模块二 交换技术

Module2交换技术《网络互联技术》任务2.1

认识交换机交换机分类交换机接口交换机指示灯交换机基本功能交换机工作原理在网络集成项目中会应用到各类交换机，熟悉交换机的外部特征、种类、接口类型、指示灯状态及功能原理等基本常识，能够为其在设备选型、方案设计、故障排除等运维工作中提供基本的判断。本次任务介绍交换机的外观特征及工作原理，初步认识交换机的功能特性。任务背景准备知识1.交换机分类

网管型交换机产品提供了基于终端控制口、基于Web页面以及支持Telnet远程登录网络等多种网络管理方式。因此网络管理人员可以对该交换机的工作状态、网络运行状况进行本地或远程的实时监控，并通过相关技术的配置应用来对网络进行管理。非网管完成交换机最基本的通信功能，不能通过交换机对网络进行控制和管理。可网管通过对交换机进行配置，使网络实现相应的通信需求。可否管理2.交换机接口（1）接口分类业务接口：主要承担业务数据的接收和发送。以太网电接口：主要用于连接终端或设备互连。以太网光接口：主要用于设备互连或连接服务器。管理接口通常意义上的管理接口是指Console接口，需配套使用Console通信线缆连接配置终端的COM接口，基于CLI的方式来进行现场配置。监控口用于监控机柜门、设备电源或备用电源等设备的接口。华为仅部分交换机支持监控口。2.交换机接口序号名称描述1电源模块槽位安装电源模块2插卡槽位安装以太网光接口插卡3ESD插孔在对交换机设备进行安装维护操作时需要佩戴防静电腕带，防静电腕带的一端要插在机箱上的ESD插孔里4Console接口管理接口，与配置终端的COM串口连接，用于搭建现场配置环境5ETH接口管理接口，与配置终端网口连接，用于搭建现场或远程配置环境6USB接口配合U盘使用，可用于开局、传输配置文件、升级文件等7以太网电接口24个10/100/1000BASE-T以太网电接口，用于十兆/百兆/千兆业务数据的接收和发送8接地螺钉配套使用接地线缆9监控口用于监控机柜门、设备电源、电池电量和空调电源华为S5700-28C-HI外观华为S5700-28C-HI外观2.交换机接口（2）自协商功能链路两端的设备通过交互信息自动选择同样的接口双工模式和速率。协商的结果取决于通信能力低的一端。华为交换机以太网接口工作在自协商模式。3.交换机指示灯了解交换机面板上各类指示灯的状态及含义，有助于判断设备的运行状态。业务接口指示灯有Status（默认状态）、Speed（速率状态）和Stack（堆叠状态）三种显示模式，面板上的模式切换按钮MODE可以对这三种模式进行切换。MODE呈绿色，进入Speed模式，业务接口指示灯暂时用来显示各接口的速率状态。MODE呈红色，进入Stack模式，业务接口指示灯暂时用来显示堆叠信息。MODE常灭，为默认模式Status。3.交换机指示灯华为S5700-28C-HI交换机面板指示灯序号名称颜色状态含义1电源指示灯PWR1/PWR2—常灭电源槽位无电源模块/电源供电异常绿色常亮电源槽位安装了电源模块且电源供电正常红色常亮电源模块开关未开/电源未接通/电源模块故障2系统运行状态灯SYS—常灭系统未运行绿色快闪系统正在启动/USB升级系统或部署业务慢闪系统正常运行中黄色闪烁USB升级重启后SYS灯黄色闪烁，表示升级成功红色常亮系统不正常运行/风扇、温度异常告警闪烁USB升级出现错误3ETH接口指示灯—常灭ETH接口无连接绿色常亮ETH接口有连接闪烁接口在发送或接收数据4模式切换灯MODE—常灭业务接口指示灯为默认模式绿色常亮业务接口指示灯暂时用来指示接口的速率红色常亮常亮：表示业务接口指示灯暂时用来指示设备堆叠ID5业务接口指示灯（Status）—常灭Status模式：接口无连接或被关闭绿色常亮接口有连接黄色闪烁接口在发送或接收数据业务接口指示灯（Speed）—常灭接口无连接或被关闭。绿色和黄色常亮10M/100M/1000M接口：接口工作在10M/100M速率100M/1000M接口：接口工作在100M速率绿色和黄色闪烁10M/100M/1000M接口：接口工作在1000M速率100M/1000M接口：接口工作在1000M速率业务接口指示灯（Status）—常灭接口指示灯不表示设备的堆叠ID绿色和黄色常亮表示该设备为非主交换机绿色和黄色闪烁表示该设备是主交换机4.交换机基本功能（1）MAC地址学习交换机可以识别每个接口上所接收的数据帧的源MAC地址，并将该MAC地址和接口的对应关系存储到MAC地址表中。MAC地址表的每条表项可以理解为交换机接口与接口所连设备（MAC地址）的对应关系。PC间相互通信的过程中，交换机自动完成了其对所连设备MAC地址的学习。4.交换机基本功能（2）转发/过滤转发：当交换机某个接口上收到数据帧后，在MAC地址表中查询目的MAC地址，若有记录则从指定的接口转发；若无记录，即交换机收到了未知目的MAC的数据帧，则将该数据帧从其它所有激活的接口（接收该帧的接口除外）转发出去，此过程称为泛洪。另外交换机在收到广播帧时，也要进行泛洪。（1）PC1访问PC2的数据帧到达交换机后，交换机查询目标主机PC2的MAC在MAC地址表中，则将该帧只从对应接口E2转发。

（2）PC1访问MAC地址为A1-B1-C1-00-00-05的主机时，MAC地址表中无该目的MAC的记录，则将该帧从E2、E3和E4都转发出去。4.交换机基本功能（2）转发/过滤过滤：当交换机查询到目的MAC对应的接口为该数据帧的入接口时，则丢弃该帧。交换机S1的MAC地址表中已记录了PC1、PC2的MAC地址和E1接口的对应关系。当PC1访问PC2时，如果交换机S1的E1接口收到了该数据帧，目的MAC对应的接口也为E1，则交换机S1丢弃该数据帧。5.交换机工作原理（1）初始环境为简化描述，假设每台PC的ARP缓存表都已记录了其它PC的MAC地址。模拟通信过程为PC1pingPC4，来介绍交换机的工作原理。5.交换机工作原理（2）工作原理交换机加电启动后，MAC地址表为空。5.交换机工作原理（2）工作原理交换机加电启动后，MAC地址表为空。交换机从E1接收到PC1发往PC4的ICMP数据包后，将源MAC地址和入接口的对应关系添加到MAC地址表；5.交换机工作原理（2）工作原理交换机加电启动后，MAC地址表为空。交换机从E1接收到PC1发往PC4的ICMP数据包后，将源MAC地址和入接口的对应关系添加到MAC地址表；交换机查询MAC地址表中没有目的主机PC4的MAC的记录，则进行泛洪。只有目标主机接收，其余主机丢弃；5.交换机工作原理（2）工作原理交换机加电启动后，MAC地址表为空。交换机从E1接收到PC1发往PC4的ICMP数据包后，将源MAC地址和入接口的对应关系添加到MAC地址表；交换机查询MAC地址表中没有目的主机PC4的MAC的记录，则进行泛洪。只有目标主机接收，其余主机丢弃；PC4向PC1发送ICMP应答包，交换机从E4接收，并将源MAC地址和入接口的对应关系添加到MAC地址表中；5.交换机工作原理（2）工作原理交换机加电启动后，MAC地址表为空。交换机从E1接收到PC1发往PC4的ICMP数据包后，将源MAC地址和入接口的对应关系添加到MAC地址表；交换机查询MAC地址表中没有目的主机PC4的MAC的记录，则进行泛洪。只有目标主机接收，其余主机丢弃；PC4向PC1发送ICMP应答包，交换机从E4接收，并将源MAC地址和入接口的对应关系添加到MAC地址表中；交换机查询MAC地址表中有目的主机PC1的MAC记录，因此不会泛洪，将该帧只从E1转发出去。6.任务实施：认识交换机（1）了解交换机的外观特征、接口类型；（2）理解交换机的工作原理。（一）任务目的

某公司通过交换机互连各用户主机搭建小型办公网络。观察交换机的外观特征，识别接口类型和指示灯类型。PC配置网络参数，进行通信测试来观察MAC地址表的构造过程，理解交换机的工作原理。（二）任务描述（1）拓扑图（2）操作流程认识交换机外观特征：识别各接口类型和各类指示灯；PC配置网络参数，通过ping命令依次发起通信，观察MAC地址表的构造过程；交换机MAC地址表构建完成后，通过抓包工具，查看接口数据流。（三）实施规划6.任务实施：认识交换机（四）操作步骤MAC地址表构造交换机外观特征（略）<Huawei>displaymac-address

//交换机加电启动---空---SW1查看MAC地址表：6.任务实施：认识交换机（四）操作步骤MAC地址表构造交换机外观特征（略）PC>pingping:32databytes,PressCtrl_CtobreakFrom:bytes=32seq=1ttl=128time=47msFrom:bytes=32seq=2ttl=128time=63ms------PC1pingPC4：6.任务实施：认识交换机<SW1>displaymac-addressMACaddresstableofslot0:--------------------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-ID

VSI/SI

MAC-Tunnel--------------------------------------------------------------------------------------------5489-9859-12c11--GE0/0/1dynamic0/-5489-98c2-45a71--GE0/0/4dynamic0/-

--------------------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=2SW1查看MAC地址表：（四）操作步骤MAC地址表构造交换机外观特征（略）PC>ping10.1.1.3ping:32databytes,PressCtrl_CtobreakFrom:bytes=32seq=1ttl=128time=46msFrom:bytes=32seq=2ttl=128time=47ms------PC2pingPC3：6.任务实施：认识交换机<SW1>displaymac-addressMACaddresstableofslot0:--------------------------------------------------------------------------------------------MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-ID

VSI/SI

MAC-Tunnel--------------------------------------------------------------------------------------------5489-9859-12c11--GE0/0/1dynamic0/-5489-98c2-45a71--GE0/0/4dynamic0/-5489-9841-2bd6

1--GE0/0/2dynamic0/-5489-9830-4ef71--

GE0/0/3dynamic0/-

-------------------------------------------------------------------------------Totalmatchingitemsonslot0displayed=4SW1的MAC地址表构造完成：（五）实验测试

数据抓包接口开启抓包功能SW1的GE0/0/2接口开启抓包功能：6.任务实施：认识交换机（五）实验测试数据抓包接口开启抓包功能数据捕获窗口：6.任务实施：认识交换机过滤器输入“ICMP”，并点击应用，表示只查看ICMP数据包。（五）实验测试数据抓包接口开启抓包功能PC1pingPC3或PC1pingPC4，此时数据捕获窗口依然为空。PC1pingPC2，数据捕获窗口匹配了ICMP数据流量。6.任务实施：认识交换机在PC之间的通信过程中，交换机通过记录源MAC地址，完成了MAC地址表的构建；启动数据抓包功能，可以查看设备接口下相关协议的流量信息。（六）结果分析eNSP模拟器中S5700-28C-HI设备不支持插卡，实际环境中可根据需要选用插卡；在进行数据抓包测试时，可以基于通信协议进行筛选，以便快速定位相关信息。（七）注意事项6.任务实施：认识交换机Module2交换技术《网络互联技术》任务2.2

交换机管理交换机管理方式telnet管理配置流程telnet功能配置命令网络搭建完成后，管理人员需要对网络设备进行日常维护。如果管理人员只能亲临现场进行操作，势必会增加工作负担。尤其是在网络设备数量众多，且分散在不同区域的情形下，维护工作将更加繁琐。管理人员对网络设备配置远程管理功能后，可通过网络环境实施远程操作，能够为日后的维护工作提供了极大的便利。本次任务介绍telnet管理交换机的三种方式及配置方法。任务背景准备知识1.交换机管理方式用户对设备的管理有GUI图形界面方式和CLI命令行方式。GUI方式：通过设备内置的Web服务器提供图形化的操作界面；可实现对设备部分功能的管理与维护。CLI方式：命令行操作界面；主要类型有Console接口管理及Telnet、SSH等远程管理等方式。1.交换机管理方式（1）Console接口管理对于新出厂的设备，PC端需要通过控制台端口（Console接口）登录设备进行首次配置。物理连接上采用专用的配置线缆（Console线缆）连接交换机的Console接口和PC端的COM口。PC端通过终端控制程序对设备进行配置和调试。序号参数名称缺省值说明1传输速率9600bit/s不同设备的传输速率值可能不同2流控方式不进行流控

3校验方式不进行校验

4停止位1

5数据位8物理连接通信参数设置1.交换机管理方式（2）Tenlet管理计算机与交换机之间网络可达，并且交换机开启并授权telnet远程管理功能，计算机就可对设备进行远程管理。网络拓扑2.telnet管理配置流程缺省情况下，交换机未配置Telnet管理功能，需要先通过Console接口本地登录设备配置Telnet服务及用户信息。Telnet功能配置流程如下：配置VTY用户界面的支持协议类型；配置VTY用户界面的认证方式：None认证：登录时不需要输入任何认证信息，可直接登录设备；Password认证：也称密码认证，登录时需输入正确的认证密码即可；AAA认证：登录时需输入AAA用户名和密码。配置登录用户的相关信息，如用户级别、登录密码或帐号信息等。3.telnet功能配置命令（1）配置VTY用户界面所支持的协议命令：protocolinbound{all|ssh|telnet}

说明：all表示同时支持ssh和telnet视图：VTY用户界面视图举例：配置交换机S1的VTY用户界面支持telnet协议。[S1]user-interfacevty04//进入VTY用户界面视图，“04”代表可同时在线5个用户[S1-ui-vty0-4]protocolinboundtelnet//VTY用户界面支持telnet（2）设置登录用户界面的认证方式命令：authentication-mode{aaa|password|none}

说明：登录用户界面必须配置验证方式，否则用户无法登录设备。视图：VTY用户界面视图举例：设置交换机S1telnet登录用户验证方式为none；S2telnet登录用户验证方式为password；S3telnet登录用户验证方式为AAA。[S1]user-interfacevty04[S1-ui-vty0-4]authentication-modenone

[S2]user-interfacevty04[S2-ui-vty0-4]authentication-modepassword[S3]user-interfacevty04[S3-ui-vty0-4]authentication-modeaaa3.telnet功能配置命令（3）配置登录用户的相关信息配置用户级别（适用于None认证、Password认证）命令：userprivilegelevellevel说明：取值0-15（0为参观级；1为监控级；2为配置级；3-15为管理级）视图：VTY用户界面视图举例：设置交换机S1用户级别为3。[S1]user-interfacevty04[S1-ui-vty0-4]userprivilegelevel3

3.telnet功能配置命令（3）配置登录用户的相关信息配置认证密码（适用于Password认证）命令：setauthenticationpassword{simple|cipher}password

说明：simple明文，cipher密文视图：VTY用户界面视图举例：设置交换机S2验证密码为huawei123，用户级别为3。[S2]user-interfacevty04[S2-ui-vty0-4]setauthenticationpasswordsimplehuawei123

[S2-ui-vty0-4]userprivilegelevel3

3.telnet功能配置命令（3）配置登录用户的相关信息配置AAA用户信息创建AAA用户命令：local-useruser-namepassword{simple|cipher}password说明：simple明文，cipher密文视图：AAA视图配置AAA用户的服务类型命令：local-useruser-nameservice-type{http|ssh|telnet|...}

说明：缺省情况下，本地用户关闭所有的接入类型；视图：AAA视图配置用户级别命令：local-useruser-nameprivilegelevellevel说明：取值0-15,值越大权限越高；视图：AAA视图3.telnet功能配置命令（3）配置登录用户的相关信息配置AAA用户信息举例：S3配置AAA认证用户信息，用户名huawei，密码huawei123，用户级别为3。[S3]aaa

//进入AAA视图[S3-aaa]local-userhuaweipasswordsimplehuawei123

//设置用户名和密码[S3-aaa]local-userhuaweiservice-typetelnet

//设置用户接入类型为telnet[S3-aaa]local-userhuaweiprivilegelevel3

//设置用户级别为33.telnet功能配置命令4.任务实施：交换机管理（1）理解telnet远程管理设备的意义；（2）掌握交换机telnet管理的配置方法。（一）任务目的

某企业网络有多台交换机支撑着内部网络的通信，但交换机分散在不同的区域。通过给设备配置telnet远程管理功能，为日后的管理维护工作提供便利。（二）任务描述（1）拓扑图（2）操作流程配置交换机及PC的IP地址，保证PC与交换机网络可达；交换机按要求配置telnet远程登录功能。VTY用户界面的认证方式分别为：S1：None认证；S2：Password认证（密码：huawei!23）；S3：AAA认证

（用户名:huawei，密码:huawei!23）。（三）实施规划4.任务实施：交换机管理（四）操作步骤<Huawei>system-view

[Huawei]sysnameS1

//修改设备名称[S1]interfacevlanif1

//进入VLANIF1接口配置视图[S1-Vlanif1]ipaddress24

//配置交换机管理地址S1配置：<Huawei>system-view

[Huawei]sysnameS2

[S2]interfacevlanif1

[S2-Vlanif1]ipaddress192.168.10.224

S2配置：<Huawei>system-view

[Huawei]sysnameS3

[S3]interfacevlanif1

[S3-Vlanif1]ipaddress192.168.10.324

S3配置：S1配置None认证配置网络参数S2配置Password认证

S3配置AAA认证4.任务实施：交换机管理（四）操作步骤[S1]user-interfacevty04

//进入VTY用户界面配置视图

[S1-ui-vty0-4]protocolinboundtelnet

//配置VTY用户界面所支持的协议[S1-ui-vty0-4]authentication-modenone

//配置VTY验证方式为none[S1-ui-vty0-4]userprivilegelevel3

//配置登录用户级别S1配置None认证：S1配置None认证配置网络参数S2配置Password认证

S3配置AAA认证4.任务实施：交换机管理（四）操作步骤[S2]user-interfacevty04 [S2-ui-vty0-4]protocolinboundtelnet[S2-ui-vty0-4]authentication-modepassword

//配置VTY验证方式为password[S2-ui-vty0-4]setauthenticationpasswordsimplehuawei!23

//配置登录密码[S2-ui-vty0-4]userprivilegelevel3S2配置Password认证：S1配置None认证配置网络参数S2配置Password认证

S3配置AAA认证4.任务实施：交换机管理（四）操作步骤S1配置None认证配置网络参数S2配置Password认证S3配置AAA认证[S3]user-interfacevty04[S3-ui-vty0-4]protocolinboundtelnet

[S3-ui-vty0-4]authentication-modeaaa

//配置VTY验证方式为AAA[S3-ui-vty0-4]quit[S3]aaa

//进入AAA视图[S3-aaa]local-userhuaweipasswordcipherhuawei!23

//配置AAA用户名和密码[S3-aaa]local-userhuaweiservice-typetelnet

//配置用户接入类型[S3-aaa]local-userhuaweiprivilegelevel3S3配置AAA认证：4.任务实施：交换机管理（五）实验测试PC使用telnet客户端工具进行测试PCtelnet登录S14.任务实施：交换机管理（五）实验测试PC使用telnet客户端工具进行测试PCtelnet登录S24.任务实施：交换机管理（五）实验测试PC使用telnet客户端工具进行测试PCtelnet登录S34.任务实施：交换机管理PC通过telnet客户端程序，以三种方式分别成功登录到各交换机。从telnet登录过程也可以看出，AAA认证方式相对更安全。（六）结果分析默认情况下，交换机所有端口都属于VLAN1，本次实验交换机的管理IP在VLANIF1接口下配置。交换机可以同时有多个telnet会话，“vty04”定义了vty0~vty4共5条telnet会话连接，可以允许5个用户同时通过vty登录交换机。Telnet缺少安全的认证方式，而且传输过程采用TCP进行明文传输，存在安全隐患。对于安全性较高的网络，建议采用STelnet方式。（七）注意事项4.任务实施：交换机管理Module2交换技术《网络互联技术》任务2.3

交换机VLAN的划分冲突域和广播域VLAN技术VLAN配置流程VLAN基本配置命令随着局域网内节点数量的增多、各类网络服务的应用部署以及视频、语音等流量的通信融合，使网络中的数据量激增，若不加以管理控制，会造成通信效率低、带宽浪费、通信安全等诸多问题。使用VLAN技术实现二层隔离，结合三层子网划分，可以有效地减少网络中的广播流量，也便于实现通信流量的管控。本次任务介绍二层VLAN技术的基本原理和配置方法。任务背景准备知识1.冲突域和广播域（1）冲突域共享介质上所有节点的集合。各节点之间在通信过程会发生信道冲突。所有接口对应一个冲突域一个接口对应一个冲突域1.冲突域和广播域（2）广播域广播帧传递的范围。一个节点可以接收到其它任意节点发出的广播帧。所有接口对应一个广播域所有接口对应一个广播域1.冲突域和广播域缩小冲突域、广播域的范围能够提升网络的通信性能；冲突域方面，交换机将冲突域缩小至一个接口连接的网络范围；广播域方面，交换机（初始状态）和集线器相同，所有接口对应一个广播域。分割广播域VLAN技术2.VLAN技术（1）VLAN基本概念VLAN是在一个物理网络上划分出来的逻辑网络。可依照功能、部门等因素划分逻辑工作组。每个逻辑网络对应一个广播域。VLAN内的成员不受物理位置限制。VLAN内的成员之间可以互相访问，不同VLAN之间的成员不能访问。VLAN概念示意图2.VLAN技术（2）VLAN技术原理在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口。划分了VLAN的交换机收到广播帧后，只转发到属于同一VLAN的其他端口。交换机划分VLAN后，相当于逻辑上将其切割成若干个“小交换机”。VLAN的划分有多种方法，最常用的是将交换机端口作为划分的对象。交换机未划分VLAN的广播帧转发交换机划分VLAN后的广播帧转发2.VLAN技术（2）VLAN技术原理在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口。划分了VLAN的交换机收到广播帧后，只转发到属于同一VLAN的其他端口。交换机划分VLAN后，相当于逻辑上将其切割成若干个“小交换机”。VLAN的划分有多种方法，最常用的是将交换机端口作为划分的对象。交换机划分VLAN后的逻辑结构3.VLAN配置流程VLAN技术配置流程如下：创建VLAN；设置接口的链路类型；接口加入到VLAN。4.VLAN基本配置命令（1）创建VLAN创建单个VLAN命令：vlanvlan-id说明：vlan-id为VLAN的编号，范围为1-4094视图：系统视图举例：交换机创建VLAN10。<Huawei>system-view//系统视图[Huawei]vlan10//创建VLAN10[Huawei-vlan10]//创建单一VLAN后自动进入该VLAN视图4.VLAN基本配置命令（1）创建VLAN批量创建多个VLAN命令：vlan

batchvlan-id1tovlan-id2

或

vlanbatchvlan-id1vlan-id2...说明：to表示创建连续VLAN，不加to表示创建指定的多个VLAN视图：系统视图举例1：交换机批量创建VLAN11至VLAN20。举例2：交换机批量创建VLAN30、VLAN40和VLAN50。[Huawei]vlanbatch11to20//批量创建连续的VLAN11-20共10个VLAN[Huawei]vlanbatch304050//批量创建不连续的VLAN30、40、50（2）设置接口的链路类型命令：portlink-type{access|trunk|hybrid}说明：接口的链路类型为access才可加入到VLAN视图：接口视图举例：配置接口G0/0/1的链路类型为access。3.telnet功能配置命令[Huawei]interfaceGigabitEthernet0/0/1

//进入接口视图[Huawei-GigabitEthernet0/0/1]portlink-typeaccess

//接口链路类型设置为access4.VLAN基本配置命令（3）接口加入VLAN接口划分到VLAN命令：portdefaultvlanvlan-id说明：将一个接口加入到指定VLAN视图：接口视图举例：将接口G0/0/1添加到VLAN10。[Huawei]interfaceGigabitEthernet0/0/1

[Huawei-GigabitEthernet0/0/1]portdefaultvlan10

4.VLAN基本配置命令（3）接口加入VLANVLAN下添加接口命令：portinterface-type{number1[tonumber2]}说明：批量将多个接口添加到VLAN，to表示指定连续接口视图：VLAN视图举例：将接口G0/0/2-G0/0/5添加VLAN20。[Huawei]vlan20

[Huawei-vlan20]portGigabitEthernet0/0/2to0/0/5

//将2-5号共4个接口添加到VLAN4.VLAN基本配置命令（4）批量配置接口创建端口组命令：port-groupport-group-name说明：port-group-name为字符串形式，不区分大小写，长度范围是1～32视图：系统视图将接口添加到端口组命令：group-member{interface-typeinterface-number1[tointerface-typeinterface-number2]}说明：to为添加连续端口视图：端口组视图4.VLAN基本配置命令（4）批量配置接口基于端口组进行VLAN操作说明：针对端口组进行的命令操作，该端口组内的成员接口都会配置该功能举例：创建端口组，名称为VLAN10，将接口G0/0/1-G0/0/10添加到该端口组，并加入到vlan10。[Huawei]vlan10

//创建vlan10[Huawei]port-groupVLAN10

//端口组名称设置为VLAN10[Huawei-port-group-vlan10]group-memberg0/0/1tog0/0/10

//端口组添加成员端口[Huawei-port-group-vlan10]portlink-typeaccess

//设置接口的链路类型为access[Huawei-port-group-vlan10]portdefaultvlan10

//将端口组成员添加到vlan105.任务实施：交换机VLAN的划分（1）理解VLAN技术的基本原理；（2）掌握VLAN技术的配置方法。（一）任务目的

某公司财务部和市场部的用户主机连接在一台交换机上，为避免财务数据的泄露，公司要求将两个部门的通信进行隔离。通过对交换机进行VLAN配置，将两个部门划分到不同的逻辑子网中，实现通信隔离。（二）任务描述（1）拓扑图（2）操作流程交换机S1创建VLAN并添加端口；VLAN规划如下：（三）实施规划5.任务实施：交换机VLAN的划分交换机VLANID接口S110G0/0/1-220G0/0/3-4（四）操作步骤S1创建VLANPC配置网络参数VLAN添加端口<Huawei>system

[Huawei]sysnameS1[S1]vlanbatch1020

//批量创建VLAN10和20S1配置：5.任务实施：交换机VLAN的划分（四）操作步骤S1创建VLANPC配置网络参数VLAN添加端口[S1]interfaceg0/0/1

[S1-GigabitEthernet0/0/1]portlink-typeaccess//设置接口模式为access[S1-GigabitEthernet0/0/1]portdefaultvlan10//接口加入VLAN10[S1-GigabitEthernet0/0/1]interfaceg0/0/2

[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan10[S1-GigabitEthernet0/0/2]quitS1配置（单一接口加入VLAN）：5.任务实施：交换机VLAN的划分（四）操作步骤S1创建VLANPC配置网络参数VLAN添加端口[S1]port-groupvlan20

[S1-port-group-vlan20]group-memberg0/0/3tog0/0/4

[S1-port-group-vlan20

]portlink-typeaccess//设置接口模式为access[S1-GigabitEthernet0/0/3]portlink-typeaccess[S1-GigabitEthernet0/0/4]portlink-typeaccess

[S1-port-group-vlan20]portdefaultvlan20[S1-GigabitEthernet0/0/3]portdefaultvlan20[S1-GigabitEthernet0/0/4]portdefaultvlan20S1配置（批量添加接口到VLAN）：系统自动执行系统自动执行5.任务实施：交换机VLAN的划分（五）实验测试主机连通性测试VLAN信息查看[S1]displayvlanThetotalnumberofvlansis:3--------------------------------------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------------------------------------VIDTypePorts--------------------------------------------------------------------------------------------1commonUT:GE0/0/5(D)GE0/0/6(D)GE0/0/7(D)GE0/0/8(D)GE0/0/9(D)GE0/0/10(D)GE0/0/11(D)GE0/0/12(D)GE0/0/13(D)GE0/0/14(D)GE0/0/15(D)GE0/0/16(D)GE0/0/17(D)GE0/0/18(D)GE0/0/19(D)GE0/0/20(D)GE0/0/21(D)GE0/0/22(D)GE0/0/23(D)GE0/0/24(D)10commonUT:GE0/0/1(U)GE0/0/2(U)20commonUT:GE0/0/3(U)GE0/0/4(U)

VIDStatusPropertyMAC-LRNStatisticsDescription--------------------------------------------------------------------------------------------1

enabledefaultenabledisableVLAN000110enabledefaultenabledisableVLAN001020enabledefaultenabledisableVLAN0020

VLAN信息查看：5.任务实施：交换机VLAN的划分（五）实验测试主机连通性测试VLAN信息查看PC>PINGPing:32databytes,PressCtrl_CtobreakFrom:bytes=32seq=1ttl=128time=31msFrom:bytes=32seq=2ttl=128time=31msFrom:bytes=32seq=3ttl=128time=31msFrom:bytes=32seq=4ttl=128time=16msFrom:bytes=32seq=5ttl=128time=47ms---pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=16/31/47msPC1PINGPC2：5.任务实施：交换机VLAN的划分（五）实验测试主机连通性测试VLAN信息查看PC>PINGPing:32databytes,PressCtrl_CtobreakFrom:DestinationhostunreachableFrom:DestinationhostunreachableFrom:DestinationhostunreachableFrom:DestinationhostunreachableFrom:Destinationhostunreachable---pingstatistics---5packet(s)transmitted0packet(s)received100.00%packetlossPC1PINGPC3：5.任务实施：交换机VLAN的划分PC1可以与同一VLAN下的PC2通信，但不能与其它VLAN的PC3通信，VLAN之间的通信被隔离。（六）结果分析接口必须设置为access模式才能加入VLAN；如果多个接口加入到同一VLAN，可以创建端口组port-group，进行批量操作。（七）注意事项5.任务实施：交换机VLAN的划分Module2交换技术《网络互联技术》任务2.4

干道链路配置VLAN标签链路类型缺省VLAN接口类型数据帧处理方式干道链路配置流程干道链路配置命令在局域网中，同一VLAN的用户可能因办公场地的分散而接入到不同的交换机，并且交换机上可能存在的其它的VLAN。这样就面临着一个VLAN的数据流量要跨越多个交换机进行传输。干道链路可以承载不同VLAN的流量，并且在干道链路传递时会携带VLAN标签，这样对端接收数据后就可以分辨出其所对应的VLAN。本次任务介绍通过配置干道链路，实现跨交换机相同VLAN的通信。任务背景准备知识1.VLAN标签要使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。IEEE802.1Q协议规定，在以太网数据帧的源MAC地址字段、协议类型字段之间加入4个字节的VLAN标签（又称VLANTag，简称Tag），用以标识VLAN信息。VLAN标签字段及含义字段长度含义TPID2Byte标签协议标识符，表示数据帧类型，取值0x8100PRI3bit表示数据帧的优先级，取值0-7CFI1bit标准格式指示位，表示MAC地址是否以标准格式进行封装，取值0/1VID12bitVLANID，表示该数据帧所属VLAN的编号，取值0-4095Tagged和Untagged数据帧格式2.链路类型（1）接入链路用于连接交换机和用户终端。接入链路上传输的帧都是Untagged帧。（2）干道链路用于交换机间互连或连接交换机与路由器。可以承载多个不同VLAN的数据帧。一般情况下，干道链路上传输的是Tagged帧。链路类型3.缺省VLANPVID（PortDefaultVLANID）代表接口的缺省VLAN。默认情况下，交换机所有接口的PVID均为1；交换机为Untagged帧添加tag标记时，VID即为接收接口的PVID；交换机在数据帧的tag处理（添加、剥离）过程中，会比对VID和PVID两个参数。接收端口的PVID为Tag中VID字段内容4.接口类型Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。Hybrid接口既可以用于连接不能识别Tag的用户终端，也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。5.数据帧处理方式（1）Access接口连接：一般连接用户终端。接收：①接收到Untagged帧，打上接口PVID标记；②接收到Tagged帧，检查VID是否与接口PVID相同，是则接收，否则丢弃。发送：剥离Tag转发。Tag标签处理过程（1）5.数据帧处理方式（2）Trunk接口连接：一般用于交换机之间的级连。发送：检查Tag中VID是否为接口允许的VID，否则丢弃，是则再检查其是否与接口的PVID相同，是则剥离Tag发送；否则直接发送。接收：①接收到Untagged帧，打上接口PVID标记，并检查该PVID是否为接口允许的VID，是则接收，否则丢弃；②接收到tagged帧，检查Tag中VID是否为接口允许的VID，是则接收，否则丢弃。Tag标签处理过程（2）5.数据帧处理方式（3）Hybrid接口连接：Hybrid接口可连接用户终端和交换机，可定义Tag剥离规则，既能连接干道链路，又能连接接入链路。接收：与Trunk相同。发送：检查Tag中VID是否为接口允许的VID，否则丢弃，是则再检查其是否匹配接口的Tag剥离规则，是则剥离Tag发送；否则直接发送。Tag标签处理过程（3）6.干道链路配置流程干道链路配置流程如下：交换机配置VLAN；交换机的级连接口的类型设置为Trunk；设置Trunk接口允许通过的VLAN流量。（1）设置接口的类型命令：portlink-type{access|trunk|hybrid}说明：两端接口类型均需设置为Trunk或hybrid，才能形成干道链路视图：接口视图举例：配置接口G0/0/1的类型为trunk。[Huawei]interfaceGigabitEthernet0/0/1

//进入接口视图[Huawei-GigabitEthernet0/0/1]portlink-typetrunk

//接口链路类型设置为trunk7.干道链路配置命令7.干道链路配置命令（2）设置Trunk接口允许通过的VLAN流量命令：porttrunkallow-passvlan{vlan-id1[tovlan-id2]|all}说明：缺省情况下，只允许VLAN1；all表示允许所有VLAN通过视图：接口视图举例1：配置Trunk接口G0/0/24允许本地所有VLAN通过。举例2：配置Trunk接口G0/0/23只允许VLAN10-15通过。[Huawei]interfaceGigabitEthernet0/0/24

[Huawei-GigabitEthernet0/0/24]portlink-typetrunk//设置接口类型为trunk[Huawei-GigabitEthernet0/0/24]porttrunk

allow-passvlanall//允许本地所有vlan[Huawei]interfaceGigabitEthernet0/0/23

[Huawei-GigabitEthernet0/0/23]portlink-typetrunk

[Huawei-GigabitEthernet0/0/23]undoporttrunkallow-passvlan1

//禁止VLAN1[Huawei-GigabitEthernet0/0/23]porttrunk

allow-passvlan10to15

//只允许VLAN10-157.干道链路配置命令（3）设置Trunk接口的PVID命令：porttrunkpvidvlanvlan-id说明：缺省情况下，trunk接口的PVID为1视图：接口视图举例：将Trunk接口G0/0/23的PVID设置为100。[Huawei]interfaceGigabitEthernet0/0/23

[Huawei-GigabitEthernet0/0/23]porttrunk

pvidvlan100

8.任务实施：干道链路配置（1）理解干道链路的应用场景；（2）掌握Trunk接口的配置方法。（一）任务目的

某公司市场部和工程部的员工因办公场地分散，同一部门的用户主机分接在不同的交换机上，公司要求同一部门的用户主机能够通信，但部门间的通信要进行隔离。（二）任务描述（1）拓扑图（2）操作流程交换机配置VLAN，实现部门间的通信隔离；VLAN规划如下：交换机之间的级连链路配置为干道链路，并设置允许通过的VLAN，实现跨交换机相同部门主机的互通。（三）实施规划8.任务实施：干道链路配置交换机VLANID接口S110E0/0/120E0/0/2S210E0/0/120E0/0/2S310——20——（四）操作步骤交换机配置VLANPC配置网络参数

配置干道链路8.任务实施：干道链路配置<Huawei>system [Huawei]sysnameS1[S1]vlanbatch1020[S1]inte0/0/1[S1-Ethernet0/0/1]portlink-typeaccess[S1-Ethernet0/0/1]portdefaultvlan10[S1-Ethernet0/0/1]inte0/0/2[S1-Ethernet0/0/2]portlink-typeaccess[S1-Ethernet0/0/2]portdefaultvlan20[S1-Ethernet0/0/2]quitS1配置：（四）操作步骤交换机配置VLANPC配置网络参数

配置干道链路<Huawei>system [Huawei]sysnameS2[S2]vlanbatch1020[S2]inte0/0/1[S2-Ethernet0/0/1]portlink-typeaccess[S2-Ethernet0/0/1]portdefaultvlan10[S2-Ethernet0/0/1]inte0/0/2[S2-Ethernet0/0/2]portlink-typeaccess[S2-Ethernet0/0/2]portdefaultvlan20[S2-Ethernet0/0/2]quitS2配置：8.任务实施：干道链路配置（四）操作步骤交换机配置VLANPC配置网络参数

配置干道链路<Huawei>system [Huawei]sysnameS3[S3]vlanbatch1020S3配置：注：1．S3虽未连用户终端，但依然要创建VLAN10、20。2．Trunk接口接收到带有vlantag的数据帧时，如果本机没有创建与tag

中VID一致的vlan时，会丢弃该帧。8.任务实施：干道链路配置（四）操作步骤交换机配置VLANPC配置网络参数配置干道链路[S1]intg0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk//设置接口类型为Trunk[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan1020

//允许VLAN10,20S1配置：[S2]intg0/0/1[S2-GigabitEthernet0/0/1]portlink-typetrunk [S2-GigabitEthernet0/0/1]porttrunkallow-passvlan1020S2配置：8.任务实施：干道链路配置（四）操作步骤交换机配置VLANPC配置网络参数配置干道链路[S3]port-group1[S3-port-group-1]group-memberg0/0/1tog0/0/2[S3-port-group-1]portlink-typetrunk[S3-GigabitEthernet0/0/1]portlink-typetrunk[S3-GigabitEthernet0/0/2]portlink-typetrunk[S3-port-group-1]porttrunkallow-passvlan1020[S3-GigabitEthernet0/0/1]porttrunkallow-passvlan1020[S3-GigabitEthernet0/0/2]porttrunkallow-passvlan1020[S3-port-group-1]quitS3配置：自动执行自动执行8.任务实施：干道链路配置（五）实验测试Trunk接口信息查看VLAN信息查看主机连通性测试[S1]disvlanThetotalnumberofvlansis:3--------------------------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------------------------VIDTypePorts--------------------------------------------------------------------------------1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)Eth0/0/7(D)Eth0/0/8(D)Eth0/0/9(D)Eth0/0/10(D)Eth0/0/11(D)Eth0/0/12(D)Eth0/0/13(D)Eth0/0/14(D)Eth0/0/15(D)Eth0/0/16(D)Eth0/0/17(D)Eth0/0/18(D)Eth0/0/19(D)Eth0/0/20(D)Eth0/0/21(D)Eth0/0/22(D)GE0/0/1(U)GE0/0/2(D)10commonUT:Eth0/0/1(U)

TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)

TG:GE0/0/1(U)

S1查看VLAN信息：8.任务实施：干道链路配置（五）实验测试Trunk接口信息查看VLAN信息查看主机连通性测试[S2]disvlanThetotalnumberofvlansis:3--------------------------------------------------------------------------------U:Up;D:Down;TG:Tagged;UT:Untagged;MP:Vlan-mapping;ST:Vlan-stacking;#:ProtocolTransparent-vlan;*:Management-vlan;--------------------------------------------------------------------------------VIDTypePorts--------------------------------------------------------------------------------1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)Eth0/0/7(D)Eth0/0/8(D)Eth0/0/9(D)Eth0/0/10(D)Eth0/0/11(D)Eth0/0/12(D)Eth0/0/13(D)Eth0/0/14(D)Eth0/0/15(D)Eth0/0/16(D)Eth0/0/17(D)Eth0/0/18(D)Eth0/0/19(D)Eth0/0/20(D)Eth0/0/21(D)Eth0/0/22(D)GE0/0/1(U)GE0/0/2(D)