江哥架构师笔记VLAN划分方式差异表
vlan划分方式说明
|
VLAN划分方式 |
原理 |
优点 |
缺点 |
适用场景 |
|---|---|---|---|---|
|
基于接口 |
根据交换机的接口来划分VLAN。 网络管理员预先给交换机的每个接口配置不同的PVID,当一个数据帧进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的Tag。然后数据帧将在指定PVID中传输。 |
定义成员简单。 |
成员移动需重新配置VLAN。 |
适用于任何大小但位置比较固定的网络。 |
|
基于MAC地址 |
根据数据帧的源MAC地址来划分VLAN。 网络管理员预先配置MAC地址和VLAN ID映射关系表,当交换机收到的是Untagged帧时,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
当用户的物理位置发生改变,不需要重新配置VLAN,提高了用户的安全性和接入的灵活性。 |
需要预先定义网络中所有成员。 |
适用于位置经常移动但网卡不经常更换的小型网络,如移动PC。 |
|
基于子网划分 |
根据数据帧中的源IP地址和子网掩码来划分VLAN。 网络管理员预先配置IP地址和VLAN ID映射关系表,当交换机收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
|
网络中的用户分布需要有规律,且多个用户在同一个网段。 |
适用于对安全需求不高、对移动性和简易管理需求较高的场景中。比如,一台PC配置多个IP地址分别访问不同网段的服务器,以及PC切换IP地址后要求VLAN自动切换等场景。 |
|
基于协议划分 |
根据数据帧所属的协议(族)类型及封装格式来划分VLAN。 网络管理员预先配置以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
将网络中提供的服务类型与VLAN相绑定,方便管理和维护。 |
|
适用于需要同时运行多协议的网络。 |
|
基于策略(MAC地址、IP地址、接口)划分 |
根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等。 网络管理员预先配置策略,如果收到的是Untagged帧,且匹配配置的策略时,给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
|
针对每一条策略都需要手工配置。 |
适用于需求比较复杂的环境。 |
其中基于接口划分VLAN,是最简单,最常见的划分方式。
配置基于接口划分VLAN示例
组网需求
某企业的交换机连接有很多用户,且相同业务用户通过不同的设备接入企业网络。为了通信的安全性,同时为了避免广播风暴,企业希望业务相同用户之间可以互相访问,业务不同用户不能直接访问。可以在交换机上配置基于接口划分VLAN,把业务相同的用户连接的接口划分到同一VLAN。这样属于不同VLAN的用户不能直接进行二层通信,同一VLAN内的用户可以直接互相通信。
配置基于接口划分VLAN组网图
配置思路
采用如下的思路配置基于接口划分VLAN:
创建VLAN并将连接用户的接口加入VLAN,实现不同业务用户之间的二层流量隔离。
配置SwitchA和SwitchB之间的链路类型及通过的VLAN,实现相同业务用户通过SwitchA和SwitchB通信。
操作步骤
在SwitchA创建VLAN 2和VLAN 3,并将连接用户的接口分别加入对应VLAN。SwitchB的配置与SwitchA类似,不再赘述
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] vlan batch 2 3 //批量创建VLAN 2和VLAN 3 [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-type access //和接入设备相连的接口类型必须是access,接口默认类型不是access,需要手动配置为access [SwitchA-GigabitEthernet1/0/1] port default vlan 2 //将接口GE1/0/1加入VLAN 2 [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-type access [SwitchA-GigabitEthernet1/0/2] port default vlan 3 //将接口GE1/0/2加入VLAN 3 [SwitchA-GigabitEthernet1/0/2] quit
配置SwitchA上与SwitchB连接的接口类型及通过的VLAN。SwitchB的配置与SwitchA类似,不再赘述
[SwitchA] interface gigabitethernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-type trunk //交换机之间相连接口类型建议使用trunk,接口默认类型不是trunk,需要手动配置为trunk [SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 2 3 //将接口GE1/0/3加入VLAN 2和VLAN 3
验证配置结果
将User1和User2配置在一个网段,比如192.168.100.0/24;将User3和User4配置在一个网段,比如192.168.200.0/24。
User1和User2能够互相ping通,但是均不能ping通User3和User4。User3和User4能够互相ping通,但是均不能ping通User1和User2。
SwitchA的配置文件
# sysname SwitchA # vlan batch 2 to 3 # interface GigabitEthernet1/0/1 port link-type access port default vlan 2 # interface GigabitEthernet1/0/2 port link-type access port default vlan 3 # interface GigabitEthernet1/0/3 port link-type trunk port trunk allow-pass vlan 2 to 3 # return
SwitchB的配置文件
# sysname SwitchB # vlan batch 2 to 3 # interface GigabitEthernet1/0/1 port link-type access port default vlan 2 # interface GigabitEthernet1/0/2 port link-type access port default vlan 3 # interface GigabitEthernet1/0/3 port link-type trunk port trunk allow-pass vlan 2 to 3 # return
配置基于接口划分VLAN示例(接入层设备作为网关)
简介
划分VLAN的方式有:基于接口、基于MAC地址、基于IP子网、基于协议、基于策略(MAC地址、IP地址、接口)。其中基于接口划分VLAN,是最简单,最常见的划分方式。
基于接口划分VLAN指的是根据交换机的接口来划分VLAN。网络管理员预先给交换机的每个接口配置不同的PVID,当一个数据帧进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的Tag,然后数据帧将在指定PVID中传输。
在典型的分层组网中,当接入交换机是三层交换机时,可以作为用户的网关,减少汇聚交换机的配置和复杂度。
组网需求
PC1和PC2分别属于VLAN 2和VLAN 3,通过接入交换机SW2接入汇聚交换机SW1。PC3属于VLAN 4,通过SW3接入汇聚交换机SW1。接入交换机SW2作为PC1和PC2的网关,SW3作为PC3的网关,通过在交换机上配置静态路由,实现用户PC间的互访以及和路由器的互连。
配置接入层设备作为网关组网图
配置思路
采用如下的思路配置接入层设备作为网关实现不同网段用户间的通信:
配置接入交换机,基于接口划分VLAN,实现二层互通。
配置接入交换机作为PC的网关,实现不同网段用户间通信。
配置汇聚交换机静态路由,实现用户和路由器的互通。
操作步骤
配置接入交换机SW2
# 创建VLAN。
<HUAWEI> system-view [HUAWEI] sysname SW2 //修改设备的名称为SW2,便于识别 [SW2] vlan batch 2 to 3 //批量创建VLAN 2和VLAN 3
# 将接口加入相应VLAN。
[SW2] interface gigabitethernet 1/0/23 [SW2-GigabitEthernet1/0/23] port link-type access //将与PC相连接口的接口类型设置为access [SW2-GigabitEthernet1/0/23] port default vlan 2 //将PC1划分到VLAN 2 [SW2-GigabitEthernet1/0/23] quit [SW2] interface gigabitethernet 1/0/24 [SW2-GigabitEthernet1/0/24] port link-type access [SW2-GigabitEthernet1/0/24] port default vlan 3 //将PC2划分到VLAN 3 [SW2-GigabitEthernet1/0/24] quit
# 配置VLANIF接口,作为用户PC的网关。
[SW2] interface vlanif 2 //创建VLANIF2接口 [SW2-Vlanif2] ip address 192.168.2.1 24 //配置IP地址,此IP地址是PC1的网关地址 [SW2-Vlanif2] quit [SW2] interface vlanif 3 //创建VLANIF3接口 [SW2-Vlanif3] ip address 192.168.3.1 24 //配置IP地址,此IP地址是PC2的网关地址 [SW2-Vlanif3] quit
# 配置SW2和SW1互连。
[SW2] vlan batch 5 //创建VLAN 5 [SW2] interface gigabitethernet 1/0/1 [SW2-GigabitEthernet1/0/1] port link-type access [SW2-GigabitEthernet1/0/1] port default vlan 5 //SW2和SW1以Untagged方式通信 [SW2-GigabitEthernet1/0/1] quit [SW2] interface vlanif 5 //创建VLANIF5接口 [SW2-Vlanif5] ip address 192.168.5.2 24 //配置IP地址,此IP地址是SW2与SW1互连接口的IP地址 [SW2-Vlanif5] quit [SW2] ip route-static 0.0.0.0 0.0.0.0 192.168.5.1 //配置缺省路由,为PC用户找到访问路由器的出口。缺省路由的下一跳是SW1相连接口的IP地址
配置接入交换机SW3
# 创建VLAN。
<HUAWEI> system-view [HUAWEI] sysname SW3 //修改设备的名称为SW3 [SW3] vlan batch 4 //批量创建VLAN 4
# 将接口加入相应VLAN。
[SW3] interface gigabitethernet 1/0/2 [SW3-GigabitEthernet1/0/2] port link-type access //将与PC相连接口的接口类型设置为access [SW3-GigabitEthernet1/0/2] port default vlan 4 //将PC3划分到VLAN 4 [SW3-GigabitEthernet1/0/2] quit
# 配置VLANIF接口,作为用户PC的网关。
[SW3] interface vlanif 4 //创建VLANIF4接口 [SW3-Vlanif4] ip address 192.168.4.1 24 //配置IP地址,此IP地址是PC3的网关地址 [SW3-Vlanif4] quit
# 配置SW3和SW1互连。
[SW3] vlan batch 5 //创建VLAN 5 [SW3] interface gigabitethernet 1/0/1 [SW3-GigabitEthernet1/0/1] port link-type access [SW3-GigabitEthernet1/0/1] port default vlan 5 //SW3和SW1以Untagged方式通信 [SW3-GigabitEthernet1/0/1] quit [SW3] interface vlanif 5 //创建VLANIF5接口 [SW3-Vlanif5] ip address 192.168.5.3 24 //配置IP地址,此IP地址是SW3与SW1互连接口的IP地址 [SW3-Vlanif5] quit [SW3] ip route-static 0.0.0.0 0.0.0.0 192.168.5.1 //配置缺省路由,为PC用户指定访问路由器的出口。缺省路由的下一跳是SW1相连接口的IP地址
配置汇聚交换机SW1
# 创建VLAN。
<HUAWEI> system-view [HUAWEI] sysname SW1 //修改设备的名称为SW1 [SW1] vlan batch 5 //批量创建VLAN 5
# 将连接PC的接口加入相应VLAN。
[SW1] interface gigabitethernet 1/0/1 [SW1-GigabitEthernet1/0/1] port link-type access //将与路由器相连接口的接口类型设置为access [SW1-GigabitEthernet1/0/1] port default vlan 5 [SW1-GigabitEthernet1/0/1] quit [SW1] interface gigabitethernet 1/0/2 [SW1-GigabitEthernet1/0/2] port link-type access //将与SW2相连接口的接口类型设置为access [SW1-GigabitEthernet1/0/2] port default vlan 5 [SW1-GigabitEthernet1/0/2] quit [SW1] interface gigabitethernet 1/0/3 [SW1-GigabitEthernet1/0/3] port link-type access //将与SW3相连接口的接口类型设置为access [SW1-GigabitEthernet1/0/3] port default vlan 5 [SW1-GigabitEthernet1/0/3] quit
# 配置VLANIF接口,实现和路由器的互连。
[SW1] interface vlanif 5 //创建VLANIF5接口 [SW1-Vlanif5] ip address 192.168.5.1 24 //配置IP地址,此IP地址是与路由器对接的IP地址 [SW1-Vlanif5] quit
# 配置回程明细路由,实现内网网段之间互访。
[SW1] ip route-static 192.168.2.0 255.255.255.0 192.168.5.2 //目的IP是192.168.2.0/24网段的,下一跳是192.168.5.2,该IP地址对应SW2相连接口VLANIF的IP地址 [SW1] ip route-static 192.168.3.0 255.255.255.0 192.168.5.2 //目的IP是192.168.3.0/24网段的,下一跳是192.168.5.2,该IP地址对应SW2相连接口VLANIF的IP地址 [SW1] ip route-static 192.168.4.0 255.255.255.0 192.168.5.3 //目的IP是192.168.4.0/24网段的,下一跳是192.168.5.3,该IP地址对应SW3相连接口VLANIF的IP地址
# 配置缺省路由,实现内网网段到路由器的访问。
[SW1] ip route-static 0.0.0.0 0.0.0.0 192.168.5.4 //假设路由器与SW1相连接口的IP地址是192.168.5.4
检查配置结果
PC1、PC2、PC3之间可以相互访问,同时PC都可以和路由器进行通信。
SW1的配置文件
# sysname SW1 # vlan batch 5 # interface Vlanif5 ip address 192.168.5.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type access port default vlan 5 # interface GigabitEthernet1/0/2 port link-type access port default vlan 5 # interface GigabitEthernet1/0/3 port link-type access port default vlan 5 # ip route-static 0.0.0.0 0.0.0.0 192.168.5.4 ip route-static 192.168.2.0 255.255.255.0 192.168.5.2 ip route-static 192.168.3.0 255.255.255.0 192.168.5.2 ip route-static 192.168.4.0 255.255.255.0 192.168.5.3 # return
SW2的配置文件
# sysname SW2 # vlan batch 2 to 3 5 # # interface Vlanif2 ip address 192.168.2.1 255.255.255.0 # interface Vlanif3 ip address 192.168.3.1 255.255.255.0 # interface Vlanif5 ip address 192.168.5.2 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type access port default vlan 5 # interface GigabitEthernet1/0/23 port link-type access port default vlan 2 # interface GigabitEthernet1/0/24 port link-type access port default vlan 3 # ip route-static 0.0.0.0 0.0.0.0 192.168.5.1 # return
SW3的配置文件
# sysname SW3 # vlan batch 4 to 5 # interface Vlanif4 ip address 192.168.4.1 255.255.255.0 # interface Vlanif5 ip address 192.168.5.3 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type access port default vlan 5 # interface GigabitEthernet1/0/2 port link-type access port default vlan 4 # ip route-static 0.0.0.0 0.0.0.0 192.168.5.1 # return
配置基于接口划分VLAN示例(汇聚层设备作为网关)
组网需求
PC1和PC2分别属于VLAN 2和VLAN 3,通过接入交换机SW2接入汇聚交换机SW1。PC3属于VLAN 4,通过SW3接入汇聚交换机SW1。SW3不做任何配置,当做HUB即插即用。汇聚交换机SW1作为PC1、PC2和PC3的网关,实现用户PC间的互访以及和路由器的互连。
配置汇聚层设备作为网关组网图
配置思路
采用如下的思路配置汇聚层设备作为网关实现不同网段用户间的通信:
配置接入交换机,基于接口划分VLAN,实现二层互通。
配置汇聚交换机作为用户PC的网关,实现不同网段用户PC间的三层互通。
配置汇聚交换机与路由器相连的接口,实现与路由器的互连。
操作步骤
配置接入交换机SW2
# 创建VLAN。
<HUAWEI> system-view [HUAWEI] sysname SW2 //修改设备的名称为SW2,便于识别 [SW2] vlan batch 2 3 //批量创建VLAN 2和VLAN 3
# 将接口加入相应VLAN。
[SW2] interface gigabitethernet 1/0/23 [SW2-GigabitEthernet1/0/23] port link-type access //将与PC相连接口的接口类型设置为access [SW2-GigabitEthernet1/0/23] port default vlan 2 //将PC1划分到VLAN 2 [SW2-GigabitEthernet1/0/23] quit [SW2] interface gigabitethernet 1/0/24 [SW2-GigabitEthernet1/0/24] port link-type access [SW2-GigabitEthernet1/0/24] port default vlan 3 //将PC2划分到VLAN 3 [SW2-GigabitEthernet1/0/24] quit [SW2] interface gigabitethernet 1/0/1 [SW2-GigabitEthernet1/0/1] port link-type trunk //将与汇聚交换机相连接口的接口类型设置为trunk [SW2-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 3 //透传VLAN 2和VLAN 3到汇聚交换机SW1 [SW2-GigabitEthernet1/0/1] quit
配置汇聚交换机SW1
# 创建VLAN。
<HUAWEI> system-view [HUAWEI] sysname SW1 //修改设备的名称为SW1 [SW1] vlan batch 2 to 5 //批量创建VLAN 2到VLAN 5
# 将连接PC的接口加入相应VLAN。
[SW1] interface gigabitethernet 1/0/2 [SW1-GigabitEthernet1/0/2] port link-type trunk //将与SW1相连接口的接口类型设置为trunk [SW1-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 3 //透传VLAN 2和VLAN 3 [SW1-GigabitEthernet1/0/2] quit [SW1] interface gigabitethernet 1/0/3 [SW1-GigabitEthernet1/0/3] port link-type access //将与PC3相连接口的接口类型设置为access [SW1-GigabitEthernet1/0/3] port default vlan 4 //将PC3划分到VLAN 4 [SW1-GigabitEthernet1/0/3] quit
# 配置VLANIF接口,作为用户PC的网关。
[SW1] interface vlanif 2 //创建VLANIF2接口 [SW1-Vlanif2] ip address 192.168.2.1 24 //配置IP地址,此IP地址是PC1的网关地址 [SW1-Vlanif2] quit [SW1] interface vlanif 3 //创建VLANIF3接口 [SW1-Vlanif3] ip address 192.168.3.1 24 //配置IP地址,此IP地址是PC2的网关地址 [SW1-Vlanif3] quit [SW1] interface vlanif 4 //创建VLANIF4接口 [SW1-Vlanif4] ip address 192.168.4.1 24 //配置IP地址,此IP地址是PC3的网关地址 [SW1-Vlanif4] quit
# 将连接路由器的接口加入相应VLAN。
[SW1] interface gigabitethernet 1/0/1 [SW1-GigabitEthernet1/0/1] port link-type access //将与路由器相连接口的接口类型设置为access,与路由器通过Untagged方式通信 [SW1-GigabitEthernet1/0/1] port default vlan 5 //将路由器划分到VLAN 5 [SW1-GigabitEthernet1/0/1] quit
# 配置VLANIF接口,实现和路由器的互连。
[SW1] interface vlanif 5 //创建VLANIF5接口 [SW1-Vlanif5] ip address 192.168.5.1 24 //配置IP地址,此IP地址是与路由器对接的IP地址 [SW1-Vlanif5] quit
检查配置结果
PC1、PC2、PC3之间可以相互访问,同时PC都可以和路由器进行通信。
SW1的配置文件
# sysname SW1 # vlan batch 2 to 5 # interface Vlanif2 ip address 192.168.2.1 255.255.255.0 # interface Vlanif3 ip address 192.168.3.1 255.255.255.0 # interface Vlanif4 ip address 192.168.4.1 255.255.255.0 # interface Vlanif5 ip address 192.168.5.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type access port default vlan 5 # interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 2 to 3 # interface GigabitEthernet1/0/3 port link-type access port default vlan 4 # return SW2的配置文件 # sysname SW2 # vlan batch 2 to 3 # interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 2 to 3 # interface GigabitEthernet1/0/23 port link-type access port default vlan 2 # interface GigabitEthernet1/0/24 port link-type access port default vlan 3 # return
配置基于IP子网划分VLAN示例
组网需求
某企业拥有多种业务,如IPTV、VoIP、Internet等,每种业务使用的IP地址网段各不相同。为了便于管理,现需要将同一种类型业务划分到同一VLAN中,不同类型的业务划分到不同VLAN中。交换机接收到用户报文有数据、IPTV、语音等多种业务,用户设备的IP地址网段各不相同。现需要将不同类型的业务划分到不同的VLAN中,以便出口路由器Router能通过不同的VLAN分流到不同的业务服务器上以实现业务互通。
配置基于IP划分VLAN组网图
配置思路
采用如下的思路配置基于IP子网划分VLAN:
创建VLAN并将接口加入VLAN,实现基于IP子网的VLAN可以透传当前接口。
使能基于IP子网划分VLAN功能,并关联IP子网和VLAN,实现根据报文中的源IP地址或指定网段确定VLAN。
操作步骤
创建VLAN
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 100 200 300 //创建VLAN 100、VLAN 200和VLAN 300
配置接口
[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type hybrid //基于IP子网划分VLAN只能应用在类型为hybrid的接口, V200R005C00及之后版本,默认接口类型不是hybrid,需要手动配置 [Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100 200 300 //对VLAN为100、200、300的报文,剥掉VLAN Tag [Switch-GigabitEthernet1/0/1] ip-subnet-vlan enable //使能接口的IP-VLAN功能 [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type trunk //交换机之间使用trunk类型透传需要的VLAN [Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 300 [Switch-GigabitEthernet1/0/2] quit
配置基于IP子网划分VLAN
[Switch] vlan 100 [Switch-vlan100] ip-subnet-vlan 1 ip 192.168.1.2 24 priority 2 //IP地址为192.168.1.2/24,优先级为2的报文,在VLAN 100域内转发 [Switch-vlan100] quit [Switch] vlan 200 [Switch-vlan200] ip-subnet-vlan 1 ip 192.168.2.2 24 priority 3 //IP地址为192.168.2.2/24,优先级为3的报文,在VLAN 200域内转发 [Switch-vlan200] quit [Switch] vlan 300 [Switch-vlan300] ip-subnet-vlan 1 ip 192.168.3.2 24 priority 4 //IP地址为192.168.3.2/24,优先级为4的报文,在VLAN 300域内转发 [Switch-vlan300] quit
验证配置结果
# 在Switch上执行以下命令,显示信息如下:
[Switch] display ip-subnet-vlan vlan all ---------------------------------------------------------------- Vlan Index IpAddress SubnetMask Priority ---------------------------------------------------------------- 100 1 192.168.1.2 255.255.255.0 2 200 1 192.168.2.2 255.255.255.0 3 300 1 192.168.3.2 255.255.255.0 4 ---------------------------------------------------------------- ip-subnet-vlan count: 3 total count: 3
Switch的配置文件
# sysname Switch # vlan batch 100 200 300 # vlan 100 ip-subnet-vlan 1 ip 192.168.1.2 255.255.255.0 priority 2 vlan 200 ip-subnet-vlan 1 ip 192.168.2.2 255.255.255.0 priority 3 vlan 300 ip-subnet-vlan 1 ip 192.168.3.2 255.255.255.0 priority 4 # interface GigabitEthernet1/0/1 port link-type hybrid port hybrid untagged vlan 100 200 300 ip-subnet-vlan enable # interface GigabitEthernet1/0/2 port link-type trunk port trunk allow-pass vlan 100 200 300 # return
–
–
–
评论前必须登录!
注册