内容发布更新时间 : 2024/12/26 12:59:38星期一 下面是文章的全部内容请认真阅读。
//创建二层ACL并进入二层ACL视图
description text //(可选)定义ACL的描述信息 step step-value //(可选)定义ACL规则编号步长
rule [rule-id]{deny | permit } [cos vlan-pri |counting |dest-mac dest-addr dest-mask |{lsap lsap-type lsap-type-mask |type protocol-type protocol-type-mask } |source-mac sour-addr source-mask |time-range time-range-name ]* //定义二层ACL规则
rule rule-id comment text //(可选)为指定的规则配置描述信息
hardware-count enable //(可选)开启基于硬件应用的ACL统计功能
(4)ACL应用配置
acl copy {source-acl-number |name source-acl-name} to {dest-acl-number |name dest-acl-name} //ACL复制
packet-filter vlan vlan-id inbound acl-rule
//(可选)在指定VLAN中应用ACL,对VLAN中的所有端口上接收到的数据包进行过滤
8. QoS配置
(1)定义流分类和匹配规则; (2)定义流行为;
(3)定义QoS策略,并将流分类和流行为绑定在一起; (4)应用QoS策略。
? 定义流分类
traffic classifier tcl-name [operator {and |or }] //定义一个流分类,并进入类视图 if-match match-criteria //定义对应流分类的匹配规则
? 定义流行为
traffic behavior behavior-name //定义流行为,并进入流行为视图
? 定义QoS策略
qos policy policy-name //定义策略并进入视图
classifier tcl-name behavior behavior-name [mode {dcbx |dot1q-tag-manipulation}] //在策略中为类指定采用的流行为
? 应用QoS策略
1) 基于全局应用QoS策略
qos apply policy policy-name global {inbound |outbound} 2) 基于端口应用QoS策略
qos apply policy policy-name {inbound |outbound} 3) 基于在线用户应用QoS策略
user-profile profile-name //创建User Profile并进入相应的user-profile视图 qos apply policy policy-name {inbound |outbound} //在对应的在线用户上应用指定关联的QoS策略
user-profile profile-name enable //激活User profile 4) 基于VLAN应用QoS策略
qos vlan-policy policy-name vlan vlan-id-list {inbound |outbound} 5) 基于控制平面应用QoS策略
control-plane slot slot-number //进入控制平面视图
qos apply policy policy-name inbound //在控制平面入方向上应用指定的QoS策略
9. IRF配置
(1)Fabric端口配置
fabric-port interface-type interface-number enable //在系统视图下开启Fabric端口
interface interface-type interface-number
port link-type irf-fabric //在对应以太网端口视图下将对应以太网端口配置为Fabric端口 (2)UnitID配置
change self-unit to {unit-id | auto-numbering} //系统视图下配置本地交换机的UnitID 1) 更改当前交换机的UnitID
change unit-id to unit-id | auto-numbering 2) 修改堆叠中其他交换机的UnitID
change unit-id unit-id1 to {unit-id2 | auto-numbering} 3) 保存或取消设置更改 fabric save-unit-id
10. IRF2配置
(1)IRF基本配置
irf domain domain-id //IRF域编号配置 irf member member-id renumber new-member-id //IRF2成员编号配置 (2)IRF2端口配置
irf-port member-id/port-number //创建IRF2逻辑端口,进入IRF2逻辑端口视图 port group interface interface-type interface-number [mode {enhanced |normal }] //将IRF2逻辑端口和IRF2物理端口绑定
irf-port-configuration active //激活设备中所有IRF2逻辑端口下的配置 (3)IRF2成员优先级配置
irf member member-id priority priority (4)IRF2成员设备描述信息配置
irf member member-id description text (5)IRF2链路负载分担类型配置
irf-port load-sharing mode {destination-ip |destination-mac |source-ip |source-mac}* (6)IRF2的桥MAC保留时间配置 irf mac-address persistent {timer |always}
(7)启用IRF2系统启动文件的自动加载功能 irf auto-update enable
(8)IRF2链路down延迟上报功能配置 irf link-delay interval
(9)IRF2 MAD配置
IRF2支持多IRF2的三种MAD检测方式:LACP MAD检测、BFD MAD检测、ARP MAD检测。
① LACP MAD检测配置
interface bridge-aggregation interface-number
//创建二层聚合接口和二层聚合组,并进入二层聚合端口视图 link-aggregation mode dynamic
//配置以上聚合组工作在动态聚合模式下
mad enable //在以上静态聚合组中启用LACP MAD检测功能 interface interface-type interface-number
port link-aggregation group number //将以上二层以太网端口加入到指定的聚合组
② BFD MAD检测
interface vlan-interface interface-number
mad bfd enable //在以上VLAN接口上启用BFD MAD检测功能
mad ip address ip-address {mask |mask-length} member member-id //为指定成员设备的以上VLAN接口配置MAD IP地址
③ ARP MAD检测
interface vlan-interface interface-number ip address ip-address {mask |mask-length}
mad arp enable //在以上VLAN接口上启用ARP MAD检测功能
11. ARP配置
arp static ip-address mac-address [vlan-id interface-type interface-number] //手工添加静态ARP表项,相当于IP与MAC地址的静态绑定
arp timer aging aging-time //配置动态ARP表项的老化时间 arp check enable //开启ARP表项的检查功能
display arp [dynamic |static | ip-address ] //显示当前交换机上的ARP表项 display arp [dynamic |staic] |{begin |include |exclude} regular-expression //查看包含指定内容的ARP映射表
display arp count [[dynamic |static][|{begin |include |exclude} regular-expression ]| ip-address ] //查看指定类型的ARP表项的数目
display arp count detection statistics interface interface-type interface-number //查看指定端口被丢弃掉的不可信任的ARP报文的数量
display arp timer aging //查看动态ARP老化定时器的时间
reset arp [dynamic |static |interface interface-type interface-number] //消除ARP表项
interface vlan-interface vlan-id
arp max-learning-num number
//在VLAN接口视图下配置允许学习的动态ARP表项的最大数目
arp anti-attack valid-check enable //系统视图下开启对ARP报文源MAC地址一致性检查功能
#ARP入侵检测功能配置:
dhcp-snooping //全局开启交换机DHCP Snooping功能
ip source static import dot1x //全局开启基于802.1x认证用户的ARP入侵检测功能
interface interface-type interface-number
dhcp-snooping trust //配置DHCP Snooping的信任端口 arp detection trust //设置当前端口为ARP信任端口
vlan vlan-id //进入VLAN视图
arp detection enable //开启指定VLAN内所有端口的ARP入侵检测功能 arp restricted-forwarding enable //在对应VLAN内开启ARP严格转发功能
#ARP报文限速功能配置:
interface interface-type interface-number
arp rate-limit enable //开启以上端口的ARP报文限速功能 arp rate-limit rate //配置允许通过的ARP报文的最大速率
arp protective-down recover enable //全局开启交换机上的端口状态自动恢复功能 arp protective-down recover interval interval
//全局设置端口状态由关闭恢复为开启的时间间隔
#ARP代理配置:
interface Vlan-interface vlan-id
arp proxy enable //开启普通代理ARP功能
local-proxy-arp enable [ip-range startIP to endIP ] //开启本地代理ARP功能 display arp proxy [interface vlan-interface vlan-id ] //显示普通代理ARP和本地代理ARP的状态
12. 集群配置
(1)NDP的启用及参数配置
ndp enable //启用NDP——用于收集邻接设备信息
ndp timer aging aging-in-seconds //指定接收设备应该保持本设备发送的NDP报文时间 ndp timer hello seconds //修改NDP信息的更新频率 (2)NTDP的启用及参数配置
ntdp enable //启用NTDP——用于收集邻接设备拓扑信息 ntdp hop hop-value //配置拓扑收集范围
ntdp timer hop-delay time //配置当前设备转发拓扑收集请求的跳数延迟时间 ntdp timer port-delay time //配置当前设备转发拓扑收集请求的端口延迟时间 ntdp timer interval-in-minutes //配置定时拓扑收集的时间间隔
ntdp explore //启动拓扑信息的收集过程
(3)集群启用及配置
cluster enable //启用集群功能