华为交换机各种配置实例[网管必学]

《华为交换机各种配置实例[网管必学]》由会员分享，可在线阅读，更多相关《华为交换机各种配置实例[网管必学]（65页珍藏版）》请在装配图网上搜索。

1、word华为交换机各种配置实例网管必学交换机配置一端口限速根本配置华为3 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:华为交换机端口限速2000_EI系列以上的交换机都可以限速!限速不同的交换机限速的方式不一样!2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!端口限速配置1功能需求与组网说明端口限速配置配置环境参数组网需求1. 在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps2数据配置步骤

2、S2000EI系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进展流量限速。【SwitchA相关配置】1. 进入端口E0/1的配置视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进展流量限速，限制到3MbpsSwitchA- Ethernet0/1line-rate outbound 303. 对端口E0/1的入方向报文进展流量限速，限制到1MbpsSwitchA- Ethernet0/1line-rate inbound 16【补充说明】报文速率限制级别取值为1127。如果速率限制级别取值在128X

3、围内，如此速率限制的粒度为64Kbps，这种情况下，当设置的级别为N，如此端口上限制的速率大小为N*64K；如果速率限制级别取值在29127X围内，如此速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，如此端口上限制的速率大小为(N-27)*1Mbps。此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI。S2000-SI和S3000-SI系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进展流量限速。【SwitchA相关配置】1. 进入端口E0/1的配置视图SwitchAinterface Ethernet

4、0/12. 对端口E0/1的出方向报文进展流量限速，限制到6MbpsSwitchA- Ethernet0/1line-rate outbound 23. 对端口E0/1的入方向报文进展流量限速，限制到3MbpsSwitchA- Ethernet0/1line-rate inbound 1【补充说明】对端口发送或接收报文限制的总速率，这里以8个级别来表示，取值X围为18，含义为：端口工作在10M速率时，18分别表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率时，18分别表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。

5、此系列交换机的具体型号包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进展流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进展流量限速。【SwitchA相关配置】1. 进入端口E0/1的配置视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进展流量限速，限制到3MbpsSwitchA- Ethernet0/1line-rat

6、e 33. 配置acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进展流量限速，限制到1MbpsSwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1 exceed drop【补充说明】line-rate命令直接对端口的所有出方向数据报文进展流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规如此的数据报文进展流量限制。在配置ac

7、l的时候，也可以通过配置三层访问规如此，来对指定的源或目的网段报文，进展端口的入方向数据报文进展流量限制。端口出入方向限速的粒度为1Mbps。此系列交换机的具体型号包括：S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。S3528、S3552系列交换机端口限速配置流程使用以太网物理端口下面的traffic-shape和traffic-limit命令，分别来对该端口的出、入报文进展流量限速。【SwitchA相关配置】1. 进入端口E0/1的配置视图SwitchAinterface Ethernet 0/12. 对端口E0/1的出方向报文进展流量限速，

8、限制到3MbpsSwitchA- Ethernet0/1traffic-shape 3250 32503. 配置acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进展流量限速，限制到1MbpsSwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop【补充说明】此系列交换机的具体型号包括：S3528G/

9、P和S3552G/P/F。S3900系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进展流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规如此的端口入方向数据报文进展流量限制。【SwitchA相关配置】1. 进入端口E1/0/1的配置视图SwitchAinterface Ethernet 1/0/12. 对端口E0/1的出方向报文进展流量限速，限制到3MbpsSwitchA- Ethernet1/0/1line-rate 30003. 配置acl，定义符合速率限制的数据流SwitchAacl nu

10、mber 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进展流量限速，限制到1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop【补充说明】line-rate命令直接对端口的所有出方向数据报文进展流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规如此的数据报文进展流量限制。在配置acl的时候，也可以通过配置三层访问规如此，来对指定的源或目的网段报

11、文，进展端口的入方向数据报文进展流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括：S3924、S3928P/F/TP和S3952P。S5600系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进展流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规如此的端口入方向数据报文进展流量限制。【SwitchA相关配置】1. 进入端口E1/0/1的配置视图SwitchAinterface Ethernet 1/0/12. 对端口E0/1的出方向报文进展流量限速，限制到3MbpsSwit

12、chA- Ethernet1/0/1line-rate 30003. 配置acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any4. 对端口E0/1的入方向报文进展流量限速，限制到1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop【补充说明】line-rate命令直接对端口的所有出方向数据报文进展流量限制，而traffic-limit命令必须结合acl使

13、用，对匹配了指定访问控制列表规如此的数据报文进展流量限制。在配置acl的时候，也可以通过配置三层访问规如此，来对指定的源或目的网段报文，进展端口的入方向数据报文进展流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括：S5624P/F和S5648P。交换机配置二端口绑定根本配置1，端口+MACa)AM命令使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如：SwitchAam user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明：由于使用了端口参数，如此会以端口为参照物，即

14、此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机如此无法上网。但是PC1使用该MAC地址可以在其他端口上网。b)mac-address命令使用mac-address static命令，来完成MAC地址与端口之间的绑定。例如：SwitchAmac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1SwitchAmac-address max-mac-count 0配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。2，IP+MA

15、Ca)AM命令使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arp static命令，来完成IP地址与MAC地

16、址之间的绑定。例如：SwitchAarp static 10.1.1.2 00e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。3，端口+IP+MAC使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明：可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，如此会以端口为参照物，即此时端口E0/1只允许PC

17、1上网，而使用其他未绑定的IP地址、MAC地址的PC机如此无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。支持型号：S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)交换机配置三ACL根本配置1，二层ACL. 组网需求:通过二层访问控制列表，实现在每天8:0018:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从Gig

18、abitEthernet0/1接入。.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。Quidway acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规如此。Quidway-acl-link-traffic-of

19、-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei(3)激活ACL。# 将traffic-of-link的ACL激活。Quidway-GigabitEthernet0/1 packet-filter link-group traffic-of-link2，三层ACLa)根本访问控制列表配置案例. 组网需求:通过根本访问控制列表，实现在每天8:0018:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配

20、置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily# 进入基于名字的根本访问控制列表视图，命名为traffic-of-host。Quidway acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规如此。Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei(3)激活ACL。# 将traffic-of-host的ACL激活。Quid

21、way-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-hostb)高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2。要求正确配置ACL，限制研发部门在上班时间8:00至18:00访问工资服务器。.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 working-day(2)定义到工

22、资服务器的ACL# 进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。Quidway acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规如此。Quidway-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei(3)激活ACL。# 将traffic-of-payserver的ACL激活。Quidway-GigabitEthernet0/1 pac

23、ket-filter inbound ip-group traffic-of-payserver3，常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp sour

24、ce any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destin

25、ation-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any de

26、stination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-por

27、t eq 9996用于控制 Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不知名的病毒端口号 可以不作rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-p

28、ort eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any desti

29、nation any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配

30、置packet-filter ip-group 100目的：针对目前网上出现的问题，对目的是端口号为1434的UDP报文进展过滤的配置方法，详细和复杂的配置请看配置手册。NE80的配置：NE80(config)#rule-map r1 udp any any eq 1434/r1为role-map的名字，udp 为关键字，any any 所有源、目的IP，eq为等于，1434为udp端口号NE80(config)#acl a1 r1 deny/a1为acl的名字，r1为要绑定的rule-map的名字，NE80(config-if-Ethernet1/0/0)#access-group acl

31、a1/在1/0/0接口上绑定acl，acl为关键字，a1为acl的名字NE16的配置：NE16-4(config)#firewall enable all/首先启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434/deny为禁止的关键字，针对udp报文，any any 为所有源、目的IP，eq为等于， 1434为udp端口号NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in/在接口上启用access-list，in表示进来的报文，也可以用out表示出去的报文中低端路由器

32、的配置Routerfirewall enableRouteracl 101Router-acl-101rule deny udp source any destion any destination-port eq 1434Router-Ethernet0firewall packet-filter 101 inbound6506产品的配置：旧命令行配置如下：6506(config)#acl extended aaa deny protocol udp any any eq 14346506(config-if-Ethernet5/0/1)#access-group aaa国际化新命令行配置如

33、下：Quidwayacl number 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434Quidway-acl-adv-100quitQuidwayinterface ethernet 5/0/1Quidway-Ethernet5/0/1packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置：旧命令行配置如下：5516(config)#rule-map l3 aaa protocol-type

34、 udp ingress any egress any eq 14345516(config)#flow-action fff deny5516(config)#acl bbb aaa fff5516(config)#access-group bbb国际化新命令行配置如下：Quidwayacl num 100Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434Quidwaypacket-filter ip-group 1003526产品的配置：旧命令行配置如下：rule-map

35、l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下：acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注：3526产品只能配置外网对内网的过滤规如此，其中1.1.0.0 255.255.0.0是内网的地址段。8016产品的配置：旧命令行配置

36、如下：8016(config)#rule-map intervlan aaa udp any any eq 14348016(config)#acl bbb aaa deny8016(config)#access-group acl bbb vlan 10 port all国际化新命令行配置如下：8016(config)#rule-map intervlan aaa udp any any eq 14348016(config)#eacl bbb aaa deny8016(config)#access-group eacl bbb vlan 10 port all防止同网段ARP欺骗的ACL一

37、、组网需求：1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图：图1二层交换机防ARP攻击组网S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进展一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACLnumber为5000到5999的交换机，可以配置ACL来进展ARP报文过滤。全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 fff

38、f 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体局部64010101是网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文，斜体局部为网关的mac地址000f-e200-3999。注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。在S3026C-A系统视图下发acl规如此：S3026C-A packet-filter user-group 5000这样只有S30

39、26C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。三层交换机实现仿冒网关的ARP防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2 三层交换机防ARP攻击组网三、配置步骤1. 对于三层设备，需要配置过滤源IP是网关的ARP报文的ACL规如此，配置如下ACL规如此：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜体局部64010105是网关IP地址100.1.1.5的16

40、进制表示形式。2. 下发ACL到全局S3526E packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项，因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进展过滤。二、组网图：参见图1和图2三、配置步骤：1. 如图1所示，当PC-B发送源IP地址为PC-D的arp reply攻击报文，源mac是PC-B的mac (000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是网关3552P的，这样3552上就会学习到错误的arp，如下所示：- 错误 arp 表项 -IP

41、 Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上，而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/82. 在图2 S3526C上也

42、可以配置静态ARP来防止设备学习到错误的ARP表项。 3. 对于二层设备S3050C和S3026E系列，除了可以配置静态ARP外，还可以配置IPMACport绑定，比如在S3026C端口E0/4上做如下操作： am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4如此IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口，仿冒其它设备的ARP报文如此无法通过，从而不会出现错误ARP表项。 四、配置关键点：此处仅仅列举了局部Quidway S系列以太网交换机的应用。在实际的网络应用中

43、，请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。5，关于ACL规如此匹配的说明a) ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL中多个子规如此的匹配顺序是由交换机的硬件决定的，用户即使在定义ACL时配置了匹配顺序也不起作用。ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。b) ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进展过滤和流分类。此时ACL子规如此的匹配顺序有两种：config指定匹

44、配该规如此时按用户的配置顺序和auto指定匹配该规如此时系统自动排序，即按“深度优先的顺序。这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规如此的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序，就不能再更改该顺序。只有把该列表中所有的规如此全部删除后，才能重新指定其匹配顺序。ACL被软件引用的情况包括：路由策略引用ACL、对登录用户进展控制时引用ACL等。交换机配置四密码恢复说明：以下方法将删除原有config文件，使设备恢复到出厂配置。在设备重启时按Ctrl+B进入BOOT MENU之后，Press Ctrl-B to enter Boot Menu. 5Password :

45、 缺省为空，回车即可1. Download application file to flash2. select application file to boot3. Display all files in flash4. Delete file from Flash5. Modify bootrom password0. RebootEnter your choice(0-5): 4 选择4No. File Name File Size(bytes)=1 S3026CGSSI.btm 2572242 wnm2.2.2-0005.zip 4478273 snmpboots 44 * R002

46、3P01.app 29856915 hostkey 4286 serverkey 5727 vrpcfg.txt 1281Free Space : 3452928 bytesPlease input the file number to delete: 7 选择7,删除当前的配置文件Do you want to delete vrpcfg.txt now? Yes or No(Y/N)yDelete file.done! BOOT MENU1. Download application file to flash2. select application file to boot3. Disp

47、lay all files in flash4. Delete file from Flash5. Modify bootrom password0. RebootEnter your choice(0-5):0 选择0,重启设备注：删除之后交换机就恢复了出厂配置。交换机配置五三层交换配置1， 三层交换数据包转发流程图：2，三层交换机配置实例：服务器1双网卡，内网IP:192.168.0.1，其它计算机通过其代理上网PORT1属于VLAN1PORT2属于VLAN2PORT3属于VLAN3VLAN1的机器可以正常上网即可实现VLAN间互联如果VLAN2和VLAN3的计算机要通过服务器1上网如此需

48、在三层交换机上配置默认路由然后再在服务器1上配置回程路由进入命令提示符这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了3，三层交换机VLAN之间的通信VLAN的划分应与IP规划结合起来，使得一个VLAN 接口IP就是对应的子网段就是某个部门的子网段，VLAN接口IP就是一个子网关。VLAN应以部门划分，一样部门的主机IP以VLAN接口IP为依据划归在一个子网X围，同属于一个VLAN。这样不仅在安全上有益，而且更方便网络管理员的管理和监控。注意：各VLAN中的客户机的网关分别对应各VLAN的接口IP。 在这企业网中计划规划四个VLAN子网对应着四个重要部门，笔者认

49、为这也是小企业最普遍的部门结构，分别是： VLAN10综合行政办公室； VLAN20销售部； VLAN30财务部； VLAN40数据中心网络中心。 划分VLAN以后，要为每一个VLAN配一个“虚拟接口IP地址。 拓朴图如下： VLAN与路由配置 1.DES-3326SR三层交换机的VLAN的配置过程： 1创建VLAN DES-3326SR#Config vlan default delete 1 -24 删除默认VLAN(default)包含的端口1-24 DES-3326SR#Create vlan vlan10 tag 10 创建VLAN名为vlan10，并标记VID为10 DES-332

50、6SR#Create vlan vlan20 tag 20 创建VLAN名为vlan20，并标记VID为20 DES-3326SR#Create vlan vlan30 tag 30 创建VLAN名为vlan10，并标记VID为30 DES-3326SR#Create vlan vlan40 tag 40 创建VLAN名为vlan10，并标记VID为40 2添加端口到各VLAN DES-3326SR#Config vlan vlan10 add untag 1-6 把端口1-6添加到VLAN10 DES-3326SR#Config vlan vlan20 add untag 7-12 把端口1

51、-6添加到VLAN20 DES-3326SR#Config vlan vlan30 add untag 13-18 把端口1-6添加到VLAN30 DES-3326SR#Config vlan vlan40 add untag 19-24 把端口1-6添加到VLAN40 3创建VLAN接口IP创建虑拟的接口if10给名为VLAN10的VLAN子网，并且指定该接口的IP为192.168.10.1/24。创建后enabled激活该接口。 同样方法设置其它的接口IP： 4路由 当配置三层交换机的三层功能时，如果只是单台三层交换机，只需要配置各VLAN的虚拟接口就行，不再配路由选择协议。因为一台三层交

52、换机上的虚拟接口会在交换机里以直接路由的身份出现，因此不需要静态路由或动态路由协议的配置。 2.DES-3226S二层交换机的VLAN的配置过程： 1创建VLAN DES-3226S#Config vlan default delete 1 -24 删除默认VLAN(default)包含的端口1-24 DES-3226S#Create vlan vlan10 tag 10 创建VLAN名为vlan10，并标记VID为10 2添加端口到各VLAN DES-3226S#Config vlan vlan10 add untag 1-24 把端口1-24添加到VLAN10 同理，配置其它DES-322

53、6S二层交换机。完成以后就可以将各个所属VLAN的二层交换机与DES-3326SR三层交换机的相应VLAN的端口连接即可。交换机配置六端口镜像配置【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像观测端口SwitchAmonitor-port e0/82. 配置被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/

54、2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。SwitchA port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口，对其输入输出数据都进展镜像。SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像观测端口SwitchA port monit

55、or ethernet 1/0/152. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进展镜像。SwitchA port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15SwitchA port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0基于流镜像的数据流程基于流镜像的交换机针对某些流进展镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050】基于三层流的镜像1.

56、 定义一条扩展访问控制列表SwitchAacl num 101SwitchA-acl-adv-101rule 0 permit ip source 1.1.1.1 0 destination anySwitchA-acl-adv-101rule 1 permit ip source any destination 1.1.1.1 04. 将符合上述ACL规如此的报文镜像到E0/8端口SwitchAmirrored-to ip-group 101 interface e0/8基于二层流的镜像1. 定义一个ACLSwitchAacl num 2002. 定义一个规如此从E0/1发送至其它所有端口的

57、数据包SwitchArule 0 permit ingress interface Ethernet0/1 (egress interface any)3. 定义一个规如此从其它所有端口到E0/1端口的数据包SwitchArule 1 permit (ingress interface any) egress interface Ethernet0/14. 将符合上述ACL的数据包镜像到E0/8SwitchAmirrored-to link-group 200 interface e0/8【5516】支持对入端口流量进展镜像配置端口Ethernet 3/0/1为监测端口，对Ethernet 3

58、/0/2端口的入流量镜像。SwitchAmirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1【6506/6503/6506R】目前该三款产品只支持对入端口流量进展镜像，虽然有outbount参数，但是无法配置。镜像组名为1，监测端口为Ethernet4/0/2，端口Ethernet4/0/1的入流量被镜像。SwitchAmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2【补充说明】1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之

59、如此无法实现2. 8016支持跨单板端口镜像华为各种型号交换机端口镜像配置方法总结 有不少朋友在问华为交换机镜像方面的问题。通过本人现有的资料和文档，现把各种型号的交换机镜像方法总结一下。以便各位朋友能够方便查阅！在学配置之前，对于端口镜像的根本概念还是要一定的了解！一、端口镜像概念：Port Mirror(端口镜像是用于进展网络性能监测。可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进展性能分析或故障判断。二、端口镜像配置环境配置参数3. E0/24为交换机上行端口4. Server接在交换机E0/8端口，该端口作为镜像端口组网需求1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进展监控。2. 按照镜像的不同方式进展配置：1) 基于端口的镜像2) 基于流的镜像2 数据配置步骤端口镜像的数据流程基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进展流量观测或者故障定位。【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像观测端口SwitchAmonitor-port e0/82. 配置被镜像端口SwitchAport mir