华为交换机几个不常用的命令

1. portswitch : 端口二三层转换
#在接口下运行，三层转换成二层，默认就是二层；
portswitch

#二层转换成三层，可以配 ip地址，但LI,SI的交换机不支持。
undo  portswitch    // 网工有时考这个

#配置以太网接口批量切换到三层模式
undo portswitch batch gigabitethernet 1/0/2 to 1/0/4

#查看接口是几层，二层显示 Switch Port , 三层显示 Route Port。
dis  int   g0/0/1 

#查看哪些是三层接口，包括转换的三层接口和vlanif
dis ip int brief
重点：交换机平时用不上，一般是路由器wan口不够用了，把lan口提升为wan口用。网工考试有时考这个。

2. port-isolate ：二层端口隔离：
禁止主机之间互相访问：交换机将同一VLAN下需要隔离的端口加入到了一个隔离组中，默认是group 1，处于同一个vlan并在同一个组中的端口之间是不能互相访问的。不同vlan或不同组之间的端口是可以互相访问的。

port-isolate mode命令用来配置二层端口隔离模式。
port-isolate mode { l2 | all }
l2: 默认二层, 指定端口隔离模式为二层隔离三层互通。三层互通意思是不同vlan的端口在一个隔离组或不在一个隔离组也可以互通，注意，vlanif下启动arp代理可以在二层隔离下三层ip互通
all: 指定端口隔离模式为二层三层都隔离。启动arp代理也不行。
注：低端交换机如LI,SI只有二层隔离功能，无三层隔离功能，像不同vlan之间加入同一个隔离组的也无法隔离。

使用实例:
# 配置端口隔离模式为二层隔离三层互通。
配置接口GE0/0/1和GE0/0/2的端口隔离功能，前提是在同一个vlan下。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-isolate enable group 1

[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/1] port-isolate enable group 1 

配完后同一个vlan下，g0/0/1与g0/0/2口下接的pc主机之间不能ping通。

在端口隔离的情况下还要让端口二层互通，需要开启arp代理功能：
# 进入对应的 vlanif
[HUAWEI] int vlanif 10
[HUAWEI-Vlanif10] ip addr  x.x.x.x  x   // vlanif 要配接口ip地址，才能三层互通
[HUAWEI-Vlanif10] arp-proxy inner-sub-vlan-proxy enable  // 开启相同vlan内 arp代理
这样又可以让g0/0/1 和 g0/0/2 互通了。如果交换机配置 port-isolate  mode  all 后，三层也隔离了。

# 还可以配置端口单向隔离,可以一次配多个
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] am  isolate  gigabitethernet 0/0/2  gigabitethernet 0/0/3
配完后 g0/0/1 和 g0/02 、g0/0/3不通，但g0/0/2与g0/0/3是互通的。

#查看有哪些隔离组及隔离端口：
dis  port-isolate group all
重点：端口隔离只是在同一vlan下的端口隔离，不同vlan下无效，可以使用多路vlan（mux-vlan技术）

3. blackhole ：黑洞
1. mac 黑洞：
# 把接口下mac地址是H-H-H的PC机发出的报文引入黑洞，相当于禁止pc1访问网络,
<Huawei sys
[Huawei] mac-address blackhole 5489-3215-181E vlan 10    
注意：这里的mac地址是 H-H-H， vlan写任意一个都可以。

# 查看
display mac-address blackhole
此时这个设备就相当于被禁用了。

2.黑洞路由
交换机、路由器上有一种接口非常特殊，即Null（无效）接口，这种类型的接口只有一个编号0，即 Null0是系统保留的逻辑接口。出接口为Null0的路由被称为黑洞路由，这些报文会被直接丢弃，就像直接丢进一个黑洞里。防止环路，防攻击。
ip  route-static  10.1.1.0 24  null0

3. 路由黑洞
路由黑洞一般是在网络边界做汇总回程路由的时候有时会有一些网段并不在内网中存在，但是又包含在汇总后的网段中，如果在这个汇总的边界设备上同时还配置了缺省路由，这时，如果有数据包发向那些不在内网出现的网段（但是又包含在汇总网段）所在的路由器，根据最长匹配原则，并没有找到对应的路由，只能根据默认路由又回到原来的路由器，这就形成了环路，直到TTL值超时，丢弃。