华三交换机的常用配置
- 华三交换机的常用配置
- 查看物理接口状态
- 链路聚合
- acl
- 隔离策略-分级
- 堆叠
华三交换机的常用配置
查看物理接口状态
# H3C
dis interface brief
# Uniview
show interface status
show interface status brief
链路聚合
- 注意顺序不能乱!而且将要加入聚合组的接口必须是空配置;
## 查看当前有哪些组
[new_dw]dis interface brief | incl BAG
BAGG88 UP 2G(a) F(a) T 1
# 创建一个组
[new_dw]int Bridge-Aggregation 77
# 去找接口里面将接口入加入到组
interface GigabitEthernet1/0/47
port link-aggregation group 77
# 再进入接口组进行配置
[new_dw]int Bridge-Aggregation 77
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 5 100 200
# 查看协商速度,发现是2G,我们是两个接口聚合,所以2G是正常的;
[new_dw]dis interface Bridge-Aggregation 77 brief
Brief information on interfaces in bridge mode:
Link: ADM - administratively down; Stby - standby
Speed: (a) - auto
Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface Link Speed Duplex Type PVID Description
BAGG77 UP 2G(a) F(a) T 1
- 值得一提的时候,有一次和浪潮的服务器对接着,聚合时需要调整聚合方式的版本或方式
acl
华三交换机虽然很成熟,但在某些方面还是有一些瑕疵,比如在链路聚合方面、还有acl方面。
两台服务器同属于一个vlan,想在交换机上实现,A服务器不能访问同网段B服务器之外,所有的都能访问;
acl 3001
rule 0 deny destination 10.50.12.6 0.0.0.0
rule 5 permit destination all
int range gi1/0/5 to gi1/0/6
packt-filter acl 3001 inboud
这里非常有必要解释一下为什么是inboud,我们配置的角色是交换机,那就是在交换机的角度去看,从交换机的交换看来,当A主机与B主机通信的流程到达自己时,这时的方向是入方向,所以自然是inboud。在这里面很容易犯的错误就是没有从交换机的角度来看待流量的方向,而是从服务器本身的角度去看待,如果从服务器本身的角度看来那方向是outbond,但我们配置的对象不是服务器而是交换机,所以理解成oulbond就错了。
这里面还有一点需要注意,既然五口和六口都加入到聚合组35当中,为什么不在聚合口下敲调用acl呢?这是华三交换机的瑕疵,但聚合组之下调用有时并不生效,而去物理接口下调用却屡试不爽。
最后还有一点需要注意,acl是非常死板的,这个死板是相对于防火墙来说的,除个例子,通常来说,在防火墙上我们仅放行trust到untrust的策略,从untrust到trust区域的流量如果能命中之前的会话那就无需匹配策略;而在交换机上,就是特别一板一眼,如上述的例子,A主机访问B主机的流程会被交换机接口拒绝,但如果是B主机来访问A主机呢?也会拒绝,B的请求数据可以到达A,但A返回给B的流量却因为交换机没有会话,所以无法命中会话,会被acl给拒绝。
隔离策略-分级
关于隔离的工作,正常来说是通过防火墙的来做的,通过防火墙上的策略可以非常方便的做区域间的隔离,为了方便隔离,通常我们会把网关设置在内网的防火墙上,这样的隔离是三层的隔离,只能在跨网段通信的时候进行控制。但如果同vlan的主机想要做控制,在防火墙上就很难实现,这时候通过交换机acl就能做。下面我们介绍一种场景需求,完成需求要将防火墙上策略隔离和acl的二层隔离组合起来使用。
我们公司有多个分支机构,各个分支机构私网网段全是10开头的,通过gre over ipsec将各个分支机构连接起来,最近上一台服务器,服务器上运行的是ESXI,在其上又运行了10台虚拟机,10台虚拟机网段也是10.50.12.x,,就桥接到物理服务器的网卡上,要求:
- 要求一:现在要求这10台服务器不能与同网段的10.50.12.6通信
- 要求二:在要求一基础上,9台服务器只能与10.50.0.63、10.50.0.50/51/52/53通信
- 要求三:在要求一基础上,其中一台服务器可以与任何网段通信;
我们先不谈以上三个要求,像这种比较特殊的服务器,需要策略比较精细的服务器,最好将这种服务器单独放到一个独立的网段,然后在防火墙可以针对这个网段做相当精细的策略控制。但像上述这个拓扑,A主机需要做的策略较多,而B服务器却不需要做策略,这种设计就不太合理,这种设计不合理之外在于:“如果我们A服务器单独放到一个网段当中,我们就可以仅在防火墙上做三层策略;如果像上述拓扑这样,想要完成策略就得二层隔离和三层隔离同时结合使用”。
对于要求一,我们可以通过在交换机做acl实现,而对于要求二和要求三需要在防火墙上做策略。
思路:
- 制定acl
# 关于要求一
acl 3004
rule 0 deny ip destination 10.50.12.6 0.0.0.0
rule 5 permit ip destination all
# 去A服务器的物理接口上应用
int range gi1/0/5 go gi1/0/6
packet-filter 3004 inbond
# 关于要求二,假设A和B所在区域都是server区域
## 制定源对象和目标对象
源对象名为server_zone,将网段是10.50.12.0/24放到其中,其中排除一台主机;
目标名为des_zone,将网段10.0.0.0/8放到其中,其中排除10.50.0.50/51/52/53/63
## 制定策略 server->any,将此策略放到第一条,优先匹配
deny source server_zone destination des_zone
堆叠
到货两台H3C的交换机,带一根堆叠的线缆,打算做一下堆叠的配置,正好就用两台交换机自带的40G速率的接口,编号是41.
# 版本
[SW1]dis version
H3C Comware Software, Version 7.1.045, Release 2432P05
# A的配置
# 配置一个名字,后面要观察变化;
sysname SW1
irf member 1 priority 5 #将1号交换机IRF优先级调整至最高32
interface FortyGigE1/0/41 #关闭堆叠端口
shutdown
irf-port 1/1 # 创建端口组
port group interface FortyGigE1/0/41
interface FortyGigE1/0/41
un sh
irf-port-configuration active #激活IRF端口配置
save
# B的配置
irf member 1 re 2
irf member 2 priority 1
save
reboot # 保存重启交换机,接口编号会改变
interface FortyGigE2/0/41 #关闭堆叠端口
shutdown
irf-port 2/2 # 创建端口组
port group interface FortyGigE2/0/41
interface FortyGigE1/0/41 #开启堆叠端口
un shutdown
save 这里记得要保存,激活IRF后交换机会自动重启
irf-port-configuration active
# 验证
[SW1]dis irf
MemberID Role Priority CPU-Mac Description
*+1 Master 5 00e0-fc0f-8c02 ---
2 Standby 1 00e0-fc0f-8c03 ---
--------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.
The bridge MAC of the IRF is: b044-14d3-1659
Auto upgrade : yes
Mac persistent : 6 min
Domain ID : 0
IRF mode : normal
做完B的配置之后,再插堆叠线,插完之后,备会重启。
## 上联trunk接口
# 创建接口组
interface Bridge-Aggregation15
# 将接口加入到接口组
interface Ten-GigabitEthernet1/0/5
port link-aggregation group 15
interface Ten-GigabitEthernet2/0/5
port link-aggregation group 15
# 在接口组里面做配置
interface Bridge-Aggregation15
port link-type trunk
port trunk permit vlan all
# telnet
line vty 0 4
user-role network-admin
user-role network-operator
set authentication password hash $h$6$bDr89Q+EuI0ee0VG$XGqQykmsAmc3yKFmxRRaNgzuGeTKcW8kfJUg5unVRaC4TLvqaodWfpPucy17wS7Vujf2GKla0cdf8ao8oQUPnA==
protocol inbound telnet