华为5700交换机配置ACL限制IP地址telnet

acl number 3000
rule 1 deny tcp destination-port eq www     //全局封80
rule deny tcp destination 119.90.126.29 0 destination-port eq 80     //封某一个80地址的80端口
rule deny tcp destination 119.90.126.0 0.0.0.255 destination-port eq 80              //封整个C段的80端口


traffic classifier www
if-match acl 3000
q


traffic behavior www
deny
q


traffic policy www
classifier www behavior www
inter x0/1/1
traffic-policy www inbound

华为5700交换机端口镜像配置

 1、设置镜像端口，在系统视图模式下执行命令：

observe-port 1 interface GigabitEthernet 0/0/11

2、进入被镜像端口，执行命令：

port-mirroring to observe-port 1 both

华为S5700常用命令

设置设备名称

system-view 
sysname gwidc

telnet远程登录

aaa 
local-user admin password irreversible-cipher ****** privilege level 3
local-user admin service-type telnet http
quit 
user-interface vty 0 4 
authentication-mode aaa 
protocol inbound all
q
telnet server enable

关闭ntp

ntp dis

配置上链信息

interface Eth-Trunk 63

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 100

mode lacp

进入上连端口

inter x0/0/1

 eth-trunk 94

华为9300交换机修改telnet密码

aaa    //进入aaa视图。

local-user gwidc password cipher gangwanpasswd      //配置本地用户及密码。

H3C 5500交换机修改密码

[Quidway]user-interface vty 0 4；进入虚拟终端

[S3026-ui-vty0-4]authentication-mode password；设置口令模式  

[S3026-ui-vty0-4]set authentication-mode password simple gwidc99991111；设置口令 

PC1与PC2之间不能互相访问，PC1与PC3之间可以互相访问，PC2与PC3之间可以互相访问。

配置端口隔离功能

# 配置端口隔离模式为二层隔离三层互通。

<Quidway> system-view
[Quidway] port-isolate mode l2
 

# 配置Ethernet0/0/1和Ethernet0/0/2的端口隔离功能。

<Quidway> system-view
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port-isolate enable group 1
[Quidway-Ethernet0/0/1] quit
 
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port-isolate enable group 1
[Quidway-Ethernet0/0/2] quit
ethernet 0/0/3 无需加入端口隔离组，处于隔离组的各个端口间不能通信

端口防环--port-security

适用与华为交换机，防止下级环路，自动shutdown下级有环路的端口。 

<Huawei>system view
#
  loopback-detect enable                  全局模式下，启用环路检测功能
 
# interface GigabitEthernet0/0/1
  loopback-detect action shutdown         如果下级有环路，shutdown本端口
# interface GigabitEthernet0/0/2
  loopback-detect action shutdown 

（一）、MAC地址表分为三张

1、静态MAC地址表，手工绑定，优先级高于动态MAC地址表

2、动态MAC地址表，交换机收到数据帧后会将源mac学习到MAC地址表中

3、黑洞MAC地址表，手工绑定或自动学习，用于丢弃指定MAC地址

（二）、MAC地址表的管理命令

1、查看mac地址表

<Huawei>display mac-address
2、配置静态mac地址表

[Huawei] mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 vlan 1   将mac地址绑定到接口g0/0/1在vlan1中有效
3、配置黑洞mac地址表

[Huawei] mac-address blackhole 5489-987f-161a vlan 1                   在vlan1中收到源或目的为此mac时丢弃帧
4、禁止端口学习mac地址，可以在端口或者vlan中禁止mac地址学习功能

[Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard
禁止学习mac地址，并将收到的所有帧丢弃，也可以在vlan中配置

[Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward
禁止学习mac地址，但是将收到帧以泛红方式转发（交换机对于未知目的mac地址转发原理），也可以在vlan中配置

5、限制MAC地址学习数量，可以端口或者vlan中配置

[Huawei-GigabitEthernet0/0/1]mac-limit maximum 9 alarm enable      
交换机限制mac地址学习数量为9个，并在超出数量时发出告警，超过的MAC数量将无法被端口学习到，但是可以通过泛红转发（交换机对于未知目的mac地址转发原理），也可以在vlan中配置

6、配置端口安全动态mac地址

此功能是将动态学习到的MAC地址设置为安全属性，其他没有被学习到的非安全属性的MAC的帧将被端口丢弃

[Huawei-GigabitEthernet0/0/3]port-security enable            打开端口安全功能
[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1     限制安全MAC地址最大数量为1个，默认为1
[Huawei-GigabitEthernet0/0/3]port-security protect-action ?  配置其他非安全mac地址数据帧的处理动作
  protect   Discard packets                                  丢弃，不产生告警信息
  restrict  Discard packets and warning                      丢弃，产生告警信息（默认的）
  shutdown  Shutdown                                         丢弃，并将端口shutdown
[Huawei-GigabitEthernet0/0/3]port-security aging-time 300    配置安全MAC地址的老化时间300s，默认不老化
       在端口安全动态MAC地址中，配置如上的话，在g0/0/3端口学习到的第一个MAC地址设置为安全MAC地址，此外其他MAC地址在接入端口的话都不给予转发，在300s后刷新安全MAC地址表，并且重新学习安全MAC地址，（哪个MAC地址）先到就先被学到端口并设置为安全MAC地址，但是在交换机重启后安全MAC地址会被清空重新学习。

7、配置端口安全Sticky贴粘MAC地址

      此功能与端口安全动态mac地址一直，唯一不同的是：粘贴MAC地址不会老化，切交换重启后依然存在，动态安全mac地址只能动态学到而安全粘贴MAC可以动态学习也可以手工配置。

[Huawei-GigabitEthernet0/0/3]port-security enable                    打开端口安全功能
 
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky        打开安全粘贴MAC功能
 
[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1             限制安全MAC地址最大数量为1个，默认为1
 
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 5489-98D8-71D5 vlan 1       手工绑定粘贴MAC地址和所属vlan
 
[Huawei-GigabitEthernet0/0/3]port-security protect-action  restrict  配置其他非安全mac地址数据帧的处理动作
 
查看粘贴MAC地址状态
[Huawei-GigabitEthernet0/0/3] display mac-address 
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
5489-98d8-71d5 1           -      -      GE0/0/3         sticky    -           
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1 
[Huawei-GigabitEthernet0/0/3]
8、配置MAC地址防漂移功能

       MAC地址漂移就是：在一个接口学习到的MAC地址在同一个vlan中的其他接口上也被学习到，这样后学习的MAC地址信息就会覆盖先学到的MAC地址信息（出接口频繁变动），这种情况多数为出现环路的时候发生，所以这个功能也可以用来排查和解决环路问题。

       MAC地址防止漂移功能的原理是，在接口上配置优先级，优先级高的接口学习到的MAC地址不会在桶vlan的优先级低的其他接口上被学到，如果优先级相同那么可以配置不允许相同优先级的接口学习到同一个MAC地址。

[Huawei]mac-address flapping detection                   全局开启MAC漂移检测
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]mac-learning priority 3     配置g0/0/2的接口优先级为3，默认为0
[Huawei-GigabitEthernet0/0/2]mac-address flapping trigger error-down   接口发生MAC地址漂移后关闭
[Huawei-GigabitEthernet0/0/2]quit
 
[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]mac-address flapping trigger error-down   接口发生MAC地址漂移后关闭
[Huawei-GigabitEthernet0/0/3]quit
配置完成后，当g0/0/2的MAC漂移到g0/0/3后，g0/0/3端口将被关闭。

查看MAC地址漂移记录命令：

[Huawei]display mac-address flapping record    查看MAC地址漂移记录
9、配置丢弃全0的MAC地址报文功能

在网络中一些主机或者设备在发生故障时，会发送全源和目的MAC地址为全0的帧，可以配置交换机丢弃这些错误报文功能。

[Huawei]drop illegal-mac enable                    打开丢弃全零mac地址功能
[Huawei]snmp-agent trap enable feature-name lldptrap   开启snmp的lldptrap告警功能
[Huawei]drop illegal-mac alarm                     打开收到全0报文告警功能，前提是必须开启snmp的lldptrap告警功能
10、配置MAC地址刷新arp功能

mac信息更新后（如用户更换接入端口）自动刷新arp表项功能

[Huawei]mac-address update arp 
11、配置端口桥接功能

       正常情况下，交换机在收到源MAC地址和目的MAC地址的出接口为同一个接口的报文时，就认为该报文为非法报文，进行丢弃，但是有些情况下数据帧的源MAC和目的MAC地址又确实是同一个出接口，为了让交换机能够不丢弃这些特殊情况下的帧需要启用交换的端口桥功能，比如交换机下挂了不具备二层转发能力的HUB设备，或者下挂了一台启用了多个虚拟机的服务器，这样在这些下挂设备的下面的主机通信都是通过交换机的同一个接口收发的，所以这些帧是正常的帧不能丢弃。

[Huawei]interface g0/0/10
[Huawei-GigabitEthernet0/0/10] port bridge enable           为接口开启桥功能
[Huawei-GigabitEthernet0/0/10] quit
 

通过匹配端口来限速(那匹配的 0/0/18 端口为例)

a.<HUAWEI>system-view        //进视图模式        

b.[HUAWEI]interface GigabitEthernet 0/0/18      //   interface GigabitEthernet 0/0/18才是命令

c.[HUAWEI-GigabitEthernet0/0/18]qos lr inbound cir 10240 cbs 204800    //上传限速10M    cbs官方建议=200 * cir

d.[HUAWEI-GigabitEthernet0/0/18]qos lr outbound cir 20480 cbs 409600   //下载限速20M    20480kbp=20Mbp

e.[HUAWEI-GigabitEthernet0/0/18]display this       //查看有哪些部署18端口

#

interface GigabitEthernet0/0/18

 qos lr outbound cir 20480 cbs 409600

 qos lr inbound cir 10240 cbs 204800

#

return

f.[HUAWEI-GigabitEthernet0/0/18]undo qos lr inbound   //删除18端口上传限速

g.[HUAWEI-GigabitEthernet0/0/18]undo qos lr outbound  //删除18端口下载限速

备注：查看所有端口配置，可以使用命令display current-configuration interface

关闭端口和开启（以18端口为例）

a.<HUAWEI>system-view

b.[HUAWEI]interface GigabitEthernet 0/0/18

c.[HUAWEI-GigabitEthernet0/0/18]shutdown          //关闭端口

d.[HUAWEI-GigabitEthernet0/0/18]display interface brief     //显示所有端口状态简报

port-group 1

group-member GigabitEthernet 0/0/25 to GigabitEthernet 0/0/36

进入组
port-group 1