华为交换机端口隔离配置文档

全面讲解华为交换机配置口令调整端口命令本文将讲述在基于IOS的华为交换机配置口令上调整端口ID，在基于IOS的华为交换机配置口令端口上启用或禁用Port Fast 特征，命令show spantree显示一个华为交换机配置口令端口的STP状态.全面讲解华为交换机配置口令调整端口命令，华为交换机配置口令关于调整端口ID、修改STP时钟，顾名思义关于华为交换机配置口令的应用，也会介绍用show vtp statistics 显示管理域的VTP参数。

在基于IOS的华为交换机配置口令上调整端口ID:switch(config-if)# spanning-tree[vlan vlan-list]port-priority port-priority 在基于CLI的交换机上调整端口ID:switch(enable) set spantree portpri {mldule/port}priorityswitch(enable) set spantree portvlanpri {module/port}priority [vlans] 在基于IOS的华为交换机配置口令上修改STP时钟:switch(config)# spanning-tree [vlan vlan-list] hello-time secondsswitch(config)# spanning-tree [vlan vlan-list] forward-time secondsswitch(config)# spanning-tree [vlan vlan-list] max-age seconds在基于CLI的交换机上修改STP时钟:switch(enable) set spantree hello interval[vlan]switch(enable) set spantree fwddelay delay [vlan]switch(enable) set spantree maxage agingtiame[vlan]在基于IOS的华为交换机配置口令端口上启用或禁用Port Fast 特征:switch(config-if)#spanning-tree portfast在基于CLI的交换机端口上启用或禁用Port Fast 特征:switch(enable) set spantree portfast {module/port}{enable|disable} 在基于IOS的华为交换机配置口令端口上启用或禁用UplinkFast 特征:switch(config)# spanning-tree uplinkfast [max-update-rate pkts-per-second]在基于CLI的交换机端口上启用或禁用UplinkFast 特征:switch(enable) set spantree uplinkfast {enable|disable}[rate update-rate][all-protocols off|on]为了将交换机配置成一个集群的命令交换机,首先要给管理接口分配一个IP地址,然后使用下列命令:switch(config)# cluster enable cluster-name为了从一条中继链路上删除VLAN,可使用下列华为交换机配置口令命令:switch(enable) clear trunk module/port vlan-range用show vtp domain 显示管理域的VTP参数.用show vtp statistics显示管理域的VTP参数.在Catalyst华为交换机配置口令上定义TrBRF的命令如下:switch(enable) set vlan vlan-name [name name] type trbrf bridge bridge-num[stp {ieee|ibm}]在Catalyst华为交换机配置口令上定义TrCRF的命令如下:switch (enable) set vlan vlan-num [name name] type trcrf{ring hex-ring-num|decring decimal-ring-num} parent vlan-num在创建好TrBRF VLAN之后,就可以给它分配交换机端口.对于以太网交换,可以采用如下命令给VLAN分配端口:switch(enable) set vlan vlan-num mod-num/port-num命令show spantree显示一个华为交换机配置口令端口的STP状态.配置一个ELAN的LES和BUS,可以使用下列命令:ATM (config)# interface atm number.subint multiointATM(config-subif)# lane serber-bus ethernet elan-name。

华为交换机VLAN配置问题的背景以及技术原理描述，华为交换机VLAN设置分为以下几个部分，VLAN背景描述，VLAN技术原理，VLAN实现功能，VLAN配置过程等等。

华为交换机VLAN背景描述：假设此交换机是宽带小区城域网络中的1台楼道交换机，住户PC1连接在交换机的F0/5口；住户PC2连接在交换机的F0/15口。

现在实现各家各户的端口隔离。

华为交换机VLAN技术原理：VLAN（Virtual Local Area Network）——是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

VLAN 最大的特点是不受物理位置的限制，可以灵活的划分。

相同的VLAN可以互相进行通信，不同的VLAN 间的主机不可以直接进行通信，必须通过路由器才可以进行通信。

华为交换机VLAN作用：可以限制广播流量的转播，广播数据包只在VLAN进行转播，不能转到其他的VLAN中。

Port Vlan 是实现Vlan 的方式之一，Port Vlan 是利用交换机的端口进行VLAN的划分，一个端口只能属于一个VLAN.◆华为交换机VLAN实现功能：通过划分PORT VLAN 实现本端口隔离◆华为交换机VLAN实验设备：可网管交换机一台，PC机2台，直连线2条◆华为交换机VLAN配置过程：PC1与PC2不能PING通就为成功。

通过划分PORT VLAN 实现本端口隔离华为交换机VLAN配置事例2交换机上设置，划分VLAN：sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1，指定交换机的e0/1 到e0/8八个端口属于VLAN2 [Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置，实现访问控制：[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall，并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101[Router-Ethernet1]quit When you are old and grey and full of sleep, And nodding by the fire, take down this book,And slowly read, and dream of the soft lookYour eyes had once, and of their shadows deep;How many loved your moments of glad grace,And loved your beauty with love false or true,But one man loved the pilgrim soul in you,And loved the sorrows of your changing face;And bending down beside the glowing bars,Murmur, a little sadly, how love fledAnd paced upon the mountains overheadAnd hid his face amid a crowd of stars.The furthest distance in the worldIs not between life and deathBut when I stand in front of youYet you don't know thatI love you.The furthest distance in the worldIs not when I stand in front of youYet you can't see my loveBut when undoubtedly knowing the love from both Yet cannot be together.The furthest distance in the worldIs not being apart while being in loveBut when I plainly cannot resist the yearningYet pretending you have never been in my heart. The furthest distance in the worldIs not struggling against the tidesBut using one's indifferent heartTo dig an uncrossable riverFor the one who loves you.。

交换机端口隔离流控关闭标准模式交换机端口隔离流控关闭标准模式：构建高效网络通信的关键要素1. 概述1.1 交换机作为计算机网络中重要的设备之一，负责将数据包从一个端口转发到另一个端口，实现网络通信。

1.2 端口隔离、流控关闭、标准模式是交换机的关键功能，它们协同工作，有助于提高网络通信的效率和安全性。

2. 端口隔离2.1 端口隔离是一种通过配置交换机来实现对不同端口之间的流量分割的技术。

2.2 在网络中，不同的端口可能承载不同类型的流量，如语音、视频和数据等，通过端口隔离可以将这些流量分开处理，减少互相之间的干扰。

2.3 一个交换机集成了语音、视频和数据，通过配置端口隔离，可以保证语音的实时性、视频的流畅性，同时不影响数据的传输速度和稳定性。

2.4 端口隔离还可以用于隔离不同网络的流量，增强网络的安全性。

3. 流控关闭3.1 流控关闭是一种配置交换机的方式，用于控制流量在端口之间的传输速率。

3.2 在网络通信中，流量过大可能导致拥塞，从而影响数据的正常传输。

通过关闭某些端口的流控功能，可以提高网络的传输效率。

3.3 在一个网络中，某些端口的流量较大，可以关闭其流控功能，使其能够更快地传输数据，提高网络的整体性能。

3.4 然而，关闭流控功能也可能会导致网络拥塞，需要合理配置，根据网络的实际情况进行调整。

4. 标准模式4.1 标准模式是交换机的一种工作模式，也称为"学习模式"。

4.2 在标准模式下，交换机会自动学习网络中各个端口的MAC 位置区域，并将这些位置区域与相应的端口绑定，从而实现数据包的转发。

4.3 标准模式具有自学习、自适应的特点，能够根据网络的变化自动调整MAC位置区域表，保证数据包能够迅速、准确地传输。

4.4 与标准模式相对应的是静态模式，静态模式需要手动配置MAC位置区域表，不具备自学习、自适应的能力。

5. 个人观点和理解5.1 在构建高效网络通信中，交换机起着重要的作用，而端口隔离、流控关闭和标准模式则是构建高效网络通信的关键要素。

For personal use only in study and research; not for commercial use华为交换机基本配置命令一、单交换机VLAN划分命令命令解释system 进入系统视图system-view 进入系统视图quit 退到系统视图undo vlan 20 删除vlan 20sysname 交换机命名disp vlan 显示vlanvlan 20 创建vlan(也可进入vlan 20)port e1/0/1 to e1/0/5 把端口1-5放入VLAN 20 中5700系列单个端口放入VLAN●[Huawei]int g0/0/1● [Huawei]port link-type access（注：接口类型access，hybrid、trunk）● [Huawei]port default vlan 10批量端口放入VLAN●[Huawei]port-group 1●[Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 ●[Huawei-port-group-1]port hybrid untagged vlan 3删除group（组） vlan 200内的15端口●[Huawei]int g0/0/15●[Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200通过group端口限速设置●[Huawei]Port-group 2●[Huawei]group-member g0/0/2 to g0/0/23●[Huawei]qos lr outbound cir 2000 cbs 20000disp vlan 20 显示vlan里的端口20int e1/0/24 进入端口24undo port e1/0/10 表示删除当前VLAN端口10disp curr 显示当前配置●return返回●Save 保存●info-center source DS channel 0 log state off trap state off 通过关闭日志信息命令改变DS模块来实现（关闭配置后的确认信息显示）●info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现（打开配置后的确认信息显示）二、配置交换机支持TELNEsystem 进入系统视图sysname 交换机命名int vlan 1 进入VLAN 1ip address 192.168.3.100 255.255.255.0 配置IP地址user-int vty 0 4 进入虚拟终端authentication-mode password (aut password) 设置口令模式set authentication password simple 222 (set aut pass sim 222) 设置口令user privilege level 3(use priv lev 3) 配置用户级别disp current-configuration （disp cur) 查看当前配置disp ip int 查看交换机VLAN IP配置删除配置必须退到用户模式reset saved-configuration(reset saved) 删除配置Reboot 重启交换机三、跨交换机VLAN的通讯在sw1上：vlan 10 建立VLAN 10int e1/0/5 进入端口5port access vlan 10 把端口5加入vlan 10vlan 20 建立VLAN 20int e1/0/15 进入端口15port access vlan 20 把端口15加入VLAN 20int e1/0/24 进入端口24port link-type trunk 把24端口设为TRUNK端口port trunk permit vlan all 同上在SW2上:vlan 10 建立VLAN 10int e1/0/20 进入端口20port access vlan 10 把端口20放入VLAN 10int e1/0/24 进入端口24port link-type trunk 把24端口设为TRUNK端口port trunk permit vlan all (port trunk permit vlan 10 只能为vlan 10使用)24端口为所有VLAN使用disp int e1/0/24 查看端口24是否为TRUNKundo port trunk permit vlan all 删除该句四、路由的配置命令system 进入系统模式sysname 命名int e1/0 进入端口ip address 192.168.3.100 255.255.255.0 设置IPundo shutdown 打开端口disp ip int e1/0 查看IP接口情况disp ip int brief 查看IP接口情况user-int vty 0 4 进入口令模式authentication-mode password(auth pass) 进入口令模式set authentication password simple 222 37 设置口令user privilege level 3 进入3级特权save 保存配置reset saved-configuration 删除配置（用户模式下运行）undo shutdown 配置远程登陆密码int e1/4ip route 192.168.3.0(目标网段）255.255.255.0 192.168.12.1（下一跳：下一路由器的接口）静态路由ip route 0.0.0.0 0.0.0.0 192.168.12.1 默认路由disp ip rout 显示路由列表华3C AR-18E1/0（lan1-lan4)E2/0(wan0)E3/0(WAN1)路由器连接使用直通线。

教你配置华为S3000系列交换机端口隔离
现在许多行业都使用了华为S3000系列交换机，对于抑制广播风暴，一定要对交换机的端口
做隔离配置。

教你配置华为S3000系列交换机端口隔离
一组网需求：
1．PC1、PC2、PC3属于同一VLAN；
2．PC1、PC2、PC3彼此隔离。

二组网图：
三配置步骤：
1．进入系统模式
<Quidway>system-view
2．创建（进入）VLAN10
[Quidway] vlan 10
3．将端口E0/1、E0/2、E0/3加入VLAN10
[Quidway-vlan10]port ethernet 0/1 to ethernet 0/3
4．进入E0/1端口视图
[Quidway-vlan10] interface ethernet 0/1
5．配置端口E0/1与E0/2和E0/3隔离
[Quidway-Ethernet0/1] am isolate ethernet 0/2 to ethernet 0/3
6．进入E0/2端口视图
[Quidway-Ethernet0/1] interface ethernet 0/2
7．配置端口E0/2和E0/3隔离
[Quidway-Ethernet0/2] am isolate ethernet 0/3
四配置关键点：
1．此功能只能用于隔离同一VLAN相同IP网段用户；
2．对于两个端口之间的隔离，只需要在其中一个端口下进行配置即可。

华为交换机配置手册华为交换机配置手册华为交换机配置手册实验一使用华为Quidway系列交换机简单组网1.1 实验目的1. 掌握华为Quidway系列交换机上的基本配置命令；2. 掌握VLAN的原理和配置；3. 掌握端口聚合（Link Aggregation）的原理和配置；4. 掌握生成树协议（STP）的原理和配置；5. 掌握GVRP协议的原理和配置；6. 掌握三层交换机和访问控制列表（ACL）的原理和配置；7. 掌握如何从PC机或其他交换机远程配置某交换机。

1.2 实验环境Quidway S3026以太网交换机 2 台，Quidway S3526以太网交换机1台，PC机4台，标准网线6根Quidway S3026软件版本：V100R002B01D011；Bootrom版本：V1.1Quidway S3526软件版本：V100R001B02D006；Bootrom版本：V3.01.3 实验组网图在下面的每个练习中给出。

1.4 实验步骤1.4.1 VLAN配置首先依照下面的组网图将各实验设备相连，然后正确的配置各设备的IP地址。

有两台Quidway S3026交换机和四台PC机。

每台PC机的IP地址指定如下：PCA：10.1.1.1PCB：10.1.2.1PCC：10.1.1.2PCD：10.1.2.2掩码：255.255.255.0请完成以下步骤：1、如上图所示，配置四台PC机属于各自的VLAN。

2、将某些端口配置成trunk端口，并允许前面配置的所有VLAN通过。

3、测试同一VLAN中的PC机能否相互Ping通。

配置如下：SwitchA：SwitchA(config)#vlan 2//创建VLAN 2SwitchA (config-vlan2)# switchport ethernet 0/9 //将以太口9划入VLAN 2SwitchA (config-vlan2)#vlan 3 //创建VLAN 3SwitchA (config-vlan3)# switchport ethernet 0/10 //将以太口10划入VLAN 3SwitchA (config-vlan3)#interface ethernet 0/1 //进入以太口1的接口配置模式SwitchA (config-if-Ethernet0/1)#switch mode trunk//将e0/1接口设置为trunk模式SwitchA (config-if-Ethernet0/1)#switch trunk allow vlan all //配置允许所有的VLAN通过SwitchB：SwitchB(config)#vlan 2SwitchB (config-vlan2)# switchport ethernet 0/9 SwitchB (config-vlan2)#vlan 3SwitchB (config-vlan3)# switchport ethernet 0/10 SwitchB (config-vlan3)#interface ethernet 0/1 SwitchB (config-if-Ethernet0/1)# switch mode trunk SwitchB (config-if-Ethernet0/1)# switch trunk allow vlan all4、SwitchA端口e0/1的PVID配置为2，然后从PCA ping PCC，看能否相互Ping通，如果不能Ping 通，请说明原因。

华为交换机各种配置实例交换机配置（⼀）端⼝限速基本配置交换机配置（⼆）端⼝绑定基本配置交换机配置（三）ACL基本配置防⽌同⽹段ARP欺骗的ACL交换机配置（四）密码恢复交换机配置（五）三层交换配置交换机配置（六）端⼝镜像配置交换机配置（七）DHCP配置交换机配置（⼋）配置⽂件管理交换机配置（九）远程管理配置交换机配置（⼗）STP配置交换机配置（⼗⼀）私有VLAN配置交换机配置（⼗⼆）端⼝trunk、hybrid应⽤配置华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:华为交换机端⼝限速2000_EI系列以上的交换机都可以限速!限速不同的交换机限速的⽅式不⼀样!2000_EI直接在端⼝视图下⾯输⼊LINE-RATE (4 )参数可选!端⼝限速配置1功能需求及组⽹说明端⼝限速配置『配置环境参数』1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24『组⽹需求』1. 在SwitchA上配置端⼝限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps2数据配置步骤『S2000EI系列交换机端⼝限速配置流程』使⽤以太⽹物理端⼝下⾯的line-rate命令，来对该端⼝的出、⼊报⽂进⾏流量限速。

【SwitchA相关配置】1. 进⼊端⼝E0/1的配置视图[SwitchA]interface Ethernet 0/12. 对端⼝E0/1的出⽅向报⽂进⾏流量限速，限制到3Mbps[SwitchA- Ethernet0/1]line-rate outbound 303. 对端⼝E0/1的⼊⽅向报⽂进⾏流量限速，限制到1Mbps[SwitchA- Ethernet0/1]line-rate inbound 16【补充说明】报⽂速率限制级别取值为1～127。

S3600系列交换机端口隔离的配置
一组网需求：
1．将PC1与PC2进行隔离，PC1与PC2不能进行二层及三层访问；
2．PC1与PC3，PC2与PC3能互相访问。

二组网图：
三配置步骤：
1．进入系统模式
<H3C>system-view
2．进入E1/0/1端口视图
[H3C] interface ethernet1/01
3．将端口E1/0/1加入隔离组
[H3C-Ethernet1/0/1] port isolate
4．进入E1/0/2端口视图
[H3C] interface ethernet1/0/2
5．将端口E1/0/2加入隔离组
[H3C-Ethernet1/0/2] port isolate
四配置关键点：
1．同一交换机中只支持一个隔离组，组内端口数不限；
2．端口隔离特性与以太网端口所属的VLAN无关；
3．经过以上配置后，可以完成隔离组内PC间二层及三层的隔离，而隔离组与隔离组外的PC不隔离，即PC1与PC2相互隔离，而PC1与PC3不隔
离，PC2与PC3不隔离；
4．执行port isolate或undo port isolate命令后，在本地设备中，与当前端口位于同一汇聚组中的其他端口，会同时加入或离开隔离组；
5．此案例还适用于H3C S3600、S5600、S3100、S5100、S5500、S3610，以及Quidway S3900、S5600、S2000、S3100、S5000、S5100系列交换机。

端口配置目录目录第1章以太网端口配置........................................................................................................1-11.1 以太网端口简介.........................................................................................................1-11.2 以太网端口配置.........................................................................................................1-21.2.1 以太网端口配置任务列表..................................................................................1-21.2.2 进入/退出以太网端口配置模式...........................................................................1-21.2.3　关闭／打开以太网端口.......................................................................................1-31.2.4 设置以太网端口的描述字符串............................................................................1-31.2.5　设置以太网端口的双工状态..............................................................................1-31.2.6　设置以太网端口的速率.....................................................................................1-41.2.7 设置以太网端口连接的网线类型........................................................................1-51.2.8 设置以太网端口的流量控制...............................................................................1-51.2.9 禁止/允许长帧通过以太网端口...........................................................................1-51.2.10 禁止/允许以太网端口进行MAC地址学习.........................................................1-61.2.11 设置以太网端口的链路环回检测功能................................................................1-61.2.12　设置以太网端口的优先级................................................................................1-71.2.13　将以太网端口设置为Trunk端口.....................................................................1-71.2.14　设置Trunk端口的属性...................................................................................1-81.2.15　指定以太网端口所属的VLAN..........................................................................1-81.3 以太网端口的监控与维护............................................................................................1-91.4 以太网端口配置举例.................................................................................................1-101.4.1　配置Trunk端口的PVID......................................................1-101.5 以太网端口配置排错.................................................................................................1-11第2章以太网端口汇聚配置.................................................................................................2-12.1 以太网端口汇聚简介...................................................................................................2-12.2 以太网端口汇聚配置...................................................................................................2-12.2.1 以太网端口汇聚配置任务列表............................................................................2-12.2.2 将一组以太网端口设置为同一个汇聚组的成员....................................................2-12.3 以太网端口汇聚的监控与维护.....................................................................................2-22.4 以太网端口汇聚典型配置举例.....................................................................................2-22.4.1 配置参与汇聚的以太网端口...............................................................................2-22.5 以太网端口汇聚故障的诊断与排除...............................................................................2-3第1章以太网端口配置1.1 以太网端口简介S5516以太网交换机在后面板上提供1个固定的10Base-T以太网接口在前面板上提供4个千兆扩展模块插槽满配置情况下S5516以太网交换机支持的以太网端口特性如下可以与升级软件所在的网络设备协商确定双工工作方式l1000Base-LX/SX以太网端口工作在千兆全双工模式下1000Base-SX 模块可以为用户提供4个千兆多模光端口可以工作在半双工自协商模式下作为升级软件用的10Mbit/s以太网端口不可配置下面一起来介绍1.2 以太网端口配置1.2.1 以太网端口配置任务列表要配置以太网端口的相关特性参数然后对相关参数进行配置l进入/退出以太网端口配置模式l关闭／打开以太网端口l设置以太网端口的描述字符串l设置以太网端口的双工状态l设置以太网端口的速率l设置以太网端口连接的网线类型l设置以太网端口的流量控制l禁止/允许长帧通过以太网端口l禁止/允许以太网端口进行MAC地址学习l设置以太网端口的链路环回检测功能l设置以太网端口的优先级l将以太网端口设置为Trunk端口l设置Trunk端口的属性l指定以太网端口所属的VLAN1.2.2 进入/退出以太网端口配置模式要对以太网端口进行配置也可以通过退出命令回到全局配置模式表1-1 进入以太网端口配置模式操作命令进入以太网端口配置模式interface interface_type interface_number请在以太网端口配置模式下进行下列配置表1-2 退出当前所在的以太网端口操作命令退出当前所在的以太网端口exit1.2.3 关闭／打开以太网端口可以指定关闭/打开当前的以太网端口表1-3 关闭/打开以太网端口操作命令关闭以太网端口shutdown打开以太网端口no shutdown这一对命令一般用于重新启动以太网端口通过先关闭端口再将其打开的方法这在某些情况需要使其生效缺省情况下1.2.4 设置以太网端口的描述字符串可以对以太网端口设置必要的描述请在以太网端口配置模式下进行下列配置端口的描述字符串为空全双工进行设置请在以太网端口配置模式下进行下列配置1000Base-LX/SX千兆以太网端口只能工作在全双工模式下全双工自协商缺省情况下自协商即自动与对端协商确定是工作在全双工状态还是工作在半双工状态一般强制双方的端口都工作在全双工状态1000Base-T以太网端口则能够支持10Mbit/s1000Mbit/s三种速率请在以太网端口配置模式下进行下列配置1000Base-LX/SX以太网端口只支持1000Mbit/s这一种速率10Mbit/s100Mbit/s缺省情况下1.2.7 设置以太网端口连接的网线类型1000Base-T以太网端口可以连接普通或交叉这两种类型的五类双绞线请在以太网端口配置模式下进行下列配置端口的网线类型为autoÐÍ1.2.8 设置以太网端口的流量控制可以通过下面的命令启动或关闭以太网端口的流量控制功能表1-8 设置以太网端口的流量控制操作命令启动以太网端口的流量控制flow-control关闭以太网端口的流量控制no flow-control缺省情况下1.2.9 禁止/允许长帧通过以太网端口在进行文件传输等大吞吐量数据交换的时候1518字节可以通过该命令请在以太网端口配置模式下进行下列配置表1-9 禁止/允许长帧通过以太网端口操作命令禁止长帧通过以太网端口jumboframe disable允许长帧通过以太网端口no jumboframe disable缺省情况下1.2.10 禁止/允许以太网端口进行MAC地址学习以太网端口可以进行MAC地址学习再收到以此地址为目的地址的数据报文时不会对其进行广播转发例如潜在的攻击者可能使用不同源地址的以太网帧来攻击交换机此时请在以太网端口配置模式下进行下列配置允许以太网端口进行MAC地址学习环回检测分为两种对内自环适用于检测本端口配合检查对端以及连接线路的物理状况只有在做测试时请在以太网端口配置模式下进行下列配置表1-11 设置以太网端口的链路环回检测功能操作命令指定以太网端口进行对内自环检测loopback internal指定以太网端口允许进行对外回波检测loopback external禁止以太网端口进行链路环回检测no loopback缺省情况下1.2.12 设置以太网端口的优先级可以通过下面的命令设置某个以太网端口的优先级表1-12 设置以太网端口的优先级操作命令设置以太网端口的优先级priority priority将以太网端口的优先级恢复为缺省值no priority缺省情况下1.2.13 将以太网端口设置为Trunk端口在与VLAN有关的配置中顾名思义TrunkËüÔÊÐíÖ¸¶¨µÄÒ»¸ö»ò¶à¸öVLAN的帧通过它只允许其所属VLAN的帧通过请在以太网端口配置模式下进行下列设置所有的以太网端口均为Access端口1.2.14 设置Trunk端口的属性将一个以太网端口指定为Trunk端口以后当指定允许通过的VLAN后而指定缺省的VLAN ID VLAN帧的发送和接收遵循IEEE 802.1Q标准表1-14 设置Trunk端口的属性操作命令指定Trunk端口允许通过的VLAN switchport trunk allowed vlan { vlan_list | all }取消对Trunk端口允许通过VLAN的指定no switchport trunk allowed vlan { vlan_list | all }设置Trunk端口的缺省VLAN ID switchport trunk native vlan vlan_id 将Trunk端口的缺省VLAN ID恢复为缺省值no switchport trunk native缺省情况下除了VLAN 1之外不允许其它任何VLAN的帧通过该设置只对Trunk端口有效此命令使用的条件是即Access端口所指定的VLAN 不是缺省VLAN并且必须已经存在表1-15 指定以太网端口所属的VLAN操作命令指定以太网端口所属的VLAN switchport access vlan vlan-id把以太网端口从指定VLAN中删除no switchport access vlan vlan-id缺省情况下后配置的归属关系将会覆盖原有的归属关系包括端口类型是否双工流控这些信息对于监控和维护以太网端口是有用处的使用clear命令可以清除以太网端口的统计信息其中表1-16 显示以太网端口的信息操作命令清除端口的统计信息clear interface[ interface_type [ interface_number ] ]显示端口的所有信息show interface [ interface_type [ interface_number ] ]Quidway# show interface gigabitethernet 1/1GigabitEthernet1/1 is upHardware is Gigabit Ethernet, Hardware address is 00e0.fc00.5516Auto-duplex, Auto-speed, 1000_BASE_TFlow control is enableAllow jumbo frame to passPVID is 11Priority is 0Description: S5516 GigaEth 2/1Mdi type: autoLoopback: internalIt is a vlan trunking port, vlan(s) passing this port:1(default vlan)vlan(s) allowed to pass this port:1(default vlan), 2-3, 6-10It is not a monitor portIt doesn't belong to a port-aggregation0 packets output0 bytes, 0 multicasts, 0 broadcasts, 0 pauses0 packets input0 bytes, 0 multicasts, 0 broadcasts, 0 pauses0 FCS errors0 long frames1.4 以太网端口配置举例1.4.1 配置Trunk端口的PVID1. 组网需求S5516系列以太网交换机与对端交换机使用Trunk端口GigabitEthernet 1/4相连ＰＶＩＤ即缺省VLAN IDµ±ÒÔÌ«ÍøÖ¡·¢Ë͹ý³ÌÖгö´í¿ÉÒÔ½«PVID作为标签打上Quidway(config)# interface gigabitethernet 1/4²¢ÔÊÐí27到50ÕâЩVLAN最好已创建Quidway(config-if-GigabitEthernet1/4)# switchport trunk allowed vlan 2 6 7to 50 120Quidway(config-if-GigabitEthernet1/4)# exit创建VLAN 100设置端口GigabitEthernet 1/4的PVID为100Quidway(config-vlan100)# interface gigabitethernet 1/4Quidway(config-if-GigabitEthernet1/4)# switchport trunk native vlan 100Quidway(config-if- GigabitEthernet1/4)# show interface GigabitEthernet 1/4GigabitEthernet1/4 is upHardware is Gigabit Ethernet, Hardware address is 00e0.fc00.0010Auto-duplex, Auto-speed, 1000_BASE_TAllow jumbo frame to passFlow control is disablePVID is 100Priority is 0Mdi type: autoIt is a vlan trunking port, vlan(s) passing this port:1(default vlan), 2, 6-50, 120vlan(s) allowed to pass this port:1(default vlan), 2, 6-50, 120It is not a monitor portIt doesn't belong to a port-aggregation28 packets output3366 bytes, 0 multicast, 1 broadcasts, 0 pause701 packets input148879 bytes, 235 multicast, 425 broadcasts, 0 pause0 FCS errors0 long frames1.5 以太网端口配置排错故障现象故障排除l首先使用show interface命令检查该端口是否为Trunk端口则应先将其配置成Trunk端口则转下一步最好先创建该VLANÈçûÓд´½¨¸ÃVLAN然后再转而配置端口的PVID第2章以太网端口汇聚配置2.1 以太网端口汇聚简介链路汇聚是指将多个以太网链路汇聚在一起形成一个汇聚组从外面看起来在S5516中即最多可将16个端口汇聚到一起参与汇聚组的端口的起始值可以为任意一个可用的以太网端口除了编号最小的端口且一台S5516交换机可以支持多个千兆以太网汇聚组同一汇聚组内的以太网端口号必须连续如果组内的端口是同一槽内的端口如果组内的端口跨越了两个槽槽号必须连续l将一组以太网端口设置为同一个汇聚组的成员2.2.2 将一组以太网端口设置为同一个汇聚组的成员该配置任务用来将一组以太网端口汇聚到一起请在全局配置模式下进行下列配置2.3 以太网端口汇聚的监控与维护使用以下命令可以查看参与汇聚的端口的相关信息其他成员端口名和各端口的模式等表2-2 显示参与汇聚的以太网端口的信息操作命令显示参与汇聚的以太网端口的信息show link-aggregation [ GigabitEthernet master_interface_number ]Quidway# show link-aggregation gigabitethernet1/1Master port: GigabitEthernet1/1Other sub-ports:GigabitEthernet1/2GigabitEthernet1/3GigabitEthernet1/4GigabitEthernet2/1GigabitEthernet2/2GigabitEthernet2/3GigabitEthernet2/4Mode: ingress-egress2.4 以太网端口汇聚典型配置举例2.4.1 配置参与汇聚的以太网端口1. 组网需求本例将验证端口汇聚命令的使用以实现出/入负荷在各成员端口中进行分担因为Trunk端口上允许多个VLAN通过需要将流量在各个端口中进行分担用2个端口汇聚接入S30262. 组网图图2-1 配置汇聚以太网端口示例图3. 配置步骤配置S5516将以太网端口GigabitEthernet1/1至GigabitEthernet1/2汇聚到一起显示该汇聚端口的信息配置端口汇聚不成功可以按照如下步骤进行请检查所输入的参数中以太网端口的起始值是否小于终结值则转下一步请检查所输入的端口号起始/终结值所涵盖范围内的以太网端口是否都不是已有的汇聚组的成员则转下一步请检查参与汇聚的端口的总数目是否小于或等于16个l如果以上检查都正确。

华为交换机的操作指南系统信息：该页面主要用于显示和配置交换机的一些系统参数。

软件版本交换机当前使用软件的版本号。

MAC地址交换机的MAC地址。

IP地址交换机的IP地址，用户可以通过Web浏览器登录该IP地址，进行设备管理。

子网掩码交换机的子网掩码，缺省为255.255.255.0 。

网关交换机所在网段的网关地址，通过它可以对交换机远程管理。

如果用户不确定网关地址，请询问网络管理员或保留缺省配置。

老化时间交换机动态MAC地址的老化时间。

--------------------------------------------------------------------------------恢复/保存配置：交换机内部有EEPROM，用来保存交换机的配置信息。

恢复缺省配置恢复交换机出厂的缺省配置，并保存到EEPROM中。

用户需要注意用户名、密码、IP地址等信息都会恢复成出厂配置，以免无法登录。

保存当前配置交换机配置后，必须将当前配置写入EEPROM，才能在重新启动交换机后，配置还有效。

--------------------------------------------------------------------------------重启动：该页面允许用户远程重启交换机，如果用户重启交换机后需要保持当前的配置，应在重启交换机之前保存配置。

--------------------------------------------------------------------------------软件升级：升级交换机的软件需要进入维护模式。

期间最好不要中断升级过程，否则会导致升级失败。

如果在维护模式中不进行软件升级的操作，则需要手工重新启动交换机。

--------------------------------------------------------------------------------端口状态显示：显示交换机的端口状态。

10安全关于本章本章主要介绍安全管理的相关概念和相关配置，主要包括：端口隔离、用户静态绑定、AAA配置、802.1X和MAC认证。

10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。

S2700SI系列交换机不支持此功能。

10.2 用户静态绑定用户静态绑定信息由用户手工配置，支持的绑定方式包括IP+PORT、MAC+PORT、IP+MAC+PORT、IP+PORT+VLAN、MAC+PORT+VLAN、IP+MAC+PORT+VLAN。

S2700SI系列交换机不支持此功能。

10.3 AAA配置AAA是Authentication，Authorization，Accounting（认证、授权和计费）的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

在S2700系列交换机中仅是支持用户管理功能。

10.4 802.1X介绍802.1X的基本配置包括全局和接口802.1X参数配置。

10.5 MAC认证介绍MAC地址认证的基本配置包括全局配置和接口配置，使用MAC地址认证的特性。

10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。

S2700SI系列交换机不支持此功能。

端口隔离模式可以配置为二层三层都隔离或者二层隔离三层互通，最常用的就是同一个小组成员两两之间不能二层互通，却可以通过访问公共资源。

如打印机、服务器等。

10.1.1 双向隔离提供配置隔离模式和双向隔离的新建、查询、修改、删除的功能。

背景信息●同一端口隔离组的接口之间互相隔离，不同端口隔离组的接口之间不隔离。

●交换机支持64个隔离组，编号为1～64。

操作步骤●配置隔离模式说明●缺省情况下，端口隔离模式为L2(二层隔离三层互通)。

●隔离模式选择应用后，会把双向隔离和单向隔离的配置都应用于该模式。

●切换下方的双向隔离和单向隔离标签不影响隔离模式的配置功能。

●S2700（除S2700-52P-PWR-EI）系列交换机不支持此功能。

1交换机VLAN应用配置1功能需求及组网说明『配置环境参数』1.PC1和PC2分别连接到交换机SwitchA的端口E0/1和E0/2，端口分别属于VLAN10和20『组网需求』1.PC1属于VLAN10。

2.PC2属于VLAN20。

2数据配置步骤『交换机VLAN应用配置流程』1、缺省情况下，交换机存在一个默认的VLAN，即VLAN 1，且VLAN 1不能被删除；2、将端口加入到某VLAN X中，有两种方法：创建某VLAN X，进入VLAN X的配置视图，将指定端口加入VLAN X；进入指定端口的配置视图，修改该端口的PVID为X『方法1』【SwitchA相关配置】1.创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan 10[SwitchA-vlan10]port Ethernet 0/12.创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan 20[SwitchA-vlan20]port Ethernet 0/2『方法2』【SwitchA相关配置】1.进入以太网端口E0/1的配置视图[SwitchA]interface Ethernet 0/12.配置端口E0/1的PVID为10[SwitchA-Ethernet0/1]port access vlan 103.进入以太网端口E0/1的配置视图[SwitchA]interface Ethernet 0/24.配置端口E0/2的PVID为20[SwitchA-Ethernet0/2]port access vlan 20【补充说明】无2交换机VLAN接口静态IP地址配置1功能需求及组网说明『配置环境参数』1.SwitchA为三层交换机2.PC1连接到SwitchA的以太网端口E0/1，属于VLAN103.PC2连接到SwitchA的以太网端口E0/2，属于VLAN204.SwitchA的VLAN接口10的IP地址为10.1.1.1/24，VLAN接口20的IP地址为20.1.1.1/24，分别作为PC1和PC2的网关『组网需求』PC1和PC2可以通过SwitchA进行互通2数据配置步骤『VLAN接口静态IP地址配置流程』创建VLAN接口，并配置IP地址。

交换机：探索端口隔离、流控关闭及标准模式作为网络技术中的重要组成部分，交换机在局域网中起着至关重要的作用。

它不仅可以实现计算机之间的数据交换，还可以提供各种功能来保障网络的稳定和安全。

其中，端口隔离、流控关闭和标准模式是交换机中的重要功能，它们对网络性能和数据安全起着至关重要的作用。

在本篇文章中，我将深入探讨这些功能，并共享我的个人观点和理解。

一、端口隔离1. 为什么需要端口隔离？当局域网内部存在多个子网或者用户时，为了防止数据的泄露或者网络的混乱，需要对交换机进行端口隔离。

通过端口隔离，可以将不同的用户或者设备进行隔离，让它们之间无法直接通信，从而提高网络的安全性和稳定性。

2. 端口隔离的实现方法在交换机中，可以通过VLAN（虚拟局域网）来实现端口隔离。

通过将不同端口划分到不同的VLAN中，可以实现不同用户或设备之间的隔离，从而确保网络的安全和数据的稳定传输。

3. 端口隔离的应用场景端口隔离广泛应用于企业内部网络中，尤其是对于一些需要保密性的部门或者项目组，可以通过端口隔离来实现数据的隔离和安全传输。

二、流控关闭1. 流控的作用和原理流控是指在网络拥塞或者数据冲突时，通过控制数据的传输速率来保证网络的稳定和数据的可靠传输。

而关闭流控则是指关闭这一功能，让数据在网络拥塞时仍然能够传输，但可能会导致数据丢失或者网络延迟增加。

2. 开启和关闭流控的影响在一般情况下，开启流控可以保证网络的稳定和数据的可靠传输，但可能会导致数据传输速率的下降。

而关闭流控则可以提高数据传输速率，但可能会导致数据丢失或者网络拥塞。

3. 流控关闭的应用场景流控关闭一般适用于一些对数据传输速率要求较高的场景，如视频直播、大文件传输等，可以通过关闭流控来提高数据传输速率。

三、标准模式1. 标准模式的定义和特点标准模式是交换机中的一个工作模式，它通常是指交换机按照IEEE标准进行配置和工作的模式。

在这种模式下，交换机会按照一定的规范来进行数据交换和转发，从而确保网络的稳定和数据的可靠传输。

交换机配置指导（华为）一、 型号（LS-S3928P-PWR-EI）1、性能指标项目S3900-SI S3900-EI线速二/三层交换所有端口支持线速转发交换容量为19.2Gbit/s包转发率9.6Mpps（S3928)/13.2Mpps（S3952）交换模式存储转发模式VLAN 支持4K个符合IEEE 802.1Q标准的VLAN 支持基于端口的VLANVoice VLAN 支持识别进入端口的流的MAC地址，如果是IP电话流，就会将该端口加入相应的Voice VLAN广播风暴抑制支持基于端口速率百分比的广播风暴抑制，同时支持基于pps的广播风暴抑制端口环回检测支持端口收、发数据线被短路的检测与告警静态路由、RIPv1/2IP路由N/A OSPF、ECMP支持组播VLAN；支持基于端口复制；支持IGMP snooping、Filter、Fast leave；组播N/A IGMP V1/V2、PIM-SM、PIM-DM 生成树协议支持STP/RSTP/MSTP。

64VLAN虚接口每个虚接口支持4个Secondary IPUDP helper 支持支持通过LACP进行动态端口汇聚支持通过LACP进行动态端口汇聚，支持跨设备汇聚支持进行通过命令行手动进行端口汇聚支持FE（Fast Ethernet）端口汇聚支持GE（Gigabit Ethernet）端口汇聚支持每个汇聚组最大端口数8FE或者4GE端口汇聚S3928p最多支持14组端口汇聚组，S3952P最多支持26组汇聚组最多支持32组端口汇聚Jumbo frame N/A 支持镜像支持多对一的端口镜像，即多个源端口，一个镜像端口支持流镜像地址自学习IEEE 802.1D标准最多支持16K个MAC地址MAC地址表支持静态MAC地址1K流控支持IEEE 802.3x流控（全双工） 支持背压式流控（半双工）IRF简单堆叠 支持，最多8台IRF N/A 支持IRF 8台加载与升级支持XModem协议实现加载升级支持FTP、TFTP加载升级管理支持命令行接口（CLI）配置支持Telnet远程配置支持通过Console口配置支持SNMP支持RMON1，2，3，9组MIB支持华为iManager N2000 DMS网管系统支持WEB网管支持系统日志支持分级告警维护支持调试信息输出支持PING、TracertQoS/ACL 支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR（Committed Access Rate）功能，流量限速的粒度为：64Kbit/s 支持8个端口输出队列支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP （Strict Priority）、WRR（Weighted Round Robin）、WFQ、SP+WFQ、SP+WRR五种模式支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）~L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC（Medium Access Control）地址、源IP地址、目的IP地址、端口、协议、VLAN（Virtual Local Area Network）、VLAN范围、MAC地址范围和非法帧过滤支持基于时间段（Time Range）的ACL和QoS控制支持Qos Profile管理方式，允许用户定制Qos服务方案Web cache重定向支持用户分级管理和口令保护支持IEEE 802.1X 认证支持AAA&Radius 认证支持MAC 地址学习数目限制支持MAC 地址与端口绑定 支持DUD(Disconnect Unauthorised Device)认证，通过MAC 地址学习数目限制和MAC 地址与端口绑定实现支持SSH支持防止DoS 攻击功能支持端口隔离支持MAC 地址黑洞安全特性 N/A 支持集中式MAC 地址认证WRED支持 DHCP CLIENT支持 DHCP RELAY支持 BOOTP支持 NTP支持 口令恢复支持 基于端口的Trap 支持缺省配置文件 支持2、配置1）查看交换机配置<quidway>display current-configuration#sysname GDGZ-MA-WLAN-SW02-ZSY10-3F-ZD#radius scheme system#domain system#vlan 1#vlan 4#vlan 153#vlan 1904#interface Vlan-interface4ip address 172.17.2.166 255.255.255.0#interface Aux1/0/0#interface Ethernet1/0/1poe enableport access vlan 153#interface Ethernet1/0/2 poe enableport access vlan 153#interface Ethernet1/0/3poe enableport access vlan 153#interface Ethernet1/0/4poe enableport access vlan 153#interface Ethernet1/0/5poe enableport access vlan 153#interface Ethernet1/0/6poe enableport access vlan 153#interface Ethernet1/0/7poe enableport access vlan 153#interface Ethernet1/0/8 poe enableport access vlan 153#interface Ethernet1/0/9poe enableport access vlan 153#interface Ethernet1/0/10poe enableport access vlan 153#interface Ethernet1/0/11poe enableport access vlan 153#interface Ethernet1/0/12poe enableport access vlan 153#interface Ethernet1/0/13poe enableport access vlan 153#interface Ethernet1/0/14 poe enableport access vlan 153#interface Ethernet1/0/15poe enableport access vlan 153#interface Ethernet1/0/16poe enable#interface Ethernet1/0/17poe enable#interface Ethernet1/0/18poe enable#interface Ethernet1/0/19poe enable#interface Ethernet1/0/20poe enable#interface Ethernet1/0/21poe enableport access vlan 1904#interface Ethernet1/0/22poe enableport access vlan 4#interface Ethernet1/0/23poe enableport access vlan 4#interface Ethernet1/0/24poe enableport link-type trunkport trunk permit vlan all#interface GigabitEthernet1/1/1#interface GigabitEthernet1/1/2#interface GigabitEthernet1/1/3#interface GigabitEthernet1/1/4#undo irf-fabric authentication-mode#interface NULL0#voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 #ip route-static 0.0.0.0 0.0.0.0 172.17.2.1 preference 60 #user-interface aux 0 7user-interface vty 0 4user privilege level 3set authentication password simple huawei#return2）交换机命名配置<quidway>sys[quidway]sysname DXCZD-ZSY1-SW01-1F [交换机名称]3）远程登陆配置（telnet）a.打开telnet作态，不用登陆帐号，只需要密码登陆方式 [quidway]user interface vty 0 4[quidway-ui-vty0-4]authentication mode password[quidway-ui-vty0-4]set authentication passsword simple huiwei [密码] [quidway-ui-vty0-4]user privilege level 3b.使用用户帐号和密码登陆[quidway]local-user admin [帐号][quidway-luser-admin]password simple huawei[quidway-luser-admin]service-type telnet terminal[quidway-luser-admin]level 34）管理VLAN和管理地址配置<quidway>sys[quidway]vlan 2[管理VLAN ID][quidway-vlan4]quit[quidway]interface vlan-interface 2[管理VLAN ID][quidway-Vlan-interface4]ip address 172.17.4.90 255.255.255.0交换机IP地址 子网掩码[quidway-Vlan-interface4]quit[quidway]ip route-static 0.0.0.0 0.0.0.0 172.17.4.1[网关地址]5）端口配置（trunk口配置和access vlan配置）a.配置trunk口<quidway>sys[quidway]interface ethernet 1/0/24[配置上连端口][quidway-Ethernet1/0/24]port link-type trunk[quidway-Ethernet1/0/24]port trunk permit vlan 4[允许通过的VLAN ID]b.配置access vlan端口<quidway>sys[quidway]vlan 100[AP group vlan ID][quidway-vlan100]port ethernet 1/0/1 to ethernet 1/0/10[向VLAN100中加入端口1到端口10,一般为AP与交换机连接的端口]6）保存配置<quidway>save二、 型号（LS-S5328C-EI-24S/S2326TP-PWR-EI）1、配置1）查看交换机配置<quidway>display current-configuration2）交换机命名配置<quidway>sys[quidway]sysname DXCZD-ZSY1-SW01-1F [交换机名称]3）远程登陆配置（telnet）c.打开telnet作态，不用登陆帐号，只需要密码登陆方式 [quidway]user interface vty 0 4[quidway-ui-vty0-4]authentication mode password[quidway-ui-vty0-4]set authentication passsword simple huiwei [密码] [quidway-ui-vty0-4]user privilege level 3d.使用用户帐号和密码登陆[quidway]local-user admin [帐号][quidway-luser-admin]password simple huawei[quidway-luser-admin]service-type telnet terminal[quidway-luser-admin]level 34）管理VLAN和管理地址配置<quidway>sys[quidway]vlan 2[管理VLAN ID][quidway-vlan4]quit[quidway]interface vlan-interface 2[管理VLAN ID][quidway-Vlan-interface4]ip address 172.17.4.90 255.255.255.0 [quidway-Vlan-interface4]quit[quidway]ip route-static 0.0.0.0 0.0.0.0 172.17.4.1[网关地址]5）端口配置（trunk口配置和access vlan配置）c.配置trunk口<quidway>sys[quidway]interface g 0/0/24[配置上连端口][quidway-GigabitEthernet0/0/24]undo port default vlan 1[要先删除这条命令][quidway-GigabitEthernet0/0/24]port link-type trunk[quidway-GigabitEthernet0/0/24]port trunk allow-pass vlan 4[允许通过的VLAN ID]d.配置access vlan端口<quidway>sys[quidway]vlan 100[AP group vlan ID][quidway-vlan100]port e 0/0/1 to e 0/0/10[向VLAN100中加入端口1到端口10,一般为AP与交换机连接的端口]6）保存配置<quidway>save学校工作总结本学期，我校工作在全体师生的大力支持下，按照学校工作计划及行事历工作安排，紧紧围绕提高教育教学质量的工作思路，不断强化学校内部管理，着力推进教师队伍建设，进一步提高学校办学水平，提升学校办学品位，取得了显著的成绩。

交换实验一 虚拟局域网VLAN----交换机端口隔离实验名称：虚拟局域网VLAN ----交换机端口隔离试验目的：理解Port Vlan 的原理以及配置。

功能描述：在一台交换机上，通过划分Vlan ，实现属于不同Vlan 的端口不能互相访问，即端口隔离。

技术原理：VLAN 是指在一个物理网段内，进行逻辑的划分，划分成若干个虚拟局域网。

VLAN 的最大特性是不受物理位置的限制，可以进行灵活的划分。

VLAN 具有一个物理网所具备的特性。

相同VLAN 内的主机可以互相直接访问，不同VLAN 间的主机之间互相访问必须经过路由器设备进行转发。

广播数据包可以在本VLAN 内进行传播，不能传输到其他的VLAN 中去。

实验设备： S2126G 一台，PC 机2台。

实验拓扑：如下图，交换机F0/5端口和PC1相连，F0/15端口和PC2相连。

实验步骤：步骤1. pc1和pc2的网卡二（测试网卡）配同一网段的ip 地址，如：pc1:10.0.0.1 pc2:10.0.0.2步骤2. pc1和pc2互ping (应该通，因为两台机器在同一缺省vlan1中)。

步骤3. 在同一交换机(s2126)上配置vlan10和vlan 20。

步骤4. 把5端口（pc1）和15端口（pc2）分别划入到vlan10和valn 20中。

步骤5. 验证：连在5端口和15端口的PC1和PC2 ping 不通(应该不能互访，因为不同的VLAN 间是隔离广播域的，体现VLAN 的特性)。

参考配置：交换机上的配置：s2126-1>enable 14password:s2126-1#configure terminal！以下是在交换机2126上建立vlan10和vlan 20。

s2126-1(config)#vlan 10s2126-(config-valn)name office1 ！给VLAN 起名称，可以省略这一步s2126-1(config-valn)#exits2126-1(config)#vlan 20s2126-1(config-valn)#name office2 ！给VLAN 起名称，可以省略这一步s2126-1(config-valn)#ends2126-1#show vlan！以下是把5端口（pc1）和15端口（pc2）分别划入到vlan10和valn 20中。

通常，要实现交换机端口之间的隔离，最简单常用的方法就是划分VLAN （虚拟局域网）。

然而在具体应用中，往往又希望端口隔离后某些VALN 之间能灵活互访。

一般情况下，需要在二层交换机上实现隔离，然后在上联的三层交换机或路由器上实现VLAN 之间的互访。

实际上，只利用二层交换机同样可以完成隔离与互访的功能，这就是二层交换机Hybrid （混合）端口模式的应用。

1 交换机链路端口模式华为二层交换机一般有四种链路端口模式，分别是Access、Trunk 、Hybrid 端口模式。

1.1 Access 端口模式Access 类型的端口只能属于一个VLAN ，所以它的缺省VLAN 就是它所在的VLAN ，不用设置。

一般作为连接计算机的端口。

1.2 Trunk 端口模式Trunk 类型的端口可以属于多个VLAN ，可以接收和发送多个VLAN 的报文，一般作为交换机之间连接的端口。

1.3 Hybrid 端口模式Hybrid 类型的端口可以属于多个VLAN ，可以接收和发送多个VLAN 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid 端口模式的特点如下：Hybrid 属性是一种混和模式，实现了在一个untagged ( 不打标签) 端口允许报文以tagged （打标签）形式送出交换机。

同时，可以利用Hybrid 属性来定义分别属于不同VLAN 端口之间的互访，这是Access 和Trunk 端口所不能实现的。

Hybrid 端口还可以设置哪些VLAN 的报文打上标签，哪些不打标签，为实现对不同VLAN 报文执行不同处理流程打下了基础。

如果设置了端口的缺省VLAN ID ，当端口接收到不带VLAN Tag 的报文后，则将报文转发到属于缺省VLAN 的端口；当端口发送带有VLAN Tag 的报文时，如果该报文的VLAN ID 与端口缺省的VLAN ID 相同，则系统将去掉报文的VLAN Tag ，然后再发送该报文。