华为交换机配置VLAN聚合示例
组网需求
某公司拥有多个部门且位于同一网段,为了提升业务安全性,将不同部门的用户划分到不同VLAN中,如图1所示,VLAN2和VLAN3属于不同部门。各部门均有访问Internet需求,同时由于业务需要,不同部门间的用户需要互通。
配置思路
可以在SwitchB上部署VLAN聚合,将不同部门的VLAN聚合到Super VLAN中,这样,不同部门的用户可通过Super VLAN访问Internet。同时,为使部门间用户互通,在Super VLAN上部署Proxy ARP功能。采用如下思路配置VLAN聚合:
- 在SwitchA和SwitchB上配置VLAN和接口,将不同部门用户划分到不同VLAN中,并透传各VLAN到SwitchB。
- 在SwitchB上配置Super-VLAN及其对应的VLANIF接口、上行路由,使不同部门的用户能够访问Internet。
- 在SwitchB上启用Super-VLAN的Proxy ARP功能,使不同部门的用户间三层互通。
操作步骤
- 配置VLAN和接口,将不同部门用户划分到不同VLAN中,并透传各VLAN到SwitchB
- 配置SwitchA
# 配置接口GE1/0/1为Access类型。接口GE1/0/2、GE1/0/3、GE1/0/4的配置与GE1/0/1类似,不再赘述。
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-type access [SwitchA-GigabitEthernet1/0/1] quit
# 创建VLAN2并向VLAN2中加入GE1/0/1和GE1/0/2。
[SwitchA] vlan 2 [SwitchA-vlan2] port gigabitethernet 1/0/1 1/0/2 [SwitchA-vlan2] quit
# 创建VLAN3并向VLAN3中加入GE1/0/3和GE1/0/4。
[SwitchA] vlan 3 [SwitchA-vlan3] port gigabitethernet 1/0/3 1/0/4 [SwitchA-vlan3] quit
# 配置SwitchA连接SwitchB的接口,透传VLAN2和VLAN3到SwitchB。
[SwitchA] interface gigabitethernet 1/0/5 [SwitchA-GigabitEthernet1/0/5] port link-type trunk [SwitchA-GigabitEthernet1/0/5] port trunk allow-pass vlan 2 3 [SwitchA-GigabitEthernet1/0/5] quit
- 配置SwitchB
# 创建VLAN2、VLAN3、VLAN4、VLAN10,并配置SwitchB连接SwitchA的接口,使VLAN2和VLAN3透传到SwitchB。
<HUAWEI> system-view [HUAWEI] sysname SwitchB [SwitchB] vlan batch 2 3 4 10 [SwitchB] interface gigabitethernet 1/0/5 [SwitchB-GigabitEthernet1/0/5] port link-type trunk [SwitchB-GigabitEthernet1/0/5] port trunk allow-pass vlan 2 3 [SwitchB-GigabitEthernet1/0/5] quit
- 配置SwitchA
- 配置Super-VLAN及其对应的VLANIF接口# 在SwitchB上配置Super-VLAN 4,并将VLAN2、VLAN3加入到Super-VLAN 4,作为其Sub-VLAN。
[SwitchB] vlan 4 [SwitchB-vlan4] aggregate-vlan [SwitchB-vlan4] access-vlan 2 to 3 [SwitchB-vlan4] quit
# 创建并配置VLANIF4,使不同部门的用户可通过Super-VLAN 4访问Internet。
[SwitchB] interface vlanif 4 [SwitchB-Vlanif4] ip address 10.1.1.1 255.255.255.0 [SwitchB-Vlanif4] quit
- 配置上行路由# 在SwitchB上配置上行接口GE1/0/1,透传SwitchB与出口网关Router的互联VLAN。
[SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] port link-type trunk [SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 [SwitchB-GigabitEthernet1/0/1] quit
# 创建并配置VLANIF10,指定其IP地址为SwitchB与出口网关Router对接的IP地址。
[SwitchB] interface vlanif 10 [SwitchB-Vlanif10] ip address 10.10.1.1 255.255.255.0 [SwitchB-Vlanif10] quit
# 在SwitchB上配置一条到出口网关Router的缺省静态路由,使用户能够访问Internet。
[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2
还需要在出口网关Router上配置其与SwitchB对接的接口,指定其IP地址为10.10.1.2,具体配置请参见Router的配置手册。
- 配置用户IP地址分别为各用户配置IP地址,并使它们和VLAN4处于同一网段。
配置成功后,各部门用户可以访问Internet,但VLAN2的用户与VLAN3的用户间不可以相互Ping通。
- 配置Proxy ARP# 在SwitchB的Super-VLAN 4下配置Proxy ARP,使不同部门的用户间三层互通。
[SwitchB] interface vlanif 4 [SwitchB-Vlanif4] arp-proxy inter-sub-vlan-proxy enable [SwitchB-Vlanif4] quit
- 验证配置结果配置完成后,VLAN2的用户与VLAN3的用户可以相互Ping通,且都可以访问Internet。
配置文件
- SwitchA的配置文件
# sysname SwitchA # vlan batch 2 to 3 # interface GigabitEthernet1/0/1 port link-type access port default vlan 2 # interface GigabitEthernet1/0/2 port link-type access port default vlan 2 # interface GigabitEthernet1/0/3 port link-type access port default vlan 3 # interface GigabitEthernet1/0/4 port link-type access port default vlan 3 # interface GigabitEthernet1/0/5 port link-type trunk port trunk allow-pass vlan 2 to 3 # return
- SwitchB的配置文件
# sysname SwitchB # vlan batch 2 to 4 10 # vlan 4 aggregate-vlan access-vlan 2 to 3 # interface Vlanif4 ip address 10.1.1.1 255.255.255.0 arp-proxy inter-sub-vlan-proxy enable # interface Vlanif10 ip address 10.10.1.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 10 # interface GigabitEthernet1/0/5 port link-type trunk port trunk allow-pass vlan 2 to 3 # ip route-static 0.0.0.0 0.0.0.0 10.10.1.2 # return
