电工之家_电工基础知识学习网站
当前位置:电工之家 > 通信技术 > 正文

华为交换机vlan配置各步骤详解

时间:2021-03-15 08:20 来源:未知

如下图所示,假设公司有三个部门分别规划为三个网段,技术部192.168.1.0/24,财务部192.168.2.0/24,销售部192.168.3.0/24。

此时我们不需要对这台交换机做任何操作,这样三个部门之间的计算机是不能进行互访的,只能在同一网段也就是同部门的计算机才可以通信。因为分别属于不同网段的计算机如果需要进行通信是需要依靠三层网络设备如路由器、三层交换机等以路由的方式去进行实现的。那为了比较符合实际工作场景以及相关知识的完整性,我下面再进行详细阐述,请继续往下看!
VLAN技术
VLAN(Virtual Local Area Network)即虚拟局域网。它是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN,可以实现在同一个VLAN内的计算机进行互访,而不同VLAN间的计算机被进行隔离不能互访。默认情况下交换机的所有端口属于VLAN1,我们说交换机的工作原理,交换机是通过MAC地址表进行二层转发,当技术部的一台计算机PC1 192.168.1.1/24第一次要与PC2 192.168.1.2/24通信时,首先需要发送一个ARP查询包以获取到PC2的MAC地址,这个ARP查询包目的MAC地址为“FF-FF-FF-FF-FF-FF”,以广播泛洪地形式发送出去。此时同一默认VLAN1下的所有主机都会收到这个广播数据帧,我们称它们在同一个广播域。也就是说虽然其他两个部门已经属于不同的网段,但还都会收到这个PC1产生的ARP广播包。

超大的广播域会带来大量的广播风暴和安全隐患,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理,而解决这个问题的方法就是去划分VLAN隔离广播域。所以我们一般的做法是不同部门会去划分为不同的VLAN,如下所示,我们对一台华为交换机进行VLAN划分。
system-view
[Huawei]vlan batch 10 20 30 //使用batch可批量创建VLAN
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type access //将端口类型配置为Access
[Huawei-Ethernet0/0/1]port default vlan 10 //将端口划分到VLAN10
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 10
[Huawei-Ethernet0/0/2]quit
[Huawei]port-group VLAN20 //也可以定义多个端口为一组的方式一次性将VLAN划入
[Huawei-port-group-vlan20]group-member e0/0/3 to e0/0/4
[Huawei-port-group-vlan20]port link-type access
[Huawei-port-group-vlan20]port default vlan 20
[Huawei]port-group VLAN30
[Huawei-port-group-vlan30]group-member e0/0/5 to e0/0/6
[Huawei-port-group-vlan30]port link-type access
[Huawei-port-group-vlan30]port default vlan 30

我们将三个部门划分为三个VLAN,这样一来不同VLAN下的计算机就不能相互通信了,即使所有的计算机都属于同一网段比如都是192.168.1.0/24也是不能进行通信的。
访问控制列表技术
访问控制列表简称为 ACL(Acess Control List),它使用包过滤技术,在网络设备上通过读取数据包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
通常局域网中的计算机一般都是需要对外进行访问的,因此每台计算机都会设置上一个网关IP地址。

而这个网关IP一般就是设置在一台三层交换机上,如下图所示,为了能让三个部门的计算机能访问互联网,我们这里计算机采用连接的是一台三层交换机,并在这台三层交换机上配置上这三个VLAN网段的网关IP地址。

[Huawei]int Vlanif 10 //进入VLANIF模式
[Huawei-Vlanif10]ip address 192.168.1.254 255.255.255.0 //直接配置IP地址和掩码即可
[Huawei-Vlanif10]int vlan 20
[Huawei-Vlanif20]ip address 192.168.2.254 24 //也可以直接写掩码位
[Huawei-Vlanif20]int vlan 30
[Huawei-Vlanif30]ip address 192.168.3.254 24
这样虽然三个部门属于三个网段VLAN,但是各计算机之间通过这台三层交换机是可以相互进行通信的了。

那么为了能够实现不同部门不能进行互访,此时我们就需要在这台三层交换机配置访问控制列表。配置参考如下:
[Huawei]acl 3000 //创建acl规则,拒绝访问其他两个部门
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[Huawei-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[Huawei-acl-adv-3000]rule 15 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[Huawei]traffic classifier VLAN //创建名为VLAN的流分类
[Huawei-classifier-VLAN]if-match acl 3000 //将ACL与流分类关联
[Huawei]traffic behavior VLAN //创建名为VLAN的流行为
[Huawei-behavior-VLAN]deny //配置流行为动作为拒绝报文通过
[Huawei-behavior-VLAN]quit
[Huawei]traffic policy VLAN // //创建名为VLAN的流策略
[Huawei-trafficpolicy-VLAN]classifier VLAN behavior VLAN //将流分类VLAN与流行为VLAN关联
[Huawei-trafficpolicy-VLAN]quit
[Huawei]traffic-policy VLAN global inbound //全局应用流策略
配置完成后,各部门之间也就不能相互访问了。

端口隔离技术
我们可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。如下图三个部门处于同一网段中,我们将每个端口加入到隔离组中。

[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port-isolate enable group 5
[Huawei-Ethernet0/0/1]int e0/0/3
[Huawei-Ethernet0/0/3]port-isolate enable group 5
[Huawei-Ethernet0/0/3]int e0/0/5
[Huawei-Ethernet0/0/5]port-isolate enable group 5
这样端口隔离的端口之间无法相互通信,所以端口隔离功能为用户提供了更安全的方案。但是这样虽然也实现了禁止不同部门的计算机相互访问,但是同部门的计算机也是无法访问了。
总结
以上就是在一台48口交换机下接入计算机分别属于三个部门,禁止各个部门间相互访问的实现总结了,在实际工作中划分VLAN并配置ACL实现尤为常见

看过《华为交换机vlan配置各步骤详解》的人还看了以下文章
华为交换机环路问题 华为交换机环路问题
华为交换机环路问题 现在我有3个5720得交换机需要直连到核心交换机上。在更改完数据后,发现3台交换机直连核心时,只有一台5720可以正常访问外网,另外两个ping网关都不通,如果这3台交换机级联方式连接核心,发现都可以上网。这个是什么原因 交换机的环路分...
华为交换机接口划分VLAN配置步骤 华为交换机接口划分VLAN配置步骤
华为交换机接口划分VLAN配置步骤 企业希望业务相同用户之间可以互相访问,业务不同用户不能直接访问。可以在交换机上配置基于接口划分VLAN,把业务相同的用户连接的接口划分到同一VLAN。这样属于不同VLAN的用户不能直接进行二层通信,同一VLAN内的用户可以直...
华为交换机如何进行端口隔离配置 华为交换机如何进行端口隔离配置
华为交换机如何进行端口隔离配置 华为S5700S-28P-LI-AC交换机的端口隔离配置方法和步骤如下: 1、配置端口隔离组方法和步骤: 配置接口GE0/0/1和GE0/0/2的端口隔离功能,实现两个接口之间的二层数据隔离,三层数据互通。 [HUAWEI] port-isolate mode l2 [HUA...
h3c交换机vlan配置命令示例 h3c交换机vlan配置命令示例
为了帮助大家对以上VLAN创建和基于端口VLAN的配置方法有一个全面的掌握,现例举两个典型的H3C交换机基于端口VLAN的配置示例。 示例1: 现假设要在一个H3C系列交换机上创建VLAN2、VLAN3,并指定VLAN2的描述字符串为home;然后将端口Ethernet2/0/1和Ethernet2/...
什么是vlan_vlan的作用_Cisco交换机静态vlan配置 什么是vlan_vlan的作用_Cisco交换机静态vla
什么是vlan_vlan的作用_Cisco交换机静态vlan配置 Virtual LAN(虚拟局域网)是物理设备上连接的不受物理位置限制的用户的一个逻辑组。 VLAN的作用 广播控制 安全性 带宽利用 延迟 VLAN的种类 基于端口划分的静态VLAN 基于MAC地址划分的动态VLAN Cisco交换机...