在交换机上划分VLAN并配置IP地址的完整指南

VLAN基础概念

VLAN（Virtual Local Area Network）即虚拟局域网，是一种将物理网络在逻辑上划分为多个广播域的技术。通过VLAN划分，可以实现以下优势：

提高网络安全性：不同VLAN之间的用户不能直接通信，有效隔离了网络流量

优化带宽利用率：限制广播域范围，减少不必要的广播流量

简化网络管理：逻辑分组使网络结构更清晰，便于管理

灵活部署：不受物理位置限制，可根据业务需求灵活调整

VLAN的三种主要划分方法

1. 基于端口的VLAN划分

这是最简单、最常用的VLAN划分方式，直接将交换机的物理端口分配到不同的VLAN中。

典型应用场景

某企业交换机连接多个用户，相同业务用户通过不同设备接入网络。为保证通信安全并避免广播泛滥，需要实现：

相同业务用户可互相访问

不同业务用户不能直接访问

配置步骤详解

以华为交换机为例：

[Quidway] system-view  // 进入系统视图
[Quidway] sysname SwitchA  // 命名交换机
[SwitchA] vlan batch 2 3  // 批量创建VLAN2和VLAN3

// 配置端口0/0/1
[SwitchA] interface ethernet 0/0/1  
[SwitchA-Ethernet0/0/1] port link-type access  // 设置为access模式
[SwitchA-Ethernet0/0/1] port default vlan 2  // 加入VLAN2
[SwitchA-Ethernet0/0/1] quit  // 退出

// 配置端口0/0/2
[SwitchA] interface ethernet 0/0/2  
[SwitchA-Ethernet0/0/2] port link-type access  
[SwitchA-Ethernet0/0/2] port default vlan 3  
[SwitchA-Ethernet0/0/2] quit  

// 配置与另一台交换机连接的trunk端口
[SwitchA] interface ethernet 0/0/3  
[SwitchA-Ethernet0/0/3] port link-type trunk  
[SwitchA-Ethernet0/0/3] port trunk allow-pass vlan 2 3  // 允许VLAN2和3通过

验证方法

将User1和User2配置为192.168.100.0/24网段

将User3和User4配置为192.168.200.0/24网段

测试结果：User1和User2应能互相ping通User3和User4应能互相ping通不同VLAN间用户不能互相ping通

2. 基于MAC地址的VLAN划分

这种方式将特定MAC地址与VLAN绑定，设备无论连接到哪个端口，都会自动分配到对应的VLAN。

典型应用场景

公司需要将同一部门员工划分到同一VLAN，且只有部门员工的PC才能访问网络。即使更换连接端口，合法设备仍能保持网络访问权限。

配置步骤详解

// 创建VLAN
[Quidway] system-view
[Quidway] vlan batch 10 100

// 配置接口0/0/1
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port hybrid pvid vlan 100  // 设置PVID为100
[Quidway-Ethernet0/0/1] port hybrid untagged vlan 10  // 允许VLAN10不带标签通过
[Quidway-Ethernet0/0/1] quit

// 配置接口0/0/2
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port hybrid tagged vlan 10  // 允许VLAN10带标签通过
[Quidway-Ethernet0/0/2] quit

// 绑定MAC地址与VLAN
[Quidway] vlan 10
[Quidway-Vlan10] mac-vlan mac-address 22-22-22  // PC1的MAC
[Quidway-Vlan10] mac-vlan mac-address 33-33-33  // PC2的MAC
[Quidway-Vlan10] mac-vlan mac-address 44-44-44  // PC3的MAC
[Quidway-Vlan10] quit

// 启用MAC VLAN功能
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] mac-vlan enable
[Quidway-Ethernet0/0/1] quit

技术要点

PVID：端口默认VLAN ID，当收到不带标签的帧时，会打上PVID的标签

tagged/untagged：决定数据离开端口时是否携带VLAN标签

MAC-VLAN绑定：将特定MAC地址与VLAN关联

3. 基于IP子网的VLAN划分

根据数据包的源IP地址或IP子网来划分VLAN，适用于多业务网络环境。

典型应用场景

企业拥有多种业务（如IPTV、VoIP、Internet等），每种业务使用不同IP网段。需要将同类型业务划分到同一VLAN，不同类型业务划分到不同VLAN。

配置步骤详解

// 创建VLAN
[Quidway] system-view
[Quidway] vlan batch 100 200 300

// 配置接口0/0/1
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port link-type hybrid
[Quidway-Ethernet0/0/1] port hybrid untagged vlan100 200 300
[Quidway-Ethernet0/0/1] ip-subnet-vlan enable  // 启用IP子网VLAN
[Quidway-Ethernet0/0/1] quit

// 配置其他接口
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port link-type trunk
[Quidway-Ethernet0/0/2] port trunk allow-pass vlan 100
[Quidway-Ethernet0/0/2] quit

[Quidway] interface ethernet 0/0/3
[Quidway-Ethernet0/0/3] port link-type trunk
[Quidway-Ethernet0/0/3] port trunk allow-pass vlan 200
[Quidway-Ethernet0/0/3] quit

[Quidway] interface ethernet 0/0/4
[Quidway-Ethernet0/0/4] port link-type trunk
[Quidway-Ethernet0/0/4] port trunk allow-pass vlan 300
[Quidway-Ethernet0/0/4] quit

// 绑定IP子网与VLAN
[Quidway] vlan 100
[Quidway-vlan100] ip-subnet-vlan 100 ip 192.168.1.2 24 priority 2
[Quidway-vlan100] quit

[Quidway] vlan 200
[Quidway-vlan200] ip-subnet-vlan 200 ip 192.168.2.2 24 priority 3
[Quidway-vlan200] quit

[Quidway] vlan 300
[Quidway-vlan300] ip-subnet-vlan 300 ip 192.168.3.2 24 priority 4
[Quidway-vlan300] quit

验证配置

执行display ip-subnet-vlan vlan all命令，应显示如下信息：

----------------------------------------------------------------
Vlan Index IpAddress       SubnetMask      Priority
----------------------------------------------------------------
100   1    192.168.1.2     255.255.255.0   2
200   1    192.168.2.2     255.255.255.0   3
300   1    192.168.3.2     255.255.255.0   4
----------------------------------------------------------------
ip-subnet-vlan count: 3 total count: 3

VLAN间通信与IP地址配置

VLAN接口IP配置

要实现VLAN间通信，需要为每个VLAN配置三层接口IP地址：

[Switch] interface vlanif 10  // 进入VLAN10接口视图
[Switch-Vlanif10] ip address 192.168.10.1 24  // 配置IP地址
[Switch-Vlanif10] quit

[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.20.1 24
[Switch-Vlanif20] quit

启用路由功能

[Switch] ip route-static 0.0.0.0 0 192.168.1.1 // 配置默认路由

实际应用建议

规划先行：根据业务需求提前规划VLAN ID、IP地址段和端口分配

命名规范：为VLAN和接口设置有意义的名称，便于后期维护

文档记录：详细记录VLAN划分方案和配置变更

安全考虑：合理设置ACL，控制VLAN间访问权限

性能优化：避免单个VLAN内主机过多，影响广播效率

常见问题排查

VLAN间无法通信：检查三层接口是否已配置IP地址验证路由配置是否正确确认ACL没有阻止通信

端口未加入预期VLAN：使用display vlan命令查看VLAN成员端口检查端口模式(access/trunk/hybrid)设置是否正确

MAC-VLAN不生效：确认已启用mac-vlan功能验证MAC地址绑定是否正确检查端口PVID设置

IP子网VLAN失效：确认已启用ip-subnet-vlan功能检查IP地址与VLAN的绑定关系验证优先级设置是否合理

进阶配置技巧

VLAN聚合：通过Super-VLAN和Sub-VLAN实现地址节约

Private VLAN：实现同一VLAN内的端口隔离

Voice VLAN：为语音流量提供优先处理

动态VLAN分配：结合802.1X实现动态VLAN分配

通过掌握以上VLAN划分方法和配置技巧，您将能够根据实际网络需求，设计并实施高效的VLAN方案，提升网络的安全性、可管理性和性能。