华为交换机端口应用
华为交换机端口应用
通常,要实现交换机端口之间的隔离,最简单常用的方法就是划分 VLAN (虚拟局域网)。然而在具体应用中,往往又希望端口隔离后某些 VALN 之间能灵活互访。一般情况下,需要在二层交换机上实现隔离,然后在上联的三层交换机或路由器上实现 VLAN 之间的互访。
实际上,只利用二层交换机同样可以完成隔离与互访的功能,这就是二层交换机 Hybrid (混合)端口模式的应用。
1 交换机链路端口模式
华为二层交换机一般有四种链路端口模式,分别是Access、 Trunk 、 Hybrid 和 Fabric 端口模式。
1.1 Access 端口模式
Access 类型的端口只能属于一个 VLAN ,所以它的缺省 VLAN 就是它所在的 VLAN ,不用设置。 一般作为连接计算机的端口。
1.2 Trunk 端口模式
Trunk 类型的端口可以属于多个 VLAN ,可以接收和发送多个 VLAN 的报文,一般作为交换机之间连接的端口。
1.3 Hybrid 端口模式
Hybrid 类型的端口可以属于多个 VLAN ,可以接收和发送多个 VLAN 的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。 Hybrid 端口模式的特点如下:
Hybrid 属性是一种混和模式,实现了在一个 untagged ( 不打标签 ) 端口允许报文以 tagged (打标签)形式送出交换机。同时,可以利用 Hybrid 属性来定义分别属于不同 VLAN 端口之间的互访,这是 Access 和 Trunk 端口所不能实现的。
Hybrid 端口还可以设置哪些 VLAN 的报文打上标签,哪些不打标签,为实现对不同 VLAN 报文执行不同处理流程打下了基础。
如果设置了端口的缺省 VLAN ID ,当端口接收到不带 VLAN Tag 的报文后,则将报文转发到属于缺省 VLAN 的端口;当端口发送带有 VLAN Tag 的报文时,如果该报文的 VLAN ID 与端口缺省的 VLAN ID 相同,则系统将去掉报文的 VLAN Tag ,然后再发送该报文。
Hybrid 与 Trunk 端口模式的区别是: Hybrid 端口可以允许多个 VLAN 的报文发送时不打标签 ( untagged ) ,而 Trunk 端口只允许缺省 VLAN 的报文发送时不打标签。
1.4 Fabric 端口模式
Fabric 端口是 IRF 中各 Unit 之间的端口,只用于各 Unit 之间的互联,不能连接用户。
2 Hybrid 端口模式的应用
通过介绍上述二层交换机各种链路端口模式,我们可以根据其不同特点来灵活完成其各种应用。
下面以华为 Quidway S2116-EI 交换机为例,介绍利用二层交换机端口的 Hybrid 模式来灵活实现端口之间的隔离和互访。
2.1 组网需求
S2116-EI 交换机 1 至 4 端口和 5 至 8 端口分别连接四个部门,即每个部门连接两个端口, 15 端口接一台 WEB 服务器, 16 端口接一条上联的外网出口线。
组网需求:
四个部门之间互相隔离 但同时能访问 WEB 服务器;分别灵活控制四个部门对外网的访问。
2.2 解决思路
首先把每个端口都划分到不同的 VLAN 里,也就是说划分 16 个 VLAN ,每个 VLAN 一个端口。每个端口都配置为 hybrid 状态。 设置端口的 PVID 等于该端口所属的 VLAN 。将希望可以互通的端口的 PVID VLAN ,设置为 untagged VLAN ,这样从该端口发出的广播帧就可以到达本端口。据此思路,配置其中 VLAN1 至 VLAN4 只可以访问 VLAN15 ( WEB 服务器 ) , VLAN5 至 VLAN8 既可以访问 VLAN15 又可以访问 VLAN16 ( 外网 ) ,即 VLAN15 可以让所有 VLAN 访问, VLAN16 可以让 VLAN5 至 VLAN 8 和 VLAN15 访问。 这样,把四个部门分别接到 1 至 4 端口和 5 至 8 端口,当四个部门需要访问外网的时候就通过交换机的 WEB 管理界面开启 5 至 8 端口,需要关闭外网时就直接关闭 5 至 8 端口。
2.3 主要配置命令
以 16 端口为例, S2116-EI 的主要配置命令如下:
#
[Quidway]vlan 16
[Quidway]port Ethernet0/16
[Quidway]interface Ethernet0/16
[Quidway—Ethernet0/16] port link-type hybrid
[Quidway—Ethernet0/16] port hybrid pvid vlan 16 [Quidway—Ethernet0/16] port hybrid vlan 5 to 8 15 untagged 实际上,这种配置是通过 hybrid 端口的 PVID 来唯一的表示一个端口,接收端口通过是否将 VLAN 设置为 untagged VLAN ,来控制是否与 PVID VLAN 为该 VLAN 的端口互通。 以下配置用以实现 WEB 界面管理。 首先查看交换机 flash 里面的文件。 ( 保证 WEB 界面管理文件已经在交换机 flash 中 ) #
<Quidway>dir /all
-rwxrwx 1 noone nogroup 442797 Apr 02 2000 13:09:50 wnm-xxx.zip
<Quidway>system
[Quidway]local-user admin
[Quidway-luser-admin]service-type telnet level 3 [Quidway-luser-admin]password simple admin [Quidway-luser-admin] interface vlan 1 [Quidway-Vlan-interface1]ip address 192.168.0.2 255.255.255.0 在管理计算机的 IE 里输入 http://192.16.0.2 ,就可以进入 WEB 管理界面。
3 结束语
值的注意的是本例中因为有环路的存在,要在 S2116-EI 交换机上开启生成树协议,以免产生广播风暴。实际控制中,最好保证始终是单链路工作,也就是开启 1 至 4 号端口时关闭 5 至 8 端口;开启 5 至 8 端口时关闭 1 至 4 端口,这样可以减少交换机计算生成树的次数,有利于网络的稳定性。至此我们已经实现了所有组网需求。可见,利用二层交换机的 Hybrid 端口模式,可以灵活便利地实现各端口间的隔离与互访功能。