问

H3C NS-F1000-AI-60

二层链路聚合

23小时前提问

0关注
0收藏，72浏览

zhiliao_MFdVHX

zhiliao_MFdVHX 零段

粉丝：0人关注：0人

问题描述：

我们的客户现在使用的是Fortigate防火墙，想用H3C NS-F1000-AI-60把Fortigate防火墙替换下来。其它设备配置都不变。

Fortigate防火墙配置

公网IP是207.35.121.195 255.255.255.224

带外管理 ip address 10.158.31.129 255.255.255.192

Fortigate 防火墙与华为交换机之间使用 LACP 组建 EtherChannel，并在聚合接口上配置 802.1Q Trunk。有3个vlan需要上网：

interface Vlanif12

ip address 172.16.12.62 255.255.255.192

interface Vlanif20

ip address 172.16.20.62 255.255.255.192

interface Vlanif31

ip address 172.30.31.254 255.255.255.0

我需要怎样配置H3C NS-F1000-AI-60, 能不能给我一个配置模板？

最佳答案

已采纳

刘浩存

刘浩存九段

粉丝：16人关注：1人

这个迁移涉及LACP链路聚合对接、NAT转换、安全策略引用的差异。以下按照H3C Comware 7平台的配置逻辑，给出完整的配置模板和说明。

一、配置前准备

在FortiGate上执行以下命令，确认华为交换机侧的LACP参数，确保迁移后对接一致：

show full-configuration system interface

get system interface physical diagnose netlink aggregate list重点关注：

华为交换机侧的LACP模式（Active/Passive，对应H3C动态聚合）
聚合口的802.1Q Trunk配置
华为交换机侧各VLAN的IP地址

迁移时建议预先配置好H3C防火墙的带外管理口，逐一将业务迁移过去，分步验证。

二、基础系统配置

注意：接口编号请根据H3C设备实际接口编号调整。NS-F1000-AI-60包含14个千兆电口（GE1/0/1～GE1/0/14）、12个千兆光口（GE1/0/15～GE1/0/26）、4个万兆光口（XGE1/0/1～XGE1/0/4）、2个管理口，请根据实际接线情况替换模板中的接口编号。

<H3C> system-view

[H3C] sysname FW-Main # 配置管理口（带外管理，属于Management安全域） [H3C] interface M-GigabitEthernet0/0/0 [H3C-M-GigabitEthernet0/0/0] ip address 10.158.31.129 255.255.255.192 [H3C-M-GigabitEthernet0/0/0] quit # 管理口默认属于Management安全域，管理流量绑定到Management域 [H3C] security-zone name Management [H3C-security-zone-Management] import interface M-GigabitEthernet0/0/0 [H3C-security-zone-Management] quit # 配置管理路由 [H3C] ip route-static 0.0.0.0 0.0.0.0 10.158.31.129三、LACP三层链路聚合 + 802.1Q Trunk配置

用户提到与华为交换机使用LACP组建EtherChannel，需要三层聚合口承载802.1Q子接口。

3.1 创建三层聚合口（Route-Aggregation）

H3C] interface Route-Aggregation 1

[H3C-Route-Aggregation1] description To-Huawei-Switch-LACP [H3C-Route-Aggregation1] link-aggregation mode dynamic [H3C-Route-Aggregation1] quit，H3C的link-aggregation mode dynamic对应LACP动态协商（相当于FortiGate的LACP Active模式），与华为交换机的Active/Passive模式对接均可。

3.2 将物理成员端口加入聚合组

以GE1/0/1和GE1/0/2为例，请根据实际接线调整：

[H3C] interface GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1] port link-mode route # 切换为三层模式 [H3C-GigabitEthernet1/0/1] port link-aggregation group 1 [H3C-GigabitEthernet1/0/1] quit [H3C] interface GigabitEthernet 1/0/2 [H3C-GigabitEthernet1/0/2] port link-mode route [H3C-GigabitEthernet1/0/2] port link-aggregation group 1 [H3C-GigabitEthernet1/0/2] quit3.3 在聚合口上创建802.1Q子接口承载各VLAN

需注意：H3C三层子接口使用vlan-type dot1q vid来终结指定VLAN的802.1Q标签：

# VLAN 12 子接口

[H3C] interface Route-Aggregation 1.12 [H3C-Route-Aggregation1.12] vlan-type dot1q vid 12 [H3C-Route-Aggregation1.12] ip address 172.16.12.62 255.255.255.192 [H3C-Route-Aggregation1.12] quit # VLAN 20 子接口 [H3C] interface Route-Aggregation 1.20 [H3C-Route-Aggregation1.20] vlan-type dot1q vid 20 [H3C-Route-Aggregation1.20] ip address 172.16.20.62 255.255.255.192 [H3C-Route-Aggregation1.20] quit # VLAN 31 子接口 [H3C] interface Route-Aggregation 1.31 [H3C-Route-Aggregation1.31] vlan-type dot1q vid 31 [H3C-Route-Aggregation1.31] ip address 172.30.31.254 255.255.255.0 [H3C-Route-Aggregation1.31] quit3.4 对接参数对照

项目	H3C 配置	对应华为交换机建议
聚合模式	`link-aggregation mode dynamic`	LACP Active
负载分担	可在聚合口视图下设置：`link-aggregation load-sharing mode source-ip dest-ip`	两端配置相同算法即可
VLAN Tag	子接口使用 `vlan-type dot1q vid 12` 命令终结对应VLAN	Trunk口放行VLAN 12, 20, 31

四、公网接口配置与安全域

4.1 公网接口

以GE1/0/3为例（请用实际公网接口编号替换）：

[H3C] interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3] port link-mode route [H3C-GigabitEthernet1/0/3] ip address 207.35.121.195 255.255.255.224 [H3C-GigabitEthernet1/0/3] quit4.2 安全域配置

H3C安全域用于统一管理接口的安全策略，将公网接口加入Untrust域，子接口加入Trust域：

# 将公网接口加入Untrust安全域

[H3C] security-zone name Untrust [H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/3 [H3C-security-zone-Untrust] quit # 将三层聚合口及子接口加入Trust安全域（子接口会自动继承父接口的安全域归属） [H3C] security-zone name Trust [H3C-security-zone-Trust] import interface Route-Aggregation 1 [H3C-security-zone-Trust] import interface Route-Aggregation 1.12 [H3C-security-zone-Trust] import interface Route-Aggregation 1.20 [H3C-security-zone-Trust] import interface Route-Aggregation 1.31 [H3C-security-zone-Trust] quit五、NAT配置

5.1 动态PAT（多VLAN共享公网IP上网）

H3C的nat outbound直接绑定在公网出接口上，无需配置ACL或地址池，自动将所有从该接口发出的流量进行源地址转换：

[H3C] interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3] nat outbound [H3C-GigabitEthernet1/0/3] quit5.2 静态NAT/端口映射（如有需要）

如果FortiGate上有VIP（端口映射）配置，对应H3C的nat server：

# 示例：将公网IP 207.35.121.195 的TCP 443端口映射到内网172.16.12.10的443

[H3C] interface GigabitEthernet 1/0/3 [H3C-GigabitEthernet1/0/3] nat server protocol tcp global 207.35.121.195 443 inside 172.16.12.10 443 [H3C-GigabitEthernet1/0/3] quit具体映射参数需根据FortiGate上原有VIP配置逐条转换。

六、路由配置

H3C防火墙需要配置各VLAN的回程路由和默认路由。静态路由默认优先级为60，直连路由优先级为0。

6.1 默认路由指向公网

[H3C] ip route-static 0.0.0.0 0.0.0.0 207.35.121.193

公网下一跳地址207.35.121.193为207.35.121.192/27网段的网关地址（该网段内第一个可用IP），请根据运营商实际网关地址修改。

6.2 内网回程路由（根据实际网络情况配置）

# 如果防火墙后面还有三层交换机连接其他网段，需要配置回程路由

[H3C] ip route-static 172.16.0.0 255.255.0.0 172.16.12.1 [H3C] ip route-static 172.30.0.0 255.255.0.0 172.30.31.1七、安全策略配置

H3C的安全策略基于安全域间（Interzone）控制业务流，需要先创建安全策略并放通相应流量。

7.1 启用安全策略

[H3C] undo security-policy disable

7.2 配置域间安全策略

# 创建安全策略规则：Trust → Untrust 允许所有

[H3C] security-policy ip [H3C-security-policy-ip] rule name Trust_to_Untrust [H3C-security-policy-ip-rule-Trust_to_Untrust] source-zone Trust [H3C-security-policy-ip-rule-Trust_to_Untrust] destination-zone Untrust [H3C-security-policy-ip-rule-Trust_to_Untrust] source-ip any [H3C-security-policy-ip-rule-Trust_to_Untrust] destination-ip any [H3C-security-policy-ip-rule-Trust_to_Untrust] action pass [H3C-security-policy-ip-rule-Trust_to_Untrust] quit # 创建安全策略规则：Trust → Trust（域内互通） [H3C-security-policy-ip] rule name Trust_to_Trust [H3C-security-policy-ip-rule-Trust_to_Trust] source-zone Trust [H3C-security-policy-ip-rule-Trust_to_Trust] destination-zone Trust [H3C-security-policy-ip-rule-Trust_to_Trust] action pass [H3C-security-policy-ip-rule-Trust_to_Trust] quit # 允许Local域访问Trust域（防火墙自身访问内部网络） [H3C-security-policy-ip] rule name Local_to_Trust [H3C-security-policy-ip-rule-Local_to_Trust] source-zone Local [H3C-security-policy-ip-rule-Local_to_Trust] destination-zone Trust [H3C-security-policy-ip-rule-Local_to_Trust] action pass [H3C-security-policy-ip-rule-Local_to_Trust] quit [H3C-security-policy-ip] quit7.3 放通管理流量

[H3C] security-policy ip

[H3C-security-policy-ip] rule name Mgmt_to_Local [H3C-security-policy-ip-rule-Mgmt_to_Local] source-zone Management [H3C-security-policy-ip-rule-Mgmt_to_Local] destination-zone Local [H3C-security-policy-ip-rule-Mgmt_to_Local] action pass [H3C-security-policy-ip-rule-Mgmt_to_Local] quit [H3C-security-policy-ip] quit