组网需求
某公司拥有多个部门且位于同一网段,为了提升业务安全性,将不同部门的用户划分到不同VLAN 中,如 图 5-7 所示, VLAN2 和 VLAN3 属于不同部门。各部门均有访问Internet需求,同时由于业务需要,不同部门间的用户需要互通。
图 5-7 配置 VLAN 聚合组网图
配置思路
可以在 SwitchB 上部署 VLAN 聚合,将不同部门的 VLAN 聚合到 Super VLAN 中,这样, 不同部门的用户可通过Super VLAN 访问 Internet 。同时,为使部门间用户互通,在 Super VLAN上部署 Proxy ARP 功能。采用如下思路配置 VLAN 聚合:
1. 在 SwitchA 和 SwitchB 上配置 VLAN 和接口,将不同部门用户划分到不同 VLAN 中, 并透传各VLAN 到 SwitchB 。
2. 在 SwitchB 上配置 Super-VLAN 及其对应的 VLANIF 接口、上行路由,使不同部门的用户能够访问Internet 。
3. 在 SwitchB 上启用 Super-VLAN 的 Proxy ARP 功能,使不同部门的用户间三层互通。
操作步骤
步骤 1 配置 VLAN 和接口,将不同部门用户划分到不同 VLAN 中,并透传各 VLAN 到 SwitchB
1. 配置 SwitchA
# 配置接口 GE0/0/1 为 Access 类型。接口 GE0/0/2 、 GE0/0/3 、 GE0/0/4 的配置与GE0/0/1类似,不再赘述。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type access
[SwitchA-GigabitEthernet0/0/1] quit
# 创建 VLAN2 并向 VLAN2 中加入 GE0/0/1 和 GE0/0/2 。
[SwitchA] vlan 2
[SwitchA-vlan2] port gigabitethernet 0/0/1 0/0/2
[SwitchA-vlan2] quit
# 创建 VLAN3 并向 VLAN3 中加入 GE0/0/3 和 GE0/0/4 。
[SwitchA] vlan 3
[SwitchA-vlan3] port gigabitethernet 0/0/3 0/0/4
[SwitchA-vlan3] quit
# 配置 SwitchA 连接 SwitchB 的接口,透传 VLAN2 和 VLAN3 到 SwitchB 。
[SwitchA] interface gigabitethernet 0/0/5
[SwitchA-GigabitEthernet0/0/5] port link-type trunk
[SwitchA-GigabitEthernet0/0/5] port trunk allow-pass vlan 2 3
[SwitchA-GigabitEthernet0/0/5] quit
2. 配置 SwitchB
# 创建 VLAN2 、 VLAN3 、 VLAN4 、 VLAN10 ,并配置 SwitchB 连接 SwitchA 的接口,使VLAN2 和 VLAN3 透传到 SwitchB 。
<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan batch 2 3 4 10
[SwitchB] interface gigabitethernet 0/0/5
[SwitchB-GigabitEthernet0/0/5] port link-type trunk
[SwitchB-GigabitEthernet0/0/5] port trunk allow-pass vlan 2 3
[SwitchB-GigabitEthernet0/0/5] quit
步骤 2 配置 Super-VLAN 及其对应的 VLANIF 接口
# 在 SwitchB 上配置 Super-VLAN 4 ,并将 VLAN2 、 VLAN3 加入到 Super-VLAN 4 ,作为其Sub-VLAN 。
[SwitchB] vlan 4
[SwitchB-vlan4] aggregate-vlan
[SwitchB-vlan4] access-vlan 2 to 3
[SwitchB-vlan4] quit
# 创建并配置 VLANIF4 ,使不同部门的用户可通过 Super-VLAN 4 访问 Internet 。
[SwitchB] interface vlanif 4
[SwitchB-Vlanif4] ip address 10.1.1.1 255.255.255.0
[SwitchB-Vlanif4] quit
步骤 3 配置上行路由
# 在 SwitchB 上配置上行接口 GE0/0/1 ,透传 SwitchB 与出口网关 Router 的互联 VLAN 。
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet0/0/1] quit
# 创建并配置 VLANIF10 ,指定其 IP 地址为 SwitchB 与出口网关 Router 对接的 IP 地址。
[SwitchB] interface vlanif 10
[SwitchB-Vlanif10] ip address 10.10.1.1 255.255.255.0
[SwitchB-Vlanif10] quit
# 在 SwitchB 上配置一条到出口网关 Router 的缺省静态路由,使用户能够访问
Internet 。
[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2
PS:还需要在出口网关 Router 上配置其与 SwitchB 对接的接口,指定其 IP 地址为 10.10.1.2 ,具体配置 请参见Router 的配置手册。
步骤 4 配置用户 IP 地址
分别为各用户配置 IP 地址,并使它们和 VLAN4 处于同一网段。
配置成功后,各部门用户可以访问 Internet ,但 VLAN2 的用户与 VLAN3 的用户间不可
以相互 Ping 通。
步骤 5 配置 Proxy ARP
# 在 SwitchB 的 Super-VLAN 4 下配置 Proxy ARP ,使不同部门的用户间三层互通。
[SwitchB] interface vlanif 4
[SwitchB-Vlanif4] arp-proxy inter-sub-vlan-proxy enable
[SwitchB-Vlanif4] quit
步骤 6 验证配置结果
配置完成后, VLAN2 的用户与 VLAN3 的用户可以相互 Ping 通,且都可以访问
Internet 。
---- 结束
配置文件
● SwitchA 的配置文件
#
sysname SwitchA
#
vlan batch 2 to 3
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 3
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return
● SwitchB 的配置文件
#
sysname SwitchB
#
vlan batch 2 to 4 10
#
vlan 4
aggregate-vlan
access-vlan 2 to 3
#
interface Vlanif4
ip address 10.1.1.1 255.255.255.0
arp-proxy inter-sub-vlan-proxy enable
#
interface Vlanif10
ip address 10.10.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
ip route-static 0.0.0.0 0.0.0.0 10.10.1.2
#
return
