华三交换机替换VLAN ID命令 华三交换机修改vlan_运维

1、预期目标
如图所示,F1060为H3C防火墙,S6850是交换机,现在两台交换机连接到防火墙上,现需要配置网络使左右两侧网络互通。
配置方式采用两种办法,左边使用vlanif方式与防火墙连接,右边将交换机与防火墙连接端口设置为route模式,并配置IP。
左PC配置IP10.0.4.21 网关10.0.4.10 。右PC配置IP 10.0.5.21 网关10.0.5.10
2、实施配置
1、防火墙配置
将接口G1/0/0,G1/0/1配置为route模式,并配置10.0.4.1 24和10.0.3.1 24 IP
操作命令

int G1/0/0
 port link-mode route
 ip add 10.0.4.1 24
 int G1/0/1
 port link-mode route
 ip add 10.0.3.1 24
 qu


将G1/0/0~G1/0/1 端口加入到Trust 安全域,防火墙配置的地址默认再local域(详细请了解防火墙安全域)
操作命令

security-zone Trust
 import int G1/0/0
 import int G1/0/1
 qu


防火墙欲同交换机通信必须添加互通策略。security-policy 参数有IP IPv6等,常用的使IP
操作命令

security-policy IP
 rule 0 name local-trust
 action pass
 source-zone local
 destination-zone trust
 rule 1 name trust-local
 action pass
 source-zone trust
 destination-zone local

至此防火墙配置准备完成。
2、配置交换机
1、2号交换机(左侧)配置
创建vlan10,并将G1/0/1,G1/0/2加入到vlan10中,并配置vlanif10 ip为10.0.4.20
操作命令

vlan 10
 qu
 int range G1/0/1 to G1/0/2
 dis this #端口模式为bridge如果使route请修改为brideg >port link-mode beideg
 port access vlan 10
 qu
 int valn 10
 ip add 10.0.4.20 24
 qu
 dis int brief #查看端口信息
 dis ip routeing-table #查看路由表

此时可以ping通防火墙的10.0.4.1端口,但还无法ping通10.0.3.1。
2、3号交换机(右侧)配置
创建vlan10 ,将G1/0/1端口模式配置为route并配置10.0.3.10IP,将G1/0/2添加到vlan10,并配置vlanif10ip为10.0.5.10
配置命令

vlan 10
 int G1/0/1
 port link-mode route
 ip add 10.0.3.10 24
 int G1/0/2
 port access valn 10
 qu
 int vlan10
 ip add 10.0.5.10 24
 qu

至此3号交换机能够ping通10.0.3.1,但不能够ping通10.0.4.1,也不能ping通另一个交换机。

3、解决两个交换机不能互通
两个交换机都能ping通防火墙对应端口IP,但跨网段就不能相通,这是因为安全规则导致的,需要添加trust-trust互通。
防火墙配置

security-policy ip
 rule 3 name trust-trust
 action pass
 source-zone trust
 destination-zone trust


此时10.0.3.0 和 10.0.4.0 网段就可以互通了,但是10.0.5.0还不能够与他们互通,这是因为在防火墙和交换机上还没有相关路由 表。
配置静态路由表

#防火墙
 ip route-static 10.0.5.0 24 10.0.3.10
 #左交换机
 ip route-static 0.0.0.0 0 10.0.4.1
 #右交换机
 ip route-static 0.0.0.0 0 10.0.3.1

到此左右两侧网络就可以自由互通了。
3、配置命令汇总
防火墙配置

int G1/0/0
 port link-mode route
 ip add 10.0.4.1 24
 int G1/0/1
 port link-mode route
 ip add 10.0.3.1 24
 qu
 security-zone Trust
 import int G1/0/0
 import int G1/0/1
 qu
 security-policy IP
 rule 0 name local-trust
 action pass
 source-zone local
 destination-zone trust
 rule 1 name trust-local
 action pass
 source-zone trust
 destination-zone localsecurity-policy ip
 rule 3 name trust-trust
 action pass
 source-zone trust
 destination-zone trustip route-static 10.0.5.0 24 10.0.3.10
 左交换机
 vlan 10
 qu
 int range G1/0/1 to G1/0/2
 dis this #端口模式为bridge如果使route请修改为brideg >port link-mode beideg
 port access vlan 10
 qu
 int valn 10
 ip add 10.0.4.20 24
 qu
 ip route-static 0.0.0.0 0 10.0.4.1
 右交换机
 vlan 10
 int G1/0/1
 port link-mode route
 ip add 10.0.3.10 24
 int G1/0/2
 port access valn 10
 qu
 int vlan10
 ip add 10.0.5.10 24
 qu
 ip route-static 0.0.0.0 0 10.0.3.1