intel第11代处理器(Intel Tiger Lake),采用新的Intel Volume Management Device(VMD)技术,可以优化储存装置的数据处理效率与耗电量。搭载11代U的机器在安装windows10时会遇到找不到硬盘的情况。
如果主板BIOS界面中有VMD设置项,也可以在BIOS中将VMD功能关闭
没有的话,只能按照下面的方法安装.
当您安装Windows 10零售版/企业版本操作系统时,都需要在安装过程中加载IRST 驱动程序才能正常安装。
如果您的计算机是英特尔第11代处理器(Intel Tiger Lake),且遇到安装Windows 10的过程中无法找到驱动器(硬盘),可以参考以下步骤加载IRST驱动来解决问题。
点击下载 Intel Rapid Storage Technology (IRST) 驱动程序,并将其复制到安装U盘,(压缩包,需要解压缩至U盘),在Windows10安装界面,点击加载驱动程序,选择解压缩的文件目录,按提示信息安装即可(Intel RST VMD Controller 9A08 (TGL))。
一、用户名或密码错误
该报错一般为添加摄像头密码错误导致:
进入“配置→通道管理→通道配置→IP通道”,选择报错“用户名或密码错误”的监控点,点击右边“操作”按钮。
输入摄像机正确激活密码,点击“添加”即可。
注:如不确定密码,可通过微信关注海康威视公众号,找回密码。
二、用户被锁定
该报错一般为重复用错密码添加摄像头导致:
首先进入录像机配置→通道管理→通道配置→IP通道,选择提示用户被锁定的IP通道,点击“删除”,删除该通道。
“将删除的摄像机断电重启一次“或者“进入配置→网络配置→基本配置界面,修改录像机的IPV4地址最后一位。
(如192.168.1.64改为192.168.1.100,注意请勿与局域网其他设备IP冲突)以解除摄像头锁定状态。
最后进入录像机配置→通道管理→通道配置→IP通道界面,在“已添加设备列表”栏:点击“添加”,输入摄像机IP地址、协议(默认海康威视)、管理端口(默认8000)、摄像机用户名(默认admin)、摄像机密码(摄像机的激活密码)后,点击“添加”。
三、网络不可达
该报错一般为网络连接异常导致:
进入配置—通道管理—通道配置—IP通道界面,选择报错“网络不可达”的通道,点击“删除”,然后点击“刷新”,在“在线设备列表”查看刷新情况:
如果对应摄像头的IP地址刷新不出来了,一般是因为摄像头的信号无法正常传输至录像机,建议优先检查摄像头供电、摄像头和交换机之间的线路问题。(只有能够稳定的搜索到摄像头IP,摄像头才能正常添加)
如果能刷新出摄像机,则需要检查刷新出来的摄像头的IP地址是否与录像机IP地址在同一个网段,我们可以进入配置—网络配置—基本配置界面确认录像机的IP地址:
若不在同一网段,则需修改摄像头的IP网段(即:IP地址的前3位)和录像机保持一致。(例如192.168.1.64改为192.168.1.X,且X不能为1)
方法:进入配置—通道管理—通道配置—IP通道—在线设备列表里找到已删除摄像机,选中摄像机,点击“编辑”,修改摄像机IP与录像机同网段,后再点“添加”输入摄像机信息即可。
四、IP通道异常
确认摄像机是否同时添加到多台录像机,如有请保证该摄像机只被这一台录像机添加。
检查摄像机IP是否与局域网其他设备IP冲突。可以在配置—通道管理—通道配置—IP通道,先删除提示“IP通道异常”的设备,再选中已删除的设备,点击“编辑”修改设备IP地址最后一位(或将摄像机断电重启),后重新添加。
若摄像机密码与录像机一致,则直接在“在线设备列表”,选中需要添加的监控点,点击“添加”即可。
若摄像机密码与录像机不一致,在“已添加设备列表”栏,点击“添加”,输入摄像机IP地址(或者列表选中需添加的摄像机)、协议(默认海康协议)、管理端口(默认8000)、用户名(默认admin)、摄像机密码(摄像机的激活密码)后,点击“添加”。
确认摄像机是否经过复杂网络,如光纤,网桥和多层交换网络等,可以将摄像机与录像机直连测试。
如上述都不成功,尝试局域网网页访问摄像机确认是否能登陆并看到图像。
如果网络通畅,协议支持,用户名密码都正确,还是提示IP通道异常,请提供摄像机及录像机型号,版本,序列号与海康售后联系
五、未认证的设备
该报错主要是协议填写错误导致:
首先确认摄像机是海康摄像机还是第三方摄像机;
进入“配置→通道管理→通道配置→IP通道”,选择报错“未认证的设备”的监控点,点击右边“编辑”按钮。
若是海康摄像机,将通道删除,重启摄像机,在“已添加设备列表”栏,点击“添加”,输入摄像机IP地址(或者列表选中需添加的摄像机)、协议(默认海康协议)、管理端口(默认8000)、用户名(默认admin)、摄像机密码(摄像机的激活密码)后,点击“添加”。若还是不行,提供摄像机录像机的型号版本反馈客户人员。
若是第三方摄像机,将通道删除,重启摄像机,在“已添加设备列表”栏,点击“添加”,输入摄像机IP地址(或者列表选中需添加的摄像机)、协议(ONVIF协议,且需要确保摄像机已经开启协议)、管理端口(默认8000)、用户名(默认admin)、摄像机密码(摄像机的激活密码)后,点击“添加”。
六、通道资源达到上限
录像机最大支持通道数量是有限的。
例如7808N-K1/C录像机,最多接入8个摄像机,若是超过8台,建议更换更多接入通道的录像机或是增加录像机。
如果阵列卡型号为:
Perc10(H740P/H740),通过F2或iDRAC WEB界面进行配置
Perc9阵列卡(H730P/H730/H330)通过修改BIOS的启动模式为BIOS MODE来实现
根据产品设计,PSU会在以下几种情况下关闭电源风扇。因此,您会观察到此时电源风扇是不转的,这是正常现象。
1、如果使用的电源设备电源为 15% 或更少,则电源设备风扇会关闭,以确保较低的噪声级别。服务器将继续正常工作,不会导致电源设备过热。
2、如果服务器使用的电源设备电源超过 15%,则电源设备风扇将开启,并以适当的转速旋转,以确保适当的工作温度。
3、当服务器开机或运行 ePSA 诊断程序时,电源设备风扇不会旋转。
4、在低额定功率情况下出现同样的症状时,PSU风扇不会旋转。
以Dell PowerEdge T40服务器为例:
T40 PSU LED 可帮助判断 PSU 功能状态。要验证电源设备工作是否正常,可以按电源设备上的内置自检 (BIST) 开关按钮。
如果您发现电源风扇转速为0而又不符合新功能定义的几种特殊情况下关闭电源风扇的,可以通过以下步骤对电源设备做检查。
1、关闭服务器。
2、断开电源线与电源设备的连接,并等待 15 秒钟。
3、15 秒钟后,将电源线重新连接至 PSU。
4、按 PSU BIST 按钮。
如果按 BIST 按钮时 LED 亮起并保持亮起状态,则表示电源装置正常工作。
如果 LED 未亮起,则表示 PSU 出现故障。
我们可以继续执行相应步骤来确定有故障的电源设备。
1、断开电源线与电源装置的连接。
2、断开内部 PSU 线缆与主板和每个内部设备的连接。
3、将电源线连接到 PSU。
4、按“PSU BIST”按钮。
如果按 BIST 按钮时 LED 亮起并保持亮起状态,则表示电源装置正常工作。
如果 LED 未亮起,则表示电源设备出现故障。
开机提示:
Memory/battery problems were detected.The adapter has recovered, but cached data was lost.Press any key to continue”(检测到内存/电池问题。适配器已恢复,但缓存数据丢失。按任意键继续)错误及其它内存相关的错误进行故障诊断。
故障相关:
操作系统指示异常关机
操作系统指示出现错误(Windows出现蓝屏)
自行断电情况
故障诊断:
一、重新引导至操作系统
如果操作系统引导成功,则再次重新引导应该不会再显示消息。
二、清除控制器高速缓存
SCSI控制器(PERC 3、PERC 4):按CTRL-M。
SAS/SATA控制器(PERC 5、PERC 6和更新的控制器):按CTRL-R。
等待5分钟以清除缓存内容。
重新引导至控制器BIOS。
如果错误消除,则引导至操作系统。
如果操作系统引导仍然不成功和/或错误仍然存在,这可能表明是操作系统问题。
三、检查物理PERC控制器
检查DIMM和DIMM插槽是否损坏。
1.关机并拔下电源线。
2.等待 30秒钟,让系统释放弱电。
3.卸下PERC控制器。有关卸下和更换此系统中的部件的详细说明,请参阅戴尔支持站点上的“User’s Guide”(用户指南)。
4.卸下RAID内存电池。请记住,插入DIMM后再重新安装内存电池。
5.从控制器中取出内存DIMM(如果适用)。
6.检查DIMM插槽的针脚是否弯曲或有其它损坏。检查内存DIMM的边缘连接器是否有任何损坏。
如果控制器具有嵌入式内存或内存插槽已损坏,将需要更换PERC控制器。
如果内存已损坏,则需要更换控制器内存。
如果没有损坏,则更换内存DIMM,然后重新安装控制器。
将控制器内存与已知良好的内存交换(如果可能)。
没有已知良好的内存可用:联系支持人员。
已知良好的内存没有发生错误:更换内存。
已知良好的内存仍然出现错误:更换PERC控制器。
Combo接口是一个光电复用的逻辑接口,一个Combo接口对应设备面板上一个GE电接口和一个GE光接口。电接口与其对应的光接口是光电复用关系,两者不能同时工作(0当激活其中一个接口时,另一个接口就自动处于禁用状态),用户可根据组网需求选择使用电接口或者光接口。
电接口和光接口共用一个接口视图。当用户需要激活电接口或者光接口、配置电接口
或者光接口的属性(如速率、双工模式等)时,只需要在同一接口视图下配置即可。
配置注意事项
1、Combo接口中的电接口与光接口是光电复用关系,Combo光口不支持使用光
电模块。
2、Combo接口工作模式为自动选择模式时,只要Combo光口已插上光模块,则
设备重启后,Combo接口都将选择光口模式。
3、强制指定Combo接口的工作模式时,需要根据本端与对端设备连接的接口类
型进行配置。如果本端Combo电口与对端电口相连,则需要强制指定Combo
接口的工作模式为copper;如果本端Combo光口与对端光口相连,则需要强
制指定Combo接口的工作模式为fiber。若选择的模式与对端接口不一致,会
导致与对端接口对接失败。
组网需求
如图所示,用户主机PC1、PC2和PC3分别与Switch的接口GE1/0/1、GE1/0/2和
GE1/0/3相连,Switch通过Combo接口GE1/0/4上行接入Internet网络。用户可根据
Internet网络侧接口类型(本例中对端Internet网络侧接口为电接口)选择使用Combo
接口工作模式。
配置接口强制工作在电口模式,实现Combo接口工作模式稳定,不会随对外连接
介质变更(例如插上GE光模块)而改变其工作模式。
配置步骤
以图中所示的接入交换机ACC1(S2750),核心交换机CORE(S5700)和出口路由器Router(AR系列路由器)为例。
注:
1、在中小园区中,S2700&S3700通常部署在网络的接入层,S5700&S6700通常部署在网络的核心,出口路由器一般选用AR系列路由器。
2、核心交换机配置VRRP保证网络可靠性,配置负载分担有效利用资源。
3、每个部门业务划分到一个VLAN中,部门间的业务在CORE上通过VLANIF三层互通。
4、核心交换机作为DHCPServer,为园区用户分配IP地址。
5、接入交换机上配置DHCPSnooping功能,防止内网用户私接小路由器分配IP地址;同时配置IP报文检查功能,防止内网用户私自更改IP地址。
数据规划
快速配置中小园区
配置管理IP和Telnet
配置网络互连互通
配置DHCP
a.配置DHCP服务器
网络管理员为每个终端配置固定的IP地址,当网络规模逐渐增大,为终端手工配置地址变得繁琐和难以管理。为减轻管理负担,管理员决定所有终端用户全部改为自动从DHCP服务器获取地址,除了个别必须固定地址的终端。
配置核心交换机作为DHCP Server,使所有部门的用户都能动态获取到正确的IP地址。以下以CORE1作为主用DHCP Server,以部门A为例,说明DHCP Server的配置步骤
b.配置DHCPsnooping和IPSG
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCPSnooping功能。
以下以部门A为例,说明DHCPSnooping的配置过程。
完成上述配置之后,部门A的用户就可以从合法的DHCP服务器获取IP地址,内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCPSnooping功能后,还需要开启IP报文检查功能,具体配置以ACC1为例。
这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能。
配置OSPF
由于内网互联使用的是静态路由,在链路出现故障之后需要管理员手动配置新的静态路由,造成网络长时间中断,影响业务。为了减少这种故障的发生,使用动态路由协议是一种不错的选择。动态路由有自己的算法,在链路出现故障之后动态路由根据自己的算法及时把流量切换到正常的链路,等到故障恢复之后流量又切过来。下面以动态路由协议OSPF为例进行配置:
配置可靠性和负载分担
a.配置VRRP联动接口检测链路
当CORE1到出口路由器的链路出现故障后,流量会通过CORE1到CORE2的互联链路经由CORE2到达出口路由器,此时就增加了互联链路负担,对互联链路的稳定性和带宽负载要求都很高。现网环境中我们往往希望主备设备的上行接口出现故障的时候可以实现主备的快速切换,通过配置VRRP与接口状态联动功能可以实现此快速切换。在VRRP备份组中配置对上行接口进行监听,当监听到接口down了,设备会通过降低优先级来实现主备切换。
b.配置负载分担
随着业务的增长,经由CORE1的链路带宽占用率太高,但是经过CORE2的链路是闲置的,这样不但可靠性不好而且浪费资源,有效利用左右两边两条链路显得尤为重要。把VRRP主备备份配置为负载分担,一些VLAN以CORE1为主设备,另一些VLAN以CORE2为主设备,不同VLAN的流量被分配到了左右两条链路上,有效的利用现网资源。此处CORE1继续作为VLAN10的主设备,修改CORE2的优先级使其成为VLAN20的主设备。
配置链路聚合
当CORE1或者CORE2的上行发生故障时,流量经过CORE1和CORE2互联的链路,但是单条链路有可能带宽不够,因而造成数据丢失。为了增加带宽,把多条物理链路捆绑为一条逻辑链路,增加带宽的同时提高了链路的可靠性,具体配置如下:
CORE2的配置同上,只是无需配置系统优先级,使用系统默认的优先级即可。
配置限速
a.基于IP地址限速
由于交换机配置每IP限速不是很方便而且需要消耗大量的硬件ACL资源,所以我们只能在AR路由器上配置每IP限速。
由于带宽有限,不能影响正常办公,需要限制内网每个IP地址上传和下载的网速不能超过512kbit/s,在出口路由器连接内网交换机的物理接口做每IP限速。
b.基于网段总流量限速
随着业务的增长,为了给部门A留有足够的带宽,需要对部门B进行网速限速,要求部门B访问互联网的网速不能超过2M,下载的网速不能超过4M。
接口GE0/0/2及其他网段做限速的方式同上。
配置映射内网服务器和公网多出口
a.配置映射内网服务器
随着业务的发展,内网的WWW服务器和FTP文件服务器不能仅限于内网用户访问,对外也要提供服务,公网和内网用户都要通过公网地址来访问服务器提供的服务
内网接口GE0/0/2的配置同上。
b.配置公网多出口
刚开始企业在运营商只申请了一条链路,随着业务的发展,一条链路不能满足企业的网络带宽,需要在原有链路的基础上再申请一条链路,由原来的单出口改为双出口,对内网不同的网段进行控制让其走指定的链路上网。
配置完策略路由之后,内网192.168.10.0网段的数据访问互联网走的是GE0/0/0接口,而192.168.20.0网段的数据访问互联网走的是GE1/0/0接口,通过PPPoE拨号上网。
业务验证和保存配置
a.业务验证
保存配置
通过命令行配置的数据是临时性的。如果不保存,交换机重启后这些配置都会丢失。
如果要使当前配置在交换机重启后仍然有效,需要将当前配置保存为配置文件。
以CORE1为例:
本文配置步骤以图中所示的接入交换机ACC1(S2750),核心交换机CORE(S5700)和出口路由器Router(AR系列路由器)为例。
说明:
1、在小型园区中,S2700&S3700通常部署在网络的接入层,S5700&S6700通常部署在网络的核心,出口路由器一般选用AR系列路由器。
2、接入交换机与核心交换机通过Eth-Trunk组网保证可靠性。
3、每个部门业务划分到一个VLAN中,部门间的业务在CORE上通过VLANIF三层互通。
4、核心交换机作为DHCPServer,为园区用户分配IP地址。
5、接入交换机上配置DHCPSnooping功能,防止内网用户私接小路由器分配IP地址;同时配置IPSG功能,防止内网用户私自更改IP地址。
数据规划,如下表:
配置方式:
配置管理IP和Telnet
配置设备管理IP地址后,可以通过管理IP远程登录设备,下面以交换机CORE为例说明配置管理IP和Telnet的方法。
1、配置管理IP地址。
<HUAWEI> system-view
[HUAWEI] vlan5//创建交换机管理VLAN 5
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif5
[HUAWEI-vlanif5] ipaddress 10.10.1.1 24
[HUAWEI-vlanif5] quit
2、将管理接口加入到管理VLAN
[HUAWEI] interface GigabitEthernet0/0/8 //假设连接网管的接口为GigabitEthernet0/0/8
[HUAWEI-GigabitEthernet0/0/8] port link-type trunk
[HUAWEI-GigabitEthernet0/0/8] port trunk allow-pass vlan5
[HUAWEI-GigabitEthernet0/0/8] quit
3、配置Telnet
[HUAWEI] telnet server enable //Telnet出厂时是关闭的,需要打开
[HUAWEI] user-interface vty0 4 //Telnet常用于设备管理员登录,推荐使用AAA认证
[HUAWEI-ui-vty0-4] protocol inbound telnet
//V2R6及之前版本缺省支持telnet协议,但是V2R7及之后版本缺省的
是SSH协议,因此使用telnet登录之前,必须要先配置这条命令。
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789 //配置管理员Telnet登录交换机的用户名和密码。用户名不区分大小写,密码区分大小写
[HUAWEI-aaa] local-user admin privilege level 15
//将管理员的账号权限设置为15(最高)
[HUAWEI-aaa] local-user admin service-type telnet
4、在维护终端上Telnet到交换机。出现用户视图的命令行提示符表示登录成功。
C:\Documents and Settings\Administrator> telnet 10.10.1.1
//输入交换机管理IP,并回车
Login authentication
Username:admin//输入用户名和密码
Password:
Info: The max number of VTY users is 5, and the number
of current VTY users on line is 1.
The current login time is 2014-05-06 18:33:18+00:00.
//用户视图命令行提示符
配置接口与VLAN
一.配置接入层交换机
1、以接入交换机ACC1为例,创建ACC1的业务VLAN10。
<HUAWEI>system-view
[HUAWEI] sysname ACC1//修改设备名称为ACC1
[ACC1] vlanbatch 10//批量创建VLAN
2、配置ACC1连接CORE的Eth-Trunk1,透传部门A的VLAN。
[ACC1]interface eth-trunk 1
[ACC1-Eth-Trunk1] port link-type trunk //配置为trunk模式,用于透传VLAN。
[ACC1-Eth-Trunk1] port trunk allow-pass vlan10
//配置Eth-Trunk1透传ACC1上的业务VLAN
[ACC1-Eth-Trunk1] mode lacp //配置Eth-Trunk1为LACP模式
[ACC1-Eth-Trunk1] quit
[ACC1] interface GigabitEthernet0/0/1 //将成员接口加入Eth-Trunk1
[ACC1-GigabitEthernet0/0/1] eth-Trunk 1
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet0/0/2
[ACC1-GigabitEthernet0/0/2] eth-Trunk 1
[ACC1-GigabitEthernet0/0/2] quit
3、配置ACC1连接用户的接口,使用户加入VLAN,并将接口配置成边缘端口。
[ACC1] interfaceEthernet 0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] port link-type access
[ACC1-Ethernet0/0/2] port default vlan10
[ACC1-Ethernet0/0/2] stpedged-port enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interfaceEthernet 0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] port link-type access
[ACC1-Ethernet0/0/3] port default vlan10
[ACC1-Ethernet0/0/3] stpedged-port enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interfaceEthernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] port link-type access
[ACC1-Ethernet0/0/4] port default vlan10
[ACC1-Ethernet0/0/4] stpedged-port enable
[ACC1-Ethernet0/0/4] quit
注:如果把ACC1下接入的用户都加入VLAN 10,为了配置简单,也可以ACC1上不配置VLAN,而是把CORE的Eth-Trunk1以access方式加入VLAN10,这样Eth-Trunk1接入的用户全部属于VLAN10。
4、配置BPDU保护功能,加强网络的稳定性。
[ACC1] stpbpdu-protection
二、配置核心层交换机
1、批量创建CORE与ACC1、ACC2以及园区出口路由器互通的VLAN。
<HUAWEI] system-view
[HUAWEI] sysname CORE //修改设备名称为CORE
[CORE] vlanbatch 10 20 100//批量创建VLAN
2、配置下行接口和VLANIF接口,VLANIF接口用于部门A与部门B之间互访。以CORE连接ACC1的Eth-Trunk1为例。
[CORE] interface eth-trunk 1
[CORE-Eth-Trunk1] port link-type trunk //配置为trunk模式,用于透传VLAN
[CORE-Eth-Trunk1] port trunk allow-pass vlan10
//配置Eth-Trunk1透传ACC1上的业务VLAN
[CORE-Eth-Trunk1] mode lacp //配置为LACP模式
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet0/0/1 //将成员接口加入Eth-Trunk1
[CORE-GigabitEthernet0/0/1] eth-Trunk 1
[CORE-GigabitEthernet0/0/1] quit
[CORE] interface GigabitEthernet0/0/2
[CORE-GigabitEthernet0/0/2] eth-Trunk 1
[CORE-GigabitEthernet0/0/2] quit
[CORE] interface Vlanif10 //配置VLANIF,使部门A与部门B之间三层互通
[CORE-Vlanif10] ipaddress 10.10.10.1 24
[CORE-Vlanif10] quit
[CORE] interface Vlanif20 //配置VLANIF,使部门B与部门A之间三层互通
[CORE-Vlanif20] ipaddress 10.10.20.1 24
[CORE-Vlanif20] quit
3、配置上行接口和VLANIF接口,使园区网络与Internet互通。
[CORE] interfaceGigabitEthernet0/0/20
[CORE-GigabitEthernet0/0/20] port link-type access //配置为access模式
[CORE-GigabitEthernet0/0/20] port default vlan100
[CORE-GigabitEthernet0/0/20] quit
[CORE] interface Vlanif100 //配置VLANIF,使CORE与路由器之间三层互通
[CORE-Vlanif100] ipaddress 10.10.100.1 24
[CORE-Vlanif100] quit
4、完成接口和VLAN的配置后,可以通过以下命令查看配置结果
displayeth-trunk命令检查ACC1上的Eth-Trunk接口配置结果。
display vlan命令检查ACC1上的VLAN配置结果。
displayeth-trunk命令检查CORE上Eth-Trunk接口配置结果。
display vlan命令检查CORE上VLAN配置结果。
配置DHCP
在CORE上配置DHCP Server,使部门A(VLAN10)和部门B(VLAN20)的用户都能获取到正确的IP地址。
以下以部门A为例,说明DHCP Server的配置步骤。
1、创建全局地址池,配置出口网关、租期(采用缺省值1天,不需配置)并配置为打印机(MAC地址为a-b-c)分配固定的IP地址10.10.10.254。
<CORE> system-view
[CORE] dhcpenable
[CORE] ippool 10
[CORE-ip-pool-10] network 10.10.10.0 mask 24 //配置部门A的用户可分配的地址池
范围
[CORE-ip-pool-10] gateway-list 10.10.10.1 //配置部门A的用户的网关地址
[CORE-ip-pool-10] static-bind ip-address 10.10.10.254 mac-address a-b-c
//配置为打印机分配固定的IP地址
[CORE-ip-pool-10] quit
2、配置部门A的用户从全局地址池获取IP地址。[CORE] interface vlanif10
[CORE-Vlanif10] dhcpselect global //配置部门A的用户从全局地址池获取IP地址
[CORE-Vlanif10] quit
3、使用display ip pool命令,分别查看全局地址池10的配置和使用信息。
注:
配置完动态分配地址之后,刚开电脑获取地址的时间比较长,这是因为对于开启了生成树协议的交换机,每当有电脑接入之后导致生成树重新收敛,所以需要的时间比较长;通过关闭接口的生成树协议或者把连接终端的交换机接口配置为边缘端口即可解决。
下面以ACC1为例,说明配置步骤。
关闭接口的生成树协议
[ACC1] interface GigabitEthernet0/0/1
[ACC1-GigabitEthernet 0/0/1] stpdisable //undo stp enable命令也可完成该功能
配置连接终端设备的交换机接口为边缘端口
[ACC1] interface GigabitEthernet0/0/1
[ACC1-GigabitEthernet 0/0/1] stpedged-port enable
根据以上任意一种方法,终端电脑刚开机获取地址速度慢的问题就可以有效解决。
配置核心交换机路由
1、在CORE上配置一条到园区出口网关的缺省静态路由,使内网数据可以发到出口路由器。
[CORE] iproute-static 0.0.0.0 0 10.10.100.2
2、在CORE上使用display ip routing-table命令查看IP路由表。
在配置出口路由器之前需要准备如下数据:公网IP地址:1.1.1.2/30,公网网关地址:1.1.1.1,DNS地址:8.8.8.8,这些参数在申请宽带的时候由运营商提供,实际网络中请以运营商提供的数据为准。
1、配置出口路由器内网接口和公网接口的IP地址。
[Router] interface GigabitEthernet 0/0/1[Router-GigabitEthernet0/0/1] ip address 1.1.1.2 30[Router] interface GigabitEthernet 1/0/0[Router-GigabitEthernet1/0/0] ip address 10.10.100.2 24
2、配置允许上网的acl,将所有允许访问Internet的用户网段写入该acl。
[Router] acl 2000
[Router-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.20.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.100.0 0.0.0.255
3、在连接公网的接口配置NAT转换实现内网用户访问Internet。
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 2000
4、配置到内网的明细路由和到公网的静态缺省路由。
[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 10.10.20.0 255.255.255.0 10.10.100.1
[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
5、配置DNS地址解析功能,DNS服务器地址为运营商给的。
[Router] dns resolve
[Router] dns server 8.8.8.8
[Router] dnsproxy enable
配置DHCPSnooping和IPSG
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCPSnooping功能。
以下以部门A为例,说明DHCPSnooping的配置过程。
1、在接入交换机ACC1上开启DHCPSnooping功能。
<ACC1>system-view
[ACC1] dhcpenable //使能DHCP功能
[ACC1] dhcpsnooping enable //使能DHCPSnooping功能
2、在连接DHCP服务器的接口上使能DHCPSnooping功能,并将此接口配置为信任接口。
[ACC1] interface eth-trunk 1
[ACC1-Eth-Trunk1] dhcpsnooping enable //使能DHCPSnooping功能
[ACC1-Eth-Trunk1] dhcp snooping trusted //配置为信任接口
[ACC1-Eth-Trunk1] quit
3、在连接终端的接口上使能DHCPSnooping功能。
[ACC1] interfaceethernet0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] dhcpsnooping enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interfaceethernet0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] dhcp snooping enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface ethernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] dhcp snooping enable
[ACC1-Ethernet0/0/4] quit
完成上述配置之后,部门A的用户就可以从合法的DHCP服务器获取IP地址,内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCPSnooping功能后,还需要开启IP报文检查功能,具体配置以ACC1为例。
4、在接入交换机ACC1上开启VLAN10的IP报文检查功能
[ACC1] vlan10
[ACC1-vlan10] ipsource check user-bind enable //使能IP报文检查功能
[ACC1-vlan10] quit
这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能。
业务验证
部门内部选两台PC进行ping测试,验证部门内部二层互通是否正常。
从两个部门内各选一台PC进行ping测试,验证部门之间通过VLANIF实现三层互通是否正常。
每个部门各选一台PC进行ping公网地址测试,验证公司内网用户访问Internet是否正常。
保存配置
通过命令行配置的数据是临时性的。如果不保存,交换机重启后这些配置都会丢失。
如果要使当前配置在交换机重启后仍然有效,需要将当前配置保存为配置文件。
<CORE>save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.
一、Access端口
一个 Access端口,只能属于一个 端口,只能属于一个 VLAN,并且是通过手工设置指定 VLAN的。
二、Trunk端口
一个 Trunk端口,在缺省情况下是属于本设备所有 VLAN的,它能够转发所有 VLAN的帧 , 也可 以通过设置许可VLAN列表 (Allowed-VLANs)来加以限制。
三、Uplink端口
一个 Uplink端口,在缺省情况下是属于本设备所有 VLAN的,它能够转发所有VLAN的帧 , 并且以 tag方式转发 native-vlan的帧 。
四、Hybrid端口
一个 Hybrid端口,在缺省情况下是属于本设备所有 VLAN的,它能够转发所有VLAN的帧,并且允许以 untag方式转发多个 VLAN的帧,也可以通过设置许可VLAN列表 (Allowed-VLANs)来加以限制。
五、Servicechain端口
一个 Servicechain端口,不学习 MAC地址,且可以转发任何 VLAN的报文;同时,该端口不允许有其他配置。
当用户和网络设备管理界面建立一个新的会话连接时,首先处于用户模式(User EXEC 模式),在 此模式下,只可以使用少量命令,并且的功能也受到一些限制,例如像 show命令等。 用户模式的操作结果不会被保存。
要使用更多的命令,首先须进入特权模式(Privileged EXEC 模式)。通常,在进入特权模式时必须输入特权模式的口令。在进入特权模式下,用户可以使所有的特命令,并且能够由此进入全局配置模式。
使用配置模式(全局配置模式、接口配置模式等)的命令,会对当前运行的配置产生影响,如果用户保存了配置信息,这些命令将被 保存下来,并在系统重新启动时再次执行。要进入各种配置模式,首先必须进入全局配置模式。在全局配置模式下配置,可以进入接口配置模式等各种配置子模式。
各个命令模式概要如下(网络设备名称为缺省的“Ruijie”):
