-
实用文案
交换机配置(一)端口限速基本配置
华为
3Com 2000_EI
、
p>
S2000-SI
、
S3000-SI
p>
、
S3026E
、
S3526E
、
S3528
、
S3552
、
S3900
、
S3050
、
S5012
、
S5024
、
S56
00
系列
:
华为交换机端口限速
2000_EI
系列以上的交换机都可以限速
!
限速不同的交换机限速的方式不一样
!
2000_EI
直接在端口视图下面输入
LINE-RATE
(4 )
参数可选
!
端口限速配置
1
功能需求及组网说明
端口限速配置
『配置环境参数』
1. PC1
p>
和
PC2
的
IP<
/p>
地址分别为
10.10.1.1/24
、
10.10.1.2/24
『组网需求』
1.
在
SwitchA
上配置端口限速,
< br>将
PC1
的下载速率限制在
3M
bps
,
同时将
PC1
的上传速
率限制在
1Mbps
2
数据配置步骤
『
S2000EI
系列交换机端口限速配置流程』
使用以太网物理端口下面的
line-
rate
命令,来对该端口的出、入报文进行流量限速。
p>
【
SwitchA
相关配置】
1.
进入端口
E0/1
的配置视图
[SwitchA]interface Ethernet 0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
标准文档
实用文案
[SwitchA-
Ethernet0/1]line-rate outbound 30
3.
p>
对端口
E0/1
的入方向报文进行流量限速
,限制到
1Mbps
[SwitchA-
Ethernet0/1]line-rate inbound 16
【补充说明】
报文速率限制级别取值
为
1
~
127
。
如果速率限制级别取值在
1
~
28
范围内,
则速率限制的
< br>粒度为
64Kbps
,这种情况下,当设置的级别为
p>
N
,则端口上限制的速率大小为
N*64K
;
如果速率限制级别取值在
29
~
127
范围内,
则
速率限制的粒度为
1Mbps
,
这种情
况下,
当
设置的级别为
N
,则端口上限制的速率大小为
(N-27)*1Mbps
。
此系列交换机的具体型号包括:
S2008-EI
、
S2016-EI
和
S2403H-EI
。
『
S2000-SI
和
S3000-SI
系列交换机端口限速配置流程』
使用以太网物理端口下面的
line-
rate
命令,来对该端口的出、入报文进行流量限速。
p>
【
SwitchA
相关配置】
1.
进入端口
E0/1
的配置视图
[SwitchA]interface Ethernet 0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
6Mbps
[SwitchA- Ethernet0/1]line-rate
outbound 2
3.
对端口
E0/1
的入方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet0/1]line-rate inbound
1
【补充说明】
对端口发送或接收
报文限制的总速率,
这里以
8
个级别来
表示,
取值范围为
1
~
8
,
含义为:
端口工作在
p>
10M
速率时,
1
~
8
分别表示
312K
,
625K
,
938K
,
1.25M
,
2M
,
4M
,
6M
,
8M
;端口工作在
< br>100M
速率时,
1
~
8
分别表示
3.12M
,
6.25M
,
9.38M
,
12.5M
,
20M<
/p>
,
标准文档
实用文案
40M
,
60M
,
80M
。
此系列交换机的具体型号包括:
< br>S2026C/Z-SI
、
S3026C/G/S-SI
和
E026-SI
。
< br>
『
S3026E
、
S3526E
、
S3050
、
S5012
、
S5024
系列交换机端口限速配置流程』
使用以太网物理端口下面的
line-rate
命令,
对该端口的出方向报文进行流量限速;
结合
p>
acl
,
使用以太网物理端口下面的
traffic-
limit
命令,对端口的入方向报文进行流量限速。
【
SwitchA
相关配置】
1.
进入端口
E0/1<
/p>
的配置视图
[SwitchA]interface Ethernet 0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet0/1]line-rate 3
3.
配置
acl
,定义符合速率限制的数据流
[SwitchA]acl
number 4000
[SwitchA-acl-link-4000]rule
permit ingress any egress any
4.
对端口
E0/1
的入方向报文进行流量限速,限制到
1Mbps
[SwitchA-
Ethernet0/1]traffic-limit inbound link-group 4000
1 exceed drop
【补充说明】
line-rate
命令直接对端口的所有出方向数据报文进行
流量限制,而
traffic-limit
命令必须
结合
acl
使用,对匹配了指定访问控制列表规则
的数据报文进行流量限制。在配置
acl
的时
< br>候,
也可以通过配置三层访问规则,
来对指定的源或目的
网段报文,
进行端口的入方向数据
报文进行流量限制。
端口出入方向限速的粒度为
1Mbps
。
此系列交换机的具体型号包括:
S3026E/C/G/T
、
S3526E/C
/EF
、
S3050C
、
S5012G/T
和
标准文档
实用文案
S5024G
。
『
S3528
、
S3552
系列交换机端口限速配置流程』
使用以太网物理端口下面的
traffic-
shape
和
traffic-limit
命令,分别来对该端口的出、入
报文进行流量限速。
p>
【
SwitchA
相关配置】
1.
进入端口
E0/1
的配置视图
[SwitchA]interface Ethernet 0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet0/1]traffic-shape
3250 3250
3.
配置
ac
l
,定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit
ingress any egress any
4.
对端
口
E0/1
的入方向报文进行流量限速,限制到
1Mbps
[SwitchA-
Ethernet0/1]traffic-limit
inbound
link-group
4000 1000
150000 150000
1000 exceed drop
【补充说明】
此系列交换机的具体型
号包括:
S3528G/P
和
S355
2G/P/F
。
『
< br>S3900
系列交换机端口限速配置流程』
使用以太网物理端口下面的
line-rate
命令,
对该端口的出方向报文进行流量限速;
结合
p>
acl
,
使用以太网物理端口下面的
traffic-limit
命令,
对匹配指
定访问控制列表规则的端口入方向
数据报文进行流量限制。
<
/p>
【
SwitchA
相关配置】
标准文档
实用文案
1.
进入端口
E1/0/1
的配置视图
[SwitchA]interface Ethernet 1/0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3.
配置
acl
,定义符合速率限制的数据流
[SwitchA]acl
number 4000
[SwitchA-acl-link-4000]rule
permit ingress any egress any
4.
对端口
E0/1
的入方向报文进行流量限速,限制到
1Mbps
[SwitchA-
Ethernet1/0/1]traffic-limit inbound link-group
4000 1000 exceed drop
【补充说明】
line-rate
命令直接对端口的所有出方向数据报文进行
流量限制,而
traffic-limit
命令必须
结合
acl
使用,对匹配了指定访问控制列表规则
的数据报文进行流量限制。在配置
acl
的时
< br>候,
也可以通过配置三层访问规则,
来对指定的源或目的
网段报文,
进行端口的入方向数据
报文进行流量限制。
端口出入方向限速的粒度为
64Kbps
p>
。
此系列交换机的具体型号包括:
S3924
、
S3928P/F/TP
和
S3952P
。
『
S5600
系列交换机端口限速配置
流程』
使用以太网物理端口下面的
line-rate
命令,
对该端口的出方向报文进行流量限速;
结合
p>
acl
,
使用以太网物理端口下面的
traffic-limit
命令,
对匹配指
定访问控制列表规则的端口入方向
数据报文进行流量限制。
<
/p>
【
SwitchA
相关配置】
1.
进入端口
E1/
0/1
的配置视图
标准文档
实用文案
[SwitchA]interface Ethernet 1/0/1
2.
对端口
E0/1
的出方向报文进行流量限速,限制到
3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3.
配置
acl
,定义符合速率限制的数据流
[SwitchA]acl
number 4000
[SwitchA-acl-link-4000]rule
permit ingress any egress any
4.
对端口
E0/1
的入方向报文进行流量限速,限制到
1Mbps
[SwitchA-
Ethernet1/0/1]traffic-limit inbound link-group
4000 1000 exceed drop
【补充说明】
line-rate
命令直接对端口的所有出方向数据报文进行
流量限制,而
traffic-limit
命令必须
结合
acl
使用,对匹配了指定访问控制列表规则
的数据报文进行流量限制。在配置
acl
的时
< br>候,
也可以通过配置三层访问规则,
来对指定的源或目的
网段报文,
进行端口的入方向数据
报文进行流量限制。
端口出入方向限速的粒度为
64Kbps
p>
。
此系列交换机的具体型号包括:
S5624P/F
和
S5648P
。
交换机配置(二)端口绑定基本配置
1
,端口
+MAC
a)AM
命令
使用特殊的
AM User-bind
命令,来完成
MAC
地址与端口之间的绑定。例如:
[SwitchA]am user-bind mac-
address 00e0-fc22-f8d3 interface Ethernet 0/1
配置说明:
由于使用了端口参数,
则会以端口为
参照物,
即此时端口
E0/1
只允许<
/p>
PC1
上网,
而使用其他未绑定的
MAC
地址的
PC
机
则无法上网。
但是
PC1
使用该
MAC
地址可以在其
标准文档
实用文案
他端口上网。
b)mac-
address
命令
使用
mac-address static
< br>命令,来完成
MAC
地址与端口之间的绑定。例如:
p>
[SwitchA]mac-address static
00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1
[SwitchA]mac-address max-mac-count 0
配置说明:
由于使用了端口学习功能
,
故静态绑定
mac
后,
需再设置该端口
mac
学习数为
0
,使其他
PC
接入此端口后其<
/p>
mac
地址无法被学习。
2
,
IP+MAC
a)AM
命令
使用特殊的
AM User-bind
命令,来完成
IP
地址与
MAC
地址之间的绑定。例如:
[SwitchA]am user-bind ip-address
10.1.1.2 mac-address 00e0-fc22-f8d3
p>
配置说明:以上配置完成对
PC
机的
IP
地址和
MAC
地
址的全局绑定,即与绑定的
IP
地址
或
者
MAC
地址不同的
PC
机,在任何端口都无法上网。
支
< br>持
型
号
:
S3026E/EF/C/G/T
、
S3026C-PWR<
/p>
、
E026/E026T
、
S3050C
、
E050
、
S3526E/C/EF
、
S5012
T/G
、
S5024G
b)arp
命令
使用特殊的
arp static
命令
,来完成
IP
地址与
MAC
地址之间的绑定。例如:
[SwitchA]arp static 10.1.1.2
00e0-fc22-f8d3
配置说明:以上配置完成对
PC
机的
IP
地址和
MAC
地址的全局绑定。
3
,端口
+IP+MAC
使用特殊的
AM User-bind
命令,来完成
IP
、
MAC
地址与端口之间的绑定。例如:
标准文档
实用文案
[SwitchA]am
user-bind
ip-address
10.1.1.2
mac-address
00e0-fc22-f8d3
interface
Ethernet 0/1
配置说明:
可以完成将
PC1
的
IP
地址、
MAC
地址与端口
E0/1
之间的绑定功能。
由于使用
了
端口参数,
则会以端口为参照物,
即此时端口
< br>E0/1
只允许
PC1
上网,<
/p>
而使用其他未绑定
的
IP
地址、
MAC
地址的
PC
p>
机则无法上网。但是
PC1
使用该
IP
地址和
MAC
地址
可以在
其他端口上网。
支持型号:<
/p>
S3026E/S3026E-FM/S3026-FS
;
S3026G
;
S3026C
;
S3026C-PWR
;
E
3026
;
E050
;
S3526E/C;S3526E-FM/FS; S5012T/G
、
S5024G
、
S3900
< br>、
S5600
、
S6500(3
代引
擎
)
交
换机配置(三)
ACL
基本配置
1
,二层
ACL
.
组网需求
:
通过二层访问控制列表,
实现在每天
8:00
~
18:00
时间段内对源
MAC
为
00e0-fc01-0101
目的
MAC
为
00e0-fc01-
0303
报文的过滤。该主机从
GigabitEtherne
t0/1
接入。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00 daily
(2)
定义源
MAC
为
00e0-fc01-0101
目的
MAC
为
00e0-fc01
-0303
的
ACL
#
进入基于名字的二层访问控制列表视图,命名为
traffic-of-
link
。
[Quidway]
acl name traffic-of-link link
#
定义源
MAC
为
00e0-f
c01-0101
目的
MAC
为
00e0-fc01-0303
的流分类规则。
标准文档
实用文案
[Quidway-
acl-link-traffic-of-link] rule 1 deny ingress
00e0-fc01-0101 0-0-0 egress
00e0-fc01-0303 0-0-0 time-range huawei
(3)
激活
ACL
。
#
将
traffic-of-link
的
ACL
激活。
[Quidway-GigabitEthernet0/1] packet-
filter link-group traffic-of-link
2
,三层
ACL
a)
基本访问控制列表配置案例
.
组网需求
:
通过基本访问控制列表,实现在每天
8:00
~
18:00
时间段内对源
IP
为
10.1.1.1
主机发出报
文
的过滤。该主机从
GigabitEthernet0/1
接入
。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00 daily
(2)
定义源
IP
为
10.1.1.1
的
ACL
#
进入基于名字的基本访问控制列表
视图,命名为
traffic-of-
host
。
[Quidway]
acl name traffic-of-host basic
#
定义源
IP
为
10.1.1
.1
的访问规则。
[Quidway-acl-basic-traffic-of-host]
rule
1
deny
ip
source
10.1.1.1
0
time-
range
huawei
(3)
激
活
ACL
。
#
将
traffic-of-hos
t
的
ACL
激活。
标准文档
实用文案
[Quidway-
GigabitEthernet0/1] packet-filter inbound ip-group
traffic-of-host
b)
高级访问控制列表配置案例
.
组网需求
:
公司企业网通过
Switch
的端口实现各部门之间的互连。
研发部门的由
GigabitEthernet0/1
端口接入,工资查询服务器的地址为
129.110.1.2
。要求正确配置
ACL
,限制研发部门在上
班时间
8:00
至
1
8:00
访问工资服务器。
.
配置步骤
:
(1)
定义时间段
#
定义
8:00
至
18:00
的周期时间段。
[Quidway] time-range huawei 8:00 to
18:00 working-day
(2)
定义到工资服务器的
ACL
#
进入基于名字的高级访问控制列表视图,命名为
traffic-of-payserver
。
[Quidway] acl name traffic-of-payserver
advanced
#
定义研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver]
rule
1
deny
ip
source
any
destination
129.110.1.2
0.0.0.0 time-range huawei
(3)
激活
ACL
。
#
将
traffic-of-pay
server
的
ACL
激活。
[Quidway-GigabitEthernet0/1]
packet-filter inbound ip-group traffic-of-
payserver
3
,常见病毒的
ACL
创建
acl
acl number
100
标准文档
实用文案
禁
ping
rule
deny icmp source any
destination any
用于控制
Blaster<
/p>
蠕虫的传播
rule
deny udp source any
destination any destination-port eq 69
rule
deny tcp
source any destination any destination-port eq
4444
用于控制冲击波病毒的扫描和攻击
rule
deny tcp
source any destination any destination-port eq 135
rule
deny udp
source any destination any destination-port eq 135
rule
deny udp
source any destination any destination-port eq
netbios-ns
rule
deny udp source any destination any
destination-port eq netbios-dgm
rule
deny tcp source any
destination any destination-port eq 139
rule
deny udp
source any destination any destination-port eq 139
rule
deny tcp
source any destination any destination-port eq 445
rule
deny udp
source any destination any destination-port eq 445
rule
deny udp
source any destination any destination-port eq 593
rule
deny tcp
source any destination any destination-port eq 593
用于控制振荡波的扫描和攻击
rule
deny tcp
source any destination any destination-port eq 445
rule
deny tcp
source any destination any destination-port eq
5554
rule
deny
tcp source any destination any destination-port eq
9995
rule
deny
tcp source any destination any destination-port eq
9996
用于控制
Worm_MSBlast.A
蠕虫的传播
标准文档
实用文案
rule
deny udp source any
destination any destination-port eq 1434
下面的不出名的病毒端口号
(可以不作)
rule
deny tcp source any
destination any destination-port eq 1068
rule
deny tcp
source any destination any destination-port eq
5800
rule
deny
tcp source any destination any destination-port eq
5900
rule
deny
tcp source any destination any destination-port eq
10080
rule
deny
tcp source any destination any destination-port eq
455
rule
deny
udp source any destination any destination-port eq
455
rule
deny
tcp source any destination any destination-port eq
3208
rule
deny
tcp source any destination any destination-port eq
1871
rule
deny
tcp source any destination any destination-port eq
4510
rule
deny
udp source any destination any destination-port eq
4334
rule
deny
tcp source any destination any destination-port eq
4331
rule
deny
tcp source any destination any destination-port eq
4557
然后下发配置
packet-filter ip-group 100
目
的:针对目前网上出现的问题,对目的是端口号为
1434
的<
/p>
UDP
报文进行过滤的配置方
法,详细和
复杂的配置请看配置手册。
NE80
的配置:
NE80(config)#rule-map r1 udp any any eq
1434
//r1
为
role-
map
的名字,
udp
为关键字,
any any
所有源、
目的
IP
,
eq
为等于,
1434
为
udp
端口号
标准文档
实用文案
NE80(config)#acl a1 r1 deny
//a1
为
acl
的名字,
r1
为要绑定的
rule-
map
的名字,
NE80(config-if-Ethernet1/0/0)#access-
group acl a1
//
在
1
/0/0
接口上绑定
acl
,
acl
为关键字,
a1
为
acl
的名字
NE16
的配置:
NE16-4(config)#firewall enable all
//
首先启动防火墙
NE16-4(config)#access-list 101 deny udp
any any eq 1434
//deny
为禁止的关键
字,
针对
udp
报文,
any any
为所有源、
目的
IP
,
eq
为等于,
1434
为
udp
端口号
NE16-4(config-
if-Ethernet2/2/0)#ip access-group 101 in
//
在接口上启用
access-li
st
,
in
表示进来的报文,也可以用
out
表示出去的报文
中低端路由器的配置
[Router]firewall enable
[Router]acl 101
[Router-
acl-101]rule deny udp source any destion any
destination-port eq 1434
[Router-
Ethernet0]firewall packet-filter 101 inbound
6506
产品的配置:
旧命令行配置如下:
6506(config)#acl extended aaa deny
protocol udp any any eq 1434
6506(config-if-Ethernet5/0/1)#access-
group
aaa
国际化新命令行配置如下:
标准文档
实用文案
[Quidway]acl
number 100
[Quidway-acl-adv-100]rule
deny udp source any destination any destination-
port
eq 1434
[Quidway-acl-
adv-100]quit
[Quidway]interface
ethernet
5/0/1
[Quidway-Ethernet5/0/1]packet-filter
inbound ip-group 100 not-care-for-interface
5516
产品的配置:
旧命令行配置如下:
5516(config)#rule-map
l3 aaa protocol-type udp ingress any
egress any eq 1434
5516(config)#flow-
action fff deny
5516(config)#acl bbb
aaa fff
5516(config)#access-group
bbb
国际化新命令行配置如下:
[Quidway]acl num 100
[Quidway-acl-adv-100]rule deny udp
source any destination any destination-port
eq 1434
[Quidway]packet-
filter ip-group 100
3526
产品的配置:
旧命令行配置如下:
rule-
map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq
1434
flow-action f1 deny
acl
acl1 r1 f1
标准文档
实用文案
access-group
acl1
国际化新命令配置如下:
acl number 100
rule 0 deny
udp source 0.0.0.0 0 source-port eq 1434
destination 1.1.0.0 0
packet-filter ip-
group 101 rule 0
注:
3526
产品只能配置外网对内网的过滤规则,
其中
1.1
.0.0 255.255.0.0
是内网的地址段。
8016
产品的配置:
旧命令行配置如下:
8016(config)#rule-map intervlan aaa udp
any
any
eq 1434
8016(config)#acl bbb
aaa deny
8016(config)#access-group acl
bbb vlan 10 port all
国际化新命令行配置如下:
8016(config)#rule-map intervlan aaa udp
any
any
eq 1434
8016(config)#eacl
bbb aaa deny
8016(config)#access-group
eacl bbb vlan 10 port all
防止同网段
< br>ARP
欺骗的
ACL
一、组网需求:
1.
二层交换机阻止网络用户仿冒网关
IP
的
ARP
攻击
二、组网图:
标准文档
实用文案
图
1
二层交换机防
ARP
攻击组网
S3552P
是
三层设备,其中
IP
:
100.1.1
.1
是所有
PC
的网关,
S3552P
上的网关
MAC
地址
为
000f-e200-3999
。
PC-B
上装有
ARP
攻击软件。现在需要对
S3026C_A
进行一些
特殊
配置,目的是过滤掉仿冒网关
IP
的
ARP
报文。
三、配置步骤
对于二层交换机如
p>
S3026C
等支持用户自定义
ACL
p>
(
number
为
5000
到
5999
)
的交换机,
可以配置
ACL
来
进行
ARP
报文过滤。
全局配置
ACL
禁止所有源
IP
是网关的
ARP
报文
acl num
5000
rule 0 deny 0806 ffff
24 64010101 ffffffff 40
rule 1 permit
0806 ffff 24 000fe2003999 ffffffffffff 34
< br>其中
rule0
把整个
S302
6C_A
的端口冒充网关的
ARP
报文
禁掉,其中斜体部分
64010101
是网关
< br>IP
地址
100.1.1.1
的
16
进制表示形式。
Rule1
允许通过网关发送的
ARP
报文,斜
体部分为网关的
mac
地址
000f-e200-3999
。
注意:配置
Rule
时的配置顺序,上述配置为先下发后生效
的情况。
标准文档
实用文案
在
S3026C-A
系统视图下发
acl
规则:
[S3026C-A] packet-filter
user-group 5000
这样只有
S3026C_A
上连网关设备才能够发送网关的
AR
P
报文,
其它主机都不能发送假冒
网关
的
arp
响应报文。
三层交换机实现仿冒网关的
ARP<
/p>
防攻击
一、组网需求:
1.
三层交换机实现防止同网段的用户仿冒网关
< br>IP
的
ARP
攻击
二、组网图
图
2
三层交换机防
< br>ARP
攻击组网
三、配置步骤
1.
对于三层设备,
需要配置过滤源
IP
< br>是网关的
ARP
报文的
ACL<
/p>
规则,
配置如下
ACL
< br>规则:
acl number 5000
rule 0 deny 0806 ffff 24 64010105
ffffffff 40
rule0
禁止
S3526E
的所有端口接收冒充网关的
ARP
报文,其中斜体部分
64010105
是网
关
IP
地址
100.
1.1.5
的
16
进制表示形式。
p>
2.
下发
AC
L
到全局
标准文档
实用文案
[S3526E]
packet-filter user-group 5000
仿冒他人
IP
的
ARP
防攻击
p>
一、组网需求:
作为网关的设备有可能会出现错误
ARP
的表项,因此在网关
设备上还需对用户仿冒他人
IP
的
AR
P
攻击报文进行过滤。
二、组网图:
参见图
1
和图
2
三、配置步骤:
1.
如图
1
所示,当
PC-B<
/p>
发送源
IP
地址为
PC-D
的
arp reply
攻击
报文,源
mac
是
PC-B
的
mac (000d-88f8-09fa)
,
源
ip
是
PC
-D
的
ip(100.1.1.3)
,
目的
ip
和
m
ac
是网关
(
3552P
)
的,这样
3552
上就会
学习到错误的
arp
,如下所示:
---------------------
错误
arp
表项
--------------------------------
IP Address
MAC Address
VLAN ID
Port
Name
Aging Type
100.1.1.4
000d-88f8-09fa
1
Ethernet0/2
20
Dynamic
100.1.1.3
000f-3d81-45b4
1
Ethernet0/2
20
Dynamic
从网络连接可以知道
PC-D
的
arp
表项应该学习到端口
E0/8
上,而不应该学习到
E0/2
端
口上。但实际上交换机上学习到该
A
RP
表项在
E0/2
。上述现象可以在
S3552
上配置静态
ARP
实现防攻击:
arp static
100.1.1.3 000f-3d81-45b4 1 e0/8
2.
在图
2 S3526C
上也可以配置静
态
ARP
来防止设备学习到错误的
AR
P
表项。
3.
对于二层设备(
S3050C<
/p>
和
S3026E
系列)
< br>,除了可以配置静态
ARP
外,还可以配置
IP
+
MAC
+
port
绑定,比如在
S3026C
端口
E0/4
上做如下操作:
标准文档
实用文案
am user-bind
ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
则
IP
为
10
0.1.1.4
并且
MAC
为
000d-88f8-09fa
的
ARP
报文可以通过
E0/4
端口,
仿冒其
它设备的
ARP
报文则
无法通过,从而不会出现错误
ARP
表项。
四、配置关键点:
此处仅仅列举了部分
Quidway S
系列以太网交换机的应用。在实际的网络应用中,请根据
配置手册确认该产品是否支持
用户自定义
ACL
和地址绑定。仅仅具有上述功能的交换机才<
/p>
能防止
ARP
欺骗。
5
,关于
ACL
规则匹配的说明
a)
ACL
直接下发到硬件中的情况
交换
机中
ACL
可以直接下发到交换机的硬件中用于数据转发过程中
的过滤和流分类。此时
一条
ACL
中多
个子规则的匹配顺序是由交换机的硬件决定的,
用户即使在定义
ACL
时配置
了匹配顺序也不起作用。
ACL
直接下发到硬件的情况包括:
交
换机实现
QoS
功能时引用
ACL
p>
、
硬件转发时通过
ACL
< br>过滤转发数据等。
b)
ACL
被上层模块引用的情况
交换机
也使用
ACL
来对由软件处理的报文进行过滤和流分类。
此时
ACL
子规则的匹配顺序
有两种:
config
(指定匹配该规则时按用户的配
置顺序)和
auto
(指定匹配该规则时系统
< br>自动排序,即按“深度优先”的顺序)
。这种情况下用户可以在定义
ACL
的时候指定一条
ACL
中多个子规则的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序,就不能再
更
改该顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。
ACL
被软件引用的情况包括:路由策略引用
ACL
、对登录用户进行控制时引用
ACL
等。
标准文档
实用文案
交换机配置(四)密码恢复
说明:以
下方法将删除原有
config
文件,使设备恢复到出厂配置。
在设备重启时按
Ctrl+B
进入
BOOT
MENU
之后,
Press
Ctrl-B to enter Boot Menu... 5
Password
:
缺省为空,回车即可
1.
Download application file to flash
2.
Select application file to boot
3.
Display all files in flash
4. Delete
file from Flash
5. Modify bootrom
password
0. Reboot
Enter
your choice(0-5): 4
选择
4
No.
File Name
File Size(bytes)
===========
==========================================
< br>======================
1
257224
2
447827
3
snmpboots
4
4
*
2985691
5
hostkey
428
6
serverkey
572
7
1281
标准文档
实用文案
Free Space :
3452928 bytes
The current application
file is
Please input the file number
to delete: 7
p>
选择
7,
删除当前的配置文件
Do you want to delete now? Yes
or No(Y/N)y
Delete file....done!
BOOT
MENU
1. Download application
file to flash
2. Select application
file to boot
3. Display all files in
flash
4. Delete file from Flash
5. Modify bootrom password
0. Reboot
Enter your
choice(0-5):0
p>
选择
0,
重启设备
注:删除之后交换机就恢复了出厂配置。
交换机配置(五)三层交换配置
1
,
三层交换数据包转发流程图:
标准文档
实用文案
2
,三层交换机配置实例:
服务器
1
双网卡,内网
IP:192.168.0.1
,其它计算机通过其代理上网
PORT1
属于
VLAN1
PORT2
属于
VLAN2
PORT3
属于
VLAN3
VLAN1
的机器可以正常上网
p>
配置
VLAN2
的计算机的网关为:
192.168.1.254
配置
VLAN
3
的计算机的网关为:
192.168.2.254
即可实现
VLAN
间互联
如果
VLAN2
和
VLAN3
的计算机要通过服务器
1
< br>上网
则需在三层交换机上配置默认路由
系统视图下:
ip route-static
0.0.0.0 0.0.0.0 192.168.0.1
标准文档
实用文案
然后再在服务器
1
上配置回程路由
进入命令提示符
route add
192.168.1.0 255.255.255.0 192.168.0.254
route add 192.168.2.0 255.255.255.0
192.168.0.254
这个时候
vlan2
和
vlan3
中的计算机就可以通过服务器
1
访问
internet
了
~~
3
,三层交换机
VLAN
之间的通信
VLAN
的划分应与
IP
规划结合起来
,使得一个
VLAN
接口
IP
就是对应的子网段就是某个
部门的子网段,
V
LAN
接口
IP
就是一个子网关。
p>
VLAN
应以部门划分,相同部门的主机
I
P
以
VLAN
接口
IP
为依据划归在一个子网范围,
同属于一个
VLAN
。
这样不仅在安全上有益,
而且更方便网络管理员的管理和监控。
注意:
各
VLAN
中的客户机的网关分别对应各
VLA
N
的接口
IP
。
在这企业网中计划规划四个
VLAN
子
网对应着四个重要部门,笔者认为这也是小企业
最普遍的部门结构,分别是:
VLAN10
——综合行政办公室;
VLAN20
——销售部;
VLAN30
——财务部;
p>
VLAN40
——数据中心(网络中心)
。
划分
VLAN
以后,要为每一个
VLAN
配一个“虚拟接口
IP
地址”
。
p>
VLAN10
——
192.168.10.
1
VLAN20
——
192.168.2
0.1
VLAN30
——
< br>192.168.30.1
VLAN40
——
192.168.40.1
标准文档
实用文案
拓朴图如下:
VLAN
及路由配置
p>
-3326SR
三层交换机的
VLAN
p>
的配置过程:
(
1
p>
)创建
VLAN
DES-3326SR#Config vlan default delete 1
-24
端口
1-24''
DES-3326SR#Create vlan vlan10 tag 10
10
DES-3326SR#Create vlan
vlan20 tag 20
20
DES-3326SR#Create vlan vlan30 tag 30
30
DES-3326SR#Create vlan
vlan40 tag 40
40
(
p>
2
)添加端口到各
VLAN
DES-3326SR#Config vlan vlan10 add untag
1-6
DES-3326SR#Config vlan
vlan20 add untag 7-12
DES-3326SR#Config vlan vlan30 add untag
13-18
DES-3326SR#Config vlan
vlan40 add untag 19-24
(
3
p>
)创建
VLAN
接口
IP
DES-3326SR#Create ipif if10
192.168.10.1/24 VLAN10 state enabled
<
/p>
创建虑
把端口
1-6
添加到
VLAN10
把端口
1-
6
添加到
VLAN20
把端口
1-6
添加到
VLAN30
把端口
1-6
添加到
VLAN
40
创建
VLAN
名为
vlan10
,
并标记
VI
D
为
创建
VLAN
名为
vlan10
,
并标记
VID
为
创建
VLA
N
名为
vlan20
,
并标记
VID
为
创建
VLAN
名为
vlan10
,
并标记
VID
为
删除默认
VLAN(default)
包含的
拟的接口
if10
给名为
VLAN10
的
VLAN
子网,
p>
并且指定该接口的
IP
为
< br>192.168.10.1/24
。
标准文档
实用文案
创建后
p>
enabled
激活该接口。
p>
同样方法设置其它的接口
IP
:
DES-3326SR#Create ipif if20
192.168.20.1/24 VLAN20 state enabled
DES-3326SR#Create ipif if30
192.168.30.1/24 VLAN30 state enabled
DES-3326SR#Create ipif if40
192.168.40.1/24 VLAN40 state enabled
(
4
)路由
p>
当配置三层交换机的三层功能时,如果只是单台三层交换机,只需要配置各
< br>VLAN
的
虚拟接口就行,
不再
配路由选择协议。
因为一台三层交换机上的虚拟接口会在交换机里以直
< br>接路由的身份出现,因此不需要静态路由或动态路由协议的配置。
p>
-3226S
二层交换机的
VLAN
的配置过程:
(
1
p>
)创建
VLAN
DES-3226S#Config vlan default delete 1
-24
口
1-24''
DES-3226S#Create vlan vlan10 tag 10
10
(
2
)添加
端口到各
VLAN
DES-3226S#Config vlan vlan10 add untag
1-24
把端口
1-24
添加到
p>
VLAN10
创建
VLAN
名为
vlan10
,并标记
VID
为
删除默认
VLAN(defa
ult)
包含的端
同理,
配
置其它
DES-3226S
二层交换机。
完成以后就可以将各个所属
VLAN
的二层交
换机与
DES-3326SR
三层交换机的相应
VLAN
的端口连接即可。
交换机配置(六)端口镜像配置
【<
/p>
3026
等交换机镜像】
S2008/S2016/S2026/S2403H/S3026
等交换机
支持的都是基于端口的镜像,
有两种方法:
标准文档
实用文案
方法一
1.
配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2.
配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to
Ethernet 0/2
方法二
1.
可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to
Ethernet 0/2 observing-port Ethernet 0/8
【
8016
交换机端口镜像配置】
1.
假设
8016
< br>交换机镜像端口为
E1/0/15
,被镜像端口为
E1/0/0
,设置端口
1/0/15
为端
口镜像的观测端口。
[SwitchA] port monitor ethernet 1/0/15
2.
设置端口
1/0/0
为被镜像端口,对其输入输出数据都进行镜像。
[SwitchA] port mirroring ethernet 1/0/0
both ethernet 1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1.
设置
E1/0/15
和
E2/0/0
为镜像(观测)端口
[SwitchA] port monitor ethernet
1/0/15
2.
设置端口
1/0
/0
为被镜像端口,分别使用
E1/0/15
< br>和
E2/0/0
对输入和输出数据进行镜
像。
[SwitchA] port
mirroring gigabitethernet 1/0/0 ingress ethernet
1/0/15
[SwitchA] port mirroring
gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流镜像的数据流程』
标准文档
实用文案
基于流镜像的交换机针对某
些流进行镜像,
每个连接都有两个方向的数据流,
对于交换机来
说这两个数据流是要分开镜像的。
【
3500/3026E/3026F/3050
】
〖基于三层流的镜像〗
1.
定义一条扩展访问控制列表
[SwitchA]acl num 101
2.
定义一条规则报文源地址为
1.1.1.1/32
去往所有目的地址
[SwitchA-acl-
adv-101]rule 0 permit ip source 1.1.1.1 0
destination any
3.
定义一条规则报文源
地址为所有源地址目的地址为
1.1.1.1/32
[SwitchA-acl-adv-101]rule 1 permit ip
source any destination 1.1.1.1 0
4.
将符合上述
ACL
规则的报文镜像到
E0/8
端口
[SwitchA]mirrored-to ip-group 101
interface e0/8
〖基于二层流的镜像〗
1.
定义一个
ACL
[SwitchA]acl num 200
2.
定义一个规则从
E0/1
发送至其它所有端口的数据包
[SwitchA]rule 0 permit ingress
interface Ethernet0/1 (egress interface any)
3.
定义一个规则从其它所有端口到
E0/1
端口的数据包
[SwitchA]rule 1 permit (ingress
interface any)
egress
interface Ethernet0/1
4.
将符合
上述
ACL
的数据包镜像到
E0/8
[SwitchA]mirrored-to link-group 200
interface e0/8
【
5516
】
标准文档
实用文案
支持对入端口流量进行镜像
配置端口
Ethernet
3/0/1
为监测端口,对
Ethernet
3/0/2
端口的入流量镜像。
[SwitchA]mirror Ethernet 3/0/2
ingress-to Ethernet 3/0/1 <
/p>
【
6506/6503/6506R
】<
/p>
目前该三款产品只支持对入端口流量进行镜像,虽然有
outbount
参数,但是无法配置。
p>
镜像组名为
1
,监测端口为
Ethernet4/0/2
,端口
Ethernet
4/0/1
的入流量被镜像。
[SwitchA]mirroring-group 1 inbound
Ethernet4/0/1 mirrored-to Ethernet4/0/2
【补充说明】
1.
镜像一般都可以实现高速率端口镜像低速率端口,例如
1000M
端口可以镜像
100M
端
口
,反之则无法实现
2.
8016
支持跨单板端口镜像
华为各种型号交换机端口镜像配置方法总结
有不少朋友在问华为交换机镜像方
面的问题。
通过本人现有的资料和文档,
现把各种型号的
交换机镜像方法总结一下。
以便各位朋友能够方便查阅!
在学配置之前,
对于端口镜像的基
本概念还是要一定
的了解!
一、端口镜像概念:
Port Mirror(
端口镜像)是用于进行网络性能监测
。可以这样理解:在端口
A
和端口
B
之
间建立镜像关系,
这样,
通过端口
A
传输的数据将同时复制到端口
B
,
以便于在端口
B
< br>上
连接的分析仪或者分析软件进行性能分析或故障判断。
二、端口镜像配置
『环境配置参数』
1. PC1
p>
接在交换机
E0/1
端口,
IP
地址
1.1.1.1/24
标准文档
-
-
-
-
-
-
-
-
-
上一篇:MPLS L2VPN VPWS的实现方式
下一篇:关联词大全