- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-VLAN典型配置案例
本章节下载 (405.17 KB)
目 录
VLAN典型配置举例
关键词:VLAN,802.1Q,VLAN接口,协议VLAN
摘 要:本文主要介绍H3C系列以太网交换机的VLAN功能在具体组网中的应用配置,以及与协议VLAN的配合使用。
缩略语:VLAN(Vitrual LAN,虚拟局域网)
表1-1 H3C低端以太网交换机支持的VLAN功能列表
|
功能 产品型号 |
802.1Q VLAN |
VLAN接口 |
协议VLAN |
|
l |
l |
l |
|
|
S3600-SI |
l |
l |
l |
|
S5600 |
l |
l |
l |
|
S5100-EI |
l |
¡ |
l |
|
S3100-SI |
l |
¡ |
- |
|
S3100-52P |
l |
l |
- |
|
E352/E328 |
l |
l |
l |
|
E126 |
l |
¡ |
- |
|
E152 |
l |
¡ |
- |
& 说明:
l 上表中“l”表示完全支持该功能;“¡”表示部分支持,即该款设备只能配置一个VLAN接口,且该VLAN必须是管理VLAN;“-”表示不支持该功能。
l 各款交换机支持的VLAN功能的详细介绍,请参见各产品的用户手册。
& 说明:
l 不同型号的设备,配置的方法会有差异,这里以S3600系列交换机作为举例。其它型号交换机的配置请参见产品的操作手册。
l 下文只列出了基本的配置步骤,有关各个功能的基本原理和作用,请参见各产品的操作、命令手册。
H3C S3600系列交换机支持基于802.1Q协议的VLAN配置,用户可以通过创建VLAN并将以太网端口加入VLAN实现虚拟工作组的划分。
表1-2 创建VLAN及VLAN基本配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
批量创建多个VLAN |
vlan { vlan-id1 to vlan-id2 | all } |
可选 |
|
创建VLAN并进入VLAN视图 |
vlan vlan-id |
必选 缺省情况下,系统只有一个缺省VLAN(VLAN1) |
|
指定当前VLAN的名称 |
name text |
可选 缺省情况下,VLAN的名称为该VLAN的VLAN ID,例如“VLAN 0001” |
|
指定当前VLAN的描述字符串 |
description text |
可选 缺省情况下,VLAN的描述字符串为该VLAN的VLAN ID,例如“VLAN 0001” |
|
显示VLAN相关信息 |
display vlan [ vlan-id [ to vlan-id ] | all | dynamic | static ] |
display命令可以在任意视图下执行 |
用户可以在VLAN视图或以太网端口视图下配置将端口加入VLAN。
表1-3 在VLAN视图下将端口加入VLAN
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
向当前VLAN中加入以太网端口 |
port interface-list |
必选 缺省情况下,所有端口都已加入到系统缺省的VLAN(VLAN1)中 |
& 说明:
在VLAN视图下只能将Access端口加入到当前VLAN中,对于Trunk和Hybrid端口,只能在以太网端口视图下进行配置。
表1-4 在以太网端口视图下将当前端口加入VLAN
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
|
配置端口的类型 |
port link-type { access | trunk | hybrid } |
可选 缺省情况下,所有端口都是Access端口 |
|
|
将当前端口加入指定的VLAN |
Access端口 |
port access vlan vlan-id |
必选 缺省情况下,这三类端口都处在缺省VLAN(VLAN1)中 |
|
Trunk端口 |
port trunk permit vlan { vlan-id-list | all } |
||
|
Hybrid端口 |
port hybrid vlan vlan-id-list { tagged | untagged } |
||
|
为当前端口指定缺省VLAN |
Trunk端口 |
port trunk pvid vlan vlan-id |
可选 缺省情况下,所有端口的缺省VLAN都是VLAN1 对于Access端口,由于只能加入一个VLAN,所以这个VLAN就是该端口的缺省VLAN |
|
Hybrid端口 |
port hybrid pvid vlan vlan-id |
||
用户可以通过配置VLAN接口并为其分配IP地址,实现交换机的三层转发功能。
表1-5 VLAN接口基本配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建VLAN接口并VLAN接口视图 |
interface Vlan-interface vlan-id |
必选 缺省情况下,在交换机上不存在VLAN接口 |
|
配置当前VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } [ sub ] |
必选 缺省情况下,VLAN接口没有配置IP地址 |
|
指定当前VLAN接口的描述字符串 |
description text |
可选 缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名,例如“Vlan-interface1 Interface” |
|
将VLAN接口的管理状态设置为关闭 |
shutdown |
可选 缺省情况下,VLAN接口的管理状态为打开,此时VLAN接口状态受VLAN中端口状态的影响,即:当VLAN中所有以太网端口状态为Down时,VLAN接口为Down状态,即关闭状态;当VLAN中有一个或一个以上的以太网端口处于Up状态时,则VLAN接口处于Up状态 如果将VLAN接口的管理状态设置为关闭,则VLAN接口的状态始终为Down,不受VLAN中端口状态的影响 |
|
将VLAN接口的管理状态设置为打开 |
undo shutdown |
|
|
显示VLAN接口的相关信息 |
display interface Vlan-interface [ vlan-id ] |
display命令可以在任意视图下执行 |
& 说明:
l 在创建VLAN接口之前,对应的VLAN必须已经存在。
l 部分H3C交换机只支持创建一个VLAN接口,并且在创建VLAN接口之前需要使用management-vlan命令将对应的VLAN设置为缺省VLAN。具体操作请参见相关产品的用户手册。
用户可以通过配置协议VLAN,使交换机对接收的untag报文根据用户设定的协议模板进行匹配,根据报文所属的协议将其划分到指定的VLAN内传输。协议VLAN的配置包括两部分:一是创建协议模板,同时即启动了协议VLAN功能;二是将以太网端口与协议VLAN进行绑定。
表1-6 协议VLAN配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
配置协议VLAN的协议模板 |
protocol-vlan [ protocol-index ] { at | ip | ipx { ethernetii | llc | raw | snap } | mode { ethernetii etype etype-id | llc { dsap dsap-id ssap ssap-id } | snap etype etype-id } } |
必选 缺省情况下,没有配置协议VLAN的协议模板 |
|
退出至系统视图 |
quit |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口为Hybrid类型 |
port link-type hybrid |
必选 缺省情况下,所有端口均为Access类型 |
|
配置端口加入协议VLAN,并在发送该VLAN报文时去掉VLAN Tag |
port hybrid vlan vlan-id untagged |
必选 缺省情况下,所有端口都只加入了VLAN1 |
|
配置端口与协议VLAN关联 |
port hybrid protocol-vlan vlan vlan-id { protocol-index [ to protocol-index-end ] | all } |
必选 缺省情况下,端口没有与协议VLAN关联 |
|
显示指定VLAN上配置的协议信息及协议的索引 |
display protocol-vlan vlan { vlan-id [ to vlan-id ] | all } |
display命令可以在任意视图执行 |
|
显示指定端口上配置的协议信息及协议的索引 |
display protocol-vlan interface { interface-type interface-number [ to interface-type interface-number ] | all } |
某研发公司下有三个部分,分别为研发部、市场部、设计部。三个部门共处一个办公楼内,研发部和市场部办公区域分开;因工作需要,设计部和研发部部分员工使用混合办公区域。除设计部的员工使用Apple主机外,其余部门员工均使用Windows系统主机。要求利用VLAN技术管理各部门的网络权限,实现以下的访问需求:
l 各部门内部的员工之间均可以互相通信,部门间不能进行通信。
l 研发和市场部分处不同的IP网段,由Core-SwitchA自动分配地址。
l 研发和市场部都可以访问公共服务器,但研发专用服务器和设计部专用服务器只能由各自部门的员工访问,其他部门无法访问。
l 研发部和设计部的工作站和服务器不能访问Internet,市场部和设计部的工作站和服务器不能访问研发部的VPN网络。
图2-1 VLAN综合配置举例组网图
图2-2 SwitchA组网示意
SwitchA接入的研发部和市场部单独办公区域可以通过将端口配置到不同的VLAN中实现二个区域间的隔离。
对于混合办公区域,由于两个部门通过一个端口接入,因此无法简单的通过配置端口加入VLAN来实现部门间的隔离。考虑到工业设计部和研发部的员工使用不同的操作系统,可以使用协议VLAN的功能,将使用Apple主机的员工(网络协议为Appletalk)和使用Windows主机的员工(网络协议为IP)通过其使用网络协议将各自的报文划分到不同VLAN。
SwitchA连接到SwitchB的端口要求允许所有VLAN的报文通过,而且保留VLAN Tag,以区分该报文所属的VLAN。
图2-3 SwitchB组网示意
SwitchB接入的网络比较简单,只需要将市场部和研发部接入的端口划分到不同VLAN即可(注意要与SwitchA上配置的VLAN编号相同)。上连至Core-SwitchA的端口要允许所有VLAN的报文携带VLAN Tag通过。
图2-4 Core-SwitchA组网示意
Core-SwitchA连接SwitchB的端口应允许研发、市场、设计部门的报文通过。
由于Core-SwitchA是接入VPN网络的出口,因此在为研发部分配IP地址时,需要将网关设置为自己的接口地址,并且在连接VPN的端口只允许研发部所在VLAN的报文通过。
在Core-SwitchA为市场部分配IP地址时,需要同时指定网关为Core-SwitchB上市场部VLAN对应的接口,使市场部访问Internet的数据能够被正常转发。
图2-5 Core-SwitchB组网示意
Core-SwitchB上连接了各个服务器,需要将各服务器的接入端口加入到不同的VLAN,保证只有特定部门才可以访问。
由于公共服务器需要研发和市场部门的主机都能访问,因此为其单独划分为一个VLAN,在客户端与服务器之间进行三层转发。同时注意在Core-SwitchB和Core-SwitchA之间的链路除允许三个部门报文通过外,还需要允许服务器群所在VLAN的报文通过(因为研发部和服务器群之间的三层转发需要由Core-SwitchA来进行)。
由于Core-SwitchB是接入Internet的出口,因此需要在市场部所在VLAN的接口上配置一个IP地址,使该接口能够作为网关正常转发市场部访问Internet的数据。
综上所述,现需要将研发、市场、设计部的工作站和服务器分别划分到VLAN100、VLAN200、VLAN300内,研发和市场分别使用192.168.30.0和192.168.40.0的网段。公共服务器使用VLAN500,IP地址为192.168.50.0的网段。规划后的VLAN分布图如图2-6所示:
图2-6 VLAN分布示意图
本举例中使用的设备为S3600系列以太网交换机,软件版本为Release 1510。
l 配置SwitchA
# 创建VLAN100、VLAN200、VLAN300。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-vlan100] quit
[SwitchA] vlan 200
[SwitchA-vlan200] quit
[SwitchA] vlan 300
[SwitchA-vlan300]
[SwitchA-vlan300] quit
# 将接入研发区域的端口Ethernet1/0/5加入VLAN100。
[SwitchA] interface Ethernet 1/0/5
[SwitchA-Ethernet1/0/5] port access vlan 100
[SwitchA-Ethernet1/0/5] quit
# 将接入市场区域的端口Ethernet1/0/7加入VLAN200。
[SwitchA] interface Ethernet 1/0/7
[SwitchA-Ethernet1/0/7] port access vlan 200
[SwitchA-Ethernet1/0/7] quit
# 配置VLAN100和VLAN300的协议VLAN模板,分别匹配IP协议报文和Appletalk协议报文。
[SwtichA] vlan 100
[SwitchA-vlan100] protocol-vlan ip
[SwitchA-vlan100] quit
[SwitchA] vlan 300
[SwitchA-vlan300] protocol-vlan at
[SwitchA-vlan300] quit
# 这里需要特别注意,在配置基于IP协议的协议模板时,同时配置基于ARP协议的模板,这里以EthernetII封装举例。
[SwitchA] vlan 100
[SwitchA-vlan100] protocol-vlan mode ethernetii etype 0806
# 配置接入混合办公区域的端口Ethernet1/0/10为Hybrid端口,使其可以转发VLAN100和VLAN300的报文,并且在发送时均去掉VLAN Tag,使工作站可以正常处理报文。
[SwitchA] interface Ethernet 1/0/10
[SwitchA-Ethernet1/0/10] port link hybrid
[SwitchA-Ethernet1/0/10] port hybrid vlan 100 300 untagged
# 将该端口于VLAN100和VLAN300的协议模板相绑定,使其可以按照该模板对接收的报文进行匹配,并将匹配的报文在指定的VLAN中发送。
[SwitchA-Ethernet1/0/10] port hybrid protocol-vlan vlan 100 all
[SwitchA-Ethernet1/0/10] port hybrid protocol-vlan vlan 300 all
[SwitchA-Ethernet1/0/10] quit
# 配置与SwitchB连接的端口GigabitEthernet1/1/1为Trunk端口,并使其允许VLAN100/200/300的报文携带VLAN Tag通过。
[SwitchA] interface GigabitEthernet 1/1/1
[SwitchA-GigabitEthernet1/1/1] port link-type trunk
[SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 100 200 300
l 配置SwitchB
# 在SwitchB上创建VLAN100、VLAN200、VLAN300,方法与SwitchA相同,这里不再赘述。
# 配置端口Ethernet1/0/2和Ethernet1/0/3分别加入VLAN200和VLAN100。
<SwitchB> system-view
[SwitchB] interface Ethernet 1/0/2
[SwitchB-Ethernet1/0/2] port access vlan 200
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface Ethernet 1/0/3
[SwitchB-Ethernet1/0/3] port access vlan 100
[SwitchB-Ethernet1/0/3] quit
# 配置端口GigabitEthernet1/1/1和GigabitEthernet1/1/2,并使其允许VLAN100/200/300的报文携带VLAN Tag通过。
[SwitchB] interface GigabitEthernet 1/1/1
[SwitchB-GigabitEthernet1/1/1] port link-type trunk
[SwitchB-GigabitEthernet1/1/1] port trunk permit vlan 100 200 300
[SwitchB-GigabitEthernet1/1/1] quit
[SwitchB] interface GigabitEthernet 1/1/2
[SwitchB-GigabitEthernet1/1/2] port link-type trunk
[SwitchB-GigabitEthernet1/1/2] port trunk permit vlan 100 200 300
[SwitchB-GigabitEthernet1/1/2] quit
l 配置Core-SwitchA
# 在Core-SwitchA上创建VLAN100、VLAN200和VLAN300,配置方法与SwitchA的相同,这里不再赘述。
# 配置GigabitEthernet1/1/1和GigabitEthernet1/1/2为Trunk端口,允许VLAN100/200/300的报文携带VLAN Tag通过,配置方法与SwitchB相同,这里不再赘述。
# 创建VLAN100的接口,并配置地址为192.168.30.1,为研发部的工作站分配192.168.30.0/24网段的地址,同时客户端的网关将自动指向自己。
[Core-SwitchA] dhcp enable
[Core-SwitchA] interface Vlan-interface 100
[Core-SwitchA-Vlan-interface100] ip address 192.168.30.1 24
[Core-SwitchA-Vlan-interface100] dhcp select interface
[Core-SwitchA-Vlan-interface100] quit
# 创建全局地址池,为市场部的工作站分配192.168.40.0/24网段的地址,同时客户端的网关指向Core-SwitchB(192.168.40.1)。
[Core-SwitchA] dhcp server ip-pool mk
[Core-SwitchA-dhcp-pool-mk] network 192.168.40.0 mask 255.255.255.0
[Core-SwitchA-dhcp-pool-mk] gateway-list 192.168.40.1
& 说明:
有关DHCP配置的详细介绍,请参见S3600系列以太网交换机的操作、命令手册。
# 为正常转发研发部访问公共服务器的报文,在Core-SwitchA上还应该创建VLAN500及其对应的接口地址,并配置端口GigabitEthernet1/1/1允许该VLAN的报文带VLAN Tag通过。
[Core-SwitchA] vlan 500
[Core-SwitchA-vlan500] quit
[Core-SwitchA] interface Vlan-interface 500
[Core-SwitchA-Vlan-interface500] ip address 192.168.50.1 24
[Core-SwitchA-Vlan-interface500] quit
[Core-SwitchA] interface GigabitEthernet 1/1/1
[Core-SwitchA-GigabitEthernet1/1/1] port trunk permit vlan 500
# 为正常转发研发部访问VPN的报文,需要在Core-SwitchA上创建一个连接VPN的接口,并配置相应的IP地址,将端口Ethernet1/0/20加入该接口对应的VLAN,配置过程这里不再赘述。
l 配置Core-SwitchB
# 在Core-SwitchB上创建VLAN100、VLAN200、VLAN300和VLAN500,配置方法这里不再赘述。
# 配置GigabitEthernet1/1/1为Trunk端口,允许VLAN100/200/300/500的报文携带VLAN Tag通过,配置方法这里不再赘述。
# 为正常转发市场部访问Internet的报文,需要在Core-SwitchB上创建一个连接Internet的接口,并配置相应的IP地址,将端口Ethernet1/0/15加入该VLAN,配置过程这里不再赘述。
# 配置端口GigabitEthernet1/1/3和GigabitEthernet1/1/4分别只允许VLAN300和VLAN100的报文通过,配置方法这里不再赘述。
# 配置端口GigabitEthernet1/1/2只允许VLAN500的报文通过,配置方法这里不再赘述。
# 配置VLAN200接口的IP地址为192.168.40.1,配置方法这里不再赘述。
经过上述配置,各部门间通过VLAN进行了隔离,部门间的主机间在数据链路层无法互通。
由于研发部和市场部分别将网关指向Core-SwitchA和Core-SwitchB,而Core-SwitchA上没有配置VLAN200和连接Internet的VLAN接口的地址,因此研发部无法通过三层转发访问市场部和Internet;同样,市场部也无法通过Core-SwitchB进行三层转发访问研发部和VPN网络。
至此,各部门之间在数据链路层和网络层均实现了隔离。
& 说明:
为避免用户手工改变工作站的IP地址和网关,非法访问网络资源,建议在SwitchA和SwitchB上启动DHCP-Snooping功能,监控客户端的IP地址使用情况。配置方法请参见S3600系列交换机的操作、命令手册。
l 由于IP协议与ARP协议关系密切,用户在VLAN下配置IP协议类型时,请同时配置ARP协议类型,并将这两种协议类型关联到相同的端口,避免因ARP报文与IP报文未划分到同一VLAN,而造成无法解析IP地址的情况。
l 每个端口最多可以绑定的协议模板数量与产品型号有关,请参见各产品的用户手册。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
