『配置環(huán)境參數(shù)』

1. 交換機(jī)E0/1和E0/2屬于vlan10

2. 交換機(jī)E0/3屬于vlan20

3. 交換機(jī)E0/4和E0/5屬于vlan30

4. 交換機(jī)E0/23連接Server1

5. 交換機(jī)E0/24連接Server2

6. Server1和Server2分屬于vlan40和vlan50

7. PC和Server都在同一網(wǎng)段

8. E0/10連接BAS設(shè)備，屬于vlan60

『組網(wǎng)需求』

1. 利用二層交換機(jī)端口的hybrid屬性靈活實(shí)現(xiàn)vlan之間的靈活互訪,；

2. Vlan10,、vlan20和vlan30的PC均可以訪問(wèn)Server 1；

3. vlan 10,、20以及vlan30的4端口的PC可以訪問(wèn)Server 2,；

4. vlan 10中的2端口的PC可以訪問(wèn)vlan 30的PC；

5. vlan 20的PC可以訪問(wèn)vlan 30的5端口的PC,；

6. vlan10的PC訪問(wèn)外網(wǎng)需要將vlan信息送到BAS,，而vlan20和vlan30則不需要。

2 數(shù)據(jù)配置步驟
『端口hybrid屬性配置流程』

hybrid 屬性是一種混雜模式,，實(shí)現(xiàn)了在一個(gè)untagged端口允許報(bào)文以tagged形式送出交換機(jī),。同時(shí)可以利用hybrid屬性定義分屬于不同的vlan的 端口之間的互訪，這是access和trunk端口所不能實(shí)現(xiàn)的,。在一臺(tái)交換機(jī)上不允許trunk端口和hybrid端口同時(shí)存在,。

1. 先創(chuàng)建業(yè)務(wù)需要的vlan

[SwitchA]vlan 10

[SwitchA]vlan 20

[SwitchA]vlan 30

[SwitchA]vlan 40

[SwitchA]vlan 50

2. 每個(gè)端口，都配置為 hybrid狀態(tài)

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]port link-type hybrid

3. 設(shè)置端口的pvid等于該端口所屬的vlan

[Switch-Ethernet0/1]port hybrid pvid vlan 10

4. 將希望可以互通的端口的pvid vlan,，設(shè)置為untagged vlan,，這樣從該端口發(fā)出的廣播幀就可以到達(dá)本端口

[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged



實(shí)際上，這種配置是通過(guò) hybrid 端口的 pvid 來(lái)唯一的表示一個(gè)端口,，接收端口通過(guò)是否將 vlan 設(shè)置為 untagged vlan,，來(lái)控制是否與 pvid vlan 為 該 vlan 的端口互通,。

5. 以下各端口類似：

[Switch-Ethernet0/1]int e0/2

[Switch-Ethernet0/2]port link-type hybrid

[Switch-Ethernet0/2]port hybrid pvid vlan 10

[Switch-Ethernet0/2]port hybrid vlan 10 30 40 50 60 untagged



[Switch-Ethernet0/2]int e0/3

[Switch-Ethernet0/3]port link-type hybrid

[Switch-Ethernet0/3]port hybrid pvid vlan 20

[Switch-Ethernet0/3]port hybrid vlan 20 30 40 50 60 untagged

[Switch-Ethernet0/3]int e0/4

[Switch-Ethernet0/4]port link-type hybrid

[Switch-Ethernet0/4]port hybrid pvid vlan 30

[Switch-Ethernet0/4]port hybrid vlan 10 30 40 50 60 untagged



[Switch-Ethernet0/4]int e0/5

[Switch-Ethernet0/5]port link-type hybrid

[Switch-Ethernet0/5]port hybrid pvid vlan 30

[Switch-Ethernet0/5]port hybrid vlan 10 20 30 40 60 untagged



[Switch-Ethernet0/5]int e0/23

[Switch-Ethernet0/23]port link-type hybrid

[Switch-Ethernet0/23]port hybrid pvid vlan 40

[Switch-Ethernet0/23]port hybrid vlan 10 20 30 40 untagged



[Switch-Ethernet0/24]int e0/24

[Switch-Ethernet0/24]port link-type hybrid

[Switch-Ethernet0/24]port hybrid pvid vlan 50

[Switch-Ethernet0/24]port hybrid vlan 10 20 30 50 untagged



6. 在上行口E0/10上允許vlan10以tagged形式送出,，其它為untagged

[SwitchA]interface Ethernet 0/10

[SwitchA-Ethernet0/10]port link-type hybrid

[SwitchA-Ethernet0/10]port hybrid pvid vlan 60

[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged

[SwitchA-Ethernet0/10]port hybrid vlan 20 30 untagged

本例中需求比較復(fù)雜,，一般人員很難做到一次性在一個(gè)端口上指定哪些vlan允許通過(guò)，可以根據(jù)需求逐條配置,，交換機(jī)支持在端口上多次設(shè)置,。

S系列交換機(jī)實(shí)現(xiàn)不同VLAN之間互訪的配置

一、組網(wǎng)需求：

交換機(jī)配置了4個(gè)VLAN,，分別為VLAN1,，VLAN2，VLAN3,，VLAN4,，要求VLAN1可以與VLAN2，3,，4互訪,，但是VLAN2，3,，4之間不能互訪,，用Hybrid端口屬性實(shí)現(xiàn)此功能。

二,、組網(wǎng)圖：

無(wú)

三,、配置步驟：

1. 創(chuàng)建VLAN2

[Quidway]vlan 2

2. 創(chuàng)建VLAN3

[Quidway-vlan2]vlan 3

3. 創(chuàng)建VLAN4

[Quidway-vlan3]vlan 4

4. 進(jìn)入端口Ethernet1/0/1

[Quidway-vlan4] interface Ethernet1/0/1

5. 將端口設(shè)置為hybrid模式

[Quidway-Ethernet1/0/1]port link-type hybrid

6. 設(shè)置端口pvid為1

[Quidway-Ethernet1/0/1]port hybrid pvid vlan 1

7. 允許VLAN1，2,，3,，4不打標(biāo)簽通過(guò)

[Quidway-Ethernet1/0/1]port hybrid vlan 1 to 4 untagged

8. 進(jìn)入端口Ethernet1/0/2

[Quidway-Ethernet1/0/1]interface Ethernet1/0/2

9. 將端口設(shè)置為hybrid模式

[Quidway-Ethernet1/0/2]port link-type hybrid

10. 設(shè)置端口pvid為2

[Quidway-Ethernet1/0/2]port hybrid pvid vlan 2

11. 允許VLAN1，2不打標(biāo)簽通過(guò)

[Quidway-Ethernet1/0/2]port hybrid vlan 1 to 2 untagged

12. 進(jìn)入端口Ethernet1/0/3

[Quidway-Ethernet1/0/2]interface Ethernet1/0/3

13. 將端口設(shè)置為hybrid模式

[Quidway-Ethernet1/0/3]port link-type hybrid

14. 設(shè)置端口pvid為3

[Quidway-Ethernet1/0/3]port hybrid pvid vlan 3

15. 允許VLAN1,，3不打標(biāo)簽通過(guò)

[Quidway-Ethernet1/0/3]port hybrid vlan 1 3 untagged

16. 進(jìn)入端口Ethernet1/0/4

[Quidway-Ethernet1/0/3]interface Ethernet1/0/4

17. 將端口設(shè)置為hybrid模式

[Quidway-Ethernet1/0/4]port link-type hybrid

18. 設(shè)置端口pvid為4

[Quidway-Ethernet1/0/4]port hybrid pvid vlan 4

19. 允許VLAN1,，4不打標(biāo)簽通過(guò)

[Quidway-Ethernet1/0/4]port hybrid vlan 1 4 untagged

四、配置關(guān)鍵點(diǎn)：

1. 利用交換機(jī)以太網(wǎng)端口的Hybrid特性,，可以實(shí)現(xiàn)PVLAN的功能,。

2. 采用Hybrid屬性實(shí)現(xiàn)的PVLAN功能和PVLAN的工作機(jī)制存在較大差異，上述情況只適用于網(wǎng)絡(luò)流量,，網(wǎng)絡(luò)用戶較少的應(yīng)用,。
S3000-EI系列交換機(jī)實(shí)現(xiàn)不同VLAN之間互訪的配置

一、組網(wǎng)：

S3026C交換機(jī)配置了4個(gè)VLAN,，分別為VLAN1,，VLAN2，VLAN3,，VLAN4,，要求VLAN1可以與VLAN2,，3，4互訪,，但是VLAN2,，3，4之間不能互訪,，用PVLAN實(shí)現(xiàn)此功能,。

二、組網(wǎng)圖：

無(wú)

三,、配置步驟：

1. 進(jìn)入VLAN1

[Switch] vlan 1

2. 設(shè)置VLAN1類型為isolate-user-vlan

[Switch-vlan1] isolate-user-vlan enable

3. 創(chuàng)建（進(jìn)入）進(jìn)入VLAN2

[Switch-vlan1] vlan 2

4. 將端口E0/2加入VLAN2

[Switch-vlan2] port ethernet0/2

5. 創(chuàng)建（進(jìn)入）進(jìn)入VLAN3

[Switch-vlan2] vlan 3

6. 將端口E0/3加入VLAN3

[Switch-vlan3] port ethernet0/3

7. 創(chuàng)建（進(jìn)入）進(jìn)入VLAN4

[Switch-vlan3] vlan 4

8. 將端口E0/4加入VLAN4

[Switch-vlan4] port ethernet0/4

9. 退出到系統(tǒng)視圖

[Switch-vlan4] quit

10. 配置isolate-user-vlan和Secondary VLAN間的映射關(guān)系

[Switch] isolate-user-vlan 1 secondary 2 to 4

四,、配置關(guān)鍵點(diǎn)：

1. 目前S系列交換機(jī)S2403H、S2026Z-SI ,、S2026C-SI與S3000系列都支持PVLAN,，此處僅以S3026C為例，其他交換機(jī)配置相同,；

2. isolate-user-vlan不能和Trunk端口同時(shí)配置,，即如果交換機(jī)上配置了isolate-user-vlan，就不能配置Trunk端口,；如果配置了Trunk端口,，就不能配置isolate-user-vlan；

isolate-user-vlan簡(jiǎn)介
isolate- user-vlan是華為公司系列以太網(wǎng)交換機(jī)的一個(gè)特性,，通過(guò)該特性可實(shí)現(xiàn)網(wǎng)絡(luò)中VLAN資源的節(jié)約,。isolate-user-vlan采用二層 VLAN結(jié)構(gòu)，在一臺(tái)以太網(wǎng)交換機(jī)上設(shè)置isolate-user-vlan和Secondary VLAN兩類VLAN,。一個(gè)isolate-user-vlan和多個(gè)Secondary VLAN對(duì)應(yīng),，isolate-user-vlan包含所對(duì)應(yīng)的所有Secondary VLAN中包含的端口和上行端口，這樣對(duì)上層交換機(jī)來(lái)說(shuō),，只須識(shí)別下層交換機(jī)中的isolate-user-vlan,，而不必關(guān)心isolate- user-vlan中包含的Secondary VLAN，簡(jiǎn)化了網(wǎng)絡(luò)配置,，節(jié)省了VLAN資源,。同時(shí)，用戶可以采用isolate-user-vlan實(shí)現(xiàn)二層報(bào)文的隔離,，即為每個(gè)用戶分配一個(gè) Secondary VLAN,，每個(gè)Secondary VLAN中只包含該用戶連接的端口和上行端口；如果希望實(shí)現(xiàn)用戶之間二層報(bào)文的互通,，只要將這些用戶連接的端口劃入同一個(gè)Secondary VLAN中即可,。
2.2 isolate-user-vlan配置
isolate-user-vlan配置包括：
l 配置isolate-user-vlan
l 配置Secondary VLAN
l 設(shè)置isolate-user-vlan和Secondary VLAN間的映射關(guān)系
以上任務(wù)都是必選的，一旦啟用isolate-user-vlan就必須配置,。
2.2.1 配置isolate-user-vlan
可以使用下面的命令為一個(gè)以太網(wǎng)交換機(jī)創(chuàng)建一個(gè)isolate-user-vlan,，并且向此isolate-user-vlan中添加端口,。
請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行創(chuàng)建VLAN的配置，在VLAN視圖下進(jìn)行設(shè)置VLAN類型為isolate-user-vlan及給該VLAN添加端口的配置,。
表2-1 配置isolate-user-vlan
*作 命令
創(chuàng)建VLAN vlan vlan-id
設(shè)置VLAN類型為isolate-user-vlan isolate-user-vlan enable
取消VLAN為isolate-user-vlan的設(shè)置 undo isolate-user-vlan enable
向isolate-user-vlan中添加端口 port interface-list

一 臺(tái)以太網(wǎng)交換機(jī)可以有多個(gè)isolate-user-vlan,，可以為每個(gè)isolate-user-vlan指定多個(gè)端口。isolate-user- vlan不能和Trunk端口同時(shí)配置,，即如果以太網(wǎng)交換機(jī)上配置了isolate-user-vlan,，就不能配置Trunk端口,；如果配置了 Trunk端口,，就不能配置isolate-user-vlan。此外,，上行端口必須添加到了isolate-user-vlan中,。
2.2.2 配置Secondary VLAN
可以使用下面的命令來(lái)創(chuàng)建Secondary VLAN，并為Secondary VLAN指定端口,。
請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置,。
表2-2 配置Secondary VLAN
*作 命令
創(chuàng)建Secondary VLAN vlan vlan-id
向Secondary VLAN中添加端口 port interface-list

可以向每一個(gè)Secondary VLAN中添加多個(gè)端口（非上行端口）。
2.2.3 配置isolate-user-vlan和Secondary VLAN間的映射關(guān)系
可以使用下面的命令來(lái)建立isolate-user-vlan和Secondary VLAN之間的映射關(guān)系,。
請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置,。
表2-3 配置isolate-user-vlan和Secondary VLAN間的映射關(guān)系
*作 命令
配 置isolate-user-vlan和Secondary VLAN間的映射關(guān)系 isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]
取消配置isolate-user-vlan和Secondary VLAN間的映射關(guān)系 undo isolate-user-vlan isolate-user-vlan_num [secondary secondary_vlan_numlist [ to secondary_vlan_numlist ]

需要注意的是，執(zhí)行該命令前,，isolate-user-vlan和Secondary VLAN中都必須已經(jīng)包含了端口,。最多可以向一個(gè)isolate-user-vlan中映射30個(gè)Secondary VLAN。
建立映射關(guān)系后,，向isolate-user-vlan和Secondary VLAN中添加和刪除端口以及刪除VLAN的*作被系統(tǒng)禁止,。只有在解除了映射關(guān)系后才可以執(zhí)行。
undo isolate-user-vlan命令如果不帶參數(shù)secondary secondary_vlan_numlist的話,，就解除所有Secondary VLAN和指定isolate-user-vlan的映射關(guān)系,；如果帶有該參數(shù)的話就解除參數(shù)指定的Secondary VLAN和指定isolate-user-vlan的映射關(guān)系。
2.3 isolate-user-vlan顯示和調(diào)試
在完成上述配置后,，在所有視圖?蔥衐isplay命令可以顯示配置后isolate-user-vlan的運(yùn)行情況,，通過(guò)查看顯示信息驗(yàn)證配置的效果。
表2-4 isolate-user-vlan的顯示與調(diào)試
*作 命令
顯示isolate-user-vlan和Secondary VLAN的映射關(guān)系 display isolate-user-vlan [isolate-user-vlan_num | secondary_vlan_numlist ]
顯示VLAN信息 display vlan [ vlan-id ]

2.4 isolate-user-vlan典型配置舉例
1. 組網(wǎng)需求
Switch A太網(wǎng)交換機(jī)下接Switch B,、Switch C以太網(wǎng)交換機(jī),。Switch B上的VLAN5為isolate-user-vlan，包含上行端口Ethernet 1/1和兩個(gè)Secondary VLAN：VLAN2和VLAN3,，VLAN3包含端口Ethernet 0/1,，VLAN2包含端口Ethernet 0/2；Switch C上的VLAN6為isolate-user-vlan,，包含上行端口Ethernet 1/1和兩個(gè)Secondary VLAN：VLAN3和VLAN4,，VLAN3包含端口Ethernet 0/3,，VLAN4包含端口Ethernet 0/4。從Switch A 看,，下接的Switch B,、Switch C都只有一個(gè)VLAN：VLAN 5 和VLAN 6。
2. 組網(wǎng)圖

圖2-1 isolate-user-vlan配置組網(wǎng)圖
3. 配置步驟
下面只列出Switch B和Switch C的配置過(guò)程,。
配置Switch B：
# 配置isolate-user-vlan,。
[Quidway] vlan 5
[Quidway-vlan5] isolate-user-vlan enable
[Quidway-vlan5] port ethernet 1/1
# 配置Secondary VLAN。
[Quidway-vlan5] vlan 3
[Quidway-vlan3] port ethernet 0/1
[Quidway-vlan3] quit
[Quidway] vlan 2
[Quidway-vlan2] port ethernet 0/2
[Quidway-vlan2] quit
# 配置isolate-user-vlan和Secondary VLAN間的映射關(guān)系,。
[Quidway] isolate-user-vlan 5 secondary 2 to 3
配置Switch C：
# 配置isolate-user-vlan,。
[Quidway] vlan 6
[Quidway-vlan6] isolate-user-vlan enable
[Quidway-vlan6] port ethernet 1/1
# 配置Secondary VLAN。
[Quidway] vlan 3
[Quidway-vlan3] port ethernet 0/3
[Quidway-vlan3] quit
[Quidway] vlan 4
[Quidway-vlan4] port ethernet 0/4
[Quidway-vlan4] quit
# 配置isolate-user-vlan和Secondary VLAN間的映射關(guān)系,。
[Quidway] isolate-user-vlan 6 secondary 3 to 4