-
华为交换机各种配置实例
交换机配置(三)
ACL
基本配置
交换机配置(一)端口限速基本配置
华为
3Com
2000_EI
、
S2000-SI
、
S3000-SI
、
S3026E
、
S3526E
、
S3528
、
S3552
、
S390
0
、
S3050
、
S5012
、
S5024
、
S5600
系列
:
华为交换机端口限速
2000_EI
系列以上的交换机都可以限速
!
限速不同的交换机限速的方式不一样
!
2000_EI
直接在端口视图下面输入
LINE-RATE
(4 )
参数可选
!
端口限速配置
1
功能需求及组网说明
端口限速配置
『配置环境参数』
1. PC1
和
PC2
的
IP<
/p>
地址分别为
10.10.1.1/24
、
10.10.1.2/24
『组网需求』
1.
在
SwitchA
上配置端口限速,将
PC1
的下载速率限制在
3Mbps
< br>,同时将
PC1
的上传速率
限制
在
1Mbps
2
数据配置步骤
『
S2000EI
系列交换机端口限速配置流程』
使用以太网物理端口下面的
line-
rate
命令,来对该端口的出、入报文进行流量限速。
【
SwitchA
相关配置】
1.
进入端口
E0/1
的配置视图
[SwitchA]interface Ethernet 0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet0/1]line-rate
outbound 30
3.
对端口
E0/1
的入方向报文进行流量限速,限制到
1Mbps
[SwitchA- Ethernet0/1]line-rate inbound
16
【补充说明】
报文速率限制级
别取值为
1
~
127
< br>。如果速率限制级别取值在
1
~
28
范围内,则速率限制的
粒度为
64
Kbps
,这种情况下,当设置的级别为
N
,则端口上限制的速率大小为
N*64K
;如果
速率限制级别取值在
29
~
127
范围内,则速率限制的粒度为
1Mbps
,这种情况下,当设置的
级别为
N
< br>,则端口上限制的速率大小为
(N-27)*1Mbps
。
此系列交换机的具体型号包括:
S
2008-EI
、
S2016-EI
和
S2403H-EI
。
『
S2000-SI
和
S3
000-SI
系列交换机端口限速配置流程』
使用以太网物理端口下面的
line-
rate
命令,来对该端口的出、入报文进行流量限速。
【
SwitchA
相关配置】
1.
进入端口
E0/1
的配置视图
[SwitchA]interface Ethernet 0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
6Mbps
[SwitchA- Ethernet0/1]line-rate
outbound 2
3.
对端口
E0/1
的入方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet0/1]line-rate inbound
1
【补充说明】
对端口发送或接收
报文限制的总速率,
这里以
8
个级别来
表示,
取值范围为
1
~
8
,
含义为:
端口工作在
10M
速率时,
1
~
8
分别表示
312K
,
625K
,
938K
,
1.25M
,
2M
,
4M
,
6M
,
8M
;端口
工作在
100M
速率时,
1
~
8
分别表示
3.12M
,
6.25M
,
9.38M
,
12.5M
,
20M
,
40M
,
60M
,
80M
。
此系列交换机的具体型号包括:
S2
026C/Z-SI
、
S3026C/G/S-SI
和
E026-SI
。
<
/p>
『
S3026E
、
S3526E
、
S3050
、
S5012
、
S5024
系列交换机端口限速配置流程』
使用以太网物理端口下面的
line-rate
命令,对该端口的出方向报文进行流量限速;结合
acl
,
使用以太网物理端口下面的
traffic-limit<
/p>
命令,
对端口的入方向报文进行流量限速。
【
SwitchA
相关配置】
1.
进入端口
E0/1
的配置视图
[SwitchA]interface Ethernet 0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet0/1]line-rate 3
3.
配置
acl
,定义符合速率限制的数据流
[SwitchA]acl
number 4000
[SwitchA-acl-link-4000]rule
permit ingress any egress any
4.
对端口
E0/1
的入方向报文进行流量限速,限制到
1Mbps
[SwitchA-
Ethernet0/1]traffic-limit inbound link-group 4000
1 exceed drop
【补充说明】
line-rate
命令直接对端口的所有出方向数据报文进行
流量限制,
而
traffic-limit
命令必
须结合
acl
使用,对匹配
了指定访问控制列表规则的数据报文进行流量限制。在配置
acl
的时候,
也可以通过配置三层访问规则,
来对指定的源或目的
网段报文,
进行端口的入方向
数据报文进行流量限制。
端口出入方向限速的粒度为
1Mbps
。
此系列交换机的具体型号包括:
S3026E/C/G/T
、
S3526E/C
/EF
、
S3050C
、
S5012G/T
和
S5024G
< br>。
『
S3528
、
S3552
系列交换机端口限速配置流程』
使用以太网物理端口下面的
traffic-
shape
和
traffic-limit
命令,分别来对该端口的出、
入报文进行流量限速。
【
SwitchA
相关配置】
1.
进入端口
E0/1
的配置视图
[SwitchA]interface Ethernet 0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet0/1]traffic-shape
3250 3250
3.
配置
ac
l
,定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit
ingress any egress any
4.
对端
口
E0/1
的入方向报文进行流量限速,限制到
1Mbps
[SwitchA-
Ethernet0/1]traffic-limit
inbound
link-group
4000
1000
150000
150000
1000
exceed drop
【补充说明】
此系列交换机的具体型
号包括:
S3528G/P
和
S355
2G/P/F
。
『
< br>S3900
系列交换机端口限速配置流程』
使用以太网物理端口下面的
line-rate
命令,对该端口的出方向报文进行流量限速;结合
acl
,使用以太网物理端口下面的
traffic-limit
命
令,对匹配指定访问控制列表规则的端
口入方向数据报文进行流量限制。
【
SwitchA
相关配置
】
1.
进入端口
< br>E1/0/1
的配置视图
[SwitchA]interface Ethernet 1/0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3.
配置
acl
,定义符合速率限制的数据流
[SwitchA]acl
number 4000
[SwitchA-acl-link-4000]rule
permit ingress any egress any
4.
对端口
E0/1
的入方向报文进行流量限速,限制到
1Mbps
[SwitchA-
Ethernet1/0/1]traffic-limit inbound link-group
4000 1000 exceed drop
【补充说明】
line-rate
命令直接对端口的所有出方向数据报文进行
流量限制,
而
traffic-limit
命令必
须结合
acl
使用,对匹配
了指定访问控制列表规则的数据报文进行流量限制。在配置
acl
的时候,
也可以通过配置三层访问规则,
来对指定的源或目的
网段报文,
进行端口的入方向
数据报文进行流量限制。
端口出入方向限速的粒度为
64Kbps
。
此系列交换机的具体型号包括:
S3924
、
S3928P/F/TP
和
S3952P
。
『
S5600
系列交换机端口限速配置
流程』
使用以太网物理端口下面的
line-rate
命令,对该端口的出方向报文进行流量限速;结合
acl
,使用以太网物理端口下面的
traffic-limit
命
令,对匹配指定访问控制列表规则的端
口入方向数据报文进行流量限制。
【
SwitchA
相关配置
】
1.
进入端口
< br>E1/0/1
的配置视图
[SwitchA]interface Ethernet 1/0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3.
配置
acl
,定义符合速率限制的数据流
[SwitchA]acl
number 4000
[SwitchA-acl-link-4000]rule
permit ingress any egress any
4.
对端口
E0/1
的入方向报文进行流量限速,限制到
1Mbps
[SwitchA-
Ethernet1/0/1]traffic-limit inbound link-group
4000 1000 exceed drop
【补充说明】
line-rate
命令直接对端口的所有出方向数据报文进行
流量限制,
而
traffic-limit
命令必
须结合
acl
使用,对匹配
了指定访问控制列表规则的数据报文进行流量限制。在配置
acl
的时候,
也可以通过配置三层访问规则,
来对指定的源或目的
网段报文,
进行端口的入方向
数据报文进行流量限制。
端口出入方向限速的粒度为
64Kbps
。
此系列交换机的具体型号包括:
S5624P/F
和
S5648P
。
交换机配置(二)端口绑定基本配置
1
,端口
+MAC
a)AM
命令
使用特殊的
AM User-bind
命令,来完成
MAC
地址与端口之间的绑定。例如:
[SwitchA]am user-bind mac-
address 00e0-fc22-f8d3 interface Ethernet 0/1
配置说明:
由于使用了端口参数,
则会以端口为
参照物,
即此时端口
E0/1
只允许<
/p>
PC1
上网,
而使用其他未绑定的
MAC
地址的
PC
机
则无法上网。但是
PC1
使用该
MAC
地址可以在其他端
口上网。
b)mac-address
命令
使用
mac-address static
< br>命令,来完成
MAC
地址与端口之间的绑定。例如:
[SwitchA]mac-address static
00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1
[SwitchA]mac-address max-mac-count 0
配置说明:
由于使用了端口学习功
能,
故静态绑定
mac
后,
需再设置该端口
mac
学习数为
< br>0
,
使其他
PC
接入此端口后其
mac
地址无法被学习。
2
,
IP+MAC
a)AM
命令
使用特殊的
AM User-bind
命令,来完成
IP
地址与
MAC
地址之间的绑定。例如:
[SwitchA]am user-bind ip-address
10.1.1.2 mac-address 00e0-fc22-f8d3
配置说
明:以上配置完成对
PC
机的
IP
地址和
MAC
地址的全局绑定,即与绑定的
IP
地址或
者
MAC
地址不同的
PC
机,在任何端口
都无法上网。
支持型号:
S3026
E/EF/C/G/T
、
S3026C-PWR
、
E026/E026T
、
S
3050C
、
E050
、
S3526E/C/EF
、
S5012T/G
、
S5024G
b)arp
命令
使用特殊的
arp static
命令
,来完成
IP
地址与
MAC
地址之间的绑定。例如:
[SwitchA]arp static 10.1.1.2
00e0-fc22-f8d3
配置说明:以上配置完成对
P
C
机的
IP
地址和
MAC
地址的全局绑定。
3
,端口
+IP+MAC
使用特殊的
AM User-bind
命令,来完成
IP
、
MAC
地址与端口之间的绑定。例如:
[SwitchA]am user-bind ip-address
10.1.1.2 mac-address 00e0-fc22-f8d3 interface
Ethernet 0/1
配置说明:可以完成将
PC1
的
IP
地址、
MAC
地址与端口
E0/1
之间的绑定功能。由于使用了
端口参数,则会以端口为参照物,即此时端口
E0/1
只允许
PC1
上网,而使用其他未绑定的
IP
地址、
MAC
地址的
PC
机则无法上网。
但是
PC1
使用该
IP
地址和
MAC
地址可以在其他
端口
上网。
支持型号:
S3026E/S3026E-FM/S3026-FS
;
< br>S3026G
;
S3026C
;
S3026C-PWR
;
E3026<
/p>
;
E050
;
S
3526E/C;S3526E-FM/FS; S5012T/G
、
< br>S5024G
、
S3900
、<
/p>
S5600
、
S6500(3
代引擎
)
1
,二层
ACL
.
组网需求
:
通过二层访问控制列表,实现在每天
8:00
~
18:00
时间段内对源
MAC
< br>为
00e0-fc01-0101
目
的
MAC
为
00e0-fc01-
0303
报文的过滤。该主机从
GigabitEtherne
t0/1
接入。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00 daily
(2)
定义源
MAC
为
00e0-fc01-0101
目的
MAC
为
00e0-fc01
-0303
的
ACL
#
进入基于名字的二层访问控制列表视图,命名为
traffic-of-
link
。
[Quidway]
acl name traffic-of-link link
#
定义源
MAC
为
00e0-f
c01-0101
目的
MAC
为
00e0-fc01-0303
的流分类规则。
[Quidway-acl-link-traffic-of-link]
rule
1
deny
ingress
00e0-fc01-0101
0-0-0
egress
00e0-fc01-0303 0-0-0 time-range huawei
(3)
激活
ACL
。
#
将
traffic-of-link
的
ACL
激活。
[Quidway-GigabitEthernet0/1] packet-
filter link-group traffic-of-link
2
,三层
ACL
a)
基本访问控制列表配置案例
.
组网需求
:
通过基本访问控制列表,
实现在每天
8:00
~
18:00
时间段内对源
IP
为
10.1.1.1
主机发出报<
/p>
文的过滤。该主机从
GigabitEthernet0/1
接入。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00 daily
(2)
定义源
IP
为
10.1.1.1
的
ACL
#
进入基于名字的基本访问控制列表
视图,命名为
traffic-of-
host
。
[Quidway]
acl name traffic-of-host basic
#
定义源
IP
为
10.1.1
.1
的访问规则。
[Quidway-acl-basic-traffic-of-host]
rule 1 deny ip source 10.1.1.1 0 time-range
huawei
(3)
激活
ACL
。
#
将
traffic-of-host
的
ACL
激活。
[Quidway-GigabitEthernet0/1] packet-
filter inbound ip-group traffic-of-host
b)
高级访问控制列表配置案例
.
组网需求
:
公司企业网通过
Switch
的端口实现各部门之间的互连。
研发部门的由
GigabitEthernet0/1
端口接入,工资查询服务器的地址为
129.110.1.2
。要求正确配置
ACL
,限制研发部门在上
班时间
8:00
至
1
8:00
访问工资服务器。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00 working-day
(2)
定义到工资服务器的
ACL
#
进入基于名字的高级访问控制列表视图,命名为
traffic-of-payserver
。
[Quidway] acl name traffic-of-payserver
advanced
#
定义研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver]
rule 1 deny ip source any destination
129.110.1.2 0.0.0.0 time-range huawei <
/p>
(3)
激活
ACL
。
#
将
traffic-of-payserver
的
ACL
激活。
[Quidway-GigabitEthernet0/1]
packet-filter inbound ip-group traffic-
of-payserver
3
,常见病毒的
ACL
创建
acl
acl number
100
禁
ping
rule
deny icmp source any destination any
用于
控制
Blaster
蠕虫的传播
rule deny udp source any destination
any destination-port eq 69
rule deny
tcp source any destination any destination-port eq
4444
用于控制冲击波病毒的扫描和攻击
rule deny tcp source any destination
any destination-port eq 135
rule deny
udp source any destination any destination-port eq
135
rule deny udp source any
destination any destination-port eq netbios-ns
rule deny udp source any destination
any destination-port eq netbios-dgm
rule deny tcp source any destination
any destination-port eq 139
rule deny
udp source any destination any destination-port eq
139
rule deny tcp source any
destination any destination-port eq 445
rule deny udp source any destination
any destination-port eq 445
rule deny
udp source any destination any destination-port eq
593
rule deny tcp source any
destination any destination-port eq 593
用于控制振荡波的扫描和攻击
rule deny tcp source any destination
any destination-port eq 445
rule deny
tcp source any destination any destination-port eq
5554
rule deny tcp source any
destination any destination-port eq 9995
rule deny tcp source any destination
any destination-port eq 9996
用于控制
Worm_MSBlast.A
蠕虫的传播
rule deny
udp source any destination any destination-port eq
1434
下面的不出名的病毒端口号
(可以不作)
rule deny
tcp source any destination any destination-port eq
1068
rule deny tcp source any
destination any destination-port eq 5800
rule deny tcp source any destination
any destination-port eq 5900
rule deny
tcp source any destination any destination-port eq
10080
rule deny tcp source any
destination any destination-port eq 455
rule deny udp source any destination
any destination-port eq 455
rule deny
tcp source any destination any destination-port eq
3208
rule deny tcp source any
destination any destination-port eq 1871
rule deny tcp source any destination
any destination-port eq 4510
rule deny
udp source any destination any destination-port eq
4334
rule deny tcp source any
destination any destination-port eq 4331
rule deny tcp source any destination
any destination-port eq 4557
然后下发配置
packet-
filter ip-group 100
目的:
针对目前网
上出现的问题,
对目的是端口号为
1434
的
UDP
报文进行过滤的配置方法,
详细和复杂的配置请看配置手册。
NE80
的配置:
NE80(config)#rule-map r1 udp any any eq
1434
//r1
为
role-
map
的名字,
udp
为关键字,
any any
所有源、
目的
IP
,
eq
为等于,
1434
为
udp
端口号
NE80(config)#acl
a1 r1 deny
//a1
为
a
cl
的名字,
r1
为要绑定的
rule-map
的名字,
NE80(config-if-Ethernet1/0/0)#access-
group acl a1
//
在
1
/0/0
接口上绑定
acl
,
acl
为关键字,
a1
为
acl
的名字
NE16
的配置:
NE16-4(config)#firewall enable all
//
首先启动防火墙
NE16-4(config)#access-list 101 deny udp
any any eq 1434
//deny
为禁止的关键
字,针对
udp
报文,
any any
为所有源、目的
IP
,
eq
为等于,
1434
为<
/p>
udp
端口号
NE16-4(config-if-Ethernet2/2/0)#ip
access-group 101 in
//
在接口上启用
access-li
st
,
in
表示进来的报文,也可以用
out
表示出去的报文
中低端路由器的配置
[Router]firewall enable
[Router]acl 101
[Router-
acl-101]rule deny udp source any destion any
destination-port eq 1434
[Router-
Ethernet0]firewall packet-filter 101 inbound
6506
产品的配置:
旧命令行配置如下:
6506(config)#acl extended aaa deny
protocol udp any any eq 1434
6506(config-if-Ethernet5/0/1)#access-
group aaa
国际化新命令行配置如下:
[Quidway]acl number 100
[Quidway-acl-adv-100]rule deny udp
source any destination any
destination-
port eq
1434
[Quidway-acl-
adv-100]quit
[Quidway]interface
ethernet 5/0/1
[Quidway-
Ethernet5/0/1]packet-filter inbound ip-group 100
not-care-for-interface
5516
产品的配置:
旧命令行配置如下:
5516(config)#rule-map l3 aaa protocol-
type udp ingress any egress any eq 1434
5516(config)#flow-action fff deny
5516(config)#acl bbb aaa fff
5516(config)#access-group bbb
国际化新命令行配置如下:
[Quidway]acl num 100
[Quidway-acl-adv-100]rule deny udp
source any destination any
destination-
port eq
1434
[Quidway]packet-filter ip-group 100
3526
产品的配置:
旧命令行配置如下:
rule-
map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq
1434
flow-action f1 deny
acl
acl1 r1 f1
access-group acl1
国际化新命令配置如下:
acl
number 100
rule 0 deny udp source
0.0.0.0 0 source-port eq 1434 destination 1.1.0.0
0
packet-filter ip-group 101 rule 0
注:
3526
产品只能配置外网对内网的过滤
规则,其中
1.1.0.0 255.255.0.0
是内网的
地址
段。
8016
产品的配置:
旧命令行配置如下:
8016(config)#rule-map intervlan aaa udp
any any eq 1434
8016(config)#acl bbb
aaa deny
8016(config)#access-group acl
bbb vlan 10 port all
国际化新命令行配置如下:
8016(config)#rule-map intervlan aaa udp
any any eq 1434
8016(config)#eacl
bbb aaa deny
8016(config)#access-group
eacl bbb vlan 10 port all
防止同网段
< br>ARP
欺骗的
ACL
一、组网需求:
1.
二层交换机阻止网络用户仿冒网关
IP
的
ARP
攻击
二、组网图:
1
.二层交换机防
ARP
攻击组网
S3552P
是三层设备,其中
IP<
/p>
:
100.1.1.1
是所有
PC
的网关,
S3552P
上的网关
MAC
地址为
000f-e
200-3999
。
PC-B
上装有<
/p>
ARP
攻击软件。现在需要对
S3026
C_A
进行一些特殊配置,目
的是过滤掉仿冒网关
IP
的
ARP
报文。
三、配置步骤
对
于二层交换机如
S3026C
等支持用户自定义
ACL
(
number
为
5000
到
5999
)的交换机,可
以配置
ACL
来进行
ARP
报文过滤。
< br>全局配置
ACL
禁止所有源
IP
是网关的
ARP
报文
< br>
acl num 5000
rule 0
deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999
ffffffffffff 34
其中
rule0
把整个
S3026C_A
的端口冒充网关的
ARP
报文禁掉,
其中斜体部分
64010101
是网
关
I
P
地址
100.1.1.1
的
16
进制表示形式。
Rule1
允许通过网关发送的
ARP
报文,斜体部分
为网关的
mac
地址
00
0f-e200-3999
。
注意:
配置
Rule
时的配置顺序,上述配置为先下发后生效的情况。
在
S3026C-A
系统视图下发
acl
规则:
[S3026C-A] packet-filter user-group
5000
这样只有
S3026C_A
上连网关设备才能够发送网关的
ARP
报文,其它主机都不能发
送假冒网
关的
arp
响应报文。
三层交换机实现仿冒网关的
ARP
防攻击
一、组网需求:
1.
三层交换机实现防止同网段的用户仿冒网关
IP
的
ARP
攻击
二、组网图
图
2
三层
交换机防
ARP
攻击组网
三、配置步骤
1.
对于三层设备,需要配置过滤源
IP
是网关的
ARP
报文的
ACL
规
则,配置如下
ACL
规则:
acl number 5000
rule 0 deny
0806 ffff 24 64010105 ffffffff 40
rule0
禁止
S3526E
的所有端口接收冒充
网关的
ARP
报文,
其中斜体部分
64010105
是网关
IP
地址
100.1.1.5
的
16
进制表示形式。
2.
下发
ACL
到全局
[S3526E] packet-filter user-group 5000
仿冒他人
IP
的
ARP
防攻击
一、组网需求:
作为网关的设备有可
能会出现错误
ARP
的表项,因此在网关设备上还需对用户仿冒
他人
IP
的
ARP
攻击报文进行过滤。
二、组网图:
参见图
1
和图
2
三、配置步骤:
1.
如图
1
所示,当
PC-B<
/p>
发送源
IP
地址为
PC-D
的
arp reply
攻击
报文,源
mac
是
PC-B
的
mac (000d-88f8-09fa)
,
源
ip
是
PC-D
的
ip(100.1.1.3)
,目的
ip
和
mac
是网关(
3552P
)
的,这样
3
552
上就会学习到错误的
arp
,如
下所示:
---------------------
错误
arp
表项
--------------------------------
IP
Address MAC Address VLAN ID Port Name
Aging Type
100.1.1.4 000d-88f8-09fa
1 Ethernet0/2 20 Dynamic
100.1.1.3 000f-3d81-45b4 1
Ethernet0/2 20 Dynamic
从网络连接可以知道
PC-D
的
arp
表项应该学习到端口
E0/8
上,而不应该学习到
E0/2
端口
上。但实际上交换机上学习到该<
/p>
ARP
表项在
E0/2
< br>。上述现象可以在
S3552
上配置静态
ARP
实现防攻击:
arp
static 100.1.1.3 000f-3d81-45b4 1 e0/8
2.
在图
2 S3526C
上也可以配置静态
ARP
来防止设备学习到错误
的
ARP
表项。
3.
对于二层设备(
S3050C<
/p>
和
S3026E
系列),除了可以配置静
态
ARP
外,还可以配置
IP
+
MAC
+
port<
/p>
绑定,比如在
S3026C
端口
E0/4
上做如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr
000d-88f8-09fa int e0/4
则
IP<
/p>
为
100.1.1.4
并且
MAC
为
000d-88f8-09fa
的
ARP
报文可以通过
E
0/4
端口,仿冒其它
设备的
ARP<
/p>
报文则无法通过,从而不会出现错误
ARP
表项。
四、配置关键点:
此处仅仅列举了部分
Quidway
S
系列以太网交换机的应用。在实际的网络应用中,请根据配
置
手册确认该产品是否支持用户自定义
ACL
和地址绑定。
仅仅具有上述功能的交换机才能防
止
ARP<
/p>
欺骗。
5
,关
于
ACL
规则匹配的说明
a)
ACL
直接下发到硬件中的情况
交换
机中
ACL
可以直接下发到交换机的硬件中用于数据转发过程中
的过滤和流分类。
此时一
条
ACL
中多个子规则的匹配顺序是由交换机的硬件决定的,
用户即使在定义
ACL
时配置了匹
配顺序也不起作用。
ACL
直接下发到硬件的情况包括:
交换机实现
QoS
功能时引用
ACL<
/p>
、硬件转发时通过
ACL
过
滤转发数据等。
b)
ACL
被上层模块引用的情况
交换机
也使用
ACL
来对由软件处理的报文进行过滤和流分类。
此时
ACL
子规则的匹配顺序有
两种:
config
(指定匹配该规则时按用户的配
置顺序)和
auto
(指定匹配该规则时系统自
动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义
ACL
的时候指定一条
ACL
中多个子规则的匹配顺
序。
用户一旦指定某一条访问控制列表的匹配顺序,
就不能再更
改该
顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。
ACL
被软件引用的情况包括:路由策略引用
ACL
、对登录用户进行控制时引用
A
CL
等。
交换机配置(四)密码恢复
说明:以
下方法将删除原有
config
文件,使设备恢复到出厂配置。
在设备重启时按
Ctrl+B
进入
BOOT
MENU
之后,
Press
Ctrl-B to enter Boot Menu... 5
Password
:
缺省为空,回车即可
1.
Download application file to flash
2.
Select application file to boot
3.
Display all files in flash
4. Delete
file from Flash
5. Modify bootrom
password
0. Reboot
Enter
your choice(0-5): 4
选择
4
No.
File Name File Size(bytes) <
/p>
========================================
===================================
1
257224
2
447827
3 snmpboots
4
4 *
2985691
5 hostkey
428
6 serverkey
572
7
1281
Free Space : 3452928 bytes
The current application file is
Please input the file number to delete:
7
选择
7,
删除当前
的配置文件
Do you want to delete
now? Yes or No(Y/N)y
Delete
file....done!
BOOT MENU
1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from Flash
5.
Modify bootrom password
0. Reboot
Enter your choice(0-5):0
选择
0,
重启设备
注:删除之后交换机就恢复了出厂配置。
交换机配置(五)三层交换配置
1
,
三层交换数据包转发流程图:
2
,三层交换机配置实例:
服务器
1
双网卡,内网
IP:192.168.0.1
,其它计算机通过其代理上网
PORT1
属于
VLAN1
PORT2
属于
VLAN2
PORT3
属于
VLAN3
VLAN1
的机器可以正常上网
配置
VLAN2
的计算机的网关为:
192.168.1.254
配置
VLAN
3
的计算机的网关为:
192.168.2.254
即可实现
VLAN
间互联
如果
VLAN2
和
VLAN3
的计算机要通过服务器
1
< br>上网
则需在三层交换机上配置默认路由
系统视图下:
ip route-static
0.0.0.0 0.0.0.0 192.168.0.1
然后再在服务器
1
上配置回程路由
进入命令提示符
route add
192.168.1.0 255.255.255.0 192.168.0.254
route add 192.168.2.0 255.255.255.0
192.168.0.254
这个时候
vlan2
和
vlan3
中的计算机就可以通过服务器
1
访问
internet
了
~~
3
,三层交换机
VLAN
之间的通信
VLAN
的划分应与
IP
规划结合起来
,
使得一个
VLAN
接口
IP
就是对应的子网段就是某个部门
的子网段,<
/p>
VLAN
接口
IP
就是一个子网关。
VLAN
应以部门划分,相同部门的主机<
/p>
IP
以
VLAN
接口
IP
为依据划归在一个子网范围,同属于一个
VLAN
。这样不仅在安全上有益,而且更方
便网络
管理员的管理和监控。
注意:
各
VLA
N
中的客户机的网关分别对应各
VLAN
的接口
IP
。
在这企业网中计划规划四个
V
LAN
子网对应着四个重要部门,笔者认为这也是小企业最
普遍
的部门结构,分别是:
VLAN10
——综合行政办公室;
VLAN20
——销售部;
VLAN30
——财务部;
VLAN40
——数据中心(网络中心)。
划分
VLAN
以后,要为每一个
VLAN
配一个“虚拟接口
IP
地址”。
VLAN10
——
192.168.10.1
VLAN20
——
192.168.20.1
VLAN30
——
192.168.30.1
VLAN40
——
192.168.40.1
拓朴图如下:
VLAN
及路由配置
-3326SR
三层交换机的
VLAN
的配置过程:
(
1
)创建
VLA
N
DES-3326SR#Config vlan default
delete 1 -24
?
删除默认
VLAN(default)
包含的端
口
1-24''
DES-3326SR#Create vlan
vlan10 tag 10
?
创建
VLAN
名为
vlan10
,并标记<
/p>
VID
为
10
DES-3326SR#Create vlan vlan20 tag 20
?<
/p>
创建
VLAN
名为
vlan20
,并标记
VID
为
20
DES-3326SR#Create vlan
vlan30 tag 30
?
创建
VLAN
名为
vlan10
,并标记<
/p>
VID
为
30
DES-3326SR#Create vlan vlan40 tag 40
?<
/p>
创建
VLAN
名为
vlan10
,并标记
VID
为
40
(
2
)添加端口到各
VLAN
DES-3326SR#Config vlan vlan10 add untag 1-6
?
把端口
1-6
添加到
VLAN10
DES-3326SR#Config
vlan vlan20 add untag 7-12
?
把端口
1-6
添加到
VLAN20
DES-3326SR#Config vlan vlan30 add
untag 13-18
?
把端口
1
-6
添加到
VLAN30
DES-3326SR#Config vlan vlan40 add untag 19-24
?
把端口
1-6
添加到
VLAN40
(
3
)创建
VLAN
接口<
/p>
IP
DES-3326SR#Create ipif
if10 192.168.10.1/24 VLAN10 state enabled
?
创建虑拟
的接口
if10<
/p>
给名为
VLAN10
的
< br>VLAN
子网,并且指定该接口的
IP
< br>为
192.168.10.1/24
。创建
后
enabled
激活该接口。
同样方法设置其它的接口
IP
:
DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20
state enabled
DES-3326SR#Create
ipif if30 192.168.30.1/24 VLAN30 state enabled
DES-3326SR#Create ipif if40
192.168.40.1/24 VLAN40 state enabled
(
4
)路由
当配置三层交换机的三层功能时,如果只是单台三层交
换机,只需要配置各
VLAN
的虚
拟接
口就行,
不再配路由选择协议。
因为一台三层交换机上的虚拟接
口会在交换机里以直接
路由的身份出现,因此不需要静态路由或动态路由协议的配置。<
/p>
-3226S
二层交换机的<
/p>
VLAN
的配置过程:
(
1
)创建
VLAN
DES-3226S#Config
vlan default delete 1 -24
?
删
除默认
VLAN(default)
包含的端口
1-24''
DES-3226S#Create vlan
vlan10 tag 10
?
创建
VLAN
名为
vlan10
,并标记<
/p>
VID
为
10
(
2
)添加端口到各
< br>VLAN
DES-3226S#Config vlan
vlan10 add untag 1-24
?
把端口
1-24
添加到
VLAN10
同理,配置其它
DES-32
26S
二层交换机。完成以后就可以将各个所属
VLAN
的二层交换
机与
DES-3326SR
三层交换机的相应
VLAN
的端口连接即可。
交换机配置(六)端口镜像配置
<
/p>
【
3026
等交换机镜像】
S2008/S2016/S2026/S2403H/S3026
等交换机支持的都是基于端口的镜像,有两种方法:
方法一
1.
配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2.
配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to
Ethernet 0/2
方法二
1.
可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to
Ethernet 0/2 observing-port Ethernet 0/8
【
8016
交换机端口镜像配置】
1.
假设
8016
< br>交换机镜像端口为
E1/0/15
,被镜像端口为
E1/0/0
,设置端口
1/0/15
为端口
镜像的观测端口。
[SwitchA] port monitor ethernet 1/0/15
2.
设置端口
1/0/0
为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA] port mirroring ethernet 1/0/0
both ethernet 1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1.
设置
E1/0/15
和
E2/0/0
为镜像(观测)端口
[SwitchA] port monitor ethernet
1/0/15
2.
设置端口
1/0
/0
为被镜像端口,
分别使用
E1/0
/15
和
E2/0/0
对输入和输出数
据进行镜像。
[SwitchA] port
mirroring gigabitethernet 1/0/0 ingress ethernet
1/0/15
[SwitchA] port mirroring
gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流镜像的数据流程』
基于流镜
像的交换机针对某些流进行镜像,
每个连接都有两个方向的数据流,
对于交换机来
说这两个数据流是要分开镜像的。
【
3500/3026E/3026F/3050
】
〖基于三层流的镜像〗
1.
定义一条扩展访问控制列表
[SwitchA]acl num 101
2.
定义一条规则报文源地址为
1.1.1.1/32
去往所有目的地址
[SwitchA-acl-
adv-101]rule 0 permit ip source 1.1.1.1 0
destination any
3.
定义一条规则报文源
地址为所有源地址目的地址为
1.1.1.1/32
[SwitchA-acl-adv-101]rule 1 permit ip
source any destination 1.1.1.1 0
4.
将符合上述
ACL
规则的报文镜像到
E0/8
端口
[SwitchA]mirrored-to ip-group 101
interface e0/8
〖基于二层流的镜像〗
1.
定义一个
ACL
[SwitchA]acl num 200
2.
定义一个规则从
E0/1
发送至其它所有端口的
数据包
[SwitchA]rule 0 permit
ingress interface Ethernet0/1 (egress interface
any)
3.
定义一个规则从其它所有端口到
E0/1
端口的数据包
[SwitchA]rule 1 permit (ingress
interface any) egress interface Ethernet0/1
4.
将符合上述
ACL
的数据包镜像到
E0/8
[SwitchA]mirrored-to link-group 200
interface e0/8
【
5516
】
支持对入端口流量进行镜像
配置端口
Ethernet
3/0/1
为监测端口,对
Ethernet
3/0/2
端口的入流量镜像。
[SwitchA]mirror Ethernet 3/0/2
ingress-to Ethernet 3/0/1
【
6
506/6503/6506R
】
目
前该三款产品只支持对入端口流量进行镜像,虽然有
outbount
< br>参数,但是无法配置。
镜像组名为
1
,监测端口为
Ethernet4/0/2
,端口
Ethernet4/0/1
的入流量被镜像
。
[SwitchA]mirroring-group 1
inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2
【补充说明】
1.
镜像一般都可以实现高速率端口镜像低速率端口,例如
1000M
端口可以镜像
100M
端口,
反之则无法实现
2.
8016
支持跨单板端口镜像
华为各种型号交换机端口镜像配置方法总结
有不少朋友在问华为交换机镜像方面的问题。
通过本人现有的资料和文档,
现把各种型号的
交换机镜像方法总结一下。
以便各位朋友能够方便查阅!
在学配置之前,
对于端口镜像的基
本概念还是要一定的了解!
一、端口镜像概念:
Port Mi
rror(
端口镜像)是用于进行网络性能监测。可以这样理解:在端口
A
和端口
B
之
间建立镜像关系,这样,通过端口
A
传输的数据将同时复制到端口
B
,以便于在端口
B
上
连接的分析仪或者分析软件进行性能分析或故障判断。
二、端口镜像配置
『环境配置参数』
1. PC1
接在交换机
E0/1
端口,
IP
地址
1.1.1.1/24
2. PC2
接在交换机
E0/2
端口,
IP
地址
2
.2.2.2/24
3.
E0/24
为交换机上行端口
4.
Server
接在交换机
E0/8
端口
,该端口作为镜像端口
『组网需求』
1.
通过交换机端口镜像的功能使用
server
对两台
pc
的业务报文进
行监控。
2.
按照镜像的不同方式进行配置:
1)
基于端口的镜像
2)
基于流的镜像
2
数据配置步骤
『端口镜像的数据流程』
基于端口的
镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,
这样来进行流量
观测或者故障定位。
【
3026
等交换机镜像】
S200
8/S2016/S2026/S2403H/S3026
等交换机支持的都是基于端口
的镜像,有两种方法:
方法一
1.
配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2.
配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to
Ethernet 0/2
方法二
1.
可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to
Ethernet 0/2 observing-port Ethernet 0/8
【
8016
交换机端口镜像配置】
1.
假设
8016
< br>交换机镜像端口为
E1/0/15
,被镜像端口为
E1/0/0
,设置端口
1/0/15
为端口
镜像的观测端口。
[SwitchA] port monitor ethernet 1/0/15
2.
设置端口
1/0/0
为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA] port mirroring ethernet 1/0/0
both ethernet 1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1.
设置
E1/0/15
和
E2/0/0
为镜像(观测)端口
[SwitchA] port monitor ethernet
1/0/15
2.
设置端口
1/0
/0
为被镜像端口,
分别使用
E1/0
/15
和
E2/0/0
对输入和输出数
据进行镜像。
[SwitchA] port
mirroring gigabitethernet 1/0/0 ingress ethernet
1/0/15
[SwitchA] port mirroring
gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流镜像的数据流程』
基于流镜
像的交换机针对某些流进行镜像,
每个连接都有两个方向的数据流,
对于交换机来
说这两个数据流是要分开镜像的。
【
3500/3026E/3026F/3050
】
〖基于三层流的镜像〗
1.
定义一条扩展访问控制列表
[SwitchA]acl num 100
2.
定义一条规则报文源地址为
1.1.1.1/32
去往所有目的地址
[SwitchA-acl-
adv-101]rule 0 permit ip source 1.1.1.1 0
destination any
3.
定义一条规则报文源
地址为所有源地址目的地址为
1.1.1.1/32
[SwitchA-acl-adv-101]rule 1 permit ip
source any destination 1.1.1.1 0
4.
将符合上述
ACL
规则的报文镜像到
E0/8
端口
[SwitchA]mirrored-to ip-group 100
interface e0/8
〖基于二层流的镜像〗
1.
定义一个
ACL
[SwitchA]acl num 200
2.
定义一个规则从
E0/1
发送至其它所有端口的
数据包
[SwitchA]rule 0 permit
ingress interface Ethernet0/1 egress interface
Ethernet0/2
3.
定义一个规则从其它所有端口
到
E0/1
端口的数据包
[SwitchA]rule 1 permit ingress
interface Ethernet0/2 egress interface Ethernet0/1
4.
将符合上述
ACL
的数据包镜像到
E0/8
[SwitchA]mirrored-to link-group 200
interface e0/8
【
5516/6506/65
03/6506R
】
目前该三款产品支持对入端口流量进行镜像
1.
定义镜像端口
[SwitchA]monitor-port Ethernet 3/0/2
2.
定义被镜像端口
[SwitchA]mirroring-port Ethernet 3/0/1
inbound
【补充说明】
1.
镜像一般都可以实现高速率端口镜像低速率端口,例如
1000
M
端口可以镜像
100M
端口,
反之则无法实现
2.
8016
支持跨单板端口镜像端口镜像配置
『环境配置参数』
交换机配置(七)
DHCP
配置
1
,交换机作
DHCP Server
『配置环境参数』
1.
PC1
、
PC2
的网卡均采用动态获取
IP
地址的方式
2. PC1
连接到交换机的以太网端口
0/1
,属于
VLAN10
;
PC2
连接到交换机的以太网端
口
0/2
,属于
VLAN20
3.
三层交换机
Swit
chA
的
VLAN
接口
10
地址为
10.1.1.1/24
< br>,
VLAN
接口
20
地址为
10.1.2.1/24
『组网需求』
1. PC
1
可以动态获取
10.1.1.0/24
网段地址,并且网关地址为
10.1.1.1
;
PC2
可以动
态获取
10.
1.2.0/24
网段地址,并且网关地址为
10.1.2.1
『
DHCP
Server
配置流程流程』
可以完
成对直接连接到三层交换机的
PC
机分配
IP
地址,也可以对通过
DHCP
中
继设备连接
到三层交换机的
PC
机分配
IP
地址。
分配地址的方式可以采用接口方式,或者全局地址池方式。
<
/p>
【
SwitchA
采用接口方式分配地址
相关配置】
1.
创建(进入)
VLAN10
[SwitchA]vlan 10
2. <
/p>
将
E0/1
加入到
VLAN10
[SwitchA-vlan10]port Ethernet
0/1
3.
创建(进入)
< br>VLAN
接口
10
[SwitchA]interface Vlan-interface 10
4.
为
VLAN
接口
10
配置
IP
地址
[SwitchA-Vlan-
interface10]ip address 10.1.1.1 255.255.255.0
5.
在
VLAN
接口
10
上选择接口方式分配
IP
地址
[SwitchA-Vlan-interface10]dhcp select
interface
6.
禁止将
PC
机的网关地址分配给用户
[SwitchA]dhcp server forbidden-ip
10.1.1.1
【
SwitchA
采用全局地址池方式分配地址相关配置】
1.
创建(进入)
VLAN10
[SwitchA]vlan 10
2. <
/p>
将
E0/1
加入到
VLAN10
[SwitchA-vlan10]port Ethernet
0/1
3.
创建(进入)
< br>VLAN
接口
10
[SwitchA]interface Vlan-interface 10
-
-
-
-
-
-
-
-
-
上一篇:公文写作常用词汇
下一篇:MPLS的体系结构与组网技术