華為交換機配置30例

1、Word 文檔目錄 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 交換機遠程 TELNET登錄 2 HYPERLINK l bookmark10 o Current Document 交換機遠程 AUX口登錄 5 HYPERLINK l bookmark18 o Current Document 交換機DEBUG信息開關(guān) 6 HYPERLINK l bookmark24 o Current Document 交換機SNMP配置 9 HYPERLINK l bookmark30 o Current Document 交換機WEB網(wǎng)管

2、配置 10 HYPERLINK l bookmark38 o Current Document 交換機VLAN配置 12 HYPERLINK l bookmark44 o Current Document 端口的TRUNK屬性配置（一） 14 HYPERLINK l bookmark54 o Current Document 交換機端口 TRUNK屬性配置（二） 16交換機端口 TRUNK屬性配置（三） 18 HYPERLINK l bookmark62 o Current Document 交換機端口 HYBRID屬性配置 21 HYPERLINK l bookmark70 o Curren

3、t Document 交換機IP地址配置 23 HYPERLINK l bookmark78 o Current Document 端口匯聚配置 25 HYPERLINK l bookmark84 o Current Document 交換機端口鏡像配置 27 HYPERLINK l bookmark90 o Current Document 交換機堆疊管理配置 29 HYPERLINK l bookmark98 o Current Document 交換機HGMP V1 管理配置 31 HYPERLINK l bookmark106 o Current Document 交換機集群管理（ H

4、GMP V2）配置 33 HYPERLINK l bookmark114 o Current Document 交換機STP配置 34 HYPERLINK l bookmark122 o Current Document 路由協(xié)議配置 36 HYPERLINK l bookmark130 o Current Document 三層交換機組播配置 41 HYPERLINK l bookmark138 o Current Document 中低端交換機 DHCP-RELAY配置 44 HYPERLINK l bookmark148 o Current Document 交換機802.1X配置 46

5、 HYPERLINK l bookmark156 o Current Document 交換機VRRP配置 51 HYPERLINK l bookmark164 o Current Document 單向訪問控制 54 HYPERLINK l bookmark170 o Current Document 雙向訪問控制 57 HYPERLINK l bookmark176 o Current Document IP+MAC+ 端口綁定 62 HYPERLINK l bookmark182 o Current Document 通過ACL實現(xiàn)的各種綁定的配置 64 HYPERLINK l book

6、mark188 o Current Document 基于端口限速的配置 66 HYPERLINK l bookmark194 o Current Document 基于流限速的配置 68 HYPERLINK l bookmark210 o Current Document 其它流動作的配置 70 HYPERLINK l bookmark216 o Current Document 8016 交換機DHCP配置 73Word 文檔交換機遠程 TELNET 登錄功能需求及組網(wǎng)說明telnet 配置配置環(huán)境參數(shù)PC機 固定 IP地 址0/24SwitchA 為三層交換機， vlan100 地址/2

7、4 SwitchA 與SwitchB 互連vlan10 接口地址 /24SwitchB與 SwitchA 互連接口vlan100 接口地址 /24交換機SwitchA 通過以太網(wǎng)口 ethernet 0/1 和SwitchB 的ethernet0/24 實現(xiàn)互連。組網(wǎng)需求1.2.3.SwitchA 只能允許/24 網(wǎng)段的地址的 PC telnet 訪問SwitchA 只能禁止/24 網(wǎng)段的地址的 PC telnet 訪問SwitchB允 許其它任意網(wǎng)段的地址 t elnet 訪 問數(shù)據(jù) 配置 步驟PC管 理交換機的流程如果一臺 PC想 遠程 TELNET到 一臺設(shè)備上，首先要保證能夠二者之間正

8、常通信。 SwitchA 為三層交換機，可以有多個三層虛接口，它的管理 vlan 可以是任意一個 具有三 層接口并配置了 IP地 址的 vlanSwitchB為 二層交換機，只有一個二層虛接口，它的管理 vlan 即是對應(yīng)三層虛 接口并 配置了 IP地 址的 vlanTelnet 用戶登錄時，缺省需要進行口令認證，如果沒有配置口令而通過Telnet登錄， 則系統(tǒng)會提示“password required, but none set. ”。【 SwitchA 相關(guān)配置】Word 文檔PC在 vlan100 ， 交換機上對應(yīng)的端口為 E0/10-E0/20創(chuàng)建（進入） vlan100SwitchA

9、vlan 100將 E0/10-E0/20 加入到 vlan10 里SwitchA-vlan100 port Ethernet 0/10 to Ethernet 0/20 3. 創(chuàng)建 vlan100 的虛接口SwitchAinterface Vlan-interface 100 4.給 vlan100 的虛接口配置 IP地 址SwitchA-Vlan-interface100ip address 5. 創(chuàng)建（進入） vlan10SwitchAvlan 106. 將連接 SwitchB 的 E0/1 加入vlan10 SwitchA-vlan10 port Ethernet 0/1 7. 創(chuàng)建

10、（進入） vlan10 的虛接口 SwitchAinterface Vlan-interface 10 8. 給vlan10 的 虛接口 配置 IP地 址SwitchA-Vlan-interface10ip address SwitchB相 關(guān)配置】創(chuàng)建（進入） vlan100SwitchAvlan 100將E0/24 加入到 vlan100 里 SwitchA-vlan100 port Ethernet 0/24 3. 創(chuàng)建（進入） vlan100 的虛接口SwitchBinterface Vlan-interface 100 4. 給 vlan100 的虛接口配置 IP地 址SwitchB

11、-Vlan-interface100ip address 一般二層交換機允許其它任意網(wǎng)段訪問需要加入一條缺省 路由SwitchBip route-static TELNET不 驗證配置】SwitchA-ui-vty0-4authentication-mode noneTELNET密 碼驗證配置】進入用戶界面視圖 SwitchAuser-interface vty 0 4設(shè)置認證方式為密碼驗證方式 SwitchA-ui-vty0-4authentication-mode password 3. 設(shè)置明文密碼SwitchA-ui-vty0-4set authentication password

12、simple Huawei缺省情況下，從 VTY用 戶界面登錄后可以訪問的命令級別為 0級。需要將用戶 的權(quán)限設(shè) 置為 3，這用戶可以進入系統(tǒng)視圖進行操作，否則只有 0級用戶的權(quán) 限SwitchA-ui-vty0-4userprivilege level 3TELNET本 地用戶名和密碼驗證配置】進入用戶界面視圖SwitchAuser-interface vty 0 4使用 authentication-mode scheme 命 令，表示需要進行本地或遠端用戶名和 口令 認證。SwitchA-ui-vty0-4authentication-mode scheme 3. 設(shè)置本地用戶名和密碼S

13、witchAlocal-user Huawei SwitchA-user-huaweiservice-type telnet level 3 SwitchA- user-huaweipassword simple Huawei如果不改變 TELNET登 錄用戶的權(quán)限，用戶登錄以后是無法直接進入其它視圖的 ，可以 設(shè)置 super password，來控制用戶是否有權(quán)限進入其它視圖 SwitchAlocal-user Huawei SwitchA-user-huaweiservice-type telnet SwitchA- user-huaweipassword simple Huawei S

14、witchAsuper password level 3 simple huaweiTELNET RADIUS驗 證配置】以使用 huawei 開發(fā)的 cams作 為 RADIUS服 務(wù)器為例1.設(shè)置 TELNET登 錄方式為 schemeSwitchA-ui-vty0-4authentication-mode scheme2.配置 RADIUS 認 證方案SwitchAradius scheme cams配置 RADIUS認 證服務(wù)器地址 1SwitchA-radius-camsprimary authentication 1 1812配置 RADIUS計 費服務(wù)器地址 1SwitchA-r

15、adius-camsprimary accounting 1 1813配置交換機與認證服務(wù)器的驗證口令 SwitchA-radius-camskey authentication expert 6. 配置 交換機與計費服務(wù)器的驗證口令SwitchA-radius-camskey accounting expert 7. 配置服務(wù)器類似為 huawei，即使用 CAMSSwitchA-radius-camsserver-type Huawei8.送往 RADIUS的 報文不帶域名SwitchA-radius-camsuser-name-format without-domain 9. 創(chuàng)建（進入

16、）一個域SwitchAdomain Huawei在域 huawei 中引用名為“cams”的認證方案 SwitchA-isp-huaweiradius-scheme cams 11. 將 huawei 域設(shè)置為缺省域 SwitchAdomain default enable huaweiTELNET訪 問控制配置】設(shè)置只允許符合 ACL1的 IP地 址登錄交換機 SwitchA-ui-vty0-4acl 1 inbound設(shè)置規(guī)則只允許某網(wǎng)段登錄SwitchAacl number 1SwitchA-acl-basic-1SwitchA-acl-basic-1rule permit source

17、 設(shè)置規(guī)則只禁止某網(wǎng)段登錄SwitchAacl number 1SwitchA-acl-basic-15555SwitchA-acl-basic-1rule deny source 測試 驗證1.PC屬 于vlan10 可 以telnet 到SwitchA 和SwitchB 上 ，2.PC屬 于其它 vlan 不能telnet 到SwitchA ，能夠 telnet 到SwitchB 上交換機遠程 AUX 口登錄功能需求及組網(wǎng)說明通過 AUX 口遠程登錄交換機配置環(huán)境參數(shù).5. 組網(wǎng)需求交換機通過 82882285 連接到 PSTNPC通 過82882275 連接到 PSTN 目

18、前的命令行配置的交換機 console 口和 aux 口是合二為一的 連接交換機和 modem 要采用專用的 aux 線纜 modem 要設(shè)置成自動應(yīng)答方式1.PC遠 程撥號，通過交換機 AUX口 （即 console 口）登錄到交換機進行配置數(shù)據(jù) 配置 步驟PC撥 入交換機流程將交換機 AUX 口配置成 MODEM 屬性，因為交換機 console 和 AUX 口合二為一，需要 注意配 置 MODEM 屬性以后，在本地使用串口線將無法對交換機進行操作。在遠端 PC超 級終端上輸入 命令及登錄交換機。AUX口 遠程撥號配置】進入用戶界面視圖Quidway user-interface aux

19、0將AUX口 配置 MODEM 撥號屬性Quidway-ui-aux0modem測試驗證物理連接后在 PC上 啟用超級終端， PC上 的端口選擇和 modemA 相連的 口在超級終端屏幕上鍵入命令 atdt 82882285 （與交換機 modemB 的）回車，出現(xiàn)交換機提示符例如 可以在超級終端上進行操作交換機 debug 信息開關(guān)配置環(huán)境參數(shù)1. PC連 接在 SwitchA 的端口E0/1 ，IP地 址/242. SwitchA 管理 vlan10， IP地 址 /24 組網(wǎng)需求在超級終端上可以打出 debug 信 息在遠程 telnet 終端上可以看到 debug 信息2 數(shù)據(jù)配置步驟

20、debug 信息使用流程在實際使用中， debug 信息主要用來進行數(shù)據(jù)調(diào)測或者故障定位。如果交換機在運 行中并且有 很重要的業(yè)務(wù)，請慎重使用這些命令，因為這些命令一旦開啟將會占用很多系統(tǒng)資 源，在調(diào)測 完畢一定要關(guān)閉 debug 信息，恢復(fù)其它參數(shù)到初始狀態(tài)，以便于其他人 員后期維護。vlan 相關(guān)配置】vlan10創(chuàng)建（進入） SwitchAvlan 10將 E0/1 加入到 vlan10SwitchA-vlan10port Ethernet 0/1 3. 創(chuàng) 建（進入） vlan10 的 虛接口SwitchAinterface Vlan-interface 10 4. 給 vlan10

21、的虛接口配置 IP地 址SwitchA-Vlan-interface10ip address TELNET密 碼驗證配置】進入用戶界面視圖 SwitchAuser-interface vty 0 4設(shè)置認證方式為密碼驗證方式 SwitchA-ui-vty0-4authentication-mode password 3. 設(shè)置明文密碼SwitchA-ui-vty0-4set authentication password simple Huawei缺省情況下，從 VTY用 戶界面登錄后可以訪問的命令級別為 0級。需要將用戶 的權(quán)限設(shè) 置為 3，這用戶可以進入系統(tǒng)視圖進行操作，否則只有 0級用戶

22、的權(quán) 限SwitchA-ui-vty0-4user privilege level 3 交換機所能夠查看到的 debug 信息】 為方便我們?nèi)粘＞S護和故障定位，交換機提供了豐富 而詳細的調(diào)試信息功能。在用戶視圖下面 打開調(diào)試開關(guān)，選擇所需要進行調(diào)試的模塊參數(shù)。debugging ?allAll debugging functionsarpARP modulebgpBGP moduleclusterCluster moduledeviceDevice managedhcp-relayDHCP relay moduledot1xSpecify 802.1x configuration inform

23、ationethernetEthernet modulefibFIB moduleftp-serverFTP server informationgarpGARP modulegmrpGMRP modulegvrpGVRP modulehabpHABP modulehgmpserverHGMP server moduleigmpIGMP moduleipIP modulelocal-serverLocal authentication server information macaddressMAC address table informationmodemModem modulemulti

24、castMulticast modulendpNDP moduleniNI module: NI Debuging informationntdpNTDP modulentp-serviceNTPmodule ospfOSPF modulepimPIM moduleradiusRadius moduleripRIP modulermonRMON debugging switchsnmp-agentSNMP modulestpSTP infomationtcpTCP moduletelnetTELNET moduleudpUDP modulevfsFilesystem modulevrrpVRR

25、P modulevtpVTP modulevtyVTY module向本地超級終端輸出 debug 信息】例如打開 ip 報文的調(diào)試開關(guān) debugging ip packet在用戶視圖模式下打開屏幕輸出開關(guān)。terminal monitor% Current terminal monitor is on 3. 在 用戶視圖模式下打開調(diào)試輸出開關(guān)。terminal debugging% Current terminal debugging is on 向遠程 telnet 終端輸出 debug 信息】例如打開 IP報 文的調(diào)試開關(guān)，需要注意的是終端 telnet 交換機使用的也是 IP報 文

26、所以這部分信息也會打到 t elnet 終端上debugging ip packet在用戶視圖模式下打開屏幕輸出開關(guān)。terminal monitor% Current terminal monitor is on 3. 在 用戶視圖模式下打開調(diào)試輸出開關(guān)。terminal debugging% Current terminal debugging is on缺省情況下 debug 信息只向 console 口 終端輸成信息，允許信息向 t elnet 終端輸 出SwitchAinfo-center monitor channel 0 如何關(guān)閉 debug 信息】關(guān)閉相應(yīng)報文或者全部 debu

27、g 信 息undo debugging ip packetundo debugging allDebugging for all modules has been switched off 2. 關(guān)閉 調(diào)試輸出開關(guān)undo terminal debugging% Current terminal debugging is off 3. 關(guān)閉 屏幕輸出開關(guān)undo terminal monitor% Current terminal monitor is off如果是關(guān)閉 telnet 終端輸出信息，還要恢復(fù)原來設(shè)置SwitchAundo info-center monitor channel3

28、 測試驗證可以在 PC的 超級終端或者 t elnet 終 端上看到 debug 信息能夠正確關(guān)閉 debug 信息交換機 SNMP 配置snmp 配置配置環(huán)境參數(shù)1.2.組網(wǎng)需求PC連 接在 SwitchA 的端口E0/1 ，IP地 址/24SwitchA 管理vlan10，IP地 址/24PC作 為SNMP 網(wǎng)管對交換機進行管理2 數(shù)據(jù)配置步驟SNMP管 理流程SNMP 分為NMS 和Agent 兩部分，NMS(Network Management Station )，是運行客 戶端程序的工作站，目前常用的網(wǎng)管平臺有 Sun NetManager 和IBM NetView ；Agent 是

29、 運 行在網(wǎng)絡(luò)設(shè)備上的服務(wù)器端軟件。 NMS 可以向Agent 發(fā)出GetRequest、 GetNextRequest 和SetRequest報 文， Agent 接收到 NMS 的請求報文后，根據(jù)報文類 型進行 Read 或 Write 操作，生成 Response 報文，并將報文返回給 NMS。Agent 在設(shè)備 發(fā)現(xiàn)重新啟動等異常情況時， 也會主動向 NMS 發(fā)送Trap 報文，向 NMS 匯報所發(fā)生的事件。 vlan 相關(guān)配置】交換機能夠使用 SNMP 管理，首先要具體管理 vlan 及 IP地 址1. 創(chuàng)建（進入） vlan10SwitchAvlan 10將 E0/1 加入到 vl

30、an10SwitchA-vlan10port Ethernet 0/1 3. 創(chuàng)建（進入） vlan10 的 虛接口SwitchAinterface Vlan-interface 10 4.給 vlan10 的虛接口配置 IP地 址SwitchA-Vlan-interface10ip address 【SNMP配 置】 一般情況下只需設(shè)置團體名和訪問權(quán)限設(shè)備即可被管理，其他為可選配置設(shè)置團體名和訪問權(quán)限SwitchAsnmp-agent community read publicSwitchAsnmp-agent community write private 2. 設(shè)置管理員標識、聯(lián)系方法以

31、及物理位置SwitchAsnmp-agent sys-info contact Mr.Wang-Tel:3306 SwitchAsnmp- agent sys-info location telephone-closet,3rd-floor 3. 允許交換機發(fā)送 Trap 信息SwitchAsnmp-agent trap enable4. 允許向網(wǎng)管工作站 發(fā) 送 Trap 報文，使用的團體名為 publicSwitchA snmp-agent target-host trap address udp-domain udp-port 5000 params securityname publi

32、c3 測試驗證PC能 夠 PING 通交換機管理地址2. 網(wǎng)管 PC能 夠?qū)粨Q機進行管理交換機 WEB 網(wǎng)管配置功能需求及組網(wǎng)說明WEB網(wǎng) 管配置配置環(huán)境參數(shù)1. PC連 接在 SwitchA 的端口E0/1 ，IP地 址/24SwitchA 管理 vlan10， IP地 址 /24組網(wǎng)需求PC通 過 IE對 交換機進行 WEB管 理數(shù)據(jù)配置步驟【vlan 相關(guān)配置】1. 創(chuàng)建（進入） vlan10SwitchAvlan 10將 E0/1 加入到 vlan10SwitchA-vlan10port Ethernet 0/1 3. 創(chuàng) 建（進入） vlan10 的 虛接口 SwitchAinte

33、rface Vlan-interface 10 4. 給 vlan10 的虛接口配置 IP地 址SwitchA-Vlan-interface10ip address 【W(wǎng)EB管 理配置】啟動 Snmp Agent 的 V3 版 本 SwitchAsnmp-agent sys-info version v3創(chuàng)建一個圍為 internet 的Snmp 視 圖 SwitchAsnmp-agent mib-view included wnmview internet創(chuàng)建一個需要進行認證的 Snmp V3 的組wnmgroup ，讀寫和接受 Trap 的視圖都 使用wnmviewSwitchAsnmp-

34、agent group v3 wnmgroup authenticationread-view wnmviewwrite-view wnmview notify-view wnmview創(chuàng)建一個Snmp V3 的用戶，用戶名是 wnm，認證密碼是 123456，采用MD5 方式 認證，不進行加密SwitchAsnmp-agent usm-user v3 wnm wnmgroupauthentication-mode md5123456設(shè)置Trap 主機地址為，接收Trap 的用戶名為 wnm，采用TrapV2c 格 式送 TrapSwitchAsnmp-agent target-host tr

35、ap address udp-domain params securityname wnm v2c激活標準 TrapSwitchAsnmp-agent trap enable standard補充說明】交換機如果需要支持 WEB網(wǎng) 管功能，在 FLASH里 需要加載 8個相關(guān)文件，如 果文件不 存在，請聯(lián)系售后技術(shù)支持。2. 目前5516、6500 和8016 均不支持 WEB網(wǎng) 管功能。測試驗證如果交換機和 PC機 的IP地 址不在同一個網(wǎng)段，或者需要在 PC機 上收到 Trap， 則需要 根據(jù) Web 網(wǎng)管主頁上的提示開發(fā) Java 權(quán)限，對于每個交換機，在 PC機 上 都需要開發(fā)權(quán) 限；

36、2. PC機 上需要安裝 JRE1.3以 上的版本。 JRE（ Java Runtime Environment ， Java 運行環(huán)境 ）可以在 Sun 公司的上免費下載。完成上述配置以后，在 PC 機打開瀏覽器，在地址欄輸入交換機的 IP 地址，將在 顯示的 頁面中點擊“圖形管理界面”，就進入圖形界面的 Web 網(wǎng)管。首先會彈出 對話框，如果使 用的是上面描述的配置，則用戶名輸入 wnm ，認證方式選擇 MD5，加密方式選擇空，認證 密碼輸入 123456 ，點擊確定。后面就可以根據(jù) 菜單和對話框的提示通過 Web 網(wǎng) 管對交換 機進行查詢和配置了。交換機 VLAN 配置SwitchA 端

37、口E0/1 屬于VLAN2，E0/2 屬于VLAN3 組網(wǎng)需求把交換機端口 E0/1 加入到 VLAN2 ，E0/2 加入到VLAN32 數(shù)據(jù)配置步驟VLAN配 置流程缺省情況下所有端口都屬于 VLAN 1，并且端口是 access端 口，一個 access端 口 只能屬于一個 vlan；2. 如果端口是 access端 口，則把端口加入到另外一個 vlan的 同時，系統(tǒng)自動把 該端口 從原來的 vlan 中 刪除掉；除了 VLAN1 ，如果 VLAN XX 不存在，在系統(tǒng)視圖下鍵入 VLAN XX，則創(chuàng)建 VLAN XX 并進入VLAN 視圖；如果 VLAN XX已 經(jīng)存在，則進入 VLAN

38、視 圖。SwitchA 相關(guān)配置】 方法一：1. 創(chuàng)建（進入） vlan2SwitchAvlan 2將端口 E0/1 加入到 vlan2SwitchA-vlan2port ethernet 0/1 3.創(chuàng)建（進入） vlan3 SwitchA-vlan3vlan 3將端口 E0/2 加入到 vlan3SwitchA-vlan3port ethernet 0/2方法二：1. 創(chuàng)建（進入） vlan2 SwitchAvlan 2進入端口 E0/1 視 圖SwitchAinterface ethernet 0/1 3.指定端口 E0/1 屬于 vlan2 SwitchA-Ethernet1port

39、access vlan 2 4.創(chuàng)建（進入） vlan3 SwitchAvlan 3進入端口 E0/2 視 圖SwitchAinterface ethernet 0/2 6.指定端口 E0/2 屬于 vlan3 SwitchA-Ethernet2port access vlan 33 測試驗證1. 使用命令 disp cur 可以看到端口 E0/1 屬于vlan2， E0/2 屬于 vlan3； 2.使用 display interface Ethernet 0/1 可以看到端口為 access端 口， PVID 為2；3.使用 display interface Ethernet 0/2 可

40、以看到端口為 access端 口， PVID 為3。端口的 trunk 屬性配置（一）功能需求及組網(wǎng)說明端口的 trunk 配置配置環(huán)境參數(shù)1.SwitchA 端口 E0/1 屬于vlan10，E0/2屬 于vlan20，E0/3與 SwitchB 端口E0/3互連SwitchB 端口 E0/1 屬于vlan10，E0/2屬 于vlan20，E0/3與 SwitchA 端口E0/3互連組網(wǎng)需求1.要求 SwitchA 的vlan10 的PC 與SwitchB 的vlan10 的PC互 通2.要求 SwitchA 的vlan20 的PC 與SwitchB 的vlan20 的PC互 通數(shù)據(jù) 配置

41、步驟vlan 透傳轉(zhuǎn)發(fā)流程報文在進入交換機端口時如果沒有 802.1Q 標記將被打上端口的 PVID（即defauld vlan ID），之后該數(shù)據(jù)包就只能在這個 vlan 域進行轉(zhuǎn)發(fā)，不同的 vlan 在二層之間是隔離開 的， 不能實現(xiàn)互相訪問。【 SwitchA 相關(guān)配置】1. 創(chuàng)建（進入） vlan10SwitchA vlan 102. 將 E0/1 加入到 vlan10SwitchA-vlan10port Ethernet 0/1 3. 創(chuàng) 建（進入） vlan20SwitchAvlan 204. 將 E0/2 加入到 vlan20SwitchA-vlan20port Ethernet

42、 0/2實際當中一般將上行端口設(shè)置成 trunk 屬性，允許 vlan 透傳 SwitchA-Ethernet0/3port link-type trunkvlan 值允許所有的 vlan 從 E0/3 端口透傳通過，也可以指定具體的 SwitchA-Ethernet0/3port trunk permit vlan allSwitchB相 關(guān)配置】1. 創(chuàng)建（進入） vlan10SwitchB vlan 102.將 E0/1 加入到 vlan10SwitchB-vlan10port Ethernet 0/1 3. 創(chuàng)建（進入） vlan20SwitchBvlan 204.將 E0/2 加入到

43、 vlan20SwitchB-vlan20port Ethernet 0/2實際當中一般將上行端口設(shè)置成 trunk 屬性，允許 vlan 透傳 SwitchB-Ethernet0/3port link-type trunk允許所有的 vlan 從 E0/3 端口透傳通過，也可以指定具體的 vlan 值SwitchB-Ethernet0/3port trunk permit vlan all補充說明】如果一個端口是 trunk 端口，則該端口可以屬于多個 vlan；2. 缺省情況下 trunk 端口的PVID 為1，可以在端口模式下通過命令 port trunk pvid vlan vlani

44、d 來修改端口的 PVID；如果從 trunk 轉(zhuǎn)發(fā)出去的數(shù)據(jù)報文的 vlani d 和端口的 PVID一 致，則該報文的 VLAN信息會被剝?nèi)?，這點在配置 trunk 端口時需要注意。一臺交換機上如果已經(jīng)設(shè)置了某個端口為 hybrid 端口，則不可以再把另外的 端口設(shè)置 為t runk 端 口。一般情況下最好指定端口允許通過哪些具體的 VLAN，不要設(shè)置允許所有的 VLAN 通過。測試 驗證.SwitchA vlan10 的PC可 以與SwitchB vlan10 的PC互 通 SwitchA vlan20 的PC可 以與SwitchB vlan20 的PC互 通SwitchA

45、 vlan10 的PC不 能與SwitchB vlan20 的PC互 通 SwitchA vlan20 的PC不 能與SwitchB vlan10 的PC互 通端口的 trunk 配置1234配置環(huán)境參數(shù)【 SwitchA 相關(guān)配置】 Word 文檔/24vlan20 PC地 址/24，網(wǎng)關(guān)為路由器 E0.2 子接口地址 /24SwitchA 管理vlan100 虛接口地址 /24，網(wǎng)關(guān)為路由 E0 接 口地址交換機端口 trunk 屬性配置vlan10、vlan20 和vlan100 能夠通過交換機透傳到路由器，并且能夠通過路由 器子 接口實現(xiàn)三層互通組網(wǎng)需求1.2 數(shù)據(jù)配置步驟1 功能需求

46、及組網(wǎng)說明SwitchA 端口E0/1 屬于vlan10，E0/2屬 于vlan20，E0/3與 Router 端口E0 互 連 vlan10 PC地 址 /24，網(wǎng)關(guān)為路由器 E0.1子 接口地址交換機配合路由器子接口數(shù)據(jù)配置流程 一般來說交換機與路由器子接口配合，都因為交 換機是二層交換機，沒有三層路由功能，通過 路由器終結(jié)二層交換機透傳過來的 vlan 數(shù)據(jù)包，實現(xiàn)三層互通，是此類組網(wǎng)的主要 目的。在 路由器子接口之間，各個網(wǎng)段之間為直連路由，如果要實現(xiàn)某些網(wǎng)段之 間的訪問控制，一般通 過在路由器上配置訪問控制列表來實現(xiàn)。 三層交換機由于本身支持多個虛接口，可以直接實現(xiàn)多網(wǎng)段之間的三層互

47、通，一 般不涉及此類 組網(wǎng)。Word 文檔vlan10創(chuàng)建（進入）SwitchA vlan 102. 將 E0/1 加入到 vlan10SwitchA-vlan10port Ethernet 0/1 3. 創(chuàng)建（進入） vlan20SwitchAvlan 204. 將 E0/2 加入到 vlan20SwitchA-vlan20port Ethernet 0/2實際當中一般將上行端口設(shè)置成 trunk 屬性，允許 vlan 透傳SwitchA-Ethernet0/3port link-type trunk允許所有的 vlan 從 E0/3 端口透傳通過，也可以指定具體的 vlan 值Switch

48、A-Ethernet0/3port trunk permit vlan all 7. 創(chuàng)建（進入） vlan100SwitchAvlan 1008. vlan100 可以不包含具體的端口9. 創(chuàng)建（進入） vlan100 的虛接口SwitchAinterface Vlan-interface 100 10. 給vlan100 的 虛接口配置 IP地 址SwitchA-Vlan-interface100ip address 設(shè)置E0/3 端口PVID 為100，將管理vlan100 送出去的報文 vlan 標記剝?nèi)?，送往?由器主接口SwitchA-Ethernet0/3port trunk p

49、vid vlan 100如果需要允許其它網(wǎng)段與交換機管理 vlan 地址互通，需要配置一條默認路由 SwitchAip route-static RouterA 相關(guān)配置】創(chuàng)建（進入） E0.1子 接口RouterAinter Ethernet 0.1 2. 在E0.1子 接口里封裝 vlan10RouterA-Ethernet0.1vlan-type dot1q vid 10 3.在 E0.1子 接口配置 IP地 址RouterA-Ethernet0.1ip address 4. 創(chuàng)建（進入） E0.2子 接口RouterAinter Ethernet 0.2 5. 在E0.2子 接口里封裝

50、 vlan20RouterA-Ethernet0.2vlan-type dot1q vid 20 6.在 E0.2子 接口配置 IP地 址RouterA-Ethernet0.2ip address 7.進入E0 接口SwitchB-vlan20port Ethernet 0RouterA-Ethernet0ip address 補充說明】如果一個端口是 trunk 端口，則該端口可以屬于多個 vlanport trunk pvid缺省情況下 trunk 端口的 PVID 為1，可以在端口模式下通過命令 vlan vlanid 來修改端口的 PVID一臺交換機上如果已經(jīng)設(shè)置了某個端口為 hybr

51、id 端口，則不可以再把另外的 端口設(shè)置 為t runk 端 口3 測試驗證PC都 能 PING 通自己的網(wǎng)關(guān)PC之 間能夠 PING通交換機能夠與路由器 E0 接口地址互通交換機端口 trunk 屬性配置（三）功能需求及組網(wǎng)說明端口的 trunk 配置配置環(huán)境參數(shù)1. SwitchA 端口E0/1 屬于vlan10，通過 E0/2 與SwitchC 端口E0/1 互連SwitchB 端口E0/1 屬于vlan20，通過 E0/2 與witchC 端口E0/2 互連SwitchC通 過 E0/3 與BAS設(shè) 備相連，管理 vlan100 虛接口地址 /24 組網(wǎng)需求1. 要求SwitchA 和

52、SwitchB 上的靜態(tài)vlan 都經(jīng)過SwitchC 能透傳到 BAS設(shè) 備上要求SwitchC 的管理vlan100 也能透傳到 BAS設(shè) 備上數(shù)據(jù) 配置 步驟【 SwitchA 相關(guān)配置】1. 創(chuàng)建（進入） vlan10SwitchA vlan 10將 E0/1 加入到 vlan10SwitchA-vlan10port Ethernet 0/1實際當中一般將上行端口設(shè)置成 trunk 屬性，允許 vlan 透傳SwitchA-Ethernet0/2port link-type trunk允許所有的 vlan 從 E0/3 端口透傳通過，也可以指定具體的 vlan 值 SwitchA-Et

53、hernet0/22port trunk permit vlan allSwitchB相 關(guān)配置】1. 創(chuàng)建（進入） vlan20SwitchBvlan 202. 將 E0/1 加入到 vlan20SwitchB-vlan20port Ethernet 0/1實際當中一般將上行端口設(shè)置成 trunk 屬性，允許 vlan 透傳 SwitchB-Ethernet0/2port link-type trunk允許所有的 vlan 從 E0/2 端口透傳通過，也可以指定具體的 vlan 值 SwitchB-Ethernet0/2port trunk permit vlan allvlan disab

54、le 的 引出及處理流程SwitchC 在這個位置上起到一個匯聚的作用，要將下層設(shè)備透傳上來的所有vlan 再全部透傳到 BAS設(shè) 備上，公司目前中低端交換機產(chǎn)品在進行 vlan 透傳時要求交換機本身必須存 在這個 vlan 實體，否則不允許透傳。而目前在實際組網(wǎng)當中很多時候使用 2008/2016/2403H/2026/3026 等交換機進行匯聚，而這些交換機本身最多只能配置 32 個 vlan，而下層交換機需要透傳的 vlan 總數(shù)遠遠超過這個數(shù)目，公司在這些產(chǎn)品上 增加了 vlan disable 功 能。如果交換機開啟 vlan disable 功能，數(shù)據(jù)處理將分成兩個獨立的流程：業(yè)務(wù)

55、流程和主機 流程， 業(yè)務(wù)流程是在收到標準的 802.1Q 的vlan 數(shù)據(jù)包不進行任何處理，無論端口是 trunk、hybrid 還是 access屬 性，都直接進行轉(zhuǎn)發(fā)；而主機流程是針對管理 vlan 來說的 ，如果交換機配置 了管理 vlan，此時送出交換機的管理 vlan 報文將是攜帶著 802.1Q 的 標記，端口的 trunk 、 hybrid 或者access屬 性對管理 vlan 的報文仍然有效。SwitchC相 關(guān)配置】如果下層設(shè)備通過 SwitchA 和SwitchB 透傳的 vlan 總數(shù)不超過 SwitchC 本 身支持 vlan 的數(shù)目， SwitchC 按如下步驟進行

56、配置：1. 創(chuàng)建（進入） vlan10、vlan20、vlan100，可以不包含具體端口SwitchC vlan 10SwitchC vlan 20SwitchC vlan 1002. 創(chuàng)建進入 vlan100 的虛接口SwitchCinterface Vlan-interface 100 3.給 vlan100 的虛接口配置 IP地 址SwitchC-Vlan-interface100ip address 4.實際當中一般將上行端口設(shè)置成 trunk 屬性，允許 vlan 透傳SwitchC-Ethernet0/1portlink-typetrunkSwitchC-Ethernet0/2po

57、rtlink-typetrunkSwitchC-Ethernet0/3port link-type trunkvlan 值允許所有的 vlan 從E0/1 、E0/2 和E0/3 端口透傳通過，也可以指定具體的 SwitchC-Ethernet0/1port trunk permit vlan all SwitchC-Ethernet0/2port trunk permit vlan all SwitchC-Ethernet0/3port trunk permit vlan all如果通過 SwitchC 透傳的 vlan 總數(shù)超過 32 個，并且使用 2008/2016/2403H/2026

58、/3026 等支持 vlan disable 功能的交換機， SwitchC 按如下數(shù)據(jù)進行配置： 1.起用 vlan disable 功 能SwitchCvlan disable 2. 創(chuàng) 建（進入） vlan100 SwitchC vlan 100創(chuàng)建進入 vlan100 的虛接口 SwitchCinterface Vlan-interface 100 4.給 vlan100 的虛接口配置 IP地 址 SwitchC-Vlan-interface100ip address 5.實際當中一般將上行端口設(shè)置成 trunk 屬性，允許 vlan 透傳 SwitchC-Ethernet0/3por

59、t link-type trunk允許所有的 vlan 從 E0/3 端口透傳通過，也可以指定具體的 vlan 值，這里允許 vlan透傳主要是透傳管理 vlanSwitchC-Ethernet0/3port trunk permit vlan all【補充說明】如果一個端口是 trunk 端口，則該端口可以屬于多個 vlan；2. 缺省情況下 trunk 端口的PVID 為1，可以在端口模式下通過命令 port trunk pvid vlan vlanid 來修改端口的 PVID；如果從 trunk 轉(zhuǎn)發(fā)出去的數(shù)據(jù)報文的 vlani d 和端口的 PVID一 致，則該報文的 VLAN信息會被

60、剝?nèi)ィ@點在配置 trunk 端口時需要注意。一臺交換機上如果已經(jīng)設(shè)置了某個端口為 hybrid 端口，則不可以再把另外的 端口設(shè)置 為t runk 端 口。測試驗證vlan10 和vlan20 的PC 發(fā)送出去的數(shù)據(jù)包都能夠攜帶著 vlan 標記送到 BAS設(shè) 備上 2.BAS設(shè) 備能夠管理 SwitchC交換機端口 hybrid 屬性配置功能需求及組網(wǎng)說明端口hybrid 屬性的配置配置環(huán)境參數(shù)1. 交換機 E0/1 和E0/2 屬于vlan102. 交換機 E0/3 屬于 vlan20交換機 E0/4 和E0/5 屬于vlan30交換機 E0/23 連接 Server1交換機 E0/24