华为交换机VLAN配置命令

Posted 2023-05-07

1. 配置VLANIF 接口
介绍配置VLANIF 接口的过程与step。当需要借助逻辑接口来实现网络层互通时，使用
本任务。
1.4.1 建立配置任务
1.2.4 创建VLANIF 接口
1.4.3 配置VLANIF 接口的IP 地址
1.4.4 检查配置结果
1.4.1 建立配置任务
应用环境
当S-switch 需要与网络层的设备通信时，可以在S-switch 上创建基于VLAN 的逻辑接
口，即VLANIF 接口。VLANIF 接口是网络层接口，可以配置IP 地址。借助VLANIF
接口，S-switch 就能与其它网络层的设备互相通信。
前置任务
在配置VLANIF 接口之前，需完成以下任务：
1.2 创建VLAN
数据准备
在配置VLANIF 接口之前，需要准备以下数据。
序号数据
1 VLAN 的编号
2 创建VLANIF 接口
背景信息
请在需要配置VLANIF 接口的S-switch 上进行以下配置。
操作step
step1 执行命令system-view，进入系统视图。
step2 执行命令interface vlanif vlan-id，创建VLANIF 接口并进入VLANIF 接口视图。
VLAN 配置演示
将特定端口加入valn 140
进入端口
[switch for test]interface GigabitEthernet 0/0/39

配置接口的类型。Access 类型、QinQ 类型、Hybrid 类型、Trunk 类型的
port link-type access，
添加到vlan 140
[switch for test-GigabitEthernet0/0/39]port default vlan 140
将一组端口一次加入到一个vlan中
进入视图模式
sys
新建vlan140，并进入VLAN140
vlan 140
添加端口
port GigabitEthernet 0/0/40 to 0/0/42
查看vlan信息
dis vlan

查看vlan140 ，内部端口信息
dis vlan 140
----结束

1.4.3 配置VLANIF 接口的IP 地址
背景信息
请在需要配置VLANIF 接口的S-switch 上进行以下配置。
操作step
step1 执行命令system-view，进入系统视图。
step2 执行命令interface vlanif vlan-id，创建VLANIF 接口并进入VLANIF 接口视图。
step3 执行命令ip address ip-address mask | mask-length [ sub ]，配置VLANIF 接口的IP 地
址。
----结束

1.4.4 检查配置结果
完成上述配置后，请执行下面的命令检查配置结果。
操作命令
查看VLANIF 接口的基本配置
信息
display interface vlanif [ vlan-id ] [ | begin | exclude
| include regular-expression ]
执行命令display interface vlanif，可以查看VLANIF 接口的IP 地址是否配置正确。
<S3328-HX>display interface Vlanif
S-switch 支持的VLAN 聚合特性
super-VLAN 和sub-VLAN
super-VLAN 和通常意义上的VLAN 不同，它只建立三层接口，而不包含物理接口。与
一般没有物理接口的VLAN 不同，它的三层虚接口的Up 状态不依赖于其自身物理接口
的Up 状态，而是只要它所含sub-VLAN 中存在Up 状态的物理接口。
sub-VLAN 只包含物理接口，但不能建立VLANIF 接口。它与外部的三层交换是靠super-
VLAN 的VLANIF 接口来实现的。
每个super-VLAN 支持16 个sub-VLAN。
sub-VLAN 不再占用一个独立的子网网段。在同一个super-VLAN 中，无论主机属于哪
一个sub-VLAN，它的IP 地址都在super-VLAN 对应的子网网段内。
sub-VLAN 内的通信
为了实现sub-VLAN 内的用户进行三层通信时，将使用super-VLAN 的虚接口的IP 地址
作为网关地址。
为了实现不同sub-VLAN 间的三层互通及sub-VLAN 与其他网络的互通，需要利用ARP
代理功能。通过ARP 代理可以进行ARP 请求和响应报文的转发与处理，从而实现了二
层隔离接口间的三层互通。缺省状态下，sub-VLAN 下的ARP 代理功能是关闭的。
4.1.3 配置任务的逻辑关系
在本章中，所有配置任务相互独立，配置时没有先后顺序要求，可根据需要选择配置即
可。
2 VLAN 聚合配置
2.4 配置VLAN 聚合
介绍配置VLAN 聚合的过程与step。当需要节省IP 地址资源，使多个VLAN 共享一个
IP 地址时，使用本任务。
2.4.1 建立配置任务
2.4.2 配置sub-VLAN
2.4.3 配置super-VLAN
2.4.4 配置VLANIF 接口的IP 地址
2.4.5 配置sub-VLAN 的Proxy ARP
2.4.6 检查配置结果

2.4.1 建立配置任务
应用环境
当网络中存在大量VLAN 时，通过配置VLAN 聚合，可以简化配置，方便网络规划。
前置任务
在配置VLAN 聚合之前，需完成以下任务：
1.2 以太网接口基本配置
数据准备
在配置VLAN 聚合之前，需要准备以下数据。
序号数据
1 sub-VLAN 的VLAN ID 及其包含的接口编号。
2 super-VLAN 的VLAN ID。
3 VLANIF 接口的IP 地址和掩码地址。

2.4.2 配置sub-VLAN
4-3
背景信息
请在需要配置VLAN 聚合的S-switch 上进行以下配置。
操作step
step1 执行命令system-view，进入系统视图。
step2 执行命令vlan vlan-id，创建VLAN 并进入VLAN 视图。
step3 执行命令port interface-type interface-number1 [ to interface-number2 ] &<1-10>，将接
口加入到sub-VLAN 中。
新创建的VLAN 缺省认为是sub-VLAN。
配置sub-VLAN 时，只需将接口加入到已创建的VLAN 中即可。
----结束

2.4.3 配置super-VLAN
背景信息
请在需要配置VLAN 聚合的S-switch 上进行以下配置。
操作step
step1 执行命令system-view，进入系统视图。
step2 执行命令vlan vlan-id，创建VLAN 并进入VLAN 视图。
step3 执行命令aggregate-vlan，创建super-VLAN。
说明
super-VLAN 与sub-VLAN 必须使用不同的VLAN ID，super-VLAN 中不能包含任何物理接口。在VLAN 视图下执行命令undo aggregate-vlan，可以将一个super-VLAN 转变为sub-VLAN。
配置为super-VLAN 的VLAN 必须是已经存在的。
step4 执行命令access-vlan vlan-id1 [ to vlan-id2 ] &<1-10>，将sub-VLAN 加入到super-
VLAN 中。
----结束
2.4.4 配置VLANIF 接口的IP 地址
背景信息
请在需要配置VLAN 聚合的S-switch 上进行以下配置。
操作step
step1 执行命令system-view，进入系统视图。

step2 执行命令interface vlanif vlan-id，创建VLANIF 接口。
由于只能创建super-VLAN 对应的VLANIF 接口，sub-VLAN 不允许创建对应的VLANIF
接口。因此，参数vlan-id 是创建super-VLAN 时指定的VLAN ID。
step3 执行命令ip address ip-address mask | mask-length ，配置VLANIF 接口的IP 地址。
说明
VLANIF 接口的IP 地址所在的网段应包含各sub-VLAN 用户所在的子网段。
----结束
2.4.5 配置sub-VLAN 的Proxy ARP
背景信息
请在需要启动Proxy ARP 的S-switch 上进行以下配置。
操作step
step1 执行命令system-view，进入系统视图。
step2 执行命令interface vlanif vlan-id，创建super-VLAN 的VLANIF 接口。
step3 执行命令arp-proxy enable，使能VLANIF 接口的Proxy ARP 功能。
step4 执行命令arp-proxy inter-sub-vlan-proxy enable，使能sub-VLAN 间的Proxy ARP 功
能。
----结束

2.4.6 检查配置结果
完成上述配置后，请执行下面的命令检查配置结果。
操作命令
查看VLAN 信息。display vlan [ vlan-id [ verbose ] ]
查看VLANIF 接口的
信息。
display interface vlanif [ vlan-id ] [ verbose ] [ | begin |
exclude | include regular-expression ]
执行命令display vlan，可以查看到VLAN 类型、super-VLAN 包含的sub-vlan 是否配置
正确。以查看VLAN2 为例。
<HWswitch> display vlan 2 verbose
VLAN ID : 2
VLAN Type : Super
Description : VLAN 0002
Status : Enable
Statistics : Disable
---------------
sub-VLAN List: 3-10
执行命令display interface vlanif，可以查看到VLANIF 接口是否配置正确。
<HWswitch> display interface vlanif 2

配置思路
采用如下的思路配置VLAN 聚合：
1. 创建sub-VLAN。
2. 把sub-VLAN 聚合为super-VLAN。
3. 创建sup-VLAN,将sub-vlan 加入到super-VLAN。
4. 配置VLANIF 接口的IP 地址。
5. 配置sub-VLAN 的Proxy ARP。 参考技术A 华为交换机VLAN配置：
system veiw （进入系统视图）

vlan 10（创建vlan 10）

vlan batch 10 to 12 （创建vlan 10 11 12）
interface vlan 10 （进入VLAN 10）

ip address 172.16.10.1 24（设置VLAN 10的IP为172.16.10.1，掩码为24位）
undo vlan 10 （删除vlan 10）

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。
虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。
在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。 参考技术B 华为交换机VLAN配置命令主要有：
【命令】
description text
undo description
【视图】：VLAN 视图、VLAN 接口视图
【参数】：text：描述VLAN 或VLAN 接口的字符串，可以包含特殊字符及空格，区分大小写。
VLAN 的描述字符串：长度范围为1～32 个字符。
VLAN 接口的描述字符串：长度范围为1～80 个字符。

【命令】
display interface Vlan-interface [ vlan-id ]
【视图】：任意视图
【参数】：vlan-id：指定VLAN 接口的编号。如果在执行命令时使用了vlan-id 参数，则显示指定VLAN 接口的相关信息；如果不使用vlan-id 参数，则显示所有已创建的VLAN 接
口的相关信息。

【命令】
display vlan [ vlan-id1 [ to vlan-id2 ] | all | dynamic | static ]
【视图】：任意视图
【参数】：vlan-id1：显示指定VLAN 的信息，取值范围为1～4094。
to vlan-id2：用来与vlan-id1 配合，指定一个范围，以显示该范围内所有已存在的
VLAN 的信息。vlan-id2 的取值范围为1～4094，但不能小于vlan-id1。
all：显示所有VLAN 的信息。dynamic：显示系统动态创建的VLAN 的数量和编号。动态VLAN 是指通过GVRP协议生成或通过Radius 服务器下发的VLAN。static：显示系统静态创建的VLAN 的数量和VLAN 编号。静态VLAN 是指通过命令行手工创建的VLAN。

【命令】
interface Vlan-interface vlan-id
undo interface Vlan-interface vlan-id
【视图】：系统视图
【参数】：vlan-id：VLAN 接口的标识号，取值范围为1～4094。

【命令】
name text
undo name
【视图】：VLAN 视图
【参数】：text：VLAN 名称，为1～32 个字符的描述信息（可以包含特殊字符及空格）。

【命令】
display port hybrid | trunk
【视图】：任意视图
【参数】：hybrid：显示系统当前存在的Hybrid 端口。 参考技术C （1）激活vlan路由
Switch1#config t
Switch1(config)#ip routing

（2）创建三个VLAN
Switch1#
Switch1#vlan database
Switch1(vlan)#vlan 2
Switch1(vlan)#vlan 3
Switch1(vlan)#vlan 10
Switch1(vlan)#exit

（3）给VLAN分配IP
Switch1#config t
Switch1(config)#config vlan2
Switch1(config-if)#ip address 192.168.2.1 255.255.255.0
Switch1(config-if)#no shutdown
Switch1#config t
Switch1(config)#config vlan3
Switch1(config-if)#ip address 192.168.3.1 255.255.255.0
Switch1(config-if)#no shutdown
Switch1#config t
Switch1(config)#config vlan10
Switch1(config-if)#ip address 192.168.10.1 255.255.255.0
Switch1(config-if)#no shutdown

（4）配VTP
Switch1#
Switch1#config t
Switch1(config)#vtp domain china_mobile
Switch1(config)#vtp mode server
Switch1(config)#end

（5）配Trunk
Switch1#
Switch1#config t
Switch1(config)#interface gigabitethernet0/1
Switch1(config-if)#switchport trunk encapsulation isl
Switch1(config-if)#switchport mode trunk
Switch1(config-if)#end

（6）给中心交换机通往路由器的接口配IP
Switch1#
Switch1#config t
Switch1(config)#interface fastethernet0/1
Switch1(config-if)#no switchport
Switch1(config-if)#ip address 200.1.1.1 255.255.255.0
Switch1(config-if)#no shutdown

（7）给中心交换机配置缺省路由
Switch1#
Switch1#config t
Switch(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2

（8）把VLAN号分配给IP接口
Switch1#
Switch1#config t
Switch1(config)#interface fastethernet0/2
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan2
Switch1(config-if)#spanning-tree portfast
… …
Switch1#
Switch1#config t
Switch1(config)#interface fastethernet0/13
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan3
Switch1(config-if)#spanning-tree portfast
(其它同)

（9）配访问控制列表ACL禁VLAN3子网的客户机访问服务器
Switch1#
Switch1#config t
Switch1(config)#access-list 1 deny 192.168.3.0 0.0.0.255
Switch1(config)#access-list 1 permit any
Switch1(config)#interface fastethernet0/13 （此接口接服务器）
Switch1(config-if)#ip access-group 1 out

（10）检查上述配置
Switch1#show vlan
Switch1#show ip route
Switch1#show interface gigabitethernet0/1 switchport
Switch1#show run
Switch1#show vtp status

（11）存配置
Switch1#copy running-config startup-config

二．在接入层交换机Swith2上VLAN的配置

(1)配TRUNK
Switch2#
Swtich2#config t
Switch2(config)#interface gigabitethernet0/1
Switch2(config-if)#switchport trunk encapsulation isl
Switch2(config-if)#switchport mode trunk
Switch2(config-if)#end

Switch2#
Swtich2#config t
Switch2(config)#interface gigabitethernet0/2
Switch2(config-if)#switchport trunk encapsulation isl
Switch2(config-if)#switchport mode trunk
Switch2(config-if)#end

(2)配VTP
Switch2#
Switch2#config t
Switch2(config)#vtp mode client
Switch2(config)#vtp domain china_mobile
Switch2(config)#end

(3)给接口分配VLAN号
Switch2#
Switch2#config t
Switch2(config)#interface fastethernet0/1
Switch2(config-if)#switchport mode access
Switch2(config-if)#switchport access vlan2
Switch2(config-if)#spanning-tree portfast
… …
(其它端口配置同)
(4)存配置
Switch2#copy running-config startup-config
(其它交换机同) 参考技术D

华为交换机VLAN配置：

system veiw （进入系统视图）

vlan 10（创建vlan 10）

vlan batch 10 to 12 （创建vlan 10 11 12）

interface vlan 10 （进入VLAN 10）


ip address 172.16.10.1 24（设置VLAN 10的IP为172.16.10.1，掩码为24位）

undo vlan 10 （删除vlan 10）

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。

华为acl应用到vlan配置

华为交换机vlan之间禁止通信，我配置了acl，可是在接口下没有packer-filter命令
请各位大仙们帮帮，都愁死了 。小弟在这谢谢了

1、使用system-view命令进入[]模式。

2、创建一个vlan，[Quidway]vlan 2。

3、添加端口[Quidway-vlan2]port
Ethernet 0/0/13 to 0/0/15。

4、然后使用display current查看端口是否属于这个vlan。

5、配置vlan IP，[Quidway]interface Vlanif 2。

6、配置vlanif ip地址[Quidway]interface Vlanif 2，[Quidway-Vlanif2]ip address 10.10.100.1 255.255.255.0。

7、完成之后电脑接入到vlan2的接口上并设置好IP地址，然后ping 10.10.100.1是否正常。

参考技术A ACL（AccessControlList，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
ACL通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。
服务器区所有服务器网关均在核心交换机上，共有9个Vlan，9个网段分别如下；Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24
交换机管理Vlan为Vlan1:10.0.13.0/24，核心交换机的管理ip为10.0.13.254，其余接入交换机网关均在核心交换机上；
客户端共有8个Vlan，分别为Vlan20-Vlan100，网段分别为10.0.20.0/24-10.0.100.0/24，网关均在核心交换机上；
3需求一：对服务器区服务器做安全防护，只允许客户端访问服务器某些端口
由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器，也即客户端访问服务器需要通过防火墙，所以对服务器的防护应该放到防火墙上来做，因为若用交换机来做过滤，配置麻烦且失去了防火墙应有的作用（此处不做防火墙配置介绍）；
4需求二：交换机只允许固定管理员通过ssh登陆
此处做防护有较为方便的俩种方法
一：在所有交换机配置VTY时，调用ACL只允许源为网络管理员的IP访问，但此方法虽配置不复杂，但是配置工作量较大需要在所有交换机上配置，而且不灵活例如在网络管理员人员或者IP变迁时，需要重新修改所有交换机ACL，所以并不是首选方案；
二：因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan，也即客户端访问接入交换机必须通过核心交换机，所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问，核心交换机的访问通过VTY来调用ACL；配置部分在下面；
5需求三：客户端VLAN之间不能互相访问，客户端只允许访问服务器VLAN
一：在核心交换机上的所有链接客户端接入交换机端口做ACL，只放行访问服务器的流量，拒绝其余流量，但由于客户端接入交换机约有几十台，所以配置工作量大几十个端口都需要配置，所以也不是首选方案；二：在核心交换机上的客户端Vlan做Acl，只放行访问服务器的流量，拒绝其余流量，由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言，工作量较小，所以选择此方案；
6配置部分
6.1ACL配置部分
aclnumber2000
rule5permitsource10.0.20.110
rule10permitsource10.0.21.150
rule15deny
//定义允许访问核心交换机的俩位网络管理员IP地址；
aclnumber3000
rule51permitipdestination10.0.10.00.0.0.255
rule53permitipdestination10.0.12.00.0.0.255
rule55permitipdestination10.0.14.00.0.0.255
rule56permitipdestination10.0.15.00.0.0.255
rule57permitipdestination10.0.16.00.0.0.255
rule58permitipdestination10.0.17.00.0.0.255
rule59permitipdestination10.0.18.00.0.0.255
rule60permitipdestination10.0.19.00.0.0.255
//定义所有客户端只允许访问服务器Vlan
rule71permittcpsource10.0.20.110destination10.0.13.00.0.0.255destination-porteq22
rule72permittcpsource10.0.21.150destination10.0.13.00.0.0.255destination-porteq22