通过对Cisco设备、华为设备的学习,我们今天认识另一个主流网络设备的生产厂商——H3C。

博文大纲:
1.H3C简介;
2.H3C产品体系;
3.H3C与Cisco命令对比;
4.H3C基础配置;
5.NAT;
6.策略路由;

1.H3C简介

H3C的前身是华为3COM公司,是华为与美国3COM公司的合资公司,后来由于各种矛盾的产生,华为中止了与3COM公司的合作,而3COM正式更名为“杭州华三通信技术有限公司”,简称“H3C”。

当前数据通信市场主要分为电信运营商和企业网市场,华为一直专注于运营商市场,而H3C主要专注于企业网市场。Cisco的业务则横跨运营商和企业网市场,并在这两个市场上保持一定的领先地位。在运营商市场上华为是Cisco的主要对手,在企业网市场上H3C是Cisco的主要对手。

2.H3C产品体系

经过多年的发展,H3C网络产品线已经具备了业务最全的网络产品,包括全系列路由器、交换机、WLAN、ICG信息通信网关和业务软件产品。

依托在IP技术领域的深厚积累,H3C的产品体系主要包括IP网络产品、IP无限产品、IP安全产品、IP存储产品、IP多媒体产品、IP管理产品和培训产品。本篇博文主要介绍IP网络产品包含的路由系列产品和交换系列产品。

H3C的路由器产品线与Cisco路由器存在许多相似之处,其主要产品系列也都是针对不同网络规模用户而开发的,如针对小型企业的ER系列;针对中型企业的MSR系列;针对大型企业和运营商的SR系列。如图:
H3C产品简介及基础配置命令_第1张图片

其对应的应用环境和主要功能:

  • ER系列路由器:主要应用于中小型企业的宽带接入低端路由器系列,主要定位于以太网、光纤和ADSL WAN接入的SMB市场和政府、企业机构、网络等网络环境;
  • MSR系列路由器:主要应用于大中型企业和集团公司分支机构的额中端路由器系列。该系列路由器集数据、语音、安全、交换和用户开放的业务等于一体,是真正意义上的集成了多业务的路由器产品。这是在企业中应用最广的一类路由器系列,相当于Cisco的ISR系列路由器;
  • SR系列路由器:主要应用于大型企业,或者一些行业用户,如电信、电力、金融、教育、政府机关等万兆高端路由器系列。

HH3C以太网交换机产品线非常齐全,从园区到数据中心、从十万兆到百兆、从高端到低端、从核心层到接入层有许多可选产品方案,可以灵活满足不同层次用户的需求。
其中核心层基本上是路由式交换机,带有强劲的路由功能,代表系列有S10500、S9500E、S7500E、S7500等;
在汇聚层主要是全千兆智能交换机,代表系列主要有S5500-EI/SI、S5510、S5120-EI/SI、S5600等;
在接入层基本是之上行支持千兆以太网技术,下行基本上都是百兆的,代表系列有S3100-EI/SI、S3600EI/SI、S3610、E328、E126等;
最底层的SMB交换机主要用于中小型企业的交换机系列,代表系列和记性有S1000/1200、S1500L/E、S1650、S2100、S5000P、S5000E等;
如图:
H3C产品简介及基础配置命令_第2张图片

除了为广大的园区和企业用户提供全系列的园区以太网交换机产品外,H3C还专门为大中型企业或者互联网企业提供转为数据中心开发的交换产品,如图:
H3C产品简介及基础配置命令_第3张图片
因为数据中心的网络规模一般不打,主要用于互联网或者数据库管理,不是一般交换机就可以随便胜任的,所以在途中列出的交换机系列比较少。规模稍大一些的数据中心网络汇聚层也可以选用核心层的交换机,毕竟这类网络对设备的数据处理性能等各方面要求都非常高。

3.H3C与Cisco命令对比

H3C与Cisco路由器和交换机因属于不同的IOS凭条,所以命令存在差异。

(1)H3C与Cisco路由器命令差异如图:
H3C产品简介及基础配置命令_第4张图片

(2)H3C与Cisco交换机命令差异如图:
H3C产品简介及基础配置命令_第5张图片

4.H3C基础配置

(1)接口配置

 system-view       //进入特权模式
[h3c] interface ethernet 0/0/0      //进入接口
[h3c-ethernet0/0/0] ip address 192.168.10.1 255.255.255.0   //配置接口ip地址
[h3ct-ethernet0/0/0] undo shutdown      //启用接口,默认开启
[h3c-ethernet0/0/0] description to LAN  //接口描述,可选配置
[h3c-ethernet0/0/0]quit     //退出

(2)配置Telnet接入(用户名和密码双人认证)

[h3c]telnet server enable       //默认开启
[h3c]local-user admin           //创建用户admin
[h3c-luser-admin]password cipher 2019.com       //配置密码
[h3c-luser-admin]service-type telnet        //指定服务器类型为telnet
[h3c-luser-admin]authorization-attribute level 3    //指定命令级别为3级
[h3c-luser-admin]quit
[h3ct]user-interface vty 0      //进入vty线路
[h3c-ui-vty 0]authentication-mode scheme    //配置用户认证方式
[h3c-ui-vty0]protocol inbound telnet    //支持telnet
[h3c-ui-vty0]quit

(3)配置静态路由:

[h3c]ip rout-static 172.16.0.0 255.255.0.0 192.168.1.2   //配置静态路由
[h3c]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2          //配置默认路由

(4)配置vlan与Trunk:

[SW]VLAN 2      //创建vlan2
[sw-valn2]name caiwu        //配置vlan2名
[sw-vlan2]port e1/0/3 to e1/0/4 //将端口加入vlan
[sw-vlan2]quit
[sw]interface e1/0/5
[sw-ethernet1/0/5]port access vlan2 
[sw-ethernet1/0/5]quit
[sw]interface e1/0/1
[sw-ethernet1/0/1]port link-type trunk      //指定接口为trunk模式
[sw-ethernet1/0/1]port trunk permit vlan all    //允许所有vlan通过该trunk接口
[sw-ethernet1/0/1]quit

(5)配置ACL:
H3C的ACL分为basic(标准)和advanced(扩展)两类:basic是基本acl编号2000-2999,对源地址控制,advanced是高级acl,编号3000-3999
命令如下:

acl advanced 3000    //创建一个高级ACL
rule 0 permit ip source 192.168.3.0 0.0.0.255  destination any
//允许源地址3.0网段去往任何目标地址

5.NAT

通过NAT设备上静态建立或动态生成的地址映射关系,可以实现内部网络与外部网络IP地址的转换。通常情况下,我们按照地址映射关系的产生方式分为动态地址转换和静态地址转换两类:
(1)静态地址转换:外部网络与内部网络之间的地址映射关系在配置中确定,适用于内部网络与外部网络之间的少量固定访问请求。静态地址转换映射支持两种方式:一对一静态转换映射、网段第网段静态转换映射;
(2)动态地址映射:外部网络与内部网络之间的地址映射关系有报文动态决定。

通常在接口上配置访问控制列表和地址池的关联即可实现动态地址转换。

若直接使用接口的IP地址作为转换后的地址,则配置Easy-IP即可实现动态地址转换。若选择使用地址池中的地址作为转换后的地址,则根据地址转换过程中是否使用端口信息可将动态地址转换分为NO-PAT和NAPT两种方式:

  • NO_PAT为不使用TCP/UDP端口信息实现的多对多地址转换;
  • NAPT为使用TCP/UDP端口信息实现的多对一地址转换;

本次案例主要涉及的NAT主要分为以下两类:
Easy_ip(PAT):直接使用接口的ip地址作为转换后的报文源地址;
Nat_server(静态PAT):将外部地址端口映射到内部服务器端口;

Easy-IP配置命令如下:

acl basic 2001
rule 5 permit source 192.168.2.0 255.255.255.0
int g0/0
ip add 202.202.202.2 255.255.255.0
undo shutdown
nat outbound 2001

Nat_server配置命令如下:

int g0/1
nat server protocol tcp global 200.200.200.3 80 inside 192.168.3.250 80
查看nat转换关系:dis nat session verbose

6.策略路由

与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由是在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变其转发路径的方法。

策略路由通常分为两种:

  • IP单播策略路由;
  • IP组播策略路由;

不管是单播策略路由还是组播策略路由,其配置都需要做两方面的工作:

  • 一是定义哪些是需要使用策略路由的报文;
  • 二是为这些报文指定路由,这可以通过对一个Route-policy的定义来实现;

本案例中涉及单播策略路由,我们对单播策略路由做分析。

IP单播策略路由可以分为接口策略路由和本地策略路由两种:

  • 接口策略路由:在接口视图下配置(应用于报文到达的接口上),作用于到达该接口的报文;
  • 本地策略路由:在系统视图下配置,对本机产生的报文进行策略路由;

策略路由可用于安全、负载分担等目的。对于一般转发和安全等方面的使用需求,大多数情况下使用的是接口策略路由。

IP单播策略路由的配置如下:

  • 创建策略Route-policy;
  • 定义Route-policy的if-match子句;
  • 定义Route-policy的apply子句;
  • 使能/禁止本地策略路由;
  • 使能/禁止接口策略路由;

H3C配置案例参考博文:H3C校园双出口配置案例,可跟做!

———————— 本文至此结束,感谢阅读 ————————