VLAN典型配置指导

1、第1章vlan典型配置指导垄于端口的vlan典型配置指导1.1.1组网图.1.1.2应用要求.1.1.3适用产品、版木.1.1.4配置过程和解释.115完整配置1.1.6配置注意事项.1.2基于mac的vlan典型配置指导.1.2.1组网图.122应用耍求.1.2.3适用产品、版本.1.2.4配置过程和解释.125完整配置.126配置注意窃项1.3基于协议的vlan典型配置指导.1.3.1组网图.1.3.2应用要求.1.3.3适用产品、版本.1.3.4配置过程和解释.1.3.5完整配置.1.3.6配置注意窃项.1.4基丁 ip子网的vlan典型配置指导.1.4.1组网图1.4.2应用耍求.14

2、3适用产品、版本1.4.4配置过程和解释.1.4.5完整配置.1.4.6配置注意事项.1.5 isolate-user-vlmn 典世配置指导.1.5.1组网图.1.5.2应用耍求.1.5.3适用产品、版本1.5.4配管过程和解释.1.5.5完整配置.1.5.6配置注意事项.第1章vlan一典型配置指导基于端口的vlan典型配置指导server2serverlhostlhost2图"m 基于端口的vlan组网示意图1.1.2应用要求 如图所示，switch a和switch b分别连接了不同部门使用的 hostl/host2和 serverl/server2o 为保证部门间数据的二层

3、隔离，现要求将hostl和serverl划分到vlan 100中，host2和server2划分到vlan200中。并分别为两个vlan设 置描述字符为“deptl”和“dept2”。 在switcha上配置vlan接口，对hostl发往server2的数据进行三层 转发。1.1.3适用产品、版本衣配置适用的产品与软硬件版本关系产品软件版本硬件版本s3610系列以太网交换机release 5301软件版本全系列硬件版本s5510系列以太网交换机release 5301软件版本全系列硕件版木s5500-si系列以人网交换机release 1207软件版本全系列换件版本(除 s5500-20tp-

4、si)release 1301软件版本s5500-20tp-sis5500-ei系列以太网交换机release 2102软件版本全系列硕件版木s7500e系列以太网交换机release 6100软件版本全系列换件版本1.1.4 配置过程和解释酉已背switch a#创建vlan100,并配置vlan 100的描述字符串为“deptl”，将端口 gigabitethernet1/0/1 加入到 vlan100。<switcha> system-viewswitcha vlan 100sv/itcha-vlanloo sv/itcha-vlanlooswitcha-vlan100des

5、cript ion dept1port gigabitethernet 1/0/1quit# 创建 vlan200,并配:k vlan200的描述字符串为“dept2”。sv/itcha vlan 200sv/itcha-vlan200 descript ion dept2switcha-vlan200 quit#创建vlan100和vlan200的接口，ip地址分别配置为192.168.1.1和192.168.2.1,用来对hostl发往server2的报文进行三层转发。switcha interface vlan-interface 100switcha-vian-interfaceloo

6、 ip address 192.168.1.1 24switcha-vlan-interfaceloo quitswitcha interface vlan-interface 200switcha-vlan-interfmce200 ip address 192 168 2.1 24配置 switch b#创建vlan100,并配置vlan100的描述字符串为“depfl”，将端口 gigabitethernet1/0/13加入到 vlan100。<switchb> system-viewswitchb vlan 100(switchb-vlanl00 descript ion

7、dept1switchb-vlanloo port gigabitethernet 1/0/13switchb-vlanl00 quit#创建vlan200,并配置vlan200的描述字符串为“dept2”，将端口 gigabitethernet1/0/11 和 gigabitethernet1/0/12加入到 vlan200。switchb vlan 200switchb-vlan2 00 descript ion dept2sv/otchb-vlan2 00 port gigabitethernet 1/0/11 gigab it ethernet 1/0/12switchb-vlan20

8、0 quit# 配置switch a和switch b z间的链路rtl t switch a和switch b z间的链路需要同时传输vlan100和vlan200的数据, 所以可以配置两端的端口为trunk端口，h允许这两个vlan的报文通过。# 配置 switch a 的 gigabitethernet1/0/2端口。switcha interface gigabitethernet 1/0/2sv/itcha-gigabitethernet 1/ 0/2 port link-type trunksv/itcha-gigabitethernetl/0/2 port trunk permi

9、t vlan 100 200# 配置 switch b 的 gigabitethernet1/0/10端口。switchb interface gigabitethernet 1/0/10switchb-gigabitethernet1/0/10 port 1 ink-type trunk switchb-gigabitethernet1/0/10 port trunk permit vlan 100 2001.1.5完整配置# switcha上的配置#vlan 100description dept 1#vlan 200description dept2#interface vlan-int

10、erface 100ip address 192.168.1.1 255.255.255.0#interface vian-interface 200ip address 192.168.2 1 255.255.255.0#interface gigabitethernet1/0/1port access vlan 100#interface gigabitethernet1/0/2port link-type trunkport trunk permit vlan 1 100 200 switchb上的配置#vlan 100description dept1#vlan 200descript

11、ion dept2#interface gigabitethernetl/0/10port link-type trunkport trunk permit vlan 1 100 200 #interface gigabitethernetl/0/11port access vlan 100#interface gigabitethernetl/0/12port access vlan 200#interface gigabitethernet1/0/13port access vlan 1001.1.6配置注意事项无1.2 基于mac的vlan典型配置指导serverlserver2lapt

12、op 1laptop2图12基于mac的vlan组网示意图1.2.2应用要求 如图 所示，switcha 和 switchb 的 gigabitethernet1/0/1 端口分别连 接到两个会议室，laptop 1和laptop2是会议用笔记本电脑，会在两个会议室 间移动使川。 laptop 1和laptop2分别屈于两个部门，两个部门间使用vlan100和 vlan200进行隔离。现要求这两台笔记木电脑无论在哪个会议室使川，均只 能访问自己部门的服务器，即serverl和server2c laptop 1 和 laptop2 的 mac 地址分别为 000d88f84e71、 0014-2

13、22c-aa69o1.2.3适用产品、版本表1-2配置适用的产品与软硬件版本关系产品软件版本硬件版本s5500-si系列以太网交换机release 1207软件版本全系列硕件版木(除 s5500-20tp-si)release 1301软件版本s5500-20tp-sis5500-ei系列以太网交换机release 2102软件版本全系列换件版本s7500e系列以太网交换机release 6100软件版本全系列硬件版本1.2.4配置过程和解释# switcha的配置# 创建 vlan 100和 vlan200,并将 gigabitethernet1/0/2配置为 trunk端口，允许 vlan

14、100和vlan200的报文通过。<switcha> system-viewswitcha vian 100switcha-vlanloo quitswitcha vlan 200switcha-vlan200 quitswitcha interface gigabitethernet1/0/2switcha-gigabitethernetl/0/2 port link-type trunkswitcha-gigabitethernetl/0/2 port trunk permit vlan 100 200 switcha-gigabitethernetl/0/2 quit# 将

15、gigabitethernet1/0/1 配置为 hybrid 端口，并使其在发送 vlan100和 vlan200 的报文时去掉vlan tag。switcha interface gigabitetzhernetil/o/lswitcha-gigabitethernet1/0/1 port link-type hybridswitcha-gigabitethernet1/0/1 port hybrid vlan 100 200 untaggedswitcha-gigabitethernet1/0/1 quit#创建laptopl的mac地址与vlan100的关联，创建laptop2的mac

16、地址与 vlan200的关联，开启 gigabitethernet1/0/1端口的 magvlan 功能。switcha mac-vlan mac-address 000d-88f8-4e71 vlan 100switcha mac-vlan mac-address 0014-222c-aa69 vlan 200switcha interface gigabitethernet 1/0/1svzitcha-gigabitethernetl/0/1 mac-vlan enable switchb的配置switchb的配置与switcha完全一致，这里不再赘述。 core switch 的配置#

17、创建 vlan100和 vlan200,胎 gigabitethernet1/0/13和 gigabitvlanethernet 1/0/14端口分别加入这两个vlan。<coreswitch> system-viewcoreswitch vlan 100coreswitch-vlanloo port gigabitethernet 1/0/13coreswitch-vlanloo quitcoreswitch vlan 200coreswitch-vlan200 port gigabitethernet 1/0/14coreswitch-vlan200 quit# 配置 giga

18、bitethernet1/0/3和 gigabitethernet1/0/4端口为 trunk 端口，均允许 vlan 100和vlan200的报文通过。coreswitch interface gigabitethernet1/0/3coreswitch-gigabitethernet1/0/3 port link-type trunkcoreswitch-gigabitethernet1/0/3 port trunk permit vlan 100 200coreswitch-gigabitethernet1/0/3 quitcoreswitch interface gigabitethe

19、rnet1/0/4coreswitch-gigabitethernetl/0/4 port link-type trunk coreswitch-gigabitethernetl/0/4 port trunk permit vlan 100 200coreswitch-gigabitethernetl/0/4 quit1.25 完整配置 switcha的配置#mac-vlan mac-address oood-88f8-4e71 vlan 100 priority 0mac-vlan mac-address 0014-222c-aa69 vlan 200 priority 0# vlan 10

20、0#vlan 200#interface gigabitethernetl/0/1port link-type hybridport hybrid vlan 1 100 200 untaggedmac-vlan enable#interface gigabitethernet1/0/2port link-type trunkport trunk permit vlan 1 100 200switchb的配置与switcha完全一致，这里不再赘述。 core switch 的配置#vlan 100#vlan 200#interface gigabitethernet1/0/3port link-

21、type trunkport trunk permit vlan 1 100 200interface gigabitethernetl/0/4port link-type trunkport trunk permit vlan 1 100 200#interface gigabitethernet1/0/13port access vlan 100#interface gigabitethernet1/0/14port access vlan 2001.2.6配置注意事项基于mac的vlan只能在hybrid端口上配置。13基于协议的vlan典型配置指导1.3.1 组网图ipv4 serve

22、ripv6 serveripv4 host ipv6 host ipv6 host ipv4 hostofficelab图13基于协议的vlan组网示意图1.3.2应用要求tllls 1-3所示，通过配置交换机的协议vlan功能，使办公区和实验室中基于ipv4 网络和基于ipv6网络的主机能分别与处在不同vlan内的对应服务器进行通信，k 两种网络协议的报文能够通过vlan迹行隔离，其中ipv4网络使川vlan100, ipv6 网络使用vlan200。1.3.3适用产品、版本农1-3配置适用的产品与软硬件版本关系产品软件版本硬件版本s3610系列以太网交换机release 5301软件版本全

23、系列硬件版本s5510系列以太网交换机release 5301软件版本全系列硕件版木s5500-ei系列以太网交换机release 2102软件版本全系列换件版本s7500e系列以太网交换机release 6100软件版本全系列硬件版本1.3.4配置过程和解释上行端口的配置# 创建 vlan100,将端口 gigabitethernet1/0/11 加入 vlan100<sysname system-viewsysname vlan 100sysname-vlenloo port gigabitethernet 1/0/11# 创建 vlan200,将端口 gigabitethernet

24、1/0/12加入 vlan200sysname-vlan100 quitsysname vlan 200sysname-vler)2 00 port gigabitethernet 1/0/12# 配置协议模板并与下行端口绑定#创建vlan200和vlan100的协议模板，分别匹配ipv4和ipv6协议。sysname-vlan200 protocol-vlan ipv6sysname-vlan200 quitsysname vlanloosysname-vlan100 protocol-vlan ipv4sysname-vlan100 quit# 配置端口 gigabitethernet1/

25、0/1 为 hybrid 端口，并在转发 vlan100和 vlan200 的报文时去掉vlan tag。sysname interface gigabitethernet 1/0/1sysname-gigabitethernet1/0/1 port link-type hybridsysname-gigabitethernet1/0/1 port hybrid vlan 100 200 untagged#配置端l-l gigabitethernet1/0/1分別与vlan100的协议模板0, vlan200的协议 模板0进行绑定。(sysname-gigabitethernet1/0/1 p

26、ort hybrid protocol-vlan vlan 100 0sysname-gigabitethernet1/0/1 port hybrid protocol-vlan vlan 200 0# 同理配置端口 gigabitethernetl /0/2为 hybrid 端口，在转发 vlan100和 vlan200 的报文时去掉vlan tag,并与vlan100和vlan200的协议模板0进行绑定sysname interface gigabitethernet 1/0/2port 丄ink-type hybridsysname-gigabitethernetl/0/2sysname

27、-gigabitethernetl/0/2port hybrid vlan 100 200 untaggedsysname-gigabitethernet1/0/2port hybrid protocol-vlan vlan 100 0sysname-gigabitethernet1/0/2port hybrid protocol-vlan vlan 200 0#vlan 100protocol-vlan 0 ipv4#vlan 200protocol-vlan 0 ipv6interface gigabitethernet1/0/1port link-type hybridport hybr

28、id vlan 1 100 200 untaggedport hybrid protocol-vlan vlan 100 0port hybrid protocol-vlan vlan 200 0#interface gigabitethernet1/0/2port link-type hybridport hybrid vlan 1 100 200 untaggedport hybrid protocol-vlan vlan 100 0port hybrid protocol-vlan vlan 200 0#interface ethernetl/0/11port access vlan 1

29、00#interface ethernet1/0/12port access vlan 2001.3.6配置注意事项1.4 基于ip子网的vlan典型配置指导1.4.1 组网图router a router b10.200.50.1192.168.5.1192.168.5.0/2410.200.50.0/24office图基于ip子网的vlan组网示意图1.4.2应用要求如图14所示，办公区内的主机被配置到两个不同的网段(192168.5.0/24和 10.200.50.0/24)中，要求通过配置ip子网vlan功能，使交换机能够将从gigabitethernet1/0/1端口收到的报文根据源

30、主机所属网段的不同，分别在不同的vlan内传输，并到达指定的网关(routera和routerb)。其+ 192.168.5.0/24网段的报文分发到vlan100屮传输，10.200.50.0/24网段的报 文分发到vlan200中传输。1.4.3适用产品、版本表1-4配置适用的产品与软硬件版本关系产品软件版本硬件版本s3610系列以太网交换机release 5301软件版本全系列硬件版本s5510系列以太网交换机release 5301软件版本全系列硬件版本s5500-ei系列以太网交换机release 2102软件版本全系列硕件版本s7500e系列以太网交换机release 6100软件

31、版本全系列硕件版木1.4.4配置过程和解释# 上行端口的配置# 创建 vlan 100,将端口 gigabitethernet1/0/12加入 vlan 100sysname vlan 100sysname-vlanloo port gigabitethernet 1/0/12# 创建 vlan200,将端口 gigabitethernet1/0/11 加入 vlan200sysname-vlan100 quitsysname vlan 200sysname-vlan200 port gigabitethernet 1/0/11# 配置ip子网vlan并与下行端口绑定# 将 10.200.50

32、.0/24网段与 vlan200进行关联，将 192.168.5.0/24网段与 vlan100 进行关联sysname-vlan200 ip-subnet-vlan ip 10200500 255.255.255 0sysname-vlan200 quitsysname vlanloosysname-vlan100 ip-subnet-vlan ip 192.16850 255.255.255.0# 配置端口 gigabitethernet1/0/1 为 hybrid 端口，并衣转发 vlan100和 vlan200 的报文时去掉vlan tag。sysname interface giga

33、bitethernet 1/0/1sysname-gigabitethernetl/0/1 port link-type hybridsysname-gigabitethernetl/0/1 port hybrid vlan 100 200 untagged#配置端口 gigabitethernet1/0/1分別与vlan100和vlan200的子网进行关联。sysname-gigabitethernet1/0/1 port hybrid ip-subnet-vlan vlan 100sysname-gigebitethernetl/o/l port hybrid ip-subnet-vlan

34、 vian 2001.4.5完整配置#vlan 100ip-subnet-vlan 0 ip 192168.5.0 2552552550#vlan 200ip-subnet-vlan 0 ip 10.200.50.0 255 2552550#interface gigabitethernet1/0/1port link-type hybridport hybrid vlan 1 100 200 untaggedport hybrid ip-subnet-vlan vlan 100port hybrid ip-subnet-vlan vlan 200interface ethernet1/0/1

35、1port access vlan 200#interface ethernet1/0/12port access vlan 1001.4.6配置注意事项无1.5 lsolateuser-vlan典型配置指导1.5.1 组网图vlan 3vlan 5vlan 6vlan 3图1-5 lsolate-uservlan组网示意图1.5.2应用要求 deviceb和devicec在初始状态下分别位于两个独立的网络中，并根据 口身情况创建了相应的vlan；市于网络规划的变更，现耍求使用devicea将 deviceb 和 devicec 连通。 出于安全性的考虑，要求deviceb和devicec所连

36、接的设备间不能直接 通信，如图所示，l+l于这两台设备本地创建的vlan编号有亜复，hosta 和hostc处在同一个vlan中，存在一定安全隐患。因此需要使用 isolate-user-vlan 功能，使 deviceb 和 devicec 上配置的 vlan2/vlan3和 vlan3/vlan4仅在木地有效，devicea使川vlan5和vlan6对这两个网络 进行划分，而无需考虑这两个网络内部vlan的配置。devicea使用vlan接口对两个网络间的报文进行三层转发。1.5.3适用产品、版本农5配置适用的产品与软硬件版本关系产品软件版本硬件版本s7500e系列以太网交换机releas

37、e 6100软件版本全系列硕件版木1.5.4配置过程和解释# 配置 deviceb# 配置 lsolate-user-vlan0<deviceb> system-viewdeviceb vlan 5deviceb-vlan5 isolate-user-vlan enabledeviceb-vlan5 port gigabitethernet 2/0/5 deviceb-vlan5 quit# 配置 secondary vlanodeviceb vlan 3deviceb-vlan3 port gigabitethernet 2/0/1deviceb-vlan3 quitdevice

38、b vian 2deviceb-vlan2 port gigabitethernet 2/0/2deviceb-vlan2 quit# 配置 isolate-user-vlan 和 secondary vlan 间的映射关系。deviceb isolate-user-vlan 5 secondary 2 to 3# 配置 devicec# 配置 isolate-user-vlan o<devicec> system-viewdevicec vlan 6devicec-vlan6 isolate-user-vlan enabledevicec-vlan6 port gigabitet

39、hernet 2/0/5 devicec-vlan6 quit# 配置 secondary vlanodevicec vlan 3devicec-vlan3 port gigabitethernet 2/0/3devicec-vlan3 quitdevicec vlan 4devicec-vlan4 port gigabitethernet 2/0/4# 配置 isolate-user-vlan 和 secondary vlan 间的映射关系。devicec-vlan4 quitdevicec isolate-user-vlan 6 secondary 3 to 4 配置 devicea# 创

40、建 vlan5和 vlan6,并将 gigabitethernet2/0/1 和 gigabitethernet2/0/2端口 分别加入vlan5和vlan6,本例中以这两个端口为access端口为例进行配置。devicea vlan 5devicea-vlan5 port gigabitethernet 2/0/1devicea-vlan5 quitdevicea vlan 6devicea-vlan6 port gigabitethernet 2/0/2devicea-vlan6 quit#创建vlan5和vlan6的接i，使两个网络间的数据可以通过device a进行三层转发，ip 地址分别为 192.168.0.1 和 192.168.1.1。devicea interface vlan-interface 5devicea-vlan-interface5 ip address 1921680.1 24devicea-vian-interface5 quitdevicea interface vlan-interface 6devicea-vian-interface6