華為Quidway S3000系列配置

...wd......wd......wd...QuidwayS3000系列以太網(wǎng)交換機的型號：①S3026交換機②S3026FS交換機、S3026FM交換機③S3026E交換機④S3026EFS交換機、S3026EFM⑤S3050C-48交換機Telnet用戶登錄時，缺省需要進展口令認證。system-viewuser-interfacevty0setauthenticationpasswordsimple6300723改變語言模式：<Quidway>language-modechinese<Quidway>language-modeenglish設置交換機的名稱：sysnamesysname設置系統(tǒng)時鐘：clockdatatime時:分:秒年:月:日displayversion——可以看到VRP版本。displaycurrent-configuration顯示VLAN相關信息：displayvlandisplayvlanvlan-iddisplayvlanallAUX用戶：通過Console口對以太網(wǎng)交換機進展訪問，每臺以太網(wǎng)交換機最多只有一個。VTY用戶：通過Telnet對以太網(wǎng)交換機進展訪問，每臺交換機最多可以有5個。〔在Quidway系列以太網(wǎng)交換機中，AUX口和Console口是同一個口。〕user-interfacevty04protocolinbound{all，ssh，telnet}〔配置用戶界面支持的協(xié)議，只能在vty用戶下進展。缺省情況下，系統(tǒng)只支持telnet協(xié)議。〕=====如果配置用戶界面支持SSH協(xié)議，為確保登錄成功，應該配置相應的認證方式為authentication-modescheme。如果配置認證方式為authentication-modepassword和authentication-modenone，則protocolinboundssh配置結果將失敗。波特率為9600bit/s；數(shù)據(jù)位為8；奇偶校驗為無；停頓位為1；數(shù)據(jù)流控制為無；user-interfaceaux0speed9600〔配置AUX口的傳輸速率，默認為9600bit/s?！砯low-controlnone〔配置AUX口的流控方式，默認為none，即不進展流控。〕paritynone〔配置AUX口的校驗方式，默認為none，即無校驗位?！硈topbits1〔配置AUX口的停頓位，默認為1。〕databits8〔配置AUX口的數(shù)據(jù)位，默認為8位?！硢印㈥P閉終端服務：當關閉某用戶界面的終端服務后，通過該用戶界面將不能登錄以太網(wǎng)交換機。對于在關閉之前已經(jīng)通過該用戶界面登錄的用戶，仍然可以進展操作。但當用戶退出該用戶界面后，將不能再次登錄。只有啟動該用戶界面的終端服務后，才能通過該用戶界面登錄以太網(wǎng)交換機。啟動終端服務：shell關閉終端服務：undoshell超時斷開設置：缺省情況下，啟動了超時斷連功能，時間是10分鐘。user-interfaceaux0或者user-interfacevty0idle-timeout分秒〔idle-timeout0表示關閉超時中斷連接功能。〕end——對應returnexit——對應quit鎖住用戶界面，防止當用戶離開時，其它人對該用戶界面進展操作。<Quidway>lock設置用戶登錄驗證方式：缺省情況下，Console口用戶登錄不需要進展終端驗證；而Telnet用戶登錄需要進展口令驗證。=====不需要驗證user-interfacevty0authentication-modenone=====本地口令驗證user-interfacevty0authentication-modepassword〔需要口令驗證〕setauthenticationpasswordsimple6300723〔明文〕或setauthenticationpasswordcipher6300723〔密文〕=====本地或遠端用戶名和口令驗證例：設置用戶從vty0用戶界面登錄時，需要進展用戶名和口令驗證，且登錄用戶名和口令分別為huawei和6300723。user-interfacevty0authentication-modeschemequitlocal-userhuaweipasswordsimple6300723service-typetelnet=====user-interfacevty0userprivilegelevel3缺省情況下，從AUX用戶界面登錄后可以訪問的命令級別為3級，從VTY用戶界面登錄后可以訪問的命令級別為0級。〔0：參觀級別，1：監(jiān)控級別，2：配置級別，3：管理級別〕Quidway系列二層以太網(wǎng)交換機同時只能有一個VLAN對應的VLAN接口可以配置IP地址——這個VLAN就是管理VLAN。interfacevlan-interface1〔管理VLAN接口〕ipaddressdescriptiontoma5600〔為管理VLAN接口指定描述字符〕undoshutdown配置靜態(tài)路由：iproute-staticip-address{mask，mask-length}iproute-staticdefault-preferencedefault-preference-value〔配置靜態(tài)路由的缺省優(yōu)先級。缺省情況下，default-preference-value的值為60。注意，S3026交換機不支持該配置?！砫isplayipinterfacevlan-interfacevlan-id〔查看管理VLAN接口IP的相關信息〕displayinterfacevlan-interface〔查看管理VLAN接口的相關信息〕displayiprouting-table〔查看路由表信息〕displayiprouting-tableverbose〔查看路由表詳細信息〕interfaceethernet0/1descriptionthisisethernet0/1〔描述〕duplexauto，duplexfull，duplexhalf〔以太網(wǎng)口的雙工狀態(tài)，auto：自協(xié)商〕speed10，speed100，speedauto〔百兆以太網(wǎng)口的速率〕speed10，speed100，speed1000，speedauto〔千兆以太網(wǎng)口的速率〕undoshutdown以太網(wǎng)口有三種鏈路類型：Access，Hybrid和Trunk。Access類型的端口只能屬于1個VLAN，一般用于連接計算機的端口。Trunk類型的端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文，一般用于交換機之間連接的端口。Hybrid類型的端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文，可以用于交換機之間的連接，也可以用于連接用戶的計算機。Hybrid端口和Trunk端口的不同之處在于：Hybrid端口可以允許多個VLAN的報文發(fā)送時不打標簽，而Trunk端口只允許缺省VLAN的報文發(fā)送時不打標簽。interfaceethernet0/1portlink-typeaccess〔設置為Access端口〕portlink-typehybrid〔設置為Hybrid端口〕portlink-typetrunk〔設置為Trunk端口〕undoshutdown三種類型的端口可以共存在一臺以太網(wǎng)交換機上。但Trunk端口和Hybrid端口之間不能直接切換，只能先設為Access端口，再設置為其他類型的端口。例如，Trunk端口不能直接被設置為Hybrid端口，只能先設為Access端口，再設置為Hybrid端口?！踩笔∏闆r下，端口為Access端口?！嘲旬斍耙蕴W(wǎng)口參加到指定VLAN：〔Access端口只能參加到1個VLAN中，Hybrid端口和Trunk端口可以參加到多個VLAN中?！砳nterfaceethernet0/1portaccessvlan2〔把當前Access口參加到指定vlan〕porthybridvlan2{tagged，untagged}〔把當前Hybrid口參加到指定vlan〕porttrunkpermitvlan2〔把當前Trunk口參加到指定vlan〕undoshutdownHybrid口和Trunk口可以參加到多個VLAN中，從而實現(xiàn)本交換機上的VLAN與對端交換機上一樣VLAN的互通。Hybrid口還可以設置哪些VLAN的報文打上標簽，哪些不打標簽。=====〔方法二：vlan2，portethernet0/1ethernet0/2〕設置以太網(wǎng)口缺省VLANID：Access口只屬于1個VLAN，所以它的缺省VLAN就是它所在的VLAN，不用設置。而Hybrid口和Trunk口屬于多個VLAN，所以需要設置缺省VLANID。如果設置了端口的缺省VLANID，當端口接收到不帶VLANTag的報文后，則將報文轉發(fā)到屬于缺省VLAN的端口；當端口發(fā)送帶有VLANTag的報文時，如果該報文的VLANID與端口缺省的VLANID一樣，則系統(tǒng)將去掉報文的VLANTag，然后再發(fā)送該報文。interfaceethernet0/1porthybridpvidvlan2〔設置Hybrid口的缺省VLANID〕porttrunkpvidvlan2〔設置Trunk口的缺省VLANID〕undoshutdown本Hybrid口或本Trunk口的缺省VLANID和相連的對端交換機的Hybrid口或Trunk口的缺省VLANID必須一致，否則報文將不能正確傳輸。=====默認情況下，Hybrid口和Trunk口的缺省VLAN為VLAN1。端口的VLAN過濾功能：開啟端口的VLAN過濾功能后，當該端口收到帶有VLANTag的報文時，會判斷該VLAN是否可以從該端口通過，不能通過則被過濾掉。而當關閉端口的VLAN過濾功能后，當該端口收到帶有VLANTag的報文時，會判斷該VLAN是否已經(jīng)在交換機中創(chuàng)立并包含了端口，如果已經(jīng)創(chuàng)立并包含端口，則該報文被轉發(fā)到屬于此VLAN的端口。否則，將會被丟棄。interfaceethernet0/1portvlanfilterdisable〔關閉端口VLAN的過濾功能〕undoshutdown〔默認端口VLAN的過濾功能開啟?！骋蕴W(wǎng)端口配置舉例：vlan2quitvlan100quitvlan6to50quitinterfaceethernet0/8portlink-typetrunkporttrunkpermitvlan26to50100〔允許vlan2，vlan6-50，vlan100通過〕porttrunkpvidvlan100undoshutdown〔SwitchB上應作相應的配置〕=====使用displayinterface或displayport檢查該端口是否為Trunk口或Hybrid口。如果不是，則應先將其配置成Trunk口或Hybrid口——接著再配置缺省VLANID。=====〔方法二：vlan2，portethernet0/1ethernet0/2〕以太網(wǎng)端口會聚配置：端口會聚是將多個端口聚合在一起形成1個會聚組，以實現(xiàn)出/入負荷在各成員端口中的分組，同時也提供了更高的連接可靠性。一臺S2000系列以太網(wǎng)交換機只能有1個會聚組，1個會聚組最多可以有4個端口。S2026以太網(wǎng)交換機的兩個擴展模塊可以會聚成1個會聚組。組內的端口號必須連續(xù)。一臺S3026交換機只能有1個會聚組，1個會聚組最多可以有4個端口。另外，兩個擴展模塊可以會聚成1個會聚組。一臺S3026E/S3050C-48交換機最多可以有6個會聚組，1個會聚組最多可以有8個端口。另外，兩個擴展模塊可以會聚成1個會聚組。組內的端口號必須連續(xù)。一臺S3026FM/S3026FS交換機最多可以有4個會聚組，1個會聚組最多可以有8個端口。端口起始值只能為Ethernet0/1、Ethernet0/9、Ethernet1/5、Gigabitethernet3/1。如果組內的端口跨越了兩個槽，則槽號必須連續(xù)。一臺S3026EFM/S3026EFS交換機最多可以有6個會聚組，1個會聚組最多可以有8個端口。如果組內的端口跨越了兩個槽，則槽號必須連續(xù)。在一個端口會聚組中，端口號最小的作為主端口，其他的作為成員端口。同一個會聚組中成員端口的鏈路類型與主端口的鏈路類型保持一致。如主端口為Trunk口，則成員端口也為Trunk口。[Quidway]link-aggregationethernet0/1toethernet0/3{both，ingress}進展會聚的以太網(wǎng)端口必須同為10M_FULL或100M_FULL或1000M_FULL，否則無法實現(xiàn)會聚。displaylink-aggregationethernet0/1〔顯示會聚端口信息，后接master_interface_name〕以太網(wǎng)端口會聚配置舉例：SwitchA：link-aggregationethernet0/1toethernet0/3bothdisplaylink-aggregationethernet0/1〔SwitchB上應作相應的配置，會聚才能生效〕VLAN配置：vlan2portethernet0/1ethernet0/2〔為VLAN指定以太網(wǎng)口〕quitvlan3portethernet0/3ethernet0/4〔Trunk口和Hybrid口只能在以太網(wǎng)口視圖下的port命令中參加VLAN或從VLAN中刪除，而不能通過本命令實現(xiàn)——即interfaceethernet0/2，portlink-typetrunk，porttrunkpermitvlan2〕顯示VLAN相關信息：displayvlandisplayvlanvlan-iddisplayvlanallisolate-user-vlan配置：isolate-user-vlan是華為公司系列交換機的一個特性。isolate-user-vlan采用二層VLAN構造，在一臺交換機上設置isolate-user-vlan和SecondaryVLAN兩類VLAN。一個isolate-user-vlan和多個SecondaryVLAN對應，isolate-user-vlan包含所對應的所有SecondaryVLAN中包含的端口和上行端口，這樣對上層交換機來說，只須識別下層交換機中的isolate-user-vlan，而不必關心isolate-user-vlan中包含的SecondaryVLAN，節(jié)省了VLAN資源。同時，用戶可以采用isolate-user-vlan實現(xiàn)二層報文的隔離，即為每個用戶分配一個SecondaryVLAN，每個SecondaryVLAN中只包含該用戶連接的端口和上行端口。如果希望實現(xiàn)用戶之間二層報文的互通，只要將這些用戶連接的端口劃入同一個SecondaryVLAN中即可。=====vlan3isolate-user-vlanenable〔設置VLAN類型為isolate-user-vlan〕portethernet0/1〔向isolate-user-vlan中添加端口列表〕=====isolate-user-vlan不能和Trunk端口同時配置，即如果交換機上配置了isolate-user-vlan，就不能配置Trunk口。如果配置了Trunk口，就不能配置isolate-user-vlan。此外，上行口必須添加到了isolate-user-vlan中。=====vlan4〔這樣等于創(chuàng)立了SecondaryVLAN〕portethernet0/1〔向SecondaryVLAN中添加端口列表〕isolate-user-vlan典型配置：SwitchB上的VLAN5為isolate-user-vlan，包含上行端口ethernet1/1和兩個SecondaryVLAN。配置SwitchB：vlan5isolate-user-vlanenableportethernet1/1quitvlan3portethernet0/1quitvlan2portethernet0/2quitisolate-user-vlan5secondary2to3〔配置isolate-user-vlan和SecondaryVLAN間的映射關系〕配置SwitchC：vlan6isolate-user-vlanenableportethernet1/1vlan3portethernet0/3vlan4portethernet0/4quitisolate-user-vlan6secondary3to4ACL：AccessControlList——訪問控制列表ACL配置之——創(chuàng)立時間段：①time-rangetime-namestart-timetoend-timedays-of-the-week②time-rangetime-namestart-timetoend-timedays-of-the-weekfromstart-timestart-data③time-rangetime-namestart-timetoend-timedays-of-the-weekfromstart-timestart-datatoend-timeend-data④time-rangetime-namefromstart-timestart-data⑤time-rangetime-namefromstart-timestart-datatoend-timeend-data〔如果定義ACL時不使用參數(shù)time-range，則此訪問控制列表激活后將在任何時刻都生效?！场苍诙xACL的子規(guī)則時，用戶可以屢次使用rule命令給同一個訪問控制列表定義多條規(guī)則?！吃L問控制列表的數(shù)目限制：基于數(shù)字標識的根本訪問控制列表：2000~2999基于數(shù)字標識的高級訪問控制列表：3000~3999基于數(shù)字標識的二層訪問控制列表：4000~4999基于數(shù)字標識的用戶自定義型訪問控制列表：5000~5999一條訪問控制列表可以定義的子規(guī)則：0~127S3026FM/FS訪問控制列表案例之——高級訪問控制列表配置：公司企業(yè)網(wǎng)通過Switch的百兆端口實現(xiàn)各部門之間的互連。財務部門的工資查詢服務器由Ethernet2/1端口接入?！补べY查詢服務器IP：〕。配置ACL，在上班時間8:00至18:00，其它部門制止訪問工資服務器。=====time-rangehuawei8:00to18:00working-day定義到工資服務器的ACLaclnametraffic-of-payserveradvanced定義其它部門到工資服務器的訪問規(guī)則。[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestinationtime-rangehuaweiquit〔deny：拒絕，destination：目的地〕激活ACL：packet-filterip-grouptraffic-of-payserverS3026FM/FS訪問控制列表案例之——根本訪問控制列表配置：在每天8:00~18:00時間段內對源IP為的主機發(fā)出報文的過濾。=====time-rangehuawei8:00to18:00daily定義基于名字的根本訪問控制列表aclnametraffic-of-hostbasic定義源IP為的訪問規(guī)則[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-rangehuaweiquit激活ACLpacket-filterip-grouptraffic-of-hostS3026FM/FS訪問控制列表案例之——二層訪問控制列表配置：實現(xiàn)在每天8:00~18:00時間段內對源MAC為00e0-fc01-0101、目的MAC為00e0-fc01-0303報文的過濾。=====time-rangehuawei8:00to18:00dailyaclnametraffic-of-linklink定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的流分類規(guī)則[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-0101egress00e0-fc01-0303time-rangehuaweiquitpacket-filterlink-grouptraffic-of-linkS3026E系列和S3050C-48訪問控制列表案例之——高級訪問控制列表：限制其它部門在上班時間8:00至18:00訪問工資服務器，而總裁辦公室〔IP地址：〕不受限制，可以隨時訪問。=====time-rangehuawei8:00to18:00working-dayaclnametraffic-of-payserveradvanced〔advanced：高級的〕定義其它部門到工資服務器的訪問規(guī)則rule1denyipsourceanydestinationtime-rangehuawei定義總裁辦公室到工資服務器的訪問規(guī)則rule2permitipsourcedestination激活ACLpacket-filterip-grouptraffic-of-payserverS3026E系列和S3050C-48訪問控制列表案例之——根本訪問控制列表：在每天8:00~18:00時間段內對源IP為的主機發(fā)出報文的過濾。=====time-rangehuawei8:00to18:00daily定義基于名字的根本訪問控制列表aclnametraffic-of-hostbasic定義源IP為的訪問規(guī)則[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-rangehuaweiquit激活ACLpacket-filterip-grouptraffic-of-hostS3026E系列和S3050C-48訪問控制列表案例之——二層訪問控制列表：實現(xiàn)在每天8:00~18:00時間段內對源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303報文的過濾。=====time-rangehuawei8:00to18:00dailyaclnametraffic-of-linklink〔高級訪問控制列表：advanced根本訪問控制列表：basic二層訪問控制列表：link用戶自定義：user〕定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的流分類規(guī)則[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-0101egress00e0-fc01-0303time-rangehuaweiquitpacket-filterlink-grouptraffic-of-link〔ingress：入口，egress：出口〕S3026E系列和S3050C-48訪問控制列表案例之——用戶自定義訪問控制列表：每天8:00~18:00時間段內將所有的TCP報文過濾出。=====time-rangehuawei8:00to18:00dailyaclnametraffic-of-tcpuser〔user：用戶自定義〕rule1deny06ff35time-rangehuaweipacket-filteruser-grouptraffic-of-tcp===〔ip-group、link-group、user-group〕訪問控制列表的顯示和調試：displaytime-range[all，name]〔顯示時間段狀況〕displayaclconfig{all，acl-number，acl-name}〔顯示訪問控制列表的詳細配置信息〕〔S3026〕進入根本訪問控制列表：acl{numberacl-number，nameacl-namebasic}[match-order{config，auto}]定義子規(guī)則：rulerule-id{permit，deny}[sourcesource-addresswildcard，any][fragment][time-rangename]〔wildcard：即wildcard-mask，通配符掩碼——反掩碼〕〔S3026FM/FS之——定義根本訪問控制列表〕根本訪問控制列表只根據(jù)三層源IP制定規(guī)則，對數(shù)據(jù)包進展相應的分析處理。進入根本訪問控制列表：acl{numberacl-number，nameacl-namebasic}[match-order{config，auto}]定義子規(guī)則：rulerule-id{permit，deny}[sourcesource-addresswildcard，any][fragment][time-rangename]=====〔S3026FM/FS之——定義高級訪問控制列表〕高級訪問控制列表根據(jù)源IP、目的IP、使用的TCP或UDP端口號、報文優(yōu)先級等數(shù)據(jù)包的屬性信息制定分類規(guī)則，對數(shù)據(jù)包進展相應的處理。高級訪問控制列表支持對三種報文優(yōu)先級的分析處理：TOS優(yōu)先級，IP優(yōu)先級，和DSCP優(yōu)先級。但是：對于S3026FM、S3026FS、S3526、S3526FM、S3526FS交換機，在配置高級訪問控制列表時有如下限制：①用戶在配置IP-any，any-IP，NET-any，any-NET的規(guī)則時，不能配置協(xié)議類型——即rule命令中protocol參數(shù)?！睳ET：這里指網(wǎng)段地址。〕如果用戶配置了協(xié)議類型，交換時機返回配置錯誤信息。②不支持ToS優(yōu)先級，DSCP優(yōu)先級參數(shù)。③支持rule命令中的icmp-type參數(shù)，但不支持后面的typecode參數(shù)。進入訪問控制列表：acl{numberacl-number，nameacl-nameadvanced}[match-order{config，auto}]〔acl-number，高級的數(shù)字標識取值為3000~3999〕定義子規(guī)則：rulerule-id{permit，deny}protocol[sourcesource-addresswildcard，any][destinationdest-addresswildcard，any][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typetypecode][established][[precedenceprecedence，tostos]，dscpdscp][fragment][time-rangename]〔protocol：如ip，telnet等〕〔port1、port2參數(shù)指的是各種高層應用使用的TCP或UDP的端口號——如BGP協(xié)議使用的TCP端口號為179?！场瞣perator：操作者，established：已經(jīng)建設的，已經(jīng)制定的〕=====〔S3026FM/FS之——定義二層訪問控制列表〕二層訪問控制列表根據(jù)源MAC地址、源VLANID、二層協(xié)議類型、報文二層接收端口、報文二層轉發(fā)端口、目的MAC地址等二層信息制定規(guī)則，對數(shù)據(jù)進展相應的處理。進入訪問控制列表：acl{numberacl-number，nameacl-namelink}[match-order{config，auto}]〔acl-number，二層的數(shù)字標識取值為4000~4999〕定義子規(guī)則：rulerule-id{permit，deny}[ingresssource-vlan-id，ingresssource-mac-address，ingressinterfaceinterface-name，ingressinterfaceinterface-typeinterface-num，ingressany][egressdestination-vlan-id，egressdest-mac-address，egressinterfaceinterface-name，egressinterfaceinterface-typeinterface-num，egressany][time-rangename]=====〔S3026FM/FS之——激活訪問控制列表〕packet-filter{ip-groupacl-number，ip-groupacl-name}[rulerule]packet-filter{link-groupacl-number，link-groupacl-name}[rulerule]〔S3026E系列和S3050C-48之——定義根本訪問控制列表〕〔S3026E系列和S3050C-48之——定義高級訪問控制列表〕根本和高級的命令都和S3026FM/FS的一樣?！睸3026E系列和S3050C-48之——定義二層訪問控制列表〕進入訪問控制列表：acl{numberacl-number，nameacl-namelink}[match-order{config，auto}]〔acl-number，二層的數(shù)字標識取值為4000~4999〕定義子規(guī)則：rulerule-id{permit，deny}[protocol][cosvlan-pri][ingresssource-vlan-id，ingresssource-mac-addresssource-mac-wildcard，ingressinterfaceinterface-name，ingressinterfaceinterface-typeinterface-num，ingressany][egressdestination-vlan-id，egressdest-mac-addresssource-mac-wildcard，egressinterfaceinterface-name，egressinterfaceinterface-typeinterface-num，egressany][time-rangename]S3026的ACL配置：訪問控制列表配置包括：配置時間段定義訪問控制列表以上步驟最好依次進展，即先配置時間段，然后定義訪問控制列表〔在訪問控制列表中可以引用定義好的時間段〕。=====定義根本訪問控制列表：aclnumber2000match-orderconfigrule1permitsource20rule2permitsource60quitS3026FM/FS的ACL配置：①配置時間段②定義訪問控制列表③激活訪問控制列表QoS：QualityofService——服務質量流：traffic——即業(yè)務流，指所有通過交換機的報文。===流分類：trafficclassification分類規(guī)則：classificationrule===流鏡像：即能將指定的數(shù)據(jù)包復制到監(jiān)控端口，以進展網(wǎng)絡檢測和故障排除。===端口鏡像：即能將指定端口的數(shù)據(jù)包復制到監(jiān)控端口，以進展網(wǎng)絡檢測和故障排除。S3026的QoS配置：S3026交換機支持簡單的QoS。S3026交換機的端口支持兩個轉發(fā)隊列，系統(tǒng)根據(jù)報文中的802.1Q優(yōu)先級將報文放入相應的優(yōu)先級隊列：優(yōu)先級為0~3的報文將被系統(tǒng)發(fā)送到低優(yōu)先級的隊列，優(yōu)先級為4~7的報文將被系統(tǒng)發(fā)送到高優(yōu)先級的隊列。interfaceethernet0/1prioritypriority-level〔設置端口的優(yōu)先級〕缺省情況下，交換機將使用端口優(yōu)先級代替該端口接收報文本身帶有的802.1Q優(yōu)先級。S3026交換機的端口支持8個優(yōu)先級——即priority-level的取值范圍為0~7。缺省情況下，端口的優(yōu)先級為0。=====prioritytrust〔設置交換機信任報文的優(yōu)先級〕=====設置上下優(yōu)先級隊列的報文的輪循處理比值：queue-cyclevalue比方配置queue-cycle100——交換機處理高優(yōu)先級隊列的報文與處理低優(yōu)先級隊列的報文的比值為100:1，即處理了100個高優(yōu)先級隊列的報文之后處理1個低優(yōu)先級隊列的報文。交換機每個端口支持兩個優(yōu)先級隊列：高優(yōu)先級隊列和低優(yōu)先級隊列。value取值為0代表低優(yōu)先級隊列的報文將優(yōu)先被發(fā)送。=====QoS的顯示和調試：①顯示端口的所有信息displayinterfaceinterface_type1displayinterfaceinterface _typeinterface_numdisplayinterfaceinterface_name②顯示上下優(yōu)先級隊列的報文的輪循處理的比值displayqueue-cycleQoS配置實例：PC1發(fā)送的報文要有較高的優(yōu)先級，使得報文在傳遞過程中得到優(yōu)先處理。interfaceethernet0/24priority7〔設置端口的優(yōu)先級為7〕quitqueue-cycle100〔配置交換機的報文輪循處理比值為100?！砈3026FM/FS的QoS配置：①包過濾packet-filterip-group{acl-number，acl-name}[rulerule]packet-filterlink-group{acl-number，acl-name}[rulerule]包過濾只支持引用deny操作的訪問控制列表。②流鏡像mirrored-toip-group{acl-number，acl-name}[rulerule]interface{interface-name，interface-typeinterface-num}mirrored-tolink-group{acl-number，acl-name}[rulerule]interface{interface-name，interface-typeinterface-num}流鏡像只支持引用permit操作的訪問控制列表。流鏡像就是將匹配訪問控制列表規(guī)則的業(yè)務流復制到指定的監(jiān)控端口，用于報文的分析和監(jiān)視。③流量統(tǒng)計traffic-statisticip-group{acl-number，acl-name}[rulerule]traffic-statisticlink-group{acl-number，acl-name}[rulerule]流量統(tǒng)計只支持引用permit操作的訪問控制列表。流量統(tǒng)計用于統(tǒng)計指定業(yè)務流的數(shù)據(jù)包，它統(tǒng)計的是交換機轉發(fā)的數(shù)據(jù)包中匹配已定義的訪問控制列表的數(shù)據(jù)信息。displayqos-globaltraffic-statistic〔顯示流量統(tǒng)計信息〕④優(yōu)先級標記traffic-priorityip-group{acl-number，acl-name}[rulerule]local-precedencepre-valuetraffic-prioritylink-group{acl-number，acl-name}[rulerule]local-precedencepre-value優(yōu)先級標記只支持引用permit操作的訪問控制列表。優(yōu)先級標記配置就是為匹配訪問控制列表的報文重新標記優(yōu)先級的策略，所標記的優(yōu)先級可以填入報文頭部反映優(yōu)先級的域中。=====⑤設置端口的優(yōu)先級prioritypriority-level默認情況下，交換機將使用端口優(yōu)先級代替接收到的報文本身帶有的802.1q優(yōu)先級。priority-level的取值為0~7。⑥設置交換機信任報文的優(yōu)先級prioritytrust配置了之后，交換機將不再使用端口的優(yōu)先級來替換接收到的報文的802.1q的優(yōu)先級。S3026E系列和S3050C-48的QoS配置：最好先定義相應的訪問控制列表，才進展QoS配置。包過濾配置通過激活相應的訪問控制列表就可以實現(xiàn)。①設置端口的優(yōu)先級prioritypriority-level默認情況下，交換機將使用端口優(yōu)先級代替接收到的報文本身帶有的802.1q優(yōu)先級。priority-level的取值為0~7。②設置交換機信任報文的優(yōu)先級prioritytrust配置了之后，交換機將不再使用端口的優(yōu)先級來替換接收到的報文的802.1q的優(yōu)先級。③流量監(jiān)管流量監(jiān)管是基于流的速率限制，它可以監(jiān)視某一流量的速率，如果流量超出指定的規(guī)格，就采用相應的措施，如丟棄那些超出規(guī)格的報文或重新設置它們的優(yōu)先級?；诹鞯乃俾氏拗婆渲茫簍raffic-limitinbounduser-group{acl-number，acl-name}[rulerule]target-rate[exceedaction]traffic-limitinboundip-group{acl-number，acl-name}[rulerule]target-rate[exceedaction]traffic-limitinboundlink-group{acl-number，acl-name}[rulerule]target-rate[exceedaction]〔inbound：進入，target-rate：指定速率，exceed：超出〕④端口限速line-ratetarget-rate以太網(wǎng)交換機支持對單個端口的端口限速。⑤優(yōu)先級標記配置traffic-priorityip-group{acl-number，acl-name}[rulerule]local-precedencepre-valuetraffic-prioritylink-group{acl-number，acl-name}[rulerule]local-precedencepre-value優(yōu)先級標記只支持引用permit操作的訪問控制列表。優(yōu)先級標記配置就是為匹配訪問控制列表的報文重新標記優(yōu)先級的策略，所標記的優(yōu)先級可以填入報文頭部反映優(yōu)先級的域中。⑥流鏡像mirrored-toip-group{acl-number，acl-name}[rulerule]interface{interface-name，interface-typeinterface-num}mirrored-tolink-group{acl-number，acl-name}[rulerule]interface{interface-name，interface-typeinterface-num}流鏡像只支持引用permit操作的訪問控制列表。流鏡像就是將匹配訪問控制列表規(guī)則的業(yè)務流復制到指定的監(jiān)控端口，用于報文的分析和監(jiān)視。⑦端口鏡像配置端口鏡像就是將被監(jiān)控端口上的數(shù)據(jù)復制到指定的監(jiān)控端口，對數(shù)據(jù)進展分析和監(jiān)視。S3050以太網(wǎng)交換機支持多對一的鏡像，即將多個端口的報文復制到一個監(jiān)控端口上。Ⅰ、配置監(jiān)控端口：monitor-port{interface_name，interface_typeinterface_num}Ⅱ、配置被監(jiān)控端口：mirroring-portport-list{inbound，outbound，both}在配置端口鏡像時，必須先配置監(jiān)控端口，再配置被監(jiān)控端口。在取消端口鏡像配置時，必須先取消所有被監(jiān)控端口的配置，再取消監(jiān)控端口的配置。⑧流量統(tǒng)計traffic-statisticip-group{acl-number，acl-name}[rulerule]traffic-statisticlink-group{acl-number，acl-name}[rulerule]流量統(tǒng)計只支持引用permit操作的訪問控制列表。流量統(tǒng)計用于統(tǒng)計指定業(yè)務流的數(shù)據(jù)包，它統(tǒng)計的是交換機轉發(fā)的數(shù)據(jù)包中匹配已定義的訪問控制列表的數(shù)據(jù)信息。displayqos-globaltraffic-statistic〔顯示流量統(tǒng)計信息〕S3026FM/FS的QoS配置實例之——流鏡像配置：通過一個Server對兩臺PC之間的每天8:00~18:00之間的通信報文進展監(jiān)控。假定一臺PC的IP地址為，另一臺PC的IP地址為，Server接在交換機ethernet0/8口上。=====time-rangehuawei8:00to18:00daily定義兩臺PC之間通信報文的流規(guī)則aclnumber3000〔PC1到PC2的規(guī)則〕rule0permitipsourcedestination0time-rangehuawei〔PC2到PC1的規(guī)則〕rule1permitipsourcedestination0time-rangehuaweiquit對PC之間的通信報文進展監(jiān)控，監(jiān)控端口為ethernet0/8。mirrored-toip-group3000interfaceethernet0/8S3026FM/FS的QoS配置實例之——優(yōu)先級標記和隊列調度配置：假定一臺PC的IP地址為，另一臺PC的IP地址為，交換機通過GE1/1口上行。要求在每天8:00~18:00時間段內，交換機上行口發(fā)生擁塞時，優(yōu)先轉發(fā)PC1的報文。time-rangehuawei8:00to18:00dailyaclnumber2000rule0permitipsourcetime-rangehuaweiquit〔將PC1的報文的本地優(yōu)先級設置為最高〕traffic-priorityip-group2000local-precedence7〔設置交換機采用嚴格優(yōu)先級隊列調度，使高優(yōu)先級的報文先轉發(fā)〕queue-shedulerstrict-priority〔queue：隊列，strict：嚴格的〕S3026FM/FS的QoS配置實例之——流量統(tǒng)計配置：假定一臺PC的IP地址為，另一臺PC的IP地址為，交換機通過GE1/1口上行。要求在每天8:00~18:00時間段內，交換機對PC1和PC2之間的通信報文進展統(tǒng)計。time-rangehuawei8:00to18:00dailyaclnumber3000rule0permitipsourcedestination0time-rangehuaweirule1permitipsourcedestination0time-rangehuawei〔對PC1和PC2的之間的報文進展統(tǒng)計，通過display命令可以查看統(tǒng)計結果〕traffic-statisticip-group3000displayqos-globaltraffic-statistic〔statistic：統(tǒng)計〕S3026E系列和S3050C-48的QoS配置實例之——流量監(jiān)管和端口限速配置：財務部門的工資查詢服務器由ethernet0/1口接入。工資查詢服務器的IP為。要求限制其它部門訪問工資服務器的流量為20M，限制工資服務器向外發(fā)送流量的平均速率不能超過20M，超出規(guī)格的報文將報文優(yōu)先級設置為4。=====aclnametraffic-of-payserveradvancedrule1permitipsourcedestinationanyquit〔限制工資服務器向外發(fā)送報文的平均速率為20M，對超出規(guī)格的報文設置優(yōu)先級為4〕interfaceethernet0/1traffic-limitinboundip-grouptraffic-of-payserver20exceedremark-dscp4quit〔限制端口ethernet0/1發(fā)往工資服務器的速率為20M〕line-rate20S3026E系列和S3050C-48的QoS配置實例之——流鏡像配置：通過一個Server對兩臺PC之間的每天8:00~18:00之間的通信報文進展監(jiān)控。假定一臺PC的IP地址為，另一臺PC的IP地址為，Server接在交換機ethernet0/8口上。=====time-rangehuawei8:00to18:00daily定義兩臺PC之間通信報文的流規(guī)則aclnumber3000〔PC1到PC2的規(guī)則〕rule0permitipsourcedestination0time-rangehuawei〔PC2到PC1的規(guī)則〕rule1permitipsourcedestination0time-rangehuaweiquit對PC之間的通信報文進展監(jiān)控，監(jiān)控端口為ethernet0/8。mirrored-toip-group3000interfaceethernet0/8S3026E系列和S3050C-48的QoS配置實例之——優(yōu)先級標記配置：對PC1每天8:00~18:00發(fā)出的報文打上ef標記，為上層設備提供優(yōu)先級依據(jù)。=====time-rangehuawei8:00to18:00dailyaclnumber2000rule0permitipsource0time-rangehuaweiquittraffic-priorityip-group2000dscpefS3026E系列和S3050C-48的QoS配置實例之——報文重定向配置：將PC1每天8:00~18:00發(fā)出的報文都發(fā)往端口GE2/1。time-rangehuawei8:00to18:00dailyaclnumber2000rule0permitipsource0time-rangehuaweiquit〔將PC1發(fā)出的報文都發(fā)往端口GE2/1〕traffic-redirectip-group2000rule0interfacegigabitethernet2/1〔redirect：重定向，改方向〕S3026E系列和S3050C-48的QoS配置實例之——隊列調度配置：修改后的802.1q優(yōu)先級、本地優(yōu)先級的映射關系：802.1q優(yōu)先級本地優(yōu)先級0716253443526170改變交換機上802.1q優(yōu)先級和本地優(yōu)先級的對應關系，從而改變802.1q優(yōu)先級和隊列的映射關系，使得交換機在將報文入隊列的時候按照新的映射關系入隊列。同時隊列調度算法采用WRR調度算法，隊列的權重分別為20、20、30、30。Ⅰ、改變交換機上802.1q優(yōu)先級和本地優(yōu)先級的對應關系為指定關系qoscos-local-precedence-map7654321Ⅱ、定義交換機采用WRR隊列調度算法，端口輸出隊列的權重分別為20、20、30、30，可以使用display命令查看配置信息。queue-schedulerwrr20203030displayqueue-schedulerS3026E系列和S3050C-48的QoS配置實例之——流量統(tǒng)計配置：=====假定一臺PC的IP地址為，另一臺PC的IP地址為，交換機通過GE1/1口上行。要求在每天8:00~18:00時間段內，交換機對PC1發(fā)出的報文進展統(tǒng)計。time-rangehuawei8:00to18:00dailyaclnumber2000rule0permitipsourcetime-rangehuaweiquittraffic-statisticip-group2000rule0〔通過display命令可以查看統(tǒng)計結果〕displayqos-globaltraffic-statisticARP：ARP映射表既可以動態(tài)維護，也可以手工維護。動態(tài)ARP映射項的缺省有效時間為20分鐘。通常將用戶手工配置的IP地址到MAC地址的映射，稱之為靜態(tài)ARP。靜態(tài)ARP映射項在以太網(wǎng)交換機正常工作時一直有效。arpstaticip-addressmac-address[vlan-id{interface_typeinterface_num，interface_name}]〔手工添加靜態(tài)ARP映射項〕=====當系統(tǒng)學習到一個動態(tài)ARP表項時，它的老化時間點以當前配置的老化時間計算。arptimeragingaging-time〔以分鐘為單位指定ARP老化時間〕缺省情況下，動態(tài)ARP老化定時器為20分鐘。=====displayarpdynamic〔顯示動態(tài)ARP項〕displayarpstatic〔顯示靜態(tài)ARP項〕displayarptimeraging〔顯示ARP老化時間〕DHCP-Snooping：三層以太網(wǎng)交換機可以通過DHCPRelay記錄用戶獲取的IP地址信息。而二層交換機采取監(jiān)聽DHCP播送報文的方法來記錄用戶獲取的IP地址信息。=====在給用戶分配IP地址時，DHCP服務器發(fā)送DHCPACK報文。用戶收到DHCPACK報文后，就可以獲取到IP地址。監(jiān)聽DHCPACK報文是獲取用戶IP地址的一種方法。DHCPEquest報文是用戶請求DHCP服務器為其分配地址的播送報文。用戶通過DHCPEquest報文申請的IP地址與服務器通過DHCPACK報文分配給用戶的IP地址一樣。監(jiān)聽DHCPEquest報文是獲取用戶IP地址的另一種方法。=====開啟DHCP-Snooping功能后，交換機就可以從接收到DHCPACK或DHCPEquest報文中提取并記錄IP地址和MAC地址信息。=====dhcp-snooping〔開啟交換機DHCP-Snooping功能〕displaydhcp-snooping〔顯示通過DHCP-Snooping記錄的用戶IP地址和MAC地址的對應關系〕802.1x：IEEE802.1x標準的主要內容是一種基于端口的網(wǎng)絡接入控制協(xié)議。使用802.1x的系統(tǒng)為典型的C/S〔Client/Server〕體系構造，包括三個實體：supplicantsystem〔接入系統(tǒng)〕au