为公司创建部门VLAN-华为ensp

项目背景

公司现有财务部、技术部和业务部，出于数据安全的考虑，各部门的计算机需进
行隔离，仅允许部门内部相互通信。公司拓扑如图 1 所示，具体要求如下：
（1） 公司局域网使用一台 24 口二层交换机进行互联，其中财务部的计算机 4 台，连
接在 G0/0/1-4 端口；技术部的计算机 9 台，连接在 G0/0/5-12 及 G0/0/20 端
口；业务部的计算机 8 台，连接在 G0/0/15-19 及 G0/0/21-23 端口。
（2） 出于安全的考虑，需在交换机中为各部门创建相应的 VLAN，避免部门间相互通
信。
（3） 所有计算机均采用 10.0.1.0/24 网段，各部门 IP 地址和接入交换机的端口信息
如拓扑所示。

 2.项目规划设计 二层交换机默认情况下，所有端口都处于 VLAN1 中。本项目中所有计算机均采用 10.0.1.0/24 网段，各计算机均可直接通信。为实现各部门之间的隔离，需在交换机上创建 VLAN，并将各部门计算机的端口划分到相应的 VLAN 中。本项目将通过创建 VLAN10、VLAN20、 VLAN30 分别用于财务部、技术部、业务部内的计算机互联。

配置步骤如下：

（1）创建 VLAN

（2）将端口划分至相应 VLAN

（3）配置各部门计算机的 IP 地址 项目规划如下：

表 1 VLAN 规划表

VLAN ID	IP 地址段	用途
VLAN10	10.0.1.1-4/24	财务部
VLAN20	10.0.1.11-19/24	技术部
VLAN30	10.0.1.21-28/24	业务部

---

表 2 端口规划表

本端设备	端口号	端口类型	所属 VLAN	对端设备
SW1	G0/0/1-4	access	Vlan10	财务部 PC
SW1	G0/0/5-12、 G0/0/20	access	Vlan20	技术部 PC
SW1	G0/0/15-19、 G0/0/21-23	access	Vlan30	业务部 PC

---

表 3 IP 地址规划表

计算机	IP 地址
财务部-PC1	10.0.1.1/24
财务部-PC2	10.0.1.2/24
技术部-PC1	10.0.1.11/24
技术部-PC2	10.0.1.12/24
业务部-PC1	10.0.1.21/24
业务部-PC2	10.0.1.22/24

3.项目实施

（1）创建 VLAN 为各部门创建相应的 VLAN。

[Huawei]system-view
[Huawei]sysname SW1
[SW1]vlan 10
[SW1]vlan 20
[SW1]vlan 30

（2）将端口划分至相应 VLAN 将各部门计算机所使用的端口按部门分别组成端口组，统一将端口类型转换为 ACCESS 模式，并设置端口 PVID，将端口划分到相应的 VLAN

[SW1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4
[SW1-port-group]port link-type access 
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/2]port link-type access 
[SW1-GigabitEthernet0/0/3]port link-type access 
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-port-group]port default vlan 10
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/3]port default vlan 10
[SW1-GigabitEthernet0/0/4]port default vlan 10
[SW1]port-group group-member GigabitEthernet 0/0/5 to GigabitEthernet 0/0/12 Gig
abitEthernet 0/0/20
[SW1-port-group]port link-type access
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/6]port link-type access
[SW1-GigabitEthernet0/0/7]port link-type access
[SW1-GigabitEthernet0/0/8]port link-type access
[SW1-GigabitEthernet0/0/9]port link-type access
[SW1-GigabitEthernet0/0/10]port link-type access
[SW1-GigabitEthernet0/0/11]port link-type access
[SW1-GigabitEthernet0/0/12]port link-type access
[SW1-GigabitEthernet0/0/20]port link-type access
[SW1-port-group]port default vlan 20
[SW1-GigabitEthernet0/0/5]port default vlan 20
[SW1-GigabitEthernet0/0/6]port default vlan 20
[SW1-GigabitEthernet0/0/7]port default vlan 20
[SW1-GigabitEthernet0/0/8]port default vlan 20
[SW1-GigabitEthernet0/0/9]port default vlan 20
[SW1-GigabitEthernet0/0/10]port default vlan 20
[SW1-GigabitEthernet0/0/11]port default vlan 20
[SW1-GigabitEthernet0/0/12]port default vlan 20
[SW1-GigabitEthernet0/0/20]port default vlan 20
[SW1]port-group group-member GigabitEthernet 0/0/15 to GigabitEthernet 0/0/19 
GigabitEthernet 0/0/21 to GigabitEthernet 0/0/23
[SW1-port-group]port link-type access
[SW1-GigabitEthernet0/0/15]port link-type access
[SW1-GigabitEthernet0/0/16]port link-type access
[SW1-GigabitEthernet0/0/17]port link-type access
[SW1-GigabitEthernet0/0/18]port link-type access
[SW1-GigabitEthernet0/0/19]port link-type access
[SW1-GigabitEthernet0/0/21]port link-type access
[SW1-GigabitEthernet0/0/22]port link-type access
[SW1-GigabitEthernet0/0/23]port link-type access
[SW1-port-group]port default vlan 30
[SW1-GigabitEthernet0/0/5]port default vlan 30
[SW1-GigabitEthernet0/0/6]port default vlan 30
[SW1-GigabitEthernet0/0/7]port default vlan 30
[SW1-GigabitEthernet0/0/8]port default vlan 30
[SW1-GigabitEthernet0/0/9]port default vlan 30
[SW1-GigabitEthernet0/0/10]port default vlan 30
[SW1-GigabitEthernet0/0/11]port default vlan 30
[SW1-GigabitEthernet0/0/12]port default vlan 30
[SW1-GigabitEthernet0/0/20]port default vlan 30

（3）配置各部门计算机的 IP 地址

4.项目验证 

（1）验证交换机的 VLAN 配置信息

[SW1]display vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports 
--------------------------------------------------------------------------------
1 common UT:GE0/0/13(D) GE0/0/14(D) GE0/0/15(U) GE0/0/16(U) 
 GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/21(D) 
 GE0/0/22(D) GE0/0/23(D) GE0/0/24(D) 
10 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(U) GE0/0/4(U) 
20 common 
30 common UT:GE0/0/5(U) GE0/0/6(U) GE0/0/7(D) GE0/0/8(D) 
 GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) 
 GE0/0/20(D) 
VID Status Property MAC-LRN Statistics Description 
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001 
10 enable default enable disable VLAN 0010 
20 enable default enable disable VLAN 0020 
30 enable default enable disable VLAN 0030

（2）测试各部门计算机的互通性

通过 Ping 命令，测试各部门内部通信息的情况。

使用财务部计算机 Ping 本部门的计算机：

PC>ping 10.0.1.2
Ping 10.0.1.2: 32 data bytes, Press Ctrl_C to break
From 10.0.1.2: bytes=32 seq=1 ttl=128 time=47 ms
From 10.0.1.2: bytes=32 seq=2 ttl=128 time=31 ms
From 10.0.1.2: bytes=32 seq=3 ttl=128 time=31 ms
From 10.0.1.2: bytes=32 seq=4 ttl=128 time=16 ms
From 10.0.1.2: bytes=32 seq=5 ttl=128 time=31 ms
--- 10.0.1.2 ping statistics ---
 5 packet(s) transmitted
 5 packet(s) received
 0.00% packet loss
 round-trip min/avg/max = 16/31/47 ms

使用财务部的计算机 Ping 技术部的计算机：

PC>ping 10.0.1.11
Ping 10.0.1.11: 32 data bytes, Press Ctrl_C to break
From 10.0.1.1: Destination host unreachable
From 10.0.1.1: Destination host unreachable
From 10.0.1.1: Destination host unreachable
From 10.0.1.1: Destination host unreachable
From 10.0.1.1: Destination host unreachable
--- 10.0.1.11 ping statistics ---
 5 packet(s) transmitted
 0 packet(s) received
 100.00% packet loss

总结：

可以看出，将端口加入到不同的 VLAN 后，相同 VLAN 中的计算机可以互相通信，不同 VLAN 中的计算机则不可以互相通信