华为S5700-28C-SI三层交换机配置文档说明

1、1. 现场情况说明：我这边是一台misgate服务器，下面有五台基于opc通讯的DCS服务器，现场需要做两个配置策略 1 misgate服务器可以和下面五台服务器相互访问 2 下面五台服务器相互之间不能访问图11 misgate服务器可以和下面五台服务器相互访问1 首先你要有根console线，你要有根console线，console线（重要的事说三遍）2 你要有个超级终端，有个超级终端，超级终端（重要的事说三遍,本文档附带超级终端）3 console线连接console口和电脑，打开超级终端，点击新建连接，正确设置波特率、地址位（三层交换机自带设置文档）4 配置VLAN间通过VLANIF接口

2、通信示例（下面的代码是为交换机口分配ip，这个ip也是服务器的默认网关，但是请注意，按着当前步骤配置过后，六个服务器之间实际上是可以相互ping通的，也就是说，这个步骤只是实现了所有网段之间的互联，没有做下面五台服务器之间的隔离，不信的话可以拿两台电脑上试试，按照图一设置参数，然后相互ping）组网需求企业的不同用户拥有相同的业务，且位于不同的网段。现在相同业务的用户所属的VLAN不相同，需要实现不同VLAN中的用户相互通信。如图1所示，User1和User2中拥有相同的业务，但是属于不同的VLAN且位于不同的网段。现需要实现User1和User2互通。图1配置VLAN间通过VLANIF接口通

3、信组网图配置思路采用如下的思路配置VLAN间通过VLANIF接口通信：1.创建VLAN，确定用户所属的VLAN。2.配置接口加入VLAN，允许用户所属的VLAN通过当前接口。3.创建VLANIF接口并配置IP地址，实现三层互通。说明：为了成功实现VLAN间互通，VLAN内主机的缺省网关必须是对应VLANIF接口的IP地址。操作步骤1.配置Switch#创建VLAN system-viewHUAWEI sysname SwitchSwitch vlan batch 10 30#配置接口加入VLANSwitch interface gigabitethernet 0/0/1Switch-Gigab

4、itEthernet0/0/1 port link-type accessSwitch-GigabitEthernet0/0/1 port default vlan 10Switch-GigabitEthernet0/0/1 quitSwitch interface gigabitethernet 0/0/3Switch-GigabitEthernet0/0/2 port link-type accessSwitch-GigabitEthernet0/0/2 port default vlan 30Switch-GigabitEthernet0/0/2 quit#配置VLANIF接口的IP地址

5、Switch interface vlanif 10Switch-Vlanif10 ip address 129.0.0.1 24Switch-Vlanif10 quitSwitch interface vlanif 30Switch-Vlanif20 ip address 129.0.4.1 24Switch-Vlanif20 quit2.检查配置结果在VLAN10中的主机上配置IP地址为129.0.0.22/24，缺省网关为VLANIF10接口的IP地址129.0.0.1/24。在VLAN30中的主机上配置IP地址为129.0.4.4/24，缺省网关为VLANIF20接口的IP地址129.

6、0.4.1/24。配置完成后，VLAN10内的主机 与VLAN30内的主机能够相互访问。结论：按着上面的代码设置三层交换机就行（这边现场有个特殊情况在于，读取和利时的opc数据是从它的操作网卡上读取，他们公司死活不加网卡、还不准我们动它的网卡、不准我们设置默认网关，所以我把三层交换机2口留给了和利时，2口的ip地址129.0.0.1/24，2口和1口的ip地址一样，不同在于2口连接的和利时的网卡不设置默认网关，设置的时候也把gigabitethernet0/0/2分配给vlan10和vlanif10就行）5应用高级ACL配置流分类示例组网需求下面的代码要做的策略是拒绝gigabitethern

7、et0/0/3 和gigabitethernet0/0/4、gigabitethernet0/0/5、gigabitethernet0/0/6之间的通讯（拒绝3-4、3-5、3-6之间的通讯），之后还要做4-5、4-6还有5-6 之间的通讯。图1应用高级ACL配置组网图配置思路采用如下的思路配置ACL：1.配置ACL。2.配置流分类。3.配置流行为。4.配置流策略。5.在接口上应用流策略。操作步骤1.配置ACL#配置ACL策略，下面的策略表示 3-4、3-5、3-6之间的acl通讯策略，rule permit ip source 129.0.4.0 0.0.0.255 destination

8、129.0.5.0 0.0.0.255 ，这是表示129.0.4网段和129.0.5网段的通讯，如果写成129.0.4.1，那么表示的就是129.0.4.1这个具体的地址了，我们要做的实际上只是拒绝3-4网口网段之间的通讯，如果你要把DCS服务器地址写死，那么写成129.0.4.4也行，那MCP服务器的地址IP就必须是129.0.4.4咯。 至于为什么129.0.4.0 后面为什么要写0.0.0.255而不是255.255.255.0，这里是因为反掩码，可以去百度一下“反掩码”。Switch acl 3034Switch-acl-adv-3034 rule permit ip source 1

9、29.0.4.0 0.0.0.255 destination 129.0.5.0 0.0.0.255Switch-acl-adv-3034 quitSwitch acl 3035Switch-acl-adv-3035 rule permit ip source 129.0.4.0 0.0.0.255 destination 129.0.6.0 0.0.0.255Switch-acl-adv-3035 quitSwitch acl 3036Switch-acl-adv-3036 rule permit ip source 129.0.4.0 0.0.0.255 destination 129.0

10、.7.0 0.0.0.255Switch-acl-adv-3036 quit2.配置基于ACL的流分类 Switch traffic classifier c_3034Switch-classifier-c_3034 if-match acl 3034Switch-classifier-c_3034 quitSwitch traffic classifier c_3035Switch-classifier-c_3035 if-match acl 3035Switch-classifier-c_3035 quitSwitch traffic classifier c_3036Switch-cla

11、ssifier-c_3036 if-match acl 3036Switch-classifier-c_3036 quit3.配置流行为#配置流行为b_303456，动作为拒绝报文通过。Switch traffic behavior b_303456Switch-behavior-b_303456 denySwitch-behavior-b_303456 quit4.配置流策略#配置流策略p_303456，将流分类c_3034、c_3035、c_3036与流行为b_303456关联。Switch traffic policy p_303456Switch-trafficpolicy-p_303

12、456 classifier c_3034 behavior b_303456Switch-trafficpolicy-p_303456 classifier c_3035 behavior b_303456Switch-trafficpolicy-p_303456 classifier c_3036 behavior b_303456Switch-trafficpolicy-p_303456 quit7.应用流策略5#将流策略p_303456应用到GE0/0/3接口。Switch interface gigabitethernet 0/0/3Switch-GigabitEthernet0/0/2 traffic-policy p_303456 inboundSwitch-GigabitEthernet0/0/2 quit到这里，你的对gigabitethernet 0/0/3到4、5、6接口的通讯拒绝策略就配置成功了，接下来就参照上面的第五步策略再配置一下4-5、4-5,5-6的ACL流策略。下面这句是当你手贱把流策略写到接口写错了过后用的。# 如果手贱，流策略配置到GE