华为三层交换机如何让VLAN间不能互通配置.docx
- 文档编号:10355761
- 上传时间:2023-05-25
- 格式:DOCX
- 页数:12
- 大小:19.23KB
华为三层交换机如何让VLAN间不能互通配置.docx
《华为三层交换机如何让VLAN间不能互通配置.docx》由会员分享,可在线阅读,更多相关《华为三层交换机如何让VLAN间不能互通配置.docx(12页珍藏版)》请在冰点文库上搜索。
华为三层交换机如何让VLAN间不能互通配置
华为三层炙换机如何让VLAN间不能互通配Jt
『配置环境洪数』
1.交换机E0/1和E0/2厲于vlardO
2.交换机E0/3厲于vlan20
3.交换机E0/4和E0/54于vlan30
4.交换机E0/23连搖Serverl
5.交换机E0/24连摟Server2
6.Serverl和Server2分厲于vlan40和vlan50
7.PC和Server都柱同一网段
8.E0/10连接BAS设备,厲于vlan60
『组网常求』
1.利用二层交换机端d的hybrid厲性灵活实现vlan之间的灵活互访;
2.VlanlO,vlan20和vlan30的PC均可以访问Server1;
3.vlan10.20以及vlan30的4端d的PC可以访问Server2;
4.vlan10中的2端d的PC可以访问vlan30的PC;
5.vlan20的PC可以访问vlan30的5端d的PC;
6.vlanlO的PC访问外网需要将vlan信息送刊BAS,而vlan20和vlan30则不需要。
2数据配置步骡
『端dhybrid厲性配置流程』
hybrid厲性是一种混杂栈式,实现了疫一个untaggedo许报丈以tagged形式送出交换机。
同肘可以利用hybrid厲性走义分厲于不同的vlan的端d之问的互访,这是access和trunk端d所不能卖现的。
>4一台交换机上不允许trunk端d和hybrid羯d同肘存准
1.丸创建业务需要的vlan
[SwitchA]vlan10
[SwitchA]vlan20
[SwitchA]vlan30
[SwitchA]vlan40
[SwitchA]vlan50
2•每个o,都配置为hybrid状态
[SwitchA]interfaceEthernet0/1
[SwitchA-EthernetO/1]portlink-typehybrid
3.设置端d的pvid等于该端d所厲的vlan
[Switch-EthernetO/1]porthybridpvidvlan10
4.将希矍可以互通的端d的pvidvlan,段置untaggedvlan,这样从该端d发出的/•播帧就可以
到达本端O
[Switch-EthernetO/1]porthybridvlan10405060untagged
实际上,这种配置是通过hybrid端d的pvid来难一的在示一个端d,接收端d通过是否将■vlan设
置为untaggedvian,来控制是否与pvidvian为该vlan的端d互通。
5.以下各端D类仪:
[Switch-EthernetO/1]inteO/2
[Switch-EthernetO/2]portlink-typehybrid
[Switch-Ethernet0/2]porthybridpvidvlan10
[Switch-Ethernet0/2]porthybridvlan1030405060untagged
[Switch-EthernetO/2]inte0/3
[Switch-Ethernet0/3]portlink-typehybrid
[Switch-EthernetO/3]porthybridpvidvlan20
[Switch-Ethernet0/3]porthybridvlan2030405060untagged
[Switch-EthernetO/3]inteO/4
[Switch-Ethernet0/4]portlink-typehybrid
[Switch-Ethernet0/4]porthybridpvidvlan30
[Switch-Ethernet0/4]porthybridvlan1030405060untagged
[Switch-Ethernet0/4]inte0/5
[Switch-Ethernet0/5]portlink-typehybrid
[Switch-EthernetO/5]porthybridpvidvlan30
[Switch-EthernetO/5]porthybridvlan1020304060untagged
[Switch-EthernetO/5]inte0/23
[Switch-Ethernet0/23]portlink-typehybrid
[Switch-Ethernet0/23]porthybridpvidvlan40
[Switch-Ethernet0/23]porthybridvlan10203040untagged
[Switch-EthernetO/24]inteO/24
[Switch-EthernetO/24]portlink-typehybrid
[Switch-EthernetO/24]porthybridpvidvlan50
[Switch-Ethernet0/24]porthybridvlan10203050untagged
6.柱上行dE0/10上允许vlanlO以tagged形式送出,其它为untagged
[SwitchA]interfaceEthernet0/10
[SwitchA-EthernetO/10]portlink-typehybrid
[SwitchA-EthernetO/10]porthybridpvidvlan60
[SwitchA-EthernetO/10Jporthybridvlan10tagged
[SwitchA-EthernetO/10]porthybridvlan2030untagged
本例中需求比较复亲,一般人员很难做到一次性—个端d上指龙哪些vlan允许通过,可以根据需
求逐条配置,交换机丈持A端匕上多次设置。
S糸刃交换机卖现不同VLAN之间互访的配置
1.纽网需求:
交換机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,3,
4互访,但是VLAN2,3,4之间不能互访,用Hybrid端d厲性卖现此功能。
2.组网图:
无
3.配置步骤:
1.创建VLAN2
[Quidwayjvlan2
2.创建VLAN3
[Quidway-vlan2]vlan3
3.创建VLAN4
[Quidway-vlan3]vlan4
4.进入端dEthernets/0门
[Quidway-vlan4]interfaceEthernetl/0/1
5.将端D设置为hybrid棋式
[Quidway-Ethernetl/0/1]portlink-typehybrid
6.设置端dpvid为1
[Quidway-Ethernetl/0/1]porthybridpvidvlan1
7.允许VLAN1,2,3,4不林标签通过
[Quidway-Ethernetl/0/1]porthybridvlan1to4untagged
&进入端dEthernet4!
/0/2
[Quidway-Ethernetl/0/1]interfaceEthernetl/0/2
9.将端D役置为hybrid棋式
[Quidway-Ethernetl/0/2]portlink-typehybrid
10.设置端Qpvid为2
[Quidway-Ethernetl/0/2]porthybridpvidvlan2
门・允许VLAN1,2不村标签通过
[Quidway-Ethernetl/0/2]porthybridvlan1to2untagged
12.进入端dEthernetl/0/3
[Quidway-Ethernetl/0/2]interfaceEthernetl/0/3
13.将羯D设蓋为hybrid槻无
[Quidway-Ethernetl/0/3]portlink-typehybrid
14.设置羯Dpvid殉3
[Quidway-Ethernetl/0/3]porthybridpvidvlan3
15.允许VLAN1,3不林标签通过
[Quidway-Ethernetl/0/3]porthybridvlan13untagged
16.进入端dEthernets/0/4
[Quidway-Ethernetl/0/3]interfaceEthernetl/0/4
17.将羯D设蓋为hybrid槻无
[Quidway-Ethernetl/0/4]portlink-typehybrid
18.■没置端dpvidjtj4
[Quidway-Ethernetl/0/4]porthybridpvidvlan4
19.允许VLAN1,4不村标签通过
[Quidway-Ethernetl/0/4]porthybridvlan14untagged
4.配置关
1.利用交换机以丈网端d的Hybrid特性,可以卖现PVLAN的功能。
2.采用Hybrid厲性卖现的PVLAN功能和PVLAN的工作机制存在轶大差异,上述.情况只适.用于网给
浇量,网络用户轶少的应用。
S3000-EI糸列交换机卖现不同VLAN之间互访的配置
一.纽网:
S3026C交换机配置了4个VLAN,分别为VLAN1,VLAN2,VLAN3,VLAN4,要求VLAN1可以与VLAN2,
3,4互访,但是VLAN2,3,4之间不能互访,用PVLAN实现此功能。
2.纽网图:
无
3.配置步骤:
1.进入VLAN1
[Switch]vlan1
2.彳殳置VLAN1类型为isolate-user-vlan
[Switch-vlard]isolate-user-vlanenable
3.创建(进入丿进入VLAN2
[Switch-vlanl]vlan2
4.将端DEO/2加入VLAN2
[Switch・vlan2]portethernetO/2
5.创建(进入丿进入VLAN3
[Switch-vlan2]vlan3
6.将端DEO/3加入VLAN3
[Switch・vlan3]portethernetO/3
7.创建(进入丿进入VLAN4
[Switch-vlan3]vlan4
&将端dE0/4加入VLAN4
[Switch-vlan4]portethernetO/4
9.退.岀到糸统视图
[Switch-vlan4]quit
10.配置isolate-user-vlan和SecondaryVLAN间的映射关糸
[Switch]isolate-user-vlan1secondary2to4
4.配置关純点:
1.目前S糸列交换机S2403H.S2026Z-SI、S2026C-SI与S3000糸列都支持PVLAN,此处仅以S3026C
为例,其他交换机配置相同;
乙isolate-user-vlan不能和Trunk端d同肘配置,即如果交换机上配置了isolate-user-vlaru就不能配置Trunk端o;如果配置了Trunk端o,就不能配置isolate-user-vlan;isolate-user-vlan简介
isolate-user-vlan是华为公司糸列以丈网交换机的一个特性,通过该特性可实现网络中VLAN姿源的节约。
isolate-user-vlan采用二层VLAN结构,在一台以丈网交换机上设置isolate-user-vlan和SecondaryVLAN两类VLAN。
—isolate-user-vlan和多个SecondaryVLAN对应,isolate-user-vlan包含所对应的所有SecondaryVLAN中包含的端d和上行端d,这择对上层交换机来说,只须识别下层交换机中的isolate・user・vian,而不必关心isolate-user-vlan中包令的SecondaryVLAN,简化了网络配置,节省了VLAN姿源。
同肘,用户可以采用isolate-user-vlan实现二层掖丈的隔富,印为每个用户分配一个SecondaryVLAN,每个SecondaryVLAN中只包令该用户连接的端d和上行端d;如果希望卖现用户之间二层圾丈的互通,只要将这些用户连接的端d划入同一个SecondaryVLAN中即可。
乙2isolate-user-vlan配置
isolate-user-vlan配置包括:
I配置isolate-user-vlan
I配置SecondaryVLAN
l设置isolate-user-vlan和SecondaryVLAN间的映射关糸
以上任务都是必选的,一旦启用isolate・user・vlan就必须配置。
2.2.1配置isolate-user-vlan
可以使用下面的令令为一个以丈网交换机创建一个isolate-user-vlan,并且向此isolate-user-vlan中添加端Do
请在糸统视图下进行创建VLAN的配置,AVLAN视图下进行设置VLAN类型为isolate-user-vlan及给该VLAN添加端o的配置。
2-1配置isolate-user-vlan
★作令令
创建VLANvlanvlan-id
设置VLAN类型为isolate-user-vlanisolate・user・vlanenable
取谄VLAN为isolate-user-vlan的设置undoisolate-user-vlanenable
向isolate-user-vlan中添加端oportinterface-list
一台以丈网交换机可以有多个isolate-user-vlan,可以为每个isolate-user-vlan指龙多个端o。
isolate-user-vian不能和Trunk端d同肘配置,即如果以丸网交换机上配置了isolate・user・vlan,就不能配置Trunk端d;如果配置了Trunk端d.就不能配置isolate-user-vlan。
此外,上行端d必须添加M了isolate-user-vlan中。
2.2.2配置SecondaryVLAN
可以使用下面的令令来创建SecondaryVLAN,并为SecondaryVLAN指定端o。
请柱糸统视图下进行下列配置。
表2-2配置SecondaryVLAN
*作命令
创建SecondaryVLANvlanvlan-id
向SecondaryVLAN中添加端dportinterface-list
可以向每一个SecondaryVLAN中添加多个端d(非上行端d丿。
乙2.3配置isolate-user-vlan和SecondaryVLAN间的映射关糸
可以使用下面的令令来建立isolate-user-vlan和SecondaryVLAN之间的映射关糸。
请糸统视图下进行下列配置。
表2-3配置isolate-user-vlan和SecondaryVLAN间的映射关糸
*作命令
配置isolate-user-vlan和SecondaryVLAN间的映射关糸isolate-user-vlanisolate-user-vlan_num
secondarysecondary_vlan_numlist[tosecondary_vlan_numlist]
取谄配置isolate-user-vlan和SecondaryVLAN间的映射关糸undoisolate-user-vlan
isolate-user-vlan_num[secondarysecondary_vlan_numlist[tosecondary_vlan_numlist]
需要注盘的是,执行该命令常\isolate-user-vlan和SecondaryVLAN中都必须已经包令了端d。
最多可以向一个isolate-user-vlan中映射30个SecondaryVLAN。
建立映射关糸后,向isolate-user-vlan和SecondaryVLAN中添加和刪除踹d以及刪除VLAN的⑷作彼糸统禁止。
只有庭解除了映射关糸后才可以轨行。
undoisolate-user-vlan令令如果不带参教secondarysecondary_vlan_numlist的话.就解除所有SecondaryVLAN和指isolate-user-vlan的映射关糸;如果带有该洪数的话就解除参数指良的SecondaryVLAN和指主isolate-user-vlan的映射关糸。
2.3isolate-user-vlan显示和调试
>4屯成上述配置后,>4所有视图?
葱display令令可以显示配置后isolate-user-vlan的运行情况,通过杳看显示信息验证配置的效果。
哀2-4isolate-user-vlan的显示与调忒
*作令令
显示isolate・user・vlan和SecondaryVLAN的映射关糸displayisolate-user-vlan
[isolate-user-vlan_num|secondary_vlan_numlist]
显示VLAN信魚displayvlan[vlan-id]
乙4isolate-user-vlan典型配置举例
1.组网需求
SwitchA丈网交换机下樓SwitchB.SwitchC以丸网交换机。
SwitchB上的VLAN5为
isolate-user-vlan,包令上行oEthernet1/1和两个SecondaryVLAN:
VLAN2和VLAN3,VLAN3包含端dEthernet0/1,VLAN2包含端dEthernet0/2;SwitchC上的VLAN6为isolate-user-vlan,包含上行端dEthernet1/1和两个SecondaryVLAN:
VLAN3和VLAN4,VLAN3包舍端dEthernet0/3,VLAN4包含端dEthernet0/4。
从SwitchA看"下棲的SwitchB、SwitchC都只有一个VLAN:
VLAN
5和VLAN60
2•组网图
图2-1isolate-user-vlan配置组网图
3.配置步骤
下面只列出SwitchB和SwitchC的配置过程。
配置SwitchB:
#配置isolate-user-vlano
[Quidway]vlan5
[Quidway-vlan5]isolate-user-vlanenable[Quidway-vlan5]portethernet1/1
#配置SecondaryVLANo
[Quidway-vlan5]vlan3
[Quidway-vlan3]portethernet0/1
[Quidway-vlan3]quit
[Quidway]vlan2
[Quidway-vlan2]portethernet0/2
[Quidway-vlan2]quit
#配置isolate-user-vlan和SecondaryVLAN间的映射关糸。
[Quidway]isolate-user-vlan5secondary2to3
配置SwitchC:
#配置isolate-user-vlano
[Quidway]vlan6
[Quidway-vlan6]isolate-user-vlanenable[Quidway-vlan6]portethernet1/1
#配置SecondaryVLAN。
[Quidway]vlan3
[Quidway-vlan3]portethernet0/3
[Quidway-vlan3]quit
[Quidway]vlan4
[Quidway-vlan4]portethernet0/4
[Quidway-vlan4]quit
#配置isolate-user-vlan和SecondaryVLAN间的映射关糸。
[Quidway]isolate-user-vlan6secondary3to4
通过ACL是可以做得刊的
比如让交換机的VLAN2与VLAN3不允许通信,VLAN2的IP是192.168.2.1VLAN3的IP是192.168.3.1
命令如下
aclnumber3000
rule0denyipsource192.16&2.00.0.0.255destination192.168.3.00.0.0.255packet-filterinboundip-group3000rule0
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 三层 交换机 如何 VLAN 不能 互通 配置