华为三层交换机配置步骤

1. 给交换机划分VLAN

Vlan 是虚拟局域网的意思,它相当于一个局域网工作组。“ vlan 几”可以理解成编号为几的vlan ,比如vlan 2 就是编号为2 的vlan ,只是一个编号而已,并不是

说vlan 2 的网段一定要是2 网段, vlan 2 的IP 地址是可以随便设置的。

下面我将三层交换机的第20 个端口添加到vlan 10 里,步骤如下:

A. 在交换机里添加VLAN 10

system-view ( 一般用缩写: sys )

[Quidway] vlan 10 (添加编号为10 的vlan )

[Quidway-vlan10] quit (一般缩写: q)

B. 设置vlan 10 的IP 地址为192.168.66.66 网关为255.255.255.0

[Quidway] interface vlanif 10 (interface 一般可以缩写为: int ;vlanif 也可以只写vlan )

[Quidway-vlanif10] ip address 192.168.66.66 255.255.255.0 (address 缩写add)

[Quidway-vlanif10]quit

C.设定交换机上第20 个端口模式为access ( 默认为trunk ,需在将端口划入VLAN前转为ACCESS )

[Quidway] int gigabitethernet 0/0/20 ( gigabitethernet :千兆以太网口)

[Quidway-GigabitEthernet0/0/20] port link-type access (port :端口)

[Quidway-GigabitEthernet0/0/20]quit

D.将第20 个端口加入到vlan 10 里

[Quidway] vlan 10

[Quidway-vlan10] port gigabitethernet 0/0/20 (如果是多个连续端口,用XX to XX )

[Quidway-Vlan10] quit

这样就是成功的将交换机上的第20 个端口添加到了编号为10 的Vlan 里,划分VLAN就是这4 个步骤, 2 个步骤设置vlan ,2 个步骤设置端口。现在可以用网线把

交换机的第20 个端口和电脑网卡连接起来,设置网卡地址为192.168.66.XX ,网关为192.168.66.66 ,在CMD里ping192.168.66.66 可以ping 通。

2. 删除vlan

A. 在系统视图下,用“ undo int vlan 2 ”命令删除vlan 2 的3 层口,这样vlan 2 就没有了,但是划分给vlan 2 的那些端口依然还处于vlan 2 里,这时可以将那

些端口释放出来,让他们不再属于任何vlan

B. 在系统视图下,用“ undo vlan 2 ”命令删除2 层口,这个命令可以释放那些原先划分给了vlan 2 的端口,现在它们不属于任何vlan 了。

当然,将交换机上的某个端口更换到某个vlan 里,是可以直接在vlan 视图里添加端口的。

注意:交换机上的某个端口被设置成了access 模式,且加入了一个vlan ,要想将这个端口的模式更改为trunk ,直接在端口视图里打上“ port link-type trunk ”

是不行的,会出现Error: Please renew the default configurations. 这时需要先从VLAN里删除这个端口,也就是前面说的让这个端口不属于任何vlan ,才能将

这个端口设置为trunk 。

3. 通过端口进行限速

现在要对交换机上的第2 个端口进行限速操作,让通过这个端口的下载速度不超过128KB/S

配置命令说明:

Inbound:对入端口报文进行限速

Outbound:对出端口报文进行限速

sys

[Quidway] int gigabitethernet 0/0/2

[Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800 (1024 代表1M的带宽,理论下载速度就是128KB/S,204800=1024*200 ,cbs 代表突

发信息速率cir 代表承诺信息速率)

这个命令执行后,端口2 的下载速度就被限制在128KB/S 以内,实际测速表明,这个限速数值是该端口数据流量稳定后的速度,它的短暂峰值高出128KB/S 很多,这

个应该是交换机从侦测端口流量到启动限速需要一个过程,下载速度稳定后是在128KB/S 上下徘徊,效果还是不错的,比路由器限速和限速软件的效果都要好很多,

最关键的交换机稳定。

注: 取消限速方法

[Quidway-GigabitEthernet0/0/2] undo qos lr outbound

4. 配置基于地址池的DHCP服务器

A.全局启动DHCP服务。

sys

[Quidway] dhcp enable

B.配置IP 地址池10 的属性(地址池范围, dns 地址,出口网关,地址池租期)

[Quidway] ip pool 10

Info:It's successful to create an IP address pool.

[Quidway-ip-pool-10] network 192.168.10.0 mask 255.255.255.0

[Quidway-ip-pool-10] dns-list 202.103.24.68

[Quidway-ip-pool-10] gateway-list 192.168.10.1

[Quidway-ip-pool-10] lease day 10

[Quidway-ip-pool-10] q

C.将接口GE0/0/1 加入到VLAN 10

[Quidway] vlan 10

[Quidway-vlan10] port gigabitethernet 0/0/1 (如果是多个连续端口,用XX to XX )

[Quidway-Vlan10] quit

D. 配置VLANIF10接口下的客户端从全局地址池中获取IP 地址

[Quidway]int vlan 10

[Quidway-vlanif10] ip add 192.168.10.1 24

[Quidway-vlanif10] dhcp select global

[Quidway-vlanif10] q

这时,可以用“ dis ip pool ”命令查看IP 地址池配置情况

最后可以在电脑上验证是否成功华为三层交换机配置实例_华为交换机配置

5.telnet 远程登录设置

system-view

[Quidway] aaa ( 进入aaa 视图)

[Quidway-aaa] local-user tcwq password cipher tcwq ( cipher 是暗号的意思, password cipher 就是指密码显示出来的是乱码,在用dis cur 命令时,看

到的密码是乱码)

[Quidway-aaa] local-user tcwq password simple tcwq (simple 是简单的意思, passwor simple :弱口令,可以理解为明文,和cipher 是相对的,在用dis

cur 命令时,看到的密码是明文)

[Quidway-aaa] local-user tcwq service-type telnet (设置用户tcwq 的登录方式为telnet )

[Quidway-aaa] local-user tcwq privilege level 3 (privilege level :权限级别, 3 为最高级别,拥有最高权限)

[Quidway-aaa] q

[Quidway]user-interface vty 0 4 (vty :虚拟终端, 0 4 代表有0 到4 一共最多5 个终端可以同时登录到交换机)

[Quidway-vty0-4]authentication-mode aaa (authentication :认证,验证。验证模式设置为aaa 模式)

[Quidway -ui-vty0-4]q

设置完毕,这时可以在cmd里telnet 网关,即可登录到交换机。

下面是S5324 和S5700成功配置telnet 后的截图华为三层交换机配置实例_华为交换机配置_02

注意:当提示验证失败时,将网卡禁用再启用可以解决问题。

6. 配置FTP服务器

建立一个FTP服务器,用户名为tcwq ,密码为tcwq

sys

[Quidway] ftp server enable (开启FTP服务)

[Quidway] aaa

[Quidway-aaa] local-user tcwq password simple tcwq

[Quidway-aaa] local-user tcwq service-type ftp

[Quidway-aaa] local-user tcwq ftp-directory flash:/ (配置FTP用户的访问路径,如果不配置这一项,登录时会提示“ 530 logged incorrect ”)

[Quidway-aaa] q

这时用网线把电脑网卡和交换机的某个端口相连,电脑IP 设置为和该端口所在Vlan 的网关同一网段的地址(如IP :192.168.1.128 ,网关: 192.168.1.1 ),在CMD

命令行里输入FTP 192.168.1.1 即可进入FTP的验证界面,输入账号tcwq ,密码tcwq,即可登录华为三层交换机配置实例_华为交换机配置_03

登录到ftp 后,可以从交换机的Flash 里下载文件到电脑里(下载的文件所在位置是登录到ftp 服务器前的盘符,如上图中是从F盘根目录登录到FTP的,那么文件

都会被下载到F 盘的根目录里) ,也可以从电脑里选择文件上传到交换机的Flash 里(速度很快,比串口烧录快多了) ,还可以删除flash 里文件

ftp>dir (查看文件)

ftp>get vrpcfg.zip (下载文件名为“ vrpcfg.zip ”的文件)

ftp>put f:\S5700\web.zip (将电脑F 盘里名字为S5700的文件夹里的web.zip 文件上传的交换机的Flash 里)

ftp>delete web.zip ( 删除文件名为“ web.zip ”的文件)

7.WEB网页管理

三层交换机可以进行网页管理, 前提是HTTP服务要开启,且交换机Flash 里有web管理文件并被成功加载。

上一步进行了FTP服务器配置,如果交换机里没有ZIP 后缀名的WEB管理文件,就需要先用FTP把WEB管理文件上传到Flash 里

ftp> put f:\S5700\web.zip

200 Port command okay.

150 Opening ASCII mode data connection for web.zip.

226 Transfer complete.

显示到这里就说明web.zip 文件被成功上传到Flash 里了。

下面就需要在终端或者telnet 里将刚刚上传的web.zip 进行加载

sys

[Quidway] http server load web.zip (加载web.zip )

接下来就可以开启HTTP服务了,在没有加载web.zip 之前, HTTP服务是开启不了的

[Quidway] http server enable

现在建立一个网管账号,账户名xiaodong ,密码xiaodong

[Quidway] aaa

[Quidway-aaa] local-user xiaodong password simple xiaodong

[Quidway-aaa] local-user xiaodong service-type http

[Quidway-aaa] q

这时可以在电脑上打开浏览器,输入192.168.1.1 ,进入登录验证界面,输入账号xiaodong ,密码xiaodong ,验证码,即可登录。华为三层交换机配置实例_华为交换机配置_04

校园网中NAT的综合应用

介绍了NAT特性在校园网中的应用,包括域间NAT,域内NAT,内部服务器等。

组网需求

如图1 所示,一个校园网通过SRG连接到Internet 。校园内部网络分为三个区域:教学区、宿舍区和图书馆区。

业务需求如下:

· 教学区和宿舍区的主机能够访问Internet ,图书馆区的主机不能访问Internet 。

· 学校从ISP 申请了202.10.10.2/24 和202.10.10.3/24 两个公网IP 地址。教学区、宿舍区用户访问Internet 时,通过NAPT实现多个内网

IP 地址映射到同一个公网IP 地址。

· 图书馆区设置了Web服务器和FTP服务器,可以供Internet 用户和校园网用户访问。用户可以通过IP 地址202.10.10.4 访问Web服务器;

通过IP 地址202.10.10.5 访问FTP服务器。

· 网络管理员可以通过SRG监控用户访问图书馆区Web服务器和FTP服务器的情况。

图1 校园网网络部署华为三层交换机配置实例_华为交换机配置_05

配置思路

1. 配置SRG各接口的IP 地址,将校园网用户部署在Trust 区域,外网用户部署在Untrust 区域。

2. 配置域间NAT,使教学区和宿舍区的用户使用公网IP 地址访问Internet 。

3. 配置内部服务器,使Internet 用户可以访问图书馆区的服务器。

4. 配置域内NAT,将访问图书馆区服务器的校园网用户的IP 地址转换为申请的公网IP 地址,使SRG可以监控校园网用户访问图书馆区服务器的情

况。

操作步骤

1. 按照图1 配置SRG各接口的IP 地址,把接口GigabitEthernet 0/0/1 加入Untrust 安全区域, 把接口GigabitEthernet 0/0/0 、GigabitEthernet

5/0/0 、GigabitEthernet 6/0/0 加入Trust 安全区域。具体配置过程略。

2. 配置域间NAT。

# 创建ACL 2000,配置源地址为10.10.0.0/16 和10.20.0.0/16 的规则。

[SRG] acl 2000

[SRG-acl-basic-2000] rule permit source 10.10.0.0 0.0.255.255

[SRG-acl-basic-2000] rule permit source 10.20.0.0 0.0.255.255

[SRG-acl-basic-2000] quit

# 配置NAT地址池。

[SRG] nat address-group 0 202.10.10.2 202.10.10.3

# 在Trust 区域和Untrust 区域域间应用ACL 2000,允许教学区和宿舍区用户访问Internet 。

[SRG] firewall interzone trust untrust

[SRG-interzone-trust-untrust] packet-filter 2000 outbound

# 配置域间NAT,将NAT地址池和ACL关联。

[SRG-interzone-trust-untrust] nat outbound 2000 address-group 0

[SRG-interzone-trust-untrust] quit

3. 配置内部服务器供Internet 用户访问。

# 配置内部服务器。

[SRG] nat server protocol tcp global 202.10.10.4 www inside 10.30.10.1 80

[SRG] nat server protocol tcp global 202.10.10.5 ftp inside 10.30.10.2 ftp

# 创建高级ACL 3000,配置目的地址为10.30.10.1 和10.30.10.2 的规则。

[SRG] acl 3000

[SRG-acl-adv-3000] rule permit tcp destination 10.30.10.1 0 destination-port eq ftp

[SRG-acl-adv-3000] rule permit tcp destination 10.30.10.2 0 destination-port eq 80

[SRG-acl-adv-3000] quit

配置在Trust 区域和Untrust 区域域间应用ACL 3000,允许Internet 用户访问Web服务器和FTP服务器。

[SRG] firewall interzone trust untrust

[SRG-interzone-trust-untrust] packet-filter 3000 inbound

# 配置Trust 区域和Untrust 区域的域间开启FTP和HTTP协议的ASPF功能。

[SRG-interzone-trust-untrust] detect ftp

[SRG-interzone-trust-untrust] detect http

[SRG-interzone-trust-untrust] quit

4. 配置内部服务器供内网用户访问。

# 创建ACL 2001,配置源地址为10.10.0.0/16 、10.20.0.0/16 和10.30.0.0/16 的规则。

[SRG] acl 2001

[SRG-acl-basic-2001] rule permit source 10.10.0.0 0.0.255.255

[SRG-acl-basic-2001] rule permit source 10.20.0.0 0.0.255.255

[SRG-acl-basic-2001] rule permit source 10.30.0.0 0.0.255.255

[SRG-acl-basic-2001] quit

# 在Trust 区域内配置NAT,允许校园网用户使用公网地址访问Web服务器和FTP服务器。

[SRG] firewall zone trust

[SRG-zone-trust] nat 2001 address-group 0

说明:

域内NAT可以与域间NAT引用相同的地址池,这里都引用了地址池0。

# 配置Trust 区域开启FTP协议的ASPF功能。

[SRG-zone-trust] detect ftp

[SRG-zone-trust] quit

5. 配置教学楼的主机的默认网关为10.10.0.1/16 ;配置宿舍区的主机的默认网关为10.20.0.1/16 ;配置图书馆的主机和服务器的默认网关为

10.30.0.1/16 。

结果验证

· 在教学区和宿舍区的主机上能够访问Internet 。

在SRG上执行命令display firewall session table ,查看会话表。

<SRG> display firewall session table

HTTP VPN: public -> public 10.10.2.2:1674[ 202.10.10.2:12889 ]-->202.10.10.5:80

可以看到校园网用户访问Internet 时, IP 地址转换为公网IP 地址。

· Internet 上的用户可以通过http://202.10.10.4 访问图书馆的Web服务器,通过IP 地址202.10.10.5 访问图书馆的FTP服务器。

· 校园网内的用户可以通过http://202.10.10.4 访问图书馆的Web服务器,通过IP 地址202.10.10.5 访问图书馆的FTP服务器。

在SRG上执行命令display firewall session table ,查看会话表。

<SRG> display firewall session table

HTTP VPN: public -> public 10.10.2.3:1903[ 202.10.10.2:31495 ]-->202.10.10.4:80[ 10.30.10.1:80 ]

可以看到校园网内用户通过IP 地址202.10.10.4 访问Web服务器时,源IP 地址转换为公网地址。

配置脚本

SRG配置脚本:

#

acl number 2000

rule 0 permit source 10.10.0.0 0.0.255.255

rule 5 permit source 10.20.0.0 0.0.255.255

acl number 2001

rule 0 permit source 10.10.0.0 0.0.255.255

rule 5 permit source 10.20.0.0 0.0.255.255

rule 10 permit source 10.30.0.0 0.0.255.255

#

acl number 3000

rule 0 permit tcp destination 10.30.10.1 0 destination-port eq ftp

rule 5 permit tcp destination 10.30.10.2 0 destination-port eq www

#

sysname SRG

#

nat address-group 0 202.10.10.2 202.10.10.3

nat server protocol tcp global 202.10.10.4 www inside 10.30.10.1 www

nat server protocol tcp global 202.10.10.5 ftp inside 10.30.10.2 ftp

#

interface GigabitEthernet0/0/0

ip address 10.10.0.1 255.255.0.0

#

interface GigabitEthernet0/0/1

ip address 202.10.10.1 255.255.255.0

#

interface GigabitEthernet5/0/0

ip address 10.20.0.1 255.255.0.0

#

interface GigabitEthernet6/0/0

ip address 10.30.0.1 255.255.0.0

#

firewall zone trust

set priority 85

nat 2001 address-group 0

detect

ftp

add interface GigabitEthernet0/0/0

add interface GigabitEthernet5/0/0

add interface GigabitEthernet6/0/0

#

firewall zone untrust

set priority 5

add interface GigabitEthernet0/0/1

#

firewall interzone trust untrust

packet-filter 3000 inbound

packet-filter 2000 outbound

nat outbound 2000 address-group 0

detect

ftp

detect

http

#

return

限制互访

1. 配置ACL规则( 192.168.1.0 为内网地址与2 网段通,与3 网段不通)

[Switch] acl 3001

[Switch-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255 dest 192.168.2.0 0.0.0.255

[Switch] acl 3002

[Switch-acl-adv-3002] rule 5 permit ip source 192.168.1.0 0.0.0.255 dest 192.168.3.0 0.0.0.255

2. 配置流分类

在Switch 上创建流分类c1、匹配规则分别为ACL 3001

[Switch] traffic classifier c1

[Switch-classifier-c1] if-match acl 3001

[Switch] traffic classifier c2

[Switch-classifier-c1] if-match acl 3002

[Switch-classifier-c1] quit

3. 配置流行为

# 在Switch 上创建流行为b1、

[Switch] traffic behavior b1

[Switch-behavior-b1] permit

[Switch-behavior-b1] quit

# 在Switch 上创建流行为b2、

[Switch] traffic behavior b2

[Switch-behavior-b2] deny

[Switch-behavior-b2] quit

4. 配置流策略并应用到接口上

# 在Switch 上创建流策略p1,将流分类和对应的流行为进行绑定。

[Switch] traffic policy p1

Switch-trafficpolicy-p1] classifier c1 behavior b1

[Switch-trafficpolicy-p1] classifier c2 behavior b2

[Switch-trafficpolicy-p1] quit

# 将流策略p1 应用到接口VLAN 10。(接口为数据流进入设备方向)

[Switch] vlan 10

[Switch-vlan10] traffic-policy p1 inbound

[Switch-vlan10] quit