华为交换机各种配置实例.docx

1、华为交换机各种配置实例 华为交换机各种配置实例 华为交换机各种配置实例 交换机配置（一）端口限速基本配置 华为 3Com2019_EI、S2019-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600 系列: 华为交换机端口限速 2019_EI 系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2019_EI 直接在端口视图下面输入 LINE-RATE(4)参数可选! 端口限速配置 1 功能需求及组网说明 端口限速配置 配置环境参数 1.PC1 和 PC2 的 IP 地址分别为 10.10.1.1

2、/24、10.10.1.2/24 组网需求 1.在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将 PC1 的上传速率限制在 1Mbps 2 数据配置步骤 S2019EI 系列交换机端口限速配置流程 使用以太网物理端口下面的 line-rate 命令，来对该端口的出、入报文进行流量限速。 【SwitchA 相关配置】 1.进入端口 E0/1 的配置视图 SwitchAinterfaceEthernet0/1 2.对端口 E0/1 的出方向报文进行流量限速，限制到 3Mbps SwitchA-Ethernet0/1line-rateoutbound30 3.对端口 E0/

3、1 的入方向报文进行流量限速，限制到 1Mbps SwitchA-Ethernet0/1line-rateinbound16 【补充说明】 报文速率限制级别取值为 1127。 如果速率限制级别取值在 128 范围内，则速率限制的粒度为 64Kbps，这种情况下，当设置的级别为 N，则端口上限制的速率大小为 N*64K；如果速率限制级别取值在 29127 范围内，则速率限制的粒度为 1Mbps，这种情况下，当设置的级别为 N，则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括： S2008-EI、S2019-EI 和 S2403H-EI。 S2019-SI 和 S30

4、00-SI 系列交换机端口限速配置流程 使用以太网物理端口下面的 line-rate 命令，来对该端口的出、入报文进行流量限速。 【SwitchA 相关配置】 1.进入端口 E0/1 的配置视图 SwitchAinterfaceEthernet0/1 2.对端口 E0/1 的出方向报文进行流量限速，限制到 6Mbps SwitchA-Ethernet0/1line-rateoutbound2 3.对端口 E0/1 的入方向报文进行流量限速，限制到 3Mbps SwitchA-Ethernet0/1line-rateinbound1 【补充说明】 对端口发送或接收报文限制的总速率，这里以 8 个

5、级别来表示，取值范围为 18，含义为： 端口工作在 10M 速率时，18 分别表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在 100M速率时，18 分别表示 3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。 此系列交换机的具体型号包括： S2026C/Z-SI、S3026C/G/S-SI 和E026-SI。 S3026E、S3526E、S3050、S5012、S5024 系列交换机端口限速配置流程使用以太网物理端口下面的 line-rate 命令，对该端口的出方向报文进行流量限速；结合 acl，使用以太网物理端口下面的traff

6、ic-limit 命令，对端口的入方向报文进行流量限速。 【SwitchA 相关配置】 1.进入端口 E0/1 的配置视图 SwitchAinterfaceEthernet0/1 2.对端口 E0/1 的出方向报文进行流量限速，限制到 3Mbps SwitchA-Ethernet0/1line-rate3 3.配置 acl，定义符合速率限制的数据流 SwitchAaclnumber4000 SwitchA-acl-link-4000rulepermitingressanyegressany 4.对端口 E0/1 的入方向报文进行流量限速，限制到 1Mbps SwitchA-Ethernet0/

7、1traffic-limitinboundlink-group40001exceeddrop 【补充说明】 line-rate 命令直接对端口的所有出方向数据报文进行流量限制，而 traffic-limit 命令必须结合 acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。 端口出入方向限速的粒度为 1Mbps。 此系列交换机的具体型号包括： S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T 和 S5024G。 S3528、S35

8、52 系列交换机端口限速配置流程 使用以太网物理端口下面的 traffic-shape 和 traffic-limit 命令，分别来对该端口的出、入报文进行流量限速。 【SwitchA 相关配置】 1.进入端口 E0/1 的配置视图 SwitchAinterfaceEthernet0/1 2.对端口 E0/1 的出方向报文进行流量限速，限制到 3Mbps SwitchA-Ethernet0/1traffic-shape32503250 3.配置 acl，定义符合速率限制的数据流 SwitchAaclnumber4000 SwitchA-acl-link-4000rulepermitingres

9、sanyegressany 4.对端口 E0/1 的入方向报文进行流量限速，限制到 1Mbps SwitchA-Ethernet0/1traffic-limitinboundlink-group400010001500001500001000exceeddrop 【补充说明】 此系列交换机的具体型号包括： S3528G/P 和 S3552G/P/F。 S3900 系列交换机端口限速配置流程 使用以太网物理端口下面的 line-rate 命令，对该端口的出方向报文进行流量限速；结合 acl，使用以太网物理端口下面的 traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进

10、行流量限制。 【SwitchA 相关配置】 1.进入端口 E1/0/1 的配置视图 SwitchAinterfaceEthernet1/0/1 2.对端口 E0/1 的出方向报文进行流量限速，限制到 3Mbps SwitchA-Ethernet1/0/1line-rate3000 3.配置 acl，定义符合速率限制的数据流 SwitchAaclnumber4000 SwitchA-acl-link-4000rulepermitingressanyegressany 4.对端口 E0/1 的入方向报文进行流量限速，限制到 1Mbps SwitchA-Ethernet1/0/1traffic-li

11、mitinboundlink-group40001000exceedd rop 【补充说明】 line-rate 命令直接对端口的所有出方向数据报文进行流量限制，而 traffic-limit 命令必须结合 acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。 端口出入方向限速的粒度为 64Kbps。 此系列交换机的具体型号包括： S3924、S3928P/F/TP 和 S3952P。 S5600 系列交换机端口限速配置流程 使用以太网物理端口下面的 line-

12、rate 命令，对该端口的出方向报文进行流量限速；结合 acl，使用以太网物理端口下面的 traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。 【SwitchA 相关配置】 1.进入端口 E1/0/1 的配置视图 SwitchAinterfaceEthernet1/0/1 2.对端口 E0/1 的出方向报文进行流量限速，限制到 3Mbps SwitchA-Ethernet1/0/1line-rate3000 3.配置 acl，定义符合速率限制的数据流 SwitchAaclnumber4000 SwitchA-acl-link-4000rulepermit

13、ingressanyegressany 4.对端口 E0/1 的入方向报文进行流量限速，限制到 1Mbps SwitchA-Ethernet1/0/1traffic-limitinboundlink-group40001000exceeddrop 【补充说明】 line-rate 命令直接对端口的所有出方向数据报文进行流量限制，而 traffic-limit 命令必须结合 acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。 端口出入方向限速的粒度为 64Kbp

14、s。 此系列交换机的具体型号包括： S5624P/F 和 S5648P。 交换机配置（二）端口绑定基本配置 1，端口+MAC a)AM 命令 使用特殊的 AMUser-bind 命令，来完成 MAC 地址与端口之间的绑定。 例如： SwitchAamuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明： 由于使用了端口参数，则会以端口为参照物，即此时端口E0/1 只允许 PC1 上网，而使用其他未绑定的 MAC 地址的 PC 机则无 法上网。 但是 PC1 使用该 MAC 地址可以在其他端口上网。 b)mac-address 命令

15、 使用 mac-addressstatic 命令，来完成 MAC 地址与端口之间的绑定。 例如： SwitchAmac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1 SwitchAmac-addressmax-mac-count0 配置说明： 由于使用了端口学习功能，故静态绑定 mac 后，需再设置该端口 mac 学习数为 0，使其他 PC 接入此端口后其 mac 地址无法被学习。 2，IP+MAC a)AM 命令 使用特殊的 AMUser-bind 命令，来完成 IP 地址与 MAC 地址之间的绑定。 例如： SwitchAamus

16、er-bindip-address10.1.1.2mac-address00e0-fc22-f8d3 配置说明： 以上配置完成对 PC 机的 IP 地址和 MAC 地址的全局绑定，即与绑定的 IP 地址或者 MAC 地址不同的 PC 机，在任何端口都无法上网。 支持型号： S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G b)arp 命令 使用特殊的 arpstatic 命令，来完成 IP 地址与 MAC 地址之间的绑定。 例如： SwitchAarpstatic10.1.1.200e0-

17、fc22-f8d3 配置说明： 以上配置完成对 PC 机的 IP 地址和 MAC 地址的全局绑定。 3，端口+IP+MAC 使用特殊的 AMUser-bind 命令，来完成 IP、MAC 地址与端口之间的绑定。 例如： SwitchAamuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceEthernet0/1 配置说明： 可以完成将 PC1 的 IP 地址、MAC 地址与端口 E0/1 之间的绑定功能。 由于使用了端口参数，则会以端口为参照物，即此时端口 E0/1 只允许 PC1 上网，而使用其他未绑定的 IP 地址、MA

18、C 地址的 PC 机则无法上网。 但是 PC1 使用该 IP 地址和 MAC 地址可以在其他端口上网。 支持型号： S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、S6500(3 代引擎) 1，二层 ACL .组网需求: 通过二层访问控制列表，实现在每天 8:0018:00 时间段内对源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。 该主机从 GigabitEth

19、ernet0/1 接入。 .配置步骤: (1)定义时间段 #定义 8:00 至 18:00 的周期时间段。 Quidwaytime-rangehuawei8:00to18:00daily (2)定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的ACL#进入基于名字的二层访问控制列表视图，命名为 traffic-of-link。 Quidwayaclnametraffic-of-linklink #定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。 Quidway-acl-link-t

20、raffic-of-linkrule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei (3)激活 ACL。 #将 traffic-of-link 的 ACL 激活。 Quidway-GigabitEthernet0/1packet-filterlink-grouptraffic-of-link2，三层 ACL a)基本访问控制列表配置案例 .组网需求: 通过基本访问控制列表，实现在每天 8:0018:00 时间段内对源IP为10.1.1.1主机发出报文的过滤。 该主机从GigabitEthernet

21、0/1接入。 .配置步骤: (1)定义时间段 #定义 8:00 至 18:00 的周期时间段。 Quidwaytime-rangehuawei8:00to18:00daily (2)定义源 IP 为 10.1.1.1 的 ACL #进入基于名字的基本访问控制列表视图，命名为 traffic-of-host。 Quidwayaclnametraffic-of-hostbasic #定义源 IP 为 10.1.1.1 的访问规则。 Quidway-acl-basic-traffic-of-hostrule1denyipsource10.1.1.10time-rangehuawei (3)激活 AC

22、L。 #将 traffic-of-host 的 ACL 激活。 Quidway-GigabitEthernet0/1packet-filterinboundip-group traffic-of-host b)高级访问控制列表配置案例 .组网需求: 公司企业网通过 Switch 的端口实现各部门之间的互连。 研发部门的由 GigabitEthernet0/1 端口接入，工资查询服务器的地址为129.110.1.2。 要求正确配置 ACL，限制研发部门在上班时间 8:00 至18:00 访问工资服务器。 .配置步骤: (1)定义时间段 #定义 8:00 至 18:00 的周期时间段。 Quidw

23、aytime-rangehuawei8:00to18:00working-day (2)定义到工资服务器的 ACL #进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。 Quidwayaclnametraffic-of-payserveradvanced #定义研发部门到工资服务器的访问规则。 Quidway-acl-adv-traffic-of-payserverrule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei (3)激活 ACL。 #将 traffic-of-payserve

24、r 的 ACL 激活。 Quidway-GigabitEthernet0/1packet-filterinboundip-group traffic-of-payserver 3，常见病毒的 ACL 创建 acl aclnumber100 禁 ping ruledenyicmpsourceanydestinationany 用于控制 Blaster 蠕虫的传播 ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444 用于控制冲击波病毒的扫描和攻击 ruledenytcpsourceanydestinationanydestination-porteq13