j交换机常用配置总结

更新时间：2024-04-16 18:17:02 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

1.1 交换机硬件概述 ............................................................................................................ 2 1.1.1 S2700硬件描述 ....................................................................................................... 2 1.1.2 S3700硬件描述 ....................................................................................................... 4 1.1.3 S5700硬件描述 ....................................................................................................... 7 1.1.4 S7700硬件描述 ..................................................................................................... 11 1.2 交换机问题FAQ50 ...................................................................................................... 16 1.2.1 交换机恢复到出厂默认配置的操作 ................................................................... 16 1.2.2 交换机进入各种模式的密码 ............................................................................... 17 1.2.3 端口vlan透传类型 .............................................................................................. 17 1.2.4 批量配置端口 ....................................................................................................... 18 1.2.5 交换机如何开启web功能 .................................................................................. 19 1.2.6 设备加载和升级补丁 ........................................................................................... 19 1.2.7 端口限速相关 ....................................................................................................... 20 1.2.8 802.1x配置 ............................................................................................................ 21 1.2.9 端口汇聚 ............................................................................................................... 23 1.2.10 端口镜像 ............................................................................................................. 25 1.2.11 灵活QINQ ........................................................................................................... 27 1.2.12 telnet账户配置.................................................................................................... 30 1.2.13 环路检查配置 ..................................................................................................... 31 1.2.14 如何屏蔽配置改变的告警提示 ......................................................................... 33 1.2.15 如何实现单向访问 ............................................................................................. 33 1.2.16 如何查看以及修改温度 ..................................................................................... 33 1.2.17 查看光模块信息及收发光功率的命令 ............................................................. 34 1.2.18 抓取上送cpu的报文 ......................................................................................... 35 1.2.19 SUPERVLAN+DHCP SERVER .................................................................................. 38 1.2.20 S7700自反acl实现单向访问 ............................................................................. 38 1.2.21 S7700 CPCAR对报文的限制 ................................................................................ 39

1.1 交换机硬件概述

1.1.1 S2700硬件描述

S2700-9TP-SI/EI产品外观

S2700-9TP-SI/EI产品包括S2700-9TP-SI-AC、S2700-9TP-EI-AC和S2700-9TP-EI-DC。 S2700-9TP-SI-AC、S2700-9TP-EI-AC产品外观如图1所示，S2700-9TP-EI-DC产品外观如图2所示。

图1 S2700-9TP-SI-AC、S2700-9TP-EI-AC产品外观

图2 S2700-9TP-EI-DC产品外观

S2700-9TP-SI/EI机箱高度为1U（1U=44.45mm），外型尺寸为250.0mm×180.0mm×43.6mm（宽×深×高）。

在S2700-9TP-SI/EI面板的左侧是电源模块，中间部分为SCU板。 ? ?

S2700-9TP-SI/EI支持交流电源、直流电源供电。

SCU板上有1个Console口，8个10/100BASE-T以太网接口和1个千兆Combo口(10/100/1000BASE-T+100/1000BASE-X)。

S2700-18TP-SI/EI产品外观

S2700-18TP-SI/EI产品包括S2700-18TP-SI-AC和S2700-18TP-EI-AC。 S2700-18TP-SI/EI产品外观如图3所示。图3 S2700-18TP-SI/EI产品外观

S2700-18TP-SI/EI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×220.0mm×43.6mm（宽×深×高）。

在S2700-18TP-SI/EI面板的左侧是电源模块，中间部分为SCU板。 ?

S2700-18TP-SI/EI支持交流电源、直流电源供电。

SCU板上有1个Console口，16个10/100BASE-T以太网接口和2个千兆Combo口(10/100/1000BASE-T+100/1000BASE-X)。

S2700-26TP-SI/EI产品外观

S2700-26TP-SI/EI产品包括S2700-26TP-SI-AC、S2700-26TP-EI-AC和S2700-26TP-EI-DC。 S2700-26TP-SI-AC、S2700-26TP-EI-AC产品外观如图4所示，S2700-26TP-EI-DC产品外观如图5所示。

图4 S2700-26TP-SI-AC、S2700-26TP-EI-AC产品外观

图5 S2700-26TP-EI-DC产品外观

S2700-26TP-SI/EI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×220.0mm×43.6mm（宽×深×高）。

在S2700-26TP-SI/EI面板的左侧是电源模块，中间部分为SCU板。 ? ?

S2700-26TP-SI/EI支持交流电源、直流电源供电。

SCU板上有1个Console口，24个10/100BASE-T以太网接口和2个千兆Combo口(10/100/1000BASE-T+100/1000BASE-X)。

S2700-52P-EI-AC产品外观

S2700-52P-EI-AC产品外观如图6所示。图6 S2700-52P-EI-AC产品外观

S2700-52P-EI-AC机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×220.0mm×43.6mm（宽×深×高）。

在S2700-52P-EI-AC机身的左后侧是电源模块。 ? ?

S2700-52P-EI-AC支持交流电源、直流电源供电。

SCU板上有1个Console口，48个10/100BASE-T以太网接口，2个100/1000BASE-X以太网光口和2个千兆SFP上行口。

S2700-9TP-PWR-EI产品外观

S2700-9TP-PWR-EI产品外观如图7所示。图7 S2700-9TP-PWR-EI产品外观

S2700-9TP-PWR-EI机箱高度为1U（1U=44.45mm），外型尺寸为320.0mm×220.0mm×43.6mm（宽×深×高）。

在S2700-9TP-PWR-EI面板的左侧是电源模块，中间部分为SCU板。 ? ? ?

S2700-9TP-PWR-EI支持交流电源供电。

下行8个电口支持PoE远程供电，每端口可以支持最大功率30W，符合802.3at标准。S2700-9TP-PWR-EI仅支持4端口满供。

SCU板上有1个Console口，8个10/100BASE-T以太网接口和1个千兆Combo口(10/100/1000BASE-T+100/1000BASE-X)。

S2700-26TP-PWR-EI产品外观

S2700-26TP-PWR-EI产品外观如图8所示。图8 S2700-26TP-PWR-EI产品外观

S2700-26TP-PWR-EI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S2700-26TP-PWR-EI面板的左后侧是双电源模块，中间部分为风扇板。 ? ? ?

S2700-26TP-PWR-EI支持交流电源供电。

下行24个电口支持PoE远程供电，每端口最大功率30W，符合802.3at标准。 SCU板上有1个Console口，24个10/100BASE-T以太网接口和2个千兆Combo口(10/100/1000BASE-T+100/1000BASE-X)。

1.1.2 S3700硬件描述

S3700-28TP-EI-MC-AC产品外观

S3700-28TP-EI-MC-AC产品外观如图1所示。图1 S3700-28TP-EI-MC-AC产品外观

S3700-28TP-EI-MC-AC机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×220.0mm×43.6mm（宽×深×高）。

在S3700-28TP-EI-MC-AC面板的左侧是电源模块，中间部分为SCU板。 ? ?

S3700-28TP-EI-MC-AC支持交流电源供电。

SCU板上有1个Console口，24个10/100BASE-T以太网接口，2个千兆SFP上行口，2个千兆Combo口(10/100/1000BASE-T+100/1000BASE-X)和2个监控口。

S3700-28TP-EI-MC-AC的监控口提供4个开关量告警输入，分别用于监控机柜门、电源、电池电量和空调电源。S3700-28TP-EI-MC-AC的监控口还提供3个开关量告警控制输出，可以连接声光报警设备，实现对温度、门禁、电源状态等周边环境的监控。

S3700-28TP-SI/EI产品外观

S3700-28TP-SI/EI产品包括S3700-28TP-SI-AC、S3700-28TP-EI-AC、S3700-28TP-SI-DC 和S3700-28TP-EI-DC。

S3700-28TP-SI-AC、S3700-28TP-EI-AC产品外观如图2所示，S3700-28TP-SI-DC、S3700-28TP-EI-DC如图3所示。

图2 S3700-28TP-SI-AC、S3700-28TP-EI-AC产品外观

图3 S3700-28TP-SI-DC、S3700-28TP-EI-DC产品外观

S3700-28TP-SI/EI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×220.0mm×43.6mm（宽×深×高）。

在S3700-28TP-SI/EI面板的左侧是电源模块，中间部分为SCU板。 ? ?

S3700-28TP-SI/EI支持交流电源、直流电源供电。

SCU板上有1个Console口，24个10/100BASE-T以太网接口，2个千兆SFP上行口和2个千兆Combo口(10/100/1000BASE-T+100/1000BASE-X)。

S3700-28TP-EI-24S-AC产品外观

S3700-28TP-EI-24S-AC产品外观如图4所示。图4 S3700-28TP-EI-24S-AC产品外观

S3700-28TP-EI-24S-AC机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×220.0mm×43.6mm（宽×深×高）。

在S3700-28TP-EI-24S-AC面板的左侧是电源模块，中间部分为SCU板。 ? ?

S3700-28TP-EI-24S-AC支持交流电源、直流电源供电。

SCU板上有1个Console口，24个100BASE-X以太网接口，2个千兆SFP上行口和2个千兆Combo口(10/100/1000BASE-T+100/1000BASE-X)。

S3700-52P-EI-24S产品外观

S3700-52P-EI-24S产品包括S3700-52P-EI-24S-AC和S3700-52P-EI-24S-DC。 S3700-52P-EI-24S产品外观如图5所示。图5 S3700-52P-EI-24S产品外观

S3700-52P-EI-24S机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

? ?

S3700-52P-EI-24S支持交流电源、直流电源供电。

SCU板上有1个Console口，24个10/100BASE-T以太网接口，24个100BASE-X以太网接口，2个100/1000BASE-X以太网光口和2个千兆SFP上行口。

S3700-52P-EI-48S产品外观

S3700-52P-EI-48S产品包括S3700-52P-EI-48S-AC和S3700-52P-EI-48S-DC。 S3700-52P-EI-48S产品外观如图6所示。图6 S3700-52P-EI-48S产品外观

S3700-52P-EI-48S机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。 ? ?

S3700-52P-EI-48S支持交流电源、直流电源供电。

SCU板上有1个Console口，48个100BASE-X以太网接口，2个100/1000BASE-X以太网光口和2个千兆SFP上行口。

S3700-52P-SI/EI产品外观

S3700-52P-SI/EI产品包括S3700-52P-SI-AC、S3700-52P-EI-AC和S3700-52P-EI-DC。 S3700-52P-SI/EI产品外观如图7所示。图7 S3700-52P-SI/EI产品外观

S3700-52P-SI/EI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×220.0mm×43.6mm（宽×深×高）。 ? ?

S3700-52P-SI/EI支持交流电源、直流电源供电。

SCU板上有1个Console口，48个10/100BASE-T以太网接口，2个100/1000BASE-X以太网光口和2个千兆SFP上行口。

S3700-28TP-PWR-EI产品外观

S3700-28TP-PWR-EI产品外观如图8所示。图8 S3700-28TP-PWR-EI产品外观

S3700-28TP-PWR-EI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S3700-28TP-PWR-EI机身的左后侧是双电源模块，后部中间部位是风扇模块。 ? ?

S3700-28TP-PWR-EI支持交流电源供电。

24个下行电口支持PoE远程供电，每端口最大功率能达到30W，符合802.3at标准。

SCU板上有1个Console口，24个10/100BASE-T以太网接口，2个千兆SFP上行口和2个千兆Combo口(10/100/1000BASE-T+100/1000BASE-X)。

S3700-52P-PWR-EI产品外观

S3700-52P-PWR-EI产品外观如图9所示。图9 S3700-52P-PWR-EI产品外观

S3700-52P-PWR-EI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S3700-52P-PWR-EI机身的左后侧是双电源模块，后部中间部位是风扇模块。 ? ? ?

S3700-52P-PWR-EI支持交流电源供电。

48个下行电口支持PoE远程供电，每端口最大功率能达到30W，符合802.3at标准。S3700-52P-PWR-EI仅支持24端口满供。

SCU板上有1个Console口，48个10/100BASE-T以太网接口，2个100/1000BASE-X以太网光口和2个千兆SFP上行口。

1.1.3 S5700硬件描述

说明： ? ?

前插卡为4端口GE SFP光接口板或4端口10GE SFP+光接口板时必须配扩展通道卡。 2端口10GE SFP+光接口板和堆叠卡能同时配置，4端口GE SFP光接口板、4端口10GE SFP+光接口板和堆叠卡不能同时配置，2端口10GE SFP+光接口板和4端口（GE SFP或10GE SFP+）光接口板不能同时配置。

S5700-28C-EI-24S产品外观

S5700-28C-EI-24S产品外观如图1所示。图1 S5700-28C-EI-24S产品外观

S5700-28C-EI-24S机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S5700-28C-EI-24S机身的左后侧是双电源模块，后部中间部位是风扇模块。 ? ?

S5700-28C-EI-24S支持交流电源、直流电源供电。

SCU板上有1个Console口，1个管理网口，24个100/1000BASE-X以太网光接口，4个10/100/1000BASE-T Combo口(和最后4个100/1000BASE-X接口复用)，1个前插卡插槽和1个后插卡插槽。

前插卡支持4端口GE SFP光接口板、2端口10GE SFP+光接口板和4端口10GE SFP+光接口板。后插卡支持扩展通道卡、堆叠卡。

S5700-28C-EI、 S5700-28C-PWR-EI产品外观

S5700-28C-EI、 S5700-28C-PWR-EI产品外观如图2、图3所示。图2 S5700-28C-EI产品外观

图3 S5700-28C-PWR-EI产品外观

S5700-28C-EI、 S5700-28C-PWR-EI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S5700-28C-EI、 S5700-28C-PWR-EI机身的左后侧是双电源模块，后部中间部位是风扇模块。 ? ? ? ? ?

S5700-28C-EI支持交流电源、直流电源供电。 S5700-28C-PWR-EI支持交流电源供电。

S5700-28C-PWR-EI下行24个电口支持PoE供电，每端口最大功率能达到30W，符合

802.3at标准。S5700-28C-PWR-EI仅支持12端口满供。

SCU板上有1个Console口，1个管理网口，24个10/100/1000BASE-T以太网接口，1个前插卡插槽和1个后插卡插槽。

前插卡支持4端口GE SFP光接口板、2端口10GE SFP+光接口板。S5700-28C-EI还支持4端口10GE SFP+光接口板。后插卡支持扩展通道卡、堆叠卡。

S5700-28C-SI产品外观

S5700-28C-SI产品外观如图4所示。图4 S5700-28C-SI产品外观

S5700-28C-SI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S5700-28C-SI机身的左后侧是双电源模块，后部中间部位是风扇模块。 ? ?

S5700-28C-SI支持交流电源、直流电源供电。

SCU板上有1个Console口，1个管理网口，24个10/100/1000BASE-T以太网接口，4个100/1000BASE-X Combo口(和最后4个10/100/1000BASE-T接口复用)，1个USB口，1个前插卡插槽和1个后插卡插槽。

前插卡支持4端口GE SFP光接口板、2端口10GE SFP+光接口板和4端口10GE SFP+光接口板。后插卡支持扩展通道卡、堆叠卡。

S5700-52C-EI、S5700-52C-PWR-EI产品外观

S5700-52C-EI、S5700-52C-PWR-EI产品外观如图5、图6所示。图5 S5700-52C-EI产品外观

图6 S5700-52C-PWR-EI产品外观

S5700-52C-EI、S5700-52C-PWR-EI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S5700-52C-EI、S5700-52C-PWR-EI机身的左后侧是双电源模块，后部中间部位是风扇模块。 ? ? ? ? ?

S5700-52C-EI支持交流电源、直流电源供电。 S5700-52C-PWR-EI支持交流电源供电。

S5700-52C-PWR-EI下行48个电口支持PoE供电，每端口最大功率能达到30W，符合802.3at标准。S5700-52C-PWR-EI仅支持24端口满供。

SCU板上有1个Console口，1个管理网口，48个10/100/1000BASE-T以太网接口，1个前插卡插槽和1个后插卡插槽。

前插卡支持4端口GE SFP光接口板、2端口10GE SFP+光接口板。S5700-52C-EI还支持4端口10GE SFP+光接口板。后插卡支持扩展通道卡、堆叠卡。

S5700-52C-SI产品外观

S5700-52C-SI产品外观如图7所示。图7 S5700-52C-SI产品外观

S5700-52C-SI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S5700-52C-SI机身的左后侧是双电源模块，后部中间部位是风扇模块。 ? ? ?

S5700-52C-SI支持交流电源、直流电源供电。

SCU板上有1个Console口，1个管理网口，48个10/100/1000BASE-T以太网接口，1个USB口和1个前插卡插槽和1个后插卡插槽。

前插卡支持4端口GE SFP光接口板、2端口10GE SFP+光接口板和4端口10GE SFP+光接口板。后插卡支持扩展通道卡、堆叠卡。

S5700-24TP-SI产品外观

S5700-24TP-SI产品包括S5700-24TP-SI-AC和S5700-24TP-SI-DC。

S5700-24TP-SI-AC产品外观如图8所示，S5700-24TP-SI-DC产品外观如图9所示。图8 S5700-24TP-SI-AC产品外观

图9 S5700-24TP-SI-DC产品外观

S5700-24TP-SI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×220.0mm×43.6mm（宽×深×高）。 ? ? ?

S5700-24TP-SI支持交流电源、直流电源供电，支持RPS直流电源供电。

SCU板上有1个Console口，1个管理网口，24个10/100/1000BASE-T以太网接口，1个USB口和4个100/1000BASE-X Combo口(和最后4个10/100/1000BASE-T接口复用)。后插卡支持堆叠卡。

S5700-48TP-SI产品外观

S5700-48TP-SI产品包括S5700-48TP-SI-AC和S5700-48TP-SI-DC。

S5700-48TP-SI产品外观如图10所示，S5700-48TP-SI-AC产品背面外观如图11所示，S5700-48TP-SI-DC产品背面外观如图12所示。图10 S5700-48TP-SI产品正面外观

图11 S5700-48TP-SI-AC产品背面外观

图12 S5700-48TP-SI-DC产品背面外观

S5700-48TP-SI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S5700-48TP-SI机身的左后侧是电源模块，后部的中间部位是RPS直流电源接口。 ? ? ?

S5700-48TP-SI支持交流电源、直流电源供电，支持RPS直流电源供电。

SCU板上有1个Console口，1个管理网口，48个10/100/1000BASE-T以太网接口，1个USB口和4个100/1000BASE-X Combo口(和最后4个10/100/1000BASE-T接口复用)。后插卡支持堆叠卡。

S5700-24TP-PWR-SI产品外观

S5700-24TP-PWR-SI产品外观如图13所示。图13 S5700-24TP-PWR-SI产品外观

S5700-24TP-PWR-SI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S5700-24TP-PWR-SI机身的左后侧是双电源模块，后部中间部位是风扇模块。 ? ? ? ?

S5700-24TP-PWR-SI支持交流电源供电。

S5700-24TP-PWR-SI下行24个电口支持PoE供电，每端口最大功率能达到30W，符合802.3at标准。S5700-24TP-PWR-SI仅支持12端口满供。

S5700-48TP-PWR-SI产品外观

S5700-48TP-PWR-SI产品外观如图14所示。图14 S5700-48TP-PWR-SI产品外观

S5700-48TP-PWR-SI机箱高度为1U（1U=44.45mm），外型尺寸为442.0mm×420.0mm×43.6mm（宽×深×高）。

在S5700-48TP-PWR-SI机身的左后侧是双电源模块，后部中间部位是风扇模块。 ? ? ? ?

S5700-48TP-PWR-SI支持交流电源供电。

S5700-48TP-PWR-SI下行48个电口支持PoE供电，每端口最大功率能达到30W，符合802.3at标准。S5700-48TP-PWR-SI仅支持24端口满供。

1.1.4 S7700硬件描述

S7703整机结构产品外观

S7703产品外观如图1、图2所示。图1 S7703产品外观

1. 挂耳 4. 线路板LPU 图2 S7703产品外观（背面） 2. 电源模块 5. PoE模块 3. 主控板MCU 6. 走线架 1. 风扇模块 2. 防尘网 S7703的机箱外型尺寸为442mm×476mm×175mm（宽×深×高）。

机箱正面从上到下分别为线路板、主控板和电源模块。整个机箱采用后抽风散热。搬运把手位于机箱两侧。

板件布局

S7703单板布局如图3所示。图3 S7703板件布局

? ? ? ?

S7703采用前维护设计，单板区共有5个横插拔的单板槽位。其中，下部两个槽位为半高槽位，固定为主控板MCU槽位，MCU板支持1+1备份；其他为线路板LPU槽位。风扇区和防尘网位于机箱的后面。

电源区位于机箱的底部，电源采用1+1冗余备份，支持双电网输入。可选择交流电源（AC）和直流电源（DC）两种供电方式。

支持POE供电。仅支持交流电源（AC），且不支持备份。

S7706整机结构产品外观

S7706产品外观如图1、图2所示。图1 S7706产品外观

1. 线路板LPU 4. 走线架 7. 电源模块 2. 主控板SRU 5. PoE模块 3. 挂耳 6. 集中监控板CMU 图2 S7706产品外观（背面） 1. 防尘网 2. 风扇模块 S7706的机箱外型尺寸为442mm×476mm×441.7mm（宽×深×高）。

机箱正面从上到下分别为线路板、主控板、集中监控板和电源模块。整个机箱采用后抽风散热。搬运把手位于机箱两侧。

板件布局

S7706单板布局如图3所示。图3 S7706板件布局

? ? ? ? ?

S7706的单板区共有8个横插拔的单板槽位。其中，中间两个槽位固定为主控板SRU槽位，SRU板支持1+1备份；其它为线路板LPU槽位。风扇区和防尘网位于机箱的后面。

电源区位于机箱的底部，支持双电网输入，可选择交流电源（AC）和直流电源（DC）两种供电方式。直流电源支持1+1配置，交流电源支持1+1或者2+2配置。集中监控板（CMU）位于机箱的底部，支持1:1备份。

支持PoE供电，仅支持交流电源（AC），支持4个PoE电源模块，支持2＋2备份、3＋1备份或者不备份（4+0）。

S7712整机结构产品外观

S7712产品外观如图1、图2所示。图1 S7712产品外观

1. 线路板LPU 4. 走线架 7. 电源模块 2. 主控板SRU 5. PoE电源模块 3. 挂耳 6. 集中监控板CMU 图2 S7712产品外观（背面） 1. 防尘网 2. 风扇模块 S7712的机箱外型尺寸为442mm×476mm×663.95mm（宽×深×高）。

机箱正面从上到下分别为线路板、主控板、集中监控板和电源模块。整个机箱采用后抽风散热。搬运把手位于机箱两侧。

板件布局

S7712单板布局如图3所示。图3 S7712板件布局

? ? ? ? ?

S7712的单板区共有14个横插拔的单板槽位。其中，中间两个槽位固定为主控板SRU槽位，SRU板支持1+1备份；其它为线路板LPU槽位。风扇区和防尘网位于机箱的后面。

电源区位于机箱的底部，支持双电网输入，可选择交流电源（AC）和直流电源（DC）两种供电方式。直流电源支持1+1配置，交流电源支持1+1或者2+2配置。集中监控板CMU位于机箱的底部，支持1:1备份。

支持PoE供电。仅支持交流电源（AC），共4个PoE电源模块，支持2＋2备份、3+1备份或者不备份（4+0）。

1.2 交换机问题FAQ50

1.2.1 交换机恢复到出厂默认配置的操作

reset save

The action will delete the saved configuration in the device.

The configuration will be erased to reconfigure. Continue? [Y/N]:y Warning: Now clearing the configuration in the device.

Jan 1 2008 00:20:45-08:00 Quidway %CFM/4/RST_CFG(l)[19]:The user chose Y when deciding whether to reset the saved configuration.....

Info: Succeeded in clearing the configuration in the device. reboot

Info: The system is now comparing the configuration, please wait.

Warning: All the configuration will be saved to the configuration file for the next startup:, Continue?[Y/N]:n（注意：此处提示是否保存当前配置，此时需要选择“N”） System will reboot! Continue?[Y/N]:y

1.2.2 交换机进入各种模式的密码

小S系列交换机进入bootrom的密码：huawei

小S系列交换机进入bootrom的超级密码：www.huawei.com 小S系列交换机进入隐含模式的密码：Vrp&8031 S7700系列交换机进入bootrom的密码：7800

S7700系列交换机进入bootrom的超级密码：Good luck to 7800！！！ S7700系列交换机进入隐含模式的密码：无

1.2.3 端口vlan透传类型

端口类型配置

小S端口类型配置，不同的版本不太一样： V100R005系列版本端口默认配置

interface Ethernet0/0/1 ntdp enable ndp enable bpdu enable 端口说明

端口默认是hybrid混合端口类型属于vlan 1，但是命令port hybrid pvid vlan 1不会在端口显示，默认情况下vlan 1从端口出去时是不带标签的。配置成hybrid端口

[Quidway]interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1]port link-type hybrid

[Quidway-Ethernet0/0/1]port hybrid tagged vlan 101 to 200 [Quidway-Ethernet0/0/1]port hybrid untagged vlan 300 [Quidway-Ethernet0/0/1]port hybrid pvid vlan 100 配置成access端口

[Quidway]interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1]port link-type access

[Quidway-Ethernet0/0/1]port default vlan 100 配置成trunk端口

[Quidway]interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1]port link-type trunk

[Quidway-Ethernet0/0/1]port trunk allow-pass vlan 101 to 200 [Quidway-Ethernet0/0/1]port trunk pvid vlan 100 配置提示错误解决方法

配置以上端口类型时，如果配置之前端口的配置不是默认配置，可能会出现以下告警提示，需要将相应端口数据先恢复到默认配置再配置以上端口类型。提示Error: Please renew the default configurations.

把端口的配置修改成如下默认配置：

interface Ethernet0/0/1 ntdp enable ndp enable bpdu enable

提示Error: Please delete the trunk VLAN first before changing the type of the trunk port.

请把端口的透传vlan的配置删除 S7700：

S7700支持4种不同的端口链路类型：Access、Hybrid、Trunk、Dot1q-tunnel。 S7700默认的端口链路类型为Hybrid。【配置举例】

将端口2/0/0类型修改为access模式，以下是端口的当前配置 [Quidway] interface gigabitethernet 2/0/0

[Quidway-GigabitEthernet2/0/0] port link-type trunk

[Quidway-GigabitEthernet2/0/0] port trunk allow-pass vlan 2

[Quidway-GigabitEthernet2/0/0] undo port trunk allow-pass vlan 1

（1）首先需要先将端口配置的数据清空 [Quidway] interface gigabitethernet 2/0/0

[Quidway-GigabitEthernet2/0/0] undo port trunk allow-pass vlan 2 [Quidway-GigabitEthernet2/0/0] port trunk allow-pass vlan 1 （2）查看端口配置

[Quidway-GigabitEthernet2/0/0]display this

[Quidway-GigabitEthernet2/0/0] port link-type trunk

（3）端口下只有端口类型的命令，其他配置已经删除，此时才可以更改端口类型 [Quidway-GigabitEthernet2/0/0] port link-type access

1.2.4 批量配置端口

该版本小S所有端口一次加入某vlan时会提示以下错误信息： [Quidway]vlan 10

[Quidway-vlan10]port Ethernet 0/0/1 to 0/0/24 Error: Trunk or Hybrid port(s) cannot be added or deleted in this manner.

表示默认的端口类型是hybrid端口类型，不能直接在vlan 视图下一次性把多个端口加入某个vlan。请在设备默认配置下按以下配置操作： [Quidway]port-group 1

[Quidway-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/24 [Quidway-port-group-1]port link-type access

以上操作完成后可以一次把端口加入vlan或一次在vlan中添加端口 [Quidway-port-group-1]port default vlan 10 或

[Quidway]vlan 10

[Quidway-vlan10]port Ethernet 0/0/1 to 0/0/24

1.2.5 交换机如何开启web功能

目前交换机开启web功能，必须要有web.zip文件才可以。目前该文件需要让用户单独向设备提供商索要，后续新发货的设备flash均自行携带web.zip文件，现场直接开启就可以了！具体命令：

[Quidway]http server load zz1.web.zip [Quidway]http server enable [Quidway]aaa

[Quidway-aaa]local-user huawei password simple huawei info: A new user added

[Quidway-aaa]local-user huawei service-type http [Quidway-aaa]local-user huawei privilege level 3

然后只要保证pc可以ping通交换机，pc就可以使用IE浏览器来登陆交换机的web管理功能了！

1.2.6 设备加载和升级补丁

（1）上传软件补丁到flash中

（2）加载补丁包文件： patch load patch.pat all （3）激活补丁： patch active all

将处于inactive状态的补丁激活到active状态，临时运行此补丁。（4）运行补丁： patch run all

将处于active状态的补丁激活到running状态，并永久运行此补丁。（5）按照下面的步骤检查补丁包文件是否安装成功 display patch-information

===================================================== Unit 0 service pack version:V100R003SPH009

Unit 0 pack file name :flash:/s23_33_53-v100r003sph009.pat ----------The patch information of unit 0---------- Total Patch Unit : 145 Running Patch Unit : 1 – 145

Active Patch Unit : no patch

Deactive Patch Unit : no patch

卸载、删除补丁的命令

（1）删除补丁： patch delete （2）查看补丁状态是否正常删除 display patch-information Info: No patch exists on unit 0

1.2.7 端口限速相关

S2700-SI 只能作基于端口出方向的限速，其它限速功能不支持；其他设备均主持出入方向限速！

使用命令qos lr inbound/outbound cir *** cbs ***配置限速；cbs 与cir 的数值对应关系与S9300相同，缺省为125 倍的关系； 1、qos lr方式【举例】

[Quidway-Ethernet0/0/5]qos lr inbound cir 10240 [Quidway-Ethernet0/0/5]qos lr outbound cir 10240

2、traffic-policy方式

[Quidway]traffic classifier huawei

[Quidway-classifier-huawei]if-match any [Quidway-classifier-huawei]quit

[Quidway]traffic behavior huawei

[Quidway-behavior-huawei]car cir 10240 cbs 2048000 pbs 4096000 [Quidway-behavior-huawei]quit

[Quidway]traffic policy huawei

[Quidway-policy-huawei]classifier huawei behavior huawei [Quidway-policy-huawei]quit

[Quidway]interface ethernet 0/0/1

[Quidway-Ethernet0/0/1]traffic-policy huawei inbound [Quidway-Ethernet0/0/1]qos lr cir 10240 cbs 2048000 3、traffic-limit方式： [Quidway] acl number 4000

[Quidway-acl-L2-4000] rule permit #基于全局配置入方向限速：

[Quidway]traffic-limit inbound acl 4000 cir 1024 cbs 204800

#基于vlan配置入方向限速：

[Quidway]traffic-limit vlan 300 inbound acl 4000 cir 2048 cbs 409600 #基于端口配置入方向限速：

[Quidway-Ethernet0/0/1]traffic-limit inbound acl 4000 cir 1024 cbs 204800

[Quidway-Ethernet0/0/1]qos lr cir 10240 cbs 2048000 4、还可以基于全局、vlan限速 #基于全局

[Quidway]traffic-limit inbound acl 4000 cir 10240

[Quidway]traffic-limit outbound acl 4000 cir 10240 #基于vlan

[Quidway]traffic-limit vlan 300 inbound acl 4000 cir 10240 [Quidway]traffic-limit vlan 300 outbound acl 4000 cir 10240

1.2.8 802.1x配置

802.1X认证方式，有两种：本地认证和radius认证方式 1、本地认证配置方式：（1）全局使能dot1x功能

[Quidway] dot1x （2）端口使能dot1x功能

[Quidway]interface Ethernet0/0/1

[Quidway-Ethernet0/0/1] port default vlan 2 [Quidway-Ethernet0/0/1] dot1x （3）系统视图下配置本地的账号和密码

[Quidway] aaa [Quidway-AAA] local-user huawei password simple huawei [Quidway-AAA] local-user huawei service-type 8021x 2、radius认证配置方式：

1）在S-switch上创建VLANIF接口并为其配置IP地址。 system-view [Quidway] vlan 100

[Quidway-vlan100] port ethernet 0/0/1 [Quidway-vlan100] port ethernet 0/0/2 [Quidway-vlan100] port ethernet 0/0/3 [Quidway-vlan100] interface vlanif 100

[Quidway-Vlanif100] ip address 192.168.0.1 255.255.255.0 [Quidway-Vlanif100] quit

（2）在S-switchs添加认证、授权、计费对应的模板 [Quidway] aaa

[Quidway-aaa] authentication-scheme test

[Quidway-aaa-authen-test] authentication-mode radius [Quidway-aaa-authen-test] quit

[Quidway-aaa] authorization-scheme test

[Quidway-aaa-author-test] authorization-mode none [Quidway-aaa-author-test] quit

[Quidway-aaa] accounting-scheme test

[Quidway-aaa-accounting-test] accounting-mode none [Quidway-aaa-author-test] quit

（3）创建RADIUS模版。

[Quidway] radius-server template test

[Quidway-radius-test] radius-server authentication 192.168.0.10 1812 [Quidway-radius-test] radius-server accounting 192.168.0.10 1813 [Quidway-radius-test] radius-server shared-key 3300

[Quidway-radius-test]radius-server user-name domain-included

％此处如果radius服务器配置的账户信息不携带域名的话，需要将该命令undo掉！％（4）配置用户归属的认证域test。 [Quidway-aaa] domain test

[Quidway-aaa-domain-test] authentication-scheme test [Quidway-aaa-domain-test] authorization-scheme test [Quidway-aaa-domain-test] accounting-scheme test [Quidway-aaa-domain-test] radius-server test [Quidway-aaa-domain-test] quit

（5）使能指定接口Ethernet0/0/1的802.1x认证功能。 [Quidway] interface ethernet 0/0/1

[Quidway–Ethernet0/0/1] dot1x maxuser 1 [Quidway–Ethernet0/0/1] dot1x

[Quidway-Ethernet0/0/1] dot1x port-method port [Quidway–Ethernet0/0/1] quit

（6）使能全局的802.1x认证功能。 [Quidway] dot1x 【注意】

当采用本地认证时，802.1x用户的认证方式不可以配置为EAP方式。缺省情况下，802.1x用户认证方式为CHAP认证, 修改命令：dot1x authentication-method { chap | eap | pap}.

（1）握手机制问题

小S默认开启握手机制，每15S发送一次，如果下面的客户端不支持握手或者支持不好，那么建议在设备上关闭握手机制。

[Quidway] undo dot1x handshake （2）主动触发认证

对于客户端windows xp sp2操作系统自带的客户端不会主动发起认证（EAPOL－Start），sp3可以主动发起认证。

对于由设备端口发起认证需要配置端口的认证方法为基于端口的认证（dot1x port-method port），基于用户MAC的认证方法不会主动发起认证，sp2必须配置dot1x port-method port，sp3不能配置dot1x port-method port。

如果用户是自动获取地址，那么设备上可以配置dot1x dhcp-trigger 来触发认证（4）支持修改默认域：[Quidway]domain server admin 不改的话就需要带域名认证。（5）H3C的认证客户端：

属性里需要配置成如下，使用静态IP地址做DOT1X做认证。

1.2.9 端口汇聚

默认情况下，缺省的工作模式为手工负载分担模式，不需要特殊添加配置。（1）创建编号为1的Eth-Trunk [Quidway] interface eth-trunk 1 （2）端口加入汇聚组

[Quidway] interface Ethernet0/0/1 [Quidway-Ethernet0/0/1] eth-trunk 1 [Quidway] interface Ethernet0/0/2 [Quidway-Ethernet0/0/2] eth-trunk 1 静态汇聚

（1）创建编号为1的Eth-Trunk，配置工作模式为静态LACP模式 [Quidway] interface eth-trunk 1

[Quidway-Eth-Trunk1] mode lacp-static （2）将成员接口加入Eth-Trunk [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] eth-trunk 1 [Quidway] interface ethernet 0/0/2 [Quidway-Ethernet0/0/2] eth-trunk 1

（3）配置接口Eth-Trunk处理BPDU报文 [Quidway] interface eth-trunk 1 [Quidway-Eth-Trunk1] bpdu enable [Quidway-Eth-Trunk1] quit

（4）配置系统优先级为100，使其成为LACP主动端（可选） [Quidway] lacp priority 100

（5）配置活动接口上限阈值，例如为2（可选） [Quidway] interface eth-trunk 1

[Quidway-Eth-Trunk1] max bandwidth-affected-linknumber 2

[Quidway-Eth-Trunk1] quit

（6）配置接口优先级确定活动链路（可选） [Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] lacp priority 100

负载分担方式

S2700SI 即可支持手工也可支持静态聚合，支持基于源或目的mac的负载分担方式。

其他S23EI/S33/S53 都支持基于源mac、目的mac、源mac和目的mac、源ip 、目的ip、源ip和目的ip 六种负载分担方式。

（3）聚合端口可以不连续，并且支持光口和电口的聚合。（4）聚合组数：

S2709SI支持2个聚合组，S2718SI/S2726SI 支持3个聚合组，S2700EI支持14个聚合组；S2700SI每个聚合组内最大4个物理端口。S2700EI每个聚合组内最大8个物理端口。 S3700支持20个聚合组，每个聚合组内最大8个物理端口。

S5700最大支持16个聚合组，而每个聚合组最大支持20个成员端口。【注意】：

将以太网接口加入Eth-Trunk之前，该以太网接口上必须没有任何配置； FE口和GE口不能加入同一个Eth-Trunk接口；

删除eth-trunk端口前，必须删除汇聚组内的所有成员接口。注意：如果聚合端口需要启用stp的话，需要配置bpdu enable。 S7700:

（1）手工聚合方式创建聚合Eth-Trunk组 system-view

[Quidway] interface eth-trunk 120 [Quidway-Eth-Trunk120] quit

向Eth-Trunk中加入成员接口将GE2/0/0加入Eth-Trunk 120

[Quidway] interface gigabitethernet 2/0/0 [Quidway-GigabitEthernet2/0/0] eth-trunk 120 [Quidway-GigabitEthernet2/0/0] quit

将GE3/0/0加入Eth-Trunk 120

[Quidway] interface gigabitethernet 3/0/0 [Quidway-GigabitEthernet3/0/0] eth-trunk 120 [Quidway-GigabitEthernet3/0/0] quit

【注意】将物理端口添加到eth-trunk端口前需要将端口的配置清空（2）静态聚合

创建汇聚Eth-Trunk组，并设置模式为静态聚合方式 system-view

[Quidway] interface eth-trunk 1

[Quidway-Eth-Trunk1] mode lacp-static [Quidway-Eth-Trunk1] quit 向Eth-Trunk中加入成员接口

将GE1/0/1，GE1/0/2，GE1/0/3加入Eth-Trunk 1 [Quidway] interface gigabitethernet 1/0/1

[Quidway-GigabitEthernet1/0/1] eth-trunk 1 [Quidway-GigabitEthernet1/0/1] quit

[Quidway] interface gigabitethernet 1/0/2 [Quidway-GigabitEthernet1/0/2] eth-trunk 1 [Quidway-GigabitEthernet1/0/2] quit

[Quidway] interface gigabitethernet 1/0/3 [Quidway-GigabitEthernet1/0/3] eth-trunk 1 [Quidway-GigabitEthernet1/0/3] quit

（3）配置静态LACP优先级来实现链路的备份（可选）

假设要求1/0/1和1/0/2口做链路主用链路，1/0/3做链路备份。 [Quidway] interface gigabitethernet 1/0/3

[SwitchA-GigabitEthernet1/0/3]lacp priority 200

配置LACP优先级为200 。缺省情况下，接口的LACP优先级是32768，优先级低的端口作为备份端口。

【注意】将物理端口添加到eth-trunk端口前需要将端口的配置清空负载分担方式

（1）7700缺省情况下，Eth-Trunk的负载分担模式为src-dst-ip

（2）Eth-Trunk对转发的流量报文，负载分担是逐流进行的，本端与对端的负载分担模式可以不一致，两端互不影响

（3）对于设备cpu始发的报文，Eth-Trunk是负责分担方式是逐包的。

（4）修改负载分担方式的命令：load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dst-mac | enhanced profile profile-name } 【举例】

修改汇聚组的负载分担方式为基于源mac+目的mac的hash方法 [Quidway] interface eth-trunk 1

[Quidway-Eth-Trunk1] load-balance src-dst-mac 【注意】

已知组播数据在eth-trunk组中是根据源IP+目的IP进行hash的，无法修改分担方式，芯片限制，后续版本也无法修改。

未知组播，未知单播都是根据源mac+目的mac地址进行hash的，无法修改。已知单播根据load的配置来hash

1.2.10 端口镜像

设备支持本地还有远程镜像，这里只介绍本地镜像。（1）本地基于端口镜像配置配置观察接口

# 将Ethernet0/0/24接口配置为观察接口。 system-view

[Quidway] observe-port 1 interface ethernet 0/0/24 将Ethernet0/0/1接口配置为镜像接口。 [Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port-mirroring to observe-port 1 inbound

（2）本地基于VLAN镜像配置配置观察接口

# 将Ethernet0/0/24接口配置为观察接口。 system-view

[Quidway] observe-port 1 interface ethernet 0/0/24 将vlan 10 配置为镜像vlan [Quidway] VLAN 10

[Quidway-VLAN10] mirroring to observe-port 1 inbound （3）本地基于MAC地址镜像配置配置观察接口

# 将Ethernet0/0/24接口配置为观察接口。 system-view

[Quidway] observe-port 1 interface ethernet 0/0/24

在vlan 10视图下配置基于mac地址的镜像 [Quidway] VLAN 10

[Quidway-VLAN10] mac-mirroring 0001-0001-0001 to observe-port 1 inbound （4）本地流镜像配置

将1口的源为10.1.1.1/24网段的数据流镜像到24口观测。配置观察接口。

# 将Ethernet0/0/24接口配置为观察接口。 system-view

[Quidway] observe-port 1 interface ethernet 0/0/24

创建acl定义监控的数据流规则。

[Quidway] acl number 3000 [Quidway] rule permit ip source 10.1.1.1 0.0.0.255

创建流分类器，关联acl。

[Quidway] traffic classifier c1 [Quidway-classifier-c1] if-match acl 3000 创建流动作，定义流镜像。

[Quidway] traffic behavior b1 [Quidway-behavior-b1] port-mirroring to observe-port 1 定义流策略，管理分类器和动作

[Quidway] traffic policy p1 [Quidway-trafficpolicy-p1] classifier c1 behavior b1 端口下应用规则实现流镜像

[Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] traffic-policy p1 inbound 【注意】

都支持1:1和n：1镜像；支持入和出方向的镜像；但不支持1：n镜像。

S2700支持1个监控端口，S3700SI、S5700SI支持1个监控端口；S3700EI、S5700EI支持4个监控端口。

S2700SI不支持流镜像，其他S27/S37/S57支持流镜像。 S2700 不支持远程镜像，S37/S57支持远程镜像。

S2700SI不支持vlan/mac镜像，其他S27/S37/S57支持报文入vlan镜像。

S27/S37/S57都不支持聚合组的镜像。不支持cpu镜像到端口。

1.2.11 灵活QINQ

（1）普通QinQ配置

在交换机上配置接口Ethernet0/0/1成为QinQ接口。 [Qudiway] interface ethernet 0/0/1

[Qudiway-Ethernet0/0/1] port link-type dot1q-tunnel [Qudiway-Ethernet0/0/1] port default vlan 10 [Qudiway-Ethernet0/0/1] quit （2）上行端口透传外层VLAN 10。 [Qudiway] interface ethernet 0/0/2

[Qudiway-Ethernet0/0/2] port trunk allow-pass vlan 10 [Qudiway-Ethernet0/0/2] quit 灵活QinQ配置【举例】

需求：对内层vlan 100~200打外层vlan 2，对内层vlan 300~400打外层vlan 3，对vlan 1000做单层透传。

a）灵活QinQ端口配置：

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port link-type hybrid [Quidway-Ethernet0/0/1] port hybrid untagged vlan 2 3 [Quidway-Ethernet0/0/1] port hybrid tagged vlan 1000 [Quidway-Ethernet0/0/1] qinq vlan-translation enable

[Quidway-Ethernet0/0/1] port vlan-stacking vlan 100 to 200 stack-vlan 2 [Quidway-Ethernet0/0/1] port vlan-stacking vlan 300 to 400 stack-vlan 3 [Quidway-GigabitEthernet0/0/1] port vlan-mapping vlan 1000 to 1100 map-vlan 101 b）上行端口配置：

上行端口透传外层vlan和单层透传的vlan [Quidway] interface gigabitethernet 0/0/1

[Quidway-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 1000

【注意】

（1）S27SI 不支持QinQ；S27EI不支持灵活QinQ；其他设备都支持普遍/灵活QinQ。（2）除S27SI 外其他设备都支持聚合端口＋QinQ配置。（3）vlan-mapping问题：

A、S27SI，S57EI/SI不支持全局1：1 mapping，其他设备支持全局1：1 mapping。 B、S27SI不支持端口1：1 mapping，其他设备支持端口1：1 mapping。 C、S27EI、S37EI 支持全局n：1 mapping，其他设备不支持n：1 mapping。 D、S27SI，s2752、s3752 不支持n：1 mapping，其他设备支持 n：1 mapping。 E、全局1：1 vlan mapping 支持cvlan 个数： S27EI支持16个，S37 支持1k个。

F、端口1：1 vlan mapping 支持cvlan 个数：

S27EI支持16个，S3700，S57SI 支持512个，S57EI 支持1k个。 G、端口n：1 vlan mapping 支持cvlan 个数：

S27EI支持16个，S3700，S57SI支持512个，S57EI 支持1k个。 S7700:

（1）普通QinQ配置【举例】

需求：针对g1/0/1口的所有数据报文统一封装vlan10的vlan标记，配置如下：创建vlan：

[Quidway] vlan 10

端口设备为普通QinQ端口

[Quidway] interface gigabitethernet 1/0/1

[Quidway-GigabitEthernet1/0/1] port link-type dot1q-tunnel [Quidway-GigabitEthernet1/0/1] port default vlan 10 在上行端口透传外层vlan即可。

[Quidway] interface gigabitethernet 5/0/1

[Quidway-GigabitEthernet5/0/1] port trunk allow-pass vlan 10 （2）灵活QinQ配置【举例】

（1）方法一：采用策略方式配置灵活qinq：

a）组网：BAS----(3/0/1)7706(3/0/0)-----dslam---用户 b）需求：

1、内层 vlan：200---300 打外层1000 2、内层 vlan：400---500 打外层2000 3、单层 vlan 999 直接透传 c）配置如下：

1、流分类：定义内层vlan信息

traffic classifier 123 （123 是名字可以随便定义） if-match vlan-id 200 to 300

traffic classifier 234 （234 名字，可以随便定义） if-match vlan-id 400 to 500 2、流动作：定义外层vlan信息

traffic behavior 123 （123 是名字可以随便定义） nest top-most vlan-id 1000 traffic behavior 234

nest top-most vlan-id 2000 3、流策略：关联流分类和流动作

traffic policy huawei （huawei 名字：可以随便定义） classifier 123 behavior 123 classifier 234 behavior 234 4、在端口上应用

interface GigabitEthernet3/0/0

port hybrid untagged vlan 1000 2000 port hybrid tagged vlan 999 traffic-policy huawei inbound

port vlan-mapping vlan 999 map-vlan 999 //V1R2及之后版本标准型单板配置 5、在上行端口透传外层和单层透传的vlan。

interface GigabitEthernet4/0/0

port trunk allow-pass vlan 1000 2000 999

（2）方法二：采用vlan-statcking的方式配置灵活qinq： a）组网：BAS----(3/0/1)7706(3/0/0)-----dslam---用户 b）需求：

1、内层 vlan：200---300 打外层1000 2、内层 vlan：400---500 打外层2000 3、单层 vlan 999 直接透传 c） V1R2及之后版本配置如下： 1、下行端口配置

interface GigabitEthernet3/0/0

port hybrid untagged vlan 1000 2000 port hybrid tagged vlan 999

port vlan-stacking vlan 200 to 300 stack-vlan 1000 port vlan-stacking vlan 400 to 500 stack-vlan 2000

port vlan-mapping vlan 999 map-vlan 999 //标准型单板添加此命令

2、在上行端口透传外层和单层透传的vlan。【注意】

（1）对于S7700交换机灵活QinQ的说明：配置方法一：适用于S9300的所有版本；

配置方法二：在V1R2及其之后版本可以满足99%的场景，在V1R1的版本有资源限制，标准板768，增强板8K。

（2）对于S7700交换机单层透传vlan的说明：

标准单板需要针对单层透传的vlan在该QinQ端口做vlan-mapping，或者上行口把该下行口的pvid作为untagged模式 Vlan-mapping命令： V1R1版本：

port vlan-mapping outside-vlan vlanid map-vlan vlanid V1R2及之后版本：

port vlan-mapping vlan vlanid map-vlan vlanid （3）mac地址学习情况配置灵活QinQ后，双层vlan用户的mac地址是学习在外层vlan中，单层vlan用户学习在原有vlan中（若是标准型单板，没有配置vlan-mapping的情况下时学习在端口pvid中的）（4）优先级说明：

灵活QinQ配置，vlan-mapping和vlan-stacking的优先级，增强板会自动继承优先级；标准板不会自动继承；（5）特殊情况补充：

端口下配置灵活QinQ时，vlan-stacking和策略方式同时使用时，若一部分数据流同时匹配了vlan-stacking和策略的方式，则策略方式先生效，如下举例： traffic classifier macsource

if-match source-mac 5cff-350b-0000 mac-address-mask ffff-ffff-0000 #

traffic behavior macsource

nest top-most vlan-id 3998 #

traffic policy macsource

classifier macsource behavior macsource #

interface GigabitEthernet1/0/6 description Testing-LR

port hybrid untagged vlan 3998 to 3999

port vlan-stacking vlan 2001 to 2768 stack-vlan 3999 traffic-policy macsource inbound undo negotiation auto

该mac地址本身内层vlan就属于2001到2768的一段，使用vlan-stacking方式指定一个外层vlan，然后又使用策略方式针对该mac地址指定另外一个外层vlan，这种情况下是策略方式先生效。

1.2.12 telnet账户配置

（1）TELNET本地用户名和密码验证配置设置使用用户名+密码的验证方式 [Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode aaa [Quidway-ui-vty0-4] quit 设置登陆的账号和密码

配置交换机认证的用户名为huawei，密码huawei，服务类型是telnet，级别为3级。（缺省为1） V1R3版本： [Quidway] aaa

[Quidway-aaa] local-user huawei password simple huawei [Quidway-aaa] local-user huawei service-type telnet [Quidway-aaa] local-user huawei level 3 V1R5版本： [Quidway] aaa

[Quidway-aaa] local-user huawei password simple huawei [Quidway-aaa] local-user huawei service-type telnet [Quidway-aaa] local-user huawei privilege level 3 为用户增加super密码的配置（可选）

假设配置级别15用户的super password为明文密码”hw” [Quidway]super password level 15 simple hw （2）TELNET 密码验证配置设置使用密码方式登陆

配置密码为 huawei,验证模式为“密码”验证, 并设定用户登录时的级别为3。 [Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4]set authentication password cipher huawei

[Quidway-ui-vty0-4]authentication-mode password [Quidway-ui-vty0-4]user privilege level 3 [Quidway-ui-vty0-4]quit

（2）为用户增加super密码的配置（可选） [Quidway]super password level 3 simple hw

S27&S37&S57交换机调整查看配置文件权限到低级别的命令 [Quidway]command-privilege level 2 view system display

[Quidway]command-privilege level 2 view system display current-configuration

1.2.13 环路检查配置

全局开启环路检测，所有端口就同时开启了该功能。 [Quidway]loopback-detect enable

V1R5 版本端口支持检测8个vlan的环路，除支持支持trap、shut、block动作外，增加了禁止mac学习的处理动作。 [Quidway] int Ethernet 0/0/1

[Quidway-Ethernet0/0/1]loopback-detect packet vlan 20 21 22 23 24 25 26 27 [Quidway-Ethernet0/0/1]loopback-detect action nolearn 【注】

该版本环路告警信息也在trap中打印，并且trap 告警里可以显示环路的 vlan 信息。告警信息如下：

#Jan 1 2008 06:43:54-08:00 Quidway LDT/4/Porttrap:OID 1.3.6.1.4.1.2011.5. 25.174.3.3 Loopback does exist on interface(5) Ethernet0/0/1 ( VLAN 20 ) , loopback detect status: 4.(1:normal; 2:block; 3:shutdown; 4:trap; 5:nolearn)

多端口环路检测

S27&S37&S57设备支持mac地址漂移检测，可以检测到多端口的环路，使用的是在vlan内开启环路检测功能的命令。

（这个功能只有S37&57支持，S2700、S2752不能支持。）

多端口环路检测配置

在vlan 下开启mac地址漂移检测，所有版本都支持32个vlan的检测功能。配置如下：

[Quidway]vlan 3 [Quidway-vlan 3] loop-detect eth-loop block-time 30 retry-times 3

告警内容包括端口、vlan、时间，三类信息。在trap中不仅可以连续告警，还可以显示漂移的具体mac地址。

#Jan 1 2008 06:53:12-08:00 Quidway L2IFPPI/4/MFLPIFRESUME:OID 1.3.6.1.4.1. 2011.5.25.160.3.2 Loop does not exist in vlan 3, Interface Ethernet0/0/1 resumed, block-time is 30 for mac-flapping disappeared. #Jan 1 2008 06:52:22-08:00 Quidway L2IFPPI/4/MFLPIFBLOCK:OID 1.3.6.1.4.1. 2011.5.25.160.3.1 Loop exist in vlan 3, Interface Ethernet0/0/1 blocked, block-time is 30 for mac-flapping, Mac Address is 00e0-fc22-765a. S7700:

（1）环路检测是对vlan内检测环路，开启前要求全局和在该检测环路vlan内的端口都要关

闭stp

[Quidway]stp disable

[Quidway]interface gigabitethernet1/0/2 [Quidway-GigabitEthernet1/0/2]stp disable （2）全局使能环路检测，vlan内使能环路检测 [Quidway] loop-detection enable

[Quidway] loop-detection enable vlan 2 （3）端口上配置检测到环路后的动作

[Quidway-GigabitEthernet1/0/1] loop-detection port-nolearning / port-shutdown

mode port-trap/ port-blocking /

注：上行口可以关闭环路检查或设置为trap的动作（4）环路检测信息上报网管设备（可选）

[Quidway]snmp-agent trap enable loop-detection

注：若要上报trap信息，此命令必须开启【注意】

（1）缺省情况下，S9300不对任何VLAN进行环路检测，需要配置使能vlan的环路检测功能，最多支持800个vlan的环路检测；

（2）在vlan里开启环路检测时，必须该vlan所包含所有接口上配置stp disable；（3）端口检测到环路有4种端口受控的处理方式{ port-trap |port-blocking | port-nolearning | port-shutdown }，缺省情况下，端口上环路检测受控功能处于port-blocking状态，且不会恢复；但是，都可以通过配置recovery-time时间来自动恢复，使端口退出受控状态；

（4）若端口是trap的动作，则在recovery-time时间内只会上报一次trap信息，不会重复发送告警，对于trap模式需要持续告警的话，必须在端口下配置loop-detection recovery-time，命令模式如下：

[Quidway] interface GigabitEthernet 1/0/2

[Quidway-GigabitEthernet1/0/2] loop-detection port recovery-time 3 //取值范围为1～255，单位秒（5）V1R1/V1R2版本环路检测报警内容不含有具体vlan信息，后续V1R3版本包含具体vlan信息。

（6）设备开启环路检测后的风险

a）V100R003C00SPC200的版本，设备上使用了LDT功能：

当设备检测到环路需要阻塞相应的端口时，会造成内存泄露。需要补丁V100R003SPH005解决！该补丁只能预防问题的发生，但是在激活补丁前，问题已经发生的话，运行补丁后，对于已经泄露的内存无法自动回收。

b）端口的LDT工作模式为“port-shutdown”并且配置了自动恢复时间，当LDT检测到环路将端口shutdown后，若环路已经消失，端口无法恢复。需要补丁V100R003SPH003解决！该补丁只能预防问题的发生，但是在激活补丁前，问题已经发生的话，需要运行补丁，将端口通过“shutdown / undo shutdown”操作来恢复。

c）V100R002C00SPC002、V100R002C00SPC100、V100R002C00SPC200版本，LDT配置注意：配置部分端口加入某些VLAN ，通过loop-detection enable vlan命令一次性批量使能或去使能这些VLAN的LDT功能，导致设备整机复位或者出现死循环告警。

d）建议：使用LDT时，不建议大规格部署，建议只对必须使能LDT的VLAN部署LDT功能。对于出现死循环告警的情况，需要对设备进行复位后加载并激活补丁。【备注】S9300建议在V1R6版本部署使用LDT

1.2.14 如何屏蔽配置改变的告警提示

输入配置命令后设备会提示如下类似信息：

DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3.1 configurations have been changed. The current change number is 1, the change loop count is 64, and the maximum number of records is 1.

这个是配置改变的告警提示信息，不是错误信息，可以配置如下命令屏蔽此信息： [Quidway]info-center source DS channel console trap level warnings state off

1.2.15 如何实现单向访问

支持针对TCP和ICMP报文的单向访问。【ICMP单向访问举例】

假设交换机1端口下挂100.0.0.1的电脑A，2端口下挂100.0.0.2的电脑B，允许A能ping通B，但B不能ping通A，把B发给A的ping报文echo禁掉。 [Quidway] acl number 3000

[Quidway-acl-adv-3000] rule deny icmp source 100.0.0.2 0 destination 100.0.0.1 0 icmp-type echo

[Quidway] interface Ethernet0/0/2

[Quidway-Ethernet0/0/2] traffic-filter inbound acl 3000 【TCP单向访问举例】

假设交换机1端口下挂100.0.0.1的电脑A，2端口下挂100.0.0.2的电脑B，允许A访问B的tcp连接，拒绝B访问A的tcp连接，实现方式把B访问A时tcp报文禁止。 [[Quidway] acl number 3000

[Quidway-acl-adv-3000]rule permit tcp source 100.0.0.2 0 destination 100.0.0.1 0 tcp-flag ack [Quidway-acl-adv-3000]rule permit tcp source 100.0.0.2 0 destination 100.0.0.1 0 tcp-flag rst [Quidway-acl-adv-3000]rule deny tcp source 100.0.0.2 0 destination 100.0.0.1 0 [Quidway] interface Ethernet0/0/2

[Quidway-Ethernet0/0/2] traffic-filter inbound acl 3000

1.2.16 如何查看以及修改温度

（1）查看设备的温度信息

使用命令：display environmentEnvironment information查看。可以查看到当前运行温度CurrentTemperature，温度下限值LowLimit，上限值HighLimit。【举例一】查看设备的温度

display environmentEnvironment information: Temperature information:

UnitID CurrentTemperature LowLimit HighLimit (deg c ) (deg c) (deg c ) 0 49.8 0 65 （2）修改设备的温度

使用命令：temperature threshold，修改设备的温度门限值。【举例二】修改设备的温度门限值

将设备的告警温度门限值设置为：下限阈值是30，上限阈值是65。 system-view

[Quidway] temperature threshold slot 0 lower-limit 30 upper-limit 65

1.2.17 查看光模块信息及收发光功率的命令

使用 display transceiver interface GigabitEthernet *** verbose查看光模块的信息

GigabitEthernet0/0/1 transceiver information: ------------------------------------------------------------- Common information:

Transceiver Type :1000_BASE_SX_SFP Connector Type :LC Wavelength(nm) :850

Transfer Distance(m) :300(50um),150(62.5um) Digital Diagnostic Monitoring :YES

Vendor Name :SumitomoElectric Ordering Name : ------------------------------------------------------------- Manufacture information:

Manu. Serial Number :88K056C10353 Manufacturing Date :2008-08-08 Vendor Name :SumitomoElectric ------------------------------------------------------------- Diagnostic information:

Temperature(°C) :26.00 Temp High Threshold(°C) :85.00 Temp Low Threshold(°C) :-40.00 Voltage(V) :3.29 Volt High Threshold(V) :3.64 Volt Low Threshold(V) :2.95 Bias Current(mA) :4.57 Bias High Threshold(mA) :9.00 Bias Low Threshold(mA) :2.00 RX Power(dBM) :-40.00 RX Power High Threshold(dBM) :0.00 RX Power Low Threshold(dBM) :-16.99 TX Power(dBM) :-5.03 TX Power High Threshold(dBM) :-2.22 TX Power Low Threshold(dBM) :-6.99

1.2.18 抓取上送cpu的报文

在隐含视图下： [Quidway]_h

Password:Vrp&8031

[Quidway-hidecmd]cpu cache packet [Quidway-hidecmd]display cpu cache S7700:

V1R1、V1R2版本

抓取CPU发送和接收报文过程是一样的，以抓取CPU接收报文为例。抓取CPU接收报文分抓取报文的原内容和统计抓取到报文的个数但不显示报文内容两种。可根据dest-ip、dest-mac、eth-type、ip-type、src-ip、 src-mac或vlan进行抓包。（1）采集cpu报文的命令 #清除抓包记录

[Quidway-hidecmd]catch clear #抓取cpu接收的报文的原内容

[Quidway-hidecmd]catch receive dump #统计cpu接收的报文个数

[Quidway-hidecmd]catch receive statistic #抓取cpu发送的报文的原内容

[Quidway-hidecmd]catch send dump #统计cpu发送的报文个数

[Quidway-hidecmd]catch send statistic #停止抓包

[Quidway-hidecmd]catch stop

【举例一】抓取上送CPU报文的原内容：

#根据目的MAC地址抓取CPU接收报文的原内容，配置抓包个数为60个（最大只能为60个） [Quidway-hidecmd]catch clear

[Quidway-hidecmd]catch receive dump dest-mac 00e0-fc01-1947 packet-num 60 #查看抓包结果

[Quidway-hidecmd]display catch receive dump [Quidway-hidecmd]

The packet content direction to display is RECEIVE, packet num is 26!

Packet from all slot, all port !

Destination mac = 00e0-fc01-1947 packet dump here! Number 1!

00 e0 fc 01 19 47 02 00 00 00 66 00 81 00 00 01 08 00 45 c0 00 28 00 04 00 00 ff 06 b7 07 01 01 01 01 01 01 01 02 c3 02 00 17 04 b3 91 ea 03 eb 64 6a 50 10 1f fa c9 c9 00 00 00 00 00 00 00 00 ??第2到第4个报文?? Number 5!

00 e0 fc 01 19 47 02 00 00 00 66 00 81 00 00 01

08 00 45 00 00 2c 00 00 00 00 ff 06 b7 c7 01 01 01 01 01 01 01 02 c3 02 00 17 04 b3 91 d4 03 eb 64 6a 50 10 1f fa c9 c9 00 00 00 00 00 00 00 00

【举例二】

#根据目的mac对上送CPU的报文进行统计

[Quidway-hidecmd]catch receive statistic dest-mac #查看统计结果

[Quidway-hidecmd]display catch receive statistic [Quidway-hidecmd]

The packet statistic direction to display is RECEIVE! Packet from all slot, all port !

Destination mac address information list here! Mac = 00e0-fc01-1947 ---- num = 78

V1R3版本

该版本采集上送CPU的报文命令要在隐含视图下输入。（1）打开/关闭抓包开关

debugging gfpi catch slot { open | close} （2）设置统计报文条件

上送CPU的报文可以按mac、vlan、以太类型、ip(ipv6不支持)、Iptype(ipv6不支持)分类统计，每次输入会清空前一次分类统计信息，保证记录最新信息。

debugging gfpi catch slot stat-qual-set {receive | send} { dstip | srcip | dstmac | srcmac | ethtype | iptype | outervlan | innervlan }[stat-time { | stat-time-max } ] （3）设置统计报文显示条件

上送CPU报文按mac、vlan、以太类型、ip(ipv6不支持)、iptype(ipv6不支持)报文显示，每次输入会清空前一次保存报文，保证记录最新报文 debugging gfpi catch slot show-qual-set {receive | send} {{dstip } | {srcip } | {dstmac } | {srcmac } | {ethtype }| {iptype } | {outervlan } | {innervlan }} [ catch-pkt-num { ] （4）显示分类统计

上送CPU报文的分类统计信息：

display gfpi catch slot stat-pkt-info {receive | send} { all | dstip | srcip | dstmac | srcmac | ethtype | iptype | outervlan | innervlan } （5）显示报文内容

显示上送CPU报文的内容信息：

display gfpi catch slot show-pkt-info {receive | send} { dstip | srcip | dstmac | srcmac | ethtype | iptype | outervlan | innervlan } （6）显示抓包设置条件

显示当前抓包开关的设置情况：

display gfpi catch slot catch-qual-info all

display gfpi catch slot catch-qual-info {{receive | send} all } （7）清空分类统计

清空CPU抓包分类统计信息：

debugging gfpi catch slot clear-catch-stat {receive | send} { all | dstip

| srcip | dstmac | srcmac | ethtype | iptype | outervlan | innervlan } （8）清空报文内容

清空CPU抓包报文内容信息：

debugging gfpi catch slot clear-catch-show {receive | send} { all | dstip | srcip | dstmac | srcmac | ethtype | iptype | outervlan | innervlan } （9）清空配置条件清空CPU抓包配置信息

debugging gfpi catch slot clear-catch-qual {receive | send}{statistic | show-pkt}

catch 关键字标识上送下发Cpu抓包攻击溯源功能（以下相同）。 Open 关键字标识上送下发Cpu抓包功能打开（以下相同）。 close 关键字标识上送下发Cpu抓包功能关闭（以下相同）。 stat-qual-set 关键字标识设置报文分类统计条件（以下相同）。

clear-catch-stat 关键字标识清空当前抓到报文分类统计信息（以下相同）。 show-qual-set 关键字标识设置抓包显示报文内容的条件（以下相同）。 clear-catch-show 关键字标识清空当前抓到报文内容（以下相同）。

stat-pkt-info 关键字标识显示当前对报文进行统计信息（以下相同）。 show-pkt-info 关键字标识显示当前对报文内容信息（以下相同）。 catch-qual-info 关键字标识显示当前抓包设置的条件（以下相同）。 clear-catch-qual 关键字标识清空当前抓包设置的条件（以下相同）。 receive 关键字标识对接收报文进行设置。（以下相同） send 关键字标识对发送报文进行设置。（以下相同） dstmac 关键字标识对目的MAC进行设置。（以下相同） srcmac 关键字标识对源MAC进行设置。（以下相同）

dstip 关键字标识对目的IP进行设置。（以下相同） sstip 关键字标识对源IP进行设置。（以下相同） ethtype 关键字标识对以太类型进行设置。（以下相同） iptype 关键字标识对IP类型进行设置。（以下相同） outervlan 关键字标识对VLAN进行设置。（以下相同） innervlan 关键字标识对VLAN进行设置。（以下相同）

slot 关键字标识对*槽位的报文进行设置，取值1－12（以下相同） stat-time 关键字标识进行该命令功能的时间长度设置，取值范围60－300，默认120秒。

catch-pkt-num 关键字标识进行该命令功能抓包数目设置，取值范围10－30，默认抓包10类。【举例】

（1）打开调试开关:

[_h]debugging gfpi catch slot 0 open

（2）设置统计上送CPU报文的条件，按Ip统计，统计时间为60秒：

[_h] debugging gfpi catch slot 0 stat-qual-set receive dstip stat-time 60 （3）查看统计上送CPU报文信息：

[_h] dis gfpi catch slot 0 stat-pkt-info receive all RECEIVE SRC-MAC : NONE RECEIVE DST-MAC : NONE

RECEIVE OUT-VLAN: NONE RECEIVE IN-VLAN : NONE RECEIVE ETHTYPE : NONE RECEIVE SRC-IP : NONE

RECEIVE DST-IP : 0x00000002 --- 171.0.0.17 RECEIVE IPTYPE : NONE

（4）根据统计上送CPU较多的报文的信息打印具体内容。根据当前报文的DstIP地址打印报文内容：

[_h]debugging gfpi catch slot 0 show-qual-set receive dstip 171.0.0.17 查看抓到的CPU报文内容：

[_h]dis gfpi catch slot 0 show-pkt-info receive dstip Receive DstIp 171. 0. 0. 17: Catch type-num 2

type[ 1] 0x00000001: 00199eb2 a21700e0 fc012978 8100c7d1 080045c0 00281698 0000ff06 4e59ab00 000dab00 0011ca47 00b385b2 b07a50d8 fc295010 2000eb8b 00000000 00000000

type[ 2] 0x00000001: 00199eb2 a21700e0 fc012978 8100c7d1 080045c0 003b1752 0000ff06 4d8cab00 000dab00 0011ca47 00b385b2 b07a50d8 fc295018 2000e75d 0000ffff ffffffff （5）查看当前抓包设置的条件：

[_h]display gfpi catch slot 0 catch-qual-info all display catch receive packet stat info:

dst-ip :Set time 0x0000003c current remain 0x0000001b

display catch send packet stat info: not set catch qualification display catch receive packet show info: dst-ip : 171. 0. 0. 17 set catch num: 10

display catch send packet show info: not set catch qualification display mirror pass packet info:not set catch qualification （6）关闭抓包调试开关：

[_h] debugging gfpi catch slot 0 close

1.2.19 SUPERVLAN+DHCP SERVER

在V1R6之前的版本都不支持在supervlan下配置DHCP Server，从V1R6版本开始支持该功能。目前支持在supervlan下配置DHCP Relay的配置，并且支持在subvlan中插入option字段。

1.2.20 S7700自反acl实现单向访问

【原理】

自反ACL是一种动态下发的ACL。它根据IP报文的上层会话信息生成，只有当私网用户先访问了公网后才允许公网访问私网。利用自反ACL可以很好的保护企业内部网络，免受外部非法用户的攻击。

自反ACL的实现原理如下：

1、当配置自反ACL功能的接口通过TCP或UDP协议类型的报文时，接口下将下发一条把报文源IP地址和目的IP地址、源端口和目的端口互换的ACL规则。

2、当配置自反ACL功能的接口通过ICMP协议类型的报文时，自反ACL功能阻止目的端发送的ICMP-Echo-Request报文通过，允许接收目的端发送的ICMP-Echo-Reply报文。 3、自反ACL匹配的协议类型与触发接口自动生成自反ACL的报文协议类型相同。【举例】

需求：Switch的接口GE1/0/1连接了内网的用户，接口GE2/0/1连接到Internet。在Switch的接口GE2/0/1的出方向上配置自反ACL功能，要求内网的所有主机先访问Internet中的服务器之后才允许Internet的服务器访问内网的主机。同时，在全局和接口GE2/0/1下配置自反ACL的老化时间，对自反ACL进行自动老化。组网：

外网------(G2/0/1)S7700(G1/0/1) ------PC

网关 10.1.1.10/24 （1）配置高级ACL，允许UDP报文通过 system-view [Quidway] acl 3000

[Quidway-acl-adv-3000] rule permit udp [Quidway-acl-adv-3000] quit

（2）配置接口GigabitEthernet2/0/1出方向自反ACL功能和老化时间，对UDP报文进行自反

[Quidway] interface gigabitethernet 2/0/1

[Quidway-GigabitEthernet2/0/1] traffic-reflect outbound acl 3000 timeout 600 [Quidway-GigabitEthernet2/0/1] quit

如果要针对某端口设定访问限制，需要在该端口的入方向下发自反acl。【注意】

（1）自反ACL只能对高级ACL规则进行自反，并且只能根据TCP、UDP和ICMP协议类型的报文动态生成ACL规则。

（2）自反acl只关心到协议号，对网段ip、端口号等是不关心的

（3）下发自反acl后只有内网先有流量触发下发permit规则后，外网到内网才能通。

1.2.21 S7700 CPCAR对报文的限制

CPCAR就是通过对某类（如主机报文、黑名单、用户自定义流等）上送CPU的报文进行流量监管，以限制上送CPU报文的速率，达到保护CPU的目的，从而使系统稳定运行。实现方式【白名单】

白名单指合法用户或者是高优先级用户的集合。通过定义ACL可以设置白名单，后续匹配白名单特征的报文将被优先处理。这样可以主动保护现有业务、保护高优先级用户业务。可以将确定为正常使用设备的合法用户或者是高优先用户设置到白名单中。【黑名单】

黑名单指非法用户的集合。通过ACL可以设置自定义黑名单，后续匹配黑名单特征的报文会被丢弃。可以将确定为攻击者的非法用户设置到黑名单中。【用户自定义流】

用户自定义流指用户自定义防攻击ACL规则。主要应用于当后续网络中出现不明攻击时，用

户可灵活指明攻击流数据特征，将符合此特征的数据流进行上送限制。【CAR】

CAR用来设置上送CPU的报文的分类限速上送规则，针对每类报文可设置承诺信息速率（CIR，Committed Information Rate）和承诺突发尺寸（CBS，Committed Burst Size）。通过对不同的报文设置不同的CAR规则，可以降低报文的相互影响，达到保护CPU的目的。CAR还可以设置上送CPU报文的整体速率，当整体上送速率超过阈值后，报文将被丢弃，避免CPU过载。举例

【实例一】

需求：定义黑名单用户，匹配黑名单特征上送CPU的报文丢弃 1.配置上送CPU报文的过滤规则 system-view [Quidway] acl number 2003

[Quidway-acl-basic-2003] rule permit source 3.3.3.0 0.0.0.255 [Quidway-acl-basic-2003] quit 2．创建cpcar策略

[Quidway] cpu-defend policy test1

[Quidway-cpu-defend-policy-test1] blacklist 1 acl 2003 3.在单板上应用cpcar策略 #应用cpcar策略全局

[Quidway] cpu-defend-policy test1 #应用cpcar策略到接口板 [Quidway] slot 1

[Quidway-slot-1] cpu-defend-policy test1

【实例二】

需求：定义白名单，匹配白名单特征上送CPU的报文允许通过，其他都列入黑名单 1.配置上送CPU报文的过滤规则 system-view [Quidway] acl number 2001

[Quidway-acl-basic-2001] rule permit source 1.1.1.0 0.0.0.255 [Quidway-acl-basic-2001] quit [Quidway] acl number 2002

[Quidway-acl-basic-2002] rule permit [Quidway-acl-basic-2002] quit 2．创建cpcar策略

[Quidway] cpu-defend policy test1

[Quidway-cpu-defend-policy-test1] whitelist 1 acl 2001 [Quidway-cpu-defend-policy-test1] blacklist 1 acl 2002 3.在单板上应用cpcar策略 #应用cpcar策略全局

[Quidway] cpu-defend-policy test1 #应用cpcar策略到接口板 [Quidway] slot 1

[Quidway-slot-1] cpu-defend-policy test1

【实例三】

需求：自定义数据流，并针对该部分数据流上送cpu的速率做限速；同时对arp-miss报文做限速。

1.配置上送CPU报文的过滤规则 [Quidway] acl number 2002

[Quidway-acl-basic-2002] rule permit source 2.2.2.0 0.0.0.255 [Quidway-acl-basic-2002] quit 2.配置上送CPU报文的上送规则

[Quidway-cpu-defend-policy-test1] user-defined-flow 1 acl 2002 [Quidway-cpu-defend-policy-test1] car user-defined-flow 1 cir 5000 [Quidway-cpu-defend-policy-test1] car packet-type arp-miss cir 5000 3.在单板上应用cpcar策略 #应用cpcar策略全局

[Quidway] cpu-defend-policy test1 #应用cpcar策略到接口板 [Quidway] slot 1

[Quidway-slot-1] cpu-defend-policy test1

【实例三】

需求：自定义数据流，并针对该部分数据流上送cpu的速率做限速；同时对arp-miss报文做限速。

1.配置上送CPU报文的过滤规则 [Quidway] acl number 2002

[Quidway-acl-basic-2002] rule permit source 2.2.2.0 0.0.0.255 [Quidway-acl-basic-2002] quit 2.配置上送CPU报文的上送规则

[Quidway] cpu-defend-policy test1 #应用cpcar策略到接口板 [Quidway] slot 1

[Quidway-slot-1] cpu-defend-policy test1

本文来源：https://www.bwwdw.com/article/og1p.html

相关文章：