H3C交换机跨VLAN通信配置实战指南

胖葫芦

1. 项目背景与需求解析

最近在整理网络实验室的H3C交换机配置时，发现很多新手工程师对VLAN的实操应用存在理解偏差。这个"VLAN练习-03"项目正是针对企业级网络环境中常见的多VLAN跨交换机通信场景设计的实战训练。不同于基础的单交换机VLAN划分，本次练习重点解决以下核心问题：

如何实现跨交换机的相同VLAN通信
多交换机环境下的VLAN Trunk配置要点
实际业务场景中的VLAN与端口映射关系

在企业网络架构中，VLAN技术是隔离广播域、优化网络性能的基础手段。以典型的三层架构（接入-汇聚-核心）为例，同一VLAN的用户可能分布在不同的接入交换机上，这时就需要通过Trunk链路实现跨设备通信。

2. 实验环境搭建

2.1 设备选型与拓扑设计

本次实验采用两台H3C S5120系列交换机（实际工作中也可用S5500/S6800等系列），通过千兆电口互联形成基础拓扑：

code复制[SW1] Gi1/0/1 <----> Gi1/0/1 [SW2]

注意：生产环境中建议使用光口互联，实验室环境可用普通网线连接。如果使用Combo口（光电复用口），需注意同一时间只能启用一种介质类型。

2.2 基础配置准备

首先完成设备基础访问配置（以SW1为例）：

bash复制system-view
sysname SW1
interface vlan-interface 1
 ip address 192.168.1.1 24
quit
user-interface vty 0 4
 authentication-mode password
 set authentication password simple admin123
 user privilege level 3
quit

关键参数说明：

vlan-interface 1：默认管理VLAN接口
user privilege level 3：配置最高权限级别
密码复杂度建议：实际环境应使用cipher加密方式

3. VLAN基础配置实战

3.1 创建业务VLAN

假设我们需要部署三个业务VLAN：

bash复制vlan 10
 description Dept_Finance
vlan 20  
 description Dept_HR
vlan 30
 description Dept_IT

实操技巧：使用description添加注释是良好的运维习惯，在大规模网络中能快速定位VLAN用途。

3.2 端口划分与配置

将SW1的端口加入对应VLAN：

bash复制interface gigabitethernet 1/0/2
 port link-type access
 port access vlan 10
#
interface gigabitethernet 1/0/3
 port link-type access  
 port access vlan 20

验证配置：

bash复制display vlan 10
display port vlan gigabitethernet 1/0/2

4. 跨交换机VLAN通信实现

4.1 Trunk链路配置

关键配置（两台交换机都需要）：

bash复制interface gigabitethernet 1/0/1
 port link-type trunk
 port trunk permit vlan all  # 生产环境建议指定允许的VLAN

安全建议：实际网络应使用port trunk permit vlan 10 20 30替代all，避免VLAN hopping攻击。

4.2 验证通信状态

检查Trunk端口状态：

bash复制display interface gigabitethernet 1/0/1

预期输出应包含：

code复制Port link-type: TRUNK
VLAN passing: 1(default), 10, 20, 30

5. 高级功能配置

5.1 VLAN间路由（三层交换）

如需实现VLAN间通信，需配置VLAN接口IP：

bash复制interface vlan-interface 10
 ip address 10.0.10.1 24
#
interface vlan-interface 20
 ip address 10.0.20.1 24

5.2 MAC地址学习验证

查看MAC地址表：

bash复制display mac-address

典型输出示例：

code复制MAC Address    VLAN ID  State      Port/NickName    Aging
5489-98d3-1a2f 10       Learned    GE1/0/2          N

6. 排错与维护指南

6.1 常见问题排查

VLAN不通检查流程：
- 物理链路状态（display interface brief）
- VLAN创建状态（display vlan）
- 端口模式匹配（access/trunk）
- 端口PVID一致性

Trunk链路异常处理：

bash复制reset counters interface gigabitethernet 1/0/1  # 清除计数器
display interface gigabitethernet 1/0/1  # 查看错误包统计

6.2 配置备份与恢复

定期保存配置：

bash复制save vlan-config.cfg

紧急恢复方法：

bash复制delete flash:/vlan-config.cfg
reboot

7. 生产环境注意事项

命名规范建议：
- VLAN ID采用部门编号+功能组合（如1010_Finance）
- 接口描述包含终端信息（如PC-财务部-张三）

安全加固措施：

bash复制stp bpdu-protection  # 启用BPDU防护
port-security enable # 启用端口安全

性能优化技巧：
- 调整STP优先级：stp instance 0 priority 4096
- 启用端口快速转发：stp edged-port enable

经过多次实验室验证，在跨交换机VLAN配置中最容易出错的环节是Trunk端口的允许VLAN列表设置。有次割接时就因为漏配了一个VLAN导致业务中断，后来养成了配置后立即用display current-configuration interface复查的好习惯。另外建议在变更窗口期进行端口镜像抓包，用mirroring-group命令实时验证流量走向。