H3C S5800 三层交换机简要配置手册,源地址策略路由
H3C-S5800交换机配置指南
[H3C-S5800-01] dis cu#version 5.20, Release 1211#sysname H3C-S5800-01 交换机命名#irf mac-address persistent timerirf auto-update enableundo irf link-delay#domain default enable system#telnet server enable 开启telnet#mirroring-group 1 local#vlan 1#vlan 100#vlan 129 to 130#radius scheme systemserver-type extendedprimary authentication 127.0.0.1 1645· primary accounting 127.0.0.1 1646user-name-format without-domain#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user admin 配置telnet用户名 password simple smxwsj123 配置telnet密码 authorization-attribute level 3service-type telnet#stp instance 1 root primarystp enablestp region-configurationregion-name h3cinstance 1 vlan 1 129 to 130active region-configuration#interface Bridge-Aggregation1port link-type trunkport trunk permit vlan all#interface NULL0#interface Vlan-interface1 配置管理vlan的IP地址ip address 10.165.128.253 255.255.255.192vrrp vrid 1 virtual-ip 10.165.128.254vrrp vrid 1 priority 120 设为主设备#interface Vlan-interface100 配置与6602-01的互联地址ip address 10.165.128.2 255.255.255.248#interface Vlan-interface129 配置用户VLAN及IP地址ip address 10.165.129.253 255.255.255.0vrrp vrid 129 virtual-ip 10.165.129.254vrrp vrid 129 priority 120 设为主设备#interface Vlan-interface130 配置服务器VLAN及IP地址ip address 10.165.130.253 255.255.255.0vrrp vrid 130 virtual-ip 10.165.130.254vrrp vrid 130 priority 120 设为主设备#interface GigabitEthernet1/0/1 配置互联h3c-6602-01的接口port link-mode bridgedescription --link-h3c-6602-01--port access vlan 100mirroring-group 1 mirroring-port both 配置被监控口#interface GigabitEthernet1/0/2 配置互联qiming-usg-fw-01的接口 port link-mode bridgedescription --link-qiming-usg-fw-01--port access vlan 100mirroring-group 1 mirroring-port both 配置被监控口#interface GigabitEthernet1/0/3 配置互联qiming-ips的接口port link-mode bridgedescription --link--qiming-ips--mirroring-group 1 monitor-port 配置监控口interface GigabitEthernet1/0/4 配置互联qiming-vpn的接口port link-mode bridgedescription --link--qiming-vpn--#interface GigabitEthernet1/0/5 配置互联qiming-ips-guanli的接口 port link-mode bridgedescription --link--qiming-ips--guanli--#interface GigabitEthernet1/0/6port link-mode bridge#interface GigabitEthernet1/0/7port link-mode bridge#interface GigabitEthernet1/0/8port link-mode bridge#interface GigabitEthernet1/0/9port link-mode bridge#interface GigabitEthernet1/0/10port link-mode bridge#interface GigabitEthernet1/0/11port link-mode bridge#interface GigabitEthernet1/0/12port link-mode bridge#interface GigabitEthernet1/0/13port link-mode bridge#interface GigabitEthernet1/0/14port link-mode bridge#interface GigabitEthernet1/0/15port link-mode bridge#interface GigabitEthernet1/0/16port link-mode bridge#interface GigabitEthernet1/0/17port link-mode bridgeinterface GigabitEthernet1/0/18 port link-mode bridge#interface GigabitEthernet1/0/19 port link-mode bridge#interface GigabitEthernet1/0/20 port link-mode bridge#interface GigabitEthernet1/0/21 port link-mode bridge#interface GigabitEthernet1/0/22 port link-mode bridge#interface GigabitEthernet1/0/23 port link-mode bridge#interface GigabitEthernet1/0/24 port link-mode bridge#interface GigabitEthernet1/0/25 port link-mode bridge#interface GigabitEthernet1/0/26 port link-mode bridge#interface GigabitEthernet1/0/27 port link-mode bridge#interface GigabitEthernet1/0/28 port link-mode bridge#interface GigabitEthernet1/0/29 port link-mode bridge#interface GigabitEthernet1/0/30 port link-mode bridge#interface GigabitEthernet1/0/31 port link-mode bridge#interface GigabitEthernet1/0/32#interface GigabitEthernet1/0/33port link-mode bridge#interface GigabitEthernet1/0/34port link-mode bridge#interface GigabitEthernet1/0/35port link-mode bridge#interface GigabitEthernet1/0/36port link-mode bridge#interface GigabitEthernet1/0/37port link-mode bridge#interface GigabitEthernet1/0/38port link-mode bridge#interface GigabitEthernet1/0/39port link-mode bridge#interface GigabitEthernet1/0/40port link-mode bridge#interface GigabitEthernet1/0/41port link-mode bridge#interface GigabitEthernet1/0/42port link-mode bridge#interface GigabitEthernet1/0/43port link-mode bridge#interface GigabitEthernet1/0/44port link-mode bridge#interface GigabitEthernet1/0/45port link-mode bridgeport link-type trunkport trunk permit vlan all#interface GigabitEthernet1/0/46 配置互联qiming-fw-03的接口description --link-qiming-fw-03--port link-type trunkport trunk permit vlan all#interface GigabitEthernet1/0/47 配置互联H3C-S5800-02的接口 port link-mode bridgedescription --link-h3c-s5800-02--port link-type trunkport trunk permit vlan allport link-aggregation group 1#interface GigabitEthernet1/0/48 配置互联H3C-S5800-02的接口 port link-mode bridgedescription --link-h3c-s5800-02--port link-type trunkport trunk permit vlan allport link-aggregation group 1#interface GigabitEthernet1/0/49port link-mode bridge#interface GigabitEthernet1/0/50port link-mode bridge#interface GigabitEthernet1/0/51port link-mode bridge#interface GigabitEthernet1/0/52port link-mode bridge#interface GigabitEthernet1/1/1port link-mode bridge#interface GigabitEthernet1/1/2port link-mode bridge#interface GigabitEthernet1/1/3port link-mode bridge#interface GigabitEthernet1/1/4port link-mode bridge#interface GigabitEthernet1/1/5#interface GigabitEthernet1/1/6port link-mode bridge#interface GigabitEthernet1/1/7port link-mode bridge#interface GigabitEthernet1/1/8port link-mode bridge#interface GigabitEthernet1/1/9port link-mode bridge#interface GigabitEthernet1/1/10port link-mode bridge#interface GigabitEthernet1/1/11port link-mode bridge#interface GigabitEthernet1/1/12port link-mode bridge#interface GigabitEthernet1/1/13port link-mode bridge#interface GigabitEthernet1/1/14port link-mode bridge#interface GigabitEthernet1/1/15port link-mode bridge#interface GigabitEthernet1/1/16port link-mode bridge#ip route-static 0.0.0.0 0.0.0.0 10.165.128.3 配置上网路由ip route-static 10.0.0.0 255.0.0.0 10.165.128.1 配置到省卫生局的路由ip route-static 192.168.0.0 255.255.0.0 10.165.128.1 配置到省卫生局的路由#load xml-configuration#load tr069-configuration#user-interface aux 0user-interface vty 0 4authentication-mode scheme user-interface vty 5 15#return。
H3C基于源地址目的地址策略路由
网络拓扑:设备接口IP情况:需求一:1、使用H3C Lab模拟器或者H3C LITO模拟器,搭建如上网络拓扑,配置接口IP地址。
2、Sw1作为企业内网出口设备,实现内网互联,vlan及实现双出口NAPT,双出口默认路由(备份作用)。
3、实现Area 0区域内的公网路由器互联。
需求二:sw1 实现基于源地址的策略路由,内网1走联通,内网2走电信,使用RT8的loopback 0地址作为测试地址。
同时配置NQA,电信线路或者联通线路断掉了,依然不影响上网业务。
需求三:删除原来的基于源地址的策略路由配置,实现基于目的地址的策略路由,访问7.7.7.7走联通线路,访问8.8.8.8走电信线路。
电信线路或者联通线路断掉了,依然不影响访问7.7.7.7和8.8.8.8。
注意:使用在h3c路由器使用tracert命令测试实际效果,需要开启路由跟踪。
命令:ip redirects enableip ttl-expires enableip unreachables enable需求一的配置:Sw1:System-veiwvlan 10vlan 20vlan 30vlan 40int vlan 10ip address 192.168.1.1 24int vlan 20ip address 192.168.2.1 24int vlan 30ip address 1.1.1.1 24int vlan 40ip address 2.2.2.1 24quitint et0/4/0port access vlan 30int et0/4/1port access vlan 40int et0/4/2port access vlan 10int et0/4/3port access vlan 20quitip redirects enableip ttl-expires enableip unreachables enableip route-static 0.0.0.0 0.0.0.0 Vlan-interface30 1.1.1.2 ip route-static 0.0.0.0 0.0.0.0 Vlan-interface40 2.2.2.2 nat address-group 0 1.1.1.1 1.1.1.1nat address-group 1 2.2.2.1 2.2.2.1int vlan 30nat outbound address-group 0int vlan 40nat outbound address-group 1quitSystem-viewint et0/0/0ip address 3.3.3.2 24int et0/0/1ip address 5.5.5.1 24quitRT2int et0/0/0ip address 4.4.4.2 24int et0/0/1ip address 6.6.6.1 24quitRT3int et0/0/0ip address 1.1.1.2 24int et0/0/1ip address 3.3.3.1 24quitRT4int et0/0/0ip address 2.2.2.2 24int et0/0/1ip address 4.4.4.1 24quitRT5int et0/0/0ip address 192.168.1.10 24quitip route-static 0.0.0.0 0.0.0.0 Ethernet0/0/0 192.168.1.1RT6int et0/0/0ip address 192.168.2.10 24quitip route-static 0.0.0.0 0.0.0.0 Ethernet0/0/0 192.168.2.1int et0/0/0ip address 5.5.5.2 24int et0/0/1ip address 6.6.6.2 24int loopback 0ip address 8.8.8.8 32int loopback 1ip address 7.7.7.7 32quitOSPF的配置:RT2/3/4/8ospf 10area 0network 0.0.0.0 0.0.0.0quitquit需求二的配置:1、首先配置NQA,NQA用于检测链路可达性,实施策略路由,当策略路由有效的时候,执行转发的优先级绝对比其他路由协议高(无视直连路由),因此假设电信线路宕掉了,策略路由依然生效,这样会导致电信线路不通了,内网部分用户访问不了外网了,即便设置了默认路由作为备份路由也无济于事,因此需要一种机制来辅助策略路由是否有效,NQA就是用于检测线路的工具,它监视策略路由可达性,如果可达,策略路由依然生效,如果不可达了,那么它会让该策略路由失效,这个时候备份的默认路由就生效了,数据从联通出去,依然不影响上网业务。
FiberHome S5800系列三层千兆路由交换机_安装手册_V2.0
2. 符号约定
格式
<> [] →
意义 带尖括号“< >”表示键名、按钮名以及操作员从终端输入的和字段名等 多级菜单用“→”隔开。如[文件→新建→文件夹]多级菜单 表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项
3. 键盘操作约定
格式 加尖括号的字符 <键 1+键 2> <键 1,键 2>
E-mail:
sales@
非常感谢您购买和使用我们公司的产品,您的满意是我们的宗旨!
版权声明
Copyright ©2014 武汉烽火网络有限责任公司版权所有,保留一切权利。
未经武汉烽火网络有限责任公司书面许可,任何单位和个人不得以 任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修 改、传播、翻译成其它语言、将其全部或部分用于商业用途。
ii
前言
免责声明
本手册依据现有信息制作其内容,如有更改恕不另行通知。武汉烽火网络有限责任公司 在编写该手册的时候已尽最大努力保证其内容准确可靠,但武汉烽火网络有限责任公司 不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。
S5800 系列三层千兆路由交换机 安装手册
iii
目录
目录
第 1 章 产品简介 ........................................................................................................................... 1-1 1.1 概述 .................................................................................................................................... 1-1 1.2 产品特点............................................................................................................................. 1-1 1.3 硬件结构............................................................................................................................. 1-2 1.3.1 S5800 系列交换机整机说明 ...................................................................................... 1-3 1.3.2 S5800 系列交换机前面板说明................................................................................... 1-5 1.3.3 S5800 系列交换机后面板说明................................................................................... 1-8
华为三层交换机配置步骤解释资料
华为三层交换机配置步骤解释资料第一步:连接设备首先,将电脑与三层交换机通过网线连接起来。
可以通过一根网线将电脑的网络接口与三层交换机的任意一个接口连接起来。
第二步:登录设备打开浏览器,在浏览器的地址栏输入三层交换机的默认管理地址,例如:192.168.1.1、按下回车键,会弹出登录页面。
输入正确的用户名和密码,点击登录按钮。
第三步:配置基本信息登录成功后,首先需要进行一些基本的配置。
点击左侧导航栏的“基本设置”,在这里可以修改设备的名称、管理地址、时间等基本信息。
一般来说,建议将管理地址配置为内网地址,同时设定好设备的名称和时区。
第四步:配置VLANVLAN(Virtual Local Area Network)用于将一个大的局域网划分为多个虚拟局域网,每个VLAN可以独立配置。
点击左侧导航栏的“VLAN管理”,在这里可以创建、修改和删除VLAN。
点击“添加”按钮,输入VLAN的ID和名称,点击保存按钮完成VLAN的创建。
第五步:配置接口第六步:配置静态路由静态路由是手动配置的路由信息,用于指定数据包的转发路径。
点击左侧导航栏的“路由管理”,在这里可以配置和管理静态路由。
点击“添加”按钮,输入目的网段的IP地址和子网掩码,以及下一跳的IP地址,点击保存按钮完成静态路由的配置。
第七步:配置ACLACL(Access Control List)是用于控制网络流量的一种策略,可以根据源IP地址、目的IP地址、端口号等条件进行过滤和限制。
点击左侧导航栏的“ACL管理”,在这里可以配置和管理ACL规则。
点击“添加”按钮,输入ACL规则的名称、匹配条件和动作,点击保存按钮完成ACL的配置。
第八步:保存和应用配置在进行完上述配置后,需要点击页面的“保存”按钮将配置保存到设备中。
然后,点击页面的“应用”按钮,设备会自动将新的配置应用到系统中。
完成配置后,可以通过ping命令或其他方式进行网络连通性测试,确保配置的正确性。
H3CS5800三层交换机简要配置手册,源地址策略路由
H3CS5800三层交换机简要配置手册,源地址策略路由H3C S5800简要配置手册系统的配置给交换机命名system-view[H3C] sysname[NH001]启用telnet服务[NH001] telnet server enable配置telnet登录名和密码[NH001] local-user adminpassword cipher passwordauthorization-attribute level 3service-type telnet[NH001]user-interface vty 0 4authentication-mode schemeVLAN的配置在用户模式下使用命令vlan 来添加vlan ID 可使用description 命令对VLAN进行描述与命名方便今后维护与管理。
[NH001] vlan 1description "Manager"[NH001]vlan 10description "VLAN 10"[NH001]vlan 11description "VLAN 11"[NH001]vlan 12description "VLAN 12"在三层交换机上创建了vlan后还需要给它配置IP地址既我们所说的网关。
在用户模视图模式下输入interface vlan-interface1进入VLAN1的三层接口视图中。
使用ip address 命令给当前VLAN配置IP地址。
[NH001]interface Vlan-interface10ip address 172.16.10.1 255.255.255.0[NH001]interface Vlan-interface11ip address 172.16.11.1 255.255.255.0端口的配置在端口的配置中,我们一般将端口分为以下几种类型;1、access port 普通接口,此接口一般用于连接用户的PC2、trunk port 封装了802.1Q协议的端口,此端口一般用于交换机与交换机互连,需要透传多个VLAN时配置。
H3C S5800 版本说明书
H3C S5800_5820X-CMW520-R1810P16 版本说明书Copyright © 2018新华三技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录1 版本信息 (1)1.1 版本号 (1)1.2 历史版本信息 (1)1.3 版本配套表 (4)1.4 ISSU版本兼容列表 (5)1.5 版本升级注意事项 (6)2 硬件特性变更说明 (6)2.1 R1810P16版本硬件特性变更说明 (6)2.2 R1810P13版本硬件特性变更说明 (6)2.3 R1810P12版本硬件特性变更说明 (6)2.4 R1810P10版本硬件特性变更说明 (6)2.5 R1810P08版本硬件特性变更说明 (7)2.6 R1810P06版本硬件特性变更说明 (7)2.7 R1810P05版本硬件特性变更说明 (7)2.8 R1810版本硬件特性变更说明 (7)2.9 R1809P11版本硬件特性变更说明 (7)2.10 R1809P10版本硬件特性变更说明 (7)2.11 R1809P09版本硬件特性变更说明 (7)2.12 R1809P06版本硬件特性变更说明 (7)2.13 R1809P05版本硬件特性变更说明 (7)2.14 R1809P03版本硬件特性变更说明 (7)2.15 R1809P01版本硬件特性变更说明 (7)2.16 R1808P27版本硬件特性变更说明 (8)2.17 R1808P25版本硬件特性变更说明 (8)2.18 R1808P23版本硬件特性变更说明 (8)2.19 R1808P22版本硬件特性变更说明 (8)2.20 R1808P21版本硬件特性变更说明 (8)2.21 R1808P17版本硬件特性变更说明 (8)2.22 R1808P15版本硬件特性变更说明 (8)2.23 R1808P13版本硬件特性变更说明 (8)2.24 R1808P11版本硬件特性变更说明 (8)2.25 R1808P08版本硬件特性变更说明 (8)2.26 R1808P06版本硬件特性变更说明 (8)i2.29 F1807P01版本硬件特性变更说明 (9)2.30 R1805P02版本硬件特性变更说明 (9)2.31 R1211P08版本硬件特性变更说明 (9)2.32 R1211P06版本硬件特性变更说明 (9)2.33 R1211P03版本硬件特性变更说明 (9)2.34 R1211P02版本硬件特性变更说明 (9)2.35 R1211版本硬件特性变更说明 (9)2.36 F1209P01版本硬件特性变更说明 (9)2.37 F1209版本硬件特性变更说明 (9)2.38 F1208版本硬件特性变更说明 (10)2.39 F1207版本硬件特性变更说明 (10)2.40 R1206版本硬件特性变更说明 (10)2.41 R1110P05版本硬件特性变更说明 (10)2.42 R1110P04版本硬件特性变更说明 (10)3 软件特性及命令行变更说明 (10)4 MIB变更说明 (10)5 操作方式变更说明 (16)5.1 R1810P16版本操作方式变更 (16)5.2 R1810P13版本操作方式变更 (16)5.3 R1810P12版本操作方式变更 (16)5.4 R1810P10版本操作方式变更 (16)5.5 R1810P08版本操作方式变更 (17)5.6 R1810P06版本操作方式变更 (17)5.7 R1810P05版本操作方式变更 (17)5.8 R1810版本操作方式变更 (17)5.9 R1809P11版本操作方式变更 (17)5.10 R1809P10版本操作方式变更 (17)5.11 R1809P09版本操作方式变更 (17)5.12 R1809P06版本操作方式变更 (17)5.13 R1809P05版本操作方式变更 (18)5.14 R1809P03版本操作方式变更 (18)5.15 R1809P01版本操作方式变更 (18)5.16 R1808P27版本操作方式变更 (18)5.17 R1808P25版本操作方式变更 (18)ii5.20 R1808P21版本操作方式变更 (18)5.21 R1808P17版本操作方式变更 (19)5.22 R1808P15版本操作方式变更 (19)5.23 R1808P13版本操作方式变更 (19)5.24 R1808P11版本操作方式变更 (19)5.25 R1808P08版本操作方式变更 (19)5.26 R1808P06版本操作方式变更 (19)5.27 R1808P02版本操作方式变更 (19)5.28 R1807P02版本操作方式变更 (20)5.29 F1807P01版本操作方式变更 (20)5.30 R1805P02版本操作方式变更 (20)5.31 R1211P08版本操作方式变更 (20)5.32 R1211P06版本操作方式变更 (21)5.33 R1211P03版本操作方式变更 (21)5.34 R1211P02版本操作方式变更 (21)5.35 R1211版本操作方式变更 (21)5.36 F1209P01版本操作方式变更 (21)5.37 F1209版本操作方式变更 (21)5.38 F1208版本操作方式变更 (21)5.39 F1207版本操作方式变更 (22)5.40 R1206版本操作方式变更 (22)5.41 R1110P05版本操作方式变更 (22)5.42 R1110P04版本操作方式变更 (23)6 版本使用限制及注意事项 (23)7 存在问题与规避措施 (23)8 解决问题列表 (24)8.1 R1810P16版本解决问题列表 (24)8.2 R1810P13版本解决问题列表 (24)8.3 R1810P12版本解决问题列表 (25)8.4 R1810P10版本解决问题列表 (26)8.5 R1810P08版本解决问题列表 (27)8.6 R1810P06版本解决问题列表 (28)8.7 R1810P05版本解决问题列表 (28)8.8 R1810版本解决问题列表 (28)iii8.11 R1809P09版本解决问题列表 (30)8.12 R1809P06版本解决问题列表 (31)8.13 R1809P05版本解决问题列表 (32)8.14 R1809P03版本解决问题列表 (33)8.15 R1809P01版本解决问题列表 (34)8.16 R1808P27版本解决问题列表 (36)8.17 R1808P25版本解决问题列表 (36)8.18 R1808P23版本解决问题列表 (38)8.19 R1808P22版本解决问题列表 (38)8.20 R1808P21版本解决问题列表 (39)8.21 R1808P17版本解决问题列表 (39)8.22 R1808P15版本解决问题列表 (40)8.23 R1808P13版本解决问题列表 (41)8.24 R1808P11版本解决问题列表 (42)8.25 R1808P08版本解决问题列表 (44)8.26 R1808P06版本解决问题列表 (44)8.27 R1808P02版本解决问题列表 (46)8.28 R1807P02版本解决问题列表 (49)8.29 F1807P01版本解决问题列表 (50)8.30 R1805P02版本解决问题列表 (50)8.31 R1211P08版本解决问题列表 (53)8.32 R1211P06版本解决问题列表 (53)8.33 R1211P03版本解决问题列表 (57)8.34 R1211P02版本解决问题列表 (57)8.35 R1211版本解决问题列表 (58)8.36 F1209P01版本解决问题列表 (62)8.37 F1209版本解决问题列表 (62)8.38 F1208版本解决问题列表 (63)8.39 F1207版本解决问题列表 (65)8.40 R1206版本解决问题列表 (65)8.41 R1110P05版本解决问题列表 (66)8.42 R1110P04版本解决问题列表 (68)9 相关资料 (70)9.1 相关资料清单 (70)iv10 技术支持 (70)附录 A 本版本支持的软、硬件特性列表 (71)A.1 版本硬件特性 (71)A.2 版本软件特性 (73)附录 B 版本升级操作指导 (84)B.1 简介 (84)B.2 软件加载方式简介 (84)B.3 BootRom界面加载 (85)B.3.1 BootRom界面介绍 (85)B.3.2 通过Console口利用XModem完成加载 (89)B.3.3 通过以太网口利用TFTP完成加载 (100)B.3.4 通过以太网口利用FTP完成加载 (103)B.4 命令行接口加载 (107)B.4.1 通过USB口实现软件加载 (107)B.4.2 通过FTP实现软件加载 (107)B.4.3 通过TFTP实现软件加载 (109)v表目录表1 历史版本信息表 (1)表2 版本配套表 (4)表3 ISSU版本兼容列表 (5)表4 MIB文件变更说明 (10)表5 S5800系列产品硬件特性 (71)表6 S5820X系列产品硬件特性 (72)表7 S5800系列产品软件特性 (73)表8 S5820X系列产品软件特性 (79)表9 交换机软件加载方式一览表 (84)表10 基本BOOT菜单说明 (86)表11 基本BOOT辅助菜单说明 (86)表12 扩展BOOT菜单说明 (87)表13 扩展BOOT辅助菜单说明 (89)表14 通过Console口利用XModem加载系统文件 (93)表15 BootRom升级选择菜单 (94)表16 协议选择及参数设置菜单 (95)表17 通过以太网口利用TFTP加载系统文件 (100)表18 TFTP协议相关参数的设置说明 (102)表19 通过以太网口利用FTP加载系统文件 (104)表20 FTP协议相关参数的设置说明 (105)vi本文介绍了H3C S5800_5820X-CMW520-R1810P16版本的特性、使用限制、存在问题及规避措施等,在加载此版本前,建议您备份配置文件,并进行内部验证,以避免可能存在的风险。
H3C三层交换机安全配置规范
H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。
重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令,关闭端口#检测方法及判定依据1、符合性判定依据端口关闭,不能使用。
2、参考检测方法通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。
备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口,只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。
备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号,避免不同用户间账号共享。
重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写+手机号码;2、避免使用h3c、admin等简单易猜的账号名称;检测方法及判定依据1、符合性判定依据各账号都可以正常使用,不同用户有不同的账号。
关于H3C三层交换机的战略路由实例配置
中。串使用 port link-type trunk 命令来讲当前的接口定义为 trunk 端口。 个 门
[NH001] interface GigabitEthernet1/0/1
加 por好t ion "VLAN 11" [NH0001]vlan 12 积 分description "VLAN 12"
在三8 层交换机上创建了 vlan 后还需要给它配置 IP 地址既我们所说的网
关。在用户模视图模式下输入 interface vlan-interface1 进入 VLAN1
安全设置主要是通过 ACL 的方式来实现;
1、 创建 ACL
本帖隐藏的内容
子在端口的配置中,我们一般将端口分为以下几种类型; 2
1、access port 普通接口,此接口一般用于连接用户的 PC
0 2、3trunk port 封装了 802.1Q 协议的端口,此端口一般用于交换机与交 日换机互连,需要透传多个 VLAN 时配置。 志一般情况下使用这两种类型端口即可满足网络的建设,使用 interface Gig0abitEthernet1/0/1 命令进入一个端口,port link-type 命令来定义
常
住[NH001] vlan 1
居 民description "Manager"
I [NH001]vlan 10
阅
description "VLAN 10"
读
权[NH001]vlan 11
限
对全部高中资料试卷电气设备,在安装过程中以及安装结束后进行高中资料试卷调整试验;通电检查所有设备高中资料电试力卷保相护互装作置用调与试相技互术关,通系电1,力过根保管据护线生高0不产中仅工资2艺料22高试2可中卷以资配解料置决试技吊卷术顶要是层求指配,机置对组不电在规气进范设行高备继中进电资行保料空护试载高卷与中问带资题负料2荷试2,下卷而高总且中体可资配保料置障试时2卷,32调需3各控要类试在管验最路;大习对限题设度到备内位进来。行确在调保管整机路使组敷其高设在中过正资程常料1工试中况卷,下安要与全加过,强度并看工且25作尽52下可22都能护可地1关以缩于正小管常故路工障高作高中;中资对资料于料试继试卷电卷连保破接护坏管进范口行围处整,理核或高对者中定对资值某料,些试审异卷核常弯与高扁校中度对资固图料定纸试盒,卷位编工置写况.复进保杂行护设自层备动防与处腐装理跨置,接高尤地中其线资要弯料避曲试免半卷错径调误标试高方中等案资,,料要编试求5写、卷技重电保术要气护交设设装底备备置。4高调、动管中试电作线资高气,敷料中课并设3试资件且、技卷料中拒管术试试调绝路中验卷试动敷包方技作设含案术,技线以来术槽及避、系免管统不架启必等动要多方高项案中方;资式对料,整试为套卷解启突决动然高过停中程机语中。文高因电中此气资,课料电件试力中卷高管电中壁气资薄设料、备试接进卷口行保不调护严试装等工置问作调题并试,且技合进术理行,利过要用关求管运电线行力敷高保设中护技资装术料置。试做线卷到缆技准敷术确设指灵原导活则。。:对对在于于分调差线试动盒过保处程护,中装当高置不中高同资中电料资压试料回卷试路技卷交术调叉问试时题技,,术应作是采为指用调发金试电属人机隔员一板,变进需压行要器隔在组开事在处前发理掌生;握内同图部一纸故线资障槽料时内、,设需强备要电制进回造行路厂外须家部同出电时具源切高高断中中习资资题料料电试试源卷卷,试切线验除缆报从敷告而设与采完相用毕关高,技中要术资进资料行料试检,卷查并主和且要检了保测解护处现装理场置。设。备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C S5800简要配置手册
系统的配置
给交换机命名
<H3C>system-view
[H3C] sysname
[NH001]
启用telnet服务
[NH001] telnet server enable
配置telnet登录名和密码
[NH001] local-user admin
password cipher password
authorization-attribute level 3
service-type telnet
[NH001]user-interface vty 0 4
authentication-mode scheme
VLAN的配置
在用户模式下使用命令vlan 来添加vlan ID 可使用description命令对VLAN进行描述与命名方便今后维护与管理。
[NH001] vlan 1
description "Manager"
[NH001]vlan 10
description "VLAN 10"
[NH001]vlan 11
description "VLAN 11"
[NH001]vlan 12
description "VLAN 12"
在三层交换机上创建了vlan后还需要给它配置IP地址既我们所说的网关。
在用户模视图模式下输入interface vlan-interface1进入VLAN1的三层接口视图中。
使用ip address 命令给当前VLAN配置IP地址。
[NH001]interface Vlan-interface10
ip address 172.16.10.1 255.255.255.0
[NH001]interface Vlan-interface11
ip address 172.16.11.1 255.255.255.0
端口的配置
在端口的配置中,我们一般将端口分为以下几种类型;
1、access port 普通接口,此接口一般用于连接用户的PC
2、trunk port 封装了802.1Q协议的端口,此端口一般用于交换机与交换机互连,需
要透传多个VLAN时配置。
一般情况下使用这两种类型端口即可满足网络的建设,使用interface GigabitEthernet1/0/1命令进入一个端口,port link-type 命令来定义当前接口的类型,使用port access 命令来将端口添加到相应的vlan当中。
使用port link-type trunk命令来讲当前的接口定义为trunk 端口。
[NH001]interface GigabitEthernet1/0/1
port access vlan 200
[NH001] interface GigabitEthernet1/0/47
port link-type trunk
port trunk permit vlan all
路由的配置
静态路由的命令ip route-static
[NH001]ip route-static 0.0.0.0 0.0.0.0 192.168.254.3
安全的配置
安全设置主要是通过ACL的方式来实现;
1、创建ACL
使用acl number 命令来创建一个acl的规则,高级ACL 序号取值范围3000~3999。
高级ACL 可以使用数据包的源地址信息、目的地址信息、IP 承载的协议类型、针对协议的特性,例如TCP 或UDP 的源端口、目的端口,TCP 标记,ICMP 协议的类型、code 等内
容定义规则。
一般我们建议都使用高级ACL。
[NH001]acl number 3001
rule 2 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.11.0 0.0.0.255 rule 3 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.12.0 0.0.0.255
2、下发ACL
下发ACL就是把之前定义好的ACL通过命令packet-filter 的方式下发到交换机的接口下,端口可以是vlan的三层接口或者设备的物理接口。
支持inbound与oubound方向。
[NH001]interface gigabitethernet1/1/1
packet-filter 3006 inbound
3、查看ACL
通过display acl命令可以查看当前所配置的acl条目。
DHCP的配置
5800上的DHCP配置可分为DHCP服务器配置与DHCP中继配置,DHCP服务器配置是在交换机上启动DHCP服务并创建IP地址池自动为所连VLAN的客户端自动分配IP地址。
DHCP 中继一般在网络规模较大VLAN数量较多的环境下结合一台独立的DHCP服务器使用。
目前在5800上我们配置的是DHCP中继的方式。
使用命令dhcp enable来启用DHCP服务,使用命令dhcp relay server-group 1 ip 192.168.188.10 来制定一台DHCP服务器地址,dhcp select relay、dhcp relay server-select 1在VLAN三次接口下启用中继并应用之前定义的DHCP服务组。
[NH001] dhcp enable
[NH001] dhcp relay server-group 1 ip 192.168.188.10
[NH001] interface vlan11
dhcp select relay
dhcp relay server-select 1
源地址策略路由的配置
策略路由(policy-based-route)是一种依据用户制定的策略进行路由选择的机制。
与单纯
依照IP报文的目的地址查找路由表进行转发不同,策略路由基于到达报文的源地址等信息灵活地进行路由。
1、选择。
定义ACL引用数据流
[NH001]acl number 3200
rule 0 permit ip source 10.10.10.0 0.0.0.255 destination 172.16.88.0 0.0.0.255 rule 1 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.188.0 0.0.0.255
rule 2 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.254.0 0.0.0.255 rule 3 permit ip source 10.10.10.0 0.0.0.255 destination 210.120.38.0 0.0.0.255 rule 5 permit udp
rule 7 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
2、配置策略路由
一、使用traffic classifier permit<类名称> operator and命令定义一个类,并引用ACL。
[NH001]traffic classifier permit operator and
if-match acl 3200
二、使用traffic behavior permit<流名称>命令定义一个流行为,并进入当前视图。
[NH001]traffic behavior permit
filter permit
redirect next-hop 10.10.10.250
三、配置QOS策略,引用之前定义的两类配置。
使用qos policy internet命令创建一条QOS策略。
[NH001]qos policy internet
classifier permit behavior permit
classifier internet behavior internet
3、引用策略路由
最后在接口下下发QOS策略。
[NH001]qos vlan-policy internet vlan 1010 inbound
acl number 3300
rule 23 permit ip source 172.16.201.0 0.0.0.255 destination 0
rule 24 permit ip source 172.16.202.0 0.0.0.255 destination 0
traffic classifier 0102 operator and
if-match acl 3300
traffic behavior 0102
redirect next-hop 10.0.1.1
qos policy 0102
classifier 0102 behavior 0102
qos vlan-policy 0102 vlan 201 inbound。