|
|
session 1 华为交换机端口模式9 r) K, F( j: C" }2 N8 g: u7 N
一、华为交换机端口分为三种模式:access、trunk、hybird( f2 ?# i: R' q+ ?/ g8 M
1、access端口,用于连接主机,pvid就是该端口所属的vlan号,只能属于一个vlan) O1 e+ s# N1 Y( R% Z6 d
2、trunk端口,用于交换机之间连接,默认pvid是vlan1,不属于任何vlan( ]1 \& D' g6 }5 V- q
3、hybird端口,是一种特殊的端口类型,默认pvid是vlan1,不属于任何vlan,是交换机端口的默认模式
5 k; j0 N) J1 Y8 m8 [( P$ d# D+ B二、三种端口的配置命令和解释
1 D8 V7 e8 r1 ]5 J1、access端口vlan属性/ f6 a" K1 ^" F. K/ y7 [( n
[Huawei-GigabitEthernet0/0/10]display this $ W! J# a5 c2 e6 `7 Q( T7 u9 A
#; d' T; ~3 N0 e0 R
interface GigabitEthernet0/0/10
2 j1 F9 F' |+ V7 N8 m port link-type access 配置端口的模式为access
8 J" u P. e6 _7 s port default vlan 2 端口属于vlan2
3 @0 W6 o4 h ^; K2 r9 H3 l#
$ I, |1 E+ E* z8 l) H, p9 w4 greturn
9 y( G. P% |5 {$ g# \2、trunk端口vlan属性- i0 J2 z7 L4 H9 [! @
[Huawei-GigabitEthernet0/0/10]display this : E- D2 K" I- H! P% k
#
* Y0 E$ a _$ winterface GigabitEthernet0/0/10
% I: o' K( H; q8 M( T+ e4 b port link-type trunk 配置端口的模式为trunk) S6 X) j5 \' c$ k! q) @
port trunk pvid vlan 2 配置端口的pvid为vlan2, J! u5 `4 T" O) O. M. e
port trunk allow-pass vlan 2 to 10 配置trunk允许进入的vlan-id,允许vlan1-vlan10(vlan1默认允许)7 P6 h0 ~6 G% B! C' Y% f
#
5 Y& G5 V2 K& k; ^1 g' J" Lreturn d2 W' B+ L: ~, E$ F
3、hybird端口vlan属性
7 I/ f0 t% a A6 C# G[Huawei-GigabitEthernet0/0/10]display this
6 ?5 h2 c$ [; r$ n0 F |; c$ i* j#* L$ g2 |/ b2 Y6 K2 e V/ D! C
interface GigabitEthernet0/0/10 配置端口模式为hybrid
$ @# J6 F" r8 x5 Q9 \. Z$ T% Y2 T4 ] port hybrid pvid vlan 2 配置端口的pvid是2% ]- v! x! I5 [$ u X4 I
port hybrid tagged vlan 10 配置端口在发送帧时不将帧中的vlan10的标签去掉(类似trunk功能)" c( g+ Q) V2 w! W6 ]
port hybrid untagged vlan 2 配置端口在接到帧后移除vlan2的标签后转发(给主机)
1 F5 ~- j( I* i) Z#
( e* J/ H6 B. }: [6 }4 ~" ?return2 h8 B. @* G C
0 E) N( g: u( ]- n( \% n
pvid的作用,分为端口接收和发送数据两个方向:
% V/ u+ d( y" g7 R: k' `6 d1、当端口收到一个未标记的帧时,就把该帧打上vlan id,这个id值等于pvid的值,然后转发到VID和PVID相等的VLAN 中。: I) H) l7 J( P% A* E
2、当帧从端口向外发送出去时,如果帧头中的VID和端口的PVID值相同,就把这个标识去掉,再送出去。9 E* d8 _3 o9 ?. w3 S
下面例子解释pvid的双向作用:
) O% f! s5 z" S& n1 p7 `) m6 X' V! p% Q ?; _7 j# F4 c& {
整个拓扑中PC1连接在sw1的g/0/1口,vlan1,PC2连接在sw2的g/0/1接口,vlan2
# V4 X4 f; d) K% V* A) @1 ? SW1和SW2的g0/0/3接口都是trunk模式,其中sw1的g0/0/3接口的pvid是1,sw2的g0/0/3接口的pvid是2,并且两端trunk都允许vlan 1 to 2的帧通过。
1 j# w3 y6 p$ a 这样配置下来的结果是pc1和pc2只要在同一个网段内就可以通信,虽然vlan不同,但是可以通信。) r, `: ~) ~& d9 v" m
1、pc1发送数据包给pc2过程是:pc1发送一个去往PC3的数据包到达sw1的e0/0/1接口,由于该接口属于vlan1所以sw1将受到的pc1的数据帧打上vlan1的标签(无标签),然后sw1查找PC3的mac,发现在接口g0/0/3下于是将数据包发给g0/0/3接口,当g0/0/3接口收到这个pc1发来的不打vlan标签的vlan1的帧后,就要将这个不打tag的帧发送出去,发现这个帧的VID和自己的PVID=1是相同的都是vlan1的于是就要把这个帧的tag去掉(vlan1默认就没有tag所以这里不做操作转发出去)然后转发出去。然后这个由PC1发来的帧被sw2在自己的g0/0/3接口收到,sw2发现收到的这个帧是没有tag的普通帧并且trunk接口的配置是允许vlan1、2通过所以会接收这个数据帧,并查看自己的pvid=2,于是就将这个数据包打上vlan2的tag,然后在vlan2的MAC表中查找PC3的mac地址发现在自己的e0/0/1接口上,于是将数据包转发到PC3。. @* d4 |) x- ~7 s5 U/ f2 B
2、PC3收到PC1发来的数据包后需要给PC1回包,PC3回给PC1的包经过sw2的g0/0/1后被打上了vlan2的tag,到达g0/0/3接口,SW2发现PC3发来的这个帧有tag是vlan2,而自己的pvid=2,于是就将这个tag去掉,而接口又允许vlan1、2通过,于是就将这个去掉了tag的数据包通过g0/0/3接口转发出去,被sw1在g0/0/3接口收到,sw1查看自己的trunk配置发现接口允许vlan1、2通过就接收这个帧,然后检查该帧的VID,发现没有,于是打上vlan1的tag(也就是没有tag),然后在vlan1的MAC表中查找PC1的mac地址,发现PC1连接在自己的e0/0/1接口,就会把帧从e0/0/1接口发送给PC1,这样就完成了一次PC1与PC3的互通。$ Z. }! b1 W( ]. b) _
交换机SW1上的配置:2 Z; ?# @ J0 \ ]6 }
[SW1-GigabitEthernet0/0/3]display this 8 c! J9 J6 ^* F1 h3 Y
#
0 w% t7 t, \& p2 P8 n7 C, }; Binterface GigabitEthernet0/0/3; \4 v7 X4 e" D# q; Z; \( H; H
port link-type trunk
( q( g# i( @6 j( k port trunk allow-pass vlan 2 端口pvid=1(默认)并允许vlan1、2的帧进入sw1$ |( O! a* `2 X
#6 K7 B/ I8 N$ R/ ]! a
return0 `2 I4 ~ X: }' B7 ^, m8 |
[SW1-GigabitEthernet0/0/1]display this / f; y; m& I+ _' b; ?- q
#( z& B+ S- _! c- t
interface GigabitEthernet0/0/1
+ _$ e4 p7 G3 N) [9 b port link-type access 端口默认属于vlan1,连接的是pc13 w; j: _, v, o
#
8 a3 ~. F+ V$ n5 Creturn$ i. e6 ^0 \- f' g8 k7 @
交换机SW2上的配置:
, K. B' b9 w8 s5 U9 |) V8 K[SW2-GigabitEthernet0/0/3]display this ; P' w" P6 h6 ]6 ]! k6 E I. b4 E6 n
#$ v- V/ ^5 c. m/ g8 [4 a2 P$ g
interface GigabitEthernet0/0/35 ]9 L6 C3 N* N# t
port link-type trunk
( G% \3 T1 ?4 C% B5 p7 ~- S port trunk pvid vlan 2 端口的pvid=2
6 K+ P9 z8 q7 r0 T port trunk allow-pass vlan 2 端口允许vlan1、2的帧进入sw2
. g2 s& |2 W/ R, f#
( x1 E5 l) h: k/ Hreturn
; [7 g, w9 } K8 o3 _7 p. z[SW2-GigabitEthernet0/0/1]display this 6 E1 ^- k& h; V* |" q: Q: c
#, a5 v% c; o _( ^+ \ v
interface GigabitEthernet0/0/1 Q* J1 R1 b5 B" ^) j( j" ^2 Y" T
port link-type access
6 b/ r/ j, O9 H1 v' F( W port default vlan 2 端口属于vlan2,连接的是pc2
: G; L1 j- B) y9 t# L#
3 D% ? E4 M; i0 kreturn
( D& c+ Q% c4 L0 xPC端的配置:
% S" p8 t& u# G6 s- S$ }PC1:192.168.1.10/24
6 P/ [% w% I0 X% F, d2 pPC2:192.168.1.30/24+ K8 h( Y x3 H
测试连通性
. ]& R' e' R( p2 r4 i- T! _) DPC1>ipconfig
) s0 H5 j' }7 x8 p3 W* P: p! BLink local IPv6 address...........: fe80::5689:98ff:fec3:22c4+ D( k7 u0 h& E7 i& _7 J0 A
IPv6 address......................: :: / 128& E5 Z v2 G! s6 G' Y6 l
IPv6 gateway......................: ::+ s( W1 C4 z. n
IPv4 address......................: 192.168.1.104 i8 z4 ^6 W6 n' m% i9 d0 h
Subnet mask.......................: 255.255.255.0
0 O/ v; z+ O& w$ E& D% NGateway...........................: 0.0.0.0
6 e: h% J' R/ h: t2 D# X) uPhysical address..................: 54-89-98-C3-22-C4
+ }% ^7 q9 O: K/ {: hDNS server........................:
) c, M+ \5 T; Y APC1>ping 192.168.1.30
& v; r+ f) G- Z2 r$ `$ l) O7 T+ CPing 192.168.1.30: 32 data bytes, Press Ctrl_C to break
% O; J: q- j# T$ }2 PFrom 192.168.1.30: bytes=32 seq=1 ttl=128 time=62 ms
4 ]! g# {3 F( o" ]* F2 _. K--- 192.168.1.30 ping statistics ---8 P3 O! R1 O! z0 C: i
1 packet(s) transmitted$ H( P; q, A! P/ m3 f' R2 \( @
1 packet(s) received
: Q) ]+ G1 v+ T8 g6 g 0.00% packet loss1 d; O2 Q, s7 \3 m0 ]1 d+ {& l5 ~! e
round-trip min/avg/max = 62/62/62 ms& X% Y5 h$ b; I" O1 V; R5 j: x- }! O
PC1>
" s1 x; o9 W( t8 |/ @$ W
1 U# z5 h$ X8 W5 t& p$ l% R9 [8 Q[Huawei]clear configuration interface g0/0/1 清除接口配置,恢复默认
# n+ ~+ ]& x3 L: A; j- `- t
, p: Z% {0 _7 n2 I9 V/ `; x在hybird模式中的tag和untag:
/ b; Q9 ^: i. H9 O tag是指允许通过的tag的帧,功能类似trunk的allow-vlan。untag是指当接口收到帧的时候去除哪个tag,untag=2就是收到vlan2的数据帧后将tag去掉还原成普通的帧(发给主机),类似于access接口的功能。所以hybrid模式是trunk和access接口功能的集合,可以灵活使用。
& i2 [6 v8 F9 u: k) s. c下面几个vlan划分的类型来学习hybrid端口的用法:
( L4 l8 t8 J. o1 [2 Q! U; z3 j1、基于端口的vlan划分,这个就是普通的使用access模式做的,一般都用这个模式/ D( I2 ]! b2 k7 _
2、基于ip地址的vlan划分,这个是用hybrid模式做,用于主机移动的办公环境(比如公司经常部门调整地理位置),原理是将vlan-id与ip网段进行映射绑定,只要主机的ip网段不变,那么他不管连接那个sw的那个接口都属于同一个vlan,不用担心频繁换地区导致连接sw的端口需要进行vlan的调整 a- S& t; C t, d
, J" l. p1 a; Z" U
配置如下:
) \; r/ Q& u4 S首先将ip网络与vlan进行绑定,分别在sw1和sw2中创建vlan并绑定相应的ip网段(SW1与SW2配置相同,只以sw1为例)3 X" w$ J' ]$ h# {4 ]
vlan 2
; I3 c9 N- }5 p ip-subnet-vlan 2 ip 192.168.1.0 255.255.255.0 将192.168.1.0/24与vlan2绑定,红色的数字2是id号,不是vlan号,可以随意设置但是
( v3 j; ^+ H' r# 一个vlan中最多可以绑定最多12个子网网段,只有12个id号$ j/ \+ g* a; V* m$ Y8 p/ m
配置sw1与sw2的级联trunk端口,并允许所有vlan通过+ }: N( F7 B( K8 L3 V) M" y2 y3 T
[SW1-GigabitEthernet0/0/3]display this : Z/ q1 f; J" q. p, \4 a* L' ^
#
, v$ r* u7 G% m4 M$ G: v2 ^8 Z3 Yinterface GigabitEthernet0/0/3
) {/ E2 w( W, Z1 I7 U port link-type trunk0 p+ b8 s* O+ b, X+ d. B4 [
port trunk allow-pass vlan 2 to 4094 允许所有vlan通过trunk/ c7 O4 h1 d9 ~, O
#
[" I$ b0 y$ r2 d+ s% Preturn
% _ S$ v' ]2 c. \2 I- ^- o" y配置sw1连接PC的g0/0/1端口为hybrid模式,并且只允许vlan2的数据帧通过(去除vlan2的标签给pc,收到其他vlan的数据就不会去掉标签直接发给pc,而pc不能识别带有vlan标识的帧从而丢弃数据帧,达到将pc的ip绑定在vlan2中)9 f x! c7 J9 {3 w! Q
[SW1-GigabitEthernet0/0/1]display this
6 Q" @9 J9 S% \' k. D#; {4 u/ R' E7 I5 m( i2 i/ U
interface GigabitEthernet0/0/1
, o: E: b" i7 K- s& N* b port hybrid untagged vlan 2 在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)4 [: g* Y) K' q9 f [8 G# @
vlan precedence ip-subnet-vlan 配置优先使用基于ip划分的vlan模式(默认使用基于端口的vlan模式)2 z k" ]. ?5 b% Z4 A4 @0 D& ?
ip-subnet-vlan enable 启用基于ip网络的vlan划分% g+ z) V9 n6 F' K
#$ p- w8 Q* [# }% D) H+ _2 `( G
return
4 h; l- q" K) {( r8 n8 r 验证方法是将sw1或者sw2的g0/0/1端口port hybrid untagged vlan 2修改为其他vlan-id后pc之间就无法通信,可以抓包查看帧的vlan-id。或者将pc1与pc2的ip地址改为192.168.2.x也不通,是因为vlan2只绑定了192.168.1.0/24而没有绑定其他网段,而端口又只untag了vlan2的帧。
, a9 I$ L" P: a" ]3、基于mac地址的vlan划分,与基于ip的vlan划分一样使用hybrid模式做,功能和基于ip地址的vlan划分类似
% `0 y& v9 [1 g3 a3 m3 C首先将pc的mac地址与vlan绑定,SW1与SW2配置相同,在vlan2中绑定pc1和pc3
" i9 ^; F6 B# _- H) D: fvlan 2
7 ?+ d- B& L* a0 { E mac-vlan mac-address 5489-98c3-22c4 priority 0
" r& |4 u& H' _! j! [8 B mac-vlan mac-address 5489-98ce-1433 priority 0
* c0 [) n" g) [9 Y, n配置sw1与sw2之间的trunk端口,允许所有vlan帧通过
! V9 S. l3 _& T- n5 ainterface GigabitEthernet0/0/3
0 N- h, w( g3 O1 b' c0 Q port link-type trunk
0 n! |3 l. ?! k port trunk allow-pass vlan 2 to 4094) L# C+ o5 ]0 s6 k5 {9 ?7 @
# _6 m2 ]6 Y/ U1 H" y
配置sw连接pc的接口的vlan模式优先使用mac划分vlan模式(hybrid端口默认就是mac-vlan模式),开启基于mac地址的vlan划分) V5 H3 t, [" `; l- a6 X: ^
interface GigabitEthernet0/0/19 g/ _+ Q5 {3 z: Y; x. k, z8 y
port hybrid untagged vlan 2 允许vlan2的帧通过,在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)6 o2 Y" c* J% ~, n E2 V1 B
mac-vlan enable 开启基于mac地址的vlan划分) N& W- }' U# i9 O, n! p
#2 ?* J% l+ K1 {9 I
验证方法与基于ip的vlan划分一样,或者可以将pc1与pc3改为其他网络,依然能通信,是因为使用的是基于mac的vlan划分,所以只要mac在一个vlan内,那么不管ip如何变化只要在一个网段内都能通信。6 C$ R, a/ l8 ~0 }& i4 Z
+ C7 E7 }$ T5 d. x
|
|
发表于 2018-10-28 22:24:14