交换机配置一端口限速基本配置.docx
《交换机配置一端口限速基本配置.docx》由会员分享,可在线阅读,更多相关《交换机配置一端口限速基本配置.docx(27页珍藏版)》请在冰豆网上搜索。
交换机配置一端口限速基本配置
怪狗
交换机配置
(一)端口限速基本配置
交换机配置
(二)端口绑定基本配置
交换机配置(三)ACL基本配置
交换机配置(四)密码恢复
交换机配置(五)三层交换配置
交换机配置(六)端口镜像配置
交换机配置(七)DHCP配置
交换机配置(八)配置文件管理
交换机配置(九)远程管理配置
交换机配置(十)STP配置
交换机配置(十一)私有VLAN配置
交换机配置(十二)端口trunk、hybrid应用配置
交换机配置(十三)同一VLAN内部端口之间隔离
交换机配置(十四)S系列交换机实现不同VLAN之间互访的配置
怪狗
交换机配置
(一)端口限速基本配置
华为3Com2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:
华为交换机端口限速
2000_EI系列以上的交换机都可以限速!
限速不同的交换机限速的方式不一样!
2000_EI直接在端口视图下面输入LINE-RATE(4)参数可选!
端口限速配置
1功能需求及组网说明
端口限速配置
『配置环境参数』
1.PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24
『组网需求』
1.在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤
『S2000EI系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。
【SwitchA相关配置】
1.进入端口E0/1的配置视图
[SwitchA]interfaceEthernet0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet0/1]line-rateoutbound30
3.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet0/1]line-rateinbound16
【补充说明】
报文速率限制级别取值为1~127。
如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。
此系列交换机的具体型号包括:
S2008-EI、S2016-EI和S2403H-EI。
『S2000-SI和S3000-SI系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。
【SwitchA相关配置】
1.进入端口E0/1的配置视图
[SwitchA]interfaceEthernet0/1
2.对端口E0/1的出方向报文进行流量限速,限制到6Mbps
[SwitchA-Ethernet0/1]line-rateoutbound2
3.对端口E0/1的入方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet0/1]line-rateinbound1
【补充说明】
对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:
端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。
此系列交换机的具体型号包括:
S2026C/Z-SI、S3026C/G/S-SI和E026-SI。
『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。
【SwitchA相关配置】
1.进入端口E0/1的配置视图
[SwitchA]interfaceEthernet0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet0/1]line-rate3
3.配置acl,定义符合速率限制的数据流
[SwitchA]aclnumber4000
[SwitchA-acl-link-4000]rulepermitingressanyegressany
4.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceeddrop
【补充说明】
line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。
在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。
端口出入方向限速的粒度为1Mbps。
此系列交换机的具体型号包括:
S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。
『S3528、S3552系列交换机端口限速配置流程』
使用以太网物理端口下面的traffic-shape和traffic-limit命令,分别来对该端口的出、入报文进行流量限速。
【SwitchA相关配置】
1.进入端口E0/1的配置视图
[SwitchA]interfaceEthernet0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet0/1]traffic-shape32503250
3.配置acl,定义符合速率限制的数据流
[SwitchA]aclnumber4000
[SwitchA-acl-link-4000]rulepermitingressanyegressany
4.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceeddrop
【补充说明】
此系列交换机的具体型号包括:
S3528G/P和S3552G/P/F。
『S3900系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。
【SwitchA相关配置】
1.进入端口E1/0/1的配置视图
[SwitchA]interfaceEthernet1/0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet1/0/1]line-rate3000
3.配置acl,定义符合速率限制的数据流
[SwitchA]aclnumber4000
[SwitchA-acl-link-4000]rulepermitingressanyegressany
4.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop
【补充说明】
line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。
在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。
端口出入方向限速的粒度为64Kbps。
此系列交换机的具体型号包括:
S3924、S3928P/F/TP和S3952P。
『S5600系列交换机端口限速配置流程』
使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。
【SwitchA相关配置】
1.进入端口E1/0/1的配置视图
[SwitchA]interfaceEthernet1/0/1
2.对端口E0/1的出方向报文进行流量限速,限制到3Mbps
[SwitchA-Ethernet1/0/1]line-rate3000
3.配置acl,定义符合速率限制的数据流
[SwitchA]aclnumber4000
[SwitchA-acl-link-4000]rulepermitingressanyegressany
4.对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop
【补充说明】
line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。
在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。
端口出入方向限速的粒度为64Kbps。
此系列交换机的具体型号包括:
S5624P/F和S5648P。
怪狗
00:
43
交换机配置
(二)端口绑定基本配置
1,端口+MAC
a)AM命令
使用特殊的AMUser-bind命令,来完成MAC地址与端口之间的绑定。
例如:
[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1
配置说明:
由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。
但是PC1使用该MAC地址可以在其他端口上网。
b)mac-address命令
使用mac-addressstatic命令,来完成MAC地址与端口之间的绑定。
例如:
[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1
[SwitchA]mac-addressmax-mac-count0
配置说明:
由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。
2,IP+MAC
a)AM命令
使用特殊的AMUser-bind命令,来完成IP地址与MAC地址之间的绑定。
例如:
[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3
配置说明:
以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。
支持型号:
S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G
b)arp命令
使用特殊的arpstatic命令,来完成IP地址与MAC地址之间的绑定。
例如:
[SwitchA]arpstatic10.1.1.200e0-fc22-f8d3
配置说明:
以上配置完成对PC机的IP地址和MAC地址的全局绑定。
3,端口+IP+MAC
使用特殊的AMUser-bind命令,来完成IP、MAC地址与端口之间的绑定。
例如:
[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceEthernet0/1
配置说明:
可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。
由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。
但是PC1使用该IP地址和MAC地址可以在其他端口上网。
支持型号:
S3026E/S3026E-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;E3026;E050;S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)
怪狗
00:
43
交换机配置(三)ACL基本配置
1,二层ACL
.组网需求:
通过二层访问控制列表,实现在每天8:
00~18:
00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。
该主机从GigabitEthernet0/1接入。
.配置步骤:
(1)定义时间段
#定义8:
00至18:
00的周期时间段。
[Quidway]time-rangehuawei8:
00to18:
00daily
(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL
#进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway]aclnametraffic-of-linklink
#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei
(3)激活ACL。
#将traffic-of-link的ACL激活。
[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link
2,三层ACL
a)基本访问控制列表配置案例
.组网需求:
通过基本访问控制列表,实现在每天8:
00~18:
00时间段内对源IP为10.1.1.1主机发出报文的过滤。
该主机从GigabitEthernet0/1接入。
.配置步骤:
(1)定义时间段
#定义8:
00至18:
00的周期时间段。
[Quidway]time-rangehuawei8:
00to18:
00daily
(2)定义源IP为10.1.1.1的ACL
#进入基于名字的基本访问控制列表视图,命名为traffic-of-host。
[Quidway]aclnametraffic-of-hostbasic
#定义源IP为10.1.1.1的访问规则。
[Quidway-acl-basic-traffic-of-host]rule1denyipsource10.1.1.10time-rangehuawei
(3)激活ACL。
#将traffic-of-host的ACL激活。
[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-host
b)高级访问控制列表配置案例
.组网需求:
公司企业网通过Switch的端口实现各部门之间的互连。
研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。
要求正确配置ACL,限制研发部门在上班时间8:
00至18:
00访问工资服务器。
.配置步骤:
(1)定义时间段
#定义8:
00至18:
00的周期时间段。
[Quidway]time-rangehuawei8:
00to18:
00working-day
(2)定义到工资服务器的ACL
#进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。
[Quidway]aclnametraffic-of-payserveradvanced
#定义研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei
(3)激活ACL。
#将traffic-of-payserver的ACL激活。
[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver
3,常见病毒的ACL
[url]
4,防止同网段ARP欺骗的ACL
[url]
5,关于ACL规则匹配的说明
a)ACL直接下发到硬件中的情况
交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。
此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用。
ACL直接下发到硬件的情况包括:
交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。
b)ACL被上层模块引用的情况
交换机也使用ACL来对由软件处理的报文进行过滤和流分类。
此时ACL子规则的匹配顺序有两种:
config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。
这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。
用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序。
只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。
ACL被软件引用的情况包括:
路由策略引用ACL、对登录用户进行控制时引用ACL等。
怪狗
00:
44
交换机配置(四)密码恢复
说明:
以下方法将删除原有config文件,使设备恢复到出厂配置。
在设备重启时按Ctrl+B进入BOOTMENU之后,
PressCtrl-BtoenterBootMenu...5
Password:
缺省为空,回车即可
1.Downloadapplicationfiletoflash
2.Selectapplicationfiletoboot
3.Displayallfilesinflash
4.DeletefilefromFlash
5.Modifybootrompassword
0.Reboot
Enteryourchoice(0-5):
4 选择4
No. FileName FileSize(bytes)
===========================================================================
1 S3026CGSSI.btm 257224
2 wnm2.2.2-0005.zip 447827
3 snmpboots 4
4*R0023P01.app 2985691
5 hostkey 428
6 serverkey 572
7 vrpcfg.txt 1281
FreeSpace:
3452928bytes
ThecurrentapplicationfileisR0023P01.app
Pleaseinputthefilenumbertodelete:
7 选择7,删除当前的配置文件
Doyouwanttodeletevrpcfg.txtnow?
YesorNo(Y/N)y
Deletefile....done!
BOOTMENU
1.Downloadapplicationfiletoflash
2.Selectapplicationfiletoboot
3.Displayallfilesinflash
4.DeletefilefromFlash
5.Modifybootrompassword
0.Reboot
Enteryourchoice(0-5):
0 选择0,重启设备
注:
删除之后交换机就恢复了出厂配置。
怪狗
00:
44
交换机配置(五)三层交换配置
1,三层交换数据包转发流程图:
[attach]504[/attach]
2,三层交换机配置实例:
服务器1双网卡,内网IP:
192.168.0.1,其它计算机通过其代理上网
PORT1属于VLAN1
PORT2属于VLAN2
PORT3属于VLAN3
VLAN1的机器可以正常上网
配置VLAN2的计算机的网关为:
192.168.1.254
配置VLAN3的计算机的网关为:
192.168.2.254
即可实现VLAN间互联
如果VLAN2和VLAN3的计算机要通过服务器1上网
则需在三层交换机上配置默认路由
系统视图下:
iproute-static0.0.0.00.0.0.0192.168.0.1
然后再在服务器1上配置回程路由
进入命令提示符
routeadd192.168.1.0255.255.255.0192.168.0.254
routeadd192.168.2.0255.255.255.0192.168.0.254
这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~
[attach]505[/attach]
3,三层交换机VLAN之间的通信:
acl