一、Sub主从IP介绍1.1 介绍华为核心交换机的 Sub 主从 IPSecondary IP是在 VLANIF 三层接口下配置的单接口多 IP 技术一个接口仅设 1 个主 IP可配多个带sub关键字的从 IP主从 IP 分属不同网段用于实现同一 VLAN 承载多子网互通、网络平滑割接、多业务网关隔离等场景配置后生成等价直连路由不影响原有网络架构是企业核心网灵活扩展与兼容过渡的常用三层地址配置方案。1.2 应用场景Sub 主从 IP 地址典型应用场景网段平滑迁移 / 割接旧网段要改成新网段时同一接口同时配置新旧两个网段 IP让新旧设备互通不停机完成割接。同一 VLAN 内多个网段共存一个 VLAN 里有多个不同网段的设备不用新建 VLAN直接给三层接口加 Sub IP实现跨网段互通。解决设备地址不兼容问题部分老设备、摄像头、门禁、工控机只能用固定旧网段新增设备用新网段用 Sub IP 同时做两者网关。多业务网段隔离简易方案办公、监控、IoT 等业务不想划分太多 VLAN可在同一接口配置多个 Sub IP作为不同业务的网关。临时扩容、临时接入主网段 IP 地址已用完临时新增一段 IP 给访客、测试设备使用快速开通不改动原有网络。网络调试与维护临时配置一个调试网段 IP方便直连设备排查故障不影响现网主 IP 配置。二、Sub主从IP配置组网拓扑某企业局域网内同一 VLAN 下的终端主机分别属于192.168.10.0/24和192.168.20.0/24两个网段要求实现同一 VLAN 内两个不同网段的主机相互通信同时两个网段内所有主机均能正常访问互联网。为满足该需求需在交换机对应 VLANIF 接口配置主 IP 地址与Sub 从 IP 地址分别作为两个网段的网关实现网段互通与上网转发。配置思路可采用如下思路配置同VLAN不同网段用户的通信1. 配置出口路由器接口地址2. 核心交换机VLAN Trunk。3. 核心交换机网关、VLANIF接口主从IP地址。4. 配置核心交换机DHCP服务器5. 配置静态路由。6. 配置出口路由器NAT转换。7. 测试终端网络连通性。配置步骤1. 出口路由器接口IP地址配置。# 配置连接公网的接口对应的IP地址。[Router] interface gigabitethernet 0/0/2 [Router-GigabitEthernet0/0/2] ip address 100.0.0.2 255.255.255.252 //配置连接公网接口的地址 [Router-GigabitEthernet0/0/2] quit# 配置连接核心交换机接口对应的IP地址。[Router] interface gigabitethernet 0/0/1 [Router-GigabitEthernet0/0/1] ip address 192.168.100.1 255.255.255.252 //连接核心交换机接口IP地址 [Router-GigabitEthernet0/0/1] quit2. 核心交换机VLAN Trunk配置。# 创建VLAN10和VLAN100。[Switch] vlan batch 10 100# 配置连接路由器的接口类型。[Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] port link-type access //配置端口类型为access [Switch-GigabitEthernet0/0/1] port default vlan 100 //配置连接路由器接口为VLAN 100 [Switch-GigabitEthernet0/0/1] quit# 配置连接用户接口链路类型。# 配置接口GE0/0/2和GE0/0/3加入VLAN 10。 [Switch] interface gigabitethernet 0/0/2 [Switch-GigabitEthernet0/0/2] port link-type access //配置接口类型为access [Switch-GigabitEthernet0/0/2] port default vlan 10 //配置接口加入VLAN 10 [Switch-GigabitEthernet0/0/2] quit [Switch] interface gigabitethernet 0/0/3 [Switch-GigabitEthernet0/0/3] port link-type access //配置接口类型为access [Switch-GigabitEthernet0/0/3] port default vlan 10 //配置接口加入VLAN 10 [Switch-GigabitEthernet0/0/3] quit3. 核心交换机用户网关及VLANIF接口主从IP地址配置。# 配置VLANIF10的主从IP地址重点。[Switch] interface vlanif 10 [Switch-Vlanif10] ip address 192.168.10.1 24 //主IP地址网关配置 [Switch-Vlanif10] ip address 192.168.20.1 24 sub //从IP地址网关配置 [Switch-Vlanif10] quit注意事项一个VLANIF接口下可以配置多个从IP地址。# 配置连接路由器VLANIF接口IP地址。[Switch] interface vlanif 100 [Switch-Vlanif100] ip address 192.168.100.2 30 //配置连接路由器VLANIF接口IP地址。 [Switch-Vlanif100] quit4. 使能DHCP服务功能配置核心交换机DHCP服务器。# 使能DHCP服务功能。[Switch] dhcp enable# 配置192.168.10.1/24主地址网段DHCP地址池。[Switch] ip pool vlan10 [Switch-ip-pool-vlan10] network 192.168.10.0 mask 255.255.255.0 //配置地址网段 [Switch-ip-pool-vlan10] dns-list 114.114.114.114 8.8.8.8 //配置DNS地址 [Switch-ip-pool-vlan10] gateway-list 192.168.10.1 //配置网关地址 [Switch-ip-pool-vlan10] lease day 2 hour 0 minute 0 //配置地址租期时间为两天 [Switch-ip-pool-vlan10] quit# 配置192.168.20.1/24从地址网段DHCP地址池。[Switch] ip pool vlan20 [Switch-ip-pool-vlan20] network 192.168.20.0 mask 255.255.255.0 //配置地址网段 [Switch-ip-pool-vlan20] dns-list 114.114.114.114 8.8.8.8 //配置DNS地址 [Switch-ip-pool-vlan20] gateway-list 192.168.20.1 //配置网关地址 [Switch-ip-pool-vlan20] lease day 2 hour 0 minute 0 //配置地址租期时间为两天 [Switch-ip-pool-vlan20] quit# 使能VLANIF 10接口下全局DHCP地址池功能。[Switch] interface vlanif 10 [Switch-Vlanif10] dhcp select global [Switch-Vlanif10] quit5. 核心交换机和出口路由器静态路由配置。[Router] ip route-static 0.0.0.0 0.0.0.0 100.0.0.1 //配置缺省路由的下一跳指向公网地址 [Router] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2 //配置回程路由的下一跳指向核心交换机 [Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.1 //配置缺省路由的下一跳指向路由器接口地址6. 出口路由器NAT功能配置使内网用户可以访问外网。[Router] acl number 2001 [Router-acl-basic-2001] rule 5 permit source 192.168.0.0 0.0.255.255 [Router-acl-basic-2001] quit [Router] interface gigabitethernet 0/0/2 [Router-GigabitEthernet0/0/2] nat outbound 2001 //接口调用ACL策略 [Router-GigabitEthernet0/0/2] quit7. 终端用户网关和公网连通性测试。PC1和PC2 ping网关正常能够互相Ping通正常访问Internet。关注我持续更新网络技术配置教程