S300, S500, S2700, S3700, S5700, S6700, S7700, S7900, S9700系列交换机 典型配置案例
本文档提供了园区综合配置案例和交换机特性配置案例,园区综合配置案例提供了园区网络典型组网及应用的部署案例,可以直接根据网络设计方案选择对应的案例进行参考。交换机特性配置案例提供了交换机单特性的典型配置案例,您可以在园区网络部署完成后,根据需要叠加对应的特性,以满足网络多样化需求。
MAC典型配置
配置静态MAC示例
静态MAC地址简介
MAC地址表项是交换机通过报文的源MAC地址学习过程而自动生成的,而通过用户手动配置也可以生成静态的MAC地址表项。
手动配置静态MAC,一般是为了防止假冒身份的非法用户骗取数据,由网络管理员手动在MAC地址表中添加合法用户的MAC地址表项。
手动配置静态MAC地址表项的数量比较大时,不便于网络管理员维护,此时可以使用端口安全功能实现MAC地址和接口的动态绑定。
组网需求
如图3-72所示,服务器通过GE1/0/2接口连接交换机。为避免交换机在转发目的地址为服务器地址的报文时进行广播,要求在交换机上设置服务器的静态MAC地址表项,使交换机始终通过GE1/0/2接口单播发送去往服务器的报文。为了保证PC用户和服务器的安全通信,同时把PC用户的MAC地址和接口GE1/0/1静态绑定。
操作步骤
- 在Switch上创建VLAN 2,并把接口GE1/0/1和GE1/0/2加入VLAN 2
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 2 //创建VLAN 2 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type access //和接入设备PC相连的接口类型必须是access,接口默认类型不是access,需要手动配置为access [Switch-GigabitEthernet1/0/1] port default vlan 2 //接口GE1/0/1加入VLAN 2 [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 //接口GE1/0/2的配置方法和接口GE1/0/1相同 [Switch-GigabitEthernet1/0/2] port link-type access [Switch-GigabitEthernet1/0/2] port default vlan 2 [Switch-GigabitEthernet1/0/2] quit
- 在Switch上添加服务器对应的静态MAC地址表项
[Switch] mac-address static xxxx-xxxx-xxx4 gigabitethernet 1/0/2 vlan 2
- 在Switch上添加PC对应的静态MAC地址表项
[Switch] mac-address static xxxx-xxxx-xxx2 gigabitethernet 1/0/1 vlan 2
- 检查配置结果
# 在任意视图下执行display mac-address static vlan 2命令,查看静态MAC表是否添加成功。
[Switch] display mac-address static vlan 2 ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- xxxx-xxxx-xxx2 2/- GE1/0/1 static xxxx-xxxx-xxx4 2/- GE1/0/2 static ------------------------------------------------------------------------------- Total items displayed = 2
配置文件
Switch的配置文件
# sysname Switch # vlan batch 2 # interface GigabitEthernet1/0/1 port link-type access port default vlan 2 # interface GigabitEthernet1/0/2 port link-type access port default vlan 2 # mac-address static xxxx-xxxx-xxx2 GigabitEthernet1/0/1 vlan 2 mac-address static xxxx-xxxx-xxx4 GigabitEthernet1/0/2 vlan 2 # return
配置黑洞MAC示例
操作步骤
- 添加黑洞MAC地址表项
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan 3 //创建VLAN 3 [Switch-vlan3] quit [Switch] mac-address blackhole xxxx-xxxx-xxx5 vlan 3 //配置MAC地址0005-0005-0005在VLAN 3的广播域内为黑洞MAC地址
- 验证配置结果
# 在任意视图下执行display mac-address blackhole命令,查看黑洞MAC表是否添加成功。
[Switch] display mac-address blackhole ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- xxxx-xxxx-xxx5 3/- - blackhole ------------------------------------------------------------------------------- Total items displayed = 1
配置基于VLAN的MAC地址学习限制示例
基于VLAN限制MAC地址学习简介
交换机控制MAC地址学习数经常使用的方式有两种:基于VLAN限制MAC地址学习数和基于接口限制MAC地址学习数。在客户端不经常变动的办公场所中,通过限制MAC地址学习控制用户的接入,防止黑客伪造大量源MAC地址不同的报文发送到设备后,耗尽设备的MAC地址表项资源。当MAC地址表项资源满后,会导致正常MAC地址无法学习,报文进行广播转发,浪费带宽资源。
与基于接口限制MAC地址学习数相比,基于VLAN限制MAC地址限制数,是以VLAN为维度,一个VLAN内有多个接口需要限制MAC地址学习数时,不需要分别配置。
配置注意事项
- 接口上配置port-security enable后,mac-limit将无法生效,建议不要同时配置端口安全和MAC地址学习限制功能。
- 本举例适用于S系列交换机所有产品的所有版本(除S5731-L和S5731S-L外)。
- 框式设备S系列中的SA单板和F系列接口板以及盒式设备(除S5720-EI外),在MAC地址表项达到指定限制数后,不支持丢弃源MAC地址不存在的报文。
组网需求
如图3-74所示,用户网络1通过LSW1与Switch相连,Switch的接口为GE1/0/1。用户网络2通过LSW2与Switch相连,Switch的接口为GE1/0/2。GE1/0/1、GE1/0/2同属于VLAN 2。为控制接入用户数,对VLAN 2进行MAC地址学习限制。
操作步骤
- 创建VLAN 2,并将接口GE1/0/1和GE1/0/2加入VLAN 2
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 2 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk //交换机之间的接口类型建议使用trunk [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 //接口GE1/0/1加入VLAN 2 [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 //接口GE1/0/2的配置方法和接口GE1/0/1相同 [Switch-GigabitEthernet1/0/2] port link-type trunk [Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 [Switch-GigabitEthernet1/0/2] quit
- 在VLAN 2上配置MAC地址学习限制规则:最多可以学习100个MAC地址,超过最大MAC地址学习数量的报文继续转发并进行告警提示
[Switch] vlan 2 [Switch-vlan2] mac-limit maximum 100 action forward //各个版本对报文的默认处理动作不一致,这里建议手动指定(对于盒式交换机,仅S5720-EI支持在VLAN视图下配置action参数,其他款型盒式交换机VLAN视图下默认处理动作即为forward,无需配置action参数)。告警功能默认都是打开的,可以不手动指定 [Switch-vlan2] quit
- 验证配置结果
# 在任意视图下执行display mac-limit命令,查看MAC地址学习限制规则是否配置成功。
[Switch] display mac-limit MAC limit is enabled Total MAC limit rule count : 1 PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm ---------------------------------------------------------------------------- - 2 - 100 - forward enable
配置基于接口的MAC地址学习限制示例
基于接口限制MAC地址学习数简介
交换机控制MAC地址学习数经常使用的方式有两种:基于VLAN限制MAC地址学习数和基于接口限制MAC地址学习数。在客户端不经常变动的办公场所中,通过限制MAC地址学习控制用户的接入,防止黑客伪造大量源MAC地址不同的报文发送到设备后,耗尽设备的MAC地址表项资源。当MAC地址表项资源满后,会导致正常MAC地址无法学习,报文进行广播转发,浪费带宽资源。
与基于VLAN限制MAC地址学习数相比,基于接口限制MAC地址学习数,在中小企业中各个接口下的用户数量都比较固定且很少变动时,比较适用。
组网需求
如图3-75所示,用户网络1和用户网络2通过LSW与Switch相连,Switch连接LSW的接口为GE1/0/1。用户网络1和用户网络2分别属于VLAN 10和VLAN 20。在Switch上,为了控制接入用户数量,可以基于接口GE1/0/1配置MAC地址学习限制功能。
操作步骤
- 创建VLAN 10和VLAN 20,并将接口GE1/0/1加入VLAN 10和VLAN 20
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 //创建VLAN 10和VLAN 20 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk //交换机之间的接口类型建议使用trunk [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //接口GE1/0/1加入VLAN 10和VLAN 20 [Switch-GigabitEthernet1/0/1] quit
- 接口GE1/0/1配置MAC地址学习限制规则:最多可以学习100个MAC地址,超过最大MAC地址学习数量的报文丢弃并进行告警提示
[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] mac-limit maximum 100 action discard //各个版本对报文的默认处理动作不一致,这里建议手动指定。告警默认都是打开的,可以不手动指定 [Switch-GigabitEthernet1/0/1] quit
- 验证配置结果
# 在任意视图下执行display mac-limit命令,查看MAC地址学习限制规则是否配置成功。
[Switch] display mac-limit MAC limit is enabled Total MAC limit rule count : 1 PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm ---------------------------------------------------------------------------- GE1/0/1 - - 100 - discard enable