlan-proxy enable //在VLANIF10上使能VLAN内Proxy ARP功能 [Switch-Vlanif10] quit 然后用PC1和PC2互相Ping对方,结果两者可以互相Ping通,这说明端口隔离功能失效了。这是怎么回事呢?让我们来抓包分析一下。l GE0/0/1的抓包信息如图所示: 首先,PC1发送ARP请求报文,寻找PC2的MAC地址(如黄线标注)。其次,VLANIF10作为ARP代理,代替PC2发送ARP应答报文(如蓝线标注。注意:4c1f-cc6b-263c是VLANIF10的MAC地址)。然后,PC1收到来自VLANIF10的ARP应答报文后,把ARP表项中PC2的MAC地址修改为VLANIF10的MAC地址,如下图所示。最后,PC1发送到PC2的Ping Request报文(如绿线标注)。下图是Ping Request报文信息, Ping Request报文的目的MAC地址是VLANIF10的MAC地址(如黄线标注),可见,Ping Request报文会首先发送到VLANIF10上。 江湖小贴士:如何查看VLANIF10的MAC地址呢?在交换机上执行display arp all命令就可以查看VLANIF10的ARP表项,ARP表项中包含VLANIF10的MAC地址。如下图所示。 l GE0/0/2的抓包信息如图所示:首先,VLANIF10发送ARP请求报文,寻找PC2的MAC地址(如黄线标注)。其次,VLANIF10收到来自PC2的ARP应答报文,获取了PC2的MAC地址(如蓝线标注)。最后,VLANIF10将收到的来自PC1的ARP Request报文转发到PC2(如绿线所示)。结论 综合GE0/0/1和GE0/0/2的抓包信息可以看出, PC1发送的Ping Request报文会发送到VLANIF10进行三层转发,而不是进行二层转发。PC2回应PC1的Ping Reply报文也同样进行三层转发,本帖不再赘述。 张飞嚷道:“哇,PC1和PC2之间果然能够通过三层进行通信。那么,丞相,如何实现PC1和PC2二三层都隔离呢?”诸葛神人微微一笑:“很简单,只需要在系统视图下执行port-isolate mode all命令即可实现二三层都隔离。让我们再次实验一下。实验步骤如下:步骤1 在接口VLANIF10下保留VLAN内Proxy ARP功能的配置的同时,在系统视图下执行port-isolate mode all命令。[Switch] port-isolate mode all //指定端口隔离模式为二层三层都隔离步骤2 用PC1和PC2互相Ping对方,结果两者不能互相Ping通。抓包分析一下PC1和PC2无法互相Ping通的原因。l GE0/0/1的抓包信息如图所示:抓包信息显示,PC1发送ARP请求报文,收到来自接口VLANIF10的ARP应答报文。PC1发送Ping Request报文到VLANIF10进行三层转发。 l GE0/0/2的抓包信息如图所示:抓包信息显示,VLANIF10没有发送ARP请求报文寻找PC2的MAC地址,也没有把PC1发送的ARP Request报文转发到PC2。 结论 VLANIF10并没有转发来自PC1的ARP Request报文,这样,PC1和PC2之间也就无法实现三层互访了。 飞飞你看,只是增加了一个小小的配置,端口隔离功能就又王者归来了!”张飞信服地点了点头,赞叹道:“不愧是丞相呀,果然神机妙算!不过丞相,你看现在我们在交换机上配置了这么多端口隔离的命令,万一日后我们不需要端口隔离功能了,一条一条删除这些命令多麻烦呀!”诸葛神人夸奖张飞:“谁说飞飞有勇无谋?这个想法就很动脑子。其实,在系统视图下执行clear configuration port-isolate命令就可以一键式清除设备上所有的端口隔离配置,包括端口隔离组、端口单向隔离和隔离模式相关配置。不过,飞飞,由于执行clear configuration port-isolate命令一键式清除的命令数量比较多,可能会影响其他业务,在使用时一定要谨慎哦!”张飞哈哈大笑,说:“丞相,你放心吧,你不知道俺是粗中有细吗?哈哈!”诸葛神人笑着说:“飞飞进步越来越大了。不过最近我军又购置了一批华为交换机,这批交换机型号、传输能力都各有不同,而这些交换机需要分布在各个营寨,与之前购买的那台交换机直接相连。现在我们想要相连交换机的接口之间的参数一致,从而保证数据能够正常传输,我们该怎么配置,飞飞你造吗?” 正在张飞丈二和尚摸不着头脑的时候,不知姜维什么时候从后面走了过来,拍了拍张飞的肩膀:“飞飞,你忘了丞相还有第三个锦囊妙计?”张飞大笑,“速取第三个锦囊。” 欲知后事如何,请听下回分解。
2014年06月09日
28 阅读
0 评论
0 点赞
2014-06-09
交换机维护秘籍-忘记密码
交换机的缺省密码都是什么呢???忘记密码了肿么办???知识点1:哪些方式可以登录交换机呢?小伙伴们可以通过Console口、Telnet或者Web等最常用的方式登录交换机。知识点2:那如何连接交换机的Console口呢?知识点3:登录交换机时又有哪些验证方式呢?ØAAA验证方式:使用用户名+密码方式登录。ØPassword验证方式:只使用密码登录。ØNone验证方式:不需要用户名也不需要密码登录。 疑惑1:交换机的缺省密码都是什么呢?登录交换机时小伙伴们可要擦亮眼睛看下当前交换机是哪个版本,用什么方式登录。版本不一样或者登录方式不一样缺省密码可能是有差别滴。要是小伙伴们用Console口或者Telnet方式登录交换机可是没有缺省密码值的哦。 版本 缺省用户名 缺省密码 缺省级别(级) Console口/telnet登录(框式&盒式) V1R3C00V1R5C01V1R6C00 - V1R6C05V2R2C00 - V2R6C00 无 无 无 web登录(框式&盒式) V1R3C00 admin admin 0 V1R5C01 admin admin 0 V1R6C00 admin admin 0 V1R6C05 admin admin@huawei.com 0 V2R1C00 admin admin 0 V2R2C00 admin admin 0 V2R3C00 - V2R6C00 admin admin@huawei.com 0 BootROM登录(框式&盒式) V1R3C00 无 9300 无 V1R5C01 无 huawei 无 V1R6C00 无 框式:9300盒式:huawei 无 V1R6C05 无 Admin@huawei.com 无 V2R1C00 - V2R6C00 无 Admin@huawei.com 无 Ø如果小伙伴们没有更改交换机的缺省密码,密码忘记了瞅瞅上面的表格就轻松解决啦~疑惑2:忘记密码了肿么办?Ø如果小伙伴们没有更改交换机的缺省密码,密码忘记了瞅瞅上面的表格就轻松解决啦~Ø如果小伙伴们更改了缺省密码,还有就是木有缺省密码情况下,可以通过恢复密码的方式来解决,不过要注意不同登录方式下恢复密码的方法是不一样的哦,请允许小编我细细道来~~~~~~不同交换机的操作界面可能不同哦。1.恢复Console口登录密码方法一:通过Telnet登录交换机修改Console口密码。如果小伙伴们拥有Telnet账号,并且具有管理员权限,则可以通过Telnet登录到交换机后修改Console口密码,然后保存配置。步骤1:用Telnet账号登录交换机。步骤2:修改Console用户的密码。以修改为password认证,密码为“Huawei@123”为例。<HUAWEI> system-view [HUAWEI] user-interface console 0 [HUAWEI-ui-console0] authentication-mode password [HUAWEI-ui-console0] set authentication password cipher Huawei@123 [HUAWEI-ui-console0] return步骤3:用save命令保存配置,防止重启后配置丢失。方法二:通过 BootROM清除Console口密码登录后,修改Console口密码。////要是交换机是双主控,小伙伴们就需要在重启交换机之前将备主控板拔下,待按照下面的操作执行完后,将备主控板插上,再执行save操作保证主用主控板和备用主控板配置一致。////交换机的BootROM提供了清除Console口密码的功能,可以在用户使用Console口登录的时候跳过密码检查。交换机启动后修改Console口密码,然后保存配置。步骤1:通过Console口连接交换机,然后重启交换机。当出现“Press Ctrl+B to enter Boot Menu...”打印信息时,按下组合键“Ctrl+B”并输入BootROM密码(缺省为“Admin@huawei.com”),进入BootROM主菜单。步骤2:在BootROM主菜单下选择“Clear password for console user”清除Console口登录密码。步骤3:根据交换机的提示,在BootROM主菜单下选择“Boot with default mode”启动设备。 ////不可以凭自己的想象选择"Reboot"哦,否则此次清除密码将失效。步骤4:完成系统启动后,通过Console口登录时不需要认证,登录后配置Console口密码,以修改为password认证,并修改密码为“Huawei@123”为例。<HUAWEI> system-view [HUAWEI] user-interface console 0 [HUAWEI-ui-console0] authentication-mode password [HUAWEI-ui-console0] set authentication password cipher Huawei@123 [HUAWEI-ui-console0] return步骤5:用save命令保存配置,防止重启后配置丢失。2.恢复Telnet登录密码telnet登录密码丢失,可以通过其他方式(例如Console口)登录交换机后重新进行配置。步骤1:通过其他方式(例如Console)登录交换机。步骤2:修改用户密码。以针对VTY0~4配置AAA验证方式,原用户名为“huawei”,密码配置为“Huawei@123”为例。<HUAWEI> system-view [HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] quit [HUAWEI] aaa [HUAWEI-aaa] local-user huawei password irreversible-cipher Huawei@123 [HUAWEI-aaa] local-user huawei service-type telnet [HUAWEI-aaa] local-user huawei privilege level 33.恢复Web登录密码Web登录密码丢失,可以通过其他方式(例如Console口)登录交换机后重新进行配置。步骤1:通过其他方式(例如Console)登录交换机。步骤2:修改用户密码。以使用AAA认证方式,用户名为“huawei”,修改后的密码为“Huawei@123”为例。<HUAWEI> system-view [HUAWEI] aaa [HUAWEI-aaa] local-user huawei password irreversible-cipher Huawei@123 [HUAWEI-aaa] local-user huawei service-type http [HUAWEI-aaa] local-user huawei privilege level 34.恢复BootROM登录密码通过Console口登录交换机重置BootROM密码。步骤1:通过Console口登录交换机。步骤2:在任意视图下使用命令reset boot password恢复BootROM密码为缺省密码(缺省为Admin@huawei.com)。步骤3:在用户视图下使用命令reboot重启交换机。步骤4:当重启过程中出现“Press Ctrl+B to enter Boot Menu...”打印信息时,按组合键“Ctrl+B”,输入缺省密码后进入BootROM主菜单。步骤5:在BootROM主菜单下选择“Modify BootROM password”并按照提示修改密码。
2014年06月09日
26 阅读
0 评论
0 点赞
2011-05-20
H3C华为路由器-内网主机通过公网地址访问内部服务器配置
1 组网拓扑实验拓扑如上图,内部服务器有个外部域名,内部通过同一个固定公网IP上网。需求:要实现外部通过域名访问内部服务器,内部同样也能通过外部域名访问内部服务器。2 需求分析内部服务器通过在路由器上使用NAT server映射成公网地址供外部主机访问。内部主机访问外部域名时经解析会成为公网地址,而到达服务器后根据源地址是内部地址直接回复,将不再通过公网地址回包。3 相关配置# acl number 2000 //定义内部上网的数据流 rule permit source 192.168.1.00.0.0.255 # int g0/0 //外网口 ip address 100.100.100.2 24 nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 www nat outbound 2000 quit int e1/0 //内网接口 ip address 192.168.1.1 24 nat outbound 2000 nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 www //根据具体设备可配可不配MSR全局有效则可以不配置ip route-static0.0.0.0 0 100.100.100.14 测试分析1、外部主机A访问内部服务器时 A→WWW 经解析后A→100.100.100.2通过外网口进入路由器,匹配nat server后A→192.168.1.10,服务器回包192.168.1.10→A匹配默认路由从外网口出去100.100.100.2→A,访问成功。2、内部主机访问服务器的外部域名192.168.1.2→WWW解析后为192.168.1.2→100.100.100.2,若内网口不做nat outbound则进入路由器后匹配nat server后192.168.1.2→192.168.1.10;服务器回包时直接192.168.1.10→192.168.1.2,访问不能成功;内网口配置了nat outbound后192.168.1.2→192.168.1.10经内网口送出后变为192.168.1.1→192.168.1.10,服务器回包时192.168.1.10→192.168.1.1进入路由器匹配nat server后为100.100.100.2→192.168.1.2,至此访问成功。5 问题总结内部服务器访问内部服务器的外部域名时,如果内网接口没做nat server,则回包直接封装内网地址,不会经过路由器,访问不成功。
2011年05月20日
61 阅读
0 评论
0 点赞