1、部分板卡使用combo口
执行命令combo { copper | fiber },配置以太网光口与电口切换。
如:G24C 单板有8 个电口和24 个光口,其中前8 个光口与电口复用,需要通过combo 命
令来设置
2、(可选)配置接口二层与三层切换
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令interface interface-type interface-number,进入接口视图。
步骤3 执行命令portswitch,配置接口工作在二层模式。
步骤4 执行命令undo portswitch,配置接口工作在三层模式。
缺省情况下,以太网接口处于二层模式。
当接口由三层模式切换到二层模式时,接口的三层功能和标识将被禁止,采用系统的
MAC 地址
3、检查配置结果
使用命令display interface [ interface-type [ interface-number ] ] [ | { begin | exclude |
include } regular-expression ] 查看以太网接口的描述信息、双工模式和速率。
4、配置以太网接口环回测试功能
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令interface interface-type interface-number,进入接口视图。
步骤3 执行命令loopback internal,配置以太网端口进行环回测试。
缺省情况下,以太网接口环回测试功能处于关闭状态。
5、配置接口重启最小时间间隔
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令shutdown interval interval-value,设置接口关闭和启动的最小时间间隔。
缺省情况下,接口关闭和启动的最小时间间隔为15 秒。
6、配置端口组
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令port-group port-group-name,进入端口组视图。
步骤3 执行命令group-member interface-list,添加以太网端口到指定端口组中。
7、(可选)配置接口允许通过的最大帧长
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令interface interface-type interface-number,进入以太网接口视图。
步骤3 执行命令jumbo enable [ value ],设置允许通过以太网接口的最大帧长。
缺省情况下,系统允许最大长度为9216 字节的帧通过以太网端口。
8、(可选)使能流量控制
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令interface interface-type interface-number,进入接口视图。
步骤3 执行命令flow-control,打开以太网接口的流量控制开关。
缺省情况下,以太网接口的流量控制开关处于关闭状态。
对端设备接口也需要打开流量控制开关才能实现流量控制。
9、(可选)使能流量控制自协商功能
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令interface gigabitethernet interface-number,进入GE 接口视图。
步骤3 执行命令flow-control negotiation,打开千兆以太网接口的流量控制自协商功能。
缺省情况下,以太网接口的流量控制自协商功能处于关闭状态。
对端设备接口也需要配置流量控制自协商才能实现流量控制自协商成功
10、(可选)使能端口隔离功能
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令port-isolate mode { l2 | all },配置端口隔离模式。(只隔离两个端口时可省略词条命令)
步骤3 执行命令interface interface-type interface-number,进入以太网接口视图。
步骤4 执行命令port-isolate enable ,使能端口隔离功能。
说明
端口隔离使能后,该端口会与使能端口隔离的端口之间实现两两隔离,该端口与没有使能端口隔
离的端口可以互通。
11、(可选)配置以太网子接口IP 地址
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令interface interface-type interface-number.subinterface-number,创建并进入以太
网子接口视图。
步骤3 执行命令ip address ip-address ip-mask [ sub ],配置以太网子接口的IP 地址。
目前只有E 系列单板支持子接口配置。
12、检查配置结果
l 使用命令display port-group [ all | port-group-name ] 查看配置的端口组。
l 使用命令display interface [ interface-type [ interface-number ] ] [ | { begin | exclude |
include } regular-expression ] 查看接口的自协商功能。
13、创建单个VLAN
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。
步骤3 (可选)执行命令description description,配置VLAN 的描述信息。
配置VLAN 的描述信息主要是为了方便管理和记忆VLAN。缺省情况下,VLAN 的描
述中体现了VLAN 的编号,例如VLAN15 的描述信息为:“VLAN 0015”。
14、创建多个VLAN
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令vlan batch { vlan-id1 [ to vlan-id2 ] }&<1-10>,批量创建VLAN
15、配置VLAN 流量统计功能
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令vlan vlan-id,进入VLAN 视图。
步骤3 执行命令statistic enable,使能VLAN 上的流量统计功能。
缺省情况下,VLAN 的流量统计功能处于关闭状态。
16、检查VLAN配置结果
执行命令display vlan,可以查看到已经创建的VLAN。
<Quidway> display vlan
The total number of vlans is : 5
VLAN ID Type Status MAC Learning Broadcast/Multicast/Unicast Property
--------------------------------------------------------------------------------
1 common enable enable forward forward forward default
10 common enable enable forward forward forward default
20 common enable enable forward forward forward default
30 common enable enable forward forward forward default
100 common enable enable forward forward forward default
执行命令display vlan vlan-id verbose,可以查看到VLAN 的描述信息是否配置正确。
<Quidway> display vlan 10 verbose
VLAN ID : 10
VLAN Type : Common
Description : VLAN 0010
Status : Enable
Broadcast : Enable
MAC learning : Enable
Statistics : Disable
Property : default
Physical status: Down
----------------
Untagged Port: GigabitEthernet1/0/3
----------------
Tagged Port: GigabitEthernet1/0/1 GigabitEthernet1/0/2
----------------
Interface Physical
GigabitEthernet1/0/1 DOWN
GigabitEthernet1/0/2 DOWN
GigabitEthernet1/0/3 DOWN
执行命令display vlan vlan-id statistics,可以查看到VLAN 的流量统计信息。
<Quidway> display vlan 20 statistics
Board: 3
VLAN: 20
--------------------------------------------------------------------------
Item Packets Bytes
--------------------------------------------------------------------------
Inbound 0 0
Outbound 0 0
17、Trunk(Vlan透传)
port link-type trunk
port trunk allow-pass vlan all
eth-Trunk(以太网聚合)
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 100 to 200
#
interface GigabitEthernet0/0/3
eth-trunk 1
#
interface GigabitEthernet0/0/4
eth-trunk 1
S2300/3300/5300系列交换机如何防止用户私设静态IP地址
防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过,其它用户数据不能通过。
S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:
配置设备的DHCP Snooping功能
# 使能全局DHCP Snooping功能。
[Quidway] dhcp snooping enable# 配置用户侧接口所属的VLAN。
[Quidway] vlan 100
[Quidway-vlan100] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 100
[Quidway-Ethernet0/0/1] quit# 使能VLAN下的DHCP Snooping功能。
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping enable配置在用户侧接口进行报文检查
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] dhcp snooping check arp enable
[Quidway-Ethernet0/0/1] dhcp snooping check ip enable
[Quidway-Ethernet0/0/1] quit配置静态绑定表项
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1
实现IP+端口绑定 (2012-02-16 16:25:09)
标签: it
Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。
例如,配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过,丢弃其他IP报文。
# 全局使能dhcp snoopying
[Quidway] dhcp snooping enable# 定义高级ACL,匹配IP地址192.168.130.50
[Quidway] acl 3000
[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0
[Quidway-acl-adv-3000] rule 10 deny ip source any
[Quidway-acl-adv-3000] rule 15 deny ip destination any# 创建流分类,匹配ACL
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 3000# 创建流行为和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1# 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.130.50的报文通过
在V100R002C00的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound在V100R003C00及以后的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] ip source check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
如何通过配置来实现IP+MAC+端口绑定功能
S-swich通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。
配置思想是先在VLAN下配置的静态绑定表,静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。
使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。
例如配置IP地址10.1.1.1,MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。
在V100R002的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
在V100R003及以后的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] quit
[HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
如何通过配置来实现MAC+端口绑定功能
Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定,即实现某个端口只绑定某个特定mac地址(某个端口只允许在绑定表内的和某特定mac地址的报文通过),不绑定ip。
例如,配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过,其他报文都丢弃。
# 全局使能dhcp snooping
[Quidway] dhcp snooping enable# 创建ACL,只允许MAC地址为0-02-02的报文
[Quidway] acl 4000
[Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff
[Quidway-acl-L2-4000] rule deny# 创建流分类,匹配ACL 4000
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 4000# 创建流行为和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1# 端口下应用流策略,使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。
在V001C00R002的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound在V001C00R003及以后的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] ip source check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
如何通过配置实现IP+端口绑定
Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。
例如,配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过,丢弃其他IP报文。
# 全局使能dhcp snoopying
[Quidway] dhcp snooping enable# 定义高级ACL,匹配IP地址192.168.130.50
[Quidway] acl 3000
[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0
[Quidway-acl-adv-3000] rule 10 deny ip source any
[Quidway-acl-adv-3000] rule 15 deny ip destination any# 创建流分类,匹配ACL
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 3000# 创建流行为和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1# 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.130.50的报文通过
在V100R002C00的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound在V100R003C00及以后的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] ip source check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
S2300/3300/5300系列交换机如何防止用户私设静态IP地址
防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过,其它用户数据不能通过。
S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:
配置设备的DHCP Snooping功能
# 使能全局DHCP Snooping功能。
[Quidway] dhcp snooping enable# 配置用户侧接口所属的VLAN。
[Quidway] vlan 100
[Quidway-vlan100] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 100
[Quidway-Ethernet0/0/1] quit# 使能VLAN下的DHCP Snooping功能。
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping enable配置在用户侧接口进行报文检查
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] dhcp snooping check arp enable
[Quidway-Ethernet0/0/1] dhcp snooping check ip enable
[Quidway-Ethernet0/0/1] quit配置静态绑定表项
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1