實(shí)驗環(huán)境

交換機
h3c S3600-28TP-SI
h3c S5024E

參考文檔 
H3C_S3600_v1510 手冊
H3C_S5000E 手冊
網(wǎng)上其他熱心網(wǎng)友的配置文檔
##########################################################################################

原理(重要)

為什么要劃分Vlan?
傳統的以太網(wǎng)是一個(gè)廣播型網(wǎng)絡(luò ),網(wǎng)絡(luò )中的所有主機通過(guò) HUB 或交換機相連,處在同一個(gè)廣播域中。
HUB 是物理層設備,沒(méi)有交換功能,接收的報文會(huì )向所有端口轉發(fā);
交換機是鏈路層設備,具備根據報文的目的 MAC 地址進(jìn)行轉發(fā)的能力,但在收到廣播報文或未知單播報文
(報文的目的 MAC 地址不在交換機 MAC 地址表中)時(shí),也會(huì )向除報文進(jìn)入端口之外的所有端口轉發(fā),
為解決以太網(wǎng)交換機在 LAN 中無(wú)法限制廣播的問(wèn)題,出現了 VLAN(Virtual LocalArea Network,虛擬局域網(wǎng))技術(shù)。

VLAN把一個(gè)物理上的LAN劃分成多個(gè)邏輯上的LAN,每個(gè)VLAN是一個(gè)廣播域。
VLAN內的主機間通信就和在一個(gè)LAN內一樣,而不同VLAN內的主機不能直接通信。

Vlan優(yōu)點(diǎn)
與傳統以太網(wǎng)相比,VLAN 具有如下的優(yōu)點(diǎn):
廣播被限制在一個(gè) VLAN 內,節省了帶寬,提高了網(wǎng)絡(luò )處理能力。
增強了 LAN 的安全性。VLAN 間不能直接通信,如果要訪(fǎng)問(wèn)需要通過(guò)路由器或三層交換機等三層設備。

Vlan原理
要使交換機能夠分辨不同 VLAN 的報文,需要在報文中添加標識 VLAN 的字段。由于交換機工作在第二層,
只能對報文的數據鏈路層封裝進(jìn)行識別。因此,如果添加識別字段,也需要添加到數據鏈路層封裝中。
IEEE 于 1999 年頒布了用以標準化 VLAN 實(shí)現方案的 IEEE 802.1Q 協(xié)議標準草案,對帶有 VLAN 標識的報文結構進(jìn)行了統一規定。

傳統以太網(wǎng)幀封裝格式
|DA&SA|Type|#####DATA######|
DA表示目的MAC地址，SA表示源MAC地址，TYPE表示協(xié)議類(lèi)型，DATA表示數據。

IEEE 802.1Q 協(xié)議規定在目的 MAC 地址和源 MAC 地址之后封裝 4 個(gè)字節的 VLAN Tag,用以標識 VLAN 的相關(guān)信息。
|DA&SA|Vlan Tag;TPID;Prioriy;CFI;Vlan ID;|TYPE|#####DATA######|

重要 VLAN ID
VLAN ID 標識該報文所屬 VLAN 的編號,長(cháng)度為 12bit,取值范圍為 0~4095。
由于 0 和 4095 通常不使用,所以 VLAN ID 的取值范圍一般為 1~4094。
交換機利用 VLAN ID 來(lái)識別報文所屬的 VLAN,當接收到的報文不攜帶 VLAN Tag時(shí),交換機會(huì )為該報文封裝帶有
接收端口缺省 VLAN ID 的 VLAN Tag,將報文劃分到接收端口的缺省 VLAN 中傳輸。

以太網(wǎng)端口
以太網(wǎng)端口鏈路類(lèi)型有三種：
Access 類(lèi)型：端口只能屬于1 個(gè)VLAN，一般用于連接計算機；
Trunk 類(lèi)型：端口可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN 的報文，一般用于交換機之間的連接；
Hybrid 類(lèi)型：端口可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN 的報文，可以用于交換機之間連接，也可以用于連接用戶(hù)的計算機。
用戶(hù)可以將當前以太網(wǎng)端口加入到指定的 VLAN 中。執行該配置以后,以太網(wǎng)端口
就可以轉發(fā)指定 VLAN 的報文,從而實(shí)現本交換機上的 VLAN 與對端交換機上相同VLAN 的互通。

trunk類(lèi)型，可以同時(shí)承載多個(gè)VLAN通過(guò),只允許默認VLAN不打標，access只能承載單個(gè)VLAN，hybrid，可以同時(shí)承載多個(gè)VLAN通過(guò),允許多個(gè)VLAN不打標。
（在端口模式）命令格式：
port link-type { access | trunk | hybrid }
缺省值：缺省為關(guān)閉vlan trunk功能
通過(guò)TRUNK口可以實(shí)現不同交換機上的相同VLAN的互通，可以通過(guò)多個(gè)VLAN的流量

########################################################################################
命令行視圖相關(guān)

用戶(hù)視圖
<H3C>                           #連接交換機后進(jìn)入用戶(hù)視圖
系統視圖             
<H3C>system-view                #進(jìn)入系統視圖
[H3C]                           #當前為系統視圖
vlan視圖
[H3C]vlan 2                     #進(jìn)入vlan視圖
[H3C-Vlan2]                     #當前為vlan視圖
vlan接口視圖
[H3C-Vlan2]quit                 #返回到系統視圖
[H3C]interface vlan-interface 2 #進(jìn)入vlan接口視圖
[H3C-Vlan-interface2]           #當前為vlan接口視圖
[H3C-Vlan-interface2]quit       #返回到系統視圖
以太網(wǎng)端口視圖
[H3C]interface GigabitEthernet 0/1 #進(jìn)入端口視圖
[H3C-GigabitEthernet0/1]        #當前為端口視圖

############################################################################################
幫助相關(guān)
任一視圖下,鍵入 ? 獲取該視圖下所有的命令及其簡(jiǎn)單描述
<H3C>?
  debugging    Enable system debugging functions
  display      Display current system information
  ping         Ping function
  quit         Exit from current command view
  reboot       Reset switch
  reset        Reset operation
  save         Save current configuration
  system-view  Enter the system view
  undo         Cancel current setting
鍵入一命令,后接以空格分隔的“?”,如果該命令行位置有關(guān)鍵字,則列出全部關(guān)鍵字及其簡(jiǎn)單描述。
<H3C>ping ?
  -c       Specify the number of echo requests to send
  -s       Specify the number of data bytes to send
  X.X.X.X  Destination IP address
鍵入命令的某個(gè)關(guān)鍵字的前幾個(gè)字母,按下<Tab>鍵,如果以輸入字母開(kāi)頭的關(guān)鍵字唯一,則可以顯示出完整的關(guān)鍵字
<H3C>pi?
   ping

###########################################################################################
Vlan 相關(guān)

創(chuàng )建并進(jìn)入vlan視圖 或刪除 vlan
vlan 2 
undo vlan 2 [undo vlan all]

將access端口加入指定vlan
system-view/vlan 2/視圖下執行
port GigabitEthernet 0/2
port GigabitEthernet 0/3 to GigabitEthernet 0/4 (3-4端口) 或者下條語(yǔ)句
port GigabitEthernet 0/3 GigabitEthernet 0/4

將access端口從 vlan 刪除
system-view/vlan 2/視圖下執行
undo port GigabitEthernet 0/2
vlan 3/視圖下執行
undo port GigabitEthernet 0/3 to GigabitEthernet 0/6

創(chuàng )建并進(jìn)入vlan接口視圖
interface Vlan-interface 2

配置vlan接口 IP地址 
system-view/vlan 2/接口視圖下執行
ip address 192.168.9.1 255.255.255.0
vlan接口 指定網(wǎng)關(guān)。
ip gateway 192.168.9.1

配置管理的VLAN，缺省是VLAN 1
management-vlan 3                             #指定vlan 3 為管理的vlan
ip route-static 0.0.0.0 0.0.0.0 192.168.0.2   #增加一條缺省路由

顯示vlan 設置
display vlan 3                                #vlan
display vlan all 
display interface vlan-interface 3            #vlan接口
display ip interface vlan-interface 3         #vlan ip地址
display ip routing-table [verbose]            #查看路由表摘要信息,[verbose為詳細信息]

#################################################################################
以太網(wǎng)端口相關(guān)

更改端口類(lèi)型為trunk (目的 不同交換機上的相同VLAN的互通)
[H3C101]interface GigabitEthernet 0/2               #進(jìn)入端口視圖
[H3C101-GigabitEthernet0/2]port link-type ?         #? 獲得 port命令幫助                              
  access  Access link-type                                                      
  hybrid  Specify current hybrid port's characteristics                         
  trunk   VLAN trunk link-type                                                                                        
[H3C101-GigabitEthernet0/2]port link-type trunk     #指定端口類(lèi)型為trunk                             
[h3c101]display interface GigabitEthernet 0/2       #顯示指定端口信息 （省略了一大部分）
........................
PVID: 1                                                                         
Mdi type: auto                                                                  
Port link-type: trunk                                                           
 VLAN passing : 1 (default)                                                     
 VLAN allowed : 1 (default) 
Trunk port encapsulation: IEEE 802.1q                                                     
.........................

允許其它 vlan的報文通過(guò) Trunk 端口
[h3c101-GigabitEthernet0/2]port trunk permit vlan 200 300  #加入 vlan 200 300 
[h3c101-GigabitEthernet0/2]display interface GigabitEthernet 0/2
PVID: 1                                                                          
Mdi type: auto                                                                   
Port link-type: trunk                                                            
 VLAN passing : 1 (default), 200,300                                             
 VLAN allowed : 1 (default), 200,300                                             
 Trunk port encapsulation: IEEE 802.1q    

配置端口 GigabitEthernet0/2 的缺省 VLAN ID 為 1
[h3c101-GigabitEthernet0/2]port trunk pvid vlan 1            

#################################################################################
用戶(hù)相關(guān)
#
設置 telnet 用戶(hù)密碼
[H3C]user-interface vty 0
[H3C-vty0]set authentication password dongnan

設置web用戶(hù)名與密碼
[H3C]localuser admin admin 1

顯示當前用戶(hù)配置
[H3C]display user-interface 
  Idx    Type     Tx/Rx
  0      AUX 0    9600
+ 1      VTY 0   
  2      VTY 1   
+ 3      WEB 0   
  4      WEB 1   
  5      WEB 2   
  6      WEB 3  

  +    : Current user-interface is active.
  F    : Current user-interface is active and work in async mode.
  Idx  : Absolute index of user-interface.
  Type : Type and relative index of user-interface.

###############################################################
錯誤相關(guān)

[H3C]interface vlan-interface 300 
Cannot set management-vlan different with L3 interface vlan!

先刪除管理 VLAN 接口 
undo interface vlan-interface 1
管理VLAN要刪除掉. 默認是VLAN 1.  
undo management-vlan 
再添加新管理VLAN ID
management-vlan 300 
再次添加vlan接口
interface vlan-interface 300 
ip地址
ip address 192.168.5.101 255.255.255.0
網(wǎng)關(guān)
ip gateway 192.168.5.1

HW01_0.xy-yd-3526   : 這是交換機的名稱(chēng)
IP address 192.168.192.168 collision detected, sourced by 0013-d47a-46a9 on Ethernet0/7 of VLAN6 and 0010-e537-fe72 on Ethernet0/7 of VLAN6:  這是指兩個(gè)ip地址沖突. 具體在vlan6里, 7號端口下某個(gè)交換機上接的2臺電腦ip沖突了. 兩臺mac分別是,0013-d47a-46a9,0010-e537-fe72.

#Apr  5 03:38:28:058 2000 H3C ARP/5/DUPIP:- 1 -IP address 192.168.2.33 collision
 detected, sourced by 001b-b14e-cd44 on Ethernet1/0/2 of VLAN20 and d485-64b5-d6
e2 on Ethernet1/0/2 of VLAN20

%Apr  5 03:28:30:612 2000 H3C PTVL/5/WARNING:- 1 -The link partner of Ethernet1/
0/15 may be bad,sending lots of error packets !
該告警的含義為，對端設備端口可能出現故障，發(fā)送了大量的錯誤包過(guò)來(lái)，會(huì )影響業(yè)務(wù)，建議檢查兩邊的端口協(xié)商是否一致，如果不一致，調整兩邊端口協(xié)商模式，如果一致，建議更換端口。
看到這些信息后，不要重啟設備，收集如下信息：
dis int g1/0/25    //顯示3次這個(gè)端口的完整信息。

####################################################################################
注 意

華為的三層交換機（以S3500系列VRP3.1為例）上要各個(gè)VLAN間通信，只需要在VLAN接口視圖（注意：不是VLAN視圖）下給VLAN配置 IP地址，然后把該VLAN所屬的端口相連設備的默認網(wǎng)關(guān)設成是該VLAN的iP就可以了，不需要再做其它設置。各個(gè)VLAN之間配了IP地址以后，就相當于給三層交換機路由接口配置了IP地址，各個(gè)接口都是直連到三層交換機上，就是直連路由，可以直接發(fā)現的，不用再配路由協(xié)議。

華為三層交換機上進(jìn)行VLAN的配置，主要就是創(chuàng )建VLAN，端口劃分，三層VLAN接口地址配置，靜態(tài)路由或是RIP協(xié)議配置。

添加一個(gè)VLAN后，路由表里會(huì )默認增加2條Direct路由？
但是如果這個(gè)vlan下沒(méi)有其他網(wǎng)絡(luò )設備，比如沒(méi)插網(wǎng)線(xiàn)，那這條direct的路由就不會(huì )有，插上就有了(這個(gè)折磨了我好長(cháng)時(shí)間)
192.168.9.0/24     DIRECT   0    0           192.168.9.1     Vlan-interface90
192.168.9.1/32     DIRECT   0    0           127.0.0.1       InLoopBack0

配置 vlan 接口之前，首先要創(chuàng )建vlan,在配置管理 vlan 之前，首先要創(chuàng )建vlan

S5024E(二層交換機) 任何時(shí)刻只能有一個(gè) VLAN 對應的 VLAN 接口可以設置 IP 地址, VLAN 即為管理 VLAN。
該如果您想對 S5000E 進(jìn)行遠程管理,必須設置 S5000E 管理 VLAN 接口的 IP 地址。

三種類(lèi)型的端口可以共存在一臺設備上，但Trunk 端口和Hybrid 端口之間不能直接
切換，只能先設為Access 端口，再設置為其他類(lèi)型端口。例如：Trunk 端口不能直
接被設置為Hybrid 端口，只能先設為Access 端口，再設置為Hybrid 端口。
####################################################################################
一些列子

華為三層交換機配置實(shí)例一例
服務(wù)器1雙網(wǎng)卡，內網(wǎng)IP:192.168.0.1，其它計算機通過(guò)其代理上網(wǎng)
PORT1屬于VLAN1
PORT2屬于VLAN2
PORT3屬于VLAN3
VLAN1的機器可以正常上網(wǎng)
配置VLAN2的計算機的網(wǎng)關(guān)為：192.168.1.254
配置VLAN3的計算機的網(wǎng)關(guān)為：192.168.2.254
即可實(shí)現VLAN間互聯(lián)
如果VLAN2和VLAN3的計算機要通過(guò)服務(wù)器1上網(wǎng)
則需在三層交換機上配置默認路由
系統視圖下：ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
然后再在服務(wù)器1上配置回程路由
進(jìn)入命令提示符
route add 192.168.1.0 255.255.255.0 192.168.0.254
route add 192.168.2.0 255.255.255.0 192.168.0.254
這個(gè)時(shí)候vlan2和vlan3中的計算機就可以通過(guò)服務(wù)器1訪(fǎng)問(wèn)internet了~

命令如下：
一、組網(wǎng)需求：
交換機配置了4個(gè)VLAN，分別為VLAN1，VLAN2，VLAN3，VLAN4，要求VLAN1可以與VLAN2，3，4互訪(fǎng)，但是VLAN2，3，4之間不能互訪(fǎng)，用Hybrid端口屬性實(shí)現此功能。
二、組網(wǎng)圖：
無(wú)
三、配置步驟：
1.      創(chuàng )建VLAN2
[Quidway]vlan 2
2.      創(chuàng )建VLAN3
[Quidway-vlan2]vlan 3
3.      創(chuàng )建VLAN4
[Quidway-vlan3]vlan 4
4.      進(jìn)入端口Ethernet1/0/1
[Quidway-vlan4] interface Ethernet1/0/1  
5.      將端口設置為hybrid模式
[Quidway-Ethernet1/0/1]port link-type hybrid
6.      設置端口pvid為1
[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1
7.      允許VLAN1，2，3，4不打標簽通過(guò)
[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged
8.      進(jìn)入端口Ethernet1/0/2
[Quidway-Ethernet1/0/1]interface Ethernet1/0/2
9.      將端口設置為hybrid模式
[Quidway-Ethernet1/0/2]port link-type hybrid      
10.  設置端口pvid為2
[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2
11.  允許VLAN1，2不打標簽通過(guò)
[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged
12.  進(jìn)入端口Ethernet1/0/3
[Quidway-Ethernet1/0/2]interface Ethernet1/0/3  
13.  將端口設置為hybrid模式
[Quidway-Ethernet1/0/3]port link-type hybrid                       
14.  設置端口pvid為3
[Quidway-Ethernet1/0/3]port hybrid pvid vlan 3
15.  允許VLAN1，3不打標簽通過(guò)
[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged
16.  進(jìn)入端口Ethernet1/0/4
[Quidway-Ethernet1/0/3]interface Ethernet1/0/4
17.  將端口設置為hybrid模式                  
[Quidway-Ethernet1/0/4]port link-type hybrid
18.  設置端口pvid為4
[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4                     
19.  允許VLAN1，4不打標簽通過(guò)
[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged     
四、配置關(guān)鍵點(diǎn)：
1. 利用交換機以太網(wǎng)端口的Hybrid特性，可以實(shí)現PVLAN的功能。
2. 采用Hybrid屬性實(shí)現的PVLAN功能和PVLAN的工作機制存在較大差異，上述情況只適用于網(wǎng)絡(luò )流量，網(wǎng)絡(luò )用戶(hù)較少的應用