交换机如何设置交换机vlan限制

如何在华为的交换机上面做围栏限速一分钟，教大家轻松搞定好。首先呢，我们来看一下项目需求， 语音围栏呢，它是属于围栏一时，数据围栏呢，它是属于围栏二十，我们现在呢，要在这一台华为的 s 五七三五的交换机上面给这些围栏限速，语音围栏一时，它的保证速率是两千， 超过一万的包就要丢掉。然后呢数据围栏，围栏二十，他的保证数据是什么？四千，超过一万呢也要丢掉，我们现在呢就到真实设备上面来 来做。第一步就是去分类，把微蓝一时分为一类，把微蓝二十分为一类， traffic class c 一时，这是流量分类编号 c 一时，然后呢，衣服买起微蓝 id 一时，如果我们匹配到了微蓝一时的数据，我们就会给他打个标记 c 一时，然后呢 第二条命令， traffic class crs 衣服买起 vlan id rs， 如果匹配到了 vlas， 那么我们把它标记为 zr 十，那么 vr 一时的流量就是 c 一时， vr 二十的流量就是 cr 时。 第一步，第二步，我们要给这些流量的设置行为， traffic behold b 一时为难，一时的数据，我们是给他一个保证数率是两千 kb， 如果说超过了一万，这个流量就要流气，然后呢， static 应该不，我们要做流量统计， 第二个行为是什么呢？ traffic behavior brs， 那么这个 vr 是流量呢？我们是保证让他四千 kp， 但是呢，你不能呢？超过一万，同样我们也开启什么呢流量统计的功能，这是第二步。第三步呢，我们就做一个测点， traffic parties p 一百在这里面的话， 如果说我们是微烂一时的流量 c 一时，行为就是 b 一时，如果说是微烂二时的流量 cr 时，我们的行为就是什么 br 时， 接下来呢，我们到接口下面调音 interface g 零杠零杠三，因为所有的流量全部要从这个方向进去。 traffic party p 版音版，通过这三步，我们就可以来基于围栏来做流量像素。

交换机如何配置 acl 限制 villain 监护房？我们先来看看这个网络拓铺。交换机一、交换机二、交换机三划分两个 villain， 分别为 villain 一千 ip 地址为幺点幺点幺点幺， villain 两千 ip 地址为二点二点二点幺 pc 二 pc 四划分在 villain 一千下网关。在交换机一 pc 三 pc 五划分在 villa 两千下网关。再交换机一 pc 的 ip 地址在同一个网段随便取一个地址， 现在要求 pc 二 pc 四可以互通， pc 三 pc 五可以互通， pc 二 pc 四与 pc 三 pc 五不能互通。在交换记忆上配置好两 the villain 接口 ip， 也就是网关后默认情况下幺点幺点幺点零和二点二点二点幺零两个地址段是互通的，也就是这四台 pc 都可以互通，这个时候可以通过配置 acl 来限制两个网段的互通， 这样的话在同一个 villain 的两台 pc 技能互通，而且可以 pin 通网关，不同 villain 的电脑不能互通。

用户要求要让交换机的前十二个端口给监控用，后十二个端口给网络用。监控和网络之间要完全隔离，应该怎么做呢？有两种办法，第一种用角磨机， 按用户要求对交换机进行配置，监控用左边半拉，网络用右边半拉，实现物理层面的隔离。用户看了连拍大腿，夸我能干， 如果你没有搅磨机的话，就用第二种办法划分微烂。所谓微烂，顾名思义就是给交换机和端口之间架上一堵墙， 下面演示下操作步骤，进去交换机配置页面，更改工作模式。注意，这里的微烂隔离模式是指交换机所有端口都不能互相通讯，只能单个网口与最后四个网口单线通讯，显然这不是我们需要的，所以应该把模式改为管理模式。为了方便演示，我把网络 接在网络区，再找个摄像头接在监控区，这时候网络和监控之间是可以正常通讯的。进去交换机配置模式，点击未烂配置，新建未烂备注监控，勾选你需要分配给监控的网络端口，然后再点击微烂备注网络 前面十二个网口分配给监控，配置完成，就是这个样子。再看一下摄像头，已经拼不到搜索软件，也搜不到摄像头，我们把网络切换到监控端口，这时候是通的，切换回去，删除所有规则以后，交换机恢复成傻瓜交换机了。

如何让不同立案间的电脑无法通信？如果我们要使用微量的话，我们还有几个接口类型，其中呢分三种啊，一个是叫 excess， 一个叫创法，还有一个是哈 break， 像我们这种交换机连接电脑，连接终端的这种端口啊，一般我们用的是 excess， 我们先来配给大家看一下怎么做。打开这个交换机，然后在这个交换机上面如果要使用微烂这个技术，那我们需要去创建微烂，他有个叫微烂半取，创建微烂十二十。 接下来呢我们需要把它这两个接口呢放到 vs 当中去，那怎么做呢？我们可以这么写， 这个是同时配置一和二两的端口， 这个是把这个交换机的接口类型改成 access 端口，还有一个呢就是把端口划到特定的微栏当中，这么写 好，那么这个是 access， 我们画完了，画完之后的话，我们再把另外两个画到 vr 二十，我们把这个写完之后，我们来看一下他们这个区别， 写完之后，那么我会让你划分完，划分完之后的话，我们来看一下它一跟二之间能不能通信啊？一跟二叫相同，微烂它是可以通信的，三跟四在微烂二十里面也属于相同，微烂就三跟四也能通， 但是原本我们一和三也能通信，但现在不同，微站之间就不能通信了，那我们在一上面去访问三，他的现象就是目标主机不给他啊，不跟头。

如何拒绝内网用户之间互访？在实际的工作中呢，有如下的类似要求啊，那比如说这是一个企业网，嗯，这边呢是园区的内网，这边呢是我们的外网，对于这个企业来说呢，有的时候呢，他希望实现如下的要求，比如说内网的用户 a 和 b 在两个部门之间，哎，不能互访。 那么有的时候呢，他还需要说，即使是同一个部门的啊，多台计算机之间，比如 p 三和 p 四，他也不能互访，尤其是在这个勒索病毒刚流行的时候啊，他为了防止啊，防止这个病毒在内网啊传播泛滥啊，他要去规避这样一个安全隐患啊。 内网用户虽然不能互访，但是啊，我们内网所有的用户都可以访问外网的这个互联网，或者说都可以访问这个 internet， 或者说啊都可以访问某些服务器啊，他们之间是不能互访的，但是呢，他们可以访问某些公共的服务器，或者可以访问这个外， 那么这个啊，该如何来实现呢？想要去解决这个问题，我们首先想到的呢，就是 acl 访问控制列表啊，那么大家可以想一下， a 和 b 这两个不同的部门，它是属于不同的伪烂和不同的网段的，比如 pc， 它属于伪烂。十，它的 rp 呢在十网段，网关呢是十点一，网关呢，通常在这个核心交换机上， 肌肉交换机呢是二层交换机啊，那这个部门 b 呢？哎，它是处于尾栏二十，它的网段呢是二十点二五四网关，二十点一呢，也是在这个核心上，那么这边呢是一个 c 部门， c 部门的 p 三和 p 四都属于这个 c 部门， 这边有一个问题，就说如果你在核心交换机上配置访问控制列表啊，那这个时候我们可以拒绝这个 a 和 b 这两个部门互访，因为 a 和 b 啊属于不同的网段，他们之间的互访呢，一定要绕行这个网关，绕行我们这个三层设备啊，需要这个三层的交换机来去做路由啊，那这个时候呢， 我们可以配置访问控制列表啊，在这呢进行阻断啊，这样呢， a 和 b 两个部门呢，哎，就无法互访了，那么大家可以想一下，你这样做啊，对于这个 c 部门是否有效呢啊？ p 三去访问这个 p 四的时候啊，如果你在这边做 a、 c、 l 能否被阻断呢？ 答案是不能。因为 p 三和 p 四互访，由于他们是属于同一个伪赖，属于同一个网段，因此呢，他们之间互访呢，是不经过这个 sw 一的，对吧？也说他是直接走这个二层交换就过来了，那你在这配置 acl， 那么对于我们 p 三和 p 四之间的互访呢，他是没有起到这个隔离作用的，对吧？那么这个又该如何来去做隔离呢？ 好，带着这几个问题哈，我们把它把这个给大家解决一下，好吧，首先呢，我们来看这样一个 top 的配置啊，这里面的基础的配置呢，都已经做好了啊，美拉雅创客呢，都搞定了，那目前呢，我的 p c、 e 呢，它的 r、 p d 是十点二五四，它是可以访问这个二十点五四的，就说它 可以拼通这个 pc 二，同样这个 pc 三呢，目前呢，它是可以拼通这个三十点二五三的，它自个呢是三十点二五四哈，也就说它是可以直接去访问这个 pc 四的。接下来呢，我们需要做隔离，那么隔离的呢，首先我们在 s w 一上啊，做一个列表啊， 方圆空的代表的写法很简单啊，写一个 s l 三千零一，那么 ruler 啊，拒绝原地址是幺九二的幺八点零点零网段啊，如果原地址是零点零幺九二的幺八段的，对吧，目的也是幺九二的幺六八段啊，我们就给他拒绝掉。 当然，如果你对吧，你的目的不是幺九幺的幺八段，你的目的不是我们内网的网段啊，那我们是可以直接放行的。那这样的你比如你去访问这个外网的七点七，对吧？我们这个 a c l 呢，它是不阻止的。 那接下来的话呢，我们把它配置一下啊，你这样做完还不行，我们需要把这个 a c l 调用到这一口和二口的一个入啊入方向啊，下面呢，我来操作一下啊，进到我们交换机一的 下面两个下行口哈啊， acl 调用一下。好，那么搞定之后呢，接下来呢，我们再来看一下 pc 一和 pcl 呢，能否互访啊，那么可以看到哈，那么 pc 一和 pcr 呢，就已经可以被阻断了啊，这个呢，就是 acl 的这个作用哈，但是的哈，你这个 pc 三和 pc 四，他是依然可以互访的啊，因为他俩之间的互访呢，是不经过这个 sw 的嘛。 那接下来我们就需要配置另外一个技术，叫做端口隔离，通过在我们这个接入交换机啊底下的二层交换机上，通过端口隔离技术来去实现啊， 同一个伪烂的这个用户之间的隔离，那这个配置也很简单，只需要到啊接用户的接口配置这么一个指令就可以了啊， 那么隔离配置完成之后呢，那接下来我们的 p 三 p 四之间啊，他呢就可以被隔离了。好，那么整个的配置呢就完成了啊，那目前的话呢，我们所有的用户啊，之间哈都是被隔离的，不能互访的，但是呢，他们都可以访问这个外网啊，比如说我们去演示一下，对吧？ 访问这个七点七呢，都是没问题啊啊，比如说我们这个 c 部门啊，他去访问七点七也是 ok 的。好，那当然哈，有人说，那你这个用户目前能不能访问这个夫妻呢？由于我们的夫妻也是属于这个幺九幺的优罗巴网段，因此呢，他们是不能访问的啊，大家可以去思考一下啊，留一个思考题啊，我们如何啊？放行底下的用户访问这个夫妻 对吧？我们可以允许他访问，服气，但是他们之间彼此呢，还是要隔离啊，同时也能访问外网啊。那么这个又该来如何实现呢？欢迎在我们的评论区呢进行一个讨论啊，记得点赞关注哦。

今天我们来讲一下如何通过外围页面来调试这台交换机，并且给他划分微烂的配置呢？首先呢，我们在这个设备的右侧呢，会看到有一个 cctr 口，我们去插上 ctrl 线 康子，现在另一头呢，我们直接插在咱们电脑的 u 口就可以了，此时呢，我们可以通过这条命运呢，能够查看到当前交换机的管理 ip， 认识幺九二点幺八点零点一， 找一个网线呢，插在交换机的任意一个接口，并将设备加上电源，网线的另外一端呢，我们就直接和电脑直接互联就可以了， 并且呢我们将这台电脑的 ip 地址设置为幺九二点幺六八点零点一百，我们直接点击确定保存就可以了。接下来呢，我们在浏览器里面输入 h ttps 冒号双斜杠，幺九二点幺六八点零点幺，也就是这台交换机的管理地址，我们就可以直接看到他的一个登录界面进行登录了， 那这时呢，我们就可以输入用户名为额的密，密码呢也是额的密，直接点击登录， 那我们登录成功以后呢，其实我们在这边有一个叫管理 ap 啊，这里呢可以去修改当前设备的管理地址，我们点提交就可以修改。 那另外呢，我们怎么去配置微烂呢？我们可以点开左侧有叫微烂啊，然后呢，我们在这个下面直接点击新建啊，比如说我们当前要配置一个微烂石，那这个时候呢，我们描述呢，咱们也可以去写一个描述，比如说，呃，这是财财务部啊，我们去 解决描述啊，方便我们后面好排查。那么在这里呢，我们可以同时选择，我们将前面三个口或者四口或者五个口呢，我们加入到微烂石啊，我们勾选以后呢，直接在下面点击提交啊，这时呢微烂石就已经创建好了 啊，那么上面微烂一呢，是每个交换机都默认的一个微烂一啊，那当然呢，比如说我们现在呢还需要再去新建一个微烂二十，比如说我们微烂二十，我们在下面写一个，呃，比如说这是咱们的 销售啊，销售部啊，那么下面呢，我们比如说咱们把呃四五六七啊，把这四个口呢我们加到微量二十，我们直接点击下面的提交 啊，那么同时把微烂二十创建好了，那么四到七口呢，就是属于我们微烂二十的网贷了啊，那么整个我们这样的配完以后呢，其实我们微烂呢也是比较简单，我们就整体的做完配置了。

今天教你二层交换机中 trunk 如何允许某 blank 通信，我们今天所讲的呢，用到一个拓普，是这样一个拓普，呃，有点大，但是我不会全部都讲，我只讲一部分，这张拓普里面的话把网络分成了几个部分啊？首先呢，这个部分呢，是一个企业网的总部，这是一个企业网的分支 啊，这是一个及时服务，就点 acp， 这是呢数据中心， idc， 这个呢是运营商，两个全局运营商这个网络当中呢，会用到几个设备？上面这两个交换机包括还有这两个路由器，他们之间是属于三层设备。下面这两个交换机呢，我主要当二层去用，他就用数第六层。那我们就来看一下 三层交换机跟二层交换机和路由器对接的时候该用到什么技术。好吧，我们首先来登录一下这个交换机，交换机大家注意很重要， 就是如果交换机要使用三层功能的话，他其实也是在他的二层技术上运行的，也就是微烂这个技术，那我们可以给这个交换机创建相应的微烂啊。首先呢我们怎么创建？我们叫微烂， 这里要注意一下我这个交换机啊，他对应下面的是未来一百啊，上面这个呢，其实也是未来一百，然后左边这个也是未来一百啊，所以这个交换机他其实都只有一个未来啊，所以我们在这边呢，可以写个未来一百，然后写完之后的话，我们这么写进入到他的端口，我同时操作上面两个接口，面向交换机的 怎么做呢？这么写叫 poult link table trunk 执行创功能，并且 poult trunk along pathway line 一百， 这个是什么意思？这个意思是说我两个端口呢？执行创个功能，并且转发未来一百的数据，就允许未来一百通行啊？可以这个意思，二次交换机就这么做，非常简单啊，那么。

交换机如何配置 vlan 进行广播域的隔离？如图所示，我们在一台交换机上连接了三台 pc， 我们将三台 pc 呢配置为相同网段的 ip 地址。首先 pc 已配置的 ip 地址呢，是幺零点幺点幺点幺，字王延满呢是二五五点二，五五点二，五五点零。 同样的 p c 二呢，配置为幺零点幺点幺点二，子王野马与 p c e 相同。而 p c 三的配置的 ip 地址呢是幺零点幺点幺点三，子王野马与 p c e 和 p c 二相同。此时我们进行一个测试， pc 以上，我们去访问 pc 二，发现能够进行互通。同时呢，我们在 pc 以上对 pc 三进行拼音测试，发现也能够互通。此时呢，我们在交换机上镜进行一个广播域的隔离。交换机的配置命令，我们在系统试图下首先去创建 vlan， 我们在这个案例中呢，配置两个 vlan 啊，我们使用 v vlan batch 这个命令呢，可以同时创建 vlan 十，以 vlan 二十。然后呢，我们将连接 pc 一的接口一零杠零杠一划入到 vlan 十，首先去设置交换机连接 pc 的接口，它设置为 xs 模式啊，然后呢，再将接口默认 vlan 划入 vlan 十，然后进入了连接 pc 二的接口 p 零杠零杠二做相同的配置，将接口设置为 access 模式，然后再将接口设置到 vline 十。然后我们再将连接 pc 三的接口 零杠零杠三同样设置为 excess 模式，但是我们将 p c 三划入到 relen 二十当中。那这个时候呢，我们来进行一个拼音测试， 我们使用 pc 一去访问 pc 二，我们可以发现 pc 一和 pc 二是能够进行互通的，然后我们再使用 pc 一去访问 pc 三，发现 pc 一和 pc 三之间不能进行互通， 说明此时我们的 p c e 和 p c 二处在 vlan 十这个广播域中，而 p c 三呢，处于 welan 二时这个广播域，这个就是我们交换机在进行广播域隔离的 vlan 配置。

办公上网和内网不隔离，客户气的在你头上直拉稀。众所周知，监控系统、网管系统不需要联网，联网后还会有信息安全问题，但公司还是要正常上网，不然成了山顶洞人，公司必定狂。那今天通过破烂实现二层隔离，就能让该上网的设备上网，不能上网的不上网。 一般上网少不了路由器或光猫浏览器，登录后点击下一步，跟随步骤完成上网的设置。点击完成设置，再把电脑插到从光猫连接下来的没有经过任何配置的交换剂，看一下有没有网。 二、你先规划一半的口正常访问的互联网，一半的接口仅作为公司内网使用，不接入互联网。再通过刊速线或选成登录交换机指令配置界面。三、输入 system will， 进入下一局视图，新建 vlog， 一到八口使用默认 vlog， 在使用奔驰 vcvg 杠零杠九 pg 杠零杠十六批量配置接口划分到弗兰尔。四、测试一下，可以看到第一台电脑可以上网，第二台不能上网且不能相互通信，然后把网线从一口插到十一口后，两台电脑可以互相拼通。我说火攻，你说牛火攻。

假如你是做桌面运维的，交换机的这些操作你必须要学会交换机的鼻梁配置，把鼻梁加入到接口里面，这样基础的配置我们是必须要学会的。 配置迷恋有两个好处，第一个是我们做迷恋可以有效的隔离广播域影响我们广播风暴带来的一些风险。第二是我们使用迷恋可以统一方便的进行一个管理。 我们接下来用华为的模拟器来实操演练一下迷恋到底是怎么配置的，怎样才能把这些个接口加入到对应的迷恋里面去。 假如这是我们交换机底下接了两台 pc 或是摄像头 pc， 一是迷恋十 pc， 二是迷恋二十。接下来我们要给交换机配置两个迷恋，一个是迷恋十，一个是迷恋二十，那我们来 看一下。首先通过 sys 进入到我们的配置视图，然后我们关闭信息提示， undo info center enable， 这时候我们就把信息提示关闭了。接着我们创建两个 villan， villa 十快的退出， villan 二十快的退出，那两个 villan 就已经构建成了 this villain。 我们可以看到当前创建了两个 villain 是 villain 十和 villain 二十，每个交换机都有默认的 villain 一。 紧接着我们要把一接口加入到 red 十，先进入到 g 零杠零杠一，然后接着配 port link type access， 这是第一条命令， 第二条命令是 put default relax。 这时候我们 disease 看一下当前配置，我们就做了两条配置，接下来我们快的退出，进入到我们的 g 零杠零杠二， 第一条 port link type xs， 第二条 port default villa 二十，那我们一口是 villa 二十，二口是 villa 二十，这样我们的 villa 就配置完成了，加入到对应的接口，然后我们快的退出，然后输入保存，输入 y 回车就可以把配置保存了， 这时候我们设备重启之后，我们的配置就不会丢失了。以上就是我们本次实验的全部操作。

在三层交换机上实现不同 land 互通很常用，也很简单。在三层交换机上实现不同 land 互通，首先你需要了解 vlan 的概念和作用。 vlan 是一种将局域网划分为多个逻辑网络的技术，每个逻辑网络都是独立的， 可以限制广播域隔离不同部门，提高网络安全性等。在三层交换机上可以实现不同 vlan 之间的互通，通过设置不同 vlan 之间的路由表来实现。具体步骤如下， 一、创建不同的 vlan， 并将端口分配到相应的 vlan。 二、基于每个 vlan 设置交换机的三层接口。以 vlan 八为例，具体操作命令式创建三层接口 interface vlan 八，然后配 ip 地址 ip hs 幺零点幺点幺点幺二五五点二五五点二五五点零，这样三层接口就配置好了，其他的烂的三层接口同理进行配置就可以了。 三、配置终端设备 pc 的 ip 地址和网关，以便能够访问其他无烂的设备。在设置过程中需要注意一些细节， 例如避免 ip 地址冲突、配置交换机端口特性等。以上是关于如何在三层交换机上实现不同 land 互通的方法，如果你有更多相关问题或需要了解更多细节， 请留言告诉我们。以上内容如果对你有帮助，记得点赞，谢谢您关注我，让您学习更多网络知识！

交换机虚拟局域网问配置，现在我们来看怎么在交换机上去划分 villain， 也就是创建多个虚拟局域网，现在这三台电脑处在同一个 villain 里，他们是可以互相通信的。我们把 pc 一和 pc2 放在 villain 时， pc 三放在 vi 二时，这样的话 pc 一和 pc 二依然可以通信，但是 pc 一和 pc 三就不能通信了。具体的这个操作是这样的，首先我们在交换机上创建两个 vilan， 然后再进入 pce 相连的这个接口，也就是 g 零杠零杠一， 把这个接口的类型设成 access access 这个接口类型就是用来连接终端的，连接 pcg 的，然后再把它通过 party fourth villain 这条命令放进 villain 时，同样的操作，我们在这个零杠二口也做一下，只要进入 g 杠零杠零杠二，然后再把这个命令给 他粘贴进来，但是我们在零杠零杠三就要给他放进不同的 weland， 把零杠三放进 welan2 时，这样的话我们就可以通过 dc go weland 这个加命令能看到我们现在有 weland 十跟 weland 二十两个 weland， 然后他的接口的分布是一口和二口在 weland 十，三口在 weland 二十， 这样的话就通过虚拟局域王起到了一个隔离的作用。我们先来测试一下，结果用 pc 一去访问 pc 二，他是可以通的，但是 pc 一访问 pc 三是被隔离的，这个就是虚拟局域王的配置。