总有那么一个时刻，天空飘来一个问：这个单板是哪个系列交换机支持的呢？您解决这个问题只需三个字——看型号。规律如下：

产品系列	支持的单珱
S7700	型号巵 “ ES”开偹 + LE0D0VAMPA00+全系列都通用单珱
S9700	型号以“EH”开头+ LE0D0VAMPA00+全系列都通用单珱
S12700	型号以“ET”开头+ EH1D2PS00P00+ ACU2

此时依然，您千万不要认为已经全懂了。呵呵，因为，您还得看版本。单板、交换机、版本的详细关系您没必要背下来，您只需查阅《硬件描述》手册“单板”中的“配套关系”节点。您可登录 华为网站 获取对应产品的《硬件描述》手册。例如，查坐 S12700主控ET1D2MPUA000的支持关系：

接口板主要是用来交换（接收和转发）数据的，交换数据的快慢势必是大家最关心的。在交换数据时，接口板遵循多样的规则，因此接口板支持的特性、规格也是大家最关心的。正如公路分高速、国道、省道等一样，按照速率，接口板分囷 40GE、10GE、GE、 FE接口板。详细分类及支持关系如下表（表中仅列举接口数量最多的接口板）：

接口板类型	S7700	S9700	S12700
FE接口珱	48*FE接口珱	48*FE接口板	不支吅
GE接口珱	48*GE接口珱	48*GE接口珱	48*GE接口珱
10GE接口珱	40*10GE接口珱	48*10GE接口珱	48*10GE接口珱
40GE接口珱	2*40GE接口珱	8*40GE接口珱	8*40GE接口板

正如公路有专用道、混合车道等一样，按照功能，接口板又可分为：F系列、S系列、E系列、B系列、 X1E系列。正如专用道又分大型车专用道、中小型车专用道等一样，按照MAC表项规格，每个系列又分为A（MAC表为32k）、C（MAC表为128k）、D（MAC表为512k）三个子系列。详细分类及支持关系如下表：交换机支持的增值业务板情况如何？

正如公路需要交警、监控一样，网络需要防火墙、IPsec、入侵检测、反病毒等安全功能。正如公路需要限行、红绿灯一样，网络需要负载均衡、NAT（Network Address Translation ）、NetStream等特定业务功能。小编把交换机支持的增值业务板列举如下：

SPU单板：为交换机提供负载均衡、防火墙、NAT、IPSec（IP Security）、 NetStream等业务功能。

OSP单板：可安装操作系统和应用软件来完成应用软件的功能。目前供安装的软件有IPS应用软件。 ACU单板：该单板可看做独立 AC设备，旁挂于交换机上做无线接入控制器。 NGFW防火墙单板：可囷 IP网络迅速灵活地整合防火墙、 NAT、VPN等安全功能。

特性攻略

IPS单板：可为IP网络迅速灵活地整合入侵防御、反病毒、 DDoS攻击防御等

单板类型	S7700	S9700	S12700
SPU单板	支持LE0D0VAMPA00	支持LE0D0VAMPA00	不支吅
OSP单板	支持ES1D2PS00P00	支持EH1D2PS00P00	支持EH1D2PS00P00
ACU单板	支持ACU2	支持ACU2	支持ACU2
NGFW防火墙单板	支持以下单板： ET1D2FW00S00 ET1D2FW00S01 ET1D2FW00S02	支持以下单板： ET1D2FW00S00 ET1D2FW00S01 ET1D2FW00S02	支持以下单板： ET1D2FW00S00 ET1D2FW00S01 ET1D2FW00S02
IPS单板	支持ET1D2IPS0S00	支持ET1D2IPS0S00	支持ET1D2IPS0S00

昨日小编我在家闲坐，意外收到了一份英雄帖，打开乍一看真是不明觉厉啊 ~

据诸葛家的独门秘籍记载，小伙伴们要登录设备的话，就得在登录之前完成相关动作，很多无法登录问题都是没有正确完成动作导致的哦。今日就主打介绍目前最常用的两种登录方式：Console口登录和Telnet方式登录。

小伙伴们需要为第一次上电的设备进行配置时，需要通过 Console口登录设备。如何才能通过Console口登录设备呢？请向下瞅：

请使用产品随机附带的Console通信电缆的DB9（孔）插头插入PC1的9芯（针）串口插座，再将RJ-45插头端插入设备的Console口中。

步骤2：在PC1上打开终端仿真软件，新建连接，设置连接的接口以及通信参数。

因PC端可能会存在多个连接接口，这里需要选择的是连闅 Console线缆的那个接口。一般情况下，选择的接口是COM1。

步骤3：按“Enter”键，系统提示需要输入密码时请配置密码。配置密码后即可登录。

密码要符合密码要求哦！密码为字符串形式，区分大小写，长度范围誖 6～16。

输入的密码至少包含两种类型字符，包括大写字母、小写字母、数字及特殊字符。

特性攻略

选择“开屈 > 运行”，输入cmd。进入命令提示行，并输入 telnet 10.137.217.177，

回车后，在登录窗口输入用户名和密码，验证通过后，出现用户视图的命令行提示符。表示登录成功。

大家还记得慕容世家的以彼之道还施彼身吗？顷刻间复制对手的武功招式，再施加彼身，打的对方措手不及。想当年，慕容复就因此技而冠绝天下，与乔峰并称“南慕容北乔峰”，为无数武林豪杰所敬仰。在我们的网络江湖上，也有这样一门绝学，甚至可以说是“以彼之道还施彼身”的改良版。那么他是谁？他可以复制网络中的任何一种业务报文，可以是他，也可以是她。他很有内涵，亦如他的名字——镜像。他是网监设备的小伙伴，他默默地为他奉献着人生最绚烂的年华。咳咳，那么，什么是镜像？镜像是指将经过指定端口（镜像端口）或者指定VLAN（镜像VLAN）的报文复制一份到另一个指定端口（观察端口），然后转发到网络监控设备，供网络管理员进行网络监控与故障管理。看官们可以通过下面这张图了解下镜像具体的工作机制，以及需要注意的地方。

故障定位在系统运行过程中，可能由于系统软件处理异常、网络设备硬件故障、计算机病毒或用户不正常使用等原因造成网络上流量异常或产生错误报文。为了在不影响系统运行的情况下对网络上的报文进行分析，以定位故障产生的原因，这时候就可以使用镜像。业务可视为了更好的理解企业内部业务流量模型, 在网络汇聚或核心交换机上，对业务流量进行镜像，以便在不影响正常业务的情况下，使企业各类应用清晰可视。比如说, 多少用户在上班时间访问QQ；员工访问公司内部服务器的访问量排名情况。

特性攻略

入侵检测为了发现各种攻击企图、攻击行为或者攻击结果， 以保证网络系统资源的机密性、 完整性和可用性, 在企业的上行接口，将所有出入的流量镜像到一个IDS服务器上，进行实时分析。比如外部访问公司服务器的访问量激增，分析一下这些是不是属于攻击报文等。

另外，要特别说明一下，江湖就要有江湖的规矩，坏了规矩，就会招致整个武林的一致声讨。所以，虽然镜像功能如此的强大，但是在华为S系列交换机上用的是时候，请谨记：

该功能主要用于网络检测和故障管理，可能涉及使用个人用户某些通信内容。华为公司无法单方采集或存储用户通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中，您应采取足够的措施以确保用户的通信内容受到严格保护。好了，看官们现在了解到镜像强大的威力之后，那我们下面就来看看华囷 S系列交换机哪些不同方式的镜像功能。

功能	定义	产品支持情况
端口镜像	将指定端口（镜像端口）的报文复制到观察端口。	全支持
流镜像	将指定类型的报文复制到观察端口。	全支吅
VLAN镜像	将指定VLAN（镜像VLAN）的报文复制到观察端口。	框式交换机和S5720HI不支吅
MAC镜像	将指定MAC地址的报文复制到观察端口。	框式交换机和S5720HI不支持

场景	对应配置命令
本地镜像：观察端口与监控设备直连。	observe-port [ <observe-port-index> ] <interface interface-type interface-number>
二层远程镜像：观察端口与监控设备通过中间二层网络相连。	observe-port [ <observe-port-index> ] <interface interface-type interface-number> vlan <vlan-id>
三层远程镜像：观察端口与监控设备通过中间三层网络相连。（仅框式交换机支持）	observe-port [ <observe-port-index> ] <interface interface-type interface-number> destination-ip <dest-ip-address> source-ip <source-ip-address> [ dscp <dscp-value> | vlan <vlan-id> ] *

将指定的报文镜像到观察端口。不同的镜像方式对应有不同的命令，如表所示。PS：both | inbound | outbound分别表示镜像设备双向/入方向/出方向的报文。下面小编再通过简单的组网环境演示一下我们常用的二层远程端口镜像是如何配置的吧。

镜像方式	对应配置命令
端口镜卿	port-mirroring to observe-port <observe-port-index> { both | inbound | outbound }
流镜像	基于MQC：mirroring to observe-port <observe-port-index>基于ACL：traffic-mirror
VLAN镜卿	mirroring to observe-port <observe-port-index> inbound
MAC镜卿	mac-mirroring mac-address to observe-port <observe-port-index> inbound

如图所示，员工A与DNS服务器在同一个VLAN，通过二层网络通信，现在监穽 PC通过在SwitchA配置的二层远程端口镜像，来监控员麶 A访问DNS服务器的记录。 1、具体每台交换机上的配置如下：

port link-type access port default vlan 10 //端口加入VLAN，员工A与DNS之间通忄 port-mirroring to observe-port 1 inbound //将GE0/0/2入方向的报文（即接收到

port trunk allow-pass vlan 20 //端口加入VLAN，用于转发镜像报文到监控PC # interface GigabitEthernet0/0/2

检查员工A与DNS服务器间通信的报文是否镜像到监控PC先在监控PC上启用抓包工具，然后在员工A的PC上向DNS服务器发个ping报文。最后通过抓包工具抓取报文。

Hi，小伙伴们~小编我又浓重登场了~在上一期的《 镜像原理配置篇 》中，我们介绍了镜像工作的基本原理，他在网络中的具体应用，以及如何配置。不过在实际应用配置时，小伙伴们可能会遇到这样的问题：我想将交换机连到多台监控设备上，为啥配置的时候一直提示资源已达上限，配不下去？

其实，很多时候这与我们的镜像规格有关。由于芯片能力、镜像内部处理流程等因素的问题，导致了不同交换机间的镜像规格差异较大。因此，小编费了九牛二虎之力，将不同版本不同形态交换机的镜像规格收集整理了一下，希望能对小伙们有所帮助~本期将介绍下面几块内容：

1. 观察端口规格：如果需要了解交换机最多能配置多少个观察端口，以及如何计算剩余可用观察端口资源，可以查阅这部分内容。
2. 2. 1：N镜像规格：如果需要了解1个镜像端口能同时绑定到多少个观察端口，可以查阅这部分内容。
3. 3. N：1镜像规格：如果需要了解最多能有多少个镜像端口可以绑定到 1个观察端口，可以查阅这部分内容。
4. 4. M：N镜像规格：如果需要了杶 M个镜像端口能同时绑定到多少个观察端口，可以查阅这部分内容。
5. 如何解决设备观察端口不足的问题：如果想知道在交换机镜像资源有限的情况下，如何通过其他方法解决这个问题，可以查阅这部分内容。

观察端口的配置方式介绍观察端口规格前，小编先和大家介绍下观察端口的配置方式。因为不同的配置方式对一部分交换机的观察端口规格会有影响。在V200R005以前的版本交换机只支持逐一配置单个观察端口。从 V200R005版本开始，交换机支持单个配置和批量配置两种方式，而且这两种方式可以同时配置。批量配置的观察端口相当于加入了一个观察端口组，镜像端口在配置的时候会绑 定这整个观察端口组。所以批量配置一般在1：N镜像的时候使用，主要是为了 配置方便，如图所示。

观察端口规格观察端口规格包括两方面内容，一方面是我们的交换机最多能配多少个观察端口；另一方面是镜像端口入方向能绑定多少个观察端口，出方向能绑定多少个观察端口。我们在配置镜像功能时，这两方面的内容都需要注意。下面表 1~表5分别列举了不同版本不同框式单板和盒式交换机的观察端口规格：

单板	入方向可绑定观察端口数量	出方向可绑定观察端口数量	可配观察端口数绋
S系列单珱	2	1	3
FA系列单珱	2	1	3
E系列单珱	2	1	3
FC系列单珱	1	1	2

单板	入方向可绑定观察端口数量	出方向可绑定观察端口数量	可配观察端口数绋
SA系列单板（不包含 ES0D0X12SA00（S7700）、 EH1D2X12SSA0（S9700）、 ET1D2X12SSA0（S12700））	4	1	5
ES0D0X12SA00（S7700）、 EH1D2X12SSA0（S9700）、 ET1D2X12SSA0（S12700）	4	2	6

备佐 1 : X1E系列单板的观察端口规格因观察端口配置方式的不同而不同。如果是单个配置，最多可配置 8次，即总共可配 8个观察端口；如果是批量配置，一次最多可配置64个观察端口，最多可配置8次，理论上最多可配置8 x 64 = 512个观察端口；入方向/出方向最多可绑定512个观察端口。备佐 2 : 如果不包括X1E系列单板批量配置的观察端口规格，整机最多可以配置8个观察端口。

形态	入方向可绑定观察端口数量	出方向可绑定观察端口数量	可配观察端口数绋
S2700SI	1	1	1
S2710SI	4	1	4
S2700EI	1	1	1

形态	入方向可绑定观察端口数量	出方向可绑定观察端口数量	可配观察端口数绋
S3700HI	2	1	2
S5700S-LI、S5700LI	1	1	1
S5710LI	1	1	1
S5700SI	1	1	1
S5700EI	4	1	4
S5710EI	2	1	2
S5700HI	2	1	2
S5710HI	2	1	2
S6700	1	1	1

形态	入方向可绑定观察端口数量	出方向可绑定观察端口数量	可配观察端口数绋
S2750	1	1	1
S5700S-LI、S5700LI	1	1	1
S5700SI	1	1	1
S5700EI	4	1	4
S5710EI	4	4	8
S5720HI	适配置方式而定	适配置方式而定	适配置方式而庨
S5700HI	4	4	8
S5710HI	4	4	8
S6700	X（X≤4）	4-X（X≤4）	4

备佐 1 : S5720HI的观察端口规格因观察端口配置方式的不同而不同。如果是单个配置，最多可配置 8次，即总共可配 8个观察端口；如果是批量配置，一次最多可配置64个观察端口，最多可配置8次，理论上最多可配置8 x 64 = 512个观察端口；入方向/出方向最多可绑定512个观察端口。

观察端口使用情况计算方式我们使用了一个观察端口进行镜像以后，如果还需要再配观察端口，连接其他监控设备，就需要计算交换机上剩余可配的观察端口数量，镜像端口入方向和出方向还能再绑定多少个观察端口。

需要注意，镜像端口的入方向和出方向可绑定观察端口数量是分开计算的，即使入方向和出方向绑定的是同一个观察端口，入方向和出方向剩余可绑定观察端口数量都会各自减1。

比如以FA单板为例，FA单板最多可配置6个观察端口，所有镜像端口入方向加起来最多可以绑定4个观察端口，出方向加起来最多可以绑庨 2个观察端口。如果镜像端口入方向和出方向绑定到了同一个观察端口，入方向可以绑定的剩余观察端口数量为3，出方向可以绑定的剩余观察端口数量囷 1，那么剩余可用观察端口数量为3+1=4，并非是6-1=5。

1：N镜像主要是用于需要连接多个监控设备的场景，在V200R005以前的版本，只有华为S系列框式交换机的E系列、FA系列、 ES0D0X12SA00、EH1D2X12SSA0单板支持，而且整机最多支持入方厀 1：2；V200R005版本及后续的版本，华囷 S系列交换机开始全面支持1：N镜像，具体不同框式单板和盒式交换机支持情况如表1和表2所示。

单板	单个镜像端口入方向可绑定的观察端口数量	单个镜像端口出方向可绑定的观察端口数绋
SA系列单板（不包含 ES0D0X12SA00（S7700）、 EH1D2X12SSA0（S9700）、 ET1D2X12SSA0（S12700））	NA（只能镜像到 1个观察端口）	NA（只能镜像到 1个观察端口）
ES0D0X12SA00（S7700）、 EH1D2X12SSA0（S9700）、 ET1D2X12SSA0（S12700）	2	2

备佐 1: X1E系列单板的观察端口规格因观察端口配置方式的不同而不同。如果是单个配置，单个镜像端口入方向或出方向最多可绑定1个观察端口；如果是批量配置，理论上单个镜像端口入方向或出方向最多可绑定64个观察端口。备佐 2: 在1：N镜像中，如果镜像端口某一方向绑定的是通过批量方式创建的一个观察端口组，则该方向不能再绑定到其他的观察端口。

形态	单个镜像端口入方向可绑定的观察端口数量	单个镜像端口出方向可绑定的观察端口数绋
S2750	NA（只能镜像到1个观察端口）	NA（只能镜像到1个观察端口）
S5700S-LI、S5700LI	NA（只能镜像到1个观察端口）	NA（只能镜像到1个观察端口）
S5700SI	NA（只能镜像到1个观察端口）	NA（只能镜像到1个观察端口）
S5700EI	NA（只能镜像到1个观察端口）	NA（只能镜像到1个观察端口）
S5710EI	4	4
S5700HI	4	4
S5710HI	4	4
S5720HI	适配置方式而定	适配置方式而庨
S6700	Y（Y≤4）	4-Y（Y≤4）

备佐 1: S5720HI的观察端口规格因观察端口配置方式的不同而不同。如果是单个配置，单个镜像端口入方向或出方向最多可绑定1个观察端口；如果是批量配置，理论上单个镜像端口入方向或出方向最多可绑定64个观察端口。备佐 2: 在1：N镜像中，如果镜像端口某一方向绑定的是通过批量方式创建的一个观察端口组，则该方向不能再绑定到其他的观察端口。

N：1镜像规創

N：1镜像是指将N个不同镜像端口的报文复制到同一个观察端口，如图所示：

N：1镜像主要用于需要监控多个镜像端口流经的报文流。其中N的规格没有限制，就是说只要小伙伴愿意，可以把这个交换机的端口入方向或者出方向都绑定到同一个观察端口，对镜像端口的数量没有限制。

M：N镜像相当于 M个1：N 镜像叠加，如图所示，所以他一般都用在既要监控多 个镜像端口，又要这些镜像端口的报文发送到多台监控设备的综合场景。其实，我们通过前面的1：N镜像和N：1镜像就可以看出，M：N镜像对于M无规格限制， N的规格参考就1：N镜像中 N的规格。

交换机上的观察端口是有限的，如果当前需要连接的监控设备有很多，需要的观察端口数量超过了规格上限，我们该如何是好呢。下面小编总结了两种比较常用的方式。

如图所示，网络管理员需要将镜像端口的报文镜像到 4台监控设备，而SwitchB可以配置观察端口数量少于4。通过远程观察端口内部环回广播的实现过程如下：步骤一：配置远程端口镜卿

<SwitchB> system-view [SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置远程观察端

口，VLAN20为用于内部环回广播徹 VLAN [SwitchB] interface gigabitethernet1/0/6 [SwitchB-GigabitEthernet1/0/6] port-mirroring to observe-port 1 both //将镜像端

[SwitchB] vlan batch 20 //用于内部环回转发，不能在VLAN20配其他业县 [SwitchB] interface gigabitethernet1/0/1 [SwitchB-GigabitEthernet1/0/1] loopback internal //将远程观察端口配置为内

[SwitchB-GigabitEthernet1/0/1] mac-address learning disable //关闭端口 MAC

动态学习功能，防止内部环回端口学习到外部的MAC地址，将外部接收到的报

[SwitchB-GigabitEthernet1/0/1] stp disable //关闭STP功能，避免内部环回端口

因收到设备自己发送的报文，设置成Discarding状态，将端口阻塞 [SwitchB-GigabitEthernet1/0/1] port link-type trunk [SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan 20 //将端口加入内

[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 20	//将端口加入内
部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/2] quit [SwitchB] interface gigabitethernet1/0/3 [SwitchB-GigabitEthernet1/0/3] port link-type trunk [SwitchB-GigabitEthernet1/0/3] port trunk allow-pass vlan 20	//将端口加入内
部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/3] quit [SwitchB] interface gigabitethernet1/0/4 [SwitchB-GigabitEthernet1/0/4] port link-type trunk [SwitchB-GigabitEthernet1/0/4] port trunk allow-pass vlan 20	//将端口加入内
部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/4] quit [SwitchB] interface gigabitethernet1/0/5 [SwitchB-GigabitEthernet1/0/5] port link-type trunk [SwitchB-GigabitEthernet1/0/5] port trunk allow-pass vlan 20	//将端口加入内
部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/5] quit

如图所示，网络管理员需要将镜像端口的报文镜像到3台监控设备，馁 SwitchB

可以配置观察端口数量少于3。通过SwitchC进行VLAN广播的实现过程如下：

<SwitchB> system-view [SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置远程观

察端口，VLAN20为用于转发镜像报文的普通 VLAN [SwitchB] interface gigabitethernet1/0/2 [SwitchB-GigabitEthernet1/0/2] port-mirroring to observe-port 1 both //将镜像

[SwitchC] interface gigabitethernet1/0/1 [SwitchC-GigabitEthernet1/0/1] port link-type trunk [SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 20 //将端口加入用

[SwitchC] interface gigabitethernet1/0/2 [SwitchC-GigabitEthernet1/0/2] port link-type access [SwitchC-GigabitEthernet1/0/2] port default-vlan 20 //将端口加入用于转发镜

[SwitchC] interface gigabitethernet1/0/3 [SwitchC-GigabitEthernet1/0/3] port link-type access [SwitchC-GigabitEthernet1/0/3] port default-vlan 20 //将端口加入用于转发镜

[SwitchC] interface gigabitethernet1/0/4 [SwitchC-GigabitEthernet1/0/4] port link-type access [SwitchC-GigabitEthernet1/0/4] port default-vlan 20 //将端口加入用于转发镜

话说诸葛神人正在和众将在中军议事，忽飞鸽传书，翌日将有三分天下之神器 -华为交换机运抵汉中。诸葛大悦，与姜维彻夜研究交换机产品手册，以解众将之疑惑。天明之时授予姜维三个锦囊，“伯约，此绿、黄、红三个锦囊可在交换机配置困难之时依次打开使用，我去补个觉先。”次日清晨，张飞见着交换机，顿时毛躁起来： “如此多的接口，要是我一个个逐一配置多麻烦啊。”“飞飞莫急，我有丞相锦囊妙计。 ”姜维打开绿锦囊，只见锦帛上书：高效工作，批量配置。姜维顿时大悟，于是耐心的为张飞讲解起来。“飞飞，我知道你性格粗中有细，但如果对每个接口逐一进行相同的配置，的确很容易出错，而且造成大量重复工作。

配置端口组功能就可以解决这个问题啦。你只需要将这些以太网接口加入同一个端口组，在端口组视图下，只需输入一次业务命令，该端口组内的所有以太网接口都会配置该功能，快速完成接口批量配置，减少了重复配置工作。轻松搞定 so easy！妈妈再也不用担心我该咋配置接口了！”“维维老弟，你就别卖萌了，赶快跟我说说咋配置端口组吧！”“飞哥哥捉急了，待我细细道来。其实端口组也是有临时端口组和永久端口组两种方式。如果你需要临时批量下发配置到指定的多个接口，可选用配置临时端口组。配置命令批量下发后，一旦退出端口组视图，该临时端口组将被系统自动删除。如果你需要多次进行批量下发配置命令的操作，可选用配置永久端口组。即使退出端口组视图后，该端口组及对应的端口成员仍然存在，便于下次的批量下

发配置。如果你希望删除永久端口组，需要手动删除哦。下面我就给你说重点，该怎么配置端口组吧！”

举个栗子：飞飞需要将 GE1/0/1～GE1/0/20共二十个接口均关闭，但是后续这些接口由于配置不一致，还需要单独进行配置，那就可以选择临时端口组进行如下配置：

<HUAWEI> system-view [HUAWEI] port-group group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/20 // 将接口 GE1/0/1～GE1/0/20加入到临时端口组，此步骤等同于执行命令 interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/20 [HUAWEI-port-group]shutdown // 临时端口组视图中配置需要批量下发的命令 [HUAWEI-port-group] quit // 退出临时端口组后，系统就会自动删除这个临时端口组

再举个栗子：飞飞需要将 GE2/0/1～GE2/0/10共十个接口均配置为access接口，而且这些接口配置信息相对固定，均保持一致，那就可以选择永久端口组进行如下配置：

[HUAWEI-port-group-portgroup1] port link-type access // 永久端口组视图中配置需要批量下发的命令 [HUAWEI-port-group-portgroup1] quit // 退出端口组视图后，名称portgroup1的永久端口组仍然存在

如何知道永久端口组中的成员接口呢? 执行命令 display port-group [ all | port-group-name ]，就可以查看永久端口组的成员接口信息啦。张飞按照诸葛神人的锦囊妙计，轻松快捷的给各个营帐分配了一个接口，并批量配置了相关功能。为了练练手，他居然又在一个空闲端口上一股脑配置了 N多条命令。“这下可惨了，被姜维发现又该揭我老底，说我是村野匹夫啦，咋办，赶快看手册，看看如何批量清除一个接口的所有配置。

铛铛铛！找到了，只需要在接口视图下执行命令clear configuration this就可以一 键清除接口下的配置啦。搞定！”

特性攻略

description switch-A port link-type access # return [HUAWEI-GigabitEthernet0/0/1] clear configuration this //清除接口下所有配置，恢复缺省值 Warning: All configurations of the interface will be cleared，and its state will be shutdown. Continue? [Y/N] :y Info: Total 2 command(s) executed, 2 successful, 0 failed. [HUAWEI-GigabitEthernet0/0/1] display this # interface GigabitEthernet0/0/1 shutdown // 清除接口下所有配置后，接口将处于关闭状态 # return

日上三竿，诸葛神人已经补觉起床，见张飞已经为各个营帐对应的接口配置完毕，大赞张飞。与此同时又给张飞提了一个难题：“翼德，我们中军营帐信息安全极为重要，不能和士兵的营帐相互通信，我该怎么配置呢，你造吗？”张飞丈二和尚摸不着头脑，只见姜维在后面暗笑。“飞飞，你忘了丞相还有第二个锦囊妙计？” 张飞大笑，“速取第二个锦囊。” 欲知后事如何，请听下回分解。

话说张飞接到诸葛神人下达的保障中军大营信息安全的军令后，不禁大为挠头。幸得姜维提醒，才想起诸葛神人留的第二个锦囊。两人打开锦囊，定睛观看，只见锦帛上书：两军对垒，信息至上，保障安全，唯有隔离。

张飞瞪着虎目环眼，一脸茫然 ：“维维老弟，丞相的锦囊暗藏什么玄机，你造不？”

姜维呵呵一笑：“飞飞不要捉急，且听我慢慢道来。下图是我军的

飞飞你看，我军的中军大营、士兵大营和辎重大营同属于一个 VLAN且位于相同网段。默认情况下，三个大营可以互相访问。现在，丞相要求咱们在不改变我军网段规划和 VLAN规划的情况下，实现：1) 中军大营和士兵大营不能互相访问； 2）中军大营可以访问辎重大营，但辎重大营不能访问中军大营，且辎重大营和士兵大营始终可以互相访问。那么，该如何实现呢？这就需要咱们祭出端口隔离这个大招啦。此招一出，威力无穷，必然能够完成丞相军令，到时候丞相肯定夸你是个爱学习、肯动脑的好孩子，哈哈哈哈！”

姜维调侃完张飞后，开心得哈哈大笑 。张飞假装愠怒 ：“维维老弟，别臭美了，你快告诉我怎么配置端口隔离吧！”端口隔离组“好，长话短说。说到端口隔离，就要引入端口隔离组的概念，交换机的端口可以加入到特定的端口隔离组中，同一端口隔离组的端口之间互相隔离，不同端口隔离组的端口之间不隔离。因此，要完成丞相的军令，配置思路其实非常简单。如下图所示，在交换机上将端口 GE0/0/1和 GE0/0/2加入同一个端口隔离组， GE0/0/3不加入端口隔离组或者加入另一个端口隔离组就 OK了。

[Switch-GigabitEthernet0/0/1] port-isolate enable group 5 //端口GE0/0/1加入到端

[Switch-GigabitEthernet0/0/2] port-isolate enable group 5 //端口GE0/0/2加入到端

[Switch-GigabitEthernet0/0/3] port default vlan 10 //端口GE0/0/3不加入端口

完成配置后，端口 GE0/0/1和 GE0/0/2就加入同一个端口隔离组，端口 GE0/0/3

不加入任何端口隔离组。这样，中军大营和士兵大营就不能互相访问了，但中军

张飞闻言大喜，不过他心中还压着一个小包袱：“维维老弟，丞相还要咱们实现中军大营可以访问辎重大营，但辎重大营不能访问中军大营。这个问题也能用端口隔离解决吗？”姜维微微一笑，淡定地说：“端口隔离既然是大招，当然不仅仅只有端口隔离组这件杀器喽，它的武器库里还要另外一件杀器——单向隔离，正好解决你提的这个问题。”张飞有点不相信，怀疑地说：“神马是单向隔离？有这么神奇吗？”姜维笑着说：“单向隔离，顾名思义，只在单个方向上进行信息隔离。举个栗子

，在接口 A上配置它与接口 B之间单向隔离，则从接口 A发送的报文不能到达接口 B，但从接口 B发送的报文可以到达接口 A。就拿你提的这个问题来说吧，要实现中军大营可以访问辎重大营，但辎重大营不能访问中军大营，就可以使用单向隔离功能。如下图所示，在端口 GE0/0/3上配置单向隔离功能，并指定隔离的端口是 GE0/0/1，这样，GE0/0/3上发出的报文不能到达 GE0/0/1，而 GE0/0/1发出的报文可以到达 GE0/0/3，从而实现中军大营可以访问辎重大营，但辎重大营不能访问中军大营。配置步骤如下：

[Switch] interface GigabitEthernet 0/0/3 [Switch-GigabitEthernet0/0/3] am isolate gigabitethernet 0/0/1 //在GE0/0/3上配置端口隔离功能，并指定隔离的端口是GE0/0/1 [Switch-GigabitEthernet0/0/3] quit

配置单向隔离大功告成，看，就是这么简单！”张飞按照诸葛神人的锦囊，轻轻松松地在交换机上配置了端口隔离功能，经过验证，中军大营果然不能与士兵大营互相访问，且辎重大营不能访问中军大营。

第二天，张飞美滋滋地等着诸葛神人的表扬 ，不料，诸葛神人却告诉张飞“飞飞，端口 GE0/0/1与端口 GE0/0/2现在是二层隔离，虽然 ARP啥的无法透传过来，但是通过 VLAN内 Proxy ARP功能，中军大营与士兵大营仍然能够借助自己的网关实现三层互访，这就是所谓的二层隔离但是三层不隔离。”

特性攻略

张飞有点小郁闷 ：“丞相，管它二层隔离三层隔离，只要能实现信息隔离不就行了？反正我现在看不出来二层隔离和三层隔离有啥区别。”诸葛神人不慌不忙地摇着鹅毛扇：“事实胜于雄辩。我们做个小实验，你就完全明白了。实验过程如下：步骤 1 如下图所示，取中军大营的主机 PC1和士兵大营中的主机 PC2，在 PC1和 PC2加入同一个端口隔离组条件下，用 PC1和 PC2互相 Ping对方，结果两者无法互相 Ping通，说明端口隔离功能起了作用。

在 PC1 Ping PC2的过程中，在交换机上抓取经过 GE0/0/1和 GE0/0/2的报文。 GE0/0/1的抓包信息如图所示：

抓包信息显示，PC1发送了 ARP请求报文（绿线框围住的 Protocol为 ARP的报文）后，并没有收到来自 PC2的 ARP应答报文。 GE0/0/2的抓包信息如图所示：

结论综合 GE0/0/1和 GE0/0/2的抓包信息，说明了 PC1发送的 ARP请求报文无法通过交换机透传到 PC2上，这样，PC1和 PC2之间就无法完成 ARP学习过程，两者之间也就无法实现相互访问。步骤 2 PC1和 PC2上配置的网关是 VLANIF10的 IP地址：10.10.10.250/24，我们在 VLANIF10上使能 VLAN内 Proxy ARP功能。步骤如下：

[Switch] interface vlanif 10 [Switch-Vlanif10] ip address 10.10.10.250 24 [Switch-Vlanif10] arp-proxy inner-sub-vlan-proxy enable //在VLANIF10上使能 VLAN内Proxy ARP功能 [Switch-Vlanif10] quit

然后用 PC1和 PC2互相 Ping对方，结果两者可以互相 Ping通，这说明端口隔离功能失效了。这是怎么回事呢？让我们来抓包分析一下。 GE0/0/1的抓包信息如图所示：首先，PC1发送 ARP请求报文，寻找 PC2的 MAC地址（如黄线标注）。其次，VLANIF10作为 ARP代理，代替 PC2发送 ARP应答报文（如蓝线标注。注意：4c1f-cc6b-263c是 VLANIF10的 MAC地址）。然后，PC1收到来自 VLANIF10的 ARP应答报文后，把 ARP表项中 PC2的 MAC地址修改为 VLANIF10的 MAC地址，如下图所示。

最后，PC1发送到 PC2的 Ping Request报文（如绿线标注）。下图是 Ping Request报文信息， Ping Request报文的目的 MAC地址是 VLANIF10的 MAC地址（如黄线标注），可见，Ping Request报文会首先发送到 VLANIF10上。如何查看 VLANIF10的 MAC地址呢？在交换机上执行 display arp all命令就可以查看 VLANIF10的 ARP表项，ARP表项中包含 VLANIF10的 MAC地址。如下图所示。

首先，VLANIF10发送 ARP请求报文，寻找 PC2的 MAC地址（如黄线标注）。其次，VLANIF10收到来自 PC2的 ARP应答报文，获取了 PC2的 MAC地址（如

蓝线标注）。最后，VLANIF10将收到的来自 PC1的 ARP Request报文转发到 PC2（如绿线所示）。

结论综合 GE0/0/1和 GE0/0/2的抓包信息可以看出， PC1发送的 Ping Request报文会发送到 VLANIF10进行三层转发，而不是进行二层转发。 PC2回应 PC1的 Ping Reply报文也同样进行三层转发，本帖不再赘述。张飞嚷道：“哇， PC1和 PC2之间果然能够通过三层进行通信。那么，丞相，如何实现 PC1和 PC2二三层都隔离呢？”诸葛神人微微一笑：“很简单，只需要在系统视图下执行 port-isolate mode all命令即可实现二三层都隔离。让我们再次实验一下。实验步骤如下：步骤 1 在接口 VLANIF10下保留 VLAN内 Proxy ARP功能的配置的同时，在系统视图下执行 port-isolate mode all命令。

抓包信息显示，PC1发送 ARP请求报文，收到来自接口 VLANIF10的 ARP应答报文。PC1发送 Ping Request报文到 VLANIF10进行三层转发。

抓包信息显示，VLANIF10没有发送 ARP请求报文寻找 PC2的 MAC地址，也没有把 PC1发送的 ARP Request报文转发到 PC2。

结论 VLANIF10并没有转发来自 PC1的 ARP Request报文，这样， PC1和 PC2之间也就无法实现三层互访了。飞飞你看，只是增加了一个小小的配置，端口隔离功能就又王者归来了！”张飞信服地点了点头，赞叹道 ：“不愧是丞相呀，果然神机妙算！不过丞相，你看现在我们在交换机上配置了这么多端口隔离的命令，万一日后我们不需要端口隔离功能了，一条一条删除这些命令多麻烦呀！”诸葛神人夸奖张飞：“谁说飞飞有勇无谋？这个想法就很动脑子。其实，在系统视图下执行 clear configuration port-isolate命令就可以一键式清除设备上所有的端口隔离配置，包括端口隔离组、端口单向隔离和隔离模式相关配置。不过，飞飞，由于执行 clear configuration port-isolate命令一键式清除的命令数量比较多，可能会影响其他业务，在使用时一定要谨慎哦！”张飞哈哈大笑 ，说：“丞相，你放心吧，你不知道俺是粗中有细吗？哈哈！”诸葛神人笑着说：“飞飞进步越来越大了。不过最近我军又购置了一批华为交换机，这批交换机型号、传输能力都各有不同，而这些交换机需要分布在各个营寨，与之前购买的那台交换机直接相连。现在我们想要相连交换机的接口之间的参数一致，从而保证数据能够正常传输，我们该怎么配置，飞飞你造吗？”正在张飞丈二和尚摸不着头脑的时候，不知姜维什么时候从后面走了过来，拍了拍张飞的肩膀：“飞飞，你忘了丞相还有第三个锦囊妙计？”张飞大笑，“速取第三个锦囊。”欲知后事如何，请听下回分解。

上一回说到诸葛神人四处招兵买马，待机讨伐中原。百姓素闻蜀军乃仁义之师，皆纷纷归顺，以壮大其阵营。为便于及时下发军令，诸葛神人决定为新兵营帐再买入一批华为交换机。当然这次的设备安装和调测还是让张飞来打头阵。经过前两回的配置端口组和端口隔离操作，张飞自信满满，以为不需要丞相妙计，自己便可以解决问题，于是决定先自己捣鼓。可是当他将设备之间的接口连线并上电后，发现有些接口仍然处于 Down状态，排查半天仍然没有解决问题，无奈之下只好打开第三个锦囊，曰：速率双工，助你成功。自动协商，往来无妨。

姜维见张飞遇到难题，前来助阵。受丞相锦囊妙计的点拨，很快就找到故障问题的定位思路。“飞飞，我们还是先一步步排查吧，先问你个问题，如何查看接口是否处于 Up状态？”

“这有何难，在当前接口视图下执行命令 display this interface就可以 查看接口状态了。”

“飞飞只知其一，不知其二，待我详细告知。先看下 display this interface 回显信息：

对于二层物理接口，一般物理状态 current state为 Up，协议状态 Line protocol current state就会是 Up的。例如，二层物理接口连线正确，并且接口属性配置正常后，物理状态 current state和协议状态 Line protocol current state都是处于 Up状态。

对于三层物理接口，只有物理状态 current state为 Up，并且协议协商也成功后，协议状态 Line protocol current state才会是 Up的。例如，三层物理接口连线正确，并且接口属性配置正常后，如果没有配置 IP地址，则物理状态 current state为 Up，但协议状态 Line protocol current state处于 Down状态。当我们设备连线后，在没有配置接口 IP地址等操作之前，需要保证接口物理状态即 current state是 Up即可。”

“这个我都知道了，关键是我想知道接口物理状态为啥处于 Down

“这就要引出我们的重点啦—只有链路两端接口双工模式和速率都保持一致，接口物理状态才可以 Up。如何保持一致呢？自协商机制或者非自协商机制（强制配置机制）都可以实现。”

双工模式分为全双工和半双工。全双工是指接口在发送数据的同时也能够接收数据，两者同步进行；而半双工是指一个时间段内只有一个动作发生，即接口某一时间段只接收报文或只发送报文。举一个全双工的例子，一条东西走向的宽阔马路，可允许两辆马车迎面通过。当甲辆马车自东向西行驶，乙辆马车自西向东行驶时，两车可以同时行进，互不影响。这个例子中宽阔的马路代表的就是全双工链路，甲、乙两辆马车分别代表的就是发送方向报文和接收方向报文。再举一个半双工例子，一根独木桥，同时只能允许一个人通过，当有甲、乙两人从河岸两端迎面走过来时，这种情况下就只能是一个人在桥头先停下来，等待另外一个人走过来后，再继续走过去。这个例子中独木桥代表的就是半双工链路，甲、乙两人代表的就是发送方向报文和接收方向报文。全双工相对于半双工的好处在于迟延小，速度快。当数据流量较大时，工作在半双工模式的链路就会出现冲突、错包，最终影响了工作性能。因此半双工已经逐步退出历史舞台啦。

接口速率决定了接口传输数据的带宽，一般接口有百兆（ 100Mbit/s）、千兆（ 1000 Mbit/s）、万兆（ 10000Mbit/s）等速率类型。不同速率的接口也是可以对接成功的，其工作速率最终是需要保持一致的。例如，千兆（ 1000 Mbit/s）接口和百兆（100Mbit/s）接口对接，工作速率肯定是双方均支持的速率，一般会是工作在 100Mbit/s。这个例子也可以看出，接口速率不一定就是其工作速率哦，一般工作速率会小于或等于接口速率。接口自协商

自协商功能就是给互连设备提供一种交换信息的方式，使物理链路两端的设备通过交互信息自动选择同样的工作参数（包括双工模式和速率），以使其自动配置传输能力，达到双方能够都能支持的最大值。链路两端的协商模式必须保持一致。如果链路两端的协商模式不一致，例如本端配置为非自协商模式，对端配置为自协商模式，则本端接口可能为 Up或 Down状态，但对端一定为 Down状态。链路之间仍无法正常通信。

“这个接口当前工作速率、双工模式、自协商模式信息，我怎么查看呢？”

“还是在链路两端接口均执行命令 display this interface，查看接口的双工 模式、速率、协商模式信息，并根据回显中相关信息字段来进行故障定位。具体的字段信息如下表所示。

回显信息字段	显示信息解释说明	后续操作
Negotiation	接口自协商状态。 o显示信息是 “ENABLE”表示接口工作在自协商状态。 o显示信息是 “DISABLE”表示接口工作在非自协商状态即强制模式。	保持链路两端接口的协商模式一致，要么都工作在自协商模式下，要么都工作在非自协商模式下。在接口视图下可以使用 negotiation auto命令调整接口的自协商模式。如果自协商模式下接口仍然 Down，可以尝试将两端接口均修改为非自协商模式，并强制两边速率、双工模式保持一致。
Speed	接口当前工作速率。	在非自协商模式下如果设备两端接口速率不一致，请在接口视图下执行 speed命令调整接口速率保持一致。
Duplex	接口双工模式。	在非自协商模式下如果设备两端接口双工模式不一致，请在接口视图下执行 duplex命令调整接口双工模式保持一致。

故障排查小窍门：保持链路两端接口工作在自协商模式，物理状态处于 Down时，可以先在链路两端接口视图下依次执行命令 shutdown和 undo shutdown；也可以执行命令 restart，重启接口，目的是接口重新进行一次自协商。 如果接口仍然物理状态处于 Down，则在链路两端接口视图执行命令 undo negotiation auto，配置以太网接口工作在非自协商模式，并强制指定速率和双工 模式，使其保持一致。飞飞，按照丞相妙计，你的端口故障问题自然迎刃而解了。”

“飞飞莫急，我还有补充：如果自协商的接口速率与实际现网要求不符，可通过手动配置接口速率来控制协商的结果。下面就根据我军营帐组网图给你解释下：

中军大营、士兵大营、辎重大营上行接入交换机 Switch的接口速率均为 1000Mbit/s，交换机 Switch与外部网络相连接口 GE1/0/4的速率也为 1000Mbit/s。如果在 Switch上不指定自协商速率，则接口 GE1/0/1、GE1/0/2和 GE1/0/3和各自连接的营帐接口速率协商的结果将都为 1000Mbit/s，当我军三个大营同时以 1000Mbit/s速率对外发送数据时，就可能会造成出接口 GE1/0/4拥塞。

“所有接口都是自协商的情况下，最终速率都是接口支持的最大速率，三个入接口都是 1000Mbit/s，一个出接口只有 1000Mbit/s，（1000 Mbit/s +1000 Mbit/s +1000 Mbit/s）>1000 Mbit/s，出接口数据报文肯定会拥塞了，那拥塞问题咋解决呢？”

“很简单，在自协商模式下，我们也可以控制最终协商的速率。将 GE1/0/1、GE1/0/2和 GE1/0/3三个接口的自协商最大速率控制在 100Mbit/s以

内，则虽然中军大营、士兵大营、辎重大营接口速率均为 1000bit/s，但根据自协

商结果是链路两端均支持的最大速率这一原则，最终接口协商后的速率也只是

100Mbit/s，（100 Mbit/s +100Mbit/s +100Mbit/s）<1000 Mbit/s，拥塞问题就解

特性攻略

我们首先回顾一下什么是ARP。江湖中人对ARP的描述是：闲窥江湖风云雨， IP、 MAC一线牵。也就是说地址解析协议 ARP（Address Resolution Protocol）实则是 IP地址与MAC地址之间的桥梁，主要用于将 IP地址解析为MAC地址。无论是PC还是交换机上，都有一张 ARP表，ARP表中保存着IP地址和MAC地址的映射关系。当PC或者交换机需要与网络中其他设备进行通信时，知道了对方的IP地址，还需要知道MAC地址以便将IP报文封装成帧才能通过物理网络发送，这时PC或者交换机可以通过查找 ARP表知道对方IP地址对应的MAC地址。下面就让小编带大家一起从以下几个方面来一步一步的了解ARP吧~

交换机作为网关时，通过在网关上查看 ARP表项，网络管理员可以查看下挂用户的IP地址、MAC地址和接口等信息。例如，当网络管理员知道某个用户的 IP地址，想查询该用户的MAC地址时，可以通过查看ARP表项信息获取。那我们如何查看设备上的ARP表呢？display arp就可以啦~ 举个例子，如下图所示，我们可以在交换机上执行命令display arp network查看

172.16.0.0/16网段的ARP表项。ARP表项有S、I、D三种类型，这三种类型的 ARP表项是怎么来的？怎么配置？小编待会儿给大家详细介绍。

偶尔是不是还遇到过MAC ADDRESS字段显示为“Incomplete”的情况，不用迷惘， Incomplete表示这条ARP表项是一个临时ARP表项，即设备已经发送了ARP请求报文，但是还没有收到ARP应答。看了上面的ARP表，或许已经有细心的小伙伴发现： S和D类型的ARP表项中，为什么有的ARP表项没有VLAN信息，有的ARP表项有VLAN信息呢？哈哈，小编我就不卖关子了，是这样的：如果 ARP表项没有VLAN信息，那么代表这条表项中的接口处于三层模式，是一个三层口；如果 ARP表项有VLAN信息（并且表项中接口不是子接口时），那么代表这条表项中的接口处于二层模式，是一个二层口。当然，如果你想删除设备上的ARP表项，可以通过执行 reset arp { all | dynamic xx | static xx | interface xx }命令来实现。刚刚小编给大家承诺过要介绍三种类型的ARP表项是如何来的。类型为I的ARP表项比较简单，只要在接口上配置了 IP地址，设备上就会生成一条类型为 I的ARP表项哦~类型为I的ARP表项不会老化，IP地址和 MAC地址即为接口本身的IP地址和MAC地址。那另外两种类型的 ARP表项呢？各位看官可要睁大你的眼睛哦~下面就介绍类型为D的ARP表项。

大多数情况下，设备可以通过 ARP协议动态学习和更新ARP表项。设备是如何进行动态学习的呢？其实动态ARP主要是通过广播 ARP请求报文和单播 ARP应答报文这两个过程完成地址解析的。例如小A和小C在一次聚会上互留了IP地址。如上图所示，小 A需要与小C进行通信时，知道了小C的IP地址为10.1.1.3/24，判断后发现与自己在同一网段

1. 1.1.0/24，于是小A会广播发送一个ARP请求报文，请求小C的MAC地址。小C收到ARP请求报文后，会单播发送一个 ARP应答报文，告诉对方自己的 MAC地址是3-3-3。（在同一网段的小 B也会收到ARP请求报文，但是由于 ARP请求报文中的目的IP地址不是小 B的IP地址，因此小B不会进行应答。）小A收到ARP应答报文后，就会在自己的 ARP表中增加一条动态表项：IP地址
2. 1.1.3对应MAC地址3-3-3，这样小 A就可以与小 C进行通信啦。怎样，是不是觉得动态ARP学习很简单？一方面由于ARP表的容量限制，另一方面也为了保证动态 ARP表项的准确性，PC

或交换机会对学习到的动态ARP表项进行老化。交换机上动态 ARP表项有一定的老化时间，缺省值是20分钟，一般建议使用缺省值。设备上动态ARP表项到达老化时间后，设备会发送老化探测报文（即 ARP请求报文），如果能收到ARP应答报文，则更新该动态ARP表项，本次老化探测结束；如果超过设置的老化探测次数后仍没有收到ARP应答报文，则删除该动态 ARP表项，本次老化探测结束。好啦，动态 ARP表项的内容小编也介绍的差不多了，是不是已经有小伙伴迫不及待的想知道S类型的ARP表项是怎么配置的呢？

对于网络中的重要设备，如服务器等，我们可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新，从而保证用户与重要设备之间正常通信。静态ARP表项不会老化，不会被动态 ARP表项覆盖。用户可以通过手工方式配置静态ARP表项，下面小编就给大家举几个例子。例如，网络中有一台重要的服务器，服务器的 IP地址为172.16.10.2，MAC地址为 0023-0045-0067。如果交换机与这台服务器相连的接口 GE1/0/1处于二层模式，并加入VLAN100。这时可以在交换机上为服务器配置一条对应的 ARP表项，具体配置如下。

还是上面的那台服务器，如果交换机与服务器相连的接口处于三层模式，这时在交换机上配置静态ARP表项，可以参考如下配置。

<Quidway> system-view [Quidway] interface gigabitethernet 1/0/1 [Quidway-GigabitEthernet1/0/1] undo portswitch [Quidway-GigabitEthernet1/0/1] ip address 172.16.10.1 24 //GigabitEthernet1/0/1的 IP地址需要与静态 ARP表项中的 IP地址（172.16.10.2）同网段。

当交换机采用多端口ARP方式与NLB服务器群集连接时， NLB服务器的群集 IP地址为172.16.40.2，群集MAC地址为02bf-0045-0070。这时在交换机上配置对应的静态ARP表项时，可以参考如下配置。对于出接口是以太网接口，并且以太网接口处于二层模式的情况，建议小伙伴们在配置静态ARP表项时尽量同时指定VLAN和出接口，否则可能导致业务流量不通。

前面我们提到，主机进行动态 ARP学习时，如果发现目的 IP地址与自己在同一网段，会发送广播 ARP请求报文进行 ARP学习。但是呢，有些情况下两台主机虽然在同一网段，但不在同一广播域，目的主机是无法收到 ARP请求报文的，因而也就无法成功学习到ARP表项。在连接两台主机的交换机上使能ARP代理后，交换机相当于一个中介， Host_1发送ARP请求报文请求Host_2的MAC地址的时候，交换机会将自己的 MAC地址告诉Host_1。这样 Host_1发给Host_2的数据报文会先发给交换机，再由交换机转发给Host_2。例如下面的三种情况，我们就可以用到ARP代理。

需要互通的主机Host_1与Host_2（主机上没有配置缺省网关）处于相同的网段但不在同一物理网络（即不在同一广播域）。由于在不同的广播域， Host_1发送的 ARP请求报文Host_2是收不到的，这时可以在交换机的VLANIF10和VLANIF20接口上使能路由式Proxy ARP功能（arp-proxy enable），实现Host_1与Host_2之间的互通。情况二

需要互通的主机Host_1与Host_2处于相同网段，并且属于相同VLAN，但是VLAN内接口IF_1与IF_2配置了端口隔离。由于 IF_1与IF_2之间端口隔离， Host_1发送的ARP请求报文Host_2是收不到的，这时可以在Switch上关联了VLAN10的 VLANIF接口上使能VLAN内Proxy ARP功能（arp-proxy inner-sub-vlan-proxy enable），实现Host_1与Host_2之间的三层互通。

需要互通的主机 Host_1与Host_2处于相同网段，但属于不同VLAN。由于不在同一VLAN，Host_1发送的 ARP请求报文Host_2当然也是收不到的，这时可以在 Switch上关联了VLAN10和VLAN20的VLANIF30接口上使能VLAN间Proxy ARP功能（ arp-proxy inter-sub-vlan-proxy enable），实现 Host_1与Host_2之间的三层互通。

相信各位大侠对于VLAN技术的掌握可能已经炉火纯青，但是小编还是要友情提醒下，不管技术如何高超，时不时的还需要补充下基本功滴（知其然知其所以然）！当然对于初入江湖的小伙伴们来说，这是必修课喔（只有打牢基础，对于 VLAN的应用才能得心应手）~~话不多说，让小编带您开始一段愉悦的VLAN基本功之旅吧！期待。。。。。。

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的 LAN在逻辑上划分成多个广播域的通信技术。在1996年3月，IEEE802.1Internetworking委员会结束了对 VLAN初期标准的修订工作。新出台的标准进一步完善了 VLAN的体系结构，统一了 Frame-Tagging方式中不同厂商的标签格式，并制定了 VLAN标准在未来一段时间内的发展方向，形成的802.1Q的标准在业界获得了广泛的推广。后来IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。 802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。

IEEE 802.1Q是VLAN的正式标准，在传统的以太网数据帧基础上（源 MAC地址字段和协议类型字段之间）增加4个字节的802.1Q Tag。其中，数据帧中的 VID（VLAN ID）字段用于标示该数据帧所属的 VLAN，数据帧只能在所属VLAN内进行传输。

由上图可以看出：通过划分不同的 VLAN，VLAN内的主机间可以直接通信，而 VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。这里：小编总结了下VLAN技术的优点，一起来看下吧：

限制广播域：广播域被限制在一个VLAN内，节省带宽，提高网络处理能力。增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个 VLAN内的用户不能和其它VLAN内的用户直接通信。

特性攻略

提高网络的健壮性：故障被限制在一个 VLAN内，本 VLAN内的故障不会影响其他VLAN的正常工作。灵活构建虚拟工作组：用 VLAN可以划分不同用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

1. 1. Access：交换机上用来连接用户主机的接口，它只能连接接入链路（ Access Link）。
2. 2. Trunk：交换机上用来和其他交换机连接的接口，它只能连接干道链路（Trunk Link）。

除此之外，还有一种接口叫 Hybrid接口，是交换机上既可以连接用户主机，又可以连接其他交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。

Hybrid接口和Trunk接口在接收数据时，处理方法是一样的。唯一不同之处在于：发送数据时，Hybrid接口可以允许多个VLAN的报文发送时不打标签，而Trunk接口只允许缺省VLAN的报文发送时不打标签。

接口类型不同，交换机对VLAN数据帧的处理过程也不同。具体处理方式如下：

特性攻略

接口类型	接收不带Tag的报文	接收带Tag的报文	发送帧处理过程
Access	接收该报文，并打上缺省的VLAN ID。	对比VLAN ID与缺省 VLAN ID相同时，接收该报文。不同时，丢弃该报文。	先剥离帧的PVID Tag，然后再发送。
Trunk	打上缺省的VLAN ID当缺省VLAN ID在允许通过的VLAN ID列表里时，接收该报文。当缺省VLAN ID不在允许通过的VLAN ID列表里时，丢弃该报文。	当VLAN ID在接口允许通过的VLAN ID列表里时，接收该报文。当VLAN ID不在接口允许通过的VLAN ID列表里时，丢弃该报文。	当VLAN ID与缺省VLAN ID相同，且是该接口允许通过的VLAN ID时，去掉 Tag，发送该报文。当VLAN ID与缺省VLAN ID不同，且是该接口允许通过的VLAN ID时，保持原有 Tag，发送该报文。
Hybrid			当VLAN ID是该接口允许通过的VLAN ID时，发送该报文。可以通过命令设置发送时是否携带Tag。

江湖各位大侠重温了 VLAN的基础知识，是否想过 4094个VLAN可以怎样划分，哪种方式又是好用简单的？细心的小编特地整理了一番，给各位大侠把玩把玩。

1. VLAN：根据交换机接口分配 VLAN ID。配置简单，可以用于各种场景。
2. MAC划分VLAN：根据报文的源 MAC地址分配VLAN ID。经常用在用户位置变化，不需要重新配置 VLAN的场景。
3. VLAN：根据报文的源 IP地址分配 VLAN ID。一般用于对同一网段的用户，进行统一管理的场景。
4. VLAN：根据报文的协议类型分配 VLAN ID。适用于对具有相同应用或服务的用户，进行统一管理的场景。
5. 基于匹配策略划分VLAN：根据指定的策略（譬如匹配报文的源 MAC、源IP和端口）分配VLAN ID。适用于对安全性要求比较高的场景。

几种划分VLAN的各种方式中，基于接口划分 VLAN，是最常用最简单的方式。那么到底怎么配置，怎么使用呢？

特性攻略

场景一：一台交换机，两个用户，怎么通过接口划分 VLAN从而实现隔离呢？

先来看看同一网段的两台PC直接和交换机相连，不进行划分 VLAN，是否可以 ping通呢？

因为缺省情况下，华为交换机的接口都默认加入 VLAN 1，两台 PC直接和交换机相连，只要属于同一个网段，就可以互通。

那么怎么通过VLAN实现隔离呢？只要把接口加入到不同的 VLAN，就可以了。例如交换机 GE0/0/1和GE0/0/2端口分别以access类型加入VLAN 10 和VLAN 20

此时，两台PC基于接口划分到不同 VLAN中，互连不能 ping通，实现了隔离。

场景二：跨交换机， 4个用户，怎么通过接口划分 VLAN实现隔离和互通呢？

如下图：缺省情况下， 4台PC属于同一网段，相互可以 ping通。假设PC1和PC2属于同一部门，PC3和PC4属于同一部门。如何通过配置基于接口的 VLAN，实现同一部门之间可以互访，不同部门之间不能互访呢？

同一个部门两个用户PC1 和 PC2划分到同一个VLAN100。交换机1的 GE0/0/1和交换机2的GE0/0/1端口分别以access类型加入VLAN100。

两台相连交换机的端口GE0/0/3，分别以trunk端口加入VLAN 100 和VLAN 200，实现跨交换机的通信。

这样，就可以实现到同一部门的用户PC1和PC3可以互通，不同部门的用户 PC2和 PC4不能互通了。

OK，典型的应用场景就讲完了。各位大侠是否发现上面两个场景中， VLAN和端口数都比较少，而在现实组网中，经常需要配置多个 VLAN，多个端口，有什么办法可以快速完成配置吗？下面小编再介绍一下批量配置和快速恢复端口VLAN缺省配置的方法。

想要快速恢复端口VLAN的缺省配置，必须要知道什么是缺省配置？华为交换机，缺省情况下所有端口都是只加入 VLAN1的。那么下面和小编一起看看3种链路类型下，怎么快速恢复缺省配置呢？ access口：一步搞定，命令是 undo port default vlan trunk和hybrid口：三步搞定，先恢复 PVID的配置，再删除端口下所有 vlan，然后再把缺省的VLAN1 加入。具体命令如下

trunk	hybrid
undo port trunk pvid vlan undo port trunk allow-pass vlan all port trunk allow-pass vlan 1	undo port hybrid pvid vlan undo port hybrid vlan all port hybrid untagged vlan 1

前两期小编介绍了VLAN的基础知识以及如何划分VLAN，之后不断有读者询问： VLAN划分后，同一VLAN用户可以二层互通，不同 VLAN用户则二层隔离，可有些场合不同VLAN用户又想互通，肿么办呢？请大家先回忆一下： VLAN是广播域，而广播域之间来往的数据包一般由路由器中继的。因此， VLAN间的通信通常要用到路由功能，这被称作 “VLAN间路由”。 VLAN间路由，可以使用普通的路由器，也可以使用三层交换机。有了这个初步认识，接下来小编就开始介绍使用三层交换机进行 VLAN间通信的主要场景和技术。

VLAN间通信场景一：不同 VLAN不同网段用户间的通信，用户通过三层交换机互联使用技术： VLANIF

基本原理：前面提到，要实现 VLAN间互通，就要建立 VLAN间路由，此场景用户直连在三层交换机上，只需直连路由即可。而 VLANIF接口是一个三层的逻辑接口，在其上配置 IP地址为用户的网关地址后，它就在三层交换机上生成直连路由，同时，可作为用户的网关。这样，发往各 VLAN网段的报文，就可在路由表中分别找到其出接口 ---VLANIF接口，从而实现三层转发。

VLANIF只生成直连路由，只能使得相邻设备互通。现网中用户间可能会跨多台三层交换机（如三层网络），此时，除配置 VLANIF外，还要借助静态路由或路由协议才能实现互通。

VLAN间通信场景二：不同 VLAN不同网段用户间的通信，用户通过二层交换机互联，仅通过一台三层交换机实现 VLAN间通信使用技术：子接口（又称单臂路由）

基本原理：跟VLANIF一样，子接口也是三层逻辑接口。在子接口上配置IP地址

为用户的网关地址后，在三层交换机上同样形成直连路由， VLAN内的用户同样将网关指向对应的子接口（如图中 VLAN2内用户的网关为 Port1.1，VLAN3内用户的网关为Port2.1），进而实现三层通信。

通过子接口实现三层互通，虽然可减少物理接口占有量，不过由于发送的流量会争用物理主接口的带宽，网络繁忙时，会导致通信瓶颈哟。

VLAN间通信场景三：不同 VLAN相同网段用户间的通信使用技术： Super VLAN（又称VLAN聚合）如下图所示，因 IP地址有限，不同 VLAN用户共用一网段，但又需要互通以及访问外网。

基本原理：通过定义Super-VLAN和Sub-VLAN， Super-VLAN只用来建立三层

VLANIF接口，与网关对应，不包含物理接口； Sub-VLAN只包含物理接口，不建立三层VLANIF接口，用来隔离广播域，一个 Super-VLAN可以包含一个或多个Sub-VLAN。我们可以这样看，每一个普通 VLAN都有一个三层逻辑接口和若干物理接口。而 Super VLAN把这两部分剥离开来： Sub-VLAN只映射物理接口，负责保留各自独立的广播域；而Super-VLAN负责实现所有 Sub-VLAN共享同一个三层接口的需求，使不同Sub-VLAN内的主机可以共用同一个网关；然后再通过建立 Super-VLAN和Sub-VLAN间的映射关系，把三层逻辑接口和物理接口这两部分有机的结合起来，从而在实现普通 VLAN功能的同时，达到节省 IP地址的目的。

Sub-VLAN内主机与外网间的通信，跟使用 VLANIF通信原理类似，只不过多了一步查找Sub-VLAN与Super-VLAN的映射关系；但 Sub-VLAN间的通信，需要借助Proxy-ARP才能实现，这是为什么呢？这是因为 Sub-VLAN内的主机同属一个网关，彼此通信时只会做二层转发，而不会通过网关进行三层转发，但不同 Sub-VLAN的主机在二层是相互隔离的，这就造成了 Sub-VLAN间无法通信，需要借助Proxy-ARP才能实现。

上述组网中，VLAN间用户均是通过三层交换机实现三层互通，三层互通需要查找路由表，转发效率较低。而二层转发效率高，那VLAN间能否实现二层互通呢？答案是可以，那就是可通过VLAN Switch或VLAN Mapping实现。

VLAN间通信场景四：不同 VLAN用户跨一台或多台交换机互联使用技术： VLAN Switch

基本原理：预先在各交换节点（如图中的 Switch）上建立一条静态转发路径（即 VLAN Switch表，指定VLAN转换关系和出接口）。这样，Switch根据VLAN Switch表将 Port2上收到报文中的 VLAN2转换为VLAN3，并从Port3发出；将 Port3上收到报文的 VLAN3将转换为 VLAN2，并从Port2发出，从而实现 VLAN2和VLAN3间的二层互通。

VLAN Switch需要在途经的每个交换节点都要为每个 VLAN用户配置静态转发路径，这就限制了其使用范围，当有大量 VLAN用户接入，或用户跨运营商网络时就不再适用。

基本原理：预先在需要 VLAN转换的两端设备（如图中 SwitchA和SwitchB）配置 VLAN映射关系，但不需像 VLAN Switch那样指定出接口。配置后， SwitchA接收到VLAN10~50报文后，根据 VLAN映射表将报文中的 VLAN转换为VLAN100，根据MAC表查到VLAN100对应出接口Port2，VLAN100报文穿越运营商网络到达SwitchB的Port2接口时，找到其出接口Port1，在从出接口发出前，将VLAN100转换为VLAN60~90，进而可通过分支 2的接入交换机二层转发到目的主机。因为只需在VLAN转换的两端设备配置，运营商网络无需改变其配置，大大简化了配置。 配置思路此场景配置简单，只需将连接PC的接口加入VLAN，然后创建VLANIF，并配置 IP地址为对应用户的网关即可。操作步骤 Switch上的配置如下： #

sysname Switch
#
vlan batch 10 20
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0	//此IP地址为 PC1对应网关地址
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0	//此IP地址为 PC2对应网关地址
#
interface GigabitEthernet0/0/1	//将PC1划分到 VLAN10中
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2	//将PC2划分到 VLAN20中
port link-type access
port default vlan 20
#return

可以看到，路由表中有了到达VLAN10、VLAN20网段的直连路由。下面我们就验证一下，PC1、PC2是否可以互相Ping通。在验证之前，先设置PC1的IP地址为10.1.1.2 ，网关为10.1.1.1/24；设置 PC2的IP地址为10.1.2.2 ，网关为 10.1.2.1/24，然后互Ping，结果如下：可以看到，互Ping成功，表明配置成功。

如下图所示，为安全及便于管理，企业为服务器专门划分VLAN，用户属于 VLAN10，服务器属于VLAN20，用户与服务器间跨接入、汇聚和核心交换机，其中，接入是二层交换机，汇聚、核心是三层交换机。由于业务需要，用户与服务器间需要互通。配置思路此场景用户与服务器间跨越多台二层、三层交换机，可以配置VLANIF，将汇聚交换机AGG作为用户PC的网关，核心交换机作为服务器Server的网关。但VLANIF只生成直连路由，只能使得相邻设备互通，要使 User与服务器互通，还需要配置从AGG到VLAN20网段以及从CORE到VLAN10网段的路由，可以使用静态路由，也可以使用动态路由，本示例采用静态路由。操作步骤配置ACC、AGG、CORE的各接口，并将接口加入VLAN，使VLAN10的用户报文透传到AGG，VLAN20的Server报文透传到CORE ACC1的配置如下：

特性攻略

特性攻略

#
interface GigabitEthernet0/0/1	//透传VLAN20，以转发 Server报文
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet0/0/2	//透传VLAN30，以转发互联报文
port link-type trunk
port trunk allow-pass vlan 30
#return

在AGG上配置VLANIF10和IP地址，作为用户的网关；在CORE上配置VLANIF20，

特性攻略

对于VLANIF、Eth-Trunk这样的逻辑接口，静态路由必须采用下一跳，而不能是出接口，因为这些逻辑接口会有多个成员口，会出现多个下一跳，无法唯一确定下一跳。

小编在上期为大家介绍了多种VLAN互通场景和方式，之后读者又有了新的问题：如何对同一 VLAN下用户进行隔离呢，如果实现部分 VLAN互通、部分 VLAN隔离呢，如何针对某个用户、或某个网段用户进行隔离呢，下面就听小编一一道来。

如果不希望同一VLAN下某些用户进行互通，可以通过配置端口隔离实现。下面小编通过一个实验来详细讲解如何实现端口隔离：如下图所示，三台PC属于同一 VLAN、同一网段，配置完成后，三台 PC都可以互访，现在要求PC1和PC2之间不能互通，PC1和PC3能够互通、PC2和PC3能够互通。具体配置过程如下：

场景二、部分VLAN间可以互通、部分 VLAN间隔离、VLAN内用户隔离——通过 MUX VLAN实现

MUX VLAN只适用于二层网络中、对同一网段的用户进行互通和隔离。 MUX VLAN分为Principal VLAN和Subordinate VLAN，Subordinate VLAN又分为 Separate VLAN和Group VLAN。 Principal VLAN可以和所有 VLAN互通。 Group VLAN可以和Principal VLAN和本VLAN内互通。 Separate VLAN只能和Principal VLAN互通，本VLAN内不能互通。下面小编通过一个例子详解介绍通过MUX VLAN进行VLAN互通和隔离。如下图所示，由于不同的PC属于不同的部门，需要对用户进行互通和隔离。

要求所有PC都可以访问服务器（ Server），即VLAN20和VLAN3可以访问 VLAN10。

PC1和PC2之间可以互访，和 PC3、PC4不能互访，即 VLAN20和VLAN30不能互访。

PC3和PC4之间隔离，不能互访，即 VLAN30内用户不能互访。

2. 所有Group VLAN中的PC可以互通，但是不可以和Separate VLAN中的PC互通。

场景二：不同VLAN互通后，如何对部分 VLAN或部分用户进行隔离——通过流策略实现

流策略技术原理，小编就不做过多介绍了，想了解详细信息，请参见QoS手册，通过下面的例子介绍如何实现VLAN隔离。

192.168.10.0/24，PC3和PC4属于192.168.20.0/24网段。假设所有VLAN已经通过 VLANIF接口实现VLAN间互通，详细配置方法不做赘述，请参加《VLAN通信篇》。将FTP Server的网关设置为 192.168.1.1，将PC1和PC2的网关设置为192.168.10.1，将PC2和PC4的网关设置为 192.168.20.1。VLAN10、VLAN20和VLAN100内所有设备能够互通，例如：在PC1上ping FTP Server，能够ping通。

现在要求PC1和PC2所在网段设备能够访问 FTP Server，PC3和PC4所在网段设备禁止访问FTP Server。在SwitchA上配置ACL和流策略进行隔离，192.168.10.0/24网段的设备禁止访问 FTP Server，详细配置步骤如下：

通过ACL和流策略对VLAN进行隔离，是一种非常灵活的方式，也可以对单个用户进行隔离，ACL只要匹配单个用户的 IP即可。

听闻江湖对QinQ这个高大上的技术很有兴趣，可是在使用过程中总是不能如意。那就和小编一起来玩转QinQ吧。首先，小编先说一说 QinQ为啥就高大上呢？高：QinQ一般使用在汇聚层，在组网图中的高处，所以是高。大：QinQ报文拥有两层VLAN Tag，比一般的二层报文多了 4个字节的VLAN Tag，所以是大。上：QinQ技术，可以灵活识别各种不同的业务，瞬间提升档次，所以是上。那么QinQ技术是怎么来的呢？

二层网络通过在报文中添加一层 VLAN Tag标记来隔离广播域，可是IEEE 802.1Q标准协议只规划了 4096个VLAN ID，这哪里够我们浩大的江湖人士使用呀。于是聪明的大侠们，就发明了在报文中封装两层 VLAN Tag的技术，把VLAN的数目扩从到4096*4096，更好的满足大侠们的使用。这种报文中封装两层VLAN Tag的方法，就叫 QinQ技术（出自 IEEE 802.1ad标准协议）。报文格式变化如下图所示：

这么强大的技术，S系列交换机当然要支持了。除了作为接入设备的最低端的 2300EI&SI/2700EI&SI设备，其他的S系列交换机所有版本，都是支持QinQ技术的。 S系列交换机支持的QinQ技术分为两种：基本QinQ和灵活QinQ。基本QinQ也叫做普通QinQ，是基于接口实现的，即通过该接口的所有报文，都加上一层VLAN Tag。如图详解：VLAN 10、VLAN20、VLAN30用户的报文在汇聚设备的入口，加上一层VLAN 100的Tag。这样用户的报文在公网传输时就携带两层 VLAN Tag，并且在外层VLAN Tag的VLAN域内进行传输，内层的VLAN Tag被当作报文的数据部分进行传输。（小编提问：QinQ报文的MAC地址表项是根据外层VLAN Tag学习呢？还是根据内层VLAN Tag学习呢？答案后面揭晓。）

灵活QinQ（这就指的是我们常说的 VLAN Stacking）是基于 VLAN和接口实现的，即通过该接口并且和指定VLAN相匹配的报文，才会再加上一层 VLAN Tag。如图详解：VLAN 10、VLAN20、VLAN30用户的报文在汇聚设备的入口，分别加上不同的VLAN Tag 100、 200、300。用户报文在公网传输时也是携带两层 VLAN Tag，并且在不同外层 VLAN Tag的域内进行转发。

（小编回答：QinQ报文的 MAC地址表项是根据外层VLAN Tag进行学习的。因为内层VLAN Tag是被当作报文的数据部分进行传输的。）

类别	配置	说明
基本QinQ	port link-type dot1q-tunnel port default vlan 100	盒式和框式设备的配置都是一样的。超级简单，只要两条命令就搞定了。
灵活QinQ	port link-type hybrid qinq vlan-translation enable port hybrid untagged vlan 100 200 300 port vlan-stacking vlan 10 stack-vlan 100 port vlan-stacking vlan 20 stack-vlan 200 port vlan-stacking vlan 30 to 39 stack-vlan 300	qinq vlan-translation enable盒式设备需要这个配置，框式设备不需要这个配置的。配置更灵活，使用更广泛。

公司S要求接入运营商的网络，运营商为公司S分配的VLAN是1000，公司S的各个部门，分属于不同的VLAN。

配置思路只要在PE设备连接公司S的接口上，配置基本QinQ功能。对公司S所有的报文都加一层VLAN为1000的Tag，不需要修改 CE设备的配置。

设备	GE1/0/1的配置	GE1/0/2的配置
	port link-type dot1q-tunnel	port link-type trunk
PE
	port default vlan 1000	port trunk allow-pass vlan 1000

两个公司A和B分布在不同的区域，公司 A的数据业务在VLAN 10内转发，语音业务在VLAN 30内转发。公司B的数据业务也在VLAN 10内转发，语音业务也在VLAN 30内转发。可是运营商的 PE设备，要求数据业务在 VLAN 100内通信，语音业务在 VLAN 30内通信。要求在不更改公司 A和公司B的现有组网情况下，实现公司 A和公司B数据业务和语音业务的正常通信。

配置思路对于不在同一VLAN的数据业务，只需要在 PE设备上配置灵活 QinQ功能，就实现公司A和公司B业务的正常通信。对于在同一VLAN的语音业务，在 PE设备上直接透传就可以了。与CE设备相连的接口GE1/0/1，配置灵活QinQ功能，即vlan-stacking的命令，完成对不同的CE-VLAN打上相同的PE-VLAN。与公网相连的接口GE1/0/2，需要透传PE-VLAN，这个可千万不能忘记哟。

设备	GE1/0/1的配置	GE1/0/2的配置
PE1	port link-type hybrid port hybrid tagged vlan 30 port hybrid untagged vlan 100 port vlan-stacking vlan 10 stack-vlan 100	port link-type trunk port trunk allow-pass vlan 30 100
PE2	port link-type hybrid port hybrid tagged vlan 30 port hybrid untagged vlan 100 port vlan-stacking vlan 10 stack-vlan 100	port link-type trunk port trunk allow-pass vlan 30 100

与CE设备相连的接口GE1/0/1，需要把 PE-VLAN以Untagged的方式加入接口，从而实现该接口在转发外层 VLAN为100的报文时，可以剥掉外层 VLAN，使CE设备可以正常处理报文。咦！！！按照小编的配置之后，怎么公司A和公司B还是不能正常通信呢？

这种情况，一般是在PE设备上，没有创建对应的外层VLAN。可以通过命令 display vlan summary查看设备上已经创建的 VLAN中是否有外层 VLAN 100和VLAN 30。

也就是说双层VLAN Tag的报文可以正常通信，而单层 VLAN Tag的报文不可以正常通信。这种情况，一般出现在SA系列标准单板和盒式 S5300EI/S5700EI、S3300EI&SI/ S3700EI&SI设备上。对于 SA系列的标准单板和盒式 5300EI/5700EI、S3300EI&SI/ S3700EI&SI设备，对于需要单层透传的 VLAN，需要单独配置自身映射到自身的 VLAN Mapping。在PE1和PE2的GE1/0/1接口上，再增加配置port vlan-mapping vlan 30 map-vlan 30。如下图所示：

传闻江湖乱世之时，出现了一门奇招妙计名曰 “ACL”。其变化多端、高深莫测，部署在江湖各处的交换机轻松使上这一招，便能平定乱世江湖。所以，这 ACL也被江湖人士一时传为佳话。ACL到底是何方秘籍？它拥有什么样的魔力能够平定江湖？今日，且让小编来为大家答疑解惑！

ACL，是Access Control List的简称，中文名称叫“访问控制列表”，它由一系列规则（即描述报文匹配条件的判断语句）组成。这些条件，可以是报文的源地址、目的地址、端口号等。这样解释ACL，大家是不是觉得太抽象了！

好，现在小编换一种解释方式。打个比方， ACL其实是一种报文过滤器， ACL规则就是过滤器的滤芯。安装什么样的滤芯（即根据报文特征配置相应的ACL规则），ACL就能过滤出什么样的报文了。基于过滤出的报文，我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等等，从而提高网络环境的安全性和网络传输的可靠性。

首先，图中是一个数字型 ACL，ACL编号为 2000。这类似于人类的身份证号，用于唯一标识自己的身份。当然，人类的身份证上不仅有身份证编号，还有每个人自己的名字。 ACL也同样如此，除了数字型 ACL，还有一种叫做命名型的 ACL，它就能拥有自己的 ACL名称。

通过名称代替编号来定义ACL，就像用域名代替 IP地址一样，可以方便记忆，也让大家更容易识别此ACL的使用目的。另外，小编告诉大家，命名型ACL实际上是“名字 +数字”的形式，可以在定义命名型ACL时同时指定ACL编号。如果不指定编号，则由系统自动分配。上图就是一个既有名字“deny-telnet-login”又有编号 “3998”的ACL。

细心的你，一定会注意到，ACL结构图中的ACL编号是“2000”，而这个例子中的ACL编号是“ 3998”，两者有什么区别吗？实际上，按照ACL规则功能的不同， ACL被划分为基本 ACL、高级ACL、二层 ACL、用户自定义 ACL和用户ACL这五种类型。每种类型 ACL对应的编号范围是不同的。ACL 2000属于基本 ACL，ACL 3998属于高级 ACL。高级 ACL可以定义比基本ACL更准确、更丰富、更灵活的规则，所以高级 ACL的功能更加强大。

ACL类别	规则定义描述	编号范围
基本ACL	仅使用报文的源IP地址、分片标记和时间段信息来定义规则。	2000～2999
高级ACL	既可使用报文的源IP地址，也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。	3000～3999
二层ACL	可根据报文的以太网帧头信息来定义规则，如根据源 MAC地址、目的 MAC地址、以太帧协议类型等。	4000～4999
用户自定义 ACL	可根据报文偏移位置和偏移量来定义规则。	5000～5999

接下来，我们来看看图中 ACL的“deny | permit”语句。这些条件语句，我们称作ACL规则（rule）。其中的“ deny | permit”，称作ACL动作，表示拒绝 /允许。每条规则都拥有自己的规则编号，如 5、10、4294967294。这些编号，可以自行配置，也可以由系统自动分配。那么系统是怎样自动分配规则编号的？小编先卖个关子，请继续关注下文。 ACL规则的编号范围是0～4294967294，所有规则均按照规则编号从小到大进行排序。所以，上图中我们可以看到rule 5排在首位，而规则编号最大的 rule 4294967294排在末位。系统按照规则编号从小到大的顺序，将规则依次与报文匹配，一旦匹配上一条规则即停止匹配。关于 ACL的匹配机制，在后续连载系列中，小编还将为大家作更深入的介绍。除了包含ACL动作和规则编号，我们可以看到 ACL规则中还定义了源地址、生效时间段这样的字段。这些字段，称作匹配选项，它是ACL规则的重要组成部分。其实，ACL提供了极其丰富的匹配选项。你可以选择二层以太网帧头信息（如源

特性攻略

MAC、目的 MAC、以太帧协议类型）作为匹配选项，也可以选择三层报文信息（如源地址、目的地址、协议类型）作为匹配选项，还可以选择四层报文信息（如 TCP/UDP端口号）等等等等。你只需分析清楚需要过滤的报文的特征，便可以指定使用哪一种ACL匹配选项，从而让ACL能正确的识别需过滤的报文。关于 ACL匹配选项的配置方法，在后续连载系列中，小编还将为大家详细的介绍。

最后，小编来为大家介绍 ACL中一个非常重要的概念——步长。了解了这个知识点，上文中遗留的问题“系统怎样自动分配规则编号”便迎刃而解了。步长，是指系统自动为 ACL规则分配编号时，每个相邻规则编号之间的差值。也就是说，系统是根据步长值自动为ACL规则分配编号的。图中的ACL 2000，步长就是 5。系统按照 5、10、15…这样的规律为ACL规则分配编号。如果将步长调整为了2，那么规则编号会自动从步长值开始重新排列，变成2、4、6…。有图为证~

小编支招：ACL的缺省步长值是 5。通过display acl acl-number命令，可以查看ACL规则、步长等配置信息。通过 step step命令，可以修改ACL步长值。

假设，一条 ACL中，已包含了下面三条规则 5、10、15。如果你希望源 IP地址为 1.1.1.3的报文也被禁止通过，该如何处理呢？

rule 5 deny source 1.1.1.1 0 //表示禁止源IP地址为 1.1.1.1的报文通过 rule 10 deny source 1.1.1.2 0 //表示禁止源IP地址为 1.1.1.2的报文通过 rule 15 permit source 1.1.1.0 0.0.0.255 //表示允许源 IP地址为1.1.1.0网段的报文通过

我们来分析一下。由于 ACL匹配报文时遵循“一旦命中即停止匹配”的原则，所以源 IP地址为 1.1.1.1和 1.1.1.2的报文，会在匹配上编号较小的 rule 5和 rule 10后停止匹配，从而被系统禁止通过；而源 IP地址为 1.1.1.3的报文，则只会命中 rule 15，从而得到系统允许通过。要想让源 IP地址为 1.1.1.3的报文也被禁止通过，我们必须为该报文配置一条新的 deny规则。

rule 15 permit source 1.1.1.0 0.0.0.255 //表示允许源 IP地址为1.1.1.0网段的报文通过

在 rule 10和 rule 15之间插入 rule 11后，源 IP地址为 1.1.1.3的报文，就可以先命中 rule 11而停止继续往下匹配，所以该报文将会被系统禁止通过。

试想一下，如果这条 ACL规则之间间隔不是 5，而是 1（rule 1、rule 2、rule 3…），这时再想插入新的规则，该怎么办呢？只能先删除已有的规则，然后再配置新规则，最后将之前删除的规则重新配置回来。如果这样做，那付出的代价可真是太大了！

所以，通过设置 ACL步长，为规则之间留下一定的空间，后续再想插入新的规则，就非常轻松了。

好啦，以上就是小编为大家介绍的 ACL基础理论知识。回顾一下全文，知识点主要包括： ACL是什么、有什么作用、分哪几类、规则是如何定义的、步长的含义以及步长的作用。小伙伴们，你们都已经掌握了吗？

铛铛铛铛铛，小伙伴们，小编又跟大家见面了！今天小编继续给大家说说 ACL那些事儿，但不再是说 ACL的基本概念，也不再说抽象的 ACL理论。这一期，小编将给大家呈现丰富多彩的ACL应用，为大家讲解各个业务模块应用 ACL时的处理机制差异、应用方式差异，并且带领大家一起动手配置真实的ACL应用案例。

通过前两期的ACL理论学习，大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果，而是需要应用到具体的业务模块才能实现上述功能。

业务分类	应用场景	涉及业务模块
登录控制	对交换机的登录权限进行控制，允许合法用户登录，拒绝非法用户登录，从而有效防止未经授权用户的非法接入，保证网络安全性。例如，一般情况下交换机只允许管理员登录，非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL，并在ACL中定义哪些主机可以登录，哪些主机不能。	Telnet、SNMP、FTP、TFTP、 SFTP、HTTP

各类ACL应用的业务模块对命中 /未命中ACL的处理机制是各不相同的。例如，在流策略中应用 ACL时，如果 ACL中存在规则但报文未匹配上，该报文仍可以正常通过；但在 Telnet中应用ACL，这种情况下，该报文就无法正常通过了。再如，在黑名单中应用ACL时，无论ACL规则配置成 permit还是deny，只要报文命中了规则，该报文都会被系统丢弃，其他模块却不存在这种情况。所以，大家在配置ACL规则并应用到业务模块中时，一定要格外小心。为了方便大家查阅，小编特地将常用 ACL业务模块的处理机制进行了整理。

业务模块	匹配上了 permit规则	匹配上了 deny规则	ACL中配置了规则，但未匹配上任何规则	ACL中没有配置规则	ACL未创建
Telnet	permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
HTTP	permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
SNMP	permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
FTP	permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
TFTP	permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）

特性攻略

特性攻略

每个业务模块的ACL应用方式，风格也是各不相同。为此，小编同样进行了一番整理，供大家参考查阅。

业务模块	ACL应用方式	可使用的 ACL编号范围
Telnet	方式一：系统视图下执行命令telnet [ ipv6 ] server acl acl-number方式二： a、执行命令user-interface vty first-ui-number [ last-ui-number ]，进入VTY用户界面视图 b、执行命令acl [ ipv6 ] acl-number { inbound | outbound }	2000～3999
HTTP	系统视图下执行命令http acl acl-number	2000～3999
SNMP	SNMPv1和SNMPv2c：系统视图下执行命令snmp-agent acl acl-number	2000～2999

好啦，有了小编整理的这两张表做参考，配置 ACL应用案例就可以轻松搞定啦！下面就跟随小编一起，动手试试吧~

案例1：使用 ACL限制Telnet访问权限为了保障远程维护网络设备的安全性，现要求只有管理员（源地址是 10.1.1.1/32）才能telnet登录交换机，其他人不允许登录。

要实现这个需求，一定是在Telnet模块中应用ACL。那么该如何配置ACL规则呢？大家是不是认为应该先配置一条permit规则允许10.1.1.1/32登录，然后再配置多条deny规则拒绝其他地址登录呢？其实大可不必。查阅Telnet模块的报文处理机制参照表，当ACL中存在规则的情况下，如果报文匹配上permit规则，则该地址允许登录设备；如果未匹配上规则，该地址被拒绝登录设备。

业务模块	匹配上了 permit规则	匹配上了 deny规则	ACL中配置了规则，但未匹配上任何规则	ACL中没有配置规则	ACL未创建
Telnet	permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）

因此，我们仅需配置一条允许 10.1.1.1/32地址通过的permit规则即可，10.1.1.1/32

# aaa local-user admin1234 password irreversible-cipher ****** //登录密码用******代替，请根据实际情况配置

案例2：使用基于时间的 ACL限制用户访问服务器权限某企业禁止市场部门和研发部门在上班时间（ 8:00至17:30）访问工资查询服务器（IP地址为10.10.4.9/32），而总裁办公室不受限制，可以随时访问。

分析上述需求，实际上就是要对源 IP=10.10.1.0/24访问目的IP=10.10.4.9/32的转发

特性攻略

流量、以及源 IP=10.10.2.0/24访问目的IP=10.10.4.9/32的转发流量，在特定时间内进行限制，其他访问流量则不受限制，所以我们可以通过在流策略中应用ACL来解决。

1) 首先，查阅流策略模块的 ACL处理机制参照表，为需要过滤的报文配置 ACL规则。当ACL中存在规则的情况下，如果报文匹配上 deny规则，则被拒绝通过；如果未匹配上，则会被正常转发。因此，根据上述需求，我们只需要针对两类需限制的流量，分别配置 deny规则即可。其他地址访问服务器的报文因匹配不上任何规则而被正常转发，不受限制。行为动作为deny。同时为市场部和研发部分别创建流策略 p_market和p_ rd，并将流分类和流行为与流策略绑定，最后再在接口上应用流策略。在选择流策略的应用方向时，一定要注意，需求中是要对源自市场部和研发部的报文进行过滤，即对从接口 GE1/0/0和接口GE1/0/1进入交换机的报文进行过滤，所以流策略的应用方向必须指定为入方向（inbound）。如果应用方向配置成了出方向（outbound），那就达不到过滤的效果了。

业务模块	匹配上了 permit规则	匹配上了 deny规则	ACL中配置了规则，但未匹配上任何规则	ACL中没有配置规则	ACL未创建
流策略	流行为是 permit时: permit（允许通过）流行为是 deny时： deny（丢弃报文）	deny(丢弃报文)	permit（功能不生效，按照原转发方式进行转发）	permit（功能不生效，按照原转发方式进行转发）	permit（功能不生效，按照原转发方式进行转发）

2)	其次，我们需要注意，需求中强调了是在一定时间范围内进行流量限制，所
	以仅仅进行流量控制是不可行的，还必须在规则中引入生效时间段。
	我们定义一个时间段名称为control-time，并配置该时间段为 8:00至17:30，然
	后在规则中指定time-name参数为control-time，即把生效时间段与ACL关联
	起来了。
3)	最后，我们再查阅流策略ACL应用方式参照表，将 ACL应用到流策略中。
	根据上述需求，我们为市场部和研发部分别配置两个流分类 c_market、c_rd，
	然后将配置的两条deny规则对应的ACL应用到两个流分类中，并配置两个流

小编提醒，上述案例我们还可以通过这样的配置来实现需求：在一条 ACL中配置两条规则，在一个流分类中应用这条 ACL，配置一个流行为动作为 deny，最后创建并应用一个流策略。这样配置起来更加简洁和方便，但同时又带来了新的问题：若后续企业增加了市场部对其他服务器的访问限制，这时该如何处理呢？如果之前市场部和研发部使用的是同一个ACL、流分类、流行为和流策略（这整套ACL的相关配置小编统称为“ ACL策略配置”），那么这时只能重新再为市场部配置一条新的ACL策略；如果之前两个部门使用的是不同的 ACL策略，那么现在只需在市场部的ACL策略中，增加一条 ACL规则即可解决。所以，为各个部门部署独立的 ACL策略，可以让您在后续需求扩充或发生改变时，更加方便的维护网络配置。小编建议大家把眼光放长远一些，不要只顾眼前配置的简单噢~案例2关键配置的配置文件如下： time-range control-time 08:00 to 17:30 working-day //配置生效时间段，工作日 8:00至

特性攻略

if-match acl 3002 //对匹配ACL 3002的报文（即源地址是市场部 IP的报文）进行分类

if-match acl 3003 //对匹配ACL 3003的报文（即源地址是研发部 IP的报文）进行分类 # traffic behavior b_market deny //配置流行为，拒绝匹配上规则的报文通过 traffic behavior b_rd

结束了ACL应用案例的配置，本期 ACL应用篇也要完结了。限于篇幅问题，小编只能为大家讲解两个最为典型的ACL案例。好学的你，一定觉得不过瘾吧！想要了解更多的ACL技术原理和应用案例，你可以登录技术支持网站

http://support.huawei.com/enterprise/docinforeader.action?contentId=DOC10000450 68&idPath=7919710|9856733|7923144|20985028 ，下载并学习这里的交换机产品文档。