2022年2022年华为交换机各种配置实例 .pdf-淘文阁

资源描述

《2022年2022年华为交换机各种配置实例 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年华为交换机各种配置实例 .pdf（31页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、交换机配置（一）端口限速基本配置华为 3Com2000_EI、S2000-SI、S3000-SI、S3026E 、S3526E 、S3528 、S3552 、S3900 、S3050 、S5012 、S5024 、S5600系列:华为交换机端口限速2000_EI 系列以上的交换机都可以限速!限速不同的交换机限速的方式不一样!2000_EI 直接在端口视图下面输入LINE-RATE(4 ) 参数可选!端口限速配置1 功能需求及组网说明端口限速配置配置环境参数1. PC1和 PC2的 IP 地址分别为 10.10.1.1/24、10.10.1.2/24组网需求1. 在 SwitchA 上配置端口限

2、速，将PC1的下载速率限制在3Mbps ，同时将 PC1的上传速率限制在1Mbps2 数据配置步骤S2000EI 系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterfaceEthernet0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到3MbpsSwitchA-Ethernet0/1line-rateoutbound 303. 对端口 E0/1 的入方向报文进行流量限速，限制到1MbpsSwitchA-Ethernet0/1line

3、-rateinbound 16【补充说明】报文速率限制级别取值为1127。如果速率限制级别取值在128 范围内，则速率限制的粒度为64Kbps ，这种情况下，当设置的级别为 N ，则端口上限制的速率大小为 N*64K ；如果速率限制级别取值在29127 范围内，则速率限制的粒度为 1Mbps ，这种情况下，当设置的级别为N ，则端口上限制的速率大小为(N-27)*1Mbps。此系列交换机的具体型号包括：S2008-EI、S2016-EI 和 S2403H-EI。S2000-SI 和 S3000-SI 系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，来对该端口的出、

4、入报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterfaceEthernet0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到6MbpsSwitchA-Ethernet0/1line-rateoutbound 23. 对端口 E0/1 的入方向报文进行流量限速，限制到3MbpsSwitchA-Ethernet0/1line-rateinbound 1名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 31 页

5、 - - - - - - - - - 【补充说明】对端口发送或接收报文限制的总速率，这里以8 个级别来表示，取值范围为18，含义为：端口工作在10M速率时， 18分别表示 312K ，625K ，938K ，1.25M，2M ，4M ，6M ，8M ；端口工作在 100M速率时，18分别表示 3.12M，6.25M，9.38M，12.5M，20M ，40M ，60M ，80M 。此系列交换机的具体型号包括：S2026C/Z-SI、S3026C/G/S-SI 和 E026-SI。S3026E 、S3526E 、S3050 、S5012 、S5024 系列交换机端口限速配置流程使用以太网物理端口下

6、面的line-rate命令，对该端口的出方向报文进行流量限速；结合 acl ，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterfaceEthernet0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到3MbpsSwitchA-Ethernet0/1line-rate33. 配置 acl ，定义符合速率限制的数据流SwitchAaclnumber 4000SwitchA-acl-link-4000rulepermitingressany egress an

7、y4. 对端口 E0/1 的入方向报文进行流量限速，限制到1MbpsSwitchA-Ethernet0/1traffic-limitinbound link-group4000 1 exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合 acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置 acl 的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为1Mbps 。此系列交换机的具体型号包括： S3026E/C/G/

8、T、S3526E/C/EF 、S3050C 、S5012G/T和 S5024G 。S3528 、S3552系列交换机端口限速配置流程使用以太网物理端口下面的traffic-shape和 traffic-limit命令，分别来对该端口的出、入报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterfaceEthernet0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到3MbpsSwitchA-Ethernet0/1traffic-shape3250 32503. 配置 acl ，定义符合速率限制的数据流SwitchAaclnumb

9、er 4000SwitchA-acl-link-4000rulepermitingressany egress any4. 对端口 E0/1 的入方向报文进行流量限速，限制到1MbpsSwitchA-Ethernet0/1traffic-limitinbound link-group4000 1000 150000150000 1000 exceed drop【补充说明】名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 31 页 - - - - - - - - - 此系列交

10、换机的具体型号包括：S3528G/P和 S3552G/P/F。S3900系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合 acl ，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA 相关配置】1. 进入端口 E1/0/1 的配置视图SwitchAinterfaceEthernet1/0/12. 对端口 E0/1 的出方向报文进行流量限速，限制到3MbpsSwitchA-Ethernet1/0/1line-rate30003. 配置 acl ，定义

11、符合速率限制的数据流SwitchAaclnumber 4000SwitchA-acl-link-4000rulepermitingressany egress any4. 对端口 E0/1 的入方向报文进行流量限速，限制到1MbpsSwitchA-Ethernet1/0/1traffic-limitinbound link-group4000 1000exceed drop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合 acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置 acl 的时候，也可以通过

12、配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps 。此系列交换机的具体型号包括：S3924 、S3928P/F/TP 和 S3952P 。S5600系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合 acl ，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA 相关配置】1. 进入端口 E1/0/1 的配置视图SwitchAinterfaceEthernet1/0/12. 对端口

13、 E0/1 的出方向报文进行流量限速，限制到3MbpsSwitchA-Ethernet1/0/1line-rate30003. 配置 acl ，定义符合速率限制的数据流SwitchAaclnumber 4000SwitchA-acl-link-4000rulepermitingressany egress any4. 对端口 E0/1 的入方向报文进行流量限速，限制到1MbpsSwitchA-Ethernet1/0/1traffic-limitinbound link-group4000 1000exceed drop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制

14、，而traffic-limit命令必须结合 acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置 acl 的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 31 页 - - - - - - - - - 端口出入方向限速的粒度为64Kbps 。此系列交换机的具体型号包括：S5624P/F和 S5648P 。交换机配置（二）端口绑定基本配置1，端口+MA

15、Ca)AM命令使用特殊的 AMUser-bind 命令，来完成 MAC 地址与端口之间的绑定。例如：SwitchAam user-bindmac-address 00e0-fc22-f8d3interfaceEthernet0/1配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1 只允许 PC1上网，而使用其他未绑定的MAC 地址的 PC机则无法上网。但是PC1使用该 MAC 地址可以在其他端口上网。b)mac-address 命令使用 mac-address static命令，来完成 MAC 地址与端口之间的绑定。例如：SwitchAmac-addressstatic00e

16、0-fc22-f8d3interfaceEthernet0/1 vlan1SwitchAmac-addressmax-mac-count 0配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为 0，使其他 PC接入此端口后其 mac地址无法被学习。2，IP+MACa)AM命令使用特殊的 AMUser-bind 命令，来完成 IP 地址与 MAC 地址之间的绑定。例如：SwitchAamuser-bindip-address10.1.1.2mac-address 00e0-fc22-f8d3配置说明：以上配置完成对 PC机的 IP 地址和 MAC 地址的全局绑定，

17、即与绑定的IP 地址或者 MAC 地址不同的 PC机，在任何端口都无法上网。支持型号： S3026E/EF/C/G/T、S3026C-PWR、E026/E026T 、S3050C 、E050 、S3526E/C/EF 、S5012T/G 、S5024Gb)arp 命令使用特殊的 arp static命令，来完成 IP 地址与 MAC 地址之间的绑定。例如：SwitchAarpstatic10.1.1.200e0-fc22-f8d3配置说明：以上配置完成对PC机的 IP 地址和 MAC 地址的全局绑定。3，端口+IP+MAC使用特殊的 AMUser-bind 命令，来完成 IP、MAC 地址与端

18、口之间的绑定。例如：SwitchAamuser-bindip-address10.1.1.2mac-address 00e0-fc22-f8d3interfaceEthernet0/1配置说明：可以完成将PC1的 IP 地址、MAC 地址与端口 E0/1 之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口 E0/1 只允许 PC1上网，而使用其他未绑定的IP 地址、MAC 地址的 PC机则无法上网。但是 PC1使用该 IP地址和 MAC 地址可以在其他端口上网。支持型号：S3026E/S3026E-FM/S3026-FS ；S3026G ；S3026C ；S3026C-P

19、WR；E3026 ；E050 ；S3526E/C;S3526E-FM/FS; S5012T/G 、S5024G 、S3900 、S5600 、S6500(3代引擎)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 31 页 - - - - - - - - - 1，二层 ACL.组网需求:通过二层访问控制列表，实现在每天8:0018:00 时间段内对源 MAC 为00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。该主机从GigabitE

20、thernet0/1接入。. 配置步骤:(1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidwaytime-rangehuawei 8:00 to 18:00 daily(2) 定义源 MAC 为 00e0-fc01-0101目的 MAC 为 00e0-fc01-0303 的 ACL# 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。Quidwayaclnametraffic-of-linklink# 定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303的流分类规则。Quidway-acl-link-

21、traffic-of-linkrule1 deny ingress00e0-fc01-01010-0-0egress 00e0-fc01-03030-0-0time-rangehuawei(3) 激活 ACL 。# 将 traffic-of-link的 ACL激活。Quidway-GigabitEthernet0/1packet-filterlink-grouptraffic-of-link2，三层 ACLa)基本访问控制列表配置案例.组网需求:通过基本访问控制列表，实现在每天 8:0018:00 时间段内对源 IP 为 10.1.1.1主机发出报文的过滤。该主机从GigabitEthern

22、et0/1接入。. 配置步骤:(1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidwaytime-rangehuawei 8:00 to 18:00 daily(2) 定义源 IP 为 10.1.1.1的 ACL# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。Quidwayaclnametraffic-of-hostbasic# 定义源 IP 为 10.1.1.1的访问规则。Quidway-acl-basic-traffic-of-hostrule1 deny ipsource 10.1.1.10time-rangehuawei(3) 激活

23、 ACL 。# 将 traffic-of-host的 ACL激活。Quidway-GigabitEthernet0/1packet-filterinbound ip-grouptraffic-of-hostb)高级访问控制列表配置案例. 组网需求:公司企业网通过 Switch 的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2 。要求正确配置 ACL ，限制研发部门在上班时间8:00 至 18:00 访问工资服务器。. 配置步骤:(1) 定义时间段名师资料总结 - - -精品资料欢迎下载 - - - - - - -

24、 - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 31 页 - - - - - - - - - # 定义 8:00 至 18:00 的周期时间段。Quidwaytime-rangehuawei 8:00 to 18:00 working-day(2) 定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。Quidwayaclnametraffic-of-payserveradvanced# 定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-pa

25、yserverrule1 deny ipsource anydestination129.110.1.20.0.0.0time-rangehuawei(3) 激活 ACL 。# 将 traffic-of-payserver的 ACL激活。Quidway-GigabitEthernet0/1packet-filterinbound ip-grouptraffic-of-payserver3，常见病毒的 ACL创建 aclaclnumber 100禁 pingruledeny icmp source any destinationany用于控制 Blaster蠕虫的传播ruledeny udp s

26、ource any destinationany destination-porteq 69ruledeny tcpsource any destinationany destination-porteq 4444用于控制冲击波病毒的扫描和攻击ruledeny tcpsource any destinationany destination-porteq 135ruledeny udp source any destinationany destination-porteq 135ruledeny udp source any destinationany destination-porteq

27、 netbios-nsruledeny udp source any destinationany destination-porteqnetbios-dgmruledeny tcpsource any destinationany destination-porteq 139ruledeny udp source any destinationany destination-porteq 139ruledeny tcpsource any destinationany destination-porteq 445ruledeny udp source any destinationany d

28、estination-porteq 445ruledeny udp source any destinationany destination-porteq 593ruledeny tcpsource any destinationany destination-porteq 593用于控制振荡波的扫描和攻击ruledeny tcpsource any destinationany destination-porteq 445ruledeny tcpsource any destinationany destination-porteq 5554ruledeny tcpsource any d

29、estinationany destination-porteq 9995ruledeny tcpsource any destinationany destination-porteq 9996用于控制Worm_MSBlast.A蠕虫的传播ruledeny udp source any destinationany destination-porteq 1434下面的不出名的病毒端口号（可以不作）ruledeny tcpsource any destinationany destination-porteq 1068ruledeny tcpsource any destinationany

30、destination-porteq 5800ruledeny tcpsource any destinationany destination-porteq 5900ruledeny tcpsource any destinationany destination-porteq 10080名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 31 页 - - - - - - - - - ruledeny tcpsource any destinationany destina

31、tion-porteq 455ruledeny udp source any destinationany destination-porteq 455ruledeny tcpsource any destinationany destination-porteq 3208ruledeny tcpsource any destinationany destination-porteq 1871ruledeny tcpsource any destinationany destination-porteq 4510ruledeny udp source any destinationany de

32、stination-porteq 4334ruledeny tcpsource any destinationany destination-porteq 4331ruledeny tcpsource any destinationany destination-porteq 4557然后下发配置packet-filterip-group100目的：针对目前网上出现的问题，对目的是端口号为1434 的 UDP报文进行过滤的配置方法，详细和复杂的配置请看配置手册。NE80的配置：NE80(config)#rule-mapr1 udp any any eq 1434/r1为 role-map 的名

33、字， udp 为关键字， any any 所有源、目的 IP，eq 为等于，1434 为 udp端口号NE80(config)#acla1 r1 deny/a1 为 acl 的名字， r1 为要绑定的 rule-map 的名字，NE80(config-if-Ethernet1/0/0)#access-groupacla1/ 在 1/0/0 接口上绑定 acl ，acl 为关键字， a1 为 acl 的名字NE16的配置：NE16-4(config)#firewallenable all/ 首先启动防火墙NE16-4(config)#access-list101 deny udp any any

34、 eq 1434/deny 为禁止的关键字，针对udp报文，any any 为所有源、目的IP，eq 为等于， 1434为 udp端口号NE16-4(config-if-Ethernet2/2/0)#ipaccess-group101 in/ 在接口上启用 access-list，in 表示进来的报文，也可以用 out 表示出去的报文中低端路由器的配置RouterfirewallenableRouteracl101Router-acl-101ruledeny udp source any destionany destination-porteq1434Router-Ethernet0fir

35、ewallpacket-filter101 inbound6506产品的配置：旧命令行配置如下：6506(config)#aclextended aaa deny protocoludp any any eq 14346506(config-if-Ethernet5/0/1)#access-groupaaa国际化新命令行配置如下：Quidwayaclnumber 100Quidway-acl-adv-100ruledeny udp source any destinationanydestination-porteq 1434Quidway-acl-adv-100quit名师资料总结 - -

36、-精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 31 页 - - - - - - - - - Quidwayinterfaceethernet5/0/1Quidway-Ethernet5/0/1packet-filterinbound ip-group100not-care-for-interface5516产品的配置：旧命令行配置如下：5516(config)#rule-mapl3 aaa protocol-typeudp ingressany egress anyeq 14345516(c

37、onfig)#flow-actionfffdeny5516(config)#aclbbb aaa fff5516(config)#access-groupbbb国际化新命令行配置如下：Quidwayaclnum100Quidway-acl-adv-100ruledeny udp source any destinationanydestination-porteq 1434Quidwaypacket-filterip-group1003526产品的配置：旧命令行配置如下：rule-mapl3r1 0.0.0.00.0.0.01.1.0.0255.255.0.0eq 1434flow-actio

38、nf1 denyaclacl1r1 f1access-groupacl1国际化新命令配置如下：aclnumber 100rule0 deny udp source 0.0.0.00 source-porteq 1434 destination1.1.0.00packet-filterip-group101 rule0注：3526 产品只能配置外网对内网的过滤规则，其中1.1.0.0255.255.0.0是内网的地址段。8016产品的配置：旧命令行配置如下：8016(config)#rule-mapintervlanaaa udpanyanyeq 14348016(config)#aclbbb

39、aaa deny8016(config)#access-groupaclbbb vlan10 portall国际化新命令行配置如下：8016(config)#rule-mapintervlanaaa udpanyanyeq 14348016(config)#eaclbbb aaa deny8016(config)#access-groupeaclbbb vlan10 portall防止同网段 ARP欺骗的 ACL一、组网需求：1. 二层交换机阻止网络用户仿冒网关IP 的 ARP攻击二、组网图：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

40、- - - 名师精心整理 - - - - - - - 第 8 页，共 31 页 - - - - - - - - - 图 1 二层交换机防 ARP攻击组网S3552P是三层设备，其中IP：100.1.1.1是所有 PC的网关， S3552P上的网关MAC 地址为 000f-e200-3999 。PC-B上装有 ARP 攻击软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关IP 的 ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL （number 为 5000 到 5999）的交换机，可以配置ACL来进行 ARP报文过滤。全局配置 ACL禁止所有源 I

41、P 是网关的 ARP报文aclnum5000rule0 deny 0806 ffff24 64010101 ffffffff40rule1 permit0806 ffff24 000fe2003999 ffffffffffff34其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP报文禁掉，其中斜体部分64010101是网关 IP 地址 100.1.1.1的 16进制表示形式。Rule1 允许通过网关发送的 ARP报文，斜体部分为网关的mac地址 000f-e200-3999 。注意：配置 Rule 时的配置顺序，上述配置为先下发后生效的情况。在 S3026C-A系统视图下发

42、acl 规则：S3026C-A packet-filteruser-group5000这样只有 S3026C_A 上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的 arp 响应报文。三层交换机实现仿冒网关的ARP防攻击一、组网需求：1.三层交换机实现防止同网段的用户仿冒网关IP 的 ARP攻击二、组网图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 31 页 - - - - - - - - - 图 2 三层交换机防 ARP攻击组网三、配置步骤1. 对于

43、三层设备，需要配置过滤源 IP 是网关的 ARP报文的 ACL规则，配置如下ACL规则：aclnumber 5000rule0 deny 0806 ffff24 64010105 ffffffff40rule0 禁止 S3526E的所有端口接收冒充网关的ARP 报文，其中斜体部分 64010105是网关 IP 地址 100.1.1.5的 16 进制表示形式。2. 下发 ACL到全局S3526E packet-filteruser-group5000仿冒他人 IP 的 ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项，因此在网关设备上还需对用户仿冒他人 IP 的 ARP

44、攻击报文进行过滤。二、组网图：参见图 1 和图 2三、配置步骤：1. 如图 1 所示，当 PC-B发送源 IP 地址为 PC-D的 arp reply 攻击报文，源 mac是 PC-B的 mac (000d-88f8-09fa)，源 ip 是 PC-D的 ip(100.1.1.3)，目的 ip和 mac是网关（ 3552P ）的，这样 3552 上就会学习到错误的arp，如下所示：-错误 arp 表项-IP AddressMACAddressVLANIDPortNameAging Type100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic100.1.1.3

45、000f-3d81-45b41Ethernet0/220Dynamic从网络连接可以知道PC-D的 arp 表项应该学习到端口E0/8 上，而不应该学习到E0/2 端口上。但实际上交换机上学习到该ARP 表项在 E0/2。上述现象可以在S3552上配置静态 ARP 实现防攻击：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 31 页 - - - - - - - - - arp static100.1.1.3000f-3d81-45b41 e0/82. 在图 2 S35

46、26C上也可以配置静态ARP来防止设备学习到错误的ARP表项。3. 对于二层设备（ S3050C和 S3026E系列），除了可以配置静态ARP 外，还可以配置 IPMAC port 绑定，比如在 S3026C端口 E0/4 上做如下操作：am user-bindip-addr100.1.1.4mac-addr 000d-88f8-09fainte0/4则 IP 为 100.1.1.4并且 MAC 为 000d-88f8-09fa的 ARP 报文可以通过 E0/4 端口，仿冒其它设备的 ARP报文则无法通过，从而不会出现错误ARP表项。四、配置关键点：此处仅仅列举了部分QuidwayS系列以太网

47、交换机的应用。在实际的网络应用中，请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。5，关于 ACL规则匹配的说明a) ACL直接下发到硬件中的情况交换机中 ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条 ACL中多个子规则的匹配顺序是由交换机的硬件决定的，用户即使在定义 ACL时配置了匹配顺序也不起作用。ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用 ACL 、硬件转发时通过 ACL过滤转发数据等。b) ACL被上层模块引用的情况交换机也使用 ACL来对由软件处理的报文进行过滤和流分类。此时 A

48、CL子规则的匹配顺序有两种： config （指定匹配该规则时按用户的配置顺序）和auto（指定匹配该规则时系统自动排序，即按“深度优先”的顺序）。这种情况下用户可以在定义 ACL的时候指定一条 ACL中多个子规则的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序，就不能再更改该顺序。只有把该列表中所有的规则全部删除后，才能重新指定其匹配顺序。ACL被软件引用的情况包括：路由策略引用 ACL 、对登录用户进行控制时引用ACL等交换机配置（四）密码恢复说明：以下方法将删除原有config文件，使设备恢复到出厂配置。在设备重启时按 Ctrl+B 进入 BOOTMENU 之后，Press

49、 Ctrl-Bto enterBoot Menu.5Password :缺省为空，回车即可1. Download applicationfileto flash2. Selectapplicationfileto boot3. Displayallfilesinflash4. Deletefilefrom Flash5. Modifybootrom password0. RebootEnteryour choice(0-5):4选择 4No.FileNameFileSize(bytes)=名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -

50、- - 名师精心整理 - - - - - - - 第 11 页，共 31 页 - - - - - - - - - 1S3026CGSSI.btm2572242wnm2.2.2-0005.zip4478273snmpboots44*R0023P01.app29856915hostkey4286serverkey5727vrpcfg.txt1281Free Space : 3452928 bytesThe currentapplicationfileisR0023P01.appPlease inputthe filenumber to delete:7选择 7, 删除当前的配置文件Do you w

展开阅读全文