华为交换机网络管理相关配置问题(2)
Q: S2300/S3300/S5300如何配置限速?A: 在配置限速时,推荐:
不配置PIR,只配置CIR、CBS、PBS。
CBS = 200 * CIR。
PBS = 2 * CBS = 2 * 200 * CIR = 400 * CIR。
其中,CIR单位为Kbps,CBS、PBS单位为Byte。
配置出方向端口限速,限速10M
在V100R003C01以前的版本,配置如下:
interface ethernet 0/0/1
qos lr cir 10240 cbs 2048000
在V100R003C01及以后的版本,配置如下:
interface ethernet 0/0/1
qos lr outbound cir 10240 cbs 2048000
配置入方向限速,限速10M
在V100R003C01以前的版本,配置如下:
traffic> if-match any
quit
traffic behavior b1
permit
car cir 10240 cbs 2048000 pbs 4096000
quit
traffic policy c1
> quit
interface ethernet 0/0/1
traffic-policy c1 inbound
在V100R003C01及以后的版本,配置如下:
interface ethernet 0/0/1
qos lr inbound cir 10240 cbs 2048000 说明:
流策略可以应用在物理接口视图、Eth-Trunk视图、VLAN视图(端口共享带宽)。
S5300中,物理接口为GigabitEthernet接口。
Q: S2300/S3300/S5300如何配置流量统计?
A: 假设需要统计接口Ethernet0/0/1上源IP地址为10.1.1.0/24网段的Ping报文,配置如下:
# 配置ACL规则。
acl number 3333
rule 5 permit icmp source 10.1.1.0 0.0.0.255
quit
# 配置流分类。
traffic> if-match acl 3333
quit
# 配置流行为。
S2300/S3300/S5300 V100R005以前版本
traffic behavior test
count
quit
S2300/S3300/S5300 V100R005以后版本
traffic behavior test
statistic enable
quit
# 配置流策略。
traffic policy test
> quit
# S2300/S3300上应用流策略test。
interface ethernet0/0/1
traffic-policy test inbound
# S5300上应用流策略test。
interface gigabitethernet0/0/1
traffic-policy test inbound
配置完成后,可执行命令display traffic policy statistics interface interface-type interface-number查看流量统计信息。如果需要重新进行流量统计,可执行命令reset traffic policy statistics interface interface-type interface-number清除原有流量统计信息。
说明:
S2300/S3300只支持入方向的流量统计。
S5300支持入方向和出方向的流量统计,但不能统计由S5300设备自身CPU始发的报文。
Q: 为什么配置了DHCP Snooping之后,设备下挂用户无法获取IP地址?
A: 在使能DHCP Snooping之后,Switch所有接口状态缺省都是非信任状态。这时要把与DHCP Server相连的接口配置成信任状态,否则DHCP Server回应的DHCP Reply报文都会被丢弃,这样Switch下挂用户无法获取DHCP Server分配的IP地址。
Q: 如何通过配置来实现IP+MAC+端口绑定功能?
A: S-swich通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。
配置思想是先在VLAN下配置的静态绑定表,静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。
例如配置IP地址10.1.1.1,MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。
在V100R002的版本配置如下:
dhcp enable
dhcp snooping enable
vlan 100
quit
interface Ethernet 0/0/1
port default vlan 100
dhcp snooping check user-bind enable
quit
vlan 100
dhcp snooping enable
user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
在V100R003及以后的版本配置如下:
dhcp enable
dhcp snooping enable
vlan 100
quit
interface Ethernet 0/0/1
port default vlan 100
ip source check user-bind enable
quit
vlan 100
dhcp snooping enable
quit
user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
Q: 如何通过配置来实现MAC+端口绑定功能?
A: Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定,即实现某个端口只绑定某个特定mac地址(某个端口只允许在绑定表内的和某特定mac地址的报文通过),不绑定ip。
例如,配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过,其他报文都丢弃。
# 全局使能dhcp snooping
dhcp snooping enable
# 创建ACL,只允许MAC地址为0-02-02的报文
acl 4000
rule permit source-mac 0-02-02 ffff-ffff-ffff
rule deny
# 创建流分类,匹配ACL 4000
traffic> if-match acl 4000
# 创建流行为和流策略
traffic behavior b1
permit
traffic policy p1
> # 端口下应用流策略,使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。
在V001C00R002的版本配置如下:
interface Ethernet 0/0/1
port default vlan 4094
dhcp snooping check user-bind enable
traffic-policy p1 inbound
在V001C00R003及以后的版本配置如下:
interface Ethernet 0/0/1
port default vlan 4094
ip source check user-bind enable
traffic-policy p1 inbound
Q: 如何通过配置实现IP+端口绑定?
A: Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。
例如,配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过,丢弃其他IP报文。
# 全局使能dhcp snoopying
dhcp snooping enable
# 定义高级ACL,匹配IP地址192.168.130.50
acl 3000
rule 5 permit ip source 192.168.130.50 0
rule 10 deny ip source any
rule 15 deny ip destination any
# 创建流分类,匹配ACL
traffic> if-match acl 3000
# 创建流行为和流策略
traffic behavior b1
permit
traffic policy p1
> # 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.130.50的报文通过
在V100R002C00的版本配置如下:
interface Ethernet 0/0/8
port default vlan 4094
dhcp snooping check user-bind enable
traffic-policy p1 inbound
在V100R003C00及以后的版本配置如下:
interface Ethernet 0/0/8
port default vlan 4094
ip source check user-bind enable
traffic-policy p1 inbound
Q: S2300/3300/5300系列交换机如何防止用户私设静态IP地址?
A: 防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过,其它用户数据不能通过。
S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:
配置设备的DHCP Snooping功能
# 使能全局DHCP Snooping功能。
dhcp snooping enable
# 配置用户侧接口所属的VLAN。
vlan 100
quit
interface ethernet 0/0/1
port default vlan 100
quit
# 使能VLAN下的DHCP Snooping功能。
vlan 100
dhcp snooping enable
# 配置在用户侧接口进行报文检查
interface ethernet 0/0/1
dhcp snooping check arp enable
dhcp snooping check ip enable
quit
# 配置静态绑定表项
vlan 100
dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1
页:
[1]