华为数据中心5800交换机01-09 端口安全配置

格式：pdf
大小：405.71 KB
文档页数：12

下载文档原格式

华为数据中心5800交换机01-06 MFF配置

图 6-1 MFF 方案的应用场景
Gateway
6 MFF 配置
EAN Switch A
EAN Switch B
EAN Switch C
Server
Server
Server
Server Flow through Gateway
Flow not through Gateway
接口角色
在部署MFF的设备（后续简称MFF设备）上存在两种接口角色：用户接口和网络接口。
ቤተ መጻሕፍቲ ባይዱ
6 MFF 配置
MFF通过ARP代答机制，截获用户发送的ARP请求报文，回复包含网关MAC地址的 ARP应答报文。设备通过这种方式将用户流量强制引向网关，达到二层隔离和三层互通的作用。
目的
在以太网中，由于用户之间的业务不同，需要对用户之间进行二层隔离。在不同业务的用户之间有时又需要进行通信，所以需要实现用户之间的三层互通。在传统的以太网组网方案中，为了实现不同用户之间的二层隔离和三层互通，通常采用在设备上划分VLAN的方法。但是存在以下几种不足：
为此MFF在处理用户对应用服务器的访问时，在MFF设备中指定应用服务器的IP 地址，设置用户可以访问的应用服务器列表。MFF设备捕获从客户端主机发出的 ARP请求，并以应用服务器的MAC地址作为源MAC地址应答ARP。对于应用服务器的ARP请求，MFF设备将会回应它所请求的用户MAC地址。这样实现用户与应用服务器之间的二层互通，流量不需要经过网关就可转发至服务器。
– 手动配置网关IP地址
如果用户的IP地址是静态配置的，MFF设备则无法通过DHCP报文来获取网关 IP地址，因此需要在MFF设备上手动配置该IP。配置静态网关（即静态用户的网关）的IP地址后，MFF设备通过捕获用户侧在线用户的ARP请求报文，进而触发生成或者更新包含用户信息的MFF表项。如果在未学习到网关MAC 地址的情况下收到用户的ARP请求，MFF设备将不会转发该ARP请求，而以用户的IP地址和MAC地址为源信息构造ARP请求报文发给网关，并从网关回应的ARP应答报文中学习网关MAC地址。

华为数据中心5800交换机01-01 接口基础配置

1接口基础配置关于本章1.1 接口简介通过本小节，您可以了解到设备的接口分类和接口编号规则。

1.2 配置接口基本参数配置接口基本参数，包括接口描述信息、接口流量统计时间间隔功能以及开启或关闭接口。

1.3 维护接口您可以通过清除接口统计信息以方便查询一定时间内接口的流量信息。

1.1 接口简介通过本小节，您可以了解到设备的接口分类和接口编号规则。

接口分类接口是设备与网络中的其它设备交换数据并相互作用的部件，分为管理接口、物理业务接口和逻辑接口三类，其中：l管理接口管理接口主要为用户提供配置管理支持，也就是用户通过此类接口可以登录到设备，并进行配置和管理操作。

管理接口不承担业务传输。

关于管理接口的详细配置，请参见《CloudEngine 7800&6800&5800系列交换机配置指南-基础配置》。

设备支持的管理接口如表1-1所示：表1-1各管理接口介绍l V100R005C00版本下，仅CE6850-48S6Q-HI支持Mini USB接口。

V100R005C10及以后版本，CE6850-48S6Q-HI、CE6850–48T4Q-HI和CE6850U-HI支持Mini USB接口。

l CE6850HI和CE6850U-HI设备上有两个Combo类型的管理接口，每个Combo口包括一个光接口和一个电接口。

光接口和电接口只能同时激活其中一个。

l物理业务接口物理业务接口是真实存在、有器件支持的接口。

物理接口需要承担业务传输。

物理接口有时也被称为端口，为便于描述，在本手册中，统一描述为接口。

设备支持的物理接口如表1-2所示。

表1-2物理接口缺省情况下，设备的以太网接口工作在二层模式，如果需要应用接口的三层功能，可以使用undo portswitch命令将接口转换为三层模式。

l逻辑接口逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。

逻辑接口需要承担业务传输。

设备支持的逻辑接口如表1-3所示。

华为数据中心5800交换机01-08 攻击防范配置

8攻击防范配置关于本章攻击防范是一种重要的网络安全特性。

通过配置攻击防范功能，设备能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。

8.1 攻击防范简介介绍攻击防范的定义和作用。

8.2 攻击防范原理描述介绍攻击防范的实现原理。

8.3 攻击防范应用场景介绍攻击防范的应用场景。

8.4 攻击防范配置注意事项介绍配置攻击防范的注意事项。

8.5 攻击防范缺省配置介绍了攻击防范的缺省配置。

8.6 配置畸形报文攻击防范畸形报文攻击防范主要防止没有IP载荷的泛洪攻击、IGMP空报文攻击、LAND攻击、Smurf攻击和TCP标志位非法攻击。

8.7 配置分片报文攻击防范分片报文攻击主要包括分片数量巨大攻击、巨大offset攻击、重复分片攻击、Tear Drop攻击、Syndrop攻击、NewTear攻击、Bonk攻击、Nesta攻击、Rose攻击、Fawx攻击、Ping of Death攻击和Jolt攻击。

8.8 配置泛洪攻击防范泛洪攻击防范主要防止TCP Syn泛洪攻击、UDP泛洪攻击和ICMP泛洪攻击。

8.9 清除攻击防范统计信息8.10 攻击防范配置举例介绍攻击防范的配置举例。

配置示例中包括组网图需求、配置思路、操作步骤等。

8.1 攻击防范简介介绍攻击防范的定义和作用。

定义攻击防范是一种重要的网络安全特性。

它通过分析上送CPU处理的报文的内容和行为，判断报文是否具有攻击特性，并配置对具有攻击特性的报文执行一定的防范措施。

攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。

目的目前，网络的攻击日益增多，而通信协议本身的缺陷以及网络部署问题，导致网络攻击造成的影响越来越大。

特别是对网络设备的攻击，将会导致设备或者网络瘫痪等严重后果。

攻击防范针对上送CPU的不同类型攻击报文，采用丢弃或者限速的手段，以保障设备不受攻击的影响，使业务正常运行。

华为数据中心5800交换机01-01 堆叠配置

1.5 缺省配置介绍堆叠常见参数的缺省配置。
1.6 组建堆叠介绍堆叠的组建过程。
1.7 堆叠组建后配置增强功能介绍堆叠组建后的配置，用来增加堆叠系统的可靠性和易操作性。
1.8 维护堆叠介绍堆叠的维护功能。
1.9 拆分堆叠介绍拆分堆叠的相关操作。
1.10 配置举例介绍堆叠配置举例，配置举例中包括组网需求、配置思路、配置过程等。
定义
堆叠iStack（Intelligent Stack）是指将多台交换机设备组合在一起，虚拟化成一台交换设备，如图1-1所示。
图 1-1 堆叠示意图 iStack
iStack Link
Eth-Trunk
物理拓扑逻辑拓扑来自目的通过交换机堆叠，可以实现网络高可靠性和网络大数据量转发，同时简化网络管理。
1.2.2 堆叠建立
堆叠建立的过程包括以下四个阶段：
文档版本 07 (2017-09-12)
华为专有和保密信息
3
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机配置指南-虚拟化
1 堆叠配置
1. 物理连接：根据网络需求，选择适当的连接拓扑，组建堆叠网络。
的配置。 l 备、从交换机的堆叠端口在主交换机上有Shutdown或与堆叠冲突的配置。 l 同一堆叠端口下的堆叠物理成员端口的类型不同。 l 所有堆叠物理成员端口被配置在不同的堆叠端口下。上述冲突产生后，备、从交换机将无法与主交换机建立堆叠。用户需要修改主交换机或备、从交换机上的配置，使其符合配置要求，然后再重新启动交换机。
l 备、从交换机将与主交换机的配置进行合并，合并的配置包括堆叠属性配置、堆叠端口配置、端口拆分配置。如果主交换上有备、从交换机的离线配置，则以主交换机配置为准。

华为数据中心5800交换机01-09 BGP配置

l IBGP：运行于同一AS内部的BGP称为IBGP。为了防止AS内产生环路，BGP设备不将从IBGP对等体学到的路由通告给其他IBGP对等体，并与所有IBGP对等体建立全连接。为了解决IBGP对等体的连接数量太多的问题，BGP设计了9.2.6 路由反射器和9.2.7 BGP联盟。
说明
如果在AS内一台BGP设备收到EBGP邻居发送的路由后，需要通过另一台BGP设备将该路由传输给其他AS，此时推荐使用IBGP。
9.3 配置任务概览完成BGP的基本功能配置，实现运行BGP协议的网络的基本通信功能。如果需要部署其他BGP功能，还需要根据相应章节进行其他的配置。
9.4 缺省配置介绍BGP的缺省配置，实际应用的配置可以基于缺省配置进行修改。
9.5 配置BGP的基本功能配置BGP的基本功能是组建BGP网络的基础，是能够使用BGP其他功能的前提。
9.6 配置BGP安全性通过配置BGP对等体的连接认证、配置BGP GTSM和配置RPKI功能，可以提高BGP网络的安全性。
9.7 简化IBGP网络连接为了简化IBGP网络连接，可以在IBGP网络中使用路由反射器和联盟。
9.8 配置BGP路由选路和负载分担 BGP具有很多路由属性，通过配置这些属性可以改变BGP的选路结果。
MP-BGP是对BGP-4进行了扩展，来达到在不同网络中应用的目的，BGP-4原有的消息机制和路由机制并没有改变。MP-BGP在IPv6单播网络上的应用称为BGP4+，在IPv4组播网络上的应用称为MBGP（Multicast BGP）。
目的
为方便管理规模不断扩大的网络，网络被分成了不同的自治系统。1982年，外部网关协议EGP（Exterior Gateway Protocol）被用于实现在AS之间动态交换路由信息。但是 EGP设计得比较简单，只发布网络可达的路由信息，而不对路由信息进行优选，同时也没有考虑环路避免等问题，很快就无法满足网络管理的要求。

华为数据中心5800交换机01-06 EFM配置

远端环回OAMPDU （Loopback Control OAMPDU）
用于远端环回，控制远端设备的OAM环回状态，根据 OAMPDU中使能和去使能环回功能的信息开启或关闭远端环回功能。
连接模式
EFM的连接模式有两种：主动模式和被动模式。EFM连接只能由主动模式的OAM实体发起，而被动模式的OAM实体只能等待对端OAM实体的连接请求。不同的连接模式对 OAMPDU的处理能力是不一样的。如表6-3所示。
文档版本 08 (2017-09-12)
华为专有和保密信息
278
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机配置指南-可Байду номын сангаас性
6 EFM 配置
图 6-2 OAMPDU 报文格式
6
6
2
1
2
1
Destination addr Source addr Type Subtype Flags Code
图 6-1 EFM 示意图
Internet
核心层
EFM
汇聚层接入层
如图6-1所示，EFM主要用于接入层和汇聚层之间链路的以太网物理层规范以及以太网管理和维护，是链路级的OAM（Operation and Management）。针对两台直连设备之间的链路，提供链路连通性检测功能、链路故障监控功能和远端环回功能。
2：收到OAMPDU 后，和自己的EFM 配置进行匹配比较
6：进入detect状态，连接建立，双方发送 Information OAMPDU，维持连接
链路监控
EFM连接建立后，两端的OAM实体会以一定的时间间隔为周期发送Information OAMPDU来检测连接是否正常，该间隔被称为握手报文发送间隔。如果一端OAM实体在连接超时时间内未收到对端OAM实体发来的Information OAMPDU，则认为OAM连接中断。EFM连接建立后为用户提供了一种自动检测物理链路连通状况的手段。

华为数据中心5800交换机01-10 路由策略配置

当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。匹配模式分permit和deny两种：
l permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。
l deny：路由将被拒绝通过。
当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。
文档版本 06 (2017-09-12)
华为专有和保密信息
675
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机配置指南-IP 单播路由
10 路由策略配置
10.1 路由策略简介
介绍路由策略的定义、由来和作用。
定义
路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。
– 在RouterC上配置另外一个地址前缀列表，并且配置OSPF利用该地址前缀列表作为RouterC的入口策略。
l 使用路由策略
– 在RouterA上配置路由策略（其中匹配条件可以是地址前缀列表、路由cost、路由标记Tag等），并且配置OSPF利用该路由策略作为RouterA的出口策略。
– 在RouterC上配置另外一个路由策略，并且配置OSPF利用该路由策略作为 RouterC的入口策略。
CloudEngine 8800&7800&6800&5800 系列交换机配置指南-IP 单播路由
10 路由策略配置
10 路由策略配置
关于本章
路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。

华为数据中心5800交换机01-02 BFD配置

2.4 配置任务概览设备支持的BFD特性主要包括：BFD会话建立、BFD检测模式、单跳和多跳检测、静态标识符自协商BFD、VPN路由检测、VLAN下Eth-Trunk成员链路检测、联动功能和调整BFD参数。
2.5 配置注意事项介绍部署BFD的注意事项。
2.6 缺省配置介绍BFD会话常见参数的缺省配置。
BFD。 3. BFD根据收到的邻居信息建立会话。
会话建立以后，BFD开始检测链路故障，并做出快速反应。
图 2-2 BFD 故障发现处理流程图
OSPF 3
4 OSPF neighbors
2
BFD neighbors 1
OSPF 3
SwitchA
SwitchB
如上图所示：
1. 被检测链路出现故障。 2. BFD快速检测到链路故障，BFD会话状态变为Down。 3. BFD通知本地OSPF进程BFD邻居不可达。 4. 本地OSPF进程中断OSPF邻居关系。
2.2 原理描述
介绍BFD的实现原理。
原理简介
BFD在两台网络设备上建立会话，用来检测网络设备间的双向转发路径，为上层应用服务。BFD本身并没有邻居发现机制，而是靠被服务的上层应用通知其邻居信息以建立会话。会话建立后会周期性地快速发送BFD报文，如果在检测时间内没有收到BFD 报文则认为该双向转发路径发生了故障，通知被服务的上层应用进行相应的处理。下
3 BFD neighbors
OSPF 2
2 BFD 配置
SwitchA
SwitchB
上图所示是一个简单的网络组网，两台设备上同时配置了OSPF与BFD，BFD会话建立过程如下所示：
1. OSPF通过自己的Hello机制发现邻居并建立连接。 2. OSPF在建立了新的邻居关系后，将邻居信息（包括目的地址和源地址等）通告给

华为数据中心5800交换机01-02 MQC配置(非CE6870EI)

2 MQC配置（非CE6870EI）2.1 MQC简介模块化QoS命令行MQC（Modular QoS Command-Line Interface）是指通过将具有某类共同特征的报文划分为一类，并为同一类报文提供相同的服务，也可以对不同类的报文提供不同的服务。

随着网络中QoS业务的不断丰富，在网络规划时若要实现对不同流量（如不同业务或不同用户）的差分服务，会使部署比较复杂。

MQC的出现，使用户能对网络中的流量进行精细化处理，用户可以更加便捷的针对自己的需求对网络中的流量提供不同的服务，完善了网络的服务能力。

MQC三要素MQC包含三个要素：流分类（traffic classifier）、流行为（traffic behavior）和流策略（traffic policy）。

l流分类流分类用来定义一组流量匹配规则，以对报文进行分类。

流分类规则如表2-1所示：表2-1流分类的分类规则流分类中各规则之间的关系分为：and或or，缺省情况下的关系为or。

–and：当流分类中包含ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；当流分类中没有ACL规则时，报文必须匹配所有非ACL规则才属于该类。

–or：报文只要匹配了流分类中的一个规则，设备就认为报文属于此类。

l流行为流行为用来定义针对某类报文所做的动作。

l流策略流策略用来将指定的流分类和流行为绑定，对分类后的报文执行对应流行为中定义的动作。

如图2-1所示，一个流策略可以绑定多个流分类和流行为。

图2-1 流策略绑定多个流分类和流行为MQC 配置流程MQC 配置流程如图2-2所示。

1.配置流分类：按照一定规则对报文进行分类，是提供差分服务的基础。

2.配置流行为：为符合流分类规则的报文指定流量控制动作。

3.配置流策略：将指定的流分类和指定的流行为绑定，形成完整的策略。

4.应用流策略：将流策略应用到全局、接口、VLAN 、VPN 实例。

图2-2 MQC 配置流程2.2 配置注意事项介绍MQC的配置注意事项。

华为数据中心5800交换机01-04 智能无损网络配置注意事项

4智能无损网络配置注意事项涉及网元无需其他网元配合使用。

License支持各设备形态支持的智能无损网络功能、License控制情况如表4-1所示。

对于使用License控制的设备，缺省情况下，新购买设备的智能无损网络功能未打开。

如果需要使用设备的智能无损网络功能，请联系设备经销商申请并购买License。

表4-1各设备形态支持的智能无损网络功能、License控制情况版本支持表4-2支持本特性的最低软件版本说明如果需要了解软件版本与交换机具体型号的配套信息，请查看硬件查询工具。

软件版本演进关系：●除CE6881、CE6863和CE6820V100R001C00 -> V100R00200 -> V100R003C00 -> V100R003C10 -> V100R005C00 ->V100R005C10 -> V100R006C00 -> V200R001C00 -> V200R002C50 -> V200R003C00 ->V200R005C00 -> V200R005C10 -> V200R019C00 -> V200R019C10●对于CE6881、CE6863和CE6820V200R005C20 -> V200R019C10 -> V200R020C00特性依赖和限制无损队列的缓存空间优化的约束●手工配置无损队列的缓存空间优化后，需要保存配置并重启设备使配置生效。

●手工配置芯片级的Service Pool中独属于无损队列的Service Pool缓存空间的百分比后：–芯片对突发流量的转发能力将会降低，因此，需要相应调整各个端口入方向和出方向的缓存空间大小。

–需要确保不会通过DiffServ域优先级映射或包含remark流行为的流策略等方式将有损优先级映射到无损优先级。

–通过qos burst-mode命令配置的设备缓存管理突发模式仅对有损队列的Service Pool有效。

华为数据中心5800交换机01-08 性能管理

8性能管理关于本章通过配置性能管理，采集和统计系统的性能数据，以便于对系统的运行状态进行分析。

8.1 性能管理简介性能管理PM（Performance Management）是一种用于采集和统计系统的各项性能指标的技术。

8.2 性能管理原理描述介绍性能管理的基本原理。

8.3 性能管理应用场景介绍性能管理的应用场景。

8.4 性能管理配置注意事项介绍性能管理的配置注意事项。

8.5 配置性能管理通过配置统计任务并绑定实例，对系统的性能数据进行统计。

8.6 性能管理配置举例介绍性能管理配置举例。

配置示例中包括组网需求、配置思路等。

8.1 性能管理简介性能管理PM（Performance Management）是一种用于采集和统计系统的各项性能指标的技术。

性能管理作为提高设备运维能力的关键特性，提供对系统各项性能指标当前、历史数据的统计，用于判别系统的运行状况，为系统的错误分析和系统配置优化提供依据。

通过对各种性能数据的分析，还可以进行性能趋势的分析。

例如，通过一天内用户流量峰值或谷值的记录，可以分析一个月或更长时间的网络流量增长趋势及增长速度等。

同时，可以为用户进行网络配置的合理优化和网络扩容等关键决策提供材料和依据。

8.2 性能管理原理描述介绍性能管理的基本原理。

性能管理统计的对象可以是：l 接口流量，如某个以太网接口的收、发包数量的统计。

l 协议计数，如某种协议报文数量的统计。

l设备运行参数，如CPU 利用率的统计。

数据统计功能包含不同的统计任务，每个统计任务可以绑定多个数据统计实例。

用户创建统计任务后，系统按照周期采集统计任务中统计实例的数据，并在周期结束后计算周期内的统计值。

统计的数据将被定时保存在统计文件中。

通过FTP/SFTP 协议，系统可以将统计文件上传至远程的性能管理服务器。

统计文件上传支持两种模式：l 主动模式：系统定时生成统计文件，并自动将统计文件上传至服务器。

l被动模式：系统定时生成统计文件，由网管通知系统上传文件或下发命令触发上传文件。

华为交换机端口安全怎么配置？华为交换机端口安全命令的用法

华为交换机端⼝安全怎么配置？华为交换机端⼝安全命令
的⽤法
在华为交换机配置中，经常遇到各种问题，那么如何配置端⼝安全？下⾯就为⼤家带来详细的配置过程，详细请看下⽂介绍。

1、登录华为交换机，进⼊系统视图模式。

2、进⼊华为交换机接⼝视图。

3、在接⼝视图下开启端⼝安全功能。

命令：port-security enable
4、开启端⼝安全之后，使能接⼝Sticky MAC功能。

5、配置端⼝功能的保护动作。

命令：port-security protect-action protect
6、在接⼝下配置MAC地址学习限制数，设置⼀个表⽰只允许⼀台主机接⼊。

命令：port-security max-mac-num 1
以上就是华为交换机端⼝安全命令的⽤法，希望⼤家喜欢，请继续关注。

华为数据中心5800交换机01-09 重定向配置

9.4 配置重定向介绍重定向详细的配置过程。
9.5 重定向配置举例通过示例介绍通过MQC实现重定向。
9.1 重定向简介
通过MQC实现重定向。
重定向就是将符合流分类的报文流重定向到其他地方进行处理。
目前支持的重定向包括以下几种：
说明
仅CE6870EI支持重定向到观察口组和重定向到LSP。
l 重定向到CPU：对于需要CPU处理的报文，可以通过此配置上送给CPU。 l 重定向到接口：对于收到需要由某个端口处理的报文，或者需要将报文通过某接
9.4 配置重定向
介绍重定向详细的配置过程。
文档版本 08 (2019-03-05)
版权所有 © 华为技术有限公司
183
CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS
9 重定向配置
背景信息
通过配置重定向，设备将符合流分类规则的报文重定向到指定接口、GRE隧道、指定观察口组、LSP（Label Switching Path）下一跳标签、CPU。
9.2 重定向应用场景
介绍重定向的应用场景。
组网需求
如图9-1所示，某公司由于业务需要，业务区的服务器有访问Internet的需求。为了防止攻击并保证公司网络和数据的安全性，将报文重定向到防火墙对报文进行过滤。
图 9-1 重定向应用组网图
Internet Router
三层
Firewall
Switch A
缺省情况下，流分类中各规则之间的关系为“逻辑或”。
c. 执行命令if-match，定义流分类中的匹配规则。
流分类中可定义的规则有很多种，详细内容可参见《CloudEngine 8800, 7800, 6800, 5800系列交换机 QoS业务配置指南-MQC配置》中的“配置流分类”部分。

华为数据中心5800交换机01-04 SFC配置注意事项

CloudEngine 6800, 5800 系列交换机
配置指南-业务链 4 SFC配置注意事项
4 SFC配置注意事项
涉及网元
无需其他网元配合。

License支持
设备的SFC功能使用License控制，缺省情况下，新购买CE6880EI, CE5880EI系列交换
机的SFC功能未打开。

如果需要使用设备的SFC功能，请联系设备经销商申请并购买
License。

版本支持
表4-1支持本特性的最低软件版本
特性依赖和限制
l目前只支持通过配置命令行部署业务链，不支持控制器方式。

l SFF只能选择承载网络的网关设备。

l仅支持三层IPv4报文入业务链。

l仅支持SF设备通过路由方式接入SFC网络。

l VXLAN分布式网关组网中Spine设备不支持作为SFF节点。

华为数据中心5800交换机01-02 硬件管理

2硬件管理关于本章硬件管理可减少对硬件资源实际的插拔或加载卸载操作，方便快捷，同时可提高硬件资源的可靠性。

2.1 硬件管理概述硬件管理是指通过命令行对设备的硬件资源进行操作和管理，如复位设备、主备倒换等。

2.2 备份电子标签通过备份电子标签，可以提高网络维护工作的效率。

2.3 复位设备设备升级或工作不正常时，可能需要对设备进行复位。

2.4 预配置通过预配置可以在物理设备不在位的情况下离线部署业务。

2.5 配置主备倒换在多台设备堆叠的情况下，通过配置主备倒换，可以将备交换机倒换为主交换机，实现主、备交换机之间的冗余备份。

2.6 关闭非华为以太网交换机认证光模块告警通过配置光模块告警功能，选择一个最合适的光模块告警产生方式。

2.7 配置CPU占用率告警阈值配置CPU占用率告警阈值，实现对CPU使用情况的监控。

2.8 配置内存占用率告警阈值配置内存占用率告警阈值，实现对内存使用情况的监控。

2.9 配置功耗数据更新周期通过配置设备功耗数据更新周期，查看设备功耗情况。

2.10 配置系统资源模式通过配置系统资源模式，调整系统硬件资源的分配。

2.11 配置设备ID指示灯的状态通过设置设备ID指示灯的状态，便于用户现场快速定位设备。

2.1 硬件管理概述硬件管理是指通过命令行对设备的硬件资源进行操作和管理，如复位设备、主备倒换等。

硬件管理可减少对设备硬件资源实际的插拔或加载卸载等操作，方便快捷，同时可以提高硬件资源的可靠性。

2.2 备份电子标签通过备份电子标签，可以提高网络维护工作的效率。

背景信息在处理网络故障以及批量更换硬件等工作中，电子标签具有重要的作用，因此需要对电子标签进行备份：l网络出现故障时，通过电子标签能很方便、准确地获得相关的硬件信息，提高维护工作的效率。

同时，通过对故障硬件的电子标签信息进行统计分析，能够更加准确、高效地进行硬件缺陷问题的分析。

l批量更换硬件时，通过建立在客户设备档案系统中的电子标签信息，能够准确地获得全网硬件分布情况，便于评估更换所造成的影响并制定相应策略，从而提高批量替换硬件的效率。

华为数据中心5800交换机01-09 重标记优先级配置

9重标记优先级配置关于本章重标记优先级配置介绍了重标记优先级的作用、配置方法和配置示例。

9.1 重标记优先级简介通过MQC实现重标记优先级。

9.2 应用场景介绍重标记优先级的应用场景。

9.3 配置注意事项介绍重标记的配置注意事项。

9.4 配置重标记优先级介绍MQC实现重标记优先级详细的配置过程。

9.5 配置举例通过示例介绍重标记优先级。

9.1 重标记优先级简介通过MQC实现重标记优先级。

优先级用来标识报文的调度权重或者转发处理优先级别的高低。

不同类型的报文根据不同的优先级进行调度或转发。

重标记优先级是指将优先级进行设置，通过提高或降低优先级从而改变报文在网络传输中的状态。

例如，对于VLAN报文来说，重标记优先级就是对VLAN报文中的802.1p值进行重新设置，设备根据设置前的802.1p优先级进行调度和转发，改变VLAN报文在后续二层网络传输中状态。

本章主要介绍通过MQC实现重标记优先级，将符合某类规则的报文进行优先级的重标记，可以将对时延要求高、对服务质量要求高的报文重标记较高的优先级，使这类报文在后续转发中享受较高的调度权重或转发速度，同样的，对时延或服务质量没有特殊要求的报文，可以降低其优先级，为高要求报文提供足够的网络资源。

9.2 应用场景介绍重标记优先级的应用场景。

重标记优先级的应用重标记优先级可以将对时延要求高、对服务质量要求高的报文重标记较高的优先级，使这类报文在后续转发中享受较高的调度权重或转发速度。

如图9-1所示，在企业网络中，存在语音和数据等多种不同的业务，用户希望可以保证语音报文优先通过。

图9-1重标记优先级应用组网图流量方向入方向配置重标记优先级业务部署l 配置流分类，区分数据报文和语音报文。

l 配置流行为，将语音报文的优先级置高，数据报文的优先级置低，使来语音报文的优先级高于数据报文的优先级。

l配置流策略，绑定以上流分类和流行为，并应用在Switch 的入方向，实现语音报文优先级为较高优先级的目的。

华为数据中心5800交换机01-09 流量抑制及风暴控制配置(开始)

9流量抑制及风暴控制配置关于本章流量抑制及风暴控制配置包括流量抑制及风暴控制的基础知识、配置方法、配置举例和常见配置错误。

9.1 流量抑制及风暴控制简介介绍流量抑制及风暴控制的定义和作用。

9.2 流量抑制及风暴控制原理描述介绍流量抑制及风暴控制的实现原理。

9.3 流量抑制及风暴控制应用场景介绍流量抑制及风暴控制的应用场景。

9.4 流量抑制及风暴控制配置注意事项介绍了设备支持的流量抑制及风暴控制特性的相关配置注意事项以及两者的区别。

9.5 流量抑制及风暴控制缺省配置介绍设备的流量抑制及风暴控制缺省值。

9.6 配置流量抑制通过配置流量抑制，防范广播风暴，保障设备转发性能。

9.7 配置风暴控制通过配置风暴控制，防范广播风暴，保障设备转发性能。

9.8 流量抑制及风暴控制配置举例配置举例包括组网需求、配置思路、配置步骤和配置文件。

9.1 流量抑制及风暴控制简介介绍流量抑制及风暴控制的定义和作用。

定义流量抑制和风暴控制是两种用于控制广播、组播以及未知单播报文，防止这三类报文引起广播风暴的安全技术。

流量抑制主要通过配置阈值来限制流量，而风暴控制则主要通过关闭端口来阻断流量。

未知单播报文是指目的MAC地址未被设备学习到的单播报文。

目的当设备某个二层以太接口收到广播、组播或未知单播报文时，如果根据报文的目的MAC地址设备不能明确报文的出接口，设备会向同一VLAN内的其他二层以太接口转发这些报文，这样可能导致广播风暴，降低设备转发性能。

引入流量抑制和风暴控制特性，可以控制这三类报文流量，防范广播风暴。

9.2 流量抑制及风暴控制原理描述介绍流量抑制及风暴控制的实现原理。

9.2.1 流量抑制的基本原理流量抑制特性按以下形式来限制广播、组播以及未知单播报文产生的广播风暴。

l在接口视图下，入方向上，设备支持分别对三类报文按百分比、包速率和比特速率进行流量抑制。

设备监控接口下的三类报文速率并和配置的阈值相比较，当入口流量超过配置的阈值时，设备会丢弃超额的流量。

华为数据中心5800交换机01-08 组播路由管理(IPv6)配置

组播转发表项超时时间。
Incoming interface: Vlanif10
表项入接口。
Outgoing interfaces: 1
表项出接口列表。
Matched packets :954900 packets(9549000 bytes)
匹配该表项的报文数目。
Wrong interface :0 packets
8 组播路由管理（IPv6）配置
MLD并收到组加入报文就会为每个接口维护一个组加入信息表项，组表项形式如下所示：
<HUAWEI> display mld group Interface group report information Vlanif100(FE80::4E1F:CCFF:FE44:FFF0):
00001. (FC00::2, FFE3::1) Uptime: 00:00:14 Upstream Interface: Vlanif10 List of 1 downstream interface 1: Vlanif20
组播路由表项中主要字段含义如表8-4所示：
表 8-4 组播路由表项主要字段含义
MLD组表项是由用户主机发送的MLD加入报文触发创建的，用于维护组加入信息并通知组播路由协议（通常所说的为PIM协议）创建相应(*,G)表项。只要设备接口使能了
文档版本 07 (2017-09-12)
华为专有和保密信息
503
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机配置指南-IP 组播
Total 1 MLD Group reported Group Address:FF1E::1 Last Reporter:FE80::1 Uptime:00:13:20 Expires:00:04:00

华为数据中心5800交换机01-09 Packet trace配置

l 根据报文的关键字段配置探测报文模板，该方式只支持TCP、UDP和ICMP类型的报文。配置TCP、UDP探测报文模板的关键字段：源MAC、目的MAC、源IP、目的IP、源端口号、目的端口。配置ICMP探测报文模板的关键字段：源MAC、目的 MAC、源IP、目的IP、ICMP类型、ICMP代码。
操作步骤
步骤1 配置探测报文模板。
# 在Switch上配置Packet trace功能使用的探测报文模板。该模板使用直接指定探测报文内容的命令来配置，探测报文的内容通过报文获取工具得到。
<HUAWEI> system-view [~HUAWEI] sysname Switch [*HUAWEI] commit [~Switch] detector packet-trace profile test packet 286ed489a46300005e00010b0800450000343ba44000fd0677fd0a87002c0a87b4e81a6805d67407d364ebadef9a50189f9 6d84300000a8001aec0cf84cf6b7f6d84 [*Switch] commit
9.1 Packet trace 简介
概述
在企业网络中，存在各种各样的业务，网络中也常有丢包现象，报文在交换机转发过程中被丢弃的原因一般难于定位。交换机提供的Packet trace功能可以很好地帮助用户了解报文在交换机内部转发过程中被丢弃的原因，从而协助技术支持人员定位问题。另外Packet trace功能还可以帮助用户了解报文在交换机内部转发过程中经过的转发表项和HASH选路的结果。
Packet trace主要用于定位转发丢包原因。对于拥塞导致的丢包，由于存在突发性、随机性，无法通过该功能准确定位。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

9端口安全配置关于本章9.1 简介介绍端口安全的定义和目的。

9.2 原理描述通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作，说明端口安全的实现原理。

9.3 应用场景介绍端口安全常见的应用场景。

9.4 配置注意事项介绍端口安全的配置注意事项。

9.5 缺省配置介绍端口安全的缺省配置。

9.6 配置端口安全端口安全（Port Security）功能将设备接口学习到的MAC地址变为安全MAC地址（包括安全动态MAC和Sticky MAC），可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信，从而增强设备安全性。

9.7 配置举例结合组网需求、配置思路来了解实际网络中端口安全的应用场景，并提供配置文件。

9.1 简介介绍端口安全的定义和目的。

端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC和Sticky MAC），阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

9.2 原理描述通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作，说明端口安全的实现原理。

安全MAC地址的分类安全MAC地址分为：安全动态MAC与Sticky MAC。

表9-1安全MAC地址的说明l接口使能端口安全功能时，接口上之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址将变为安全动态MAC地址。

l接口使能Sticky MAC功能时，接口上的安全动态MAC地址表项将转化为Sticky MAC地址，之后学习到的MAC地址也变为Sticky MAC地址。

l接口去使能端口安全功能时，接口上的安全动态MAC地址将被删除，重新学习动态MAC地址。

l接口去使能Sticky MAC功能时，接口上的Sticky MAC地址，会转换为安全动态MAC地址。

超过安全MAC地址限制数后的动作接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。

缺省情况下，保护动作是丢弃该报文并上报告警。

表9-2端口安全的保护动作9.3 应用场景介绍端口安全常见的应用场景。

端口安全经常使用在以下几种场景：l应用在接入层设备，通过配置端口安全可以防止仿冒用户从其他端口攻击。

l应用在汇聚层设备，通过配置端口安全可以控制接入用户的数量。

接入层使用场景如图9-1，用户PC1和PC3通过IP Phone接入SwitchA设备，用户PC2直接接入设备SwitchA，为了保证接入设备安全性，防止非法用户攻击，可以在接入设备SwitchA的接口上配置端口安全功能。

图9-1端口安全使用在接入设备的组网场景PC1PC2PC3l如果接入用户变动比较频繁，可以通过端口安全把动态MAC地址转换为安全动态MAC地址。

这样可以在用户变动时，及时清除绑定的MAC地址表项。

l如果接入用户变动较少，可以通过端口安全把动态MAC地址转换为Sticky MAC地址。

这样在保存配置重启后，绑定的MAC地址表项不会丢失。

汇聚层使用场景如图9-2，树状组网中，多个用户通过SwitchA和汇聚层设备Switch进行通信。

为了保证汇聚设备的安全性，控制接入用户的数量，可以在汇聚设备配置端口安全功能，同时指定安全MAC地址的限制数。

图9-2端口安全使用在汇聚层设备的组网场景9.4 配置注意事项介绍端口安全的配置注意事项。

涉及网元无需其他网元配合。

License支持端口安全特性是交换机的基本特性，无需获得License许可即可应用此功能。

版本支持表9-3支持本特性的最低软件版本特性依赖和限制l端口安全功能与MUX VLAN功能互斥，不能同时配置。

l不能在同一接口下配置端口安全功能与MAC地址学习限制功能。

9.5 缺省配置介绍端口安全的缺省配置。

表9-4端口安全的缺省配置9.6 配置端口安全端口安全（Port Security）功能将设备接口学习到的MAC地址变为安全MAC地址（包括安全动态MAC和Sticky MAC），可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信，从而增强设备安全性。

前置任务在配置端口安全之前，需完成以下任务：l关闭基于接口的MAC地址学习限制功能。

l关闭配置MUX VLAN功能。

l关闭DHCP Snooping的MAC安全功能。

9.6.1 配置安全MAC功能背景信息在对接入用户的安全性要求较高的网络中，可以配置端口安全功能，将接口学习到的MAC地址转换为安全动态MAC或Sticky MAC，接口学习的最大MAC数量达到上限后不再学习新的MAC地址，只允许这些MAC地址和设备通信。

这样可以阻止其他非信任的MAC主机通过本接口和其他主机通信，提高网络的安全性。

缺省情况下，安全动态MAC表项不会被老化，但可以通过在接口上配置安全动态MAC老化时间使其变为可以老化，设备重启后安全动态MAC地址会丢失，需要重新学习。

操作步骤步骤1执行命令system-view，进入系统视图。

步骤2执行命令interface interface-type interface-number，进入接口视图。

步骤3执行命令port-security enable，使能端口安全功能。

缺省情况下，未使能端口安全功能。

步骤4（可选）执行命令port-security maximum max-number，配置端口安全动态MAC学习限制数量。

缺省情况下，接口学习的安全MAC地址限制数量为1。

步骤5（可选）执行命令port-security protect-action { protect | restrict | error-down }，配置端口安全保护动作。

缺省情况下，端口安全保护动作为restrict。

端口安全保护动作有以下三种：l protect：当学习到的MAC地址数达到接口限制数时，接口丢弃源地址在MAC表以外的报文。

l restrict：当学习到的MAC地址数超过接口限制数时，接口丢弃源地址在MAC表以外的报文，并同时发出告警。

l error-down：当学习到的MAC地址数超过接口限制数时，将接口Error-Down，同时发出告警。

步骤6（可选）执行命令port-security aging-time time [ type { absolute | inactivity } ]，配置接口学习到的安全动态MAC地址的老化时间。

缺省情况下，接口学习的安全动态MAC地址不老化。

步骤7执行命令commit，提交配置。

----结束后续处理配置端口安全保护动作为error-down后，如果接口安全MAC地址学习数量达到上限，接口将会被Error-Down。

Error-Down是指设备检测到故障后将接口状态设置为ERRORDOWN状态，此时接口不能收发报文，接口指示灯为常灭。

可以通过display error-down recovery命令可以查看设备上所有被Error-Down的接口信息。

接口被Error-Down时，建议先排除引起接口Error-Down的原因。

有以下两种方式可以恢复接口状态：l手动恢复（Error-Down发生后）当处于Error-Down状态的接口数量较少时，可在该接口视图下依次执行命令shutdown和undo shutdown，或者执行命令restart，重启接口。

l自动恢复（Error-Down发生前）如果处于Error-Down状态的接口数量较多，逐一手动恢复接口状态将产生大量重复工作，且可能出现部分接口配置遗漏。

为避免这一问题，用户可在系统视图下执行命令error-down auto-recovery cause portsec-reachedlimit interval interval-value使能接口状态自动恢复为Up的功能，并设置接口自动恢复为Up的延时时间。

可以通过display error-down recovery查看接口状态自动恢复信息。

此方式对已经处于Error-Down状态的接口不生效，只对配置该命令后进入Error-Down状态的接口生效。

9.6.2 配置Sticky MAC功能背景信息在对接入用户的安全性要求较高的网络中，可以配置端口安全功能，将接口学习到的MAC地址转换为安全动态MAC或Sticky MAC，接口学习的最大MAC数量达到上限后不再学习新的MAC地址，只允许这些MAC地址和设备通信。