網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第3章-局域網(wǎng)和虛擬局域網(wǎng) 華三版-03華三篇

第3章

局域網(wǎng)和虛擬局域網(wǎng)編著：

秦?zé)鰟诖浣?/p>

同一樓層、同一建筑方圓幾米到幾千米范圍之內(nèi)的計(jì)算機(jī)通信網(wǎng)絡(luò)通常稱為局域網(wǎng)（LAN）。常見(jiàn)的局域網(wǎng)技術(shù)包括以太網(wǎng)Ethernet、令牌環(huán)TokenRing、光纖分布式數(shù)據(jù)接口FDDI等，以太網(wǎng)是一種基于CSMA/CD的共享通信介質(zhì)的數(shù)據(jù)網(wǎng)絡(luò)通信技術(shù)，傳輸速率從早期的10Mbps的標(biāo)準(zhǔn)以太網(wǎng)，發(fā)展到了100Mbps的快速以太網(wǎng)、1Gbps的吉比特以太網(wǎng)和10Gbps的萬(wàn)兆以太網(wǎng)，成為局域網(wǎng)技術(shù)的主流。3.1沖突域和廣播域早期采用同軸電纜或集線器組成的網(wǎng)絡(luò)屬于共享式以太網(wǎng)，網(wǎng)絡(luò)中的所有終端主機(jī)都處于同一沖突域中，網(wǎng)絡(luò)的帶寬是由接入的主機(jī)共享的，接入的主機(jī)越多，每臺(tái)主機(jī)獲得的帶寬就越少，沖突發(fā)生的頻率也越高。采用交換機(jī)組成的網(wǎng)絡(luò)則屬于交換式以太網(wǎng)，各端口處于不同沖突域中，各端口可同時(shí)轉(zhuǎn)發(fā)數(shù)據(jù)而不引發(fā)沖突，提高了轉(zhuǎn)發(fā)效率和轉(zhuǎn)發(fā)質(zhì)量。交換機(jī)和集線器的沖突域不同，但它們的廣播域卻類似。不論是交換機(jī)還是集線器，它們的端口都處在各自的同一個(gè)廣播域中。一些不必要的廣播幀不但占用網(wǎng)絡(luò)資源，還影響到網(wǎng)絡(luò)安全；當(dāng)有網(wǎng)絡(luò)設(shè)備發(fā)生故障，導(dǎo)致廣播幀不停發(fā)送時(shí)，更會(huì)導(dǎo)致廣播風(fēng)暴，影響正常的網(wǎng)絡(luò)通信。因此，有必要按網(wǎng)絡(luò)規(guī)模和需求將廣播隔離在必要的范圍內(nèi)。隔離廣播的一種方法是物理隔離，即將需要隔離廣播的網(wǎng)絡(luò)分別連接到不同的交換機(jī)，交換機(jī)再通過(guò)路由器連接到一起，實(shí)現(xiàn)不同網(wǎng)絡(luò)的互聯(lián)。這種情況下，當(dāng)本地廣播包經(jīng)過(guò)路由器時(shí)，路由器會(huì)將其攔截，實(shí)現(xiàn)了對(duì)本地廣播的隔離。但這種通過(guò)引入路由器隔離廣播的方法增加了成本；而且中低端路由器采用的是軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)的性能不高，是高成本、低性能的方案，并不可取。隔離廣播的另一種方法是劃分虛擬局域網(wǎng)(VLAN)。下面，我們?cè)敿?xì)學(xué)習(xí)VLAN的相關(guān)知識(shí)。3.2虛擬局域網(wǎng)

虛擬局域網(wǎng)（VLAN）技術(shù)是從邏輯上將一個(gè)局域網(wǎng)（LAN）劃分為多個(gè)邏輯上獨(dú)立的虛擬局域網(wǎng)（VLAN），從而達(dá)到隔離廣播的目的。IEEE802.1q協(xié)議規(guī)定了VLAN的實(shí)現(xiàn)方法，即在傳統(tǒng)的不帶VLAN標(biāo)簽的數(shù)據(jù)幀上添加4個(gè)字節(jié)的802.1Q標(biāo)簽，其中的12比特用于存放VLANID，標(biāo)識(shí)不同的VLAN。12比特的取值范圍是0~4095，其中0和4095被保留，能分配給用戶使用的VLANID范圍是1~4094。

VLAN的類型有基于MAC地址的VLAN、基于IP子網(wǎng)的VLAN、基于協(xié)議的VLAN、基于端口的VLAN等。在還沒(méi)創(chuàng)建新VLAN之前，交換機(jī)的所有端口都默認(rèn)屬于VLAN1，VLAN1是默認(rèn)存在且不能被刪除的。下面通過(guò)案例來(lái)分析VLAN的劃分。

3.2.3華三設(shè)備配置VLAN

如圖3-5所示，在HCL中拖出兩臺(tái)S5820V2交換機(jī)和9臺(tái)PC搭建拓?fù)洹W(xué)校一樓和二樓的交換機(jī)都連接了信工學(xué)院、機(jī)電學(xué)院和財(cái)務(wù)處的電腦，兩臺(tái)交換機(jī)的g1/0/1-g1/0/9端口劃分給信工學(xué)院，g1/0/10-g1/0/19端口劃分給機(jī)電學(xué)院，g1/0/20-g1/0/29劃分給財(cái)務(wù)處，樓層間兩臺(tái)交換機(jī)的fg1/0/53端口通過(guò)交叉線連接。

圖3-5樓層間兩臺(tái)華三交換機(jī)相連的網(wǎng)絡(luò)拓?fù)?/p>

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測(cè)試所有電腦都能互相ping通。

2.為加強(qiáng)安全，避免部門間廣播幀的干擾，決定將信工學(xué)院保留在VLAN1、機(jī)電學(xué)院劃分到VLAN10、財(cái)務(wù)處劃分到VLAN100。

3.為1樓交換機(jī)劃分VLAN，將各端口加入到相應(yīng)VLAN中。命令如下：<H3C>system-view[H3C]sysnameSW1[SW1]vlan1//進(jìn)入VLAN1配置視圖，VLAN1是默認(rèn)存在且不能被刪除的，交換機(jī)的所有端口都默認(rèn)屬于VLAN1[SW1-vlan1]namexinGong//將VLAN1命名為xinGong[SW1-vlan1]quit//返回系統(tǒng)視圖[SW1]vlan10//創(chuàng)建VLAN10[SW1-vlan10]namejiDian//將VLAN10命名為jiDian[SW1-vlan10]quit[SW1]vlan100[SW1-vlan100]namecaiWu[SW1-vlan100]quit[SW1]interfacerangeGigabitEthernet1/0/1toGigabitEthernet1/0/9//進(jìn)入批量端口g1/0/1-g1/0/9的端口配置視圖[SW1-if-range]portlink-typeaccess//將端口g1/0/1-g1/0/9的類型配置為access，這些端口默認(rèn)屬于VLAN1[SW1-if-range]quit[SW1]interfacerangeGigabitEthernet1/0/10toGigabitEthernet1/0/19//進(jìn)入批量端口g1/0/10-g1/0/19的端口配置視圖[SW1-if-range]portlink-typeaccess//將端口g1/0/10-g1/0/19的類型配置為access[SW1-if-range]portaccessvlan10//將端口g1/0/10-g1/0/19劃分給VLAN10[SW1-if-range]quit[SW1]interfacerangeGigabitEthernet1/0/20toGigabitEthernet1/0/29[SW1-if-range]portlink-typeaccess[SW1-if-range]portaccessvlan100[SW1-if-range]quit

4.為2樓交換機(jī)劃分VLAN，按規(guī)劃將相應(yīng)端口加入到相應(yīng)VLAN中。配置命令與1樓交換機(jī)配置命令相同。

5.查看交換機(jī)SW2的VLAN信息，命令如下：SW2#displayvlanbrief可以看到用于連接信工學(xué)院電腦的g1/0/1-g1/0/9端口屬于VLAN1、用于連接一樓交換機(jī)的fg1/0/53端口也屬于VLAN1等信息。

6.通過(guò)在電腦上執(zhí)行ping測(cè)試，檢測(cè)1樓和2樓間只有屬于VLAN1的信工學(xué)院電腦能互通，1樓和2樓間機(jī)電學(xué)院的電腦不能互通，1樓和2樓間財(cái)務(wù)處的電腦也不能互通。3.3跨交換機(jī)的VLAN連接

“劃分VLAN”的案例中，一樓和二樓交換機(jī)之間通過(guò)屬于VLAN1的Access類型的端口相連，只有VLAN1的流量通過(guò)，其它VLAN的流量無(wú)法通過(guò)。若要使其它VLAN的流量也能跨越交換機(jī)在樓層間傳輸，需要為每個(gè)VLAN都增加一根網(wǎng)線，網(wǎng)線兩端的端口都設(shè)為Access模式，并把相應(yīng)端口劃分給該VLAN。這樣的話，有幾個(gè)VLAN要跨越交換機(jī)傳輸，交換機(jī)間就需要有幾根連線。大量VLAN的情況下，這種做法是不現(xiàn)實(shí)的。那么，交換機(jī)間的一根網(wǎng)線能否同時(shí)允許各VLAN通過(guò)呢？答案是肯定的。這就需要用到交換機(jī)端口的一種稱為Trunk的模式了。之前介紹的Access模式的端口只能屬于某一個(gè)VLAN，只有該VLAN能通過(guò)該端口，其它VLAN是無(wú)法通過(guò)的，這種模式的端口通常用來(lái)連接電腦；Trunk模式的端口則可設(shè)置成允許部分VLAN或所有VLAN都通過(guò)，這種模式的端口通常用于交換機(jī)間的互連。3.3.3華三設(shè)備配置Trunk1.將一樓交換機(jī)SW1的端口fg1/0/53設(shè)置為trunk類型,命令如下：[SW1]interfaceFortyGigE1/0/53//進(jìn)入fg1/0/53端口配置視圖[SW1-FortyGigE1/0/53]portlink-typetrunk//將端口fg1/0/53設(shè)置為trunk類型[SW1-FortyGigE1/0/53]porttrunkpermitvlanall//允許所有VLAN通過(guò)[SW1-FortyGigE1/0/53]quit[SW1]displayporttrunk//查看trunk類型的端口InterfacePVIDVLANPassingFGE1/0/5311,10,100可以看到端口FGE1/0/53的類型為trunk，VLAN1是本征VLAN，允許通過(guò)的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機(jī)的配置和測(cè)試與一樓交換機(jī)的配置和測(cè)試命令一樣。3.在電腦上進(jìn)行ping測(cè)試，觀察各部門內(nèi)部的電腦可以跨樓層互通。3.4VLAN同步及動(dòng)態(tài)注冊(cè)

在多臺(tái)交換機(jī)需要配置相同VLAN信息的網(wǎng)絡(luò)環(huán)境中，可采用VTP、GVRP或MVRP等協(xié)議進(jìn)行交換機(jī)間VLAN的同步、簡(jiǎn)化操作步驟。VTP協(xié)議（VLANTrunkProtocol）是思科的私有協(xié)議。需要共享和同步VLAN信息的思科交換機(jī)可組成一個(gè)VTP域（VTPDomain），VTP域中一臺(tái)交換機(jī)上的VLAN創(chuàng)建或修改信息可自動(dòng)同步到其它交換機(jī)上。VLAN信息的同步需要借助Trunk鏈路傳播VTP通告來(lái)實(shí)現(xiàn)，VTP通告攜帶32位的修訂號(hào)（Revision）來(lái)代表修訂級(jí)別，修訂號(hào)的初始值是0，它會(huì)不斷增加，新修訂號(hào)的VLAN信息會(huì)覆蓋舊修訂號(hào)的VLAN信息。

與思科VTP協(xié)議類似的有IEEE定義的國(guó)際標(biāo)準(zhǔn)協(xié)議GVRP（GARPVLANRegistrationProtocol，GARPVLAN注冊(cè)協(xié)議）、華為的私有協(xié)議VCMP（VLANCentralManagementProtocol，VLAN集中管理協(xié)議）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用屬性注冊(cè)協(xié)議）的一個(gè)應(yīng)用，GARP是一個(gè)通用協(xié)議的模板，用于屬性的動(dòng)態(tài)注冊(cè)和注銷，GVRP則用于VLAN信息的動(dòng)態(tài)注冊(cè)和注銷。

與GVRP協(xié)議相比，VCMP只能同步VLAN配置，而不能將端口動(dòng)態(tài)地劃分到VLAN，即通過(guò)VCMP創(chuàng)建的VLAN是靜態(tài)VLAN，而通過(guò)GVRP創(chuàng)建的VLAN是動(dòng)態(tài)VLAN。

GARP的升級(jí)版是MRP（MultipleRegistrationProtocol，多屬性注冊(cè)協(xié)議），相應(yīng)的，GVRP的升級(jí)版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊(cè)協(xié)議）。MVRP可兼容GVRP。3.4.3華三設(shè)備配置MVRPGARP的升級(jí)版是MRP（MultipleRegistrationProtocol，多屬性注冊(cè)協(xié)議），相應(yīng)的，GVRP的升級(jí)版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊(cè)協(xié)議）。MVRP可兼容GVRP。如圖3-8所示，在HCL中搭建拓?fù)?。圖3-8華三交換機(jī)配置MVRP的網(wǎng)絡(luò)拓?fù)?/p>

一、基本配置

1.各PC的地址按拓?fù)渲械囊?guī)劃進(jìn)行配置。

2.在SW1和SW3上創(chuàng)建VLAN10，將g1/0/1端口加入VLAN10；將交換機(jī)間的鏈路設(shè)置為trunk鏈路，允許所有vlan通過(guò)。命令如下：<H3C>system-view//SW1的配置[H3C]sysnameSW1[SW1]vlan10[SW1-vlan10]portGigabitEthernet1/0/1[SW1-vlan10]quit[SW1]interfaceGigabitEthernet1/0/48[SW1-GigabitEthernet1/0/48]portlink-typetrunk[SW1-GigabitEthernet1/0/48]porttrunkpermitvlanall[SW1-GigabitEthernet1/0/48]quit<H3C>system-view//SW2的配置[H3C]sysnameSW2[SW2]interfaceGigabitEthernet1/0/47[SW2-GigabitEthernet1/0/47]portlink-typetrunk[SW2-GigabitEthernet1/0/47]porttrunkpermitvlanall[SW2-GigabitEthernet1/0/47]quit[SW2]interfaceGigabitEthernet1/0/48[SW2-GigabitEthernet1/0/48]portlink-typetrunk[SW2-GigabitEthernet1/0/48]porttrunkpermitvlanall[SW2-GigabitEthernet1/0/48]quit<H3C>system-view//SW3的配置[H3C]sysnameSW3[SW3]vlan10[SW3-vlan10]portGigabitEthernet1/0/1[SW3-vlan10]quit[SW3]interfaceGigabitEthernet1/0/48[SW3-GigabitEthernet1/0/48]portlink-typetrunk[SW3-GigabitEthernet1/0/48]porttrunkpermitvlanall[SW3-GigabitEthernet1/0/48]quit

3.進(jìn)行跨交換機(jī)的屬于VLAN10的PC互ping測(cè)試，在PC1上ping192.168.1.20，發(fā)現(xiàn)無(wú)法ping通。

4.查看SW1、SW2、SW3的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息TotalVLANs:2TheVLANsinclude:1(default),10[SW1]displayvlan10Taggedports:GigabitEthernet1/0/48Untaggedports:GigabitEthernet1/0/1[SW2]displayvlan//查看SW2的VLAN信息TotalVLANs:1TheVLANsinclude:1(default)[SW3]displayvlan//查看SW3的VLAN信息TotalVLANs:2TheVLANsinclude:1(default),10[SW3]displayvlan10Taggedports:GigabitEthernet1/0/48Untaggedports:GigabitEthernet1/0/1可以看到，SW1和SW3都有VLAN10，但中間的SW2上沒(méi)有VLAN10，SW2收到VLAN10的數(shù)據(jù)幀時(shí)，無(wú)法找到轉(zhuǎn)發(fā)的出端口，故將其丟棄，導(dǎo)致兩臺(tái)PC無(wú)法ping通。解決方法是在SW2上增加VLAN10。

二、開(kāi)啟MVRP

1.在各交換機(jī)上開(kāi)啟MVRP功能，在Trunk端口上啟用MVRP協(xié)議，命令如下：[SW1]mvrpglobalenable//SW1的配置[SW1]interfaceGigabitEthernet1/0/48[SW1-GigabitEthernet1/0/48]mvrpenable[SW1-GigabitEthernet1/0/48]quit[SW2]mvrpglobalenable//SW2的配置[SW2]interfacerangeGigabitEthernet1/0/47GigabitEthernet1/0/48[SW2-if-range]mvrpenable[SW2-if-range]quit[SW3]mvrpglobalenable//SW3的配置[SW3]interfaceGigabitEthernet1/0/48[SW3-GigabitEthernet1/0/48]mvrpenable[SW3-GigabitEthernet1/0/48]quit

2.查看SW2上的VLAN信息，命令如下：[SW2]displayvlanTotalVLANs:2TheVLANsinclude:1(default),10[SW2]displayvlandynamicDynamicVLANs:1ThedynamicVLANsinclude:10[SW2]displayvlan10Taggedports:GigabitEthernet1/0/47GigabitEthernet1/0/48Untaggedports:None可以看到，SW2學(xué)到了VLAN10，其上的trunk端口g1/0/47和g1/0/48也都將VLAN10列入了允許通行的列表。

3.在PC1上ping192.168.1.20，可以ping通了。原因是SW2上學(xué)到了VLAN10，其上的trunk端口g1/0/47和g1/0/48都可以對(duì)VLAN10進(jìn)行轉(zhuǎn)發(fā)了。

三、MVRP端口的Nomal模式與GVRP類似，MVRP端口注冊(cè)模式也分為Normal、Fixed和Forbidden三種。其中Normal模式是缺省模式，Normal模式允許該端口動(dòng)態(tài)注冊(cè)或注銷VLAN、傳播動(dòng)態(tài)VLAN和靜態(tài)VLAN信息。下面觀察Nomal模式的注冊(cè)過(guò)程。1.在SW1上創(chuàng)建VLAN20，在SW1、SW2、SW3上查看VLAN信息。命令如下：[SW1]vlan20//在SW1上創(chuàng)建VLAN20[SW1-vlan20]portGigabitEthernet1/0/2[SW1]displayvlan//在SW1上查看VLAN信息TotalVLANs:3TheVLANsinclude:1(default),10,20[SW1]displayvlandynamicNodynamicVLANexists.[SW1]displayporttrunkInterfacePVIDVLANPassingGE1/0/4811,10,20[SW2]displayvlan//在SW2上查看VLAN信息TotalVLANs:3TheVLANsinclude:1(default),10,20[SW2]displayvlandynamicDynamicVLANs:2ThedynamicVLANsinclude:10,20[SW2]displayporttrunkInterfacePVIDVLANPassingGE1/0/4711,10,20GE1/0/4811,10[SW3]displayvlan//在SW3上查看VLAN信息TotalVLANs:3TheVLANsinclude:1(default),10,20[SW3]displayvlandynamicDynamicVLANs:1ThedynamicVLANsinclude:20

[SW3]displayporttrunkInterfacePVIDVLANPassingGE1/0/4811,10,20

可以看到：SW1的g1/0/48、SW2的g1/0/47，SW3的g1/0/48都將VLAN20列入了允許通行VLAN；SW2的g1/0/48沒(méi)有將VLAN20作為允許通行VLAN。

2.在SW3上創(chuàng)建VLAN20,SW2的g1/0/48作為VLAN聲明沿途交換機(jī)的入端口，將注冊(cè)VLAN20，并將該VLAN加入該端口允許通行的VLAN列表中。命令如下：[SW3]vlan20//在SW3上創(chuàng)建VLAN20[SW3-vlan20]portGigabitEthernet1/0/2[SW3-vlan20]quit[SW2]displayporttrunk//在SW2上查看trunk端口信息InterfacePVIDVLANPassingGE1/0/4711,10,20GE1/0/4811,10,20

可以看到，在SW3上創(chuàng)建VLAN20后,SW2的g1/0/48端口學(xué)到和注冊(cè)了該VLAN、并將其加入到了該端口允許通行的VLAN列表中。

四、MVRP端口的fixed注冊(cè)模式

Fixed模式的端口禁止該端口動(dòng)態(tài)注冊(cè)或注銷VLAN，只傳播靜態(tài)VLAN信息，不傳播動(dòng)態(tài)VLAN信息。下面加以驗(yàn)證。

1.將SW1的Trunk端口g1/0/48修改為Fixed注冊(cè)模式，命令如下：[SW1]interfaceGigabitEthernet1/0/48[SW1-GigabitEthernet1/0/48]mvrpregistrationfixed[SW1-GigabitEthernet1/0/48]quit

2.在SW3上添加VLAN30，命令如下：[SW3]vlan30[SW3-vlan30]quit

3.在SW3、SW2、SW1上查看VLAN信息，命令如下：[SW3]displayvlan//在SW3上查看VLAN信息TotalVLANs:4TheVLANsinclude:1(default),10,20,30[SW2]displayvlan//在SW2上查看VLAN信息TotalVLANs:4TheVLANsinclude:1(default),10,20,30[SW2]displayvlandynamicDynamicVLANs:3ThedynamicVLANsinclude:10,20,30[SW1]displayvlan//在SW1上查看VLAN信息TotalVLANs:3TheVLANsinclude:1(default),10,20[SW1]displayvlandynamicNodynamicVLANexists.

4.查看SW1的MVRP統(tǒng)計(jì)信息,命令如下：[SW1]displaymvrprunning-statusRegistrationType:Fixed

5.查看SW1的trunk信息，命令如下：[SW1]displayporttrunkInterfacePVIDVLANPassingGE1/0/4811,10,20可以看到，SW2學(xué)到了VLAN30，SW1沒(méi)有學(xué)到VLAN30。這是因?yàn)镕ixed模式只傳播靜態(tài)VLAN，不傳播動(dòng)態(tài)VLAN。

五、MVRP端口的Forbidden注冊(cè)模式Forbidden模式的端口禁止該端口動(dòng)態(tài)注冊(cè)或注銷VLAN，不傳播VLAN1以外的任何的VLAN信息。將SW1的g1/0/48改為Forbidden模式的命令如下：[SW1]interfaceGigabitEthernet1/0/48[SW1-GigabitEthernet1/0/48]mvrpregistrationforbidden3.5Hybrid端口和PrivateVLAN技術(shù)

小區(qū)寬帶采用LAN方式接入時(shí)，為了保障接入用戶的隱私、安全和便于管理計(jì)費(fèi)，可通過(guò)劃分VLAN對(duì)各接入用戶進(jìn)行隔離，并為每個(gè)VLAN分配一個(gè)網(wǎng)段，但這樣做IP地址消耗過(guò)大；另根據(jù)IEEE802.1q協(xié)議，可用的VLAN數(shù)只有4094個(gè)，若為每個(gè)用戶劃分一個(gè)VLAN，VLAN的數(shù)量是遠(yuǎn)遠(yuǎn)不夠的。

所以需要有技術(shù)將一個(gè)VLAN再次細(xì)分成多個(gè)VLAN，對(duì)上層屏蔽下層的VLAN，讓接入層的VLAN對(duì)運(yùn)營(yíng)商屏蔽，讓運(yùn)營(yíng)商只看到匯聚層的VLAN。同時(shí)，讓上層主端口的VLANIF地址和下層各從端口所連接電腦的地址處于同一網(wǎng)段，以節(jié)省地址空間。

Hybrid端口技術(shù)、PrivateVLAN（PVLAN，專用虛擬局域網(wǎng)）技術(shù)、MultiplexVLAN（MUX，復(fù)合VLAN）技術(shù)等，都能較好的實(shí)現(xiàn)相關(guān)功能。3.5.2華三交換機(jī)配置PrivateVLAN

Hybrid也是華三交換機(jī)的私有端口類型，通過(guò)PrivateVLAN技術(shù)可對(duì)華三交換機(jī)的端口執(zhí)行Hybrid批處理。

在HCL中搭建如圖3-10所示拓?fù)?，通過(guò)PrivateVLAN技術(shù)實(shí)現(xiàn)既讓PC1和PC2二層隔離，又讓PC1和PC2都能訪問(wèn)SW2。配置完成后可查看配置文件，觀察華三PrivateVLAN技術(shù)與端口Hybrid批處理的關(guān)系。圖中標(biāo)注的Hybrid端口信息是PrivateVLAN執(zhí)行批處理的結(jié)果。圖3-10華三交換機(jī)配置PrivateVLAN的網(wǎng)絡(luò)拓?fù)?/p>

1.在SW1上配置PrivateVLAN，命令如下：<H3C>system-view[H3C]sysnameSW1[SW1]vlan2to3[SW1]vlan10[SW1-vlan10]private-vlanprimary//將VLAN10的類型配置為Primary[SW1-vlan10]private-vlansecondary23//將VLAN2和VLAN3的類型配置為Secondary。完成以上配置后，“SecondaryVLAN2和3”與“PrimaryVLAN10”建立了映射關(guān)系。SecondaryVLAN與PrimaryVLAN能互訪，SecondaryVLAN之間互相隔離、不能互訪。[SW1-vlan10]quit[SW1]interfaceGigabitEthernet1/0/3[SW1-GigabitEthernet1/0/3]portprivate-vlan10promiscuous//參數(shù)promiscuous的作用是將端口配置成上行端口（位于上層）。本命令執(zhí)行的批處理是將本端口設(shè)置為Hybrid端口，端口的本征VLAN設(shè)置為VLAN10。允許通過(guò)的VLAN包括VLAN10、VLAN2和VLAN3，并且是去掉標(biāo)簽后不帶標(biāo)簽通過(guò)。即PrimaryVLAN10和SecondaryVLAN2、VLAN3都作為Hybrid端口G1/0/3的UntaggedVLAN。當(dāng)上行端口只對(duì)應(yīng)一個(gè)PrimaryVLAN時(shí)使用promiscuous模式，當(dāng)上行端口對(duì)應(yīng)多個(gè)PrimaryVLAN時(shí)使用trunkpromiscuous模式。此處g1/0/3只對(duì)應(yīng)一個(gè)PrimaryVLAN，所以使用promiscuous模式。[SW1-GigabitEthernet1/0/3]quit[SW1]intGigabitEthernet1/0/1[SW1-GigabitEthernet1/0/1]portaccessvlan2[SW1-GigabitEthernet1/0/1]portprivate-vlanhost//參數(shù)host的作用是將端口配置成下行端口（位于下層）。本命令執(zhí)行的批處理是將本端口設(shè)置為Hybrid端口，端口的本征VLAN設(shè)置為VLAN2。允許通過(guò)的VLAN包括VLAN10和VLAN2，并且是去掉標(biāo)簽后不帶標(biāo)簽通過(guò)。即SecondaryVLAN2和對(duì)應(yīng)的PrimaryVLAN10作為Hybrid端口G1/0/1的UntaggedVLAN。當(dāng)下行端口只對(duì)應(yīng)一個(gè)SecondaryVLAN時(shí)使用host模式，當(dāng)下行端口對(duì)應(yīng)多個(gè)SecondaryVLAN時(shí)使用trunkhost模式。此處g1/0/1只對(duì)應(yīng)一個(gè)SecondaryVLAN，所以使用host模式。[SW1-GigabitEthernet1/0/1]quit

[SW1]intGigabitEthernet1/0/2[SW1-GigabitEthernet1/0/2]portaccessvlan3[SW1-GigabitEthernet1/0/2]portprivate-vlanhost//參數(shù)host的作用是將端口配置成下行端口（位于下層）。本命令執(zhí)行的批處理是將本端口設(shè)置為Hybrid端口，端口的本征VLAN設(shè)置為VLAN3。允許通過(guò)的VLAN包括VLAN10和VLAN3，并且是去掉標(biāo)簽后不帶標(biāo)簽通過(guò)。即SecondaryVLAN3和對(duì)應(yīng)的PrimaryVLAN10作為Hybrid端口G1/0/1的UntaggedVLAN。[SW1-GigabitEthernet1/0/2]quit

2.查看配置完P(guān)rivateVLAN后交換機(jī)自動(dòng)執(zhí)行的批處理結(jié)果。命令如下:[SW1]dispcurrent-configurationinterfaceGigabitEthernet1/0/1portlink-typehybridundoporthybridvlan1porthybridvlan210untaggedporthybridpvidvlan2portprivate-vlanhostinterfaceGigabitEthernet1/0/2portlink-typehybridundoporthybridvlan1porthybridvlan310untaggedporthybridpvidvlan3portprivate-vlanhostinterfaceGigabitEthernet1/0/3portlink-typehybridundoporthybridvlan1porthybridvlan2to310untaggedporthybridpvidvlan10portprivate-vlan10promiscuous

3.查看PrimaryVLAN和SecondaryVLAN的映射關(guān)系,命令如下：[SW1]displ