多个交换机管理

merlot82

简化说明：三台交换机都配置了vlan100-800，8个vlan，在S6520上配置了vlanif100-800,地址172.20.10.254-172.20.80.254，其中vlan200作为管理vlan，

从PC1 172.20.20.1  PING SW2:172.20.20.65; SW1:172.20.20.254&172.20.30.254; pc2:172.20.30.1 都是通的

登录到交换机上，SW1,SW2,SW3互相都是通的

但是从PC1 ping SW3的管理地址172.20.20.60 不通

问题在哪呢？




重新整理了下问题和拓扑图

jianghaitao

核心网运维路过，你把3个交换机的配置贴一下，我给你看一下

display current就可以

merlot82

jianghaitao 发表于 2025-3-17 11:21
核心网运维路过，你把3个交换机的配置贴一下，我给你看一下

display current就可以 ...

得晚上回家后贴了，在单位摸鱼，先感谢

对猪有感觉

应该没写回程  ，一把梭   ip route-static 0.0.0.0 0 172.20.20.254

小日生

对猪有感觉 发表于 2025-3-17 16:43
应该没写回程  ，一把梭   ip route-static 0.0.0.0 0 172.20.20.254

感觉它没跨网段，就在一个vlan下，vlan都透传的话，没有理由不通啊

masterluke

看下接入交换机上有没有配默认路由，ip route-static 0.0.0.0 0.0.0.0 172.20.20.254

masterluke

另外看不懂你这个trunk all 是啥意思，一般接入交换机不是应该上联口是trunk，其他连接入端口模式不是应该是access，并且划归到不同的vlan里面去么？

weisir

我在华为的ensp模拟器上完美的复现了你说的问题现象
还有，不建议trunk vlan all，会死人的

weisir

masterluke 发表于 2025-3-17 18:07
另外看不懂你这个trunk all 是啥意思，一般接入交换机不是应该上联口是trunk，其他连接入端口模式不是应该 ...

他有业务和管理vlan，多个vlan用trunk,trunk all,就是放行2-4094所有的vlan,后续只需要核心上做好三层vlan网关就可以了
接入层交换机一般老油条是不这麽搞的

jianghaitao

对猪有感觉 发表于 2025-3-17 16:43
应该没写回程  ，一把梭   ip route-static 0.0.0.0 0 172.20.20.254

同一个子网下，不用写路由

nn1122

一般不设置trunk vlan all，都是建立vlanif以及DHCP以后，写默认路由转发到上一跳网关即路由器，然后路由里写回程静态路由，这样各个子网通过路由器来互通，也可以通过路由器访问策略来控制具体不同子网的IP互访，这才是三层交换机的最大用途，分担了路由器多网段流量转发的负荷

merlot82

jianghaitao 发表于 2025-3-17 11:21
核心网运维路过，你把3个交换机的配置贴一下，我给你看一下

display current就可以 ...

[S6520]dis current-configuration
version 7.1.070, Release 6628P48
sysname S6520
clock timezone Lisbon add 00:00:00
clock protocol none
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
irf member 1 priority 1
dhcp enable
lldp global enable
password-recovery enable
vlan 1
vlan 50
vlan 100
mdns relay enable
mdns relay source ip 172.22.22.254
//节省画面 vlan100-800都是一样的
stp port-log instance 0 to 4094
stp port-log vlan 1 to 4094
stp global enable
dhcp server ip-pool 20
gateway-list 172.20.20.254
network 172.20.20.0 mask 255.255.255.0
address range 172.20.20.21 172.20.20.199
dns-list 172.22.22.22
netbios-type b-node
dhcp server ip-pool 30
gateway-list 172.20.30.254
network 172.20.30.0 mask 255.255.255.0
address range 172.20.30.21 172.20.30.199
//节省画面，dns pool 也都是一样的
netbios-type b-node
interface NULL0
interface LoopBack0
interface Vlan-interface1
ip address dhcp-alloc
interface Vlan-interface100
ip address 172.20.10.254 255.255.255.0
interface Vlan-interface200
ip address 172.20.20.254 255.255.255.0
dhcp server apply ip-pool 20
interface Vlan-interface222
ip address 172.22.22.254 255.255.255.0
interface Vlan-interface300
ip address 172.20.30.254 255.255.255.0
dhcp server apply ip-pool 30
interface Vlan-interface400
ip address 172.20.40.254 255.255.255.0
dhcp server apply ip-pool 40
interface Vlan-interface500
ip address 172.20.50.254 255.255.255.0
dhcp server apply ip-pool 50
interface Vlan-interface600
ip address 172.20.60.254 255.255.255.0
dhcp server apply ip-pool 60
interface Vlan-interface700
ip address 172.20.70.254 255.255.255.0
dhcp server apply ip-pool 70
interface Vlan-interface800
ip address 172.20.80.254 255.255.255.0
dhcp server apply ip-pool 80
interface M-GigabitEthernet0/0/0
ip address dhcp-alloc
undo dhcp select server
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
//24个端口也都是一样的
interface Ten-GigabitEthernet1/0/24
port link-mode bridge
port link-type trunk
port trunk permit vlan all
scheduler logfile size 16
line class aux
user-role network-admin
line class usb
user-role network-admin
line class vty
user-role network-operator
line aux 0
user-role network-admin
line vty 0 4
authentication-mode scheme
user-role network-operator
protocol inbound ssh
line vty 5 63
user-role network-operator
ssh server enable
sftp server enable
sftp server idle-timeout 60
scp server enable
radius scheme system
user-name-format without-domain
domain system
authentication login local
authorization login local
authentication lan-access local
authorization lan-access local
accounting lan-access none
domain default enable system
role name level-0
description Predefined level-0 role
...
role name level-14
description Predefined level-14 role
user-group system
local-user admin class manage
password hash $h$6$T1PhRP8D71aAPDOs$Mf22Z+fwmbyn4Sw6bCZiodC7A1HKeGQEbnYIheD1ZpR/urQIsdxM/hnNau5gAGY7IUVbwoVSlkdOjE53Av0F3A==
service-type http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
local-user gs class manage
password hash $h$6$ME2IY8nmWKiCljqN$ikwPuOElYKu0ARBPoKwvPE/FAVNRFFcaTYnQaijxc6BZbePTLBPBEp0CSGkD7RXP7F8yxOtmZ/WQgXHFuUu2rQ==
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
local-user gs class network
password cipher $c$3$Jo6aDZvuV4gGgE6aMWJEJV/M9LfqzYxvSulW8Q==
bind-attribute location interface M-GigabitEthernet0/0/0
authorization-attribute idle-cut 120
authorization-attribute user-role network-operator
security-enhanced level 1
undo ssl renegotiation disable
undo ssl version ssl3.0 disable
undo ssl version tls1.0 disable
undo ssl version tls1.1 disable
ip http enable
ip https enable
web idle-timeout 600
mdns relay gateway ip 172.22.22.254
cloud-management server domain oasis.h3c.com
return
[S6520]


现在不同vlan下的电脑都可以ping通，比如172.20.30.234到172.20.80.23。只是vlan200作为管理vlan，每台交换机都配置了vlanif200,在交换机上172.20.20.X可以互相ping通，如果PC接在vlan200的access口，也是可以ping通交换机的；但是如果是pc机走的其他vlan，比如vlan400,IP地址是172.20.40.22，可以ping通其他的172.20.x.x，就是ping不通交换机的vlanif200。

merlot82

masterluke 发表于 2025-3-17 18:07
另外看不懂你这个trunk all 是啥意思，一般接入交换机不是应该上联口是trunk，其他连接入端口模式不是应该 ...

我是把SW1做三层核心，下面接的2层接入交换机，24个sfp+都接下联交换机，懒得写trunk vlanID ,就一把梭 trunk all了，相当于trunk 1-4094

merlot82

nn1122 发表于 2025-3-17 21:35
一般不设置trunk vlan all，都是建立vlanif以及DHCP以后，写默认路由转发到上一跳网关即路由器，然后路由里 ...

我实际上是设置了一个三层接口到路由器，路由器只是作为nat网关，内网不同vlan不走路由器

jianghaitao

merlot82 发表于 2025-3-18 09:08
[S6520]dis current-configuration
version 7.1.070, Release 6628P48
sysname S6520

sw2和sw3的配置有么，再就是把三台交换机互联的接口和终端千万别省略

password-recovery enable
vlan 1
vlan 50
vlan 100
mdns relay enable
sw1交换机这块的配置是只有vlan 1  50 100 吗？


sw1不用加路由，但是sw2和3 如果你不加路由的话，pc如果不在vlan200里是不可能ping通sw2或者3的管理地址的、

sw2和3 需要加一个 ip route-static 0.0.0.0 0.0.0.0 172.20.20.254

这样的话，pc 即是不在vlan200 里也可以ping通SW2和3了

merlot82

jianghaitao 发表于 2025-3-18 09:20
sw2和sw3的配置有么，再就是把三台交换机互联的接口和终端千万别省略

password-recovery enable

不是只有vlan 1 50 100，是这三个vlan 没有其他配置

1. interface Vlan-interface400
   
2. ip address 172.20.40.254 255.255.255.0
   
3. dhcp server apply ip-pool 40

复制代码

其他的vlan有配置，写成这样。

现在是vlan间都通，只有vlan200有问题，每台交换机都配置了vlanif200, 172.20.20.X，在交换机上互相ping vlanif200,也都是通的，但是电脑接入其他vlan就 ping不通 vlanif200 也就是每台交换机的管理IP 172.20.20.x都不通，除非电脑也接入vlan200

nn1122

merlot82 发表于 2025-3-18 09:19
我实际上是设置了一个三层接口到路由器，路由器只是作为nat网关，内网不同vlan不走路由器 ...

一般就是这种场景，见案例
https://blog.csdn.net/mengmeng_921/article/details/139528664
https://smb.tp-link.com.cn/service/detail_article_4491.html

buffff

入门人员路过学习一下

jianghaitao

merlot82 发表于 2025-3-18 09:29
不是只有vlan 1 50 100，是这三个vlan 没有其他配置

第一，你得先敲vlan 100  200 300创建vlan，然后再继续创建interface vlan，第二点，你那两台sw 2 和sw3必须加默认路由指到sw1上，你不加路由，电脑接入其他vlan肯定ping不通SW2和3 vlan200的管理地址


ip route-static 0.0.0.0 0.0.0.0 172.20.20.254

sw2和3 加一条这个默认路由就好了

mosigan

jianghaitao 发表于 2025-3-18 09:43
第一，你得先敲vlan 100  200 300创建vlan，然后再继续创建interface vlan，第二点，你那两台sw 2 和sw3 ...

内网要啥路由

merlot82

jianghaitao 发表于 2025-3-18 09:43
第一，你得先敲vlan 100  200 300创建vlan，然后再继续创建interface vlan，第二点，你那两台sw 2 和sw3 ...

我晚上回去试试，加一条静态路由。

我理解的是路由是这样的：我在SW1上给每个vlan都设置vlanif:172.20.x.254了，实际上在整个网络上vlan都是可以互相访问的，PC接到任意交换机的端口，这个端口设置vlan access30,pc通过 DHCP获得IP：172.20.30.1，网关是172.20.30.254,就可以访问172.20.X(10-80).0/24了。目前，我PC机通过接入交换机（sw2,sw3)的access 口都可以获得IP，互相之间都可以ping通，只有vlan200，不通

ttt5t5t

某个vlan下的端口全部down状态时 该vlan对应的管理地址是不生效的
给每个vlan的端口都接上设备才行

merlot82

ttt5t5t 发表于 2025-3-18 11:15
某个vlan下的端口全部down状态时 该vlan对应的管理地址是不生效的
给每个vlan的端口都接上设备才行 ...

有启发，不过即使我交换机下不接PC，也就是只有3台交换机互联的话，串口登录任何一台交换机，都是可以ping通另外两台的，说明三台交换机的vlanif200地址都是生效了的啊

jianghaitao

mosigan 发表于 2025-3-18 11:05
内网要啥路由

他多个子网互相通信，不加路由怎么用

jianghaitao

merlot82 发表于 2025-3-18 11:12
我晚上回去试试，加一条静态路由。

我理解的是路由是这样的：我在SW1上给每个vlan都设置vlanif:172.20.x ...

因为sw1上有所有网段的直连路由表，sw2和3上只有vlan200的路由表，所以需要手工加一个静态默认路由

你可以学个ccna 就能理解了

jianghaitao

ttt5t5t 发表于 2025-3-18 11:15
某个vlan下的端口全部down状态时 该vlan对应的管理地址是不生效的
给每个vlan的端口都接上设备才行 ...

他这个是因为跨子网通信，和你说的这个没关系

c2h6o

核心交换机上静态路由条目有没有写对，各个交换机的VLANIF的默认网关有没有指向核心交换机对应的VLAN IF，各个PC上的默认网关有没有指向核心交换机上的对应VLAN VLANIF。
看第二个图，应该是下面两个交换机的管理地址默认网关不对，第一个图没看懂，按理同一个VLAN不应该PING 不通。

从地狱到天堂

同网段，不需要路由。
不同网段，需要路由。

不同网段如果不通第一时间考虑路由表。

merlot82

c2h6o 发表于 2025-3-18 11:53
核心交换机上静态路由条目有没有写对，各个交换机的VLANIF的默认网关有没有指向核心交换机对应的VLAN IF， ...

核心交换机上，每个vlan都设置了vlanif,并且每个vlan都通过dhcp下发ip 指定了网关是172.20.X.254

mosigan

jianghaitao 发表于 2025-3-18 11:41
他多个子网互相通信，不加路由怎么用

不是172.20.20.0的网段吗，这么成多个网段了