来源:蜘蛛抓取(WebSpider)
时间:2017-10-26 07:14
标签:
交换机定义端口
思科利用三层交换机实现VLAN间路由
预备知识: VLAN的划分解决了广播域太大而容易引起广播风暴的问题,有利于增加网络带宽,提高带宽利用率。但划分了VLAN后,VLAN之间的计算机也不能通信,信息、资源不能共享,这与网络建立的目的相违背。 VLAN的划分把网络划分成多个逻辑网段,而不同网段之间的通信需要使用三层设备才能实现,和三层属于三层网络设备,均能实现不同网段之间的数据通信。三层交换机是在二层交换机的基础上添加了路由模块,同一VLAN的数据交换时通过交换模块完成,不同VLAN间数据交换才使用路由模块,因些三层交换机的交换数据速度要远远快于路由器,成为局域网连接不同网段间的首选设备。
了解二层交换机和三层交换机的区别。
了解三层交换机VLAN接口的作用于。
掌握VLAN间互通的配置思路及命令。
某校园网的计算机设备都使用同一个网段进行管理,随着学校的发展计算机设备越来越多,由于同一网段的计算机过多,网络经常出现通信时断时续、甚至发生广播风暴导致网络瘫痪的情况。解决该问题的方法是对现有网络进行划分,把原来的大网段划分成二个或多个小的网段,再使用三层交换机实现不同网段之间的互通。 &
设备要求:
一台3560-24PS三层交换机、一台2950-24二层交换机和四台PC机。
一条交叉双绞线和四条直通双绞线。
实训拓扑图
配置要求:
1)PC机配置要求:
2)交换机配置要求:
实训效果:所有PC机能互相PING通。&
添加设备后连接并设置各PC机IP信息。
二层交换机创建VLAN、接口加入VLAN、F0/24口。
三层交换机创建VLAN、设置三层VLAN接口IP、F0/24口设置为TRUNK。
测试所有PC机连通性。
1、添加设备使用双绞线按拓扑图连接网络。 2、按实训配置要求配置四台PC机的IP地址信息。 3、点击交换机S1进入命令行配置窗口,更改交换机名称、创建VLAN并把相应接口划入对应VLAN。
//进入特权用户配置模式
Switch#conf t
//进入全局配置模式
Switch(config)#hostname S1
//更改交换机名称
S1(config)#vlan 10
//创建编号为10的VLAN
S1(config-vlan)#exit
//退出VLAN配置模式
S1(config)#vlan 20
//创建编号为20的VLAN
S1(config-vlan)#exit
//退出VLAN配置模式
S1(config)#int range f0/1-2
//同时进入接F0/1到F0/2接口
S1(config-if-range)#switchport access vlan 10
// 把F0/1到F0/2划入VLAN 10
S1(config-if-range)#exit
//退出接口配置模式
S1(config)#int range f0/3-4
//同时进入接F0/3到F0/4接口
S1(config-if-range)#switchport access vlan 20
//把F0/3到F0/4接口划入VLAN 20
S1(config-if-range)#
4、进入F0/24接口,设置接口模式为TRUNK模式。
S1(config-if-range)#exit
//退出接口配置模式
S1(config)#int f0/24
//进入F0/24接口
S1(config-if)#switchport mode trunk
//把接口模式配置为trunk模式
S1(config-if)#
5、保存二层交换机S1的配置。
S1(config-if)#^Z
//按&Ctr+Z&键退出到特权模式
//保存配置
Building configuration...
6、进入三层交换机S2,更改交换机名称并进入F0/24接口封装dot1q协议并设置为TRUNK模式。
//进入特权用户配置模式
Switch#conf t
//进入全局配置模式
Switch(config)#hostname S2
//更改交换机名称
S2(config)#int f0/24
//进入F0/24接口
S2(config-if)#switchport trunk encapsulation dot1q
//为F0/24接口封装dot1q协议
S2(config-if)#switchport mode trunk
//把接口模式配置为trunk模式
S2(config-if)#exit
//退出接口配置模式
S2(config)#
7、创建VLAN10、VLAN20后分别进入VLAN10和VLAN20的三层接口配置IP地址。
S2(config)#vlan 10
//创建编号为10的VLAN
S2(config-vlan)#exit
//退出vlan配置模式
S2(config)#vlan 20
//创建编号为20的VLAN
S2(config-vlan)#exit
//退出VLAN配置模式
S2(config)#interface vlan 10
//进入vlan 10接口配置模式
S2(config-if)#ip address 192.168.1.254 255.255.255.0
//设置IP地址
S2(config-if)#no shut
//打开接口
S2(config-if)#exit
//退出接口配置模式
S2(config)#interface vlan 20
//进入vlan 20接口配置模式
S2(config-if)#ip address 192.168.2.254 255.255.255.0
//设置IP地址
S2(config-if)#no shut
//打开接口
S2(config-if)#
8、使用PC1 PING其它PC机,所有计算机都能连通,如下所示。
PC&ping 192.168.1.2
//与PC2连通
Pinging 192.168.1.2 with 32 bytes of data:
Reply from 192.168.1.2: bytes=32 time=62ms TTL=128
Reply from 192.168.1.2: bytes=32 time=47ms TTL=128
Reply from 192.168.1.2: bytes=32 time=62ms TTL=128
Reply from 192.168.1.2: bytes=32 time=62ms TTL=128
Ping statistics for 192.168.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 47ms, Maximum = 62ms, Average = 58ms
PC&ping 192.168.2.1
//与PC3连通
Pinging 192.168.2.1 with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time=109ms TTL=127
Reply from 192.168.2.1: bytes=32 time=125ms TTL=127
Reply from 192.168.2.1: bytes=32 time=125ms TTL=127
Reply from 192.168.2.1: bytes=32 time=125ms TTL=127
Ping statistics for 192.168.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 109ms, Maximum = 125ms, Average = 121ms
PC&ping 192.168.2.2
//与PC4连通
Pinging 192.168.2.2 with 32 bytes of data:
Reply from 192.168.2.2: bytes=32 time=94ms TTL=127
Reply from 192.168.2.2: bytes=32 time=125ms TTL=127
Reply from 192.168.2.2: bytes=32 time=125ms TTL=127
Reply from 192.168.2.2: bytes=32 time=125ms TTL=127
Ping statistics for 192.168.2.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 94ms, Maximum = 125ms, Average = 117ms
VLAN间通信除用到本实训用到的三层交换机外,还能用路由器实现,路由器通过把单个接口划分成多个子接口,每个子接口封装dot1q协议,对应相应的VLAN实现不同网段通信。
思科三层交换机端口默认TRUNK封装为&auto&模式,只有重新使用命令&switchport trunk encapsulation dot1q&封装为dot1q(vlan协议)才能使用命令&switchport mode trunk&更改端口为trunk模式。
思科大多数交换机设备TRUNK口支持VLAN需要先封装dot1q协议,否则不能成功设置端口为TRUNK口,如本实训中的3560交换机。
计算机需要设置本网段的网关,否则不能连通其余网段的设备。
根据实训拓扑图完成下更练习,完成后所有计算机能互通。H3C低端以太网交换机典型配置案例(V1.04) - H3C低端以太网交换机典型配置案例(V1.04)_VLAN典型配置案例- 新华三集团-H3C
配置典型配置
H3C低端以太网交换机典型配置案例(V1.04)
07-VLAN典型配置案例
docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S/Configure/Typical_Configuration_Example/S5600_Typical_Configuration_Example(V1.04)/974_30005_0.htm
07-VLAN典型配置案例
典型配置举例
关键词:VLAN,802.1Q,VLAN接口,协议VLAN
摘& 要:本文主要介绍H3C系列以太网交换机的VLAN功能在具体组网中的应用配置,以及与协议VLAN的配合使用。
缩略语:VLAN(Vitrual LAN,虚拟局域网)
低端以太网交换机支持的VLAN功能列表
表1-1 H3C低端以太网交换机支持的VLAN功能列表
l上表中“l”表示完全支持该功能;“&”表示部分支持,即该款设备只能配置一个VLAN接口,且该VLAN必须是管理VLAN;“-”表示不支持该功能。
l各款交换机支持的VLAN功能的详细介绍,请参见各产品的用户手册。
1.2& 配置指南
l不同型号的设备,配置的方法会有差异,这里以S3600系列交换机作为举例。其它型号交换机的配置请参见产品的操作手册。
l下文只列出了基本的配置步骤,有关各个功能的基本原理和作用,请参见各产品的操作、命令手册。
H3C S3600系列交换机支持基于802.1Q协议的VLAN配置,用户可以通过创建VLAN并将以太网端口加入VLAN实现虚拟工作组的划分。
表1-2 创建VLAN及VLAN基本配置
进入系统视图
system-view
批量创建多个VLAN
vlan { vlan-id1
to vlan-id2 | all }
创建VLAN并进入VLAN视图
vlan vlan-id
缺省情况下,系统只有一个缺省VLAN(VLAN1)
指定当前VLAN的名称
缺省情况下,VLAN的名称为该VLAN的VLAN ID,例如“VLAN 0001”
指定当前VLAN的描述字符串
description text
缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,例如“VLAN 0001”
显示VLAN相关信息
display vlan
[ vlan-id [ to vlan-id ] | all | dynamic |
display命令可以在任意视图下执行
用户可以在VLAN视图或以太网端口视图下配置将端口加入VLAN。
表1-3 在VLAN视图下将端口加入VLAN
进入系统视图
system-view
进入VLAN视图
vlan vlan-id
向当前VLAN中加入以太网端口
port interface-list
缺省情况下,所有端口都已加入到系统缺省的VLAN(VLAN1)中
在VLAN视图下只能将Access端口加入到当前VLAN中,对于Trunk和Hybrid端口,只能在以太网端口视图下进行配置。
表1-4 在以太网端口视图下将当前端口加入VLAN
进入系统视图
system-view
进入以太网端口视图
interface interface-type interface-number
配置端口的类型
port link-type { access | trunk | hybrid }
缺省情况下,所有端口都是Access端口
将当前端口加入指定的VLAN
Access端口
port access vlan vlan-id
缺省情况下,这三类端口都处在缺省VLAN(VLAN1)中
port trunk permit vlan { vlan-id-list | all }
Hybrid端口
port hybrid vlan vlan-id-list { tagged | untagged
为当前端口指定缺省VLAN
port trunk pvid vlan vlan-id
缺省情况下,所有端口的缺省VLAN都是VLAN1
对于Access端口,由于只能加入一个VLAN,所以这个VLAN就是该端口的缺省VLAN
Hybrid端口
port hybrid pvid vlan vlan-id
接口基本配置
用户可以通过配置VLAN接口并为其分配IP地址,实现交换机的三层转发功能。
表1-5 VLAN接口基本配置
进入系统视图
system-view
创建VLAN接口并VLAN接口视图
interface Vlan-interface vlan-id
缺省情况下,在交换机上不存在VLAN接口
配置当前VLAN接口的IP地址
ip address
ip-address { mask | mask-length } [ sub ]
缺省情况下,VLAN接口没有配置IP地址
指定当前VLAN接口的描述字符串
description text
缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名,例如“Vlan-interface1 Interface”
将VLAN接口的管理状态设置为关闭
缺省情况下,VLAN接口的管理状态为打开,此时VLAN接口状态受VLAN中端口状态的影响,即:当VLAN中所有以太网端口状态为Down时,VLAN接口为Down状态,即关闭状态;当VLAN中有一个或一个以上的以太网端口处于Up状态时,则VLAN接口处于Up状态
如果将VLAN接口的管理状态设置为关闭,则VLAN接口的状态始终为Down,不受VLAN中端口状态的影响
将VLAN接口的管理状态设置为打开
undo shutdown
显示VLAN接口的相关信息
display interface Vlan-interface [ vlan-id ]
display命令可以在任意视图下执行
l在创建VLAN接口之前,对应的VLAN必须已经存在。
l部分H3C交换机只支持创建一个VLAN接口,并且在创建VLAN接口之前需要使用management-vlan命令将对应的VLAN设置为缺省VLAN。具体操作请参见相关产品的用户手册。
用户可以通过配置协议VLAN,使交换机对接收的untag报文根据用户设定的协议模板进行匹配,根据报文所属的协议将其划分到指定的VLAN内传输。协议VLAN的配置包括两部分:一是创建协议模板,同时即启动了协议VLAN功能;二是将以太网端口与协议VLAN进行绑定。
表1-6 协议VLAN配置
进入系统视图
system-view
进入VLAN视图
vlan vlan-id
配置协议VLAN的协议模板
protocol-vlan [ protocol-index ] { at | ip | ipx {
ethernetii | llc | raw | snap }
| mode { ethernetii etype etype-id | llc
{ dsap dsap-id ssap ssap-id } | snap etype
etype-id } }
缺省情况下,没有配置协议VLAN的协议模板
退出至系统视图
进入以太网端口视图
interface interface-type interface-number
配置端口为Hybrid类型
port link-type hybrid
缺省情况下,所有端口均为Access类型
配置端口加入协议VLAN,并在发送该VLAN报文时去掉VLAN Tag
port hybrid vlan vlan-id untagged
缺省情况下,所有端口都只加入了VLAN1
配置端口与协议VLAN关联
port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-index-end
缺省情况下,端口没有与协议VLAN关联
显示指定VLAN上配置的协议信息及协议的索引
display protocol-vlan vlan { vlan-id
[ to vlan-id ] | all }
display命令可以在任意视图执行
显示指定端口上配置的协议信息及协议的索引
display protocol-vlan interface { interface-type interface-number [ to interface-type interface-number ] | all }
综合配置举例
某研发公司下有三个部分,分别为研发部、市场部、设计部。三个部门共处一个办公楼内,研发部和市场部办公区域分开;因工作需要,设计部和研发部部分员工使用混合办公区域。除设计部的员工使用Apple主机外,其余部门员工均使用Windows系统主机。要求利用VLAN技术管理各部门的网络权限,实现以下的访问需求:
l各部门内部的员工之间均可以互相通信,部门间不能进行通信。
l研发和市场部分处不同的IP网段,由Core-SwitchA自动分配地址。
l研发和市场部都可以访问公共服务器,但研发专用服务器和设计部专用服务器只能由各自部门的员工访问,其他部门无法访问。
l研发部和设计部的工作站和服务器不能访问Internet,市场部和设计部的工作站和服务器不能访问研发部的VPN网络。
图2-1 VLAN综合配置举例组网图
1. SwitchA的配置
图2-2 SwitchA组网示意
SwitchA接入的研发部和市场部单独办公区域可以通过将端口配置到不同的VLAN中实现二个区域间的隔离。
对于混合办公区域,由于两个部门通过一个端口接入,因此无法简单的通过配置端口加入VLAN来实现部门间的隔离。考虑到工业设计部和研发部的员工使用不同的操作系统,可以使用协议VLAN的功能,将使用Apple主机的员工(网络协议为Appletalk)和使用Windows主机的员工(网络协议为IP)通过其使用网络协议将各自的报文划分到不同VLAN。
SwitchA连接到SwitchB的端口要求允许所有VLAN的报文通过,而且保留VLAN Tag,以区分该报文所属的VLAN。
2. SwitchB的配置
图2-3 SwitchB组网示意
SwitchB接入的网络比较简单,只需要将市场部和研发部接入的端口划分到不同VLAN即可(注意要与SwitchA上配置的VLAN编号相同)。上连至Core-SwitchA的端口要允许所有VLAN的报文携带VLAN Tag通过。
3. Core-SwitchA的配置
图2-4 Core-SwitchA组网示意
Core-SwitchA连接SwitchB的端口应允许研发、市场、设计部门的报文通过。
由于Core-SwitchA是接入VPN网络的出口,因此在为研发部分配IP地址时,需要将网关设置为自己的接口地址,并且在连接VPN的端口只允许研发部所在VLAN的报文通过。
在Core-SwitchA为市场部分配IP地址时,需要同时指定网关为Core-SwitchB上市场部VLAN对应的接口,使市场部访问Internet的数据能够被正常转发。
4. Core-SwitchB的配置
图2-5 Core-SwitchB组网示意
Core-SwitchB上连接了各个服务器,需要将各服务器的接入端口加入到不同的VLAN,保证只有特定部门才可以访问。
由于公共服务器需要研发和市场部门的主机都能访问,因此为其单独划分为一个VLAN,在客户端与服务器之间进行三层转发。同时注意在Core-SwitchB和Core-SwitchA之间的链路除允许三个部门报文通过外,还需要允许服务器群所在VLAN的报文通过(因为研发部和服务器群之间的三层转发需要由Core-SwitchA来进行)。
由于Core-SwitchB是接入Internet的出口,因此需要在市场部所在VLAN的接口上配置一个IP地址,使该接口能够作为网关正常转发市场部访问Internet的数据。
综上所述,现需要将研发、市场、设计部的工作站和服务器分别划分到VLAN100、VLAN200、VLAN300内,研发和市场分别使用192.168.30.0和192.168.40.0的网段。公共服务器使用VLAN500,IP地址为192.168.50.0的网段。规划后的VLAN分布图如所示:
分布示意图
1. 使用的设备及版本
本举例中使用的设备为S3600系列以太网交换机,软件版本为Release 1510。
2. 配置过程
l配置SwitchA
# 创建VLAN100、VLAN200、VLAN300。
&SwitchA& system-view
[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] vlan 200
[SwitchA-vlan200] quit
[SwitchA] vlan 300
[SwitchA-vlan300]
[SwitchA-vlan300] quit
# 将接入研发区域的端口Ethernet1/0/5加入VLAN100。
[SwitchA] interface Ethernet 1/0/5
[SwitchA-Ethernet1/0/5] port access vlan 100
[SwitchA-Ethernet1/0/5] quit
# 将接入市场区域的端口Ethernet1/0/7加入VLAN200。
[SwitchA] interface Ethernet 1/0/7
[SwitchA-Ethernet1/0/7] port access vlan 200
[SwitchA-Ethernet1/0/7] quit
# 配置VLAN100和VLAN300的协议VLAN模板,分别匹配IP协议报文和Appletalk协议报文。
[SwtichA] vlan 100
[SwitchA-vlan100] protocol-vlan ip
[SwitchA-vlan100] quit
[SwitchA] vlan 300
[SwitchA-vlan300] protocol-vlan at
[SwitchA-vlan300] quit
# 这里需要特别注意,在配置基于IP协议的协议模板时,同时配置基于ARP协议的模板,这里以EthernetII封装举例。
[SwitchA] vlan 100
[SwitchA-vlan100] protocol-vlan mode ethernetii etype 0806
# 配置接入混合办公区域的端口Ethernet1/0/10为Hybrid端口,使其可以转发VLAN100和VLAN300的报文,并且在发送时均去掉VLAN Tag,使工作站可以正常处理报文。
[SwitchA] interface Ethernet 1/0/10
[SwitchA-Ethernet1/0/10] port link hybrid
[SwitchA-Ethernet1/0/10] port hybrid vlan 100 300 untagged
# 将该端口于VLAN100和VLAN300的协议模板相绑定,使其可以按照该模板对接收的报文进行匹配,并将匹配的报文在指定的VLAN中发送。
[SwitchA-Ethernet1/0/10] port hybrid protocol-vlan vlan 100 all
[SwitchA-Ethernet1/0/10] port hybrid protocol-vlan vlan 300 all
[SwitchA-Ethernet1/0/10] quit
# 配置与SwitchB连接的端口GigabitEthernet1/1/1为Trunk端口,并使其允许VLAN100/200/300的报文携带VLAN Tag通过。
[SwitchA] interface GigabitEthernet 1/1/1
[SwitchA-GigabitEthernet1/1/1] port link-type trunk
[SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 100 200 300
l配置SwitchB
# 在SwitchB上创建VLAN100、VLAN200、VLAN300,方法与SwitchA相同,这里不再赘述。
# 配置端口Ethernet1/0/2和Ethernet1/0/3分别加入VLAN200和VLAN100。
&SwitchB& system-view
[SwitchB] interface Ethernet 1/0/2
[SwitchB-Ethernet1/0/2] port access vlan 200
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet 1/0/3
[SwitchB-Ethernet1/0/3] port access vlan 100
[SwitchB-Ethernet1/0/3] quit
# 配置端口GigabitEthernet1/1/1和GigabitEthernet1/1/2,并使其允许VLAN100/200/300的报文携带VLAN Tag通过。
[SwitchB] interface GigabitEthernet 1/1/1
[SwitchB-GigabitEthernet1/1/1] port link-type trunk
[SwitchB-GigabitEthernet1/1/1] port trunk permit vlan 100 200 300
[SwitchB-GigabitEthernet1/1/1] quit
[SwitchB] interface GigabitEthernet 1/1/2
[SwitchB-GigabitEthernet1/1/2] port link-type trunk
[SwitchB-GigabitEthernet1/1/2] port trunk permit vlan 100 200 300
[SwitchB-GigabitEthernet1/1/2] quit
l配置Core-SwitchA
# 在Core-SwitchA上创建VLAN100、VLAN200和VLAN300,配置方法与SwitchA的相同,这里不再赘述。
# 配置GigabitEthernet1/1/1和GigabitEthernet1/1/2为Trunk端口,允许VLAN100/200/300的报文携带VLAN Tag通过,配置方法与SwitchB相同,这里不再赘述。
# 创建VLAN100的接口,并配置地址为192.168.30.1,为研发部的工作站分配192.168.30.0/24网段的地址,同时客户端的网关将自动指向自己。
[Core-SwitchA] dhcp enable
[Core-SwitchA] interface Vlan-interface 100
[Core-SwitchA-Vlan-interface100] ip address 192.168.30.1 24
[Core-SwitchA-Vlan-interface100] dhcp select interface
[Core-SwitchA-Vlan-interface100] quit
# 创建全局地址池,为市场部的工作站分配192.168.40.0/24网段的地址,同时客户端的网关指向Core-SwitchB(192.168.40.1)。
[Core-SwitchA] dhcp server ip-pool mk
[Core-SwitchA-dhcp-pool-mk] network 192.168.40.0 mask 255.255.255.0
[Core-SwitchA-dhcp-pool-mk] gateway-list 192.168.40.1
有关DHCP配置的详细介绍,请参见S3600系列以太网交换机的操作、命令手册。
# 为正常转发研发部访问公共服务器的报文,在Core-SwitchA上还应该创建VLAN500及其对应的接口地址,并配置端口GigabitEthernet1/1/1允许该VLAN的报文带VLAN Tag通过。
[Core-SwitchA] vlan 500
[Core-SwitchA-vlan500] quit
[Core-SwitchA] interface Vlan-interface 500
[Core-SwitchA-Vlan-interface500] ip address 192.168.50.1 24
[Core-SwitchA-Vlan-interface500] quit
[Core-SwitchA] interface GigabitEthernet 1/1/1
[Core-SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 500
# 为正常转发研发部访问VPN的报文,需要在Core-SwitchA上创建一个连接VPN的接口,并配置相应的IP地址,将端口Ethernet1/0/20加入该接口对应的VLAN,配置过程这里不再赘述。
l配置Core-SwitchB
在Core-SwitchB上创建VLAN100、VLAN200、VLAN300和VLAN500,配置方法这里不再赘述。
# 配置GigabitEthernet1/1/1为Trunk端口,允许VLAN100/200/300/500的报文携带VLAN Tag通过,配置方法这里不再赘述。
# 为正常转发市场部访问Internet的报文,需要在Core-SwitchB上创建一个连接Internet的接口,并配置相应的IP地址,将端口Ethernet1/0/15加入该VLAN,配置过程这里不再赘述。
# 配置端口GigabitEthernet1/1/3和GigabitEthernet1/1/4分别只允许VLAN300和VLAN100的报文通过,配置方法这里不再赘述。
# 配置端口GigabitEthernet1/1/2只允许VLAN500的报文通过,配置方法这里不再赘述。
# 配置VLAN200接口的IP地址为192.168.40.1,配置方法这里不再赘述。
3. 配置说明
经过上述配置,各部门间通过VLAN进行了隔离,部门间的主机间在数据链路层无法互通。
由于研发部和市场部分别将网关指向Core-SwitchA和Core-SwitchB,而Core-SwitchA上没有配置VLAN200和连接Internet的VLAN接口的地址,因此研发部无法通过三层转发访问市场部和Internet;同样,市场部也无法通过Core-SwitchB进行三层转发访问研发部和VPN网络。
至此,各部门之间在数据链路层和网络层均实现了隔离。
为避免用户手工改变工作站的IP地址和网关,非法访问网络资源,建议在SwitchA和SwitchB上启动DHCP-Snooping功能,监控客户端的IP地址使用情况。配置方法请参见S3600系列交换机的操作、命令手册。
协议与ARP协议关系密切,用户在VLAN下配置IP协议类型时,请同时配置ARP协议类型,并将这两种协议类型关联到相同的端口,避免因ARP报文与IP报文未划分到同一VLAN,而造成无法解析IP地址的情况。
l每个端口最多可以绑定的协议模板数量与产品型号有关,请参见各产品的用户手册。
IEEE 802.1Q Virtual Bridged Local Area Networks
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!400-877-3227
爱快在线支持
Online&Support
VLAN设置(X86)
一.名词解释VLAN(Virtual&Local&Area&Network)的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中,但又不是所有交换机都具有此功能,只有VLAN协议的第二层以上交换机具有此功能,这一点可通过相应交换机的说明书即可得知。&&&&&&& & 二.设置方法使用此功能的前提是有一个带有VLAN功能的交换机。爱快路由上的配置如下:创建好VLAN,设置好虚拟IP地址。 IP地址:IP地址这里面对应的地址就是该VLAN下PC的网关。 VLAN名称:必须是VLAN+数字的形式来命名。注意事项:&爱快接二层交换机的话,爱快上只需要在VLAN设置这做一下设置即可。案例一:爱快下接Cisco交换机VLAN设置实例网络拓扑:&爱快下接Cisco2960二层VLAN交换机,VLAN交换机接用户。需求:&使用VLAN交换机把网络划分为3个VLAN。设置:1.Cisco交换机VLAN设置。①思路:&VLAN&ID与交换机上设置的VLAN&ID对应,路由的LAN口直接接VLAN交换机的TRUNK.&F0/2:属于VLAN2&F0/3:属于VLAN3&F0/24:属于TRUNK。②CISCO&2960&二层VLAN交换机的配置&&Switch(config)#vlan&2&Switch(config-vlan)#exitSwitch(config)#vlan&3Switch(config-vlan)#exitSwitch(config)#interface&fastEthernet&0/2Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan2 & & & &//创建VLAN2Switch(config-if)#exitSwitch(config)#interace&fastEthernet&0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport&access&vlan3 & & & //创建VLAN3Switch(config-if)#exitSwitch(config)#interface&fastEthernet&0/24 & & &//修改0/24口,设置TRUNK,允许VLAN通过。Switch(config-if)#switchport&mode&trunkSwitch(config-if)#switchport&trunk&allowed&vlan&2,3,42.爱快路由的设置:&& & & & 注:如若您在爱快下接的是三层核心VLAN交换机的话,如果想启用三层功能,那么设置的步骤就不同了。如果您接了三层交换机的话。就不需要在VLAN这做设置。想要三层下面的客户端通过路由上网的话在你的三层交换机上做一下静态路由即可。注:如果想让两个路由互通的话,需要在您的爱快上也需要做一条静态路由。三层VLAN交换机开启路由功能后配置如下:R1#conf&tR1(config)#vlan&2R1(config)#exitR1(config)#interface&fastEthernet&1/0R1(config-if)#switchport mode accessR1(config-if)#switchport&access&vlan&2 & & & & & & & & & & &//接口1/0创建VLAN2R1(config-if)#exitR1(config)#int&vlan&2R1(config-if)#ip&add&172.16.100.1&255.255.255.0 & & & & & & & &//配置VLAN的IP地址R1(config-if)#exitR1(config)#interface&fastEthernet&0/0R1(config)#no&switchport & & & & & & & & & & & & & & & &//开启路由接口R1(config)#no&shutdown & & & & & & & & & & & & & & & & & & & & &&R1(config-if)#ip&address&172.16.1.2&255.255.255.0 & & & & & & &//给路由接口配置IP地址R1(config-if)#exitR1(config)#ip&route&&0.0.0.0&0.0.0.0&fastEthernet&0/0& & & & & & & & & //做一条让任意IP地址走三层交换机路由接口的静态路由设置完毕爱快路由的设置:案例二:爱快下接华为交换机vlan设置实例&网络拓扑:&爱快下接华为S3700二层VLAN交换机,VLAN交换机接用户。需求:&使用VLAN交换机把网络划分为VLAN,终端需要通过爱快DHCP分配IP地址。设置:1.华为交换机VLAN设置。①思路:&VLAN&ID与交换机上设置的VLAN&ID对应,路由的LAN口直接接VLAN交换机的TRUNK.&G0/0/20:属于VLAN20&G0/0/18:TRUNK口②华为S3700二层VLAN交换机的配置[ikuai_test]vlan 20[ikuai_test-vlan20]q & & & & & & & & & & & & //创建VLAN20[ikuai_test]inter Ethernet 0/0/20[ikuai_test-Ethernet0/0/18]port link-type access[ikuai_test-Ethernet0/0/18]port default vlan 20 & & & //E0/0/20加入到VLAN20[ikuai_test]inter Ethernet 0/0/18[ikuai_test-Ethernet0/0/18]port link-type trunk& &&[ikuai_test-Ethernet0/0/18]port tr al vlan al & & & &//E0/0/18设置为TRUNK,并允许所有VLAN通过2.爱快vlan设置:①爱快vlan设置:②爱快vlan DHCP设置:这样设置好,保证线路正常以及接线正确终端即可获取IP地址③如图终端获取了IP地址。三.常见问题1、交换机是三层交换机,配置VLAN后,和爱快不通。解决办法:& ①如果交换机当二层使用,交换机里面配置VLAN和TRUNK口,TRUNK口接爱快的LAN口,爱快的VLAN设置对应配置VLAN信息注意:爱快的VLAN设置里面的VLAN ID要和交换机里面的VLAN ID对应;& & 如果交换机里面的VLAN设置了管理IP地址的话,一定不要有冲突。& ②如果交换机当三层使用,爱快里面需要做静态路由,指向三层交换机下面的网段,注意静态路由的线路设置注意事项:& 静态路由里面的这个线路一定不能选择“自动”,对应是哪个LAN口就选择哪个LAN口。静态路由的设置教程:2、爱快的VLAN支持QINQ功能的具体的可以参考下面的链接:
400-877-3227
技术支持电话
周一至周五&9:00 - 20:30
QQ交流群:
关注官方微信
读心系统将在10月底正式上线,敬请期待。。。
什么是读心?
读心系统是基于爱快路由器的运维、管理和数据平台,除了可以在线管理您的所有设备,还将处理您基于爱快路由的WiFi Portal认证、在线升级系统、数据统计分析、批量修改URL跳转和插入JS等所有线上事务。
总之,他的确是您的网络好帮手。
