1、华为交换机各种配置实例 华为交换机各种配置实例 华为交换机各种配置实例 交换机配置(一)端口限速基本配置 华为 3Com2019_EI、S2019-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600 系列: 华为交换机端口限速 2019_EI 系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2019_EI 直接在端口视图下面输入 LINE-RATE(4)参数可选! 端口限速配置 1 功能需求及组网说明 端口限速配置 配置环境参数 1.PC1 和 PC2 的 IP 地址分别为 10.10.1.1
2、/24、10.10.1.2/24 组网需求 1.在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将 PC1 的上传速率限制在 1Mbps 2 数据配置步骤 S2019EI 系列交换机端口限速配置流程 使用以太网物理端口下面的 line-rate 命令,来对该端口的出、入报文进行流量限速。 【SwitchA 相关配置】 1.进入端口 E0/1 的配置视图 SwitchAinterfaceEthernet0/1 2.对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps SwitchA-Ethernet0/1line-rateoutbound30 3.对端口 E0/
3、1 的入方向报文进行流量限速,限制到 1Mbps SwitchA-Ethernet0/1line-rateinbound16 【补充说明】 报文速率限制级别取值为 1127。 如果速率限制级别取值在 128 范围内,则速率限制的粒度为 64Kbps,这种情况下,当设置的级别为 N,则端口上限制的速率大小为 N*64K;如果速率限制级别取值在 29127 范围内,则速率限制的粒度为 1Mbps,这种情况下,当设置的级别为 N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括: S2008-EI、S2019-EI 和 S2403H-EI。 S2019-SI 和 S30
4、00-SI 系列交换机端口限速配置流程 使用以太网物理端口下面的 line-rate 命令,来对该端口的出、入报文进行流量限速。 【SwitchA 相关配置】 1.进入端口 E0/1 的配置视图 SwitchAinterfaceEthernet0/1 2.对端口 E0/1 的出方向报文进行流量限速,限制到 6Mbps SwitchA-Ethernet0/1line-rateoutbound2 3.对端口 E0/1 的入方向报文进行流量限速,限制到 3Mbps SwitchA-Ethernet0/1line-rateinbound1 【补充说明】 对端口发送或接收报文限制的总速率,这里以 8 个
5、级别来表示,取值范围为 18,含义为: 端口工作在 10M 速率时,18 分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在 100M速率时,18 分别表示 3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。 此系列交换机的具体型号包括: S2026C/Z-SI、S3026C/G/S-SI 和E026-SI。 S3026E、S3526E、S3050、S5012、S5024 系列交换机端口限速配置流程使用以太网物理端口下面的 line-rate 命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traff
6、ic-limit 命令,对端口的入方向报文进行流量限速。 【SwitchA 相关配置】 1.进入端口 E0/1 的配置视图 SwitchAinterfaceEthernet0/1 2.对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps SwitchA-Ethernet0/1line-rate3 3.配置 acl,定义符合速率限制的数据流 SwitchAaclnumber4000 SwitchA-acl-link-4000rulepermitingressanyegressany 4.对端口 E0/1 的入方向报文进行流量限速,限制到 1Mbps SwitchA-Ethernet0/
7、1traffic-limitinboundlink-group40001exceeddrop 【补充说明】 line-rate 命令直接对端口的所有出方向数据报文进行流量限制,而 traffic-limit 命令必须结合 acl 使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。 端口出入方向限速的粒度为 1Mbps。 此系列交换机的具体型号包括: S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T 和 S5024G。 S3528、S35
8、52 系列交换机端口限速配置流程 使用以太网物理端口下面的 traffic-shape 和 traffic-limit 命令,分别来对该端口的出、入报文进行流量限速。 【SwitchA 相关配置】 1.进入端口 E0/1 的配置视图 SwitchAinterfaceEthernet0/1 2.对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps SwitchA-Ethernet0/1traffic-shape32503250 3.配置 acl,定义符合速率限制的数据流 SwitchAaclnumber4000 SwitchA-acl-link-4000rulepermitingres
9、sanyegressany 4.对端口 E0/1 的入方向报文进行流量限速,限制到 1Mbps SwitchA-Ethernet0/1traffic-limitinboundlink-group400010001500001500001000exceeddrop 【补充说明】 此系列交换机的具体型号包括: S3528G/P 和 S3552G/P/F。 S3900 系列交换机端口限速配置流程 使用以太网物理端口下面的 line-rate 命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的 traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进
10、行流量限制。 【SwitchA 相关配置】 1.进入端口 E1/0/1 的配置视图 SwitchAinterfaceEthernet1/0/1 2.对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps SwitchA-Ethernet1/0/1line-rate3000 3.配置 acl,定义符合速率限制的数据流 SwitchAaclnumber4000 SwitchA-acl-link-4000rulepermitingressanyegressany 4.对端口 E0/1 的入方向报文进行流量限速,限制到 1Mbps SwitchA-Ethernet1/0/1traffic-li
11、mitinboundlink-group40001000exceedd rop 【补充说明】 line-rate 命令直接对端口的所有出方向数据报文进行流量限制,而 traffic-limit 命令必须结合 acl 使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。 端口出入方向限速的粒度为 64Kbps。 此系列交换机的具体型号包括: S3924、S3928P/F/TP 和 S3952P。 S5600 系列交换机端口限速配置流程 使用以太网物理端口下面的 line-
12、rate 命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的 traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。 【SwitchA 相关配置】 1.进入端口 E1/0/1 的配置视图 SwitchAinterfaceEthernet1/0/1 2.对端口 E0/1 的出方向报文进行流量限速,限制到 3Mbps SwitchA-Ethernet1/0/1line-rate3000 3.配置 acl,定义符合速率限制的数据流 SwitchAaclnumber4000 SwitchA-acl-link-4000rulepermit
13、ingressanyegressany 4.对端口 E0/1 的入方向报文进行流量限速,限制到 1Mbps SwitchA-Ethernet1/0/1traffic-limitinboundlink-group40001000exceeddrop 【补充说明】 line-rate 命令直接对端口的所有出方向数据报文进行流量限制,而 traffic-limit 命令必须结合 acl 使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。 端口出入方向限速的粒度为 64Kbp
14、s。 此系列交换机的具体型号包括: S5624P/F 和 S5648P。 交换机配置(二)端口绑定基本配置 1,端口+MAC a)AM 命令 使用特殊的 AMUser-bind 命令,来完成 MAC 地址与端口之间的绑定。 例如: SwitchAamuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明: 由于使用了端口参数,则会以端口为参照物,即此时端口E0/1 只允许 PC1 上网,而使用其他未绑定的 MAC 地址的 PC 机则无 法上网。 但是 PC1 使用该 MAC 地址可以在其他端口上网。 b)mac-address 命令
15、 使用 mac-addressstatic 命令,来完成 MAC 地址与端口之间的绑定。 例如: SwitchAmac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1 SwitchAmac-addressmax-mac-count0 配置说明: 由于使用了端口学习功能,故静态绑定 mac 后,需再设置该端口 mac 学习数为 0,使其他 PC 接入此端口后其 mac 地址无法被学习。 2,IP+MAC a)AM 命令 使用特殊的 AMUser-bind 命令,来完成 IP 地址与 MAC 地址之间的绑定。 例如: SwitchAamus
16、er-bindip-address10.1.1.2mac-address00e0-fc22-f8d3 配置说明: 以上配置完成对 PC 机的 IP 地址和 MAC 地址的全局绑定,即与绑定的 IP 地址或者 MAC 地址不同的 PC 机,在任何端口都无法上网。 支持型号: S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G b)arp 命令 使用特殊的 arpstatic 命令,来完成 IP 地址与 MAC 地址之间的绑定。 例如: SwitchAarpstatic10.1.1.200e0-
17、fc22-f8d3 配置说明: 以上配置完成对 PC 机的 IP 地址和 MAC 地址的全局绑定。 3,端口+IP+MAC 使用特殊的 AMUser-bind 命令,来完成 IP、MAC 地址与端口之间的绑定。 例如: SwitchAamuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceEthernet0/1 配置说明: 可以完成将 PC1 的 IP 地址、MAC 地址与端口 E0/1 之间的绑定功能。 由于使用了端口参数,则会以端口为参照物,即此时端口 E0/1 只允许 PC1 上网,而使用其他未绑定的 IP 地址、MA
18、C 地址的 PC 机则无法上网。 但是 PC1 使用该 IP 地址和 MAC 地址可以在其他端口上网。 支持型号: S3026E/S3026E-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;E3026;E050;S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、S6500(3 代引擎) 1,二层 ACL .组网需求: 通过二层访问控制列表,实现在每天 8:0018:00 时间段内对源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。 该主机从 GigabitEth
19、ernet0/1 接入。 .配置步骤: (1)定义时间段 #定义 8:00 至 18:00 的周期时间段。 Quidwaytime-rangehuawei8:00to18:00daily (2)定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的ACL#进入基于名字的二层访问控制列表视图,命名为 traffic-of-link。 Quidwayaclnametraffic-of-linklink #定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。 Quidway-acl-link-t
20、raffic-of-linkrule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei (3)激活 ACL。 #将 traffic-of-link 的 ACL 激活。 Quidway-GigabitEthernet0/1packet-filterlink-grouptraffic-of-link2,三层 ACL a)基本访问控制列表配置案例 .组网需求: 通过基本访问控制列表,实现在每天 8:0018:00 时间段内对源IP为10.1.1.1主机发出报文的过滤。 该主机从GigabitEthernet
21、0/1接入。 .配置步骤: (1)定义时间段 #定义 8:00 至 18:00 的周期时间段。 Quidwaytime-rangehuawei8:00to18:00daily (2)定义源 IP 为 10.1.1.1 的 ACL #进入基于名字的基本访问控制列表视图,命名为 traffic-of-host。 Quidwayaclnametraffic-of-hostbasic #定义源 IP 为 10.1.1.1 的访问规则。 Quidway-acl-basic-traffic-of-hostrule1denyipsource10.1.1.10time-rangehuawei (3)激活 AC
22、L。 #将 traffic-of-host 的 ACL 激活。 Quidway-GigabitEthernet0/1packet-filterinboundip-group traffic-of-host b)高级访问控制列表配置案例 .组网需求: 公司企业网通过 Switch 的端口实现各部门之间的互连。 研发部门的由 GigabitEthernet0/1 端口接入,工资查询服务器的地址为129.110.1.2。 要求正确配置 ACL,限制研发部门在上班时间 8:00 至18:00 访问工资服务器。 .配置步骤: (1)定义时间段 #定义 8:00 至 18:00 的周期时间段。 Quidw
23、aytime-rangehuawei8:00to18:00working-day (2)定义到工资服务器的 ACL #进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。 Quidwayaclnametraffic-of-payserveradvanced #定义研发部门到工资服务器的访问规则。 Quidway-acl-adv-traffic-of-payserverrule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei (3)激活 ACL。 #将 traffic-of-payserve
24、r 的 ACL 激活。 Quidway-GigabitEthernet0/1packet-filterinboundip-group traffic-of-payserver 3,常见病毒的 ACL 创建 acl aclnumber100 禁 ping ruledenyicmpsourceanydestinationany 用于控制 Blaster 蠕虫的传播 ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444 用于控制冲击波病毒的扫描和攻击 ruledenytcpsourceanydestinationanydestination-porteq13
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1