交換機(jī)配置整理

交換機(jī)配置整理2014年12月25日更新TOC\o"1-5"\h\z\o"CurrentDocument"一、 華為路由器配置整理 3\o"CurrentDocument"1、華為SRG2200路由器配置整理 3\o"CurrentDocument"華為SRG2200初始用戶名和密碼 4\o"CurrentDocument"華為SRG2200路由器配置整理 4\o"CurrentDocument"SRG2200路由器nat地址轉(zhuǎn)換配置說明 8\o"CurrentDocument"loopback和Null0 8\o"CurrentDocument"2、 華為NE40E路由器配置整理 9\o"CurrentDocument"NE40E常用指令匯總 9\o"CurrentDocument"配置端口IP地址 10\o"CurrentDocument"查看路由表 12\o"CurrentDocument"配置LAN口的telnet訪問 12\o"CurrentDocument"配置基于接口地址池的DHCP服務(wù)器 13\o"CurrentDocument"dns服務(wù) 13nat網(wǎng)絡(luò)地址轉(zhuǎn)換功能 14\o"CurrentDocument"華為防火墻域之間inbound和outbound之間的區(qū)別 15\o"CurrentDocument"3、 華為路由器ACL帶寬控制(未實踐) 17創(chuàng)建一個訪問控制列表 17在ACL視圖下，增加一個規(guī)則 17定義一個流分類 19進(jìn)行流分類的匹配規(guī)則 19定義一個流行為并進(jìn)入流行為 20為流行為配置和修改使用的流量監(jiān)管 20#定義流行為，接入速率為10Mbit/s，承諾突發(fā)流量尺寸為150000字節(jié)。.......21自己整理的樣例 23\o"CurrentDocument"二、 華為交換機(jī)配置整理 24\o"CurrentDocument"1、配置telnet訪問 24\o"CurrentDocument"2、 顯示端口狀態(tài)和流量 25\o"CurrentDocument"3、 華為端口限速（網(wǎng)絡(luò)上整理未實踐） 25\o"CurrentDocument"華為S2300交換機(jī)如何配置端口限速 25\o"CurrentDocument"華為S5000交換機(jī)如何配置端口限速 26\o"CurrentDocument"華為S3900交換機(jī)如何配置端口限速 27\o"CurrentDocument"華為S5120交換機(jī)如何配置端口限速 28\o"CurrentDocument"華為S5700交換機(jī)如何配置端口限速 28\o"CurrentDocument"三、H3C交換機(jī)配置整理 291、 配置telnet訪問 292、 端口批量配置做隔離 30\o"CurrentDocument"3、 配置基于端口的VLAN 30\o"CurrentDocument"4、 顯示端口命令 31\o"CurrentDocument"5、 鏈路聚合典型配置舉例 316、 交換機(jī)配置舉例 33一、華為路由器配置整理1、 目前SRG2200配置過的地方：1） 百貨大樓2） 浙商3號館3） 望花大商2、 華為NE40E路由器配置整理（百貨大樓因無防火墻nat功能未成功）1、華為SRG2200路由器配置整理1、 SRG2200登陸用戶名密碼；2、 SRG2200路由器配置整理；3、 SRG2200路由器nat地址轉(zhuǎn)換配置說明；****************************************1） 華為SRG2200初始用戶名和密碼****************************************用戶名：admin密碼：Admin@123串口連接和web連接都是一個****************************************2） 華為SRG2200路由器配置整理****************************************移動外網(wǎng)IP和移動dns；通過配置NAT轉(zhuǎn)換的地址池，與上行端口的公網(wǎng)IP一致#nataddress-group0nat44#dnsresolve 〃使能動態(tài)域名解析功能dnsserver78 〃設(shè)置DNS服務(wù)器IP地址dnsproxyenable〃使能DNS代理功能#（1）浙商3號館的路由器出口配置移動內(nèi)網(wǎng)的ip地址#interfaceGigabitEthernet0/0/0ipaddress4652#注：不要啟用nat（web操作），否則上不去網(wǎng)（2）百貨大樓的路由器出口配置子接口和VLAN號#interfaceGigabitEthernet0/0/1#interfaceGigabitEthernet0/0/1.1vlan-typedotlq3932ipaddress3052#注：啟用子接口必須配置vlan-typedot1qxxxx物理接口為網(wǎng)絡(luò)上的每個VLAN配置一個接口，當(dāng)一個借口需要負(fù)擔(dān)多個vlan之間的通信時，就需要使用到子接口。使用子接口需要注意的事項如下：首先一定注意要把物理端口開起來。進(jìn)入邏輯子接口后，接著需要注意的是配置邏輯子接口需要封裝相應(yīng)的協(xié)議，例如Cisco設(shè)備，需要封裝802.1q，封裝命令為：“encapsulationdot1q(vlan-id)”如果是華為的設(shè)備，則需要使用命令"vlan-typedot1qvid(vlan-id)”.其中(vlan-id)是相應(yīng)的與該子接口相連的VLANID，vlanid也是值得注意的地方，這個vlan號碼必須與相連的對端設(shè)備的以接口的VLANID一致，確保你的子接口的通信vlan相同，否則報文將不能正確傳輸。需要為該子接口配上通信IP地址。路由器入口配置本地網(wǎng)關(guān)IP及配置DHCP自動獲取和配置自動獲取到的DNS#interfaceGigabitEthernet0/0/1ipaddressdhcpselectinterfacedhcpserverdns-list78#****************************************注：缺少DNS配置移動ip的話，QQ能登陸，IE上不去網(wǎng)***浙商3號館需要做兩個dns，加一個***注:能自動獲取IP單上不去網(wǎng)，可以通過ping網(wǎng)關(guān)、DNS判斷問題，如果DNSping不通可能問題在iP被占用，可以手動設(shè)置IP和DNS試試。****************************************公網(wǎng)IP地址通過本地環(huán)回接口配置#interfaceNULL0#interfaceLoopBack0aliaslookbackipaddress455#路由器出口加入防火墻的非信任區(qū)域，入口加入防火墻的信任區(qū)域#firewallzonelocalsetpriority100#firewallzonetrustsetpriority85detectftpaddinterfaceGigabitEthernet0/0/1#firewallzoneuntrustsetpriority5detectftpaddinterfaceGigabitEthernet0/0/0#配置缺省路由（路由器出口IP的網(wǎng)關(guān)）iproute-static45其它登陸配置sysnameXXXaaalocal-userhuaweipasswordcipherhuaweilocal-userhuaweiservice-typewebterminaltelnetlocal-userhuaweilevel3user-interfacevty04authentication-modeaaaprotocolinboundall配置NAT轉(zhuǎn)換策略；內(nèi)網(wǎng)終端上網(wǎng)實現(xiàn)內(nèi)網(wǎng)IP地址轉(zhuǎn)換nat-policyinterzonetrustuntrustoutboundpolicy0actionsource-natpolicysourcerange54address-groupnat用quit命令退出到最開始進(jìn)入的模式，用save命令保存****************************************SRG2200路由器nat地址轉(zhuǎn)換配置說明****************************************#nataddress-group0nat44//*配置編號為0的NAT地址池，包含NAT轉(zhuǎn)換使用的公有地址*//#nat-policyinterzonetrustuntrustoutbound//*定義一個區(qū)域間的nat策略；trust是源，untrust是目標(biāo)(高優(yōu)先級向低優(yōu)先級)*//policy0actionsource-nat //*開啟nat轉(zhuǎn)換*//policysourcerange54//*定義要進(jìn)行nat轉(zhuǎn)換的源IP地址的范圍*//address-groupnat#****************************************loopback和Null0****************************************interfaceloopback命令用來創(chuàng)建Loopback接口。undointerfaceloopback命令用來刪除指定Loopback接口Loopback接口創(chuàng)建后一直保持Up狀態(tài)，并具有環(huán)回的特性，因此常被用于提高配置的可靠性。<HUAWEI>system-view[HUAWEI]interfaceloopback0[HUAWEI-LoopBack0]ipaddress455Null0接口是虛擬接口，接口狀態(tài)永遠(yuǎn)是up，接口從不轉(zhuǎn)發(fā)或接收任何通信量，對于所有發(fā)到該接口的通信量都直接丟棄，由于它的這個特征，使它被廣泛應(yīng)用于防止路由環(huán)Loopback接口是虛擬接口，接口狀態(tài)永遠(yuǎn)是up的，即使沒有配置地址。這是它的一個非常重要的特性。Loopback接口可以配置地址，而且可以配置全1的掩碼--這樣做可以節(jié)省寶貴的地址空間其中最主要的應(yīng)用就是：路由器使用loopback接口地址作為該路由器產(chǎn)生的所有IP包的源地址，這樣使過濾通信量變得非常簡單2、華為NE40E路由器配置整理****************************************NE40E常用指令匯總****************************************language-modeChinese//*將英文模式切換為中文模式*//iproute-static//*缺省路由配置*//輸入ping“IP地址”pingIP地址或主機(jī)名[-t][-a][-ncount][-lsize]參數(shù)含義：-t不停地向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)；-a以IP地址格式來顯示目標(biāo)主機(jī)的網(wǎng)絡(luò)地址；-ncount指定要Ping多少次，具體次數(shù)由count來指定-lsize指定發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù)包的大小****************************************配置端口IP地址****************************************路由器的每個接口可以配置多個IP地址，其中一個為主IP地址，其余為從IP地址。一般情況下，一個接口只需配置一個主IP地址，但在有些特殊情況下需要配置從IP地址。比如，一臺路由器通過一個接口連接了一個物理網(wǎng)絡(luò)，但該物理網(wǎng)絡(luò)的計算機(jī)分別屬于2個不同的C類網(wǎng)絡(luò)，為了使路由器與物理網(wǎng)絡(luò)中的所有計算機(jī)通信，就需要在該接口上配置一個主IP地址和一個從IP地址。<HUAWEI>system-view[HUAWEI]interfacegigabitethernet1/0/0[Huawei-G1/0/0]negotiationauto //*光接口自動協(xié)商模式*//[Huawei-G1/0/0]ipaddress24//*WAN口IP*//[Huawei-G1/0/0]ipaddress23sub//*配置從IP地址*//[Huawei-G1/0/0]undoshutdown //*端口開啟*//路由器的每個接口配置IP地址后，端口下的終端使用這個IP作為網(wǎng)關(guān)就可以與其他出口的IP段網(wǎng)絡(luò)通訊了。//*光接口速率配置*//system-viewinterfaceg1/0/1port-type(copper|fiber-100|fiber-1000}路由器只要能夠識別出SFP模塊的類型，系統(tǒng)會根據(jù)SFP模塊的類型，自動設(shè)置接口的工作模式，不需要再進(jìn)行其它配置。如果遇到不能識別的SFP模塊，并且確認(rèn)該SFP模塊可以正常工作，需要強(qiáng)制接口工作在指定的接口模式。只有在光口轉(zhuǎn)電口的SFP光模塊存在的情況下，參數(shù)copper才配置成功。//*設(shè)置以太網(wǎng)接口自動協(xié)商模式*//negotiationauto 命令用來設(shè)置以太網(wǎng)電接口和GE光接口的自動協(xié)商模式。undonegotiationauto 命令用來取消以太網(wǎng)電接口和GE光接口的自動協(xié)商模式。配置接口速率前需要先取消接口的自協(xié)商模式。GE電接口在工作速率為1000Mbit/s時，只能工作在自協(xié)商模式，不能工作在強(qiáng)制模式。如果GE光接口使能自動協(xié)商，那么鏈路兩端必須同時處于自動協(xié)商模式下。//*查詢配置的端口IP*//<HUAWEI>displayipinterfacebriefgigabitethernet1/0/1*down:administrativelydown!down:FIBoverloaddown(l):loopback(s):spoofingInterfaceIPAddress/MaskhysicalProtocolGigabitEthernet0/0/0/24upup//*查詢太網(wǎng)接口模式P*//<HUAWEI>displayinterfaceethernetbrief顯示以太網(wǎng)接口的物理狀態(tài)、自協(xié)商方式、雙工模式、接口速率、接口接收方向和發(fā)送方向最近一段時間的平均帶寬利用率。****************************************查看路由表****************************************使用displayiprouting-table命令查看路由表中當(dāng)前激活路由的摘要信息。使用displayiprouting-tableverbose命令查看路由表詳細(xì)信息。使用displayiprouting-tableip-address[mask|mask-length][longer-match][verbose]命令查看指定目的地址的路由。****************************************配置LAN口的telnet訪問****************************************[HUAWEI]user-interfacemaximum-vty10[HUAWEI]user-interfacevty09[HUAWEI-ui-vty0-9]shell[HUAWEI-ui-vty0-9]idle-timeout20[HUAWEI-ui-vty0-9]screen-length30[HUAWEI-ui-vty0-9]history-commandmax-size20[HUAWEI-ui-vty0-9]authentication-modeaaa[HUAWEI-ui-vty0-9]quit[HUAWEI]aaa[HUAWEI-aaa]local-useradminpasswordcipheradmin[HUAWEI-aaa]local-useradminservice-typetelnet[HUAWEI-aaa]local-useradminlevel3[HUAWEI-aaa]quit****************************************配置基于接口地址池的DHCP服務(wù)器****************************************system-viewippoolwaiwang //*進(jìn)入地址池*//gateway /*地址池的網(wǎng)關(guān)（端口配置的IP）*//section099//*配置地址段*//excluded-ip-address00 //*不綁定在地址池的IP*//dns-server78 //*DNS服務(wù)器的IP*/////*重啟配置地址池會引DHCP已分配地址無法實現(xiàn)*//更改網(wǎng)關(guān)地址需要首先刪除地址池，再配置，地址池又占用時輸入：recycle99用來回收IP地址，即置IP地址的狀態(tài)為空閑<HUAWEI>system-view[HUAWEI]ippoolwaiwag[HUAWEI-ip-pool-waiwang]recycle99****************************************dns服務(wù)****************************************dnsserver命令用來開啟動態(tài)域名解析功能undodnsserver命令用來關(guān)閉動態(tài)域名解析功能<HUAWEI>system-view[HUAWEI]dnsserver78****************************************nat網(wǎng)絡(luò)地址轉(zhuǎn)換功能****************************************//*natinstance配置NAT*//natinstanceinstance-name 命令用來配置NAT實例。undonatinstanceinstance-name 命令用來取消配置的NAT實例。配置所有NAT功能都需要首先創(chuàng)建NAT實例。//*natserver配置NAT內(nèi)部服務(wù)器*//natserver 命令用來配置NAT內(nèi)部服務(wù)器。undonatserver 命令用來刪除NAT內(nèi)部服務(wù)器配置。natserverprotocol(tcp|udp|protocol-number}globalglobal-address(global-protocol|port}insidehost-address[host-protocol|port]tcp服務(wù)器通訊采用TCP協(xié)議。udp服務(wù)器通訊采用UDP協(xié)議protocol-number協(xié)議號。取值范圍是1?255。globalglobal-address內(nèi)部服務(wù)器對外公布的IP地址global-protocol服務(wù)器對外協(xié)議，如pop2、pop3、smtp等port內(nèi)部服務(wù)器對外公布的TCP或UDP端口號。外部用戶訪問該服務(wù)器時，目的端口必須與此端口號相同才能正常訪問服務(wù)器。取值范圍是0?65535。host-address服務(wù)器內(nèi)部IP地址host-protocol服務(wù)器內(nèi)部協(xié)議，如pop2、pop3、smtp等。NAT設(shè)備提供的NAT內(nèi)部服務(wù)器功能，就是通過靜態(tài)配置“私網(wǎng)IP地址+端口號”與“公網(wǎng)IP地址+端口號”或“私網(wǎng)IP地址”與“公網(wǎng)IP地址”間的映射關(guān)系，實現(xiàn)公網(wǎng)IP地址到私網(wǎng)IP地址的“反向”轉(zhuǎn)換#在NAT實例cpel內(nèi)配置NAT內(nèi)部服務(wù)器。<HUAWEI>system-view[HUAWEI]natinstancecpe1[HUAWEI-nat-instance-cpe1]natserverprotocoltcpglobal93389inside3389[HUAWEI-nat-instance-cpe1]natserverprotocoltcpglobal2ftpinside2ftp//*查看指令*//displaynatinstance命令用來查看創(chuàng)建的NAT實例下的配置信息****************************************華為防火墻域之間inbound和outbound之間的區(qū)別****************************************1、域基本分為：local、trust、dmz、untrust這四個是系統(tǒng)自帶不能刪除，除了這四個域之外，還可以自定義域。2、 域等級local>trust>dmz>untrust,自定義的域的優(yōu)先級是可以自己調(diào)節(jié)的。3、 域與域之間如果不做策略默認(rèn)是deny的，即任何數(shù)據(jù)如果不做策略是通不過的，如果是在同一區(qū)域的就相當(dāng)于二層交換機(jī)一樣直接轉(zhuǎn)發(fā)。4、當(dāng)域與域之間有inbound和outbound區(qū)分，那怎么樣方向的算是inbound,什么方向算是outbound呢？華為定義了優(yōu)先級地的域向優(yōu)先級高的域方向就是inbound,反之就是outbound，舉個例子：假如我要在untrust和trust這兩個域之間做inbound和outbound策略：policyinterzonetrustuntrustinbound//untrust是源，trust是目標(biāo)（低優(yōu)先級向高優(yōu)先級）policy1actionpermitpolicyserviceservice-setpermitportpolicy2actionpermitpolicyserviceservice-setpingpolicy3actiondeny#policyinterzonetrustuntrustoutbound//trust是源，untrust是目標(biāo)（高優(yōu)先級向低優(yōu)先級）policy1actionpermitpolicyserviceservice-setpermitportpolicy2actionpermitpolicyserviceservice-setping為什么要定義inbound和outbound呢？因為有時候你想單向限制某些行為！這是防火墻比路由器能做到更細(xì)化的策略。呵呵3、華為路由器ACL帶寬控制(未實踐)四個步驟：建立一個訪問控制列表(ACL);建立一個類(CLASS),并在這個類上引用剛建立的那個訪問控制列表(ACL);建立一個策略(POLICY)，在這個策略上指定相應(yīng)的帶寬，并引用相應(yīng)的類;將這個策略應(yīng)用具體的端口上。具體操作如下：****************************************創(chuàng)建一個訪問控制列表****************************************aclnumberacl-numberundoacl(all|[number]acl-number}訪問控制列表序號,取值范圍為：1000?1999是基于接口的訪問控制列表，2000?2999是基本的訪問控制列表，(控制源地址*常用*)3000?3999是高級訪問控制列表，(帶TCP或UDP等功能)4000?4999表示基于以太網(wǎng)幀頭的訪問控制列表，6000?9999表示用戶訪問控制列表。****************************************在ACL視圖下，增加一個規(guī)則****************************************rule[rule-id]{deny|permit}sourcesource-ip-addressrule[rule-id](deny|permit}tcpdestinationdestination-ip-addresssourcesource-ip-addressrule-id：ACL的規(guī)則編號。按照編號的大小決定規(guī)則插入的位置。如果不指定編號，表示增加一個新規(guī)則，系統(tǒng)自動會為這個規(guī)則分配一個編號。刪除ACL規(guī)則時，必須是一個已經(jīng)存在的ACL規(guī)則編號。如果后面不指定參數(shù)，則將這個ACL規(guī)則完全刪除。否則只是刪除對應(yīng)ACL規(guī)則的部分信息deny:表示拒絕符合條件的數(shù)據(jù)包permit:表示允許符合條件的數(shù)據(jù)包destination:指定根據(jù)目的地址信息過濾數(shù)據(jù)包。如果不配置，表示任何目的地址的報文都匹配source-ip-address:指定數(shù)據(jù)包的源地址#創(chuàng)建編號為3101的高級ACL，并增加一條規(guī)則，禁止接收和發(fā)送RIP報文。<HUAWEI>system-view[HUAWEI]aclnumber3101[HUAWEI-acl-adv-3101]ruledenyudpdestination-porteqrip#增加一條規(guī)則，允許從網(wǎng)段的主機(jī)向網(wǎng)段的主機(jī)發(fā)送WWW報文。[HUAWEI-acl-adv-3101]rulepermittcpsource55destination55destination-porteqwww#增加一條規(guī)則，禁止從一切主機(jī)建立與IP地址為的主機(jī)的Telnet（23）的連接。[HUAWEI-acl-adv-3101]ruledenytcpdestination0destination-porteqtelnet#增加一條規(guī)則，禁止從網(wǎng)段內(nèi)的主機(jī)建立與網(wǎng)段內(nèi)的主機(jī)的端口號大于128的UDP(用戶數(shù)據(jù)報協(xié)議)連接。[HUAWEI-acl-adv-3101]ruledenyudpsource55destination55destination-portgt128****************************************定義一個流分類****************************************trafficclassifierclassifier-name[operator(and|or}]undotrafficclassifierclassifier-nameclassifier-name指定流分類的名稱operator指定各規(guī)則之間的邏輯運(yùn)算符and指定類下的規(guī)則之間是邏輯“與”的關(guān)系，即數(shù)據(jù)包必須匹配全部規(guī)則才屬于該類。or指定類下的規(guī)則之間是邏輯“或”的關(guān)系，即數(shù)據(jù)包只要匹配其中任何一個規(guī)則就屬于該類。****************************************進(jìn)行流分類的匹配規(guī)則****************************************if-matchacl(acl-number|nameacl-name}undoif-matchacl(acl-number|nameacl-name}displaytrafficclassifier命令查看流分類的配置信息[CE1]displaytrafficclassifieruser-definedUserDefinedClassifierInformation:Classifier:aOperator:ORRule(s):if-matchacl2001Classifier:bOperator:ORRule(s):if-matchacl2002Classifier:cOperator:ORRule(s):if-matchacl2003Classifier:udplimitOperator:ORRule(s):if-matchacl3001Classifier:udplimit1Operator:ORRule(s):if-matchacl3002****************************************定義一個流行為并進(jìn)入流行為****************************************trafficbehaviorbehavior-nameundotrafficbehaviorbehavior-name****************************************為流行為配置和修改使用的流量監(jiān)管****************************************car(circir-value[pirpir-value]}[cbscbs-valuepbspbs-value][green(discard|pass[service-classclasscolorcolor]}|yellow(discard|pass[service-classclasscolorcolor]}|red(discard|pass[service-classclasscolorcolor]}]*undocarcircir-value指定承諾信息速率，即保證能夠通過的速率。單位是kbit/s。pirpir-value指定峰值速率，即最大能夠通過的速率。單位是kbit/s。參數(shù)pir-value的值不應(yīng)小于已經(jīng)配置的cir-value的值。cbscbs-value指定承諾突發(fā)尺寸(CommittedBurstSize)，即瞬間能夠通過的承諾流量，即第一個令牌桶的深度(假定該桶為C桶)。整數(shù)形式，0?4294967295，單位是byte。缺省值與配置的cir-value有關(guān)。cbs-value=cir-value*187若cir-value<100000kbit/s，則cbs-value的取值為cir-value*187,單位是byte。若cir-value>=100000kbit/s，cbs-value的缺省值等于100000*187的值，單位是byte。pbspbs-value指定超出突發(fā)尺寸(PeakBurstSize)，即瞬間能夠通過的峰值流量，即第二個令牌桶的深度(假定該桶為P桶)。整數(shù)形式，0?4294967295，單位是byte。缺省值與pir-value有關(guān)。pbs-value=pir-value*187若設(shè)置了pir-value，并且pir-value<100000kbit/s，則pbs-value缺省值為pir-value*187，單位是byte；若設(shè)置了pir-value，并且pir-value>=100000kbit/s，則pbs-value缺省值等于100000*187，單位是byte。#定義流行為，接入速率為10皿訝$,承諾突發(fā)流量尺寸為150000字節(jié)。[CE1]trafficbehaviore[CE1-behavior-e]carcir10000cbs150000pbs0//*定義一個流量策略*//trafficpolicypolicy-nameundotrafficpolicypolicy-name//*在流策略中為流分類指定采用的流行為*//classifierclassifier-namebehaviorbehavior-name[precedenceprecedence]undoclassifierclassifier-nameclassifier-name指定流分類名稱，必須是已定義的流分類名behavior-name指定流行為名稱，必須是已定義的流行為名precedenceprecedence指定流分類的優(yōu)先級，流策略中按照優(yōu)先級處理流分類的動作用displaytrafficpolicy命令可以查看流量策略、策略中定義的流分類以及與流分類相關(guān)的流行為的配置情況。[CE1]displaytrafficpolicyuser-definedUserDefinedTrafficPolicyInformation:Policy:1Classifier:default-classBehavior:be-noneClassifier:aBehavior:eCommittedAccessRate:CIR10000(Kbps),PIR0(Kbps),CBS15000(byte),PBS0(byte)ConformAction:passYellowAction:passExceedAction:discardMarking:RemarkDSCPcs5//*在接口應(yīng)用流量策略*//traffic-policypolicy-name（inbound|outbound}[link-layer|all-layer|mpls-layer]undotraffic-policy（inbound|outbound}policy-name流策略名inbound在入（上行）方向應(yīng)用流量策略。outbound在出（下行）方向應(yīng)用流量策略。#將流量策略policy1應(yīng)用到接口GigabitEthernet1/0/0的出方向上。<HUAWEI>system-view[HUAWEI]interfacegigabitethernet1/0/0[HUAWEI-GigabitEthernet1/0/0]traffic-policypolicy1outbound自己整理的樣例[HUAWEI]aclnumber2001[HUAWEI-acl-adv-2001]rule1permitsource55[Huawei]aclnumber2002[HUAWEI-acl-adv-2002]rule1permitsourceany[Huawei]trafficclassifierup[Huawei-classifier-up]if-matchacl2001[Huawei]trafficclassifierdown[Huawei-classifier-down]if-matchacl2002[Huawei]trafficbehavioruplimit[Huawei-behavior-uplimit]carcir5000//*carcir10000cbs150000pbs0*//[Huawei]trafficbehaviordownlimit[Huawei-behavior-downlimit]carcir10000[Huawei]trafficpolicyupcontrol[Huawei-trafficpolicy-upcontrol]classifierupbehavioruplimit[Huawei]trafficpolicydowncontrol[Huawei-trafficpolicy-downcontrol]classifierdownbehaviordownlimit[HUAWEI]interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/0]traffic-policyupcontrolinbound[HUAWEI-GigabitEthernet1/0/0]traffic-policydowncontroloutbound二、華為交換機(jī)配置整理1、配置telnet訪問<Huawei>system-view[Huawei]interfacevlanif1[Huawei-Vlanif1]ipaddress0216[Huawei-Vlanif1]quit[Huawei]aaa[Huawei-aaa]local-useradminpasswordsimple123456[Huawei-aaa]local-useradminservice-typetelnet[Huawei-aaa]local-useradminprivilegelevel3[Huawei-aaa]quit[Huawei]user-interfacevty04[Huawei-ui-vty0-4]authentication-modeaaa2、 顯示端口狀態(tài)和流量顯示端口狀態(tài)[Huawei]displayinterfacebrief顯示端口流量[Huawei]displayinterfaceGigabitEthernet0/0/1Last300secondsinputrate0bytes/sec,0packets/secLast300secondsoutputrate0bytes/sec,0packets/sec3、 華為端口限速（網(wǎng)絡(luò)上整理未實踐）華為S2300交換機(jī)如何配置端口限速使用QOS命令來配置（網(wǎng)絡(luò)帶寬的10M、100M和1000M的單位是bps（即bit/s,位/秒）而我們通常所說的100M大小的文件，這里的單位是Byte，而1Byte=8bit，顯然100Mbit=（100/8）MByte=12.5MByte）qoslr命令用來在接口出方向上實施限速。undoqoslr命令用來禁止接口出方向上的限速。qoslrcirxxxcbsxxxundoqosIrcirxxx表示承諾信息速率。整數(shù)形式，取值范圍是64?接口自身帶寬（例如Ethernet接口帶寬為100000,GE接口帶寬為1000000），單位是kbit/s。cbsxxx表示承諾突發(fā)尺寸。整數(shù)形式，取值范圍是8192?1040384,單位是byte。8192Kbps=1M=1024KBit使用實例1:在接口GigabitEthernet0/0/1上帶寬限制為20M<Quidway>system-view[Quidway]interfacegigabitethernet0/0/1[Quidway-GigabitEthernet0/0/1]qoslrinboundcir20480cbs1040384[Quidway-GigabitEthernet0/0/1]qoslroutboundcir20480cbs1040384華為S5000交換機(jī)如何配置端口限速設(shè)置端口限速后，可以對進(jìn)出端口的報文的速率進(jìn)行限制，以維持網(wǎng)絡(luò)的有序運(yùn)行。配置命令說明：Inbound：對入端口報文進(jìn)行限速Outbound:對出端口報文進(jìn)行限速Rate-level:速率級別，取值范圍是1-32的整數(shù)，設(shè)置后的速率為：粒度*速率級別。若級別為3,那么速率為25Mbit/s*3=75Mbit/sUndoline-rateinbound|outbound：取消端口限速配置實例：配置端口Gigabitethernet0/0/1入端口限速為5Mbit/s<Quidway>system-view//進(jìn)入系統(tǒng)試圖[Quidway]interfacegigabitethernet0/0/1//進(jìn)入以太網(wǎng)端口視圖[Quidway-GigabitEthernet0/0/1]line-rateinbound1華為S3900交換機(jī)如何配置端口限速華為s3900配置端口Gigabitethernet0/0/1最低速率為2M[Quidway]interfacegigabitethernet0/0/1[Quidway-GigabitEthernet0/0/1]line-rateinbound16384端口限速in方向單位：Kbps[Quidway-GigabitEthernet0/0/1]line-rateoutbound16384端口限速ou方向單位：Kbps8192Kbps=1M=1024KB10M帶寬寫成Line-rateinbound81920Line-rateoutbound81920華為S5120交換機(jī)如何配置端口限速Q(mào)os端口限速[S5120]interfacegigabitethernet1/0/1#配置限速參數(shù)，端口進(jìn)/出速率限制為5M=5120kbps。[S5120-GigabitEthernet1/0/1]qoslrinboundcir5120[S5120-GigabitEthernet1/0/1]qoslroutboundcir5120華為S5700交換機(jī)如何配置端口限速#在接口Ethernet0/0/1上帶寬限制為10M[Quidway]interfaceethernet0/0/1[Quidway-Ethernet0/0/1]qoslrcir10240cbs2048000[Quidway]interfaceethernet0/0/1[Quidway-Ethernet0/0/1]qoslroutboundcir10240cbs2048000配置入方向限速，限速10M三、H3C交換機(jī)配置整理1、配置telnet訪問<SwitchA>system-view[SwitchA]telnetserverenable #開啟telnet月艮務(wù)[SwitchA]interfacevlan1 #interfaceVlan-interface1[SwitchA-Vlan-interface1]ipaddress0216[SwitchA-Vlan-interface1]quit[SwitchA]local-useradmin #創(chuàng)建本地用戶，并進(jìn)入本地用戶視圖[SwitchA-luser-admin]passwordsimple123456[SwitchA-luser-admin]service-typetelnet[SwitchA-luser-admin]authorization-attributelevel3 #配置本地用戶的服務(wù)類型為Telnet且命令級別為3級（最高級）[SwitchA-luser-admin]quit[SwitchA]user-interfacevty0 #進(jìn)入VTY0用戶界面視圖，3層可使用vty04[SwitchA-ui-vty0]authentication-modescheme[SwitchA-ui-vty0]userprivilegelevel3 #設(shè)置認(rèn)證方式為用戶名和密碼驗證方式[SwitchA-ui-vty0]protocolinboundtelnet#配置VTY0用戶界面支持Telnet協(xié)議[SwitchA-ui-vty0]screen-length30#配置VTY0用戶界面終端屏幕的一屏顯示30行命令[SwitchA-ui-vty0]history-commandmax-size20 #配置VTY0用戶界面的歷史命令緩沖區(qū)可存放20條命令[SwitchA-ui-vty0]idle-timeout6 #配置VTY0用戶界面的超時時間為6分鐘[SwitchA-ui-vty0]quit#h3c的交換機(jī)設(shè)置ip后，默認(rèn)就可以通過web訪問了（flash中必需有web文件才行）2、 端口批量配置做隔離[SwitchA]interfacerangeethernet1/0/1toethernet1/0/22[SwitchA-Rang]port-isolateenable[SwitchA-Rang]quit#顯示隔離組中的信息。<SwitchA>displayport-isolategroup3、 配置基于端口的VLAN<SwitchA>system-view[SwitchA]vlan100[SwitchA-vlan100]quit[SwitchA]port-groupmanual1 /*創(chuàng)建組1group-membere1/0/1toe1/0/22 /*將1到22加入到組1portlink-typeaccess /*接口類型為接入模式portaccessvlan1 /*劃入vlan1[SwitchA]intg1/0/25[SwitchA-GigabitEthernet1/0/25]portlink-typetrunk[SwitchA-GigabitEthernet1/0/25]porttrunkpermitvlan1[SwitchA-GigabitEthernet1/0/25]porttrunkpvidvlan1SwitchA]intg1/0/26[SwitchA-GigabitEthernet1/0/26]portlink-typetrunk[SwitchA-GigabitEthernet1/0/26]porttrunkpermitvlan100[SwitchA-GigabitEthernet1/0/26]porttrunkpvidvlan100displayvlan100 /*顯示VLAN相關(guān)信息display*/(conf)intrangef0/1-3 /*邁普交換機(jī)端口批量配置*/4、 顯示端口命令顯示端口狀態(tài)[Huawei]displayinterfacebrief顯示端口流量[Huawei]displayinterfaceGigabitEthernet0/0/1Last300secondsinputrate0bytes/sec,0packets/secLast300secondsoutputrate0bytes/sec,0packets/sec5、 鏈路聚合典型配置舉例配置步驟說明：以下只列出對DeviceA的配置，對DeviceB也需要作相同的配置，才能實現(xiàn)鏈路聚合。如果圖中是二層以太網(wǎng)接口，則配置二層聚合組實現(xiàn)負(fù)載分擔(dān)(1)采用靜態(tài)聚合模式#創(chuàng)建二層聚合接口1。<DeviceA>system-view[DeviceA]interfacebridge-aggregation1[DeviceA-Bridge-Aggregation1]quit#將二層以太網(wǎng)接口Ethernet1/1至Ethernet1/3加入聚合組1。[DeviceA]interfaceethernet1/1[DeviceA-Ethernet1/1]portlink-aggregationgroup1[DeviceA-Ethernet1/1]interfaceethernet1/2[DeviceA-Ethernet1/2]portlink-aggregationgroup1[DeviceA-Ethernet1/2]interfaceethernet1/3[DeviceA-Ethernet1/3]portlink-aggregationgroup1(2)采用動態(tài)LACP聚合模式#創(chuàng)建二層聚合接口1,并配置成動態(tài)LACP聚合模式。<DeviceA>system-view[DeviceA]interfacebridge-aggregation1[DeviceA-Bridge-Aggregation1]link-aggregationmodedynamic[DeviceA-Bridge-Aggregation1]quit#將二層以太網(wǎng)接口Ethernet1/1至Ethernet1/3加入聚合組1。[DeviceA]interfaceethernet1/1[DeviceA-Ethernet1/1]portlink-aggregationgroup1[DeviceA-Ethernet1/1]interfaceethernet1/2[DeviceA-Ethernet1/2]portlink-aggregationgroup1[DeviceA-Ethernet1/2]interfaceethernet1/3[DeviceA-Ethernet1/3]portlink-aggregationgroup1如果圖中是三層以太網(wǎng)接口，則配置三層聚合組實現(xiàn)負(fù)載分擔(dān)采用靜態(tài)聚合模式#創(chuàng)建三層聚合接口1。<DeviceA>system-view[DeviceA]interfaceroute-aggregation1[DeviceA-Route-Aggregation1]quit#將三層以太網(wǎng)接口Ethernet1/1至Ethernet1/3加入聚合組1。[DeviceA]interfaceethernet1/1[DeviceA-Ethernet1/1]portlink-aggregationgroup1[DeviceA-Ethernet1/1]interfaceethernet1/2[DeviceA-Ethernet1/2]portlink-aggregationgroup1[DeviceA-Ethernet1/2]interfaceethernet1/3[DeviceA-Ethernet1/3]portlink-aggregationgroup1采用動態(tài)LACP聚合模式#創(chuàng)建三層聚合接口1，并配置成動態(tài)LACP聚合模式。<DeviceA>system-view[DeviceA]interfaceroute-aggregation1[DeviceA-Route-Aggregationl]link-aggregationmodedynamic[DeviceA-Route-Aggregationl]quit#將三層以太網(wǎng)接口Ethernet1/1至Ethernet1/3加入聚合組1。[DeviceA]interfaceethernet1/1[DeviceA-Ethernet1/1]portlink-aggregationgroup1[DeviceA-Ethernet1/1]interfaceethernet1/2[DeviceA-Ethernet1/2]portlink-aggregationgroup1[DeviceA-Ethernet1/2]interfaceethernet1/3[DeviceA-Ethernet1/3]portlink-aggregationgroup1*******************************************************************顯示端口的鏈路聚合詳細(xì)信息displaylink-aggregationmember-port顯示端口的鏈路聚狀態(tài)displaylink-aggregationverboseGE1/0/9 S 1GE1/0/10 S 1S表示狀態(tài)select鏈路聚合成功，如顯示U表示unselect鏈路聚合失敗刪除二層鏈路聚合組1undointerfacebridge-aggregation1刪除單獨(dú)端口的鏈路聚合undoportlink-aggregationgroup*****************************************************************6、交換機(jī)配置舉例組網(wǎng)說明：1、前端監(jiān)控點(diǎn)通過硬盤錄像機(jī)編碼，硬盤錄像機(jī)1~8匯集到switchA交換機(jī)3100V2-26TP-SI；硬盤錄像機(jī)9~15和鍵盤、矩陣、485轉(zhuǎn)網(wǎng)絡(luò)模塊匯集到switchB交換機(jī)3100V2-26TP-SI；視頻解碼器1~16匯集到switchC交換機(jī)3100V2-26TP-SI；遠(yuǎn)程物業(yè)客戶端PC匯集到switchD交換機(jī)3100V2-26TP-SI；

監(jiān)控平臺服務(wù)器和流媒體轉(zhuǎn)發(fā)服務(wù)器、客戶端PC匯集到switchE交換機(jī)5120-28P-SI；各接入交換機(jī)介入三層交換機(jī)switchF交換機(jī)LS-5500-28C-SI2、 劃分vlan10vlan20；vlan10為前端編碼設(shè)備和控制設(shè)備；vlan20為終端客戶控制PC；3、 交換機(jī)間連接通過trunk配置，并配置端口鏈路聚合；相同vlan可以互通訪問需求：Vlan10為安防監(jiān)控專網(wǎng)，只有服務(wù)器00~104可以對外開放，客戶端可以訪問Vlan20為安防專用PC客戶端，通過與服務(wù)器端口通訊實現(xiàn)監(jiān)控訪問組網(wǎng)圖：硬盤錄像機(jī)VHan10 ip:192.168?1?50硬盤錄像機(jī)Vlna10ip:192.168?1.5~12LS-3100switchB硬盤錄像機(jī)VHan10 ip:192.168?1?50硬盤錄像機(jī)Vlna10ip:192.168?1.5~12LS-3100switchBVlan10ip:192?168?1?80Vlan20g1/0/5?g1/0/8Vlan10IgA]ip:192?168.1?13~20硬盤錄像機(jī)LS-3100switchALS-5500Vlan10switchF.g1/0/1~g1/0/4廢亡I罹 ■白準(zhǔn)視頻解碼器具體配置：服務(wù)器與前端設(shè)備同設(shè)vlan10；客戶端設(shè)vlan20/*注：要先配置鏈路聚合再配置acl訪問規(guī)則，否則將不通*//*注：配置后不通需要重啟交換機(jī)和電腦試試*/交換機(jī)switchF配置：1~8和13~20端口劃分vlan10；21~24端口劃分vlan20；9~12端口做trunk配置并做鏈路聚合；做acl訪問規(guī)則，只允許vlan10的101~104主機(jī)與vlan20通訊<H3C>system-view[H3C]sysnameswitchF[switchF]vlan10[switchF-vlan10]portg1/0/1tog1/0/8 /*LS-5500-28C-SI前8個端口劃分vlan10*/[switchF-vlan10]portg1/0/13tog1/0/20 /*LS-5500-28C-SI端口13~20劃分vlan10*/[switchF-vlan10]quit[switchF]intterfacevlan-interface10[SwitchF-Vlan-interface10]ipaddress[switchF]vlan20[switchF-vlan20]portg1/0/21tog1/0/28 /*LS-5500-28C-SI的21~28端口劃分vlan20*/[switchF-vlan20]quit[switchF]interfacevlan-interface20[SwitchF-Vlan-interface20]ipaddress[switchF]intg1/0/9 /*LS-5500-28C-SI的9端口做trunk級聯(lián)口*/[switchF-GigabitEthernet1/0/9]portlink-typetrunk[switchF-GigabitEthernet1/0/9]porttrunkpermitvlanall[switchF-GigabitEthernet1/0/9]quit[switchF]intg1/0/10[switchF-GigabitEthernet1/0/10]portlink-typetrunk[switchF-GigabitEthernet1/0/10]porttrunkpermitvlanall[switchF-GigabitEthernet1/0/10]quit[switchF]intg1/0/11[switchF-GigabitEthernet1/0/11]portlink-typetrunk[switchF-GigabitEthernet1/0/11]porttrunkpermitvlanall[switchF-GigabitEthernet1/0/11]quit[switchF]intg1/0/12[switchF-GigabitEthernet1/0/12]portlink-typetrunk[switchF-GigabitEthernet1/0/12]porttrunkpermitvlanall[switchF-GigabitEthernet1/0/12]quit[switchF]interfacebridge-aggregation1[switchF-Bridge-Aggregation1]portlink-typetrunk[switchF-Bridge-Aggregation1]porttrunkpermitvlanall[switchF-Bridge-Aggregation1]quit[switchF]interfaceGigabitEthernet1/0/9[switchF-GigabitEthernet1/0/9]portlink-aggregationgroup1[switchF]interfaceGigabitEthernet1/0/10[switchF-GigabitEthernet1/0/10]portlink-aggregationgroup1[switchF]interfaceGigabitEthernet1/0/11[switchF-GigabitEthernet1/0/11]portlink-aggregationgroup1[switchF]interfaceGigabitEthernet1/0/12[switchF-GigabitEthernet1/0/12]portlink-aggregationgroup1[switchF]aclnumber3001[switchF-acl-basic-3001]rule0permitipsource01destination55[switchF-acl-basic-3001]rule5permitipsource02destination55[switchF-acl-basic-3001]rule10permitipsource03destination55[switchF-acl-basic-3001]rule15permitipsource04destination55[switchF-acl-basic-3001]rule