华为交换机vlan配置

1、基于接口划分VLAN(静态配置链路类型)

  1. 按端口划分vlan

Vlan是二层协议,仅可把二层以太网端口(物理以太网端口和eth-trunk链路口)划分到vlan中,划为交换机以太网端口虽然可以转换为三层模式(undo portswitch),但仍不能直接配置IP地址。

二层以太网端口类型

1、Access端口:

用来连接用户主机;仅允许一个vlan的帧通过(仅允许加入一个vlan);发送的以太网帧永远是不带标签(untagged)的。

2、trunk端口:

与其他交换机二层以太网口相连;允许多个vlan的帧通过;发送的帧都是带标签tagged的,除了发送vlanID与

PVID(port default vlanID 端口缺省vlanID)一致的vlan帧。

3、Hybrid端口:

access端口和trunk端口的混合体,具有access端口和trunk端口特性。

4、 QinQ端口:

二层隧道协议,核心思想是将用户私网vlan封装在公网vlan标签中,这样报文带着两层vlan标签(一个公网vlan标签,一个私网vlan标签)穿越网络运营商的骨干网络,为用户提供一种较为简单的二层VPN隧道。

交换机内部数据传输都是带vlan标签的(前提是交换机支持vlan);默认情况下二层以太网端口是hybrid类型,以不带vlan标签方式加入vlan1。

为什么要配置缺省vlan:以太网帧在交换机内部都是以tagged形式处理转发的,因此交换机必须给端口收到的untagged帧加上vlan标签。

具体配置:

1、设置端口链路类型

[Huawei-GigabitEthernet0/0/2]port link-type ?

access        Access port

dot1q-tunnel  QinQ port

hybrid        Hybrid port

trunk         Trunk port

2、设置端口加入vlan

2.1 access端口加入vlan

[Huawei-GigabitEthernet0/0/2]port default vlan ?

INTEGER<1-4094>  VLAN ID

2.2  trunk端口加入vlan

[Huawei-GigabitEthernet0/0/2]port trunk pvid vlan ? #缺省vlan

INTEGER<1-4094>  VLAN ID

------------------

[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan ? #允许通过的vlan

INTEGER<1-4094>  VLAN ID

all              All

2.3hybrid端口加入vlan

[Huawei-GigabitEthernet0/0/5]port hybrid pvid vlan ?#缺省vlan

INTEGER<1-4094>  VLAN ID

----------

[Huawei-GigabitEthernet0/0/7]port hybrid untagged vlan ?#不带标签端口允许通过的vlan

INTEGER<1-4094>  VLAN ID

all              All

---------------

[Huawei-GigabitEthernet0/0/7]port hybrid untagged vlan ?#带标签端口允许通过的vlan

INTEGER<1-4094>  VLAN ID

all              All

2.4dot1q-tunne的外层标签

[Huawei-GigabitEthernet0/0/5]port default vlan

2、基于接口划分VLAN(LNP动态协商链路类型)

当前,交换机支持的以太网接口的链路类型有:Access、Hybrid、Trunk和Dot1q-tunnel。这四种链路类型分别用于不同的网络位置,均由手工配置指定。

如果网络拓扑变更,以太网接口的链路类型也需要重新配置,配置较为繁琐。

为了简化用户配置,可通过LNP配置以太网接口的链路类型自协商功能,自动协商出接口的链路类型为access或者trunk,并加入相应VLAN

具体配置

操作步骤

1、system-view

进入系统视图。

2、undo lnp disable

全局使能链路类型自协商功能。缺省情况下,全局LNP处于使能状态,此时所有接口的链路类型自协商功能处于使能状态。

3、interface interface-type interface-number

进入需要使能链路类型自协商功能的以太网接口视图。

4、undo port negotiation disable

基于二层以太网接口使能链路类型自协商功能。缺省情况下,设备上所有接口的链路类型自协商功能处于使能状态。

执行该配置时需保证接口是二层接口,如果不是,可通过命令portswitch,设置接口为二层接口。

当支持链路类型自协商功能的设备和不支持链路类型自协商功能的设备互通时,支持链路类型自协商功能的设备会不断发送自协商报文,导致带宽浪费。此时,可通过在对应的二层以太网接口视图下执行命令port negotiation disable去使能链路类型自协商功能。

为了保证链路类型自协商功能生效,必须保证全局下和接口视图下的链路类型自协商功能都处于使能状态。

5、port link-type { negotiation-desirable | negotiation-auto }

设置二层以太网接口的链路类型的自协商方式。缺省情况下,二层以太网接口的链路类型的自协商方式是negotiation-desirable。

配置为negotiation-desirable或negotiation-auto的接口有以下约束:

不支持创建子接口

不支持使能MUX VLAN

不支持作为VLAN-Switch的源端口或目的端口

不支持配置自动模式Voice VLAN

6、port trunk allow-pass only-vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | none }

配置通过LNP协议自协商为trunk后只允许通过的VLAN。缺省情况下,协商为trunk类型的接口允许所有VLAN通过。

由于协商为Trunk类型的接口缺省会加入所有VLAN,因此需要配置环网协议来破除环路。

可通过执行命令port trunk pvid vlan vlan-id来配置接口的PVID。

当接口允许通过大量VLAN时,不要频繁创建、删除VLAN,否则会导致CPU偏高。

(当协商为Access类型时)执行命令port default vlan vlan-id,配置通过LNP协议自协商为access后加入的VLAN。

缺省情况下,协商为access类型的接口加入VLAN1。

3、基于MAC地址划分VLAN

基于MAC地址划分的VLAN只处理untagged报文,对于tagged报文处理方式和基于接口的VLAN一样。当接口收到的报文为untagged报文时,接口会以报文的源MAC地址为根据去匹配MAC-VLAN表项。如果匹配成功,则按照匹配到的VLAN ID和优先级进行转发。如果匹配失败,则按其它匹配原则进行匹配。

交换机整机支持1024个MAC-VLAN。MAC-VLAN总数 = 配置的MAC-VLAN数 * 下发接口数。

具体配置

1、创建vlan(与MAC关联的vlan)

[Huawei]vlan 10

2、配置vlan-MAC映射表

[Huawei-vlan10]mac-vlan mac-address 5489-9841-0BA6

3、配置端口以hybrid模式(只能是hybrid模式)不带标签的方式加入指定vlan中

[Huawei-Ethernet0/0/1]port link-type hybrid

[Huawei-Ethernet0/0/1]port hybrid untagged vlan 10

4指定优先基于MAC地址划分vlan(可选-默认策略>MAC=子网>协议>端口)

[Huawei-Ethernet0/0/1]vlan precedence mac-vlan

5、使能MAC地址划分vlan功能(通常在网络设备之间连接的hybrid端口上配置)

[Huawei-GigabitEthernet0/0/1]mac-vlan enable

MAC-VLAN与MUX-VLAN冲突,不允许在同一接口配置。不能在同一接口上配置MAC-VLAN和MAC认证功能。带掩码的MAC-VLAN对接收到的VLAN ID为0的报文不生效。

4、基于子网划分VLAN

基于子网划分VLAN和基于协议划分VLAN统称为基于网络层划分VLAN,可减少手工配置VLAN的工作量,也可保证用户自由地增加、移动和修改。

基于子网划分VLAN适用于对安全需求不高,对移动性和简易管理需求较高的场景中。

基于IP子网的VLAN只处理untagged报文,对于tagged报文处理方式和基于接口的VLAN一样。

当设备接口接收到untagged报文时,设备根据报文的源IP地址或指定网段来确定报文所属的VLAN,然后将报文自动划分到指定VLAN中传输。

具体配置

1、创建vlan(与IP关联的vlan)

[Huawei]vlan 11

2、配置vlan-IP映射表和vlan-IP 对应vlan 802.1P优先级 。

[Huawei-vlan11]ip-subnet-vlan ip 192.168.1.1 28 priority 7

3、配置端口以hybrid模式(只能是hybrid模式)不带标签的方式加入指定vlan中

[Huawei-Ethernet0/0/3]port link-type hybrid

[Huawei-Ethernet0/0/3]port hybrid untagged vlan 11

4、指定优先基于IP地址划分vlan(可选-默认策略>MAC=子网>协议>端口)

[Huawei-Ethernet0/0/11]vlan precedence ip-subnet-vlan

5、使能IP地址划分vlan功能(通常在网络设备之间连接的hybrid端口上配置)

[Huawei-GigabitEthernet0/0/2]ip-subnet-vlan enable

5、基于策略划分VLAN

基于策略划分VLAN也可称为Policy VLAN,可实现用户终端的即插即用功能,同时可为终端用户提供安全的数据隔离。

基于策略划分VLAN分为:

基于MAC地址+IP地址组合策略

基于MAC地址+IP地址+接口组合策略。

基于策略的VLAN只处理untagged报文,对于tagged报文处理方式和基于接口的VLAN一样。

当设备接口接收到untagged报文时,设备根据用户报文中的MAC地址和IP地址与配置的MAC地址和IP地址组合策略来确定报文所属的VLAN,然后将报文自动划分到指定VLAN中传输。

具体配置步骤

1、创建vlan

[Huawei]vlan 10

2、创建策略与vlan映射

[Huawei-vlan10]policy-vlan mac-address 11-22-33 ip 192.168.1.1 priority 6

[Huawei-vlan10]policy-vlan mac-address 11-22-44 ip 192.168.10.1 interface Ethernet 0/0/5 priority 6

# 此命令需要先把要指定的端口加入相应的vlan中

3、配置端口为混合端口并允许不带标签vlan通过

[Huawei-GigabitEthernet0/0/1]port hybrid untagged vlan 10 to 20

6、基于协议划分vlan

划分思想是把用户计算机上运行的协议与vlan进行关联;基于协议划分的vlan只处理不带标签的数据帧,只能在混合端口上进行配置。

配置步骤

1、创建vlan

[Huawei]vlan 100

2、关联vlan与协议

[Huawei-vlan100]protocol-vlan ?

INTEGER<0-15>  Protocol index

at             AT(AppleTalk Protocol) configuration information

ipv4           IPv4 configuration information

ipv6           IPv6 configuration information

ipx            IPX(Internetwork Packet eXchange) configuration information

mode           Other protocol mode configuration information

3设置端口类型并加入vlan(只能是hybrid类型不带标签)

[Huawei-Ethernet0/0/5]port link-type hybrid

[Huawei-Ethernet0/0/5]port hybrid untagged vlan 100

4、配置协议vlan与协议(号)关联(通常在网络设备之间连接的hybrid端口上配置)

[Huawei-GigabitEthernet0/0/2]protocol-vlan vlan 100 0

#协议号是根据协议与vlan关联的先后顺序自动产生的,如(同一接口下)先关联IPV4协议则产生协议0,再关联IPV6 则产生协议号1.

点赞