h3c

H3C VRRP配置详解

VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）是一种容错协议。通常，一个网络内的所有主机都设置一条缺省路由（如下图所示，10.100.10.1），这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA，从而实现了主机与外部网络的通信。当路由器RouterA坏掉时，本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信。

图3-1 局域网组网方案

VRRP就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。我们结合下图来看一下VRRP的实现原理。VRRP将局域网的一组路由器（包括一个Master即活动路由器和若干个Backup即备份路由器）组织成一个虚拟路由器，称之为一个备份组。

图3-2 VRRP组网示意图

这个虚拟的路由器拥有自己的IP地址10.100.10.1（这个IP地址可以和备份组内的某个路由器的接口地址相同），备份组内的路由器也有自己的IP地址（如Master的IP地址为10.100.10.2，Backup的IP地址为10.100.10.3）。局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1，而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master路由器坏掉，Backup路由器将会通过选举策略选出一个新的Master路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。

关于VRRP协议的详细信息，可以参考RFC 2338。

3.2 VRRP配置

VRRP的基本配置包括：

l 添加或删除虚拟IP地址

l 设置虚拟IP地址是否可以被ping通 l 设置备份组的优先级

l 设置备份组的抢占方式和延迟时间 VRRP的高级配置包括：

l 设置备份组的认证方式和认证字 l 设置备份组的定时器 l 设置监视指定接口

l 设置检查VRRP报文的TTL域

3.2.1 设定虚拟IP地址是否可以使用ping命令ping通

本配置任务可以使用户能够使用ping命令来ping通备份组的虚拟IP地址。根据VRRP的标准协议，备份组的虚拟IP地址是无法使用ping命令来ping通的。这时路由器连接的用户无法通过ping命令来判断一个IP地址是否被备份组使用。如果用户将自己的主机IP配置与备份组的虚拟IP地址相同的IP地址，将会使本网段的报文都发送到用户的主机，导致本网段的数据不能被正确转发。 H3C路由器提供给用户如下功能：在进行了相应的配置后，用户将可以使用ping命令ping通备份组的虚拟IP地址。 请在系统视图下进行下列配置。

表3-1 设定虚拟IP地址是否可以使用ping命令ping通 操作 命令

设定虚拟IP地址可以使用ping命令ping通 vrrp ping-enable

设定虚拟IP地址不可以使用ping命令ping通 undo vrrp ping-enable

缺省情况下，用户不能使用ping命令ping通备份组的虚拟IP地址。

3.2.2 添加或删除虚拟IP地址

将一个本网段的IP地址指定到一个虚拟路由器（也称为一个备份组），或将指定到一个备份组的虚拟IP地址从虚拟地址列表中删除。如果不指定删除某一虚拟IP地址，则删除此虚拟路由器上的所有虚拟IP地址。 请在以太网接口视图或桥模板视图下进行下列配置。 表3-2 添加/删除虚拟IP地址 操作 命令

添加虚拟IP地址

vrrp vrid virtual-router-ID virtual-ip virtual-address 删除虚拟IP地址

undo vrrp vrid virtual-router-ID virtual-ip [ virtual-address ]

需要注意的是：如果一个桥组中存在非以太网类型的接口，则不允许在这个桥组所对应的桥模板上配置VRRP。

备份组号virtual-router-ID范围从1到255，虚拟地址可以是备份组所在网段中未被分配的IP地址，也可以是属于备份组某接口的IP地址。对于后者，称拥有这个接口IP地址的路由器为一个地址拥有者（IP Address Owner）。当指定第一个IP地址到一个备份组时，系统会创建这个备份组，以后再指定虚拟IP地址到这个备份组时，系统仅仅将这个地址添加到这个备份组的虚拟IP地址列表中。在对一个备份组进行其它配置之前，必须先通过指定一个虚拟IP地址的命令将这个备份组创建起来。

备份组中最后一个虚拟IP地址被删除后，这个备份组也将同时被删除掉。也就是这个接口上不再有这个备份组，这个备份组的所有配置都不再有效。 & 说明：

l 路由器上每个接口可以同时加入到64个备份组中，每个备份组可配置的虚拟IP地址个数为16个。当配置的虚拟备份组个数多于14个时，要在接口使能混合模式（promiscuous）， 否则会有直连路由不通的情况，使得VRRP备份功能和负载分担功能丢包。

l 当本路由器上的VRRP备份组的状态是master时，支持GRE通道的源IP是VRRP虚IP地址，IKE Peer的本地IP是VRRP虚IP地址。

3.2.3 设置备份组的优先级

VRRP中根据优先级来确定参与备份组的每台路由器的地位，备份组中优先级最高的路由器将成为Master。

优先级的取值范围为0到255（数值越大表明优先级越高），但是可配置的范围最小值是1，最大值是254。优先级0为系统保留给特殊用途来使用，255则是系统保留给IP地址拥有者。

请在以太网接口视图或桥模板视图下进行下列配置。 表3-3 设置备份组的优先级 操作 命令

设置备份组的优先级

vrrp vrid virtual-router-ID priority priority-value 恢复为缺省值

undo vrrp vrid virtual-router-ID priority

需要注意的是：如果一个桥组中存在非以太网类型的接口，则不允许在这个桥组所对应的桥模板上配置VRRP。

缺省情况下，优先级的取值范围为100。备份接口的优先级数值越大则优先级越大。

& 说明：

对于IP地址拥有者，存在配置优先级和运行优先级两种优先级，配置优先级即用vrrp vrid配置的优先级；运行优先级是不可配置的，始终为255。

3.2.4 设置备份组的抢占方式和延迟时间

在非抢占方式下，一旦备份组中的某台路由器成为Master，只要它没有出现故障，其它路由器即使随后被配置更高的优先级，也不会成为Master。如果路由器设置为抢占方式，它一旦发现自己的优先级比当前的Master的优先级高，就会成为Master，相应地，原来的Master将会变成Backup。

在设置抢占的同时，还可以设置延迟时间。这样可以使得Backup延迟一段时间成为Master。其原因是这样的，在性能不够稳定的网络中，Backup可能因为网络堵塞而无法正常收到Master的报文，使用vrrp vrid命令配置了抢占延迟时间后，可以避免因网络的短暂故障而导致的备份路由器的状态频繁转换。 延迟的时间以秒计，范围为0～255。 请在接口视图下进行下列配置。

表3-4 设置和取消备份组的抢占方式和延迟时间

操作 命令

设置备份组的抢占方式和延迟时间

vrrp vrid virtual-router-ID preempt-mode [ timer delay delay-value ] 取消备份组的抢占方式

undo vrrp vrid virtual-router-ID preempt-mode 缺省方式是抢占方式，延迟时间为0。 & 说明：

取消抢占方式，则延迟时间就会自动变为0秒。

3.2.5 设置认证方式及认证字

VRRP提供了两种认证方式，分别是： l SIMPLE：简单字符认证 l MD5：MD5认证

在一个安全的网络中，可以采用缺省值，则路由器对要发送的VRRP报文不进行任何认证处理，而收到VRRP报文的路由器也不进行任何认证就认为是一个真实的，合法的VRRP报文，这种情况下，不需要设置认证字。

在一个有可能受到安全威胁的网络中，可以将认证方式设置为SIMPLE，则发送VRRP报文的路由器就会将认证字填入到VRRP报文中，而收到的VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较，相同则认为是真实的、合法的VRRP报文，否则认为是一个非法的报文，将会丢弃。这种情况下，应当设置长度为不超过8字节的认证字。

在一个非常不安全的网络中，可以将认证方式设置为MD5，则路由器就会利用Authentication Header提供的认证方式和MD5算法来对VRRP报文进行认证。如果以明文形式输入，长度为1～8个字符，如：1234567；如果以密文形式输入，长度必须为24个字符，并且必须是密文形式，如：_(TT8F]Y\\5SQ=^Q`MAF4。 对于没有通过认证的报文将做丢弃处理，并会向网管发送陷阱报文。 请在接口视图下进行下列配置。 表3-5 设置认证方式和认证字 操作 命令

设置认证方式和认证字

vrrp vrid virtual-router-id authentication-mode { md5 key | simple key } 恢复为缺省值

undo vrrp vrid virtual-router-id authentication-mode 缺省认证方式为不进行认证。 & 说明：

一个接口上的备份组要设置相同的认证方式和认证字。

3.2.6 设置VRRP的定时器

VRRP备份组中的Master路由器通过定时（adver-interval）发送VRRP报文来

向组内的路由器通知自己工作正常。如果Backup超过一定时间

（master-down-interval）没有收到Master发送来的VRRP报文，则认为它已经无法正常工作。同时就会将自己的状态转变为Master。

用户可以通过设置定时器的命令来调整Master发送VRRP报文的间隔时间

（adver-interval）。而Backup的master-down-interval的间隔时间大约是adver-interval的3倍。如果网络流量过大或者不同的路由器上的定时器差异等因素，会导致master-down-interval异常到时而导致状态转换。对于这种情况，可以通过将adver-interval的间隔时间延长和设置延迟时间的办法来解决。adver-interval的时间单位是秒。 请在接口视图下进行下列配置。 表3-6 设置VRRP定时器 操作 命令

设置VRRP定时器

vrrp vrid virtual-router-ID timer advertise adver-interval 恢复为缺省值

undo vrrp vrid virtual-router-ID timer advertise

缺省情况下，adver-interval的值是1秒，取值范围从1到255。

3.2.7 设置监视指定接口

VRRP监视接口功能，更好地扩充了备份功能，即不仅在备份组所在的接口出现故障时提供备份功能，而且在路由器的其它接口不可用时，也可以使用备份功能。具体做法是通过设置监视某个接口的命令来实现。当被监视的接口DOWN时，这个接口的路由器的优先级会自动降低一个数额（priority-reduced），于是就会导致备份组内其它路由器的优先级高于这个路由器的优先级，从而使得其它优先级高的路由器转变为Master，达到对这个接口监视的目的。 请在接口视图下进行下列配置。 表3-7 设置和取消监视接口 操作 命令

设置监视指定接口

vrrp vrid virtual-router-ID track interface interface-type interface-number [ reduced priority-reduced ] 取消监视指定接口

undo vrrp vrid virtual-router-ID track [ interface interface-type interface-number ]

缺省情况下，priority-reduced的值为10。

VRRP不仅可以监视物理接口，还可以监视逻辑接口，如VT口、Dialer口等，VT口及Dialer口的UP、DOWN规则为： l 对于MP，绑定VT口的所有PPP链路的IPCP DOWN时，VT口DOWN；如有一条PPP链路的IPCP UP，则VT口UP。 l 对于PPPoE Server，VT口与PPPoE Client之间无任何Session

时，VT口DOWN；如果PPPoE成功创建了一条Session，则VT口UP。

l 对于PPPoE Client，Dialer口与PPPoE Server之间无任何Session时，Dialer口DOWN；如果PPPoE成功创建一条Session，Dialer口UP。 l 对于非拨号的PPPoA，当VT口上所有PPP链路的IPCP DOWN时，VT口DOWN；如果有一条PPP链路的IPCP UP，VT口UP。

l 对于PPPoA Server，当VT口与PPPoA Client之间无任何Session时，VT口DOWN；如果PPPoA成功创建一条Session时，VT口UP。 l 对于PPPoA Client，当Dialer口与PPPoA Server之间无任何Session时，Dialer口DOWN；如果PPPoA成功创建一条Session时，Dialer口UP。

& 说明：

l 当路由器为IP地址拥有者时，不允许对其进行监视接口的配置。 l VRRP监视的VT口与Dialer口仅用于MP、PPPoE、PPPoA应用，不支持普通拨号，如ISDN的Dialer接口。

3.2.8 设置检查VRRP报文的TTL域 请在以太网接口视图下进行下列配置。 表3-8 配置检查VRRP报文的TTL域 操作 命令

配置不检查VRRP报文的TTL域 vrrp un-check ttl

配置检查VRRP报文的TTL域 undo vrrp un-check ttl

缺省情况下，检查VRRP报文的TTL域。

3.3 VRRP显示和调试

在完成上述配置后，在任意视图下执行display命令可以显示VRRP配置后的运行情况，通过查看显示信息验证配置的效果。

在用户视图下，执行debugging命令可以对VRRP进行调试。 表3-9 VRRP显示和调试 操作 命令

显示VRRP的概要信息

display vrrp [ interface type number [ virtual-router-ID ] ] 显示VRRP的详细信息

display vrrp verbose [ interface type number [ vrid virtual-router-ID ] ] 禁止对VRRP报文的调试

undo debugging vrrp packet 使能对VRRP状态的调试 debugging vrrp state

禁止对VRRP状态的调试

undo debugging vrrp state

用户可以通过打开VRRP调试开关的命令来查看VRRP的运行情况。共有两个调试开关，一个是VRRP的报文调试开关（packet），一个是VRRP的状态调试开关（state），缺省情况下是将调试开关关闭。

[S7503]dis ver

H3C Comware Platform Software

Comware software, Version 3.10, Release 3132P02

Copyright(c) 2004-2006 Hangzhou Huawei-3Com Tech. Co., Ltd. All rights reserved.

H3C S7503 uptime is 0 week, 0 day, 22 hours, 15 minutes

SRPG 0: uptime is 0 weeks,0 days,22 hours,15 minutes H3C S7500 with 1 MPC8245 Processor 256M bytes SDRAM

32768K bytes Flash Memory 512K bytes NVRAM Memory PCB Version : VER.C BootROM Version : 527 CPLD Version : 004 Second CPLD Ver : 005

Software Version : S7503-3132P02 Patch Version : None

LPU 1: uptime is 0 weeks,0 days,22 hours,13 minutes H3C S7500 LPU with 1 MPC8241 Processor 128M bytes SDRAM

0K bytes Flash Memory

0K bytes NVRAM Memory PCB Version : VER.B BootROM Version : 530 CPLD Version : 005 Second CPLD Ver : 005

Software Version : S7503-3132P02 Patch Version : None

LPU 2: uptime is 0 weeks,0 days,22 hours,13 minutes H3C S7500 LPU with 1 MPC8241 Processor 128M bytes SDRAM

0K bytes Flash Memory 0K bytes NVRAM Memory PCB Version : VER.C BootROM Version : 530 CPLD Version : 005

Software Version : S7503-3132P02

Patch Version : None

[S7503]dis cur #

sysname S7503 #

domain default enable system #

temperature-limit 0 10 70 temperature-limit 1 10 70 temperature-limit 2 10 70 #

poe power max-value 2400 #

vrrp ping-enable #

radius scheme system

primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain #

domain system

vlan-assignment-mode integer access-limit disable state active

idle-cut disable

self-service-url disable messenger time disable #

local-user backbone

password cipher ewenxlf service-type ssh telnet level 3 #

stp instance 1 root primary stp instance 2 root secondary stp TC-protection enable stp enable

stp region-configuration region-name fuda

instance 1 vlan 100 200 instance 2 vlan 300 400

active region-configuration #

acl number 3000

rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

rule 100 permit ip acl number 3001

rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

rule 20 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

rule 100 permit ip acl number 3002

rule 10 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

rule 100 permit ip #

vlan 1 #

vlan 88

de.ion to_F100_M #

vlan 100

de.ion xingzheng name xingzheng #

vlan 200

de.ion changqu name changqu #

vlan 300

de.ion sushe name sushe

# vlan 400

de.ion netbar name netbar #

interface Vlan-interface88

ip address 192.168.0.252 255.255.255.0 #

interface Vlan-interface100

ip address 192.168.1.254 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.1.1

vrrp vrid 1 priority 120

vrrp vrid 1 preempt-mode timer delay 1 #

interface Vlan-interface200

ip address 192.168.2.254 255.255.255.0 vrrp vrid 2 virtual-ip 192.168.2.1 vrrp vrid 2 priority 120

vrrp vrid 2 preempt-mode timer delay 1 #

interface Vlan-interface300

ip address 192.168.3.254 255.255.255.0 vrrp vrid 3 virtual-ip 192.168.3.1

vrrp vrid 3 preempt-mode timer delay 1 #

interface Vlan-interface400

ip address 192.168.4.254 255.255.255.0 vrrp vrid 4 virtual-ip 192.168.4.1

vrrp vrid 4 preempt-mode timer delay 1 #

interface Aux0/0/0 #

interface M-Ethernet0/0/0 #

interface GigabitEthernet0/0/1 #

interface GigabitEthernet0/0/2 #

interface GigabitEthernet0/0/3 #

interface GigabitEthernet0/0/4 #

interface GigabitEthernet1/0/1 #

interface GigabitEthernet1/0/2 #

interface GigabitEthernet1/0/3 #

interface GigabitEthernet1/0/4 #

interface GigabitEthernet1/0/5 #

interface GigabitEthernet1/0/6 #

interface GigabitEthernet1/0/7

#

interface GigabitEthernet1/0/8 #

interface GigabitEthernet1/0/9 de.ion to_S7502_9 port link-type trunk

port trunk permit vlan 1 100 200 300 400 #

interface GigabitEthernet1/0/10 de.ion to_changqu port access vlan 200 qos

packet-filter inbound ip-group 3001 rule 10 system-index 58 packet-filter inbound ip-group 3001 rule 20 system-index 59 packet-filter inbound ip-group 3001 rule 100 system-index 60 #

interface GigabitEthernet1/0/11 de.ion to_sushe

port access vlan 300 qos

packet-filter inbound ip-group 3002 rule 10 system-index 61 packet-filter inbound ip-group 3002 rule 100 system-index 62 #

interface GigabitEthernet1/0/12 de.ion to_netbar

port access vlan 400 #

interface GigabitEthernet1/0/13 #

interface GigabitEthernet1/0/14 #

interface GigabitEthernet1/0/15 #

interface GigabitEthernet1/0/16 #

interface GigabitEthernet1/0/17

# interface GigabitEthernet1/0/18 #

interface GigabitEthernet1/0/19 #

interface GigabitEthernet1/0/20 #

interface GigabitEthernet2/0/1

stp disable

port access vlan 88 #

interface GigabitEthernet2/0/2 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 1 packet-filter inbound ip-group 3000 rule 20 system-index 2 packet-filter inbound ip-group 3000 rule 100 system-index 3 #

interface GigabitEthernet2/0/3 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 4 packet-filter inbound ip-group 3000 rule 20 system-index 5 packet-filter inbound ip-group 3000 rule 100 system-index 6 #

interface GigabitEthernet2/0/4 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 7 packet-filter inbound ip-group 3000 rule 20 system-index 8 packet-filter inbound ip-group 3000 rule 100 system-index 9 #

interface GigabitEthernet2/0/5 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 10 packet-filter inbound ip-group 3000 rule 20 system-index 11 packet-filter inbound ip-group 3000 rule 100 system-index 12 #

interface GigabitEthernet2/0/6 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 13 packet-filter inbound ip-group 3000 rule 20 system-index 14 packet-filter inbound ip-group 3000 rule 100 system-index 15 # interface GigabitEthernet2/0/7 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 16 packet-filter inbound ip-group 3000 rule 20 system-index 17 packet-filter inbound ip-group 3000 rule 100 system-index 18

#

interface GigabitEthernet2/0/8 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 19 packet-filter inbound ip-group 3000 rule 20 system-index 20 packet-filter inbound ip-group 3000 rule 100 system-index 21 #

interface GigabitEthernet2/0/9 stp edged-port enable 边缘口设置 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 22 packet-filter inbound ip-group 3000 rule 20 system-index 23 packet-filter inbound ip-group 3000 rule 100 system-index 24 #

interface GigabitEthernet2/0/10 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 25 packet-filter inbound ip-group 3000 rule 20 system-index 26 packet-filter inbound ip-group 3000 rule 100 system-index 27 #

interface GigabitEthernet2/0/11 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 28 packet-filter inbound ip-group 3000 rule 20 system-index 29 packet-filter inbound ip-group 3000 rule 100 system-index 30 #

interface GigabitEthernet2/0/12 stp disable

port access vlan 88 qos

packet-filter inbound ip-group 3000 rule 10 system-index 31 packet-filter inbound ip-group 3000 rule 20 system-index 32 packet-filter inbound ip-group 3000 rule 100 system-index 33 #

interface GigabitEthernet2/0/13 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 34 packet-filter inbound ip-group 3000 rule 20 system-index 35 packet-filter inbound ip-group 3000 rule 100 system-index 36

#

interface GigabitEthernet2/0/14 port access vlan 200 qos

packet-filter inbound ip-group 3000 rule 10 system-index 37 packet-filter inbound ip-group 3000 rule 20 system-index 38 packet-filter inbound ip-group 3000 rule 100 system-index 39 #

interface GigabitEthernet2/0/15 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 40 packet-filter inbound ip-group 3000 rule 20 system-index 41 packet-filter inbound ip-group 3000 rule 100 system-index 42 #

interface GigabitEthernet2/0/16

port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 43 packet-filter inbound ip-group 3000 rule 20 system-index 44 packet-filter inbound ip-group 3000 rule 100 system-index 45 #

interface GigabitEthernet2/0/17 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 46 packet-filter inbound ip-group 3000 rule 20 system-index 47 packet-filter inbound ip-group 3000 rule 100 system-index 48 #

interface GigabitEthernet2/0/18 port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 49 packet-filter inbound ip-group 3000 rule 20 system-index 50 packet-filter inbound ip-group 3000 rule 100 system-index 51 #

interface GigabitEthernet2/0/19 port access vlan 100

qos

packet-filter inbound ip-group 3000 rule 10 system-index 52 packet-filter inbound ip-group 3000 rule 20 system-index 53 packet-filter inbound ip-group 3000 rule 100 system-index 54 #

interface GigabitEthernet2/0/20

port access vlan 100 qos

packet-filter inbound ip-group 3000 rule 10 system-index 55 packet-filter inbound ip-group 3000 rule 20 system-index 56 packet-filter inbound ip-group 3000 rule 100 system-index 57 #

interface NULL0 #

ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 preference 60 #

user-interface aux 0

authentication-mode password

set authentication password xxxxxxx user-interface vty 0 4

authentication-mode scheme

------------------------------------------------------------------------------------------------------------- [S7502]dis ver

H3C Comware Platform Software

Comware software, Version 3.10, Release 3135

Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved.

H3C S7502 uptime is 0 week, 0 day, 22 hours, 17 minutes

P12TE 0: uptime is 0 weeks,0 days,22 hours,17 minutes H3C S7500 with 1 MPC8245 Processor 256M bytes SDRAM

32768K bytes Flash Memory 0K bytes NVRAM Memory PCB Version : VER.B BootROM Version : 531 CPLD Version : 005 Second CPLD Ver : 005

Software Version : S7502-3135 Patch Version : None

[S7502]dis cur #

sysname S7502 #

super password level 3 cipher PLP0V73A)D[Q=^Q`MAF4<1!! #

local-server nas-ip 127.0.0.1 key h3c #

domain default enable system #

temperature-limit 0 10 70 #

poe power max-value 2400 #

radius scheme system

primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain #

domain system

vlan-assignment-mode integer access-limit disable state active

idle-cut disable

self-service-url disable messenger time disable #

local-user backbone

password cipher backboneewenxlf service-type ssh telnet level 3 #

stp instance 1 root secondary stp instance 2 root primary stp TC-protection enable stp enable

stp region-configuration region-name fuda

instance 1 vlan 100 200 instance 2 vlan 300 400

active region-configuration #

acl number 3000

rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

rule 20 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

rule 100 permit ip acl number 3001

rule 10 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.4.0 0.0.0.255

rule 20 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0

0.0.0.255

rule 100 permit ip #

vlan 1 #

vlan 88 #

vlan 100

de.ion to_xingzheng name xingzheng #

vlan 200

de.ion to_changqu name changqu #

vlan 300

de.ion to_sushe name sushe #

vlan 400

de.ion to_netbar name netbar

# interface Vlan-interface88

ip address 192.168.0.253 255.255.255.0 #

interface Vlan-interface100

ip address 192.168.1.253 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.1.1

vrrp vrid 1 preempt-mode timer delay 1 #

interface Vlan-interface200

ip address 192.168.2.253 255.255.255.0 vrrp vrid 2 virtual-ip 192.168.2.1

vrrp vrid 2 preempt-mode timer delay 1 #

interface Vlan-interface300

ip address 192.168.3.253 255.255.255.0 vrrp vrid 3 virtual-ip 192.168.3.1 vrrp vrid 3 priority 120

vrrp vrid 3 preempt-mode timer delay 1 #

interface Vlan-interface400

ip address 192.168.4.253 255.255.255.0

vrrp vrid 4 virtual-ip 192.168.4.1 vrrp vrid 4 priority 120

vrrp vrid 4 preempt-mode timer delay 1 #

interface Aux0/0/0 #

interface M-Ethernet0/0/0 #

interface GigabitEthernet0/0/1 stp disable

port access vlan 88 #

interface GigabitEthernet0/0/2 port access vlan 200 #

interface GigabitEthernet0/0/3 #

interface GigabitEthernet0/0/4 #

interface GigabitEthernet0/0/5 #

interface GigabitEthernet0/0/6

# interface GigabitEthernet0/0/7 #

interface GigabitEthernet0/0/8 #

interface GigabitEthernet0/0/9 port link-type trunk

port trunk permit vlan 1 100 200 300 400 #

interface GigabitEthernet0/0/10 de.ion to_changqu port access vlan 200 qos

packet-filter inbound ip-group 3000 rule 10 system-index 1 packet-filter inbound ip-group 3000 rule 20 system-index 2 packet-filter inbound ip-group 3000 rule 100 system-index 3 #

interface GigabitEthernet0/0/11 de.ion to_sushe

port access vlan 300 qos

packet-filter inbound ip-group 3001 rule 10 system-index 4

packet-filter inbound ip-group 3001 rule 20 system-index 5 packet-filter inbound ip-group 3001 rule 100 system-index 6 #

interface GigabitEthernet0/0/12 #

interface GigabitEthernet0/0/13 #

interface GigabitEthernet0/0/14 #

interface GigabitEthernet0/0/15 #

interface GigabitEthernet0/0/16 #

interface NULL0 #

ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 preference 60 #

user-interface aux 0

set authentication password xxxxxx user-interface vty 0 4

authentication-mode scheme #

return

本文来源：https://www.bwwdw.com/article/7oy.html