1、HUAWEI TECHNOLOGIES CO., LTD.All rights reservedInternal DTL120001 Quidway 中低端二層以太網(wǎng)交換機產(chǎn)品概述ISSUE 1.0HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 2參考資料l各系列以太網(wǎng)交換機產(chǎn)品安裝手冊l各系列以太網(wǎng)交換機產(chǎn)品操作手冊 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 3學習完此課程，您將會：了解Quidway 以太網(wǎng)交換機的命名規(guī)則了解Quidway 中低端二層以太網(wǎng)交換機的硬件

2、特性了解Quidway 中低端二層以太網(wǎng)交換機的業(yè)務特性HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 4第第2章章 二層以太網(wǎng)交換機硬件特性二層以太網(wǎng)交換機硬件特性第第3章章 二層以太網(wǎng)交換機業(yè)務特性二層以太網(wǎng)交換機業(yè)務特性第第4章章 典型組網(wǎng)及應用典型組網(wǎng)及應用HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 5產(chǎn)品命名規(guī)則概述l交換機的名稱格式為： Quidway SA1A2A3A4A5 A5 -A6A7-A8A9A10-A11A12例：S3526E、S2016-EI、S20

3、26C-SI、S3026C-PWR HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 6產(chǎn)品命名規(guī)則概述（1）lA1標示產(chǎn)品系列，主要標示上行端口的最大接口速率：A1為2 盒式10/100M 交換機，上行最高到100M；A1為3 盒式10/100/1000M交換機，上行最高到1000M；A1為5 盒式GE/10GE交換機，上行最高到10GE。lA2標示所支持的IP層：A2為0 純L2交換機，目前為0A2為5 L2/L3交換機，目前有5、6和9HUAWEI TECHNOLOGIES CO., LTD.All rights reservedP

4、age 7產(chǎn)品命名規(guī)則概述（2）lA3A4兩位數(shù)字與產(chǎn)品的端口數(shù)相關： A3A4為08：表示下行端口為8個， 上行端口為0、1、2個； A3A4為12：表示下行端口為12個，上行端口為0、1、2個； A3A4為16：表示下行端口為16個，上行端口為0、1、2個； A3A4為24：表示下行端口為24個，上行端口為0個； A3A4為26：表示下行端口為24個，上行端口為2個； A3A4為28：表示下行端口為24個，上行端口為4個； A3A4為48：表示下行端口為48個，上行端口為0個； A3A4為50：表示下行端口為48個，上行端口為2個； A3A4為52：表示下行端口為48個，上行端口為4個；

5、l例：S2008、S5012G、S2016、S3550、S3552F、S5648PHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 8產(chǎn)品命名規(guī)則概述（3）lA5 A5 用來區(qū)分固定上行口的不同種類，可以標示接口類型：A5為Z，表示沒有上行接口；A5 ， A5為G，表示上行GBIC接口；A5 ， A5為P，表示上行SFP接口；A5 ， A5為T，表示上行RJ45接口；A5 ， A5為C，表示上行接口可選配；A5 ， A5為M，表示上行接口為多模光口；A5 ， A5為S，表示上行接口為單模光口；A5為F，表示下行接口為模板板，可插光接口板或

6、電接口板。 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 9產(chǎn)品命名規(guī)則概述（4）lA6A7作為設備電源交直流標識缺省為AC交流DC為直流lA8A9 A10表示設備供電或受電的標識PWR 表示設備為支持遠程以太網(wǎng)供電PD 表示設備為受電設備，受電符合802.3AF標準缺省表示不支持遠程供電，也不支持受電。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 10產(chǎn)品命名規(guī)則概述（5）lA11A12作為可選項，用以突出產(chǎn)品版本的特性，缺省為增強版本；LI ( Lite software

7、 Image)表示設備為弱特性版本SI (Standard software Image)表示設備為標準版本，包含基礎特性EI ( Enhanced software Image)表示設備為增強版本，包含某些高級特性HI ( Hyper software Image)表示設備為高級版本，包含某些更高級特性 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 11第第1章章 產(chǎn)品命名規(guī)則介紹產(chǎn)品命名規(guī)則介紹第第3章章 以太網(wǎng)交換機業(yè)務特性以太網(wǎng)交換機業(yè)務特性第第4章章 典型組網(wǎng)及應用典型組網(wǎng)及應用HUAWEI TECHNOLOGIES CO.

8、, LTD.All rights reservedPage 12產(chǎn)品型號概述l二層以太網(wǎng)交換機，按照使用的軟件版本進行分類，目前常見設備主要為以下幾類：S5000系列（S5012T、S5012G和S5024G）；S3000E系列（S3026E、S3026C、S3026G、S3026T、S3026C-PWR、E026和E026T），含S3050系列（S3050C和E050）；SI系列（S2026C-SI、S2026Z-SI、S3026C-SI、S3026G-SI、S3026S-SI和E026-SI）；S2100EI系列（S2108-EI、S2116-EI和S2126-EI）；S2100SI系列（

9、S2108-EI、S2116-EI和S2126-SI）；S2000EI系列（S2008-EI、S2016-EI和S2403H-EI）；S2000C系列（S2008C、S2016C和S2024C）HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 13產(chǎn)品型號概述S5000系列S5012G 12個千兆電口個千兆電口+4個個GBIC(combo)S5012T-12/10GBC 10個個GBIC+4個千兆電口個千兆電口S5024G-24/20TP 20個千兆電口個千兆電口+4個個GBIC(無無combo)l總線帶寬達到24G/48Gl所有端口二層

10、線速轉發(fā)l支持802.1X認證l支持多種ACL訪問控制策略l支持STP/RSTP/MSTP生成樹協(xié)議l支持L2L7復雜流分類lPQ、 WRR、 CAR，流量限速的粒度為1Mbit/sl支持SNMP、 Open View， Quidview、iManager等網(wǎng)管系統(tǒng)l支持CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 14產(chǎn)品型號概述S3000E系列l(wèi)總線帶寬達到12.8G/18.5G，所有端口二層線速轉發(fā)l良好的堆疊功能，最大可支持16臺設備的堆疊，同時支持不同設備的混合堆疊l優(yōu)

11、異的遠程供電功能S3026TS3026GS3026C/C-PWRS3026ES3026EFS/FMS3050/E050HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 15產(chǎn)品型號概述S3000-SI和S2000-SI系列l(wèi)適于小區(qū)及大中企業(yè)的接入應用l24個固定10/100M自適應端口；百兆/千兆光纖上行能力；l9.6G/12.8bps的總線帶寬l支持802.1x認證和端口限速l全局128個標準VLAN；l支持混合堆疊；l多樣化管理方式S2026C-SIS2026Z-SIS3026C-SIS3026G-SIS3026S-SIHUAWEI

12、 TECHNOLOGIES CO., LTD.All rights reservedPage 16產(chǎn)品型號概述S2000-EI系列l(wèi)增強型邊緣接入交換機l提供8/16/25個10/100M自適應端口；l6.4G/6.4G/9.6Gbps的總線帶寬l802.1X認證,提供MAC地址和端口之間的綁定，流量限速的粒度為64Kbps l百兆光纖上行能力；512個標準VLAN；lS2016-EI，S2403H-EI提供百兆光/電擴展能力；lS2016-EI的直流機型支持遠程受電，可以做為PD設備使用l多元化的管理方式S2403H-EIS2016-EIS2008-EIHUAWEI TECHNOLOGIES

13、 CO., LTD.All rights reservedPage 17產(chǎn)品型號概述S2000C系列l(wèi)邊緣接入交換機l提供8/16/24個10/100M自適應端口；l6.4G/6.4G/9.6Gbps的總線帶寬,所有端口二層線速轉發(fā)l提供MAC地址和端口之間的綁定，流量限速的粒度為64KbpslS2016C，S2024C提供百兆光/電擴展能力l256個標準VLAN；lS2016C直流機型支持遠程受電，可以做為PD設備使用S2024CS2016CS2008CHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 18第第1章章 產(chǎn)品命名規(guī)則介紹產(chǎn)

14、品命名規(guī)則介紹第第2章章 二層以太網(wǎng)交換機硬件特性二層以太網(wǎng)交換機硬件特性第第4章章 典型組網(wǎng)及應用典型組網(wǎng)及應用HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 19端口隔離通過端口隔離特性，可以實現(xiàn)不同用戶的端口屬于同一個VLAN，而不同用戶之間不能互通。從而增強了網(wǎng)絡的安全性，提供了靈活的組網(wǎng)方案，同時節(jié)省了大量的VLAN資源。而被隔離端口的報文仍能通過該VLAN內配置的上行端口轉發(fā)出去。例如，將VLAN1內所有端口隔離，所有端口都可以訪問端口E0/20下面的資源： Quidway-vlan1port-isolate enable

15、Quidway-Ethernet0/20port-isolate uplink-port vlan 1 E0/20E0/1E0/2E0/3HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 20端口隔離l設置端口的二層隔離，使某端口與其他某個（或某組）端口間不能進行二層轉發(fā)。例如，將物理端口E0/3與E0/5進行二層轉發(fā)隔離：Quidwayam enable Quidway-Ethernet0/3am isolate Ethernet 0/5 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedP

16、age 21802.1X認證方式 Radius Server1、用戶發(fā)起認、用戶發(fā)起認證證3、接入設備作為認證客戶、接入設備作為認證客戶端，與端，與Radius Server配合配合完成用戶的認證過程完成用戶的認證過程2、接入設備的端口在、接入設備的端口在用戶未經(jīng)過認證前不能用戶未經(jīng)過認證前不能能訪問任何地方，并且能訪問任何地方，并且不能獲得不能獲得IP地址地址4、用戶通過認證后可、用戶通過認證后可以從以從DHCP獲得獲得IP地址地址5、用戶獲得、用戶獲得IP地址后可以正常實地址后可以正常實現(xiàn)現(xiàn)Internet訪問，設備將用戶的訪問，設備將用戶的IP地址地址MAC地址和地址和VLAN進行綁進行

17、綁定定S2403/S3026DHCP ServerS3026E/S3526E/S5516HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 22基于802.1x認證的動態(tài)vlan下發(fā) CAMS1、用戶發(fā)起認、用戶發(fā)起認證證3、認證通過之后根據(jù)用戶、認證通過之后根據(jù)用戶的賬號下發(fā)的賬號下發(fā)vlanID及用戶及用戶訪問權限參數(shù)訪問權限參數(shù)2、接入設備的端口在用戶、接入設備的端口在用戶未經(jīng)過認證前不能能訪問任未經(jīng)過認證前不能能訪問任何地方不能獲得何地方不能獲得IP地址地址4、用戶通過認證后認證通過之后、用戶通過認證后認證通過之后接收接收CAMS下

18、發(fā)的用戶配置參數(shù)，下發(fā)的用戶配置參數(shù)，動態(tài)配置此端口的動態(tài)配置此端口的vlanID及訪問控及訪問控制權限并且制權限并且可以可以DHCP獲得獲得IP地址地址5、用戶獲得、用戶獲得IP地址后可以正常實地址后可以正常實現(xiàn)現(xiàn)Internet訪問，設備將用戶的訪問，設備將用戶的IP地址地址MAC地址和地址和VLAN進行綁進行綁定定S2403H/S3026DHCP Server解決用戶漫游問題解決用戶漫游問題S3026e/S3526e/S5516HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 23基于802.1x認證的代理服務器檢測 CAMS仿冒最

19、終用戶仿冒最終用戶發(fā)起認證發(fā)起認證交換機與交換機與802.1x客戶端客戶端通過握手報文對客戶通過握手報文對客戶終端進行代理檢查終端進行代理檢查合法用戶認證通過獲得合法用戶認證通過獲得IP地址地址后可以正常實現(xiàn)后可以正常實現(xiàn)Internet訪問，訪問，設備將用戶的設備將用戶的IP地址地址MAC地址和地址和VLAN進行綁定進行綁定網(wǎng)管系統(tǒng)網(wǎng)管系統(tǒng)解決私設代理服務器問題解決私設代理服務器問題認證通過之后向認證設備認證通過之后向認證設備回應賬號認證成功報文回應賬號認證成功報文檢測到代理服務器之后可檢測到代理服務器之后可以向網(wǎng)管報警或者直接關以向網(wǎng)管報警或者直接關閉端口閉端口無需認證通無需認證通過代理上

20、網(wǎng)過代理上網(wǎng)合法用戶合法用戶802.1x認證認證S3026e/S3526e/S5516S2403H/S3026HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 24Guest VLANl當Guest VLAN功能開啟后，交換機向所有開啟802.1x功能的端口廣播主動認證報文，如果達到最大重認證次數(shù)后，仍有端口上未返回響應報文，則交換機將該端口加入到Guest VLAN中。l屬于該Guest VLAN中的用戶訪問該Guest VLAN中的資源時，不需要進行802.1x認證，但訪問外部的資源時仍需要進行認證。從而滿足了允許未認證用戶訪問某些資

21、源的需求：如用戶沒有安裝802.1x客戶端的情況下訪問某些資源；在用戶未認證的情況下升級802.1x客戶端等。當用戶成功通過802.1x認證之后，該端口則重新屬于原有VLAN。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 25Guest-VLANl例如，將VLAN100配置為Guest-VLAN，并在端口E0/1上使能：Quidwaydot1x port-method portbased interface Ethernet 0/1 Quidwaydot1x guest-vlan 100 interface Ethernet 0/1

22、l使用注意事項：Guest VLAN僅在端口認證方式下可以支持；一臺交換機只能配置一個Guest VLAN；用戶沒有認證、認證失敗，或者下線后都屬于Guest VLAN；當交換機配置為dot1x dhcp-launch方式時，因為該方式下交換機不發(fā)送主動認證報文，Guest VLAN功能不能實現(xiàn)。 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 26地址綁定l所有二層交換機均支持MAC地址與物理端口的綁定，部分二層交換機支持IP地址、MAC地址與物理端口之間的結合綁定。實現(xiàn)方式分別為：用限制端口動態(tài)學習MAC地址的數(shù)目，結合配置靜態(tài)MA

23、C地址來完成MAC地址與物理端口的綁定；利用訪問管理控制命令am user-bind完成IP地址、MAC地址與物理端口之間的組合綁定。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 27地址綁定l例如，將MAC地址000f-1dfe-09bc靜態(tài)綁定到VLAN 1的物理端口E0/1上，而當使用其他MAC地址的PC機連接到端口E0/1上時，該PC機的報文不能被轉發(fā)：Quidway-Ethernet0/1mac-address max-mac-count 0 Quidwaymac-address static 000f-1dfe-09bc

24、interface Ethernet 0/1 vlan 1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 28地址綁定l例如，將PC1的IP地址10.1.1.1、MAC地址000f-1dfe-09bc與端口E0/1進行綁定。使端口E0/1只允許PC1上網(wǎng)，而使用其他未綁定的IP地址、MAC地址的PC機則無法上網(wǎng)，同時PC1使用該IP地址和MAC地址可以在其他端口上網(wǎng)：Quidwayam user-bind ip-addr 10.1.1.1 mac-addr 000f-1dfe-09bc interface Ethernet 0/1 l例

25、如，將PC1的IP地址10.1.1.1與MAC地址000f-1dfe-09bc進行綁定，使交換機只允許使用10.1.1.1和000f-1dfe-09bc的PC機上網(wǎng)：Quidwayam user-bind ip-addr 10.1.1.1 mac-addr 000f-1dfe-09bcHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 29端口鏡像（流鏡像）l該功能在不同系列交換機的軟件里面的實現(xiàn)有差別，可以直接將鏡像端口的數(shù)據(jù)報文鏡像到監(jiān)控端口上，或者結合訪問控制列表，將匹配訪問控制列表的指定數(shù)據(jù)流鏡像到監(jiān)控端口上。lS2000C及S20

26、00-EI系列交換機支持端口鏡像。例如，端口E0/1做為監(jiān)控端口，監(jiān)視端口E0/2：Quidwaymonitor-port Ethernet 0/1 no-filtQuidwaymirroring-port Ethernet 0/2 bothHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 30端口鏡像（流鏡像）lS2000-SI及S3000-SI系列交換機支持端口鏡像。例如，端口E0/1做為監(jiān)控端口，監(jiān)視端口E0/2：Quidwaymonitor-port Ethernet 0/1Quidwaymirroring-port Ethern

27、et 0/2 bothHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 31端口鏡像（流鏡像）lS3026E系列支持流鏡像。例如，使用端口E0/1做為監(jiān)控端口，對端口E0/2進行監(jiān)控：Quidwayacl number 4000Quidway-acl-link-4000rule permit ingress interface e0/2 egress anyQuidway-acl-link-4000rule permit ingress any egress interface e0/2Quidwaymirroed-to link-gro

28、up 4000 interface Ethernet 0/1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 32端口鏡像（流鏡像）l或者，使用E0/1做為監(jiān)控端口，對源地址為10.10.1.1的主機所收發(fā)的報文進行監(jiān)控：SwitchAacl number 3000SwitchA-acl-link-3000rule permit ip source 10.10.1.1 0 destination anySwitchA-acl-link-3000rule permit ip source any destination 10.10.1.1

29、0Quidwaymirroed-to link-group 4000 interface Ethernet 0/1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 33端口限速（流限速）lS2000-EI系列交換機支持直接對端口出入方向的數(shù)據(jù)報文流量進行帶寬限制。例如，在S2000-EI系列交換機上，將端口E0/1的出方向報文流量限制在3Mbps，入方向報文流量限制在1Mbps：Quidway-Ethernet0/1line-rate outbound 30Quidway-Ethernet0/1line-rate inbound 16HU

30、AWEI TECHNOLOGIES CO., LTD.All rights reservedPage 34端口限速（流限速）lS2000-SI系列及S3000-SI系列交換機支持直接對端口出入方向的數(shù)據(jù)報文流量進行帶寬限制。例如，在S2000-SI及S3000-SI系列交換機上，將端口E0/1的出方向報文流量限制在6Mbps，入方向報文流量限制在3Mbps：Quidway-Ethernet0/1line-rate outbound 2Quidway-Ethernet0/1line-rate inbound 1HUAWEI TECHNOLOGIES CO., LTD.All rights res

31、ervedPage 35端口限速（流限速）lS3000E和S5000系列交換機對出方向的數(shù)據(jù)報文進行端口限速，對入方向的數(shù)據(jù)報文進行流限速。例如，將端口E0/1的出方向報文流量限制在3Mbps，入方向報文流量限制在1Mbps：Quidway-Ethernet0/1line-rate outbound 3Quidwayacl number 4000Quidway-acl-link-4000rule permit ingress any egress anyQuidway-Ethernet0/1traffic-limit inbound link-group 4000 1 exceed dropH

32、UAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 36環(huán)路檢測l檢測交換機某一個端口下所連接的網(wǎng)絡是否存在環(huán)路。如果某個端口的環(huán)路檢測功能被使能后，則環(huán)路檢測報文會按照一定的時間間隔從該端口發(fā)出去，如果該端口所連接的網(wǎng)絡存在環(huán)路，則該報文會從此端口進入交換機，此時交換機即檢測到該端口下存在環(huán)路。l默認情況下，檢測到有環(huán)路存在的Trunk和Hybrid端口的狀態(tài)將被轉變?yōu)槭芸貭顟B(tài)，在此狀態(tài)下端口將不再進行MAC地址學習，即端口的流量和其他端口隔離，而不會使環(huán)路對其他端口存在影響。HUAWEI TECHNOLOGIES CO., LTD.All

33、 rights reservedPage 37環(huán)路檢測l如下圖，SwitchA使用Trunk端口E0/1連接SwitchB，此時在SwitchB的端口E0/20由于某種原因出現(xiàn)了環(huán)路。在以太網(wǎng)網(wǎng)絡中出現(xiàn)環(huán)路后，對網(wǎng)絡最大的影響為造成廣播風暴、使交換機的MAC地址學習出現(xiàn)錯誤，導致業(yè)務轉發(fā)出現(xiàn)異常。l此時在SwitchA的E0/1端口或者SwitchB的E0/20上啟用環(huán)路檢測功能，則能很好地檢測出網(wǎng)絡中的環(huán)路，并阻斷環(huán)路，降低環(huán)路對網(wǎng)絡以及設備的影響。SwitchBE0/1E0/20SwitchAHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 38環(huán)路檢測l在SwitchA的端口E0/1上開啟環(huán)路檢測，可以看到設備上會出現(xiàn)如下的log信息：Loopback does exist on port Ethernet 0/1 vlan 8, please check it! l同樣，如果在SwitchB的端口E0/20上開啟環(huán)路檢測功能，則可以看到設備出