H3C
三层交换机配置
VLAN
之间不能互相访问
2010-11-20 13:30:54|
分类：
H3C
|
标签：
qos  vlan  h3c
交换机
traffic
|
举报
|
字号
订阅
由于
H3C
交换机的
VLAN
之间可以互访，为了数据的安全性及链路需求，要让
VLAN
之间不能互访。
通过下午的配置发现有两种实现方式：应用到端口和应用到
VLAN
1.
定义
ACL
acl number 3000
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 1 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
应用到端口：
2.
应用
QoS
策略
#
定义类
c_rd
，对匹配
IPv4 ACL 3000
的报文进行分类
traffic classifier c_rd
if-match acl 3000
#
定义流行为
b_rd
，动作为拒绝报文通过
traffic behavior b_rd
filter deny
#
定义
QoS
策略
p_rd
，为类
c_rd
指定流行为
b_rd
qos policy p_market
classifier c_market behavior b_market
#
将
QoS
策略
p_rd
应用到端口
GigabitEthernet 1/0/2
interface GigabitEthernet 1/0/2
qos apply policy p_rd inbound
应用到
VLAN
：
#
把策略应用到
vlan 100
中
interface vlan 100
packet-filter 2010 inbound

一、前置条件
1.1目的：
利用三层交换机，实现二次交换机的所有功能，同时具有路由功能，节省路由器费用，完成多个vlan之间的通信
1.2基本设备及配置：
三层交换机s5700，
1.2.1交换机的ge0/0/1连接pc1,ge0/0/2连接pc2，接口均配置为access模式
1.2.1 pc1 ip:192.168.10.10/24 vlan 10
gw:192.168.10.1/24
1.2.2 pc2 ip:192.168.20.20/24 vlan 20
gw:192.168.20.1/24
1.3拓扑图：
二、交换机配置
#用户模式下，输入system-view进入视图模式，可执行设备全局配置的命令
sys
Enter system view, return user view with Ctrl+Z.
#修改设备名称为sw1
[Huawei]sysname sw1
[sw1]
#批量创建2个vlan；vlan 10，vlan 20
[sw1]vlan batch 10 20
#进入接口ge 0/0/1里面
[sw1]interface GigabitEthernet 0/0/1
#设置端口链接类型为 access 型(access一般为PC和交换机连接)
[sw1-GigabitEthernet0/0/1]port link-type access
#把ge 0/0/1端口加入到vlan 10
[sw1-GigabitEthernet0/0/1]port default vlan 10
验证
[sw1-GigabitEthernet0/0/1]disp th
#进入接口ge 0/0/2里面
[sw1]int g0/0/2
#设置端口链接类型为 access 型
[sw1-GigabitEthernet0/0/2]port link-type access
#把eth 0/0/2端口加入到vlan 20
[sw1-GigabitEthernet0/0/2]port default vlan 20
验证
[sw1-GigabitEthernet0/0/2]dis th
用下面这条命令可知vlan 10里面包含端口ge0/0/1，vlan 20里面包含端口ge0/0/2。
[sw1]display port vlan active
#进入接口vlanif 10里面
这里的10是对应刚才PC1所在的vlan，这是一个三层接口，该接口地址是PC1对应的网关192.168.10.1。
[sw1]interface vlanif 10
[sw1-Vlanif10]ip address 192.168.10.1 24
验证
[sw1-Vlanif10]disp this
#进入接口vlanif 20里面
这里的20是对应刚才PC2所在的vlan，这是一个三层接口，该接口地址是PC2对应的网关192.168.20.1。
[sw1]interface vlanif 20
[sw1-Vlanif20]ip address 192.168.20.1 255.255.255.0
验证
[sw1-Vlanif20]disp this
自此交换机配置完成
三、查看路由表
[sw1]disp ip routing-table
四、配置PC的地址
配置PC1的IP地址
配置PC2的Ip地址
验证
在pc1上ping pc2
用tracert命令检查路径
在pc2上ping pc1
用tracert命令检查路径
至此pc1和pc2相通，实现不同vlan之间的通信。
五、总结
利用三层交换机实现vlan之间的通信，是现在企业中高频使用的功能，是必备网络知识储备。
至此，vlan之间通信的三种方式都完成，需要了解的小伙伴可以点点关注，在文章中查看。
2 / 2

华为三层交换机VLAN间路由怎么设置
三层交换机怎么设置VLAN间路由?三层交换机相当于交换机和路由器的结合，可以生鲜不同VLAN的PC之间进行通信，下面我们就来看看三层交换机设置vlan路由的方法，需要的朋友可以参考下
网络设备中三层交换机具有网络层的功能，相当于交换机和路由器的结合，利用三层交换机实现不同VLAN的PC之间进行通信。
1、首先打开思科模拟器软件，找出一台三层交换机和两台PC，如下图所示：
2、将三层交换机和两台PC用直通线连接起来，如下图所示：
3、在三层交换机上划分VLAN，命令是：
复制内容到剪贴板Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#vlan 2Switch(config-vlan)#exitSwitch(config)#int f0/5Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 1Switch(config-if)#int f0/6Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2
如下图所示：
4、开启三层交换机的'三层交换路由功能，命令是：ip routing，如下图所示：
5、给PC配置IP地址和网关，如下图所示：
6、进入三层交换机里面配置VLAN，命令是：
复制内容到剪贴板Switch(config)#int vlan 1Switch(config-if)#no shutSwitch(config-if)#ip add 172.16.10.1 255.255.255.0Switch(config-if)#int vlan 2 Switch(config-if)#no shutSwitch(config-if)#ip add 172.16.20.1 255.255.255.0
如下图所示：
7、利用ping命令对PC之间进行通信测试，可以ping通的结果如下图所示：
注意事项：
1、配置PC时一定要让它们处于不同IP和网关。
2、配置三层交换机的VLAN，要让它们的VLAN为PC之间的网关，切记，这很重要。
3、三层交换机一定要开启路由功能，命令是“ip routing"。
4、配置三层交换机一定要在全局模式下配置。
【华为三层交换机VLAN间路由怎么设置】相关文章：

1.单臂路由：
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或"逻辑接口"，并不存在真正物理接口)的方式，实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。
2.单臂路由的子接口
路由器的物理接口可以被划分为成多个逻辑接口，这些被划分后的逻辑接口被形象的称为子接口。值得注意的是这些逻辑子接口不能被单独的开启或关闭，也就是说，当物理接口被开启或关闭时，所有的该接口的子接口也随之被开启或关闭。
3.三层交换机：
三层交换机就是具有部分路由器功能的交换机，工作在OSI网络标准模型的第三层:网络层。三层交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。对于数据包转发等规律性的过程由硬件高速实现，而像路由信息更新、路由表维护、路由计算、路由确定等功能，由软件实现。三层交换技术就是二层交换技术+三层转发技术。传统交换技术是在OSI网络标准模型第二层--数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发，既可实现网络路由功能，又可根据不同网络状况做到最优网络性能。
4.VLAN：
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
 虚拟局域网(VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。
实验：
实验拓补图
  Pc1:ip 192.168.1.1网关：192.168.1.254 
 Pc2:ip 192.168.2.1网关：192.168.2.254 
 pc3 ip:172.16.1.1网关：172.16.1.254 
 pc4:ip 172.16.2.1 网关：172.16.2.254
详细配置：
LSW1：
sys
[Huawei]undo in e---关闭日志消息
[Huawei]vlan batch 10 20---创建vlan
 [Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type access---改变链路类型为access
[Huawei-Ethernet0/0/1]port default vlan 10---把次端口加入到vlan
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 20
[Huawei-Ethernet0/0/2]int e0/0/4
[Huawei-Ethernet0/0/4]port link-type trunk----交换机间相连的要用trunk链路
[Huawei-Ethernet0/0/4]port trunk allow-pass vlan 10 20---允许通过的vlan
[Huawei-Ethernet0/0/4]q
R1：
sys
 [Huawei]undo in e
 [Huawei]int e0/0/0.10---进入子接口
[Huawei-Ethernet0/0/0.10]ip add 192.168.1.254 24---配置IP
 [Huawei-Ethernet0/0/0.10]dot1q termination vid 10---封装
 [Huawei-Ethernet0/0/0.10]arp broadcast enable---开启arp广播
[Huawei-Ethernet0/0/0.10]int e0/0/0.20
[Huawei-Ethernet0/0/0.20]ip add 192.168.2.254 24
 [Huawei-Ethernet0/0/0.20]dot1q termination vid 20
[Huawei-Ethernet0/0/0.20]arp broadcast enable 
[Huawei-Ethernet0/0/0.20]q-------------------到此单臂路由配置完毕：PC1能ping通PC2
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]ip add 12.0.0.1 24
[Huawei-Ethernet0/0/1]q
[Huawei]ip route-static 172.16.1.0 24 12.0.0.2---静态路由
[Huawei]ip route-static 172.16.2.0 24 12.0.0.2
LSW2：
sys
[Huawei]undo in e
 [Huawei]vlan batch 10 20
 [Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]port default vlan 10
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 20
[Huawei-Ethernet0/0/2]int e0/0/3
[Huawei-Ethernet0/0/3]port link-type trunk
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan 10 20
[Huawei-Ethernet0/0/3]q
 LSW3：
sys
 [Huawei]undo in e
 [Huawei]vlan batch 10 20
 [Huawei]int vlan 10
[Huawei-Vlanif10]ip add 172.16.1.254 24
[Huawei-Vlanif10]int vlan 20
[Huawei-Vlanif20]ip add 172.16.2.254 24
[Huawei-Vlanif20]q
 [Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20
[Huawei-GigabitEthernet0/0/2]q------到此三层交换机配置完毕：PC3能ping通PC4
 [Huawei]vlan 30
[Huawei-vlan30]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 30
[Huawei-GigabitEthernet0/0/1]int vlan 30
[Huawei-Vlanif30]ip add 12.0.0.2 24
[Huawei-Vlanif30]q
 [Huawei]ip route-static 192.168.1.0 24 12.0.0.1
[Huawei]ip route-static 192.168.2.0 24 12.0.0.1
配置完成：测试
PC1pingPC2
PC1pingPC2
PC3pingPC4
PC3pingPC4
PC1，PC2和PC3,PC4间的通信：
PC1pingPC3,PC4
PC2pingPC3,PC4
模拟器：华为eNSP模拟器。