Day1-3 - 三层转发配置指导(FW)

交换机怎么设置实现三层交换功能交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

那么交换机怎么设置实现三层交换功能呢?方法步骤1什么是三层交换技术：简单的说三层交换技术就是：二层交换技术+三层转发技术。

(交换机工作在二层，路由器工作在三层.)2三层交换机的配置:1 在三层交换机上配置启动路由,(如果要在三层交换机上配置路由,首先需要在三层交换机上启动路由功能,否则三层交换不具备路由功能)Switch(config)#ip routing2 配置VLAN 的IP 地址：与在二层上配置管理VLAN 的IP地址的命令相同，因为三层交换机支持VLAN之间的路由,三层交换机的每个VLAN 都可以配置IP地址。

Switch(config)#interfacevlanvlan-idSwitch(config)#ip addreesip-address subnet-mask3 三层交换机上配置路由接口三层交换机的接口在默认情况下属于VLAN 1，如果需要让三层交换机与路由器实现点到点的连接，需要在交换机的某个接口配置为路由接口。

Swith(config)#interface接口Switch(config)#noswitchportSwitch(config)#ip addreesip-address subnet-maskSwitch(config)#noshutdown4 在三层交换机上配置静态路由或动态路由：在三层交换机上配置静态路由的方法和在路由器上配置的方法相同。

动态：Router(config)#router ripRouter(config-router)#network network-number (把直连的网段宣告出去)静态：Router(config)# ip route( network 目标网络地址) [ mask 子网掩码]{addrees 到达目的网络经过的下一跳路由器接口地址}(简单的说就是到那去从哪里走.。

华为三层交换机配置教程华为三层交换机是一种高性能的网络设备，用于构建大型企业网络。

配置这种交换机需要一定的技术知识和经验。

下面是一个简单的华为三层交换机配置教程，帮助您快速入门。

第一步：连接交换机首先，将交换机与电源连接，并使用网线将交换机与计算机连接。

确保连接正常后，打开计算机的网卡设置界面，将IP地址设置为和交换机同一网段的地址。

第二步：登录交换机打开计算机上的终端软件，比如SecureCRT等，通过网线连接的方式登录交换机。

在终端软件中输入交换机的IP地址，选择正确的端口，并设置登录协议为SSH。

第三步：配置基本信息成功登录交换机后，需要进行一些基本配置。

首先，设置交换机的主机名，可以使用命令“sysname [主机名]”来进行设置。

然后，设置管理接口的IP地址和子网掩码，可以使用命令“interface Vlanif1”和“ip address [IP地址] [子网掩码]”来进行配置。

第四步：配置VLAN配置VLAN是三层交换机的重要功能。

通过VLAN，可以将网络划分为几个独立的虚拟局域网。

首先，创建VLAN，使用命令“vlan [VLAN编号]”创建一个新的VLAN。

然后，将端口加入到VLAN中，使用命令“port-group [端口组号]”将端口加入到指定的VLAN中。

第五步：配置路由三层交换机可以进行路由功能的配置，实现不同子网之间的通信。

首先，创建一个静态路由表，使用命令“ip route-static [目的网络] [子网掩码] [下一跳地址]”将目的网络、子网掩码和下一跳地址添加到路由表中。

然后，启用路由功能，使用命令“ip routing”来开启路由功能。

第六步：配置接口配置接口是三层交换机的另一个重要功能。

通过配置接口，可以对接口进行管理和控制。

使用命令“interface [接口名称]”进入指定接口的配置模式。

然后，可以配置接口的IP地址、子网掩码、MTU等属性，使用命令“ip address [IP地址] [子网掩码]”、“mtu [MTU值]”来进行配置。

三层交换配置WEB第一步：在通过WEB方式登录以太网交换机之前，用户先通过Console口正确配置以太网交换机管理VLAN接口的IP地址。

通过Console口在超级终端中执行以下命令，配置以太网交换机管理VLAN的IP地址。

<H3C> system-view[H3C] interface Vlan-interface 1（进入管理VLAN）[H3C-Vlan-interface1] undo ip address（取消管理VLAN原有的IP地址）[H3C-Vlan-interface1] ip address 202.38.160.92 255.255.255.0（配置以太网交换机管理VLAN的IP地址为202.38.160.92，子网掩码为255.255.255.0）第二步：用户通过Console口，在以太网交换机上配置欲登录的WEB网管用户名和认证口令。

l、通过Console口，添加以太网交换机的WEB用户，用户级别设为3（管理级用户）[H3C] local-user admin（设置用户名为admin）[H3C-luser-admin] service-type telnet level 3（设置级别3）[H3C-luser-admin] password simple admin（设置密码admin）2、配置交换机到网关的静态路由[H3C] ip route-static 0.0.0.0 255.255.255.255 192.168.0.50 (网关的IP地址为192.168.0.50)第三步：通过浏览器登录交换机：在WEB网管终端(PC)的浏览器地址栏内输入http://202.38.160.92（WEB网管终端和以太网交换机之间要路由可达），浏览器会显示WEB网管的登录页面：3、关闭/启动Web server用户可以关闭或启动Web server。

缺省情况下，Web server启动。

三层交换机配置步骤三层交换机配置步骤 H3C认证培训体系是中国第⼀家建⽴国际规范的完整的⽹络技术认证体系，H3C认证是中国第⼀个⾛向国际市场的IT⼚商认证，在产品和教材上都具有完全的⾃主知识产权。

下⾯是⼩编整理的关于三层交换机配置步骤，欢迎⼤家参考! 三层交换机配置： Enable //进⼊私有模式 Configure terminal //进⼊全局模式 service password-encryption //对密码进⾏加密 hostname Catalyst 3550-12T1 //给三层交换机定义名称 enable password 123456. //enable密码 Enable secret 654321 //enable的加密密码(应该是乱码⽽不是654321这样) Ip subnet-zero //允许使⽤全0⼦⽹(默认都是打开的) Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1 Service dhcp //提供DHCP服务 ip routing //启⽤三层交换机上的路由模块 Exit 三层交换机配置： Vtp mode server //定义VTP⼯作模式为sever模式 Vtp domain centervtp //定义VTP域的名称为centervtp Vlan 2 name vlan2 //定义vlan并给vlan取名(如果不取名的话，vlan2的名字应该是vlan002) Vlan 3 name vlan3 Vlan 4 name vlan4 Vlan 5 name vlan5 Vlan 6 name vlan6 Vlan 7 name vlan7 Vlan 8 name vlan8 Vlan 9 name vlan9 Exit 三层交换机配置： interface Port-channel 1 //进⼊虚拟的以太通道组1 switchport trunk encapsulation dot1q //给这个接⼝的trunk封装为802.1Q的帧格式 switchport mode trunk //定义这个接⼝的⼯作模式为trunk switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过 Interface gigabitethernet 0/1 //进⼊模块0上的吉⽐特以太⼝1 switchport trunk encapsulation dotlq //给这个接⼝的trunk封装为802.1Q的.帧格式 switchport mode trunk //定义这个接⼝的⼯作模式为trunk switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过 channel-group 1 mode on //把这个接⼝放到快速以太通道组1中 Interface gigabitethernet 0/2 //同上 switchport trunk encapsulation dotlq switchport mode trunk switchport trunk allowed vlan all channel-group 1 mode on 三层交换机配置： port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡⽅式(依*源和⽬的IP的⽅式) interface gigabitethernet 0/3 //进⼊模块0上的吉⽐特以太⼝3 switchport trunk encapsulation dotlq //给trunk封装为802.1Q switchport mode trunk //定义这个接⼝的⼯作模式为trunk switchport trunk allowed vlan all //允许所有vlan信息通过 interface gigabitethernet 0/4 //同上 switchport trunk encapsulation dotlq switchport mode trunk switchport trunk allowed vlan all interface gigbitethernet 0/5 //同上 switchport trunk encapsulation dotlq switchport mode trunk switchport trunk allowed vlan all interface gigbitethernet 0/6 //同上 switchport trunk encapsulation dotlq switchport mode trunk switchprot trunk allowed vlan all 三层交换机配置： interface gigbitethernet 0/7 //进⼊模块0上的吉⽐特以太⼝7 Switchport mode access //定义这个接⼝的⼯作模式为访问模式 switchport access vlan 9 //定义这个接⼝可以访问哪个vlan(实际就是分配这个接⼝到vlan) no shutdown spanning-tree vlan 6-9 cost 1000 //在⽣成树中，vlan6-9的开销定义为10000 interface range gigabitethernet 0/8 – 10 //进⼊模块0上的吉⽐特以太⼝8,9,10 switchport mode access //定义这些接⼝的⼯作模式为访问模式 switchport access vlan 8 //把这些接⼝都分配到vlan8中 no shutdown 三层交换机配置： spanning-tree portfast //在这些接⼝上使⽤portfast(使⽤portfast以后，在⽣成树的时候不参加运算，直接成为转发状态) interface gigabitethernet 0/11 //进⼊模块0上的吉⽐特以太⼝11 switchport trunk encapsulation dotlq //给这个接⼝封装为802.1Q switchport mode trunk //定义这个接⼝的⼯作模式为trunk switchport trunk allowed vlan all //允许所有vlan信息通过 interface gigabitethernet 0/12 //同上 switchport trunk encapsulation dotlq switchport mode trunk switchport trunk allowed vlan all interface vlan 1 //进⼊vlan1的逻辑接⼝(不是物理接⼝，⽤来给vlan做路由⽤) ip address 172.16.1.7 255.255.255.0 //配置IP地址和⼦⽹掩码 no shutdown 三层交换机配置： standby 1 ip 172.16.1.9 //开启了冗余热备份(HSRP)，冗余热备份组1，虚拟路由器的IP地址为172.16.1.9 standby 1 priority 110 preempt //定义这个三层交换机在冗余热备份组1中的优先级为110，preempt是⽤来开启抢占模式 interface vlan 2 //同上 ip address 172.16.2.252 255.255.255.0 no shutdown standby 2 ip 172.16.2.254 standby 2 priority 110 preempt ip access-group 101 in //在⼊⽅向上使⽤扩展的访问控制列表101 interface vlan 3 //同上 ip address 172.16.3.252 255.255.255.0 no shutdown 三层交换机配置： standby 3 ip 172.16.3.254 standby 3 priority 110 preempt ip access-group 101 in interface vlan 4 //同上 ip address 172.16.4.252 255.255.255.0 no shutdown standby 4 ip 172.16.4.254 standby 4 priority 110 preempt ip access-group 101 in interface vlan 5 ip address 172.16.5.252 255.255.255.0 no shutdown standby 5 ip 172.16.5.254 standby 5 priority 110 preempt ip access-group 101 in interface vlan 6 ip address 172.16.6.252 255.255.255.0 no shutdown 三层交换机配置： standby 6 ip 172.16.6.254 standby 6 priority 100 preempt interface vlan 7 ip address 172.16.7.252 255.255.255.0 no shutdown standby 7 ip 172.16.7.254 standby 7 priority 100 preempt interface vlan 8 ip address 172.16.8.252 255.255.255.0 no shutdown standby 8 ip 172.16.8.254 standby 8 priority 100 preempt interface vlan 9 ip address 172.16.9.252 255.255.255.0 no shutdown 三层交换机配置： standby 9 ip 172.16.9.254 standby 9 priority 100 preempt access-list 101 deny ip any 172.16.7.0 0.0.0.255 //扩展的访问控制列表101 access-list 101 permit ip any any Interface vlan 1 //进⼊vlan1这个逻辑接⼝ Ip helper-address 172.16.8.1 //可以转发⼴播(helper-address的作⽤就是把⼴播转化为单播，然后发向172.16.8.1) Interface vlan 2 Ip helper-address 172.16.8.1 Interface vlan 3 ip helper-address 172.16.8.1 interface vlan 4 ip helper-address 172.16.8.1 interface vlan 5 ip helper-address 172.16.8.1 interface vlan 6 ip helper-address 172.16.8.1 interface vlan 7 ip helper-address 172.16.8.1 interface vlan 9 ip helper-address 172.16.8.1 router rip //启⽤路由协议RIP version 2 //使⽤的是RIPv2，如果没有这句，则是使⽤RIPv1 network 172.16.0.0 //宣告直连的⽹段 exit 三层交换机配置： ip route 0.0.0.0 0.0.0.0 172.16.9.250 //缺省路由，所有在路由表中没有办法匹配的数据包，都发向下⼀跳地址为172.16.9.250这个路由器 line con 0 line aux 0 line vty 0 15 //telnet线路(路由器只有5个，是0-4) password 12345678 //login密码 login end copy running-config startup-config 保存配置【三层交换机配置步骤】相关⽂章：1.2.3.4.5.6.7.8.。

三层交换机的基本配置方法一、前言三层交换机是一种高级网络设备，它能够实现数据包的转发和路由功能。

在企业网络中，三层交换机的应用非常广泛，因为它可以提高网络性能和安全性。

本文将介绍三层交换机的基本配置方法，帮助读者了解如何正确地配置和管理这种设备。

二、基础知识在进行三层交换机的配置之前，需要了解一些基础知识：1. VLAN（Virtual Local Area Network）：虚拟局域网，是一种将物理上分散的计算机连接起来形成逻辑上的局域网的技术。

2. STP（Spanning Tree Protocol）：生成树协议，用于避免网络中出现环路。

3. OSPF（Open Shortest Path First）：开放式最短路径优先协议，用于计算网络中最短路径。

4. ACL（Access Control List）：访问控制列表，用于限制对网络资源的访问。

5. DHCP（Dynamic Host Configuration Protocol）：动态主机配置协议，用于自动分配IP地址和其他网络参数。

6. NAT（Network Address Translation）：网络地址转换，用于将内部IP地址映射为外部IP地址。

7. QoS（Quality of Service）：服务质量，用于优化数据流量传输并确保网络性能。

三、配置步骤下面是三层交换机的基本配置步骤：1. 连接设备首先，需要将三层交换机与其他设备连接起来。

可以使用网线或光纤连接，然后通过串口或SSH等方式进行管理。

2. 设置管理IP地址设置管理IP地址是非常重要的一步，它允许管理员通过网络访问交换机进行配置和管理。

可以使用命令行界面或Web界面设置IP地址。

3. 配置VLANVLAN是将不同的网络设备划分为逻辑上的不同区域，从而提高网络安全性和性能。

可以使用命令行界面或Web界面创建和配置VLAN。

4. 配置STPSTP用于避免网络中出现环路，从而保证网络稳定性和可靠性。

真诚为您提供优质参考资料，若有不当之处，请指正。

实验1 SecPath防火墙透明模式配置基础 .................................................................................. 1-11.1 实验内容与目标.................................................................................................................. 1-11.2 实验组网图......................................................................................................................... 1-11.3 实验设备与版本.................................................................................................................. 1-11.4 实验过程 ............................................................................................................................ 1-2实验任务：透明模式下各区域的互通 ................................................................................ 1-21.5 实验中的命令列表.............................................................................................................. 1-31.6 思考题................................................................................................................................ 1-3实验2 SecPath防火墙路由模式配置基础 .................................................................................. 2-42.1 实验内容与目标.................................................................................................................. 2-42.2 实验组网图......................................................................................................................... 2-42.3 实验设备与版本.................................................................................................................. 2-42.4 实验过程 ............................................................................................................................ 2-5实验任务：路由模式下各区域的互通 ................................................................................ 2-52.5 实验中的命令列表............................................................................................................ 2-122.6 思考题.............................................................................................................................. 2-12实验3 SecPath防火墙混合模式配置基础 ................................................................................ 3-133.1 实验内容与目标................................................................................................................ 3-133.2 实验组网图....................................................................................................................... 3-133.3 背景需求 .......................................................................................................................... 3-143.4 实验设备与版本................................................................................................................ 3-143.5 实验过程 .......................................................................................................................... 3-14实验任务一：混合模式下各区域的互通........................................................................... 3-143.6 实验中的命令列表............................................................................................................ 3-153.7 思考题.............................................................................................................................. 3-15实验4 SecPath防火墙VLAN透传............................................................................................. 4-164.1 实验内容与目标................................................................................................................ 4-164.2 实验组网图....................................................................................................................... 4-164.3 背景需求 .......................................................................................................................... 4-164.4 实验设备与版本................................................................................................................ 4-164.5 实验过程 .......................................................................................................................... 4-17实验任务：VLAN透传 ..................................................................................................... 4-174.6 实验中的命令列表............................................................................................................ 4-184.7 思考题.............................................................................................................................. 4-181 / 19实验1 SecPath防火墙透明模式配置基础1.1 实验内容与目标完成本实验，您应该能够：●了解以防火墙透明模式工作原理●掌握防火墙透明模式的基本配置方法●掌握防火墙透明模式的常用配置命令1.2 实验组网图图1-1透明模式转发组网图组网要求说明：如图：PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上，其IP地址分别为10.0.0.1/24和10.0.0.2/24，需要通过F1000-E实现互通。

三层交换机报文转发过程解析一、三层交换机报文转发过程图1-2如图1-2所示，假如主机A想访问主机B，首先主机A会将自己的IP地址和子网掩码做与操作,得出网路地址(如:Host-A的IP地址100.1.1.2与自身掩码255.255.255.0做与操作后,得到的网络号是100.1.1.0).然后判断目的IP地址(即Host-B的IP地址)与自己的网络地址是不是在同一个子网.因为图中主机A和主机B不在同一子网内,所以需要进行三层转发.1、主机A发送ARP广播获取网关MAC地址主机A想访问主机B首先要有主机B的MAC地址，由于主机A和主机B不在同一子网，所以主机A首先会向缺省网关发送ARP广播报文来获取网关的MAC地址。

ARP报文格式如下：Ethernet头ARP头D-MAC S-MAC S-MAC S-IP D-MAC D-IP2、交换机形成主机A的MAC表项，并用网关MAC地址回应主机A的ARP请求交换机收到ARP广播报文后,首先学习ARP报文Ethernet头部的源MAC地址，交换机芯片将自动记录主机A的MAC地址(00e0-d26b-8121)、接收该ARP报文的交换机接口号(E1/0/0)及此接口所属的VLAN(VLAN 10)等信息,并形成一条MAC表项放入交换机MAC表中.同时，交换机也会通过软件把主机A的IP、MAC、上连到交换机的接口等信息保存到交换机的硬件转发表里（三层硬件表项,MAC表是没有IP的）。

由于主机A发送的ARP广播报文中的目的IP地址(100.1.1.1)就是交换机上接收该ARP广播报文的接口(E1/0/0)所属VLAN(VLAN 10)的IP 地址，所以交换机将使用vlan10的MAC地址回复主机A的ARP请求。

ARP回复报文如下：3、主机A把网关MAC当作主机B的MAC访问主机B主机A收到网关的ARP回应报文后，会把网关的MAC地址当成是主机B的MAC地址，这样主机A发送数据给主机B时就会使用网关MAC作为目的MAC来封装数据侦,侦格式如下：4、交换机查找硬件转发表/路由表进行三层转发交换机收到主机A发来的数据报文后，仍然会首先学习数据报文Ethernet头部的源MAC地址，然后根据Ethernet头部的目的MAC查找交换机的MAC表，此时发现目的MAC地址就是本地VLAN的MAC地址，这种情况下交换机会把该报文上送到交换芯片的三层引擎处理。