资源描述
华为交换机各种配置实例[网管必学
交换机配置(一)端口限速基本配置
华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:
华为交换机端口限速
2000_EI系列以上得交换机都可以限速!
限速不同得交换机限速得方式不一样!
2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!
端口限速配置
1功能需求及组网说明
端口限速配置
『配置环境参数』
1、 PC1与PC2得IP地址分别为10、10、1、1/24、10、10、1、2/24
『组网需求』
1、 在SwitchA上配置端口限速,将PC1得下载速率限制在3Mbps,同时将PC1得上传速率限制在1Mbps
2数据配置步骤
『S2000EI系列交换机端口限速配置流程』
使用以太网物理端口下面得line-rate命令,来对该端口得出、入报文进行流量限速。
【SwitchA相关配置】
1、 进入端口E0/1得配置视图
[SwitchA]interface Ethernet 0/1
2、 对端口E0/1得出方向报文进行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate outbound 30
3、 对端口E0/1得入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16
【补充说明】
报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制得粒度为64Kbps,这种情况下,当设置得级别为N,则端口上限制得速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制得粒度为1Mbps,这种情况下,当设置得级别为N,则端口上限制得速率大小为(N-27)*1Mbps。
此系列交换机得具体型号包括:S2008-EI、S2016-EI与S2403H-EI。
『S2000-SI与S3000-SI系列交换机端口限速配置流程』
使用以太网物理端口下面得line-rate命令,来对该端口得出、入报文进行流量限速。
【SwitchA相关配置】
1、 进入端口E0/1得配置视图
[SwitchA]interface Ethernet 0/1
2、 对端口E0/1得出方向报文进行流量限速,限制到6Mbps
[SwitchA- Ethernet0/1]line-rate outbound 2
3、 对端口E0/1得入方向报文进行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate inbound 1
【补充说明】
对端口发送或接收报文限制得总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1、25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3、12M,6、25M,9、38M,12、5M,20M,40M,60M,80M。
此系列交换机得具体型号包括:S2026C/Z-SI、S3026C/G/S-SI与E026-SI。
『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』
使用以太网物理端口下面得line-rate命令,对该端口得出方向报文进行流量限速;结合acl,使用以太网物理端口下面得traffic-limit命令,对端口得入方向报文进行流量限速。
【SwitchA相关配置】
1、 进入端口E0/1得配置视图
[SwitchA]interface Ethernet 0/1
2、 对端口E0/1得出方向报文进行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate 3
3、 配置acl,定义符合速率限制得数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4、 对端口E0/1得入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1 exceed drop
【补充说明】
line-rate命令直接对端口得所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则得数据报文进行流量限制。在配置acl得时候,也可以通过配置三层访问规则,来对指定得源或目得网段报文,进行端口得入方向数据报文进行流量限制。
端口出入方向限速得粒度为1Mbps。
此系列交换机得具体型号包括:S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T与S5024G。
『S3528、S3552系列交换机端口限速配置流程』
使用以太网物理端口下面得traffic-shape与traffic-limit命令,分别来对该端口得出、入报文进行流量限速。
【SwitchA相关配置】
1、 进入端口E0/1得配置视图
[SwitchA]interface Ethernet 0/1
2、 对端口E0/1得出方向报文进行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]traffic-shape 3250 3250
3、 配置acl,定义符合速率限制得数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4、 对端口E0/1得入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop
【补充说明】
此系列交换机得具体型号包括:S3528G/P与S3552G/P/F。
『S3900系列交换机端口限速配置流程』
使用以太网物理端口下面得line-rate命令,对该端口得出方向报文进行流量限速;结合acl,使用以太网物理端口下面得traffic-limit命令,对匹配指定访问控制列表规则得端口入方向数据报文进行流量限制。
【SwitchA相关配置】
1、 进入端口E1/0/1得配置视图
[SwitchA]interface Ethernet 1/0/1
2、 对端口E0/1得出方向报文进行流量限速,限制到3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3、 配置acl,定义符合速率限制得数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4、 对端口E0/1得入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop
【补充说明】
line-rate命令直接对端口得所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则得数据报文进行流量限制。在配置acl得时候,也可以通过配置三层访问规则,来对指定得源或目得网段报文,进行端口得入方向数据报文进行流量限制。
端口出入方向限速得粒度为64Kbps。
此系列交换机得具体型号包括:S3924、S3928P/F/TP与S3952P。
『S5600系列交换机端口限速配置流程』
使用以太网物理端口下面得line-rate命令,对该端口得出方向报文进行流量限速;结合acl,使用以太网物理端口下面得traffic-limit命令,对匹配指定访问控制列表规则得端口入方向数据报文进行流量限制。
【SwitchA相关配置】
1、 进入端口E1/0/1得配置视图
[SwitchA]interface Ethernet 1/0/1
2、 对端口E0/1得出方向报文进行流量限速,限制到3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000
3、 配置acl,定义符合速率限制得数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any
4、 对端口E0/1得入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop
【补充说明】
line-rate命令直接对端口得所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则得数据报文进行流量限制。在配置acl得时候,也可以通过配置三层访问规则,来对指定得源或目得网段报文,进行端口得入方向数据报文进行流量限制。
端口出入方向限速得粒度为64Kbps。
此系列交换机得具体型号包括:S5624P/F与S5648P。
交换机配置(二)端口绑定基本配置
1,端口+MAC
a)AM命令
使用特殊得AM User-bind命令,来完成MAC地址与端口之间得绑定。例如:
[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其她未绑定得MAC地址得PC机则无法上网。但就是PC1使用该MAC地址可以在其她端口上网。
b)mac-address命令
使用mac-address static命令,来完成MAC地址与端口之间得绑定。例如:
[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1
[SwitchA]mac-address max-mac-count 0
配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其她PC接入此端口后其mac地址无法被学习。
2,IP+MAC
a)AM命令
使用特殊得AM User-bind命令,来完成IP地址与MAC地址之间得绑定。例如:
[SwitchA]am user-bind ip-address 10、1、1、2 mac-address 00e0-fc22-f8d3
配置说明:以上配置完成对PC机得IP地址与MAC地址得全局绑定,即与绑定得IP地址或者MAC地址不同得PC机,在任何端口都无法上网。
支持型号:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G
b)arp命令
使用特殊得arp static命令,来完成IP地址与MAC地址之间得绑定。例如:
[SwitchA]arp static 10、1、1、2 00e0-fc22-f8d3
配置说明:以上配置完成对PC机得IP地址与MAC地址得全局绑定。
3,端口+IP+MAC
使用特殊得AM User-bind命令,来完成IP、MAC地址与端口之间得绑定。例如:
[SwitchA]am user-bind ip-address 10、1、1、2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1
配置说明:可以完成将PC1得IP地址、MAC地址与端口E0/1之间得绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其她未绑定得IP地址、MAC地址得PC机则无法上网。但就是PC1使用该IP地址与MAC地址可以在其她端口上网。
支持型号:S3026E/S3026E-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;E3026;E050;S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)
交换机配置(三)ACL基本配置
1,二层ACL
、 组网需求:
通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目得MAC为00e0-fc01-0303报文得过滤。该主机从GigabitEthernet0/1接入。
、配置步骤:
(1)定义时间段
# 定义8:00至18:00得周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定义源MAC为00e0-fc01-0101目得MAC为00e0-fc01-0303得ACL
# 进入基于名字得二层访问控制列表视图,命名为traffic-of-link。
[Quidway] acl name traffic-of-link link
# 定义源MAC为00e0-fc01-0101目得MAC为00e0-fc01-0303得流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei
(3)激活ACL。
# 将traffic-of-link得ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link
2,三层ACL
a)基本访问控制列表配置案例
、 组网需求:
通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10、1、1、1主机发出报文得过滤。该主机从GigabitEthernet0/1接入。
、配置步骤:
(1)定义时间段
# 定义8:00至18:00得周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2)定义源IP为10、1、1、1得ACL
# 进入基于名字得基本访问控制列表视图,命名为traffic-of-host。
[Quidway] acl name traffic-of-host basic
# 定义源IP为10、1、1、1得访问规则。
[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10、1、1、1 0 time-range huawei
(3)激活ACL。
# 将traffic-of-host得ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host
b)高级访问控制列表配置案例
、组网需求:
公司企业网通过Switch得端口实现各部门之间得互连。研发部门得由GigabitEthernet0/1端口接入,工资查询服务器得地址为129、110、1、2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。
、配置步骤:
(1)定义时间段
# 定义8:00至18:00得周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 working-day
(2)定义到工资服务器得ACL
# 进入基于名字得高级访问控制列表视图,命名为traffic-of-payserver。
[Quidway] acl name traffic-of-payserver advanced
# 定义研发部门到工资服务器得访问规则。
[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129、110、1、2 0、0、0、0 time-range huawei
(3)激活ACL。
# 将traffic-of-payserver得ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver
3,常见病毒得ACL
创建acl
acl number 100
禁ping
rule deny icmp source any destination any
用于控制Blaster蠕虫得传播
rule deny udp source any destination any destination-port eq 69
rule deny tcp source any destination any destination-port eq 4444
用于控制冲击波病毒得扫描与攻击
rule deny tcp source any destination any destination-port eq 135
rule deny udp source any destination any destination-port eq 135
rule deny udp source any destination any destination-port eq netbios-ns
rule deny udp source any destination any destination-port eq netbios-dgm
rule deny tcp source any destination any destination-port eq 139
rule deny udp source any destination any destination-port eq 139
rule deny tcp source any destination any destination-port eq 445
rule deny udp source any destination any destination-port eq 445
rule deny udp source any destination any destination-port eq 593
rule deny tcp source any destination any destination-port eq 593
用于控制振荡波得扫描与攻击
rule deny tcp source any destination any destination-port eq 445
rule deny tcp source any destination any destination-port eq 5554
rule deny tcp source any destination any destination-port eq 9995
rule deny tcp source any destination any destination-port eq 9996
用于控制 Worm_MSBlast、A 蠕虫得传播
rule deny udp source any destination any destination-port eq 1434
下面得不出名得病毒端口号 (可以不作)
rule deny tcp source any destination any destination-port eq 1068
rule deny tcp source any destination any destination-port eq 5800
rule deny tcp source any destination any destination-port eq 5900
rule deny tcp source any destination any destination-port eq 10080
rule deny tcp source any destination any destination-port eq 455
rule deny udp source any destination any destination-port eq 455
rule deny tcp source any destination any destination-port eq 3208
rule deny tcp source any destination any destination-port eq 1871
rule deny tcp source any destination any destination-port eq 4510
rule deny udp source any destination any destination-port eq 4334
rule deny tcp source any destination any destination-port eq 4331
rule deny tcp source any destination any destination-port eq 4557
然后下发配置
packet-filter ip-group 100
目得:针对目前网上出现得问题,对目得就是端口号为1434得UDP报文进行过滤得配置方法,详细与复杂得配置请瞧配置手册。
NE80得配置:
NE80(config)#rule-map r1 udp any any eq 1434
//r1为role-map得名字,udp 为关键字,any any 所有源、目得IP,eq为等于,1434为udp端口号
NE80(config)#acl a1 r1 deny
//a1为acl得名字,r1为要绑定得rule-map得名字,
NE80(config-if-Ethernet1/0/0)#access-group acl a1
//在1/0/0接口上绑定acl,acl为关键字,a1为acl得名字
NE16得配置:
NE16-4(config)#firewall enable all
//首先启动防火墙
NE16-4(config)#access-list 101 deny udp any any eq 1434
//deny为禁止得关键字,针对udp报文,any any 为所有源、目得IP,eq为等于, 1434为udp端口号
NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in
//在接口上启用access-list,in表示进来得报文,也可以用out表示出去得报文
中低端路由器得配置
[Router]firewall enable
[Router]acl 101
[Router-acl-101]rule deny udp source any destion any destination-port eq 1434
[Router-Ethernet0]firewall packet-filter 101 inbound
6506产品得配置:
旧命令行配置如下:
6506(config)#acl extended aaa deny protocol udp any any eq 1434
6506(config-if-Ethernet5/0/1)#access-group aaa
国际化新命令行配置如下:
[Quidway]acl number 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway-acl-adv-100]quit
[Quidway]interface ethernet 5/0/1
[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface
5516产品得配置:
旧命令行配置如下:
5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434
5516(config)#flow-action fff deny
5516(config)#acl bbb aaa fff
5516(config)#access-group bbb
国际化新命令行配置如下:
[Quidway]acl num 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway]packet-filter ip-group 100
3526产品得配置:
旧命令行配置如下:
rule-map l3 r1 0、0、0、0 0、0、0、0 1、1、0、0 255、255、0、0 eq 1434
flow-action f1 deny
acl acl1 r1 f1
access-group acl1
国际化新命令配置如下:
acl number 100
rule 0 deny udp source 0、0、0、0 0 source-port eq 1434 destination 1、1、0、0 0
packet-filter ip-group 101 rule 0
注:3526产品只能配置外网对内网得过滤规则,其中1、1、0、0 255、255、0、0就是内网得地址段。
8016产品得配置:
旧命令行配置如下:
8016(config)#rule-map intervlan aaa udp any any eq 1434
8016(config)#acl bbb aaa deny
8016(config)#access-group acl bbb vlan 10 port all
国际化新命令行配置如下:
8016(config)#rule-map intervlan aaa udp any any eq 1434
8016(config)#eacl bbb aaa deny
8016(config)#access-group eacl bbb vlan 10 port all
防止同网段ARP欺骗得ACL
一、组网需求:
1、 二层交换机阻止网络用户仿冒网关IP得ARP攻击
二、组网图:
图1二层交换机防ARP攻击组网
S3552P就是三层设备,其中IP:100、1、1、1就是所有PC得网关,S3552P上得网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,目得就是过滤掉仿冒网关IP得ARP报文。
三、配置步骤
对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)得交换机,可以配置ACL来进行ARP报文过滤。
全局配置ACL禁止所有源IP就是网关得ARP报文
acl num 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
其中rule0把整个S3026C_A得端口冒充网关得ARP报文禁掉,其中斜体部分64010101就是网关IP地址100、1、1、1得16进制表示形式。Rule1允许通过网关发送得ARP报文,斜体部分为网关得mac地址000f-e200-3999。
注意:配置Rule时得配置顺序,上述配置为先下发后生效得情况。
在S3026C-A系统视图下发acl规则:
[S3026C-A] packet-filter user-group 5000
这样只有S3026C_A上连网关设备才能够发送网关得ARP报文,其它主机都不能发送假冒网关得arp响应报文。
三层交换机实现仿冒网关得ARP防攻击
一、组网需求:
1、 三层交换机实现防止同网段得用户仿冒网关IP得ARP攻击
二、组网图
图2 三层交换机防ARP攻击组网
三、配置步骤
1、 对于三层设备,需要配置过滤源IP就是网关得ARP报文得ACL规则,配置如下ACL规则:
acl number 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0禁止S3526E得所有端口接收冒充网关得ARP报文,其中斜体部分64010105就是网关IP地址100、1、1、5得16进制表示形式。
2、 下发ACL到全局
[S3526E] packet-filter user-group 5000
仿冒她人IP得ARP防攻击
一、组网需求:
作为网关得设备有可能会出现错误ARP得表项,因此在网关设备上还需对用户仿冒她人IP得ARP攻击报文进行过滤。
二、组网图:
参见图1与图2
三、配置步骤:
1、 如图1所示,当PC-B发送源IP地址为PC-D得arp reply攻击报文,源mac就是PC-B得mac (000d-88f8-09fa),源ip就是PC-D得ip(100、1、1、3),目得ip与mac就是网关(3552P)得,这样3552上就会学习到错误得arp,如下所示:
--------------------- 错误 arp 表项 --------------------------------
IP Address MAC Address VLAN ID Port Name Aging Type
100、1、1、4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic
100、1、1、3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic
从网络连接可以知道PC-D得arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击:
arp static 100、1、1、3 000f-3d81-45b4 1 e0/8
2、 在图2 S3526C上也可以配置静态ARP来防止设备学习到错误得ARP表项。
3、 对于二层设备(S3050C与S3026E系列),除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作:
am user-bind ip-addr 100、1、1、4 mac-addr 000d-88f8-09fa int e0/4
则IP为100、1、1、4并且MAC为000d-88f8-09fa得ARP报文可以通过E0/4端口,仿冒其它设备得ARP报文则无法通过,从而不会出现错误ARP表项。
四、配置关键点:
此处仅仅列举了部分Quidway S系列以太网交换机得应用。在实际得网络应用中,请根据配置手册确认该产品就是否支持用户自定义ACL与地址绑定。仅仅具有上述功能得交换机才能防止ARP欺骗。
5,关于ACL规则匹配得说明
a) ACL直接下发到硬件中得情况
交换机中ACL可以直接下发到交换机得硬件中用于数据转发过程中得过滤与流分类。此时一条ACL中多个子规则得匹配顺序就是由交换机得硬件决定得,用户即使在定义ACL时配置了匹配顺序也不起作用。
ACL直接下发到硬件得情况包括:交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。
b) ACL被上层模块引用得情况
交换机也使用ACL来对由软件处理得报文进行过滤与流分类。此时ACL子规则得匹配顺序有两种:config(指定匹配该规则时按用户得配置顺序)与auto(指定匹配该规则时系统自动排序,即按“深度优先”得顺序)。这种情况下用户可以在定义ACL得时候指定一条ACL中多个子规则得匹配顺序。用户一旦指定某一条访问控制列表得匹配顺序,就不能再更改该顺序。只有把该列表中所有得规则全部删除后,才能重新指定其匹配顺序。
ACL被软件引用得情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL等。
交换机配置(四)密码恢复
说明:以下方法将删除原有config文件,使设备恢复到出厂配置。
在设备重启时按Ctrl+B进入BOOT MENU之后,
Press Ctrl-B to enter Boot Menu、、、 5
Password : 缺省为空,回车即可
1、 Download application flash
2、 select application boot
3、 Display all files in flash
4、 Delete Flash
5、 Modify bootrom password
0、 Reboot
Enter your choice(0-5): 4 选择4
No、 (bytes)
===========================================================================
1 S3026CGSSI、btm 257224
2 wnm2、2、2-0005、zip 447827
3 snmpboots 4
4 * R0023P01、app 2985691
5 hostkey 428
6 serverkey 572
7 vrpcfg、txt
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
