h3c 交换机的vlan控制策略路由设置
h3c交换机的vlan控制策略路由设置
昨天去一家客户那边调试h3c的设备,客户要做vlan间互访和策略路由.本以为挺简单的事情,可到了才发现不是自己想象的那样.vlan间互访没想到h3c搞的那么麻烦,cisco的数据流控制就是做一条访问列表,列表里定义了动作是拒绝还是允许,然后直接把这个列表应用到接口上就可以了,但h3c却没有这么简单,h3c我总结了一下总的思路是这样的1.首先定义访问控制列表,注意:假如要使把此列表应用到qos策略中的话此列表中的deny和permit是没有意义的,不管是permit还是deny都代表"匹配"该数据流.2.定义类,类里面很简单,就是简单的匹配某条列表.应该也可以像cisco一样匹配or或者and,我没验证.3.定义行为动作,行为动作可以分好多,常用的有filter deny,filter permit 拒绝/允许,还有改变下一条redirect next-hop.或者可以做标记,qos等.4.定义qos策略,把2,3里的类和行为建立关联,如什么类执行什么行为,可以做好多条,同一个行为如果找到第一项匹配则不再接着往下执行,所有有可能同一个数据流能满足多条不同行为操作的情况.5.把此qos策略应用到接口上.下面我把配置粘上来供大家参考#version 5.20, Release 5303#sysname master switch#domain default enable system#telnet server enable#vlan 1#vlan 20#vlan 23description 0023#vlan 24#vlan 30#vlan 40#vlan 50vlan 60#vlan 70#vlan 80#vlan 90#vlan 100#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#traffic classifier h3c operator andif-match acl 3060********* 定义类,30,50,90三个网段之间不能互访********traffic classifier wangtong operator andif-match acl 2010********* 定义类,20,60,90网段的用户分到wangtong这个类中*******traffic classifier dianxin operator andif-match acl 2020********* 定义类,30,50,70网段的用户分到电信这个类中*******traffic behavior h3cfilter deny********* 定义行为名字叫h3c的动作为丢弃!*********traffic behavior wangtongredirect next-hop 10.1.1.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.1.2*********traffic behavior dianxinredirect next-hop 10.1.2.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.2.2*********qos policy h3cclassifier h3c behavior h3cclassifier wangtong behavior wangtongclassifier dianxin behavior dianxin***********定义一个qos策略(注意,这里是总的qos策略,其中包括vlan间访问控制和策略路由控制都汇聚到此策略中了)1.满足h3c类别的数据流执行h3c这个行为,这里行为为丢弃2.满足wangtong类别的数据流执行网通这个行为,这里的行为为改变下一跳为10.1.1.23.满足dianxin类别的数据流执行dianxin这个行为,这里的行为为改变下一跳为10.1.2.2 ***************************************************************** ***#acl number 2010rule 0 permit source 192.168.20.0 0.0.0.255rule 1 permit source 192.168.60.0 0.0.0.255rule 2 permit source 192.168.90.0 0.0.0.255acl number 2020rule 0 permit source 192.168.30.0 0.0.0.255rule 1 permit source 192.168.50.0 0.0.0.255rule 2 permit source 192.168.70.0 0.0.0.255acl number 3060rule 10 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.50.00.0.0.255rule 20 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.90.00.0.0.255rule 50 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.30.00.0.0.255rule 60 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.90.00.0.0.255rule 70 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.30.00.0.0.255rule 80 permit ip source 192.168.90.0 0.0.0.255 destination192.168.50.0 0.0.0.255*************在30,50,90三个网段之间做隔离,使他们不能互相访问,但都能访问其他的地址,由于h3c的三层交换机(这里的型号是s5510)可以实现单向访问,以此每一条都得建立2条规则来匹配如30--90网段,90---30网段.因为是作用在trunk口上的,因此源地址无法确定****************************************interface NULL0#interface Vlan-interface1ip address 192.168.10.1 255.255.255.0#interface Vlan-interface20ip address 192.168.20.254 255.255.255.0#interface Vlan-interface23ip address 10.1.1.1 255.255.255.0interface Vlan-interface24ip address 10.1.2.1 255.255.255.0#interface Vlan-interface30ip address 192.168.30.254 255.255.255.0#interface Vlan-interface40ip address 192.168.40.254 255.255.255.0#interface Vlan-interface50ip address 192.168.50.254 255.255.255.0#interface Vlan-interface60ip address 192.168.60.254 255.255.255.0 #interface Vlan-interface70ip address 192.168.70.254 255.255.255.0 #interface Vlan-interface80ip address 192.168.80.254 255.255.255.0 #interface Vlan-interface90ip address 192.168.90.254 255.255.255.0 interface GigabitEthernet1/0/1port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/2port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/3port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/4port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/5port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/6port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/7port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/8port link-type trunkport trunk permit vlan allqos apply policy h3c inbound************在8个trunk口上绑定qos策略**************************888 #interface GigabitEthernet1/0/9port access vlan 20#interface GigabitEthernet1/0/10port access vlan 20interface GigabitEthernet1/0/11port access vlan 20#interface GigabitEthernet1/0/12port access vlan 20#interface GigabitEthernet1/0/13port access vlan 20#interface GigabitEthernet1/0/14port access vlan 20#interface GigabitEthernet1/0/15port access vlan 20#interface GigabitEthernet1/0/16port access vlan 20#interface GigabitEthernet1/0/17port access vlan 20#interface GigabitEthernet1/0/18port access vlan 20#interface GigabitEthernet1/0/19port access vlan 100speed 100#interface GigabitEthernet1/0/20port access vlan 100speed 100#interface GigabitEthernet1/0/21port access vlan 100speed 100#interface GigabitEthernet1/0/22port access vlan 100#interface GigabitEthernet1/0/23port access vlan 23speed 100duplex full#interface GigabitEthernet1/0/24port access vlan 24#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#ip route-static 0.0.0.0 0.0.0.0 10.1.1.2ip route-static 0.0.0.0 0.0.0.0 10.1.2.2**********定义2条缺省路由,一条指向电信网络,一条指向网通网络*************** #user-interface aux 0user-interface vty 0 4#return[master switch]。
H3C策略路由
S5510策略路由1 组网拓扑实验拓扑如上图所示,S5510分别使用int vlan 100和int vlan 101连接模拟电信和网通出口的两台路由器,交换机下有两个vlan,分别是192.168.10.0网段和192.168.20.0网段。
需求:客户想要实现192.168.10.0网段从电信上网,192.168.20.0从网通上网,vlan10能正常访问vlan20。
2 需求分析客户要实现不同的业务网段从不同的ISP访问Internet,则使用策略路由,重定向下一跳,针对vlan10和vlan20应用,但又不能影响vlan10访问vlan20,则在ACL匹配流量时应区分出vlan10到vlan20的流量。
3 相关配置S5510配置vlan 10 //创建业务vlanport g1/0/1quitvlan 20 //创建业务vlanport g1/0/2quitvlan 100 //用于连接上层出口的vlanport g1/0/23quitvlan 101 //用于连接上层出口的vlanport g1/0/24quitint vlan 10ip address 192.168.10.1 24quitint vlan 20ip address 192.168.20.1 24quitint vlan 100ip address 100.1.1.1 24 //用于上连的IP地址quitint vlan 101ip address 200.1.1.2 24 //用于上连的IP地址quitip route-static 0.0.0.0 0 100.1.1.2 preference 60 //默认所有流量从电信出去ip route-static 0.0.0.0 0 200.1.1.2 preference 80 //网通出口备份quitacl number 3000 //区分出vlan20到vlan10的数据流rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255quitacl number 3001 //匹配从网通出去的流量rule permit ip source 192.168.20.0 0.0.0.255quit#traffic classifier a operator and //定义类aif-match acl 3000 //匹配vlan20去往vlan10的流量traffic classifier b operator and //定义类bif-match acl 3001 //匹配vlan20上网的流量#traffic behavior a //定义行为afilter permit //执行动作为允许traffic behavior b //定义行为bredirect next-hop 200.1.1.1 //重定向下一跳为网通出口#qos policy h3c //创建策略h3cclassifier a behavior a //将类a和行为a绑定classifier b behavior bquitqos vlan-policy h3c vlan 20 inbound //针对vlan20应用该策略模拟Internet环境配置(3610)#interface Ethernet1/0/1port link-mode routeip address 100.1.1.1 255.255.255.0 //模拟电信网关#interface Ethernet1/0/2port link-mode routeip address 200.1.1.1 255.255.255.0 //模拟网通网关#interface Ethernet1/0/24port link-mode routeip address 2.2.2.1 255.255.255.0 //公网主机网关#ip route-static 192.168.10.0 255.255.255.0 100.1.1.2ip route-static 192.168.20.0 255.255.255.0 200.1.1.2#4 测试分析1、经过以上配置后,vlan10和vlan20访问Internet和互访时数据流走向如下:A.vlan10内PCA访问Internet中的某主机2.2.2.10时其封装格式为:192.168.10.10→2.2.2.10首先送到网关,因为没有策略针对vlan10,所以直接查路由表,匹配默认路由送至100.1.1.1然后再经路由至2.2.2.10B.v lan10内PCA访问vlan20内的PCB:192.168.10.10→192.168.20.10,同样因为没有策略直接经网关查路由送至192.168.20.10C.v lan20内的主机PCB访问Internet内的主机2.2.2.10时:192.168.20.10→2.2.2.10,首先封装目的MAC为网关,到达5510后匹配策略h3c,第一条classifier a behavior a中ACL的目标是192.168.10.0所以不匹配,然后匹配下一跳,符合,修改下一跳为200.1.1.1D.vlan20内的主机PCB访问vlan10中的主机PCA时:192.168.20.10→192.168.10.10首先封装MAC地址为vlan20的网关,然后匹配策略h3c中的第一条classifier a behavior a,执行行为为允许。
H3C三层交换机 策略路由 配置
H3c策略路由配置整理这里只说明怎样配置,具体只参照H3C交换机配置文档第一步:区分数据流acl number 2001rule 0 permit source 10.0.0.0 0.255.255.255acl number 3001 name virusrule 0 deny tcp destination-port eq 445rule 5 deny udp destination-port eq 445acl number 3100 name laoshirule 0 permit ip source 192.168.12.0 0.0.0.255rule 1 permit ip source 192.168.13.0 0.0.0.255rule 2 permit ip source 192.168.14.0 0.0.0.255rule 3 permit ip source 192.168.15.0 0.0.0.255rule 4 permit ip source 192.168.16.0 0.0.0.255rule 5 permit ip source 192.168.17.0 0.0.0.255rule 6 permit ip source 192.168.18.0 0.0.0.255rule 7 permit ip source 192.168.19.0 0.0.0.255rule 8 permit ip source 192.168.20.0 0.0.0.255rule 9 permit ip source 10.0.0.0 0.0.255.255rule 10 permit ip source 192.168.11.0 0.0.0.255acl number 3101 name xueshengrule 0 permit ip source 192.168.21.0 0.0.0.255rule 1 permit ip source 192.168.22.0 0.0.0.255rule 2 permit ip source 192.168.23.0 0.0.0.255rule 3 permit ip source 192.168.24.0 0.0.0.255rule 4 permit ip source 192.168.25.0 0.0.0.255rule 5 permit ip source 192.168.26.0 0.0.0.255rule 6 permit ip source 192.168.27.0 0.0.0.255rule 7 permit ip source 192.168.28.0 0.0.0.255rule 8 permit ip source 192.168.29.0 0.0.0.255rule 9 permit ip source 192.168.30.0 0.0.0.255acl number 3103 name neiwangrule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255rule 1 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.0.0 0.0.255.255 rule 2 permit ip source 10.0.0.0 0.255.255.255 destination 10.0.0.0 0.255.255.255 acl number 3104 name shiyanshirule 0 permit ip source 10.0.0.0 0.255.255.255#第二步:定义数据流traffic classifier laoshi operator andif-match acl name laoshitraffic classifier shiyanshi operator andif-match acl name shiyanshitraffic classifier xuesheng operator andif-match acl name xueshengtraffic classifier neiwang operator andif-match acl name neiwang第三步:定义数据流的动作traffic behavior laoshiredirect next-hop 192.168.0.254traffic behavior shiyanshiredirect next-hop 192.168.0.254traffic behavior xueshengredirect next-hop 192.168.0.250traffic behavior neiwangfilter permit第四步:定义策略:qos policy rpclassifier neiwang behavior neiwangclassifier laoshi behavior laoshiclassifier xuesheng behavior xueshengclassifier shiyanshi behavior shiyanshi第五步:应用完成的策略(应用到某个端或VLAN)interface E1/0/1qos apply policy rp inboundinterface vlan 1010qos vlan policy rp vlan 1010 inbound。
华为交换机配置管理ip_H3C交换机怎么配置管理VLAN
华为交换机配置管理ip_H3C交换机怎么配置
管理VLAN
H3C交换机如何配置管理VLAN,交换机默认情况下是以VLAN1为管理VLAN,如何换成其他呢下面是收集整理的H3C交换机怎么配置管理VLAN,希望对大家有帮助~~
h3c交换机配置管理vlan的方法
首先通过CONSOLE口连接交换机,进入用户模式<h3c>,如图所示:</h3c>
输入”system-view“(简写”sys“),进入系统配置模式[H3C],如图所示:
下面就可以开始取消默认管理vlan了,输入“undo interface vlan-interface 1”以及“undo management-vlan“ ,即可取消交换机默认管理 vlan 1,如图所示:接下里创建VLAN,并做描述,输入”vlan 220“ 以及“description guanli-vlan“,如图所示:
将新建的VLAN设置成管理VLAN,在VLAN模式下,输入“management-vlan 220“,如图所示:
最后给管理VLAN设置IP地址,输入”interface vlan-interface 220“以及”ip address 192.168.220.1
255.255.255.0“,如图所示:
设置完成后,可以“ping 192.168.220.1“看看是否能ping通。
H3C交换机怎么配置管理VLAN。
H3C三层交换机和路由器的配置流程
H3C三层交换机和路由器的配置流程举例讲解H3C配置三层交换机4个步骤详细用法,配置三层交换机通用的四个步骤就是:划分VLAN,并描述;给VLAN划网关;给VLAN指定端口;配置路由协议;学会这几个步骤之后就能解决所有的配置三层交换机的问题。
<H3C>language-modechinese//切换到中文模式<H3C>system-view//进入系统视图[H3C]displaycurrent-configuration//显示当前配置三层交换机//以下开始配置三层交换机配置三层交换机第一步:划分VLAN,并描述vlan1descriptionlocal-s3600//本交换机使用#vlan2descriptionlink-to-shanxicentre//陕西省中心#vlan3descriptionlink-to-shangjiecentre//商界分中心内部使用#vlan4descriptionlink-to-shangdongsuo//商东所#vlan5descriptionlink-to-shangnansuo//商南所配置三层交换机第二步:给VLAN划网关#interfaceVlan-interface2descriptionlinktoshanxicentreipaddress10.61.242.110255.255.255.252//省中心指定广域网关、子网掩码#interfaceVlan-interface3descriptionlinktoshangjiecentreipaddress10.161.134.65255.255.255.192//商界分中心局域网关、子网掩码#interfaceVlan-interface4descriptionlinktoshangdongsuoipaddress10.61.242.113255.255.255.252//商东所广域网关、子网掩码#interfaceVlan-interface5descriptionlinktoshangnansuoipaddress10.61.242.117255.255.255.252//商南所广域网关、子网掩码配置三层交换机第三步:给VLAN指定端口#interfaceEthernet1/0/2//将交换机的端口2指定给省中心使用descriptionlinktoshanxicentreportaccessvlan2#interfaceEthernet1/0/15-24//将交换机的端口15-24指定给分中心内部使用descriptionlinktoshangjiecentreportaccessvlan3#interfaceEthernet1/0/3//将交换机的端口3指定给商东所使用descriptionlinktoshangdongsuoportaccessvlan4#interfaceEthernet1/0/4//将交换机的端口4指定给商南所使用descriptionlinktoshangnansuoportaccessvlan5配置三层交换机第四步:配置路由协议//配静态路由(只用对远端设备配一条路由即可,本地自通)iproute0.0.0.00.0.0.010.61.242.109//指定所有网段到商东所的路由//配置三层交换机商东所的反向路由iproute10.161.134.0255.255.255.010.61.242.114iproute10.161.135.0255.255.255.010.61.242.114//配置三层交换机商南所的反向路由iproute10.161.135.0255.255.255.010.61.242.118iproute10.161.136.0255.255.255.010.61.242.118//省中心配置三层交换机:iproute10.61.242.0255.255.255.010.61.242.110//商东所242.114和商南所242.118共属的242.0指向分中心网关iproute10.161.134.0255.255.255.010.61.242.110//分中心内部网段指向分中心网关//iproute10.161.134.0255.255.255.010.61.242.110//iproute10.161.135.0255.255.255.010.61.242.110//iproute10.161.136.0255.255.255.010.61.242.110//以下开始配置路由器syslocal-user admin创建账号adminpassword simple chuntent创建密码chuntentauthorization-attribute level 3 账号权限service-type telnet打开telnet服务service-type web打开页面登陆服务telnet server enable 启用服务ip http enable 启用服务quitsysuser-interface vty 0 4authentication-mode schemequitinterface g0/0 进入外网接口配置外网ip和子网掩码ip address X.X.X.X 255.255.255.X这里地址按照您的公网ip地址和掩码填写nat outboundquitinterface vlan 1 进入内网接口配置内网ip和子网掩码ip address X.X.X.X 255.255.255.Xquitip route-static 0.0.0.0 0.0.0.0 X.X.X.X这里填写外网网关地址。
华为H3C路由器交换VLAN配置实例
华为H3C路由器交换VLAN配置实例华为路由器交换VLAN配置实例配置说明:使用4台PC,华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。
实现防火墙策略,和访问控制(ACL)。
网络结构如图:四台PC的IP地址、掩码如下列表:P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny实施命令列表:交换机上设置,划分VLAN:sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2[Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置,实现访问控制:[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0 [Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0 [Router-Ethernet1]quit//开启firewall,并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101[Router-Ethernet1]quit。
H3C-5120交换机VLAN配置
H3C-5120交换机VLAN配置概述本文档旨在介绍如何在H3C-5120交换机上进行VLAN配置。
VLAN是一种将同一物理交换网络划分为多个逻辑交换网络的技术。
通过对端口所属VLAN的配置,可以实现不同VLAN之间的隔离与通信。
配置步骤以下是在H3C-5120交换机上配置VLAN的简要步骤:1. 连接至交换机首先,使用Console线缆将计算机连接到___-5120交换机的Console端口上。
通过串口工具(例如SecureCRT)连接至交换机。
2. 进入特权模式输入登录凭据以进入用户模式,然后使用`system-view`命令进入特权模式。
3. 创建VLAN使用`vlan xx`命令创建一个新的VLAN,其中“xx”是所需的VLAN号。
可以使用`vlan batch xx-xx`命令一次性创建多个连续的VLAN。
4. 配置VLAN接口使用`interface vlan-interface xx`命令进入VLAN接口配置模式,其中“xx”是VLAN号。
可使用`n`命令为该接口添加描述,以便更好地识别。
5. 配置IP地址在VLAN接口配置模式下,使用`ip address xx.xx.xx.xx mask`命令为VLAN接口配置IP地址和子网掩码。
这是为VLAN启用IP通信的必要步骤。
6. 配置端口根据需求,使用`interface xx`命令进入所需端口的配置模式,其中“xx”是端口号。
使用`port link-type access`命令将端口设置为访问模式,并且使用`port default vlan xx`命令将端口的默认VLAN配置为所需的VLAN号。
如果需要将端口加入其他VLAN,可以使用`port trunk permit vlan xx`命令添加。
7. 保存配置使用`save`命令将当前配置保存到交换机的配置文件中。
示例以下是一个在H3C-5120交换机上配置两个VLAN的示例:1. 连接至交换机使用Console线缆将计算机连接到___-5120交换机的Console 端口上。
H3C交换机VLAN配置实现
1 4 6 ・
科 技 论 坛
H3 C交换机 V L A N配置 实现
郭振 勇 沈 昌海
( 重庆三峡 医药高等专科 学校 , 重庆 4 0 4 1 2 0 )
摘 要: 本 文详 述 了 H 3 C交 换 机 V L A N的 配 置 方 法 , 简要 介 绍 了 V L A N技 术 的发 展 , 以及 V L A N的 划 分 方 法和 V L A N 的端 口配 置 并通过 实际的实验 , 验证 了V L A N在 H 3 C交换机上配置的正确性。 ’ 关键词 : V L A N ; H 3 C ; 局域 网
V L A N( V i r t u a l L o c a l A r e a N e t w o r k , 虚拟局 域网) 技术主 要解决 交换机在进行局域 网互连时无法限制广播 的问题 。 1 V L AN技 术 简 介
1 . 1 V L A N产 生 背 景
SW 1
1 3 V L A N划 分
【 S W2 ] v l a n 3 0
[ S W2 - v l a n 3 0 ] p o r t e l / 0 / 1 基 于端 口的 V L A N划分是最常应用 的一种 V L A N划分方法 , 本 [ S W2 ] v l a n 4 0 文的配置方法是基于端 口的 V L A N划分 。 这种划分 V L A N的方法是 [ S W2 - v l a n 4 0 ] p o r t e l / 0 / 2 根据 以太 网交换 机的交换端 E l 来划分 的,将指定 端 口加入到指定 3 . 3 . 2配置 H y b i r d链路端 口 , 、 V L A N中后 , 该端 口就可 以转发指定 V L A N的数据帧了。 在 S W1上 配 置 端 口 E t h e me t l / 0 / 1为 H y b i r d端 口 , 并 允 许 2 H3 C交换机 V L A N端 口类型 V L A N 3 0 、 V L AN 4 0的报 文 以 u n t a g g e d方 式 通 过 , 配 置 如下 : 般情况下 , 交换 机端 口都 属于一个 默认 的 V L ̄ . N, 都有一个 【 S W1 ] i n t e r f a c e e l / 0 / 1 默认 的 V L A N — I D, 统称 为端 口默认 V L A N, 又称 为 P V I D。 [ S WI - e l / 0 / 1 ] p o r t l i n k - t y p e h y b i r d 2 . 1 A c c e s s 链路类 型端 口 【 S W1 - e l / 0 / 1 ] p o r t h y b i r d v l a n 3 0 4 0 u n t a g g e d 只允许默认 V L A N的以太 网帧通过的端 口称为 A c c e s s 链 路类
h3cvlan划分方法
h3cvlan划分方法h3cvlan是一种常用的局域网划分方法,它可以将局域网划分为多个虚拟局域网,实现网络资源的有效管理和安全隔离。
下面将介绍h3cvlan的原理、配置方法以及其在网络中的应用。
一、h3cvlan的原理h3cvlan即基于以太网的三层交换机的VLAN技术,通过在以太网交换机上配置虚拟局域网,实现逻辑上的隔离与划分。
h3cvlan将不同的网络设备划分为不同的VLAN,每个VLAN是一个独立的广播域,只有在同一个VLAN中的设备才能相互通信。
二、h3cvlan的配置方法1. 配置三层交换机:首先需要在三层交换机上创建VLAN,并为每个VLAN分配一个唯一的VLAN ID。
可以使用命令行界面或图形界面进行配置,具体方法可以参考设备的用户手册。
2. 配置端口:将不同的端口划分到不同的VLAN中,可以使用命令行界面或图形界面进行配置,也可以通过VLAN Trunking协议将多个VLAN传输到其他交换机上。
3. 配置VLAN接口:为每个VLAN创建一个虚拟接口,该接口可以配置IP地址和其他网络参数,实现不同VLAN之间的通信。
三、h3cvlan的应用1. 资源隔离:通过将不同的设备划分到不同的VLAN中,可以实现对网络资源的隔离。
例如,可以将企业的服务器和存储设备划分到一个VLAN中,将员工的终端设备划分到另一个VLAN中,从而实现对服务器资源的保护和访问控制。
2. 安全增强:h3cvlan可以通过VLAN间的隔离来增强网络的安全性。
不同的VLAN之间无法直接通信,需要通过三层交换机进行路由转发。
这样可以有效防止潜在的攻击者从一个VLAN入侵到另一个VLAN。
3. 网络优化:通过合理划分VLAN,可以优化网络的性能和带宽利用率。
例如,可以将视频监控设备划分到一个VLAN中,将数据传输设备划分到另一个VLAN中,从而避免视频传输对其他数据传输的影响。
4. 管理简化:h3cvlan可以帮助网络管理员简化网络管理工作。
H3C交换机vlan简单配置范例
H3C交换机vlan简单配置范例 H3C交换机vlan简洁配置范例杭州华三通信技术有限公司(H3C)坚持技术领先的同时,关注产品质量的管理。
我们通过国际标准的质量管理体系的认证,为产品质量的提升和客户满意度的提升提供保证。
下面是关于H3C 交换机vlan简洁配置,希望大家认真阅读!进入系统视图vlan 10display vlan allport e0/1 to e0/2quitvlan 20port e0/3 to e0/4quit vlan 30port e0/1 to e0/4此时缺省一个端口只属于一个vlan,需要修改e0/1--e0/4的'端口模式为混杂模式,一个端口可属于多个vlan有多个vlanid 但只能有一个pvidinterface e0/1port link-type hybrid(混杂模式)port hybrid vlan 10 30 untaggedport hybrid pvid vlan 10 修改端口的pvidquitinterface e0/2port link-type hybrid(混杂模式)port hybrid vlan 10 30 untaggedport hybrid pvid vlan 10quitinterface e0/3port link-type hybrid(混杂模式)port hybrid vlan 20 30 untaggedport hybrid pvid vlan 20quitinterface e0/4port link-type hybrid(混杂模式)port hybrid vlan 20 30 untaggedport hybrid pvid vlan 20quitinterface e0/9port link-type hybrid(混杂模式)port hybrid vlan 10 20 30 untagged port hybrid pvid vlan 30quit;vlan 10 1 2 9;vlan 20 3 4 9;vlan 30 1 2 3 4 9 vlanid配置完成,此时需要确定pvid 是否正确display interface e 0/1 ; 查看端口信息中的缺省pvid项端口untagged 的目的是假如9口接不支持标记的设备如单台服务器的网卡,则不通信,假如9口接上级交换则也可tagged。
H3CVLAN的配置
H3C VLAN的配置VLAN配置实例1,配置VLAN端口类型<h3c>system-view[h3c]interface Ethernet 1/0/2[H3C-Ethernet1/0/2]port link-type Access|trunk|Hybrid[H3C-Ethernet1/0/2]quit2,配置将端口加入指定的vlan<h3c>system-view[h3c]interface Ethernet 1/0/2A,Trunk类型:[H3C-Ethernet1/0/2]port trunk permit vlan XB,Hybrid类型:[H3C-Ethernet1/0/2]port hybird vlan X tagged|untagged[H3C-Ethernet1/0/2]quit3,配置端口的缺省VLAN<h3c>system-view[h3c]interface Ethernet 1/0/2A,Trunk类型:[H3C-Ethernet1/0/2]port trunk pvid vlan XB,Hybrid类型:[H3C-Ethernet1/0/2]port hybird pvid vlan X[H3C-Ethernet1/0/2]quit-------------------------------------------------------------------------------------------------------H3C VLAN配置实例用4台PC(pc多和少,原理是一样的,所以这里我只用了4台pc),华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。
实现防火墙策略,和访问控制(ACL)。
方案说明:四台PC的IP地址、掩码如下列表:P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny实施命令列表:交换机上设置,划分VLAN:<Quidway>sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2 [Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置,实现访问控制:[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall,并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101[Router-Ethernet1]quit---------------------------------------------------------------------------------------------------------------------------------------------------H3C E126A是一款专为教育城域网(或校园网)设计的二层智能交换机,作业接入层或汇聚层使用。
H3C配置vlan
以上为两层交换机配置
Vlan IP的配置
------------
[H3C]int vlan 10
[H3C-Vlan-interface10]ip address 192.168.0.1 24
以上为三层交换机配置
备注制广播域范围 2.增强局域网络安全性 3.灵活构建虚拟工作组
基本配置
方法一
[H3C]vlan 10 //创建vlan10
[H3C-VALN10]port Gigabitethernet 1/0/1 //将端口划分到vlan10
方法二
[H3C]vlan 10 //创建vlan10
[H3C-Ethernet1/0/1]port link-type access //更改端口链路类型为access
博客园 用户登录 代码改变世界 密码登录 短信登录 忘记登录用户名 忘记密码 记住我 登录 第三方登录/注册 没有账户, 立即注册
H3C配置 vlan H3C华三 VLAN配置
vlan:中文名虚拟局域网 vlan是一种将局域网设备从逻辑上分割成若干个子网从而实现虚拟工作组的数据交换技术
vlan优 点
H3C交换机VLAN设置
跨交换机实现VLAN通信
• 请输入您的内容
06
VLAN间路由配置与实现
路由器接口类型及功能介绍
路由器接口类型
主要包括以太网接口、串行接口、 ATM接口等。
功能介绍
路由器接口是实现不同网络之间数据 传输的关键部分,不同类型的接口适 用于不同的网络环境和传输需求。
配置单臂路由实现不同VLAN间通信
基于MAC地址划 分VLAN
这种划分的方法是根据每个主 机的MAC地址来划分,即对每 个MAC地址的主机都配置他属 于哪个组,它实现的机制就是 每一块网卡都对应唯一的MAC 地址,VLAN交换机跟踪属于 VLAN MAC的地址。
基于网络层协议划 分VLAN
VLAN按网络层协议来划分, 可分为IP、IPX、DECnet、 AppleTalk、Banyan等VLAN 网络。这种按网络层协议来组 成的VLAN,可使广播域跨越 多个VLAN交换机。
01
学员A
通过这次课程,我对VLAN的原 理和配置方法有了更深入的了解 ,感觉收获很大。
02
03
学员B
学员C
在实际操作中遇到了一些问题, 但通过老师的指导和同学们的帮 助,最终都得到了解决。
我觉得这次课程的案例分析非常 实用,让我对VLAN在实际网络 中的应用有了更清晰的认识。
对未来学习和发展提出建议
测试端口连通性
在交换机上通过ping命令测试不 同VLAN间端口的连通性,确保同 一VLAN内的设备可以相互通信, 不同VLAN间的设备无法直接通信 。
检查路由配置
如果交换机上配置了路由功能, 需要检查路由配置是否正确,确 保不同VLAN间的设备可以通过路 由器进行通信。
05
跨交换机实现VLAN通信
H3C交换机路由器配置总结
H3C交换机路由器配置总结H3C交换机路由器配置总结1、硬件配置1.1 交换机硬件组成1.2 路由器硬件组成2、基本配置步骤2.1 连接网络设备2.2 设置管理口IP地质2.3 启用SSH远程登录2.4 设置登录密码2.5 配置设备名称2.6 配置时钟同步3、VLAN配置3.1 创建VLAN3.2 分配端口到VLAN3.3 VLAN间互通4、路由配置4.1 配置静态路由4.2 配置动态路由4.3 路由红istribution配置4.4 路由策略配置5、交换机配置5.1 配置端口基本属性5.2 配置VLAN接口5.3 配置链路聚合5.4 配置IGMP Snooping6、安全配置6.1 AAA认证配置6.2 VLAN间隔离6.3 端口安全配置7、高可用性配置7.1 VRRP(HSRP)配置7.2 GLBP配置7.3 OSPF多路径配置8、服务质量(QoS)配置8.1 配置流量控制8.2 配置优先级8.3 配置带宽限制9、网络监控和管理9.1 配置SNMP9.2 配置NetFlow9.3 配置Syslog附件:本文档涉及的附件包括配置文件样例、示意图等。
法律名词及注释:- VLAN(Virtual Local Area Network):虚拟局域网,将一个局域网划分成多个逻辑上的小型局域网。
- SSH(Secure Shell):一种加密的网络协议,用于通过不安全的网络提供安全的远程访问服务。
- IP(Internet Protocol):互联网协议,规定了数据在网络中的传输方式和格式。
- AAA(Authentication, Authorization, and Accounting):认证、授权和计费,用于访问控制和用户认证管理。
- IGMP Snooping(Internet Group Management Protocol Snooping):通过监听IGMP报文来学习和维护组播组成员的表项,以提高网络性能和安全性。
H3C交换机VLAN设置
实施效果
通过VLAN划分和ACL控制,实现 了企业内部网络的合理划分和有 效管理,提高了网络整体性能和 数据安全性。
基于网络层协议划分VLAN
根据网络层协议类型或网络地址划分VLAN。将使用同一协议或同一网络地址段的主机划 分到同一VLAN中。
VLAN标签与封装
VLAN标签
在交换机内部,为了区分不同VLAN的数据帧,需要在数据帧中添加一个特殊的标记,即VLAN标签。该标签包 含VLAN ID等信息。
封装方式
常见的VLAN封装方式有IEEE 802.1Q和Cisco ISL。IEEE 802.1Q是标准的VLAN封装方式,被大多数厂商支持。 Cisco ISL是Cisco私有的VLAN封装方式,主要在Cisco设备中使用。在H3C交换机中,一般采用IEEE 802.1Q封 装方式。
作用
VLAN技术主要应用在交换机上,通过VLAN划分,可以限制广播域范围,增强局域网的安全性,灵活 构建虚拟工作组。
VLAN划分方式
基于端口划分VLAN
根据交换机端口来定义VLAN成员。将VLAN端口分成若干组,每组构成一个虚拟网,相 当于一个独立的VLAN交换机。
基于MAC地址划分VLAN
根据主机的MAC地址来划分,对每个主机的MAC地址都指定一个组,同一组的主机属于 同一虚拟局域网。
与SDN技术的融合
随着软件定义网络(SDN)技术的不断发展,VLAN技术将 与SDN技术相融合,实现更加智能化、自动化的网络配置 和管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
h3c 交换机的vlan控制策略路由设置时间:2010-02-10 10:27来源:未知作者:admin 点击:149次昨天去一家客户那边调试h3c的设备,客户要做vlan间互访和策略路由.本以为挺简单的事情,可到了才发现不是自己想象的那样.vlan间互访没想到h3c搞的那么麻烦,cisco的数据流控制就是做一条访问列表,列表里定义了动作是拒绝还是允许,然后直接把这个列表应用到接口昨天去一家客户那边调试h3c的设备,客户要做vlan间互访和策略路由.本以为挺简单的事情,可到了才发现不是自己想象的那样.vlan间互访没想到h3c搞的那么麻烦,cisco的数据流控制就是做一条访问列表,列表里定义了动作是拒绝还是允许,然后直接把这个列表应用到接口上就可以了,但h3c却没有这么简单,h3c我总结了一下总的思路是这样的1.首先定义访问控制列表,注意:假如要使把此列表应用到qos策略中的话此列表中的deny和permit是没有意义的,不管是permit还是 deny都代表"匹配"该数据流.2.定义类,类里面很简单,就是简单的匹配某条列表.应该也可以像cisco一样匹配or或者and,我没验证.3.定义行为动作,行为动作可以分好多,常用的有filter deny,filter permit 拒绝/允许,还有改变下一条 redirect next-hop.或者可以做标记,qos等.4.定义qos策略,把2,3里的类和行为建立关联,如什么类执行什么行为,可以做好多条,同一个行为如果找到第一项匹配则不再接着往下执行,所有有可能同一个数据流能满足多条不同行为操作的情况.5.把此qos策略应用到接口上.下面我把配置粘上来供大家参考#version 5.20, Release 5303#sysname master switch#domain default enable system#telnet server enable#vlan 1#vlan 20#vlan 23description 0023#vlan 24#vlan 30#vlan 40#vlan 50vlan 60#vlan 70#vlan 80#vlan 90#vlan 100#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#traffic classifier h3c operator andif-match acl 3060********* 定义类,30,50,90三个网段之间不能互访********traffic classifier wangtong operator andif-match acl 2010********* 定义类,20,60,90网段的用户分到wangtong这个类中******* traffic classifier dianxin operator andif-match acl 2020********* 定义类,30,50,70网段的用户分到电信这个类中*******traffic behavior h3cfilter deny********* 定义行为名字叫h3c的动作为丢弃!*********traffic behavior wangtongredirect next-hop 10.1.1.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.1.2********* traffic behavior dianxinredirect next-hop 10.1.2.2*********定义行为名字叫wangtong 动作为改变下一跳位10.1.2.2*********qos policy h3cclassifier h3c behavior h3cclassifier wangtong behavior wangtongclassifier dianxin behavior dianxin***********定义一个qos策略(注意,这里是总的qos策略,其中包括vlan间访问控制和策略路由控制都汇聚到此策略中了)1.满足h3c类别的数据流执行h3c这个行为,这里行为为丢弃2.满足wangtong类别的数据流执行网通这个行为,这里的行为为改变下一跳为10.1.1.23.满足dianxin类别的数据流执行dianxin这个行为,这里的行为为改变下一跳为10.1.2.2******************************************************************** #acl number 2010rule 0 permit source 192.168.20.0 0.0.0.255rule 1 permit source 192.168.60.0 0.0.0.255rule 2 permit source 192.168.90.0 0.0.0.255acl number 2020rule 0 permit source 192.168.30.0 0.0.0.255rule 1 permit source 192.168.50.0 0.0.0.255rule 2 permit source 192.168.70.0 0.0.0.255acl number 3060rule 10 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.50.0 0.0.0.255rule 20 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.90.0 0.0.0.255rule 50 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.30.0 0.0.0.255rule 60 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.90.0 0.0.0.255rule 70 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.30.0 0.0.0.255rule 80 permit ip source 192.168.90.0 0.0.0.255 destination192.168.50.0 0.0.0.255*************在30,50,90三个网段之间做隔离,使他们不能互相访问,但都能访问其他的地址,由于h3c的三层交换机(这里的型号是 s5510)可以实现单向访问,以此每一条都得建立2条规则来匹配如30--90网段,90---30网段.因为是作用在trunk口上的,因此源地址无法确定****************************************interface NULL0#interface Vlan-interface1ip address 192.168.10.1 255.255.255.0#interface Vlan-interface20ip address 192.168.20.254 255.255.255.0#interface Vlan-interface23ip address 10.1.1.1 255.255.255.0 interface Vlan-interface24ip address 10.1.2.1 255.255.255.0#interface Vlan-interface30ip address 192.168.30.254 255.255.255.0 #interface Vlan-interface40ip address 192.168.40.254 255.255.255.0 #interface Vlan-interface50ip address 192.168.50.254 255.255.255.0 #interface Vlan-interface60ip address 192.168.60.254 255.255.255.0 #interface Vlan-interface70ip address 192.168.70.254 255.255.255.0 #interface Vlan-interface80ip address 192.168.80.254 255.255.255.0 #interface Vlan-interface90ip address 192.168.90.254 255.255.255.0 interface GigabitEthernet1/0/1port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/2port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/3port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/4port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/5port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/6port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/7port link-type trunkport trunk permit vlan allqos apply policy h3c inbound#interface GigabitEthernet1/0/8port link-type trunkport trunk permit vlan allqos apply policy h3c inbound************在8个trunk口上绑定qos策略**************************888 #interface GigabitEthernet1/0/9port access vlan 20#interface GigabitEthernet1/0/10port access vlan 20interface GigabitEthernet1/0/11port access vlan 20#interface GigabitEthernet1/0/12port access vlan 20#interface GigabitEthernet1/0/13port access vlan 20#interface GigabitEthernet1/0/14port access vlan 20#interface GigabitEthernet1/0/15port access vlan 20#interface GigabitEthernet1/0/16port access vlan 20#interface GigabitEthernet1/0/17port access vlan 20#interface GigabitEthernet1/0/18port access vlan 20#interface GigabitEthernet1/0/19port access vlan 100speed 100#interface GigabitEthernet1/0/20port access vlan 100speed 100#interface GigabitEthernet1/0/21port access vlan 100speed 100#interface GigabitEthernet1/0/22port access vlan 100#interface GigabitEthernet1/0/23port access vlan 23speed 100duplex full#interface GigabitEthernet1/0/24port access vlan 24#interface GigabitEthernet1/0/25 shutdown#interface GigabitEthernet1/0/26 shutdown#interface GigabitEthernet1/0/27 shutdown#interface GigabitEthernet1/0/28 shutdown#ip route-static 0.0.0.0 0.0.0.0 10.1.1.2 ip route-static 0.0.0.0 0.0.0.0 10.1.2.2**********定义2条缺省路由,一条指向电信网络,一条指向网通网络***************#user-interface aux 0user-interface vty 0 4#return[master switch]。