本文格式為Word版，下載可任意編輯——華為3com常用配置學習華為3com常用配置學習

（一）端口限速基本配置（二）端口綁定基本配置（三）ACL基本配置（四）密碼恢復

（五）三層交換配置（六）端口鏡像配置（七）DHCP配置（八）配置文件管理（九）遠程管理配置（十）STP配置

（十一）私有VLAN配置

（十二）端口trunk、hybrid應用配置

（一）端口限速基本配置

華為3Com2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:

華為交換機端口限速

2000_EI系列以上的交換機都可以限速!

限速不同的交換機限速的方式不一樣!

2000_EI直接在端口視圖下面輸入LINE-RATE(4)參數可選!端口限速配置

1功能需求及組網說明

端口限速配置

『配置環境參數』

1.PC1和PC2的IP地址分別為10.10.1.1/24、10.10.1.2/24

『組網需求』

1.在SwitchA上配置端口限速，將PC1的下載速率限制在3Mbps，同時將PC1的上傳速率限制在1Mbps2數據配置步驟

『S2000EI系列交換機端口限速配置流程』

使用以太網物理端口下面的line-rate命令，來對該端口的出、入報文進行流量限速。1.進入端口E0/1的配置視圖

[SwitchA]interfaceEthernet0/1

2.對端口E0/1的出方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateoutbound30

3.對端口E0/1的入方向報文進行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]line-rateinbound16

報文速率限制級別取值為1～127。假使速率限制級別取值在1～28范圍內，則速率限制的粒度為64Kbps，這種狀況下，當設置的級別為N，則端口上限制的速率大小為N*64K；假使速率限制級別取值在29～127范圍內，則速率限制的粒度為1Mbps，這種狀況下，當設置的級別為N，則端口上限制的速率大小為

(N-27)*1Mbps。

此系列交換機的具體型號包括：S2023-EI、S2023-EI和S2403H-EI。

『S2000-SI和S3000-SI系列交換機端口限速配置流程』

使用以太網物理端口下面的line-rate命令，來對該端口的出、入報文進行流量限速。

1.進入端口E0/1的配置視圖

[SwitchA]interfaceEthernet0/1

2.對端口E0/1的出方向報文進行流量限速，限制到6Mbps[SwitchA-Ethernet0/1]line-rateoutbound2

3.對端口E0/1的入方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateinbound1

對端口發送或接收報文限制的總速率，這里以8個級別來表示，取值范圍為1～8，含義為：端口工作在10M速率時，1～8分別表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率時，1～8分別表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。

此系列交換機的具體型號包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。『S3026E、S3526E、S3050、S5012、S5024系列交換機端口限速配置流程』

使用以太網物理端口下面的line-rate命令，對該端口的出方向報文進行流量限速；結合acl，使用以太網物理端口下面的traffic-limit命令，對端口的入方向報文進行流量限速。

1.進入端口E0/1的配置視圖

[SwitchA]interfaceEthernet0/1

2.對端口E0/1的出方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rate33.配置acl，定義符合速率限制的數據流[SwitchA]aclnumber4000

[SwitchA-acl-link-4000]rulepermitingressanyegressany4.對端口E0/1的入方向報文進行流量限速，限制到1Mbps

[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceeddrop

line-rate命令直接對端口的所有出方向數據報文進行流量限制，而traffic-limit命令必需結合acl使用，對匹配了指定訪問控制列表規則的數據報文進行流量限制。在配置acl的時候，也可以通過配置三層訪問規則，來對指定的源或目的網段報文，進行端口的入方向數據報文進行流量限制。

端口出入方向限速的粒度為1Mbps。

此系列交換機的具體型號包括：S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。『S3528、S3552系列交換機端口限速配置流程』

使用以太網物理端口下面的traffic-shape和traffic-limit命令，分別來對該端口的出、入報文進行流量限速。

1.進入端口E0/1的配置視圖

[SwitchA]interfaceEthernet0/1

2.對端口E0/1的出方向報文進行流量限速，限制到3Mbps

[SwitchA-Ethernet0/1]traffic-shape325032503.配置acl，定義符合速率限制的數據流

[SwitchA]aclnumber4000

[SwitchA-acl-link-4000]rulepermitingressanyegressany4.對端口E0/1的入方向報文進行流量限速，限制到1Mbps

[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceeddrop

此系列交換機的具體型號包括：S3528G/P和S3552G/P/F。『S3900系列交換機端口限速配置流程』

使用以太網物理端口下面的line-rate命令，對該端口的出方向報文進行流量限速；結合acl，使用以太網物理端口下面的traffic-limit命令，對匹配指定訪問控制列表規則的端口入方向數據報文進行流量限制。

1.進入端口E1/0/1的配置視圖

[SwitchA]interfaceEthernet1/0/1

2.對端口E0/1的出方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate30003.配置acl，定義符合速率限制的數據流[SwitchA]aclnumber4000

[SwitchA-acl-link-4000]rulepermitingressanyegressany

4.對端口E0/1的入方向報文進行流量限速，限制到1Mbps

[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop

line-rate命令直接對端口的所有出方向數據報文進行流量限制，而traffic-limit命令必需結合acl使用，對匹配了指定訪問控制列表規則的數據報文進行流量限制。在配置acl的時候，也可以通過配置三層訪問規則，來對指定的源或目的網段報文，進行端口的入方向數據報文進行流量限制。端口出入方向限速的粒度為64Kbps。

此系列交換機的具體型號包括：S3924、S3928P/F/TP和S3952P?！篠5600系列交換機端口限速配置流程』

使用以太網物理端口下面的line-rate命令，對該端口的出方向報文進行流量限速；結合acl，使用以太網物理端口下面的traffic-limit命令，對匹配指定訪問控制列表規則的端口入方向數據報文進行流量限制。

1.進入端口E1/0/1的配置視圖

[SwitchA]interfaceEthernet1/0/1

2.對端口E0/1的出方向報文進行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate30003.配置acl，定義符合速率限制的數據流[SwitchA]aclnumber4000

[SwitchA-acl-link-4000]rulepermitingressanyegressany4.對端口E0/1的入方向報文進行流量限速，限制到1Mbps

[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop

line-rate命令直接對端口的所有出方向數據報文進行流量限制，而traffic-limit命令必需結合acl使用，對匹配了指定訪問控制列表規則的數據報文進行流量限制。在配置acl的時候，也可以通過配置三層訪問規則，來對指定的源或目的網段報文，進行端口的入方向數據報文進行流量限制。端口出入方向限速的粒度為64Kbps。

此系列交換機的具體型號包括：S5624P/F和S5648P。

（二）端口綁定基本配置

1，端口+MACa)AM命令

使用特別的AMUser-bind命令，來完成MAC地址與端口之間的綁定。例如：

[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1

配置說明：由于使用了端口參數，則會以端口為參照物，即此時端口E0/1只允許PC1上網，而使用其他未綁定的MAC地址的PC機則無法上網。但是PC1使用該MAC地址可以在其他端口上網。b)mac-address命令

使用mac-addressstatic命令，來完成MAC地址與端口之間的綁定。例如：

[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1[SwitchA]mac-addressmax-mac-count0

配置說明：由于使用了端口學習功能，故靜態綁定mac后，需再設置該端口mac學習數為0，使其他PC接入此端口后其mac地址無法被學習。2，IP+MAC

a)AM命令

使用特別的AMUser-bind命令，來完成IP地址與MAC地址之間的綁定。例如：

[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3

配置說明：以上配置完成對PC機的IP地址和MAC地址的全局綁定，即與綁定的IP地址或者MAC地址不同的PC機，在任何端口都無法上網。

支持型號：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令

使用特別的arpstatic命令，來完成IP地址與MAC地址之間的綁定。例如：[SwitchA]arpstatic10.1.1.200e0-fc22-f8d3

配置說明：以上配置完成對PC機的IP地址和MAC地址的全局綁定。3，端口+IP+MAC

使用特別的AMUser-bind命令，來完成IP、MAC地址與端口之間的綁定。例如：

[SwitchA]amuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceEthernet0/1配置說明：可以完成將PC1的IP地址、MAC地址與端口E0/1之間的綁定功能。由于使用了端口參數，則會以端口為參照物，即此時端口E0/1只允許PC1上網，而使用其他未綁定的IP地址、MAC地址的PC機則無法上網。但是PC1使用該IP地址和MAC地址可以在其他端口上網。

支持型號：S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)

（三）ACL基本配置

1，二層ACL.組網需求:

通過二層訪問控制列表，實現在每天8:00～18:00時間段內對源MAC為00e0-fc01-0101目的MAC為

00e0-fc01-0303報文的過濾。該主機從GigabitEthernet0/1接入。.配置步驟:

(1)定義時間段

#定義8:00至18:00的周期時間段。

[Quidway]time-rangehuawei8:00to18:00daily

(2)定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的ACL#進入基于名字的二層訪問控制列表視圖，命名為traffic-of-link。[Quidway]aclnametraffic-of-linklink

#定義源MAC為00e0-fc01-0101目的MAC為00e0-fc01-0303的流分類規則。

[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei(3)激活ACL。

#將traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link2，三層ACL

a)基本訪問控制列表配置案例.組網需求:

通過基本訪問控制列表，實現在每天8:00～18:00時間段內對源IP為10.1.1.1主機發出報文的過濾。該主機從GigabitEthernet0/1接入。.配置步驟:

(1)定義時間段

#定義8:00至18:00的周期時間段。

[Quidway]time-rangehuawei8:00to18:00daily(2)定義源IP為10.1.1.1的ACL

#進入基于名字的基本訪問控制列表視圖，命名為traffic-of-host。[Quidway]aclnametraffic-of-hostbasic#定義源IP為10.1.1.1的訪問規則。

[Quidway-acl-basic-traffic-of-host]rule1denyipsource10.1.1.10time-rangehuawei(3)激活ACL。

#將traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-hostb)高級訪問控制列表配置案例.組網需求:

公司企業網通過Switch的端口實現各部門之間的互連。研發部門的由GigabitEthernet0/1端口接入，工資查詢服務器的地址為129.110.1.2。要求正確配置ACL，限制研發部門在上班時間8:00至18:00訪問工資服務器。.配置步驟:(1)定義時間段

#定義8:00至18:00的周期時間段。

[Quidway]time-rangehuawei8:00to18:00working-day(2)定義到工資服務器的ACL

#進入基于名字的高級訪問控制列表視圖，命名為traffic-of-payserver。[Quidway]aclnametraffic-of-payserveradvanced

#定義研發部門到工資服務器的訪問規則。[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei(3)激活ACL。

#將traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver3，常見病毒的ACL創立acl

aclnumber100禁ping

ruledenyicmpsourceanydestinationany用于控制Blaster蠕蟲的傳播

ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444用于控制沖擊波病毒的掃描和攻擊

ruledenytcpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteqnetbios-nsruledenyudpsourceanydestinationanydestination-porteqnetbios-dgmruledenytcpsourceanydestinationanydestination-porteq139ruledenyudpsourceanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振蕩波的掃描和攻擊

ruledenytcpsourceanydestinationanydestination-porteq445ruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制Worm_MSBlast.A蠕蟲的傳播

ruledenyudpsourceanydestinationanydestination-porteq1434下面的不有名的病毒端口號（可以不作）

ruledenytcpsourceanydestinationanydestination-porteq1068ruledenytcpsourceanydestinationanydestination-porteq5800ruledenytcpsourceanydestinationanydestination-porteq5900ruledenytcpsourceanydestinationanydestination-porteq10080ruledenytcpsourceanydestinationanydestination-porteq455ruledenyudpsourceanydestinationanydestination-porteq455ruledenytcpsourceanydestinationanydestination-porteq3208ruledenytcpsourceanydestinationanydestination-porteq1871ruledenytcpsourceanydestinationanydestination-porteq4510ruledenyudpsourceanydestinationanydestination-porteq4334

ruledenytcpsourceanydestinationanydestination-porteq4331ruledenytcpsourceanydestinationanydestination-porteq4557然后下發配置

packet-filterip-group100

目的：針對目前網上出現的問題，對目的是端口號為1434的UDP報文進行過濾的配置方法，詳細和繁雜的配置請看配置手冊。

NE80的配置：

NE80(config)#rule-mapr1udpanyanyeq1434

//r1為role-map的名字，udp為關鍵字，anyany所有源、目的IP，eq為等于，1434為udp端口號NE80(config)#acla1r1deny

//a1為acl的名字，r1為要綁定的rule-map的名字，NE80(config-if-Ethernet1/0/0)#access-groupacla1

//在1/0/0接口上綁定acl，acl為關鍵字，a1為acl的名字NE16的配置：

NE16-4(config)#firewallenableall//首先啟動防火墻

NE16-4(config)#access-list101denyudpanyanyeq1434

//deny為阻止的關鍵字，針對udp報文，anyany為所有源、目的IP，eq為等于，1434為udp端口號NE16-4(config-if-Ethernet2/2/0)#ipaccess-group101in

//在接口上啟用access-list，in表示進來的報文，也可以用out表示出去的報文中低端路由器的配置[Router]firewallenable[Router]acl101

[Router-acl-101]ruledenyudpsourceanydestionanydestination-porteq1434[Router-Ethernet0]firewallpacket-filter101inbound6506產品的配置：

舊命令行配置如下：

6506(config)#aclextendedaaadenyprotocoludpanyanyeq1434

6506(config-if-Ethernet5/0/1)#access-groupaaa國際化新命令行配置如下：[Quidway]aclnumber100

[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway-acl-adv-100]quit

[Quidway]interfaceethernet5/0/1

[Quidway-Ethernet5/0/1]packet-filterinboundip-group100not-care-for-interface

5516產品的配置：舊命令行配置如下：

5516(config)#rule-mapl3aaaprotocol-typeudpingressanyegressanyeq14345516(config)#flow-actionfffdeny5516(config)#aclbbbaaafff5516(config)#access-groupbbb

國際化新命令行配置如下：[Quidway]aclnum100

[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway]packet-filterip-group100

3526產品的配置：舊命令行配置如下：

rule-mapl3r10.0.0.00.0.0.01.1.0.0255.255.0.0eq1434flow-actionf1denyaclacl1r1f1

access-groupacl1

國際化新命令配置如下：

aclnumber100

rule0denyudpsource0.0.0.00source-porteq1434destination1.1.0.00

packet-filterip-group101rule0

注：3526產品只能配置外網對內網的過濾規則，其中1.1.0.0255.255.0.0是內網的地址段。

8016產品的配置：舊命令行配置如下：

8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#aclbbbaaadeny

8016(config)#access-groupaclbbbvlan10portall

國際化新命令行配置如下：

8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#eaclbbbaaadeny

8016(config)#access-groupeaclbbbvlan10portall4，防止同網段ARP欺騙的ACL

一、組網需求：

1.二層交換機阻止網絡用戶仿冒網關IP的ARP攻擊二、組網圖：

圖1二層交換機防ARP攻擊組網

S3552P是三層設備，其中IP：100.1.1.1是所有PC的網關，S3552P上的網關MAC地址為000f-e200-3999。PC-B上裝有ARP攻擊軟件?，F在需要對S3026C_A進行一些特別配置，目的是過濾掉仿冒網關IP的ARP報文。

三、配置步驟

對于二層交換機如S3026C等支持用戶自定義ACL（number為5000到5999）的交換機，可以配置ACL來進行ARP報文過濾。

全局配置ACL阻止所有源IP是網關的ARP報文

aclnum5000

rule0deny0806ffff2464010101ffffffff40

rule1permit0806ffff24000fe2023999ffffffffffff34

其中rule0把整個S3026C_A的端口冒充網關的ARP報文禁掉，其中斜體部分64010101是網關IP地址100.1.1.1的16進制表示形式。Rule1允許通過網關發送的ARP報文，斜體部分為網關的mac地址000f-e200-3999。

注意：配置Rule時的配置順序，上述配置為先下發后生效的狀況。在S3026C-A系統視圖下發acl規則：

[S3026C-A]packet-filteruser-group5000

這樣只有S3026C_A上連網關設備才能夠發送網關的ARP報文，其它主機都不能發送假冒網關的arp響應報文。

三層交換機實現仿冒網關的ARP防攻擊一、組網需求：

1.三層交換機實現防止同網段的用戶仿冒網關IP的ARP攻擊二、組網圖

圖2三層交換機防ARP攻擊組網三、配置步驟

1.對于三層設備，需要配置過濾源IP是網關的ARP報文的ACL規則，配置如下ACL規則：aclnumber5000

rule0deny0806ffff2464010105ffffffff40

rule0阻止S3526E的所有端口接收冒充網關的ARP報文，其中斜體部分64010105是網關IP地址100.1.1.5的16進制表示形式。2.下發ACL到全局

[S3526E]packet-filteruser-group5000仿冒他人IP的ARP防攻擊

一、組網需求：

作為網關的設備有可能會出現錯誤ARP的表項，因此在網關設備上還需對用戶仿冒他人IP的ARP攻擊報文進行過濾。二、組網圖：參見圖1和圖2

三、配置步驟：

1.如圖1所示，當PC-B發送源IP地址為PC-D的arpreply攻擊報文，源mac是PC-B的mac(000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是網關（3552P）的，這樣3552上就會學習到錯誤的arp，如下所示：

錯誤arp表項IPAddressMACAddressVLANIDPortNameAgingType100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic

100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic

從網絡連接可以知道PC-D的arp表項應當學習到端口E0/8上，而不應當學習到E0/2端口上。但實際上交換機上學習到該ARP表項在E0/2。上述現象可以在S3552上配置靜態ARP實現防攻擊：arpstatic100.1.1.3000f-3d81-45b41e0/8

2.在圖2S3526C上也可以配置靜態ARP來防止設備學習到錯誤的ARP表項。