华为三层交换机原理
1.二层转发流程
1.1. MAC地址介绍
MAC 地址是48 bit 二进制的地址,如:00-e0-fc-00-00-06。
可以分为单播地址、多播地址和广播地址。
单播地址:第一字节最低位为0,如:00-e0-fc-00-00-06
多播地址:第一字节最低位为1,如:01-e0-fc-00-00-06
广播地址:48 位全1,如:ff-ff-ff-ff-ff-ff
注意:
1)普通设备网卡或者路由器设备路由接口的MAC 地址一定是单播的MAC 地址才能保证其与其它设备的互通。
2)MAC 地址是一个以太网络设备在网络上运行的基础,也是链路层功能实现的立足点。
1.2. 二层转发介绍
交换机二层的转发特性,符合802.1D 网桥协议标准。
交换机的二层转发涉及到两个关键的线程:地址学习线程和报文转发线程。
学习线程如下:
华为认证技术文章
2
1)交换机接收网段上的所有数据帧,利用接收数据帧中的源MAC 地址来建立MAC 地址表;
2)端口移动机制:交换机如果发现一个报文的入端口和报文中源MAC地址的所在端口不同,就产生端口移动,将MAC 地址重新学习到新的端口;
3)地址老化机制:如果交换机在很长一段时间之内没有收到某台主机发出的报文,在该主机对应的MAC 地址就会被删除,等下次报文来的时候会重新学习。
注意:老化也是根据源MAC 地址进行老化。
报文转发线程:
1)交换机在MAC 地址表中查找数据帧中的目的MAC 地址,如果找到,就将该数据帧发送到相应的端口,如果找不到,就向所有的端口发送;
2)如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同,则丢弃该报文;
3)交换机向入端口以外的其它所有端口转发广播报文。
2.
1.3. VLAN二层转发介绍
报文转发线程:
引入了VLAN 以后对二层交换机的报文转发线程产生了如下的影响:
1)交换机在MAC 地址表中查找数据帧中的目的MAC 地址,如果找到(同时还要确保报文的入VLAN 和出VLAN 是一致的),就将该数据帧发送到相应的端口,如果找不到,就向(VLAN 内)所有的端口发送;
2)如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同,则丢弃该报文;
3)交换机向(VLAN 内)入端口以外的其它所有端口转发广播报文。
以太网交换机上通过引入VLAN,带来了如下的好处:
1)限制了局部的网络流量,在一定程度上可以提高整个网络的处理能力。
2)虚拟的工作组,通过灵活的VLAN 设置,把不同的用户划分到工作
华为认证技术文章
3
组内;
3)安全性,一个VLAN 内的用户和其它VLAN 内的用户不能互访,
提高了安全性。
另外,还有常见的两个概念VLAN 的终结和透传,从字面意思上就可以很好的了解这两个概念。所谓VLAN 的透传就是某个VLAN 不仅在一台交换机上有效,它还要通过某种方法延伸到别的以太网交换机上,在别的设备上照样有效;终结的意思及相对,某个VLAN 的有效域不能再延伸到别的设备,或者不能通过某条链路延伸到别的设备。VLAN 透传可以使用802.1Q 技术,VLAN 终结可以使用PVLAN 技术。
IEEE802.1Q 协议是VLAN 的技术标准,主要是修改了标准的帧头,添加了一个tag 字段,其中包含了VLAN ID 等VLAN 信息,具体实现这里不谈,如果有兴趣可以看相关的标准和资料。
注意:在Trunk 端口转发报文的时候,如果报文的VLAN Tag 等于端口上配置的默认VLAN ID,则该报文的Tag 应该去掉,对端收到这个不带Tag 信息的报文后,从端口的PVID 获得报文的所属VLAN 信息,因此配置的时候必须保证连接两台交换机之间的一条Trunk 链路两端的PVID 设置相同。
为什么要去Tag 呢?
这样做是为了保证一般的用户插到Trunk 上以后,仍旧可以正常通信,因为普通用户无法识别带有802.1Q Vlan 信息的报文。
使用802.1Q 技术可以很好的实现VLAN 的透传,可是有的时候需要把VLAN 终结掉,也就是说这个VLAN 边界在哪里终止,PVLAN 技术可以很好的实现这个功能,同时达到节省VLAN 的目的。cisco 的PVLAN 意思是private vlan,而我们的PVLAN 意思是primary vlan。
这里的VLAN 有两类:Primary vlan 和secondary vlan(子VLAN)。
实现了接入用户二层报文的隔离,同时上层交换机下发的报文可以被每一个用户接收到,简化了配置,节省了VLAN 资源。具体实现这里不谈,如果有兴趣可以相关资料。
华为认证技术文章
4
下面谈谈三层交换流程。
用VLAN 分段,隔离了VLAN 间的通信,用支持VLAN 的路由器(三层设备)可以建立VLAN 间通信。但使用路由器来互联企业园区网中不同的VLAN 显然不合时代的潮流。因为我们可以使用三层交换来实现。
差别1(性能):传统的路由器基于微处理器转发报文,靠软件处理,而三层交换机通过ASIC 硬件来进行报文转发,性能差别很大;
差别2(接口类型):三层交换机的接口基本都是以太网接口,没有路由器接口类型丰富;差别3:三层交换机,还可以工作在二层模式,对某些不需路由的包文直接交换,而路由器不具有二层的功能。
首先让我们看一下设备互通的过程:
如图所示:交换机上划分了两个VLAN,在VLAN1,VLAN 2 上配置了路由接口用来实现vlan1 和vlan 2 之间的互通。
A 和
B 之间的互通(以A 向B 发起ping 请求为例):
1)A 检查报文的目的IP 地址,发现和自己在同一个网段;
2)A---->B ARP 请求报文,该报文在VLAN1 内广播;
3)B---->A ARP 回应报文;
4)A---->B icmp request;
5)B---->A icmp reply;
A 和C 之间的互通(以A 向C 发起ping 请求为例):
1)A 检查报文的目的IP 地址,发现和自己不在同一个网段;
2)A---->switch(int vlan 1)ARP 请求报文,该报文在VLAN1 内广播;
华为认证技术文章
5
3)网关---->A ARP 回应报文;
4)A---->switch icmp request(目的MAC 是int vlan 1 的MAC,源MAC 是A 的MAC,目的IP 是C,源IP 是A);
5)switch 收到报文后判断出是三层的报文。检查报文的目的IP 地址,发现是在自己的直连网段;
6)switch(int vlan 2)---->C ARP 请求报文,该报文在VLAN2 内广播;
7)C--->switch(int vlan 2)ARP 回应报文;
8)switch(int vlan 2)---->C icmp request (目的MAC 是C 的MAC,源MAC 是int vlan 2 的MAC,目的IP 是C,源IP 是A)同步骤4)相比报文的MAC 头进行了重新的封装,而IP 层以上的字段基本上不变;
9)C---->A icmp reply,这以后的处理同前面icmp request 的过程基本相同。
以上的各步处理中,如果ARP 表中已经有了相应的表项,则不会给对方发ARP 请求报文。
怎么样来区分二和三层的数据流?
3526 产品是三层以太网交换机,在其处理流程中既包括了二层的处理
功能,又包括了三层的处理功能。
区别二三层转发的基本模型:
vlan 1 vlan 2
A C
1.1.1.1
255.255.0.0
1.1.1.2
255.255.0.0
2.2.2.2
255.255.0.0
2.2.2.1
255.255.0.0
1.1.1.3
255.255.0.0
B
如图所示:
三层交换机划分了2 个VLAN,A 和B 之间的通信是在一个VLAN 内
6
完成,对与交换机而言是二层数据流,A 和C 之间的通信需要跨越VLAN,是三层的数据流。
上面提到的是宏观的方法,具体到微观的角度,一个报文从端口进入后,Swtich 设备是怎么来区分二层包文,还是三层报文的呢?
从A 到B 的报文由于在同一个VLAN 内部,报文的目的MAC 地址将是主机B 的MAC 地址,而从A 到C 的报文,要跨越VLAN,报文的目的MAC 地址是设备虚接口VLAN1 上的MAC 地址。
因此交换机区分二三层报文的标准就是看报文的目的MAC地址是否等于交换机虚接口上的MAC 地址。
以华为S3526 交换机为例,三层交换机整个处理流程中分成了三个大的部分:
1)平台软件协议栈部分
这部分中关键功能有:运行路由协议,维护路由信息表;
IP 协议栈功能,在整个系统的处理流程中,这部分担负着重要的功能,当硬件不能完成报文转发的时候,这部分可以代替硬件来完成报文的三层转发。另外对交换机进行telnet, ping, ftp,snmp 的数据流都是在这部分来处理。
举例:
show ip route:
Routing Tables:
Destination/Mask Proto Pre Metric Nexthop Interface
0.0.0.0/0 Static 60 0 10.110.255.9 VLAN-Interface2
10.110.48.0/21 Direct 0 0 10.110.48.1 VLAN-Interface1
10.110.48.1/32 Direct 0 0 127.0.0.1 InLoopBack0
10.110.255.8/30 Direct 0 0 10.110.255.10 VLAN-Interface2
10.110.255.10/32 Direct 0 0 127.0.0.1 InLoopBack0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0
华为认证技术文章
7
维护ARP 表
show arp:
IpAddress Mac_Address VLAN ID Port Name Type
10.110.255.9 00e0.fc00.5518 2 GigabitEthernet2/1 Dynamic
10.110.51.75 0010.b555.f039 1 Ethernet0/9 Dynamic
10.110.54.30 0800.20aa.f41d 1 Ethernet0/10 Dynamic
10.110.51.137 0010.a4aa.fce6 1 Ethernet0/12 Dynamic
10.110.50.90 0010.b555.e04f 1 Ethernet0/8 Dynamic
2)硬件处理流程
主要的表项是:二层MAC 地址表,和三层的ip fdb 表,这两个表中用于保存转发信息,在转发信息比较全的情况下,报文的转发和处理全部由硬件来完成处理,不需要软件的干预。这两个表的功能是独立的,没有相互的关系,因为一个报文只要一进入交换机,硬件就会区分出这个包是二层还是三层。非此即彼。
例如:show mac all:
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0000.21cf.73f4 1 Learned Ethernet0/19 266
0002.557c.5a79 1 Learned Ethernet0/12 225
0004.7673.0b38 1 Learned Ethernet0/9 262
0005.5d04.9648 1 Learned Ethernet0/16 232
0005.5df5.9f64 1 Learned Ethernet0/16 300
MAC 地址表是精确匹配的IVL 方式,其中关键的参数是:Vlan ID, Port
index。
例如:show ipfdb all:
0: System 1: Learned 2: UsrCfg Age 3: UsrCfg noAge Other: Error
Ip Address RtIf Vtag VTValid Port Mac Status
10.11.83.77 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 1
10.11.198.28 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 1
10.63.32.2 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 1
10.72.255.100 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2
华为认证技术文章
8
10.75.35.103 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2
10.75.35.106 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2
路由接口索引(RtIf):该索引用来确定该转发表项位于哪个路由接口下面,对3526 产品来讲,支持的路由接口数目是32;
Vlan tag: 该值用来表明所处的VLAN,该VLAN 和路由接口是对应的;
Vlan tag 有效位(VTValid):用来标识转发出去的报文中是否需要插入
Vlan tag 标记。
端口索引(Port):用来说明该转发表项的出端口;
下一跳MAC:三层设备每完成一跳的转发,会重新封装报文中的MAC头,硬件ASIC 芯片一般依据这个域里面的数值来封装报文头。
两个重要的概念:
解析,未解析,每次收到报文,ASIC 都会从其中提取出源和目的地址在MAC Table 或者IP Fdb Table 中进行查找,如果地址在转发表中可以找到,则认为该地址是解析的,如果找不到,则认为该地址是未解析的。根据这个地址是源,还是目的,还可以有源解析,目的未解析等等的组合。对于二层未解析,硬件本身可以将该报文在VLAN 内广播,但是对于三层报文地址的未解析报文硬件本身则不对该报文进行任何的处理,而产生CPU 中断,靠软件来处理。
硬件部分的处理可以用这句话来描述:
收到报文后,判断该报文是二或是三层报文,然后判断其中的源,目的地址是否已经解析,如果已经解析,则硬件完成该报文的转发,如果是未解析的情况,则产生CPU 中断,靠软件来学习该未解析的地址。
3)驱动代码部分
其中关键的核心有:
地址解析任务:在该任务中对已经报上来的未解析的地址进行学习,以便硬件完成后续的报文的转发而不需软件干预。
地址管理任务:为了便于软件管理和维护,软件部分保存了一份同硬件中转发表相同的地址表copy。
华为认证技术文章
9
fib(forwarding information base)表: 这个表的信息来源于ip route table 中的路由信息,之所以把它放在了driver 部分,是为了地址解析任务在学IP 地址时查找的方便。
举例:
show fib:
Destination/Mask Nexthop Flag Interface
0.0.0.0/0 10.110.255.9 I VLAN-Interface2
10.110.48.0/21 10.110.48.1 D VLAN-Interface1
10.110.48.1/32 127.0.0.1 D InLoopBack0
10.110.255.8/30 10.110.255.10 D VLAN-Interface2
10.110.255.10/32 127.0.0.1 D InLoopBack0
127.0.0.0/8 127.0.0.1 D InLoopBack0
三层转发主要涉及到两个关键的线程:
地址学习线程和报文转发线程,这个和二层的线程是类似的;
1)报文转发线程主要根据地址学习线程生成的转发表(ipfdb table)信息来对报文进行转发,如果里面的信息足够多,这个转发的过程全部由硬件来完成,如果信息不够,则会要求地址学习线程来进行学习,同时该报文硬件不能转发,会交给软件协议栈来进行转发。
2)地址学习线程主要用来生成硬件转发表(ipfdb table)其实ipfdb table 和二层的MAC 地址表也是类似的,只不过里面的具体表项所代表的含义和所起的作用不同罢了。
有一个问题:在路由器等软件转发引擎中,每收一个报文都会去查路由表查下一跳,然后再查ARP 表找下一跳的MAC,可是在三层交换机(如S3526)中,报文转发的时候不需要去查路由表和ARP 表,这样的话,这两个表是不是就没有什么作用了?
回答当然是否定的,在S3526 的三层转发流程中,过程一般都是这样的,第一个报文硬件无法转发,要进行IP 地址的学习,同时为了保证不丢包,该报文也由软件来进行转发,在学习完成以后,第二,第三个报文以华为认证技术文章
10
后就一直是由硬件来完成转发了,这个过程也可以套用“一次路由,多次交换”来形象的进行总结,在一次路由中,要利用路由表和ARP 表来学习IP 地址,和转发第一个报文,在以后的多次交换过程中,则只要有ipfdb table 就可以了。
6
完成,对与交换机而言是二层数据流,A 和C 之间的通信需要跨越VLAN,是三层的数据流。上面提到的是宏观的方法,具体到微观的角度,一个报文从端口进入后,Swtich 设备是怎么来区分二层包文,还是三层报文的呢?
从A 到B 的报文由于在同一个VLAN 内部,报文的目的MAC 地址将是主机B 的MAC 地址,而从A 到C 的报文,要跨越VLAN,报文的目的MAC 地址是设备虚接口VLAN1 上的MAC 地址。
因此交换机区分二三层报文的标准就是看报文的目的MAC地址是否等于交换机虚接口上的MAC 地址。
以华为S3526 交换机为例,三层交换机整个处理流程中分成了三个大的部分:
1)平台软件协议栈部分
这部分中关键功能有:运行路由协议,维护路由信息表;
IP 协议栈功能,在整个系统的处理流程中,这部分担负着重要的功能,当硬件不能完成报文转发的时候,这部分可以代替硬件来完成报文的三层转发。另外对交换机进行telnet, ping,
ftp,snmp 的数据流都是在这部分来处理。
举例:
show ip route:
Routing Tables:
Destination/Mask Proto Pre Metric Nexthop Interface
0.0.0.0/0 Static 60 0 10.110.255.9 VLAN-Interface2
10.110.48.0/21 Direct 0 0 10.110.48.1 VLAN-Interface1
10.110.48.1/32 Direct 0 0 127.0.0.1 InLoopBack0
10.110.255.8/30 Direct 0 0 10.110.255.10 VLAN-Interface2
10.110.255.10/32 Direct 0 0 127.0.0.1 InLoopBack0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoopBack0
华为认证技术文章
7
维护ARP 表
show arp:
IpAddress Mac_Address VLAN ID Port Name Type
10.110.255.9 00e0.fc00.5518 2 GigabitEthernet2/1 Dynamic
10.110.51.75 0010.b555.f039 1 Ethernet0/9 Dynamic
10.110.54.30 0800.20aa.f41d 1 Ethernet0/10 Dynamic
10.110.51.137 0010.a4aa.fce6 1 Ethernet0/12 Dynamic
10.110.50.90 0010.b555.e04f 1 Ethernet0/8 Dynamic
2)硬件处理流程
主要的表项是:二层MAC 地址表,和三层的ip fdb 表,这两个表中用于保存转发信息,在转发信息比较全的情况下,报文的转发和处理全部由硬件来完成处理,不需要软件的干预。这两个表的功能是独立的,没有相互的关系,因为一个报文只要一进入交换机,硬件就会区分出这个包是二层还是三层。非此即彼。
例如:show mac all:
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0000.21cf.73f4 1 Learned Ethernet0/19 266
0002.557c.5a79 1 Learned Ethernet0/12 225
0004.7673.0b38 1 Learned Ethernet0/9 262
0005.5d04.9648 1 Learned Ethernet0/16 232
0005.5df5.9f64 1 Learned Ethernet0/16 300
MAC 地址表是精确匹配的IVL 方式,其中关键的参数是:Vlan ID, Port
index。
例如:show ipfdb all:
0: System 1: Learned 2: UsrCfg Age 3: UsrCfg noAge Other: Error
Ip Address RtIf Vtag VTValid Port Mac Status
10.11.83.77 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 1
10.11.198.28 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 1
10.63.32.2 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 1
10.72.255.100 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2
华为认证技术文章
8
10.75.35.103 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2
10.75.35.106 2 2 Invalid GigabitEthernet2/1 00-e0-fc-00-55-18 2
路由接口索引(RtIf):该索引用来确定该转发表项位于哪个路由接口下面,对3526 产品来讲,支持的路由接口数目是32;
Vlan tag: 该值用来表明所处的VLAN,该VLAN 和路由接口是对应的;
Vlan tag 有效位(VTValid):用来标识转发出去的报文中是否需要插入
Vlan tag 标记。
端口索引(Port):用来说明该转发表项的出端口;
下一跳MAC:三层设备每完成一跳的转发,会重新封装报文中的MAC头,硬件ASIC 芯片一般依据这个域里面的数值来封装报文头。
两个重要的概念:
解析,未解析,每次收到报文,ASIC 都会从其中提取出源和目的地址在MAC Table 或者IP Fdb Table 中进行查找,如果地址在转发表中可以找到,则认为该地址是解析的,如果找不到,则认为该地址是未解析的。根据这个地址是源,还是目的,还可以有源解析,目的未解析等等的组合。对于二层未解析,硬件本身可以将该报文在VLAN 内广播,但是对于三层报文地址的未解析报文硬件本身则不对该报文进行任何的处理,而产生CPU 中断,靠软件来处理。
硬件部分的处理可以用这句话来描述:
收到报文后,判断该报文是二或是三层报文,然后判断其中的源,目的地址是否已经解析,如果已经解析,则硬件完成该报文的转发,如果是未解析的情况,则产生CPU 中断,靠软件来学习该未解析的地址。
3)驱动代码部分
其中关键的核心有:
地址解析任务:在该任务中对已经报上来的未解析的地址进行学习,以便硬件完成后续的报文的转发而不需软件干预。
地址管理任务:为了便于软件管理和维护,软件部分保存了一份同硬件中转发表相同的地址表copy。
华为认证技术文章
9
fib(forwarding information base)表: 这个表的信息来源于ip route table 中的路由信息,之所以把它放在了driver 部分,是为了地址解析任务在学IP 地址时查找的方便。
举例:
show fib:
Destination/Mask Nexthop Flag Interface
0.0.0.0/0 10.110.255.9 I VLAN-Interface2
10.110.48.0/21 10.110.48.1 D VLAN-Interface1
10.110.48.1/32 127.0.0.1 D InLoopBack0
10.110.255.8/30 10.110.255.10 D VLAN-Interface2
10.110.255.10/32 127.0.0.1 D InLoopBack0
127.0.0.0/8 127.0.0.1 D InLoopBack0
三层转发主要涉及到两个关键的线程:
地址学习线程和报文转发线程,这个和二层的线程是类似的;
1)报文转发线程主要根据地址学习线程生成的转发表(ipfdb table)信息来对报文进行转发,
如果里面的信息足够多,这个转发的过程全部由硬件来完成,如果信息不够,则会要求地址学习线程来进行学习,同时该报文硬件不能转发,会交给软件协议栈来进行转发。
2)地址学习线程主要用来生成硬件转发表(ipfdb table)其实ipfdb table 和二层的MAC 地址表也是类似的,只不过里面的具体表项所代表的含义和所起的作用不同罢了。
有一个问题:在路由器等软件转发引擎中,每收一个报文都会去查路由表查下一跳,然后再查ARP 表找下一跳的MAC,可是在三层交换机(如S3526)中,报文转发的时候不需要去查路由表和ARP 表,这样的话,这两个表是不是就没有什么作用了?
回答当然是否定的,在S3526 的三层转发流程中,过程一般都是这样的,第一个报文硬件无法转发,要进行IP 地址的学习,同时为了保证不丢包,该报文也由软件来进行转发,在学习完成以后,第二,第三个报文以华为认证技术文章
10
后就一直是由硬件来完成转发了,这个过程也可以套用“一次路由,多次交换”来形象的进行总结,在一次路由中,要利用路由表和ARP 表来学习IP 地址,和转发第一个报文,在以后的多次交换过程中,则只要有ipfdb table 就可以了
华为三层交换机配置方法、命令及实例
华为三层交换机配置方法(1) (2008-07-21 11:27:34) 转载 标签: 分类:工作汇报 杂谈 本文以河南平临高速所使用的华为华三通信的H3C S3600-28P-SI为例,配置前首先要确定型号后缀是SI还是EI,EI的支持所有协议,SI的不支持OSPS动态协议,因此SI配置路由时可以使用静态协议和RIP协议,具体配置如下:
description Uplink-to-Putian vlan 9 description link-to-pingxicentre //第二步:给VLAN 划网关 interface Vlan-interface2 description link to wenquan ip address 10.41.77.41 255.255.255.192 interface Vlan-interface3 description link to ruzhou ip address 10.41.77.105 255.255.255.192 interface Vlan-interface4 description link to xiaotun ip address 10.41.77.169 255.255.255.192 interface Vlan-interface5 description link to baofeng ip address 10.41.77.233 255.255.255.192 interface Vlan-interface6 description link to pingxi ip address 10.41.78.41 255.255.255.192 interface Vlan-interface7 description link to pingnan ip address 10.41.78.105 255.255.255.192 interface Vlan-interface8 description uplink to putian ip address 10.41.244.102 255.255.255.252 interface Vlan-interface9 description link to pingxicentre ip address 10.41.80.233 255.255.255.192
华为三层交换机配置步骤解释
华为三层交换机配置步骤 1. 给交换机划分VLAN Vlan 是虚拟局域网的意思,它相当于一个局域网工作组。“ vlan 几”可以理解成编号为几的vlan ,比如vlan 2 就是编号为 2 的vlan ,只是一个编号而已,并不是说vlan 2 的网段一定要是 2 网段,vlan 2 的IP 地址是可以随便设置的。 下面我将三层交换机的第20个端口添加到vlan 10 里,步骤如下: A. 在交换机里添加VLAN 10 system-view (一般用缩写:sys ) [Quidway] vlan 10 (添加编号为10 的vlan ) [Quidway-vlan10] quit (一般缩写:q) B. 设置vlan 10 的IP地址为192.168.66.66 网关为255.255.255.0 [Quidway] interface vlanif 10 (interface 一般可以缩写为:int ;vlanif 也可以只写vlan ) [Quidway-vlanif10] ip address 192.168.66.66 255.255.255.0 (address 缩写add) [Quidway-vlanif10]quit C. 设定交换机上第20个端口模式为access (默认为trunk ,需在将端口划入VLAN前转为ACCES)S [Quidway] int gigabitethernet 0/0/20 (gigabitethernet :千兆以太网口) [Quidway-GigabitEthernet0/0/20] port link-type access (port :端口) [Quidway-GigabitEthernet0/0/20]quit D. 将第20个端口加入到vlan 10 里 [Quidway] vlan 10 [Quidway-vlan10] port gigabitethernet 0/0/20 (如果是多个连续端口,用XX to XX ) [Quidway-Vlan10] quit 这样就是成功的将交换机上的第20 个端口添加到了编号为10 的Vlan 里,划分VLAN就是这 4 个步骤, 2 个步骤设置vlan ,2 个步骤设置端口。现在可以用网线把交换机的第20 个端口和电脑网卡连接起来,设置网卡地址为192.168.66.XX ,网关为192.168.66.66 ,在CMD里ping192.168.66.66 可以ping 通。 2. 删除vlan A.在系统视图下,用“ undo int vlan 2 ”命令删除vlan 2 的3层口,这样vlan 2 就没有了,但是划分给vlan 2 的那些端口依然还处于vlan 2 里,这时可以将那些端口释放出来,让他们不再属于任何vlan B.在系统视图下,用“ undo vlan 2 ”命令删除2层口,这个命令可以释放那些原先划分给了vlan 2 的端口,现在它们不属于任何vlan 了。 当然,将交换机上的某个端口更换到某个vlan 里,是可以直接在vlan 视图里添加端口的。 注意:交换机上的某个端口被设置成了access 模式,且加入了一个vlan ,要想将这个端口的模式更改为trunk ,直接在端口视图里打上“ port link-type trunk ”是不行的,会出现Error: Please renew the default configurations. 这时需要先从VLAN里删除这个端口,也就是前面说的让这个端口不属于任何vlan ,才能将 这个端口设置为trunk 。 3. 通过端口进行限速 现在要对交换机上的第 2 个端口进行限速操作,让通过这个端口的下载速度不超过128KB/S 配置命令说明: Inbound:对入端口报文进行限速 Outbound:对出端口报文进行限速 sys [Quidway] int gigabitethernet 0/0/2 [Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800 (1024代表1M的带宽,理论下载速度就是128KB/S,204800=1024*200 ,cbs 代表
华为s3928三层交换机配置
华为S3928 三层交换机配置 2008-08-04 11:06配置环境与配置文件如下:环境, 双wan口路由接入ADSL ,下接华为S3928p-SI 做核心交换机.交换机下接普通PC 和傻瓜式的TP-Link交换机, 现用可核心交换机e 1/0/24口(ip:)直接连接路由器. 划分5个vlan 并隔离 e 1/0/11 to e 1/0/14端口.
interface Vlan-interface6 ip address # interface Aux1/0/0 # interface Ethernet1/0/1 port access vlan 2 # interface Ethernet1/0/2 port access vlan 2 # interface Ethernet1/0/3 port access vlan 2 # interface Ethernet1/0/4 port access vlan 2 # interface Ethernet1/0/5 port access vlan 2 # interface Ethernet1/0/6 port access vlan 2 # interface Ethernet1/0/7 port access vlan 2 # interface Ethernet1/0/8 port access vlan 2 # interface Ethernet1/0/9 port access vlan 2 # interface Ethernet1/0/10 port access vlan 2 # interface Ethernet1/0/11 port access vlan 3 port isolate # interface Ethernet1/0/12 port access vlan 3 port isolate # interface Ethernet1/0/13
华为三层交换vlan配置实例
华为三层交换vlan配置实例 1. 组网需求 交换机1 和交换机2 上指定端口的VLAN 属性,与交换机相连的工作站A、C 和B、D 分别属于VLAN10 或VLAN20,要求: 路由器子接口Ethernet3/0/0.1 、Ethernet3/0/0.2 和Ethernet4/0/0.1 、Ethernet4/0/0.2 的地址分别为1.0.0.1、2.0.0.1、3.0.0.1 和4.0.0.1; 工作站A 和B 之间、C 和D 之间能够互相通信,即同一交换机、不同VLAN 之间能够互相通信; 工作站A 和C 之间、B 和D 之间能够互相通信,即不同交换机、同一VLAN 之间能够互相通信; 工作站A 和D 之间、B 和C 之间能够互相通信,即不同交换机、不同VLAN 之间能够互相通信。
3. 配置步骤 (1) 配置路由器 # 创建并进入子接口(如图所示为Ethernet3/0/0.1、Ethernet3/0/0.2、Ethernet4/0/0.1 和Ethernet4/0/0.2),为其配置IP 地址,设置每个子接口上的封装类型以及相关联 的VLAN ID。 配置了子接口的封装类型后,子接口就被设置为允许中继。
[Quidway-Ethernet3/0/0.1] quit [Quidway] interface ethernet 3/0/0.2 [Quidway-Ethernet3/0/0.2] ip address 2.0.0.1 255.0.0.0 [Quidway-Ethernet3/0/0.2] vlan-type dot1q 20 [Quidway-Ethernet3/0/0.2] quit [Quidway] interface ethernet 4/0/0.1 [Quidway-Ethernet4/0/0.1] ip address 3.0.0.1 255.0.0.0 [Quidway-Ethernet4/0/0.1] vlan-type dot1q 10 [Quidway-Ethernet4/0/0.1] quit [Quidway] interface ethernet 4/0/0.2 [Quidway-Ethernet4/0/0.2] ip address 4.0.0.1 255.0.0.0 [Quidway-Ethernet4/0/0.2] vlan-type dot1q 20
华为USG防火墙和H3C三层交换机设备组网配置简述.docx
一.USG6350防火墙 1.根据设置向导配置完毕即可正常上网。 2.增加策略路由-(影响外网端口) 3.增加静态路由(目的是让哪个网段上网) 内网地址的下一跳是三层交换机与防火墙连接的端口地址 4.对指定服务器进行端口映射
5.对指定网段进行限速,保证服务器有可靠的带宽,不至于被其他网段抢占全部带宽。 本项目全部带宽是100M,因为有一个无线网,限定无线网最大占用50M (1)新建一个带宽通道 (2)指定网段应用于带宽通道的策略规则 二、三层交换机-H3C-S5800-32C 现场需求是有办公电脑,服务器、视频服务器,计划分成4个网段,分别为172.26.11.0/172.26.12.0/172.26.13.0/172.26.14.0/ 14段备用。 规划:VLAN100为172.26.10.253 port1-2 与防火墙172.26.10.254 连接 VLAN101为172.26.11.254 port 3-8 与服务器连接 VLAN102为172.26.12.254 port 9-12 与客户机连接 VLAN103为172.26.13.254 port 13-18 与视频服务器连接 VLAN104为172.26.14.254 port 19-24 备用 1.笔记本连接三层交换机配置口,进入命令行配置模式 简述步骤:(1)设备改名创建用户和密码(2)创建VLAN,指定某端口属于这个VLAN (3)指定每个VLAN的网关(4)增加一条路由 2.Sys
Sysname H3C-5800 telnet server enable Local-user admin Password cipher #####(此处#是输入密码) Authorization-attribute level 3 Service-type ssh telnet VLAN 100 Port G1/0/1 TO G1/0/2 Quit Vlan 101 Port g1/0/3 to g1/0/8 Quit VLAN 102 Port G1/0/9 TO G1/0/12 Quit Vlan 103 Port g1/0/13 to g1/0/18 Quit Vlan 104 Port g1/0/19 to g1/0/24 Quit Interface Vlan-interface 100 Ip address 172.26.10.253 255.255.255.0 Quit Interface Vlan-interface 101 Ip address 172.26.11.254 255.255.255.0 Quit Interface Vlan-interface 102 Ip address 172.26.12.254 255.255.255.0 Quit Interface Vlan-interface 103 Ip address 172.26.13.254 255.255.255.0 Quit Interface Vlan-interface 104 Ip address 172.26.14.254 255.255.255.0 Quit Ip route-static 0.0.0.0 0.0.0.0 172.26.10.254 Dhcp enable(开通dhcp) Dhcp server ip-pool 9 Network 172.26.12.0 mask 255.255.255.0 Gateway-list 172.26.12.254 Dns-list 8.8.8.8(根据实际修改) Quit 红色字体为9口开通DHCP,可根据实际需求
华为三层交换vl配置实例
华为三层交换v l配置实 例 文件编码(008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256)
华为三层交换v l a n配置实例1. 组网需求 交换机1 和交换机2 上指定端口的VLAN 属性,与交换机相连的工作站A、C 和B、 D 分别属于VLAN10 或VLAN20,要求: 路由器子接口Ethernet3/0/ 、Ethernet3/0/ 和Ethernet4/0/ 、 Ethernet4/0/ 的地址分别为1.0.0 工作站A 和B 之间、C 和D 之间能够互相通信,即同一交换机、不同VLAN 之间能够互相通信; 工作站A 和C 之间、B 和D 之间能够互相通信,即不同交换机、同一VLAN 之间能够互相通信; 工作站A 和D 之间、B 和C 之间能够互相通信,即不同交换机、不同VLAN 之间能够互相通信。 3. 配置步骤 (1) 配置路由器 # 创建并进入子接口(如图所示为Ethernet3/0/、Ethernet3/0/、Ethernet4/0/
和Ethernet4/0/),为其配置IP 地址,设置每个子接口上的封装类型以及相关联 的VLAN ID。 配置了子接口的封装类型后,子接口就被设置为允许中继。
华为三层交换机配置实例分析
华为三层交换机配置实例一例 服务器1双网卡,内网IP:192.168.0.1,其它计算机通过其代理上网 PORT1属于VLAN1 PORT2属于VLAN2 PORT3属于VLAN3 VLAN1的机器可以正常上网 配置VLAN2的计算机的网关为:192.168.1.254 配置VLAN3的计算机的网关为:192.168.2.254 即可实现VLAN间互联 如果VLAN2和VLAN3的计算机要通过服务器1上网 则需在三层交换机上配置默认路由 系统视图下:ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 然后再在服务器1上配置回程路由 进入命令提示符 route add 192.168.1.0 255.255.255.0 192.168.0.254 route add 192.168.2.0 255.255.255.0 192.168.0.254 这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~ 华为路由器与CISCO路由器在配置上的差别" 华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面,使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。另外它的软件升级,远程配置,备份中心,PPP回拨,路由器热备份等,对用户来说均是极有用的功能特性。 在配置方面,华为路由器以前的软件版本(VRP1.0-相当于CISCO的IOS)与CISCO有细微的差别,但目前的版本(VRP1.1)已和CISCO兼容,下面首先介绍VRP软件的升级方法,然后给出配置上的说明。 一、VRP软件升级操作 升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本,因为这关系到是否可以升级以及升级的方法,否则升级失败会导致路由器不能运行。在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。 1.路由器配置电缆一端与PC机的串口一端与路由器的console口连接 2.在win95/98下建立使用直连线的超级终端,参数如下: 波特率9600,数据位8,停止位1,无效验,无流控,VT100终端类型 3.超级终端连机后打开路由器电源,屏幕上会出现引导信息,在出现: Press Ctrl-B to enter Boot Menu. 时三秒内按下Ctrl+b,会提示输入密码 Please input Bootrom password: 默认密码为空,直接回车进入引导菜单Boot Menu,在该菜单下选1,即Download application program升级VRP软件,之后屏幕提示选择下载波特率,我们一般选择38400 bps,随即出现提示信息: Download speed is 38400 bps.Please change the terminal's speed to 38400 bps,and select XMODEM protocol.Press ENTER key when ready. 此时进入超级终端“属性”,修改波特率为38400,修改后应断开超级终端的连接,再进入连接状态,以使新属性起效,之后屏幕提示: Downloading…CCC 这表示路由器已进入等待接收文件的状态,我们可以选择超级终端的文件“发送”功能,选定相应的VRP软件文件名,通讯协议选Xmodem,之后超级终端自动发送文件到路由器中,整个传送过程大约耗时8分半钟。完成后有提示信息出现,系统会将收到的VRP软件写入Flash Memory覆盖原来的系统,此时整个升级过程完成,系统提示改回超级终端的波特率: Restore the terminal's speed to 9600 bps. Press ENTER key when ready. 修改完后记住进行超级终端的断开和连接操作使新属性起效,之后路由器软件开始启动,用show ver命令将看见
华为三层交换机配置步骤解释
华为三层交换机配置步骤 1.给交换机划分VLAN Vlan是虚拟局域网的意思,它相当于一个局域网工作组。“vlan几”可以理解成编号为几的vlan,比如vlan 2就是编号为2的vlan,只是一个编号而已,并不是说vlan 2的网段一定要是2网段,vlan 2的IP地址是可以随便设置的。 下面我将三层交换机的第20个端口添加到vlan 10里,步骤如下: A.在交换机里添加VLAN 10 system-view (一般用缩写:sys) [Quidway] vlan10 (添加编号为10的vlan) [Quidway-vlan10] quit (一般缩写:q) B.设置vlan 10的IP地址为192.168.66.66 网关为255.255.255.0 [Quidway]interface vlanif 10(interface一般可以缩写为:int ;vlanif也可以只写vlan) [Quidway-vlanif10] ip address 192.168.66.66 255.255.255.0 (address缩写add) [Quidway-vlanif10]quit C.设定交换机上第20个端口模式为access(默认为trunk,需在将端口划入VLAN前转为ACCESS) [Quidway]int gigabitethernet 0/0/20(gigabitethernet:千兆以太网口) [Quidway-GigabitEthernet0/0/20]port link-type access (port:端口) [Quidway-GigabitEthernet0/0/20]quit D.将第20个端口加入到vlan 10里 [Quidway] vlan 10 [Quidway-vlan10] port gigabitethernet 0/0/20(如果是多个连续端口,用XX to XX) [Quidway-Vlan10] quit 这样就是成功的将交换机上的第20个端口添加到了编号为10的Vlan 里,划分VLAN就是这4个步骤,2个步骤设置vlan,2个步骤设置端口。现在可以用网线把交换机的第20个端口和电脑网卡连接起来,设置网卡地址为192.168.66.XX,网关为192.168.66.66,在CMD里ping192.168.66.66可以ping通。 2.删除vlan A.在系统视图下,用“undo int vlan 2”命令删除vlan 2的3层口,这样vlan 2就没有了,但是划分给vlan 2的那些端口依然还处于vlan 2里,这时可以将那些端口释放出来,让他们不再属于任何vlan B.在系统视图下,用“undo vlan 2”命令删除2层口,这个命令可以释放那些原先划分给了vlan 2的端口,现在它们不属于任何vlan了。 当然,将交换机上的某个端口更换到某个vlan里,是可以直接在vlan视图里添加端口的。 注意:交换机上的某个端口被设置成了access模式,且加入了一个vlan,要想将这个端口的模式更改为trunk,直接在端口视图里打上“port link-type trunk”是不行的,会出现Error: Please renew the default configurations.这时需要先从VLAN里删除这个端口,也就是前面说的让这个端口不属于任何vlan,才能将这个端口设置为trunk。 3.通过端口进行限速 现在要对交换机上的第2个端口进行限速操作,让通过这个端口的下载速度不超过128KB/S 配置命令说明: Inbound:对入端口报文进行限速 Outbound:对出端口报文进行限速 sys [Quidway]int gigabitethernet 0/0/2 [Quidway-GigabitEthernet0/0/2]qos lr outbound cir 1024 cbs 204800(1024代表1M的带宽,理论下载速度就是128KB/S,204800=1024*200,cbs代表突发信息速率cir代表承诺信息速率)
华为三层交换机配置命令
华为三层交换机配置命令 Enable //进入私有模式 Configure terminal //进入全局模式 service password-encryption //对密码进行加密 hostname Catalyst 3550-12T1 //给三层交换机定义名称 enable password 123456. //enable密码 Enable secret 654321 //enable的加密密码(应该是乱码而不是654321这样) Ip subnet-zero //允许使用全0子网(默认都是打开的) Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1 Service dhcp //提供DHCP服务 ip routing //启用三层交换机上的路由模块 Exit Vtp mode server //定义VTP工作模式为sever模式 Vtp domain centervtp //定义VTP域的名称为centervtp Vlan 2 name vlan2 //定义vlan并给vlan取名(如果不取名的话,vlan2的名字应该是vlan002)Vlan 3 name vlan3 Vlan 4 name vlan4 Vlan 5 name vlan5 Vlan 6 name vlan6 Vlan 7 name vlan7 Vlan 8 name vlan8 Vlan 9 name vlan9 Exit interface Port-channel 1 //进入虚拟的以太通道组1 Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1 channel-group 1 mode on //把这个接口放到快速以太通道组1中 Interface gigabitethernet 0/2 //同上channel-group 1 mode on port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式(依靠源和目的IP 的方式) interface gigabitethernet 0/3 //进入模块0上的吉比特以太口3 在线代理|网页代理|代理网页|https://www.360docs.net/doc/c15533511.html,
华为三层交换机配置心得
华为三层交换机配置心得 一、给交换机划分VLAN Vlan是虚拟局域网的意思,它相当于一个局域网工作组。“vlan几”可以理解成编号为几的vlan,比如vlan 2就是编号为2的vlan,只是一个编号而已,并不是说vlan 2的网段一定要是2网段,vlan 2的IP地址是可以随便设置的。 下面我将三层交换机的第20个端口添加到vlan 10里,步骤如下: A、在交换机里添加VLAN 10 system-view (一般用缩写:sys) [Quidway] vlan10 (添加编号为10的vlan)[Quidway-vlan10] quit (一般缩写:q) B、设置vlan 10的IP地址为192.168.66.66 网关为255.255.255.0
[Quidway]interface vlanif 10(interface一般可以缩写为:int ;vlanif也可以只写vlan)[Quidway-vlanif10]ip address192.168.66.66 255.255.255.0 (address缩写add) [Quidway-vlanif10]quit C、设定交换机上第20个端口模式为access(默认为trunk,需在将端口划入VLAN前转为ACCESS) [Quidway]intgigabitethernet 0/0/20(gigabitethernet:千兆以太网口) [Quidway-GigabitEthernet0/0/20]portlink-type access (port:端口) [Quidway-GigabitEthernet0/0/20]quit D.将第20个端口加入到vlan 10里 [Quidway] vlan 10 [Quidway-vlan10] port gigabitethernet 0/0/20(如果是多个连续端口,用XX to XX) [Quidway-Vlan10]quit
华为三层交换机做OSPF
配置OSPF基本功能 组网需求 如图1所示,所有的S9300都运行OSPF,并将整个自治系统划分为3个区域,其中S9300-A和S9300-B作为ABR来转发区域之间的路由。 配置完成后,每台S9300都应学到自治系统的到所有网段的路由。 图1 OSPF基本配置组网图 S9300 接口对应的VLANIF IP地址 S9300-A GigabitEthernet1/0/1 VLANIF 10 192.168.0.1/24 S9300-A GigabitEthernet1/0/2 VLANIF 20 192.168.1.1/24 S9300-B GigabitEthernet1/0/1 VLANIF 10 192.168.0.2/24 S9300-B GigabitEthernet1/0/2 VLANIF 30 192.168.2.1/24 S9300-C GigabitEthernet1/0/1 VLANIF 20 192.168.1.2/24 S9300-C GigabitEthernet1/0/2 VLANIF 40 172.16.1.1/24 S9300-D GigabitEthernet1/0/1 VLANIF 30 192.168.2.2/24 S9300-D GigabitEthernet1/0/2 VLANIF 50 172.17.1.1/24
配置思路 采用如下的思路配置OSPF基本功能: 1.配置各接口所属VLAN ID。 2.配置各VLANIF接口的IP地址。 3.在各S9300设备上使能OSPF,指定不同区域的网段。 4.查看路由表及数据库信息。 数据准备 ?各接口所属的VLAN ID,具体数据如图1所示。 ?各VLANIF接口的IP地址,具体数据如图1所示。 ?各S9300设备的Router ID,OSPF进程号以及各接口所属的区域。 ?S9300-A的Router ID 1.1.1.1,运行的OSPF进程号1,在区域0的网段192.168.0.0/24,在区域1的网段192.168.1.0/24。 ?S9300-B的Router ID 2.2.2.2,运行的OSPF进程号1,在区域0的网段192.168.0.0/24,在区域2的网段192.168.2.0/24。 ?S9300-C的Router ID 3.3.3.3,运行的OSPF进程号1,在区域1的网段192.168.1.0/24,172.16.1.0/24。 ?S9300-D的Router ID 4.4.4.4,运行的OSPF进程号1,在区域2的网段192.168.2.0/24,172.17.1.0/24。 ?S9300-E的Router ID 5.5.5.5,运行的OSPF进程号1,在区域1的网段172.16.1.0/24。 ?S9300-F的Router ID 6.6.6.6,运行的OSPF进程号1,在区域2的网段172.17.1.0/24。
华为三层交换机使用
举例讲解H3C配置三层交换机4个步骤详细用法,配置三层交换机通用的四个步骤就是:划分VLAN,并描述;给VLAN划网关;给VLAN指定端口;配置路由协议;学会这几个步骤之后就能解决所有的配置三层交换机的问题。
vlan5 descriptionlink-to-shangnansuo//商南所 配置三层交换机第二步:给VLAN划网关 # interfaceVlan-interface2 descriptionlinktoshanxicentre ipaddress10.61.242.110255.255.255.252//省中心指定广域网关、子网掩码 # interfaceVlan-interface3 descriptionlinktoshangjiecentre ipaddress10.161.134.65255.255.255.192//商界分中心局域网关、子网掩码 # interfaceVlan-interface4 descriptionlinktoshangdongsuo ipaddress10.61.242.113255.255.255.252//商东所广域网关、子网掩码 # interfaceVlan-interface5 descriptionlinktoshangnansuo
华为三层以太网交换机基本原理及转发流程
华为三层以太网交换机基本原理及转发流程 1.1. MAC地址介绍 MAC 地址是48 bit 二进制的地址,如:00-e0-fc-00-00-06。 能够分为单播地址、多播地址和广播地址。 单播地址:第一字节最低位为0,如:00-e0-fc-00-00-06 多播地址:第一字节最低位为1,如:01-e0-fc-00-00-06 广播地址:48 位全1,如:ff-ff-ff-ff-ff-ff 注意: 1)一般设备网卡或者路由器设备路由接口的MAC 地址一定是单播的MAC 地址才能保证其与其它设备的互通。 2)MAC 地址是一个以太网络设备在网络上运行的基础,也是链路层功能实现的立足点。 1.2. 二层转发介绍 交换机二层的转发特性,符合802.1D 网桥协议标准。 交换机的二层转发涉及到两个关键的线程:地址学习线程和报文转发线程。 学习线程如下:
华为认证技术文章 2 1)交换机接收网段上的所有数据帧,利用接收数据帧中的源MA C 地址来建立MAC 地址表; 注意:老化也是按照源MAC 地址进行老化。 报文转发线程: 1)交换机在MAC 地址表中查找数据帧中的目的MAC 地址,如果找到,就将该数据帧发送到相应的端口,如果找不到,就向所有的端口发送; 2)如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同,则丢弃该报文; 3)交换机向入端口以外的其它所有端口转发广播报文。 1.3. VLAN二层转发介绍 报文转发线程: 引入了VLAN 以后对二层交换机的报文转发线程产生了如下的阻碍:
1)交换机在MAC 地址表中查找数据帧中的目的MAC 地址,如果找到(同时还要确保报文的入VLAN 和出VLAN 是一致的),就将该数据帧发送到相应的端口,如果找不到,就向(VLAN 内)所有的端口发送; 2)如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同,则丢弃该报文; 3)交换机向(VLAN 内)入端口以外的其它所有端口转发广播报文。 以太网交换机上通过引入VLAN,带来了如下的好处: 1)限制了局部的网络流量,在一定程度上能够提升整个网络的处理能力。 2)虚拟的工作组,通过灵活的VLAN 设置,把不同的用户划分到工作 华为认证技术文章 3 组内; 3)安全性,一个VLAN 内的用户和其它VLAN 内的用户不能互访, 提升了安全性。
华为S5700-28C-SI三层交换机配置文档说明
1.现场情况说明:我这边是一台misgate服务器,下面有五台基于opc通讯的DCS服务器,现场需要做两个配置策略 1 misgate服务器可以和下面五台服务器相互访问 2 下面五台服务器相互之间不能访问 图1 1 misgate服务器可以和下面五台服务器相互访问 1 首先你要有根console线,你要有根console线,console线(重要的事说三遍) 2 你要有个超级终端,有个超级终端,超级终端(重要的事说三遍,本文档附带超级终端) 3 console线连接console口和电脑,打开超级终端,点击新建连接,正确设置波特率、地址位(三层交换机自带设置文档) 4 配置VLAN间通过VLANIF接口通信示例(下面的代码是为交换机口分配ip,这个ip也是服务器的默认网关,但是请注意,按着当前步骤配置过后,六个服务器之间实际上是可以相互ping通的,也就是说,这个步骤只是实现了所有网段之间的互联,没有做下面五台服务
器之间的隔离,不信的话可以拿两台电脑上试试,按照图一设置参数,然后相互ping) 组网需求 企业的不同用户拥有相同的业务,且位于不同的网段。现在相同业务的用户所属的VLAN不相同,需要实现不同VLAN中的用户相互通信。 如图1所示,User1和User2中拥有相同的业务,但是属于不同的VLAN且位于不同的网段。现需要实现User1和User2互通。 图1 配置VLAN间通过VLANIF接口通信组网图 配置思路 采用如下的思路配置VLAN间通过VLANIF接口通信: 1.创建VLAN,确定用户所属的VLAN。 2.配置接口加入VLAN,允许用户所属的VLAN通过当前接口。 3.创建VLANIF接口并配置IP地址,实现三层互通。 说明: 为了成功实现VLAN间互通,VLAN内主机的缺省网关必须是对应VLANIF接口的IP地址。 操作步骤 1.配置Switch # 创建VLAN
华为三层交换机如何让VLAN间不能互通配置
华为三层交换机如何让VLAN间不能互通配置 『配置环境参数』 1. 交换机E0/1和E0/2属于vlan10 2. 交换机E0/3属于vlan20 3. 交换机E0/4和E0/5属于vlan30 4. 交换机E0/23连接Server1 5. 交换机E0/24连接Server2 6. Server1和Server2分属于vlan40和vlan50 7. PC和Server都在同一网段 8. E0/10连接BAS设备,属于vlan60 『组网需求』 1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访; 2. Vlan10、vlan20和vlan30的PC均可以访问Server 1; 3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2; 4. vlan 10中的2端口的PC可以访问vlan 30的PC; 5. vlan 20的PC可以访问vlan 30的5端口的PC; 6. vlan10的PC访问外网需要将vlan信息送到BAS,而vlan20和vlan30则不需要。 2 数据配置步骤 『端口hybrid属性配置流程』 hybrid 属性是一种混杂模式,实现了在一个untagged端口允许报文以tagged形式送出交换机。同时可以利用hybrid属性定义分属于不同的vlan的端口之间的互访,这是access和trunk端口所不能实现的。在一台交换机上不允许trunk端口和hybrid端口同时存在。 1. 先创建业务需要的vlan [SwitchA]vlan 10 [SwitchA]vlan 20 [SwitchA]vlan 30 [SwitchA]vlan 40 [SwitchA]vlan 50 2. 每个端口,都配置为 hybrid状态 [SwitchA]interface Ethernet 0/1 [SwitchA-Ethernet0/1]port link-type hybrid 3. 设置端口的pvid等于该端口所属的vlan [Switch-Ethernet0/1]port hybrid pvid vlan 10 4. 将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口 [Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged 实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表示一个端口,接收端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan 为该 vlan 的端口互通。 5. 以下各端口类似: [Switch-Ethernet0/1]int e0/2 [Switch-Ethernet0/2]port link-type hybrid [Switch-Ethernet0/2]port hybrid pvid vlan 10 [Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged [Switch-Ethernet0/2]int e0/3 [Switch-Ethernet0/3]port link-type hybrid