華為交換機設(shè)置備忘 -電腦資料

電腦資料時間：2019-01-01 我要投稿

【m.clearvueentertainment.com - 電腦資料】

1、部分板卡使用combo口

執(zhí)行命令combo { copper | fiber }，配置以太網(wǎng)光口與電口切換，

華為交換機設(shè)置備忘

。

如：G24C 單板有8 個電口和24 個光口，其中前8 個光口與電口復(fù)用，需要通過combo 命

令來設(shè)置

2、（可選）配置接口二層與三層切換

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令interface interface-type interface-number，進入接口視圖。

步驟3 執(zhí)行命令portswitch，配置接口工作在二層模式。

步驟4 執(zhí)行命令undo portswitch，配置接口工作在三層模式。

缺省情況下，以太網(wǎng)接口處于二層模式。

當接口由三層模式切換到二層模式時，接口的三層功能和標識將被禁止，采用系統(tǒng)的

MAC 地址

3、檢查配置結(jié)果

使用命令display interface [ interface-type [ interface-number ] ] [ | { begin | exclude |

include } regular-expression ] 查看以太網(wǎng)接口的描述信息、雙工模式和速率。

4、配置以太網(wǎng)接口環(huán)回測試功能

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令interface interface-type interface-number，進入接口視圖。

步驟3 執(zhí)行命令loopback internal，配置以太網(wǎng)端口進行環(huán)回測試。

缺省情況下，以太網(wǎng)接口環(huán)回測試功能處于關(guān)閉狀態(tài)。

5、配置接口重啟最小時間間隔

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令shutdown interval interval-value,設(shè)置接口關(guān)閉和啟動的最小時間間隔。

缺省情況下，接口關(guān)閉和啟動的最小時間間隔為15 秒。

6、配置端口組

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令port-group port-group-name，進入端口組視圖。

步驟3 執(zhí)行命令group-member interface-list，添加以太網(wǎng)端口到指定端口組中。

7、（可選）配置接口允許通過的最大幀長

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令interface interface-type interface-number，進入以太網(wǎng)接口視圖。

步驟3 執(zhí)行命令jumbo enable [ value ]，設(shè)置允許通過以太網(wǎng)接口的最大幀長。

缺省情況下，系統(tǒng)允許最大長度為9216 字節(jié)的幀通過以太網(wǎng)端口。

8、（可選）使能流量控制

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令interface interface-type interface-number，進入接口視圖。

步驟3 執(zhí)行命令flow-control，打開以太網(wǎng)接口的流量控制開關(guān)。

缺省情況下，以太網(wǎng)接口的流量控制開關(guān)處于關(guān)閉狀態(tài)。

對端設(shè)備接口也需要打開流量控制開關(guān)才能實現(xiàn)流量控制。

9、（可選）使能流量控制自協(xié)商功能

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令interface gigabitethernet interface-number，進入GE 接口視圖。

步驟3 執(zhí)行命令flow-control negotiation，打開千兆以太網(wǎng)接口的流量控制自協(xié)商功能。

缺省情況下，以太網(wǎng)接口的流量控制自協(xié)商功能處于關(guān)閉狀態(tài)。

對端設(shè)備接口也需要配置流量控制自協(xié)商才能實現(xiàn)流量控制自協(xié)商成功

10、（可選）使能端口隔離功能

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令port-isolate mode { l2 | all }，配置端口隔離模式。（只隔離兩個端口時可省略詞條命令）

步驟3 執(zhí)行命令interface interface-type interface-number，進入以太網(wǎng)接口視圖。

步驟4 執(zhí)行命令port-isolate enable ，使能端口隔離功能。

說明

端口隔離使能后，該端口會與使能端口隔離的端口之間實現(xiàn)兩兩隔離，該端口與沒有使能端口隔

離的端口可以互通。

11、（可選）配置以太網(wǎng)子接口IP 地址

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令interface interface-type interface-number.subinterface-number，創(chuàng)建并進入以太

網(wǎng)子接口視圖。

步驟3 執(zhí)行命令ip address ip-address ip-mask [ sub ]，配置以太網(wǎng)子接口的IP 地址。

目前只有E 系列單板支持子接口配置。

12、檢查配置結(jié)果

l 使用命令display port-group [ all | port-group-name ] 查看配置的端口組。

l 使用命令display interface [ interface-type [ interface-number ] ] [ | { begin | exclude |

include } regular-expression ] 查看接口的自協(xié)商功能。

13、創(chuàng)建單個VLAN

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令vlan vlan-id，創(chuàng)建VLAN 并進入VLAN 視圖。

步驟3 （可選）執(zhí)行命令description description，配置VLAN 的描述信息。

配置VLAN 的描述信息主要是為了方便管理和記憶VLAN。缺省情況下，VLAN 的描

述中體現(xiàn)了VLAN 的編號，例如VLAN15 的描述信息為：“VLAN 0015”。

14、創(chuàng)建多個VLAN

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令vlan batch { vlan-id1 [ to vlan-id2 ] }&<1-10>，批量創(chuàng)建VLAN

15、配置VLAN 流量統(tǒng)計功能

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令vlan vlan-id，進入VLAN 視圖。

步驟3 執(zhí)行命令statistic enable，使能VLAN 上的流量統(tǒng)計功能。

缺省情況下，VLAN 的流量統(tǒng)計功能處于關(guān)閉狀態(tài)。

16、檢查VLAN配置結(jié)果

執(zhí)行命令display vlan，可以查看到已經(jīng)創(chuàng)建的VLAN。

display vlan

The total number of vlans is : 5

VLAN ID Type Status MAC Learning Broadcast/Multicast/Unicast Property

--------------------------------------------------------------------------------

1 common enable enable forward forward forward default

10 common enable enable forward forward forward default

20 common enable enable forward forward forward default

30 common enable enable forward forward forward default

100 common enable enable forward forward forward default

執(zhí)行命令display vlan vlan-id verbose，可以查看到VLAN 的描述信息是否配置正確。

display vlan 10 verbose

VLAN ID : 10

VLAN Type : Common

Description : VLAN 0010

Status : Enable

Broadcast : Enable

MAC learning : Enable

Statistics : Disable

Property : default

Physical status: Down

----------------

Untagged Port: GigabitEthernet1/0/3

----------------

Tagged Port: GigabitEthernet1/0/1 GigabitEthernet1/0/2

----------------

Interface Physical

GigabitEthernet1/0/1 DOWN

GigabitEthernet1/0/2 DOWN

GigabitEthernet1/0/3 DOWN

執(zhí)行命令display vlan vlan-id statistics，可以查看到VLAN 的流量統(tǒng)計信息。

display vlan 20 statistics

Board: 3

VLAN: 20

--------------------------------------------------------------------------

Item Packets Bytes

--------------------------------------------------------------------------

Inbound 0 0

Outbound 0 0

17、Trunk（Vlan透傳）

port link-type trunk

port trunk allow-pass vlan all

eth-Trunk（以太網(wǎng)聚合）

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 100 to 200

interface GigabitEthernet0/0/3

eth-trunk 1

interface GigabitEthernet0/0/4

eth-trunk 1

S2300/3300/5300系列交換機如何防止用戶私設(shè)靜態(tài)IP地址

防止用戶私設(shè)靜態(tài)IP地址，可以達到同一接口下只有與綁定的IP+MAC相同的用戶數(shù)據(jù)或者是合法的DHCP自動獲取IP地址的用戶數(shù)據(jù)才能通過，其它用戶數(shù)據(jù)不能通過。

S2300/3300/5300系列交換機雖然沒有H3C交換機的am user-bind命令，但是通過DHCP Snooping功能也可以實現(xiàn)IP+MAC+端口綁定以防止用戶私設(shè)靜態(tài)IP地址。例如，若要求端口Ethernet0/0/1下除了靜態(tài)IP地址為1.1.1.2、MAC地址為001c-2309-9aa7對應(yīng)的用戶外，其它所有靜態(tài)IP用戶都不能上網(wǎng)。配置如下：

配置設(shè)備的DHCP Snooping功能

# 使能全局DHCP Snooping功能。

[Quidway] dhcp snooping enable# 配置用戶側(cè)接口所屬的VLAN。

[Quidway] vlan 100

[Quidway-vlan100] quit

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan 100

[Quidway-Ethernet0/0/1] quit# 使能VLAN下的DHCP Snooping功能。

[Quidway] vlan 100

[Quidway-vlan100] dhcp snooping enable配置在用戶側(cè)接口進行報文檢查

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] dhcp snooping check arp enable

[Quidway-Ethernet0/0/1] dhcp snooping check ip enable

[Quidway-Ethernet0/0/1] quit配置靜態(tài)綁定表項

[Quidway] vlan 100

[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1

實現(xiàn)IP+端口綁定 (2012-02-16 16:25:09)

標簽： it

Switch可以通過流策略與DHCP Snooping兩個功能相互結(jié)合來實現(xiàn)IP和端口綁定，即實現(xiàn)某個端口只綁定某個特定源ip地址（只允許在綁定表內(nèi)的和某個特定源ip地址的報文通過），不綁定mac，

電腦資料

《華為交換機設(shè)置備忘》(http://m.clearvueentertainment.com)。

例如，配置端口Ethernet0/0/8只允許綁定表內(nèi)的和源IP地址為192.168.130.50的報文通過，丟棄其他IP報文。

# 全局使能dhcp snoopying

[Quidway] dhcp snooping enable# 定義高級ACL，匹配IP地址192.168.130.50

[Quidway] acl 3000

[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0

[Quidway-acl-adv-3000] rule 10 deny ip source any

[Quidway-acl-adv-3000] rule 15 deny ip destination any# 創(chuàng)建流分類，匹配ACL

[Quidway] traffic classifier c1

[Quidwayclassifier-c1] if-match acl 3000# 創(chuàng)建流行為和流策略

[Quidway] traffic behavior. b1

[Quidway-behavior-b1] permit

[Quidway] traffic policy p1

[Quidway-trafficpolicy-p1] classifier c1 behavior. b1# 端口下應(yīng)用流策略，只允許綁定表內(nèi)的和源IP地址為192.168.130.50的報文通過

在V100R002C00的版本配置如下：

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan 4094

[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1 inbound在V100R003C00及以后的版本配置如下：

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan 4094

[Quidway-Ethernet0/0/8] ip source check user-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1 inbound

如何通過配置來實現(xiàn)IP+MAC+端口綁定功能

S-swich通過DHCP Snooping的靜態(tài)綁定表來實現(xiàn)IP+MAC+端口綁定功能。

配置思想是先在VLAN下配置的靜態(tài)綁定表，靜態(tài)綁定表的IP和MAC為PC的IP和MAC。然后在與PC相連的S-swich接口上配置IP和ARP報文檢查功能。

使用的方法是采用DHCP方式為用戶分配IP，然后限定這些用戶只能使用動態(tài)IP的方式，如果改成靜態(tài)IP的方式則不能連接上網(wǎng)絡(luò)；也就是使用了DHCP SNOOPING功能。

例如配置IP地址10.1.1.1，MAC地址0002-0002-0002和接口Ethernet0/0/1綁定。

在V100R002的版本配置如下：

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] interface Ethernet 0/0/1

[HUAWEI-Ethernet0/0/1] port default vlan 100

[HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable

[HUAWEI-Ethernet0/0/1] quit

[HUAWEI] vlan 100

[HUAWEI-vlan100] dhcp snooping enable

[HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

在V100R003及以后的版本配置如下：

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] interface Ethernet 0/0/1

[HUAWEI-Ethernet0/0/1] port default vlan 100

[HUAWEI-Ethernet0/0/1] ip source check user-bind enable

[HUAWEI-Ethernet0/0/1] quit

[HUAWEI] vlan 100

[HUAWEI-vlan100] dhcp snooping enable

[HUAWEI-vlan100] quit

[HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

如何通過配置來實現(xiàn)MAC+端口綁定功能

Switch通過流策略與DHCP Snooping兩個功能相互結(jié)合來實現(xiàn)MAC和端口綁定，即實現(xiàn)某個端口只綁定某個特定mac地址（某個端口只允許在綁定表內(nèi)的和某特定mac地址的報文通過），不綁定ip。

例如，配置端口Ethernet0/0/1只允許綁定表內(nèi)的和源mac地址為0-02-02的報文通過，其他報文都丟棄。

# 全局使能dhcp snooping

[Quidway] dhcp snooping enable# 創(chuàng)建ACL，只允許MAC地址為0-02-02的報文

[Quidway] acl 4000

[Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff

[Quidway-acl-L2-4000] rule deny# 創(chuàng)建流分類，匹配ACL 4000

[Quidway] traffic classifier c1

[Quidwayclassifier-c1] if-match acl 4000# 創(chuàng)建流行為和流策略

[Quidway] traffic behavior. b1

[Quidway-behavior-b1] permit

[Quidway] traffic policy p1

[Quidway-trafficpolicy-p1] classifier c1 behavior. b1# 端口下應(yīng)用流策略，使該端口只允許綁定表內(nèi)的和源mac地址為0-02-02的報文通過。

在V001C00R002的版本配置如下：

[Quidway] interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan 4094

[Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable

[Quidway-Ethernet0/0/1] traffic-policy p1 inbound在V001C00R003及以后的版本配置如下：

[Quidway] interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan 4094

[Quidway-Ethernet0/0/1] ip source check user-bind enable

[Quidway-Ethernet0/0/1] traffic-policy p1 inbound

如何通過配置實現(xiàn)IP+端口綁定

Switch可以通過流策略與DHCP Snooping兩個功能相互結(jié)合來實現(xiàn)IP和端口綁定，即實現(xiàn)某個端口只綁定某個特定源ip地址（只允許在綁定表內(nèi)的和某個特定源ip地址的報文通過），不綁定mac。

例如，配置端口Ethernet0/0/8只允許綁定表內(nèi)的和源IP地址為192.168.130.50的報文通過，丟棄其他IP報文。

# 全局使能dhcp snoopying

[Quidway] dhcp snooping enable# 定義高級ACL，匹配IP地址192.168.130.50

[Quidway] acl 3000

[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0

[Quidway-acl-adv-3000] rule 10 deny ip source any

[Quidway-acl-adv-3000] rule 15 deny ip destination any# 創(chuàng)建流分類，匹配ACL

[Quidway] traffic classifier c1

[Quidwayclassifier-c1] if-match acl 3000# 創(chuàng)建流行為和流策略

[Quidway] traffic behavior. b1

[Quidway-behavior-b1] permit

[Quidway] traffic policy p1

[Quidway-trafficpolicy-p1] classifier c1 behavior. b1# 端口下應(yīng)用流策略，只允許綁定表內(nèi)的和源IP地址為192.168.130.50的報文通過

在V100R002C00的版本配置如下：

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan 4094

[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1 inbound在V100R003C00及以后的版本配置如下：

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan 4094

[Quidway-Ethernet0/0/8] ip source check user-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1 inbound

S2300/3300/5300系列交換機如何防止用戶私設(shè)靜態(tài)IP地址

配置設(shè)備的DHCP Snooping功能

# 使能全局DHCP Snooping功能。

[Quidway] dhcp snooping enable# 配置用戶側(cè)接口所屬的VLAN。

[Quidway] vlan 100

[Quidway-vlan100] quit

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan 100

[Quidway-Ethernet0/0/1] quit# 使能VLAN下的DHCP Snooping功能。

[Quidway] vlan 100

[Quidway-vlan100] dhcp snooping enable配置在用戶側(cè)接口進行報文檢查

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] dhcp snooping check arp enable

[Quidway-Ethernet0/0/1] dhcp snooping check ip enable

[Quidway-Ethernet0/0/1] quit配置靜態(tài)綁定表項

[Quidway] vlan 100

[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1

相關(guān)文章