交换机配置(七)DHCP
配置
1
,交换机作
DHCP Server
『配置环境参数』
1. PC1
、
PC2
的网卡均采用动态获取
IP
地址的方式
2. PC1
连接到交换机的以太网端口
0/1
,属于
VLAN10
;
PC2
连接到交换机的以太网端口
0/2
,属于
VLAN20
3.
三层交换机
SwitchA
的
VLAN
接口
10
地址为
10.1.1
.1/24
,
VLAN
接口
20
地址为
10.1.2.1/24
『组网需求』
1. PC1
可以动态获取
10.1.1
.0/24
网段地址,并且网关地址为
10.1.1.1
;
PC2
可以动态获取
10.1.2.0/24
网段地址,并且网关地址为
10.1.2.1
『
DHCP Server
配置流程流程』
可以完成对直接连接到三层交换机的
PC
机分配
IP
地址,也可以对通过
DHCP
中继设备连接到三层交换机的
PC
机分配
IP
地址。
分配地址的方式可以采用接口方式,或者全局地址池方式。
【
SwitchA
采用接口方式分配地址相关配置】
1.
创建(进入)
VLAN10
[SwitchA]vlan 10
2.
将
E0/1
加入到
VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3.
创建(进入)
VLAN
接口
10
[SwitchA]interface Vlan-interface 10
4.
为
VLAN
接口
10
配置
IP
地址
[SwitchA-Vlan-interface10]ip address 10.1.1 .1 255.255.255.0
5.
在
VLAN
接口
10
上选择接口方式分配
IP
地址
[SwitchA-Vlan-interface10]dhcp select interface
6.
禁止将
PC
机的网关地址分配给用户
[SwitchA]dhcp server forbidden-i p 10.1.1 .1
【
SwitchA
采用全局地址池方式分配地址相关配置】
1.
创建(进入)
VLAN10
[SwitchA]vlan 10
2.
将
E0/1
加入到
VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3.
创建(进入)
VLAN
接口
10
[SwitchA]interface Vlan-interface 10
4.
为
VLAN
接口
10
配置
IP
地址
[SwitchA-Vlan-interface10]ip address 10.1.1 .1 255.255.255.0
5.
在
VLAN
接口
10
上选择全局地址池方式分配
IP
地址
[SwitchA-Vlan-interface10]dhcp select global
6.
创建全局地址池,并命名为”
vlan 10 ”
[SwitchA]dhcp server ip-pool vlan10
7.
配置
vlan10
地址池给用户分配的地址范围以及用户的网关地址
[SwitchA-dhcp-vlan10]network 10.1.1 .0 mask 255.255.255.0
[SwitchA-dhcp-vlan10]gateway-list 10.1.1 .1
8.
禁止将
PC
机的网关地址分配给用户
[SwitchA]dhcp server forbidden-i p 10.1.1 .1
【补充说明】
以上配置以
VLAN10
的为例,
VLAN20
的配置参照
VLAN10
的配置即可。在采用全局地址池方式时,需新建一个与”
vlan 10 ” 不同名的全局地址池。
经过以上配置,可以完成为
PC1
分配的
IP
地址为
10.1.1
.0/24
,同时
PC1
的网关地址为
10.1.1.1
;为
PC2
分配的
IP
地址为
10.1.2.0/24
,同时
PC2
的网关地址为
10.1.2.1
。
VLAN
接口默认情况下以全局地址池方式进行地址分配,因此当
VLAN
接口配置了以全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的
VLAN
接口下无法看到有关
DHCP
的配置。
利用全局地址池方式,可以完成为用户分配与三层交换机本身
VLAN
接口地址不同网段的
IP
地址。
2
,
DHCP Relay
配置
『配置环境参数』
1. DHCP Server
的
IP
地址为
192.168.0.10/24
2. DHCP Server
连接在交换机的
G1/1
端口,属于
vlan100
,网关即交换机
vlan
接口
100
的地址
192.168.0.1/24
3. E0/1-E0/10
属于
vlan10
,网段地址
10.10.1
.1/24
4. E0/11-E0/20
属于
vlan20
,网段地址
10.10.2
.1/24
『组网需求』
1.
在
SwitchA
上配置
DHCP Relay
使下面用户动态获取指定的相应网段的
IP
地址
2. PC1
、
PC2
均可以
ping
通自己的网关,同时
PC1
、
PC2
之间可以互访
『交换机
DHCP Relay
配置流程』
DHCP Relay
的作用则是为了适应客户端和服务器不在同一网段的情况,通过
Relay
,不同子网的用户可以到同一个
DHCP Server
申请
IP
地址,这样便于地址池的管理和维护。
【
SwitchA
相关配置】
1.
全局使能
DHCP
功能(缺省情况下,
DHCP
功能处于使能状态)
[SwitchA]dhcp enable
2.
创建(进入)
VLAN100
[SwitchA]vlan 100
3.
将
G1/1
加入到
VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1
4.
创建(进入)
VLAN
接口
100
[SwitchA]interface Vlan-interface 100
5.
为
VLAN
接口
100
配置
IP
地址
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
6.
创建(进入)
VLAN10
[SwitchA]vlan 10
7.
将
E0/1-E0/10
加入到
VLAN10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
8.
创建(进入)
VLAN
接口
10
[SwitchA]interface Vlan-interface 10
9.
为
VLAN
接口
10
配置
IP
地址
[SwitchA-Vlan-interface10]ip address 10.10.1 .1 255.255.255.0
10.
使能
VLAN
接口
10
的
DHCP
中继功能
[SwitchA-Vlan-interface10]dhcp select relay
11.
为
VLAN
接口
10
配置
DHCP
服务器的地址
[SwitchA-Vlan-interface10]ip relay address 192.168.0.10
12.
创建(进入)
VLAN20
[SwitchA-vlan10]vlan 20
13.
将
E0/11-E0/20
加入到
VLAN20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
14.
创建(进入)
VLAN
接口
20
[SwitchA]interface Vlan-interface 20
15.
为
VLAN
接口
20
配置
IP
地址
[SwitchA-Vlan-interface20]ip address 10.10.2 .1 255.255.255.0
16.
使能
VLAN
接口
20
的
DHCP
中继功能
[SwitchA-Vlan-interface20]dhcp select relay
17.
为
VLAN
接口
20
配置
DHCP
服务器的地址
[SwitchA-Vlan-interface20]ip relay address 192.168.0.10
【补充说明】
也可以在全局配置模式下,使能某个或某些
VLAN
接口上的
DHCP
中继功能,例如:
[SwitchA]dhcp select relay interface Vlan-interface 10
3
,
DHCP Snooping
『配置环境参数』
1. DHCP Server
连接在交换机
SwitchA
的
G1/1
端口,属于
vlan10
,
IP
地址为
10.10.1
.253/24
2.
端口
E0/1
和
E0/2
同属于
vlan10
『组网需求』
1. PC1
、
PC2
均可以从指定
DHCP Server
获取到
IP
地址
2.
防止其他非法的
DHCP Server
影响网络中的主机
『交换机
DHCP-Snooping
配置流程』
当交换机开启了
DHCP-Snooping
后,会对
DHCP
报文进行侦听,并可以从接收到的
DHCP Request
或
DHCP Ack
报文中提取并记录
IP
地址和
MAC
地址信息。另外,
DHCP-Snooping
允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发
DHCP Offer
报文,而不信任端口会将接收到的
DHCP Offer
报文丢弃。这样,可以完成交换机对假冒
DHCP Server
的屏蔽作用,确保客户端从合法的
DHCP Server
获取
IP
地址。
【
SwitchA
相关配置】
1.
创建(进入)
VLAN10
[SwitchA]vlan 10
2.
将端口
E0/1
、
E0/2
和
G1/1
加入到
VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1
3.
全局使能
dhcp-snooping
功能
[SwitchA]dhcp-snooping
4.
将端口
G1/1
配置为
trust
端口,
[SwitchA-GigabitEthernet1/1]dhcp-snooping trust
【补充说明】
由于
DHCP
服务器提供给用户包含了服务器分配给用户的
IP
地址的报文�D�D”
dhcp offer
”报文,由
G1/1
端口进入
SwitchA
并进行转发,因此需要将端口
G1/1
配置为”
trust
”端口。如果
SwitchA
上行接口配置为
Trunk
端口,并且连接到
DHCP
中继设备,也需要将上行端口配置为”
trust
”端口。
交换机配置(八)配置文件管理
(
1
)文件常用操作
1
,命令
display current-configuration:
查看以太网交换机的当前配置
2
,命令
display saved-configuration
:查看以太网交换机的启动配置
3
,命令
reset saved-configuration
:擦除
Flash Memory
中的配置文件,以太网交换机下次上电时,系统将采用缺省的配置参数进行初始化。
(
2
)
FTP
文件上传与下载
1.
组网需求
交换机作为
FTP Server
,远端的
PC
作为
FTP Client
。在
FTP Server
上作了如下配置:配置了一个
FTP
用户名为
switch
,密码为
hello
,对该用户授权了交换机上
Flash
根目录的读写权限。交换机上的一个
VLAN
接口的
IP
地址为
1.1.1
.1
,
PC
的
IP
地址为
2.2.2.2
,交换机和
PC
之间路由可达。
交换机的应用程序
switch.app
保存在
PC
上。
PC
通过
FTP
向远端的交换机上传
switch.app
,同时将交换机的配置文件
vrpcfg.txt
下载到
PC
实现配置文件的备份。
2.
组网图(略)
3.
配置步骤
1)
交换机上的配置
#
用户登录到交换机上。(用户可以在本地通过
Console
口登录到交换机上,也可以通过
telnet
远程登录到交换机上。各种登录方式请参见入门模块的描述。)
#
在交换机上开启
FTP
服务,设置好用户名、密码和路径:
[Quidway] ftp server enable
[Quidway] local-user switch
[Quidway-luser-switch] service-type ftp ftp-directory flash:
[Quidway-luser-switch] password simple hello
2)
在
PC
上运行
FTP Client
程序,同交换机建立
FTP
连接,同时通过上载操作把交换机的应用程序
switch.app
上载到交换机的
Flash
根目录下,同时从交换机上下载配置文件
vrpcfg.txt
。
FTP Client
应用程序由用户自己购买、安装,
Quidway
系列交换机不附带此软件。
注意:如果交换机的
Flash memory
空间不够大,请删除
Flash
中原有的应用程序然后再上载新的应用程序到交换机
Flash
中。
3)
在上载完毕后,用户在交换机上进行升级操作。
#
用户可以通过命令
boot boot-loader
来指定下载的程序为下次启动时的应用程序,然后重启交换机,实现交换机应用程序的升级。
boot boot-loader switch.app
reboot
(
3
)
TFTP
文件上传与下载
1.
组网需求
交换机作为
TFTP Client
,
PC
作为
TFTP Server
,在
TFTP Server
上配置了
TFTP
的工作路径。交换机上的一个
VLAN
接口的
IP
地址为
1.1.1
.1
,交换机和
PC
相连的端口属于该
VLAN
,
PC
的
IP
地址为
1.1.1.2
。
交换机的应用程序
switch.app
保存在
PC
上。交换机通过
TFTP
从
TFTP Server
上下载
switch.app
,同时将交换机的配置文件
vrpcfg.txt
上传到
TFTP Server
的工作目录实现配置文件的备份。
2.
组网图(略)
3.
配置步骤
1)
在
PC
上启动了
TFTP Server
,配置
TFTP Server
的工作目录。
2)
交换机上的配置
#
用户登录到交换机上。(用户可以在本地通过
Console
口登录到交换机上,也可以通过
telnet
远程登录到交换机上。各种登录方式请参见入门模块的描述。)
注意:如果交换机的
Flash memory
空间不够大,请删除
Flash
中原有的应用程序然后再下载新的应用程序到交换机的
Flash
中。
#
进入系统视图。
system-view
[Quidway]
#
配置
VLAN
接口的
IP
地址为
1.1.1
.1
,同时保证与
PC
相连的端口属于这个
VLAN
。(本例中以
VLAN 1
为例。)
[Quidway] interface vlan 1
[Quidway-vlan-interface1] ip address 1.1.1 .1 255.255.255.0
[Quidway-vlan-interface1] quit
#
将交换机的应用程序
switch.app
从
TFTP Server
下载到交换机。
[Quidway] tftp get // 1.1.1 .2/switch.app switch.app
#
将交换机的配置文件
vrpcfg.txt
上传到
TFTP Server
。
[Quidway] tftp put vrpcfg.txt // 1.1.1 .2/vrpcfg.txt
#
执行
quit
命令退回到用户视图下。
[Quidway] quit
#
用户可以通过命令
boot boot-loader
来指定下载的程序为下次启动时的应用程序,然后重启交换机,实现交换机应用程序的升级。
boot boot-loader switch.app
reboot
交换机配置(九)远程管理配置
1
,
WEB
方式
『
WEB
方式远程管理交换机配置流程』
首先必备条件要保证
PC
可以与
SwitchB
通信,比如
PC
可以
ping
通
SwitchB
。
如果想通过
WEB
方式管理交换机,必须首先将一个用于支持
WEB
管理的文件载入交换机的
flash
中,该文件需要与交换机当前使用的软件版本相配套。
WEB
管理文件的扩展名为”
tar
”或者”
zip
”,可以从网站上下载相应的交换机软件版本时得到。
需要在交换机上添加
WEB
管理使用的用户名及密码,该用户的类型为
telnet
类型,而且权限为最高级别
3
。
注意,在将
WEB
管理文件载入交换机
flash
时,不要将文件进行解压缩,只需将完整的文件载入交换机即可
(
向交换机
flash
载入
WEB
管理文件的方法,请参考本配置实例中交换机的系统管理配置章节
)
。
【
SwitchB
相关配置】
1.
查看交换机
flash
里面的文件
(
保证
WEB
管理文件已经在交换机
flash
中
)
dir /all
Directory of flash:/
-rwxrwx 1 noone nogroup 442797 Apr 02 2000 13:09:50 wnm-xxx.zip
2.
添加
WEB
管理的用户,用户类型为”
telnet
”,用户名为”
huawei
”,密码为”
wnm
”
[SwitchB]local-user huawei
[SwitchB-luser-huawei]service-type telnet level 3
[SwitchB-luser-huawei]password simple wnm
3.
配置交换机管理地址
[SwitchB]interface vlan 100
[SwitchB-Vlan-interface100]ip addr 192.168.0.2 255.255.255.0
4.
对
HTTP
访问用户的控制(
Option
)
[SwitchB]ip http acl acl_num/acl_name
相关学习帖:
[url]http://bbs.51cto.com/viewthread.php?tid=401882&fpage=1&highlight=web[/url]
2
,
TELNET
方式
【
TELNET
密码验证配置】
只需输入
password
即可登陆交换机。
1.
进入用户界面视图
[SwitchA]user-interface vty 0 4
2.
设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
3.
设置登陆验证的
password
为明文密码”
huawei
”
[SwitchA-ui-vty0-4]set authentication password simple huawei
4.
配置登陆用户的级别为最高级别
3(
缺省为级别
1)
[SwitchA-ui-vty0-4]user privilege level 3
5.
或者在交换机上增加
super password(
缺省情况下,从
VTY
用户界面登录后的级别为
1
级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别
3
,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入
super password
改变自己的级别
)
例如,配置级别
3
用户的
super password
为明文密码”
super 3 ”
[SwitchA]super password level 3 simple super3
【
TELNET
本地用户名和密码验证配置】
需要输入
username
和
password
才可以登陆交换机。
1.
进入用户界面视图
[SwitchA]user-interface vty 0 4
2.
配置本地或远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
3.
配置本地
TELNET
用户,用户名为”
huawei
”,密码为”
huawei
”,权限为最高级别
3(
缺省为级别
1)
[SwitchA]local-user huawei
[SwitchA-user-huawei]password simple huawei
[SwitchA-user-huawei]service-type telnet level 3
4.
在交换机上增加
super password
[SwitchA]super password level 3 simple super3
【
TELNET RADIUS
验证配置】
以使用华为
3Com
公司开发的
CAMS
作为
RADIUS
服务器为例
1.
进入用户界面视图
[SwitchA]user-interface vty 0 4
2.
配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
3.
配置
RADIUS
认证方案,名为”
cams
”
[SwitchA]radius scheme cams
4.
配置
RADIUS
认证服务器地址
10.110.51.31
[SwitchA-radius-cams]primary authentication 10.110.51.31 1812
5.
配置交换机与认证服务器的验证口令为”
huawei
”
[SwitchA-radius-cams]key authentication huawei
6.
送往
RADIUS
的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain
7.
创建(进入)一个域,名为”
huawei
”
[SwitchA]domain huawei
8.
在域”
huawei
”中引用名为”
cams
”的认证方案
[SwitchA-isp-huawei]radius-scheme cams
9.
将域”
huawei
”配置为缺省域
[SwitchA]domain default enable huawei
【
TELNET
访问控制配置】
1.
配置访问控制规则只允许
10.1.1
.0/24
网段登录
[SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 10.1.1 .0 0.0.0.255
2.
配置只允许符合
ACL2000
的
IP
地址登录交换机
[SwitchA-ui-vty0-4]acl 2000 inbound
相关学习帖:
[url]http://bbs.51cto.com/viewthread.php?tid=349090&fpage=1&highlight=telnet[/url]
3
,
SSH
方式
1.
组网需求
配置终端(
SSH Client
)与以太网交换机建立本地连接。终端采用
SSH
协议进行登录到交换机上,以保证数据信息交换的安全。
2.
组网图(略)
3.
配置步骤(
SSH
认证方式为口令认证)
[Quidway] rsa local-key-pair create
&
说明:如果此前已完成生成本地密钥对的配置,可以略过此项操作。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
[Quidway-ui-vty0-4] protocol inbound ssh
[Quidway] local-user client001
[Quidway-luser-client001] password simple huawei
[Quidway-luser-client001] service-type ssh
[Quidway] ssh user client001 authentication-type password
SSH
的认证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值,这些配置完成以后,您就可以在其它与以太网交换机连接的终端上,运行支持
SSH1.5
的客户端软件,以用户名
client001
,密码
huawei
,访问以太网交换机了。
交换机配置(十)STP
配置
『配置环境参数』
1. SwitchA
选用华为
-3com
公司的高中端交换机,如
S8500
或者
S6500
系列交换机
2. SwitchB
和
SwitchC
选用华为
-3com
公司的低端交换机,如
S3500
或者
S3550
系列交换机
3. SwitchD
、
SwitchE
和
SwitchF
选用华为
-3com
公司的低端交换机,如
S3000
或者
S2000
系列交换机
『组网需求』
1.
所有设备运行
STP(Spanning Tree Protocol)
生成树协议
2.
以
SwitchB
为根网桥,阻断网络中的环路,并能达到链路冗余备份的效果
『交换机
STP
配置流程』
通过改变交换机或者端口的
STP
优先级,从而达到手工指定网络中的根网桥,以及端口的
STP
角色,完成阻断环路及链路的冗余备份。
【
SwitchB
相关配置】
1.
全局使能
STP
功能(缺省情况下,
DHCP
功能处于使能状态)
[SwitchB]stp enable
2.
将
SwtichB
配置为树根
(
两种方法:将
SwitchB
的
Bridge
优先级设置为
0
,或者直接将
SwitchB
指定为树根,两种方法一个效果
)
[SwitchB]stp priotity 0
[SwitchB]stp root primary
3.
在各个指定端口上启动根保护功能
(
在此例中,
SwtichB
的所有端口都是制定端口
)
[SwitchB]interface Ethernet 0/1
[SwitchB-Ethernet-0/1]stp root-protection
【
SwitchC
相关配置】
1.
全局使能
STP
功能(缺省情况下,
DHCP
功能处于使能状态)
[SwitchB]stp enable
2.
将
SwtichC
配置为备份树根
(
两种方法:将
SwitcCB
的
Bridge
优先级设置为
4096
,或者直接将
SwitchC
指定为备份树根,两种方法一个效果
)
[SwitchB]stp priotity 4096
[SwitchB]stp root secondary
3.
在指定端口上启动根保护功能
(
在此例中,
SwtichC
的端口
0/1
、
0/2
和
0/3
是指定端口
)
[SwitchB]interface Ethernet 0/1
[SwitchB-Ethernet-0/1]stp root-protection
【其他
Switch
的相关配置】
将接
PC
机的端口
stp
功能关闭,或者配置为边缘端口,并使能
BPDU
保护功能
[SwitchD-Ethernet0/4]stp disable
[SwitchD-Ethernet0/5]stp edged-port enable
[SwitchD]stp bpdu-protection
【补充说明】
配置了”
bpdu-protection
”以后,如果某个边缘端口收到
BPDU
报文,则该边缘端口将会被关闭,必须由手工进行恢复。
当端口上配置了”
stp root-protection
”以后,该端口的角色只能是指定端口,且一旦该端口上收到了优先级高的配置消息,则该端口的状态将被配置为侦听状态,不再转发报文,当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。
交换机配置(十一)私有VLAN
配置
『配置环境参数』
PC1
的
IP
地址为
10.1.1
.1/24
,
PC2
的
IP
地址为
10.1.1.2/24
,
PC3
的
IP
地址为
10.1.1.3/24
,服务器的
IP
地址为
10.1.1.253/24
;
PC1
、
PC2
和
PC3
分别连接到交换机的端口
E0/1
、
E0/2
和
E0/3
,端口分属于
VLAN10
、
20
和
30
,服务器连接到交换机的端口
G2/1
,属于
VLAN100
。
『交换机
Isolate-user-VLAN
完成端口隔离配置流程』
等同于原有命令行中的
PVLAN
,利用
VLAN
配置视图中,
Isolate-user-VLAN
命令
(
原有命令行中的
Primary-VLAN)
来完成。
『配置过程』
【
SwitchA
相关配置】
1.
创建(进入)
VLAN10
,将
E0/1
加入到
VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.
创建(进入)
VLAN20
,将
E0/2
加入到
VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.
创建(进入)
VLAN30
,将
E0/3
加入到
VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3
4.
创建(进入)
VLAN100
,将
G2/1
加入到
VLAN100
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 2/1
5.
将
VLAN100
配置为
Isolate-user-VLAN
[SwitchA-vlan100]Isolate-user-VLAN enable
6.
在系统视图模式下,配置
Isolate-user-VLAN
与各个
secondary VLAN
之间的映射关系
[SwitchA]isolate-user-vlan 100 secondary 10 20 30
【补充说明】
此功能配置主要用于对用户主机进行二层隔离。
在配置
Isolate-user-VLAN
与
secondary VLAN
之间的映射关系之前,
Isolate-user-VLAN
与
secondary VLAN
必须都包含物理端口。
配置了映射关系之后,不可以再对
Isolate-user-VLAN
或
secondary VLAN
进行端口增减的操作,必须先解除映射关系。
交换机配置(十二)端口trunk
、hybrid
应用配置
1
,端口
trunk
应用
『配置环境参数』
1.PC1
的
IP
地址为
10.1.1
.1/24
,
PC2
的
IP
地址为
10.1.1.2/24
,
PC3
的
IP
地址为
10.1.1.3/24
,
PC4
的
IP
地址为
10.1.1.4/24
;
2.PC1
和
PC2
分别连接到交换机
SwitchA
的端口
E0/1
和
E0/2
,端口分属于
VLAN10
和
20
;
PC3
和
PC4
分别连接在交换机
SwitchB
的端口
E0/10
和
E0/20
,端口分别属于
VLAN10
和
20
。
3.SwitchA
通过端口
G2/1
,连接到
SwitchB
的端口
G1/1
;
SwitchA
的端口
G2/1
和
SwitchB
的端口
G1/1
均是
Trunk
端口,而且允许
VLAN10
和
VLAN20
通过。
『组网需求』
1.SwitchA
与
SwitchB
之间相同
VLAN
的
PC
之间可以互访。
2.SwitchA
与
SwitchB
之间不同
VLAN
的
PC
之间禁止互访。
『交换机
Trunk
端口配置流程』
利用将端口配置为
Trunk
端口来完成在不同交换机之间透传
VLAN
,达到属于相同
VLAN
的
PC
机,跨交换机进行二层访问;或者不同
VLAN
的
PC
机跨交换机进行三层访问的目的。
『配置过程』
【
SwitchA
相关配置】
1.
创建(进入)
VLAN10
,将
E0/1
加入到
VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.
创建(进入)
VLAN20
,将
E0/2
加入到
VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.
将端口
G2/1
配置为
Trunk
端口,并允许
VLAN10
和
VLAN20
通过
[SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk
[SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
【
SwitchB
相关配置】
1.
创建(进入)
VLAN10
,将
E0/10
加入到
VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/10
2.
创建(进入)
VLAN20
,将
E0/20
加入到
VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/20
3.
将端口
G2/1
配置为
Trunk
端口,并允许
VLAN10
和
VLAN20
通过
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type trunk
[SwitchA-GigabitEthernet2/1]port trunk permit vlan 10 20
2
,端口
hybrid
应用
『配置环境参数』
1.PC1
、
PC2
和
PC3
分别连接到二层交换机
SwitchA
的端口
E0/1
、
E0/2
和
E0/3
,端口分属于
VLAN10
、
20
和
30
,服务器连接到端口
G2/1
,属于
VLAN100
。
2.PC1
的
IP
地址为
10.1.1
.1/24
,
PC2
的
IP
地址为
10.1.1.2/24
,
PC3
的
IP
地址为
10.1.1.3/24
,服务器的
IP
地址为
10.1.1.254/24
。
『组网需求』
1.PC1
和
PC2
之间可以互访;
2.PC1
和
PC3
之间可以互访;
3.PC1
、
PC2
和
PC3
都可以访问服务器;
4.
其余的
PC
间访问均禁止。
『交换机
Hybrid
端口配置流程』
利用
Hybrid
端口的特性�D�D一个端口可以属于多个不同的
VLAN
,来完成分属不同
VLAN
内的同网段
PC
机的访问需求。
『配置过程』
【
SwitchA
相关配置】
1.
创建(进入)
VLAN10
,将
E0/1
加入到
VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.
创建(进入)
VLAN20
,将
E0/2
加入到
VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.
创建(进入)
VLAN30
,将
E0/3
加入到
VLAN30
[SwitchA]vlan 30
[SwitchA-vlan30]port Ethernet 0/3
4.
创建(进入)
VLAN100
,将
G2/1
加入到
VLAN100
[SwitchA]vlan 100
[SwitchA-vlan100]port GigabitEthernet 2/1
5.
配置端口
E0/1
为
Hybrid
端口,能够接收
VLAN20
、
30
和
100
发过来的报文
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
[SwitchA-Ethernet0/1]port hybrid vlan 20 30 100 untagged
6.
配置端口
E0/2
为
Hybrid
端口,能够接收
VLAN10
和
100
发过来的报文
[SwitchA]interface Ethernet 0/2
[SwitchA-Ethernet0/2]port link-type hybrid
[SwitchA-Ethernet0/2]port hybrid vlan 10 100 untagged
7.
配置端口
E0/3
为
Hybrid
端口,能够接收
VLAN10
和
100
发过来的报文
[SwitchA]interface Ethernet 0/3
[SwitchA-Ethernet0/3]port link-type hybrid
[SwitchA-Ethernet0/3]port hybrid vlan 10 100 untagged
8.
配置端口
G2/1
为
Hybrid
端口,能够接收
VLAN10
、
20
和
30
发过来的报文
[SwitchA]interface GigabitEthernet 2/1
[SwitchA-GigabitEthernet2/1]port link-type hybrid
[SwitchA-GigabitEthernet2/1]port hybrid vlan 10 20 30 untagged
【补充说明】
对于
Hybrid
端口来说,可以同时属于多个
VLAN
。这些
VLAN
分别是该
Hybrid
端口的
PVID
,以及手工配置的”
untagged
”及”
tagged
”方式的
VLAN
。一定要注意对应端口的
VLAN
配置,保证报文能够被端口进行正常的收发处理。
此应用在二层网络中,对相同网段的主机进行访问权限的控制。
S
系列交换机实现不同
VLAN
之间互访的配置
一、组网需求:
交换机配置了
4
个
VLAN
,分别为
VLAN1
,
VLAN2
,
VLAN3
,
VLAN4
,要求
VLAN1
可以与
VLAN2
,
3
,
4
互访,但是
VLAN2
,
3
,
4
之间不能互访,用
Hybrid
端口属性实现此功能。
二、组网图:
无
三、配置步骤:
1.
创建
VLAN2
[Quidway]vlan 2
2.
创建
VLAN3
[Quidway-vlan2]vlan 3
3.
创建
VLAN4
[Quidway-vlan3]vlan 4
4.
进入端口
Ethernet1/0/1
[Quidway-vlan4] interface Ethernet1/0/1
5.
将端口设置为
hybrid
模式
[Quidway-Ethernet1/0/1]port link-type hybrid
6.
设置端口
pvid
为
1
[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1
7.
允许
VLAN1
,
2
,
3
,
4
不打标签通过
[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged
8.
进入端口
Ethernet1/0/2
[Quidway-Ethernet1/0/1]interface Ethernet1/0/2
9.
将端口设置为
hybrid
模式
[Quidway-Ethernet1/0/2]port link-type hybrid
10.
设置端口
pvid
为
2
[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2
11.
允许
VLAN1
,
2
不打标签通过
[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged
12.
进入端口
Ethernet1/0/3
[Quidway-Ethernet1/0/2]interface Ethernet1/0/3
13.
将端口设置为
hybrid
模式
[Quidway-Ethernet1/0/3]port link-type hybrid
14.
设置端口
pvid
为
3
[Quidway-Ethernet1/0/3]port hybrid pvid vlan 3
15.
允许
VLAN1
,
3
不打标签通过
[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged
16.
进入端口
Ethernet1/0/4
[Quidway-Ethernet1/0/3]interface Ethernet1/0/4
17.
将端口设置为
hybrid
模式
[Quidway-Ethernet1/0/4]port link-type hybrid
18.
设置端口
pvid
为
4
[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4
19.
允许
VLAN1
,
4
不打标签通过
[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged
四、配置关键点:
1.
利用交换机以太网端口的
Hybrid
特性,可以实现
PVLAN
的功能。
2.
采用
Hybrid
属性实现的
PVLAN
功能和
PVLAN
的工作机制存在较大差异,上述情况只适用于网络流量,网络用户较少的应用。