华为交换机接口配置管理教程（三）

华为交换机接口配置管理教程（三）

华为交换机接口配置管理教程（二） https://www.wlgly.net/post-160.html

六、光接口属性配置

1、配置XGE接口LAN/WAN模式

XGE以太网接口根据其物理特性，可以分为两种工作模式：

LAN模式：工作在该模式下的XGE接口传输以太网报文，用于连接以太网。交换机LAN模式XGE接口工作速率一般最大为10000Mbit/s。

WAN模式：工作在该模式下的XGE接口传输SONET（Synchronous Optical Network）/SDH（Synchronous Digital Hierarchy）帧，用于上行连接SONET/SDH网络，上游设备可以为交换机或光网络传输设备。工作在该模式下的接口使用SONET/SDH物理层传输标准，提供一种高可靠性的点到点数据连接。交换机WAN模式XGE接口工作速率遵循OC-192/STM-64（9553Mbit/s）标准，数据传输速率一般固定为9553Mbit/s。
 

图4 XGE接口WAN模式组网图

如上图4所示，SwitchA接口XGE1/0/1工作在WAN模式，通过SONET/SDH网络与SwitchB接口XGE1/0/2连接。工作在WAN模式的XGE1/0/1接口将太网报文封装成SONET/SDH帧，接入SONET/SDH网络。

操作步骤

1、执行命令system-view，进入系统视图。

2、执行命令interface xgigabitethernet interface-number，进入XGE接口视图。

3、执行命令set port-work-mode{lan|wan}，配置接口工作模式。

缺省情况下，XGE以太网接口工作在LAN模式。

 

2、配置40GE接口和10GE接口的拆分与合并

设备支持的部分40GE光接口既可以作为一个单独的接口，又可以拆分成四个10GE接口。这样40GE接口板可以作为高密度万兆接口板使用，用户只需购买一块40GE接口板就可以实现和对端的40GE接口或10GE接口对接，从而增加组网灵活性，减少用户购置成本。

单个40GE接口拆分成四个10GE接口后，原来的40GE接口不存在。拆分出来的10GE接口除了接口编号方式与普通的10GE光接口有差别之外，支持的配置和特性均和普通10GE光接口相同。
 

图5 40GE接口拆分后与对端的10GE接口连接示例图

如上图5所示，40GE接口拆分后需要使用一分四的专用线缆与对端设备的10GE接口连接。如果相连的对端接口也是一个拆分后的40GE接口，那么两端的接口可以插入同样的普通40GE光模块QSFP+(Quad Small Form-factor Pluggable)并且用一根光纤连接，不使用一分四专用线缆。

拆分或合并操作后需保存配置重启单板以使配置生效。拆分或合并之后，原接口模式下的配置丢失，请仔细确认后操作。

将一个40GE接口拆分成四个10GE接口，缺省情况下，40GE接口作为一个接口使用，不拆分。

1、执行命令system-view，进入系统视图。

2、执行命令interface 40ge interface-number，进入40GE接口视图。

3、执行命令port split，将一个40GE接口拆分成为四个10GE接口。

将四个10GE拆分接口合并成一个40GE接口

1、执行命令system-view，进入系统视图。

2、执行命令interface xgigabitethernet interface-number，进入任意一个因拆分生成的10GE接口视图。

3、执行命令undo port split，将四个10GE拆分接口合并成一个40GE接口。

用户只需要进入拆分后的四个10GE接口中的任意一个接口视图配置该命令接口即可实现四个10GE接口合并成一个40GE接口，不需要在这四个拆分接口分别配置。

 

3、配置接口单纤单向通信

在网络管理和维护中，管理员可以将用户的流量发送到指定服务器进行分析、记录和处理。如果服务器不仅可以接收报文，还可以对外发送报文，将可能造成分析报文外传，降低了数据的安全性。

通过配置单纤单向通信功能可以解决这一问题。“单纤”是指光模块之间只通过一根光纤连接，“单向”是指报文只能由发送端向接收端发送报文，无法反向发送。该功能可以实现交换机只发送报文，无法接收报文；分析服务器只接收报文，无法发送报文，从而保证了分析服务器的数据安全。

光模块一般包含发送端（TX）和接收端（RX）。光接口对接时需要使用两根光纤将一端光模块TX端与另一端RX连接，一端光模块RX端与另一端TX连接。设备分别通过两根独立光纤进行报文的发送和接收。接口未使能单纤通信功能时，如果光接口之间仅连接一根光纤，设备之间将无法通信。

配置单纤单向通信功能后，设备之间可实现单向通信功能。
 

图6 单纤单向通信组网图

如上图6所示，SwitchA通过接口XGE2/0/1与上游分流设备连接，上游分流设备分过来的流量从接口XGE2/0/1进入SwitchA。SwitchA上接口XGE2/0/2作为报文发送端，对端报文分析服务器的光接口作为报文接收端。接口XGE2/0/2上配置单纤单向通信功能后，管理员仅需要通过一根光纤将接口XGE2/0/2的光模块发送端TX和报文分析服务器接口的光模块接收端RX相连后，接口XGE2/0/2就可以支持通过单根光纤向分析服务器发送报文，分析服务器也可以通过该光纤接收报文。由于分析服务器对外发送报文的TX端没有连接光纤，对外发送报文将无法实现，从而保证了分析服务器的数据安全。

配置接口单纤单向通信对端设备接口要求工作在非自协商模式，且与本端设备配置的速率相同。操作步骤：

1、执行命令system-view，进入系统视图。

2、执行命令interface interface-type interface-number，进入接口视图。

3、执行命令undo negotiation auto，配置接口工作在非自协商模式下，即强制模式。缺省情况下，以太网接口处于自协商模式。

5、执行命令single-fiber enable，配置单纤单向通信。缺省情况下，未使能单纤单向通信。

 

4、配置光功率低触发Error-down

以太网光接口的光功率降低时，会出现业务丢包等故障。由于接口仍处于Up状态，因此即使该以太网光接口配置了备份链路，业务也无法及时切换到备份链路。为了不影响业务的正常运行，可配置接口光功率低触发Error-down功能，当接口光功率低于设置的告警下限阈值时，系统将该接口关闭，记录为ERROR DOWN(transceiver-power-low)状态（即由于光功率低于告警下限阈值导致接口处于Down状态），这样业务就可以及时切换到备份链路。

操作步骤

1、执行命令system-view，进入系统视图。

2、执行命令interface interface-type interface-number，进入接口视图。

3、执行命令set transceiver{transmit-power|receive-power}{upper-threshold|lower-threshold}threshold，配置光模块光功率的告警阈值。缺省情况下，光功率的告警阈值缺省值与光模块有关，不同的光模块光功率的告警阈值缺省值不同。

4、执行命令transceiver power low trigger error-down，设置接口由于光功率低触发Error-down功能。缺省情况下，系统未使能以太光接口由于光功率低触发Error-down功能。

5、接口Error-down后可以通过手动恢复或配置自动恢复。

 

七、光电接口属性配置

1、配置接口MDI类型

连接以太网设备的双绞线（网线）有两种：直通网线，用于连接不同类型设备，比如连接交换机和PC、交换机和路由器等；交叉网线，用于连接同种类型设备，比如连接交换机和交换机、路由器和路由器、PC和PC等。

通常说来，使用双绞线互连的两个端口必须将本端的接收线连接到对端的发送线，本端的发送连接到对端的接收线，这样才能使得链路连通。由于双绞线存在直连和交叉两种不同的线序，为了使以太网电接口均支持使用这两种线缆，就必须支持收发引脚的协商和翻转。

华为交换机实现了三种介质相关接口MDI（Medium Dependent Interface）模式：auto、normal和across。

通常情况下，链路两端接口均使用auto模式时，无论连接网线是直通网线还是交叉网线，均可以正常通信；只有当设备不能获取网线类型参数时，才需要将模式手工设置为across或normal。手工设置MDI模式方法如下：

使用直通网线时，设备两端应该配置不同的参数（如一端为across，另一端为normal）。使用交叉网线时，设备两端应该配置相同的参数（如同时为across或normal，或者至少有一端是auto）。

电接口均支持此配置。光接口插入GE光电模块后支持配置该命令。

1、执行命令system-view，进入系统视图。

2、执行命令interface interface-type interface-number，进入以太网接口视图。

3、执行命令mdi{across|auto|normal}，配置以太网接口MDI类型。

缺省情况下，以太网接口MDI类型为auto，即自动识别所连接网线的类型。

2、配置端口保护

配置端口保护功能，实现主备接口的备份，以保证业务的无中断传输。

现网中，主机一般使用缺省网关与外部网络联系，如果缺省网关出接口发生故障，主机与外部网络的通信将被中断，无法保证业务的正常传输，设备可靠性差。

端口保护功能很好的解决了这个问题。在不改变组网的情况下，将设备上的两个接口组成一个端口保护组，实现主备接口的备份。当主用接口出现异常时，业务及时切换到备用接口上，以保证业务的无中断传输。
 

图7 端口保护组网图

如上图7所示，SwitchA上配置的端口保护组中包含了一个主用接口GE1/0/1和一个备用接口GE1/0/2。在正常工作状态下，主用接口GE1/0/1承载业务数据传输。当主用接口发生故障，状态变为Down时，系统将自动切换业务到备用接口GE1/0/2上，以保证业务的正常传送，提高设备的可靠性。

当备用接口GE1/0/2承载业务后，如果主用接口GE1/0/1恢复正常，业务也不会回切到接口GE1/0/1，只有当备用接口GE1/0/2故障时，才会切换到主用接口GE1/0/1。

操作步骤

1、执行命令system-view，进入系统视图。

2、执行命令port protect-group protect-group-index，创建并进入端口保护组视图。

3、执行命令protect-group member interface-type interface-number master，配置端口保护组中的主用接口。

4、执行命令protect-group member interface-type interface-number standby，配置端口保护组中的备用接口。

一个端口保护组只能包含一个主用接口和一个备用接口。为提高端口保护组中接口的业务切换性能，确保主用接口链路发生故障时，系统可立即切换业务到备用接口，用户需要在主用接口和备用接口均执行命令carrier{up-hold-time|down-hold-time}interval，配置接口上报状态变化事件的延时时间均为0毫秒。

3、配置端口隔离

端口隔离可实现同一VLAN内端口之间的隔离，为用户提供了更安全、更灵活的组网方案。

为了实现报文之间的二层隔离，用户可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
 

图8 端口隔离示例组网图

端口隔离的方法和应用场景如上图8所示。

PC1、PC2和PC3同属于VLAN10，将PC1与PC2对应的端口GE1/0/1和GE1/0/2加入端口隔离组后，PC1与PC2在VLAN10内不能互相访问，但是PC3与PC1之间可以互相访问，PC3与PC2之间也可以互相访问。

配置端口隔离组：

1、执行命令system-view，进入系统视图。

2、（可选）执行命令port-isolate mode { l2 | all }，配置端口隔离模式。缺省情况下，端口隔离模式为二层隔离三层互通。

3、执行命令interface interface-type interface-number，进入以太网接口视图。

4、执行命令port-isolate enable [ group group-id ]，使能端口隔离功能。

缺省情况下，未使能端口隔离功能。端口隔离只是针对同一设备上的端口隔离组成员，对于不同设备上的接口而言，无法实现该功能。同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。如果不指定group-id参数时，默认加入的端口隔离组为1。

现网中可能存在如下情况时，还可以配置端口单向隔离功能。接入同一个设备不同接口的多台主机，若某台主机存在安全隐患，可能会向其他主机发送大量的广播报文。用户可以通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。
 

图9 端口隔离示例组网图

如上图9所示，假设PC4存在安全隐患，会向其他主机发送大量广播报文，可以仅在PC4对应设备接口GE1/0/4上配置与GE1/0/5、GE1/0/6配置单向隔离，这样PC4发送的广播报文不能到达PC5、PC6，但从PC5、PC6发送的广播报文可以到达PC4。

操作步骤

1、执行命令system-view，进入系统视图。

2、（可选）执行命令port-isolate mode { l2 | all }，配置端口隔离模式。缺省情况下，端口隔离模式为二层隔离三层互通。

3、执行命令interface interface-type interface-number，进入以太网接口视图。

4、执行命令am isolate {interface-type interface-number }&<1-8> ，配置端口单向隔离。

在接口A上配置与接口B之间单向隔离后，接口A发送的报文不能到达接口B，但从接口B发送的报文可以到达接口A。

同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。为了实现不同端口隔离组的接口之间的隔离，可以通过配置接口之间的单向隔离来实现。

当您为了减少维护量和降低操作的复杂度，可以在系统视图下执行clear configuration port-isolate命令一键式清除设备上所有的端口隔离配置。

注意端口隔离与mux vlan 的区别

 

八、逻辑接口属性配置

1、配置以太网子接口

属于不同VLAN且位于不同网段的用户，可通过部署子接口，通过三层网络实现VLAN间通信。

1、进入子接口

[Huawei]interface GigabitEthernet 0/0/1.1

[Huawei-GigabitEthernet0/0/1.1]

2、配置IP地址

[Huawei-GigabitEthernet0/0/1.1]ip address 192.168.1.1 24

3、终结报文功能

终结只有一层VLAN Tag报文

[Huawei-GigabitEthernet0/0/1.1]dot1q termination vid 2

终结有二层VLAN  tag报文（qinq）

[Huawei-GigabitEthernet0/0/2.1]qinq termination pe-vid 2 ce-vid 5

4、打开子接口的ARP广播功能

[Huawei-GigabitEthernet0/0/2.1]arp broadcast enable

默认情况下，终结子接口不能转发ARP广播报文，在收到ARP广播报文后直接丢弃，这样一来就无法实现子接口上的三层转发功能。

2、配置Eth-Trunk子接口

可以在一条eth-trunk链路创建多个子接口，分成多条虚拟链路（在物理端口不够用又需要链路冗余的时候）。

      

                  图10 Eth-Trunk子接口示例图

如上图10，当二层网络中的交换设备划分到不同的VLAN中，为了保证不同VLAN间的用户正常通信，需要在三层设备与二层设备相连的Eth-Trunk接口上创建子接口与下游用户的VLAN分别对应，并在子接口上配置IP地址。

在Eth-Trunk子接口上封装802.1Q并关联VLAN后，VLAN可以通过Eth-Trunk子接口与VLAN外的设备通信。Eth-Trunk子接口也应用于Dot1q终结、QinQ终结等场合。使用二层Eth-Trunk子接口后，Eth-Trunk主接口上运行二层功能，二层Eth-Trunk子接口上运行三层功能。

配置步骤：

1、创建对应子接口

[Huawei]interface Eth-Trunk 1.1

2、设置IP地址

3、设置对报文的终结功能

4、使能arp广播功能

（同上）

3、配置Loopback接口

Loopback接口创建后一直保持UP状态，用户可通过配置Loopback接口达到提高网络可靠性的目的。Loopback接口具有以下特点：

1、Loopback接口创建后将一直保持UP状态，并具有环回特性。

2、Loopback接口可以配置掩码为全1的IP地址。

基于上述特点，Loopback接口通常有以下几种主要应用：

1、将Loopback接口的IP地址指定为报文的源地址，可以提高网络可靠性。

2、在一些动态路由协议中，当没有配置Router ID时，将选取所有Loopback接口上数值最大的IP作为Router ID。

3、在BGP（Border Gateway Protocol）协议中，将发送BGP报文的源接口配置成Loopback接口可以保证BGP会话不受物理接口故障的影响。

4、Loopback接口可以配置掩码为全1的IP地址，从而可以节约IP地址。

5、Loopback接口可以配置IPv4地址，可以用于绑定VPN实例、对源IPv4地址进行校验。

Loopback接口配置步骤

1、进入loopback接口

[Huawei]interface LoopBack0

[Huawei-LoopBack0]

2、配置IP地址

[Huawei-LoopBack0]ip address 192.168.1.1 24 sub

3、检验源地址报文是否合法

[Huawei-LoopBack0]ip verify source-addres

非法源地址有：1、全0或全1的地址；2、组播地址（D类地址）；3、E类地址；4、非本机产生的环回地址（127.x.x.x.）；5、ABC类广播地址；6、与入接口地址在同一网段的子网广播地址

4、配置NULL接口

NULL接口由系统自动创建，创建后一直保持UP状态但不转发报文。用户可通过NULL接口进行报文过滤。

系统会自动创建一个NULL0接口。NULL0接口一直处于UP状态，但是不能转发数据包，任何发送到该接口的网络数据报文都会被丢弃。

如果在静态路由中指定到达某一网段的下一跳为NULL0接口，则任何发送到该网段的数据报文都会被丢弃，因此可以将需要过滤掉的报文直接发送到NULL0接口而不必配置访问控制列表。

例如，使用如下的静态路由配置命令丢弃所有去往网段192.168.0.0/24的报文：

[HUAWEI] ip route-static 192.168.0.0 255.255.0.0 NULL 0

操作步骤

1、执行命令system-view，进入系统视图。

2、执行命令interface null 0，进入NULL接口视图。

NULL接口一直处于UP状态，但不能转发数据包，也不能配置IP地址或封装其他协议。

 

（完）