问
华三交换机trunk放行问题
2天前提问
- 0关注
- 0收藏,106浏览
方案一:使用“增量放行”命令(最推荐、最安全)
在 H3C 交换机上,
您可以直接在当前配置下,追加您需要放行的业务 VLAN。例如:
port trunk permit vlan 命令是增量生效的。这意味着您完全不需要先执行 undo port trunk permit vlan all。您可以直接在当前配置下,追加您需要放行的业务 VLAN。例如:
[H3C-GigabitEthernet1/0/1] port trunk permit vlan 10 20 30执行后,该接口允许通过的 VLAN 列表会变为:
1, 10, 20, 30(VLAN 1 是默认允许的)。只要您的管理 VLAN 还在列表中,连接就不会断开。等所有业务 VLAN 都追加完毕后,您再单独执行 undo port trunk permit vlan 1 将默认 VLAN 1 剔除即可。方案二:利用“定时自动回退”机制(防误操作神器)
如果您不确定修改后网络是否还能连通,或者担心自己敲错命令导致断网,可以使用 H3C 的定时提交功能。
- 开启配置定时生效模式:
[H3C] schedule commit at 10:00 - 正常执行您的加固命令(包括
undo all和permit vlan 10 20 30)。 - 关键一步:执行完上述所有命令后,千万不要保存配置,也不要手动提交。直接断开 SSH 连接,等待 10 分钟。
- 如果网络正常:在 10:00 之前重新登录设备,执行
schedule commit手动确认生效,然后save。 - 如果网络断开:什么都不用做,等待 10:00 到达,交换机会自动回滚到 10:00 之前的配置,网络自动恢复。
- 如果网络正常:在 10:00 之前重新登录设备,执行
方案三:批量替换法(适合脚本操作)
如果您需要修改大量端口,可以编写脚本,将
undo 和 permit 放在同一个配置块中一次性下发,减少中间态的断网时间:interface GigabitEthernet1/0/1
undo port trunk permit vlan all
port trunk permit vlan 10 20 30注:此方法仍有一定风险,因为
undo 和 permit 之间可能存在毫秒级的空窗期。如果管理 VLAN 刚好在这个空窗期被踢出,依然会断网。因此更推荐方案一。
H3C Trunk 端口取消 all 平滑改造方案(远程操作不中断业务,不用现场 Console)
核心问题根源
H3C 交换机 Trunk 端口规则:
- 执行
port trunk permit vlan all= 放行全部 4094 个 VLAN; - 直接执行
port trunk permit vlan 10 20 30不会覆盖原有 all,是叠加追加,放行范围变成all + 10+20+30,配置不生效; - 一旦执行
undo port trunk permit vlan all,端口会立刻恢复出厂默认(仅放行 VLAN1),所有业务 VLAN 断流,远程管理掉线。
下面给 2 套零中断远程改造方案,优先方案 1(在线平滑,无一秒断网)。
方案一:先追加全部业务 VLAN,再删除 all(推荐,全程业务不断)
原理
先把所有需要放行的业务 VLAN 全部叠加到 Trunk 允许列表里,此时端口同时拥有
all + 业务 VLAN 列表;
叠加完成后再删除 all,端口仅保留提前追加好的业务 VLAN,流量无中断。完整操作步骤(示例:业务 VLAN 1 10 20 30 999,999 为管理 VLAN)
plaintext
system-view
# 1. 进入上联Trunk接口
interface GigabitEthernet 1/0/24
# 2. 【关键第一步】叠加所有需要放行的业务VLAN(一次写全,空格分隔,支持to范围)
port trunk permit vlan 1 10 20 30 999
# 验证:此时端口同时存在 all 和 手动指定VLAN,业务流量正常转发
display this interface GigabitEthernet 1/0/24
# 输出会同时看到两行:
# port trunk permit vlan all
# port trunk permit vlan 1 10 20 30 999
# 3. 叠加完成,再删除all关键字(此时业务VLAN已永久留在允许列表,不会断网)
undo port trunk permit vlan all
# 4. 最终校验,确认仅保留业务VLAN
display this interface GigabitEthernet 1/0/24
# 只会剩余 port trunk permit vlan 1 10 20 30 999,改造完成
重点说明
- 不要先删 all!先加、后删是不中断的核心;
- 必须带上管理 VLAN(如 999),否则删 all 后远程 SSH/WEB 直接掉线;
- VLAN 支持简写范围,比如
port trunk permit vlan 10 to 30 999,减少输入长度。
方案二:双机冗余场景分批改造(核心 IRF / 双上联环境)
如果是双核心、双上联聚合组网,可分链路改造,零业务中断:
- 先改造第一条上联口:执行方案一「先加 VLAN→undo all」;
- 切换业务流量到改造完成的链路;
- 再改造第二条上联口,全程无断网。
方案三:应急兜底(万一操作失误掉线,远程救回手段)
若误操作先执行
undo port trunk permit vlan all,端口只剩 VLAN1,远程掉线:- 机房 Console 恢复:接口下重新
port trunk permit vlan all恢复业务; - 严格按方案一顺序重新操作;
- 若无法去机房,有堆叠 / IRF 备用主控,可通过备主控 Console 登录修复。
批量多 Trunk 口改造脚本(interface range 批量操作)
多台上联口统一改造,一次性批量叠加 VLAN,不用逐个接口操作:
plaintext
system-view
# 批量选中所有Trunk上联口
interface range GigabitEthernet 1/0/24 to GigabitEthernet 1/0/26
# 批量追加全部业务VLAN
port trunk permit vlan 1 10 to 30 999
# 批量删除all
undo port trunk permit vlan all
常见避坑点
- 漏加管理 VLAN 只加业务 VLAN,没加 SSH 管理 VLAN,undo all 之后远程断开,必须去机房。
- VLAN 没提前创建
接口添加不存在的 VLAN 会报错,先全局创建 VLAN:
vlan batch 10 to 30 999。 - PVID 不匹配 Trunk pvid 如果是 999 管理 VLAN,必须把 999 放进允许列表,否则管理报文丢弃。
- 对端交换机未同步修剪 VLAN 本端修剪完,对端仍 permit all,存在广播风暴风险,两端同步执行改造。
改造前后校验命令
- 查看当前 Trunk 允许 VLAN
display this interface GigabitEthernet 1/0/24 - 查看接口 VLAN 转发统计,确认业务流量正常
display interface GigabitEthernet 1/0/24 - 批量查看所有 Trunk 口配置
display port trunk
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
感谢