ob体育竞彩 _欧宝体育在线链接 學習網站
當前位置: ob体育竞彩 > 通信技術> 正文

華為交換機vlan配置各步驟詳解

時間:2021-03-15 08:20 來源:未知

如下圖所示,假設公司有三個部門分別規劃為三個網段,技術部192.168.1.0/24,財務部192.168.2.0/24,銷售部192.168.3.0/24。

此時我們不需要對這台交換機做任何操作,這樣三個部門之間的計算機是不能進行互訪的,隻能在同一網段也就是同部門的計算機才可以通信。因為分別屬於不同網段的計算機如果需要進行通信是需要依靠三層網絡設備如路由器、三層交換機等以路由的方式去進行實現的。那為了比較符合實際工作場景以及相關知識的完整性,我下麵再進行詳細闡述,請繼續往下看!
VLAN技術
VLAN(Virtual Local Area Network)即虛擬局域網。它是將一個物理的局域網在邏輯上劃分成多個廣播域的技術。通過在交換機上配置VLAN,可以實現在同一個VLAN內的計算機進行互訪,而不同VLAN間的計算機被進行隔離不能互訪。默認情況下交換機的所有端口屬於VLAN1,我們說交換機的工作原理,交換機是通過MAC地址表進行二層轉發,當技術部的一台計算機PC1 192.168.1.1/24第一次要與PC2 192.168.1.2/24通信時,首先需要發送一個ARP查詢包以獲取到PC2的MAC地址,這個ARP查詢包目的MAC地址為“FF-FF-FF-FF-FF-FF”,以廣播泛洪地形式發送出去。此時同一默認VLAN1下的所有主機都會收到這個廣播數據幀,我們稱它們在同一個廣播域。也就是說雖然其他兩個部門已經屬於不同的網段,但還都會收到這個PC1產生的ARP廣播包。

超大的廣播域會帶來大量的廣播風暴和安全隱患,一方麵廣播信息消耗了網絡整體的帶寬,另一方麵,收到廣播信息的計算機還要消耗一部分CPU時間來對它進行處理,而解決這個問題的方法就是去劃分VLAN隔離廣播域。所以我們一般的做法是不同部門會去劃分為不同的VLAN,如下所示,我們對一台華為交換機進行VLAN劃分。
system-view
[Huawei]vlan batch 10 20 30 //使用batch可批量創建VLAN
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type access //將端口類型配置為Access
[Huawei-Ethernet0/0/1]port default vlan 10 //將端口劃分到VLAN10
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 10
[Huawei-Ethernet0/0/2]quit
[Huawei]port-group VLAN20 //也可以定義多個端口為一組的方式一次性將VLAN劃入
[Huawei-port-group-vlan20]group-member e0/0/3 to e0/0/4
[Huawei-port-group-vlan20]port link-type access
[Huawei-port-group-vlan20]port default vlan 20
[Huawei]port-group VLAN30
[Huawei-port-group-vlan30]group-member e0/0/5 to e0/0/6
[Huawei-port-group-vlan30]port link-type access
[Huawei-port-group-vlan30]port default vlan 30

我們將三個部門劃分為三個VLAN,這樣一來不同VLAN下的計算機就不能相互通信了,即使所有的計算機都屬於同一網段比如都是192.168.1.0/24也是不能進行通信的。
訪問控製列表技術
訪問控製列表簡稱為 ACL(Acess Control List),它使用包過濾技術,在網絡設備上通過讀取數據包頭中的信息如源地址、目的地址、源端口、目的端口等,根據預先定義好的規則對包進行過濾,從而達到訪問控製的目的。
通常局域網中的計算機一般都是需要對外進行訪問的,因此每台計算機都會設置上一個網關IP地址。

而這個網關IP一般就是設置在一台三層交換機上,如下圖所示,為了能讓三個部門的計算機能訪問互聯網,我們這裏計算機采用連接的是一台三層交換機,並在這台三層交換機上配置上這三個VLAN網段的網關IP地址。

[Huawei]int Vlanif 10 //進入VLANIF模式
[Huawei-Vlanif10]ip address 192.168.1.254 255.255.255.0 //直接配置IP地址和掩碼即可
[Huawei-Vlanif10]int vlan 20
[Huawei-Vlanif20]ip address 192.168.2.254 24 //也可以直接寫掩碼位
[Huawei-Vlanif20]int vlan 30
[Huawei-Vlanif30]ip address 192.168.3.254 24
這樣雖然三個部門屬於三個網段VLAN,但是各計算機之間通過這台三層交換機是可以相互進行通信的了。

那麼為了能夠實現不同部門不能進行互訪,此時我們就需要在這台三層交換機配置訪問控製列表。配置參考如下:
[Huawei]acl 3000 //創建acl規則,拒絕訪問其他兩個部門
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[Huawei-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[Huawei-acl-adv-3000]rule 15 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[Huawei]traffic classifier VLAN //創建名為VLAN的流分類
[Huawei-classifier-VLAN]if-match acl 3000 //將ACL與流分類關聯
[Huawei]traffic behavior VLAN //創建名為VLAN的流行為
[Huawei-behavior-VLAN]deny //配置流行為動作為拒絕報文通過
[Huawei-behavior-VLAN]quit
[Huawei]traffic policy VLAN // //創建名為VLAN的流策略
[Huawei-trafficpolicy-VLAN]classifier VLAN behavior VLAN //將流分類VLAN與流行為VLAN關聯
[Huawei-trafficpolicy-VLAN]quit
[Huawei]traffic-policy VLAN global inbound //全局應用流策略
配置完成後,各部門之間也就不能相互訪問了。

端口隔離技術
我們可以將不同的端口加入不同的VLAN,但這樣會浪費有限的VLAN資源。采用端口隔離功能,可以實現同一VLAN內端口之間的隔離。用戶隻需要將端口加入到隔離組中,就可以實現隔離組內端口之間二層數據的隔離。如下圖三個部門處於同一網段中,我們將每個端口加入到隔離組中。

[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port-isolate enable group 5
[Huawei-Ethernet0/0/1]int e0/0/3
[Huawei-Ethernet0/0/3]port-isolate enable group 5
[Huawei-Ethernet0/0/3]int e0/0/5
[Huawei-Ethernet0/0/5]port-isolate enable group 5
這樣端口隔離的端口之間無法相互通信,所以端口隔離功能為用戶提供了更安全的方案。但是這樣雖然也實現了禁止不同部門的計算機相互訪問,但是同部門的計算機也是無法訪問了。
總結
以上就是在一台48口交換機下接入計算機分別屬於三個部門,禁止各個部門間相互訪問的實現總結了,在實際工作中劃分VLAN並配置ACL實現尤為常見

    看過《華為交換機vlan配置各步驟詳解》的人還看了以下文章
    華為交換機環路問題 華為交換機環路問題
    華為交換機環路問題 現在我有3個5720得交換機需要直連到核心交換機上。在更改完數據後,發現3台交換機直連核心時,隻有一台5720可以正常訪問外網,另外兩個ping網關都不通,如果這3台交換機級聯方式連接核心,發現都可以上網。這個是什麼原因 交換機的環路分...
    華為交換機接口劃分VLAN配置步驟 華為交換機接口劃分VLAN配置步驟
    華為交換機接口劃分VLAN配置步驟 企業希望業務相同用戶之間可以互相訪問,業務不同用戶不能直接訪問。可以在交換機上配置基於接口劃分VLAN,把業務相同的用戶連接的接口劃分到同一VLAN。這樣屬於不同VLAN的用戶不能直接進行二層通信,同一VLAN內的用戶可以直...
    華為交換機如何進行端口隔離配置 華為交換機如何進行端口隔離配置
    華為交換機如何進行端口隔離配置 華為S5700S-28P-LI-AC交換機的端口隔離配置方法和步驟如下: 1、配置端口隔離組方法和步驟: 配置接口GE0/0/1和GE0/0/2的端口隔離功能,實現兩個接口之間的二層數據隔離,三層數據互通。 [HUAWEI] port-isolate mode l2 [HUA...
    h3c交換機vlan配置命令示例 h3c交換機vlan配置命令示例
    為了幫助大家對以上VLAN創建和基於端口VLAN的配置方法有一個全麵的掌握,現例舉兩個典型的H3C交換機基於端口VLAN的配置示例。 示例1: 現假設要在一個H3C係列交換機上創建VLAN2、VLAN3,並指定VLAN2的描述字符串為home;然後將端口Ethernet2/0/1和Ethernet2/...
    什麼是vlan_vlan的作用_Cisco交換機靜態vlan配置 什麼是vlan_vlan的作用_Cisco交換機靜態vla
    什麼是vlan_vlan的作用_Cisco交換機靜態vlan配置 Virtual LAN(虛擬局域網)是物理設備上連接的不受物理位置限製的用戶的一個邏輯組。 VLAN的作用 廣播控製 安全性 帶寬利用 延遲 VLAN的種類 基於端口劃分的靜態VLAN 基於MAC地址劃分的動態VLAN Cisco交換機...
    Baidu
    map