来源:蜘蛛抓取(WebSpider)
时间:2018-06-08 03:43
标签:
mux vlan是不是pvlan
工作和学习
华为交换机扩展vlan配置
session 1 vlan扩展技术
一、Mux Vlan,利用vlan类型实现一种在同一个vlan端口间二层流量隔离的机制,Mux的vlan分为主vlan和从vlan
1、主vlan和从vlan可以通信
2、从vlan之间分为组类型和隔离类型,组类型的从vlan之间可以通信,隔离类型的vlan之间不能通信
实例,拓扑如下:
主vlan10与从vlan2、3形成mux-vlan,其中pc1、2在sub-vlan2内,pc3、4在sub-vlan3内,要求pc1、2、3、4都能与pc5通信,而pc1、2相互可以通信但pc3、4相互不能通信,下面使用mux-vlan技术实现,配置如下:
pc1-5的ip地址分别为192.168.1.10-50
在sw1上配置:
vlan batch 2 to 3 10
创建vlan2、3、10
进入vlan10
将vlan10配置为mux主vlan
subordinate separate 3
配置sub-vlan3为隔离类型
subordinate group 2
配置sub-vlan2为组类型
interface GigabitEthernet0/0/1
将连接pc的端口分别加入对应的vlan
port link-type access
port default vlan 2
port mux-vlan enable
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
port mux-vlan enable
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
port mux-vlan enable
interface GigabitEthernet0/0/4
port link-type access
port default vlan 3
port mux-vlan enable
interface GigabitEthernet0/0/5
将连接pc5的端口加入主vlan10,实现mux-vlan与sub-vlan相互通信的目的
port link-type access
port default vlan 10
port mux-vlan enable
二、super vlan技术,聚合vlan,用于解决三层vlan接口过多浪费ip地址的问题
在聚合vlan中,只在super-vlan接口上配置ip地址,而不必为每个sub-vlan配置ip地址。所有sub-vlan公用一个网段,从而节省ip地址
上述拓扑中为了节省ip地址,只使用一个网段。用到super-vlan技术,其中super-vlan10,ip地址192.168.1.24/24,sub-vlan2、3是从vlan,共同使用一个网络。所有主机都属于192.168.1.0/24网络,但是pc1、2在vlan2内,pc3、4在vlan3内,默认情况下因为pc1、2与pc3、4分别处于不同的vlan不能通信,为了让vlan2与vlan3能够通信,就必须在super中开启vlan间的arp代理功能(因为super-vlan是节省ip地址用,但是公用一个ip网段后sub-vlan是不能相互通信的,必须依靠L3路由而super-vlan中sub-vlan又没有svi接口来配置ip地址,所以必须依靠arp代理功能来让super代理转发sub-vlan之间的数据包,让sub-vlan之间相互通信)
配置如下:
vlan batch 2 to 3 10
创建vlan2、3、10
进入vlan10
aggregate-vlan
配置vlan10为聚合vlan
access-vlan 2 to 3
聚合了vlan2、3
interface Vlanif10
为super-vlan10配置svi接口ip地址
ip address 192.168.1.254 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable
开启vlan间的arp代理功能
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
interface GigabitEthernet0/0/4
port link-type access
port default vlan 3
pc的ip地址都是用192.168.1.0/24,可以不用配置网关,因为在同一个网段内,并且有arp代理功能。
使用命令[Huawei]display vlan可以看到super-vlan和sub-vlan
三、arp代理功能:
[Huawei-Vlanif10]arp-proxy ?
Enable proxy ARP(Address Resolve Protocol)
路由模式的arp代理功能
inner-sub-vlan-proxy
Proxy ARP within a VLAN
vlan内的arp代理功能
inter-sub-vlan-proxy
Proxy ARP between VLANs
vlan间的arp代理功能
1、路由模式的arp代理功能,拓扑和实例如下:
路由模式的arp-proxy代理主要用于两个处于同一个网段的物理网络之间的无网关通信,如上述拓扑中的PC6与PC7都在同一个网段,但是分别处于两个不同的物理网络中,中间使用路由器分割开,那么可以使用arp-proxy的路由模式来使得pc6与pc7之间通信,在AR1上只需如此配置即可,pc上可以不同配置网关地址:
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
arp-proxy enable
interface GigabitEthernet0/0/1
ip address 192.168.2.254 255.255.0.0
arp-proxy enable
2、vlan内的arp代理功能inner-sub-vlan-proxy,适用于交换机内同一vlan间不能通信的pc,与路由模式的原理一样只是物理接口变成vlan的svi接口下配置即可,vlan内的代理使用只有一种场景:此种场景内DSLAM连接的vlan10中的pc之间无法通信,因为DLSAM无法向交换机那样使用mac地址进行转发,所以就需要再SWA这个交换机上创建vlan10的svi接口,并且打开vlan10的vlan内arp-proxy代理功能,才能使DSLAM连接的vlan10的pc之间相互通信,由于无法演示,只给出配置命令:
在SWA上配置:
interface vlanif 10
ip address 192.168.2.10 255.255.255.0
inner-sub-vlan-proxy
使得pc之间可以通过vlan内的arp代理通信
3、vlan间的arp-proxy功能在聚合vlan中使用,见上面的super-vlan
三、VLAN Mapping技术,vlan的映射。
在边界交换机的入口处做,将收到和发出的vlan进行映射。用于两端网络vlan-id不同又要相互访问的场景,如下例拓扑:
在上图拓扑中,左边net1网络中只有vlan2,而右边net2网络中只有vlan5,但是两端使用的ip地址都是相同的网段的,现在要实两端相同网段的pc在不同的vlan中也能互通,即左边的pc1、2在vlan2中却可以和右边的在vlan5中的pc3通信,使用vlam-mapping技术在LSW2上的g0/0/3接口上将收到的vlan5的帧的vlan-id替换成vlan2的帧,而将vlan2出去到net2网络的帧的vlan-id替换成vlan5,从而达到相同网段在不同vlan之间的二层互通。
配置如下:
LSW1的配置:
interface GigabitEthernet0/0/1
port link-type access
port default vlan 5
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 2 to 4094
LSW2上的配置:
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
interface GigabitEthernet0/0/3
qinq vlan-translation enable
开启vlan映射
port link-type trunk
port trunk allow-pass vlan 2 to 4094
port vlan-mapping vlan 5 map-vlan 2
将收到的vlan5的帧映射为vlan2的帧转发
检查结果,在pc1上ping一下pc3
PC1&ping 192.168.1.30
Ping 192.168.1.30: 32 data bytes, Press Ctrl_C to break
From 192.168.1.30: bytes=32 seq=1 ttl=128 time=63 ms
From 192.168.1.30: bytes=32 seq=2 ttl=128 time=47 ms
From 192.168.1.30: bytes=32 seq=3 ttl=128 time=62 ms
From 192.168.1.30: bytes=32 seq=4 ttl=128 time=63 ms
From 192.168.1.30: bytes=32 seq=5 ttl=128 time=46 ms
--- 192.168.1.30 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 46/56/63 ms
没有更多推荐了,
加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!&&|&&
这个BLOG主要用于学习网络技术、存储技术,我的QQ是
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(8865)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
在LOFTER的更多文章
loftPermalink:'',
id:'fks_081071',
blogTitle:'华为交换机上防止ARP欺骗攻击',
blogAbstract:'\r\n交换机上防止ARP欺骗攻击\r\n\r\n1 特性简介\r\n1.1 动态ARP 检测特性\r\n为了防止黒客或攻击者通过ARP\r\n报文实施欺骗行为,将经过交换机的所有ARP(请求与回应)报文重定向到CPU,由上层软件去进行合法性检测并转发;如果源IP\r\n源MAC、端口号和valn id 在Snooping 表项或者静态绑定表中,则认为合法,进行正常处理或转发,否则认为是非法ARP\r\n报文,丢弃,并通过debug\r\n信息给出提示。同时该模块还支持信任端口和非信任端口(考虑聚合端口组处理,具体参见详细设计文档),如果端口被配置为信任端口,则在该端口不进行ARP\r\n检测,否则进行ARP 检测。\r\n1.2 IP 过滤特性\r\n为防止黑客仿冒他人IP/MAC 进行攻击,需下发ACL 由硬件判断IP 报文IP、MAC 和vlan id对应关系是否在Snoop',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:7,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:1,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'这个BLOG主要用于学习网络技术、存储技术,我的QQ是',
hmcon:'0',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人:
{list a as x}
{if !!b&&b.length>0}
他们还推荐了:
{list b as y}
转载记录:
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}51CTO旗下网站
配置通过子接口实现VLAN间通信
《华为交换机学习指南》本书是华为网络设备技能认证、培训的指定教材,其专业性和权威性毋庸置疑。是目前国内唯一一本专业的大型华为交换机配置与管理图书,所包括的内容非常全面、系统,不仅有比较深入的各种华为交换机技术原理剖析,而且列举了大量各种不同级别的应用配置示例。本节为大家介绍配置通过子接口实现VLAN间通信。
作者:王达来源:人民邮电出版社| 11:40
6.9.6& 配置通过子接口实现VLAN间通信
属于不同VLAN且位于不同网段的用户,可通过部署子接口、配置IP地址并与VLAN相关联,通过三层网络实现VLAN间通信。同样,为了成功实现VLAN间互通,VLAN内主机的缺省网关必须是对应子接口的IP地址。具体的配置步骤如表6-15所示(仅S5700HI和5710EI子系列、S7700、S9300和S9700系列华为交换机支持)。
表6-15&通过子接口实现VLAN间通信的配置步骤
【示例】在GE0/0/1.1子接口上配置封装方式为dot1q,通过的报文外层VLAN标签为10,并使能该子接口的ARP广播功能。
&system-view &[HUAWEI]&interface&gigabitethernet&0/0/1.1 &[HUAWEI-GigabitEthernet0/0/1.1]&dot1q&termination&vid&10 &[HUAWEI-GigabitEthernet0/0/1.1]&arp&broadcast&enable &
【责任编辑: TEL:(010)】&&&&&&
大家都在看猜你喜欢
热点热点头条头条热点
24H热文一周话题本月最赞
讲师:738894人学习过
讲师:91686人学习过
讲师:151323人学习过
精选博文论坛热帖下载排行
本书是根据全国计算机技术与软件专业技术资格(水平)考试的“计算机网络管理员考试大纲”所要求的考试范围而编写的辅导用书。全书共分10章...
订阅51CTO邮刊华为交换机配置vlan 设定IP及路由做访问控制列表_百度知道
华为交换机配置vlan 设定IP及路由做访问控制列表
单位机房需要有五个下属单位接入网络。下属五家单位的IP都是不同网段的,而这五家下属单位只能访问我机房的二个固定的IP地址,这五家单位之间不能互相访问,我机房用的交换机是华为9306的交换机。于是我想在9306上划分五个valn,,每个VLAN加入了二个端口,下面...
我有更好的答案
首先有几个问题你没有说太明白,我只好做假设。1,你所给的5个IP地址,是配置在S93上作为5个VLAN的网关来使用的吗?你没说明,我只能假设是。2,还有你的VLAN是在S93上开始的吗?也就是说S93的接入口该是什么模式?你没说明,我只能假设开始于S93既交换机端口都是access模式。3,设置静态路由则我们需要吓一跳地址和出接口,你没有给出。我只能做个假设。好了配置开始。(接下来我写的是配置脚本,你可以直接复制使用,当然就没必要复制其中我用汉字进行说明的部分了)首先配置VLANvlan 2vlan 3vlan 4vlan 5vlan 6 (一般使用VLAN不会用到VLAN1这是个莫用规则,因为VLAN1在所有设备上都存在,使用起来有诸多不便,还存在安全隐患)vlan7(按照你的意思我猜测你的VLAN在此终结,也就是说上联口要有IP地址,而在93上IP地址是只能配在VLAN中而不能配在接口下的,所以将上联口的互联地址配置在此VLAN中,将上联口加入此VLAN即可)interface vlanif 2 ip address 192.168.10.6 255.255.254.0(你没有给出掩码,经过我的计算只有255.255.254.0这个掩码能满足你现在过给的网段地址)interface vlanif 3ip address 192.168.20.6 255.255.254.0interface vlanif 4ip address 192.168.30.6 255.255.254.0interface vlanif 5ip address 192.168.40.6 255.255.254.0interface vlanif 6ip address 192.168.50.6 255.255.254.0interface vlanif 7ip address ?interface gig 1/0/0port link-type access (没做过S93的估计会指出这不用改,呵呵。事实上93上端口的默认状态是trunk所以没做过的
请闭嘴)port default vlan 2interface gig 1/0/1port link-type accessport default vlan 3interface gig 1/0/2port link-type accessport default vlan 4interface gig 1/0/3port link-type accessport default vlan 5interface gig 1/0/4port link-type accessport default vlan 6interface gig 1/0/5port link-type accessport default vlan 7ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?(因为你没指明上联口互联地址我只能写?号,这里要写上联口的对端地址。)ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?接下来是访问控制,在93中访问控制列表只是工具不能直接在端口下调用。acl 3001(要做基于目的地址和源地址的访控必须是高级访问控制列表,从3000开始rule 0 permit
destinationg 192.168.10.6 0.0.2.255 source 10.126.80.20 0.0.0.0 (注意此处用的是反掩码)rule 1 permit destinationg 192.168.10.6 0.0.2.255
source 10.126.80.21 0.0.0.0rule 2 deny
anytraffic classifier tc1if-match acl 3001traffic behavior tb1permittraffic policy tp1classifier tc1 behavior tb1quitacl 3002rule 0 permit
destinationg 192.168.20.6 0.0.2.255
source 10.126.80.20 0.0.0.0 rule 1 permit destinationg 192.168.20.6 0.0.2.255
source 10.126.80.21 0.0.0.0rule 2 deny
anytraffic classifier tc2if-match acl 3002traffic behavior tb2permittraffic policy tp2classifier tc2 behavior tb2quitacl 3003rule 0 permit
destinationg 192.168.30.6 0.0.2.255
source 10.126.80.20 0.0.0.0 rule 1 permit destinationg 192.168.30.6 0.0.2.255
source 10.126.80.21 0.0.0.0rule 2 deny anytraffic classifier tc3if-match acl 3003traffic behavior tb3permittraffic policy tp3classifier tc3 behavior tb3quitacl 3002rule 0 permit
destinationg 192.168.40.6 0.0.2.255 source 10.126.80.20 0.0.0.0 rule 1 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.21 0.0.0.0rule 2 deny source anytraffic classifier tc4if-match acl 3004traffic behavior tb4permittraffic policy tp4classifier tc4 behavior tb4quitacl 3005rule 0 permit
destinationg 192.168.50.6 0.0.2.255 source 10.126.80.20 0.0.0.0 rule 1 permit destinationg 192.168.50.6 0.0.2.255
source 10.126.80.21 0.0.0.0rule 2 deny
anytraffic classifier tc5if-match acl 3005traffic behavior tb5permittraffic policy tp5classifier tc5 behavior tb5quitacl 3006rule 0 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.10.6 0.0.2.255rule 1 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.20.6 0.0.2.255rule 2 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.30.6 0.0.2.255rule 3 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.40.6 0.0.2.255rule 4 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.50.6 0.0.2.255rule 5 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.10.6 0.0.2.255rule 6 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.20.6 0.0.2.255rule 7 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.30.6 0.0.2.255rule 8 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.40.6 0.0.2.255rule 9 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.50.6 0.0.2.255rule 10 deny
anytraffic classifier tc6if-match acl 3006traffic behavior tb6permittraffic policy tp6classifier tc6 behavior tb6quit(注意访问控制列表应该是双向的不仅要控制回来还要控制出去注意绑定方向)interface gig 1/0/0traffic-policy tp1 outboundinterface gig 1/0/1traffic-policy tp2 outboundinterface gig 1/0/2traffic-policy tp3 outboundinterface gig 1/0/3traffic-policy tp4 outboundinterface gig 1/0/4traffic-policy tp5 outboundinterface gig 1/0/5traffic-policy tp6 outbound(配置完成,如果还有什么问题,可以问我。)
采纳率:42%
你描述的下属单位是异地么?如果是,那你的网络应该解决了六个节点的互联问题,我是这么想的,你可以用RIPv2把六个路由器都串通。不过你需要先把你们机房的串口修改成消极借口,就是只接不发的那个端口,这样主路由器能学到所有的路由条目,但是不会散发他所学到的路由,这样就实现了5个单位不同。RIPv2关闭自动汇总ACL就是标准访问控制列表[H3C]firewall enable[H3C]firewall default permit[H3C]acl 2000[H3C-acl-2000]rule permit ip source 192.168.0.0 0.0.255.255 destination 10.126.80.20 0.0.0.0[H3C-acl-2000]rule permit ip source 192.168.0.0 0.0.255.255 destination 10.126.80.21 0.0.0.0[H3C-acl-2000]rule deny any any之后再你主路由器的串口上规定[H3C]firewall packet-filter 2000 inbound如果是内网连接的换,五个单位的IP本来就不在一个网段,只要路由器里没有路由条目就不会转发请求,所以你的VLAN不需要做,你要规定我上面写的ACL就可以了,不过要把它应用在主路由器与五个单位连接的五个接口上,方向你应该知道吧
为您推荐:
其他类似问题
您可能关注的内容
华为交换机的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
