h3c交换机上网网络配置

十二月 31, 2025 / 200 / 2阅读 / 0评论

目标:让内网主机通过核心交换机访问互联网,即交换机将未知目的地流量转发给防火墙(防火墙负责 NAT 和上网)。

核心配置:在交换机上配置默认静态路由(default route),下一跳指向防火墙 IP。

配置步骤(在 IRF Master 上执行)

进入系统视图

配置默认路由(指向防火墙):

[IRF] ip route-static 0.0.0.0 0.0.0.0 10.33.100.1

这条路由表示:所有未知目的地(包括互联网)流量,下一跳发给防火墙 10.33.100.1。

可选)如果端口是 Access/Trunk,且流量通过 VLAN 接口

确保 VLAN 接口有 IP(与防火墙同网段):


[H3C]vlan 100
[H3C-vlan100]des
[H3C-vlan100]description wan
[H3C-vlan100]quit

[IRF] interface Vlan-interface 100   # 假设 VLAN 100
[IRF-Vlan-interface100] ip address 10.33.100.254 255.255.254.0
[IRF-Vlan-interface100] quit

端口配置(如果未配置):

[IRF] interface GigabitEthernet 1/0/1
[IRF-GigabitEthernet1/0/1] port link-type access   # 或 trunk/hybrid,根据需求
[IRF-GigabitEthernet1/0/1] port access vlan 100   # 如果 access
[IRF-GigabitEthernet1/0/1] quit
把堆叠交换机的两个口都加入,可以形成冷备。
[IRF] interface GigabitEthernet 2/0/1
[IRF-GigabitEthernet1/0/1] port link-type access   # 或 trunk/hybrid,根据需求
[IRF-GigabitEthernet1/0/1] port access vlan 100   # 如果 access
[IRF-GigabitEthernet1/0/1] quit

保存配置

[IRF] save f

验证

查看路由表:

<IRF> display ip routing-table
# 应看到默认路由:Destination 0.0.0.0/0,NextHop 10.33.100.1

从交换机 Ping 互联网(测试连通性):

<IRF> ping 8.8.8.8

  • 内网主机测试:主机默认网关指向交换机对应 VLAN 接口 IP(例如 10.33.100.254),然后访问互联网。

H3C 核心交换机(IRF)配置 VLAN 10 + DHCP 服务 + 上网

需求总结

  • 新建 VLAN 110

  • 将端口 1/0/10-1/0120 加入 VLAN 110(作为 Access 端口)

  • 在 VLAN 110 上启用 DHCP Server,地址池为 10.33.110.0/23(即 10.33.110.0 - 10.33.120.255)

  • VLAN 110 下挂的 PC 自动获取 IP,并能通过防火墙上网(利用您之前已配置的默认路由)

前提

  • 您的 IRF 堆叠已正常运行

  • 之前已配置默认路由指向防火墙(ip route-static 0.0.0.0 0.0.0.0 10.33.100.1),这样所有 VLAN 的流量都能上网

完整配置命令(在 IRF Master 上执行)

text

<IRF> system-view
[IRF] vlan 110                              # 创建 VLAN 10
[IRF-vlan10] name PC-VLAN110                # 可选:给 VLAN 起个名字,便于管理
[IRF-vlan10] quit

# 配置端口 1/0/10 - 1/0/20 为 Access 类型,加入 VLAN 10
[IRF] interface range GigabitEthernet 1/0/10 to GigabitEthernet 1/0/20
[IRF-GigabitEthernet1/0/10] port link-type access
[IRF-GigabitEthernet1/0/10] port access vlan 110
[IRF-GigabitEthernet1/0/10] description PC-VLAN110   # 可选:加描述
[IRF-GigabitEthernet1/0/10] quit

# 配置端口 2/0/10 - 2/0/20 为 Access 类型,加入 VLAN 10
[IRF] interface range GigabitEthernet 2/0/10 to GigabitEthernet 2/0/20
[IRF-GigabitEthernet1/0/10] port link-type access
[IRF-GigabitEthernet1/0/10] port access vlan 110
[IRF-GigabitEthernet1/0/10] description PC-VLAN110   # 可选:加描述
[IRF-GigabitEthernet1/0/10] quit

# 配置 VLAN 110 三层接口 IP(作为 DHCP 网关)
[IRF] interface Vlan-interface 110
[IRF-Vlan-interface10] ip address 10.33.110.1 255.255.254.0   # 网关建议用 .1 或 .254
[IRF-Vlan-interface10] description Gateway-for-VLAN110
[IRF-Vlan-interface10] quit

# 启用全局 DHCP 服务
[IRF] dhcp enable                          # 全局开启 DHCP

# 配置 VLAN 110 的 DHCP 地址池
[IRF] dhcp server ip-pool vlan110           # 地址池名称,可自定义
[IRF-dhcp-pool-vlan10] network 10.33.110.0 mask 255.255.254.0
[IRF-dhcp-pool-vlan10] gateway-list 10.33.110.1              # 网关指向 VLAN 接口 IP
[IRF-dhcp-pool-vlan10] dns-list 223.5.5.5 114.114.114.114     # DNS,可根据实际修改
[IRF-dhcp-pool-vlan10] expired day 3 hour 0      # 可选:租期 3 天
[IRF-dhcp-pool-vlan10] quit

# 将 DHCP 池应用到 VLAN 110 接口(必须)
[IRF] interface Vlan-interface 110
[IRF-Vlan-interface10] dhcp server apply ip-pool vlan110
[IRF-Vlan-interface10] quit

# 保存配置
[IRF] save

配置说明

  • 网段:10.33.110.0/23 = 10.33.110.0 ~ 10.33.120.255,可用地址 10.33.110.1 ~ 10.33.120.254

  • 网关:这里设为 10.33.110.1(推荐用低地址作为网关)

  • 上网能力:由于交换机已有默认路由指向防火墙,VLAN 110 的流量会自动走默认路由 → 防火墙 → 上网,无需额外配置

验证命令

text

<IRF> display vlan 110                              # 查看 VLAN 110
<IRF> display interface Vlan-interface 110          # 查看三层接口 IP
<IRF> display dhcp server pool vlan110              # 查看 DHCP 池配置
<IRF> display dhcp server statistics               # 查看 DHCP 分配统计
<IRF> display ip routing-table                     # 确认默认路由存在

PC 测试

  • 将电脑接到 1/0/10 端口

  • 设置为自动获取 IP

  • 正常情况下会获得 10.33.110.x/23 的地址,网关 10.33.110.1,DNS 已配置

  • 可以 ping 10.33.110.1 → ping 防火墙 10.33.100.1 → ping 8.8.8.8 → 上网正常

如果您想为 VLAN 110 预留某些 IP 地址(例如给服务器静态用),或者需要排除某些地址段,可以在 dhcp-pool 中加 forbidden-ip 命令。

实际配置示例(基于您之前的 VLAN 110 地址池 10.33.110.0/23)

假设您想:

  • 排除 10.33.110.1 ~ 10.33.110.10(给网关、服务器等用)

  • 排除 10.33.110.200 ~ 10.33.110.250(预留给其他静态设备)

配置命令如下(在 IRF Master 上执行):

text

<IRF> system-view
[H3C]dhcp server forbidden-ip 10.33.110.1 10.33.110.20
[H3C]dhcp server forbidden-ip 10.33.110.200 10.33.110.250
# 保存配置
[IRF] save

最后一定要在上级路由器或者防火墙上设置静态路由和扩展 NAT ACL 以包含新网段

假设路由器与三层交换机直连的接口(或三层聚合接口、VLAN 接口)IP 为 10.33.100.1/24(根据您之前的配置)。

进入系统视图,添加一条静态路由:

text

system-view
[H3C] ip route-static 10.33.110.0 255.255.254.0 10.33.100.254

说明:

  • 10.33.110.0 255.255.254.0:目的网段(VLAN 110 网段)

  • 10.33.100.254:下一跳地址,即三层交换机与路由器直连链路的交换机侧 IP(请根据实际替换)

如果您使用的是三层聚合口(Route-Aggregation)或单独物理口直接配的 10.33.100.1,则下一跳就是交换机在那条链路上的 IP。

保存配置:

text

[H3C] save

2. 在下挂的三层交换机上配置(必须)

在三层交换机(假设也是 H3C 或类似 Comware 系统)上,需要让交换机知道去互联网的流量走路由器。

最简单方式:配置默认路由指向路由器

text

system-view
[SW] ip route-static 0.0.0.0 0.0.0.0 10.33.100.1

(10.33.100.1 即路由器的内网侧 IP)

这样,VLAN 110 的主机 → 三层交换机(网关 10.33.100.254) → 默认路由 → 路由器 10.33.100.1 → NAT 上网。

完整流量路径示例

  • VLAN 110 主机(例如 10.33.110.10)访问互联网:

    1. 源 IP 10.33.110.10 → 目的 8.8.8.8,送往默认网关 10.33.110.254(三层交换机)

    2. 三层交换机查路由表,发现默认路由下一跳 10.33.100.1,转发给路由器

    3. 路由器收到后,源地址属于内网(已配置 ACL 2000 匹配 10.33.110.0/23,但需扩展)

重要补充:扩展 NAT ACL 以包含新网段

您之前的 NAT 只匹配了 10.33.100.0/23,现在多了 10.33.110.0/23 网段,必须把 ACL 扩大,否则该网段流量不会被 NAT,无法上网。

修改 ACL 2000:

text

[H3C] acl number 2000
[H3C-acl-basic-2000] undo rule 1   // 先删除旧规则(如果有)
[H3C-acl-basic-2000] rule 1 permit source 10.33.110.0 0.0.1.255   // 通配符掩码对应 /23
[H3C-acl-basic-2000] quit

或者更简洁:创建一个更大的 ACL 包含两个网段(如果后续还有其他内网段也可继续添加)。

验证命令(路由器上)

text

display ip routing-table          // 查看是否出现 10.33.10.0/23 的静态路由
display acl 2000                  // 查看 ACL 是否包含新网段
display nat session               // 上网后查看是否有该网段的 NAT 会话

完成以上配置后,VLAN 110 网段即可通过路由器 NAT 上网。