华为S2700 S3700系列交换机 01-11 策略路由配置
华为S2700 S3700系列交换机 01-09 IPv6 over IPv4隧道配置
9 IPv6 over IPv4隧道配置关于本章IPv6 over IPv4隧道技术的出现解决了IPv4网络向IPv6网络过渡的问题。
说明S2700不支持IPv6 over IPv4隧道,只有S3700支持IPv6 over IPv4隧道功能。
9.1 IPv6 over IPv4隧道概述IPv6 over IPv4隧道可实现IPv6网络孤岛之间通过IPv4网络互连。
9.2 设备支持的IPv6 over IPv4隧道特性设备支持的IPv6 over IPv4隧道特性包括双协议栈、IPv6 over IPv4隧道。
9.3 配置IPv4/IPv6双协议栈为了实现IPv6 over IPv4隧道,需要在IPv4网络与IPv6网络交界的边界设备上启动IPv4/IPv6双协议栈。
9.4 配置IPv6 over IPv4隧道用户可以配置IPv6 over IPv4隧道,利用IPv4网络连接IPv6网络。
9.5 配置举例9.1 IPv6 over IPv4隧道概述IPv6 over IPv4隧道可实现IPv6网络孤岛之间通过IPv4网络互连。
由于IPv4地址的枯竭和IPv6的先进性,IPv4过渡为IPv6势在必行。
因为IPv6与IPv4的不兼容性,所以需要对原有的IPv4设备进行替换。
但是如果贸然将IPv4设备大量替换所需成本会非常巨大,且现网运行的业务也会中断,显然并不可行。
所以,IPv4向IPv6过渡是一个渐进的过程。
在过渡初期,IPv4网络已经大量部署,而IPv6网络只是散落在各地的一个个“孤岛”,IPv6 over IPv4隧道就是通过隧道技术,使IPv6报文在IPv4网络中传输,实现IPv6网络之间的孤岛互连。
9.2 设备支持的IPv6 over IPv4隧道特性设备支持的IPv6 over IPv4隧道特性包括双协议栈、IPv6 over IPv4隧道。
说明S2700不支持IPv6 over IPv4隧道,只有S3700支持IPv6 over IPv4隧道功能。
华为S2700 S3700系列交换机 01-09 路由
9路由关于本章本章主要介绍关于IPv4路由的相关信息和配置的方法。
在因特网中进行路由选择要使用路由器,路由器根据所收到的报文的目的地址选择一条合适的路由(通过某一网络),将报文传送到下一个路由器,路由中最后的路由器负责将报文送交目的主机。
9.1 IPv4路由介绍关于IPv4路由表、IPv4静态路由和全局参数的基本知识和配置方法。
9.1 IPv4路由介绍关于IPv4路由表、IPv4静态路由和全局参数的基本知识和配置方法。
9.1.1 IPv4路由表路由器转发分组的关键是路由表。
每个路由器中都保存着一张路由表,表中每条路由项都指明分组到某子网或某主机应通过路由器的哪个物理端口发送,然后就可到达该路径的下一个路由器,或者不再经过别的路由器而传送到直接相连的网络中的目的主机。
背景信息IPv4的查询功能可以查询路由表的全部信息,包括动态路由表和静态路由表的信息。
操作步骤步骤1单击导航树中的“路由 > IPv4路由 > IPv4路由表”菜单,进入“IPv4路由表”界面。
步骤2设置查询条件。
步骤3单击“查询”,查询列表区显示出所有符合条件的记录。
----结束9.1.2 IPv4静态路由配置静态路由是一种特殊的路由,它由管理员手工配置而成。
通过配置静态路由可建立一个互通的网络,但这种配置问题在于:当发生网络故障后,静态路由不会自动发生改变,必须有管理员的介入。
背景信息在交换机上配置IPv4静态路由时,建议明确指定下一跳地址。
因为交换机的物理接口多为广播类型的以太网接口,在同一出接口下可以关联多个下一跳地址,从而无法唯一确定下一跳。
在应用中,如果必须指定出接口,应同时指定通过该接口发送时对应的下一跳地址。
操作步骤●新建IPv4静态路由a.单击导航树中的“路由 > IPv4路由 > IPv4静态路由配置”菜单,进入“IPv4静态路由配置”界面。
b.单击“新建”,进入“新建IPv4静态路由”界面。
华为S2700 S3700系列 01-01 接口基础配置
文档版本 07 (2020-04-15)
版权所有 © 华为技术有限公司
7
背景信息
对接口进行基本配置前,需要进入接口视图。
操作步骤
步骤1 执行命令system-view,进入系统视图。 步骤2 执行命令interface interface-type interface-number,进入接口视图。
其中,interface-type为接口类型,interface-number为接口编号。
3
S2700, S3700 系列以太网交换机 配置指南-接口管理
接口类型 NULL接口
1 接口基础配置
描述 因为任何送到该接口的网络数据报文都会被丢弃,主要用 于路由过滤等特性。
1.3 配置接口基本参数
配置接口基本参数,包括接口描述信息、接口流量统计时间间隔功能以及开启或关闭 接口。
1.3.1 进入接口视图
表 1-2 物理接口编号规则
接口编排规则示意图
2 4 6 ... ...
1 3 5 ...
说明
设备有两排业务接口,左下接口从1起 始编号,依据从下到上,再从左到右 的规则依次递增编号。 例如,左上第一个接口编号为0/0/2。
1.2 接口分类
您可以了解到设备支持的管理接口、物理接口和逻辑接口。
接口是设备与网络中的其它设备交换数据并相互作用的部件,分为管理接口、物理业 务接口和逻辑接口三类,其中:
1.3 配置接口基本参数 配置接口基本参数,包括接口描述信息、接口流量统计时间间隔功能以及开启或关闭 接口。
1.4 维护接口 您可以通过清除接口统计信息以方便查询一定时间内接口的流量信息。
1.1 接口编号规则
通过本小节,您可以了解到设备的接口编号规则。
01-11 常见STP RSTP操作
11常见STP/RSTP操作关于本章介绍STP/RSTP功能的常见操作。
11.1 开启STP/RSTP11.2 关闭STP/RSTP11.3 配置根桥和备份根桥11.4 配置根保护11.5 配置边缘端口11.6 修改STP/RSTP的cost值11.7 查看STP/RSTP状态11.8 查看根桥信息11.1 开启STP/RSTP开启全局STP/RSTP在系统视图下执行命令stp enable。
<HUAWEI> system-view[HUAWEI] stp enable开启接口STP/RSTP在接口视图下执行命令stp enable。
<HUAWEI> system-view[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] stp enable11.2 关闭STP/RSTP关闭全局STP/RSTP在系统视图下执行命令undo stp enable。
<HUAWEI> system-view[HUAWEI] undo stp enable关闭接口STP/RSTP在接口视图下执行命令undo stp enable。
<HUAWEI> system-view[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] undo stp enable11.3 配置根桥和备份根桥可以通过计算来自动确定生成树的根桥,用户也可以手动配置设备为指定生成树的根桥或备份根桥。
# 配置根桥。
<HUAWEI> system-view[HUAWEI] stp root primary# 配置备份根桥。
<HUAWEI> system-view[HUAWEI] stp root secondary11.4 配置根保护在接口视图下执行命令stp root-protection。
华为S2700 S3700系列交换机 01-02 VLAN配置
2 VLAN配置关于本章VLAN具有隔离广播域、增强保密性、组网灵活和扩展性良好等特点。
2.1 VLAN概述介绍VLAN的定义、由来和作用。
2.2 设备支持的VLAN特性设备支持的VLAN特性包括VLAN的划分、VLAN间的通信、VLAN聚合、MUX VLAN、管理VLAN。
2.3 缺省配置介绍了VLAN参数的缺省配置。
2.4 划分VLAN创建并划分VLAN,将没有互通需求的用户进行隔离,增强网络的安全性、减少广播流量,同时也减少了广播风暴的产生。
2.5 配置VLANIF接口实现VLAN间的通信VLANIF接口是三层逻辑接口,在设备上创建VLANIF接口后,可实现VLAN间的通信。
2.6 配置VLAN聚合节约IP地址VLAN聚合解决了IP地址资源浪费问题,同时可实现不同VLAN间通信。
2.7 配置MUX VLANMUX VLAN可实现VLAN间通信,也可实现VLAN内的用户相互隔离。
2.8 配置管理VLAN实现网管集中管理设备配置管理VLAN功能,用户通过管理VLAN的VLANIF接口登录到管理交换机,实现网管集中管理设备。
2.9 维护VLAN维护VLAN,包括查看和清除VLAN的统计信息。
2.10 配置举例介绍VLAN的配置举例。
配置示例中包括组网需求、配置思路、操作步骤等。
2.11 常见配置错误介绍VLAN常见配置错误的处理方法。
2.1 VLAN概述介绍VLAN的定义、由来和作用。
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。
以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detection)的共享通讯介质的数据网络通讯技术。
当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。
通过交换机实现LAN(Local AreaNetwork)互连虽然可以解决冲突严重的问题,但仍然不能隔离广播报文和提升网络质量。
华为S2700 S3700系列交换机 01-10 路由策略配置
10路由策略配置关于本章路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。
10.1 路由策略概述随着网络的日益扩大,路由表激增导致网络负担越来越重,网络安全问题也越来越多。
为了解决上述问题,可以在路由协议发布、接收和引入路由时配置路由策略,过滤路由和改变路由属性。
10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。
10.3 配置过滤器路由策略过滤器包括访问控制列表、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。
本章介绍其中的地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器的配置。
其中访问控制列表的配置请参见《S2700, S3700 系列以太网交换机配置指南-安全》中的“ACL配置”。
10.4 配置路由策略路由策略的每个节点由一组if-match子句和apply子句组成。
10.5 配置路由策略生效时间为了保障网络的稳定性,修改路由策略时需要控制路由策略的生效时间。
10.6 维护路由策略路由策略的维护包括清除地址前缀列表统计数据。
10.7 配置举例路由策略配置举例包括组网需求、组网图、配置思路和配置步骤。
10.1 路由策略概述随着网络的日益扩大,路由表激增导致网络负担越来越重,网络安全问题也越来越多。
为了解决上述问题,可以在路由协议发布、接收和引入路由时配置路由策略,过滤路由和改变路由属性。
路由策略与策略路由的区别策略路由PBR(Policy-Based Routing)与单纯依照IP报文的目的地址查找转发表进行转发不同,是一种依据制定的策略而进行路由选择的机制,可应用于安全、负载分担等目的。
路由策略与策略路由是两种不同的机制,主要区别如表10-1。
表10-1路由策略与策略路由的区别10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。
华为S2700 S3700系列 01-01 以太网链路聚合配置
1以太网链路聚合配置关于本章链路聚合是将多条以太网链路捆绑在一起成为一条逻辑链路。
通过配置链路聚合,可以实现增加带宽、提高可靠性、负载分担的目的。
1.1 链路聚合概述介绍链路聚合的定义、由来和作用。
1.2 设备支持的链路聚合特性设备支持手工负载分担和LACP(Link Aggregation Control Protocol)两种链路聚合模式。
1.3 缺省配置介绍了链路聚合参数的缺省配置。
1.4 配置手工负载分担模式链路聚合通过配置链路聚合,可以达到负载分担、增加带宽、提高可靠性的目的。
1.5 配置LACP模式链路聚合通过配置链路聚合,可以达到负载分担、增加带宽、提高可靠性的目的。
1.6 维护链路聚合维护链路聚合,包括监控链路聚合运行情况和清除LACP统计信息。
1.7 配置举例介绍链路聚合的配置举例。
配置示例中包括组网需求、配置思路、操作步骤等。
1.8 常见配置错误介绍链路聚合常见配置错误的处理方法。
1.1 链路聚合概述介绍链路聚合的定义、由来和作用。
链路聚合(Link Aggregation)是将—组物理接口捆绑在一起作为一个逻辑接口来增加带宽和可靠性的一种方法。
链路聚合组LAG(Link Aggregation Group)是指将若干条以太链路捆绑在一起所形成的逻辑链路,简写为Eth-Trunk。
随着网络规模不断扩大,用户对链路的带宽和可靠性提出越来越高的要求。
在传统技术中,常用更换高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽,但这种方案需要付出高额的费用,而且不够灵活。
采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,实现增加链路带宽的目的。
链路聚合的备份机制能有效提高可靠性,同时,还可以实现流量在不同物理链路上的负载分担。
如图1-1所示,DeviceA与DeviceB之间通过三条以太网物理链路相连,将这三条链路捆绑在一起,就成为了一条Eth-Trunk逻辑链路,这条逻辑链路的带宽等于原先三条以太网物理链路的带宽总和,从而达到了增加链路带宽的目的;同时,这三条以太网物理链路相互备份,有效地提高了链路的可靠性。
华为交换机的配置S2700
华为交换机的配置——S2700<Quidway>system-view //进入配置模式[Quidway]sysname B1 //给交换机命名为B1[B1]http server load flash:/S2700?.... zip //加载WEB管理程序[B1]http server enable //开启WEB管理功能[B1]user-interface console 0 //进入console 0端口的配置[B1-ui-con0]authentication-mode password //启用密码认证[B1-ui-con0]set authentication password cipher qqgroup //设置密文密码[B1-ui-con0]user privilege level 3 //安全级别为3[B1-ui-con0]quit //退出[B1]user-interface vty 0 4 //进入VTY配置[B1-ui-vty0-4]authentication-mode password[B1-ui-vty0-4]set authentication password cipher qq[B1-ui-vty0-4]user privilege level 3[B1-ui-vty0-4]quit[B1]vlan 10 //创建VLAN 10[B1-vlan10]interface Ethernet 0/0/1 //进入交换机的端口[B1-ethernet 0/0/1]port link-type access //设置端口模式为接入模式[B1-ethernet 0/0/1]port default vlan 10 //把该端口加入VLAN10 [B1-ethernet 0/0/1]interface Ethernet 0/0/24[B1-ethernet 0/0/24]port link-type trunk //设置端口模式为TRUNK [B1-ethernet 0/0/24]port trunk permit vlan 10 //设置TRUNK允许通过的VLAN[B1-ethernet 0/0/24]quit[B1]interface vlan 10 //进入VLAN接口[B1]ip add 192.168.10.1 24 //给VLAN配置管理地址。
华为S2700 S3700系列交换机 01-08 CFM配置
8.4.3 创建维护域 MD
背景信息
在所有需要实施以太网CFM管理的设备上进行以下配置。
操作步骤
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令cfm md md-name [ format { no-md-name | dnsname-and-mdname | mac-address | md-name } ] [ level level ],创建MD并进入MD视图。
根据网络的分层/分级架构,需要提供分层/分级的以太OAM功能。如图8-1所示。
图 8-1 以太网 OAM 示意图 Services Access
Metro
CE
PE1
P
PE2
PE3
Core
Access Link OAM
Connectivity Layer OAM
Service Layer OAM
EFM
缺省情况下,设备的全局CFM功能处于未使能状态。 ----结束
8.4.2 版本切换
背景信息
缺省情况下,设备启用的是802.1ag协议draft7草案版本。如果需要使用standard2007 标准版本,在所有需要切换版本的设备上进行system-view,进入系统视图。 步骤2 执行命令cfm version { draft7 | standard },切换版本。
8 CFM 配置
组网类别 映射原则
端到端链路
当MA部署在端到端组网中时如MA2,需要MA与业务实例关联。但是 不同的网络层次,维护集MA与业务实例的关联方式不同。如图8-2所 示:
华为S2700 S3700系列交换机 01-02 以太网接口配置
文档版本 07 (2020-04-15)
版权所有 © 华为技术有限公司
10
S2700, S3700 系列以太网交换机 配置指南-接口管理
参数 接口速率
上报状态变化延时时间 链路振荡保护
2 以太网接口配置
缺省值 自协商模式下,接口的速率是与对端协 商得到的 非自协商模式下,接口的速率为接口支 持的最大速率 上报Up事件延时时间2000毫秒 上报Down事件延时时间0毫秒 未使能
以太网接口是一种用于局域网组网的接口,包括:以太网电接口、以太网光接口。
为了适应网络需求,设备上定义了以下几种以太网接口类型:
● 二层以太网接口:是一种物理接口,工作在数据链路层,不能配置IP地址。它可 以对接收到的报文进行二层交换转发,也可以加入VLAN,通过VLANIF接口对接 收到的报文进行三层路由转发。
2.4 配置端口组
介绍配置端口组以减少重复工作。
背景信息
当用户需要对多个以太网接口进行相同的配置时,可以将这多个以太网接口加入端口 组内。在端口组视图下,用户只需输入一次配置命令,该端口组内的所有以太网接口 都会配置该功能,完成接口批量配置,减少重复配置工作。
S2700, S3700 系列以太网交换机 配置指南-接口管理
2 以太网接口配置
2 以太网接口配置
关于本章
以太网以其高度灵活、相对简单、易于实现的特点,成为重要的局域网组网技术。当 您选择以太网进行局域网组网时,可以使用以太网接口。
2.1 规格
2.2 以太网接口简介 以太网接口是一种用于局域网组网的接口,包括:以太网电接口、以太网光接口。
端口组
华为S2700系列企业交换机产品介绍说明书
DataSheetIntroductionThe S2700 utilizes cutting-edge switching technologies and Huawei Versatile Routing Platform (VRP) software to meet the demand for multi-service provisioning and access on Ethernet networks. It is easy to install and maintain. With its flexiblenetwork deployment, comprehensive security and quality of service (QoS) policies, and energy-saving technologies, the S2700 helps enterprise customers build next-generation IT networks.The S2700 is a box device that is 1 U (44.45 mm or 1.75 in.) high. It is available in a standard version (SI) or an enhanced version (EI).Product OverviewModels and AppearancesAppearanceDescriptionS2700-9TP-SI-ACS2700-9TP-EI-ACS2700-9TP-EI-DC● 8 Ethernet 10/100 ports, 1 dual-purpose 10/100/1000 or SFP●AC and DC power supply for the EI version; AC power supply for the SI version ● Forwarding performance: 2.7 Mpps ●Switching Capacity: 32GbpsS2700-9TP-PWR-EI● 8 Ethernet 10/100 ports, 1 dual-purpose 10/100/1000 or SFP ● AC power supply ●PoE+● Forwarding performance: 2.7 Mpps ● Switching Capacity: 32GbpsS2700-18TP-SI-AC● 16 Ethernet 10/100 ports, 2 dual-purpose 10/100/1000 or SFP ●AC power supply● Forwarding performance: 5.4 Mpps ●Switching Capacity: 32GbpsS2700-18TP-EI-ACS2700-26TP-SI-ACS2700-26TP-EI-AC● 24 Ethernet 10/100 ports, 2 dual-purpose 10/100/1000 or SFP●AC power supply for the EI version; AC power supply for the SI version ● Forwarding performance: 6.6 Mpps ●Switching Capacity: 32GbpsS2700-26TP-PWR-EI● 24 Ethernet 10/100 ports, 2 dual-purpose 10/100/1000 or SFP ● AC power supply ●PoE+● Forwarding performance: 6.6 Mpps ● Switching Capacity: 32GbpsS2710-52P-SI-AC●48 Ethernet 10/100 ports, 4 Gig SFP ● AC power supply● Forwarding performance: 13.2 Mpps ● Switching Capacity: 32GbpsS2700-52P-EI-AC● 48 Ethernet 10/100 ports, 4 Gig SFP ●AC and DC power supply● Forwarding performance: 13.2 Mpps ● Switching Capacity: 32GbpsS2700-52P-PWR-EI● 48 Ethernet 10/100 ports, 4 Gig SFP ●AC power supply ● PoE+● Forwarding performance: 13.2 Mpps ● Switching Capacity: 32GbpsS2750-20TP-PWR-EI-AC● 16 Ethernet 10/100 ports, 2 Gig SFP and 2 dual-purpose 10/100/1000 or SFP ●AC power supply ● PoE+● Forwarding performance: 8.4 Mpps ● Switching Capacity: 64GbpsS2750-28TP-EI-AC●24 Ethernet 10/100 ports, 2 Gig SFP and 2 dual-purpose 10/100/1000 or SFP ● AC power supply● Forwarding performance: 9.6 Mpps ● Switching Capacity: 64GbpsS2750-28TP-PWR-EI-AC● 24 Ethernet 10/100 ports, 2 Gig SFP and 2 dual-purpose 10/100/1000 or SFP ●AC power supply ● PoE+● Forwarding performance: 9.6 Mpps ● Switching Capacity: 64GbpsS2720-28TP-EI-AC●24 Ethernet 10/100 ports,2 Gig SFP and 2 dual-purpose ● 10/100/1000 or SFP ● AC power supply● Forwarding performance: 9.6 Mpps ●Switching Capacity: 12.8GbpsFan TrayS2700 uses a new generation of high integrated chip and energy-saving circuit design, balanced heat, low power consumption, no fan of mute design.Power SupplyS2700 non-PoE model do not support pluggable power supplies.PoE/PoE+PWR in the model name indicates a PoE-capable switch, which supports IEEE 802.3af-compliant PoE and 802.3at-compliant PoE+. Each port delivers 15.4 W PoE or 30 W PoE+ power capacity.PoE power is divided into two types: 500W and 250W power supplies.S2700-9TP-PWR-EI Built-in single powersupply - 124 W PoE (15.4W): 8PoE+ (30W): 4S2700-26TP-PWR-EI W0PSA2500 - 123.2 W PoE (15.4W): 8PoE+ (30W): 4W0PSA5000 - 369.6W PoE (15.4W): 24PoE+ (30W): 12W0PSA2500 W0PSA2500 246.4W PoE (15.4W): 16PoE+ (30W): 8W0PSA5000 W0PSA5000 739.2W PoE (15.4W): 24PoE+ (30W): 24 S2700-52P-PWR-EI W0PSA2500 - 123.2 W PoE (15.4W): 8PoE+ (30W): 4W0PSA5000 - 369.6W PoE (15.4W): 24PoE+ (30W): 12W0PSA2500 W0PSA2500 246.4W PoE (15.4W): 16PoE+ (30W): 8W0PSA5000 W0PSA5000 739.2W PoE (15.4W): 48PoE+ (30W): 24S2750-20TP-PWR-EI-AC Built-in single powersupply - 370W PoE (15.4W): 16PoE+ (30W): 12S2750-28TP-PWR-EI-AC Built-in single powersupply - 370W PoE (15.4W): 24PoE+ (30W): 12When a switch has two power supplies installed, the two power supplies work in redundancy mode to provide power for the switch itself and in load balancing mode to provide power for powered devices (PDs).Product Features and HighlightsEasy Operation●The S2700 supports Huawei Easy Operation function. Thanks to this function, the S2700 implements easy installation, configuration, monitoring, and troubleshooting, greatly reduces initial installation and configuration costs, improves upgrade efficiency and lowers engineering costs. It provides a Web network management system (NMS) with a user-friendly graphical user interface (GUI) to implement alarm management and visual configuration, facilitating operation and maintenance. In addition, it supports faulty device replacement without configuration.●The S2700 offers a new application-specific integrated circuit (ASIC) switching technique and a fan-free design. This design reduces mechanical faults and protects the device against damages caused by condensed water and dust. Flexible service control●The S2700-EI supports various ACLs. ACL rules can be applied to VLANs to flexibly control ports and schedule VLAN resources.●The S2700 supports port-based VLAN assignment, MAC address-based VLAN assignment, protocol-based VLAN assignment, and network segment-based VLAN assignment. These secure and flexible VLAN assignment modes are used in networks where users move frequently.●The S2700 supports GARP VLAN Registration Protocol (GVRP), which dynamically distributes, registers, and propagates VLAN attributes to ensure correct VLAN configuration and reduce network administrator workloads. In addition, the S2700 supports SSH v2, HWTACACS, RMON, and port-based traffic statistics. The network quality analyzing (NQA) function assists users with network planning and upgrades.Excellent security features●The S2700 supports DHCP snooping, which generates user binding entries based on users' access interfaces, MAC addresses, IP addresses, IP address leases, VLAN IDs. The DHCP snooping function protects enterprises from common attacks such as bogus IP packet attacks, man-in-the-middle attacks, and bogus DHCP server attacks.●The S2700 can limit the number of MAC addresses that can be learned on an interface to prevent attackers from exhausting MAC address entries by using bogus source MAC addresses. This function minimizes packet flooding, which occurs when users' MAC addresses cannot be found in the MAC address table. The S2700 can also limit the number of ARP entries to prevent ARP spoofing attacks. In addition, it provides an IP source check function to prevent malicious users from using spoofed IP addresses to initiate DoS attacks.●The S2700 supports centralized MAC address authentication and 802.1x authentication. It authenticates users based on statically or dynamically bound user information such as IP address, MAC address, VLAN ID, access interface. VLANs, QoS policies, and ACLs can be dynamically applied to users.PoE function●The S2700 PWR series support improved Power over Ethernet (PoE) solutions and you can determine whether a PoE port provides power and the time a PoE port provides power. The S2700 PWR can use PoE power supplies with different power levels to provide the PoE function. Powered devices (PDs) such as IP Phones, WLAN APs, and Bluetooth APs can be connected to the S2700 PWR through network cables. The S2700 PWR provides -48V DC power for the PDs.●In its role as power sourcing equipment (PSE), the S2700 PWR complies with IEEE 802.3af and 802.3at (PoE+), and can work with PDs that are incompatible with 802.3af or 802.3at (PoE+). Each port provides a maximum of 30 W of power, complying with IEEE 802.3at. The PoE+ function increases the maximum power available on each port and implements intelligent power management for high-power consumption applications. This process facilitates the ease of PD use. PoE ports are still able to work while in power-saving mode.High scalability●The S2700 uses Intelligent Stack (iStack) to virtualize multiple switches into a single logical device to ease user management and configuration and expand the system switching capacity. iStack improves switching capacity, reliability, and scalability. Additionally, after the stack is established, all the member switches in a stack use the same IP address. You can use a single IP address to manage and maintain the switches uniformly. This greatly reduces system operation and maintenance (O&M) costs.●The iStack stacking architecture is designed for rapid failover capability with n-1 master redundancy, distributed Layer 2 and Layer 3 switching, link aggregation across the stack, and within 200 millisecond failover for path failure and hitlessmaster/backup failover.●Besides traditional STP, RSTP, and MSTP, the S2700 supports enhanced Ethernet technologies such as Smart Link and RRPP, implements millisecond-level protection switchover for links, and ensures the network quality.●The S2700 supports Smart Ethernet Protection (SEP) protocol, a ring network protocol applied to the link layer of an Ethernet network. SEP provides millisecond-level service switchovers and ensures nonstop forwarding of services. In addition, SEP features simplicity, high reliability, high switchover performance, convenient maintenance, and flexible topology and enables users to manage and plan networks conveniently.●The S2700 supports G.8032 Ethernet Ring Protection Switching (ERPS). The ERPS is based on traditional Ethernet MAC and bridging functions. It uses the mature Ethernet OAM and Ring Automatic Protection Switching (Ring APS or R-APS) technologies to implement millisecond-level protection switching on Ethernet. ERPS supports various services and flexible networking and lowers operating expense (OPEX) and capital expenditure (CAPEX) of users.Comprehensive QoS policies●The S2700 supports complex traffic classification based on packets' TCP/UDP port numbers, VLAN IDs, source MAC/IP addresses, destination MAC/IP addresses, IP protocols, or priorities. By limiting the traffic rate based on traffic classification results, the S2700 implements line-speed forwarding on each port to ensure high-quality voice, video, and data services. Each port supports a maximum of eight queues and multiple queue scheduling algorithms, such as WRR, SP, and WRR+SP. Powerful surge protection capability●The S2700 uses the Huawei patented surge protection technique that supports 7 kV surge protection capability on service ports. This effectively protects switches against over lightning induced overvoltage. The Huawei patented surge protection technique greatly reduces the possibility of equipment being damaged by lightning, even in extreme situations or in scenarios where grounding is not feasible.Quiet operation, energy conservation, and low radiationThe S2700 uses an energy-saving integrated circuit design to ensure even heat dissipation. Idle ports can enter a sleep mode to further reduce power consumption. The S2700 generates no sound because it does not contain any fans. Radiation produced by the S2700 is within the standard range for electric appliances and causes no harm to the human body. Product SpecificationsDownlink ports S2700-9TP-SI**/S2700-9TP-EI/S2700-9TP-PWR-EI: 8 10/100Base-TX Ethernet portsS2700-18TP-SI/S2700-18TP-EI/S2750-20TP-PWR-EI-AC: 16 10/100Base-TX Ethernet portsS2700-26TP-SI/S2700-26TP-EI/S2700-26TP-PWR-EI/S2750-28TP-EI-AC/S2750-28TP-PWR-EI-AC: 2410/100Base-TX Ethernet portsS2710-52P-SI/S2700-52P-EI: 48 10/100Base-TX Ethernet portsUplink ports S2700-9TP-SI/S2700-9TP-EI/S2700-9TP-PWR-EI: 1 dual-purpose 10/100/1000 or SFPS2700-18TP-EI/S2700-18TP-SI/S2700-26TP-EI/S2700-26TP-EI/S2700-26TP-PWR-EI/S2700-26TP-SI:2 dual-purpose 10/100/1000 or SFPS2710-52P-SI/S2700-52P-EI: 4 gigabit SFPS2750-20TP-PWR-EI/S2750-28TP-EI-AC/S2750-28TP-PWR-EI: 2 Gig SFP and 2 dual-purpose10/100/1000 or SFPMAC address 8K MAC address entriesManual deletion of dynamicMAC address entriesAging time of MAC addressconfigurableBlackhole MAC addressentries 8K MAC address entriesManual deletion of dynamic MACaddress entriesAging time of MAC addressconfigurableBlackhole MAC address entriesMAC address learning controlwhich based on ports16K MAC address entriesManual deletion of dynamic MACaddress entriesAging time of MAC addressconfigurableMAC address learning controlwhich based on portsBlackhole MAC address entriesVLAN feature 4K active VLANs, complyingwith IEEE 802.1QPort-based VLAN assignment 4K active VLANs, complying with IEEE 802.1Q Port-based VLAN assignmentVLANIF interface number: 8N/A MAC address-based assignmentPort-based QinQQoS Outbound-Port-based ratelimiting and flow-based ratelimiting4 or 8 queues of differentpriorities on each portMapping between 802.1ppriorities and queuesSP, WRR, and SP+WRRalgorithms Port-based rate limiting and flow-based rate limiting4 or 8 queues of different prioritieson each portMapping between 802.1p prioritiesand queuesSP, WRR, and SP+WRRalgorithmsPort-based rate limiting and flow-based rate limiting8 queues of different priorities oneach portMapping between 802.1ppriorities and queuesSP, WRR, and SP+WRRalgorithmsN/A packet-based priority remark andpacket redirectionIPv4 routing Static routingRIP v1/v2(S2750-EI)IPv6 feature IPv6 protocol IPv6 protocolStatic IPv6 routes Static IPv6 routesSupports MLD v1/v2 snooping.Multicast IGMP v1/v2/v3 snoopingPort-based rate limiting formulticast packets MVLANControllable multicastIGMP v1/v2/v3 snoopingPort-based rate limiting for multicast packetsReliability S2700-SI: STP (IEEE802.1d), RSTP (IEEE802.1w)S2710-SI: STP (IEEE802.1d), RSTP (IEEE802.1w), MSTP (IEEE802.1s) STP (IEEE 802.1d), RSTP (IEEE802.1w), MSTP (IEEE 802.1s),and RRPP topology and RRPPmulti-instanceSTP (IEEE 802.1d), RSTP (IEEE802.1w), MSTP (IEEE 802.1s),and RRPP topology and RRPPmulti-instanceSEP and ERPS (G.8032)Smart Link tree topology andSmart Link multi-instance,implementing millisecond-levelprotective switchoverTraffic sampling N/A sFlowSecurity & access features S2700-SI: Storm suppressionS2710-SI: Stormsuppression , IP SourceGuard802.1x authentication and limit on the number of users on an interfaceStorm suppressionIP Source GuardS2700-SI: Multipleauthentication methodsincluding AAA, RADIUS, andTACACS+Port isolationSuppression of multicast,broadcast, and unknownunicast packetsCPU defenseS2710-SI: Multipleauthentication methodsincluding AAA, RADIUS, andTACACS+Port isolationSuppression of multicast,broadcast, and unknownunicast packetsCPU defenseDHCP snoopingMultiple authentication methods including AAA authentication, RADIUSauthentication, and TACACS+ authentication802.1x authentication, MAC address authentication, MAC bypassauthenticationDHCP snoopingPort isolation and sticky MACPacket filtering based on MAC addressesSuppression of multicast, broadcast, and unknown unicast packetsLimit on the number of learned MAC addressesCPU defenseS2750-EI: DHCP relaySurge protection Surge protection capability of service ports: 7kV Surge protection capability ofservice ports: 7 kVManagement Stack (S2710-52P-SI-AC, S2700-52P-EI-AC, S2700-52P-PWR-EI) Auto-ConfigCLI-based configurationRemote configuration using TelnetSNMP V1/V2C/V3Remote network monitoring StackEasy OperationCLI-based configuration Remote configuration using TelnetSNMP V1/V2C/V3SSHv2Web-based device managementRemote network monitoringSSHv2Web-based device management Interoperability N/A Supports VBST (Compatible withPVST/PVST+/RPVST)Supports LNP (Similar to DTP)Supports VCMP (Similar to VTP) OperatingenvironmentLong-term operating temperature: –5°C to + 50°CRelative humidity: 10% to 90% (non-condensing)Power AC:●Rated voltage range: 100 V to 240 V AC, 50/60 Hz●Maximum voltage: 90 to 264 V AC, 50/60 HzDC:●Rated voltage range: –48 V to –60 V DC●Maximum voltage range: –36 V to –72 V, DCNOTEPoE models do not use DC power supplies.Dimensions (W xD x H)●S2700-9TP-EI/SI: 250×180×43.6●S2700-9TP-PWR-EI: 320×220×43.6●S2700-18TP-EI/SI/S2700-26TP-EI/SI/S2750-28TP-EI-AC/S2720-28TP-EI-AC: 442×220×43.6●S2700-26TP-PWR-EI: 442×420×43.6●S2710-52P-SI/S2700-52P-EI: 442×220×43.6●S2750-20TP-PWR-EI-AC/S2750-28TP-PWR-EI-AC: 442×310×43.6Weight ●S2700-9TP-SI<1.4 kg●S2700-18TP-SI<2.4 kg●S2700-26TP-SI<2.4 kg●S2710-52P-SI<3 kg●S2700-9TP-EI<1.4 kg●S2700-9TP-PWR-EI<2.5 kg●S2700-18TP-EI<2.4 kg●S2700-26TP-EI<2.4 kg●S2700-52P-EI<3 kg●S2700-26TP-PWR-EI<4 kg(without power supply)●S2750-20TP-PWR-EI<4.5kg●S2750-28TP-EI<3 kg●S2750-28TP-PWR-EI<4.5kgPowerconsumption●S2700-9TP-SI<12.8 W●S2700-18TP-SI<14.5 W●S2700-26TP-SI<15.5 W●S2710-52P-SI<38 W●S2700-9TP-EI<12.8 W●S2700-9TP-PWR-EI<154 W(PoE: 124 W)●S2700-18TP-EI<14.5 W●S2700-26TP-EI<15.5 W●S2700-52P-EI<38 W●S2700-26TP-PWR-EI<808W(PoE: 740 W)●S2750-20TP-PWR-EI<435W(PoE: 370W)●S2750-28TP-EI<15.7 W●S2750-28TP-PWR-EI<445W(PoE: 370W)*: The S2700 is provided in the standard version (SI) and enhanced version (EI). The S2700 switches of the EI series are collectively called S2700-EI, and the S2700 switches of the SI series are collectively called S2700-SI. S2710-SI is a sub-series switch of S2700-SI. S2750-EI is the sub-series switches of S2700-EI.**: S2700-9TP-SI is short for S2700-9TP-SI-AC. As product versions are irrelevant to the power supply mode, the product names mentioned in product specifications do not contain AC or DC. This rule also applies to other product models.Hardware SpecificationsThe following table lists the S2700 hardware specifications.Memory (RAM) S2700: 64 MB (S2700-52P-EI/S2710: 128 MB); S2720/S2750: 256 MB Flash memory S2700/S2710: 16 MB; S2720/S2750: 200 MBMean Time Between Failures (MTBF), years ●S2700-9TP-SI-AC: 44.1●S2700-18TP-SI-AC: 39.2●S2700-26TP-SI-AC: 37.3●S2710-52P-SI-AC: 26.8●S2700-9TP-EI-AC: 44.1●S2700-9TP-EI-DC: 44.1●S2700-9TP-PWR-EI: 35.5●S2700-18TP-EI-AC: 39.2●S2700-26TP-EI-AC: 37.3●S2700-26TP-PWR-EI: 34.8●S2700-52P-EI-AC: 26.8●S2700-52P-PWR-EI: 35.4●S2720-EI: 44.3●S2750-28TP-EI-AC: 44.3●S2750-20TP-PWR-EI-AC: 78.68 ●S2750-28TP-PWR-EI-AC: 78.29Mean Time To Repair (MTTR), hours 2Availability > 0.99999Stack port ●Not supported by S2700-SI●S2710-SI: 2 1000Base-X optical ports●S2700-EI: 2 1000Base-X optical ports in S2700-52P-EI-AC or S2700-52P-PWR-EI●S2720-EI: 2 1000Base-X optical multiplexing uplink for stack●S2750-EI: 2 1000Base-X optical multiplexing uplink for stackRPS Not supported by S2700PoE Supported by PWR seriesDC input voltage Rated voltage range ●Not supported by S2700-SI/S2710-SI/S2720-EI/S2750-EI●S2700-EI: -48V DC to -60V DCMaximum voltagerange●Not supported by S2700-SI/S2710-SI/S2720-EI/S2750-EI●S2700-EI: -36V DC to -72V DCAC input voltage Rated voltage range 100V AC to 240V AC; 50/60 Hz Maximum voltagerange90V AC to 264V AC; 47 Hz to 63 HzTemperature Operatingtemperature ●S2700-SI: -5°C to +50°CNOTEThe working temperature is -5°C to +45 °C when SFP optical module matching80km and above the distance.●S2710-52P-SI-AC: -5°C to +50°C●S2700-EI: -5°C to +50°C,NOTES2700-52P-PWR-EI: 0°C to +50°C.In addition to the S2700-26TP-PWR-EI, S2700-52P-EI-AC and S2700-52P-PWR-EI, the working temperature is -5 °C to +45 °C when SFP optical modulematching 80km and above the distance.●S2720-EI: -5°C to +50°C (0 m-1800 m altitude)NOTEWhen the altitude is between 1800 m and 5000 m, the operating temperaturereduces by 1°C every time the altitude increases by 220 m.The working temperature is -5°C to +45 °C when SFP optical module matching80km and above the distance.●S2750-EI: -5°C to +50°C (0 m-1800 m altitude)NOTEWhen the altitude is between 1800 m and 5000 m, the operating temperaturereduces by 1°C every time the altitude increases by 220 m.●S2750-28TP-EI-AC: The working temperature is -5°C to +45 °C when SFPoptical module matching 80km and above the distance.Storage temperature -40°C to +70°CNoise under normal temperature (sound power) ●S2750-20TP-PWR-EI-AC: <52dBA ●S2750-28TP-PWR-EI-AC: <52dBA ●others: No fan, muteOperating altitude ●S2700-SI/S2710-SI/S2720-EI: 0 m to 5000 m●S2700-9TP-EI-AC: 0m to 5000m●S2700-9TP-EI-DC: 0m to 2000m●S2700-9TP-PWR-EI: 0m to 2000m●S2700-18TP-EI-AC: 0m to 5000m●S2700-26TP-EI-AC: 0m to 5000m●S2700-26TP-PWR-EI: 0m to 5000m●S2700-52P-EI-AC: 0m to 2000m●S2700-52P-PWR-EI: 0m to 5000m●S2750-28TP-EI-AC: 0m to 5000m●S2750-20TP-PWR-EI-AC: 0m to 5000m●S2750-28TP-PWR-EI-AC: 0m to 5000mNetworking and Applications100 Mbit/s Access Rate for TerminalsThe S2700 can function as a desktop access device that provides an access rate of 100 Mbit/s for terminals and 1000 Mbit/s uplink interfaces to communicate with uplink devices.Ordering InformationProduct Description1 S2700-9TP-EI-AC Mainframe (8 Ethernet 10/100 ports, 1 dual-purpose 10/100/1000 or SFP, AC 110/220V)2 S2700-9TP-EI-DC Mainframe (8 Ethernet 10/100 ports, 1 dual-purpose 10/100/1000 or SFP, DC -48V)3 S2700-9TP-SI-AC Mainframe (8 Ethernet 10/100 ports, 1 dual-purpose 10/100/1000 or SFP, AC 110/220V)4 S2700-18TP-EI-AC Mainframe (16 Ethernet 10/100 ports, 2 dual-purpose 10/100/1000 or SFP, AC 110/220V)5 S2700-18TP-SI-AC Mainframe (16 Ethernet 10/100 ports, 2 dual-purpose 10/100/1000 or SFP, AC 110/220V)6 S2700-26TP-EI-AC Mainframe (24 Ethernet 10/100 ports, 2 dual-purpose 10/100/1000 or SFP, AC 110/220V)7 S2700-26TP-SI-AC Mainframe (24 Ethernet 10/100 ports, 2 dual-purpose 10/100/1000 or SFP, AC 110/220V)8 S2700-52P-EI-AC Mainframe (48 Ethernet 10/100 ports, 4 Gig SFP, AC 110/220V)9 S2710-52P-SI-AC Mainframe (48 Ethernet 10/100 ports, 4 Gig SFP, AC 110/220V)10 S2700-9TP-PWR-EI Mainframe (8 Ethernet 10/100 ports, PoE+, 1 dual-purpose 10/100/1000 or SFP, AC 110/220V)11 S2700-26TP-PWR-EI Mainframe (24 Ethernet 10/100 ports, 2 dual-purpose 10/100/1000 or SFP, PoE+, withoutpower module)S2700 Series Enterprise Switches 12S2700-52P-PWR-EI Mainframe (48 Ethernet 10/100 ports, 4 Gig SFP, PoE+, Dual Slots of Power, Including Single 500W AC Power) 13S2750-20TP-PWR-EI-AC Mainframe (16 Ethernet 10/100 ports, 2 Gig SFP and 2 dual-purpose 10/100/1000 or SFP,PoE+, AC 110/220V) 14S2750-28TP-EI-AC Mainframe (24 Ethernet 10/100 ports, 2 Gig SFP and 2 dual-purpose 10/100/1000 or SFP, AC 110/220V) 15S2750-28TP-PWR-EI-AC Mainframe (24 Ethernet 10/100 ports, 2 Gig SFP and 2 dual-purpose 10/100/1000 or SFP, PoE+, AC 110/220V) 16S2720-28TP-EI-AC Mainframe (24 Ethernet 10/100 ports, 2 Gig SFP and 2 dual-purpose 10/100/1000 or SFP, AC 110/220V) 17 500W PoE power supply unitMore InformationFor more information about Huawei Campus Switches, visit or contact us in the following ways: ●Global service hotline: /en/service-hotline ●Logging in to the Huawei Enterprise technical support website: /enterprise/ ●Sending an email to the customer service mailbox: ********************Copyright © Huawei Technologies Co., Ltd. 2018. All rights reserved.No part of this document may be reproduced or transmitted in any form or by any means without prior writtenconsent of Huawei Technologies Co., Ltd.Trademarks and Permissionsand other Huawei trademarks are trademarks of Huawei Technologies Co., Ltd.All other trademarks and trade names mentioned in this document are the property of their respective holders.NoticeThe purchased products, services and features are stipulated by the contract made between Huawei and thecustomer. All or part of the products, services and features described in this document may not be within thepurchase scope or the usage scope. Unless otherwise specified in the contract, all statements, information, andrecommendations in this document are provided "AS IS" without warranties, guarantees or representations ofany kind, either express or implied.The information in this document is subject to change without notice. Every effort has been made in thepreparation of this document to ensure accuracy of the contents, but all statements, information, andrecommendations in this document do not constitute a warranty of any kind, express or implied. Huawei Technologies Co., Ltd. Address:Huawei Industrial Base Bantian, Longgang Shenzhen 518129 People's Republic of China Website:。
华为S3700配置标准文档
华为交换机Quidway S3700基础配置1、连接Console口客户机上运行超级终端,波特率为9600bit/s、8位数据位、1位停止位、校验和流控均为无,开机自检,自检后回车进入系统界面;2、设置交换机名称system-viewsysname testcenter3、配置管理IPinterface vlanif 1ip address 100.0.0.1 255.255.255.0quit4、配置管理VLAN((各vlan可以通信)<Huawei>system-view[Huawei]vlan batch 10 20 30 40[Huawei]in vlan 10[Huawei-vlanif10]ip add 192.168.10.1 24[Huawei-vlanfi10]in vlan 20[Huawei-vlanif20]ip add 192.168.20.1 24[Huawei-vlanif20]in vlan 30[Huawei-vlanif30]ip add 192.168.30.1 24[Huawei-vlanif30]in vlan 40[Huawei-vlanif40]ip add 192.168.40.1 24[Huawei-vlanif40]in ethe 0/0/1[Huawei-E0/0/1]port link-type access[Huawei-E0/0/1]port default vlan 10[Huawei-E0/0/1]in ethe 0/0/2[Huawei-E0/0/2]port link-type access[Huawei-E0/0/2]port default vlan 20[Huawei-E0/0/2]in ethe 0/0/3[Huawei-E0/0/3]port link-type access[Huawei-E0/0/3]port default vlan 30[Huawei-E0/0/3]in ethe 0/0/4 [Huawei-E0/0/4]port link-type access [Huawei-E0/0/4]port default vlan 40 [Huawei-E0/0/4]quit[Huawei]quit< Huawei>save5、配置telnetaaalocal-user admin password simple ***local-user admin service-type telnetlocal-user admin privilege level 15quit6、赋予端口登录认证模式user-interface vty 0 4authentication-mode aaareturn。
华为S2700 S3700系列交换机 01-12 配置举例
12.4 配置 MSTP 的基本功能示例
介绍配置MSTP的基本功能示例。
组网需求
本例中的交换机都使用二层接口运行MSTP。需求如下:
文档版本 07 (2020-04-15)
版权所有 © 华为技术有限公司
213
S2700, S3700 系列以太网交换机 Web 网管操作指南
12 配置举例
操作结果
d. 单击“确定”。 ● 将接口Ethernet0/0/4加入VLAN3
a. 单击导航树中的“业务管理 > VLAN > Hybrid口”菜单,进入“Hybrid口” 界面。
组网需求
如图12-1所示,某企业包含4个部门。部门1通过Switch1与Switch的接口Eth0/0/1相 连。部门2通过LSW-A与Switch的接口Eth0/0/2相连。部门3通过LSW-B与Switch的接 口Eth0/0/3相连。部门4通过Switch2与Switch的接口Eth0/0/4相连。要求:
b. 在“Hybrid口”页面,单击接口“Ethernet0/0/1”后对应的“ ”图标,进 入“修改接口的VLAN配置”界面。
c. 输入“Tagged”为“2”。 d. 单击“确定”。
说明
所有接口默认的链路类型是hybrid,如果需要配置的接口已经修改了链路类型,需要把它 们转换为hybrid口再进行配置。
● 在域RG2内,SwitchB为CIST域根,SwitchB为实例1的域根。
● SwitchC和SwitchD的Ethernet0/0/2接口与PC机相连,设置为边缘端口,同时在 SwitchC和SwitchD上应用BPDU保护功能。
华为S2700 S3700系列交换机 01-10 安全
10安全关于本章本章主要介绍安全管理的相关概念和相关配置,主要包括:端口隔离、用户静态绑定、AAA配置、802.1X和MAC认证。
10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。
S2700SI系列交换机不支持此功能。
10.2 用户静态绑定用户静态绑定信息由用户手工配置,支持的绑定方式包括IP+PORT、MAC+PORT、IP+MAC+PORT、IP+PORT+VLAN、MAC+PORT+VLAN、IP+MAC+PORT+VLAN。
S2700SI系列交换机不支持此功能。
10.3 AAA配置AAA是Authentication,Authorization,Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
在S2700系列交换机中仅是支持用户管理功能。
10.4 802.1X介绍802.1X的基本配置包括全局和接口802.1X参数配置。
10.5 MAC认证介绍MAC地址认证的基本配置包括全局配置和接口配置,使用MAC地址认证的特性。
10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。
S2700SI系列交换机不支持此功能。
端口隔离模式可以配置为二层三层都隔离或者二层隔离三层互通,最常用的就是同一个小组成员两两之间不能二层互通,却可以通过访问公共资源。
如打印机、服务器等。
10.1.1 双向隔离提供配置隔离模式和双向隔离的新建、查询、修改、删除的功能。
背景信息●同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。
●交换机支持64个隔离组,编号为1~64。
操作步骤●配置隔离模式说明●缺省情况下,端口隔离模式为L2(二层隔离三层互通)。
●隔离模式选择应用后,会把双向隔离和单向隔离的配置都应用于该模式。
●切换下方的双向隔离和单向隔离标签不影响隔离模式的配置功能。
●S2700(除S2700-52P-PWR-EI)系列交换机不支持此功能。
华为S2700接入层交换机参数
Quidway® S2700系列企业网交换机产品概述:Quidway® S2700系列企业网交换机(以下简称S2700)是华为公司推出的新一代绿色节能的以太网智能百兆接入交换机。
它基于新一代交换技术和华为VRP®(Versatile Routing Platform)软件平台,针对企业客户的各种应用场景,提供简单便利的安装维护手段,同时融合了灵活的VLAN部署、完备的安全和QoS控制策略、绿色环保等先进技术,可满足以太网多业务承载和接入需要,助力企业用户搭建面向未来的IT网络。
S2700为盒式产品设备,机箱高度为1U,提供标准型(SI)和增强型(EI)两种产品版本。
产品特性:免维护,易部署,易管理S2700•支持自动配置,智能式即插即用,大大降低初始安装成本;采用全新交换ASIC技术,整机无风扇设计,减少机械故障点的同时免除凝露腐蚀和尘土侵害,能有效降低主机53%维护率。
S2700支持自动批量远程升级,易于使用和部署;友好的Web网管,拓扑自动发现、告警管理、可视化配置,友好的人机界面,简化运维。
此外,还支持HGMPv2、SSHv2、HWTACACS+、RMON、基于端口的流量统计;支持NQA网络质量分析,有利于网络规划和升级。
S2700支持GVRP,实现VLAN动态分发、注册和传播VLAN属性,减少网络管理员的手工配置量、保证VLAN配置正确性,减少因为配置不一致而导致的网络互通问题。
业务控制灵活S2700-EI支持丰富的ACL策略控制,特别支持基于VLAN下发ACL规则,实现VLAN内多端口的灵活控制和统一资源调度。
S2700支持多种VLAN划分方式:支持基于端口划分VLAN,基于MAC地址划分VLAN,可以满足对安全和移动办公需求较高的网络应用场景。
卓越安全,接入舒心S2700支持完备的DHCP Snooping功能,通过侦听接入用户的MAC/IP 地址、租期、VLAN-ID、接口等字段信息,防止IP报文伪造、中间人攻击、DHCP服务器私接等常见企业安全威胁,保障网络接入安全。
01-11 PPPoE+配置
11 PPPoE+配置关于本章PPPoE+(Point-to-Point Protocol over Ethernet plus),又称PPPoE Intermediate Agent,它是通过截获PPPoE Client的PPPoE报文,并在其中添加终端用户主机接入的端口信息再转发给PPPoE Server,实现终端用户的用户账号与接入端口的绑定认证,以达到防止用户账号被盗用的一种技术。
11.1 PPPoE+概述PPPoE+部署在终端用户主机和宽带远程接入服务器BRAS之间的接入设备Switch上,Switch将终端用户主机接入的端口信息通过PAD(PPPoE Active Discovery)报文上送给PPPoE Server,实现终端用户的用户账号与接入端口的绑定认证,避免用户账号被盗用。
11.2 配置注意事项介绍PPPoE+的配置注意事项。
11.3 缺省配置介绍设备的PPPoE+缺省配置,实际应用的配置可以基于缺省配置进行修改。
11.4 配置PPPoE+通过配置PPPoE+功能,设备可以在PPPoE报文中添加终端用户主机接入的端口信息后再通过信任接口转发出去,从而有效防止用户账号盗用现象。
11.5 配置举例介绍PPPoE+配置举例。
配置示例中包括组网需求、配置思路等。
11.6 常见配置错误介绍PPPoE+常见配置错误的处理方法。
11.1 PPPoE+概述PPPoE+部署在终端用户主机和宽带远程接入服务器BRAS之间的接入设备Switch上,Switch将终端用户主机接入的端口信息通过PAD(PPPoE Active Discovery)报文上送给PPPoE Server,实现终端用户的用户账号与接入端口的绑定认证,避免用户账号被盗用。
PPPoE+产生背景PPPoE是一种通过一个远端接入设备为以太网上的主机提供接入服务,并可以对接入的每个主机实现控制和计费的技术。
PPPoE使用Client/Server模型,PPPoE Client向PPPoEServer发起连接请求,在两者会话协商过程中,PPPoE Server向PPPoE Client提供接入控制、认证等功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11策略路由配置关于本章通过配置策略路由,可以用于提高网络的安全性能和负载分担。
11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。
11.2 配置举例配置示例中包括组网需求和配置思路等。
11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。
背景信息通过配置重定向,设备将符合流分类规则的报文重定向到指定的下一跳地址。
包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。
说明对于S2700系列交换机,只有S2700-52P-EI和S2700-52P-PWR-EI交换机支持策略路由。
前置任务在配置策略路由前,需要完成以下任务:●配置相关接口的IP地址和路由协议,保证路由互通。
●如果使用ACL作为策略路由的流分类规则,配置相应的ACL。
操作步骤1.配置流分类a.执行命令system-view,进入系统视图。
b.执行命令traffic classifier classifier-name [ operator { and | or } ],创建一个流分类并进入流分类视图,或进入已存在的流分类视图。
and表示流分类中各规则之间关系为“逻辑与”,指定该逻辑关系后:▪当流分类中有ACL规则时,报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类;▪当流分类中没有ACL规则时,则报文必须匹配所有非ACL规则才属于该类。
or表示流分类各规则之间是“逻辑或”,即报文只需匹配流分类中的一个或多个规则即属于该类。
缺省情况下,流分类中各规则之间的关系为“逻辑与”。
c.请根据实际情况定义流分类中的匹配规则。
d.执行命令quit,退出流分类视图。
2.配置流行为a.执行命令traffic behavior behavior-name,创建一个流行为,进入流行为视图。
b.请根据实际需要进行如下配置:▪执行命令redirect ip-nexthop ip-address &<1-4> [ forced ],将符合流分类的报文重定向到下一跳。
当存在多个下一跳时,设备按照主备方式对报文进行重定向转发。
一个流行为中最多可以配置4个下一跳,设备根据下一跳的配置顺序确定主备链路,先配置的下一跳IP地址优先级较高。
配置的第一个下一跳IP地址作为主用链路,其它链路作为备用链路。
当主用链路Down之后,则自动选取优先级高的下一跳作为新的主链路;当原主用链路恢复正常以后,流量再回切至原主用链路。
说明通过配置报文重定向功能可以实现策略路由。
▪执行命令redirect ip-multihop { nexthop ip-address } &<2-4>,将符合流分类的报文重定向到配置的多个下一跳中的一个。
如果配置了多个下一跳,设备按照等价路由负载分担方式对报文进行重定向转发。
使用重定向到多下一跳的正常转发过程中,如果当前下一跳对应的出接口状态突然为Down,或路由突然发生了改变,设备可将链路快速切换到当前可用的某个下一跳对应的出接口上。
如果设备上没有命令中下一跳IP地址对应的ARP表项,使用此命令能配置成功,但重定向不能生效,设备仍按报文原来的目的地址转发,直到设备上有对应的ARP表项。
说明不能在同一流行为中既配置remark destination-mac又配置以下命令:●redirect ip-nexthop●redirect ip-multihopc.(可选)执行命令statistic enable,使能流量统计功能。
d.执行命令quit,退出流行为视图。
e.执行命令quit,退出系统视图。
3.配置流策略a.执行命令system-view,进入系统视图。
b.执行命令traffic policy traffic-policy-name,创建一个流策略并进入流策略视图,或进入已存在的流策略视图。
c.执行命令classifier classifier-name behavior behavior-name,在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。
d.执行命令quit,退出流策略视图。
e.执行命令quit,退出系统视图。
4.应用流策略–在接口上应用流策略i.执行命令system-view,进入系统视图。
ii.执行命令interface interface-type interface-number,进入接口视图。
说明目前只有S2700-52P-EI、S2700-52P-PWR-EI、S2710-SI和S3700支持Tunnel接口配置。
iii.请根据不同设备形态进行如下配置:○在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI设备上,执行traffic-policy policy-name { inbound | outbound }命令,在接口上应用流策略。
对于除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI设备,只有在流行为中配置了流镜像功能,才可以将流策略应用于出方向。
即出方向流策略只支持流镜像功能。
在配置流镜像之前,需要首先使用observe-port(本地镜像)或者observe-port(远程镜像)命令配置镜像端口。
○在S2700-52P-EI、S2700-52P-PWR-EI、S2710SI、S3700SI、S3700EI设备上,执行traffic-policy policy-name inbound命令,在接口上应用流策略。
每个接口的每个方向上能且只能应用一个流策略,但同一个流策略可以同时应用在不同接口的不同方向。
应用后,系统对流经该接口并匹配流分类中规则的入方向或出方向报文实施策略控制。
但是流策略对VLAN 0的报文不生效。
建议不要在Untagged类型接口出方向上应用包含有remark8021p、remark vlan-id等动作的流策略,否则,可能导致报文内容出错。
–在VLAN上应用流策略i.执行命令system-view,进入系统视图。
ii.执行命令vlan vlan-id,进入VLAN视图。
iii.执行命令traffic-policy policy-name inbound,在VLAN上应用流策略。
应用后,系统对属于该VLAN并匹配流分类中规则的入方向报文实施策略控制。
但是如果匹配到VLAN 0报文,则流策略不生效。
–在全局应用流策略i.执行命令system-view,进入系统视图。
ii.执行命令traffic-policy policy-name global inbound,在全局应用流策略。
检查配置结果●执行命令display traffic classifier user-defined [ classifier-name ],查看已配置的流分类信息。
●执行命令display traffic behavior user-defined [ behavior-name ],查看已配置的流行为信息。
●执行命令display traffic policy user-defined [ policy-name [ classifierclassifier-name ] ],查看用户定义的流策略的配置信息。
●执行命令display traffic-applied [ interface [ interface-type interface-number ] | vlan [ vlan-id ] ] inbound [ verbose ],查看全局、VLAN或接口上关联的ACL规则和流动作信息。
●执行命令display traffic policy { interface [ interface-type interface-number ][ inbound ] | vlan [ vlan-id ] [ inbound ] | global [ inbound ] },查看已配置的流策略信息。
●执行命令display traffic-policy applied-record [ policy-name ],查看指定流策略的应用记录。
11.2 配置举例配置示例中包括组网需求和配置思路等。
11.2.1 配置策略路由示例(S2700-52P-EI、S2700-52P-PWR-EI、S3700SI、S3700EI)组网需求如图11-1所示,公司用户通过Switch双归属到外部网络设备。
其中,一条是低速链路,网关为20.1.20.1/24;另外一条是高速链路,网关为20.1.30.1/24。
公司希望上送外部网络的报文中,IP优先级为4、5、6、7的报文通过高速链路传输,而IP优先级为0、1、2、3的报文则通过低速链路传输。
图11-1配置策略路由组网图20.1.20.1/2420.1.30.1/24配置思路采用重定向方式实现策略路由,进而提供差分服务,具体配置思路如下:1.创建VLAN并配置各接口,实现公司和外部网络设备互连。
2.配置ACL规则,分别匹配IP优先级4、5、6、7,以及IP优先级0、1、2、3。
3.配置流分类,匹配规则为上述ACL规则,使设备可以对报文进行区分。
4.配置流行为,使满足不同规则的报文分别被重定向到20.1.20.1/24和20.1.30.1/24。
5.配置流策略,绑定上述流分类和流行为,并应用到接口Eth0/0/3的入方向上,实现策略路由。
操作步骤步骤1创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。
<Quidway> system-view[Quidway] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口Eth0/0/1、Eth0/0/2和Eth0/0/3的接口类型为Trunk,并加入VLAN100和VLAN200。
[Switch] interface ethernet 0/0/1[Switch-Ethernet0/0/1] port link-type trunk[Switch-Ethernet0/0/1] port trunk allow-pass vlan 100 200[Switch-Ethernet0/0/1] quit[Switch] interface ethernet 0/0/2[Switch-Ethernet0/0/2] port link-type trunk[Switch-Ethernet0/0/2] port trunk allow-pass vlan 100 200[Switch-Ethernet0/0/2] quit[Switch] interface ethernet 0/0/3[Switch-Ethernet0/0/3] port link-type trunk[Switch-Ethernet0/0/3] port trunk allow-pass vlan 100 200[Switch-Ethernet0/0/3] quit说明请配置LSW与Switch对接的接口为Trunk类型接口,并加入VLAN100和VLAN200。