HP交换机简明使用手册

z 登陆模式：以“>”开头，仅仅能够进行一些基本状态查看

z 管理模式：以“#”开头，能够进行所有状态信息的查看，同一时刻允许有多个管

理员处在此模式下。

从登陆模式进入管理模式的命令：enable（可简写为认证后，即可进入管理模式。

enable口令 4 页 共 44 en）,通过第页 z 配置模式：以“（config）”开头，能够对设备进行配置和管理，同一时刻仅仅允

许一个管理人员处在配置模式下。此模式下可以同时具有管理模式和登陆模式的功能。

从管理模式进入配置模式的命令为：configure,即可进入配置模式。

从高级模式退出到低级模式的命令为exit或disable。 3．基本命令 1、 查看操作系统版本及硬件信息

命令：show version

作用：查看当前系统版本和状态信息 󰂋 系统当前版本：

test_5304xl# show version

Image stamp: /sw/code/build/alpmo(m35) Aug 2 2005 11:27:11 E.10.04 4015 Boot Image: Primary

󰂋 系统主机名： 󰂋 系统CPU类型： 󰂋 系统内存容量： 󰂋 系统启动时间： 󰂋 系统当前时间： 󰂋 系统端口类型： 󰂋 系统序列号：

󰂋 系统当前能实现的功能: 2. 配置主机名：

命令：hostname

：其中主机名长度最长为字节

实例：例如需要配置设备的名称为Blue，则命令如下。

AN(config)#hostname test_5304xl Test_5304xl(config)#

3. 配置VLAN IP地址:

命令：[no]vlan ip address 或 [no]vlan ip address 或

Vlan ip addess dhcp-bootp 实例：例如需要对设备划分一个VLAN采用两种不同底方式进行配置 Blue(config)# vlan 1 ip address 192.168.0.23 255.255.255.0 或 Blue(config)# vlan 1 ip address 192.168.0.23/24

查看当前VLAN地址命令：

Blue(config)#show ip address

4． 配置网关： 配置网关命令：

第 5 页 共 44 页 ip default-gateway

实例：配置一个缺省的网关

Blue(config)# ip default-gateway 192.168.0.1

4. 测试网络联通情况

HP系列产品提供了Ping和traceroute来检查网路的联通状况 ping命令示例：

Blue(config)#ping 192.168.0.1 Traceroute命令示例：

Blue(config)#traceroute 192.168.10.1

1.2使用TELNET或者WEB方式对交换机进行配置 1.2.1使用TELNET方式对交换机进行配置 1．配置CLI接口访问 列出当前控制台、串口连接配置。这条命令是显示当前接口访问的参数设置。 语法：show console

下面图例显示交换机缺省的控制台，串口的配置信息： 接口访问允许/禁止列出事件值和类型 控制台控制选项 2．默认情况下入口的TELNET访问是允许的。 语法：[no]telnet-server 3．禁止TELNET入口访问 语法：Procurve(config)# no telnet-server 4．重新允许TELNET入口访问 语法：Procurve(config)# telnet-server

5．远程TELNET另外的一台设备并查看该设备的状态。 语法：Procurve(config)# telnet 192.168.2.35 1.2.2通过WEB方式对交换机进行配置 1．默认情况下WEB方式配置交换机是允许的。 语法：[no]web-management 2. 禁止WEB方式配置交换机 第 6 页 共 44 页 语法：Procurve(config)# no web-management 3. 允许WEB方式配置交换机 语法：Procurve(config)# web-management

可以使用Http://192.168.0.3（该地址为虚拟地址，客户可根据具体的设置改动），一切OK后如下图所示： 1.3 设置用户名及密码 1．通过CLI方式配置用户名和密码 对于一个企业的安全来说保密是非常重要的。如果不设置密码那么任何人知道IP地址的人都可以通过WEB/CLI/菜单的方式查看和修改交换机的配置。其后果是非常严重的，所以强烈建议客户设置本地密码和用户名。只有专人才能控制和管理这台设备。 语法: [no]password [user-name ASCII][no]password all>

设置操作员密码不用设置用户名：（操作员只有只读的权限） Blue#config

Blue(config)# password operator

12345678 (密码将显示成：********) 12345678为密码 12345678 (再次输入密码进行校验)

设置管理员的用户名和密码：（管理员有完全的读和写的权限） Blue#config

Blue(config)# password manager username svacomm svacomm为用户名 12345678 (密码将显示成：********) 12345678为密码 12345678 (再次输入密码进行校验)

2．通过WEB方式设置用户名和密码 第 7 页 共 44 页 设置操作员密码不用设置用户名：（操作员只有只读的权限），设置管理员的用户名和密码：（管理员有完全的读和写的权限） 这里有两种访问的权限Read-only access只分配给普通用户权限，而下面的read-write access是分配给管理员的权限。 输入相应的用户名和密码点击Apply Changes按钮保存即可。

客户再次登陆时候会弹出以下窗口，输入相应的用户名和密码就能获得相应的权限。普通用户可以是没有用户名的。只输入密码点击OK就可以。 1.4 配置SNMP相关信息 a. 打开SNMP3使用snmp3 enable命令。一个初始用户登陆将会产生MD5验证和DES数据加密。 b. 可以对SNMP3代理的访问可以使用snmpv3 only 命令。同时你也可以对snmpv3写的操作使用snmpv3 restricted-access 命令。 1．开启或关闭SNMPV3代理访问交换机，包括建立初始的用户记录。 第 8 页 共 44 页 语法：[no]snmpv3 enable

2．开启或关闭SNMPV3代理的访问，如果是开启状态将拒收所有非SNMPV3的信息。 语法：[no]snmpv3 only

3．开启或关闭所有非SNMPV3代理只读权限。 语法：[no]snmpv3 restricted-access

4．显示非SNMPV3操作状态 语法：show snmpv3 enable

5．显示非SNMP3写的状态信息 语法：show snmpv3 restricted-access

以下案例将详细介绍了SNMPV3的详细配置： 打开SNMPv3 SNMPV3管理程序建立初始用户模式 设置非SNMPV3信息。 设置SNMPV3共同体名称 SNMPV3共同体允许使用V1,V2版本的交换机进行访问。共同体只能在支持2C及1C的组接口级别设备上进行映像。这一映像可在有组件接口授权的设备上自动生成，但特殊映像必须使用snmpv3 communty 命令 1.5 LLDP配置 IEEE标准——802.1AB链接层发现协议（Link Layer Discovery Protocol），将能够使企业网络的故障查找变得更加容易，并加强网络管理工具在多厂商环境中发现和保持精确网络拓扑结构的能力。 链路层发现协议（Link Layer Discovery Protocol，LLDP）是802.1ab中定义的新协议，它可使邻近设备向其他设备发出其状态信息的通知，并且所有设备的每个端口上都存储着定

第 9 页 共 44 页 义自己的信息，如果需要还可以向与它们直接连接的近邻设备发送更新的信息，近邻的设备会将信息存储在标准的SNMP MIBs。网络管理系统可从MIB处查询出当前第二层的连接情况。LLDP不会配置也不会控制网络元素或流量，它只是报告第二层的配置。802.1ab中的

IEEE另一个内容是使网络管理软件利用LLDP所提供的信息去发现某些第二层的矛盾之处。

目前使用的是IETF现有的物理拓扑、接口和Entity MIBs。 简单说来，LLDP是一种邻近发现协议。它为以太网网络设备，如交换机、路由器和无线局域网接入点定义了一种标准的方法，使其可以向网络中其他节点公告自身的存在，并保存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公告。 1．显示交换机LLDP配置信息，端口的流量信息和trap信息。 语法：show lldp config

如下图所示： 2．显示交换机LLDP单个端口的配置信息。 语法：show lldp config

如下图所示 第 10 页 共 44 页 3．打开和禁止LLDP功能。 语法：[no] lldp run

1.6密码恢复方法 如果密码丢失点击交换机面板前的clear按钮。当点击clear按钮后将删除交换面的密码和用户名。 可以使用面板上的reset 及clear 按钮恢复设备的出厂值： 同时按住reset 及clear 按钮，大约5秒钟后放开reset按钮，继续按住clear按钮，等面板上的sefltest ，放开按钮。 为了保护你交换机的配置安全，建议将交换机放置在安全的场所，不被外人有物理接触。该按钮的可以使用如下命令行禁止： 语法：[no] front-panel-security password-clear reset-on-clear 1.7 交换机映像更新及配置文件备份与恢复 1．将配置文件备份到TFTP服务器上 将交换机的配置备份到远程的TFTP服务器上。 语法：copy tftp[pc|unix]

或copy configtftp[pc|unix]

实例：将配置文件备份到一台TFTP服务器上

ProCurve# copy startup-config tftp 10.28.227.105 d:\\configs\\sw5300

第 11 页 共 44 页 2．将从TFTP服务器上的配置文件恢复到交换机 将交换机的配置备份到远程的TFTP服务器上。 语法：copy tftp [pc|unix]

或copy tftp config [pc|unix]

实例：将TFTP服务器上的备份文件恢复到交换机上

ProCurve# copy tftp startup-config 10.28.227.105 d:\\configs\\sw2512 3．升级交换机的映象文件 先到网站上下载映象文件。http://www.hp.com/rnd/software/switches.htm 该站点包含了最新的升级软件。 将文件拷贝到TFTP服务器使用一下命令 语法：copy tftp flash

实例：将TFTP服务器上的映像文件拷贝到交换机上 copy tftp flash 10.1.2.3 h2r07504.bin secondary boot system flash secondary

在交换机中有两个闪存可以使用如下命令，从第二个闪存区域复制软件映像至第一个区域： Copy flash flash primary 第 12 页 共 44 页 第二章 二层相关协议设置 2.1端口的命名方式 HP 5300/00交换机的面板如下图所示，端口在配置文件中的命名是以槽位/序号的方式进行：以06为例，槽位编号从左至右，从上到下分别是：A、B、C、D、E、F 如A模块的第一个端口就叫：A1 其它的非模块化交换机的端口命名以序号标识： 如2626的15个端口就是15 给一个端口或一些端口配置一个友好的名字 语法：interface < port-list > name < port-name-string >

在端口列表中删除 语法：no interface < port-list > name

实例：给一个端口配置一个名字link_web_server test_5304xl(config)# int a1 name link_web_server test_5304xl(config)# show name Port Names

Port Type Name

A1 100/1000T link_web_server A2 100/1000T Link_client_2 2.2端口物理参数配置 第 13 页 共 44 页 1.设置端口的工作模式 显示每个端口的工作模式，使用命令： 语法：show interfaces [ brief | config | < port-list >] 查看端口的情况：

test_5304xl(config)# show interfaces brief Status and Counters - Port Status

| Intrusion MDI Flow Port Type | Alert Enabled Status Mode Mode Ctrl ------- --------- + --------- ------- ------ ---------- ----- ----- A1 100/1000T | Yes Yes Down 1000FDx Auto off A2 100/1000T | No Yes Up 100FDx MDIX off A3-Trk1 100/1000T | No Yes Down 1000FDx Auto off A4-Trk1 100/1000T | No Yes Up 1000FDx MDIX off

更改端口的工作模式，使用命令： 语法： speed-duplex < auto-10 |10-full | 10-half | 100-full | 100-half |auto| auto-100 | 1000-full >

实例：将A1端口的工作模式更换为百兆全双工

test_5304xl(eth-A2)# int a1

test_5304xl(eth-A1)# speed-duplex 100 ful1 test_5304xl(eth-A2)# show int br Status and Counters - Port Status

| Intrusion MDI Flow Port Type | Alert Enabled Status Mode Mode Ctrl A1 100/1000T | Yes Yes Down 100FDx Auto off A2 100/1000T | No Yes Up 100FDx MDI off A3-Trk1 100/1000T | No Yes Down 1000FDx Auto off A4-Trk1 100/1000T | No Yes Up 1000FDx MDIX off 2．对端口的流量进行 一个或一些端口的INBOUND流量使用命令： 语法：[no] int < port- list > rate-limit < all | icmp >< 0..100 >

实例：给一个端口和一些端口流量

test_5304xl(config)# int a1,a2 rate-limit all 60 test_5304xl(config)# show rate-limit all Inbound Rate Limit Maximum % Port | Limit Radius Override ----- + -------- --------------- A1 | 60 No-override A2 | 60 No-override A3 | Disabled No-override

第 14 页 共 44 页 A4 | Disabled No-override 2.3 802.1qVLAN的基本概念 802.1QVLAN：802.1Q主要定义了VLAN。VLAN可使属于同一VLAN的设备实现互相访问，使属于不同VLAN间的设备不能互相访问，划分了网络的广播域。利用VLAN可大大减少网络中不必要的数据交换的数量，提升网络传输性能。

IEEE802.1Q是虚拟桥接局域网的正式标准，它定义了同一个物理链路上承载多个逻辑子网VLAN的方法。IEEE802.1Q在标准的IEEE802.3以太帧结构中加入4个字节，这4个字节统称为虚拟局域网标签（VLAN Tag）。如图1所示。 带有IEEE 802.1Q标签的以太网帧 2.4基于端口的VLAN划分方法 基于端口VLAN划分命令：

语法：vlan < vid > vlan < vid > < tagged | untagged > < port-list >

一般情况下，接电脑的端口设为untagged 端口，而交换机与交换机之间的连接设置为tagged端口。 如下图的配置，我们要让交换机1上的VLAN2与交换机2上的VLAN2 互相之间通讯，VLAN3之间也要互相通讯配置如下： 第 15 页 共 44 页 在SW1上，接普通电脑的端口为A1，A2，所以它们应该设为untagged，而A3端口用于交换机间互联，并且要让VLAN2及VLAN3的数据包通过，所以应该设置为tagged,交换机的配置如下： SW1# vlan 2 Untagged A1 Tagged A3 Vlan 3 Untagged A2 Tagged A3 SW2# vlan 2 Untagged A1 Tagged A3 Vlan 3 Untagged A2 Tagged A3 2.5 GVRP的配置 GVRP（GARP VLAN Registration Protocol，GARP VLAN注册协议）是GARP的一种应用，它基于GARP的工作机制，维护交换机中的VLAN动态注册信息，并传播该信息到其它的交换机中。所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息，并动态更新本地的VLAN注册信息，包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。而且所有支持GVRP特性的交换机能够将本地的VLAN注册信息向其它交换机传播，以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。GVRP传播的VLAN注册信息既包括本地手工配置的静态注册信息，也包括来自其它交换机的动态注册信息 配置GVRP命令：

语法：GVRP

第 16 页 共 44 页 显示GVRP命令： 语法：show GVRP 实例：

HP ProCurve Switch 2626(config)# show gvrp GVRP support

Maximum VLANs to support [8] : 8 Primary VLAN : web

GVRP Enabled [No] : Yes

Port Type | Unknown VLAN Join Leave Leaveall ---- --------- + ------------ ----- ----- -------- 1 10/100TX | Learn 20 300 1000 2 10/100TX | Learn 20 300 1000 3 10/100TX | Learn 20 300 1000 4 10/100TX | Learn 20 300 1000 5 10/100TX | Learn 20 300 1000

2.6 TRUNKING(LAG)的配置 TRUNKING是指链路聚合，就是把多个端口聚合成一个端口来使用，提供高速链路，并提供交换机连接的冗余性。

设置trunking时在一个聚合组里的端口的物理参数要一至，如：端口类型要一致，同为电口或者光口；速率及双工模式一致，同为全双工或者半双工及自动协商。 配置完一个trunking组后，以trk1,trk2等等设置逻辑参数，如VLAN的设置使用如下命令：

Vlan 5 tagged trk1

这样同在trk1组中的端口全部可以接受带801.1Q VLAN 5的数据包

配置Trunk命令：

最后的表示使用何种协议来建立trunking, trunk表示静态的配置,而lacp则使用链路聚合协议来完成trunking的建立.

语法：trunk < port-list > < trk1 ... trk36 > < trunk | lacp >

2.7 生成树的基本概念(STP/RSTP)及配置方法 2.7.1.生成树的基本概念 如果拥有一个分成多个域的庞大网络系统，就无法保证在网络中没有循环。一旦在网络系统中存在循环，就存在有相同的数据包在网络中往返传递并消耗带宽。有可能形成广播风暴,生成树则是一个能排除这个烦恼的运算法则（IEEE802.3D）。

Spanning Tree的工作原理

Spanning Tree 的工作方式如同生成一棵的树，树的根就称为“根网桥”，每个设备会定义一个优先级，数值越小代表它成为根桥的可能性越大。参与STP的所有交换机都通过数据消息的交换来获取网络中其它交换机的信息，这些消息被称为桥接协议数据单元（BPDU）。BPDU主要内容包括：根信息 、路径开销、端口信息、记时器。

第 17 页 共 44 页 实现管理冗余链路，建立无环路生成树的首先选举一个根网桥。根网桥是所有交换机用来决定网络中是否存在环路的依据。通过网桥ID决定谁将成为根网桥，根网桥ID由两部分组成：优先级域（两字节）和MAC地址域（六字节）。以上两个部分决定了根网桥的选定结果。数值越低，就越有可能成为根网桥。如果交换机发现一个比它自己更低的根ID，就将根ID在BPDU中进行宣告。通过交换BPDU报文，交换机决定谁是根网桥。

当根网桥选举完后，每台交换机与根网桥建立关联。交换机首先判断路径开销。路径开销是根据链路速率和BPDU从根网桥到达本端口所经过的链路数量而计算出来的。如果一个端口有最低的路径开销，它将被置于转发模式。接收BPDU的所有其它端口将被置于阻断模式。 若各端口接收到BPDU的路径开销相同，交换机将根据网桥ID以决定哪个端口应该进行转发。有最低网桥ID的端口将被选为转发端口，所有其它端口将被阻断。

经过BPDU的交换，可实现根网桥交换机的选举，并计算出每台交换机到根交换机的最短距离，离根交换机最近的交换机被称为指定交换机，每台交换机的根端口被选举出来。这是一个提供从该交换机到根交换机最佳路径（通常是最低开销路径）的端口，不进行数据帧转发的端口被置于阻断状态。这些端口可继续发送和接收BPDU信息，但禁止发送或接收用户数据。

为了建立一个无环路网络，生成树使交换机的各个端口经历几种不同的状态：阻断、倾听、学习、转发、关闭

倾听和学习状态都是生成树所实施的过渡状态，指挥交换机端口等待从其它交换机上获得BPDU报文。端口状态转换如下：

当生成树通过了STP状态时，采用一系列记时器来防止网络中桥接环路的发生。

快速生成树协议（Rapid Spanning Tree Protocol，RSTP）

生成树协议IEEE 802.1d虽可在50秒内恢复连接，但已不能满足现代交换式网络和应用的需要，在 802.1w中定义的RSTP协议可解决802.1d的自恢复问题。 快速生成树协议（RSTP）是从生成树算法的基础上发展而来的，通过配置消息来传递生成树信息，并通过优先级比较来进行计算。快速生成树能够完成生成树的所有功能，优异之处在于快速生成树减小了端口从阻塞到转发的延时，快速恢复网络的正常工作状态。它采用桥－桥握手机制，并不采用802.1d中根桥所指定的计时器。

快速生成树协议与生成树协议的区别不少：如端口状态迁移方式不同；配置消息的格式不同；拓朴改变消息的传播方式不同。

RSTP除了对根端口和802.1d中的指定端口进行了定义之外，还增加了两种新的作用：一是备份端口。指定端口向生成树提供的路径备份。二是替代端口。为当前根端口所提供的根桥提供了替代路径。RSTP中新定义的端口作用使替代端口可以进行快速转换，能转发根端口的故障。

为了防止环路，RSTP利用网桥之间的握手来确保通过网络分配的端口任务能够保持一致。由于这种握手机制不依赖于定时器，因此可以迅速地传送到网络各处，随着拓朴结构的改变而在很短的时间内恢复连接。802.1w仅工作在点到点的连接中，否则802.1w协议将回到802.1d模式。

新的根端口从阻塞到转发的实现：原有根端口已经知道自己不再是根端口了，进入阻塞状态。新的根端口连接的网段的指定端口处于转发状态，这个新的根端口就可以无延时地进入转发状态。

非边缘指定端口从阻塞到转发：此个端口连接着其他网桥。等待进入转发状态的指定端口向下游网桥发送一个握手请求报文，若下游的网桥响应了，则这个指定端口就可以无延时地进入转发状态。

第 18 页 共 44 页 边缘端口从阻塞到转发：边缘端口直接和终端设备相连，不再连接任何网桥的端口。网桥启动后这些端口即无延时地快速进入转发状态。

通过STP实现链路冗余管理 正确理解STP原理和配置，对于维持交换网络的正常运行有重要的影响。设计好生成树，可以使网络保持良好的性能。

通过人工设定的方法为网络指定网桥的优先级别，将其置于网络的中心位置，保证该网桥能被选举为根网桥，并配备备份根网桥是实现链路优化管理的手段之一。为更好地定制生成树，可通过调整交换机的端口ID、端口成本、网络直径等方法来实现。

快速生成树改进的只是生成树的收敛时间，没有解决在整个桥接网络只应用一个单生成树实例的不足。网络设计时最好使网络直径不超过7 2.7.2.生成树的配置方法 查看生成树命令：

语法：show spanning-tree config

HP ProCurve Switch 2626(config)# show spanning-tree config Rapid Spanning Tree Configuration STP Enabled [No] : No

Force Version [RSTP-operation] : RSTP-operation

Switch Priority [8] : 8 Hello Time [2] : 2

Max Age [20] : 20 Forward Delay [15] : 15

Port Type | Cost Priority Edge Point-to-Point MCheck ---- --------- + --------- -------- ---- -------------- ------ 1 10/100TX | 200000 8 Yes Force-True Yes 2 10/100TX | 200000 8 Yes Force-True Yes 3 10/100TX | 200000 8 Yes Force-True Yes 4 10/100TX | 200000 8 Yes Force-True Yes 5 10/100TX | 200000 8 Yes Force-True Yes 6 10/100TX | 200000 8 Yes Force-True Yes 7 10/100TX | 200000 8 Yes Force-True Yes

启动生成树协议命令：

语法：spanning-tree protocol-version stp

write memory boot

该命令是使用标准的生成树,如果要使用RSTP则使用如下命令: Spanning-tree protocol-version rstp 查看结果，是否打开了STP协议： HP ProCurve Switch 2626# show run Running configuration:

J4900A Configuration Editor; Created on release #H.08.53 hostname \"HP ProCurve Switch 2626\"

第 19 页 共 44 页 snmp-server community \"public\" Unrestricted vlan 1

name \"DEFAULT_VLAN\" untagged 1-26

ip address dhcp-bootp exit

spanning-tree protocol-version STP

重新配置每个端口的STP协议： 语法：spanning-tree < port-list > path-cost < 1 - 65535 > priority < 0 - 255 > mode< norm | fast >

实例：将端口C5,C6配置成路径消耗15，间隔100使用快速模式 HP ProCurve Switch 2626(config)# spanning-tree c5-c6 path-cost 15 priority 100 mode fas

2.8 实验 一、实验架构 󰂄 演示设备5304一台、2626二台、WEB_SERVER一台、客户PC4 󰂄 模拟网络规划： 一楼有（设备2626）： 1. A部门Clinet_1 在vlan 100 IP地址：172.16.1.100/24 2. B部门Clinet_2 在vlan 200 IP地址：172.16.2.100/24 第 20 页 共 44 页 三楼有（设备2626）： a) A部门Clinet_3 在vlan 100 IP地址：172.16.1.20/24 b) B部门Clinet_4 在vlan 200 IP地址：172.16.2.200/24 数据中心（设备5304xl）： WEB_Server 在vlan 300 IP地址：172.16.3.2/24 󰂄 功能实现 1. A部门与B部门都能访问数据中心WEB_Server 2. A部门与B部门不能互访； 3. 主干链路均采用冗余双链路，保证干路带宽的同时提供链路备份。 二、基本操作命令 1、设备调试前的准备 z 连接设备，进入终端调试界面 z 使用设备附带的Cab把交换机的console口与PC的232串口连起z 开启交换机，打开超级终端，设置波特率为默认 z 2、常用操作命令 5304xl#configure //进入特权模式5304xl(config)# interface ethernet A2 //进入接口A2 5304xl(eth-A2)#exit //退出接口模式5304xl(config)#ip routing //启用三层路由功能5304xl(config)#vlan 1 //进入vlan 1 5304xl(vlan-1)#ip address 192.168.0.1/24 //设置vlan接口的 ip地址 页 共 44 来 第 21 页 5304xl(vlan-1)#untagged A1-A4 //把A1-A4加入vlan 1里面 5304xl(vlan-1)#tagged A8 //把A8端口作为干路端口 5304xl(vlan-1)#exit //退出vlan接口 5304xl(config)#trunk Ethernet A5-A6 trk1 //把A5/A6作为链路聚合1组 5304xl(config)#show running-config //查看当前运行的配置 5304xl(config)#exit //退出特权模式 5304xl#write memory //保存当前运行的配置到RAM 5304xl#copy startup-config tftp 192.168.0.2 config //保存配置到TFTP服务器上 5304xl#reload //重启 三、实验配置 1、5304xl hostname \"test_5304xl\" //交换机命名

ip access-list extended \"100\" //制定扩展访问控制列表100

deny ip 172.16.1.1 0.0.0.255 172.16.2.1 0.0.0.255 //禁 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 //允许过

exit

module 1 type J4821A interface A1

name \"Link_client_1\" //命名接口 exit

interface A2

name \"Link_client_2\" exit

interface A3

name \"Link_Web_Server\" exit

trunk A1,A2 Trk1 Trunk //设置端口A1/A21

trunk A3,A4 Trk1 Trunk //设置端口A3/A42

ip routing //启用三层路由功能 snmp-server community \"public\" Unrestricted vlan 1

name \"Manage_vlan\" //vlan命名 untagged A6

ip address 10.1.1.1 255.255.255.0 //设置交换机的管理 no untagged A1-A5 exit vlan 100

name \"Test_1\"

第段访问2段 剩余的全部通为端口聚合组为端口聚合组地址 页 共 44 页 止1 22 ip address 172.16.1.1 255.255.255.0

tagged Trk1 //设置vlan100的干路端口为聚合端口Trk1

ip access-group \"100\" in ip access-group \"100\" out exit vlan 200

name \"Test_2\"

ip address 172.16.2.1 255.255.255.0

tagged Trk2 //设置vlan 100的干Trk2 exit vlan 300

name \"Web_server\" untagged A4 //把端口 ip address 172.16.3.1 255.255.255.0 exit

spanning-tree //启用生成树协议，2、2626_1 hostname \"test_2626_1\" ip routing trunk 25,26 Trk1 snmp-server community \"public\" Unrestricted vlan 1 name \"Manage_Vlan\" untagged 25-26 ip address 10.1.1.2 255.255.255.0 no untagged 1-24 exit vlan 100 name \"Test_1\" untagged 1-12 tagged trk1 exit vlan 200 name \"Test_2\" untagged 13-24 tagged trk1 exit spanning-tree 聚合端口入vlan 300防止形成环路 页 共 44 页路端口为A4加 第 23 3、2626_2 hostname \"test_2626_2\" ip routing trunk 25,26 Trk2 snmp-server community \"public\" Unrestricted vlan 1 name \"Manage_Vlan\" untagged 25-26 ip address 10.1.1.3 255.255.255.0 no untagged 1-24 exit vlan 100 name \"Test_1\" untagged 1-12 tagged trk2 exit vlan 200 name \"Test_2\" untagged 13-24 tagged Trk2 exit spanning-tree 4、测试结果 a) A部门与B部门都能访问数据中使用一楼或三楼的任意PC客户端，均能访问 b) A部门与B部门不能互访；A部门的PC客户端ping不通B的客户端； c) 主干链路均采用冗余双链路，计算机中心连接到一、三楼的主干到4G的流量（1000M全双工），WEB_Server 计算机中户端；B部门路带宽的同时双链路，链一根，另WEB Server； 户端也不能ping路备份。 常的时候主干链路仍然可以正常第 24 页A部门 44 心心的 部门的客的客通保证干提供链链路均是路都正路可以达当任意断掉一条链通信。 共页 第三章 第三层相关设置 3.1 VLAN间路由的配置 z VLAN间路由 我们知道，一个VLAN相当于一个的局域网，要想使两个VLAN之间进行正常通讯，需要使用一个三层的设备来完成VLAN之间的路由。HP的所有三层交换机都可以实现VLAN间的路由。 在HP交换机上，开启VLAN间路由的命令是 5304（config）# ip routing 在HP 00/5300/2600交换机上配置VLAN间路由的示例： 一台00交换机上划分了3个VLAN，分别为VLAN2 ,VLAN3 ,VLAN4对应的IP网段为192.168.1.0/24;192.168.2.0/24;192.168.3.0，在交换机上的配置为： 5304（config）# Ip routing Vlan 2 Untagged A1-A4 Tagged B1 Ip address 192.168.1.1 255.255.255.0 Vlan 3 Untagged A5-A10 Tagged B1 Ip address 192.168.2.1 255.255.255.0 Vlan 2 Untagged A11-A14 Tagged B1 Ip address 192.168.3.1 255.255.255.0 接在A1-A4端口上PC机设置本机地址为：192.168.1XX/24网关为192.168.1.1 接在A5-A10端口上PC机设置本机地址为：192.168.2XX/24网关为192.168.2.1 接在A1-A14端口上PC机设置本机地址为：192.168.3.XX/24网关为192.168.3.1 即可以由/53/26系列交换机完成VLAN间的路由 3.2 静态路由的配置 路由选择表获取信息的方式有两种，以静态路由表项的方式手工输入信息，或者通过几种自动信息发现和共享系统（动态路由选择协议）之一自动地获取信息。我们先来看下静态路由。 静态路由条目的格式： 5304(config)# ip route 10.1.1.1 255.0.0.0 172.16.1.1 目的网络 下一跳（出口对端接口地址） 第 25 页 共 44 页 缺省路由： 缺省路由是指本交换机中所有的路由表项都没有符合一个IP包的目的地址的时候交换机将这些数据包发送到什么地方去。 5304(config)# ip route 0.0.0.0 0.0.0.0 172.16.5.1 3.3 RIP路由协议基本概念 路由选择信息协议（RIP）作为最早的距离矢量型IP路由选择协议仍然被广泛地使用着，当前存在着两个版本。版本1（RIPv1）和版本2（RIPv2）的区别是，RIPv1是有类别路由选择协议，而RIPv2是无类别路由选择协议。RIPv2对RIPv1的功能作了部分增强。 RIP协议的处理是通过UDP 520端口来操作的。所有的RIP消息都被封装在UDP数据

RIP的度量是基于跳数报文中，其中数据报文的源和目的端口字段被设置为520。（hop count）

的，1跳表示的是与发出通告的路由器相直连的网络，16跳表示网络不可到达。 HP 00/5300支持RIP路由协议,而2600系列不支持RIP路由协议 3.4 RIP的配置 交换机A与B之间运行RIP路由协议,配置如下 交换机A的配置 Switch_A(config)# vlan 10 Switch_A(vlan-10)# untag a1 Switch_A(vlan-10)# ip address 10.10.10.2/24 Switch_A(vlan-10)# exit Switch_A(config)# ip routing Switch_A(config)# router rip Switch_A(rip)# vlan 10 第 26 页 共 44 页 Switch_A(vlan-10)# ip rip Switch_A(vlan-10)# vlan 20 Switch_A(vlan-20)# untag b1 Switch_A(vlan-20)# ip address 20.20.20.2/24 交换机B的配置 Switch_B(config)# vlan 10 Switch_B(vlan-10)# untag a1 Switch_B(vlan-10)# ip address 10.10.10.3/24 Switch_B(vlan-10)# exit Switch_B(config)# ip routing Switch_B(config)# router rip Switch_B(rip)# restrict 198.168.40.0/24 Switch_B(rip)# vlan 10 Switch_B(vlan-10)# ip rip Switch_B(vlan-10)# vlan 30 Switch_B(vlan-30)# untag b1 Switch_B(vlan-30)# ip address 30.30.30.2/24 Switch_B(vlan-30)# vlan 40 Switch_B(vlan-40)# untag b4 Switch_B(vlan-40)# ip address 198.168.40.1/24 相关的查看命令 Switch_A# sh ip rip general RIP global parameters RIP protocol : enabled Auto-summary : enabled Default Metric : 1 Route changes : 7 Queries : 0 RIP interface information IP Address Status Send mode Recv mode Metric Auth --------------- ----------- ---------------- ---------- ----------- ---- 10.10.10.2 enabled V2-only V2-only 1 none RIP peer information IP Address Bad routes Last update timeticks --------------- ----------- --------------------- 10.10.10.3 0 27 Switch_B# sh ip rip general RIP global parameters RIP protocol : enabled Auto-summary : enabled Default Metric : 1 页 共 44 第 27 页 Route changes : 5 Queries : 0 RIP interface information IP Address Status Send mode Recv mode Metric Auth --------------- ----------- ---------------- ---------- ----------- ---- 10.10.10.3 enabled V2-only V2-only 1 none RIP peer information IP Address Bad routes Last update timeticks --------------- ----------- --------------------- 10.10.10.2 0 16 Switch_A# sh ip rip interface RIP interface information IP Address Status Send mode Recv mode Metric Auth --------------- ----------- ---------------- ---------- ----------- ---- 10.10.10.2 enabled V2-only V2-only 1 none Switch_B# sh ip rip interface RIP interface information IP Address Status Send mode Recv mode Metric Auth --------------- ----------- ---------------- ---------- ----------- ---- 10.10.10.3 enabled V2-only V2-only 1 none Switch_A# sh ip route rip IP Route Entries Destination Network Mask | Gateway Type Sub-Type Metric --------------- --------------- + --------------- --------- ---------- ------ 30.0.0.0 255.0.0.0 | 10.10.10.3 rip 2 Switch_B# sh ip route rip IP Route Entries Destination Network Mask | Gateway Type Sub-Type Metric --------------- --------------- + --------------- --------- ---------- ------ 20.0.0.0 255.0.0.0 | 10.10.10.2 rip 2 Destination Network Mask | Gateway Type Sub-Type Metric --------------- --------------- + --------------- --------- ---------- ------ 10.10.10.0 255.255.255.0 | VLAN10 connected 0 20.20.20.0 255.255.255.0 | VLAN20 connected 0 30.0.0.0 255.0.0.0 | 10.10.10.3 rip 2 127.0.0.0 255.0.0.0 | reject static 0 127.0.0.1 255.255.255.255 | lo0 connected 0 Switch_B# sh ip route IP Route Entries Destination Network Mask | Gateway Type Sub-Type Metric --------------- --------------- + --------------- --------- ---------- ------ 页 共 44 第 28 页 10.10.10.0 255.255.255.0 | VLAN10 connected 0 20.0.0.0 255.0.0.0 | 10.10.10.2 rip 2 30.30.30.0 255.255.255.0 | VLAN30 connected 0 127.0.0.0 255.0.0.0 | reject static 0 127.0.0.1 255.255.255.255 | lo0 connected 0 198.168.40.0 255.255.255.0 | VLAN40 connected 0 Switch_A# sh ip rip peer RIP peer information IP Address Bad routes Last update timeticks --------------- ----------- --------------------- 10.10.10.3 0 6 Switch_B# sh ip rip peer RIP peer information IP Address Bad routes Last update timeticks --------------- ----------- --------------------- 10.10.10.2 0 23 Switch_A# sh ip rip restrict RIP restrict list IP Address Mask --------------- --------------- Switch_B# sh ip rip restrict OSPF restrict list IP Address Mask --------------- --------------- 198.168.40.0 255.255.255.0 3.5 OSPF路由协议的基本概念 开放最短路径优先协议（Open Shortest Path First，OSPF）开发的路由选择协议，用来替代存在一些问题的RIP协议。现在，建议使用的内部网关协议（IGP）

。OSPF协议是一个链路状态协议，OSPF使用Dijkstra的最短路径优先算法（SPF），而且是开属于任何一个厂商或组织所私有。 像所有的链路状态协议一样，OSPF协议和距离矢量协议相的快速收敛，这样使OSPF协议可以支持更大的互连网络，息的影响。OSPF协议的其他一些特性有： z 使用了区域的概念，这样可以有效地减少路由选择协议对路由器的用，划分区域还可以降低路由选择协议的通信量，这使构扑成为可能； z 完全无类别地处理地址问题，排除了像不连续的子网题； z 支持无类别的路由选择表查询、VLSM和用来进行有z 支持无大小的、任意的度量值； Internet工程任务组（IETF）OSPF协议是IETF组织

正如它的命名所描述的，里所说的开放是指它不主要的改善就在于它受到有害路由选择信CPU和内存的占

一个层次化的互联网络拓类别路由选择协议的问

管理的超网技术； 第 29 页 共 44 页是由放的。这比，一个并且不容易建这样的有效地址 z z z z 支持使用多条路由路径的效率更高的等价负载均衡； 使用保留的组播地址来减少对不宣告OSPF报文的设备的影响； 支持更安全的路由选择认证； 使用可以跟踪外部路由的路由标记。 HP 5300系列交换机支持OSPF,00系列交换机需要许可证,2600系列不支持OSPF 3.6 OSPF的配置 如下图所示为两台交换机之间运行OSPF路由协议,以单一OSPF区域为例 交换机A的配置如下 Switch_A(config)# vlan 10 Switch_A(vlan-10)# untag a1 Switch_A(vlan-10)# ip address 10.10.10.2/24 Switch_A(vlan-10)# exit Switch_A(config)# ip routing Switch_A(config)# router ospf Switch_A(ospf)# area 0.0.0.0 Switch_A(ospf)# redistribute connected Switch_A(ospf)# vlan 10 Switch_A(vlan-10)# ip ospf area 0.0.0.0 Switch_A(vlan-10)# vlan 20 第 30 页 共 44 页 Switch_A(vlan-20)# untag b1 Switch_A(vlan-20)# ip address 20.20.20.2/24 交换机B的配置如下: Switch_B(config)# vlan 10 Switch_B(vlan-10)# untag a1 Switch_B(vlan-10)# ip address 10.10.10.3/24 Switch_B(vlan-10)# exit Switch_B(config)# ip routing Switch_B(config)# router ospf Switch_B(ospf)# area 0.0.0.0 Switch_B(ospf)# redistribute connected Switch_B(ospf)# restrict 198.168.40.0/24 Switch_B(ospf)# vlan 10 Switch_B(vlan-10)# ip ospf area 0.0.0.0 Switch_B(vlan-10)# vlan 30 Switch_B(vlan-30)# untag b1 Switch_B(vlan-30)# ip address 30.30.30.2/24 Switch_B(vlan-30)# vlan 40 Switch_B(vlan-40)# untag b4 Switch_B(vlan-40)# ip address 198.168.40.1/24 相关的查看命令: show ip ospf general show ip ospf interface show ip route ospf show ip route show ip ospf neighbor show ip ospf database link-state show ip ospf database external-link-state show ip ospf restrict 3.7路由重分发 当路由器使用路由选择协议进行路由通告时，由器将要执行重新分配。这里所谓的其他方式可能是连目标网络。例如，路由器可能同时运行OSPF来自RIP进程的路由，这就叫做重新分配RIP。下面的示例配置是在运行RIP和OSPF两个路由协议5304xl(config)# router rip 5304xl(rip)# redistribute ospf 5304xl(rip)# exit 5304xl(config)# router ospf 5304xl(ospf)# redistribute rip 一个路由选择协议、RIP间做取的，那么静态路由或OSPF进程通 31 页 共 44 如果该路由是通过其他方式获路另外直进程和进程。如果设置告 之重分发： 第页 5304xl(config)# show run router ospf area 0.0.0.1 area backbone redistribute rip exit router rip redistribute ospf exit 3.8 VRRP/XRRP配置 HP 00支持VRRP,需要许可证,5300支持XRRP,不需要许可证.我们仅对5300的XRRP作一介绍如下: 网络中两台HP5304XL交换机所采用的路由冗余协议XRRP，主要是用来在两台路由交换机之间实现失效切换的。XRRP相对于其他厂商所推出的路由冗余协议而言，该协议的优势就在于它可以通过配置实现两台设备对传输的数据共同分担负载，而且当其中一台设备down掉后，另一台设备可以立即接手它的全部工作。这样网络中心部分的单点产生故障后，网络还能照常运行。 相关配置如下： xrrp domain < 1-16 > 创建一个XRRP域组（如果要更改，则先NO XRRP） no xrrp disable（禁用）XRRP xrrp [ router < 1-2 >] 设置一个域组里XRRP路由器的编号 xrrp failback < 10-999 > 设置一个失效时间（秒），默认10S xrrp trap < trap-name | all > 设置XRRP发生哪些变化发送信息到SNMP服务器 xrrp instance < owner-router-number > < vlan-id > [advertise < 1-60 > | authentication < auth-string > | ip < ip-addr/mask-length >] owner-router-number——路由器编号（1/2）本端的和对端的； vlan-id——VRRP接口所在的vlan ID号； advertise——发送通告的频率（1～60）S； authentication——选择是否加密xrrp报文，默认关闭； ip——vlan接口的ip地址，对端的； 举例： 拓扑结构图如下： 第 32 页 共 44 页 配置一：服务器无线路冗余 配置二：服务器也线路冗余 第 33 页 共 44 页 3.9 DHCP Relay 的配置 DHCP请求的过程简单说是个广播，当一个DHCP客户端发出的请求广播报文是不能直接通过三层接口进行转发的。在划分了VLAN的网络中，必须使用DHCP relay功能为每个VLAN中的客户机分配IP地址。 例如某网络中划分了三个VLAN，使用一台DHCP服务器给这三个VLAN中的客户机分配IP地址，DHCP服务器中要配置三个DHCP的作用域，每个作用指定不同的IP地址池及路由器地址。 如图的交换配置如下: 第 34 页 共 44 页 在交换机上对应的每个VLAN启用dhcp relay 配置如下： HP ProCurve Switch 5304XL>enable HP ProCurve Switch 5304XL# config term HP ProCurve Switch 5304XL(config)# ip routing HP ProCurve Switch 5304XL(config)# vlan 20 HP ProCurve Switch 5304XL(vlan-20)# untagged b3,b4 HP ProCurve Switch 5304XL(vlan-20)# ip address 10.10.20.1/24 HP ProCurve Switch 5304XL(vlan-20)# vlan 30 HP ProCurve Switch 5304XL(vlan-30)# untagged a1 HP ProCurve Switch 5304XL(vlan-30)# ip address 10.10.30.1/24 HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.2 HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.3 HP ProCurve Switch 5304XL(vlan-30)# vlan 40 HP ProCurve Switch 5304XL(vlan-40)# untagged c1 HP ProCurve Switch 5304XL(vlan-40)# ip address 10.10.40.1/24 HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.2 HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.3 HP ProCurve Switch 5304XL(vlan-40)# write mem HP ProCurve Switch 5304XL(vlan-40)# 第 35 页 共 44 页 第四章 安全与认证 4.1端口安全性(MAC绑定) IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员 进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者 即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MA C地址的网卡，进而查出非法盗用者。 目前，很多单位的内部网络，都采用了MAC地址与端口的绑定技术。下面我们就针对HP ProCurve 5300交换机介绍一下MAC地址绑定的设置。 5304xl(config)# port-security a3 learn-mode static mac-address 0013D426DE9 或 5304xl(config)# port-security a3 address-limit 2 learn-mode static mac-addr ess 0013d2-26de99 0013d3-26de98 Learn-mode static :交换机初始化状态下，端口的学习模式是自动学习MAC地址，所以在欲绑定MAC到端口的情况下需要把其改成静态模式。 查看A3接口绑定MAC的情况： 5304xl(config)# show port-security a3 Port Security Port : A3 Learn Mode [Continuous] : Static Address Limit [1] : 1 Action [None] : None Authorized Addresses -------------------- 第 36 页 共 44 页 0013d2-26de99 4.2访问控制表 访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 HP2600不支持访问控制表. 下面是对几种访问控制列表的简要总结。 ●标准IP访问控制列表 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 ●扩展IP访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 4．2．1标准访问控制列表 5304xl(config)# ip access-list standard <1-99> /*创建一个标准访问列表 5304xl(config-std-nacl)# permit /*定义规则 5304xl(config-std-nacl)# deny /*定义规则 5304xl(config)# vlan 100 /*进入接口 5304xl(vlan-100)# ip access-group 1 /*应用在该接口 4．2．2扩展访问控制表 5304xl(config)# ip access-list extended <100-199> /*创建一个扩展访问列表 5304xl(config-ext-nacl)# permit {eq|gt|lt|neg|range}{端口号或者应用} /*定义规则 5304xl(config)# vlan 100 /*进入接口 5304xl(vlan-100)# ip access-group 100 /*应用在该接口 4.4 802.1X认证 随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。IEEE802.1x协议具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的问题，更加适合在宽带以太网中的使用。 第 37 页 共 44 页 IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。 IEEE802系列LAN标准是目前居于主导地位的局域网络标准，传统的IEEE802协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如传统的LanSwitch，用户就可以访问局域网中的设备或资源，这是一个安全隐患。对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在计费的需求。 IEEE802.1x是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。 下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。 1．IEEE802.1x体系介绍 虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端

Station，这是基于物理口。典型的应用方式有：LanSwitch 的一个物理端口仅连接一个 End 802.11定义的无线 LAN 接入方式是基于逻辑端口的。 端口的； IEEE Supplicant System，Authenticator IEEE802.1x的体系结构中包括三个部分：用户接入设备；

System，接入控制单元；Authentication Sever System，认证服务器。 在用户接入层设备（如LanSwitch）实现 IEEE802.1x的认证系统部分，即Authenticator；IEEE802.1x的客户端一般安装在用户PC中， 典型的为Windows XP操作系统自带的客户端；IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。 Supplicant与Authenticator间运行IEEE802.1x定义的EAPOL协议；Authenticator 与 Authentication Sever 间同样运行 EAP 协议，EAP 帧中封装了认证数据，将该协议承载在其他高层次协议中，如 Radius，以便穿越复杂的网络到达认证服务器。 Authenticator每个物理端口内部有受控端口（Controlled Port）和非受控端口（unControlled Port）等逻辑划分。非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证随时接收Supplicant发出的认证EAPOL报文。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合，例如管理员远程唤醒一台计算机(supplicant)。 2．IEEE802.1x认证过程简介 IEEE802.1x通过 EAP 承载认证信息，共定义了如下 EAP 包类型： l EAP-Packet，认证信息帧，用于承载认证信息； l EAPOL-Start，认证发起帧，Supplicant 和 Authenticator 均可以发起； l EAPOL-Logoff，退出请求帧，可主动终止已认证状态； l EAPOL-Key，密钥信息帧，支持对 EAP 报文的加密； l EAPOL-Encapsulated-ASF-Alert，用于支持 Alert Standard Forum （ASF）的 Alerting 消息； 其中 EAPOL-Start，EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 间存在，在交换机和认证服务器间，EAP-Packet报文重新封装承载于Radius协议之上，以

EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息，便穿越复杂的网络到达认证服务器。

例如各种告警信息，由 Authenticator 终结。 5．IEEE802.1x配置 试验环境： radius服务器地址：172.16.12.128，设置有一个帐户，共享key为111,以WINDOWS 2000第 38 页 共 44 页 的IAS为RADIUS服务器 5304一台，配备一块4P10/100/1000电口模块 5304配置如下： iprouting vlan 1 name \"DEFAULT_VLAN\" untagged A1-A4 ip address 172.16.12.130 255.255.255.0 exit vlan 200 name \"test_1\" untagged A2 ip address 172.16.22.1 255.255.255.0 exit vlan 300 name \"test_2\" untagged A3 ip address 172.16.33.1 255.255.255.0 exit aaa authentication port-access chap-radius radius-server key 111 radius-server host 172.16.12.128 key 111 aaa port-access authenticator A2-A4 aaa port-access authenticator A2 auth-vid 200 aaa port-access authenticator A3 unauth-vid 300 aaa port-access authenticator active 在该配置下,客户端使用WINDOWS 2000 SP3求输入用户名及密码. 4.5 WEB认证 WEB认证是对客户端认证的一种方法，认证过一个WEB窗口，用户在输入用户名和密码后，封务器认证，认证成功后赋予客户端接入权限。 配置如下： test_5304xl(config)# aaa port-access web-based

test_5304xl(config)# aaa port-access web-based

test_5304xl(config)# aaa port-access web-based \"http://www.hp.com.cn/index.html\"

test_5304xl(config)# aaa port-access web-based

,连入SSL client ssl redirectaddr 入请求时发RADIUS.255.255页 共 44 以上时网络就会弹出一个认证窗口要程为：设备在得到客户端接送装到报文中，去往后台服A2-limit 32 A2-login A2-url dhcp-172.16.12.0 255.0 第 39 页 test_5304xl(config)# aaa port-access web-based dhcp-lease 25

在WEB认证方式下,客户端连入交换机后需打开一个浏览器,交换机会返回一个页面给客户机要求输入用户名及密码 4.6 MAC认证 MAC 认证是一种最简便的客户端接入控制方式， 认证过程对无线（有线）客户端来说是透明的。MAC 认证方式有2种：第一种称为“ MAC-RADIUS ”认证：设备在得到客户端 MAC 地址后，将 MAC 地址作为用户名和密码，封装到 RADIUS 报文中，去往后台 RADIUS 服务器去认证，认证成功后赋予客户端接入权限；第二种称为“ MAC-ACL ”方式，在设备上保存一份 MAC 地址列表，每次认证时在本地查表来确认客户端是否可以合法接入。 配置如下： 5304XL(config)#aaa port-access mac-based [e] < port-list > 如： 5304XL(config)# aaa port-access mac-based a2 4.7病毒抑制技术的原理与配置 对于企业网络，网络防病毒技术越来越受到管理者的高度重视，因其泛滥会直接影响办公及业务，造成高额的经济损失。现在网络中普遍采用的反病毒解决方案，如防病毒软件、防病毒防火墙、入侵检测系统等，但这也并不能免受诸如Sasser、Slammer等蠕虫病毒或新病毒肆意入侵所造成的严重的破坏。出现这种现象的主要原因在于： 一、反病毒技术主要依靠病毒特征码来识别病毒，在没有出现能识别这种特征码之前，

用户依旧处于被动的被攻击的地位。及在出现病毒及防病毒特征码出现之前的一段时间内，类似蠕虫的病毒就可以以毫秒级的速度不被的进行传播，造成网络带宽被耗尽、网络的传输设备如交换机的内存、cpu被耗尽、所有交换机的端口被阻塞，相信很多人都有过台式机因病毒导致内存、CPU的利用率都达到接近100％的状态，那是我们能做的就是开机、关机。 二、入侵检测系统技术(IPS)曾被广泛的认为可以解决上述的问题，因它不依赖病毒的特

征码，也无需人工干预，当出现病毒侵袭时，显示一点或多点对多点的连接数量增加，造成整体网络流量负载增加，网络状态异常，显示病毒出现预兆的报警信息。 HP通过在00/5300专利技术的IPS技术组件，具有virus throtting功能，将网络防病毒技术提高到一个新的层次，这种技术并不是依靠病毒特征码进行病毒的识别，它无需外置IPS模块，而是根据类似蠕虫病毒的特性来进行病毒的划分，识别可路由vlan上的数据特性，可通过简单的系统软件免费升级便可智能的进行病毒的抑制、阻断的防御，在不增加网络负担、管理复杂的前提下，将对病毒的反应所需的时间缩短到病毒出现的时间。 HP 2600不支持该功能 病毒抑制功能的实现在配置上主要分为一下几步： 一、在全局模式下对不同的连接次数设定敏感度 5308switch(config)#connection-rate-filter sensitivity 抑制模式 同一源地址连接请求时

间频率 low < 0.1 秒 对目的主机连接频率 处罚时间间隔 < 30 秒 第 40 页 共 44 页 Medium High aggressive < 1.0 秒 < 1.0 秒 < 1.0 秒 37 22 15 30－60秒 60－90秒 90－120秒 二、配置端口抑制模式 在全局配置模式下配置端口抑制 5308switch(config)#filter connection-rage 如果交换机检测到从一台主机发出特定数量可路由的ip连接请求 notify-only: 产生错误日志,发送信息到snmp主机； throttle: 产生错误日志,发送信息到snmp主机，同时在处罚间隔内处罚时间过期后，端口允许此主机进行网络连接，同时检如果依旧出现可疑的行为，交换机阻断连接端口； block: 产生错误日志,发送信息到snmp主机，同时阻断所有路由与交换的流量数据举例： hp5308(config)#connection-rate-filter sensitivity low hp5308(config)#filter connection-rate b1 notify-only hp5308(config)#filter connection-rate a1-a4 throttle hp5308(config)#filter connection-rate b9 block 三、ACL的端口抑制 此功能可对源IP地址、TCP/UDP端口等进行端口抑制 举例： hp5308（config）#show config startup configuration: hostname “hp5308” connction-rate-filter sensitivity medium ip access-list connection-rate-filter “ignore server” filter ip 192.168.0.0 0.0.0.255 ignore ip 0.0.0.0 255.255.255.255 exit vlan 2 untagged a1-a4 Ip add 192.168.1.1 255.255.255.0 Ip connection-rate-filter-access-group “ignore server” connection-rage a1-a4 bloack 连接端口，

41 页 共 44 阻断测端口数据流量， ； Filter 第页 第五章 组播协议 5.1组播基本概念 z 组播协议分为主机-路由器之间的组成员关系协议和路由器-路由器之间的组播路由

协议。 z 组成员关系协议包括IGMP(互连网组管理协议议及域间组播路由协议。 z 域内的组播协议又分为密集模式与稀疏PIM-DM，DVMRP协议。 组播IP地址： z 组播地址范围 Î 224.0.0.0－239.255.255.255 z 保留组播地址 Î 224.0.0.0－224.0.0.255 z 本地管理组地址 Î 239.0.0.0－239.255.255.255 z 用户组播地址 Î 224.0.1.0－238.255.255.255 组播MAC地址： Î 以太网： 01-00-5e-xx-xx-xx 5.2 IGMP的配置 IGMP（Internet Group Management Protocol）协议是 5304xl(config)# ip multicast-routing 5304xl(config)#vlan 100 5304xl(vlan 100)#ip igmp 5.3 PIM的配置 z PIM协议分为： Î PIM_DM（协议无关组播_密集Î PIM_SM（协议无关组播_稀疏 HP ProCurve 00支持PIM_SM/DM.5300系列)。组播路由协议分为域内组播路由协议主要使用主机与路由器之间唯一信令协议PIM-DM。 第 42 PIM-SM，

共 44 页 组播路由协

模式。域内模式） 模式） 支持组播路由协议页 5304xl(config)#ip multicast-routing 5304xl(config)#vlan 100 5304xl(vlan 100)#ip pim HP 5300支持PIM,00需要许可证,2600不支持PIM 第 43 页 共 44 页 附件A:00交换机的许可证安装与删除 HP 00系列交换机的OSPF/VRRP/PIM等功能需要购买一个LICENSE才可以使用,在适当的时候使用这些高级特性,不使用的时候可以不需购买该许可证从而减少设备成本. 要使用该许可证需进行以下的步骤: 1,购买一个Premium-Edge许可证,将会获得一个注册的ID 2,在交换机的配置界面中产生一个硬件相关的ID,命令如下 licenses hardware-id premium-edge 3,进入My ProCurve 网站,输入您的注册ID及硬件相关ID https://my.procurve.com/index.aspx?ReturnUrl=%2fprofile%2fprofilewelcome.aspx 4, My ProCurve网站会产生一个许可证的KEY通过EMAIL发送给您 5,在交换机的命令行中打入如下的命令激活该许可证 licenses install premium-edge 6,重启交换机 使用show license命令查看结果: show licenses Feature Group License Status ============== ============== Premium-edge Installed OSPF PIM-SM/DM VRRP 如果在某台交换机上不使用该许可证,可以将它迁移到其它交换机中,过程如下: 1,使用命令行输入: licenses uninstall premium-edge 2,交换机会返回一个认证的KEY,如 SG433PN01G-V-2VJ7GXP-7MD97GP-FHCWBQW-CPD2WT4 3,进行My ProCurve portal 输入该认证KEY及原注册ID 4,My ProCurve 将返回一个新的注册 5,使用该新的注册ID重新为另一台设备申请许可证 第 44 页 共页 44