华为S3700策略路由实验

11策略路由配置关于本章通过配置策略路由，可以用于提高网络的安全性能和负载分担。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

11.2 配置举例配置示例中包括组网需求和配置思路等。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

背景信息通过配置重定向，设备将符合流分类规则的报文重定向到指定的下一跳地址。

包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。

说明对于S2700系列交换机，只有S2700-52P-EI和S2700-52P-PWR-EI交换机支持策略路由。

前置任务在配置策略路由前，需要完成以下任务：●配置相关接口的IP地址和路由协议，保证路由互通。

●如果使用ACL作为策略路由的流分类规则，配置相应的ACL。

操作步骤1.配置流分类a.执行命令system-view，进入系统视图。

b.执行命令traffic classifier classifier-name [ operator { and | or } ]，创建一个流分类并进入流分类视图，或进入已存在的流分类视图。

and表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：▪当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；▪当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。

or表示流分类各规则之间是“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。

缺省情况下，流分类中各规则之间的关系为“逻辑与”。

c.请根据实际情况定义流分类中的匹配规则。

d.执行命令quit，退出流分类视图。

2.配置流行为a.执行命令traffic behavior behavior-name，创建一个流行为，进入流行为视图。

b.请根据实际需要进行如下配置：▪执行命令redirect ip-nexthop ip-address &<1-4> [ forced ]，将符合流分类的报文重定向到下一跳。

一、实训目的通过本次实训，掌握路由器的基本配置方法，了解路由器在网络中的作用，提高网络设备的配置与管理能力。

二、实训环境1. 路由器：华为AR系列路由器一台2. 交换机：华为S系列交换机一台3. 网线：直通网线若干4. 计算机若干5. 实验室网络环境：模拟企业局域网环境三、实训内容1. 路由器基本配置2. 路由器接口配置3. 路由协议配置4. 静态路由配置5. 动态路由配置6. 路由策略配置7. NAT配置8. 路由器安全配置四、实训步骤1. 路由器基本配置（1）连接路由器与计算机，使用Console线进入路由器配置模式。

（2）配置路由器基本参数，包括主机名、密码等。

（3）配置接口IP地址，确保路由器与交换机之间能够正常通信。

2. 路由器接口配置（1）查看路由器接口信息，了解接口状态。

（2）配置接口VLAN，实现不同VLAN之间的隔离。

（3）配置接口安全特性，如MAC地址绑定、IP源地址过滤等。

3. 路由协议配置（1）配置静态路由，实现不同网络之间的互通。

（2）配置动态路由协议，如RIP、OSPF等，实现网络自动路由。

4. 静态路由配置（1）查看路由表，了解当前网络的路由信息。

（2）配置静态路由，实现特定网络之间的互通。

5. 动态路由配置（1）配置RIP协议，实现网络自动路由。

（2）配置OSPF协议，实现网络自动路由。

6. 路由策略配置（1）配置路由策略，实现特定数据包的转发。

（2）配置策略路由，实现不同数据包的转发。

7. NAT配置（1）配置NAT地址池，实现内部网络访问外部网络。

（2）配置NAT转换，实现内部网络访问外部网络。

8. 路由器安全配置（1）配置ACL，实现访问控制。

（2）配置IPsec VPN，实现远程访问。

（3）配置端口安全，防止未授权访问。

五、实训结果通过本次实训，成功配置了路由器的基本参数、接口、路由协议、静态路由、动态路由、路由策略、NAT和路由器安全配置。

实现了不同网络之间的互通，满足了网络需求。

9路由关于本章本章主要介绍关于IPv4路由的相关信息和配置的方法。

在因特网中进行路由选择要使用路由器，路由器根据所收到的报文的目的地址选择一条合适的路由（通过某一网络），将报文传送到下一个路由器，路由中最后的路由器负责将报文送交目的主机。

9.1 IPv4路由介绍关于IPv4路由表、IPv4静态路由和全局参数的基本知识和配置方法。

9.1 IPv4路由介绍关于IPv4路由表、IPv4静态路由和全局参数的基本知识和配置方法。

9.1.1 IPv4路由表路由器转发分组的关键是路由表。

每个路由器中都保存着一张路由表，表中每条路由项都指明分组到某子网或某主机应通过路由器的哪个物理端口发送，然后就可到达该路径的下一个路由器，或者不再经过别的路由器而传送到直接相连的网络中的目的主机。

背景信息IPv4的查询功能可以查询路由表的全部信息，包括动态路由表和静态路由表的信息。

操作步骤步骤1单击导航树中的“路由 > IPv4路由 > IPv4路由表”菜单，进入“IPv4路由表”界面。

步骤2设置查询条件。

步骤3单击“查询”，查询列表区显示出所有符合条件的记录。

----结束9.1.2 IPv4静态路由配置静态路由是一种特殊的路由，它由管理员手工配置而成。

通过配置静态路由可建立一个互通的网络，但这种配置问题在于：当发生网络故障后，静态路由不会自动发生改变，必须有管理员的介入。

背景信息在交换机上配置IPv4静态路由时，建议明确指定下一跳地址。

因为交换机的物理接口多为广播类型的以太网接口，在同一出接口下可以关联多个下一跳地址，从而无法唯一确定下一跳。

在应用中，如果必须指定出接口，应同时指定通过该接口发送时对应的下一跳地址。

操作步骤●新建IPv4静态路由a.单击导航树中的“路由 > IPv4路由 > IPv4静态路由配置”菜单，进入“IPv4静态路由配置”界面。

b.单击“新建”，进入“新建IPv4静态路由”界面。

1.S3700 DHCP Snooping 配置1.1配置防止DHCP Server 仿冒者的攻击防止DHCP Server 仿冒者攻击的基本配置过程，包括配置信任接口、配置DHCPReply 报文丢弃告警功能。

#dhcp enabledhcp snooping enabledhcp server detect#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping trusted#interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping alarm untrust-reply enabledhcp snooping alarm untrust-reply threshold 120在端口下配置dhcp snooping 后默认成为untrusted端口1.2配置防止改变CHADDR 值的DoS 攻击示例如果攻击者改变的不是数据帧头部的源MAC，而是通过改变DHCP 报文中的CHADDR （Client Hardware Address）值来不断申请IP 地址，而S3700 仅根据数据帧头部的源MAC 来判断该报文是否合法，那么MAC 地址限制不能完全起作用，这样的攻击报文还是可以被正常转发。

为了避免受到攻击者改变CHADDR 值的攻击，可以在S3700 上配置DHCP Snooping 功能，检查DHCP Request 报文中CHADDR 字段。

如果该字段跟数据帧头部的源MAC 相匹配，转发报文；否则，丢弃报文Switch 应用在用户网络和ISP 的二层网络之间，为防止攻击者通过改变CHADDR 值进行DoS 攻击，要求在Switch 上应用DHCP Snooping 功能。

检查DHCPRequest 报文中CHADDR 字段，如果该字段跟数据帧头部的源MAC 相匹配，便转发报文；否则丢弃报文。

一、实验目的本次实验旨在通过华为网络设备，掌握网络配置的基本技能，熟悉华为设备的配置界面和命令，并能够独立完成以下任务：1. 配置IP地址2. 宣告OSPF3. 引入默认路由4. 路由汇总5. 配置完全Stub区域6. 修改接口Cost实现合理分流，确保来回路径一致7. 修改网络类型，加快收敛8. 配置出口NAT，实现外网连通性9. 增强安全性二、实验环境1. 华为交换机：S5700-28P2. 华为路由器：AR22003. 实验软件：华为eNSP（企业网络仿真器）三、实验步骤1. 配置IP地址- 在交换机上配置VLAN，并为其分配Access接口。

- 为路由器接口配置IP地址。

2. 宣告OSPF- 在路由器上启用OSPF协议。

- 配置OSPF进程ID。

- 宣告OSPF网络。

3. 引入默认路由- 在路由器上配置默认路由，指向下一跳路由器。

4. 路由汇总- 配置路由汇总，减少路由表项。

5. 配置完全Stub区域- 在OSPF区域中配置完全Stub区域，禁止区域内的路由器学习其他区域的路由信息。

6. 修改接口Cost实现合理分流- 根据网络流量需求，修改接口Cost值，实现合理分流。

7. 修改网络类型，加快收敛- 根据网络需求，修改OSPF网络类型，加快收敛速度。

8. 配置出口NAT，实现外网连通性- 配置NAT地址转换，实现内网设备访问外网。

9. 增强安全性- 配置访问控制列表（ACL），限制对网络设备的访问。

- 配置IPsec VPN，保障数据传输安全。

四、实验结果与分析1. 成功配置了IP地址、OSPF、默认路由、路由汇总、完全Stub区域等。

2. 修改接口Cost值，实现了合理分流。

3. 修改网络类型，加快了收敛速度。

4. 配置出口NAT，实现了外网连通性。

5. 增强了网络设备的安全性。

五、实验总结通过本次实验，我们掌握了以下技能：1. 华为设备的配置界面和命令。

2. 网络配置的基本技能。

3. OSPF多区域配置的规划和实施。

一、实训背景与目的随着信息技术的飞速发展，网络技术在各行各业中的应用越来越广泛。

为了使学生更好地掌握网络设备配置与管理的基本技能，提高学生的实际操作能力，本次实训旨在通过路由器配置的实训，使学生了解路由器的基本原理、配置方法以及网络故障排除技巧。

二、实训环境与设备1. 实训环境：- 操作系统：Windows Server 2012- 路由器：华为AR2200系列路由器1台- 交换机：华为S5700系列交换机2台- 计算机客户端：PC Server 332. 实训设备：- 路由器：华为AR2200-01- 交换机：华为S5700-02、华为S5700-03- 计算机客户端：PC Server 33三、实训内容与步骤1. 路由器基本配置（1）登录路由器使用Console线连接路由器的Console口和计算机的串口，通过PuTTY软件配置路由器。

（2）设置基本参数- 配置设备名称- 配置设备IP地址- 配置管理密码（3）配置接口参数- 配置接口IP地址- 配置接口类型（如：VLAN接口、以太网接口）2. 路由协议配置（1）静态路由配置- 配置目标网络地址- 配置下一跳路由器IP地址（2）动态路由协议配置- 配置OSPF协议- 配置BGP协议3. VLAN配置（1）创建VLAN- 创建VLAN 10- 创建VLAN 20（2）配置VLAN接口- 将接口0/0/1分配给VLAN 10- 将接口0/0/2分配给VLAN 20（3）配置VLAN IF- 配置VLAN IF 10- 配置VLAN IF 204. 路由器安全配置（1）配置访问控制列表（ACL）- 配置入站ACL（2）配置IP地址过滤- 配置IP地址过滤规则- 配置IP地址过滤应用四、实训总结与收获通过本次路由器配置实训，我收获颇丰，具体如下：1. 加深了对路由器基本原理的理解：通过实际操作，我深刻理解了路由器的工作原理，包括路由选择、转发数据包等。

10路由策略配置关于本章路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。

10.1 路由策略概述随着网络的日益扩大，路由表激增导致网络负担越来越重，网络安全问题也越来越多。

为了解决上述问题，可以在路由协议发布、接收和引入路由时配置路由策略，过滤路由和改变路由属性。

10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。

10.3 配置过滤器路由策略过滤器包括访问控制列表、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。

本章介绍其中的地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器的配置。

其中访问控制列表的配置请参见《S2700, S3700 系列以太网交换机配置指南-安全》中的“ACL配置”。

10.4 配置路由策略路由策略的每个节点由一组if-match子句和apply子句组成。

10.5 配置路由策略生效时间为了保障网络的稳定性，修改路由策略时需要控制路由策略的生效时间。

10.6 维护路由策略路由策略的维护包括清除地址前缀列表统计数据。

10.7 配置举例路由策略配置举例包括组网需求、组网图、配置思路和配置步骤。

10.1 路由策略概述随着网络的日益扩大，路由表激增导致网络负担越来越重，网络安全问题也越来越多。

为了解决上述问题，可以在路由协议发布、接收和引入路由时配置路由策略，过滤路由和改变路由属性。

路由策略与策略路由的区别策略路由PBR（Policy-Based Routing）与单纯依照IP报文的目的地址查找转发表进行转发不同，是一种依据制定的策略而进行路由选择的机制，可应用于安全、负载分担等目的。

路由策略与策略路由是两种不同的机制，主要区别如表10-1。

表10-1路由策略与策略路由的区别10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。

【盒式交换机】Quidway® S3700系列企业网交换机配置一指禅产品概述Quidway® S3700系列企业网交换机（以下简称S3700），是华为公司推出的新一代绿色节能的三层以太网交换机。

它基于新一代高性能硬件和华为VRP®（Versatile Routing Platform）软件平台，针对企业用户园区汇聚、接入等多种应用场景，提供简单便利的安装维护手段、灵活的VLAN部署和POE供电能力、丰富的路由功能和IPv6平滑升级能力，并通过融合堆叠、虚拟路由器冗余、快速环网保护等先进技术有效增强网络健壮性，能够助力企业搭建面向未来的IT网络。

S3700 系列交换机为盒式产品设备，机箱高度为1U，包含S3700-28TP和S3700-52P两大类，提供标准型（SI）和增强型（EI）两种产品版本，标准型支持二层和基本的三层功能，增强型支持复杂的路由协议和丰富的业务特性。

配置步骤指导配置S3700交换机的典型步骤：选型号-》选配件-》选特殊配件–》选辅料1.选型号：1）根据上下行端口/电源/POE/特性需求选择合适的设备：2）选择SI或者EI机型，SI和EI的显著区别如下：3）选择是否需要POE机型：如果企业需要交换机下联IP Phone，蓝牙AP等PD设备，需要使用POE机型，S3700POE机型每端口最高支持30W供电功率。

2.选配件：1）选电源模块：S3700的非POE机型内置电源，无需单独配置；而POE机型根据下挂PD设备的数量和功率进行电源模块。

POE机型有2个电源槽位，可支持1+1备份配置，电源模块有250W（编码02130878）和500W（编码02130879）两种规格，支持的端口情况如下表。

POE电源只支持交流输入。

不同功率的POE电源不能混配。

2）选择电模块/光模块：S3700提供1种电模块，14种光模块1）选择堆叠线缆：S3700最多可支持9台设备的堆叠，堆叠带宽为10G。

华为交换机Quidway S3700基础配置1、连接Console口客户机上运行超级终端，波特率为9600bit/s、8位数据位、1位停止位、校验和流控均为无，开机自检，自检后回车进入系统界面；2、设置交换机名称system-view sysname testcenter3、配置管理IP interface vlanif 1ip address 100.0.0.1 255.255.255.0quit4、配置管理VLAN((各vlan可以通信)<Huawei>system-view[Huawei]vlan batch 10 20 30 40[Huawei]in vlan 10[Huawei-vlanif10]ip add 192.168.10.1 24[Huawei-vlanfi10]in vlan 20[Huawei-vlanif20]ip add 192.168.20.1 24[Huawei-vlanif20]in vlan 30[Huawei-vlanif30]ip add 192.168.30.1 24[Huawei-vlanif30]in vlan 40[Huawei-vlanif40]ip add 192.168.40.1 24[Huawei-vlanif40]in ethe 0/0/1[Huawei-E0/0/1]port link-type access[Huawei-E0/0/1]port default vlan 10[Huawei-E0/0/1]in ethe 0/0/2[Huawei-E0/0/2]port link-type access[Huawei-E0/0/2]port default vlan 20[Huawei-E0/0/2]in ethe 0/0/3[Huawei-E0/0/3]port link-type access[Huawei-E0/0/3]port default vlan 30[Huawei-E0/0/3]in ethe 0/0/4[Huawei-E0/0/4]port link-type access[Huawei-E0/0/4]port default vlan 40[Huawei-E0/0/4]quit[Huawei]quit< Huawei>save5、配置telnet aaalocal-user admin password simple ***local-user admin service-type telnetlocal-user admin privilege level 15 quit6、赋予端口登录认证模式user-interface vty 0 4authentication-mode aaa return。

华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示，公司用户通过Switch双归属到外部网络设备。

其中，一条是低速链路，网关为10.1.20.1/24；另外一条是高速链路，网关为10.1.30.1/24。

公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路1、创建VLAN并配置各接口，实现公司和外部网络设备互连。

2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。

3、配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。

4、配置流行为，使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。

5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。

3、操作步骤3.1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk，并加入VLAN100和VLAN200。

[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type trunk[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type trunk[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 2/0/1[Switch-GigabitEthernet2/0/1] port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。

华为交换机Quidway S3700基础配置1、连接Console口客户机上运行超级终端，波特率为9600bit/s、8位数据位、1位停止位、校验和流控均为无，开机自检，自检后回车进入系统界面；2、设置交换机名称system-viewsysname testcenter3、配置管理IPinterface vlanif 1ip address 100.0.0.1 255.255.255.0quit4、配置管理VLAN((各vlan可以通信)<Huawei>system-view[Huawei]vlan batch 10 20 30 40[Huawei]in vlan 10[Huawei-vlanif10]ip add 192.168.10.1 24[Huawei-vlanfi10]in vlan 20[Huawei-vlanif20]ip add 192.168.20.1 24[Huawei-vlanif20]in vlan 30[Huawei-vlanif30]ip add 192.168.30.1 24[Huawei-vlanif30]in vlan 40[Huawei-vlanif40]ip add 192.168.40.1 24[Huawei-vlanif40]in ethe 0/0/1[Huawei-E0/0/1]port link-type access[Huawei-E0/0/1]port default vlan 10[Huawei-E0/0/1]in ethe 0/0/2[Huawei-E0/0/2]port link-type access[Huawei-E0/0/2]port default vlan 20[Huawei-E0/0/2]in ethe 0/0/3[Huawei-E0/0/3]port link-type access[Huawei-E0/0/3]port default vlan 30[Huawei-E0/0/3]in ethe 0/0/4 [Huawei-E0/0/4]port link-type access [Huawei-E0/0/4]port default vlan 40 [Huawei-E0/0/4]quit[Huawei]quit< Huawei>save5、配置telnetaaalocal-user admin password simple ***local-user admin service-type telnetlocal-user admin privilege level 15quit6、赋予端口登录认证模式user-interface vty 0 4authentication-mode aaareturn。

华为S3700交换机VLAN创建与端口划分华为S3700交换机VLAN创建与端口划分实验设备：华为eNSP模拟器实验项目：华为S3700交换机VLAN创建与端口划分实验要求：现有S3700交换机一台，PC机四台，四台PC机接入S3700交换机，四台PC机分成两组，每组两台，两组的PC机互相不能访问另一组的PC机，同一组内可以互相访问，在S3700交换机中用VLAN技术实现以上要求。

实验步骤： 1、创建VLAN 2、划分端口到VLAN 实验过程：打开交换机的配置窗口开始配置，以下配置信息复制自配置过程，“------------------”后为注解信息方便理解，红色是实验过程中交换机的提示信息，请忽略。

language-mode Chinese------------------【更改提示信息的语言显示方式为中文】Change language mode, confirm? [Y/N] yDec 4 2021 21:12:59-08:00 Huawei %CMD/4/LAN_MODE(l)[0]:The user chose Y when deciding whether to change the language mode. 提示：改变语言模式成功。

undo terminal monitor提示：当前终端禁止所有类信息输出。

system-view进入系统视图，键入Ctrl+Z退回到用户视图。

[Huawei]vlan batch 10 20------------------【批量创建vlan10与vlan20，如果单个创建可以直接输入vlan 10，在这里10可以为除1在内的4096以内的任意数字】提示：此操作可能耗时较长。

请稍等...完成。

[Huawei]interface Ethernet0/0/1------------------【进入0/0/1端口】[Huawei-Ethernet0/0/1]port link-type access------------------【设置端口模式为access模式】 [Huawei-Ethernet0/0/1]port default vlan 10------------------【把端口划分到VLAN10】 [Huawei-Ethernet0/0/1]interface Ethernet0/0/2------------------【进入0/0/2端口】 [Huawei-Ethernet0/0/2]port link-type access------------------【设置端口模式为access模式】 [Huawei-Ethernet0/0/2]port defaultvlan 10------------------【把端口划分到VLAN10】 [Huawei-Ethernet0/0/2]interface Ethernet0/0/3------------------【进入0/0/3端口】[Huawei-Ethernet0/0/3]port link-type access------------------【设置端口模式为access模式】[Huawei-Ethernet0/0/3]port default vlan 20------------------【把端口划分到VLAN20】 [Huawei-Ethernet0/0/3]interface Ethernet0/0/4------------------【进入0/0/4端口】 [Huawei-Ethernet0/0/4]port link-type access------------------【设置端口模式为access模式】 [Huawei-Ethernet0/0/4]port default vlan 20------------------【把端口划分到VLAN20】 [Huawei-Ethernet0/0/4]quit------------------【从子接口模式退出到系统视图】 [Huawei]quit------------------【从系统视图退出到用户视图】save------------------【在用户视图保存配置信息，只有在用户视图才能保存配置信息】将把当前的配置保存到存储设备中。

如何解决华为S3700交换机上RSTP配置问题
工具/原料
电脑
模拟器eNSP
方法/步骤
用模拟器eNSP设计网络拓朴图，二台S3700交换机，之间用线
缆连接，选中设备开启。

如下图
在二台S3700交换机上，分别设置名称，开启STP配置RSTP，
查看接口简要信息，查看STP状态信息。

如下图
在交换机SW2上连接一台PC，再配置其边缘端口。

在交换机SW1和SW2上配置BPDU保护功能并查看端口信息，因
为边缘端口直接与用户终端相连，正常情况下不会收到BPDU报文。

但如果攻击者向交换机的边缘端口发送伪造的BPDU报文，交换机会
自动将边缘端口设置为非边缘端口，并重新进行生成树计算，从而
引起网络震荡。

在交换机下配置BPDU保护功能，可以防止该类攻击。

在非根交换机SW1上配置环路保护功能，因为在运行RSTP协议
的网络中，交换机依靠不断接收来自上游设备的BPDU报文维持根端
口和Alternate端口的状态，如果由于链路拥塞或者单向链路故障
导致交换机收不到来自上游设备的BPDU报文，交换机会重新选择根
端口。

原先的根端口会转变为指定端口，而原先的阻塞端口会迁移
到转发状态，从而会引起网络环路。

可以在交换机下配置一路保护
功能，避免此种情况的发生。

一、实验目的1. 熟悉网络系统集成的基本概念和流程；2. 掌握网络设备配置方法；3. 熟练使用网络测试工具；4. 培养团队协作和解决问题的能力。

二、实验环境1. 设备：华为Quidway S3700交换机3台；华为Quidway S5700交换机1台；计算机3台；2. 软件：Windows Server 2012 R2；网络管理软件；3. 工具：网络测试仪、网线、光纤跳线等。

三、实验内容1. 网络系统集成方案设计（1）根据实际需求，确定网络拓扑结构；（2）选择合适的网络设备；（3）配置网络设备；（4）设计网络地址规划方案；（5）制定网络安全策略。

2. 网络设备配置（1）交换机配置：配置交换机的基本参数，如VLAN、端口聚合、QoS等；（2）路由器配置：配置路由器的接口、静态路由、动态路由等；（3）防火墙配置：配置防火墙规则，实现对内外网络的访问控制；（4）VPN配置：配置VPN，实现远程访问。

3. 网络测试（1）使用网络测试仪测试网络连通性；（2）使用ping命令测试网络延迟；（3）使用tracert命令追踪数据包路径；（4）使用iperf工具测试网络带宽。

4. 故障排除（1）分析故障现象，确定故障原因；（2）根据故障原因，采取相应的解决措施；（3）验证故障是否解决，确保网络正常运行。

四、实验步骤与实验记录1. 网络系统集成方案设计（1）根据实际需求，确定网络拓扑结构；（2）选择合适的网络设备：华为Quidway S3700交换机3台；华为Quidway S5700交换机1台；（3）配置交换机的基本参数，如VLAN、端口聚合、QoS等；（4）配置路由器的基本参数，如接口、静态路由、动态路由等；（5）配置防火墙规则，实现对内外网络的访问控制；（6）配置VPN，实现远程访问；（7）设计网络地址规划方案；（8）制定网络安全策略。

2. 网络设备配置（1）交换机配置：配置交换机的基本参数，如VLAN、端口聚合、QoS等；（2）路由器配置：配置路由器的接口、静态路由、动态路由等；（3）防火墙配置：配置防火墙规则，实现对内外网络的访问控制；（4）VPN配置：配置VPN，实现远程访问。

第1篇一、实验背景随着信息技术的飞速发展，网络已经成为企业运营和管理的核心基础设施。

为了提高企业内部网络通信效率，保障网络安全，降低运营成本，我们开展了网络集成项目实验。

本次实验旨在通过搭建一个完整的网络系统，了解网络设备配置、网络协议配置、网络安全策略实施等方面的知识，为企业网络优化和升级提供参考。

二、实验目的1. 熟悉网络设备的基本功能和配置方法；2. 掌握网络协议配置和网络安全策略实施；3. 提高网络故障排查和解决能力；4. 培养团队合作精神和沟通能力。

三、实验环境1. 硬件设备：华为S5700交换机2台、路由器1台、服务器1台、PC机3台、集线器1台；2. 软件设备：华为VRP操作系统、Windows Server 2012、Windows 10操作系统；3. 实验工具：网络测试仪、网线、网线标签等。

四、实验内容1. 网络拓扑设计2. 网络设备配置3. 网络协议配置4. 网络安全策略实施5. 网络故障排查五、实验步骤1. 网络拓扑设计根据实验需求，设计如下网络拓扑：```┌────────────┐│ 服务器│└────┬──────┘│┌────────────┐│ 路由器│└────┬──────┘│┌────────────┐│ 交换机1 │└────┬──────┘│┌────────────┐│ 交换机2 │└────┬──────┘│┌────────────┐│ PC机1 │└────┬──────┘│┌────────────┐│ PC机2 │└────┬──────┘│┌────────────┐│ PC机3 │└────────────┘```2. 网络设备配置（1）配置交换机1：1. 进入交换机1的配置模式；2. 配置交换机的基本参数，如设备名、VLAN编号等；3. 配置端口参数，如端口速率、双工模式、流量控制等；4. 配置VLAN参数，如VLAN编号、VLAN名称等；5. 配置端口安全策略，如MAC地址绑定、端口安全级别等。

华为S3700策略路由实验华为S3700策略路由实验By kevinxiaop, 2012/11/1拓扑如下：10.1.1.10/24要求在SW1上用策略路由，实现10.1.1.0/24网段与外部网络（10.2.2.1）的互通。

Vlan和vlanif的配置略。

路由配置：SW2上配置10.1.1.0/24的静态路由ip route-static 10.1.1.0 24 172.31.1.2PC上配置网关为10.1.1.1，或添加到10.2.2.0/24的静态路由route add 10.2.2.0 mask 255.255.255.0 10.1.1.1策略路由配置由于S3700不支持ip local policy-based-route命令，因此不能实现本地策略路由。

下面采用流策略配置实现转发报文的策略路由。

在SW1上：acl 2000rule 10 permit source 10.1.1.0 0.0.0.255quittraffic classifier testif-match acl 2000quittraffic behavior testredirect ip-nexthop 172.31.1.1statistic enablequittraffic policy testclassifier test behavior testquit在物理接口E0/0/24上应用流策略int ether 0/0/24traffic-policy test inbound在PC上测试ping 10.2.2.1，OK。

在VLAN 100上应用流策略vlan 100traffic-policy test inbound在PC上测试ping 10.2.2.1，OK。

在SW1上ping 10.2.2.1是不通的，因为没有到10.2.2.1的路由。

在PC上ping测试的截图：注意，这里ping 10.2.2.1的TTL为254，是对的。