目录

一、课程回顾(衔接上节课核心)

二、核心知识点(新知学习)

(一)交换机工作原理

1. 核心逻辑

2. 关键命令

3. 学习过程示例

(二)VLAN 概述(虚拟局域网)

1. 核心作用

2. 关键特性

3. 核心命令(VLAN 创建与端口配置)

(三)Trunk 概述(干道链路)

1. 核心作用

2. 端口类型对比

3. 核心命令

(四)跨 VLAN 通信(二层隔离→三层互通)

1. 方式一:SVI(交换虚拟接口,三层交换机实现)

2. 方式二:单臂路由(路由器子接口实现)

(五)交换机端口安全

1. 核心作用

2. 违规处理措施

3. 核心命令

(六)交换机端口镜像

1. 核心作用

2. 核心命令

(七)高级 VLAN 划分(基于 MAC/IP 地址)

1. 基于 MAC 地址的 VLAN 划分

2. 基于 IP 地址的 VLAN 划分

(八)Super VLAN 和端口隔离

1. Super VLAN(聚合 VLAN)

2. 端口隔离

(九)VLAN Mapping(VLAN 标签转换)

(十)Hybrid 端口概述(华为特有)

1. 核心特性

2. 配置命令(两种模式)

3. 典型应用:酒店房间互通控制

三、课程小结(核心提炼)

四、课后练习要求

五、补充知识点(拓展延伸)

1. VLAN 编号详细分类

2. Trunk 本征 VLAN 的关键作用

3. SVI 与单臂路由优缺点对比

4. Hybrid 端口与 Access/Trunk 的核心区别

5. 常见故障排查(实操重点)

6. 实际应用场景拓展

一、课程回顾(衔接上节课核心)

  1. 华为设备命令模式:用户视图(<>查询)、系统视图([]配置)及切换命令
  2. 基本命令:模式切换、设备命名、IP 配置、查询与保存命令,?/TAB/undo等快捷操作
  3. 设备访问方式:本地 Console(首次配置)、远程 Telnet(明文)/SSH(加密)及认证配置

二、核心知识点(新知学习)

(一)交换机工作原理

1. 核心逻辑

交换机基于MAC 地址表转发数据帧,核心流程:

  1. 接收数据帧,提取源 MAC 地址和入端口,写入 MAC 地址表(动态学习,默认老化时间 5 分钟)
  2. 提取目的 MAC 地址,查询 MAC 地址表:
    • 存在对应条目:单播转发至目标端口
    • 不存在对应条目:广播转发至所有除入端口外的端口(泛洪)
  3. 目标设备回应后,交换机学习其 MAC 地址与端口的映射关系,后续单播转发
2. 关键命令
功能描述 命令格式 适用模式 备注
关闭日志信息(避免干扰) undo info-center enable 系统视图 实操时常用,专注配置
查看 MAC 地址表 display mac-address(缩写:dis mac-add 任意视图 可加verbose查看详细信息
配置静态 MAC 条目 mac-address static MAC地址 接口类型 接口号 vlan 1 系统视图 静态条目不会老化
清空 MAC 地址表 reset arp all 用户视图 注意:同时清空 ARP 缓存
3. 学习过程示例
  • 初始状态:MAC 地址表为空
  • PC1→PC2:交换机泛洪数据帧,学习 PC1(源 MAC+Eth0/0/1)、PC2(回应后 MAC+Eth0/0/2)映射
  • PC1→PC3:交换机已学习 PC1,泛洪后学习 PC3(MAC+Eth0/0/3),后续单播转发

(二)VLAN 概述(虚拟局域网)

1. 核心作用
  • 隔离广播域:解决广播风暴问题,缩小广播范围
  • 提升安全性:不同 VLAN 二层隔离,需三层设备才能通信
  • 简化管理:按部门、职能划分 VLAN(如财务部 VLAN10、技术部 VLAN20)
2. 关键特性
  1. VLAN1 是默认 VLAN,所有端口初始属于 VLAN1,建议 VLAN 与网段一一对应(如 VLAN10 对应 192.168.10.0/24)
  2. 不同 VLAN 默认二层隔离(单播、广播均不能直接通信),需三层路由实现互通
  3. PC 终端不识别 VLAN 标签:接收带标签的报文直接丢弃,发送报文无标签
  4. Access 端口处理逻辑:
    • 接收 PC 报文:添加本端口 PVID(默认 VLAN1)标签后转发
    • 发送给 PC:剥离 VLAN 标签后转发
  5. 交换机内部所有报文必须带 VLAN 标签,用于识别所属 VLAN
  6. VLAN 编号范围:1-4094(1-1005 为正常 VLAN,1006-4094 为扩展 VLAN,需手动启用)
3. 核心命令(VLAN 创建与端口配置)
功能描述 命令格式 适用模式 备注
创建单个 VLAN vlan 编号(如vlan 10 系统视图 编号 1-4094
批量创建不连续 VLAN vlan batch 编号1 编号2 ...(如vlan batch 10 20 30 系统视图 高效创建多个独立 VLAN
批量创建连续 VLAN vlan batch 起始编号 to 结束编号(如vlan batch 10 to 20 系统视图 创建 10-20 共 11 个 VLAN
配置端口为 Access 类型 port link-type access 接口视图 连接 PC 终端的端口必配
配置 Access 端口默认 VLAN port default vlan 编号(如port default vlan 10 接口视图 需先设为 Access 类型
进入连续端口组 port-group group-member 起始接口 to 结束接口(如port-group group-member Eth0/0/1 to Eth0/0/5 系统视图 批量配置多个端口,提升效率
查看 VLAN 配置信息 display vlan(缩写:dis vlan 任意视图 显示所有 VLAN 及端口归属

(三)Trunk 概述(干道链路)

1. 核心作用

连接两台交换机,实现单个端口传输多个 VLAN 的数据(带 VLAN 标签转发),解决跨交换机同 VLAN 通信问题。

2. 端口类型对比
端口类型 核心用途 转发逻辑 适用场景
Access 连接终端 PC、服务器 仅允许本端口 PVID 对应的 VLAN 通过,剥离标签转发 PC→交换机、服务器→交换机
Trunk 连接交换机、路由器 允许指定 VLAN 通过,带标签转发(本征 VLAN 除外) 交换机→交换机、交换机→路由器
Hybrid 特殊复杂场景(华为特有) 可灵活配置 tagged/untagged VLAN,兼具前两者特性 需自定义转发规则的场景
3. 核心命令
功能描述 命令格式 适用模式 备注
配置端口为 Trunk 类型 port link-type trunk 接口视图 连接交换机的端口必配
允许所有 VLAN 通过 Trunk port trunk allow-pass vlan all 接口视图 实验环境常用,简化配置
允许指定 VLAN 通过 Trunk port trunk allow-pass vlan 编号1 编号2port trunk allow-pass vlan 起始编号 to 结束编号 接口视图 生产环境按需配置,提升安全性
设置 Trunk 本征 VLAN port trunk pvid vlan 编号(默认 VLAN1) 接口视图 本征 VLAN 的报文不带标签转发
查看端口 VLAN 信息 display port vlan(缩写:dis port vlan 任意视图 显示端口类型、允许 VLAN、PVID
清除端口配置(恢复默认) clear configuration interface 接口类型 接口号 系统视图 配置错误时快速重置
设备重启 reboot 用户视图 清除配置后需重启生效
恢复出厂设置 reset saved-configuration 用户视图 需确认,清空所有保存配置

(四)跨 VLAN 通信(二层隔离→三层互通)

1. 方式一:SVI(交换虚拟接口,三层交换机实现)
  • 核心逻辑:在三层交换机上为每个 VLAN 创建 SVI 接口,配置 IP 地址(作为该 VLAN 的网关),通过三层路由实现跨 VLAN 互通
  • 适用场景:中小型网络,配置简单、转发效率高
  • 核心命令:

    plaintext

    system-view
vlan 10  # 确保VLAN已创建
interface vlanif 10  # 进入SVI接口(VLAN与VLANIF编号一致)
ip address 192.168.10.254 24  # 配置网关IP(网段与VLAN对应)
interface vlanif 20
ip address 192.168.20.254 24
# 连接二层交换机的端口设为Trunk,允许VLAN10/20通过
interface Eth0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
2. 方式二:单臂路由(路由器子接口实现)
  • 核心逻辑:路由器物理端口划分子接口,每个子接口绑定一个 VLAN,配置网关 IP,通过子接口转发不同 VLAN 的报文
  • 适用场景:无三层交换机的场景,成本低但转发瓶颈(单物理端口承载所有 VLAN 流量)
  • 核心命令:

    plaintext

    system-view
interface Ethernet0/0/0.10  # 创建子接口(编号与VLAN一致,便于管理)
ip address 192.168.10.254 24  # 配置VLAN10的网关
dot1q termination vid 10  # 绑定VLAN10(剥离VLAN标签)
arp broadcast enable  # 开启ARP广播(关键!否则子接口无法转发ARP请求)

interface Ethernet0/0/0.20
ip address 192.168.20.254 24
dot1q termination vid 20
arp broadcast enable
  • 配套配置:交换机连接路由器的端口设为 Trunk,允许 VLAN10/20 通过

(五)交换机端口安全

1. 核心作用

限制接入端口的设备 MAC 地址,防止非法设备接入(如他人私自插电脑到办公网络)。

2. 违规处理措施
措施类型 功能描述 适用场景
shutdown 检测到非法 MAC 时,立即关闭端口(需undo shutdown恢复) 安全性要求高的场景
restrict 丢弃非法报文,发送告警给网管 需监控非法接入的场景
protect 仅丢弃非法报文,不告警 不影响业务的场景
3. 核心命令
功能描述 命令格式 适用模式 备注
开启端口安全功能 port-security enable 接口视图 需先设为 Access 类型
设置允许的最大 MAC 数 port-security max-mac-num 数量(如port-security max-mac-num 1 接口视图 设为 1 时,仅允许一个设备接入
启用静态绑定 MAC port-security mac-address sticky MAC地址 vlan 1 接口视图 绑定后仅该 MAC 可接入
设置违规措施 port-security protect-action 措施(shutdown/restrict/protect) 接口视图 默认多为 shutdown

(六)交换机端口镜像

1. 核心作用

将目标端口(被监控端口)的流量复制到观察端口(连接监控设备如 PC+Wireshark),用于网络故障排查、流量分析。

2. 核心命令
功能描述 命令格式 适用模式 备注
配置观察端口 observe-port 1 interface 接口类型 接口号(如observe-port 1 interface GigabitEthernet 0/0/2 系统视图 1 为观察组编号(可设多个)
配置镜像端口(双向流量) port-mirroring to observe-port 1 both 接口视图(被监控端口) both:进出流量;in:入流量;out:出流量

(七)高级 VLAN 划分(基于 MAC/IP 地址)

1. 基于 MAC 地址的 VLAN 划分
  • 核心逻辑:根据设备 MAC 地址自动划分 VLAN(设备移动端口后仍属于原 VLAN)
  • 适用场景:固定设备(如服务器)需固定 VLAN 的场景
  • 核心命令:

    plaintext

    system-view
interface Eth0/0/1
port hybrid untagged vlan 10 20  # 端口设为hybrid,允许VLAN10/20不带标签通过
mac-vlan enable  # 启用MAC-VLAN功能
vlan 10
mac-vlan mac-address 0000-0000-0001  # 绑定MAC地址到VLAN10
2. 基于 IP 地址的 VLAN 划分
  • 核心逻辑:根据设备 IP 地址 / 网段自动划分 VLAN
  • 适用场景:按 IP 网段规划 VLAN 的场景(如办公网段→VLAN10,服务器网段→VLAN20)
  • 核心命令:

    plaintext

    system-view
interface Eth0/0/1
port hybrid untagged vlan 10 20
ip-subnet-vlan enable  # 启用IP-Subnet-VLAN功能
vlan 10
ip-subnet-vlan 1 ip 192.168.10.0 24  # 绑定网段到VLAN10
display ip-subnet-vlan vlan all  # 查看IP-VLAN映射

(八)Super VLAN 和端口隔离

1. Super VLAN(聚合 VLAN)
  • 核心作用:多个子 VLAN 共享一个 SVI 接口(网关),节约 IP 地址(无需为每个子 VLAN 分配独立网段)
  • 适用场景:酒店、小区等用户密集场景(每个房间一个子 VLAN,共享网关访问互联网)
  • 核心命令:

    plaintext

    system-view
vlan 200  # 创建Super VLAN
aggregate-vlan  # 标记为聚合VLAN
access-vlan 201 to 204  # 配置子VLAN(201-204)
interface vlanif 200
ip address 192.168.1.254 24  # 所有子VLAN共享该网关
2. 端口隔离
  • 核心作用:同一隔离组内的端口二层互访隔离,不同组可通信(华为特有,替代思科 PVLAN)
  • 适用场景:酒店房间、办公工位(防止同楼层设备互访)
  • 核心命令:

    plaintext

    system-view
interface Eth0/0/2
port-isolate enable group 1  # 加入隔离组1
interface Eth0/0/3
port-isolate enable group 1  # 同组隔离,无法互访
display port-isolate group all  # 查看隔离组配置

(九)VLAN Mapping(VLAN 标签转换)

  • 核心作用:跨设备传输时,将一个 VLAN 标签转换为另一个(解决不同区域 VLAN 编号冲突)
  • 适用场景:多部门 / 多校区网络互联(如 A 部门 VLAN30→核心网 VLAN100)
  • 核心命令:

    plaintext

    system-view
interface GigabitEthernet 0/0/1  # 连接核心网的端口
qinq vlan-translation enable  # 启用VLAN转换
port vlan-mapping vlan 30 to 39 map-vlan 100  # VLAN30-39→VLAN100

(十)Hybrid 端口概述(华为特有)

1. 核心特性

兼具 Access 和 Trunk 功能,可灵活配置允许通过的 VLAN,并指定哪些 VLAN 带标签(tagged)、哪些不带(untagged)。

2. 配置命令(两种模式)
应用场景 命令序列 备注
模拟 Access 端口(连接 PC) system-viewinterface Eth0/0/1port link-type hybridport hybrid pvid vlan 10(默认 VLAN10)port hybrid untagged vlan 10(允许 VLAN10 不带标签通过) 等价于 Access 端口的port default vlan 10
模拟 Trunk 端口(连接交换机) system-viewinterface Eth0/0/2port link-type hybridport hybrid tagged vlan 10 20(允许 VLAN10/20 带标签通过) 等价于 Trunk 端口的port trunk allow-pass vlan 10 20
3. 典型应用:酒店房间互通控制
  • 需求:房间 PC 可访问路由器(互联网),但房间间不能互访
  • 配置思路:所有房间端口设为 Hybrid,允许 VLAN1(路由器所在 VLAN)untagged 通过,房间 PC 各自属于不同 VLAN,且端口隔离

三、课程小结(核心提炼)

  1. 交换机核心:基于 MAC 地址表转发,VLAN 隔离广播域,Trunk 实现跨交换机同 VLAN 通信
  2. 跨 VLAN 通信:SVI(三层交换机,高效)、单臂路由(路由器,低成本)
  3. 安全与监控:端口安全限制 MAC 接入,端口镜像复制流量分析
  4. 高级应用:基于 MAC/IP 的 VLAN 划分、Super VLAN 节约 IP、端口隔离防互访、Hybrid 端口灵活适配
  5. 华为特有:Hybrid 端口、端口隔离,需重点掌握配置逻辑

四、课后练习要求

完成本章上机任务书,熟练掌握以下实操:

  1. VLAN 创建与 Access/Trunk 端口配置(跨交换机同 VLAN 通信)
  2. SVI 与单臂路由实现跨 VLAN 通信(对比两种方式的差异)
  3. 端口安全配置(限制单设备接入,测试违规措施)
  4. 端口镜像配置(捕获目标端口流量,用 Wireshark 分析)
  5. Super VLAN 与端口隔离配置(模拟酒店网络场景)
  6. 提交实验源文件(eNSP 项目文件)

五、补充知识点(拓展延伸)

1. VLAN 编号详细分类

VLAN 范围 类型 特点 适用场景
1 默认 VLAN 不可删除,所有端口初始归属 临时测试、未规划网络
2-1001 正常 VLAN 可创建、删除,支持所有功能 生产环境主力 VLAN
1002-1005 预留 VLAN 用于 FDDI、Token Ring 等旧式网络,不可删除 基本不用(现代网络淘汰)
1006-4094 扩展 VLAN 需手动启用,支持数量多 大型网络(如高校、运营商)

2. Trunk 本征 VLAN 的关键作用

  • 本征 VLAN(默认 VLAN1)的报文不带标签转发,用于设备间的管理流量(如交换机间的 Hello 协议)
  • 生产环境建议修改本征 VLAN(非 VLAN1),并配置port trunk allow-pass vlan 本征VLAN编号,防止 VLAN1 攻击

3. SVI 与单臂路由优缺点对比

方式 优点 缺点
SVI(三层交换机) 转发效率高(硬件转发)、配置简单、无瓶颈 成本高于路由器
单臂路由 成本低(利用现有路由器)、灵活 转发瓶颈(单物理端口承载所有 VLAN 流量)、软件转发效率低

4. Hybrid 端口与 Access/Trunk 的核心区别

端口类型 标签处理逻辑 灵活性
Access 仅允许 PVID-VLAN,收发均剥离标签 最低(仅连接终端)
Trunk 允许指定 VLAN,仅本征 VLAN 剥离标签,其余带标签 中等(连接交换机)
Hybrid 可自定义多个 VLAN 的 tagged/untagged 属性 最高(复杂场景适配)

5. 常见故障排查(实操重点)

故障现象 排查方向
同 VLAN 跨交换机不通 1. Trunk 端口未允许对应 VLAN 通过;2. 端口类型配置错误(未设为 Trunk);3. 本征 VLAN 不一致
跨 VLAN 通信不通 1. SVI 接口未配置 IP 或未启用;2. 单臂路由子接口未开arp broadcast enable;3. Trunk 端口未允许跨 VLAN 的 VLAN 通过
端口安全生效后无法接入 1. 接入设备 MAC 不在允许列表;2. 端口被 shutdown(需undo shutdown);3. 最大 MAC 数设置过小
端口镜像无流量 1. 观察端口与监控设备连接异常;2. 镜像方向配置错误(如仅设 in,未捕获出流量);3. 被监控端口流量未触发(无数据传输)

6. 实际应用场景拓展

  • 端口安全:企业办公网络(仅允许员工电脑 MAC 接入,防止外来设备蹭网)
  • Super VLAN + 端口隔离:酒店网络(每个房间一个子 VLAN,共享网关,房间间隔离,节约公网 IP)
  • VLAN Mapping:多校区校园网(校区 A VLAN20→核心网 VLAN200,避免 VLAN 编号冲突)
  • 端口镜像:数据中心(监控服务器端口流量,排查异常访问)
# 运维 # 华为 # 计算机网络
Logo
DAMO开发者矩阵

DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。

更多推荐

【路径规划】基于RRT、RRT-star和RRT-u算法算法实现机器人路径规划附matlab代码

在机器人自主导航领域,路径规划是保障机器人高效、安全完成任务的核心技术,其核心目标是在复杂环境中为机器人规划出一条从起点到终点、满足避障要求、符合运动约束的可行路径。快速搜索随机树(RRT)算法凭借其无需预先构建环境模型、空间搜索效率高的优势,成为复杂未知环境下路径规划的主流方法;RRT-star作为RRT的改进算法,通过路径重连机制实现了最优路径搜索;RRT-u(RRT-uniform)则通过均

avatar DAMO开发者矩阵
cover

Physical Intelligence最新π0.5+ego!从人类视频到机器人技能的跨模态迁移

avatar DAMO开发者矩阵

机器人工程毕设 stm32与深度学习口罩佩戴检测系统(源码+硬件+论文)

本文介绍了一个基于STM32与深度学习的口罩佩戴检测系统。系统采用PC端作为上位机进行实时检测,通过WiFi模块将结果传输至STM32下位机,由OLED显示检测结果,蜂鸣器进行报警提示。硬件部分采用STM32F103RCT6开发板为核心,搭配ESP01S WiFi模块等组件。软件设计包含TCP通信、LCD显示、蜂鸣器报警等功能模块。深度学习部分使用8535张标注图片进行训练,通过YOLOv5模型实

avatar DAMO开发者矩阵