温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

华为交换机网络管理相关配置问题(2)

发布时间:2020-06-19 03:56:01 来源:网络 阅读:587 作者:swxxswxx 栏目:网络管理

 

Q: S2300/S3300/S5300如何配置限速?

A: 在配置限速时,推荐:
不配置PIR,只配置CIR、CBS、PBS。
CBS = 200 * CIR。
PBS = 2 * CBS = 2 * 200 * CIR = 400 * CIR。
其中,CIR单位为Kbps,CBS、PBS单位为Byte。

配置出方向端口限速,限速10M
在V100R003C01以前的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr cir 10240 cbs 2048000
在V100R003C01及以后的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr outbound cir 10240 cbs 2048000

配置入方向限速,限速10M
在V100R003C01以前的版本,配置如下:
[Quidway] traffic classifier c1
[Quidway-classifier-c1] if-match any
[Quidway-classifier-c1] quit
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway-behavior-b1] car cir 10240 cbs 2048000 pbs 4096000
[Quidway-behavior-b1] quit
[Quidway] traffic policy c1
[Quidway-trafficpolicy-c1] classifier c1 behavior b1
[Quidway-trafficpolicy-c1] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] traffic-policy c1 inbound
在V100R003C01及以后的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr inbound cir 10240 cbs 2048000 说明:
流策略可以应用在物理接口视图、Eth-Trunk视图、VLAN视图(端口共享带宽)。
S5300中,物理接口为GigabitEthernet接口。

Q: S2300/S3300/S5300如何配置流量统计?

A: 假设需要统计接口Ethernet0/0/1上源IP地址为10.1.1.0/24网段的Ping报文,配置如下:
# 配置ACL规则。
[Quidway] acl number 3333
[Quidway-acl-adv-3333] rule 5 permit icmp source 10.1.1.0 0.0.0.255
[Quidway-acl-adv-3333] quit
# 配置流分类。
[Quidway] traffic classifier test
[Quidway-classifier-test] if-match acl 3333
[Quidway-classifier-test] quit
# 配置流行为。
S2300/S3300/S5300 V100R005以前版本
[Quidway] traffic behavior test
[Quidway-behavior-test] count
[Quidway-behavior-test] quit
S2300/S3300/S5300 V100R005以后版本
[Quidway] traffic behavior test
[Quidway-behavior-test] statistic enable
[Quidway-behavior-test] quit
# 配置流策略。
[Quidway] traffic policy test
[Quidway-trafficpolicy-test] classifier test behavior test
[Quidway-trafficpolicy-test] quit
# S2300/S3300上应用流策略test。
[Quidway] interface ethernet0/0/1
[Quidway-Ethernet0/0/1] traffic-policy test inbound
# S5300上应用流策略test。
[Quidway] interface gigabitethernet0/0/1
[Quidway-GigabitEthernet0/0/1] traffic-policy test inbound
配置完成后,可执行命令display traffic policy statistics interface interface-type interface-number查看流量统计信息。如果需要重新进行流量统计,可执行命令reset traffic policy statistics interface interface-type interface-number清除原有流量统计信息。

说明:
S2300/S3300只支持入方向的流量统计。
S5300支持入方向和出方向的流量统计,但不能统计由S5300设备自身CPU始发的报文。

Q: 为什么配置了DHCP Snooping之后,设备下挂用户无法获取IP地址?

A: 在使能DHCP Snooping之后,Switch所有接口状态缺省都是非信任状态。这时要把与DHCP Server相连的接口配置成信任状态,否则DHCP Server回应的DHCP Reply报文都会被丢弃,这样Switch下挂用户无法获取DHCP Server分配的IP地址。

Q: 如何通过配置来实现IP+MAC+端口绑定功能?

A: S-swich通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。
配置思想是先在VLAN下配置的静态绑定表,静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。
例如配置IP地址10.1.1.1,MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。
在V100R002的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
在V100R003及以后的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] quit
[HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

Q: 如何通过配置来实现MAC+端口绑定功能?

A: Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定,即实现某个端口只绑定某个特定mac地址(某个端口只允许在绑定表内的和某特定mac地址的报文通过),不绑定ip。
例如,配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过,其他报文都丢弃。
# 全局使能dhcp snooping
[Quidway] dhcp snooping enable
# 创建ACL,只允许MAC地址为0-02-02的报文
[Quidway] acl 4000
[Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff
[Quidway-acl-L2-4000] rule deny
# 创建流分类,匹配ACL 4000
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 4000
# 创建流行为和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下应用流策略,使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。
在V001C00R002的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
在V001C00R003及以后的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] ip source check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound

Q: 如何通过配置实现IP+端口绑定?

A: Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。
例如,配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过,丢弃其他IP报文。
# 全局使能dhcp snoopying
[Quidway] dhcp snooping enable
# 定义高级ACL,匹配IP地址192.168.130.50
[Quidway] acl 3000
[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0
[Quidway-acl-adv-3000] rule 10 deny ip source any
[Quidway-acl-adv-3000] rule 15 deny ip destination any
# 创建流分类,匹配ACL
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 3000
# 创建流行为和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.130.50的报文通过
在V100R002C00的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
在V100R003C00及以后的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] ip source check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound

Q: S2300/3300/5300系列交换机如何防止用户私设静态IP地址?

A: 防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过,其它用户数据不能通过。
S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:
配置设备的DHCP Snooping功能
# 使能全局DHCP Snooping功能。
[Quidway] dhcp snooping enable
# 配置用户侧接口所属的VLAN。
[Quidway] vlan 100
[Quidway-vlan100] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 100
[Quidway-Ethernet0/0/1] quit
# 使能VLAN下的DHCP Snooping功能。
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping enable
# 配置在用户侧接口进行报文检查
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] dhcp snooping check arp enable
[Quidway-Ethernet0/0/1] dhcp snooping check ip enable
[Quidway-Ethernet0/0/1] quit
# 配置静态绑定表项
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1

 

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI