组网案例11.doc

1、1目 录第 1 章 Quidway 系列以太网交换机简介 .11.1 Quidway 系列以太网交换机简介 .11.1.1 低端以太网交换机 .11.1.2 中端以太网交换机 .21.1.3 高端以太网交换机 .21.2 本模块简介 .2第 2 章 宽带小区网络 .32.1 组网需求 .32.2 使用 CAMS 构造宽带小区网络 .32.2.1 解决方案 .32.2.2 配置步骤 .42.3 利用 MA5200 构造宽带小区网络 .82.3.1 解决方案 .82.3.2 配置步骤 .9第 3 章 中小企业/大企业分支机构组网 .123.1 组网需求 .123.2 利用华为交换机构造企业网络 .

2、123.2.1 解决方案 .123.2.2 配置步骤 .12第 1 章 Quidway 系列以太网交换机简介1.1 Quidway 系列以太网交换机简介华为推出全系列、全线速的 Quidway 系列以太网交换机，覆盖了从低端到高端、从接入到核心所有领域，提供丰富的二层、三层特性和统一的网管，满足客户对网络的各种要求。华为Quidway 系列以太网交换机组网方式灵活，既可以应用于企业网络，也可以用于运营商的宽带网络。 说明：关于交换机提供的特性，可以参 见相应产品的用户手册。1.1.1 低端以太网交换机华为低端系列以太网交换机主要位于网络的接入层，包括S2008B、S2016B、S2026B、S

3、2000 系列（S2008、S2016、S2026、S2403H）、S3000系列（S3026、S3026 FM、 S3026 FS、S3026E、S3026E FM、S3026E FS）、S2000-SI/S3000-SI 系列（ S2026C-SI、S202Z-SI、S3026C-SI、S3026G-SI、S3026S-SI ）、S3000-EI 系列（S3026C-EI 、S3026G-EI、S3026T-EI）、S3500 系列（S3526、S3526 FM、S3526 FS、S3526E、S3526E FM、S3526E FS、S3526C、S3552）。其中 S3500系列具有三层

4、功能，是二/三层以太网交换机，其它交换机都是二层交换机。1.1.2 中端以太网交换机华为中端系列以太网交换机主要位于网络的汇聚层，包括 S5516、S6500 系列二/三层以太网交换机。1.1.3 高端以太网交换机华为高端以太网交换机位于网络的核心层，包括 S8016 路由交换机、S8500 系列路由交换机等。21.2 本模块简介华为 Quidway 系列以太网交换机组网方式灵活，既可以应用于企业网络，也可以用于宽带接入，本模块主要介绍中低端以太网交换机的几种典型组网案例，包括宽带小区网、中小企业网。第 2 章 宽带小区网络2.1 组网需求宽带小区的组网，要求可认证、可计费、可授权，同时可以进

5、行集中管理，达到电信级的可运营、可管理的要求。2.2 使用 CAMS 构造宽带小区网络2.2.1 解决方案在宽带小区以太网接入中，S3026 以太网交换机放在小区楼道，下行直接接入用户或者通过S2000 系列以太网交换机接入用户，向上可以通过 GE、 FE 连接到小区中心设备（如S3526 以太网交换机），S3526 通过一个 L3（如 S8016 等）接入到城域网。图 2-1 小区以太网接入组网示意图在组网中为了对每个用户进行认证、授权和计费，需要配置 802.1x；同时需要将每个用户进行二层隔离；为了便于网管，需要配置 SNMP；为了防止交换机被非法访问，交换机上需要配置对访问方式的 AC

6、L 控制。整个网络采用 VLAN10 作为管理 VLAN，所有交换机上 VLAN10 接口的 IP 地址在同一个网段 10.110.110.0/24，主 RADIUS 服务器的 IP 为 10.110.10.18；网管工作站的 IP 地址为10.11.10.1。在 S3026 上作如下配置：isolate-user-vlan 配置，将小区每个用户之间进行二层隔离，每个用户分配在一个 Secondary VLAN 内；802.1x 认证配置，认证方式为通过 RADIUS 服务器对用户进行认证；管理 VLAN 配置、网管路由配置、SNMP 配置、各种访问方式的 ACL 控制配置；hybrid 端口

7、配置。在 S3526 上进行如下配置：网关配置、hybrid 端口配置、 SNMP 配置、各种访问方式的ACL 控制配置。2.2.2 配置步骤这里简单说明交换机上的基本配置。 说明：本文仅说明交换机上的基本配置。 CAMS 可以在网络运行 过程中对交换机进行维护和管理。关于 CAMS 如何对交换机进行配置请参见 CAMS 的用户手册， 这里就不再说 明。3图 2-2 组网示意图1. 配置 Switch B下面以网络中某台 Switch B 为例说明基本配置过程。配置 Switch B：配置 isolate-user-vlan（isolate-user-vlan 为 VLAN5）、进行管理 VL

8、AN 配置（配置管理 VLAN 的 IP 地址、一条路由）、配置 802.1x 认证、配置访问方式的 ACL 控制。管理 VLAN10 的 IP 地址为 10.110.110.2，网管站的 IP 地址为 10.11.10.1，向网管站发送数据的下一跳为 10.110.110.1。(1) 配置 isolate-user-vlan。# 配置 isolate-user-vlan。Quidway vlan 5Quidway-vlan5isolate-user-vlan enableQuidway-vlan5port ethernet 1/1# 配置 Secondary VLAN。Quidway vla

9、n 2Quidway-vlan2port ethernet 0/1Quidway-vlan2 quit Quidway vlan 3Quidway-vlan3port ethernet 0/2Quidway-vlan3 quit 依此类推。Quidway vlan 25Quidway-vlan25port ethernet 0/24Quidway-vlan25 quit # 配置 isolate-user-vlan 和 Secondary VLAN 间的映射关系。Quidwayisolate-user-vlan 5 secondary 2 to 25(2) 配置管理 VLAN 及路由# 管理

10、VLAN 为 VLAN 10，配置其接口 IP 地址。Quidway vlan 10Quidway-vlan10 quit Quidway interface vlan 10Quidway-Vlan-interface10ip address 10.110.110.2 255.255.255.0# 配置路由，下一跳为 10.110.110.1。Quidway ip route 10.11.10.1 255.255.255.248 10.110.110.1(3) 配置 802.1x 认证# 端口和设备上启动 802.1x 认证。Quidway dot1xQuidway dot1x interfa

11、ce ethernet 0/1 to ethernet 0/24# 配置 802.1x 认证基于 MAC 地址。Quidway dot1x port-method macbased interface ethernet 0/1 to ethernet 0/24Quidway dot1x dhcp-launch 说明：缺省情况下，802.1x 采用的认证方式就是基于 MAC 的认证方式，用户可以不用进行此项配置。# 配置到 RADIUS 上进行 AAA 认证。4Quidway aaa authentication-scheme auth radius# 配置计费失败后仍然允许用户在线。Quidw

12、ay aaa accounting-scheme acct1 enable online# 配置 ISP 域及其属性，如计费方法、认证方法等。Quidway domain rispQuidway-isp-risp authen-scheme authQuidway-isp-risp acct-scheme acct1Quidway-isp-risp state activeQuidway-isp-risp radius-scheme hostrmt# 配置 RADIUS 属性（主 RADIUS 服务器的 IP 为 10.110.10.18）。Quidway radius scheme host

13、rmtQuidway-radius-hostrmt primary authentication 10.110.10.18Quidway-radius-hostrmt primary accounting 10.110.10.18Quidway-radius-hostrmt key authentication huaweiQuidway-radius-hostrmt key accounting huawei(4) 配置上行端口 Ethernet1/1 为 hybrid 端口# 配置该端口为 hybrid 端口，允许 VLAN5 和 VLAN10 的报文通过。Quidway interfac

14、e Ethernet1/1Quidway-Ethernet1/1 port link-type hybridQuidway-Ethernet1/1 port hybrid pvid vlan 5Quidway-Ethernet1/1 port hybrid vlan 10 tagged(5) 配置 SNMP# 进入全局配置模式。system-view# 设置团体名和访问权限。Quidway snmp-agent community read huaweiQuidway snmp-agent community write beiyan# 设置管理员标识、联系方法以及以太网交换机的物理位置。Qu

15、idway snmp-agent sys-infocontact Mr.Wang-Tel:3306Quidway snmp-agent sys-info location telephone-closet,3rd-floor# 允许发送 Trap。Quidway snmp-agent trap enable# 定义访问控制列表。Quidway acl number 1 Quidway-acl-basic-1 rule 0 permit source 10.11.10.1 0# 创建 SNMP 组，并定义访问控制。Quidway snmp-agent group v3 huaweigroup a

16、cl 1# 为 SNMP 组添加一个用户 huaweimanager，设置认证密码为 hello，并配置访问控制，只允许网管工作站访问交换机。Quidwaysnmp-agent usm-user v3 huaweimanager huaweigroup auth md5 huawei acl 1(6) 配置对 TELNET 用户的访问控制，仅允许 IP 为 10.110.110.46 和 10.110.110.52 的用户通过 TELNET 访问交换机。# 定义基本访问控制列表。Quidway acl number 20Quidway-acl-basic-20 rule 0 permit so

17、urce 10.110.110.46 0Quidway-acl-basic-20 rule 1 permit source 10.110.110.52 0# 引用访问控制列表。Quidway user-interface vty 0 4Quidway-ui-vty0-4 acl 20 inbound(7) 配置对 HTTP 用户的访问控制，仅允许 IP 地址为 10.110.110.46 的主机通过 WEB 方式访问交换机。# 定义基本访问控制列表。Quidway acl number 30Quidway-acl-basic-30 rule 0 permit source 10.110.110

18、.46 0# 引用访问控制列表。Quidwayip http acl 302. 配置 Switch A下面以一台 Switch A 为例介绍配置。(1) 配置 Ethernet0/1 为 hybrid 端口。5# 配置 Switch A 的端口 Ethernet0/1 为 hybrid 端口，并允许 VLAN1 和 VLAN5 的报文通过。Quidway interface Ethernet0/1Quidway-Ethernet0/1 port link-type hybridQuidway-Ethernet0/1 port hybrid pvid vlan 5Quidway-Ethernet

19、0/1 port hybrid vlan 1 tagged(2) 配置 VLAN5 的接口 IP 地址# 创建 VLAN5。Quidway vlan 5# 配置 VLAN5 的接口 IP 地址。Quidway interface vlan 5Quidway-Vlan-interface5ip address 10.110.11.1 255.255.255.192# 创建 VLAN10。Quidway vlan 10# 配置 VLAN10 的接口 IP 地址。Quidway interface vlan 10Quidway-Vlan-interface10ip address 10.110.11

20、0.1 255.255.255.0(3) 配置 SNMP# 进入全局配置模式。system-view# 设置团体名和访问权限。Quidway snmp-agent community read huaweiQuidway snmp-agent community write beiyan# 设置管理员标识、联系方法以及以太网交换机的物理位置。Quidway snmp-agent sys-info contact Mr.Wang-Tel:3306Quidway snmp-agent sys-info location telephone-closet,3rd-floor# 允许发送 Trap。Q

21、uidway snmp-agent trap enable# 定义访问控制列表，以便进行对通过 SNMP 登录交换机的用户进行 ACL 控制。Quidway acl number 1 Quidway-acl-basic-1 rule 0 permit source 10.11.10.1 0# 创建 SNMP 组，并定义访问控制。Quidway snmp-agent group v3 huaweigroup acl 1# 为 SNMP 组添加一个用户 huaweimanager，设置认证密码为 hello，并配置访问控制，只允许网管工作站访问交换机。Quidway snmp-agent usm-

22、user v3 huaweimanager huaweigroup auth md5 huawei acl 1(4) 配置对 TELNET 用户的访问控制，仅允许 IP 为 10.110.110.46 和 10.110.110.52 的用户通过 TELNET 访问交换机。# 定义基本访问控制列表。Quidway acl number 20Quidway-acl-basic-20 rule 0 permit source 10.110.110.46 0Quidway-acl-basic-20 rule 1 permit source 10.110.110.52 0# 引用访问控制列表。Quidw

23、ay user-interface vty 0 4Quidway-ui-vty0-4 acl 20 inbound(5) 配置对 HTTP 用户的访问控制，仅允许 IP 地址为 10.110.110.46 的主机通过 WEB 方式访问交换机。# 定义基本访问控制列表。Quidway acl number 30Quidway-acl-basic-30 rule 0 permit source 10.110.110.46 0# 引用访问控制列表。Quidwayip http acl 30 说明：Switch A 可能下挂很多 Switch B，需要配置多个 VLAN 和 VLAN 接口 IP 地址

24、。本例仅以配置 VLAN5 为例。在实际组网中一般采用 S2000 系列（如 S2008、S2016、S2403H）接入用户。62.3 利用 MA5200 构造宽带小区网络2.3.1 解决方案在宽带城域网组网图中，S3026 以太网交换机作为宽带城域网的小区接入层交换机，通过与管理设备 MA5200 的配合实现宽带接入服务，两者之间的通信可通过 HGMP（Huawei Group Management Protocol）来承载。通过 S3026 的 HGMP 代理程序，管理设备MA5200 可以实现对 S3026 的集中管理。MA5200 可以通过上行高速口直接连接到城域网或骨干网，多台 S3

25、026 上行直接挂在 MA5200 的 100Mbit/s 以太网光接口上，下行接到小区用户的计算机上。“MA5200”加“S3026”的组网具备了用户管理、认证、鉴权和按时按量计费等多方面的的优势，使之既有以太网接入经济、成熟的特色，又有电信级的用户管理和运营能力，适用于新建小区和商用大楼，也可以运用于商业网的宽带化。图 2-3 宽带接入组网示意图2.3.2 配置步骤MA5200 的配置可以参见 MA5200 的用户手册，这里不再说明。S3026 除了进行一些基本配置以外，还需要启动 HGMP Client，以实现集中管理特性。 说明：S3026 以太网交换机作为 HGMP Client 时

26、，必 须要通 过固定的上行端口与管理设备相连。这些上行端口为：Ethernet0/24、Ethernet1/1、Ethernet2/1。1. 配置 S3026下面以网络中某台 S3026 为例说明基本配置过程。配置一台 S3026：进行管理 VLAN 配置、配置 802.1x 认证、配置访问方式的 ACL 控制。管理 VLAN10 的 IP 地址为 10.110.110.2，网管站的 IP 地址为 10.11.10.1。(1) 配置 VLAN。Quidway vlan 2Quidway-vlan2port ethernet 0/1Quidway-vlan2 quit Quidway vlan

27、3Quidway-vlan3port ethernet 0/2Quidway-vlan3 quit 依此类推。Quidway vlan 25Quidway-vlan25port ethernet 0/24Quidway-vlan25 quit (2) 配置管理 VLAN 及路由# 管理 VLAN 为 VLAN 10，配置其接口 IP 地址。Quidway vlan 10Quidway-vlan10 quit Quidway interface vlan 10Quidway-Vlan-interface10ip address 10.110.110.2 255.255.255.07# 配置路由，

28、下一跳为 10.110.110.1。Quidway ip route 10.11.10.1 255.255.255.248 10.110.110.1(3) 配置 802.1x 认证# 端口和设备上启动 802.1x 认证。Quidway dot1xQuidway dot1x interface ethernet 0/1 to ethernet 0/24# 配置 802.1x 认证基于 MAC 地址。Quidway dot1x port-method macbased interface ethernet 0/1 to ethernet 0/24Quidway dot1x dhcp-launch

29、 说明：缺省情况下，802.1x 采用的认证方式就是基于 MAC 的认证方式，用户可以不用进行此项配置。# 配置到 RADIUS 上进行 AAA 认证。Quidway aaa authentication-scheme auth radius# 配置计费失败后仍然允许用户在线。Quidway aaa accounting-scheme acct1 enable online# 配置 ISP 域及其属性，如计费方法、认证方法等。Quidway domain rispQuidway-isp-risp authen-scheme authQuidway-isp-risp acct-scheme ac

30、ct1Quidway-isp-risp state activeQuidway-isp-risp radius-scheme hostrmt# 配置 RADIUS 属性（主 RADIUS 服务器的 IP 为 10.110.10.18）。Quidway radius scheme hostrmtQuidway-radius-hostrmt primary authentication 10.110.10.18Quidway-radius-hostrmt primary accounting 10.110.10.18Quidway-radius-hostrmt key authentication

31、 huaweiQuidway-radius-hostrmt key accounting huawei(4) 配置上行端口 Ethernet1/1 为 trunk 端口# 配置该端口为 trunk 端口，允许所有的报文通过。Quidway interface Ethernet1/1Quidway-Ethernet1/1 port link-type trunkQuidway-Ethernet1/1 port trunk pvid vlan 5Quidway-Ethernet1/1 port trunk permit vlan all(5) 配置 SNMP# 进入全局配置模式。system-vi

32、ew# 设置团体名和访问权限。Quidway snmp-agent community read huaweiQuidway snmp-agent community write beiyan# 设置管理员标识、联系方法以及以太网交换机的物理位置。Quidway snmp-agent sys-info contact Mr.Wang-Tel:3306Quidway snmp-agent sys-info location telephone-closet,3rd-floor# 允许发送 Trap。Quidway snmp-agent trap enable# 定义访问控制列表。Quidway

33、acl number 1 Quidway-acl-basic-1 rule 0 permit source 10.11.10.1 0# 创建 SNMP 组，并定义访问控制。Quidway snmp-agent group v3 huaweigroup acl 1# 为 SNMP 组添加一个用户 huaweimanager，设置认证密码为 hello，并配置访问控制，只允许网管工作站访问交换机。Quidway snmp-agent usm-user v3 huaweimanager huaweigroup auth md5 huawei acl 1(6) 配置对 TELNET 用户的访问控制，仅

34、允许 IP 为 10.110.110.46 和 10.110.110.52 的用户通过 TELNET 访问交换机。# 定义基本访问控制列表。Quidway acl number 20Quidway-acl-basic-20 rule 0 permit source 10.110.110.46 0Quidway-acl-basic-20 rule 1 permit source 10.110.110.52 08# 引用访问控制列表。Quidway user-interface vty 0 4Quidway-ui-vty0-4 acl 20 inbound(7) 配置对 HTTP 用户的访问控制，

35、仅允许 IP 地址为 10.110.110.46 的主机通过 WEB 方式访问交换机。# 定义基本访问控制列表。Quidway acl number 30Quidway-acl-basic-30 rule 0 permit source 10.110.110.46 0# 引用访问控制列表。Quidwayip http acl 30# 启动 HGMP client通过以下步骤在 S3026 上启动 HGMP Client：(8) 重新启动交换机(9) 在以太网交换机启动的时候使用组合键 “CtrlB ”进入 Bootrom 菜单。(10) 选择选项“6. Set switch HGMP mode

36、”使交换机选择 HGMP 模式启动。(11) 系统会提示当前 HGMP 模式是关闭的，并询问是否确认打开 HGMP 模式“Current HGMP mode is OFF. Are you sure to turn on HGMP mode? Yes or No(Y/N)”。(12) 回答“ Y”，则系统提示 HGMP 模式被打开，显示“Turn on HGMP mode successfully!”。此时系统重新进入 Bootrom 主菜单。用户可以选择选项“0. Reboot”来启动以太网交换机。S3026 上启动了 HGMP Client 后，MA5200 可以作为管理设备对下挂的 S3

37、026 进行集中管理。第 3 章 中小企业/大企业分支机构组网3.1 组网需求中小企业的组网，没有认证、计费、授权等需求，只要保证内部网络安全、各个部门限制相互访问就可以了。3.2 利用华为交换机构造企业网络3.2.1 解决方案在中小企业或大企业的分支机构中，二层以太网交换机作为二层汇聚交换机，可以直接接用户，上行连接到二/三层以太网交换机，可以通过路由器连接到总部或其它分支机构的网络。图 3-1 中小企业、大企业分支机构组网示意图在组网中将每个部门划分在一个 VLAN 中；为了便于网管，需要配置 SNMP；为了防止交换机被非法访问，交换机上需要配置对访问方式的 ACL 控制。整个网络采用 V

38、LAN10 作为管理 VLAN，所有交换机上 VLAN10 接口的 IP 地址在同一个网段 10.110.110.0/24，主 RADIUS 服务器的 IP 为 10.110.10.18；网管工作站的 IP 地址为910.11.10.1。路由器的 IP 地址为 10.100.11.1，二/三层交换机通过 VLAN2 接口与路由器相连，VLAN2 接口的 IP 地址为 10.100.11.2。在二层交换机上作如下配置：管理 VLAN 配置、网管路由配置、 SNMP 配置、各种访问方式的 ACL 控制配置； hybrid 端口配置。在二/三层交换机上进行如下配置：网关配置、 hybrid 端口配置

39、、SNMP 配置、各种访问方式的 ACL 控制配置、各个部门间的相互访问的控制。3.2.2 配置步骤根据作好的网络规划，对各个交换机进行配置。这里仅简单说明交换机上的配置。图 3-2 S3026 的实际组网情况1. 配置 Switch B下面以网络中某部门的 Switch B 为例说明基本配置过程。此部门所有的计算机配置在一个VLAN 内。(1) 配置 VLAN。Quidway vlan 5Quidway-vlan5port ethernet 0/1 to Ethernet 0/24 ethernet 1/1Quidway-vlan5 quit (2) 配置管理 VLAN 及路由# 管理 VL

40、AN 为 VLAN 10。Quidway interface vlan 10Quidway-Vlan-interface10ip address 10.110.110.2 255.255.255.0# 配置路由，下一跳为 10.110.110.1。Quidway ip route 10.11.10.1 255.255.255.248 10.110.110.1(3) 配置上行端口 Ethernet1/1 为 hybrid 端口，允许 VLAN10 和 VLAN5 的报文通过。Quidway interface Ethernet1/1Quidway-Ethernet1/1 port link-type hybridQuidway-Ethernet1