VLAN也称之为虚拟局域网,在计算机网络中,一个二层网络可以划分为多个不同广播域从而有效控制广播风暴的发生,一个广播域对应一个特定的用户组。可以用于控制网络中不同部门、不同站点之间的互相访问,增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
1、交换上配置多个VLAN
<Huawei>system-view 进入系统视图
[Huawei]vlan 10 划分vlan10
[Huawei-vlan10]description jishu 修改名称为jishu
[Huawei-vlan10]quit 退出
[Huawei]vlan 20 划分vlan20
[Huawei-vlan20]description bangong 名称修改为bangong
[Huawei-vlan20]quit 退出
2、配置vlan接口 ip地址
[Huawei]int vlan 10 进入接口vlan10
[Huawei-Vlanif10]ip address 192.168.10.254 255.255.254.0 配置vlan10接口IP/子网掩码
[Huawei-Vlanif10]quit 退出
[Huawei]int vlan 20 进入接口vlan20
[Huawei-Vlanif20]ip address 192.168.20.254 255.255.254.0 配置vlan20接口IP/子网掩码
[Huawei-Vlanif20]quit 退出
3、配置网口Vlan
[Huawei]int g0/0/1 进入网口0/0/1视图
[Huawei-GigabitEthernet0/0/1]port link-type access 配置网口模式为access
[Huawei-GigabitEthernet0/0/1]port default vlan 10 配置网口Vlan为10
[Huawei-GigabitEthernet0/0/1]quit 退出
[Huawei]int g0/0/2 进入网口0/0/1视图
[Huawei-GigabitEthernet0/0/2]port link-type access 配置网口模式为access
[Huawei-GigabitEthernet0/0/2]port default vlan 20 配置网口Vlan为10
[Huawei-GigabitEthernet0/0/2]quit 退出
隔离参考(需要条件设定)
4、配置ACL3000,禁止bangong区访问jishu区
方法1:通过vlan ACL 包过滤
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[Huawei-acl-adv-3000]rule 100 permit ip
[Huawei-acl-adv-3000]quit
[Huawei]traffic-filter vlan 10 inbound acl 3000 相当于在接口上启用包过滤,注意方向,配置的是inbound方向。
[Huawei]undo traffic-filter vlan 10 inbound acl 3000 取消acl过滤
方法2:通过QOS策略实现,区分不同的流
[Huawei]traffic classifier c1 定义类名c1
[Huawei-classifier-c1]if-match acl 3000 定义类
[Huawei-classifier-c1]quit
[Huawei]traffic behavior b1 定义类名b1
[Huawei-behavior-b1]permit 配置动作允许
[Huawei-behavior-b1]quit
创建华为qos策略:
[Huawei]traffic policy p1 创建流策略p1
[Huawei-trafficpolicy-p1]classifier c1 behavior b1 将流分类c1和b1进行关联
[Huawei-trafficpolicy-p1]quit
[Huawei]vlan 10
[Huawei-vlan10]traffic-policy p1 inbound 单独为vlan10入方向应用流策略qos规则
验证配置结果
192.168.20.0(bangong区)不能访问192.168.10.0技术区
192.168.10.0技术区可以访问(bangong区)192.168.20.0
配置ACL 3001,使jishu区可以访问所有资源,其他区只能访问服务器21端口。
[Huawei] acl 3001
[Huawei-acl-adv-3001] rule permit ip source 192.168.10 0 destination 192.168.20.1 0.0.0.255
[Huawei-acl-adv-3001] rule permit tcp destination 192.168.20.1 0 destination-port eq 21
[Huawei-acl-adv-3001] quit
网络配置常用命令介绍
display interface brief 查看所有接口概要信息
display ip interface brief 查看逻辑接口ip地址配置概况
display current-configuration interface 查看所有接口配置
display current-configuration interface g0/0/1 查看指定接口配置,例如g0/0/1
interface g0/0/1 进入指定接口,
display vrrp brief 交换机上配置了vrrp协议,可以查看接口状态等信息
display vlan 查看哪些接口被划分到了哪个vlan
display ip routing-table 查看路由表,可以看到接口ip、路由等信息
system-view 进入配置模式
display version 显示系统版本信息
display diagnostic-information 显示诊断信息
display current-configuration 显示系统当前配置
display saved-configuration 显示系统保存配置
display interface 显示接口信息
display ip routing-table 显示路由信息
display stp brief 显示生成树信息
display mac-address 显示MAC地址表
display arp brief 显示ARP表信息
display cpu 显示系统CPU使用率
display memory 显示系统内存使用率
display log 显示系统日志
display clock 显示系统时钟
save 验证配置正确后,使用保存配置命令
undo 删除某条命令,一般使用命令undo
vlan 2 配置模式下使用创建VLAN
undo vlan 2 删除VLAN
interface g0/0/1 进入端口g0/0/1
interface g0/0/1 port access vlan 3 进入端口g0/0/1把端口划入vlan3
interface vlan 10 undo port g0/0/1 进入vlan10把端口g0/0/1删除不加入vlan10
port link-type trunk(access) 设置trunk端口或(access为普通端口)
[Huawei-vlan10]description jishu 取vlan10名称为jishu
sysname jishu 更改主机名为jishu
ip route 0.0.0.0 0.0.0.0 1.2.3.4 配置静态路由
ip route-static 0.0.0.0 0.0.0.0 1.2.3.4 配置静态路由
reboot 重启设备
undo shutdown 激活端口
shutdown 关闭端口
speed {10|100|auto} 配置端口工作速率
stp priority 4096 设置交换机的优先级
所有带有brief的都是查看概况,去掉brief即可查看详细情况、按Tab键可以自动跳出完整命令
发表评论