|
|
session 1 华为交换机端口模式3 m; P9 K. c4 k6 P' u7 G# Z
一、华为交换机端口分为三种模式:access、trunk、hybird8 Z: G3 m3 o2 u8 N2 _ W3 C; ?
1、access端口,用于连接主机,pvid就是该端口所属的vlan号,只能属于一个vlan
) |0 ~4 w8 m. B& A, o7 p$ b2 P2、trunk端口,用于交换机之间连接,默认pvid是vlan1,不属于任何vlan( o* X% e4 d0 k& v4 P: [9 `& y
3、hybird端口,是一种特殊的端口类型,默认pvid是vlan1,不属于任何vlan,是交换机端口的默认模式( V- C( R! T$ E. |) U. {* }8 P" O0 n
二、三种端口的配置命令和解释. ?! u" I. c1 p* C
1、access端口vlan属性5 N9 P- Y4 N& e; l
[Huawei-GigabitEthernet0/0/10]display this
" x6 K5 G8 J, e* J5 V4 A, t: q" T#+ N2 j' |1 p) A: O
interface GigabitEthernet0/0/10
5 g: F5 X' h9 i port link-type access 配置端口的模式为access" v1 X5 f" |& Z" _
port default vlan 2 端口属于vlan2
+ Q8 X8 f1 A$ C#
! Y8 u' }, g& d$ A, u Dreturn+ x- }1 q" P/ n1 A
2、trunk端口vlan属性* d, h c! c j0 s" |7 P
[Huawei-GigabitEthernet0/0/10]display this 7 {4 S. c' q# z5 G( _
#+ H$ b. u# g, Y
interface GigabitEthernet0/0/10
9 L- i z; V% \& o' V) s/ c! Y1 s port link-type trunk 配置端口的模式为trunk* W, K* ~% z/ s, D$ ~" }2 r2 X6 [
port trunk pvid vlan 2 配置端口的pvid为vlan2
0 u" N9 o: G: Y8 T% p0 C- t port trunk allow-pass vlan 2 to 10 配置trunk允许进入的vlan-id,允许vlan1-vlan10(vlan1默认允许)
+ c! B1 x+ ?" f5 x b- M#
% F4 Y$ D3 [ w- Greturn9 v: R$ G, T% B
3、hybird端口vlan属性9 f2 G- k( C Z; k* S& D2 X" O
[Huawei-GigabitEthernet0/0/10]display this
, e5 [! `4 F4 b/ v& p' V#4 F: {# Y3 b- I% F
interface GigabitEthernet0/0/10 配置端口模式为hybrid
$ k( y/ r* C; A/ } port hybrid pvid vlan 2 配置端口的pvid是2
/ \# y% O+ A" m# d. w, y: H* G) { port hybrid tagged vlan 10 配置端口在发送帧时不将帧中的vlan10的标签去掉(类似trunk功能)
. Y9 R3 B" u5 B( P& | q6 ^& I# O7 o port hybrid untagged vlan 2 配置端口在接到帧后移除vlan2的标签后转发(给主机)) `0 e9 n4 U+ W2 I J. t2 E
#' I2 p$ n. Z9 |! Q: j. N
return1 T/ e0 T6 v2 D- l
3 _1 X, ]! S5 `/ Q
pvid的作用,分为端口接收和发送数据两个方向:
& [- o' w# E5 ~5 T- g) Q0 w+ O1、当端口收到一个未标记的帧时,就把该帧打上vlan id,这个id值等于pvid的值,然后转发到VID和PVID相等的VLAN 中。
( o" u$ }1 D, @4 u; y V% {2、当帧从端口向外发送出去时,如果帧头中的VID和端口的PVID值相同,就把这个标识去掉,再送出去。
" Z* t( ]& L _4 ?) H4 |8 G) p) b7 s下面例子解释pvid的双向作用:9 `: H" Q: P2 G4 ?) _
, S: }% \* s; s
整个拓扑中PC1连接在sw1的g/0/1口,vlan1,PC2连接在sw2的g/0/1接口,vlan2
( C4 X8 p1 y$ ^% M" ^" w, q6 g SW1和SW2的g0/0/3接口都是trunk模式,其中sw1的g0/0/3接口的pvid是1,sw2的g0/0/3接口的pvid是2,并且两端trunk都允许vlan 1 to 2的帧通过。
! M9 F* }, t) I$ F1 W9 J- p: h 这样配置下来的结果是pc1和pc2只要在同一个网段内就可以通信,虽然vlan不同,但是可以通信。/ p6 U/ ^3 P, K5 v b. _3 O, D$ {- N
1、pc1发送数据包给pc2过程是:pc1发送一个去往PC3的数据包到达sw1的e0/0/1接口,由于该接口属于vlan1所以sw1将受到的pc1的数据帧打上vlan1的标签(无标签),然后sw1查找PC3的mac,发现在接口g0/0/3下于是将数据包发给g0/0/3接口,当g0/0/3接口收到这个pc1发来的不打vlan标签的vlan1的帧后,就要将这个不打tag的帧发送出去,发现这个帧的VID和自己的PVID=1是相同的都是vlan1的于是就要把这个帧的tag去掉(vlan1默认就没有tag所以这里不做操作转发出去)然后转发出去。然后这个由PC1发来的帧被sw2在自己的g0/0/3接口收到,sw2发现收到的这个帧是没有tag的普通帧并且trunk接口的配置是允许vlan1、2通过所以会接收这个数据帧,并查看自己的pvid=2,于是就将这个数据包打上vlan2的tag,然后在vlan2的MAC表中查找PC3的mac地址发现在自己的e0/0/1接口上,于是将数据包转发到PC3。" ]- M* c# h% x' \7 [! J
2、PC3收到PC1发来的数据包后需要给PC1回包,PC3回给PC1的包经过sw2的g0/0/1后被打上了vlan2的tag,到达g0/0/3接口,SW2发现PC3发来的这个帧有tag是vlan2,而自己的pvid=2,于是就将这个tag去掉,而接口又允许vlan1、2通过,于是就将这个去掉了tag的数据包通过g0/0/3接口转发出去,被sw1在g0/0/3接口收到,sw1查看自己的trunk配置发现接口允许vlan1、2通过就接收这个帧,然后检查该帧的VID,发现没有,于是打上vlan1的tag(也就是没有tag),然后在vlan1的MAC表中查找PC1的mac地址,发现PC1连接在自己的e0/0/1接口,就会把帧从e0/0/1接口发送给PC1,这样就完成了一次PC1与PC3的互通。7 V) w5 p; A% z1 t d
交换机SW1上的配置:
$ a" K. I9 n7 T. v[SW1-GigabitEthernet0/0/3]display this 8 P7 g2 p, }& H% T0 h
#: z% P5 B$ F! [% A/ X, c
interface GigabitEthernet0/0/3" S0 e5 O: G, a5 U
port link-type trunk
! X, W3 q/ B" u! z port trunk allow-pass vlan 2 端口pvid=1(默认)并允许vlan1、2的帧进入sw1. v/ o5 g2 k% J# h
#
( s* D! H v$ R# j+ wreturn
5 h3 I# T; u; E. ?[SW1-GigabitEthernet0/0/1]display this
5 j$ ]+ t: f+ a8 T9 U' \) e t#: ?5 e$ @1 }7 H' H
interface GigabitEthernet0/0/1: r" z3 g3 `5 @4 p9 r, R
port link-type access 端口默认属于vlan1,连接的是pc1- i2 g+ i# g( H
#! j' Z5 u/ w* S+ e
return0 i" [7 P' o" x+ o5 r. c
交换机SW2上的配置:) N% N/ ^) i @8 Z
[SW2-GigabitEthernet0/0/3]display this 1 x- D4 U8 a: l5 o% r9 E8 Y
#) {5 f/ f& A$ L( ]0 h
interface GigabitEthernet0/0/3
8 Y3 H' ^. `' o: K3 @: g port link-type trunk 5 t( c0 F, ^$ p* B6 E9 v
port trunk pvid vlan 2 端口的pvid=2 * { ]$ U* X0 x o, n
port trunk allow-pass vlan 2 端口允许vlan1、2的帧进入sw2, e9 L4 u9 g: g2 M G3 x- P) J
#7 l6 m7 t$ O0 S
return- V, l6 S5 N) P& R! u' Z& M
[SW2-GigabitEthernet0/0/1]display this $ C7 b4 e/ i1 Q' @
#3 X* m' J( z: |/ o
interface GigabitEthernet0/0/1* k5 |9 Q d' R- X' ~6 k Y
port link-type access' h5 z8 c4 e2 \) b& R6 S' u! v; L
port default vlan 2 端口属于vlan2,连接的是pc2
9 ^1 B" y3 |4 H( P) Z#
" R$ J* ]: j0 \8 X; }* Zreturn
$ A7 j0 W% `8 V$ w* Z+ @5 CPC端的配置:3 H- p8 b7 Z/ |; U
PC1:192.168.1.10/24
* q) T7 ?* y# _2 [PC2:192.168.1.30/242 ?3 b% S& g- j: n+ j
测试连通性' V& ?/ L9 v4 t W' L
PC1>ipconfig# V% g+ b! e$ M5 `; O
Link local IPv6 address...........: fe80::5689:98ff:fec3:22c4$ S; v4 P& m. \ K9 p4 w
IPv6 address......................: :: / 128
, q8 E8 I* H0 ]% e7 w4 l) X9 i/ d! bIPv6 gateway......................: ::
7 h3 H2 o; P8 `" oIPv4 address......................: 192.168.1.10
5 `7 ]( e# B6 J ESubnet mask.......................: 255.255.255.0/ W( r) ]0 }) v. T; h2 @2 y+ Z
Gateway...........................: 0.0.0.0
0 X6 {: B% K' K2 P0 t% q- RPhysical address..................: 54-89-98-C3-22-C4% X: n& o! _: y' V7 Q, z: K
DNS server........................:+ V+ f& M8 Z( |3 P' v7 X; H
PC1>ping 192.168.1.30
2 q$ n/ P \; T7 W, lPing 192.168.1.30: 32 data bytes, Press Ctrl_C to break2 S: `9 _1 E" L8 @1 b2 X
From 192.168.1.30: bytes=32 seq=1 ttl=128 time=62 ms
1 a1 ?' u9 e$ C. k- P--- 192.168.1.30 ping statistics ---
3 a& S9 b5 q) U# c8 _/ [4 v# A$ ` 1 packet(s) transmitted
" g5 x5 L2 V9 v- [, Q 1 packet(s) received2 w s$ B h) p5 c
0.00% packet loss, g' ~4 v+ a9 A0 I4 T* |
round-trip min/avg/max = 62/62/62 ms/ c+ D3 J. ?5 @& v
PC1>
0 h1 O5 H! \; L& m' F4 b# y5 }* n+ h/ ?; O- q
[Huawei]clear configuration interface g0/0/1 清除接口配置,恢复默认# Z6 `& R1 T: ?, D; ~
: c6 |: `# D$ z+ F( T
在hybird模式中的tag和untag:& Z0 @) K4 D/ ^8 F, L2 L, F. \
tag是指允许通过的tag的帧,功能类似trunk的allow-vlan。untag是指当接口收到帧的时候去除哪个tag,untag=2就是收到vlan2的数据帧后将tag去掉还原成普通的帧(发给主机),类似于access接口的功能。所以hybrid模式是trunk和access接口功能的集合,可以灵活使用。
3 {/ a! d. n+ f/ T, f2 a1 p下面几个vlan划分的类型来学习hybrid端口的用法:
7 @* @6 f" ~1 Q/ \) }4 S+ v1、基于端口的vlan划分,这个就是普通的使用access模式做的,一般都用这个模式
" Z @) ~ I$ o% d9 a3 P1 \( Z2、基于ip地址的vlan划分,这个是用hybrid模式做,用于主机移动的办公环境(比如公司经常部门调整地理位置),原理是将vlan-id与ip网段进行映射绑定,只要主机的ip网段不变,那么他不管连接那个sw的那个接口都属于同一个vlan,不用担心频繁换地区导致连接sw的端口需要进行vlan的调整" w( y' S* V) J4 V, M2 S! r
' j. B9 m8 [' Y+ t# n/ i配置如下:# O, V/ c5 M4 i5 Q
首先将ip网络与vlan进行绑定,分别在sw1和sw2中创建vlan并绑定相应的ip网段(SW1与SW2配置相同,只以sw1为例)" \$ ]4 r& L+ g2 N/ {
vlan 2
4 j8 ?) m; Q0 |# R3 b5 n9 c; S: U0 T ip-subnet-vlan 2 ip 192.168.1.0 255.255.255.0 将192.168.1.0/24与vlan2绑定,红色的数字2是id号,不是vlan号,可以随意设置但是
p+ R3 b# V! m# 一个vlan中最多可以绑定最多12个子网网段,只有12个id号" G/ a3 J6 E7 y: S' e, K& Q9 G0 M4 [
配置sw1与sw2的级联trunk端口,并允许所有vlan通过( `, \$ Q8 l& P- |6 g1 k
[SW1-GigabitEthernet0/0/3]display this ' s" q2 o/ b1 R8 z
#& H0 G9 F' P& U. u7 H
interface GigabitEthernet0/0/3
& ~/ v( }, K9 u K; ~/ ?+ ?6 w$ } port link-type trunk" S4 Z% ]0 T, q6 u7 Z
port trunk allow-pass vlan 2 to 4094 允许所有vlan通过trunk0 w' b. l) B3 T3 T
#
$ o/ v! w9 C. i; W+ treturn
! R* J4 x# ^, P" {. Y! D! x配置sw1连接PC的g0/0/1端口为hybrid模式,并且只允许vlan2的数据帧通过(去除vlan2的标签给pc,收到其他vlan的数据就不会去掉标签直接发给pc,而pc不能识别带有vlan标识的帧从而丢弃数据帧,达到将pc的ip绑定在vlan2中)
' @8 z+ o1 z6 C, E9 o" t; Z[SW1-GigabitEthernet0/0/1]display this
: ^3 e& x) Q' H* W0 ?#6 C7 k8 r2 |) f' H
interface GigabitEthernet0/0/1
+ m- V7 K y1 x, N1 L port hybrid untagged vlan 2 在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)# d) z7 {* }. G' c
vlan precedence ip-subnet-vlan 配置优先使用基于ip划分的vlan模式(默认使用基于端口的vlan模式), T. F+ d2 M. c: ^
ip-subnet-vlan enable 启用基于ip网络的vlan划分6 j: F+ j& ? y8 h% M" m
#2 @' R6 T f3 V* U9 n* e
return
4 s. N9 Y( E% E% D 验证方法是将sw1或者sw2的g0/0/1端口port hybrid untagged vlan 2修改为其他vlan-id后pc之间就无法通信,可以抓包查看帧的vlan-id。或者将pc1与pc2的ip地址改为192.168.2.x也不通,是因为vlan2只绑定了192.168.1.0/24而没有绑定其他网段,而端口又只untag了vlan2的帧。/ P& S4 b1 ?/ \5 z
3、基于mac地址的vlan划分,与基于ip的vlan划分一样使用hybrid模式做,功能和基于ip地址的vlan划分类似" n0 ~$ A( U6 F$ y: ~/ o$ K
首先将pc的mac地址与vlan绑定,SW1与SW2配置相同,在vlan2中绑定pc1和pc33 b8 I9 l. J, q/ w$ L6 v
vlan 2
7 z q, s, y2 N' u, { mac-vlan mac-address 5489-98c3-22c4 priority 0
3 M& H7 T2 ^$ @ P! I) G mac-vlan mac-address 5489-98ce-1433 priority 0
' I4 g4 _" `6 W7 I; N" p配置sw1与sw2之间的trunk端口,允许所有vlan帧通过! b1 s; i# j# _- n
interface GigabitEthernet0/0/37 F* v1 q* z; d3 D! C# Y
port link-type trunk
0 F$ T" R) h' G" v, k port trunk allow-pass vlan 2 to 4094
; s/ [% d% w, G#
, a3 x8 U* o$ p8 b配置sw连接pc的接口的vlan模式优先使用mac划分vlan模式(hybrid端口默认就是mac-vlan模式),开启基于mac地址的vlan划分
3 B G# T7 j, r! I* L8 F% X- {. U8 Minterface GigabitEthernet0/0/12 h. `7 ~& z4 \
port hybrid untagged vlan 2 允许vlan2的帧通过,在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)
' C" B: u' w$ o4 b* \- r& E/ x mac-vlan enable 开启基于mac地址的vlan划分
. \$ z1 u }% A) ~& ?1 r2 h6 {5 E! F#1 x E& j. D! M9 _1 H8 ^
验证方法与基于ip的vlan划分一样,或者可以将pc1与pc3改为其他网络,依然能通信,是因为使用的是基于mac的vlan划分,所以只要mac在一个vlan内,那么不管ip如何变化只要在一个网段内都能通信。( F" ^% }1 {" t1 m% M
' ?8 z, O" D. I8 n) z/ s% j |
|
发表于 2018-10-28 22:24:14