华为交换机各种配置实例.docx

华为交换机各种配置实例.docx

《华为交换机各种配置实例.docx》由会员分享，可在线阅读，更多相关《华为交换机各种配置实例.docx（7页珍藏版）》请在冰豆网上搜索。

华为交换机各种配置实例

华为交换机各种配置实例

华为交换机各种配置实例交换机配置

（一）端口限速基本配置华为3Com2019_EI、S2019-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:

华为交换机端口限速2019_EI系列以上的交换机都可以限速!

限速不同的交换机限速的方式不一样!

2019_EI直接在端口视图下面输入LINE-RATE（4）参数可选!

端口限速配置1功能需求及组网说明端口限速配置『配置环境参数』1.PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24『组网需求』1.在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps2数据配置步骤『S2019EI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】1.进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12.对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateoutbound303.对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]line-rateinbound16【补充说明】报文速率限制级别取值为1～127。

如果速率限制级别取值在1～28范围内，则速率限制的粒度为64Kbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为N*64K；如果速率限制级别取值在29～127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为（N-27）*1Mbps。

此系列交换机的具体型号包括：

S2008-EI、S2019-EI和S2403H-EI。

『S2019-SI和S3000-SI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】1.进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12.对端口E0/1的出方向报文进行流量限速，限制到6Mbps[SwitchA-Ethernet0/1]line-rateoutbound23.对端口E0/1的入方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateinbound1【补充说明】对端口发送或接收报文限制的总速率，这里以8个级别来表示，取值范围为1～8，含义为：

端口工作在10M速率时，1～8分别表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率时，1～8分别表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。

此系列交换机的具体型号包括：

S2026C/Z-SI、S3026C/G/S-SI和E026-SI。

『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进行流量限速。

【SwitchA相关配置】1.进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12.对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rate33.配置acl，定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany4.对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。

在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为1Mbps。

此系列交换机的具体型号包括：

S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。

『S3528、S3552系列交换机端口限速配置流程』使用以太网物理端口下面的traffic-shape和traffic-limit命令，分别来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】1.进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12.对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]traffic-shape325032503.配置acl，定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany4.对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceeddrop【补充说明】此系列交换机的具体型号包括：

S3528G/P和S3552G/P/F。

『S3900系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。

【SwitchA相关配置】1.进入端口E1/0/1的配置视图[SwitchA]interfaceEthernet1/0/12.对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate30003.配置acl，定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany4.对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。

在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括：

S3924、S3928P/F/TP和S3952P。

『S5600系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。

【SwitchA相关配置】1.进入端口E1/0/1的配置视图[SwitchA]interfaceEthernet1/0/12.对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate30003.配置acl，定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany4.对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。

在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括：

S5624P/F和S5648P。

交换机配置

（二）端口绑定基本配置1，端口+MACa）AM命令使用特殊的AMUser-bind命令，来完成MAC地址与端口之间的绑定。

例如：

[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明：

由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。

但是PC1使用该MAC地址可以在其他端口上网。

b）mac-address命令使用mac-addressstatic命令，来完成MAC地址与端口之间的绑定。

例如：

[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1[SwitchA]mac-addressmax-mac-count0配置说明：

由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。

2，IP+MACa）AM命令使用特殊的AMUser-bind命令，来完成IP地址与MAC地址之间的绑定。

例如：

[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3配置说明：

以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。

支持型号：

S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb）arp命令使用特殊的arpstatic命令，来完成IP地址与MAC地址之间的绑定。

例如：

[SwitchA]arpstatic10.1.1.200e0-fc22-f8d3配置说明：

以上配置完成对PC机的IP地址和MAC地址的全局绑定。

3，端口+IP+MAC使用特殊的AMUser-bind命令，来完成IP、MAC地址与端口之间的绑定。

例如：

[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明：

可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。

由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。

但是PC1使用该IP地址和MAC地址可以在其他端口上网。

支持型号：

S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、S6500（3代引擎）1，二层ACL.组网需求:

通过二层访问控制列表，实现在每天8:

00～18:

00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:

（1）定义时间段#定义8:

00至18:

00的周期时间段。

[Quidway]time-rangehuawei8:

00to18:

00daily

（2）定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL#进入基于名字的二层访问控制列表视图，命名为traffic-of-link。

[Quidway]aclnametraffic-of-linklink#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei（3）激活ACL。

#将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link2，三层ACLa）基本访问控制列表配置案例.组网需求:

通过基本访问控制列表，实现在每天8:

00～18:

00时间段内对源IP为10.1.1.1主机发出报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:

（1）定义时间段#定义8:

00至18:

00的周期时间段。

[Quidway]time-rangehuawei8:

00to18:

00daily

（2）定义源IP为10.1.1.1的ACL#进入基于名字的基本访问控制列表视图，命名为traffic-of-host。

[Quidway]aclnametraffic-of-hostbasic#定义源IP为10.1.1.1的访问规则。

[Quidway-acl-basic-traffic-of-host]rule1denyipsource10.1.1.10time-rangehuawei（3）激活ACL。

#将traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-hostb）高级访问控制列表配置案例.组网需求:

公司企业网通过Switch的端口实现各部门之间的互连。

研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2。

要求正确配置ACL，限制研发部门在上班时间8:

00至18:

00访问工资服务器。

.配置步骤:

（1）定义时间段#定义8:

00至18:

00的周期时间段。

[Quidway]time-rangehuawei8:

00to18:

00working-day

（2）定义到工资服务器的ACL#进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。

[Quidway]aclnametraffic-of-payserveradvanced#定义研发部门到工资服务器的访问规则。

[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei（3）激活ACL。

#将traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver3，常见病毒的ACL创建aclaclnumber100禁pingruledenyicmpsourceanydestinationany用于控制Blaster蠕虫的传播ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444用于控制冲击波病毒的扫描和攻击ruledenytcpsourceanydestinationanydestination-porteq13