华为交换机各种配置实例 

交换机配置（一）端口限速基本配置

华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速

2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样!

2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置

1功能需求及组网说明 端口限速配置 『配置环境参数』

1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』

1. 在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps 2数据配置步骤

『S2000EI系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】

1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速，限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30

3. 对端口E0/1的入方向报文进行流量限速，限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】

报文速率限制级别取值为1～127。如果速率限制级别取值在1～28范围内，则速率限制的粒度为64Kbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为N*64K；如果速率限制级别取值在29～127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。

此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】

1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速，限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2

3. 对端口E0/1的入方向报文进行流量限速，限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】

对端口发送或接收报文限制的总速率，这里以8个级别来表示，取值范围为1～8，含义为：端口工作在10M速率时，1～8分别表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率时，1～8分别表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，

80M。

此系列交换机的具体型号包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进行流量限速。 【SwitchA相关配置】

1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速，限制到3Mbps [SwitchA- Ethernet0/1]line-rate 3

3. 配置acl，定义符合速率限制的数据流 [SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速，限制到1Mbps

[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1 exceed drop 【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为1Mbps。 此系列交换机的具体型号包括：S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。 『S3528、S3552系列交换机端口限速配置流程』

使用以太网物理端口下面的traffic-shape和traffic-limit命令，分别来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】

1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速，限制到3Mbps [SwitchA- Ethernet0/1]traffic-shape 3250 3250 3. 配置acl，定义符合速率限制的数据流 [SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速，限制到1Mbps

[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop

【补充说明】

此系列交换机的具体型号包括：S3528G/P和S3552G/P/F。 『S3900系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。 【SwitchA相关配置】

1. 进入端口E1/0/1的配置视图

[SwitchA]interface Ethernet 1/0/1

2. 对端口E0/1的出方向报文进行流量限速，限制到3Mbps [SwitchA- Ethernet1/0/1]line-rate 3000 3. 配置acl，定义符合速率限制的数据流 [SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速，限制到1Mbps

[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop 【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括：S3924、S3928P/F/TP和S3952P。 『S5600系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。 【SwitchA相关配置】

1. 进入端口E1/0/1的配置视图 [SwitchA]interface Ethernet 1/0/1

2. 对端口E0/1的出方向报文进行流量限速，限制到3Mbps [SwitchA- Ethernet1/0/1]line-rate 3000 3. 配置acl，定义符合速率限制的数据流 [SwitchA]acl number 4000

[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 对端口E0/1的入方向报文进行流量限速，限制到1Mbps

[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop 【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括：S5624P/F和S5648P。

交换机配置（二）端口绑定基本配置

1，端口+MAC a)AM命令

使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如： [SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。

b)mac-address命令

使用mac-address static命令，来完成MAC地址与端口之间的绑定。例如： [SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1 [SwitchA]mac-address max-mac-count 0

配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。 2，IP+MAC a)AM命令

使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如： [SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3

配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。

支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G b)arp命令

使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如： [SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3

配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。 3，端口+IP+MAC

使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。例如： [SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 配置说明：可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。

支持型号：S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS; S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)

交换机配置（三）ACL基本配置

1，二层ACL . 组网需求:

通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link

# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2，三层ACL

a)基本访问控制列表配置案例 . 组网需求:

通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL

# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。

[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei (3)激活ACL。

# 将traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-host b)高级访问控制列表配置案例 .组网需求:

公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2。要求正确配置ACL，限制研发部门在上班时间8:00至18:00访问工资服务器。 .配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 working-day (2)定义到工资服务器的ACL

# 进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。 [Quidway] acl name traffic-of-payserver advanced # 定义研发部门到工资服务器的访问规则。

[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei (3)激活ACL。

# 将traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver 3，常见病毒的ACL 创建acl

acl number 100 禁ping

rule deny icmp source any destination any 用于控制Blaster蠕虫的传播

rule deny udp source any destination any destination-port eq 69