精华内容
下载资源
问答
  • 组网技术——华为交换机实现端口数据二层隔离三层互通的基本配置配置接口GE1/0/1 和GE1/0/2 的端口隔离功能,实现两个接口之间的二层数据隔离,三层数据互通。< Switch1> system-view[Switch1] port-isolate ...

    组网技术——华为交换机实现端口数据二层隔离三层互通的基本配置

    配置接口GE1/0/1 和GE1/0/2 的端口隔离功能,实现两个接口之间的二层数据隔离,三层数据互通。

    < Switch1> system-view

    [Switch1] port-isolate mode L2                                                    //启用隔离模式为二层隔离三层互通

    #若需要配置二三层都隔离可以执行port-isolate mode all命令配置。

    [Switch1] interface gigabitethernet 1/0/1

    [Switch1]description 123456                                                                         //VLAN描述123456

    [Switch1-GigabitEthernet 1/0/1] port-isolate enable group 1                      //将GE1/0/1划入隔离组1

    [Switch1-GigabitEthernet 1/0/1] quit

    [Switch1] interface gigabitethernet1/0/2

    [Switch1-GigabitEthernetl1/0/2] port-isolate enable group 1                      //将GE1/0/2划入隔离组1

    [Switch1-GigabitEthernet1/0/2] quit

    展开全文
  • 什么是二层隔离三层互通

    千次阅读 2019-06-23 22:05:00
    三层互通就是之间做了VLAN和VXLAN之间路由。通常,普通的交换机只工作在数据链路层上,路由器则工作在网络层。而功能强大的三层交换机可同时工作在数据链路层和网络层,并根据MAC地址或IP地址转...

    二层隔离就是通过子网和VLAN或者VXLAN技术对主机进行隔离,具有减少之间的广播,限制攻击的好处。但是主机间又不能不互通,所以要通过三层路由的方式进行通信;二层隔离就是不做VLAN或者VXLAN间的路由。三层互通就是之间做了VLAN和VXLAN之间路由。通常,普通的交换机只工作在数据链路层上,路由器则工作在网络层。而功能强大的三层交换机可同时工作在数据链路层和网络层,并根据MAC地址或IP地址转发数据包。但是要注意到三层交换机并不能完全取代路由器,因为它主要是为了实现处于两个不同子网的Vlan进行通讯,而不是用来作数据传输的复杂路径选择。

    展开全文
  • 众多中小企业内部网络结构都很简单,仅仅是用一台...通过划分VLAN可以让在同一台交换机不同端口的客户机不能互相访问,有效的隔离了网络。  通过VLAN划分网络固然可以解决安全和广播风暴的频繁出现,但是对于那...

    image

    众多中小企业内部网络结构都很简单,仅仅是用一台交换机将所有员工机以及服务器连接到一起,然后通过光纤访问internet而已。当然为了保证部分主机的安全性以及分割内部广播包提高网络传输速度,采取诸如划分VLAN,分配不同子网的方法来实现。通过划分VLAN可以让在同一台交换机不同端口的客户机不能互相访问,有效的隔离了网络。

      通过VLAN划分网络固然可以解决安全和广播风暴的频繁出现,但是对于那些既希望隔离又希望对某些客户机进行互通的公司来说,划分VLAN的同时为不同VLAN建立互相访问的通道也是必要的。

    众所周知可以使用三层交换机来实现,但是大多数情况企业网络搭建初期购买的仅仅是二层可管理型交换机,如果要购买三层交换机实现VLAN互通功能的话,以前的二层设备将被丢弃。这样就造成了极大的浪费。那么有没有什么办法在仍然使用二层设备的基础上,实现三层交换机的功能呢?

      一、三层交换机的原理:

      在告诉各位读者解决方法前我们需要首先了解三层交换机的工作原理。理论上讲一台三层交换机可以看做是一个二层交换机+一个路由模块,实际使用中各个厂商也是通过将路由模块内置于交换机中实现三层功能的。在传输数据包时先发向这个路由模块,由其提供路由路径然后再由交换机转发相应的数据包。

      二、单臂路由原理:

      既然仍然要使用以前的二层设备,那么我们可以通过添加一台路由器解决上面提到的企业网络升级问题。这台路由器就相当于三层交换机的路由模块,只是我们将其放到了交换机的外部。具体原理拓扑

    router路由器

      连接线路(负责多个vlan之间的的通信)

      switch交换机

      大家可以看出在router路由器与交换机之间是通过外部线路连接的,这个外部线路只有一条,但是他在逻辑上是分开的,需要路由的数据包会通过这个线路到达路由器,经过路由后再通过此线路返回交换机进行转发。所以大家给这种拓扑方式起了一个形象的名字——单臂路由。说白了,单臂路由就是包从哪个口进去,又从哪个口出来,而不象传统网络拓扑中数据包从某个接口进入路由器又从另一个接口离开路由器。

      那么什么时候要用到单臂路由呢?在企业内部网络中划分了VLAN,当VLAN之间有部分主机需要通信,但交换机不支持三层交换,这时候可以采用一台支持802.1Q的路由器实现VLAN的互通。我们只需要在以太口上建立子接口,并分配IP地址作为该VLAN的网关,同时启动802.1Q协议即可。

      小提示:

    一个物理接口当成多个逻辑接口来使用时,往往需要在该接口上启用子接口。通过一个个的逻辑子接口实现物理端口以一当多的功能。

    三、实战单臂路由:

      笔者所在公司恰恰遇到了上面说的问题,原来使用交换机连接内部网,划分了VLAN。但是现在需要让这些VLAN实现互通,笔者购买了一台华为2621路由器来实施单臂路由解决此问题。具体拓扑图如图1所示。

      交换机连接了多个网段,有10.91.30.*/24,10.83.224.*/24,10.83.225.*/24,10.83.226.*/24。每个网段都处在不同的VLAN中。所有数据包都通过光纤连接到核心设备。由于交换机上的光纤接口只对于10.91.30.*/24有效,所以其他网段的计算机在没有路由器的前提下都无法正常上网。这时我们就需要通过华为2621路由器为他们指明路由下一跳的地址,完成数据包的传输。

      (1)交换机上配置:

      交换机上划分VLAN以及将不同接口和网段加入不同VLAN的操作这里就不详细说明了。实际情况中10.83.224.*对应VLAN302,10.83.225.*对应VLAN303,10.83.226.*对应VLAN304,10.83.227.*对应VLAN305。下一条的路由地址为10.82.6.113,对应的VLAN号是307。

      (2)路由器上的配置:

      本实战路由器上的配置是关键,需要将连接交换机设备的那个接口设置为多个子接口。

      第一步:用console线连接路由器,进入ethernet 0端口,并启用该接口。

      int ethernet 0

      undo shut(如图2)

    【网络】使用单臂路由实现二层交换机上的VLAN互通

    图2:进入E0端口并启用

      第二步:不要对ethernet 0直接操作,为其添加多个子接口。

      int ethernet 0.1

      int ethernet 0.2

      int ethernet 0.3

      int ethernet 0.4

      int ethernet 0.5

      第三步:为每个子接口设置trunk模式,并添加到对应的VLAN中。我们以ethernet0.1为例子,其他几个子接口设置命令类似。

      int ethernet0.1

      vlan dot1q vid 302(如图3)

    【网络】使用单臂路由实现二层交换机上的VLAN互通

    图3:为子接口设置trunk模式

      小提示:

      在设置trunk模式时需要我们定义trunk所使用的协议,一般来说有ISL和dot1q两种协议提供给我们选择,如果你的设备都是CISCO的话使用哪个都可以,但是如果你的设备有CISCO还有别的公司的产品的话就必须使用802.1q协议了,笔者这样的网络环境,由于路由器是华为2621,所以必须使用802.1q协议进行trunk通讯。笔者开始就盲目的设置为ISL结果网络始终不通,后来才想到这个问题。

      第四步:接下来我们还需要使用ip address命令为每个子接口设置好IP地址。

      第五步:为路由器添加一个缺省路由,指向光纤通往核心设备的IP地址。

      ip route-static 0.0.0.0 0.0.0.0 10.82.6.114

      第六步:保存所有设置后使用dis cur命令查看当前配置列表。(如图4)

    【网络】使用单臂路由实现二层交换机上的VLAN互通

     四、常见问题:

      在配置单臂路由过程中要特别注意以下几个问题:

      (1)不要对ethernet0进行任何配置,我们只需要对其子接口进行划分和设置即可。

      (2)不要忘记将ethernet0开启,使用命令undo shut,这样所有子接口会同时开启。

      (3)如果有防病毒ACL等列表的话不要忘记在最后添加到ethernet0上。

      (4)由于单臂路由数据包进出都使用同一个接口必然对该路由器的硬件要求比较高,所以在实际使用中不要随便找一台低端路由器充数,稳定和较大内存是担当单臂路由器的设备所必须的。

      (5)在设置TRUNK类型时候要根据实际情况选择是ISL还是802.1q协议。

      (6)所有配置命令都需要在路由器没有连接交换机的状态下进行,当所有设置信息输入完毕并保存后才可以使用网线将路由器和交换机连接。为什么呢?因为单臂路由很消耗路由器的资源,所以如果在配置过程中已经将该路由器连接到了单臂拓扑中那么输入命令,显示命令会变得非常缓慢。笔者刚开始就是这样边连接边设置的,发现路由器跟死机一样,执行一个dis cur显示配置信息命令居然要等待十分钟以上,也可能是内网中已经有的病毒在发送大量数据包造成的。总之还是设置完毕再连接网络比较保险。

      五、单臂路由的缺点:

      单臂路由的缺点也是显而易见的,一方面他非常消耗路由器CPU与内存的资源,在一定程度上影响了网络数据包传输的效率,另一方面将本来可以由三层交换机内部完成的工作交给了额外的设备完成,对于连接线路要求也是非常高的。另外通过单臂路由将本来划分得好好的VLAN彻底打破,原有的提高安全性与减少广播数据包等措施起到的效果也大大降低了。当然不管怎么说单臂路由仍然是企业网络升级,经费紧张时一个不错的选择。

      总结:

      单臂路由方式仅仅是对现有网络升级时采取的一种策略,在企业内部网络中划分了VLAN,当VLAN之间有部分主机需要通信,但交换机不支持三层交换,这时我们使用该方法来解决实际问题。由于单臂路由存在着很多这样或那样的缺点,所以不建议大家在网络搭建初期就使用这种方式建立拓扑。

    展开全文
  • 不过华为有这个VLAN功能,所以放到VLAN系列里面讲解一下,另外的话,它可以实现VLAN间是隔离的,当然也可以通过三层互通的一个机制让他们互访,这种特性华为与H3C都支持,这里以华为演示为主,H3C后面附带配置。...

    说明

    VLAN聚合(super-vlan),它主要的作用就是节约IP浪费的问题,比如想实现特殊的,每个VLAN内就10多台PC,有多个VLAN,那么可以把剩下的IP给其他VLAN使用,不需要每个VLAN一个网段,当然这种情况企业应用比较少见,小区带宽用的多些,不过华为有这个VLAN功能,所以放到VLAN系列里面讲解一下,另外的话,它可以实现VLAN间是隔离的,当然也可以通过三层互通的一个机制让他们互访,这种特性华为与H3C都支持,这里以华为演示为主,H3C后面附带配置。

    vlan

    掌握目标

    1、Sub-VLAN的作用
    2、Super-VLAN的作用
    3、Super-VLAN的三层网关地址
    4、Super-VLAN的代理ARP功能

    1、Sub-VLAN的作用

    Sub-VLAN可以理解为用户的VLAN,用户的接口划入到该VLAN,但是与普通的VLAN不一样的是,该VLAN不能创建三层VLANIF接口,因为它会被Super-VLAN关联的。

    【创建VLAN】
    [SW]vlan 2
    [SW-vlan3]vlan 3

    【把接口划入到对应的VLAN】
    [SW]int e0/0/1
    [SW-Ethernet0/0/1]port link-type access
    [SW-Ethernet0/0/1]port default vlan 2

    [SW]int e0/0/2
    [SW-Ethernet0/0/2]port link-type access
    [SW-Ethernet0/0/2]port default vlan 3

    2、Super-VLAN的作用

    Super-vlan的作用是用来关联Sub-vlan的,而且可以创建三层VLANIF接口。
    【定义VLAN作为Super-VLAN,并且关联Sub-vlan】
    [SW]vlan 4
    [SW-vlan4]aggregate-vlan
    [SW-vlan4]access-vlan 2 to 3

    3、Super-VLAN的三层网关地址

    [SW]int vlan 4
    [SW-Vlanif4]ip address 192.168.4.254 24

    vlan

    可以看到提示VLAN 2 3是sub-vlan了 不能创建VLANIF接口

    【DHCP功能启用】
    [SW]dhcp enable
    [SW]int vlan 4
    [SW-Vlanif4]dhcp select interface
    这里只是对VLANIF 4接口启用DHCP功能,如果相对DHCP详细了解的可以参考。 DHCP原理及在企业中的应用

    4、Super-VLAN的代理ARP功能

    先测试下没有启用代理ARP功能之前的。

    vlan
    vlan

    可以看到虽然PC1属于VLAN 2,PC2属于VLAN 3,但是它们获取地址是没有任何问题的,也就是能跟VLAN 4通信,另外它们之间互访是不能的,因为VLAN 2与VLAN 3是不同的VLAN,二层隔离了。

    启用super-vlan的代理ARP后

    [SW]int vlan 4
    [SW-Vlanif4]arp-proxy inter-sub-vlan-proxy enable

    vlan

    可以看到启用代理ARP的时候,三层之间就可以互通了。

    总结:super-vlan总得来说配置比较简单,而且用于特殊的环境下,通常肯定不会有这样的需求的,如果朋友们遇到这样的需求,可以试试super-vlan来达到领导特别的需求。

    H3C设备上面的配置

    1、sub vlan定义(接口加入对应的VLAN)
    [SW-H3C]vlan 2
    [SW-H3C-vlan2]port e0/4/0
    [SW-H3C-vlan2]
    [SW-H3C-vlan2]vlan 3
    [SW-H3C-vlan3]port e0/4/1

    2、super vlan关联sub vlan
    [SW-H3C]vlan 4
    [SW-H3C-vlan4]supervlan
    [SW-H3C-vlan4]subvlan 2 3

    3、创建VLANIF接口
    [SW-H3C]int vlan 4
    [SW-H3C-Vlan-interface4]ip add 192.168.4.254 255.255.255.0

    4、开启代理ARP(如果需要subvlan间互访的话)
    [SW-H3C]int vlan 4
    [SW-H3C-Vlan-interface4]local-proxy-arp enable

    如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。

    展开全文
  • 示例图 一.实验目的 1.配置交换机的端口隔离功能 ...4.缺省情况下,端口隔离模式为,二层隔离三层互通 三.注意事项 1.接口单向隔离与端口隔离组之间不隔离 2.一个端口可以加入多个隔离组 四.简单配置 LSW1 sysna
  • 实验描述: 端口隔离简介 为了实现报文之间的二层隔离,用户可以将...Ⅰ如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。 Ⅱ如果用户系统统
  • 一、三层交换机VLAN路由功能解决不同VLAN间通信二层交换机和路由器在功能上的集成构成了三层交换机三层交换机在功能上实现了VLAN 的划分、VLAN 内部的二层交换和VLAN 间路由的功能。三层交换机vlanif 接口up 条件...
  • 华为交换机配置端口隔离

    千次阅读 2014-06-30 23:51:13
    # 配置端口隔离模式为二层隔离三层互通。 
  • 一、三层交换机VLAN路由功能解决不同VLAN间通信二层交换机和路由器在功能上的集成构成了三层交换机三层交换机在功能上实现了VLAN 的划分、VLAN 内部的二层交换和VLAN 间路由的功能。三层交换机vlanif 接口up 条件...
  • 一、三层交换机VLAN路由功能解决不同VLAN间通信二层交换机和路由器在功能上的集成构成了三层交换机三层交换机在功能上实现了VLAN 的划分、VLAN 内部的二层交换和VLAN 间路由的功能。三层交换机vlanif 接口up 条件...
  • 交换机端口隔离port-isolate

    万次阅读 2017-02-27 11:32:49
    交换机端口隔离port-isolate ARP-Proxy Switch的端口隔离默认模式为二层隔离三层互通,隔离组默认为1,即配置: por
  • 请自行准备好华为交换机和电脑 并且让你的电脑和交换机连接上 ...如图1所示,要求PC1与PC2之间不能互相访问,PC1与PC3之间可以...# 配置端口隔离模式为二层隔离三层互通。 <Quidway> system-view [Qu...
  • 实验目的:实现交换机两个端口之间的二层数据隔离三层还是互通的。 实验工具:ensp 实验拓扑图如下: 未配置之前PC2可以ping通PC1 开始配置交换机G0/0/1和G0/0/2口,配置如下: <Huawei>sys [Huawei]port-...
  • 一、端口隔离--port-isolate组网需求如图1...配置端口隔离功能# 配置端口隔离模式为二层隔离三层互通。 system-view[Quidway] port-isolate mode l2# 配置Ethernet0/0/1和Ethernet0/0/2的端口隔离功能。 system-vie...
  • ACL适用于三层不同网段的场景,对于这种二层的场景就束手无策了,尤其是接入交换机二层交换机的场景,此时需要配置vlan 内不同端口的隔离技术:port-isolate port-isolate端口隔离特性 可以实现不同用户的端口...
  • 单臂路由能够解决PC之间二层隔离三层互通的问题,但是单臂路由技术也会存在几个问题, 1:数据的次优路径。 2:单臂路由的实现必须需要路由器与交换机的两个产品才可以。 更完美的单臂路由替代方案:三层交换。 让...
  • 一、端口隔离--port-isolate 组网需求 如图1所示,要求PC1与PC2之间不能互相... # 配置端口隔离模式为二层隔离三层互通。 &lt;Quidway&gt; system-view [Quidway] port-isolate mode l2   #...
  • 在路由器的接口上配置虚接口(或“逻辑接口”,并不是真正的物理接口),实现原来相互隔离的不同VLAN之间的互联互通(重新封装MAC地址,转换VLAN标签),当只有二层交换机时,又要实现不同VLAN间通信时,需要用到...
  • 可以通过vlan实现了隔离广播域,vlan+三层交换技术可以实现全网互通的前提下,广播被控制在每个VLAN内部。三层交换机路由转发数据的过程:命令:拓扑图:PC配置IP地址:配置vlan:端口加入vlan:...
  • 单臂路由技术:二层交换机+路由器 三层交换技术:三层交换机 一、单臂路由技术 单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来...
  • 华三交换机vlan配置和telnet配置

    千次阅读 2019-03-22 15:10:28
    一、华三交换机vlan配置(一)、组网需求:需要创建 Super VLAN 10和Sub VLAN:VLAN2、VLAN3,端口1和端口2属于VLAN2,端口3和端口4属于VLAN3,由于VLAN之间能够满足二层隔离,现要求Sub VLAN两两之间三层互通。...
  • 华为交换机VLAN内Proxy ARP配置示例1、组网需求 图1 VLAN内Proxy ARP组网示例图如上图1所示...要求:属于同一VLAN2的两台主机hostA和hostB之间二层隔离。hostA和hostB之间通过VLAN内Proxy ARP实现三层互通。Super-VL...
  • 那么如何实现不同网段的互访呢,具体要取决于的所用路由品牌多网口互通分两个情况第一种:多网卡桥接,所有网口相当于交换机接出来的,此时所有数据二层交换,必须要同一个网段才能互访,此情况下无法隔离多个网段,...
  • 交换技术之 Valn 的简单理解及不同Vlan互通一、Vlan解决的问题解决同一个网段间广播数据的隔离扩展:借助三层设备可以即隔离二层同网段的广播数据,也可以实现不同网段的链接互通。二、Vlan简单理解在一个交换机上...
  • 本职工作:在三层四层上隔离网络。 隔离网络:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护 防火墙和路由器的根本区别:防火墙也可以当做路由使用,路由器配置好了以后,所有网络可以互通,而...
  • 1.单臂路由1.1 背景①我们知道,一个VLAN是一个广播域,同一个VLAN之间通信是属于二层互访,没有任何问题。而如果想要VLAN之间的通信,需要借助三层设备。②使用单臂路由技术是指在路由器的一个接口上通过配置子接口...
  • 那么如何实现不同网段的互访呢,具体要取决于的所用路由品牌多网口互通分两个情况第一种:多网卡桥接,所有网口相当于交换机接出来的,此时所有数据二层交换,必须要同一个网段才能互访,此情况下无法隔离多个网段,...

空空如也

空空如也

1 2 3
收藏数 44
精华内容 17
关键字:

交换机二层隔离三层互通