本文目前的内容介绍了华为交换机VLAN划分与三层交换技术的配置方法。主要内容包括:(1)通过二层交换机实现VLAN划分,隔离不同VLAN间的二层通信;
(2)利用三层交换机的VLANIF接口配置网关,实现跨VLAN的三层互通;
(3)远程登录(Telnet)配置与管理;
(4)端口隔离技术的应用;
(5)Hybrid接口实现灵活的二层访问控制;
(6)STP生成树协议的配置与优化,解决网络环路问题。文章通过详细配置步骤和效果验证,展示了华为交换机在VLAN管理、三层路由、网络安全和链路冗余等方面的技术实现。
本文对专栏------"未整理的作者自用笔记,正确性不定,请谨慎观看~"的专栏进行整理与总结,并持续更新中。(如有需要更正或者不理解的地方,欢迎交流指正~希望和大家共同成长~)
一,路由器11111(二层交换机,vlan划分):
将同一网段下的四台主机分别划分到两个vlan,达到只有统一vlan下的主机可以相互通信的效果
交换机周围的六个接口的名称不同的话,还是会更加方便一点??--会,不容易搞混
1.配置
1.1主机配置
?为啥用的都是"192.168.1.0/24"?而似乎没有使用"192.168.2.0/24"?但是图片中有192.168.2.0/24?
1.2检测:此时完成主机的基础配置,同一网段 192.168.1.0/24下的4台主机可以相互平通,以此检查配置是否正确:
2.配置LSW1:
LSW1刚开始时的vlan:
将三个接口划分vlan:
划分完成之后,disp vlan 查看SLW1的vlan配置,(配置未出错、符合预期记得退到<Huawei>进行save保存),如下:
3.同理配置LSW2:
(红框框处是将e0/0/1原本的配置删除,由于误将本来要配置成"tr"类型的接口配置成了"ac"类型,还将其单独划分给了vlan 10,所以要先删除原本的配置,再重新配置 )
4.检验配置是否可达到预期效果(同一vlan可以相互ping通,不同vlan不能相互平通)
5,小进阶挑战:
5.1利用同一vlan下的主机可以通信,使以下不同网段下的主机(PC1和PC4/PC2和PC3之间可以相互通信。)
5.2正常的效果说明:
一、没进行 VLAN 划分的情况(默认所有端口都在 VLAN 1)
拓扑逻辑
所有交换机端口都默认属于 VLAN 1
所有 PC 都在同一个广播域里,就像接在同一个大交换机上
效果
所有 PC 都能互相 ping 通
PC1 ↔ PC3(同网段 192.168.1.0/24):通
PC2 ↔ PC4(同网段 192.168.2.0/24):通
PC1 ↔ PC2(不同网段):不通(因为没有网关 / 三层路由,只是二层互通,三层 IP 不通)
PC1 ↔ PC4(不同网段):同上,二层能通但三层不通
广播域很大
任何一台 PC 发广播包(比如 ARP 请求),整个网络里所有 PC 都会收到
安全性差,一台 PC 中毒发广播风暴,会影响整个网络
二、按标签进行 VLAN 划分的情况
拓扑逻辑
VLAN 10:PC1(192.168.1.1)、PC3(192.168.1.2),同网段
VLAN 20:PC2(192.168.2.1)、PC4(192.168.2.2),同网段
LSW1 和 LSW2 之间的 E0/0/3 配置为 Trunk 模式,允许 VLAN 10 和 20 通过
效果
同 VLAN 的 PC 可以跨交换机互通
PC1 ↔ PC3(VLAN 10,同网段):✅ 能 ping 通
PC2 ↔ PC4(VLAN 20,同网段):✅ 能 ping 通
不同 VLAN 的 PC 完全隔离(二层无法通信)
PC1 ↔ PC2(不同 VLAN):❌ 无法通信,即使在同一台交换机上也不行
PC1 ↔ PC4(不同 VLAN):❌ 无法通信,跨交换机也被隔离
PC3 ↔ PC2/PC4(不同 VLAN):❌ 全部隔离
广播域被缩小到每个 VLAN 内
VLAN 10 的广播包只会发给 VLAN 10 的 PC,不会影响 VLAN 20
安全性和稳定性都大大提升.
二,路由2222(三层交换技术,配网关)
本次配置演示了VLAN + 三层交换技术:先通过 VLAN 划分实现二层广播域隔离,再通过三层交换机的 VLANIF 接口配置网关,实现不同 VLAN 间的三层互通
1,主机按上边标签进行基础配置
2,vlan划分
2.1,LSW2的接口划分vlan:2
2.2.LSW3的接口划分vlan:
2.3,LSW1的接口划分:
2.4此时三个交换机的接口都进行了vlan划分之后的效果:
- 同 VLAN 的 PC,跨所有交换机都能互通
✅ PC1 ↔ PC2(VLAN 13,同网段):
流量路径:PC1 → LSW2 → LSW1 → LSW3 → PC2
只要三台交换机之间的 Trunk 链路都允许 VLAN 13 通过,就能正常 ping 通。
✅ PC3 ↔ PC4(VLAN 24,同网段):
流量路径:PC3 → LSW2 → LSW1 → LSW3 → PC4
同理,Trunk 链路允许 VLAN 24 通过,就能正常 ping 通。
- 不同 VLAN 的 PC,二层完全隔离(默认情况)
❌ VLAN 13 ↔ VLAN 24 之间的所有 PC:
PC1/PC2 无法 ping 通 PC3/PC4
哪怕它们连在同一台交换机上(比如 LSW2 上的 PC1 和 PC3),也会被 VLAN 二层隔离
广播域被缩小到每个 VLAN 内:VLAN13 的广播包只会发给 PC1、PC2,不会影响 VLAN24 的 PC3、PC4
那如何实现不同vlan下的PC机的相互通信呢?
3,LSW1上配置三层VLAN接口,实现不同vlan下的PC机的相互通信
3.1给 PC 配置网关:
3.2给LSW1配网关(三层接口)
为了让 VLAN13 和 VLAN24 互通,必须在 LSW1(或加一台三层设备)上配置三层 VLANIF 接口:
3.3检验
测试检验是否可以实现VLAN 13 ↔ VLAN 24 的跨 VLAN 互通
(此时正确配置下,PC1--PC4的主机它们任意两台主机都可以相互平通)
4,网关的疑问(未解决)
见豆包收藏
三,路由333(三层?交换机、远程登录)
(一)远程登陆技术
介绍:Telnet 是一种基于 TCP/IP 协议的远程登录协议,你可以把它理解成一个 "远程控制工具",让你在一台设备上,像坐在它面前一样,直接操作另一台设备的命令行界面。但是因为它是明文传输,用户名密码很容易被网络里的设备截获,不安全。现在更推荐用 SSH(加密的远程登录协议),和 Telnet 功能一样,但通信全程加密,更安全。
1,主机配置
2,给LSW1配置远程登陆能力
给 Vlanif10 配置 IP 地址,Telnet 必须要有 IP 才能连接(前面配置的时候漏掉了)
以上配置完的效果:
同网段 PC 正常互通:PC1/PC2/PC3(192.168.1.0/24)依然可以互相 ping 通,和 Telnet 配置无关。
Telnet 远程管理生效:
PC 只要能 ping 通 192.168.10.254,就可以用 telnet 192.168.10.254 登录 LSW1
登录时输入用户名 admin、密码 Hello@123,就能进入设备的配置界面,实现远程管理。
管理流量独立:Telnet 的管理流量在 VLAN 10 中传输,和 PC 业务流量(VLAN 1)隔离,更安全
3.对LSW2进行配置
以上配置达到以下效果:
LSW2 完成了自己的管理 IP 配置:
LSW2 有了 10.10.1.2/24 这个 IP,可以和 LSW1 的 10.10.1.1 互通。
跨交换机的 Trunk 和管理 VLAN 正常工作:
LSW1 和 LSW2 之间的 Trunk 链路允许 VLAN10 通过,管理流量可以正常传输。
LSW2 成功通过 Telnet 登录了 LSW1:
说明 LSW1 的 Telnet 服务器、Vty 线路、AAA 用户配置都是正确的,远程管理功能已经实现。
4,ping测试,展示Telnet不影响同网段PC互通
将pc4配置好后,pc1与pc2和PC4都能够平通
(二),端口隔离技术
目标:LSW1 的 g0/0/1 和 g0/0/2 之间不能通信,但都能与其他端口正常通信。
进行配置:
1,,核心技术说明:端口隔离
端口隔离(Port Isolation)是华为交换机的一项二层隔离技术,作用是:
同一隔离组内的端口,互相之间二层流量无法直接转发(无法通信)
同一隔离组内的端口,都可以和非隔离组的上行端口通信
它可以实现 "同网段、同 VLAN 下的端口隔离",比 VLAN 划分更灵活,适合共享上行的场景
2,配置完成后的效果
结合你的命令,效果如下:
G0/0/1 和 G0/0/2 之间完全隔离:
两个端口属于同一个隔离组 1,即使它们在同一个 VLAN、同一个网段,也无法互相 ping 通。
它们的流量不能直接在交换机内转发,实现了端口级别的隔离。
两个端口都可以和非隔离组的上行口通信:
如果 G0/0/3 这类上行口没有加入隔离组,那么 G0/0/1 和 G0/0/2 都可以和它通信,实现 "共享上行、互相隔离" 的效果。
不影响三层通信:
端口隔离只在二层生效,三层流量(比如跨网段的数据包)不受影响。
如果通过三层设备转发,隔离组内的端口依然可以跨网段通信。
5,补充:设置模式以及传输速率
接口可以设置模式以及传输速率----见路由33333那一篇。
6,测试也见路由33333那一篇
四,路由44444(华为 Hybrid 接口(混合接口)灵活 VLAN 控制)
本实验利用 Hybrid 接口 ,通过控制 PVID、untagged、tagged 实现同网段下灵活的二层互通与隔离:PC1 仅与 PC3 互通,与 PC2 隔离;PC3 可与 PC1、PC2 均互通,无需三层设备即可完成精细访问控制。
Hybrid 接口可以自定义哪些 VLAN 发出去带标签、哪些不带标签,从而控制:谁能收到包、谁收不到,实现精细的二层互通 / 隔离。
3 个关键概念(必须懂)
PVIDPC 发的无标签帧,进入接口会被打上 PVID 的 VLAN 标签。
untagged vlan 这些 VLAN 的包从这个口发出去时,剥掉标签 → PC 能识别、能通。
tagged vlan 这些 VLAN 的包带标签 发出去 → 只给交换机用,PC 收不到。
1,根据标签进行基础配置
2,交换机配置
命令解释与理解:
LSW1:
这是 PC1 的接口配置:
port link-t hy:把接口设为 Hybrid 模式
port hy pvid vlan 10:设置接口的默认 VLAN(PVID)为 10,PC1 发的无标签帧会被打上 VLAN10 标签
port hy untagged vlan 10:允许 VLAN10 的帧不带标签从接口发出(PC1 能收到自己的流量)
port hy untagged vlan 30:允许 VLAN30 的帧不带标签从接口发出(PC1 能收到 PC3 的流量)
这是 PC2 的接口配置:
- 给 PC2 所在的接口 E0/0/2,添加了
port hy untagged vlan 30,让 PC2 也能收到 PC3 的流量。
disp vlan 怎么看:
五,路由器4444260419(备注显示为非必要掌握内容)
这篇内容讲解的是华为交换机 STP 生成树协议的配置与查看,核心是解决交换网络环路问题,实现链路冗余与防环。
(1)配置说明
1. 核心技术
STP(生成树协议)作用:在交换机环路拓扑中,自动阻塞冗余链路,消除二层环路,同时保留备份链路,实现网络高可用。
2. 关键配置命令与作用
stp enable 开启 STP 功能(交换机默认已开启)
stp mode stp 将模式设为标准 STP
stp root primary 指定本交换机为根网桥
stp root secondary 指定本交换机为备份根网桥
stp priority 0 手动设置桥优先级(越小越优先成为根桥)
stp timer forward-delay 600 修改转发时延(单位:100ms,600=6s)
stp timer max-age 4000 修改消息老化时间(4000ms=40s)
3. 设备角色配置
LSW13:配置为 根网桥(primary root)
LSW14:配置为 备份根网桥(secondary root)
LSW15 / LSW16:仅开启 STP,自动计算端口角色
4. 重要查看命令
display stp
查看完整 STP 信息、根桥、计时器、端口状态
display stp brief
查看端口角色、状态(FORWARDING/DISCARDING)
5. 关键信息说明
根桥:整个拓扑的 "核心",由优先级 + MAC 选举
端口状态:FORWARDING(转发)、DISCARDING(阻塞)
计时器:hello 2s、max-age 20s、forward-delay 15s(默认)
拓扑出现环路时,STP 会自动阻塞一条链路,断环但不断网
本文通过配置 STP 根桥、备份根桥、协议计时器,并使用 display stp 查看状态,实现了交换网络破环、冗余、稳定的典型部署。
(2)配置:
1,根网桥配置
补充演示第二种手动配置方式:
2.备份根桥配置
3,
其中
其中的FwDly 15s 就是 Forward Delay(转发延迟计时器),这个延迟是为了防止临时环路:给网络足够的时间,让所有交换机都收到拓扑更新的 BPDU,避免端口直接转发数据导致环路。
如果想缩短 STP 网络的收敛时间,可以把Forward Delay 改成 6s,收敛时间变成6S,大幅缩短了网络故障恢复的时间,提升业务可用性。
展示改收敛时间:
其中的参数也都可以看需求改。