学海无涯 走一路学一路

配置端口保护功能，实现主备接口的备份，以保证业务的无中断传输。
网络中，主机一般使用缺省网关与外部网络联系，如果缺省网关出接口发生故障，主机与外部网络的通信将被中断，无法保证业务的正常传输，设备可靠性差。端口保护功能很好的解决了这个问题。在不改变组网的情况下，将设备上的两个接口组成一个端口保护组，实现主备接口的备份。当主用接口出现异常时，业务及时切换到备用接口上，以保证业务的无中断传输。

如图所示，SwitchA上配置的端口保护组中包含了一个主用接口GE1/0/1和一个备用接口GE1/0/2。在正常工作状态下，主用接口GE1/0/1承载业务数据传输。当主用接口发生故障，状态变为Down时，系统将自动切换业务到备用接口GE1/0/2上，以保证业务的正常传送，提高设备的可靠性。

当备用接口GE1/0/2承载业务后，如果主用接口GE1/0/1恢复正常，业务也不会回切到接口GE1/0/1，只有当备用接口GE1/0/2故障时，才会切换到主用接口GE1/0/1。

操作步骤
步骤1 执行命令system-view，进入系统视图。
步骤2 执行命令port protect-group protect-group-index，创建并进入端口保护组视图。
步骤3 执行命令protect-group member interface-type interface-number master，配置端口保护组中的主用接口。
步骤4 执行命令protect-group member interface-type interface-number standby，配置端口保护组中的备用接口。
一个端口保护组只能包含一个主用接口和一个备用接口。

注：
为提高端口保护组中接口的业务切换性能，确保主用接口链路发生故障时，系统可立即切换业务到备用接口，用户需要在主用接口和备用接口均执行命令
 carrier { up-hold-time | down-hold-time } interval，配置接口上报状态变化事件的延时时间均为0毫秒。

检查配置结果
执行命令display port protect-group { all | protect-group-index }，查看端口保护组
的成员接口信息。

端口隔离可实现同一VLAN内端口之间的隔离，为用户提供了更安全、更灵活的组网方案。
为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同一VLAN内端口之间的离。只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

端口隔离的方法和应用场景如图所示。PC1、PC2和PC3同属于VLAN10，将PC1与PC2对应的端口GE0/0/1和GE0/0/2加入端口隔离组后，PC1与PC2在VLAN10内不能互相访问，但是PC3与PC1之间可以互相访问，PC3与PC2之间也可以互相访问。

网络中可能存在如下情况时，还可以配置端口单向隔离功能。接入同一个设备不同接口的多台主机，若某台主机存在安全隐患，可能会向其他主机发送大量的广播报文。
可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
如图所示，假设PC4存在安全隐患，会向其他主机发送大量广播报文，可以仅在
PC4对应设备接口GE0/0/4上配置与GE0/0/5、GE0/0/6进行单向隔离，这样PC4发送的广播报文不能到达PC5、PC6，但从PC5、PC6发送的广播报文可以到达PC4。

操作步骤
● 配置端口隔离组
a. 执行命令system-view，进入系统视图。
b. （可选）执行命令port-isolate mode { l2 | all }，配置端口隔离模式。
缺省情况下，端口隔离模式为二层隔离三层互通。
c. 执行命令interface interface-type interface-number，进入以太网接口视图。
d. 执行命令port-isolate enable [ group group-id ]，使能端口隔离功能。
缺省情况下，未使能端口隔离功能。

注：
端口隔离只是针对同一设备上的端口隔离组成员，对于不同设备上的接口而言，无法实现该功能。
同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。如果不指定group-id参数时，默认加入的端口隔离组为1。

● 配置端口单向隔离
a. 执行命令system-view，进入系统视图。
b. （可选）执行命令port-isolate mode { l2 | all }，配置端口隔离模式。
缺省情况下，端口隔离模式为二层隔离三层互通。
c. 执行命令interface interface-type interface-number，进入以太网接口视图。
d. 执行命令am isolate { interface-type interface-number }&<1-8> ，配置端口单向隔离。
缺省情况下，未配置端口单向隔离。

注：
在接口A上配置与接口B之间单向隔离后，接口A发送的报文不能到达接口B，但从接口B发送的报文可以到达接口A。
同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离，可以通过配置接口之间的单向隔离来实现。

检查配置结果
任意视图下执行命令display port-isolate group { group-id | all }，查看接口隔离组
的配置。

后续处理
当您完成设配置端口隔离功能后，后续可以执行下列任务：
● 当您为了减少维护量和降低操作的复杂度，可以在系统视图下执行clear
cÑÊfiªñà†ì²ÑÊ port-isolate命令一键式清除设备上所有的端口隔离配置。
● 当您希望某个VLAN的端口隔离不生效，VLAN内的用户依旧可以互相访问，可以
在系统视图下执行port-isolate exclude vlan命令配置端口隔离功能生效时排除
VLAN。

配置端口隔离示例
组网需求
某企业研发办公室员工分为本公司员工、A合作方公司员工和B合作方公司员工。如图所示，PC1和PC2分别代表A、B合作方员工，PC3代表本公司研发员工，公司希望
在节省VLAN资源的前提下，实现本公司员工和A、B两个合作方公司之间可以相互通信，但是A、B两个合作方公司员工之间无法通信。

配置思路
采用如下的思路配置端口隔离：
1. 配置接口加入VLAN。
2. 设备缺省端口隔离为二层隔离三层互通，只需要将接口加入到隔离组中，就可以
实现隔离组内接口之间二层数据的隔离。

操作步骤
步骤1 配置端口隔离功能

# 配置GE0/0/1的端口隔离功能。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan 10
[Switch-vlan10] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] port-isolate enable group 3
[Switch-GigabitEthernet0/0/1] quit

# 配置GE0/0/2的端口隔离功能。
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2] port-isolate enable group 3
[Switch-GigabitEthernet0/0/2] quit

# 配置GE0/0/3加入VLAN10。
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 10
[Switch-GigabitEthernet0/0/3] quit

步骤2 验证配置结果
# PC1和PC2数据报文不能互通。
# PC1和PC3数据报文可以互通。
# PC2和PC3数据报文可以互通。

 

在网络管理和维护中，管理员可以将用户的流量发送到指定服务器进行分析、记录和处理。如果服务器不仅可以接收报文，还可以对外发送报文，将可能造成分析报文外传，降低了数据的安全性。通过配置单纤单向通信功能可以解决这一问题。

“单纤”是指光模块之间只通过一根光纤连接，“单向”是指报文只能由发送端向接收端发送报文，无法反向发送。该功能可以实现交换机只发送报文，无法接收报文；分析服务器只接收报文，无法发送报文，从而保证了分析服务器的数据安全。

光模块一般包含发送端（TX）和接收端（RX）。光接口对接时需要使用两根光纤将一端光模块TX端与另一端RX连接，一端光模块RX端与另一端TX连接。设备分别通过两根独立光纤进行报文的发送和接收。接口未使能单纤通信功能时，如果光接口之间仅连接一根光纤，设备之间将无法通信。配置单纤单向通信功能后，设备之间可实现单向通信功能。

如图所示，SwitchA通过接口XGE2/0/1与上游分流设备连接，上游分流设备分过来的流量从接口XGE2/0/1进入SwitchA。SwitchA上接口XGE2/0/2作为报文发送端，对端报文分析服务器的光接口作为报文接收端。接口XGE2/0/2上配置单纤单向通信功能后，仅需要通过一根光纤将接口XGE2/0/2的光模块发送端TX和报文分析服务器接口的光模块接收端RX相连后，接口XGE2/0/2就可以支持通过单根光纤向分析服务器发送报文，分析服务器也可以通过该光纤接收报文。由于分析服务器对外发送报文的TX端没有连接光纤，对外发送报文将无法实现，从而保证了分析服务器的数据安全。

注：只有设备的XGE光接口插入XGE光模块才支持配置单纤单向通信功能，且不需要License支持。对端设备接口要求工作在非自协商模式，且与本端设备配置的速率相同。

操作步骤
步骤1 执行命令system-view，进入系统视图。
步骤2 执行命令interface interface-type interface-number，进入接口视图。
步骤3 执行命令single-fiber enable，配置单纤单向通信。
缺省情况下，未使能单纤单向通信。

网络拥塞易引发丢包，流量控制是一种防止出现丢包现象的技术。配置流量控制功能后，如果本端设备发生拥塞，它将向对端设备发送消息，通知对端设备暂时降低发送报文的速率。对端设备在接收到该消息后，无论其接口工作速率高低，都将暂时停止向本端发送报文，避免拥塞。
如图所示，SwitchA通过SwitchB，与SwitchC进行通信。

流量控制功能实现机制如下：
1、SwitchA上接口GE1/0/1和SwitchB上接口GE1/0/2相连，自协商速率为
1000Mbit/s。接口之间以速率1000Mbit/s来发送数据报文。
2、由于SwitchB出接口Eth2/0/3最大传输速率仅为100Mbit/s，当转发报文出现拥塞时，SwitchB会缓冲接收的报文。缓冲报文达到一定值后，将超过了接口Eth2/0/3的转发能力，可能会出现报文丢包现象。
3、SwitchA上接口GE1/0/1和SwitchB上接口GE1/0/2均配置流量控制功能后，接口
GE1/0/2会向对端设备接口GE1/0/1发送Pause帧，通知GE1/0/1暂时停止发送报
文；GE1/0/1在接收到该Pause帧后会暂时停止向GE1/0/2发送报文，暂停时间长
短信息由Pause帧携带。当拥塞仍然存在时，GE1/0/2就会一直向GE1/0/1发送
Pause帧。
4、接口Eth2/0/3仍然继续发送先前缓存的数据报文，直至拥塞解除。
5、拥塞解除后，SwitchB不再向SwitchA发送Pause帧，SwitchA可以继续以速率
1000Mbit/s发送数据报文。

当对端设备不支持自协商功能时，可以在链路两端均配置流量控制功能；
当链路两端设备均支持自协商功能时，可以在链路两端均配置流量控制自协商功能，设备将根据网络拥塞情况，和对端相互协商是否打开流量控制开关。

注：
以太网接口支持配置流量控制和流量控制自协商功能，但不能同时配置。
流量控制或流量控制自协商功能都需要链路两端均配置才能生效。
当XGE光接口插入GE光电模块后支持配置该命令。
当GE光接口插入GE光电模块后支持配置该命令。S5700EI的ES5D000X2S00、ES5D000G4S01单板不支持配置流量控制自协商。
对于S5710-52C-EI和S5710-52C-PWR-EI，如果在其接口序号为0～23的接口作为流量入接口（或出接口）配置流量控制自协商功能，其接口序号为24～47的接口作为流量的出接口（或入接口）配置流量控制自协商功能，则流量控制自协商功能不生效。

操作步骤
● 配置流量控制
1、执行命令system-view，进入系统视图。
2、执行命令interface interface-type interface-number，进入接口视图。
3、执行命令flow-control，配置流量控制。
缺省情况下，未配置以太网接口的流量控制。

● 配置接口流量控制自协商功能
1、执行命令system-view，进入系统视图。
2、执行命令interface interface-type interface-number，进入接口视图。
3、执行命令negotiation auto，配置接口工作在自协商模式。
4、执行命令flow-control negotiation，配置接口的流量控制自协商功能。
缺省情况下，未配置以太网接口的流量控制自协商功能。

检查配置结果
任意视图下执行命令display interface [ interface-type [ interface-number ] ]，或接
口视图下执行命令display this interface，查看接口当前运行状态信息。具体可查看
回显信息中的Flow-control字段。

 

配置以太网接口速率可在自协商或者非自协商两种模式下进行：
● 在自协商模式下，接口速率是由链路两端的接口协商决定的。
– 如果协商的接口速率与实际要求不符，可通过手动配置接口速率来控制协商的结果。如图所示，服务器群（Server1、Server2和Server3）的网卡速率均为1000Mbit/s，服务器群与外部网络相连接口GE1/0/4的速率也为1000Mbit/s。如果在设备上不指定自协商速率，则接口GE1/0/1、GE1/0/2和GE1/0/3和各自连接的服务器速率协商的结果将都为1000Mbit/s，当服务器群同时以1000Mbit/s速率对外发送数据时，就可能会造成出接口GE1/0/4拥塞。
此时用户可配置接口GE1/0/1、GE1/0/2和GE1/0/3的自协商速率范围为100Mbit/s，来避免出接口的拥塞。

– 如果用户希望自协商模式下，速率协商还需要考虑网线状态时，可使用降速协商功能。
在自协商模式下，接口速率协商结果不会考虑连接网线的速率支持情况，仅取决于两端接口均支持的最大速率。这种情况下可能会导致两端接口速率协商一致，但是接口无法Up。例如，链路两端的GE接口可以支持的最大速率均为1000Mbit/s，如果连接的网线只能工作在100Mbit/s或者10Mbit/s，由于网线不支持1000Mbit/s，导致链路两端接口无法Up。用户配置自动降速协商功能后，即使链路两端的GE接口可以支持的最大速率均为1000Mbit/s，如果连接的网线只能工作在100Mbit/s或者10Mbit/s，链路两端的GE接口也可以降速协商速率到100Mbit/s或者10Mbit/s，以保证接口可以正常使用。
● 当对端设备不支持自协商功能时，用户可配置本端工作非自协商模式下，手动配
置接口速率，避免发生无法通讯的情况。

注：
配置以太网接口速率时，两端接口的接口速率要保持一致。
● 自协商模式下，仅FE电接口和GE电接口支持手动配置接口速率。
● 系统视图下配置降速协商后，接口只有同时满足如下两个条件，降速协商功能才可以生效：
接口类型是GE电接口或者插上GE光电模块的GE光口；GE接口工作类型是自协商模式。
● 非自协商模式下，仅FE电接口、GE电接口和GE光接口支持配置接口速率。
● 当GE光接口插入GE光电模块后，无论在自协商模式还是非自协商模式，均支持配置接口速率。

操作步骤:
● 自协商模式下，配置接口速率
– 自协商模式下，手动配置接口速率
1、执行命令system-view，进入系统视图。
2、执行命令interface interface-type interface-number，进入以太网接口
视图。
3、执行命令negotiation auto，配置以太网接口工作在自协商模式。
4、执行命令auto speed { 10 | 100 | 1000 }*，配置以太网接口的接口速率
（FE电接口不支持1000这个参数）。
缺省情况下，以太网接口的接口速率是和对端接口协商得到的。

– 自协商模式下，配置降速协商功能
1、执行命令system-view，进入系统视图。
2、执行命令set ethernet speed down-grade，使能GE接口自动降速协商
功能。
缺省情况下，系统未使能GE接口自动降速协商功能。

● 非自协商模式下，配置接口速率
1、执行命令system-view，进入系统视图。
2、执行命令interface interface-type interface-number，进入以太网接口视
图。
3、执行命令undo negotiation auto，配置以太网接口工作在非自协商模式。
4、执行命令speed { 10 | 100 | 1000 }，配置以太网接口的接口速率（FE电接口
不支持1000这个参数）。
缺省情况下，以太网接口的接口速率为接口支持的最大接口速率。

检查配置结果
任意视图下执行命令display interface [ interface-type [ interface-number ] ]，或接
口视图下执行命令display this interface，查看接口当前运行状态信息。具体可查看
回显信息中的Speed字段。

网络中存在大量具有不同传输能力的设备，如果链路两端的设备无法协商到合适的数据传输能力，双方就无法正常通信。自协商功能就是给互连设备提供一种交换信息的方式，使物理链路两端的设备通过交互信息自动选择同样的工作参数，以使其传输能力达到双方能够都能支持的最大值。
自协商的内容包括两端接口的双工模式和接口速率。一旦协商通过，链路两端的设备就锁定在同样的双工模式和接口速率。非自协商模式下，需要手动配置上述参数。

注：
● 电接口均支持此配置。
● 插上XGE光模块的XGE光口、插上40GE光模块的40GE光接口不支持配置自协商功能，且接口缺省只能工作在非自协商模式。
● 缺省情况下，GE接口的自协商功能不支持流量控制自协商，需要执行命令
flow-control  negotiation，配置流量控制自协商功能。
● 缺省情况下，GE光接口的自协商功能处于使能状态，但是速率自协商未使能，用户可执行命令speed auto-negotiation，配置接口速率自协商功能。
● 当XGE光接口插入GE光模块或GE光电模块后支持配置自协商功能，有的机型不支持
● 当GE光接口插入GE光模块或GE光电模块后支持配置自协商功能。
● 链路两端的协商模式必须保持一致。如果链路两端的协商模式不一致，例如本端配置为非自协商模式，对端配置为自协商模式，则本端接口可能为Up或Down状态，但对端一定为Down状态。链路之间仍无法正常通信。

操作步骤
步骤1 执行命令system-view，进入系统视图。
步骤2 执行命令interface interface-type interface-number，进入接口视图。
步骤3 执行命令negotiation auto，配置以太网接口工作在自协商模式。
缺省情况下，以太网接口工作在自协商模式。

检查配置结果
任意视图下执行命令display interface [ interface-type [ interface-number ] ]，或接
口视图下执行命令display this interface，查看接口当前运行状态信息。具体可查看
回显信息中的Negotiation字段。

逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接
口。逻辑接口需要承担业务传输。

Eth-Trunk接口
具有二层特性和三层特性的逻辑接口，把多个以太网接口在逻辑上等同于一个逻辑接口，比以太网接口具有更大的带宽和更高的可靠性。

Tunnel接口
具有三层特性的逻辑接口，隧道两端的设备利用Tunnel接口发送报文、识别并处理来自隧道的报文。

VLANIF接口
具有三层特性的逻辑接口，通过配置VLANIF接口的IP地址，实现Vlan间互访。

子接口
子接口就是在一个主接口上配置出来的虚拟接口，主要用于实现与多个远端进行通信。

Loopback接口
主要应用其接口状态永远是Up和可以配置32位子网掩码的特性。

NULL接口
因为任何送到该接口的网络数据报文都会被丢弃，主要用于路由过滤等特性。

注：物理接口也就是通常的端口

物理接口的编号规则如下：
非堆叠情况下，设备采用“槽位号/子卡号/接口序号”的编号规则来定义物理接口。
● 槽位号：表示当前交换机的槽位，取值为0。
● 子卡号：表示业务接口板支持的子卡号。
● 接口序号：表示设备上各接口的编排顺序号。

堆叠情况下，设备采用“堆叠号/子卡号/接口序号”的编号规则来定义物理接口。
● 堆叠号：表示堆叠ID，取值为0～8。
● 子卡号：表示业务接口板支持的子卡号。
● 接口序号：表示设备上各接口的编排顺序号。

特殊点的机型，如S5700-52X-LI-48CS-AC接口的编号规则如下

   探测器设备连接
动环监控主机后面板，有 4 路模拟量接口 M1～M4，输入模拟量信号 4～20mA 或 0～5V。
动环监控主机连接探测器接线时，动环监控主机、探测器、电源之间必须形成一个电流环路，接口 A 表示电流环路输入，接口 B 表示电流环路输出。常见接线方法如下：

无独立电源地探测器接线方法：

有独立电源地探测器接线方法：

报警输出连接
动环监控主机前面板，有 4 路报警输出（ALARM OUT）。
报警输出接直流、交流负载时，请参考以下连接方式连接：

报警输出端口连接外接电路需在 12V 电压、1A 电流限制范围内使用。为保证安全，外接交流负载时推荐使用外接继电器。