關(guān)于H3C三層交換機(jī)的策略路由實例配置

小編：魅力更新時間：2022-08-02 02:32

我下面以一臺H3C S5800交換機(jī)為例：

一、系統(tǒng)的配置

給交換機(jī)命名

system-view

[H3C] sysname NH001

[NH001]

啟用telnet服務(wù)

[NH001] telnet server enable

配置telnet登錄名和密碼

[NH001] local-user admin

password cipher password

authorization-attribute level 3

service-type telnet

[NH001]user-interface vty 0 4

authentication-mode scheme

二、VLAN的配置

在用戶模式下使用命令vlan 來添加vlan ID 可使用description命令對VLAN進(jìn)行描述與命名方便今后維護(hù)與管理。

[NH001] vlan 1

description "Manager"

[NH001]vlan 10

description "VLAN 10"

[NH001]vlan 11

description "VLAN 11"

[NH001]vlan 12

description "VLAN 12"

在三層交換機(jī)上創(chuàng)建了vlan后還需要給它配置IP地址既我們所說的網(wǎng)關(guān)。在用戶模視圖模式下輸入interface vlan-interface1進(jìn)入VLAN1的三層接口視圖中。使用ip address 命令給當(dāng)前VLAN配置IP地址。

[NH001]interface Vlan-interface10

ip address 172.16.10.1 255.255.255.0

[NH001]interface Vlan-interface11

ip address 172.16.11.1 255.255.255.0

三、端口的配置

在端口的配置中，我們一般將端口分為以下幾種類型；

1、 access port 普通接口，此接口一般用于連接用戶的PC

2、 trunk port 封裝了802.1Q協(xié)議的端口，此端口一般用于交換機(jī)與交換機(jī)互連，需要透傳多個VLAN時配置。

一般情況下使用這兩種類型端口即可滿足網(wǎng)絡(luò)的建設(shè)，使用interface GigabitEthernet1/0/1命令進(jìn)入一個端口，port link-type 命令來定義當(dāng)前接口的類型，使用port access 命令來將端口添加到相應(yīng)的vlan當(dāng)中。使用port link-type trunk命令來講當(dāng)前的接口定義為trunk端口。

[NH001] interface GigabitEthernet1/0/1

port access vlan 200

[NH001] interface GigabitEthernet1/0/47

port link-type trunk

port trunk permit vlan all

四、路由的配置

靜態(tài)路由的命令ip route-static

[NH001]ip route-static 0.0.0.0 0.0.0.0 192.168.254.3

五、安全的配置

安全設(shè)置主要是通過ACL的方式來實現(xiàn)；

1、創(chuàng)建ACL

使用acl number 命令來創(chuàng)建一個acl的規(guī)則，高級ACL 序號取值范圍3000～3999。高級ACL 可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP 承載的協(xié)議類型、針對協(xié)議的特性，例如TCP 或UDP 的源端口、目的端口，TCP 標(biāo)記，ICMP 協(xié)議的類型、code 等內(nèi)容定義規(guī)則。一般我們建議都使用高級ACL。

[NH001]acl number 3001

rule 2 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.11.0 0.0.0.255

rule 3 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.12.0 0.0.0.255

2、下發(fā)ACL

下發(fā)ACL就是把之前定義好的ACL通過命令packet-filter 的方式下發(fā)到交換機(jī)的接口下，端口可以是vlan的三層接口或者設(shè)備的物理接口。支持inbound與oubound方向。

[NH001]interface gigabitethernet1/1/1

packet-filter 3006 inbound

3、查看ACL

通過display acl命令可以查看當(dāng)前所配置的acl條目。

六、DHCP的配置

5800上的DHCP配置可分為DHCP服務(wù)器配置與DHCP中繼配置，DHCP服務(wù)器配置是在交換機(jī)上啟動DHCP服務(wù)并創(chuàng)建IP地址池自動為所連VLAN的客戶端自動分配IP地址。DHCP中繼一般在網(wǎng)絡(luò)規(guī)模較大VLAN數(shù)量較多的環(huán)境下結(jié)合一臺獨立的DHCP服務(wù)器使用。目前在5800上我們配置的是DHCP中繼的方式。

使用命令dhcp enable來啟用DHCP服務(wù)，使用命令dhcp relay server-group 1 ip 192.168.188.10 來制定一臺DHCP服務(wù)器地址，dhcp select relay、 dhcp relay server-select 1在VLAN三次接口下啟用中繼并應(yīng)用之前定義的DHCP服務(wù)組。

[NH001] dhcp enable

[NH001] dhcp relay server-group 1 ip 192.168.188.10

[NH001] interface vlan11

dhcp select relay

dhcp relay server-select 1

七、源地址策略路由的配置

策略路由（policy-based-route）是一種依據(jù)用戶制定的策略進(jìn)行路由選擇的機(jī)制。與單純依照IP報文的目的地址查找路由表進(jìn)行轉(zhuǎn)發(fā)不同，策略路由基于到達(dá)報文的源地址等信息靈活地進(jìn)行路由。

1、選擇，定義ACL引用數(shù)據(jù)流

[NH001]acl number 3200

rule 0 permit ip source 10.10.10.0 0.0.0.255 destination 172.16.88.0 0.0.0.255

rule 1 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.188.0 0.0.0.255

rule 2 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.254.0 0.0.0.255