H3C S5600系列交换机典型配置举例

H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

对于ACL，可能很多用户还不熟悉怎么设置，本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤：H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图，创建四个vlan，对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为，确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略，将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明：l acl只是用来区分数据流，permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier;l 将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。

光纤链路排错经验一、组网：用户采用4台S5500作为接入交换机、1台S5500作为核心交换机组网，4台接入交换机分别在三个仓库以及门卫处与核心机房都是通过2根八芯单模光纤走地井连接，在这5个机房再通过跳纤来连接到交换上。

用户要求实现内网的用户主机访问公共服务器资源，并实现全网互通。

组网如下图所示：二、问题描述：PC现无法访问server服务器，进一步发现S5500光纤端口灯不亮，端口信息显示down状态。

在核心交换机端通过自环测试发现该端口以及光模块正常，接入交换机端也同样测试发现正常。

监控网络正常使用，再将网络接口转接到监控主干链路上，发现网络同样无法正常使用。

三、过程分析：想要恢复链路，首先要排查出故障点，根据故障点情况结合实际恢复链路通畅。

在这里主要分析光纤通路，光信号从接入交换机光口出来通过跳线，转接到主干光纤，然后再通过核心跳线转接到核心交换上。

由于该链路不通，首先要排除两端接口以及光模块问题，这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环，防止烧坏光模块)。

当检测完成发现无问题，再测试接入端的光纤跳纤：如果是多模光纤可以将一端接到多模光纤模块的tx口，检测对端是否有光；单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路，并不能检测出线路光衰较大的情况)。

最后再检测主线路部分，检测方式同跳线一样。

光路走向流程如图所示：四、解决方法：从上述的分析可以看出，只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。

为了保证光路正常通路，最好的解决方法就是，通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。

由于用户组网使用了一些监控设备来接入该主干光缆，并且该光路现正常使用，通过将网络光纤转接到该监控主干光缆，发现网络光路仍然不通；并且两端端口自环检测正常。

由此可以判断出主要问题在两端的跳纤上。

如图所示：在没有光功率计并且客户业务又比较着急恢复的情况，可以先将两端的接入跳纤更换。

H3C S5600系列以太网交换机基本配置手册H3C S5600交换机典型配置【管理方式】S5600交换机支持通过Console口(串口)管理、配置管理IP后用Telnet/Web方式管理，以及通过标准的SNMP网管系统进行管理。

建议用户尽量使用命令行方式(CLI-Command Line Interface)对交换机进行配置管理，包括Console口及Telnet方式。

对于Web方式及网管系统，用来观察监控交换机的运行情况可以，用来作为配置的手段，不建议使用。

一、Console口管理方式1. 连接配置电缆第一步：将配置电缆的DB-9孔式插头接到要对交换机进行配置的PC的串口上。

第二步：将配置电缆的RJ-45一端连到交换机的配置口（Console）上。

2. 设置终端参数第一步：打开PC，并在PC上运行终端仿真程序（如Windows3.1的Terminal，Windows95/Windows98/Windows NT/Window2000/Windows XP的超级终端）。

第二步：设置终端参数（以Windows XP的超级终端设置为例）。

参数要求：波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无，选择终端仿真为VT100。

具体方法如下：点击“开始”-“程序”-“附件”-“通讯”-“超级终端”，进入超级终端窗口，点击“”图标，建立新的连接，系统弹出如下图所示的连接说明界面。

超级终端连接说明界面在连接说明界面中键入新连接的名称，单击［确定］按纽，系统弹出如下图所示的界面图，在［连接时使用］一栏中选择连接使用的串口。

超级终端连接使用串口设置串口选择完毕后，单击［确定］按钮，系统弹出如下图所示的连接串口参数设置界面，设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无。

串口参数设置串口参数设置完成后，单击［确定］按钮，系统进入如下图所示的超级终端界面。

超级终端窗口在超级终端属性对话框中选择［属性］一项，进入属性窗口。

S5600系列交换机典型配置举例2.1.1 静态路由典型配置1. 组网需求(1)需求分析某小型公司办公网络需要任意两个节点之间能够互通，网络结构简单、稳定，用户希望最大限度利用现有设备。

用户现在拥有的设备不支持动态路由协议。

根据用户需求及用户网络环境，选择静态路由实现用户网络之间互通。

(2)网络规划根据用户需求，设计如图2-1所示网络拓扑图。

图2-1 静态路由配置举例组网图2. 配置步骤交换机上的配置步骤：# 设置以太网交换机Switch A的静态路由。

<SwitchA> system-view[SwitchA] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2[SwitchA] ip route-static 1.1.4.0 255.255.255.0 1.1.2.2[SwitchA] ip route-static 1.1.5.0 255.255.255.0 1.1.2.2# 设置以太网交换机Switch B的静态路由。

<SwitchB> system-view[SwitchB] ip route-static 1.1.2.0 255.255.255.0 1.1.3.1[SwitchB] ip route-static 1.1.5.0 255.255.255.0 1.1.3.1[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1# 设置以太网交换机Switch C的静态路由。

<SwitchC> system-view[SwitchC] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1[SwitchC] ip route-static 1.1.4.0 255.255.255.0 1.1.3.2主机上的配置步骤：# 在主机A上配缺省网关为1.1.5.1，具体配置略。

H3C交换机VLAN配置实例交换机VLAN基础配置实例一功能需求及组网说明:配置环境参数:产品版本信息: PCA和PCB分别连接到S5600的端口G1/0/2和G1/0/3。

S5600系列交换机采用任何版本皆可。

组网要求:PCA和PCB都属于VLAN2。

二数据配置步骤:1(创建VLAN;2(将相应端口加入VLAN。

三配置命令参考:S5600相关配置:方法一:1(将交换机改名为S5600[Quidway]sysname S56003(创建(进入)VLAN2[S5600]vlan 24(将端口G1/0/2和G1/0/3加入VLAN2[S5600-vlan2]port GigabitEthernet 1/0/2 to GigabitEthernet 1/0/3 方法二:1(将交换机改名为S5600[Quidway]sysname S56002(创建(进入)VLAN2[S5600]vlan 23(退出到系统视图[S5600-vlan3]quit4(进入端口GigabitEthernet1/0/2[S5600]interface GigabitEthernet 1/0/25(将GigabitEthernet1/0/2的PVID更改为2[Quidway-GigabitEthernet1/0/2]port access vlan 26(进入端口GigabitEthernet1/0/3[Quidway-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/37(将GigabitEthernet1/0/3的PVID更改为2[Quidway-GigabitEthernet1/0/3]port access vlan 2四补充说明:1(缺省情况下，交换机有一个默认的VLAN，即VLAN 1，所有端口都默认属于该VLAN。

2(在系统视图下，可以利用命令undo vlan-number以删除相应VLAN，但交换机的默认VLAN 1不能被删除。

H3C s5600DHCP设置及DHCP服务器搭建实例一、核心交换机H3C 5600S DHCP设置使用核心交换机H3C S5600划分VLAN。

因此必须在交换机H3C 5600S启用DHCP转发，Windows 2003的DHCP才能生效。

1、在核心交换机H3C S5600启用DHCP转发使用telnet登录到中心交换机，命令如下telnet 10.147.132.7输入账号密码进入，或直接使用配置线连接console口进入。

2、切换到系统视图，命令如下：[s5600]system view3、全局使能DHCP功能，命令如下[s5600]dhcp enable4、指定DHCP Server组1所采用的DHCP Server的IP地址[s5600] dhcp-server 5 ip 10.147.132.55、指定VLAN接口归属到DHCP Server组5[s5600] interface Vlan-interface133[s5600] dhcp-server 5[s5600] interface Vlan-interface134[s5600] dhcp-server 5[s5600] interface Vlan-interface135[s5600] dhcp-server 5所要自动获取IP的VLAN全部设置完成。

这样交换机的设置就完成了。

二、Windows 2003 DHCP设置1、 Windows2003的DHCP设置DHCP服务器IP地址为10.147.132.5，登录该服务器。

点击：开始—管理工具—DHCP，在huiguan_上右键，激活该DHCP服务器。

2、创建作业域在huiguan_上右键，新建作用域，点下步输入“cnooc_huiguan”（自由命名），点下一步。

输入起始IP地址和结束IP地址，及子网掩码，点“下一步”。

添加排除，不添加，继续“下一步”，租约期限，这里可不用修改。

S5600系列交换机集群管理的配置一、组网需求：1. 设备三层管理接口为Vlan-interface2；2. 集群管理VLAN为VLAN 3；3. FTP服务器IP地址为192.168.4.3；4. SwitchA为集群管理命令交换机；二、组网图:三、配置步骤：SwitchA的配置：1. 进入系统视图，配置管理VLAN为VLAN 3<Switch> system-view[Switch] management-vlan 32. 将端口GigabitEthernet 1/0/1加入VLAN 3[Switch] vlan 3[Switch-vlan3] port GigabitEthernet 1/0/1[Switch-vlan3] quit3. 配置Vlan-interface 3地址为192.168.5.30[Switch] interface Vlan-interface 3[Switch-Vlan-interface3] ip address 192.168.5.30 255.255.255.0 [Switch-Vlan-interface3] quit4. 将端口GigabitEthernet 1/0/2加入VLAN 2[Switch] vlan 2[Switch-vlan2] port GigabitEthernet 1/0/2[Switch-vlan2] quit5. 配置Vlan-interface2地址为192.168.4.22[Switch] interface Vlan-interface 2[Switch-Vlan-interface2] ip address 192.168.4.22 255.255.255.0 [Switch-Vlan-interface2] quit6. 使能系统和端口的ndp、ntdp功能[Switch] ndp enable[Switch] ntdp enable[Switch] interface GigabitEthernet 1/0/1[Switch-GigabitEthernet1/0/1] ndp enable[Switch-GigabitEthernet1/0/1] ntdp enable[Switch] interface GigabitEthernet 1/0/3[Switch-GigabitEthernet1/0/3] ndp enable[Switch-GigabitEthernet1/0/3] ntdp enable7. 启动集群功能[Switch] cluster enable8. 进入集群视图[Switch] cluster9. 配置Vlan-interface2为网管接口[Switch-cluster] nm-interface Vlan-interface 210. 配置集群内部使用的IP地址池，起始地址为172.16.0.1，有8个地址[Switch-cluster] ip-pool 172.16.0.1 255.255.255.24811. 配置集群名字，建立集群[Switch-cluster] build aaa12.建立自动集群[aaa_0.Switch-cluster] auto-build13．配置集群内部公用的FTP Server[aaa_0.Quidway-cluster] ftp-server 192.168.4.3SwitchB的配置：1. 使能系统和端口的ndp、ntdp功能[Switch] ndp enable[Switch] ntdp enable[Switch] interface GigabitEthernet 1/0/1 [Switch-GigabitEthernet1/0/1] ndp enable [Switch-GigabitEthernet1/0/1] ntdp enable 2. 启动集群功能[Switch] cluster enableSwitchC的配置：1. 使能系统和端口的ndp、ntdp功能[Switch] ndp enable[Switch] ntdp enable[Switch] interface GigabitEthernet 1/0/3 [Switch-GigabitEthernet1/0/3] ndp enable [Switch-GigabitEthernet1/0/3] ntdp enable 2. 启动集群功能[Switch] cluster enable四、配置关键点：集群成功以后，SwitchA上将自动下发两条number为3998和3999的ACL，SwitchB、SwitchC与SwitchA相连的端口类型自动变化为hybrid端口，并且其管理vlan将自动变化为与SwitchA相同的管理vlan。

H3C S5560X-EI 系列高性能融合以太网交换机产品概述H3C S5560X-EI 系列交换机是杭州华三通信技术有限公司（以下简称H3C 公司）自主开发的三层千兆以太网交换机产品，是为要求具备高性能、高端口密度且易于安装的网络环境而设计的智能型可网管交换机。

基于业界领先的高性能硬件架构和H3C 先进的Commware V7 软件平台开发，同时基于强大的统一交换平台，实现有线无线的无缝融合。

H3C S5560X-EI 系列交换机可集成无线控制功能，实现接入层无线/有线本地转发，消除无线控制带宽瓶颈，扩大无线部署规模，节省用户投资成本。

S5560X-EI 系列以太网交换机提供10/100/1000Base-T 自适应以太网端口或10GE SFP+光口，并通过子卡可支持10GE 电口、40GE QSFP+光口。

在企业网中，可以作为接入设备提供千兆到桌面应用，或作为中小企业的核心；在城域网或者行业用户中，向下可以提供千兆接入最终用户或汇接低端交换机，向上可以通过万兆或40GE 光纤或者链路聚合汇聚到核心交换机。

S5560X-EI 系列以太网交换机支持创新的VxLAN 技术，可以同时支持VxLAN 二三层网关。

S5560X-30C-EI S5560X-54C-EIS5560X-30F-EI S5560X-54F-EIS5560X-30C-PWR-EI S5560X-54C-PWR-EIS5560X-34S-EI S5560X-54S-EIH3C S5560X-EI 系列以太网交换机目前包含如下型号：S5560X-30C-EI：24 个10/100/1000BASE-T 端口（其中8 个combo 口），4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-54C-EI：48 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-30F-EI：24 个SFP 端口（其中8 个combo 口），4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-54F-EI：48 个SFP 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-30C-PWR-EI：24 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-54C-PWR-EI：48 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-34S-EI：28 个10/100/1000BASE-T 端口（其中4 个combo 口），4 个10G/1G BASE-X SFP+端口，2 个40G QSFP+ 端口；S5560X-54S-EI：48 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，2 个40G QSFP+端口；产品特点高性能端口扩展能力H3C S5560X-EI 系列交换机主机均固化4 个万兆光端口，提供最高性价比端口组合，实现最低成本的互联方案，满足用户1：1 无收敛网络部署需求；H3C S5560X-EI 系列交换机支持丰富、灵活的端口扩展板卡，包括8 端口万兆光扩展板卡，2 端口万兆光/电接口板卡，以及2 端口40G 扩展板卡，整机最大支持12 个万兆端口或2 个40G 端口，实现高密、高性能端口扩展能力，满足大型网络汇聚或中小网络核心部署需求，以及对于光电混合组网的配置需求。

S5600系列交换机VRRP自动侦测的配置一、组网需求：1.Switch B、E和Switch D、F组成一个VRRP备份组1，虚拟IP地址为192.168.1.10；2.正常情况下，Switch A的数据通过Switch B、E到达Switch C；3.当Switch B、E与Switch C间的链路失效后，Switch D、F自动成为备份组1中的Master，Switch D到Switch C的这条备用链路生效。

二、组网图：三、配置步骤：1．配置Switch B1)创建一个自动侦测组9。

<Switch B> system-view[Switch B] detect-group 92)增加侦测对象10.1.1.4，侦测序号为1。

[Switch B-detect-group-9] detect-list 1 ip address 10.1.1.4[Switch B-detect-group-9] quit3)配置VLAN接口1的IP地址。

[Switch B] interface vlan-interface 1[Switch B-Vlan-interface1] ip address 192.168.1.2 244)在VLAN接口1上启用VRRP，设置虚拟IP地址。

[Switch B-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.1.105)设置Switch B的备份组优先级为110，当侦测组9不可达时将优先级降低20。

[Switch B-Vlan-interface1] vrrp vrid 1 priority 110[Switch B-Vlan-interface1] vrrp vrid 1 track detect-group 9 reduced 202．配置Switch D6)配置VLAN接口1的IP地址。

<Switch D> system-view[Switch D] interface vlan-interface 1[Switch D-Vlan-interface1] ip address 192.168.1.3 247)在VLAN接口1上创建备份组，设置虚拟IP地址。

S3600/S5600系列交换机跨设备聚合的配置一组网需求：低端交换机中，只有H3C 3600,5600系列交换机实现的是真正的堆叠，可以实现跨设备聚合，实现连接到不同设备上的链路聚合成一条链路。

本配置实现的是动态链路跨设备聚合。

二组网图：三配置步骤：1 H3C 3600系列交换机的配置SwitchA配置：1．进入系统视图<SwitchA>system-view.2．在端口E1/0/1和E1/0/2上使能Lacp功能[SwitchA]interface Ethernet1/0/1[SwitchA-Ethernet1/0/1]lacp enable[SwitchA-Ethernet1/0/1]interface Ethernet1/0/2[SwitchA-Ethernet1/0/2]lacp enableSwitchB配置：1．进入系统视图<H3C>system-view2．使能端口的堆叠功能[H3C]fabric-port GigabitEthernet 1/1/1 enableSwitchC配置：1．进入系统视图<H3C>system-view2．使能端口的堆叠功能[H3C]fabric-port GigabitEthernet 1/1/1 enable在堆叠建立成功之后，SwitchB和SwitchC进行聚合的端口编号如上图所示，然后执行以下命令：[H3C]interface Ethernet 1/0/24[H3C-Ethernet 1/0/24]lacp enable[H3C-Ethernet 1/0/24]interface Ethernet 2/0/24[H3C-Ethernet 2/0/24]lacp enable2 H3C 5600系列交换机的配置只要插上堆叠电缆之后，两台H3C 5600系列交换机自动会建立堆叠，所以只要配置聚合就可以了，聚合的配置方式跟H3C 3600一致。

H3C S5600 系列以太网交换机命令手册8H3C S5600 系列以太网交换机命令手册-Release 1510MSTP 第1 章MSTP 配置命令1-29【描述】stp loop-protection 命令用来启动交换机端口的环路保护功能。

undo stploop-protection 命令用来恢复交换机端口的环路保护功能的缺省运行情况。

缺省情况下，环路保护功能处于关闭状态。

依靠不断接收上游交换机发送的BPDU，交换机可以维持根端口和其他阻塞端口的状态。

但是由于链路拥塞或者单向链路故障，这些端口会收不到上游交换机的BPDU。

此时交换机会重新选择根端口，根端口会转变为指定端口，而阻塞端口会迁移到转发状态，从而交换网络中会产生环路。

环路保护功能会抑制这种环路的产生。

在启动了环路保护功能后，如果发生链路拥塞或者单向链路故障，则根端口的角色变为指定端口，端口的状态为Discarding 状态；阻塞端口同样也变为指定端口，端口状态为Discarding 状态，不转发报文，从而不会在网络中形成环路。

【举例】# 在端口GigabitEthernet 1/0/1 上启动环路保护功能。

<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] stp loop-protection1.1.30 stp max-hops【命令】stp max-hops hopsundo stp max-hops【视图】系统视图【参数】hops：最大跳数，取值范围为1～40。

缺省情况下，MST 域的最大跳数为20。

【描述】stp max-hops 命令用来在交换机上设置MST 域的最大跳数。

undo stp max-hops命令用来恢复最大跳数的缺省值。

H3C交换机配置实例H3C交换机配置实例在中国交换机市场，H3C自2003年公司成立以来，已累计出货上百万台，以太网交换机端口数占全球的市场份额23.4%，在交换机领域内综合技术实力和市场份额排名均达到业界第一。

下面店铺准备了关于H3C交换机配置的例子，提供给大家参考!配置H3C交换机实例，设置安全策略版。

1.能够通过WEB登录，并且设置安全策略。

通过源IP地址对WEB登录用户进行控制。

2.使用SSH+密码认证(基本SSH配置方法)。

H3C交换机SSH配置完全攻略。

[同时也是telnet]3.更改交换机名称，时间，管理IP配置IP网管等基本配置。

基础配置改时间启动ssh 修改com口密码关闭一些没用的服务配置实例：------------------------------------------------------------------------syssysname 交换机名字management-vlan 1interface Vlan-interface 1ip address IP地址 255.255.255.224quitip route 0.0.0.0 0.0.0.0 网关dis cur#interface Aux1/0/0 默认undo ip http shutdownlocal-user 用户service-type telnet level 3password simple 密码===使用SSH+密码认证(基本SSH配置方法)。

public-key local create rsapublic-key local create dsauser-interface vty 0 4authentication-mode schemeprotocol inbound ssh===local-user 用户password cipher 密码service-type ssh level 3ssh user 对应用户 authentication-type password===通过源IP地址对WEB登录用户进行控制，仅允许IP地址为x.x.x.x的 WEB用户通过 最划算团购网HTTP方式访问交换机。

S5600系列交换机访问控制列表（ACL）的配置1、组网图：1．公司企业网通过Switch的千兆端口实现各部门之间的互连。

管理部门由GigabitEthernet1/0/1端口接入，技术支援部门由GigabitEthernet1/0/2端口接入，研发部门由GigabitEthernet1/0/3端口接入。

2．工资查询服务器子网地址129.110.1.2，MAC为00e0-fc01-0303，技术支援部门IP为10.1.1.0/24，研发部门主机MAC为00e0-fc01-0101。

2、组网需求：1．要求正确配置ACL，限制研发部门在上班时间8:00至18:00访问工资查询服务器。

2．通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。

3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

3、配置步骤：1．定义时间段[Quidway] time-range huawei 8:00 to 18:00 working-day2．进入3000号的高级访问控制列表视图[Quidway] acl number 30003．定义访问规则[Quidway-acl-adv-3000] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei4．进入GigabitEthernet1/0/1接口[Quidway-acl-adv-3000] interface GigabitEthernet1/0/15．在接口上用3000号ACL[Quidway-GigabitEthernet1/0/1] packet-filter inbound ip-group 30006．进入2000号的基本访问控制列表视图[Quidway-GigabitEthernet1/0/1] acl number 20007．定义访问规则[Quidway-acl-basic-2000] rule 1 deny source 10.1.1.1 0 time-range Huawei8．进入GigabitEthernet1/0/2接口[Quidway-acl-basic-2000] interface GigabitEthernet1/0/29．在接口上应用2000号ACL[Quidway-GigabitEthernet1/0/2] packet-filter inbound ip-group 200010．进入4000号的二层访问控制列表视图[Quidway-GigabitEthernet1/0/2] acl number 400011．定义访问规则[Quidway-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff dest 00e0-fc01-0303 ffff-ffff-ffff time-range Huawei12．进入GigabitEthernet1/0/3接口[Quidway-acl-ethernetframe-4000] interface GigabitEthernet1/0/313．在接口上应用4000号ACL[Quidway-GigabitEthernet1/0/3] packet-filter inbound link-group 40004、配置关键点：1．time-name 可以自由定义。

H3C-S5600系列交换机典型配置举例S5600系列交换机典型配置举例2.1.1 静态路由典型配置1. 组网需求(1)需求分析某小型公司办公网络需要任意两个节点之间能够互通，网络结构简单、稳定，用户希望最大限度利用现有设备。

用户现在拥有的设备不支持动态路由协议。

根据用户需求及用户网络环境，选择静态路由实现用户网络之间互通。

(2)网络规划根据用户需求，设计如图2-1所示网络拓扑图。

图2-1 静态路由配置举例组网图2. 配置步骤交换机上的配置步骤：# 设置以太网交换机Switch A的静态路由。

<SwitchA> system-view[SwitchA] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2[SwitchA] ip route-static 1.1.4.0 255.255.255.0 1.1.2.2[SwitchA] ip route-static 1.1.5.0 255.255.255.0 1.1.2.2# 设置以太网交换机Switch B的静态路由。

<SwitchB> system-view[SwitchB] ip route-static 1.1.2.0 255.255.255.0 1.1.3.1[SwitchB] ip route-static 1.1.5.0 255.255.255.0 1.1.3.1[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1# 设置以太网交换机Switch C的静态路由。

<SwitchC> system-view[SwitchC] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1[SwitchC] ip route-static 1.1.4.0 255.255.255.0 1.1.3.2主机上的配置步骤：# 在主机A上配缺省网关为1.1.5.1，具体配置略。

H3C S5600系列交换机IRF堆叠的配置2009年11月14日星期六下午 3:09一、组网需求：配置4台交换机的Unit ID、Unit name、Fabric name，使它们相互连接可以构成Fabric。

具体需求如下：1. 4台交换机SwitchA、B、C、D的Unit ID依次分别为1、2、3、4；2. 4台交换机SwitchA、B、C、D的Unit name分别是Unit1、Unit2、Unit3、Unit4；Fabric name 为hello。

二、组网图:三、配置步骤：Switch A上的配置：1. 配置Unit ID为1system-view[Switch] change unit-id 1 to 12. 配置Unit name为Unit1[Switch] set unit 1 name Unit13. 配置Fabric name为hello[Switch] sysname helloSwitch B上的配置：4. 配置Unit ID为2system-view[Switch] change unit-id 1 to 25. 配置Unit name为Unit2[Switch] set unit 2 name Unit26. 配置Fabric name为hello[Switch] sysname helloSwitch C和Switch D上的配置与上述配置相似，这里不再赘述。

四、配置关键点：1. 堆叠的成员交换机需要保证具有相同的软件版本。

在堆叠连接时，必须保证线缆连接正确。

2. 该配置在堆叠进行前进行,如果在同一个Fabric内存在相同的Unit ID，FTM模块将对相同编号的设备进行自动编号操作。

3. 在Fabric正常工作时，用户可以将Fabric视作一台独立设备进行配置。

由于Fabric是由多台设备组成，会存在因设备间数据传输或同步执行程序造成的繁忙状态。

如果用户在进行配置时收到Fabric繁忙的提示“Fabric system is busy, please try later...”，表示Fabric 没有正常执行用户的操作，这时需要用户对之前操作的结果进行验证或重新进行配置。