华为交换机各种配置实例网管必学

华为交换机各种配置实例网管必学交换机配置（一）端口限速基本配置华为3Com2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:华为交换机端口限速2000_EI系列以上的交换机都可以限速！限速不同的交换机限速的方式不一样！2000_EI直接在端口视图下面输入LINE-RATE（4渗数可选！端口限速配置1功能需求及组网说明端口限速配置『配置环境参数』1.PC1和PC2的IP地址分别为/24、/24『组网需求』1.在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps2数据配置步骤『S2000EI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。【SwitchA相关配置】进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/1对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateoutbound30对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]line-rateinbound16【补充说明】报文速率限制级别取值为1〜127。如果速率限制级别取值在1〜28范围内，则速率限制的粒度为64Kbps,这种情况下，当设置的级别为N,则端口上限制的速率大小为N*64K；如果速率限制级别取值在29〜127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI。『S2000-SI和S3000-SI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。【SwitchA相关配置】1.进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/1对端口E0/1的出方向报文进行流量限速，限制到6Mbps[SwitchA-Ethernet0/1]line-rateoutbound2对端口E0/1的入方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rateinbound1【补充说明】对端口发送或接收报文限制的总速率，这里以8个级别来表示，取值范围为1〜8，含义为：端口工作在10M速率时，1〜8分别表示312K，625K，938K，1.25M，2M，4M，6M，8M；端口工作在100M速率时，1〜8分别表示3.12M，6.25M，9.38M，12.5M，20M，40M，60M，80M。此系列交换机的具体型号包括：S2026C/Z-SI、S3026C/G/S-SI和E026-SI。『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速;结合acl，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进行流量限速。【SwitchA相关配置】1.进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/1对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]line-rate3配置acl，定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group40001exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为1Mbps。此系列交换机的具体型号包括：S3026E/C/G/T、S3526E/C/EF、S3050C、S5012G/T和S5024G。『S3528、S3552系列交换机端口限速配置流程』使用以太网物理端口下面的traffic-shape和traffic-limit命令，分别来对该端口的出、入报文进行流量限速。【SwitchA相关配置】1.进入端口E0/1的配置视图[SwitchA]interfaceEthernet0/1对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet0/1]traffic-shape32503250配置acl，定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet0/1]traffic-limitinboundlink-group400010001500001500001000exceeddrop【补充说明】此系列交换机的具体型号包括：S3528G/P和S3552G/P/F。『S3900系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速;结合acl，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA相关配置】1.进入端口E1/0/1的配置视图[SwitchA]interfaceEthernet1/0/1对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate3000配置acl，定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括：S3924、S3928P/F/TP和S3952P。『S5600系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA相关配置】进入端口E1/0/1的配置视图[SwitchA]interfaceEthernet1/0/1对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA-Ethernet1/0/1]line-rate3000配置acl，定义符合速率限制的数据流[SwitchA]aclnumber4000[SwitchA-acl-link-4000]rulepermitingressanyegressany对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA-Ethernet1/0/1]traffic-limitinboundlink-group40001000exceeddrop【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合acl使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。在配置acl的时候，也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括：S5624P/F和S5648P。交换机配置(二)端口绑定基本配置1，端口+MACAM命令使用特殊的AMUser-bind命令，来完成MAC地址与端口之间的绑定。例如：[SwitchA]amuser-bindmac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。mac-address命令使用mac-addressstatic命令，来完成MAC地址与端口之间的绑定。例如：[SwitchA]mac-addressstatic00e0-fc22-f8d3interfaceEthernet0/1vlan1[SwitchA]mac-addressmax-mac-count0配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。2，IP+MACAM命令使用特殊的AMUser-bind命令，来完成IP地址与MAC地址之间的绑定。例如：[SwitchA]amuser-bindip-addressmac-address00e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Garp命令使用特殊的arpstatic命令，来完成IP地址与MAC地址之间的绑定。例如：[SwitchA]arpstatic00e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。3，端口+IP+MAC使用特殊的AMUser-bind命令，来完成IP、MAC地址与端口之间的绑定。例如：[SwitchA]amuser-bindip-addressmac-address00e0-fc22-f8d3interfaceEthernet0/1配置说明：可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。支持型号：S3026E/S3026E-FM/S3026-FS；S3026G；S3026C；S3026C-PWR；E3026；E050；S3526E/C;S3526E-FM/FS;S5012T/G、S5024G、S3900、S5600、S6500（3代引擎）交换机配置（三）ACL基本配置1，二层ACL.组网需求：通过二层访问控制列表，实现在每天8:00〜18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤：⑴定义时间段#定义8:00至18:00的周期时间段。[Quidway]time-rangehuawei8:00to18:00daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL#进入基于名字的二层访问控制列表视图，命名为traffic-of-linko[Quidway]aclnametraffic-of-linklink#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。[Quidway-acl-link-traffic-of-link]rule1denyingress00e0-fc01-01010-0-0egress00e0-fc01-03030-0-0time-rangehuawei⑶激活ACLo#将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterlink-grouptraffic-of-link2,三层ACLa）基本访问控制列表配置案例.组网需求：通过基本访问控制列表，实现在每天8:00〜18:00时间段内对源IP为主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤：⑴定义时间段#定义8:00至18:00的周期时间段。[Quidway]time-rangehuawei8:00to18:00daily(2)定义源IP为的ACL#进入基于名字的基本访问控制列表视图，命名为traffic-of-hosto[Quidway]aclnametraffic-of-hostbasic#定义源IP为的访问规则。[Quidway-acl-basic-traffic-of-host]rule1denyipsource0time-rangehuawei⑶激活ACLo#将traffic-of-host的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-hostb）高级访问控制列表配置案例.组网需求：公司企业网通过Switch的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为。要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。.配置步骤：⑴定义时间段#定义8:00至18:00的周期时间段。[Quidway]time-rangehuawei8:00to18:00working-day(2)定义到工资服务器的ACL#进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。[Quidway]aclnametraffic-of-payserveradvanced#定义研发部门到工资服务器的访问规则。[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestinationtime-rangehuawei⑶激活ACLO#将traffic-of-payserver的ACL激活。[Quidway-GigabitEthernet0/1]packet-filterinboundip-grouptraffic-of-payserver3,常见病毒的ACL创建aclaclnumber100禁pingruledenyicmpsourceanydestinationany用于控制Blaster蠕虫的传播ruledenyudpsourceanydestinationanydestination-porteq69ruledenytcpsourceanydestinationanydestination-porteq4444用于控制冲击波病毒的扫描和攻击ruledenytcpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteq135ruledenyudpsourceanydestinationanydestination-porteqnetbios-nsruledenyudpsourceanydestinationanydestination-porteqnetbios-dgmruledenytcpsourceanydestinationanydestination-porteq139ruledenyudpsourceanydestinationanydestination-porteq139ruledenytcpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq445ruledenyudpsourceanydestinationanydestination-porteq593ruledenytcpsourceanydestinationanydestination-porteq593用于控制振荡波的扫描和攻击ruledenytcpsourceanydestinationanydestination-porteq445ruledenytcpsourceanydestinationanydestination-porteq5554ruledenytcpsourceanydestinationanydestination-porteq9995ruledenytcpsourceanydestinationanydestination-porteq9996用于控制Worm_MSBlast.A蠕虫的传播ruledenyudpsourceanydestinationanydestination-porteq1434下面的不出名的病毒端口号（可以不作）ruledenytcpsourceanydestinationanydestination-porteq1068ruledenytcpsourceanydestinationanydestination-porteq5800ruledenytcpsourceanydestinationanydestination-porteq5900ruledenytcpsourceanydestinationanydestination-porteq10080ruledenytcpsourceanydestinationanydestination-porteq455ruledenyudpsourceanydestinationanydestination-porteq455ruledenytcpsourceanydestinationanydestination-porteq3208ruledenytcpsourceanydestinationanydestination-porteq1871ruledenytcpsourceanydestinationanydestination-porteq4510ruledenyudpsourceanydestinationanydestination-porteq4334ruledenytcpsourceanydestinationanydestination-porteq4331ruledenytcpsourceanydestinationanydestination-porteq4557然后下发配置packet-filterip-group100目的：针对目前网上出现的问题，对目的是端口号为1434的UDP报文进行过滤的配置方法，详细和复杂的配置请看配置手册。NE80的配置：NE80(config)#rule-mapr1udpanyanyeq1434//r1为role-map的名字，udp为关键字，anyany所有源、目的IP，eq为等于，1434为udp端口号NE80(config)#acla1r1deny//a1为acl的名字，r1为要绑定的rule-map的名字，NE80(config-if-Ethernet1/0/0)#access-groupacla1//在1/0/0接口上绑定acl，acl为关键字，a1为acl的名字NE16的配置：NE16-4(config)#firewallenableall〃首先启动防火墙NE16-4(config)#access-list101denyudpanyanyeq14341434为udp端口号//deny为禁止的关键字，针对udp报文，anyany为所有源、目的IP，eq为等于，NE16-4(config-if-Ethernet2/2/0)#ipaccess-group101in〃在接口上启用access-list,in表示进来的报文，也可以用out表示出去的报文中低端路由器的配置[Router]firewallenable[Router]acl101[Router-acl-101]ruledenyudpsourceanydestionanydestination-porteq1434[Router-Ethernet0]firewallpacket-filter1011434为udp端口号旧命令行配置如下：6506(config)#aclextendedaaadenyprotocoludpanyanyeq14346506(config-if-Ethernet5/0/1)#access-groupaaa国际化新命令行配置如下：[Quidway]aclnumber100[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway-acl-adv-100]quit[Quidway]interfaceethernet5/0/1[Quidway-Ethernet5/0/1]packet-filterinboundip-group100not-care-for-interface5516产品的配置：旧命令行配置如下：5516(config)#rule-map13aaaprotocol-typeudpingressanyegressanyeq14345516(config)#f1ow-actionfffdeny5516(config)#aclbbbaaafff5516(config)#access-groupbbb国际化新命令行配置如下：[Quidway]aclnum100[Quidway-acl-adv-100]ruledenyudpsourceanydestinationanydestination-porteq1434[Quidway]packet-filterip-group1003526产品的配置：旧命令行配置如下：rule-mapl3req1434flow-actionf1denyaclacl1r1f1access-groupacl1国际化新命令配置如下:aclnumber100rule0denyudpsource0source-porteq1434destination0packet-filterip-group101rule0注：3526产品只能配置外网对内网的过滤规则，其中是内网的地址段。8016产品的配置：旧命令行配置如下：8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#aclbbbaaadeny8016(config)#access-groupaclbbbvlan10portall国际化新命令行配置如下：8016(config)#rule-mapintervlanaaaudpanyanyeq14348016(config)#eaclbbbaaadeny8016(config)#access-groupeaclbbbvlan10portall防止同网段ARP欺骗的ACL一、组网需求：1.二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图：图1二层交换机防ARP攻击组网S3552P是三层设备，其中IP：是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。全局配置ACL禁止所有源IP是网关的ARP报文aclnum5000rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址的16进制表示形式。Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。在S3026C-A系统视图下发acl规则:[S3026C-A]packet-filteruser-group5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。三层交换机实现仿冒网关的ARP防攻击一、组网需求：1.三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备，需要配置过滤源IP是网关的ARP报文的ACL规则，配置如下ACL规则:aclnumber5000rule0deny0806ffff2464010105ffffffff40

rule0禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜体部分64010105是网关IP地址的16进制表示形式。2.下发ACL到全局[S3526E]packet-filteruser-group5000仿冒他人IP的ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项，因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤。二、组网图：参见图1和图2三、配置步骤：如图1所示，当PC-B发送源IP地址为PC-D的arpreply攻击报文，源mac是PC-B的mac(000d-88f8-09fa)，源ip是PC-D的ip()，目的ip和mac是网关(3552P)的，这样3552上就会学习到错误的arp，如下所示：错误arp表项IPAddressMACAddressVLANIDPortNameAgingType000d-88f8-09faEthernet0/220DynamicIPAddressMACAddressVLANIDPortNameAgingType000d-88f8-09faEthernet0/220Dynamic000f-3d81-45b4Ethernet0/220Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上，而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击：arpstatic000f-3d81-45b41e0/8在图2S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。对于二层设备（S3050C和S3026E系列），除了可以配置静态ARP外，还可以配置IP+MAC+port绑定，比如在S3026C端口E0/4上做如下操作：amuser-bindip-addrmac-addr000d-88f8-09fainte0/4则IP为并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口，仿冒其它设备的ARP报文则无法通过，从而不会出现错误ARP表项。四、配置关键点：此处仅仅列举了部分QuidwayS系列以太网交换机的应用。在实际的网络应用中，请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。5，关于ACL规则匹配的说明a）ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的，用户即使在定义ACL时配置了匹配顺序也不起作用。ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。b）ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL子规则的匹配顺序有两种：config（指定匹配该规则时按用户的配置顺序）和auto（指定匹配该规则时系统自动排序，即按“深度优先”的顺序）。这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。用户一旦指定某一条访问控制列表的匹配顺序，就不能再更改该顺序。只有把该列表中所有的规则全部删除后，才能重新指定其匹配顺序。ACL被软件引用的情况包括：路由策略引用ACL、对登录用户进行控制时引用ACL等。交换机配置（四）密码恢复说明：以下方法将删除原有config文件，使设备恢复到出厂配置。在设备重启时按Ctrl+B进入BOOTMENU之后，PressCtrl-BtoenterBootMenu...5Password:缺省为空，回车即可DownloadapplicationfiletoflashselectapplicationfiletobootDisplayallfilesinflashDeletefilefromFlashModifybootrompassword0.RebootEnteryourchoice(0-5):4选择4No.FileNameFileSize(bytes)—1S3026CGSSI.btm二2572242wnm222-0005.zip4478273snmpboots44*R0023P01.app29856915hostkey4286serverkey5727vrpcfg.txt1281FreeSpace:3452928bytesThecurrentapplicationfileisR0023P01.appPleaseinputthefilenumbertodelete:7选择7,删除当前的配置文件Doyouwanttodeletevrpcfg.txtnow?YesorNo(Y/N)yDeletefiledone!BOOTMENUDownloadapplicationfiletoflashselectapplicationfiletobootDisplayallfilesinflashDeletefilefromFlashModifybootrompassword0.RebootEnteryourchoice(0-5):0选择0,重启设备注：删除之后交换机就恢复了出厂配置。交换机配置(五)三层交换配置三层交换数据包转发流程图：三层交换机配置实例：服务器1双网卡，内网IP:,其它计算机通过其代理上网PORT1属于VLAN1PORT2属于VLAN2PORT3属于VLAN3VLAN1的机器可以正常上网配置VLAN2的计算机的网关为：54配置VLAN3的计算机的网关为：54即可实现VLAN间互联如果VLAN2和VLAN3的计算机要通过服务器1上网则需在三层交换机上配置默认路由系统视图下：iproute-static然后再在服务器1上配置回程路由进入命令提示符routeadd54routeadd54这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了三层交换机VLAN之间的通信VLAN的划分应与IP规划结合起来，使得一个VLAN接口IP就是对应的子网段就是某个部门的子网段，VLAN接口IP就是一个子网关。VLAN应以部门划分，相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围，同属于一个VLAN。这样不仅在安全上有益，而且更方便网络管理员的管理和监控。注意：各VLAN中的客户机的网关分别对应各VLAN的接口IP。在这企业网中计划规划四个VLAN子网对应着四个重要部门，笔者认为这也是小企业最普遍的部门结构，分别是：VLAN10——综合行政办公室；VLAN20——销售部；VLAN30——财务部；VLAN40——数据中心（网络中心）。划分VLAN以后，要为每一个VLAN配一个“虚拟接口IP地址”。VLAN10——VLAN20VLAN30——VLAN40——拓朴图如下：VLAN及路由配置

1.DES-3326SR三层交换机的VLAN的配置过程:(1)创建VLANDES-3326SR#Configvlandefaultdelete1-24删除默认VLAN（default）包含的端口1-24''DES-3326SR#CreatevlanDES-3326SR#Createvlanvlan10tag10DES-3326SR#Createvlanvlan20tag20DES-3326SR#Createvlanvlan30tag30DES-3326SR#Createvlanvlan40tag40（2）添加端口到各VLAN创建VLAN名为vlan10，并标记VID为10创建VLAN名为vlan20，并标记VID为20创建VLAN名为vlan10，并标记VID为30创建VLAN名为vlan10，并标记VID为40DES-3326SR#Configvlanvlan10adduntag1-6把端口1-6添加到VLAN10DES-3326SR#Configvlanvlan20adduntag7-12把端口1-6添加到VLAN20DES-3326SR#Configvlanvlan30adduntag13-18把端口1-6添加到VLAN30DES-3326SR#Configvlanvlan40adduntag19-24把端口1-6添加到VLAN40（3）创建VLAN接口IPDES-3326SR#Createipifif10/24VLAN10stateenabled创建虑拟的接口if10给名为VLAN10的VLAN子网，并且指定该接口的IP为/24。创建后enabled激活该接口。同样方法设置其它的接口IP：DES-3326SR#Createipifif20/24VLAN20stateenabledDES-3326SR#Createipifif30/24VLAN30stateenabledDES-3326SR#Createipifif40/24VLAN40stateenabled（4）路由当配置三层交换机的三层功能时，如果只是单台三层交换机，只需要配置各VLAN的虚拟接口就行，不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现，因此不需要静态路由或动态路由协议的配置。2.DES-3226S二层交换机的VLAN的配置过程：（1）创建VLANDES-3226S#Configvlandefaultdelete1-24删除默认VLAN（default）包含的端口1-24''DES-3226S#Createvlanvlan10tag10创建VLAN名为vlan10，并标记VID为10（2）添加端口到各VLANDES-3226S#Configvlanvlan10adduntag1-24把端口1-24添加到VLAN10同理，配置其它DES-3226S二层交换机。完成以后就可以将各个所属VLAN的二层交换机与DES-3326SR三层交换机的相应VLAN的端口连接即可。交换机配置（六）端口镜像配置【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法:方法一配置镜像（观测）端口[SwitchA]monitor-porte0/8配置被镜像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二可以一次性定义镜像和被镜像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8【8016交换机端口镜像配置】假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。[SwitchA]portmonitorethernet1/0/15设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像1.设置E1/0/15和E2/0/0为镜像（观测）端口[SwitchA]portmonitorethernet1/0/152.设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0『基于流镜像的数据流程』基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050】〖基于三层流的镜像〗定义一条扩展访问控制列表[SwitchA]aclnum101定义一条规则报文源地址为/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany定义一条规则报文源地址为所有源地址目的地址为/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination0将符合上述ACL规则的报文镜像到E0/8端口[SwitchA]mirrored-toip-group101interfacee0/8〖基于二层流的镜像〗1.定义一个ACL[SwitchA]aclnum200定义一个规则从E0/1发送至其它所有端口的数据包[SwitchA]rule0permitingressinterfaceEthernet0/1(egressinterfaceany)定义一个规则从其它所有端口到E0/1端口的数据包[SwitchA]rule1permit(ingressinterfaceany)egressinterfaceEthernet0/1将符合上述ACL的数据包镜像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516】支持对入端口流量进行镜像配置端口Ethernet3/0/1为监测端口，对Ethernet3/0/2端口的入流量镜像。[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1【6506/6503/6506R】目前该三款产品只支持对入端口流量进行镜像，虽然有outbount参数，但是无法配置。镜像组名为1，监测端口为Ethernet4/0/2，端口Ethernet4/0/1的入流量被镜像。[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/2【补充说明】镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现8016支持跨单板端口镜像华为各种型号交换机端口镜像配置方法总结有不少朋友在问华为交换机镜像方面的问题。通过本人现有的资料和文档，现把各种型号的交换机镜像方法总结一下。以便各位朋友能够方便查阅！在学配置之前，对于端口镜像的基本概念还是要一定的了解！一、端口镜像概念：PortMirror（端口镜像）是用于进行网络性能监测。可以这样理解：在端口A和端口B之间建立镜像关系，这样，通过端口A传输的数据将同时复制到端口B，以便于在端口B上连接的分析仪或者分析软件进行性能分析或故障判断。二、端口镜像配置『环境配置参数』PC1接在交换机E0/1端口，IP地址/24PC2接在交换机E0/2端口，IP地址/24E0/24为交换机上行端口Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。按照镜像的不同方式进行配置：1）基于端口的镜像2）基于流的镜像2数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一配置镜像（观测）端口[SwitchA]monitor-porte0/8配置被镜像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二可以一次性定义镜像和被镜像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8【8016交换机端口镜像配置】假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。[SwitchA]portmonitorethernet1/0/15设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像设置E1/0/15和E2/0/0为镜像（观测）端口[SwitchA]portmonitorethernet1/0/15设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0『基于流镜像的数据流程』基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050】〖基于三层流的镜像〗定义一条扩展访问控制列表[SwitchA]aclnum100定义一条规则报文源地址为/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany定义一条规则报文源地址为所有源地址目的地址为/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination0将符合上述ACL规则的报文镜像到E0/8端口[SwitchA]mirrored-toip-group100interfacee0/8〖基于二层流的镜像〗定义一个ACL[SwitchA]aclnum200定义一个规则从E0/1发送至其它所有端口的数据包[SwitchA]rule0permitingressinterfaceEthernet0/1egressinterfaceEthernet0/2定义一个规则从其它所有端口到E0/1端口的数据包[SwitchA]rule1permitingressinterfaceEthernet0/2egressinterfaceEthernet0/1

4.将符合上述ACL的数据包镜像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516/6506/6503/6506R】目前该三款产品支持对入端口流量进行镜像定义镜像端口[SwitchA]monitor-portEthernet3/0/2定义被镜像端口[SwitchA]mirroring-portEthernet3/0/1inbound【补充说明】镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现8016支持跨单板端口镜像端口镜像配置『环境配置参数』交换机配置（七）DHCP配置1，交换机作DHCPServer『配置环境参数』1.PC1、PC2的网卡均采用动态获取IP地址的方式

PC1连接到交换机的以太网端口0/1,属于VLAN10；PC2连接到交换机的以太网端口0/2,属于VLAN20三层交换机SwitchA的VLAN接口10地址为/24,VLAN接口20地址为/24『组网需求』1.PC1可以动态获取/24网段地址，并且网关地址为；PC2可以动态获取/24网段地址，并且网关地址为『DHCPServer配置流程流程』可以完成对直接连接到三层交换机的PC机分配IP地址，也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址。1.PC1、PC2的网卡均采用动态获取IP地址的方式分配地址的方式可以采用接口方式，或者全局地址池方式。【SwitchA采用接口方式分配地址相关配置】创建（进入）VLAN10[SwitchA]vlan10将E0/1加入到VLAN10[SwitchA-vlan10]portEthernet0/1创建（进入）VLAN接口10[SwitchA]interfaceVlan-interface104.为VLAN接口10配置IP地址[SwitchA-Vlan-interfacelO]ipaddress在VLAN接口10上选择接口方式分配IP地址[SwitchA-Vlan-interfacelO]dhcpselectinterface禁止将PC机的网关地址分配给用户[SwitchA]dhcpserverforbidden-ip[SwitchA采用全局地址池方式分配地址相关配置】创建（进入）VLAN10[SwitchA]vlan10将E0/1加入到VLAN10[SwitchA-vlan10]portEthernet0/1创建（进入）VLAN接口10[SwitchA]interfaceVlan-interface10为VLAN接口10配置IP地址[SwitchA-Vlan-interfacelO]ipaddress在VLAN接口10上选择全局地址池方式分配IP地址[SwitchA-Vlan-interfacelO]dhcpselectglobal6.创建全局地址池，并命名为”vlan10[SwitchA]dhcpserverip-poolvlan10配置vlan10地址池给用户分配的地址范围以及用户的网关地址[SwitchA-dhcp-vlan10]networkmask[SwitchA-dhcp-vlan10]gateway-list禁止将PC机的网关地址分配给用户[SwitchA]dhcpserverforbidden-ip【补充说明】以上配置以VLAN10的为例，VLAN20的配置参照VLAN10的配置即可。在采用全局地址池方式时，需新建一个与”vlan10”不同名的全局地址池。经过以上配置，可以完成为PC1分配的IP地址为/24,同时PC1的网关地址为；为PC2分配的IP地址为/24,同时PC2的网关地址为。VLAN接口默认情况下以全局地址池方式进行地址分配，因此当VLAN接口配置了以全局地址池方式进行地址分配后，查看交换机当前配置时，在相应的VLAN接口下无法看到有关DHCP的配置。利用全局地址池方式，可以完成为用户分配与三层交换机本身VLAN接口地址不同网段的IP地址。2，DHCPRelay配置『配置环境参数』DHCPServer的IP地址为0/24DHCPServer连接在交换机的G1/1端口，属于vlan100，网关即交换机vlan接口100的地址/24E0/1-E0/10属于vlan10，网段地址/24E0/11-E0/20属于vlan20，网段地址/24『组网需求』在SwitchA上配置DHCPRelay使下面用户动态获取指定的相应网段的IP地址PC1、PC2均可以ping通自己的网关，同时PC1、PC2之间可以互访『交换机DHCPRelay配置流程』DHCPRelay的作用则是为了适应客户端和服务器不在同一网段的情况，通过Relay，不同子网的用户可以到同一个DHCPServer申请IP地址，这样便于地址池的管理和维护。【SwitchA相关配置】全局使能DHCP功能（缺省情况下，DHCP功能处于使能状态）[SwitchA]dhcpenable创建（进入）VLAN100[SwitchA]vlan1003.将G1/1加入到VLAN100[SwitchA-vlan100]portGigabitEthernet1/1创建（进入）VLAN接口100[SwitchA]interfaceVlan-interface100为VLAN接口100配置IP地址[SwitchA-Vlan-interfacelOO]ipaddress创建（进入）VLAN10[SwitchA]vlan10将E0/1-E0/10加入到VLAN10[SwitchA-vlan10]portEthernet0/1toEthernet0/10创建（进入）VLAN接口10[SwitchA]interfaceVlan-interface10为VLAN接口10配置IP地址[SwitchA-Vlan-interfacelO]ipaddress使能VLAN接口10的DHCP中继功能[SwitchA-Vlan-interfacelO]dhcpselectrelay11.为VLAN接口10配置DHCP服务器的地址[SwitchA-Vlan-interfacelO]iprelayaddress0创建（进入）VLAN20[SwitchA-vlanlO]vlan20将E0/11-E0/20加入到VLAN20[SwitchA-vlan20]portEthernet0/11toEthernet0/20创建（进入）VLAN接口20[SwitchA]interfaceVlan-interface20为VLAN接口20配置IP地址[SwitchA-Vlan-interface20]ipaddress使能VLAN接口20的DHCP中继功能[SwitchA-Vlan-interface20]dhcpselectrelay为VLAN接口20配置DHCP服务器的地址[SwitchA-Vlan-interface20]iprelayaddress0【补充说明】也可以在全局配置模式下，使能某个或某些VLAN接口上的DHCP中继功能，例如：[SwitchA]dhcpselectrelayinterfaceVlan-interface103,DHCPSnooping『配置环境参数』DHCPServer连接在交换机SwitchA的G1/1端口，属于vlan10,IP地址为53/24端口E0/1和E0/2同属于vlan10『组网需求』PC1、PC2均可以从指定DHCPServer获取到IP地址防止其他非法的DHCPServer影响网络中的主机『交换机DHCP-Snooping配置流程』当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文，而不信任端口会将接收到的DHCPOffer报文丢弃。这样，可以完成交换机对假冒DHCPServer的屏蔽作用，确保客户端从合法的DHCPServer获取IP地址。【SwitchA相关配置】1.创建（进入）VLAN10[SwitchA]vlan102.将端口E0/1、E0/2和G1/1加入到VLAN10[SwitchA-vlan10]portEthernet0/1Ethernet0/2GigabitEthernet1/1全局使能dhcp-snooping功能[SwitchA]dhcp-snooping将端口G1/1配置为trust端口，[SwitchA-GigabitEthernet1/1]dhcp-snoopingtrust【补充说明】由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文一一”dhcpoffer”报文，由G1/1端口进入SwitchA并进行转发，因此需要将端口G1/1配置为”trust”端口。如果SwitchA上行接口配置为Trunk端口，并且连接到DHCP中继设备，也需要将上行端口配置为”trust”端口。2.交换机配置（八）配置文件管理（1）文件常用操作1，命令displaycurrent-configuration:查看以太网交换机的当前配置2，命令displaysaved-configuration:查看以太网交换机的启动配置3，命令resetsaved-configuration:擦除FlashMemory中的配置文件，以太网交换机下次上电时，系统将采用缺省的配置参数进行初始化。（2）FTP文件上传与下载组网需求交换机作为FTPServer，远端的PC作为FTPClient。在FTPServer上作了如下配置：配置了一个FTP用户名为switch,密码为hello,对该用户授权了交换机上Flash根目录的读写权限。交换机上的一个VLAN接口的IP地址为，PC的IP地址为,交换机和PC之间路由可达。交换机的应用程序switch.app保存在PC上。PC通过FTP向远端的交换机上传switch.app，同时将交换机的配置文件vrpcfg.txt下载到PC实现配置文件的备份。组网图（略）配置步骤1）交换机上的配置#用户登录到交换机上。（用户可以在本地通过Console口登录到交换机上，也可以通过telnet远程登录到交换机上。各种登录方式请参见入门模块的描述。）#在交换机上开启FTP服务，设置好用户名、密码和路径：[Quidway]ftpserverenable[Quidway]local-userswitch[Quidway-luser-switch]service-typeftpftp-directoryflash:[Quidway-luser-switch]passwordsimplehello2）在PC上运行FTPClient程序，同交换机建立FTP连接，同时通过上载操作把交换机的应用程序switch.app上载到交换机的Flash根目录下，同时从交换机上下载配置文件vrpcfg.txtoFTPClient应用程序由用户自己购买、安装，Quidway系列交换机不附带此软件。注意：如果交换机的Flashmemory空间不够大，请删除Flash中原有的应用程序然后再上载新的应用程序到交换机Flash中。3）在上载完毕后，用户在交换机上进行升级操作。#用户可以通过命令bootboot-loader来指定下载的程序为下次启动时的应用程序，然后重启交换机，实现交换机应用程序的升级。bootboot-loaderswitch.appreboot（3）TFTP文件上传与下载组网需求交换机作为TFTPClient，PC作为TFTPServer，在TFTPServer上配置了TFTP的工作路径。交换机上的一个VLAN接口的IP地址为，交换机和PC相连的端口属于该VLAN，PC的IP地址为。交换机的应用程序switch.app保存在PC上。交换机通过TFTP从TFTPServer上下载switch.app，同时将交换机的配置文件vrpcfg.txt上传到TFTPServer的工作目录实现配置文件的备份。组网图（略）配置步骤1）在PC上启动了TFTPServer,配置TFTPServer的工作目录。2）交换机上的配置#用户登录到交换机上。（用户可以在本地通过Console口登录到交换机上，也可以通过telnet远程登录到交换机上。各种登录方式请参见入门模块的描述。）注意：如果交换机的Flashmemory空间不够大，请删除Flash中原有的应用程序然后再下载新的应用程序到交换机的Flash中。#进入系统视图。system-view[Quidway]#配置VLAN接口的IP地址为，同时保证与PC相连的端口属于这个VLAN。（本例中以VLAN1为例。）[Quidway]interfacevlan1[Quidway-vlan-interface1]ipaddress[Quidway-vlan-interface1]quit#将交换机的应用程序switch.app从TFTPServer下载到交换机。[Quidway]tftpget///switch.appswitch.app#将交换机的配置文件vrpcfg.txt上传到TFTPServer。[Quidway]tftpputvrpcfg.txt///vrpcfg.txt#执行quit命令退回到用户视图下。[Quidway]quit#用户可以通过命令bootboot-loader来指定下载的程序为下次启动时的应用程序，然后重启交换机，实现交换机应用程序的升级。bootboot-loaderswitch.appreboot交换机配置（九）远程管理配置1，WEB方式『WEB方式远程管理交换机配置流程』首先必备条件要保证PC可以与SwitchB通信，比如PC可以ping通SwitchB。如果想通过WEB方式管理交换机，必须首先将一个用于支持WEB管理的文件载入交换机的flash中，该文件需要与交换机当前使用的软件版本相配套。WEB管理文件的扩展名为”tar”或者”zip”，可以从网站上下载相应的交换机软件版本时得到。需要在交换机上添加WEB管理使用的用户名及密码，该用户的类型为telnet类型，而且权限为最高级别3。注意，在将WEB管理文件载入交换机flash时，不要将文件进行解压缩，只需将完整的文件载入交换机即可向交换机flash载入WEB管理文件的方法，请参考本配置实例中交换机的系统管理配置章节）。查看交换机flash里面的文件（保证WEB管理文件已经在交换机flash中）dir/allDirectoryofflash:/-rwxrwx1noonenogroup442797Apr02200013:09:50wnm-xxx.zip添加WEB管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为”wnm”[SwitchB]local-userhuawei[SwitchB-luser-huawei]service-typetelnetlevel3[SwitchB-luser-huawei]passwordsimplewnm配置交换机管理地址[SwitchB]interfacevlan100[SwitchB-Vlan-interface100]ipaddr对HTTP访问用户的控制（Option）[SwitchB]iphttpaclacl_num/acl_name相关学习帖：[url]/viewthread.php?tid=401882&fpage=1&highlight=web[/url][TELNET密码验证配置】只需输入password即可登陆交换机。进入用户界面视图[SwitchA]user-interfacevty04设置认证方式为密码验证方式[SwitchA-ui-vty0-4]authentication-modepassword设置登陆验证的password为明文密码”huawei”[SwitchA-ui-vty0-4]setauthenticationpasswordsimplehuawei配置登陆用户的级别为最高级别3（缺省为级别1）[SwitchA-ui-vty0-4]userprivilegelevel3或者在交换机上增加superpassword（缺省情况下，从VTY用户界面登录后的级别为1级，无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后，需输入superpassword改变自己的级别）例如，配置级别3用户的superpassword为明文密码”super3”[SwitchA]superpasswordlevel3simplesuper3[TELNET本地用户名和密码验证配置】需要输入username和password才可以登陆交换机。1.进入用户界面视图[SwitchA]user-interfacevty04配置本地或远端用户名和口令认证[SwitchA-ui-vty0-4]authentication-modescheme配置本地TELNET用户，用户名为”huawei”，密码为”huawei”，权限为最高级别3（缺省为级别1）[SwitchA]local-userhuawei[SwitchA-user-huawei]passwordsimplehuawei[SwitchA-user-huawei]service-typetelnetlevel3在交换机上增加superpassword[SwitchA]superpasswordlevel3simplesuper3[TELNETRADIUS验证配置】以使用华为3Com公司开发的CAMS作为RADIUS服务器为例进入用户界面视图[SwitchA]user-interfacevty04配置远端用户名和口令认证[SwitchA-ui-vtyO-4]authentication-modescheme配置RADIUS认证方案，名为"cams”[SwitchA]radiusschemecams配置RADIUS认证服务器地址1[SwitchA-radius-cams]primaryauthentication11812配置交换机与认证服务器的验证口令为”huawei”[SwitchA-radius-cams]keyauthenticationhuawei送往RADIUS的报文不带域名[SwitchA-radius-cams]user-name-formatwithout-domain创建（进入）一个域，名为"huawei”[SwitchA]domainhuawei在域"huawei”中引用名为"cams”的认证方案[SwitchA-isp-huawei]radius-schemecams将域"huawei”配置为缺省域[SwitchA]domaindefaultenablehuawei[TELNET访问控制配置】1.配置访问控制规则只允许/24网段登录[SwitchA]aclnumber2000[SwitchA-acl-basic-2000]ruledenysourceany[SwitchA-acl-basic-2000]rulepermitsource552.配置只允许符合ACL2000的IP地址登录交换机[SwitchA-ui-vty0-4]acl2000inbound相关学习帖：1.[url]/viewthread.php?tid=349090&fpage=1&highlight=telnet[/url]3，SSH方式组网需求配置终端（SSHClient）与以太网交换机建立本地连接。终端采用SSH协议进行登录到交换机上，以保证数据信息交换的安全。组网图（略）配置步骤（SSH认证方式为口令认证）[Quidway]rsalocal-key-paircreate&说明：如果此前已完成生成本地密钥对的配置，可以略过此项操作。[Quidway]user-interfacevty04[Quidway-ui-vty0-4]authentication-modescheme[Quidway-ui-vty0-4]protocolinboundssh[Quidway]local-userclient001[Quidway-luser-client001]passwordsimplehuawei[Quidway-luser-client001]service-typessh[Quidway]sshuserclient001authentication-typepasswor