122、交换机基本配置命令
小伙伴们通过Console口登录后还希望远程登录和管理交换机,就可以在交换机上配置Telnet服务功能并使用AAA验证方式登录。
步骤1:从PC1通过交换机Console口登录交换机。
步骤2:配置交换机名称和管理IP地址。
<Quidway>system-view
[Quidway] sysname Server
[Server] interface ethernet 0/0/0 //框式和盒式的管理口是不一样的哦,框式和盒式的分别是: Ethernet 0/0/0、MEth 0/0/1。有些盒式设备没有管理口,可使用VLANIF接口配置管理IP地址。
[Server-Ethernet0/0/0] ip address 10.10.10.10 24
[Server-Ethernet0/0/0] quit
步骤3:配置路由协议,保证PC2和交换机之间路由可达。
步骤4:配置Telnet用户的级别和认证方式。
[Server] telnet server enable
[Server] user-interface vty 0 4
[Server-ui-vty0-4] user privilege level 15
[Server-ui-vty0-4] authentication-mode aaa
[Server-ui-vty0-4] quit
[Server] aaa
[Server-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
[Server-aaa] local-user admin1234 privilege level 15
[Server-aaa] local-user admin1234 service-type telnet
[Server-aaa] quit
步骤5:从PC2以Telnet方式登录交换机。
以进入Windows运行窗口,并执行相关命令,通过Telnet方式登录交换机为例:
单击“确定”后,在登录窗口输入用户名和密码,验证通过后,出现用户视图的命令行提示符。表示登录成功。
什么是镜像?
镜像是指将经过指定端口(镜像端口)或者指定VLAN(镜像VLAN)的报文复制一份到另一个指定端口(观察端口),然后转发到网络监控设备,供网络管理员进行网络监控与故障管理。
看官们可以通过下面的这张图了解下镜像具体的工作机制,以及需要注意的地方。
那么镜像在网络维护中具体能做些什么呢?
1、故障定位
在系统运行过程中,可能由于系统软件处理异常、网络设备硬件故障、计算机病毒或用户不正常使用等原因造成网络上流量异常或产生错误报文。为了在不影响系统运行的情况下对网络上的报文进行分析,以定位故障产生的原因,这时候就可以使用镜像。
2、业务可视
为了更好的理解企业内部业务流量模型, 在网络汇聚或核心交换机上,对业务流量进行镜像,以便在不影响正常业务的情况下,使企业各类应用清晰可视。 比如说, 多少用户在上班时间访问QQ; 员工访问公司内部服务器的访问量排名情况。
3、入侵检测
为了发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性, 在企业的上行接口,将所有出入的流量镜像到一个IDS服务器上,进行实时分析。比如外部访问公司服务器的访问量激增,分析一下这些是不是属于攻击报文等。
另外,要特别说明一下,江湖就要有江湖的规矩,坏了规矩,就会招致整个武林的一致声讨。所以,虽然镜像功能如此的强大,但是在华为S系列交换机上用的是时候,请谨记:
该功能主要用于网络检测和故障管理,可能涉及使用个人用户某些通信内容。华为公司无法单方采集或存储用户通信内
容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使用、存储用户通信内容的过程中,您应采取足够的措施以确保用户的通信内容受到严格保护。
好了,看官们现在了解到镜像强大的威力之后,那我们下面就来看看华为S系列交换机哪些不同方式的镜像功能。
功能
定义
产品支持情况
端口镜像
将指定端口(镜像端口)的报文复制到观察端口。
全支持
流镜像
将指定类型的报文复制到观察端口。
全支持
VLAN镜像
将指定VLAN(镜像VLAN)的报文复制到观察端口。
框式交换机和S5720HI不支持
MAC镜像
将指定MAC地址的报文复制到观察端口。
框式交换机和S5720HI不支持
如何配置?
无论上述的哪种方式,主要配置下面两步:
1、创建观察端口。不同的场景可以选择不同的命令,如表所示。
场景
对应配置命令
观察端口与监控设备直连,本地镜像。
observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number>
观察端口与监控设备通过中间二层网络相连,二层远程镜像。
observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> vlan <vlan-id>
观察端口与监控设备通过中间三层网络相连,三层远程镜像。(仅框式交换机支持)
observe-port [ <observe-port-index> ] <interfaceinterface-type interface-number> destination-ip <dest-ip-address> source-ip <source-ip-address> [ dscp <dscp-value> | vlan <vlan-id> ] *
PS:如果需要将报文复制到多个观察端口,可以将上面的命令执行多次,或者配置观察端口组进行批量配置。
2、将指定的报文镜像到观察端口。不同的镜像方式对应有不同的命令,如表所示。
镜像方式
镜像方式
端口镜像
port-mirroring to observe-port <observe-port-index> { both | inbound | outbound }
流镜像
基于MQC:mirroring to observe-port <observe-port-index>
基于ACL:traffic-mirror
VLAN镜像
mirroring to observe-port <observe-port-index> inbound
MAC镜像
mac-mirroring mac-address to observe-port <observe-port-index> inbound
PS:both | inbound | outbound分别表示镜像设备双向(接收和发送两个方向)/入方向(接收方向)/出方向(发送方向)的报文。
下面小编再通过简单的组网环境演示一下我们常用的二层远程端口镜像是如何配置的吧。
如图所示,员工A与DNS服务器在同一个VLAN,通过二层网络通信,现在监控PC通过在SwitchA配置的二层远程端口镜像,来监控员工A访问DNS服务器的记录。
1、具体每台交换机上的配置如下:
l SwitchA的配置文件
#
sysname SwitchA
#
vlan batch 10 20 //VLAN10为用户VLAN,VLAN20用于转发镜像报文
#
observe-port 1 interface GigabitEthernet0/0/1 vlan 20 //配置GE0/0/1为二层远程观察端口,
用的观察端口索引为1,远程镜像VLAN为VLAN20,复制的报文会通过GE0/0/1向VLAN20转发
#
interface GigabitEthernet0/0/1 //观察端口不需要加入VLAN20,上面的配置已实现镜像报文通过GE0/0/1向VLAN20转发
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10 //端口加入VLAN,员工A与DNS之间通信
port-mirroring to observe-port 1 inbound //将GE0/0/2入方向的报文(即接收到的员工A发送的报文)镜像到观察端口1(即GE0/0/1)
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10 //端口加入VLAN,员工A与DNS之间通信
l SwitchB的配置文件
#
sysname SwitchB
#
vlan batch 20 //用于转发镜像报文到监控PC
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20 //端口加入VLAN,用于转发镜像报文到监控PC
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20 //端口加入VLAN,用于转发镜像报文到监控PC
2、在SwitchA查看端口镜像的配置情况:
3、 检查员工A与DNS服务器间通信的报文是否镜像到监控PC:
先在监控PC上启用抓包工具,然后在员工A的PC上向DNS服务器发个ping报文。最后通过抓包工具抓取报文。
可以发现抓取到了源地址为员工A地址、目的地址为监控PC地址的ping报文。
【交换机在江湖】第二十五章 网监利器镜像——规格篇
Hi,小伙伴们~小编我又浓重登场了~在上一期的《镜像原理配置篇》中,我们介绍了镜像工作的基本原理,他在网络中的具体应用,以及如何配置。不过在实际应用配置时,小伙伴们可能会遇到这样的问题:我想将交换机连到多台监控设备上,为啥配置的时候一直提示资源已达上限,配不下去?
其实,很多时候这与我们的镜像规格有关。由于芯片能力、镜像内部处理流程等因素的问题,导致了不同交换机间的镜像规格差异较大。因此,小编费了九牛二虎之力,将不同版本不同形态交换机的镜像规格收集整理了一下,希望能对小伙们有所帮助~
本期将介绍下面几块内容:
1. 观察端口规格:如果需要了解交换机最多能配置多少个观察端口,以及如何计算剩余可用观察端口资源,可以查阅这部分内容。
2. 1:N镜像规格:如果需要了解1份报文能同时镜像到多少个观察端口,可以查阅这部分内容。
3. N:1镜像规格:如果需要了解最多能有多少份不同的报文同时镜像到1个观察端口,可以查阅这部分内容。
4. M:N镜像规格:如果需要了解M份不同的报文同时镜像到多少个观察端口,可以查阅这部分内容。
5. 如何解决设备观察端口不足的问题:如果想知道在交换机镜像资源有限的情况下,如何通过其他方法解决这个问题,可以查阅这部分内容。
1 观察端口规格
1.1 观察端口的配置方式
介绍观察端口规格前,小编先和大家介绍下观察端口的配置方式。因为不同的配置方式对一部分交换机的观察端口规格会有影响。
在V200R005以前的版本交换机只支持逐一配置单个观察端口。从V200R005版本开始,交换机支持单个配置和批量配置两种方式,而且这两种方式可以同时配置。批量配置的观察端口相当于加入了一个观察端口组,镜像端口在配置的时候会绑定这整个观察端口组。所以批量配置一般在1:N镜像的时候使用,主要是为了配置方便,如图所示。
1.2 观察端口规格
观察端口规格包括两方面内容,一方面是我们的交换机最多能配多少个观察端口;另一方面是镜像端口入方向能绑定多少个观察端口,出方向能绑定多少个观察端口。我们在配置镜像功能时,这两方面的内容都需要注意。下面表1~表5分别列举了不同版本不同框式单板和盒式交换机的观察端口规格:
表1 华为S系列框式交换机不同单板在V200R001版本~V200R003版本的观察端口规格
单板
入方向可绑定观察端口数量
出方向可绑定观察端口数量
可配观察端口数量
S系列单板
2
1
3
FA系列单板
2
1
3
E系列单板
2
1
3
FC系列单板
1
1
2
备注 1 : 整机最多可以配置8个观察端口。
表2 华为S系列框式交换机不同单板在V200R005版本及以后版本的观察端口规格
单板
入方向可绑定观察端口数量
出方向可绑定观察端口数量
可配观察端口数量
SA系列单板(不包含ES0D0X12SA00(S7700)、EH1D2X12SSA0(S9700)、ET1D2X12SSA0(S12700)、LE0DX12XSA00(S9300))
4
1
5
ES0D0X12SA00(S7700)、EH1D2X12SSA0(S9700)、ET1D2X12SSA0(S12700) 、LE0DX12XSA00(S9300)
4
2
6
SC系列单板
X(X≤4)
4-X(X≤4)
4
E系列单板(不包含 ES1D2C02FEE0(S7700)、EH1D2X48SEC0(S9700)、EH1D2C02FEE0(S9700)、ET1D2X48SEC0(S12700)、ET1D2C02FEE0(S12700)、LE1D2C02FEE0(S9300))
4
2
6
EH1D2X48SEC0 ES1D2C02FEE0(S7700)、EH1D2X48SEC0(S9700)、EH1D2C02FEE0(S9700)、ET1D2X48SEC0(S12700)、ET1D2C02FEE0(S12700)、LE1D2C02FEE0(S9300))
X(X≤4)
4-X(X≤4)
4
FA系列单板(S7700、S9700、S9300)
4
2
6
FC系列单板(S7700、S9700、S9300)
X(X≤4)
4-X(X≤4)
4
B系列单板(S7700、S9700、S9300)
X(X≤4)
4-X(X≤4)
4
X1E系列单板
适配置方式而定
适配置方式而定
适配置方式而定
备注 1 : X1E系列单板的观察端口规格因观察端口配置方式的不同而不同。如果是单个配置,最多可配置8次,即总共可配8个观察端口;如果是批量配置,一次最多可配置64个观察端口,最多可配置8次,理论上最多可配置8 x 64 = 512个观察端口;入方向/出方向最多可绑定512个观察端口。
备注 2 : 如果不包括X1E系列单板批量配置的观察端口规格,整机最多可以配置8个观察端口。
表3 华为S系列盒式交换机在V100R006C05版本的观察端口规格
形态
入方向可绑定观察端口数量
出方向可绑定观察端口数量
可配观察端口数量
S2700SI
1
1
1
S2710SI
4
1
4
S2700EI
1
1
1
表4 华为S系列盒式交换机在V200R001版本~V200R003版本的观察端口规格
形态
入方向可绑定观察端口数量
出方向可绑定观察端口数量
可配观察端口数量
S3700HI
2
1
2
S5700S-LI、S5700LI
1
1
1
S5710-C-LI
1
1
1
S5700SI
1
1
1
S5700EI
4
1
4
S5710EI
2
1
2
S5700HI
2
1
2
S5710HI
2
1
2
S6700
1
1
1
表5 华为S系列盒式交换机在V200R005版本及以后版本的观察端口规格
形态
入方向可绑定观察端口数量
出方向可绑定观察端口数量
可配观察端口数量
S1720
1
1
1
S2720
1
1
1
S2750
1
1
1
S5700S-LI、S5700LI
1
1
1
S5710-X-LI
1
1
1
S5700SI
1
1
1
S5720S-SI、S5720SI
1
1
1
S5700EI
4
1
4
S5710EI
4
4
8
S5720EI
4
4
8
S5720HI
适配置方式而定
适配置方式而定
适配置方式而定
S5700HI
4
4
8
S5710HI
4
4
8
S6700EI
X(X≤4)
4-X(X≤4)
4
S6720EI
X(X≤4)
4-X(X≤4)
4
E600
1
1
1
备注 1 : S5720HI的观察端口规格因观察端口配置方式的不同而不同。如果是单个配置,最多可配置8次,即总共可配8个观察端口;如果是批量配置,一次最多可配置64个观察端口,最多可配置8次,理论上最多可配置8 x 64 = 512个观察端口;入方向/出方向最多可绑定512个观察端口。
1.3 观察端口使用情况计算方式
我们使用了一个观察端口进行镜像以后,如果还需要再配观察端口,连接其他监控设备,就需要计算交换机上剩余可配的观察端口数量,镜像端口入方向和出方向还能再绑定多少个观察端口。需要注意,镜像端口的入方向和出方向可绑定观察端口数量是分开计算的,即使入方向和出方向绑定的是同一个观察端口,入方向和出方向剩余可绑定观察端口数量都会各自减1。
比如以FA单板为例,FA单板最多可配置6个观察端口,所有镜像端口入方向加起来最多可以绑定4个观察端口,出方向加起来最多可以绑定2个观察端口。如果镜像端口入方向和出方向绑定到了同一个观察端口,入方向可以绑定的剩余观察端口数量为3,出方向可以绑定的剩余观察端口数量为1,那么剩余可用观察端口数量为3+1=4,并非是6-1=5。
2 1:N镜像规格
1
21:1:N镜像是指将单份报文同时镜像到N个不同的观察端口,如图所示:
端口镜像中,1:N镜像中N的规格可以等同于,同一个镜像端口的入方向或者出方向可以绑定到N个观察端口。 流镜像中,1:N镜像中N的规格可以等同于,流分类绑定的单个流镜像行为是镜像到批量配置的观察端口组,观察端口组里面有N个观察端口。因此,流镜像要实现1:N镜像,流行为里面绑定的必须是观察端口组。 VLAN镜像或者MAC镜像中,1:N镜像中N的规格可以等同于,同一个VLAN入方向绑定的观察端口组内,观察端口组里面有N个观察端口。因此,VLAN镜像或者MAC镜像要实现1:N镜像,VLAN入方向绑定的必须是观察端口组。 三层远程镜像不支持1:N镜像。 为了方便理解,下面的规格介绍是以我们常用的端口镜像来讲解1:N镜像中N的规格,其他方式的1:N镜像中N的数值与端口镜像的相同。 1:N镜像主要是用于需要连接多个监控设备的场景,在V200R005以前的版本,只有华为S系列框式交换机的E系列、FA系列、ES0D0X12SA00、EH1D2X12SSA0单板支持,而且整机最多支持入方向1:2;V200R005版本及后续的版本,华为S系列交换机开始全面支持1:N镜像,具体不同框式单板和盒式交换机支持情况如表1和表2所示。
表1 华为S系列框式交换机不同单板在V200R005版本及以后版本的1:N镜像规格
单板
单个镜像端口入方向可绑定的观察端口数量
单个镜像端口出方向可绑定的观察端口数量
SA系列单板(不包含ES0D0X12SA00(S7700)、EH1D2X12SSA0(S9700)、ET1D2X12SSA0(S12700)、LE0DX12XSA00(S9300))
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
ES0D0X12SA00(S7700)、EH1D2X12SSA0(S9700)、ET1D2X12SSA0(S12700)、LE0DX12XSA00(S9300)
2
2
SC系列单板
Y(Y≤4)
4-Y(Y≤4)
E系列单板(不包含
ES1D2C02FEE0(S7700)、EH1D2X48SEC0(S9700)、EH1D2C02FEE0(S9700)、ET1D2X48SEC0(S12700)、ET1D2C02FEE0(S12700)、LE1D2C02FEE0(S9300))
2
2
ES1D2C02FEE0(S7700)、EH1D2X48SEC0(S9700)、EH1D2C02FEE0(S9700)、ET1D2X48SEC0(S12700)、ET1D2C02FEE0(S12700)、LE1D2C02FEE0(S9300))
Y(Y≤4)
4-Y(Y≤4)
FA系列单板(S7700、S9700、S9300)
2
2
FC系列单板(S7700、S9700、S9300)
Y(Y≤4)
4-Y(Y≤4)
B系列单板(S7700、S9700、S9300)
Y(Y≤4)
4-Y(Y≤4)
X1E系列单板
适配置方式而定
适配置方式而定
备注 1: X1E系列单板的观察端口规格因观察端口配置方式的不同而不同。如果是单个配置,单个镜像端口入方向或出方向最多可绑定1个观察端口;如果是批量配置,理论上单个镜像端口入方向或出方向最多可绑定64个观察端口。
备注 2: 在1:N镜像中,如果镜像端口某一方向绑定的是通过批量方式创建的一个观察端口组,则该方向不能再绑定到其他的观察端口。
表2 华为S系列盒式交换机在V200R005版本及以后版本的1:N镜像规格
形态
单个镜像端口入方向可绑定的观察端口数量
单个镜像端口出方向可绑定的观察端口数量
S1720
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
S2720
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
S2750
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
S5700S-LI、S5700LI
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
S5710-X-LI
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
S5700SI
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
S5720S-SI、S5720SI
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
S5700EI
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
S5710EI
4
4
S5720EI
4
4
S5700HI
4
4
S5710HI
4
4
S5720HI
适配置方式而定
适配置方式而定
S6700EI
Y(Y≤4)
4-Y(Y≤4)
S6720EI
Y(Y≤4)
4-Y(Y≤4
E600
NA(只能镜像到1个观察端口)
NA(只能镜像到1个观察端口)
备注 1: S5720HI的观察端口规格因观察端口配置方式的不同而不同。如果是单个配置,单个镜像端口入方向或出方向最多可绑定1个观察端口;如果是批量配置,理论上单个镜像端口入方向或出方向最多可绑定64个观察端口。
备注 2: 在1:N镜像中,如果镜像端口某一方向绑定的是通过批量方式创建的一个观察端口组,则该方向不能再绑定到其他的观察端口。
3 N:1镜像规格
1
N:1镜像是指将N份不同的报文同时镜像到单个观察端口,如图所示:
N:1镜像主要用于需要监控多个镜像端口流经的报文流。其中N的规格没有限制,就是说只要小伙伴愿意,可以把这个交换机的端口入方向或者出方向都绑定到同一个观察端口,对镜像端口的数量没有限制。
4 M:N镜像规格
M:N镜像是指将M份不同的报文同时镜像到N个不同的观察端口。
M:N镜像相当于M个1:N镜像叠加,如图所示,所以他一般都用在既要监控多个镜像端口,又要这些镜像端口的报文发送到多台监控设备的综合场景。其实,我们通过前面的1:N镜像和N:1镜像就可以看出,M:N镜像对于M无规格限制,N的规格参考就1:N镜像中N的规格。
5 如何解决设备观察端口不足的问题
交换机上的观察端口是有限的,如果当前需要连接的监控设备有很多,需要的观察端口数量超过了规格上限,我们该如何是好呢。下面小编总结了两种比较常用的方式。
Ø 配置远程镜像,通过远程观察端口进行内部环回广播
如图所示,网络管理员需要将镜像端口的报文镜像到4台监控设备,而SwitchB可以配置观察端口数量少于4。我们通过远程观察端口内部环回广播的实现过程如下:
1、配置远程端口镜像
<SwitchB> system-view
[SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置远程观察端口,VLAN20为用于内部环回广播的VLAN
[SwitchB] interface gigabitethernet1/0/6
[SwitchB-GigabitEthernet1/0/6] port-mirroring to observe-port 1 both //将镜像端口出入方向报文都镜像到内部环回用的远程观察端口
[SwitchB-GigabitEthernet1/0/6] quit
2、配置内部环回功能
[SwitchB] vlan batch 20 //用于内部环回转发,不能在VLAN20配其他业务
[SwitchB] interface gigabitethernet1/0/1
[SwitchB-GigabitEthernet1/0/1] loopback internal //将远程观察端口配置为内部环回端口
[SwitchB-GigabitEthernet1/0/1] mac-address learning disable //关闭端口MAC动态学习功能,防止内部环回端口学习到外部的MAC地址,将外部接收到的报文在内部环回转发
[SwitchB-GigabitEthernet1/0/1] stp disable //关闭STP功能,避免内部环回端口因收到设备自己发送的报文,设置成Discarding状态,将端口阻塞
[SwitchB-GigabitEthernet1/0/1] port link-type access
[SwitchB-GigabitEthernet1/0/1] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type access
[SwitchB-GigabitEthernet1/0/2] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet1/0/3
[SwitchB-GigabitEthernet1/0/3] port link-type access
[SwitchB-GigabitEthernet1/0/3] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface gigabitethernet1/0/4
[SwitchB-GigabitEthernet1/0/4] port link-type access
[SwitchB-GigabitEthernet1/0/4] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface gigabitethernet1/0/5
[SwitchB-GigabitEthernet1/0/5] port link-type access
[SwitchB-GigabitEthernet1/0/5] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/5] quit
Ø 配置远程镜像,通过中间二层设备进行VLAN广播
如图所示,网络管理员需要将镜像端口的报文镜像到3台监控设备,而SwitchB可以配置观察端口数量少于3。我们通过SwitchC进行VLAN广播的实现过程如下:
1、在SwitchB配置远程端口镜像
<SwitchB> system-view
[SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置远程观察端口,VLAN20为用于转发镜像报文的普通VLAN
[SwitchB] interface gigabitethernet1/0/2
[SwitchB-GigabitEthernet1/0/2] port-mirroring to observe-port 1 both //将镜像端口出入方向报文都镜像到远程观察端口
[SwitchB-GigabitEthernet1/0/2] quit
2、在SwitchC配置端口加入VLAN
[SwitchC] interface gigabitethernet1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface gigabitethernet1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type access
[SwitchC-GigabitEthernet1/0/2] port default-vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/2] quit
[SwitchC] interface gigabitethernet1/0/3
[SwitchC-GigabitEthernet1/0/3] port link-type access
[SwitchC-GigabitEthernet1/0/3] port default-vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/3] quit
[SwitchC] interface gigabitethernet1/0/4
[SwitchC-GigabitEthernet1/0/4] port link-type access
[SwitchC-GigabitEthernet1/0/4] port default-vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchB-GigabitEthernet1/0/4] quit
~
接口配置
配置临时端口组
举个栗子:飞飞需要将GE1/0/1~GE1/0/20共二十个接口均关闭,但是后续这些接口由于配置不一致,还需要单独进行配置,那就可以选择临时端口组进行如下配置:
<HUAWEI> system-view
[HUAWEI] port-group group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/20 // 将接口GE1/0/1~GE1/0/20加入到临时端口组,此步骤等同于执行命令interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/20
[HUAWEI-port-group]shutdown // 临时端口组视图中配置需要批量下发的命令
[HUAWEI-port-group] quit // 退出临时端口组后,系统就会自动删除这个临时端口组
配置永久端口组
再举个栗子:飞飞需要将GE2/0/1~GE2/0/10共十个接口均配置为access接口,而且这些接口配置信息相对固定,均保持一致,那就可以选择永久端口组进行如下配置:
<HUAWEI> system-view
[HUAWEI] port-group portgroup1 // 创建名称为portgroup1的永久端口组
[HUAWEI-port-group-portgroup1] group-member gigabitethernet2/0/1 to gigabitethernet 2/0/10 // 将接口GE2/0/1~GE2/0/10加入到永久端口组中
[HUAWEI-port-group-portgroup1] port link-type access
// 永久端口组视图中配置需要批量下发的命令
[HUAWEI-port-group-portgroup1] quit // 退出端口组视图后,名称portgroup1的永久端口组仍然存在
江湖小贴士:如何知道永久端口组中的成员接口呢?
执行命令display port-group [ all | port-group-name ],就可以查看永久端口组的成员接口信息啦。
张飞按照诸葛神人的锦囊妙计,轻松快捷的给各个营帐分配了一个接口,并批量配置了相关功能。为了练练手,他居然又在一个空闲端口上一股脑配置了N多条命令。“这下可惨了,被姜维发现又该揭我老底,说我是村野匹夫啦,咋办,赶快看手册,看看如何批量清除一个接口的所有配置。
铛铛铛!找到了,只需要在接口视图下执行命令clear configuration this就可以一键清除接口下的配置啦。搞定!”
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] display this
#
interface GigabitEthernet0/0/1
description switch-A
port link-type access
#
return
[HUAWEI-GigabitEthernet0/0/1] clear configuration this // 清除接口下所有配置,恢复到缺省值
Warning: All configurations of the interface will be cleared,and its state will be shutdown. Continue? [Y/N] :y
Info: Total 2 command(s) executed, 2 successful, 0 failed.
[HUAWEI-GigabitEthernet0/0/1] display this
#
interface GigabitEthernet0/0/1
shutdown // 清除接口下所有配置后,接口将处于关闭状态
#
return
日上三竿,诸葛神人已经补觉起床,见张飞已经为各个营帐对应的接口配置完毕,大赞张飞。与此同时又给张飞提了一个难题:“翼德,我们中军营帐信息安全极为重要,不能和士兵的营帐相互通信,我该怎么配置呢,你造吗?”张飞丈二和尚摸不着头脑,只见姜维在后面暗笑。“飞飞,你忘了丞相还有第二个锦囊妙计?”
张飞大笑,“速取第二个锦囊。”
欲知后事如何,请听下回分解。
剧透:下期将带给大家的是接口配置锦囊妙计二----端口隔离。敬请期待!
PS:版本支持情况
1. 永久端口组命令port-group port-group-name。 所有版本均支持;
2. 临时端口组命令port-group group-member { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10>是在交换机V200R001C00及后续版本支持;
3. interface range { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10>
命令在交换机V200R003C00及后续版本才支持配置。
【交换机在江湖】第十一章 接口配置锦囊妙计之三----端口自协商
上一回说到诸葛神人四处招兵买马,待机讨伐中原。百姓素闻蜀军乃仁义之师,皆纷纷归顺,以壮大其阵营。为便于及时下发军令,诸葛神人决定为新兵营帐再买入一批华为交换机。当然这次的设备安装和调测还是让张飞来打头阵。
经过前两回的配置端口组和端口隔离操作,张飞自信满满,以为不需要丞相妙计,自己便可以解决问题,于是决定先自己捣鼓。可是当他将设备之间的接口连线并上电后,发现有些接口仍然处于Down状态,排查半天仍然没有解决问题,无奈之下只好打开第三个锦囊,曰:速率双工,助你成功。自动协商,往来无妨。
姜维见张飞遇到难题,前来助阵。受丞相锦囊妙计的点拨,很快就找到故障问题的定位思路。“飞飞,我们还是先一步步排查吧,先问你个问题,如何查看接口是否处于Up状态?”
“这有何难,在当前接口视图下执行命令display this interface就可以查看接口状态了。”
“飞飞只知其一,不知其二,待我详细告知。先看下display this interface回显信息:
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] display this interface
GigabitEthernet 1/0/1 current state : UP
Line protocol current state : UP
……
回显信息中的current state和Line protocol current state含义和区别如下:
1.current state表示接口的物理状态,和三层业务及协议没有关系。
2.Line protocol current state表示该接口的协议状态,与协议有关。
对于二层物理接口,一般物理状态current state为Up,协议状态Line protocol current state就会是Up的。例如,二层物理接口连线正确,并且接口属性配置正常后,物理状态current state和协议状态Line protocol current state都是处于Up状态。
对于三层物理接口,只有物理状态current state为Up,并且协议协商也成功后,协议状态Line protocol current state才会是Up的。例如,三层物理接口连线正确,并且接口属性配置正常后,如果没有配置IP地址,则物理状态current state为Up,但协议状态Line protocol current state处于Down状态。
当我们设备连线后,在没有配置接口IP地址等操作之前,需要保证接口物理状态即current state是Up即可。”
“这个我都知道了,关键是我想知道接口物理状态为啥处于Down了。”
“这就要引出我们的重点啦—只有链路两端接口双工模式和速率都保持一致,接口物理状态才可以Up。如何保持一致呢?自协商机制或者非自协商机制(强制配置机制)都可以实现。”
双工模式
双工模式分为全双工和半双工。全双工是指接口在发送数据的同时也能够接收数据,两者同步进行;而半双工是指一个时间段内只有一个动作发生,即接口某一时间段只接收报文或只发送报文。举一个全双工的例子,一条东西走向的宽阔马路,可允许两辆马车迎面通过。当甲辆马车自东向西行驶,乙辆马车自西向东行驶时,两车可以同时行进,互不影响。这个例子中宽阔的马路代表的就是全双工链路,甲、乙两辆马车分别代表的就是发送方向报文和接收方向报文。再举一个半双工例子,一根独木桥,同时只能允许一个人通过,当有甲、乙两人从河岸两端迎面走过来时,这种情况下就只能是一个人在桥头先停下来,等待另外一个人走过来后,再继续走过去。这个例子中独木桥代表的就是半双工链路,甲、乙两人代表的就是发送方向报文和接收方向报文。全双工相对于半双工的好处在于迟延小,速度快。当数据流量较大时,工作在半双工模式的链路就会出现冲突、错包,最终影响了工作性能。因此半双工已经逐步退出历史舞台啦。
接口速率
接口速率决定了接口传输数据的带宽,一般接口有百兆(100Mbit/s)、千兆(1000 Mbit/s) 、万兆(10000Mbit/s)等速率类型。不同速率的接口也是可以对接成功的,其工作速率最终是需要保持一致的。例如,千兆(1000 Mbit/s)接口和百兆(100Mbit/s)接口对接,工作速率肯定是双方均支持的速率,一般会是工作在100Mbit/s。这个例子也可以看出,接口速率不一定就是其工作速率哦,一般工作速率会小于或等于接口速率。
接口自协商
自协商功能就是给互连设备提供一种交换信息的方式,使物理链路两端的设备通过交互信息自动选择同样的工作参数(包括双工模式和速率),以使其自动配置传输能力,达到双方能够都能支持的最大值。
链路两端的协商模式必须保持一致。如果链路两端的协商模式不一致,例如本端配置为非自协商模式,对端配置为自协商模式,则本端接口可能为Up或Down状态,但对端一定为Down状态。链路之间仍无法正常通信。
“这个接口当前工作速率、双工模式、自协商模式信息,我怎么查看呢?”
“还是在链路两端接口均执行命令display this interface,查看接口的双工模式、速率、协商模式信息,并根据回显中相关信息字段来进行故障定位。具体的字段信息如下表所示。
回显信息字段
显示信息解释说明
后续操作
Negotiation
接口自协商状态。
o 显示信息是“ENABLE”表示接口工作在自协商状态。
o 显示信息是“DISABLE”表示接口工作在非自协商状态即强制模式。
保持链路两端接口的协商模式一致,要么都工作在自协商模式下,要么都工作在非自协商模式下。
在接口视图下可以使用negotiation auto命令调整接口的自协商模式。如果自协商模式下接口仍然Down,可以尝试将两端接口均修改为非自协商模式,并强制两边速率、双工模式保持一致。
Speed
接口当前工作速率。
在非自协商模式下如果设备两端接口速率不一致,请在接口视图下执行speed命令调整接口速率保持一致。
Duplex
接口双工模式。
在非自协商模式下如果设备两端接口双工模式不一致,请在接口视图下执行duplex命令调整接口双工模式保持一致。
故障排查小窍门:保持链路两端接口工作在自协商模式,物理状态处于Down时,可以先在链路两端接口视图下依次执行命令shutdown和undo shutdown;也可以执行命令restart,重启接口,目的是接口重新进行一次自协商。如果接口仍然物理状态处于Down,则在链路两端接口视图执行命令undo negotiation auto,配置以太网接口工作在非自协商模式,并强制指定速率和双工模式,使其保持一致。
飞飞,按照丞相妙计,你的端口故障问题自然迎刃而解了。”
“铛铛铛,问题解决了,接口全部都UP了,搞定收工。”
“飞飞莫急,我还有补充:如果自协商的接口速率与实际现网要求不符,可通过手动配置接口速率来控制协商的结果。下面就根据我军营帐组网图给你解释下:
中军大营、士兵大营、辎重大营上行接入交换机Switch的接口速率均为1000Mbit/s,交换机Switch与外部网络相连接口GE1/0/4的速率也为1000Mbit/s。如果在Switch上不指定自协商速率,则接口GE1/0/1、GE1/0/2和GE1/0/3和各自连接的营帐接口速率协商的结果将都为1000Mbit/s,当我军三个大营同时以1000Mbit/s速率对外发送数据时,就可能会造成出接口GE1/0/4拥塞。
“所有接口都是自协商的情况下,最终速率都是接口支持的最大速率,三个入接口都是1000Mbit/s,一个出接口只有1000Mbit/s,(1000 Mbit/s +1000 Mbit/s +1000 Mbit/s)>1000 Mbit/s,出接口数据报文肯定会拥塞了,那拥塞问题咋解决呢?”
“很简单,在自协商模式下,我们也可以控制最终协商的速率。将GE1/0/1、GE1/0/2和GE1/0/3三个接口的自协商最大速率控制在100Mbit/s以内,则虽然中军大营、士兵大营、辎重大营接口速率均为1000bit/s,但根据自协商结果是链路两端均支持的最大速率这一原则,最终接口协商后的速率也只是100Mbit/s,(100 Mbit/s +100Mbit/s +100Mbit/s)<1000 Mbit/s,拥塞问题就解决了。
配置步骤如下:
<Huawei> system-view
[Huawei] sysname Switch
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] negotiation auto
[Switch-GigabitEthernet1/0/1] auto speed 100 //端口GE0/0/1自协商最大速率为100Mbit/s
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] negotiation auto
[Switch-GigabitEthernet1/0/2] auto speed 100 //端口GE0/0/2自协商最大速率为100Mbit/s
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] negotiation auto
[Switch-GigabitEthernet1/0/3] auto speed 100//端口GE0/0/3自协商最大速率为100Mbit/s
[Switch-GigabitEthernet1/0/3] quit
【交换机在江湖】第十二章 VLAN基础篇
相信各位大侠对于VLAN技术的掌握可能已经炉火纯青,但是小编还是要友情提醒下,不管技术如何高超,时不时的还需要补充下基本功滴(知其然知其所以然)!当然对于初入江湖的小伙伴们来说,这是必修课喔(只有打牢基础,对于VLAN的应用才能得心应手)~~
话不多说,让小编带您开始一段愉悦的VLAN基本功之旅吧!期待。。。。。。
什么是VLAN呢?
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。
在1996年3月,IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构,统一了Frame-Tagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向,形成的802.1Q的标准在业界获得了广泛的推广。后来IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。
VLAN的数据帧和传统的以太网数据帧有什么区别呢?
IEEE 802.1Q是VLAN的正式标准,在传统的以太网数据帧基础上(源MAC地址字段和协议类型字段之间)增加4个字节的802.1Q Tag。
其中,数据帧中的VID(VLAN ID)字段用于标示该数据帧所属的VLAN,数据帧只能在所属VLAN内进行传输。
VLAN有哪些作用呢?
一张图看懂VLAN的作用:
由上图可以看出:通过划分不同的VLAN,VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。
这里:小编总结了下VLAN技术的优点,一起来看下吧:
1.限制广播域:广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
2.增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
3.提高网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
4.灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
VLAN数据帧在经过各接口时是如何处理的呢?
设备上都有哪些类型的接口呢?跟随小编一起看下吧!
Access接口:交换机上用来连接用户主机的接口,它只能连接接入链路(Access Link)。
Trunk接口:交换机上用来和其他交换机连接的接口,它只能连接干道链路(Trunk Link)。
除此之外,还有一种接口叫Hybrid接口,是交换机上既可以连接用户主机,又可以连接其他交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。
注:Hybrid接口和Trunk接口在接收数据时,处理方法是一样的。唯一不同之处在于:发送数据时,Hybrid接口可以允许多个VLAN的报文发送时不打标签,而Trunk接口只允许缺省VLAN的报文发送时不打标签。
接口类型不同,交换机对VLAN数据帧的处理过程也不同。具体处理方式如下:
1、Access接口
2、Trunk接口
3、Hybrid接口
为了帮助小伙伴们更好地理解报文的处理方式,还可以通过下面的表格来学习!!!
接口类型
接收不带Tag的报文
接收带Tag的报文
发送帧处理过程
Access接口
接收该报文,并打上缺省的VLAN ID。
对比VLAN ID与缺省VLAN ID
l 相同时,接收该报文。
l 不同时,丢弃该报文。
先剥离帧的PVID Tag,然后再发送。
Trunk接口
打上缺省的VLAN ID
l 当缺省VLAN ID在允许通过的VLAN ID列表里时,接收该报文。
l 当缺省VLAN ID不在允许通过的VLAN ID列表里时,丢弃该报文。
l 当VLAN ID在接口允许通过的VLAN ID列表里时,接收该报文。
l 当VLAN ID不在接口允许通过的VLAN ID列表里时,丢弃该报文。
l 当VLAN ID与缺省VLAN ID相同,且是该接口允许通过的VLAN ID时,去掉Tag,发送该报文。
l 当VLAN ID与缺省VLAN ID不同,且是该接口允许通过的VLAN ID时,保持原有Tag,发送该报文。
Hybrid接口
当VLAN ID是该接口允许通过的VLAN ID时,发送该报文。可以通过命令设置发送时是否携带Tag。
【交换机在江湖】第十三章 VLAN划分篇
江湖各位大侠重温了VLAN的基础知识,是否想过4094个VLAN可以怎样划分,哪种方式又是好用简单的?细心的小编特地整理了一番,给各位大侠把玩把玩。
VLAN划分的方式:
Ø 基于接口划分VLAN: 根据交换机接口分配VLAN ID。配置简单,可以用于各种场景。
Ø 基于MAC划分VLAN: 根据报文的源MAC地址分配VLAN ID。经常用在用户位置变化,不需要重新配置VLAN的场景。
Ø 基于子网划分VLAN: 根据报文的源IP地址分配VLAN ID。一般用于对同一网段的用户,进行统一管理的场景。
Ø 基于协议划分VLAN: 根据报文的协议类型分配VLAN ID。适用于对具有相同应用或服务的用户,进行统一管理的场景。
Ø 基于匹配策略划分VLAN:根据指定的策略(譬如匹配报文的源MAC、源IP和端口)分配VLAN ID。适用于对安全性要求比较高的场景。
几种划分VLAN的各种方式中,基于接口划分VLAN,是最常用最简单的方式,那么到底怎么配置,怎么使用呢?
在配置使用之前,先来和小编回顾一下端口常用的链路类型吧。
access:用于交换机和PC相连;
trunk:用于交换机和交换机相连;
hybrid:即可以用于交换机和PC相连,也可以用于交换机和交换机相连。使用hub链路交换机时,经常使用这种类型的。
好了,下面小编以实际组网为例,讲解一下基于接口划分VLAN的配置。
场景说明1: 一台交换机两个用户,怎么通过接口划分VLAN从而实现隔离呢(VLAN就是为了广播域隔离,各位大侠没有忘记吧)
Ø 先来看看同一网段的两台PC直接和交换机相连,不进行划分VLAN,是否可以ping通呢?
从上图可知,是可以ping通的,这是为什么呢?
因为缺省情况下,华为交换机的接口都默认加入VLAN 1,两台PC直接和交换机相连,只要属于同一个网段,就可以互通。
Ø 那么怎么通过VLAN实现隔离呢?只要把接口加入到不同的VLAN,就可以了。例如交换机GE0/0/1和GE0/0/2端口分别以access类型加入VLAN 10 和VLAN 20 。
Ø 此时,两台PC基于接口划分到不同VLAN中,互连不能ping通,实现了隔离。
场景说明2: 跨交换机,4个用户,怎么通过接口划分VLAN实现隔离和互通呢?
如下图:缺省情况下,4台PC属于同一网段,相互可以ping通。假设PC1和PC2属于同一部门,PC3和PC4属于同一部门。如何通过配置基于接口的VLAN,实现同一部门之间可以互访,不同部门之间不能互访呢?
Ø 同一个部门两个用户PC1 和 PC2划分到同一个VLAN100。交换机1的 GE0/0/1和交换机2的GE0/0/1端口分别以access类型加入VLAN100。
Ø 另外一个部门的两个用户PC3 和 PC4划分到另一个VLAN 200。
Ø 两台相连交换机的端口GE0/0/3,分别以trunk端口加入VLAN 100 和VLAN 200,实现跨交换机的通信。
Ø 这样,就可以实现到同一部门的用户PC1和PC3可以互通,不同部门的用户PC2 和 PC4 不能互通了。
OK,典型的应用场景就讲完了。各位大侠是否发现上面两个场景中,VLAN和端口数都比较少,而在现实组网中,经常需要配置多个VLAN,多个端口,有什么办法可以快速完成配置吗?下面小编再介绍一下批量配置和快速恢复端口VLAN缺省配置的方法。
1、批量创建VLAN
< Huawei > system-view
[Huawei]vlan batch 2 to 100
2、批量端口加入VLAN
[Huawei] port-group group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20
[Huawei-port-group]port link-type access
[Huawei-port-group]port default vlan 100
3、快速恢复端口VLAN缺省配置
想要快速恢复端口VLAN的缺省配置,必须要知道什么是缺省配置?华为交换机,缺省情况下所有端口都是只加入VLAN1的。
那么下面和小编一起看看3种链路类型下,怎么快速恢复缺省配置呢?
Ø access口: 一步搞定,命令是undo port default vlan
Ø trunk和hybrid口: 三步搞定,先恢复PVID的配置,再删除端口下所有vlan,然后再把缺省的VLAN1 加入。具体命令如下:
trunk
hybrid
undo port trunk pvid vlan
undo port trunk allow-pass vlan all
port trunk allow-pass vlan 1
undo port hybrid pvid vlan undo port hybrid vlan all port hybrid untagged vlan 1
附VLAN系列技术贴:
名称
简介
【交换机在江湖】VLAN基础篇
介绍VLAN的定义、由来和接口加入VLAN的方式。
【交换机在江湖】VLAN通信篇
介绍VLAN间通信的主要技术及适用场景,如VLANIF、子接口、Super VLAN等,以及最常用的VLANIF的配置。
【交换机在江湖】VLAN隔离篇
介绍VLAN隔离的主要技术及适用场景,如MUX VLAN、通过ACL限制VLAN间互访等,以及常用的通过ACL限制VLAN间互访的配置。
【交换机在江湖】第十四章 VLAN通信篇
前两期小编介绍了VLAN的基础知识以及如何划分VLAN,之后不断有读者询问: VLAN划分后,同一VLAN用户可以二层互通,不同VLAN用户则二层隔离,可有些场合不同VLAN用户又想互通,肿么办呢?
请大家先回忆一下:VLAN是广播域,而广播域之间来往的数据包一般由路由器中继的。因此,VLAN间的通信通常要用到路由功能,这被称作“VLAN间路由”。VLAN间路由,可以使用普通的路由器,也可以使用三层交换机。有了这个初步认识,接下来小编就开始介绍使用三层交换机进行VLAN间通信的主要场景和技术。
VLAN间通信场景一:不同VLAN不同网段用户间的通信,用户通过三层交换机互联
使用技术:VLANIF
基本原理:前面提到,要实现VLAN间互通,就要建立VLAN间路由,此场景用户直连在三层交换机上,只需直连路由即可。而VLANIF接口是一个三层的逻辑接口,在其上配置IP地址为用户的网关地址后,它就在三层交换机上生成直连路由,同时,可作为用户的网关。这样,发往各VLAN网段的报文,就可在路由表中分别找到其出接口---VLANIF接口,从而实现三层转发。
江湖小贴士:VLANIF只生成直连路由,只能使得相邻设备互通。现网中用户间可能会跨多台三层交换机(如三层网络),此时,除配置VLANIF外,还要借助静态路由或路由协议才能实现互通。
VLAN间通信场景二:不同VLAN不同网段用户间的通信,用户通过二层交换机互联,仅通过一台三层交换机实现VLAN间通信
使用技术:子接口(又称单臂路由)
基本原理:跟VLANIF一样,子接口也是三层逻辑接口。在子接口上配置IP地址为用户的网关地址后,在三层交换机上同样形成直连路由,VLAN内的用户同样将网关指向对应的子接口(如图中VLAN2内用户的网关为Port1.1,VLAN3内用户的网关为Port2.1),进而实现三层通信。
江湖小贴士:通过子接口实现三层互通,虽然可减少物理接口占有量,不过由于发送的流量会争用物理主接口的带宽,网络繁忙时,会导致通信瓶颈哟。
VLAN间通信场景三:不同VLAN相同网段用户间的通信
使用技术:Super VLAN(又称VLAN聚合)
如下图所示,因IP地址有限,不同VLAN用户共用一网段,但又需要互通以及访问外网。
基本原理:通过定义Super-VLAN和Sub-VLAN, Super-VLAN只用来建立三层VLANIF接口,与网关对应,不包含物理接口;Sub-VLAN只包含物理接口,不建立三层VLANIF接口,用来隔离广播域,一个Super-VLAN可以包含一个或多个Sub-VLAN。
我们可以这样看,每一个普通VLAN都有一个三层逻辑接口和若干物理接口。而Super VLAN把这两部分剥离开来:Sub-VLAN只映射物理接口,负责保留各自独立的广播域;而Super-VLAN负责实现所有Sub-VLAN共享同一个三层接口的需求,使不同Sub-VLAN内的主机可以共用同一个网关;然后再通过建立Super-VLAN和Sub-VLAN间的映射关系,把三层逻辑接口和物理接口这两部分有机的结合起来,从而在实现普通VLAN功能的同时,达到节省IP地址的目的。
江湖小贴士:Sub-VLAN内主机与外网间的通信,跟使用VLANIF通信原理类似,只不过多了一步查找Sub-VLAN与Super-VLAN的映射关系;但Sub-VLAN间的通信,需要借助Proxy-ARP才能实现,这是为什么呢?这是因为Sub-VLAN内的主机同属一个网关,彼此通信时只会做二层转发,而不会通过网关进行三层转发,但不同Sub-VLAN的主机在二层是相互隔离的,这就造成了Sub-VLAN间无法通信,需要借助Proxy-ARP才能实现。
上述组网中,VLAN间用户均是通过三层交换机实现三层互通,三层互通需要查找路由表,转发效率较低。而二层转发效率高,那VLAN间能否实现二层互通呢?
答案是可以的哦,那就是通过VLAN Switch或VLAN Mapping实现。
VLAN间通信场景四:不同VLAN用户跨一台或多台交换机互联
使用技术:VLAN Switch
基本原理: 预先在各交换节点(如图中的Switch)上建立一条静态转发路径(即VLAN Switch表,指定VLAN转换关系和出接口)。这样,Switch根据VLAN Switch表将Port2上收到报文中的VLAN2转换为VLAN3,并从Port3发出;将Port3上收到报文的VLAN3将转换为VLAN2,并从Port2发出,从而实现VLAN2和VLAN3间的二层互通。
江湖小贴士:VLAN Switch转发查的是VLAN Switch表,而不是MAC表,这就使得VLAN Switch转发效率较高。但VLAN Switch是否就因此而可大量应用呢?否,因为VLAN Switch需要在途经的每个交换节点都要为每个VLAN用户配置静态转发路径,这就限制了其使用范围,当有大量VLAN用户接入,或用户跨运营商网络时就不再适用。
VLAN间通信场景五:不同VLAN用户跨运营商网络互联
使用技术:VLAN Mapping
基本原理:预先在需要VLAN转换的两端设备(如图中SwitchA和SwitchB)配置VLAN映射关系,但不需像VLAN Switch那样指定出接口。配置后,SwitchA接收到VLAN10~50报文后,根据VLAN映射表将报文中的VLAN转换为VLAN100,根据MAC表查到VLAN100对应出接口Port2,VLAN100报文穿越运营商网络到达SwitchB的Port2接口时,找到其出接口Port1,在从出接口发出前,将VLAN100转换为VLAN60~90,进而可通过分支2的接入交换机二层转发到目的主机。因为只需在VLAN转换的两端设备配置,运营商网络无需改变其配置,大大简化了配置。
江湖小贴士:VLAN Mapping虽然大大简化配置,但VLAN Mapping需要通过查MAC表转发,转发效率上较VLAN Switch低些,并且易引入广播风暴以及收到MAC攻击。
接下来就跟大家讲解如何配置,由于篇幅限制,小编仅选一种常用的技术—VLANIF来讲解。
配置案例一:如下图所示,PC1和PC2分属研发部和质量部,两部门通过一台三层交换机互联,两部门有业务往来,需要二层隔离,三层通信。
配置思路
此场景配置简单,只需将连接PC的接口加入VLAN,然后创建VLANIF,并配置IP地址为对应用户的网关即可。
操作步骤
l Switch上的配置如下:
#
sysname Switch
#
vlan batch 10 20
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0 //此IP地址为PC1对应网关地址
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0 //此IP地址为PC2对应网关地址
#
interface GigabitEthernet0/0/1 //将PC1划分到VLAN10中
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2 //将PC2划分到VLAN20中
port link-type access
port default vlan 20
配置完成后,我们使用命令display ip routing-table查看设备上的路由:
可以看到,路由表中有了到达VLAN10、VLAN20网段的直连路由。下面我们就验证一下,PC1、PC2是否可以互相Ping通。
在验证之前,先设置PC1的IP地址为10.1.1.2 ,网关为10.1.1.1/24;设置PC2的IP地址为10.1.2.2 ,网关为10.1.2.1/24,然后互Ping,结果如下:
可以看到,互Ping成功,表明配置成功。
典型案例二:如下图所示,为安全及便于管理,企业为服务器专门划分VLAN,用户属于VLAN10,服务器属于VLAN20,用户与服务器间跨接入、汇聚和核心交换机,其中,接入是二层交换机,汇聚、核心是三层交换机。由于业务需要,用户与服务器间需要互通。
配置思路:
此场景用户与服务器间跨越多台二层、三层交换机,可以配置VLANIF,将汇聚交换机AGG作为用户PC的网关,核心交换机作为服务器Server的网关。但VLANIF只生成直连路由,只能使得相邻设备互通,要使User与服务器互通,还需要配置从AGG到VLAN20网段以及从CORE到VLAN10网段的路由,可以使用静态路由,也可以使用动态路由,本示例采用静态路由。
操作步骤
1. 配置ACC、AGG、CORE的各接口,并将接口加入VLAN,使VLAN10的用户报文透传到AGG,VLAN20的Server报文透传到CORE
l ACC1的配置如下:
#
sysname ACC1
#
vlan batch 10
#
interface GigabitEthernet0/0/1 //将User划分到VLAN10中
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2 //透传VLAN10到AGG
port link-type trunk
port trunk allow-pass vlan 10
ACC2与此类似,只不过接口加入、透传的VLAN是VLAN20。
l AGG的配置如下:
#
sysname AGG
#
vlan batch 10 30
#
interface GigabitEthernet0/0/1 //透传VLAN10,以转发User报文
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/2 //透传互联VLAN30,以转发互联报文
port link-type trunk
port trunk allow-pass vlan 30
l CORE的配置如下:
#
sysname CORE
#
vlan batch 20 30
#
interface GigabitEthernet0/0/1 //透传VLAN20,以转发Server报文
port link-type trunk
port trunk allow-pass vlan 20
#
interface GigabitEthernet0/0/2 //透传VLAN30,以转发互联报文
port link-type trunk
port trunk allow-pass vlan 30
2. 在AGG上配置VLANIF10和IP地址,作为用户的网关;在CORE上配置VLANIF20,作为Server的网关,同时配置互联VLANIF30,使AGG与CORE互通
l AGG的配置如下:
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0 //此IP地址为User对应网关地址
#
interface Vlanif30
ip address 10.10.30.1 255.255.255.0 //互联IP地址,不能与User、Server的IP网段冲突
l CORE的配置如下:
#
interface Vlanif20
ip address 192.168.1.1 255.255.255.0 //此IP地址为Server对应网关地址
#
interface Vlanif30
ip address 10.10.30.2 255.255.255.0 //互联IP地址,不能与User、Server的IP网段冲突
配置至此,我们验证一下User是否能Ping通Server:
可以看到,User此时Ping不通Server,这是因为AGG上没有到达Server网段192.168.1.0/24的路由:
3. 在AGG、CORE上配置静态路由
l AGG的配置如下:
#
ip route-static 192.168.1.0 255.255.255.0 10.10.30.2
l CORE的配置如下:
#
ip route-static 10.1.1.0 255.255.255.0 10.10.30.1
江湖小贴士:对于VLANIF、Eth-Trunk这样的逻辑接口,静态路由必须采用下一跳,而不能是出接口,因为这些逻辑接口会有多个成员口,会出现多个下一跳,无法唯一确定下一跳。
配置完成后,我们再来用User Ping Server,结果如下:
可以看到,User可以Ping通Server,配置成功。
本期的VLAN通信,小编就介绍到这里。诸位如要了解其他VLAN间通信的配置方法,请点击典型配置案例集-基础特性典型配置-VLAN典型配置获取。
附VLAN系列技术贴......
期数
名称
简介
第一期
【交换机在江湖】VLAN基础篇
介绍VLAN的定义、由来和接口加入VLAN的方式。
第二期
【交换机在江湖】VLAN划分篇
介绍划分VLAN的各种方式和应用场景,重点介绍最常用的基于接口划分VLAN的配置和场景。
第三期(本期)
【交换机在江湖】VLAN通信篇
介绍VLAN间通信的主要技术及适用场景,如VLANIF、子接口、Super VLAN等,以及最常用的VLANIF的配置。
第四期
【交换机在江湖】VLAN隔离篇
介绍VLAN隔离的主要技术及适用场景,如MUX VLAN、通过ACL限制VLAN间互访等,以及常用的通过ACL限制VLAN间互访的配置。
122、交换机基本配置命令相关推荐
- 三层交换机如何封装trunk_锐捷交换机常用配置命令汇总
前面我们给大家汇总了华为.华三交换机的配置命令,都是非常适合小项目的,当然碰到大型的网络工程,还是需要厂家的专业人才来做.今天再给大家分享一下锐捷交换机的配置命令,这样国内三大家就全部都有了,学习一些 ...
- 华为交换机linux版本号,Cisco和华为交换机常用配置命令总结
Cisco和华为交换机常用配置命令总结 一.调试命令 思科: Switch#show run 显示所有配置命令 Switch#show ip inter brief 显示所有接口状态 Sw ...
- 锐捷交换机配置命令大全_锐捷交换机常用配置命令汇总
给大家分享一下锐捷交换机的配置命令学习一些基础网络知识还是不错的,尤其在视频监控系统中应用一下,还是可以的. 一.连接及远程登录 用一台计算机作为控制台和网络设备相连接,通过计算机对网络设备进行配置. ...
- 华为交换机基本配置命令
华为交换机基本配置命令 一.单交换机VLAN划分 命令 命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan ...
- 华为路由器交换机eNSP配置命令
华为交换机基础配置命令参考 交换机可以隔离冲突域,路由器可以隔离广播域,这两种设备在企业网络中应用越来越广泛.随着越来越多的终端接入到网络中,网络设备的负担也越来越重,这时网络设备可以通过华为专有的V ...
- 非常实用,华为、新华三、锐捷交换机的配置命令分享
干弱电这一行难免会接触到交换机,华为.新华三锐捷交换机又是最常见的交换机,关于他们的命令配置很容易弄混,而且在实际项目配置中也很容易出错,因此,本期我们将来介绍这三家交换机的基础配置命令,大家可以分别 ...
- 思科、华为、H3C、锐捷等四大厂商的交换机基础配置命令全收录
其实对网工来说,懂得交换机是啥,真的远远不够.NAT等等各大网络公司对网络工程师的必备要求就是:会配置主要型号的交换机和路由器,不熟悉的设备能够独立查资料配置. 然而,在学习这件事上,是没有捷径的.想 ...
- Huawei华为交换机基本配置命令
Huawei华为交换机基本配置命令 恢复出厂设置----------------注意Y和N的选项,不要输错. <S1>reset saved-configuration Warning: ...
- 锐捷交换机基本配置命令
锐捷交换机基本配置命令 锐捷交换机,忘记colsole口的en密码,重启交换机,立即按ctrl+c,进入bootloader 菜单,再按ctrl+q,然后输入命令:main_config_passwo ...
- 华为aaa服务器是什么系统,华为交换机aaa配置命令是什么
交换机具有性能价格比高.高度灵活.相对简单.易于实现等特点.所以,以太网技术已成为当今最重要的一种局域网组网技术,网络交换机也就成为了最普及的交换机.下面是学识网小编给大家整理的一些有关华为交换机aa ...
最新文章
- MyEclipse教程:Web开发——创建Web片段项目
- 第一百二十九天 how can I坚持
- ZOJ4024 Peak
- C++:fseek( FILE *stream, long offset, int origin )
- bzoj1334 [Baltic2008]Elect
- 深度学习自学(三十七):基于用户自定义要求3D房间自动设计研究
- Hadoop生态基础学习总结
- 开源BI工具对比(三) DataEase
- 程序员应知必会的思维模型之 13 侯世达定律 (Hofstadter‘s Law)
- 软考基础知识—操作系统
- 怎么查看电脑的电池损耗情况?
- 强网杯2019(高明的黑客强网先锋上单)
- 为什么U盘中的文件夹和文件全部变成了快捷方式?
- fadeIn fadeOut
- 【jquery Ajax 练习】图书管理
- pocsuite渗透神器介绍
- cifar10数据集训练
- 什么是MySql触发器?作用是什么?
- 计算钱币(编写程序,读取用户输入的代表总金额的double值,打印表示该金额所需的最少纸币张数和硬币个数,打印从最大金额开始。纸币的种类有十元、五元、一元,硬币的种类有五角、一角、贰分、壹分。)
- Nginx——nginx作为静态资源web服务(配置语法)