暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 华为交换技术_Vlan基于网络层/策略划分演示

华为交换技术_Vlan基于网络层/策略划分演示

爱婷如命一生一世 2021-06-18
1578

华为交换机可以支持5种vlan划分方式(端口,Mac,子网,协议,策略)。这次将剩下3种划分方式进行分享。

基于vlan 子网划分

这种划分方式说白了就是在数据帧的中上层(网络层)IP地址或所属IP网段进行的Vlan划分,子网和协议划分可以统称为基于网络层划分vlan

优点:基于子网划分VLAN和基于协议划分VLAN统称为基于网络层划分vlan,减少了人工配置Vlan的工作量,同时保证了用户数自由增加,移动和修改。

缺点:交换机需要解析源IP地址并进行相应转换,导致交换机响应速度慢。

适用场景: 安全需求不高,对移动性和简易需求较高的场景。

S1700和S2700不支持

这里注意的是,基于IP子网划分的vlan方式也同样要遵守在Hybrid类型端口上进行划分,并且要处理untagged数据帧。

  1. 建立vlan 30

    s1-GigabitEthernet0/0/2]vlan 30


2..在hybrid的接口下剥离vlan30的标记

再再强调:不摘标,PVID可是vlan1呢,回包会出现问题!

vlan30里面包含2和3号端口。

3.关联VLAN的用户IP

IP子网索引值,取值范围1-12的整数,并且以十进制表示。

掩码长度,取值范围1-32整数

[s1-vlan30]ip-subnet-vlan ip 192.168.100.0 24

priority:优先级_跟mac地址划分方式一样,当交换机堵塞时,优先级越高越先发送数据包。

4.接口下启用基于IP地址划分的vlan功能

[s1-GigabitEthernet0/0/2]ip-subnet-vlan enable 

[s1-GigabitEthernet0/0/3]ip-subnet-vlan enable 

5.测试通讯正常

通讯成功的背后和基于mac地址划分方式等同

划分思想就是把用户计算机网卡的IP地址配置与某个vlan进行关联,不用考虑用户所连接的交换机端口,实现无论该用户连接在哪台交换机上的二层以太网端口都将保持所属的vlan属性不变。



基于协议vlan划

说白了,基于协议划分就是基于网络层协议类型进行划分,基于IP子网样要遵守在Hybrid类型端口上进行划分,并且要处理untagged数据帧

局域网中的协议,用的最多的就是IPv4 ,而局域网中IPv6使用的很少,因此基于协议的vlan划分用的比较少。
用的少主要原因在于对于IPv4来说,协议真的是太多了,这里的划分思想就是把用户计算机上运行的网络层协议与某个vlan进行关联,同样不考虑端口,华为给出的结论:唯一的区别就是如果端口原来配置了属于某些协议的vlan,恰巧一个数据帧的协议模板和所有协议vlan都不匹配,那么交换机会给该数据帧打上端口的PVID。(试验不能展示,这点有点不解,没去验证!)

这里我用的ENSP v100R003的版本对于协议划分,不能够充分展示。

基于协议vlan划分演示

先将之前的配置去掉

[s1-vlan30]undo ip-subnet-vlan 1 

[s1-GigabitEthernet0/0/2]undo ip-subnet-vlan enable 

[s1-GigabitEthernet0/0/3]undo ip-subnet-vlan enable 

将hybrid端口类型,加入到vlan30并不打标。

[s1-GigabitEthernet0/0/3] port hybrid untagged vlan 30

[s1-GigabitEthernet0/0/2] port hybrid untagged vlan 30


  1. 进入vlan 配置网络协议,这里我选择ipv4

    [s1-vlan30]protocol-vlan ipv4

2.配置Hybrid端口属性并指定协议vlan进行关联

[s1-GigabitEthernet0/0/2]protocol-vlan vlan 30 all

[s1-GigabitEthernet0/0/3]protocol-vlan vlan 30 all 

3.测试通讯


基于策略的vlan划分

称之为Policy vlan 是根据一定的策略进行vlan划分,实现用户终端的即插即用功能,同时可为终端用户提供安全的数据隔离,实现方式分为:

1.基于mac地址+IP地址 组合策略;

2.基于mac地址+IP地址+端口 组合策略;

先清空交换机所有配置,保持纯净的试验环境。

<s1>reset saved-configuration  选择y 

<s1>reboot   重启生效

并在接下来的第一个询问中选择“N”,第二个询问中选择“Y”。

1



  1. 建立vlan 30[S1]vlan 30


  2. 配置策略与vlan映射表项  


    mac地址和IP都要输入匹配

    [S1-vlan30]policy-vlan  mac-address 5489-98E6-6231 ip 192.168.100.50

    [S1-vlan30]policy-vlan mac-address 5489-98C4-5DF1 ip 192.168.100.51  (针对拓扑可不配哦)


    intface 可选参数,开启后作用Mac地址和IP地址组合策略只能应用Vlan指定的端口,作用域变小


  1. 配置Hybrid端口属性并允许对应的策略Vlan通过。

    因为回包的vlan信息是默认vlan30,必须要剥离掉,要不然主机是无法识别的!

    [S1-GigabitEthernet0/0/2]port hybrid untagged vlan 30

    [S1-GigabitEthernet0/0/3]port hybrid untagged vlan 30

    其余不用配置的。

  2. 通讯成功  PC1 ping PC2

    也能和基于端口划分的PC3 通讯(符合匹配原则)



但是PC2 Ping PC3 ,通讯不能陈成功(他们都在一个vlan下啊)

原因在于两点

  1. 添加策略映射表

  2. 在未添加策略映射表时,修改该主机所在端口的PVID

一旦配置成功,可以禁止用户修改IP地址或者Mac地址,


数据库
文章转载自爱婷如命一生一世,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论