华为交换机

<HuaWei-S5700-01>system-view /由用户视图进入系统视图 [HuaWei-S5700-01]vlan 2 /创建并进入vlan2 [HuaWei-S5700-01-vlan2]port GigabitEthernet 0/0/1 to 0/0/12 /添加1-12端口到vlan2 Error: Trunk or Hybrid port(s) can not be added or deleted in this manner. /报错:不能添加Hybrid 混合端口 需要将端口模式改为access模式才可以继续 Access、Hybrid和Trunk三种模式的理解 http://blog.csdn.net/liunianchao/article/details/50000055 [HuaWei-S5700-01]int GigabitEthernet 0/0/2 [HuaWei-S5700-01-GigabitEthernet0/0/2]port link-type access [HuaWei-S5700-01-GigabitEthernet0/0/2]quit [HuaWei-S5700-01]int GigabitEthernet 0/0/3 [HuaWei-S5700-01-GigabitEthernet0/0/3]port link-type

这是华为ACL配置中流策略的配置命令。华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用。华为需要先配ACL，然后配流分类（traffic classifier tc1），将ACL和流分类绑定，再配流行为（traffic behavior tb1），接着配置流策略（traffic policy tp1），最后把策略应用到接口下，让ACL生效。 具体例子如下： 步骤1 配置ACL [Quidway] acl 3000 [Quidway-acl-user-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 步骤2 配置基于用户自定义ACL 的流分类 # 配置流分类tc1，对匹配ACL 3000 的报文进行分类。 [Quidway] traffic classifier tc1 [Quidway-classifier-tc1] if-match acl 3000 步骤3 配置流行为 # 配置流行为tb1，动作为拒绝报文通过。 [Quidway] traffic behavior tb1 [Quidway-behavior-tb1] deny 步骤4 配置流策略 # 定义流策略，将流分类与流行为关联。 [Quidway] traffic policy tp1

闲谈华为交换机5700 ACL配置（亲测） wqxh788关注2人评论14088人阅读2013-12-18 18:06:15 最近来了一台华为5700 SI版本交换机，也上了一台防火墙不过是百兆的，主要用于监控与视频会议，为了带宽，防火墙就基本没啥作用了，直接拆了不用，但还是要保证安全，只能在5700上做ACL安全策略，所以研究了一下ACL的配置。 一、说明： 1、华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier，流行为traffic behavior； 3、流分类traffic classifier用于绑定相应的ACL规则，流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流，使用permit标识，而deny基本没啥用； 5、如果有多个ACL number，在流策略traffic policy里需要按顺序绑定（根据业务是先允午后禁止或先禁止后允许），800说可以配优先级，但我么有发现命令。 6、在接口的inbound 方向下发。 二、版本信息 Huawei Versatile Routing Platform Software VRP (R) software, Version 5.110 (S5700

实验环境使用华为eNSP(1.2.00.500),交换机版本V2R1，在LSW1做访问策略，拓扑如下: PC1：10.0.80.254; PC2：10.0.89.254; PC3：10.0.87.254; PC4：10.0.88.254; Traffic-filter acl 3000 rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255 rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255 在接口G0/0/1下使用traffic-filter调用acl3000，结果为 PC1-->PC3 不通； PC1-->PC4 通； PC1-->PC2 通； Traffic-policy （一） acl 3000 rule 87 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255 rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255 traffic classifier c1 operator and if

官方定义： 先匹配ACL，如是deny那就直接过滤掉，不再通过qos匹配；如是acl是permit,那么接下来qos流量进行匹配。 个人总结： traffic behavior使用permit表示按照acl 的规则来进行数据放行,acl中允许那就允许,禁止那就禁止 traffic behavior但是若使用deny,则无论acl规则中的permit或者deny,一律全都丢弃不进行转发. 组合有如下四种： acl beha 最后的动作 A permit permit permit B permit deny deny C deny permit deny D deny deny deny 例子 [Quidway] acl 3003[Quidway-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime[Quidway-acl-adv-3003] quit[Quidway] traffic classifier c_rd[Quidway-classifier-c_rd] if-match acl 3... 一：这是应用于三层交换机的策略。 二：因为三层交换机划分VLAN并配置了VLANIF后，不同VLAN之间可以互访

华为S5720上实际配置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan 通过 traffic-filter 调用 <Huawei>sys [Huawei]acl 3000 // 创建高级 ACL （ 3000~3999 ） [Huawei-acl-adv-3000] [Huawei-acl-adv-3000]rule permit ip source192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 // 配置允许 192.168.1.0 段去访问 192.168.2.0 段 [Huawei-acl-adv-3000]rule deny ip source192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 // 配置拒绝 192.168.1.0 段去访问 192.168.=4.0 段 [Huawei-acl-adv-3000]dis thi // 查看当前配置是否配置成功 # acl number 3000 rule5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule10 deny ip source 192.168.1.0 0.0

实验背景： 公司有三个部门，A（HR）,B（sales）,C(IT)。C部门是IT部，要求A可以通C，B可以通C，但是AB不能互通。要求他们的地址都是自动获取IP地址。 配置思路： 三个部门，需要起三个vlan，然后开启DHCP服务，访问需求可以通过ACL（访问策略控制）来实现。 [Huawei]display current-configuration //显示所有配置 # sysname Huawei //更名这台设备为HUAWEI # undo info-center enable //禁止启用系统提示，开启后不会因为配置发生变化一直弹窗提示用户 # vlan batch 10 20 30 //创建地址池 10 20 30 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # dhcp enable //开启DHCP服务 # diffserv domain default # acl number 3000 //进入高级策略3000 rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 # 禁止源地址是192.168.10.0的地址访问目的地址是192.168.20.0的地址，这里的0.0.0

一、说明： 1、华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier，流行为traffic behavior； 3、流分类traffic classifier用于绑定相应的ACL规则，流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流，使用permit标识，而deny基本没啥用； 5、如果有多个ACL number，在流策略traffic policy里需要按顺序绑定（根据业务是先允午后禁止或先禁止后允许），800说可以配优先级，但我么有发现命令。 6、在接口的inbound 方向下发。 二、版本信息 Huawei Versatile Routing Platform Software VRP ® software, Version 5.130 (S5700 V200R003C00SPC300) Copyright © 2000-2013 HUAWEI TECH CO., LTD Quidway S5700-52C-SI 三、配置 1、需求 1）只允许特定的网段（192.168.1.0/24)到特定的网段192.168.2.0/24)的访问 2）禁止特定的网段（192.168.1.0/24) 到any的访问。 2、配置：

实验内容 某企业二层网络使用两台 S3700 交换机 S1 和 S2 ，且两台设备在不同的楼层。网络管理员规划了 3 个不同 VLAN, HR 部门使用 VLAN 10 ，市场部门使用 VLAN20, IT 部门使用 VLAN 30 。在需要让处于不同楼层的 HR 部门和市场部门实现部门内部通信，而两部门之间不允许互相通信 ; IT 部门可以访问任意部门。可以通过配置 Hybrid 接口来实现较复杂的 VLAN 控制。 实验拓扑 实验编址 实验步骤 1、完成配置后，测试主机间的连通性 在 PC1 上使用 ping 命令 主机之间通信正常，其他主机测试过程省略 在没有定义 VLAN 及接口类型之前，默认情况下，交换机上所有接口都是 Hybrid 类型，接口的 PVID 是 VLAN 1 ，即所有接口收到没有标签的二层数据帧，都被转发到 VLAN1 中，并继续以 Untagged 的方式把帧发送至同为 VLAN 1 的其他接口。所以，即使未做任何配置，主机之间默认仍然可以互相通信。 查看接口默认类型 查看接口和所属 VLAN 的对应关系 可以观察到，所有接口都默认属于 VLAN 1 ，其他交换机也都一样，因此 VLAN 1 内所有的主机都可以访问 2 、实现组内通讯，组间隔离 交换机接口的类型可以是 Access 、 Trunk 和 Hybrid 。 Access 类型的接口仅属于一个

本实验基于《HCNA网络技术实验指南》 原理概述: Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路，它允 许多个VLAN的帧通过，并可以在出接口方向将某些VLAN帧的标签剥掉。 Hybrid接口处理VLAN帧的过程如下： (1)收到一个二层帧，判断是否有VLAN标签。没有标签，则标记上Hybrid接口 的PVID.进行下一步处理；有标签.判断该Hybrid接口是否允许该VLAN的帧进入” 允许则进行下一步处理，否则丢弃° (2）当数据帧从Hybrid接口发出时，交换机判断VLAN在本接口的属性是Untagged 还是Tagged o 如果是Untagged.先剥离帧的VLAN标签,再发送；如果是Tagged,则直接发送帧中 通过配置Hybrid接口，能够实现对VLAN标签的灵活控制，既能够实现Access接 口的功能，又能够实现Trunk接口的功能。 实验目的: • 掌握配置 Hybrid 接口 的方法 • 理解 Hybrid 接口处理 Untagged 数据帧过程 • 理解 Hybrid 接口处理 Tagged 数据帧过程 • 理解 Hybrid 接口的应用场景 实验内容: 某企 业二层 网络使用两台 S3700 交换机 S1 和 S2, 且两台 设备在 不同的楼层。网络 管理员规划了 3 个不同 VLAN, HR 部门使用 VLAN 10,