H3C S5800 三层交换机简要配置手册,源地址策略路由

H3C S5800简要配置手册

系统的配置

给交换机命名

system-view

[H3C] sysname

[NH001]

启用telnet服务

[NH001] telnet server enable

配置telnet登录名和密码

[NH001] local-user admin

password cipher password

authorization-attribute level 3

service-type telnet

[NH001]user-interface vty 0 4

authentication-mode scheme

VLAN的配置

在用户模式下使用命令vlan 来添加vlan ID 可使用description命令对VLAN进行描述与命名方便今后维护与管理。

[NH001] vlan 1

description "Manager"

[NH001]vlan 10

description "VLAN 10"

[NH001]vlan 11

description "VLAN 11"

[NH001]vlan 12

description "VLAN 12"

在三层交换机上创建了vlan后还需要给它配置IP地址既我们所说的网关。在用户模视图模式下输入interface vlan-interface1进入VLAN1的三层接口视图中。使用ip address 命令给当前VLAN配置IP地址。

[NH001]interface Vlan-interface10

ip address 172.16.10.1 255.255.255.0

[NH001]interface Vlan-interface11

ip address 172.16.11.1 255.255.255.0

端口的配置

在端口的配置中，我们一般将端口分为以下几种类型；

1、access port 普通接口，此接口一般用于连接用户的PC

2、trunk port 封装了802.1Q协议的端口，此端口一般用于交换机与交换机互连，需

要透传多个VLAN时配置。

一般情况下使用这两种类型端口即可满足网络的建设，使用interface GigabitEthernet1/0/1命令进入一个端口，port link-type 命令来定义当前接口的类型，使用port access 命令来将端口添加到相应的vlan当中。使用port link-type trunk命令来讲当前的接口定义为trunk 端口。

[NH001]interface GigabitEthernet1/0/1

port access vlan 200

[NH001] interface GigabitEthernet1/0/47

port link-type trunk

port trunk permit vlan all

路由的配置

静态路由的命令ip route-static

[NH001]ip route-static 0.0.0.0 0.0.0.0 192.168.254.3

安全的配置

安全设置主要是通过ACL的方式来实现；

1、创建ACL

使用acl number 命令来创建一个acl的规则，高级ACL 序号取值范围3000～3999。高级ACL 可以使用数据包的源地址信息、目的地址信息、IP 承载的协议类型、针对协议的特性，例如TCP 或UDP 的源端口、目的端口，TCP 标记，ICMP 协议的类型、code 等内

容定义规则。一般我们建议都使用高级ACL。

[NH001]acl number 3001

rule 2 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.11.0 0.0.0.255 rule 3 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.12.0 0.0.0.255

2、下发ACL

下发ACL就是把之前定义好的ACL通过命令packet-filter 的方式下发到交换机的接口下，端口可以是vlan的三层接口或者设备的物理接口。支持inbound与oubound方向。[NH001]interface gigabitethernet1/1/1

packet-filter 3006 inbound

3、查看ACL

通过display acl命令可以查看当前所配置的acl条目。

DHCP的配置

5800上的DHCP配置可分为DHCP服务器配置与DHCP中继配置，DHCP服务器配置是在交换机上启动DHCP服务并创建IP地址池自动为所连VLAN的客户端自动分配IP地址。DHCP 中继一般在网络规模较大VLAN数量较多的环境下结合一台独立的DHCP服务器使用。目前在5800上我们配置的是DHCP中继的方式。

使用命令dhcp enable来启用DHCP服务，使用命令dhcp relay server-group 1 ip 192.168.188.10 来制定一台DHCP服务器地址，dhcp select relay、dhcp relay server-select 1在VLAN三次接口下启用中继并应用之前定义的DHCP服务组。

[NH001] dhcp enable

[NH001] dhcp relay server-group 1 ip 192.168.188.10

[NH001] interface vlan11

dhcp select relay

dhcp relay server-select 1

源地址策略路由的配置

策略路由（policy-based-route）是一种依据用户制定的策略进行路由选择的机制。与单纯

依照IP报文的目的地址查找路由表进行转发不同，策略路由基于到达报文的源地址等信息灵活地进行路由。

1、选择。定义ACL引用数据流

[NH001]acl number 3200

rule 0 permit ip source 10.10.10.0 0.0.0.255 destination 172.16.88.0 0.0.0.255 rule 1 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.188.0 0.0.0.255