DHCP中继-静态路由-ACL-OSPF的配置经典-H3C

H3c实验教材制作人:刘小兵联系：

QQ:43085188 Tel作时间：2012.2.6用telnet登陆用PC1的telnet来登陆S3610设备：S3610看图9用telnet登陆<Quidway>system-view[Quidway]user-interfacevty0[Quidway-ui-vty0]setauthenticationpasswordsimplexxxx（xxxx是欲设置的该Telnet用户登录口令）VLAN建立所用设备E126A首先要知道VLAN是什么，VLAN就是虚拟局域网。例如，一个机房就可以看成是一个VLAN。要求建立两个vlan并且设置1-10端口给vlan1011-20端口给vlan20（看图7）VLAN建立建立这样的vlan他们之间是不可以通讯的。思考“vlan间要通讯需要什么？”看源吗吧！源码Vlan10Portethernet1/0/1toethernet1/0/10Vlan20Portethernet1/0/11toethernet1/0/20Vlan间通讯Vlan间通讯所用设备S3610在上一个实验我已经说明了，怎么建立vlan现在来说下vlan间通讯。Vlan间需要通讯呢，必须要经过路由！！那么S3610这台三层交换机就具备有这样简单的路由功能。要求建立个vlan10端口1-5接口地址：

vlan20端口6-10接口地址：

看图要求vlan20能ping通vlan10源码Vlan10/建立虚拟局域网vlan10Portethernet1/0/1toethernet1/0/5/配置虚拟局域网10的端口Vlan20/建立虚拟局域网vlan20Portethernet1/0/6toethernet1/0/10/配置虚拟局域网20的端口Interfacevlan-interface10/进入vlan10Ipadd24这个24就是指子网掩码的长度

/设置vlan10的接口地址Interfacevlan-interface20Ipadd24/设置vlan20的接口地址ACL(访问控制列表)使用ACL的运用,经典所用设备H3cS3610三层交换机1台组网和vlan分配如图1所示，要求：按图1所示网络结构将设备连接好，配置交换机（3610）以实现：vlan10、20、30均可以访问server1，但是只有vlan10和vlan20可以访问server2，同时vlan10、20、30之间不能互访。拓扑图分析首先,先分析一下拓扑图!要求:vlan10、20、30均可以访问server1，但是只有vlan10和vlan20可以访问server2，同时

vlan10、20、30之间不能互访!先分为:1.vlan10、20、30均可以访问server12.vlan10和vlan20可以访问server23.vlan10、20、30之间不能互访3个虚拟局域网通讯,在前面有讲过了!我相信你们都会吧.只要在vlan接口上设置个IP就行了.这个不多说.2.vlan10和vlan20可以访问server2这个就有点难度了,分析下.你做完第一小题,三个vlan间是可以通讯的。现在多建了一个vlan200出来,要求只可以vlan10,vlan20访问.这就需要建立一个ACL(访问控制列表)等下我会把ACL的详细说明赋在后面,这是配置源码:aclnumber3000match-orderconfigrule0denyipsource55destination00aclnumber3000match-orderconfigrule0denyipsource55destination来说明一下这条命令的作用看图2vlan10、20、30之间不能互访这个就要考考你们的思维了，经过前面那2小题.我们只是做了,vlan30不可以访问vlan200但现在要求是vlan10,20,30之间是不可以通讯.有什么办法呢?举例,一道数学题假设甲,乙,丙!都不能来往需要怎么做呢?

甲不能去找乙,丙乙不能去找甲,丙丙不能去找甲,乙那么实际中也是这样的.看源码:禁止vlan20,30访问vlan10aclnumber 3001match-orderconfigrulerule0denyipsource55destination55rulerule1denyipsource55destination55

即甲不能去找乙丙你们先思考下,这条命令要在那个端口启用!在后面我会告诉你,自己先想下

看源码:禁止

vlan10,vlan30访问vlan20aclnumber 3002match-orderconfigrulerule0denyipsource55destination55rulerule1denyipsource55destination55

即乙不能去找甲,丙你们还是想下这条命令应该在那里启用

看源码:禁止vlan10,vlan20访问vlan30aclnumber 3003match-orderconfigrulerule0denyipsource55destination55rulerule1denyipsource55destination55

丙不能去找甲,乙你们还是想下这条命令应该在那里启用该揭晓答案了:

甲不能去找乙,丙那么就该在甲端口启用乙不能去找甲,丙那么就该在乙端口启用丙不能去找甲,乙那么就该在丙端口启用看下我那时候配置的源码吧!应该是10年6月份解释一下,这台s3610没有packet-filter这条命令,我找了别的办法来激活ACLVlan10PortEthernet1/0/5Vlan20Portethernet1/0/6Vlan30Portethernet1/0/11toEthernet1/0/12Vlan100Server1Portethernet1/0/16Vlan200Server2Portethernet1/0/21Interfacevlan-ethernet10IpaddressquitInterfacevlan-ethernet20IpaddressquitInterfacevlan-ethernet30IpaddressquitInterfacevlan-ethernet100server1IpaddressquitInterfacevlan-ethernet200server2Ipaddressquitaclnumber 3001match-orderconfigrulerule0denyipsource55destination55rulerule1denyipsource55destination55

禁止vlan30,vlan20访问vlan10quitTrafficclassifter11If-matchacl3001QuitTrafficbehavior11这一段大概的意思就是利用qos来做到acl的Filterdeny因为这个交换机缺少一条激活acl的命令Quit如果有的话直接打那条命令就行了不用怎么麻烦Qospolicy11Classifiter11behavior11InterfaceEthernet1/0/5Qosapplypolicy11inbound就是说在5口启用acl3001

aclnumber 3002match-orderconfigrulerule0denyipsource55destination55rulerule1denyipsource55destination55禁止vlan10,vlan30访问vlan20quitTrafficclassifter21If-matchacl3002QuitTrafficbehavior21这一段大概的意思就是利用qos来做到acl的Filterdeny因为这个交换机缺少一条激活acl的命令Quit如果有的话直接打那条命令就行了不用怎么麻烦Qospolicy21Classifiter21behavior21InterfaceEthernet1/0/6Qosapplypolicy21inbound就是说在6口启用acl3002aclnumber 3003match-orderconfigrulerule0denyipsource55destination55rulerule1denyipsource55destination55

禁止vlan10,vlan20访问vlan30quitTrafficclassifter31If-matchacl3003QuitTrafficbehavior31这一段大概的意思就是利用qos来做到acl的Filterdeny因为这个交换机缺少一条激活acl的命令Quit如果有的话直接打那条命令就行了不用怎么麻烦Qospolicy31Classifiter31behavior31InterfaceEthernet1/0/12Qosapplypolicy31inbound就是说在12口启用acl3003

aclnumber3000match-orderconfigrule0denyipsource55destination00

禁止vlan30访问00quitTrafficclassifter10If-matchacl3000QuitTrafficbehavior10这一段大概的意思就是利用qos来做到acl的Filterdeny因为这个交换机缺少一条激活acl的命令Quit如果有的话直接打那条命令就行了不用怎么麻烦Qospolicy10Classifiter10behavior10InterfaceEthernet1/0/11Qosapplypolicy10inbound就是说11口启用acl3000端口对应表按图1Vlan10接5口Vlan20接6口Vlan30接11,12口因为没有那条命令,所以要用2个口.11口接的是不可以访问Server2的.12口接的是vlan间不能互访的.Vlan100接16口Vlan200接21口

然后自己测试吧!!!ACL的作用

ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。例如：某部门要求只能使用WWW这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。静态路由的使用静态路由的运用所用设备H3CMSR20,30!2台要求按图三所示的网络结构将设备连接好，对相关网络设备进行配置，要求使用静态路由的方法实现，

PCA能PING通PCB，其中：

PC1的IP地址为：/24，

PC2的IP地址为：/24，

RTA的S1端口的IP地址为：

拓扑图分析首先，先分析下拓扑图它要求的是pc1通pc2先了解下静态路由的作用吧按我的理解来说，静态路由最大的作用就是用在分流后面有时间我做给你们看例如：要让某一网段的通过电信出去。让某一网段的通过网通出去。举例1.Vlan10~255Vlan20~255通过静态路由就可以实现Vlan10的流量通过电信出去。通过静态路由就可以实现Vlan20的流量通过网通出去。这就是我所理解的静态路由的最大的好处。看配置源码吧！！说一下静态路由吧！Iproute-start这条命令的说明看图4RTAInternetEthernet0/1IpaddressInternets5/0IpaddressIproute-startRTBInternetEthernet0/1IpaddressInternets5/0IpaddressIproute-startPc1IP:/24WG:Pc2IP:/24WG:静态路由的扩展使用我用的是静态路由所用的设备S36102台H3CMSR20,301台按图6所示网络结构将设备连接好，配置交换机，路由器让要求：pc1通pc2Pc1通pc3Pc2不通pc3我用的是静态路由来完成它的要求的。拓扑图分析先分析下拓扑图要求是

pc1通pc2Pc1通pc3Pc2不通pc3Pc1通pc2我就不说了Pc1通pc3这个就有点难度了，首先分析下，pc1所在的网络跟pc3所在的网络是不同的网络的。2个网络要通讯那么必须经过路由器。分析Pc1首先要经过三层交换机到路由器，那么这里就经过了一个跳了。也就是说pc1第一跳的地址是：

第二跳的地址是：第三跳的地址是：第四跳的地址是：思考下要做几条静态路由。配置命令没保存懒得打了。。

启用OSPF动态路由OSPF我这里就不详细说了，简单的举一个用启用OSPF协议组建的网络后面有简单的介绍看图分析首先先分析下，这个网络！之前有说过用静态路由来连接2个路由，而现在要用的是动态路由即是用OSPF协议来运算。看配置Ospf启用ospf协议Netword把

这个网段的IP加入OSPF运算源码RAInterfaces5/0IpaddInterfaceg0/0IpaddOspfNetwordNetwordRBInterfaces5/0IpaddInterfaceg0/0IpaddOspfNetwordNetword路由协议OSPFOSPF协议是路由常用的协议。开放最短路由优先协议开放最短路由优先协议OSPF（OpenShortestPathFirst）是IETF组织开发的一个基于链路状态的内部网关协议。目前使用的是版本2（RFC2328），其特性如下：z适应范围——支持各种规模的网络，最多可支持几百台路由器。z快速收敛——在网络的拓扑结构发生变化后立即发送更新报文，使这一变化在自治系统中同步。z无自环——由于OSPF根据收集到的链路状态用最短路径树算法计算路由，从算法本身保证了不会生成自环路由。z区域划分——允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用的网络带宽。z等值路由——支持到同一目的地址的多条等值路由。z路由分级——使用4类不同的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路由、第二类外部路由。z支持验证——支持基于接口的报文验证以保证路由计算的安全性。z组播发送——支持组播地址。中继DHCP的使用一个经典DHCP中继所用设备H3cS3610三层交换机一台Window2003server开启DHCP功能按图5所示的网络结构将设备连接好，对相关网络设备进行配置，使用PCB和PCC能从PCA获得IP地址，其中配置PCA的Windowserver的DHCP服务地址池为：VLAN10：1~250 VLAN20：1~250中继按我的理解说下中继的作用吧！中继也就是代理的意思例如我一个局域网中有一台DHCP的服务器我想把它代理出去，让别的VLan也可以从这这台DHCP服务器上获取到IP。就是说让不同的网段都可以从这台DHCP服务器上获取到IP。后面我补上中继的说明。拓扑图分析首先分析下拓扑图它要求的是让PCC,PCB都可以从PCA上获取到IP地址。也就是说要把这台2003ServerDhCP代理出去。看命令吧dhcpenabledhcpselectrelaydhcprelayserver-group1ip配置DHCP服务器地址interfacevlan-interface10在VLAN接口10工作在DHCP中继模式dhcprelayserver-select1配置VLAN接口10对应DHCP服务器组1看源码Vlan10Portethern