华为低端交换机典型配置实例---端口扩展配置

『配置环境参数』

1.      PC1的IP地址为10.1.1.2/24，MAC地址为000f-1fb8-fcb8

2.      PC1连接到交换机的以太网端口0/1，属于VLAN10

『组网需求』

在交换机上对PC1进行IP+MAC+Port的绑定，使得在交换机的端口0/1下，只允许PC1这一台PC机上网，而PC1在其他端口上还可以上网。

2数据配置步骤

『AM User-bind完成IP、MAC地址和端口绑定配置流程』

使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。

【SwitchA相关配置】

1.        创建（进入）VLAN10
[SwitchA]vlan 10

2.        将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1

3.        配置IP地址、MAC地址以及端口之间的绑定关系
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

【补充说明】

注意！同一IP地址或者MAC地址，不能被绑定两次！

经过以上配置，可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。

『AM User-bind完成IP地址和端口绑定配置流程』

使用特殊的AM User-bind命令，来完成IP地址与端口之间的绑定。

【SwitchA相关配置】

1.        配置IP地址与端口之间的绑定关系
[SwitchA]am user-bind ip-address 10.1.1.2 interface Ethernet 0/1

【补充说明】

注意！同一IP地址或者MAC地址，不能被绑定两次！

经过以上配置，可以完成将PC1的IP地址与端口0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的IP地址的PC机则无法上网。但是PC1使用该IP地址可以在其他端口上网。

『AM User-bind完成MAC地址和端口绑定配置流程』

使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。

【SwitchA相关配置】

1.        配置MAC地址与端口之间的绑定关系
[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

【补充说明】

注意！同一IP地址或者MAC地址，不能被绑定两次！

经过以上配置，可以完成将PC1的 MAC地址与端口0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。

『AM User-bind完成IP地址和MAC地址绑定配置流程』

使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。

【SwitchA相关配置】

1.        配置IP地址与MAC地址之间的绑定关系
[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3

【补充说明】

注意！同一IP地址或者MAC地址，不能被绑定两次！

以上配置虽然可以完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。但是由于设备自身规格限制，该配置方法无法满足大数目PC机的IP地址和MAC地址绑定需求。

目前支持上述功能的设备型号包括：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G。

端口隔离配置

1功能需求及组网说明

『配置环境参数』

1.        PC1的IP地址为10.1.1.1/24，PC2的IP地址为10.1.1.2/24

2.        PC1连接到交换机的端口0/1，PC2连接到端口0/2，两个端口都属于VLAN10

『组网需求』

1.        PC1和PC2之间不能互相访问

2.        PC1可以访问VLAN10内其他主机，PC2也可以访问VLAN10内其他主机

2数据配置步骤

『端口隔离配置流程』

利用端口配置视图中，am isolate命令来完成端口之间的隔离。

【SwitchA相关配置】

1.        创建（进入）VLAN10
[SwitchA]vlan 10

2.        将E0/1和E0/2加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2

3.        配置端口0/1和0/2隔离
[SwitchA-vlan10]am isolate Ehernet0/2

【补充说明】

端口隔离功能是用于隔离同一VLAN内，相同IP网段的用户。

以两个端口之间的隔离为例，只需在其中一个端口进行配置即可。

端口镜像配置

1功能需求及组网说明

『配置环境参数』

1.      PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24

『组网需求』

1.      在SwitchA上配置端口镜像，从PC2上对PC1的收发报文情况进行监控。

2数据配置步骤

『S2000EI、S2000C系列交换机端口镜像配置流程』

mirroring-port用来定义镜像端口，monitor-port用来定义监控端口。

【SwitchA相关配置】

1.        将端口E0/2配置为监控端口
[SwitchA]monitor-port Ethernet 0/2 no-filt

2.        将端口E0/1配置为镜像端口
[SwitchA]mirroring-port Ethernet 0/1 both

【补充说明】

支持多对一的端口镜像，但是镜像端口必须与监控端口属于同一个芯片内(每8端口一个芯片)。

配置镜像端口时，可以使用参数定义被监控报文的方向。例如：参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。

配置监控端口时，可以使用参数定义监控端口类型。例如：参数no-filt，表示监控所有的报文；参数filt-da，表示只监控指定的目的mac地址的报文；参数filt-sa，表示只监控指定的源mac地址的报文。

此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI，S2008C、S2016C和S2024C。

『S2000-SI和S3000-SI系列交换机端口镜像配置流程』

mirroring-port用来定义镜像端口，monitor-port用来定义监控端口。

【SwitchA相关配置】

1.        将端口E0/2配置为监控端口
[SwitchA]monitor-port Ethernet 0/2

2.        将端口E0/1配置为镜像端口
[SwitchA]mirroring-port Ethernet 0/1 both

【补充说明】

支持多对一的端口镜像。

配置镜像端口时，可以使用参数定义被监控报文的方向。例如：参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。

此系列交换机的具体型号包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。

『S3050C系列交换机端口镜像配置流程』

mirroring-port用来定义镜像端口，monitor-port用来定义监控端口。

【SwitchA相关配置】

1.        将端口E0/2配置为监控端口
[SwitchA]monitor-port Ethernet 0/2

2.        将端口E0/1配置为镜像端口
[SwitchA]mirroring-port Ethernet 0/1 both

【补充说明】

支持多对一的端口镜像。

配置镜像端口时，可以使用参数定义被监控报文的方向。例如：参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。

从芯片工作效率考虑，S3050C提供1个镜像目的端口，3个镜像源端口。需要注意的是，S3050C的镜像源是可以分输入镜像和输出镜像的，所谓的3个镜像源是按照方向独立计算的。例如：端口E0/1配置镜像方向为both，因为它包含in和out两个方向，所以按两个源来计算。

『S3026E、S3526E、S3526系列交换机端口镜像配置流程』

monitor-port用来定义监控端口；结合acl的配置，在系统视图使用mirroed-to命令，将匹配acl规则的数据报文镜像到监控端口。

【SwitchA相关配置】

1.        将端口E0/2配置为监控端口
[SwitchA]monitor-port Ethernet 0/2

2.        配置acl，定义符合监控的数据流规则
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress interface e0/1 egress any
[SwitchA-acl-link-4000]rule permit ingress any egress interface e0/1

3.        将匹配acl规则的报文镜像到监控端口E0/2
[SwitchA]mirroed-to link-group 4000 interface Ethernet 0/2

【补充说明】

此系列交换机使用的是流镜像，而非端口镜像。因此，必须结合acl的配置，对匹配了acl规则的报文进行镜像。

此系列交换机的具体型号包括：S3026E/C/G/T，S3526E/C，S3026FS/FM，S3526和S3526FS/FM。

『S5012、S5024系列交换机端口镜像配置流程』

mirroring-port用来定义镜像端口，monitor-port用来定义监控端口。

【SwitchA相关配置】

1.          将端口E0/2配置为监控端口
[SwitchA]monitor-port GigabitEthernet 0/2

2.          将端口E0/1配置为镜像端口
[SwitchA]mirroring-port GigabitEthernet 0/1 both

【补充说明】

支持多对一的端口镜像。

配置镜像端口时，可以使用参数定义被监控报文的方向。例如：参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。

此系列交换机的具体型号包括：S5012G/T和S5024G。

『S3528、S3552系列交换机端口镜像配置流程』

mirroring-port用来定义镜像端口，monitor-port用来定义监控端口。也可以结合acl的配置，在系统视图使用mirroed-to命令，将匹配acl规则的数据报文镜像到监控端口。

【SwitchA相关配置】

1.        将端口E0/2配置为监控端口
[SwitchA]monitor-port Ethernet 0/2 both

2.        将端口E0/1配置为镜像端口
[SwitchA]mirroring-port Ethernet 0/1 both

【补充说明】

既支持端口镜像，又支持流镜像。流镜像的配置方法与S3026E系列交换机的镜像配置方法一致。

配置镜像端口时，可以使用参数定义被监控报文的方向。例如：参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。

配置监控端口时，可以使用参数定义镜像端口所监控的报文方向。例如：参数both，表示同时监控端口的接收和发送报文；参数inbound，表示只监控端口接收的报文；参数outbound，表示只监控端口发送的报文。

此系列交换机的具体型号包括：S3528G/P和S3552G/P/F。

『S3900、S5600系列交换机端口镜像配置流程』

monitor-port用来定义监控端口；结合acl的配置，在以太网物理端口配置视图下使用mirroed-to命令，将匹配acl规则的数据报文镜像到监控端口。或者直接将某物理端口配置为镜像端口。

『方法一，流镜像』

【SwitchA相关配置】

1.        将端口G1/0/2配置为监控端口
[SwitchA]interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2]monitor-port

2.        配置acl，定义符合监控的数据流规则
[SwitchA]acl number 3000
[SwitchA-acl-link-3000]rule permit ip source 10.10.1.1 0 destination any
[SwitchA-acl-link-3000]rule permit ip source any destination 10.10.1.1 0

3.        将经过端口G1/0/1，匹配acl规则的报文镜像到监控端口
[SwitchA]interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1]mirrored-to inbound ip-group 3000 monitor-interface
[SwitchA-GigabitEthernet1/0/1]mirrored-to outbound ip-group 3000 monitor-interface

『方法二，端口镜像』

【SwitchA相关配置】

1.        将端口G1/0/2配置为监控端口
[SwitchA]interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2]monitor-port

2.        将端口G1/0/1配置为镜像端口
[SwitchA]interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1]mirroring-port both

【补充说明】

S3900、S5600系列交换机既支持流镜像，又支持端口镜像。

此系列交换机的具体型号包括：S3924、S3928P/F/TP和S3952P；S5624P/F和S5648P。

『S3026系列交换机端口镜像配置流程』

此系列交换机只支持端口镜像，有两种配置步骤。

『步骤一』

【SwitchA相关配置】

1.        将端口E0/2配置为监控端口
[SwitchA]monitor-port Ethernet 0/2

2.        将端口E0/1配置为镜像端口
[SwitchA]port mirror Ethernet 0/1

『步骤二』

【SwitchA相关配置】

1.        直接配置监控端口和镜像端口
[SwitchA]port mirror Ethernet 0/1 observing-port Ethernet 0/2

【补充说明】

此系列交换机的具体型号包括：S2008、S2016、S2026、S2403H和S3026。

端口限速配置

1功能需求及组网说明

『配置环境参数』

1.      PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24

『组网需求』

1.      在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps

2数据配置步骤

『S2000EI系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】

1.        进入端口E0/1的配置视图
[SwitchA]interface Ethernet 0/1

2.        对端口E0/1的出方向报文进行流量限速，限制到3Mbps
[SwitchA- Ethernet0/1]line-rate outbound 30

3.        对端口E0/1的入方向报文进行流量限速，限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16

【补充说明】

报文速率限制级别取值为1～127。如果速率限制级别取值在1～28范围内，则速率限制的粒度为64Kbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为N*64K；如果速率限制级别取值在29～127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。

此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI。

『S2000-SI和S3000-SI系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】

1.        进入端口E0/1的配置视图
[SwitchA]interface Ethernet 0/1

2.        对端口E0/1的出方向报文进行流量限速，限制到6Mbps
[SwitchA- Ethernet0/1]line-rate outbound 2

3.        对端口E0/1的入方向报文进行流量限速，限制到3Mbps
[SwitchA- Ethernet0/1]line-rate inbound 1

【补充说明】

对端口发送或接收报文限制的总速率，这里以8个级别来表示，取值范围为1～8，含义为：端口工作在10M速率时，1～8分别表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率时，1～8分别表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。

此系列交换机的具体型号包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。

『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进行流量限速。

【SwitchA相关配置】

1.        进入端口E0/1的配置视图
[SwitchA]interface Ethernet 0/1

2.        对端口E0/1的出方向报文进行流量限速，限制到3Mbps
[SwitchA- Ethernet0/1]line-rate 3

3.        配置acl，定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any

4.        对端口E0/1的入方向报文进行流量限速，限制到1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1 exceed drop

【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为1Mbps。

此系列交换机的具体型号包括：S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。

『S3528、S3552系列交换机端口限速配置流程』

使用以太网物理端口下面的traffic-shape和traffic-limit命令，分别来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】

1.          进入端口E0/1的配置视图
[SwitchA]interface Ethernet 0/1

2.          对端口E0/1的出方向报文进行流量限速，限制到3Mbps
[SwitchA- Ethernet0/1]traffic-shape 3250 3250

3.          配置acl，定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any

4.          对端口E0/1的入方向报文进行流量限速，限制到1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop

【补充说明】

此系列交换机的具体型号包括：S3528G/P和S3552G/P/F。

『S3900系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。

【SwitchA相关配置】

1.        进入端口E1/0/1的配置视图
[SwitchA]interface Ethernet 1/0/1

2.        对端口E0/1的出方向报文进行流量限速，限制到3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000

3.        配置acl，定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any

4.        对端口E0/1的入方向报文进行流量限速，限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括：S3924、S3928P/F/TP和S3952P。

『S5600系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。

【SwitchA相关配置】

1.        进入端口E1/0/1的配置视图
[SwitchA]interface Ethernet 1/0/1

2.        对端口E0/1的出方向报文进行流量限速，限制到3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000

3.        配置acl，定义符合速率限制的数据流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any

4.        对端口E0/1的入方向报文进行流量限速，限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【补充说明】

line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。

端口出入方向限速的粒度为64Kbps。

此系列交换机的具体型号包括：S5624P/F和S5648P。

交换机端口汇聚配置

1功能需求及组网说明

『配置环境参数』

1.        SwitchA的端口E0/1、E0/2和E0/3分别与SwitchB的端口E0/1、E0/2和E0/3互连

『组网需求』

1.        增加SwitchA与SwitchB之间的带宽，将SwitchA与SwitchB之间的流量进行负荷分担，并起到链路备份的效果

2数据配置步骤

『交换机端口汇聚配置流程』

当交换机之间采用Trunk端口互连时，配置端口汇聚会将流量在多个端口上进行分担，即采用端口汇聚可以完成增加带宽、负载分担和链路备份的效果。

【SwitchA相关配置】

1.        进入端口E0/1
[SwitchA]interface Ethernet 0/1

2.        参与端口汇聚的端口必须工作在全双工模式
[SwitchA-Ethernet0/1]duplex full

3.        参与端口汇聚的端口工作速率必须一致
[SwitchA-Ethernet0/1]speed 100

4.        端口E0/2和E0/3的配置与端口E0/1的配置一致

5.        根据源和目的MAC地址对出端口方向的数据流进行符合分担
[SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/3 both

【SwitchB相关配置】

与SwitchA的配置顺序及配置内容相同

【补充说明】

配置端口汇聚的时候可用使用参数ingress或者both，两者的区别是：前者表示端口汇聚组中各成员端口仅根据源MAC地址对出端口的流量进行负荷分担；而后者表示端口汇聚组中各成员端口根据源、目的MAC地址对出端口的流量进行负荷分担。

为了保证负荷分担的效果，参与端口汇聚的端口要配置在相同的速率和双工模式下。而且，只有数目较多的主机进行访问时，才能观测出负载的效果。

对汇聚组中起始端口，以及参与端口汇聚的最多端口个数请参照产品的配置手册。