没有合适的资源?快使用搜索试试~ 我知道了~
华为交换机各种配置实.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 8 浏览量
2023-05-18
13:08:07
上传
评论
收藏 1.08MB PDF 举报
温馨提示
试读
27页
华为交换机各种配置实.pdf
资源推荐
资源详情
资源评论
华为交换机各种配置实
交换机配置(一)端口限速基本配置
华为 3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、
S5012、S5024、S5600 系列:
华为交换机端口限速
2000_EI 系列以上的交换机都可以限速!
限速不同的交换机限速的方式不一样!
2000_EI 直接在端口视图下面输入 LINE-RATE (4 )参数可选!
端口限速配置
1 功能需求及组网说明
端口限速配置
『配置环境参数』
1. PC1 和 PC2 的 IP 地址分别为 10.10.1.1/24、10.10.1.2/24
『组网需求』
1. 在 SwitchA 上配置端口限速,将PC1 的下载速率限制在 3Mbps,同时将 PC1 的上传速率
限制在 1Mbps
2 数据配置步骤
『S2000EI 系列交换机端口限速配置流程』
使用以太网物理端口下面的 line-rate 命令,来对该端口的出、入报文进行流量限速。
【SwitchA 相关配置】
1. 进入端口 E0/1 的配置视图
[SwitchA]interface Ethernet 0/1
2. 对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps
[SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口 E0/1 的入方向报文进行流量限速,限制到 1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16
【补充说明】
报文速率限制级别取值为 1~127。如果速率限制级别取值在 1~28 围,则速率限制的粒度
为 64Kbps,这种情况下,当设置的级别为 N,则端口上限制的速率大小为 N*64K;如果速
率限制级别取值在 29~127 围,则速率限制的粒度为 1Mbps,这种情况下,当设置的级别为
N,则端口上限制的速率大小为(N-27)*1Mbps。
此系列交换机的具体型号包括:S2008-EI、S2016-EI 和 S2403H-EI。
『S2000-SI 和 S3000-SI 系列交换机端口限速配置流程』
使用以太网物理端口下面的 line-rate 命令,来对该端口的出、入报文进行流量限速。
【SwitchA 相关配置】
1. 进入端口 E0/1 的配置视图
[SwitchA]interface Ethernet 0/1
2. 对端口 E0/1 的出方向报文进行流量限速,限制到 6Mbps
[SwitchA- Ethernet0/1]line-rate outbound 2
3. 对端口 E0/1 的入方向报文进行流量限速,限制到 3Mbps
[SwitchA- Ethernet0/1]line-rate inbound 1
【补充说明】
对端口发送或接收报文限制的总速率,这里以 8 个级别来表示,取值围为 1~8,含义为:
端口工作在 10M 速率时,1~8 分别表示 312K,625K,938K,1.25M,2M,4M,6M,8M;
端口工作在 100M 速率时,1~8 分别表示 3.12M,6.25M,9.38M,12.5M,20M,40M,60M,
80M。
此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI 和 E026-SI。
『S3026E、S3526E、S3050、S5012、S5024 系列交换机端口限速配置流程』
使用以太网物理端口下面的 line-rate 命令,对该端口的出方向报文进行流量限速;结合acl,
使用以太网物理端口下面的 traffic-limit 命令,对端口的入方向报文进行流量限速。
【SwitchA 相关配置】
1. 进入端口 E0/1 的配置视图
[SwitchA]interface Ethernet 0/1
2. 对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps
[SwitchA- Ethernet0/1]line-rate 3
3. 配置 acl,定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4. 对端口 E0/1 的入方向报文进行流量限速,限制到 1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1 exceed drop
【补充说明】
line-rate 命令直接对端口的所有出方向数据报文进行流量限制,而 traffic-limit 命令必须结合
acl 使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl 的时候,
也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文
进行流量限制。
端口出入方向限速的粒度为 1Mbps。
此系列交换机的具体型号包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T 和 S5024G。
『S3528、S3552 系列交换机端口限速配置流程』
使用以太网物理端口下面的 traffic-shape 和 traffic-limit 命令,分别来对该端口的出、入报文
进行流量限速。
【SwitchA 相关配置】
1. 进入端口 E0/1 的配置视图
[SwitchA]interface Ethernet 0/1
2. 对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps
[SwitchA- Ethernet0/1]traffic-shape 3250 3250
3. 配置 acl,定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4. 对端口 E0/1 的入方向报文进行流量限速,限制到 1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed
drop
【补充说明】
此系列交换机的具体型号包括:S3528G/P 和 S3552G/P/F。
『S3900 系列交换机端口限速配置流程』
使用以太网物理端口下面的 line-rate 命令,对该端口的出方向报文进行流量限速;结合acl,
使用以太网物理端口下面的 traffic-limit 命令,对匹配指定访问控制列表规则的端口入方向
数据报文进行流量限制。
【SwitchA 相关配置】
1. 进入端口 E1/0/1 的配置视图
[SwitchA]interface Ethernet 1/0/1
2. 对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3. 配置 acl,定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4. 对端口 E0/1 的入方向报文进行流量限速,限制到 1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop
【补充说明】
line-rate 命令直接对端口的所有出方向数据报文进行流量限制,而 traffic-limit 命令必须结合
acl 使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl 的时候,
也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文
进行流量限制。
端口出入方向限速的粒度为 64Kbps。
此系列交换机的具体型号包括:S3924、S3928P/F/TP 和 S3952P。
『S5600 系列交换机端口限速配置流程』
使用以太网物理端口下面的 line-rate 命令,对该端口的出方向报文进行流量限速;结合acl,
使用以太网物理端口下面的 traffic-limit 命令,对匹配指定访问控制列表规则的端口入方向
数据报文进行流量限制。
【SwitchA 相关配置】
1. 进入端口 E1/0/1 的配置视图
[SwitchA]interface Ethernet 1/0/1
2. 对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3. 配置 acl,定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4. 对端口 E0/1 的入方向报文进行流量限速,限制到 1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop
【补充说明】
line-rate 命令直接对端口的所有出方向数据报文进行流量限制,而 traffic-limit 命令必须结合
acl 使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl 的时候,
也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文
进行流量限制。
端口出入方向限速的粒度为 64Kbps。
此系列交换机的具体型号包括:S5624P/F 和 S5648P。
交换机配置(二)端口绑定基本配置
1,端口+MAC
a)AM 命令
使用特殊的 AM User-bind 命令,来完成 MAC 地址与端口之间的绑定。例如:
[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口 E0/1 只允许 PC1 上网,
而使用其他未绑定的 MAC 地址的 PC 机则无法上网。但是 PC1 使用该 MAC 地址可以在其
他端口上网。
b)mac-address 命令
使用 mac-address static 命令,来完成 MAC 地址与端口之间的绑定。例如:
[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1
[SwitchA]mac-address max-mac-count 0
配置说明:由于使用了端口学习功能,故静态绑定 mac 后,需再设置该端口 mac 学习数为
0,使其他 PC 接入此端口后其 mac 地址无法被学习。
2,IP+MAC
a)AM 命令
使用特殊的 AM User-bind 命令,来完成 IP 地址与 MAC 地址之间的绑定。例如:
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3
配置说明:以上配置完成对 PC 机的 IP 地址和 MAC 地址的全局绑定,即与绑定的 IP 地址
或者 MAC 地址不同的 PC 机,在任何端口都无法上网。
支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、
S5012T/G、S5024G
b)arp 命令
使用特殊的 arp static 命令,来完成 IP 地址与 MAC 地址之间的绑定。例如:
[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3
配置说明:以上配置完成对 PC 机的 IP 地址和 MAC 地址的全局绑定。
3,端口+IP+MAC
使用特殊的 AM User-bind 命令,来完成 IP、MAC 地址与端口之间的绑定。例如:
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置说明:可以完成将 PC1 的 IP 地址、MAC 地址与端口 E0/1 之间的绑定功能。由于使用
了端口参数,则会以端口为参照物,即此时端口E0/1 只允许 PC1 上网,而使用其他未绑定
的 IP 地址、MAC 地址的 PC 机则无法上网。但是 PC1 使用该 IP 地址和 MAC 地址可以在其
他端口上网。
支持型号:S3026E/S3026E-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;E3026;E050;
S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S6500(3 代引擎)
交换机配置(三)ACL 基本配置
1,二层 ACL
. 组网需求:
通过二层访问控制列表,实现在每天 8:00~18:00 时间段对源 MAC 为 00e0-fc01-0101 目的
MAC 为 00e0-fc01-0303 报文的过滤。该主机从 GigabitEthernet0/1 接入。
.配置步骤:
(1)定义时间段
# 定义 8:00 至 18:00 的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的 ACL
# 进入基于名字的二层访问控制列表视图,命名为 traffic-of-link。
[Quidway] acl name traffic-of-link link
# 定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress
00e0-fc01-0303 0-0-0 time-range huawei
(3)激活 ACL。
# 将 traffic-of-link 的 ACL 激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link
2,三层 ACL
a)基本访问控制列表配置案例
. 组网需求:
通过基本访问控制列表,实现在每天 8:00~18:00 时间段对源 IP 为 10.1.1.1 主机发出报文的
过滤。该主机从 GigabitEthernet0/1 接入。
.配置步骤:
(1)定义时间段
# 定义 8:00 至 18:00 的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定义源 IP 为 10.1.1.1 的 ACL
# 进入基于名字的基本访问控制列表视图,命名为 traffic-of-host。
[Quidway] acl name traffic-of-host basic
# 定义源 IP 为 10.1.1.1 的访问规则。
[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei
(3)激活 ACL。
# 将 traffic-of-host 的 ACL 激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host
b)高级访问控制列表配置案例
.组网需求:
公司企业网通过 Switch 的端口实现各部门之间的互连。研发部门的由 GigabitEthernet0/1 端
口接入,工资查询服务器的地址为 129.110.1.2。要求正确配置 ACL,限制研发部门在上班
时间 8:00 至 18:00 访问工资服务器。
.配置步骤:
(1)定义时间段
# 定义 8:00 至 18:00 的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 working-day
(2)定义到工资服务器的 ACL
# 进入基于名字的高级访问控制列表视图,命名为 traffic-of-payserver。
[Quidway] acl name traffic-of-payserver advanced
# 定义研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0
time-range huawei
(3)激活 ACL。
# 将 traffic-of-payserver 的 ACL 激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver
3,常见病毒的 ACL
创建 acl
acl number 100
禁 ping
剩余26页未读,继续阅读
资源评论
hhappy0123456789
- 粉丝: 61
- 资源: 5万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功