华为交换机实现不同VLAN之间互访.docx

1、华为交换机实现不同VLAN之间互访华为交换机实现不同VLAN之间互访配置环境参数1. 交换机E0/1和E0/2属于vlan102. 交换机E0/3属于vlan203. 交换机E0/4和E0/5属于vlan304. 交换机E0/23连接Server15. 交换机E0/24连接Server26. Server1和Server2分属于vlan40和vlan507. PC和Server都在同一网段8. E0/10连接BAS设备，属于vlan60组网需求1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访；2. Vlan10、vlan20和vlan30的PC均可以访问Server 1

2、；3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2；4. vlan 10中的2端口的PC可以访问vlan 30的PC；5. vlan 20的PC可以访问vlan 30的5端口的PC；6. vlan10的PC访问外网需要将vlan信息送到BAS，而vlan20和vlan30则不需要。2 数据配置步骤端口hybrid属性配置流程hybrid 属性是一种混杂模式，实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的端口之间的互访，这是access和trunk端口所不能实现的。在一台交换机上不允许t

3、runk端口和hybrid端口同时存在。1. 先创建业务需要的vlanSwitchAvlan 10SwitchAvlan 20SwitchAvlan 30SwitchAvlan 40SwitchAvlan 502. 每个端口，都配置为 hybrid状态SwitchAinterface Ethernet 0/1SwitchA-Ethernet0/1port link-type hybrid3. 设置端口的pvid等于该端口所属的vlanSwitch-Ethernet0/1port hybrid pvid vlan 104. 将希望可以互通的端口的pvid vlan，设置为untagged vla

4、n，这样从该端口发出的广播帧就可以到达本端口Switch-Ethernet0/1port hybrid vlan 10 40 50 60 untagged实际上，这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口，接收端口通过是否将 vlan 设置为 untagged vlan，来控制是否与 pvid vlan 为 该 vlan 的端口互通。5. 以下各端口类似：Switch-Ethernet0/1int e0/2Switch-Ethernet0/2port link-type hybridSwitch-Ethernet0/2port hybrid pvid vlan 10S

5、witch-Ethernet0/2port hybrid vlan 10 30 40 50 60 untaggedSwitch-Ethernet0/2int e0/3Switch-Ethernet0/3port link-type hybridSwitch-Ethernet0/3port hybrid pvid vlan 20Switch-Ethernet0/3port hybrid vlan 20 30 40 50 60 untaggedSwitch-Ethernet0/3int e0/4Switch-Ethernet0/4port link-type hybridSwitch-Ethern

6、et0/4port hybrid pvid vlan 30Switch-Ethernet0/4port hybrid vlan 10 30 40 50 60 untaggedSwitch-Ethernet0/4int e0/5Switch-Ethernet0/5port link-type hybridSwitch-Ethernet0/5port hybrid pvid vlan 30Switch-Ethernet0/5port hybrid vlan 10 20 30 40 60 untaggedSwitch-Ethernet0/5int e0/23Switch-Ethernet0/23po

7、rt link-type hybridSwitch-Ethernet0/23port hybrid pvid vlan 40Switch-Ethernet0/23port hybrid vlan 10 20 30 40 untaggedSwitch-Ethernet0/24int e0/24Switch-Ethernet0/24port link-type hybridSwitch-Ethernet0/24port hybrid pvid vlan 50Switch-Ethernet0/24port hybrid vlan 10 20 30 50 untagged6. 在上行口E0/10上允许

8、vlan10以tagged形式送出，其它为untaggedSwitchAinterface Ethernet 0/10SwitchA-Ethernet0/10port link-type hybridSwitchA-Ethernet0/10port hybrid pvid vlan 60SwitchA-Ethernet0/10port hybrid vlan 10 taggedSwitchA-Ethernet0/10port hybrid vlan 20 30 untagged本例中需求比较复杂，一般人员很难做到一次性在一个端口上指定哪些vlan允许通过，可以根据需求逐条配置，交换机支持在端口

9、上多次设置。S系列交换机实现不同VLAN之间互访的配置一、组网需求：交换机配置了4个VLAN，分别为VLAN1，VLAN2，VLAN3，VLAN4，要求VLAN1可以与VLAN2，3，4互访，但是VLAN2，3，4之间不能互访，用Hybrid端口属性实现此功能。二、组网图：无三、配置步骤：1. 创建VLAN2Quidwayvlan 22. 创建VLAN3Quidway-vlan2vlan 33. 创建VLAN4Quidway-vlan3vlan 44. 进入端口Ethernet1/0/1Quidway-vlan4 interface Ethernet1/0/15. 将端口设置为hybrid模式

10、Quidway-Ethernet1/0/1port link-type hybrid6. 设置端口pvid为1Quidway-Ethernet1/0/1port hybrid pvid vlan 17. 允许VLAN1，2，3，4不打标签通过Quidway-Ethernet1/0/1port hybrid vlan 1 to 4 untagged8. 进入端口Ethernet1/0/2Quidway-Ethernet1/0/1interface Ethernet1/0/29. 将端口设置为hybrid模式Quidway-Ethernet1/0/2port link-type hybrid10.

11、 设置端口pvid为2Quidway-Ethernet1/0/2port hybrid pvid vlan 211. 允许VLAN1，2不打标签通过Quidway-Ethernet1/0/2port hybrid vlan 1 to 2 untagged12. 进入端口Ethernet1/0/3Quidway-Ethernet1/0/2interface Ethernet1/0/313. 将端口设置为hybrid模式Quidway-Ethernet1/0/3port link-type hybrid14. 设置端口pvid为3Quidway-Ethernet1/0/3port hybrid p

12、vid vlan 315. 允许VLAN1，3不打标签通过Quidway-Ethernet1/0/3port hybrid vlan 1 3 untagged16. 进入端口Ethernet1/0/4Quidway-Ethernet1/0/3interface Ethernet1/0/417. 将端口设置为hybrid模式Quidway-Ethernet1/0/4port link-type hybrid18. 设置端口pvid为4Quidway-Ethernet1/0/4port hybrid pvid vlan 419. 允许VLAN1，4不打标签通过Quidway-Ethernet1/0

13、/4port hybrid vlan 1 4 untagged四、配置关键点：1. 利用交换机以太网端口的Hybrid特性，可以实现PVLAN的功能。2. 采用Hybrid属性实现的PVLAN功能和PVLAN的工作机制存在较大差异，上述情况只适用于网络流量，网络用户较少的应用。S3000-EI系列交换机实现不同VLAN之间互访的配置一、组网：S3026C交换机配置了4个VLAN，分别为VLAN1，VLAN2，VLAN3，VLAN4，要求VLAN1可以与VLAN2，3，4互访，但是VLAN2，3，4之间不能互访，用PVLAN实现此功能。二、组网图：无三、配置步骤：1. 进入VLAN1Switch

14、 vlan 12. 设置VLAN1类型为isolate-user-vlanSwitch-vlan1 isolate-user-vlan enable3. 创建（进入）进入VLAN2Switch-vlan1 vlan 24. 将端口E0/2加入VLAN2Switch-vlan2 port ethernet0/25. 创建（进入）进入VLAN3Switch-vlan2 vlan 36. 将端口E0/3加入VLAN3Switch-vlan3 port ethernet0/37. 创建（进入）进入VLAN4Switch-vlan3 vlan 48. 将端口E0/4加入VLAN4Switch-vlan4

15、 port ethernet0/49. 退出到系统视图Switch-vlan4 quit10. 配置isolate-user-vlan和Secondary VLAN间的映射关系Switch isolate-user-vlan 1 secondary 2 to 4四、配置关键点：1. 目前S系列交换机S2403H、S2026Z-SI 、S2026C-SI与S3000系列都支持PVLAN，此处仅以S3026C为例，其他交换机配置相同；2. isolate-user-vlan不能和Trunk端口同时配置，即如果交换机上配置了isolate-user-vlan，就不能配置Trunk端口；如果配置了Tr

16、unk端口，就不能配置isolate-user-vlan；isolate-user-vlan简介isolate -user-vlan是华为公司系列以太网交换机的一个特性，通过该特性可实现网络中VLAN资源的节约。isolate-user-vlan采用二层 VLAN结构，在一台以太网交换机上设置isolate-user-vlan和Secondary VLAN两类VLAN。一个isolate-user-vlan和多个Secondary VLAN对应，isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口，这样对上层交换机来说，只须识别下层交换机中的is

17、olate-user-vlan，而不必关心isolate- user-vlan中包含的Secondary VLAN，简化了网络配置，节省了VLAN资源。同时，用户可以采用isolate-user-vlan实现二层报文的隔离，即为每个用户分配一个 Secondary VLAN，每个Secondary VLAN中只包含该用户连接的端口和上行端口；如果希望实现用户之间二层报文的互通，只要将这些用户连接的端口划入同一个Secondary VLAN中即可。2.2 isolate-user-vlan配置isolate-user-vlan配置包括：l 配置isolate-user-vlanl 配置Secon

18、dary VLANl 设置isolate-user-vlan和Secondary VLAN间的映射关系以上任务都是必选的，一旦启用isolate-user-vlan就必须配置。2.2.1 配置isolate-user-vlan可以使用下面的命令为一个以太网交换机创建一个isolate-user-vlan，并且向此isolate-user-vlan中添加端口。请在系统视图下进行创建VLAN的配置，在VLAN视图下进行设置VLAN类型为isolate-user-vlan及给该VLAN添加端口的配置。表2-1 配置isolate-user-vlan*作 命令创建VLAN vlan vlan-id设置

19、VLAN类型为isolate-user-vlan isolate-user-vlan enable取消VLAN为isolate-user-vlan的设置 undo isolate-user-vlan enable向isolate-user-vlan中添加端口 port interface-list一台以太网交换机可以有多个isolate-user-vlan，可以为每个isolate-user-vlan指定多个端口。isolate-user- vlan不能和Trunk端口同时配置，即如果以太网交换机上配置了isolate-user-vlan，就不能配置Trunk端口；如果配置了 Trunk端口，

20、就不能配置isolate-user-vlan。此外，上行端口必须添加到了isolate-user-vlan中。2.2.2 配置Secondary VLAN可以使用下面的命令来创建Secondary VLAN，并为Secondary VLAN指定端口。请在系统视图下进行下列配置。表2-2 配置Secondary VLAN*作 命令创建Secondary VLAN vlan vlan-id向Secondary VLAN中添加端口 port interface-list可以向每一个Secondary VLAN中添加多个端口（非上行端口）。2.2.3 配置isolate-user-vlan和Secon

21、dary VLAN间的映射关系可以使用下面的命令来建立isolate-user-vlan和Secondary VLAN之间的映射关系。请在系统视图下进行下列配置。表2-3 配置isolate-user-vlan和Secondary VLAN间的映射关系*作 命令配置isolate-user-vlan和Secondary VLAN间的映射关系 isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist to secondary_vlan_numlist 取消配置isolate-user-vlan和Seconda

22、ry VLAN间的映射关系 undo isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist to secondary_vlan_numlist 需要注意的是，执行该命令前，isolate-user-vlan和Secondary VLAN中都必须已经包含了端口。最多可以向一个isolate-user-vlan中映射30个Secondary VLAN。建立映射关系后，向isolate-user-vlan和Secondary VLAN中添加和删除端口以及删除VLAN的*作被系统禁止。只有在解除了映射关系后才可

23、以执行。undo isolate-user-vlan命令如果不带参数secondary secondary_vlan_numlist的话，就解除所有Secondary VLAN和指定isolate-user-vlan的映射关系；如果带有该参数的话就解除参数指定的Secondary VLAN和指定isolate-user-vlan的映射关系。2.3 isolate-user-vlan显示和调试在完成上述配置后，在所有视图?葱衐isplay命令可以显示配置后isolate-user-vlan的运行情况，通过查看显示信息验证配置的效果。表2-4 isolate-user-vlan的显示与调试*作 命

24、令显示isolate-user-vlan和Secondary VLAN的映射关系 display isolate-user-vlan isolate-user-vlan_num | secondary_vlan_numlist 显示VLAN信息 display vlan vlan-id 2.4 isolate-user-vlan典型配置举例1. 组网需求Switch A太网交换机下接Switch B、Switch C以太网交换机。Switch B上的VLAN5为isolate-user-vlan，包含上行端口Ethernet 1/1和两个Secondary VLAN：VLAN2和VLAN3，V

25、LAN3包含端口Ethernet 0/1，VLAN2包含端口Ethernet 0/2；Switch C上的VLAN6为isolate-user-vlan，包含上行端口Ethernet 1/1和两个Secondary VLAN：VLAN3和VLAN4，VLAN3包含端口Ethernet 0/3，VLAN4包含端口Ethernet 0/4。从Switch A 看，下接的Switch B、Switch C都只有一个VLAN：VLAN 5 和VLAN 6。2. 组网图图2-1 isolate-user-vlan配置组网图3. 配置步骤下面只列出Switch B和Switch C的配置过程。配置Swit

26、ch B：# 配置isolate-user-vlan。Quidway vlan 5Quidway-vlan5 isolate-user-vlan enableQuidway-vlan5 port ethernet 1/1# 配置Secondary VLAN。Quidway-vlan5 vlan 3Quidway-vlan3 port ethernet 0/1Quidway-vlan3 quitQuidway vlan 2Quidway-vlan2 port ethernet 0/2Quidway-vlan2 quit# 配置isolate-user-vlan和Secondary VLAN间的映

27、射关系。Quidway isolate-user-vlan 5 secondary 2 to 3配置Switch C：# 配置isolate-user-vlan。Quidway vlan 6Quidway-vlan6 isolate-user-vlan enableQuidway-vlan6 port ethernet 1/1# 配置Secondary VLAN。Quidway vlan 3Quidway-vlan3 port ethernet 0/3Quidway-vlan3 quitQuidway vlan 4Quidway-vlan4 port ethernet 0/4Quidway-vlan4 quit# 配置isolate-user-vlan和Secondary VLAN间的映射关系。Quidway isolate-user-vlan 6 secondary 3 to 4