Q: S2300/S3300/S5300如何配置限速?
A: 在配置限速時,推薦:
不配置PIR,只配置CIR、CBS、PBS。
CBS = 200 * CIR。
PBS = 2 * CBS = 2 * 200 * CIR = 400 * CIR。
其中,CIR單位爲Kbps,CBS、PBS單位爲Byte。
配置出方向端口限速,限速10M
在V100R003C01以前的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr cir 10240 cbs 2048000
在V100R003C01及以後的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr outbound cir 10240 cbs 2048000
配置入方向限速,限速10M
在V100R003C01以前的版本,配置如下:
[Quidway] traffic classifier c1
[Quidway-classifier-c1] if-match any
[Quidway-classifier-c1] quit
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway-behavior-b1] car cir 10240 cbs 2048000 pbs 4096000
[Quidway-behavior-b1] quit
[Quidway] traffic policy c1
[Quidway-trafficpolicy-c1] classifier c1 behavior b1
[Quidway-trafficpolicy-c1] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] traffic-policy c1 inbound
在V100R003C01及以後的版本,配置如下:
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr inbound cir 10240 cbs 2048000 說明:
流策略可以應用在物理接口視圖、Eth-Trunk視圖、VLAN視圖(端口共享帶寬)。
S5300中,物理接口爲GigabitEthernet接口。
Q: S2300/S3300/S5300如何配置流量統計?
A: 假設需要統計接口Ethernet0/0/1上源IP地址爲10.1.1.0/24網段的Ping報文,配置如下:
# 配置ACL規則。
[Quidway] acl number 3333
[Quidway-acl-adv-3333] rule 5 permit icmp source 10.1.1.0 0.0.0.255
[Quidway-acl-adv-3333] quit
# 配置流分類。
[Quidway] traffic classifier test
[Quidway-classifier-test] if-match acl 3333
[Quidway-classifier-test] quit
# 配置流行爲。
S2300/S3300/S5300 V100R005以前版本
[Quidway] traffic behavior test
[Quidway-behavior-test] count
[Quidway-behavior-test] quit
S2300/S3300/S5300 V100R005以後版本
[Quidway] traffic behavior test
[Quidway-behavior-test] statistic enable
[Quidway-behavior-test] quit
# 配置流策略。
[Quidway] traffic policy test
[Quidway-trafficpolicy-test] classifier test behavior test
[Quidway-trafficpolicy-test] quit
# S2300/S3300上應用流策略test。
[Quidway] interface ethernet0/0/1
[Quidway-Ethernet0/0/1] traffic-policy test inbound
# S5300上應用流策略test。
[Quidway] interface gigabitethernet0/0/1
[Quidway-GigabitEthernet0/0/1] traffic-policy test inbound
配置完成後,可執行命令display traffic policy statistics interface interface-type interface-number查看流量統計信息。如果需要重新進行流量統計,可執行命令reset traffic policy statistics interface interface-type interface-number清除原有流量統計信息。
說明:
S2300/S3300只支持入方向的流量統計。
S5300支持入方向和出方向的流量統計,但不能統計由S5300設備自身CPU始發的報文。
Q: 爲什麼配置了DHCP Snooping之後,設備下掛用戶無法獲取IP地址?
A: 在使能DHCP Snooping之後,Switch所有接口狀態缺省都是非信任狀態。這時要把與DHCP Server相連的接口配置成信任狀態,否則DHCP Server迴應的DHCP Reply報文都會被丟棄,這樣Switch下掛用戶無法獲取DHCP Server分配的IP地址。
Q: 如何通過配置來實現IP+MAC+端口綁定功能?
A: S-swich通過DHCP Snooping的靜態綁定表來實現IP+MAC+端口綁定功能。
配置思想是先在VLAN下配置的靜態綁定表,靜態綁定表的IP和MAC爲PC的IP和MAC。然後在與PC相連的S-swich接口上配置IP和ARP報文檢查功能。
例如配置IP地址10.1.1.1,MAC地址0002-0002-0002和接口Ethernet0/0/1綁定。
在V100R002的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
在V100R003及以後的版本配置如下:
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] quit
[HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
Q: 如何通過配置來實現MAC+端口綁定功能?
A: Switch通過流策略與DHCP Snooping兩個功能相互結合來實現MAC和端口綁定,即實現某個端口只綁定某個特定mac地址(某個端口只允許在綁定表內的和某特定mac地址的報文通過),不綁定ip。
例如,配置端口Ethernet0/0/1只允許綁定表內的和源mac地址爲0-02-02的報文通過,其他報文都丟棄。
# 全局使能dhcp snooping
[Quidway] dhcp snooping enable
# 創建ACL,只允許MAC地址爲0-02-02的報文
[Quidway] acl 4000
[Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff
[Quidway-acl-L2-4000] rule deny
# 創建流分類,匹配ACL 4000
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 4000
# 創建流行爲和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下應用流策略,使該端口只允許綁定表內的和源mac地址爲0-02-02的報文通過。
在V001C00R002的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
在V001C00R003及以後的版本配置如下:
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] ip source check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
Q: 如何通過配置實現IP+端口綁定?
A: Switch可以通過流策略與DHCP Snooping兩個功能相互結合來實現IP和端口綁定,即實現某個端口只綁定某個特定源ip地址(只允許在綁定表內的和某個特定源ip地址的報文通過),不綁定mac。
例如,配置端口Ethernet0/0/8只允許綁定表內的和源IP地址爲192.168.130.50的報文通過,丟棄其他IP報文。
# 全局使能dhcp snoopying
[Quidway] dhcp snooping enable
# 定義高級ACL,匹配IP地址192.168.130.50
[Quidway] acl 3000
[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0
[Quidway-acl-adv-3000] rule 10 deny ip source any
[Quidway-acl-adv-3000] rule 15 deny ip destination any
# 創建流分類,匹配ACL
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 3000
# 創建流行爲和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下應用流策略,只允許綁定表內的和源IP地址爲192.168.130.50的報文通過
在V100R002C00的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
在V100R003C00及以後的版本配置如下:
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] ip source check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
Q: S2300/3300/5300系列交換機如何防止用戶私設靜態IP地址?
A: 防止用戶私設靜態IP地址,可以達到同一接口下只有與綁定的IP+MAC相同的用戶數據或者是合法的DHCP自動獲取IP地址的用戶數據才能通過,其它用戶數據不能通過。
S2300/3300/5300系列交換機雖然沒有H3C交換機的am user-bind命令,但是通過DHCP Snooping功能也可以實現IP+MAC+端口綁定以防止用戶私設靜態IP地址。例如,若要求端口Ethernet0/0/1下除了靜態IP地址爲1.1.1.2、MAC地址爲001c-2309-9aa7對應的用戶外,其它所有靜態IP用戶都不能上網。配置如下:
配置設備的DHCP Snooping功能
# 使能全局DHCP Snooping功能。
[Quidway] dhcp snooping enable
# 配置用戶側接口所屬的VLAN。
[Quidway] vlan 100
[Quidway-vlan100] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 100
[Quidway-Ethernet0/0/1] quit
# 使能VLAN下的DHCP Snooping功能。
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping enable
# 配置在用戶側接口進行報文檢查
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] dhcp snooping check arp enable
[Quidway-Ethernet0/0/1] dhcp snooping check ip enable
[Quidway-Ethernet0/0/1] quit
# 配置靜態綁定表項
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1