华为VLAN原理及配置

VLAN原理与配置主讲人：鲍婷婷目录•V L A N 的功能什么是V L A N12V L A N 的基本概念3V L A N 的应用4V L A N 的配置示例单播帧PC1PC2 SW1SW2SW3SW4SW5SW6SW7（注：假定此时SW1、SW3、SW7的MAC地址表中存在关于PC2的MAC地址表项，但SW2和SW5不存在关于PC2的MAC地址表项。

）二层广播域(广播域)传统以太网的问题有效流量垃圾流量虚拟局域网（V L A N ,V i r t u a l L A N ）PC2SW1SW2SW3SW4SW5SW6SW7PC1VLAN 网络(多个广播域)广播帧目录•V L A N 的基本概念2V L A N 的基本原理什么是V L A N13V L A N 的应用4V L A N 的配置示例•V L A N 的划分方式如何实现V L A NPC3VLAN20PC2PC1123Switch145543Switch221数据帧数据帧VLAN10VLAN20PC4VLAN10VLAN 标签（VLAN Tag)•交换机如何识别接收到的数据帧属于哪个VLAN ？收到了数据帧，它们属于哪个VLAN ？VLAN 标签•报文中添加标识VLAN 信息的字段使交换机能够分辨不同VLAN 的报文。

•VLAN 标签，又称VLAN Tag ，简称Tag 。

VLAN 10VLAN 2020SW1SW2V L A N 数据帧TPID (0x8100)PRICFIVLAN ID 16bit3bit 1bit12bit目的MAC 地址源MAC 地址类型DataFCS原始以太网数据帧（无标记帧，Untagged 帧）802.1QTag802.1Q 帧（标记帧，Tagged 帧）目的MAC 地址源MAC 地址类型Data FCSTag 在此处插入802.1Q Tag•TPID （标签协议标识符）•PRI （优先级）•CFI （标准格式指示符）•VLAN ID （VLAN 标识符）PC3VLAN20PC2PC1123Switch145543Switch221VLAN10VLAN20PC4VLAN10原始数据帧1原始数据帧2原始数据帧2原始数据帧1VLAN 的实现打了标记的数据帧打了标记的数据帧目录2V L A N 的基本原理•V L A N 的基本概念什么是V L A N13V L A N 的应用4V L A N 的配置示例•V L A N 的划分方式VLAN 的划分方式SW1主机1主机2主机3主机410.0.1.1 MAC110.0.2.1MAC210.0.1.2MAC310.0.2.2MAC4VLAN划分方式VLAN10VLAN 20基于接口GE0/0/1，GE0/0/3GE0/0/2，GE0/0/4基于MAC地址MAC 1，MAC 3MAC 2，MAC 4基于IP子网划分10.0.1.*10.0.2.*基于协议划分IP IPv6基于策略10.0.1.* +GE0/0/1+ MAC 110.0.2.*+ GE0/0/2 +MAC 2•整个网络是如何划分VLAN的？基于接口的VLAN 划分路由器主机移动，需要重新配置VLANSW1SW2主机1主机2主机3主机4VLAN 10VLAN 20PVID 10PVID 10PVID 20PVID 20PVID 1PVID 110基于接口的VLAN 划分•原理▫根据交换机的接口来划分VLAN 。

华为交换机VLAN聚合（超级vlan）配置示例1、组网需求图1 VLAN聚合组网图如图1所示，某公司拥有多个部门且位于同一网段，为了提升业务安全性，将不同部门的用户划分到不同VLAN中。

现由于业务需要，不同部门间的用户需要互通。

VLAN2和VLAN3为不同部门，现需要实现不同VLAN间的用户可以互相访问。

可以在Switch上部署VLAN聚合，实现VLAN2和VLAN3二层隔离、三层互通，同时VLAN2和VLAN3采用同一个子网网段，节省了IP地址。

2、配置思路2.1、把Switch接口加入到相应的sub-VLAN中，实现不同sub-VLAN间的二层隔离。

2.2、把sub-VLAN聚合为super-VLAN。

2.3、配置VLANIF接口的IP地址。

2.4、配置super-VLAN的Proxy ARP，实现sub-VLAN间的三层互通。

3、操作步骤3.1、配置接口类型# 配置接口GE1/0/1为Access类型。

接口GE1/0/2、GE1/0/3、GE1/0/4的配置与GE1/0/1相同，不再赘述。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type access[Switch-GigabitEthernet1/0/1] quit#创建VLAN2并向VLAN2中加入GE1/0/1和GE1/0/2。

[Switch] vlan 2[Switch-vlan2] port gigabitethernet 1/0/1 1/0/2[Switch-vlan2] quit#创建VLAN3并向VLAN3中加入GE1/0/3和GE1/0/4。

[Switch] vlan 3[Switch-vlan3] port gigabitethernet 1/0/3 1/0/4[Switch-vlan3] quit3.2、配置VLAN4# 配置super-VLAN。

华为交换机vlan划分方法华为交换机是一种网络设备，用于实现局域网内的数据交换和流量控制。

在网络管理中，VLAN是一种常用的技术，可以将一个物理网络划分为多个逻辑网络，从而提高网络的性能和安全性。

本文将介绍华为交换机中的VLAN划分方法。

一、VLAN的基本概念VLAN是Virtual Local Area Network的缩写，即虚拟局域网。

它是一种将物理网络划分为多个逻辑网络的技术。

VLAN可以将不同的用户、设备或应用程序分配到不同的网络中，从而提高网络的性能和安全性。

VLAN通过在交换机上配置VLAN ID来实现。

VLAN ID是一个12位的二进制数，用于标识一个VLAN。

交换机上的每一个端口都可以配置为一个VLAN，从而将该端口上的所有数据包都划分到该VLAN中。

二、华为交换机中的VLAN划分方法华为交换机中的VLAN划分方法主要包括以下几个步骤：1.创建VLAN在华为交换机中，可以通过以下命令来创建一个VLAN：vlan batch vlan-id1 [vlan-id2…]其中，vlan-id1、vlan-id2等是VLAN的ID，可以创建多个VLAN。

2.配置端口在华为交换机中，可以通过以下命令来将端口配置到某个VLAN中：interface interface-type interface-numberport link-type accessport default vlan vlan-id其中，interface-type和interface-number分别表示端口的类型和编号，vlan-id表示要将该端口配置到的VLAN的ID。

3.配置端口模式在华为交换机中，可以通过以下命令来配置端口的模式：interface interface-type interface-numberport link-type {access | trunk}其中，access表示将端口配置为访问模式，trunk表示将端口配置为Trunk模式。

华为交换机super-vlan配置聚合型VLanvlan聚合⼜称Super-Vlan ,主要⽤于解决IPV4地址资源⽇趋紧张的问题，主要原理是将多个SUB-VLAN(⼦vlan)聚合成⼀个Super Vlan，SuperVlan只是⼀个逻辑型VLan，所以SuperVlan内不能加⼊任何物理端⼝，却可以创建对应的VLAN接⼝，在该VLAN接⼝可以通过VLANIF接⼝来配置IP地址。

VLAN聚合的主要优点是节省IP地址，它通常将多个不同的VLAN划分⾄同⼀IP⼦⽹，⽽不是每个VLAN单独占⽤⼀个⼦⽹，然后将整个IP⼦⽹映射成⼀个VLAN聚合（Super VLAN），它包含整个IP⼦⽹内的所有VLAN（Sub VLAN）。

这样⼀来，不同的Sub VLAN仍保留各⾃独⽴的⼴播域，⽽⼀个或多个Sub VLAN同属于⼀个Super VLAN，并且都使⽤Super VLAN的接⼝地址为默认⽹关IP地址。

当不同Sub VLAN 中的主机需要相互之间三层通讯时，需要在Super VLAN上开启ARP代理。

ARP代理（ARP Proxy）在Super VLAN和内部Sub VLAN主机之间起着传递ARP包的作⽤，⽤于把各主机的⽹络层地址映射到对应主机的数据链路层地址。

Super VLAN引⼊Super VLAN和Sub VLAN的概念。

⼀个Super VLAN可以包含⼀个或多个保持着不同⼴播域的Sub VLAN。

在同⼀个Super VLAN中，⽆论主机属于哪⼀个Sub VLAN，它的IP地址都在Super VLAN对应的⼦⽹⽹段内，各个Sub VLAN不再占⽤⼀个独⽴的⼦⽹⽹段。

这样，通过Sub VLAN间共⽤同⼀个三层接⼝，既减少了⼀部分⼦⽹号、⼦⽹缺省⽹关地址和⼦⽹定向⼴播地址的消耗，⼜实现了不同⼴播域使⽤同⼀⼦⽹⽹段地址，增加了编址的灵活性，减少了闲置地址浪费。

从⽽在保证了各个Sub VLAN作为⼀个独⽴⼴播域实现了⼴播隔离的同时，将以前使⽤普通VLAN浪费掉的IP地址节省下来。

2 VLAN配置关于本章VLAN具有隔离广播域、增强保密性、组网灵活和扩展性良好等特点。

2.1 VLAN概述介绍VLAN的定义、由来和作用。

2.2 设备支持的VLAN特性设备支持的VLAN特性包括VLAN的划分、VLAN间的通信、VLAN聚合、MUX VLAN、管理VLAN。

2.3 缺省配置介绍了VLAN参数的缺省配置。

2.4 划分VLAN创建并划分VLAN，将没有互通需求的用户进行隔离，增强网络的安全性、减少广播流量，同时也减少了广播风暴的产生。

2.5 配置VLANIF接口实现VLAN间的通信VLANIF接口是三层逻辑接口，在设备上创建VLANIF接口后，可实现VLAN间的通信。

2.6 配置VLAN聚合节约IP地址VLAN聚合解决了IP地址资源浪费问题，同时可实现不同VLAN间通信。

2.7 配置MUX VLANMUX VLAN可实现VLAN间通信，也可实现VLAN内的用户相互隔离。

2.8 配置管理VLAN实现网管集中管理设备配置管理VLAN功能，用户通过管理VLAN的VLANIF接口登录到管理交换机，实现网管集中管理设备。

2.9 维护VLAN维护VLAN，包括查看和清除VLAN的统计信息。

2.10 配置举例介绍VLAN的配置举例。

配置示例中包括组网需求、配置思路、操作步骤等。

2.11 常见配置错误介绍VLAN常见配置错误的处理方法。

2.1 VLAN概述介绍VLAN的定义、由来和作用。

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection）的共享通讯介质的数据网络通讯技术。

当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。

通过交换机实现LAN（Local AreaNetwork）互连虽然可以解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。

华为交换机VLAN配置由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。

下面是店铺收集整理的华为交换机VLAN配置，希望对大家有帮助~~华为交换机VLAN配置工具/原料华为交换机方法/步骤『VLAN配置流程』1. 缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access端口只能属于一个vlan;2. 如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉;3. 除了VLAN1，如果VLAN XX不存在，在系统视图下键入VLAN XX，则创建VLAN XX并进入VLAN视图;如果VLAN XX已经存在，则进入VLAN视图。

配置方法一：1. 创建(进入)vlan2[SwitchA]vlan 22. 将端口E0/1加入到vlan2[SwitchA-vlan2]port ethernet 0/13. 创建(进入)vlan3[SwitchA-vlan2]vlan 34. 将端口E0/2加入到vlan3[SwitchA-vlan3]port ethernet 0/2配置方法二：1. 创建(进入)vlan2[SwitchA]vlan 22. 进入端口E0/1视图[SwitchA]interface ethernet 0/13. 指定端口E0/1属于vlan2[SwitchA-Ethernet1]port access vlan 24. 创建(进入)vlan3[SwitchA]vlan 35. 进入端口E0/2视图[SwitchA]interface ethernet 0/26. 指定端口E0/2属于vlan3[SwitchA-Ethernet2]port access vlan 34测试验证1. 使用命令disp cur可以看到端口E0/1属于vlan2，E0/2属于vlan3;2. 使用display interface Ethernet 0/1可以看到端口为access 端口，PVID为2;3. 使用display interface Ethernet 0/2可以看到端口为access 端口，PVID为3。

VLAN技术原理与配置VLAN（Virtual Local Area Network）是一种虚拟局域网技术，它能够将物理上分离的设备连接到一个逻辑上的局域网中，从而实现更好的网络管理和资源隔离。

VLAN技术主要依赖于交换机来实现，通过交换机的配置，可以将不同端口上的设备划分到不同的VLAN中。

在本文中，我们将详细介绍VLAN技术的原理和配置。

1.VLAN的原理：VLAN的原理可以被理解为将一个物理交换机划分成多个虚拟的逻辑交换机。

每个VLAN都有自己的广播域，意味着同一个VLAN中的设备可以互相通信，而不同VLAN中的设备则需要通过路由器进行通信。

这样，VLAN可以提高网络安全性和性能。

2.VLAN的配置：VLAN的配置需要在交换机上进行。

下面是一个典型的VLAN配置步骤：步骤1：创建VLAN首先，需要创建VLAN并指定一个唯一的VLAN ID。

VLAN ID是一个数字，可以在1到4094之间选择。

不同交换机的具体操作可能略有不同，但一般可以通过交换机的命令行界面或Web界面来完成。

例如，在Cisco交换机上，可以使用以下命令创建一个VLAN：```Switch# configure terminalSwitch(config)# vlan 10Switch(config-vlan)# name Sales```上述命令将创建一个VLAN ID为10的VLAN，并将其命名为“Sales”。

步骤2：将端口划分到VLAN创建VLAN之后，需要将交换机上的端口划分到相应的VLAN上。

可以将一个或多个端口加入到同一个VLAN中。

例如，在Cisco交换机上，可以使用以下命令将一个端口划分到VLAN上：```Switch(config)# interface FastEthernet 0/1Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 10```上述命令将交换机上的FastEthernet 0/1端口设置为“接入”模式，并将其划分到VLAN ID为10的VLAN上。

华为交换机vlan划分方法
华为交换机VLAN划分方法
一、VLAN的概念
VLAN（虚拟局域网），是指通过交换机技术，在一个物理网络上模拟出一组逻辑网络。

VLAN可以按照业务类型、部门、物理位置等不同属性，将整个网络拆分成多个不同的网络，减少网络内部的广播流量，提高网络效率，并保证网络安全。

二、VLAN的划分方法
1.物理网络布局
华为交换机的VLAN划分方法，首先要考虑的是物理网络布局，考虑网络交换设备的端口数、网络链路连接、网络拓扑结构等，然后根据实际需求将网络分区为VLAN，使各个VLAN之间的网络访问/交换受到限制，以满足网络安全的基本要求。

2.按业务类型划分
根据公司内部的业务属性划分VLAN，将不同的业务部门或业务类型放在不同的VLAN中，以降低业务之间的耦合度，并降低网络内部的广播流量，提高网络效率。

3.按部门划分
将同一部门的设备放在同一个VLAN中，以便更好地管理和控制网络，使部门内的网络资源能够更好地利用，以提高网络的效率和安全性。

四、VLAN的注意事项
1、VLAN划分时需充分考虑公司内部的业务属性和部门的要求，以便实现有效的业务隔离和范围限制，保证网络的安全性。

2、用户的VLAN访问权限要在满足授权规则的基础上作出有效的限制，以合理限定访问权限，以防止权限滥用。

3、在网络设备的端口设置中，要考虑各VLAN之间的通信情况，有效避免网络当中的环路，确保网络顺利访问。

4、VLAN的划分要灵活，用户之间的网络范围、访问权限、安全性等都要受到充分的保护，以确保网络的正常运行。

早期的局域网LAN技术是基于总线型结构的，它存在以下主要问题：1.若某时刻有多个节点同时试图发送消息，那么它们将产生冲突。

2.从任意节点发出的消息都会被发送到其他节点，形成广播。

3.所有主机共享一条传输通道，无法控制网络中的信息安全。

这种网络构成了一个冲突域，网络中计算机数量越多，冲突越严重，网络效率越低。

同时，该网络也是一个广播域，当网络中发送信息的计算机数量越多时，广播流量将会耗费大量带宽。

因此，传统局域网不仅面临冲突域太大和广播域太大两大难题，而且无法保障传输信息的安全。

为了扩展传统LAN，以接入更多计算机，同时避免冲突的恶化，出现了网桥和二层交换机，它们能有效隔离冲突域。

网桥和交换机采用交换方式将来自入端口的信息转发到出端口上，克服了共享网络中的冲突问题。

但是，采用交换机进行组网时，广播域和信息安全问题依旧存在。

为限制广播域的范围，减少广播流量，需要在没有二层互访需求的主机之间进行隔离。

路由器是基于三层IP地址信息来选择路由和转发数据的，其连接两个网段时可以有效抑制广播报文的转发，但成本较高。

因此，人们设想在物理局域网上构建多个逻辑局域网，即VLAN。

VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域，也就是多个VLAN。

VLAN技术部署在数据链路层，用于隔离二层流量。

同一个VLAN内的主机共享同一个广播域，它们之间可以直接进行二层通信。

而VLAN间的主机属于不同的广播域，不能直接实现二层互通。

这样，广播报文就被限制在各个相应的VLAN内，同时也提高了网络安全性。

本例中，原本属于同一广播域的主机被划分到了两个VLAN中，即，VLAN1和VLAN2。

VLAN内部的主机可以直接在二层互相通信，VLAN1和VLAN2之间的主机无法直接实现二层通信。

VLAN标签长4个字节，直接添加在以太网帧头中，IEEE802.1Q文档对VLAN标签作出了说明。

TPID：Tag Protocol Identifier，2字节，固定取值，0x8100，是IEEE定义的新类型，表明这是一个携带802.1Q标签的帧。

vlan：虚拟局域网是将一个物理的局域网在逻辑上划分成多个广播域的技术。

通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。

这样既能够隔离广播域，又能够提升网络的安全性作用：用来二层网络分割广播域实现方式：通过在端口设置不同的vlan标签vlan标签的范围：0-4095，但0和4095属于保留1-4094 标签1为默认2-4094属于可配vlan帧格式：DMAC SMAC Tag Type Data FCS 携带Tag的帧Tag:TPID：协议idPRI：帧的优先级，0-7，越大越优先CFI：区别帧的字符VLAN ID：vlan标签链路类型：access：接入链路：连接交换机与终端trunk：干道链路：连接交换机与交换机PVID：当前端口下默认的vlan id（可以手工配置，默认为1）Vlan id的端口类型：1.access：用来连接主机，只允许唯一的vlan id通过Access端口在收到数据后会添加VLAN Tag，VLAN ID和端口的PVID相同。

Access端口在转发数据前会移除VLAN Tag收发规则：1.access如果该端口收到对端设备发送的帧是untagged（不带VLAN标签），交换机将强制加上该端口的PVID。

如果该端口收到对端设备发送的帧是tagged（带VLAN标签），交换机会检查该标签内的VLAN ID。

当VLAN ID与该端口的PVID相同时，接收该报文。

当VLAN ID与该端口的PVID不同时，丢弃该报文。

Access端口发送数据帧时，总是先剥离帧的Tag，然后再发送。

Access端口发往对端设备的以太网帧永远是不带标签的帧2.trunk：连接交换机与交换机，运行多个vlan帧通过（带tag标签）可以自己定义vlan允许通过列表当Trunk端口收到帧时，如果该帧不包含Tag，将添加上端口的PVID；如果该帧包含Tag，则不改变。