多个交换机管理
本帖最后由 merlot82 于 2025-3-18 11:30 编辑简化说明:三台交换机都配置了vlan100-800,8个vlan,在S6520上配置了vlanif100-800,地址172.20.10.254-172.20.80.254,其中vlan200作为管理vlan,
从PC1 172.20.20.1PING SW2:172.20.20.65; SW1:172.20.20.254&172.20.30.254; pc2:172.20.30.1 都是通的
登录到交换机上,SW1,SW2,SW3互相都是通的
但是从PC1 ping SW3的管理地址172.20.20.60 不通
问题在哪呢?
重新整理了下问题和拓扑图
核心网运维路过,你把3个交换机的配置贴一下,我给你看一下[偷笑]
display current就可以 jianghaitao 发表于 2025-3-17 11:21
核心网运维路过,你把3个交换机的配置贴一下,我给你看一下
display current就可以 ...
得晚上回家后贴了,在单位摸鱼,先感谢 应该没写回程,一把梭 ip route-static 0.0.0.0 0 172.20.20.254 对猪有感觉 发表于 2025-3-17 16:43
应该没写回程,一把梭 ip route-static 0.0.0.0 0 172.20.20.254
感觉它没跨网段,就在一个vlan下,vlan都透传的话,没有理由不通啊 看下接入交换机上有没有配默认路由,ip route-static 0.0.0.0 0.0.0.0 172.20.20.254 另外看不懂你这个trunk all 是啥意思,一般接入交换机不是应该上联口是trunk,其他连接入端口模式不是应该是access,并且划归到不同的vlan里面去么? 本帖最后由 weisir 于 2025-3-17 20:23 编辑
我在华为的ensp模拟器上完美的复现了你说的问题现象
还有,不建议trunk vlan all,会死人的 本帖最后由 weisir 于 2025-3-17 20:31 编辑
masterluke 发表于 2025-3-17 18:07
另外看不懂你这个trunk all 是啥意思,一般接入交换机不是应该上联口是trunk,其他连接入端口模式不是应该 ...
他有业务和管理vlan,多个vlan用trunk,trunk all,就是放行2-4094所有的vlan,后续只需要核心上做好三层vlan网关就可以了
接入层交换机一般老油条是不这麽搞的 对猪有感觉 发表于 2025-3-17 16:43
应该没写回程,一把梭 ip route-static 0.0.0.0 0 172.20.20.254
同一个子网下,不用写路由 本帖最后由 nn1122 于 2025-3-17 21:47 编辑
一般不设置trunk vlan all,都是建立vlanif以及DHCP以后,写默认路由转发到上一跳网关即路由器,然后路由里写回程静态路由,这样各个子网通过路由器来互通,也可以通过路由器访问策略来控制具体不同子网的IP互访,这才是三层交换机的最大用途,分担了路由器多网段流量转发的负荷 本帖最后由 merlot82 于 2025-3-18 09:14 编辑
jianghaitao 发表于 2025-3-17 11:21
核心网运维路过,你把3个交换机的配置贴一下,我给你看一下
display current就可以 ...
dis current-configuration
version 7.1.070, Release 6628P48
sysname S6520
clock timezone Lisbon add 00:00:00
clock protocol none
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
irf member 1 priority 1
dhcp enable
lldp global enable
password-recovery enable
vlan 1
vlan 50
vlan 100
mdns relay enable
mdns relay source ip 172.22.22.254
//节省画面 vlan100-800都是一样的
stp port-log instance 0 to 4094
stp port-log vlan 1 to 4094
stp global enable
dhcp server ip-pool 20
gateway-list 172.20.20.254
network 172.20.20.0 mask 255.255.255.0
address range 172.20.20.21 172.20.20.199
dns-list 172.22.22.22
netbios-type b-node
dhcp server ip-pool 30
gateway-list 172.20.30.254
network 172.20.30.0 mask 255.255.255.0
address range 172.20.30.21 172.20.30.199
//节省画面,dns pool 也都是一样的
netbios-type b-node
interface NULL0
interface LoopBack0
interface Vlan-interface1
ip address dhcp-alloc
interface Vlan-interface100
ip address 172.20.10.254 255.255.255.0
interface Vlan-interface200
ip address 172.20.20.254 255.255.255.0
dhcp server apply ip-pool 20
interface Vlan-interface222
ip address 172.22.22.254 255.255.255.0
interface Vlan-interface300
ip address 172.20.30.254 255.255.255.0
dhcp server apply ip-pool 30
interface Vlan-interface400
ip address 172.20.40.254 255.255.255.0
dhcp server apply ip-pool 40
interface Vlan-interface500
ip address 172.20.50.254 255.255.255.0
dhcp server apply ip-pool 50
interface Vlan-interface600
ip address 172.20.60.254 255.255.255.0
dhcp server apply ip-pool 60
interface Vlan-interface700
ip address 172.20.70.254 255.255.255.0
dhcp server apply ip-pool 70
interface Vlan-interface800
ip address 172.20.80.254 255.255.255.0
dhcp server apply ip-pool 80
interface M-GigabitEthernet0/0/0
ip address dhcp-alloc
undo dhcp select server
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
//24个端口也都是一样的
interface Ten-GigabitEthernet1/0/24
port link-mode bridge
port link-type trunk
port trunk permit vlan all
scheduler logfile size 16
line class aux
user-role network-admin
line class usb
user-role network-admin
line class vty
user-role network-operator
line aux 0
user-role network-admin
line vty 0 4
authentication-mode scheme
user-role network-operator
protocol inbound ssh
line vty 5 63
user-role network-operator
ssh server enable
sftp server enable
sftp server idle-timeout 60
scp server enable
radius scheme system
user-name-format without-domain
domain system
authentication login local
authorization login local
authentication lan-access local
authorization lan-access local
accounting lan-access none
domain default enable system
role name level-0
description Predefined level-0 role
...
role name level-14
description Predefined level-14 role
user-group system
local-user admin class manage
password hash $h$6$T1PhRP8D71aAPDOs$Mf22Z+fwmbyn4Sw6bCZiodC7A1HKeGQEbnYIheD1ZpR/urQIsdxM/hnNau5gAGY7IUVbwoVSlkdOjE53Av0F3A==
service-type http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
local-user gs class manage
password hash $h$6$ME2IY8nmWKiCljqN$ikwPuOElYKu0ARBPoKwvPE/FAVNRFFcaTYnQaijxc6BZbePTLBPBEp0CSGkD7RXP7F8yxOtmZ/WQgXHFuUu2rQ==
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
local-user gs class network
password cipher $c$3$Jo6aDZvuV4gGgE6aMWJEJV/M9LfqzYxvSulW8Q==
bind-attribute location interface M-GigabitEthernet0/0/0
authorization-attribute idle-cut 120
authorization-attribute user-role network-operator
security-enhanced level 1
undo ssl renegotiation disable
undo ssl version ssl3.0 disable
undo ssl version tls1.0 disable
undo ssl version tls1.1 disable
ip http enable
ip https enable
web idle-timeout 600
mdns relay gateway ip 172.22.22.254
cloud-management server domain oasis.h3c.com
return
现在不同vlan下的电脑都可以ping通,比如172.20.30.234到172.20.80.23。只是vlan200作为管理vlan,每台交换机都配置了vlanif200,在交换机上172.20.20.X可以互相ping通,如果PC接在vlan200的access口,也是可以ping通交换机的;但是如果是pc机走的其他vlan,比如vlan400,IP地址是172.20.40.22,可以ping通其他的172.20.x.x,就是ping不通交换机的vlanif200。 masterluke 发表于 2025-3-17 18:07
另外看不懂你这个trunk all 是啥意思,一般接入交换机不是应该上联口是trunk,其他连接入端口模式不是应该 ...
我是把SW1做三层核心,下面接的2层接入交换机,24个sfp+都接下联交换机,懒得写trunk vlanID ,就一把梭 trunk all了,相当于trunk 1-4094 nn1122 发表于 2025-3-17 21:35
一般不设置trunk vlan all,都是建立vlanif以及DHCP以后,写默认路由转发到上一跳网关即路由器,然后路由里 ...
我实际上是设置了一个三层接口到路由器,路由器只是作为nat网关,内网不同vlan不走路由器 本帖最后由 jianghaitao 于 2025-3-18 09:25 编辑
merlot82 发表于 2025-3-18 09:08
dis current-configuration
version 7.1.070, Release 6628P48
sysname S6520
sw2和sw3的配置有么,再就是把三台交换机互联的接口和终端千万别省略
password-recovery enable
vlan 1
vlan 50
vlan 100
mdns relay enable
sw1交换机这块的配置是只有vlan 150 100 吗?
sw1不用加路由,但是sw2和3 如果你不加路由的话,pc如果不在vlan200里是不可能ping通sw2或者3的管理地址的、
sw2和3 需要加一个 ip route-static 0.0.0.0 0.0.0.0 172.20.20.254
这样的话,pc 即是不在vlan200 里也可以ping通SW2和3了 jianghaitao 发表于 2025-3-18 09:20
sw2和sw3的配置有么,再就是把三台交换机互联的接口和终端千万别省略
password-recovery enable
不是只有vlan 1 50 100,是这三个vlan 没有其他配置
interface Vlan-interface400
ip address 172.20.40.254 255.255.255.0
dhcp server apply ip-pool 40
其他的vlan有配置,写成这样。
现在是vlan间都通,只有vlan200有问题,每台交换机都配置了vlanif200, 172.20.20.X,在交换机上互相ping vlanif200,也都是通的,但是电脑接入其他vlan就 ping不通 vlanif200 也就是每台交换机的管理IP 172.20.20.x都不通,除非电脑也接入vlan200 merlot82 发表于 2025-3-18 09:19
我实际上是设置了一个三层接口到路由器,路由器只是作为nat网关,内网不同vlan不走路由器 ...
一般就是这种场景,见案例
https://blog.csdn.net/mengmeng_921/article/details/139528664
https://smb.tp-link.com.cn/service/detail_article_4491.html 入门人员路过学习一下 本帖最后由 jianghaitao 于 2025-3-18 09:46 编辑
merlot82 发表于 2025-3-18 09:29
不是只有vlan 1 50 100,是这三个vlan 没有其他配置
第一,你得先敲vlan 100200 300创建vlan,然后再继续创建interface vlan,第二点,你那两台sw 2 和sw3必须加默认路由指到sw1上,你不加路由,电脑接入其他vlan肯定ping不通SW2和3 vlan200的管理地址
ip route-static 0.0.0.0 0.0.0.0 172.20.20.254
sw2和3 加一条这个默认路由就好了 jianghaitao 发表于 2025-3-18 09:43
第一,你得先敲vlan 100200 300创建vlan,然后再继续创建interface vlan,第二点,你那两台sw 2 和sw3 ...
内网要啥路由 jianghaitao 发表于 2025-3-18 09:43
第一,你得先敲vlan 100200 300创建vlan,然后再继续创建interface vlan,第二点,你那两台sw 2 和sw3 ...
我晚上回去试试,加一条静态路由。
我理解的是路由是这样的:我在SW1上给每个vlan都设置vlanif:172.20.x.254了,实际上在整个网络上vlan都是可以互相访问的,PC接到任意交换机的端口,这个端口设置vlan access30,pc通过 DHCP获得IP:172.20.30.1,网关是172.20.30.254,就可以访问172.20.X(10-80).0/24了。目前,我PC机通过接入交换机(sw2,sw3)的access 口都可以获得IP,互相之间都可以ping通,只有vlan200,不通 某个vlan下的端口全部down状态时 该vlan对应的管理地址是不生效的
给每个vlan的端口都接上设备才行 ttt5t5t 发表于 2025-3-18 11:15
某个vlan下的端口全部down状态时 该vlan对应的管理地址是不生效的
给每个vlan的端口都接上设备才行 ...
有启发,不过即使我交换机下不接PC,也就是只有3台交换机互联的话,串口登录任何一台交换机,都是可以ping通另外两台的,说明三台交换机的vlanif200地址都是生效了的啊 mosigan 发表于 2025-3-18 11:05
内网要啥路由
他多个子网互相通信,不加路由怎么用 本帖最后由 jianghaitao 于 2025-3-18 11:46 编辑
merlot82 发表于 2025-3-18 11:12
我晚上回去试试,加一条静态路由。
我理解的是路由是这样的:我在SW1上给每个vlan都设置vlanif:172.20.x ...
因为sw1上有所有网段的直连路由表,sw2和3上只有vlan200的路由表,所以需要手工加一个静态默认路由
你可以学个ccna 就能理解了 ttt5t5t 发表于 2025-3-18 11:15
某个vlan下的端口全部down状态时 该vlan对应的管理地址是不生效的
给每个vlan的端口都接上设备才行 ...
他这个是因为跨子网通信,和你说的这个没关系 核心交换机上静态路由条目有没有写对,各个交换机的VLANIF的默认网关有没有指向核心交换机对应的VLAN IF,各个PC上的默认网关有没有指向核心交换机上的对应VLAN VLANIF。
看第二个图,应该是下面两个交换机的管理地址默认网关不对,第一个图没看懂,按理同一个VLAN不应该PING 不通。 同网段,不需要路由。
不同网段,需要路由。
不同网段如果不通第一时间考虑路由表。 c2h6o 发表于 2025-3-18 11:53
核心交换机上静态路由条目有没有写对,各个交换机的VLANIF的默认网关有没有指向核心交换机对应的VLAN IF, ...
核心交换机上,每个vlan都设置了vlanif,并且每个vlan都通过dhcp下发ip 指定了网关是172.20.X.254 jianghaitao 发表于 2025-3-18 11:41
他多个子网互相通信,不加路由怎么用
不是172.20.20.0的网段吗,这么成多个网段了