1. 为什么企业网络需要VLAN和Trunk技术刚接触企业网络时我总纳闷为什么不能把所有设备都接在同一个网络里。直到有次市场部的广播流量把财务部的打印机搞瘫痪才明白二层隔离的重要性。VLAN虚拟局域网就像给大楼划分不同楼层市场部在10楼财务部在20楼彼此间需要门禁卡三层设备才能互通。而Trunk技术则是楼层间的电梯允许授权人员指定VLAN流量在不同楼层间穿梭。实际组网中常遇到这些典型问题研发部测试设备干扰生产环境访客Wi-Fi可能访问内部服务器视频监控占用大量带宽影响OA系统通过H3C交换机配置VLANTrunk我们能实现广播域隔离不同部门设备在同一物理网络互不干扰安全边界即使不部署防火墙也能阻止横向渗透灵活扩容新增部门只需添加VLAN无需改动物理布线去年给某制造企业实施时仅用3台H3C S5130交换机就解决了注塑车间和装配车间的网络冲突。通过划分VLAN 100/200两个区域设备互不可见但都能通过Trunk链路访问共用ERP服务器。2. 准备工作认识你的H3C交换机第一次登录H3C交换机时那个黑底白字的命令行界面可能会让人发怵。别担心我们只需要掌握几个基础命令H3C system-view # 进入配置模式 [H3C] display current-configuration # 查看当前配置 [H3C] display interface brief # 查看接口状态关键硬件识别要点24口千兆交换机通常命名G1/0/1到G1/0/24万兆上行口可能显示为XG1/0/49光口和电口在配置上没有区别建议先用display命令记录初始状态我吃过亏有次误操作后想恢复配置却忘了之前的光口速率设置。现在养成了改配置前必做备份的习惯H3C save flash:/backup.cfg # 保存配置到文件3. 手把手配置VLAN隔离假设我们要实现这样的场景市场部VLAN 10PC1、PC3财务部VLAN 20PC2、PC43.1 创建并划分VLAN[SW1] vlan 10 # 创建VLAN 10 [SW1-vlan10] description Marketing # 添加描述 [SW1-vlan10] quit [SW1] vlan 20 [SW1-vlan20] description Finance接口分配技巧使用port-group命令批量配置相同策略的接口描述字段一定要填三个月后你会感谢自己[SW1] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/5 # 批量选择接口 [SW1-if-range] port link-type access # 设为接入模式 [SW1-if-range] port access vlan 10 # 划入VLAN 103.2 验证配置效果[SW1] display vlan brief # 检查VLAN划分 [SW1] display interface gigabitethernet 1/0/1 # 查看具体接口常见踩坑点接口灯亮了但不通检查是否误配成trunk模式VLAN创建了但没生效试试先shutdown再undo shutdown接口PC无法互通检查交换机端口和PC网卡的速率/双工模式是否匹配4. 配置Trunk实现跨交换机通信当市场部的PC1接SW1需要与同部门PC3接SW2通信时就需要在两台交换机间建立Trunk链路。这就像在部门楼层之间架设专用通道。4.1 基础Trunk配置# 在SW1上配置连接SW2的接口 [SW1] interface gigabitethernet 1/0/24 # 通常用最后一个端口做上行 [SW1-GigabitEthernet1/0/24] port link-type trunk [SW1-GigabitEthernet1/0/24] port trunk permit vlan 10 20 # 放行指定VLAN安全建议不要图省事用port trunk permit vlan all生产环境建议加上port trunk pvid vlan 999设置native VLAN4.2 高级Trunk调优# 限制VLAN流量占比防止广播风暴 [SW1-GigabitEthernet1/0/24] broadcast-suppression 80 [SW1-GigabitEthernet1/0/24] multicast-suppression 50排障工具[SW1] display interface trunk # 查看Trunk端口状态 [SW1] reset counters interface gigabitethernet 1/0/24 # 重置计数器后观察流量有次客户反映视频会议卡顿通过display发现Trunk口有大量CRC错误更换光纤后问题解决。这提醒我们物理层问题也会表现为逻辑层故障。5. 实战中的典型问题解决5.1 VLAN间通信方案虽然VLAN实现了隔离但部门间总有协作需求。可以通过这些方式实现受控互通三层交换机配置VLAN接口IP做网关路由器子接口单臂路由方案ACL控制精确控制访问权限# 在三层交换机上配置VLAN接口 [SW1] interface vlan-interface 10 [SW1-Vlan-interface10] ip address 192.168.10.1 245.2 常见故障排查流程物理层检查网线、光纤、指示灯状态接口状态display interface查看UP/DOWNVLAN一致性Trunk两端允许的VLAN要匹配MAC地址表display mac-address查看学习情况曾遇到个诡异案例PC1突然无法访问PC3。最后发现是有人把网线从G1/0/2换到G1/0/3而这两个端口属于不同VLAN。现在我们在机柜上贴了详细的端口规划表。6. 扩展应用场景6.1 语音与数据混合部署很多企业使用IP电话可以通过QoS实现语音优先[SW1] interface gigabitethernet 1/0/10 [SW1-GigabitEthernet1/0/10] port link-type hybrid [SW1-GigabitEthernet1/0/10] port hybrid vlan 10 30 untagged [SW1-GigabitEthernet1/0/10] qos priority 56.2 动态VLAN分配结合802.1X认证实现基于用户的VLAN分配[SW1] dot1x [SW1] interface gigabitethernet 1/0/15 [SW1-GigabitEthernet1/0/15] port link-type access [SW1-GigabitEthernet1/0/15] dot1x port-method macbased [SW1-GigabitEthernet1/0/15] dot1x mandatory-vlan 10在高校实验室部署时这种方案让不同课题组自动接入各自VLAN减轻了运维压力。
【新华三】H3C交换机VLAN-Trunk实战:构建高效二层隔离网络
1. 为什么企业网络需要VLAN和Trunk技术刚接触企业网络时我总纳闷为什么不能把所有设备都接在同一个网络里。直到有次市场部的广播流量把财务部的打印机搞瘫痪才明白二层隔离的重要性。VLAN虚拟局域网就像给大楼划分不同楼层市场部在10楼财务部在20楼彼此间需要门禁卡三层设备才能互通。而Trunk技术则是楼层间的电梯允许授权人员指定VLAN流量在不同楼层间穿梭。实际组网中常遇到这些典型问题研发部测试设备干扰生产环境访客Wi-Fi可能访问内部服务器视频监控占用大量带宽影响OA系统通过H3C交换机配置VLANTrunk我们能实现广播域隔离不同部门设备在同一物理网络互不干扰安全边界即使不部署防火墙也能阻止横向渗透灵活扩容新增部门只需添加VLAN无需改动物理布线去年给某制造企业实施时仅用3台H3C S5130交换机就解决了注塑车间和装配车间的网络冲突。通过划分VLAN 100/200两个区域设备互不可见但都能通过Trunk链路访问共用ERP服务器。2. 准备工作认识你的H3C交换机第一次登录H3C交换机时那个黑底白字的命令行界面可能会让人发怵。别担心我们只需要掌握几个基础命令H3C system-view # 进入配置模式 [H3C] display current-configuration # 查看当前配置 [H3C] display interface brief # 查看接口状态关键硬件识别要点24口千兆交换机通常命名G1/0/1到G1/0/24万兆上行口可能显示为XG1/0/49光口和电口在配置上没有区别建议先用display命令记录初始状态我吃过亏有次误操作后想恢复配置却忘了之前的光口速率设置。现在养成了改配置前必做备份的习惯H3C save flash:/backup.cfg # 保存配置到文件3. 手把手配置VLAN隔离假设我们要实现这样的场景市场部VLAN 10PC1、PC3财务部VLAN 20PC2、PC43.1 创建并划分VLAN[SW1] vlan 10 # 创建VLAN 10 [SW1-vlan10] description Marketing # 添加描述 [SW1-vlan10] quit [SW1] vlan 20 [SW1-vlan20] description Finance接口分配技巧使用port-group命令批量配置相同策略的接口描述字段一定要填三个月后你会感谢自己[SW1] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/5 # 批量选择接口 [SW1-if-range] port link-type access # 设为接入模式 [SW1-if-range] port access vlan 10 # 划入VLAN 103.2 验证配置效果[SW1] display vlan brief # 检查VLAN划分 [SW1] display interface gigabitethernet 1/0/1 # 查看具体接口常见踩坑点接口灯亮了但不通检查是否误配成trunk模式VLAN创建了但没生效试试先shutdown再undo shutdown接口PC无法互通检查交换机端口和PC网卡的速率/双工模式是否匹配4. 配置Trunk实现跨交换机通信当市场部的PC1接SW1需要与同部门PC3接SW2通信时就需要在两台交换机间建立Trunk链路。这就像在部门楼层之间架设专用通道。4.1 基础Trunk配置# 在SW1上配置连接SW2的接口 [SW1] interface gigabitethernet 1/0/24 # 通常用最后一个端口做上行 [SW1-GigabitEthernet1/0/24] port link-type trunk [SW1-GigabitEthernet1/0/24] port trunk permit vlan 10 20 # 放行指定VLAN安全建议不要图省事用port trunk permit vlan all生产环境建议加上port trunk pvid vlan 999设置native VLAN4.2 高级Trunk调优# 限制VLAN流量占比防止广播风暴 [SW1-GigabitEthernet1/0/24] broadcast-suppression 80 [SW1-GigabitEthernet1/0/24] multicast-suppression 50排障工具[SW1] display interface trunk # 查看Trunk端口状态 [SW1] reset counters interface gigabitethernet 1/0/24 # 重置计数器后观察流量有次客户反映视频会议卡顿通过display发现Trunk口有大量CRC错误更换光纤后问题解决。这提醒我们物理层问题也会表现为逻辑层故障。5. 实战中的典型问题解决5.1 VLAN间通信方案虽然VLAN实现了隔离但部门间总有协作需求。可以通过这些方式实现受控互通三层交换机配置VLAN接口IP做网关路由器子接口单臂路由方案ACL控制精确控制访问权限# 在三层交换机上配置VLAN接口 [SW1] interface vlan-interface 10 [SW1-Vlan-interface10] ip address 192.168.10.1 245.2 常见故障排查流程物理层检查网线、光纤、指示灯状态接口状态display interface查看UP/DOWNVLAN一致性Trunk两端允许的VLAN要匹配MAC地址表display mac-address查看学习情况曾遇到个诡异案例PC1突然无法访问PC3。最后发现是有人把网线从G1/0/2换到G1/0/3而这两个端口属于不同VLAN。现在我们在机柜上贴了详细的端口规划表。6. 扩展应用场景6.1 语音与数据混合部署很多企业使用IP电话可以通过QoS实现语音优先[SW1] interface gigabitethernet 1/0/10 [SW1-GigabitEthernet1/0/10] port link-type hybrid [SW1-GigabitEthernet1/0/10] port hybrid vlan 10 30 untagged [SW1-GigabitEthernet1/0/10] qos priority 56.2 动态VLAN分配结合802.1X认证实现基于用户的VLAN分配[SW1] dot1x [SW1] interface gigabitethernet 1/0/15 [SW1-GigabitEthernet1/0/15] port link-type access [SW1-GigabitEthernet1/0/15] dot1x port-method macbased [SW1-GigabitEthernet1/0/15] dot1x mandatory-vlan 10在高校实验室部署时这种方案让不同课题组自动接入各自VLAN减轻了运维压力。
