[急求]H3C S1526交换机VLAN、镜像设置问题

Posted 2023-05-01

要求：
（1）1~4配内网IP，只需要能相互访问，不访问外网。
（2）5~23可以上网外，26为外网出口。
（3）24为管理口。
（4）1~8号镜像到25。

现在的设置方法是：（使用的是802.1VLAN）
（1）1~4为一个VLAN，1~4对应的PVID同步更改了
（2）5~23、26为第二个VLAN，对应的PVID也作了更改。其中26标记为T，其它为U
（3）24、25各为一个VLAN，对应的PVID也作了更改。管理的VLAN设置成与24一样。
（4）在镜像端口里，设置1~8镜像到25。

出现问题：
一开始只接了两个接口，一个7号，一个26号，7号设外网IP可以正常上网。后来不知道为什么不能上外网了。。7~23里我试了好几个都不行，网络是好的。
1~4设内网IP可以PING通。24可以正常访问管理端。
镜像功能还未测试。

现在的问题是：
（1）要怎么设置才可以完成我上面的功能要求。可以在我现在的设置上改，也可以重新设置。
另外两个问题，希望懂的人回答：
（2）可以有多个VLAN包含同一端口，但一个端口的PVID只能设一个。这里有什么意义？
（3）在VLAN端口设置里，T和U有什么不同。
（4）H3C S1526怎么进行设置，即各个功能之间的逻辑关系。

希望有高手解答。
现在的情形是这样的，我刚设置好，网络正常，然后过一会儿又不正常了。。这是什么原因。。。

镜像端口，我需要的功能是1-8号的流量共享给25号。
被镜像端口，我理解为流量被复制的端口。也就是说，1-8为被镜像端口，25为镜像端口

问题还是没有解决，别叫我看手册，看了无数遍，毛用都没有。

S1526提供基于端口的镜像功能，即可将指定的一个或多个端口的报文复制到镜像端口，用于报文的分析和监控。例如：可以将端口2上的报文复制到指定镜像端口1，通过镜像端口1上连接的协议分析仪进行测试和记录端口2的工作状态。

2. 镜像端口的配置

选择[端口管理/端口镜像]菜单项，进入到如图2-14所示的页面。配置端口镜像的过程如下：

(1)          在“端口镜像设置”栏内勾选“镜像端口使能”复选框。

(2)          在“镜像端口”栏中写入需设成镜像端口的端口号。

(3)          选择“被镜像端口”单选框，“普通端口”表示此端口没有被镜像。注意：同一端口不能同时配置镜像端口和被镜像端口。

(4)          选择被镜像端口的镜像方向。各镜像方向的含义如下：

l              镜像入端口：只有入该端口的报文被镜像到镜像端口；

l              镜像出端口：只有出该端口的报文被镜像到镜像端口；

l              镜像入和出端口：进出该端口的报文均被镜像到镜像端口。

(5)          单击<确定>按钮，完成配置。

例：如图2-14所示，配置端口镜像，使镜像端口1可以分析和监视进入端口2的报文，出端口3的报文，进出端口4的所有报文。

图2-14 端口镜像

==============================

如上，普通端口为25 镜像的源为1-8 方向自己看吧，是想镜像单方向还是收发都镜像。

另附s3600系列交换机的端口镜像命令，没试过跟是s1526是否一样，你可以试试。

S3600系列交换机

在端口视图下配置1：

system-view

  

[H3C] mirroring-group 1 local    //建立镜像组

[H3C] interface gigabitEthernet 1/1/4   //进入目的接口

[H3C-GigabitEthernet1/1/4] monitor-port   //镜像目的接口

[H3C-GigabitEthernet1/1/4] quit

[H3C] interface gigabitEthernet 1/1/1   //进入镜像源端口

[H3C-GigabitEthernet1/1/1] mirroring-port both  //镜像源端口

在端口视图下配置2：

system-view

[H3C] mirroring-group 1 local

[H3C] interface GigabitEthernet 1/1/4

[H3C-GigabitEthernet1/1/4] mirroring-group 1 monitor-port

[H3C-GigabitEthernet1/1/4] quit

[H3C] interface GigabitEthernet 1/1/1

[H3C-GigabitEthernet1/1/1] mirroring-group 1 mirroring-port both

在系统视图下配置：

system-view

[H3C] mirroring-group 1 local

[H3C] mirroring-group 1 monitor-port GigabitEthernet 1/1/4

[H3C] mirroring-group 1 mirroring-port GigabitEthernet 1/1/1 both

参考技术A 1. 要使用基于端口的vlan 而不是802.1q的vlan。后者比较高深。
vlan类型选择-基于端口的vlan。
新建-PortBased VLAN ID输入vlan 10 端口选择 1-4. 也就是在端口上点一下。把V的标志打上。
第一个就可以了。
2.同上。vlan20 端口5-23，26
3.端口24.25不用设置，保证是vlan1 。否则管理不了设备
4.镜像很简单的。选好出入端口就可以了

（2）可以有多个VLAN包含同一端口，但一个端口的PVID只能设一个。这里有什么意义？
pvid 属于端口默认不打tag（T）标签。pvid相当于缺省的vlan。可以理解能接电脑的vlan
T和U的区别是tag和untag。一个是数据帧加上vlan id标示，一个是数据帧不加vlan id标示。
tag的作用是连接其他交换机时，2个交换机之间的vlan数据能够识别。
如果你的26端口连接的路由器。请不要在此端口加上tag。只要保证路由接口和你能上网的vlan在一个vlan id就可以。

4.这个较难说清楚。我建议你看官方手册。www.h3c.com.cn/Service/Document_Center/IP_Network_Product/Switches/S1500/S1526/

其实最简单的做法就是将1-4口单独设置一个vlan。其他端口都不动，属于vlan1.
之后将设备管理的ip地址修改成你内网的无用ip地址。26口接26接口。镜像还是那样做。
这样的话，5-25属于你能上网的接口。且还不用单独一个接口作为管理接口。在电脑上打设备地址就可以登录设备。

此设备具体的配置步骤本人不能面面俱到，我主要是使用命令行配置。像这个低端设备很少接触。

请连入交换机查看配置是否正常，做单机连接交换机测试联通，判断是交换机路由器还是内网其他电脑攻击所致。

参考资料：H3C辽宁金牌代理商工程师-为你解决！

本回答被提问者采纳 参考技术B 问题解答：
1：H3C S1526只是一个二层交换机，它对ACL兼容性并不是很好，只适合做接入交换机。网络不通的原因个人判断有2点，一是你设置了很多VLAN,你不是给每个vlan都给管理地址了？如果是恭喜你你设置错了。二点的话就是1-8镜像到25口，这本来就有问题，H3CS1526它支持N:1的镜像。也就是只能做一组，只能有一个被镜像接口，可以有多个镜像接口。建议你配置25口主动镜像，对所有的数据侦听。
2：我不太懂你的问题。PVID是TRUNK的所属VLAN，PVID相同的帧发送去掉封装，接收UNTAG就打上此PVID，PVID不同的帧发送不去掉TAG，接收TAG不去掉TAG帧信息。
3：T和U有什么不同？当然很大的区别，它们就像access和trunk的区别，T全称是“tagged”。U全程是“untagged”。也就是说一个是trunk，一个是access。
4：H3C S1526在设计开发的时候就只是针对sohu办公的，你想想他才1000左右的网络设备，能实现多少功能？你要配置的话，H3C官方网站上有配置手册。你自己去下。

交换机环境下实现同vlan不能互通却都能访问服务器的两种方法

网络拓扑图：

一、通过hybrid实现可以实现同VLAN不通，却都可以访问服务器。

思路：PC机识别不了VLAN所带的标签，所以PC5想要接收VLAN4所发的数据，就应该在LSW8中的GE 0/0/1的接口
设置取掉VLAN4和VLAN2的标签， 同理，PC6也要取掉VLAN4和VLAN3的标签。而服务器则要取掉所有VLAN的标
签。
1）先按拓扑图添加所需设备并标识出需要设置的VLAN

2）将PC5、PC6、Server的IP依次设定为192.168.1.1、1.2、1.3
子网掩码统一设置为255.255.255.0，标识IP地址

3）首先按照思路配置LSW7的VLAN，命令如下：
systerm-view //进入系统视图
vlan batch 2 3 4 //创建vlan 2 ，3， 4
interface GigaibitEthernet 0/0/1 //进入GE 0/0/1端口
port link type hybrid //配置端口类型为hybrid
port hybrid pvid vlan 4 //配置端口的PVID为VLAN 4
port hybrid untagged vlan 2 3 4 //配置vlan 2,3,4的数据经过端口不加标签
interface GigaibitEthernet 0/0/3 //进入端口GE 0/0/3
port link type hybrid //配置端口类型为hybrid
port hybrid tagged vlan 2 3 4 //配置数据经过GE 0/0/3时都打上标签
输入以上命令后，标识端口的类型

4）配置LSW8上的VLAN，命令如下：
system-view //进入系统视图
vlan batch 2 3 4 //创建vlan 2,3,4
interface GigabitEthernet 0/0/1 //进入端口GE 0/0/1
port link type hybrid //配置端口类型为hybrid
port hybrid pvid vlan 2 //配置端口的PVID为VLAN 2
port hybrid untagged vlan 2 4 //配置vlan 2,4的数据经过端口不加标签
interface GigabitEthernet 0/0/2 //进入端口GE 0/0/2
port link type hybrid //配置端口类型为hybrid
port hybrid pvid vlan 3 //配置端口的PVID为VLAN 3
port hybrid untagged vlan 3 4 //配置vlan 3,4的数据经过端口不加标签
port link type hybrid //配置端口类型为hybrid
interface GigabitEthernet 0/0/3 //进入端口GE 0/0/3
port hybrid tagged vlan 2 3 4 //配置数据经过GE 0/0/3时都打上标签
输入以上命令后，标识端口的类型

5）验证PC5能否ping同Server和PC6，验证结果如下：

6）验证PC6能否ping通Server和PC5，验证结果如下：

通过以上配置，可以实现同VLAN不通，却都可以访问服务器。
二、通过trunk和hybird实现同VLAN不能互通却都能访问服务器
思路：通过以上实验，我们可以试想一下，既然hybrid为混合端口，那么在两台PC机相连的端口都设置为trunk类型，能否也实现同VLAN不通，却都可以访问服务器。
1）按照上面实验，添加设备以及VLAN标识，IP标识。

2）在LSW1上做以下配置：
systerm-view //进入系统视图
vlan batch 2 3 4 //创建vlan 2，3，4
interface GigabitEthernet 0/0/1 //进入端口GE 0/0/1
port link-type hybrid //将端口设置为hybrid类型
port hybrid pvid vlan 4 //配置端口的PVID为VLAN 4
port hybrid untagged vlan 2 3 4 //经过端口的数据不打vlan 2 ，3，4标签
interface GigaibitEthernet 0/0/3 //进入端口 GE 0/0/3
port link-type trunk //将端口设置为trunk类型
port trunk allow-pass vlan all //允许所有vlan通过

3）在LSW2上做以下配置：
systerm-view //进入系统视图
vlan batch 2 3 4 //创建vlan 2，3，4
interface GigabitEthernet 0/0/1 //进入端口GE 0/0/1
port link-type hybrid //将端口设置为hybrid类型
port hybrid pvid vlan 2 //配置端口的PVID为VLAN 2
port hybrid untagged vlan 2 4 //经过端口的数据不打vlan 2 ，4标签
interface GigabitEthernet 0/0/2 //进入端口GE 0/0/2
port link-type hybrid //将端口设置为hybrid类型
port hybrid pvid vlan 3 //配置端口的PVID为VLAN 3
port hybrid untagged vlan 3 4 //经过端口的数据不打vlan 3，4标签
interface GigaibitEthernet 0/0/3 //进入端口 GE 0/0/3
port link-type trunk //将端口设置为trunk类型
port trunk allow-pass vlan all //允许所有vlan通过

4）验证PC1能否ping同Server和PC2，验证结果如下：

5）验证PC2能否ping同Server和PC1，验证结果如下：

通过以上实验得知以上假设是成立的。
进一步证明hybrid既可以实现给vlan数据加标签，也可以实现不给vlan加标签。
如果将交换机之间的连接端口设为trunk，也是可以实现可以实现同VLAN不通，却都可以访问服务器。
原因是每个VLAN都设定了PVID，数据从PC机进入交换机时，会被自动打上连接PC机端口的所属的PVID。
所有的交换机有都创建了所有VLAN。trunk允许所有VLAN通过，连接服务器的端口又去掉了VLAN2,3,4的标签，
所以才能在这个拓扑图中，实现同VLAN不通，却都可以访问服务器。