华为交换机3线机房策略路由和QoS的配置

于 2024-05-15 10:37:31 发布
阅读量507 收藏 6
点赞数 4
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/normanhere/article/details/138898789
版权

3线机房的出口交换机的典型配置,注意以下几个方面:
1、内网网关的配置使用一个SVI vlan-interface 多个IP地址 
2、使用PBR加默认路由的静态路由方案
3、使用了NTP流量放大攻击防御技术
4、使用了端口聚合组技术(3层端口,负载均衡)
5、使用了QOS技术的拥塞管理和拥塞避免技术

既然是三线,那么先配置三线互联接口,三线互联接口这个案例是使用三层聚合端口组

[~HUAWEI]interface Eth-Trunk1

[*HUAWEI-Eth-Trunk1] undo portswitch

[*HUAWEI-Eth-Trunk1] description UPLink_YD

[*HUAWEI-Eth-Trunk1] ip address 192.168.1.2 255.255.255.252

[*HUAWEI-Eth-Trunk1] mode lacp-static

[*HUAWEI-Eth-Trunk1] traffic-filter acl DENY-UDP inbound 

[*HUAWEI-Eth-Trunk1]#新建三层接口用于和移动ISP互联,本端IP为192.168.1.2,对端为192.168.1.1并且调用之前写的ACL用于阻止入方向UDP协议的NTP协议,端口号123,可能是为了防止NTP流量放大攻击

[*HUAWEI]interface Eth-Trunk2

[*HUAWEI-Eth-Trunk2] undo portswitch

[*HUAWEI-Eth-Trunk2] description UPLink_DX

[*HUAWEI-Eth-Trunk2] ip address 192.168.11.2 255.255.255.252

[*HUAWEI-Eth-Trunk2] mode lacp-static

[*HUAWEI-Eth-Trunk2] traffic-filter acl DENY-UDP inbound 

[*HUAWEI-Eth-Trunk2]#新建三层接口用于和电信ISP互联,本端IP为192.168.11.2,对端为192.168.11.1并且调用之前写的ACL用于阻止入方向UDP协议的NTP协议,端口号123,可能是为了防止NTP流量放大攻击

[*HUAWEI]interface Eth-Trunk3

[*HUAWEI-Eth-Trunk3] undo portswitch

[*HUAWEI-Eth-Trunk3] description UPLink_WT

[*HUAWEI-Eth-Trunk3] ip address 192.168.22.2 255.255.255.252

[*HUAWEI-Eth-Trunk3] mode lacp-static

[*HUAWEI-Eth-Trunk3] traffic-filter acl DENY-UDP inbound 

[*HUAWEI-Eth-Trunk3]#新建三层接口用于和网通ISP互联,本端IP为192.168.22.2,对端为192.168.22.1并且调用之前写的ACL用于阻止入方向UDP协议的NTP协议,端口号123,可能是为了防止NTP流量放大攻击

将要加入端口组的端口做基本设置

[*HUAWEI]int range  10 1/0/1 to 10 1/0/5

[*HUAWEI-port-group]undo port default vlan 

[*HUAWEI-port-group]undo stp edged-port

[*HUAWEI-port-group]quit

将如下4个10G端口划分到端口组 eth-trunk 1

[*HUAWEI]int range 10GE2/0/1 to 10 2/0/2 10 1/0/1 to 1/0/2 

[*HUAWEI-10GE2/0/1] desc UPLink_YD

[*HUAWEI-10GE2/0/1] eth-trunk 1

将如下4个10G端口划分到端口组 eth-trunk 2

[*HUAWEI]int range 10GE2/0/3 to 10 2/0/4 10 1/0/3 to 1/0/4 

[*HUAWEI-10GE2/0/3] desc UPLink_DX

[*HUAWEI-10GE2/0/3] eth-trunk 

将如下3个10G端口划分到端口组 eth-trunk 3

[*HUAWEI-10GE1/0/4]int 10GE1/0/5 

[*HUAWEI-10GE1/0/5] desc UPLink_WT

[*HUAWEI-10GE1/0/5] eth-trunk 3

[*HUAWEI-10GE2/0/4]int 10GE2/0/5

[*HUAWEI-10GE2/0/5] desc UPLink_WT

[*HUAWEI-10GE2/0/5] eth-trunk 3

[*HUAWEI-10GE2/0/5]commit 

[*HUAWEI-10GE1/0/4]int 10GE1/0/5

[*HUAWEI-10GE1/0/5] desc UPLink_WT

[*HUAWEI-10GE1/0/5] eth-trunk 3

[*HUAWEI-10GE1/0/5]commit 

ACL2012匹配的是源自本地服务器源IP是移动IP

[~HUAWEI]acl number 2012

[*HUAWEI-acl4-basic-2012] rule 0 permit source 1.1.1.0 0.0.0.127

[*HUAWEI-acl4-basic-2012] rule 5 permit source 1.1.1.128 0.0.0.63

ACL2013匹配的是源自本地服务器源IP是网通IP

[*HUAWEI]acl number 2013

[*HUAWEI-acl4-basic-2013] rule 0 permit source 2.2.2.0 0.0.0.127

[*HUAWEI-acl4-basic-2013] rule 5 permit source 2.2.2.128 0.0.0.31

ACL 3012 用来匹配目标为到本地的流量,其中3.3.3.128 255.255.255.128 是本地服务器电信ip地址段

[*HUAWEI]acl number 3012

[*HUAWEI-acl4-advance-3012] rule 5 permit ip destination 1.1.1.0 0.0.0.127 

[*HUAWEI-acl4-advance-3012] rule 10 permit ip destination 1.1.1.128 0.0.0.63

[*HUAWEI-acl4-advance-3012] rule 15 permit ip destination 3.3.3.128 0.0.0.127

[*HUAWEI-acl4-advance-3012] rule 20 permit ip destination 224.0.0.0 0.0.0.255

[*HUAWEI-acl4-advance-3012] rule 40 permit ip destination 2.2.2.0 0.0.0.127 

[*HUAWEI-acl4-advance-3012] rule 45 permit ip destination 2.2.2.128 0.0.0.31

阻止NTP流量

[*HUAWEI]acl name DENY-UDP advance

[*HUAWEI-acl4-advance-DENY-UDP] rule 10 deny udp destination-port eq ntp

[*HUAWEI-acl4-advance-DENY-UDP] rule 65534 permit ip any any 

源IP是移动的走移动下一跳出口,源IP是网通的走网通下一跳出口,其余未匹配的源IP走默认路由,也就是走电信默认路由

[*HUAWEI]traffic classifier LOCAL type or

[*HUAWEI-classifier-LOCAL] if-match acl 3012

[*HUAWEI-classifier-LOCAL]#

[*HUAWEI]traffic classifier UPLink_WT type or

[*HUAWEI-classifier-UPLink_WT] if-match acl 2013

[*HUAWEI-classifier-UPLink_WT]#

[*HUAWEI]traffic classifier UPLink_YD type or

[*HUAWEI-classifier-UPLink_YD] if-match acl 2012

[*HUAWEI-classifier-UPLink_YD]#

[*HUAWEI]traffic behavior LOCAL

[*HUAWEI-behavior-LOCAL]permit

[*HUAWEI]traffic behavior UPLink_WT

[*HUAWEI-behavior-UPLink_WT] redirect load-balance nexthop 192.168.22.1

[*HUAWEI-behavior-UPLink_WT]#

[*HUAWEI]traffic behavior UPLink_YD

[*HUAWEI-behavior-UPLink_YD] redirect load-balance nexthop 192.168.1.1

[*HUAWEI-behavior-UPLink_YD]#

匹配目的为本地的流量的IP precedence 为 0 ,源为移动的IP precedence 为 5,源为联通的IP precedence 为 10,数值越小优先级越高,这里仅仅是给流量打上了标签,待后续设备处理。

MCQ技术配置顺序

https://support.huawei.com/hedex/hdx.do?lib=EDOC110013652931180BSB&docid=EDOC1100136529&lang=zh&v=11&tocLib=EDOC110013652931180BSB&tocV=11&id=ZH-CN_CLIREF_0141121987&tocURL=resources%2525252Fdc%2525252Fclassifier_behavior.html&p=t&fe=1&ui=3&keyword=%25252Bclassifier%25252Bbehavior
 

[*HUAWEI]traffic policy UPLink_YD&WT

[*HUAWEI-trafficpolicy-UPLink_YD&WT] classifier LOCAL behavior LOCAL precedence 0

[*HUAWEI-trafficpolicy-UPLink_YD&WT] classifier UPLink_YD behavior UPLink_YD precedence 5

[*HUAWEI-trafficpolicy-UPLink_YD&WT] classifier UPLink_WT behavior UPLink_WT precedence 10

业务网关为SVI Vlanif3 配置为3线的网关,注意它的sub写法,并在流量入口打上标签

[*HUAWEI]

[*HUAWEI]interface Vlanif3

[*HUAWEI-Vlanif3] ip address 3.3.3.129 255.255.255.128

[*HUAWEI-Vlanif3] ip address 2.2.2.1 255.255.255.128 sub

[*HUAWEI-Vlanif3] ip address 2.2.2.129 255.255.255.224 sub

[*HUAWEI-Vlanif3] ip address 1.1.1.1 255.255.255.128 sub

[*HUAWEI-Vlanif3] ip address 1.1.1.129 255.255.255.192 sub

[*HUAWEI-Vlanif3] traffic-policy UPLink_YD&WT inbound

[*HUAWEI]#

Committing.......done.

            

[~HUAWEI]int range 10 1/0/1 to 10 1/0/5 10 2/0/1 to 10 2/0/5

[~HUAWEI-port-group]qos drr 0 to 4

[*HUAWEI-port-group] qos queue 0 drr weight 65

[*HUAWEI-port-group] qos queue 1 drr weight 5

[*HUAWEI-port-group] qos queue 2 drr weight 10

[*HUAWEI-port-group] qos queue 3 drr weight 15

[*HUAWEI-port-group] qos queue 4 drr weight 5

[*HUAWEI-port-group] qos pq 5 to 7

[*HUAWEI-port-group]

[*HUAWEI-port-group]quit

#所有用于上联ISP的接口qos 拥塞管理机制

[*HUAWEI]ip route-static 0.0.0.0 0.0.0.0 Eth-Trunk2 192.168.11.1

[*HUAWEI]commit 

#默认路由走电信

华为交换机拥塞避免和拥塞管理综合配置案例

https://support.huawei.com/hedex/hdx.do?lib=EDOC110013652931180BSB&docid=EDOC1100136529&lang=zh&v=11&tocLib=EDOC110013652931180BSB&tocV=11&id=ZH-CN_CONCEPT_0141108347&tocURL=resources%2525252Fdc%2525252Fdc_cfg_qos_0151.html&p=t&fe=1&ui=3&keyword=qos%25252Bqueue
 

华为交换机优先级映射缺省配置

https://support.huawei.com/hedex/hdx.do?lib=EDOC110013652931180BSB&docid=EDOC1100136529&lang=zh&v=11&tocLib=EDOC110013652931180BSB&tocV=11&id=ZH-CN_CONCEPT_0141112362&tocURL=resources%2525252Fdc%2525252Fdc_cfg_qos_1004_CE6870EI.html&p=t&fe=1&ui=3&keyword=%2525252525u4f18%2525252525u5148%2525252525u7ea7%2525252525u6620%2525252525u5c04%2525252525u7f3a%2525252525u7701%2525252525u914d%2525252525u7f6e

normanhere
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
S8500系列路由交换机
08-27
华为的S8500系列路由交换机是一款高性能、高可靠性的网络设备,广泛应用于企业级数据中心和园区网络中。这款产品集路由和交换功能于一体,为用户提供高效、灵活的网络解决方案。本文将根据提供的文件名,深入解析...
华为交换机 策略路由配置
xdy762024688的博客
07-25 2399
通过配置重定向,设备将符合流分类规则的报文重定向到指定的下一跳地址。包含重定向动作的流策略只能在全局、接口或VLAN的入方向上应用。
华为交换机策略路由典型配置
最新发布
Richardlygo的博客
04-02 3031
传统的路由转发原理是首先根据报文的目的地址查找路由表,然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由PBR(Policy-Based Routing)就是一种依据用户制定的策略进行数据转发的机制。在S系列交换机上,策略路由通过重定向实现,通过配置策略路由可以将到达接口的符合流分类规则的三层报文重定向到指定的下一跳地址。
华为交换机——配置策略路由(基于IP地址)示例
xw19979790869的博客
12-14 816
公司希望汇聚层Switch上送到核心层设备的报文中,源IP地址为192.168.100.0/24的报文通过高速链路传输,而源IP地址为192.168.101.0/24的报文则通过低速链路传输。# 在Switch上创建编码为3001、3002的高级ACL,规则分别为允许源IP地址为192.168.100.0/24和192.168.101.0/24的报文通过。# 配置Switch上接口GE0/0/1、GE0/0/2和GE0/0/3的接口类型为Trunk,并加入VLAN100和VLAN200。
华为eNSP配置专题-策略路由配置
日拱一卒的博客
10-26 4080
华为eNSP配置专题-策略路由配置
华为交换机——策略路由配置实战
rx316的博客
07-28 2895
华为交换机配置策略路由;ACL;
CloudEngine 16816交换机 快速安装指南
05-06
此外,交换机还具备强大的路由处理能力,能够支持IPv4和IPv6双栈,以及丰富的QoS策略,确保了网络的高效运行。 二、安装准备 在开始安装之前,需要确保以下几点: 1. 检查包装箱内的设备及配件是否齐全,包括交换机...
华为 S3500 系列以太网交换机操作手册
09-19
5. **基本命令操作**:CLI是华为交换机的主要配置工具,用户需要掌握如`display`、`interface`、`vlan`、`ip address`等常用命令,以便进行网络配置和状态查看。 6. **VLAN配置**:S3500支持VLAN(虚拟局域网)功能...
CloudEngine 12804S, 12808S交换机 快速安装指南
05-06
通过CLI,用户可以进行高级网络配置,如VLAN划分、路由设置、QoS策略等。GUI则为非专业人员提供了更直观的操作方式。此外,交换机还可能需要进行系统升级和固件更新,以保持最新的功能和安全性能。 网络连接是...
华为EPON技术简介
04-07
- 内置DBA功能,实现精细化带宽管理,支持QoS策略。 - 支持冗余备份,如系统控制板和电源冗余,提升设备稳定性。 - 提供全面的网管功能,支持带内/带外管理,确保网络运维效率。 **华为EPON OLT规格指标** S6503、S...
华为策略路由-旁挂IPGUARD安全网关
11-23
华为交换机策略路由配置,适合旁挂路由器,安全网关等设备。
5、华为路由器路由策略策略路由配置与管理.docx
07-02
路由策略简介,基本原理,配置路由策略-配置地址前缀列表、配置AS属性过滤器\配置团体属性过滤器
CloudEngine 6850系列数据中心交换机详版彩页-阅读版.pdf
09-23
6. **先进操作系统VRP8**:基于华为新一代VRP8操作系统,交换机具备丰富的数据中心特性,如虚拟化、QoS、安全、IPv4/IPv6双栈等,确保了网络的高效运行和智能化管理。 7. **风道方向的灵活性**:设计上允许用户根据...
网络工程师概念及相关介绍.docx
10-24
此外,了解和掌握特定厂商的产品线,如Cisco或Nortel的交换机和路由器配置,以及相应的高级技术(如VoIP、QoS、ACL等),是成为合格网络工程师的必备条件。 总的来说,网络工程师是一个充满挑战且前景光明的职业,...
社区网络设计方案(1).doc
12-25
网络结构采用双绞线接入,通过单元交换机连接到主节点,再通过光纤至机房。拓扑结构未给出详细描述,但通常会考虑层次化设计,包括接入层、汇聚层和核心层。 在设备选型上,华为3COM提出的解决方案采用三层网络架构...
华为交换机路由器配置策略路由实例
11-22 4344
需求:将指定的网络流量转发到指定的下一跳,而不是匹配路由表。 举例:匹配10.198.245.100访问10.1.0.0/16的流量,将它的下一跳指向10.198.253.146 实现脚本: acl number 3000 #使用ACL匹配需要进行策略路由网络流量 rule 10 permit ip source 10.198.245.100 0 des 10.1.0.0 0.0.255.255 traffic classifier TO-60M #使用分类器
华为交换机配置策略路由
热门推荐
AshQ
06-19 1万+
https://support.huawei.com/enterprise/zh/doc/EDOC1000069432?section=j00f 工作繁重,时间紧迫,先留图流链接。待来日有时间再整理。
华为 策略路由配置命令
m0_65896563的博客
05-11 990
classifier ip10 behavior ip10 分类器IP10为分类器ip10。redirect ip-nexthop 200.1.1.2 定义下一跳。traffic policy ip10-20 交通策略配置IP,与ospf,实现互通。配置策略路由之前先可以互通。
华为交换机基于目的地址策略路由
07-27
华为交换机基于目的地址策略路由,可以通过配置静态路由或者动态路由协议来实现。静态路由是手动配置的路由表项,可以指定目的网络地址和下一跳的地址,用于将数据包转发到正确的目的地。动态路由协议则是通过交换机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值