華為交換機設置備忘 -電腦資料

    1、部分板卡使用combo口

    執行命令combo { copper | fiber }，配置以太網光口與電口切換，

華為交換機設置備忘

    如：G24C 單板有8 個電口和24 個光口，其中前8 個光口與電口復用，需要通過combo 命

    令來設置

    2、（可選）配置接口二層與三層切換

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令interface interface-type interface-number，進入接口視圖。

    步驟3 執行命令portswitch，配置接口工作在二層模式。

    步驟4 執行命令undo portswitch，配置接口工作在三層模式。

    缺省情況下，以太網接口處于二層模式。

    當接口由三層模式切換到二層模式時，接口的三層功能和標識將被禁止，采用系統的

    MAC 地址

    3、檢查配置結果

    使用命令display interface [ interface-type [ interface-number ] ] [ | { begin | exclude |

    include } regular-expression ] 查看以太網接口的描述信息、雙工模式和速率。

    4、配置以太網接口環回測試功能

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令interface interface-type interface-number，進入接口視圖。

    步驟3 執行命令loopback internal，配置以太網端口進行環回測試。

    缺省情況下，以太網接口環回測試功能處于關閉狀態。

    5、配置接口重啟最小時間間隔

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令shutdown interval interval-value,設置接口關閉和啟動的最小時間間隔。

    缺省情況下，接口關閉和啟動的最小時間間隔為15 秒。

    6、配置端口組

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令port-group port-group-name，進入端口組視圖。

    步驟3 執行命令group-member interface-list，添加以太網端口到指定端口組中。

    7、（可選）配置接口允許通過的最大幀長

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令interface interface-type interface-number，進入以太網接口視圖。

    步驟3 執行命令jumbo enable [ value ]，設置允許通過以太網接口的最大幀長。

    缺省情況下，系統允許最大長度為9216 字節的幀通過以太網端口。

    8、（可選）使能流量控制

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令interface interface-type interface-number，進入接口視圖。

    步驟3 執行命令flow-control，打開以太網接口的流量控制開關。

    缺省情況下，以太網接口的流量控制開關處于關閉狀態。

    對端設備接口也需要打開流量控制開關才能實現流量控制。

    9、（可選）使能流量控制自協商功能

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令interface gigabitethernet interface-number，進入GE 接口視圖。

    步驟3 執行命令flow-control negotiation，打開千兆以太網接口的流量控制自協商功能。

    缺省情況下，以太網接口的流量控制自協商功能處于關閉狀態。

    對端設備接口也需要配置流量控制自協商才能實現流量控制自協商成功

    10、（可選）使能端口隔離功能

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令port-isolate mode { l2 | all }，配置端口隔離模式。（只隔離兩個端口時可省略詞條命令）

    步驟3 執行命令interface interface-type interface-number，進入以太網接口視圖。

    步驟4 執行命令port-isolate enable ，使能端口隔離功能。

    說明

    端口隔離使能后，該端口會與使能端口隔離的端口之間實現兩兩隔離，該端口與沒有使能端口隔

    離的端口可以互通。

    11、（可選）配置以太網子接口IP 地址

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令interface interface-type interface-number.subinterface-number，創建并進入以太

    網子接口視圖。

    步驟3 執行命令ip address ip-address ip-mask [ sub ]，配置以太網子接口的IP 地址。

    目前只有E 系列單板支持子接口配置。

    12、檢查配置結果

    l 使用命令display port-group [ all | port-group-name ] 查看配置的端口組。

    l 使用命令display interface [ interface-type [ interface-number ] ] [ | { begin | exclude |

    include } regular-expression ] 查看接口的自協商功能。

    13、創建單個VLAN

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令vlan vlan-id，創建VLAN 并進入VLAN 視圖。

    步驟3 （可選）執行命令description description，配置VLAN 的描述信息。

    配置VLAN 的描述信息主要是為了方便管理和記憶VLAN。缺省情況下，VLAN 的描

    述中體現了VLAN 的編號，例如VLAN15 的描述信息為：“VLAN 0015”。

    14、創建多個VLAN

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令vlan batch { vlan-id1 [ to vlan-id2 ] }&<1-10>，批量創建VLAN

    15、配置VLAN 流量統計功能

    步驟1 執行命令system-view，進入系統視圖。

    步驟2 執行命令vlan vlan-id，進入VLAN 視圖。

    步驟3 執行命令statistic enable，使能VLAN 上的流量統計功能。

    缺省情況下，VLAN 的流量統計功能處于關閉狀態。

    16、檢查VLAN配置結果

    執行命令display vlan，可以查看到已經創建的VLAN。

    display vlan

    The total number of vlans is : 5

    VLAN ID Type Status MAC Learning Broadcast/Multicast/Unicast Property

    --------------------------------------------------------------------------------

    1 common enable enable forward forward forward default

    10 common enable enable forward forward forward default

    20 common enable enable forward forward forward default

    30 common enable enable forward forward forward default

    100 common enable enable forward forward forward default

    執行命令display vlan vlan-id verbose，可以查看到VLAN 的描述信息是否配置正確。

    display vlan 10 verbose

    VLAN ID : 10

    VLAN Type : Common

    Description : VLAN 0010

    Status : Enable

    Broadcast : Enable

    MAC learning : Enable

    Statistics : Disable

    Property : default

    Physical status: Down

    ----------------

    Untagged Port: GigabitEthernet1/0/3

    ----------------

    Tagged Port: GigabitEthernet1/0/1 GigabitEthernet1/0/2

    ----------------

    Interface Physical

    GigabitEthernet1/0/1 DOWN

    GigabitEthernet1/0/2 DOWN

    GigabitEthernet1/0/3 DOWN

    執行命令display vlan vlan-id statistics，可以查看到VLAN 的流量統計信息。

    display vlan 20 statistics

    Board: 3

    VLAN: 20

    --------------------------------------------------------------------------

    Item Packets Bytes

    --------------------------------------------------------------------------

    Inbound 0 0

    Outbound 0 0

    17、Trunk（Vlan透傳）

    port link-type trunk

    port trunk allow-pass vlan all

    eth-Trunk（以太網聚合）

    #

    interface Eth-Trunk1

    port link-type trunk

    port trunk allow-pass vlan 100 to 200

    #

    interface GigabitEthernet0/0/3

    eth-trunk 1

    #

    interface GigabitEthernet0/0/4

    eth-trunk 1

    S2300/3300/5300系列交換機如何防止用戶私設靜態IP地址

    防止用戶私設靜態IP地址，可以達到同一接口下只有與綁定的IP+MAC相同的用戶數據或者是合法的DHCP自動獲取IP地址的用戶數據才能通過，其它用戶數據不能通過。

    S2300/3300/5300系列交換機雖然沒有H3C交換機的am user-bind命令，但是通過DHCP Snooping功能也可以實現IP+MAC+端口綁定以防止用戶私設靜態IP地址。例如，若要求端口Ethernet0/0/1下除了靜態IP地址為1.1.1.2、MAC地址為001c-2309-9aa7對應的用戶外，其它所有靜態IP用戶都不能上網。配置如下：

    配置設備的DHCP Snooping功能

    # 使能全局DHCP Snooping功能。

    [Quidway] dhcp snooping enable# 配置用戶側接口所屬的VLAN。

    [Quidway] vlan 100

    [Quidway-vlan100] quit

    [Quidway] interface ethernet 0/0/1

    [Quidway-Ethernet0/0/1] port default vlan 100

    [Quidway-Ethernet0/0/1] quit# 使能VLAN下的DHCP Snooping功能。

    [Quidway] vlan 100

    [Quidway-vlan100] dhcp snooping enable配置在用戶側接口進行報文檢查

    [Quidway] interface ethernet 0/0/1

    [Quidway-Ethernet0/0/1] dhcp snooping check arp enable

    [Quidway-Ethernet0/0/1] dhcp snooping check ip enable

    [Quidway-Ethernet0/0/1] quit配置靜態綁定表項

    [Quidway] vlan 100

    [Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1

    實現IP+端口綁定 (2012-02-16 16:25:09)

    標簽： it

    Switch可以通過流策略與DHCP Snooping兩個功能相互結合來實現IP和端口綁定，即實現某個端口只綁定某個特定源ip地址（只允許在綁定表內的和某個特定源ip地址的報文通過），不綁定mac，

電腦資料

    例如，配置端口Ethernet0/0/8只允許綁定表內的和源IP地址為192.168.130.50的報文通過，丟棄其他IP報文。

    # 全局使能dhcp snoopying

    [Quidway] dhcp snooping enable# 定義高級ACL，匹配IP地址192.168.130.50

    [Quidway] acl 3000

    [Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0

    [Quidway-acl-adv-3000] rule 10 deny ip source any

    [Quidway-acl-adv-3000] rule 15 deny ip destination any# 創建流分類，匹配ACL

    [Quidway] traffic classifier c1

    [Quidwayclassifier-c1] if-match acl 3000# 創建流行為和流策略

    [Quidway] traffic behavior. b1

    [Quidway-behavior-b1] permit

    [Quidway] traffic policy p1

    [Quidway-trafficpolicy-p1] classifier c1 behavior. b1# 端口下應用流策略，只允許綁定表內的和源IP地址為192.168.130.50的報文通過

    在V100R002C00的版本配置如下：

    [Quidway] interface Ethernet 0/0/8

    [Quidway-Ethernet0/0/8] port default vlan 4094

    [Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable

    [Quidway-Ethernet0/0/8] traffic-policy p1 inbound在V100R003C00及以后的版本配置如下：

    [Quidway] interface Ethernet 0/0/8

    [Quidway-Ethernet0/0/8] port default vlan 4094

    [Quidway-Ethernet0/0/8] ip source check user-bind enable

    [Quidway-Ethernet0/0/8] traffic-policy p1 inbound

    如何通過配置來實現IP+MAC+端口綁定功能

    S-swich通過DHCP Snooping的靜態綁定表來實現IP+MAC+端口綁定功能。

    配置思想是先在VLAN下配置的靜態綁定表，靜態綁定表的IP和MAC為PC的IP和MAC。然后在與PC相連的S-swich接口上配置IP和ARP報文檢查功能。

    使用的方法是采用DHCP方式為用戶分配IP，然后限定這些用戶只能使用動態IP的方式，如果改成靜態IP的方式則不能連接上網絡；也就是使用了DHCP SNOOPING功能。

    例如配置IP地址10.1.1.1，MAC地址0002-0002-0002和接口Ethernet0/0/1綁定。

    在V100R002的版本配置如下：

    [HUAWEI] dhcp enable

    [HUAWEI] dhcp snooping enable

    [HUAWEI] vlan 100

    [HUAWEI-vlan100] quit

    [HUAWEI] interface Ethernet 0/0/1

    [HUAWEI-Ethernet0/0/1] port default vlan 100

    [HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable

    [HUAWEI-Ethernet0/0/1] quit

    [HUAWEI] vlan 100

    [HUAWEI-vlan100] dhcp snooping enable

    [HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

    在V100R003及以后的版本配置如下：

    [HUAWEI] dhcp enable

    [HUAWEI] dhcp snooping enable

    [HUAWEI] vlan 100

    [HUAWEI-vlan100] quit

    [HUAWEI] interface Ethernet 0/0/1

    [HUAWEI-Ethernet0/0/1] port default vlan 100

    [HUAWEI-Ethernet0/0/1] ip source check user-bind enable

    [HUAWEI-Ethernet0/0/1] quit

    [HUAWEI] vlan 100

    [HUAWEI-vlan100] dhcp snooping enable

    [HUAWEI-vlan100] quit

    [HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

    如何通過配置來實現MAC+端口綁定功能

    Switch通過流策略與DHCP Snooping兩個功能相互結合來實現MAC和端口綁定，即實現某個端口只綁定某個特定mac地址（某個端口只允許在綁定表內的和某特定mac地址的報文通過），不綁定ip。

    例如，配置端口Ethernet0/0/1只允許綁定表內的和源mac地址為0-02-02的報文通過，其他報文都丟棄。

    # 全局使能dhcp snooping

    [Quidway] dhcp snooping enable# 創建ACL，只允許MAC地址為0-02-02的報文

    [Quidway] acl 4000

    [Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff

    [Quidway-acl-L2-4000] rule deny# 創建流分類，匹配ACL 4000

    [Quidway] traffic classifier c1

    [Quidwayclassifier-c1] if-match acl 4000# 創建流行為和流策略

    [Quidway] traffic behavior. b1

    [Quidway-behavior-b1] permit

    [Quidway] traffic policy p1

    [Quidway-trafficpolicy-p1] classifier c1 behavior. b1# 端口下應用流策略，使該端口只允許綁定表內的和源mac地址為0-02-02的報文通過。

    在V001C00R002的版本配置如下：

    [Quidway] interface Ethernet 0/0/1

    [Quidway-Ethernet0/0/1] port default vlan 4094

    [Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable

    [Quidway-Ethernet0/0/1] traffic-policy p1 inbound在V001C00R003及以后的版本配置如下：

    [Quidway] interface Ethernet 0/0/1

    [Quidway-Ethernet0/0/1] port default vlan 4094

    [Quidway-Ethernet0/0/1] ip source check user-bind enable

    [Quidway-Ethernet0/0/1] traffic-policy p1 inbound

    如何通過配置實現IP+端口綁定

    Switch可以通過流策略與DHCP Snooping兩個功能相互結合來實現IP和端口綁定，即實現某個端口只綁定某個特定源ip地址（只允許在綁定表內的和某個特定源ip地址的報文通過），不綁定mac。

    例如，配置端口Ethernet0/0/8只允許綁定表內的和源IP地址為192.168.130.50的報文通過，丟棄其他IP報文。

    # 全局使能dhcp snoopying

    [Quidway] dhcp snooping enable# 定義高級ACL，匹配IP地址192.168.130.50

    [Quidway] acl 3000

    [Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0

    [Quidway-acl-adv-3000] rule 10 deny ip source any

    [Quidway-acl-adv-3000] rule 15 deny ip destination any# 創建流分類，匹配ACL

    [Quidway] traffic classifier c1

    [Quidwayclassifier-c1] if-match acl 3000# 創建流行為和流策略

    [Quidway] traffic behavior. b1

    [Quidway-behavior-b1] permit

    [Quidway] traffic policy p1

    [Quidway-trafficpolicy-p1] classifier c1 behavior. b1# 端口下應用流策略，只允許綁定表內的和源IP地址為192.168.130.50的報文通過

    在V100R002C00的版本配置如下：

    [Quidway] interface Ethernet 0/0/8

    [Quidway-Ethernet0/0/8] port default vlan 4094

    [Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable

    [Quidway-Ethernet0/0/8] traffic-policy p1 inbound在V100R003C00及以后的版本配置如下：

    [Quidway] interface Ethernet 0/0/8

    [Quidway-Ethernet0/0/8] port default vlan 4094

    [Quidway-Ethernet0/0/8] ip source check user-bind enable

    [Quidway-Ethernet0/0/8] traffic-policy p1 inbound

    S2300/3300/5300系列交換機如何防止用戶私設靜態IP地址

    防止用戶私設靜態IP地址，可以達到同一接口下只有與綁定的IP+MAC相同的用戶數據或者是合法的DHCP自動獲取IP地址的用戶數據才能通過，其它用戶數據不能通過。

    S2300/3300/5300系列交換機雖然沒有H3C交換機的am user-bind命令，但是通過DHCP Snooping功能也可以實現IP+MAC+端口綁定以防止用戶私設靜態IP地址。例如，若要求端口Ethernet0/0/1下除了靜態IP地址為1.1.1.2、MAC地址為001c-2309-9aa7對應的用戶外，其它所有靜態IP用戶都不能上網。配置如下：

    配置設備的DHCP Snooping功能

    # 使能全局DHCP Snooping功能。

    [Quidway] dhcp snooping enable# 配置用戶側接口所屬的VLAN。

    [Quidway] vlan 100

    [Quidway-vlan100] quit

    [Quidway] interface ethernet 0/0/1

    [Quidway-Ethernet0/0/1] port default vlan 100

    [Quidway-Ethernet0/0/1] quit# 使能VLAN下的DHCP Snooping功能。

    [Quidway] vlan 100

    [Quidway-vlan100] dhcp snooping enable配置在用戶側接口進行報文檢查

    [Quidway] interface ethernet 0/0/1

    [Quidway-Ethernet0/0/1] dhcp snooping check arp enable

    [Quidway-Ethernet0/0/1] dhcp snooping check ip enable

    [Quidway-Ethernet0/0/1] quit配置靜態綁定表項

    [Quidway] vlan 100

    [Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1