網絡技術指導【1】華爲配置VLAN

交換機的工作原理

數據幀進入到交換機，交換機基於報文中的源mac生成——MAC地址表，表中記錄mac和接口對應關係，再看目標mac，先在mac地址表中找，找到單播轉發唯一接口，若沒有記錄則洪泛該流量

洪泛

洪泛：除流量的進入接口外， 其他接口轉出

洪泛的原因：不知道流量對應的出接口

什麼時候需要洪泛？

1. 廣播：將目標mac地址設爲全F
2. 未知單播：PC正常的目標MAC地址清晰地單播流量，但由於交換機沒有記錄，只能洪泛
3. 組播（可能洪泛-無組播部署時）

MAC地址表和CAM的區別

CAM是將MAC表中的MAC地址+接口編號+vlanid轉換爲hash值，再轉換爲二進制格式；意義在於識別更快；

交換機的作用

區別集線器（HUB），HUB爲物理層設備，只能直接轉發發電流；交換機爲數據鏈路層設備，可以將電流與二進制轉換，實現了以下功能：

1. 無限的傳輸距離
2. 徹底解決了衝突——所有的接口可以同時收發數據
3. 二層單播——物理尋址，在一個交換網絡內，實現一對一通訊，保障了數據的安全，減少了垃圾數據量，降低的轉發延時；
4. 提高端口密度—可以增加更多的接口

VLAN

虛擬局域網（VLAN），二層交換機與3層的設備協同工作後，將原來的一個廣播域邏輯的切分爲多個

配置思路

1、 交換機上創建vlan
2、 交換機上各個接口劃分到對應的vlan中
3、 trunk幹道
4、 vlan間路由— 單臂路由（路由器子接口） 三層交換機

Cisco的vlan

vlan號由編號12位二進制構成（0-4095），其中1-4094 可用

• 1-1005 標準vlan – 任意條件均可使用，vlan1002-1005 （非以太網使用）
• 1006-4094擴展vlan ，VTP模式爲透明時使用

默認交換機存在vlan1，vlan1 爲默認的native vlan，默認的管理vlan；且所有接口默認處於vlan1；

配置

1、創建vlan

Switch(config)#vlan 2 
Switch(config-vlan)#name classroom1
Switch(config-vlan)#exit
Switch(config)#vlan 3-10，15-20  批量創建

2、接口劃入vlan

Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access    必須先將接口定義access模式才能進行劃分
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface range fastEthernet 0/3 -4   批量劃分
Switch(config-if-range)#switchport mode access 
Switch(config-if-range)#switchport access vlan 3

3、trunk幹道

trunk幹道—不屬於任何一個vlan，承載所有vlan的流量，具有標記和識別不同vlan標籤的功能

二層交換機手工配置trunk幹道
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport mode trunk  
Cisco的二層交換機僅支持802.1q

三層交換機手工配置trunk幹道—ISL和802.1q均支持  故配置前必須先定義封裝類型
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport trunk encapsulation dot1q 
Switch(config-if)#switchport mode trunk

在數據幀中封裝vlanID的方法存在兩種：

• 802.1q （dot1.q）
• ISL（cisco私有標準）

802.1q與isl最大的區別：
1、802.1q 標記流爲4個字節，ISL標記爲20個字節
2、802.1q存在native 本徵vlan，默認不進行封裝的一個vlan
3、802.1q使用12位標記4096個vlan，ISL使用10位標記1024個vlan
4、ISL封裝於數據幀的最前端，802.1q標記在前導位的後方

cisco的trunk幹道還存在一個DTP技術，自動協商建立trunk幹道；默認cisco的45以上含45系列交換機爲被動模式；45及以下爲主動模式；被動模式自動建立trunk，主動模式爲手工配置。不管被動主動與access模式均不能建立爲trunk；

Switch(config-if)#switchport mode dynamic ?
auto       Set trunking mode dynamic negotiation parameter to AUTO   被動模式
desirable   Set trunking mode dynamic negotiation parameter to DESIRABLE  主動模式

華爲的vlan

1、 創建vlan

 [Huawei]vlan 10
 [Huawei-vlan10]quit
 [Huawei]vlan batch 2 to 3 5 10  批量創建vlan2-3，5，10

2、 接口劃入vlan

單個接口修改接口模式爲access
[Huawei]interface GigabitEthernet 0/0/5
[Huawei-GigabitEthernet0/0/5]port link-type access

批量修改爲access
[Huawei]port-group 1
[Huawei]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
[Huawei]port link-type access

單個將接口劃分到vlan
[Huawei]interface GigabitEthernet0/0/5 
[Huawei-GigabitEthernet0/0/5]port default vlan 3

批量將接口劃分到vlan2
[Huawei]vlan 2
[Huawei-vlan2]port GigabitEthernet 0/0/1 to 0/0/2

3、 trunk幹道

進入接口後先修改接口類型爲trunk模式；再定義該trunk幹道可以允許通過的vlan；默認trunk幹道的PVLAN——類似cisco的native vlan爲vlan1，默認對vlan1 的流量不標記，且其他添加到允許列表也可正常通過

 [Huawei-GigabitEthernet0/0/1]port link-type trunk
 [Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
 [Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all 允許所有vlan通過
[Huawei-GigabitEthernet0/0/1]port default vlan 3 修改trunk幹道上的pvlan

注：一旦pvlan不是默認的vlan1 了，那麼需要在允許條件中添加新的PVLAN；此時原有的vlan1 不再是pvlan，需要手工將其添加到允許列表中；

4、 vlan間路由器
單臂路由—子接口—交換機連接路由器的那個交換機接口修改trunk模式

[Huawei]interface GigabitEthernet0/0/1.1
[Huawei-GigabitEthernet0/0/1.1]dot1q termination vid 2
[Huawei-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1.1]arp broadcast enable 

[Huawei]interface GigabitEthernet0/0/1.2
[Huawei-GigabitEthernet0/0/1.2]dot1q termination vid 3
[Huawei-GigabitEthernet0/0/1.2]ip address 192.168.3.254 24 
[Huawei-GigabitEthernet0/0/1.2]arp broadcast enable

DHCP 池塘配置
dhcp enable 先全局開啓DHCP服務
再接口開啓dhcp服務,每個子接口單獨開啓

[r1]interface GigabitEthernet 0/0/0.1
[r1-GigabitEthernet0/0/0.1]dhcp select global

再定義池塘

ip pool v3
 gateway-list 192.168.2.1 
 network 192.168.2.0 mask 255.255.255.0 
 dns-list 114.114.114.114

華爲的VLAN規則

1. 若某個流量從交換機某個接口進入時，沒有標籤，將被標記上該接口pvlan id；

2. 所有數據幀在一個交換機內部轉發時，必須存在標籤；

3. 在每一個交換機的接口上均存在轉發允許列表，只有被允許的流量才能通過該接口進或出；

4. 流量從一個接口出去時，可以繼續攜帶標籤或者被剝離標籤

5. PC若接收到存在標記的流量，將丟棄；

無論接口爲任何模式，均匹配以上5條規則；

[sw1]display port vlan active   查看接口的VLAN轉發規則

交換機接口模式

華爲交換機接口存在三個模式，接入、中繼、混雜模式，接口模式的區別：配置權限不同

接入模式：只能定義該接口的PVID（允許列表無法直接定義），PVLAN就是允許VLAN；且一定爲不標記

[sw1]interface GigabitEthernet 0/0/5
[sw1-GigabitEthernet0/0/5]port link-type access 
[sw1-GigabitEthernet0/0/5]port default vlan 2

中繼模式：可以修改PVID，也可以定義允許列表，默認僅pvlan在允許列表，且pvlan的出規則爲不標記，其他VLAN出規則爲標記；
不能定義允許列表中，流量在離開時是否可以攜帶標籤；

[sw1]interface GigabitEthernet 0/0/6
[sw1-GigabitEthernet0/0/6]port link-type trunk 
[sw1-GigabitEthernet0/0/6]port trunk pvid  vlan 2
[sw1-GigabitEthernet0/0/6]port trunk allow-pass vlan all

混雜模式（默認所有接口模式）：可以修改PVID，可以定義允許列表，可以定義是否標記；
注：除access模式外，其他兩個模式一定會允許VLAN1通過；默認PVLAN 爲VLAN1，出向規則爲不標記；一旦PVLAN被修改，那麼需要手工添加該VLAN到允許列表，同時可以定義是否標記；

[sw1]interface GigabitEthernet 0/0/7
[sw1-GigabitEthernet0/0/7]port hybrid tagged vlan 2 to 3
[sw1-GigabitEthernet0/0/7]port hybrid untagged vlan 4 to 5