华为交换机一些知识


华为PVID:Port Vlan ID,端口的虚拟局域网ID号,关系到端口收发数据帧时的VLAN TAG 标记。
修改命令:

<huawei>sy
[huawei]interface ethernet 0/0/9
[huawei-Ethernet0/0/9]port default vlan 1

====================

华为P2P限流:首先需要一个在flash里放置一个 protocol.rul 限流模板才可以是有下列命令(这个限流模板可以在华赛官方网站上下载的到)。

firewall mode transparent
firewall dpi pattern-file active
firewall dpi packet-number 48
firewall p2p-car include BT
firewall p2p-car include PPLIVE
firewall p2p-car include THUNDER
firewall p2p-car include EDEM
firewall p2p-car include FEIDIAN
firewall p2p-car include QQLIVE
firewall p2p-car include CCIPTV
firewall p2p-car include GNUTELLA
firewall p2p-car include KAZAA
firewall p2p-car include PPSTREAM
firewall p2p-car include COOLSTREAMING
firewall p2p-car include DC
firewall p2p-car include KUGOO
firewall p2p-car include ORINNOAVBT
firewall p2p-car include PPGOU
firewall p2p-car include POCO
firewall p2p-car include BAIBAO
firewall p2p-car include MAZE
firewall p2p-car include TVANTS         
firewall p2p-car include UUSEE
firewall p2p-car include VAGAA
firewall p2p-car include BBSEE
firewall p2p-car include QQDOWNLOAD
firewall p2p-car include MYSEE
firewall p2p-car include FILETOPIA
firewall p2p-car include SOULSEEK
firewall p2p-car include SOPCAST
firewall p2p-car include TVU
firewall p2p-car include BEARSHARE
firewall p2p-car include KOOWO
firewall p2p-car include FENGXING
firewall p2p-car include PPFILM
firewall p2p-car include DOPOOL
firewall p2p-car include FLASHGET
firewall p2p-car include PP365
firewall p2p-car include BAIDUXIABA
firewall p2p-car include QINGYL
firewall p2p-car include FS2YOU
firewall p2p-car include TVKOO
firewall p2p-car include SPEEDYTUDOU
firewall p2p-car include PP365_DOWNLOAD
firewall p2p-car include QVOD           
firewall p2p-car include SINATV
firewall p2p-car include HTTP_STREAMING
firewall p2p-car include HTTP_DOWNLOAD
firewall p2p-car default-permit
time-range daytime 00:00 to 20:00 daily
time-range night 20:00 to 24:00 daily
p2p-class 0
cir 10000 index 1 time-range daytime
cir 20000 index 2 time-range night
quit

这种限流模式是华为早期的一种P2P模式,protocol.rul P2P限流模板华为也不再更新,现在对一些P2P下载软件的限流效果不是很好,至少亲自测试对迅雷的限速不是很好。
关于迅雷限速的一些方法:
在P2P限流协议中没有勾选 HTTP_DOWNLOAD和HTTP_STREAMING  导致限流不完整
处理过程:
1、检查配置,ACL能够匹配并且在数据包统计里面也能看到丢弃了P2P的包,证明配置没有问题
2、将P2P限流协议里面添加了  HTTP_DOWNLOAD和HTTP_STREAMING  后,迅雷下载速度会下降很多,但是这么做的会导致普通的网页下载功能失效,导致是用IE之类的浏览器下载无法使用,既:下载没有任何速度。

firewall p2p-car include HTTP_STREAMING
firewall p2p-car include HTTP_DOWNLOAD

这2项应该根据实际情况谨慎使用。

现在华为改用一种数据库的模式来限制P2P端的速度,这种模式下较早生产的一些华为网关,防火墙设备是不支持的。

======================

TPID:Tag Protocol Identifier,标签协议标识

IEEE 802.1q协议规定该字段的取值为0x8100。
设备缺省采用协议规定的TPID值(0x8100)。某些厂商将设备可识别的TPID值设置为0x9100或其他数值。

为了和这些设备兼容,设备提供了全局的VLAN-VPN报文TPID值可调功能,用户可以自行配置TPID值。VLAN-VPN Uplink端口在转发报文时会将报文外层VLAN Tag中的TPID值替换为用户设定值再进行发送,从而使发送到公网中的VLAN-VPN报文可以被其他厂商的设备识别。

由于TPID字段在以太网报文中所处位置与不带VLAN Tag的报文中协议类型字段所处位置相同,为避免网络中报文转发和接收造成混乱,用户在配置VLAN-VPN时,设备将不允许用户配置TPID为表1-1中列举的常用协议类型值。
常用以太网帧协议类型值协议类型对应取值:
协议类型 对应取值
ARP 0x0806
IP 0x0800
MPLS 0x8847/0x8848
IPX 0x8137
IS-IS 0x8000
LACP 0x8809
802.1x 0x888E


=====================

 daylight saving time:DST 夏令时

=====================

华为s2326交换机上行和下行的端口限速:
1)分类流
#traffic classifer c2326
if-match any

2)行为分类
#traffic behavior b2326
car cir 2048 cbs 204800

3)策略
#traffic policy p2326
classifier p2326 behavior b2326

4)下发策略
#interface E0/0/21
traffic-policy p2326 inbound

qos lr cir 2048 cbs 204800

最后一句是限制下行,之前是限制上行。

================

通用安全策略:
acl number 3001
rule 0 deny tcp source-port eq 3127
rule 1 deny tcp source-port eq 1025
rule 2 deny tcp source-port eq 5554
rule 3 deny tcp source-port eq 9996
rule 4 deny tcp source-port eq 1068
rule 7 deny tcp source-port eq 137
rule 8 deny udp source-port eq netbios-ns
rule 9 deny tcp source-port eq 138
rule 10 deny udp source-port eq netbios-dgm
rule 11 deny tcp source-port eq 139
rule 12 deny udp source-port eq netbios-ssn
rule 13 deny tcp source-port eq 593
rule 14 deny tcp source-port eq 4444
rule 15 deny tcp source-port eq 5800
rule 16 deny tcp source-port eq 5900
rule 18 deny tcp source-port eq 8998
rule 19 deny tcp source-port eq 445
rule 20 deny udp source-port eq 445
rule 21 deny udp source-port eq 1434
rule 30 deny tcp destination-port eq 3127
rule 31 deny tcp destination-port eq 1025
rule 32 deny tcp destination-port eq 5554
rule 33 deny tcp destination-port eq 9996
rule 34 deny tcp destination-port eq 1068
rule 35 deny tcp destination-port eq 135
rule 36 deny udp destination-port eq 135
rule 37 deny tcp destination-port eq 137
rule 38 deny udp destination-port eq netbios-ns
rule 39 deny tcp destination-port eq 138
rule 40 deny udp destination-port eq netbios-dgm
rule 41 deny tcp destination-port eq 139
rule 42 deny udp destination-port eq netbios-ssn
rule 43 deny tcp destination-port eq 593
rule 44 deny tcp destination-port eq 4444
rule 45 deny tcp destination-port eq 5800
rule 46 deny tcp destination-port eq 5900
rule 48 deny tcp destination-port eq 8998
rule 49 deny tcp destination-port eq 445
rule 50 deny udp destination-port eq 445
rule 51 deny udp destination-port eq 1434
rule 52 deny tcp destination-port eq 6969
rule 53 deny tcp source-port range 6881 6889
rule 54 deny tcp destination-port range 6881 6889
rule 55 deny tcp source-port eq 6969

===============================



**********

2012年06月11日 17时48分   百度空间:http://hi.baidu.com/sys0/


评论

发表评论

此博客中的热门博文

cue 文件的修改及制作方法

       经常遇到下载的无损音乐因cue错误或者没有cue而不能欣赏,下面,我来教大家完成cue的修改及制作过程,体验亲手得到美妙音乐的乐趣。按如下步骤就可轻松完成(确实很简单的):        如果原ape(或flac、wav)带有cue文件只是它有错误不能播放的话,先别删它,直接用它来编辑就最简单了(因为其中的时间点信息基本上都是正确的,而制作cue最麻烦的就是找时间点了)。 下面分两种情况,一种是有cue但错误,一种是根本没有cue文件。      就算你是在连错误cue都没有的情况下要做一个新的cue,也要先看第一部分再看第二部分。 第一种情况,有cue但错误时: 一、用记事本打开一个正确的cue文件,会得到类似如下的内容,我会挨个说明每一行的作用,注意看各个红色的注释: PERFORMER "Lara Fabian"   ------------------------------------------------------ 1 TITLE "《9》"    --------------------------------------------------------------------- 2 FILE "CDImage.ape" WAVE     --------------------------------------------------- 3 TRACK 01 AUDIO     -------------------------------------------------------------- 4     TITLE "La lettre"     ------------------------------------------------------------- 5     PERFORMER "Lara Fabian"     ------------------------------------------------...
阅读全文

Windows XP中的一些命令

Windows XP中的一些命令 你只需在“运行”对话框中输入右边的命令,即可启动相应的程序,非常地方便,大家可以试一试。 计算机管理控制台(Computer Management)- compmgmt.msc 磁盘管理(Disk Managment) - diskmgmt.msc 设备管理器(Device Manager) - devmgmt.msc 磁盘碎片整理程序(Disk Defrag) - dfrg.msc 事件查看器(Event Viewer) - eventvwr.msc 本地共享文件夹(Shared Folders) - fsmgmt.msc 组策略(Group Policies) - gpedit.msc 本地用户和组(Local Users and Groups) - lusrmgr.msc 系统监视器(Performance Monitor) - perfmon.msc 策略的结果集(Resultant Set of Policies) - rsop.msc 安全设置(Local Security Settings) - secpol.msc 服务(Services) - services.msc        winver---------检查Windows版本   wmimgmt.msc----打开windows管理体系结构(WMI)   wupdmgr--------windows更新程序   wscript--------windows脚本宿主设置   write----------写字板   winmsd---------系统信息   wiaacmgr-------扫描仪和照相机向导   winchat--------XP自带局域网聊天   mem.exe--------显示内存使用情况   Msconfig.exe---系统配置实用程序   mplayer2-------简易widnows media player   mspaint--------画图板   mstsc----------远程桌面连接   mplayer2-------媒体播放机   magnify--------放大镜实用程序   mmc------------打...
阅读全文

华为ACL配置说明

华为ACL配置说明 华为3COM的ACL一直一来都比较麻烦,不同版本、不同型号的设备都有些不同。下面我以3900设备为例,说明ACL的配置和执行技巧。 总结一句话:rule排列规则和auto、config模式有关,而匹配顺序则和ACL应用环境和下发到端口的循序有关。 规律说明: 1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序(可以通告dis acl all查看rule的循序,出现4-2-3-0-1很正常)。config模式根据用户配置循序排列rule的循序。也就是说auto和config只是rule的排列顺序有关,与匹配顺序无关。 2、不管是auto模式还是config模式,当ACL应用于包过虑和QOS时,匹配循序是从下往上,但是应用于VTY 用户过虑等责是从上往下匹配。 3、不管是auto模式还是config模式,ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。 4、在一个ACL里同时有多条rule匹配,则按照最长匹配优先执行。 包过虑ACL举例说明: 禁止10.10.10.145这台PC上网 允许10.10.10.0/24网段上网 允许192.168.0.0/16网段上网 禁止所有IP 配置方法一: 配置ACL(需要严格按照配置顺序配置) acl num 3000 mach config rule den ip rule permit ip sour 192.168.0.0 0.0.255.255 rule permit ip sour   10.10.10.0 0.0.0.255 rule deny ip sour 10.10.10.145 0 下发ACL到端口 int e 1/0/1 pack in ip 3000 配置方法二: 配置ACL(配置循序随便) acl num 3001 mach auto rule permit ip sour   10.10.10.0 0.0.0.255 rule den ip rule deny ip sour 10.10.10.145 0 rule permit ip sour 192.168.0.0 0.0.255.255 下发ACL到端口 int e 1/0/2 pack in ...
阅读全文