華為交換機簡單組網與問題解決經驗？

---

我是一個學電氣工程的，偶然的機會組了幾次網路，寫一下心得吧也算沒白乾。

我用的是華為的交換機，順便說一下華為的服務真的是沒的說，我從一個小白到獨立組網（當然都相對簡單）客服同志可是幫了很大的忙。組的網路都是小型的網路，只供我們公司的內部產品使用，所以沒有連接到外網。當然連網網也很簡單加個路由就，行配置起來和家裡面的路由器有點相似，至於做一些防護就比較麻煩了，可惜的是我還沒設過那些東西在這裡就不詳細敘述了，本著知乎認真的態度我專門下載了個軟體畫了一個拓撲圖。

簡單來說我一共分了4個vlan段，vlan100為管理vlan，管理vlan顧名思義就是為了方便對交換機進行管理，例如交換機的靜態ip我都分到了管理vlan裡邊（172.16.0.x 255.255.255.0），還有一個比較特殊的功能我在後邊進行詳細的敘述。除了管理vlan100，還有數據vlan10，主要是接終端的例如電腦，手持設備等等，還有視頻vlan20走無線數據的，因為設備需要無線網路故加了三個無線ap（瘦ap），最後一個是vlan30走視頻監控的，共有八個攝像頭。劃分vlan呢也是為了方便管理，監控流量太大怕佔有別的設備流量。

首先是核心交換機5720。

超級終端軟體我用的是xshell，這個還是比較好用的，剛登陸的時候應該是華為默認的登錄密碼admin huawei@123，登陸上之後首先開始配置vlan與vlan信息。

vlan batch 10 20 30 100

vlan 10

description shuju

vlan 20

description wuxian

vlan 30

description jiankong

vlan 100

description guanli

interface Vlanif1

#

interface Vlanif10

ip address 192.168.10.1 255.255.255.0

dhcp select interface

#

interface Vlanif20

ip address 192.168.20.1 255.255.255.0

dhcp select interface

#

interface Vlanif30

ip address 192.168.30.1 255.255.255.0

#

interface Vlanif100

ip address 172.16.0.2 255.255.255.0

#

dhcp（自動分配IP地址）可以開啟也可以不開啟根據現場情況擬定。有了vlan後就該配置用戶登錄了，用戶登錄這裡我多做了些設置比如可以http登錄和telnet登錄，Telnet登錄方便得很後期配置的差不多後我就可以帶個筆記本隨便坐在網路覆蓋的範圍內直接telnet登錄就行了，不用掛這個線跑到交換機那傻傻的配置了。

aaa

local-user huawei password cipher %@%@q5K2nfRUw]HO@Q2HC9`Q7:%@%@

local-user huawei privilege level 15

local-user huawei service-type telnet http

user-interface vty 0 4

authentication-mode aaa

protocol inbound all

之後就是配置無線網了——ap上線，ap這裡就麻煩一些了，開始我的安排版本太低無法與5720匹配後來找的升級文件升級的（說多了都是淚啊）。

wlan

wlan ac source interface vlanif100

ap-auth-mode no-auth

ap id 0 type-id 23 mac 7ca2-3eeb-cc60 sn 210235419510F5001385

ap id 1 type-id 23 mac e4c2-d1e5-3fc0 sn 210235419510F7000230

ap id 2 type-id 23 mac 7ca2-3eeb-c3a0 sn 210235419510F5001315

wmm-profile name wmm id 1

traffic-profile name traffic id 1

security-profile name security id 1

security-policy wpa2

wpa2 authentication-method psk pass-phrase cipher %@%@qdJ;*&%@%@ encryption-method ccmp

service-set name ZJXT-X id 1

forward-mode tunnel

wlan-ess 1

ssid ZJXT-X

traffic-profile id 1

security-profile id 1

service-vlan 20

radio-profile name radio id 1

wmm-profile id 1

ap 0 radio 0

radio-profile id 1

service-set id 1 wlan 1

ap 1 radio 0

radio-profile id 1

service-set id 1 wlan 1

ap 2 radio 0

radio-profile id 1

service-set id 1 wlan 1

ap-update update-filename FitAP6X10XN_V200R005C10SPCc00.bin ap-type 23

#

之後是各個埠的設置，這個本應放在設置vlan那裡說明，放在這也沒事反正配置也沒有個先後順序。

interface GigabitEthernet0/0/1

description TO :shuju

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 10 20 100

#

interface GigabitEthernet0/0/2

description TO :jiankong

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 30 100

#

interface GigabitEthernet0/0/3

description TO : shuju

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 10 20 100

#

interface GigabitEthernet0/0/4

description TO :jiankong

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 30 100

#

interface GigabitEthernet0/0/5

description TO : shuju

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 10 20 100

#

interface GigabitEthernet0/0/6

description TO :jiankong

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 30 100

#

interface GigabitEthernet0/0/7

description TO : shuju

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 10 20 100

#

interface GigabitEthernet0/0/8

description TO :jiankong

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 30 100

#

interface GigabitEthernet0/0/9

description TO : shuju

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 10 20 100

#

interface GigabitEthernet0/0/10

description TO :jiankong

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 30 100

#

interface GigabitEthernet0/0/11

description TO : shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/12

description TO : shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/13

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/14

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/15

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/16

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/17

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/18

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/19

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/20

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/21

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/22

description TO :shuju

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/23

description TO :guanli

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 10 20 30 100

#

interface GigabitEthernet0/0/24

description TO :guanli

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 10 20 30 100

#

interface XGigabitEthernet0/0/1

#

interface XGigabitEthernet0/0/2

#

interface XGigabitEthernet0/0/3

#

interface XGigabitEthernet0/0/4

#

到這裡基本上就大功告成了，後期我又做了一些vlan隔離之類的配置之後再說。下面是二層交換機的配置，那裡就比較簡單了我就拿一個舉例吧，走無線與數據的二層交換機，這裡說一下因為攝像頭需要poe供電所以視頻單獨配置了一個交換機，無線 與數據公用一個交換機。

vlan batch 10 20 100

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password cipher %@%@5d~9:M^ipCfLiB)EQd&>3Uwe%@%@

local-user admin service-type http

local-user huawei password cipher %@%@up{$XGpgx9h].y9BpCYa$D[%@%@

local-user huawei privilege level 15

local-user huawei service-type telnet http

#

interface Vlanif1

#

interface Vlanif100

ip address 172.16.0.21 255.255.255.0

#

interface Ethernet0/0/1

port link-type access

port default vlan 10

#

interface Ethernet0/0/2

port link-type access

port default vlan 10

#

interface Ethernet0/0/3

port link-type access

port default vlan 10

#

interface Ethernet0/0/4

port link-type access

port default vlan 10

#

interface Ethernet0/0/5

port link-type trunk

port trunk pvid vlan 100

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 20 100

#

interface Ethernet0/0/6

port link-type trunk

port trunk pvid vlan 100

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 20 100

#

interface Ethernet0/0/7

port link-type trunk

port trunk pvid vlan 100

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 20 100

#

interface Ethernet0/0/8

port link-type trunk

port trunk pvid vlan 100

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 20 100

#

interface GigabitEthernet0/0/1

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 10 20 100

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 172.16.0.2

#

user-interface con 0

authentication-mode password

user privilege level 15

set authentication password cipher %@%@`]TeC/Ylv+ChGbLAvj=.{_,.!J&<%_W74Gs_5A0xj=_T{_/.%@%@

user-interface vty 0 4

authentication-mode aaa

protocol inbound all

#

這裡我先說一下的是接ap埠的設置，1/2/3/4口是連接終端（電腦的），5/6/7/8/口是直接連接ap的，直接ap的那個埠首先要設成trunk口了，如果ap只發射一個ssid的話是可以設成access 口的，為了以後拓展功能方便我就設成trunk口了，還有一個比較不容易明白的是 port trunk pvid vlan 100 這條命令，這條命令的意思是vlan100的數據經過這個口的話會打上vlan標籤，而像vlan20的數據經過這裡是沒有vlan標籤的，下邊有一個更加明白的解釋轉子華為官網。如果有不明白的可以看看明白的請直接跳過。

• 當AP與AC間為二層組網時，VLAN m與VLAN m相同，VLAN s與VLAN s相同；
• 當AP與AC間為三層組網時，VLAN m與VLAN m不相同，VLAN s與VLAN s不相同。

• 管理報文在CAPWAP隧道中的轉發處理流程：

  圖1 管理報文的轉發處理流程圖

  如圖1所示，

  • 上行（AP--&>AC）：管理報文由AP封裝在CAPWAP報文中；由連接AP的Switch標記管理VLAN m；AC將CAPWAP報文解封裝並終結管理VLAN m。
  • 下行（AC--&>AP）：管理報文由AC封裝在CAPWAP報文並標記管理VLAN m；由連接AP的Switch終結VLAN m；AP接收CAPWAP報文後解封裝。

• 直接轉發模式下業務數據報文的轉發處理流程：

  圖2 直接轉發模式下業務數據報文的轉發處理流程圖

  如圖2所示，業務報文不經過CAPWAP封裝。

  • 上行（STA--&>Internet）：AP收到STA的802.11格式的上行業務數據，由AP直接轉換為802.3報文並標記業務VLAN s後向目的地發送。
  • 下行（Internet--&>STA）：下行業務數據以802.3報文到達AP（由上層網路設備標記業務VLAN s），由AP轉換為802.11格式發送給STA。

• 隧道轉發模式下業務數據報文的轉發處理流程：

  圖3 隧道轉發模式下業務數據報文的轉發處理流程圖

  如圖3所示，業務報文經過CAPWAP封裝，在CAPWAP數據隧道中傳輸。

  • 上行（STA--&>Internet）：AP收到STA的802.11格式的上行業務數據，由AP直接轉換為802.3報文並標記業務VLAN s，然後AP封裝上行業務數據到CAPWAP報文中；由連接AP的交換機標記管理VLAN m；AC接收後解CAPWAP封裝並終結VLAN m。
  • 下行（Internet--&>STA）：下行業務數據由AC封裝到CAPWAP報文中，AC允許攜帶VLAN s的報文通過並對該報文標記VLAN m，由AC標記業務VLAN s和管理VLAN m；由連接AP的交換機終結VLAN m；由AP接收後解CAPWAP封裝並終結VLAN s，並將802.3報文轉換為802.11報文發送給STA。

  封裝後的報文在CAPWAP報文外層使用管理VLAN m，AP與AC之間的網路設備只需配置透傳管理VLAN m，而對封裝在CAPWAP報文內的業務VLAN s不需配置。

因此，在WLAN的實際組網中，需要合理規劃管理VLAN和業務VLAN，以AP與AC間為二層組網為例：

• 如圖4所示，對於直接轉發方式，需要確保AP與AC間管理VLAN互通，AP與上層網路業務VLAN互通。

  圖4 直接轉發模式下VLAN部署

• 如圖5所示，對於隧道轉發方式，需要確保AP與AC間管理VLAN互通，AC與上層網路業務VLAN互通。

  圖5 隧道轉發模式下VLAN部署

這段講的還是比較詳細的。

下面我在額外說一些，上面提到過設置vlan隔離之類的，設置vlan隔離我用的方法是配置acl因為這個比較靈活隨時可以加一些新的東西。配置完成後是下面這個樣子的。

acl number 2001

rule 5 permit source 192.168.10.2 0

#

acl number 3001

rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255

rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.25

5

#

traffic classifier c-1 operator and

if-match acl 3001

traffic classifier c-2 operator and

if-match acl 2001

#

traffic behavior b-1

deny

traffic behavior b-2

permit

#

traffic policy p-1 match-order config

classifier c-2 behavior b-2

classifier c-1 behavior b-1

#

drop-profile default

#

vlan 10

description shuju

vlan 20

description wuxian

vlan 30

description jiankong1

traffic-policy p-1 outbound

vlan 100

acl2001的意思是所有的vlan主要是來自192.168.10.2這個ip的都放行，這個的作用是你不想讓隨便一個人什麼都能訪問可以通過這裡設置單獨的許可權。

acl3001的作用是讓vlan10，與vlan20都不能訪問監控vlan，監控怎麼能隨便讓人看呢。後面如果有新東西我會繼續更新的^-^

---

推薦閱讀：