路由器交换机设备学习vlan配置Word下载.docx

路由器交换机设备学习vlan配置Word下载.docx

《路由器交换机设备学习vlan配置Word下载.docx》由会员分享，可在线阅读，更多相关《路由器交换机设备学习vlan配置Word下载.docx（29页珍藏版）》请在冰豆网上搜索。

●灵活的裁减和定制功能

VLAN简介：

VLAN（VirtualLocalAreaNetwork，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。

这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通。

Vlan优点：

1.限制广播域。

广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

2.增强局域网的安全性。

不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。

3.灵活构建虚拟工作组。

用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

VLAN是在数据链路层的，划分子网是在网络层的，所以不同子网之间的VLAN即使是同名也不可以相互通信。

PVID（portvlanidentifier）端口vlan标识符（vlan号）

Vlan标签长4个字节，

所有以太网帧在交换机内都是以taggedframe的形式流动的。

即某端口从本交换机其他端口收到的帧一定是tagged的。

某端口从对端设备收到的帧，可能是untagged或者是tagged的，如果收到的是taggedframe，则进入转发过程，如果该端口收到的是untaggedframe，则必须加上的标签。

以下几种方法可以确定标签中的VLANID取值：

基于端口：

网络管理员给交换机的每个端口配置PVID，即PortVLANID，有些场合称为端口默认VLAN。

如果收到的是untagged帧，则VLANID的取值为PVID。

基于MAC地址：

网络管理员配置好MAC地址和VLANID的映射关系表，如果收到的是untagged帧，则依据该表添加VLANID。

基于协议：

网络管理员配置好以太网帧中的协议域和VLANID的映射关系表，如果收到的是untagged帧，则依据该表添加VLANID。

基于子网：

根据报文中的IP地址信息，确定添加的VLANID。

基于策略：

安全性非常高，基于MAC地址+IP地址、MAC地址+IP地址+接口。

成功划分VLAN后，可以达到禁止用户改变IP地址或Vlan

注意：

设备同时支持多种方式时，一般情况下，优先使用顺序为：

基于策略→基于MAC地址→基于子网→基于协议→基于端口。

基于端口划分VLAN的优先级最低，但是是最常用的VLAN划分方式。

PVID英文解释为Port-baseVLANID，是基于端口的VLANID。

vid是报文上的vlantag的意思。

交换机上的端口分为三种：

一种是接入层端口直连设备的，叫做Access；

一种是交换机和交换机之间的端口负责汇聚的叫做Trunk，还有一种是Access与Trunk混合的模式，叫做Hybrid。

ACCESS:

Access端口负责接终端设备，他收到一个帧的时候，如果帧这个没有标记他就用自己的pvid给他打上标记，他在发出一个帧时如果VID=PVID就去掉标记（解标记）以保证传送给终端设备的帧没有被变动过（中间设备添加了标记），pvid是在划分vlan时候每个端口都有的属性，默认情况下思科交换机中每个端口初始pvid是1，表示他是vlan1的成员们如果你给他划分了其他VLAN那么PVID相应会发生更改,PVID并不是加在帧头的标记，而是端口的属性，用来标识端口接收到的未标记的帧。

ACCESS端口的特点是只允许符合PVID的流量通过。

TRUNK:

Trunk中继链路，允许各种VLAN通过.当收到一个没有tag的标记的时候就用自己的pvid给他标记，当发送一个帧时候如果vid=pvid则去掉pvid，与Access不同的是，Trunk有一个属于自己的本征VLAN（NativeVLAN,也叫PVID），用来发送一些cdp，bpdu等交换机间联系的数据或者管理流量，从交换机自身产生的帧在发出去的时候是不会带标记的（即原来不带tag的帧流经交换机时，进入（入端）打上标记，出端转发出去又不带标记了），因为VID=pvid所以标记被去掉，而对端（另一交换机）接收到没有标记的帧时候就会用自身本征VLAN的信息给他加上标记，然后查看交换表如果发现目的地址是自己则去掉标记，如果发现目的mac地址不是自己则继续转发给其他Trunk同时去掉标记（因为一个交换机只有一个本征VLAN所有pvid=vid去掉标记）

Hybrid:

　Hybrid是Access与Trunk的混合模式，它允许VID=pvid。

Hybrid与Trunk一样，在该端口上可以传送多个vlan的包，一般用于交换机与交换机之间，或者交换机与服务器之间的链接。

如果收到的数据包不带vlan，则加上pvid进行转发；

如果收到的数据包带vlan，则判断该端口是否允许该vlan进入，如果可以则进行转发，否则丢弃802.1Q的VLAN是在二层帧里加进VLAN标识，俗称打tag，而计算机不能解析这种二层的帧，所以交换机的一个端口在分到一个VLAN时有tag和untag属性两种属性，tag端口用来连接设备，untag端口用来连接计算机。

Tag端口出去的帧一般都打上了tag，tag中的VID有的来自PVID，有的则来自其它tag端口中本身就含有tag的帧。

设备互连时，由tag中的VID决定了一个二层帧属于哪个VLAN，而计算机不具备打tag的功能，所以只有给连接计算机的端口添加一个属性，用来决定计算机发出的未标记的帧属于哪个VLAN，这个属性就是PVID.

总结：

hybrid端口：

1、收到一个报文

2、判断是否有VLAN信息：

如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN的数据进入：

如果可以则转发，否则丢弃

发报文：

1、判断该VLAN在本端口的属性（dispinterface即可看到该端口对哪些VLAN是untag，哪些VLAN是tag）

2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送

以太网端口有三种链路类型：

Access、Hybrid和Trunk。

Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；

Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；

Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

Hybrid端口带不带标签是自己定义的porthybridvlan1020untagged。

所以他可以允许多个不带标签的vlan通过。

基本配置：

创建并进入Vlan视图

[Switch]vlanvlan-id

将指定端口加入到当前Vlan中

[Switch-vlan10]portinterface-list

配置端口的链路类型为Trunk类型

[Switch-Ethernet1/0/1]portlink-typetrunk

允许指定的Vlan通过当前Trunk端口

[Switch-Ethernet1/0/1]porttrunkpermitvlan{vlan-id-list|all}

设置Trunk口的缺省VLan

[Switch-Ethernet1/0/1]porttrunkpvidvlanvlan-id

配置端口的类型为Hybrid类型：

Switch-Ethernet1/0/1]portlink-typehybrid

允许指定vlan通过当前hybrid端口

[Switch-Ethernet1/0/1]porthybridvlanvlan-id-list{tagged|untagged}

设置Hybrid的缺省Vlan

[Switch-Ethernet1/0/1]porthybridpvidvlanvlan-id

华为S5700交换机配置Vlan：

查看实体的当前配置：

以接口0/0/1为例

查看交换机上已划分了那些vlan

Displayvlan即可。

查看交换机上那些具体的vlan5情况：

Displayvlan5

system-view

vlan10

quit

若是access类型：

interfacegigabitethernet0/0/1

portlink-typeaccess

portdefaultvlan10（access类型的绑定命令）

若是trunk类型

绑定命令为：

porttrunkallow-passvlan10

若是hybrid口则需要porthybriduntaggedvlanvlan-id或者porthybridtaggedvlanvlan-id

本实验LW1与LW2连线是trunk口，两端都要输入portdefaultvlanvlan-id有多少个vlan就要允许多少个vlan通过。

1进入系统视图：

system-view

2创建Vlan并进入Vlan视图：

Vlanvlan-id.VLANID的取值范围是1～4094。

如果需要批量创建VLAN，可以先使用命令vlanbatch 

{vlan-id1 

[ 

to 

vlan-id2 

]}&

<

1-10>

批量创建，再使用命令vlan 

vlan-id进入相应的VLAN视图。

3执行命令quit,返回系统视图。

4配置二层以太网端口属性。

a.执行命令interface 

interface-type 

interface-number，进入需要加入VLAN的以太网接口视图。

（#将接口GigabitEthernet0/0/1的类型为Trunk，并加入到VLAN2中。

[Quidway]interfacegigabitethernet0/0/1

[Quidway-GigabitEthernet0/0/1]portlink-typetrunk

[Quidway-GigabitEthernet0/0/1]porttrunkallow-passvlan2

[Quidway-GigabitEthernet0/0/1]quit

）

b.执行命令portlink-type 

{ 

access 

| 

hybrid 

trunk 

dot1q-tunnel}，配置二层以太网端口属性。

缺省情况下，端口属性是Hybrid。

∙如果二层以太网端口直接与终端连接，该端口类型可以是Access类型，也可使用缺省类型Hybrid。

建议将端口类型设置为Access类型。

∙如果二层以太网端口与另一台交换机设备的端口连接，那么对此端口类型没有限制，可使用任意类型的端口。

建议将端口类型设置为Trunk类型。

5关联端口和VLAN

以下步骤，请根据需要任选一种。

c.Access类型端口或QinQ类型端口

执行命令portdefaultvlan 

vlan-id，将端口加入到指定的VLAN中。

如果需要批量将端口加入VLAN，可在VLAN视图下执行命令port 

{interface-number1 

interface-number2 

向VLAN中添加一个或一组端口。

d.Trunk类型端口

∙执行命令porttrunkallow-passvlan 

{{ 

vlan-id1 

tovlan-id2 

| 

all 

}，将端口加入到指定的VLAN中。

∙（可选）执行命令porttrunkpvidvlan 

vlan-id，配置Trunk类型接口的缺省VLAN。

e.Hybrid类型端口

∙选择执行其中一个步骤配置Hybrid端口加入VLAN的方式：

1.执行命令porthybriduntaggedvlan 

vlan-id1[ 

}，将Hybrid端口以Untagged方式加入VLAN。

Untagged形式是指端口在发送帧时会将帧中的Tag剥掉，适用于二层以太网端口直接与终端连接。

2.执行命令porthybridtaggedvlan 

[to 

}，将Hybrid端口以Tagged方式加入VLAN。

Tagged形式是指端口在发送帧时不将帧中的Tag剥掉，适用于二层以太网端口与另一台交换机设备的端口连接。

∙（可选）执行命令porthybridpvidvlan 

vlan-id，配置Hybrid类型接口的缺省VLANID。

缺省情况下，所有端口加入的VLAN和缺省VLAN都是VLAN1。

视图分类：

2退出当前视图的命令是quit,在用户视图时，输入quit会终止用户终端与设备之间的连接。

从任何其他视图直接返回到用户视图输入”Ctrl+Z”（等同于输入“return”）即可，不需按多次quit。

3在任意视图下输入“？

”可以获得该视图下可以使用的所有命令及其简单描述。

4输入问号“？

”的几种不同情况：

Ø

当一条命令有多个关键字，输入前面的部分关键字+？

会返回该命令所有剩余的关键字。

当该关键字后没有关键字，只有参数值，则会列出有关的参数列表。

键入命令不完整的关键字，其后紧跟？

，显示以该字符开头的所有关键字。

5命令行输入：

6设备支持不完整的关键字输入，在当前视图下，当输入的字符足够匹配唯一的关键字时，可以不必输入完整的关键字。

7配置命令行的别名

比如将display的别名设置为show，这样在设备上执行displayxx命令时只需要输入showxx即

可。

不支持对整个命令行的替换。

只支持对第一关键字的别名设置，以及undo命令的第二关键字

的别名替换。

8配置命令行的快捷键

为便于用户对常用命令进行快捷操作，系统提供了五个快捷键供用户自定义。

只要用户按下某个快捷键，系统即可执行对应的命令。

9使用历史命令

如果您连续多次执行同一条命令，设备的历史命令中只保留最早的一次。

但如果执行时输入的形式不同，将作为不同的命令对待。

例如：

多次执行displaycu命令，历史命令中只保存一条。

如果执行displaycu和displaycurrent-configuration，将保存为两条历史命令。

10信息分屏

11配置用户级别

命令的级别由低到高分为访问级、监控级、系统级和管理级四种，分别对应级别值0、1、2、3。

详细介绍请见表1-16：

12配置用户级别

用户级别可以通过AAA认证参数或者用户界面来配置：

1.通过AAA认证参数配置用户级别

如果用户登录时使用的用户界面的认证方式为scheme，并且用户登录时需要输入用户名和密码，则用户级别以及用户可使用的命令，在配置AAA认证时指定。

表1-17通过AAA认证参数配置用户级别

1.1.通过AAA认证参数配置用户级别举例

#设置使用VTY1的Telnet用户登录设备时，需要本地验证用户名和口令，用户级别为3。

Sysname>

system-view

[Sysname]user-interfacevty1

[Sysname-ui-vty1]authentication-modescheme

[Sysname-ui-vty1]quit

[Sysname]local-usertest

[Sysname-luser-test]passwordcipher123

[Sysname-luser-test]service-typetelnet

通过以上配置，用户使用VTY1Telnet登录设备时，需要输入用户名test，密码123，认证通过后只能使用级别为0的命令，想要使用级别为0、1、2、3的命令还需要配置：

[Sysname-luser-test]authorization-attributelevel3

2.通过用户界面配置用户级别举例

设置所有的Telnet用户登录设备时，不需要身份认证，用户级别为1。

（不设置身份认证可能存在安全隐患，请确保在安全性较高的网络环境中使用本配置）

[Sysname]user-interfacevty04

[Sysname-ui-vty0-4]authentication-modenone

[Sysname-ui-vty0-4]userprivilegelevel1

user-interfacevty04，代表有5条vty线路，从0到4，VTY是路由器或者交换机的远程登陆的虚拟端口0404表示可以同时打开5个会话虚拟终端是在个人电脑上虚拟的一个终端以及为此目的而写的软件。

虚拟终端的目的是达到个人电脑及其用户能够与大型计算机的连接。

虚拟终端使得个人电脑的用户可以直接使用他的个人电脑来与大型计算机联系，而不必使用专门的终端。

13切换用户级别

2.1.用户级别切换功能简介

切换用户级别是指在不退出当前登录、不断开当前连接的前提下暂时的修改用户级别。

级别修改后不需要重新登录，可以继续配置设备，只是可以执行的命令会不一样。

切换后的级别是临时的，只对当前登录生效，用户重新登录后，又会恢复到原有级别。

∙为了防止对设备的误操作，通常情况下建议管理员使用较低级别的用户登录设备、查看设备运行参数，当需要对设备进行维护时，再临时切换到较高的级别；

∙当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时，为了安全起见，可以临时切换到较低的级别，来限制其它人员的操作。

2.2.配置用户级别切换时的认证方式

∙从高级别切换到低级别或相同级别时，可以直接切换，不需要进行身份验证。

∙从低级别切换到高级别时，为了保证操作的安全性，需要进行身份认证。

如表1-20所示，认证方式有四种。

切换用户级别

14保存当前配置

随时输入Save命令，将已经提交执行的所有命令行保存在配置文件中。

这样在设备重启后，所有配置文件不会丢失。

配置保存不涉及一次性执行命令。

比如：

display类显示命令，reset类清除命令，这类命令执行后不会进行配置保存。

登录设备：

15缺省情况下，可以直接通过console口本地登录设备，登录时认证方式为None（不需要用户名和密码），登录用户级别为3.其他登录（Aux,Telnet，SSH）都需要经过console预先配置，授予权限缺省情况下，设备只能通过Console口进行本地登录。

用户终端的通信参数配置要和设备Console口的缺省配置保持一致，才能通过Console口登录到设备上。

设备Console口的缺省配置如下：

表1-2设备Console口缺省配置

1.2.2 

登录步骤

（1） 

如图1-1所示，建立本地配置环境，只需将PC机（或终端）的串口通过配置电缆与设备的Console口连接。

图1-1通过Console口搭建本地配置环境

在PC机上运行终端仿真程序（如WindowsXP/Windows2000的超级终端等，以下配置以WindowsXP为例），选择与设备相连的串口，设置终端通信参数：

传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控，如图1-2至图1-4所示。

如果您的PC使用的是Windows2003Server操作系统，请在Windows组件中添加超级终端程序后，再按照本文介绍的方式登录和管理设备；

如果您的PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统，请您准备第三方的终端控制软件，使用方法请参见软件的使用指导或联机帮助。

（2） 

设备上电，终端上显示设备自检信息，自检结束后提示用户键入回车，之后将出现如下命令行提示符：

#May2409:

27:

29:

9472010R5SHELL/4/LOGIN:

Trap1.3.6.1.4.1.25506.2.2.1.1.3.0.1<

hh3cLogIn>

:

loginfromConsole

%May2409:

9472010R5SHELL/5/SHELL_LOGIN:

Consoleloggedinfromcon0.

（3） 

键入命令，配置设备或查看设备运行状态。

需要帮助可以随时键入“?

”。

（4） 

执行完以上步骤后，您就可以登录设备的CLI界面，使用命令行对设备进行配置和管理了。

缺省情况下，使用Console用户界面登录设备时，是不需要进行身份认证的，为了设备的安全，建议修改Console用户界面的认证方式。

下面给出password认证方式的配置步骤，请参照。

[Sysname]user-interfaceconsole0//进入console用户界面视图

[Sysname