《华为h3c设备配置大全教学教材.doc》由会员分享,可在线阅读,更多相关《华为h3c设备配置大全教学教材.doc(71页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Good is good, but better carries it.精益求精,善益求善。华为h3c设备配置大全-交换机WEB管理配置配置环境参数1.PC机固定IP地址10.10.10.10/24,连接到三层交换机SwitchA的VLAN10,PC网关地址为SwitchA的VLAN10接口地址10.10.10.1/242.SwitchA与二层交换机SwitchB使用VLAN100互连,SwitchA的VLAN100接口地址为192.168.0.1/24,SwitchB的VLAN100接口地址为192.168.0.2/243.SwitchA通过以太网口E0/1和SwitchB的E0/24互连组
2、网需求1.PC在IE浏览器里面SwitchB2数据配置步骤WEB方式远程管理交换机配置流程首先必备条件要保证PC可以与SwitchB通信,比如PC可以ping通SwitchB。如果想通过WEB方式管理交换机,必须首先将一个用于支持WEB管理的文件载入交换机的flash中,该文件需要与交换机当前使用的软件版本相配套。WEB管理文件的扩展名为”tar”或者”zip”,可以从网站上下载相应的交换机软件版本时得到。需要在交换机上添加WEB管理使用的用户名及密码,该用户的类型为telnet类型,而且权限为最高级别3。注意,在将WEB管理文件载入交换机flash时,不要将文件进行解压缩,只需将完整的文件载
3、入交换机即可(向交换机flash载入WEB管理文件的方法,请参考本配置实例中交换机的系统管理配置章节)。【SwitchB相关配置】1.查看交换机flash里面的文件(保证WEB管理文件已经在交换机flash中)dir/allDirectoryofflash:/-rwxrwx1noonenogroup442797Apr02200013:09:50wnm-xxx.zip2.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”wnm”SwitchBlocal-userhuaweiSwitchB-luser-huaweiservice-typetelnetlevel3S
4、witchB-luser-huaweipasswordsimplewnm3.配置交换机管理地址SwitchBinterfacevlan100SwitchB-Vlan-interface100ipaddr192.168.0.2255.255.255.04.配置默认路由SwitchBiproute-static0.0.0.00.0.0.0192.168.0.15.进入端口E0/24,将其配置为TRUNK端口,并允许VLAN100通过SwitchBinterfaceEthernet0/24SwitchB-Ethernet0/24portlink-typetrunkSwitchB-Ethernet0/
5、24porttrunkpermitvlan100【SwitchA相关配置】1.创建(进入)VLAN10SwitchAvlan102.将连接PC的E0/10加入VLAN10SwitchA-Vlan10portEthernet0/103.创建(进入)VLAN10的虚接口SwitchAinterfaceVLAN-interface104.为VLAN接口10配置IP地址SwitchA-Vlan-interface10ipaddr10.10.10.1255.255.255.05.创建(进入)VLAN100SwitchAvlan1006.为VLAN接口100配置IP地址SwitchA-Vlan-inter
6、face100ipaddr192.168.0.1255.255.255.07.进入端口E0/1,将其配置为TRUNK端口,并允许VLAN100通过SwitchAinterfaceEthernet0/1SwitchA-Ethernet0/1portlink-typetrunkSwitchA-Ethernet0/1porttrunkpermitvlan100【补充说明】如果PC机直连到SwitchB,则需将PC机所在的端口添加到管理VLAN内。交换机配置(一)端口限速基本配置华为3Com2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S390
7、0、S3050、S5012、S5024、S5600系列:华为交换机端口限速2000_EI系列以上的交换机都可以限速!限速不同的交换机限速的方式不一样!2000_EI直接在端口视图下面输入LINE-RATE(4)参数可选!端口限速配置1功能需求及组网说明端口限速配置配置环境参数1.PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24组网需求1.在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps2数据配置步骤S2000EI系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令,来对该端口的出、入报
8、文进行流量限速。【SwitchA相关配置】1.进入端口E0/1的配置视图SwitchAinterfaceEthernet0/12.对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA-Ethernet0/1line-rateoutbound303.对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA-Ethernet0/1line-rateinbound16【补充说明】报文速率限制级别取值为1127。如果速率限制级别取值在128范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29
9、127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。S2000-SI和S3000-SI系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】1.进入端口E0/1的配置视图SwitchAinterfaceEthernet0/12.对端口E0/1的出方向报文进行流量限速,限制到6MbpsSwitchA-Ethernet0/1line-rateoutbound23.
10、对端口E0/1的入方向报文进行流量限速,限制到3MbpsSwitchA-Ethernet0/1line-rateinbound1【补充说明】对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为18,含义为:端口工作在10M速率时,18分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,18分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。S3026E、S3526E、S3050、S5012、S5024系
11、列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】1.进入端口E0/1的配置视图SwitchAinterfaceEthernet0/12.对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA-Ethernet0/1line-rate33.配置acl,定义符合速率限制的数据流SwitchAaclnumber4000SwitchA-acl-link-4000rulepermitingressanyeg
12、ressany4.对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA-Ethernet0/1traffic-limitinboundlink-group40001exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为1Mbps。此系列交换机的具体型号包括:S3026E/C/G/T、S3526E
13、/C/EF、S3050C、S5012G/T和S5024G。S3528、S3552系列交换机端口限速配置流程使用以太网物理端口下面的traffic-shape和traffic-limit命令,分别来对该端口的出、入报文进行流量限速。【SwitchA相关配置】1.进入端口E0/1的配置视图SwitchAinterfaceEthernet0/12.对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA-Ethernet0/1traffic-shape325032503.配置acl,定义符合速率限制的数据流SwitchAaclnumber4000SwitchA-acl-link-400
14、0rulepermitingressanyegressany4.对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA-Ethernet0/1traffic-limitinboundlink-group400010001500001500001000exceeddrop【补充说明】此系列交换机的具体型号包括:S3528G/P和S3552G/P/F。S3900系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进
15、行流量限制。【SwitchA相关配置】1.进入端口E1/0/1的配置视图SwitchAinterfaceEthernet1/0/12.对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA-Ethernet1/0/1line-rate30003.配置acl,定义符合速率限制的数据流SwitchAaclnumber4000SwitchA-acl-link-4000rulepermitingressanyegressany4.对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA-Ethernet1/0/1traffic-limitinboundlink-group
16、40001000exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括:S3924、S3928P/F/TP和S3952P。S5600系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面
17、的traffic-limit命令,对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA相关配置】1.进入端口E1/0/1的配置视图SwitchAinterfaceEthernet1/0/12.对端口E0/1的出方向报文进行流量限速,限制到3MbpsSwitchA-Ethernet1/0/1line-rate30003.配置acl,定义符合速率限制的数据流SwitchAaclnumber4000SwitchA-acl-link-4000rulepermitingressanyegressany4.对端口E0/1的入方向报文进行流量限速,限制到1MbpsSwitchA-Et
18、hernet1/0/1traffic-limitinboundlink-group40001000exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制,而traffic-limit命令必须结合acl使用,对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候,也可以通过配置三层访问规则,来对指定的源或目的网段报文,进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括:S5624P/F和S5648P。交换机配置(二)端口绑定基本配置1,端口+MACa)AM命令使用特殊的AMUser-bi
19、nd命令,来完成MAC地址与端口之间的绑定。例如:SwitchAamuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。b)mac-address命令使用mac-addressstatic命令,来完成MAC地址与端口之间的绑定。例如:SwitchAmac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1Sw
20、itchAmac-addressmax-mac-count0配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。2,IP+MACa)AM命令使用特殊的AMUser-bind命令,来完成IP地址与MAC地址之间的绑定。例如:SwitchAamuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定,即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上网。支持型号:S3026E/EF/C/G/T、S
21、3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arpstatic命令,来完成IP地址与MAC地址之间的绑定。例如:SwitchAarpstatic10.1.1.200e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。3,端口+IP+MAC使用特殊的AMUser-bind命令,来完成IP、MAC地址与端口之间的绑定。例如:SwitchAamuser-bindip-address10.1.1.2mac-address00e0-fc22-f8d3interfaceE
22、thernet0/1配置说明:可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。支持型号:S3026E/S3026E-FM/S3026-FS;S3026G;S3026C;S3026C-PWR;E3026;E050;S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、S6500(3代引擎)交换机配置(三)ACL基本配置1,二层ACL.组网需求:
23、通过二层访问控制列表,实现在每天8:0018:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:(1)定义时间段#定义8:00至18:00的周期时间段。Quidwaytime-rangehuawei8:00to18:00daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL#进入基于名字的二层访问控制列表视图,命名为traffic-of-link。Quidwayaclnametraffic-of-linklink#定义源MAC为
24、00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。Quidway-acl-link-traffic-of-linkrule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei(3)激活ACL。#将traffic-of-link的ACL激活。Quidway-GigabitEthernet0/1packet-filterlink-grouptraffic-of-link2,三层ACLa)基本访问控制列表配置案例.组网需求:通过基本访问控制列表,实现在每天8:0018:00时间
25、段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤:(1)定义时间段#定义8:00至18:00的周期时间段。Quidwaytime-rangehuawei8:00to18:00daily(2)定义源IP为10.1.1.1的ACL#进入基于名字的基本访问控制列表视图,命名为traffic-of-host。Quidwayaclnametraffic-of-hostbasic#定义源IP为10.1.1.1的访问规则。Quidway-acl-basic-traffic-of-hostrule1denyipsource10.1.1.10time
26、-rangehuawei(3)激活ACL。#将traffic-of-host的ACL激活。Quidway-GigabitEthernet0/1packet-filterinboundip-grouptraffic-of-hostb)高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。.配置步骤:(1)定义时间段#定义8:00至18:00的周期时间段。Quidwaytime-ra
27、ngehuawei8:00to18:00working-day(2)定义到工资服务器的ACL#进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。Quidwayaclnametraffic-of-payserveradvanced#定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserverrule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei(3)激活ACL。#将traffic-of-payserver的ACL激活。Quidway-Gig
28、abitEthernet0/1packet-filterinboundip-grouptraffic-of-payserver3,常见病毒的ACL创建aclaclnumber100禁pingruledenyicmpsourceanydestinationany用于控制Blaster蠕虫的传播ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444用于控制冲击波病毒的扫描和攻击ruledenytcpsourceanydestinati
29、onanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteqnetbios-nsruledenyudpsourceanydestinationanydestination-porteqnetbios-dgmruledenytcpsourceanydestinationanydestination-porteq139ruledenyudpsourceanydestinationanydesti
30、nation-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振荡波的扫描和攻击ruledenytcpsourceanydestinationanydestination-porte
31、q445ruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制Worm_MSBlast.A蠕虫的传播ruledenyudpsourceanydestinationanydestination-porteq1434下面的不出名的病毒端口号(可以不作)ruledenytcpsourceanydestination
32、anydestination-porteq1068ruledenytcpsourceanydestinationanydestination-porteq5800ruledenytcpsourceanydestinationanydestination-porteq5900ruledenytcpsourceanydestinationanydestination-porteq10080ruledenytcpsourceanydestinationanydestination-porteq455ruledenyudpsourceanydestinationanydestination-porte
33、q455ruledenytcpsourceanydestinationanydestination-porteq3208ruledenytcpsourceanydestinationanydestination-porteq1871ruledenytcpsourceanydestinationanydestination-porteq4510ruledenyudpsourceanydestinationanydestination-porteq4334ruledenytcpsourceanydestinationanydestination-porteq4331ruledenytcpsourc
34、eanydestinationanydestination-porteq4557然后下发配置packet-filterip-group100目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。NE80的配置:NE80(config)#rule-mapr1udpanyanyeq1434/r1为role-map的名字,udp为关键字,anyany所有源、目的IP,eq为等于,1434为udp端口号NE80(config)#acla1r1deny/a1为acl的名字,r1为要绑定的rule-map的名字,NE80(config-if-E
35、thernet1/0/0)#access-groupacla1/在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置:NE16-4(config)#firewallenableall/首先启动防火墙NE16-4(config)#access-list101denyudpanyanyeq1434/deny为禁止的关键字,针对udp报文,anyany为所有源、目的IP,eq为等于,1434为udp端口号NE16-4(config-if-Ethernet2/2/0)#ipaccess-group101in/在接口上启用access-list,in表示进来的报文,也可以用ou
36、t表示出去的报文中低端路由器的配置RouterfirewallenableRouteracl101Router-acl-101ruledenyudpsourceanydestionanydestination-porteq1434Router-Ethernet0firewallpacket-filter101inbound6506产品的配置:旧命令行配置如下:6506(config)#aclextendedaaadenyprotocoludpanyanyeq14346506(config-if-Ethernet5/0/1)#access-groupaaa国际化新命令行配置如下:Quidwaya
37、clnumber100Quidway-acl-adv-100ruledenyudpsourceanydestinationanydestination-porteq1434Quidway-acl-adv-100quitQuidwayinterfaceethernet5/0/1Quidway-Ethernet5/0/1packet-filterinboundip-group100not-care-for-interface5516产品的配置:旧命令行配置如下:5516(config)#rule-mapl3aaaprotocol-typeudpingressanyegressanyeq143455
38、16(config)#flow-actionfffdeny5516(config)#aclbbbaaafff5516(config)#access-groupbbb国际化新命令行配置如下:Quidwayaclnum100Quidway-acl-adv-100ruledenyudpsourceanydestinationanydestination-porteq1434Quidwaypacket-filterip-group1003526产品的配置:旧命令行配置如下:rule-mapl3r10.0.0.00.0.0.01.1.0.0255.255.0.0eq1434flow-actionf1de
39、nyaclacl1r1f1access-groupacl1国际化新命令配置如下:aclnumber100rule0denyudpsource0.0.0.00source-porteq1434destination1.1.0.00packet-filterip-group101rule0注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0255.255.0.0是内网的地址段。8016产品的配置:旧命令行配置如下:8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#aclbbbaaadeny8016(config)#
40、access-groupaclbbbvlan10portall国际化新命令行配置如下:8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#eaclbbbaaadeny8016(config)#access-groupeaclbbbvlan10portall防止同网段ARP欺骗的ACL一、组网需求:1.二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图:图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999。PC-B
41、上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。全局配置ACL禁止所有源IP是网关的ARP报文aclnum5000rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.
42、1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999。注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。在S3026C-A系统视图下发acl规则:S3026C-Apacket-filteruser-group5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。三层交换机实现仿冒网关的ARP防攻击一、组网需求:1.三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备,需要配置过滤源
43、IP是网关的ARP报文的ACL规则,配置如下ACL规则:aclnumber5000rule0deny0806ffff2464010105ffffffff40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。2.下发ACL到全局S3526Epacket-filteruser-group5000仿冒他人IP的ARP防攻击一、组网需求:作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤。二、组网图:参见图1和图2三、配置步骤:1.如图1所示,当PC-B发
44、送源IP地址为PC-D的arpreply攻击报文,源mac是PC-B的mac(000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习到错误的arp,如下所示:-错误arp表项-IPAddressMACAddressVLANIDPortNameAgingType100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到
45、E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击:arpstatic100.1.1.3000f-3d81-45b41e0/82.在图2S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。3.对于二层设备(S3050C和S3026E系列),除了可以配置静态ARP外,还可以配置IPMACport绑定,比如在S3026C端口E0/4上做如下操作:amuser-bindip-addr100.1.1.4mac-addr000d-88f8-09fainte0/4则IP为100.1.1.4并且MAC为000d-88f8-09fa
46、的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。四、配置关键点:此处仅仅列举了部分QuidwayS系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。5,关于ACL规则匹配的说明a)ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用。ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。b)ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL子规则的匹配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。ACL被软件引用的情况包括:路由策略引
黑公网安备:91230400333293403D