2022年2022年华为交换机各配置实例 .pdf

《2022年2022年华为交换机各配置实例 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年华为交换机各配置实例 .pdf（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、华为交换机各种配置实例reset saved-configuration 初始化交换机配置（一）端口限速基本配置华为 3Com 2000_EI、S2000-SI、S3000-SI、S3026E 、S3526E 、S3528 、S3552 、S3900 、S3050 、S5012 、S5024 、S5600系列: 华为交换机端口限速2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选 ! 端口限速配置1 功能需求及组网说明端口限速配置配置环境参数1. PC1 和 PC2 的 IP 地址分别为 10

2、.10.1.1/24、10.10.1.2/24 组网需求1. 在 SwitchA上配置端口限速，将 PC1 的下载速率 * 在 3Mbps ， 同时将 PC1的上传速率 * 在 1Mbps 2 数据配置步骤S2000EI系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。【SwitchA相关配置】1. 进入端口 E0/1 的配置视图SwitchAinte*ce Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速，* 到 3Mbps SwitchA- Ethernet0/1line-rate outbound 30

3、 3. 对端口 E0/1 的入方向报文进行流量限速，* 到 1Mbps SwitchA- Ethernet0/1line-rate inbound 16 【补充说明】报文速率 * 级别取值为 1127 。如果速率 * 级别取值在 128 范围内，则速名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 37 页 - - - - - - - - - 率* 的粒度为 64Kbps ，这种情况下，当设置的级别为N，则端口上 * 的速率大小为 N*64K ；如果速率* 级别取值在 29

4、 127 范围内，则速率 * 的粒度为 1Mbps ，这种情况下，当设置的级别为 N，则端口上 * 的速率大小为 (N-27)*1Mbps。此系列交换机的具体型号包括：S2008-EI、S2016-EI和 S2403H-EI。S2000-SI和 S3000-SI系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。【SwitchA相关配置】1. 进入端口 E0/1 的配置视图SwitchAinte*ce Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速，* 到 6Mbps SwitchA- Ethernet0/1

5、line-rate outbound 2 3. 对端口 E0/1 的入方向报文进行流量限速，* 到 3Mbps SwitchA- Ethernet0/1line-rate inbound 1 【补充说明】对端口发送或接收报文 * 的总速率，这里以 8 个级别来表示，取值范围为 18，含义为：端口工作在 10M 速率时，18 分别表示 312K ， 625K ， 938K ， 1.25M ，2M，4M，6M，8M ；端口工作在 100M 速率时，18 分别表示 3.12M ， 6.25M ， 9.38M ， 12.5M ， 20M ，40M ，60M ，80M 。此系列交换机的具体型号包括： S

6、2026C/Z-SI、 S3026C/G/S-SI和 E026-SI 。S3026E 、S3526E 、S3050 、S5012 、S5024系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合 acl ，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进行流量限速。【SwitchA相关配置】1. 进入端口 E0/1 的配置视图SwitchAinte*ce Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速，* 到 3Mbps SwitchA- Ethernet0/1line-rate

7、 3 3. 配置 acl ，定义符合速率 * 的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速，* 到 1Mbps 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 37 页 - - - - - - - - - SwitchA- Ethernet0/1traffic-limit inbound link-gro

8、up 4000 1 exceed drop 【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量* ，而 traffic-limit命令必须结合acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量* 。在配置 acl 的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量* 。端口出入方向限速的粒度为1Mbps 。此系列交换机的具体型号包括：S3026E/C/G/T、S3526E/C/EF、S3050C 、S5012G/T和 S5024G 。S3528 、S3552 系列交换机端口限速配置流程使用以太网物理端口下面的traf

9、fic-shape和 traffic-limit命令，分别来对该端口的出、入报文进行流量限速。【SwitchA相关配置】1. 进入端口 E0/1 的配置视图SwitchAinte*ce Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速，* 到 3Mbps SwitchA- Ethernet0/1traffic-shape 3250 3250 3. 配置 acl ，定义符合速率 * 的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1

10、的入方向报文进行流量限速，* 到 1Mbps SwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop 【补充说明】此系列交换机的具体型号包括：S3528G/P和 S3552G/P/F。S3900 系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合 acl ，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量* 。【SwitchA相关配置】1.

11、进入端口 E1/0/1的配置视图SwitchAinte*ce Ethernet 1/0/1 2. 对端口 E0/1 的出方向报文进行流量限速，* 到 3Mbps 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 37 页 - - - - - - - - - SwitchA- Ethernet1/0/1line-rate 3000 3. 配置 acl ，定义符合速率 * 的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule

12、permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速，* 到 1Mbps SwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop 【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量* ，而 traffic-limit命令必须结合acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量* 。在配置 acl 的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量* 。端口出入方向

13、限速的粒度为64Kbps 。此系列交换机的具体型号包括：S3924 、S3928P/F/TP和 S3952P 。S5600 系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速；结合 acl ，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量* 。【SwitchA相关配置】1. 进入端口 E1/0/1的配置视图SwitchAinte*ce Ethernet 1/0/1 2. 对端口 E0/1 的出方向报文进行流量限速，* 到 3Mbps SwitchA- Ethernet1/0/

14、1line-rate 3000 3. 配置 acl ，定义符合速率 * 的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速，* 到 1Mbps SwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop 【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量* ，而 traffic-limit命令必须结合acl 使用，对匹

15、配了指定访问控制列表规则的数据报文进行流量* 。在配置 acl 的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 37 页 - - - - - - - - - 的入方向数据报文进行流量* 。端口出入方向限速的粒度为64Kbps 。此系列交换机的具体型号包括：S5624P/F和 S5648P 。交换机配置（二）端口绑定基本配置1，端口 +MAC a)AM 命令使用特殊的 AM User-bind命令，来完

16、成 MAC 地址与端口之间的绑定。例如：SwitchAam user-bind mac-address 00e0-fc22-f8d3 inte*ce Ethernet 0/1 配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1 只允许 PC1 上网，而使用其他未绑定的MAC 地址的 PC 机则无法上网。但是PC1使用该 MAC 地址可以在其他端口上网。b)mac-address命令使用 mac-address static命令，来完成 MAC 地址与端口之间的绑定。例如：SwitchAmac-address static 00e0-fc22-f8d3 inte*ce Ethe

17、rnet 0/1 vlan 1 SwitchAmac-address max-mac-count 0 配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac 学习数为 0，使其他 PC 接入此端口后其mac 地址无法被学习。2，IP+MAC a)AM 命令使用特殊的 AM User-bind命令，来完成 IP 地址与 MAC 地址之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 配置说明：以上配置完成对 PC 机的 IP 地址和 MAC 地址的全局绑定， 即与绑定的 IP

18、地址或者 MAC 地址不同的 PC 机，在任何端口都无法上网。支持型号： S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C 、E050 、S3526E/C/EF、S5012T/G、S5024G b)arp命令使用特殊的 arp static命令，来完成 IP 地址与 MAC 地址之间的绑定。例如：SwitchAarp static 10.1.1.2 00e0-fc22-f8d3 配置说明：以上配置完成对PC 机的 IP 地址和 MAC 地址的全局绑定。3，端口 +IP+MAC 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -

19、- - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 37 页 - - - - - - - - - 使用特殊的 AM User-bind命令，来完成 IP 、MAC 地址与端口之间的绑定。 例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 inte*ce Ethernet 0/1 配置说明：可以完成将PC1 的 IP 地址、 MAC 地址与端口 E0/1之间的绑定功能。由于使用了端口参数， 则会以端口为参照物， 即此时端口 E0/1 只允许 PC1上网，而使用其他未

20、绑定的IP 地址、MAC 地址的 PC 机则无法上网。 但是 PC1 使用该 IP 地址和 MAC 地址可以在其他端口上网。支 持 型 号 ： S3026E/S3026E-FM/S3026-FS； S3026G； S3026C；S3026C-PWR；E3026 ；E050 ；S3526E/C;S3526E-FM/FS; S5012T/G、S5024G 、S3900 、S5600 、S6500(3代引擎 ) 交换机配置（三） ACL 基本配置1，二层 ACL . 组网需求 : 通过二层访问控制列表，实现在每天8:00 18:00时间段内对源MAC 为00e0-fc01-0101目的 MAC 为

21、00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤 : (1) 定义时间段# 定义 8:00 至 18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily (2) 定义源 MAC 为 00e0-fc01-0101目的 MAC 为 00e0-fc01-0303的 ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。Quidway acl name traffic-of-link link # 定义源 MAC 为 00e0-fc01-0101目的 MAC 为

22、 00e0-fc01-0303的流分类规则。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3) 激活 ACL。# 将 traffic-of-link的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter link-group traffic-of-link 2，三层 ACL a) 基本访问控制列表配置案例. 组网需求 : 名师资料总结 - - -精品资料欢迎

23、下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 37 页 - - - - - - - - - 通过基 本访问 控制列 表， 实现在 每天8:00 18:00时间段内 对源 IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤 : (1) 定义时间段# 定义 8:00 至 18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily (2) 定义源 IP 为 10.1.1.1的 ACL # 进入基于名字的基

24、本访问控制列表视图，命名为traffic-of-host。Quidway acl name traffic-of-host basic # 定义源 IP 为 10.1.1.1的访问规则。Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei (3) 激活 ACL。# 将 traffic-of-host的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-host b) 高级访问控制

25、列表配置案例.组网需求 : 公 司企 业网 通过 Switch的 端口 实 现 各部 门之 间的 互连 。研 发部 门 的 由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2。要求正确配置 ACL，* 研发部门在上班时间 8:00 至 18:00访问工资服务器。.配置步骤 : (1) 定义时间段# 定义 8:00 至 18:00的周期时间段。Quidway time-range huawei 8:00 to 18:00 working-day (2) 定义到工资服务器的ACL # 进入基于名字的高级访问控制列表视图，命名为traffic-of-pays

26、erver。Quidway acl name traffic-of-payserver advanced # 定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei (3) 激活 ACL。# 将 traffic-of-payserver的 ACL 激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-p

27、ayserver 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 37 页 - - - - - - - - - 3，常见病毒的 ACL 创建 acl acl number 100 禁 ping rule deny icmp source any destination any 用于控制 Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69 rule deny tcp sour

28、ce any destination any destination-port eq 4444 用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destinatio

29、n any destination-port eq netbios-dgm rule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 ru

30、le deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any des

31、tination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号（可以不作）rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source a

32、ny destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080 rule deny tcp source any destination any destination-port eq 455 rule deny udp source any destination any destination-port

33、eq 455 rule deny tcp source any destination any destination-port eq 3208 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 37 页 - - - - - - - - - rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination

34、-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置packet-filter ip-group 100 目的：针对目前网上出现的问题，对目的是端口号为1434 的 UDP 报文进行过滤的配置方法，详细和复杂的配置请

35、看配置手册。NE80 的配置：NE80(config)#rule-map r1 udp any any eq 1434 /r1为 role-map的名字， udp 为关键字， any any 所有源、目的 IP，eq 为等于， 1434 为 udp 端口号NE80(config)#acl a1 r1 deny /a1为 acl 的名字， r1 为要绑定的 rule-map的名字，NE80(config-if-Ethernet1/0/0)#access-group acl a1 / 在 1/0/0接口上绑定 acl ，acl 为关键字， a1 为 acl 的名字NE16 的配置：NE16-4(c

36、onfig)#firewall enable all / 首先启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434 /deny为禁止的关键字，针对udp 报文， any any 为所有源、目的IP ，eq为等于，1434 为 udp 端口号NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in / 在接口上启用 access-list，in 表示进来的报文，也可以用out 表示出去的报文中低端路由器的配置Routerfirewall enable Routeracl 101

37、 Router-acl-101rule deny udp source any destion any destination-port eq 1434 Router-Ethernet0firewall packet-filter 101 inbound 6506 产品的配置：旧命令行配置如下：6506(config)#acl extended aaa deny protocol udp any any eq 1434 6506(config-if-Ethernet5/0/1)#access-group aaa 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

38、- - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 37 页 - - - - - - - - - 国际化新命令行配置如下：Quidwayacl number 100 Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidway-acl-adv-100quit Quidwayinte*ce ethernet 5/0/1 Quidway-Ethernet5/0/1packet-filter inbound ip-group 100 not

39、-care-for-inte*ce 5516 产品的配置：旧命令行配置如下：5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434 5516(config)#flow-action fff deny 5516(config)#acl bbb aaa fff 5516(config)#access-group bbb 国际化新命令行配置如下：Quidwayacl num 100 Quidway-acl-adv-100rule deny udp source any destination any

40、destination-port eq 1434 Quidwaypacket-filter ip-group 100 3526 产品的配置：旧命令行配置如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434 flow-action f1 deny acl acl1 r1 f1 access-group acl1 国际化新命令配置如下：acl number 100 rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0 packet-f

41、ilter ip-group 101 rule 0 注：3526产品只能配置外网对内网的过滤规则，其中1.1.0.0 255.255.0.0是内网的地址段。8016 产品的配置：旧命令行配置如下：8016(config)#rule-map intervlan aaa udp any any eq 1434 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 37 页 - - - - - - - - - 8016(config)#acl bbb aaa deny 8016(c

42、onfig)#access-group acl bbb vlan 10 port all 国际化新命令行配置如下：8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#eacl bbb aaa deny 8016(config)#access-group eacl bbb vlan 10 port all 防止同网段 ARP 欺骗的 ACL 一、组网需求：1. 二层交换机阻止网络用户仿冒网关IP 的 ARP 攻击二、组网图：图 1 二层交换机防 ARP 攻击组网S3552P是三层设备，其中IP：100.1.1.

43、1是所有 PC 的网关， S3552P上的网关 MAC 地址为 000f-e200-3999。PC-B 上装有 ARP 攻击软件。现在需要对 S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关 IP 的 ARP 报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL（number为 5000到5999 ）的交换机，可以配置ACL 来进行 ARP 报文过滤。全局配置 ACL 禁止所有源 IP 是网关的 ARP 报文acl num 5000 rule 0 deny 0806 ffff 24 64010101 ffffffff 40 rule 1 permit 0806 ffff

44、24 000fe2003999 ffffffffffff 34 其中 rule0把整个 S3026C_A的端口冒充网关的ARP 报文禁掉，其中斜体部分 64010101是网关 IP 地址 100.1.1.1的 16 进制表示形式。 Rule1 允许通过网关发送的 ARP 报文，斜体部分为网关的 mac 地址 000f-e200-3999。注意：配置 Rule 时的配置顺序，上述配置为先下发后生效的情况。在 S3026C-A系统视图下发 acl 规则：S3026C-A packet-filter user-group 5000 这样只有 S3026C_A上连网关设备才能够发送网关的ARP 报文，

45、其它主机都不能发送假冒网关的arp 响应报文。三层交换机实现仿冒网关的ARP 防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关IP 的 ARP 攻击二、组网图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 37 页 - - - - - - - - - 图 2 三层交换机防 ARP 攻击组网三、配置步骤1. 对于三层设备， 需要配置过滤源IP 是网关的 ARP 报文的 ACL 规则，配置如下 ACL 规则：acl number 5000 rule 0 de

46、ny 0806 ffff 24 64010105 ffffffff 40 rule0禁止 S3526E的所有端口接收冒充网关的ARP 报文，其中斜体部分64010105是网关 IP 地址 100.1.1.5的 16 进制表示形式。2. 下发 ACL 到全局S3526E packet-filter user-group 5000 仿冒他人 IP 的 ARP 防攻击一、组网需求：作为网关的设备有可能会出现错误ARP 的表项，因此在网关设备上还需对用户仿冒他人 IP 的 ARP 攻击报文进行过滤。二、组网图：参见图 1 和图 2 三、配置步骤：1. 如图 1 所示，当 PC-B 发送源 IP 地址为

47、 PC-D 的 arp reply攻击报文，源mac 是 PC-B 的 mac (000d-88f8-09fa)，源 ip 是 PC-D 的 ip(100.1.1.3)，目的 ip 和 mac 是网关（ 3552P ）的，这样3552 上就会学习到错误的arp ，如下所示：- 错误 arp 表项 - IP Address MAC Address VLAN ID Port Name Aging Type 100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic 100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynam

48、ic 从网络连接可以知道PC-D 的 arp 表项应该学习到端口E0/8 上， 而不应该学习到 E0/2 端口上。但实际上交换机上学习到该ARP 表项在 E0/2 。上述现象可以在 S3552 上配置静态 ARP 实现防攻击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/8 2. 在图 2 S3526C 上也可以配置静态 ARP 来防止设备学习到错误的ARP 表项。3. 对于二层设备（ S3050C和 S3026E系列），除了可以配置静态ARP 外，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - -

49、- 名师精心整理 - - - - - - - 第 12 页，共 37 页 - - - - - - - - - 还可以配置 IP MACport 绑定，比如在 S3026C端口 E0/4 上做如下操作：am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4 则 IP 为 100.1.1.4并且 MAC 为 000d-88f8-09fa的 ARP 报文可以通过 E0/4端口，仿冒其它设备的ARP 报文则无法通过，从而不会出现错误ARP 表项。四、配置关键点：此处仅仅列举了部分Quidway S系列以太网交换机的应用。 在实际的

50、网络应用中，请根据配置手册确认该产品是否支持用户自定义ACL 和地址绑定。仅仅具有上述功能的交换机才能防止 ARP 欺骗。5，关于 ACL 规则匹配的说明a) ACL 直接下发到硬件中的情况交换机中 ACL 可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL 中多个子规则的匹配顺序是由交换机的硬件决定的，用户即使在定义 ACL 时配置了匹配顺序也不起作用。ACL 直接下发到硬件的情况包括： 交换机实现 QoS 功能时引用 ACL、硬件转发时通过 ACL 过滤转发数据等。b) ACL 被上层模块引用的情况交换机也使用 ACL 来对由软件处理的报文进行过滤和流分类。此时