你们好,我的网工朋友。
交换机的配置我们说过很多,总有一些朋友会提到vlan的划分,今天就给你说下具体的应用。
关于vlan的划分方法有很多,项目应用中较多的方法就是基于端口划分vlan、基于mac地址划分vlan、基于ip地址划分vlan……
要真的对vlan了解,至少这三种划分方法必会,以便后续根据实际项目进行应用。
今日文章阅读福利:《H3C华三交换机最详细配置实例手册(106页)》
前几天分享过华为的配置指南,今天给你来个华三的。
私信我,发送暗号“华三”,给你发送这份106页的H3C交换机配置实例手册,学起来啊。
01 基于端口的vlan划分方法
这里面为了方便大家理解,直接用实例讲解更清楚。
01 组网需求
如图1所示,某企业的交换机连接有很多用户,且相同业务用户通过不同的设备接入企业网络。为了通信的安全性,也为了避免广播报文泛滥,企业希望业务相同用户之间可以互相访问,业务不同用户不能直接访问。
可以在交换机上配置基于端口划分VLAN,把业务相同的用户连接的端口划分到同一VLAN。
也就是不同VLAN的用户不能直接进行二层通信,同一VLAN内的用户可以直接互相通信。
02 配置步骤
步骤1:在SwitchA创建VLAN2和VLAN3,并将连接用户的端口分别加入VLAN。SwitchB配置与SwitchA类似,不再赘述。
[Quidway] system-view //进入配置视图
[Quidway] sysname SwitchA //给交换机命名
[SwitchA] vlan batch 2 3 //同时创建vlan2与vlan3
[SwitchA] interface ethernet 0/0/1 //进入端口0/0/1
[SwitchA-Ethernet0/0/1] port link-type access //设置端口模式为access
[SwitchA-Ethernet0/0/1] port default vlan 2 //将端口加入vlan2中
[SwitchA-Ethernet0/0/1] quit //退出
[SwitchA] interface ethernet 0/0/2 //进入端口0/0/2
[SwitchA-Ethernet0/0/2] port link-type access //端口模式为access
[SwitchA-Ethernet0/0/2] port default vlan 3 //将端口加入vlan3中
[SwitchA-Ethernet0/0/2] quit //退出
步骤2:配置SwitchA上与SwitchB连接的端口类型及通过的VLAN。SwitchB配置与SwitchA类似,不再赘述。
[SwitchA] interface ethernet 0/0/3 //进入端口0/0/3
[SwitchA-Ethernet0/0/3] port link-type trunk //设置端口模式为trunk
[SwitchA-Ethernet0/0/3] port trunk allow-pass vlan 2 3 //trunk口允许通过vlan2与vlan3的数据包
步骤3:验证配置结果将User1和User2配置在一个网段,比如192.168.100.0/24;将User3和User4配置在一个网段,比如192.168.200.0/24。
User1和User2能够互相ping通,但是均不能ping通User3和User4。User3和User4能够互相ping通,但是均不能ping通User1和User2。
02 基于MAC地址的vlan划分方法
01 组网需求
某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全,要求只有本部门员工的PC才可以访问公司网络。
如图2所示,PC1、PC2、PC3为本部门员工的PC,要求这几台PC可以通过SwitchA、Switch访问公司网络,如换成其他PC则不能访问。
可以配置基于MAC地址划分VLAN,将本部门员工PC的MAC地址与VLAN绑定,从而实现该需求。
02 操作步骤
这里面就不对上面重复的注释再解释了,和上面一样,大家也可以验证下,经过上面的理解,是否能认识下面的配置代码。
步骤1:配置Switch
# 创建VLAN
[Quidway] system-view
[Quidway] vlan batch 10 100
# 配置接口的PVID和加入VLAN
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port hybrid pvid vlan 100 //将接口以加入到vlan100
[Quidway-Ethernet0/0/1] port hybrid untagged vlan 10 //untagged是指当数据离开端口时脱掉标签,指定端口允许VLAN 10的数据帧通过,且发送时不带VLAN标签
[Quidway-Ethernet0/0/1] quit #退出
[Quidway] interface ethernet 0/0/2 #进入端口0/0/2
[Quidway-Ethernet0/0/2] port hybrid tagged vlan 10 //tagged是指当数据离开端口时带着标签,指定允许VLAN 10的数据帧通过,且发送时必须带有VLAN标签
[Quidway-Ethernet0/0/2] quit
# PC的MAC地址与VLAN10关联
[Quidway] vlan 10
[Quidway-Vlan10] mac-vlan mac-address 22-22-22
//关联pc1的mac地址
[Quidway-Vlan10] mac-vlan mac-address 33-33-33
//关联pc2的mac地址
[Quidway-Vlan10] mac-vlan mac-address 44-44-44
//关联pc3的mac地址
[Quidway-Vlan10] quit
# 使能接口的基于MAC地址划分VLAN功能
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] mac-vlan enable
//起动端口的mac-vlan功能
[Quidway-Ethernet0/0/1] quit
03 基于IP子网的vlan划分方法
01 组网需求
某企业拥有多种业务,如IPTV、VoIP、Internet等,每种业务使用的IP地址网段各不相同。
为了便于管理,现需要将同一种类型业务划分到同一VLAN中,不同类型的业务划分到不同VLAN中。
如图3所示,Switch接收到用户报文有数据、IPTV、语音等多种业务,用户设备的IP地址网段各不相同。
现需要将不同类型的业务划分到不同的VLAN中,通过不同的VLANID分流到不同的远端服务器上以实现业务互通。
这类在实际应用中是比较多的。
02 配置思路
采用如下的思路配置基于IP子网划分VLAN:
a、创建VLAN,确定每种业务所属的VLAN。
b、关联IP子网和VLAN,实现根据报文中的源IP地址或指定网段确定VLAN。
c、配置端口加入VLAN,实现基于IP子网的VLAN通过当前端口。
d、配置VLAN划分方式的优先级,确保优先选择基于IP子网划分VLAN。
e、使能基于IP子网划分VLAN。
03 操作步骤
步骤1:创建VLAN
# 在Switch上创建VLAN100、VLAN200和VLAN300。
[Quidway] system-view
[Quidway] vlan batch 100 200 300
步骤2:配置接口
# 在Switch上配置接口Eth0/0/1为Hybrid类型,并加入VLAN100、VLAN200和VLAN300。
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port link-type hybrid //设置端口为hybrid模式
[Quidway-Ethernet0/0/1] port hybrid untagged vlan100 200 300 //指定端口允许VLAN 100、vlan200、vlan300的数据帧通过,且发送时不带VLAN标签
[Quidway-Ethernet0/0/1] quit
# 在Switch上配置接口Eth0/0/2加入VLAN100。
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port link-type trunk
[Quidway-Ethernet0/0/2] port trunk allow-pass vlan 100 //接口0/0/2加入vlan100
[Quidway-Ethernet0/0/2] quit
# 在Switch上配置接口Eth0/0/3加入VLAN200。
[Quidway] interface ethernet 0/0/3
[Quidway-Ethernet0/0/3] port link-type trunk
[Quidway-Ethernet0/0/3] port trunk allow-pass vlan 200 //接口0/0/3加入vlan200
[Quidway-Ethernet0/0/3] quit
# 在Switch上配置接口Eth0/0/4加入VLAN300。
[Quidway] interface ethernet 0/0/4
[Quidway-Ethernet0/0/4] port link-type trunk
[Quidway-Ethernet0/0/4] port trunk allow-pass vlan 300 //接口0/0/4加入vlan300
[Quidway-Ethernet0/0/4] quit
# 在Switch上配置接口Eth0/0/1使能基于IP子网划分VLAN功能。
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] ip-subnet-vlan enable
[Quidway-Ethernet0/0/1] quit
步骤3:配置基于IP子网划分VLAN
# 在Switch上配置VLAN100与IP地址192.168.1.2/24关联,优先级为2。
[Quidway] vlan 100
[Quidway-vlan100] ip-subnet-vlan 100 ip 192.168.1.2 24 priority 2
[Quidway-vlan100] quit
# 在Switch上配置VLAN200与IP地址192.168.2.2/24关联,优先级为3。
[Quidway] vlan 200
[Quidway-vlan200] ip-subnet-vlan 200 ip 192.168.2.2 24 priority 3
[Quidway-vlan200] quit
# 在Switch上配置VLAN300与IP地址192.168.3.2/24关联,优先级为4。
[Quidway] vlan 300
[Quidway-vlan300] ip-subnet-vlan 300 ip 192.168.3.2 24 priority 4
[Quidway-vlan300] quit
步骤4:验证配置结果
在Switch上执行以下命令,显示信息如下:
[Quidway] display ip-subnet-vlan vlan all
----------------------------------------------------------------
Vlan Index IpAddress SubnetMask Priority
----------------------------------------------------------------
100 1 192.168.1.2 255.255.255.0 2
200 1 192.168.2.2 255.255.255.0 3
300 1 192.168.3.2 255.255.255.0 4
----------------------------------------------------------------
ip-subnet-vlan count: 3 total count: 3
即为组网配置成功。
整理:老杨丨10年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
