标签:安全 功能 逻辑 配置文件 时间 ip add 并且 cloc 验证方式
1.配置H3Ctelnet登陆的ip地址<Switcha>system-viewftp 192.168.1.1
ftpsdirns(r 显示包荟文件读写原性、大小、目期时间、文件名等属性,占只是示文件名)fpoxGat startupcis d/sw1.c常保存的定置文件从服务舞上下立到本边机上,用记事本打开可以蚕看三面内容)说明:
上传文件:put
1)将di/sw1c级文件通过记亭本签改(知:将sysname 改为2s)并保存2)上传文件Pd d/wlcg startupc《看上传,后的文件务不是startup.cs,则环买用设置下次店动时的配置文件,命令为:tartup saved-canflsuration filenama
3)置新点动 reboat.此时可以看到盖维提示行为<2,说明签改的淀置文件已松生效。
Vlan配置
Super VLAN又称为VLAN聚合(VLANAggregation),是一种节省VLAN接口及IP地址的三层VLAN技术,其原理是一个Super VLAN包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同SubVLAN之间二层相互隔离。Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。
当Sub VLAN内的用户需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,这样多个Sub VLAN共用一个IP网段,从而节省了IP地址资源。
为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通,需要在Super vlan开启ARP代理功能。通过ARP代理可以进行ARP请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。当设置vlan类型为super vlan后,该vlan接口上的arp代理自动开启,无需配置,且不能关闭。
super vlan可以节省IP地址,让不同VLAN的网关使用同一个IP,在交换网络环境中引进Sub VLAN和Super VLAN,它们是一种可以实现IP地址划分的更加优化的途径。它通常将多个不同的VLAN划分至同一IP子网,而不是每个VLAN单独占用一个子网,然后将整个IP子网指定为一个VLAN聚
合(Super VLAN),它包含整个IP子网内的所有VLAN(SubVLAN)。而这个IP就是SUPER VLAN的IP,它是逻辑上的VLAN,它是不需要把端口加到这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理的,要加端口才能激活的.只要有一个子VLAN是激活的,那么SUPER VLAN就是激活的.
super vlan 可以实现同一个VLAN内的端口间的隔离,实质上不同的SubVLAN仍保留各自独立的广播域,而一个或多个SubVLAN同属于一个Super VLAN,并且都使用Super VLAN的接口地址为黑默认网关IP地址。一旦我们使用VLAN聚合功能,就允许客户端在同一子网里使用不同的广播域,但是这些客户端使用的还是同一个路由接口,从而达到增强IP地址利用率的目的。可以跟VLAN做比较,通常一个VLAN,一个IP子网,即一个广播域,一个路由接口,需要大量的子网,结果是不能有效的利用
IP地址,造成浪费。而Super VLAN则把一个子网段分成地址段,即几个广播域,IP地址和路由接口都不变,至于SubVLAN之间也可以设置是否通讯。
使用Super VLAN时,Super VLAN可以定义一个任意IP地址,但是没有自己的成员端口,端口都是指定在Sub VLAN中。Sub VLAN作为Super VLAN的成员,并没有自己的IP地址,而是使用SuperVLAN的IP地址作为自己的路由接口地址。
通常,客户端都是指定在Sub VLAN内,我们可以在子VLAN中有选择的分配给一些地址段,以避免地址段以外的非法客户端进入网络,前提是这些地址段必须在Super VLAN的子网范围内,以便于我们更好的管理IP地址,而且假如多个Sub VLAN定义了重复的地址段,交换机并不提供错误检查,从而在Super VLAN和子VLAN的arp过程中带来错误,这一点尤其要注意。
VLAN聚合是VLAN的一项比较浊特的功能,在使用中有如下特性:
若干个小VLAN(SubVLAN)同属于一个大VLAN(Super VLAN)。
Super VLAN对应IP子网地址,所有该Super VLAN的Sub VLAN都属于该子网。
同一子网 Super VLAN中的不同Sub VLAN互通需要Super VLAN开启arp-proxy。
所有广播包和未知流量都局限在Sub VLAN内部,不会跨越Sub VLAN边界。Sub VLAN内部的所有流量只在Sub VLAN内部交换,这样可以有效的隔离Sub VLAN之间的流量。不同的Sub VLAN仍保留各自独立的广播域,实现同一子网中的广播的隔离,避免广播风暴的产生实现广播域隔离。
客户端即主机都放置在Sub VLAN内。在Super VLAN的路由接口地址范围内,每台主机可以任意设置一个IP地址。在Sub VLAN内的每台主机的子网掩码都是和Super VLAN定义的子网掩码相同,并且他们的路由地址即网关就是Super VLAN的路由接口地址。
Sub VLAN之间的所有流量都是通过Super VLAN来路由的。例如,在子VLAN间不会有ICMP重定向产生,因为超VLAN为子VLAN进行了路由。当一个子VLAN加入到Super VLAN中时,在IParp表中会自动加入一个arp表项,这就使得IP单播包可以穿越子VLAN。为安全起见,我们可以关闭掉这项功能。
当Super VLAN启用组播路由协议时,Sub VLAN间的IP组播流量将被路由。
VLAN聚合也有它的局限性:
Sub VLAN不能有其他的路由接口,它的路由只能在Super VLAN上进行。
*Sub VLAN不能成为Super VLAN。
VLAN聚合也有它的局限性:
SubVLAN不能有其他的路由接口,它的路由只能在Super VLAN上进行。
Sub VLAN不能成为Super VLAN。
做为Super VLAN不能指定IP地址,即路由接口地址。
Super VLAN不能包含成员端口。
如果客户机从一个SubVLAN移到另一个SubVLAN,必须在客户机和交换机上清除IP arp 缓存以继续通讯。
Super VLAN在实际应用中的好处:
第一,极大节省IP地址;第二,极大降低了因IP地址变更而带来的工作量。
举例:如一个公司有三个部门,一个销售部,有5个人,一个技术部,也有14个人,一个财务部,有3个人,一般情况下部门互相不能访问,每个部门就为一个VLAN,销售部就至少要配222=8个IP地址,技术部就要22222=32个IP地址,财务部就至少要配222=8个IP地址,总计需要48个IP地址,而实际只有22个人,浪费了26个IP地址。SUPERVLAN是基于VLAN之上的,公司只有22个人,只需配2222*2=32个IP地址就可以满足要求。
如果销售部又增加了2个人,那么销售部的IP地址又要增加2个,如果要满足7个人,就必须给销售部16个IP地址,同时公司划分IP地址又是连续的,所以,销售部IP地址一旦变化,势必会引起其他部门IP地址的重新分配,这个工作是巨大的,但SUPERVLAN是基于VLAN之上,如果销售部增加新的IP地址,只需要在SUPER里增加IP地址给新增加的人员就能达到要求,同时又可以不动其他人员的IP地址。
一、组网需求:
需要创建 Super VLAN 10和Sub VLAN:VLAN2、VLAN3,端口1和端口2属于VLAN2,端口3和端口4属于VLAN3,由于VLAN之间能够满足二层隔离,现要求Sub VLAN两两之间三层互通。
三、配置步骤:
<h3c>system-view//进入系统视图
[H3C]vlan 10//进入VLAN视图
[H3C-vlan10]supervlan//配置当前VLAN为Super VLAN
[H3C-vlan10]vlan 2//创建 Sub VLAN
[H3C-vlan2]port ethernet0/1 ethernet0/2//向Sub VLAN中添加以太网端口。port命令只适用于将access 端口加入sub vlan。如果需要将trunk 端口和hybrid 端口加入sub vlan,只能通过以太网端口视图下的port trunk permit vlan和port hybrid vlan命令实现
[H3C-vlan2]vlan 3
[H3C-vlan3]port ethernet0/3 ethernet0/4
[H3C-vlan5]vlan 10//进入Super VLAN的VLAN视图
[H3C-vlan10]subvlan 23//创建 Super VLAN与Sub VLAN间的映射关系
[H3C-vlan10]interface vlan 10
[H3C-Vlan-interface10]ip address 10.110.1.1 255.255.255.0//
四、配置关键点:
一台交换机可以有多个Super VLAN。
2当配置VLAN为Super VLAN后,相应的VLAN接口和IP地址的配置与普通VLAN一样。
需要注意的是:VLAN被设置成Super VLAN前,不能包含任何以太网端口;被设置为Super VLAN后,也不能向其中添加以太网端口。
3当设置VLAN类型为Super VLAN后,该VLAN接口上的ARP代理自动开启,无需配置。
在Super VLAN存在时,其对应的VLAN接口的ARP代理不能关闭。
4配置Super VLAN和Sub VLAN间的映射关系前,Sub VLAN必须已经存在。
5在建立了Sub VLAN和Super VLAN的映射关系后,仍可以向Sub VLAN中添加或删除端口。
6每一个Super VLAN可以和127个SubVLAN建立映射关系。系统最多允许建立1024个Sub VLAN。思科交换机VLAN配置
switch#configure//进入全局配置模式switch(config)#vlan vlan-id//进入VLAN配置模式switch(config-vlan)#supervlan//打开SuperVLAN的功能switch(config-vlan)#end/∥回到特权模式缺省情况下,Super VLAN功能是关闭的,使用no supervlan 可以关闭已经打开得supervlan 的功能。
配置Super VLAN的Sub VLAN:
必须为SuperVLAN配置SubVLAN,该Super VLAN才有意义。可以使用下面的命令来使一个VLAN属于SuperVLAN的Sub VLAN。
switch#configure//进入配置模式
switch(config)#vlan vlan-id//进入VLAN配置模式switch(config-vlan)#supervlan//设置该vlan为Super VLAN switch(config-vlan)#subvlan vlan-id-list/∥指定若干个sub vlan 并把它们加入super vlan中。
switch(config-vlan)#exit//退出到全局模式
使用no subvlan[vlan-id-list]命令删除Super VLAN的Sub VLAN。
设置Sub VLAN的地址范围:
用户可以为每个SubVLAN配置其地址空间范围,以便设备区分给定的IP地址属于哪个SubVLAN.同一个SuperVLAN下的SubVLAN配置的地
址空间范围不可以有交叉重叠或者互相包含的关系.
全局模式下进行下列配置
switch#configure//进入配置模式
switch(config)#vlan vlan-id//进入vlan 配置模式switch(config-vlan)#subvlan-address-range start-ip end-ip//设置Sub VLAN的地址范围,start-ip为该SubVLAN的IP起始地址
end-ip为该
SubVLAN的IP结束地址
switch(config-vlan)#proxy-arp enable//使能proxy-ary功switch(config-vlan)#end//回到特权模式
switch#show run//验证前面各步骤的配置
注意:用户可以通过执行no subvlan-address-range 删除之前配置设置Super VLAN的虚拟接口
当Sub VLAN内的用户需要进行三层通信时,首先要创建SuperVLAN对应的虚拟三层接口进行。
使用SuperVLAN自身对应的SVI作为虚拟接口
SVI是一种和VLAN相对应的3层口,你只需要给VLAN配置一个IP地址就成了sVI接口。
SVI是一种由多个物理接口组成的3层口,用它们连接的计算机构成一个网段,彼此可以共享资源。
请在全局模式下进行下列配置。
switch#configure//进入配置模式
switch(config)#interface vlan vlan-id//进入SVI模式switch(config-vlan)#ip address ip mask/∥设置虚拟接口的IP地址switch(config-vlan)#end/∥回到特权模式switch#show run//验证前面各步骤的配置设置VLAN的代理ARP功能
可以使用下面的命令来设置VLAN的代理ARP功能,从而允许SubVLAN之间互相通信。缺省情况下该功能是打开的。
请在全局模式下进行下列配置。
switch#configure//进入配置模式switch(config)#vlan vlan-id//进入VLAN模式switch(config-vlan)#proxy-arp//打开VLAN的ARP代理功能switch(config-vlan)#end//回到特权模式switch#show run//验证前面各步骤的配置使用no proxy-arp 关闭Vlan的代理ARP功能。
显示supervlan设置
可以使用下面的命令
switch#show supervlan//显示supervlan 配置
标签:安全 功能 逻辑 配置文件 时间 ip add 并且 cloc 验证方式
原文地址:https://blog.51cto.com/14224418/2367898
