华为交换机设置备忘

1、部分板卡使用combo口

执行命令combo { copper | fiber },配置以太网光口与电口切换。

如:G24C 单板有8 个电口和24 个光口,其中前8 个光口与电口复用,需要通过combo 命

令来设置

2、(可选)配置接口二层与三层切换

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令interface interface-type interface-number,进入接口视图。

步骤3 执行命令portswitch,配置接口工作在二层模式。

步骤4 执行命令undo portswitch,配置接口工作在三层模式。

缺省情况下,以太网接口处于二层模式。

当接口由三层模式切换到二层模式时,接口的三层功能和标识将被禁止,采用系统的

MAC 地址

3、检查配置结果

使用命令display interface [ interface-type [ interface-number ] ] [ | { begin | exclude |

include } regular-expression ] 查看以太网接口的描述信息、双工模式和速率。

4、配置以太网接口环回测试功能

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令interface interface-type interface-number,进入接口视图。

步骤3 执行命令loopback internal,配置以太网端口进行环回测试。

缺省情况下,以太网接口环回测试功能处于关闭状态。

5、配置接口重启最小时间间隔

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令shutdown interval interval-value,设置接口关闭和启动的最小时间间隔。

缺省情况下,接口关闭和启动的最小时间间隔为15 秒。

6、配置端口组

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令port-group port-group-name,进入端口组视图。

步骤3 执行命令group-member interface-list,添加以太网端口到指定端口组中。

7、(可选)配置接口允许通过的最大帧长

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令interface interface-type interface-number,进入以太网接口视图。

步骤3 执行命令jumbo enable [ value ],设置允许通过以太网接口的最大帧长。

缺省情况下,系统允许最大长度为9216 字节的帧通过以太网端口。

8、(可选)使能流量控制

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令interface interface-type interface-number,进入接口视图。

步骤3 执行命令flow-control,打开以太网接口的流量控制开关。

缺省情况下,以太网接口的流量控制开关处于关闭状态。

对端设备接口也需要打开流量控制开关才能实现流量控制。

9、(可选)使能流量控制自协商功能

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令interface gigabitethernet interface-number,进入GE 接口视图。

步骤3 执行命令flow-control negotiation,打开千兆以太网接口的流量控制自协商功能。

缺省情况下,以太网接口的流量控制自协商功能处于关闭状态。

对端设备接口也需要配置流量控制自协商才能实现流量控制自协商成功

10、(可选)使能端口隔离功能

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令port-isolate mode { l2 | all },配置端口隔离模式。(只隔离两个端口时可省略词条命令)

步骤3 执行命令interface interface-type interface-number,进入以太网接口视图。

步骤4 执行命令port-isolate enable ,使能端口隔离功能。

说明

端口隔离使能后,该端口会与使能端口隔离的端口之间实现两两隔离,该端口与没有使能端口隔

离的端口可以互通。

11、(可选)配置以太网子接口IP 地址

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令interface interface-type interface-number.subinterface-number,创建并进入以太

网子接口视图。

步骤3 执行命令ip address ip-address ip-mask [ sub ],配置以太网子接口的IP 地址。

目前只有E 系列单板支持子接口配置。

12、检查配置结果

l 使用命令display port-group [ all | port-group-name ] 查看配置的端口组。

l 使用命令display interface [ interface-type [ interface-number ] ] [ | { begin | exclude |

include } regular-expression ] 查看接口的自协商功能。

13、创建单个VLAN

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。

步骤3 (可选)执行命令description description,配置VLAN 的描述信息。

配置VLAN 的描述信息主要是为了方便管理和记忆VLAN。缺省情况下,VLAN 的描

述中体现了VLAN 的编号,例如VLAN15 的描述信息为:“VLAN 0015”。

14、创建多个VLAN

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令vlan batch { vlan-id1 [ to vlan-id2 ] }&<1-10>,批量创建VLAN

15、配置VLAN 流量统计功能

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令vlan vlan-id,进入VLAN 视图。

步骤3 执行命令statistic enable,使能VLAN 上的流量统计功能。

缺省情况下,VLAN 的流量统计功能处于关闭状态。

16、检查VLAN配置结果

执行命令display vlan,可以查看到已经创建的VLAN。

<Quidway> display vlan

The total number of vlans is : 5

VLAN ID Type Status MAC Learning Broadcast/Multicast/Unicast Property

--------------------------------------------------------------------------------

1 common enable enable forward forward forward default

10 common enable enable forward forward forward default

20 common enable enable forward forward forward default

30 common enable enable forward forward forward default

100 common enable enable forward forward forward default

执行命令display vlan vlan-id verbose,可以查看到VLAN 的描述信息是否配置正确。

<Quidway> display vlan 10 verbose

VLAN ID : 10

VLAN Type : Common

Description : VLAN 0010

Status : Enable

Broadcast : Enable

MAC learning : Enable

Statistics : Disable

Property : default

Physical status: Down

----------------

Untagged Port: GigabitEthernet1/0/3

----------------

Tagged Port: GigabitEthernet1/0/1 GigabitEthernet1/0/2

----------------

Interface Physical

GigabitEthernet1/0/1 DOWN

GigabitEthernet1/0/2 DOWN

GigabitEthernet1/0/3 DOWN

执行命令display vlan vlan-id statistics,可以查看到VLAN 的流量统计信息。

<Quidway> display vlan 20 statistics

Board: 3

VLAN: 20

--------------------------------------------------------------------------

Item Packets Bytes

--------------------------------------------------------------------------

Inbound 0 0

Outbound 0 0

17、Trunk(Vlan透传)

port link-type trunk

port trunk allow-pass vlan all

eth-Trunk(以太网聚合)

#

interface Eth-Trunk1

port link-type trunk

port trunk allow-pass vlan 100 to 200

#

interface GigabitEthernet0/0/3

eth-trunk 1

#

interface GigabitEthernet0/0/4

eth-trunk 1

S2300/3300/5300系列交换机如何防止用户私设静态IP地址

防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过,其它用户数据不能通过。

S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:

配置设备的DHCP Snooping功能

# 使能全局DHCP Snooping功能。

[Quidway] dhcp snooping enable# 配置用户侧接口所属的VLAN。

[Quidway] vlan 100

[Quidway-vlan100] quit

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan 100

[Quidway-Ethernet0/0/1] quit# 使能VLAN下的DHCP Snooping功能。

[Quidway] vlan 100

[Quidway-vlan100] dhcp snooping enable配置在用户侧接口进行报文检查

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] dhcp snooping check arp enable

[Quidway-Ethernet0/0/1] dhcp snooping check ip enable

[Quidway-Ethernet0/0/1] quit配置静态绑定表项

[Quidway] vlan 100

[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1

实现IP+端口绑定 (2012-02-16 16:25:09)

Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。

例如,配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过,丢弃其他IP报文。

# 全局使能dhcp snoopying

[Quidway] dhcp snooping enable# 定义高级ACL,匹配IP地址192.168.130.50

[Quidway] acl 3000

[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0

[Quidway-acl-adv-3000] rule 10 deny ip source any

[Quidway-acl-adv-3000] rule 15 deny ip destination any# 创建流分类,匹配ACL

[Quidway] traffic classifier c1

[Quidwayclassifier-c1] if-match acl 3000# 创建流行为和流策略

[Quidway] traffic behavior b1

[Quidway-behavior-b1] permit

[Quidway] traffic policy p1

[Quidway-trafficpolicy-p1] classifier c1 behavior b1# 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.130.50的报文通过

在V100R002C00的版本配置如下:

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan 4094

[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1 inbound在V100R003C00及以后的版本配置如下:

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan 4094

[Quidway-Ethernet0/0/8] ip source check user-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1 inbound

如何通过配置来实现IP+MAC+端口绑定功能

S-swich通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。

配置思想是先在VLAN下配置的静态绑定表,静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。

使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。

例如配置IP地址10.1.1.1,MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。

在V100R002的版本配置如下:

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] interface Ethernet 0/0/1

[HUAWEI-Ethernet0/0/1] port default vlan 100

[HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable

[HUAWEI-Ethernet0/0/1] quit

[HUAWEI] vlan 100

[HUAWEI-vlan100] dhcp snooping enable

[HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

在V100R003及以后的版本配置如下:

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] interface Ethernet 0/0/1

[HUAWEI-Ethernet0/0/1] port default vlan 100

[HUAWEI-Ethernet0/0/1] ip source check user-bind enable

[HUAWEI-Ethernet0/0/1] quit

[HUAWEI] vlan 100

[HUAWEI-vlan100] dhcp snooping enable

[HUAWEI-vlan100] quit

[HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

如何通过配置来实现MAC+端口绑定功能

Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定,即实现某个端口只绑定某个特定mac地址(某个端口只允许在绑定表内的和某特定mac地址的报文通过),不绑定ip。

例如,配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过,其他报文都丢弃。

# 全局使能dhcp snooping

[Quidway] dhcp snooping enable# 创建ACL,只允许MAC地址为0-02-02的报文

[Quidway] acl 4000

[Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff

[Quidway-acl-L2-4000] rule deny# 创建流分类,匹配ACL 4000

[Quidway] traffic classifier c1

[Quidwayclassifier-c1] if-match acl 4000# 创建流行为和流策略

[Quidway] traffic behavior b1

[Quidway-behavior-b1] permit

[Quidway] traffic policy p1

[Quidway-trafficpolicy-p1] classifier c1 behavior b1# 端口下应用流策略,使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。

在V001C00R002的版本配置如下:

[Quidway] interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan 4094

[Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable

[Quidway-Ethernet0/0/1] traffic-policy p1 inbound在V001C00R003及以后的版本配置如下:

[Quidway] interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan 4094

[Quidway-Ethernet0/0/1] ip source check user-bind enable

[Quidway-Ethernet0/0/1] traffic-policy p1 inbound

如何通过配置实现IP+端口绑定

Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。

例如,配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过,丢弃其他IP报文。

# 全局使能dhcp snoopying

[Quidway] dhcp snooping enable# 定义高级ACL,匹配IP地址192.168.130.50

[Quidway] acl 3000

[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0

[Quidway-acl-adv-3000] rule 10 deny ip source any

[Quidway-acl-adv-3000] rule 15 deny ip destination any# 创建流分类,匹配ACL

[Quidway] traffic classifier c1

[Quidwayclassifier-c1] if-match acl 3000# 创建流行为和流策略

[Quidway] traffic behavior b1

[Quidway-behavior-b1] permit

[Quidway] traffic policy p1

[Quidway-trafficpolicy-p1] classifier c1 behavior b1# 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.130.50的报文通过

在V100R002C00的版本配置如下:

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan 4094

[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1 inbound在V100R003C00及以后的版本配置如下:

[Quidway] interface Ethernet 0/0/8

[Quidway-Ethernet0/0/8] port default vlan 4094

[Quidway-Ethernet0/0/8] ip source check user-bind enable

[Quidway-Ethernet0/0/8] traffic-policy p1 inbound

S2300/3300/5300系列交换机如何防止用户私设静态IP地址

防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过,其它用户数据不能通过。

S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:

配置设备的DHCP Snooping功能

# 使能全局DHCP Snooping功能。

[Quidway] dhcp snooping enable# 配置用户侧接口所属的VLAN。

[Quidway] vlan 100

[Quidway-vlan100] quit

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port default vlan 100

[Quidway-Ethernet0/0/1] quit# 使能VLAN下的DHCP Snooping功能。

[Quidway] vlan 100

[Quidway-vlan100] dhcp snooping enable配置在用户侧接口进行报文检查

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] dhcp snooping check arp enable

[Quidway-Ethernet0/0/1] dhcp snooping check ip enable

[Quidway-Ethernet0/0/1] quit配置静态绑定表项

[Quidway] vlan 100

[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1

时间: 2024-10-05 15:13:58

华为交换机设置备忘的相关文章

mysql主从数据库设置备忘

[mysqld] binlog-do-db = databasename1 binlog-do-db = databasename2 binlog-do-db = databasename3 -- 且不可写成binlog-do-db = databasename1,databasename2,databasename3 mysql会把databasename1,databasename2,databasename3,而且在show slave status\G;显示时不会报错,排错很麻烦的.

vscode-vue开发自动格式化设置备忘

插件 需要安装Vetur+Eslint插件,然后注意eslint的提醒,如果缺少全局插件,需要npm安装: 首选项设置 { "eslint.autoFixOnSave": true, "eslint.validate": [ "javascript", "javascriptreact", { "language": "html", "autoFix": true }

Proxmox VE 设置备忘

1 删除 lvmthin    感觉用文件形式硬盘更方便些 一般网上下载的虚拟机硬盘文件可以直接拿来用 1.1 进入控制台  数据中心->存储->local-lvm-> 删除 1.2 mkfs.ext4 /dev/pve/data mount -t ext4 /dev/pve/data /ssd 测试一下挂载 不加 -t ext4 有时会出现 "Couldn't mount as ext3 due to feature incompatibilities"错误 修改f

python虚拟环境相关设置备忘

sudo  pip install virtualenv #安装虚拟环境 sudo pip install virtualenvwrapper #安装虚拟环境管理工具nano ~/.bashrc #修改启动脚本,增加下面两行命令export WORKON_HOME='~/.virtualenvs'source /usr/local/bin/virtualenvwrapper.sh mkvirtualenv 名称 #新建虚拟环境 rmvirtualenv 名称 #删除虚拟环境 virtualenv

Mac常用设置备忘

1.显示隐藏文件 1>命令行方式 显示:defaults write com.apple.finder AppleShowAllFiles -bool true 隐藏:defaults write com.apple.finder AppleShowAllFiles -bool false 然后左上角强制重启Finder 2>快捷键方式 Command + Shift + . 三个组合键在finder中来完成开启和关闭 原文地址:https://www.cnblogs.com/hsuchan/

华为交换机命令

华为交换机基本配置命令 一.单交换机VLAN划分 命令 命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1 to e1/0/5 把端口1-5放入VLAN 20 中 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 port

华为交换机基本配置命令

  华为交换机基本配置命令 一.单交换机VLAN划分 命令 命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1 to e1/0/5 把端口1-5放入VLAN 20 中 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 por

zabbix 3.4监控华为交换机

说明: zabbix 3.0直接升级到了3.4 数据字典不一致,需要先升到3.2,然后在升级到3.4 , zabbix 3.0与3.4有一点细微的不一样,倍数以及每秒更新然后在进程中定义, 具体直接看步骤吧 1.环境说明 系统: centos 6.8 zabbix: 3.4.13 交换机: 华为s5200 2.snmp配置 telnet到华为交换机 snmp-agent # 开启snmp snmp-agent local-engineid 000007DB7F00000111114AE1 # 这

华为交换机Hybrid接口及基础配置

一.回顾VLAN VLAN基本概念 VLAN即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域(多个VLAN)的通信技术.VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内.由于VLAN之间的隔离,所以一些类似蠕虫病毒等的攻~击被限制在一个VLAN中,提高了安全性,同时也方便管理人员对网络进行管理. VLAN隔离广播的方式 物理隔离:通过三层设备实现路由器逻辑隔离:交换机通过VLAN划分广播域,将接口加入指定VLAN进行隔离 为什么要使用VLAN