|
|
session 1 华为交换机端口模式
8 e) U: O8 B* {( n# ^一、华为交换机端口分为三种模式:access、trunk、hybird/ Y, Q' s9 O: ]/ G
1、access端口,用于连接主机,pvid就是该端口所属的vlan号,只能属于一个vlan. j7 T3 X, k ]; b4 R
2、trunk端口,用于交换机之间连接,默认pvid是vlan1,不属于任何vlan% I: c+ o4 R# ]# B5 l; ~
3、hybird端口,是一种特殊的端口类型,默认pvid是vlan1,不属于任何vlan,是交换机端口的默认模式
! P& @ e( E. o$ M3 v2 X* o二、三种端口的配置命令和解释, X- V: H% t/ q2 B2 @
1、access端口vlan属性; y7 \) T9 {! W5 a2 N
[Huawei-GigabitEthernet0/0/10]display this
; E1 ~5 B5 a; O+ S8 D#+ s8 v: i7 B6 _! t1 j5 `3 {- Z
interface GigabitEthernet0/0/10/ F9 p2 Q" E; R+ u0 a
port link-type access 配置端口的模式为access
. E0 U2 L3 n7 G9 Q8 |1 n8 s port default vlan 2 端口属于vlan21 w8 c9 n/ l' y: g9 T1 Y& B
# u+ O3 f: F/ X2 y5 n
return) P! J% |* C& _# g9 W6 q5 B. x
2、trunk端口vlan属性, y0 o6 b; l" E" I4 v: x; G) K
[Huawei-GigabitEthernet0/0/10]display this
/ Y0 q2 i( Z$ q; L9 I8 h#
; H! }1 [- c$ p" a3 linterface GigabitEthernet0/0/107 ~$ i5 X/ k' u: k! r h; O9 A
port link-type trunk 配置端口的模式为trunk
4 R+ Y) a8 A. G& G port trunk pvid vlan 2 配置端口的pvid为vlan2
, g0 y. l: b0 ^ port trunk allow-pass vlan 2 to 10 配置trunk允许进入的vlan-id,允许vlan1-vlan10(vlan1默认允许)0 A% n- }8 N+ g5 @) B* c- D W# E. c
#6 y& O, q5 y$ Y( n1 P) t Y8 u
return) Z- N6 Y, t3 o
3、hybird端口vlan属性! Z+ _ m$ @+ w( o5 C
[Huawei-GigabitEthernet0/0/10]display this
& V* a1 T; ?& @& @: G' z8 v#
5 D# v; H$ j7 P4 a! I' jinterface GigabitEthernet0/0/10 配置端口模式为hybrid
$ h5 V% b; i& F) _% t4 b' M; i port hybrid pvid vlan 2 配置端口的pvid是2
3 `) v$ ~3 E! b. p/ [$ W) I5 `3 p( Z. ~ port hybrid tagged vlan 10 配置端口在发送帧时不将帧中的vlan10的标签去掉(类似trunk功能)
; z* P5 `, l8 @) g+ A: p8 @ port hybrid untagged vlan 2 配置端口在接到帧后移除vlan2的标签后转发(给主机) j2 ~# ?: W& u; Y# e r% J, i
#
: x( c) N+ U: e" K% ereturn+ U/ D- s% A: ]9 J/ a- q2 h
+ L: g( G# l3 o
pvid的作用,分为端口接收和发送数据两个方向:
R. f% N: L! F, e1、当端口收到一个未标记的帧时,就把该帧打上vlan id,这个id值等于pvid的值,然后转发到VID和PVID相等的VLAN 中。& I+ z- p5 K/ V
2、当帧从端口向外发送出去时,如果帧头中的VID和端口的PVID值相同,就把这个标识去掉,再送出去。
7 T. j4 L' _% Q/ q0 D& V下面例子解释pvid的双向作用:
7 W) g, F, |# r% _( v9 b: ?2 T7 q& ^& r+ u% Q
整个拓扑中PC1连接在sw1的g/0/1口,vlan1,PC2连接在sw2的g/0/1接口,vlan2
, ]# j/ n2 V, o! z* j SW1和SW2的g0/0/3接口都是trunk模式,其中sw1的g0/0/3接口的pvid是1,sw2的g0/0/3接口的pvid是2,并且两端trunk都允许vlan 1 to 2的帧通过。2 V8 }5 f3 K6 W: `% s( Q7 g
这样配置下来的结果是pc1和pc2只要在同一个网段内就可以通信,虽然vlan不同,但是可以通信。
7 p6 k# R3 E5 \1、pc1发送数据包给pc2过程是:pc1发送一个去往PC3的数据包到达sw1的e0/0/1接口,由于该接口属于vlan1所以sw1将受到的pc1的数据帧打上vlan1的标签(无标签),然后sw1查找PC3的mac,发现在接口g0/0/3下于是将数据包发给g0/0/3接口,当g0/0/3接口收到这个pc1发来的不打vlan标签的vlan1的帧后,就要将这个不打tag的帧发送出去,发现这个帧的VID和自己的PVID=1是相同的都是vlan1的于是就要把这个帧的tag去掉(vlan1默认就没有tag所以这里不做操作转发出去)然后转发出去。然后这个由PC1发来的帧被sw2在自己的g0/0/3接口收到,sw2发现收到的这个帧是没有tag的普通帧并且trunk接口的配置是允许vlan1、2通过所以会接收这个数据帧,并查看自己的pvid=2,于是就将这个数据包打上vlan2的tag,然后在vlan2的MAC表中查找PC3的mac地址发现在自己的e0/0/1接口上,于是将数据包转发到PC3。! j2 }: d6 W7 ~) G2 U: G
2、PC3收到PC1发来的数据包后需要给PC1回包,PC3回给PC1的包经过sw2的g0/0/1后被打上了vlan2的tag,到达g0/0/3接口,SW2发现PC3发来的这个帧有tag是vlan2,而自己的pvid=2,于是就将这个tag去掉,而接口又允许vlan1、2通过,于是就将这个去掉了tag的数据包通过g0/0/3接口转发出去,被sw1在g0/0/3接口收到,sw1查看自己的trunk配置发现接口允许vlan1、2通过就接收这个帧,然后检查该帧的VID,发现没有,于是打上vlan1的tag(也就是没有tag),然后在vlan1的MAC表中查找PC1的mac地址,发现PC1连接在自己的e0/0/1接口,就会把帧从e0/0/1接口发送给PC1,这样就完成了一次PC1与PC3的互通。
* y g N0 q3 l0 b& K; i交换机SW1上的配置:) d% P+ l; n' @. d' @$ Z: f
[SW1-GigabitEthernet0/0/3]display this , i+ m' [) a3 N7 i. F$ \
#
/ r& w0 ~/ n& qinterface GigabitEthernet0/0/3
3 l9 E% B5 y- W- H% d! @4 K' O port link-type trunk
2 n0 O2 f( l- z: @' Q* L* S( M port trunk allow-pass vlan 2 端口pvid=1(默认)并允许vlan1、2的帧进入sw1
5 h: _( e& `4 j1 j4 o% ?#' F6 T( F3 r: \, u- b
return
- `- C/ q& ^: q8 o7 M$ t+ P/ o[SW1-GigabitEthernet0/0/1]display this 2 J0 g7 `1 x) Q+ B* m
#3 u& y6 u$ j* Y9 |* O+ \0 v+ f
interface GigabitEthernet0/0/1+ _: X( n* X' a5 B f
port link-type access 端口默认属于vlan1,连接的是pc19 f7 Z9 T# f8 U/ ?* M5 U& a+ { w
#
- u: j8 r+ h* u% M1 U7 |7 c3 yreturn
" o" R+ B! T7 n0 {交换机SW2上的配置:0 H3 W, i! }1 ~/ ?" O8 j, I
[SW2-GigabitEthernet0/0/3]display this
7 I; X9 |+ t3 B, i* ?#
) Z7 R: l2 J, w1 N! Zinterface GigabitEthernet0/0/3
4 ?0 |$ ?. h. w% t9 c; T1 o port link-type trunk 3 L/ V8 s; Z, R1 G2 d
port trunk pvid vlan 2 端口的pvid=2
* Z; a! C" a. b0 d+ `! Q port trunk allow-pass vlan 2 端口允许vlan1、2的帧进入sw2
0 i& X Q/ b5 N0 u+ @#. @1 z) @: l; G$ @$ S- r! b
return% _% L6 R) g5 j2 w
[SW2-GigabitEthernet0/0/1]display this
" l; k% W+ z3 A5 F#/ J4 z* [9 ^4 `, M) k7 k
interface GigabitEthernet0/0/1
" d5 O5 E: s' O( h/ v" I port link-type access: H* I. D& c5 W1 n8 {% i) c
port default vlan 2 端口属于vlan2,连接的是pc2
, c$ m) W3 |4 y* a& B#
0 l; z. A1 R: v2 H9 w1 V6 i9 h5 oreturn
; h( U5 O4 o2 k( d2 s7 uPC端的配置: c+ a2 g9 \( t! g" V
PC1:192.168.1.10/244 h' E$ ?( N7 } ?+ D0 A
PC2:192.168.1.30/24
- x6 K0 `( I3 N: i4 l' }3 [测试连通性
" A* P& c! V( V: f+ aPC1>ipconfig! l% x( U# z' C0 E
Link local IPv6 address...........: fe80::5689:98ff:fec3:22c4 }3 o. {; g& a% `9 S: w; ^" M
IPv6 address......................: :: / 1282 n1 l: B, d: W2 J' ~9 X3 I. j8 v
IPv6 gateway......................: ::
5 U4 c Q9 M0 w8 M0 y2 G/ f( tIPv4 address......................: 192.168.1.10
- \* x$ h' m% e0 s: r; n0 PSubnet mask.......................: 255.255.255.0$ z" O+ G% l" x* c3 w
Gateway...........................: 0.0.0.0
1 O, e1 O2 `; |7 R! hPhysical address..................: 54-89-98-C3-22-C4
1 Q* L) b6 v# B& O5 ^2 z* nDNS server........................:
5 o+ u+ X. q: t( kPC1>ping 192.168.1.30
# `; V9 a' G+ C& a, }. R+ K) k- fPing 192.168.1.30: 32 data bytes, Press Ctrl_C to break4 F& B' t6 b! s/ z
From 192.168.1.30: bytes=32 seq=1 ttl=128 time=62 ms" O- j1 ?8 A8 y9 k) W% s* f
--- 192.168.1.30 ping statistics ---
' Y, i( q; S0 t$ _3 u) ^ 1 packet(s) transmitted9 m* O" n( c9 y
1 packet(s) received' g# t- |) G ~9 E3 o
0.00% packet loss6 n' c* U0 O) o
round-trip min/avg/max = 62/62/62 ms
/ ]. e1 ]; i! JPC1>
& d* I$ O7 ]' b0 O& l! m9 Z6 z5 c9 f2 J1 S0 j# ?, E
[Huawei]clear configuration interface g0/0/1 清除接口配置,恢复默认- h2 Y' `5 q% L* U i
0 @7 a( g( |' k' J
在hybird模式中的tag和untag:
6 V! S2 ]$ p {2 k' K tag是指允许通过的tag的帧,功能类似trunk的allow-vlan。untag是指当接口收到帧的时候去除哪个tag,untag=2就是收到vlan2的数据帧后将tag去掉还原成普通的帧(发给主机),类似于access接口的功能。所以hybrid模式是trunk和access接口功能的集合,可以灵活使用。
# ?8 h& `1 k$ R下面几个vlan划分的类型来学习hybrid端口的用法:
& I b: n+ h2 u8 J$ l* L& M1、基于端口的vlan划分,这个就是普通的使用access模式做的,一般都用这个模式
) r1 T5 w2 K% @0 e7 g2、基于ip地址的vlan划分,这个是用hybrid模式做,用于主机移动的办公环境(比如公司经常部门调整地理位置),原理是将vlan-id与ip网段进行映射绑定,只要主机的ip网段不变,那么他不管连接那个sw的那个接口都属于同一个vlan,不用担心频繁换地区导致连接sw的端口需要进行vlan的调整
: f/ k& u# J5 m. c/ v* k
; X4 x/ `5 h$ H配置如下:
4 K3 k! f& |- s2 c首先将ip网络与vlan进行绑定,分别在sw1和sw2中创建vlan并绑定相应的ip网段(SW1与SW2配置相同,只以sw1为例)
0 U# z2 ^$ \! |" C2 i8 @0 `# Gvlan 2
( w; E7 j4 ~" V# ^ ip-subnet-vlan 2 ip 192.168.1.0 255.255.255.0 将192.168.1.0/24与vlan2绑定,红色的数字2是id号,不是vlan号,可以随意设置但是
) D9 ^3 [3 h" J* Q* p$ N6 o# 一个vlan中最多可以绑定最多12个子网网段,只有12个id号3 }+ ~0 Z$ }9 L9 n7 v1 ^9 h- z
配置sw1与sw2的级联trunk端口,并允许所有vlan通过1 A) {: o/ K5 ?0 [7 i
[SW1-GigabitEthernet0/0/3]display this & } k4 j6 q7 d I
#
8 V3 s- H2 b- `* n) w; x, pinterface GigabitEthernet0/0/3
8 y* i+ ^ s. d/ t# j4 ^& W4 k port link-type trunk
- P& {0 d6 k( k- J2 s- `+ j port trunk allow-pass vlan 2 to 4094 允许所有vlan通过trunk& G q+ u# Y7 f) D5 n1 H Z; e
#% W" N, b1 E# g% X, ]
return
7 n/ P" ^0 d& G配置sw1连接PC的g0/0/1端口为hybrid模式,并且只允许vlan2的数据帧通过(去除vlan2的标签给pc,收到其他vlan的数据就不会去掉标签直接发给pc,而pc不能识别带有vlan标识的帧从而丢弃数据帧,达到将pc的ip绑定在vlan2中)
1 I* A5 J% U9 b( n" r8 S[SW1-GigabitEthernet0/0/1]display this
: ?: {7 W. e$ t1 P#
9 C3 z* y' ]; v7 ]& z3 @$ ninterface GigabitEthernet0/0/1
/ e+ E0 y- s9 q7 a6 n port hybrid untagged vlan 2 在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)
) j$ ^5 N, R# e5 z3 N0 ? vlan precedence ip-subnet-vlan 配置优先使用基于ip划分的vlan模式(默认使用基于端口的vlan模式)
8 }: j5 |4 v1 U" X/ y# u ip-subnet-vlan enable 启用基于ip网络的vlan划分' B- i) B! ?, G3 W
#2 t) x! D/ D+ ?
return% |- i: W% Z7 t
验证方法是将sw1或者sw2的g0/0/1端口port hybrid untagged vlan 2修改为其他vlan-id后pc之间就无法通信,可以抓包查看帧的vlan-id。或者将pc1与pc2的ip地址改为192.168.2.x也不通,是因为vlan2只绑定了192.168.1.0/24而没有绑定其他网段,而端口又只untag了vlan2的帧。
# {$ N( ~4 n$ M2 `8 }3、基于mac地址的vlan划分,与基于ip的vlan划分一样使用hybrid模式做,功能和基于ip地址的vlan划分类似: L) i) k1 X4 \, c3 A6 u% N5 A' O
首先将pc的mac地址与vlan绑定,SW1与SW2配置相同,在vlan2中绑定pc1和pc33 b# z* |4 u3 @' e' X' f
vlan 2 : ?& T$ `) X2 o% h$ z/ I
mac-vlan mac-address 5489-98c3-22c4 priority 05 V+ u! Q8 v8 ~5 Q
mac-vlan mac-address 5489-98ce-1433 priority 0
' ?/ k& |. a N' ]7 G2 z配置sw1与sw2之间的trunk端口,允许所有vlan帧通过
' \* @6 o) G& s) n# ]# ]' i3 Yinterface GigabitEthernet0/0/3
b8 L; ^ g" N3 Z# a7 c) q port link-type trunk/ V# I( ^9 H3 Q4 S- b2 Y
port trunk allow-pass vlan 2 to 4094
- t: k* ]5 h4 @#
$ q$ F# B$ |1 ^. t1 Y. }1 c" G% E配置sw连接pc的接口的vlan模式优先使用mac划分vlan模式(hybrid端口默认就是mac-vlan模式),开启基于mac地址的vlan划分4 Z& b$ \- \# s; P
interface GigabitEthernet0/0/19 |9 ?# R2 n( s: l3 W+ [1 U
port hybrid untagged vlan 2 允许vlan2的帧通过,在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)
7 {/ f; p* l, K2 T mac-vlan enable 开启基于mac地址的vlan划分
# |/ o' D( f) a5 q#
; d3 r5 `. t- v 验证方法与基于ip的vlan划分一样,或者可以将pc1与pc3改为其他网络,依然能通信,是因为使用的是基于mac的vlan划分,所以只要mac在一个vlan内,那么不管ip如何变化只要在一个网段内都能通信。4 F( p/ M! b* e- X$ H9 Y
3 d5 t, N+ S' F1 r |
|
发表于 2018-10-28 22:24:14