我下面以一臺H3C S5800交換機為例:
一、系統的配置
給交換機命名
[H3C] sysname NH001
[NH001]
啟用telnet服務
[NH001] telnet server enable
配置telnet登錄名和密碼
[NH001] local-user admin
password cipher password
authorization-attribute level 3
service-type telnet
[NH001]user-interface vty 0 4
authentication-mode scheme
二、VLAN的配置
在用戶模式下使用命令vlan 來添加vlan ID 可使用description命令對VLAN進行描述與命名方便今後維護與管理。
[NH001] vlan 1
description "Manager"
[NH001]vlan 10
description "VLAN 10"
[NH001]vlan 11
description "VLAN 11"
[NH001]vlan 12
description "VLAN 12"
在三層交換機上創建了vlan後還需要給它配置IP地址既我們所說的網關。在用戶模視圖模式下輸入interface vlan-interface1進入VLAN1的三層接口視圖中。使用ip address 命令給當前VLAN配置IP地址。
[NH001]interface Vlan-interface10
ip address 172.16.10.1 255.255.255.0
[NH001]interface Vlan-interface11
ip address 172.16.11.1 255.255.255.0
三、端口的配置
在端口的配置中,我們一般將端口分為以下幾種類型;
1、 access port 普通接口,此接口一般用於連接用戶的PC
2、 trunk port 封裝了802.1Q協議的端口,此端口一般用於交換機與交換機互連,需要透傳多個VLAN時配置。
一般情況下使用這兩種類型端口即可滿足網絡的建設,使用interface GigabitEthernet1/0/1命令進入一個端口,port link-type 命令來定義當前接口的類型,使用port access 命令來將端口添加到相應的vlan當中。使用port link-type trunk命令來講當前的接口定義為trunk端口。
[NH001] interface GigabitEthernet1/0/1
port access vlan 200
[NH001] interface GigabitEthernet1/0/47
port link-type trunk
port trunk permit vlan all
四、路由的配置
靜態路由的命令ip route-static
[NH001]ip route-static 0.0.0.0 0.0.0.0 192.168.254.3
五、安全的配置
安全設置主要是通過ACL的方式來實現;
1、創建ACL
使用acl number 命令來創建一個acl的規則,高級ACL 序號取值範圍3000~3999。高級ACL 可以使用數據包的源地址信息、目的地址信息、IP 承載的協議類型、針對協議的特性,例如TCP 或UDP 的源端口、目的端口,TCP 標記,ICMP 協議的類型、code 等內容定義規則。一般我們建議都使用高級ACL。
[NH001]acl number 3001
rule 2 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.11.0 0.0.0.255
rule 3 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.12.0 0.0.0.255
2、下發ACL
下發ACL就是把之前定義好的ACL通過命令packet-filter 的方式下發到交換機的接口下,端口可以是vlan的三層接口或者設備的物理接口。支持inbound與oubound方向。
[NH001]interface gigabitethernet1/1/1
packet-filter 3006 inbound
3、查看ACL
通過display acl命令 可以查看當前所配置的acl條目。
六、DHCP的配置
5800上的DHCP配置可分為DHCP服務器配置與DHCP中繼配置,DHCP服務器配置是在交換機上啟動DHCP服務並創建IP地址池自動為所連VLAN的客戶端自動分配IP地址。DHCP中繼一般在網絡規模較大VLAN數量較多的環境下結合一臺獨立的DHCP服務器使用。目前在5800上我們配置的是DHCP中繼的方式。
使用命令dhcp enable來啟用DHCP服務,使用命令dhcp relay server-group 1 ip 192.168.188.10 來制定一臺DHCP服務器地址,dhcp select relay、 dhcp relay server-select 1在VLAN三次接口下啟用中繼並應用之前定義的DHCP服務組。
[NH001] dhcp enable
[NH001] dhcp relay server-group 1 ip 192.168.188.10
[NH001] interface vlan11
dhcp select relay
dhcp relay server-select 1
七、源地址策略路由的配置
策略路由(policy-based-route)是一種依據用戶制定的策略進行路由選擇的機制。與單純依照IP報文的目的地址查找路由表進行轉發不同,策略路由基於到達報文的源地址等信息靈活地進行路由。
1、選擇,定義ACL引用數據流
[NH001]acl number 3200
rule 0 permit ip source 10.10.10.0 0.0.0.255 destination 172.16.88.0 0.0.0.255
rule 1 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.188.0 0.0.0.255
rule 2 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.254.0 0.0.0.255
rule 3 permit ip source 10.10.10.0 0.0.0.255 destination 210.120.38.0 0.0.0.255
rule 5 permit udp
rule 7 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
2、配置策略路由
一、使用traffic classifier permit operator and命令定義一個類,並引用ACL。
[NH001]traffic classifier permit operator and
if-match acl 3200
二、使用traffic behavior permit命令定義一個流行為,並進入當前視圖。
[NH001]traffic behavior permit
filter permit
redirect next-hop 10.10.10.250
三、配置QOS策略,引用之前定義的兩類配置。使用qos policy internet命令創建一條QOS策略。
[NH001]qos policy internet
classifier permit behavior permit
classifier internet behavior internet
3、 引用策略路由
最後在接口下下發QOS策略。
[NH001]qos vlan-policy internet vlan 1010 inbound
acl number 3300
rule 23 permit ip source 172.16.201.0 0.0.0.255 destination 0
rule 24 permit ip source 172.16.202.0 0.0.0.255 destination 0
traffic classifier 0102 operator and
if-match acl 3300
traffic behavior 0102
redirect next-hop 10.0.1.1
qos policy 0102
classifier 0102 behavior 0102
qos vlan-policy 0102 vlan 201 inbound
閱讀更多 小鹿斑大晚上不睡覺 的文章
