华为S5700-28C-SI三层交换机配置文档说明.doc

1、1.现场情况说明：我这边是一台 misgate 服务器，下面有五台基于 opc 通讯的 DCS 服务器，现场需要做两个配置策略 1 misgate 服务器可以和下面五台服务器相互访问 2 下面五台服务器相互之间不能访问图 11 misgate 服务器可以和下面五台服务器相互访问1 首先你要有根 console 线，你要有根 console 线，console 线（重要的事说三遍）2 你要有个超级终端，有个超级终端，超级终端（重要的事说三遍,本文档附带超级终端）3 console 线连接 console 口和电脑，打开超级终端，点击新建连接，正确设置波特率、地址位（三层交换机自带设置文档）4 配

2、置 VLAN 间通过 VLANIF 接口通信示例（下面的代码是为交换机口分配 ip，这个 ip 也是服务器的默认网关，但是请注意，按着当前步骤配置过后，六个服务器之间实际上是可以相互 ping 通的，也就是说，这个步骤只是实现了所有网段之间的互联，没有做下面五台服务器之间的隔离，不信的话可以拿两台电脑上试试，按照图一设置参数，然后相互 ping）组网需求企业的不同用户拥有相同的业务，且位于不同的网段。现在相同业务的用户所属的 VLAN 不相同，需要实现不同 VLAN 中的用户相互通信。如 图 1 所示，User1 和 User2 中拥有相同的业务，但是属于不同的 VLAN 且位于不同的网段。现

3、需要实现 User1 和 User2 互通。图 1 配置 VLAN 间通过 VLANIF 接口通信组网图 配置思路采用如下的思路配置 VLAN 间通过 VLANIF 接口通信：1. 创建 VLAN，确定用户所属的 VLAN。2. 配置接口加入 VLAN，允许用户所属的 VLAN 通过当前接口。3. 创建 VLANIF 接口并配置 IP 地址，实现三层互通。说明：为了成功实现 VLAN 间互通，VLAN 内主机的缺省网关必须是对应 VLANIF 接口的 IP 地址。操作步骤1. 配置 Switch# 创建 VLANsystem-viewHUAWEI sysname SwitchSwitch vl

4、an batch 10 30# 配置接口加入 VLANSwitch interface gigabitethernet 0/0/1Switch-GigabitEthernet0/0/1 port link-type accessSwitch-GigabitEthernet0/0/1 port default vlan 10Switch-GigabitEthernet0/0/1 quitSwitch interface gigabitethernet 0/0/3Switch-GigabitEthernet0/0/2 port link-type accessSwitch-GigabitEther

5、net0/0/2 port default vlan 30Switch-GigabitEthernet0/0/2 quit# 配置 VLANIF 接口的 IP 地址Switch interface vlanif 10Switch-Vlanif10 ip address 129.0.0.1 24Switch-Vlanif10 quitSwitch interface vlanif 30Switch-Vlanif20 ip address 129.0.4.1 24Switch-Vlanif20 quit2. 检查配置结果在 VLAN10 中的主机上配置 IP 地址为 129.0.0.22/24，缺

6、省网关为 VLANIF10 接口的 IP地址 129.0.0.1/24。在 VLAN30 中的主机上配置 IP 地址为 129.0.4.4/24，缺省网关为 VLANIF20 接口的 IP 地址 129.0.4.1/24。配置完成后，VLAN10 内的主机 与 VLAN30 内的主机能够相互访问。结论：按着上面的代码设置三层交换机就行（这边现场有个特殊情况在于，读取和利时的 opc 数据是从它的操作网卡上读取，他们公司死活不加网卡、还不准我们动它的网卡、不准我们设置默认网关，所以我把三层交换机 2 口留给了和利时，2 口的 ip 地址129.0.0.1/24，2 口和 1 口的 ip 地址一样

7、，不同在于 2 口连接的和利时的网卡不设置默认网关，设置的时候也把 gigabitethernet0/0/2 分配给 vlan10 和 vlanif10 就行）5 应用高级 ACL 配置流分类示例组网需求下面的代码要做的策略是拒绝 gigabitethernet0/0/3 和gigabitethernet0/0/4、gigabitethernet0/0/5、gigabitethernet0/0/6 之间的通讯（拒绝 3-4、3-5、3-6 之间的通讯），之后还要做 4-5、4-6 还有 5-6 之间的通讯。图 1 应用高级 ACL 配置组网图 配置思路采用如下的思路配置 ACL：1. 配置 A

8、CL。2. 配置流分类。3. 配置流行为。4. 配置流策略。5. 在接口上应用流策略。操作步骤1. 配置 ACL#配置 ACL 策略，下面的策略表示 3-4、3-5、3-6 之间的 acl 通讯策略，rule permit ip source 129.0.4.0 0.0.0.255 destination 129.0.5.0 0.0.0.255 ，这是表示129.0.4网段和 129.0.5网段的通讯，如果写成 129.0.4.1，那么表示的就是 129.0.4.1这个具体的地址了，我们要做的实际上只是拒绝 3-4网口网段之间的通讯，如果你要把DCS服务器地址写死，那么写成 129.0.4.4

9、也行，那 MCP服务器的地址 IP就必须是129.0.4.4咯。 至于为什么 129.0.4.0 后面为什么要写 0.0.0.255而不是255.255.255.0，这里是因为反掩码，可以去百度一下“反掩码”。Switch acl 3034Switch-acl-adv-3034 rule permit ip source 129.0.4.0 0.0.0.255 destination 129.0.5.0 0.0.0.255Switch-acl-adv-3034 quitSwitch acl 3035Switch-acl-adv-3035 rule permit ip source 129.0.

10、4.0 0.0.0.255 destination 129.0.6.0 0.0.0.255Switch-acl-adv-3035 quitSwitch acl 3036Switch-acl-adv-3036 rule permit ip source 129.0.4.0 0.0.0.255 destination 129.0.7.0 0.0.0.255Switch-acl-adv-3036 quit2. 配置基于 ACL 的流分类Switch traffic classifier c_3034Switch-classifier-c_3034 if-match acl 3034Switch-cl

11、assifier-c_3034 quitSwitch traffic classifier c_3035Switch-classifier-c_3035 if-match acl 3035Switch-classifier-c_3035 quitSwitch traffic classifier c_3036Switch-classifier-c_3036 if-match acl 3036Switch-classifier-c_3036 quit3. 配置流行为# 配置流行为 b_303456，动作为拒绝报文通过。Switch traffic behavior b_303456Switch-

12、behavior-b_303456 denySwitch-behavior-b_303456 quit4. 配置流策略# 配置流策略 p_303456，将流分类 c_3034、c_3035、c_3036 与流行为 b_303456关联。Switch traffic policy p_303456Switch-trafficpolicy-p_303456 classifier c_3034 behavior b_303456Switch-trafficpolicy-p_303456 classifier c_3035 behavior b_303456Switch-trafficpolicy-p

13、_303456 classifier c_3036 behavior b_303456Switch-trafficpolicy-p_303456 quit7. 应用流策略5# 将流策略 p_303456 应用到 GE0/0/3 接口。Switch interface gigabitethernet 0/0/3Switch-GigabitEthernet0/0/2 traffic-policy p_303456 inboundSwitch-GigabitEthernet0/0/2 quit到这里，你的对 gigabitethernet 0/0/3到 4、5、6 接口的通讯拒绝策略就配置成功了，接下来就参照上面的第五步策略再配置一下 4-5、4-5,5-6 的 ACL流策略。下面这句是当你手贱把流策略写到接口写错了过后用的。# 如果手贱，流策略配置到 GE0/0/3 接口错了，可以参照一下代码Switch interface gigabitethernet 0/0/3Switch-GigabitEthernet0/0/3undo traffic-policy p_303456 inboundSwitch-GigabitEthernet0/0/3 quit最后特别提一下和利时，为毛不设置一下和利时的 ACL 流策略，原因就是和利时的网卡没网关，over 。