精华内容
下载资源
问答
  • 华为vlan配置

    万次阅读 多人点赞 2018-06-11 21:50:15
    一、实现同个vlan,不同网段的主机互通1、拓扑图2、案例LSW1交换机配置1)任意创建vlan,这里演示vlan100[Huawei]vlan 1002)进入vlan100配置IP,注意第二个IP后面加sub[Huawei]interface Vlanif 100 [Huawei-Vlanif...

    介绍

    本实验全部使用华为模拟器eNSP进行完成。

    一、实现同个vlan,不同网段的主机互通

    1、拓扑图


    2、案例LSW1交换机配置
    1)任意创建vlan,这里演示vlan100
    [Huawei]vlan  100
    2)进入vlan100配置IP,注意第二个IP后面加sub
    [Huawei]interface  Vlanif  100
    [Huawei-Vlanif100]ip address  192.168.1.254 24	
    [Huawei-Vlanif100]ip address  192.168.2.254 24 sub 
    3)配置PC所连的交换机接口为vlan100,实现通信
    [Huawei]interface  GigabitEthernet  0/0/2
    [Huawei-GigabitEthernet0/0/2]port link-type access 	
    [Huawei-GigabitEthernet0/0/2]port default vlan 100
    [Huawei]interface  GigabitEthernet  0/0/3
    [Huawei-GigabitEthernet0/0/3]port link-type access 
    [Huawei-GigabitEthernet0/0/3]port default vlan  100
    3、测试192.168.1.1 ping 192.168.2.1通信正常


    二、不同vlan的主机二层互通(hybrid端口应用)

    1、拓扑图


    2、hybrid端口配置介绍


    3、案例配置
    1)LSW1划分vlan,加入端口。
    [LSW1]vlan  10
    [LSW1]interface  GigabitEthernet  0/0/2
    [LSW1-GigabitEthernet0/0/2]port link-type access	
    [LSW1-GigabitEthernet0/0/2]port default vlan 10
    2)LSW2同理
    [LSW2]vlan  100
    [LSW2]interface  GigabitEthernet  0/0/2
    [LSW2-GigabitEthernet0/0/2]port link-type access
    [LSW2-GigabitEthernet0/0/2]port default  vlan  100
    3)LSW1配置hybrid接口,数据包出交换机的时候移除标签后再转发,当接收对端发送过来的数据包就打上默认PVID号。
    [LSW1]interface  GigabitEthernet  0/0/1
    [LSW1-GigabitEthernet0/0/1]port link-type hybrid
    [LSW1-GigabitEthernet0/0/1]port hybrid  pvid vlan 10
    [LSW1-GigabitEthernet0/0/1]port hybrid untagged vlan 10
    4)LSW2同理
    [LSW2]interface  GigabitEthernet  0/0/1
    [LSW2-GigabitEthernet0/0/1]port link-type  hybrid
    [LSW2-GigabitEthernet0/0/1]port hybrid pvid vlan  100
    [LSW2-GigabitEthernet0/0/1]port hybrid untagged vlan 100
    4、测试192.168.1.2 ping  192.168.1.1,通信正常。




    展开全文
  • 了解华为VLAN配置

    2021-01-15 21:06:19
    文章目录前言VLAN配置思路1 交换机上创建vlan2 交换机上的各个接口划分到对应的vlan中3 trunk干道—中继干道4 VLAN间路由例例:关于华为设备vlan接口的类型问题access:只能允许一个vlan进或出;trunk :可以允许多...

    VLAN


    前言

    第二天HCIP


    企业网三层架构:
    接入层-提供端口密度,用于用户的就近接入
    汇聚层(分布层)— 流量的聚合
    核心层 高速转发—路由-NAT

    VLAN

    虚拟局域网 逻辑的将一个广播域切分为多个;

    配置思路

    1 交换机上创建vlan

    在这里插入图片描述

    编号0-4095 4096个 其中1-4094可用

    12位二进制构成

    默认存在VLAN1,且默认的所有接口属于vlan1

    [Huawei]vlan 2
    [Huawei-vlan2]q
    [Huawei]vlan 3
    [Huawei-vlan2]q
    [Huawei]vlan batch 5 to 10 15 to 20 批量创建
    [Huawei]display vlan
    

    在这里插入图片描述

    2 交换机上的各个接口划分到对应的vlan中

    将PC1 2 划分到vlan 2

    PC 3 4划分到vlan 3

    先将该接口定义为接入模式
    [Huawei]interface Ethernet0/0/1
    [Huawei-Ethernet0/0/1]port link-type access   
    
    再将该接口划分到对于的vlan中
    [Huawei-Ethernet0/0/1]port default vlan 2    
    
    批量进入接口,进行批量的划分
    [Huawei]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4 Ethernet 0/0/10 to Ethernet 0/0/20
    

    在这里插入图片描述
    在这里插入图片描述
    此时,四个电脑就已经不在同一个广播域

    MAC地址 接口 vlan
    PC1 E0/0/1 2
    PC2 E0//0/2 2
    PC3 E0/0/3 3
    PC4 E0//0/4 3

    3 trunk干道—中继干道

    在这里插入图片描述

    不属于任何一个vlan;承载所有vlan的流量转发;

    具有标记(封装VLANID)和识别(读取,解封装VLANID)的能力;相当于贴标签

    定义接口为trunk模式;
    
    [sw1]interface GigabitEthernet 0/0/1
    [sw1-GigabitEthernet0/0/1]port link-type trunk  
    

    华为设备,默认trunk干道仅允许VLAN1通过;

    需要手工添加通过列表

    [sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
    

    在这里插入图片描述

    Vlan ID标记协议—802.1Q —DOT1.Q

    4 VLAN间路由

    路由器子接口(单臂路由)
    负载很大,效率低。

    多层交换机(SVI)

    在这里插入图片描述
    如图:将各个接口划分到对应的vlan中,问192.168.1.1与192.168.1.2能不能通?

    1.1ping1.2,ARP包,源IP1.1目标IP1.2,源MAC PC7 目标MAC 全FF,到第一个交换机接口进行洪泛。这里的接口模式是access,access接口模式模式不可能给数据包贴标签。(电脑收的包里面不能有标签)进入第二个交换机进行洪泛,然后就可到达1.2.

    例:

    在这里插入图片描述
    问:如图规划,lsw5没有划分vlan,PC7PC8是否通?

    [sw3]vlan 2
    [sw3-vlan2]
    [sw3-vlan2]int e0/0/1
    [sw3-Ethernet0/0/1]port link-type access
    [sw3-Ethernet0/0/1]port default vlan 2
    [sw3-Ethernet0/0/1]int e0/0/2
    [sw3-Ethernet0/0/2]port link-type trunk
    [sw3-Ethernet0/0/2]
    [sw3-Ethernet0/0/2]port trunk allow	
    [sw3-Ethernet0/0/2]port trunk allow-pass vlan all
    
    
    [sw4]int e0/0/1
    [sw4-Ethernet0/0/1]port link-type access
    
    [sw4-Ethernet0/0/1]port default vlan 3
    [sw4-Ethernet0/0/1]int e0/0/2
    [sw4-Ethernet0/0/2]port link-type trunk
    
    [sw4-Ethernet0/0/2]port trunk allow-pass vlan all
    
    [sw5]int e0/0/1
    [sw5-Ethernet0/0/1]port link-type trunk
    [sw5-Ethernet0/0/1]
    [sw5-Ethernet0/0/1]port trunk allow-pass vlan all
    
    [sw5-Ethernet0/0/1]int e0/0/2
    [sw5-Ethernet0/0/2]port link-type trunk
    
    [sw5-Ethernet0/0/2]port trunk allow-pass vlan all
    

    使用PC7pingPC8没有通(不知道对不对)
    在这里插入图片描述

    关于华为设备vlan接口的类型问题

    在这里插入图片描述

    • 1、华为交换机内部转发的流量必须存在VLAN 封装; (这个包在华为交换机内部就必须有标签,从对应access接口出去的时候把对应的标签脱离掉,但是走trunk的话就不剥离)

    思科的是若接口是vlan2,带vlan2 标签的数据包到达vlan2接口,剥离标签进入 交换机。若带vlan3标签的数据包到达vlan2接口,这个接口不让进。

    • 2、PC接收到数据包不能存在VLAN封装,否则丢弃流量;

    • 3、若交换机的接口,接收到一个带VLAN封装的数据包时,将先查看该接口的允许列表;若表中允许即可进入;若表中没有记录将拒绝该流量;

    [sw1]display  port vlan active   关注接口的vlan允许列表
    
    • 4、当一个数据包进入交换机接口时;

      交换机先关注该数据包是否携带VLAN 封装;

      若带,参照第三条;

      若没有携带vlan封装;将封装该接口的PVID;PVID指(进入该端口的报文如果没有打vlan id就按pvid的值打上)

    • 5、当一个数据包从交换机接口转出时;

      先关注该接口的允许列表,不存在记录不能转出;

      存在记录可以转出,但转出时还需要关注允许列表中的字母T=携带封装转出,U=不携带封装转出

    • 6、定义允许列表
      在这里插入图片描述

    [sw1]interface Eth0/0/1
    [sw1-Ethernet0/0/1]port link-type ?   
    

    选择不同的接口类型,管理员将具备不同的配置权限

     access        Access port
      hybrid        Hybrid port
      trunk         Trunk port
    
    access:只能允许一个vlan进或出;

    修改该接口的(default)默认vlan;及修改了允许列表和PVID;

    [sw1-Ethernet0/0/1]port link-type access
    修改PVID
    [sw1-Ethernet0/0/1]port default vlan 5  
    

    在一个ACCESS接口配置该指令
    导致该接口的允许列表仅允许vlan5的流量进或出;同时该接口的pvid修改为vlan5;
    在这里插入图片描述
    1交换机出的时候VLAN list允许1出,不标记,标签脱离,到交换机2进的时候不标记,看pvid,pvid是1,打上vlan1的封装。

    另外没有定义转出时是否携带封装的权限—access接口转出时只能是U;(不携带封装)
    注:可以理解为cisco的access,就是将一个接口固定的工作在一个vlan中;

    trunk :可以允许多个vlan进或出;

    也可以修改PVID;但不能修改字母,除PVID外的vlan,均字母为T;

    修改允许列表,默认仅允许vlan1;
    [sw1-Ethernet0/0/9]port trunk allow-pass vlan 5 to 10
    

    在这里插入图片描述

    修改PVID,默认为vlan 1[sw1-Ethernet0/0/9]port trunk pvid 2 
    

    注:可以理解为cisco的trunk,所有vlan通过时正常均携带vlan封装,pvid类似native vlan,不携带vlan封装;但注意,修改pvid时,接口默认允许还是仅允许vlan1,故需要同时去修改允许列表;

    Hybrid:默认所有接口属于该类型 ;(超级管理员权限)
    • 可以修改允许列表,可以修改PVID,可以修改字母;
    [sw1]interface Eth0/0/21
    [sw1-Ethernet0/0/21]port link-type hybrid
    
    [sw1-Ethernet0/0/21]port hybrid tagged vlan 2 to 3 
    [sw1-Ethernet0/0/21]port hybrid untagged vlan 4 to 5
    

    允许vlan2、3、4、5进或出;但2/3在出时携带vlan封装,4/5在出时不携带vlan封装;

    修改PVID
    [sw1-Ethernet0/0/21]port hybrid pvid vlan 2
    

    切记:华为设备中,若路由器上配置了子接口,每个子接口均回定义管理的VID;
    若存在子接口的物理接口,接收到数据包中不存在vlan封装,将由物理接口管理;

    在这里插入图片描述
    A B通 A C通 B C不通

    valn隔离

    三个电脑在一个网段。1.1 1.2 1.3

    A 定义为VLAN 2 PVID 2 允许列表V2/3/4 字母U不携带标记
    B 定义为VLAN 3 PVID 3 允许列表V2/3 U
    C 定义为VLAN 4 PVID 4 允许列表V2/4 U

    ApingB 数据包从接口0/0/1进入然后带标记打pvid2标签,查允许列表–允许vlan 2 出,由于广播洪泛从0/0/2出。

    ApingC数据包从接口0/0/1进入然后带标记打pvid2标签,经过trunk,交换机2查允许列表–允许vlan 2 出,由于广播洪泛从0/0/2出。

    BpingC数据包从接口0/0/2进入然后带标记打pvid3标签,经过trunk,交换机2查允许列表–不允许vlan 3 出。

    展开全文
  • 华为VLAN配置及使用

    2018-08-31 08:50:42
    一、搭建拓扑:在交换机中添加vlan:[Huawei]vlan 10[Huawei]vlan 20[Huawei]vlan 30[Huawei]vlan batch 11 12 13 14 15[Huawei]vlan batch 21 to 25查看vlan信息:二、1、构建拓扑2、配置第一台交换机的vlan。...

    一、怎么配置VLAN。
    二、不同交换机、同VLAN下的PC连接
    实验步骤:
    一、搭建拓扑:
    华为VLAN配置及使用
    在交换机中添加vlan:
    [Huawei]vlan 10
    [Huawei]vlan 20
    [Huawei]vlan 30
    [Huawei]vlan batch 11 12 13 14 15
    [Huawei]vlan batch 21 to 25
    华为VLAN配置及使用
    查看vlan信息:
    华为VLAN配置及使用
    二、
    1、构建拓扑
    华为VLAN配置及使用
    2、配置第一台交换机的vlan。
    [SW1]vlan 5
    [SW1]vlan 10
    [SW1]interface Ethernet0/0/1
    [SW1-Ethernet0/0/1]port link-type access
    [SW1-Ethernet0/0/1]port default vlan 5
    [SW1]interface Ethernet0/0/2
    [SW1-Ethernet0/0/2]port link-type access
    [SW1-Ethernet0/0/2]port default vlan 10
    [SW1]interface Ethernet0/0/10
    [SW1-Ethernet0/0/10]port link-type trunk
    [SW1-Ethernet0/0/10]port trunk allow-pass vlan 5 10
    配置完成并查询配置是否正确:
    华为VLAN配置及使用
    配置第二台交换机的vlan。
    [SW2]vlan 5
    [SW2]vlan 10
    [SW2]interface Ethernet0/0/3
    [SW2-Ethernet0/0/3]port link-type access
    [SW2-Ethernet0/0/3]port default vlan 5
    [SW2]interface Ethernet0/0/4
    [SW2-Ethernet0/0/4]port link-type access
    [SW2-Ethernet0/0/4]port default vlan 10
    [SW2]interface Ethernet0/0/10
    [SW2-Ethernet0/0/10]port link-type trunk
    [SW2-Ethernet0/0/10]port trunk allow-pass vlan 5 10
    配置完成并查询配置是否正确:

    华为VLAN配置及使用
    在PC机上实验设置是否成功:

    华为VLAN配置及使用
    华为VLAN配置及使用

    转载于:https://blog.51cto.com/13934173/2167174

    展开全文
  • 之前讨论的都是思科的,今天咱们具体讨论内容包含VLAN级联的静态配置; 通过GVRP协议实现的VLAN级联的动态配置;端口Hybrid特性配置;PVlan特性配置。实验一:vlan静态配置:在完成VLAN的相关配置之后,要求能够达到...

    之前讨论的都是思科的,今天咱们具体讨论内容包含VLAN级联的静态配置; 通过GVRP协议实现的VLAN级联的动态配置;端口Hybrid特性配置;PVlan特性配置。

    实验一:vlan静态配置:

    a8782f3839e6a52394efb5f44d758d84.png

    在完成VLAN的相关配置之后,要求能够达到同一VLAN内的PC可以互通,不同VLAN间的PC不能互通的目的。首先按照上图连接各实验设备,然后配置PCA IP地址为10.1.1.2/24,PCB IP地址为10.1.2.2/24,PCC IP地址为10.1.1.3/24,PCD IP地址为10.1.2.3/24。

    1. 具体的配置如下:

    (1) 配置交换机端口属于特定VLAN

    [Quidway]sysname S3026A

    [S3026A]vlan 2

    [S3026A-vlan2]port Ethernet 0/9 to e0/16

    [S3026A-vlan2]vlan 3

    [S3026A-vlan3]port Ethernet 0/17 to e0/24

    [Quidway]sysname S3026B

    [S3026B]vlan 2

    [S3026B-vlan2]port Ethernet 0/9 to e0/16

    [S3026B-vlan2]vlan 3

    [S3026B-vlan3]port Ethernet 0/17 to e0/24

    当配置交换机端口属于特定VLAN时,有两种方法:一种是上面介绍的在VLAN配置模式下进行,另一种是在端口配置模式下进行,大家有兴趣可以试试看。

    (2) 配置交换机之间的端口为Trunk端口,并且允许所有VLAN通过

    [S3026A]int e0/1

    [S3026A-Ethernet0/1]port link-type trunk //设置端口工作在trunk模式(系统默认为access模式)

    [S3026A-Ethernet0/1]port trunk permit vlan all //允许所有VLAN通过Trunk端口

    [S3026B]int e0/1

    [S3026B-Ethernet0/1]port link-type trunk

    [S3026B-Ethernet0/1]port trunk permit vlan all

    配置完成后,可以看到,同一VLAN内部的PC可以互相访问,不同VLAN间的PC不能够互相访问。

    在S3026A和S3026B之间增加交换机S3526C,同样实现上述实验目标:VLAN内互通,VLAN间隔离。组网图如下:

    3a41c3c6270d96ab408b1d3bc65ebee9.png

    继续上面的实验,这时候,我们需要修改三台交换机e0/1和e0/2接口的配置。

    配置步骤如下:

    (1) 配置三台交换机之间链路为trunk链路

    [Quidway]sysname S3526C

    [S3526C]int e0/1

    [S3526C-Ethernet0/1]port link-type trunk

    [S3526C-Ethernet0/1]port trunk permit vlan all

    [S3526C-Ethernet0/1]int e0/2

    [S3526C-Ethernet0/2]port link-type trunk

    [S3526C-Ethernet0/2]port trunk permit vlan all

    完成上述配置之后,我们可以测试一下VLAN内的主机之间是否可以ping通。结果是否定的,这是因为在交换机S3526C没有配置VLAN2和VLAN3,所以来自VLAN2和VLAN3的帧不能通过。必须在交换机上创建VLAN2和VLAN3,这样,这二个VLAN的帧才能够通过S3526C。

    (2) 在S3526C上创建VLAN2和VLAN3

    [S3526C]vlan 2

    [S3526C-vlan2]vlan 3

    如果S3026A和S3026B之间连接了多台交换机,是否需要在每一台交换机上都创建VLAN2和VLAN3?如果接入用户的交换机配置了许多VLAN,是否需要在每一台交换机上都创建这些VLAN?

    答案是肯定的。如果VLAN众多,这样的静态VLAN配置工作会很复杂。通过GVRP协议,在交换机上动态的创建和注册VLAN,避免了手工配置之苦。

    实验二:动态配置

    7475cffa19ef6c2b9f2c2a1f7a541687.png

    1. 具体的配置如下:

    延续上面的实验配置。

    (1) 删除S3526上的VLAN创建:

    [S3526C]undo vlan 2

    [S3526C]undo vlan 3

    (2) 在三台交换机上配置VLAN动态注册协议——GVRP:

    首先在系统配置模式下启用GVRP协议。

    [S3526C]gvrp

    GVRP is enabled globally

    然后在每一个trunk端口启用GVRP协议。

    [S3526C]int e0/1

    [S3526C-Ethernet0/1]gvrp

    GVRP is enabled on port Ethernet0/1

    [S3526C-Ethernet0/1]int e0/2

    [S3526C-Ethernet0/2]gvrp

    GVRP is enabled on port Ethernet0/2

    在S3026A和S3026B上进行相同的配置,即在系统模式下和端口模式下分别启用GVRP协议。然后我们可以用下面的命令来察看配置的GVRP信息和VLAN信息。我们可以看到,在S3526C上,GVRP已经启用,并且自动学习创建了VLAN2和VLAN3。

    [S3526C]display gvrp statistics

    GVRP statistics on port Ethernet0/1

    GVRP Status : Enabled

    GVRP Failed Registrations : 0

    GVRP Last Pdu Origin : 00e0-fc07-7085

    GVRP Registration Type : Normal

    GVRP statistics on port Ethernet0/2

    GVRP Status : Enabled

    GVRP Failed Registrations : 0

    GVRP Last Pdu Origin : 00e0-fc07-7089

    GVRP Registration Type : Normal

    [S3526C]display vlan

    Now, the following VLAN exist(s):

    1(default), 2-3

    (3) 3. 接下来我们可以通过如下的方法来观察一下GVRP注册VLAN信息的过程:

    首先在交换机S3026A上手动添加一个VLAN5

    [S3026A]vlan 5

    然后在三台交换机上分别查看VLAN信息如下:

    [S3026B-Ethernet0/1]dis vlan

    VLAN function is enabled.

    Now, the following VLAN exist(s):

    1(default), 2-3, 5

    [S3026B-Ethernet0/1]dis vlan

    VLAN function is enabled.

    Now, the following VLAN exist(s):

    1(default), 2-3, 5

    [S3526C-Ethernet0/2]dis vlan

    Now, the following VLAN exist(s):

    1(default), 2-3, 5

    现在我们可以看到在另外两台交换机上都已经动态添加了有关VLAN5的信息。

    然后再看看有关的Trunk接口上又是怎么一回事:

    dis int e0/1

    Ethernet0/1 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 1

    Mdi type: auto

    Port link-type: trunk

    VLAN passing : 1(default vlan), 2-3, 5

    VLAN allowed : 1(default vlan), 2-4094

    Trunk port encapsulation: IEEE 802.1q

    1099 packets output

    98522 bytes, 158 multicasts, 176 broadcasts, 0 pauses

    998 packets input

    81803 bytes, 166 multicasts, 71 broadcasts, 0 pauses

    0 CRC errors

    0 long frames

    dis int e0/1

    Ethernet0/1 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc07-707c

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 1

    Mdi type: auto

    Port link-type: trunk

    VLAN passing : 1(default vlan), 2-3, 5

    VLAN allowed : 1(default vlan), 2-4094

    Trunk port encapsulation: IEEE 802.1q

    1092 packets output

    91028 bytes, 109 multicasts, 86 broadcasts, 0 pauses

    1264 packets input

    104679 bytes, 253 multicasts, 106 broadcasts, 0 pauses

    0 CRC errors

    0 long frames

    dis int e0/1

    Ethernet0/1 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc06-2380

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    MTU: 1500, Maximum Frame Length: 25608752

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 1

    Mdi type: auto

    Port link-type: trunk

    VLAN passing : 1(default vlan), 2-3, 5

    VLAN allowed : 1(default vlan), 2-4094

    Trunk port encapsulation: IEEE 802.1q

    Last 5 minutes output: 0 packets/sec, 0 bytes/sec

    Last 5 minutes input: 0 packets/sec, 0 bytes/sec

    input: 1314 packets, 116004 bytes

    184 broadcasts, 192 multicasts

    input: - input errors, 0 runts, 0 giants, 0 throttles, 0 CRC

    1152 frame, - overruns, aborts, 0 ignored, - parity errors

    Output: 1211 packets, 99117 bytes

    80 broadcasts, 197 multicasts, 0 pauses

    Output: - output errors, 0 underruns, - buffer failures

    - aborts, 0 deferred, 0 collisions, 0 late collisions

    - lost carrier, - no carrier

    dis int e0/2

    Ethernet0/2 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc06-2380

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    MTU: 1500, Maximum Frame Length: 25608752

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 1

    Mdi type: auto

    Port link-type: trunk

    VLAN passing : 1(default vlan), 2-3

    VLAN allowed : 1(default vlan), 2-4094

    Trunk port encapsulation: IEEE 802.1q

    Last 5 minutes output: 0 packets/sec, 0 bytes/sec

    Last 5 minutes input: 0 packets/sec, 0 bytes/sec

    input: 1168 packets, 97347 bytes

    89 broadcasts, 116 multicasts

    input: - input errors, 0 runts, 0 giants, 0 throttles, 0 CRC

    1081 frame, - overruns, aborts, 0 ignored, - parity errors

    Output: 1354 packets, 112066 bytes

    109 broadcasts, 274 multicasts, 0 pauses

    Output: - output errors, 0 underruns, - buffer failures

    - aborts, 0 deferred, 0 collisions, 0 late collisions

    - lost carrier, - no carrier

    现在我们发现在S3026A的Trunk接口e0/1上已经允许VLAN5通过,同样S3026B和S3526C的e0/1接口上也已经VLAN5,但是S3526C的e0/2接口上却只允许VLAN1,2,3通过,VLAN5不能通过,这是为什么呢?

    实际上这也是GVRP进行VLAN注册的一条规则,由于交换机S3026B上没有手工配置VLAN5,也就是说S3026B上没有VLAN5的成员,所以S3026B和S3526C之间的Trunk链路就不应该让VLAN5的帧通过。下面我们可以通过在S3026B上配置VLAN5来进行验证:

    [S3026B]vlan 5

    [S3026B-vlan5]port e0/3

    Dynamic VLAN is configured, now changed to static!

    由于交换机S3026B上已经动态注册了VLAN5,所以需要通过添加端口来将VLAN改变为静态VLAN。

    dis int e0/2

    Ethernet0/2 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc06-2380

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    MTU: 1500, Maximum Frame Length: 25608752

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 1

    Mdi type: auto

    Port link-type: trunk

    VLAN passing : 1(default vlan), 2-3, 5

    VLAN allowed : 1(default vlan), 2-4094

    Trunk port encapsulation: IEEE 802.1q

    Last 5 minutes output: 0 packets/sec, 0 bytes/sec

    Last 5 minutes input: 0 packets/sec, 0 bytes/sec

    input: 4065 packets, 337496 bytes

    253 broadcasts, 370 multicasts

    input: - input errors, 0 runts, 0 giants, 0 throttles, 0 CRC

    3765 frame, - overruns, aborts, 0 ignored, - parity errors

    Output: 4606 packets, 373337 bytes

    240 broadcasts, 903 multicasts, 0 pauses

    Output: - output errors, 0 underruns, - buffer failures

    - aborts, 0 deferred, 0 collisions, 0 late collisions

    - lost carrier, - no carrier

    在S3026B上已经有了VLAN5的成员之后,S3526C的e0/2接口开始允许VLAN5通过。

    (4) 在交换机的Trunk端口上,VLAN的GVRP注册有三种方法:normal、fixed和forbidden。其中normal是默认的注册方法,表示允许在该端口手工或动态创建、注册和注销VLAN。下面我们分别来看看其他两种方法:

    首先在S3026A上进行如下配置:

    [S3026A-Ethernet0/1]gvrp registration fixed

    fixed表示允许在该端口手工创建和注册VLAN,不允许动态注册或注销VLAN。也就是说S3026A的端口Ethernet0/1不会接受从对端来的动态VLAN信息。

    下面在S3026B上添加一个新的VLAN,配置如下:

    [S3026B]vlan 7

    [S3026B-vlan7]dis vlan

    VLAN function is enabled.

    Now, the following VLAN exist(s):

    1(default), 2-3, 5, 7

    在另外两台交换机上查看VLAN如下:

    dis vlan

    Now, the following VLAN exist(s):

    1(default), 2-3, 5, 7

    dis vlan

    VLAN function is enabled.

    Now, the following VLAN exist(s):

    1(default), 2-3, 5

    dis int e0/1

    Ethernet0/1 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 1

    Mdi type: auto

    Port link-type: trunk

    VLAN passing : 1(default vlan), 2-3, 5

    VLAN allowed : 1(default vlan), 2-4094

    Trunk port encapsulation: IEEE 802.1q

    647 packets output

    52285 bytes, 97 multicasts, 27 broadcasts, 0 pauses

    809 packets input

    66183 bytes, 228 multicasts, 54 broadcasts, 0 pauses

    0 CRC errors

    0 long frames

    可以看到S3026A上没有注册VLAN7。

    下面我们再来看看如何应用forbidden:

    在S3026A上进行如下配置:

    [S3026A-Ethernet0/1]gvrp registration forbidden

    forbidden表示在端口将注销除VLAN1之外的所有其它VLAN,并且禁止在该端口创建和注册任何其它VLAN。

    然后我们可以在查看一下S3026A的端口e0/1:

    [S3026A-Ethernet0/1]dis int e0/1

    Ethernet0/1 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 1

    Mdi type: auto

    Port link-type: trunk

    VLAN passing : 1(default vlan)

    VLAN allowed : 1(default vlan), 2-4094

    Trunk port encapsulation: IEEE 802.1q

    929 packets output

    74705 bytes, 143 multicasts, 35 broadcasts, 0 pauses

    1173 packets input

    94456 bytes, 348 multicasts, 70 broadcasts, 0 pauses

    0 CRC errors

    0 long frames

    现在只有VLAN1可以通过端口e0/1。

    (5) 配置交换机端口属于特定VLAN

    [Quidway]sysname S3026A

    [S3026A]vlan 2

    [S3026A-vlan2]port Ethernet 0/9 to e0/16

    [S3026A-vlan2]vlan 3

    [S3026A-vlan3]port Ethernet 0/17 to e0/24

    实验三:Hybrid端口配置

    1697973800cf056e96859635c16f2ce2.png

    配置交换机之间的端口为Hybrid端口,并且允许VLAN2和VLAN3的帧通过Hybrid端口,并且VLAN2的帧在Hybrid端口打上VLAN2的tag,VLAN3的帧不打tag。

    1. 具体的配置如下:

    (1) 由于当交换机上有Trunk端口存在时不能配置Hybrid,所以我们需要先把Trunk端口改成Access端口。命令如下:

    [S3026A-Ethernet0/1]port link-type access

    在S3026B和S3526C上也作同样的配置。同时也要在S3526C上配置VLAN2和VLAN3,因为Trunk取消之后,GVRP也随之取消了。

    (2) 配置交换机之间的端口为Hybrid端口(注意,连接PC的端口不能配为Hybrid端口):

    [S3026A-Ethernet0/1]port link-type hybrid

    在S3026B的e0/1端口和S3526C的e0/1、e0/2端口上也作同样的配置

    下面查看S3026A的端口信息如下:

    [S3026A-Ethernet0/1]dis int e0/1

    Ethernet0/1 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 1

    Mdi type: auto

    Port link-type: hybrid

    Tagged VLAN ID : none

    Untagged VLAN ID : 1

    1292 packets output

    101041 bytes, 423 multicasts, 118 broadcasts, 0 pauses

    2027 packets input

    152720 bytes, 1119 multicasts, 153 broadcasts, 0 pauses

    0 CRC errors

    0 long frames

    从上面的信息可以看出PVID为1,Tagged VLAN ID没有配置,而Untagged VLAN ID默认为1。

    2. 配置VLAN2打tag,VLAN3不打tag。

    [S3026A-Ethernet0/1]port hybrid vlan 2 tagged

    [S3026A-Ethernet0/1]port hybrid vlan 3 untagged

    在交换机S3026B的端口e0/1和S3526C的端口e0/1、e0/2上进行相同的配置。

    下面查看S3026A的端口信息如下:

    [S3026A-Ethernet0/1]dis int e0/1

    Ethernet0/1 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 1

    Mdi type: auto

    Port link-type: hybrid

    Tagged VLAN ID : 2

    Untagged VLAN ID : 1, 3

    1539 packets output

    122085 bytes, 480 multicasts, 266 broadcasts, 0 pauses

    2243 packets input

    172338 bytes, 1178 multicasts, 270 broadcasts, 0 pauses

    0 CRC errors

    0 long frames

    从上面的信息可以看出PVID为1,Tagged VLAN ID为2,而Untagged VLAN ID为1和3。

    然后我们可以分别查看VLAN2和VLAN3的信息如下:

    dis vlan 2

    VLAN ID: 2

    VLAN Type: static

    Route Interface: not configured

    Description: VLAN 0002

    Tagged Ports:

    Ethernet0/1

    Untagged Ports:

    Ethernet0/9 Ethernet0/10 Ethernet0/11

    Ethernet0/12 Ethernet0/13 Ethernet0/14

    Ethernet0/15 Ethernet0/16

    dis vlan 3

    VLAN ID: 3

    VLAN Type: static

    Route Interface: not configured

    Description: VLAN 0003

    Tagged Ports: none

    Untagged Ports:

    Ethernet0/1 Ethernet0/17 Ethernet0/18

    Ethernet0/19 Ethernet0/20 Ethernet0/21

    Ethernet0/22 Ethernet0/23 Ethernet0/24

    在VLAN2中,已经有一个tagged port:e0/1。

    实际上对于一个以太网帧来说,从主机到交换机接入端口这一段是没有VLAN tag的,这是因为一般的计算机并不能识别VLAN tag的。而当以太网帧在通过Hybrid端口发往另一台交换机之前,就已经打上了相应的VLAN tag以作区别。对于来自不同VLAN的帧,Hybrid端口会根据配置作不同的处理。

    以上面的配置为例,当一个从VLAN2来的帧从S3026A的Hybrid端口e0/1发往对端S3526C的e0/1时,S3026A的e0/1端口不会对它作任何处理,而当这个帧到达对端时,(对端也是一样的配置)S3526C的e0/1端口会检查它的VLAN tag,发现VLAN2是Tagged VLAN ID,于是S3526C的e0/1端口不会改变以太网帧的tag,并向相应正确的端口进行转发。

    当一个从VLAN3来的帧从S3026A的Hybrid端口e0/1发往对端S3526C的e0/1时,则会被去掉VLAN3的tag。当这个帧到达对端时,(对端也是一样的配置)S3526C的e0/1端口会检查它的VLAN tag,发现是没有VLAN tag的,则认为该帧属于VLAN 1(PVID为1),不会向VLAN 3的端口转发。

    这样配置完成后,VLAN2内的PC可以互相ping通,VLAN3内部的PC不能够互相ping通。

    如果我们设置Hybrid端口的PVID为3,这样,没有VLAN tag的帧将被认为属于VLAN 3,VLAN3内的主机可以通信。

    [S3026A-Ethernet0/1]port hybrid pvid vlan 3

    在交换机S3026B的端口e0/1和S3526C的端口e0/1、e0/2上进行相同的配置。

    dis int e0/1

    Ethernet0/1 is up

    Hardware is Fast Ethernet, Hardware address is 00e0-fc07-708f

    Auto-duplex(Full), Auto-speed(100M), 100_BASE_TX

    Flow control: disabled

    Broadcast MAX-ratio: 100%

    PVID: 3

    Mdi type: auto

    Port link-type: hybrid

    Tagged VLAN ID : 2

    Untagged VLAN ID : 1, 3

    4962 packets output

    395464 bytes, 523 multicasts, 959 broadcasts, 0 pauses

    5105 packets input

    410851 bytes, 1222 multicasts, 405 broadcasts, 0 pauses

    0 CRC errors

    0 long frames

    小结:

    Hybrid端口是介于Access端口和Trunk端口之间的一种端口属性,通过Hybrid端口的设置,可以配置部分VLAN的帧可以打上VLAN标记,另一部分VLAN在通过交换机间链路时,不打VLAN标记,从而实现对部分VLAN隔离的目的。当然,如果您对所有VLAN在Hybrid端口都配置为Untagged,那么交换机之间的所有VLAN都被隔离,满足一些特殊应用。

    实验四:PVLAN配置

    443c6a9c9b1c88725fc38e4c6976341b.png

    从VLAN的帧格式我们知道VLAN ID域占用12个bit位,所以可以表示的VLAN范围为:0-4095(实际上用户可用的为1-4094)。这样的一个范围对于任何一个企业局域网或者是校园网都可以说已经足够,但是运营商在小区宽带接入的快速发展中,形成了不计其数的用户,而这些用户又不希望受到其它用户的直接访问和攻击。这时候我们如果为每个用户都分配一个VLAN ID来隔离他们,就显得VLAN ID不够用。利用PVLAN,即双层VLAN技术就可以很好的解决这一问题。

    在PVLAN中,一台交换机上存在Primary vlan和Secondary vlan。一个Primary vlan和多个Secondary vlan对应,Primary vlan包含所对应的所有Secondary vlaN中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的Primary vlan,而不必关心Primary vlan中包含的Secondary vlaN,简化了配置,节省了VLAN资源。用户可以采用PVLAN实现二层报文的隔离,为每个用户分配一个Secondary VLAN,每个vlan中只包含该用户连接的端口和上行端口;如果希望实现用户之间二层报文的互通,也可以将用户连接的端口划入同一个Secondary VLAN中。

    如上图所示,S3026A划分了4个VLAN,其中VLAN5为Primary VLAN,VLAN2,3,4为Secondary VLAN。S3026B划分了3个VLAN,VLAN4为Primary VLAN,VLAN2,3为Secondary VLAN。其中Primary VLAN包括e0/1,e0/2,e0/3,e0/4口。完成上面配置后,您会发现,在同一交换机内的不同Secondary VLAN的主机不能够互相访问,所有Secondary VLAN的主机都能够访问Primary VLAN的主机;交换机之间的所有PC都能够互相访问。

    1. 具体的配置如下:

    (1) 在2台交换机上创建VLAN,并为VLAN分配接口(注意,必须为每一个VLAN划分端口):

    [S3026A]vlan 5

    [S3026A-vlan5]port Ethernet 0/1 to Ethernet 0/4

    [S3026A-vlan5]vlan 2

    [S3026A-vlan2]port Ethernet 0/5 to Ethernet 0/8

    [S3026A-vlan2]vlan 3

    [S3026A-vlan3]port Ethernet 0/9 to Ethernet 0/11

    [S3026A-vlan3]vlan 4

    [S3026A-vlan4]port Ethernet 0/12 to Ethernet 0/16

    [S3026B]vlan 4

    [S3026B-vlan4]port Ethernet 0/1 to Ethernet 0/4

    [S3026B-vlan4]vlan 2

    [S3026B-vlan2]port Ethernet 0/9 to Ethernet 0/16

    [S3026B-vlan2]vlan 3

    [S3026B-vlan3]port Ethernet 0/17 to Ethernet 0/24

    (2) 配置S3026A的VLAN5为Primary VLAN,VLAN2,3,4为Secondary VLAN,建立Primary VLAN和Secondary VLAN的映射关系;配置S3026B的VLAN4为Primary VLAN,VLAN2,3为Secondary VLAN,建立Primary VLAN和Secondary VLAN的映射关系。

    [S3026A]vlan 5

    [S3026A-vlan5]isolate-user-vlan enable //设置VLAN类型为Primary VLAN

    [S3026A-vlan5]quit

    [S3026A]isolate-user-vlan 5 secondary 2 3 4 //配置Primary VLAN和Secondary VLAN间的映射关系

    [S3026B]vlan 4

    [S3026B-vlan4]isolate-user-vlan enable

    [S3026B-vlan4]quit

    [S3026B]isolate-user-vlan 4 secondary 2 3

    完成上述配置之后,我们可以查看S3026A上的配置信息如下:

    [S3026A]dis current-configuration

    #

    sysname S3026A

    #

    radius scheme default

    #

    aaa authentication-scheme Default radius next local

    aaa accounting-scheme Default enable offline

    #

    interface Aux0/0

    #

    vlan 1

    #

    vlan 2

    #

    vlan 3

    #

    vlan 4

    #

    vlan 5

    isolate-user-vlan enable

    #

    interface Ethernet0/1

    port link-type hybrid

    port hybrid vlan 2 to 5 untagged

    port hybrid pvid vlan 5

    #

    interface Ethernet0/2

    port link-type hybrid

    port hybrid vlan 2 to 5 untagged

    port hybrid pvid vlan 5

    #

    interface Ethernet0/3

    port link-type hybrid

    port hybrid vlan 2 to 5 untagged

    port hybrid pvid vlan 5

    #

    interface Ethernet0/4

    port link-type hybrid

    port hybrid vlan 2 to 5 untagged

    port hybrid pvid vlan 5

    #

    interface Ethernet0/5

    port link-type hybrid

    port hybrid vlan 2 5 untagged

    port hybrid pvid vlan 2

    #

    interface Ethernet0/6

    port link-type hybrid

    port hybrid vlan 2 5 untagged

    port hybrid pvid vlan 2

    #

    interface Ethernet0/7

    port link-type hybrid

    port hybrid vlan 2 5 untagged

    port hybrid pvid vlan 2

    #

    interface Ethernet0/8

    port link-type hybrid

    port hybrid vlan 2 5 untagged

    port hybrid pvid vlan 2

    #

    interface Ethernet0/9

    port link-type hybrid

    port hybrid vlan 3 5 untagged

    port hybrid pvid vlan 3

    #

    interface Ethernet0/10

    port link-type hybrid

    port hybrid vlan 3 5 untagged

    port hybrid pvid vlan 3

    #

    interface Ethernet0/11

    port link-type hybrid

    port hybrid vlan 3 5 untagged

    port hybrid pvid vlan 3

    #

    interface Ethernet0/12

    port link-type hybrid

    port hybrid vlan 4 to 5 untagged

    port hybrid pvid vlan 4

    #

    interface Ethernet0/13

    port link-type hybrid

    port hybrid vlan 4 to 5 untagged

    port hybrid pvid vlan 4

    #

    interface Ethernet0/14

    port link-type hybrid

    port hybrid vlan 4 to 5 untagged

    port hybrid pvid vlan 4

    #

    interface Ethernet0/15

    port link-type hybrid

    port hybrid vlan 4 to 5 untagged

    port hybrid pvid vlan 4

    #

    interface Ethernet0/16

    port link-type hybrid

    port hybrid vlan 4 to 5 untagged

    port hybrid pvid vlan 4

    #

    interface Ethernet0/17

    #

    interface Ethernet0/18

    #

    interface Ethernet0/19

    #

    interface Ethernet0/20

    #

    interface Ethernet0/21

    #

    interface Ethernet0/22

    #

    interface Ethernet0/23

    #

    interface Ethernet0/24

    #

    interface NULL0

    #

    cluster

    #

    isolate-user-vlan 5 secondary 2 to 4

    #

    user-interface aux 0

    user-interface vty 0 4

    #

    从上面的信息中可以看出,PVLAN实际上是通过前一个实验中的hybrid端口来实现。即通过配置一系列的hybrid端口,并对来自不同VLAN的帧进行不同的VLAN tag处理,来达到隔离VLAN的目的。

    配置完成后,在同一交换机内的不同Secondary VLAN的主机不能够互相访问,所有Secondary VLAN的主机都能够访问Primary VLAN的主机;交换机之间的所有PC都能够互相访问。在交换机S3026A上使用display vlan 5命令可以看到,同一交换机的所有VLAN的所有端口都属于VLAN5,也就是说VLAN2,3和4是VLAN5的更细化的VLAN。

    [S3026A]display vlan 5

    VLAN ID: 5

    VLAN Type: static

    Isolate-user-VLAN type : isolate-user-VLAN

    Route Interface: not configured

    Description: VLAN 0005

    Tagged Ports: none

    Untagged Ports:

    Ethernet0/1 Ethernet0/2 Ethernet0/3

    Ethernet0/4 Ethernet0/5 Ethernet0/6

    Ethernet0/7 Ethernet0/8 Ethernet0/9

    Ethernet0/10 Ethernet0/11 Ethernet0/12

    Ethernet0/13 Ethernet0/14 Ethernet0/15

    Ethernet0/16

    接下来我们可以用如下的方法来测试不同VLAN间主机的连通性:

    1. 准备两台PC机PCA和PCB,然后配置PCA IP地址为10.1.1.2/24,PCB IP地址为10.1.1.3/24。

    2. 将PCA连接到交换机S3026A的端口e0/5上,将PCB分别连接到交换机S3026A的端口e0/9和e0/12上,从PCA ping PCB,看是否能够ping通。

    3. 将PCB连接到交换机S3026A的端口e0/2上,从PCA ping PCB,看是否能够ping通。

    4. 将PCB连接到交换机S3026B的任一端口上,从PCA ping PCB,看是否能够ping通。

    在测试连通性的过程中,大家可以参考前一个实验中对hybrid端口的解释,并对照前面的配置信息,来思考一下,为什么会ping得通或者ping不通?

    实际上从配置信息中可以看出在S3026A中划分给VLAN5的hybrid端口PVID都为5,同理划分给VLAN2,3,4的hybrid端口PVID分别为相应的VLAN ID,这就造成了在同一交换机内的不同Secondary VLAN的主机不能够互相访问。而VLAN5作为Primary VLAN,实际上包含了所有的端口,所以所有Secondary VLAN的主机都能够访问Primary VLAN的主机。在交换机之间,由于通过e0/1相连,而e0/1又划分在各自的Primary VLAN,PVID为各自的Primary VLAN ID,因此通过e0/1的帧会加上对方的Primary VLAN ID,可以访问对方所有的端口。

    展开全文
  • 那么今天小编将指导大家完成华为交换机的vlan配置和vlanif接口的配置请自行准备好华为交换机和电脑并且让你的电脑和交换机连接上使用system-view命令进入[]模式创建一个vlan[Quidway]vlan 2添加端口[Quid...
  • 交换机上设置,划分VLAN:sys//切换到系统视图[Quidway]vlanenable[Quidway]vlan2[Quidway-vlan2]porte0/1toe0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1到e0/8八个端口属于VLAN2[Quidway]...
  • 华为VLAN隔离配置

    2021-01-07 08:11:43
    华为VLAN隔离配置 方法1:通过vlan ACL 包过滤 (这个最简单) [Huawei]acl 3000 [Huawei-acl-adv-3000]rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [Huawei-acl-adv-3000]...
  • 华为路由器交换机VLAN配置实例使用4台PC(pc多和少,原理是一样的,所以这里我只用了4台pc),华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。实现防火墙策略,和访问控制(ACL)...
  • 组播VLAN配置组播VLAN复制功能可以使三层设备只需把组播数据传送给该组播VLAN,而不必再为每个用户VLAN都复制一份组播报文,减少带宽浪费。组播VLAN全称Multicast VLAN,用于将接收到的相同的组播数据在不同的用户...
  • Router的配置清单:[V200R003C00] system-view[Huawei]sysname Router[Router]vlan batch 100 200 300 999[Router]dhcp enable[Router]ip pool ForVlan100[Router-ip-pool-ForVlan100]network 192.168.10.0 mask 255...
  • 华为三层交换机vlan配置教程!

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,331
精华内容 932
关键字:

华为vlan配置