華爲quidway5700&2700的VLAN、DHCP、ACL配置

最近在工作中配置了幾臺華爲的設備。之前也沒配過，有些地方的感覺和思路跟cisco和H3C的配置還是有點不一樣。本想找點配置實例，但網上例子不好找，找到的大部分命令也不一樣，關鍵是華爲官網的一些說明文檔直接下載不起，都報404錯誤，汗一個。那就自己把配置都記錄下來吧：

 

拓撲說明：比較簡單的三層環境，防火牆進來後接三層交換機s5700，然後接的幾臺二層交換機s2700，本文只對幾個主要的應用配置做個描述

 

1. vlan、gvrp相關配置舉例：

三層交換機：

[5700]vlan 11          創建VLAN11

[5700-vlan11]description xxx  加入描述信息xxx

[5700-vlan11]quit

[5700]gvrp             要用gvrp的話，全局模式下必須開啓gvrp

[5700]interface g0/0/23   進入與2層交換機連接的端口準備配置中繼

[5700-GigabitEthernet0/0/23]gvrp  中繼端口下開啓gvrp

[5700-GigabitEthernet0/0/23]port link-type trunk  端口類型設置爲trunk

[5700-GigabitEthernet0/0/23]port trunk allow-pass vlan all  設置允許通過的vlan爲所有，也可設爲指定的vlan

[5700-GigabitEthernet0/0/23]quit

二層交換機：

發現華爲上不能批量進入端口，只有通過先創建端口組，再把響應端口加入組的方式來實現批量管理，比如我們要在2700上把千兆口都設爲trunk口：

[2700]port-group trunk 創建名爲turnk的端口組，也可取其他名字。如果已有此名，則會直接進入此端口組

[2700-1-port-group-trunk]group-member g0/0/1 to g0/0/4  宣告組成員爲G0/0/1到G0/0/4

[2700-1-port-group-trunk]port link-type trunk 此組設爲中繼，即G0/0/1到G0/0/4都爲中繼

[2700-1-port-group-trunk]port trunk allow-pass vlan all 這幾步都和三層的配置一樣，不同的是我們這裏是進行的批量配置

 [2700-1-port-group-trunk]gvrp

[2700-1-port-group-trunk]quit

下面把相應端口加入vlan，這裏我覺得端口組以vlan命名較爲合適

[2700]port group vlan11

[2700-1-port-group- vlan11]group-member e0/0/1 to e0/0/4

[2700-1-port-group- vlan11]port link-type access  端口設置爲access口

[2700-1-port-group- vlan11]port default vlan 11   把E0/0/1-4口加入vlan11

[2700-1-port-group- vlan11]quit

以上VLAN的配置基本完成。

小結：

1.1要實現GVRP的話，全局和中繼端口下都需要開啓gvrp；

1.2批量管理端口與cisco和H3C有所不同，需要通過port-group來實現：創建組，加成員端口，然後相關配置。

 

2. 三層上dhcp設置：

[5700]interface vlanif11

[5700- vlanif11]ip address 192.168.1.254 255.255.255.0 設置VLAN接口IP地址

[5700]dhcp server group test 創建名爲test的dhcp服務器組

[5700-dhcp-server-group-test]dhcp-server 192.168.1.254 宣告各VLAN的DHCP服務器

[5700- vlanif11]dhcp select relay 在VLAN接口下啓用DHCP中繼，

[5700- vlanif11] dhcp select interface 啓用DHCP接口服務池

[5700- vlanif11]dhcp relay server-select test 指定DHCP中繼服務組

[5700- vlanif11]dhcp server excluded-ip-address 192.168.1.1 192.168.1.10 設置地址池排除地址

[5700- vlanif11]dhcp server dns-list X.X.X.X 設置DNS地址

 

3. ACL配置

三步：3.1創建ACL：命令acl number XXXX

      3.2 配置規則

      3.2應用ACL：命令例子traffic-filter VLAN 11 outbound acl XXXX  設置基於VLAN的ACL，也可設置全局的

 Tips:交換機中的COMBO口的說明
　　COMBO，在交換機是指光電覆用的意思。Combo口是指交換機設備面板上的兩個以太網端口（通常一個是光口一個是電口），而在設備內部只有一個轉發端口。Combo電口與其對應的光口在邏輯上是光電覆用的，用戶可根據實際組網情況選擇其中的一個使用，但兩者不能同時工作，當激活其中的一個端口時，另一個端口就自動處於禁用狀態。