烽火交换机速配手册(3)

图1

注意事项：

1． 在web网管下修改IP地址后，因为交换机的ip地址发生了改变，如果希

望继续通过web网管进行其它配置，那么需要在http浏览器输入新的ip地址、进行登录后才可以继续配置

2． 如果修改了管理vlan，那么需要保证ip数据可以通过新的管理vlan访问

交换机才可以继续使用web网管。建议上联口对于所有的vlan都是IEEE802.1q tag端口，并且上联口对应交换机（或者路由器）的接口也是IEEE802.1q tag端口，这样就算是修改了管理vlan，也不至于不能通过web网管来管理交换机。

2.2 802.1Q vlan

5

?

创建VLAN

S2000M (config) #interface vlan 2 S2000M (config-vlan-2) #

【该命令能够创建vlan，或者进入指定的vlan。如果只输入一个参数，那么交换机将查看系统中是否已经存在该vlan，如果没有则创建该vlan，并进入该vlan配置节点；如果交换机已经存在该vlan，则进入该vlan配置节点。如果输入两个参数，则创建从第一个参数至第二个参数之间的所有vlan】 ?

删除VLAN

S2000M (config) #no vlan 2

【本命令可以输入一个参数或者两个参数，如果输入两个参数，则可以删除从第一个参数到第二个参数之间的所有vlan】 ?

把端口加入vlan

S2000M (config-eth-1) #join vlan 1,3-20 tagged ?

在vlan中设置成员端口

S2000M (config-vlan-5) #member 1-3 untagged

【该命令用于在vlan配置模式下将多个端口加入这个vlan，并指明这些端口在这个vlan中是标记端口还是非标记端口。在端口配置模式下使用join vlan也可以把端口加入vlan中，至于使用哪个命令来把端口加入vlan可以根据配置的方便由管理员灵活使用】 ?

端口退出vlan

S2000M (config-eth-1) #quit vlan 5-10 【用于将某个端口从多个vlan中退出】 ?

vlan删除成员端口

S2000M (config-vlan-5) #no member 1-3

6

【该命令用于将多个端口从1个vlan中退出】 ?

设置端口的PVID

S2000M (config-eth-1) #pvid 100

【该命令用于设置端口的PVID值，如果某个端口会收到非标记帧时一定要将该端口的PVID值设置为正确的vlan值。】 ?

设置端口的帧接受类型

S2000MA (config-eth-1) #dot1q accept all

【all表示该端口接受所有类型的数据帧：vlan标记帧、优先级帧、非标记帧；参数tagged-only表示该端口只接受vlan标记帧】 ?

设置端口的入过滤

S2000MA (config-eth-1) #dot1q ingress-filter (enable︱disable)

【enalbe表示使能端口入过滤，disable表示不使能端口的入过滤。上面的命令将设置端口1的入过滤使能，当这个端口接收到自己并不属于的vlan的数据时，将把该数据丢弃】 注意事项

1. 一个端口可以属于多个vlan，比如端口1可以属于vlan1，也可以属

于vlan5；

2. 一个端口可以在某些vlan中是标记端口，也可以在其它vlan中是非

标记端口。比如，端口1可以在vlan 1至vlan5中是标记端口，也可以在vlan6至vlan10中是非标记端口；

3. 如果交换机的端口用于接入用户时（即这个端口收到的数据是非

标记帧），除了将这个端口加入正确的vlan外，还需要将端口的PVID更改为接入vlan的值。比如，端口1用于接入用户，并且网络规划中把这个用户划分到vlan100中，那么除了把端口1配置到

7

vlan100以外，还需要将端口1的PVID值也设置为100；

4. 如果一个端口属于多个vlan，建议在配置时把这个端口在这些vlan

中都配置为标记端口；

2.3 私有VLAN 私有vlan：可以理解为“端口隔离组”，凡在同一个隔离组内的接口都是不允许互相通信的。私有vlan的目的主要是隔离交换机上的用户接入端口，以防止用户因为可以互相通信导致互相影响、或者使用代理软件进行上网等。

之所以将该功能命名为“私有vlan”是因为目前已经有很多公司用该名词来命名该功能，为了符合用户的使用习惯，因此烽火网络也将该功能命名为“私有vlan”，但是需要注意的是“私有vlan”跟IEEE 802.1Q里提到的vlan其实没有任何关联，并且在意义上恰恰相反：IEEE802.1Q中的接口是可以互相访问的，“私有vlan”中的接口是不能互相访问的，而且“私有vlan”的作用优先于IEEE 802.1Q Vlan，即，即使几个端口属于同一个IEEE 802.1Q Vlan，如果它们同时也属于某个“私有vlan”，那么它们之间是不能互相通信的。 ?

CLI方式

S2000M(config)#pvlan 1 【上面的命令创建私有vlan 1】 S2000M(config-pvlan-1)#isolate-ports 2-6

【该命令将交换机上的2－6号接口互相隔离起来，2－6号接口之间不能进行数据转发】

S2000M(config)#no pvlan 1

【该命令删除pvlan 1，私有vlan1中的接口可以互相访问】 私有vlan的显示： S2000M#show pvlan

8

PVlan 1 isolate-ports 2-5

【该命令显示系统中存在的私有vlan】 ?

WEB方式

使用web浏览器登录交换机的web网管界面，进入vlan配置节点后在点击“基于端口配置vlan”子节点，在配置页面中输入想创建的pvlan以及希望隔离的端口，提交即可，是一个页面实例：

图2

图2的web页面创建了pvlan 1，其中2－5号接口是互相隔离的；pvlan 2中10－15号接口是互相隔离的。

9

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库烽火交换机速配手册(3)在线全文阅读。