华为交换机配置命令

官方定义： 先匹配ACL，如是deny那就直接过滤掉，不再通过qos匹配；如是acl是permit,那么接下来qos流量进行匹配。 个人总结： traffic behavior使用permit表示按照acl 的规则来进行数据放行,acl中允许那就允许,禁止那就禁止 traffic behavior但是若使用deny,则无论acl规则中的permit或者deny,一律全都丢弃不进行转发. 组合有如下四种： acl beha 最后的动作 A permit permit permit B permit deny deny C deny permit deny D deny deny deny 例子 [Quidway] acl 3003[Quidway-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime[Quidway-acl-adv-3003] quit[Quidway] traffic classifier c_rd[Quidway-classifier-c_rd] if-match acl 3... 一：这是应用于三层交换机的策略。 二：因为三层交换机划分VLAN并配置了VLANIF后，不同VLAN之间可以互访

一、说明： 1、华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier，流行为traffic behavior； 3、流分类traffic classifier用于绑定相应的ACL规则，流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流，使用permit标识，而deny基本没啥用； 5、如果有多个ACL number，在流策略traffic policy里需要按顺序绑定（根据业务是先允午后禁止或先禁止后允许），800说可以配优先级，但我么有发现命令。 6、在接口的inbound 方向下发。 二、版本信息 Huawei Versatile Routing Platform Software VRP ® software, Version 5.130 (S5700 V200R003C00SPC300) Copyright © 2000-2013 HUAWEI TECH CO., LTD Quidway S5700-52C-SI 三、配置 1、需求 1）只允许特定的网段（192.168.1.0/24)到特定的网段192.168.2.0/24)的访问 2）禁止特定的网段（192.168.1.0/24) 到any的访问。 2、配置：

实验内容 某企业二层网络使用两台 S3700 交换机 S1 和 S2 ，且两台设备在不同的楼层。网络管理员规划了 3 个不同 VLAN, HR 部门使用 VLAN 10 ，市场部门使用 VLAN20, IT 部门使用 VLAN 30 。在需要让处于不同楼层的 HR 部门和市场部门实现部门内部通信，而两部门之间不允许互相通信 ; IT 部门可以访问任意部门。可以通过配置 Hybrid 接口来实现较复杂的 VLAN 控制。 实验拓扑 实验编址 实验步骤 1、完成配置后，测试主机间的连通性 在 PC1 上使用 ping 命令 主机之间通信正常，其他主机测试过程省略 在没有定义 VLAN 及接口类型之前，默认情况下，交换机上所有接口都是 Hybrid 类型，接口的 PVID 是 VLAN 1 ，即所有接口收到没有标签的二层数据帧，都被转发到 VLAN1 中，并继续以 Untagged 的方式把帧发送至同为 VLAN 1 的其他接口。所以，即使未做任何配置，主机之间默认仍然可以互相通信。 查看接口默认类型 查看接口和所属 VLAN 的对应关系 可以观察到，所有接口都默认属于 VLAN 1 ，其他交换机也都一样，因此 VLAN 1 内所有的主机都可以访问 2 、实现组内通讯，组间隔离 交换机接口的类型可以是 Access 、 Trunk 和 Hybrid 。 Access 类型的接口仅属于一个

本实验基于《HCNA网络技术实验指南》 原理概述: Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路，它允 许多个VLAN的帧通过，并可以在出接口方向将某些VLAN帧的标签剥掉。 Hybrid接口处理VLAN帧的过程如下： (1)收到一个二层帧，判断是否有VLAN标签。没有标签，则标记上Hybrid接口 的PVID.进行下一步处理；有标签.判断该Hybrid接口是否允许该VLAN的帧进入” 允许则进行下一步处理，否则丢弃° (2）当数据帧从Hybrid接口发出时，交换机判断VLAN在本接口的属性是Untagged 还是Tagged o 如果是Untagged.先剥离帧的VLAN标签,再发送；如果是Tagged,则直接发送帧中 通过配置Hybrid接口，能够实现对VLAN标签的灵活控制，既能够实现Access接 口的功能，又能够实现Trunk接口的功能。 实验目的: • 掌握配置 Hybrid 接口 的方法 • 理解 Hybrid 接口处理 Untagged 数据帧过程 • 理解 Hybrid 接口处理 Tagged 数据帧过程 • 理解 Hybrid 接口的应用场景 实验内容: 某企 业二层 网络使用两台 S3700 交换机 S1 和 S2, 且两台 设备在 不同的楼层。网络 管理员规划了 3 个不同 VLAN, HR 部门使用 VLAN 10,

实验三：理解 Hybrid接口的应用 实验原理： 实验内容： 某企业二层网络使用两台S3700交换机S1和S2，且两台设备在不同的楼层。网络管理员规划了3个不同VLAN, HR部门使用VLAN 10，市场部门使用VLAN20, IT部门使用VLAN 30。现在需要让处于不同楼层的HR部门和市场部门实现部门内部通信，而两部门之间不允许互相通信; IT部门可以访问任意部门。可以通过配置Hybrid接口来实现较复杂的VLAN控制。 实验拓扑图： 实验编址如下： 完成配置后，测试主机之间的连通性： 在 PC1上，使用ping命令： 可以看到，此时 PC1访问其他主机通信正常，其他主机上的测试过程省略。在没有定义vlan及接口类型之前，默认情况下，交换机上所有接口都是Hybrid类型，接口的PVID是vlan1，即所有接口收到没有标签的二层数据帧，都被转发到vlan1中，并继续以Untagged的方式把帧发送至同为vlan1的其他接口，所以，即使未做任何配置，主机之间仍然可以互相通信。 在 S1上使用display port vlan命令查看接口的默认类型： 可以观察到，接口默认是 Hybrid类型，接口PVID是VLAN1，其他接口也一样，在交换机上使用display vlan命令查看接口和所属vlan的对应关系。 第二步： .实现组内通信、组间隔离 交换机接口的类型可以是 Access

前面我们介绍了access，trunk接口配置，现在让我们再来介绍介绍Hybird接口的应用吧，优点大大的。 首先我们还是先说一下实验吧！ 上面的内容对大家很有帮助，读一下很好！ 下面的是我自己建的拓扑！ 让我们进入正题吧！ 首先还是一如既往的配置主机,实验编码刚刚发了，我现在就以PC5为模板 配置完PC机后，我们先通过access与trunk对交换机进行配置！ 原理还是很简单的，让同部门的可以通信，不同部门的拒绝访问，但是IT部门却可以访问任意部门 我们先将IT部门放在外边，先搞一下其他两个部门吧！让他们完成同部门通信，不同部门不通信。 既然已经配置好了PC机，那么就让我们试验一下是否能ping通：我们还是以PC1 为例，具体情况如下图 再用PC3 试一下与PC4的连通性 经过上面的结果我们看到了PC机之间的配置都是没有问题的。 我们可以观察到，此时PC1 访问其他主机通信正常，其他主机的测试过程省略。在没有定义VLAN及接口类型之前，默认情况下，交换机上的所有借口都是Hybird类型，接口的PVID是VLAN1 ，即所有借口收到没有标签的二层数据帧，都被转发到VLAN 1中，并继续以Untagged的方式把帧发送至同为VLAN1的其他接口。所以即使未做任何配置，主机之间默认是可以通信的。在进行配置之前可以通过指令display port vlan命令查看接口的默认类型

一.用户配置: <H3C>system-view [H3C]super password H3C 设置用户分级密码 [H3C]undo super password 删除用户分级密码 [H3C]localuser bigheap 123456 1 Web网管用户设置,1（缺省）为管理级用户,缺省admin,admin [H3C]undo localuser bigheap 删除Web网管用户 [H3C]user-interface aux 0 只支持0 [H3C-Aux]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-Aux]undo idle-timeout 恢复默认值 [H3C]user-interface vty 0 只支持0和1 [H3C-vty]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-vty]undo idle-timeout 恢复默认值 [H3C-vty]set authentication password 123456 设置telnet密码,必须设置 [H3C-vty]undo set authentication password 取消密码 [H3C]display users 显示用户 [H3C]display user-interface

原理概述： 　　Hybrid接口既可以连接普通终端的接入链路，又可以连接交换机间的干道链路，它允许多个VLAN帧通过，并且在出接口方向将某些VLAN帧的标签剥掉。 　　Hybrid接口处理VLAN帧的过程：（1）收到一个二层帧，判断是否有VLAN标签。没有则标记上Hybrid接口的PVID，进行下一步处理；有标签，则判断Hybrid接口是否允许该VLAN的帧进入，允许则进行下一步处理，否则丢弃。 　　（2）当数据帧从Hybrid接口发出时，交换机判断VLAN在本接口的属性是Untagged还是Tagged。如果是Untagged，先剥离帧的VLAN标签，再发送；如果是Tagged，则直接发送帧。 　　通过配置Hybrid接口，能够实现对VLAN标签的灵活控制，既能够实现Access接口的和功能，又能实现Trunk接口的功能。 实验目的： 实验内容： 实验拓扑： 实验编址： 实验步骤： 　 　1.基本配置 　　按照实验编址为PC配置IP地址，把所有PC都按编址表配好 　　 配置完后，，测试主机之间的连通性 在PC-1上，使用ping命令 可以看到，此时PC-1访问其他主机通信正常，其他主机上的测试过程省略。 在没有定义VLAN及接口类型之前，，， 默认情况下，交换机上所有接口都是Hybrid类型，接口的PVID是VLAN 1 ，即所有接口收到 没有标签的二层数据帧，都被转发到

原理概述 Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路，它允许多个VLAN的帧通过，并可以在出接口方向将某些VLAN帧的标签剥掉。 Hybrid 接口处理VLAN帧的过程如下: (1)收到一个二层帧，判断是否有VLAN标签。没有标签，则标记上Hybrid接口的PVID，进行下一步处理；有标签，判断该Hybrid接口是否允许该VLAN的帧进入，允许则进行下一步处理，否则丢弃。 (2)当数据帧从Hybrid接口发出时，交换机判断VLAN在本接口的属性是Untagged还是Tagged。如果是Untagged，先剥离帧的VLAN标签，再发送；如果是Tagged，则直接发送帧。 通过配置Hybrid接口，能够实现对VLAN标签的灵活控制，既能够实现Access接口的功能，又能够实现Trunk接口的功能。 实验目的 ●掌握配置 Hybrid接口的方法 ●理解Hybrid接口处理Untagged数据帧过程 ●理解Hybrid接口处理Tagged数据帧过程 ●理解Hybrid接口的应用场景 实验内容 某企业二层网络使用两台S3700交换机S1和S2，且两台设备在不同的楼层。网络管理员规划了3个不同VLAN, HR部门使用VLAN 10,市场部门使用VLAN20, It部门使用VLAN 30。现在需要让处于不同楼层的HR部门和市场部门实现部门内部通信

江湖各位大侠重温了VLAN的基础知识，是否想过4094个VLAN可以怎样划分，哪种方式又是好用简单的？细心的小编特地整理了一番，给各位大侠把玩把玩。 VLAN 划分的方式： Ø 基于接口划分 VLAN ： 根据交换机接口分配VLAN ID。配置简单，可以用于各种场景。 Ø 基于 MAC 划分 VLAN： 根据报文的源MAC地址分配VLAN ID。经常用在用户位置变化，不需要重新配置VLAN的场景。 Ø 基于子网划分 VLAN ： 根据报文的源IP地址分配VLAN ID。一般用于对同一网段的用户，进行统一管理的场景。 Ø 基于协议划分 VLAN ： 根据报文的协议类型分配VLAN ID。适用于对具有相同应用或服务的用户，进行统一管理的场景。 Ø 基于匹配策略划分 VLAN ： 根据指定的策略（譬如匹配报文的源MAC、源IP和端口）分配VLAN ID。适用于对安全性要求比较高的场景。 几种划分 VLAN 的各种方式中，基于接口划分 VLAN ，是最常用最简单的方式，那么到底怎么配置，怎么使用呢？ 在配置使用之前，先来和小编回顾一下端口常用的链路类型吧。 access ：用于交换机和 PC 相连； trunk ：用于交换机和交换机相连； hybrid ：即可以用于交换机和 PC 相连，也可以用于交换机和交换机相连。使用 hub 链路交换机时，经常使用这种类型的。 好了