配置VLAN

 

VLAN简称虚拟局域网，英文名称是Virtual Local Area Network 。在日常工作中经常会使用到，因此掌握和熟悉VLAN配置是作为网络工程师的必备技能。

---

VLAN的定义

 

VLAN是英文Virtual Local Area Network的简称，又叫虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。

通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域,又能够提升网络的安全性。

 

---

划分VLAN的作用

◆VLAN是为解决以太网的广播问题和安全性而提出的，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。即使是处在同一网段的两台计算机，如果不在同一VLAN中，它们各自
的广播流也不会相互转发。

◆划分VLAN有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。由于VLAN隔离了广播风暴，也隔离了不同VLAN之间的通讯，因此，不同VLAN之间的通讯必须依靠路由器或者三层交换机来实现。

---

VLAN的基础配置命令

创建VLAN
[Huawei] vlan vlan-id
通过此命令创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。
• vlan-id是整数形式，取值范围是1～4094。
[Huawei] vlan batch { vlan-id1 [ to vlan-id2 ]]
通过此命令批量创建VLAN。

其中:
·batch：指定批量创建的VLANID.
vlan-id1：表示第一个VLAN的编号。
vlan-id2：表示最后一个VLAN的编号。
    （vlan-id2的取值必须大于等于vlan-id1，它与vlan-id1共同确定一个VLAN范围。
    如果不指定to vlan-id2参数，则只创建vlan-id1所指定的VLAN。）

• undo vlan  用来删除指定VLAN。

缺省情况下，将所有接口都加入到一个缺省的VLAN中，该VLAN标识为1。

---

VLAN的划分方法

●根据端口的划分VLAN
●根据MAC地址划分VLAN
●根据网络层划分VLAN
●根据IP组播划分VLAN
每一种划分方法都有它的优势，但是使用的功能都是一样的。（工作中最常使用的是根据端口划分VLAN，也是最简单的一种。）

1、基于端口划分VLAN

按接口划分vlan基于端口的VLAN划分依赖于交换机的端口类型，
常见的端口类型分为三类:

<1>Aceess端口

Access端口是交换机上用来连接用户主机的端口，它只能连接接入链路，并且只能允许唯一的VLAN ID通过本端口。
一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不VLAN成员时使用。

<2>Trunk端口

Trunk端口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。Trunk端口允许多个VLAN的帧（带Tag标记）通过。
一般用于连接交换机、路由器AP以及可同时收发Tagged帧和Untagged帧的语音终端。

<3>Hybrid端口

Hybrid端口是交换机上既可以连接用户主机，又可以连接其他交换机的端口。
Hybrid端口既可以连接接入链路又可以连接干道链路。
Hybrid端口允许多个VLAN的帧通过，并可以在出端口方向将某些VLAN帧的Tag剥掉。
既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等），也可以用子连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。

 

Access接口的基础配置命令

配置接口类型
[Huawei-GigabitEthernet0/0/1] port link-type access
在接口视图下，配置接口的链路类型为Access。

 

配置Access接口的缺省VLAN
[Huawei-GigabitEthernet0/0/1] port default vlan vlan-id
在接口视图下，配置接口的缺省VLAN并同时加入这个VLAN。

Trunk接口的基础配置命令

 

• 配置接口类型

[Huawei-GigabitEthernet0/0/1]
port link-type trunk
在接口视图下，配置接口的链路类型为Trunk。

• 配置Trunk接口加入指定VLAN

[Huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2]}| all}
在接口视图下，配置Trunk类型接口加入的VLAN。（all：指定Trunk接口加入所有VLAN。）

• (可选)配置Trunk接口的缺省VLAN

[Huawei-GigabitEthernet0/0/1] port trunk pvid vlan vlan-id
在接口视图下，配置Trunk类型接口的缺省VLAN。

Hybrid接口的基础配置命令

• 配置接口类型

[Huawei-GigabitEthernet0/0/1] port link-type hybrid
在接口视图下，配置接口的链路类型为Hybrid。

• 配置Hybrid接口加入指定VLAN

[Huawei-GigabitEthernet0/0/1] port hybrid untagged vlan 
在接口视图下，配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Untagged方式通过接口。
[Huawei-GigabitEthernet0/0/1] port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ]}| all}

在接口视图下，配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Tagged方式通过接口。

• （可选)配置Hybrid接口的缺省VLAN

[Huawei-GigabitEthernet0/0/1] port hybrid pvid vlan vlan-id
在接口视图下，配置Hybrid类型接口的缺省VLAN。

2、基于MAC地址划分VLAN

(1）基于MAC地址划分VLAN划分原则:

交换机内部建立并维护了一个MAC地址与VLAN ID的对应表。
当交换机接收到计算机发送的Untagged帧时,
交换机将分析帧中的源MAC地址，
然后查询MAC地址与VLAN ID的对应表并根据对应关系把这个帧划分到相应的VLAN中。

(2）特点:

这种划分实现稍微复杂，但灵活性得到了提高。
当计算机接入交换机的端口发生了变化时，
该计算机发送的帧的VLAN归属不会发生变化
（因为计算机的MAC地址没有变)
这种划分实现稍微复杂，但灵活性得到了提高。
但这种类型的VLAN划分安全性不是很高，
因为恶意计算机很容易伪造MAC地址。

3、基于IP子网划分VLAN

（1）基于子网划分的VLAN是基于网络层划分的VLAN的一员，通过这样划分的VLAN可以减少入工工作量，保证用户可以自由增加、延迟和修改工作量。

（2）基于子网划分的VLAN，满足于标准低的安全要求、流动性和简单的管理方面的要求。

（3）VLAN基于ip网络，只处理非分类（untagged）的报文，而处理方式基于接口的VLAN也一样。
当设备界面接收不带标签的报文时，设备将根据报文的源地址或指定的网络段，自动将报文导入指定的VLAN进行传输。

4、基于协议划分的VLAN

 

基于协议划分的VLAN，划分思想是把主机运行的协议与vlan进行绑定当检测到匹配的协议报文则按照该协议号与配置协议VLAN传输。

PS：基于协议划分vlan只处理不带标签的数据帧，同样只能在混合端口上进行配置。

 

5、基于策略划分VLAN

（1）基于策略划分VLAN是根据多种方式
组合形成的一种策略进行VLAN的划分，以为终端用户提供安全的数据隔离。

例如

我们可以用基于MAC地址+IP地址的组合策略，
也可以用基于MAC地址+IP地址+接口组合策略。

PS：和其他非接口划分VLAN的划分方式一样，
基于策略的VLAN只处理untagged报文，对于tagged报文处理方式和基于接口的VLAN-样。