|
|
session 1 华为交换机端口模式
# I: h/ u/ c2 e1 Y& h& O) V一、华为交换机端口分为三种模式:access、trunk、hybird- R3 K; |1 L3 D. J" v
1、access端口,用于连接主机,pvid就是该端口所属的vlan号,只能属于一个vlan
/ Q. D, w- H2 y1 R X5 B; i8 Q' g2、trunk端口,用于交换机之间连接,默认pvid是vlan1,不属于任何vlan
* x3 z" C+ ^7 L9 I9 Q3、hybird端口,是一种特殊的端口类型,默认pvid是vlan1,不属于任何vlan,是交换机端口的默认模式% D! i+ J/ b( z+ r& A4 d
二、三种端口的配置命令和解释6 p7 N8 J+ ~2 h8 c. P
1、access端口vlan属性9 }3 [5 f4 @) a |' }1 M4 K' `
[Huawei-GigabitEthernet0/0/10]display this , ^1 ?) U' c( S O3 M# @
#
' w0 \( r M0 l" h2 u% ^* finterface GigabitEthernet0/0/106 [. s" x' c; |+ V q3 T* B
port link-type access 配置端口的模式为access
( z, N/ Q @: g2 S7 b1 l/ h- D port default vlan 2 端口属于vlan2: l) d! z( b, h
#7 p/ i; j& T( w# ]
return
' s5 Y* f3 O H& Y# H3 a2、trunk端口vlan属性. h' U( x! L/ z8 P
[Huawei-GigabitEthernet0/0/10]display this ! [! ^# @0 U6 u( ~# F
#2 ?8 B1 M1 b: N% P$ X& o
interface GigabitEthernet0/0/10
6 Q8 H2 _! U! D0 ] port link-type trunk 配置端口的模式为trunk' I7 f& Z7 Y9 R: a" T
port trunk pvid vlan 2 配置端口的pvid为vlan2
6 ]* i7 E2 Q$ \4 U, p' e" T3 w W port trunk allow-pass vlan 2 to 10 配置trunk允许进入的vlan-id,允许vlan1-vlan10(vlan1默认允许)
5 I. v( p5 w" I8 d#$ H4 [3 }3 G! ^/ H# w$ }9 T8 ]
return6 L; x+ C; e- [8 I. J3 }
3、hybird端口vlan属性 H ?* L4 S- V6 t4 j X: ]! N
[Huawei-GigabitEthernet0/0/10]display this . |* y" \6 U/ Y4 Q$ J( f
#' q& ?4 y: e. `
interface GigabitEthernet0/0/10 配置端口模式为hybrid0 Q: H4 u/ R% c" X$ s
port hybrid pvid vlan 2 配置端口的pvid是2
3 R3 D, u2 G9 Z9 ^& F port hybrid tagged vlan 10 配置端口在发送帧时不将帧中的vlan10的标签去掉(类似trunk功能)* n' l1 E2 [. ~3 p2 q; j
port hybrid untagged vlan 2 配置端口在接到帧后移除vlan2的标签后转发(给主机)
* @ ^$ {/ t' z+ O# D#8 R+ V4 L) b3 I- w% E
return
3 f a- z) S0 N% Y/ ~
% `0 N& I( G+ Q) P2 R, z8 [pvid的作用,分为端口接收和发送数据两个方向:5 z' G3 n8 a3 v- ], x
1、当端口收到一个未标记的帧时,就把该帧打上vlan id,这个id值等于pvid的值,然后转发到VID和PVID相等的VLAN 中。. L- o5 B# b2 R1 I
2、当帧从端口向外发送出去时,如果帧头中的VID和端口的PVID值相同,就把这个标识去掉,再送出去。) v; u/ p3 a' ?7 U2 v
下面例子解释pvid的双向作用:6 b. K: a( i2 |
" j4 E+ L6 g% u: |, {+ e
整个拓扑中PC1连接在sw1的g/0/1口,vlan1,PC2连接在sw2的g/0/1接口,vlan29 a* n$ ~4 T- P: }+ R
SW1和SW2的g0/0/3接口都是trunk模式,其中sw1的g0/0/3接口的pvid是1,sw2的g0/0/3接口的pvid是2,并且两端trunk都允许vlan 1 to 2的帧通过。& Y8 ]4 k0 c5 g6 M3 M+ S8 l; j
这样配置下来的结果是pc1和pc2只要在同一个网段内就可以通信,虽然vlan不同,但是可以通信。% L$ o L, I; A4 D2 K, y
1、pc1发送数据包给pc2过程是:pc1发送一个去往PC3的数据包到达sw1的e0/0/1接口,由于该接口属于vlan1所以sw1将受到的pc1的数据帧打上vlan1的标签(无标签),然后sw1查找PC3的mac,发现在接口g0/0/3下于是将数据包发给g0/0/3接口,当g0/0/3接口收到这个pc1发来的不打vlan标签的vlan1的帧后,就要将这个不打tag的帧发送出去,发现这个帧的VID和自己的PVID=1是相同的都是vlan1的于是就要把这个帧的tag去掉(vlan1默认就没有tag所以这里不做操作转发出去)然后转发出去。然后这个由PC1发来的帧被sw2在自己的g0/0/3接口收到,sw2发现收到的这个帧是没有tag的普通帧并且trunk接口的配置是允许vlan1、2通过所以会接收这个数据帧,并查看自己的pvid=2,于是就将这个数据包打上vlan2的tag,然后在vlan2的MAC表中查找PC3的mac地址发现在自己的e0/0/1接口上,于是将数据包转发到PC3。' }' T; d9 [% b+ I6 I
2、PC3收到PC1发来的数据包后需要给PC1回包,PC3回给PC1的包经过sw2的g0/0/1后被打上了vlan2的tag,到达g0/0/3接口,SW2发现PC3发来的这个帧有tag是vlan2,而自己的pvid=2,于是就将这个tag去掉,而接口又允许vlan1、2通过,于是就将这个去掉了tag的数据包通过g0/0/3接口转发出去,被sw1在g0/0/3接口收到,sw1查看自己的trunk配置发现接口允许vlan1、2通过就接收这个帧,然后检查该帧的VID,发现没有,于是打上vlan1的tag(也就是没有tag),然后在vlan1的MAC表中查找PC1的mac地址,发现PC1连接在自己的e0/0/1接口,就会把帧从e0/0/1接口发送给PC1,这样就完成了一次PC1与PC3的互通。
6 ?* H- m, j8 n3 a$ U: x交换机SW1上的配置:) g6 e6 E/ `# W4 j
[SW1-GigabitEthernet0/0/3]display this ' j9 c2 W9 A/ Z+ B; k
## o6 Y7 Q% z2 u; ?/ E6 K
interface GigabitEthernet0/0/3
+ b: ^+ B0 A9 ~& z! R port link-type trunk2 n4 X: |! U' |9 D
port trunk allow-pass vlan 2 端口pvid=1(默认)并允许vlan1、2的帧进入sw1
) b4 _7 [' H+ J0 ?#
5 F5 U* B3 m/ {* d+ Wreturn
/ o1 Y4 [9 t! X2 |) ]" b[SW1-GigabitEthernet0/0/1]display this
6 d7 r) v- U* N0 N#3 S) u; E2 q% p, b4 z! i, O
interface GigabitEthernet0/0/1
7 T& a1 F( H* | X' N# {5 {! d4 h port link-type access 端口默认属于vlan1,连接的是pc1
6 z8 V, {- y5 J" I- o# z#
. K' U& p, |4 K q4 B* `9 H3 |return
7 K3 b$ U: Z: ~3 V" V; A交换机SW2上的配置:5 s+ ]$ d/ U, [% n3 ]& P7 ?
[SW2-GigabitEthernet0/0/3]display this / Z& v" U0 Z* O3 W- j0 @' M
#, Z$ R. g8 k: i: t8 h4 H
interface GigabitEthernet0/0/3
; h; c" K! S0 O1 I" q" y- J port link-type trunk ' a7 [. Q" q1 R
port trunk pvid vlan 2 端口的pvid=2
' q6 c4 ?7 m- W) f4 r port trunk allow-pass vlan 2 端口允许vlan1、2的帧进入sw2
' d( M, O. h4 @ a" z2 a#1 M# n, ^6 i& o% Q
return
8 ` d) ~- k7 j7 K- \8 |[SW2-GigabitEthernet0/0/1]display this / y" S X+ ?; z2 w/ S" u5 a
#" u( a( f2 v4 U' r6 V
interface GigabitEthernet0/0/12 P5 N# e4 ~: N9 f9 D) }& i$ M
port link-type access
2 l: @) `( {- t8 j3 ] port default vlan 2 端口属于vlan2,连接的是pc2
8 c5 M0 e8 U! F! Q5 |#
. u- x+ Q9 e2 i1 l& Dreturn
5 o x0 ^; _* m$ X- Q2 P' J4 j6 g1 rPC端的配置:0 Y, {# e2 }/ {$ t+ c
PC1:192.168.1.10/24
; h# Q2 E* e* H8 Y. K# nPC2:192.168.1.30/246 f/ {. t, x" O# }0 A& c
测试连通性
9 b- o1 I1 C+ f0 l& b: H8 JPC1>ipconfig* s& i a+ m9 r
Link local IPv6 address...........: fe80::5689:98ff:fec3:22c4; R. m5 N9 l. V: v2 r* h! P
IPv6 address......................: :: / 128
- f' N! }: c% Q' D4 @- |IPv6 gateway......................: ::
, i/ Y7 O3 w9 r: c2 g$ i# FIPv4 address......................: 192.168.1.10% `! I$ S( G! L
Subnet mask.......................: 255.255.255.0
: K* j$ e; G% f+ D2 A3 R, ~Gateway...........................: 0.0.0.0
0 Y7 p0 @( c7 `2 [& R; f" x- kPhysical address..................: 54-89-98-C3-22-C4
+ ?, b0 |/ h. Q$ K! [ u, DDNS server........................:! {3 C4 A h4 m3 J, y
PC1>ping 192.168.1.30' D6 y1 A8 g& B
Ping 192.168.1.30: 32 data bytes, Press Ctrl_C to break
- v5 h% B$ f& I6 w" O- L8 ?From 192.168.1.30: bytes=32 seq=1 ttl=128 time=62 ms
7 J, d8 L' e& b# U--- 192.168.1.30 ping statistics ---# p7 R; p( B$ t0 P& U
1 packet(s) transmitted
9 @; v c, [: v/ d8 H' O 1 packet(s) received! W; Z7 b$ N1 [9 i7 ] G
0.00% packet loss
7 F3 o9 Y. U7 v& J9 M2 k$ D round-trip min/avg/max = 62/62/62 ms
; g+ t: @0 g6 } W t. ePC1>" n2 A9 \ F3 ?. i
$ j" e+ o" K4 @; s% [1 J4 U
[Huawei]clear configuration interface g0/0/1 清除接口配置,恢复默认. J) p/ }8 x6 s# l2 D+ a, j3 d
8 i3 x$ k0 n; p. f! c; `& d8 S
在hybird模式中的tag和untag:$ ~+ z" a) [, p, S% g" o. v% F' ^
tag是指允许通过的tag的帧,功能类似trunk的allow-vlan。untag是指当接口收到帧的时候去除哪个tag,untag=2就是收到vlan2的数据帧后将tag去掉还原成普通的帧(发给主机),类似于access接口的功能。所以hybrid模式是trunk和access接口功能的集合,可以灵活使用。0 Y3 O# [0 }; j* {( C
下面几个vlan划分的类型来学习hybrid端口的用法:1 h8 V/ ^/ i9 g9 H+ s7 Z
1、基于端口的vlan划分,这个就是普通的使用access模式做的,一般都用这个模式% t7 H5 f; z( M
2、基于ip地址的vlan划分,这个是用hybrid模式做,用于主机移动的办公环境(比如公司经常部门调整地理位置),原理是将vlan-id与ip网段进行映射绑定,只要主机的ip网段不变,那么他不管连接那个sw的那个接口都属于同一个vlan,不用担心频繁换地区导致连接sw的端口需要进行vlan的调整
3 B! X; l- F. w
9 Q2 O, ]2 k- O5 j) _配置如下:
/ n: W+ q( v" q) t+ b首先将ip网络与vlan进行绑定,分别在sw1和sw2中创建vlan并绑定相应的ip网段(SW1与SW2配置相同,只以sw1为例)
' G0 o7 S/ o5 c; j! _ w: `$ Uvlan 2
3 f4 r+ B8 r/ g9 E: g! f' ~5 U ip-subnet-vlan 2 ip 192.168.1.0 255.255.255.0 将192.168.1.0/24与vlan2绑定,红色的数字2是id号,不是vlan号,可以随意设置但是% [8 R5 l+ p! M% z+ e$ n* g8 S. u- Q
# 一个vlan中最多可以绑定最多12个子网网段,只有12个id号
& a# e. T6 t6 R配置sw1与sw2的级联trunk端口,并允许所有vlan通过* `% I% m' v: p0 }0 l- u& I
[SW1-GigabitEthernet0/0/3]display this ' ^9 x! ]# B$ F, r
#6 y) Y+ } o8 a/ p
interface GigabitEthernet0/0/3
, D& y7 n2 g6 i" w port link-type trunk$ `* ~% h/ y N0 C
port trunk allow-pass vlan 2 to 4094 允许所有vlan通过trunk
2 t: N4 J) ~8 ?# J7 Q#9 x3 K4 `: c6 P( O
return1 c# Z) D o8 G4 H
配置sw1连接PC的g0/0/1端口为hybrid模式,并且只允许vlan2的数据帧通过(去除vlan2的标签给pc,收到其他vlan的数据就不会去掉标签直接发给pc,而pc不能识别带有vlan标识的帧从而丢弃数据帧,达到将pc的ip绑定在vlan2中)! J: F: @: ^( U9 q7 l
[SW1-GigabitEthernet0/0/1]display this
9 Z0 L3 C# m. }/ ~. e) r% _! z; a#( } R3 N% @5 { H4 n: n
interface GigabitEthernet0/0/1
: S2 W9 g$ x$ m6 u t! } port hybrid untagged vlan 2 在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)5 n7 Z0 O/ n+ Z! j+ [3 `* ?
vlan precedence ip-subnet-vlan 配置优先使用基于ip划分的vlan模式(默认使用基于端口的vlan模式)6 Y1 v7 h; j( |% b) H8 L, T
ip-subnet-vlan enable 启用基于ip网络的vlan划分) J9 @1 h; K; @1 z8 |: R& l
#
7 P6 \" E" f- p" T' k0 kreturn
2 K1 A6 ` M5 G. h$ [7 q 验证方法是将sw1或者sw2的g0/0/1端口port hybrid untagged vlan 2修改为其他vlan-id后pc之间就无法通信,可以抓包查看帧的vlan-id。或者将pc1与pc2的ip地址改为192.168.2.x也不通,是因为vlan2只绑定了192.168.1.0/24而没有绑定其他网段,而端口又只untag了vlan2的帧。
7 a% k9 o# k0 i* M0 `/ t' `3、基于mac地址的vlan划分,与基于ip的vlan划分一样使用hybrid模式做,功能和基于ip地址的vlan划分类似
b# f; }6 W- w: l首先将pc的mac地址与vlan绑定,SW1与SW2配置相同,在vlan2中绑定pc1和pc3
/ ^! X5 w4 g) j- s9 i5 s) |. Ivlan 2 * L# w8 s8 s0 Y& i& H
mac-vlan mac-address 5489-98c3-22c4 priority 0, \' i, a8 B% {* `4 O
mac-vlan mac-address 5489-98ce-1433 priority 0
' x" Y! \7 p6 `/ d3 Q配置sw1与sw2之间的trunk端口,允许所有vlan帧通过
% H8 t X! M" ~/ s$ M uinterface GigabitEthernet0/0/39 Y# N8 j2 g+ f7 \* n# b# ?
port link-type trunk: G' z% Y7 i7 {" t
port trunk allow-pass vlan 2 to 4094
+ K& [# i3 ^4 t/ u* T [#
$ T' I4 g( E8 }+ f( n/ H0 @* m配置sw连接pc的接口的vlan模式优先使用mac划分vlan模式(hybrid端口默认就是mac-vlan模式),开启基于mac地址的vlan划分
) z, g6 F+ y9 C6 yinterface GigabitEthernet0/0/1" q/ g) J: n- Q1 c
port hybrid untagged vlan 2 允许vlan2的帧通过,在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)/ G& K9 k, E" h
mac-vlan enable 开启基于mac地址的vlan划分
' n T' M% u) [2 K$ z7 {5 @8 o#* ^1 i7 k* ]; e9 C
验证方法与基于ip的vlan划分一样,或者可以将pc1与pc3改为其他网络,依然能通信,是因为使用的是基于mac的vlan划分,所以只要mac在一个vlan内,那么不管ip如何变化只要在一个网段内都能通信。2 F( @) W& B; z& G4 ]. e1 ?4 @
9 k* z* } P' f9 n1 f8 q! R3 _7 H+ m |
|
发表于 2018-10-28 22:24:14