华为S2700 S3700系列 01-01 接口基础配置

11策略路由配置关于本章通过配置策略路由，可以用于提高网络的安全性能和负载分担。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

11.2 配置举例配置示例中包括组网需求和配置思路等。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

背景信息通过配置重定向，设备将符合流分类规则的报文重定向到指定的下一跳地址。

包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。

说明对于S2700系列交换机，只有S2700-52P-EI和S2700-52P-PWR-EI交换机支持策略路由。

前置任务在配置策略路由前，需要完成以下任务：●配置相关接口的IP地址和路由协议，保证路由互通。

●如果使用ACL作为策略路由的流分类规则，配置相应的ACL。

操作步骤1.配置流分类a.执行命令system-view，进入系统视图。

b.执行命令traffic classifier classifier-name [ operator { and | or } ]，创建一个流分类并进入流分类视图，或进入已存在的流分类视图。

and表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：▪当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；▪当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。

or表示流分类各规则之间是“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。

缺省情况下，流分类中各规则之间的关系为“逻辑与”。

c.请根据实际情况定义流分类中的匹配规则。

d.执行命令quit，退出流分类视图。

2.配置流行为a.执行命令traffic behavior behavior-name，创建一个流行为，进入流行为视图。

b.请根据实际需要进行如下配置：▪执行命令redirect ip-nexthop ip-address &<1-4> [ forced ]，将符合流分类的报文重定向到下一跳。

2 VLAN配置关于本章VLAN具有隔离广播域、增强保密性、组网灵活和扩展性良好等特点。

2.1 VLAN概述介绍VLAN的定义、由来和作用。

2.2 设备支持的VLAN特性设备支持的VLAN特性包括VLAN的划分、VLAN间的通信、VLAN聚合、MUX VLAN、管理VLAN。

2.3 缺省配置介绍了VLAN参数的缺省配置。

2.4 划分VLAN创建并划分VLAN，将没有互通需求的用户进行隔离，增强网络的安全性、减少广播流量，同时也减少了广播风暴的产生。

2.5 配置VLANIF接口实现VLAN间的通信VLANIF接口是三层逻辑接口，在设备上创建VLANIF接口后，可实现VLAN间的通信。

2.6 配置VLAN聚合节约IP地址VLAN聚合解决了IP地址资源浪费问题，同时可实现不同VLAN间通信。

2.7 配置MUX VLANMUX VLAN可实现VLAN间通信，也可实现VLAN内的用户相互隔离。

2.8 配置管理VLAN实现网管集中管理设备配置管理VLAN功能，用户通过管理VLAN的VLANIF接口登录到管理交换机，实现网管集中管理设备。

2.9 维护VLAN维护VLAN，包括查看和清除VLAN的统计信息。

2.10 配置举例介绍VLAN的配置举例。

配置示例中包括组网需求、配置思路、操作步骤等。

2.11 常见配置错误介绍VLAN常见配置错误的处理方法。

2.1 VLAN概述介绍VLAN的定义、由来和作用。

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。

当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。

通过交换机实现LAN（Local AreaNetwork）互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。

10路由策略配置关于本章路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。

10.1 路由策略概述随着网络的日益扩大，路由表激增导致网络负担越来越重，网络安全问题也越来越多。

为了解决上述问题，可以在路由协议发布、接收和引入路由时配置路由策略，过滤路由和改变路由属性。

10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。

10.3 配置过滤器路由策略过滤器包括访问控制列表、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。

本章介绍其中的地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器的配置。

其中访问控制列表的配置请参见《S2700, S3700 系列以太网交换机配置指南-安全》中的“ACL配置”。

10.4 配置路由策略路由策略的每个节点由一组if-match子句和apply子句组成。

10.5 配置路由策略生效时间为了保障网络的稳定性，修改路由策略时需要控制路由策略的生效时间。

10.6 维护路由策略路由策略的维护包括清除地址前缀列表统计数据。

10.7 配置举例路由策略配置举例包括组网需求、组网图、配置思路和配置步骤。

10.1 路由策略概述随着网络的日益扩大，路由表激增导致网络负担越来越重，网络安全问题也越来越多。

为了解决上述问题，可以在路由协议发布、接收和引入路由时配置路由策略，过滤路由和改变路由属性。

路由策略与策略路由的区别策略路由PBR（Policy-Based Routing）与单纯依照IP报文的目的地址查找转发表进行转发不同，是一种依据制定的策略而进行路由选择的机制，可应用于安全、负载分担等目的。

路由策略与策略路由是两种不同的机制，主要区别如表10-1。

表10-1路由策略与策略路由的区别10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。

1以太网链路聚合配置关于本章链路聚合是将多条以太网链路捆绑在一起成为一条逻辑链路。

通过配置链路聚合，可以实现增加带宽、提高可靠性、负载分担的目的。

1.1 链路聚合概述介绍链路聚合的定义、由来和作用。

1.2 设备支持的链路聚合特性设备支持手工负载分担和LACP（Link Aggregation Control Protocol）两种链路聚合模式。

1.3 缺省配置介绍了链路聚合参数的缺省配置。

1.4 配置手工负载分担模式链路聚合通过配置链路聚合，可以达到负载分担、增加带宽、提高可靠性的目的。

1.5 配置LACP模式链路聚合通过配置链路聚合，可以达到负载分担、增加带宽、提高可靠性的目的。

1.6 维护链路聚合维护链路聚合，包括监控链路聚合运行情况和清除LACP统计信息。

1.7 配置举例介绍链路聚合的配置举例。

配置示例中包括组网需求、配置思路、操作步骤等。

1.8 常见配置错误介绍链路聚合常见配置错误的处理方法。

1.1 链路聚合概述介绍链路聚合的定义、由来和作用。

链路聚合（Link Aggregation）是将—组物理接口捆绑在一起作为一个逻辑接口来增加带宽和可靠性的一种方法。

链路聚合组LAG（Link Aggregation Group）是指将若干条以太链路捆绑在一起所形成的逻辑链路，简写为Eth-Trunk。

随着网络规模不断扩大，用户对链路的带宽和可靠性提出越来越高的要求。

在传统技术中，常用更换高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽，但这种方案需要付出高额的费用，而且不够灵活。

采用链路聚合技术可以在不进行硬件升级的条件下，通过将多个物理接口捆绑为一个逻辑接口，实现增加链路带宽的目的。

链路聚合的备份机制能有效提高可靠性，同时，还可以实现流量在不同物理链路上的负载分担。

如图1-1所示，DeviceA与DeviceB之间通过三条以太网物理链路相连，将这三条链路捆绑在一起，就成为了一条Eth-Trunk逻辑链路，这条逻辑链路的带宽等于原先三条以太网物理链路的带宽总和，从而达到了增加链路带宽的目的；同时，这三条以太网物理链路相互备份，有效地提高了链路的可靠性。

9监控口配置关于本章通过配置监控口，可以实现对设备的使用环境进行监控，方便管理员对设备进行维护。

9.1 监控口简介介绍监控口的定义和目的。

9.2 配置注意事项介绍监控口特性的注意事项及设备支持的监控口。

9.3 配置监控口介绍监控口的详细配置过程。

9.4 配置举例介绍监控口配置举例。

配置示例中包括组网需求、配置思路等。

9.1 监控口简介介绍监控口的定义和目的。

定义监控口是位于设备上用于监控机柜门、设备电源、电池电量和空调电源等设备的接口。

目的在某些应用场景中，如交换机部署在接入侧作为楼道交换机实现宽带用户接入，因为楼道应用环境的特殊性，交换机需要安装在定制的机箱内，机箱内配置了备用电源。

由于这些设备与网络管理员所在的中心机房距离较远，当这些设备发生故障时，由于设备无法主动上报故障，导致网络管理员无法及时感知。

为了解决这个问题，交换机提供了环境监控接口，连接机柜门、备用电源等设备，当机箱门、备用电源等设备应用状况异常时，交换机发送Trap至网管站，实现对交换机应用环境的监控。

图9-1监控口应用示意图机柜门备用电源电池电量空调电源9.2 配置注意事项介绍监控口特性的注意事项及设备支持的监控口。

监控口特性的注意事项只有S3700-28TP-EI-MC支持此特性。

设备支持的监控口设备提供两个监控口，一个为监控输入口，另外一个为监控输出口。

●监控输入口：监控输入口为普通的以太网接口，提供4条输入线路，用来监控4种不同的源，例如机柜门、设备电源、电池电量和空调电源等设备（具体监控的设备由用户决定，可以监控但不限于上述设备）。

以直通网线为例，如图9-2所示，线序为：橙白、橙、绿白、蓝、蓝白、绿、褐白、褐。

每两根线为一路输入线路，这样依次橙白、橙为1号输入线路；绿白、绿为2号输入线路；蓝白、蓝为3号输入线路；褐白、褐为4号输入线路。

橙白、绿白、蓝白、褐白线要求连接到被监控设备的一个电平可变的端子上，被监控设备状态变化时，该端子的电平会由高变低或由低变高。

华为交换机Quidway S3700基础配置1、连接Console口客户机上运行超级终端，波特率为9600bit/s、8位数据位、1位停止位、校验和流控均为无，开机自检，自检后回车进入系统界面；2、设置交换机名称system-view sysname testcenter3、配置管理IP interface vlanif 1ip address 100.0.0.1 255.255.255.0quit4、配置管理VLAN((各vlan可以通信)<Huawei>system-view[Huawei]vlan batch 10 20 30 40[Huawei]in vlan 10[Huawei-vlanif10]ip add 192.168.10.1 24[Huawei-vlanfi10]in vlan 20[Huawei-vlanif20]ip add 192.168.20.1 24[Huawei-vlanif20]in vlan 30[Huawei-vlanif30]ip add 192.168.30.1 24[Huawei-vlanif30]in vlan 40[Huawei-vlanif40]ip add 192.168.40.1 24[Huawei-vlanif40]in ethe 0/0/1[Huawei-E0/0/1]port link-type access[Huawei-E0/0/1]port default vlan 10[Huawei-E0/0/1]in ethe 0/0/2[Huawei-E0/0/2]port link-type access[Huawei-E0/0/2]port default vlan 20[Huawei-E0/0/2]in ethe 0/0/3[Huawei-E0/0/3]port link-type access[Huawei-E0/0/3]port default vlan 30[Huawei-E0/0/3]in ethe 0/0/4[Huawei-E0/0/4]port link-type access[Huawei-E0/0/4]port default vlan 40[Huawei-E0/0/4]quit[Huawei]quit< Huawei>save5、配置telnet aaalocal-user admin password simple ***local-user admin service-type telnetlocal-user admin privilege level 15 quit6、赋予端口登录认证模式user-interface vty 0 4authentication-mode aaa return。

华为交换机Quidway S3700基础配置1、连接Console口客户机上运行超级终端，波特率为9600bit/s、8位数据位、1位停止位、校验和流控均为无，开机自检，自检后回车进入系统界面；2、设置交换机名称system-viewsysname testcenter3、配置管理IPinterface vlanif 1ip address 100.0.0.1 255.255.255.0quit4、配置管理VLAN((各vlan可以通信)<Huawei>system-view[Huawei]vlan batch 10 20 30 40[Huawei]in vlan 10[Huawei-vlanif10]ip add 192.168.10.1 24[Huawei-vlanfi10]in vlan 20[Huawei-vlanif20]ip add 192.168.20.1 24[Huawei-vlanif20]in vlan 30[Huawei-vlanif30]ip add 192.168.30.1 24[Huawei-vlanif30]in vlan 40[Huawei-vlanif40]ip add 192.168.40.1 24[Huawei-vlanif40]in ethe 0/0/1[Huawei-E0/0/1]port link-type access[Huawei-E0/0/1]port default vlan 10[Huawei-E0/0/1]in ethe 0/0/2[Huawei-E0/0/2]port link-type access[Huawei-E0/0/2]port default vlan 20[Huawei-E0/0/2]in ethe 0/0/3[Huawei-E0/0/3]port link-type access[Huawei-E0/0/3]port default vlan 30[Huawei-E0/0/3]in ethe 0/0/4 [Huawei-E0/0/4]port link-type access [Huawei-E0/0/4]port default vlan 40 [Huawei-E0/0/4]quit[Huawei]quit< Huawei>save5、配置telnetaaalocal-user admin password simple ***local-user admin service-type telnetlocal-user admin privilege level 15quit6、赋予端口登录认证模式user-interface vty 0 4authentication-mode aaareturn。

10安全关于本章本章主要介绍安全管理的相关概念和相关配置，主要包括：端口隔离、用户静态绑定、AAA配置、802.1X和MAC认证。

10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。

S2700SI系列交换机不支持此功能。

10.2 用户静态绑定用户静态绑定信息由用户手工配置，支持的绑定方式包括IP+PORT、MAC+PORT、IP+MAC+PORT、IP+PORT+VLAN、MAC+PORT+VLAN、IP+MAC+PORT+VLAN。

S2700SI系列交换机不支持此功能。

10.3 AAA配置AAA是Authentication，Authorization，Accounting（认证、授权和计费）的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

在S2700系列交换机中仅是支持用户管理功能。

10.4 802.1X介绍802.1X的基本配置包括全局和接口802.1X参数配置。

10.5 MAC认证介绍MAC地址认证的基本配置包括全局配置和接口配置，使用MAC地址认证的特性。

10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。

S2700SI系列交换机不支持此功能。

端口隔离模式可以配置为二层三层都隔离或者二层隔离三层互通，最常用的就是同一个小组成员两两之间不能二层互通，却可以通过访问公共资源。

如打印机、服务器等。

10.1.1 双向隔离提供配置隔离模式和双向隔离的新建、查询、修改、删除的功能。

背景信息●同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。

●交换机支持64个隔离组，编号为1～64。

操作步骤●配置隔离模式说明●缺省情况下，端口隔离模式为L2(二层隔离三层互通)。

●隔离模式选择应用后，会把双向隔离和单向隔离的配置都应用于该模式。

●切换下方的双向隔离和单向隔离标签不影响隔离模式的配置功能。

●S2700（除S2700-52P-PWR-EI）系列交换机不支持此功能。

2 IP路由基础配置关于本章通过配置IP路由基础，可以了解IP路由的基本参数。

2.1 路由表的显示和维护通过查看路由表，有助于了解网络拓扑结构和定位路由问题。

2.2 路由管理模块的显示通过查看路由管理模块的显示信息，有助于定位路由问题。

2.1 路由表的显示和维护通过查看路由表，有助于了解网络拓扑结构和定位路由问题。

背景信息查看路由表的信息是定位路由问题的基本手段，下面列举了通用的路由表信息显示及维护命令。

display命令可以在所有视图下使用。

reset命令在用户视图下使用。

交换机引入较多的路由会占用较多的系统资源，在系统业务繁忙时，这就有可能影响设备的正常运行。

为提高系统的安全性和可靠性，可以配置公网路由前缀限制，这样当路由前缀数超过预先设定的值时，系统会输出告警信息，从而提醒用户检查公网路由前缀的有效性。

操作步骤●使用display ip routing-table命令查看IPv4路由表中当前激活路由的摘要信息。

●使用display ip routing-table verbose命令查看IPv4路由表详细信息。

●使用display ip routing-table ip-address [ mask | mask-length ] [ longer-match ] [ verbose ]命令查看指定目的IPv4地址的路由信息。

●使用display ip routing-table ip-address1 { mask1 | mask-length1 } ip-address2 { mask2 | mask-length2 } [ verbose ]命令查看指定目的IPv4地址范围内的路由信息。

●使用display ip routing-table acl { acl-number | acl-name } [ verbose ]命令查看通过指定基本访问控制列表过滤的IPv4路由信息。

●使用display ip routing-table ip-prefix ip-prefix-name [ verbose ]命令查看通过指定前缀列表过滤的IPv4路由信息。

Quidway® S2700系列企业网交换机产品概述：Quidway® S2700系列企业网交换机（以下简称S2700）是华为公司推出的新一代绿色节能的以太网智能百兆接入交换机。

它基于新一代交换技术和华为VRP®（Versatile Routing Platform）软件平台，针对企业客户的各种应用场景，提供简单便利的安装维护手段，同时融合了灵活的VLAN部署、完备的安全和QoS控制策略、绿色环保等先进技术，可满足以太网多业务承载和接入需要，助力企业用户搭建面向未来的IT网络。

S2700为盒式产品设备，机箱高度为1U，提供标准型（SI）和增强型（EI）两种产品版本。

产品特性：免维护，易部署，易管理S2700•支持自动配置，智能式即插即用，大大降低初始安装成本；采用全新交换ASIC技术，整机无风扇设计，减少机械故障点的同时免除凝露腐蚀和尘土侵害，能有效降低主机53%维护率。

S2700支持自动批量远程升级，易于使用和部署；友好的Web网管，拓扑自动发现、告警管理、可视化配置，友好的人机界面，简化运维。

此外，还支持HGMPv2、SSHv2、HWTACACS+、RMON、基于端口的流量统计；支持NQA网络质量分析，有利于网络规划和升级。

S2700支持GVRP，实现VLAN动态分发、注册和传播VLAN属性，减少网络管理员的手工配置量、保证VLAN配置正确性，减少因为配置不一致而导致的网络互通问题。

业务控制灵活S2700-EI支持丰富的ACL策略控制，特别支持基于VLAN下发ACL规则，实现VLAN内多端口的灵活控制和统一资源调度。

S2700支持多种VLAN划分方式：支持基于端口划分VLAN，基于MAC地址划分VLAN，可以满足对安全和移动办公需求较高的网络应用场景。

卓越安全，接入舒心S2700支持完备的DHCP Snooping功能，通过侦听接入用户的MAC/IP 地址、租期、VLAN-ID、接口等字段信息，防止IP报文伪造、中间人攻击、DHCP服务器私接等常见企业安全威胁，保障网络接入安全。

---------------------------------------------------------------最新资料推荐------------------------------------------------------华为3700交换机基本配置-华为 3700 交换机基本配置‐没有测试‐主要我现在还不明白路由的配置，请老师给指教一下。

启动交换机Huaweisys[Huawei]sysnamehuawei（机器名）#[huawei]aaa（AAA 视图）[huawei‐aaa]local‐useradminpasswordcipheradmin（用户名和密码）[huawei‐aaa]local‐useradminservice‐typetelnet(接入类型）[huawei‐aaa]local‐useradminprivilegelevel3（用户级别）[huawei‐aaa]user‐interfacevty04[huawei‐ui‐vty0‐4]authe ntication‐modeaaa#[huawei]vlanbatch102030（批量创建 VLAN）[huawei]invlan10（VLAN 接口）[huawei‐Vlanif10]ipaddress172.18.136.7224（VLAN 接口地址）[huawei]invlan20（VLAN 接口）[huawei‐Vlanif10]ipaddress192.168.1.124（VLAN 接口地址）[huawei]invlan30（VLAN 接口）[huawei‐Vlanif10]ipaddress192.168.2.124（VLAN 接口地址）#[huawei]interfaceEthernet0/0/22[huawei‐Ethernet0/0/21]des criptionUPLINK[huawei‐Ethernet0/0/22]portlink‐typetrunk （更改接口为trunk 与三层交换机通讯）[huawei‐Ethernet0/0/22]porttrunkallow‐passvlan10[huawei]i nterfaceEthernet0/0/21[huawei‐Ethernet0/0/21]descriptionUP1 / 11LINK[huawei‐Ethernet0/0/21]portlink‐typetrunk（备用接口）[huawei‐Ethernet0/0/21]porttrunkallow‐passvlan10#[huawei ‐Ethernet0/0/1]portlink‐typeacces s..........（使用文本批量粘贴执行）[huawei‐Ethernet0/0/10]portlink‐typeaccess[huawei‐Ethern et0/0/1]porttrunkallow‐passvlan20..........（使用文本批量粘贴执行）[huawei‐Ethernet0/0/10]porttrunkallow‐passvlan20#[huawei ‐Ethernet0/0/11]portlink‐typeaccess..........（使用文本批量粘贴执行）[huawe i‐Ethernet0/0/20]portlink‐typeaccess[huawei‐Ethern et0/0/11]porttrunkallow‐passvlan30..........（使用文本批量粘贴执行）[huawei‐Ethernet0/0/20]porttrunkallow‐passvlan30#[Huawei] iproute‐static0.0.0.00.0.0.0172.18.136.73（这个地址与VLAN10 里的 172.18.136.72 有什么关联） Huaweisave是的，VLAN10 的路由这样写对不对，好像我没有指定下跳的 IP 地址，VLAN2030 的路由怎么写呢？VLAN20 为管理路由我一般设这样做，3700 上联路由器， VLAN10 是用来连接路由器的，恩，我就把你的路由器当成三层交换机（上级的交换机）地址段为172.18.136.1VLAN10 那我的这个 3700 交换机要想实现与上级路由器通讯上网，我的 VLAN2030 的路由应该怎么写呢？ vlan10 只开---------------------------------------------------------------最新资料推荐------------------------------------------------------一个端口，模式为 ACCESS，与路由器相连。