华为交换机网络管理相关配置问题（2）（华为交换机配置）

华为交换机网络管理相关配置问题（2）（华为交换机配置）

Q: S2300/S3300/S5300如何配置限速?

A: 在配置限速时，推荐： 不配置PIR，只配置CIR、CBS、PBS。 CBS = 200 * CIR。 PBS = 2 * CBS = 2 * 200 * CIR = 400 * CIR。 其中，CIR单位为Kbps，CBS、PBS单位为Byte。

配置出方向端口限速，限速10M 在V100R003C01以前的版本，配置如下： [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] qos lr cir 10240 cbs 2048000 在V100R003C01及以后的版本，配置如下： [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] qos lr outbound cir 10240 cbs 2048000

配置入方向限速，限速10M 在V100R003C01以前的版本，配置如下： [Quidway] traffic classifier c1 [Quidway-classifier-c1] if-match any [Quidway-classifier-c1] quit [Quidway] traffic behavior b1 [Quidway-behavior-b1] permit [Quidway-behavior-b1] car cir 10240 cbs 2048000 pbs 4096000 [Quidway-behavior-b1] quit [Quidway] traffic policy c1 [Quidway-trafficpolicy-c1] classifier c1 behavior b1 [Quidway-trafficpolicy-c1] quit [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] traffic-policy c1 inbound 在V100R003C01及以后的版本，配置如下： [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] qos lr inbound cir 10240 cbs 2048000 说明： 流策略可以应用在物理接口视图、Eth-Trunk视图、VLAN视图（端口共享带宽）。 S5300中，物理接口为GigabitEthernet接口。

Q: S2300/S3300/S5300如何配置流量统计?

A: 假设需要统计接口Ethernet0/0/1上源IP地址为10.1.1.0/24网段的Ping报文，配置如下： # 配置ACL规则。 [Quidway] acl number 3333 [Quidway-acl-adv-3333] rule 5 permit icmp source 10.1.1.0 0.0.0.255 [Quidway-acl-adv-3333] quit # 配置流分类。 [Quidway] traffic classifier test [Quidway-classifier-test] if-match acl 3333 [Quidway-classifier-test] quit # 配置流行为。 S2300/S3300/S5300 V100R005以前版本 [Quidway] traffic behavior test [Quidway-behavior-test] count [Quidway-behavior-test] quit S2300/S3300/S5300 V100R005以后版本 [Quidway] traffic behavior test [Quidway-behavior-test] statistic enable [Quidway-behavior-test] quit # 配置流策略。 [Quidway] traffic policy test [Quidway-trafficpolicy-test] classifier test behavior test [Quidway-trafficpolicy-test] quit # S2300/S3300上应用流策略test。 [Quidway] interface ethernet0/0/1 [Quidway-Ethernet0/0/1] traffic-policy test inbound # S5300上应用流策略test。 [Quidway] interface gigabitethernet0/0/1 [Quidway-GigabitEthernet0/0/1] traffic-policy test inbound 配置完成后，可执行命令display traffic policy statistics interface interface-type interface-number查看流量统计信息。如果需要重新进行流量统计，可执行命令reset traffic policy statistics interface interface-type interface-number清除原有流量统计信息。

说明： S2300/S3300只支持入方向的流量统计。 S5300支持入方向和出方向的流量统计，但不能统计由S5300设备自身CPU始发的报文。

Q: 为什么配置了DHCP Snooping之后，设备下挂用户无法获取IP地址?

A: 在使能DHCP Snooping之后，Switch所有接口状态缺省都是非信任状态。这时要把与DHCP Server相连的接口配置成信任状态，否则DHCP Server回应的DHCP Reply报文都会被丢弃，这样Switch下挂用户无法获取DHCP Server分配的IP地址。

Q: 如何通过配置来实现IP+MAC+端口绑定功能?

A: S-swich通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。 配置思想是先在VLAN下配置的静态绑定表，静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。 例如配置IP地址10.1.1.1，MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。 在V100R002的版本配置如下： [HUAWEI] dhcp enable [HUAWEI] dhcp snooping enable [HUAWEI] vlan 100 [HUAWEI-vlan100] quit [HUAWEI] interface Ethernet 0/0/1 [HUAWEI-Ethernet0/0/1] port default vlan 100 [HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable [HUAWEI-Ethernet0/0/1] quit [HUAWEI] vlan 100 [HUAWEI-vlan100] dhcp snooping enable [HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1 在V100R003及以后的版本配置如下： [HUAWEI] dhcp enable [HUAWEI] dhcp snooping enable [HUAWEI] vlan 100 [HUAWEI-vlan100] quit [HUAWEI] interface Ethernet 0/0/1 [HUAWEI-Ethernet0/0/1] port default vlan 100 [HUAWEI-Ethernet0/0/1] ip source check user-bind enable [HUAWEI-Ethernet0/0/1] quit [HUAWEI] vlan 100 [HUAWEI-vlan100] dhcp snooping enable [HUAWEI-vlan100] quit [HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

Q: 如何通过配置来实现MAC+端口绑定功能?

A: Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定，即实现某个端口只绑定某个特定mac地址（某个端口只允许在绑定表内的和某特定mac地址的报文通过），不绑定ip。 例如，配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过，其他报文都丢弃。 # 全局使能dhcp snooping [Quidway] dhcp snooping enable # 创建ACL，只允许MAC地址为0-02-02的报文 [Quidway] acl 4000 [Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff [Quidway-acl-L2-4000] rule deny # 创建流分类，匹配ACL 4000 [Quidway] traffic classifier c1 [Quidwayclassifier-c1] if-match acl 4000 # 创建流行为和流策略 [Quidway] traffic behavior b1 [Quidway-behavior-b1] permit [Quidway] traffic policy p1 [Quidway-trafficpolicy-p1] classifier c1 behavior b1 # 端口下应用流策略，使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。 在V001C00R002的版本配置如下： [Quidway] interface Ethernet 0/0/1 [Quidway-Ethernet0/0/1] port default vlan 4094 [Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable [Quidway-Ethernet0/0/1] traffic-policy p1 inbound 在V001C00R003及以后的版本配置如下： [Quidway] interface Ethernet 0/0/1 [Quidway-Ethernet0/0/1] port default vlan 4094 [Quidway-Ethernet0/0/1] ip source check user-bind enable [Quidway-Ethernet0/0/1] traffic-policy p1 inbound

Q: 如何通过配置实现IP+端口绑定?

A: Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定，即实现某个端口只绑定某个特定源ip地址（只允许在绑定表内的和某个特定源ip地址的报文通过），不绑定mac。 例如，配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过，丢弃其他IP报文。 # 全局使能dhcp snoopying [Quidway] dhcp snooping enable # 定义高级ACL，匹配IP地址192.168.130.50 [Quidway] acl 3000 [Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0 [Quidway-acl-adv-3000] rule 10 deny ip source any [Quidway-acl-adv-3000] rule 15 deny ip destination any # 创建流分类，匹配ACL [Quidway] traffic classifier c1 [Quidwayclassifier-c1] if-match acl 3000 # 创建流行为和流策略 [Quidway] traffic behavior b1 [Quidway-behavior-b1] permit [Quidway] traffic policy p1 [Quidway-trafficpolicy-p1] classifier c1 behavior b1 # 端口下应用流策略，只允许绑定表内的和源IP地址为192.168.130.50的报文通过 在V100R002C00的版本配置如下： [Quidway] interface Ethernet 0/0/8 [Quidway-Ethernet0/0/8] port default vlan 4094 [Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable [Quidway-Ethernet0/0/8] traffic-policy p1 inbound 在V100R003C00及以后的版本配置如下： [Quidway] interface Ethernet 0/0/8 [Quidway-Ethernet0/0/8] port default vlan 4094 [Quidway-Ethernet0/0/8] ip source check user-bind enable [Quidway-Ethernet0/0/8] traffic-policy p1 inbound

Q: S2300/3300/5300系列交换机如何防止用户私设静态IP地址?

A: 防止用户私设静态IP地址，可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过，其它用户数据不能通过。 S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令，但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如，若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外，其它所有静态IP用户都不能上网。配置如下： 配置设备的DHCP Snooping功能 # 使能全局DHCP Snooping功能。 [Quidway] dhcp snooping enable # 配置用户侧接口所属的VLAN。 [Quidway] vlan 100 [Quidway-vlan100] quit [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] port default vlan 100 [Quidway-Ethernet0/0/1] quit # 使能VLAN下的DHCP Snooping功能。 [Quidway] vlan 100 [Quidway-vlan100] dhcp snooping enable # 配置在用户侧接口进行报文检查 [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] dhcp snooping check arp enable [Quidway-Ethernet0/0/1] dhcp snooping check ip enable [Quidway-Ethernet0/0/1] quit # 配置静态绑定表项 [Quidway] vlan 100 [Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。