华为交换机57002700的VLANDHCPACL配置.docVIP

拓扑说明：比较简单的三层环境，防火墙进来后接三层交换机s5700，然后接的几台二层交换机s2700，本文只对几个主要的应用配置做个描述 ? 1. vlan、gvrp相关配置举例： 三层交换机： [5700]vlan 11 创建VLAN11 [5700-vlan11]description xxx 加入描述信息xxx [5700-vlan11]quit [5700]gvrp 要用gvrp的话，全局模式下必须开启gvrp [5700]interface g0/0/23 进入与2层交换机连接的端口准备配置中继 [5700-GigabitEthernet0/0/23]gvrp 中继端口下开启gvrp [5700-GigabitEthernet0/0/23]port link-type trunk 端口类型设置为trunk [5700-GigabitEthernet0/0/23]port trunk allow-pass vlan all 设置允许通过的vlan为所有，也可设为指定的vlan [5700-GigabitEthernet0/0/23]quit 二层交换机： 发现华为上不能批量进入端口，只有通过先创建端口组，再把响应端口加入组的方式来实现批量管理，比如我们要在2700上把千兆口都设为trunk口： [2700]port-group trunk 创建名为turnk的端口组，也可取其他名字。如果已有此名，则会直接进入此端口组 [2700-1-port-group-trunk]group-member g0/0/1 to g0/0/4 宣告组成员为G0/0/1到G0/0/4 [2700-1-port-group-trunk]port link-type trunk 此组设为中继，即G0/0/1到G0/0/4都为中继 [2700-1-port-group-trunk]port trunk allow-pass vlan all 这几步都和三层的配置一样，不同的是我们这里是进行的批量配置 [2700-1-port-group-trunk]gvrp [2700-1-port-group-trunk]quit 下面把相应端口加入vlan，这里我觉得端口组以vlan命名较为合适 [2700]port group vlan11 [2700-1-port-group- vlan11]group-member e0/0/1 to e0/0/4 [2700-1-port-group- vlan11]port link-type access 端口设置为access口 [2700-1-port-group- vlan11]port default vlan 11 把E0/0/1-4口加入vlan11 [2700-1-port-group- vlan11]quit 以上VLAN的配置基本完成。 小结： 1.1要实现GVRP的话，全局和中继端口下都需要开启gvrp； 1.2批量管理端口与cisco和H3C有所不同，需要通过port-group来实现：创建组，加成员端口，然后相关配置。 ? 2. 三层上dhcp设置： [5700]interface vlanif11 [5700- vlanif11]ip address 192.168.1.254 255.255.255.0 设置VLAN接口IP地址 [5700]dhcp server group test 创建名为test的dhcp服务器组 [5700-dhcp-server-group-test]dhcp-server 192.168.1.254 宣告各VLAN的DHCP服务器 [5700- vlanif11]dhcp select relay 在VLAN接口下启用DHCP中继， [5700- vlanif11] dhcp select interface 启用DHCP接口服务池 [5700- vlanif11]dhcp relay server-select test 指定DHCP中继服务组 [5700- vlanif11]dhcp server excluded-ip-address 192.168.1.1 192.168.1.10 设置地址池排除地址 [5700- vlanif11]dhcp server dns-list X.X.X.X 设置DNS地址 ? 3. ACL配置 三步：3.1创建ACL：命令acl number XXXX 3.2 配置规则 3.2应用ACL：命令例子traffic-filter VLAN 11 outbound acl XXXX 设置基于VLAN的ACL，也可设置全局的 ?Tip