华为交换机经典配置

华为 3Com 8016交换机DHCP配置 1功能需求及组网说明 8016DHCP配置 配置环境参数1.DHCP server的IP地址192.168. 0.10/242.DHCP server连接在交换机G1/0/0，属于vlan100，网关即vlan100虚接口地址/243.交换机通过G1/0/1连接SwitchAG1/1，G1/0/2连接SwitchBG1/14.SwitchA通过G2/1连接SwitchC G1/15.vlan10的用户网段为/246.vlan20的用户网段为/247.vlan30的用户网段为/248.SwitchA和SwitchC为二层交换机，SwitchB为三层交换机组网需求1.8016作DHCP relay，利用远端DHCP server为SwitchA下面的vlan10分配IP地址2.SwitchB上的vlan20用户以8016上的vlan20虚接口为网关，8016作DHCP server直接为其分配IP地址3.SwitchC上的vlan30用户以SwitchB上的vlan30虚接口为网关，8016作DHCP server为其分配IP地址2数据配置步骤8016DHCP relay数据流程DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况，通过Relay，不同子网的用户可以到同一个DHCP server申请IP地址，这样便于地址池的管理和维护。【8016DHCP relay配置】1.DHCP server要配置到一个VLAN上，这个VLAN可以是任意的，但是要实现Relay，不要将Server同任何客户端配置到同一个VLAN内，建议专门划出VLAN给DHCP server组使用，这里将DHCP服务器组1对应的端口的VLAN配置为100。Quidway vlan 100Quidway-vlan100 port gigabitethernet 1/0/0Quidway interface vlanif 1002.配置DHCP server的网关地址Quidway-Vlanif100 ip address 3.配置DHCP服务器组1对应的IP地址。Quidway dhcp relay server-group 1 server 04.配置DHCP服务器组1服务的VLAN范围为10Quidway dhcp relay server-group 1 vlan 105. 进入G1/0/1，设置为trunk端口，允许vlan10通过Quidway-gigabitethernet 1/0/1 port trunk permit vlan 106.配置VLAN10的对应网关地址。Quidway interface vlanif 10Quidway-Vlanif10 ip address 8016作DHCP server数据流程内置DHCP server下挂的用户类型有两种：一种是S8016的VLAN用户，用户直接向S8016发起DHCP请求，这类称为VLAN地址池用户；另一种是中间经过了DHCP中继设备（例如MA5200设备），DHCP请求在到达S8016之前经过了DHCP relay，这类称为全局地址池用户。【8016vlan用户】1.用户所在VLAN ID为20，创建并进入VLAN配置视图。Quidway vlan 202.将VLAN 20用户地址分配方式设置为本地。Quidway-vlan20 address allocate local3.配置VLAN 20接口IP地址，同时指定了DHCP server可分配的地址资源为55。Quidway interface vlan 20Quidway-Vlanif20 ip address 4.S8016下挂了一台DNS服务器，IP地址是5，在S8016中设置DNS服务器的IP地址，同时将这个IP地址在地址池中禁止分配给用户。Quidway-vlan2 dhcp server forbidden-ip 5Quidway-vlan2 dns primary-ip 55. 进入G1/0/2，设置为trunk端口，允许vlan20通过Quidway-gigabitethernet 1/0/2 port trunk permit vlan 20【全局地址用户】1.创建全局地址池，并命名为“abc”，地址池用户网关地址为Quidway dhcp server ip-pool abc 2.配置路由IP信息Quidway dhcp server gateway abc 3.S8016下挂了另外一台DNS服务器，IP地址是5，在S8016中设置DNS服务器的IP地址，同时将这个IP地址在地址池中禁止分配给用户。Quidway dns primary-ip abc 5Quidway dhcp server forbidden-ip abc 54.配置VLAN200与SwitchB相应的虚接口vlan200在同一个网段Quidway interface vlanif 200Quidway-Vlanif200 ip address 【SwitchB相关配置】1.创建（进入）vlan30SwitchB vlan 302.将E0/1加入到vlan30SwitchB-vlan30port Ethernet 0/13.实际当中一般将上行端口设置成trunk属性，允许vlan透传SwitchB-GigabitEthernet2/1port link-type trunk4.允许SwitchC的vlan从G2/1端口透传通过SwitchB-GigabitEthernet2/1port trunk permit vlan 305.实际当中一般将上行端口设置成trunk属性，允许vlan透传SwitchB-GigabitEthernet1/1port link-type trunk6.允许所有膙lan从E0/3端口透传通过，也可以指定具体的vlan值SwitchB-GigabitEthernet1/1port trunk permit vlan 307.创建（进入）vlan30的虚接口SwitchBinterface Vlan-interface 308.给vlan30的虚接口配置IP地址SwitchB-Vlan-interface30ip address SwitchB9.定义一个DHCP serverSwitchBdhcp-server 0 ip SwitchB-Vlan-interface30dhcp-server010.创建（进入）vlan200的虚接口，vlan200用于SwitchB与8016互连SwitchBinterface Vlan-interface 20011.给vlan200的虚接口配置IP地址SwitchB-Vlan-interface200ip address 【SwitchC相关配置】1.创建（进入）vlan30SwitchC vlan 302.将E0/1加入到vlan30SwitchC-vlan30port Ethernet 0/13.实际当中一般将上行端口设置成trunk属性，允许vlan透传SwitchC-GigabitEthernet1/1port link-type trunk4.允许所有的vlan从E0/3端口透传通过，也可以指定具体的vlan值SwitchC-GigabitEthernet1/1port trunk permit vlan 303测试验证1.PC1、PC2和PC3都能够正确的获取IP地址和网关2.PC1、PC2和PC3都能够PING通自己的网关及DHCP server华为交换机端口镜像配置- 【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像（观测）端口SwitchAmonitor-port e0/82. 配置被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。SwitchA port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。SwitchA port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像1. 设置E1/0/15和E2/0/0为镜像（观测）端口SwitchA port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。SwitchA port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15SwitchA port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0基于流镜像的数据流程基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。【3500/3026E/3026F/3050】基于三层流的镜像1. 定义一条扩展访问控制列表SwitchAacl num 1012. 定义一条规则报文源地址为/32去往所有目的地址SwitchA-acl-adv-101rule 0 permit ip source 0 destination any3. 定义一条规则报文源地址为所有源地址目的地址为/32SwitchA-acl-adv-101rule 1 permit ip source any destination 04. 将符合上述ACL规则的报文镜像到E0/8端口SwitchAmirrored-to ip-group 101 interface e0/8基于二层流的镜像1. 定义一个ACLSwitchAacl num 200 2. 定义一个规则从E0/1发送至其它所有端口的数据包SwitchArule 0 permit ingress interface Ethernet0/1 (egress interface any)3. 定义一个规则从其它所有端口到E0/1端口的数据包SwitchArule 1 permit (ingress interface any) egress interface Ethernet0/14. 将符合上述ACL的数据包镜像到E0/8SwitchAmirrored-to link-group 200 interface e0/8【5516】支持对入端口流量进行镜像配置端口Ethernet 3/0/1为监测端口，对Ethernet 3/0/2端口的入流量镜像。SwitchAmirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1【6506/6503/6506R】目前该三款产品只支持对入端口流量进行镜像，虽然有outbount参数，但是无法配置。镜像组名为1，监测端口为Ethernet4/0/2，端口Ethernet4/0/1的入流量被镜像。SwitchAmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2【补充说明】1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现2. 8016支持跨单板端口镜像华为路由器qos car+nat+dhcp+vlan配置心得- 好久没有写博客了，也好久没有泡坛了，工作压力是大了很多，但实际上还是自己懒了很多，也比以前浮澡了很多，趁今天领导都去开会的机会，把昨天的帮客户解决网络问题的心得写一下，供大家参考，也希望大家提出宝贵意见。客户网络环境：一个小型办公网络，有两家公司（A、B）在一个写字楼办公，共申请一条4M独享VDSL专线（其中A是缴3M的专线费用，B是缴1M的专线费用），共60台电脑左右，各30台电脑，各三台非网管24口D-LINK交换机，一台华为1821路由器（1wan口，4lan口）。用户特殊需求：（1）、A、B不能互访。（2）、A、B都通过华为路由器DHCP获取地址。（3）、A、B带宽必须划分开，A享受3M带宽，B享受1M带宽（原来的时候B公司网络流量过大经常影响到A公司网络办公）。简单解决方案：根据现有网络条件，实际上仅通过华为1821路由器可以实现以上功能，具体实施如下：（1）、在华为路由器1821内部网关口（eth1/0）划分子接口（eth1/0.1、eth1/0.2），分别配置两个网关（、），并分别进行封装与vlan2、vlan3相对应。（2）、在华为路由器1821两个lan口（eth1/1、eth1/2）划分两个vlan(vlan2、vlan3)。（3）、分别在两个不同的逻辑子接口（eth1/0.1、eth1/0.2）配置nat并应用。（4）、分别在两个不同的逻辑子接口（eth1/0.1、eth1/0.2）配置dhcp，在同一物理接口针对两个vlan网络应用dhcp来分配两个不同的网段。（5）、由于该路由器lan口为二层端口，无法实现qos car限速，只能考虑在其唯一的内部网关接口（eth1/0）的子接口上实现qos car限速达到带宽限制的作用。（6）、配置wan口地址（X、X、X、X），配置static route地址，大功告成。（7）、配置用户登录（super、console、vty等）用户名及密码（这里仅配置密码模式）。（8）、测试并观察端口信息、负载信息等，随时调整相应策略，由于考虑到其设备处理能力及时间紧迫，并未增加太多策略（如ACL等）和功能。具体配置如下：#sysname Quidway#clock timezone gmt-12:000 minus 12:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20#web set-package force flash:/http.zip#radius scheme system#domain system#local-user *password cipher .*service-type telnet terminallevel 3service-type ftp#acl number 2000 配置nat Aclrule 0 permit source 55#acl number 3000 配置nat Aclrule 0 permit ip source 55acl number 3001 配置 Firewall Acl rule 0 deny ip destination 55acl number 3002 配置 Firewall Aclrule 0 deny ip destination 55#interface Ethernet1/0ip address dhcp-alloc#interface Ethernet1/0.1ip address dhcp select interface dhcp 应用于子接口dhcp server dns-list 0 15 firewall packet-filter 3001 inbound firewall ACL过滤应用于接口vlan-type dot1q vid 2 子接口封装dot1qqos car inbound any cir 4096000 cbs 204800 ebs 1000 green pass red discard 流量限速qos car 配置qos car outbound any cir 4096000 cbs 204800 ebs 1000 green pass red discard 流量限速qos car 配置#interface Ethernet1/0.2ip address dhcp select interface dhcp 应用于子接口dhcp server dns-list 0 15firewall packet-filter 3002 inbound firewall ACL过滤应用于接口vlan-type dot1q vid 3 子接口封装dot1qqos car inbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard 流量限速qos car 配置qos car outbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard 流量限速qos car 配置#interface Ethernet1/1port access vlan 2 将e1/1端口加入vlan2#interface Ethernet1/2port access vlan 3 将e1/1端口加入vlan2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet2/0 进入wan口配置ip address X、X、X、X 24nat outbound 3000nat outbound 2000#interface NULL0#FTP server enable#ip route-static y、y、y、y preference 60#user-interface con 0 用户登录配置authentication-mode passwordset authentication password cipher 0HB8%-MB%IQ1R,&6NQ!user-interface vty 0 4user privilege level 3set authentication password cipher 0HB8%-MB%IQ1R,&6NQ!#returnQuidway华为路由器和交换机配置地址转换- 一. 端口：路由器ethernet（以太口）、Serial（串口）、loopback（虚拟端口）交换机ethernet、vlan、loopback注意：交换机默认其24个端口全在vlan 1里面，交换机在给vlan配了ip之后就具有路由器的功能了。 另一个需要注意的是，所用的端口是否被shutdown了，如果被shutdown了，需要进入相应的端口执行undo shutdown。二. 配置ip除了交换机的以太口不可以配置ip外，其他端口都可以，配置方法相同。Quidway interface *（所要配置的端口，如vlan 1）Quidway-*ip add *.*.*.*（ip） *.*.*.*（掩码）/*（掩码位数，一般只在路由器上适用）三. NAT 上网（此命令是在VRP版本为3.4的路由器上测试的，在其他版本上是否适用，未经考察）组网图：R1 E0/2 E0/3 E0/1 E1:192.192.169.*/24 E0:/24 Ip:0/24 网关: Ip:1/24 网关: Ip:2/24 网关: Ip:3/24 网关: PCA PCB PCC E0/4 To internet PCD S1 E0/5 NAPT工作过程：P191.用地址池的方法上网：首先配置路由器的接口的ip地址， 然后配置地址转换，把所有内网地址转换成所配置的地址池中的地址，参考命令如下：R1acl number 2000 /在vrp为3.4的路由器上，2000-2999表示basic acl R1-acl-basic-2000rule permit source 55（地址掩码的反码）R1-acl-basic-2000rule deny source any#这个访问控制列表定义了IP源地址为/24的外出数据包 R1nat address-group 1（地址池的组号）0 5 #这条命令定义了一个包含6个公网地址（1015）的地址池，地址池代号为1 R1 interface e 1R1-Ethernet1 nat outbound 2000（acl的编号） address-group 1 （地址池的代号） R1ip route-static （千万不要忘记这一步，！） #上面设置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。2.共用一个ip上网首先配置路由器的接口的ip地址，参考命令如下：systemRoutersysname R1R1interface e0R1-Ethernet0ip add 24R1interface e1R1-Ethernet1ip add 0 24 /这里假设出口ip是0然后配置地址转换，参考命令如下：R1acl number 2000 /在vrp为3.4的路由器上，2000-2999表示basic aclR1-acl-basic-2000rule permit source 55（地址掩码的反码）R1-acl-basic-2000rule deny source any#这个访问控制列表定义了IP源地址为/24的外出数据包R1 interface e 1R1-Ethernet1nat server protocol tcp global 0（E1的ip） inside （内网网关E0的ip） R1-Ethernet1 nat outbound 2000（acl的编号） R1ip route-static #上面设置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。注：有的组网图可能会复杂一些，比如交换机上划分了vlan，需要在路由器上添加到交换机的路由 四、配置路由1.默认路由Quidwayip route-static （目的地址）（地址掩码）*.*.*.*（下一条地址）2.静态路由Quidwayip route-static *.*.*.*（目的地址）*.*.*.*（地址掩码）*.*.*.*（下一条地址）3. rip（交换机和路由器的配置相同）QuidwayripQuidway-ripnetwork *.*.*.*（所要启动rip协议的端口的网络号）4. ospf（交换机和路由器的配置相同）Quidwayrouter id *.*.*.*QuidwayospfQuidway-ospfarea * （启动ospf的自治区域）Quidway-ospf-area-0.0.0.* network *.*.*.*（所要启动rip协议的端口的网络号）*.*.*.*（网络掩码的反码）注：要注意交换机/路由器对应端口所在的自治区域。帧在网络通信中的变化 端口镜像：将某些指定端口（出或入方向）的数据流量映射到监控端口，以便集中使用数据捕获软件进行数据分析S1inter e 0/13S1-Ethernet0/13port link type TrunkS1-Ethernet0/13port trunk permit VLAN 2 3 这样E0/13既属于VLAN2又属于VLAN3，“Tagged”表示从该端口通过的保温都要打上IEEE802.1q标记，用于标记该报文所属的VLAN。 区域内，每台路由器描述的是自己能够确保正确的信息-自己周边的网络拓扑结构-无论路由器位于网络中什么位置，都可以准确无误得接收到全网的拓扑结构图；OSPF 根据收集到的链路状态用最短路径树算法计算路由，从算法上本身保证了不会生成自环路由；当网络拓扑结构发生变化时，会有一台或多台路由器感知到这一变化，重新描述网络拓扑结构，并将其通知给其它路由器，每个路由器收到更新信息后，都会立即重新运行最短路径树算法，得到新的路由。 区域间，通过ABR将一个区域内已计算出的路由封装成Type3类的LSA发送到另一个区域中来传递路由信息。此时的OSPF是基于D-V算法的。为消除自环，所有ABR将本区域内的路由信息封装成LSA后统一发送给骨干区域，再由骨干区域将这些信息发送给其他区域，骨干区域内每一条LSA都确切知道生成者信息（所有区域必须和骨干区域相连，骨干区域自身也必须是连通的）。所以就不会产生路由自环。 服务器00 我要用的ip：13；网关： 附： display ip routing ip route-static *.*.*.* (目标ip) *.*.*.* (掩码) *.*.*.*(下一条ip) ip route *.*.*.* (目标ip) *.*.*.* (掩码) *.*.*.*(下一条ip) undo ip route-static *.*.*.* (目标ip) *.*.*.* (掩码) *.*.*.*(下一条ip) import-route static 将静态路由引入ospf display ospf lsa 假如S1上的vlan3与R1的e0/0相连，要设定其Metric值为100 S1inter vlan3 S1-Vlan-interface3ospf cost 100 R1inter e 0/0 R1-Ethernet0ospf cost 100 R1tracert *.*.*.* (目标ip) 1 ip1 2 ip2 3 ip3 说明R1到达目标先到ip1再到ip2再到ip3(目标)，由此可得出最短路径树 查看交换机的地址：display arp华为路由器交换机VLAN配置实例- 使用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。实现防火墙策略，和访问控制（ACL）。 方案说明：四台PC的IP地址、掩码如下列表： P1 网关IP 为 P2 网关IP 为 P3 网关IP 为 P4 网关IP 为路由器上Ethernet0的IP 为Ethernet1的IP 为firewall 设置默认为deny实施命令列表：交换机上设置，划分VLAN：sys/切换到系统视图Quidwayvlan enableQuidwayvlan 2Quidway-vlan2port e0/1 to e0/8Quidway-vlan2quit/默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2Quidwayvlan 3Quidway-vlan3port e0/9 to e0/16Quidway-vlan3quit/指定交换机的e0/9 到e0/16八个端口属于VLAN3Quidwaydis vlan allQuidwaydis cu路由器上设置，实现访问控制：Routerinterface ethernet 0Router-Ethernet0ip address Router-Ethernet0quit/指定ethernet 0的ipRouterinterface ethernet 1Router-Ethernet1ip address Router-Ethernet1quit/开启firewall，并将默认设置为denyRouterfire enableRouterfire default deny/允许访问/firewall策略可根据需要再进行添加Routeracl 101Router-acl-101rule permit ip source destination Router-acl-101quit/启用101规则Router-Ethernet0fire pa 101Router-Ethernet0quitRouter-Ethernet1fire pa 101Router-Ethernet1quit华为三层以太网交换机基本原理及转发流程- 1. 二层转发流程1.1. MAC地址介绍MAC 地址是48 bit 二进制的地址，如：00-e0-fc-00-00-06。可以分为单播地址、多播地址和广播地址。单播地址：第一字节最低位为0，如：00-e0-fc-00-00-06多播地址：第一字节最低位为1，如：01-e0-fc-00-00-06广播地址：48 位全1，如：ff-ff-ff-ff-ff-ff注意：1）普通设备网卡或者路由器设备路由接口的MAC 地址一定是单播的MAC 地址才能保证其与其它设备的互通。2） MAC 地址是一个以太网络设备在网络上运行的基础，也是链路层功能实现的立足点。1.2. 二层转发介绍交换机二层的转发特性，符合802.1D 网桥协议标准。交换机的二层转发涉及到两个关键的线程：地址学习线程和报文转发线程。学习线程如下：华为认证技术文章21）交换机接收网段上的所有数据帧，利用接收数据帧中的源MAC 地址来建立MAC 地址表；2）端口移动机制：交换机如果发现一个包文的入端口和报文中源MAC地址的所在端口不同，就产生端口移动，将MAC 地址重新学习到新的端口；3）地址老化机制： 如果交换机在很长一段时间之内没有收到某台主机发出的报文，在该主机对应的MAC 地址就会被删除，等下次报文来的时候会重新学习。注意： 老化也是根据源MAC 地址进行老化。报文转发线程:1）交换机在MAC 地址表中查找数据帧中的目的MAC 地址，如果找到，就将该数据帧发送到相应的端口，如果找不到，就向所有的端口发送；2）如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同，则丢弃该报文；3）交换机向入端口以外的其它所有端口转发广播报文。1.3. VLAN二层转发介绍报文转发线程:引入了VLAN 以后对二层交换机的报文转发线程产生了如下的影响：1）交换机在MAC 地址表中查找数据帧中的目的MAC 地址，如果找到（同时还要确保报文的入VLAN 和出VLAN 是一致的），就将该数据帧发送到相应的端口，如果找不到，就向（VLAN 内）所有的端口发送；2）如果交换机收到的报文中源MAC 地址和目的MAC 地址所在的端口相同，则丢弃该报文；3）交换机向（VLAN 内）入端口以外的其它所有端口转发广播报文。以太网交换机上通过引入VLAN，带来了如下的好处：1）限制了局部的网络流量， 在一定程度上可以提高整个网络的处理能力。2）虚拟的工作组，通过灵活的VLAN 设置，把不同的用户划分到工作华为认证技术文章3组内；3）安全性，一个VLAN 内的用户和其它VLAN 内的用户不能互访，提高了安全性。另外，还有常见的两个概念VLAN 的终结和透传， 从字面意思上就可以很好的了解这两个概念。所谓VLAN 的透传就是某个VLAN 不仅在一台交换机上有效，它还要通过某种方法延伸到别的以太网交换机上，在别的设备上照样有效；终结的意思及相对，某个VLAN 的有效域不能再延伸到别的设备，或者不能通过某条链路延伸到别的设备。VLAN 透传可以使用802.1Q 技术，VLAN 终结可以使用PVLAN 技术。IEEE802.1Q 协议是VLAN 的技术标准,主要是修改了标准的帧头，添加了一个tag 字段，其中包含了VLAN ID 等VLAN 信息，具体实现这里不谈，如果有兴趣可以看相关的标准和资料。注意：在Trunk 端口转发报文的时候，如果报文的VLAN Tag 等于端口上配置的默认VLAN ID，则该报文的Tag 应该去掉，对端收到这个不带Tag 信息的报文后， 从端口的PVID 获得报文的所属VLAN 信息，因此配置的时候必须保证连接两台交换机之间的一条Trunk 链路两端的PVID 设置相同。为什么要去Tag 呢？这样做是为了保证一般的用户插到Trunk 上以后，仍旧可以正常通信，因为普通用户无法识别带有802.1Q Vlan 信息的报文。使用802.1Q 技术可以很好的实现VLAN 的透传，可是有的时候需要把VLAN 终结掉，也就是说这个VLAN 边界在哪里终止，PVLAN 技术可以很好的实现这个功能， 同时达到节省VLAN 的目的。cisco 的PVLAN 意思是private vlan，而我们的PVLAN 意思是primary vlan。这里的VLAN 有两类：Primary vlan 和secondary vlan（子VLAN）。实现了接入用户二层报文的隔离，同时上层交换机下发的报文可以被每一个用户接收到，简化了配置，节省了VLAN 资源。具体实现这里不谈，如果有兴趣可以相关资料。华为认证技术文章4下面谈谈三层交换流程。用VLAN 分段，隔离了VLAN 间的通信，用支持VLAN 的路由器（三层设备）可以建立VLAN 间通信。但使用路由器来互联企业园区网中不同的VLAN 显然不合时代的潮流。因为我们可以使用三层交换来实现。差别1（性能）：传统的路由器基于微处理器转发报文，靠软件处理，而三层交换机通过ASIC 硬件来进行报文转发，性能差别很大；差别2（接口类型）：三层交换机的接口基本都是以太网接口，没有路由器接口类型丰富；差别3：三层交换机，还可以工作在二层模式，对某些不需路由的包文直接交换，而路由器不具有二层的功能。首先让我们看一下设备互通的过程：如图所示：交换机上划分了两个VLAN，在VLAN1，VLAN 2 上配置了路由接口用来实现vlan1 和 vlan 2 之间的互通。A 和B 之间的互通（以A 向B 发起ping 请求为例）：1） A 检查报文的目的IP 地址，发现和自己在同一个网段；2） A-B ARP 请求报文，该报文在VLAN1 内广播；3） B-A ARP 回应报文；4） A-B icmp request;5） B-A icmp reply;A 和C 之间的互通