交换机一些基本配置介绍

1.1以太网端口常用配置1.1.1交换机端口链路类型介绍交换机以太网端口共有三种链路类型：Access、Trunk和Hybrid0Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。其中，Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签；不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。三种类型的端口可以共存在一台以太网交换机上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。各类型端口使用注意事项配置Trunk端口或Hybrid端口，并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意:本端端口和对端端口的缺省VLANID（端口的PVID）要保持一致。当在交换机上使用isolate-user-vlan来进行二层端口隔离时，参与此配置的端口的链路类型会自动变成Hybrid类型。Hybrid端口的应用比较灵活，主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上，利用Hybrid端口收发报文时的处理机制，来完成对同一网段的PC机之间的二层访问控制。各类型端口在接收和发送报文时的处理1）端口接收报文时的处理:端口接收到的报文•类型报文帧结构中携带VLAN标记报文帧结构中不携带VLAN标记Access端口丢弃该报文为该报文打上VLAN标记为本端口的PVIDTrunk端口判断本端口是否允许携带该VLAN标记的报文通过。如果允许则报文携带原有VLAN标记进行转发，否则丢弃该报文同上Hybrid端口同上同上2）端口发送报文时的处理:Access端口剥掉报文所携带的VLAN标记，进行转发Trunk端口首先判断报文所携带的VLAN标记是否和端口的PVID相等。如果相等，则剥掉报文所携带的VLAN标记，进行转发；否则报文将携带原有的VLAN标记进行转发Hybrid端口首先判断报文所携带的VLAN标记在本端口需要做怎样的处理。如果是untagged方式转发，则处理方式同Access端口；如果是tagged方式转发，则处理方式同Trunk端口1.1.2交换机端口镜像的配置交换机的端口镜像分为两种：端口镜像和流镜像。其中，在所有的交换机设备中：S3X26E只支持流镜像；S3900、S5600、S3552系列交换机即支持流镜像又支持端口镜像；其余的交换机产品只支持端口镜像。对应交换机的不同型号，端口的镜像配置命令也有所区别。其命令配置如下:S2000EI、S2000C系列交换机端口镜像配置流程mirroring-port用来定义镜像端口，monitor-port用来定义监控端口。1） 将端口E0/2配置为监控端口[SwitchA]monitor-portEthernet0/2no-filt2） 将端口E0/1配置为镜像端口[SwitchA]mirroring-portEthernet0/1both【补充说明】支持多对一的端口镜像，但是镜像端口必须与监控端口属于同一个芯片内（每8端口一个芯片）。配置镜像端口时，可以使用参数定义被监控报文的方向。例如：参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。配置监控端口时，可以使用参数定义监控端口类型。例如：参数no-filt，表示监控所有的报文；参数filt-da，表示只监控指定的目的mac地址的报文；参数filt-sa，表示只监控指定的源mac地址的报文。此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI，S2008C、S2016C和S2024C。S3026E、S3526E、S3526系列交换机端口镜像配置流程monitor-port用来定义监控端口；结合acl的配置，在系统视图使用mirroed-to命令，将匹配acl规则的数据报文镜像到监控端口。1） 配置acl,定义符合监控的数据流规则[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressinterfacee0/1egressany[SwitchA-acl-link-4000]rulepermitingressanyegressinterfacee0/12） 将匹配acl规则的报文镜像到监控端口E0/2[SwitchA]mirroed-tolink-group4000interfaceEthernet0/2【补充说明】此系列交换机使用的是流镜像，而非端口镜像。因此，必须结合3^的配置，对匹配了acl规则的报文进行镜像。此系列交换机的具体型号包括：S3026E/C/G/T，S3526E/C，S3026FS/FM，S3526和S3526FS/FM。S3528、S3552系列交换机端口镜像配置流程mirroring-port用来定义镜像端口，monitor-port用来定义监控端口。1） 将端口E0/2配置为监控端口[SwitchA]monitor-portEthernet0/2both2） 将端口E0/1配置为镜像端口[SwitchA]mirroring-portEthernet0/1both【补充说明】配置监控端口时，可以使用参数定义镜像端口所监控的报文方向。例如:参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。此系列交换机的具体型号包括：S3528G/P和S3552G/P/F。S5012、S5024系列交换机端口镜像配置流程mirroring-port用来定义镜像端口，monitor-port用来定义监控端口。1） 将端口E0/2配置为监控端口[SwitchA]monitor-portGigabitEthernet0/22） 将端口E0/1配置为镜像端口[SwitchA]mirroring-portGigabitEthernet0/1both【补充说明】支持多对一的端口镜像。配置镜像端口时，可以使用参数定义被监控报文的方向。例如：参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。此系列交换机的具体型号包括：S5012G/T和S5024G。S3900、S5600系列交换机端口镜像配置流程monitor-port用来定义监控端口；结合acl的配置，在以太网物理端口配置视图下使用mirroed-to命令，将匹配acl规则的数据报文镜像到监控端口。或者直接将某物理端口配置为镜像端口。『方法一，流镜像』1） 将端口G1/0/2配置为监控端口[SwitchA]interfaceGigabitEthernet1/0/2[SwitchA-GigabitEthernet1/0/2]monitor-port2） 配置acl,定义符合监控的数据流规则[SwitchA]aclnumber3000[SwitchA-acl-link-3000]rulepermitipsource10.10.1.10destinationany[SwitchA-acl-link-3000]rulepermitipsourceanydestination10.10.1.103） 将经过端口G1/0/1，匹配acl规则的报文镜像到监控端口[SwitchA]interfaceGigabitEthernet1/0/1[SwitchA-GigabitEthernet1/0/1]mirrored-toinboundip-group3000monitor-interface[SwitchA-GigabitEthernet1/0/1]mirrored-tooutboundip-group3000monitor-interface『方法二，端口镜像』1） 将端口G1/0/2配置为监控端口[SwitchA]interfaceGigabitEthernet1/0/2[SwitchA-GigabitEthernet1/0/2]monitor-port2） 将端口G1/0/1配置为镜像端口[SwitchA]interfaceGigabitEthernet1/0/1[SwitchA-GigabitEthernet1/0/1]mirroring-portboth【补充说明】S3900、S5600系列交换机既支持流镜像，又支持端口镜像。此系列交换机的具体型号包括：S3924、S3928P/F/TP和S3952P；S5624P/F和S5648P。6.S6500、S8500系列交换机端口镜像的配置S6500系列交换机采用端口镜像组的方式来配置端口镜像功能。每个端口镜像组包含一个监控端口，和一组被监控端口。最多可以配置二十组端口镜像组。[Quidway]mirroring-group1inboundethernet3/0/1ethernet3/0/2mirrored-toethernet3/0/8[Quidway]mirroring-group2outboundethernet3/0/1ethernet3/0/2mirrored-toethernet3/0/81.1.3交换机端口限速的配置对应交换机的不同型号，限速配置命令也有所区别。其命令配置如下：1.S2000EI系列交换机端口限速配置使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。1）进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12） 对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateoutbound303） 对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]line-rateinbound16【补充说明】报文速率限制级别取值为1〜127。如果速率限制级别取值在1〜28范围内，则速率限制的粒度为64Kbps,这种情况下，当设置的级别为N,则端口上限制的速率大小为N*64K；如果速率限制级别取值在29〜127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为（N-27）*1Mbps。此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EIS2000-SI和S3000-SI系列交换机端口限速配置使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。1） 进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12） 对端口E0/1的出方向报文进行流量限速，限制到6Mbps[SwitchA-Ethernet0/1]line-rateoutbound23） 对端口E0/1的入方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateinbound1【补充说明】对端口发送或接收报文限制的总速率，这里以8个级别来表示，取值范围为1〜8,含义为：端口工作在10M速率时，1〜8分别表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率时，1〜8分别表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。此系列交换机的具体型号包括：S2026C/Z-SI、S3026C/G/S-SIS3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进行流量限速。1） 进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/12） 对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rate33） 配置acl，定义符合速率限制的数据流4）对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为1Mbps。此系列交换机的具体型号包括：S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。4.S3528、S3552系列交换机端口限速配置流程使用以太网物理端口下面的traffic-shape和traffic-limit命令，分别来对该端口的出、入报文进行流量限速。进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/1对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]traffic-shape325016配置acl，定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceeddrop【补充说明】此系列交换机的具体型号包括：S3528G/P和S3552G/P/FS3552F-HI交换机端口限速配置流程S3552F-HI交换机的端口限速配置命令与S3528系列交换机的配置命令相同，但是限速命令是配置在vlan的视图下的S3900、S5600系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。1） 进入端口E1/0/1的配置视图[SwitchA]interfaceEthernet1/0/12） 对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate30003） 配置acl，定义符合速率限制的数据流4）对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括：S3924、S3928P/F/TP和S3952P。S6500系列交换机端口限速配置流程S6500系列交换机的限速命令根据不同的业务单板分为两种:A型业务板支持对端口接收和发送的数据包进行流量限制，使用命令：traffic-limitinbound/outbound进行端口限速；非A型业务板只支持对报文接收的报文进行流量限制，使用命令：traffic-limitinbound进行端口入方向限速，line-rate进行，出方向限速。1） 在A型业务板的端口Ethernet3/0/1上对匹配2000号访问列表中permit规则的数据包进行入方向流量限制。正常流量设为128kbps。[Quidway-qoss-Ethernet3/0/1]traffic-limitinboundip-group20001282） 在A型业务板的端口Ethernet3/0/1上对匹配2000号访问列表中permit规则的数据包进行出方向流量限制。正常流量设为128kbps。[Quidway-qoss-Ethernet3/0/1]traffic-limitoutboundip-group20001283） 在非A型业务板的端口GigabitEthernet3/0/1上对匹配2000号访问列表中permit规则的数据包进行入方向流量限制。正常流量设为128kbps。[Quidway-qosb-GigabitEthernet3/0/1]traffic-limitinboundip-group2000kbps1284） 在非A型业务板的端口GigabitEthernet3/0/1上进行出方向的限速为10Mbps。[Quidway-qosb-GigabitEthernet3/0/1]line-rate10【补充说明】S6500系列交换机从20XX版本以后限速的命令是在QoS的视图下进行配置，20XX版本以前的版本限速命令在端口视图下配置。端口出入方向限速的最小粒度为64KbpsS8500系列交换机端口限速配置流程S8500交换机的端口限速配置命令与S3528系列交换机的配置命令相同，参见S3528的限速配置命令。1.2远程telnet管理1.2.1功能需求及组网说明TELNE面程管理交换机配苣『配置环境参数』PC机固定IP地址10.10.10.10/24,连接到三层交换机SwitchA的VLAN10,PC网关地址为SwitchA的VLAN10接口地址10.10.10.1/24SwitchA与二层交换机SwitchB使用VLAN100互连，SwitchA的VLAN100接口地址为192.168.0.1/24，SwitchB的VLAN100接口地址为192.168.0.2/243.SwitchA通过以太网口E0/1和SwitchB的E0/24互连『组网需求』SwitchA只允许10.1.10.0/24网段的地址的PCTELNET访问SwitchB允许其它任意网段的地址TELNET访问1.2.2数据配置步骤『TELNET远程管理交换机配置流程』如果一台PC想远程TELNET到一台设备上，首先要保证能够二者之间正常通信。SwitchA为三层交换机，可以有多个三层虚接口，它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN。SwitchB为二层交换机，只有一个二层虚接口，它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN。交换机缺省的TELNET认证模式是密码认证，如果没有在交换机上配置口令，当TELNET登录交换机时，系统会出现”passwordrequired,butnoneset”的提示。【SwitchA相关配置】1.创建（进入）VLAN10[SwitchA]vlan10将连接PC的E0/10加入VLAN10[SwitchA-Vlan10]portEthernet0/10创建（进入）VLAN10的虚接口[SwitchA]interfaceVLAN-interface10为VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ipaddr10.10.10.1255.255.255.0创建（进入）VLAN100[SwitchA]vlan100为VLAN接口100配置IP地址[SwitchA-Vlan-interface100]ipaddr192.168.0.1255.255.255.0进入端口E0/1,将其配置为TRUNK端口，并允许VLAN100通过[SwitchA]interfaceEthernet0/1[SwitchA-Ethernet0/1]portlink-typetrunk[SwitchA-Ethernet0/1]porttrunkpermitvlan100【SwitchB相关配置】创建（进入）VLAN100[SwitchB]vlan100为VLAN接口100配置IP地址[SwitchB-Vlan-interface100]ipaddr192.168.0.2255.255.255.0进入端口E0/24，将其配置为TRUNK端口，并允许VLAN100通过[SwitchB]interfaceEthernet0/24[SwitchB-Ethernet0/24]portlink-typetrunk[SwitchB-Ethernet0/24]porttrunkpermitvlan100二层交换机被其他网段设备管理，需要增加一条默认路由[SwitchB]iproute-static0.0.0.00.0.0.0192.168.0.1『以下为公共配置』1、TELNET密码验证配置只需输入password即可登陆交换机。1） 进入用户界面视图[SwitchA]user-interfacevty042） 设置认证方式为密码验证方式[SwitchA-ui-vty0-4]authentication-modepassword3） 设置登陆验证的password为明文密码"huawei”[SwitchA-ui-vty0-4]setauthenticationpasswordsimplehuawei4） 配置登陆用户的级别为最高级别3（缺省为级别1）[SwitchA-ui-vty0-4]userprivilegelevel35） 或者在交换机上增加superpassword（缺省情况下，从VTY用户界面登录后的级别为1级，无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后，需输入superpassword改变自己的级别）例如，配置级别3用户的superpassword为明文密码”super3”[SwitchA]superpasswordlevel3simplesuper32、 TELNET本地用户名和密码验证配置需要输入username和password才可以登陆交换机。进入用户界面视图[SwitchA]user-interfacevty04配置本地或远端用户名和口令认证[SwitchA-ui-vty0-4]authentication-modescheme配置本地TELNET用户，用户名为，huawei”，密码为”huawei”，权限为最高级别3(缺省为级别1)[SwitchA]local-userhuawei[SwitchA-user-huawei]passwordsimplehuawei[SwitchA-user-huawei]service-typetelnetlevel3在交换机上增加superpassword[SwitchA]superpasswordlevel3simplesuper33、 TELNET访问控制配置配置访问控制规则只允许10.1.1.0/24网段登录[SwitchA]aclnumber2000[SwitchA-acl-basic-2000]rulepermitsource10.1.1.00.0.0.255[SwitchA-acl-basic-2000]ruledenysourceany配置只允许符合ACL2000的IP地址登录交换机[SwitchA-ui-vty0-4]acl2000inbound1.3vlan内的端口隔离1.3.1功能需求及组网说明图1-1端口隔离组网示意图小区用户连接到交换机，交换机通过Ethernt0/1端口与外部网络互通。小区用户属于同一个VLAN1，且相互之间不能互通。1.3.2配置步骤#使能VLAN内的端口二层隔离。[Quidway-vlan1]port-isolateenable#配置端口Ethernet0/1为上行端口。[Quidway-Ethernet0/1]port-isolateuplink-portvlan1【补充说明】目前只有2000EI、3528-3552系列交换机支持vlan内的端口隔离。2000HI39005600系列交换机是隔离组的概念，在端口模式下配置portisolate将端口添加到隔离组。1.4防病毒列表1.4.1常用的防病毒控制类表1.用于控制Blaster蠕虫的传播rulerule2.denytcpsourceanydestinationanydestination-portdenyudpsourceanydestinationanydestination-port用于控制Blaster蠕虫的扫描和攻击eq4444eq69rule3denytcpsourceanydestinationanydestination-porteq135rule4denyudpsourceanydestinationanydestination-porteq135rule5denytcpsourceanydestinationanydestination-porteq139rule6denyudpsourceanydestinationanydestination-porteq139rule7denytcpsourceanydestinationanydestination-porteq445rule8denyudpsourceanydestinationanydestination-porteq445rule9denytcpsourceanydestinationanydestination-porteq593rule10denyudpsourceanydes