华为交换机网络管理相关配置问题(2)
2013-05-02 10:11
337 查看
Q: S2300/S3300/S5300如何配置限速?
A: 在配置限速时,推荐:
不配置PIR,只配置CIR、CBS、PBS。
CBS = 200 * CIR。
PBS = 2 * CBS = 2 * 200 * CIR = 400 * CIR。
其中,CIR单位为Kbps,CBS、PBS单位为Byte。
配置出方向端口限速,限速10M
在V100R003C01以前的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr cir 10240 cbs 2048000
在V100R003C01及以后的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr outbound cir 10240 cbs 2048000
配置入方向限速,限速10M
在V100R003C01以前的版本,配置如下:
[Quidway] traffic classifier c1
[Quidway-classifier-c1] if-match any
[Quidway-classifier-c1] quit
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway-behavior-b1] car cir 10240 cbs 2048000 pbs 4096000
[Quidway-behavior-b1] quit
[Quidway] traffic policy c1
[Quidway-trafficpolicy-c1] classifier c1 behavior b1
[Quidway-trafficpolicy-c1] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] traffic-policy c1 inbound
在V100R003C01及以后的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr inbound cir 10240 cbs 2048000 说明:
流策略可以应用在物理接口视图、Eth-Trunk视图、VLAN视图(端口共享带宽)。
S5300中,物理接口为GigabitEthernet接口。
Q: S2300/S3300/S5300如何配置流量统计?
A: 假设需要统计接口Ethernet0/0/1上源IP地址为10.1.1.0/24网段的Ping报文,配置如下:
# 配置ACL规则。
[Quidway] acl number 3333
[Quidway-acl-adv-3333] rule 5 permit icmp source 10.1.1.0 0.0.0.255
[Quidway-acl-adv-3333] quit
# 配置流分类。
[Quidway] traffic classifier test
[Quidway-classifier-test] if-match acl 3333
[Quidway-classifier-test] quit
# 配置流行为。
S2300/S3300/S5300 V100R005以前版本
[Quidway] traffic behavior test
[Quidway-behavior-test] count
[Quidway-behavior-test] quit
S2300/S3300/S5300 V100R005以后版本
[Quidway] traffic behavior test
[Quidway-behavior-test] statistic enable
[Quidway-behavior-test] quit
# 配置流策略。
[Quidway] traffic policy test
[Quidway-trafficpolicy-test] classifier test behavior test
[Quidway-trafficpolicy-test] quit
# S2300/S3300上应用流策略test。
[Quidway] interface ethernet0/0/1
[Quidway-Ethernet0/0/1] traffic-policy test inbound
# S5300上应用流策略test。
[Quidway] interface gigabitethernet0/0/1
[Quidway-GigabitEthernet0/0/1] traffic-policy test inbound
配置完成后,可执行命令display traffic policy statistics interface interface-type interface-number查看流量统计信息。如果需要重新进行流量统计,可执行命令reset traffic policy statistics interface interface-type interface-number清除原有流量统计信息。
说明:
S2300/S3300只支持入方向的流量统计。
S5300支持入方向和出方向的流量统计,但不能统计由S5300设备自身CPU始发的报文。
Q: 为什么配置了DHCP Snooping之后,设备下挂用户无法获取IP地址?
A: 在使能DHCP Snooping之后,Switch所有接口状态缺省都是非信任状态。这时要把与DHCP Server相连的接口配置成信任状态,否则DHCP Server回应的DHCP Reply报文都会被丢弃,这样Switch下挂用户无法获取DHCP Server分配的IP地址。
Q: 如何通过配置来实现IP+MAC+端口绑定功能?
A: S-swich通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。
配置思想是先在VLAN下配置的静态绑定表,静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。
例如配置IP地址10.1.1.1,MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。
在V100R002的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
在V100R003及以后的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] quit
[HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
Q: 如何通过配置来实现MAC+端口绑定功能?
A: Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定,即实现某个端口只绑定某个特定mac地址(某个端口只允许在绑定表内的和某特定mac地址的报文通过),不绑定ip。
例如,配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过,其他报文都丢弃。
# 全局使能dhcp snooping
[Quidway] dhcp snooping enable
# 创建ACL,只允许MAC地址为0-02-02的报文
[Quidway] acl 4000
[Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff
[Quidway-acl-L2-4000] rule deny
# 创建流分类,匹配ACL 4000
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 4000
# 创建流行为和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下应用流策略,使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。
在V001C00R002的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
在V001C00R003及以后的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] ip source check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
Q: 如何通过配置实现IP+端口绑定?
A: Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。
例如,配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过,丢弃其他IP报文。
# 全局使能dhcp snoopying
[Quidway] dhcp snooping enable
# 定义高级ACL,匹配IP地址192.168.130.50
[Quidway] acl 3000
[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0
[Quidway-acl-adv-3000] rule 10 deny ip source any
[Quidway-acl-adv-3000] rule 15 deny ip destination any
# 创建流分类,匹配ACL
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 3000
# 创建流行为和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.130.50的报文通过
在V100R002C00的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
在V100R003C00及以后的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] ip source check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
Q: S2300/3300/5300系列交换机如何防止用户私设静态IP地址?
A: 防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过,其它用户数据不能通过。
S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:
配置设备的DHCP Snooping功能
# 使能全局DHCP Snooping功能。
[Quidway] dhcp snooping enable
# 配置用户侧接口所属的VLAN。
[Quidway] vlan 100
[Quidway-vlan100] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 100
[Quidway-Ethernet0/0/1] quit
# 使能VLAN下的DHCP Snooping功能。
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping enable
# 配置在用户侧接口进行报文检查
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] dhcp snooping check arp enable
[Quidway-Ethernet0/0/1] dhcp snooping check ip enable
[Quidway-Ethernet0/0/1] quit
# 配置静态绑定表项
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1
A: 在配置限速时,推荐:
不配置PIR,只配置CIR、CBS、PBS。
CBS = 200 * CIR。
PBS = 2 * CBS = 2 * 200 * CIR = 400 * CIR。
其中,CIR单位为Kbps,CBS、PBS单位为Byte。
配置出方向端口限速,限速10M
在V100R003C01以前的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr cir 10240 cbs 2048000
在V100R003C01及以后的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr outbound cir 10240 cbs 2048000
配置入方向限速,限速10M
在V100R003C01以前的版本,配置如下:
[Quidway] traffic classifier c1
[Quidway-classifier-c1] if-match any
[Quidway-classifier-c1] quit
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway-behavior-b1] car cir 10240 cbs 2048000 pbs 4096000
[Quidway-behavior-b1] quit
[Quidway] traffic policy c1
[Quidway-trafficpolicy-c1] classifier c1 behavior b1
[Quidway-trafficpolicy-c1] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] traffic-policy c1 inbound
在V100R003C01及以后的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr inbound cir 10240 cbs 2048000 说明:
流策略可以应用在物理接口视图、Eth-Trunk视图、VLAN视图(端口共享带宽)。
S5300中,物理接口为GigabitEthernet接口。
Q: S2300/S3300/S5300如何配置流量统计?
A: 假设需要统计接口Ethernet0/0/1上源IP地址为10.1.1.0/24网段的Ping报文,配置如下:
# 配置ACL规则。
[Quidway] acl number 3333
[Quidway-acl-adv-3333] rule 5 permit icmp source 10.1.1.0 0.0.0.255
[Quidway-acl-adv-3333] quit
# 配置流分类。
[Quidway] traffic classifier test
[Quidway-classifier-test] if-match acl 3333
[Quidway-classifier-test] quit
# 配置流行为。
S2300/S3300/S5300 V100R005以前版本
[Quidway] traffic behavior test
[Quidway-behavior-test] count
[Quidway-behavior-test] quit
S2300/S3300/S5300 V100R005以后版本
[Quidway] traffic behavior test
[Quidway-behavior-test] statistic enable
[Quidway-behavior-test] quit
# 配置流策略。
[Quidway] traffic policy test
[Quidway-trafficpolicy-test] classifier test behavior test
[Quidway-trafficpolicy-test] quit
# S2300/S3300上应用流策略test。
[Quidway] interface ethernet0/0/1
[Quidway-Ethernet0/0/1] traffic-policy test inbound
# S5300上应用流策略test。
[Quidway] interface gigabitethernet0/0/1
[Quidway-GigabitEthernet0/0/1] traffic-policy test inbound
配置完成后,可执行命令display traffic policy statistics interface interface-type interface-number查看流量统计信息。如果需要重新进行流量统计,可执行命令reset traffic policy statistics interface interface-type interface-number清除原有流量统计信息。
说明:
S2300/S3300只支持入方向的流量统计。
S5300支持入方向和出方向的流量统计,但不能统计由S5300设备自身CPU始发的报文。
Q: 为什么配置了DHCP Snooping之后,设备下挂用户无法获取IP地址?
A: 在使能DHCP Snooping之后,Switch所有接口状态缺省都是非信任状态。这时要把与DHCP Server相连的接口配置成信任状态,否则DHCP Server回应的DHCP Reply报文都会被丢弃,这样Switch下挂用户无法获取DHCP Server分配的IP地址。
Q: 如何通过配置来实现IP+MAC+端口绑定功能?
A: S-swich通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。
配置思想是先在VLAN下配置的静态绑定表,静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。
例如配置IP地址10.1.1.1,MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。
在V100R002的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
在V100R003及以后的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] quit
[HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
Q: 如何通过配置来实现MAC+端口绑定功能?
A: Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定,即实现某个端口只绑定某个特定mac地址(某个端口只允许在绑定表内的和某特定mac地址的报文通过),不绑定ip。
例如,配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过,其他报文都丢弃。
# 全局使能dhcp snooping
[Quidway] dhcp snooping enable
# 创建ACL,只允许MAC地址为0-02-02的报文
[Quidway] acl 4000
[Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff
[Quidway-acl-L2-4000] rule deny
# 创建流分类,匹配ACL 4000
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 4000
# 创建流行为和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下应用流策略,使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。
在V001C00R002的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
在V001C00R003及以后的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] ip source check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
Q: 如何通过配置实现IP+端口绑定?
A: Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。
例如,配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过,丢弃其他IP报文。
# 全局使能dhcp snoopying
[Quidway] dhcp snooping enable
# 定义高级ACL,匹配IP地址192.168.130.50
[Quidway] acl 3000
[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0
[Quidway-acl-adv-3000] rule 10 deny ip source any
[Quidway-acl-adv-3000] rule 15 deny ip destination any
# 创建流分类,匹配ACL
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 3000
# 创建流行为和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.130.50的报文通过
在V100R002C00的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
在V100R003C00及以后的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] ip source check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
Q: S2300/3300/5300系列交换机如何防止用户私设静态IP地址?
A: 防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过,其它用户数据不能通过。
S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:
配置设备的DHCP Snooping功能
# 使能全局DHCP Snooping功能。
[Quidway] dhcp snooping enable
# 配置用户侧接口所属的VLAN。
[Quidway] vlan 100
[Quidway-vlan100] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 100
[Quidway-Ethernet0/0/1] quit
# 使能VLAN下的DHCP Snooping功能。
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping enable
# 配置在用户侧接口进行报文检查
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] dhcp snooping check arp enable
[Quidway-Ethernet0/0/1] dhcp snooping check ip enable
[Quidway-Ethernet0/0/1] quit
# 配置静态绑定表项
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 华为交换机网络管理相关配置问题(1)
- ZSTACK网络配置相关问题
- Linux之网络管理 (4)相关基本配置文件
- 配置Fedora core 6中yum光盘源 --去除无网络不能打开软件包管理的问题
- vmware exs 配置管理网络的问题
- 控制台 - 网络管理之华为交换机经典问题汇总
- 配置Fedora core 6中yum光盘源 --去除无网络不能打开软件包管理的问题
- 项目开发管理之VSS 2005配置相关问题
- linux服务器管理相关问题(四)--proftpd配置
- 引用-ZIGBEE-ZSTACK网络配置相关问题
- Linux网络属性配置管理及其相关命令
- 【网络】面试中遇到的网络相关问题
- linux网络配置相关
- svn相关配置及学习, linux搭建ZenTaoPMS,readmine项目管理软件
- 简单介绍NFS Linux系统间网络文件系统 配置 权限问题
- linux网络配置管理
- Yarn 内存分配管理机制及相关参数配置
- 在与 SQL Server 建立连接时出现与网络相关的或特定于实例的错误。未找到或无法访问服务器。请验证实例名称是否正确并且 SQL Server 已配置为允许远程连接。 (provider: SQL 网络接口, error: 26 - 定