華爲交換機實現不同VLAN之間互訪的配置

『配置環境參數』

1. 交換機E0/1和E0/2屬於vlan10

2. 交換機E0/3屬於vlan20

3. 交換機E0/4和E0/5屬於vlan30

4. 交換機E0/23連接Server1

5. 交換機E0/24連接Server2

6. Server1和Server2分屬於vlan40和vlan50

7. PC和Server都在同一網段

8. E0/10連接BAS設備，屬於vlan60

『組網需求』

1. 利用二層交換機端口的hybrid屬性靈活實現vlan之間的靈活互訪；

2. Vlan10、vlan20和vlan30的PC均可以訪問Server 1；

3. vlan 10、20以及vlan30的4端口的PC可以訪問Server 2；

4. vlan 10中的2端口的PC可以訪問vlan 30的PC；

5. vlan 20的PC可以訪問vlan 30的5端口的PC；

6. vlan10的PC訪問外網需要將vlan信息送到BAS，而vlan20和vlan30則不需要。

2 數據配置步驟
『端口hybrid屬性配置流程』

hybrid 屬性是一種混雜模式，實現了在一個untagged端口允許報文以tagged形式送出交換機。同時可以利用hybrid屬性定義分屬於不同的vlan的 端口之間的互訪，這是access和trunk端口所不能實現的。在一臺交換機上不允許trunk端口和hybrid端口同時存在。

1. 先創建業務需要的vlan

[SwitchA]vlan 10

[SwitchA]vlan 20

[SwitchA]vlan 30

[SwitchA]vlan 40

[SwitchA]vlan 50

2. 每個端口，都配置爲 hybrid狀態

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]port link-type hybrid

3. 設置端口的pvid等於該端口所屬的vlan

[Switch-Ethernet0/1]port hybrid pvid vlan 10

4. 將希望可以互通的端口的pvid vlan，設置爲untagged vlan，這樣從該端口發出的廣播幀就可以到達本端口

[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged



實際上，這種配置是通過 hybrid 端口的 pvid 來唯一的表示一個端口，接收端口通過是否將 vlan 設置爲 untagged vlan，來控制是否與 pvid vlan 爲 該 vlan 的端口互通。

5. 以下各端口類似：

[Switch-Ethernet0/1]int e0/2

[Switch-Ethernet0/2]port link-type hybrid

[Switch-Ethernet0/2]port hybrid pvid vlan 10

[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged



[Switch-Ethernet0/2]int e0/3

[Switch-Ethernet0/3]port link-type hybrid

[Switch-Ethernet0/3]port hybrid pvid vlan 20

[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged

[Switch-Ethernet0/3]int e0/4

[Switch-Ethernet0/4]port link-type hybrid

[Switch-Ethernet0/4]port hybrid pvid vlan 30

[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged



[Switch-Ethernet0/4]int e0/5

[Switch-Ethernet0/5]port link-type hybrid

[Switch-Ethernet0/5]port hybrid pvid vlan 30

[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged



[Switch-Ethernet0/5]int e0/23

[Switch-Ethernet0/23]port link-type hybrid

[Switch-Ethernet0/23]port hybrid pvid vlan 40

[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged



[Switch-Ethernet0/24]int e0/24

[Switch-Ethernet0/24]port link-type hybrid

[Switch-Ethernet0/24]port hybrid pvid vlan 50

[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged



6. 在上行口E0/10上允許vlan10以tagged形式送出，其它爲untagged

[SwitchA]interface Ethernet 0/10

[SwitchA-Ethernet0/10]port link-type hybrid

[SwitchA-Ethernet0/10]port hybrid pvid vlan 60

[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged

[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged

本例中需求比較複雜，一般人員很難做到一次性在一個端口上指定哪些vlan允許通過，可以根據需求逐條配置，交換機支持在端口上多次設置。

S系列交換機實現不同VLAN之間互訪的配置

一、組網需求：

交換機配置了4個VLAN，分別爲VLAN1，VLAN2，VLAN3，VLAN4，要求VLAN1可以與VLAN2，3，4互訪，但是VLAN2，3，4之間不能互訪，用Hybrid端口屬性實現此功能。

二、組網圖：

無

三、配置步驟：

1. 創建VLAN2

[Quidway]vlan 2

2. 創建VLAN3

[Quidway-vlan2]vlan 3

3. 創建VLAN4

[Quidway-vlan3]vlan 4

4. 進入端口Ethernet1/0/1

[Quidway-vlan4] interface Ethernet1/0/1

5. 將端口設置爲hybrid模式

[Quidway-Ethernet1/0/1]port link-type hybrid

6. 設置端口pvid爲1

[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1

7. 允許VLAN1，2，3，4不打標籤通過

[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged

8. 進入端口Ethernet1/0/2

[Quidway-Ethernet1/0/1]interface Ethernet1/0/2

9. 將端口設置爲hybrid模式

[Quidway-Ethernet1/0/2]port link-type hybrid

10. 設置端口pvid爲2

[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2

11. 允許VLAN1，2不打標籤通過

[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged

12. 進入端口Ethernet1/0/3

[Quidway-Ethernet1/0/2]interface Ethernet1/0/3

13. 將端口設置爲hybrid模式

[Quidway-Ethernet1/0/3]port link-type hybrid

14. 設置端口pvid爲3

[Quidway-Ethernet1/0/3]port hybrid pvid vlan 3

15. 允許VLAN1，3不打標籤通過

[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged

16. 進入端口Ethernet1/0/4

[Quidway-Ethernet1/0/3]interface Ethernet1/0/4

17. 將端口設置爲hybrid模式

[Quidway-Ethernet1/0/4]port link-type hybrid

18. 設置端口pvid爲4

[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4

19. 允許VLAN1，4不打標籤通過

[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged

四、配置關鍵點：

1. 利用交換機以太網端口的Hybrid特性，可以實現PVLAN的功能。

2. 採用Hybrid屬性實現的PVLAN功能和PVLAN的工作機制存在較大差異，上述情況只適用於網絡流量，網絡用戶較少的應用。
S3000-EI系列交換機實現不同VLAN之間互訪的配置

一、組網：

S3026C交換機配置了4個VLAN，分別爲VLAN1，VLAN2，VLAN3，VLAN4，要求VLAN1可以與VLAN2，3，4互訪，但是VLAN2，3，4之間不能互訪，用PVLAN實現此功能。

二、組網圖：

無

三、配置步驟：

1. 進入VLAN1

[Switch] vlan 1

2. 設置VLAN1類型爲isolate-user-vlan

[Switch-vlan1] isolate-user-vlan enable

3. 創建（進入）進入VLAN2

[Switch-vlan1] vlan 2

4. 將端口E0/2加入VLAN2

[Switch-vlan2] port ethernet0/2

5. 創建（進入）進入VLAN3

[Switch-vlan2] vlan 3

6. 將端口E0/3加入VLAN3

[Switch-vlan3] port ethernet0/3

7. 創建（進入）進入VLAN4

[Switch-vlan3] vlan 4

8. 將端口E0/4加入VLAN4

[Switch-vlan4] port ethernet0/4

9. 退出到系統視圖

[Switch-vlan4] quit

10. 配置isolate-user-vlan和Secondary VLAN間的映射關係

[Switch] isolate-user-vlan 1 secondary 2 to 4

四、配置關鍵點：

1. 目前S系列交換機S2403H、S2026Z-SI 、S2026C-SI與S3000系列都支持PVLAN，此處僅以S3026C爲例，其他交換機配置相同；

2. isolate-user-vlan不能和Trunk端口同時配置，即如果交換機上配置了isolate-user-vlan，就不能配置Trunk端口；如果配置了Trunk端口，就不能配置isolate-user-vlan；

isolate-user-vlan簡介
isolate- user-vlan是華爲公司系列以太網交換機的一個特性，通過該特性可實現網絡中VLAN資源的節約。isolate-user-vlan採用二層 VLAN結構，在一臺以太網交換機上設置isolate-user-vlan和Secondary VLAN兩類VLAN。一個isolate-user-vlan和多個Secondary VLAN對應，isolate-user-vlan包含所對應的所有Secondary VLAN中包含的端口和上行端口，這樣對上層交換機來說，只須識別下層交換機中的isolate-user-vlan，而不必關心isolate- user-vlan中包含的Secondary VLAN，簡化了網絡配置，節省了VLAN資源。同時，用戶可以採用isolate-user-vlan實現二層報文的隔離，即爲每個用戶分配一個 Secondary VLAN，每個Secondary VLAN中只包含該用戶連接的端口和上行端口；如果希望實現用戶之間二層報文的互通，只要將這些用戶連接的端口劃入同一個Secondary VLAN中即可。
2.2 isolate-user-vlan配置
isolate-user-vlan配置包括：
l 配置isolate-user-vlan
l 配置Secondary VLAN
l 設置isolate-user-vlan和Secondary VLAN間的映射關係
以上任務都是必選的，一旦啓用isolate-user-vlan就必須配置。
2.2.1 配置isolate-user-vlan
可以使用下面的命令爲一個以太網交換機創建一個isolate-user-vlan，並且向此isolate-user-vlan中添加端口。
請在系統視圖下進行創建VLAN的配置，在VLAN視圖下進行設置VLAN類型爲isolate-user-vlan及給該VLAN添加端口的配置。
表2-1 配置isolate-user-vlan
*作 命令
創建VLAN vlan vlan-id
設置VLAN類型爲isolate-user-vlan isolate-user-vlan enable
取消VLAN爲isolate-user-vlan的設置 undo isolate-user-vlan enable
向isolate-user-vlan中添加端口 port interface-list

一 臺以太網交換機可以有多個isolate-user-vlan，可以爲每個isolate-user-vlan指定多個端口。isolate-user- vlan不能和Trunk端口同時配置，即如果以太網交換機上配置了isolate-user-vlan，就不能配置Trunk端口；如果配置了 Trunk端口，就不能配置isolate-user-vlan。此外，上行端口必須添加到了isolate-user-vlan中。
2.2.2 配置Secondary VLAN
可以使用下面的命令來創建Secondary VLAN，併爲Secondary VLAN指定端口。
請在系統視圖下進行下列配置。
表2-2 配置Secondary VLAN
*作 命令
創建Secondary VLAN vlan vlan-id
向Secondary VLAN中添加端口 port interface-list

可以向每一個Secondary VLAN中添加多個端口（非上行端口）。
2.2.3 配置isolate-user-vlan和Secondary VLAN間的映射關係
可以使用下面的命令來建立isolate-user-vlan和Secondary VLAN之間的映射關係。
請在系統視圖下進行下列配置。
表2-3 配置isolate-user-vlan和Secondary VLAN間的映射關係
*作 命令
配 置isolate-user-vlan和Secondary VLAN間的映射關係 isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]
取消配置isolate-user-vlan和Secondary VLAN間的映射關係 undo isolate-user-vlan isolate-user-vlan_num [secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]

需要注意的是，執行該命令前，isolate-user-vlan和Secondary VLAN中都必須已經包含了端口。最多可以向一個isolate-user-vlan中映射30個Secondary VLAN。
建立映射關係後，向isolate-user-vlan和Secondary VLAN中添加和刪除端口以及刪除VLAN的*作被系統禁止。只有在解除了映射關係後纔可以執行。
undo isolate-user-vlan命令如果不帶參數secondary secondary_vlan_numlist的話，就解除所有Secondary VLAN和指定isolate-user-vlan的映射關係；如果帶有該參數的話就解除參數指定的Secondary VLAN和指定isolate-user-vlan的映射關係。
2.3 isolate-user-vlan顯示和調試
在完成上述配置後，在所有視圖?蔥衐isplay命令可以顯示配置後isolate-user-vlan的運行情況，通過查看顯示信息驗證配置的效果。
表2-4 isolate-user-vlan的顯示與調試
*作 命令
顯示isolate-user-vlan和Secondary VLAN的映射關係 display isolate-user-vlan [isolate-user-vlan_num | secondary_vlan_numlist ]
顯示VLAN信息 display vlan [ vlan-id ]

2.4 isolate-user-vlan典型配置舉例
1. 組網需求
Switch A太網交換機下接Switch B、Switch C以太網交換機。Switch B上的VLAN5爲isolate-user-vlan，包含上行端口Ethernet 1/1和兩個Secondary VLAN：VLAN2和VLAN3，VLAN3包含端口Ethernet 0/1，VLAN2包含端口Ethernet 0/2；Switch C上的VLAN6爲isolate-user-vlan，包含上行端口Ethernet 1/1和兩個Secondary VLAN：VLAN3和VLAN4，VLAN3包含端口Ethernet 0/3，VLAN4包含端口Ethernet 0/4。從Switch A 看，下接的Switch B、Switch C都只有一個VLAN：VLAN 5 和VLAN 6。
2. 組網圖

圖2-1 isolate-user-vlan配置組網圖
3. 配置步驟
下面只列出Switch B和Switch C的配置過程。
配置Switch B：
# 配置isolate-user-vlan。
[Quidway] vlan 5
[Quidway-vlan5] isolate-user-vlan enable
[Quidway-vlan5] port ethernet 1/1
# 配置Secondary VLAN。
[Quidway-vlan5] vlan 3
[Quidway-vlan3] port ethernet 0/1
[Quidway-vlan3] quit
[Quidway] vlan 2
[Quidway-vlan2] port ethernet 0/2
[Quidway-vlan2] quit
# 配置isolate-user-vlan和Secondary VLAN間的映射關係。
[Quidway] isolate-user-vlan 5 secondary 2 to 3
配置Switch C：
# 配置isolate-user-vlan。
[Quidway] vlan 6
[Quidway-vlan6] isolate-user-vlan enable
[Quidway-vlan6] port ethernet 1/1
# 配置Secondary VLAN。
[Quidway] vlan 3
[Quidway-vlan3] port ethernet 0/3
[Quidway-vlan3] quit
[Quidway] vlan 4
[Quidway-vlan4] port ethernet 0/4
[Quidway-vlan4] quit
# 配置isolate-user-vlan和Secondary VLAN間的映射關係。
[Quidway] isolate-user-vlan 6 secondary 3 to 4