华为S3700策略路由实验

11策略路由配置关于本章通过配置策略路由，可以用于提高网络的安全性能和负载分担。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

11.2 配置举例配置示例中包括组网需求和配置思路等。

11.1 配置策略路由配置策略路由可以将到达接口的转发报文重定向到指定的下一跳地址。

背景信息通过配置重定向，设备将符合流分类规则的报文重定向到指定的下一跳地址。

包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。

说明对于S2700系列交换机，只有S2700-52P-EI和S2700-52P-PWR-EI交换机支持策略路由。

前置任务在配置策略路由前，需要完成以下任务：●配置相关接口的IP地址和路由协议，保证路由互通。

●如果使用ACL作为策略路由的流分类规则，配置相应的ACL。

操作步骤1.配置流分类a.执行命令system-view，进入系统视图。

b.执行命令traffic classifier classifier-name [ operator { and | or } ]，创建一个流分类并进入流分类视图，或进入已存在的流分类视图。

and表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：▪当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；▪当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。

or表示流分类各规则之间是“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。

缺省情况下，流分类中各规则之间的关系为“逻辑与”。

c.请根据实际情况定义流分类中的匹配规则。

d.执行命令quit，退出流分类视图。

2.配置流行为a.执行命令traffic behavior behavior-name，创建一个流行为，进入流行为视图。

b.请根据实际需要进行如下配置：▪执行命令redirect ip-nexthop ip-address &<1-4> [ forced ]，将符合流分类的报文重定向到下一跳。

一、实训目的通过本次实训，掌握路由器的基本配置方法，了解路由器在网络中的作用，提高网络设备的配置与管理能力。

二、实训环境1. 路由器：华为AR系列路由器一台2. 交换机：华为S系列交换机一台3. 网线：直通网线若干4. 计算机若干5. 实验室网络环境：模拟企业局域网环境三、实训内容1. 路由器基本配置2. 路由器接口配置3. 路由协议配置4. 静态路由配置5. 动态路由配置6. 路由策略配置7. NAT配置8. 路由器安全配置四、实训步骤1. 路由器基本配置（1）连接路由器与计算机，使用Console线进入路由器配置模式。

（2）配置路由器基本参数，包括主机名、密码等。

（3）配置接口IP地址，确保路由器与交换机之间能够正常通信。

2. 路由器接口配置（1）查看路由器接口信息，了解接口状态。

（2）配置接口VLAN，实现不同VLAN之间的隔离。

（3）配置接口安全特性，如MAC地址绑定、IP源地址过滤等。

3. 路由协议配置（1）配置静态路由，实现不同网络之间的互通。

（2）配置动态路由协议，如RIP、OSPF等，实现网络自动路由。

4. 静态路由配置（1）查看路由表，了解当前网络的路由信息。

（2）配置静态路由，实现特定网络之间的互通。

5. 动态路由配置（1）配置RIP协议，实现网络自动路由。

（2）配置OSPF协议，实现网络自动路由。

6. 路由策略配置（1）配置路由策略，实现特定数据包的转发。

（2）配置策略路由，实现不同数据包的转发。

7. NAT配置（1）配置NAT地址池，实现内部网络访问外部网络。

（2）配置NAT转换，实现内部网络访问外部网络。

8. 路由器安全配置（1）配置ACL，实现访问控制。

（2）配置IPsec VPN，实现远程访问。

（3）配置端口安全，防止未授权访问。

五、实训结果通过本次实训，成功配置了路由器的基本参数、接口、路由协议、静态路由、动态路由、路由策略、NAT和路由器安全配置。

实现了不同网络之间的互通，满足了网络需求。

9路由关于本章本章主要介绍关于IPv4路由的相关信息和配置的方法。

在因特网中进行路由选择要使用路由器，路由器根据所收到的报文的目的地址选择一条合适的路由（通过某一网络），将报文传送到下一个路由器，路由中最后的路由器负责将报文送交目的主机。

9.1 IPv4路由介绍关于IPv4路由表、IPv4静态路由和全局参数的基本知识和配置方法。

9.1 IPv4路由介绍关于IPv4路由表、IPv4静态路由和全局参数的基本知识和配置方法。

9.1.1 IPv4路由表路由器转发分组的关键是路由表。

每个路由器中都保存着一张路由表，表中每条路由项都指明分组到某子网或某主机应通过路由器的哪个物理端口发送，然后就可到达该路径的下一个路由器，或者不再经过别的路由器而传送到直接相连的网络中的目的主机。

背景信息IPv4的查询功能可以查询路由表的全部信息，包括动态路由表和静态路由表的信息。

操作步骤步骤1单击导航树中的“路由 > IPv4路由 > IPv4路由表”菜单，进入“IPv4路由表”界面。

步骤2设置查询条件。

步骤3单击“查询”，查询列表区显示出所有符合条件的记录。

----结束9.1.2 IPv4静态路由配置静态路由是一种特殊的路由，它由管理员手工配置而成。

通过配置静态路由可建立一个互通的网络，但这种配置问题在于：当发生网络故障后，静态路由不会自动发生改变，必须有管理员的介入。

背景信息在交换机上配置IPv4静态路由时，建议明确指定下一跳地址。

因为交换机的物理接口多为广播类型的以太网接口，在同一出接口下可以关联多个下一跳地址，从而无法唯一确定下一跳。

在应用中，如果必须指定出接口，应同时指定通过该接口发送时对应的下一跳地址。

操作步骤●新建IPv4静态路由a.单击导航树中的“路由 > IPv4路由 > IPv4静态路由配置”菜单，进入“IPv4静态路由配置”界面。

b.单击“新建”，进入“新建IPv4静态路由”界面。

1.S3700 DHCP Snooping 配置1.1配置防止DHCP Server 仿冒者的攻击防止DHCP Server 仿冒者攻击的基本配置过程，包括配置信任接口、配置DHCPReply 报文丢弃告警功能。

#dhcp enabledhcp snooping enabledhcp server detect#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping trusted#interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping alarm untrust-reply enabledhcp snooping alarm untrust-reply threshold 120在端口下配置dhcp snooping 后默认成为untrusted端口1.2配置防止改变CHADDR 值的DoS 攻击示例如果攻击者改变的不是数据帧头部的源MAC，而是通过改变DHCP 报文中的CHADDR （Client Hardware Address）值来不断申请IP 地址，而S3700 仅根据数据帧头部的源MAC 来判断该报文是否合法，那么MAC 地址限制不能完全起作用，这样的攻击报文还是可以被正常转发。

为了避免受到攻击者改变CHADDR 值的攻击，可以在S3700 上配置DHCP Snooping 功能，检查DHCP Request 报文中CHADDR 字段。

如果该字段跟数据帧头部的源MAC 相匹配，转发报文；否则，丢弃报文Switch 应用在用户网络和ISP 的二层网络之间，为防止攻击者通过改变CHADDR 值进行DoS 攻击，要求在Switch 上应用DHCP Snooping 功能。

检查DHCPRequest 报文中CHADDR 字段，如果该字段跟数据帧头部的源MAC 相匹配，便转发报文；否则丢弃报文。

一、实验目的本次实验旨在通过华为网络设备，掌握网络配置的基本技能，熟悉华为设备的配置界面和命令，并能够独立完成以下任务：1. 配置IP地址2. 宣告OSPF3. 引入默认路由4. 路由汇总5. 配置完全Stub区域6. 修改接口Cost实现合理分流，确保来回路径一致7. 修改网络类型，加快收敛8. 配置出口NAT，实现外网连通性9. 增强安全性二、实验环境1. 华为交换机：S5700-28P2. 华为路由器：AR22003. 实验软件：华为eNSP（企业网络仿真器）三、实验步骤1. 配置IP地址- 在交换机上配置VLAN，并为其分配Access接口。

- 为路由器接口配置IP地址。

2. 宣告OSPF- 在路由器上启用OSPF协议。

- 配置OSPF进程ID。

- 宣告OSPF网络。

3. 引入默认路由- 在路由器上配置默认路由，指向下一跳路由器。

4. 路由汇总- 配置路由汇总，减少路由表项。

5. 配置完全Stub区域- 在OSPF区域中配置完全Stub区域，禁止区域内的路由器学习其他区域的路由信息。

6. 修改接口Cost实现合理分流- 根据网络流量需求，修改接口Cost值，实现合理分流。

7. 修改网络类型，加快收敛- 根据网络需求，修改OSPF网络类型，加快收敛速度。

8. 配置出口NAT，实现外网连通性- 配置NAT地址转换，实现内网设备访问外网。

9. 增强安全性- 配置访问控制列表（ACL），限制对网络设备的访问。

- 配置IPsec VPN，保障数据传输安全。

四、实验结果与分析1. 成功配置了IP地址、OSPF、默认路由、路由汇总、完全Stub区域等。

2. 修改接口Cost值，实现了合理分流。

3. 修改网络类型，加快了收敛速度。

4. 配置出口NAT，实现了外网连通性。

5. 增强了网络设备的安全性。

五、实验总结通过本次实验，我们掌握了以下技能：1. 华为设备的配置界面和命令。

2. 网络配置的基本技能。

3. OSPF多区域配置的规划和实施。

一、实训背景与目的随着信息技术的飞速发展，网络技术在各行各业中的应用越来越广泛。

为了使学生更好地掌握网络设备配置与管理的基本技能，提高学生的实际操作能力，本次实训旨在通过路由器配置的实训，使学生了解路由器的基本原理、配置方法以及网络故障排除技巧。

二、实训环境与设备1. 实训环境：- 操作系统：Windows Server 2012- 路由器：华为AR2200系列路由器1台- 交换机：华为S5700系列交换机2台- 计算机客户端：PC Server 332. 实训设备：- 路由器：华为AR2200-01- 交换机：华为S5700-02、华为S5700-03- 计算机客户端：PC Server 33三、实训内容与步骤1. 路由器基本配置（1）登录路由器使用Console线连接路由器的Console口和计算机的串口，通过PuTTY软件配置路由器。

（2）设置基本参数- 配置设备名称- 配置设备IP地址- 配置管理密码（3）配置接口参数- 配置接口IP地址- 配置接口类型（如：VLAN接口、以太网接口）2. 路由协议配置（1）静态路由配置- 配置目标网络地址- 配置下一跳路由器IP地址（2）动态路由协议配置- 配置OSPF协议- 配置BGP协议3. VLAN配置（1）创建VLAN- 创建VLAN 10- 创建VLAN 20（2）配置VLAN接口- 将接口0/0/1分配给VLAN 10- 将接口0/0/2分配给VLAN 20（3）配置VLAN IF- 配置VLAN IF 10- 配置VLAN IF 204. 路由器安全配置（1）配置访问控制列表（ACL）- 配置入站ACL（2）配置IP地址过滤- 配置IP地址过滤规则- 配置IP地址过滤应用四、实训总结与收获通过本次路由器配置实训，我收获颇丰，具体如下：1. 加深了对路由器基本原理的理解：通过实际操作，我深刻理解了路由器的工作原理，包括路由选择、转发数据包等。

10路由策略配置关于本章路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。

10.1 路由策略概述随着网络的日益扩大，路由表激增导致网络负担越来越重，网络安全问题也越来越多。

为了解决上述问题，可以在路由协议发布、接收和引入路由时配置路由策略，过滤路由和改变路由属性。

10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。

10.3 配置过滤器路由策略过滤器包括访问控制列表、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。

本章介绍其中的地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器的配置。

其中访问控制列表的配置请参见《S2700, S3700 系列以太网交换机配置指南-安全》中的“ACL配置”。

10.4 配置路由策略路由策略的每个节点由一组if-match子句和apply子句组成。

10.5 配置路由策略生效时间为了保障网络的稳定性，修改路由策略时需要控制路由策略的生效时间。

10.6 维护路由策略路由策略的维护包括清除地址前缀列表统计数据。

10.7 配置举例路由策略配置举例包括组网需求、组网图、配置思路和配置步骤。

10.1 路由策略概述随着网络的日益扩大，路由表激增导致网络负担越来越重，网络安全问题也越来越多。

为了解决上述问题，可以在路由协议发布、接收和引入路由时配置路由策略，过滤路由和改变路由属性。

路由策略与策略路由的区别策略路由PBR（Policy-Based Routing）与单纯依照IP报文的目的地址查找转发表进行转发不同，是一种依据制定的策略而进行路由选择的机制，可应用于安全、负载分担等目的。

路由策略与策略路由是两种不同的机制，主要区别如表10-1。

表10-1路由策略与策略路由的区别10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。

【盒式交换机】Quidway® S3700系列企业网交换机配置一指禅产品概述Quidway® S3700系列企业网交换机（以下简称S3700），是华为公司推出的新一代绿色节能的三层以太网交换机。

它基于新一代高性能硬件和华为VRP®（Versatile Routing Platform）软件平台，针对企业用户园区汇聚、接入等多种应用场景，提供简单便利的安装维护手段、灵活的VLAN部署和POE供电能力、丰富的路由功能和IPv6平滑升级能力，并通过融合堆叠、虚拟路由器冗余、快速环网保护等先进技术有效增强网络健壮性，能够助力企业搭建面向未来的IT网络。

S3700 系列交换机为盒式产品设备，机箱高度为1U，包含S3700-28TP和S3700-52P两大类，提供标准型（SI）和增强型（EI）两种产品版本，标准型支持二层和基本的三层功能，增强型支持复杂的路由协议和丰富的业务特性。

配置步骤指导配置S3700交换机的典型步骤：选型号-》选配件-》选特殊配件–》选辅料1.选型号：1）根据上下行端口/电源/POE/特性需求选择合适的设备：2）选择SI或者EI机型，SI和EI的显著区别如下：3）选择是否需要POE机型：如果企业需要交换机下联IP Phone，蓝牙AP等PD设备，需要使用POE机型，S3700POE机型每端口最高支持30W供电功率。

2.选配件：1）选电源模块：S3700的非POE机型内置电源，无需单独配置；而POE机型根据下挂PD设备的数量和功率进行电源模块。

POE机型有2个电源槽位，可支持1+1备份配置，电源模块有250W（编码02130878）和500W（编码02130879）两种规格，支持的端口情况如下表。

POE电源只支持交流输入。

不同功率的POE电源不能混配。

2）选择电模块/光模块：S3700提供1种电模块，14种光模块1）选择堆叠线缆：S3700最多可支持9台设备的堆叠，堆叠带宽为10G。