H3C S5600系列交换机典型配置举例

H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

对于ACL，可能很多用户还不熟悉怎么设置，本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤：H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图，创建四个vlan，对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为，确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略，将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明：l acl只是用来区分数据流，permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier;l 将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。

光纤链路排错经验一、组网：用户采用4台S5500作为接入交换机、1台S5500作为核心交换机组网，4台接入交换机分别在三个仓库以及门卫处与核心机房都是通过2根八芯单模光纤走地井连接，在这5个机房再通过跳纤来连接到交换上。

用户要求实现内网的用户主机访问公共服务器资源，并实现全网互通。

组网如下图所示：二、问题描述：PC现无法访问server服务器，进一步发现S5500光纤端口灯不亮，端口信息显示down状态。

在核心交换机端通过自环测试发现该端口以及光模块正常，接入交换机端也同样测试发现正常。

监控网络正常使用，再将网络接口转接到监控主干链路上，发现网络同样无法正常使用。

三、过程分析：想要恢复链路，首先要排查出故障点，根据故障点情况结合实际恢复链路通畅。

在这里主要分析光纤通路，光信号从接入交换机光口出来通过跳线，转接到主干光纤，然后再通过核心跳线转接到核心交换上。

由于该链路不通，首先要排除两端接口以及光模块问题，这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环，防止烧坏光模块)。

当检测完成发现无问题，再测试接入端的光纤跳纤：如果是多模光纤可以将一端接到多模光纤模块的tx口，检测对端是否有光；单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路，并不能检测出线路光衰较大的情况)。

最后再检测主线路部分，检测方式同跳线一样。

光路走向流程如图所示：四、解决方法：从上述的分析可以看出，只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。

为了保证光路正常通路，最好的解决方法就是，通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。

由于用户组网使用了一些监控设备来接入该主干光缆，并且该光路现正常使用，通过将网络光纤转接到该监控主干光缆，发现网络光路仍然不通；并且两端端口自环检测正常。

由此可以判断出主要问题在两端的跳纤上。

如图所示：在没有光功率计并且客户业务又比较着急恢复的情况，可以先将两端的接入跳纤更换。

H3C S5600系列以太网交换机基本配置手册H3C S5600交换机典型配置【管理方式】S5600交换机支持通过Console口(串口)管理、配置管理IP后用Telnet/Web方式管理，以及通过标准的SNMP网管系统进行管理。

建议用户尽量使用命令行方式(CLI-Command Line Interface)对交换机进行配置管理，包括Console口及Telnet方式。

对于Web方式及网管系统，用来观察监控交换机的运行情况可以，用来作为配置的手段，不建议使用。

一、Console口管理方式1. 连接配置电缆第一步：将配置电缆的DB-9孔式插头接到要对交换机进行配置的PC的串口上。

第二步：将配置电缆的RJ-45一端连到交换机的配置口（Console）上。

2. 设置终端参数第一步：打开PC，并在PC上运行终端仿真程序（如Windows3.1的Terminal，Windows95/Windows98/Windows NT/Window2000/Windows XP的超级终端）。

第二步：设置终端参数（以Windows XP的超级终端设置为例）。

参数要求：波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无，选择终端仿真为VT100。

具体方法如下：点击“开始”-“程序”-“附件”-“通讯”-“超级终端”，进入超级终端窗口，点击“”图标，建立新的连接，系统弹出如下图所示的连接说明界面。

超级终端连接说明界面在连接说明界面中键入新连接的名称，单击［确定］按纽，系统弹出如下图所示的界面图，在［连接时使用］一栏中选择连接使用的串口。

超级终端连接使用串口设置串口选择完毕后，单击［确定］按钮，系统弹出如下图所示的连接串口参数设置界面，设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无。

串口参数设置串口参数设置完成后，单击［确定］按钮，系统进入如下图所示的超级终端界面。

超级终端窗口在超级终端属性对话框中选择［属性］一项，进入属性窗口。

S5600系列交换机典型配置举例2.1.1 静态路由典型配置1. 组网需求(1)需求分析某小型公司办公网络需要任意两个节点之间能够互通，网络结构简单、稳定，用户希望最大限度利用现有设备。

用户现在拥有的设备不支持动态路由协议。

根据用户需求及用户网络环境，选择静态路由实现用户网络之间互通。

(2)网络规划根据用户需求，设计如图2-1所示网络拓扑图。

图2-1 静态路由配置举例组网图2. 配置步骤交换机上的配置步骤：# 设置以太网交换机Switch A的静态路由。

<SwitchA> system-view[SwitchA] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2[SwitchA] ip route-static 1.1.4.0 255.255.255.0 1.1.2.2[SwitchA] ip route-static 1.1.5.0 255.255.255.0 1.1.2.2# 设置以太网交换机Switch B的静态路由。

<SwitchB> system-view[SwitchB] ip route-static 1.1.2.0 255.255.255.0 1.1.3.1[SwitchB] ip route-static 1.1.5.0 255.255.255.0 1.1.3.1[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1# 设置以太网交换机Switch C的静态路由。

<SwitchC> system-view[SwitchC] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1[SwitchC] ip route-static 1.1.4.0 255.255.255.0 1.1.3.2主机上的配置步骤：# 在主机A上配缺省网关为1.1.5.1，具体配置略。

H3C交换机VLAN配置实例交换机VLAN基础配置实例一功能需求及组网说明:配置环境参数:产品版本信息: PCA和PCB分别连接到S5600的端口G1/0/2和G1/0/3。

S5600系列交换机采用任何版本皆可。

组网要求:PCA和PCB都属于VLAN2。

二数据配置步骤:1(创建VLAN;2(将相应端口加入VLAN。

三配置命令参考:S5600相关配置:方法一:1(将交换机改名为S5600[Quidway]sysname S56003(创建(进入)VLAN2[S5600]vlan 24(将端口G1/0/2和G1/0/3加入VLAN2[S5600-vlan2]port GigabitEthernet 1/0/2 to GigabitEthernet 1/0/3 方法二:1(将交换机改名为S5600[Quidway]sysname S56002(创建(进入)VLAN2[S5600]vlan 23(退出到系统视图[S5600-vlan3]quit4(进入端口GigabitEthernet1/0/2[S5600]interface GigabitEthernet 1/0/25(将GigabitEthernet1/0/2的PVID更改为2[Quidway-GigabitEthernet1/0/2]port access vlan 26(进入端口GigabitEthernet1/0/3[Quidway-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/37(将GigabitEthernet1/0/3的PVID更改为2[Quidway-GigabitEthernet1/0/3]port access vlan 2四补充说明:1(缺省情况下，交换机有一个默认的VLAN，即VLAN 1，所有端口都默认属于该VLAN。

2(在系统视图下，可以利用命令undo vlan-number以删除相应VLAN，但交换机的默认VLAN 1不能被删除。

H3C s5600DHCP设置及DHCP服务器搭建实例一、核心交换机H3C 5600S DHCP设置使用核心交换机H3C S5600划分VLAN。

因此必须在交换机H3C 5600S启用DHCP转发，Windows 2003的DHCP才能生效。

1、在核心交换机H3C S5600启用DHCP转发使用telnet登录到中心交换机，命令如下telnet 10.147.132.7输入账号密码进入，或直接使用配置线连接console口进入。

2、切换到系统视图，命令如下：[s5600]system view3、全局使能DHCP功能，命令如下[s5600]dhcp enable4、指定DHCP Server组1所采用的DHCP Server的IP地址[s5600] dhcp-server 5 ip 10.147.132.55、指定VLAN接口归属到DHCP Server组5[s5600] interface Vlan-interface133[s5600] dhcp-server 5[s5600] interface Vlan-interface134[s5600] dhcp-server 5[s5600] interface Vlan-interface135[s5600] dhcp-server 5所要自动获取IP的VLAN全部设置完成。

这样交换机的设置就完成了。

二、Windows 2003 DHCP设置1、 Windows2003的DHCP设置DHCP服务器IP地址为10.147.132.5，登录该服务器。

点击：开始—管理工具—DHCP，在huiguan_上右键，激活该DHCP服务器。

2、创建作业域在huiguan_上右键，新建作用域，点下步输入“cnooc_huiguan”（自由命名），点下一步。

输入起始IP地址和结束IP地址，及子网掩码，点“下一步”。

添加排除，不添加，继续“下一步”，租约期限，这里可不用修改。

S5600系列交换机集群管理的配置一、组网需求：1. 设备三层管理接口为Vlan-interface2；2. 集群管理VLAN为VLAN 3；3. FTP服务器IP地址为192.168.4.3；4. SwitchA为集群管理命令交换机；二、组网图:三、配置步骤：SwitchA的配置：1. 进入系统视图，配置管理VLAN为VLAN 3<Switch> system-view[Switch] management-vlan 32. 将端口GigabitEthernet 1/0/1加入VLAN 3[Switch] vlan 3[Switch-vlan3] port GigabitEthernet 1/0/1[Switch-vlan3] quit3. 配置Vlan-interface 3地址为192.168.5.30[Switch] interface Vlan-interface 3[Switch-Vlan-interface3] ip address 192.168.5.30 255.255.255.0 [Switch-Vlan-interface3] quit4. 将端口GigabitEthernet 1/0/2加入VLAN 2[Switch] vlan 2[Switch-vlan2] port GigabitEthernet 1/0/2[Switch-vlan2] quit5. 配置Vlan-interface2地址为192.168.4.22[Switch] interface Vlan-interface 2[Switch-Vlan-interface2] ip address 192.168.4.22 255.255.255.0 [Switch-Vlan-interface2] quit6. 使能系统和端口的ndp、ntdp功能[Switch] ndp enable[Switch] ntdp enable[Switch] interface GigabitEthernet 1/0/1[Switch-GigabitEthernet1/0/1] ndp enable[Switch-GigabitEthernet1/0/1] ntdp enable[Switch] interface GigabitEthernet 1/0/3[Switch-GigabitEthernet1/0/3] ndp enable[Switch-GigabitEthernet1/0/3] ntdp enable7. 启动集群功能[Switch] cluster enable8. 进入集群视图[Switch] cluster9. 配置Vlan-interface2为网管接口[Switch-cluster] nm-interface Vlan-interface 210. 配置集群内部使用的IP地址池，起始地址为172.16.0.1，有8个地址[Switch-cluster] ip-pool 172.16.0.1 255.255.255.24811. 配置集群名字，建立集群[Switch-cluster] build aaa12.建立自动集群[aaa_0.Switch-cluster] auto-build13．配置集群内部公用的FTP Server[aaa_0.Quidway-cluster] ftp-server 192.168.4.3SwitchB的配置：1. 使能系统和端口的ndp、ntdp功能[Switch] ndp enable[Switch] ntdp enable[Switch] interface GigabitEthernet 1/0/1 [Switch-GigabitEthernet1/0/1] ndp enable [Switch-GigabitEthernet1/0/1] ntdp enable 2. 启动集群功能[Switch] cluster enableSwitchC的配置：1. 使能系统和端口的ndp、ntdp功能[Switch] ndp enable[Switch] ntdp enable[Switch] interface GigabitEthernet 1/0/3 [Switch-GigabitEthernet1/0/3] ndp enable [Switch-GigabitEthernet1/0/3] ntdp enable 2. 启动集群功能[Switch] cluster enable四、配置关键点：集群成功以后，SwitchA上将自动下发两条number为3998和3999的ACL，SwitchB、SwitchC与SwitchA相连的端口类型自动变化为hybrid端口，并且其管理vlan将自动变化为与SwitchA相同的管理vlan。

H3C S5560X-EI 系列高性能融合以太网交换机产品概述H3C S5560X-EI 系列交换机是杭州华三通信技术有限公司（以下简称H3C 公司）自主开发的三层千兆以太网交换机产品，是为要求具备高性能、高端口密度且易于安装的网络环境而设计的智能型可网管交换机。

基于业界领先的高性能硬件架构和H3C 先进的Commware V7 软件平台开发，同时基于强大的统一交换平台，实现有线无线的无缝融合。

H3C S5560X-EI 系列交换机可集成无线控制功能，实现接入层无线/有线本地转发，消除无线控制带宽瓶颈，扩大无线部署规模，节省用户投资成本。

S5560X-EI 系列以太网交换机提供10/100/1000Base-T 自适应以太网端口或10GE SFP+光口，并通过子卡可支持10GE 电口、40GE QSFP+光口。

在企业网中，可以作为接入设备提供千兆到桌面应用，或作为中小企业的核心；在城域网或者行业用户中，向下可以提供千兆接入最终用户或汇接低端交换机，向上可以通过万兆或40GE 光纤或者链路聚合汇聚到核心交换机。

S5560X-EI 系列以太网交换机支持创新的VxLAN 技术，可以同时支持VxLAN 二三层网关。

S5560X-30C-EI S5560X-54C-EIS5560X-30F-EI S5560X-54F-EIS5560X-30C-PWR-EI S5560X-54C-PWR-EIS5560X-34S-EI S5560X-54S-EIH3C S5560X-EI 系列以太网交换机目前包含如下型号：S5560X-30C-EI：24 个10/100/1000BASE-T 端口（其中8 个combo 口），4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-54C-EI：48 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-30F-EI：24 个SFP 端口（其中8 个combo 口），4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-54F-EI：48 个SFP 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-30C-PWR-EI：24 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-54C-PWR-EI：48 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，1 个端口扩展槽位，2 个风扇模块槽位，2 个电源模块槽位；S5560X-34S-EI：28 个10/100/1000BASE-T 端口（其中4 个combo 口），4 个10G/1G BASE-X SFP+端口，2 个40G QSFP+ 端口；S5560X-54S-EI：48 个10/100/1000BASE-T 端口，4 个10G/1G BASE-X SFP+端口，2 个40G QSFP+端口；产品特点高性能端口扩展能力H3C S5560X-EI 系列交换机主机均固化4 个万兆光端口，提供最高性价比端口组合，实现最低成本的互联方案，满足用户1：1 无收敛网络部署需求；H3C S5560X-EI 系列交换机支持丰富、灵活的端口扩展板卡，包括8 端口万兆光扩展板卡，2 端口万兆光/电接口板卡，以及2 端口40G 扩展板卡，整机最大支持12 个万兆端口或2 个40G 端口，实现高密、高性能端口扩展能力，满足大型网络汇聚或中小网络核心部署需求，以及对于光电混合组网的配置需求。

S5600系列交换机VRRP自动侦测的配置一、组网需求：1.Switch B、E和Switch D、F组成一个VRRP备份组1，虚拟IP地址为192.168.1.10；2.正常情况下，Switch A的数据通过Switch B、E到达Switch C；3.当Switch B、E与Switch C间的链路失效后，Switch D、F自动成为备份组1中的Master，Switch D到Switch C的这条备用链路生效。

二、组网图：三、配置步骤：1．配置Switch B1)创建一个自动侦测组9。

<Switch B> system-view[Switch B] detect-group 92)增加侦测对象10.1.1.4，侦测序号为1。

[Switch B-detect-group-9] detect-list 1 ip address 10.1.1.4[Switch B-detect-group-9] quit3)配置VLAN接口1的IP地址。

[Switch B] interface vlan-interface 1[Switch B-Vlan-interface1] ip address 192.168.1.2 244)在VLAN接口1上启用VRRP，设置虚拟IP地址。

[Switch B-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.1.105)设置Switch B的备份组优先级为110，当侦测组9不可达时将优先级降低20。

[Switch B-Vlan-interface1] vrrp vrid 1 priority 110[Switch B-Vlan-interface1] vrrp vrid 1 track detect-group 9 reduced 202．配置Switch D6)配置VLAN接口1的IP地址。

<Switch D> system-view[Switch D] interface vlan-interface 1[Switch D-Vlan-interface1] ip address 192.168.1.3 247)在VLAN接口1上创建备份组，设置虚拟IP地址。