新手请教:USG Pro 4 + USW Pro Gen2 ,如何配置VLAN,论坛已有的配置学习都没成功

目标:需要四个VALN,Vlan1,Vlan2,Vlan3,Vlan4.
Vlan1是服务区,主要提供基础比如USG,USW,打印机,NAS等设备所在,有线连接,
Vlan2,接UAP,提供无线设备上网,能访问vlan1,vlan2,vlan3.
vlan3,连接监控设备,只能被其它vlan访问,不能反向访问其它vlan,不能上外网,只能局域网查看
vlan4,访客访问,只能上外围,不能访问局域网。

我在Controller配置来,vlan,如果网管模式选择默认,vlan里的设备就获取不到dhcp的IP地址,如果选择交换机模式,可以获得dhcp的ip地址,但是,自动生产的配置文件,不能修改,无法实现vlan之间的访问。请问要怎么配置?感谢

你缺的是对VLAN的理解:

转自本坛童鞋** tiaotiaogao**:
以太网端口有三种链路类型

  • Access
  • Hybrid
  • Trunk

Access 类型的端口只能属于1 个VLAN,一般用于连接计算机的端口;

Trunk 类型的端口可以属于多个VLAN ,可以接收和发送多个VLAN 的报文,一般用于交换机之间连接的端口;

Hybrid 类型的端口可以属于多个VLAN, 可以接收和发送多个VLAN的报文,可以用于交换机之间连接也可以用于连接用户的计算机。

Hybrid端口和Trunk 端口的不同之处在于:Hybrid 端口可以允许多个VLAN 的报文发送时不打标签,而Trunk 端口只允许缺省VLAN 的报文发送时不打标签。Hybrid 端口和Trunk 端口可以加入到多个VLAN 中,从而实现本交换机上的VLAN 与对端交换机上相同VLAN 的互通。Hybrid 端口还可以设置哪些VLAN 的报文打上标签哪些不打标签,为实现对不同VLAN 报文执行不同处理流程打下基础。如果设置了端口的缺省VLAN ID ,当端口接收到不带VLAN Tag 的报文后则将报文转发到属于缺省VLAN 的端口;当端口发送带有VLAN Tag 的报文时,如果该报文的VLAN ID 与端口缺省的VLAN ID 相同,则系统将去掉报文的VLAN Tag 然后再发送该报文。Access 端口只属于1 个VLAN ,所以它的缺省VLAN 就是它所在的VLAN不用设置。

华为交换机 设备内部的数据帧一律都带有VLAN Tag,以统一方式处理。当一个数据帧进入交换机接口时,如果没有带VLAN Tag,且该接口上配置缺省VLAN ID(PVID),那么,该数据帧就会被标记上接口的PVID。如果数据帧已经带有VLAN Tag,那么,即使接口已经配置了PVID,交换机不会再给数据帧标记VLAN Tag。由于接口类型不同,交换机对帧的处理过程也不同。

Access型接口:

  1. 收到一个数据帧。
  2. 帧是否有VLAN Tag,没有VLAN Tag,则标记上Access 接口的PVID,转入下步处理;有VLAN Tag,则比较帧的VLAN Tag 和接口的PVID,两者一致则进行下一步处理;否则丢弃帧。
  3. 交换机根据帧的目的MAC 地址和VLAN ID 查找VLAN 配置信息,决定从哪个接口把帧发送出去。
  4. 交换机根据查到的出接口发送数据帧。数据帧从Access 接口发出时,交换机先剥离帧的VLAN Tag,然后再发出去。数据帧从Trunk 接口发出时,比较帧的VLAN Tag 和接口允许通过的VID,两者一致则直接发送帧,否则丢弃帧。数据帧从Hybrid 接口发出时,交换机设备判断VLAN 在本接口的属性是Untag 还是Tag,如果是Untag,先剥离帧的VLAN Tag,再发送;如果是Tag,直接发送帧。
    Trunk型接口:
  5. 收到一个数据帧。
  6. 帧是否有VLAN Tag,没有Tag,丢弃帧;有Tag,则判断该Trunk 接口是否允许该VLAN 帧进入。允许则进行下步处理,否则丢弃该帧。
  7. 交换机根据帧的目的MAC 地址和VLAN ID,查找VLAN 配置信息,决定从哪个接口把帧发送出去。
  8. 交换机根据查到的出接口发送数据帧。数据帧从Access 接口发出时,交换机先剥离帧的VLAN Tag,然后再发出去。数据帧从Trunk 接口发出时,比较帧的VLAN Tag 和接口允许通过的VID,两者一致则直接发送帧,否则丢弃帧。数据帧从Hybrid 接口发出时,交换机先判断VLAN 在本接口的属性是Untag 还是Tag,如果是Untag,先剥离帧的VLAN Tag,再发送;如果是Tag,直接发送帧。

Hybrid型接口:

  1. 收到一个数据帧。
  2. 是否有VLAN Tag,没有Tag,则标记上Hybrid 接口的PVID,转入下步处理;有Tag,则判断该Hybrid 接口是否允许该VLAN ID帧进入:允许则进行下步处理,否则丢弃该帧。
  3. 交换机根据帧的目的MAC 地址和VLAN ID,查找VLAN 配置信息,决定从哪个接口把帧发送出去。
  4. 交换机根据查到的出接口发送数据帧数据帧从Access 接口发出时,交换机先剥离帧的VLAN Tag,然后再发送出去。数据帧从Trunk 接口发出时,比较帧的VLAN Tag 和接口允许通过的VID,两者一致则直接发送帧,否则丢弃帧。数据帧从Hybrid 接口发出时,交换机判断VLAN 在本接口的属性是Untag 还是Tag,如果是Untag,先剥离帧的VLAN Tag,再发送;如果是Tag,直接发送帧。

如果简单点来说:

  • 就是接电脑、打印机、NAS这些终端的都是Access端口,
  • 接AP、交换机、路由器的都是HY或Trunk端口「UB产品范畴内不需要HY的概念」;

至于说谁能访问谁,不能访问谁是防火墙规则制订的,跟VLAN没太大关系,所以你首先把各自的端口上的模式配对了,网络就通了。

提示 :right_anger_bubble:配置步骤:

  1. 站点网络配置VLAN+DHCP;
  2. 站点Profile配置中SWITCH PORTS按照Access和Trunk模式配置出对应的模版「不是必须的 :bangbang:,除非有复杂的NAS应用」简单配置就尽量用缺省的ALL对应Trunk;
  3. 在交换机上配置端口,在端口配置中选取对应的Profile;

感谢您的回复 学习消化一下 尝试看看

VLAN之间访问已经成功,感谢
但是我在USW Pro Gen2 的端口配置中,没有找到可以选择Access 还是 Trunk的地方。 :sweat_smile:
另外,Gateway Type的default 和 Switch 有什么区别?

如上图,我选择Switch后,除了我建立的VLAN外,还会自动产生一个VLAN,名字叫Inter-VLAN routing,

并且,我用Switch方式建立的VLAN中的设备,自动获取的DNS默认都是10.255.253.1.
这个inter-VLAN 可以删除吗,有什么用?

另外,我用gateway type选择default方式建立vlan,为何vlan内的设备不能自动获取ip,vlan配置我已经设置了dhcp。

还是基础知识的问题,VLAN是二层协议,你在三层路由器上找二层协议的配置?Access 还是 Trunk是指二层交换端口的模式,所以请至二层交换机端口上配置即可。

同上,你选了Switch建立VLAN后就代表把交换机配置成三层的模式了「因为你在交换机上配置了三层网络还有DHCP」因此路由器到交换机需要自动生成一个三层路由接口来适应你的网络模式变化,实属智能且合理。只不过是你错误的操作导致的,在你的目标案例中没有这个必要,请在Gateway Type中选择Default。

上面二楼的回帖里已经写了配置步骤,你自己也说了并有没完成「根本没找到地方配置吧 :crazy_face:」,怎么可能通 :question: :bangbang:注意那段的每个字词,其实已经写出来在哪里配置了的……「开车的步骤里有加油这项工作,但是因为没有找到加油的口子,你即便有钥匙,踩了离合,握着方向盘,车能没油就开走 :anger: :sunglasses: :question:

当然有可能你的端口都已经配置好了Profile,那么设备还是没拿到地址说明啥 :question:配置错了呀 :bangbang:

感谢赐教,继续学习。 :pray:

再请教一个问题,usw pro gen2的2个10G 光纤口,我先设置连接速度为1G,这时连接 usg pro 的千兆光纤口 能联通。同样的连接华为交换机的1G光纤口,灯都不亮,在Controller里看USW pro光纤口是一个灰底感叹号,报RX fault 错误。什么原因?

这种适应性问题不用提吧……自己把SFP都插到一个交换机上看灯亮不亮,亮了说明物理器件兼容;拆下来到两台机器间装根带衰减的跳线,两边强制千兆或万兆「根据SFP规格,而不是根据你的想法 :bangbang:」;再不亮就是兼容问题,两边找一台换掉,或者换SFP,你作为最终用户仅有的就是这几个选择。