华为交换机VLAN聚合(超级vlan)配置示例

华为7503三层交换机VLAN配置命令2008-08-02 21:25:09 业界| 评论(0) | 浏览(7511)华为7503三层交换机VLAN配置命令1.1 VLAN配置命令中华人民共和国.. 1-11.1.1 broadcast-suppression. 1-11.1.2 description. 1-21.1.3 display interface Vlan-interface. 1-31.1.4 display vlan. 1-41.1.5 interface Vlan-interface. 1-51.1.6 name. 1-61.1.7 shutdown. 1-61.1.8 vlan. 1-71.2 基于端口的VLAN配置命令.. 1-81.2.1 port 1-81.3 基于协议的VLAN配置命令.. 1-91.3.1 display protocol-vlan interface. 1-91.3.2 display protocol-vlan slot 1-101.3.3 display protocol-vlan vlan. 1-111.3.4 port hybrid protocol-vlan vlan. 1-121.3.5 protocol-vlan vlan slot 1-131.3.6 protocol-vlan. 1-14第1章VLAN配置命令 1.1 VLAN配置命令中华人民共和国 1.1.1 broadcast-suppression 【命令】broadcast-suppression{ ratio | pps pps }undo broadcast-suppression【视图】VLAN视图【参数】ratio：指定VLAN当中最大广播流量的带宽百分比，取值范围为1～100，缺省值为100。

百分比越小，则允许通过的广播流量也越小。

pps pps：指定VLAN当中每秒最多通过的广播包数量。

为了在交换机上实现VLAN 间通信，需要为每个VLANIF 接口配置一个IP 地址，以实现VLAN 间路由。

如果VLAN 很多，将占用许多IP 地址资源。

VLAN 聚合（VLANaggregation）可以解决多个VLAN 占用多个IP 地址的问题。

VLAN 聚合是将多个VLAN 集中在一起，形成一个Super-VLAN。

组成Super-VLAN 的VLAN 被称作Sub-VLAN。

可以创建一个VLANIF 接口，使其对应一个Super-VLAN，只在该接口上配置IP 地址，不必为每个Sub-VLAN 分配IP 地址，所有Sub-VLAN 共用IP 网段，从而解决IP 地址使用效率的问题。

【**配置VLAN聚合**】1 建立配置任务2 配置Sub-VLAN3 创建Super-VLAN4 配置VLANIF 接口的IP 地址5 （可选）配置Super-VLAN 的Proxy ARP6 检查配置结果【1 建立配置任务】应用环境：VLAN 聚合（VLAN aggregation）用于解决多个VLAN 占用多个IP 地址的问题。

如图3-3 所示，VLAN 聚合将多个VLAN 集中在一起，形成一个super-VLAN。

组成super-VLAN 的VLAN 被称作sub-VLAN，所有sub-VLAN 共用一个IP 网段。

图1 VLAN 聚合应用场景图【2 配置Sub-VLAN】步骤1 执行命令system-view，进入系统视图。

步骤2 执行命令vlan vlan-id，创建VLAN 并进入VLAN 视图。

步骤3 执行命令port interface-type { interface-number1 [ to interface-number2 ] } &<1-10>，配置VLAN 包含的端口。

【3 创建Super-VLAN】步骤1 执行命令system-view，进入系统视图。

步骤2 执行命令vlan vlan-id，创建VLAN 并进入VLAN 视图。

ZXR10 6900 系列万兆路由交换机用户手册（以太网交换分册）1.2 配置VLAN1．创建指定VLAN，并进入VLAN 配置模式ZXR10(config)# vlan <vlan-id> 交换机上缺省只有VLAN1，使用该命令可以创建其他VLAN2．批量创建VLANZXR10# vlan database 进入vlan 数据库ZXR10(vlan)# vlan <vlan-list> 可以在数据库中批量创建VLAN3．设置VLAN 的别名ZXR10(config-vlan)# name <vlan-name> 在有些命令中可以使用别名代替VLAN号说明：VLAN 别名用于区分各个VLAN，可以是小组名称、部门、地区等。

缺省情况下，VLAN 的别名为“VLAN”＋VLAN ID，其中VLAN ID 部分为4位数字，不足4 位用0 补足，如ID 为4 的VLAN 别名缺省为VLAN0004。

4．设置以太网端口的VLAN 链路类型ZXR10(config)# interface <interface-name> 进入交换机上的二层接口ZXR10(config-if)# switchport mode {access|trunk|hybrid} 设置以太网端口的VLAN 链路类型说明：ZXR10 6900 系列交换机以太网端口的VLAN 链路类型有三种：Access 模式、Trunk 模式和Hybrid 模式，默认为Access 模式。

5．把以太网端口加入到指定VLAN●把Access 端口加入到指定VLANZXR10(config)# interface <interface-name> 进入交换机上的二层接口ZXR10(config-if)# switchport access vlan {<vlan-id>|<vlan-name>}设置端口属于哪个VLAN●把Trunk 端口加入到指定VLANZXR10(config)# interface <interface-name> 进入交换机上的二层接口ZXR10(config-if)# switchport trunk vlan<vlan-list>设置端口属于哪些VLAN●把Hybrid 端口加入到指定VLANZXR10(config)# interface <interface-name> 进入交换机上的二层接口ZXR10(config-if)# switchport hybrid vlan<vlan-list> [tag|untag]设置端口属于哪些VLAN，并设置这些VLAN 的数据是否打标签6．设置以太网端口的native VLAN（PVID）每个802.1Q 的端口都被分配了一个缺省的VLAN ID，称为PVID。

华为交换机VLAN聚合（超级vlan）配置示例1、组网需求图1 VLAN聚合组网图如图1所示，某公司拥有多个部门且位于同一网段，为了提升业务安全性，将不同部门的用户划分到不同VLAN中。

现由于业务需要，不同部门间的用户需要互通。

VLAN2和VLAN3为不同部门，现需要实现不同VLAN间的用户可以互相访问。

可以在Switch上部署VLAN聚合，实现VLAN2和VLAN3二层隔离、三层互通，同时VLAN2和VLAN3采用同一个子网网段，节省了IP地址。

2、配置思路2.1、把Switch接口加入到相应的sub-VLAN中，实现不同sub-VLAN间的二层隔离。

2.2、把sub-VLAN聚合为super-VLAN。

2.3、配置VLANIF接口的IP地址。

2.4、配置super-VLAN的Proxy ARP，实现sub-VLAN间的三层互通。

3、操作步骤3.1、配置接口类型# 配置接口GE1/0/1为Access类型。

接口GE1/0/2、GE1/0/3、GE1/0/4的配置与GE1/0/1相同，不再赘述。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type access[Switch-GigabitEthernet1/0/1] quit#创建VLAN2并向VLAN2中加入GE1/0/1和GE1/0/2。

[Switch] vlan 2[Switch-vlan2] port gigabitethernet 1/0/1 1/0/2[Switch-vlan2] quit#创建VLAN3并向VLAN3中加入GE1/0/3和GE1/0/4。

[Switch] vlan 3[Switch-vlan3] port gigabitethernet 1/0/3 1/0/4[Switch-vlan3] quit3.2、配置VLAN4# 配置super-VLAN。

[计算机]华为交换机配置VLAN实训指导书H3CNE交换机配置实训指导手册实验一实验名称:二层交换机的配置实验目的: 认识和了解交换机，学习和掌握二层交换机的基本配置方法和基本配置命令，并能实现对二层交换机的简单配置。

实验设备:CONSOLE口配置线缆一根;计算机一台;交换机一台(华为S3100-26C-SI以太网交换机)。

实验内容: 能通过“超级终端”(WINDOWS的开始菜单——程序——附件——通讯中)实现对二层交换机的简单配置，学习和掌握一些常用的配置命令(必须掌握:,、SYSTEM-VIEW、LANGUAGE-MODE、DISPLAY、PING、REBOOT、RESET SAVE、SYSNAME、INTERFACE ETHERNET、QUIT、SHUTDOWN、UNDO;建议掌握:SUPER PASSWORD、DUPLEX、SPEED、SAVE、LINE-RATE)，理解用户视图、系统视图和接口视图。

实验学时:2每组人数:5-6实验类型:验证型实验步骤:1、物理连线:使用配置线通过计算机的串口连接到交换机的CONSOLE口。

(如图1-1)2、启动“超级终端”(WINDOWS的开始菜单——程序——附件——通讯中)，选择与交换机连接的串口，并对新建立的连接使用如下配置参数: 波特率:9600数据位:8奇偶校验:无停止位:1流控制:无3、进入交换机后，学习和掌握一些常用的配置命令(必须掌握:,、SYSTEM-VIEW、LANGUAGE-MODE、DISPLAY、PING、REBOOT、RESET SAVE、SYSNAME、INTERFACE ETHERNET、QUIT、SHUTDOWN、UNDO;建议掌握:SUPER PASSWORD、DUPLEX、SPEED、SAVE、LINE-RATE)，理解用户视图、系统视图和接口视图。

用户视图:超级终端启动后，系统自动进入到用户视图界面，在用户视图下，只能查看交换机的简单运行状态和统计信息，不能进行任何参数配置。

华为交换机super-vlan配置聚合型VLanvlan聚合⼜称Super-Vlan ,主要⽤于解决IPV4地址资源⽇趋紧张的问题，主要原理是将多个SUB-VLAN(⼦vlan)聚合成⼀个Super Vlan，SuperVlan只是⼀个逻辑型VLan，所以SuperVlan内不能加⼊任何物理端⼝，却可以创建对应的VLAN接⼝，在该VLAN接⼝可以通过VLANIF接⼝来配置IP地址。

VLAN聚合的主要优点是节省IP地址，它通常将多个不同的VLAN划分⾄同⼀IP⼦⽹，⽽不是每个VLAN单独占⽤⼀个⼦⽹，然后将整个IP⼦⽹映射成⼀个VLAN聚合（Super VLAN），它包含整个IP⼦⽹内的所有VLAN（Sub VLAN）。

这样⼀来，不同的Sub VLAN仍保留各⾃独⽴的⼴播域，⽽⼀个或多个Sub VLAN同属于⼀个Super VLAN，并且都使⽤Super VLAN的接⼝地址为默认⽹关IP地址。

当不同Sub VLAN 中的主机需要相互之间三层通讯时，需要在Super VLAN上开启ARP代理。

ARP代理（ARP Proxy）在Super VLAN和内部Sub VLAN主机之间起着传递ARP包的作⽤，⽤于把各主机的⽹络层地址映射到对应主机的数据链路层地址。

Super VLAN引⼊Super VLAN和Sub VLAN的概念。

⼀个Super VLAN可以包含⼀个或多个保持着不同⼴播域的Sub VLAN。

在同⼀个Super VLAN中，⽆论主机属于哪⼀个Sub VLAN，它的IP地址都在Super VLAN对应的⼦⽹⽹段内，各个Sub VLAN不再占⽤⼀个独⽴的⼦⽹⽹段。

这样，通过Sub VLAN间共⽤同⼀个三层接⼝，既减少了⼀部分⼦⽹号、⼦⽹缺省⽹关地址和⼦⽹定向⼴播地址的消耗，⼜实现了不同⼴播域使⽤同⼀⼦⽹⽹段地址，增加了编址的灵活性，减少了闲置地址浪费。

从⽽在保证了各个Sub VLAN作为⼀个独⽴⼴播域实现了⼴播隔离的同时，将以前使⽤普通VLAN浪费掉的IP地址节省下来。

交换机VLAN配置一、实验目的1、掌握VLAN工作原理及配置技术；2、熟悉华为交换机常用的VLAN配置命令。

二、实验设备主机、交换机。

三、实验要求1、按图1构建网络拓朴图，主机IP地址可自定义；2、将PC3划分到VLAN 2，PC4划分到VLAN 3，查看配置并测试网络连通性。

图1 网络拓朴图3、增加4台主机，网络拓朴图如图2所示，将接GigabitEthernet 0/0/5-GigabitEthernet 0/0/6端口的主机划分到VLAN 2，接GigabitEthernet 0/0/7-GigabitEthernet 0/0/8端口的主机划分到VLAN4，查看配置并测试网络连通性。

图2 网络拓朴图4、配置登录验证方式(1) 配置配置aaa远程认证；(2) 配置交换机远程登录的用户名和密码；(3) 配置登录方式为telnet。

四、实验步骤1、创建网络拓朴图(1) 添加交换机双击交换机图标，添加交换机，修改名称为SwitchA(交换机名称可以自己定义)。

(2) 添加计算机双击计算机图标添加一台PC机，修改名称为PC1，采用相同的方法添加PC2、PC3、PC4。

(3) 添加交换机和计算机之间的连线2、配置主机IP地址和网关地址分别双击PC1 ~ PC4配置主机的IP地址和网关地址。

PC1的IP地址： 192.168.1.1 255.255.255.0 网关： 192.168.1.254PC2的IP地址： 192.168.1.2 255.255.255.0 网关： 192.168.1.254PC3的IP地址： 192.168.1.3 255.255.255.0 网关： 192.168.1.254PC4的IP地址： 192.168.1.4 255.255.255.0 网关： 192.168.1.254例如：配置PC1的IP地址如图3所示。

图3 配置主机A的IP地址和网关地址同理配置其他主机的IP地址和网关地址。

2 VLAN配置关于本章VLAN具有隔离广播域、增强保密性、组网灵活和扩展性良好等特点。

2.1 VLAN概述介绍VLAN的定义、由来和作用。

2.2 设备支持的VLAN特性设备支持的VLAN特性包括VLAN的划分、VLAN间的通信、VLAN聚合、MUX VLAN、管理VLAN。

2.3 缺省配置介绍了VLAN参数的缺省配置。

2.4 划分VLAN创建并划分VLAN，将没有互通需求的用户进行隔离，增强网络的安全性、减少广播流量，同时也减少了广播风暴的产生。

2.5 配置VLANIF接口实现VLAN间的通信VLANIF接口是三层逻辑接口，在设备上创建VLANIF接口后，可实现VLAN间的通信。

2.6 配置VLAN聚合节约IP地址VLAN聚合解决了IP地址资源浪费问题，同时可实现不同VLAN间通信。

2.7 配置MUX VLANMUX VLAN可实现VLAN间通信，也可实现VLAN内的用户相互隔离。

2.8 配置管理VLAN实现网管集中管理设备配置管理VLAN功能，用户通过管理VLAN的VLANIF接口登录到管理交换机，实现网管集中管理设备。

2.9 维护VLAN维护VLAN，包括查看和清除VLAN的统计信息。

2.10 配置举例介绍VLAN的配置举例。

配置示例中包括组网需求、配置思路、操作步骤等。

2.11 常见配置错误介绍VLAN常见配置错误的处理方法。

2.1 VLAN概述介绍VLAN的定义、由来和作用。

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。

当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。

通过交换机实现LAN（Local AreaNetwork）互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。

华为交换机配置实例序号注意项目记录1 登录交换机时请注意在超级终端串口配置属性流控选择“无”2 启动时按”ctrl+B”可以进入到boot menu模式3 当交换机提示”Please Press ENTER”，敲完回车后请等待一下，设备需要一定的时间才能进入到命令行界面（具体的时间视产品而定）4 请在用户视图（如<Quidway>）输入”system-view”（输入”sys”即可）进入系统视图(如[Quidway])5 对使用的端口、vlan、interface vlan进行详细的描述6 如果配置了telnet用户，一定要设置权限或配置super密码7 除了S5516使用SFP模块，S8016和S6500系列使用模块，其它产品使用模块不可以带电插拔8 某产品使用其它产品模块前请确认该模块是否可以混用9 配置acl时请注意掩码配置是否准确10 二层交换机配置管理IP后，请确保管理vlan包含了管理报文到达的端口11 配置完毕后请在用户视图下（如<Quidway>）采用save命令保存配置12 请确保在设备保存配置的时候不掉电，否则可能会导致配置丢失13 如果要清除所有配置，请在用户视图下（如<Quidway>）采用resetsaved-configuration，并重启交换机注：其他配置需注意的地方请参考每部分内容后面的注明LANSW IT CH日常维护基本操作1 基本操作1.1 常用命令新旧对照列表常用命令新旧对照表旧新旧新show display access-list aclno undo acl eaclexit quitwrite save show version disp versionerase reset show run disp current-configurationshow tech-support disp diagnostic-informationshow start disp saved-configurationrouter ospf ospfrouter bgp bgprouter rip riphostname sysnameuser local-user0 simple7 ciphermode link-typemulti hybrid注意:1. disp是display的缩写，在没有歧义时LANSW IT CH会自动识别不完整词2. disp cur显示LANSW IT CH当前生效的配置参数3. disp和ping命令在任何视图下都可执行，不必切换到系统视图4. 删除某条命令，一般的命令是undo xxx，另一种情况是用其他的参数代替现在的参数，如有时虽然xxx abc无法使用undo删除，但是可以修改为xxx def以太网端口链路类型介绍以太网端口有三种链路类型：Access、Hybrid和Trunk。

华为交换机VLAN配置由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。

下面是店铺收集整理的华为交换机VLAN配置，希望对大家有帮助~~华为交换机VLAN配置工具/原料华为交换机方法/步骤『VLAN配置流程』1. 缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access端口只能属于一个vlan;2. 如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉;3. 除了VLAN1，如果VLAN XX不存在，在系统视图下键入VLAN XX，则创建VLAN XX并进入VLAN视图;如果VLAN XX已经存在，则进入VLAN视图。

配置方法一：1. 创建(进入)vlan2[SwitchA]vlan 22. 将端口E0/1加入到vlan2[SwitchA-vlan2]port ethernet 0/13. 创建(进入)vlan3[SwitchA-vlan2]vlan 34. 将端口E0/2加入到vlan3[SwitchA-vlan3]port ethernet 0/2配置方法二：1. 创建(进入)vlan2[SwitchA]vlan 22. 进入端口E0/1视图[SwitchA]interface ethernet 0/13. 指定端口E0/1属于vlan2[SwitchA-Ethernet1]port access vlan 24. 创建(进入)vlan3[SwitchA]vlan 35. 进入端口E0/2视图[SwitchA]interface ethernet 0/26. 指定端口E0/2属于vlan3[SwitchA-Ethernet2]port access vlan 34测试验证1. 使用命令disp cur可以看到端口E0/1属于vlan2，E0/2属于vlan3;2. 使用display interface Ethernet 0/1可以看到端口为access 端口，PVID为2;3. 使用display interface Ethernet 0/2可以看到端口为access 端口，PVID为3。

华为路由器交换机VLAN配置华为路由器交换机VLAN配置使用4台PC(pc多和少，原理是一样的，所以这里我只用了4台pc)，华为路由器(R2621)、交换机(S3026e)各一台，组建一VLAN，实现虚拟网和物理网之间的连接。

实现防火墙策略，和访问控制(ACL)。

方案说明：四台PC的IP地址、掩码如下列表：P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny感谢你的观看实施命令列表：交换机上设置，划分VLAN：sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2[Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all感谢你的观看[Quidway]dis cu路由器上设置，实现访问控制：[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0 [Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0 [Router-Ethernet1]quit//开启firewall，并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101感谢你的观看[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101[Router-Ethernet1]quit看了华为路由器交换机VLAN配置还想看：1.华为quidway交换机配置命令有哪些2.华为路由器交换机配置命令大全3.华为交换机配置的命令有哪些4.华为交换机路由器配置实例5.了解华为路由器交换机配置命令大全感谢你的观看河南省教育厅教办职成〔2017〕858号河南省教育厅办公室关于对2017年河南省职业教育教学改革研究项目进行中期督导检查的通知各省辖市、省直管县（市）教育局，各省属中等职业学校，有关单位：为加强对我省职业教育教学改革研究项目管理，不断提高研究质量和水平，现就2017年河南省职业教育教学改革研究项目中期督导检查有关工作通知如下：一、检查范围及形式（一）检查范围对《河南省教育厅关于公布2017年河南省职业教育教学改革研究项目立项项目的通知》（教职成〔2017〕455号）公布的立项项目进行检查，对2013、2014和2015年度未结项项目（名单见附件2、3和4）进行督导。

华为交换机怎么配置VLAN和VLANif
华为交换机配置VLAN和VLANif是怎么样的呢，操作是怎么的，那么华为交换机如何配置VLAN和VLANif?下面是店铺收集整理的华为交换机如何配置VLAN和VLANif，希望对大家有帮助~~
华为交换配置VLAN和VLANif的方法
工具/原料
华为交换机一台
电脑一台
方法/步骤
请自行准备好华为交换机和电脑
并且让你的电脑和交换机连接上
使用system-view命令
进入[]模式
创建一个vlan
[Quidway]vlan 2
添加端口
[Quidway-vlan2]port Ethernet 0/0/13 to 0/0/15
然后使用display current查看端口是否属于这个vlan
当然我们也可以用display vlan来查看vlan信息
配置vlan IP
[Quidway]interface Vlanif 2
配置vlanif ip地址
[Quidway]interface Vlanif 2
[Quidway-Vlanif2]ip address 10.10.100.1 255.255.255.0
配置完成之后再次使用display current 来查看下配置信息
如下图能看到vlanif 的ip地址
完成之后吧你的电脑接入到vlan2的接口上
并设置好你的IP地址
然后ping 10.10.100.1是否正常
如下图。

华为路由器配置实例华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。

实现防火墙策略，和访问控制（ACL），我们这里用的是四台电脑。

方案说明：四台PC的IP地址、掩码如下列表：P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny实施命令列表：交换机上设置，划分VLAN：sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2[Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置，实现访问控制：[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall，并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101[Router-Ethernet1]quit。

华为交换机MUX-VLAN配置MUX-VLAN配置为了可以在同⼀个⽹段中，不同的vlan间终端互通，同⼀vlan内终端隔离，通过MUX-VLAN 也就是复合型VLAN实现可以是实现位于同⼀ip⽹段的不同vlan（所有从vlan与主vlan间）⽤户的⼆层互通，⼜可实现不同从vlan间的⼆层隔离，以及同⼀交换机上同⼀vlan内部⽤户之间的⼆层隔离，不同交换机上同⼀vlan中的⽤户不隔离。

典型应⽤场景：在企业⽹中实现客户与客户之间不可互相访问，客户与员⼯之间不可互相访问，员⼯与员⼯之间可以互相访问，员⼯与客户都可以访问服务器。

MUX VLAN是⼀种⼆层流量隔离机制MUX VLAN 分类：Principal VLAN （主VLAN）和 Subordinate VLAN（从VLAN）从VLAN分为：Group VLAN（互通从VLAN）和 Separate VLAN（隔离型从VLAN）通信权限：⼀⼂主VLAN端⼝可以和所有VLAN通信⼆⼂互通型从VLAN可以和⾃⼰vlan间成员通信和主vlan通信三、隔离型从VLAN只能和主VLAN通信，⾃⼰VLAN的成员也不可通信配置注意事项：所有主机必须在同⼀⼦⽹端⼝必须为access模式加⼊vlan配置MUX VLAN不能⽤于VLANIF接⼝、VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置华为交换机MUX-VLAN配置命令：[s5700-1]vlan batch 6 10 20 30 40 ——批理创建vlan[s5700-1]vlan 6 ——进⼊vlan6[s5700-1-vlan 6] mux-vlan ——设置此vlan为Principal VLAN （主VLAN）[s5700-1-vlan6]subordinate group 10 20 ——设置vlan 10 20为互通型从vlan[s5700-1-vlan6]subordinate separate 30 ——设置vlan 30为隔离型从vlan[s5700-1]interface GigabitEthernet 0/0/6 ——进⼊端⼝[s5700-1-GigabitEthernet0/0/6]port link-type access ——将端⼝设为access模式[s5700-1-GigabitEthernet0/0/6]port default vlan 10 ——将端⼝加⼊到vlan 10[s5700-1-GigabitEthernet0/0/6]port mux-vlan enable vlan 10 ——开启端⼝的MUX-vlan功能查看：display mux-vlan ——查看Mux-vlan信息⼀个MUX-VLAN中有且只有⼀个separate 隔离型vlan隔离型从vlan内部成员可以相互访问，也可以与主VLAN通信，但不可以与隔离型从vlan通信，也不能与其他从vlan相互通信。

配置VLAN聚合示例组网需求如图1所示，S-switch的接口Ethernet0/0/1连接PC1，Ethernet0/0/2连接PC2，Ethernet0/0/3连接PC3，Ethernet0/0/4连接PC4。

要求通过Proxy ARP后，VLAN2和VLAN3之间可以互相三层通信。

图1 配置VLAN聚合组网图适用产品和版本本特性适用于S2300/S3300/S5300设备。

各产品型号的功能实现相同。

版本为V100R002C01B010及后续版本。

各版本的功能实现相同。

配置注意事项super-VLAN与sub-VLAN必须使用不同的VLAN ID，super-VLAN中不能包含任何物理接口。

配置思路采用如下的思路配置VLAN聚合：创建VLAN。

配置sub-VLAN加入super-VLAN。

配置VLANIF接口的IP地址。

配置sub-VLAN的Proxy ARP。

说明：PC1、PC2、PC3和PC4需要预先配置IP地址，并使它们和VLAN4处于同一网段。

数据准备为完成此配置例，需准备如下的数据：sub-VLAN的ID为2和3，super-VLAN的ID为4。

Ethernet0/0/1、Ethernet0/0/2属于VLAN2。

Ethernet0/0/3、Ethernet0/0/4属于VLAN3。

super-VLAN的IP地址为10.10.10.1。

配置步骤创建VLAN2、VLAN3和VLAN4。

<Quidway> system-view [Quidway] sysname S-switch[S-switch] vlan batch 2 3 4配置sub-VLAN加入super-VLAN。

# 将接口Ethernet0/0/1、Ethernet0/0/2加入到sub-VLAN2中。

[S-switch-vlan2] port gigabitethernet 0/0/1 0/0/2[S-switch-vlan2] quit# 将接口Ethernet0/0/3、Ethernet0/0/4加入到sub-VLAN3中。

华为三层交换机配置方法（1）(2008-07-21 11:27:34)转载标签：分类：工作汇报杂谈本文以河南平临高速所使用的华为华三通信的H3C S3600-28P-SI为例，配置前首先要确定型号后缀是SI还是EI，EI的支持所有协议，SI的不支持OSPS动态协议，因此SI配置路由时可以使用静态协议和RIP协议，具体配置如下：<H3C>system-view //进入系统视图[H3C]display current-configuration //显示当前配置//以下开始配置//第一步：划分VLAN，并描述vlan 1description local-S3600vlan 2description link-to-wenquanvlan 3description link-to-ruzhouvlan 4description link-to-xiaotunvlan 5description link-to-baofengvlan 6description link-to-pingxivlan 7description link-to-pingnanvlan 8description Uplink-to-Putianvlan 9description link-to-pingxicentre//第二步：给VLAN 划网关interface Vlan-interface2description link to wenquanip address 10.41.77.41 255.255.255.192 interface Vlan-interface3description link to ruzhouip address 10.41.77.105 255.255.255.192 interface Vlan-interface4description link to xiaotunip address 10.41.77.169 255.255.255.192 interface Vlan-interface5description link to baofengip address 10.41.77.233 255.255.255.192 interface Vlan-interface6description link to pingxiip address 10.41.78.41 255.255.255.192 interface Vlan-interface7description link to pingnanip address 10.41.78.105 255.255.255.192 interface Vlan-interface8description uplink to putianip address 10.41.244.102 255.255.255.252 interface Vlan-interface9description link to pingxicentreip address 10.41.80.233 255.255.255.192//第三步：给VLAN 指定端口interface Ethernet1/0/2description link to wenquanport access vlan 2interface Ethernet1/0/3description link to ruzhouport access vlan 3interface Ethernet1/0/4description link to xiaotunport access vlan 4interface Ethernet1/0/5description link to baofengport access vlan 5interface Ethernet1/0/6description link to pingxiport access vlan 6interface Ethernet1/0/7description link to pingnanport access vlan 7interface Ethernet1/0/8description uplink to putianport access vlan 8interface Ethernet1/0/9 to Ethernet1/0/24 description link to pingxicentreport access vlan 9//第四步：配置路由协议//（1）用RIP配动态路由ripnetwork 10.41.77.41network 10.41.77.105network 10.41.77.169network 10.41.77.233network 10.41.78.41network 10.41.78.105network 10.41.80.233network 10.41.244.102//（2）配静态路由（只用对远Enable //进入私有模式Configure terminal //进入全局模式service password-encryption //对密码进行加密hostname Catalyst 3550-12T1 //给三层交换机定义名称enable password 123456. //enable密码Enable secret 654321 //enable的加密密码（应该是乱码而不是654321这样）Ip subnet-zero //允许使用全0子网（默认都是打开的）Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1 Service dhcp //提供DHCP服务ip routing //启用三层交换机上的路由模块ExitVtp mode server //定义VTP工作模式为sever模式Vtp domain centervtp //定义VTP域的名称为centervtpVlan 2 name vlan2 //定义vlan并给vlan取名（如果不取名的话，vlan2的名字应该是vlan002）Vlan 3 name vlan3Vlan 4 name vlan4Vlan 5 name vlan5Vlan 6 name vlan6Vlan 7 name vlan7Vlan 8 name vlan8Vlan 9 name vlan9Exitinterface Port-channel 1 //进入虚拟的以太通道组1Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1channel-group 1 mode on //把这个接口放到快速以太通道组1中Interface gigabitethernet 0/2 //同上channel-group 1 mode onport-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式（依靠源和目的IP的方式）interface gigabitethernet 0/3 //进入模块0上的吉比特以太口3interface gigabitethernet 0/4 //同上interface gigbitethernet 0/5 //同上interface gigbitethernet 0/6 //同上interface gigbitethernet 0/7 //进入模块0上的吉比特以太口7no shutdownspanning-tree vlan 6-9 cost 1000 //在生成树中，vlan6-9的开销定义为10000interface range gigabitethernet 0/8 –10 //进入模块0上的吉比特以太口8,9,10no shutdownspanning-tree portfast //在这些接口上使用portfast（使用portfast以后，在生成树的时候不参加运算，直接成为转发状态）interface gigabitethernet 0/11 //进入模块0上的吉比特以太口11interface gigabitethernet 0/12 //同上interface vlan 1 //进入vlan1的逻辑接口（不是物理接口，用来给vlan做路由用）ip address 172.16.1.7 255.255.255.0 //配置IP地址和子网掩码no shutdownstandby 1 ip 172.16.1.9 //开启了冗余热备份（HSRP），冗余热备份组1，虚拟路由器的IP地址为172.16.1.9 standby 1 priority 110 preempt //定义这个三层交换机在冗余热备份组1中的优先级为110，preempt是用来开启抢占模式interface vlan 2 //同上ip address 172.16.2.252 255.255.255.0no shutdownstandby 2 ip 172.16.2.254standby 2 priority 110 preemptip access-group 101 in //在入方向上使用扩展的访问控制列表101interface vlan 3 //同上ip address 172.16.3.252 255.255.255.0 no shutdownstandby 3 ip 172.16.3.254standby 3 priority 110 preemptip access-group 101 ininterface vlan 4 //同上ip address 172.16.4.252 255.255.255.0 no shutdownstandby 4 ip 172.16.4.254standby 4 priority 110 preemptip access-group 101 ininterface vlan 5ip address 172.16.5.252 255.255.255.0 no shutdownstandby 5 ip 172.16.5.254standby 5 priority 110 preemptip access-group 101 ininterface vlan 6ip address 172.16.6.252 255.255.255.0 no shutdownstandby 6 ip 172.16.6.254standby 6 priority 100 preemptinterface vlan 7ip address 172.16.7.252 255.255.255.0 no shutdownstandby 7 ip 172.16.7.254standby 7 priority 100 preemptinterface vlan 8ip address 172.16.8.252 255.255.255.0 no shutdownstandby 8 ip 172.16.8.254standby 8 priority 100 preemptinterface vlan 9ip address 172.16.9.252 255.255.255.0no shutdownstandby 9 ip 172.16.9.254standby 9 priority 100 preemptaccess-list 101 deny ip any 172.16.7.0 0.0.0.255 //扩展的访问控制列表101access-list 101 permit ip any anyInterface vlan 1 //进入vlan1这个逻辑接口Ip helper-address 172.16.8.1 //可以转发广播（helper－address的作用就是把广播转化为单播，然后发向172.16.8.1）Interface vlan 2Ip helper-address 172.16.8.1Interface vlan 3ip helper-address 172.16.8.1interface vlan 4ip helper-address 172.16.8.1interface vlan 5ip helper-address 172.16.8.1interface vlan 6ip helper-address 172.16.8.1interface vlan 7ip helper-address 172.16.8.1interface vlan 9ip helper-address 172.16.8.1router rip //启用路由协议RIPversion 2 //使用的是RIPv2，如果没有这句，则是使用RIPv1network 172.16.0.0 //宣告直连的网段exitip route 0.0.0.0 0.0.0.0 172.16.9.250 //缺省路由，所有在路由表中没有办法匹配的数据包，都发向下一跳地址为172.16.9.250这个路由器line con 0line aux 0line vty 0 15 //telnet线路（路由器只有5个，是0-4）password 12345678 //login密码loginendcopy running-config startup-config 保存配置cisco 3550Switch# configure terminalSwitch(config)#vtp mode transparentSwitch(config)#vlan 10Switch(config-vlan)# name vlan10Switch(config)#exitSwitch(config)#vlan 11Switch(config-vlan)name vlan11Switch(config-vlan)endSwitch#configure terminalSwitch(config)#interface fastethernet0/9Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface fastethernet0/10Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface fastethernet0/11Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 11Switch(config-if)#exitSwitch(config)#interface fastethernet0/12Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 11Switch(config-if)#exitSwitch(config)#interface vlan10Switch(config-if)#ip address 192.168.0.1 255.255.255.0 Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#interface vlan11Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#ip routingSwitch(config)#ip forward-protocol udpSwitch(config)#inter vlan 10ip helper 172.16.11.255 //这个命令又是什么意思？是不是转发整个网段的UDP协议？为什么用到了172.16.11.255这个地址？Switch(config)#exitSwitch(config)#inter vlan 11Switch(config-if)#ip helper 172.16.10.255 //同上？Switch(config-if)#exitSwitch(config)#ip route 0.0.0.0 0.0.0.0 Vlan10Switch(config)#ip route 0.0.0.0 0.0.0.0 Vlan11Switch(config)#conf tSwitch(config)#access-list 103 permit ip 172.16.11.0 0.0.0.255 172.16.10.0 0.0.0.255Switch(config)#access-list 103 permit udp any any eq bootpcSwitch(config)#access-list 103 permit udp any any eq tftpSwitch(config)#access-list 103 permit udp any eq bootpc anySwitch(config)#access-list 103 permit udp any eq tftp anySwitch(config)#inter vlan 10Switch(config-if)#ip directed-broadcast 103 //请解释一下这个的具体含义，本人不是太明白，懂一点意思（直接广播这个列表？是不是）Switch(config-if)#exitSwitch(config)#access-list 104 permit ip 172.16.10.0 0.0.0.255 172.16.11.0 0.0.0.255Switch(config)#access-list 104 permit udp any any eq bootpcSwitch(config)#access-list 104 permit udp any any eq tftpSwitch(config)#access-list 104 permit udp any eq bootpc anySwitch(config)#access-list 104 permit udp any eq tftp anySwitch(config)#inter vlan 11Switch(config-if)#ip directed-broadcast 104 //同上Switch(config)#endSwitch#copy run star华为三层交换机配置实例一例网络技术2008-07-25 06:08:28 阅读243 评论0 字号：大中小订阅华为三层交换机配置实例一例服务器1双网卡，内网IP:192.168.0.1，其它计算机通过其代理上网PORT1属于VLAN1PORT2属于VLAN2PORT3属于VLAN3VLAN1的机器可以正常上网配置VLAN2的计算机的网关为：192.168.1.254配置VLAN3的计算机的网关为：192.168.2.254即可实现VLAN间互联如果VLAN2和VLAN3的计算机要通过服务器1上网则需在三层交换机上配置默认路由系统视图下：ip route-static 0.0.0.0 0.0.0.0 192.168.0.1然后再在服务器1上配置回程路由进入命令提示符route add 192.168.1.0 255.255.255.0 192.168.0.254route add 192.168.2.0 255.255.255.0 192.168.0.254这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~华为路由器与CISCO路由器在配置上的差别＂华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致，有些方面还根据国内用户的需求作了很好的改进。

#进入系统视图<Quidway> system#显示当前配置的所有vlan[Quidway] display vlan allThe following static VLANs exist:1(default), 2-4092, 4094#显示静态配置的vlan[Quidway] display vlan staticThe following static VLANs exist:1(default), 2-4092, 4094#显示vlan10信息[Quidway]display vlan 10The specified VLAN does not exist.#新建一个vlan20，并进入vlan20视图[Quidway]vlan 20#指定VLAN端口，动态vlan划分时不需要指定[Quidway-vlan20] port ethernet 0/2 to ethernet 0/5#给VLAN指定IP地址（三层交换机才可以设置VLAN IP 我们的交换机做不了）[Quidway-vlan20] interface vlan-interface 20[Quidway-vlan-interface20] ip address 192.169.1.251 255.255.0.0[Quidway-vlan-interface20] save[Quidway-vlan-interface20] quit#显示vlan20信息[Quidway] display vlan 20VLAN ID: 20VLAN Type: staticRoute Interface: configuredIP Address: 192.169.1.251Subnet Mask: 255.255.0.0Description: GuestVlanName: VLAN 0069Tagged Ports: noneUntagged Ports:Ethernet0/2 Ethernet0/3Ethernet0/4 Ethernet0/5添加端口为trunk口进入到指定端口下面[Quidway]interface Ethernet0/1[Quidway interface Ethernet0/1]port link-type trunk[Quidway interface Ethernet0/1]port trunk pemit vlan10 20查看vlan[Quidway] display vlan all查看当前交换机配置[Quidway] display cur查看当前交换机端口配置[Quidway] display interface all 查看MAC地址[Quidway] display mac。

使用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。

实现防火墙策略，和访问控制（ACL）。

方案说明：四台PC的IP地址、掩码如下列表：P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny实施命令列表：交换机上设置，划分VLAN：sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2 [Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置，实现访问控制：[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall，并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101。