H3C交换机的常用配置命令备忘

划分VLAN

vlan 100

将端口添加到VLAN
int gi1/0/1
port access vlan 100

VLAN添加IP地址
int vlan 201
ip address 192.168.201.1

缺省路由

ip route-static 0.0.0.0 0.0.0.0 gateway_addr

ACL限制两个VLAN之间的通讯（禁止203网段的数据访问201中的服务器)
acl advanced 3000
rule 100 deny ip source 192.168.203.0 0.0.0.255 destination 192.168.201.0 0.0.0.255

int vlan 201
packet-filter 3000 inbound
packet-filter 3000 outbound

IP地址与MAC绑定
user-bind ip-address xx.xx.xx.xx mac-address xxxx.xxxx.xxxx.xxxx

端口限速(取值为速率限制级别)
line-rate inbound 16
line-rate outbound 30

防环路
[H3C]loopback-detection enable #全局开启环路检测
[H3C]loopback-detection interval-time 5 #环路检测时间为5s
[H3C-GigabitEthernet1/0/1]loopback-detection enable #启用端口环路检测
[H3C-GigabitEthernet1/0/1]loopback-detection shutdown enable #发现环路关闭端口

防止同网段ARP攻击

一、阻止仿冒网关IP的arp攻击
网关 ip:100.1.1.1(64010101)，MAC：000f-e200-3999

1、二层交换机
（1）全局配置deny 所有源IP是网关的arp报文（自定义规则）
ACL num 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40 #禁掉冒充网关的ARP报文
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34 #允许通过上行口的网关ARP报文
packet-filter user-group 5000

2、三层交换机
对于三层设备，需要配置过滤源IP是网关的arp报文的acl规则，配置如下acl规则：
ACL num 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40

二、过滤仿冒他人IP的arp攻击

1、配置静态arp，可以防止设备学习到错误的arp：
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8

2、对于二层设备,除了可以配置静态arp外，还可以配置IP＋mac＋port绑定，比如：
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
则ip为100.1.1.4并且mac为000d-88f8-09fa的arp报文可以通过e0/4端口，仿冒其它设备arp报文无法通过，从而不会出现错误arp表项。