一文带你快速通关管理VLAN、VLANIF、SVI等的配置和使用

491次阅读
没有评论

什么是管理 VLAN 与 VLANIF 接口

众所周知,不管是网管型还是非网管型交换机,一般都是工作在二层数据链路层的,对应的非常流行的 VLAN 技术也属于二层技术。为了实现某些管理目的,比如实时了解交换机运行状况、远程调试交换机等,需要借助基于 VLAN 的逻辑接口 VLANIF 技术来实现网络层设备通信。 值得注意的是,任何 VLAN 都可以创建对应的 VLANIF 接口并配置 IP 地址,VLANIF 接口并不是 缺省VLAN 或 管理VLAN 的专属。管理 VLAN 与普通 VLAN 之间的区别在于,管理 VLAN 不允许 Access 类型和 Dot1q-Tunnel 类型的接口加入该 VLAN,这很好的隔离了普通用户,降低了网络设备的不安全因素。总之,管理 VLAN 虽是一类特殊的 VLAN,但仍属于二层技术,而 VLANIF 接口则属于三层网络层技术。

VLANIF 接口和 SVI 接口

VLANIF 接口和 SVI 接口是不同厂商的命名,工作原理和实现目的都是相同的,没有本质区别。VLANIF 接口常见于华为系网络产品,SVI 接口常见于 Cisco 系网络产品。

管理 VLAN(及VLANIF)应用场景

  1. 通过 SNMP 等协议接入平台,实时监控交换机运行状况,如CPU负载、IO、接口带宽使用率等等;
  2. 远程登录配置交换机;
  3. 自动备份设备配置信息和 log 日志信息等。

哪些设备支持配置管理 VLAN

在 VLAN 视图下支持 management-vlan 命令的交换机,具体型号请查阅对应官方的产品说明文档。

VLANIF 接口编号是否能与 VLAN 编号不一致

VLANIF 接口是基于 VLAN 创建的一类逻辑接口/虚拟接口,在交换机设备上必须先创建好 VLAN 后,才能创建对应的 VLANIF 接口。所以,VLANIF 接口编号必须与 VLAN 编号一致,不能是任意数字。虽然都是虚拟接口,这一点和 Loopback 有所不同。

配置思路

管理平台/配置用PC 到 目标交换机网络路径上的所有设备都需要加入管理 VLAN,且管理平台/配置用PC 的 IP 地址必须与目标交换机处于同一网段。 拓扑图:

一文带你快速通关管理VLAN、VLANIF、SVI等的配置和使用
P1.管理 VLAN 实验拓扑图
© 由 IT摇篮曲 提供

基本配置过程

• Switch1:

(1)创建管理 VLAN 及配置 VLANIF;

<Switch1>sys
Enter system view, return user view with Ctrl+Z.
[Switch1]vlan 999
[Switch1-vlan999]man
[Switch1-vlan999]management-vlan
[Switch1-vlan999]qu
[Switch1]int vlanif 999
[Switch1-Vlanif999]ip add 10.0.0.1 24

(2)配置 G0/0/1 口,并放行 VLAN 999.

[Switch1]int g0/0/1
[Switch1-GigabitEthernet0/0/1]port link-type trunk
[Switch1-GigabitEthernet0/0/1]port trunk allow-pass vlan 999
[Switch1-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 999
#
return

• Switch2:

(1)、(2)操作同上; # VLANIF 接口IP地址配置为 10.0.0.2/24
(3)配置 E0/0/1 口,并修改 PVID。 #PVID 为端口默认 VLAN ID,Trunk 口出方向上对 VLAN号与PVID号相同的数据帧 untag “脱”标签处理

[Switch2]int e0/0/1
[Switch2-Ethernet0/0/1]port link-type trunk
[Switch2-Ethernet0/0/1]port trunk pvid vlan 999
[Switch2-Ethernet0/0/1]port trunk allow-pass vlan 999
[Switch2-Ethernet0/0/1]dis this
#
interface Ethernet0/0/1
port link-type trunk
port trunk pvid vlan 999
port trunk allow-pass vlan 999
#
return

• PC1: 配置IP地址为:10.0.0.11/24

• PC2: 配置IP地址为:10.0.0.12/24

验证

PC1 能 ping 通 Switch1、Switch2,但是不能 ping 通 PC2;

一文带你快速通关管理VLAN、VLANIF、SVI等的配置和使用
P2.PC1 ping 通 Switch1、Switch2,但不能 ping 通 PC2
© 由 IT摇篮曲 提供

PC2 不能任何设备互通;

一文带你快速通关管理VLAN、VLANIF、SVI等的配置和使用
P3.PC2 不能与任何设备通信
© 由 IT摇篮曲 提供

Switch1、Switch2 之间能够互相 ping 通。

一文带你快速通关管理VLAN、VLANIF、SVI等的配置和使用
P4.Switch1、Switch2 之间能够互相 ping 通
© 由 IT摇篮曲 提供

查看配置的一些常用命令与技巧

  1. VLAN、VLANIF、Ethernet、GigabitEthernet 等接口配置视图下,使用 display this 命令查看当前接口下的所有配置项;
  2. 通过当前配置查看,display current-configuration 命令,并结合管道符号“|”及“begin、include、exclude”等关键字进行过滤:
    dis cur | begin interface Vlanif #过滤截取从 VLANIF 虚接口配置项开始至结束的配置信息
    dis cur | exclude [/,#] #排除所有接口配置项(华为支持匹配正则表达式)
    dis cur | include [0-9].[0-9].[0-9].[0-9] #过滤出配置项中所有的 IP 地址信息

    一文带你快速通关管理VLAN、VLANIF、SVI等的配置和使用
    P5.display管道命令
    © 由 IT摇篮曲 提供
  3. 使用专用查看命令快速查看:
    查看 VLAN 信息:dis vlan [999]
    查看 VLANIF 信息:dis int vlanif [999]
    查看 三层接口 IP地址: dis ip int [brief] [vlanif [999]]
正文完
 
itylq
版权声明:本站原创文章,由 itylq 2024-05-30发表,共计2669字。
转载说明:本站文章遵循CC-4.0国际许可协议,转载请注明出处(格式如“来源:IT摇篮曲www.itylq.com")。
评论(没有评论)
验证码