VLAN详解

一、Vlan 基础知识 二、Vlan应用

三、Vlan配置实例 介绍

定义

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域（多个VLAN）的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文在一个VLAN内。由于VLAN间不能直接互访，因此提高了网络安全性。

目的

早期的局域网LAN技术是基于总线型结构，它存在以下主要问题：

 若某时刻有多个节点同时试图发送消息，那么它们将产生冲突。  从任意节点发出的消息都会被发送到其他节点，形成广播。  所有主机共享一条传输通道，无法控制网络中的信息安全。

这种网络构成了一个冲突域，网络中计算机数量越多冲突越严重，网络效率越低。同时，该网络也是一个广播域，当网络中发送信息的计算机数量越多时，广播流量将会耗费大量带宽。 因此，传统网络不仅面临冲突域和广播域两大难题，而且无法保障传输信息的安全。

为了扩展传统LAN，以接入更多计算机，同时避免冲突的恶化，出现了网桥和二层交换机，它们能有效隔离冲突域。

Bridge和交换机采用交换方式将来自入端口的信息转发到出端口上，克服了共享介质上的访问冲突问题，从而将冲突域缩小到端口级。采用交换机进行组网，通过二层快速交换解决了冲突域问题，但是广播域和信息安全问题依旧存在。

说明：

本手册中将二层局域网交换机简称为交换机。

为减少广播，需要在没有互访需求的主机之间进行隔离。路由器是基于三层IP地址信息来选择路由，其连接两个网段时可以有效抑制广播报文的转发，但成本较高。因此人们设想在物理局域网上构建多个逻辑局域网，即VLAN（Virtual Local Area Network）。

VLAN将一个物理的LAN在逻辑上划分成多个广播域（多个VLAN）。VLAN内的主机间可以直接通信，而VLAN间不能直接互通。这样，广播报文被在一个VLAN内，同时提高了网络安全性。 例如，同一个写字楼的不同企业客户，若建立各自的LAN，企业的网络投资成本将很高；若共用写字楼已有的LAN，又会导致企业信息安全无法保证。

采用VLAN，可以实现各企业客户共享LAN设施，同时保证各自的网络信息安全。 图1 VLAN的典型应用示意图

图1是一个典型的VLAN应用组网图。3台交换机放置在不同的地点，比如写字楼的不同楼层。每台交换机分别连接3台计算机，他们分别属于3个不同的VLAN，比如不同的企业客户。在图中，一个虚线框内表示一个VLAN。

受益

运营商受益

路由器支持VLAN给运营商带来了明显的收益：

 隔离广播域，增加了网络设备的安全性。

 VLAN聚合实现了VLAN间网关的共享，节约运营商的IP资源。

 Vlan Stacking实现了用户VLAN透传和单层Tag报文到QinQ报文的转换。

灵活业务接入给运营商带来了明显的收益：

 丰富VLAN接入的形式，增强运营商设备的组网能力。

 对于VLAN接入，在用户的业务管理上更加精细化，同时保护了运营商的投资，运营商

的边缘设备不需要升级到支持QinQ的设备，也可以支持不同的业务作不同的接入管理。

用户受益

路由器支持VLAN给用户带来了明显的收益：

 实现用户局域网通信的群组隔离管理，增加用户局域网通信的安全性。

 Vlan Stacking给了用户自己规划局域网VLAN的权利，应用上更加灵活。

参考标准和协议

本特性的参考资料清单如下：

文档 RFC 3069 IEEE 802.1Q 描述 VLAN Aggregation for Efficient IP Address Allocation IEEE Standards for Local and Metropolitan Area Networks: VLocal Area Networks IEEE 802.1ad IEEE Standards for Local and Metropolitan Area Networks: VLocal Area Networks— Amendment 4 IEEE 802.10 IEEE Standards for Local and Metropolitan Area Networks: SInteroperable LAN/MAN Security YD/T 1260-2003

Technical and Testing Specification of Virtual LAN Based oVLAN基本概念

VLAN的帧格式

IEEE 802.1Q标准对Ethernet帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag，如图1所示。 图1 基于802.1Q的VLAN帧格式

802.1Q Tag包含4个字段，其含义如下：

 Type

长度为2字节，表示帧类型。取值为0x8100时表示802.1Q Tag帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃。  PRI

Priority，长度为3比特，表示帧的优先级，取值范围为0～7，值越大优先级越高。用于当交换机阻塞时，优先发送优先级高的数据帧。  CFI

Canonical Format Indicator，长度为1比特，表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。用于区分以太网帧、FDDI（Fiber Distributed Digital Interface）帧和令牌环网帧。在以太网中，CFI的值为0。  VID

VLAN ID，长度为12比特，表示该帧所属的VLAN。在HUAWEI NetEngine80E/40E中，可配置的VLAN ID取值范围为0～4095，但是0和4095协议中规定为保留的VLAN ID，不能给用户使用

链路类型

VLAN内的链路包括：

 接入链路（Access Link）：连接用户主机和交换机的链路为接入链路。如图2所示，

图中PC机和交换机之间的链路都是接入链路。接入链路上通过的帧为不带Tag的以太网帧。

 干道链路（Trunk Link）：连接交换机和交换机的链路称为干道链路。如图2所示，图

中交换机之间的链路都是干道链路。干道链路上通过的帧一般为带Tag的VLAN帧。

图2 链路类型示意图

端口类型

在802.1Q中定义VLAN帧后，设备的有些端口可以识别VLAN帧，有些端口则不能识别VLAN帧。根据对VLAN帧的识别情况，将端口分为4类：

 Access端口

如图2所示，Access端口是交换机上用来连接用户主机的端口，它只能连接接入链路。有如下特点：

 仅仅允许唯一的VLAN ID通过本端口，这个VLAN ID与端口的PVID（Port VLAN

ID，端口缺省的VLAN ID）相同。

 如果该端口收到的对端设备发送的帧是untagged（不带VLAN标签），交换

机将强制加上该端口的PVID。

 Access端口发往对端设备的以太网帧永远是不带标签的帧。

 Trunk端口

如图2所示，Trunk端口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。有如下特点：

 Trunk端口允许多个VLAN的帧（带Tag标记）通过。

 如果从Trunk端口发送的帧带Tag，且Tag与端口缺省的VLAN ID相同，则

交换机会剥掉该帧中的Tag标记。因为每个端口的PVID取值是唯一的。仅在这种情况下，Trunk端口发送的帧不带Tag。

 如果从Trunk端口发送的帧带Tag，但是与端口缺省的VLAN ID不同，则交

换机对该帧不做任何动作，直接发送带Tag的帧。

 Hybrid端口

如图3所示，Hybrid端口是交换机上既可以连接用户主机，又可以连接其他交换机的端口。Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过，并可以在出端口方向将某些VLAN帧的Tag剥掉。 图3 端口示意图

 QinQ端口

QinQ（802.1Q-in-802.1Q）端口是使用QinQ协议的端口。QinQ端口可以给帧加上双重Tag，即在原来Tag的基础上，给帧加上一个新的Tag，从而可以支持多达4094 x 4094个VLAN，满足城域网对VLAN数量的需求。

QinQ帧的格式如图4所示。外层的标签通常被称作公网Tag，用来存放公网的VLAN ID。内层标签通常被称作私网Tag，用来存放私网的VLAN ID。

图4 QinQ帧格式

QinQ协议的详细描述，请参见QinQ。

VLAN的划分

划分VLAN的方式如下：

 基于端口

根据交换机的端口编号来划分VLAN。计算机所属的VLAN由计算机所连的网络设备端口所属的VLAN决定。其优点是定义成员简单，缺点是成员移动需重新配置VLAN。  基于MAC地址

根据计算机网卡的MAC地址来划分VLAN。其优点是成员移动方便，缺点是需要预先定义所有成员。  基于网络层协议

例如将运行IP的计算机划分为一个VLAN，将运行IPX的计算机划分为另一个VLAN。  基于网络地址  基于应用层协议

802.1Q协议定义了基于端口和MAC地址划分VLAN的标准，其中基于端口的应用最为广泛，HUAWEI NetEngine80E/40E实现基于端口的VLAN划分。

缺省VLAN

在交换设备上，每个Access、Trunk、Hybrid、QinQ类型的端口可以配置一个缺省VLAN。端口类型不同，缺省VLAN的含义也有所不同。

 Access端口的缺省VLAN

 对于从Access端口接收到的不带Tag的帧，交换设备会在帧中加上Tag标记，

并将Tag中的VID字段的值设置为端口所属的缺省VLAN编号。  对于从Access端口发送的帧，如果Tag中的VID值为缺省VLAN编号，则交

换设备会剥掉该帧中的Tag标记。因为Access端口发往对端设备的以太网帧永远是不带标签的帧。

 Trunk端口的缺省VLAN

 对于从Trunk端口接收到的不带Tag的帧，交换设备会在帧中加上Tag标记，

并将Tag中的VID字段的值设置为端口所属的缺省VLAN编号。  对于从Trunk端口发送的帧：

 如果Tag中的VID值为缺省VLAN编号，则交换设备会剥掉该帧中的Tag标记。因为每个端口的PVID取值是唯一的。

 如果Tag中的VID值与端口缺省的VLAN不同，则交换设备对该帧不做任何改变，直接发送带Tag的帧。

 Hybrid端口的缺省VLAN

 对于从Hybrid端口接收到的不带Tag的帧，交换机会在帧中加上Tag标记，

并将Tag中的VID字段的值设置为端口所属的缺省VLAN编号。  对于从Hybrid端口发送的帧：



如果该端口配置为untagged VLAN，则该端口的功能与Access端口功能相同。 

如果该端口没有配置为untagged VLAN，则该端口的功能与Trunk端口功能相同。

 QinQ端口的缺省VLAN

 对于从QinQ端口接收的帧，无论该帧是否带Tag标记，交换设备都会在帧中

加上Tag，并将Tag中的VID字段的值设置为端口所属的缺省VLAN编号。  对于QinQ端口发送的帧，如果最外层Tag的VID字段的值等于缺省VLAN编

号，交换设备会将帧中最外层的Tag剥掉。因为每个端口的PVID取值是唯一的。

VLAN通信原理

VLAN基本通信原理

为了提高处理效率，交换机内部的数据帧一律都带有VLAN Tag，以统一方式处理。当一个数据帧进入交换机端口时，如果没有带VLAN Tag，且该端口上配置了PVID（Port Default VLAN ID），那么，该数据帧就会被标记上端口的PVID。如果数据帧已经带有VLAN Tag，那么，即使端口已经配置了PVID，交换机不会再给数据帧标记VLAN Tag。

由于端口类型不同，交换机对帧的处理过程也不同。下面根据不同的端口类型分别介绍。

端口类型 Access端口 对接收不带Tag的报文处理 接收该报文，并打上缺省VLAN的Tag。 对接收带Tag的报文处理 报文。 报文。  当VLAN ID与缺省VLAN ID相同时， 当VLAN ID与缺省VLAN ID不同时，Trunk端口  打上缺省的VLAN ID，当缺省VLAN ID 当VLAN ID在接口允许通过的VLAN 在允许通过的VLAN ID列表里时，接收该报文并打上缺省VLAN的Tag。  打上缺省的VLAN ID，当缺省VLAN ID里时，接收该报文。 表里时，丢弃该报文。  当VLAN ID不在接口允许通过的VLA端口类型 对接收不带Tag的报文处理 不在允许通过的VLAN ID列表里时，丢弃该报文。 对接收带Tag的报文处理 Hybrid端口 VLAN内跨越交换机通信原理

有时属于同一个VLAN的用户主机被连接在不同的交换机上。当VLAN跨越交换机时，就需要交换机间的端口能够同时识别和发送跨越交换机的VLAN报文。这时，需要用到Trunk Link技术。 Trunk Link有两个作用：

 中继作用

把VLAN报文透传到互联的交换机或路由器。  干线作用

一条Trunk Link上可以传输多个VLAN的报文。

图1 Trunk Link通信方式示意图

例如在图1所示的网络中，为了让Router A和Router B之间的链路既支持VLAN2内的用户通讯又支持VLAN3内的用户通讯，需要配置连接端口同时属于两个VLAN。即应配置Router A的以太网端口GigabitEthernet1/0/2和Router B的以太网端口GigabitEthernet1/0/1既属于VLAN2也属于VLAN3。

当用户主机Host A发送数据给用户主机Host B时，数据帧的发送过程如下：

1. 数据帧首先到达Router A的端口GigabitEthernet1/0/4。

2. 端口GigabitEthernet1/0/4给数据帧加上Tag，Tag的VID字段填入该端口所属的

VLAN的编号2。

3. Router A将帧发送到本交换机上除GigabitEthernet1/0/4外的所有属于VLAN2的端

口。

4. 端口GigabitEthernet1/0/2将帧转发到Router B上。

5. Router B收到帧后，会根据帧中的Tag识别出该帧属于VLAN2，于是将该帧发给本

交换机上除GigabitEthernet1/0/1外所有属于VLAN2的端口。 6. 端口GigabitEthernet1/0/3将数据帧发送给主机Host B。

VLAN3的主机通信同理。

VLAN间通信原理

划分VLAN后，不同VLAN的计算机之间不能实现二层通信。如果在VLAN间通信，需要建立IP路由。有以下实施方案：

 二层交换机＋路由器

多数情况下，LAN通过二层交换机的以太网接口（交换式以太网接口）与路由器的以太网接口（路由式以太网接口）相连，如图2所示。 图2 通过二层交换机＋路由器实现VLAN间的通信

假定在交换机上已划分了VLAN2和VLAN3。

为实现VLAN2和VLAN3间的通信，需要在路由器与交换机相连的以太网接口上创建2个子接口与VLAN2和VLAN3分别对应。 在子接口上配置802.1Q封装和IP地址。

将交换机与路由器相连的以太网口类型改为Trunk或Hybrid，允许VLAN2和VLAN3的帧通过。

二层交换机＋路由器模式的缺点在于：

 需要多个设备，组网复杂。

 VLAN间通信通过路由器完成，路由器价格昂贵，速率较低。

 三层交换机

如果是三层交换机，就可以在交换机上配置VLANIF接口实现VLAN间通信。

在图3所示的网络中，交换机上划分了2个VLAN：VLAN2和VLAN3。此时可在交换机上创建2个VLANIF接口，并为它们配置IP地址和路由，实现VLAN2与VLAN3的通信。 图3 通过三层交换机实现VLAN间的通信

三层交换机解决了二层交换机＋路由器模式的问题，能够以低廉的成本实现更快速的转发。但是三层交换机也存在以下缺陷：

 三层交换机适用于几乎全以太网接口的网络。

 三层交换机适用于路由比较稳定，变化比较少的网络。

LAN Aggregation

通过VLANIF接口实现VLAN间通信时，需要为每个VLAN的VLANIF接口配置一个IP地址。如果VLAN很多，将占用许多IP地址资源，导致IP地址的浪费。

VLAN aggregation就是在一个物理网络内，用多个VLAN隔离广播域，使不同的VLAN属于同一个子网。用于隔离广播域的VLAN叫做sub-VLAN，与该子网对应的VLAN叫做super-VLAN。多个sub-VLAN组成一个super-VLAN。

如图1所示，super-VLAN 4由sub-VLAN 2和sub-VLAN 3组成。sub-VLAN 2、sub-VLAN 3和super-VLAN 4属于同一个子网10.1.1.0。super-VLAN 4的VLAN接口Vlanif4作为sub-VLAN 2和sub-VLAN 3包含的端口下挂的主机的网关地址。

不同sub-VLAN下的主机不能互通。如果互通，需要在Super-VLAN的VLAN接口上使能ARP Proxy。

图1 VLAN Aggregation原理示意图

实现VLAN aggregation后，只在super-VLAN接口上配置IP地址，而不必为每个sub-VLAN分配IP地址。所有sub-VLAN共用IP网段，解决了IP地址资源浪费的问题。

VLAN Stacking

VLAN Stacking是一种可以针对用户不同VLAN封装外层VLAN Tag的二层技术。

在运行营商接入环境中，往往需要根据用户的应用或接入地点或设备来区分用户需求。VLAN Stacking可以根据用户报文的Tag或IP/MAC等，给用户报文打上相应的外层Tag，以达到区分不同用户的目的。

VLAN Stacking端口有以下特点：

 具备VLAN Stacking功能的端口可以配置多个外层VLAN，端口可以给不同VLAN的帧加

上不同的外层Tag。

 具备VLAN Stacking功能的端口可以在接收帧时，给帧加上外层Tag；发送帧时，剥掉

帧最外层的Tag。

VLAN Mapping

VLAN Mapping，也叫做VLAN Translation，可以实现不同VLAN间的通信。 VLAN Mapping发生在报文从入端口接收进来之后，从出端口转发出去之前。

 当在端口配置了两个以上的VLAN ID映射后，端口在向外发送本地VLAN的帧时，将帧

中的VLAN Tag替换成外部VLAN的VLAN Tag。

 在接收外部VLAN的帧时，将帧中的VLAN Tag替换成本地VLAN的VLAN Tag。

这样不同VLAN间就实现了互相通信。

如图1所示，当在端口GE1/0/1上配置了VLAN2和VLAN3映射后，端口在向外发送VLAN2的帧时，将帧中的VLAN Tag替换成VLAN3的VLAN Tag；在接收VLAN3的帧时，将帧中的VLAN Tag替换成VLAN2的VLAN Tag，这样VLAN2和VLAN3就实现了互相通信。 图1 VLAN Mapping功能示意图

此外，要想借助VLAN Mapping实现两个VLAN内设备互相通信，则这两个VLAN内设备的IP地址还必须处于同一网段。

VLAN Damping

对于接入路由器，一般都有主接口和备用接口。当路由器处于正常情况时，主接口处于正常转发状态，备用接口不转发报文。

当接入路由器主接口所在链路出现问题，而备用接口没有正常工作之前，路由器上的VLANIF接口状态会变为Down，从而导致整网的路由出现振荡。当备用接口正常工作后，VLANIF接口再次变为Up状态，整网路由再次振荡收敛。整个过程将持续几秒时间,影响到业务的正常运转。 当使能VLANIF的Damping功能时，VLAN中最后一个处于Up状态的端口变为Down后，会抑制一定时间（抑制时间可配置）再上报给VLANIF接口；如果在抑制时间内VLAN中有端口Up，则VLANIF保持Up状态不变。

也就是说，VLAN Damping功能可以适当延迟向VLANIF接口上报接口Down状态的时间，从而抑制不必要的路由振荡。

应用

基于端口的VLAN划分

图1 基于端口的VLAN划分组网图

商务楼宇内的中心交换机，根据楼宇内不同公司对端口需求，将每个公司所拥有的端口划分到不同的VLAN，实现公司间业务数据的完全隔离。可以认为每个公司拥有的“虚拟交换机”，每个VLAN就是一个“虚拟工作组”。

VLAN Trunk的应用

图2 VLAN Trunk的应用组网图

公司业务发展，部门需要跨越不同的商务楼宇。可通过Trunk Link连接不同楼宇的中心交换机，实现跨不同的交换机的不同公司的业务数据隔离，以及同一公司内业务数据的互通。

VLAN间互通应用

对于不同的公司之间的互通需求，可以通过VLAN间互通来解决。 VLAN间互通有两种方式，以下分别介绍。

 多个VLAN属于同一个三层设备

图3 多个VLAN属于同一个三层设备互通组网图

如图3所示，如果VLAN2、VLAN3和VLAN4仅属于Router A，即VLAN2、VLAN3和VLAN4不是跨交换机的VLAN。可在Router A上为每个VLAN配置一个虚拟路由接口，实现VLAN2、VLAN3和VLAN4间的路由。

图3中的三层设备可以是路由器或三层交换机。

 多个VLAN跨越三层设备

图4 多个VLAN跨越三层设备互通组网图

如图4所示，VLAN2、VLAN3和VLAN4是跨交换机的VLAN。可在Router A和Router B上为每个VLAN配置一个虚拟路由接口。除此以外，还需要在Router A和Router B之间的配置静态路由或运行路由协议。

图4中的三层设备可以是路由器或三层交换机。

VLAN Aggregation的应用

图5 VLAN Aggregation应用组网图

如图5所示，共有4个VLAN，如果VLAN间需要互通，在Router上要为每个VLAN配置一个IP地址。

将VLAN1和VLAN2聚合到Super VLAN 1中；将VLAN3和VLAN4聚合到Super VLAN 2中。这样只需在Router上为Super VLAN分配IP地址，节约了IP地址资源。

在Router上配置ARP Proxy，使同一Super VLAN下的不同Sub VLAN间的用户可以互通。

VLAN Switch应用

图6 VLAN间通过VLAN Switch通信组网图

2011-11-1 16:28:36 上传 下载附件 (20. KB)

如图6所示，当在设备SwitchA上配置VLAN Switch中switch-vlan功能后，用户报文按配置的指定路径转发。端口GE1/0/1向外发送VLAN2的帧时，将帧的VLAN Tag替换成VLAN3的VLAN Tag。

SwitchA在接收VLAN3的帧时，端口GE1/0/1将VLAN3帧中的VLAN Tag替换成VLAN2的VLAN Tag，这样VLAN2和VLAN3就实现了互相通信。

配置举例(以华为3300交换机为例子) 配置举例

介绍VLAN的各种组网举例。

 配置基于接口划分VLAN示例

本示例中组点是配置过程简单，VLAN划分后，属于不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。  配置基于MAC地址划分VLAN示例

配置基于MAC地址划分VLAN只适用于网卡不经常更换、网络环境较简单的场景中。  配置基于IP子网划分VLAN示例

通过配置基于IP子网划分VLAN，将指定网段或IP地址发出的报文在指定的VLAN中传输，减轻了网络管理者的初始配置任务量，且有利于管理。  配置基于协议划分VLAN示例

该示例的特点是减少了人工配置VLAN的工作量，同时保证了用户自由地增加、移动和修改。

 配置VLAN间通过VLANIF接口通信示例

该组网的特点是将三层转发的设备由路由器替换为三层交换机，来实现了VLAN间互通。

配置基于接口划分VLAN示例

本示例中组点是配置过程简单，VLAN划分后，属于不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。

组网需求

某企业有很多部门，要求业务相同部门之间的员工可以互相访问，业务不同部门之间的员工不能互相访问。

如图1所示，现需要实现：

 部门1、部门2与部门3、部门4互相隔离。

 部门1与部门2可以互相访问。  部门3与部门4可以互相访问。

图1 配置基于接口划分VLAN组网图

配置思路

采用如下的思路配置VLAN：

1. 创建VLAN，规划员工所属的VLAN。 2. 配置端口属性，确定设备连接对象。

3. 关联端口和VLAN，将连接部门1和部门2的交换机端口划分到VLAN2，将连接部门3

和部门4的交换机端口划分到VLAN3，隔离部门1、部门2和部门3、部门4间的访问。

数据准备

为完成此配置例，需准备如下的数据：

 接口Ethernet0/0/1、Ethernet0/0/2属于VLAN2。  接口Ethernet0/0/3、Ethernet0/0/4属于VLAN3。

操作步骤

1. 配置Switch

# 创建VLAN2。 system-view [Quidway] vlan 2 [Quidway-vlan2] quit

# 将接口Ethernet0/0/1的类型为Trunk，并加入到VLAN2中。 [Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port link-type trunk

[Quidway-Ethernet0/0/1] port trunk allow-pass vlan 2 [Quidway-Ethernet0/0/1] quit

# 配置接口Ethernet0/0/2的类型为Trunk，并加入到VLAN2中。 [Quidway]interface ethernet 0/0/2

[Quidway-Ethernet0/0/2] port link-type trunk

[Quidway-Ethernet0/0/2] port trunk allow-pass vlan 2 [Quidway-Ethernet0/0/2] quit # 创建VLAN3。 [Quidway] vlan 3 [Quidway-vlan3] quit

# 配置接口Ethernet0/0/3的类型为Trunk，并加入到VLAN3中。 [Quidway] interface ethernet 0/0/3

[Quidway-Ethernet0/0/3] port link-type trunk

[Quidway-Ethernet0/0/3] port trunk allow-pass vlan 3 [Quidway-Ethernet0/0/3] quit

# 将接口Ethernet0/0/4的类型为Trunk，并加入到VLAN3中。 [Quidway] interface ethernet 0/0/4

[Quidway-Ethernet0/0/4] port link-type trunk

[Quidway-Ethernet0/0/4] port trunk allow-pass vlan 3 [Quidway-Ethernet0/0/4] quit 2. 验证配置结果

部门1、部门2所属的VLAN2内的任一台主机ping部门3、部门4所属的VLAN3内的任一台主机，无法ping通，证明部门1、部门2与部门3、部门4已实现隔离。 部门1的任一台主机ping部门2的任一台主机，能ping通，证明部门1与部门2已实现互通。

部门3的任一台主机ping部门4的任一台主机，能ping通，证明部门3与部门4已实现互通。

配置文件

以下仅给出Switch的配置文件。 #

sysname Quidway #

vlan batch 2 to 3

#

interface Ethernet0/0/1 port link-type trunk

port trunk allow-pass vlan 2 #

interface Ethernet0/0/2 port link-type trunk

port trunk allow-pass vlan 2 #

interface Ethernet0/0/3 port link-type trunk

port trunk allow-pass vlan 3 #

interface Ethernet0/0/4 port link-type trunk

port trunk allow-pass vlan 3 # return

配置基于MAC地址划分VLAN示例

配置基于MAC地址划分VLAN只适用于网卡不经常更换、网络环境较简单的场景中。

组网需求

某个公司的网络中，网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全，要求只有本部门员工的PC才可以访问公司网络。

如图1所示，PC1、PC2、PC3为本部门员工的PC，要求这几台PC可以通过SwitchA、Switch访问公司网络，如换成其他PC则不能访问。

图1 配置基于MAC地址的VLAN划分组网图

配置思路

采用如下的思路配置基于MAC地址的VLAN划分：

1. 创建VLAN，确定员工所属的VLAN。 2. 配置各以太网接口以正确的方式加入VLAN。

3. 配置PC1、PC2、PC3的MAC地址与VLAN关联。交换机根据报文中的源MAC地址确定

VLAN。

数据准备

为完成此配置例，需准备如下的数据：

 在Switch上配置接口Eth0/0/1的PVID为100。

 在Switch上配置接口Eth0/0/1以untagged方式加入VLAN10。  在Switch上配置接口Eth0/0/2以tagged方式加入VLAN10。

 在SwitchA上的接口使用默认配置，即所有接口以untagged方式加入VLAN1。  获取PC1、PC2、PC3的MAC地址，配置MAC地址与VLAN10关联。

操作步骤

1. 配置Switch

# 创建VLAN

system-view

[Quidway] vlan batch 10 100 # 配置接口的PVID和加入VLAN [Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port hybrid pvid vlan 100 [Quidway-Ethernet0/0/1] port hybrid untagged vlan 10 [Quidway-Ethernet0/0/1] quit [Quidway] interface ethernet 0/0/2

[Quidway-Ethernet0/0/2] port hybrid tagged vlan 10 [Quidway-Ethernet0/0/2] quit # PC的MAC地址与VLAN10关联 [Quidway] vlan 10

[Quidway-Vlan10] mac-vlan mac-address 22-22-22 [Quidway-Vlan10] mac-vlan mac-address 33-33-33 [Quidway-Vlan10] mac-vlan mac-address 44-44-44 [Quidway-Vlan10] quit

# 使能接口的基于MAC地址划分VLAN功能 [Quidway] interface ethernet 0/0/1 [Quidway-Ethernet0/0/1] mac-vlan enable [Quidway-Ethernet0/0/1] quit 2. 检查配置结果

PC1、PC2、PC3可以访问公司网络，如换成其他外来人员的PC则不能访问。

配置文件

Switch的配置文件。 #

sysname Quidway #

vlan batch 10 100 # vlan 10

mac-vlan mac-address 0022-0022-0022 mac-vlan mac-address 0033-0033-0033 mac-vlan mac-address 0044-0044-0044 #

interface Ethernet0/0/1 port hybrid pvid vlan 100 port hybrid untagged vlan 10 mac-vlan enable

#

interface Ethernet0/0/2 port hybrid tagged vlan 10 # return

配置基于IP子网划分VLAN示例

通过配置基于IP子网划分VLAN，将指定网段或IP地址发出的报文在指定的VLAN中传输，减轻了网络管理者的初始配置任务量，且有利于管理。

组网需求

某企业拥有多种业务，如IPTV、VoIP、Internet等，每种业务使用的IP地址各不相同。为了便于管理，现需要将同一种类型业务划分到同一VLAN中，不同类型的业务划分到不同VLAN中。 如图1所示，Switch接收到用户报文有数据、IPTV、语音等多种业务，用户设备的IP地址各不相同。现需要将不同类型的业务划分到不同的VLAN中，通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。 图1 基于IP子网划分VLAN组网图

配置思路

采用如下的思路配置基于IP子网划分VLAN：

1. 创建VLAN，确定每种业务所属的VLAN。 2. 关联IP子网和VLAN。

交换机根据报文中的源IP地址或指定网段确定VLAN。新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分到不同的VLAN中。 3. 允许基于IP子网的VLAN通过当前端口。

4. 配置VLAN划分方式的优先级，确保优先选择基于IP子网划分VLAN。 5. 使能基于IP子网划分VLAN。

数据准备

为完成此配置例，需准备如下的数据。

 配置接口Eth0/0/1以untagged方式加入VLAN100、VLAN200、VLAN300。

 配置接口Eth0/0/2、Eth0/0/3和Eth0/0/4以tagged方式分别加入VLAN100、VLAN200

和VLAN300。

 IP子网所需配置数据如表1所示。 表1 基于IP子网划分VLAN的配置数据 VLAN ID 100 200 300 操作步骤

1. 创建VLAN

# 在Switch上创建VLAN100、VLAN200 和VLAN300。 system-view

[Quidway] vlan batch 100 200 300 2. 配置接口

# 在Switch上配置接口Eth0/0/1为Hybrid类型，并加入VLAN100、VLAN200和VLAN300。

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port link-type hybrid

[Quidway-Ethernet0/0/1] port hybrid untagged vlan 100 200 300

IP子网索引 1 1 1 源IP地址 192.168.1.2 192.168.2.2 192.168.3.2 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 [Quidway-Ethernet0/0/1] quit

# 在Switch上配置接口Eth0/0/2加入VLAN100。 [Quidway] interface ethernet 0/0/2

[Quidway-Ethernet0/0/2] port link-type trunk

[Quidway-Ethernet0/0/2] port trunk allow-pass vlan 100 [Quidway-Ethernet0/0/2] quit

# 在Switch上配置接口Eth0/0/3加入VLAN200。 [Quidway] interface ethernet 0/0/3

[Quidway-Ethernet0/0/3] port link-type trunk

[Quidway-Ethernet0/0/3] port trunk allow-pass vlan 200 [Quidway-Ethernet0/0/3] quit

# 在Switch上配置接口Eth0/0/4加入VLAN300。 [Quidway] interface ethernet 0/0/4

[Quidway-Ethernet0/0/4] port link-type trunk

[Quidway-Ethernet0/0/4] port trunk allow-pass vlan 300 [Quidway-Ethernet0/0/4] quit

# 在Switch上配置接口Eth0/0/1使能基于IP子网划分VLAN功能。 [Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] ip-subnet-vlan enable [Quidway-Ethernet0/0/1] quit 3. 配置基于IP子网划分VLAN

# 在Switch上配置VLAN100与IP地址192.168.1.2关联，优先级为2。 [Quidway] vlan 100

[Quidway-vlan100] ip-subnet-vlan 1 ip 192.168.1.2 24 priority 2 [Quidway-vlan100] quit

# 在Switch上配置VLAN200与IP地址192.168.2.2关联，优先级为3。 [Quidway] vlan 200

[Quidway-vlan200] ip-subnet-vlan 1 ip 192.168.2.2 24 priority 3 [Quidway-vlan200] quit

# 在Switch上配置VLAN300与IP地址192.168.3.2关联，优先级为4。 [Quidway] vlan 300

[Quidway-vlan300] ip-subnet-vlan 1 ip 192.168.3.2 24 priority 4 [Quidway-vlan300] quit 4. 验证配置结果

在Switch上执行以下命令，显示信息如下：

[Quidway] display ip-subnet-vlan vlan all

---------------------------------------------------------------- Vlan Index IpAddress SubnetMask Priority ---------------------------------------------------------------- 100 1 192.168.1.2 255.255.255.0 2 200 1 192.168.2.2 255.255.255.0 3 300 1 192.168.3.2 255.255.255.0 4 ---------------------------------------------------------------- ip-subnet-vlan count: 3 total count: 3

配置文件

 Switch的配置文件  #

 sysname Quidway  #

 vlan batch 100 200 300  #  vlan 100

 ip-subnet-vlan 1 ip 192.168.1.2 255.255.255.0 priority 2  #  vlan 200

 ip-subnet-vlan 1 ip 192.168.2.2 255.255.255.0 priority 3  #  vlan 300

 ip-subnet-vlan 1 ip 192.168.3.2 255.255.255.0 priority 4  #

 interface Ethernet0/0/1

 port hybrid untagged vlan 100 200 300  ip-subnet-vlan enable  #

 interface Ethernet0/0/2  port link-type trunk

 port trunk allow-pass vlan 100  #

 interface Ethernet0/0/3  port link-type trunk

 port trunk allow-pass vlan 200  #

 interface Ethernet0/0/4  port link-type trunk

 port trunk allow-pass vlan 300

 #

return

配置基于协议划分VLAN示例

该示例的特点是减少了人工配置VLAN的工作量，同时保证了用户自由地增加、移动和修改。

组网需求

某企业拥有多种业务，如IPTV、VoIP、Internet等，每种业务所采用的协议各不相同。为了便于管理，减少人工配置VLAN的工作量，现需要将同一种类型业务划分到同一VLAN中，不同类型的业务划分到不同VLAN中。

如图1所示，Switch收到的用户报文有多种业务，所采用的协议各不相同。VLAN10中的用户采用IPv4协议与远端用户通信，而VLAN20中的用户采用IPv6协议与远端服务器通信。现需要将不同类型的业务划分到不同的VLAN中，通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。

图1 基于协议划分VLAN组网图

配置思路

采用如下的思路配置基于协议划分VLAN：

1. 创建VLAN，确定每种业务所属的VLAN。

2. 关联协议和VLAN。

Switch根据端口接收到的报文所属的协议（族）类型给报文分配不同的VLAN ID。无论用户物理位置是否移动、用户主机网卡是否更换、用户是否在同一网段、只要用户设备所采用的协议没有变换，VLAN都不用再重新划分。 3. 关联接口和协议VLAN。

当有关联的协议进入关联的接口时，系统自动为该协议分配已经划分好的VLAN ID。 4. 允许基于协议的VLAN通过当前端口。

数据准备

为完成此配置例，需准备如下的数据。

 在Switch上配置接口Eth0/0/1以untagged方式加入VLAN10、VLAN20。

 在Switch上配置接口Eth0/0/2、Eth0/0/3以tagged方式分别加入VLAN10、VLAN20。  各个VLAN对应的协议。

 VLAN10:IPv4  VLAN20:IPv6

操作步骤

1. 创建VLAN

# 配置Switch。 system-view [Quidway] sysname Switch [Switch] vlan batch 10 20 2. 配置基于协议划分VLAN

# 在Switch上配置VLAN10与协议IPv4关联。 [Switch] vlan 10

[Switch-vlan10] protocol-vlan ipv4 [Switch-vlan10] quit

# 在Switch上配置VLAN20与协议IPv6关联。 [Switch] vlan 20

[Switch-vlan20] protocol-vlan ipv6 [Switch-vlan20] quit 3. 配置接口关联协议VLAN

# 在Switch上配置接口与VLAN10关联，优先级是5。 [Switch] interface ethernet 0/0/1

[Switch-Ethernet0/0/1] protocol-vlan vlan 10 all priority 5

# 在Switch上配置接口与VLAN20关联，优先级是6。

[Switch-Ethernet0/0/1] protocol-vlan vlan 20 all priority 6 [Switch-Ethernet0/0/1] quit 4. 配置接口

# 在Switch上配置接口Eth0/0/1允许VLAN10和VLAN20通过。 [Switch] interface ethernet 0/0/1

[Switch-Ethernet0/0/1] port link-type hybrid

[Switch-Ethernet0/0/1] port hybrid untagged vlan 10 20 [Switch-Ethernet0/0/1] quit

# 在Switch上配置接口Eth0/0/2允许VLAN10通过。 [Switch] interface ethernet 0/0/2

[Switch-Ethernet0/0/2] port link-type trunk

[Switch-Ethernet0/0/2] port trunk allow-pass vlan 10 [Switch-Ethernet0/0/2] quit

# 在Switch上配置接口Eth0/0/3允许VLAN20通过。 [Switch] interface ethernet 0/0/3

[Switch-Ethernet0/0/3] port link-type trunk

[Switch-Ethernet0/0/3] port trunk allow-pass vlan 20 [Switch-Ethernet0/0/3] quit 5. 验证配置结果

上述配置完成后，执行命令display protocol-vlan interface all，可以查看接口关联基于协议划分VLAN的配置信息。例如： 以Switch上显示为例。

display protocol-vlan interface all

-------------------------------------------------------------------------------

Interface VLAN Index Protocol Type Priority

-------------------------------------------------------------------------------

Ethernet0/0/1 10 0 ipv4 5 Ethernet0/0/1 20 0 ipv6 6

配置文件

 Switch的配置文件  #

 sysname Switch  #

 vlan batch 10 20  #  vlan 10

 protocol-vlan 0 ipv4  vlan 20

 protocol-vlan 0 ipv6  #

 interface Ethernet0/0/1

 port hybrid untagged vlan 10 20  protocol-vlan vlan 10 0 priority 5  protocol-vlan vlan 20 0 priority 6  #

 interface Ethernet0/0/2  port link-type trunk

 port trunk allow-pass vlan 10  #

 interface Ethernet0/0/3  port link-type trunk

 port trunk allow-pass vlan 20  #

return

配置VLAN间通过VLANIF接口通信示例

该组网的特点是将三层转发的设备由路由器替换为三层交换机，来实现了VLAN间互通。

组网需求

企业的不同部门拥有相同的业务，如上网、VoIP等业务，且各个部门中的用户位于不同的网段。目前存在不同的部门中相同的业务所属的VLAN不相同，现需要实现不同VLAN中的用户相互通信。 如图1所示，部门1和部门2中拥有相同的业务上网业务，但是属于不同的VLAN且位于不同的网段。现需要实现部门1与部门2的用户互通。

图1 配置VLAN间通过VLANIF接口通信组网图

配置思路

采用如下的思路配置VLAN间通过VLANIF接口通信：

1. 在交换机上创建VLAN，确定用户所属的VLAN。

2. 在交换机上配置允许用户所属的VLAN通过当前二层端口。 3. 在三层交换机上创建VLANIF接口并配置IP地址，实现三层互通。

说明：

为了成功实现VLAN间互通，VLAN内主机的缺省网关必须是对应VLANIF接口的IP地址。

数据准备

为完成此配置例，需准备如下的数据：

 在Switch上配置接口Eth0/0/1加入VLAN10和VLAN20。  在Switch上配置VLANIF10的IP地址为10.10.10.1/24。  在Switch上配置VLANIF20的IP地址为20.20.20.1/24。  在SwitchA上配置接口Eth0/0/1加入VLAN10和VLAN20。  在SwitchA上配置接口Eth0/0/2加入VLAN10。  在SwitchA上配置接口Eth0/0/3加入VLAN20。

操作步骤

1. 配置Switch

# 创建VLAN

system-view [Quidway] vlan batch 10 20 # 配置接口加入VLAN

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port link-type trunk

[Quidway-Ethernet0/0/1] port trunk allow-pass vlan 10 20 [Quidway-Ethernet0/0/1] quit # 配置VLANIF接口的IP地址 [Quidway] interface vlanif 10

[Quidway-Vlanif10] ip address 10.10.10.1 24 [Quidway-Vlanif10] quit [Quidway] interface vlanif 20

[Quidway-Vlanif20] ip address 20.20.20.1 24 [Quidway-Vlanif20] quit 2. 配置SwitchA

# 创建VLAN

system-view [Quidway] vlan batch 10 20 # 配置接口加入VLAN

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] port link-type trunk

[Quidway-Ethernet0/0/1] port trunk allow-pass vlan 10 20 [Quidway-Ethernet0/0/1] quit [Quidway] interface ethernet 0/0/2

[Quidway-Ethernet0/0/2] port link-type access [Quidway-Ethernet0/0/2] port default vlan 10 [Quidway-Ethernet0/0/2] quit [Quidway] ethernet 0/0/3

[Quidway-Ethernet0/0/2] port link-type access [Quidway-Ethernet0/0/2] port default vlan 20 [Quidway-Ethernet0/0/3] quit 3. 检查配置结果

在VLAN10中的PC1上配置缺省网关为VLANIF10接口的IP地址10.10.10.1/24。 在VLAN20中的PC2上配置缺省网关为VLANIF20接口的IP地址20.20.20.1/24。 配置完成后，VLAN10内的PC1与VLAN20内的PC2能够相互访问。

配置文件

Switch的配置文件。 #

sysname Quidway #

vlan batch 10 20 #

interface Vlanif10

ip address 10.10.10.1 255.255.255.0 #

interface Vlanif20

ip address 20.20.20.1 255.255.255.0 #

interface Ethernet0/0/1 port link-type trunk

port trunk allow-pass vlan 10 20 # return

SwitchA的配置文件。 #

sysname Quidway #

vlan batch 10 20 #

interface Ethernet0/0/1 port link-type trunk

port trunk allow-pass vlan 10 20 #

interface Ethernet0/0/2 port link-type access port default vlan 10 #

interface Ethernet0/0/3 port link-type access port default vlan 20 # return