Хорошо

Коммутация Ethernet - базовая конфигурация VLAN

Последний ответ Sep 23, 2021 09:49:43 424 1 11 0 0

Понимание VLAN


Сети VLAN используются для разделения физической локальной сети на несколько широковещательных доменов для изоляции служб с целью повышения безопасности и управления сетью. Хосты внутри VLAN могут напрямую связываться только с другими хостами в той же VLAN и должны использовать маршрутизатор для связи с хостами в других VLAN.

 

В сети, показанной на рисунке 1, два коммутатора развернуты в разных местах, например, на разных этажах офисного здания. Оба коммутатора подключаются к двум компьютерам, принадлежащим разным предприятиям. В этом случае компьютеры могут быть отнесены к разным VLAN, обеспечивая изоляцию пользователей между предприятиями.

 

Рисунок 1 Сеть VLAN


VLAN

Коммутатор идентифицирует пакеты из разных VLAN в соответствии с информацией, содержащейся в его тегах VLAN. IEEE 802.1Q добавляет 4-байтовый тег VLAN между полями MAC-адреса источника/назначения и длины/типа кадра Ethernet, как показано на рисунке 2.

 

Рисунок 2 Кадр данных VLAN


VLAN

Поле VLAN ID (VID) во фрейме данных идентифицирует VLAN, к которой принадлежит фрейм данных (VLAN, в которой фрейм данных может быть передан). Все кадры, обрабатываемые на коммутаторе, содержат теги VLAN, но некоторые устройства, подключенные к коммутатору, не могут обрабатывать помеченные кадры. Чтобы обеспечить связь между коммутатором и этими устройствами, интерфейсы коммутатора должны иметь возможность определять, помечен ли кадр Ethernet, а затем решать, следует ли добавлять теги VLAN к кадрам или удалять теги VLAN из кадров. Хосты в одной и той же VLAN могут быть подключены к разным коммутаторам, и в этом случае VLAN охватывает несколько коммутаторов. Чтобы обеспечить связь между этими хостами, интерфейсы между коммутаторами должны иметь возможность идентифицировать и отправлять кадры нескольких VLAN.

 

Сетевые устройства Huawei можно настроить с четырьмя типами интерфейсов: доступ, магистральный интерфейс, гибридный интерфейс и интерфейс QinQ. Четыре типа интерфейсов обрабатывают кадры по-разному, и поэтому интерфейс, который следует настроить, зависит от того, к чему подключается интерфейс (например, подключается ли он к хосту или другому коммутатору).

 

Интерфейс доступа: интерфейс доступа часто подключается к пользовательскому терминалу, такому как пользовательский хост или сервер, который не может идентифицировать теги VLAN, или используется, когда VLAN не нужно различать. В большинстве случаев интерфейсы доступа могут принимать и отправлять только кадры без тегов и могут добавлять только уникальный тег VLAN к кадрам без тегов.

Магистральный интерфейс: магистральный интерфейс часто подключается к коммутатору, маршрутизатору, точке доступа или речевому терминалу, который может принимать и отправлять как помеченные, так и не помеченные кадры. Это позволяет пропускать помеченные кадры из нескольких VLAN и не помеченные кадры только из одной VLAN.

Гибридный интерфейс: гибридный интерфейс может подключаться к пользовательскому терминалу (например, пользовательскому хосту или серверу) или сетевому устройству (например, концентратору или неуправляемому коммутатору), которое не может идентифицировать теги VLAN, а также может подключаться к коммутатору, маршрутизатору. , AP или речевой терминал, который может принимать и отправлять как помеченные, так и не помеченные кадры. помеченные кадры из нескольких VLAN. Помечены ли кадры, отправленные из гибридного интерфейса, или нет, зависит от конфигурации VLAN.

Интерфейс QinQ: интерфейс 802.1Q-in-802.1Q (QinQ) часто соединяет частную сеть с общедоступной. Он может добавить дополнительный тег 802.1Q к помеченному кадру. QinQ поддерживает до 4094 x 4094 виртуальных локальных сетей, предлагая достаточное количество VLAN, необходимых для сетей. Интерфейс QinQ также называется интерфейсом Dot1q-tunnel. Дополнительные сведения о QinQ см. В разделе «Конфигурация QinQ» в Руководстве по настройке S12700 V200R013C00 - Руководство по настройке коммутатора Ethernet.

Сети VLAN могут быть назначены на основе интерфейсов, MAC-адресов, политик, IP-подсетей и протоколов. В таблице 1 сравниваются различные режимы назначения VLAN.

 

Таблица 1 Режимы назначения VLAN

Режим    назначения VLAN

Вступление

Сценарий    использования

Назначение VLAN на

основе интерфейса

Сети VLAN назначаются

на основе интерфейсов.

Сети любого масштаба и

с фиксированными

устройствами

Назначение на основе

MAC-адреса

Сети VLAN назначаются

на основе MAC-адресов

источника кадров.

Маломасштабные сети, в

которых пользовательские

терминалы часто меняют

физическое местоположение, но их

сетевые адаптеры

меняются редко.

Назначение VLAN на

основе IP-подсети

Сети VLAN назначаются

на основе IP-адресов

источника и масок

подсети.

Сценарии, в которых

предъявляются высокие

требования к мобильности

и упрощенному   управлению и низкие

требования к

безопасности.

Назначение VLAN на

основе протокола

Сети VLAN назначаются

на основе типов

протоколов (наборов) и

форматов инкапсуляции

кадров.

Сети, использующие

несколько протоколов

Назначение VLAN на

основе политик

Сети VLAN назначаются

на основе таких политик,

как комбинации

интерфейсов, MAC-

адресов и IP-адресов.

Сложные сети

 

Настройка VLAN

Создание VLAN

Запустите команду system-view, чтобы войти в представление системы.

Запустите команду vlan vlan-id, чтобы создать VLAN и ввести ее представление.

 

ПРИМЕЧАНИЕ:

Коммутатор поддерживает максимум 4096 VLAN, среди которых VLAN 0 и 4095 зарезервированы для использования системой, а VLAN 1 является VLAN по умолчанию. Следовательно, вы можете создавать только VLAN от 2 до 4094.

 

Вы можете повторять команду vlan несколько раз. Если была создана VLAN, эту команду нельзя использовать для создания той же VLAN или изменения конфигурации VLAN. 

Команда vlan batch может быть использована для создания нескольких VLAN в пакетном режиме. Если была создана VLAN, эту команду нельзя использовать для создания той же VLAN или изменения конфигурации VLAN. Если вы запустите команду vlan batch несколько раз, будут созданы все указанные VLAN.

Ниже описано, как создать VLAN 100 и проверить создание VLAN на коммутаторе:

 

<HUAWEI> system-view

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] display vlan summary

Static VLAN:

Total 2 static VLAN.

  1 100

Dynamic VLAN:

Total 0 dynamic VLAN.

Reserved VLAN:

Total 0 reserved VLAN.

 

Назначение VLAN

Сети VLAN могут быть назначены на основе интерфейсов, MAC-адресов, политик, IP-подсетей и протоколов. Здесь в качестве примера используется назначение VLAN на основе интерфейса.

В следующих примерах описываются методы настройки интерфейса как интерфейса доступа, гибридного или магистрального интерфейса и добавления его в VLAN:

 

Интерфейс доступа

Запустите команду interface -type interface-number, чтобы войти в представление интерфейса Ethernet, который нужно добавить в VLAN.

Запустите команду port link-type access, чтобы настроить интерфейс Ethernet как интерфейс доступа.

Запустите команду port default vlan vlan-id, чтобы настроить VLAN по умолчанию для интерфейса и добавить интерфейс в указанную VLAN.

Ниже показано, как настроить GE1/0/1 в качестве интерфейса доступа, добавить его в VLAN 100 и проверить конфигурацию:

 

[HUAWEI] interface gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] port link-type access

[HUAWEI-GigabitEthernet1/0/1] port default vlan 100

[HUAWEI-GigabitEthernet1/0/1] quit

[HUAWEI] display port vlan gigabitethernet 1/0/1

Port                        Link Type    PVID  Trunk VLAN List

-------------------------------------------------------------------------------

GigabitEthernet1/0/1        access       100   -


Магистральный интерфейс

Запустите команду interface-type interface-number, чтобы войти в представление интерфейса Ethernet, который нужно добавить в VLAN.

Выполните команду магистрали port link-type, чтобы настроить интерфейс Ethernet как интерфейс магистрали.

Запустите port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }, чтобы добавить интерфейс в указанную VLAN.

(Необязательно) Запустите команду port trunk pvid vlan vlan-id, чтобы настроить VLAN по умолчанию для интерфейса магистрали.

 

ПРИМЕЧАНИЕ:

Если VLAN, разрешенная интерфейсом, является VLAN по умолчанию для интерфейса, пакеты из VLAN пересылаются как не помеченные.

Ниже показано, как настроить GE1/0/2 в качестве интерфейса магистрали, добавить его в VLAN 100 и проверить конфигурацию:

 

[HUAWEI] interface gigabitethernet 1/0/2

[HUAWEI-GigabitEthernet1/0/2] port link-type trunk

[HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 100

[HUAWEI-GigabitEthernet1/0/2] quit

[HUAWEI] display port vlan gigabitethernet 1/0/2

Port                        Link Type    PVID  Trunk VLAN List

-------------------------------------------------------------------------------

GigabitEthernet1/0/2        trunk        1     1 100


Гибридный интерфейс

Запустите команду interface-type interface-number, чтобы войти в представление интерфейса Ethernet, который нужно добавить в VLAN.

Запустите команду port link-type hybrid, чтобы настроить интерфейс Ethernet как гибридный.

При необходимости выполните следующие команды:

port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }: гибридный интерфейс добавляется к VLAN в режиме без тегов, и интерфейс удаляет теги VLAN кадров перед отправкой кадров.

port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }: гибридный интерфейс добавляется к VLAN в теговом режиме, и интерфейс будет пересылать кадры, не удаляя теги кадров VLAN.

(Необязательно) Запустите команду port hybrid pvid vlan vlan-id, чтобы настроить VLAN по умолчанию для гибридного интерфейса.

Ниже показано, как настроить GE1/0/3 как гибридный интерфейс, добавить его в VLAN 100 и проверить конфигурацию:

 

[HUAWEI] interface gigabitethernet 1/0/3

[HUAWEI-GigabitEthernet1/0/3] port link-type hybrid

[HUAWEI-GigabitEthernet1/0/3] port hybrid tagged vlan 100

[HUAWEI-GigabitEthernet1/0/3] quit

[HUAWEI] display port vlan gigabitethernet 1/0/3

Port                        Link Type    PVID  Trunk VLAN List

-------------------------------------------------------------------------------

GigabitEthernet1/0/3        hybrid       1     100

 

Как показано на рисунке 3, несколько пользовательских терминалов подключены к коммутаторам на предприятии. Пользователи, использующие одну и ту же службу, получают доступ к корпоративной сети с разных устройств.

Чтобы обеспечить безопасность связи и избежать широковещательных штормов, предприятие хочет разрешить пользователям, использующим один и тот же сервис, общаться друг с другом и изолировать пользователей, использующих разные сервисы.

Настройте на коммутаторе назначения VLAN на основе интерфейсов и добавьте интерфейсы, подключенные к терминалам пользователей, которые используют ту же службу, в одну и ту же VLAN. Пользователи в разных VLAN обмениваются данными на уровне 2, а пользователи в одной и той же VLAN могут общаться напрямую.

 

Рисунок 3  Сеть назначения VLAN на основе интерфейсов


VLAN


Дорожная карта конфигурации

Дорожная карта конфигурации выглядит следующим образом:

1. Создайте VLAN и добавьте интерфейсы, соединяющие пользовательские терминалы с VLAN, чтобы изолировать трафик Уровня 2 между пользователями, которые используют разные сервисы.

2. Настройте тип связи между SwitchA и SwitchB и VLAN, чтобы пользователи, использующие одну и ту же услугу, обмениваться данными.

 

Процедура

1. Создайте VLAN 2 и VLAN 3 на SwitchA и добавьте интерфейсы, подключенные к пользовательским терминалам, к различным VLAN. Конфигурация SwitchB аналогична SwitchA и здесь не упоминается.

 

<HUAWEI> system-view

[HUAWEI] sysname SwitchA

[SwitchA] vlan batch 2 3

[SwitchA] interface gigabitethernet 0/0/1

[SwitchA-GigabitEthernet0/0/1] port link-type access

[SwitchA-GigabitEthernet0/0/1] port default vlan 2

[SwitchA-GigabitEthernet0/0/1] quit

[SwitchA] interface gigabitethernet 0/0/2

[SwitchA-GigabitEthernet0/0/2] port link-type access

[SwitchA-GigabitEthernet0/0/2] port default vlan 3

[SwitchA-GigabitEthernet0/0/2] quit

 

2. Настройте тип интерфейса, подключенного к SwitchB, на SwitchA и VLAN. Конфигурация SwitchB аналогична SwitchA и здесь не упоминается.

 

[SwitchA] interface gigabitethernet 0/0/3

[SwitchA-GigabitEthernet0/0/3] port link-type trunk

[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 2 3

 

3. Проверьте конфигурацию.

Добавьте User1 и User2 в один и тот же сегмент IP-адреса, например 192.168.100.0/24; добавьте User3 и User4 в один и тот же сегмент IP-адреса, например 192.168.200.0/24.

Только терминалы User1 и User2 могут пинговать друг друга, и только терминалы User3 и User4 могут пинговать друг друга.

 

Файлы конфигурации

 

Файл конфигурации SwitchA

#

sysname SwitchA

#

vlan batch 2 to 3

interface GigabitEthernet0/0/1

port link-type access

port default vlan 2

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 3

#

interface GigabitEthernet0/0/3

port link-type trunk

port trunk allow-pass vlan 2 to 3

#

return


Файл конфигурации SwitchB

#

sysname SwitchB

#

vlan batch 2 to 3

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 2

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 3 

#

interface GigabitEthernet0/0/3

port link-type trunk

port trunk allow-pass vlan 2 to 3

#

return

 


  • x

sergey2000
Author Опубликовано 2021-9-23 09:49:43
Полезная Таблица 1, вроде в онлайн-курсе ее не было
Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.