实战H3C交换机升级固件 一、前言 通常情况下，交换机是非常稳定的，但只要是软件就会有bug，所以设备厂家都会提供固件的更新，比如我使用的华三交换机，就出现了一些奇奇怪怪的问题，随即想到升级固件试一下。二、固件下载 华三交换机固件下载地址在华三官网 首页-支持-文档与软件-软件下载-交换机https://www.h3c.com/cn/Service/Document_Software/Software_Download/Switches/当前H3C官方关闭了公共下载账号，请自行注册账号，绑定SN码下载固件https://www.h3c.com/cn/BizPortal/OnlineSurvey/UserSNBind.aspx注意：华三交换机的系统固件和BootRom已经放在一块了，一次升级即可全部升级。注意：不同固件的华三命令稍有不同，若命令无法执行，用问号？可查看详细提示。我的交换机型号为H3C S5120-28P-SI，能够选择的最新的固件为H3C S5120SI_E-CMW520-R1519P06，下载该型号并解压出S5120SI_E-CMW520-R1519P06.bin三、通过USB升级固件copy usba0:/S6520X-CMW710-R6628P40.ipe S6520X-CMW710-R6628P40.ipe boot-loader file flash:/S6520X-CMW710-R6628P40.ipe all main reboot dis version四、通过网络升级固件 下载3CDaemon汉化版，并配置TFTP服务配置服务目录注意：关闭系统防火墙或添加端口 交换机清空配置并直连电脑清空的目的是为了防止有配置兼容问题<H3C>reset saved-configuration The saved configuration file will be erased. Are you sure? [Y/N]:y Configuration file in flash is being cleared. Please wait ... Configuration file is cleared. <H3C>reboot Start to check configuration with next startup configuration file, please wait.........DONE! This command will reboot the device. Current configuration may be lost in next startup if you continue. Continue? [Y/N]:y System is rebooting now.为交换机配置vlanip与电脑互联，电脑IP为192.168.18.2<H3C>sys System View: return to User View with Ctrl+Z. [H3C]int vlan 1 [H3C-Vlan-interface1]ip add 192.168.18.1 24 [H3C-Vlan-interface1]ping 192.168.18.2 PING 192.168.18.2: 56 data bytes, press CTRL_C to break Reply from 192.168.18.2: bytes=56 Sequence=1 ttl=64 time=7 ms Reply from 192.168.18.2: bytes=56 Sequence=2 ttl=64 time=3 ms Reply from 192.168.18.2: bytes=56 Sequence=3 ttl=64 time=3 ms Reply from 192.168.18.2: bytes=56 Sequence=4 ttl=64 time=3 ms --- 192.168.18.2 ping statistics --- 4 packet(s) transmitted 4 packet(s) received 0.00% packet loss round-trip min/avg/max = 3/4/7 ms 上传固件空间充裕[H3C-Vlan-interface1]quit [H3C]quit <H3C>dir Directory of flash:/ 0 -rw- 341 Apr 26 2000 12:10:45 system.xml 1 -rw- 10184320 Jun 29 2010 14:14:25 s5120si-cmw520-r1101p10.bin 2 drw- - Apr 26 2000 12:00:02 logfile 97920 KB total (81690 KB free)上传固件<H3C>tftp 192.168.18.2 get S5120SI_E-CMW520-R1519P06.bin File will be transferred in binary mode Downloading file from remote TFTP server, please wait.../ TFTP: 14877696 bytes received in 118 second(s) File downloaded successfully. <H3C>dir Directory of flash:/ 0 -rw- 14877696 Apr 26 2000 12:19:55 s5120si_e-cmw520-r1519p06.bin 1 -rw- 341 Apr 26 2000 12:10:45 system.xml 2 -rw- 10184320 Jun 29 2010 14:14:25 s5120si-cmw520-r1101p10.bin 3 drw- - Apr 26 2000 12:00:02 logfile 97920 KB total (67158 KB free)安装固件配置新固件为第一启动项新版固件<H3C>boot-loader file flash:/S6805-CMW710-R6715P01.ipe all main 旧版固件<H3C>boot-loader file flash:/s5120si_e-cmw520-r1519p06.bin main This command will set the boot file. Continue? [Y/N]:y The specified file will be used as the main boot file at the next reboot on slot 1! <H3C>reboot Start to check configuration with next startup configuration file, please wait.........DONE! This command will reboot the device. Current configuration may be lost in next startup if you continue. Continue? [Y/N]:y Reboot device by command. System is rebooting now.自动安装固件，全程等待，直至自动进入系统Starting...... ************************************************************************ * * * H3C S5120-28P-SI BOOTROM, Version 119 * * * ************************************************************************ Creation Date : Feb 3 2010 CPU L1 Cache : 32KB CPU Clock Speed : 333MHz Memory Size : 128MB Flash Size : 128MB CPLD Version : 002 PCB Version : Ver.B Mac Address : C4CAD99DD5A6 Press Ctrl-B to enter Extended Boot menu...0 Starting to get the main application file--flash:/s5120si_e-cmw520-r1519p06.bin!.................................... .............................................................................. The main application file is self-decompressing................................ ............................................................................... ............................................................................... ............Done! Extend BootWare Version is not equal,updating? (Y/N): Updating extended BootRom...Done! Basic BootWare Version is not equal,updating? (Y/N): Updating Basic BootRom...Done! BootWare updated,System is rebooting now. Starting...... Press Ctrl+D to access BASIC BOOT MENU Press Ctrl+T to start memory test ******************************************************************************** * * * H3C S5120-28P-SI BOOTROM, Version 180 * * * ******************************************************************************** Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. Creation Date : Aug 9 2017 CPU L1 Cache : 32KB CPU Clock Speed : 333MHz Memory Size : 128MB Flash Size : 128MB CPLD Version : 002 PCB Version : Ver.B Mac Address : C4CAD99DD5A6 the normal and back basic is not equal, update back basic.... the normal and back extend is not equal, update back extend.... Press Ctrl-B to enter Extended Boot menu...0 Starting to get the main application file--flash:/s5120si_e-cmw520-r1519p06.bin! ................................................................................ .................................. The main application file is self-decompressing................................. ................................................................................ ................................................................................ .........Done! System is starting... Startup configuration file does not exist. It will take a long time to get configuration file, please wait... Press CTRL_C to break Retrieving configuration file failed! User interface aux0 is available. Press ENTER to get started. <H3C> 删除多余固件<H3C>del s5120si-cmw520-r1101p10.bin Delete flash:/s5120si-cmw520-r1101p10.bin?[Y/N]:y %Delete file flash:/s5120si-cmw520-r1101p10.bin...Done. <H3C>dir Directory of flash:/ 0 -rw- 1617 Apr 26 2000 12:01:22 startup.cfg 1 -rw- 341 Apr 26 2000 12:10:45 systembak.xml 2 -rw- 7655 Apr 26 2000 12:01:20 config.cwmp 3 -rw- 14877696 Apr 26 2000 12:19:55 s5120si_e-cmw520-r1519p06.bin 4 drw- - Apr 26 2000 12:00:02 logfile 97920 KB total (67142 KB free)清空回收站reset recycle-bin五、升级完成 如果升级完成后交换机仍有问题，那就扔了吧

H3C华三交换机学习笔记 软件名称：HCL_Setup_V5.9.0发布日期：2023/7/13 9:29:22{anote icon="" href="https://www.h3c.com/cn/Service/Document_Software/Software_Download/Other_Product/H3C_Cloud_Lab/Catalog/HCL/" type="secondary" content="下载地址"/} 模拟器bug注意！注意！不要调整模拟器内设备的内存，极易造成设备出bug，比如路由器内存调小后，自己ping自己都不通！https://zhiliao.h3c.com/questions/dispcont/8085“配置没问题，端口也up了,也ping不通自己，是因为hcl路由器或交换机的内存不能人为的调小于520M，调成350M就容易出问题”{dotted startColor="#ff6c6c" endColor="#1989fa"/}基础命令：进入系统视图<H3C>system-view 路由追踪[H3C]tracert 更改主机名[H3C]hostname Switch1 显示详细路由追踪信息 [H3C]ip ttl-expires enable [H3C]ip unreachables enable 保存[H3C]save 重启<H3C>reboot 查看接口信息[H3C]display interface brief 查看详细配置文件[H3c]display current-cohnfiguration 查看OSPF信息[SwitchA]display ospf peer verbose 查看SN序列号display device manuinfo display counters inbound interface display counters outbound interface 查询所有接口包速率 开启NTP时间同步，同步需要几分钟 [H3C]dis clock 04:06:38.180 UTC Sat 01/05/2013 [H3C]sntp enable [H3C]sntp unicast-server 172.16.21.246 [H3C]display sntp sessions SNTP server Stratum Version Last receive time 11.22.33.44 4 4 Sat, Jan 5 2013 4:07:40.856 查看交换机时间 [H3C]dis clock 08:11:36.223 UTC Mon 04/25/2022 关闭LLDP PVID检查 lldp ignore-pvid-inconsistency 打开LLDP PVID检查 undo lldp ignore-pvid-inconsistency 通过IP和MAC地址查找所在交换机1、查看本机IP和MAC地址以太网适配器 以太网: 描述. . . . . . . . . . . . . . . : Realtek PCIe GbE Family Controller 物理地址. . . . . . . . . . . . . : XX-XX-XX-XX-XX-XX IPv4 地址 . . . . . . . . . . . . : 172.XX.X.XXX(首选)2、登录VLAN网关，查看IP和MAC地址查看IP MAC对应关系dis arp | include 172.XX.X.XXX 172.XX.X.XXX xxxx-xxxx-xxxx 18 BAGG1 852 D查看MAC所在接口dis mac-addr | include xxxx-xxxx-xxxx xxxx-xxxx-xxxx 18 Learned BAGG1 Y3、查看接口下联交换机IP查看接口与端口绑定关系dis cu查看接口下lldp信息dis lldp n v4、依次登录下层交换机，最终确定接口所在交换机dis mac-addr | include xxxx-xxxx-xxxx xxxx-xxxx-xxxx 18 Learned GE1/0/43 Y 查看接口STP报文数量，其中G1/0/5口异常 <H3C>display stp tc -------------- STP slot 1 TC or TCN count ------------- MST ID Port Receive Send 0 Bridge-Aggregation1 1 34537 0 Bridge-Aggregation2 109 9708 0 GigabitEthernet1/0/1 10 458 0 GigabitEthernet1/0/2 29 1580 0 GigabitEthernet1/0/3 0 18213 0 GigabitEthernet1/0/4 0 18243 0 GigabitEthernet1/0/5 1496 8417 0 GigabitEthernet1/0/6 0 18225 0 GigabitEthernet1/0/7 423 17148 0 GigabitEthernet1/0/8 3 3856 0 GigabitEthernet1/0/9 36 18298 0 GigabitEthernet1/0/10 0 18277 0 GigabitEthernet1/0/17 185 34206 0 GigabitEthernet1/0/18 0 34535 0 GigabitEthernet1/0/20 0 206 0 GigabitEthernet1/0/21 0 34535 0 GigabitEthernet1/0/23 0 34536 0 GigabitEthernet1/0/24 0 3306 查看交换机日志 <H3C>dis logbuffer 查看邻居信息 <H3C>dis lldp neighbor-information list Chassis ID : * -- -- Nearest nontpmr bridge neighbor # -- -- Nearest customer bridge neighbor Default -- -- Nearest bridge neighbor System Name Local Interface Chassis ID Port ID XX GE1/0/1 70c6-ddb5-905e 70c6-ddb5-9087 XX GE1/0/2 6ce5-f71b-0754 GigabitEthernet1/0/28 XX GE1/0/3 9ce8-955a-b540 GigabitEthernet1/0/28 XX GE1/0/4 1cab-3479-2220 1cab-3479-2220 XX GE1/0/5 6ce5-f71b-904c GigabitEthernet1/0/28 H3C GE1/0/6 3c8c-4010-1f3e GigabitEthernet1/0/26 查看邻居详细信息 <S-151-04>dis lldp neighbor-information verbose LLDP neighbor-information of port 1[GigabitEthernet1/0/1]: LLDP agent nearest-bridge: LLDP neighbor index : 1 Update time : 46 days, 6 hours, 59 minutes, 31 seconds Chassis type : MAC address Chassis ID : 70c6-ddb5-905e Port ID type : MAC address Port ID : 70c6-ddb5-9087 Time to live : 121 Port description : GigabitEthernet1/0/28 Interface System name : S-178-01 System description : H3C Comware Platform Software, Software Version 7.1.070, Release 6328P03 H3C S5130S-28P-HPWR-EI Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. Al l rights reserved. System capabilities supported : Bridge, Router, Customer Bridge, Service Bridge System capabilities enabled : Bridge, Router, Customer Bridge Management address type : IPv4 Management address : 169.254.144.94 Management address interface type : IfIndex Management address interface ID : 635 Management address OID : 0 dis process cpu 查看进程对于CPU的使用率。 dis process memory 查看进程对于内存使用率 dis cpu-usage 查看CPU使用率。 dis memory 查询内存使用率。 display fan 查看风扇 display power 查看电源 dis device 查看板卡状态 display logbuffer 查看设备日志 display environment 查看温度 dis counter rate inbound interface 查看接口进方向的使用率 dis counter rate outbound interface 查看接口出方向的使用率 dis int | inc rate 查看接口历史使用率 dis int | inc sec 查看接口历史使用率及出入方向的字节 dis int gi 1/0/1 查看接口最近300秒使用率 子接口配置，一个VLAN配置多个IP interface Vlan-interface X ip address 172.16.1.1 255.255.252.0 ip address 172.16.2.1 255.255.252.0 sub ip address 172.16.3.1 255.255.252.0 sub 包转发利用率 1.查看接口进方向的使用率:dis counter rate inbound interface 2.查看接口出方向的使用率:dis counter rate outbound interface 3.查看接口历史使用率:dis int | inc rate 4.查看接口历史使用率及出入方向的字节:dis int | inc sec 5、查看接口最近300秒使用率：dis int gi 1/0/1 修改风扇旋转反向 fan prefer-direction slot 1 port-to-power 查看风扇状态 dis fan 查看MAC地址震荡、环路排查 dis mac-address mac-move 典型环路状态 dis mac-address mac-move MAC address VLAN Current port Source port Last time Times f6f6-0002-17d7 19 GE1/0/5 GE1/0/2 2024-01-02 17:00:33 922161 f6f6-0004-1d53 19 GE1/0/7 GE1/0/3 2024-01-02 17:00:39 941803 f6f6-0002-17d7 19 GE1/0/2 GE1/0/5 2024-01-02 17:00:34 922342 f6f6-0004-1d53 19 GE1/0/3 GE1/0/7 2024-01-02 17:00:38 941803 查看STP接口状态 dis stp brief 配置STP边缘节点，只适用于三层接口，稳定STP网络 interface GigabitEthernet1/0/5 port access vlan 19 stp edged-port 配置STP主根桥，减少网STP收敛络震荡 stp instance 0 root primary 配置端口速率 interface GigabitEthernet1/0/13 port access vlan 21 speed 100 清除配置，恢复出厂 <H3C>reset saved-configuration The saved configuration file will be erased. Are you sure? [Y/N]:y #选择Y确认 <H3C>reboot Start to check configuration with next startup configuration file, please wait.........DONE! Current configuration may be lost after the reboot, save current configuration? [Y/N]:n #N选择不保存 This command will reboot the device. Continue? [Y/N]:y #Y确认重启 关闭日志 关闭终端上下线日志分为以下几种情况 （1）通过console的方式登录时 info-center source STAMGR console deny info-center source WLANAUD console deny （2）通过telnet的方式登录时 info-center source STAMGR monitor deny info-center source WLANAUD monitor deny 以上两种情况互不影响。这两种方式只是在总控制台不显示用户上下线的日志信息，但设备的logbuffer里还是记录的，如果想要在logbuffer也不记录日志，需采取以下两种命令关闭： info-center source STAMGR logbuffer deny info-center source WLANAUD logbuffer deny 如关闭DHCP日志 info-center source DHCPS logbuffer deny 配置日志服务器 info-center loghost 172.16.21.111 POE功率、功耗查询 <SW>dis poe pse PSE ID : 4 Slot No. : 1 SSlot No. : 0 PSE Model : LSPPSE24B PSE Status : Enabled PSE Fast Power Supply : Disabled Power Priority : Low Current Power : 36.2 W Average Power : 35.9 W Peak Power : 44.5 W Max Power : 370.0 W Max Allocable Power : 370.0 W Remaining Guaranteed Power : 370.0 W PSE CPLD Version : - PSE Software Version : 510 PSE Hardware Version : 57855 PSE Legacy PD Detection : Disabled Power Utilization Threshold : 80 PD Power Policy : Disabled PD Disconnect-Detection Mode : AC PD High Inrush : Disabled <SW>dis poe interface Interface PoE Priority CurPower Oper IEEE Detection (W) Class Status GE1/0/1 Enabled Low 2.2 On 0 Delivering Power GE1/0/2 Enabled Low 0.0 Off 0 Searching GE1/0/3 Enabled Low 2.9 On 0 Delivering Power GE1/0/4 Enabled Low 0.0 Off 0 Searching GE1/0/5 Enabled Low 2.6 On 0 Delivering Power GE1/0/6 Enabled Low 2.5 On 0 Delivering Power GE1/0/7 Enabled Low 2.3 On 0 Delivering Power GE1/0/8 Enabled Low 2.7 On 0 Delivering Power GE1/0/9 Enabled Low 2.5 On 0 Delivering Power GE1/0/10 Enabled Low 2.6 On 0 Delivering Power GE1/0/11 Enabled Low 2.6 On 0 Delivering Power GE1/0/12 Enabled Low 2.4 On 0 Delivering Power GE1/0/13 Enabled Low 2.5 On 0 Delivering Power GE1/0/14 Enabled Low 2.6 On 0 Delivering Power GE1/0/15 Enabled Low 2.8 On 0 Delivering Power GE1/0/16 Enabled Low 0.0 Off 0 Searching GE1/0/17 Enabled Low 2.4 On 0 Delivering Power GE1/0/18 Enabled Low 0.0 Off 0 Searching GE1/0/19 Enabled Low 0.0 Off 0 Searching GE1/0/20 Enabled Low 0.0 Off 0 Searching GE1/0/21 Enabled Low 0.0 Off 0 Searching GE1/0/22 Enabled Low 0.0 Off 0 Searching GE1/0/23 Enabled Low 0.0 Off 0 Searching GE1/0/24 Enabled Low 0.0 Off 0 Searching --- On State Ports: 14; Used: 35.6(W); Remaining: 334.4(W) --- {dotted startColor="#ff6c6c" endColor="#1989fa"/}环路检测排查 查看CPU使用率dis cpu查看MAC漂移dis mac-address mac-move查看STP接口状态dis stp brief查看lldp状态dis lldp neighbor-information list dis lldp neighbor-information verbose环路检测配置 https://www.h3c.com/cn/d_202308/1905729_30005_0.htm#_Ref470192304loopback-detection global enable vlan { vlan-id-list | all } 全局开启环路检测 interface interface-type interface-number 进入二层以太网接口/二层聚合接口视图 loopback-detection enable vlan { vlan-id-list | all } 在端口上开启环路检测功能 loopback-detection global action shutdown 全局配置环路检测的处理模式 interface interface-type interface-number 进入接口视图 loopback-detection action { block | no-learning | shutdown } 在端口上配置环路检测的处理模式 loopback-detection interval-time interval 配置检测间隔时间 display loopback-detection 显示环路检测的配置和运行情况查询AP上线离线掉线时间 网络-操作-无线配置-AP管理-详情基础配置-上线/离线/版本下载时间2023-07-15 13:23:29二层端口模式 参考链接：https://blog.51cto.com/shyln/2087240 a）access端口 发送（从交换机内部往外发送）： 带有vlan tag：删除tag后，发送 不带vlan tag：不可能出现 接收： 带有vlan tag：若该tag等于该access端口的pvid，则可以接收，进入交换机内部 不带vlan tag：添加该access端口的pvid，进入交换机内部 b）trunk端口（允许发送native VLAN数据的时候，可以不加tag） 发送（从交换机内部往外发送）： 带有vlan tag：若tag等于该trunk端口的pvid，则删除tag后发送；否则保留tag直接发送 不带vlan tag：不可能出现 接收： 带有vlan tag：保留该tag，进入交换机内部 不带vlan tag：添加该trunk端口的pvid，进入交换机内部 c）hybrid端口（允许发送多个VLAN数据的时候，可以不加tag） 发送（从交换机内部往外发送）： 带有vlan tag： 是否带tag进行发送，取决于用户配置（用户可以配置tagged list，untagged list） 不带vlan tag：不可能出现 接收： 带有vlan tag：保留该tag，进入交换机内部 　不带vlan tag：添加该hybrid端口的pvid，进入交换机内部{dotted startColor="#ff6c6c" endColor="#1989fa"/}模拟傻瓜交换机 思路，创建全部vlan，端口启用untag。vlan 2 to 4000 #批量创建vlan interface GigabitEthernet1/0/1 #进入接口 port link-type hybrid #接口类型hybrid port hybrid vlan 1 to 4000 untagged #撕掉vlan标签{dotted startColor="#ff6c6c" endColor="#1989fa"/}配置telnet参考链接https://jingyan.baidu.com/article/1876c852517425890b1376d2.html给VLAN1配置IP[H3C-Vlan-interface1]ip address 192.168.56.254 255.255.255.0 [H3C-Vlan-interface1]quit配置VTY(Virtual Teletype Terminal)虚拟终端接口的认证方式 [H3C]user-interface vty 0 4 [H3C-line-vty0-4]authentication-mode scheme //进行本地或远端用户名和口令认证。即AAA认证 //关于认证，一共有三种认证方式 //password 本地口令认证; //scheme 本地或远端用户名和口令认证; //none 不认证; [H3C-line-vty0-4]quit 本地用户的创建与配置 [H3C]local-user admin //设置创建本地认证的用户名 [H3C-luser-manage-admin]password simple 123456 //设置明文密码，使用命令查看当前配置时 //密码会以哈希加密后显示 图3 [H3C-luser-manage-admin]authorization-attribute user-role level-15 #开启最高权限或authorization-attribute user-role network-admin [H3C-luser-manage-admin]service-type telnet //用户作用于telnet服务 [H3C-luser-manage-admin]quit [H3C]telnet server enable //开启telnet 服务 [H3C]save //保存配置 {dotted startColor="#ff6c6c" endColor="#1989fa"/}静态路由[R1]int g0/0 #进入接口或者vlan [R1-GigabitEthernet0/0]ip add 192.168.1.1 24 #设置接口IP [R1]ip route-static 192.168.2.0 24 192.168.1.2 #为目标网段设置网关{dotted startColor="#ff6c6c" endColor="#1989fa"/}普通DHCP配置路由1<H3C>sys #系统视图 [H3C]int g0/0 #进入接口 [H3C-GigabitEthernet0/0]ip add 192.168.1.1 24 #配置IP [H3C-GigabitEthernet0/1]int g0/1 [H3C-GigabitEthernet0/1]ip add 192.168.2.1 24路由2<H3C>sys [H3C]int g0/0 [H3C-GigabitEthernet0/0]ip add 192.168.2.2 24路由1[route1]dhcp server ip-pool 1 #设置DHCP地址池 [route1-dhcp-pool-1]network 192.168.0.1 mask 255.255.255.0 #地址范围为192.168.0.0/24网段的ip地址 [route1-dhcp-pool-1]gateway-list 192.168.0.1 #网关地址为192.168.0.1  [route1-dhcp-pool-1]dns-list 192.168.0.1 #DNS服务器地址也为192.168.0.1 注意：这里设置的是一个网段的范围，在这个地址范围里可能这里面的某些地址不能够被分配出去。比如说网关的地址和一些指定的设备的ip地址。 [route1]dhcp server forbidden-ip 192.168.0.1 192.168.0.2 #不允许网关地址和DNS地址192.168.0.1分配被出去 [route1]dhcp enable #启动DHCP服务{dotted startColor="#ff6c6c" endColor="#1989fa"/}ospf配置：参考：https://blog.51cto.com/14219797/2402420配置接口IP：SwitchB<H3C>sys #进入系统视图 [H3C]hostname SwitchB #主机名重命名 [SwitchB]vlan 200 进入vlan200 [SwitchB-vlan100]port g 1/0/1 #指定vlan200端口 [SwitchB-vlan100]quit [SwitchB]vlan 300 进入vlan300 [SwitchB-vlan200]port g 1/0/2 #指定vlan300端口 [SwitchB-vlan200]quit [SwitchB]inter vlan 200 #进入vlan200 [SwitchB-Vlan-interface100]ip add 10.1.1.2 24 #设定IP [SwitchB-Vlan-interface100]quit [SwitchB]inter vlan 300 #进入vlan300 [SwitchB-Vlan-interface200]ip add 10.2.1.1 24 #设定IP [SwitchB-Vlan-interface200]quit配置OSPF协议：<SwitchB> system-view #进入系统视图 [SwitchB] router id 10.2.1.1 #设定唯一标识 [SwitchB] ospf #进入ospf设置 [SwitchB-ospf-1] area 0 #配置区域0 [SwitchB-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255 #通告网络，子网掩码为反码 [SwitchB-ospf-1-area-0.0.0.0] quit [SwitchB-ospf-1] area 2 #配置区域 [SwitchB-ospf-1-area-0.0.0.2] network 10.2.1.0 0.0.0.255 #通告网络 [SwitchB-ospf-1-area-0.0.0.2] quit [SwitchB-ospf-1] quitSwitchA 的 OSPF 邻居：[SwitchA]display ospf peer verbose OSPF Process 1 with Router ID 10.1.1.1 Neighbors Area 0.0.0.0 interface 10.1.1.1(Vlan-interface200)'s neighbors Router ID: 10.2.1.1 Address: 10.1.1.2 GR state: Normal State: Full Mode: Nbr is master Priority: 1 DR: 10.1.1.2 BDR: 10.1.1.1 MTU: 0 Options is 0x42 (-|O|-|-|-|-|E|-) Dead timer due in 31 sec Neighbor is up for 00:37:39 Authentication sequence: [ 0 ] Neighbor state change count: 6 BFD status: Disabled Area 0.0.0.1 interface 10.3.1.1(Vlan-interface100)'s neighbors Router ID: 10.3.1.2 Address: 10.3.1.2 GR state: Normal State: Full Mode: Nbr is master Priority: 1 DR: 10.3.1.1 BDR: 10.3.1.2 MTU: 0 Options is 0x42 (-|O|-|-|-|-|E|-) Dead timer due in 39 sec Neighbor is up for 00:36:50 Authentication sequence: [ 0 ] Neighbor state change count: 5 BFD status: DisabledSwitchA 的 OSPF 路由信息：[SwitchA]display ospf routing OSPF Process 1 with Router ID 10.1.1.1 Routing Table Topology base (MTID 0) Routing for network Destination Cost Type NextHop AdvRouter Area 10.2.1.0/24 2 Inter 10.1.1.2 10.2.1.1 0.0.0.0 10.3.1.0/24 1 Transit 0.0.0.0 10.1.1.1 0.0.0.1 10.1.1.0/24 1 Transit 0.0.0.0 10.2.1.1 0.0.0.0 Total nets: 3 Intra area: 2 Inter area: 1 ASE: 0 NSSA: 0SwitchC到SwitchD进行测试连通性：[SwitchC]ping 10.2.1.2 Ping 10.2.1.2 (10.2.1.2): 56 data bytes, press CTRL_C to break 56 bytes from 10.2.1.2: icmp_seq=0 ttl=253 time=1.651 ms 56 bytes from 10.2.1.2: icmp_seq=1 ttl=253 time=1.567 ms 56 bytes from 10.2.1.2: icmp_seq=2 ttl=253 time=1.465 ms 56 bytes from 10.2.1.2: icmp_seq=3 ttl=253 time=1.431 ms 56 bytes from 10.2.1.2: icmp_seq=4 ttl=253 time=2.635 msSwitchC到SwitchD进行路由追踪：[SwitchC]tracert 10.2.1.2 traceroute to 10.2.1.2 (10.2.1.2), 30 hops at most, 40 bytes each packet, press CTRL_C to break 1 10.3.1.1 (10.3.1.1) 1.438 ms 0.424 ms 0.418 ms 2 10.1.1.2 (10.1.1.2) 1.481 ms 1.221 ms 0.695 ms 3 10.2.1.2 (10.2.1.2) 1.073 ms 1.087 ms 0.923 ms{dotted startColor="#ff6c6c" endColor="#1989fa"/}VLAN隔离：参考链接：https://blog.51cto.com/14220513/2367688http://www.023wg.com/vlan/132.htmlhttp://www.h3c.com/cn/d_200809/615974_30005_0.htm配置SwitchA:<SwitchA> system-view #系统视图 [SwitchA] vlan 100 [SwitchA-vlan100] port ge1/0/2 #添加端口 [SwitchA-vlan100] quit [SwitchA] vlan 200 [SwitchA-vlan100] port ge1/0/3 #添加端口 [SwitchA-vlan100] quit [SwitchA] interface ge1/0/1 #进入端口 [SwitchA-GigabitEthernet1/0/1] port link-type trunk #设置trunk模式 [SwitchA-GigabitEthernet1/0/1] port trunk permit vlan 100 200 #允许VLAN100 200通过输入display vlan 100 和display vlan200 查看配置:[SwtichA]display vlan 100 VLAN ID: 100 VLAN type: Static Route interface: Not configured Description: VLAN 0100 Name: VLAN 0100 Tagged ports: GigabitEthernet1/0/1 Untagged ports: GigabitEthernet1/0/2 [SwtichA]display vlan 200 VLAN ID: 200 VLAN type: Static Route interface: Not configured Description: VLAN 0200 Name: VLAN 0200 Tagged ports: GigabitEthernet1/0/1 Untagged ports: GigabitEthernet1/0/3{dotted startColor="#ff6c6c" endColor="#1989fa"/}MSTP多生成树MSTP默认开启，可手动配置最佳路径参考链接：https://www.cnblogs.com/aqicheng/p/13824682.html每个交换机创建vlan10 vlan20[H3C]vlan 10 [H3C-vlan10]vlan 20 [H3C-vlan20]int g1/0/1 [H3C-GigabitEthernet1/0/1]port link-type trunk #所有接口设置trunk模式 [H3C-GigabitEthernet1/0/1]port trunk permit vlan all #允许所有vlan通过 [H3C-GigabitEthernet1/0/1]int g 1/0/2 [H3C-GigabitEthernet1/0/2]port link-type trunk [H3C-GigabitEthernet1/0/2]port trunk permit vlan all [H3C-GigabitEthernet1/0/2]quit [H3C]hostname sw3设置区域[sw3]stp region-configuration [sw3-mst-region]region-name h3c #区域命名 [sw3-mst-region]instance 1 vlan 10 #vlan10划入1组 [sw3-mst-region]instance 2 vlan 20 #vlan20划入2组 [sw3-mst-region]active region-configuration #激活配置 [sw3-mst-region]display this #查看以上配置 # stp region-configuration region-name h3c instance 1 vlan 10 instance 2 vlan 20 active region-configuration # return调整根桥[sw1]stp instance 1 root primary #sw1设置为组1的根桥 [sw2]stp instance 2 root primary #sw2设置为组2的根桥查看结果<sw1>display stp brief MST ID Port Role STP State Protection 0 GigabitEthernet1/0/1 DESI FORWARDING NONE 0 GigabitEthernet1/0/2 DESI FORWARDING NONE 0 GigabitEthernet1/0/3 DESI FORWARDING NONE 1 GigabitEthernet1/0/1 DESI FORWARDING NONE 1 GigabitEthernet1/0/2 DESI FORWARDING NONE 1 GigabitEthernet1/0/3 DESI FORWARDING NONE 2 GigabitEthernet1/0/1 ROOT FORWARDING NONE 2 GigabitEthernet1/0/2 DESI FORWARDING NONE 2 GigabitEthernet1/0/3 DESI FORWARDING NONE [sw2]display stp brief MST ID Port Role STP State Protection 0 GigabitEthernet1/0/1 ROOT FORWARDING NONE 0 GigabitEthernet1/0/2 DESI FORWARDING NONE 1 GigabitEthernet1/0/1 ROOT FORWARDING NONE 1 GigabitEthernet1/0/2 DESI FORWARDING NONE 2 GigabitEthernet1/0/1 DESI FORWARDING NONE 2 GigabitEthernet1/0/2 DESI FORWARDING NONE{dotted startColor="#ff6c6c" endColor="#1989fa"/}VRRP虚拟路由冗余协议参考链接：https://www.cnblogs.com/hukey/p/13071447.html配置心跳线双线冗余[SW1]int Bridge-Aggregation 1 #创建接口聚合 [SW1]int g1/0/2 [SW1-GigabitEthernet1/0/2]port link-aggregation group 1 #端口加入链路聚合 [SW1-GigabitEthernet1/0/2]int g1/0/3 [SW1-GigabitEthernet1/0/3]port link-aggregation group 1 [SW1]int Bridge-Aggregation 1 [SW1-Bridge-Aggregation1]port link-type trunk #端口允许所有vlan通过 [SW1-Bridge-Aggregation1]port trunk permit vlan all [SW2]int Bridge-Aggregation 1 #创建链路聚合 [SW2]int g1/0/2 [SW2-GigabitEthernet1/0/2]port link-aggregation group 1 #端口加入链路聚合 [SW2-GigabitEthernet1/0/2]int g1/0/3 [SW2-GigabitEthernet1/0/3]port link-aggregation group 1 [SW2]int Bridge-Aggregation 1 [SW2-Bridge-Aggregation1]port link-type trunk #端口允许所有vlan通过 [SW2-Bridge-Aggregation1]port trunk permit vlan all查看绑定状态[sw1]dis int Bridge-Aggregation bri Brief information on interfaces in bridge mode: Link: ADM - administratively down; Stby - standby Speed: (a) - auto Duplex: (a)/A - auto; H - half; F - full Type: A - access; T - trunk; H - hybrid Interface Link Speed Duplex Type PVID Description BAGG1 UP 2G(a) F(a) T 1配置vlanSW3对应SW2和SW1的两个端口配置trunk，对应客户机的端口配置vlan [SW3]vlan 10 [SW3-vlan10]port g1/0/1 [SW3]int range g1/0/2 to g1/0/3 [SW3-if-range]port link-type trunk [SW3-if-range]port trunk permit vlan 10 20 [SW1]vlan 10 #创建vlan [SW1-vlan10]vlan 20 #创建vlan [SW1-vlan0]int g1/0/1 [SW1-GigabitEthernet1/0/1]port link-type trunk [SW1-GigabitEthernet1/0/1]port trunk permit vlan 10 20 [SW1-GigabitEthernet1/0/1]int vlan 10 #进入vlan10 [SW1-Vlan-interface10]ip add 10.0.10.253 24 #设置IP [SW1-Vlan-interface10]int v20 #进入vlan20 [SW1-Vlan-interface20]ip add 10.0.20.253 24 #设置IP [SW1]dis ip int bri [sw1]dis ip int bri *down: administratively down (s): spoofing (l): loopback Interface Physical Protocol IP Address Description MGE0/0/0 down down -- -- Vlan10 up up 10.0.10.253 -- Vlan20 up up 10.0.20.253 -- [SW2]vlan 10 [SW2-vlan10]vlan 20 [SW2-vlan20]int g1/0/1 [SW2-GigabitEthernet1/0/1]port link-type trunk [SW2-GigabitEthernet1/0/1]port trunk permit vlan 10 20 [SW2-GigabitEthernet1/0/1]int v10 [SW2-Vlan-interface10]ip add 10.0.10.252 24 [SW2-Vlan-interface10]int v20 [SW2-Vlan-interface20]ip add 10.0.20.252 24 [SW2]dis ip int bri *down: administratively down (s): spoofing (l): loopback Interface Physical Protocol IP Address Description MGE0/0/0 down down -- -- Vlan10 up up 10.0.10.252 -- Vlan20 up up 10.0.20.252 --配置VRRP配置vlan10的vrrp [SW1]int v10 #进入vlan10 [SW1-Vlan-interface10]vrrp vrid 10 virtual-ip 10.0.10.254 #配置虚拟地址 [SW1-Vlan-interface10]vrrp vrid 10 priority 105 # 配置vrrp权重，默认为100 如果要设置master则大于100即 [SW1]track 10 int Bridge-Aggregation 1 # 配置心跳线为聚合链路 [SW2]int v10 [SW2-Vlan-interface10]vrrp vrid 10 virtual-ip 10.0.10.254 [SW2]track 10 int Bridge-Aggregation 1 配置vlan20的vrrp [SW1]int v20 [SW1-Vlan-interface20]vrrp vrid 20 virtual-ip 10.0.20.254 [SW1]track 20 int Bridge-Aggregation 1 #配置心跳线为聚合链路 [SW2]int v20 [SW2-Vlan-interface20]vrrp vrid 20 virtual-ip 10.0.20.254 [SW2-Vlan-interface20]vrrp vrid 20 priority 105 #设置为vlan20的master [SW2]track 20 int Bridge-Aggregation 1 #配置心跳线为聚合链路 [sw1]dis vrrp IPv4 virtual router information: Running mode : Standard Total number of virtual routers : 2 Interface VRID State Running Adver Auth Virtual pri timer(cs) type IP --------------------------------------------------------------------- Vlan10 10 Master 105 100 None 10.0.10.254 Vlan20 20 Backup 100 100 None 10.0.20.254 [sw2]dis vrrp IPv4 virtual router information: Running mode : Standard Total number of virtual routers : 2 Interface VRID State Running Adver Auth Virtual pri timer(cs) type IP --------------------------------------------------------------------- Vlan10 10 Backup 100 100 None 10.0.10.254 Vlan20 20 Master 105 100 None 10.0.20.254{dotted startColor="#ff6c6c" endColor="#1989fa"/}堆叠参考链接：CSDN博主「猫先生的早茶」的原创文章https://blog.csdn.net/qq_43017750/article/details/89323450注意！1、配置前必须移除两路由间连接线2、全部配置完成后，连线，次路由会自动重启master交换机#sys #interface range Ten-GigabitEthernet 1/0/49 to Ten-GigabitEthernet 1/0/52 #批量管理端口 #shutdown #关闭端口 #quit #irf member 1 priority 32 #配置irf成员优先级，32为最高，默认是1 #irf-port 1/1 #进入irf端口1/1 #port group interface Ten-GigabitEthernet 1/0/49 #加入当前irf端口 #port group interface Ten-GigabitEthernet 1/0/50 #port group interface Ten-GigabitEthernet 1/0/51 #port group interface Ten-GigabitEthernet 1/0/52 #quit #irf-port-configuration active #激活irf配置 #interface range Ten-GigabitEthernet 1/0/49 to Ten-GigabitEthernet 1/0/52 #批量管理端口 #undo shutdown #启动端口 #save #保存standby交换机的命令#sys #irf member 1 renumber 2 #当前irf成员id重命名为2 #quit #reboot #sys #interface range Ten-GigabitEthernet 2/0/49 to Ten-GigabitEthernet 2/0/52 #批量管理端口 #shutdown #关闭端口 #quit #irf member 2 priority 1 #配置当前irf成员id2的优先级为1 #irf-port 2/2 #进入irf端口2/2 #port group interface Ten-GigabitEthernet 2/0/49 #加入当前irf #port group interface Ten-GigabitEthernet 2/0/50 #port group interface Ten-GigabitEthernet 2/0/51 #port group interface Ten-GigabitEthernet 2/0/52 #quit #irf-port-configuration active #激活irf #interface range Ten-GigabitEthernet 2/0/49 to Ten-GigabitEthernet 2/0/52 #批量管理端口 #undo shutdown #启动端口 #quit #save验证：[sw1]dis irf MemberID Role Priority CPU-Mac Description *+1 Master 32 30e7-b21f-0104 --- 2 Standby 1 30e7-bae6-0204 ---{dotted startColor="#ff6c6c" endColor="#1989fa"/}两台三层交换机快速IRF配置 member 1编号renumber 2重写编号domain 0主机名priority 18优先级，大的为主irf-port2 irf组，主为1则从为2，1接2 easy-irf member 1 domain 0 priority 24 irf-port1 FortyGigE 1/0/53 FortyGigE 1/0/54 ***************************************************************************** Configuration summary for member 1 IRF new member ID: 1 IRF domain ID : 0 IRF priority : 24 IRF-port 1 : FortyGigE1/0/53, FortyGigE1/0/54 IRF-port 2 : Disabled ***************************************************************************** easy-irf member 1 renumber 2 domain 0 priority 18 irf-port2 FortyGigE 1/0/53 FortyGigE 1/0/54 ***************************************************************************** Configuration summary for member 1 IRF new member ID: 2 IRF domain ID : 0 IRF priority : 18 IRF-port 1 : Disabled IRF-port 2 : FortyGigE1/0/53, FortyGigE1/0/54 ***************************************************************************** IRF保留接口（上行三层互联口） IRF分裂后，保持三层接口通讯mad exclude interface Ten-GigabitEthernet 2/0/50删除IRF 删除irf-port接口un irf-port xx重置编号irf member 2 renumber 1OSPF配置 在接口使能ospfint xx ospf 1 area 0接口配置为p2p模式ospf network-type p2p在vlan使能ospfint vlan xx ospf 1 area 1在loopback 0使能ospfint loopback 0 ospf 1 area 0堆叠心跳检测BFD MAD 新建用于irf检测的vlanvlan 4094 description irf-mad qu创建VPN实例，用于隔离路由路由表ip vpn-instance mgmt route-distinguisher 1:1 qu配置虚接口，配置心跳检测IP，绑定VPN实例int vlan4094 description irf-mad ip binding vpn-instance mgmt mad bfd enable mad ip address 1.0.0.1 255.255.255.252 member 1 mad ip address 1.0.0.2 255.255.255.252 member 2 qu心跳接口配置interface GigabitEthernet 1/0/48 description irf-mad port access vlan 4094 undo stp enable interface GigabitEthernet 2/0/48 description irf-mad port access vlan 4094 undo stp enableOSPF优化 配置OSPF IDint LoopBack 0 ip add 10.100.0.1 32 qu配置指定接口收发OSPF报文ospf 1 silent-interface all #关闭全部接口的OSPF报文收发 undo silent-interface Ten-GigabitEthernet 1/0/49{lamp/}链路聚合原文链接：https://blog.csdn.net/VictoryKingLIU/article/details/79560157二层端口静态聚合模式<H3C>system-view [H3C]int Bridge-Aggregation 1 [H3C-Bridge-Aggregation1]quit [H3C]int GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]port link-aggregation group 1 [H3C-GigabitEthernet1/0/1]int GigabitEthernet 1/0/2 [H3C-GigabitEthernet1/0/2]port link-aggregation group 1 [H3C-GigabitEthernet1/0/2]int GigabitEthernet 1/0/3 [H3C-GigabitEthernet1/0/3]port link-aggregation group 1 [H3C]dis link-aggregation verbose二层端口动态聚合模式<H3C>system-view [H3C]int Bridge-Aggregation 1 [H3C-Bridge-Aggregation1]link-aggregation mode dynamic [H3C-Bridge-Aggregation1]quit [H3C]int GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]port link-aggregation group 1 [H3C-GigabitEthernet1/0/1]int GigabitEthernet 1/0/2 [H3C-GigabitEthernet1/0/2]port link-aggregation group 1 [H3C-GigabitEthernet1/0/2]int GigabitEthernet 1/0/3 [H3C-GigabitEthernet1/0/3]port link-aggregation group 1 [H3C]dis link-aggregation verbose三层端口静态聚合创建端口三层聚合口 [SW1]interface Route-Aggregation 1 分别把GE1/0/11,GE1/0/12加入到聚合组1 [SW1]interface GigabitEthernet 1/0/11 [SW1-GigabitEthernet1/0/11]port link-mode route [SW1-GigabitEthernet1/0/11]port link-aggregation group 1 [SW1]interface GigabitEthernet 1/0/12 [SW1-GigabitEthernet1/0/12]port link-mode route [SW1-GigabitEthernet1/0/12]port link-aggregation group 1{dotted startColor="#ff6c6c" endColor="#1989fa"/}pvid 不同VLAN间通讯SW1： interface GigabitEthernet1/0/1 port link-mode bridge port access vlan 100 combo enable fiber # interface GigabitEthernet1/0/2 port link-mode bridge port link-type trunk port trunk permit vlan 1 100 port trunk pvid vlan 100 combo enable fiber # SW2： interface GigabitEthernet1/0/1 port link-mode bridge port access vlan 200 combo enable fiber # interface GigabitEthernet1/0/2 port link-mode bridge port link-type trunk port trunk permit vlan 1 200 port trunk pvid vlan 200 combo enable fiber # {dotted startColor="#ff6c6c" endColor="#1989fa"/}ACL控制规则[H3C]acl basic 2000 #创建基础规则 [H3C-acl-ipv4-basic-2000]rule deny source 192.168.1.2 0 #编写规则内容，阻止来自192.168.1.2的包 [H3C-acl-ipv4-basic-2000]int g1/0/1 #进入接口 [H3C-GigabitEthernet1/0/1]packet-filter 2000 inbound #应用规则 inbound入站 outbound出站在本案例中，若要禁止192.168.1.1访问2，需要在G1/0/1应用 outbound出站规则，这样数据包在抵达2并返回到接口时会被阻止；要禁止全体访问2，则需要在G1/0/2应用inbound入站规则，这样数据包从2出发并经过接口时会被阻止。端口控制若要阻止vlan1所有telnet访问，则可以在vlan1中设置出站规则[H3C]acl advanced 3001 [H3C-acl-ipv4-adv-3001]rule 1 deny tcp source-port eq 23 [H3C-acl-ipv4-adv-3001]int vlan1 [H3C-Vlan-interface1]packet-filter 3001 outbound若仅要阻止1.5或网段的telnet访问，则可以设置入站规则[H3C-acl-ipv4-adv-3002]rule 1 deny tcp source 192.168.1.5 0 destination-port eq 23 [H3C-Vlan-interface1]packet-filter 3002 inbound{dotted startColor="#ff6c6c" endColor="#1989fa"/}端口隔离参考连接：https://blog.csdn.net/weixin_34110749/article/details/92738677（特别注明：模拟器中端口隔离功能不起作用）[H3C]port-isolate group 2 [H3C]int g1/0/1 [H3C-GigabitEthernet1/0/1]port-isolate enable group 2 [H3C-GigabitEthernet1/0/1]int g1/0/2 [H3C-GigabitEthernet1/0/2]port-isolate enable group 2 [H3C-GigabitEthernet1/0/2]quit [H3C]dis port-isolate group 2 Port isolation group information: Group ID: 2 Group members: GigabitEthernet1/0/1 GigabitEthernet1/0/2{dotted startColor="#ff6c6c" endColor="#1989fa"/}IRF堆叠LACP-MAD检测参考链接：https://blog.csdn.net/qq_45662411/article/details/105983636开启前，堆叠线断开后两设备都成为master在线，影响网络运行；开启后，LACP-MAD协议会控制在线的成员关闭端口，只保留一个master，防止网络冲突。IRF设备配置： [master]int Bridge-Aggregation 2 #创建一个名为2的聚合端口组 [master-Bridge-Aggregation2]link-aggregation mode dynamic  #将此端口组的模式改为动态 [master-Bridge-Aggregation2]mad enable #开启mad检测 [master-Bridge-Aggregation2]quit  #退出接口视图 [master]int range g1/0/1 g2/0/1  #同时进入这两个接口 [master-if-range]port link-aggregation group 2 #将他们加入到这个接口组2中 下层配置： [H3C]int Bridge-Aggregation 2  #创建一个名为2的聚合端口组 [H3C-Bridge-Aggregation2]link-aggregation mode dynamic   #将此端口组的模式改为动态 [H3C-Bridge-Aggregation2]quit #退出接口视图 [H3C]int range g1/0/1 g1/0/2  #进入到这两个接口 [H3C-if-range]port link-aggregation group 2  #将这两个端口组加入到接口组2中{dotted startColor="#ff6c6c" endColor="#1989fa"/}AP三层上线所属VLAN配置DHCP Option43option43格式简要说明： 80 07 00 00 01 02 02 02 02 80：固定值，不用改变； 07：长度字段，其后面所跟数据的字节长度； 00 00：固定值，不用改变； 01：表示后面的IP地址的个数，此处为一个IP地址； 02 02 02 02：IP地址转换工具https://tool.520101.com/wangluo/jinzhizhuanhuan/dhcp server ip-pool vlan5 gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 114.114.114.114 option 43 hex 800700000103030302本地转发性能更高更灵活，通过AC管理。AP接口如果是access，则ap和客户端在同一个VLAN。AP接口如果是trunk，则可以分别配置VLAN。{dotted startColor="#ff6c6c" endColor="#1989fa"/}UEFI PXE网络启动dhcp server ip-pool test gateway-list 192.168.1.254 network 192.168.1.0 mask 255.255.255.0 bootfile-name \\Boot\\x64\\wdsmgfw.efi #传统引导为\\Boot\\x64\\wdsnbp.com dns-list 114.114.114.114 next-server 192.168.100.100 #WDS服务器学习实验 acl策略PVID路由口端口汇聚堆叠、汇聚、ospf静态路五机堆叠三机堆叠

中型企业网络思路规划配置分享，H3C HCL模拟器，easy-irf堆叠 OSPF优化 整体规划 本架构是在小型企业网络思路上进行增强https://90apt.com/2449功能实现 1、easy-irf快速堆叠，配置心跳检测2、OSPF分区域、双线配置双路由、配置p2p模式、限制收发OSPF报文端口模拟器实验 线缆全部链接完成IP规划网段划分 loopback 0 网络核心 10.100.0.1 监控核心 10.100.0.2 网络汇聚 10.100.0.3 监控汇聚 10.100.0.4 网络核心1/0/49to监控核心1/0/49 10.100.1.1/30 10.100.1.2/30 网络核心2/0/49to监控核心1/0/50 10.100.1.5/30 10.100.1.6/30 网络核心1/0/50to网络汇聚1/0/50 10.100.1.9/30 10.100.1.10/30 网络核心2/0/50to网络汇聚1/0/49 10.100.1.13/30 10.100.1.14/30 监控核心1/0/51to监控汇聚1/0/49 10.100.1.17/30 10.100.1.18/30 网络配置 网络核心 堆叠 1/0/53 to 2/0/53 1/0/54 to 2/0/54 心跳 1/0/48 to 2/0/48 模拟器限制，连接会死机，不进行连接 IP地址 网络汇聚 vlan102 10.100.102.1/24 监控汇聚 vlan103 10.100.103.1/24 网络主机 10.100.102.2/24 监控主机 10.100.103.2/24 ospf区域 网络核心 area0 10.100.1.0 0.0.0.3 10.100.1.4 0.0.0.3 10.100.1.8 0.0.0.3 10.100.1.12 0.0.0.3 监控核心 area0 10.100.1.0 0.0.0.3 10.100.1.4 0.0.0.3 10.100.1.16 0.0.0.3 网络汇聚 area0 10.100.1.8 0.0.0.3 10.100.1.12 0.0.0.3 area1 10.100.102.0 0.0.0.255 监控汇聚 area0 10.100.1.16 0.0.0.3 area1 10.100.103.0 0.0.0.255 一、进行核心堆叠 1、配置交换机名hostname wangluo hexin2、核心1配置easy-irf member 1 domain 0 priority 24 irf-port1 FortyGigE 1/0/53 FortyGigE 1/0/54a 保存配置 save3、核心2配置第二台核心编号重命名为2，优先级18，低于第一台24easy-irf member 1 renumber 2 domain 0 priority 18 irf-port2 FortyGigE 1/0/5 3 FortyGigE 1/0/54按提示，输入Y重启4、配置堆叠心跳检测BFD MAD由于模拟器限制，配置完后心跳线连接会死机，因此心跳线不连接堆叠心跳检测BFD MAD新建用于irf检测的vlan，注意，后续trunk接口要阻止此VLAN通过vlan 4094 description irf-mad qu创建VPN实例，用于隔离路由路由表ip vpn-instance mgmt route-distinguisher 1:1 qu配置虚接口，配置心跳检测IP，绑定VPN实例int vlan4094 description irf-mad ip binding vpn-instance mgmt mad bfd enable mad ip address 1.0.0.1 255.255.255.252 member 1 mad ip address 1.0.0.2 255.255.255.252 member 2 qu心跳接口配置interface GigabitEthernet 1/0/48 description irf-mad port access vlan 4094 undo stp enable interface GigabitEthernet 2/0/48 description irf-mad port access vlan 4094 undo stp enable5、IRF保留接口，一般用于上行三层接口，设备分裂后保持通讯mad exclude interface Ten-GigabitEthernet 2/0/50二、配置所有IP地址 三层交换机改名、配置loopback地址、配置IP地址、PC配置IP地址interface Ten-GigabitEthernet1/0/49 port link-mode route combo enable fiber ip address 10.100.1.1 255.255.255.252 interface LoopBack0 ip address 10.100.0.3 255.255.255.255 [wangluo huiju-GigabitEthernet1/0/1]ping 10.100.102.2 Ping 10.100.102.2 (10.100.102.2): 56 data bytes, press CTRL_C to break 56 bytes from 10.100.102.2: icmp_seq=0 ttl=255 time=6.212 ms 56 bytes from 10.100.102.2: icmp_seq=1 ttl=255 time=3.258 ms 56 bytes from 10.100.102.2: icmp_seq=2 ttl=255 time=3.670 ms 56 bytes from 10.100.102.2: icmp_seq=3 ttl=255 time=2.772 ms 56 bytes from 10.100.102.2: icmp_seq=4 ttl=255 time=4.012 ms三、配置OSPF 配置OSPF之前先配置loopback地址三层接口使能OSPF，配置为P2P模式，放在区域0[wangluo hexin-Ten-GigabitEthernet1/0/49]dis th # interface Ten-GigabitEthernet1/0/49 port link-mode route combo enable fiber ip address 10.100.1.1 255.255.255.252 ospf network-type p2p ospf 1 area 0.0.0.0loopback使能OSPF，放在区域0interface LoopBack0 ip address 10.100.0.3 255.255.255.255 ospf 1 area 0.0.0.0VLAN使能OSPF，业务网段放在区域1[wangluo huiju-Vlan-interface102]dis th # interface Vlan-interface102 ip address 10.100.102.1 255.255.255.0 ospf 1 area 0.0.0.1 #全部配置完成后，网络主机可ping通监控主机<H3C>ping 10.100.103.2 Ping 10.100.103.2 (10.100.103.2): 56 data bytes, press CTRL_C to break 56 bytes from 10.100.103.2: icmp_seq=0 ttl=251 time=18.180 ms 56 bytes from 10.100.103.2: icmp_seq=1 ttl=251 time=9.608 ms 56 bytes from 10.100.103.2: icmp_seq=2 ttl=251 time=14.053 ms 56 bytes from 10.100.103.2: icmp_seq=3 ttl=251 time=13.112 ms 56 bytes from 10.100.103.2: icmp_seq=4 ttl=251 time=12.268 ms四、OSPF优化 限制OSPF收发报文的端口[wangluo hexin-ospf-1]dis th # ospf 1 silent-interface all undo silent-interface Ten-GigabitEthernet1/0/49 undo silent-interface Ten-GigabitEthernet1/0/50 undo silent-interface Ten-GigabitEthernet2/0/49 undo silent-interface Ten-GigabitEthernet2/0/50 area 0.0.0.0五、测试 网络主机ping监控主机，在ping过程中断掉双线中的一条，会丢包一个，删除多个双线中的一条，最多会丢包4个56 bytes from 10.100.103.2: icmp_seq=519 ttl=251 time=16.112 ms 56 bytes from 10.100.103.2: icmp_seq=520 ttl=251 time=20.881 ms 56 bytes from 10.100.103.2: icmp_seq=521 ttl=251 time=15.032 ms Request time out 56 bytes from 10.100.103.2: icmp_seq=523 ttl=251 time=36.649 ms 56 bytes from 10.100.103.2: icmp_seq=524 ttl=251 time=16.727 ms 56 bytes from 10.100.103.2: icmp_seq=525 ttl=251 time=15.137 ms 56 bytes from 10.100.103.2: icmp_seq=526 ttl=251 time=17.651 ms Request time out Request time out Request time out Request time out Request time out 56 bytes from 10.100.103.2: icmp_seq=532 ttl=251 time=13.904 ms 56 bytes from 10.100.103.2: icmp_seq=533 ttl=251 time=42.994 ms 56 bytes from 10.100.103.2: icmp_seq=534 ttl=251 time=27.916 ms 56 bytes from 10.100.103.2: icmp_seq=535 ttl=251 time=14.782 ms六、实机测试 1、实际测试BFD防分裂能力 物理机配置BFD不存在死机问题，模拟器有BUG当前1为主，2为从，共连接了1/0/18 2/0/18 2/0/23，其中2/0/23配置了IRF保留接口直接拔掉两条堆叠线结果，终端BFD告警，交换机接口2/0/18停止工作，仅保留接口2/0/23保持工作%Jan 7 12:29:20:050 2021 S5560X-30F-EI_09 BFD/5/BFD_CHANGE_FSM: Sess[1.0.0.1/1.0.0.2, LD/RD:32897/32897, Interface:Vlan4094, SessType:Ctrl, LinkType:INET], Ver:1, Sta: DOWN->INIT, Diag: 0 (No Diagnostic) %Jan 7 12:29:20:055 2021 S5560X-30F-EI_09 BFD/5/BFD_CHANGE_FSM: Sess[1.0.0.1/1.0.0.2, LD/RD:32897/32897, Interface:Vlan4094, SessType:Ctrl, LinkType:INET], Ver:1, Sta: INIT->UP, Diag: 0 (No Diagnostic) %Jan 7 12:29:22:747 2021 S5560X-30F-EI_09 DEV/3/BOARD_REMOVED: Board was removed from slot 2, type is unknown.插回堆叠线，交换机2自动重启2、测试堆叠切换直接拔掉交换机1的电源线交换机2成为主交换机继续工作交换机1插电交换机1成为从交换机，交换机2保持主交换机，通讯恢复总结 爽

RHEL9/ALMA9 搭配portainer docker容器管理面板进行应用部署 当前更新时间2023.12.14持续更新中一、安装ALMA9ALMA官网，我是用miniISO镜像https://almalinux.org/zh-hans/get-almalinux/二、系统配置开启SSH登录见红帽官方帮助，默认不允许root SSH登录https://access.redhat.com/documentation/zh-cn/red_hat_ceph_storage/5/html/installation_guide/enabling-ssh-log-in-as-root-user-on-rhel-9_install[root@admin ~]# echo 'PermitRootLogin yes' >> /etc/ssh/sshd_config.d/01-permitrootlogin.conf [root@admin ~]# systemctl restart sshd.service使用中未发现selinux影响docker，可酌情关闭。三、安装dockeryum install -y yum-utils #官方源 yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo #阿里云加速源 yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo yum install docker-ce docker-ce-cli containerd.io四、配置docker网段和加速源镜像源/etc/docker/daemon.json { "bip": "192.168.120.1/24", "registry-mirrors": [ "https://pfti226w.mirror.aliyuncs.com", "https://hub-mirror.c.163.com", "https://docker.m.daocloud.io", "https://ghcr.io", "https://mirror.baidubce.com", "https://docker.nju.edu.cn" ] }运行dockersystemctl enable --now docker五、安装portainer面板创建存储卷docker volume create portainer_data一键部署运行portainer，8000为portainer对接端口，9443为https管理面板docker run -d -p 8000:8000 -p 9443:9443 --name portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer-ce:latest六、面板使用运行后，登录https://IP:9443创建第一个管理员用户登录local即可开始使用主界面容器管理持久化卷管理镜像源配置1、创建容器新建容器容器名称、端口映射等参数高级选项持久化卷 变量 重启策略容器重启会丢失全部运行中产生的数据，所以需要进行容器数据持久化设置，例如nginx容器的/etc/nginx目录配置文件，/usr/share/nginx网页目录某些容器部署时需要配置变量，如mysql8.2需要MySQL_ROOT_PASSWORD变量，否则启动失败重启策略通常配置为always总是 ，以实现开机自启动2、重新创建容器高危操作若容器异常，可重新创建容器，除持久化数据外，容器数据全部丢失此选项也可用于更新容器，适用于使用latest标签的容器3、编辑容器高危操作可修改容器参数，例如映射端口，持久化等，除持久化数据外，容器数据全部丢失4、容器开启、关闭、重启、暂停、恢复、删除5、镜像管理已下载的镜像6、持久化管理持久化卷七、部署应用1、mysql8.2必填变量 MySQL_ROOT_PASSWORD映射端口 3306自动持久化注意，由于mysql8.2修改了默认加密方式，使用客户端可能无法连接！root连接使用DBeaver，默认连接会报Public Key Retrieval is not allowed，需要将驱动属性中allowPublicKeyRetrieval配置为TRUE，即可使用root连接普通用户连接目前大部分应用还不支持mysql8.2的新加密方式，如果遇到mysql无法连接，可新建普通用户，将用户修改为旧密码加密方式。ALTER USER 'typecho'@'%' IDENTIFIED WITH mysql_native_password BY 'passwd';2、nginx映射端口 443 80映射目录 1)nginx配置目录，即nginx的/etc/nginx映射到nginx.conf卷2)nginx网页目录，即nginx的/usr/share/nginx映射到nginx-www卷修改配置或放置网页时，通过卷的挂载目录修改3、php-fpm映射端口 9000映射目录 映射目录为nginx网页目录，即nginx的/usr/share/nginx映射到nginx-www卷，php-fpm的/usr/share/nginx同样映射到nginx-www卷，使php-fpm可以读取nginx网页目录的文件4、librespeed映射端口 80自动持久化5、typecho映射端口 80自动持久化6、uptime-kuma映射端口3001自动持久化八、小结太强大了！

华为FusionCube超融合一体机改造VMware vSphere vSAN超融合虚拟化集群 前言 FusionCube是华为出品的，一套使用华为FusionSphere虚拟化技术打包出售的超融合一体机，我这里使用的三台超融合，包含华为 2288H V5服务器、FusionSphere虚拟化授权、软件服务支持和硬件维保。随着时间推进，华为超融合的软件服务支持已经过期，并且出现了无法关机的情况，由于华为超融合生态与现有的虚拟化生态不兼容，随即决定将华为超融合改造为VMware vSphere vSAN超融合集群。原华为数据会全部丢失。整体思路 为服务器安装ESXi系统，服务器两个网络接口为一组，ESXi控制网络采用千兆网口，vSAN和业务网络采用trunk网络，配置独立VLAN隔离。注意：本次改造为全过程记录，请全部看完后再进行操作；运维最重要的是思路和耐心！ {lamp/}外观正面照 背面照由于原标签已经老旧脱落，因此进行标签的重新标记2块NVME 800G 固态2块SAS 600G 机械 RAID1 做系统盘14块SAS 2.4T 机械 进入BIOS/UEFI 重启F11进入 启动管理器进入启动管理器时，会提示输入BIOS密码，默认为Admin@9000安装ESXi7 进入启动盘，我使用的是Ventoy进入ESXi7踩坑1 进入后发现看不到NVME固态硬盘我的想法是，安装完ESXi7后再安装驱动系统安装完成查看网卡对应关系从左往后，2光口2网口2光口，对应ESXi系统中网卡从上到下顺序LOM1-4 SLOT4配置IP地址配置DNS和主机名登录ESXi开启SSH服务使用SSH登录，上传从官网下载的ESXi6.7.ZIP中抽取的NVME VIB驱动使ESXi进入CommunitySupported等级esxcli software acceptance set --level=CommunitySupported安装驱动esxcli software vib install -v 完整路径.vib此时出现了大坑，安装nvme驱动会替换掉网卡驱动，导致开机无法联网。踩坑2 莫慌，重来！第二次安装测试，使用ESXi6.7启动，发现可以看到NVMe固态硬盘这是因为ESXi7为了缩小体积，精简了大量的老旧设备驱动，我们可以通过修改镜像文件，将老的驱动放置在ESXi7中使用。因此，第二次安装测试，我们采用封装ISO的方式进行，从6.7的ISO中解压出NVME.V00文件，替换到ESXi7的NVME_PCI.V00文件，保持名字一致替换镜像另存为导出也不再前往现场，而是采用BMC远程挂载ISO文件的方式安装还是正常安装，测试可以看到NVME固态了安装完成后，再次进入ESXi，也可以看到硬盘这里我不在超融合中安装vCenter了，直接使用其他VC新建集群出于习惯，进行补丁更新此时出现了第二个大坑，更新补丁后，驱动覆盖了，NVME硬盘看不到了。啊？！！！踩坑3 再次重装，本次安装后进行备注，不再进行系统补丁更新按集群向导配置集群，配置分布式交换机下一步时出现黑块遮挡，啊？更换firefox浏览器后可以正常操作，分布式交换机配置完成配置完集群后发现 "缺少功能MWAIT"，重启进入BIOS进行开启进入BIOS位于 BIOS - Advanced - Socket Configuration - Processor Configuration - MONITOR/MWAIT然后发现集群没启用VSAN功能，需要新建一个集群，啊？配置vSAN 新建一个vSAN集群，将主机拖入vSAN集群，按向导配置集群声明缓存层和容量层注意，集群的告警一个是我关闭了数据上传，另一个是替换了NVME驱动，所以告警了使用默认vSAN策略默认为RAID1镜像模式，即一个虚拟机存储两份分布在整个集群中，三台物理主机允许一台宕机分布式交换机 工作正常验证 部署1台服务器，容量占用为两倍在线迁移测试正常BUG处理 由于非原生支持vSphere，所以有些主板硬件告警会误报，需要屏蔽掉；同时对于服务器硬件的监控，需要自行配置SNMP或邮箱进行告警通知。总结 历时2天，克服困难，遥遥领先！遥遥领先！遥遥领先！

vSphere7虚拟化 SUSE Enterprise Linux Server 15 LVM 硬盘分区在线扩容 前言 当前/usr/sap分区为500G XFS文件系统，为其追加200G空间，同时要求业务在线不中断操作步骤 1、为虚拟机增加硬盘空间 从600G修改为800G，在线扩容不影响虚拟机运行2、查看硬盘空间此时空间仍为600Gfdisk -llsblk3、刷新磁盘空间从上面可以看到磁盘为sda，重新扫描SCSI总线，识别新的硬盘容量echo "1" > /sys/class/block/sda/device/rescan刷新后，容量识别为800G扩展知识 如果新增硬盘不识别，可以进行SCSI扫描 echo “- - -” > /sys/class/scsi_host/hostX/scan4、通过fdisk查看分区5、修复分区表parted -l修复后再次查看分区则不会报错6、将剩余空间追加至/dev/sda2，即LVM分区 注意！parted实时生效，请谨慎操作！parted /dev/sda 对sda分区调整 unit s 设置Size单位 p free 查看空闲空间 resizepart 2 追加容量到sda2 输入空闲区间 为FreeSpace的End空间 q退出7、LVM PV物理卷更新查看pvdisplay更新PV卷大小pvresize /dev/sda2再次查看PV大小，更新为800G8、LVM LV逻辑卷扩容lvdisplay扩容目标为/dev/VG01/lvusrsaplvextend -l +100%FREE /dev/VG01/lvusrsap再次查看LV卷9、文件系统扩容查看当前分区大小df -ThXFS文件系统分区扩容xfs_growfs /usr/sap查看当前分区大小，在线扩容完成df -Th总结 先理论后实验、先验证后实施，胆大心细、谨小慎微，才是一个合格运维的良好品质。

H3C无线AC WX3510H上线H3C无线AP WA6520-E Wi-Fi 6(802.11ax) 故障现象： 无线AC连接WX3510H后，无线AP WA6520-E Wi-Fi 6(802.11ax)无法上线故障处理： 1、电话联系客服询问WX3510H是否支持此AP得到答复，支持此AP2、查看AC当前固件版本H3C Comware Platform Software, Software Version 7.1.064, Release 5457 H3C WX3510H Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.3、登录H3C官网下载AC资料查找 WX3510H_WX3510HF-CMW710-R5457版本软件及说明书查找到支持此AP，但并未打包在固件中，需要独立安装4、下载ipe文件下载固件包20220803_32331_WX3510H_WX3510HF-CMW710-R5457_1656477_30005_40.zip解压出wa6500a.ipe5、上传ipe文件系统页面 操作-系统-文件管理-上传不需要指定位置，上传即可识别6、AP成功上线无需其他操作，AP自动上线总结： 好好好

2023年华三H3C HCL新版模拟器防火墙、AC、AP、Phone、Host新功能使用 当前H3C最新版模拟器加入了防火墙、AC、AP、Phone等新设备，本文重点介绍新设备的使用整体规划 采用三层网络结构，核心、汇聚、防火墙、AC、DHCP服务器均采用三层链接，AP采用三层上线，管理业务分离功能实现 1、ospf三层互联，为简化网络，不配置lookback接口2、配置DHCP服务器，配置DHCP中继，为多个VLAN提供服务3、外网通过防火墙NAT访问最终目标 实现Phone通过AP联网并自动获取IP，能够访问外网1.1.1.1配置步骤 1、配置核心交换机 配置三层接口interface GigabitEthernet1/0/1 port link-mode route combo enable fiber ip address 10.0.0.2 255.255.255.252 # interface GigabitEthernet1/0/2 port link-mode route combo enable fiber ip address 10.0.0.9 255.255.255.252 # interface GigabitEthernet1/0/3 port link-mode route combo enable fiber ip address 10.0.0.6 255.255.255.252 # interface GigabitEthernet1/0/4 port link-mode route combo enable fiber ip address 10.0.0.13 255.255.255.252配置ospf协议 ospf 1 area 0.0.0.0 network 10.0.0.0 0.0.0.3 network 10.0.0.4 0.0.0.3 network 10.0.0.8 0.0.0.3 network 10.0.0.12 0.0.0.32、配置DHCP服务器 使用路由器模拟，配置接口interface GigabitEthernet1/0/2 port link-mode route combo enable fiber ip address 10.0.0.10 255.255.255.252配置ospfospf 1 area 0.0.0.0 network 10.0.0.8 0.0.0.3配置dhcp池 dhcp enable dhcp server ip-pool vlan10 gateway-list 10.0.1.254 network 10.0.1.0 mask 255.255.255.0 dns-list 10.0.0.1 # dhcp server ip-pool vlan20 gateway-list 10.0.2.254 network 10.0.2.0 mask 255.255.255.0 dns-list 10.0.0.1 # dhcp server ip-pool vlan30 gateway-list 10.0.3.254 network 10.0.3.0 mask 255.255.255.0 dns-list 10.0.0.13、配置汇聚交换机 配置VLANIF与三层接口interface Vlan-interface10 ip address 10.0.1.254 255.255.255.0 dhcp select relay dhcp relay server-address 10.0.0.10 # interface Vlan-interface20 ip address 10.0.2.254 255.255.255.0 dhcp select relay dhcp relay server-address 10.0.0.10 # interface Vlan-interface30 ip address 10.0.3.254 255.255.255.0 dhcp select relay dhcp relay server-address 10.0.0.10 # interface GigabitEthernet1/0/4 port link-mode route combo enable fiber ip address 10.0.0.14 255.255.255.252配置OSPF ospf 1 area 0.0.0.0 network 10.0.0.12 0.0.0.3 network 10.0.1.0 0.0.0.255 network 10.0.2.0 0.0.0.255 network 10.0.3.0 0.0.0.255开启DHCP中继服务 dhcp enable4、调试pc 配置汇聚交换机对应接口为vlan10interface GigabitEthernet1/0/6 port link-mode bridge port access vlan 10 combo enable fiberPC配置自动获取，成功获取IP5、防火墙 将 本地主机 vbox网卡接口 与 防火墙相连，登陆防火墙，为接口配置IP地址。我的vbox网卡地址为192.168.56.254为防火墙配置192.168.56.2interface GigabitEthernet1/0/0 port link-mode route combo enable copper ip address 192.168.56.2 255.255.255.0配置acl规则，允许此接口进行web登录acl advanced 3000 rule 0 permit ip为接口引入规则security-zone name Management import interface GigabitEthernet1/0/0 # zone-pair security source Local destination Management packet-filter 3000 # zone-pair security source Management destination Local packet-filter 3000登录防火墙进行配置 admin admin配置内网接口配置外网接口配置防火墙静态路由，从防火墙返回内网的路由配置防火墙安全策略，所有区域互通配置NAT转换配置核心默认路由，声明ospf默认路由ip route-static 0.0.0.0 0 10.0.0.1 ospf 1 default-route-advertise配置外网设备1.1.1.1，配置IPinterface GigabitEthernet0/2 port link-mode route combo enable copper ip address 1.1.1.1 255.255.255.0测试pc与防火墙内外网地址互通，实现通讯<H3C>ping 1.1.1.2 Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break 56 bytes from 1.1.1.2: icmp_seq=0 ttl=253 time=1.000 ms注意，多外网接口通讯还需配置策略路由防火墙配置至此完成6、AC配置 断开本地主机与防火墙的连接，将本地主机连接至AC为ac配置IP并配置web登录[ac]int vlan 1 [ac-Vlan-interface1]ip add 192.168.56.3 24 [ac]ip http en [ac]local-user admin New local user added. [ac-luser-manage-admin]password simple pass@123456 [ac-luser-manage-admin]authorization-attribute user-role level-15 [ac-luser-manage-admin]service-type http [ac-luser-manage-admin]save因模拟器存在bug，将AC接口改为三层接口后所有接口失效，因此为AC和核心交换机配置trunk及vlan，若已经触发bug，需要删除AC重新添加 核心配置interface Vlan-interface100 ip address 10.0.0.6 255.255.255.252 interface GigabitEthernet1/0/3 port link-mode bridge port link-type trunk port trunk permit vlan all combo enable fiberAC配置interface Vlan-interface100 ip address 10.0.0.5 255.255.255.252 interface GigabitEthernet1/0/3 port link-mode bridge port link-type trunk port trunk permit vlan all为AC设置默认路由ip route-static 0.0.0.0 0 10.0.0.6使用pc测试，可以与AC通讯<H3C>ping 10.0.0.5 Ping 10.0.0.5 (10.0.0.5): 56 data bytes, press CTRL_C to break 56 bytes from 10.0.0.5: icmp_seq=0 ttl=253 time=2.000 ms为DHCP服务器配置option43选项，AP上线网段为VLAN20option43格式简要说明： 80 07 00 00 01 02 02 02 02 80：固定值，不用改变； 07：长度字段，其后面所跟数据的字节长度； 00 00：固定值，不用改变； 01：表示后面的IP地址的个数，此处为一个IP地址； 02 02 02 02：IP地址在线转换工具 https://tool.520101.com/wangluo/jinzhizhuanhuan/10.0.0.5 = A000005 拼接默认字段option 43 hex 80070000010A000005，位数不够补零DHCP服务器配置dhcp server ip-pool vlan20 gateway-list 10.0.2.254 network 10.0.2.0 mask 255.255.255.0 dns-list 10.0.0.1 option 43 hex 80070000010a000005汇聚为AP对应的接口配置trunk及默认pvidinterface GigabitEthernet1/0/5 port link-mode bridge port link-type trunk port trunk permit vlan all port trunk pvid vlan 20重启AP，查看获取IP情况查看IPdis int br Vlan1 UP UP 10.0.2.1登录ac，开启自动AP进行AP固化及重命名创建本地转发网络为ap创建map文件，vlan30为业务vlan自定义名字officecfg.txt，因为接口配置了pvid，所以对ap来说，管理vlan是vlan1，不需要再配置system-view vlan 30 quit interface GigabitEthernet 0/0/0 port link-type trunk port trunk permit vlan 30在AP上部署map文件在AP上部署无线网络，vlan填写业务vlan 30客户端联网测试，成功获取vlan30的ipphone ping通外网1.1.1.1，实验完成小结 华三模拟器，牛逼！

VMware企业虚拟化综合实验3 vSphere8超融合部署 介绍2022.08.30 VMware 宣布正式发布 VMware vSphere 8vSAN8.0 ESA要求25Gbps网络、VM认证的服务器和最低4块固态,ESA无需缓存盘.https://blogs.vmware.com/china/2022/09/23/vmware-vsan-esa-osa-%e5%8c%ba%e5%88%ab%e4%b8%8e%e9%80%89%e6%8b%a9/vSAN策略https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.vsan.doc/GUID-08911FD3-2462-4C1C-AE81-0D4DBC8F7990.html实验规划1、在vSphere7虚拟化平台上，以vSphere8为基础，部署4台全闪超融合。2、IP分配vcenter地址 172.16.10.220esxi1 172.16.10.221esxi2 172.16.10.222esxi3 172.16.10.223esxi4 172.16.10.2243、ESXi配置为 16C 64G 400G系统盘 1T闪存盘x34、因环境限制，仅配置单网卡5、因环境限制，无法部署vSAN ESA，仍然使用传统OSA模式，即每个磁盘组1块缓存盘6、因模拟环境限制，vCenter安装在外部主机上一、安装ESXi8配置虚拟机安装ESXi8配置IP地址并登录测试安装其他3台ESXi主机二、安装vCenter8通过windows发起安装vCenter配置vSAN时不需要先将ESXi接入vCenter三、配置vSAN集群按vSAN向导配置创建分布式交换机配置存储流量IP声明磁盘，将每个主机的第一块硬盘标记为缓存层，后两块标记为容量层。此时就遇到了vSphere全闪最大的问题，不滿足硬件的情况下，全闪也要标记缓存层因环境限制，将vSAN与管理都放置在同一网卡上运行此时vSAN自动配置完成四、消除vSAN告警查看vSAN当前告警SCSI控制器告警，无影响可消除因环境限制，配置到DSwitch-vSAN的网卡无法通讯，屏蔽此告警五、开启DRS和HA集群-配置-服务启动DRS启动HA六、调整vSAN存储策略默认为vSAN Default Storage Policy策略，默认策略详情可查看官网https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.vsan.doc/GUID-C228168F-6807-4C2A-9D74-E584CAF49A2A.html七、安装一台虚拟机上传镜像文件，注意vSAN仅能存储VMDK文件，镜像需放置在本地磁盘安装Centos7系统因环境限制，无法联网，无法安装vmtools八、在线迁移测试需为VMkernel适配器配置vMotion从222不停机迁移到224迁移完成九、HA vSAN测试ESXi4直接关机，测试Centos7是否自动拉起虚拟机自动在221重启vSAN进入故障状态，数据无丢失此时vSAN会根据策略进行空间收缩，在存活主机上重建数据，vSAN容量从8T收缩为6T十、剥离故障主机假设此主机无法修复，进行剔除剔除后故障消除十一、增加新主机为vSAN集群新增一台主机，横向扩展将主机加入DSwitch分布式交换机容量增加到8T十一、硬盘更换因环境限制无法直接模拟十二、硬盘新增（存在BUG，请勿使用）目标：移除一块硬盘，插入另一块硬盘，增加容量层空间缓存层无法直接更换容量层可以移除仅更换磁盘选择,视情况而定，若硬盘已经完全损坏，迁移磁盘可以能造成多次重试失败、主机卡顿移除完成vSAN容量下降为7T分离设备插入新硬盘后，标记磁盘为HDD与vSphere7不同，此处无法直接将硬盘添加至vSAN组临时处理措施，可以按新增服务器的方式操作。十三、vSAN集群关机、开机集群-vSAN-关闭集群预检查确认关机关机完成，作为vSAN集群，个人认为vCenter需要放在外部或者本地磁盘中，防止开机vSAN异常开机，开启ESXi，开启vCenter，全部启动完成后，选择重新启动vSAN集群耐心等待即可十四、小结整体与vSphere7变化不大，使用方式无异常，全闪模式对硬件有要求。

华为超融合故障处理一则 fusioncube6.5 证书已经过期 FS_MANAGER 查看系统版本：FusionStorage Block V100R006C30SPH505故障描述：重要 证书已经过期 FS_MANAGER Server FusionStorage 附加信息： 证书类型=OMM_Tomcat_Certificate 流水号： 1743 告警级别： 重要 对象类型： Server 对象ID： FS_MANAGER 部件名称： FusionStorage01 告警ID： 51302 告警名称： 证书已经过期 告警对象： FS_MANAGER 部件类型： FusionStorage官方处理说明：https://support.huawei.com/enterprise/zh/doc/EDOC1100171940?idPath=7919749%7C251364444%7C21430817%7C251366260%7C21905727证书下载：https://support.huawei.com/enterprise/zh/software/252011923-ESW2000293854处理过程：注意，需要先清除告警再替换证书，否则会造成告警无法清除，只能华为远程处理。1、查看主节点登录FSM主节点，即fusioncube的主IP，也是FCC的主IP，通过ssh登录登陆用户名dsware用户默认密码为IaaS@OS-CLOUD9!，还有个fc2用户也可以登录登陆后切换到root用户su - rootroot用户默认密码为IaaS@OS-CLOUD8!查看节点状态，active为主节点，如果不是请确认IP是否正确/opt/omm/oms/workspace/ha/module/hacom/script/get_harole.sh active2、上传证书上传至/home/dsware/3、执行一键替换脚本证书密码为Huawei@123，必须在root目录中执行[root@FCC02 ~]# sh /home/dsware/One-click_replace_cert.sh ------------------------------------------------------------------------ STEP 1 Check the environment requirements. Check Success! HA role is active. [done] Check Success! The certificate in use is the default certific[done] Check Success! New Certificate file has upload /home/dsware. [done] Node Version is V100R006C30SPH505 [done] ------------------------------------------------------------------------ STEP 2 Back up the certificate in use to the /home/dsware/ directory. Backup the CRT in use to directory /home/backup_default_certi[done] ------------------------------------------------------------------------ STEP 3 Obtaining the Password of the New Certificate Enter the protection key of the /home/dsware/tomcat_server.jks. Please Enter: Huawei@123 /home/dsware/tomcat_server.jks password check SUCCESS. [done] ------------------------------------------------------------------------ STEP 4 Execute CLI to upload the script to the specified directory. -----------------------step 4.1 save tomcat_client.jks---------------- Execute dsware_tool save tomcat_client.jks SUCCESS. [done] -----------------------step 4.2 save tomcat_server.jks---------------- Execute dsware_tool save tomcat_server.jks SUCCESS. [done] ------------------------------------------------------------------------ STEP 5 Execute CLI to update TomcatCertificate. -----------------------step 5.1 update cert ---------------- Execute dsware_tool update crt tomcat_server.jks SUCCESS. [done] ------------------------------------------------------------------------ STEP 6 Check whether the service is normal after the certificate is replaced. -----------------------Check whether dsware_tool is available.---------------- Check dswareTool FAIL 1/5 TIMES [fail] Check dswareTool FAIL 2/5 TIMES [fail] Check dswareTool FAIL 3/5 TIMES [fail] Check dswareTool SUCCESS.! [done] Congratulations. Certificate replaced successfully.4、故障码清除咨询客服得知，故障码将在一段时间后自动清除

华三H3C无线AC、AP模式与上线解析 一、前言通常将AP分为胖AP（Fat AP）和瘦AP（Fit AP），其中胖AP又包含本地管理与云管理模式。AC部署方式分为旁挂和直连模式，网关部署分为AC网关和其他网关。二、AC部署方式1、最简单的部署方式，即AP直接连接到AC端口上，AC本身配置网关和VLAN，客户端以AC作为网关上网，此方式为AC网关+直连二层+瘦AP模式+集中转发 或 本地转发。2、网关不在AC上，AP与AC在同一VLAN中，客户端以AC集中转发方式上网，此方式为其他网关+直连二层+瘦AP模式+集中转发 或 本地转发。3、网关不在AC上，AP与AC不在同一VLAN中，AP通过三层Option43寻找AC，客户端以AC集中转发方式上网，此方式为其他网关+三层连接+瘦AP模式+集中转发。4、网关不在AC上，AP与AC不在同一VLAN中，AP通过三层Option43寻找AC，客户端以本地转发方式上网，客户端与AP在同一VLAN中，此方式为其他网关+三层连接+瘦AP模式+本地转发。5、网关不在AC上，AP与AC不在同一VLAN中，AP通过三层Option43寻找AC，客户端以本地转发方式上网，客户端与AP不在同一VLAN中，此方式为其他网关+三层连接+瘦AP模式+本地转发+管理业务分离。AC接口配置若AP使用集中转发，则AC接口需要配置为trunk；若AP只使用本地转发，则AC接口可以为access或三层接口。二、胖AP1、同VLAN本地管理连接AP的接口为access，本VLAN中应存在DHCP服务器，登录AP配置SSID，AP与客户端处在同一个VLAN中。2、trunk模式本地管理连接AP的接口为trunk，配置PVID为管理VLAN，管理VLAN中应存在DHCP服务器，允许其他VLAN为业务VLAN，登录AP配置SSID，AP与客户端不处于同一个VLAN中。3、云管理模式华三云简网络 https://oasis.h3c.com/与上面两种模式相同，当AP获得IP并且能够连接外网时，可以使用SN注册云简网络使用，统一配置SSID，可以自动下发配置。三、瘦AP1、同VLAN AC管理 本地转发连接AP接口为access，本VLAN中应存在DHCP服务器，AP通过广播寻找AC，上线后AP、AC、客户端在同一VLAN中。2、同VLAN AC管理 集中转发连接AP接口为access，本VLAN中应存在DHCP服务器，AP通过广播寻找AC，通过AC集中转发，上线后，AP、AC在同一VLAN，客户端在AC指定的VLAN中，集中转发最大带宽由AC决定。3、三层连接 AC管理 本地转发连接AP的接口为access，本VLAN中应存在DHCP服务器，DHCP服务器应配置Option 43选项指定AC的IP地址，AP通过路由连接AC，上线后AP与客户端在同一VLAN中。示例：假设当前AC IP为192.168.2.2/24，无线汇聚管理和业务段均为192.168.3.0/24，每个段都应配置DHCP服务。无线汇聚交换机连接AP端口为access，指定VLAN为管理业务混合段。三层上线配置，AP管理段所在VLAN配置DHCP，如：dhcp server ip-pool vlan5 gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 114.114.114.114 option 43 hex 800700000103030303在线转换工具 https://tool.520101.com/wangluo/jinzhizhuanhuan/说明option43格式简要说明： 80 07 00 00 01 02 02 02 02 80：固定值，不用改变； 07：长度字段，其后面所跟数据的字节长度； 00 00：固定值，不用改变； 01：表示后面的IP地址的个数，此处为一个IP地址； 02 02 02 02：IP地址 AC配置缺省转发VLAN为1，本地转发为全部AP配置无线服务不设置VLAN4、三层连接 AC管理 集中转发连接AP的接口为access，本VLAN中应存在DHCP服务器，DHCP服务器应配置Option 43选项指定AC的IP地址，AP通过路由连接AC，上线后AP、AC在不同网络中，客户端在AC指定的VLAN中。5、三层连接 AC管理 管理业务分离 本地转发连接AP的接口为trunk，配置PVID为管理VLAN，管理VLAN中应存在DHCP服务器，DHCP服务器应配置Option 43选项指定AC的IP地址，AP通过路由连接AC，允许其他VLAN为业务VLAN，上线后AP、AC在不同网络中，客户端在AC指定的VLAN中，通过本地转发模式实现带宽最大化利用。示例：华三官方典型教程https://www.h3c.com/cn/d_202108/1436703_30005_0.htm（注意官方教程有一点错误，官方尚未修改）假设当前AC IP为192.168.2.2/24，无线汇聚管理段为192.168.3.0/24，无线汇聚业务段为192.168.4.0/24，每个段都应配置DHCP服务。三层上线配置，AP管理段所在VLAN配置DHCP，如：dhcp server ip-pool vlan5 gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 114.114.114.114 option 43 hex 800700000103030303在线转换工具 https://tool.520101.com/wangluo/jinzhizhuanhuan/说明option43格式简要说明： 80 07 00 00 01 02 02 02 02 80：固定值，不用改变； 07：长度字段，其后面所跟数据的字节长度； 00 00：固定值，不用改变； 01：表示后面的IP地址的个数，此处为一个IP地址； 02 02 02 02：IP地址无线汇聚交换机连接AP端口配置为trunk，并配置缺省VLAN，此VLAN为管理VLAN，允许业务VLAN通过interface GigabitEthernet1/0/20 port link-mode bridge port link-type trunk port trunk permit vlan all port trunk pvid vlan 3AC配置简单版即缺省VLAN为1，本地转发VLAN为全部AP配置重点，加载MAP文件，即把AP接口同样改为trunk，此时允许通过的VLAN为业务VLAN，同样可以配置允许全部VLAN，以此简化配置。MAP文件内容：system-view vlan 4 quit interface GigabitEthernet 1/0/1 port link-type trunk port trunk permit vlan 4绑定无线服务时直接指定业务VLAN此时管理VLAN为交换机pvid设置的VLAN，业务VLAN为绑定无线服务时设置的VLAN。四、小结个人用户，从节约成本角度考虑，可以使用胖AP/云管理模式，无需购买AC和授权；小型企业用户可以使用同vlan集中转发模式；大型企业应使用三层连接、管理业务分离方式，更安全更快速。

离线安装SQLserver2017 一、准备工作SQL Server 2017下载地址：ed2k://|file|cn_sql_server_2017_developer_x64_dvd_11296175.iso|1769777152|E21AE7C3576C0BDF1BC0ADC541217FAC|/序列号：Enterprise Core 6GPYM-VHN83-PHDM2-Q9T2R-KBV83Developer 22222-00000-00000-00000-00000Enterprise TDKQD-PKV44-PJT4N-TCJG2-3YJ6BStrandard PHDV4-3VJWD-N7JVP-FGPKY-XBV89Web WV79P-7K6YG-T7QFN-M3WHF-37BXC下载 SQL Server Management Studio (SSMS)：https://docs.microsoft.com/zh-cn/sql/ssms/download-sql-server-management-studio-ssms?view=sql-server-2017java下载：https://www.java.com/zh-CN/download/机器学习脱机组件下载地址：https://go.microsoft.com/fwlink/?LinkId=851496&lcid=2052 https://go.microsoft.com/fwlink/?LinkId=851507&lcid=2052 https://go.microsoft.com/fwlink/?LinkId=851502&lcid=2052 https://go.microsoft.com/fwlink/?LinkId=851508&lcid=2052 二、安装数据库本文演示的是将SQLserver2017安装到D盘序列号安装，我这里输入企业版序列号Enterprise TDKQD-PKV44-PJT4N-TCJG2-3YJ6B安装位置为D盘提示安装java，目前最新版本是Version 8 Update 331启用sa用户，并把当前系统用户添加为管理员添加当前用户指定脱机文件目录下载的四个脱机文件，文件名中的数字为1033，按要求改为2052，并放在着桌面上，并加载安装等待安装结束，在具有固态硬盘的电脑上，安装时间约20分钟三、安装数据库管理工具注意：管理工具不必安装在数据库服务器上，如果只在服务器上使用就安装在一起，如果对外提供服务，可以安装在自己电脑上远程连接，如果远程连接，注意防火墙开放端口TCP1433.我这里安装在数据库服务器上，双击安装即可四、连接使用完毕