華為交換機網(wǎng)絡管理相關配置問題（2）

Q: S2300/S3300/S5300如何配置限速?

A: 在配置限速時，推薦：
不配置PIR，只配置CIR、CBS、PBS。
CBS = 200 * CIR。
PBS = 2 * CBS = 2 * 200 * CIR = 400 * CIR。
其中，CIR單位為Kbps，CBS、PBS單位為Byte。

配置出方向端口限速，限速10M
在V100R003C01以前的版本，配置如下：
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr cir 10240 cbs 2048000
在V100R003C01及以后的版本，配置如下：
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr outbound cir 10240 cbs 2048000

配置入方向限速，限速10M
在V100R003C01以前的版本，配置如下：
[Quidway] traffic classifier c1
[Quidway-classifier-c1] if-match any
[Quidway-classifier-c1] quit
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway-behavior-b1] car cir 10240 cbs 2048000 pbs 4096000
[Quidway-behavior-b1] quit
[Quidway] traffic policy c1
[Quidway-trafficpolicy-c1] classifier c1 behavior b1
[Quidway-trafficpolicy-c1] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] traffic-policy c1 inbound
在V100R003C01及以后的版本，配置如下：
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] qos lr inbound cir 10240 cbs 2048000 說明：
流策略可以應用在物理接口視圖、Eth-Trunk視圖、VLAN視圖（端口共享帶寬）。
S5300中，物理接口為GigabitEthernet接口。

Q: S2300/S3300/S5300如何配置流量統(tǒng)計?

A: 假設需要統(tǒng)計接口Ethernet0/0/1上源IP地址為10.1.1.0/24網(wǎng)段的Ping報文，配置如下：
# 配置ACL規(guī)則。
[Quidway] acl number 3333
[Quidway-acl-adv-3333] rule 5 permit icmp source 10.1.1.0 0.0.0.255
[Quidway-acl-adv-3333] quit
# 配置流分類。
[Quidway] traffic classifier test
[Quidway-classifier-test] if-match acl 3333
[Quidway-classifier-test] quit
# 配置流行為。
S2300/S3300/S5300 V100R005以前版本
[Quidway] traffic behavior test
[Quidway-behavior-test] count
[Quidway-behavior-test] quit
S2300/S3300/S5300 V100R005以后版本
[Quidway] traffic behavior test
[Quidway-behavior-test] statistic enable
[Quidway-behavior-test] quit
# 配置流策略。
[Quidway] traffic policy test
[Quidway-trafficpolicy-test] classifier test behavior test
[Quidway-trafficpolicy-test] quit
# S2300/S3300上應用流策略test。
[Quidway] interface ethernet0/0/1
[Quidway-Ethernet0/0/1] traffic-policy test inbound
# S5300上應用流策略test。
[Quidway] interface gigabitethernet0/0/1
[Quidway-GigabitEthernet0/0/1] traffic-policy test inbound
配置完成后，可執(zhí)行命令display traffic policy statistics interface interface-type interface-number查看流量統(tǒng)計信息。如果需要重新進行流量統(tǒng)計，可執(zhí)行命令reset traffic policy statistics interface interface-type interface-number清除原有流量統(tǒng)計信息。

說明：
S2300/S3300只支持入方向的流量統(tǒng)計。
S5300支持入方向和出方向的流量統(tǒng)計，但不能統(tǒng)計由S5300設備自身CPU始發(fā)的報文。

Q: 為什么配置了DHCP Snooping之后，設備下掛用戶無法獲取IP地址?

A: 在使能DHCP Snooping之后，Switch所有接口狀態(tài)缺省都是非信任狀態(tài)。這時要把與DHCP Server相連的接口配置成信任狀態(tài)，否則DHCP Server回應的DHCP Reply報文都會被丟棄，這樣Switch下掛用戶無法獲取DHCP Server分配的IP地址。

Q: 如何通過配置來實現(xiàn)IP+MAC+端口綁定功能?

A: S-swich通過DHCP Snooping的靜態(tài)綁定表來實現(xiàn)IP+MAC+端口綁定功能。
配置思想是先在VLAN下配置的靜態(tài)綁定表，靜態(tài)綁定表的IP和MAC為PC的IP和MAC。然后在與PC相連的S-swich接口上配置IP和ARP報文檢查功能。
例如配置IP地址10.1.1.1，MAC地址0002-0002-0002和接口Ethernet0/0/1綁定。
在V100R002的版本配置如下：
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] dhcp snooping check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1
在V100R003及以后的版本配置如下：
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
[HUAWEI-vlan100] quit
[HUAWEI] user-bind static ip-address 10.1.1.1 mac-address 0002-0002-0002 interface Ethernet0/0/1

Q: 如何通過配置來實現(xiàn)MAC+端口綁定功能?

A: Switch通過流策略與DHCP Snooping兩個功能相互結(jié)合來實現(xiàn)MAC和端口綁定，即實現(xiàn)某個端口只綁定某個特定mac地址（某個端口只允許在綁定表內(nèi)的和某特定mac地址的報文通過），不綁定ip。
例如，配置端口Ethernet0/0/1只允許綁定表內(nèi)的和源mac地址為0-02-02的報文通過，其他報文都丟棄。
# 全局使能dhcp snooping
[Quidway] dhcp snooping enable
# 創(chuàng)建ACL，只允許MAC地址為0-02-02的報文
[Quidway] acl 4000
[Quidway-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff
[Quidway-acl-L2-4000] rule deny
# 創(chuàng)建流分類，匹配ACL 4000
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 4000
# 創(chuàng)建流行為和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下應用流策略，使該端口只允許綁定表內(nèi)的和源mac地址為0-02-02的報文通過。
在V001C00R002的版本配置如下：
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound
在V001C00R003及以后的版本配置如下：
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 4094
[Quidway-Ethernet0/0/1] ip source check user-bind enable
[Quidway-Ethernet0/0/1] traffic-policy p1 inbound

Q: 如何通過配置實現(xiàn)IP+端口綁定?

A: Switch可以通過流策略與DHCP Snooping兩個功能相互結(jié)合來實現(xiàn)IP和端口綁定，即實現(xiàn)某個端口只綁定某個特定源ip地址（只允許在綁定表內(nèi)的和某個特定源ip地址的報文通過），不綁定mac。
例如，配置端口Ethernet0/0/8只允許綁定表內(nèi)的和源IP地址為192.168.130.50的報文通過，丟棄其他IP報文。
# 全局使能dhcp snoopying
[Quidway] dhcp snooping enable
# 定義高級ACL，匹配IP地址192.168.130.50
[Quidway] acl 3000
[Quidway-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0
[Quidway-acl-adv-3000] rule 10 deny ip source any
[Quidway-acl-adv-3000] rule 15 deny ip destination any
# 創(chuàng)建流分類，匹配ACL
[Quidway] traffic classifier c1
[Quidwayclassifier-c1] if-match acl 3000
# 創(chuàng)建流行為和流策略
[Quidway] traffic behavior b1
[Quidway-behavior-b1] permit
[Quidway] traffic policy p1
[Quidway-trafficpolicy-p1] classifier c1 behavior b1
# 端口下應用流策略，只允許綁定表內(nèi)的和源IP地址為192.168.130.50的報文通過
在V100R002C00的版本配置如下：
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] dhcp snooping check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound
在V100R003C00及以后的版本配置如下：
[Quidway] interface Ethernet 0/0/8
[Quidway-Ethernet0/0/8] port default vlan 4094
[Quidway-Ethernet0/0/8] ip source check user-bind enable
[Quidway-Ethernet0/0/8] traffic-policy p1 inbound

Q: S2300/3300/5300系列交換機如何防止用戶私設靜態(tài)IP地址?

A: 防止用戶私設靜態(tài)IP地址，可以達到同一接口下只有與綁定的IP+MAC相同的用戶數(shù)據(jù)或者是合法的DHCP自動獲取IP地址的用戶數(shù)據(jù)才能通過，其它用戶數(shù)據(jù)不能通過。
S2300/3300/5300系列交換機雖然沒有H3C交換機的am user-bind命令，但是通過DHCP Snooping功能也可以實現(xiàn)IP+MAC+端口綁定以防止用戶私設靜態(tài)IP地址。例如，若要求端口Ethernet0/0/1下除了靜態(tài)IP地址為1.1.1.2、MAC地址為001c-2309-9aa7對應的用戶外，其它所有靜態(tài)IP用戶都不能上網(wǎng)。配置如下：
配置設備的DHCP Snooping功能
# 使能全局DHCP Snooping功能。
[Quidway] dhcp snooping enable
# 配置用戶側(cè)接口所屬的VLAN。
[Quidway] vlan 100
[Quidway-vlan100] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port default vlan 100
[Quidway-Ethernet0/0/1] quit
# 使能VLAN下的DHCP Snooping功能。
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping enable
# 配置在用戶側(cè)接口進行報文檢查
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] dhcp snooping check arp enable
[Quidway-Ethernet0/0/1] dhcp snooping check ip enable
[Quidway-Ethernet0/0/1] quit
# 配置靜態(tài)綁定表項
[Quidway] vlan 100
[Quidway-vlan100] dhcp snooping bind-table static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1