- 积分
- 16840
在线时间 小时
最后登录1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
session 1 华为交换机端口模式. g8 I6 a- w- {& d9 C% G' E+ q2 e
一、华为交换机端口分为三种模式:access、trunk、hybird: K7 [, o8 {* E& }, r1 U
1、access端口,用于连接主机,pvid就是该端口所属的vlan号,只能属于一个vlan
$ a" E4 G) z- T6 Z0 u& E% O2、trunk端口,用于交换机之间连接,默认pvid是vlan1,不属于任何vlan
) I( g1 k1 l7 E) f' F+ _3、hybird端口,是一种特殊的端口类型,默认pvid是vlan1,不属于任何vlan,是交换机端口的默认模式- ^) ^) \* V/ l
二、三种端口的配置命令和解释
' T# L3 {1 H% P7 f F1、access端口vlan属性$ b3 K1 J$ N, G/ L4 R8 n- u
[Huawei-GigabitEthernet0/0/10]display this 2 l( w$ A/ T5 |3 J8 |) _9 C
#5 ^9 w* ^/ i2 W: E+ j" K
interface GigabitEthernet0/0/10+ H7 E7 `( y3 @8 `" o- c9 K3 }
port link-type access 配置端口的模式为access
2 m" L+ y- R3 @5 O2 i7 Z port default vlan 2 端口属于vlan2
6 I# k) x9 J3 p! L#
* k& ]3 l2 I! G, w) Z% Y) y; treturn
8 M: z/ p# u0 l# D! l2、trunk端口vlan属性
9 A1 W8 A) `' Q p[Huawei-GigabitEthernet0/0/10]display this
8 u! q3 R7 {$ Z3 m2 a#
! m9 @0 \8 _9 f, A- i+ {interface GigabitEthernet0/0/10+ N; G2 \* t( t8 s y6 _
port link-type trunk 配置端口的模式为trunk
, P) n+ \, b) v& i" I* y port trunk pvid vlan 2 配置端口的pvid为vlan2
7 A# y4 k9 Z; K( ~- J8 b9 p, \ port trunk allow-pass vlan 2 to 10 配置trunk允许进入的vlan-id,允许vlan1-vlan10(vlan1默认允许)) I/ u5 T( @* T N% w! `; e& [3 L
#
2 A8 E3 X( ]" u: V# D5 a9 K% Yreturn
4 T+ u" P$ d/ F- g# f- {1 F) {3、hybird端口vlan属性
l3 z& k0 l9 C" O3 @, p[Huawei-GigabitEthernet0/0/10]display this
I% X5 t0 r2 V3 d( O, d#- e' K4 J% L$ ^1 ?- V- F
interface GigabitEthernet0/0/10 配置端口模式为hybrid1 N0 J0 [& G( J6 F% D
port hybrid pvid vlan 2 配置端口的pvid是2
2 {. A& A" C2 q Q( Y2 R port hybrid tagged vlan 10 配置端口在发送帧时不将帧中的vlan10的标签去掉(类似trunk功能); M. D G2 u6 Y6 P( l# L7 ^
port hybrid untagged vlan 2 配置端口在接到帧后移除vlan2的标签后转发(给主机)( q: P% J" {/ Q# n- D# A
#+ X, E6 |$ B$ v% _) b
return
p+ {# p4 z" C3 _2 b" p7 `" { C4 u
pvid的作用,分为端口接收和发送数据两个方向:; l3 f9 L l: T
1、当端口收到一个未标记的帧时,就把该帧打上vlan id,这个id值等于pvid的值,然后转发到VID和PVID相等的VLAN 中。. N$ j4 O/ r( `3 F W
2、当帧从端口向外发送出去时,如果帧头中的VID和端口的PVID值相同,就把这个标识去掉,再送出去。' g5 o- T# e3 L7 A3 Z2 }, p+ c7 \
下面例子解释pvid的双向作用:! f) L: C( E7 Y) |
2 W# U; \" D. V" ~% |& q
整个拓扑中PC1连接在sw1的g/0/1口,vlan1,PC2连接在sw2的g/0/1接口,vlan2
' N3 t8 Y( A% |1 P: u SW1和SW2的g0/0/3接口都是trunk模式,其中sw1的g0/0/3接口的pvid是1,sw2的g0/0/3接口的pvid是2,并且两端trunk都允许vlan 1 to 2的帧通过。
# Y# E: B; Y! U- ~- O/ \( _ 这样配置下来的结果是pc1和pc2只要在同一个网段内就可以通信,虽然vlan不同,但是可以通信。
* u) Z. V' M$ \1、pc1发送数据包给pc2过程是:pc1发送一个去往PC3的数据包到达sw1的e0/0/1接口,由于该接口属于vlan1所以sw1将受到的pc1的数据帧打上vlan1的标签(无标签),然后sw1查找PC3的mac,发现在接口g0/0/3下于是将数据包发给g0/0/3接口,当g0/0/3接口收到这个pc1发来的不打vlan标签的vlan1的帧后,就要将这个不打tag的帧发送出去,发现这个帧的VID和自己的PVID=1是相同的都是vlan1的于是就要把这个帧的tag去掉(vlan1默认就没有tag所以这里不做操作转发出去)然后转发出去。然后这个由PC1发来的帧被sw2在自己的g0/0/3接口收到,sw2发现收到的这个帧是没有tag的普通帧并且trunk接口的配置是允许vlan1、2通过所以会接收这个数据帧,并查看自己的pvid=2,于是就将这个数据包打上vlan2的tag,然后在vlan2的MAC表中查找PC3的mac地址发现在自己的e0/0/1接口上,于是将数据包转发到PC3。
1 L. ^" L# {6 M: `7 J2、PC3收到PC1发来的数据包后需要给PC1回包,PC3回给PC1的包经过sw2的g0/0/1后被打上了vlan2的tag,到达g0/0/3接口,SW2发现PC3发来的这个帧有tag是vlan2,而自己的pvid=2,于是就将这个tag去掉,而接口又允许vlan1、2通过,于是就将这个去掉了tag的数据包通过g0/0/3接口转发出去,被sw1在g0/0/3接口收到,sw1查看自己的trunk配置发现接口允许vlan1、2通过就接收这个帧,然后检查该帧的VID,发现没有,于是打上vlan1的tag(也就是没有tag),然后在vlan1的MAC表中查找PC1的mac地址,发现PC1连接在自己的e0/0/1接口,就会把帧从e0/0/1接口发送给PC1,这样就完成了一次PC1与PC3的互通。
7 ^5 S6 N6 d; S2 U) b& `/ ?4 E交换机SW1上的配置:: v+ h& t4 R# u& O, f4 t" x- F
[SW1-GigabitEthernet0/0/3]display this A2 a- P4 v5 Y4 b
#
# L, [7 g, E! b: n7 Y4 d9 Rinterface GigabitEthernet0/0/3
- K9 s4 `8 d& u |: Q& s+ h4 y port link-type trunk
: {# E, O. Q/ s# v0 c' b port trunk allow-pass vlan 2 端口pvid=1(默认)并允许vlan1、2的帧进入sw1
1 f: \5 M% E0 v( W0 y#
; \# y5 I& D! K q$ M% \+ J3 ^1 ?return( r! D5 F# y6 E% S2 \% ^
[SW1-GigabitEthernet0/0/1]display this
1 v6 G( S$ s& B. D# I#0 J0 X( }( g, o+ M
interface GigabitEthernet0/0/1
' T0 f" o( k, n& ` port link-type access 端口默认属于vlan1,连接的是pc1
: f1 R2 `/ j! D* E+ x5 T8 x#
4 ^, Y5 `5 d& N8 x+ ]4 C$ Hreturn
% [+ ^, A# g4 `# @" U* ~& H- g交换机SW2上的配置:
: t) S$ V9 s) B' _: x" _6 ]; ^[SW2-GigabitEthernet0/0/3]display this
5 r% a4 ~1 D% b! v* i# r#3 D6 l" x, ] W8 D+ i
interface GigabitEthernet0/0/3- E- F4 p: p" h# H4 k1 F
port link-type trunk ! d# c1 C8 |* a7 d% q; v
port trunk pvid vlan 2 端口的pvid=2 4 h$ p2 ~; Y \
port trunk allow-pass vlan 2 端口允许vlan1、2的帧进入sw2
9 P4 S9 {7 R- ]* ?1 x! x#4 F' L/ K, ]* z3 d; ^: k
return
% x0 O; L) }- @- H( A; I3 i[SW2-GigabitEthernet0/0/1]display this 5 J0 t' I0 Y" i: a* O7 _1 D) B4 e
#0 W+ v- V6 j* C+ z+ U U
interface GigabitEthernet0/0/1) E' j) {% P! B6 K( T9 d
port link-type access
, p Y0 ~, m' X5 W port default vlan 2 端口属于vlan2,连接的是pc2( X$ N8 O5 r; j( \
#. Q2 u b) g7 z4 ]2 h
return
8 z6 t: R" k$ `. g) `4 W; pPC端的配置:
* v: F9 P8 \4 T, DPC1:192.168.1.10/24
+ c5 h& B+ r. y/ nPC2:192.168.1.30/249 g& B# `9 G1 u `# Z0 ^9 T
测试连通性6 p# N% ?/ y; R- v' G
PC1>ipconfig
* A% M7 `# @% T j# tLink local IPv6 address...........: fe80::5689:98ff:fec3:22c4
f" D- K# r$ S. SIPv6 address......................: :: / 128: m' r# c+ L) L: a! w! }
IPv6 gateway......................: ::
& P, O) J$ e; Q7 X. u7 P4 P; H, pIPv4 address......................: 192.168.1.107 r% W5 K# U2 ?1 f; a; l" Q/ p
Subnet mask.......................: 255.255.255.0# u r# ~: F% D
Gateway...........................: 0.0.0.05 p9 d1 D& k6 c M
Physical address..................: 54-89-98-C3-22-C46 B* a/ P1 ?' Q7 ^* s
DNS server........................:( @1 }* {) I" L( n( ~% M) I
PC1>ping 192.168.1.302 f3 m |2 B" J7 v9 m+ a# Y
Ping 192.168.1.30: 32 data bytes, Press Ctrl_C to break
: o1 `1 g2 Y! b; A5 iFrom 192.168.1.30: bytes=32 seq=1 ttl=128 time=62 ms! x, p( ~+ Q8 B3 Y+ Z; a- [7 j/ V
--- 192.168.1.30 ping statistics ---* ?/ R6 g; k8 A
1 packet(s) transmitted
; T/ h6 j$ x6 j# s2 ~: F 1 packet(s) received$ V, V" k" M4 e7 l0 b& F; b$ E1 |
0.00% packet loss
$ S! o* y: Z. l2 U. j round-trip min/avg/max = 62/62/62 ms6 x- x3 p9 Z* t) m2 @
PC1>
' q. j# y6 M+ C& F: w" Q
6 V! @+ E. j2 |[Huawei]clear configuration interface g0/0/1 清除接口配置,恢复默认
1 O" v0 B6 V ~$ L* O. _
6 s4 l" H# D' L! A% V9 z! \) T在hybird模式中的tag和untag:0 L% ^, n) ]2 l% d0 b5 f% W
tag是指允许通过的tag的帧,功能类似trunk的allow-vlan。untag是指当接口收到帧的时候去除哪个tag,untag=2就是收到vlan2的数据帧后将tag去掉还原成普通的帧(发给主机),类似于access接口的功能。所以hybrid模式是trunk和access接口功能的集合,可以灵活使用。4 Y ^. h4 c% P. v$ Y" _( m
下面几个vlan划分的类型来学习hybrid端口的用法:# w& E$ d+ l' R/ Y
1、基于端口的vlan划分,这个就是普通的使用access模式做的,一般都用这个模式0 K9 C/ w7 z& G# G! B
2、基于ip地址的vlan划分,这个是用hybrid模式做,用于主机移动的办公环境(比如公司经常部门调整地理位置),原理是将vlan-id与ip网段进行映射绑定,只要主机的ip网段不变,那么他不管连接那个sw的那个接口都属于同一个vlan,不用担心频繁换地区导致连接sw的端口需要进行vlan的调整
2 n) p" B# l+ X$ V% T. B' [! h1 N/ l
配置如下:
' p8 x! S* v7 E* b& a$ t! Z/ H) O首先将ip网络与vlan进行绑定,分别在sw1和sw2中创建vlan并绑定相应的ip网段(SW1与SW2配置相同,只以sw1为例)$ l5 k! q) w- r% ]# Y% q
vlan 2! p8 e, r, I! M, o
ip-subnet-vlan 2 ip 192.168.1.0 255.255.255.0 将192.168.1.0/24与vlan2绑定,红色的数字2是id号,不是vlan号,可以随意设置但是2 c: k& N: Y9 P2 l
# 一个vlan中最多可以绑定最多12个子网网段,只有12个id号/ R- o `) I0 J# Y
配置sw1与sw2的级联trunk端口,并允许所有vlan通过
$ A# o; b3 r' t% n% F% t' d- v[SW1-GigabitEthernet0/0/3]display this
, l& t* t$ c9 u#
% L3 H' [& _& finterface GigabitEthernet0/0/3
2 b7 G; O1 i0 C( H8 r$ V port link-type trunk
% e2 {8 l* J* b7 L port trunk allow-pass vlan 2 to 4094 允许所有vlan通过trunk
' } L4 j7 e9 W' \: U$ n: A1 T#4 I6 V! k' M4 v9 ?
return, j( k* r3 e* ]0 \8 s
配置sw1连接PC的g0/0/1端口为hybrid模式,并且只允许vlan2的数据帧通过(去除vlan2的标签给pc,收到其他vlan的数据就不会去掉标签直接发给pc,而pc不能识别带有vlan标识的帧从而丢弃数据帧,达到将pc的ip绑定在vlan2中)/ l6 @( N3 ]! J. \
[SW1-GigabitEthernet0/0/1]display this
0 W7 q3 {: C( E4 e* T#2 t$ O1 e, N9 m2 m
interface GigabitEthernet0/0/13 t3 h' U5 l1 S3 r4 m
port hybrid untagged vlan 2 在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)
% J8 I8 j* N5 P2 G- M vlan precedence ip-subnet-vlan 配置优先使用基于ip划分的vlan模式(默认使用基于端口的vlan模式)
" l- z' U% [: V( c ip-subnet-vlan enable 启用基于ip网络的vlan划分
: u, |! C6 `8 n#! c& f5 f$ L. c' q$ u1 E
return) U i; o6 B2 {3 X9 a$ A
验证方法是将sw1或者sw2的g0/0/1端口port hybrid untagged vlan 2修改为其他vlan-id后pc之间就无法通信,可以抓包查看帧的vlan-id。或者将pc1与pc2的ip地址改为192.168.2.x也不通,是因为vlan2只绑定了192.168.1.0/24而没有绑定其他网段,而端口又只untag了vlan2的帧。
2 e3 Y; u1 T1 y( |3、基于mac地址的vlan划分,与基于ip的vlan划分一样使用hybrid模式做,功能和基于ip地址的vlan划分类似
1 }. Y% ~' h& e) A+ q5 }: A首先将pc的mac地址与vlan绑定,SW1与SW2配置相同,在vlan2中绑定pc1和pc3
. U% N; H& A* D& Xvlan 2
8 Y% l" s- ?) i# x' ^, u0 w% [! i mac-vlan mac-address 5489-98c3-22c4 priority 0
- t; f+ `/ c( U mac-vlan mac-address 5489-98ce-1433 priority 0
- u# O6 g4 P4 u& d( T" R配置sw1与sw2之间的trunk端口,允许所有vlan帧通过
* U2 m$ F- d$ }interface GigabitEthernet0/0/3
( ^: X5 d! p4 d, l5 _ port link-type trunk
" d5 m" l7 a5 T y! W7 O port trunk allow-pass vlan 2 to 40946 p: b' g, Q/ I
#% P: x2 x# t6 e0 D2 Z
配置sw连接pc的接口的vlan模式优先使用mac划分vlan模式(hybrid端口默认就是mac-vlan模式),开启基于mac地址的vlan划分' n/ w# E: K+ I; g3 o
interface GigabitEthernet0/0/1
& U) q+ L- |# T3 y! J port hybrid untagged vlan 2 允许vlan2的帧通过,在发送帧(给PC)时只去掉vlan2的标签(带有其他vlan的帧不会去掉标签)
& @. ^) F g0 o5 X; U7 z mac-vlan enable 开启基于mac地址的vlan划分
; p; U% C; D' c% a. F: c#. r: e7 z3 E" X5 r5 B2 ?
验证方法与基于ip的vlan划分一样,或者可以将pc1与pc3改为其他网络,依然能通信,是因为使用的是基于mac的vlan划分,所以只要mac在一个vlan内,那么不管ip如何变化只要在一个网段内都能通信。# y- v$ D) g& X$ U! H
6 V2 L! g$ @' ^0 ]7 W" l
|
|
/4 
窥视卡
雷达卡
发表于 2018-10-28 22:24:14
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
楼主
