配置LACP
LACP配置
目录
第1章配置端口LACP汇聚 (1)
1.1 端口LACP汇聚简介 (1)
1.1.1 端口LACP协议模式 (1)
1.1.2 静态汇聚 (2)
1.1.3 动态LACP汇聚 (2)
1.1.4 负载均衡策略 (2)
1.2 配置LACP (3)
1.2.1 配置静态汇聚 (3)
1.2.2 配置动态LACP汇聚 (3)
1.2.3 配置负载均衡策略 (3)
1.2.4 配置系统的优先级 (4)
1.2.5 配置端口的LACP优先级 (4)
1.2.6 LACP的显示和维护 (4)
1.3 LACP配置举例 (5)
1.3.1 组网需求 (5)
1.3.2 组网图 (5)
1.3.3 配置步骤 (5)
第1章配置端口LACP汇聚
1.1 端口LACP汇聚简介
端口汇聚是将多个物理端口聚合在一起形成1个汇聚组,以实现流量的负载均衡以及链路的冗余备份。
同一个汇聚组中端口的基本配置必须保持一致,基本配置主要包括STP、QoS、VLAN、端口属性等相关配置。
●STP配置包括:端口的STP使能/关闭、与端口相连的链路属性(如点对点或非点对点)、STP优先级、STP开销、STP标准报文格式、报文发送速率限制、是否根保护等。
●QoS配置包括:流量限速、优先级标记、缺省的802.1p优先级、带宽保证、拥塞避免、流重定向、流量统计等。
●VLAN配置包括:端口上允许通过的VLAN、端口缺省VLAN ID。
●端口属性配置包括:要求端口的速率、双工模式(必须是全双工)、链路类型(即Trunk、Hybrid、Access类型)一致。
在同一台交换机上,如果一个汇聚组内某个端口的这些特性被修改,则同一个汇聚组内其余端口都自动同步修改。
按照汇聚方式的不同,端口汇聚可以分为静态汇聚和动态LACP汇聚。
1.1.1 端口LACP协议模式
端口的LACP协议模式有三种:
●静态模式(on):不运行LACP协议
●active模式:active模式下端口主动发起LACP协商
●passive模式:passive模式下端口只响应LACP协商
当与另一台设备对接时,只能静态与静态对接,active可以与active或passive对接,Passive只能与active对接。
1.1.2 静态汇聚
静态汇聚方式下,汇聚组由管理员手工配置,不允许系统自动添加或删除汇聚组中的端口。汇聚组中必须至少包含一个端口。也就是说,与另一台设备对接时,设备之间没有LACP协议报文交互。
静态汇聚方式下,端口的LACP协议模式为静态模式(on)。
系统最多支持31个汇聚组(不区分动静态),每个静态汇聚组最多可以配置8个端口成员。
1.1.3 动态LACP汇聚
系统最多支持31个汇聚组(不区分动静态),每个动态LACP汇聚组可以最多配置12个端口,但只有其中8个端口可以形成汇聚。系统将根据端口的up/down状态、端口号大小、端口的LACP优先级来选出这8个端口。
动态LACP汇聚方式下,端口的LACP协议模式为active或passive。
1.1.4 负载均衡策略
系统在进行流量的负载均衡时,会根据报文的内容分类,同一类的报文将固定走同一条物理链路,而只在不同类的报文之间实现负载均衡。报文分类的策略如下,管理员可以任意选择一种作为负载均衡策略:
●源MAC
●目的MAC
●源MAC+目的MAC
●源IP
●目的IP
●源IP+目的IP
1.2 配置LACP
1.2.1 配置静态汇聚
表 1-1配置静态汇聚
操作命令备注进入全局配置模式configure terminal -
创建汇聚组channel-group num 必选
删除汇聚组no channel-group num-
进入端口配置模式下interface ethernet device/slot/port-
将端口加入汇聚组并指定
LACP协议模式channel-group channel-group mode on 必选
将端口从汇聚组中删除:
channel-group channel-group-
1.2.2 配置动态LACP汇聚
表 1-2配置动态LACP汇聚
操作命令备注进入全局配置模式configure terminal -
创建汇聚组channel-group num 必选
进入端口配置模式下interface ethernet slot/port-
将端口加入汇聚组并指定
LACP协议模式
channel-group channel-group mode {active|passive} 必选
1.2.3 配置负载均衡策略
表 1-3配置负载均衡策略
操作命令备注进入全局配置模式configure terminal -
配置负载均衡策略channel-group load-balance {dst-ip | dst-mac |
src-dst-ip | src-dst-mac | src-ip | src-mac}
可选
缺省配置下,负
载均衡策略为源
MAC(src-mac)
1.2.4 配置系统的优先级
在动态LACP方式下,根据系统ID来选择主从交换机。系统ID由系统优先级和本地MAC地址组成。
表 1-4配置系统的优先级
操作命令备注
进入全局配置模式configure terminal -
配置系统的优先级lacp system-priority priority 可选
缺省配置下,系统的优先级为32768
1.2.5 配置端口的LACP优先级
端口的LACP优先级只有端口工作在active或passive模式下才有效。该参数作为选举在汇聚组内工作的端口时的依据,优先级小的端口将会被优先选择。
表 1-5配置端口的LACP优先级
操作命令备注
进入全局配置模式configure terminal -
进入端口配置模式下interface ethernet slot/port-
配置端口的LACP优先级lacp port-priority priority 可选
缺省配置下,端口的LACP优先级为128
1.2.6 LACP的显示和维护
在完成上面的配置后,可以通过下面的命令来查看配置。
表 1-6 LACP的显示和维护
操作命令备注显示汇聚组中的端口成员相关
参数show lacp internal [channel-group-number]
任何模式下可执
行
显示系统的LACP ID show lacp sys-id
显示汇聚组中的邻接端口的信show lacp neighbor [channel-group-number]
息
1.3 LACP配置举例
1.3.1 组网需求
如图1-1 所示,Switch-A 和Switch-B 为两台Switch 设备,它们之间的链路为某城域网骨干传输链路之一,要求Switch-A 和Switch-B 之间的链路有较高的可靠性,并在Switch-A 和Switch-B 之间实现数据流量的负载分担。
1.3.2 组网图
图 https://www.360docs.net/doc/a41456475.html,CP配置的组网图
1.3.3 配置步骤
1、创建channel-group
#配置Switch-A
Switch-A#configure terminal
Switch-A(config)#channel-group 1
#配置Switch-B
Switch-B#configure terminal
Switch-B(config)#channel-group 1
2、配置channel-group的负载分担策略
#配置Switch-A
Switch-A(config)#channel-group load-balance src-dst-mac
#配置Switch-B
Switch-B(config)#channel-group load-balance src-dst-mac
3、配置动态汇聚的LACP系统优先级和端口优先级
#配置Switch-A
Switch-A(config)#lacp system-priority 1024
Switch-A(config)#interface range ethernet 0/1 to ethernet 0/2 Switch-A(config-if-range)#lacp port-priority 64
Switch-A(config-if-range)#exit
#配置Switch-B
Switch-B(config)#lacp system-priority 2048
Switch-B(config)#interface range ethernet 0/3 to ethernet 0/4 Switch-B(config-if-range)#lacp port-priority 256
Switch-B(config-if-range)#exit
4、为channel-group添加端口成员
1)使用静态汇聚的配置方式
#配置Switch-A
Switch-A(config)#interface range ethernet 0/1 to ethernet 0/2 Switch-A(config-if-range)#channel-group 1 mode on Remember to re-config mac-addresses associated with port e0/1 Remember to re-config mac-addresses associated with port e0/2 #配置Switch-B
Switch-B(config)#interface range ethernet 0/0/3 to ethernet 0/4
Switch-B(config-if-range)#channel-group 1 mode on
Remember to re-config mac-addresses associated with port e0/3 Remember to re-config mac-addresses associated with port e0/4
2)使用动态汇聚的配置方式
#配置Switch-A
Switch-A(config)#interface range ethernet 0/0/1 to ethernet 0/2
Switch-A(config-if-range)#channel-group 1 mode active
Remember to re-config mac-addresses associated with port e0/1 Remember to re-config mac-addresses associated with port e0/2
#配置Switch-B
Switch-B(config)#interface range ethernet 0/3 to ethernet 0/4
Switch-B(config-if-range)#channel-group 1 mode passive
Remember to re-config mac-addresses associated with port e0/3 Remember to re-config mac-addresses associated with port e0/4
5、在任意配置模式下验证配置结果
1)显示本端汇聚信息
#显示Switch-A的静态汇聚信息
Switch-A(config-if-range)#show lacp internal
Load balance: src-dst-mac
Channel: 1, static channel
Port State A-Key O-Key Priority Logic-port Actor-state e0/1 bndl - - - 1 -
e0/2 bndl - - - 1 -
actor-state: activity/timeout/aggregation/synchronization collecting/distributing/defaulted/expired
#显示Switch-A的动态汇聚信息
Switch-A(config-if-range)#show lacp internal
Load balance: src-dst-mac
Channel: 1, dynamic channel
Port State A-Key O-Key Priority Logic-port Actor-state e0/0/1 bndl 2 2 64 1 10111100
e0/0/2 bndl 2 2 64 1 10111100
actor-state: activity/timeout/aggregation/synchronization collecting/distributing/defaulted/expired
#显示Switch-B的动态汇聚信息
Switch-B(config-if-range)#show lacp internal
Load balance: src-dst-mac
Channel: 1, dynamic channel
Port State A-Key O-Key Priority Logic-port Actor-state e0/3 bndl 2 2 256 3 00111100
e0/4 bndl 2 2 256 3 00111100
actor-state: activity/timeout/aggregation/synchronization collecting/distributing/defaulted/expired
华为防火墙双机热备配置及组网
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
lacp学习笔记
LACP学习笔记 一、LACP简介 1、LACP协议简介 基于IEEE802.3ad 标准的LACP(Link Aggregation Control Protocol,链路汇聚控制协议)是一种实现链路动态汇聚与解汇聚的协议。LACP 协议通过LACPDU(Link Aggregation Control Protocol Data Unit,链路汇聚控制协议数据单元)与对端交互信息。 使能某端口的LACP 协议后,该端口将通过发送LACPDU 向对端通告自己的系统优先级、系统MAC、端口优先级、端口号和操作Key。对端接收到这些信息后,将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口,从而双方可以对端口 加入或退出某个动态汇聚组达成一致。 2、LACP报文 主要字段介绍: Actor_Port/Partner_Port:本端/对端接口信息。 Actor_State/Partner_State:本端/对端状态。 Actor_System_Priority/Partner_System_Priority:本端/对端系统优先级。
Actor_System/Partner_System:本端/对端系统ID。 Actor_Key/Partner_Key:本端/对端操作Key,各接口的该值相同才能够聚合。 Actor_Port_Priority/Partner_Port_Priority:本端/对端接口优先级。 二、链路聚合的分类 1、手工负载分担模式链路聚合 1)手工汇聚概述 手工负载分担模式是一种最基本的链路聚合方式,在该模式下,Eth-Trunk 接口的建立,成员接口的加入完全由手工来配置,没有链路聚合控制协议的参与。该模式下所有成员接口(selected)都参与数据的转发,分担负载流量,因此称为手工负载分担模式。手工汇聚端口的LACP 协议为关闭状态,禁止用户使能手工汇聚端口的LACP 协议。 2)手工汇聚组中的端口状态 在手工汇聚组中,端口可能处于两种状态:Selected 或Standby。处于Selected 状 态且端口号最小的端口为汇聚组的主端口,其他处于Selected 状态的端口为汇聚组 的成员端口。 由于设备所能支持的汇聚组中的最大端口数有限制,如果处于Selected 状态的端口 数超过设备所能支持的汇聚组中的最大端口数,系统将按照端口号从小到大的顺序 选择一些端口为Selected 端口,其他则为Standby 端口。 3)手工汇聚对端口配置的要求 一般情况下,手工汇聚对汇聚前的端口速率和双工模式不作限制。但对于以下情况,系统会作特殊处理: 对于初始就处于DOWN 状态的端口,在汇聚时对端口的速率和双工模式没有限制; 对于曾经处于UP 状态,并协商或强制指定过端口速率和双工模式,而当前处于DOWN 状态的端口,在汇聚时要求速率和双工模式一致; 对于一个汇聚组,当汇聚组中某个端口的速率和双工模式发生改变时,系统不进行解汇聚,汇聚组中的端口也都处于正常工作状态。但如果是主端口出现速率降低和双工模式变化,则该端口的转发可能出现丢包现象。 2、LACP 协议链路聚合 LACP(Link Aggregation Control Protocol)链路聚合包含两种类型: 1)静态LACP 模式链路聚合 a)静态LACP 模式链路聚合简介 静态LACP 模式下,Eth-Trunk 接口的建立,成员接口的加入,都是由手工配置完成的。但与手工负载分担模式链路聚合不同的是,该模式下LACP 协议报文参与活动接口的选择。也就是说,当把一组接口加入Eth-Trunk 接口后,这些成员接口中哪些接口作为活动接口,哪些接口作为非活动接口还需要经过LACP 协议报文的协商确定。 静态汇聚端口的LACP 协议为使能状态,当一个静态汇聚组被删除时,其成员端口 将形成一个或多个动态LACP 汇聚,并保持LACP 使能。禁止用户关闭静态汇聚端口的LACP 协议。 b)静态汇聚组中的端口状态 在静态汇聚组中,端口可能处于两种状态:Selected 或Standby。Selected 端口和Standby 端口都能收发LACP 协议,但Standby 端口不能转发用户报文。 说明: 在一个汇聚组中,处于Selected 状态且端口号最小的端口为汇聚组的主端口,其他处于Selected 状态的端口为汇聚组的成员端口。 在静态汇聚组中,系统按照以下原则设置端口处于Selected 或者Standby 状态:
win7防火墙设置指南、多重作用防火墙策略以及设置方法
win7防火墙设置指南、多重作用防火墙策略以及设置方法 214小游戏https://www.360docs.net/doc/a41456475.html,/ windows XP集成防火强常被视为鸡肋,不过随着vista和WIN7的发布,微软对于防火墙的两次升级让windows的firewall不再是系统的累赘,特别是win7的firewall,强悍的功能让微软的防火墙也有了“专业”的味道。 本文就教大家来了解一下windows7下的 firewall设置以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。Windows Firewall的演变过程。 一、windows防火墙的演变 Windows XP中的防火墙是一款简单、初级仅保护流入信息,拦截任何不是由你主动发启入站连接的软件--它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管理员进行配置。而 Vista Firewall 是建立在一个新的Windows Filtering Platform (WFP、Windows过滤平台)上、并通过Advanced Security MMC嵌入式管理单元添加了新的过滤外发信息的能力。在Windows 7中MS对firewall做了进一步的微调,使其更具可用性,尤其针对移动计算机,更是舔加了对多重作用防火墙策略的支持。 二、windows 7 firewall(防火墙)设置方法 与Vista相同的是,可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置),而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。 更多的网络配置 Vista firewall允许你去选择是在公共网格上还是在专用网络中,而在Windows 7中你有三个选择--公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。 如果你选择了“家庭网络”选项,你将可以建立一个“家庭组”。在这种环境中,“网路发现”会自动启动,你将可以看到网络中其它的计算机和设备,同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中,你还可以排除它们。 如果你选择的是“工作网络”,“网路发现”同样会自动启动,但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域(通过控制面板--系统和安全--系统--高级系统配置--计算机名选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi 网络时的适当选择,“网路发现”将默认关闭,这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 在全部的网络模式中,Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。 多重作用防火墙策略 在Vista中,尽管你有公用网络和私用网络两个配置文件,但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情况,那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上,这意味着你可能无法在本地(私用)网络中做你想做的事,因为你是在公用网络在规则下操作。而在Windows 7 (和 Server 2008 R2)中,不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配,而与公用网络之间的流量则应用公用网络规则。 起作用的是那些不显眼的小事 在很多事例中,更好的可用性往往取决于小的改变,MS听取了用户的意见并将一些“不
华为交换机各种配置实例[网管必学]
华为交换机各种配置实例[网管必学 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
华为配置静态LACP模式链路聚合示例
华为配置静态LACP模式链路聚合示例 组网需求 如图所示,在两台Switch设备上配置静态LACP模式链路聚合组,提高两设备之间的带宽与可靠性,具体要求如下: 2条活动链路具有负载分担的能力。 两设备间的链路具有1条冗余备份链路,当活动链路出现故障链路时,备份链路替代故障链路,保持数据传输的可靠性。 图配置静态LACP模式链路聚合组网图 配置思路 采用如下的思路配置静态LACP模式链路聚合: 在Switch设备上创建Eth-Trunk,配置Eth-Trunk为静态LACP模式。 将成员接口加入Eth-Trunk。 配置系统优先级确定主动端。 配置活动接口上限阈值。 配置接口优先级确定活动链路。 数据准备 为完成此配置例,需准备如下的数据: 两端Switch设备链路聚合组编号。 SwitchA系统优先级。 活动接口上限阈值。 活动接口LACP优先级。
操作步骤 创建编号为1的Eth-Trunk,配置它的工作模式为静态LACP模式# 配置SwitchA。
防火墙的基本配置原则
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
华为交换机及路由器各种配置实例大全(20200909191858)
交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为、 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率 限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的 粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的 级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图
华为路由器防火墙配置
华为路由器防火墙配置 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source- mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较 的概念;为IP时
有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq) 、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个 端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个 数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或 0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo- reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。 listnumber 为删除的规则序号,是1~199之间的一个数值。
LACP
LACP-以太网链路聚合 以太网链路聚合是指将多个以太网端口聚合到一起,当作一个端口来处理,并提供更高的带宽和链路安全性。 10.1.1 介绍 定义 链路聚合组(LAG)将多个物理链路聚合起来,形成一条速率更大的逻辑链路传送数据。链路聚合的作用域在相邻设备之间,和整个网络结构不相关。在以太网中,链路和端口一一对应,因此链路聚合也叫做端口聚合。 LACP(Link Aggregation Control Protocol)是IEEE 802.3ad标准中实现链路聚合的控制 协议。通过该协议,不但可以自动实现设备之间端口聚合不需要用户干预,而且还可以检测端口的链路层故障,完成链路的聚合控制。 目的 链路聚合组可以实现以下功能: l 增加链路带宽 链路聚合组可以为用户提供一种经济的提高链路容量的方法。通过捆绑多条物理链路,用户不必升级现有设备就能获得更大带宽的数据链路,其容量等于各物理链路 容量之和。聚合模块按照其负荷分担算法将业务流量分配给不同的成员,实现链路 级的负荷分担功能。 l 提高链路安全性 链路聚合组中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其 工作。 链路聚合类型 按照聚合类型分类可以分为手工聚合、动态聚合和静态聚合。MA5680T/MA5683T 支持手工聚合和静态聚合,不支持动态聚合。 l 手工链路聚合 由用户手工创建聚合组,增删成员端口时,不运行LACP (Link Aggregation Control Protocol)协议。端口存在UP和DOWN两种状态,根据端口物理状态(UP和DOWN)来确定是否进行聚合。 手工链路聚合由于没有使用LACP协议,链路两端的设备缺少对聚合进行协商的必 要交互,因此对聚合的控制不够准确和有效。例如,如果用户错误地将物理链路连 接到不同的设备上或者同一设备的不能形成聚合的端口上,则系统无法发现。另 外,手工链路聚合只能工作在负荷分担方式,应用也存在一定限制。 l 动态链路聚合 动态链路聚合在完全没有人工干预的情况下自动生成聚合,它使设备具有了某些即 插即用的特性。但在实际应用中,这种聚合方式显得过于灵活,会给用户带来使用 上的不便与困难。例如,由于聚合组是设备动态生成的,因此在设备重启等情况下 聚合组ID就可能会发生变化,这将给设备的管理带来麻烦。
防火墙基础知识
防火墙基础知识 3.3 包过滤包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP Filtering 功能,这样的Router也就成为Screening Router 或称为Circuit-level gateway. 网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注:只检查包头的内容,不理会包内的正文信息内容) 过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基
础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service 为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet 、SMTP的连接,则Router 舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种: .允许特定名单内的内部主机进行Telnet输入对话 .只允许特定名单内的内部主机进行FTP输入对话 .只允许所有Telnet 输出对话 .只允许所有FTP 输出对话 .拒绝来自一些特定外部网络的所有输入信息* 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别,因为这些独立于服务。一些Router可以用来防止这类攻击,但过滤规则需要增加一些信息,而这些信息只有通过以下方式才能获
华为交换机各种配置方法
端口限速基本配置1 端口绑定基本配置 ACL基本配置 密码恢复 三层交换配置 端口镜像配置 DHCP配置 配置文件管理 远程管理配置 STP配置 私有VLAN配置 端口trunk、hybrid应用配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』
华为USG防火墙配置完整版
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
链路聚合协议LACP
链路聚合协议LACP 目录 1.5.3. 2.4.4.5 链路聚合协议LACP 1.5.3. 2.4.4.5 链路聚合协议LACP 链路聚合的引入 随着以太网技术在网络领域的广泛应用,用户对采用以太网技术的骨干链路的带宽和可靠性提出越来越高的要求。在传统技术中,常用更换高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽,但这种方案需要付出高额的费用,而且不够灵活。采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口实现增大链路带宽的目的。在实现增大带宽目的的同时,链路聚合采用备份链路的机制,可以有效的提高设备之间链路的可靠性。 作为链路聚合技术,Trunk可以完成多个物理端口聚合成一个Trunk口来提高带宽,同时能够检测到同一Trunk 内的成员链路有断路等故障,但是无法检测链路层故障、链路错连等故障。LACP(Link Aggregation Control Protocol)的技术出现后,提高了Trunk的容错性,并且能提供M:N备份功能,保证成员链路的高可靠性。 LACP为交换数据的设备提供一种标准的协商方式,以供系统根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成以后,负责维护链路状态。在聚合条件发生变化时,自动调整或解散链路聚合。 如图1所示,SwitchA与SwitchB之间创建Trunk,需要将SwitchA上的四个全双工GE接口与SwitchB捆绑成一个Trunk。由于错将SwitchA上的一个GE接口与SwitchC相连,这将会导致SwitchA向SwitchB传输数据时可能会将本应该发到SwitchB的数据发送到SwitchC上。而Trunk不能及时的检测到故障。 如果在SwitchA、SwitchB和SwitchC上都启用LACP协议,SwitchA的优先级设置高于SwitchB,经过协商 后,SwitchA发送的数据能够正确到达SwitchB。 图1 Trunk错连示意图 基本概念 链路聚合 将—组物理接口捆绑在一起作为一个逻辑接口来增加带宽及可靠性的方法。 链路聚合组 将若干条物理链路捆绑在一起所形成的逻辑链路称之为链路聚合组(LAG)或者Trunk。 如果这些被捆绑链路都是以太网链路,该聚合组被称为以太网链路聚合组,简写为Eth-Trunk。该聚 合组接口称之为Eth-Trunk接口。 组成Eth-Trunk的各个接口称之为成员接口。
防火墙基础知识
(一) 防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反,防火墙是 一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替 静态口令的先进验证)来说,防火墙是该政策的具体实施。防火墙系统的主要用途就是 控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接 点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应| |Packet | ______|________________|__________| 用|_____|Filter |___Internet | 网| |Router | 网点系统| 关| |________| |__________| 路由器和应用网关防火墙范例 防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网 络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。 防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案: * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络?
华为交换机配置命令
华为交换机配置命令
华为交换机配置指令 视图切换指令
打开以太网端口:[Switch-ethernet port-id]undo shutdown 设置以太网端口描述字符串:[Switch-ethernet port-id]description text 设置以太网端口的双工模式:[Switch-ethernet port-id]duplex { auto| full| half } 设置以太网端口的速率:[Switch-ethernet port-id]speed { 10 | 100 | 1000 | auto } 设置以太网端口的MDI模式:[Switch-ethernet port-id]mdi {across| auto | normal } 开启以太网端口的流量控制功能:[Switch-ethernet port-id]flow-control display查看指令 查看版本信息:
华为USG防火墙配置
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为192.168.0.1 防火墙访问IP为192.168.0.1,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问19 2.168.0.1登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。
输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。
以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。
别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID 设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘192.168.1.100’,子网掩码设置为‘255.255.0.0’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到192.168.0.1。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访问192.168.1.100。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口成员中。