45-Syslog配置 MyPower S4330 V1.0 系列交换机配置手册

迈普MyＰｏwer-S系列以太网交换机配置手册————————————————————————————————作者：————————————————————————————————日期:ﻩ目录第1章交换机管理ﻩ错误!未定义书签。

１.1 管理方式.......................................................... 错误!未定义书签。

1.1.1 带外管理............................................................. 错误!未定义书签。

1.１.2 带内管理 ........................................................... 错误!未定义书签。

1.２ＣLI界面ﻩ错误!未定义书签。

1.2.1 配置模式介绍 ..................................................... 错误!未定义书签。

1.2.2 配置语法............................................................. 错误!未定义书签。

1.2.3 支持快捷键ﻩ错误!未定义书签。

１.2.４帮助功能.......................................................... 错误!未定义书签。

１．2.5 对输入的检查 ................................................. 错误!未定义书签。

1.2.6 支持不完全匹配.................................................. 错误!未定义书签。

第2章交换机基本配置ﻩ错误!未定义书签。

2.1 基本配置ﻩ错误!未定义书签。

２.2 远程管理ﻩ错误!未定义书签。

ACL配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：******************.com网址：邮编：610041版本：2011年 8月v1.0版目录第1章 ACL配置 (4)1.1 ACL简介 (4)1.1.1 ACL的匹配顺序 (4)1.1.2 支持的ACL (5)1.2 配置时间段 (6)1.2.1 配置过程 (6)1.2.2 配置举例 (7)1.3 定义基本ACL (8)1.3.1 配置过程 (8)1.3.2 配置举例 (9)1.4 定义扩展ACL (9)1.4.1 配置过程 (9)1.4.2 配置举例 (11)1.5 定义二层ACL (12)1.5.1 配置二层ACL (12)1.5.2 配置举例 (13)1.6 激活ACL (13)1.6.1 激活ACL (13)1.6.2 配置举例 (14)1.7 ACL的显示和调试 (15)第1章ACL配置1.1 ACL简介ACL（Access Control List，访问控制列表）主要用来实现流识别功能。

网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。

在识别出特定的对象之后，才能根据预先设定的策略允许或禁止相应的数据包通过。

ACL根据一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。

交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。

由ACL定义的数据包匹配规则，还可以被其它需要对流进行区分的场合引用，如QoS 中流分类规则的定义。

根据应用目的，可将ACL 分为下面几种：●基本ACL：只根据源IP地址制定规则。

MSTP配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章 MSTP配置 (1)1.1 MSTP简介 (1)1.1.1 网桥协议数据单元 (1)1.1.2 MSTP中的基本概念 (2)1.1.3 端口的角色 (4)1.2 MSTP的选举计算 (8)1.2.1 MSTP协议报文 (8)1.2.2 CIST优先级向量 (10)1.2.3 MSTI优先级向量 (11)1.2.4 MSTP选举过程 (11)1.2.5 拓扑稳定状态 (16)1.2.6 拓扑变化 (16)1.2.7 MST与SST的兼容性 (17)1.3 配置MSTP (18)1.3.1 MSTP配置任务简介 (18)1.3.2 启动MSTP (18)1.3.3 配置MSTP的定时器参数值 (19)1.3.4 配置MSTP的配置标识符 (20)1.3.5 配置MSTP网桥优先级 (20)1.3.6 配置端口的边界端口状态 (21)1.3.7 配置端口的链路类型 (21)1.3.8 配置端口的路径花费 (22)1.3.9 配置端口的优先级 (22)1.3.10 配置端口的根保护功能 (23)1.3.11 配置端口摘要侦听功能 (23)1.3.12 配置端口mcheck功能 (24)1.3.13 配置MSTP实例的是否使能 (24)1.3.14 MSTP显示及维护 (25)1.3.15 MSTP配置举例 (25)第1章MSTP配置1.1 MSTP简介STP（Spanning Tree Protocol，生成树协议）不能使端口状态快速迁移，即使是在点对点链路或边缘端口，也必须等待2倍的Forward delay的时间延迟，端口才能迁移到转发状态。

RSTP配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章 RSTP配置 (1)1.1 STP简介 (1)1.1.1 STP实际应用 (1)1.1.2 网桥协议数据单元 (1)1.1.3 STP的基本概念 (1)1.1.4 端口状态 (2)1.2 生成树的计算 (3)1.2.1 生成树协议报文 (3)1.2.2 根交换机的选择 (5)1.2.3 网桥的根端口的选择 (5)1.2.4 LAN的指定网桥的选择 (6)1.2.5 指定端口的选择 (6)1.2.6 重新配置 (6)1.2.7 端口状态的改变 (7)1.2.8 拓扑变化的通知 (7)1.3 RSTP简介 (7)1.4 配置RSTP (8)1.4.1 RSTP配置任务简介 (8)1.4.2 启动RSTP (8)1.4.3 设置交换机的桥优先级 (9)1.4.4 配置时间参数 (9)1.4.5 配置端口的路径开销 (10)1.4.6 配置端口的优先级 (11)1.4.7 配置mcheck功能 (11)1.4.8 配置点对点链路 (11)1.4.9 配置端口为边界端口 (12)1.4.10 设置端口发送BPDU的速率 (12)1.4.11 配置端口的根保护功能 (13)1.4.12 RSTP显示及维护 (13)1.4.13 RSTP配置举例 (14)第1章RSTP配置1.1 STP简介1.1.1 STP实际应用STP（Spanning Tree Protocol，生成树协议）是IEEE 802.1D网桥协议的一部分，它的主要功能是从拓扑中清除第2层环路。

OSPF配置命令本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年8月v1.0版目录第1章OSPF配置 (4)1.1 OSPF 简介 (4)1.1.1 OSPF配置列表 (5)1.2.1 OSPF基本配置 (6)1.2.2 OSPF相关参数配置 (6)1.2.3 OSPF接口相关配置 (6)1.2.4 OSPF区域相关配置 (8)1.2.5 配置举例 (10)第1章OSPF配置1.1 OSPF 简介OSPF是Open Shortest Path First（即“开放最短路由优先协议”）的缩写。

它是IETF 组织开发的一个基于链路状态和最短路径优先技术的内部路由协议。

在IP网络上，它通过收集和传递自治系统的链路状态来动态地发现并传播路由；OSPF协议支持基于接口的报文验证以保证路由计算的安全性；OSPF协议使用IP组播方式发送和接收报文。

每个支持OSPF协议的路由器都维护着一份描述整个自治系统拓扑结构的数据库——这一数据库是收集所有路由器的链路状态信息（LAS）而得到的。

每一台路由器总是将描述本地状态的信息广播到整个自治系统中去。

在各类可以多址访问的网络中，如果存在两台或两台以上的路由器，该网络上要选举出“指定路由器”(DR)和“备份指定路由器”(BDR)。

指定路由器负责将网络的链路状态信息广播出去。

引入这一概念，有助于减少在多址访问网络上各路由器之间邻接关系的数量。

OSPF协议允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽。

OSPF使用4类不同的路由，按优先顺序来说分别是：区域内路由区域间路由第一类外部路由第二类外部路由区域内和区域间路由描述的是自治系统内部的网络结构，而外部路由则描述了应该如何选择到自治系统以外目的地的路由。

BGP配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年8月v1.0版目录第1章BGP配置命令 (4)1.1 BGP简介 (4)1.2 BGP配置 (6)1.2.1 BGP配置任务列表 (6)1.2.2 BGP基本配置 (6)1.2.3 BGP对等体配置 (7)1.2.4 bgp参数配置 (7)1.2.5 定义AS路径配置 (8)1.2.6 BGP的监控和维护 (9)1.2.7 配置举例 (10)第1章BGP配置命令1.1 BGP简介BGP（Border Gateway Protocol，边界网关协议）是一种自治系统间的动态路由协议，它的基本功能是在自治系统间自动交换无环路的路由信息，通过交换带有自治系统（AS）路径属性的网路层可达信息，来构造自治系统的拓扑结构。

BGP规范文档早期发布的几个版本分别是RFC1105（BGP-1）、RFC1163（BGP-2）和RFC1267（BGP-3），普遍使用的版本是RFC1771（BGP- 4），最新版本为RFC4271（BGP- 4）。

它适用于分布式结构，并支持无类别域间路由CIDR（Classless InterDomain Routing）。

利用BGP还可以实施用户配置的策略。

BGP-4正迅速成为Internet外部路由协议事实上的标准。

BGP多用于ISP之间。

BGP特性描述如下：●BGP是一种外部路由协议，与OSPF、RIP等内部路由协议不同，其着眼点不在于发现和计算路由，而在于控制路由的传播和选择最好的路由。

●通过在BGP路由中携带AS路径信息，可以彻底解决路由循环问题。

端口利用率告警本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章设备利用率告警配置 (1)1.1 设备利用率告警功能简介 (1)1.2 配置设备利用率告警 (1)1.2.1 配置端口利用率告警 (1)1.2.2 配置CPU利用率告警 (2)1.2.3 设备利用率告警功能的显示和调试 (2)第1章设备利用率告警配置1.1 设备利用率告警功能简介设备利用率告警功能用于监控设备端口带宽、CPU资源占用情况，并在出现拥塞时产生告警通知，以便管理员及时了解网络和设备运行的情况。

端口利用率告警功能可以设置两个触发告警阈值，详细描述如下：●exceed：当端口带宽利用率超过“exceed”值时，将触发拥塞告警。

●normal：当端口带宽利用率降至“normal”值以下时，将触发恢复的告警。

CPU利用率告警功能也可以设置两个触发告警阈值，详细描述如下：●busy：当CPU利用率超过“busy”值时，将触发告警，表示CPU忙碌。

●unbusy：当CPU利用率低于“unbusy”值时，将触发告警，表示CPU空闲。

需要注意的是，所有的告警都将输出到Syslog里。

1.2 配置设备利用率告警1.2.1 配置端口利用率告警使用下面的命令来配置端口利用率告警功能。

缺省情况下，全局和端口模式下的端口的利用率告警为使能状态，“exceed”阈值为850M，“normal”阈值为600M。

表 1-1配置端口利用率告警操作命令备注进入全局配置模式configure terminal -全局模式下(禁止)启动端口利(no)alarm all-packets 必选用率告警功能进入端口配置模式interface ethernet interface-num-端口模式下(禁止)启动端口利用率告警功能(no)alarm all-packets 必选配置告警阈值alarm all-packets threshold {exceed thresold | normalthresold }可选1.2.2 配置CPU利用率告警使用下面的命令来配置CPU利用率告警。

LACP配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：******************.com网址：邮编：610041版本：2011年 8月v1.0版目录第1章配置端口LACP汇聚 (4)1.1 端口LACP汇聚简介 (4)1.1.1 端口LACP协议模式 (4)1.1.2 静态汇聚 (5)1.1.3 动态LACP汇聚 (5)1.1.4 负载均衡策略 (5)1.2 配置LACP (6)1.2.1 配置静态汇聚 (6)1.2.2 配置动态LACP汇聚 (6)1.2.3 配置负载均衡策略 (6)1.2.4 配置系统的优先级 (7)1.2.5 配置端口的LACP优先级 (7)1.2.6 LACP的显示和维护 (7)1.3 LACP配置举例 (8)1.3.1 组网需求 (8)1.3.2 组网图 (8)1.3.3 配置步骤 (8)第1章配置端口LACP汇聚1.1 端口LACP汇聚简介端口汇聚是将多个物理端口聚合在一起形成1个汇聚组，以实现流量的负载均衡以及链路的冗余备份。

同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP、QoS、VLAN、端口属性等相关配置。

●STP配置包括：端口的STP使能/关闭、与端口相连的链路属性（如点对点或非点对点）、STP优先级、STP开销、STP标准报文格式、报文发送速率限制、是否根保护等。

●QoS配置包括：流量限速、优先级标记、缺省的802.1p优先级、带宽保证、拥塞避免、流重定向、流量统计等。

●VLAN配置包括：端口上允许通过的VLAN、端口缺省VLAN ID。

●端口属性配置包括：要求端口的速率、双工模式（必须是全双工）、链路类型（即Trunk、Hybrid、Access类型）一致。

MAC地址认证配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章配置Mac地址认证 (1)1.1 Mac地址认证简介 (1)1.2 Mac地址认证配置 (1)1.2.1 AAA相关配置 (1)1.2.2 功能开启配置 (2)1.2.3 下线检测配置 (3)1.2.4 静默定时器配置 (3)1.2.5 Mac-vlan功能配置 (3)1.2.6 Guest-vlan功能配置 (4)1.2.7 用户特性配置 (4)1.2.8 配置实例 (5)第1章配置Mac地址认证1.1 Mac地址认证简介mac地址认证功能是基于端口和mac地址对用户进行访问网络权限进行控制的功能模块。

刚开始时，交换机的mac地址表不存在用户的mac地址表项，用户的报文首次到达交换机会触发mac地址认证，在认证过程中，不需要用户的参与（比如输入相关用户名和密码），认证通过后用户的mac地址会加进交换机的mac地址表，以后该用户的流量就可以直接根据mac地址表项内容进行转发。

认证时支持两种认证方式，在配置AAA域的时候选择方案配置：通过radius服务器进行认证；通过本地用户数据库进行认证；1.2 Mac地址认证配置1.2.1 AAA相关配置mac认证需要配置使用哪个AAA认证域进行认证。

而进行radius服务器认证或者本地用户数据库认证的选择在AAA认证域进行。

如果没有配置，则使用系统配置的默认认证域进行。

当两者都没有配置，则无法进行认证。

由于没有用户参与，mac地址认证在认证时需要构造相关的用户名称和密码，现在存在两种方法：a)mac地址方式，在此种方式下，使用mac地址作为认证的用户名称和密码，固定为12字符长度的字符串，比如mac地址为00:0a:5a:00:03:02，则用户名称和密码为“000a5a000302”；b)固定用户名称和密码，在此种方式下，使用用户配置的固定用户名称和密码；默认情况下为mac地址方式。

DHCP配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章DHCP配置 (5)1.1 DHCP简介 (5)1.2 DHCP 的IP地址分配 (5)1.2.1 IP地址分配策略 (5)1.2.2 IP地址动态获取过程 (1)1.2.3 DHCP 报文结构 (3)1.3 DHCP服务器配置 (4)1.3.1 DHCP服务器的应用环境 (4)1.3.2 DHCP地址池 (4)1.3.3 配置地址池 (5)1.3.4 配置DHCP服务器分配DNS服务器地址 (6)1.3.5 配置DHCP服务器分配WINS服务器地址 (7)1.3.6 配置DHCP自定义选项 (7)1.3.7 配置DHCP服务器支持option 60功能 (8)1.3.8 使能DHCP server功能 (8)1.3.9 DHCP服务器的显示和维护 (8)1.4 DHCP中继配置 (9)1.4.1 DHCP中继的应用环境 (9)1.4.2 DHCP中继的基本原理 (9)1.4.3 DHCP中继对DHCP报文的处理模式 (10)1.4.4 配置DHCP服务器组 (11)1.4.5 配置DHCP中继支持option 60功能 (11)1.4.6 使能DHCP中继功能 (12)1.4.7 DHCP中继的显示和维护 (12)1.5 DHCP客户端配置 (13)1.5.1 DHCP客户端简介 (13)1.5.2 配置设备使用DHCP方式获取IP地址 (13)1.6 BOOTP客户端配置 (13)1.6.1 BOOTP客户端简介 (13)1.6.2 配置设备使用BOOTP方式获取IP地址 (14)第2章DHCP Snooping配置 (15)2.1 DHCP Snooping简介 (15)2.2 配置DHCP Snooping (15)2.3 配置端口link down时的动作 (16)2.4 DHCP Snooping的安全特性 (16)2.4.1 限制端口连接DHCP Client的数量 (16)2.4.2 配置IP-Source-Guard (17)2.4.3 配置DHCP Snooping表项备份功能 (18)2.5 DHCP Snooping的配置显示及维护 (19)2.6 DHCP Snooping的配置实例 (20)第3章DHCP Option 82 (22)3.1 DHCP Option 82简介 (22)3.2 配置DHCP Option82 (22)3.2.1 使能DHCP Option82 (22)3.2.2 DHCP Option82显示和维护 (23)第1章DHCP配置1.1 DHCP简介随着网络规模的扩大和网络复杂度的提高，网络配置越来越复杂，经常出现计算机位置变化（如便携机或无线网络）和计算机数量超过可分配的IP地址的情况。

ARP配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章ARP配置 (1)1.1 ARP简介 (1)1.1.1 ARP的作用 (1)1.1.2 ARP的工作过程 (1)1.1.3 ARP的报文结构 (3)1.1.4 ARP表 (3)1.2 配置防止ARP欺骗 (4)1.2.1 ARP欺骗简介 (4)1.2.2 arp anti-spoofing防护机制 (5)1.2.3 配置anti-spoofing (6)1.2.4 配置防网关欺骗功能 (6)1.2.5 配置ARP报文源MAC一致性检查 (7)1.2.6 Anti-spoofing功能的默认配置 (7)1.2.7 anti-spoofing功能的显示和维护 (7)1.3 配置防止ARP泛洪攻击 (8)1.3.1 ARP flood攻击 (8)1.3.2 arp anti-flood防护机制 (8)1.3.3 配置arp anti-flood (9)1.3.4 ARP Anti-flood功能的显示和维护 (10)1.4 配置举例 (10)第1章ARP配置1.1 ARP简介1.1.1 ARP的作用ARP（Address Resolution Protocol，地址解析协议）是TCP/IP协议族中最重要的协议之一，主要用于IP地址到以太网MAC地址的解析。

当两台主机开始通信并只知道对方的IP地址时（IP地址只是主机在网络层中的地址），如果要将网络层中数据包传送给目的主机，必须知道目的主机的硬件地址（比如以太网络MAC地址），因此需要将IP地址解析为数据链路层地址。

LLDP配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章 LLDP配置 (1)1.1 LLDP协议简介 (1)1.2 配置LLDP (2)1.2.1 LLDP配置任务 (2)1.2.2 启动LLDP (2)1.2.3 调整LLDP的Hello-time (2)1.2.4 调整LLDP的Hold-time (3)1.2.5 配置端口LLDP报文收发模式 (3)1.2.6 LLDP的显示和调试 (3)1.2.7 配置实例 (4)第1章LLDP配置1.1 LLDP协议简介IEEE802.1AB-2005标准所定义的链路层发现协议（LLDP），是一个厂商无关的二层协议，它实现了交换机设备向网络中的其他邻居设备公告自身信息，同时接收邻居设备的公告信息，并将邻居设备的信息存储到LLDP标准MIB里。

方便用户能够清楚地查看交换机各端口下挂邻居设备的型号以及所连接的端口，便于局端维护和管理网络。

网管通过访问MIB可以了解到网络二层的连接情况。

1. LLDP的工作原理LLDP网络设备之间通过组播地址01-80-c2-00-00-0e来通告自己的信息。

为了保证邻居可以收到自己的通告，LLDP网络设备每次连续发送1个LLDP通告，而每次发送的间隔可以通过设定hello-time来更改。

在接收到邻居的通告后，LLDP设备将读出通告的内容并存储在LLDP邻居表中。

LLDP邻居表也具有老化机制，生存时间既是TTL值。

如果生存时间过后，交换机仍收不到邻居的LLDP通告，该邻居表项将被删除。

2. LLDP定时器Hello-time：每次发送LLDP报文的间隔时间。

端口安全配置`本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章端口安全 (2)1.1端口安全简介 (2)1.2端口安全配置 (3)1.3配置举例 (5)第1章端口安全1.1 端口安全简介端口安全一般应用在接入层。

它能够对通过设备访问网络的主机进行限制，允许某些特定的主机访问网络，而其他主机均不能访问网络。

端口安全功能将用户的MAC地址、IP地址、VLAN ID 以及PORT号四个元素灵活绑定，杜绝非法用户接入网络，从而保证网络数据的安全性，并保证合法用户能够得到足够的带宽。

用户可以通过三种规则来限制可以访问网络的主机，这三种规则分别是MAC规则，IP 规则和MAX规则，MAC规则又分为三种绑定方式：MAC绑定，MAC+IP绑定，MAC+VID 绑定；IP规则可以针对某一IP 也可以针对一系列IP；MAX 规则用以限定端口可以学习到的（按顺序）最多MAC 地址数目，这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。

在MAX规则下，又有sticky规则。

如果端口仅配置了拒绝规则，没有配置MAX 规则，其他报文均不能转发（通过允许规则检查的例外）。

Sticky规则的MAC地址，能够自动地学习，也能够手工地配置，并保存于运行的配置文件中。

如果设备重启前保存运行的配置文件，设备重启后，不需再去配置，这些MAC地址自动生效。

当端口下开启sticky功能，会将MAX规则学到的动态MAC地址添加成sticky 规则，并保存到运行的配置的文件中。

在MAX规则未学满的情况下，能允许继续学习新的MAC地址，形成sticky规则，直至sticky规则数达到MAX所配置的最大值。

QoS配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章QoS配置 (1)1.1 QoS简介 (1)1.1.1 流 (1)1.1.2 流分类 (1)1.1.3 优先级 (2)1.1.4 访问控制列表 (4)1.1.5 包过滤 (5)1.1.6 流量监管 (5)1.1.7 端口限速 (5)1.1.8 重定向 (5)1.1.9 优先级重标记 (5)1.1.10 为报文选择端口输出队列 (6)1.1.11 队列调度 (6)1.1.12 硬件优先级队列与802.1p优先级之间的映射关系 (7)1.1.13 流镜像 (7)1.1.14 基于流的流量统计 (7)1.1.15 报文拷贝到CPU (7)1.2 配置QoS (8)1.2.1 配置流量监管 (8)1.2.2 配置端口限速 (9)1.2.3 配置报文重定向 (9)1.2.4 配置报文拷贝到CPU (9)1.2.5 配置优先级标记 (10)1.2.6 配置队列调度 (10)1.2.7 配置802.1p与硬件优先级映射的映射关系 (11)1.2.8 配置DSCP与硬件优先级的映射关系 (11)1.2.9 配置流量统计 (12)1.2.10 配置流镜像 (13)1.2.11 QoS的显示和维护 (13)1.2.12 配置实例 (14)第1章QoS配置1.1 QoS简介在传统的分组网络中，所有报文都无区别的等同对待，每个交换机/路由器对所有的报文采用先入先出的策略（FIFO）处理，它尽最大的努力（Best-Effort）将报文送到目的地，但对报文传送的延时、延时抖动等传输性能不提供任何承诺和保证。

MLD Snooping配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年8月v1.0版目录第1章MLD Snooping (1)1.1 MLD Snooping简介 (1)1.2 配置MLD Snooping (1)1.2.1 MLD Snooping配置任务简介 (1)1.2.2 启动MLD Snooping (1)1.2.3 配置MLD Snooping定时器 (2)1.2.4 配置端口的fast-leave (2)1.2.5 配置端口最大学习组播数目 (3)1.2.6 配置MLD Snooping组播学习策略 (3)1.2.7 配置MLD-Snooping查询器 (4)1.2.8 配置路由端口 (4)1.2.9 配置端口的组播VLAN (5)1.2.10 MLD Snooping的显示和维护 (5)1.2.11 mld snooping配置举例 (6)第1章MLD Snooping1.1 MLD Snooping简介MLD（Multicast Listener Discovery）网络组管理协议是IPv6协议中的一部分，用来支持和管理主机与组播路由器之间的IP组播。

IP组播允许将IP数据报传输到一个构成了组播群组的主机集合，组播群组成员的关系是动态的，主机可以动态地加入或退出群组，从而使网络负载减到最小，在网上实现数据的有效传输。

MLD Snooping是用来监听主机与路由器之间的MLD报文，能根据组成员的加入、离开而动态地创建、维护和删除组播地址表，此时，组播帧依据各自的组播地址表进行转发。

QinQ配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章QinQ 配置 (1)1.1 QinQ 技术简介 (1)1.2 配置 QinQ (2)1.2.1 QinQ的实现方式 (2)1.2.2 VLAN Tag 的TPID 值可调功能.............................................. 错误！未定义书签。

1.2.3 开启静态QinQ (4)1.2.4 开启灵活QinQ........................................................................ 错误！未定义书签。

1.2.5 恢复QinQ的出厂默认配置 (5)1.2.6 配置举例 (5)第1章QinQ 配置1.1 QinQ 技术简介IEEE802.1Q 中定义的VLAN Tag 域中只有12 个比特位用于表示VLAN ID，所以设备最多可以支持4094 个VLAN。

在实际应用中，尤其是在城域网中，需要大量的VLAN 来隔离用户，4094 个VLAN 远远不能满足需求。

QinQ技术的产生正好解决了VLAN用户不够的问题。

如图1-1显示了QinQ报文的格式，2个VLAN Tag域将可以最多提供4094*4094个VLAN。

图 1-1. QinQ的报文格式除此以外，设备提供的端口QinQ 特性也是一种简单、灵活的二层VPN 技术，它通过在运营商网络边缘设备上为用户的私网报文封装外层VLAN Tag，使报文携带两层VLAN Tag穿越运营商的骨干网络（公网）。

端口镜像本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章端口镜像配置 (1)1.1 镜像简介 (1)1.1.1 端口镜像 (1)1.1.2 流镜像 (1)1.1.3 端口镜像 (1)1.2 配置端口镜像 (2)1.3 配置流镜像 (3)第1章端口镜像配置1.1 镜像简介镜像一般是将符合指定规则的报文复制到镜像目的端口。

一般镜像目的端口会接入数据检测设备，用户利用这些设备对镜像过来的报文进行分析，进行网络监控和故障排除等。

图1-1 镜像示意图1.1.1 端口镜像端口镜像，指将指定端口接收或者发送的报文复制到镜像目的端口。

1.1.2 流镜像流镜像就是将匹配ACL规则的业务流复制到指定的目的端口，用于报文分析和监视。

在配置流镜像前用户需要先定义符合需求的ACL规则，设备会引用这些ACL规则进行流识别。

1.1.3 端口镜像交换机支持一对一和多对一的镜像，即可以支持多个镜像源。

镜像源（mirrored）：镜像源可以是端口或者CPU接收或者发送的报文。

镜像目的端口（mirror）：对于交换机来说，镜像的目的端口只能是一个。

如果配置了多个镜像的目的端口，只有最后配置的那个镜像目的端口生效。

注意：配置为镜像目的端口的端口不能作为普通业务口使用。

1.2 配置端口镜像1.配置前的准备●确定需要进行流镜像配置的端口和被镜像流的方向●确定了镜像目的端口2.在全局模式下配置端口镜像表 1-1配置端口镜像步骤命令操作步骤1 configure terminal 进入全局模式步骤2 mirror source-interface {ethernet device-num / slot-num / port-num |cpu {ingress | egress | both}配置镜像源步骤3 mirror destination-interface ethernet device-num / slot-num /port-num配置镜像目的端口步骤4 show mirror 验证操作步骤5 end 返回特权模式步骤6 copy running-config startup-config 保存修改的配置3.配置端口镜像举例【组网需求】将CPU，e 0/0/1，e 0/0/2接收和转发的报文镜像到e 0/0/4端口。