国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP

首頁

好書

留言交流

下載APP

聯(lián)系客服
華為交換機各種配置實例(1)
交換機配置(一)端口限速基本配置
華為3Com 2000_EI、S2000-SI、S3000-SIS3026E、S3526ES3528、S3552、S3900、S3050S5012、S5024、S5600系列:
華為交換機端口限速
2000_EI系列以上的交換機都可以限速!
限速不同的交換機限速的方式不一樣!
2000_EI直接在端口視圖下面輸入LINE-RATE (4 )參數(shù)可選!
端口限速配置
1功能需求及組網(wǎng)說明
端口限速配置
『配置環(huán)境參數(shù)』
1. PC1PC2IP地址分別為10.10.1.1/24、10.10.1.2/24
『組網(wǎng)需求』
1. SwitchA上配置端口限速,將PC1的下載速率限制在3Mbps,同時將PC1的上傳速率限制在1Mbps
2數(shù)據(jù)配置步驟
S2000EI系列交換機端口限速配置流程』
使用以太網(wǎng)物理端口下面的line-rate命令,來對該端口的出、入報文進行流量限速。
SwitchA相關(guān)配置】
1. 進入端口E0/1的配置視圖
[SwitchA]interface Ethernet 0/1
2. 對端口E0/1的出方向報文進行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate outbound 30
3. 對端口E0/1的入方向報文進行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16
【補充說明】
報文速率限制級別取值為1127。如果速率限制級別取值在128范圍內(nèi),則速率限制的粒度為64Kbps,這種情況下,當(dāng)設(shè)置的級別為N,則端口上限制的速率大小為N*64K;如果速率限制級別取值在29127范圍內(nèi),則速率限制的粒度為1Mbps,這種情況下,當(dāng)設(shè)置的級別為N,則端口上限制的速率大小為(N-27)*1Mbps
此系列交換機的具體型號包括:S2008-EI、S2016-EIS2403H-EI。
S2000-SIS3000-SI系列交換機端口限速配置流程』
使用以太網(wǎng)物理端口下面的line-rate命令,來對該端口的出、入報文進行流量限速。
SwitchA相關(guān)配置】
1. 進入端口E0/1的配置視圖
[SwitchA]interface Ethernet 0/1
2. 對端口E0/1的出方向報文進行流量限速,限制到6Mbps
[SwitchA- Ethernet0/1]line-rate outbound 2
3. 對端口E0/1的入方向報文進行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate inbound 1
【補充說明】
對端口發(fā)送或接收報文限制的總速率,這里以8個級別來表示,取值范圍為18,含義為:端口工作在10M速率時,18分別表示312K,625K938K,1.25M2M,4M,6M8M;端口工作在100M速率時,18分別表示3.12M,6.25M9.38M,12.5M,20M40M,60M80M。
此系列交換機的具體型號包括:S2026C/Z-SI、S3026C/G/S-SIE026-SI。
S3026E、S3526ES3050、S5012S5024系列交換機端口限速配置流程』
使用以太網(wǎng)物理端口下面的line-rate命令,對該端口的出方向報文進行流量限速;結(jié)合acl,使用以太網(wǎng)物理端口下面的traffic-limit命令,對端口的入方向報文進行流量限速。
SwitchA相關(guān)配置】
1. 進入端口E0/1的配置視圖
[SwitchA]interface Ethernet 0/1
2. 對端口E0/1的出方向報文進行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate 3
3. 配置acl,定義符合速率限制的數(shù)據(jù)流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4. 對端口E0/1的入方向報文進行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1 exceed drop
【補充說明】
line-rate命令直接對端口的所有出方向數(shù)據(jù)報文進行流量限制,而traffic-limit命令必須結(jié)合acl使用,對匹配了指定訪問控制列表規(guī)則的數(shù)據(jù)報文進行流量限制。在配置acl的時候,也可以通過配置三層訪問規(guī)則,來對指定的源或目的網(wǎng)段報文,進行端口的入方向數(shù)據(jù)報文進行流量限制。
端口出入方向限速的粒度為1Mbps。
此系列交換機的具體型號包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/TS5024G。
S3528、S3552系列交換機端口限速配置流程』
使用以太網(wǎng)物理端口下面的traffic-shapetraffic-limit命令,分別來對該端口的出、入報文進行流量限速。
SwitchA相關(guān)配置】
1. 進入端口E0/1的配置視圖
[SwitchA]interface Ethernet 0/1
2. 對端口E0/1的出方向報文進行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]traffic-shape 3250 3250
3. 配置acl,定義符合速率限制的數(shù)據(jù)流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4. 對端口E0/1的入方向報文進行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop
【補充說明】
此系列交換機的具體型號包括:S3528G/PS3552G/P/F。
S3900系列交換機端口限速配置流程』
使用以太網(wǎng)物理端口下面的line-rate命令,對該端口的出方向報文進行流量限速;結(jié)合acl,使用以太網(wǎng)物理端口下面的traffic-limit命令,對匹配指定訪問控制列表規(guī)則的端口入方向數(shù)據(jù)報文進行流量限制。
SwitchA相關(guān)配置】
1. 進入端口E1/0/1的配置視圖
[SwitchA]interface Ethernet 1/0/1
2. 對端口E0/1的出方向報文進行流量限速,限制到3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3. 配置acl,定義符合速率限制的數(shù)據(jù)流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4. 對端口E0/1的入方向報文進行流量限速,限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop
【補充說明】
line-rate命令直接對端口的所有出方向數(shù)據(jù)報文進行流量限制,而traffic-limit命令必須結(jié)合acl使用,對匹配了指定訪問控制列表規(guī)則的數(shù)據(jù)報文進行流量限制。在配置acl的時候,也可以通過配置三層訪問規(guī)則,來對指定的源或目的網(wǎng)段報文,進行端口的入方向數(shù)據(jù)報文進行流量限制。
端口出入方向限速的粒度為64Kbps。
此系列交換機的具體型號包括:S3924、S3928P/F/TPS3952P。
S5600系列交換機端口限速配置流程』
使用以太網(wǎng)物理端口下面的line-rate命令,對該端口的出方向報文進行流量限速;結(jié)合acl,使用以太網(wǎng)物理端口下面的traffic-limit命令,對匹配指定訪問控制列表規(guī)則的端口入方向數(shù)據(jù)報文進行流量限制。
SwitchA相關(guān)配置】
1. 進入端口E1/0/1的配置視圖
[SwitchA]interface Ethernet 1/0/1
2. 對端口E0/1的出方向報文進行流量限速,限制到3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3. 配置acl,定義符合速率限制的數(shù)據(jù)流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4. 對端口E0/1的入方向報文進行流量限速,限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop
【補充說明】
line-rate命令直接對端口的所有出方向數(shù)據(jù)報文進行流量限制,而traffic-limit命令必須結(jié)合acl使用,對匹配了指定訪問控制列表規(guī)則的數(shù)據(jù)報文進行流量限制。在配置acl的時候,也可以通過配置三層訪問規(guī)則,來對指定的源或目的網(wǎng)段報文,進行端口的入方向數(shù)據(jù)報文進行流量限制。
端口出入方向限速的粒度為64Kbps。
此系列交換機的具體型號包括:S5624P/FS5648P。
交換機配置(二)端口綁定基本配置
1,端口+MAC
a)AM命令
使用特殊的AM User-bind命令,來完成MAC地址與端口之間的綁定。例如:
[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置說明:由于使用了端口參數(shù),則會以端口為參照物,即此時端口E0/1只允許PC1上網(wǎng),而使用其他未綁定的MAC地址的PC機則無法上網(wǎng)。但是PC1使用該MAC地址可以在其他端口上網(wǎng)。
b)mac-address命令
使用mac-address static命令,來完成MAC地址與端口之間的綁定。例如:
[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1
[SwitchA]mac-address max-mac-count 0
 
配置說明:由于使用了端口學(xué)習(xí)功能,故靜態(tài)綁定mac后,需再設(shè)置該端口mac學(xué)習(xí)數(shù)為0,使其他PC接入此端口后其mac地址無法被學(xué)習(xí)。
2,IP+MAC
a)AM命令
使用特殊的AM User-bind命令,來完成IP地址與MAC地址之間的綁定。例如:
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3
配置說明:以上配置完成對PC機的IP地址和MAC地址的全局綁定,即與綁定的IP地址或者MAC地址不同的PC機,在任何端口都無法上網(wǎng)。
支持型號:S3026E/EF/C/G/T、S3026C-PWRE026/E026T、S3050C、E050、S3526E/C/EFS5012T/G、S5024G
b)arp命令
使用特殊的arp static命令,來完成IP地址與MAC地址之間的綁定。例如:
[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3
配置說明:以上配置完成對PC機的IP地址和MAC地址的全局綁定。
3,端口+IP+MAC
使用特殊的AM User-bind命令,來完成IPMAC地址與端口之間的綁定。例如:
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置說明:可以完成將PC1IP地址、MAC地址與端口E0/1之間的綁定功能。由于使用了端口參數(shù),則會以端口為參照物,即此時端口E0/1只允許PC1上網(wǎng),而使用其他未綁定的IP地址、MAC地址的PC機則無法上網(wǎng)。但是PC1使用該IP地址和MAC地址可以在其他端口上網(wǎng)。
支持型號:S3026E/S3026E-FM/S3026-FS;S3026G;S3026CS3026C-PWR;E3026;E050;S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600S6500(3代引擎)
交換機配置(三)ACL基本配置
1,二層ACL
. 組網(wǎng)需求:
通過二層訪問控制列表,實現(xiàn)在每天8:0018:00時間段內(nèi)對源MAC00e0-fc01-0101目的MAC00e0-fc01-0303報文的過濾。該主機從GigabitEthernet0/1接入。
.配置步驟:
(1)定義時間段
# 定義8:0018:00的周期時間段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定義源MAC00e0-fc01-0101目的MAC00e0-fc01-0303ACL
# 進入基于名字的二層訪問控制列表視圖,命名為traffic-of-link。
[Quidway] acl name traffic-of-link link
# 定義源MAC00e0-fc01-0101目的MAC00e0-fc01-0303的流分類規(guī)則。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei
(3)激活ACL。
# traffic-of-linkACL激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link
2,三層ACL
a)基本訪問控制列表配置案例
. 組網(wǎng)需求:
通過基本訪問控制列表,實現(xiàn)在每天8:0018:00時間段內(nèi)對源IP10.1.1.1主機發(fā)出報文的過濾。該主機從GigabitEthernet0/1接入。
.配置步驟:
(1)定義時間段
# 定義8:0018:00的周期時間段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定義源IP10.1.1.1ACL
# 進入基于名字的基本訪問控制列表視圖,命名為traffic-of-host
[Quidway] acl name traffic-of-host basic
# 定義源IP10.1.1.1的訪問規(guī)則。
[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei
(3)激活ACL。
# traffic-of-hostACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host
b)高級訪問控制列表配置案例
.組網(wǎng)需求:
公司企業(yè)網(wǎng)通過Switch的端口實現(xiàn)各部門之間的互連。研發(fā)部門的由GigabitEthernet0/1端口接入,工資查詢服務(wù)器的地址為129.110.1.2。要求正確配置ACL,限制研發(fā)部門在上班時間8:0018:00訪問工資服務(wù)器。
.配置步驟:
(1)定義時間段
# 定義8:0018:00的周期時間段。
[Quidway] time-range huawei 8:00 to 18:00 working-day
(2)定義到工資服務(wù)器的ACL
# 進入基于名字的高級訪問控制列表視圖,命名為traffic-of-payserver。
[Quidway] acl name traffic-of-payserver advanced
# 定義研發(fā)部門到工資服務(wù)器的訪問規(guī)則。
[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei
(3)激活ACL。
# traffic-of-payserverACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver
3,常見病毒的ACL
創(chuàng)建acl
acl number 100
ping
rule  deny icmp source any destination any
用于控制Blaster蠕蟲的傳播
rule  deny udp source any destination any destination-port eq 69
rule  deny tcp source any destination any destination-port eq 4444
用于控制沖擊波病毒的掃描和攻擊
rule  deny tcp source any destination any destination-port eq 135
rule  deny udp source any destination any destination-port eq 135
rule  deny udp source any destination any destination-port eq netbios-ns
rule  deny udp source any destination any destination-port eq netbios-dgm
rule  deny tcp source any destination any destination-port eq 139
rule  deny udp source any destination any destination-port eq 139
rule  deny tcp source any destination any destination-port eq 445
rule  deny udp source any destination any destination-port eq 445
rule  deny udp source any destination any destination-port eq 593
rule  deny tcp source any destination any destination-port eq 593
用于控制振蕩波的掃描和攻擊
rule  deny tcp source any destination any destination-port eq 445
rule  deny tcp source any destination any destination-port eq 5554
rule  deny tcp source any destination any destination-port eq 9995
rule  deny tcp source any destination any destination-port eq 9996
用于控制 Worm_MSBlast.A 蠕蟲的傳播
rule  deny udp source any destination any destination-port eq 1434
下面的不出名的病毒端口號  (可以不作)
rule  deny tcp source any destination any destination-port eq 1068
rule  deny tcp source any destination any destination-port eq 5800
rule  deny tcp source any destination any destination-port eq 5900
rule  deny tcp source any destination any destination-port eq 10080
rule  deny tcp source any destination any destination-port eq 455
rule  deny udp source any destination any destination-port eq 455
rule  deny tcp source any destination any destination-port eq 3208
rule  deny tcp source any destination any destination-port eq 1871
rule  deny tcp source any destination any destination-port eq 4510
rule  deny udp source any destination any destination-port eq 4334
rule  deny tcp source any destination any destination-port eq 4331
rule  deny tcp source any destination any destination-port eq 4557
然后下發(fā)配置
packet-filter ip-group 100
目的:針對目前網(wǎng)上出現(xiàn)的問題,對目的是端口號為1434UDP報文進行過濾的配置方法,詳細和復(fù)雜的配置請看配置手冊。
NE80的配置:
NE80(config)#rule-map r1 udp any any eq 1434
//r1role-map的名字,udp 為關(guān)鍵字,any any 所有源、目的IP,eq為等于,1434udp端口號
NE80(config)#acl a1 r1 deny
//a1acl的名字,r1為要綁定的rule-map的名字,
NE80(config-if-Ethernet1/0/0)#access-group acl a1
//1/0/0接口上綁定acl,acl為關(guān)鍵字,a1acl的名字
NE16的配置:
NE16-4(config)#firewall enable all
//首先啟動防火墻
NE16-4(config)#access-list 101 deny udp any any eq 1434
//deny為禁止的關(guān)鍵字,針對udp報文,any any 為所有源、目的IP,eq為等于, 1434udp端口號
NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in
//在接口上啟用access-list,in表示進來的報文,也可以用out表示出去的報文
中低端路由器的配置
[Router]firewall enable
[Router]acl 101
[Router-acl-101]rule deny udp source any destion any destination-port eq 1434
[Router-Ethernet0]firewall packet-filter 101 inbound
6506產(chǎn)品的配置:
舊命令行配置如下:
6506(config)#acl extended aaa deny protocol udp any any eq 1434
6506(config-if-Ethernet5/0/1)#access-group  aaa
國際化新命令行配置如下:
[Quidway]acl number 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway-acl-adv-100]quit
[Quidway]interface ethernet  5/0/1
[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface
5516產(chǎn)品的配置:
舊命令行配置如下:
5516(config)#rule-map  l3 aaa protocol-type udp ingress any egress any eq 1434
5516(config)#flow-action fff deny
5516(config)#acl bbb aaa fff
5516(config)#access-group  bbb
國際化新命令行配置如下:
[Quidway]acl num 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway]packet-filter ip-group 100
3526產(chǎn)品的配置:
舊命令行配置如下:
rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434
flow-action f1 deny
acl acl1 r1 f1
access-group acl1
國際化新命令配置如下:
acl number 100
rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0
packet-filter ip-group 101 rule 0
注:3526產(chǎn)品只能配置外網(wǎng)對內(nèi)網(wǎng)的過濾規(guī)則,其中1.1.0.0 255.255.0.0是內(nèi)網(wǎng)的地址段。
8016產(chǎn)品的配置:
舊命令行配置如下:
8016(config)#rule-map intervlan aaa udp  any  any   eq 1434
8016(config)#acl bbb aaa deny
8016(config)#access-group acl bbb vlan 10 port all
國際化新命令行配置如下:
8016(config)#rule-map intervlan aaa udp  any  any   eq 1434
8016(config)#eacl bbb aaa deny
8016(config)#access-group eacl bbb vlan 10 port all
防止同網(wǎng)段ARP欺騙的ACL
一、組網(wǎng)需求:
1. 二層交換機阻止網(wǎng)絡(luò)用戶仿冒網(wǎng)關(guān)IPARP攻擊
二、組網(wǎng)圖:
1二層交換機防ARP攻擊組網(wǎng)
S3552P是三層設(shè)備,其中IP100.1.1.1是所有PC的網(wǎng)關(guān),S3552P上的網(wǎng)關(guān)MAC地址為000f-e200-3999。PC-B上裝有ARP攻擊軟件。現(xiàn)在需要對S3026C_A進行一些特殊配置,目的是過濾掉仿冒網(wǎng)關(guān)IPARP報文。
三、配置步驟
對于二層交換機如S3026C等支持用戶自定義ACLnumber50005999)的交換機,可以配置ACL來進行ARP報文過濾。
全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP報文
acl num  5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
其中rule0把整個S3026C_A的端口冒充網(wǎng)關(guān)的ARP報文禁掉,其中斜體部分64010101是網(wǎng)關(guān)IP地址100.1.1.116進制表示形式。Rule1允許通過網(wǎng)關(guān)發(fā)送的ARP報文,斜體部分為網(wǎng)關(guān)的mac地址000f-e200-3999。
注意:配置Rule時的配置順序,上述配置為先下發(fā)后生效的情況。
S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則:
[S3026C-A] packet-filter user-group 5000
這樣只有S3026C_A上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報文,其它主機都不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報文。
三層交換機實現(xiàn)仿冒網(wǎng)關(guān)的ARP防攻擊
一、組網(wǎng)需求:
1.  三層交換機實現(xiàn)防止同網(wǎng)段的用戶仿冒網(wǎng)關(guān)IPARP攻擊
二、組網(wǎng)圖
2 三層交換機防ARP攻擊組網(wǎng)
三、配置步驟
1. 對于三層設(shè)備,需要配置過濾源IP是網(wǎng)關(guān)的ARP報文的ACL規(guī)則,配置如下ACL規(guī)則:
acl number 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報文,其中斜體部分64010105是網(wǎng)關(guān)IP地址100.1.1.516進制表示形式。
2. 下發(fā)ACL到全局
[S3526E] packet-filter user-group 5000
仿冒他人IPARP防攻擊
一、組網(wǎng)需求:
作為網(wǎng)關(guān)的設(shè)備有可能會出現(xiàn)錯誤ARP的表項,因此在網(wǎng)關(guān)設(shè)備上還需對用戶仿冒他人IPARP攻擊報文進行過濾。
二、組網(wǎng)圖:
參見圖1和圖2
三、配置步驟:
1. 如圖1所示,當(dāng)PC-B發(fā)送源IP地址為PC-Darp reply攻擊報文,源macPC-Bmac (000d-88f8-09fa),源ipPC-Dip(100.1.1.3),目的ipmac是網(wǎng)關(guān)(3552P)的,這樣3552上就會學(xué)習(xí)到錯誤的arp,如下所示:
---------------------  錯誤 arp 表項 --------------------------------
IP Address    MAC Address     VLAN ID  Port Name       Aging Type
100.1.1.4     000d-88f8-09fa   1        Ethernet0/2     20    Dynamic
100.1.1.3     000f-3d81-45b4   1       Ethernet0/2     20    Dynamic
從網(wǎng)絡(luò)連接可以知道PC-Darp表項應(yīng)該學(xué)習(xí)到端口E0/8上,而不應(yīng)該學(xué)習(xí)到E0/2端口上。但實際上交換機上學(xué)習(xí)到該ARP表項在E0/2。上述現(xiàn)象可以在S3552上配置靜態(tài)ARP實現(xiàn)防攻擊:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
2. 在圖2 S3526C上也可以配置靜態(tài)ARP來防止設(shè)備學(xué)習(xí)到錯誤的ARP表項。
3. 對于二層設(shè)備(S3050CS3026E系列),除了可以配置靜態(tài)ARP外,還可以配置IPMACport綁定,比如在S3026C端口E0/4上做如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
IP100.1.1.4并且MAC000d-88f8-09faARP報文可以通過E0/4端口,仿冒其它設(shè)備的ARP報文則無法通過,從而不會出現(xiàn)錯誤ARP表項。
四、配置關(guān)鍵點:
此處僅僅列舉了部分Quidway S系列以太網(wǎng)交換機的應(yīng)用。在實際的網(wǎng)絡(luò)應(yīng)用中,請根據(jù)配置手冊確認該產(chǎn)品是否支持用戶自定義ACL和地址綁定。僅僅具有上述功能的交換機才能防止ARP欺騙。
5,關(guān)于ACL規(guī)則匹配的說明
 
a) ACL直接下發(fā)到硬件中的情況
交換機中ACL可以直接下發(fā)到交換機的硬件中用于數(shù)據(jù)轉(zhuǎn)發(fā)過程中的過濾和流分類。此時一條ACL中多個子規(guī)則的匹配順序是由交換機的硬件決定的,用戶即使在定義ACL時配置了匹配順序也不起作用。
ACL直接下發(fā)到硬件的情況包括:交換機實現(xiàn)QoS功能時引用ACL、硬件轉(zhuǎn)發(fā)時通過ACL過濾轉(zhuǎn)發(fā)數(shù)據(jù)等。
b) ACL被上層模塊引用的情況
交換機也使用ACL來對由軟件處理的報文進行過濾和流分類。此時ACL子規(guī)則的匹配順序有兩種:config(指定匹配該規(guī)則時按用戶的配置順序)和auto(指定匹配該規(guī)則時系統(tǒng)自動排序,即按“深度優(yōu)先”的順序)。這種情況下用戶可以在定義ACL的時候指定一條ACL中多個子規(guī)則的匹配順序。用戶一旦指定某一條訪問控制列表的匹配順序,就不能再更改該順序。只有把該列表中所有的規(guī)則全部刪除后,才能重新指定其匹配順序。
ACL被軟件引用的情況包括:路由策略引用ACL、對登錄用戶進行控制時引用ACL等。
交換機配置(四)密碼恢復(fù)
說明:以下方法將刪除原有config文件,使設(shè)備恢復(fù)到出廠配置。
在設(shè)備重啟時按Ctrl+B進入BOOT MENU之后,
Press Ctrl-B to enter Boot Menu... 5
Password : 缺省為空,回車即可
1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from Flash
5. Modify bootrom password
0. Reboot
Enter your choice(0-5): 4                   選擇4
No.             File Name                       File Size(bytes)
===========================================================================
1      S3026CGSSI.btm                                   257224
2      wnm2.2.2-0005.zip                                447827
3      snmpboots                                        4
4  *   R0023P01.app                                     2985691
5      hostkey                                          428
6      serverkey                                        572
7      vrpcfg.txt                                       1281
Free Space : 3452928 bytes
The current application file is R0023P01.app
Please input the file number to delete: 7        選擇7,刪除當(dāng)前的配置文件
Do you want to delete vrpcfg.txt now? Yes or No(Y/N)y
Delete file....done!
         BOOT  MENU
1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from Flash
5. Modify bootrom password
0. Reboot
Enter your choice(0-5):0                    選擇0,重啟設(shè)備
注:刪除之后交換機就恢復(fù)了出廠配置。
交換機配置(五)三層交換配置
1,  三層交換數(shù)據(jù)包轉(zhuǎn)發(fā)流程圖:
2,三層交換機配置實例:
服務(wù)器1雙網(wǎng)卡,內(nèi)網(wǎng)IP:192.168.0.1,其它計算機通過其代理上網(wǎng)
PORT1屬于VLAN1
PORT2屬于VLAN2
PORT3屬于VLAN3
VLAN1的機器可以正常上網(wǎng)
配置VLAN2的計算機的網(wǎng)關(guān)為:192.168.1.254
配置VLAN3的計算機的網(wǎng)關(guān)為:192.168.2.254
即可實現(xiàn)VLAN間互聯(lián)
如果VLAN2VLAN3的計算機要通過服務(wù)器1上網(wǎng)
則需在三層交換機上配置默認路由
系統(tǒng)視圖下:ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
然后再在服務(wù)器1上配置回程路由
進入命令提示符
route add 192.168.1.0 255.255.255.0 192.168.0.254
route add 192.168.2.0 255.255.255.0 192.168.0.254
這個時候vlan2vlan3中的計算機就可以通過服務(wù)器1訪問internet~~
3,三層交換機VLAN之間的通信
VLAN的劃分應(yīng)與IP規(guī)劃結(jié)合起來,使得一個VLAN 接口IP就是對應(yīng)的子網(wǎng)段就是某個部門的子網(wǎng)段,VLAN接口IP就是一個子網(wǎng)關(guān)。VLAN應(yīng)以部門劃分,相同部門的主機IPVLAN接口IP為依據(jù)劃歸在一個子網(wǎng)范圍,同屬于一個VLAN。這樣不僅在安全上有益,而且更方便網(wǎng)絡(luò)管理員的管理和監(jiān)控。注意:各VLAN中的客戶機的網(wǎng)關(guān)分別對應(yīng)各VLAN的接口IP。
    在這企業(yè)網(wǎng)中計劃規(guī)劃四個VLAN子網(wǎng)對應(yīng)著四個重要部門,筆者認為這也是小企業(yè)最普遍的部門結(jié)構(gòu),分別是:
    VLAN10——綜合行政辦公室;
    VLAN20——銷售部;
    VLAN30——財務(wù)部;
    VLAN40——數(shù)據(jù)中心(網(wǎng)絡(luò)中心)。
    劃分VLAN以后,要為每一個VLAN配一個“虛擬接口IP地址”。
    VLAN10——192.168.10.1
    VLAN20——192.168.20.1
    VLAN30——192.168.30.1
    VLAN40——192.168.40.1
    拓樸圖如下:
 VLAN及路由配置
    1.DES-3326SR三層交換機的VLAN的配置過程:
    1)創(chuàng)建VLAN
    DES-3326SR#Config vlan default delete 1 -24 ?刪除默認VLAN(default)包含的端口1-24''
    DES-3326SR#Create vlan vlan10 tag 10 ?創(chuàng)建VLAN名為vlan10,并標記VID10
    DES-3326SR#Create vlan vlan20 tag 20 ?創(chuàng)建VLAN名為vlan20,并標記VID20
    DES-3326SR#Create vlan vlan30 tag 30 ?創(chuàng)建VLAN名為vlan10,并標記VID30
    DES-3326SR#Create vlan vlan40 tag 40 ?創(chuàng)建VLAN名為vlan10,并標記VID40
    2)添加端口到各VLAN
    DES-3326SR#Config vlan vlan10 add untag 1-6 ?把端口1-6添加到VLAN10
    DES-3326SR#Config vlan vlan20 add untag 7-12 ?把端口1-6添加到VLAN20
    DES-3326SR#Config vlan vlan30 add untag 13-18 ?把端口1-6添加到VLAN30
    DES-3326SR#Config vlan vlan40 add untag 19-24 ?把端口1-6添加到VLAN40
    3)創(chuàng)建VLAN接口IP
    DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled  ?創(chuàng)建慮擬的接口if10給名為VLAN10VLAN子網(wǎng),并且指定該接口的IP192.168.10.1/24。創(chuàng)建后enabled激活該接口。
    同樣方法設(shè)置其它的接口IP
    DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled
    DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30 state enabled
    DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled
    4)路由
    當(dāng)配置三層交換機的三層功能時,如果只是單臺三層交換機,只需要配置各VLAN的虛擬接口就行,不再配路由選擇協(xié)議。因為一臺三層交換機上的虛擬接口會在交換機里以直接路由的身份出現(xiàn),因此不需要靜態(tài)路由或動態(tài)路由協(xié)議的配置。
    2.DES-3226S二層交換機的VLAN的配置過程:
    1)創(chuàng)建VLAN
    DES-3226S#Config vlan default delete 1 -24 ?刪除默認VLAN(default)包含的端口1-24''
    DES-3226S#Create vlan vlan10 tag 10 ?創(chuàng)建VLAN名為vlan10,并標記VID10
    2)添加端口到各VLAN
    DES-3226S#Config vlan vlan10 add untag 1-24 ?把端口1-24添加到VLAN10
    同理,配置其它DES-3226S二層交換機。完成以后就可以將各個所屬VLAN的二層交換機與DES-3326SR三層交換機的相應(yīng)VLAN的端口連接即可。
交換機配置(六)端口鏡像配置
3026等交換機鏡像】
S2008/S2016/S2026/S2403H/S3026等交換機支持的都是基于端口的鏡像,有兩種方法:
方法一
1. 配置鏡像(觀測)端口
[SwitchA]monitor-port e0/8
2. 配置被鏡像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
方法二
1. 可以一次性定義鏡像和被鏡像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
8016交換機端口鏡像配置】
1. 假設(shè)8016交換機鏡像端口為E1/0/15,被鏡像端口為E1/0/0,設(shè)置端口1/0/15為端口鏡像的觀測端口。
[SwitchA] port monitor ethernet 1/0/15
2. 設(shè)置端口1/0/0為被鏡像端口,對其輸入輸出數(shù)據(jù)都進行鏡像。
[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
也可以通過兩個不同的端口,對輸入和輸出的數(shù)據(jù)分別鏡像
1. 設(shè)置E1/0/15E2/0/0為鏡像(觀測)端口
[SwitchA] port monitor ethernet 1/0/15
2. 設(shè)置端口1/0/0為被鏡像端口,分別使用E1/0/15E2/0/0對輸入和輸出數(shù)據(jù)進行鏡像。
[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15
[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流鏡像的數(shù)據(jù)流程』
基于流鏡像的交換機針對某些流進行鏡像,每個連接都有兩個方向的數(shù)據(jù)流,對于交換機來說這兩個數(shù)據(jù)流是要分開鏡像的。
3500/3026E/3026F/3050
〖基于三層流的鏡像〗
1. 定義一條擴展訪問控制列表
[SwitchA]acl num 101
2. 定義一條規(guī)則報文源地址為1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any
3. 定義一條規(guī)則報文源地址為所有源地址目的地址為1.1.1.1/32
[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0
4. 將符合上述ACL規(guī)則的報文鏡像到E0/8端口
[SwitchA]mirrored-to ip-group 101 interface e0/8
〖基于二層流的鏡像〗
1. 定義一個ACL
[SwitchA]acl num 200
2. 定義一個規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包
[SwitchA]rule 0 permit ingress interface Ethernet0/1 (egress interface any)
3. 定義一個規(guī)則從其它所有端口到E0/1端口的數(shù)據(jù)包
[SwitchA]rule 1 permit (ingress interface any)  egress interface Ethernet0/1
4. 將符合上述ACL的數(shù)據(jù)包鏡像到E0/8
[SwitchA]mirrored-to link-group 200 interface e0/8
5516
支持對入端口流量進行鏡像
配置端口Ethernet 3/0/1為監(jiān)測端口,對Ethernet 3/0/2端口的入流量鏡像。
[SwitchA]mirror Ethernet 3/0/2  ingress-to Ethernet 3/0/1
6506/6503/6506R
目前該三款產(chǎn)品只支持對入端口流量進行鏡像,雖然有outbount參數(shù),但是無法配置。
鏡像組名為1,監(jiān)測端口為Ethernet4/0/2,端口Ethernet4/0/1的入流量被鏡像。
[SwitchA]mirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2
【補充說明】
1. 鏡像一般都可以實現(xiàn)高速率端口鏡像低速率端口,例如1000M端口可以鏡像100M端口,反之則無法實現(xiàn)
2. 8016支持跨單板端口鏡像
華為各種型號交換機端口鏡像配置方法總結(jié) 
有不少朋友在問華為交換機鏡像方面的問題。通過本人現(xiàn)有的資料和文檔,現(xiàn)把各種型號的交換機鏡像方法總結(jié)一下。以便各位朋友能夠方便查閱!在學(xué)配置之前,對于端口鏡像的基本概念還是要一定的了解!
一、端口鏡像概念:
Port Mirror(端口鏡像)是用于進行網(wǎng)絡(luò)性能監(jiān)測。可以這樣理解:在端口A 和端口B 之間建立鏡像關(guān)系,這樣,通過端口A 傳輸?shù)臄?shù)據(jù)將同時復(fù)制到端口B ,以便于在端口B 上連接的分析儀或者分析軟件進行性能分析或故障判斷。
二、端口鏡像配置
『環(huán)境配置參數(shù)』
1. PC1接在交換機E0/1端口,IP地址1.1.1.1/24
2. PC2接在交換機E0/2端口,IP地址2.2.2.2/24
3. E0/24為交換機上行端口
4. Server接在交換機E0/8端口,該端口作為鏡像端口
『組網(wǎng)需求』
1. 通過交換機端口鏡像的功能使用server對兩臺pc的業(yè)務(wù)報文進行監(jiān)控。
2. 按照鏡像的不同方式進行配置:
1) 基于端口的鏡像
2) 基于流的鏡像
2 數(shù)據(jù)配置步驟
『端口鏡像的數(shù)據(jù)流程』
基于端口的鏡像是把被鏡像端口的進出數(shù)據(jù)報文完全拷貝一份到鏡像端口,這樣來進行流量觀測或者故障定位。
3026等交換機鏡像】
S2008/S2016/S2026/S2403H/S3026等交換機支持的都是基于端口的鏡像,有兩種方法:
方法一
1. 配置鏡像(觀測)端口
[SwitchA]monitor-port e0/8
2. 配置被鏡像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
方法二
1. 可以一次性定義鏡像和被鏡像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
8016交換機端口鏡像配置】
1. 假設(shè)8016交換機鏡像端口為E1/0/15,被鏡像端口為E1/0/0,設(shè)置端口1/0/15為端口鏡像的觀測端口。
[SwitchA] port monitor ethernet 1/0/15
2. 設(shè)置端口1/0/0為被鏡像端口,對其輸入輸出數(shù)據(jù)都進行鏡像。
[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
也可以通過兩個不同的端口,對輸入和輸出的數(shù)據(jù)分別鏡像
1. 設(shè)置E1/0/15E2/0/0為鏡像(觀測)端口
[SwitchA] port monitor ethernet 1/0/15
2. 設(shè)置端口1/0/0為被鏡像端口,分別使用E1/0/15E2/0/0對輸入和輸出數(shù)據(jù)進行鏡像。
[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15
[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流鏡像的數(shù)據(jù)流程』
基于流鏡像的交換機針對某些流進行鏡像,每個連接都有兩個方向的數(shù)據(jù)流,對于交換機來說這兩個數(shù)據(jù)流是要分開鏡像的。
3500/3026E/3026F/3050
〖基于三層流的鏡像〗
1. 定義一條擴展訪問控制列表
[SwitchA]acl num 100
2. 定義一條規(guī)則報文源地址為1.1.1.1/32去往所有目的地址
[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any
3. 定義一條規(guī)則報文源地址為所有源地址目的地址為1.1.1.1/32
[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0
4. 將符合上述ACL規(guī)則的報文鏡像到E0/8端口
[SwitchA]mirrored-to ip-group 100 interface e0/8
〖基于二層流的鏡像〗
1. 定義一個ACL
[SwitchA]acl num 200
2. 定義一個規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包
[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2
3. 定義一個規(guī)則從其它所有端口到E0/1端口的數(shù)據(jù)包
[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1
4. 將符合上述ACL的數(shù)據(jù)包鏡像到E0/8
[SwitchA]mirrored-to link-group 200 interface e0/8
5516/6506/6503/6506R
目前該三款產(chǎn)品支持對入端口流量進行鏡像
1. 定義鏡像端口
[SwitchA]monitor-port Ethernet 3/0/2
2. 定義被鏡像端口
[SwitchA]mirroring-port Ethernet 3/0/1 inbound
【補充說明】
1. 鏡像一般都可以實現(xiàn)高速率端口鏡像低速率端口,例如1000M端口可以鏡像100M端口,反之則無法實現(xiàn)
2. 8016支持跨單板端口鏡像端口鏡像配置
『環(huán)境配置參數(shù)』
本站僅提供存儲服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點擊舉報。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
熟練掌握交換機端口鏡像配置
華為交換機金典配置
H3C交換機重定向至下一跳典型配置指導(dǎo)
cisco 遠程端口鏡像
簡單分析H3C交換機DHCP Snooping配置
「基礎(chǔ)」H3C交換機基于端口VLAN應(yīng)用配置
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長圖 關(guān)注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點擊這里聯(lián)系客服!

聯(lián)系客服