)
从宿舍到机房:手把手用两台华为交换机搭建小型办公网(含VLAN与静态路由)
刚毕业加入创业公司时,老板扔给我两台华为S3900交换机和一句"把市场部和技术部的网络分开但又能互通"。作为新人,我对着闪烁的交换机指示灯手足无措——教科书上的VLAN实验和真实办公网络需求之间,隔着一道需要亲手搭建的桥梁。本文将还原这个从零搭建隔离办公网的完整过程,重点分享如何用业务视角而不仅是命令行来规划网络。
1. 网络规划:从业务需求到技术方案
初创公司的网络规划往往始于一张餐巾纸草图。市场部(VLAN 10)需要访问客户关系管理系统,技术部(VLAN 20)要连接代码仓库,两个部门偶尔需要共享项目文档。根据这个业务场景,我们需要:
物理拓扑:两台交换机堆叠放置,市场部PC接入SwitchA,技术部PC接入SwitchB
IP规划:
部门 VLAN 网段 网关 市场部 10 192.168.10.0/24 192.168.10.1 技术部 20 192.168.20.0/24 192.168.20.1 互联 100 192.168.100.0/30 N/A 通信策略:
- 部门内部:二层直连
- 跨部门通信:通过三层路由受控访问
- 关键考虑:市场部打印机需要被两个部门共享
实际部署中发现:技术部的测试服务器需要更大带宽,因此将G0/0/23-24配置为LACP聚合端口,这是初期规划时容易忽略的细节。
2. 基础配置:交换机初始化与VLAN划分
拿到新交换机首先要进行"开箱设置",就像给新手机激活一样。通过Console线连接后:
<Huawei> system-view # 进入系统视图 [Huawei] sysname SW1 # 修改设备名称 [SW1] vlan batch 10 20 100 # 批量创建VLAN [SW1] interface vlanif 10 # 创建VLAN接口 [SW1-Vlanif10] ip address 192.168.10.1 24 # 配置网关端口分配技巧:
- 接入端口(Access)配置:
[SW1] interface gigabitethernet 0/0/5 [SW1-GigabitEthernet0/0/5] port link-type access [SW1-GigabitEthernet0/0/5] port default vlan 10 - 中继端口(Trunk)配置:
[SW1] interface gigabitethernet 0/0/24 [SW1-GigabitEthernet0/0/24] port link-type trunk [SW1-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 100
常见踩坑点:
- 忘记
commit保存配置(华为交换机是自动保存) - Trunk端口未放行相应VLAN会导致通信中断
- Access端口误接到Trunk端口会导致VLAN hopping风险
3. 跨交换机VLAN互通:Trunk与三层交换
当市场部的同事抱怨访问不到技术部的文件服务器时,真正的网络考验才开始。两台交换机之间的互联需要:
物理连接:使用G0/0/24端口交叉连接两台交换机(现代交换机大多支持自动翻转)
关键配置:
# 在SW1上配置互联VLAN [SW1] interface vlanif 100 [SW1-Vlanif100] ip address 192.168.100.1 30 # 在SW2上配置互联VLAN [SW2] interface vlanif 100 [SW2-Vlanif100] ip address 192.168.100.2 30验证命令:
display vlan # 查看VLAN划分 display interface brief # 查看端口状态 ping 192.168.100.2 # 测试交换机间连通性实际项目中遇到的典型问题:
- MTU不匹配导致大文件传输失败
- 生成树协议(STP)阻塞冗余链路需要额外配置
- VLAN信息不同步需要检查VTP配置(华为是GVRP)
4. 部门间受控访问:静态路由实战
老板突然要求市场部只能访问技术部的Wiki服务器(192.168.20.100),其他IP禁止访问。这需要精细的路由控制:
路由配置:
# 在SW1上配置静态路由 [SW1] ip route-static 192.168.20.0 255.255.255.0 192.168.100.2 # 在SW2上配置回程路由 [SW2] ip route-static 192.168.10.0 255.255.255.0 192.168.100.1ACL访问控制:
[SW2] acl number 2000 # 创建基本ACL [SW2-acl-basic-2000] rule deny source 192.168.10.0 0.0.0.255 [SW2-acl-basic-2000] rule permit source 192.168.10.5 0 # 放行特定IP [SW2] interface vlanif 20 [SW2-Vlanif20] traffic-filter inbound acl 2000 # 应用ACL调试技巧:
- 使用
tracert命令检查路由路径 display ip routing-table查看路由表- 逐步放开ACL规则定位问题
5. 运维管理:日常维护与故障排查
凌晨2点接到电话说网络瘫痪时,我才意识到配置备份的重要性。华为交换机的运维要点:
配置备份:
<SW1> save # 保存当前配置 <SW1> display current-configuration > tftp://192.168.1.100/sw1.cfg # TFTP备份常见故障处理:
端口不UP:
- 检查物理连接
reset counters interface清除统计信息shutdown/undo shutdown重置端口
VLAN间不通:
display arp all # 检查ARP表 display ip interface brief # 检查接口状态Trunk链路异常:
display interface trunk # 查看Trunk端口 port trunk pvid vlan 100 # 设置Native VLAN
性能监控命令:
display cpu-usage # CPU利用率 display memory-usage # 内存使用 display interface gigabitethernet 0/0/24 # 查看端口流量记得第一次处理广播风暴时,通过display loop-detection发现某个端口异常,最终定位是一台故障网卡导致的。这种实战经验比任何教科书都来得深刻。
)
