admin管理员组

文章数量:1532440


2024年6月6日发(作者:)

目 录

入门篇 ........................................................................................................................................... 3

TELNET远程管理交换机配置 ..................................................................................................... 3

H3C S3100-SI S5100系列交换机TELNET配置流程 ..................................................................... 3

H3C S3600 S5600系列交换机TELNET配置流程 ........................................................................... 4

交换机基于端口VLAN应用配置 ................................................................................................. 6

Web管理的配置 .......................................................................................................................... 7

H3C S3100-SI-SI S5100系列交换机Web配置流程 .................................................................. 8

H3C S3600 S5600 系列交换机Web配置流程 .......................................................................... 8

H3C S5500-SI S3610 S5510系列交换机Web配置流程 ........................................................... 9

VLAN接口动态获取IP地址配置 ................................................................................................ 9

流限速的配置 ............................................................................................................................ 10

H3C 5100 3500 3600 5600 系列交换机典型访问控制列表配置............................................... 10

自定义ACL的配置 .................................................................................................................... 10

H3C 3600的配置 ...................................................................................................................... 11

H3C 5600的配置 ...................................................................................................................... 11

H3C 3610 5510的配置 ............................................................................................................. 12

交换机Trunk端口配置 .............................................................................................................. 12

交换机端口链路类型介绍 .......................................................................................................... 15

交换机DHCP Sever的配置 ...................................................................................................... 17

交换机DHCP Relay的配置 ...................................................................................................... 18

防ARP攻击配置举例 ................................................................................................................ 19

ARP攻击防御功能介绍 .............................................................................................................. 20

1.1 ARP攻击简介 ..................................................................................................................... 20

1.2 ARP攻击防御 ..................................................................................................................... 22

1.2.1 DHCP Snooping功能 ................................................................................................ 23

1.2.2 IP静态绑定功能 .......................................................................................................... 23

1.2.3 ARP入侵检测功能 ...................................................................................................... 24

1.2.4 ARP报文限速功能 ...................................................................................................... 24

1.2.5 CAMS下发网关配置功能 .......................................................................................... 25

1.3 ARP攻击防御配置指南 ....................................................................................................... 25

1.4 支持ARP攻击防御功能的产品列表 ................................................................................... 27

ARP攻击防御配置举例 .............................................................................................................. 28

1.5 DHCP监控模式下的ARP攻击防御配置举例 ..................................................................... 28

1 / 78

1.5.1 组网需求 ...................................................................................................................... 28

1.5.2 组网图 .......................................................................................................................... 29

1.5.3 配置思路 ...................................................................................................................... 29

1.5.4 配置步骤 ...................................................................................................................... 29

1.5.5 注意事项 ...................................................................................................................... 32

1.6 认证模式下的ARP攻击防御配置举例 ............................................................................... 33

1.6.1 组网需求 ...................................................................................................................... 33

1.6.2 组网图 .......................................................................................................................... 34

1.6.3 配置思路 ...................................................................................................................... 34

1.6.4 配置步骤 ...................................................................................................................... 34

1.6.5 注意事项 ...................................................................................................................... 44

堆叠管理配置 ............................................................................................................................ 44

集群管理配置 ............................................................................................................................ 47

高级篇 ....................................................................................................................................... 49

交换机配置(一)交换机端口限速 ............................................................................................ 49

交换机配置(二)端口绑定基本配置 ........................................................................................ 52

交换机配置(三)ACL基本配置 ............................................................................................... 53

交换机配置(四)密码恢复 ....................................................................................................... 59

交换机配置(五)三层交换配置 ............................................................................................... 60

交换机配置(六)端口镜像配置 ............................................................................................... 62

交换机配置(七)DHCP配置 ................................................................................................... 65

交换机配置(八)配置文件管理 ............................................................................................... 68

交换机配置(九)远程管理配置 ............................................................................................... 70

交换机配置(十)STP配置 ...................................................................................................... 72

交换机配置(十一)私有VLAN配置 ........................................................................................ 74

交换机配置(十二)端口trunk、hybrid应用配置 .................................................................... 75

S系列交换机实现不同VLAN之间互访的配置 .......................................................................... 77

2 / 78

入门篇

TELNET远程管理交换机配置

组网需求:

1.PC通过telnet登陆交换机并对其进行管理;

2.分别应用帐号+密码方式、仅密码方式以及radius认证方式;

3.只允许192.1.1.0/24网段的地址的PC TELNET访问。

组网图:

作为telnet登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch

A。

配置步骤:

H3C S3100-SI S5100系列交换机TELNET配置流程

账号+密码方式登陆

1.配置TELNET登陆的ip地址

system-view

[SwitchA]vlan 2

[SwitchA-vlan2]port Ethernet 1/0/1

[SwitchA-vlan2]quit

[SwitchA]management-vlan 2

[SwitchA]interface vlan 2

[SwitchA-Vlan-interface2]ip address 192.168.0.1 24

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.配置本地或远端用户名+口令认证方式

[SwitchA-ui-vty0-4]authentication-mode scheme

4.配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”

[SwitchA]local-user huawei

[SwitchA-luser-huawei]service-type telnet level 3

[SwitchA-luser-huawei]password simple admin

仅密码方式登陆

1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)

3 / 78

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

4.设置登陆验证的password为明文密码”huawei”

[SwitchA-ui-vty0-4]set authentication password simple huawei

5.配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

TELNET RADIUS验证方式配置

1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.配置远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

4.配置RADIUS认证方案,名为”cams”

[SwitchA]radius scheme cams

5.配置RADIUS认证服务器地址192.168.0.31

[SwitchA-radius-cams]primary authentication 192.168.0.31 1812

6.配置交换机与认证服务器的验证口令为”huawei”

[SwitchA-radius-cams]key authentication huawei

7.送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

8.创建(进入)一个域,名为”huawei”

[SwitchA]domain huawei

9.在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

10.将域”huawei”配置为缺省域

[SwitchA]domain default enable Huawei

TELNET访问控制配置

1.配置访问控制规则只允许192.1.1.0/24网段登录

[SwitchA]acl number 2000

[SwitchA-acl-basic-2000]rule deny source any

[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255

2.配置只允许符合ACL2000的IP地址登录交换机

[SwitchA]user-interface vty 0 4

[SwitchA-ui-vty0-4]acl 2000 inbound

3.补充说明:

TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置;

TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。

H3C S3600 S5600系列交换机TELNET配置流程

账号+密码方式登陆

4 / 78

1.配置TELNET登陆的ip地址

system-view

[SwitchA]vlan 2

[SwitchA-vlan2]port Ethernet 1/0/1

[SwitchA-vlan2]quit

[SwitchA]interface vlan 2

[SwitchA-Vlan-interface2]ip address 192.168.0.1 24

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.配置本地或远端用户名+口令认证方式

[SwitchA-ui-vty0-4]authentication-mode scheme

4.配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”

[SwitchA]local-user huawei

[SwitchA-luser-huawei]service-type telnet level 3

[SwitchA-luser-huawei]password simple admin

仅密码方式登陆

1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

4.设置登陆验证的password为明文密码”huawei”

[SwitchA-ui-vty0-4]set authentication password simple huawei

5.配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

TELNET RADIUS验证方式配置(以使用华为3Com公司开发的CAMS 作为RADIUS服务器为

例)

1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.配置远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

4.配置RADIUS认证方案,名为”cams”

[SwitchA]radius scheme cams

5.配置RADIUS认证服务器地址192.168.0.31

[SwitchA-radius-cams]primary authentication 192.168.0.31 1812

6.配置交换机与认证服务器的验证口令为”huawei”

[SwitchA-radius-cams]key authentication huawei

7.送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

8.创建(进入)一个域,名为”huawei”

5 / 78

[SwitchA]domain huawei

9.在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

10.将域”huawei”配置为缺省域

[SwitchA]domain default enable Huawei

TELNET访问控制配置

1.配置访问控制规则只允许192.1.1.0/24网段登录

[SwitchA]acl number 2000

[SwitchA-acl-basic-2000]rule deny source any

[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255

2.配置只允许符合ACL2000的IP地址登录交换机

[SwitchA]user-interface vty 0 4

[SwitchA-ui-vty0-4]acl 2000 inbound

3.补充说明:

TELNET登陆主机与交换机不是直连的情况下需要配置默认路由;

在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设

备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。

低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super

password为明文密码”super3”:[SwitchA]super password level 3 simple super3

3 H3C S5500-SI S3610 S5510系列交换机TELNET配置流程

1.补充说明:

由于H3C S5500-SI S3610 S5510系列交换机采用全新的Comware V5平台,命令行稍有改动。在

采用上述配置的基础上,只要在系统视图下增加命令:[SwitchA]telnet server enable 即可。

配置关键点:

1.三层交换机,可以有多个三层虚接口,它的管理VLAN可以是任意一个具有三层接口并配置

了IP地址的VLAN,而二层交换机,只有一个二层虚接口,它的管理VLAN即是对应三层虚接

口并配置了IP地址的VLAN;

2.交换机缺省的TELNET认证模式是密码认证,如果没有在交换机上配置口令,当TELNET

登录交换机时,系统会出现”password required, but none set.”的提示;

3.TELNET登陆可以应用windows自带的dos、超级终端,也可以应用别的telnet软件进行登陆。

交换机基于端口VLAN应用配置

组网需求:

PC1和PC2分别连接到交换机的端口E1/0/1和E1/0/2,端口分别属于VLAN10和VLAN20。

组网图:

6 / 78

配置步骤:

方法1

1.创建(进入)VLAN10,将E1/0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 1/0/1

2.创建(进入)VLAN20,将E1/0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 1/0/2

方法2

1.进入以太网端口E1/0/1的配置视图

[SwitchA]interface Ethernet 1/0/1

2.配置端口E1/0/1的PVID为10

[SwitchA-Ethernet1/0/1]port access vlan 10

3.进入以太网端口E1/0/1的配置视图

[SwitchA]interface Ethernet 0/2

4.配置端口E1/0/2的PVID为20

[SwitchA-Ethernet1/0/2]port access vlan 20

配置关键点:

Web管理的配置

组网需求:

PC通过IE浏览器对Switch A进行管理。

组网图:

作为Web登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch

A。

配置步骤:

7 / 78

H3C S3100-SI-SI S5100系列交换机Web配置流程

1.确认WEB管理文件已经在交换机flash中

< SwitchA >dir

7 (*) -rw- 801220 Apr 02 2000 00:02:15

2.配置Web登陆的ip地址

system-view

[SwitchA]vlan 2

[SwitchA-vlan2]port Ethernet 1/0/1

[SwitchA-vlan2]quit

[SwitchA]management-vlan 2

[SwitchA]interface vlan 2

[SwitchA-Vlan-interface2]ip address 192.168.0.1 24

3.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin”

[SwitchA]local-user huawei

[SwitchA-luser-huawei]service-type telnet level 3

[SwitchA-luser-huawei]password simple admin

H3C S3600 S5600 系列交换机Web配置流程

1.确认WEB管理文件已经在交换机flash中

< SwitchA >dir

7 (*) -rw- 801220 Apr 02 2000 00:02:15

2.配置Web登陆的ip地址

system-view

[SwitchA]vlan 2

[SwitchA-vlan2]port Ethernet 1/0/1

[SwitchA-vlan2]quit

[SwitchA]interface vlan 2

[SwitchA-Vlan-interface2]ip address 192.168.0.1 24

3.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin”

[SwitchA]local-user huawei

[SwitchA-luser-huawei]service-type telnet level 3

[SwitchA-luser-huawei]password simple admin

4.补充说明:

如果想通过WEB方式管理交换机,必须首先将一个用于支持WEB管理的文件(可以从网站上

下载相应的交换机软件版本时得到,其扩展名为”web”或者”zip”)载入交换机的flash中,该文

件需要与交换机当前使用的软件版本相配套;

Web登陆主机与交换机不是直连情况下需要配置默认路由;

登陆的时候在IE浏览器中输入192.168.0.1即可进入Web登陆页面。

8 / 78

H3C S5500-SI S3610 S5510系列交换机Web配置流程

1.补充说明:

配置跟上述配置完全一致,但是不需要在flash中有web管理的文件,因为该文件已经被集成在

vrp软件版本中了,只要按照上述的配置作就可以了。

配置关键点:

1.对于S3100-SI S5100系列二层交换机,配置管理VLAN时必须保证没有别的VLAN虚接口;

2.在将WEB管理文件载入交换机flash时,不要将文件进行解压缩,只需将完整的文件载入交

换机即可(向交换机flash载入WEB管理文件的方法,请参考本配置实例中交换机的系统管理配

置章节)。

VLAN接口动态获取IP地址配置

组网需求:

1.SwitchA为二层交换机,管理VLAN为VLAN10,SwitchA的VLAN接口10动态获取IP地

址;

2.SwitchA的以太网端口E1/0/1为Trunk端口,连接到SwitchB,同时SwitchB提供DHCP Server

功能。

组网图:

配置步骤:

SwitchA配置

1.将E0/1端口设为trunk,并允许所有的vlan通过

[SwitchA-Ethernet1/0/1]port link-type trunk

[SwitchA-Ethernet1/0/1]port trunk permit vlan all

2.创建(进入)VLAN10

[SwitchA]vlan 10

3.创建(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

4.为VLAN接口10配置IP地址

[SwitchA-Vlan-interface10]ip address dhcp-alloc

Switch B配置

请参考DHCP Server配置部分

配置关键点:

9 / 78

1.二层交换机只允许设置一个VLAN虚接口,在创建VLAN10的虚接口前需要保证没有别的

VLAN虚接口;

2.虽然交换机的VLAN接口动态获取了IP地址,但是不能获得网关地址,因此还需要在交换

机上手工添加静态默认路由。

流限速的配置

组网需求:

在交换机的Ethernet1/0/1口的入方向设置流量限速,限定速率为1Mbps(1024Kbps)。

组网图:

配置步骤:

H3C 5100 3500 3600 5600 系列交换机典型访问控制列表配置

1.配置acl,定义符合速率限制的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

2.对端口E1/0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1 exceed drop

配置关键点:

自定义ACL的配置

一 组网需求:

配置自定义ACL,通过匹配报文对应的协议号、MAC地址及IP地址等字段,过滤

攻击主机发出的冒充网关的ARP报文。

10 / 78

二 组网图:

三 配置步骤:

H3C 3600的配置

1.定义5000 acl

[Switch] acl number 5000

2.把整个端口arp协议报文中源ip地址为192.168.0.1的ARP报文禁掉(16和32

分别是协议字段和源IP字段的偏移量)

[Switch-acl-user-5000]rule 0 deny 0806 ffff 16 c0a80001 ffffffff 32

3.允许arp协议报文源mac地址(偏移量为26)是000f-e226-233c(网关)的arp

报文通过

[Switch-acl-user-5000]rule 1 permit 0806 ffff 16 000fe226233c ffffffffffff 26

[Switch-acl-user-5000]quit

4.端口下下发创建的ACL

[Switch]interface Ethernet 1/0/1

[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000

H3C 5600的配置

1.定义5000 acl

[Switch] acl number 5000

2.把整个端口arp协议报文源ip地址为192.168.0.1的ARP报文禁掉

[Switch-acl-user-5000]rule 0 deny 0806 ffff 20 c0a80001 ffffffff 36

11 / 78

3.允许arp协议报文中源mac地址是000f-e226-233c的arp报文通过

[Switch-acl-user-5000]rule 1 permit 0806 ffff 20 000fe226233c ffffffffffff 32

[Switch-acl-user-5000]quit

4.端口下下发创建的ACL

[Switch]interface Ethernet 1/0/1

[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000

H3C 3610 5510的配置

1.定义5000 acl

[Switch] acl number 5000

2.定义匹配的ACL规则,匹配arp报文

[Switch-acl-user-5000] rule deny l2 0806 ffff 12

3.配置扩展流模板bbb

[Switch] flow-template bbb extend l2 12 2

4.在端口E1/0/1上应用流模板bbb

[Switch] interface Ethernet 1/0/1

[Switch-Ethernet1/0/1] flow-template bbb

[Switch-Ethernet1/0/1] quit

配置关键点:

1.如果开启了QinQ功能后,不建议应用用户自定义acl;

2.H3C 3100-SI 5100 5500-SI不支持5000-5999的acl,H3C 3610及5510因为与

流模板冲突,无法下发以上防ARP的ACL,需要配置自定义流模板。

交换机Trunk端口配置

四 组网需求:

1.SwitchA与SwitchB用trunk互连,相同VLAN的PC之间可以互访,不同VLAN

的PC之间禁止互访;

2.PC1与PC2之间在不同VLAN,通过设置上层三层交换机SwitchB的VLAN接

口10的IP地址为10.1.1.254/24,VLAN接口20的IP地址为20.1.1.254/24可以

12 / 78

实现VLAN间的互访。

五 组网图:

1.VLAN内互访,VLAN间禁访

2.通过三层交换机实现VLAN间互访

六 配置步骤:

1 实现VLAN内互访VLAN间禁访配置过程

SwitchA相关配置:

1.创建(进入)VLAN10,将E0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1

2.创建(进入)VLAN20,将E0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过

[SwitchA]interface GigabitEthernet 1/1

[SwitchA-GigabitEthernet1/1]port link-type trunk

[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20

SwitchB相关配置:

13 / 78

1.创建(进入)VLAN10,将E0/10加入到VLAN10

[SwitchB]vlan 10

[SwitchB-vlan10]port Ethernet 0/10

2.创建(进入)VLAN20,将E0/20加入到VLAN20

[SwitchB]vlan 20

[SwitchB-vlan20]port Ethernet 0/20

3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过

[SwitchB]interface GigabitEthernet 1/1

[SwitchB-GigabitEthernet1/1]port link-type trunk

[SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20

2 通过三层交换机实现VLAN间互访的配置

SwitchA相关配置:

1.创建(进入)VLAN10,将E0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1

2.创建(进入)VLAN20,将E0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过

[SwitchA]interface GigabitEthernet 1/1

[SwitchA-GigabitEthernet1/1]port link-type trunk

[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20

SwitchB相关配置:

1.创建VLAN10

[SwitchB]vlan 10

2.设置VLAN10的虚接口地址

[SwitchB]interface vlan 10

[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0

3.创建VLAN20

[SwitchB]vlan 20

4.设置VLAN20的虚接口地址

14 / 78

[SwitchB]interface vlan 20

[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0

5.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过

[SwitchA]interface GigabitEthernet 1/1

[SwitchA-GigabitEthernet1/1]port link-type trunk

[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20

七 配置关键点:

交换机端口链路类型介绍

一 交换机端口链路类型介绍

交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid。

1.Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;

2.Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一

般用于交换机之间连接的端口;

3.Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可

以用于交换机之间连接,也可以用于连接用户的计算机。

其中,Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多

个VLAN的报文发送时打标签;不同之处在于Hybrid端口可以允许多个VLAN的报

文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。

三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid端口之间

不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端

口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。

二 各类型端口使用注意事项

配置Trunk端口或Hybrid端口,并利用Trunk端口或Hybrid端口发送多个VLAN

报文时一定要注意:本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。

当在交换机上使用isolate-user-vlan来进行二层端口隔离时,参与此配置的端口的链

路类型会自动变成Hybrid类型。

15 / 78

Hybrid端口的应用比较灵活,主要为满足一些特殊应用需求。此类需求多为在无法

下发访问控制规则的交换机上,利用Hybrid端口收发报文时的处理机制,来完成对

同一网段的PC机之间的二层访问控制。

三 各类型端口在接收和发送报文时的处理

1.端口接收报文时的处理:

端口接收到的报文类型 报文帧结构中携带VLAN报文帧结构中不携带

标记

Access端口 丢弃该报文

VLAN标记

为该报文打上VLAN标记

为本端口的PVID

Trunk端口 判断本端口是否允许携同上

带该VLAN标记的报文通

过。如果允许则报文携带

原有VLAN标记进行转

发,否则丢弃该报文

Hybrid端口 同上 同上

2.端口发送报文时的处理:

Access端口

Trunk端口

剥掉报文所携带的VLAN标记,进行转发

首先判断报文所携带的VLAN标记是否和端口的

PVID相等。如果相等,则剥掉报文所携带的VLAN

标记,进行转发;否则报文将携带原有的VLAN标记

进行转发

Hybrid端口 首先判断报文所携带的VLAN标记在本端口需要做

怎样的处理。如果是untagged方式转发,则处理方

式同Access端口;

如果是tagged方式转发,则处理方式同Trunk端口

16 / 78

交换机DHCP Sever的配置

四 组网需求:

1.在交换机上配置DHCP Server,使下面的用户动态获取相应网段的IP地址;

2.DHCP Server的IP地址是192.168.0.1/24,PC机接在E1/0/2口上。

五 组网图:

六 配置步骤:

1.创建(进入)VLAN2

[Switch]vlan 2

2.将E1/0/1端口加入VLAN2

[Switch-vlan2]port Ethernet1/0/2

3.进入VLAN接口2

[Switch-vlan2]int vlan 2

4.为VLAN2配置IP地址

[Switch-Vlan-interface2]ip address 192.168.0.1 255.255.255.0

5.全局使能DHCP功能

[Switch]dhcp enable

6.创建DHCP地址池并进入DHCP地址池视图

[Switch]dhcp server ip-pool h3c

7.配置动态分配的IP地址范围

[Switch-dhcp-pool-h3c]network 192.168.0.1 mask 255.255.255.0

8.配置网关地址

[Switch-dhcp-pool-h3c] gateway-list 192.168.0.1

9.禁止将PC机的网关地址分配给用户

[Switch]dhcp server forbidden-ip 192.168.0.1

10.指定vlan2虚接口工作在全局地址池模式

[Switch]dhcp select global interface vlan-interface 2

七 配置关键点:

1.需保证虚接口地址在地址池中,这样VLAN下接的PC机方能自动获得

17 / 78

192.168.0.0/24网段的IP地址;

2.对于DHCP Server设备,可以使用全局地址池和接口地址池进行地址分配,这

两种配置方法的适用情况是:如果DHCP Client和DHCP Server在同一网段,这两

种配置方法都适用,如果DHCP Client 与DHCP Server不在同一网段,那么只能

用基于全局地址池的DHCP Server配置。当虚接口工作在全局地址池模式时使用以

下命令:

[Switch]dhcp select global all

3.Vlan接口默认情况下以全局地址池方式进行地址分配,因此当vlan接口配置了

全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的vlan接口下无

法看到有关DHCP的配置;

4.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900-EI、Quidway

S5600、H3C S3600-EI、H3C S5600系列交换机。

交换机DHCP Relay的配置

八 组网需求:

在交换机上配置DHCP Relay,使下面的用户动态获取相应网段的IP地址。

九 组网图:

一〇 配置步骤:

1.全局使能DHCP功能

[H3C]dhcp enable

2.指定DHCP Server组1所采用的DHCP Server的IP地址

[H3C]dhcp-server 1 ip 192.168.0.1

3.配置DHCP Relay到DHCP Server的接口地址

[H3C]vlan 2

[H3C-vlan2]port e1/0/2

[H3C]int vlan 2

[H3C-Vlan-interface2]ip address 192.168.0.2 255.255.255.0

18 / 78

4.配置DHCP Relay到PC的接口地址

[H3C]vlan 3

[H3C-vlan3]port e1/0/3

[H3C]int vlan 3

[H3C-Vlan-interface3]ip address 192.168.1.1 255.255.255.0

5.指定VLAN接口归属到DHCP Server组1

[H3C-Vlan-interface3]dhcp-server 1

一一 配置关键点:

1.必须保证路由可达;

2.保证动态获得的IP地址在地址池中;

3.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900、Quidway

S5600、H3C S3600和H3C S5600系列交换机。

防ARP攻击配置举例

关键词:ARP、DHCP Snooping

摘 要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校

园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形

式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实

际配置。

缩略语:ARP(Address Resolution Protocol,地址解析协议)

MITM(Man-In-The-Middle,中间人攻击)

19 / 78

ARP攻击防御功能介绍

近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常

访问外网,学校深受其害。H3C公司根据ARP攻击的特点,提出了“全面防御,

模块定制”的ARP攻击防御理念,并给出了两种解决方案。

(1) DHCP监控模式下的ARP攻击防御解决方案

这种方式适合动态分配IP地址的网络场景,需要接入交换机支持DHCP Snooping

功能。通过全网部署,可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端

用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方

式;且不需要终端用户安装额外的客户端软件,简化了网络配置。

(2) 认证方式下的ARP攻击防御解决方案

这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能

防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配

置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器(如CAMS服务

器)会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”

攻击。

1.1 ARP攻击简介

按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会

将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少

网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。

校园网中,常见的ARP攻击有如下几中形式。

(1) 仿冒网关

攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC

地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与

MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的

MAC地址,导致该用户无法正常访问外网。

20 / 78

Gateway

Switch

网关的MAC更新了

攻击者

Host A

图1-1 “仿冒网关”攻击示意图

(2) 欺骗网关

攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC

地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用

户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部

重定向到一个错误的MAC地址,导致该用户无法正常访问外网。

Gateway

Host A的MAC更新了

Switch

攻击者

Host A

图1-2 “欺骗网关”攻击示意图

(3) 欺骗终端用户

攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC

地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身

ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他

主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法

正常互访。

21 / 78

Gateway

Switch

Host A的MAC更新了

Host A

攻击者

Host C

图1-3 “欺骗终端用户”攻击示意图

(4) “中间人”攻击

ARP “中间人”攻击,又称为ARP双向欺骗。如

ARP“中间人”攻击示意图

所示,

Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探

听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报

文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的

表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所

在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取

和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。

Gateway

Switch

伪造的ARP应答报文

伪造的ARP应答报文

Host A

Host B(攻击者)

Host C

图1-4 ARP“中间人”攻击示意图

(5) ARP报文泛洪攻击

恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,

造成其他功能无法正常运行甚至设备瘫痪。

1.2 ARP攻击防御

H3C公司根据ARP攻击的特点,给出了DHCP监控模式下的ARP攻击防御解决

方案和认证模式下的ARP攻击防御解决方案。前者通过接入交换机上开启DHCP

22 / 78

Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,

可以防御常见的ARP攻击;后者不需要在接入交换机上进行防攻击配置,而需要通

过CAMS服务器下发网关的IP/MAC对应关系给客户端,防御“仿冒网关”攻击。

详见

常见网络攻击和防范对照表

表1-1 常见网络攻击和防范对照表

攻击方式 防御方法

动态获取IP地址的用户进行“仿冒网关”、“欺

配置DHCP Snooping、ARP入侵检测功能

骗网关”、“欺骗终端用户”、“ARP中间人攻击”

手工配置IP地址的用户进行“仿冒网关”、“欺

配置IP静态绑定表项、ARP入侵检测功能

骗网关”、“欺骗终端用户”、“ARP中间人攻击”

ARP泛洪攻击 配置ARP报文限速功能

动态和手工配置IP地址的用户进行“仿冒网关”配置认证模式的ARP攻击防御解决方案

攻击 (CAMS下发网关配置功能)

1.2.1 DHCP Snooping功能

DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。

(1) 通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系;

(2) 通过设置DHCP Snooping信任端口,保证客户端从合法的服务器获取IP地

址。

信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从

DHCP服务器获取IP地址。

不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文

后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。

 说明:

目前H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认被配置为DHCP

Snooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与

合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口

必须在同一个VLAN内。

1.2.2 IP静态绑定功能

DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果

用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping

表记录。因此,交换机支持手工配置IP静态绑定表的表项,实现用户的IP地址、

23 / 78

MAC地址及接入交换机连接该用户的端口之间的绑定关系。这样,该固定用户的报

文就不会被ARP入侵检测功能过滤。

1.2.3 ARP入侵检测功能

H3C低端以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结

合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。

当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表

项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN

与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP

报文,进行转发处理。

当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表

项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所

属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,

则为非法ARP报文,直接丢弃。

 说明:

DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。

如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表

的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。

实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵

检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。

对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查

看DHCP Snooping表或手工配置的IP静态绑定表进行检测。

1.2.4 ARP报文限速功能

H3C低端以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,

来避免此类攻击对CPU的冲击。

开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数

量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状

态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,

从而避免大量ARP报文攻击设备。同时,设备支持配置端口状态自动恢复功能,对

于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以

自动恢复为开启状态。

24 / 78

1.2.5 CAMS下发网关配置功能

CAMS(Comprehensive Access Management Server,综合访问管理服务器)作

为网络中的业务管理核心,可以与以太网交换机等网络产品共同组网,完成用户的

认证、授权、计费和权限管理。如

CAMS组网示意图

所示。

CAMS

IP network

Gateway

Switch A

Swtich B

Host A

Host BHost C

Host D

图1-5 CAMS组网示意图

认证模式的ARP攻击防御解决方案,不需要在接入交换机上进行特殊的防攻击配

置,只需要客户端通过802.1x认证登录网络,并在CAMS上进行用户网关的设置,

CAMS会通过接入交换机,下发网关的IP/MAC对应关系给客户端,来防御“仿冒

网关”攻击。

1.3 ARP攻击防御配置指南

表1-2 ARP攻击防御配置

任务

-

配置DHCP

Snooping功

能记录

DHCP客户

端的

IP/MAC对

应关系

操作

进入系统视图

进入以太网端口视图

设置指定端口为

DHCP Snooping信任

端口

退出至系统视图

命令

system-view

interface interface-type

interface-number

-

-

必选

dhcp-snooping trust

缺省情况下,交换机的

端口均为不信任端口

-

说明

quit

25 / 78

任务 操作 命令

必选

说明

开启交换机DHCP

Snooping功能

dhcp-snooping

缺省情况下,以太网交

换机的DHCP

Snooping功能处于禁

止状态

-

可选

缺省情况下,没有配置

IP静态绑定表项

-

-

可选

进入以太网端口视图

配置指定端

口的IP静态

绑定表项

interface interface-type

interface-number

ip source static binding

ip-address ip-address

配置IP静态绑定表项

[ mac-address

mac-address ]

退出至系统视图

进入以太网端口视图

quit

interface interface-type

interface-number

arp detection trust

配置ARP信任端口 缺省情况下,端口为

ARP非信任端口

-

-

必选

配置ARP入

退出至系统视图

侵检测功能,

进入VLAN视图

防御常见的

ARP攻击

开启ARP入侵检测功

quit

vlan vlan-id

arp detection enable

缺省情况下,指定

VLAN内所有端口的

ARP入侵检测功能处

于关闭状态

-

必选

退出至系统视图

quit

开启ARP报文限速功

arp rate-limit enable

缺省情况下,端口的

ARP报文限速功能处

于关闭状态

可选

配置允许通过端口的

ARP报文的最大速率

arp rate-limit rate

缺省情况下,端口能通

过的ARP报文的最大

速率为15pps

-

可选

配置ARP限

速功能

退出至系统视图

开启因ARP报文超速

而被关闭的端口的状

态自动恢复功能

quit

arp protective-down

recover enable

缺省情况下,交换机的

端口状态自动恢复功

能处于关闭状态

可选

配置因ARP报文超速

而被关闭的端口的端

口状态自动恢复时间

arp protective-down

recover interval interval

缺省情况下,开启端口

状态自动恢复功能后,

交换机的端口状态自

动恢复时间为300秒

26 / 78

 说明:

有关各款交换机支持的ARP攻击防御功能的详细介绍和配置命令,请参见各产品的操作、命令

手册。

1.4 支持ARP攻击防御功能的产品列表

表1-3 支持ARP攻击防御功能的产品列表

功能

产品型号

S5600(Release1602)

S5100-EI(Release2200)

S5100-SI(Release2200)

S3600-EI(Release1602)

S3600-SI(Release1602)

S3100-EI(Release2104)

S3100-52P(Release1602)

E352/E328(Release1602)

E152(Release1602)

E126A(Release2104)

DHCP

Snooping

ARP入侵检测

IP静态绑定

ARP报文限速

 说明:

有关各款交换机支持的防ARP攻击功能的详细介绍,请参见各产品的操作手册。

27 / 78

ARP攻击防御配置举例

1.5 DHCP监控模式下的ARP攻击防御配置举例

1.5.1 组网需求

某校园网内大部分用户通过接入设备连接网关和DHCP服务器,动态获取IP

地址。管理员通过在接入交换机上全面部署ARP攻击防御相关特性,形成保护

屏障,过滤掉攻击报文。详细网络应用需求分析如下。

校园网用户分布在两个区域Host area1和Host area2,分别属于VLAN10

和VLAN20,通过接入交换机Switch A和Switch B连接到网关Gateway,

最终连接外网和DHCP。

Host area1所在子网内拥有一台TFTP服务器,其IP地址为

192.168.0.10/24,MAC地址为000d-85c7-4e00。

为防止仿冒网关、欺骗网关等ARP攻击形式,开启Switch A上VLAN10

内、Switch B上VLAN20内ARP入侵检测功能,设置Switch A和Switch

B的端口Ethernet1/0/1为ARP信任端口。

为防止ARP泛洪攻击,在Switch A和Switch B所有直接连接客户端的

端口上开启ARP报文限速功能。同时,开启因ARP报文超速而被关闭的

端口的状态自动恢复功能,并设置恢复时间间隔100秒。

28 / 78

1.5.2 组网图

DHCP server

IP network

Eth1/0/3

Vlan-int 10

192.168.0.1/24

Eth1/0/1

Vlan-int 20

192.168.1.1/24

Eth1/0/2

Gateway

VLAN10

Host area1

Switch A

Swtich B

Eth1/0/1

Eth1/0/2

Eth1/0/1

Eth1/0/4

VLAN20

Host area2

Eth1/0/4Eth1/0/2

Eth1/0/3Eth1/0/3

TFTP server

IP:192.168.0.10/24

Host AHost BHost CHost DHost E

图1-6 DHCP监控模式下的ARP攻击防御组网示意图

1.5.3 配置思路

在接入交换机Switch A和Switch B上开启DHCP snooping功能,并配

置与DHCP服务器相连的端口为DHCP snooping信任端口。

在接入交换机Switch A上为固定IP地址的TFTP服务器配置对应的IP

静态绑定表项。

在接入交换机Switch A和Switch B对应VLAN上开启ARP入侵检测功

能,并配置其上行口为ARP信任端口。

在接入交换机Switch A和Switch B直接连接客户端的端口上配置ARP

报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自

动恢复功能。

1.5.4 配置步骤

1. 使用的版本

本举例中使用的接入交换机Switch A和Switch B为E126A系列以太网交换机。

29 / 78

2. 配置客户端动态获取IP地址。

图1-7 配置客户端自动获取IP地址示意图

3. 配置Switch A

# 创建VLAN10,并将端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中。

system-view

[SwitchA] vlan 10

[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/4

[SwitchA-vlan10] quit

# 配置Switch A的上行口为DHCP snooping信任端口。

[SwitchA] interface ethernet1/0/1

[SwitchA-Ethernet1/0/1] dhcp-snooping trust

[SwitchA-Ethernet1/0/1] quit

# 开启DHCP snooping。

[SwitchA] dhcp-snooping

# 在Switch A的端口Ethernet1/0/4上配置IP静态绑定表项。

[SwitchA] interface Ethernet1/0/4

[SwitchA-Ethernet1/0/4] ip source static binding ip-address 192.168.0.10

mac-address 000d-85c7-4e00

[SwitchA-Ethernet1/0/4] quit

# 配置Switch A的上行口为ARP信任端口。

[SwitchA] interface ethernet1/0/1

[SwitchA-Ethernet1/0/1] arp detection trust

[SwitchA-Ethernet1/0/1] quit

# 开启VLAN 10内所有端口的ARP入侵检测功能。

30 / 78

[SwitchA] vlan 10

[SwitchA-vlan10] arp detection enable

[SwitchA-vlan10] quit

# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3上的ARP报文限速功能。

[SwitchA] interface Ethernet1/0/2

[SwitchA-Ethernet1/0/2] arp rate-limit enable

[SwitchA-Ethernet1/0/2] arp rate-limit 20

[SwitchA-Ethernet1/0/2] quit

[SwitchA] interface Ethernet1/0/3

[SwitchA-Ethernet1/0/3] arp rate-limit enable

[SwitchA-Ethernet1/0/3] arp rate-limit 20

[SwitchA-Ethernet1/0/3] quit

# 配置端口状态自动恢复功能,恢复时间间隔为100秒。

[SwitchA] arp protective-down recover enable

[SwitchA] arp protective-down recover interval 100

# 配置网关的缺省路由。

[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1

4. 配置Switch B

# 创建VLAN20,并将相应端口加入VLAN20中。

system-view

[SwitchB] vlan 20

[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4

[SwitchB-vlan20] quit

# 配置Switch B的上行口为DHCP snooping信任端口。

[SwitchB] interface ethernet1/0/1

[SwitchB-Ethernet1/0/1] dhcp-snooping trust

[SwitchB-Ethernet1/0/1] quit

# 开启DHCP snooping。

[SwitchB] dhcp-snooping

# 配置Switch B的上行口为ARP信任端口。

[SwitchB] interface ethernet1/0/1

[SwitchB-Ethernet1/0/1] arp detection trust

[SwitchB-Ethernet1/0/1] quit

# 开启VLAN 20内所有端口的ARP入侵检测功能。

[SwitchB] vlan 20

[SwitchB-vlan20] arp detection enable

[SwitchB-vlan20] quit

# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP

报文限速功能。

[SwitchB] interface Ethernet1/0/2

[SwitchB-Ethernet1/0/2] arp rate-limit enable

[SwitchB-Ethernet1/0/2] arp rate-limit 20

[SwitchB-Ethernet1/0/2] quit

[SwitchB] interface Ethernet1/0/3

[SwitchB-Ethernet1/0/3] arp rate-limit enable

[SwitchB-Ethernet1/0/3] arp rate-limit 20

[SwitchB-Ethernet1/0/3] quit

[SwitchB] interface Ethernet1/0/4

[SwitchB-Ethernet1/0/4] arp rate-limit enable

[SwitchB-Ethernet1/0/4] arp rate-limit 20

[SwitchB-Ethernet1/0/4] quit

# 配置端口状态自动恢复功能,恢复时间间隔为100秒。

[SwitchB] arp protective-down recover enable

[SwitchB] arp protective-down recover interval 100

31 / 78

# 配置网关的缺省路由。

[SwitchB] ip route-static 0.0.0.0 0 192.168.1.1

5. 配置Gateway

system-view

# 创建VLAN 10和VLAN 20,并添加相应端口。

[Gateway] vlan 10

[Gateway–vlan10] port Ethernet 1/0/1

[Gateway–vlan10] quit

[Gateway] vlan 20

[Gateway–vlan20] port Ethernet 1/0/2

[Gateway–vlan20] quit

# 配置Vlan-interface10的IP地址为192.168.0.1/24。

[Gateway] interface vlan 10

[Gateway-Vlan-interface10] ip address 192.168.0.1 24

[Gateway-Vlan-interface10] quit

# 配置Vlan-interface20的IP地址为192.168.1.1/24。

[Gateway] interface vlan 20

[Gateway-Vlan-interface20] ip address 192.168.1.1 24

[Gateway-Vlan-interface20] quit

6. 配置DHCP服务器

由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略。具

体配置请参考DHCP服务器操作手册。

1.5.5 注意事项

配置ARP入侵检测功能之前,需要先在交换机上开启DHCP Snooping

功能,并设置DHCP Snooping信任端口,否则所有ARP报文将都不能

通过ARP入侵检测。

目前,H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口

默认被配置为DHCP Snooping非信任端口。为了使DHCP客户端能从合

法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口

设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在

同一个VLAN内。

DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端

信息。如果固定IP地址的用户需要访问网络,必须在交换机上手工配置

IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端

口之间的绑定关系。

目前,H3C系列以太网交换机在端口上配置的IP静态绑定表项,其所属

VLAN为端口的缺省VLAN ID。因此,如果ARP报文的VLAN TAG与端

口的缺省VLAN ID值不同,报文将无法通过根据IP静态绑定表项进行的

ARP入侵检测。

H3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于

DHCP Snooping动态表项。具体表现在:如果手工配置的IP静态绑定表

项中的IP地址与已存在的DHCP Snooping动态表项的IP地址相同,则

32 / 78

覆盖DHCP Snooping动态表项的内容;如果先配置了IP静态绑定表项,

再开启交换机的DHCP Snooping功能,则DHCP客户端不能通过该交换

机获取到IP静态绑定表项中已经存在的IP地址。

实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过

ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP

报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它

端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定

表进行检测。

建议用户不要在汇聚组中的端口上配置ARP入侵检测、ARP报文限速功

能。

1.6 认证模式下的ARP攻击防御配置举例

1.6.1 组网需求

某校园网内大部分用户通过接入设备连接网关和外网的服务器。管理员希望通

过客户端和服务器间的认证机制,在客户端绑定网关的IP/MAC对应关系,过

滤掉仿冒网关的ARP攻击报文。详细网络应用需求分析如下:

接入用户可以通过DHCP自动获取IP地址,也可以手工配置静态IP地址。

但需要安装802.1x客户端,即:通过802.1x认证才能访问网络。

服务器采用H3C公司的CAMS认证/授权、计费服务器;CAMS通过将

网关的IP-MAC对应关系下发到认证客户端,防止用户端的网关仿冒等

ARP攻击。

接入交换机需要开启802.1x和AAA相关配置。

33 / 78

1.6.2 组网图

DHCP serverCAMS

IP network

IP:20.10.1.1/16

Eth1/0/3

Vlan-int 10

192.168.0.1/24

Eth1/0/1

Vlan-int 20

192.168.1.1/24

Eth1/0/2

IP:10.10.1.1/16

Gateway

VLAN10

Host area1

Switch A

Eth1/0/1

Eth1/0/3

Eth1/0/2

Eth1/0/1

Eth1/0/4

Swtich B

VLAN20

Host area2

Eth1/0/2

Eth1/0/3

Host A

Host BHost CHost DHost E

图1-8 认证模式下的ARP攻击防御组网示意图

1.6.3 配置思路

用户安装802.1x客户端,即需要通过802.1x认证才能访问网络。

接入交换机Switch A和Switch B上开启802.1x和AAA相关配置。

通过CAMS服务器将网关的IP-MAC对应关系下发到认证客户端,防止

用户端的网关仿冒等ARP攻击。

1.6.4 配置步骤

1. 配置SwitchA

# 创建VLAN 10,并添加相应端口。

system-view

[SwitchA] vlan 10

[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/3

[SwitchA-vlan10] quit

# 设置RADIUS方案cams,设置主服务器。

[SwitchA] radius scheme cams

[SwitchA-radius-cams] primary authentication 10.10.1.1

[SwitchA-radius-cams] accounting optional

# 设置系统与认证Radius服务器交互报文时加密密码为expert。

[SwitchA-radius-cams] key authentication expert

#设置用户名为带域名格式。

[SwitchA-radius-cams] user-name-format with-domain

#服务类型为extended。

34 / 78

[SwitchA-radius-cams] server-type extended

[SwitchA-radius-cams] quit

# 定义ISP域abc,并配置认证采用RADIUS方案cams。

[SwitchA] domain abc

[SwitchA-isp-abc] radius-scheme cams

[SwitchA-isp-abc] quit

# 将ISP域abc设置为缺省ISP域。

[SwitchA] domain default enable abc

# 交换机全局开启802.1x功能。

[SwitchA] dot1x

# 在端口Ethernet1/0/2下开启802.1x功能。

[SwitchA] interface Ethernet1/0/2

[SwitchA-Ethernet1/0/2] dot1x

[SwitchA-Ethernet1/0/2] quit

# 在端口Ethernet1/0/3下开启802.1x功能。

[SwitchA] interface Ethernet1/0/3

[SwitchA-Ethernet1/0/3] dot1x

[SwitchA-Ethernet1/0/3] quit

# 配置网关的缺省路由

[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1

2. 配置SwitchB

# 创建VLAN 20,并添加相应端口。

system-view

[SwitchB] vlan 20

[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4

[SwitchB-vlan20] quit

# 设置RADIUS方案cams,设置主服务器。

[SwitchB] radius scheme cams

[SwitchB-radius-cams] primary authentication 10.10.1.1

[SwitchB-radius-cams] accounting optional

# 设置系统与认证Radius服务器交互报文时加密密码为expert。

[SwitchB-radius-cams] key authentication expert

#设置用户名为带域名格式。

[SwitchB-radius-cams] user-name-format with-domain

#服务类型为extended。

[SwitchB-radius-cams] server-type extended

[SwitchB-radius-cams] quit

# 定义ISP域abc,并配置认证采用RADIUS方案cams。

[SwitchB] domain abc

[SwitchB-isp-abc] radius-scheme cams

[SwitchB-isp-abc] quit

# 将ISP域abc设置为缺省ISP域。

[SwitchB] domain default enable abc

# 交换机全局开启802.1x功能。

[SwitchB] dot1x

# 在端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4开启802.1x功能。

35 / 78

[SwitchB] interface Ethernet1/0/2

[SwitchB-Ethernet1/0/2] dot1x

[SwitchB-Ethernet1/0/2] quit

[SwitchB] interface Ethernet1/0/3

[SwitchB-Ethernet1/0/3] dot1x

[SwitchB-Ethernet1/0/3] quit

[SwitchB] interface Ethernet1/0/4

[SwitchB-Ethernet1/0/4] dot1x

[SwitchB-Ethernet1/0/4] quit

# 配置网关的缺省路由。

[SwitchB] ip route-static 0.0.0.0 0 192.168.11

3. 配置Gateway

system-view

# 创建VLAN 10和VLAN 20,并添加端口

[Gateway] vlan 10

[Gateway–vlan10] port Ethernet 1/0/1

[Gateway–vlan10] quit

[Gateway] vlan 20

[Gateway–vlan20] port Ethernet 1/0/2

[Gateway–vlan20] quit

# 配置Vlan-interface10的IP地址为192.168.0.1/24。

[Gateway] interface vlan 10

[Gateway-Vlan-interface10] ip address 192.168.0.1 24

[Gateway-Vlan-interface10] quit

# 配置Vlan-interface20的IP地址为192.168.1.1/24。

[Gateway] interface vlan 20

[Gateway-Vlan-interface20] ip address 192.168.1.1 24

[Gateway-Vlan-interface20] quit

4. 配置RADIUS Server(以CAMS 2.10-R0210版本为例)

(1) 在登录页面输入正确的用户名、密码登录CAMS服务器

(2) 创建服务类型

登录CAMS服务器配置平台,点击左侧的“服务管理”下的“服务配置”,进

入“服务配置”界面,如图所示。

图1-9 服务配置页面

点击“服务配置”界面上方的“增加”按钮:

36 / 78

“基本信息”中设置服务名为“Host”。

“认证客户端配置”选择“仅限CAMS配套客户端”;“IP地址获取方式”

选择“不限”。

图1-10 增加服务页面

点击确定,成功添加服务类型。

(3) 添加帐户用户(以组网图中用户“HostA”帐号的创建为例)

登录CAMS服务器配置平台,点击左侧的“用户管理”的“帐号用户”,进入

“帐户管理”界面。

图1-11 用户帐户界面

点击“增加”按钮后:

37 / 78

设置用户为“HostA”,密码为“HostA@school”,用户姓名为“HostA”。

在“服务信息”一栏,选择服务名称“Host”。

图1-12 用户开户页面

点击确定完成用户添加。

(4) 接入设备配置

登录CAMS服务器配置平台,点击左侧的“系统管理”的“系统配置”,进入

“系统配置”界面。

图1-13 系统配置页面

选择修改“接入设备配置”界面。点击页面下方的“增加”按钮,增加配置项。

配置接入用户的IP地址,共享密钥等信息,如下图所示。

38 / 78

图1-14 增加配置项页面

点击确定后,可以看到如下提示:

图1-15 操作成功提示

此时需要返回“系统配置”页面,点击“立即生效”。

图1-16 系统配置页面的立即生效按钮

(5) 用户网关配置

登录CAMS服务器配置平台,点击左侧的“系统管理”的“系统配置”,进入

“系统配置”界面。

39 / 78

图1-17 系统配置页面

选择修改“用户网关配置”,可以增加或修改网关的地址等信息。

图1-18 用户网关配置页面

点击页面下方的“增加”按钮,增加配置项。(以

认证模式下的ARP攻击防御组网

示意图

中,网关Vlan-interface1接口为例)

图1-19 用户网关配置列表页面

点击“确定”,返回“系统配置”页面,点击“立即生效”。完成用户网关配

置。

5. 配置客户端

接入用户PC上需要安装H3C公司iNode客户端产品。具体配置如下。

(1) 启动客户端

40 / 78

图1-20 客户端页面

(2) 选择“802.1x协议”

点击下一步:

图1-21 新建802.1x连接

选择“普通连接”,点击“下一步”。

41 / 78

图1-22 选择普通连接

(3) 设置用户名和密码

点击下一步:

图1-23 设置用户名和密码

(4) 设置连接属性

42 / 78

点击下一步:

图1-24 设置连接属性

(5) 完成连接的创建

图1-25 连接创建成功

(6) 启动连接

43 / 78

图1-26 启动连接

1.6.5 注意事项

如果接入用户的网段过多,可能导致无法将全部网关的IP-MAC对应关系

下发到认证客户端。CAMS服务器上“用户网关配置”的最大数目,和接

入交换机最多支持的网关ARP信息的下发数目,请参考相应的产品规格。

接入交换机上RADIUS策略,需要配置为server-type extended。

堆叠管理配置

一二 组网需求:

1. SwitchA作为主堆叠交换机,使用堆叠方式对SwitchB和SwitchC管理;

2. SwitchA使用端口G1/1和G2/1上的堆叠模块,分别与SwitchB的G1/1和SwitchC的

G1/1上的堆叠模块互连,每个端口都是Trunk端口,并且允许业务VLAN以及管理VLAN100

通过。

一三 组网图:

44 / 78

一四 配置步骤:

集群管理默认使用VLAN 1作为管理VLAN,可以使用management-vlan命令

来修改交换机在集群管理中的管理VLAN。

3 Quidway 2000-EI、3000和H3C 3100-SI、5100 、3500系列交换机的配

SwitchA配置:

1.创建VLAN100

[SwitchA]vlan 100

2.将VLAN100配置为管理VLAN

[SwitchA]management-vlan 100

3.进入堆叠端口G1/1,将其配置为trunk端口,并允许管理VLAN100通过

[SwitchA]interface GigabitEthernet 1/1

[SwitchA-GigabitEthernet 1/1]port link-type trunk

[SwitchA-GigabitEthernet 1/1]port trunk permit vlan 100

4.进入堆叠端口G2/1,将其配置为trunk端口,并允许管理VLAN100通过

[SwitchA]interface GigabitEthernet 1/2

[SwitchA-GigabitEthernet 1/2]port link-type trunk

[SwitchA-GigabitEthernet 1/2]port trunk permit vlan 100

5.配置堆叠管理使用的IP地址范围

[SwitchA]stacking ip-pool 100.1.1.1 16

6.建立堆叠

[SwitchA]stacking enable

SwitchB配置:

1.创建VLAN100

[SwitchB]vlan 100

2.将VLAN100配置为管理VLAN

45 / 78

[SwitchB]management-vlan 100

3.进入堆叠端口G1/1,将其配置为trunk端口,并允许管理VLAN100通过

[SwitchB]interface GigabitEthernet 1/1

[SwitchB-GigabitEthernet 1/1]port link-type trunk

[SwitchB-GigabitEthernet 1/1]port trunk permit vlan 100

4.建立堆叠

[SwitchB]stacking enable

SwitchC配置:

1.创建VLAN100

[SwitchC]vlan 100

2.将VLAN100配置为管理VLAN

[SwitchC]management-vlan 100

3.进入堆叠端口G1/1,将其配置为trunk端口,并允许管理VLAN100通过

[SwitchC]interface GigabitEthernet 1/1

[SwitchC-GigabitEthernet 1/1]port link-type trunk

[SwitchC-GigabitEthernet 1/1]port trunk permit vlan 100

4.建立堆叠

[SwitchC]stacking enable

4 H3C 3600系列交换机的配置

SwitchA配置:

1.使能端口G1/1,G1/2的堆叠功能

[SwitchA]fabric-port Gigabit Ethernet1/0/1 enable

[SwitchA]fabric-port Gigabit Ethernet1/0/2 enable

SwitchB配置:

1.使能端口G1/1的堆叠功能

[SwitchB]fabric-port Gigabit Ethernet1/0/1 enable

SwitchC配置:

1.使能端口G1/1的堆叠功能

[SwitchC]fabric-port Gigabit Ethernet1/0/1 enable

一五 配置关键点:

1.在主堆叠交换机上登录从堆叠交换机的命令为:[SwitchA]stacking num

注意该命令只能在主堆叠交换机上使用,如果从某个从堆叠交换机视图切换回主

堆叠交换机视图,则只需输入quit即可;

2.对于H3C 5600系列交换机只要插上专用的堆叠电缆,会自动堆叠无需人工

46 / 78

操作

集群管理配置

一六 组网需求:

1.SwitchA作为集群管理交换机,对成员SwitchB和SwitchC进行集群管理;

2.SwitchA使用以太网端口E0/1和E0/2,分别与SwitchB和SwitchC的端口

E0/24互连,互连端口都是Trunk端口,允许业务VLAN以及管理VLAN100通

过;

3.此案例同时适用于以下产品:

H3C 3100-SI、5100、3500、3600、5600、3610、5510系列交换机

Quidway 3000、2000-EI系列交换机。

一七 组网图:

一八 配置步骤:

集群管理默认使用VLAN 1作为管理VLAN,可以使用management-vlan命令

来修改交换机在集群管理中的管理VLAN。

SwitchA配置:

1.创建VLAN100

[SwitchA]vlan 100

2.将VLAN100配置为管理VLAN

[SwitchA]management-vlan 100

3.进入以太网端口E0/1,将其配置为Trunk端口,并允许管理VLAN100通过

[SwitchA]interface Ethernet 0/1

47 / 78

[SwitchA-Ethernet0/1]port link-type trunk

[SwitchA-Ethernet0/1]port trunk permit vlan 100

4.进入以太网端口E0/2,将其配置为Trunk端口,并允许管理VLAN100通过

[SwitchA]interface Ethernet 0/2

[SwitchA-Ethernet0/2]port link-type trunk

[SwitchA-Ethernet0/2]port trunk permit vlan 100

5.启动集群功能

[SwitchA]cluster enable

6.进入集群视图,配置集群管理内部使用的IP地址,起始地址为100.1.1.1,

共有16个地址

[SwitchA]cluster

[SwitchA-cluster]ip-pool 100.1.1.1 255.255.255.240

7.配置集群名字为huawei,并自动建立集群

[SwitchA-cluster]build H3C

[H3C_A-cluster]auto-build

SwitchB配置:

1.创建VLAN100

[SwitchB]vlan 100

2.将VLAN100配置为管理VLAN

[SwitchB]management-vlan 100

3.进入以太网端口E0/24,将其配置为trunk端口,并允许管理VLAN100通过

[SwitchB]interface Ethernet 0/24

[SwitchB-Ethernet0/24]port link-type trunk

[SwitchB-Ethernet0/24]port trunk permit vlan 100

4.启动集群功能

[SwitchB]cluster enable

SwitchC配置:

1.创建VLAN100

[SwitchC]vlan 100

2.将VLAN100配置为管理VLAN

[SwitchC]management-vlan 100

3.进入以太网端口E0/24,将其配置为trunk端口,并允许管理VLAN100通过

48 / 78

[SwitchC]interface Ethernet 0/24

[SwitchC-Ethernet0/24]port link-type trunk

[SwitchC-Ethernet0/24]port trunk permit vlan 100

4.启动集群功能

[SwitchC]cluster enable

一九 配置关键点:

1.在管理设备上查看成员设备的命令:[SwitchA]display cluster member

在管理设备上登陆指定的成员设备的命令:cluster switch-to

member-num以上两条命令只能在管理设备上成功执行。

高级篇

华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、

S5012、S5024、S5600系列:

交换机配置(一)交换机端口限速

2000_EI系列以上的交换机都可以限速!

限速不同的交换机限速的方式不一样!

2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!

端口限速配置

1功能需求及组网说明

端口限速配置

『配置环境参数』

1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24

『组网需求』

1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率

限制在1Mbps

2数据配置步骤

『S2000EI系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】

1. 进入端口E0/1的配置视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet0/1]line-rate outbound 30

3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet0/1]line-rate inbound 16

【补充说明】

49 / 78

报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的

粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如

果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置

的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。

此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。

『S2000-SI和S3000-SI系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】

1. 进入端口E0/1的配置视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps

[SwitchA- Ethernet0/1]line-rate outbound 2

3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet0/1]line-rate inbound 1

【补充说明】

对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:

端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;

端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,

80M。

此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。

『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,

使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。

【SwitchA相关配置】

1. 进入端口E0/1的配置视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet0/1]line-rate 3

3. 配置acl,定义符合速率限制的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1 exceed drop

【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合

acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,

也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文

进行流量限制。

端口出入方向限速的粒度为1Mbps。

此系列交换机的具体型号包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。

『S3528、S3552系列交换机端口限速配置流程』

使用以太网物理端口下面的traffic-shape和traffic-limit命令,分别来对该端口的出、入报文

进行流量限速。

【SwitchA相关配置】

50 / 78

1. 进入端口E0/1的配置视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet0/1]traffic-shape 3250 3250

3. 配置acl,定义符合速率限制的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed

drop

【补充说明】

此系列交换机的具体型号包括:S3528G/P和S3552G/P/F。

『S3900系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,

使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向

数据报文进行流量限制。

【SwitchA相关配置】

1. 进入端口E1/0/1的配置视图

[SwitchA]interface Ethernet 1/0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet1/0/1]line-rate 3000

3. 配置acl,定义符合速率限制的数据流

[SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合

acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,

也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文

进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括:S3924、S3928P/F/TP和S3952P。

『S5600系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,

使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向

数据报文进行流量限制。

【SwitchA相关配置】

1. 进入端口E1/0/1的配置视图

[SwitchA]interface Ethernet 1/0/1

2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet1/0/1]line-rate 3000

3. 配置acl,定义符合速率限制的数据流

[SwitchA]acl number 4000

51 / 78

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合

acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,

也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文

进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括:S5624P/F和S5648P。

交换机配置(二)端口绑定基本配置

1,端口+MAC

a)AM命令

使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。例如:

[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,

而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其

他端口上网。

b)mac-address命令

使用mac-address static命令,来完成MAC地址与端口之间的绑定。例如:

[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

[SwitchA]mac-address max-mac-count 0

配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为

0,使其他PC接入此端口后其mac地址无法被学习。

2,IP+MAC

a)AM命令

使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。例如:

[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3

配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址

或者MAC地址不同的PC机,在任何端口都无法上网。

支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、

S5012T/G、S5024G

b)arp命令

使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定。例如:

[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3

[SwitchA]arp static 1.1.1.1 ffff-ffff-ffff 220 Ethernet 1/0/1

配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。

3,端口+IP+MAC

使用特殊的AM User-bind命令,来完成IP、MAC地址与端口之间的绑定。例如:

[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置说明:可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用

52 / 78

了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定

的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其

他端口上网。

支持型号:S3026E/S3026E-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;E3026;E050;

S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)

交换机配置(三)ACL基本配置

1,二层ACL

. 组网需求:

通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目

的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。

.配置步骤:

(1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL

# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。

[Quidway] acl name traffic-of-link link

# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress

00e0-fc01-0303 0-0-0 time-range huawei

(3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link

2,三层ACL

a)基本访问控制列表配置案例

. 组网需求:

通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文

的过滤。该主机从GigabitEthernet0/1接入。

.配置步骤:

(1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源IP为10.1.1.1的ACL

# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。

[Quidway] acl name traffic-of-host basic

# 定义源IP为10.1.1.1的访问规则。

[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei

(3)激活ACL。

# 将traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host

b)高级访问控制列表配置案例

.组网需求:

公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端

53 / 78

口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL,限制研发部门在上班

时间8:00至18:00访问工资服务器。

.配置步骤:

(1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 working-day

(2)定义到工资服务器的ACL

# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。

[Quidway] acl name traffic-of-payserver advanced

# 定义研发部门到工资服务器的访问规则。

[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0

time-range huawei

(3)激活ACL。

# 将traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver

3,常见病毒的ACL

创建acl

acl number 100

禁ping

rule deny icmp source any destination any

用于控制Blaster蠕虫的传播

rule deny udp source any destination any destination-port eq 69

rule deny tcp source any destination any destination-port eq 4444

用于控制冲击波病毒的扫描和攻击

rule deny tcp source any destination any destination-port eq 135

rule deny udp source any destination any destination-port eq 135

rule deny udp source any destination any destination-port eq netbios-ns

rule deny udp source any destination any destination-port eq netbios-dgm

rule deny tcp source any destination any destination-port eq 139

rule deny udp source any destination any destination-port eq 139

rule deny tcp source any destination any destination-port eq 445

rule deny udp source any destination any destination-port eq 445

rule deny udp source any destination any destination-port eq 593

rule deny tcp source any destination any destination-port eq 593

用于控制振荡波的扫描和攻击

rule deny tcp source any destination any destination-port eq 445

rule deny tcp source any destination any destination-port eq 5554

rule deny tcp source any destination any destination-port eq 9995

rule deny tcp source any destination any destination-port eq 9996

用于控制 Worm_MSBlast.A 蠕虫的传播

rule deny udp source any destination any destination-port eq 1434

下面的不出名的病毒端口号 (可以不作)

rule deny tcp source any destination any destination-port eq 1068

rule deny tcp source any destination any destination-port eq 5800

54 / 78

rule deny tcp source any destination any destination-port eq 5900

rule deny tcp source any destination any destination-port eq 10080

rule deny tcp source any destination any destination-port eq 455

rule deny udp source any destination any destination-port eq 455

rule deny tcp source any destination any destination-port eq 3208

rule deny tcp source any destination any destination-port eq 1871

rule deny tcp source any destination any destination-port eq 4510

rule deny udp source any destination any destination-port eq 4334

rule deny tcp source any destination any destination-port eq 4331

rule deny tcp source any destination any destination-port eq 4557

然后下发配置

packet-filter ip-group 100

目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,

详细和复杂的配置请看配置手册。

NE80的配置:

NE80(config)#rule-map r1 udp any any eq 1434

//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp

端口号

NE80(config)#acl a1 r1 deny

//a1为acl的名字,r1为要绑定的rule-map的名字,

NE80(config-if-Ethernet1/0/0)#access-group acl a1

//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字

NE16的配置:

NE16-4(config)#firewall enable all

//首先启动防火墙

NE16-4(config)#access-list 101 deny udp any any eq 1434

//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为

udp端口号

NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in

//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文

中低端路由器的配置

[Router]firewall enable

[Router]acl 101

[Router-acl-101]rule deny udp source any destion any destination-port eq 1434

[Router-Ethernet0]firewall packet-filter 101 inbound

6506产品的配置:

旧命令行配置如下:

6506(config)#acl extended aaa deny protocol udp any any eq 1434

6506(config-if-Ethernet5/0/1)#access-group aaa

国际化新命令行配置如下:

[Quidway]acl number 100

[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434

[Quidway-acl-adv-100]quit

[Quidway]interface ethernet 5/0/1

55 / 78

[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface

5516产品的配置:

旧命令行配置如下:

5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434

5516(config)#flow-action fff deny

5516(config)#acl bbb aaa fff

5516(config)#access-group bbb

国际化新命令行配置如下:

[Quidway]acl num 100

[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434

[Quidway]packet-filter ip-group 100

3526产品的配置:

旧命令行配置如下:

rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434

flow-action f1 deny

acl acl1 r1 f1

access-group acl1

国际化新命令配置如下:

acl number 100

rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0

packet-filter ip-group 101 rule 0

注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。

8016产品的配置:

旧命令行配置如下:

8016(config)#rule-map intervlan aaa udp any any eq 1434

8016(config)#acl bbb aaa deny

8016(config)#access-group acl bbb vlan 10 port all

国际化新命令行配置如下:

8016(config)#rule-map intervlan aaa udp any any eq 1434

8016(config)#eacl bbb aaa deny

8016(config)#access-group eacl bbb vlan 10 port all

防止同网段ARP欺骗的ACL

一、组网需求:

1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击

二、组网图:

56 / 78

图1二层交换机防ARP攻击组网

S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为

000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,

目的是过滤掉仿冒网关IP的ARP报文。

三、配置步骤

对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可

以配置ACL来进行ARP报文过滤。

全局配置ACL禁止所有源IP是网关的ARP报文

acl num 5000

rule 0 deny 0806 ffff 24 64010101 ffffffff 40

rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34

其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是

网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文,斜体部

分为网关的mac地址000f-e200-3999。

注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。

在S3026C-A系统视图下发acl规则:

[S3026C-A] packet-filter user-group 5000

这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒

网关的arp响应报文。

三层交换机实现仿冒网关的ARP防攻击

一、组网需求:

1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击

二、组网图

57 / 78

图2 三层交换机防ARP攻击组网

三、配置步骤

1. 对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规

则:

acl number 5000

rule 0 deny 0806 ffff 24 64010105 ffffffff 40

rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP

地址100.1.1.5的16进制表示形式。

2. 下发ACL到全局

[S3526E] packet-filter user-group 5000

仿冒他人IP的ARP防攻击

一、组网需求:

作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP

的ARP攻击报文进行过滤。

二、组网图:

参见图1和图2

三、配置步骤:

1. 如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的

mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,

这样3552上就会学习到错误的arp,如下所示:

--------------------- 错误 arp 表项 --------------------------------

IP Address MAC Address VLAN ID Port Name Aging Type

100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic

100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic

从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口

上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP

实现防攻击:

arp static 100.1.1.3 000f-3d81-45b4 1 e0/8

2. 在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。

3. 对于二层设备(S3050C和S3026E系列),除了可以配置静态ARP外,还可以配置IP+

MAC+port绑定,比如在S3026C端口E0/4上做如下操作:

am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4

58 / 78

则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设

备的ARP报文则无法通过,从而不会出现错误ARP表项。

四、配置关键点:

此处仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中,请根据配

置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能

防止ARP欺骗。

5,关于ACL规则匹配的说明

a) ACL直接下发到硬件中的情况

交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时

一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置

了匹配顺序也不起作用。

ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、硬件转发时通过ACL

过滤转发数据等。

b) ACL被上层模块引用的情况

交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL子规则的匹配顺序

有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自

动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义ACL的时候指定一条ACL

中多个子规则的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该

顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。

ACL被软件引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL等。

交换机配置(四)密码恢复

说明:以下方法将删除原有config文件,使设备恢复到出厂配置。

在设备重启时按Ctrl+B进入BOOT MENU之后,

Press Ctrl-B to enter 5

Password : 缺省为空,回车即可

1. Download application file to flash

2. Select application file to boot

3. Display all files in flash

4. Delete file from Flash

5. Modify bootrom password

0. Reboot

Enter your choice(0-5): 4 选择4

No. File Name File Size(bytes)

======================================================================

=====

1 257224

2 447827

3 snmpboots 4

4 * 2985691

5 hostkey 428

6 serverkey 572

7 1281

59 / 78

Free Space : 3452928 bytes

The current application file is

Please input the file number to delete: 7 选择7,删除当前的配置文件

Do you want to delete now? Yes or No(Y/N)y

done!

BOOT MENU

1. Download application file to flash

2. Select application file to boot

3. Display all files in flash

4. Delete file from Flash

5. Modify bootrom password

0. Reboot

Enter your choice(0-5):0 选择0,重启设备

注:删除之后交换机就恢复了出厂配置。

交换机配置(五)三层交换配置

1, 三层交换数据包转发流程图:

2,三层交换机配置实例:

服务器1双网卡,内网IP:192.168.0.1,其它计算机通过其代理上网

PORT1属于VLAN1

PORT2属于VLAN2

PORT3属于VLAN3

VLAN1的机器可以正常上网

60 / 78

配置VLAN2的计算机的网关为:192.168.1.254

配置VLAN3的计算机的网关为:192.168.2.254

即可实现VLAN间互联

如果VLAN2和VLAN3的计算机要通过服务器1上网

则需在三层交换机上配置默认路由

系统视图下:ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

然后再在服务器1上配置回程路由

进入命令提示符

route add 192.168.1.0 255.255.255.0 192.168.0.254

route add 192.168.2.0 255.255.255.0 192.168.0.254

这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~

3,三层交换机VLAN之间的通信

VLAN的划分应与IP规划结合起来,使得一个VLAN 接口IP就是对应的子网段就是某个

部门的子网段,VLAN接口IP就是一个子网关。VLAN应以部门划分,相同部门的主机IP

以VLAN接口IP为依据划归在一个子网范围,同属于一个VLAN。这样不仅在安全上有益,

而且更方便网络管理员的管理和监控。注意:各VLAN中的客户机的网关分别对应各VLAN

的接口IP。

在这企业网中计划规划四个VLAN子网对应着四个重要部门,笔者认为这也是小企业

最普遍的部门结构,分别是:

VLAN10——综合行政办公室;

VLAN20——销售部;

VLAN30——财务部;

VLAN40——数据中心(网络中心)。

划分VLAN以后,要为每一个VLAN配一个“虚拟接口IP地址”。

VLAN10——192.168.10.1

VLAN20——192.168.20.1

VLAN30——192.168.30.1

VLAN40——192.168.40.1

拓朴图如下:

VLAN及路由配置

-3326SR三层交换机的VLAN的配置过程:

(1)创建VLAN

DES-3326SR#Config vlan default delete 1 -24 删除默认VLAN(default)包含的端口

1-24''

DES-3326SR#Create vlan vlan10 tag 10 创建VLAN名为vlan10,并标记VID为10

DES-3326SR#Create vlan vlan20 tag 20 创建VLAN名为vlan20,并标记VID为20

DES-3326SR#Create vlan vlan30 tag 30 创建VLAN名为vlan10,并标记VID为30

DES-3326SR#Create vlan vlan40 tag 40 创建VLAN名为vlan10,并标记VID为40

(2)添加端口到各VLAN

DES-3326SR#Config vlan vlan10 add untag 1-6 把端口1-6添加到VLAN10

DES-3326SR#Config vlan vlan20 add untag 7-12 把端口1-6添加到VLAN20

DES-3326SR#Config vlan vlan30 add untag 13-18 把端口1-6添加到VLAN30

DES-3326SR#Config vlan vlan40 add untag 19-24 把端口1-6添加到VLAN40

(3)创建VLAN接口IP

61 / 78

DES-3326SR#Create ipif if10 192.168.10.1/24 VLAN10 state enabled 创建虑拟的接口

if10给名为VLAN10的VLAN子网,并且指定该接口的IP为192.168.10.1/24。创建后enabled

激活该接口。

同样方法设置其它的接口IP:

DES-3326SR#Create ipif if20 192.168.20.1/24 VLAN20 state enabled

DES-3326SR#Create ipif if30 192.168.30.1/24 VLAN30 state enabled

DES-3326SR#Create ipif if40 192.168.40.1/24 VLAN40 state enabled

(4)路由

当配置三层交换机的三层功能时,如果只是单台三层交换机,只需要配置各VLAN的

虚拟接口就行,不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直

接路由的身份出现,因此不需要静态路由或动态路由协议的配置。

-3226S二层交换机的VLAN的配置过程:

(1)创建VLAN

DES-3226S#Config vlan default delete 1 -24 删除默认VLAN(default)包含的端口1-24''

DES-3226S#Create vlan vlan10 tag 10 创建VLAN名为vlan10,并标记VID为10

(2)添加端口到各VLAN

DES-3226S#Config vlan vlan10 add untag 1-24 把端口1-24添加到VLAN10

同理,配置其它DES-3226S二层交换机。完成以后就可以将各个所属VLAN的二层交

换机与DES-3326SR三层交换机的相应VLAN的端口连接即可。

交换机配置(六)端口镜像配置

【3026等交换机镜像】

S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:

方法一

1. 配置镜像(观测)端口

[SwitchA]monitor-port e0/8

2. 配置被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

方法二

1. 可以一次性定义镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜

像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口,对输入和输出的数据分别镜像

1. 设置E1/0/15和E2/0/0为镜像(观测)端口

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

62 / 78

基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来

说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1. 定义一条扩展访问控制列表

[SwitchA]acl num 101

2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 101 interface e0/8

〖基于二层流的镜像〗

1. 定义一个ACL

[SwitchA]acl num 200

2. 定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 (egress interface any)

3. 定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule 1 permit (ingress interface any) egress interface Ethernet0/1

4. 将符合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516】

支持对入端口流量进行镜像

配置端口Ethernet 3/0/1为监测端口,对Ethernet 3/0/2端口的入流量镜像。

[SwitchA]mirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1

【6506/6503/6506R】

目前该三款产品只支持对入端口流量进行镜像,虽然有outbount参数,但是无法配置。

镜像组名为1,监测端口为Ethernet4/0/2,端口Ethernet4/0/1的入流量被镜像。

[SwitchA]mirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2

【补充说明】

1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,

反之则无法实现

2. 8016支持跨单板端口镜像

华为各种型号交换机端口镜像配置方法总结

有不少朋友在问华为交换机镜像方面的问题。通过本人现有的资料和文档,现把各种型号的

交换机镜像方法总结一下。以便各位朋友能够方便查阅!在学配置之前,对于端口镜像的基

本概念还是要一定的了解!

一、端口镜像概念:

Port Mirror(端口镜像)是用于进行网络性能监测。可以这样理解:在端口A 和端口B 之间

建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上

连接的分析仪或者分析软件进行性能分析或故障判断。

二、端口镜像配置

『环境配置参数』

1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24

63 / 78

2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24

3. E0/24为交换机上行端口

4. Server接在交换机E0/8端口,该端口作为镜像端口

『组网需求』

1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2. 按照镜像的不同方式进行配置:

1) 基于端口的镜像

2) 基于流的镜像

2 数据配置步骤

『端口镜像的数据流程』

基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量

观测或者故障定位。

【3026等交换机镜像】

S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法:

方法一

1. 配置镜像(观测)端口

[SwitchA]monitor-port e0/8

2. 配置被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

方法二

1. 可以一次性定义镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜

像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口,对输入和输出的数据分别镜像

1. 设置E1/0/15和E2/0/0为镜像(观测)端口

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来

说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1. 定义一条扩展访问控制列表

[SwitchA]acl num 100

2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

64 / 78

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

〖基于二层流的镜像〗

1. 定义一个ACL

[SwitchA]acl num 200

2. 定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2

3. 定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1

4. 将符合上述ACL的数据包镜像到E0/8

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516/6506/6503/6506R】

目前该三款产品支持对入端口流量进行镜像

1. 定义镜像端口

[SwitchA]monitor-port Ethernet 3/0/2

2. 定义被镜像端口

[SwitchA]mirroring-port Ethernet 3/0/1 inbound

【补充说明】

1. 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,

反之则无法实现

2. 8016支持跨单板端口镜像端口镜像配置

『环境配置参数』

交换机配置(七)DHCP配置

1,交换机作DHCP Server

『配置环境参数』

1. PC1、PC2的网卡均采用动态获取IP地址的方式

2. PC1连接到交换机的以太网端口0/1,属于VLAN10;PC2连接到交换机的以太网

端口0/2,属于VLAN20

3. 三层交换机SwitchA的VLAN接口10地址为10.1.1.1/24,VLAN接口20地址为

10.1.2.1/24

『组网需求』

1. PC1可以动态获取10.1.1.0/24网段地址,并且网关地址为10.1.1.1;PC2可以动态

获取10.1.2.0/24网段地址,并且网关地址为10.1.2.1

『DHCP Server配置流程流程』

可以完成对直接连接到三层交换机的PC机分配IP地址,也可以对通过DHCP中继设备连

接到三层交换机的PC机分配IP地址。

分配地址的方式可以采用接口方式,或者全局地址池方式。

【SwitchA采用接口方式分配地址相关配置】

1. 创建(进入)VLAN10

[SwitchA]vlan 10

2. 将E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1

65 / 78

3. 创建(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

4. 为VLAN接口10配置IP地址

[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0

5. 在VLAN接口10上选择接口方式分配IP地址

[SwitchA-Vlan-interface10]dhcp select interface

6. 禁止将PC机的网关地址分配给用户

[SwitchA]dhcp server forbidden-ip 10.1.1.1

【SwitchA采用全局地址池方式分配地址相关配置】

1. 创建(进入)VLAN10

[SwitchA]vlan 10

2. 将E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1

3. 创建(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

4. 为VLAN接口10配置IP地址

[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0

5. 在VLAN接口10上选择全局地址池方式分配IP地址

[SwitchA-Vlan-interface10]dhcp select global

6. 创建全局地址池,并命名为”vlan10”

[SwitchA]dhcp server ip-pool vlan10

7. 配置vlan10地址池给用户分配的地址范围以及用户的网关地址

[SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0

[SwitchA-dhcp-vlan10]gateway-list 10.1.1.1

8. 禁止将PC机的网关地址分配给用户

[SwitchA]dhcp server forbidden-ip 10.1.1.1

【补充说明】

以上配置以VLAN10的为例,VLAN20的配置参照VLAN10的配置即可。在采用全局地址

池方式时,需新建一个与”vlan10”不同名的全局地址池。

经过以上配置,可以完成为PC1分配的IP地址为10.1.1.0/24,同时PC1的网关地址为

10.1.1.1;为PC2分配的IP地址为10.1.2.0/24,同时PC2的网关地址为10.1.2.1。

VLAN接口默认情况下以全局地址池方式进行地址分配,因此当VLAN接口配置了以全局

地址池方式进行地址分配后,查看交换机当前配置时,在相应的VLAN接口下无法看到有

关DHCP的配置。

利用全局地址池方式,可以完成为用户分配与三层交换机本身VLAN接口地址不同网段的

IP地址。

2,DHCP Relay配置

『配置环境参数』

1. DHCP Server的IP地址为192.168.0.10/24

2. DHCP Server连接在交换机的G1/1端口,属于vlan100,网关即交换机vlan接口100

的地址192.168.0.1/24

3. E0/1-E0/10属于vlan10,网段地址10.10.1.1/24

4. E0/11-E0/20属于vlan20,网段地址10.10.2.1/24

『组网需求』

66 / 78

1. 在SwitchA上配置DHCP Relay使下面用户动态获取指定的相应网段的IP地址

2. PC1、PC2均可以ping通自己的网关,同时PC1、PC2之间可以互访

『交换机DHCP Relay配置流程』

DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况,通过Relay,不同子

网的用户可以到同一个DHCP Server申请IP地址,这样便于地址池的管理和维护。

【SwitchA相关配置】

1. 全局使能DHCP功能(缺省情况下,DHCP功能处于使能状态)

[SwitchA]dhcp enable

2. 创建(进入)VLAN100

[SwitchA]vlan 100

3. 将G1/1加入到VLAN100

[SwitchA-vlan100]port GigabitEthernet 1/1

4. 创建(进入)VLAN接口100

[SwitchA]interface Vlan-interface 100

5. 为VLAN接口100配置IP地址

[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0

6. 创建(进入)VLAN10

[SwitchA]vlan 10

7. 将E0/1-E0/10加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

8. 创建(进入)VLAN接口10

[SwitchA]interface Vlan-interface 10

9. 为VLAN接口10配置IP地址

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

10. 使能VLAN接口10的DHCP中继功能

[SwitchA-Vlan-interface10]dhcp select relay

11. 为VLAN接口10配置DHCP服务器的地址

[SwitchA-Vlan-interface10]ip relay address 192.168.0.10

12. 创建(进入)VLAN20

[SwitchA-vlan10]vlan 20

13. 将E0/11-E0/20加入到VLAN20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

14. 创建(进入)VLAN接口20

[SwitchA]interface Vlan-interface 20

15. 为VLAN接口20配置IP地址

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

16. 使能VLAN接口20的DHCP中继功能

[SwitchA-Vlan-interface20]dhcp select relay

17. 为VLAN接口20配置DHCP服务器的地址

[SwitchA-Vlan-interface20]ip relay address 192.168.0.10

【补充说明】

也可以在全局配置模式下,使能某个或某些VLAN接口上的DHCP中继功能,例如:

[SwitchA]dhcp select relay interface Vlan-interface 10

3,DHCP Snooping

67 / 78

『配置环境参数』

1. DHCP Server连接在交换机SwitchA的G1/1端口,属于vlan10,IP地址为

10.10.1.253/24

2. 端口E0/1和E0/2同属于vlan10

『组网需求』

1. PC1、PC2均可以从指定DHCP Server获取到IP地址

2. 防止其他非法的DHCP Server影响网络中的主机

『交换机DHCP-Snooping配置流程』

当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP

Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping

允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP

Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假

冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

【SwitchA相关配置】

1. 创建(进入)VLAN10

[SwitchA]vlan 10

2. 将端口E0/1、E0/2和G1/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1

3. 全局使能dhcp-snooping功能

[SwitchA]dhcp-snooping

4. 将端口G1/1配置为trust端口,

[SwitchA-GigabitEthernet1/1]dhcp-snooping trust

【补充说明】

由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文――”dhcp offer”

报文,由G1/1端口进入SwitchA并进行转发,因此需要将端口G1/1配置为”trust”端口。

如果SwitchA上行接口配置为Trunk端口,并且连接到DHCP中继设备,也需要将上行端

口配置为”trust”端口。

交换机配置(八)配置文件管理

(1)文件常用操作

1,命令 display current-configuration:查看以太网交换机的当前配置

2,命令 display saved-configuration:查看以太网交换机的启动配置

3,命令 reset saved-configuration:擦除Flash Memory中的配置文件,以太网交换机下次

上电时,系统将采用缺省的配置参数进行初始化。

(2)FTP文件上传与下载

1. 组网需求

交换机作为FTP Server,远端的PC作为FTP Client。在FTP Server上作了如下配置:配置

了一个FTP用户名为switch,密码为hello,对该用户授权了交换机上Flash根目录的读写权

限。交换机上的一个VLAN接口的IP地址为1.1.1.1,PC的IP地址为2.2.2.2,交换机和PC

之间路由可达。

交换机的应用程序保存在PC上。PC通过FTP向远端的交换机上传,

同时将交换机的配置文件下载到PC实现配置文件的备份。

2. 组网图(略)

3. 配置步骤

68 / 78

1) 交换机上的配置

# 用户登录到交换机上。(用户可以在本地通过Console口登录到交换机上,也可以通过telnet

远程登录到交换机上。各种登录方式请参见入门模块的描述。)

# 在交换机上开启FTP服务,设置好用户名、密码和路径:

[Quidway] ftp server enable

[Quidway] local-user switch

[Quidway-luser-switch] service-type ftp ftp-directory flash:

[Quidway-luser-switch] password simple hello

2) 在PC上运行FTP Client程序,同交换机建立FTP连接,同时通过上载操作把交换机的

应用程序上载到交换机的Flash根目录下,同时从交换机上下载配置文件

。FTP Client应用程序由用户自己购买、安装,Quidway系列交换机不附带此软件。

注意:如果交换机的Flash memory空间不够大,请删除Flash中原有的应用程序然后再上载

新的应用程序到交换机Flash中。

3) 在上载完毕后,用户在交换机上进行升级操作。

# 用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序,然后重

启交换机,实现交换机应用程序的升级。

boot boot-loader

reboot

(3)TFTP文件上传与下载

1. 组网需求

交换机作为TFTP Client,PC作为TFTP Server,在TFTP Server上配置了TFTP的工作路径。

交换机上的一个VLAN接口的IP地址为1.1.1.1,交换机和PC相连的端口属于该VLAN,

PC的IP地址为1.1.1.2。

交换机的应用程序保存在PC上。交换机通过TFTP从TFTP Server上下载

,同时将交换机的配置文件上传到TFTP Server的工作目录实现配置文

件的备份。

2. 组网图(略)

3. 配置步骤

1) 在PC上启动了TFTP Server,配置TFTP Server的工作目录。

2) 交换机上的配置

# 用户登录到交换机上。(用户可以在本地通过Console口登录到交换机上,也可以通过telnet

远程登录到交换机上。各种登录方式请参见入门模块的描述。)

注意:如果交换机的Flash memory空间不够大,请删除Flash中原有的应用程序然后再下

载新的应用程序到交换机的Flash中。

# 进入系统视图。

system-view

[Quidway]

# 配置VLAN接口的IP地址为1.1.1.1,同时保证与PC相连的端口属于这个VLAN。(本例

中以VLAN 1为例。)

[Quidway] interface vlan 1

[Quidway-vlan-interface1] ip address 1.1.1.1 255.255.255.0

[Quidway-vlan-interface1] quit

# 将交换机的应用程序从TFTP Server下载到交换机。

[Quidway] tftp get //1.1.1.2/

69 / 78

# 将交换机的配置文件上传到TFTP Server。

[Quidway] tftp put //1.1.1.2/

# 执行quit命令退回到用户视图下。

[Quidway] quit

# 用户可以通过命令boot boot-loader来指定下载的程序为下次启动时的应用程序,然后重

启交换机,实现交换机应用程序的升级。

boot boot-loader

reboot

交换机配置(九)远程管理配置

1,WEB方式

『WEB方式远程管理交换机配置流程』

首先必备条件要保证PC可以与SwitchB通信,比如PC可以ping通SwitchB。

如果想通过WEB方式管理交换机,必须首先将一个用于支持WEB管理的文件载入交换机

的flash中,该文件需要与交换机当前使用的软件版本相配套。WEB管理文件的扩展名为”

tar”或者”zip”,可以从网站上下载相应的交换机软件版本时得到。

需要在交换机上添加WEB管理使用的用户名及密码,该用户的类型为telnet类型,而且权

限为最高级别3。

注意,在将WEB管理文件载入交换机flash时,不要将文件进行解压缩,只需将完整的文

件载入交换机即可(向交换机flash载入WEB管理文件的方法,请参考本配置实例中交换机

的系统管理配置章节)。

【SwitchB相关配置】

1.查看交换机flash里面的文件(保证WEB管理文件已经在交换机flash中)

dir /all

Directory of flash:/

-rwxrwx 1 noone nogroup 442797 Apr 02 2000 13:09:50

2.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”wnm”

[SwitchB]local-user huawei

[SwitchB-luser-huawei]service-type telnet level 3

[SwitchB-luser-huawei]password simple wnm

3.配置交换机管理地址

[SwitchB]interface vlan 100

[SwitchB-Vlan-interface100]ip addr 192.168.0.2 255.255.255.0

4.对HTTP访问用户的控制(Option)

[SwitchB]ip http acl acl_num/acl_name

相关学习帖:

/?tid=401882&fpage=1&highlight=web

2,TELNET方式

【TELNET密码验证配置】

只需输入password即可登陆交换机。

1. 进入用户界面视图

[SwitchA]user-interface vty 0 4

2. 设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

70 / 78

3. 设置登陆验证的password为明文密码”huawei”

[SwitchA-ui-vty0-4]set authentication password simple huawei

4. 配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

5. 或者在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级

别为1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入

系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级

别)例如,配置级别3用户的super password为明文密码”super3”

[SwitchA]super password level 3 simple super3

【TELNET本地用户名和密码验证配置】

需要输入username和password才可以登陆交换机。

1. 进入用户界面视图

[SwitchA]user-interface vty 0 4

2. 配置本地或远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

3. 配置本地TELNET用户,用户名为”huawei”,密码为”huawei”,权限为最高级

别3(缺省为级别1)

[SwitchA]local-user huawei

[SwitchA-user-huawei]password simple huawei

[SwitchA-user-huawei]service-type telnet level 3

4. 在交换机上增加super password

[SwitchA]super password level 3 simple super3

【TELNET RADIUS验证配置】

以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例

1. 进入用户界面视图

[SwitchA]user-interface vty 0 4

2. 配置远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

3. 配置RADIUS认证方案,名为”cams”

[SwitchA]radius scheme cams

4. 配置RADIUS认证服务器地址10.110.51.31

[SwitchA-radius-cams]primary authentication 10.110.51.31 1812

5. 配置交换机与认证服务器的验证口令为”huawei”

[SwitchA-radius-cams]key authentication huawei

6. 送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

7. 创建(进入)一个域,名为”huawei”

[SwitchA]domain huawei

8. 在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

9. 将域”huawei”配置为缺省域

[SwitchA]domain default enable huawei

【TELNET访问控制配置】

71 / 78

1. 配置访问控制规则只允许10.1.1.0/24网段登录

[SwitchA]acl number 2000

[SwitchA-acl-basic-2000]rule deny source any

[SwitchA-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255

2. 配置只允许符合ACL2000的IP地址登录交换机

[SwitchA-ui-vty0-4]acl 2000 inbound

相关学习帖:

/?tid=349090&fpage=1&highlight=telnet

3,SSH方式

1. 组网需求

配置终端(SSH Client)与以太网交换机建立本地连接。终端采用SSH协议进行登录到交换

机上,以保证数据信息交换的安全。

2. 组网图(略)

3. 配置步骤(SSH认证方式为口令认证)

[Quidway] rsa local-key-pair create

& 说明:如果此前已完成生成本地密钥对的配置,可以略过此项操作。

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode scheme

[Quidway-ui-vty0-4] protocol inbound ssh

[Quidway] local-user client001

[Quidway-luser-client001] password simple huawei

[Quidway-luser-client001] service-type ssh

[Quidway] ssh user client001 authentication-type password

SSH的认证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值,这些配置

完成以后,您就可以在其它与以太网交换机连接的终端上,运行支持SSH1.5的客户端软件,

以用户名client001,密码huawei,访问以太网交换机了。

交换机配置(十)STP配置

72 / 78

『配置环境参数』

1. SwitchA选用华为-3com公司的高中端交换机,如S8500或者S6500系列交换机

2. SwitchB和SwitchC选用华为-3com公司的低端交换机,如S3500或者S3550系列交换机

3. SwitchD、SwitchE和SwitchF选用华为­-3com公司的低端交换机,如S3000或者S2000

系列交换机

『组网需求』

1. 所有设备运行STP(Spanning Tree Protocol)生成树协议

2. 以SwitchB为根网桥,阻断网络中的环路,并能达到链路冗余备份的效果

『交换机STP配置流程』

通过改变交换机或者端口的STP优先级,从而达到手工指定网络中的根网桥,以及端口的

STP角色,完成阻断环路及链路的冗余备份。

【SwitchB相关配置】

1.全局使能STP功能(缺省情况下,DHCP功能处于使能状态)

[SwitchB]stp enable

2.将SwtichB配置为树根(两种方法:将SwitchB的Bridge优先级设置为0,或者直接将

SwitchB指定为树根,两种方法一个效果)

[SwitchB]stp priotity 0

[SwitchB]stp root primary

3.在各个指定端口上启动根保护功能(在此例中,SwtichB的所有端口都是制定端口)

[SwitchB]interface Ethernet 0/1

[SwitchB-Ethernet-0/1]stp root-protection

【SwitchC相关配置】

1.全局使能STP功能(缺省情况下,DHCP功能处于使能状态)

[SwitchB]stp enable

2.将SwtichC配置为备份树根(两种方法:将SwitcCB的Bridge优先级设置为4096,或者直

接将SwitchC指定为备份树根,两种方法一个效果)

[SwitchB]stp priotity 4096

[SwitchB]stp root secondary

3.在指定端口上启动根保护功能(在此例中,SwtichC的端口0/1、0/2和0/3是指定端口)

[SwitchB]interface Ethernet 0/1

[SwitchB-Ethernet-0/1]stp root-protection

【其他Switch的相关配置】

将接PC机的端口stp功能关闭,或者配置为边缘端口,并使能BPDU保护功能

[SwitchD--Ethernet0/4]stp disable

[SwitchD--Ethernet0/5]stp edged-port enable

[SwitchD-]stp bpdu-protection

【补充说明】

配置了”bpdu-protection”以后,如果某个边缘端口收到BPDU报文,则该边缘端口将会被

关闭,必须由手工进行恢复。

当端口上配置了”stp root-protection”以后,该端口的角色只能是指定端口,且一旦该端口

上收到了优先级高的配置消息,则该端口的状态将被配置为侦听状态,不再转发报文,当在

足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。

73 / 78

交换机配置(十一)私有VLAN配置

『配置环境参数』

PC1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,

服务器的IP地址为10.1.1.253/24;PC1、PC2和PC3分别连接到交换机的端口E0/1 、E0/2

和 E0/3,端口分属于VLAN10、20和30,服务器连接到交换机的端口G2/1,属于VLAN100。

『交换机Isolate-user-VLAN完成端口隔离配置流程』

等同于原有命令行中的PVLAN,利用VLAN配置视图中,Isolate-user-VLAN命令(原有命

令行中的Primary-VLAN)来完成。

『配置过程』

【SwitchA相关配置】

1.创建(进入)VLAN10,将E0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1

2.创建(进入)VLAN20,将E0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

3.创建(进入)VLAN30,将E0/3加入到VLAN30

[SwitchA]vlan 30

[SwitchA-vlan30]port Ethernet 0/3

4.创建(进入)VLAN100,将G2/1加入到VLAN100

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 2/1

5.将VLAN100配置为Isolate-user-VLAN

[SwitchA-vlan100]Isolate-user-VLAN enable

6.在系统视图模式下,配置Isolate-user-VLAN与各个secondary VLAN之间的映射关系

[SwitchA]isolate-user-vlan 100 secondary 10 20 30

【补充说明】

此功能配置主要用于对用户主机进行二层隔离。

在配置Isolate-user-VLAN与secondary VLAN之间的映射关系之前,Isolate-user-VLAN与

secondary VLAN必须都包含物理端口。

74 / 78

配置了映射关系之后,不可以再对Isolate-user-VLAN或secondary VLAN进行端口增减的操

作,必须先解除映射关系。

交换机配置(十二)端口trunk、hybrid应用配置

1,端口trunk应用

『配置环境参数』

1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,

PC4的IP地址为10.1.1.4/24;

1和PC2分别连接到交换机SwitchA的端口E0/1和E0/2,端口分属于VLAN10和20;

PC3和PC4分别连接在交换机SwitchB的端口E0/10和E0/20,端口分别属于VLAN10和

20。

A通过端口G2/1,连接到SwitchB的端口G1/1;SwitchA的端口G2/1和SwitchB

的端口G1/1均是Trunk端口,而且允许VLAN10和VLAN20通过。

『组网需求』

A与SwitchB之间相同VLAN的PC之间可以互访。

A与SwitchB之间不同VLAN的PC之间禁止互访。

『交换机Trunk端口配置流程』

利用将端口配置为Trunk端口来完成在不同交换机之间透传VLAN,达到属于相同VLAN

的PC机,跨交换机进行二层访问;或者不同VLAN的PC机跨交换机进行三层访问的目的。

『配置过程』

【SwitchA相关配置】

1.创建(进入)VLAN10,将E0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1

2. 创建(进入)VLAN20,将E0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

3.将端口G2/1配置为Trunk端口,并允许VLAN10和VLAN20通过

[SwitchA]interface GigabitEthernet 1/1

[SwitchA-GigabitEthernet1/1]port link-type trunk

[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20

【SwitchB相关配置】

1.创建(进入)VLAN10,将E0/10加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/10

2.创建(进入)VLAN20,将E0/20加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/20

3.将端口G2/1配置为Trunk端口,并允许VLAN10和VLAN20通过

[SwitchA]interface GigabitEthernet 2/1

[SwitchA-GigabitEthernet2/1]port link-type trunk

[SwitchA-GigabitEthernet2/1]port trunk permit vlan 10 20

2,端口hybrid应用

75 / 78

『配置环境参数』

1、PC2和PC3分别连接到二层交换机SwitchA的端口E0/1 、E0/2和 E0/3,端口分属

于VLAN10、20和30,服务器连接到端口G2/1,属于VLAN100。

1的IP地址为10.1.1.1/24,PC2的IP地址为10.1.1.2/24,PC3的IP地址为10.1.1.3/24,

服务器的IP地址为10.1.1.254/24。

『组网需求』

1和PC2之间可以互访;

1和PC3之间可以互访;

1、PC2和PC3都可以访问服务器;

4.其余的PC间访问均禁止。

『交换机Hybrid端口配置流程』

利用Hybrid端口的特性――一个端口可以属于多个不同的VLAN,来完成分属不同VLAN

内的同网段PC机的访问需求。

『配置过程』

【SwitchA相关配置】

1.创建(进入)VLAN10,将E0/1加入到VLAN10

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 0/1

2.创建(进入)VLAN20,将E0/2加入到VLAN20

[SwitchA]vlan 20

[SwitchA-vlan20]port Ethernet 0/2

3.创建(进入)VLAN30,将E0/3加入到VLAN30

[SwitchA]vlan 30

[SwitchA-vlan30]port Ethernet 0/3

4.创建(进入)VLAN100,将G2/1加入到VLAN100

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 2/1

5.配置端口E0/1为Hybrid端口,能够接收VLAN20、30和100发过来的报文

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]port link-type hybrid

[SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged

6.配置端口E0/2为Hybrid端口,能够接收VLAN10和100发过来的报文

[SwitchA]interface Ethernet 0/2

[SwitchA-Ethernet0/2]port link-type hybrid

[SwitchA-Ethernet0/2]port hybrid vlan 10 100 untagged

7.配置端口E0/3为Hybrid端口,能够接收VLAN10和100发过来的报文

[SwitchA]interface Ethernet 0/3

[SwitchA-Ethernet0/3]port link-type hybrid

[SwitchA-Ethernet0/3]port hybrid vlan 10 100 untagged

8.配置端口G2/1为Hybrid端口,能够接收VLAN10、20和30发过来的报文

[SwitchA]interface GigabitEthernet 2/1

[SwitchA-GigabitEthernet2/1]port link-type hybrid

[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 30 untagged

【补充说明】

76 / 78

对于Hybrid端口来说,可以同时属于多个VLAN。这些VLAN分别是该Hybrid端口的PVID,

以及手工配置的”untagged”及”tagged”方式的VLAN。一定要注意对应端口的VLAN配

置,保证报文能够被端口进行正常的收发处理。

此应用在二层网络中,对相同网段的主机进行访问权限的控制。

S系列交换机实现不同VLAN之间互访的配置

一、组网需求:

交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可

以与VLAN2,3,4互访,但是VLAN2,3,4之间不能互访,用Hybrid端口属性实现此功

能。

二、组网图:

三、配置步骤:

1. 创建VLAN2

[Quidway]vlan 2

2. 创建VLAN3

[Quidway-vlan2]vlan 3

3. 创建VLAN4

[Quidway-vlan3]vlan 4

4. 进入端口Ethernet1/0/1

[Quidway-vlan4] interface Ethernet1/0/1

5. 将端口设置为hybrid模式

[Quidway-Ethernet1/0/1]port link-type hybrid

6. 设置端口pvid为1

[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1

7. 允许VLAN1,2,3,4不打标签通过

[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged

8. 进入端口Ethernet1/0/2

[Quidway-Ethernet1/0/1]interface Ethernet1/0/2

9. 将端口设置为hybrid模式

[Quidway-Ethernet1/0/2]port link-type hybrid

10. 设置端口pvid为2

[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2

11. 允许VLAN1,2不打标签通过

[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged

12. 进入端口Ethernet1/0/3

[Quidway-Ethernet1/0/2]interface Ethernet1/0/3

13. 将端口设置为hybrid模式

[Quidway-Ethernet1/0/3]port link-type hybrid

14. 设置端口pvid为3

[Quidway-Ethernet1/0/3]port hybrid pvid vlan 3

15. 允许VLAN1,3不打标签通过

[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged

16. 进入端口Ethernet1/0/4

77 / 78

[Quidway-Ethernet1/0/3]interface Ethernet1/0/4

17. 将端口设置为hybrid模式

[Quidway-Ethernet1/0/4]port link-type hybrid

18. 设置端口pvid为4

[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4

19. 允许VLAN1,4不打标签通过

[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged

四、配置关键点:

1. 利用交换机以太网端口的Hybrid特性,可以实现PVLAN的功能。

2. 采用Hybrid属性实现的PVLAN功能和PVLAN的工作机制存在较大差异,上述情况只

适用于网络流量,网络用户较少的应用。

78 / 78


本文标签: 配置端口交换机报文用户

版权声明:本文标题:华为(H3C)交换机配置低级到高级 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/shuma/1717652382a595034.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。