华为数据中心5800交换机01-08 流量抑制及风暴控制配置
8流量抑制及风暴控制配置关于本章
流量抑制及风暴控制配置包括流量抑制及风暴控制的基础知识、配置方法、配置举例
和常见配置错误。
8.1 流量抑制及风暴控制简介
介绍流量抑制及风暴控制的定义和作用。
8.2 原理描述
介绍流量抑制及风暴控制的实现原理。
8.3 应用场景
介绍流量抑制及风暴控制的应用场景。
8.4 配置注意事项
介绍了设备支持的流量抑制及风暴控制特性的相关配置注意事项以及两者的区别。
8.5 缺省配置
介绍设备的流量抑制及风暴控制缺省值。
8.6 配置流量抑制
通过配置流量抑制,防范广播风暴,保障设备转发性能。
8.7 配置风暴控制
通过配置风暴控制,防范广播风暴,保障设备转发性能。
8.8 配置举例
配置举例包括组网需求、配置思路、配置步骤和配置文件。
8.9 参考信息
介绍流量抑制及风暴控制的参考标准和协议。
8.1 流量抑制及风暴控制简介
介绍流量抑制及风暴控制的定义和作用。
定义
流量抑制和风暴控制是两种用于控制广播、组播以及未知单播报文,防止这三类报文
引起广播风暴的安全技术。
流量抑制主要通过配置阈值来限制流量,而风暴控制则主要通过关闭端口来阻断流
量。
未知单播报文是指目的MAC地址未被设备学习到的单播报文。
目的
当设备某个二层以太接口收到广播、组播或未知单播报文时,如果根据报文的目的
MAC地址设备不能明确报文的出接口,设备会向同一VLAN内的其他二层以太接口转
发这些报文,这样可能导致广播风暴,降低设备转发性能。
引入流量抑制和风暴控制特性,可以控制这三类报文流量,防范广播风暴。
8.2 原理描述
介绍流量抑制及风暴控制的实现原理。
8.2.1 流量抑制的基本原理
流量抑制特性按以下形式来限制广播、组播以及未知单播报文产生的广播风暴。
l在接口视图下,入方向上,设备支持分别对三类报文按百分比、包速率和比特速率进行流量抑制。
设备监控接口下的三类报文速率并和配置的阈值相比较,当入口流量超过配置的
阈值时,设备会丢弃超额的流量。
CE6870EI不支持按包速率进行流量抑制。
l在接口视图下,出方向上,设备支持对三类报文的阻塞(Block)。
l在VLAN视图下,设备支持分别对三类报文按比特速率进行流量抑制。
设备监控同一VLAN内三类报文的速率并和配置的阈值相比较,当VLAN内流量超
过配置的阈值时,设备会丢弃超额的流量。
8.2.2 风暴控制的基本原理
风暴控制可以用来防止广播、组播以及未知单播报文产生广播风暴。
设备支持对接口下的这三类报文分别按包速率进行风暴控制。
在一个检测时间间隔内,设备监控接口下接收的三类报文的平均速率并和配置的最大
阈值相比较,当报文速率大于配置的最大阈值时,设备会对该接口进行风暴控制,执
行配置好的风暴控制动作将接口关闭。
如果接口被关闭,则需要手动执行命令来开启接口,或者使能接口状态自动恢复为UP
功能。
8.3 应用场景
介绍流量抑制及风暴控制的应用场景。
8.3.1 流量抑制的典型应用
图8-1流量抑制典型应用组网图
如图8-1所示,
l在二层网络内的设备上,可以配置VLAN内的流量抑制来限制VLAN内的广播、组播和未知单播报文。
l SwitchA作为二层网络到路由器的衔接点,当需要限制二层网络转发的来自用户的广播、组播和未知单播报文时,可以通过在SwitchA的二层以太接口10GE1/0/1上
配置流量抑制功能来实现。
l在接口10GE1/0/1出方向上,可以采取阻塞广播、组播和未知单播报文的方式,保证二层网络内用户和其他网络设备的安全性。
8.3.2 风暴控制的典型应用
风暴控制典型应用组网图
图8-2
来自用户的广播、组播和未知单播报文时,可以通过在SwitchA的二层以太接口
10GE1/0/1上配置风暴控制功能来实现。
8.4 配置注意事项
介绍了设备支持的流量抑制及风暴控制特性的相关配置注意事项以及两者的区别。
涉及网元
无需其他网元配合。
License支持
流量抑制和风暴控制特性是交换机的基本特性,无需获得License许可即可应用此功
能。
版本支持
表8-1支持本特性的最低软件版本
特性依赖和限制
设备支持情况
设备支持的流量抑制及风暴控制特性如表8-2所示。
表8-2设备支持情况
流量抑制和风暴控制的区别
从原理来看,两者都是为了防止广播、组播以及未知单播报文所引起的广播风暴,但
是两者对流量控制的形式不一样。
l流量抑制中,可以为接口入方向的三种报文流量配置阈值,当流量超过阈值时,系统将丢弃多余的流量,阈值范围内的报文可以正常通过,从而将流量限制在合
理的范围内。此外,流量抑制还支持对接口出方向的流量进行阻塞。
l风暴控制中,也可以为接口入方向的三种报文流量配置阈值。当流量超过阈值并配置了风暴控制的动作时,系统直接关闭接口或阻塞报文。
l对于一个接口下同种报文的入方向流量,设备仅允许同时配置流量抑制或风暴控制两种功能中的一种。
l在一个接口下,所有单播的流量抑制报文和未知单播的流量抑制报文只能配置一种。
l在Eth-Trunk口上配置风暴控制功能时,仅支持在Eth-Trunk成员口上配置,且仅支持PPS模式。但是不能在Eth-Trunk及其成员口上配置未知单播的风暴控制。
l在VXLAN隧道终结设备上基于BD视图配置广播、组播、未知单播的流量抑制
时,配置的阈值和实际生效的阈值存在误差。
l在分布式SVF中,不能在Fabric接口下配置未知单播的流量抑制。
l对于CE6870EI交换机,BD视图下配置的流量抑制功能只对入隧道的报文生效。
l流量抑制和风暴控制只对二层流量生效。
l在Eth-Trunk口上配置流量抑制功能时,CE6870EI只支持在Eth-Trunk口上配置,其他款型只支持在Eth-Trunk成员口上配置。
l在框盒SVF的环境下,在Eth-Trunk口上配置流量抑制功能时,只支持在Eth-Trunk 口上配置。
l在集中式、混合式的盒盒SVF的环境下,不支持配置未知单播的流量抑制和风暴控制。
l对于CE6870EI和CE6880EI设备,当同时在VLAN视图和BD视图下配置流量抑制时,BD视图下配置的流量抑制生效,对于其他设备,VLAN视图下配置的流量抑
制生效。
l风暴控制不会对jumbo帧生效。
l当配置了风暴控制导致接口Error Down后,如果在接口状态恢复之前重启对应单板,接口不会恢复正常状态。
l在VXLAN网络中,CE6880EI的风暴控制对广播、组播报文不生效。
l对于除CE6880EI外的设备,风暴控制不对VXLAN封装的报文生效。
l对于非CE6870EI交换机,如果在接口下配置某种流量按cir抑制,则不能再配置其他流量按packets抑制,反之亦然。
8.5 缺省配置
介绍设备的流量抑制及风暴控制缺省值。
流量抑制及风暴控制缺省值如表8-3和表8-4所示。
表8-3流量抑制缺省值
表8-4风暴控制缺省值
8.6 配置流量抑制
通过配置流量抑制,防范广播风暴,保障设备转发性能。
8.6.1 配置接口的流量抑制
背景信息
为了限制出入接口的广播、组播、未知单播及所有单播报文的速率,防止广播风暴,
可以在该接口上配置对应报文类型的流量抑制功能。
在集中式、混合式SVF中,Leaf设备的接口下不支持配置未知单播的流量抑制。
前置任务
在配置接口的流量抑制之前,需完成以下任务:
l配置接口的链路层协议参数,使接口的链路协议状态为Up。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interface interface-type interface-number,进入接口视图。
步骤3配置流量抑制(非CE6870EI)
执行命令{ storm suppression broadcast | storm suppression multicast | storm
suppression unknown-unicast | storm suppression unicast } { percent-value | cir cir-value
[ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] | packets packets-per-
second }
l对于一个接口下同种报文的入方向流量,设备仅允许同时配置流量抑制或风暴控制两种功能中的一种。
l在一个接口下,所有单播的流量抑制报文和未知单播的流量抑制报文只能配置一种。
l在Eth-Trunk口上配置流量抑制功能时,只支持在Eth-Trunk成员口上配置。
步骤4配置流量抑制(CE6870EI)
执行命令{ storm suppression broadcast | storm suppression multicast | storm
suppression unknown-unicast | storm suppression unicast } { percent-value | cir cir-value
[ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] }
l对于一个接口下同种报文的入方向流量,设备仅允许同时配置流量抑制或风暴控制两种功能中的一种。
l在一个接口下,所有单播的流量抑制报文和未知单播的流量抑制报文只能配置一种。
l在Eth-Trunk口上配置流量抑制功能时,不支持在Eth-Trunk成员口上配置,且不支持percent方式。
步骤5执行命令{ storm suppression broadcast | storm suppression multicast | storm
suppression unknown-unicast } block outbound,配置在接口出方向上阻塞报文。
步骤6执行命令commit,提交配置。
----结束
8.6.2 配置VLAN/BD的流量抑制
背景信息
为了限制进入VLAN或者BD的广播、组播或未知单播类型报文的速率,防止广播风
暴,可以在该VLAN内配置对应报文类型的流量抑制功能。
前置任务
在配置VLAN或者BD的流量抑制之前,需完成以下任务:
l配置VLAN或者BD内接口的链路层协议参数,使VLAN内接口的链路协议状态为Up。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令vlan vlan-id或者bridge-domain bd-id,进入VLAN或者BD视图。
步骤3执行命令{ storm suppression broadcast | storm suppression multicast | storm
suppression unknown-unicast } cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes |
mbytes | kbytes ] ],配置VLAN或者BD的流量抑制。
BD视图下,仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6870EI、CE7850EI、
CE7855EI、CE8860EI设备支持此命令。
步骤4执行命令commit,提交配置。
----结束
8.6.3 配置ICMP报文流量抑制
背景信息
网络中经常存在攻击者发送大量ICMP报文进行攻击,如果设备全部将这些ICMP报文
上送CPU处理,会消耗大量CPU资源,导致其他业务功能异常。此时在设备上配置
ICMP报文流量抑制功能,可以有效防范ICMP报文攻击。
配置ICMP报文流量抑制功能后,当接口每秒钟上送的ICMP报文超出配置的阈值时,
设备会将ICMP报文丢弃。
前置任务
在配置ICMP报文流量抑制之前,需完成以下任务:
l配置接口的链路层协议参数,使接口的链路协议状态为Up。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令undo icmp rate-limit disable,使能ICMP流量抑制功能。
缺省情况下,使能ICMP流量抑制功能。
步骤3执行命令icmp rate-limit [ interface interface-type interface-number1 [ to interface-
number2 ] ] threshold threshold-value,配置ICMP报文限速阈值。
缺省情况下,ICMP报文限速阈值为1500pps。
步骤4执行命令commit,提交配置。
----结束
8.6.4 配置BD视图下用户侧的广播报文流量抑制
背景信息
为了限制进入BD的用户侧的广播报文的速率,防止广播风暴,可以在该BD内配置对应
报文类型的流量抑制功能。
l仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE7850EI、CE7855EI、CE8860EI设备
支持此功能。
前置任务
在配置BD的流量抑制之前,需完成以下任务:
l配置BD内接口的链路层协议参数,使BD内接口的链路协议状态为Up。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令bridge-domain bd-id,进入BD视图。
步骤3执行命令storm suppression broadcast access cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ],配置用户侧的广播报文流量抑制功能。
缺省情况下,未配置用户侧的广播报文流量抑制功能。
l该命令只对用户侧的广播报文进行限制,如果需要同时对用户侧和网络侧的广播报文进行限
制,可以在BD视图下执行命令storm suppression broadcast,二者之间后配置的生效。
步骤4执行命令commit,提交配置。
----结束
8.6.5 检查配置结果
操作步骤
l在接口视图下使用命令display this查看该接口的流量抑制配置信息。
----结束
8.7 配置风暴控制
通过配置风暴控制,防范广播风暴,保障设备转发性能。
背景信息
为了限制进入接口的广播、组播或单播类型报文的速率,避免设备受到大的流量冲
击,可以在该接口上配置对应报文类型的风暴控制功能。
前置任务
在配置风暴控制之前,需完成以下任务:
l配置接口的链路层协议参数,使接口的链路协议状态为Up。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interface interface-type interface-number,进入接口视图。
步骤3配置对接口上的广播、组播或单播报文进行风暴控制
l执行命令storm control { broadcast | multicast | unicast | unknown-unicast } min-rate percent min-rate-value max-rate percent max-rate-value或storm control
{ broadcast | multicast | unicast | unknown-unicast } min-rate kbps min-rate-value
max-rate kbps max-rate-value或storm control { broadcast | multicast | unicast |
unknown-unicast } min-rate min-rate-value max-rate max-rate-value
在集中式、混合式SVF中,不能在叶子交换机的接口下配置未知单播的风暴控制。
步骤4配置风暴控制的动作
l执行命令storm control action { error-down | block }
Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态,此时接口不能收发报文,
接口指示灯为常灭。
步骤5(可选)执行命令storm control enable { log | trap },使能风暴控制时记录日志或者上报告警。
步骤6(可选)执行命令storm control interval interval-value,配置风暴控制的检测时间间隔。
步骤7执行命令commit,提交配置。
----结束
检查配置结果
使用命令display storm control [ interface interface-type interface-number [ verbose ] ],
查看接口的风暴控制信息。
后续处理
一般在存在攻击报文情况下,接口上接收广播、组播或未知单播报文的平均速率大于
指定的最大阈值。请识别出攻击源,排除攻击,然后再恢复接口状态。
有以下两种方式可以恢复接口状态:
l手动恢复(Error-Down发生后)。
当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令
shutdown和undo shutdown,或者执行命令restart,重启接口。
在接口视图下,执行undo storm control action或undo storm control { broadcast | multicast |
unicast | unknown-unicast | all }命令也可恢复接口状态。不建议使用此方法。
l自动恢复(Error-Down发生前)。
如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重
复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下
执行命令error-down auto-recovery cause storm-control interval使能接口状态自动
恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过执行命令
display error-down recovery查看接口状态自动恢复信息。
此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态
的接口生效。
8.8 配置举例
配置举例包括组网需求、配置思路、配置步骤和配置文件。
本节仅列举单特性的配置示例。如果您想了解更多综合场景配置案例、特性典型配置
案例、对接案例、替换案例及行业案例,请参考典型配置案例。
8.8.1 配置流量抑制示例
组网需求
如图8-3所示,SwitchA作为二层网络到三层路由器的衔接点,需要限制二层网络转发
的广播、组播或者未知单播报文产生广播风暴。
图8-3配置流量抑制组网图
配置思路
用如下的思路配置流量抑制。
1.通过在10GE1/0/1接口视图下配置流量抑制功能,实现限制二层网络转发的广播、
组播或者未知单播报文产生广播风暴。
操作步骤
步骤1进入接口视图
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] interface 10ge 1/0/1
步骤2配置广播流量抑制,按cir抑制,广播报文最大速率为100kbit/s。
[~SwitchA-10GE1/0/1] storm suppression broadcast cir 100
步骤3配置组播流量抑制,按百分比抑制,百分比值为80%。
[*SwitchA-10GE1/0/1] storm suppression multicast 80
步骤4配置未知单播流量抑制,按cir抑制,未知单播报文最大速率为100kbit/s。
[*SwitchA-10GE1/0/1] storm suppression unknown-unicast cir 100
[*SwitchA-10GE1/0/1] commit
[~SwitchA-10GE1/0/1] quit
----结束
配置文件
SwitchA的配置文件
#
sysname SwitchA
#
interface 10GE1/0/1
storm suppression unknown-unicast cir 100 kbps
storm suppression multicast 80
storm suppression broadcast cir 100 kbps
#
return
8.8.2 配置风暴控制示例
组网需求
如图8-4所示,SwitchA作为二层网络到三层路由器的衔接点,需要防止二层网络转发
的广播、组播或单播报文产生广播风暴。
图8-4配置风暴控制组网图
配置思路
用如下的思路配置风暴控制。
1.通过在10GE1/0/1接口视图下配置风暴控制功能,实现防止二层网络转发的广播、
组播或单播报文产生广播风暴。
操作步骤
步骤1进入接口视图
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] interface 10ge 1/0/1
步骤2配置广播风暴控制
[~SwitchA-10GE1/0/1] storm control broadcast min-rate 1000 max-rate 2000
步骤3配置组播风暴控制
[*SwitchA-10GE1/0/1] storm control multicast min-rate 1000 max-rate 2000
步骤4配置单播风暴控制
[*SwitchA-10GE1/0/1] storm control unicast min-rate 1000 max-rate 2000
步骤5配置风暴控制的动作为关闭接口
[*SwitchA-10GE1/0/1] storm control action error-down
步骤6配置打开风暴控制时记录日志的功能
[*SwitchA-10GE1/0/1] storm control enable log
步骤7配置风暴控制的检测时间间隔
[*SwitchA-10GE1/0/1] storm control interval 90
[*SwitchA-10GE1/0/1] commit
[~SwitchA-10GE1/0/1] quit
[~SwitchA] quit
步骤8验证配置结果
执行命令display storm control interface查看10GE1/0/1接口下的风暴控制配置情况。
--------------------------------------------------------------------------------
NOTE:
BC = Broadcast; MC = Multicast; UC = Unicast; UUC = Unknown
Unicast
Int = Interval value (unit:
seconds)
--------------------------------------------------------------------------------
PortName Type MaxRate Mode Action Punish- Trap Log Int
Last
Status Punish-
Time
--------------------------------------------------------------------------------
10GE1/0/1 BC 2000 Pps ErrorDown Normal Off On 90 --
10GE1/0/1 MC 2000 Pps ErrorDown Normal Off On 90 --
10GE1/0/1 UC 2000 Pps ErrorDown Normal Off On 90 --
----结束
配置文件
SwitchA的配置文件
#
sysname SwitchA
#
interface 10GE1/0/1
storm control broadcast min-rate 1000 max-rate 2000
storm control multicast min-rate 1000 max-rate 2000
storm control unicast min-rate 1000 max-rate 2000
storm control interval 90
storm control action error-down
storm control enable log
#
return
8.9 参考信息
介绍流量抑制及风暴控制的参考标准和协议。
华为交换机基本配置命令详细讲解
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
华为交换机基本配置
华为交换机基本配置 Hessen was revised in January 2021
1、华为设备配置基本命令 用户名密码为 yayd yamobile
[HW-group-group]port link-type-access //将端口组定义为access口 [HW-group-group]port default vlan 440 //将vlan440加入该端口组 [HW-group-group]quit [HW]interface ethernet 0/0/21 //进入网口21 [HW-Eth0/0/21]port link-type trunk //将网口21定义为trunk 口 [HW-Eth0/0/21]port trunk allow-pass vlan 338 440 //该端口仅允许vlan338 440通过 [HW-Eth0/0/21]quit [HW]interface gigabitethernet 0/0/1 //进入光口1 [HW-G0/0/1]port link-type trunk //将光口1定义为trunk端口 [HW-G0/0/1]port trunk allow-pass vlan 70 338 440 //该端口允许vlan70,338,440通过。 [HW-G0/0/1]quit [HW]save //保存 2、华为设备故障处理基本命令 1)查看交换机端口状态 2)查看交换机端口描述
华为交换机基本配置命令29908
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess(注:接口类型access,hybrid、trunk) [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组)vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变DS模块来实现(关闭配置后的确认信息显示) info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现(打开配置后的确认信息显示)
华为交换机各种配置实例[网管必学]
华为交换机各种配置实例[网管必学 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
最新华为交换机常用配置实例
最新华为交换机常用配置实例 2016最新华为交换机常用配置实例 华为交换机常用配置实例 sys进入到系统视图 Entersystemview,returntouserviewwithCtrl+Z. [Quidway]user-interfaceaux0 [Quidway-ui-aux0]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-aux0]qu [Quidway]local-userhuawei增加用户名 Newlocaluseradded. [Quidway-luser-huawei]passwordsimplehuawei配置密码,且密码不加密 [Quidway-luser-huawei]service-typetelnetsshlevel3 服务类型为SSH和telnet,且用户登陆后权限为管理员权限 [Quidway-luser-huawei]qu [Quidway]user-interfacevty04 [Quidway-ui-vty0-4]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-vty0-4]
save 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如)。 键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入"?" 2、命令视图 (1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入 (2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view (3)以太网端口视图(配置以太网端口参数)[Quidway- Ethernet0/1]:在系统视图下键入interfaceethernet0/1 (4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan1 (5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参 数)[Quidway-Vlan-interface1]:在系统视图下键入 interfacevlan-interface1 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-useruser1
华为的交换机基本配置命令
华为的交换机基本配置命令很多,在此,yjbys小编为大家带来的是最新交换机的配置命令,希望对同学们考试有帮助! 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件 reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123 设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接 [Quidway-Ethernet1/0/1]port link-type {trunk|access|hybrid} 设置端口工作模式 [Quidway-Ethernet1/0/1]undo shutdown 激活端口 [Quidway-Ethernet1/0/2]quit 退出系统视图 5、链路聚合配置
华为交换机及路由器各种配置实例大全(20200909191858)
交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为、 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率 限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的 粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的 级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图
华为数据中心5800交换机01-01 接口基础配置
1接口基础配置关于本章 1.1 接口简介 通过本小节,您可以了解到设备的接口分类和接口编号规则。 1.2 配置接口基本参数 配置接口基本参数,包括接口描述信息、接口流量统计时间间隔功能以及开启或关闭 接口。 1.3 维护接口 您可以通过清除接口统计信息以方便查询一定时间内接口的流量信息。 1.1 接口简介 通过本小节,您可以了解到设备的接口分类和接口编号规则。 接口分类 接口是设备与网络中的其它设备交换数据并相互作用的部件,分为管理接口、物理业 务接口和逻辑接口三类,其中: l管理接口 管理接口主要为用户提供配置管理支持,也就是用户通过此类接口可以登录到设 备,并进行配置和管理操作。管理接口不承担业务传输。关于管理接口的详细配 置,请参见《CloudEngine 7800&6800&5800系列交换机配置指南-基础配置》。 设备支持的管理接口如表1-1所示: 表1-1各管理接口介绍
l V100R005C00版本下,仅CE6850-48S6Q-HI支持Mini USB接口。V100R005C10及以后版本,CE6850-48S6Q-HI、CE6850–48T4Q-HI和CE6850U-HI支持Mini USB接口。 l CE6850HI和CE6850U-HI设备上有两个Combo类型的管理接口,每个Combo口包括一个光接口和一个电接口。光接口和电接口只能同时激活其中一个。 l物理业务接口 物理业务接口是真实存在、有器件支持的接口。物理接口需要承担业务传输。 物理接口有时也被称为端口,为便于描述,在本手册中,统一描述为接口。 设备支持的物理接口如表1-2所示。 表1-2物理接口 缺省情况下,设备的以太网接口工作在二层模式,如果需要应用接口的三层功能,可以使 用undo portswitch命令将接口转换为三层模式。 l逻辑接口 逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。逻辑接口需要承担业务传输。
华为交换机基础配置教程-交换机配置教程
1:配置登录用户,口令等 vQuidway> // 用户直行模式提示符,用户视图 vQuidway>system-view // 进入配置视图 [Quidway] // 配置视图(配置密码后必须输入密码才可进入配置视图)[Quidway] sysname xxx // 设置主机名成为xxx这里使用 [Quidway] aaa // 进入aaa认证模式定义用户账户 [Quidway-aaa] local-user wds password cipher wds [Quidway-aaa] local-user wds level 15 [Quidway-aaa] local-user wds service-type telnet term inal ssh // 有时候这个命令是最先可以运 // 行的,上边两个命令像password,level都是定义完vty 的 // authe nticati on-m ode aaa 后才出现 [Quidway-aaa] quit [Quidway] user-i nteface vty 0 4 // 当时很奇怪这个命令就是找不到,最后尝试了几次 才能运行 [Quidway-ui-vtyO-4] authe nticati on-m ode aaa [Quidway-ui-vtyO-4] quit 2 :华为S930 3 VLan设置 创建vlan :
华为交换机各种配置方法
端口限速基本配置1 端口绑定基本配置 ACL基本配置 密码恢复 三层交换配置 端口镜像配置 DHCP配置 配置文件管理 远程管理配置 STP配置 私有VLAN配置 端口trunk、hybrid应用配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』
华为交换机基础配置命令
实验三华为交换机配置 【实验题目】 华为交换机配置 【实验课时】 2课时。 【实验目的】 1.了解华为交换机的基本端口以及IOS软件。 2.掌握华为交换机的配置途径。 3.掌握华为交换机的三种访问方式。 4.掌握华为交换机初始设置。 【实验环境】 华为交换机一台(型号不限)、PC机一台,操作系统要为Windows 98/NT/2000/xp,装有超级终端软件;Console 电缆1条。 【实验内容和主要步骤】 一、交换机配置途径 一般来说,可以用5种方式来设置交换机: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但交换机的第一次设置必须通过第1种方式进行;这时终端的硬件设置为波特率:9600,数据位:8,停止位:1,无校验。
二、交换机的几种基本访问模式: 一台新交换机开机时自动进入的状态,这时可通过对话方式对交换机进行设置。利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后,交换机首先会显示一些提示信息, 华为交换机基本配置过程 一:交换机基本配置: 1.进入2403交换机,进入用户模式。 2.在命令提示符“>”下,键入“system-view”并回车。 3.键入“display courrent-config”,察看当前配置情况,注意这是缺省值。(有可能是display courrent-config,因为版本不一)。 4.键入“display version”参看交换机上IOS版本。 5.设置2403交换机名称,使用“sysname”命令(也有可能是hostname命令)。 如:Hostname 2403A(此交换机名为2403A)。 6.使用display interface来察看关于全部接口的统计表。 7.使用display int ?来察看所有可用的以太网和快速以太网的命令。 8.使用display int Ethernet ? 9. 使用display int e 0/2 来察看关于2接口的统计表 10. 使用reset saved-configuration 删除flash或NVRAM中的配置信息。保持默认信息。请大家不要轻易使用。.
华为交换机配置命令
华为交换机配置命令
华为交换机配置指令 视图切换指令
打开以太网端口:[Switch-ethernet port-id]undo shutdown 设置以太网端口描述字符串:[Switch-ethernet port-id]description text 设置以太网端口的双工模式:[Switch-ethernet port-id]duplex { auto| full| half } 设置以太网端口的速率:[Switch-ethernet port-id]speed { 10 | 100 | 1000 | auto } 设置以太网端口的MDI模式:[Switch-ethernet port-id]mdi {across| auto | normal } 开启以太网端口的流量控制功能:[Switch-ethernet port-id]flow-control display查看指令 查看版本信息:
华为交换机的基本设置
华为交换机的应用 精网科技 交换的概述 @交换是指在一个接口上收到数据帧并且从另一个接口上将该数据帧发送出去的过程。 @交换机是二层的设备,它用来解决带宽不足和网络瓶颈的问题,主要作为工作站、服务器、路由器、集线器和其它交换机的集中点。它可以看作是一个多端口的网桥,为所连接的两台网络设备提供一条独享的虚电路,因此避免了冲突。可工作在全双工模式下,意味着可同时收发数据。 @交换机是根据MAC地址传递数据帧的的二层设备。它不能处理三层地址信息。所以交换机的操作与网络层使用什么样的协议无关。 @交换机把大的网络细分成若干微分段,以减小冲突域的大小,即每个接口是一个冲突域。但所有接口仍在一个广播域内。可以认为交换机是硬件桥,而网桥是软件的。交换机与网桥的区分是:网桥最多16个端口,但交换机可有很多端口,这一个缺点,足可以彻底打败网桥。 @网络中的通信分为三种,单播,组播,广播。(举例) 网络环境大的时候,所有主机都在一个广播域内网络性能会很差,所
以这样一来,靠划分微分段的方法已经不行,而常用的就是用交换机在二层隔离广播帧的VLAN技术,实现二层广播域的划分,以后会讲到。 @路由器在网络中的位置,我们用路由器把交换的网络分成若干广播域。这样可以避免广播风暴。路由器的使用大约给网络造成的延迟是20-30%,因为路由器会在三层上根据逻辑地址来做路由。所以造成延迟。 @以太交换机的反应时间。是指一个数据帧从进入交换机开始到离开交换机的这段时间。此时间的长短取决于在交换机上配置的交换操作的类型,以及网络上通过交换机的流量。交换机每秒都会处理海量数据,所以每个数据帧的交换时间哪怕有十亿分之一秒的延迟,对交换机来说都会影响整体的性能。 @交换机与HUB的区别。从内部结构上看,HUB是总线,而SWITCH 内部是每个接口与另外的接口都有连通线。(画图示意一下)再一个就是数据流通的带宽。比如:10M的HUB和10M的SWITH @三层交换机是在二层交换机的基础上融合了三层路由功能的交换机,它不但能基于MAC地址转发数据帧,还能根据数据包的IP地址为数据包提供路由服务。 @对称和不对称交换 100M和10M图13-2、3 @以太交换机的基本功能
华为交换机配置30例
目录 交换机远程TELNET登录 (2) 交换机远程AUX口登录 (5) 交换机DEBUG信息开关 (6) 交换机SNMP配置 (9) 交换机WEB网管配置 (10) 交换机VLAN配置 (12) 端口的TRUNK属性配置(一) (14) 交换机端口TRUNK属性配置(二) (16) 交换机端口TRUNK属性配置(三) (18) 交换机端口HYBRID属性配置 (21) 交换机IP地址配置 (23) 端口汇聚配置 (25) 交换机端口镜像配置 (27) 交换机堆叠管理配置 (29) 交换机HGMP V1 管理配置 (31) 交换机集群管理(HGMP V2)配置 (33) 交换机STP配置 (34) 路由协议配置 (36) 三层交换机组播配置 (41) 中低端交换机DHCP-RELAY配置 (44) 交换机802.1X配置 (46) 交换机VRRP配置 (51) 单向访问控制 (54) 双向访问控制 (57) IP+MAC+端口绑定 (62) 通过ACL实现的各种绑定的配置 (64) 基于端口限速的配置 (66)
基于流限速的配置 (68) 其它流动作的配置 (70) 8016 交换机DHCP配置 (73)
. 交换机远程T ELNET 登录 1 功能需求及组网说明 2 telnet 配置 『配置环境参数 』 PC 机固定I P 地址10.10.10.10/24 SwitchA 为三层交换机,vlan100 地址10.10.10.1/24 SwitchA 与S witchB 互连v lan10 接口地址192.168.0.1/24 SwitchB 与S witchA 互连接口v lan100 接口地址192.168.0.2/24 交换机S witchA 通过以太网口e thernet 0/1 和S witchB 的e thernet0/24 实现互连。 『组网需求』 1. SwitchA 只能允许10.10.10.0/24 网段的地址的P C telnet 访问 2. SwitchA 只能禁止10.10.10.0/24 网段的地址的P C telnet 访问 3. SwitchB 允许其它任意网段的地址t elnet 访问 2 数据配置步骤 『PC 管理交换机的流程』 1. 如果一台P C 想远程T ELNET 到一台设备上,首先要保证能够二者之间正常通信。 SwitchA 为三层交换机,可以有多个三层虚接口,它的管理v lan 可以是任意一个 具有三层接口并配置了I P 地址的v lan 2. SwitchB 为二层交换机,只有一个二层虚接口,它的管理v lan 即是对应三层虚 接口并配置了I P 地址的v lan 3. Telnet 用户登录时,缺省需要进行口令认证,如果没有配置口令而通过T elnet 登录,则系统会提示“password required, but none set.”。 【SwitchA 相关配置】
华为交换机产品系列整理版
华为交换机产品系列 在交换机领域,华为历经多年的耕耘和发展,积累了大量业界领先的知识产权和专利,可提供从核心到接入十多个系列上百款交换机产品。 根据所需交换机的用途,可大致分为数据中心交换机,园区交换机,个人和中小企业交换机三大类。数据中心交换机 CloudEngine12800数据中心交换机 CloudEngine12800(简称CE12800)系列交换机是华为公司面向数据中心和高端园区网络推出的新一代高性能核心交换机。在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,实现弹性、虚拟、敏捷和高品质的网络。 CE12800系列支持工业级可靠性,以及严格前后风道设计,并支持全面的虚拟化能力和丰富的数据中心特性。此外,CE12800系列采用了多种绿色节能创新技术,大幅降低设备能源消耗。 关键特性 弹性、虚拟、敏捷、高品质数据中心核心交换机 弹性:64Tbps交换容量,可平滑升级到320Tbps;单设备支持192个100GE,384个40GE,或1536个10GE; 虚拟:1:16核心虚拟化,512节点TRILL组网,EVN支持跨数据中心资源共享; 敏捷:作为Overlay虚拟化网络(VXLAN/NVGRE)的高性能硬件网关,支撑高达16M多租户的数据中心运营,OPS和ENP实现双平面可编程,网络按需定制; 品质:专利的严格前后风道设计,线卡网板风道独立,提高散热效率;多种绿色节能创新技术,降低机房能耗。 技术规格 参数CE12804S CE12808S CE12804 CE12808 CE12812 CE12816 交换容量 (bps) 16T/80T 32T/160T 16T/80T 32T/160T 48T/240T 64T/320T 包转发率 (pps) 14400M 28800M 14400M 28800M 43200M 57600M 业务槽位4 8 4 8 12 16 交换网槽 位 2 4 6 6 6 6 交换架构 Clos交换架构、信元交换、VoQ、分布式大缓存 风道类型 标准前后风道 设备虚拟化支持VS(1:16虚拟化)支持CSS集群 支持SVF 网络虚拟化支持TRILL 支持Overlay虚拟化(VXLAN/NVGRE)硬件网关
华为交换机 综合配置案例
2综合配置案例关于本章 2.1 中小型园区/分支出口综合配置举例 2.2 大型园区出口配置示例(防火墙直连部署) 2.3 大型园区出口配置示例(防火墙旁路部署) 2.4 校园敏捷网络配置示例 2.5 轨道交通承载网快速自愈保护技术配置举例 2.6 配置交换机上同时部署ACU2和NGFW的示例
2.1 中小型园区/分支出口综合配置举例 园区网出口简介 园区网出口一般位于企业网内部网络与外部网络的连接处,是内部网络与外部网络之 间数据流的唯一出入口。对于中小型企业来说,考虑到企业网络建设的初期投资与长 期运维成本,一般希望将多种业务部署在同一设备上。企业网络用户一般同时需要访 问Internet和私网VPN,而对于中小型企业来说考虑到建设及维护成本问题,一般租用 运营商Internet网络组建私网VPN。对于部分可靠性要求较高的园区网络,一般考虑部 署两台出口路由器做冗余备份实现设备级可靠性,同时应用链路聚合、VRRP、主备路 由等技术保证园区出口的可靠性。华为AR系列路由器配合华为S系列交换机是中小型 园区网出口设备的理想解决方案。 l园区出口设备需要具备NAT Outbound及NAT Server的功能,实现私网地址和公网地址之间的转换,以满足用户访问Internet或者Internet用户访问内网服务器的需 求。 l园区出口设备需要具备通过Internet构建私网VPN的功能,以满足企业用户各个机构之间私网VPN互通的需求。 l园区出口设备需要具备数据加密传输的功能,以保证数据的完整性和机密性,保障用户业务传输的安全。 l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。 配置注意事项 l本配置案例适用于中小型企业园区/分支出口解决方案。 l本配置案例仅涉及企业网络出口相关配置,涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。 组网需求 某企业总部和分支分别位于不同的城市,地域跨度较远,总部存在A、B两个不同的部 门,分支只有一个部门。现在需要建设跨地域的企业园区网络,需要实现的需求如 下: l总部和分支都需要实现用户访问Internet的需求。总部划分为A、B两个部门,其中A部门的用户可以访问Internet,但是B部门的用户不能访问Internet;分支所有用户 都可以访问Internet。 l总部有Web服务器,对外提供WWW服务,外网用户可以访问内网服务器。 l总部和分支之间需要通过Internet进行私网VPN互通,通信内容需要有安全保护。 l总部园区出口可靠性要求较高,需要考虑链路级的可靠性和设备级的可靠性。 l分支可以适当降低可靠性要求。 方案介绍 根据用户需求,可以给出如图2-1所示的综合配置解决方案,该方案具备层次化、模块 化、冗余性、安全性的特点,适用于中小型企业/分支的园区网络部署。
华为数据中心5800交换机01-09 端口安全配置
9端口安全配置关于本章 9.1 简介 介绍端口安全的定义和目的。 9.2 原理描述 通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安 全的实现原理。 9.3 应用场景 介绍端口安全常见的应用场景。 9.4 配置注意事项 介绍端口安全的配置注意事项。 9.5 缺省配置 介绍端口安全的缺省配置。 9.6 配置端口安全 端口安全(Port Security)功能将设备接口学习到的MAC地址变为安全MAC地址(包 括安全动态MAC和Sticky MAC),可以阻止除安全MAC和静态MAC之外的主机通过 本接口和交换机通信,从而增强设备安全性。 9.7 配置举例 结合组网需求、配置思路来了解实际网络中端口安全的应用场景,并提供配置文件。 9.1 简介 介绍端口安全的定义和目的。 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址 (包括安全动态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而 增强设备的安全性。
9.2 原理描述 通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安 全的实现原理。 安全MAC地址的分类 安全MAC地址分为:安全动态MAC与Sticky MAC。 表9-1安全MAC地址的说明 l接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。 l接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址, 之后学习到的MAC地址也变为Sticky MAC地址。 l接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地 址。 l接口去使能Sticky MAC功能时,接口上的Sticky MAC地址,会转换为安全动态MAC地址。超过安全MAC地址限制数后的动作 接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则 认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动 作是丢弃该报文并上报告警。
华为交换机基础配置
一、华为交换机配置基础命令 1、创建vlan: