华为交换机 01-02 ARP配置

华为交换机防止仿冒网关 ARP 攻击配置实例作者：未知 文章来源：转贴 点击数：1059 更新时间：2007-7-3 16:27:00 二层交换机实现仿冒网关的 ARP 防攻击：一、组网需求：1. 二层交换机阻止网络用户仿冒网关 IP 的 ARP 攻击二、组网图：图 1 二层交换机防 ARP 攻击组网S3552P 是三层设备， 其中 IP： 100.1.1.1 是所有 PC 的网关， S3552P 上的网关 MAC 地址为 000f-e200-3999。

PC-B 上装有 ARP 攻击软件。

现在需要对 S3026C_A 进行一些特殊配置，目的是过滤掉仿冒网关 IP 的 ARP 报文。

三、配置步骤对于二层交换机如 S3026C 等支持用户自定义 ACL(number 为 5000 到 5999)的交换机，可以配置 ACL 来进行 ARP 报文过滤。

全局配置 ACL 禁止所有源 IP 是网关的 ARP 报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP 报文禁掉，其中斜体部分 64010101 是网关 IP 地 址 100.1.1.1 的 16 进制表示形式。

Rule1 允许通过网关发送的 ARP 报文，斜体部分为网关的 mac 地址 000f-e200-3999。

注意：配置 Rule 时的配置顺序，上述配置为先下发后生效的情况。

在 S3026C-A 系统视图下发 acl 规则：[S3026C-A] packet-filter user-group 5000这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文，其它主机都不能发送假冒网关的 arp 响应报文。

H3C交换机配置命令大全1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、 language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、 port link-type Access|Trunk|Hybrid 设置端口访问模式7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、 language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、配置IP地址和子网掩码7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、配置静态路由11、配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、 language-mode Chinese|English 中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置 :reset save ；reboot ；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。

华为交换机配置方法华为交换机是一种高性能网络交换设备，广泛应用于企业、政府机构、教育机构等各种网络环境中。

下面是华为交换机配置的详细方法：登录华为交换机使用终端软件，如SecureCRT或PuTTY，连接到华为交换机的管理口，并输入用户名和密码进行登录。

一般情况下，用户名为admin，密码为admin。

进入系统视图华为交换机采用层级结构的管理视图，系统视图是最高层级的视图。

在登录成功后，可以通过输入system-view命令进入系统视图。

配置基本网络参数在系统视图下，可以配置华为交换机的基本网络参数，包括IP地址、子网掩码、网关和DNS服务器等。

具体命令如下：配置IP地址：interface vlanif 1，ip address 192.168.1.1 24配置网关：ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 配置DNS服务器：ip dns server-address 8.8.8.8其中，vlanif 1是虚拟接口编号，192.168.1.1是华为交换机的IP地址，24是子网掩码的长度，0.0.0.0 0.0.0.0表示默认路由，192.168.1.254是网关的IP地址，8.8.8.8是DNS服务器的IP地址。

配置VLANVLAN是一种虚拟局域网技术，可以将不同的物理端口划分到不同的逻辑网络中。

华为交换机支持IEEE 802.1Q标准的VLAN。

具体命令如下：创建VLAN：vlan batch 10 20配置VLAN接口：interface vlanif 10，ip address 192.168.10.1 24配置端口所属VLAN：interface gigabitethernet 1/0/1，port link-type access，port default vlan 10其中，vlan batch 10 20是批量创建VLAN 10和VLAN 20，interface vlanif 10是VLAN 10的虚拟接口，192.168.10.1是VLAN 10的IP地址，gigabitethernet 1/0/1是物理端口的接口编号。

华为交换机基本配置命令华为交换机基本配置命令一、单交换机VLAN划分以下是单交换机VLAN划分的基本命令：system：进入系统视图。

system-view：进入系统视图。

quit：退出系统视图。

undovlan20：删除vlan20.XXX：交换机命名。

dispvlan：显示vlan。

vlan20：创建vlan（也可进入vlan20）。

porte1/0/1toe1/0/5：把端口1-5放入VLAN20中。

对于5700系列交换机，单个端口放入VLAN的命令如下：XXX]intg0/0/1XXX]portlink-type access（注：接口类型access，hybrid、trunk）XXX]portdefaultvlan10而批量端口放入VLAN的命令如下：XXX]port-group1XXX-port-group-1]group-XXXXXX-port-group-1]porthybriduntaggedvlan3如果需要删除group（组）vlan200内的15端口，可以使用以下命令：XXX]intg0/0/15XXX-XXX]XXX通过group端口限速设置的命令如下：XXX]Port-group2XXX]group-memberg0/0/2tog0/0/23XXX]qoslroutboundcir2000cbs要显示vlan里的端口20，可以使用以下命令：dispvlan20如果需要进入端口24，可以使用以下命令：inte1/0/24要删除当前VLAN端口10，可以使用以下命令：XXX如果需要显示当前配置，可以使用以下命令：dispcurr如果需要保存配置，可以使用以下命令：save如果需要通过关闭日志信息命令改变DS模块来实现关闭配置后的确认信息显示，可以使用以下命令：info-XXXoff如果需要通过打开日志信息命令改变DS模块来实现打开配置后的确认信息显示，可以使用以下命令：info-XXX二、配置交换机支持XXX以下是配置交换机支持XXX的基本命令：system：进入系统视图。

华为路由器交换机VLAN配置实例()使用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。

实现防火墙策略，和访问控制（ACL）。

方案说明：四台PC的IP地址、掩码如下列表：P1 192.168.1.1 255.255.255.0 网关IP为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP为192.168.1.6路由器上Ethernet0的IP为192.168.1.5Ethernet1的IP为192.168.1.6firewall 设置默认为deny实施命令列表：交换机上设置，划分VLAN：sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2[Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置，实现访问控制：[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall，并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101[Router-Ethernet1]quit华为QuidWay交换机配置命令手册华为QuidWay交换机配置命令手册：1、开始建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console口连接。

华为路由器配置ARP华为路由器配置ARP1、简介本文档介绍了如何配置华为路由器的ARP（地质解析协议）功能。

ARP是一种网络协议，用于将IP地质映射到MAC地质，以实现本地网络设备之间的通信。

2、确认网络拓扑在开始配置ARP之前，需要确认网络拓扑，以确定各设备之间的连接方式和IP地质分配情况。

3、配置基本网络参数首先，通过命令行界面（CLI）或Web界面登录路由器，并进入系统视图。

3.1 设置路由器主机名在系统视图下，使用以下命令设置路由器的主机名：hostname [主机名]3.2 设置IP地质使用以下命令设置路由器的IP地质：interface [接口名称]ip address [IP地质] [子网掩码]3.3 启动接口使用以下命令启动接口：interface [接口名称]undo shutdown4、配置ARP表项在确认网络拓扑后，可以开始配置路由器的ARP表项。

4.1 添加静态ARP表项对于已知的设备，可以手动添加静态ARP表项来加速地质解析过程。

使用以下命令添加静态ARP表项：arp static [IP地质] [MAC地质] interface [接口名称]4.2 添加动态ARP表项对于未知的设备，路由器可以自动添加动态ARP表项。

可以通过以下命令开启ARP动态学习功能：arp learning enable5、配置静态ARP高速缓存为了提高ARP表项的查找速度，可以配置静态ARP高速缓存。

使用以下命令配置静态ARP高速缓存：arp cache enable6、配置ARP缓存超时时间为了控制ARP缓存中的表项有效期，可以配置ARP缓存超时时间。

使用以下命令配置ARP缓存超时时间：arp cache timeout [超时时间]7、配置ARP请求重试次数为了提高地质解析的成功率，可以配置ARP请求的重试次数。

使用以下命令配置ARP请求重试次数：arp retry [重试次数]8、保存配置并重启路由器完成上述配置后，使用以下命令保存配置并重启路由器：savereboot本文档涉及附件：无本文所涉及的法律名词及注释：无。

配置静态ARP示例图1 配置静态ARP组网图静态ARP简介静态ARP表项是指网络管理员手工建立IP地址和MAC地址之间固定的映射关系。

正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习，生成的动态ARP表项可以被老化，可以被更新。

但是当网络中存在ARP攻击时，设备中动态ARP表项可能会被更新成错误的ARP表项，或者被老化，造成合法用户通信异常。

静态ARP表项不会被老化，也不会被动态ARP表项覆盖，可以保证网络通信的安全性。

静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址，此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系，从而保护了本端设备和对端设备间的正常通信。

一般在网关设备上配置静态ARP表项。

对于以下场景，用户可以配置静态ARP表项。

•对于网络中的重要设备，如服务器等，可以在交换机上配置静态ARP表项。

这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新，从而保证用户与重要设备之间正常通信。

•当网络中用户设备的MAC地址为组播MAC地址时，可以在交换机上配置静态ARP表项。

缺省情况下，设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。

•当希望禁止某个IP地址访问设备时，可以在交换机上配置静态ARP表项，将该IP地址与一个不存在的MAC地址进行绑定。

配置注意事项•设备上配置的静态ARP表项数目不能大于设备静态ARP表项规格，可以执行命令display arp statistics all查看设备上已有的ARP表项数目。

•本举例适用于S系列交换机所有产品的所有版本。

如需了解交换机软件配套详细信息，请点击Info-Finder，在选择产品系列或产品型号后，在“硬件中心”进行查询。

S5731-L和S5731S-L属于远端模块，不支持Web管理、YANG和命令行，仅支持通过中心交换机对其下发配置，相关操作请参见《S300, S500, S2700,S5700, S6700 V200R021C10 配置指南-设备管理》中的“极简架构配置（小行星方案）”。

为 QuidWay 交换机配置命令手册：1、开始建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的 Console 口连接。

在主机上运行终端仿真程序（如Windows 的超级终端等），设置终端通信参数为：波特率为 9600bit/s 、8 位数据位、 1 位停止位、无校验和无流控，并选择终端类型为 VT100。

以太网交换机上电，终端上显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如 <Quidway>）。

键入命令，配置以太网交换机或查看以太网交换机运行状态。

需要帮助可以随时键入“?“2、命令视图(1)用户视图 (查看交换机的简单运行状态和统计信息)<Quidway>:与交换机建立连接即进入 (2)系统视图 (配置系统参数 )[Quidway]:在用户视图下键入system- view(3)以太网端口视图 (配置以太网端口参数在系统视图下键入(4)VLAN视图 (配置 VLAN参数 )[Quidway-Vlan1]:在系统视图下键入 vlan 1(5)VLAN接口视图 (配置 VLAN和 VLAN汇聚对应的 IP 接口参数 )[Quidway-Vlan-interface1]:在系统视图下键入 interface vlan-interface 1(6)本地用户视图 (配置本地用户参数 )[Quidway-luser-user1]:在系统视图下键入 local-useruser1(7)用户界面视图 (配置用户界面参数 )[Quidway-ui0]:在系统视图下键入 user-interface3、其他命令设置系统时间和时区 <Quidway>clock time Beijing add 8设置交换机的名称 [Quidway]sysname TRAIN-3026-1[TRAIN-3026-1]配置用户登录 [Quidway]user-interface vty 0 4[Quidway-ui-vty0]authentication-mode scheme创建本地用户 [Quidway]local-user huawei[Quidway-luser-huawei]password simple huawei[Quidway-luser-huawei] service-type telnet level3 4、VLAN配置方法『配置环境参数』SwitchA 端口属于 VLAN2，属于 VLAN3『组网需求』把交换机端口加入到VLAN2，加入到 VLAN3数据配置步骤『 VLAN配置流程』(1)缺省情况下所有端口都属于 VLAN 1，并且端口是 access端口，一个access端口只能属于一个 vlan；(2)如果端口是 access端口，则把端口加入到另外一个 vlan 的同时，系统自动把该端口从原来的 vlan 中删除掉；(3)除了 VLAN1，如果 VLAN XX不存在，在系统视图下键入VLAN XX，则创建VLANXX并进入 VLAN视图；如果 VLAN XX已经存在，则进入VLAN视图。

2优先级映射配置关于本章优先级映射配置介绍优先级映射等基本概念并介绍优先级映射的配置方法、配置示例以及常见配置错误。

2.1 优先级映射概述优先级映射用来实现报文携带的QoS优先级与设备内部优先级（又称为本地优先级，是设备内部区分报文服务等级的优先级）之间的转换，从而设备根据内部优先级提供有差别的QoS服务质量。

2.2 设备支持的优先级映射特性介绍优先级映射在设备的支持情况。

2.3 配置优先级映射（S2700SI、S2700EI、S2710SI）配置优先级映射后，设备将根据报文携带的优先级或端口优先级进行优先级映射，确定报文进入的队列和报文出设备时携带的优先级，从而提供差异化的服务。

2.4 配置优先级映射（S2700-52P-EI、S2700-52P-PWR-EI、S3700SI、S3700EI）配置优先级映射后，设备将根据报文携带的优先级或端口优先级进行优先级映射，确定报文进入的队列和报文出设备时携带的优先级，从而提供差异化的服务。

2.5 配置举例通过示例介绍如何应用优先级映射。

配置示例中包括组网需求、配置注意事项、配置思路等。

2.1 优先级映射概述优先级映射用来实现报文携带的QoS优先级与设备内部优先级（又称为本地优先级，是设备内部区分报文服务等级的优先级）之间的转换，从而设备根据内部优先级提供有差别的QoS服务质量。

用户可以根据网络规划在不同网络中使用不同的QoS优先级字段，例如在VLAN网络中使用802.1p，IP网络中使用DSCP，MPLS网络中使用EXP。

当报文经过不同网络时，为了保持报文的优先级，需要在连接不同网络的设备上配置这些优先级字段的映射关系。

当设备连接不同网络时，所有进入设备的报文，其外部优先级字段（包括802.1p、DSCP和MPLS EXP）都被映射为内部优先级；设备发出报文时，将内部优先级映射为某种外部优先级字段。

2.2 设备支持的优先级映射特性介绍优先级映射在设备的支持情况。

1：配置登录用户，口令等<Quidway> //用户直行模式提示符,用户视图<Quidway>system-view //进入配置视图[Quidway] //配置视图（配置密码后必须输入密码才可进入配置视图）[Quidway] sysname xxx //设置主机名成为xxx这里使用[Quidway] aaa //进入aaa认证模式定义用户账户[Quidway-aaa] local-user wds password cipher wds[Quidway-aaa] local-user wds level 15[Quidway-aaa] local-user wds service-type telnet terminal ssh //有时候这个命令是最先可以运//行的，上边两个命令像password，level都是定义完vty 的// authentication-mode aaa后才出现[Quidway-aaa] quit[Quidway] user-interface vty 0 4 //当时很奇怪这个命令就是找不到，最后尝试了几次才能运行[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4] quit2：华为S9303 VLan设置创建vlan：<Quidway> //用户直行模式提示符,用户视图<Quidway>system-view //进入配置视图[Quidway] vlan 10 //创建vlan 10，并进入vlan10配置视图，如果vlan10存在就直接进入vlan10配置视图[Quidway-vlan10] quit //回到配置视图[Quidway] vlan 100 //创建vlan 100，并进入vlan100配置视图，如果vlan10存在就直接进入vlan100配置视图[Quidway-vlan100] quit //回到配置视图将端口加入到vlan中：[Quidway] interface GigabitEthernet2/0/1 (10G光口)[Quidway- GigabitEthernet2/0/1] port link-type access //定义端口传输模式[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100[Quidway- GigabitEthernet2/0/1] quit[Quidway] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。

2 ARP配置关于本章地址解析协议ARP（Address Resolution Protocol）是用来将IP地址解析为MAC地址的协议。

2.1 ARP简介介绍ARP的定义和作用。

2.2 ARP原理描述介绍ARP的实现原理。

2.3 ARP配置任务概览ARP表项分为动态ARP表项和静态ARP表项两种。

设备支持调整动态ARP老化参数和配置静态ARP表项，还支持一些扩展ARP的应用，比如Proxy ARP等。

2.4 ARP配置注意事项介绍ARP的配置注意事项。

2.5 ARP缺省配置介绍ARP相关参数的缺省配置。

2.6 配置ARP介绍ARP详细的配置过程。

2.7 维护ARP维护ARP包括查看ARP表项、清除ARP表项和监控ARP运行状况。

2.8 ARP配置举例配置示例中包括组网需求、配置思路等。

2.1 ARP简介介绍ARP的定义和作用。

定义地址解析协议ARP（Address Resolution Protocol）是用来将IP地址解析为MAC地址的协议。

目的在局域网中，当主机或其它三层网络设备有数据要发送给另一台主机或三层网络设备时，它需要知道对方的网络层地址（即IP地址）。

但是仅有IP地址是不够的，因为IP报文必须封装成帧才能通过物理网络发送，因此发送方还需要知道接收方的物理地址（即MAC地址），这就需要一个从IP地址到MAC地址的映射。

ARP即可以实现将IP地址解析为MAC地址。

主机或三层网络设备上会维护一张ARP表，用于存储IP地址和MAC地址的关系。

一般ARP表项包括动态ARP表项和静态ARP表项。

2.2 ARP原理描述介绍ARP的实现原理。

2.2.1 动态ARP定义动态ARP表项由ARP协议通过ARP报文自动生成和维护，可以被老化，可以被新的ARP报文更新，可以被2.2.2 静态ARP表项覆盖。

动态ARP适用于拓扑结构复杂、通信实时性要求高的网络。

ARP地址解析过程动态ARP通过广播ARP请求和单播ARP应答这两个过程完成地址解析。

ARP攻击的处理：1 故障现象网管段设备ping不通交换机下挂的设备，但登陆交换机可ping通下挂设备，查看cpu利用率，达到50%以上（正常情况下低于20%），再查看交换机端口状态，存在有端口in方向流量远远高于out方向流量，且以广播包为主，可能该端口下有设备中毒而对交换机进行arp攻击。

2 故障处理2.1 应急处理应急处理：交换机进入该端口，输入broadcast-suppression 1，broadcast-suppression命令用来在接口下设置广播风暴抑制比，输入命令后，抑制比为1%。

2.2抓包处理1、抓包确定攻击源。

进入隐含模式：[DCN_GuoDa_S3528_1]_检查CPU是否有丢包：[DCN_GuoDa_S3528_1-hidecmd ] ip showvarRun mode 3 gDrvRtListHead 17fac58 g_ulDrvRtNum 1973 g_ulDefaultRtID 0g_pstCurRef 2764188 g_pstArpShadowHead 1a3d1e4 g_pstArpHead 1a45564g_ulARPNum 80 g_ulRtID 291 g_ulCurID 223 g_pusArpIndexMng 3af6c7cg_usArpIndexStackTop 80 g_ulNextHopNum 4096 g_ulDropID 16 g_ulTrapID 17g_bNSFull 0 g_uc_HashLen 8 g_ulTrapID_2 18 g_ulCoreAPIErrCounter 227419g_ulMulticastErr 0ulQueueTotallimit 300, 200, 300, 300, 300, 300, 300, 300ulQueueTotalCounters 0, 8, 12, 95, 0, 2, 0, 1 //共8个队列，有计数标识某个队列有丢包。

最新华为交换机基本配置命令（2）2016最新华为交换机基本配置命令network 192.168.5.0 定义IPnetwork 192.168.3.0 定义IPdisp ip rout 查看路由接口R2:int e1/0 进入e1/0端口ip address 192.168.4.1 255.255.255.0 设置IPint e2/0 进入e2/0端口ip adress 192.168.5.2 255.255.255.0 设置IPrip 设置动态路由network 192.168.5.0 定义IPnetwork 192.168.4.0 定义IPdisp ip rout 查看路由接口(注意：两台PC机的网关设置PC1 IP：192.168.3.1 PC2 IP：192.168.4.1)七、IP访问列表int e1/0ip address 192.168.3.1 255.255.255.0int e2/0ip address 192.168.1.1 255.255.255.0int e3/0ip address 192.168.2.1 255.255.255.0acl number 2001 (2001-2999属于基本的访问列表)rule 1 deny source 192.168.1.0 0.0.0.255 (拒绝地址192.168.1.0网段的`数据通过)rule 2 permit source 192.168.3.0 0.0.0.255(允许地址192.168.3.0网段的数据通过)以下是把访问控制列表在接口下应用：firewall enablefirewall default permitint e3/0firewall packet-filter 2001 outbounddisp acl 2001 显示信息undo acl number 2001 删除2001控制列表扩展访问控制列表acl number 3001rule deny tcp source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 destination-port eq ftp必须在r-acl-adv-3001下才能执行rule permit ip source an destination any (rule permit ip)int e3/0firewall enable 开启防火墙firewall packet-filter 3001 inbound必须在端口E3/0下才能执行八、命令的标准访问IP列表(三层交换机):允许A组机器访问服务器内资料，不允许访问B组机器(服务器没有限制)sysvlan 10name servervlan 20name teachervlan 30name studentint e1/0/5port access vlan 10int e1/0/10port access vlan 20int e1/0/15port access vlan 30int vlan 10ip address 192.168.10.1 255.255.255.0undo shint vlan 20ip address 192.168.20.1 255.255.255.0int vlan 30ip address 192.168.30.1 255.255.255.0acl number 2001rule 1 deny source 192.168.30.0 0.0.0.255rule 2 permit source anydisp acl 2001 查看2001列表int e1/0/10port access vlan 20packet-filter outbound ip-group 2001 rule 1出口九、允许A机器访问B机器的FTP但不允许访问WWW，C机器没有任何限制。

华为交换机静态ARP与动态ARP结合使用配置示例1、组网需求图1 动态ARP与静态ARP组网示例图如上图1所示，Switch的接口GE1/0/1通过LAN Switch（即LSW）连接主机，接口GE1/0/2连接Server。

要求：GE1/0/1属于VLAN2，GE1/0/2属于VLAN3。

为了适应网络的快速变化，保证报文的正确转发，在Switch的接口VLANIF2上配置动态ARP的参数。

为了保证Server的安全性，防止其他设备仿冒Server发送非法ARP报文，在Switch的接口GE1/0/2上增加一个静态ARP表项，表项的IP地址为10.2.2.3，对应的MAC地址为00e0-fc01-0000。

2、配置思路2.1、创建VLAN，并将接口加入到VLAN中。

2.2、配置用户侧VLANIF接口的动态ARP的参数。

2.3、配置静态ARP表项。

3、操作步骤3.1、创建VLAN，并将接口加入到VLAN中。

# 创建VLAN2和VLAN3。

<HUAWEI> system-view[HUAWEI] vlan batch 2 3# 将接口GE1/0/1加入VLAN2中，接口GE1/0/2加入VLAN3中。

[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] port link-type trunk[HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 [HUAWEI-GigabitEthernet1/0/1] quit[HUAWEI] interface gigabitethernet 1/0/2[HUAWEI-GigabitEthernet1/0/2] port link-type access[HUAWEI-GigabitEthernet1/0/2] port default vlan 3[HUAWEI-GigabitEthernet1/0/2] quit3.2、配置VLANIF接口的动态ARP的参数。