扩展VLAN特性与管理——1

扩展VLAN特性是为了解决在普通VLAN应用过程中出现的一些问题而开发的。如VLAN聚合是为了解决普通VLAN间通信必须使每个VLAN位于不同的IP子网,必须为每个VLAN配置VLANIF接口并分配IP地址问题;MUX VLAN是为了达到VLAN内部用户间的二层隔离的目的,同时可实现VLAN间的通信;VLAN映射可解决由ISP公网到用户私网VLAN的映射问题。

VLAN聚合配置与管理

由于VLAN基本特性的限制,如普通VLAN间通信过程中需要为每一个VLAN配置一个VLANIF接口IP地址,同时需要为每个VLAN单独使用一个IP子网,导致IP子网数可能很多,IP地址浪费严重。为此,诞生了一种可以聚合多个不配置VLANIF接口的超级VLAN(Super-VLAN)技术,即VLAN聚合(VLAN Aggregation)技术。这个超级VLAN可以包含多个位于同一IP子网的VLAN,并且只需要使用一个VLANIF接口IP地址作为各成员VLAN的共同网关即可实现同一超级VLAN内不同成员VLAN间,以及与外部网络间的通信。

一、普通VLAN部署的不足

普通VLAN,一般采用一个VLAN对应一个三层VLANIF逻辑接口的方式实现VLAN间的互通。

扩展VLAN特性与管理——1_第1张图片

如上图,在一个三层交换机(L3Switch)上部署3个VLAN(2、3、4),为它们创建三层VLANIF接口,个配置一个IP。如果VLAN2中预计未来有10个主机地址,则至少要为其分配掩码长度为28的子网1.1.1.0/28,同时需要为其配置一个缺省网关地址,即VLANIF2的IP(假设为1.1.1.1),这样该子网中可以分配给主机使用的IP地址共13个,尽管VLNA2只需要10个地址。

同理,如果VLAN3中预计有5个主机地址,掩码长度为至少为29的1.1.1.16/29,也许配置一个缺省网关地址,即VLANIF3的IP(假设1.1.1.17)。VLAN4中预计1个主机,至少要分配一个子网掩码长度为30的子网1.1.1.24/30,也要配置一个缺省网关地址,即VLANIF4的IP(假设1.1.1.25)。

扩展VLAN特性与管理——1_第2张图片

这三个VLAN一共只需要16(10+5+1)个主机IP地址,但是最优的方案也需占用28(16+8+4)个IP地址。而且后续网络升级和扩展不方便,如VLAN4以后要增加2台主机。

总之,普通VLAN配置很多IP地址被子网网络地址、子网定向广播地址、子网缺省网管地址消耗掉。

二、VLAN聚合及优势体现

VLAN聚合技术就是把多个不配置三层VLANIF接口,同处于一个IP子网的VLAN(称之为Sub-VLAN)当做一个大的、配置三层VLANIF接口的VLAN(称之为Super-VLAN)的成员。这些同一IP子网下的多个Sub-VLAN间可以实现用户的二层隔离,同时这些成员VLAN间又可通过上层的Super-VLAN配置的三层VLANIF接口IP地址作为缺省网关在各成员VLAN间,以及与网络中其他VLAN间进行通信。

1、VLAN聚合中的两类VLAN

(1)Super-VLAN:可以看成一个大的VLAN,或者说是Sub-VLAN的上层VLAN。但与通常意义上的VLAN不同,因为他的成员就是Sub-VLAN,而不是交换机端口(里面不能添加交换机端口),但需要创建三层VLANIF接口(所以Super-VLAN只能在三层交换机上创建),并配置IP。每个VLAN聚合中只能有一个Super-VLAN。

(2)Sub-VLAN:它是Super-VLAN的成员,每个VLAN聚合中可以有一个或多个Sub-VLAN。各Sub-VLAN成员都同处于一个IP子网中,用来对同一个IP子网中的不同用户进行二层隔离,但不能创建三层VLANIF接口(可以在二层或三层交换机上创建)。这些Sub-VLAN中的成员就是各用户所连接的交换机端口,但各个Sub-VLAN中的用户网关IP地址都是Super-VLAN的VLANIF接口IP地址,以实现Sub-VLAN成员间,以及与外部网络的三层通信。

在同一个Super-VLAN中,无论主机属于哪一个Sub-VLAN,它的IP地址都在Super-VLAN的VLANIF接口IP地址所对应的IP子网内。

扩展VLAN特性与管理——1_第3张图片

2、VLAN聚合优势示例

以表7-1所示例子,按照VLAN聚合的实现方式,新建VLAN10并配置为Super-VLAN,给其分配一个子网掩码长度是24的子网1.1.1.0/24,并配置VLANIF10接口IP为1.1.1.1

扩展VLAN特性与管理——1_第4张图片

扩展VLAN特性与管理——1_第5张图片

三、Sub-VLAN通信原理

在VLAN聚合中,Super-VLAN和Sub-VLAN都存在一些特性,如Super-VLAN必须配置三层VLANIF接口,但不能有交换机端口成员;各个Sub-VLAN成员同处Super-VLAN的VLANIF接口IP地址所在的一个IP子网中,必须有交换机端口成员,但不能配置三层的VLANIF接口。

1、Sub-VLAN间的三层通信原理

VLAN聚合在实现了不同Sub-VLAN间公用一个IP子网地址的同时也带来了Sub-VLAN间的三层转发问题。因为普通VLAN方式中,VLAN间通过各自不同的网关(即VLANIF接口IP)进行三层转发互通。在VLAN聚合下,由于同一个Super-VLAN内的所有主机使用的是同一个IP子网中的IP和同一个网关IP,即使是属于不同的Sub-VLAN的主机,所以这些主机彼此通信时只会做二层转发,不会通过网关进行三层转发。而实际上不同的Sub-VLAN的主机在二层是相互隔离的,这就造成Sub-VLAN间无法二层和三层通信的问题。

解决上述问题的方法就是在作为这些Sub-VLAN网关的Super-VLAN的VLAN接口上启用ARP Proxy(ARP代理)功能。使这个VLANIF接口作为各Sub-VLAN中的主机间通信的ARP代理,代理接收和转发这些主机间的ARP查寻请求和响应包,以最终实现各Sub-VLAN间的三层通信。

扩展VLAN特性与管理——1_第6张图片

如上图,在L3 Switch上创建的Super-VLAN(VLAN10)包含Sub-VLAN(VLAN2和VLAN3)。VLAN2内的主机A与VLAN3内的主机B的通信过程如下(假设此时主机A的ARP映射表中无主机B的对应表项,且在网关L3 Switch上使能了Sub-VLAN间的ARP代理功能)。

(1)主机A将主机B的IP地址(1.1.1.3)和自己所在网段1.1.10/24进行比较,发现主机B和自己在同一个IP子网中,但A的ARP映射表中无B的对应表项。于是A在本VLAN内发送一ARP广播请求包,请求查寻B的MAC地址。

(2)由于主机B并不在A所在的VLAN2内,无法接收到A的这个ARP请求。但由于在网关(Super-VLAN的VLANIF接口)上使能了Sub-VLAN间的ARP代理功能,所以当网关收到主机A的ARP请求后,开始在路由表中查找,发现ARP请求中的目的主机B的IP地址(1.1.1.3)为直连口路由,则网关向所有其他Sub-VLAN中发送一个ARP广播包,代替主机A请求查寻主机B的MAC地址。

(3)在各Sub-VLAN中只有IP地址与ARP请求包中的目的IP一致的主机发会做出响应。所以在B收到网关发送的ARP广播包后,对此请求进行ARP应答。

(4)在网关收到主机B的应答后,建立一个主机B的ARP表项,然后以自己的MAC地址作为源MAC地址(其实是想作为主机B的MAC)向A发送一个ARP应答包。

(5)在A收到来自网关的应答帧后,就以网关MAC地址作为作为主机B的MAC地址建立主机B的ARP表项。然后主机A便修改要发送给主机B的数据帧中的目的MAC地址(目的IP地址不变,仍为B的IP地址)为网关的MAC地址(其实,主机A并不知道这个MAC地址不是主机B的MAC地址),把数据发给网关(因为对于主机A来说,它认为主机B的MAC地址就是网关的MAC地址)。

(6)网关在收到主机A发来的数据包后,根据其前面为主机B所创建的ARP映射表项,修改帧中的目的MAC地址为真实的主机B的MAC地址,然后转发数据包到主机B上,实现位于不同Sub-VLAN中的主机间的三层通信。

从以上通过ARP代理实现不同VLAN间三层通信的原理可以得出,在每个VLAN中的主机最终只能创建本广播域中的节点(包括网关)ARP映射表项,因为通过网关得到的ARP应答包中的源MAC地址都是网关自己的MAC地址,而不是真正的外部VLAN或网络中主机的MAC地址。只不过通过ARP代理功能可以使网关在与其相连的其他VLAN或网络中代理发送ARP请求,以解析外部VLAN或网络中的主机MAC地址。

2、Sub-VLAN与外部网络的二层通信

Super-VLAN与各个Sub-VLAN是作为一个整体与外部网络进行通信的,作为Super-VLAN成员的Sub-VLAN在实际的VLAN帧传输中如何识别和处理帧中的VLAN标签呢?由于Super-VLAN中没有物理端口成员(就是没有任何一个物理端口加入了Super-VLAN),所以在基于端口划分的VLAN(不能像基于MAC地址、IP地址、协议类型和策略的动态VLAN划分的VLAN,因为这些VLAN中端口成员可动态加入)的二层通信中,无论是数据帧进入交换机端口还是从交换机端口发出都不会有针对Super-VLAN的数据帧。

扩展VLAN特性与管理——1_第7张图片

如上图7-5,在Switch1上创建了Super-VLAN10,以及VLAN2和VLAN3这两个Sub-VLAN。从HostA侧Port1进入设备Switch1的帧会被打上VLAN2的标签,在Switch1中这个标签不会因为VLAN2是VLAN10的Sub-VLAN而变为VLAN10的标签。该数据从Trunk类型的接口Port3出去时,依然是携带VLAN2的标签。就是说Switch1本身不会发出VLAN10的数据帧。就算其他设备有VLAN10的数据帧发送到该设备上,这些数据帧也会因为Switch1上没有VLAN10对应的物理端口成员而最终被丢弃。

Super-VLAN中绝对不能存在物理端口。此时在配置Trunk端口和创建Super-VLAN的顺序上还需要注意一下两个方面:

(1)如果先配置了Super-VLAN,在配置Trunk接口时,Trunk的VLAN许可列表项里就自动过滤了Super-VLAN。如图7-5,虽然Switch1的Port3允许所有的VLAN通过,但是也不会有作为Super-VLAN的VLAN10的数据帧从该接口进出。

(2)如果先配置好了Trunk端口,并允许所有VLAN通过,则在此设备上将无法配置Super-VLAN。本质原因就是有物理端口的VLAN都不能被配置为Super-VLAN,而配置允许所有VLAN通过,则该Trunk端口就自动成为所有VLAN的成员,这样自然所有VLAN都不能配置为Super-VLAN。对于图7-5的Switch1而言,有效的VLAN只有VLAN2和VLAN3,所有的数据帧都在这两个VLAN中转发。

3、Sub-VLAN与外部网络的三层通信原理

所有Sub-VLAN都是通过Super-VLAN的VLANIF接口作为网关与外部网络进行三层通信的。图7-6是Sub-VLAN与外部网络的三层通信原理。

Switch1上配置了Super-VLAN4,Sub-VLAN2和Sub-VLAN3,并配置一个普通的VLAN10;Switch2上配置两个普通的VLAN10和VLAN20。假设Super-VLAN4中的Sub-VLAN2下的主机A想访问与Switch2相连的主机C(位于VLAN20中),则通信过程如下(假设Switch1已配置了去往1.1.3.0/24网段的路由,Switch2上配置了去往1.1.1.0/24网段的路由):

(1)主机A将主机C的IP地址(1.1.3.2)和自己的网段1.1.1.0/24进行比较,发现C和自己不在同一个子网。于是主机A发送一个ARP请求给自己的网关(位于Switch1上的Super-VLAN4接口),请求网关的MAC地址。

(2)Switch1在收到该ARP请求后,查找Sub-VLAN和Super-VLAN的对应关系,从Sub-VLAN2发送ARP应答给主机A。ARP应答数据帧中的源MAC地址为Super-VLAN4对应的VLANIF4的MAC地址。

(3)主机A学习到网关的MAC地址后向网关发送目的MAC地址为Super-VLAN4对应的VLANIF4的MAC地址、目的IP为1.1.3.2(主机C的IP)的数据帧。

(4)Switch1在收到该数据帧后进行三层转发,根据在路由表中配置的路由表项知道其下一跳地址为1.1.2.2,出接口为VLANIF10,把数据帧发送给Switch2。

(5)Switch2在接收到给数据帧后再进行三层转发,通过直连出接口VLANIF20,把数据帧发送给主机C。

(6)主机C在收到数据帧后向其网关(位于Switch2上的VLANIF20接口)发送应答数据帧,然后经过Switch2上进行三层转发到达Switch1。

(7)Switch1在接收到来自主机C,并由Switch2转发的应答数据帧后再进行三层转发,通过其网关(VLANIF4接口)把数据帧发送给主机A。

至此完成Sub-VLAN与外部网络的三层通信。

四、VLAN聚合配置思路

要实现VLAN聚合功能,至少需要以下配置任务:

(1)创建Super-VLAN和各个Sub-VLAN。

(2)把各个Sub-VLAN中的用户计算机成员均配置在同一IP子网中,然后基于端口划分方式加入对应的Sub-VLAN中。

(3)为Super-VLAN创建三层VLANIF接口,并配置与各Sub-VLAN中用户计算机在同一IP子网中的IP。

(4)在Super-VLAN的三层VLANIF接口上使能ARP代理功能,以实现不同Sub-VLAN间的三层互通。

必须向创建、配置各个Sub-VLAN,再创建、配置Super-VLAN。

五、配置Sub-VLAN

仅需要创建对应的Sub-VLAN,然后以基于端口划分方式把各用户计算机所连接的交换机端口加入对应的Sub-VLAN中。其实就是一个基于端口的VLAN划分配置过程。

扩展VLAN特性与管理——1_第8张图片

六、配置Super-VLAN

Super-VLAN内可以包括多个Sub-VLAN,不能加入任何物理端口,但可以创建三层VLANIF接口并配置IP地址。为了确保实现各Sub-VLAN间的三层通信,还需要在Super-VLAN的VLANIF接口上启用ARP代理功能。必须已完成Sub-VLAN配置。

扩展VLAN特性与管理——1_第9张图片

七、VLAN聚合配置示例

扩展VLAN特性与管理——1_第10张图片

如上拓扑,某公司拥有多个部门且位于同一IP子网。为提高安全,将不同部门用户划分到不同VLAN中,不同部门(如VLAN2和VLAN3为不同部门)间的用户需要实现三层互通。

可在Switch上部署VLAN聚合,同时在Super-VLAN的VLANIF接口上启用ARP代理功能,即可满足VLAN2和VLAN3二层隔离的同时实现三层互通。

配置步骤:

(1)转换连接Sub-VLAN2和Sub-VLAN3用户的交换机端口类型为Access类型

system-view

[Huawei]interface gigabitethernet 1/0/1

[Huawei-GigabitEthernet1/0/1]port link-typeaccess

[Huawei-GigabitEthernet1/0/1]quit

[Huawei]interface gigabitethernet 1/0/2

[Huawei-GigabitEthernet1/0/2]port link-typeaccess

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]interface gigabitethernet 1/0/3

[Huawei-GigabitEthernet1/0/3]port link-typeaccess

[Huawei-GigabitEthernet1/0/3]quit

[Huawei]interface gigabitethernet 1/0/4

[Huawei-GigabitEthernet1/0/4]port link-typeaccess

[Huawei-GigabitEthernet1/0/4]quit

    (2)创建Sub-VLAN2,并向其中加入GE1/0/1和GE1/0/2

[Huawei]vlan 2

[Huawei-vlan2]port gigabitethernet 1/0/1 1/0/2

[Huawei-vlan2]quit

    (3)创建Sub-VLAN3,并向棋中加入GE1/0/3和GE1/0/4

[Huawei]vlan 3

[Huawei-vlan3]port gigabitethernet 1/0/31/0/4

[Huawei-vlan3]quit

    (4)创建Super-VLAN4,并聚合VLAN2和VLAN3

[Huawei]vlan 4

[Huawei-VLAN4]aggregate-vlan

[Huawei-VLAN4]access-vlan 2 to 3

[Huawei-VLAN4]quit

    (5)配置Super-VLAN4的VLANIF4接口IP地址,并启用ARP代理功能。

[Huawei]interface vlanif 4

[Huawei-Vlanif4]ip address 100.1.1.12255.255.255.0

[Huawei-Vlanif4]arp-proxinter-sub-vlan-proxy enable

[Huawei-Vlanif4]quit

模拟实验:

扩展VLAN特性与管理——1_第11张图片

扩展VLAN特性与管理——1_第12张图片

    上例是一个最基本的VLAN聚合示例,因为是在一台三层交换机上实现的。事实上VLAN聚合也可以实现跨交换机的VLAN聚合。如下图。

扩展VLAN特性与管理——1_第13张图片

SwitchA是一台汇聚层的三层交换机,创建一个Super-VLAN10,并配置其VLANIF10接口IP为10.1.1.1/24,同时创建作为Sub-VLAN的VLAN2和VLAN3;SwitchB、SwitchC和SwitchD是三层接入层交换机,可以是二层或三层交换机,分别创建了以上对应的VLAN2和VLAN3,且各Sub-VLAN中的用户计算机IP地址都位于10.1.1.0/24的IP子网中。在SwitchB、SwitchC和SwitchD上把与PC连接的端口配置为Access类型,把与SwitchA连接的端口配置为Trunk类型,并允许所连接的Sub-VLAN通过;把SwitchA与SwitchB、SwitchC和SwitchD连接的端口配置为Trunk类型,也允许所连接的Sub-VLAN通过。

模拟实验:

扩展VLAN特性与管理——1_第14张图片

配置:

扩展VLAN特性与管理——1_第15张图片

扩展VLAN特性与管理——1_第16张图片

扩展VLAN特性与管理——1_第17张图片

扩展VLAN特性与管理——1_第18张图片

按照理论上的描述,上述配置后,任何两台主机之间应该能够互相访问,但是,实际测试后只有相同VLAN中的机器能够互访。在SwitchA和SwitchC的链路上抓包,从PC1上PING PC7,从从PC3上PING PC1,和从PC3上PING PC5,抓包如下:

扩展VLAN特性与管理——1_第19张图片

扩展VLAN特性与管理——1_第20张图片

扩展VLAN特性与管理——1_第21张图片

可以看出,VLAN2中的主机发出的ARP广播包,是Ethernet II帧,添加了802.1Q标签,VLANID是2,并且被Super-VLAN的vlanif接口进行了代理转发,因为有ARP Who has 192.168.2.7 tell 192.168.2.254 ?,而从VLAN3中发出的ARP广播包,是802.3 Ethernet,没有被Super-VLAN的vlanif接口转发。从PC3上PING PC7,即同一个VLAN中的主机互相通信,抓包如下:

扩展VLAN特性与管理——1_第22张图片

个人理解:两台主机要互通,先发送ARP广播包,如果是同一VLAN(跨交换机),首先是本VLAN的ARP广播,不通过ARP代理,直接通过交换机内部的标签交换,找到对应的相同VLAN的其他Trunk接口转发,没有找到目标ARP,需要Super-VLAN的VLANIF接口代理转发,向其他Sub-VLAN广播ARP广播包。当通过上面的抓包,同一VLAN中的ARP广播包转发了,很奇怪。

MUX VLAN配置与管理

在VLAN应用中经常遇到的需求:整个公司网络的用户都处于一个IP子网中,但是又希望在所有员工都能直接二层访问网络中的某些关键设备的同时一部分员工彼此之间二层隔离。MUX VLAN(Multiplex VLAN,复合VLAN)提供的二层流量隔离机制可实现以上双重目的。

一、MUX VLAN概述

MUX VLAN提供了一种通过VLAN进行网络资源访问控制的机制。包括两个层次的VLAN,即Principal VLAN(主VLAN)和Subordinate VLAN(从VLAN),但也只是一种关联关系,不是内层和外层VLAN关系。从VLAN又分为两类,即Separate VLAN(隔离型从VLAN)和Group VLAN(互通型从VLAN)。

MUX VLAN具有以下特性:

(1)主VLAN可以与任何从VLAN间直接二层通信

(2)任何不同从VLAN(包括隔离型从VLAN和互通型从VLAN)间都不能直接二层通信。

(3)互通型从VLAN内部的用户间可直接二层通信,隔离型从VLAN内部的用户间不能直接通信,起到在同一个VLAN内实现各用户相互二层隔离的目的。

扩展VLAN特性与管理——1_第23张图片

 下图是MUX VLAN的一种典型应用,企业可以用Principalport连接用户需要共同访问的企业服务器,Separate port连接企业客户,Group port连接企业员工,这样就能实现企业客户、企业员工都能访问企业服务器,而企业员工内部可以通信,企业客户间不能通信、企业客户和企业员工之间不能互访的目的。

扩展VLAN特性与管理——1_第24张图片

二、配置MUX VLAN

基本配置任务:

(1)创建一个主VLAN,一个或多个隔离型从VLAN和互通型从VLAN;

(2)在加入以上各VLAN的交换机端口上使能MUXVLAN功能。

1、配置MUX VLAN中的主VLAN

扩展VLAN特性与管理——1_第25张图片

当指定VLAN ID已经用于主VLAN,则该VLAN不能配置VLANIF接口,也不能配置VLANMapping、VLAN Stacking、Super-VLAN、Sub-VLAN功能。如果某VLAN已经配置为Super-VLAN、Sub-VLAN或从VLAN,则该VLAN不能配置为主VLAN;

2、配置MUX VLAN中的从VLAN

从VLAN又分为互通型从VLAN(Group VLAN)和隔离型从VLAN(SeparateVLAN)两类。但一个MUX VLAN不一定要求同时包括这两种从VLAN,且一个主VLAN下只能配置一个隔离型从VLAN,却可以最多配置128个互通型从VLAN。

扩展VLAN特性与管理——1_第26张图片

 当指定VLAN ID已经用于互通型从VLAN或隔离型从VLAN,或者主VLAN,则该VLAN不能配置VLANIF接口,也不能配置VLANMapping、VLANStacking、Super-VLAN、Sub-VLAN功能。如果某VLAN的类型已配置为Super-VLAN、Sub-VLAN或从VLAN,则该VLAN不能配置为互通型从VLAN和隔离型从VLAN;如果某VLAN上已经创建了VLANIF接口,则该VLAN也不能配置为互通型从VLAN和隔离型从VLAN。

3、使能端口MUX VLAN功能

只有使能端口MUX VLAN功能后,才能达到主VLAN与从VLAN之间通信、互通型从VLAN内的端口可以相互通信和隔离型从VLAN端口间不能相互通信的目的。但要特别注意,在MUX VLAN中的所有终端设备连接的交换机端口必须是以Access类型或HybridUntagged类型加入的,且端口只能允许一个VLAN通过。如果端口允许多个VLAN通过,那么端口将无法成功使能MUX VLAN功能。

使能方法,在对应交换机端口视图下执行portmux-vlan enable命令(注意要在所有MUX VLAN的交换机端口上配置)。

禁止端口MAC地址学习功能或限制端口MAC地址学习数量会影响MUXVLAN功能的正常使用。所以,不能在同一端口上同时配置MUX VLAN和接口安全功能;不能在同一端口上同时配置MUX VLAN和MAC认证功能;不能在同一端口上同时配置MUX VLAN和802.1x认证功能。

三、MUX VLAN配置示例

扩展VLAN特性与管理——1_第27张图片

如上图拓扑,要求通过MUX VLAN功能实现企业所有员工都可以访问企业的服务器(Server),但希望企业内部部分员工之间可以互相通信,另一部分之间是隔离的,不能互相访问。

配置步骤:

    (1)创建各个MUX VLAN即VLAN2、3、4。

system-view

[Huawei]vlan batch 2 to 4

(2)配置VLAN2为主VLAN,VLAN3为互通型从VLAN,VLAN4为隔离型从VLAN

[Huawei]vlan 2

[Huawei-vlan2]mux-vlan

[Huawei-vlan2]subordinate group 3

[Huawei-vlan2]subordinate separate 4

[Huawei-vlan2]quit

    (3)配置各MUX VLAN中交换机端口为Access类型(也可以是仅允许一个VLAN通过的UntaggedHybrid类型),加入对应的VLAN中,并使能它们的MUX VLAN功能。

[Huawei]interface gigabitethernet 1/0/1

[Huawei-GigabitEthernet1/0/1]port link-typeaccess

[Huawei-GigabitEthernet1/0/1]port defaultvlan 2

[Huawei-GigabitEthernet1/0/1]port mux-vlanenable

[Huawei-GigabitEthernet1/0/1]quit

[Huawei]interface gigabitethernet 1/0/2

[Huawei-GigabitEthernet1/0/2]port link-typeaccess

[Huawei-GigabitEthernet1/0/2]port defaultvlan 3

[Huawei-GigabitEthernet1/0/2]port mux-vlanenable

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]interface gigabitethernet 1/0/3

[Huawei-GigabitEthernet1/0/3]port link-typeaccess

[Huawei-GigabitEthernet1/0/3]port defaultvlan 3

[Huawei-GigabitEthernet1/0/3]port mux-vlanenable

[Huawei-GigabitEthernet1/0/3]quit

[Huawei]interface gigabitethernet 1/0/4

[Huawei-GigabitEthernet1/0/4]port link-typeaccess

[Huawei-GigabitEthernet1/0/4]port defaultvlan 4

[Huawei-GigabitEthernet1/0/4]port mux-vlanenable

[Huawei-GigabitEthernet1/0/4]quit

[Huawei]interface gigabitethernet 1/0/5

[Huawei-GigabitEthernet1/0/5]port link-typeaccess

[Huawei-GigabitEthernet1/0/5]port defaultvlan 4

[Huawei-GigabitEthernet1/0/5]port mux-vlanenable

[Huawei-GigabitEthernet1/0/5]quit

模拟实验:

扩展VLAN特性与管理——1_第28张图片

扩展VLAN特性与管理——1_第29张图片

PC1、PC2、Server可以互访,PC3、PC4、PC1、PC2都不能互访,PC3与Server能互访,PC4与Server能互访。

你可能感兴趣的:(HCSE——构建企业级交换网络)