华为Quidway S3000系列配置

...wd......wd......wd...QuidwayS3000系列以太网交换机的型号：①S3026交换机②S3026FS交换机、S3026FM交换机③S3026E交换机④S3026EFS交换机、S3026EFM⑤S3050C-48交换机Telnet用户登录时，缺省需要进展口令认证。system-viewuser-interfacevty0setauthenticationpasswordsimple6300723改变语言模式：<Quidway>language-modechinese<Quidway>language-modeenglish设置交换机的名称：sysnamesysname设置系统时钟：clockdatatime时:分:秒年:月:日displayversion——可以看到VRP版本。displaycurrent-configuration显示VLAN相关信息：displayvlandisplayvlanvlan-iddisplayvlanallAUX用户：通过Console口对以太网交换机进展访问，每台以太网交换机最多只有一个。VTY用户：通过Telnet对以太网交换机进展访问，每台交换机最多可以有5个。〔在Quidway系列以太网交换机中，AUX口和Console口是同一个口。〕user-interfacevty04protocolinbound{all，ssh，telnet}〔配置用户界面支持的协议，只能在vty用户下进展。缺省情况下，系统只支持telnet协议。〕=====如果配置用户界面支持SSH协议，为确保登录成功，应该配置相应的认证方式为authentication-modescheme。如果配置认证方式为authentication-modepassword和authentication-modenone，则protocolinboundssh配置结果将失败。波特率为9600bit/s；数据位为8；奇偶校验为无；停顿位为1；数据流控制为无；user-interfaceaux0speed9600〔配置AUX口的传输速率，默认为9600bit/s。〕flow-controlnone〔配置AUX口的流控方式，默认为none，即不进展流控。〕paritynone〔配置AUX口的校验方式，默认为none，即无校验位。〕stopbits1〔配置AUX口的停顿位，默认为1。〕databits8〔配置AUX口的数据位，默认为8位。〕启动、关闭终端服务：当关闭某用户界面的终端服务后，通过该用户界面将不能登录以太网交换机。对于在关闭之前已经通过该用户界面登录的用户，仍然可以进展操作。但当用户退出该用户界面后，将不能再次登录。只有启动该用户界面的终端服务后，才能通过该用户界面登录以太网交换机。启动终端服务：shell关闭终端服务：undoshell超时断开设置：缺省情况下，启动了超时断连功能，时间是10分钟。user-interfaceaux0或者user-interfacevty0idle-timeout分秒〔idle-timeout0表示关闭超时中断连接功能。〕end——对应returnexit——对应quit锁住用户界面，防止当用户离开时，其它人对该用户界面进展操作。<Quidway>lock设置用户登录验证方式：缺省情况下，Console口用户登录不需要进展终端验证；而Telnet用户登录需要进展口令验证。=====不需要验证user-interfacevty0authentication-modenone=====本地口令验证user-interfacevty0authentication-modepassword〔需要口令验证〕setauthenticationpasswordsimple6300723〔明文〕或setauthenticationpasswordcipher6300723〔密文〕=====本地或远端用户名和口令验证例：设置用户从vty0用户界面登录时，需要进展用户名和口令验证，且登录用户名和口令分别为huawei和6300723。user-interfacevty0authentication-modeschemequitlocal-userhuaweipasswordsimple6300723service-typetelnet=====user-interfacevty0userprivilegelevel3缺省情况下，从AUX用户界面登录后可以访问的命令级别为3级，从VTY用户界面登录后可以访问的命令级别为0级。〔0：参观级别，1：监控级别，2：配置级别，3：管理级别〕Quidway系列二层以太网交换机同时只能有一个VLAN对应的VLAN接口可以配置IP地址——这个VLAN就是管理VLAN。interfacevlan-interface1〔管理VLAN接口〕ipaddressdescriptiontoma5600〔为管理VLAN接口指定描述字符〕undoshutdown配置静态路由：iproute-staticip-address{mask，mask-length}iproute-staticdefault-preferencedefault-preference-value〔配置静态路由的缺省优先级。缺省情况下，default-preference-value的值为60。注意，S3026交换机不支持该配置。〕displayipinterfacevlan-interfacevlan-id〔查看管理VLAN接口IP的相关信息〕displayinterfacevlan-interface〔查看管理VLAN接口的相关信息〕displayiprouting-table〔查看路由表信息〕displayiprouting-tableverbose〔查看路由表详细信息〕interfaceethernet0/1descriptionthisisethernet0/1〔描述〕duplexauto，duplexfull，duplexhalf〔以太网口的双工状态，auto：自协商〕speed10，speed100，speedauto〔百兆以太网口的速率〕speed10，speed100，speed1000，speedauto〔千兆以太网口的速率〕undoshutdown以太网口有三种链路类型：Access，Hybrid和Trunk。Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口。Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口。Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间的连接，也可以用于连接用户的计算机。Hybrid端口和Trunk端口的不同之处在于：Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。interfaceethernet0/1portlink-typeaccess〔设置为Access端口〕portlink-typehybrid〔设置为Hybrid端口〕portlink-typetrunk〔设置为Trunk端口〕undoshutdown三种类型的端口可以共存在一台以太网交换机上。但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型的端口。例如，Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。〔缺省情况下，端口为Access端口。〕把当前以太网口参加到指定VLAN：〔Access端口只能参加到1个VLAN中，Hybrid端口和Trunk端口可以参加到多个VLAN中。〕interfaceethernet0/1portaccessvlan2〔把当前Access口参加到指定vlan〕porthybridvlan2{tagged，untagged}〔把当前Hybrid口参加到指定vlan〕porttrunkpermitvlan2〔把当前Trunk口参加到指定vlan〕undoshutdownHybrid口和Trunk口可以参加到多个VLAN中，从而实现本交换机上的VLAN与对端交换机上一样VLAN的互通。Hybrid口还可以设置哪些VLAN的报文打上标签，哪些不打标签。=====〔方法二：vlan2，portethernet0/1ethernet0/2〕设置以太网口缺省VLANID：Access口只属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置。而Hybrid口和Trunk口属于多个VLAN，所以需要设置缺省VLANID。如果设置了端口的缺省VLANID，当端口接收到不带VLANTag的报文后，则将报文转发到属于缺省VLAN的端口；当端口发送带有VLANTag的报文时，如果该报文的VLANID与端口缺省的VLANID一样，则系统将去掉报文的VLANTag，然后再发送该报文。interfaceethernet0/1porthybridpvidvlan2〔设置Hybrid口的缺省VLANID〕porttrunkpvidvlan2〔设置Trunk口的缺省VLANID〕undoshutdown本Hybrid口或本Trunk口的缺省VLANID和相连的对端交换机的Hybrid口或Trunk口的缺省VLANID必须一致，否则报文将不能正确传输。=====默认情况下，Hybrid口和Trunk口的缺省VLAN为VLAN1。端口的VLAN过滤功能：开启端口的VLAN过滤功能后，当该端口收到带有VLANTag的报文时，会判断该VLAN是否可以从该端口通过，不能通过则被过滤掉。而当关闭端口的VLAN过滤功能后，当该端口收到带有VLANTag的报文时，会判断该VLAN是否已经在交换机中创立并包含了端口，如果已经创立并包含端口，则该报文被转发到属于此VLAN的端口。否则，将会被丢弃。interfaceethernet0/1portvlanfilterdisable〔关闭端口VLAN的过滤功能〕undoshutdown〔默认端口VLAN的过滤功能开启。〕以太网端口配置举例：vlan2quitvlan100quitvlan6to50quitinterfaceethernet0/8portlink-typetrunkporttrunkpermitvlan26to50100〔允许vlan2，vlan6-50，vlan100通过〕porttrunkpvidvlan100undoshutdown〔SwitchB上应作相应的配置〕=====使用displayinterface或displayport检查该端口是否为Trunk口或Hybrid口。如果不是，则应先将其配置成Trunk口或Hybrid口——接着再配置缺省VLANID。=====〔方法二：vlan2，portethernet0/1ethernet0/2〕以太网端口会聚配置：端口会聚是将多个端口聚合在一起形成1个会聚组，以实现出/入负荷在各成员端口中的分组，同时也提供了更高的连接可靠性。一台S2000系列以太网交换机只能有1个会聚组，1个会聚组最多可以有4个端口。S2026以太网交换机的两个扩展模块可以会聚成1个会聚组。组内的端口号必须连续。一台S3026交换机只能有1个会聚组，1个会聚组最多可以有4个端口。另外，两个扩展模块可以会聚成1个会聚组。一台S3026E/S3050C-48交换机最多可以有6个会聚组，1个会聚组最多可以有8个端口。另外，两个扩展模块可以会聚成1个会聚组。组内的端口号必须连续。一台S3026FM/S3026FS交换机最多可以有4个会聚组，1个会聚组最多可以有8个端口。端口起始值只能为Ethernet0/1、Ethernet0/9、Ethernet1/5、Gigabitethernet3/1。如果组内的端口跨越了两个槽，则槽号必须连续。一台S3026EFM/S3026EFS交换机最多可以有6个会聚组，1个会聚组最多可以有8个端口。如果组内的端口跨越了两个槽，则槽号必须连续。在一个端口会聚组中，端口号最小的作为主端口，其他的作为成员端口。同一个会聚组中成员端口的链路类型与主端口的链路类型保持一致。如主端口为Trunk口，则成员端口也为Trunk口。[Quidway]link-aggregationethernet0/1toethernet0/3{both，ingress}进展会聚的以太网端口必须同为10M_FULL或100M_FULL或1000M_FULL，否则无法实现会聚。displaylink-aggregationethernet0/1〔显示会聚端口信息，后接master_interface_name〕以太网端口会聚配置举例：SwitchA：link-aggregationethernet0/1toethernet0/3bothdisplaylink-aggregationethernet0/1〔SwitchB上应作相应的配置，会聚才能生效〕VLAN配置：vlan2portethernet0/1ethernet0/2〔为VLAN指定以太网口〕quitvlan3portethernet0/3ethernet0/4〔Trunk口和Hybrid口只能在以太网口视图下的port命令中参加VLAN或从VLAN中删除，而不能通过本命令实现——即interfaceethernet0/2，portlink-typetrunk，porttrunkpermitvlan2〕显示VLAN相关信息：displayvlandisplayvlanvlan-iddisplayvlanallisolate-user-vlan配置：isolate-user-vlan是华为公司系列交换机的一个特性。isolate-user-vlan采用二层VLAN构造，在一台交换机上设置isolate-user-vlan和SecondaryVLAN两类VLAN。一个isolate-user-vlan和多个SecondaryVLAN对应，isolate-user-vlan包含所对应的所有SecondaryVLAN中包含的端口和上行端口，这样对上层交换机来说，只须识别下层交换机中的isolate-user-vlan，而不必关心isolate-user-vlan中包含的SecondaryVLAN，节省了VLAN资源。同时，用户可以采用isolate-user-vlan实现二层报文的隔离，即为每个用户分配一个SecondaryVLAN，每个SecondaryVLAN中只包含该用户连接的端口和上行端口。如果希望实现用户之间二层报文的互通，只要将这些用户连接的端口划入同一个SecondaryVLAN中即可。=====vlan3isolate-user-vlanenable〔设置VLAN类型为isolate-user-vlan〕portethernet0/1〔向isolate-user-vlan中添加端口列表〕=====isolate-user-vlan不能和Trunk端口同时配置，即如果交换机上配置了isolate-user-vlan，就不能配置Trunk口。如果配置了Trunk口，就不能配置isolate-user-vlan。此外，上行口必须添加到了isolate-user-vlan中。=====vlan4〔这样等于创立了SecondaryVLAN〕portethernet0/1〔向SecondaryVLAN中添加端口列表〕isolate-user-vlan典型配置：SwitchB上的VLAN5为isolate-user-vlan，包含上行端口ethernet1/1和两个SecondaryVLAN。配置SwitchB：vlan5isolate-user-vlanenableportethernet1/1quitvlan3portethernet0/1quitvlan2portethernet0/2quitisolate-user-vlan5secondary2to3〔配置isolate-user-vlan和SecondaryVLAN间的映射关系〕配置SwitchC：vlan6isolate-user-vlanenableportethernet1/1vlan3portethernet0/3vlan4portethernet0/4quitisolate-user-vlan6secondary3to4ACL：AccessControlList——访问控制列表ACL配置之——创立时间段：①time-rangetime-namestart-timetoend-timedays-of-the-week②time-rangetime-namestart-timetoend-timedays-of-the-weekfromstart-timestart-data③time-rangetime-namestart-timetoend-timedays-of-the-weekfromstart-timestart-datatoend-timeend-data④time-rangetime-namefromstart-timestart-data⑤time-rangetime-namefromstart-timestart-datatoend-timeend-data〔如果定义ACL时不使用参数time-range，则此访问控制列表激活后将在任何时刻都生效。〕〔在定义ACL的子规则时，用户可以屡次使用rule命令给同一个访问控制列表定义多条规则。〕访问控制列表的数目限制：基于数字标识的根本访问控制列表：2000~2999基于数字标识的高级访问控制列表：3000~3999基于数字标识的二层访问控制列表：4000~4999基于数字标识的用户自定义型访问控制列表：5000~5999一条访问控制列表可以定义的子规则：0~127S3026FM/FS访问控制列表案例之——高级访问控制列表配置：公司企业网通过Switch的百兆端口实现各部门之间的互连。财务部门的工资查询服务器由Ethernet2/1端口接入。〔工资查询服务器IP：〕。配置ACL，在上班时间8:00至18:00，其它部门制止访问工资服务器。=====time-rangehuawei8:00to18:00working-day定义到工资服务器的ACLaclnametraffic-of-payserveradvanced定义其它部门到工资服务器的访问规则。[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestinationtime-rangehuaweiquit〔deny：拒绝，destination：目的地〕激活ACL：packet-filterip-grouptraffic-of-payserverS3026FM/FS访问控制列表案例之——根本访问控制列表配置：在每天8:00~18:00时间段内对源IP为的主机发出报文的过滤。=====time-rangehuawei8:00to18:00daily定义基于名字的根本访问控制列表aclnametraffic-of-hostbasic定义源IP为的访问规则[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-rangehuaweiquit激活ACLpacket-filterip-grouptraffic-of-hostS3026FM/FS访问控制列表案例之——二层访问控制列表配置：实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101、目的MAC为00e0-fc01-0303报文的过滤。=====time-rangehuawei8:00to18:00dailyaclnametraffic-of-linklink定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-0101egress00e0-fc01-0303time-rangehuaweiquitpacket-filterlink-grouptraffic-of-linkS3026E系列和S3050C-48访问控制列表案例之——高级访问控制列表：限制其它部门在上班时间8:00至18:00访问工资服务器，而总裁办公室〔IP地址：〕不受限制，可以随时访问。=====time-rangehuawei8:00to18:00working-dayaclnametraffic-of-payserveradvanced〔advanced：高级的〕定义其它部门到工资服务器的访问规则rule1denyipsourceanydestinationtime-rangehuawei定义总裁办公室到工资服务器的访问规则rule2permitipsourcedestination激活ACLpacket-filterip-grouptraffic-of-payserverS3026E系列和S3050C-48访问控制列表案例之——根本访问控制列表：在每天8:00~18:00时间段内对源IP为的主机发出报文的过滤。=====time-rangehuawei8:00to18:00daily定义基于名字的根本访问控制列表aclnametraffic-of-hostbasic定义源IP为的访问规则[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-rangehuaweiquit激活ACLpacket-filterip-grouptraffic-of-hostS3026E系列和S3050C-48访问控制列表案例之——二层访问控制列表：实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。=====time-rangehuawei8:00to18:00dailyaclnametraffic-of-linklink〔高级访问控制列表：advanced根本访问控制列表：basic二层访问控制列表：link用户自定义：user〕定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-0101egress00e0-fc01-0303time-rangehuaweiquitpacket-filterlink-grouptraffic-of-link〔ingress：入口，egress：出口〕S3026E系列和S3050C-48访问控制列表案例之——用户自定义访问控制列表：每天8:00~18:00时间段内将所有的TCP报文过滤出。=====time-rangehuawei8:00to18:00dailyaclnametraffic-of-tcpuser〔user：用户自定义〕rule1deny06ff35time-rangehuaweipacket-filteruser-grouptraffic-of-tcp===〔ip-group、link-group、user-group〕访问控制列表的显示和调试：displaytime-range[all，name]〔显示时间段状况〕displayaclconfig{all，acl-number，acl-name}〔显示访问控制列表的详细配置信息〕〔S3026〕进入根本访问控制列表：acl{numberacl-number，nameacl-namebasic}[match-order{config，auto}]定义子规则：rulerule-id{permit，deny}[sourcesource-addresswildcard，any][fragment][time-rangename]〔wildcard：即wildcard-mask，通配符掩码——反掩码〕〔S3026FM/FS之——定义根本访问控制列表〕根本访问控制列表只根据三层源IP制定规则，对数据包进展相应的分析处理。进入根本访问控制列表：acl{numberacl-number，nameacl-namebasic}[match-order{config，auto}]定义子规则：rulerule-id{permit，deny}[sourcesource-addresswildcard，any][fragment][time-rangename]=====〔S3026FM/FS之——定义高级访问控制列表〕高级访问控制列表根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则，对数据包进展相应的处理。高级访问控制列表支持对三种报文优先级的分析处理：TOS优先级，IP优先级，和DSCP优先级。但是：对于S3026FM、S3026FS、S3526、S3526FM、S3526FS交换机，在配置高级访问控制列表时有如下限制：①用户在配置IP-any，any-IP，NET-any，any-NET的规则时，不能配置协议类型——即rule命令中protocol参数。〔NET：这里指网段地址。〕如果用户配置了协议类型，交换时机返回配置错误信息。②不支持ToS优先级，DSCP优先级参数。③支持rule命令中的icmp-type参数，但不支持后面的typecode参数。进入访问控制列表：acl{numberacl-number，nameacl-nameadvanced}[match-order{config，auto}]〔acl-number，高级的数字标识取值为3000~3999〕定义子规则：rulerule-id{permit，deny}protocol[sourcesource-addresswildcard，any][destinationdest-addresswildcard，any][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typetypecode][established][[precedenceprecedence，tostos]，dscpdscp][fragment][time-rangename]〔protocol：如ip，telnet等〕〔port1、port2参数指的是各种高层应用使用的TCP或UDP的端口号——如BGP协议使用的TCP端口号为179。〕〔operator：操作者，established：已经建设的，已经制定的〕=====〔S3026FM/FS之——定义二层访问控制列表〕二层访问控制列表根据源MAC地址、源VLANID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则，对数据进展相应的处理。进入访问控制列表：acl{numberacl-number，nameacl-namelink}[match-order{config，auto}]〔acl-number，二层的数字标识取值为4000~4999〕定义子规则：rulerule-id{permit，deny}[ingresssource-vlan-id，ingresssource-mac-address，ingressinterfaceinterface-name，ingressinterfaceinterface-typeinterface-num，ingressany][egressdestination-vlan-id，egressdest-mac-address，egressinterfaceinterface-name，egressinterfaceinterface-typeinterface-num，egressany][time-rangename]=====〔S3026FM/FS之——激活访问控制列表〕packet-filter{ip-groupacl-number，ip-groupacl-name}[rulerule]packet-filter{link-groupacl-number，link-groupacl-name}[rulerule]〔S3026E系列和S3050C-48之——定义根本访问控制列表〕〔S3026E系列和S3050C-48之——定义高级访问控制列表〕根本和高级的命令都和S3026FM/FS的一样。〔S3026E系列和S3050C-48之——定义二层访问控制列表〕进入访问控制列表：acl{numberacl-number，nameacl-namelink}[match-order{config，auto}]〔acl-number，二层的数字标识取值为4000~4999〕定义子规则：rulerule-id{permit，deny}[protocol][cosvlan-pri][ingresssource-vlan-id，ingresssource-mac-addresssource-mac-wildcard，ingressinterfaceinterface-name，ingressinterfaceinterface-typeinterface-num，ingressany][egressdestination-vlan-id，egressdest-mac-addresssource-mac-wildcard，egressinterfaceinterface-name，egressinterfaceinterface-typeinterface-num，egressany][time-rangename]S3026的ACL配置：访问控制列表配置包括：配置时间段定义访问控制列表以上步骤最好依次进展，即先配置时间段，然后定义访问控制列表〔在访问控制列表中可以引用定义好的时间段〕。=====定义根本访问控制列表：aclnumber2000match-orderconfigrule1permitsource20rule2permitsource60quitS3026FM/FS的ACL配置：①配置时间段②定义访问控制列表③激活访问控制列表QoS：QualityofService——服务质量流：traffic——即业务流，指所有通过交换机的报文。===流分类：trafficclassification分类规则：classificationrule===流镜像：即能将指定的数据包复制到监控端口，以进展网络检测和故障排除。===端口镜像：即能将指定端口的数据包复制到监控端口，以进展网络检测和故障排除。S3026的QoS配置：S3026交换机支持简单的QoS。S3026交换机的端口支持两个转发队列，系统根据报文中的802.1Q优先级将报文放入相应的优先级队列：优先级为0~3的报文将被系统发送到低优先级的队列，优先级为4~7的报文将被系统发送到高优先级的队列。interfaceethernet0/1prioritypriority-level〔设置端口的优先级〕缺省情况下，交换机将使用端口优先级代替该端口接收报文本身带有的802.1Q优先级。S3026交换机的端口支持8个优先级——即priority-level的取值范围为0~7。缺省情况下，端口的优先级为0。=====prioritytrust〔设置交换机信任报文的优先级〕=====设置上下优先级队列的报文的轮循处理比值：queue-cyclevalue比方配置queue-cycle100——交换机处理高优先级队列的报文与处理低优先级队列的报文的比值为100:1，即处理了100个高优先级队列的报文之后处理1个低优先级队列的报文。交换机每个端口支持两个优先级队列：高优先级队列和低优先级队列。value取值为0代表低优先级队列的报文将优先被发送。=====QoS的显示和调试：①显示端口的所有信息displayinterfaceinterface_type1displayinterfaceinterface _typeinterface_numdisplayinterfaceinterface_name②显示上下优先级队列的报文的轮循处理的比值displayqueue-cycleQoS配置实例：PC1发送的报文要有较高的优先级，使得报文在传递过程中得到优先处理。interfaceethernet0/24priority7〔设置端口的优先级为7〕quitqueue-cycle100〔配置交换机的报文轮循处理比值为100。〕S3026FM/FS的QoS配置：①包过滤packet-filterip-group{acl-number，acl-name}[rulerule]packet-filterlink-group{acl-number，acl-name}[rulerule]包过滤只支持引用deny操作的访问控制列表。②流镜像mirrored-toip-group{acl-number，acl-name}[rulerule]interface{interface-name，interface-typeinterface-num}mirrored-tolink-group{acl-number，acl-name}[rulerule]interface{interface-name，interface-typeinterface-num}流镜像只支持引用permit操作的访问控制列表。流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口，用于报文的分析和监视。③流量统计traffic-statisticip-group{acl-number，acl-name}[rulerule]traffic-statisticlink-group{acl-number，acl-name}[rulerule]流量统计只支持引用permit操作的访问控制列表。流量统计用于统计指定业务流的数据包，它统计的是交换机转发的数据包中匹配已定义的访问控制列表的数据信息。displayqos-globaltraffic-statistic〔显示流量统计信息〕④优先级标记traffic-priorityip-group{acl-number，acl-name}[rulerule]local-precedencepre-valuetraffic-prioritylink-group{acl-number，acl-name}[rulerule]local-precedencepre-value优先级标记只支持引用permit操作的访问控制列表。优先级标记配置就是为匹配访问控制列表的报文重新标记优先级的策略，所标记的优先级可以填入报文头部反映优先级的域中。=====⑤设置端口的优先级prioritypriority-level默认情况下，交换机将使用端口优先级代替接收到的报文本身带有的802.1q优先级。priority-level的取值为0~7。⑥设置交换机信任报文的优先级prioritytrust配置了之后，交换机将不再使用端口的优先级来替换接收到的报文的802.1q的优先级。S3026E系列和S3050C-48的QoS配置：最好先定义相应的访问控制列表，才进展QoS配置。包过滤配置通过激活相应的访问控制列表就可以实现。①设置端口的优先级prioritypriority-level默认情况下，交换机将使用端口优先级代替接收到的报文本身带有的802.1q优先级。priority-level的取值为0~7。②设置交换机信任报文的优先级prioritytrust配置了之后，交换机将不再使用端口的优先级来替换接收到的报文的802.1q的优先级。③流量监管流量监管是基于流的速率限制，它可以监视某一流量的速率，如果流量超出指定的规格，就采用相应的措施，如丢弃那些超出规格的报文或重新设置它们的优先级。基于流的速率限制配置：traffic-limitinbounduser-group{acl-number，acl-name}[rulerule]target-rate[exceedaction]traffic-limitinboundip-group{acl-number，acl-name}[rulerule]target-rate[exceedaction]traffic-limitinboundlink-group{acl-number，acl-name}[rulerule]target-rate[exceedaction]〔inbound：进入，target-rate：指定速率，exceed：超出〕④端口限速line-ratetarget-rate以太网交换机支持对单个端口的端口限速。⑤优先级标记配置traffic-priorityip-group{acl-number，acl-name}[rulerule]local-precedencepre-valuetraffic-prioritylink-group{acl-number，acl-name}[rulerule]local-precedencepre-value优先级标记只支持引用permit操作的访问控制列表。优先级标记配置就是为匹配访问控制列表的报文重新标记优先级的策略，所标记的优先级可以填入报文头部反映优先级的域中。⑥流镜像mirrored-toip-group{acl-number，acl-name}[rulerule]interface{interface-name，interface-typeinterface-num}mirrored-tolink-group{acl-number，acl-name}[rulerule]interface{interface-name，interface-typeinterface-num}流镜像只支持引用permit操作的访问控制列表。流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口，用于报文的分析和监视。⑦端口镜像配置端口镜像就是将被监控端口上的数据复制到指定的监控端口，对数据进展分析和监视。S3050以太网交换机支持多对一的镜像，即将多个端口的报文复制到一个监控端口上。Ⅰ、配置监控端口：monitor-port{interface_name，interface_typeinterface_num}Ⅱ、配置被监控端口：mirroring-portport-list{inbound，outbound，both}在配置端口镜像时，必须先配置监控端口，再配置被监控端口。在取消端口镜像配置时，必须先取消所有被监控端口的配置，再取消监控端口的配置。⑧流量统计traffic-statisticip-group{acl-number，acl-name}[rulerule]traffic-statisticlink-group{acl-number，acl-name}[rulerule]流量统计只支持引用permit操作的访问控制列表。流量统计用于统计指定业务流的数据包，它统计的是交换机转发的数据包中匹配已定义的访问控制列表的数据信息。displayqos-globaltraffic-statistic〔显示流量统计信息〕S3026FM/FS的QoS配置实例之——流镜像配置：通过一个Server对两台PC之间的每天8:00~18:00之间的通信报文进展监控。假定一台PC的IP地址为，另一台PC的IP地址为，Server接在交换机ethernet0/8口上。=====time-rangehuawei8:00to18:00daily定义两台PC之间通信报文的流规则aclnumber3000〔PC1到PC2的规则〕rule0permitipsourcedestination0time-rangehuawei〔PC2到PC1的规则〕rule1permitipsourcedestination0time-rangehuaweiquit对PC之间的通信报文进展监控，监控端口为ethernet0/8。mirrored-toip-group3000interfaceethernet0/8S3026FM/FS的QoS配置实例之——优先级标记和队列调度配置：假定一台PC的IP地址为，另一台PC的IP地址为，交换机通过GE1/1口上行。要求在每天8:00~18:00时间段内，交换机上行口发生拥塞时，优先转发PC1的报文。time-rangehuawei8:00to18:00dailyaclnumber2000rule0permitipsourcetime-rangehuaweiquit〔将PC1的报文的本地优先级设置为最高〕traffic-priorityip-group2000local-precedence7〔设置交换机采用严格优先级队列调度，使高优先级的报文先转发〕queue-shedulerstrict-priority〔queue：队列，strict：严格的〕S3026FM/FS的QoS配置实例之——流量统计配置：假定一台PC的IP地址为，另一台PC的IP地址为，交换机通过GE1/1口上行。要求在每天8:00~18:00时间段内，交换机对PC1和PC2之间的通信报文进展统计。time-rangehuawei8:00to18:00dailyaclnumber3000rule0permitipsourcedestination0time-rangehuaweirule1permitipsourcedestination0time-rangehuawei〔对PC1和PC2的之间的报文进展统计，通过display命令可以查看统计结果〕traffic-statisticip-group3000displayqos-globaltraffic-statistic〔statistic：统计〕S3026E系列和S3050C-48的QoS配置实例之——流量监管和端口限速配置：财务部门的工资查询服务器由ethernet0/1口接入。工资查询服务器的IP为。要求限制其它部门访问工资服务器的流量为20M，限制工资服务器向外发送流量的平均速率不能超过20M，超出规格的报文将报文优先级设置为4。=====aclnametraffic-of-payserveradvancedrule1permitipsourcedestinationanyquit〔限制工资服务器向外发送报文的平均速率为20M，对超出规格的报文设置优先级为4〕interfaceethernet0/1traffic-limitinboundip-grouptraffic-of-payserver20exceedremark-dscp4quit〔限制端口ethernet0/1发往工资服务器的速率为20M〕line-rate20S3026E系列和S3050C-48的QoS配置实例之——流镜像配置：通过一个Server对两台PC之间的每天8:00~18:00之间的通信报文进展监控。假定一台PC的IP地址为，另一台PC的IP地址为，Server接在交换机ethernet0/8口上。=====time-rangehuawei8:00to18:00daily定义两台PC之间通信报文的流规则aclnumber3000〔PC1到PC2的规则〕rule0permitipsourcedestination0time-rangehuawei〔PC2到PC1的规则〕rule1permitipsourcedestination0time-rangehuaweiquit对PC之间的通信报文进展监控，监控端口为ethernet0/8。mirrored-toip-group3000interfaceethernet0/8S3026E系列和S3050C-48的QoS配置实例之——优先级标记配置：对PC1每天8:00~18:00发出的报文打上ef标记，为上层设备提供优先级依据。=====time-rangehuawei8:00to18:00dailyaclnumber2000rule0permitipsource0time-rangehuaweiquittraffic-priorityip-group2000dscpefS3026E系列和S3050C-48的QoS配置实例之——报文重定向配置：将PC1每天8:00~18:00发出的报文都发往端口GE2/1。time-rangehuawei8:00to18:00dailyaclnumber2000rule0permitipsource0time-rangehuaweiquit〔将PC1发出的报文都发往端口GE2/1〕traffic-redirectip-group2000rule0interfacegigabitethernet2/1〔redirect：重定向，改方向〕S3026E系列和S3050C-48的QoS配置实例之——队列调度配置：修改后的802.1q优先级、本地优先级的映射关系：802.1q优先级本地优先级0716253443526170改变交换机上802.1q优先级和本地优先级的对应关系，从而改变802.1q优先级和队列的映射关系，使得交换机在将报文入队列的时候按照新的映射关系入队列。同时队列调度算法采用WRR调度算法，队列的权重分别为20、20、30、30。Ⅰ、改变交换机上802.1q优先级和本地优先级的对应关系为指定关系qoscos-local-precedence-map7654321Ⅱ、定义交换机采用WRR队列调度算法，端口输出队列的权重分别为20、20、30、30，可以使用display命令查看配置信息。queue-schedulerwrr20203030displayqueue-schedulerS3026E系列和S3050C-48的QoS配置实例之——流量统计配置：=====假定一台PC的IP地址为，另一台PC的IP地址为，交换机通过GE1/1口上行。要求在每天8:00~18:00时间段内，交换机对PC1发出的报文进展统计。time-rangehuawei8:00to18:00dailyaclnumber2000rule0permitipsourcetime-rangehuaweiquittraffic-statisticip-group2000rule0〔通过display命令可以查看统计结果〕displayqos-globaltraffic-statisticARP：ARP映射表既可以动态维护，也可以手工维护。动态ARP映射项的缺省有效时间为20分钟。通常将用户手工配置的IP地址到MAC地址的映射，称之为静态ARP。静态ARP映射项在以太网交换机正常工作时一直有效。arpstaticip-addressmac-address[vlan-id{interface_typeinterface_num，interface_name}]〔手工添加静态ARP映射项〕=====当系统学习到一个动态ARP表项时，它的老化时间点以当前配置的老化时间计算。arptimeragingaging-time〔以分钟为单位指定ARP老化时间〕缺省情况下，动态ARP老化定时器为20分钟。=====displayarpdynamic〔显示动态ARP项〕displayarpstatic〔显示静态ARP项〕displayarptimeraging〔显示ARP老化时间〕DHCP-Snooping：三层以太网交换机可以通过DHCPRelay记录用户获取的IP地址信息。而二层交换机采取监听DHCP播送报文的方法来记录用户获取的IP地址信息。=====在给用户分配IP地址时，DHCP服务器发送DHCPACK报文。用户收到DHCPACK报文后，就可以获取到IP地址。监听DHCPACK报文是获取用户IP地址的一种方法。DHCPEquest报文是用户请求DHCP服务器为其分配地址的播送报文。用户通过DHCPEquest报文申请的IP地址与服务器通过DHCPACK报文分配给用户的IP地址一样。监听DHCPEquest报文是获取用户IP地址的另一种方法。=====开启DHCP-Snooping功能后，交换机就可以从接收到DHCPACK或DHCPEquest报文中提取并记录IP地址和MAC地址信息。=====dhcp-snooping〔开启交换机DHCP-Snooping功能〕displaydhcp-snooping〔显示通过DHCP-Snooping记录的用户IP地址和MAC地址的对应关系〕802.1x：IEEE802.1x标准的主要内容是一种基于端口的网络接入控制协议。使用802.1x的系统为典型的C/S〔Client/Server〕体系构造，包括三个实体：supplicantsystem〔接入系统〕au