华为USG防火墙和H3C三层交换机设备组网配置简述.docx

华为三层交换机配置-电脑资料目的：了解三层交换的意义理解三层交换与路由的异同点掌握vlanif的配置方法掌握valn之间实现通讯的配置方法掌握vlanif之间配置OSPF的方法拓扑图：场景：你是公司的网络管理员，。

当前网络中有四个用户。

S3、R1、R3与S4模拟为公司用户。

分属于不同的vlan，定义S3属于vlan3、R1属于vlan4、R3属于vlan6、S4属于vlan7，实现vlan之间的互通。

同时由于S1与S2之间使用三层链路实现互通，所以需要使用路由协议实现路由信息的互相学习。

学习任务步骤一.S1与S2之间的链路配置成eth-trunk链路实验之前，需要关闭部分实验设备接口与，避免影响本次试验。

本次实验需要关闭S3的E0/0/1、E0/0/23接口，另外需要关闭S4的E0/0/14接口。

关闭这些接口。

关闭这些接口后，开始实验配置。

[Huawei]sysname S1[S1]interface eth-trunk 1[S1-Eth-Trunk1]q[S1]interface g0/0/9[S1-GigabitEthernet0/0/9]eth-trunk 1[S1-GigabitEthernet0/0/9]interface g0/0/10[S1-GigabitEthernet0/0/10]eth-trunk 1Info: This operation may take a fewseconds. Please wait for amoment...done.[Huawei]sysname S2[S2]interface eth-trunk 1[S2-Eth-Trunk1]q[S2]interface g0/0/9[S2-GigabitEthernet0/0/9]eth-trunk 1[S2-GigabitEthernet0/0/9]interface g0/0/10[S2-GigabitEthernet0/0/10]eth-trunk 1步骤二.S1、S2配置valn3、4、5、6、7[S1]vlan batch 3 to 7[S2]vlan batch 3 to 7查看vlan的创建情况[S1]dis vlanThe total number of vlans is : 6--------------------------------------------------------------------------------U: Up; D: Down; TG: Tagged; UT: Untagged;MP: Vlan-mapping; ST: Vlan-stacking;#: ProtocolTransparent-vlan; *: Management-vlan;--------------------------------------------------------------------------------VID Type Ports--------------------------------------------------------------------------------1 common UT:GE0/0/1(U) GE0/0/2(D) GE0/0/3(D) G E0/0/4(D)GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D)GE0/0/11(D) GE0/0/12(D) GE0/0/13(U) GE0/0/14(D)GE0/0/15(D) GE0/0/16(D) GE0/0/17(D) GE0/0/18(D)GE0/0/19(D) GE0/0/20(D) GE0/0/21(D) GE0/0/22(D)GE0/0/23(D) GE0/0/24(D) Eth-Trunk1(U)3 common4 common5 common6 common7 commonVID Status Property MAC-LRN Statistics Description--------------------------------------------------------------------------------1 enable default enable disable VLAN 00013 enable default enable disable VLAN 00034 enable default enable disable VLAN 00045 enable default enable disable VLAN 00056 enable default enable disable VLAN0006。

内网：配置GigabitEthernet 0/0/1 加入Trust 区域[USG5300]firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网：配置GigabitEthernet 0/0/2 加入Untrust 区域[USG5300]firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ：[USG5300] firewall zone dmz[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit1.4.1 Trust 和Untrust 域间：允许内网用户访问公网policy 1 ：允许源地址为10.10.10.0/24 的网段的报文通过[USG5300] policy interzone trust untrust outbound[USG5300-policy-interzone-trust-untrust-outbound] policy 1[USG5300-policy-interzone-trust-untrust-outbound-1] [USG5300-policy-interzone-trust-untrust-outbound-1] [USG5300-policy-interzone-trust-untrust-outbound-1] 如果是允许所有的内网地址上公网可以用以下命令：policy source 10.10.10.0 0.0.0.255 action permitquit[USG2100]firewall packet-filter default permit interzone trust untrust directionoutbound 须// 必1.4.2 DMZ和Untrust域间：从公网访问内部服务器policy 2 ：允许目的地址为10.10.11.2 ，目的端口为21 的报文通过policy 3 ：允许目的地址为10.10.11.3 ，目的端口为8080 的报文通过[USG5300] policy interzone untrust dmz inbound [USG5300-policy-interzone-dmz-untrust-inbound] policy 2[USG5300-policy-interzone-dmz-untrust-inbound-2] [USG5300-policy-interzone-dmz-untrust-inbound-2] [USG5300-policy-interzone-dmz-untrust-inbound-2] [USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.11.3 0 policy service service-set ftp action permitquit[USG5300-policy-interzone-dmz-untrust-inbound] policy 3[USG5300-policy-interzone-dmz-untrust-inbound-3] [USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination 10.10.11.2 0 policy service service-set http[USG5300-policy-interzone-dmz-untrust-inbound-3] action permit[USG5300-policy-interzone-dmz-untrust-inbound-3] quit[USG5300-policy-interzone-dmz-untrust-inbound] quit配置内部服务器：<USG5300>system-view[USG5300] natserver protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www [USG5300] natserver protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftpNAT 2、通过公网接口的方式创建 Trust 区域和 Untrust 区域之间的 NAT 策略，确定进行 NAT 转换的源地址范围 192.168.1.0/24 网段，并且将其与外网接口 GigabitEthernet 0/0/4 进行绑定。

For personal use only in study and research;1．恢复到出厂设置－>2.连接Trunk端口，设置Vlan1（管理Vlan）的IP地址，确保交换机互联互通－>3.开启所有交换机的Telnet服务－>4.从下至上依次配置Vlan，在三层交换机上配置Vlan接口地址（本Vlan的网关）－>5.在三层交换机上配置服务器Vlan－>6.在三层交换机上配置到汇聚层交换机的端口。

---------------------------------------------------------------------------------------一、初始化Reset save //删除保存配置Reboot //重启二、交换机之间实现互联互通登录３１００，输入如下命令：System-viewInterface vlan-interface 1 //进入默认的VLAN端口，vlan 1Ip address 192.168.1.4 24 //设置本机在VLAN 1 中的IP 地址Quitsave登录５１００，输入如下命令：System-viewInterface vlan-interface 1Ip address 192.168.1.2 24Quitsave登录５６００，输入如下命令：System-viewInterface vlan-interface 1Ip address 192.168.1.1 24Quitsave在３１００上输入：Ping 192.168.1.1Ping 192.168.1.2同理在５１００上也输入：Ping 192.168.1.1Ping 192.168.1.4同理在５６００上也输入：Ping 192.168.1.2Ping 192.168.1.4至此，交换机之间的管理vlan 就可以互相通信。

三、开启TELNET登录３１００，输入如下命令：System-viewUser-interface vty 0 4 //进入用户端口Authenticate-mode scheme //设置认证模式Protocol inbound all //允许telnet 和RSH 访问User privilege level 3 //设置访问级别QuitLocal-user iamcat //创建本地用户Password simple xxxxxx //设置密码Service-type telnet //访问服务类型：telnetLevel 3 //设置授权访问级别QuitSave在５１００或５６００上，即可用telnet 192.168.1.4配置3100交换机。

华为三层交换机配置步骤一. VLAN配置1.建立VLAN<Quidway>sys /进入特权模式[Quidway]vlan 1 /建立vlan 1[Quidway]ctrl+z /退出vlan1 到普通模式[Quidway]vlan 2 /建立vlan 2[Quidway]ctrl+z /退出vlan2 到普通模式【注】划分VLAN，并描述vlan 1description local-s3600 //本交换机使用vlan 2description link-to-shanxicentre //陕西省中心vlan 3description link-to-shangjiecentre //商界分中心内部使用2.配置端口加入到VLAN[Quidway]vlan 1 /进入vlan 1[Quidway-vlan 1]port Ethernet 0/1 /将端口E0/1加入到vlan1[Quidway-vlan 1] ctrl+z /退出vlan1 到普通模式[Quidway]vlan 2 /进入vlan 2[Quidway-vlan 2]port Ethernet 0/2 /将端口E0/2加入到vlan2[Quidway-vlan 2] ctrl+z /退出vlan2 到普通模式3.配置VLAN的IP地址[Quidway]interface vlan 1 /进入接口视图[Quidway-Vlan-interface1]ip address 13.1.1.130 255.255.255.0 /配置VLAN1的IP地址[Quidway-Vlan-interface1] ctrl+z /退出vlan1 到普通模式[Quidway]interface vlan 2 /进入接口视图[Quidway-Vlan-interface2]ip address 192.168.2.1 255.255.255.0 /配置VLAN2的IP地址[Quidway-Vlan-interface1] ctrl+z /退出vlan2 到普通模式4.配置静态路由[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 /静态路由＝网关5.配置上行端口为trunk[Quidway -Ethernet0/1]port link-type trunk /实际当中一般将上行端口设置成trunk属性，允许vlan透传[Quidway -Ethernet0/1]port trunk permit vlan all /允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值5.端口汇聚配置(1)进入端口E0/1[Quidway]interface Ethernet 0/1(2)汇聚端口必须工作在全双工模式[Quidway -Ethernet0/1]duplex full(3)汇聚的端口速率要求相同，但不能是自适应[Quidway -Ethernet0/1]speed 100(4)进入端口E0/2[Quidway]interface Ethernet 0/2(5)汇聚端口必须工作在全双工模式[Quidway -Ethernet0/2]duplex full(6)汇聚的端口速率要求相同，但不能是自适应[Quidway -Ethernet0/2]speed 100(7)根据源和目的MAC进行端口选择汇聚[Quidway]link-aggregation Ethernet 0/1 to Ether【补充说明】(1)同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致，即如果主端口为Trunk端口，则成员端口也为Trunk端口；如主端口的链路类型改为Access端口，则成员端口的链路类型也变为Access端口。

华为路由器+华为防火墙+华为三层交换机，防火墙部署为透明模式按照某企业要求，出口网关设备选择了华为路由器AR2240，中间是华为的硬件防火墙USG6330，然后是华为的三层交换机S5720，最下面一层是华为的二层交换机，或者直连PC。

废话不多说，先上拓扑图：华为AR2240路由器的关键配置如下：interface GigabitEthernet0/0/0ip address 222.92.XX.50 255.255.255.0 *为接口配置外网IP interface GigabitEthernet0/0/1ip address 100.1.2.2 255.255.255.0 *为接口配置内网IPip route-static 0.0.0.0 0.0.0.0 222.92.XX.49 *配置默认路由，指向运营商给的网关ip route-static 192.168.10.0 255.255.255.0 100.1.2.1 *配置静态路由，指明到达内网的路径（因为防火墙是透明模式，所以当它不存在，这里直接配置为三层交换机上面的VLAN IP）华为USG6330的防火墙配置如下：1、将内网接口配置为交换模式，安全区域选择Trust，连接类型为Access，选择访问Vlan100；2、将外网接口同样配置为交换模式，安全区域选择Untrust，连接类型为Access，选择访问Vlan100；3、配置安全策略：允许内网用户访问internet互联网；4、配置源NAT，即配置内网到外网的NAT策略；华为三层交换机的的关键配置如下：interface Vlanif10ip address 192.168.10.1 255.255.255.0 *配置VLAN10的IP 地址interface Vlanif100ip address 100.1.2.1 255.255.255.0 *配置VLAN100的 IP地址interface GigabitEthernet0/0/1 *配置端口模式及所在的VLAN port link-type accessport default vlan 100interface GigabitEthernet0/0/2 *配置端口模式及所在的VLANport link-type accessport default vlan 10ip route-static 0.0.0.0 0.0.0.0 100.1.2.2 *配置默认路由，指向路由器的内网 IP（同样是当防火墙不存在，直接跳到路由器上）电脑验证一下，配置是否生效：ping 路由器的外网IP，ping电信运营商的网关IP，都通了，表示配置正确。

华为三层交换机配置步骤解释资料第一步：连接设备首先，将电脑与三层交换机通过网线连接起来。

可以通过一根网线将电脑的网络接口与三层交换机的任意一个接口连接起来。

第二步：登录设备打开浏览器，在浏览器的地址栏输入三层交换机的默认管理地址，例如：192.168.1.1、按下回车键，会弹出登录页面。

输入正确的用户名和密码，点击登录按钮。

第三步：配置基本信息登录成功后，首先需要进行一些基本的配置。

点击左侧导航栏的“基本设置”，在这里可以修改设备的名称、管理地址、时间等基本信息。

一般来说，建议将管理地址配置为内网地址，同时设定好设备的名称和时区。

第四步：配置VLANVLAN（Virtual Local Area Network）用于将一个大的局域网划分为多个虚拟局域网，每个VLAN可以独立配置。

点击左侧导航栏的“VLAN管理”，在这里可以创建、修改和删除VLAN。

点击“添加”按钮，输入VLAN的ID和名称，点击保存按钮完成VLAN的创建。

第五步：配置接口第六步：配置静态路由静态路由是手动配置的路由信息，用于指定数据包的转发路径。

点击左侧导航栏的“路由管理”，在这里可以配置和管理静态路由。

点击“添加”按钮，输入目的网段的IP地址和子网掩码，以及下一跳的IP地址，点击保存按钮完成静态路由的配置。

第七步：配置ACLACL（Access Control List）是用于控制网络流量的一种策略，可以根据源IP地址、目的IP地址、端口号等条件进行过滤和限制。

点击左侧导航栏的“ACL管理”，在这里可以配置和管理ACL规则。

点击“添加”按钮，输入ACL规则的名称、匹配条件和动作，点击保存按钮完成ACL的配置。

第八步：保存和应用配置在进行完上述配置后，需要点击页面的“保存”按钮将配置保存到设备中。

然后，点击页面的“应用”按钮，设备会自动将新的配置应用到系统中。

完成配置后，可以通过ping命令或其他方式进行网络连通性测试，确保配置的正确性。

华为三层交换机配置教程华为三层交换机是一种高性能的网络设备，用于构建大型企业网络。

配置这种交换机需要一定的技术知识和经验。

下面是一个简单的华为三层交换机配置教程，帮助您快速入门。

第一步：连接交换机首先，将交换机与电源连接，并使用网线将交换机与计算机连接。

确保连接正常后，打开计算机的网卡设置界面，将IP地址设置为和交换机同一网段的地址。

第二步：登录交换机打开计算机上的终端软件，比如SecureCRT等，通过网线连接的方式登录交换机。

在终端软件中输入交换机的IP地址，选择正确的端口，并设置登录协议为SSH。

第三步：配置基本信息成功登录交换机后，需要进行一些基本配置。

首先，设置交换机的主机名，可以使用命令“sysname [主机名]”来进行设置。

然后，设置管理接口的IP地址和子网掩码，可以使用命令“interface Vlanif1”和“ip address [IP地址] [子网掩码]”来进行配置。

第四步：配置VLAN配置VLAN是三层交换机的重要功能。

通过VLAN，可以将网络划分为几个独立的虚拟局域网。

首先，创建VLAN，使用命令“vlan [VLAN编号]”创建一个新的VLAN。

然后，将端口加入到VLAN中，使用命令“port-group [端口组号]”将端口加入到指定的VLAN中。

第五步：配置路由三层交换机可以进行路由功能的配置，实现不同子网之间的通信。

首先，创建一个静态路由表，使用命令“ip route-static [目的网络] [子网掩码] [下一跳地址]”将目的网络、子网掩码和下一跳地址添加到路由表中。

然后，启用路由功能，使用命令“ip routing”来开启路由功能。

第六步：配置接口配置接口是三层交换机的另一个重要功能。

通过配置接口，可以对接口进行管理和控制。

使用命令“interface [接口名称]”进入指定接口的配置模式。

然后，可以配置接口的IP地址、子网掩码、MTU等属性，使用命令“ip address [IP地址] [子网掩码]”、“mtu [MTU值]”来进行配置。