故障表现为:系统更新后使用打印设备时出现蓝屏报错界面,如下图:
解决方法:卸载更新包
一、确认系统版本
点击开始菜单-设置-系统-关于-查看系统版本号,如图:
二、点击开始菜单-设置-更新与安全-查看历史更新记录-卸载更新。
1909及以下版本系统:找到KB5000808-卸载后重新启动即可修复。
2004及以上版本系统:找到KB5000802-卸载后重新启动即可修复。
Windows10系统更新后蓝屏报错Win32kfull.sys的解决方法
华为中型园区无线网络组网方案及配置教程(下)
七、配置VLAN pool,用于作为业务VLAN
在WLAN无线网络环境中,由于无线用户接入方式和接入位置较为灵活,经常会出现用户在某个地点(例如办公区入口或体育场馆入口)集中接入到同一个无线网络中,然后漫游到其它AP覆盖的无线网络环境下。如果每个SSID中只有一个业务VLAN为无线用户提供无线网络服务,很容易产生接入用户数多的区域IP地址资源不足、而其它区域IP地址资源浪费的现象。通过将VLAN pool配置为无线用户的业务VLAN,实现一个SSID能够同时支持多个业务VLAN。新接入的用户会被动态地分配到VLAN pool中的各个VLAN中,减少了单个VLAN下的用户数,缩小了广播域;同时每个VLAN尽量均匀地分配IP地址,减少了IP地址的浪费。
新建VLAN pool,并将VLAN101和VLAN102加入其中,配置VLAN pool中的VLAN分配算法为“hash”。
[AC] vlan pool sta-pool
[AC-vlan-pool-sta-pool] vlan 101 102
[AC-vlan-pool-sta-pool] assignment hash
[AC-vlan-pool-sta-pool] quit
注:本例VLAN pool中的VLAN分配算法配置为“hash”。分配算法缺省情况下为“hash”,如果之前没有修改其缺省配置,可以不用执行命令assignment hash。
本例VLAN pool仅以加入VLAN101和VLAN102两个VLAN为例,实际可以配置多个VLAN加入VLAN pool,配置方法与VLAN101和VLAN102一致,也需要在AC上创建对应的VLANIF接口、配置IP地址和接口地址池。
八、配置AP上线
创建AP组,用于将相同配置的AP都加入同一AP组中。
[AC] wlan
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] quit
创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
[AC-wlan-view] regulatory-domain-profile name domain1
[AC-wlan-regulate-domain-domain1] country-code cn
[AC-wlan-regulate-domain-domain1] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit
配置AC的源接口。
[AC] capwap source interface vlanif 100
在AC上离线导入AP,并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360和60de-4474-9640,并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域,命名此AP为area_1。
注:ap auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap auth-mode mac-auth命令。
举例中使用的AP为AP5030DN,具有射频0和射频1两个射频。AP5030DN的射频0为2.4GHz射频,射频1为5GHz射频。
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
Warning: This operation may cause AP reset. Continue? [Y/N]:y
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-0] quit
[AC-wlan-view] ap-id 1 ap-mac 60de-4474-9640
[AC-wlan-ap-1] ap-name area_2
Warning: This operation may cause AP reset. Continue? [Y/N]:y
[AC-wlan-ap-1] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-1] quit
将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。
[AC-wlan-view] display ap all
Total AP information:
nor : normal [2]
Extra information:P : insufficient power supply
ID MAC Name Group IP Type State STA Uptime ExtraInfo
0 60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN nor 0 5M:2S –
1 60de-4474-9640 area_2 ap-group1 10.23.100.253 AP5030DN nor 0 5M:4S –
Total: 2
九、配置WLAN业务参数
创建名为“wlan-security”的安全模板,并配置安全策略。
举例中以配置WPA2+PSK+AES的安全策略为例,密码为“a1234567”,实际配置中请根据实际情况,配置符合实际要求的安全策略。
[AC-wlan-view] security-profile name wlan-security
[AC-wlan-sec-prof-wlan-security] security wpa2 psk pass-phrase a1234567 aes
[AC-wlan-sec-prof-wlan-security] quit
创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“wlan-net”。
[AC-wlan-view] ssid-profile name wlan-ssid
[AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net
[AC-wlan-ssid-prof-wlan-ssid] quit
创建名为“wlan-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。
[AC-wlan-view] vap-profile name wlan-vap
[AC-wlan-vap-prof-wlan-vap] forward-mode tunnel
[AC-wlan-vap-prof-wlan-vap] service-vlan vlan-pool sta-pool
[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security
[AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
[AC-wlan-vap-prof-wlan-vap] quit
配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-vap”的配置。
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio all
[AC-wlan-ap-group-ap-group1] quit
十、配置AP射频的信道和功率
注:射频的信道和功率自动调优功能默认开启,如果不关闭此功能则会导致手动配置不生效。举例中AP射频的信道和功率仅为示例,实际配置中请根据AP的国家码和网规结果进行配置。
关闭AP射频0的信道和功率自动调优功能,并配置AP射频0的信道和功率。
[AC-wlan-view] ap-id 0
[AC-wlan-ap-0] radio 0
[AC-wlan-radio-0/0] calibrate auto-channel-select disable
[AC-wlan-radio-0/0] calibrate auto-txpower-select disable
[AC-wlan-radio-0/0] channel 20mhz 6
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-radio-0/0] eirp 127
[AC-wlan-radio-0/0] quit
关闭AP射频1的信道和功率自动调优功能,并配置AP射频1的信道和功率。
[AC-wlan-ap-0] radio 1
[AC-wlan-radio-0/1] calibrate auto-channel-select disable
[AC-wlan-radio-0/1] calibrate auto-txpower-select disable
[AC-wlan-radio-0/1] channel 20mhz 149
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-radio-0/1] eirp 127
[AC-wlan-radio-0/1] quit
[AC-wlan-ap-0] quit
十一、验证配置结果
配置完成后,通过执行命令display vap ssid wlan-net查看如下信息,当“Status”项显示为“ON”时,表示AP对应的射频上的VAP已创建成功。
[AC-wlan-view] display vap ssid wlan-net
WID : WLAN ID
AP ID AP name RfID WID BSSID Status Auth type STA SSID
0 area_1 0 1 60DE-4476-E360 ON WPA2-PSK 0 wlan-net
0 area_1 1 1 60DE-4476-E370 ON WPA2-PSK 0 wlan-net
1 area_2 0 1 60DE-4474-9640 ON WPA2-PSK 0 wlan-net
1 area_2 1 1 60DE-4474-9650 ON WPA2-PSK 0 wlan-net
Total: 4
STA搜索到名为“wlan-net”的无线网络,输入密码“a1234567”并正常关联后,在AC上执行display station ssid wlan-net命令,可以查看到用户已经接入到无线网络“wlan-net”中。
[AC-wlan-view] display station ssid wlan-net
Rf/WLAN: Radio ID/WLAN ID
Rx/Tx: link receive rate/link transmit rate(Mbps)
STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx RSSI VLAN IP address
e019-1dc7-1e08 0 area_1 1/1 5G 11n 38/64 -68 102 10.23.102.254
14cf-9202-13dc 1 area_2 0/1 2.4G 11n 3/34 -68 101 10.23.101.254
Total: 2 2.4G: 1 5G: 1
[AC-wlan-view] quit
[AC] quit
十二、保存配置
通过命令行配置的数据是临时性的。如果不保存,交换机重启后这些配置都会丢失。
如果要使当前配置在交换机重启后仍然有效,需要将当前配置保存为配置文件。
以AC为例:
<AC>save
The current configuration will be written to flash:/vrpcfg.zip.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.
华为中型园区无线网络组网方案及配置教程(上)
网络架构如下图:
方案目标:
1、通过WLAN部署,提供名为“wlan-net”的无线网络方便用户随时随地接入。
2、接入层可以选用支持PoE功能的S5720LI系列交换机,下挂AP,为用户提供无线网络。
3、汇聚层可以选用S5720HI作为AC设备,在AC上对用户进行集中控制和管理。AC作为DHCP服务器,为AP分配管理IP地址。
4、园区出口可以选用AR系列路由器,Router作为DHCP服务器,为STA分配IP地址。
采用VLAN pool作为业务VLAN,由VLAN pool下VLAN对应的接口地址池为STA分配地址。
一、数据规划
在配置之前,需按照下面的表格准备好数据。
二、配置思路
为了方便您配置和维护WLAN的各个功能,针对WLAN的不同功能和特性设计了各种类型的模板,这些模板统称为WLAN模板。如图所示,各个WLAN模板间存在着相互引用的关系,通过了解这些引用关系,明确WLAN模板的配置思路,便于您顺利完成WLAN模块的配置。
快速配置中型园区WLAN网络
您可以按照下列流程配置各设备的数据,为园区提供无线网络,方便用户随时随地接入。
在AC上配置NAC模式为统一模式
注:S5720HI支持NAC统一模式和传统模式,相比传统模式,统一模式具有以下优势:采用模板化的配置,配置层次更加清晰,配置模型更易理解,且只有工作在统一模式时才支持作为AC。基于上述优势,推荐您使用统一模式。
查看当前以及重启后的NAC配置模式。
<HUAWEI>display authentication mode
Current authentication mode is common-mode
Next authentication mode is unified-mode
当前以及重启后的NAC配置模式:
unified-mode:统一模式
common-mode:传统模式
如果当前NAC模式为传统模式,则需要切换为统一模式,以保证用户能够正常接入网络。
<HUAWEI>system-view
[HUAWEI] authentication unified-mode
注:V200R007C00之前版本,传统模式与统一模式相互切换后,需要手动保存配置文件并重启设备,新的NAC模式才能生效。V200R007C00及之后版本,传统模式与统一模式相互切换后,设备会自动保存配置文件并重启。
三、配置AP与AC间能够传输CAPWAP报文
配置Switch_A的接口GE0/0/1~GE0/0/3都加入VLAN100(管理VLAN)。
<HUAWEI>system-view
[HUAWEI] sysname Switch_A
[Switch_A] vlan batch 100
[Switch_A] interface gigabitethernet 0/0/1
[Switch_A-GigabitEthernet0/0/1] port link-type trunk
[Switch_A-GigabitEthernet0/0/1] port trunk pvid vlan 100
[Switch_A-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[Switch_A-GigabitEthernet0/0/1] port-isolate enable
[Switch_A-GigabitEthernet0/0/1] quit
[Switch_A] interface gigabitethernet 0/0/2
[Switch_A-GigabitEthernet0/0/2] port link-type trunk
[Switch_A-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
[Switch_A-GigabitEthernet0/0/2] quit
[Switch_A] interface gigabitethernet 0/0/3
[Switch_A-GigabitEthernet0/0/3] port link-type trunk
[Switch_A-GigabitEthernet0/0/3] port trunk pvid vlan 100
[Switch_A-GigabitEthernet0/0/3] port trunk allow-pass vlan 100
[Switch_A-GigabitEthernet0/0/3] port-isolate enable
[Switch_A-GigabitEthernet0/0/3] quit
配置AC连接Switch_A的接口GE0/0/1加入VLAN100。
<HUAWEI>system-view
[HUAWEI] sysname AC
<HUAWEI>[AC] vlan batch 100
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[AC-GigabitEthernet0/0/1] quit
隧道转发模式下,用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络。这种场景下管理VLAN和业务VLAN不能配置为同一VLAN,且AP和AC之间只能放通管理VLAN,不能放通业务VLAN。
四、配置AC与上层网络设备互通
配置VLANIF101(业务VLAN)、VLANIF102(业务VLAN)和VLANIF200。
根据实际组网情况在AC上行口配置业务VLAN透传,和上行网络设备互通。
[AC] vlan batch 101 102 200
[AC] interface vlanif 101
[AC-Vlanif101] ip address 10.23.101.1 24
[AC-Vlanif101] quit
[AC] interface vlanif 102
[AC-Vlanif102] ip address 10.23.102.1 24
[AC-Vlanif102] quit
[AC] interface vlanif 200
[AC-Vlanif200] ip address 10.23.200.2 24
[AC-Vlanif200] quit
配置AC的缺省路由。
[AC] ip route-static 0.0.0.0 0.0.0.0 10.23.200.1
配置AC连接Router的接口GE0/0/2加入VLAN200。
[AC] interface gigabitethernet 0/0/2
[AC-GigabitEthernet0/0/2] port link-type trunk
[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 200
[AC-GigabitEthernet0/0/2] quit
五、配置AC给AP分配IP地址,Router给STA分配IP地址
在AC上配置基于接口的DHCP服务器为AP分配IP地址,同时配置AC作为DHCP中继,由AC连接的路由器为STA分配IP地址。
配置AC通过接口地址池为AP分配IP地址。
[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit
配置AC作为DHCP中继并使能DHCP中继探测用户表项功能。
[AC] interface vlanif 101
[AC-Vlanif101] dhcp select relay
[AC-Vlanif101] dhcp relay server-ip 10.23.200.1
[AC-Vlanif101] quit
[AC] interface vlanif 102
[AC-Vlanif102] dhcp select relay
[AC-Vlanif102] dhcp relay server-ip 10.23.200.1
[AC-Vlanif102] quit
配置Router作为DHCP服务器为STA分配IP地址。
<HUAWEI>system-view
[Huawei] sysname Router
[Router] dhcp enable
[Router] ip pool sta-ip-pool1
[Router-ip-pool-sta-ip-pool1] gateway-list 10.23.101.1
[Router-ip-pool-sta-ip-pool1] network 10.23.101.0 mask 24
[Router-ip-pool-sta-ip-pool1] quit
[Router] ip pool sta-ip-pool2
[Router-ip-pool-sta-ip-pool2] gateway-list 10.23.102.1
[Router-ip-pool-sta-ip-pool2] network 10.23.102.0 mask 24
[Router-ip-pool-sta-ip-pool2] quit
[Router] vlan batch 200
[Router] interface vlanif 200
[Router-Vlanif200] ip address 10.23.200.1 24
[Router-Vlanif200] dhcp select global
[Router-Vlanif200] quit
[Router] interface gigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0] port link-type trunk
[Router-GigabitEthernet2/0/0] port trunk allow-pass vlan 200
[Router-GigabitEthernet2/0/0] quit
[Router] ip route-static 10.23.101.0 24 10.23.200.2
[Router] ip route-static 10.23.102.0 24 10.23.200.2
注:DNS服务器地址请根据实际需要配置。常用配置方法如下:
1、接口地址池场景,需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
2、全局地址池场景,需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。
华为S系列网管交换机常用DHCP操作指令
一、排除不参与自动分配的IP地址
以下场景中可以配置某些IP地址不参与自动分配:
某企业希望为员工办公电脑分配的IP地址范围是10.1.1.2~10.1.1.254(网关地址为10.1.1.1)。但是企业中部署的DNS服务器,为了保证稳定性,希望通过手工配置IP地址为10.1.1.10。这时,可以把10.1.1.10配置为不参与自动分配的IP地址。
基于全局方式下,假设某企业希望给部门A的客户端分配的IP地址范围是:10.1.1.2~10.1.1.100(网关地址为10.1.1.1);给部门B的客户端分配的IP地址范围是:10.1.1.101~10.1.1.254。设备做DHCP服务器,可以创建两个地址池pool1(为部门A的主机分配地址)和pool2(为部门B的主机分配地址),地址池网络掩码均为24;并且在pool1中排除10.1.1.101~10.1.1.254,在pool2中排除10.1.1.1~10.1.1.100。
在作为DHCP服务器的设备上,排除不参与自动分配的IP地址。例如:在网段地址为10.1.1.0、掩码长度为24的地址池中,配置IP地址10.1.1.100~10.1.1.200不参与自动分配。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 24
[HUAWEI-ip-pool-pool1] gateway-list 10.1.1.1
[HUAWEI-ip-pool-pool1] excluded-ip-address 10.1.1.100 10.1.1.200
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] dhcp enable
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24
[HUAWEI-Vlanif100] dhcp select interface
[HUAWEI-Vlanif100] dhcp server excluded-ip-address 10.1.1.100 10.1.1.200
二、修改租期
作为DHCP服务器和DHCP客户端的设备都可以修改租期。DHCP服务器在分配租期时,比较DHCP客户端期望的租期和DHCP服务器地址池中的租期,把较短的租期分配给DHCP客户端。
缺省情况下,设备作为DHCP服务器的缺省租期是1天;设备作为DHCP客户端时未配置缺省租期。
在作为DHCP服务器的设备上,将全局地址池pool1或接口地址池VLANIF100内的IP地址的租期修改为10天。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] lease day 10
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] dhcp server lease day 10
在作为DHCP客户端的设备上,修改租期为10天(即864000秒)。
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] dhcp client expected-lease 864000
三、为客户端分配固定的IP地址
网络规划时,有些重要设备为了保证稳定性,需要使用固定的IP地址。例如,企业内的DNS服务器、办公楼内的打印机等。该IP地址可以静态配置(通过命令ip address)也可以通过DHCP方式获取。下面介绍通过DHCP方式为客户端分配固定IP地址的方法。
在作为DHCP服务器的设备上,为客户端分配固定的IP地址。例如:在网段地址为10.1.1.0、掩码长度为24的地址池中,配置IP地址10.1.1.100只能分配给MAC地址为dcd2-fc96-e4c0的客户端。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] static-bind ip-address 10.1.1.100 mac-address dcd2-fc96-e4c0
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] dhcp server static-bind ip-address 10.1.1.100 mac-address dcd2-fc96-e4c0
四、取消为客户端分配固定的IP地址
在作为DHCP服务器的设备上,取消将指定的IP地址分配给固定的客户端。例如:在网段地址为10.1.1.0、掩码长度为24的地址池中,取消将IP地址10.1.1.5固定分配给某个客户端。客户端与IP地址的静态绑定关系可以通过命令display ip pool { interface interface-pool-name | name ip-pool-name } used查看,具体显示可参见查看已使用的IP地址。
采用全局地址池时的配置:
回收IP地址10.1.1.5
reset ip pool name pool1 10.1.1.5
解除静态绑定关系
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo static-bind ip-address 10.1.1.5
采用接口地址池时的配置:
回收IP地址10.1.1.5
reset ip pool interface vlanif100 10.1.1.5
解除静态绑定关系
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] undo dhcp server static-bind ip-address 10.1.1.5
五、查看已使用的IP地址
在作为DHCP服务器的设备上,执行命令display ip pool { interface interface-pool-name | name ip-pool-name } used,查看已使用的IP地址。
例如,以下回显信息表示全局地址池pool1中,可用的IP地址一共有253个(10.1.1.1~10.1.1.254,除去网关地址10.1.1.2),其中IP地址10.1.1.254被MAC地址为0235-2036-adcc的DHCP客户端被使用;IP地址10.1.1.5与MAC地址为00e0-0987-7895的DHCP客户端绑定。
六、清除冲突地址
在作为DHCP服务器的设备上,清除地址池中冲突的地址,使冲突的地址成为可以正常使用的地址。例如:清除全局地址池pool1或接口地址池VLANIF100内冲突的IP地址。
注:地址冲突的客户端需要重新上线来获取新的IP地址。
采用全局地址池时的配置:
reset ip pool name pool1 conflict
采用接口地址池时的配置:
reset ip pool interface vlanif100 conflict
七、扩大地址池范围
缩小地址池的掩码长度,可以扩大地址池范围。例如:DHCP服务器可以为126个用户分配IP地址(地址池掩码长度为25),现在网络中新增120个用户,同样使用DHCP方式获取IP地址;此时需要将地址池掩码长度缩小到24。在扩大地址池范围之前,需要确认IP地址是否已经分配给客户端,请参见查看已使用的IP地址(本内容第五部分)。
注:掩码由25调整到24后,可以多为128个用户分配IP地址。
扩大的地址范围不能与网络中其他地址范围冲突。
根据客户端在线的情况适当规划客户端数量和地址池范围的比例。如果所有客户端都要同时在线,例如企业员工的PC,需要确保地址池中可供分配的地址数不能少于客户端的数量;如果客户端不同时在线,例如针对酒店、网吧等公共场所的PC,PC不是在同一时间在线,地址池中可供分配的地址数可以少于客户端的数量。
如果没有分配出去
在作为DHCP服务器的设备上,缩小地址池的掩码长度,可以扩大地址池范围。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo network
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 24 //调整掩码长度
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24 //调整掩码长度
[HUAWEI-Vlanif100] dhcp select interface //重新使能接口地址池功能
如果已经分配出去
在作为DHCP服务器的设备上,按“回收IP地址(仅全局地址池时需要配置)->配置防止IP地址重复分配功能->调整地址池掩码长度”的步骤,扩大地址池范围。
采用全局地址池时的配置:
reset ip pool name pool1 all //回收所有的IP地址
<HUAWEI>system-view
[HUAWEI] dhcp server ping packet 3 //配置防止IP地址重复分配功能
[HUAWEI] dhcp server ping timeout 100 //配置防止IP地址重复分配功能
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo network
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 24 //调整掩码长度
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] dhcp server ping packet 3 //配置防止IP地址重复分配功能
[HUAWEI] dhcp server ping timeout 100 //配置防止IP地址重复分配功能
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 24 //调整掩码长度
[HUAWEI-Vlanif100] dhcp select interface //重新使能接口地址池功能
八、缩小地址池范围
扩大地址池的掩码长度可以缩小地址池范围。例如:DHCP服务器可以为254个用户分配IP地址(地址池掩码长度为24),现在网络中减少140个用户,为避免地址浪费,此时可以将地址池掩码长度扩大到25,以缩小地址池的范围。在缩小地址池范围之前,需要IP地址是否已经分配给客户端,请参见查看已使用的IP地址(本内容第五部分)。
注:掩码由24调整到25后,可以节约128个IP地址。
如果没有分配出去
在作为DHCP服务器的设备上,扩大地址池的掩码长度,可以缩小地址池范围。
采用全局地址池时的配置:
<HUAWEI>system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo network
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 25 //调整掩码长度
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 25 //调整掩码长度
[HUAWEI-Vlanif100] dhcp select interface //重新使能接口地址池功能
如果已经分配出去
在作为DHCP服务器的设备上,按“回收IP地址(仅全局地址池时需要配置)->配置防止IP地址重复分配功能->调整地址池掩码长度”的步骤,缩小地址池范围。
注:缩小地址池范围之后,拥有地址池范围之外IP地址的客户端,在租期到期后会重新申请IP地址。
采用全局地址池时的配置:
reset ip pool name pool1 all //回收所有的IP地址
<HUAWEI>system-view
[HUAWEI] dhcp server ping packet 3 //配置防止IP地址重复分配功能
[HUAWEI] dhcp server ping timeout 100 //配置防止IP地址重复分配功能
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] undo network
[HUAWEI-ip-pool-pool1] network 10.1.1.0 mask 25 //调整掩码长度
采用接口地址池时的配置:
<HUAWEI>system-view
[HUAWEI] dhcp server ping packet 3 //配置防止IP地址重复分配功能
[HUAWEI] dhcp server ping timeout 100 //配置防止IP地址重复分配功能
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 10.1.1.1 25 //调整掩码长度
[HUAWEI-Vlanif100] dhcp select interface //重新使能接口地址池功能
九、防止从仿冒的DHCP服务器获取IP地址
在二层网络的接入设备或第一个DHCP中继上,配置DHCP Snooping功能防止从仿冒的DHCP服务器获取IP地址。
注:对于二层接入设备来说,1、2和3都是必选步骤,请按照以下顺序配置。
对于DHCP中继设备来说,仅需配置步骤1和2。
全局下的配置。
<HUAWEI>system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
连接DHCP客户端侧接口的配置。所有连接DHCP客户端的接口都需要配置,以接口GE 1/0/1为例。
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dhcp snooping enable
[HUAWEI-GigabitEthernet1/0/1] quit
连接DHCP服务器侧接口的配置。
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] dhcp snooping trusted
[HUAWEI-GigabitEthernet1/0/2] quit
十、关闭DHCP服务
在作为DHCP服务器、DHCP中继或DHCP Snooping的设备上,关闭DHCP服务。缺省情况下,DHCP服务处于关闭状态。
<HUAWEI>system-view
[HUAWEI] undo dhcp enable
华为S系列网管交换机常用VLAN操作命令
加入VLAN前,需要修改接口的链路类型
一、修改接口的链路类型
接口的链路类型总共有4种,分别为:Access、Trunk、Hybrid、Dot1q-tunnel。不同版本,接口类型的修改方法不同。
V200R005及后续版本:直接执行命令port link-type { access | trunk | hybrid | dot1q-tunnel },然后根据提示输入“y”或“n”。当接口上VLAN的配置为缺省配置时,不会出现提示信息,会直接修改链路类型。
若输入“y”后回车,设备会自动删除接口上VLAN的非默认配置,然后设置接口的链路类型为指定的类型。
若输入“n”后回车,设备不做任何处理,保持当前的链路类型和接口上的VLAN配置不变。
例如:将接口类型修改为Hybrid。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid
Warning: This command will delete VLANs on this port. Continue?[Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment…done.
V200R005以前版本:当接口上VLAN的缺省配置为默认加入VLAN 1,并且PVID为VLAN 1,可以执行命令port link-type { access | trunk | hybrid | dot1q-tunnel },修改接口类型。
将接口类型修改为Access
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type access
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10 //设置接口的PVID为VLAN 10,并同时将VLAN 10加入接口
将接口类型修改为Trunk
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk
[HUAWEI-GigabitEthernet0/0/1] port trunk pvid vlan 10 //设置接口的PVID为VLAN 10
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 10 20 //将VLAN 2、VLAN 10和VLAN 20加入接口
将接口类型修改为Hybrid
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid
[HUAWEI-GigabitEthernet0/0/1] port hybrid pvid vlan 10 //设置接口的PVID为VLAN 10
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 2 10 //将接口以Untagged方式加入VLAN 2和VLAN 10
[HUAWEI-GigabitEthernet0/0/1] port hybrid tagged vlan 20 //将接口以Tag方式加入VLAN 20
将接口类型修改为Dot1q-tunnel
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type dot1q-tunnel
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10 //设置接口的PVID为VLAN 10,对该接口收到的所有数据报文统一封装一层VLAN为10的Tag
在修改链路类型时,如果接口上VLAN的配置不是缺省值,会出现以下提示信息:Error: Please renew the default configurations.
此时需要先把接口上VLAN的配置恢复为缺省值,然后再修改链路类型。
恢复Access或Dot1q-tunnel接口上VLAN的缺省配置
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] undo port default vlan
恢复Trunk接口上VLAN的缺省配置
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] undo port trunk pvid vlan
[HUAWEI-GigabitEthernet0/0/1] undo port trunk allow-pass vlan all
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 1
恢复Hybrid接口上VLAN的缺省配置
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] undo port hybrid pvid vlan
[HUAWEI-GigabitEthernet0/0/1] undo port hybrid vlan all
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 1
二、接口加入VLAN
Access接口加入VLAN
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type access //设置接口的链路类型为Access
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10 //把接口GigabitEthernet0/0/1加入VLAN 10
Trunk接口加入VLAN
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk //设置接口的链路类型为Trunk
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 //把接口GigabitEthernet0/0/1加入VLAN 10
Hybrid接口加入VLAN
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid //设置接口的链路类型为Hybrid
[HUAWEI-GigabitEthernet0/0/1] port hybrid tagged vlan 10 //接口GigabitEthernet0/0/1以Tagged方式加入VLAN 10
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 20 //接口GigabitEthernet0/0/1以Untagged方式加入VLAN 20
QinQ接口加入VLAN
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type dot1q-tunnel //设置接口的链路类型为QinQ
[HUAWEI-GigabitEthernet0/0/1] port default vlan 10 //接口GigabitEthernet0/0/1加入VLAN 10
三、批量创建VLAN
系统视图下执行命令vlan batch,批量创建VLAN。
批量创建10个连续的VLAN:VLAN11到VLAN20。
<HUAWEI>system-view
[HUAWEI] vlan batch 11 to 20
批量创建10不连续的VLAN:VLAN10、VLAN15到VLAN19、VLAN25、VLAN28到VLAN30。
<HUAWEI>system-view
[HUAWEI] vlan batch 10 15 to 19 25 28 to 30
注:
批量创建不连续的VLAN时,一次最多可以输入10个不连续的VLAN或VLAN段,超过10个可以多次使用该命令进行配置。例如:vlan batch 10 15 to 19 25 28 to 30 一共是4个不连续的VLAN段。
四、接口批量加入VLAN
通过端口组可以把接口批量加入VLAN;对于Access接口,还可以在VLAN视图下直接批量将接口加入VLAN。
access接口类型。
通过端口组批量将接口加入VLAN
<HUAWEI>system-view
[HUAWEI] port-group pg1 //创建端口组pg1
[HUAWEI-port-group-pg1] group-member gigabitethernet1/0/1 to gigabitethernet1/0/5 //把接口gigabitethernet1/0/1到gigabitethernet1/0/5加入端口组
[HUAWEI-port-group-pg1] port link-type access //批量修改端口gigabitethernet1/0/1 to gigabitethernet1/0/5的链路类型为access
[HUAWEI-port-group-pg1] port default vlan 10 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5加入VLAN10
在VLAN视图下批量将接口加入VLAN<HUAWEI>system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] port gigabitethernet 1/0/1 to 1/0/5 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5加入VLAN10
注:
执行此操作前,须先将所有要批量加入VLAN的接口的接口类型配置为access。
trunk接口类型。
<HUAWEI>system-view
[HUAWEI] port-group pg1 //创建端口组pg1
[HUAWEI-port-group-pg1] group-member gigabitethernet1/0/1 to gigabitethernet1/0/5 //把接口gigabitethernet1/0/1到gigabitethernet1/0/5加入端口组
[HUAWEI-port-group-pg1] port link-type trunk //批量修改端口gigabitethernet1/0/1 to gigabitethernet1/0/5的链路类型为trunk
[HUAWEI-port-group-pg1] port trunk allow-pass vlan 10 20 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5加入VLAN10和VLAN20
hybrid接口类型。
<HUAWEI>system-view
[HUAWEI] port-group pg1 //创建端口组pg1
[HUAWEI-port-group-pg1] group-member gigabitethernet1/0/1 to gigabitethernet1/0/5 //把接口gigabitethernet1/0/1到gigabitethernet1/0/5加入端口组
[HUAWEI-port-group-pg1] port link-type hybrid //批量修改端口gigabitethernet1/0/1 to gigabitethernet1/0/5的链路类型为hybrid
[HUAWEI-port-group-pg1] port hybrid tagged vlan 10 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5以tagged方式加入VLAN10
[HUAWEI-port-group-pg1] port hybrid untagged vlan 20 //批量把端口gigabitethernet1/0/1 to gigabitethernet1/0/5 以untagged方式加入VLAN20
四、恢复接口下VLAN的缺省配置
接口下VLAN的缺省配置包括接口的PVID和接口缺省加入VLAN1。
恢复access接口的缺省配置。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo port default vlan
恢复trunk接口的缺省配置。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo port trunk pvid vlan
[HUAWEI-GigabitEthernet1/0/1] undo port trunk allow-pass vlan all
[HUAWEI-GigabitEthernet1/0/1] port trunk pvid vlan 1
恢复hybrid接口的缺省配置。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo port hybrid pvid vlan
[HUAWEI-GigabitEthernet1/0/1] undo port hybrid vlan all
[HUAWEI-GigabitEthernet1/0/1] port hybrid untagged vlan 1
五、删除VLAN
设备支持删除批量VLAN和删除单个VLAN两种方式。
删除单个VLAN10。
<HUAWEI>system-view
[HUAWEI] undo vlan 10
删除批量VLAN10到VLAN20。
<HUAWEI>system-view
[HUAWEI] undo vlan batch 10 to 20
注:
V200R005之前版本,如果VLAN已经绑定VLANIF接口,删除VLAN之前必须使用undo interface vlanif命令删除对应的VLANIF接口。
六、使用Access和Trunk接口连接用户主机
如图所示,PC划分在VLAN 10中,通过接入交换机SwitchA上行接入汇聚交换机SwitchB。
配置接入交换机SwitchA。
<HUAWEI>system-view
[SwitchA] vlan batch 10 //如果不适用batch,会进入VLAN视图,需要执行quit命令退出该视图
[SwitchA] interface gigabitethernet0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk //设置接口的链路类型为Trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 //把接口GigabitEthernet0/0/1加入VLAN 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type access //设置接口的链路类型为Access
[SwitchA-GigabitEthernet0/0/2] port default vlan 10 //把接口GigabitEthernet0/0/2加入VLAN 10
[SwitchA-GigabitEthernet0/0/2] quit
配置汇聚交换机SwitchB。
<HUAWEI>system-view
[SwitchB] vlan batch vlan 10 //如果不适用batch,会进入VLAN视图,需要执行quit命令退出该视图
[SwitchB] interface gigabitethernet0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk //设置接口的链路类型为Trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 //把接口GigabitEthernet0/0/1加入VLAN 10
[SwitchB-GigabitEthernet0/0/1] quit
七、使用Hybrid接口连接用户主机
如图所示,PC划分在VLAN 10中,通过接入交换机SwitchA上行接入汇聚交换机SwitchB。
配置接入交换机SwitchA。
<HUAWEI>system-view
[SwitchA] vlan batch 10 //如果不适用batch,会进入VLAN视图,需要执行quit命令退出该视图
[SwitchA] interface gigabitethernet0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type hybrid //设置接口的链路类型为Hybrid
[SwitchA-GigabitEthernet0/0/1] port hybrid tagged vlan 10 //把接口GigabitEthernet0/0/1以Tagged方式加入VLAN 10
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type hybrid //设置接口的链路类型为Hybrid
[SwitchA-GigabitEthernet0/0/2] port hybrid pvid vlan 10 //设置接口的PVID为VLAN 10
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 10 //把接口GigabitEthernet0/0/2以Untagged方式加入VLAN 10
[SwitchA-GigabitEthernet0/0/2] quit
配置汇聚交换机SwitchB。<HUAWEI>system-view
[SwitchB] vlan batch 10 //如果不适用batch,会进入VLAN视图,需要执行quit命令退出该视图
[SwitchB] interface gigabitethernet0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type hybrid //设置接口的链路类型为Hybrid
[SwitchB-GigabitEthernet0/0/1] port hybrid tagged vlan 10 //把接口GigabitEthernet0/0/1以Tagged方式加入VLAN 10
[SwitchB-GigabitEthernet0/0/1] quit
华为S系列网管交换机常用以太网接口操作命令
一、配置端口组
配置临时端口组
配置接口GE1/0/9至GE1/0/15加入到临时端口组(使用port-group group-member命令)。
<HUAWEI>system-view
[HUAWEI] port-group group-member gigabitethernet 1/0/9 to gigabitethernet 1/0/15
[HUAWEI-port-group]
配置接口GE1/0/16至GE1/0/20加入到临时端口组(使用interface range命令,此命令仅V200R003C00及后续版本支持)。
<HUAWEI>system-view
[HUAWEI] interface range gigabitethernet 1/0/16 to gigabitethernet 1/0/20
[HUAWEI-port-group]
配置永久端口组
配置接口GE1/0/1至GE1/0/8加入到永久端口组portgroup1(使用port-group命令)<HUAWEI>system-view
[HUAWEI] port-group portgroup1
[HUAWEI-port-group-portgroup1] group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/8
二、配置端口隔离
配置端口隔离组
配置接口GE1/0/1和GE1/0/2的端口隔离功能,实现两个接口之间的二层数据隔离,三层数据互通。
<HUAWEI>system-view
[HUAWEI] port-isolate mode l2
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-isolate enable group 1
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] port-isolate enable group 1
[HUAWEI-GigabitEthernet1/0/2] quit
配置接口GE1/0/10至GE1/0/20的端口隔离功能,实现多个接口之间的二三层数据均隔离。
<HUAWEI>system-view
[HUAWEI] port-isolate mode all
[HUAWEI] port-group portgroup1
[HUAWEI-port-group-portgroup1] group-member gigabitethernet 1/0/10 to gigabitethernet 1/0/20
[HUAWEI-port-group-portgroup1] port-isolate enable group 2
注:
S系列框式交换机均支持二层三层都隔离模式,S系列盒式交换机V100R006C05版本仅S2700SI、S2700EI不支持二层三层都隔离模式,V200R001及后续版本S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S2750EI、S5710-C-LI、S5710-X-LI、S5700S-LI、S5700LI、S5720S-LI、S5720LI、S6720LI、S6720S-LI不支持二层三层都隔离模式。
配置单向隔离
配置接口GE1/0/5与GE1/0/6、GE1/0/7、GE1/0/8的单向隔离功能,实现GE1/0/5接口发送的二层数据报文无法到达接口GE1/0/6、GE1/0/7、GE1/0/8。
<HUAWEI>system-view
[HUAWEI] port-isolate mode l2
[HUAWEI] interface gigabitethernet 1/0/5
[HUAWEI-GigabitEthernet1/0/5] am isolate gigabitethernet 1/0/6 to 1/0/8
三、配置Combo接口工作模式
Combo接口视图下执行命令combo-port { auto | copper | fiber },配置Combo接口工作模式。
配置接口GE1/0/1工作模式为电口模式。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] combo-port copper
指定Combo接口工作模式为auto,即自动选择模式时,系统将检测Combo光口是否有光模块插入,并根据如下情况进行模式选择:
Combo电口没有连接网线,当Combo光口插上光模块时,则Combo接口选择光口模式。
Combo电口已经连接网线,且Combo接口处于Up状态,此时即使Combo光口插上光模块,Combo接口仍选择为电口模式。但是设备重启后,Combo接口工作模式将变为光口模式。
Combo电口已经连接网线,且Combo接口处于Down状态,此时Combo光口插上光模块时,Combo接口将选择光口模式。
综上所述,Combo接口工作模式为自动选择模式时,只要Combo光口已插上光模块,则设备重启后,Combo接口都将选择光口模式。
强制指定Combo接口的工作模式时,需要根据本端与对端设备连接的接口类型进行配置。如果本端Combo电口与对端电口相连,则需要强制指定Combo接口的工作模式为copper;如果本端Combo光口与对端光口相连,则需要强制指定Combo接口的工作模式为fiber。
四、配置接口速率
自协商模式下,手动配置接口速率
配置以太网接口GE1/0/1在自协商模式下协商速率为100Mbit/s。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] negotiation auto
[HUAWEI-GigabitEthernet1/0/1] auto speed 100
说明:
GE光接口不支持在自协商模式下手动配置接口速率,插入GE光电模块的GE光接口除外。
非自协商模式下,配置接口速率
配置以太网接口GE1/0/1在非自协商模式下协商速率为100Mbit/s。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo negotiation auto
[HUAWEI-GigabitEthernet1/0/1] speed 100
五、配置双工模式
自协商模式下,手动配置双工模式配置以太网电接口GE1/0/1在自协商模式下双工模式为全双工模式。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] negotiation auto
[HUAWEI-GigabitEthernet1/0/1] auto duplex full
非自协商模式下,配置双工模式
配置以太网电接口GE1/0/1在非自协商模式下的双工模式为半双工模式。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo negotiation auto
[HUAWEI-GigabitEthernet1/0/1] duplex half
注:
盒式设备S6720EI、S6720HI和S6720S-EI的物理接口均不支持半双工模式。
框式设备的X系列单板的物理接口不支持半双工模式。其他单板上仅GE电口和FE电口支持半双工模式。
GE电接口工作速率为1000Mbit/s时,不支持半双工模式。
六、配置接口切换到三层模式
接口视图下执行命令undo portswitch,配置接口切换到三层模式。
将接口GE1/0/1切换为三层模式。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] ip address 10.10.10.10 255.255.255.0
缺省情况下,以太网接口处于二层模式。
使用该命令进行接口的二三层模式切换时,接口下只能存在属性配置信息(例如shutdown、description配置),模式切换功能才可以生效。如果已经有业务配置存在时(例如port link-type trunk配置),需要先将该接口下的业务配置全部清除再执行该命令。
注:对于V200R005C00及后续版本,在接口使用命令undo portswitch,将以太网接口从二层模式切换到三层模式后,支持配置IP地址。
七、一键清除接口下的配置
在系统视图下执行命令clear configuration interface清除GE1/0/1接口下的配置。<HUAWEI>system-view
[HUAWEI] clear configuration interface gigabitethernet 1/0/1
Warning: All configurations of the interface will be cleared, and its state will be shutdown. Continue? [Y/N] :y
Info: Total 5 command(s) executed, 5 successful, 0 failed.
在接口视图下执行命令clear configuration this清除GE1/0/1接口下的配置。<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] clear configuration this
Warning: All configurations of the interface will be cleared, and its state will be shutdown. Continue? [Y/N] :y
Info: Total 3 command(s) executed, 3 successful, 0 failed.
i注:
执行命令一键式清除接口下配置后,接口的状态将被置为shutdown状态。
华为S系列网管交换机常用MAC相关操作命令
查看所有MAC地址
执行命令display mac-address,查看所有的MAC地址表项。
查看某个接口学习到的MAC地址
执行命令display mac-address dynamic gigabitethernet1/0/1,查看接口GE1/0/1学习到的MAC地址表项。
查看某个VLAN学习到的MAC地址
执行命令display mac-address dynamic vlan 10,查看VLAN 10学习到的MAC地址表项。
查看系统的MAC地址
可以通过下面两种方式,查看设备的MAC地址。
二层接口的MAC地址就是设备的MAC地址,执行命令display interface gigabitethernet1/0/1,显示信息中的00e0-f74b-6d00,即为设备的MAC地址。
在V200R002版本及之后版本,执行命令display bridge mac-address,查看设备的MAC地址。
查看接口的MAC地址
执行命令display interface gigabitethernet1/0/1,显示信息中的00e0-f74b-6d00,即为接口的MAC地址。
查看VLANIF接口的MAC地址
执行命令display interface vlanif10,显示信息中的00e0-0987-7891,即为VLANIF接口的MAC地址。
根据IP获取对应设备的MAC地址
执行命令display arp | include ip-address,即可获取指定IP对应设备的MAC地址。例如:根据IP地址192.168.150.20获取对应设备的MAC地址。
注:
如果显示的表项为空,则说明无法根据IP获取对应设备的MAC地址。
include后的参数指定为MAC时,可以根据MAC获取对应的IP地址。
回显内容,请以设备显示为准。
配置静态MAC地址
将与设备相连的固定上行设备或信任用户的MAC地址配置为静态MAC表项,可以保证其安全通信。
注:MAC地址绑定的接口必须属于vlan参数指定的VLAN,而且该VLAN必须事先已创建。
配置黑洞MAC地址
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
交换机提供两种配置黑洞MAC地址的方式:全局黑洞MAC地址和基于VLAN的黑洞MAC地址。
在系统视图下,配置MAC地址0000-0012-0034为全局黑洞MAC。
system-view
[HUAWEI] mac-address blackhole 0000-0012-0034
在系统视图下,配置MAC地址0000-0012-0035在VLAN10的广播域内为黑洞MAC地址
system-view
[HUAWEI] mac-address blackhole 0000-0012-0035 vlan 10
查看和配置MAC地址的老化时间
在系统视图下,执行命令mac-address aging-time 600,配置动态MAC地址的老化时间为600秒,缺省老化时间是300秒。
<HUAWEI>system-view
[HUAWEI] mac-address aging-time 600
在任意视图下,执行命令display mac-address aging-time,查看当前动态MAC地址老化的时间。
<HUAWEI>display mac-address aging-time
Aging time: 300 second(s)
配置MAC刷新ARP功能
在以太网中,MAC地址表项用于指导设备进行二层数据转发,ARP表项通过IP地址和MAC地址的映射指导设备进行不同网段间的通信。
MAC地址表项的出接口通过报文触发刷新的,ARP表项的出接口是在老化时间到后通过老化探测进行刷新的。这样就可能会出现MAC表项和ARP表项出接口不一致的情况,即MAC地址表项的出接口已刷新,而ARP表项的出接口没有及时刷新的情况。此时可以使能MAC刷新ARP的功能,在MAC地址表项出接口刷新时,直接刷新ARP表项的出接口。
配置MAC刷新ARP功能。
<HUAWEI>system-view
[HUAWEI] mac-address update arp
配置端口安全
配置端口安全功能,可以实现用户的动态绑定。通过配置接口MAC地址学习限制数的功能可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高设备与网络的安全性。
配置GE1/0/1接口的端口安全功能。
<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-security enable
配置GE1/0/1接口的MAC地址学习限制数为5,即最多可以学习到5个MAC地址表项。<HUAWEI>system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-security enable
[HUAWEI-GigabitEthernet1/0/1] port-security max-mac-num 5
说明:
在配置接口的MAC地址学习限制数之前,接口必须已经使能端口安全功能。
华为S系列网管交换机删除镜像配置数据
在使用完镜像功能后,如果希望将设备上的镜像配置删除,可按如下思路进行操作。
1、执行命令display current-configuration,查看设备当前镜像的配置。例如:在设备上查看到的当前配置如下。
<HUAWEI>display current-configuration
#
vlan batch 10 20 30
#
observe-port 2 interface GigabitEthernet1/0/1
…
…
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
…
…
#
interface GigabitEthernet2/0/1
port-mirroring to observe-port 2 inbound
#
…
…
2、在镜像端口下执行命令undo port-mirroring,删除观察端口与镜像端口的绑定关系,恢复镜像端口为普通端口。例如:将第1步示例中的GE2/0/1恢复为普通端口。
system-view
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] undo port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet2/0/1] quit
3、在系统视图下执行命令undo observe-port,删除观察端口。例如:将第1步示例中的观察端口删除,将GE1/0/1恢复为普通端口。
[HUAWEI] undo observe-port 2
只有先执行第2步,即先删除观察端口与镜像端口的绑定关系,才能删除观察端口。
华为S系列网管交换机配置流镜像
流镜像是指将设备、端口或者VLAN内收、发的指定类型报文复制到观察端口上,监控设备只对指定类型报文进行监测。流镜像有基于ACL和基于MQC(即复杂流分类)两种配置方式。前者配置简便,但是没有后者支持匹配的报文类型多,而且只支持入方向(即接收报文方向)的流镜像;后者配置复杂,但是支持匹配的报文类型比前者多,而且入方向、出方向(即发送报文方向)的流镜像都支持。
根据观察端口的不同,流镜像分为本地流镜像和二层远程流镜像。如何配置本地观察端口和二层远程观察端口,请参见配置观察端口,此处以配置本地流镜像为例。详细的配置举例请参见《典型配置案例》 网络管理与监控典型配置 中的“镜像典型配置”。
配置基于ACL的流镜像
配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
创建ACL。例如:创建二层ACL,配置的规则是匹配802.1p优先级为6的报文。
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit 8021p 6
[HUAWEI-acl-L2-4001] quit
配置流镜像。例如:
将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-mirror inbound acl 4001 to observe-port 1
将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-mirror vlan 10 inbound acl 4001 to observe-port 1
将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] traffic-mirror inbound acl 4001 to observe-port 1
配置基于MQC的流镜像
配置观察端口。例如:配置与监控设备直连的本地观察端口GE1/0/1。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
创建流分类。例如:创建流分类c1,并配置流分类规则是匹配802.1p优先级为6的报文。[HUAWEI] traffic classifier c1
[HUAWEI-classifier-c1] if-match 8021p 6
[HUAWEI-classifier-c1] quit
创建动作是镜像的流行为。例如:创建流行为b1,并配置动作为流镜像。
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] mirroring to observe-port 1
[HUAWEI-behavior-b1] quit
创建流策略,并将流分类和流行为绑定到流策略上。例如:创建流策略p1,并将上面配置的流分类和流行为绑定到流策略p1上。
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
[HUAWEI-trafficpolicy-p1] quit
应用流策略。例如:
将整个设备所有端口入方向(即接收报文方向)802.1p优先级为6的报文复制到观察端口GE1/0/1。
[HUAWEI] traffic-policy p1 global inbound
将VLAN 10下所有端口入方向802.1p优先级为6的报文复制到观察端口GE1/0/1。[HUAWEI] vlan 10
[HUAWEI-vlan10] traffic-policy p1 inbound
将端口GE2/0/1入方向802.1p优先级为6的报文复制到观察端口GE2/0/1。
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] traffic-policy p1 inbound
华为S系列网管交换机配置端口镜像
端口镜像是指设备复制从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。根据观察端口的不同,端口镜像分为本地端口镜像和二层远程端口镜像。
端口镜像
将一个镜像端口的报文复制到一个观察端口上。例如:将镜像端口GE2/0/1入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
N端口镜像
将一个镜像端口的报文复制到N个不同的观察端口上。例如:将镜像端口GE2/0/1入方向的报文(即接收到的报文)复制到观察端口GE1/0/1~GE1/0/3上,GE1/0/1~GE1/0/3与监控设备直连。
观察端口逐个进行配置
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] observe-port 2 interface gigabitethernet 1/0/2
[HUAWEI] observe-port 3 interface gigabitethernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 2 inbound
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 3 inbound
观察端口批量进行配置(V200R005及后续版本支持)
system-view
[HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
配置N:1端口镜像
将N个镜像端口的报文复制到一个观察端口上。例如:将镜像端口GE2/0/1~GE2/0/3入方向的报文(即接收到的报文)复制到观察端口GE1/0/1上,GE1/0/1与监控设备直连。
system-view
[HUAWEI] observe-port 1 interface gigabitethernet 1/0/1
[HUAWEI] interface gigabitethernet 2/0/1
[HUAWEI-GigabitEthernet2/0/1] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/1] quit
[HUAWEI] interface gigabitethernet 2/0/2
[HUAWEI-GigabitEthernet2/0/2] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/2] quit
[HUAWEI] interface gigabitethernet 2/0/3
[HUAWEI-GigabitEthernet2/0/3] port-mirroring to observe-port 1 inbound
[HUAWEI-GigabitEthernet2/0/3] quit