《H3C S5800 三层交换机简要配置手册,源地址策略路由.docx》由会员分享,可在线阅读,更多相关《H3C S5800 三层交换机简要配置手册,源地址策略路由.docx(6页珍藏版)》请在三一办公上搜索。
1、H3C S5800 三层交换机简要配置手册,源地址策略路由H3C S5800简要配置手册 系统的配置 给交换机命名 system-view H3C sysname NH001 启用telnet服务 NH001 telnet server enable 配置telnet登录名和密码 NH001 local-user admin password cipher password authorization-attribute level 3 service-type telnet NH001user-interface vty 0 4 authentication-mode scheme VLAN
2、的配置 在用户模式下使用命令vlan 来添加vlan ID 可使用description命令对VLAN进行描述与命名方便今后维护与管理。 NH001 vlan 1 description Manager NH001vlan 10 description VLAN 10 NH001vlan 11 description VLAN 11 NH001vlan 12 description VLAN 12 在三层交换机上创建了vlan后还需要给它配置IP地址既我们所说的网关。在用户模视图模式下输入interface vlan-interface1进入VLAN1的三层接口视图中。使用ip address
3、 命令给当前VLAN配置IP地址。 NH001interface Vlan-interface10 ip address 172.16.10.1 255.255.255.0 NH001interface Vlan-interface11 ip address 172.16.11.1 255.255.255.0 端口的配置 在端口的配置中,我们一般将端口分为以下几种类型; 1、 2、 access port 普通接口,此接口一般用于连接用户的PC trunk port 封装了802.1Q协议的端口,此端口一般用于交换机与交换机互连,需要透传多个VLAN时配置。 一般情况下使用这两种类型端口即可满
4、足网络的建设,使用interface GigabitEthernet1/0/1命令进入一个端口,port link-type 命令来定义当前接口的类型,使用port access 命令来将端口添加到相应的vlan当中。使用port link-type trunk命令来讲当前的接口定义为trunk端口。 NH001 interface GigabitEthernet1/0/1 port access vlan 200 NH001 interface GigabitEthernet1/0/47 port link-type trunk port trunk permit vlan all 路由的配
5、置 静态路由的命令ip route-static NH001ip route-static 0.0.0.0 0.0.0.0 192.168.254.3 安全的配置 安全设置主要是通过ACL的方式来实现; 1、 创建ACL 使用acl number 命令来创建一个acl的规则,高级ACL 序号取值范围30003999。高级ACL 可以使用数据包的源地址信息、目的地址信息、IP 承载的协议类型、针对协议的特性,例如TCP 或UDP 的源端口、目的端口,TCP 标记,ICMP 协议的类型、code 等内容定义规则。一般我们建议都使用高级ACL。 NH001acl number 3001 rule 2
6、 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.11.0 0.0.0.255 rule 3 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.12.0 0.0.0.255 2、 下发ACL 下发ACL就是把之前定义好的ACL通过命令packet-filter 的方式下发到交换机的接口下,端口可以是vlan的三层接口或者设备的物理接口。支持inbound与oubound方向。 NH001interface gigabitethernet1/1/1 packet-filt
7、er 3006 inbound 3、 查看ACL 通过display acl命令 可以查看当前所配置的acl条目。 DHCP的配置 5800上的DHCP配置可分为DHCP服务器配置与DHCP中继配置,DHCP服务器配置是在交换机上启动DHCP服务并创建IP地址池自动为所连VLAN的客户端自动分配IP地址。DHCP中继一般在网络规模较大VLAN数量较多的环境下结合一台独立的DHCP服务器使用。目前在5800上我们配置的是DHCP中继的方式。 使用命令dhcp enable来启用DHCP服务,使用命令dhcp relay server-group 1 ip 192.168.188.10 来制定一台
8、DHCP服务器地址,dhcp select relay、 dhcp relay server-select 1在VLAN三次接口下启用中继并应用之前定义的DHCP服务组。 NH001 dhcp enable NH001 dhcp relay server-group 1 ip 192.168.188.10 NH001 interface vlan11 dhcp select relay dhcp relay server-select 1 源地址策略路由的配置 策略路由是一种依据用户制定的策略进行路由选择的机制。与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由基于到达报文的源地址等
9、信息灵活地进行路由。 1、 选择。定义ACL引用数据流 NH001acl number 3200 rule 0 permit ip source 10.10.10.0 0.0.0.255 destination 172.16.88.0 0.0.0.255 rule 1 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.188.0 0.0.0.255 rule 2 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.254.0 0.0.0.255 rule 3 per
10、mit ip source 10.10.10.0 0.0.0.255 destination 210.120.38.0 0.0.0.255 rule 5 permit udp rule 7 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.10.0 0.0.0.255 2、 配置策略路由 一、使用traffic classifier permit operator and命令定义一个类,并引用ACL。 NH001traffic classifier permit operator and if-match acl 3200 二、使用
11、traffic behavior permit命令定义一个流行为,并进入当前视图。 NH001traffic behavior permit filter permit redirect next-hop 10.10.10.250 三、配置QOS策略,引用之前定义的两类配置。使用qos policy internet命令创建一条QOS策略。 NH001qos policy internet classifier permit behavior permit classifier internet behavior internet 3、 引用策略路由 最后在接口下下发QOS策略。 NH001q
12、os vlan-policy internet vlan 1010 inbound acl number 3300 rule 23 permit ip source 172.16.201.0 0.0.0.255 destination 0 rule 24 permit ip source 172.16.202.0 0.0.0.255 destination 0 traffic classifier 0102 operator and if-match acl 3300 traffic behavior 0102 redirect next-hop 10.0.1.1 qos policy 0102 classifier 0102 behavior 0102 qos vlan-policy 0102 vlan 201 inbound
