华为quidways3000系列配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Quidway S3000系列以太网交换机的型号:
①S3026交换机
②S3026 FS交换机、S3026FM交换机
③S3026E交换机
④S3026E FS交换机、S3026E FM
⑤S3050C-48交换机
Telnet用户登录时,缺省需要进行口令认证。
system-view
user-interface vty 0
set authentication password simple 6300723
改变语言模式:
<Quidway>language-mode chinese
<Quidway>language-mode english
设置交换机的名称:
sysname sysname
设置系统时钟:
clock datatime 时:分:秒年:月:日
display version——可以看到VRP版本。
display current-configuration
显示VLAN相关信息:
display vlan
display vlan vlan-id
display vlan all
AUX用户:
通过Console口对以太网交换机进行访问,每台以太网交换机最多只有一个。
VTY用户:
通过Telnet对以太网交换机进行访问,每台交换机最多可以有5个。
(在Quidway系列以太网交换机中,AUX口和Console口是同一个口。
)
user-interface vty 0 4
protocol inbound {all,ssh,telnet}(配置用户界面支持的协议,只能在vty用户下进行。
缺省情况下,系统只支持telnet协议。
)
= = = = =
如果配置用户界面支持SSH协议,为确保登录成功,应该配置相应的认证方式为authentication-mode scheme。
如果配置认证方式为authentication-mode password和authentication-mode none,则protocol inbound ssh配置结果将失败。
波特率为9600bit/s;
数据位为8;
奇偶校验为无;
停止位为1;
数据流控制为无;
user-interface aux 0
speed 9600(配置AUX口的传输速率,默认为9600bit/s。
)
flow-control none(配置AUX口的流控方式,默认为none,即不进行流控。
)parity none(配置AUX口的校验方式,默认为none,即无校验位。
)
stopbits 1(配置AUX口的停止位,默认为1。
)
databits 8(配置AUX口的数据位,默认为8位。
)
启动、关闭终端服务:
当关闭某用户界面的终端服务后,通过该用户界面将不能登录以太网交换机。
对于在关闭之前已经通过该用户界面登录的用户,仍然可以进行操作。
但当用户退出该用户界面后,将不能再次登录。
只有启动该用户界面的终端服务后,才能通过该用户界面登录以太网交换机。
启动终端服务:shell
关闭终端服务:undo shell
超时断开设置:
缺省情况下,启动了超时断连功能,时间是10分钟。
user-interface aux 0或者user-interface vty 0
idle-timeout 分秒
(idle-timeout 0表示关闭超时中断连接功能。
)
end——对应return
exit——对应quit
锁住用户界面,防止当用户离开时,其它人对该用户界面进行操作。
<Quidway>lock
设置用户登录验证方式:
缺省情况下,Console口用户登录不需要进行终端验证;而Telnet用户登录需要进行口令验证。
= = = = =
不需要验证
user-interface vty 0
authentication-mode none
= = = = =
本地口令验证
user-interface vty 0
authentication-mode password(需要口令验证)
set authentication password simple 6300723(明文)
或set authentication password cipher 6300723(密文)
= = = = =
本地或远端用户名和口令验证
例:设置用户从vty 0用户界面登录时,需要进行用户名和口令验证,且登录用户名和口令分别为huawei和6300723。
user-interface vty 0
authentication-mode scheme
quit
local-user huawei
password simple 6300723
service-type telnet
= = = = =
user-interface vty 0
user privilege level 3
缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级,从VTY用户界面登录后可以访问的命令级别为0级。
(0:参观级别,1:监控级别,2:配置级别,3:管理级别)
Quidway系列二层以太网交换机同时只能有一个VLAN对应的VLAN接口可以配置IP地址——这个VLAN就是管理VLAN。
interface vlan-interface 1(管理VLAN接口)
ip address toma5600(为管理VLAN接口指定描述字符)
undo shutdown
配置静态路由:
ip route-static ip-address {mask,mask-length}
ip route-static default-preference default-preference-value(配置静态路由的缺省优先级。
缺省情况下,default-preference-value的值为60。
注意,S3026交换机不支持该配置。
)
display ip interface vlan-interface vlan-id(查看管理VLAN接口IP的相关信息)display interface vlan-interface(查看管理VLAN接口的相关信息)
display ip routing-table(查看路由表信息)
display ip routing-table verbose(查看路由表详细信息)
interface ethernet 0/1
description thisisethernet0/1(描述)
duplex auto,duplex full,duplex half(以太网口的双工状态,auto:自协商)speed 10,speed 100,speed auto(百兆以太网口的速率)
speed 10,speed 100,speed 1000,speed auto(千兆以太网口的速率)
undo shutdown
以太网口有三种链路类型:Access,Hybrid和Trunk。
Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口。
Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口。
Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间的连接,也可以用于连接用户的计算机。
Hybrid端口和Trunk端口的不同之处在于:
Hybrid端口可以允许多个VLAN的报文发送时不打标签,
而Trunk端口只允许缺省VLAN的报文发送时不打标签。
interface ethernet 0/1
port link-type access(设置为Access端口)
port link-type hybrid(设置为Hybrid端口)
port link-type trunk(设置为Trunk端口)
undo shutdown
三种类型的端口可以共存在一台以太网交换机上。
但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型的端口。
例如,Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
(缺省情况下,端口为Access端口。
)
把当前以太网口加入到指定VLAN:
(Access端口只能加入到1个VLAN中,Hybrid端口和Trunk端口可以加入到多个VLAN中。
)
interface ethernet 0/1
port access vlan 2(把当前Access口加入到指定vlan)
port hybrid vlan 2 {tagged,untagged}(把当前Hybrid口加入到指定vlan)
port trunk permit vlan 2(把当前Trunk口加入到指定vlan)
undo shutdown
Hybrid口和Trunk口可以加入到多个VLAN中,从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。
Hybrid口还可以设置哪些VLAN的报文打上标签,哪些不打标签。
= = = = =
(方法二:vlan 2,port ethernet0/1 ethernet0/2)
设置以太网口缺省VLAN ID:
Access口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置。
而Hybrid口和Trunk口属于多个VLAN,所以需要设置缺省VLAN ID。
如果设置了端口的缺省VLAN ID,当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口;
当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文。
interface ethernet 0/1
port hybrid pvid vlan 2(设置Hybrid口的缺省VLAN ID)
port trunk pvid vlan 2(设置Trunk口的缺省VLAN ID)
undo shutdown
本Hybrid口或本Trunk口的缺省VLAN ID和相连的对端交换机的Hybrid口或Trunk 口的缺省VLAN ID必须一致,否则报文将不能正确传输。
= = = = =
默认情况下,Hybrid口和Trunk口的缺省VLAN为VLAN 1。
端口的VLAN过滤功能:
开启端口的VLAN过滤功能后,当该端口收到带有VLAN Tag的报文时,会判断该VLAN是否可以从该端口通过,不能通过则被过滤掉。
而当关闭端口的VLAN过滤功能后,当该端口收到带有VLAN Tag的报文时,会判断该VLAN是否已经在交换机中创建并包含了端口,如果已经创建并包含端口,则该报文被转发到属于此VLAN的端口。
否则,将会被丢弃。
interface ethernet 0/1
port vlan filter disable(关闭端口VLAN的过滤功能)
undo shutdown
(默认端口VLAN的过滤功能开启。
)
以太网端口配置举例:
vlan 2
quit
vlan 100
quit
vlan 6 to 50
quit
interface ethernet 0/8
port link-type trunk
port trunk permit vlan 2 6 to 50 100(允许vlan 2,vlan 6-50,vlan 100通过)
port trunk pvid vlan 100
undo shutdown
(Switch B上应作相应的配置)
= = = = =
使用display interface或display port检查该端口是否为Trunk口或Hybrid口。
如果不是,则应先将其配置成Trunk口或Hybrid口——接着再配置缺省VLAN ID。
= = = = =
(方法二:vlan 2,port ethernet0/1 ethernet0/2)
以太网端口汇聚配置:
端口汇聚是将多个端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分组,同时也提供了更高的连接可靠性。
一台S2000系列以太网交换机只能有1个汇聚组,1个汇聚组最多可以有4个端口。
S2026以太网交换机的两个扩展模块可以汇聚成1个汇聚组。
组内的端口号必须连续。
一台S3026交换机只能有1个汇聚组,1个汇聚组最多可以有4个端口。
另外,两个扩展模块可以汇聚成1个汇聚组。
一台S3026E/S3050C-48交换机最多可以有6个汇聚组,1个汇聚组最多可以有8个端口。
另外,两个扩展模块可以汇聚成1个汇聚组。
组内的端口号必须连续。
一台S3026FM/S3026FS交换机最多可以有4个汇聚组,1个汇聚组最多可以有8个端口。
端口起始值只能为Ethernet0/1、Ethernet0/9、Ethernet1/5、Gigabitethernet3/1。
如果组内的端口跨越了两个槽,则槽号必须连续。
一台S3026E FM/S3026E FS交换机最多可以有6个汇聚组,1个汇聚组最多可以有8个端口。
如果组内的端口跨越了两个槽,则槽号必须连续。
在一个端口汇聚组中,端口号最小的作为主端口,其他的作为成员端口。
同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致。
如主端口为Trunk口,则成员端口也为Trunk口。
[Quidway]link-aggregation ethernet0/1 to ethernet0/3 {both,ingress}
进行汇聚的以太网端口必须同为10M_FULL或100M_FULL或1000M_FULL,否则无法实现汇聚。
display link-aggregation ethernet0/1
(显示汇聚端口信息,后接master_interface_name)
以太网端口汇聚配置举例:
Switch A:
link-aggregation ethernet0/1 to ethernet0/3 both
display link-aggregation ethernet0/1
(Switch B上应作相应的配置,汇聚才能生效)
VLAN配置:
vlan 2
port ethernet0/1 ethernet0/2(为VLAN指定以太网口)
quit
vlan 3
port ethernet0/3 ethernet0/4
(Trunk口和Hybrid口只能在以太网口视图下的port命令中加入VLAN或从VLAN
中删除,而不能通过本命令实现——即interface ethernet 0/2,port link-type trunk,port trunk permit vlan 2)
显示VLAN相关信息:
display vlan
display vlan vlan-id
display vlan all
isolate-user-vlan配置:
isolate-user-vlan是华为公司系列交换机的一个特性。
isolate-user-vlan采用二层VLAN结构,在一台交换机上设置isolate-user-vlan和Secondary VLAN两类VLAN。
一个isolate-user-vlan和多个Secondary VLAN对应,isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的isolate-user-vlan,而不必关心isolate-user-vlan中包含的Secondary VLAN,节省了VLAN资源。
同时,用户可以采用isolate-user-vlan实现二层报文的隔离,即为每个用户分配一个Secondary VLAN,每个Secondary VLAN中只包含该用户连接的端口和上行端口。
如果希望实现用户之间二层报文的互通,只要将这些用户连接的端口划入同一个Secondary VLAN中即可。
= = = = =
vlan 3
isolate-user-vlan enable(设置VLAN类型为isolate-user-vlan)
port ethernet 0/1(向isolate-user-vlan中添加端口列表)
= = = = =
isolate-user-vlan不能和Trunk端口同时配置,即如果交换机上配置了isolate-user-vlan,就不能配置Trunk口。
如果配置了Trunk口,就不能配置
isolate-user-vlan。
此外,上行口必须添加到了isolate-user-vlan中。
= = = = =
vlan 4(这样等于创建了Secondary VLAN)
port ethernet 0/1(向Secondary VLAN中添加端口列表)
isolate-user-vlan典型配置:
Switch B上的VLAN 5为isolate-user-vlan,包含上行端口ethernet 1/1和两个Secondary VLAN。
配置Switch B:
vlan 5
isolate-user-vlan enable
port ethernet 1/1
quit
vlan 3
port ethernet 0/1
quit
vlan 2
port ethernet 0/2
quit
isolate-user-vlan 5 secondary 2 to 3(配置isolate-user-vlan和Secondary VLAN间的映射关系)
配置Switch C:
vlan 6
isolate-user-vlan enable
port ethernet 1/1
vlan 3
port ethernet 0/3
vlan 4
port ethernet 0/4
quit
isolate-user-vlan 6 secondary 3 to 4
ACL:Access Control List——访问控制列表
ACL配置之——创建时间段:
①time-range time-name start-time to end-time days-of-the-week
②time-range time-name start-time to end-time days-of-the-week from start-time start-data
③time-range time-name start-time to end-time days-of-the-week from start-time start-data to end-time end-data
④time-range time-name from start-time start-data
⑤time-range time-name from start-time start-data to end-time end-data
(如果定义ACL时不使用参数time-range,则此访问控制列表激活后将在任何时刻都生效。
)
(在定义ACL的子规则时,用户可以多次使用rule命令给同一个访问控制列表定义多条规则。
)
访问控制列表的数目限制:
基于数字标识的基本访问控制列表:2000~2999
基于数字标识的高级访问控制列表:3000~3999
基于数字标识的二层访问控制列表:4000~4999
基于数字标识的用户自定义型访问控制列表:5000~5999
一条访问控制列表可以定义的子规则:0~127
S3026 FM/FS访问控制列表案例之——高级访问控制列表配置:
公司企业网通过Switch的百兆端口实现各部门之间的互连。
财务部门的工资查询服务器由Ethernet 2/1端口接入。
(工资查询服务器IP:)。
配置ACL,在上班时间8:00至18:00,其它部门禁止访问工资服务器。
= = = = =
time-range huawei 8:00 to 18:00 working-day
定义到工资服务器的ACL
acl name traffic-of-payserver advanced
定义其它部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver]
rule 1 deny ip source any destination time-range huawei
quit
(deny:拒绝,destination:目的地)
激活ACL:
packet-filter ip-group traffic-of-payserver
S3026 FM/FS访问控制列表案例之——基本访问控制列表配置:
在每天8:00~18:00时间段内对源IP为的主机发出报文的过滤。
= = = = =
time-range huawei 8:00 to 18:00 daily
定义基于名字的基本访问控制列表
acl name traffic-of-host basic
定义源IP为的访问规则
[Quidway-acl-basic-traffic-of-host]
rule 1 deny ip source 0 time-range huawei
quit
激活ACL
packet-filter ip-group traffic-of-host
S3026 FM/FS访问控制列表案例之——二层访问控制列表配置:
实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101、目的MAC为00e0-fc01-0303报文的过滤。
= = = = =
time-range huawei 8:00 to 18:00 daily
acl name traffic-of-link link
定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则[Quidway-acl-link-traffic-of-link]
rule 1 deny ingress 00e0-fc01-0101 egress 00e0-fc01-0303 time-range huawei
quit
packet-filter link-group traffic-of-link
S3026E系列和S3050C-48访问控制列表案例之——高级访问控制列表:
限制其它部门在上班时间8:00至18:00访问工资服务器,
而总裁办公室(IP地址:)不受限制,可以随时访问。
= = = = =
time-range huawei 8:00 to 18:00 working-day
acl name traffic-of-payserver advanced
(advanced:高级的)
定义其它部门到工资服务器的访问规则
rule 1 deny ip source any destination time-range huawei
定义总裁办公室到工资服务器的访问规则
rule 2 permit ip source destination 激活ACL
packet-filter ip-group traffic-of-payserver
S3026E系列和S3050C-48访问控制列表案例之——基本访问控制列表:
在每天8:00~18:00时间段内对源IP为的主机发出报文的过滤。
= = = = =
time-range huawei 8:00 to 18:00 daily
定义基于名字的基本访问控制列表
acl name traffic-of-host basic
定义源IP为的访问规则
[Quidway-acl-basic-traffic-of-host]
rule 1 deny ip source 0 time-range huawei
quit
激活ACL
packet-filter ip-group traffic-of-host
S3026E系列和S3050C-48访问控制列表案例之——二层访问控制列表:
实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。
= = = = =
time-range huawei 8:00 to 18:00 daily
acl name traffic-of-link link
(高级访问控制列表:advanced
基本访问控制列表:basic
二层访问控制列表:link
用户自定义:user)
定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则[Quidway-acl-link-traffic-of-link]
rule 1 deny ingress 00e0-fc01-0101 egress 00e0-fc01-0303 time-range huawei
quit
packet-filter link-group traffic-of-link
(ingress:入口,egress:出口)
S3026E系列和S3050C-48访问控制列表案例之——用户自定义访问控制列表:
每天8:00~18:00时间段内将所有的TCP报文过滤出。
= = = = =
time-range huawei 8:00 to 18:00 daily
acl name traffic-of-tcp user
(user:用户自定义)
rule 1 deny 06 ff 35 time-range huawei
packet-filter user-group traffic-of-tcp
= = =
(ip-group、link-group、user-group)
访问控制列表的显示和调试:
display time-range [all,name](显示时间段状况)
display acl config {all,acl-number,acl-name}(显示访问控制列表的详细配置信息)
(S3026)
进入基本访问控制列表:
acl {number acl-number,name acl-name basic} [match-order {config,auto} ]
定义子规则:
rule rule-id {permit,deny}
[source source-address wildcard,any]
[fragment]
[time-range name]
(wildcard:即wildcard-mask,通配符掩码——反掩码)
(S3026 FM/FS之——定义基本访问控制列表)
基本访问控制列表只根据三层源IP制定规则,对数据包进行相应的分析处理。
进入基本访问控制列表:
acl {number acl-number,name acl-name basic} [match-order {config,auto} ]
定义子规则:
rule rule-id {permit,deny}
[source source-address wildcard,any]
[fragment]
[time-range name]
= = = = =
(S3026 FM/FS之——定义高级访问控制列表)
高级访问控制列表根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则,对数据包进行相应的处理。
高级访问控制列表支持对三种报文优先级的分析处理:TOS优先级,IP优先级,和DSCP优先级。
但是:
对于S3026 FM、S3026 FS、S3526、S3526 FM、S3526 FS交换机,在配置高级访问控制列表时有如下限制:
①用户在配置IP-any,any-IP,NET-any,any-NET的规则时,不能配置协议类型——即rule命令中protocol参数。
(NET:这里指网段地址。
)
如果用户配置了协议类型,交换机会返回配置错误信息。
②不支持ToS优先级,DSCP优先级参数。
③支持rule命令中的icmp-type参数,但不支持后面的type code参数。
进入访问控制列表:
acl {number acl-number,name acl-name advanced} [match-order {config,auto} ](acl-number,高级的数字标识取值为3000~3999)
定义子规则:
rule rule-id {permit,deny} protocol
[source source-address wildcard,any]
[destination dest-address wildcard,any]
[source-port operator port1 [port2] ]
[destination-port operator port1 [port2] ]
[icmp-type type code]
[established]
[[precedence precedence,tos tos],dscp dscp]
[fragment]
[time-range name]
(protocol:如ip,telnet等)
(port1、port2参数指的是各种高层应用使用的TCP或UDP的端口号——如BGP 协议使用的TCP端口号为179。
)
(operator:操作者,established:已经建立的,已经制定的)
= = = = =
(S3026 FM/FS之——定义二层访问控制列表)
二层访问控制列表根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则,对数据进行相应的处理。
进入访问控制列表:
acl {number acl-number,name acl-name link} [match-order {config,auto} ]
(acl-number,二层的数字标识取值为4000~4999)
定义子规则:
rule rule-id {permit,deny}
[ingress source-vlan-id,ingress source-mac-address,
ingress interface interface-name,ingress interface interface-type interface-num,ingress any ]
[egress destination-vlan-id,egress dest-mac-address,
egress interface interface-name,egress interface interface-type interface-num,egress any]
[time-range name]
= = = = =
(S3026 FM/FS之——激活访问控制列表)
packet-filter {ip-group acl-number,ip-group acl-name} [rule rule]
packet-filter {link-group acl-number,link-group acl-name} [rule rule]
(S3026E系列和S3050C-48之——定义基本访问控制列表)
(S3026E系列和S3050C-48之——定义高级访问控制列表)
基本和高级的命令都和S3026 FM/FS的一样。
(S3026E系列和S3050C-48之——定义二层访问控制列表)
进入访问控制列表:
acl {number acl-number,name acl-name link} [match-order {config,auto} ]
(acl-number,二层的数字标识取值为4000~4999)
定义子规则:
rule rule-id {permit,deny} [protocol] [cos vlan-pri]
[ingress source-vlan-id,ingress source-mac-address source-mac-wildcard,ingress interface interface-name,ingress interface interface-type interface-num,ingress any ]
[egress destination-vlan-id,egress dest-mac-address source-mac-wildcard,egress interface interface-name,egress interface interface-type interface-num,egress any]
[time-range name]
S3026的ACL配置:
访问控制列表配置包括:
①配置时间段
②定义访问控制列表
以上步骤最好依次进行,即先配置时间段,然后定义访问控制列表(在访问控制列表中可以引用定义好的时间段)。
= = = = =
定义基本访问控制列表:
acl number 2000 match-order config
rule 1 permit source 0
rule 2 permit source 0
quit
S3026 FM/FS的ACL配置:
①配置时间段
②定义访问控制列表
③激活访问控制列表
QoS:Quality of Service——服务质量
流:traffic——即业务流,指所有通过交换机的报文。
= = =
流分类:traffic classification
分类规则:classification rule
= = =
流镜像:
即能将指定的数据包复制到监控端口,以进行网络检测和故障排除。
= = =
端口镜像:
即能将指定端口的数据包复制到监控端口,以进行网络检测和故障排除。
S3026的QoS配置:
S3026交换机支持简单的QoS。
S3026交换机的端口支持两个转发队列,系统根据报文中的优先级将报文放入相应的优先级队列:
优先级为0~3的报文将被系统发送到低优先级的队列,
优先级为4~7的报文将被系统发送到高优先级的队列。
interface ethernet 0/1
priority priority-level(设置端口的优先级)
缺省情况下,交换机将使用端口优先级代替该端口接收报文本身带有的优先级。
S3026交换机的端口支持8个优先级——即priority-level的取值范围为0~7。
缺省情况下,端口的优先级为0。
= = = = =
priority trust(设置交换机信任报文的优先级)
= = = = =
设置高低优先级队列的报文的轮循处理比值:
queue-cycle value
比如配置queue-cycle 100——交换机处理高优先级队列的报文与处理低优先级队列的报文的比值为100:1,即处理了100个高优先级队列的报文之后处理1个低优先级队列的报文。
交换机每个端口支持两个优先级队列:高优先级队列和低优先级队列。
value取值为0代表低优先级队列的报文将优先被发送。
= = = = =
QoS的显示和调试:
①显示端口的所有信息
display interface interface_type1
display interface interface _type interface_num
display interface interface_name
②显示高低优先级队列的报文的轮循处理的比值
display queue-cycle
QoS配置实例:
PC1发送的报文要有较高的优先级,使得报文在传递
过程中得到优先处理。
interface ethernet 0/24
priority 7(设置端口的优先级为7)
quit
queue-cycle 100(配置交换机的报文轮循处理比值为
100。
)
S3026 FM/FS的QoS配置:
①包过滤
packet-filter ip-group {acl-number,acl-name} [rule rule]
packet-filter link-group {acl-number,acl-name} [rule rule]
包过滤只支持引用deny操作的访问控制列表。
②流镜像
mirrored-to ip-group {acl-number,acl-name} [rule rule] interface {interface-name,interface-type interface-num}
mirrored-to link-group {acl-number,acl-name} [rule rule] interface {interface-name,interface-type interface-num}
流镜像只支持引用permit操作的访问控制列表。
流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口,用于报文的分析和监视。
③流量统计
traffic-statistic ip-group {acl-number,acl-name} [rule rule]
traffic-statistic link-group {acl-number,acl-name} [rule rule]
流量统计只支持引用permit操作的访问控制列表。
流量统计用于统计指定业务流的数据包,它统计的是交换机转发的数据包中匹配
已定义的访问控制列表的数据信息。
display qos-global traffic-statistic(显示流量统计信息)
④优先级标记
traffic-priority ip-group {acl-number,acl-name} [rule rule] local-precedence pre-value traffic-priority link-group {acl-number,acl-name} [rule rule] local-precedence pre-value
优先级标记只支持引用permit操作的访问控制列表。
优先级标记配置就是为匹配访问控制列表的报文重新标记优先级的策略,所标记的优先级可以填入报文头部反映优先级的域中。
= = = = =
⑤设置端口的优先级
priority priority-level
默认情况下,交换机将使用端口优先级代替接收到的报文本身带有的优先级。
priority-level的取值为0~7。
⑥设置交换机信任报文的优先级
priority trust
配置了之后,交换机将不再使用端口的优先级来替换接收到的报文的的优先级。
S3026 E系列和S3050C-48的QoS配置:
最好先定义相应的访问控制列表,才进行QoS配置。
包过滤配置通过激活相应的访问控制列表就可以实现。
①设置端口的优先级
priority priority-level
默认情况下,交换机将使用端口优先级代替接收到的报文本身带有的优先级。
priority-level的取值为0~7。
②设置交换机信任报文的优先级
priority trust
配置了之后,交换机将不再使用端口的优先级来替换接收到的报文的的优先级。
③流量监管
流量监管是基于流的速率限制,它可以监督某一流量的速率,如果流量超出指定的规格,就采用相应的措施,如丢弃那些超出规格的报文或重新设置它们的优先级。
基于流的速率限制配置:
traffic-limit inbound user-group {acl-number,acl-name} [rule rule] target-rate [exceed action]
traffic-limit inbound ip-group {acl-number,acl-name} [rule rule] target-rate [exceed action]
traffic-limit inbound link-group {acl-number,acl-name} [rule rule] target-rate [exceed action]
(inbound:进入,target-rate:指定速率,exceed:超出)
④端口限速
line-rate target-rate
以太网交换机支持对单个端口的端口限速。
⑤优先级标记配置
traffic-priority ip-group {acl-number,acl-name} [rule rule] local-precedence pre-value traffic-priority link-group {acl-number,acl-name} [rule rule] local-precedence pre-value
优先级标记只支持引用permit操作的访问控制列表。
优先级标记配置就是为匹配访问控制列表的报文重新标记优先级的策略,所标记的优先级可以填入报文头部反映优先级的域中。
⑥流镜像
mirrored-to ip-group {acl-number,acl-name} [rule rule] interface {interface-name,interface-type interface-num}
mirrored-to link-group {acl-number,acl-name} [rule rule] interface {interface-name,
interface-type interface-num}
流镜像只支持引用permit操作的访问控制列表。
流镜像就是将匹配访问控制列表规则的业务流复制到指定的监控端口,用于报文的分析和监视。
⑦端口镜像配置
端口镜像就是将被监控端口上的数据复制到指定的监控端口,对数据进行分析和监视。
S3050以太网交换机支持多对一的镜像,即将多个端口的报文复制到一个监控端口上。
Ⅰ、配置监控端口:
monitor-port {interface_name,interface_type interface_num}
Ⅱ、配置被监控端口:
mirroring-port port-list {inbound,outbound,both}
在配置端口镜像时,必须先配置监控端口,再配置被监控端口。
在取消端口镜像配置时,必须先取消所有被监控端口的配置,再取消监控端口的配置。
⑧流量统计
traffic-statistic ip-group {acl-number,acl-name} [rule rule]
traffic-statistic link-group {acl-number,acl-name} [rule rule]
流量统计只支持引用permit操作的访问控制列表。
流量统计用于统计指定业务流的数据包,它统计的是交换机转发的数据包中匹配已定义的访问控制列表的数据信息。
display qos-global traffic-statistic(显示流量统计信息)
S3026 FM/FS的QoS配置实例之——流镜像配置:
通过一个Server对两台PC之间的每天8:00~18:00之间的通信报文进行监控。
假定一台PC的IP地址为,另一台PC的IP地址为,Server接在交换机ethernet 0/8口上。
= = = = =
time-range huawei 8:00 to 18:00 daily
定义两台PC之间通信报文的流规则
acl number 3000
(PC1到PC2的规则)
rule 0 permit ip source destination 0 time-range huawei
(PC2到PC1的规则)
rule 1 permit ip source destination 0 time-range huawei
quit
对PC之间的通信报文进行监控,监控端口为ethernet 0/8。
mirrored-to ip-group 3000 interface ethernet 0/8
S3026 FM/FS的QoS配置实例之——优先级标记和队列调度配置:
假定一台PC的IP地址为,另一台PC的IP地址为,交换机通过GE1/1口上行。
要求在每天8:00~18:00时间段内,交换机上行口发生拥塞时,优先转发PC1的报文。
time-range huawei 8:00 to 18:00 daily
acl number 2000
rule 0 permit ip source time-range huawei
quit
(将PC1的报文的本地优先级设置为最高)
traffic-priority ip-group 2000 local-precedence 7
(设置交换机采用严格优先级队列调度,使高优先级的报文先转发)
queue-sheduler strict-priority
(queue:队列,strict:严格的)
S3026 FM/FS的QoS配置实例之——流量统计配置:
假定一台PC的IP地址为,另一台PC的IP地址为,交换机通过GE1/1口上行。
要求在每天8:00~18:00时间段内,交换机对PC1和PC2之间的通信报文进行统计。
time-range huawei 8:00 to 18:00 daily
acl number 3000
rule 0 permit ip source destination 0 time-range huawei
rule 1 permit ip source destination 0 time-range huawei
(对PC1和PC2的之间的报文进行统计,通过display命令可以查看统计结果)traffic-statistic ip-group 3000
display qos-global traffic-statistic
(statistic:统计)
S3026 E系列和S3050C-48的QoS配置实例之——流量监管和端口限速配置:
财务部门的工资查询服务器由ethernet0/1口接入。
工资查询服务器的IP为。
要求限制其它部门访问工资服务器的流量为20M,限制工资服务器向外发送流量的平均速率不能超过20M,超出规格的报文将报文优先级设置为4。
= = = = =
acl name traffic-of-payserver advanced
rule 1 permit ip source destination any
quit
(限制工资服务器向外发送报文的平均速率为20M,对超出规格的报文设置优先级为4)
interface ethernet 0/1
traffic-limit inbound ip-group traffic-of-payserver 20 exceed remark-dscp 4
quit
(限制端口ethernet 0/1发往工资服务器的速率为20M)
line-rate 20
S3026 E系列和S3050C-48的QoS配置实例之——流镜像配置:
通过一个Server对两台PC之间的每天8:00~18:00之间的通信报文进行监控。
假定一台PC的IP地址为,另一台PC的IP地址为,Server接在交换机ethernet 0/8口上。
= = = = =
time-range huawei 8:00 to 18:00 daily
定义两台PC之间通信报文的流规则
acl number 3000
(PC1到PC2的规则)
rule 0 permit ip source destination 0 time-range huawei
(PC2到PC1的规则)
rule 1 permit ip source destination 0 time-range huawei
quit。