月度归档: 2021 年 3 月

华为S系列网管交换机常用VLAN操作命令

加入VLAN前,需要修改接口的链路类型
一、修改接口的链路类型
接口的链路类型总共有4种,分别为:Access、Trunk、Hybrid、Dot1q-tunnel。不同版本,接口类型的修改方法不同。
V200R005及后续版本:直接执行命令port link-type { access | trunk | hybrid | dot1q-tunnel },然后根据提示输入“y”或“n”。当接口上VLAN的配置为缺省配置时,不会出现提示信息,会直接修改链路类型。
若输入“y”后回车,设备会自动删除接口上VLAN的非默认配置,然后设置接口的链路类型为指定的类型。
若输入“n”后回车,设备不做任何处理,保持当前的链路类型和接口上的VLAN配置不变。
例如:将接口类型修改为Hybrid。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid
Warning: This command will delete VLANs on this port. Continue?[Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment…done.
V200R005以前版本:当接口上VLAN的缺省配置为默认加入VLAN 1,并且PVID为VLAN 1,可以执行命令port link-type { access | trunk | hybrid | dot1q-tunnel },修改接口类型。

将接口类型修改为Access
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type access
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10 //设置接口的PVID为VLAN 10,并同时将VLAN 10加入接口

将接口类型修改为Trunk
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk
[HUAWEI-GigabitEthernet0/0/1] port trunk pvid vlan 10 //设置接口的PVID为VLAN 10
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 10 20 //将VLAN 2、VLAN 10和VLAN 20加入接口

将接口类型修改为Hybrid
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid
[HUAWEI-GigabitEthernet0/0/1] port hybrid pvid vlan 10 //设置接口的PVID为VLAN 10
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 2 10 //将接口以Untagged方式加入VLAN 2和VLAN 10
[HUAWEI-GigabitEthernet0/0/1] port hybrid tagged vlan 20 //将接口以Tag方式加入VLAN 20

将接口类型修改为Dot1q-tunnel
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type dot1q-tunnel
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10 //设置接口的PVID为VLAN 10,对该接口收到的所有数据报文统一封装一层VLAN为10的Tag
在修改链路类型时,如果接口上VLAN的配置不是缺省值,会出现以下提示信息:Error: Please renew the default configurations.

此时需要先把接口上VLAN的配置恢复为缺省值,然后再修改链路类型。
恢复Access或Dot1q-tunnel接口上VLAN的缺省配置
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] undo port default vlan

恢复Trunk接口上VLAN的缺省配置
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] undo port trunk pvid vlan
[HUAWEI-GigabitEthernet0/0/1] undo port trunk allow-pass vlan all
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 1

恢复Hybrid接口上VLAN的缺省配置
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] undo port hybrid pvid vlan
[HUAWEI-GigabitEthernet0/0/1] undo port hybrid vlan all
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 1

二、接口加入VLAN
Access接口加入VLAN
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type access //设置接口的链路类型为Access
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10 //把接口GigabitEthernet0/0/1加入VLAN 10

Trunk接口加入VLAN
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk //设置接口的链路类型为Trunk
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 //把接口GigabitEthernet0/0/1加入VLAN 10

Hybrid接口加入VLAN
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid //设置接口的链路类型为Hybrid
[HUAWEI-GigabitEthernet0/0/1] port hybrid tagged vlan 10 //接口GigabitEthernet0/0/1以Tagged方式加入VLAN 10
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 20 //接口GigabitEthernet0/0/1以Untagged方式加入VLAN 20

QinQ接口加入VLAN
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type dot1q-tunnel //设置接口的链路类型为QinQ
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10 //接口GigabitEthernet0/0/1加入VLAN 10

三、批量创建VLAN
系统视图下执行命令vlan batch,批量创建VLAN。
批量创建10个连续的VLAN:VLAN11到VLAN20。
<HUAWEI>system-view
[HUAWEI] vlan batch 11 to 20

批量创建10不连续的VLAN:VLAN10、VLAN15到VLAN19、VLAN25、VLAN28到VLAN30。
<HUAWEI>system-view
[HUAWEI] vlan batch 10 15 to 19 25 28 to 30
注:
批量创建不连续的VLAN时,一次最多可以输入10个不连续的VLAN或VLAN段,超过10个可以多次使用该命令进行配置。例如:vlan batch 10 15 to 19 25 28 to 30 一共是4个不连续的VLAN段。

四、接口批量加入VLAN
通过端口组可以把接口批量加入VLAN;对于Access接口,还可以在VLAN视图下直接批量将接口加入VLAN。

access接口类型。
通过端口组批量将接口加入VLAN
<HUAWEI>system-view
[HUAWEI] port-group pg1 //创建端口组pg1
[HUAWEI-port-group-pg1] group-member gigabitethernet1/0/1 to gigabitethernet1/0/5 //把接口gigabitethernet1/0/1到gigabitethernet1/0/5加入端口组
[HUAWEI-port-group-pg1] port link-type access //批量修改端口gigabitethernet1/0/1 to gigabitethernet1/0/5的链路类型为access
[HUAWEI-port-group-pg1] port default vlan 10 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5加入VLAN10

在VLAN视图下批量将接口加入VLAN<HUAWEI>system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] port gigabitethernet 1/0/1 to 1/0/5 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5加入VLAN10
注:
执行此操作前,须先将所有要批量加入VLAN的接口的接口类型配置为access。

trunk接口类型。
<HUAWEI>system-view
[HUAWEI] port-group pg1 //创建端口组pg1
[HUAWEI-port-group-pg1] group-member gigabitethernet1/0/1 to gigabitethernet1/0/5 //把接口gigabitethernet1/0/1到gigabitethernet1/0/5加入端口组
[HUAWEI-port-group-pg1] port link-type trunk //批量修改端口gigabitethernet1/0/1 to gigabitethernet1/0/5的链路类型为trunk
[HUAWEI-port-group-pg1] port trunk allow-pass vlan 10 20 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5加入VLAN10和VLAN20

hybrid接口类型。
<HUAWEI>system-view
[HUAWEI] port-group pg1 //创建端口组pg1
[HUAWEI-port-group-pg1] group-member gigabitethernet1/0/1 to gigabitethernet1/0/5 //把接口gigabitethernet1/0/1到gigabitethernet1/0/5加入端口组
[HUAWEI-port-group-pg1] port link-type hybrid //批量修改端口gigabitethernet1/0/1 to gigabitethernet1/0/5的链路类型为hybrid
[HUAWEI-port-group-pg1] port hybrid tagged vlan 10 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5以tagged方式加入VLAN10
[HUAWEI-port-group-pg1] port hybrid untagged vlan 20 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5 以untagged方式加入VLAN20

四、恢复接口下VLAN的缺省配置
接口下VLAN的缺省配置包括接口的PVID和接口缺省加入VLAN1。
恢复access接口的缺省配置。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo port default vlan

恢复trunk接口的缺省配置。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo port trunk pvid vlan
[HUAWEI-GigabitEthernet1/0/1] undo port trunk allow-pass vlan all
[HUAWEI-GigabitEthernet1/0/1] port trunk pvid vlan 1

恢复hybrid接口的缺省配置。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo port hybrid pvid vlan
[HUAWEI-GigabitEthernet1/0/1] undo port hybrid vlan all
[HUAWEI-GigabitEthernet1/0/1] port hybrid untagged vlan 1

五、删除VLAN
设备支持删除批量VLAN和删除单个VLAN两种方式。
删除单个VLAN10。
<HUAWEI>system-view
[HUAWEI] undo vlan 10

删除批量VLAN10到VLAN20。
<HUAWEI>system-view
[HUAWEI] undo vlan batch 10 to 20
注:
V200R005之前版本,如果VLAN已经绑定VLANIF接口,删除VLAN之前必须使用undo interface vlanif命令删除对应的VLANIF接口。

六、使用Access和Trunk接口连接用户主机
如图所示,PC划分在VLAN 10中,通过接入交换机SwitchA上行接入汇聚交换机SwitchB。

配置接入交换机SwitchA。
<HUAWEI>system-view
[SwitchA] vlan batch 10 //如果不适用batch,会进入VLAN视图,需要执行quit命令退出该视图
[SwitchA] interface gigabitethernet0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk //设置接口的链路类型为Trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 //把接口GigabitEthernet0/0/1加入VLAN 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type access //设置接口的链路类型为Access
[SwitchA-GigabitEthernet0/0/2] port default vlan 10 //把接口GigabitEthernet0/0/2加入VLAN 10
[SwitchA-GigabitEthernet0/0/2] quit

配置汇聚交换机SwitchB。
<HUAWEI>system-view
[SwitchB] vlan batch vlan 10 //如果不适用batch,会进入VLAN视图,需要执行quit命令退出该视图
[SwitchB] interface gigabitethernet0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk //设置接口的链路类型为Trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 //把接口GigabitEthernet0/0/1加入VLAN 10
[SwitchB-GigabitEthernet0/0/1] quit

七、使用Hybrid接口连接用户主机
如图所示,PC划分在VLAN 10中,通过接入交换机SwitchA上行接入汇聚交换机SwitchB。

配置接入交换机SwitchA。
<HUAWEI>system-view
[SwitchA] vlan batch 10 //如果不适用batch,会进入VLAN视图,需要执行quit命令退出该视图
[SwitchA] interface gigabitethernet0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid //设置接口的链路类型为Hybrid
[SwitchA-GigabitEthernet0/0/1] port hybrid tagged vlan 10 //把接口GigabitEthernet0/0/1以Tagged方式加入VLAN 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid //设置接口的链路类型为Hybrid
[SwitchA-GigabitEthernet0/0/2] port hybrid pvid vlan 10 //设置接口的PVID为VLAN 10
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 10 //把接口GigabitEthernet0/0/2以Untagged方式加入VLAN 10
[SwitchA-GigabitEthernet0/0/2] quit

配置汇聚交换机SwitchB。<HUAWEI>system-view
[SwitchB] vlan batch 10 //如果不适用batch,会进入VLAN视图,需要执行quit命令退出该视图
[SwitchB] interface gigabitethernet0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type hybrid //设置接口的链路类型为Hybrid
[SwitchB-GigabitEthernet0/0/1] port hybrid tagged vlan 10 //把接口GigabitEthernet0/0/1以Tagged方式加入VLAN 10
[SwitchB-GigabitEthernet0/0/1] quit




华为S系列网管交换机常用以太网接口操作命令

一、配置端口组
配置临时端口组
配置接口GE1/0/9至GE1/0/15加入到临时端口组(使用port-group group-member命令)。
<HUAWEI>system-view
[HUAWEI] port-group group-member gigabitethernet 1/0/9 to gigabitethernet 1/0/15
[HUAWEI-port-group]

配置接口GE1/0/16至GE1/0/20加入到临时端口组(使用interface range命令,此命令仅V200R003C00及后续版本支持)。
<HUAWEI>system-view
[HUAWEI] interface range gigabitethernet 1/0/16 to gigabitethernet 1/0/20
[HUAWEI-port-group]

配置永久端口组
配置接口GE1/0/1至GE1/0/8加入到永久端口组portgroup1(使用port-group命令)<HUAWEI>system-view
[HUAWEI] port-group portgroup1
[HUAWEI-port-group-portgroup1] group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/8

二、配置端口隔离
配置端口隔离组
配置接口GE1/0/1和GE1/0/2的端口隔离功能,实现两个接口之间的二层数据隔离,三层数据互通。
<HUAWEI>system-view
[HUAWEI] port-isolate mode l2
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-isolate enable group 1
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] port-isolate enable group 1
[HUAWEI-GigabitEthernet1/0/2] quit

配置接口GE1/0/10至GE1/0/20的端口隔离功能,实现多个接口之间的二三层数据均隔离。
<HUAWEI>system-view
[HUAWEI] port-isolate mode all
[HUAWEI] port-group portgroup1
[HUAWEI-port-group-portgroup1] group-member gigabitethernet 1/0/10 to gigabitethernet 1/0/20
[HUAWEI-port-group-portgroup1] port-isolate enable group 2
注:
S系列框式交换机均支持二层三层都隔离模式,S系列盒式交换机V100R006C05版本仅S2700SI、S2700EI不支持二层三层都隔离模式,V200R001及后续版本S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S2750EI、S5710-C-LI、S5710-X-LI、S5700S-LI、S5700LI、S5720S-LI、S5720LI、S6720LI、S6720S-LI不支持二层三层都隔离模式。

配置单向隔离
配置接口GE1/0/5与GE1/0/6、GE1/0/7、GE1/0/8的单向隔离功能,实现GE1/0/5接口发送的二层数据报文无法到达接口GE1/0/6、GE1/0/7、GE1/0/8。
<HUAWEI>system-view
[HUAWEI] port-isolate mode l2
[HUAWEI] interface gigabitethernet 1/0/5
[HUAWEI-GigabitEthernet1/0/5] am isolate gigabitethernet 1/0/6 to 1/0/8

三、配置Combo接口工作模式
Combo接口视图下执行命令combo-port { auto | copper | fiber },配置Combo接口工作模式。
配置接口GE1/0/1工作模式为电口模式。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] combo-port copper

指定Combo接口工作模式为auto,即自动选择模式时,系统将检测Combo光口是否有光模块插入,并根据如下情况进行模式选择:
Combo电口没有连接网线,当Combo光口插上光模块时,则Combo接口选择光口模式。
Combo电口已经连接网线,且Combo接口处于Up状态,此时即使Combo光口插上光模块,Combo接口仍选择为电口模式。但是设备重启后,Combo接口工作模式将变为光口模式。
Combo电口已经连接网线,且Combo接口处于Down状态,此时Combo光口插上光模块时,Combo接口将选择光口模式。
综上所述,Combo接口工作模式为自动选择模式时,只要Combo光口已插上光模块,则设备重启后,Combo接口都将选择光口模式。
强制指定Combo接口的工作模式时,需要根据本端与对端设备连接的接口类型进行配置。如果本端Combo电口与对端电口相连,则需要强制指定Combo接口的工作模式为copper;如果本端Combo光口与对端光口相连,则需要强制指定Combo接口的工作模式为fiber。

四、配置接口速率
自协商模式下,手动配置接口速率
配置以太网接口GE1/0/1在自协商模式下协商速率为100Mbit/s。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] negotiation auto
[HUAWEI-GigabitEthernet1/0/1] auto speed 100
说明:
GE光接口不支持在自协商模式下手动配置接口速率,插入GE光电模块的GE光接口除外。

非自协商模式下,配置接口速率
配置以太网接口GE1/0/1在非自协商模式下协商速率为100Mbit/s。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo negotiation auto
[HUAWEI-GigabitEthernet1/0/1] speed 100

五、配置双工模式
自协商模式下,手动配置双工模式配置以太网电接口GE1/0/1在自协商模式下双工模式为全双工模式。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] negotiation auto
[HUAWEI-GigabitEthernet1/0/1] auto duplex full

非自协商模式下,配置双工模式
配置以太网电接口GE1/0/1在非自协商模式下的双工模式为半双工模式。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo negotiation auto
[HUAWEI-GigabitEthernet1/0/1] duplex half
注:
盒式设备S6720EI、S6720HI和S6720S-EI的物理接口均不支持半双工模式。
框式设备的X系列单板的物理接口不支持半双工模式。其他单板上仅GE电口和FE电口支持半双工模式。
GE电接口工作速率为1000Mbit/s时,不支持半双工模式。

六、配置接口切换到三层模式
接口视图下执行命令undo portswitch,配置接口切换到三层模式。
将接口GE1/0/1切换为三层模式。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ip address 10.10.10.10 255.255.255.0
缺省情况下,以太网接口处于二层模式。
使用该命令进行接口的二三层模式切换时,接口下只能存在属性配置信息(例如shutdown、description配置),模式切换功能才可以生效。如果已经有业务配置存在时(例如port link-type trunk配置),需要先将该接口下的业务配置全部清除再执行该命令。
注:对于V200R005C00及后续版本,在接口使用命令undo portswitch,将以太网接口从二层模式切换到三层模式后,支持配置IP地址。

七、一键清除接口下的配置
在系统视图下执行命令clear configuration interface清除GE1/0/1接口下的配置。<HUAWEI>system-view
[HUAWEI] clear configuration interface gigabitethernet 1/0/1
Warning: All configurations of the interface will be cleared, and its state will be shutdown. Continue? [Y/N] :y
Info: Total 5 command(s) executed, 5 successful, 0 failed.

在接口视图下执行命令clear configuration this清除GE1/0/1接口下的配置。<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] clear configuration this
Warning: All configurations of the interface will be cleared, and its state will be shutdown. Continue? [Y/N] :y
Info: Total 3 command(s) executed, 3 successful, 0 failed.
i注:
执行命令一键式清除接口下配置后,接口的状态将被置为shutdown状态。


华为S系列网管交换机常用MAC相关操作命令

查看所有MAC地址
执行命令display mac-address,查看所有的MAC地址表项。

查看某个接口学习到的MAC地址
执行命令display mac-address dynamic gigabitethernet1/0/1,查看接口GE1/0/1学习到的MAC地址表项。

查看某个VLAN学习到的MAC地址
执行命令display mac-address dynamic vlan 10,查看VLAN 10学习到的MAC地址表项。

查看系统的MAC地址
可以通过下面两种方式,查看设备的MAC地址。
二层接口的MAC地址就是设备的MAC地址,执行命令display interface gigabitethernet1/0/1,显示信息中的00e0-f74b-6d00,即为设备的MAC地址。
在V200R002版本及之后版本,执行命令display bridge mac-address,查看设备的MAC地址。

查看接口的MAC地址
执行命令display interface gigabitethernet1/0/1,显示信息中的00e0-f74b-6d00,即为接口的MAC地址。

查看VLANIF接口的MAC地址
执行命令display interface vlanif10,显示信息中的00e0-0987-7891,即为VLANIF接口的MAC地址。

根据IP获取对应设备的MAC地址
执行命令display arp | include ip-address,即可获取指定IP对应设备的MAC地址。例如:根据IP地址192.168.150.20获取对应设备的MAC地址。
注:
如果显示的表项为空,则说明无法根据IP获取对应设备的MAC地址。
include后的参数指定为MAC时,可以根据MAC获取对应的IP地址。
回显内容,请以设备显示为准。

配置静态MAC地址
将与设备相连的固定上行设备或信任用户的MAC地址配置为静态MAC表项,可以保证其安全通信。
注:MAC地址绑定的接口必须属于vlan参数指定的VLAN,而且该VLAN必须事先已创建。

配置黑洞MAC地址
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
交换机提供两种配置黑洞MAC地址的方式:全局黑洞MAC地址和基于VLAN的黑洞MAC地址。
在系统视图下,配置MAC地址0000-0012-0034为全局黑洞MAC。
system-view
[HUAWEI] mac-address blackhole 0000-0012-0034

在系统视图下,配置MAC地址0000-0012-0035在VLAN10的广播域内为黑洞MAC地址
system-view
[HUAWEI] mac-address blackhole 0000-0012-0035 vlan 10

查看和配置MAC地址的老化时间
在系统视图下,执行命令mac-address aging-time 600,配置动态MAC地址的老化时间为600秒,缺省老化时间是300秒。
<HUAWEI>system-view
[HUAWEI] mac-address aging-time 600

在任意视图下,执行命令display mac-address aging-time,查看当前动态MAC地址老化的时间。
<HUAWEI>display mac-address aging-time
Aging time: 300 second(s)

配置MAC刷新ARP功能
在以太网中,MAC地址表项用于指导设备进行二层数据转发,ARP表项通过IP地址和MAC地址的映射指导设备进行不同网段间的通信。
MAC地址表项的出接口通过报文触发刷新的,ARP表项的出接口是在老化时间到后通过老化探测进行刷新的。这样就可能会出现MAC表项和ARP表项出接口不一致的情况,即MAC地址表项的出接口已刷新,而ARP表项的出接口没有及时刷新的情况。此时可以使能MAC刷新ARP的功能,在MAC地址表项出接口刷新时,直接刷新ARP表项的出接口。
配置MAC刷新ARP功能。
<HUAWEI>system-view
[HUAWEI] mac-address update arp

配置端口安全

配置端口安全功能,可以实现用户的动态绑定。通过配置接口MAC地址学习限制数的功能可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高设备与网络的安全性。
配置GE1/0/1接口的端口安全功能。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-security enable

配置GE1/0/1接口的MAC地址学习限制数为5,即最多可以学习到5个MAC地址表项。<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-security enable
[HUAWEI-GigabitEthernet1/0/1] port-security max-mac-num 5
说明:
在配置接口的MAC地址学习限制数之前,接口必须已经使能端口安全功能。



华为S系列网管交换机删除镜像配置数据

在使用完镜像功能后,如果希望将设备上的镜像配置删除,可按如下思路进行操作。

1、执行命令display current-configuration,查看设备当前镜像的配置。例如:在设备上查看到的当前配置如下。
<HUAWEI>display current-configuration
#
vlan batch 10 20 30
#
observe-port 2 interface GigabitEthernet1/0/1


#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2


#
interface GigabitEthernet2/0/1
port-mirroring to observe-port 2 inbound
#


2、在镜像端口下执行命令undo port-mirroring,删除观察端口与镜像端口的绑定关系,恢复镜像端口为普通端口。例如:将第1步示例中的GE2/0/1恢复为普通端口。
system-view
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] undo port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet2/0/1] quit

3、在系统视图下执行命令undo observe-port,删除观察端口。例如:将第1步示例中的观察端口删除,将GE1/0/1恢复为普通端口。
[HUAWEI] undo observe-port 2
只有先执行第2步,即先删除观察端口与镜像端口的绑定关系,才能删除观察端口。

华为S系列网管交换机配置流镜像

流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上,监控设备只对指定类型报文进行监测。流镜像有基于ACL和基于MQC(即复杂流分类)两种配置方式。前者配置简便,但是没有后者支持匹配的报文类型多,而且只支持入方向(即接收报文方向)的流镜像;后者配置复杂,但是支持匹配的报文类型比前者多,而且入方向、出方向(即发送报文方向)的流镜像都支持。

根据观察端口的不同,流镜像分为本地流镜像和二层远程流镜像。如何配置本地观察端口和二层远程观察端口,请参见配置观察端口,此处以配置本地流镜像为例。详细的配置举例请参见《典型配置案例》 网络管理与监控典型配置 中的“镜像典型配置”。

配置基于ACL的流镜像
配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1

创建ACL。例如:创建二层ACL,配置的规则是匹配802.1p优先级为6的报文。
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit 8021p 6
[HUAWEI-acl-L2-4001] quit

配置流镜像。例如:
将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-mirror inbound acl 4001 to observe-port 1

将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-mirror vlan 10 inbound acl 4001 to observe-port 1

将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] traffic-mirror inbound acl 4001 to observe-port 1

配置基于MQC的流镜像
配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1

创建流分类。例如:创建流分类c1,并配置流分类规则是匹配802.1p优先级为6的报文。[HUAWEI] traffic classifier c1
[HUAWEI-classifier-c1] if-match 8021p 6
[HUAWEI-classifier-c1] quit

创建动作是镜像的流行为。例如:创建流行为b1,并配置动作为流镜像。
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] mirroring to observe-port 1
[HUAWEI-behavior-b1] quit

创建流策略,并将流分类和流行为绑定到流策略上。例如:创建流策略p1,并将上面配置的流分类和流行为绑定到流策略p1上。
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
[HUAWEI-trafficpolicy-p1] quit


应用流策略。例如:
将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-policy p1 global inbound

将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。[HUAWEI] vlan 10
[HUAWEI-vlan10] traffic-policy p1 inbound

将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE2/0/1。
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] traffic-policy p1 inbound

华为S系列网管交换机配置端口镜像


端口镜像是指设备复制从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。根据观察端口的不同,端口镜像分为本地端口镜像和二层远程端口镜像。

端口镜像
将一个镜像端口的报文复制到一个观察端口上。例如:将镜像端口GE2/0/1入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound

N端口镜像
将一个镜像端口的报文复制到N个不同的观察端口上。例如:将镜像端口GE2/0/1入方向的报文(即接收到的报文)复制到观察端口GE1/0/1~GE1/0/3上,GE1/0/1~GE1/0/3与监控设备直连。

观察端口逐个进行配置
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] observe-port 2 interface gigabitethernet 1/0/2
[HUAWEI] observe-port 3 interface gigabitethernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 3 inbound

观察端口批量进行配置(V200R005及后续版本支持)
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound

配置N:1端口镜像
将N个镜像端口的报文复制到一个观察端口上。例如:将镜像端口GE2/0/1~GE2/0/3入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/1] quit
[HUAWEI] interface gigabitethernet 2/0/2
[HUAWEI-GigabitEthernet2/0/2] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/2] quit
[HUAWEI] interface gigabitethernet 2/0/3
[HUAWEI-GigabitEthernet2/0/3] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/3] quit

华为S系列网管交换机配置观察端口


配置任何一种镜像功能,都需要先将物理端口配置成观察端口。配置观察端口分单个配置和批量配置两种方式。批量配置的观察端口相当于加入了一个观察端口组,在配置镜像端口时,镜像端口会绑定整个观察端口组。因此批量配置一般在1:N镜像时使用,主要是为了配置方便。

配置单个观察端口
本地观察端口,即观察端口与监控设备直连
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1

二层远程观察端口,即观察端口通过二层网络向监控设备转发镜像报文
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 vlan 10

配置批量观察端口(V200R005及后续版本支持)
本地观察端口,即观察端口与监控设备直连
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3

二层远程观察端口,即观察端口通过二层网络向监控设备转发镜像报文
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3 vlan 10

华为S系列网管交换机堆叠配置教程

配置堆叠口
配置堆叠口就是在使用业务口组建堆叠时将业务口配置为堆叠成员口。
例如:将业务口XGE0/0/1配置为堆叠成员口。

V200R002之后的版本
system-view
[HUAWEI] interface stack-port 0/1
[HUAWEI-stack-port0/1] port interface xgigabitethernet 0/0/1 enable //将接口XGE0/0/1接口加入堆叠口,使业务口变为堆叠成员口,一次可以加入多个
Warning: Enabling stack function may cause configuration loss on the interface. Continue? [Y/N]:y
Info: This operation may take a few seconds. Please wait…….

V200R002及之前的版本
system-view
[HUAWEI] stack port interface xgigabitethernet 0/0/1 enable //配置接口XGE0/0/1为堆叠口
Warning: This operation will clear all configurations on these interfaces, continue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment…
[HUAWEI] interface stack-port 0/1
[HUAWEI-stack-port0/1] port member-group interface xgigabitethernet 0/0/1 //将接口XGE0/0/1加入堆叠口
注:
交换机一共支持两个堆叠口,分别是Stack-Portn/1和Stack-Portn/2,n表示交换机的堆叠ID。
业务口配置为堆叠成员口后,仅支持堆叠相关业务功能,其他业务功能不可用。接口下与堆叠不相关的命令会被屏蔽,仅保留description(接口视图)等接口基本命令。

修改堆叠口
将逻辑堆叠口stack-port0/1中的成员端口XGE0/0/1修改为XGE0/0/3。

V200R002之后的版本
system-view
[HUAWEI] interface stack-port 0/1
[HUAWEI-stack-port0/1] shutdown interface xgigabitethernet0/0/1 //为避免环路,先将成员口设置为down
[HUAWEI-stack-port0/1] undo port interface xgigabitethernet0/0/1 enable //将原来成员端口XGE0/0/1退出堆叠口,恢复为业务口
[HUAWEI-stack-port0/1] port interface xgigabitethernet0/0/3 enable //将接口XGE0/0/3设置为堆叠口

V200R002及之前的版本
system-view
[HUAWEI] interface stack-port 0/1
[HUAWEI-stack-port0/1] undo port member-group interface xgigabitethernet 0/0/1 //将原来的堆叠口删除
[HUAWEI-stack-port0/1] quit
[HUAWEI] undo stack port interface xgigabitethernet 0/0/1 enable //将接口恢复为业务口
[HUAWEI] stack port interface xgigabitethernet 0/0/3 enable //将接口XGE0/0/3使能为堆叠口
[HUAWEI] interface stack-port 0/1
[HUAWEI-stack-port0/1] port member-group interface xgigabitethernet 0/0/3 //将接口加入堆叠口

删除堆叠口
删除堆叠口就是将业务口从堆叠口中退出,恢复为正常的业务口。
例如:将堆叠成员口XGE0/0/1从堆叠口中删除。

V200R002之后的版本
system-view
[HUAWEI] interface stack-port 0/1
[HUAWEI-stack-port0/1] shutdown interface xgigabitethernet0/0/1 //为避免环路,先将成员口设置为down
[HUAWEI-stack-port0/1] undo port interface xgigabitethernet0/0/1 enable //将成员端口XGE0/0/1退出堆叠口,恢复为业务口

V200R002及之前的版本
system-view
[HUAWEI] interface stack-port 0/1
[HUAWEI-stack-port0/1] undo port member-group interface xgigabitethernet 0/0/1 //将接口XGE0/0/1从堆叠口中退出
[HUAWEI-stack-port0/1] quit
[HUAWEI] undo stack port interface xgigabitethernet 0/0/1 enable //将接口XGE0/0/1恢复为业务口

查看堆叠配置
堆叠的配置不会记录在配置文件中,所以无法通过display current-configuration查看配置。 执行命令display stack可以查看堆叠系统的信息。
执行命令display stack configurationdisplay stack current-configuration可以查看堆叠的相关配置,以V200R012C00版本为例。

如果堆叠成员端口带有*号,表示当前配置不生效,不生效的可能原因为:
1、当前配置为没有生效的配置。
2、堆叠成员端口为子卡上的接口,当前子卡不在位。
3、如果堆叠成员端口带有#号,表示当前配置是专用堆叠线缆自动生成但未执行save stack configuration或save命令把配置写入Flash。

使能和去使能堆叠
对于S5700EI和S5700SI设备,可以在系统视图下执行命令stack enableundo stack enable使能和去使能堆叠。使能和去使能堆叠都需要重启设备才生效。
对于除S5700EI和S5700SI之外支持堆叠的设备,堆叠功能默认使能,无法通过命令去使能。
可以通过删除堆叠口或拔掉堆叠线缆的方式取消堆叠。删除堆叠口的方法如下:

清除堆叠配置
对于V200R011C10及之后版本的设备,执行命令reset stack configuration可以清除堆叠相关配置。包括:交换机槽位号、堆叠优先级、堆叠保留VLAN、系统MAC切换时间、堆叠口配置、堆叠口速率配置。

对于V200R011C10之前版本的设备及,需要根据配置分别删除,配置删除后需要重启设备才生效。
恢复堆叠优先级:
system-view
[HUAWEI] stack slot 2 priority 100 //将2槽位号的优先级恢复为缺省值100
恢复槽位号:
system-view
[HUAWEI] stack slot 2 renumber 0 //将设备槽位号修改为0
恢复堆叠保留VLAN:
system-view
[HUAWEI] stack reserved-vlan 4093 //将堆叠保留VLAN恢复到缺省值4093
恢复系统MAC切换时间:
system-view
[HUAWEI] undo stack timer mac-address switch-delay
删除堆叠口
V200R002之后的版本
system-view
[HUAWEI] interface stack-port 0/1
[HUAWEI-stack-port0/1] shutdown interface xgigabitethernet0/0/1 //为避免环路,先将成员口设置为down
[HUAWEI-stack-port0/1] undo port interface xgigabitethernet0/0/1 enable //将成员端口XGE0/0/1退出堆叠口,恢复为业务口

V200R002及之前的版本
system-view
[HUAWEI] interface stack-port 0/1
[HUAWEI-stack-port0/1] undo port member-group interface xgigabitethernet 0/0/1 //将接口XGE0/0/1从堆叠口中退出
[HUAWEI-stack-port0/1] quit
[HUAWEI] undo stack port interface xgigabitethernet 0/0/1 enable //将接口XGE0/0/1恢复为业务口

华为S系列网管交换机配置通过STelnet登录设备

以登录用户界面的验证方式为AAA授权验证,用户名为admin123,密码为Huawei@123为例,配置如下。

在服务器端生成本地密钥对。
system-view
[HUAWEI] dsa local-key-pair create
Info: The key name will be: HUAWEI_Host_DSA.
Info: The key modulus can be any one of the following : 1024, 2048.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=2048]:
Info: Generating keys…
Info: Succeeded in creating the DSA host keys.

配置VTY用户界面。
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] protocol inbound ssh
[HUAWEI-ui-vty0-4] quit
注:如果设备中已经配置了VTY 0~VTY 4界面支持的协议为Telnet方式,如果将其修改为SSH方式,退出当前登录界面后,不能再使用Telnet方式登录设备。此时建议用户先配置VTY 0~VTY 4界面支持的协议为all,即支持所有的协议。在成功配置STelnet后可以再执行protocol inbound ssh命令配置VTY 0~VTY 4界面支持的协议为SSH。

新建用户名为admin123的SSH用户,且认证方式为Password。
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher Huawei@123
[HUAWEI-aaa] local-user admin123 service-type ssh
[HUAWEI-aaa] local-user admin123 privilege level 15
[HUAWEI-aaa] quit
[HUAWEI] ssh user admin123 authentication-type password

设备开启STelnet服务功能。
[HUAWEI] stelnet server enable

配置SSH用户admin123的服务方式为STelnet。
[HUAWEI] ssh user admin123 service-type stelnet

通过第三方软件(例如PuTTY)登录设备,输入设备的IP地址,选择协议类型为SSH,输入用户名和密码STelnet登录设备。
配置STelnet是否成功的测试方法:配置完成后在系统视图下执行ssh client first-time enable和stelnet 127.0.0.1命令登录设备本身。如果出现登录界面,则代表配置成功,否则配置失败。

华为S系列网管交换机使用基本ACL规则限制用户登录

通过STelnet/Telnet登录设备后,用户可以配置ACL规则限制用户登录的源地址,只允许特定IP的用户或者网段登录设备。
注:本操作中假设用户已经使用STelnet/Telnet登录设备。

配置ACL 2005规则,限制VTY 0~VTY 4界面只允许IP地址为192.168.1.5的用户和10.10.5.0/24网段的用户登录设备,配置如下。
system-view
[HUAWEI] acl 2005
[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0 //允许IP地址为192.168.1.5的用户登录设备。
[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255 //允许10.10.5.0/24网段的用户登录设备。
[HUAWEI-acl-basic-2005] quit
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] acl 2005 inbound
[HUAWEI-ui-vty0-4] quit

ICP备案号:晋ICP备18007549号-1
站长微信:15534641008