三层交换的测试3：大功告成【附图】

【项目背景】：一个在用的网络，按照业务划分了3个vlan，其中2#VLAN用做管理网络。各种交换机都采用华为系列智能交换机，接入交换机为S2700，汇聚交换机为S5700，核心交换机使用S9312 。如图红色框内所示。核心交换机设置了2～4lan间的路由策略。其中：

vlanif 2:172.16.2.1/24

vlanif 3:172.16.3.1/24

vlanif 4:172.16.4.1/24

【项目目标】：为新业务创立一个逻辑分割的网段，禁止新业务网段内的主机访问老网段内的业务。

【调试心得】：

在已运营的网络上开通新业务，务必要保持清醒的头脑，时刻留意原始配置对新项目的影响。作为一个非网络集成工程师，常常是很长时间不调试交换机的，一些知识点很容易就生疏了。

【调试过程】：

本次调试项目中出现的问题也是接二连三的，依次叙述如下：

一、设备连接：

网络拓扑、各种相关设备、计算机如上图连接完毕。系统中，笔记本电脑（IP地址为5.152）作为新子网的测试终端，台式机（IP地址为2.151）作为网管工作站，进行网络设备调试。

二、遭遇的问题

1、前天的问题：笔记本接到S4上，为什么不能ping通IP地址为192.168.5.5的设备？转接到PS104上却可以ping得通？

解决：S4早期配置的时候，eth0/0/18端口配置了MAC-IP-port绑定检查，17，19-22则没有配置。由于时间过久，忘记了这一点，没有做MAC-IP地址绑定配置，因此笔记本恰巧接到这个端口上，其实是交换机禁止了笔记本的接入。取消绑定检查，或者配置绑定记录，就解决了这问题。

2、PS104的特别之处在于POE，局域网供电。作为一个非智能交换机，级联到S4的eth0/0/22上，该端口link-type 应配置为access（port default vlan 5）,而非trunk。

3、昨天的问题：将192.168.5.2这个设备迁移到核心交换机S1的GE2/0/32端口上上，并配置了该端口的default vlan 5，同时在级联端口GE1/0/2上配置了port trunk allow-pass vlan 5，增加了允许VLAN 5的通过。

问题出来了：为什么网管工作站172.16.2.151可以ping通S4和S3，却不能ping通S1(172.16.2.1)和S2?但是 VLAN 3 上的终端却可以ping通S1(通过172.16.3.1)也无法访问S2？

问题解决：昨天夜里起床夜尿的时候，忽然灵光一现，今早去测试还真的是这么一个原因：port trunk pvid vlan 2，这条命令是配置S2上联端口和下联端口的缺省VLAN为2，早前华为工程师来帮调试交换机的时候，都不配置这个缺省VLAN的参数，因此系统里面默认的VLAN 是1.。我在脑子一阵糊涂的情况下，按照我自己的规则，配置了级联端口的缺省VLAN为2。这样就导致了上述问题的发生。重新检查S1-S4的级联端口，确保级联线路两端的交换机端口 port trunk pvid 设置一致。

4、今天的问题：为什么笔记本（192.168.5.152）放在S4的时候ping不通S1上的主机-2（192.168.5.2），但是放在S1的GE2/0/33上却可以ping通主机-2（192.168.5.2）、同时ping不通主机-5（192.168.5.5）？

解决方法：中午饭之后，只好采用逐个交换机地进行排查。将笔记本接在S1上都可以ping通主机-2（5.2），看来剩下的问题就出在了S2上。

仔细检查S2的配置，发现上联端口和下联端口的port trunk allow-pass vlan 5 都做过了设置。如S1上的测验步骤，打算将S2的一个端口vlan配置为5，以便连接笔记本进行测试。鬼使神差的突然注意到，port default vlan 5这一条命令的错误提示是，vlan 5不存在。

原来，我在给S2做配置的时候，只给级联端口增加了vlan 5许可通过，命令正常执行了。因为S2上没有端口需要连接新业务的设备或计算机，就没有配置access属性的端口，于是没有发现根本忘记了在S2上创建新的VLAN。换言之，不创建某个VLAN，级联端口配置该vlan通过，命令执行后没有错误提示，但是却不能正常工作，vlan5的数据帧根本不被允许通过这台交换机。

以上是许久不做交换机配置的我，在调试交换机时候碰到的这些糊里糊涂的问题。