什么是管理 VLAN 与 VLANIF 接口
众所周知,不管是网管型还是非网管型交换机,一般都是工作在二层数据链路层的,对应的非常流行的 VLAN 技术也属于二层技术。为了实现某些管理目的,比如实时了解交换机运行状况、远程调试交换机等,需要借助基于 VLAN 的逻辑接口 VLANIF 技术来实现网络层设备通信。 值得注意的是,任何 VLAN 都可以创建对应的 VLANIF 接口并配置 IP 地址,VLANIF 接口并不是 缺省VLAN 或 管理VLAN 的专属。管理 VLAN 与普通 VLAN 之间的区别在于,管理 VLAN 不允许 Access 类型和 Dot1q-Tunnel 类型的接口加入该 VLAN,这很好的隔离了普通用户,降低了网络设备的不安全因素。总之,管理 VLAN 虽是一类特殊的 VLAN,但仍属于二层技术,而 VLANIF 接口则属于三层网络层技术。
VLANIF 接口和 SVI 接口
VLANIF 接口和 SVI 接口是不同厂商的命名,工作原理和实现目的都是相同的,没有本质区别。VLANIF 接口常见于华为系网络产品,SVI 接口常见于 Cisco 系网络产品。
管理 VLAN(及VLANIF)应用场景
- 通过 SNMP 等协议接入平台,实时监控交换机运行状况,如CPU负载、IO、接口带宽使用率等等;
- 远程登录配置交换机;
- 自动备份设备配置信息和 log 日志信息等。
哪些设备支持配置管理 VLAN
在 VLAN 视图下支持 management-vlan 命令的交换机,具体型号请查阅对应官方的产品说明文档。
VLANIF 接口编号是否能与 VLAN 编号不一致
VLANIF 接口是基于 VLAN 创建的一类逻辑接口/虚拟接口,在交换机设备上必须先创建好 VLAN 后,才能创建对应的 VLANIF 接口。所以,VLANIF 接口编号必须与 VLAN 编号一致,不能是任意数字。虽然都是虚拟接口,这一点和 Loopback 有所不同。
配置思路
管理平台/配置用PC 到 目标交换机网络路径上的所有设备都需要加入管理 VLAN,且管理平台/配置用PC 的 IP 地址必须与目标交换机处于同一网段。 拓扑图:
基本配置过程
• Switch1:
(1)创建管理 VLAN 及配置 VLANIF;
<Switch1>sys
Enter system view, return user view with Ctrl+Z.
[Switch1]vlan 999
[Switch1-vlan999]man
[Switch1-vlan999]management-vlan
[Switch1-vlan999]qu
[Switch1]int vlanif 999
[Switch1-Vlanif999]ip add 10.0.0.1 24
(2)配置 G0/0/1 口,并放行 VLAN 999.
[Switch1]int g0/0/1
[Switch1-GigabitEthernet0/0/1]port link-type trunk
[Switch1-GigabitEthernet0/0/1]port trunk allow-pass vlan 999
[Switch1-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 999
#
return
• Switch2:
(1)、(2)操作同上; # VLANIF 接口IP地址配置为 10.0.0.2/24
(3)配置 E0/0/1 口,并修改 PVID。 #PVID 为端口默认 VLAN ID,Trunk 口出方向上对 VLAN号与PVID号相同的数据帧 untag “脱”标签处理
[Switch2]int e0/0/1
[Switch2-Ethernet0/0/1]port link-type trunk
[Switch2-Ethernet0/0/1]port trunk pvid vlan 999
[Switch2-Ethernet0/0/1]port trunk allow-pass vlan 999
[Switch2-Ethernet0/0/1]dis this
#
interface Ethernet0/0/1
port link-type trunk
port trunk pvid vlan 999
port trunk allow-pass vlan 999
#
return
• PC1: 配置IP地址为:10.0.0.11/24
• PC2: 配置IP地址为:10.0.0.12/24
验证
PC1 能 ping 通 Switch1、Switch2,但是不能 ping 通 PC2;
PC2 不能任何设备互通;
Switch1、Switch2 之间能够互相 ping 通。
查看配置的一些常用命令与技巧
- VLAN、VLANIF、Ethernet、GigabitEthernet 等接口配置视图下,使用 display this 命令查看当前接口下的所有配置项;
- 通过当前配置查看,display current-configuration 命令,并结合管道符号“|”及“begin、include、exclude”等关键字进行过滤:
dis cur | begin interface Vlanif #过滤截取从 VLANIF 虚接口配置项开始至结束的配置信息
dis cur | exclude [/,#] #排除所有接口配置项(华为支持匹配正则表达式)
dis cur | include [0-9].[0-9].[0-9].[0-9] #过滤出配置项中所有的 IP 地址信息 - 使用专用查看命令快速查看:
查看 VLAN 信息:dis vlan [999]
查看 VLANIF 信息:dis int vlanif [999]
查看 三层接口 IP地址: dis ip int [brief] [vlanif [999]]