虚拟局域网配置技术指南

配置概述

目标是在思科 Catalyst 交换机上为大型企业的语音与视频专网实施高安全、可扩展的VLAN分段与跨设备通信方案。方案覆盖从VLAN创建、端口分配、三层互联、QoS 优先级保障、组播转发优化，到全栈二层安全（DHCP Snooping/DAI/IPSG）、接入控制（802.1X/MAB）、链路冗余（LACP）与生成树优化（RPVST+）的完整配置与验证方法。

适用范围：

• 核心/汇聚（L3）与接入（L2）层的分层网络架构
• 语音（SIP/RTP）与视频（多播/单播）业务并存
• 高安全要求（准入控制、零信任分段、攻击面收敛）

示例VLAN与地址规划（可按需调整）：

• 管理 VLAN 10：10.10.10.0/24（SVI由核心/汇聚承载）
• 业务-数据 VLAN 110：10.110.0.0/16（用于IP话机后的PC或软终端，若专网纯语音/视频可不启用）
• 语音 VLAN 210：10.210.0.0/16（IP话机/语音网关）
• 视频 VLAN 310：10.31.0.0/16（视频终端/MCU/会议室设备）
• Native VLAN 999（不承载业务；仅为Trunk Native；不分配IP）
• 隔离/黑洞 VLAN 998（未使用端口置入并shutdown）

配置前提

• 确认设备与版本：Catalyst IOS/IOS XE（建议统一版本，开启RTU许可合规）；确认支持特性：HSRP/PIM/IGMP Snooping/MLSQoS/802.1X/DAI/IPSG
• 已完成网络设计与地址规划（见上）；明确CUCM/视频控制器/MCU/RP/Radius/NTP/Syslog等关键服务器IP
• 变更窗口、回退方案、配置备份与控制台接入已就绪
• 明确角色：核心/汇聚（L3 SVI与路由、HSRP、PIM RP）、接入（L2转发、语音VLAN、准入与边界QoS）
• 上游网络与安全策略（防火墙/边界ACL/NAT）已对齐，必要的UDP端口（SIP 5060/5061，RTP 16384–32767等）与视频端口放行策略明确
• 如视频使用多播，确定Rendezvous-Point（RP）与多播域范围

详细配置步骤

以下分为核心/汇聚（L3）与接入（L2）两部分，并包含通用全局安全与管理配置。命令以通用Catalyst语法为主；Catalyst 9000如有差异，见注释说明。

1. 全局基础与管理安全（各交换机）

! 基础管理与安全
service timestamps log datetime msec
no ip http server
no ip http secure-server
ip domain-name corp.example
crypto key generate rsa modulus 2048
ip ssh version 2
login block-for 60 attempts 5 within 60

! AAA与RADIUS（按需替换实际服务器与密钥）
aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius local if-authenticated
radius server RADIUS1
 address ipv4 10.10.20.10 auth-port 1812 acct-port 1813
 key <RADIUS-KEY>
ip name-server 10.10.20.20
ntp server 10.10.20.30 prefer
logging host 10.10.20.40
logging trap informational

! VTP安全（建议透明模式，避免误写VLAN数据库）
vtp mode transparent
no vtp password

! 生成树（核心/汇聚为根，接入为边缘）
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree bpduguard default
udld aggressive

2. QoS 全局与映射（各交换机）

! 开启硬件QoS，信任边界在接入口/上联口
mls qos
! 典型DSCP映射（EF=46语音；AF41/42为视频；按平台与需求可细化）
mls qos map cos-dscp 0 8 16 24 32 46 48 56
! Catalyst 9000请将接口上的"mls qos trust dscp"替换为"qos trust dscp"

3. 组播转发（核心/汇聚）

ip multicast-routing
! 静态RP（示例为10.10.200.10，通常为核心节点或专用RP）
ip pim rp-address 10.10.200.10

4. 核心/汇聚（L3）VLAN与SVI、HSRP与ACL 在两台核心/汇聚交换机 Core1/Core2 上：

! 创建业务VLAN（两台核心上均配置）
vlan 10,110,210,310,998,999
 name VLAN10-MGMT
 name VLAN110-DATA
 name VLAN210-VOICE
 name VLAN310-VIDEO
 name VLAN998-ISOLATE
 name VLAN999-NATIVE

! 开启三层转发
ip routing

! Core1 SVI与HSRP（VIP使用网关地址，实际IP为.2）
interface Vlan10
 ip address 10.10.10.2 255.255.255.0
 standby 10 ip 10.10.10.1
 standby 10 priority 110 preempt
interface Vlan110
 ip address 10.110.0.2 255.255.0.0
 standby 110 ip 10.110.0.1
 standby 110 priority 110 preempt
 ip pim sparse-mode
interface Vlan210
 ip address 10.210.0.2 255.255.0.0
 standby 210 ip 10.210.0.1
 standby 210 priority 110 preempt
 ip pim sparse-mode
interface Vlan310
 ip address 10.31.0.2 255.255.0.0
 standby 310 ip 10.31.0.1
 standby 310 priority 110 preempt
 ip pim sparse-mode

! Core2 SVI与HSRP（实际IP为.3，优先级低于Core1）
interface Vlan10
 ip address 10.10.10.3 255.255.255.0
 standby 10 ip 10.10.10.1
 standby 10 priority 100 preempt
interface Vlan110
 ip address 10.110.0.3 255.255.0.0
 standby 110 ip 10.110.0.1
 standby 110 priority 100 preempt
 ip pim sparse-mode
interface Vlan210
 ip address 10.210.0.3 255.255.0.0
 standby 210 ip 10.210.0.1
 standby 210 priority 100 preempt
 ip pim sparse-mode
interface Vlan310
 ip address 10.31.0.3 255.255.0.0
 standby 310 ip 10.31.0.1
 standby 310 priority 100 preempt
 ip pim sparse-mode

! 细粒度ACL（示例：限制语音/视频仅访问控制器与互访）
ip access-list extended VOICE-IN
 remark 允许到CUCM与语音网关（示例地址）
 permit tcp 10.210.0.0 0.0.255.255 host 10.50.50.10 eq 5060
 permit udp 10.210.0.0 0.0.255.255 host 10.50.50.10 range 16384 32767
 permit ip 10.210.0.0 0.0.255.255 10.10.0.0 0.0.255.255
 deny ip any any log
ip access-list extended VIDEO-IN
 remark 允许到视频控制器/MCU与必要的管理段
 permit ip 10.31.0.0 0.0.255.255 host 10.60.60.10
 permit ip 10.31.0.0 0.0.255.255 10.10.0.0 0.0.255.255
 deny ip any any log

interface Vlan210
 ip access-group VOICE-IN in
interface Vlan310
 ip access-group VIDEO-IN in

注意：ACL仅为模板，需按实际CUCM/视频控制器/录播/告警等服务器IP与端口完善；建议先放通、抓取流量，再逐步收敛。

5. 接入交换机（L2）VLAN与端口模板

! 创建所需VLAN
vlan 10,110,210,310,998,999
 name VLAN10-MGMT
 name VLAN110-DATA
 name VLAN210-VOICE
 name VLAN310-VIDEO
 name VLAN998-ISOLATE
 name VLAN999-NATIVE

! 未使用端口入隔离VLAN并关闭
interface range Gi1/0/1-24
 switchport mode access
 switchport access vlan 998
 shutdown
 spanning-tree bpduguard enable

! 语音/数据共端口（IP话机+PC串接），多域准入模板
interface range Gi1/0/25-44
 switchport mode access
 switchport access vlan 110
 switchport voice vlan 210
 spanning-tree portfast
 spanning-tree bpduguard enable

 ! 二层安全
 ip dhcp snooping limit rate 30
 ip verify source
 ip arp inspection limit rate 30
 storm-control broadcast level 0.50 0.30
 storm-control multicast level 0.50 0.30
 storm-control action shutdown

 ! 端口安全（容量按实际话机+PC+小交换数量调整）
 switchport port-security
 switchport port-security maximum 5
 switchport port-security mac-address sticky
 switchport port-security violation restrict

 ! QoS信任与语音优化（Catalyst 9000用 qos trust dscp）
 mls qos trust dscp
 auto qos voip cisco-phone

 ! 802.1X + MAB（多域：Voice+Data）
 authentication order mab dot1x
 authentication priority dot1x mab
 authentication port-control auto
 authentication host-mode multi-domain
 mab
 dot1x pae authenticator
 authentication violation restrict

6. 上联链路（接入→汇聚/核心）Trunk 与 LACP 在接入与汇聚两端一致配置：

! 将上联端口打包为LACP聚合
interface range Gi1/0/47-48
 channel-group 1 mode active
!
interface Port-channel1
 description Uplink-to-Distribution
 switchport trunk encapsulation dot1q     ! 若平台不支持则略过
 switchport mode trunk
 switchport trunk native vlan 999
 switchport trunk allowed vlan 10,110,210,310,999
 spanning-tree guard root
 mls qos trust dscp                        ! Catalyst 9000: qos trust dscp
!
! 建议在接入交换机上声明多播路由器端口，提升IGMP收敛
ip igmp snooping vlan 310 mrouter interface Port-channel1

注意：禁止无控制地使用“allowed vlan all”；统一Native VLAN并避免携带业务；Trunk 两端VLAN列表一致。

7. DHCP Snooping / DAI / IPSG（核心/汇聚与接入） 在所有交换机上启用，在通往DHCP服务器的上联口设置trust：

ip dhcp snooping
ip dhcp snooping vlan 110,210,310
ip dhcp snooping database flash:dhcp_snoop.db
ip dhcp snooping information option

! 上联至服务器/核心的接口（真正承载DHCP响应路径）标记为trust
interface Port-channel1
 ip dhcp snooping trust
 ip arp inspection trust

! 全网开启DAI与IP Source Guard（仅非trust端口生效）
ip arp inspection vlan 110,210,310
! 已在接入端口上启用 ip verify source

8. 语音与视频特性补充

• CDP/LLDP：确保用于话机的发现协议开启（默认CDP启用；如需LLDP-MED，与终端适配）

cdp run
lldp run

• 视频多播：业务在VLAN310，核心/汇聚SVI已启用PIM sparse-mode，接入启用IGMP Snooping并指定mrouter接口。如三层网关不在同交换机，可在VLAN310上启用本地Querier（仅限L2场景）：

! 当无三层SVI/IGMP Querier时，在接入交换机上：
ip igmp snooping querier
ip igmp snooping querier timer expiry 255

9. 生成树根与冗余（核心/汇聚）

! 在Core1上设为根主
spanning-tree vlan 1-4094 root primary
! 在Core2上设为根备
spanning-tree vlan 1-4094 root secondary

10. 管理与访问控制强化（各交换机）

line vty 0 4
 transport input ssh
 exec-timeout 10 0
 login authentication default

配置验证

• VLAN与端口状态
  • show vlan brief
  • show interfaces status | inc Gi1/0/
  • show interfaces switchport interface Gi1/0/25
• Trunk与聚合
  • show interfaces trunk
  • show etherchannel summary
• 三层与HSRP
  • show ip interface brief | inc Vlan
  • show standby brief
  • show ip route connected
• QoS与信任
  • show mls qos interface Gi1/0/25
  • show policy-map interface (如使用自定义策略)
  • Catalyst 9000: show platform qos interface
• 语音VLAN与话机发现
  • show interfaces Gi1/0/25 switchport | inc Voice
  • show cdp neighbors detail | inc Platform|IP phone
  • show lldp neighbors detail
• DHCP Snooping / DAI / IPSG
  • show ip dhcp snooping
  • show ip dhcp snooping binding
  • show ip arp inspection vlan 210
• 组播与IGMP
  • show ip igmp snooping vlan 310
  • show ip pim interface
  • show ip pim rp mapping
• 生成树
  • show spanning-tree root
  • show spanning-tree interface Port-channel1 detail
• 安全与准入
  • show port-security interface Gi1/0/25
  • show authentication sessions interface Gi1/0/25 details
• 日志与时间
  • show logging | inc DHCP|ARP|PORT-SEC|STP
  • show ntp status

功能性测试建议：

• 终端接入后获取预期VLAN与IP；PC应在数据VLAN，IP话机在语音VLAN
• 语音：拨测内外线，抓包核验DSCP EF(46)标记与RTP双向；抖动/丢包低
• 视频：会议/点播/直播测试，多播会话IGMP Join/Leave正常，树路稳定
• 故障注入：DHCP攻击/ARP投毒模拟应被拦截；可用性不受影响

故障排查

• 话机未入语音VLAN
  • 检查接口配置 switchport voice vlan 与CDP/LLDP状态
  • 验证Port Security/802.1X MDA是否放行话机（authentication host-mode multi-domain、MAB）
• IP获取失败
  • show ip dhcp snooping binding；确认接入口非trust、上联口为trust
  • DHCP限速过低（limit rate）可能丢包，适当提高
• 语音质量差（丢包/抖动）
  • 核查接入口是否trust dscp；上联/聚合口亦需trust
  • 使用 show policy-map interface 核查是否有不当限速/丢弃
  • 链路错误/丢包：show interfaces counters errors
• 视频多播不通或泛洪
  • 核心SVI未启用 ip pim sparse-mode 或RP未配置/不可达
  • 接入未识别上联为mrouter端口；补充 ip igmp snooping vlan 310 mrouter interface Port-channel1
  • L2场景缺少IGMP Querier
• VLAN跨设备不通
  • Trunk Allowed VLAN不一致或Native VLAN不匹配
  • VTP误操作（建议透明）；确认两端VLAN存在
• DAI/IPSG误拦截
  • 新设备未生成DHCP Snooping绑定；静态IP需添加静态绑定或在可信域内
  • show ip arp inspection statistics 查看被丢弃原因
• 802.1X接入失败
  • show authentication sessions int Gi1/0/25 details
  • RADIUS连通性与策略（超时改为先MAB后Dot1X或相反）
• HSRP漂移/不稳定
  • 双向连通性/丢包，检查STP阻塞与链路抖动
  • HSRP优先级/抢占与定时器设置

注意事项

• 安全基线
  • 使用VTP透明模式，避免误刷新VLAN数据库
  • Native VLAN与业务隔离，禁用在接入端口；未使用端口进隔离VLAN并shutdown
  • 启用DHCP Snooping/DAI/IPSG与Port Security，结合802.1X+MAB实现零信任接入
  • 管理面采用SSH/AAA/RADIUS，限制VTY来源；启用日志与NTP
• QoS与语音优先级
  • 明确“信任边界”在接入口，确保语音EF与视频AF4x端到端传递；避免中间设备重标记
  • Auto QoS可快速落地，建议在上线后结合流量特征进行精调
• 多播与可扩展性
  • PIM与RP端到端一致；逐步引入S,G优化与边缘IGMP抑制策略
• 变更管控
  • 分阶段变更与回退；先观测后收紧ACL与安全阈值
  • 全网配置一致性检查（Trunk/VLAN/Native/QoS/安全特性）
• 文档与资产
  • 完整记录VLAN-ID、子网、网关VIP、关键服务器清单与接口模板
  • 定期核验 show tech 与配置备份；变更留痕

该指南为通用模板。实际部署时请根据具体平台（如Catalyst 9000的qos trust dscp与部分命令差异）、语音/视频系统端口与服务器列表进行精确化配置与验证。

配置概述

本指南面向瞻博网络（Juniper）交换机（EX/QFX 系列，Junos OS），用于数据中心服务器网络分段的VLAN配置与验证。目标包括：

• 在数据中心叶/接入层交换机上创建多业务VLAN并进行端口分配（接入/聚合/中继）
• 配置三层网关（IRB）实现VLAN间路由
• 配置与上联设备、服务器的链路聚合（LACP）
• 提供合规性的基本安全与审计项（管理面加固、日志与时间同步）
• 提供验证与故障排查方法，确保可运维性与稳定性

示例规划（可按需调整）：

• VLAN 10：App-Servers，网段 10.10.10.0/24，网关 10.10.10.1
• VLAN 20：DB-Servers，网段 10.20.20.0/24，网关 10.20.20.1
• VLAN 99：Mgmt/Infra，网段 10.99.99.0/24，网关 10.99.99.1（亦可作为Trunk的Native VLAN）

配置前提

• 设备与版本：Juniper EX/QFX 系列，Junos OS（ELS语法，建议 17.x/18.x及以上）
• 访问方式：控制台或SSH（具备管理账号），并具备变更窗口
• 网络规划：
  • VLAN编号/名称/用途清单
  • 各VLAN的网段与网关IP
  • 上联设备（防火墙/汇聚/核心）的Trunk VLAN列表与Native VLAN约定
  • 服务器端口速率/双工、是否LACP聚合、是否需要多VLAN（Trunk直达）
• 合规要求：
  • 管理面加固（SSH、NETCONF、NTP、Syslog、AAA）
  • 变更留痕（commit comment）、日志与时间同步
• 变更回退策略：已备份当前配置（show configuration | display set），并可使用 commit confirmed

详细配置步骤

以下以“单台接入/叶交换机”为例，使用 set 命令展示。根据实际设备端口编号、VLAN/网段调整。

1. 基础与管理面（可选但推荐）

   • 启用安全的管理协议、时间与日志（合规）
     • set system host-name DC-LEAF-01
     • set system services ssh
     • set system services netconf ssh
     • set system time-zone Asia/Shanghai
     • set system ntp server 10.99.99.10
     • set system syslog host 10.99.99.11 any any
     • set system syslog file messages any any
     • set system login retry-options tries-before-disconnect 3
     • set system login password format sha512
     • 可选AAA（根据企业策略选择 RADIUS/TACACS+）
       • set system authentication-order [ password radius ]
       • set system radius-server 10.99.99.12 secret source-address 10.99.99.2
   • 邻居发现（便于运维）
     • set protocols lldp interface all

2. VLAN 与三层网关（IRB）创建

   • 创建业务与管理VLAN
     • set vlans VLAN10 description "App-Servers"
     • set vlans VLAN10 vlan-id 10
     • set vlans VLAN20 description "DB-Servers"
     • set vlans VLAN20 vlan-id 20
     • set vlans VLAN99 description "Mgmt-Infra"
     • set vlans VLAN99 vlan-id 99
   • 为每个VLAN配置IRB接口（实现三层网关/跨VLAN路由）
     • set vlans VLAN10 l3-interface irb.10
     • set vlans VLAN20 l3-interface irb.20
     • set vlans VLAN99 l3-interface irb.99
     • set interfaces irb unit 10 family inet address 10.10.10.1/24
     • set interfaces irb unit 20 family inet address 10.20.20.1/24
     • set interfaces irb unit 99 family inet address 10.99.99.1/24
   • 上行缺省路由（示例，按实际网关调整）
     • set routing-options static route 0.0.0.0/0 next-hop 10.99.99.254

3. 服务器接入端口（Access模式）

   • 单口接入示例（服务器接入至VLAN10）
     • set interfaces xe-0/0/1 description "Srv01-App"
     • set interfaces xe-0/0/1 speed 10g
     • set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access
     • set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN10
   • 若服务器在DB区（VLAN20）
     • set interfaces xe-0/0/2 description "Srv02-DB"
     • set interfaces xe-0/0/2 speed 10g
     • set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode access
     • set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN20

4. 服务器链路聚合（LACP）接入

   • 将两条物理口聚合为ae0，并作为接入口加入VLAN10
     • set interfaces xe-0/0/5 description "Srv03-LACP-1"
     • set interfaces xe-0/0/6 description "Srv03-LACP-2"
     • set interfaces xe-0/0/5 ether-options 802.3ad ae0
     • set interfaces xe-0/0/6 ether-options 802.3ad ae0
     • set interfaces ae0 aggregated-ether-options lacp active
     • set interfaces ae0 description "Srv03-AE"
     • set interfaces ae0 unit 0 family ethernet-switching interface-mode access
     • set interfaces ae0 unit 0 family ethernet-switching vlan members VLAN10
   • 若服务器需要多VLAN（Trunk到服务器，如虚拟化主机）
     • set interfaces xe-0/0/7 ether-options 802.3ad ae1
     • set interfaces xe-0/0/8 ether-options 802.3ad ae1
     • set interfaces ae1 aggregated-ether-options lacp active
     • set interfaces ae1 description "VMHost-AE-Trunk"
     • set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk
     • set interfaces ae1 unit 0 family ethernet-switching vlan members [ VLAN10 VLAN20 VLAN99 ]
     • set interfaces ae1 unit 0 family ethernet-switching native-vlan-id 99
     • 注：服务器端需对应配置LACP与VLAN Trunk/NIC Teaming

5. 上联至汇聚/防火墙（Trunk）

   • 单口Trunk示例（与上联一致的VLAN清单与Native VLAN）
     • set interfaces xe-0/0/47 description "Uplink-A"
     • set interfaces xe-0/0/47 unit 0 family ethernet-switching interface-mode trunk
     • set interfaces xe-0/0/47 unit 0 family ethernet-switching vlan members [ VLAN10 VLAN20 VLAN99 ]
     • set interfaces xe-0/0/47 unit 0 family ethernet-switching native-vlan-id 99
   • 上联聚合（可选）
     • set interfaces xe-0/0/47 ether-options 802.3ad ae10
     • set interfaces xe-0/0/48 ether-options 802.3ad ae10
     • set interfaces ae10 aggregated-ether-options lacp active
     • set interfaces ae10 description "Uplink-AE"
     • set interfaces ae10 unit 0 family ethernet-switching interface-mode trunk
     • set interfaces ae10 unit 0 family ethernet-switching vlan members [ VLAN10 VLAN20 VLAN99 ]
     • set interfaces ae10 unit 0 family ethernet-switching native-vlan-id 99

6. 基于IRB的基本访问控制（合规示例，按需启用）

   • 为VLAN10入口配置有状态前置过滤（基础白名单示例）
     • set firewall family inet filter VLAN10-IN term allow-dns from destination-port [ 53 ]
     • set firewall family inet filter VLAN10-IN term allow-dns then accept
     • set firewall family inet filter VLAN10-IN term allow-web to destination-address 10.20.20.10/32
     • set firewall family inet filter VLAN10-IN term allow-web from protocol tcp destination-port [ 443 8443 ]
     • set firewall family inet filter VLAN10-IN term allow-web then accept
     • set firewall family inet filter VLAN10-IN term allow-mgmt to destination-address 10.99.99.0/24
     • set firewall family inet filter VLAN10-IN term allow-mgmt from protocol tcp destination-port [ 22 3389 ]
     • set firewall family inet filter VLAN10-IN term allow-mgmt then accept
     • set firewall family inet filter VLAN10-IN term default-deny then discard
     • 应用到VLAN10网关接口
       • set interfaces irb unit 10 family inet filter input VLAN10-IN
   • 注：以上为示范，用于在三层网关侧进行基础分区控制。复杂策略应在防火墙实施，并同步审计/变更流程。

7. 提交与保存

   • 批准并带注释提交
     • commit confirmed 5 comment "Add VLAN10/20/99, IRB, access/trunk, uplink AE, basic filter"
   • 验证无异常后
     • commit
   • 备份配置（推荐）
     • show configuration | display set | save /var/tmp/DC-LEAF-01_.set

配置验证

• VLAN与IRB状态
  • show vlans
  • show interfaces terse | match irb
  • show route | match 0.0.0.0/0
• 接口与交换转发表
  • show interfaces terse | match xe-0/0/
  • show ethernet-switching interfaces
  • show ethernet-switching table vlan-id 10
• Trunk与VLAN传递
  • show configuration interfaces xe-0/0/47 | display set
  • show ethernet-switching interfaces | match trunk
• LACP聚合
  • show lacp interfaces
  • show interfaces ae0 terse
• 连通性测试
  • 从交换机侧：ping 10.10.10.10 source 10.10.10.1
  • 跨VLAN网关互通：ping 10.20.20.10 source 10.10.10.1
  • 上联可达性：ping 10.99.99.254 source 10.99.99.1
• 管理与时间/日志
  • show system uptime
  • show system ntp associations
  • show log messages | last 50
  • show lldp neighbors

故障排查

• 服务器不通网关/同VLAN不通
  • 检查接口是否UP：show interfaces terse | match xe-0/0/x
  • 检查端口VLAN归属：show ethernet-switching interfaces | match xe-0/0/x
  • 检查ARP：show arp no-resolve | match 10.10.10
• 跨VLAN不通
  • IRB是否配置/UP：show interfaces terse | match irb.10
  • 三层过滤是否阻断：show configuration firewall family inet filter VLAN10-IN
  • 上联/缺省路由正确性：show route | match 0.0.0.0/0
• Trunk不通/丢VLAN
  • 双端VLAN列表与Native VLAN是否一致
  • show ethernet-switching interfaces | match trunk
  • 对端设备检查Trunk模式/允许VLAN
• LACP聚合不生效/单臂转发
  • 双端都启用LACP且同一LAG ID：show lacp interfaces
  • 成员口速率/配置是否一致（速率、flow-control、MTU）
• 配置未生效或误操作
  • 使用 commit confirmed 进行安全回滚
  • rollback 1 查看并回退上一个提交
• 日志定位
  • show log messages | match <interface|LACP|STP|filter>
  • show system alarms

注意事项

• 标准与合规
  • 统一VLAN与IP规划，命名规范（VLAN名称体现用途）
  • 管理面遵循最小暴露原则：仅启用SSH/NETCONF，限制来源IP（可在irb.99上加ACL）
  • 启用NTP与Syslog，提交时写明comment，保留审计记录
• L2/L3设计
  • 多VLAN到服务器（虚拟化/容器）建议使用LACP-Trunk并与主机侧一致
  • 跨设备冗余建议采用上联聚合到汇聚/防火墙；需要接入侧多机冗余时，考虑MC-LAG/EVPN-MLAG设计并严格按官方步骤实施
• 变更与回退
  • 使用 commit confirmed 5，逐步验证后再commit
  • 变更前保存现网配置与拓扑，遇异常及时 rollback
• 安全与稳定
  • 访问控制尽量在防火墙集中实施；交换机侧IRB过滤只做基本隔离与防护
  • 与上联设备事先确认VLAN允许列表、Native VLAN、MTU、LACP模式，避免不一致
• 生产操作
  • 变更窗口内实施，分批次上线，先低风险端口验证
  • 使用 LLDP 确认对端类型与端口，避免误接入

以上配置与流程可直接用于数据中心服务器分段的标准化落地。请根据实际设备型号、Junos版本及企业规范对细节进行相应调整与扩展（例如DHCP中继、IPv6、EVPN-VXLAN等）。