学海无涯 走一路学一路

在实际使用VLAN的场景中，不同VLAN的设备间可能存在通信需求。尽管VLAN广播域是二层隔离的，不同VLAN的设备之间仍可以通过三层设备来进行通信，但此方式需占用路由接口。通过在二层交换设备的基础上增加路由模块构成三层交换设备，可以解决此问题。下面通过一个典型配置举例来说明如何通过三层交换设备实现不同VLAN间的通信。

组网需求

某用户内网存在三个部门，相互之间需要二层隔离，三层互联。

因此分别在3台接入设备Device A、Device B和Device C上创建VLAN，用户内网被划分为VLAN 10、VLAN 20和VLAN 30，相互之间二层隔离。把接口定义为一个VLAN的成员，所有连接到此接口的终端都是VLAN网络的一部分。调整用户所在VLAN，只需要调整接口的VLAN配置，而不必调整物理位置。

在核心设备Device D上配置3个VLAN，配置连接Device A、B和C的接口为Trunk口，并指定许可VLAN列表。配置3个SVI，分别作为3个VLAN对应IP子网的网关接口，3个VLAN对应的IP子网分别为192.168.10.0/24、192.168.20.0/24和192.168.30.0/24，3个VLAN通过三层核心设备的IP转发能力实现子网互连。

配置要点

1、 在三层核心设备Device D上配置3个VLAN，配置连接Device A、B和C的接口为Trunk口，并配置许可VLAN列表，实现二层隔离。

2、在Device D配置3个SVI口，分别作为3个VLAN对应IP子网的网关接口，配置网关IP地址。在终端上根据所在网段，配置默认网关地址。

3、分别在3台接入设备Device A、B和C上创建VLAN，为各VLAN分配Access口，配置连接Device D的接口为Trunk口。

配置步骤

(1) 创建和配置VLAN。

# 在核心设备Device D上创建VLAN。修改VLAN 10的名称。

DeviceD> enable

DeviceD# configure terminal

DeviceD(config)# vlan 10

DeviceD(config-vlan)# name office

DeviceD(config-vlan)# vlan range 20,30

DeviceD(config-vlan-range)# exit

# 在接入设备Device A上创建VLAN。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# vlan range 10,20

DeviceA(config-vlan-range)# exit

# 在接入设备Device B上创建VLAN。

DeviceB> enable

DeviceB# configure terminal

DeviceB(config)# vlan range 10,20,30

DeviceB(config-vlan-range)# exit

# 在接入设备Device C上创建VLAN。

DeviceC> enable

DeviceC# configure terminal

DeviceC(config)# vlan range 20,30

DeviceC(config-vlan-range)# exit

(2) 在Device D上配置VLAN三层SVI口的IP地址。

DeviceD(config)# interface vlan 10

DeviceD(config-if-VLAN 10)# ip address 192.168.10.1 255.255.255.0

DeviceD(config-if-VLAN 10)# exit

DeviceD(config)# interface vlan 20

DeviceD(config-if-VLAN 20)# ip address 192.168.20.1 255.255.255.0

DeviceD(config-if-VLAN 20)# exit

DeviceD(config)# interface vlan 30

DeviceD(config-if-VLAN 30)# ip address 192.168.30.1 255.255.255.0

DeviceD(config-if-VLAN 30)# exit

(3) 配置Device D的下联口为Trunk口，分别配置其许可VLAN范围。

DeviceD(config)# interface range gigabitethernet 0/2-4

DeviceD(config-if-range)# switchport

DeviceD(config-if-range)# switchport mode trunk

DeviceD(config-if-range)# exit

DeviceD(config)# interface gigabitethernet 0/2

DeviceD(config-if-GigabitEthernet 0/2)# switchport trunk native vlan 1

DeviceD(config-if-GigabitEthernet 0/2)# switchport trunk allowed vlan only 10,20

DeviceD(config-if-GigabitEthernet 0/2)# exit

DeviceD(config)# interface gigabitethernet 0/3

DeviceD(config-if-GigabitEthernet 0/3)# switchport trunk native vlan 1

DeviceD(config-if-GigabitEthernet 0/3)# switchport trunk allowed vlan only 10,20,30

DeviceD(config-if-GigabitEthernet 0/3)# exit

DeviceD(config-if)# interface gigabitethernet 0/4

DeviceD(config-if-GigabitEthernet 0/4)# switchport trunk native vlan 1

DeviceD(config-if-GigabitEthernet 0/4)# switchport trunk allowed vlan only 20,30

DeviceD(config-if-GigabitEthernet 0/4)# end

DeviceD# write

(4) 配置接入设备上联口为Trunk口，配置其许可VLAN范围。如下以Device A配置为例，B和C配置类似。

# 配置Device A的上联口为Trunk模式。许可所有VLAN的数据通过。

DeviceA(config)# interface gigabitethernet 0/1

DeviceA(config-if-GigabitEthernet 0/1)# switchport

DeviceA(config-if-GigabitEthernet 0/1)# switchport mode trunk

DeviceA(config-if-GigabitEthernet 0/1)# switchport trunk native vlan 1

DeviceA(config-if-GigabitEthernet 0/1)# switchport trunk allowed vlan all

DeviceA(config-if-GigabitEthernet 0/1)# exit

(5) 配置接入设备下联口为Access口，并加入指定VLAN。如下以Device A配置为例，B和C配置类似。

# 配置Device A的下联口为Access模式，分别加入不同的VLAN。

DeviceA(config)# interface range gigabitethernet 0/2-12

DeviceA(config-if-range)# switchport

DeviceA(config-if-range)# switchport mode access

DeviceA(config-if-range)# switchport access vlan 10

DeviceA(config-if-range)# interface range gigabitethernet 0/13-24

DeviceA(config-if-range)# switchport

DeviceA(config-if-range)# switchport mode access

DeviceA(config-if-range)# switchport access vlan 20

DeviceA(config-if-range)# end

DeviceA# write

验证配置结果

(1) 在Device D上，使用show vlan [ id vlan-id ]命令查看VLAN信息，包括VLAN ID、名称、状态和加入接口。

(2)   查看接口配置和状态是否正确。

# 在Device D上，使用show interface switchport命令查看接口的VLAN状态。

# 在Device D上，使用show interface description命令查看接口状态为up。

(3)   在Device D上，使用show ip route命令查看SVI的直连路由是否正确。

# 目的IP匹配192.168.10.0/24的报文，向VLAN 10转发；目的IP匹配192.168.20.0/24的报文，向VLAN 20转发；目的IP匹配192.168.30.0/24的报文，向VLAN 30转发。
# 在Device D上可以Ping通VLAN（例如VLAN 10）的SVI地址。

(4)   以终端Host 2、Host 12和Host 13为例，验证连通性。

# 配置VLAN 10内Host 2的缺省网关为192.168.10.1，接口IP地址为192.168.10.2，掩码255.255.255.0。

# 配置VLAN 10内Host 12的缺省网关为192.168.10.1，接口IP地址为192.168.10.12，掩码255.255.255.0。

# 配置VLAN 20内Host 13的缺省网关为192.168.20.1，接口IP地址为192.168.20.13，掩码255.255.255.0。

# 在终端上使用show ip route命令查看缺省网关。发送端和接收端都需要配置缺省网关，任何一方未配置都无法实现跨网段通信。以Host 2为例，因存在缺省路由S*0.0.0.0/0 [1/0] via 192.168.10.1，当终端需要跨网段通信时，将报文交由网关192.168.10.1转发。

# 在DeviceD上可以Ping通终端（例如Host 2）的IP地址。

# 同VLAN（例如VLAN 10）内的终端能够互相Ping通。

# 不同VLAN内的终端也可以互相Ping通。但若在Device D上删除SVI的IP地址配置，或在终端上删除缺省网关，不同VLAN内的终端则无法Ping通。

 

 

 

 

 

设备开启HTTP服务，用户通过认证后可以登陆到Web管理界面管理设备，进行设备状态信息监控、配置设备、上传和下载文件等操作。下面通过一个典型配置举例说明如何使用WEB登录交换机。

配置步骤

(1) 配置设备上的管理IP地址，使得与Web浏览器三层路由可达。

Device> enable

Device# configure terminal

Device(config)# interface gigabitEthernet 0/1

Device(config-if-GigabitEthernet 0/1)# ip address 1.1.1.10 255.255.255.0

(2) 配置同时打开HTTP和HTTPS服务。

Device(config)# enable service web-server

(3) 配置HTTP服务端口号为8080。

Device(config)# http port 8080

(4) 配置HTTPS服务端口号为4430。

Device(config)# http secure-port 4430

(5) 配置HTTP认证信息。

Device(config)# webmaster level 1 username test1 password 0 test_password1

验证配置结果

# 通过ping命令查看设备与Web浏览器三层可通。

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/2 ms.

# 通过show web-server status命令查看HTTP服务的配置信息。

# 通过浏览器登录1.1.1.10：8080，进入设备系统界面，输入用户名和密码，查看设备能否进入WEB界面。

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 配置VTY连接的最大数目。

line maximum-vty max-number

○ max-number：VTY最大连接数目。取值范围为0~36。

缺省情况下，VTY连接的最大数目为36。

(4) 进入Line模式。

line { console | vty } first-line [ last-line ]

参数说明如下：

console：控制台口。

vty：虚终端线路，适用于Telnet或SSH连接。

first-line：要进入的线路范围的起始编号。

last-line：要进入的线路范围的最后一个编号，未选择本参数时表示只进入到first-line一个线路。

(5) 关闭交换机Telnet和SSH功能。

transport input none

Telnet Client为已登录到设备上的本地用户或远程用户提供访问网上其他远程系统资源的服务。用户在PC上通过终端仿真程序或Telnet程序建立与设备连接后，可通过输入Telnet命令再登录另一设备，并对其进行配置管理。下面通过一个典型配置举例说明如何使用Telnet登录交换机。

注：本例中 建立与远程设备的Telnet会话，远程设备的IP地址是192.168.65.119。

配置步骤

(1) 在设备上开启Telnet服务

# 在设备A上开启Telnet服务。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# enable service telnet-server

# 在设备B上开启Telnet服务。

DeviceB> enable

DeviceB# configure terminal

DeviceB(config)# enable service telnet-server

(2) 在Device B上配置用户及授权信息。

请根据实际需求，选择如下两种登录方式中的任意一种进行配置。

# 在Device B上配置仅使用密码登录。

DeviceB> enable

DeviceB# configure terminal

DeviceB(config)# line vty 0

DeviceB(config-line)# password Guestuser

DeviceB(config-line)# login

# 在Device B上配置使用用户名和密码登录

DeviceB> enable

DeviceB# configure terminal

DeviceB(config)# line vty 0

DeviceB(config-line)# login local

DeviceB(config-line)# exit

DeviceB(config)# username admin password Guestuser

DeviceB(config)# enable password Guestuser

DeviceB(config)# end

DeviceB# write

(3) 在Device A上建立与远程设备的Telnet会话。

# telnet命令支持在特权模式下配置，do telnet命令支持在用户模式、特权模式和接口配置模式下配置。

DeviceA# telnet 192.168.65.119

Trying 192.168.65.119 … Open

User Access Verification

Password: Guestuser

DeviceB>

验证配置结果

# 可使用ping命令查看配置结果。如果能ping通，则说明Telnet服务配置成功。

配置SSH客户端是指将本机设备配置为客户端，允许本机向其他提供SSH服务器服务的设备建立起SSH安全连接，用于远程登录其他设备进行管理操作。下面通过一个典型配置举例说明如何使用SSH登录交换机。

配置步骤

(1) 开启Device和SSH Server设备的SSH服务器功能

Device> enable

Device# configure terminal

Device(Config)# enable service ssh-server

(2) SSH server上配置可用于登录的用户。

请根据实际需求，选择如下三种登录方式中的任意一种进行配置。

# SSH server上配置仅使用用户名登录。

SSHServer> enable

SSHServer# configure terminal

SSHServer(config)# line vty 0

SSHServer(config-line)# username admin

SSHServer(config-line)# login

# SSH server上配置仅使用密码登录。

SSHServer> enable

SSHServer# configure terminal

SSHServer(config)# line vty 0

SSHServer(config-line)# password ruijie

SSHServer(config-line)# login

SSHServer(config-line)# exit

SSHServer(config)# enable password ruijie

SSHServer(config)# end

SSHServer# write

# SSH server上配置使用用户名和密码登录。

SSHServer> enable

SSHServer# configure terminal

SSHServer(config)# line vty 0

SSHServer(config-line)# login local

SSHServer(config-line)# exit

SSHServer(config)# username admin password ruijie

SSHServer(config)# enable password ruijie

SSHServer(config)# end

SSHServer# write

 

(3) 在设备上使用ssh命令登录到SSH server

Device> enable

Device# ssh -l admin 192.168.1.2.

验证配置结果

# 设备成功登录SSH server。

交换机连接无线AP时，在交换机端口上的配置如下：

(1) 在二层以太网/聚合接口配置模式下，通过命令switchport mode trunk将与无线AP连接的接口配置为Trunk口。缺省情况下，二层接口的模式为Access。

(2) 在二层以太网/聚合接口配置模式下，通过命令switchport trunk native vlan vlan-id配置Trunk口的Native VLAN。缺省情况下，Trunk口不存在Native VLAN。

参数说明

vlan-id：指定Native VLAN ID，只能配置单个VLAN。在交换机配置连接无线AP时，需要指定Native VLAN为无线AP的VLAN。

 配置指导

配置二层接口的模式前，需要确保接口为二层模式。通过show interface [ interface-type interface-number ] switchport命令可查看接口当前模式；若接口对应的Switchport字段为“enabled”，表示该接口为二层接口；若接口对应的Switchport字段为“disabled”，表示该接口为三层接口，应当先使用switchport命令将其配置为二层接口。

# 查看接口当前模式

Hostname> enable

Hostname# show interface aggregateport 1 switchport

Trunk口发送Native VLAN的报文不携带Tag；当接口收到不携带Tag的报文认为报文属于其Native VLAN。

 配置举例

# 若无线AP的VLAN为VLAN 10，配置二层以太网接口为Trunk口，配置Native VLAN为VLAN 10。

Hostname> enable

Hostname# configure terminal

Hostname(config)# interface gigabitethernet 0/1

Hostname(config-if-GigabitEthernet 0/1)# switchport mode trunk

Hostname(config-if-GigabitEthernet 0/1)# switch trunk native vlan 10

 

在二层/三层以太网接口配置模式下，通过命令switchport protected配置端口保护或端口隔离功能。

 配置指导

1、 当需要设备上端口之间隔离时，可以将端口设置保护口。当端口设为保护口之后，保护口之间互相无法通讯，保护口与非保护口之间可以正常通讯。

2、 仅以太网接口和聚合接口支持配置保护口。当一个聚合接口被设置为保护口时，该聚合接口所有成员口都被设置为保护口。

3、 尽管两个保护口之间无法通讯，但是将保护口A的流量镜像到保护口B时，保护口A发送或接收的帧依然能够镜像到保护口B上。

4、 缺省情况下，该配置仅仅阻断的是二层通讯，三层路由依然可以通。如果需要阻断三层，可以再配置全局命令protected-ports route-deny，通过设置保护口之间不能进行路由的功能来实现保护口之间的路由阻断功能。

 配置举例

# 配置二层以太网接口GigabitEthernet 0/1为保护口。

Hostname> enable

Hostname# configure terminal

Hostname(config)# interface gigabitethernet 0/1

Hostname(config-if-GigabitEthernet 0/1)# switchport protected

在二层/三层以太网接口配置模式下，通过命令port-group key-number mode { active | passive }配置LACP成员接口。缺省情况下，以太网物理口不属于任何LACP链路聚合口。

参数说明

key-number：LACP链路聚合口的成员接口组的编号，即LACP链路聚合口的接口号。

Active：表示接口会主动发起LACP聚合运算。

Passive：表示接口不会主动发起LACP聚合运算，但是在接收到邻居的LACP报文后会被动参与LACP计算。

配置举例

通过port-group key-number mode active命令创建LACP 3，将Device A上的接口GigabitEthernet 0/1和Device B上的接口GigabitEthernet 0/1加入到LACP 3中。

在Device A上面配置LACP。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# interface GigabitEthernet 0/1

DeviceA(config-if-range)# port-group 3 mode active

在Device B上面配置LACP。

DeviceB> enable

DeviceB# configure terminal

DeviceB(config)# interface GigabitEthernet 0/1

DeviceB(config-if-range)# port-group 3 mode active

 配置指导

1、 聚合后的逻辑链路带宽是成员链路带宽的总和。

2、物理接口和链路聚合口工作在不同层次（二层或三层）的网络时，设备将不允许该物理接口加入到链路聚合口中。

3、聚合接口中有支持配置port speed-mode的成员接口，聚合接口将不支持配置speed，且会自动清除聚合接口上原有的speed配置，聚合接口的配置速率会切换为成员接口port speed-mode配置的速率。

配置方法
可以选择如下两种方式之一进行配置：
1、在全局配置模式下，通过命令interface aggregateport ap-number创建静态聚合接口。
缺省情况下，未配置链路聚合口。
在支持AP功能的设备上配置，以太网口使用聚合功能时需要创建对应的聚合接口。
2、在二层/三层以太网接口配置模式，通过命令port-group ap-number配置以太网静态聚合接口的成员接口。
缺省情况下，以太网物理口不属于任何静态链路聚合口或者LACP链路聚合口。
在支持AP功能的设备上配置。使用静态聚合功能时需要配置对应的静态聚合接口的成员接口。

注：
1、 当一个接口加入AP后，该接口的属性取代为聚合接口的属性，所以一般情况下不允许在聚合接口的成员接口上进行配置，或者将配置单独生效到聚合接口的成员接口上。但少数的命令或者功能，如shutdown和no shutdown配置命令等，这些仍然可以支持在聚合接口的成员接口上配置，且配置能生效。所以用户在使用聚合接口的成员接口的时候，需要根据具体的功能要求来确定是否支持单独在聚合接口的成员接口上生效，并进行正确配置。
2、静态聚合不具备检错机制，成员接口Link Up即绑定，用户需保证拓扑正确性和成员接口之间协商属性的一致性。

参数说明
ap-number：链路聚合接口号。

配置举例
通过port-group ap-number命令创建AP 3，并将Device A上的接口GigabitEthernet 0/1和Device B上的接口GigabitEthernet 0/1加入到静态AP 3中。

在Device A上面创建AP 3口。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# interface GigabitEthernet 0/1

DeviceA(config-if-range)# port-group 3

在Device B上面创建AP 3口。

DeviceB> enable

DeviceB# configure terminal

DeviceB(config)# interface GigabitEthernet 0/1

DeviceB(config-if-range)# port-group 3

配置指导

1、聚合后的逻辑链路带宽是成员链路带宽的总和。

2、只有物理接口才允许加入聚合接口。

3、在将接口加入静态AP前，为避免震荡，需要先在此接口的配置模式中配置shutdown命令。待此接口和它的对端接口都加入对应的静态AP后，再执行no shutdown命令打开接口。

4、不同介质类型或者不同接口类型的接口不允许加入同一个聚合接口。

5、二层接口只能加入二层AP，三层接口只能加入三层AP。包含成员接口的聚合接口不允许改变二层/三层属性。

6、对于三层设备，如果该设备不支持二层功能，聚合接口被创建时，则是三层聚合接口，否则聚合接口被创建时默认为二层聚合接口。

7、接口加入AP时，该接口的属性将被所加入AP的接口属性替代。例如：AP 1口的接口速率为10Mbps，GigabitEthernet 0/1的接口速率为100Mbps，加入AP 1后，GigabitEthernet 0/1的接口速率变为10Mbps。

 

通过命令show interfaces [ interface-type interface-number ]查看接口的带宽及速率。该命令在除用户模式以外的所有模式下均可配置。

参数说明

interface-type interface-number：接口类型和接口编号。如果未指定本参数，则表示查看所有接口信息。

 查看举例

# 查看Access模式GigabitEthernet 0/1的接口信息。

Hostname> enable

Hostname# show interfaces gigabitethernet 0/1

信息说明
BW：接口带宽
Admin speed/oper speed：端口速率和生效速率