华为核心交换机配置案例

2综合配置案例关于本章2.1 中小型园区/分支出口综合配置举例2.2 大型园区出口配置示例（防火墙直连部署）2.3 大型园区出口配置示例（防火墙旁路部署）2.4 校园敏捷网络配置示例2.5 轨道交通承载网快速自愈保护技术配置举例2.6 配置交换机上同时部署ACU2和NGFW的示例2.1 中小型园区/分支出口综合配置举例园区网出口简介园区网出口一般位于企业网内部网络与外部网络的连接处，是内部网络与外部网络之间数据流的唯一出入口。

对于中小型企业来说，考虑到企业网络建设的初期投资与长期运维成本，一般希望将多种业务部署在同一设备上。

企业网络用户一般同时需要访问Internet和私网VPN，而对于中小型企业来说考虑到建设及维护成本问题，一般租用运营商Internet网络组建私网VPN。

对于部分可靠性要求较高的园区网络，一般考虑部署两台出口路由器做冗余备份实现设备级可靠性，同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。

华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。

l园区出口设备需要具备NAT Outbound及NAT Server的功能，实现私网地址和公网地址之间的转换，以满足用户访问Internet或者Internet用户访问内网服务器的需求。

l园区出口设备需要具备通过Internet构建私网VPN的功能，以满足企业用户各个机构之间私网VPN互通的需求。

l园区出口设备需要具备数据加密传输的功能，以保证数据的完整性和机密性，保障用户业务传输的安全。

l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。

配置注意事项l本配置案例适用于中小型企业园区/分支出口解决方案。

l本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。

组网需求某企业总部和分支分别位于不同的城市，地域跨度较远，总部存在A、B两个不同的部门，分支只有一个部门。

华为三层交换机配置实例一例服务器1双网卡，内网IP:192.168.0.1，其它计算机通过其代理上网PORT1属于VLAN1PORT2属于VLAN2PORT3属于VLAN3VLAN1的机器可以正常上网配置VLAN2的计算机的网关为：192.168.1.254配置VLAN3的计算机的网关为：192.168.2.254即可实现VLAN间互联如果VLAN2和VLAN3的计算机要通过服务器1上网则需在三层交换机上配置默认路由系统视图下：ip route-static 0.0.0.0 0.0.0.0 192.168.0.1然后再在服务器1上配置回程路由进入命令提示符route add 192.168.1.0 255.255.255.0 192.168.0.254route add 192.168.2.0 255.255.255.0 192.168.0.254这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~华为路由器与CISCO路由器在配置上的差别＂华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致，有些方面还根据国内用户的需求作了很好的改进。

例如中英文可切换的配置与调试界面，使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。

另外它的软件升级，远程配置，备份中心，PPP回拨，路由器热备份等，对用户来说均是极有用的功能特性。

在配置方面，华为路由器以前的软件版本(VRP1.0－相当于CISCO的IOS)与CISCO有细微的差别，但目前的版本(VRP1.1)已和CISCO兼容，下面首先介绍VRP软件的升级方法，然后给出配置上的说明。

一、VRP软件升级操作升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本，因为这关系到是否可以升级以及升级的方法，否则升级失败会导致路由器不能运行。

在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。

交换机配置（一）端口限速基本配置华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:华为交换机端口限速2000_EI系列以上的交换机都可以限速!限速不同的交换机限速的方式不一样!2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!端口限速配置1功能需求及组网说明端口限速配置『配置环境参数』1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24『组网需求』1. 在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps2数据配置步骤『S2000EI系列交换机端口限速配置流程』使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。

【SwitchA相关配置】1. 进入端口E0/1的配置视图[SwitchA]interface Ethernet 0/12. 对端口E0/1的出方向报文进行流量限速，限制到3Mbps[SwitchA- Ethernet0/1]l ine-rate outbound 303. 对端口E0/1的入方向报文进行流量限速，限制到1Mbps[SwitchA- Ethernet0/1]line-rate inbound 16【补充说明】报文速率限制级别取值为1～127。

如果速率限制级别取值在1～28范围内，则速率限制的粒度为64Kbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为N*64K；如果速率限制级别取值在29～127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为(N-27)*1Mbps。

此系列交换机的具体型号包括：S2008-EI、S2016-EI和S2403H-EI。

华为交换机配置实例序号注意项目记录1 登录交换机时请注意在超级终端串口配置属性流控选择“无”2 启动时按”ctrl+B”可以进入到boot menu模式3 当交换机提示”Please Press ENTER”，敲完回车后请等待一下，设备需要一定的时间才能进入到命令行界面（具体的时间视产品而定）4 请在用户视图（如<Quidway>）输入”system-view”（输入”sys”即可）进入系统视图(如[Quidway])5 对使用的端口、vlan、interface vlan进行详细的描述6 如果配置了telnet用户，一定要设置权限或配置super密码7 除了S5516使用SFP模块，S8016和S6500系列使用模块，其它产品使用模块不可以带电插拔8 某产品使用其它产品模块前请确认该模块是否可以混用9 配置acl时请注意掩码配置是否准确10 二层交换机配置管理IP后，请确保管理vlan包含了管理报文到达的端口11 配置完毕后请在用户视图下（如<Quidway>）采用save命令保存配置12 请确保在设备保存配置的时候不掉电，否则可能会导致配置丢失13 如果要清除所有配置，请在用户视图下（如<Quidway>）采用resetsaved-configuration，并重启交换机注：其他配置需注意的地方请参考每部分内容后面的注明LANSW IT CH日常维护基本操作1 基本操作1.1 常用命令新旧对照列表常用命令新旧对照表旧新旧新show display access-list aclno undo acl eaclexit quitwrite save show version disp versionerase reset show run disp current-configurationshow tech-support disp diagnostic-informationshow start disp saved-configurationrouter ospf ospfrouter bgp bgprouter rip riphostname sysnameuser local-user0 simple7 ciphermode link-typemulti hybrid注意:1. disp是display的缩写，在没有歧义时LANSW IT CH会自动识别不完整词2. disp cur显示LANSW IT CH当前生效的配置参数3. disp和ping命令在任何视图下都可执行，不必切换到系统视图4. 删除某条命令，一般的命令是undo xxx，另一种情况是用其他的参数代替现在的参数，如有时虽然xxx abc无法使用undo删除，但是可以修改为xxx def以太网端口链路类型介绍以太网端口有三种链路类型：Access、Hybrid和Trunk。

华为S9300核心交换机链路聚合配置实例配置静态LACP模式链路聚合示例组网需求如图1所示，在两台S9300设备上配置静态LACP模式链路聚合组，提高两设备之间的带宽与可靠性，具体要求如下：•2条活动链路具有负载分担的能力。

•两设备间的链路具有1条冗余备份链路，当活动链路出现故障链路时，备份链路替代故障链路，保持数据传输的可靠性。

图1 配置静态LACP模式链路聚合组网图配置思路采用如下的思路配置静态LACP模式链路聚合：1.在S9300设备上创建Eth-Trunk，配置Eth-Trunk为静态LACP模式。

2.将成员接口加入Eth-Trunk。

3.配置系统优先级确定主动端。

4.配置活动接口上限阈值。

5.配置接口优先级确定活动链路。

数据准备为完成此配置例，需准备如下的数据：•两端S9300设备链路聚合组编号。

•S9300-A系统优先级。

•活动接口上限阈值。

•活动接口LACP优先级。

操作步骤1.创建编号为1的Eth-Trunk，配置它的工作模式为静态LACP模式# 配置S9300-A。

<Quidway> system-view[Quidway] sysname S9300-A[S9300-A] interface eth-trunk 1[S9300-A-Eth-Trunk1] mode lacp-static[S9300-A-Eth-Trunk1] quit# 配置S9300-B。

<Quidway> system-view[Quidway] sysname S9300-B[S9300-B] interface eth-trunk 1[S9300-B-Eth-Trunk1] mode lacp-static[S9300-B-Eth-Trunk1] quit2.将成员接口加入Eth-Trunk# 配置S9300-A。

[S9300-A] interface gigabitethernet 1/0/1[S9300-A-Gigabitethernet1/0/1] eth-trunk 1[S9300-A-Gigabitethernet1/0/1] quit[S9300-A] interface gigabitethernet 1/0/2[S9300-A-Gigabitethernet1/0/2] eth-trunk 1[S9300-A-Gigabitethernet1/0/2] quit[S9300-A] interface gigabitethernet 1/0/3[S9300-A-Gigabitethernet1/0/3] eth-trunk 1[S9300-A-Gigabitethernet1/0/3] quit# 配置S9300-B。

华为STP配置案例华为STP（Spanning Tree Protocol）是一种用于防止网络环路和实现网络冗余的协议。

它通过树形结构选择最佳路径，并自动屏蔽冗余链路，确保数据包的稳定传输。

下面将以一个案例来展示华为STP的配置。

假设有一个企业局域网，包括三个交换机，分别为Core Switch、Distribution Switch和Access Switch。

Core Switch是网络的核心设备，连接上级网络；Distribution Switch连接不同的楼层，并连接到Core Switch；Access Switch连接具体的终端设备。

现在需要配置STP以实现网络的冗余和环路的避免。

首先，需要在Core Switch上启用STP。

核心交换机是整个网络的根桥，我们可以使用智能树选择根桥ID，也可以手动指定。

假设我们手动指定Core Switch为根桥，Root ID为Bridge ID。

在命令行界面下输入以下命令：```<Huawei> system-view[Huawei] stp mode stp //启用STP功能，将交换机模式设置为STP[Huawei] stp region-configuration[Huawei-stp-region] region 0 //指定当前交换机的STP配置区域为0[Huawei-stp-region] priority 0 //指定当前交换机的优先级为0，最高优先级为0，表示该交换机为根桥[Huawei-stp-region] root primary //设置当前交换机为根网关[Huawei-stp-region] quit[Huawei] quit```接下来，需要在Distribution Switch上配置STP。

我们可以使用自动树生成器生成可用的树。

在命令行界面下输入以下命令：```<Huawei> system-view[Huawei] stp mode stp //启用STP功能，将交换机模式设置为STP[Huawei] stp region-configuration[Huawei-stp-region] region 0 //指定当前交换机的STP配置区域为0[Huawei-stp-region] priority 1 //指定当前交换机的优先级为1，次高优先级[Huawei-stp-region] root secondary //设置当前交换机为次级根网关[Huawei-stp-region] quit[Huawei] quit```最后，在Access Switch上配置STP。

华为交换机设置经典案例2016年华为交换机设置经典案例本文为大家分享的是华为3Com8016交换机的DHCP配置案例，希望对同学们学习华为交换机基础知识有帮助!1功能需求及组网说明8016DHCP配置『配置环境参数』1.DHCP server的IP地址192.168. 0.10/242.DHCP server连接在交换机G1/0/0,属于vlan100,网关即vlan100虚接口地址192.168.0.1/243.交换机通过G1/0/1连接SwitchAG1/1,G1/0/2连接SwitchBG1/14.SwitchA通过G2/1连接SwitchC G1/15.vlan10的用户网段为10.10.1.1/246.vlan20的用户网段为10.10.2.1/247.vlan30的用户网段为10.10.3.1/248.SwitchA和SwitchC为二层交换机，SwitchB为三层交换机『组网需求』1.8016作DHCP relay,利用远端DHCP server为SwitchA下面的vlan10分配IP地址2.SwitchB上的vlan20用户以8016上的vlan20虚接口为网关，8016作DHCP server直接为其分配IP地址3.SwitchC上的vlan30用户以SwitchB上的vlan30虚接口为网关，8016作DHCP server为其分配IP地址2数据配置步骤『8016DHCP relay数据流程』DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况，通过Relay,不同子网的用户可以到同一个DHCP server申请IP 地址，这样便于地址池的管理和维护。

【8016DHCP relay配置】1.DHCP server要配置到一个VLAN上，这个VLAN可以是任意的，但是要实现Relay,不要将Server同任何客户端配置到同一个VLAN内，建议专门划出VLAN给DHCP server组使用，这里将DHCP服务器组1对应的端口的VLAN配置为100.[Quidway] vlan 100[Quidway-vlan100] port gigabitethernet 1/0/0[Quidway] interface vlanif 1002.配置DHCP server的网关地址[Quidway-Vlanif100] ip address 192.168.0.1 255.255.255.03.配置DHCP服务器组1对应的IP地址。

华为交换机配置实例华为交换机配置实例LANSWITCH配置注释序列号注释项目记录1请注意登录交换机时，按“ctrl+B”进入引导菜单模式|当交换机在1993年提示“请按回车键”时，请按回车键后等待。

设备需要一定的时间才能进入命令行界面(具体时间取决于产品)4请在用户视图中输入“系统视图”(如“sys”)以进入系统视图(如[魁伟)5用于端口、vlan、接口vlan的详细描述6如果配置了telnet用户，请务必设置权限或配置超级密码7，使用SFP模块的S5516、S8016和S6500除外8其他产品使用模块不能带电插拔在产品使用其他产品模块之前，请确认该模块是否可以与9混合配置acl。

请注意掩码配置是否准确10在第2层交换机配置管理IP后，请确保管理vlan包括管理消息到达的端口11。

配置完成后，请使用save命令在用户视图中保存配置12(例如)。

请确保设备保存配置时不会断电。

否则，配置可能丢失13。

如果要清除所有配置，请在用户视图中使用重置保存的配置(例如)。

并重新启动开关注意:请参考注意“LANSWITCH日常维护基本操作1基本操作1.1常用命令新旧检查单常用命令新旧检查单新旧显示访问列表acl无撤销acl eacl退出写入保存显示版本显示版本显示版本擦除重置显示运行显示当前配置显示技术支持显示诊断信息显示开始显示保存的配置disp是DISP的缩写。

当没有歧义时，LANSWITCH 将自动识别不完整的单词。

2.disp cur显示当前有效的配置参数3。

LANSWITCH的disp和ping命令可以在任何视图下执行。

没有必要切换到系统视图4。

删除命令。

一般命令是撤销xxx。

在另一种情况下，使用其他参数代替当前参数。

例如，虽然xxx abc不能通过撤消删除，但它可以修改为xxx def以太网端口链接类型简介以太网端口有三种链接类型:接入、混合和中继接入型端口只能属于一个VLAN，通常用于连接计算机。

1交换机VLAN应用配置1功能需求及组网说明『配置环境参数』1.PC1和PC2分别连接到交换机SwitchA的端口E0/1和E0/2，端口分别属于VLAN10和20『组网需求』1.PC1属于VLAN10。

2.PC2属于VLAN20。

2数据配置步骤『交换机VLAN应用配置流程』1、缺省情况下，交换机存在一个默认的VLAN，即VLAN 1，且VLAN 1不能被删除；2、将端口加入到某VLAN X中，有两种方法：创建某VLAN X，进入VLAN X的配置视图，将指定端口加入VLAN X；进入指定端口的配置视图，修改该端口的PVID为X『方法1』【SwitchA相关配置】1.创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12.创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/2『方法2』【SwitchA相关配置】1.进入以太网端口E0/1的配置视图[SwitchA]interface Ethernet 0/12.配置端口E0/1的PVID为10[SwitchA-Ethernet0/1]port access vlan 103.进入以太网端口E0/1的配置视图[SwitchA]interface Ethernet 0/24.配置端口E0/2的PVID为20[SwitchA-Ethernet0/2]port access vlan 20【补充说明】无2交换机VLAN接口静态IP地址配置1功能需求及组网说明『配置环境参数』1.SwitchA为三层交换机2.PC1连接到SwitchA的以太网端口E0/1，属于VLAN103.PC2连接到SwitchA的以太网端口E0/2，属于VLAN204.SwitchA的VLAN接口10的IP地址为10.1.1.1/24，VLAN接口20的IP地址为20.1.1.1/24，分别作为PC1和PC2的网关『组网需求』PC1和PC2可以通过SwitchA进行互通2数据配置步骤『VLAN接口静态IP地址配置流程』创建VLAN接口，并配置IP地址。

华为三层交换机5700系列配置⽰例配置说明配置华为交换机的注意事项（针对5700系列）默认情况下，华为设备管理地址为192.168.1.253/24，账号 admin, 密码 admin@如果有web界⾯管理功能，可以尝试使⽤ETH⼝登陆，如果登陆不上，可以按住MODE键6s,重置，打开web登陆功能。

在配三层交换机配置vlan时，默认情况下不同的vlan⽹段是可以通过路由互通的，不⽤额外配置（如思科等设备需要开启ip routing）如果要对端⼝批量操作，如配置vlan，可以先创建⼀个组,使⽤ port-group GROUP-NAME命令创建组，并通过group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/20 来批量添加组员，以后需要对这些端⼝操作进⼊此group就可以了。

如果要对不同的vlan⽹络隔离，需要配置ACL策略。

在使⽤PC机进⾏测试时，要关闭⽆线和其他的虚拟⽹卡，并确认关闭防⽕墙，排除测试⼲扰因素。

实现⽅式三层核⼼交换机在配置多个不同⽹段互联时，有以下两种⽅式：1. 单臂路由⽅式: 三层核⼼交换机配置多⽹络vlan，与上联汇聚层设备接⼝使⽤trunk透传，上联防⽕墙或路由器创建⼦接⼝并对应VLAN作为⽹关，vlan间的数据路由在上联设备完成。

单臂路由⽅式：2. 静态路由⽅式: 三层核⼼交换机作为接⼊设备，配置多⽹络vlan，并创建⽹关，上联接⼝配置静态IP，交换机和上联设备添加静态路由，vlan之间的数据路由在接⼊交换机上完成。

静态路由⽅式：设备配置单臂路由⽅式（Trunk）路由器：LAN1: 192.168.1.1下⼀跳地址： 192.168.1.2SW1GE1/0/1: 192.168.1.2 VLAN 1GE1/0/2: TRUNK 允许 VLAN 2 3GE1/0/3: 192.168.4.1 VLAN 4SW2GE1/0/1: TRUNK VLAN 2 3GE1/0/23: 192.168.2.1/24 VLAN 2GE1/0/24: 192.168.3.1/24 VLAN 3SW3默认不⽤配置，充当⼆层交换机配置思路采⽤如下的思路配置汇聚层设备作为⽹关实现不同⽹段⽤户间的通信：配置接⼊交换机，基于接⼝划分VLAN，实现⼆层互通。

目录第1章 MSTP配置..................................................................................................................1-11.1 MSTP简介.........................................................................................................................1-11.1.1 MSTP的协议报文....................................................................................................1-11.1.2 MSTP的基本概念....................................................................................................1-11.1.3 MSTP的基本原理....................................................................................................1-51.1.4 MSTP在交换机上的实现.........................................................................................1-61.2 配置根桥.............................................................................................................................1-61.2.1 配置准备..................................................................................................................1-71.2.2 配置MST域............................................................................................................1-81.2.3 指定当前交换机为根桥或备份根桥..........................................................................1-91.2.4 配置当前交换机的桥优先级...................................................................................1-111.2.5 配置MSTP的工作模式.........................................................................................1-111.2.6 配置MST域的最大跳数........................................................................................1-121.2.7 配置交换网络的网络直径.......................................................................................1-131.2.8 配置MSTP的时间参数.........................................................................................1-131.2.9 配置超时时间因子..................................................................................................1-151.2.10 配置端口的最大发送速率.....................................................................................1-161.2.11 配置端口为边缘端口............................................................................................1-171.2.12 配置端口是否与点对点链路相连..........................................................................1-181.2.13 开启MSTP特性..................................................................................................1-201.3 配置叶子节点...................................................................................................................1-211.3.1 配置准备................................................................................................................1-221.3.2 配置MST域..........................................................................................................1-221.3.3 配置MSTP的工作模式.........................................................................................1-221.3.4 配置超时时间因子..................................................................................................1-221.3.5 配置端口的最大发送速率.......................................................................................1-221.3.6 配置端口为边缘端口..............................................................................................1-221.3.7 配置端口的路径开销..............................................................................................1-221.3.8 配置端口的优先级..................................................................................................1-251.3.9 配置端口是否与点对点链路相连............................................................................1-261.3.10 开启MSTP特性..................................................................................................1-261.4 执行mCheck操作............................................................................................................1-261.4.1 配置准备................................................................................................................1-271.4.2 配置过程................................................................................................................1-271.4.3 配置举例................................................................................................................1-271.5 配置交换机的保护功能.....................................................................................................1-281.5.1 保护功能简介.........................................................................................................1-281.5.2 BPDU保护功能的配置..........................................................................................1-291.5.3 Root保护功能的配置.............................................................................................1-301.5.4 环路保护功能的配置..............................................................................................1-311.5.5 防止TC-BPDU报文攻击配置................................................................................1-31 1.6 配置摘要侦听特性............................................................................................................1-321.6.1 简介.......................................................................................................................1-321.6.2 摘要侦听特性的配置..............................................................................................1-33 1.7 快速迁移特性...................................................................................................................1-341.7.1 简介.......................................................................................................................1-341.7.2 快速迁移配置.........................................................................................................1-35 1.8 BPDU TUNNEL特性的配置.............................................................................................1-361.8.1 简介.......................................................................................................................1-361.8.2 BPDU TUNNEL的配置.........................................................................................1-37 1.9 STP可维护性配置............................................................................................................1-381.9.1 简介.......................................................................................................................1-381.9.2 配置端口发送log和trap信息...............................................................................1-381.9.3 配置举例................................................................................................................1-38 1.10 MSTP显示和维护..........................................................................................................1-38 1.11 MSTP典型配置案例......................................................................................................1-39 1.12 BPDU TUNNEL配置典型案例.......................................................................................1-41第1章 MSTP配置1.1 MSTP简介STP（Spanning Tree Protocol，生成树协议）不能使端口状态快速迁移，即使是在点对点链路或边缘端口，也必须等待2倍的Forward delay的时间延迟，端口才能迁移到转发状态。

目录交换机远程TELNET登录 (2)交换机远程AUX口登录 (5)交换机DEBUG信息开关 (6)交换机SNMP配置 (9)交换机WEB网管配置 (10)交换机VLAN配置 (12)端口的TRUNK属性配置(一） (14)交换机端口TRUNK属性配置（二） (16)交换机端口TRUNK属性配置（三） (18)交换机端口HYBRID属性配置 (21)交换机IP地址配置 (23)端口汇聚配置 (25)交换机端口镜像配置 (27)交换机堆叠管理配置 (29)交换机HGMP V1 管理配置 (31)交换机集群管理（HGMP V2）配置 (33)交换机STP配置 (34)路由协议配置 (36)三层交换机组播配置 (41)中低端交换机DHCP—RELAY配置 (44)交换机802。

1X配置 (46)交换机VRRP配置 (51)单向访问控制 (54)双向访问控制 (57)IP+MAC+端口绑定 (62)通过ACL实现的各种绑定的配置 (64)基于端口限速的配置 (66)基于流限速的配置 (68)其它流动作的配置 (70)8016 交换机DHCP配置 (73)交换机远程TELNET 登录1 功能需求及组网说明2telnet 配置『配置环境参数』PC 机固定IP 地址10。

10。

10。

10/24SwitchA 为三层交换机，vlan100 地址10。

10。

10。

1/24SwitchA 与SwitchB 互连vlan10 接口地址192。

168.0。

1/24SwitchB 与SwitchA 互连接口vlan100 接口地址192。

168.0。

2/24交换机SwitchA 通过以太网口ethernet 0/1 和SwitchB 的ethernet0/24 实现互连。

『组网需求』1. SwitchA 只能允许10.10.10.0/24 网段的地址的PC telnet 访问2. SwitchA 只能禁止10.10.10.0/24 网段的地址的PC telnet 访问3. SwitchB 允许其它任意网段的地址telnet 访问2 数据配置步骤『PC 管理交换机的流程』1. 如果一台PC 想远程TELNET 到一台设备上,首先要保证能够二者之间正常通信.SwitchA 为三层交换机，可以有多个三层虚接口，它的管理vlan 可以是任意一个具有三层接口并配置了IP 地址的vlan2. SwitchB 为二层交换机,只有一个二层虚接口，它的管理vlan 即是对应三层虚接口并配置了IP 地址的vlan3. Telnet 用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet 登录，则系统会提示“password required, but none set。

华为交换机Vlan间访问控制配置案例华为交换机ACL/QOS调用ACL配置案例1 ACL概述随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。

通过对报文进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。

ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

ACL 通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源MAC 地址、目的MAC 地址、源IP地址、目的IP地址、端口号等。

2 案例背景网络环境拓扑如下（客户端接入交换机约有几十个，所有设备均采用静态IP）服务器区所有服务器网关均在核心交换机上，共有9个Vlan，9个网段分别如下；Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24交换机管理Vlan为Vlan1: 10.0.13.0/24，核心交换机的管理ip为10.0.13.254，其余接入交换机网关均在核心交换机上；客户端共有8个Vlan，分别为Vlan20-Vlan100，网段分别为10.0.20.0/24-10.0.100.0/24，网关均在核心交换机上；3 需求一：对服务器区服务器做安全防护，只允许客户端访问服务器某些端口由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器，也即客户端访问服务器需要通过防火墙，所以对服务器的防护应该放到防火墙上来做，因为若用交换机来做过滤，配置麻烦且失去了防火墙应有的作用（此处不做防火墙配置介绍）；4 需求二：交换机只允许固定管理员通过ssh登陆此处做防护有较为方便的俩种方法一：在所有交换机配置VTY时，调用ACL只允许源为网络管理员的IP访问，但此方法虽配置不复杂，但是配置工作量较大需要在所有交换机上配置，而且不灵活例如在网络管理员人员或者IP变迁时，需要重新修改所有交换机ACL，所以并不是首选方案；二：因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan，也即客户端访问接入交换机必须通过核心交换机，所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问，核心交换机的访问通过VTY 来调用ACL；配置部分在下面；5 需求三：客户端VLAN之间不能互相访问，客户端只允许访问服务器VLAN一：在核心交换机上的所有链接客户端接入交换机端口做ACL，只放行访问服务器的流量，拒绝其余流量，但由于客户端接入交换机约有几十台，所以配置工作量大几十个端口都需要配置，所以也不是首选方案；二：在核心交换机上的客户端Vlan做Acl，只放行访问服务器的流量，拒绝其余流量，由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言，工作量较小，所以选择此方案；6 配置部分6.1 ACL配置部分acl number 2000rule 5 permit source 10.0.20.11 0rule 10 permit source 10.0.21.15 0rule 15 deny//定义允许访问核心交换机的俩位网络管理员IP地址；acl number 3000rule 51 permit ip destination 10.0.10.0 0.0.0.255rule 53 permit ip destination 10.0.12.0 0.0.0.255rule 55 permit ip destination 10.0.14.0 0.0.0.255rule 56 permit ip destination 10.0.15.0 0.0.0.255rule 57 permit ip destination 10.0.16.0 0.0.0.255rule 58 permit ip destination 10.0.17.0 0.0.0.255rule 59 permit ip destination 10.0.18.0 0.0.0.255rule 60 permit ip destination 10.0.19.0 0.0.0.255//定义所有客户端只允许访问服务器Vlanrule 71 permit tcp source 10.0.20.11 0 destination 10.0.13.0 0.0.0.255 destination-port eq 22rule 72 permit tcp source 10.0.21.15 0 destination 10.0.13.0 0.0.0.255 destination-port eq 22//定义允许访问核心交换机的tcp22端口（即SSH）的俩位网络管理员IP；acl number 3100rule 5 permit ip//拒绝除允许网段外的其余所有流量//由于此处的acl3000及3100是给下面的QOS做调用的，所以此处的permit或deny不起作用，随意设置即可；6.2 Qos调用部分traffic classifier 3000 operator or precedence 5if-match acl 3000// 定义名为classifier 3000的流分类，并调用ACL3000traffic classifier 3100 operator or precedence 10if-match acl 3100// 定义名为classifier 3100的流分类，并调用ACL3100//定义流分类traffic behavior 3000permit//定义名为behavior 3000的流行为，并赋予允许值traffic behavior 3100deny//定义名为behavior 3100的流行为，并赋予拒绝值//定义流行为//上面ACL的允许或拒绝不起作用，通过此处来定义拒绝或允许traffic policy 634aclclassifier 3000 behavior 3000classifier 3100 behavior 3100//定义名为policy 634acl流策略，并将classifier 3000流分类与behavior 3000流行为关联，以及classifier 3100流分类与behavior 3100流行为关联（注意：允许在前，拒绝在后）；vlan 20description kjfzb jimitraffic-policy 634acl inbound//依次登录客户端Vlan应用流策略至此完成了所有客户端Vlan之间不能互访，以及除网络管理员之外不能访问接入交换机管理网段的访问控制；user-interface vty 0 4acl 2000 inbound//在vty界面中调用Acl2000，即只允许俩网络管理员登录；authentication-mode aaauser privilege level 3protocol inbound ssh//至此完成了只允许网络管理员登录核心交换机的访问控制；。

QinQ二层隧道当需要较多的VLAN时，可以配置QinQ二层隧道功能。

通过对VLAN增加外层Tag，使得V LAN的可用数目范围变大，解决VLAN数目资源紧缺的问题。

配置QinQ二层隧道，使得报文带有两层Tag传输。

在如图1所示的网络中，企业部门1有两个办公地，部门2有三个办公地，两个部门的各办公地分别和网络中的PE1、PE2相连，部门1和部门2可以任意规划自己的VLAN。

图1 配置QinQ二层隧道典型组网图在PE1和PE2上通过如下思路配置QinQ二层隧道功能，使得每个部门的各个办公地网络可以互通，但两个部门之间不能互通。

∙在PE1上，对于进入端口GE1/0/1和GE1/0/3的用户报文都封装外层VLAN 10，对于进入端口GE1/0/2中用户报文都封装外层VLAN 20。

∙在PE2上，对于进入端口GE1/0/1和GE1/0/2的用户报文都封装外层VLAN 20。

PE1上的接口GE1/0/4和PE2上的接口GE1/0/3允许VLAN 20的报文通过。

部门1和部门2外层VLAN规划如表1所示：配置基于接口的QinQ示例组网需求如图1所示，网络中有两个大企业，企业1有两个办公地，企业2有三个办公地，这两个企业的各办公地的企业网都分别和运营商网络中的SwitchG或SwitchF相连。

企业1的网络中使用VLAN1000～VLAN1500，企业2的网络中使用VLAN2000～VLAN3000。

要求企业内部各办公地相同VLAN内用户可以通过运营商的网络互相通信，但两个企业之间互相隔离。

图1 配置基于接口的QinQ组网图配置思路采用如下的思路配置QinQ：1.在SwitchF上创建VLAN10和VLAN20，在SwitchG上创建VLAN20。

2.在SwitchF上配置接口GE1/0/1、GE2/0/1、GE3/0/1的类型为QinQ。

3.在SwitchG上配置接口GE1/0/1、GE2/0/1的类型为QinQ。

华为S3928 三层交换机配置2008-08-04 11:06 配置环境与配置文件如下:环境, 双wan 口路由接入ADSL ,下接华为S3928p-SI 做核心交换机.交换机下接普通PC 和傻瓜式的TP-Link 交换机, 现用可核心交换机e 1/0/24 口（ip:直接连接路由器.划分 5 个vlan 并隔离 e 1/0/11 to e 1/0/14 端口.<Quidway>dis cur sysname Quidway dhcp-server 1 ip scheme system domain system vlan 1 vlan 2 description comman vlan 3 description finance vlan 4 description ap vlan 5 description server vlan 6#description route interface Vlan-interface2 ip address Vlan-interface3ip address Vlan-interface4ip address interface Vlan-interface5ip address Vlan-interface6ip address Aux1/0/0interface Ethernet1 /0/1port access vlan 2 interfaceEthernet1 /0/2 port accessvlan 2 interface Ethernet1/0/3 port access vlan 2interface Ethernet1 /0/4port access vlan 2 interfaceEthernet1 /0/5 port accessvlan 2#port access vlan 2 interface Ethernet1 /0/7 port access vlan 2 interface Ethernet1 /0/8 port access vlan 2 interface Ethernet1 /0/9 port access vlan 2 interface Ethernet1 /0/10 port access vlan 2 interface Ethernet1 /0/11 port access vlan 3 port isolate interface Ethernet1 /0/12 port access vlan 3 port isolateinterface Ethernet1 /0/13 port access vlan 4 port isolateport access vlan 4 port isolate interface Ethernet1 /0/15 port access vlan 5 interface Ethernet1 /0/16 port access vlan 5 interface Ethernet1 /0/17 port access vlan 5 interface Ethernet1 /0/18 port access vlan 5 interface Ethernet1 /0/19 port access vlan 5 interface Ethernet1 /0/20 port access vlan 5 interface Ethernet1 /0/21 interface Ethernet1 /0/22interface Ethernet1 /0/23interface Ethernet1 /0/24port access vlan 6interface GigabitEthernet1 /1/ 1interfaceGigabitEthernet1/1/2interfaceGigabitEthernet1/1/3interfaceGigabitEthernet1/1/4undo irf-fabric authentication-modeinterface NULL0voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000ip route-static 0.0.0.0 preference 60user-interface aux 07user-interface vty 04return 另需要路由器上添加回路,对应该交换机的路由规则. 侠诺路由器支持多子网段,还需添加的子网段.。