华为交换机网络管理相关配置问题（2）

CHSHJ

　　Q: S2300/S3300/S5300如何配置限速?
　　A: 在配置限速时，推荐：
　　不配置PIR，只配置CIR、CBS、PBS。
　　CBS = 200 * CIR。
　　PBS = 2 * CBS = 2 * 200 * CIR = 400 * CIR。
　　其中，CIR单位为Kbps，CBS、PBS单位为Byte。
　　配置出方向端口限速，限速10M
　　在V100R003C01以前的版本，配置如下：
　　[Quidway] interface ethernet 0/0/1
　　[Quidway-Ethernet0/0/1] qos lr cir 10240 cbs 2048000
　　在V100R003C01及以后的版本，配置如下：
　　[Quidway] interface ethernet 0/0/1
　　[Quidway-Ethernet0/0/1] qos lr outbound cir 10240 cbs 2048000
　　配置入方向限速，限速10M
　　在V100R003C01以前的版本，配置如下：

　　[Quidway] traffic>　　[Quidway-classifier-c1] if-match any
　　[Quidway-classifier-c1] quit
　　[Quidway] traffic behavior b1
　　[Quidway-behavior-b1] permit
　　[Quidway-behavior-b1] car cir 10240 cbs 2048000 pbs 4096000
　　[Quidway-behavior-b1] quit
　　[Quidway] traffic policy c1

　　[Quidway-trafficpolicy-c1]>　　[Quidway-trafficpolicy-c1] quit
　　[Quidway] interface ethernet 0/0/1
　　[Quidway-Ethernet0/0/1] traffic-policy c1 inbound
　　在V100R003C01及以后的版本，配置如下：
　　[Quidway] interface ethernet 0/0/1
　　[Quidway-Ethernet0/0/1] qos lr inbound cir 10240 cbs 2048000 说明：
　　流策略可以应用在物理接口视图、Eth-Trunk视图、VLAN视图（端口共享带宽）。
　　S5300中，物理接口为GigabitEthernet接口。
　　Q: S2300/S3300/S5300如何配置流量统计?
　　A: 假设需要统计接口Ethernet0/0/1上源IP地址为10.1.1.0/24网段的Ping报文，配置如下：
　　# 配置ACL规则。
　　[Quidway] acl number 3333
　　[Quidway-acl-adv-3333] rule 5 permit icmp source 10.1.1.0 0.0.0.255
　　[Quidway-acl-adv-3333] quit
　　# 配置流分类。

　　[Quidway] traffic>　　[Quidway-classifier-test] if-match acl 3333
　　[Quidway-classifier-test] quit
　　# 配置流行为。
　　S2300/S3300/S5300 V100R005以前版本
　　[Quidway] traffic behavior test
　　[Quidway-behavior-test] count
　　[Quidway-behavior-test] quit
　　S2300/S3300/S5300 V100R005以后版本
　　[Quidway] traffic behavior test
　　[Quidway-behavior-test] statistic enable
　　[Quidway-behavior-test] quit
　　# 配置流策略。
　　[Quidway] traffic policy test

　　[Quidway-trafficpolicy-test]>　　[Quidway-trafficpolicy-test] quit
　　# S2300/S3300上应用流策略test。
　　[Quidway] interface ethernet0/0/1
　　[Quidway-Ethernet0/0/1] traffic-policy test inbound
　　# S5300上应用流策略test。
　　[Quidway] interface gigabitethernet0/0/1
　　[Quidway-GigabitEthernet0/0/1] traffic-policy test inbound
　　配置完成后，可执行命令display traffic policy statistics interface interface-type interface-number查看流量统计信息。如果需要重新进行流量统计，可执行命令reset traffic policy statistics interface interface-type interface-number清除原有流量统计信息。
　　说明：
　　S2300/S3300只支持入方向的流量统计。
　　S5300支持入方向和出方向的流量统计，但不能统计由S5300设备自身CPU始发的报文。
　　Q: 为什么配置了DHCP Snooping之后，设备下挂用户无法获取IP地址?
　　A: 在使能DHCP Snooping之后，Switch所有接口状态缺省都是非信任状态。这时要把与DHCP Server相连的接口配置成信任状态，否则DHCP Server回应的DHCP Reply报文都会被丢弃，这样Switch下挂用户无法获取DHCP Server分配的IP地址。
　　Q: 如何通过配置来实现IP+MAC+端口绑定功能?
　　A: S-swich通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。
　　配置思想是先在VLAN下配置的静态绑定表，静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。
　　例如配置IP地址10.1.1.1，MAC地址0002-0002-0002和接口Ethernet0/0/1绑定。
　　在V100R002的版本配置如下：
　　[HUAWEI] dhcp enable
　　[HUAWEI] dhcp snooping enable
　　[HUAWEI] vlan 100
　　[HUAWEI-vlan100] quit
　　[HUAWEI] interface Ethernet 0/0/1
　　[HUAWEI-Ethernet0/0/1] port default vlan 100
　　[HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable
　　[HUAWEI-Ethernet0/0/1] quit
　　[HUAWEI] vlan 100
　　[HUAWEI-vlan100] dhcp snooping enable
　　[HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
　　在V100R003及以后的版本配置如下：
　　[HUAWEI] dhcp enable
　　[HUAWEI] dhcp snooping enable
　　[HUAWEI] vlan 100
　　[HUAWEI-vlan100] quit
　　[HUAWEI] interface Ethernet 0/0/1
　　[HUAWEI-Ethernet0/0/1] port default vlan 100
　　[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
　　[HUAWEI-Ethernet0/0/1] quit
　　[HUAWEI] vlan 100
　　[HUAWEI-vlan100] dhcp snooping enable
　　[HUAWEI-vlan100] quit
　　[HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
　　Q: 如何通过配置来实现MAC+端口绑定功能?
　　A: Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定，即实现某个端口只绑定某个特定mac地址（某个端口只允许在绑定表内的和某特定mac地址的报文通过），不绑定ip。
　　例如，配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过，其他报文都丢弃。
　　# 全局使能dhcp snooping
　　[Quidway] dhcp snooping enable
　　# 创建ACL，只允许MAC地址为0-02-02的报文
　　[Quidway] acl 4000
　　[Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff
　　[Quidway-acl-L2-4000] rule deny
　　# 创建流分类，匹配ACL 4000

　　[Quidway] traffic>　　[Quidwayclassifier-c1] if-match acl 4000
　　# 创建流行为和流策略
　　[Quidway] traffic behavior b1
　　[Quidway-behavior-b1] permit
　　[Quidway] traffic policy p1

　　[Quidway-trafficpolicy-p1]>　　# 端口下应用流策略，使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。
　　在V001C00R002的版本配置如下：
　　[Quidway] interface Ethernet 0/0/1
　　[Quidway-Ethernet0/0/1] port default vlan 4094
　　[Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable
　　[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
　　在V001C00R003及以后的版本配置如下：
　　[Quidway] interface Ethernet 0/0/1
　　[Quidway-Ethernet0/0/1] port default vlan 4094
　　[Quidway-Ethernet0/0/1] ip source check user-bind enable
　　[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
　　Q: 如何通过配置实现IP+端口绑定?
　　A: Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定，即实现某个端口只绑定某个特定源ip地址（只允许在绑定表内的和某个特定源ip地址的报文通过），不绑定mac。
　　例如，配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过，丢弃其他IP报文。
　　# 全局使能dhcp snoopying
　　[Quidway] dhcp snooping enable
　　# 定义高级ACL，匹配IP地址192.168.130.50
　　[Quidway] acl 3000
　　[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0
　　[Quidway-acl-adv-3000] rule 10 deny ip source any
　　[Quidway-acl-adv-3000] rule 15 deny ip destination any
　　# 创建流分类，匹配ACL

　　[Quidway] traffic>　　[Quidwayclassifier-c1] if-match acl 3000
　　# 创建流行为和流策略
　　[Quidway] traffic behavior b1
　　[Quidway-behavior-b1] permit
　　[Quidway] traffic policy p1

　　[Quidway-trafficpolicy-p1]>　　# 端口下应用流策略，只允许绑定表内的和源IP地址为192.168.130.50的报文通过
　　在V100R002C00的版本配置如下：
　　[Quidway] interface Ethernet 0/0/8
　　[Quidway-Ethernet0/0/8] port default vlan 4094
　　[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable
　　[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
　　在V100R003C00及以后的版本配置如下：
　　[Quidway] interface Ethernet 0/0/8
　　[Quidway-Ethernet0/0/8] port default vlan 4094
　　[Quidway-Ethernet0/0/8] ip source check user-bind enable
　　[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
　　Q: S2300/3300/5300系列交换机如何防止用户私设静态IP地址?
　　A: 防止用户私设静态IP地址，可以达到同一接口下只有与绑定的IP+MAC相同的用户数据或者是合法的DHCP自动获取IP地址的用户数据才能通过，其它用户数据不能通过。
　　S2300/3300/5300系列交换机虽然没有H3C交换机的am user-bind命令，但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如，若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外，其它所有静态IP用户都不能上网。配置如下：
　　配置设备的DHCP Snooping功能
　　# 使能全局DHCP Snooping功能。
　　[Quidway] dhcp snooping enable
　　# 配置用户侧接口所属的VLAN。
　　[Quidway] vlan 100
　　[Quidway-vlan100] quit
　　[Quidway] interface ethernet 0/0/1
　　[Quidway-Ethernet0/0/1] port default vlan 100
　　[Quidway-Ethernet0/0/1] quit
　　# 使能VLAN下的DHCP Snooping功能。
　　[Quidway] vlan 100
　　[Quidway-vlan100] dhcp snooping enable
　　# 配置在用户侧接口进行报文检查
　　[Quidway] interface ethernet 0/0/1
　　[Quidway-Ethernet0/0/1] dhcp snooping check arp enable
　　[Quidway-Ethernet0/0/1] dhcp snooping check ip enable
　　[Quidway-Ethernet0/0/1] quit
　　# 配置静态绑定表项
　　[Quidway] vlan 100
　　[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1