PVLAN配置(华为)

中兴，华为，烽火交换机常用配置命令教程交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表，不同品牌交换机配置可能有所不同，本文将详细介绍中兴，华为，烽火交换机常用配置参数,需要的朋友可以参考下ZXDSL8210常用命令查看板卡类型和软硬件版本号 showcard进入DSL模式 dsl查看端口状态 showinfo查看ADSL速率摸板 showprof更改端口应用的速率摸板 linecfg查看ADSL端口的线路质量 showperf打开ADSL端口 enable关闭ADSL端口 disable重启ADSL端口 resetport进入atm atm在atm下查看PVC showvcx allZXDSL8220常用命令查看板卡类型和软硬件版本号 sh card查看ADSL端口状态 show adsl status查看ADSL速率摸板 show adsl profile查看速率摸板D3M具体信息 show adsl profile d3m更新端口的流量信息 update adsl-perf card_list/port_list关闭ADSL端口 shutdown interface打开ADSL端口 no shutdown interfaceZXDSL9210设备常用命令查看板卡配置和版本号 show card查看设备版本号 show version查看ADSL端口状态 show interface查看一块板卡端口状态 show adsl status slot 1查看ADSL端口线路质量 show adsl physical查看ADSL线路摸板种类 show adsl profile查看D3M摸板的配置 show adsl profile d3m进入ADSL端口 int adsl-mpvc card/port关闭ADSL端口 shutdown打开ADSL端口 no shutdown中兴SU3查看板卡状态 show card all查看端口状态 show port查看速率摸板 show adsl lineprofile all查看线路质量 show adsl port端口号 option physical 开端口 port 端口号 enable关端口 port 端口号 disable华为MA5100&MA5103常用命令保存系统配制数据到FLASH内存 save查看单板状态 show board阻塞端口 block解除阻塞端口 no block激活端口 activate去激活端口 deactivate套片复位 chipset reset 0MA5300常用命令保存系统配置3 write查看单板状态 show board 0查看adsl端口状态 show adsl port state查看vdsl端口状态 show vdsl port state查看告警 show alarm history all查看板卡类型和运行状态 show board查看vlan show vlan all配制摸板 adsl line-profile add 3激活端口 adsl activate adsl 端口 3MA5600常用命令保存系统配制数据到FLASH内存 save查看单板状态 display board 0查看所有配制信息 disp running -config查看ADSL端口状态 display adsl port state查看vdsl端口状态 display vdsl port state查看xdsl 配置摸板 display adsl line-profile all查看vlan display vlan all查看告警 displayalarm history all查看上行板卡端口状态 display port state查看某个vlan所绑定下行端口 display vlan VLAN号查看上行板卡端口所绑定的vlan display port vlan配制摸板 adsl line-profile adddisplay interface adsl 0/1/1中兴交换机配置个人心得：命令的使用要注意各种用户模式。

VXLAN配置实例（华为）常⽤命令总结： bridge-domain bd-id，创建⼴播域BD，并进⼊BD视图。

description description，配置BD的描述信息。

l2 binding vlan vlan-id，将指定VLAN与BD相关联，实现数据报⽂在BD内进⾏转发。

vxlan vni vni-id，配置BD所对应的VXLAN的VNI. source ip-address，配置VXLAN隧道源端VTEP的IP地址。

vni vni-id head-end peer-list ip-address &<1-10>，配置头端复制列表。

display bridge-domain [ bd-id [ brief | verbose ] ]，查看BD的配置信息。

display vxlan tunnel [ tunnel-id ] [ verbose ]，查看VXLAN隧道的信息。

display vxlan vni [ vni-id [ verbose ] ]，查看VNI的VXLAN的配置信息。

display vxlan peer [ vni vni-id ]，查看VNI的⽬的端VTEP的IP地址。

display bridge-domain bd-id statistics，查看BD内报⽂的统计信息。

display vxlan statistics source source-ip-address peer peer-ip-address [ vni vni-id ]，查看VXLAN隧道报⽂的统计信息。

reset bridge-domain bd-id statistics，清除指定BD内流量统计信息。

reset vxlan statistics source source-ip-address peer peer-ip-address [ vni vni-id ]，清除VXLAN隧道报⽂统计信息。

华为路由器L2TPVPN配置案例为了实现远程访问内部网络资源的需求，我们可以使用华为路由器的L2TPVPN功能。

本文将提供一个简单的案例来演示如何配置L2TPVPN。

以下是详细的步骤：1. 首先，我们需要登录到华为路由器的Web管理界面。

在浏览器中输入路由器的IP地址，并使用管理员账号和密码登录。

2.在管理界面中，找到“VPN”选项，并点击“VPN服务器”子选项。

这将打开L2TPVPN服务器的配置页面。

在这个页面上，可以配置L2TPVPN服务器的相关参数。

3.在配置页面中，我们首先需要启用L2TPVPN功能。

找到“L2TPVPN服务开关”选项，在选项旁边的复选框中打勾以启用。

然后，点击“应用”按钮保存更改。

4.接下来，我们要配置L2TPVPN服务器的IP地址池。

找到“IP地址池”选项，在选项旁边的复选框中打勾以启用。

然后，点击“添加”按钮添加一个新的IP地址池。

5.在添加IP地址池的界面中，输入一个名称来标识该IP地址池。

在“首地址”和“末地址”字段中，输入IP地址的范围。

然后，点击“应用”按钮保存更改。

7.在L2TPVPN服务器的配置页面上，还有其他一些可选的设置，如DNS服务器和MTU值。

根据需要进行配置，并点击“应用”按钮保存更改。

8.配置完成后，我们需要为L2TPVPN服务器指定一个用户。

找到“VPN用户信息”选项，在选项旁边的复选框中打勾以启用。

然后，点击“添加”按钮添加一个新的VPN用户。

9.在添加VPN用户的界面中，输入一个用户名和密码来标识该用户。

在“所在组”字段中，选择用户所属的用户组。

然后，点击“应用”按钮保存更改。

10.配置完成后，我们需要重启L2TPVPN服务器以应用所有更改。

找到“重启”选项，在选项旁边的复选框中打勾以启用。

然后，点击“应用”按钮重启服务器。

11.配置完成后，我们可以使用L2TPVPN客户端来连接到服务器。

将VPN客户端配置为使用服务器的IP地址、预共享密钥、用户名和密码等参数。

华为VLAN-VPN配置实例『配置环境参数』1．Switch A、Switch B、Switch C为S5600交换机。

2．Switch A和Switch C的端口GigabitEthernet1/0/1分别与两侧的用户网络相连。

『组网要求』1．Switch B只允许VLAN 10的报文通过。

2．Switch A和Switch C所连接的用户网络之间能够互通非VLAN 10的报文。

2适用产品及版本S3900系列，S5100系列，S5500系列，S5600系列S3900 Release 0019以后的版本，S5600 Release 0035以后的版本3数据配置步骤『VLAN-VPN配置流程』1．创建VLAN10，将交换机相关接口加入VLAN10。

2．将Switch A、Switch C与Switch B相连的端口配置为trunk口，Switch B两端的接口也配置为trunk口。

3．将Switch A和Switch C的端口GigabitEthernet1/0/1配置为VLAN-VPN端口。

【SwitchA相关配置】1．将交换机改名为SwitchA[Quidway]sysname SwitchA2．创建（进入）VLAN10[SwitchA] vlan 103．进入GigabitEthernet1/0/2端口[SwitchA-vlan10] interface GigabitEthernet1/0/24．配置端口类型为trunk[SwitchA-GigabitEthernet1/0/2] port link-type trunk5．将接口加入VLAN10[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 106．进入GigabitEthernet1/0/1端口[SwitchA-GigabitEthernet1/0/2] interface GigabitEthernet1/0/17．将接口加入VLAN10[SwitchA-GigabitEthernet1/0/1] port access vlan 108．开启端口的VLAN-VPN特性[SwitchA-GigabitEthernet1/0/1] vlan-vpn enable【SwitchB相关配置】1．将交换机改名为SwitchB[Quidway]sysname SwitchB2．创建（进入）VLAN10[SwitchB] vlan 103．进入GigabitEthernet1/0/1端口[SwitchB] interface GigabitEthernet1/0/14．配置端口类型为trunk[SwitchB-GigabitEthernet1/0/1] port link-type trunk5．将接口加入VLAN10[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan 106．进入GigabitEthernet1/0/2端口[SwitchB-GigabitEthernet1/0/1] interface GigabitEthernet1/0/27．配置端口类型为trunk[SwitchB-GigabitEthernet1/0/2] port link-type trunk8．将接口加入VLAN10[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 10【SwitchC相关配置】Switch C的配置与Switch A的配置相同。

华为三层交换机配置案例华为三层交换机配置案例下面以华三通信H3C S3600-28P-SI为例，给大家带来华为三层交换机配置案例，希望对你有帮助!配置命令system-view //进入系统视图[H3C]display current-configuration //显示当前配置//以下开始配置第一步：划分VLAN，并描述vlan 1description local-S3600vlan 2description link-to-wenquanvlan 3description link-to-ruzhouvlan 4description link-to-xiaotunvlan 5description link-to-baofengvlan 6description link-to-pingxivlan 7description link-to-pingnanvlan 8description Uplink-to-Putianvlan 9description link-to-pingxicentre第二步：给VLAN 划网关interface Vlan-interface2description link to wenquanip address 10.41.77.41 255.255.255.192 interface Vlan-interface3description link to ruzhouip address 10.41.77.105 255.255.255.192 interface Vlan-interface4description link to xiaotunip address 10.41.77.169 255.255.255.192 interface Vlan-interface5description link to baofengip address 10.41.77.233 255.255.255.192 interface Vlan-interface6description link to pingxiip address 10.41.78.41 255.255.255.192 interface Vlan-interface7description link to pingnanip address 10.41.78.105 255.255.255.192 interface Vlan-interface8description uplink to putianip address 10.41.244.102 255.255.255.252 interface Vlan-interface9description link to pingxicentreip address 10.41.80.233 255.255.255.192 第三步：给VLAN 指定端口interface Ethernet1/0/2description link to wenquanport access vlan 2interface Ethernet1/0/3description link to ruzhouport access vlan 3interface Ethernet1/0/4description link to xiaotunport access vlan 4interface Ethernet1/0/5description link to baofengport access vlan 5interface Ethernet1/0/6description link to pingxiport access vlan 6interface Ethernet1/0/7description link to pingnanport access vlan 7interface Ethernet1/0/8description uplink to putianport access vlan 8interface Ethernet1/0/9 to Ethernet1/0/24description link to pingxicentreport access vlan 9第四步：配置路由协议//(1)用RIP配动态路由ripnetwork 10.41.77.41network 10.41.77.105network 10.41.77.169network 10.41.77.233network 10.41.78.41network 10.41.78.105network 10.41.80.233network 10.41.244.102//(2)配静态路由(只用对远端设备配一条路由即可，本地自通)---推荐用此协议ip route 0.0.0.0 0.0.0.0 10.41.244.101案例：华为S3600三层交换机配置方法sys[Quidway]vlan 2[Quidway-vlan2]port e1/0/2[Quidway-vlan2]int vlan 2[Quidway-Vlan-interface2]ip add 10.41.77.41 255.255.255.192 //温泉网关[Quidway-Vlan-interface2]vlan 3[Quidway-vlan3]port e1/0/3[Quidway-vlan3]int vlan 3[Quidway-Vlan-interface3]ip add 10.41.77.105 255.255.255.192 //汝州网关[Quidway-Vlan-interface3]vlan 4[Quidway-vlan4]port e1/0/4[Quidway-vlan4]int vlan 4[Quidway-Vlan-interface4]ip add 10.41.77.169 255.255.255.192 //小屯网关[Quidway-Vlan-interface4]vlan 5[Quidway-vlan5]port e1/0/5[Quidway-vlan5]int vlan 5[Quidway-Vlan-interface5]ip add 10.41.77.233 255.255.255.192 //宝丰网关[Quidway-Vlan-interface5]vlan 6[Quidway-vlan6]port e1/0/6[Quidway-vlan6]int vlan 6[Quidway-Vlan-interface6]ip add 10.41.78.41 255.255.255.192 //平西网关[Quidway-Vlan-interface6]vlan 7[Quidway-vlan7]port e1/0/7[Quidway-vlan7]int vlan 7[Quidway-Vlan-interface7]ip add 10.41.78.105 255.255.255.192 //平南网关[Quidway-Vlan-interface7]vlan 8[Quidway-vlan8]port e1/0/8[Quidway-vlan8]int vlan 8[Quidway-Vlan-interface8]ip add 10.41.244.102 255.255.255.252 //省中心网关[Quidway-Vlan-interface8]vlan 9[Quidway-vlan9]port e1/0/9 to e1/0/24[Quidway-vlan9]int vlan 9[Quidway-Vlan-interface9]ip add 10.41.80.233 255.255.255.192 //分中心网关//配置路由ip route 0.0.0.0 0.0.0.0 10.41.244.101华为三层交换机上如何实现不同vlan间的通信命令如下：一、组网需求：交换机配置了4个VLAN，分别为VLAN1，VLAN2，VLAN3，VLAN4，要求VLAN1可以与VLAN2，3，4互访，但是VLAN2，3，4之间不能互访，用Hybrid端口属性实现此功能。

交换学习笔记=++=实验四配置primary VLAN和secondary VLAN 2010-04-20 09:03:58标签：VLAN secondary primary实验笔记版权声明：原创作品，谢绝转载！否则将追究法律责任。

实验四配置primary VLAN和secondary VLAN主附vlan一般用于一个网络段的情况，主vlan和子vlan间可以访问，而子vlan之间是不能访问的。

PVLAN 简介：PVLAN（Primary vlan）是华为公司系列以太网交换机的一个新特性，它的功能是在小区接入中，通过将用户划入不同的VLAN，实现用户之间二层报文的隔离。

PVLAN采用二层VLAN的结构，在一台以太网交换机上存在Primary vlan和Secondary vlan。

一个Primary vlan和多个Secondary vlan对应，Primary vlan包含所对应的所有Secondary vlaN中包含的端口和上行端口，这样对上层交换机来说，只须识别下层交换机中的Primary vlan，而不必关心Primary vlan中包含的Secondary vlaN，简化了配置，节省了VLAN资源。

用户可以采用PVLAN实现二层报文的隔离，为每个用户分配一个Secondary VLAN，每个vlan中只包含该用户连接的端口和上行端口；如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个Secondary VLAN中。

/869751/269756 PVLAN先在四个PC机分别设置好IP，NETMASK，GW等：在交换机A上设置：[SwitchA]vlan 2[SwitchA-vlan2]port ethernet 0/5 to ethernet 0/6 ;e0/5到e0/6设为VLAN 2 [SwitchA]vlan 3[SwitchA-vlan3]port ethernet 0/7 to ethernet 0/8 ;e0/7到e0/8设为VLAN 3 [SwitchA]vlan 5[SwitchA-vlan5]port ethernet 0/1 to ethernet 0/4 ;e0/1到e0/4设为VLAN 5 [SwitchA-vlan5]isolate-user-vlan enable ;vlan5是主vlan（这里是本实验的重点）[SwitchA-vlan5]quit[SwitchA]isolate-user-vlan 5 secondary 2,3 ;vlan2,3是子vlan（这里也是本实验的重点）在交换机B上设置：；设置同上交换机A[SwitchB]vlan 2[SwitchB-vlan2]port ethernet 0/5 to ethernet 0/6[SwitchB]vlan 3[SwitchB-vlan3]port ethernet 0/7 to ethernet 0/8[SwitchA]vlan 4[SwitchB-vlan4]port ethernet 0/1 to ethernet 0/4[SwitchB-vlan4]isolate-user-vlan enable ;vlan4是主vlan [SwitchB-vlan4]quit[SwitchB]isolate-user-vlan 4 secondary 2,3 ;vlan2,3是子vlan。

详解:VLAN+路由器典型配置实例近期看到有些朋友问交换机划 VLAN 后接路由器如何配置访问外网，其实这是个比较简单，也比较典型的配置。

网上也很容易找到，但都不系统很零散。

这里针对几种常见的情况，分别做了配置：1、拓扑结构图：1）本例中的路由器均为华为 AR28-10,交换机 SW1为华为的 S3526 带3 层交换功能，SW2为华为 2403H-EI二层交换机。

2）图模拟了常见的拓扑结构。

也没有用到任何厂商特性，因此也适用于其他厂商的设备，只是命令行有所不同。

2、基础配置：ISP:interface Serial0/0 #配置和RA相连的接口clock DTECLK1link-protocol pppip address 10.0.1.1 255.255.255.252interface LoopBack0 #配置该接口模拟 internet 的一个 IP。

ip address 1.1.1.1 255.255.255.255ip route-static 59.61.94.144 255.255.255.248 10.0.1.2 preference 60 #将该地址段指向 RA，也即分配地址池给 RA。

RA:nat address-group 0 59.61.94.145 59.61.94.150 #配置NAT 地址池，也即ISP分配的地址段。

（如果外网接口类型为广播，则最好把这些地址配置给LOOPBACK接口，否则可能不同，但此例是点对点接口，无此问题）acl number 2000 #配置NA T 用的ACL列表rule 0 permit source 172.16.0.0 0.0.0.255rule 1 permit source 172.16.1.0 0.0.0.255rule 2 permit source 10.0.0.0 0.0.0.3interface Ethernet0/0 #配置内网口ip address 10.0.0.1 255.255.255.252interface Serial0/0 #配置外网口link-protocol pppip address 10.0.1.2 255.255.255.252nat outbound 2000 address-group 0 #做NA T，采用先前配置的地址池。

华为，思科，中兴基本交换机命令[Quidway]super password 修改特权用户密码switch(config)#enable password *** 思科交换机设置特权模式密码[Quidway]sysname *** 交换机命名switch(config)#hoatname *** 思科交换机命名[Quidway]interface ethernet 0/1 进入接口视图Switch(config)#interface f0/1[Quidway]interface vlan x 进入接口视图Switch(config)#interface vlan 1[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由＝网关Router(config)#ip route 0.0.0.0 0.0.0.0 10.65.1.2 默认路由[Quidway]user-interface vty 0 4[S3026-ui-vty0-4]authentication-mode password[S3026-ui-vty0-4]set authentication-mode password simple 222[S3026-ui-vty0-4]user privilege level 3Switch(config)#line vty 0 4Switch(config-line)#password[Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口双工工作状态Switch(config-if)#duplex ?auto Enable AUTO duplex configurationfull Force full duplex operationhalf Force half-duplex operation[Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率Switch(config-if)#speed ?10 Force 10 Mbps operation100 Force 100 Mbps operationauto Enable AUTO speed configuration[Quidway-Ethernet0/1]flow-control 配置端口流控[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX 状态平接或扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置接口工作模式[Quidway-Ethernet0/1]shutdown 关闭/重起接口[Quidway-Ethernet0/2]quit 退出系统视图[Quidway]vlan 3 创建/删除一个VLAN/进入VLAN模式Switch#vlan databaseSwitch(vlan)#vlan 2或Switch#configure terminalSwitch(config)#vlan 2[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在当前VLAN增加/删除以太网接口[Quidway-Ethernet0/2]port access vlan 3 将当前接口加入到指定VLANSwitch(config)#in f0/1Switch(config-if)#switchport access vlan 2 需要删除的话就直接no掉[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLANSwitch(config-if)#switchport trunk allowed vlan add 5Switch(config-if)#switchport trunk allowed vlan allSwitch(config-if)#switchport trunk allowed vlan except 2 从trunk 中移除vlan2[Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID[Quidway]monitor-port <interface_type interface_num> 指定和清除镜像端口[Quidway]port mirror <interface_type interface_num> 指定和清除被镜像端口[Quidway]port mirror int_list observing-port int_type int_num 指定镜像和被镜像[Quidway]description string 指定VLAN描述字符[Quidway]description 删除VLAN描述字符[Quidway]display vlan [vlan_id] 查看VLAN设置Switch#show vlan[Quidway]stp {enable|disable} 开启/关闭生成树,默认关闭[Quidway]stp priority 4096 设置交换机的优先级[Quidway]stp root {primary|secondary} 设置交换机为根或根的备份思科的的生成树协议主要是针对vlan，配置的主要作用就是增加网络的可靠性。

华为交换机VLAN配置由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。

下面是店铺收集整理的华为交换机VLAN配置，希望对大家有帮助~~华为交换机VLAN配置工具/原料华为交换机方法/步骤『VLAN配置流程』1. 缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access端口只能属于一个vlan;2. 如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉;3. 除了VLAN1，如果VLAN XX不存在，在系统视图下键入VLAN XX，则创建VLAN XX并进入VLAN视图;如果VLAN XX已经存在，则进入VLAN视图。

配置方法一：1. 创建(进入)vlan2[SwitchA]vlan 22. 将端口E0/1加入到vlan2[SwitchA-vlan2]port ethernet 0/13. 创建(进入)vlan3[SwitchA-vlan2]vlan 34. 将端口E0/2加入到vlan3[SwitchA-vlan3]port ethernet 0/2配置方法二：1. 创建(进入)vlan2[SwitchA]vlan 22. 进入端口E0/1视图[SwitchA]interface ethernet 0/13. 指定端口E0/1属于vlan2[SwitchA-Ethernet1]port access vlan 24. 创建(进入)vlan3[SwitchA]vlan 35. 进入端口E0/2视图[SwitchA]interface ethernet 0/26. 指定端口E0/2属于vlan3[SwitchA-Ethernet2]port access vlan 34测试验证1. 使用命令disp cur可以看到端口E0/1属于vlan2，E0/2属于vlan3;2. 使用display interface Ethernet 0/1可以看到端口为access 端口，PVID为2;3. 使用display interface Ethernet 0/2可以看到端口为access 端口，PVID为3。

华为交换机VLAN的基础配置之袁州冬雪创作一、实验目标：1、掌握VLAN的配置2、掌握Access 接口和Trunk接口的配置3、掌握将接口与VLAN关联的配置二、实验环境：华为摹拟器（eNPS1.0.216）三、网终拓扑说明：(S3700 V200R001C00)PC1与PC3属于默许的vlan1，pc1与LSW1的e0/0/1口、pc3与LSW2的e0/0/1口毗连Pc2与LSW1的e0/0/2口、pc4与LSW2的e0/0/2口毗连在LSW1、LSW2创建vlan2将LSW1的E0/0/2及LSW2的E0/0/2添加到vlan2交换机之间的接口E0/0/3配置为trunk链路实现vlan1中PC1与PC3、vlan2中PC2与PC4的通信，vlan1与vlan2间不克不及通信.四、详细配置步调：1、VLAN口与Access接口的配置LSW1:<Huawei>syEnter system view, return user view with Ctrl+Z. [Huawei]sysname LSW1[LSW1]vlan 2 //添加一个vlan2[LSW1-vlan2]q[LSW1]int e0/0/2 //进入2接口[LSW1-Ethernet0/0/2]port link-type access //端口的链路类型为Access（毗连计算机的端口），华为的设置默许接口是hybrid的形式[LSW1-Ethernet0/0/2]port default vlan 2 //将这个接口加入到vlan2中[LSW1-Ethernet0/0/2]q[LSW1]q<LSW1>save //保管配置LSW2:<Huawei>syEnter system view, return user view with Ctrl+Z. [Huawei]sysname LSW2[LSW2-ui-console0]q[LSW2]vlan 2 //添加一个vlan2 [LSW2-vlan2]int e0/0/2[LSW2-Ethernet0/0/2]port link-type access //端口的链路类型为Access[LSW2-Ethernet0/0/2]port default vlan 2 //将这个接口加入到vlan2中[LSW2-Ethernet0/0/2]q[LSW2]q<LSW2>save //保管配置2、Trunk接口的配置从上面的拓扑图和配置饬令来看，交换机之间的e0/0/3接口默许是属于vlan1的，因此只能是PC1与PC3这两台主机是可以拼通的，要想实现PC2与PC4之间的互通，则需要将交换机之间相连的接口配置为trunk，饬令如下：[LSW1]int e0/0/3 //进接口[LSW1-Ethernet0/0/3]port link-type trunk//接口链路类型为trunk[LSW1-Ethernet0/0/3]port trunk allow-pass vlan all //允许所有的vlan通过，华为的设备默许是不允许任何vlan通过的，除了缺省的vlan1[LSW1-Ethernet0/0/3]qLSW1]q<LSW1>save //保管配置[LSW2]int e0/0/3 //进接口[LSW2-Ethernet0/0/3]port link-type trunk //接口链路类型为trunk[LSW2-Ethernet0/0/3]port trunk allow-pass vlan all//允许所有的vlan通过[LSW2-Ethernet0/0/3]qLSW2]q<LSW2>save //保管配置其他：<Switch>undo terminal monitor //关闭终端显示信息.默许情况下，在修改一个配置后交换饬令行总是提示一些告警信息，很烦人.<Switch>language-mode chinese //修改提示语言为中文。

华为3COM交换机PVLAN配置使用PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN （Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN 通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。

华为路由器交换VLAN配置实例配置说明：使用4台PC，华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。

实现防火墙策略，和访问控制（ACL）。

网络结构如图：华为路由器和防火墙配置命令总结一、access-list 用于创建访问规则。

（1）创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] }【参数说明】normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

IＰSec(Internet Proｔｏｃol Ｓecｕrity)就是IETF(Ｉntｅrｎet Engiｎｅering TasｋFｏrcｅ)制定得一组开放得网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性与抗重放功能来保证通信双方Internet上传输数据得安全性、在Ｉnternet得传输中,绝大部分数据得内容都就是明文传输得,这样就会存在很多潜在得危险,比如:密码、银行帐户得信息被窃取、篡改,用户得身份被冒充,遭受网络恶意攻击等。

网络中部署IPＳeｃ后,可对传输得数据进行保护处理,降低信息泄漏得风险。

采用默认配置通过ＩKＥ协商方式建立ＩPSｅc隧道示例组网需求如图1所示,RouterA为企业分支网关,RoｕterB为企业总部网关,分支与总部通过公网建立通信。

分支子网为１0。

1.1.0/24,总部子网为10。

1.2。

0／24。

企业希望对分支子网与总部子网之间相互访问得流量进行安全保护。

分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPＳec隧道来实施安全保护、图1 采用默认配置通过ＩKE协商方式建立ＩPＳec隧道组网图配置思路采用如下思路配置采用IKE协商方式建立ＩＰSec隧道:1.配置接口得IP地址与到对端得静态路由,保证两端路由可达。

2。

配置ACＬ,以定义需要IＰＳec保护得数据流、３。

配置ＩＰＳeｃ安全提议,定义IPＳeｃ得保护方法。

4、配置IKE对等体,定义对等体间IＫE协商时得属性。

5。

配置安全策略,并引用ＡCL、IＰSec安全提议与ＩKE对等体,确定对何种数据流采取何种保护方法、6、在接口上应用安全策略组,使接口具有ＩＰＳec得保护功能。

操作步骤１。

分别在ＲouｔerA与RouｔｅrＢ上配置接口得IＰ地址与到对端得静态路由＃在RouｔeｒA上配置接口得IＰ地址。

<Hｕawｅi〉ｓyｓtem－viｅw［Hｕaｗei] sysnａｍe RoｕterA［RｏｕｔｅrA] iｎtｅrｆace ｇｉgａbｉｔeｔhernｅｔ１/0/0［RｏｕｔerA－GigabitEthernet1／0/0］ip ａdｄress 20２、138.１6３.1 ２5５。

配置BGP/MPLS IP VPN例如图1 配置BGP/MPLS IP VPN组网图•组网需求•配置思路•操作步骤•配置文件组网需求如图1所示：•CE1连接公司总部研发区、CE3连接分支机构研发区，CE1和CE3属于vpna；•CE2连接公司总部非研发区、CE4连接分支机构非研发区，CE2和CE4属于vpnb。

公司要求通过部署BGP/MPLS IP VPN，实现总部和分支机构的平安互通，同时要求研发区和非研发区间数据隔离。

配置思路采用如下的思路配置BGP/MPLS IP VPN：1.P、PE之间配置OSPF，实现骨干网的IP连通性。

2.PE、P上配置MPLS根本能力和MPLS LDP，建立MPLS LSP公网隧道，传输VPN数据。

3.PE1和PE2上配置VPN实例，其中，vpna使用的VPN-target属性为111:1，vpnb使用的VPN-target属性为222:2，以实现一样VPN间互通，不同VPN间隔离。

同时，与CE相连的接口和相应的VPN实例绑定，以接入VPN用户。

4.PE1和PE2之间配置MP-IBGP，交换VPN路由信息。

5.CE与PE之间配置EBGP，交换VPN路由信息。

操作步骤1.在MPLS骨干网上配置OSPF协议，实现骨干网PE和P的互通# 配置PE1。

<Huawei> system-view[Huawei] sysname PE1[PE1] interface loopback 1[PE1-LoopBack1] ip address 1.1.1.9 32[PE1-LoopBack1] quit[PE1] interface gigabitethernet 3/0/0[PE1-GigabitEthernet3/0/0] ip address 172.1.1.1 24[PE1-GigabitEthernet3/0/0] quit[PE1] ospf 1[PE1-ospf-1] area 0[PE1-ospf-1-area-0.0.0.0] network 172.1.1.0 0.0.0.255[PE1-ospf-1-area-0.0.0.0] network 1.1.1.9 0.0.0.0[PE1-ospf-1-area-0.0.0.0] quit[PE1-ospf-1] quit# 配置P。