华为交换机端口隔离中ACL只运行访问目的端口80，其他端口拒绝访问，如何写？

点击联系发帖人 时间：2017-09-27 15:18

华为交换机端口镜像

 上传我的文档
 下载
 收藏
毕业于医学院校，在医院工作，有相对丰富的护理经验
 下载此文档
华为交换机ACL控制列表设置
下载积分：1500
内容提示：华为交换机ACL控制列表设置
文档格式：DOC|
浏览次数：552|
上传日期： 23:00:29|
文档星级：
全文阅读已结束，如果下载本文需要使用
 1500 积分
下载此文档
该用户还上传了这些文档
华为交换机ACL控制列表设置
官方公共微信查看:6033|回复：8
请大家帮忙解答一下，可以在华为三层交换机上用ACL做端口限制吗？我想在三层交换机的出口处只开放指定端口，53 80 443 25 110&&20 21 1723&&其余端口全部封掉，可以做到吗？在线等:handshake
白袍大法师
你说的出口是指？
你的网络环境是怎么样的？
最好在出口路由器、防火墙的设备上配置这些策略
天下风云出我辈，一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
华为三层交换机0/0/1接普通路由器，三层交换机上划3个vlan，一条默认路由到路由器。
白袍大法师
在路由器上做ACL吧。。限制这些端口。。
直接把网络限制卡在第一道门上
天下风云出我辈，一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
路由器是普通路由，策略太多，就处理不过来了:Q
网络管理、H3C、华为
三层的具体型号，华为很多交换机以太口只支持INPUT ACL，不支持OUTPUT ACL。
写出交换机，我帮您写。
本帖最后由 dhqlx 于
10:55 编辑
华为s5516:)
及时反馈。
网络管理、H3C、华为
引用:原帖由 jianjunfans 于
17:42 发表
华为s5516:) 这是一款老交换机了吧，尝试着配置了下，没有真机，发现命令一点也不熟悉。
不过，我给您找到了配置手册。您可以看看尝试着自己配置一下。
厉害& &学习了当前位置： >>
华为交换机配置及故障处理
Internal华为交换机配置及故障处理HUAWEI TECHNOLOGIES CO., LTD.All rights reserved第一章典型业务配置第二章常见维护操作指导HUAWEI TECHNO
LOGIES CO., LTD.All rights reservedPage 2设备常用操作Dir 目录显示 display saved-configuration 已保存配置显示 display eth-trunk 显示链路聚合信息 display alarm { slot-id | all display ospf [ process-id ] brief display startup 启动参数显示告警显示 } ospf基本信息显示 display switchover state 主备 display ospf [ process-id ] peer 时间显示 display clock 主控板切换显示 ospf邻局显示 display cpu-usage CPU利用率 display rip process-id neighbor display temperature 温度显示显示 rip邻局显示 display current-configuration display trapbuffer trap日志显 display ospf error ospf错误信息显当前配置显示示示 display voltage slot slot-id display fan 风扇状态显示 Ping ping测试电源电压等信息显示 display device 设备各部件显示 display version 设备版本显示 Tracert 跟踪测试 display ftp-server FTP服务器 display stp 生成树状态显示显示 display logbuffer 日志显示 display fib 转发信息表显示 display memory-usage 内存利用 display interface 接口状态信率显示息显示 display patch-information 补 display ip interface 接口三层丁信息显示信息显示 display ip routing-table 路 display power 电源显示由表显示Page 3HUAWEI TECHNOLOGIES CO., LTD.All rights reserved华为交换机配置视图? 命令行接口分为若干个命令视图，所有命令都注册在某个（或某些）命令视图下，通常情况下，必须先进入命令所在的视图才能执行该命令。 ? 用户视图系统缺省视图，一般的查看命令在此视图下使用，提示符为&设备名称&，表示此时在用户视图中。 ? 系统视图一般全局性的配置命令在此视图下使用，在用户视图下是使用system命令进入系统视图，提示符为[设备名称]，表示此时在系统视图中。在系统视图下使用sysname命令可以为设备配置设备名称 ? 诊断视图用于查看诊断信息，在系统视图中通过diagnose命令进入诊断视图。 ? 其他视图 AAA视图用于配置认证/授权/计费策略、Interface视图用于配置接口参数、userinterface视图用于配置远程登陆参数……HUAWEI TECHNOLOGIES CO., LTD. All rights reserved Page 4华为交换机配置快捷键使用? 交换机配置过程中可以使用快捷键辅助配置。 ? 帮助在各配置视图下使用“？”，可以列出此视图下所有可使用的命令和解释 ? 补全输入部分命令后可以使用“TAB”键进行补全 ? 显示历史命令使用“?”和“?”键显示之前输入过的命令? 其他快捷键CTRL_A将光标移动到当前行的开头 CTRL_E将光标移动到当前行的结尾 CTRL_C停止当前正在执行的功能HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 5配置用户通过Telnet方式登录交换机示例初始需要使用console口登录，完成如下配置后才能通过telnet等方式登录。# 配置super口令 [Quidway] super password level 3 cipher bye# 配置登录验证方式 [Quidway] aaa [Quidway-aaa] local-user huawei password cipher hello [Quidway-aaa] local-user huawei service-type telnet[Quidway-aaa] local-user huawei level 3[Quidway-aaa] quit [Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode aaaHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 6华为交换机VLAN配置? 系统视图下创建VLAN vlan vlan-id ? 接口视图下配置接口模式 port link-type {access | trunk | hybrid} ? Access接口vlan分配接口模式下使用命令port default vlan vlan-id? Trunk接口配置允许通过的vlan 接口模式下使用命令port trunk allow-pass vlan vlan-id；接口模式下使用命令port trunk pvid vlan vlan-id配置pvid值，pvid值为接口的默认vlan，从接口收到的所有不带vlan tag的报文都属于默认vlan。? Hybrid接口vlan配置接口模式下使用命令port hybrid tagged vlan vlan-id配置发送带vlan tag的报文；接口模式下使用命令port hybrid untagged vlan vlan-id配置发送不带vlan tag的报文；接口模式下使用命令port hybrid pvid vlan vlan-id配置pvid值，pvid值为接口的默认 vlan，从接口收到的所有不带vlan tag的报文都属于默认vlan。HUAWEI TECHNOLOGIES CO., LTD. All rights reserved Page 7华为交换机VLAN间路由配置? 系统视图下创建VLAN IF，并配置IP地址 interface vlan vlan-id ip address x.x.x.x maskHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 8华为交换机三层互联配置? 华为交换机无法在接口上直接配置IP地址，需要通过在vlanif上配置IP地址，再将接口配置成access接口模式，并把接口配置到相应vlan中实现三层接口的功能。 ? 全局模式下创建用于互联的vlan vlan vlan-id ? 配置vlanif接口地址interface vlanif vlan-idip address x.x.x.x mask ? 接口视图下配置接口模式 port link-type access? Access接口vlan分配接口模式下使用命令port default vlan vlan-idHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 9华为交换机三层互联配置举例? SW1配置 vlan 10 interface vlanif 10 ip address 10.1.1.1 24 interface ethernet 0/0/1 port link-type access port default vlan 10? SW2配置 vlan 10 interface vlanif 10 ip address 10.1.1.2 24 interface ethernet 0/0/1 port link-type accessport default vlan 10HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 10华为交换机静态路由配置? 系统视图下配置静态路由 ip route-static &ip_address& [ &mask& | &masklen& ] &interface_name& | &gateway_address& [ preference &preference_value& ] ? 例如： ip route 129.1.0.0 16 10.0.0.2 ip route 129.1.0.0 255.255.0.0 10.0.0.2 ip route 129.1.0.0 16 Serial 2? 注意：只有下一跳所属的的接口是点对点（PPP、HDLC）的接口时，才可以填写&interface_name&，否则必须填写&gateway_address&。 ? 当配置的&address&和&mask&都为0.0.0.0时，配置的路由为缺省路由，即能匹配到所有路由。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 11华为交换机静态路由配置举例? SW1配置 ip route-static 172.16.1.0 24 10.1.1.2 ip route-static 172.16.2.0 24 10.1.1.2 ip route-static 172.16.3.0 24 10.1.1.2? SW2配置 ip route-static 192.168.1.0 24 10.1.1.1 ip route-static 192.168.2.0 24 10.1.1.1ip route-static 192.168.3.0 24 10.1.1.1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 12华为交换机RIP路由协议配置? 系统视图下进入RIP路由协议视图模式 rip [ process-id ] [ process-id ]为1-65535的数值，本地有效。 ? 在RIP视图下配置RIP的版本号 version { 1 | 2 } ? 在RIP视图下配置在指定网段中是能RIP network network-addressnetwork-address是想要开启RIP路由协议的接口的地址网络HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 13华为交换机RIP路由协议配置举例? SW1配置 rip 1 version 2 network 10.0.0.0 network 192.168.1.0 network 192.168.2.0 network 192.168.3.0? SW2配置 rip 1 version 2 network 10.0.0.0 network 172.16.0.0HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 14华为交换机OSPF路由协议配置? 系统视图下进入OSPF路由协议视图模式 OSPF [ process-id ] [ router-id router-id ] [ process-id ]为1-65535的数值，本地有效。每个OSPF进程的Router ID要保证全网唯一，否则会导致邻居不能正常建立、路由信息不正确的问题。缺省情况下，路由器系统会从当前接口的IP地址中自动选取一个作为Router ID。人为配置Router ID时，必须保证自治系统中任意两台Router ID都不相同，通常的做法是将Router ID配置为与该设备某个接口的IP地址一致。? 在OSPF视图下配置进入区域视图area area-id OSPF区域分为骨干区域（Area 0）和非骨干区域。骨干区域负责区域之间的路由，非骨干区域之间的路由信息必须通过骨干区域来转发。 ? 在区域视图下配置在指定网段中是能OSPF network ip-address wildcard-mask wildcard-mask为反向掩码HUAWEI TECHNOLOGIES CO., LTD. All rights reserved Page 15华为交换机OSPF路由协议配置举例? SW1配置 ospf 1 area 0 network 10.1.1.0 0.0.0.255 network 192.168.1.0 0.0.0.255 network 192.168.2.0 0.0.0.255 network 192.168.3.0 0.0.0.255? SW2配置 ospf 1 area 0 network 10.1.1.0 0.0.0.255 network 172.16.1.0 0.0.0.255 network 172.16.2.0 0.0.0.255 network 172.16.3.0 0.0.0.255HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 16链路聚合配置链路聚合（Link Aggregation），也称为端口捆绑、端口聚集或链路聚集，链路聚合是将多个端口聚合在一起形成1个汇聚组，以实现出/入负荷在各成员端口中的分担。从外面看起来，1个汇聚组好象就是1个端口。使用链路汇聚服务的上层实体把同一聚合组内多条物理链路视为一条逻辑链路。华为以太网链路聚合组，简写为Eth-TrunktrafficHUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage 17链路聚合配置Eth-trunk典型配置： 1.创建Eth-Trunk [S9306_UP]interface Eth-Trunk 10 2.配置它的工作模式为静态LACP模式（可选） [S9306_UP-Eth-Trunk10]mode lacp-static3. 加入成员口[S9306_UP-Eth-Trunk10]trunkport GigabitEthernet 5/0/4 [S9306_UP-GigabitEthernet5/0/3]eth-trunk 10 4. 对端设备上做同样配置HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage 18华为交换机端口隔离配置? 系统视图下配置端口隔离模式 port-isolate mode { l2 | all } l2表示配置端口隔离模式为二层隔离三层互通，all表示配置端口隔离模式为二层三层都隔离。 ? 在接口视图下使能端口隔离功能 interface interface-type interface-number port-isolate enable [ group group-id ]group-id表示指定加入的端口隔离组，范围1-64。同一端口隔离组的端口之间互相隔离，不同端口隔离组的端口之间不隔离。如果不指定group-id参数时，默认加入的端口隔离组为1。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 19端口绑定配置华为交换机可以通过IP source guard特性实现IP+MAC+vlan+端口的绑定 ? 在需要绑定的接口下启用IP source guard特性 interface interface-type interface-numberip source check user-bind enable? 配置IP报文检查选项接口视图下执行命令ip source check user-bind check-item { ip-address | macaddress | vlan }*，或者VLAN视图下执行命令ip source check user-bind check-item { ip-address | mac-address | interface }*，配置IP报文检查项。? 配置静态绑定表项或启用DHCP-Snooping 若终端IP地址为静态配置的，需要配置静态绑定表： user-bind static{ { ip-address ip-address | ipv6-address ipv6-address } | macaddress mac-address } * [ interface interface-type interface-number ] [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]；若终端IP地址为动态分配的，可在交换机上启用DHCP-Snooping功能：全局模式下使用dhcp enable和dhcp snooping enable命令启用DHCP和DHCP Snooping功能，在接口或vlan视图下使用dhcp snooping enable命令HUAWEI TECHNOLOGIES CO., LTD. All rights reserved Page 20访问控制列表配置? 访问控制列表可以用于防火墙； ? 访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制； ? 访问控制列表还可以用于地址转换； ? 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：IP报头 TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage 21访问控制列表配置? 标准访问控制列表只能用来匹配数据包的源IP地址，配置标准访问列表的命令格式如下： acl acl-number rule n { permit | deny } [source source-addr source-wildcard | any ] 标准访问控制列表的acl-number范围为 ? 扩展访问控制列表可以用来匹配数据包的源IP地址、目的IP地址、协议类型、源端口号、目的端口号。扩展访问控制列表的命令格式如下： acl acl-number 配置TCP/UDP协议的扩展访问列表： rule n { permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] 配置ICMP协议的扩展访问列表： rule n { permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] 配置其它协议的扩展访问列表： rule n { permit | deny } { ip | ospf | igmp | gre } [source source-addr sourcewildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging] 扩展访问控制列表的acl-number范围为HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI Confidential Page 22基于类的QoS配置? 基于类的QoS是指通过对报文的信息与一定的规则进行匹配，把具有某类共同特征的报文划分为一类，为相同类型的流量提供同等的QoS服务，从而针对业务类型的差别提供差分服务。 ? 流分类根据报文中携带的二三层信息或者借助ACL（Access Control List）进行复杂流分类，然后将复杂流分类与某种流行为关联，对符合流分类的报文进行相应处理。traffic classifier classifier-name if-match {any | vlan-id | protocal | acl | ……} ? 流行为对匹配流分类的报文执行的操作，如禁止/允许、重标记、重定向、网络限速等traffic behavior behavior-name {permit | deny | remark | redirect | car cir n pir m}HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage 23基于类的QoS配置? 流策略流策略是将流分类和流行为关联后形成的完整的QoS策略traffic policy policy-nameclassifier classifier-name behavior behavior-name ? 应用流策略在接口上应用流策略 interface interface-type interface-number traffic-policy policy-name { inbound | outbound } 应用后，系统对流经该接口并匹配流分类中规则的入方向或出方向报文实施策略控制。在vlan中应用流策略vlan vlan-idtraffic-policy policy-name { inbound | outbound } 应用后，系统对属于该VLAN并匹配流分类中规则的入方向或出方向报文实施策略控制。HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI Confidential Page 24QoS配置举例―― 流策略配置需求：对端口ethernet 0/0/2的VLAN为10以及目的端口为80的TCP报文限速为2M[Quidway]acl 3000 [Quidway-acl-adv-3000]rule permit tcp destination-port eq www [Quidway-acl-adv-3000]quit [Quidway]traffic classifier a [Quidway-classifier-a]if-match acl 3000 [Quidway-classifier-a]if-match vlan-id 10 [Quidway-classifier-a]traffic behavior a [Quidway-behavior-a]car cir 2000 [Quidway-behavior-a]traffic policy a [Quidway-trafficpolicy-a]classifier a behavior a [Quidway-trafficpolicy-a]quit [Quidway]interface ethernet0/0/2 [Quidway-Ethernet0/0/2]traffic-policy a inbound [Quidway-Ethernet0/0/2]display this # interface Ethernet0/0/2 port default vlan 1 traffic-policy a inbound # return [Quidway-Ethernet0/0/2]HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage 25配置基于类的流量监管示例（1/4）通过配置基于类的流量监管，对不同的用户设置不同的CAR参数，提供不同的带宽服务。组网需求 Switch通过接口GE2/0/1与路由器互连，企业部门1和企业部门2可经由Switch和路由器访问网络，如表2-2所示。企业部门1和企业部门2的语音业务对应的VLAN ID分别为120、220，视频业务对应的VLAN ID分别为110、210，数据业务对应的VLAN ID分别为100、200。在Switch上需要对不同业务的报文分别进行流量监管，并分别对企业部门1和企业部门2的总流量进行流量监管，以将流量限制在一个合理的范围之内。此外由于来自用户侧的业务报文携带的DSCP优先级并不可靠，在实际应用中，不同业务对于服务质量的需求是不同的，所以在Switch中还需要重标记不同业务报文的 DSCP优先级，以利于下游路由器按照报文的不同优先级分别进行处理。HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage26配置基于类的流量监管示例（2/4）具体配置需求如下：配置思路采用如下的思路配置基于复杂流分类的流量监管：创建VLAN，并配置各接口，使企业部门1和企业部门2都能够通过Switch 访问网络。 1. 在Switch上配置基于VLAN ID进行流分类的匹配规则。 2. 在Switch上配置QoS CAR，对来自和发往企业部门1的报文进行总流量的监管，对来自和发往企业部门2的报文进行总流量的监管。 3. 在Switch上配置流行为，对来自用户侧的报文进行流量监管并且重标记报文的DSCP优先级，对发往用户侧的报文进行流量监管。 4. 在Switch上配置流策略，绑定已经配置好的流行为和流分类，并应用到流经报文的接口上。 HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI ConfidentialPage27配置基于类的流量监管示例（3/4）配置流分类 # 在Switch上创建流分类c1～c6，对来自和发往用户的报文按照其VLAN ID进行分类。配置流量监管行为 # 在Switch上创建流行为b1～ b6，对用户报文进行流量监管以及重标记优先级。?配置QoS CAR # 在Switch上创建QoS CAR 模板qoscar1、qoscar2，对来自和发往企业部门1、企业部门2的流量进行监管。?HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage28配置基于类的流量监管示例（4/4）配置流量监管策略并应用到接口上 # 在Switch上创建流策略p1，将流分类和对应的流行为进行绑定并将流策略应用到接口GE1/0/1和GE1/0/2的入方向上，对来自用户侧的报文进行流量监管和重标记。?# 查看流策略的配置信息，以流策略p1为例。[Switch] display traffic policy user-defined p1HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage29策略路由――配置基于复杂流分类的报文重定向示例S7700支持指定多个下一跳。通过重定向可以实现策略路由。这种策略路由是静态的，当配置中的下一跳不可用时，系统将按原来的转发路径转发报文。组网需求 ? 公司交换机通过Switch连接到服务提供商设备，一条是1G链路，网关为 20.20.20.1/24；另外一条是10G链路，网关为20.20.30.1/24。公司要求10G 链路只传送IP优先级为4、5、6、7的高优先级报文，而其它低优先级报文则使用1G链路连接到服务提供商。如图1-3所示。HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI ConfidentialPage30交换机IGMP Snooping配置? IGMP Snooping(Internet Group Management Protocol Snooping)是一种二层组播协议，通过侦听上层路由器和用户主机之间发送的组播协议报文来维护组播报文的出端口信息，从而管理和控制组播数据报文的转发。 ? 全局开启IGMP Snooping igmp-snooping enable? vlan内开启IGMP Snoopingvlan vlan-id igmp-snooping enableHUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage 31组播特性配置示例――配置IGMP SNOOPING组网需求:如图2-1所示，Switch的GE0/0/1连接组播源侧路由器，GE0/0/2接口连接用户主机，要求通过配置IGMP Snooping功能实现VLAN3中的三台主机能长期接收组地址为225.1.1.1～225.1.1.3 的组播数据。配置思路采用如下的思路配置VLAN中IGMP Snooping的功能：创建VLAN并将接口加入VLAN。使能全局和VLAN的IGMP Snooping功能。配置静态路由器接口。配置静态组播组225.1.1.1～225.1.1.3。数据准备 GE0/0/2和GE0/0/1对应VLAN编号为3。静态路由器接口为GE0/0/1。静态组播组地址为225.1.1.1～225.1.1.3。HUAWEI TECHNOLOGIES Co., Ltd. HUAWEI Confidential Page 32配置IGMP SNOOPING――操作步骤创建VLAN，配置接口加入VLAN。 [Switch] interface gigabitethernet 0/0/1 [SwitchCGigabitEthernet0/0/1] port hybrid tagged vlan 3 [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] port hybrid tagged vlan 3 使能IGMP Snooping功能。使能VLAN3的IGMP Snooping功能。 [Switch] igmp-snooping enable [Switch] vlan 3[Switch-vlan3] igmp-snooping enable配置GE0/0/1为VLAN3的静态路由器接口。 [SwitchCGigabitEthernet0/0/1] igmp-snooping static-router-port vlan 3HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage 33配置IGMP SNOOPING――查看配置结果HUAWEI TECHNOLOGIES Co., Ltd.HUAWEI ConfidentialPage 34华为交换机生成树协议配置? STP/RSTP可阻塞二层网络中的冗余链路，将网络修剪成树状，解决交换网络中的环路问题。 ? 在系统视图下开启生成树协议 stp enable ? 在系统视图下配置STP模式 stp mode { stp | rstp } rstp为快速生成树模式，收敛速度比stp大大提升。? 在系统视图下配置STP优先级stp priority priority priority取值范围是0～61440，步长为4096，即S5700可以配置16个优先级取值，如0 、等。缺省值是32768。优先级值越小，则优先级越高.HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 35华为交换机RSTP协议配置举例[Quidway]sysname SWA [SWA]stp enable [SWA]stp mode rstp [SWA]stp priority 4096 [Quidway]sysname SWB [SWB]stp enable [SWB]stp mode rstp [SWB]stp priority 8192SWA Root E0/20E0/10 D DE0/10 R D E0/20 RSWBAE0/10 SWCE0/20[Quidway]sysname SWC [SWC]stp enable [SWC]stp mode rstpE0/1 DLANAHUAWEI TECHNOLOGIES CO., LTD. All rights reserved Page 36华为交换机VRRP配置? 通常情况下，网络内部的所有主机都设置一条相同的缺省路由，指向出口网关，实现主机与外部网络的通信。当出口网关发生故障时，主机与外部网络的通信就会中断。 VRRP将一组路由器联合组成一台虚拟路由器，将网络内主机的缺省网关设置为该虚拟路由器的IP地址。 ? 在vlanif接口视图下配置虚拟IP地址 interface vlanif interface-number vrrp vrid virtual-router-id virtual-ip virtual-addressvirtual-router-id是指定的VRRP备份组号，范围1-255，每个虚拟网关备份组号唯一。? 在vlanif接口视图下配置交换机在备份组中的优先级： interface vlanif interface-number vrrp vrid virtual-router-id priority priority-value 优先级取值范围是1～254，缺省情况下，优先级的取值是100 。优先级值越大，优先级越高，优先级最高的接口被选为主网关。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 37华为交换机VRRP配置举例[Quidway]sysname SWA [SWA]interface vlanif 10 [SWA-Vlanif10]ip address 192.168.1.252 24 [SWA-Vlanif10]vrrp vrid 10 virtual-ip 192.168.1.254 [SWA-Vlanif10]vrrp vrid 10 priority 200 [Quidway]sysname SWB [SWA]interface vlanif 10 [SWA-Vlanif10]ip address 192.168.1.253 24 [SWA-Vlanif10]vrrp vrid 10 virtual-ip 192.168.1.254SWA 主 E0/20E0/10E0/10 E0/20SWBE0/20 E0/1E0/10 SWCVLAN10HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 38第一章典型业务配置第二章常见维护操作指导HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 39产品序列号获取（1/2）&S7700&display elabel 3[Slot_3] /$[Board Integration Version] /$BoardIntegrationVersion=3.0 [Main_Board] &S7700&display elabel [BackPlane_1] /$[ArchivesInfo Version] /$ArchivesInfoVersion=3.0背板条码接口板条码/$[ArchivesInfo Version]/$ArchivesInfoVersion=3.0 [Board Properties] BoardType=ES02G48SC BarCode=030MQKW0AB000141 Item=03030MQK Description=Quidway S7700,ES02G48SC,48-Port 1000BASE-X Interface Card(EC,SFP),128K MAC,1*1 Manufactured= VendorName=Huawei IssueNumber=00 CLEICode= HUAWEI TECHNOLOGIES CO., LTD. BOM=[Board Properties] BoardType=ES0B1SA10 BarCode=6789 Item=03020PBV Description=Quidway S7700,ES0B1SA10,S7706 POE Backplane,1*1 Manufactured= VendorName=Huawei IssueNumber= CLEICode= BOM=BOM03020PBV00All rights reservedPage40产品序列号获取（2/2）单板、电源标签机框和风扇标签HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage41故障处理流程-设备类故障维护手册里面有故障处理流程指导HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage42故障处理流程-业务类故障维护手册里面有故障处理流程指导HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage43单播报文转发不通的处理流程维护手册里面有故障处理流程指导HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage44环路造成二层广播、 MAC飘移的定位手段?一条MAC表项由如下几个元素构成：VLAN（VSI）、MAC、出端口构成。如果存在两条 MAC表项VLAN和MAC相同，但是出端口却不停的进行变换的话，这就说明MAC表项已经发生了MAC飘移。 MAC飘移一般情况下都是由于成环造成的。环路造成二层广播，导致MAC飘移，可以使用MAC飘移检测开关来查看是哪个MAC地址发生环路，以及在哪个端口发生了环路。诊断模式下使用命令mac-flapping check enable [ mac-address | time ]打开MAC飘移环路检测功能。显示MAC飘移的统计次数如果想看是哪些MAC或者是哪些端口发生了MAC飘移现象，可以通过MAC飘移的debugging命令显示? ??HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 45案例一：单板不能上电? ? ?网络环境重点举了几个案例，其他的案例请参考成套手册里面的故障处理手册S7700上电后，风扇正常运行，但是所有单板均无法上电，RUN、ACTIVE指示灯等无任何显示。案例分析? 产生该故障现象的可能原因有： ? 背板故障导致单板无法上电。 ? 主控板故障，只有主控板正常上电后，其它业务板才能正常上电运行。 ? 未插CMU集中监控板（仅涉及S7706和S7712，S7703不涉及）。 ? 单板无CANBUS软件。?操作步骤? 通过命令display device或display version查看是否插上CMU集中监控板。 ? 通过命令display environment version查看单板的CANBUS版本信息，若版本信息为空，说明没有CANBUS 软件。如果主控板没有CANBUS软件，所有接口板都不能上电；如果接口板没有CANBUS软件，该接口板不能上电。 ? 将所有业务板取出，只剩一块主控板后重新上电，检查主控板是否能够上电。如果使用AC 110V（1+1）电源供电的S9300设备未安装集中监控板CMU，系统则无法获取设备的实际功率。为确保安全，系统默认只提供400W 的最大功率，这样可能部分单板因供电不足而注册不上，使用display device命令查看显示这些单板不在位。通过安装CMU可以解决。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage46案例二：以太网接口故障处理SwitchA的接口GE1/0/1与SwitchB的接口GE1/0/2相连? ?操作步骤检查配置的接口速率是否一致? 执行display interface命令查看接口的速率。如果配置不正确，可在接口上执行speed { 10 | 100 | 1000 }命令配置接口速率。?检查配置的双工模式? 执行display interface命令查看接口的双工模式。如果配置不正确，可在接口上执行duplex { full | half }命令配置接口速率。注意：? 只能在以太网电接口下配置接口的双工模式。 ? 1000M以太网接口不支持半双工模式。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage47案例二：以太网接口故障处理（续）?缺省情况下，当以太网电接口工作在非自协商模式时，它的双工模式为全双工模式。?缺省情况下，当以太网接口工作在非自协商模式时，它的速率为接口支持的最大速率。千兆以太网电接口工作在非自协商模式时，它的缺省速率为100M。当GE光接口中插入FE光模块时，必须手工配置GE光接口的速率为100Mbit/s。缺省情况下，接口工作在自协商模式。100M光接口和10G光接口不支持配置自协商模式，缺省情况下工作在非自协商模式，即强制模式。 G24C单板有8个电口和24个光口，其中前8个光口与电口复用，需要通过comboport命令来设置。缺省情况下，默认选择光纤接口。执行命令display interface，可以查看以太网接口的描述信息、双工模式和速率是否配置正确。? ? ???HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage48故障定位手段――配置本地端口镜像示例组网需求：研发部和市场部通过接口GigabitEthernet1/0/1、 GigabitEthernet1/0/2接入Switch。一台数据检测设备 Server接在Switch的接口GigabitEthernet1/0/3上。要求借助本地端口镜像功能来实现Server对研发部和市场部收报文的监控。配置思路用如下的思路配置本地端口镜像功能：1. 2.将接口GE1/0/3配置为观察接口。在接口GE1/0/1和GE1/0/2配置为镜像接口。数据准备? ? ? ?为完成此配置例，需准备如下的数据：观察接口的接口类型和编号。镜像接口的接口类型和编号。观察接口的索引号为1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage49配置本地端口镜像操作步骤（1/2）1. ?配置各接口，使各主机间路由可达。 # 创建VLAN1、2、3，并将接口GE1/0/1、GE1/0/2、GE1/0/3分别加入VLAN 1、2、3。2.?配置本地观察接口# 在S7700上配置端口GE1/0/3为本地观察接口。3. ?配置本地镜像接口 # 在S7700上配置GE1/0/1为本地镜像接口，以监控财经部收发的报文。?# 在S7700上配置GE1/0/2为本地镜像接口，以监控采购部收发的报文。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage50配置本地端口镜像操作步骤（2/2）4. ?验证配置结果 # 查看观察接口的配置情况。?# 查看镜像接口的配置情况。?# 查看接口GE1/0/1、GE1/0/2和GE1/0/3的报文计数，可以看到接口GE1/0/3的报文计数为接口GE1/0/1与接口GE1/0/2的报文计数之和，或者通过Server可以看到接口GE1/0/1和GE1/0/2 收发的所有报文，说明接口GE1/0/1和GE1/0/2上的报文已经被S7700镜像过来。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage51告警日志查看举例：HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage52故障信息收集发生故障时，如果可以使用Telnet或串口登录设备，请收集以下信息。序号收集项 1 设备信息收集方法使用display device命令进行收集。23 4 5 6 7 8 9 10温度信息CPU使用信息路由表信息日志信息告警信息配置信息设备诊断信息接口信息网络连通信息使用display temperature命令进行收集。使用display cpu-usage命令进行收集。使用display ip routing-table命令进行收集。使用display logbuffer命令进行收集。使用display trapbuffer命令进行收集。使用display current-configuration命令进行收集。使用display diagnostic-information命令进行收集。使用display interface命令进行收集。使用ping命令尝试连接各相邻节点，并记录结果。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage53如何查看单板类型&S7703&display device slot 3 S7703's Device status: Slot Sub Type Online Power Register Alarm Primary ----------------------------------3 - G48SC Present PowerOn Registered Normal NA ------------------------------------------------------------------------------Board Name : G48SC Board Description : 48-Port 1000BASE-X Interface Card(EC,SFP) ------------------------------------------------------------------------------------------------------------------------------------------------------------Port Port Optic MDI Speed Duplex Flow- Port POE Type Status (Mbps) Ctrl State State ------------------------------------------------------------------------------0 GE(F) absence 1000 disable *down 1 GE(F) absence 1000 disable *down 2 GE(F) absence 1000 disable *down ..................................... ..................................... ..................................... 45 GE(F) absence 1000 disable *down 46 GE(F) absence 1000 disable *down 47 GE(F) absence 1000 disable *down -------------------------------------------------------------------------------&S7703&display elabel 3 brief It is executing, please wait... [Slot_3] /$[Board Integration Version] /$BoardIntegrationVersion=3.0 [Main_Board] /$[ArchivesInfo Version] /$ArchivesInfoVersion=3.0 [Board Properties] BoardType=ES02G48SC BarCode=030MQKW0AB000141 Item=03030MQK Description=Quidway S7700,ES02G48SC,48-Port 1000BASE-X Interface Card(EC,SFP),128K MAC,1*1 Manufactured= VendorName=Huawei IssueNumber=00 CLEICode= BOM=HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage54谢谢
华为交换机配置_计算机硬件及网络_IT/计算机_专业资料。华为交换机简单配置 ...如何解决设备观察端口不足的问题:如果想知道在交换机镜像资源有限的情况下,如何...(时间差不大于 5 分钟),便于故障时通过时间精 5...,需要记录,对于严重以上告警需并立即分析并处理。...华为交换机配置手册(更) 26页免费
华为交换机...交换机故障分析及处理SOP手册(模版)_计算机硬件及...4、安装嗅探软件,检查分析网络健康状况,网络应用等...但是线路一旦途径华为 S2300 交换机后,便出现 PING...华为交换机故障处理 433页 1下载券华为基站故障处理专题 54页 1下载券华为BSC...11 1.5 机柜配置......当用户在监控接口的状态或检查接口的故障原因时,可以查看接口的状态信息。 13...华为93系列常用命令 2页免费
华为交换机常用命令配置... 暂无评价 13页 ...华为c&c08 交换机维护及故障处理摘要本文介绍了华为 c&c08 数字程控交换机的结构特点、故障查找、维护管理的方法以及程控交换机的维护工作的经验。关键词 ...华为数字交换机常见问题_信息与通信_工程科技_专业资料。如何配置本地登录和远程...BOOTROM 密码丢失如何解决收集交换机 MAC 地址联系 800 工程师。(在交换机后...华为交换机告警处理手册_信息与通信_工程科技_专业资料...告警解释系统监测到FE端口出现故障,将产生此告警。...占用超过设定的阈值(使用命令SET CPUTHD设置)时,...华为交换机简单配置大全_计算机硬件及网络_IT/计算机_专业资料。华为交换机配置 ...镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位...华为交换机配置命令大全_信息与通信_工程科技_专业资料...提供种类丰富、内容详尽的调试信息,帮助诊断网络故障...发的维护和查询命令作出相应的处理,同时保证与管理...
All rights reserved Powered by
copyright &copyright 。文档资料库内容来自网络，如有侵犯请联系客服。}

奇偶密码网