月度归档： 2020 年 9 月

早先的网管交换机需要通过CLI方式管理配置，需要记一堆操作指令（有的支持WEB方式，但默认是关闭的，需要通过CLI方式开启动），通过WEB方式配置交换机，操作上类同于配置家用路由器，操作简单，只是相关概念较多，需要进一步了解。

华为网管交换机的连接方法，两种方式：

通过电脑直连ETH管理接口模式首次登录设备。
设备的ETH管理接口上存在缺省IP地址192.168.1.253/24，直接将设备的ETH管理接口和电脑用网线进行连接

通过长按“MODE”模式首次登录设备。
若设备为全光口，需要将设备的管理接口和电脑用网线进行连接。长按“MODE”按键6s或以上，当设备所有的模式灯变为绿色常亮时，设备进入初始设置模式，此时系统默认在设备ETH管理接口上配置缺省IP地址192.168.1.253/24。
若设备存在以太网口，将设备的除管理接口之外的任意以太网口和PC用网线进行连接。长按“MODE”按键6s或以上，当设备所有的模式灯变为绿色常亮时，设备进入初始设置模式，此时系统默认在设备Vlanif1上配置缺省IP地址192.168.1.253/24

上述方式适用于首次登录网络交换机设备。

1、通过Web网管首次登录设备的前提是设备处于出厂配置状态，因此配置此功能时，建议用户不要通过串口登录设备。通过串口进行任何操作，都将导致通过Web网管首次登录设备失败。
2、进入初始设置模式10分钟后，如果用户没有保存配置信息，计算机将会自动退出初始设置模式，恢复出厂配置。
3、如果设备处于出厂配置状态，但是设备刚启动或者通过串口对设备进行了操作，那么长按“MODE”按键6s后，设备有可能出现进入初始设置模式失败的情况。此时所有模式灯快速闪烁10s后设备恢复到默认状态。
4、如果已使用MODE模式按键首次登录了设备（长按MODE按键6s或以上）并保存了配置，会清除ETH口上的默认配置，则不能再使用ETH口首次登录。建议优先使用ETH口首次登录设备。

VLAN的设计可从以下三个方面来考虑：确定VLAN类型，划分VLAN成员，规划VLAN间路由。

1、确定 VLAN 类型。设计 VLAN 的首要任务是确定使用哪种 VLAN 类型。我们经常使用的是 802.1Q VLAN，这种 VLAN 的划分方法比较简单直接，实用性也比较强。我司交换机还提供 MAC VLAN、协议 VLAN 等 VLAN 划分类型。

2、划分 VLAN 成员。确定 VLAN 类型之后，要规划好将哪些用户划分到哪个 VLAN 中，最好是在建网的同时将 VLAN 成员的划分作为一个因素综合考虑进工程中，这样能充分考虑 VLAN 的需求，全盘规划好网络结构。在网络建成之后，如果用户有了新需求，则有可能需要对原有结构做出适应性的改变。

3、规划 VLAN 间路由。VLAN 的设计很大程度上和路由的规划密切相关，其中最直观的就是 IP 子网的划分。一般有如下几种情况：

同一 IP 子网的成员属于不同的 VLAN。当一个 IP 子网的范围还不能足够细分工作组时，可以采用 VLAN 将其中的成员划分到更小的组里面，此时，不需要为这些VLAN 的成员指定路由，因为他们已经在同一个子网了。

同一 VLAN 的成员属于不同 IP 子网。这种划分方式主要适用于那些地理位置较远但需求相近的用户组，此时他们之间的路由就要使用 IP 子网间的路由。

不同的 VLAN 和 IP 子网一一对应，即一个 IP 子网的成员都属于一个 VLAN。此时，VLAN 之间的路由与 IP 子网之间的路由重合。

同一个 VLAN 中的设备可以进行数据链路层的通信，而不同 VLAN 之间的设备通信则需要建立在网络层的基础上。一般有两种方法来实现 VLAN 之间的通信：通过路由器和通过三层交换机。下面分别介绍这两种实现不同 VLAN 之间通信的方法。

通过路由器实现 VLAN 间通信

路由器和交换机的连接方式有两种。一种是把路由器的不同物理接口分别连接到交换机上的每个VLAN，并将交换机上与路由器相连的端口设置为相应VLAN的访问链路，如图：

这种连接方法比较简单，但是网络扩展难度大。每增加一个新的 VLAN，都需要消耗路由器和交换机上的端口，而且还需要重新布设一条网线。而路由器较交换机而言，所提供的端口较少，这使得网络管理的成本增加，因此不推荐此方法。

此外，我们还可以采用单臂路由的方式来实现 VLAN 之间的通信。这种方法是在路由器与交换机相连的那个物理端口上定义多个逻辑子接口，也就是从逻辑上将它分为多个虚拟端口。一个子接口连接一个 VLAN，每个子接口配置相应 VLAN 内的 IP 地址，并封装 802.1Q 协议。同时，在交换机上把与路由器相连的端口设置为 Trunk 端口。在这种方法中，路由器只使用一个端口连接到交换网络中，因此被称为单臂路由，如图

802.1Q VLAN 技术白皮书802.1Q VLAN 技术实现 3-4图3-4 通过单臂路由方式实现VLAN间通信该网络拓扑包含了 3 台主机、一台交换机和一台路由器，路由器和交换机之间配置中继链路Trunk，交换机上设置了 3 个 VLAN，分别是 VLAN10，VLAN20 和 VLAN30。

当 VLAN10 中的主机 A 向 VLAN20 中的主机 B 发送信息时，交换机端口 1 收到主机 A 发出的数据帧，查询自己的 MAC 地址表，然后将数据帧从 Trunk 端口 4 转发出去，并为数据帧添加 VLAN ID=10 的标签。路由器收到数据帧后，发现它属于 VLAN10，因此把它交给负责VLAN10 的子接口，该接口判断数据帧应发往负责 VLAN20 的子接口。负责 VLAN20 的子接口再为数据帧添加 VLAN ID=20 的标签并发回给交换机。交换机收到该数据后查询 MAC 地址表，去掉数据帧中的 VLAN 标签，将它从端口 2 发送给主机 B。这样主机 B 就接收到了主机A发给它的信息。可以看到，通过路由器进行VLAN之间的通信时，信息传输经过以下过程：发送者 -> 交换机 -> 路由器 -> 交换机 -> 接收者，即使通信的双方处在同一台交换机上，也必须经过这样的过程。

802.1Q VLAN 技术白皮书802.1Q VLAN 技术实现 3-4图3-4 通过单臂路由方式实现VLAN间通信该网络拓扑包含了 3 台主机、一台交换机和一台路由器，路由器和交换机之间配置中继链路Trunk，交换机上设置了 3 个 VLAN，分别是 VLAN10，VLAN20 和 VLAN30。当 VLAN10 中的主机 A 向 VLAN20 中的主机 B 发送信息时，交换机端口 1 收到主机 A 发出的数据帧，查询自己的 MAC 地址表，然后将数据帧从 Trunk 端口 4 转发出去，并为数据帧添加 VLAN ID=10 的标签。路由器收到数据帧后，发现它属于 VLAN10，因此把它交给负责VLAN10 的子接口，该接口判断数据帧应发往负责 VLAN20 的子接口。负责 VLAN20 的子接口再为数据帧添加 VLAN ID=20 的标签并发回给交换机。交换机收到该数据后查询 MAC 地址表，去掉数据帧中的 VLAN 标签，将它从端口 2 发送给主机 B。这样主机 B 就接收到了主机A发给它的信息。可以看到，通过路由器进行VLAN之间的通信时，信息传输经过以下过程：发送者 -> 交换机 -> 路由器 -> 交换机 -> 接收者，即使通信的双方处在同一台交换机上，也必须经过这样的过程。一般这种拓扑适用于小型网络，在已有的二层交换机的基础上，只需要购买一台路由器就能实现不同 VLAN 之间的通信。

通过三层交换机实现 VLAN 间通信

802.1Q VLAN 技术白皮书802.1Q VLAN 技术实现 3-4图3-4 通过单臂路由方式实现VLAN间通信该网络拓扑包含了 3 台主机、一台交换机和一台路由器，路由器和交换机之间配置中继链路Trunk，交换机上设置了 3 个 VLAN，分别是 VLAN10，VLAN20 和 VLAN30。当 VLAN10 中的主机 A 向 VLAN20 中的主机 B 发送信息时，交换机端口 1 收到主机 A 发出的数据帧，查询自己的 MAC 地址表，然后将数据帧从 Trunk 端口 4 转发出去，并为数据帧添加 VLAN ID=10 的标签。路由器收到数据帧后，发现它属于 VLAN10，因此把它交给负责VLAN10 的子接口，该接口判断数据帧应发往负责 VLAN20 的子接口。负责 VLAN20 的子接口再为数据帧添加 VLAN ID=20 的标签并发回给交换机。交换机收到该数据后查询 MAC 地址表，去掉数据帧中的 VLAN 标签，将它从端口 2 发送给主机 B。这样主机 B 就接收到了主机A发给它的信息。可以看到，通过路由器进行VLAN之间的通信时，信息传输经过以下过程：发送者 -> 交换机 -> 路由器 -> 交换机 -> 接收者，即使通信的双方处在同一台交换机上，也必须经过这样的过程。一般这种拓扑适用于小型网络，在已有的二层交换机的基础上，只需要购买一台路由器就能实现不同 VLAN 之间的通信。3.3.2 通过三层交换机实现 VLAN 间通信使用路由器来实现 VLAN 之间的通信，VLAN 之间的流量会集中到路由器和交换机互连的中继链路部分，这部分就容易成为速度的瓶颈。而三层交换机采用的是“一次路由，多次转发”的机制，能实现数据的高速转发，因此采用三层交换机来实现 VLAN 之间的通信更适合用于中大型网络，此时三层交换机可作为整个网络的核心。图 3-5所示即为通过三层交换机进行VLAN 之间通信的一个简单示意图。

图中，有一个三层交换机，连接了 4 台主机，分别属于 VLAN10 和 VLAN20。当主机 A（192.168.1.2）与主机 D（192.168.2.2）要通信时，主机 A 发送一个数据帧。三层交换机的交换模块接收该数据帧之后查询 MAC 地址表，为它添加一个 VLAN ID=10 的标签，然后转发给路由模块。路由模块接收数据帧后会通过 VLAN 信息判断将此数据交给 VLAN10 接口来处理。VLAN10 接口判断将数据帧交给 VLAN20 接口，VLAN20 接口再将数据帧转发回交换模块，最终数据帧中的 VLAN 信息被去掉后转发到主机 D。

可以看到，三层交换机进行 VLAN 间通信也会经过“发送者 -> 交换模块 -> 路由模块 ->交换模块 -> 接收者”这样几个过程。但三层交换机一旦转发过一组目的 IP 相同的数据包之后，就会把该信息缓存，以后相同的数据包就能进行直接转发，而不需要通过路由处理了。由于交换模块对于数据包的二层转发速率远高于三层的路由模块，因此，通过三层交换机实现 VLAN 之间的通信能极大提高网络的数据转发效率，从而解决网络瓶颈的问题。

VLAN 的 MAC 地址学习机制
交换机是通过 VLAN ID 来区分识别不同 VLAN 的。对于支持 802.1Q VLAN 的交换机，其MAC 地址表需同时维护 MAC 地址、转发端口和 VLAN ID 信息。其中，VLAN ID 信息将根据收到数据帧的 Tag 字段来确定，当收到的数据帧不带 Tag 时，则根据接收端口的缺省 VLAN来确定。
在配置了 VLAN 后，交换机的 MAC 地址学习方式有两种：
1、SVL（Shared VLAN Learning，共享式 VLAN 学习）：
MAC 地址表项全部记录到一张共享的 MAC 地址转发表中，一个 MAC 地址在整张表中是唯一的。当交换机收到数据帧时会先进行 MAC 地址查询，然后再进行后续的 VLAN 查询。
2、IVL（Independent VLAN Learning，独立 VLAN 学习）：
交换机为每个 VLAN 维护独立的 MAC 地址转发表，因此 MAC 地址表在逻辑上可以看成根据 VLAN 信息被分成了多张地址表。某个 VLAN 的成员端口接收到数据帧时，其源 MAC 地址只被记录到该VLAN 的 MAC 地址转发表中，且只依据该表中的信息转发数据帧。
下图中简要表示了这两种MAC地址学习机制。在SVL中，所有MAC地址被记录到同一张表中，且一个 MAC 地址只能属于一个 VLAN；在 IVL 中，我们可以从逻辑上认为每个 VLAN 单独拥有一张地址表，一个 MAC 地址可以同时记录到不同 VLAN 的表项中。

IVL 交换机二层转发的基本流程如下：
1、 收到数据帧后，根据其源 MAC 地址和 VLAN ID 信息添加或更新 MAC 地址表项。
2、 根据目的 MAC 地址和 VLAN ID 信息查找 MAC 地址表项。如果没有找到匹配项，则将数据帧在 VLAN ID 对应的 VLAN 内广播；如果能找到匹配表项，则将数据帧向表项中对应的端口进行转发。

VLAN 内的通信

下面通过一个示例来讲解同一 VLAN 内的设备进行通信的过程。在两台出厂设置的交换机上分别创建两个 VLAN，VLAN10 和 VLAN20，并分别设置交换机与主机相连的端口类型为Access，两台交换机相连的端口类型为 Trunk。将交换机 1 的端口 2 加入 VLAN10，端口 3加入 VLAN20，端口 24 同时加入 VLAN10 和 VLAN20；将交换机 2 的端口 4 加入 VLAN10，端口 5 加入 VLAN20，端口 24 同时加入 VLAN10 和 VLAN20，如图：

主机 A 与主机 C 第一次通信的过程如下：

1、主机 A 向交换机 1 发送一个不带 VLAN Tag 的数据帧，交换机 1 的 Access 端口接收该数据帧后，由于该端口的 PVID 值为 10，故为数据帧添加一个带有 VLAN ID=10 的标签。
2、 由于交换机 1 的 MAC 地址表中暂时还没有该数据帧对应的 MAC 地址信息，故将数据帧中的源 MAC 地址、VLAN ID 信息以及对应的端口号 2 添加到 MAC 地址表中，并将该数据帧在 VLAN 10 内广播。
3、交换机1的Trunk端口24属于VLAN10，故该端口接收数据帧，保持VLAN ID=10的标签，并从该端口转发给交换机 2。
4、 交换机 2 的 Trunk 端口 24 也属于 VLAN 10，故该端口接收数据帧。交换机 2 查询自己的 MAC 地址表，发现不存在该表项，故将数据帧中的源 MAC 地址、VLAN ID 信息以及对应的端口号 24 添加到自己的 MAC 地址表中，并将该数据帧在 VLAN 10 内广播。
5、交换机 2 的 Access 端口 4 属于 VLAN10，故该端口接收数据帧，并将帧中的 VLAN 标签去掉后转发给主机 C。此外，由于主机 C 会给交换机返回信息，故交换机也会将主机C 的 MAC 地址以及对应的端口号添加到地址表中。

这样，跨交换机的 VLAN 内通信就完成了。当主机 A 和主机 C 再次进行通信的时候，就能直接通过查询 MAC 地址表进行数据转发了。同样的，主机 B 与主机 D 之间也可以通过这样的过程实现 VLAN 内的通信。

不同 VLAN 间的通信

VLAN帧格式
为使交换机能够分辨不同 VLAN 的报文，IEEE 802.1Q 协议标准规定，在传统以太网数据帧中的 DA&SA（目的 MAC 地址和源 MAC 地址）之后封装 4 个字节的 802.1Q VLAN 标签，即 VLAN Tag，用以标识 VLAN 的相关信息，如图 所示。VLAN Tag 包含四个字段，分别是 TPID、Priority、CFI 和 VLAN ID。

VLAN 标签中的四个字段分别标识了该数据帧不同的信息，下面通过表 2-1对这四个字段进行具体的说明

PVID（Port VLAN ID）
用于表示端口默认所属的 VLAN，即缺省 VLAN。
PVID 主要用于以下两种情形：当设备收到不带 Tag 的数据帧时，将根据 PVID 为数据帧插入 VLAN Tag；当设备接收到 UL 包或广播包的时候，由于 PVID 指定了端口默认所属的 VLAN，设备会将这些数据包在该端口的缺省 VLAN 内广播。

VLAN（Virtual Local Area Network，虚拟局域网）是一种将局域网设备从逻辑上划分成不同网段，从而实现虚拟工作组的数据交换技术。

产生背景

二层交换机工作在数据链路层，在收到广播报文或未知的单播报文时，会向其他所有端口转发该报文，这样，我们可以认为一个二层交换机构成一个广播域，即广播帧能够直接到达的范围。若整个网络只有一个广播域，那么当某台设备发出广播报文时，其他所有设备都会收到该报文。随着网络中计算机数量的增多，广播报文的数量也会急剧增加，从而导致网络的传输效率下降。特别是当某个网络设备出现故障或者网络中出现环路时，广播信息会大量泛洪，从而导致广播风暴，使整个网络陷于瘫痪。因此，当网络中的设备数量增加到一定规模时，必须采取措施对网络进行分段，从而分隔广播域，减小这些潜在问题可能造成的不良影响。通过路由器，我们可以对网络进行分段，从而隔离广播域，如图所示：

但是，这也不能解决同一交换机下的用户隔离。并且，随着网络的不断扩展，网络结构也日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，而路由器数量的增多也会导致网络延时加长，网络数据传输速度下降。其次，不管从网络建设的成本还是管理上，这种方式都存在不足。

与路由器相比，交换机具有多个网络接口，通过它来分隔广播域，能使网络划分方式更加灵活，成本也相对更低。因此，VLAN 技术应运而生。利用 VLAN 技术，网络管理者可以根据实际应用需求，将局域网中的不同用户从逻辑上划分成不同的广播域，也就是 VLAN。VLAN从逻辑上划分，不受物理位置的限制，一个 VLAN 包含的用户可以连接在同一台交换机上，也可以跨越交换机。如图 所示，一台路由器连接了两台二层交换机，交换机上划分了不同的 VLAN，若干主机通过交换机接入网络中，并分别属于不同的 VLAN。通过这样的划分，不同 VLAN 之间的设备就不能直接互相通信了。

VLAN优点

VLAN 在逻辑上把网络资源和网络用户按照一定的规则进行划分，其主要优点表现在以下几个方面：
1、提高网络性能。VLAN技术把网络划分成逻辑上的不同广播域，将广播帧限制在VLAN中，从而避免了带宽的浪费，提高了网络处理能力。同时，VLAN 还能有效控制广播风暴的范围，减小此类网络问题所带来的损失。
2、方便网络管理。VLAN 将物理的局域网划分成了逻辑意义上的子网，不必考虑具体的物理位置。每一个 VLAN 都可以对应一个逻辑单位，如部门、项目组等，方便了企业或科研机构的管理。同时，这种划分方式增加了网络的灵活性，若某个用户从一个部门调到另一个部门，而办公位置没有发生改变，网络管理员只需对交换机等设备进行相应配置即可，而无需通过改变物理线路来将此用户接入到新部门中。
3、 增强网络安全。不同 VLAN 内的设备要互相通信，必须通过路由器或三层交换机等设备。网络管理员可在三层设备上设置访问控制规则，确保 VLAN 内的数据不会被其他 VLAN的设备窃听，从而提高了网络的安全性。

VLAN 分类
根据不同的网络需求，可以选择不同的 VLAN 划分方式。目前我们最常用的 VLAN 划分方式是 802.1Q VLAN，这种方法配置比较简单，但当 VLAN 变更时，网络管理者的工作量较大。在 802.1Q VLAN 的基础上，我们可以添加一些标识，来实现其他几种 VLAN，比如 MAC VLAN、协议 VLAN 等。实现 VLAN 的方式多种多样，但几乎所有的这些实现方式都基于IEEE 802.1Q 协议。本文档将详细介绍 802.1Q VLAN 的相关内容。
IEEE 802.1Q 协议规定了 VLAN 的实现标准。过去各个厂商实现 VLAN 的方法并不完全相同，所以彼此无法兼容。IEEE 于 1999 年发布了用以规范 VLAN 实现方法的 IEEE 802.1Q 标准，进一步完善了 VLAN 的体系结构，统一了不同厂商的 VLAN 帧格式，从而使得不同厂商之间的 VLAN 互通成为可能。

TP-LINK网管交换机在创建802.1Q VLAN时，需要根据端口连接的设备设置端口的链路类型。端口的链路类型有下面三种：
1、Access 端口Access 端口只能属于 1 个 VLAN，出口规则为 UNTAG，也就是从该端口发送出去的数据帧不携带 VLAN Tag。Access 端口连接的多为不支持 VLAN 技术的终端设备，比如用户主机。
2、Trunk 端口Trunk 端口可以属于多个 VLAN，出口规则为 TAG，也就是从该端口发送出去的数据帧会携带 VLAN Tag。Trunk 端口一般用于连接支持 VLAN 技术的网络设备，比如交换机或路由器。在实际网络中，VLAN 经常跨接在不同的通信设备上。

3、General 端口General 端口可以属于多个 VLAN，出口规则可以根据该端口连接设备的实际情况灵活配置，既可以设置为带 Tag 发送报文，也可以设为不带 Tag 发送报文。因此，它既能用于网络设备之间的连接，也能用于网络设备和用户之间的连接。当与交换机相连的某个网络环境比较复杂，无法判断网络中的设备是哪种类型，或者该网络中有多种类型的设备时，可将交换机和该网络相连端口类型设置为 General。

端口类型本质是通信设备接收和转发数据帧的处理方式。每一种类型的端口都有相应的数据进出口处理规则，入口规则表示接收数据帧时的处理方式，出口规则表示转发数据帧时的处理方式，如图：

 

两种认证方式：Local 方法或Enable 方法进行登录认证

注：在打开WEB 服务后，默认就已配置enable 方法进行认证

Local方式:
1、进入config模式

2、开启web服务

3、配置WEB 管理登录认证方法为Local 方法

4、设置本地用户名（必须为15 级用户）和密码

5、设置交换机管理IP地址

6、退出当前模式，并保存配置

Enable方式

与Local方式类同，只须将第三步变更为:

ip http authentication enable

上述方法完成后，即可通过浏览器访问交换机的IP地址，实现web管理。

1、通过DB9<->RJ45线缆连接交换机，DB9接PC串口，RJ45连接交换机console口超级终端连接交换机，配置参数如下：

2、配置完成后，启动交换机，出现如下画面时，同时按下 ctrl+c 键

3、出现如下窗口

4、输入 delete config.text，回车，随后输入 yes 确认

5、输入 reload 重启交换机即可