華為交換機禁止訪問ftp數據流

① 內網中，三層交換機下配置ACL已達到阻止某網段訪問ftp伺服器的方法（其他網段不阻止），命令越具體越好。

例如：三層交換機上f0/1介面上連接的是FTP伺服器 FTP伺服器IP地址是：192.168.1.1 條目：阻止192.168.2.0網段訪問FTP伺服器sw(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.1.1 eq 21 sw(config)#int f0/1sw(config-if)#ip access-group 101 in

② 在一個三層交換機上,如何禁止vlan訪問FTP

只要你關閉它的二一埠。這樣就無法訪問了。其實很簡單，還有一種就是直接禁用所有迴路埠。只出不進，這樣子就可以搞定了。

③ 華為交換機配置命令

華為路由器交換機配置命令是大家使用時經常遇到的,那麼華為交換機配置命令有哪些？下面我們就一起來看看吧。

一、單交換機VLAN劃分

命令 命令解釋

system 進入系統視圖

system-view 進入系統視圖

quit 退到系統視圖

undo vlan 20 刪除vlan 20

sysname 交換機命名

disp vlan 顯示vlan

vlan 20 創建vlan(也可進入vlan 20)

port e1/0/1 to e1/0/5 把埠1-5放入VLAN 20 中

disp vlan 20 顯示vlan里的埠20

int e1/0/24 進入埠24

port access vlan 20 把當前埠放入vlan 20

undo port e1/0/10 表示刪除當前VLAN埠10

disp curr 顯示當前配置

二、配置交換機支持TELNET

system 進入系統視圖

sysname 交換機命名

int vlan 1 進入VLAN 1

ip address 192.168.3.100 255.255.255.0 配置IP地址

user-int vty 0 4 進入虛擬終端

authentication-mode password (aut password) 設置口令模式

set authentication password simple 222 (set aut pass sim 222) 設置口令

user privilege level 3(use priv lev 3) 配置用戶級別

disp current-configuration (disp cur) 查看當前配置

disp ip int 查看交換機VLAN IP配置

刪除配置必須退到用戶模式

reset saved-configuration(reset saved) 刪除配置

reboot 重啟交換機

三、跨交換機VLAN的通訊

在sw1上：

vlan 10 建立VLAN 10

int e1/0/5 進入埠5

port access vlan 10 把埠5加入vlan 10

vlan 20 建立VLAN 20

int e1/0/15 進入埠15

port access vlan 20 把埠15加入VLAN 20

int e1/0/24 進入埠24

port link-type trunk 把24埠設為TRUNK埠

port trunk permit vlan all 同上

在SW2上:

vlan 10 建立VLAN 10

int e1/0/20 進入埠20

port access vlan 10 把埠20放入VLAN 10

int e1/0/24 進入埠24

port link-type trunk 把24埠設為TRUNK埠

port trunk permit vlan all (port trunk permit vlan 10 只能為vlan

10使用)24埠為所有VLAN使用

disp int e1/0/24 查看埠24是否為TRUNK

undo port trunk permit vlan all 刪除該句

四、路由的配置命令

system 進入系統模式

sysname 命名

int e1/0 進入埠

ip address 192.168.3.100 255.255.255.0 設置IP

undo shutdown 打開埠

disp ip int e1/0 查看IP介面情況

disp ip int brief 查看IP介面情況

user-int vty 0 4 進入口令模式

authentication-mode password(auth pass) 進入口令模式

set authentication password simple 222 37 設置口令

user privilege level 3 進入3級特權

save 保存配置

reset saved-configuration 刪除配置(用戶模式下運行)

undo shutdown 配置遠程登陸密碼

int e1/4

ip route 192.168.3.0(目標網段) 255.255.255.0 192.168.12.1(下一跳：下一路由器的'介面)

靜態路由

ip route 0.0.0.0 0.0.0.0 192.168.12.1 默認路由

disp ip rout 顯示路由列表

華3C AR-18

E1/0(lan1-lan4)

E2/0(wan0)

E3/0(WAN1)

路由器連接使用直通線。wan0接wan0或wan1接wan1

計算機的網關應設為路由器的介面地址。

五、三層交換機配置VLAN-VLAN通訊

sw1(三層交換機):

system 進入視圖

sysname 命名

vlan 10 建立VLAN 10

vlan 20 建立VLAN 20

int e1/0/20 進入埠20

port access vlan 10 把埠20放入VLAN 10

int e1/0/24 進入24埠

port link-type trunk 把24埠設為TRUNK埠

port trunk permit vlan all (port trunk permit vlan 10 只能為vlan

10使用)24埠為所有VLAN使用

sw2:

vlan 10

int e1/0/5

port access vlan 10

int e1/0/24

port link-type trunk 把24埠設為TRUNK埠

port trunk permit vlan all (port trunk permit vlan 10 只能為vlan

10使用)24埠為所有VLAN使用

sw1(三層交換機):

int vlan 10 創建虛擬介面VLAN 10

ip address 192.168.10.254 255.255.255.0 設置虛擬介面VLAN 10的地址

int vlan 20 創建虛擬介面VLAN 20

ip address 192.168.20.254 255.255.255.0 設置虛擬介面IP VLAN 20的地址

注意：vlan 10里的計算機的網關設為 192.168.10.254

vlan 20里的計算機的網關設為 192.168.20.254

六、動態路由RIP

R1:

int e1/0 進入e1/0埠

ip address 192.168.3.1 255.255.255.0 設置IP

int e2/0 進入e2/0埠

ip adress 192.168.5.1 255.255.255.0 設置IP

rip 設置動態路由

network 192.168.5.0 定義IP

network 192.168.3.0 定義IP

disp ip rout 查看路由介面

R2:

int e1/0 進入e1/0埠

ip address 192.168.4.1 255.255.255.0 設置IP

int e2/0 進入e2/0埠

ip adress 192.168.5.2 255.255.255.0 設置IP

rip 設置動態路由

network 192.168.5.0 定義IP

network 192.168.4.0 定義IP

disp ip rout 查看路由介面

(注意：兩台PC機的網關設置PC1 IP：192.168.3.1 PC2 IP：192.168.4.1)

七、IP訪問列表

int e1/0

ip address 192.168.3.1 255.255.255.0

int e2/0

ip address 192.168.1.1 255.255.255.0

int e3/0

ip address 192.168.2.1 255.255.255.0

acl number 2001 (2001-2999屬於基本的訪問列表)

rule 1 deny source 192.168.1.0 0.0.0.255 (拒絕地址192.168.1.0網段的數據通過)

rule 2 permit source 192.168.3.0 0.0.0.255(允許地址192.168.3.0網段的數據通過)

以下是把訪問控制列表在介面下應用：

firewall enable

firewall default permit

int e3/0

firewall packet-filter 2001 outbound

disp acl 2001 顯示信息

undo acl number 2001 刪除2001控制列表

擴展訪問控制列表

acl number 3001

rule deny tcp source 192.168.3.0 0.0.0.255 destination 192.168.2.0

0.0.0.255 destination-port eq ftp

必須在r-acl-adv-3001下才能執行

rule permit ip source an destination any (rule permit ip)

int e3/0

firewall enable 開啟防火牆

firewall packet-filter 3001 inbound

必須在埠E3/0下才能執行

八、命令的標准訪問IP列表(三層交換機):

允許A組機器訪問伺服器內資料，不允許訪問B組機器(伺服器沒有限制)

sys

vlan 10

name server

vlan 20

name teacher

vlan 30

name student

int e1/0/5

port access vlan 10

int e1/0/10

port access vlan 20

int e1/0/15

port access vlan 30

int vlan 10

ip address 192.168.10.1 255.255.255.0

undo sh

int vlan 20

ip address 192.168.20.1 255.255.255.0

int vlan 30

ip address 192.168.30.1 255.255.255.0

acl number 2001

rule 1 deny source 192.168.30.0 0.0.0.255

rule 2 permit source any

disp acl 2001 查看2001列表

int e1/0/10

port access vlan 20

packet-filter outbound ip-group 2001 rule 1

出口

九、允許A機器訪問B機器的FTP但不允許訪問WWW，C機器沒有任何限制。

vlan 10

vlan 20

vlan 30

int e1/0/5

port access vlan 10

int e1/0/10

port access vlan 20

int e1/0/15

port access vlan 30

int vlan 10

ip address 192.168.10.1 255.255.255.0

undo sh

int vlan 20

ip address 192.168.20.1 255.255.255.0

int vlan 30

ip address 192.168.30.1 255.255.255.0

acl number 3001

rule 1 deny tcp source 192.168.30.0 0.0.0.255 destination 192.168.10.0

0.0.0.255 destination-port eq www

int e1/0/15

packet-filter inbound ip-group 3001 rule 1

進口

十、NAT地址轉換(單一靜態一對一地址轉換)

R1:

sys

sysname R1

int e1/0

ip address 192.168.3.1 255.255.255.0

int e2/0

ip address 192.1.1.1 255.255.255.0

R2:

sys

sysname R2

int e2/0

ip address 192.1.1.2 255.255.255.0

int e1/0

ip address 10.80.1.1 255.255.255.0

回到R1：

nat static 192.168.3.1 192.1.1.1

int e2/0

nat outbound static

ip route 0.0.0.0 0.0.0.0 192.1.1.2

十一、NAT內部整網段地址轉換

R1:

sys

sysname R1

int e1/0

ip address 192.168.3.1 255.255.255.0

int e2/0

ip address 192.1.1.1 255.255.255.0

acl number 2008

rule 0 permit source 192.168.3.0 0.0.0.255

rule 1 deny

quit

int e2/0

nat outbound 2008

quit

ip route-static 0.0.0.0 0.0.0.0 192.1.1.2 preference 60

↑

下一個路由介面地址

R2:

sys

sysname R2

int e2/0

ip address 192.1.1.2 255.255.255.0

int e1/0

ip address 10.80.1.1 255.255.255.0

NAT地址池配置：

R1:

sys

sysname R1

int e1/0

ip address 192.168.3.1 255.255.255.0

int e2/0

ip address 192.1.1.1 255.255.255.0

nat address-group 1 192.1.1.1 192.1.1.5 配置地址池

undo address-group 1 刪除地址池

acl number 2001 創建訪問列表

rule permit source 192.168.1.0 0.0.0.255

允許192.168.1.0/24網段地址轉換(ethernet2/0指路由器wan口)：

int e2/0

nat outbound 2001 address-group 1 啟用協議

ip route 0.0.0.0 0.0.0.0 192.1.1.2 默認路由

R2:

sys

sysname R2

int e1/0

ip address 10.80.1.1 255.255.255.0

int e2/0

ip address 192.1.1.2 255.255.255.0

④ 華為交換機基本配置命令

一、單交換機VLAN劃分

命令 命令解釋

system 進入系統視圖

system-view 進入系統視圖

quit 退到系統視圖

undo vlan 20 刪除vlan 20

sysname 交換機命名

disp vlan 顯示vlan

vlan 20 創建vlan(也可進入vlan 20)

port e1/0/1 to e1/0/5 把埠1-5放入VLAN 20 中

disp vlan 20 顯示vlan里的埠20

int e1/0/24 進入埠24

port access vlan 20 把當前埠放入vlan 20

undo port e1/0/10 表示刪除當前VLAN埠10

disp curr 顯示當前配置

二、配置交換機支持TELNET

system 進入系統視圖

sysname 交換機命名

int vlan 1 進入VLAN 1

ip address 192.168.3.100 255.255.255.0 配置IP地址

user-int vty 0 4 進入虛擬終端

authentication-mode password (aut password) 設置口令模式

set authentication password simple 222 (set aut pass sim 222) 設置口令

user privilege level 3(use priv lev 3) 配置用戶級別

disp current-configuration (disp cur) 查看當前配置

disp ip int 查看交換機VLAN IP配置

刪除配置必須退到用戶模式

reset saved-configuration(reset saved) 刪除配置

reboot 重啟交換機

三、跨交換機VLAN的通訊

在sw1上：

vlan 10 建立VLAN 10

int e1/0/5 進入埠5

port access vlan 10 把埠5加入vlan 10

vlan 20 建立VLAN 20

int e1/0/15 進入埠15

port access vlan 20 把埠15加入VLAN 20

int e1/0/24 進入埠24

port link-type trunk 把24埠設為TRUNK埠

port trunk permit vlan all 同上

在SW2上:

vlan 10 建立VLAN 10

int e1/0/20 進入埠20

port access vlan 10 把埠20放入VLAN 10

int e1/0/24 進入埠24

port link-type trunk 把24埠設為TRUNK埠

port trunk permit vlan all (port trunk permit vlan 10 只能為vlan 10使用)24埠為所有VLAN使用

disp int e1/0/24 查看埠24是否為TRUNK

undo port trunk permit vlan all 刪除該句

四、路由的配置命令

system 進入系統模式

sysname 命名

int e1/0 進入埠

ip address 192.168.3.100 255.255.255.0 設置IP

undo shutdown 打開埠

disp ip int e1/0 查看IP介面情況

disp ip int brief 查看IP介面情況

user-int vty 0 4 進入口令模式

authentication-mode password(auth pass) 進入口令模式

set authentication password simple 222 37 設置口令

user privilege level 3 進入3級特權

save 保存配置

reset saved-configuration 刪除配置(用戶模式下運行)

undo shutdown 配置遠程登陸密碼

int e1/4

ip route 192.168.3.0(目標網段) 255.255.255.0 192.168.12.1(下一跳：下一路由器的介面) 靜態路由

ip route 0.0.0.0 0.0.0.0 192.168.12.1 默認路由

disp ip rout 顯示路由列表

華3C AR-18

E1/0(lan1-lan4)

E2/0(wan0)

E3/0(WAN1)

路由器連接使用直通線。wan0接wan0或wan1接wan1

計算機的網關應設為路由器的介面地址。

五、三層交換機配置VLAN-VLAN通訊

sw1(三層交換機):

system 進入視圖

sysname 命名

vlan 10 建立VLAN 10

vlan 20 建立VLAN 20

int e1/0/20 進入埠20

port access vlan 10 把埠20放入VLAN 10

int e1/0/24 進入24埠

port link-type trunk 把24埠設為TRUNK埠

port trunk permit vlan all (port trunk permit vlan 10 只能為vlan 10使用)24埠為所有VLAN使用

sw2:

vlan 10

int e1/0/5

port access vlan 10

int e1/0/24

port link-type trunk 把24埠設為TRUNK埠

port trunk permit vlan all (port trunk permit vlan 10 只能為vlan 10使用)24埠為所有VLAN使用

sw1(三層交換機):

int vlan 10 創建虛擬介面VLAN 10

ip address 192.168.10.254 255.255.255.0 設置虛擬介面VLAN 10的地址

int vlan 20 創建虛擬介面VLAN 20

ip address 192.168.20.254 255.255.255.0 設置虛擬介面IP VLAN 20的`地址

注意：vlan 10里的計算機的網關設為 192.168.10.254

vlan 20里的計算機的網關設為 192.168.20.254

六、動態路由RIP

R1:

int e1/0 進入e1/0埠

ip address 192.168.3.1 255.255.255.0 設置IP

int e2/0 進入e2/0埠

ip adress 192.168.5.1 255.255.255.0 設置IP

rip 設置動態路由

network 192.168.5.0 定義IP

network 192.168.3.0 定義IP

disp ip rout 查看路由介面

R2:

int e1/0 進入e1/0埠

ip address 192.168.4.1 255.255.255.0 設置IP

int e2/0 進入e2/0埠

ip adress 192.168.5.2 255.255.255.0 設置IP

rip 設置動態路由

network 192.168.5.0 定義IP

network 192.168.4.0 定義IP

disp ip rout 查看路由介面

(注意：兩台PC機的網關設置PC1 IP：192.168.3.1 PC2 IP：192.168.4.1)

七、IP訪問列表

int e1/0

ip address 192.168.3.1 255.255.255.0

int e2/0

ip address 192.168.1.1 255.255.255.0

int e3/0

ip address 192.168.2.1 255.255.255.0

acl number 2001 (2001-2999屬於基本的訪問列表)

rule 1 deny source 192.168.1.0 0.0.0.255 (拒絕地址192.168.1.0網段的數據通過)

rule 2 permit source 192.168.3.0 0.0.0.255(允許地址192.168.3.0網段的數據通過)

以下是把訪問控制列表在介面下應用：

firewall enable

firewall default permit

int e3/0

firewall packet-filter 2001 outbound

disp acl 2001 顯示信息

undo acl number 2001 刪除2001控制列表

擴展訪問控制列表

acl number 3001

rule deny tcp source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 destination-port eq ftp

必須在r-acl-adv-3001下才能執行

rule permit ip source an destination any (rule permit ip)

int e3/0

firewall enable 開啟防火牆

firewall packet-filter 3001 inbound

必須在埠E3/0下才能執行

八、命令的標准訪問IP列表(三層交換機):

允許A組機器訪問伺服器內資料，不允許訪問B組機器(伺服器沒有限制)

sys

vlan 10

name server

vlan 20

name teacher

vlan 30

name student

int e1/0/5

port access vlan 10

int e1/0/10

port access vlan 20

int e1/0/15

port access vlan 30

int vlan 10

ip address 192.168.10.1 255.255.255.0

undo sh

int vlan 20

ip address 192.168.20.1 255.255.255.0

int vlan 30

ip address 192.168.30.1 255.255.255.0

acl number 2001

rule 1 deny source 192.168.30.0 0.0.0.255

rule 2 permit source any

disp acl 2001 查看2001列表

int e1/0/10

port access vlan 20

packet-filter outbound ip-group 2001 rule 1

出口

九、允許A機器訪問B機器的FTP但不允許訪問WWW，C機器沒有任何限制。

vlan 10

vlan 20

vlan 30

int e1/0/5

port access vlan 10

int e1/0/10

port access vlan 20

int e1/0/15

port access vlan 30

int vlan 10

ip address 192.168.10.1 255.255.255.0

undo sh

int vlan 20

ip address 192.168.20.1 255.255.255.0

int vlan 30

ip address 192.168.30.1 255.255.255.0

acl number 3001

rule 1 deny tcp source 192.168.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 destination-port eq www

int e1/0/15

packet-filter inbound ip-group 3001 rule 1

進口

十、NAT地址轉換(單一靜態一對一地址轉換)

R1:

sys

sysname R1

int e1/0

ip address 192.168.3.1 255.255.255.0

int e2/0

ip address 192.1.1.1 255.255.255.0

R2:

sys

sysname R2

int e2/0

ip address 192.1.1.2 255.255.255.0

int e1/0

ip address 10.80.1.1 255.255.255.0

回到R1：

nat static 192.168.3.1 192.1.1.1

int e2/0

nat outbound static

ip route 0.0.0.0 0.0.0.0 192.1.1.2

十一、NAT內部整網段地址轉換

R1:

sys

sysname R1

int e1/0

ip address 192.168.3.1 255.255.255.0

int e2/0

ip address 192.1.1.1 255.255.255.0

acl number 2008

rule 0 permit source 192.168.3.0 0.0.0.255

rule 1 deny

quit

int e2/0

nat outbound 2008

quit

ip route-static 0.0.0.0 0.0.0.0 192.1.1.2 preference 60

⑤ 華為交換機指定埠（電口）禁止訪問互聯網

誰是互聯網出口，在交換機上寫一條acl或者前綴列表，匹配你要禁止上網的路由條目找出來過濾掉就行了，最簡單的方式是在出口路由器上做，而不是交換機。

⑥ 華為交換機FTP 遠程主機關閉連接

ftp伺服器可以接受的連接數是有限制的，應該限制連接數，而且在使用完後要及時釋放。
在代碼中一直連接，覺得不是個好方法。

⑦ 華為S7706關閉FTP服務

華為手機中關閉FTP服務，您可以直接在華為手機的設置選項中，在服務設置裡面來關閉當前的FTP的服務模式，並且對當前的服務模式進行重新的設定並且關閉。

⑧ 如何禁止FTP，如何封堵FTP，FTP通訊協議和埠范圍

添加防火牆入站規則，
windows上禁止20、21兩個埠就可以了。
linux上，還有22埠是給ssh工具用的，如果也想阻止，就一起禁止掉。

⑨ 華為三層交換機如何限制某埠的流量

埠限速配置

『配置環境參數』

1. PC1和PC2的IP地址分別為10.10.1.1/24、10.10.1.2/24

『組網需求』

1. 在SwitchA上配置埠限速，將PC1的下載速率限制在3Mbps，同時將PC1的上傳速率限制在1Mbps

2數據配置步驟

『S2000EI系列交換機埠限速配置流程』

使用乙太網物理埠下面的line-rate命令，來對該埠的出、入報文進行流量限速。

【SwitchA相關配置】

1. 進入埠E0/1的配置視圖
[SwitchA]interface Ethernet 0/1

2. 對埠E0/1的出方向報文進行流量限速，限制到3Mbps
[SwitchA- Ethernet0/1]line-rate outbound 30

3. 對埠E0/1的入方向報文進行流量限速，限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16

【補充說明】

報文速率限制級別取值為1～127。如果速率限制級別取值在1～28范圍內，則速率限制的粒度為64Kbps，這種情況下，當設置的級別為N，則埠上限制的速率大小為N*64K；如果速率限制級別取值在29～127范圍內，則速率限制的粒度為1Mbps，這種情況下，當設置的級別為N，則埠上限制的速率大小為(N-27)*1Mbps。

此系列交換機的具體型號包括：S2008-EI、S2016-EI和S2403H-EI。

『S2000-SI和S3000-SI系列交換機埠限速配置流程』

使用乙太網物理埠下面的line-rate命令，來對該埠的出、入報文進行流量限速。

【SwitchA相關配置】

1. 進入埠E0/1的配置視圖
[SwitchA]interface Ethernet 0/1

2. 對埠E0/1的出方向報文進行流量限速，限制到6Mbps
[SwitchA- Ethernet0/1]line-rate outbound 2

3. 對埠E0/1的入方向報文進行流量限速，限制到3Mbps
[SwitchA- Ethernet0/1]line-rate inbound 1

【補充說明】

對埠發送或接收報文限制的總速率，這里以8個級別來表示，取值范圍為1～8，含義為：埠工作在10M速率時，1～8分別表示312K，625K，938K，1.25M，2M，4M，6M，8M；埠工作在100M速率時，1～8分別表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。

此系列交換機的具體型號包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。

『S3026E、S3526E、S3050、S5012、S5024系列交換機埠限速配置流程』

使用乙太網物理埠下面的line-rate命令，對該埠的出方向報文進行流量限速；結合acl，使用乙太網物理埠下面的traffic-limit命令，對埠的入方向報文進行流量限速。

【SwitchA相關配置】

1. 進入埠E0/1的配置視圖
[SwitchA]interface Ethernet 0/1

2. 對埠E0/1的出方向報文進行流量限速，限制到3Mbps
[SwitchA- Ethernet0/1]line-rate 3

3. 配置acl，定義符合速率限制的數據流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 對埠E0/1的入方向報文進行流量限速，限制到1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1 exceed drop

【補充說明】

line-rate命令直接對埠的所有出方向數據報文進行流量限制，而traffic-limit命令必須結合acl使用，對匹配了指定訪問控制列表規則的數據報文進行流量限制。在配置acl的時候，也可以通過配置三層訪問規則，來對指定的源或目的網段報文，進行埠的入方向數據報文進行流量限制。

埠出入方向限速的粒度為1Mbps。

此系列交換機的具體型號包括：S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。

『S3528、S3552系列交換機埠限速配置流程』

使用乙太網物理埠下面的traffic-shape和traffic-limit命令，分別來對該埠的出、入報文進行流量限速。

【SwitchA相關配置】

1. 進入埠E0/1的配置視圖
[SwitchA]interface Ethernet 0/1

2. 對埠E0/1的出方向報文進行流量限速，限制到3Mbps
[SwitchA- Ethernet0/1]traffic-shape 3250 3250

3. 配置acl，定義符合速率限制的數據流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 對埠E0/1的入方向報文進行流量限速，限制到1Mbps
[SwitchA- Ethernet0/1]traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop

【補充說明】

此系列交換機的具體型號包括：S3528G/P和S3552G/P/F。

『S3900系列交換機埠限速配置流程』

使用乙太網物理埠下面的line-rate命令，對該埠的出方向報文進行流量限速；結合acl，使用乙太網物理埠下面的traffic-limit命令，對匹配指定訪問控制列表規則的埠入方向數據報文進行流量限制。

【SwitchA相關配置】

1. 進入埠E1/0/1的配置視圖
[SwitchA]interface Ethernet 1/0/1

2. 對埠E0/1的出方向報文進行流量限速，限制到3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000

3. 配置acl，定義符合速率限制的數據流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 對埠E0/1的入方向報文進行流量限速，限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【補充說明】

line-rate命令直接對埠的所有出方向數據報文進行流量限制，而traffic-limit命令必須結合acl使用，對匹配了指定訪問控制列表規則的數據報文進行流量限制。在配置acl的時候，也可以通過配置三層訪問規則，來對指定的源或目的網段報文，進行埠的入方向數據報文進行流量限制。

埠出入方向限速的粒度為64Kbps。

此系列交換機的具體型號包括：S3924、S3928P/F/TP和S3952P。

『S5600系列交換機埠限速配置流程』

使用乙太網物理埠下面的line-rate命令，對該埠的出方向報文進行流量限速；結合acl，使用乙太網物理埠下面的traffic-limit命令，對匹配指定訪問控制列表規則的埠入方向數據報文進行流量限制。

【SwitchA相關配置】

1. 進入埠E1/0/1的配置視圖
[SwitchA]interface Ethernet 1/0/1

2. 對埠E0/1的出方向報文進行流量限速，限制到3Mbps
[SwitchA- Ethernet1/0/1]line-rate 3000

3. 配置acl，定義符合速率限制的數據流
[SwitchA]acl number 4000
[SwitchA-acl-link-4000]rule permit ingress any egress any

4. 對埠E0/1的入方向報文進行流量限速，限制到1Mbps
[SwitchA- Ethernet1/0/1]traffic-limit inbound link-group 4000 1000 exceed drop

【補充說明】

line-rate命令直接對埠的所有出方向數據報文進行流量限制，而traffic-limit命令必須結合acl使用，對匹配了指定訪問控制列表規則的數據報文進行流量限制。在配置acl的時候，也可以通過配置三層訪問規則，來對指定的源或目的網段報文，進行埠的入方向數據報文進行流量限制。

埠出入方向限速的粒度為64Kbps。

此系列交換機的具體型號包括：S5624P/F和S5648P。

⑩ 華為交換機如何禁止段之間互訪

方法有幾種，我來說說我比較常用的ACL策略
類似命令
rule 1 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
(規則1，允許192.168.0.0 255.255.255.0 內的地址訪問192.168.1.0 255.255.255.0)
rule 2 deny ip source 192.168.0.0 0.0.0.255 destination any
(規則2，禁止192.168.0.0 255.255.255.0 內的地址訪問所有地址)

然後在埠視圖下，執行規則，比如:
interface Ethernet0/24
port access vlan 2
packet-filter inbound ip-group 3000 rule 1
（埠24，使用VLAN 2，執行ACL 3000里的規則1）