Quidway中低端二层以太网交换机产品概述

1、HUAWEI TECHNOLOGIES CO., LTD.All rights reservedInternal DTL120001 Quidway 中低端二层以太网交换机产品概述ISSUE 1.0HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 2参考资料l各系列以太网交换机产品安装手册l各系列以太网交换机产品操作手册 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 3学习完此课程，您将会：了解Quidway 以太网交换机的命名规则了解Quidway 中低端二层以太网交换机的硬件

2、特性了解Quidway 中低端二层以太网交换机的业务特性HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 4第第2章章 二层以太网交换机硬件特性二层以太网交换机硬件特性第第3章章 二层以太网交换机业务特性二层以太网交换机业务特性第第4章章 典型组网及应用典型组网及应用HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 5产品命名规则概述l交换机的名称格式为： Quidway SA1A2A3A4A5 A5 -A6A7-A8A9A10-A11A12例：S3526E、S2016-EI、S20

3、26C-SI、S3026C-PWR HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 6产品命名规则概述（1）lA1标示产品系列，主要标示上行端口的最大接口速率：A1为2 盒式10/100M 交换机，上行最高到100M；A1为3 盒式10/100/1000M交换机，上行最高到1000M；A1为5 盒式GE/10GE交换机，上行最高到10GE。lA2标示所支持的IP层：A2为0 纯L2交换机，目前为0A2为5 L2/L3交换机，目前有5、6和9HUAWEI TECHNOLOGIES CO., LTD.All rights reservedP

4、age 7产品命名规则概述（2）lA3A4两位数字与产品的端口数相关： A3A4为08：表示下行端口为8个， 上行端口为0、1、2个； A3A4为12：表示下行端口为12个，上行端口为0、1、2个； A3A4为16：表示下行端口为16个，上行端口为0、1、2个； A3A4为24：表示下行端口为24个，上行端口为0个； A3A4为26：表示下行端口为24个，上行端口为2个； A3A4为28：表示下行端口为24个，上行端口为4个； A3A4为48：表示下行端口为48个，上行端口为0个； A3A4为50：表示下行端口为48个，上行端口为2个； A3A4为52：表示下行端口为48个，上行端口为4个；

5、l例：S2008、S5012G、S2016、S3550、S3552F、S5648PHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 8产品命名规则概述（3）lA5 A5 用来区分固定上行口的不同种类，可以标示接口类型：A5为Z，表示没有上行接口；A5 ， A5为G，表示上行GBIC接口；A5 ， A5为P，表示上行SFP接口；A5 ， A5为T，表示上行RJ45接口；A5 ， A5为C，表示上行接口可选配；A5 ， A5为M，表示上行接口为多模光口；A5 ， A5为S，表示上行接口为单模光口；A5为F，表示下行接口为模板板，可插光接口板或

6、电接口板。 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 9产品命名规则概述（4）lA6A7作为设备电源交直流标识缺省为AC交流DC为直流lA8A9 A10表示设备供电或受电的标识PWR 表示设备为支持远程以太网供电PD 表示设备为受电设备，受电符合802.3AF标准缺省表示不支持远程供电，也不支持受电。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 10产品命名规则概述（5）lA11A12作为可选项，用以突出产品版本的特性，缺省为增强版本；LI ( Lite software

7、 Image)表示设备为弱特性版本SI (Standard software Image)表示设备为标准版本，包含基础特性EI ( Enhanced software Image)表示设备为增强版本，包含某些高级特性HI ( Hyper software Image)表示设备为高级版本，包含某些更高级特性 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 11第第1章章 产品命名规则介绍产品命名规则介绍第第3章章 以太网交换机业务特性以太网交换机业务特性第第4章章 典型组网及应用典型组网及应用HUAWEI TECHNOLOGIES CO.

8、, LTD.All rights reservedPage 12产品型号概述l二层以太网交换机，按照使用的软件版本进行分类，目前常见设备主要为以下几类：S5000系列（S5012T、S5012G和S5024G）；S3000E系列（S3026E、S3026C、S3026G、S3026T、S3026C-PWR、E026和E026T），含S3050系列（S3050C和E050）；SI系列（S2026C-SI、S2026Z-SI、S3026C-SI、S3026G-SI、S3026S-SI和E026-SI）；S2100EI系列（S2108-EI、S2116-EI和S2126-EI）；S2100SI系列（

9、S2108-EI、S2116-EI和S2126-SI）；S2000EI系列（S2008-EI、S2016-EI和S2403H-EI）；S2000C系列（S2008C、S2016C和S2024C）HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 13产品型号概述S5000系列S5012G 12个千兆电口个千兆电口+4个个GBIC(combo)S5012T-12/10GBC 10个个GBIC+4个千兆电口个千兆电口S5024G-24/20TP 20个千兆电口个千兆电口+4个个GBIC(无无combo)l总线带宽达到24G/48Gl所有端口二层

10、线速转发l支持802.1X认证l支持多种ACL访问控制策略l支持STP/RSTP/MSTP生成树协议l支持L2L7复杂流分类lPQ、 WRR、 CAR，流量限速的粒度为1Mbit/sl支持SNMP、 Open View， Quidview、iManager等网管系统l支持CLI命令行，Web网管，TELNET，HGMP集群管理HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 14产品型号概述S3000E系列l总线带宽达到12.8G/18.5G，所有端口二层线速转发l良好的堆叠功能，最大可支持16台设备的堆叠，同时支持不同设备的混合堆叠l优

11、异的远程供电功能S3026TS3026GS3026C/C-PWRS3026ES3026EFS/FMS3050/E050HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 15产品型号概述S3000-SI和S2000-SI系列l适于小区及大中企业的接入应用l24个固定10/100M自适应端口；百兆/千兆光纤上行能力；l9.6G/12.8bps的总线带宽l支持802.1x认证和端口限速l全局128个标准VLAN；l支持混合堆叠；l多样化管理方式S2026C-SIS2026Z-SIS3026C-SIS3026G-SIS3026S-SIHUAWEI

12、 TECHNOLOGIES CO., LTD.All rights reservedPage 16产品型号概述S2000-EI系列l增强型边缘接入交换机l提供8/16/25个10/100M自适应端口；l6.4G/6.4G/9.6Gbps的总线带宽l802.1X认证,提供MAC地址和端口之间的绑定，流量限速的粒度为64Kbps l百兆光纤上行能力；512个标准VLAN；lS2016-EI，S2403H-EI提供百兆光/电扩展能力；lS2016-EI的直流机型支持远程受电，可以做为PD设备使用l多元化的管理方式S2403H-EIS2016-EIS2008-EIHUAWEI TECHNOLOGIES

13、 CO., LTD.All rights reservedPage 17产品型号概述S2000C系列l边缘接入交换机l提供8/16/24个10/100M自适应端口；l6.4G/6.4G/9.6Gbps的总线带宽,所有端口二层线速转发l提供MAC地址和端口之间的绑定，流量限速的粒度为64KbpslS2016C，S2024C提供百兆光/电扩展能力l256个标准VLAN；lS2016C直流机型支持远程受电，可以做为PD设备使用S2024CS2016CS2008CHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 18第第1章章 产品命名规则介绍产

14、品命名规则介绍第第2章章 二层以太网交换机硬件特性二层以太网交换机硬件特性第第4章章 典型组网及应用典型组网及应用HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 19端口隔离通过端口隔离特性，可以实现不同用户的端口属于同一个VLAN，而不同用户之间不能互通。从而增强了网络的安全性，提供了灵活的组网方案，同时节省了大量的VLAN资源。而被隔离端口的报文仍能通过该VLAN内配置的上行端口转发出去。例如，将VLAN1内所有端口隔离，所有端口都可以访问端口E0/20下面的资源： Quidway-vlan1port-isolate enable

15、Quidway-Ethernet0/20port-isolate uplink-port vlan 1 E0/20E0/1E0/2E0/3HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 20端口隔离l设置端口的二层隔离，使某端口与其他某个（或某组）端口间不能进行二层转发。例如，将物理端口E0/3与E0/5进行二层转发隔离：Quidwayam enable Quidway-Ethernet0/3am isolate Ethernet 0/5 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedP

16、age 21802.1X认证方式 Radius Server1、用户发起认、用户发起认证证3、接入设备作为认证客户、接入设备作为认证客户端，与端，与Radius Server配合配合完成用户的认证过程完成用户的认证过程2、接入设备的端口在、接入设备的端口在用户未经过认证前不能用户未经过认证前不能能访问任何地方，并且能访问任何地方，并且不能获得不能获得IP地址地址4、用户通过认证后可、用户通过认证后可以从以从DHCP获得获得IP地址地址5、用户获得、用户获得IP地址后可以正常实地址后可以正常实现现Internet访问，设备将用户的访问，设备将用户的IP地址地址MAC地址和地址和VLAN进行绑进行

17、绑定定S2403/S3026DHCP ServerS3026E/S3526E/S5516HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 22基于802.1x认证的动态vlan下发 CAMS1、用户发起认、用户发起认证证3、认证通过之后根据用户、认证通过之后根据用户的账号下发的账号下发vlanID及用户及用户访问权限参数访问权限参数2、接入设备的端口在用户、接入设备的端口在用户未经过认证前不能能访问任未经过认证前不能能访问任何地方不能获得何地方不能获得IP地址地址4、用户通过认证后认证通过之后、用户通过认证后认证通过之后接收接收CAMS下

18、发的用户配置参数，下发的用户配置参数，动态配置此端口的动态配置此端口的vlanID及访问控及访问控制权限并且制权限并且可以可以DHCP获得获得IP地址地址5、用户获得、用户获得IP地址后可以正常实地址后可以正常实现现Internet访问，设备将用户的访问，设备将用户的IP地址地址MAC地址和地址和VLAN进行绑进行绑定定S2403H/S3026DHCP Server解决用户漫游问题解决用户漫游问题S3026e/S3526e/S5516HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 23基于802.1x认证的代理服务器检测 CAMS仿冒最

19、终用户仿冒最终用户发起认证发起认证交换机与交换机与802.1x客户端客户端通过握手报文对客户通过握手报文对客户终端进行代理检查终端进行代理检查合法用户认证通过获得合法用户认证通过获得IP地址地址后可以正常实现后可以正常实现Internet访问，访问，设备将用户的设备将用户的IP地址地址MAC地址和地址和VLAN进行绑定进行绑定网管系统网管系统解决私设代理服务器问题解决私设代理服务器问题认证通过之后向认证设备认证通过之后向认证设备回应账号认证成功报文回应账号认证成功报文检测到代理服务器之后可检测到代理服务器之后可以向网管报警或者直接关以向网管报警或者直接关闭端口闭端口无需认证通无需认证通过代理上

20、网过代理上网合法用户合法用户802.1x认证认证S3026e/S3526e/S5516S2403H/S3026HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 24Guest VLANl当Guest VLAN功能开启后，交换机向所有开启802.1x功能的端口广播主动认证报文，如果达到最大重认证次数后，仍有端口上未返回响应报文，则交换机将该端口加入到Guest VLAN中。l属于该Guest VLAN中的用户访问该Guest VLAN中的资源时，不需要进行802.1x认证，但访问外部的资源时仍需要进行认证。从而满足了允许未认证用户访问某些资

21、源的需求：如用户没有安装802.1x客户端的情况下访问某些资源；在用户未认证的情况下升级802.1x客户端等。当用户成功通过802.1x认证之后，该端口则重新属于原有VLAN。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 25Guest-VLANl例如，将VLAN100配置为Guest-VLAN，并在端口E0/1上使能：Quidwaydot1x port-method portbased interface Ethernet 0/1 Quidwaydot1x guest-vlan 100 interface Ethernet 0/1

22、l使用注意事项：Guest VLAN仅在端口认证方式下可以支持；一台交换机只能配置一个Guest VLAN；用户没有认证、认证失败，或者下线后都属于Guest VLAN；当交换机配置为dot1x dhcp-launch方式时，因为该方式下交换机不发送主动认证报文，Guest VLAN功能不能实现。 HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 26地址绑定l所有二层交换机均支持MAC地址与物理端口的绑定，部分二层交换机支持IP地址、MAC地址与物理端口之间的结合绑定。实现方式分别为：用限制端口动态学习MAC地址的数目，结合配置静态MA

23、C地址来完成MAC地址与物理端口的绑定；利用访问管理控制命令am user-bind完成IP地址、MAC地址与物理端口之间的组合绑定。HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 27地址绑定l例如，将MAC地址000f-1dfe-09bc静态绑定到VLAN 1的物理端口E0/1上，而当使用其他MAC地址的PC机连接到端口E0/1上时，该PC机的报文不能被转发：Quidway-Ethernet0/1mac-address max-mac-count 0 Quidwaymac-address static 000f-1dfe-09bc

24、interface Ethernet 0/1 vlan 1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 28地址绑定l例如，将PC1的IP地址10.1.1.1、MAC地址000f-1dfe-09bc与端口E0/1进行绑定。使端口E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网，同时PC1使用该IP地址和MAC地址可以在其他端口上网：Quidwayam user-bind ip-addr 10.1.1.1 mac-addr 000f-1dfe-09bc interface Ethernet 0/1 l例

25、如，将PC1的IP地址10.1.1.1与MAC地址000f-1dfe-09bc进行绑定，使交换机只允许使用10.1.1.1和000f-1dfe-09bc的PC机上网：Quidwayam user-bind ip-addr 10.1.1.1 mac-addr 000f-1dfe-09bcHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 29端口镜像（流镜像）l该功能在不同系列交换机的软件里面的实现有差别，可以直接将镜像端口的数据报文镜像到监控端口上，或者结合访问控制列表，将匹配访问控制列表的指定数据流镜像到监控端口上。lS2000C及S20

26、00-EI系列交换机支持端口镜像。例如，端口E0/1做为监控端口，监视端口E0/2：Quidwaymonitor-port Ethernet 0/1 no-filtQuidwaymirroring-port Ethernet 0/2 bothHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 30端口镜像（流镜像）lS2000-SI及S3000-SI系列交换机支持端口镜像。例如，端口E0/1做为监控端口，监视端口E0/2：Quidwaymonitor-port Ethernet 0/1Quidwaymirroring-port Ethern

27、et 0/2 bothHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 31端口镜像（流镜像）lS3026E系列支持流镜像。例如，使用端口E0/1做为监控端口，对端口E0/2进行监控：Quidwayacl number 4000Quidway-acl-link-4000rule permit ingress interface e0/2 egress anyQuidway-acl-link-4000rule permit ingress any egress interface e0/2Quidwaymirroed-to link-gro

28、up 4000 interface Ethernet 0/1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 32端口镜像（流镜像）l或者，使用E0/1做为监控端口，对源地址为10.10.1.1的主机所收发的报文进行监控：SwitchAacl number 3000SwitchA-acl-link-3000rule permit ip source 10.10.1.1 0 destination anySwitchA-acl-link-3000rule permit ip source any destination 10.10.1.1

29、0Quidwaymirroed-to link-group 4000 interface Ethernet 0/1HUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 33端口限速（流限速）lS2000-EI系列交换机支持直接对端口出入方向的数据报文流量进行带宽限制。例如，在S2000-EI系列交换机上，将端口E0/1的出方向报文流量限制在3Mbps，入方向报文流量限制在1Mbps：Quidway-Ethernet0/1line-rate outbound 30Quidway-Ethernet0/1line-rate inbound 16HU

30、AWEI TECHNOLOGIES CO., LTD.All rights reservedPage 34端口限速（流限速）lS2000-SI系列及S3000-SI系列交换机支持直接对端口出入方向的数据报文流量进行带宽限制。例如，在S2000-SI及S3000-SI系列交换机上，将端口E0/1的出方向报文流量限制在6Mbps，入方向报文流量限制在3Mbps：Quidway-Ethernet0/1line-rate outbound 2Quidway-Ethernet0/1line-rate inbound 1HUAWEI TECHNOLOGIES CO., LTD.All rights res

31、ervedPage 35端口限速（流限速）lS3000E和S5000系列交换机对出方向的数据报文进行端口限速，对入方向的数据报文进行流限速。例如，将端口E0/1的出方向报文流量限制在3Mbps，入方向报文流量限制在1Mbps：Quidway-Ethernet0/1line-rate outbound 3Quidwayacl number 4000Quidway-acl-link-4000rule permit ingress any egress anyQuidway-Ethernet0/1traffic-limit inbound link-group 4000 1 exceed dropH

32、UAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 36环路检测l检测交换机某一个端口下所连接的网络是否存在环路。如果某个端口的环路检测功能被使能后，则环路检测报文会按照一定的时间间隔从该端口发出去，如果该端口所连接的网络存在环路，则该报文会从此端口进入交换机，此时交换机即检测到该端口下存在环路。l默认情况下，检测到有环路存在的Trunk和Hybrid端口的状态将被转变为受控状态，在此状态下端口将不再进行MAC地址学习，即端口的流量和其他端口隔离，而不会使环路对其他端口存在影响。HUAWEI TECHNOLOGIES CO., LTD.All

33、 rights reservedPage 37环路检测l如下图，SwitchA使用Trunk端口E0/1连接SwitchB，此时在SwitchB的端口E0/20由于某种原因出现了环路。在以太网网络中出现环路后，对网络最大的影响为造成广播风暴、使交换机的MAC地址学习出现错误，导致业务转发出现异常。l此时在SwitchA的E0/1端口或者SwitchB的E0/20上启用环路检测功能，则能很好地检测出网络中的环路，并阻断环路，降低环路对网络以及设备的影响。SwitchBE0/1E0/20SwitchAHUAWEI TECHNOLOGIES CO., LTD.All rights reservedPage 38环路检测l在SwitchA的端口E0/1上开启环路检测，可以看到设备上会出现如下的log信息：Loopback does exist on port Ethernet 0/1 vlan 8, please check it! l同样，如果在SwitchB的端口E0/20上开启环路检测功能，则可以看到设备出