1、華為交換機VLAN配置cch7/14/20221內容簡介本講主要一、介紹VLAN的根本含義與分類，并介紹了VLAN的實現原理與應用，在最后給出了一個具體的配置實例。2、isolate-user-vlan (PVLAN) 配置 7/14/20222學習目標801.1Q 協議與VLANVLAN的分類VLAN的優點 VLAN的原理實例7/14/20223801.1Q 協議與VLANVLAN的分類VLAN的優點 VLAN的原理實例isolate-user-vlan (PVLAN) 配置7/14/20224一、801.1Q 協議與VLAN802.1Q協議，即Virtual Bridged Local A

2、rea Networks虛擬橋局域網絡協議，主要規定了VLAN的實現，下面我們首先講述一下有關VLAN的根本觀念。 7/14/20225VLANVirtual Local Area Network，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的技術。IEEE于1999年公布了用以標準化VLAN實現方案的IEEE 802.1Q協議標準草案。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的播送域或稱虛擬LAN，即VLAN，每一個VLAN都包含一組有著相同需求的計算機，由于VLAN是邏輯地而不是物理地劃分，所以同一個VLAN內的各個計算機無須被放置在同

3、一個物理空間里，即這些計算機不一定屬于同一個物理LAN網段。7/14/20226trunkVLAN1VLAN2VLAN的優勢在于VLAN內部的播送和單播流量不會被轉發到其它VLAN中，從而有助于控制網絡流量、減少設備投資、簡化網絡管理、提高網絡平安性 。7/14/20227以前，各個廠商都聲稱他們的交換機實現了VLAN，但各個廠商實現的方法都不相同，所以彼此是無法互連，這樣，用戶一旦買了某個廠商的交換機，就沒方法買其他廠商的了。而現在，VLAN的標準是IEEE 提出的802.1Q協議，只有支持相同的開放標準才能保證網絡的互連互通，以及保護網絡設備投資。 7/14/20228801.1Q 協議與

4、VLANVLAN的分類VLAN的優點 VLAN的原理實例isolate-user-vlan (PVLAN) 配置7/14/202291、根據端口劃分VLAN這種劃分VLAN的方法是根據以太網交換機的端口來劃分，比方S2021的14端口為VLAN 1，58為VLAN 2，916為VLAN 3，當然，這些屬于同一VLAN的端口可以不連續，如何配置，由管理員決定，如果有多個交換機的話，例如，可以指定交換機 1 的16端口和交換機 2 的14端口為同一VLAN，即同一VLAN可以跨越數個以太網交換機，根據端口劃分是目前定義VLAN的最常用的方法，IEEE 802.1Q協議規定的就是如何根據交換機的端口

5、來劃分VLAN。7/14/202210優點與缺點優點：定義VLAN成員時非常簡單，只要將所有的端口都指定義一下就可以了。缺點：是如果VLAN A的用戶離開了原來的端口，到了一個新的交換機的某個端口，那么就必須重新定義。7/14/2022112、根據MAC地址劃分VLAN這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組。7/14/202212優點與缺點優點：就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN，缺點：是初始化時，所有的用戶都必須進行配置，如

6、果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制播送包了。另外，對于使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣，VLAN就必須不停的配置。7/14/2022133、根據網絡層劃分VLAN這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的，雖然這種劃分方法可能是根據網絡地址，比方IP地址，但它不是路由，不要與網絡層的路由混淆。它雖然查看每個數據包的IP地址，但由于不是路由，所以，沒有RIP，OSPF(開放最短路優先)等路由協議，而是根據

7、生成樹算法進行橋交換7/14/202214優點與缺點優點：是用戶的物理位置改變了，不需要重新配置他所屬的VLAN，而且可以根據協議類型來劃分VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網絡的通信量。缺點：是效率低，因為檢查每一個數據包的網絡層地址是很費時的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這也跟各個廠商的實現方法有關。 7/14/2022154、IP組播作為VLANIP 組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN

8、，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網，主要是效率不高，對于局域網的組播，有二層組播協議GMRP。7/14/202216小結通過上面可以看出，各種不同的VLAN定義方法有各自的優缺點，所以，很多廠商的交換機都實現了不只一種方法，這樣，網絡管理者可以根據自己的實際需要進行選擇，另外，許多廠商在實現VLAN的時候，考慮到VLAN配置的復雜性，還提供了一定程度的自動配置和方便的網絡管理工具。7/14/202217801.1Q 協議與VLANVLAN的分類VLAN的優點 VLAN的原理實例isolate-user

9、-vlan (PVLAN) 配置7/14/2022181、減少移動和改變的代價即所說的動態管理網絡，也就是當一個用戶從一個位置移動到另一個位置是，他的網絡屬性不需要重新配置，而是動態的完成，這種動態管理網絡給網絡管理者和使用者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網絡，這種前景是非常美好的。 當然，并不是所有的VLAN定義方法都能做到這一點。 7/14/2022192、虛擬工作組VLAN的最具雄心的目標就是建立虛擬工作組模型，例如，在校園網中，同一個系的就好似在同一個LAN上一樣，很容易的互相訪問，交流信息，同時，所有的播送包也都限制在該虛擬LAN上，而不影響其他

10、VLAN的人，一個人如果從一個辦公地點換到另外一個地點，而他仍然在該系，那么，他的配置無須改變，同時，如果一個人雖然辦公地點沒有變，但他換了一個系，那么，只需網絡管理者那配置一下就行了。這個功能的目標就是建立一個動態的組織環境，當然，這只是一個遠大的目標，要實現它，還需要一些其他包括管理等方面的支持。 7/14/2022203、限制播送包按照802.1D透明網橋的算法，如果一個數據包找不到路由，那么交換機就會將該數據包向所有的其他端口發送，這就是橋的播送方式的轉發，這樣的結果，毫無疑問極大的浪費了帶寬，如果配置了VLAN，那么，當一個數據包沒有路由時，交換機只會將此數據包發送到所有屬于該VLA

11、N的其他端口，而不是所有的交換機的端口，這樣，就將數據包限制到了一個VLAN內。在一定程度上可以節省帶寬。 7/14/2022214、平安性由于配置了VLAN后，一個VLAN的數據包不會發送到另一個VLAN，這樣，其他VLAN的用戶的網絡上是收不到任何該VLAN的數據包，從而就確保了該VLAN的信息不會被其他VLAN的人竊聽，從而實現了信息的保密。 7/14/202222801.1Q 協議與VLANVLAN的分類VLAN的優點 VLAN的原理實例isolate-user-vlan (PVLAN) 配置7/14/202223一、VLAN與WAN廣域網理論上，VLAN可以擴展到WAN上，但是，這是

12、不明智的做法，因為VLAN允許播送包發送出去，而且它沒有很好的路由算法，經常是以播送的形式轉發數據包，這樣，毫無疑問，極大地浪費了WAN的珍貴的帶寬，所以說，將基于端口的MAC地址和網絡地址的VLAN擴展到WAN是不合理的，而基于多播的VLAN概念那么可以靈活有效的擴展到WAN。一般的以太網交換機實現的都是基于端口的VLAN，個別的會實現基于MAC地址和網絡層地址的VLAN，而路由器中可以通過IGMP多播協議實現所謂的組播形式的VLAN 。 7/14/202224二、802.1Q協議定義了基于端口的VLAN的原理802.1Q協議定義了基于端口的VLAN模型，這是使用得最多的一種方式。下面我們重

13、點講述一下交換機芯片是如何實現VLAN的。 7/14/202225標準以太網幀與802.1Q幀DASATypeDataCRCDASATypeDataCRCTag0 x8100 2 bytePriority-3bitCFI 1bitVLAN ID 12bit標準以太幀Vlan tag 幀每一個支持802.1Q協議的主機，在發送數據包時，都在原來的以太網幀頭中的源地址后增加了一個4字節的802.1Q幀頭，之后接原來以太網的長度或類型域。 7/14/202226各位解釋802.1Q標簽頭包含了2個字節的標簽協議標識TPID-Tag Protocol Identifier，它的值是8100 。Prio

14、rity：這3 位指明幀的優先級。一共有8種優先級，主要用于當交換機阻塞時，優先發送哪個數據包。7/14/202227各位解釋Canonical Format Indicator( cfi )：這一位主要用于總線型的以太網與FDDI、令牌環網交換數據時的幀格式 。LAN Identified( VLAN ID ): 這是一個12位的域，指明VLAN的ID，一共4096個，每個支持802.1Q協議的主機發送出來的數據包都會包含這個域，以指明自己屬于哪一個VLAN。所以最多支持4K 個VLAN。7/14/202228三、802.1Q幀的識別問題802.1Q標簽頭的4 個字節是新增加的，目前我們使用

15、的計算機并不支持802.1Q，即我們計算機發送出去的數據包的以太網幀頭還不包含這4個字節，同時也無法識別這4個字節，將來會有軟件和硬件支持802.1Q協議的。 7/14/202229Tag Aware端口與Access端口對于交換機來說，如果它所連接的以太網段的所有主機都能識別和發送這種帶802.1Q標簽頭的數據包，那么我們把這種端口稱為Tag Aware標簽支持 端口；相反，如果該交換機端口說連接的以太網段有只要有一臺主機不支持這種以太網幀頭，那么交換機的這個端口我們稱為Access端口，從目前的情況可以看出，所有的交換機的端口都屬于后一種。 7/14/202230交換機是如何支持VLAN的

16、呢？1、接收過程：該過程負責接收數據包，數據包可以是帶標簽頭的，也可以不帶標簽頭，如果不帶，交換時機知道根據該端口所屬的VLAN添加上相應的標簽頭。 2、查找/路由過程：該過程根據數據包的目的MAC地址、VLAN 標識已經數據庫中注冊的信息決定把數據包發送到哪個端口。 3、發送過程：將數據包發送到以太網段上，如果該網段的主機不能識別802.1Q標簽頭，那么就將該標簽頭去掉，如果是與其他交換機互連的端口，一般不去掉。 7/14/202231例如：換機的14端口屬于同一個VLAN，那么當 1 端口進來一個數據包是，交換機看到該數據包沒有802.1Q標簽頭，那么，它會根據1號端口所屬的VLAN組，自

17、動給該數據包添加一個該VLAN的標簽頭，然后再將數據包交給數據庫查詢模塊，數據庫查詢模塊會根據數據包的目的地址和所屬的VLAN進行路由，之后交給轉發模塊，轉發模塊看到這是一個包含標簽頭的數據包，而實際上發送的端口所連的以太網段的計算機不能識別這種數據包，所以，它會再將數據包進來是交換機給添加的標簽頭再去掉。如果計算機支持這種標簽頭，那么就不需要交換機添加或刪除標簽頭了，至于到底是添加還是刪除要看交換機所連的以太網段的主機是否識別這種數據包，即該交換機的端口是哪種類型的端口。當然，對于兩個交換機互連的端口一般都是Tag Aware端口，這樣，交換機和交換機之間交換數據包時是無須去掉標簽頭的 。7

18、/14/202232801.1Q 協議與VLANVLAN的分類VLAN的優點 VLAN的原理實例isolate-user-vlan (PVLAN) 配置7/14/202233華為交換機-VLAN配置對VLAN進行配置時，首先應根據需求創立VLAN。VLAN配置包括： 開啟/關閉設備VLAN特性 創立/刪除VLAN為VLAN指定以太網端口為VLAN指定描述字符7/14/2022341、開啟/關閉設備VLAN特性當交換機的VLAN特性被關閉后，交換機在報文交換的過程中將不再使用VLAN標記，從而失去了VLAN域的隔離功能。請在系統視圖進行以下配置。操作命令開啟/關閉VLAN特性vlan enabl

19、e | disable 缺省情況下，開啟設備的VLAN特性。7/14/2022352、創立/刪除VLAN創立VLAN時，如果該VLAN已存在，那么直接進入該VLAN視圖；如果該VLAN不存在，那么此配置任務將首先創立VLAN，然后進入VLAN視圖。請在系統視圖下進行以下配置。操作命令創立VLAN并進入VLAN視圖 vlan vlan_id刪除已創立的VLAN undo vlan vlan_id to vlan_id | all 需要注意的是，缺省VLAN即VLAN 1不能被刪除。7/14/2022363、為VLAN指定以太網端口請在VLAN視圖下進行以下配置。操作命令為指定的VLAN增加以太網

20、端口port interface_list刪除指定的VLAN的某些以太網端口undo port interface_list缺省情況下，系統將所有端口都參加到一個缺省的VLAN中，該VLAN的ID為1。需要注意的是，Trunk和Hybrid端口只能通過以太網端口視圖下的port和undo port命令參加VLAN或從VLAN中刪除，而不能通過本命令實現。7/14/2022374、為VLAN指定描述字符在VLAN視圖下進行以下配置。操作命令為VLAN指定一個描述字符串description string恢復VLAN的描述字符串為缺省描述undo description缺省情況下，VLAN缺省描述

21、字符串為該VLAN的VLAN ID，例如“VLAN 0001 7/14/2022385、 VLAN顯示和調試在完成上述配置后，在所有視圖下執行display命令可以顯示配置后VLAN的運行情況，通過查看顯示信息驗證配置的效果。操作命令顯示VLAN相關信息display vlan vlan_id | all | static | dynamic 7/14/2022397、案例六：配置交換機的Vlan1、組網要求 某一個企業網絡用一臺交換機把所有的主機連接起來組成局域網，在企業網中某些重要部門需要得到平安性的保證，如財務部的就不能被公司內的其他員工訪問到，要求和公司的其他部門之間物理上隔開，互相不

22、能直接訪問。要到達這樣的目的就必須在交換機中劃分VLAN，把財務部和其他員工的主機分開。劃分VLAN后不同的VLAN相當于是物理上隔開的兩個網絡。 7/14/2022402、根本思路：把財務部劃分到一個VLAN，把市場部劃分到另一個VLAN。假設市場部有三個主機，分別連接到交換機的1，2，3端口，而財務部有三臺主機，分別接到交換機的4，5，6端口，把1，2，3端口劃分到一個VLAN 2，把4，5，6劃分到另一個VLAN 3里。 7/14/2022413、組網圖7/14/2022424、配置步驟 system-view /進入系統視圖Quidway-view Vlan 2 /建立并進入Vlan

23、2Quidway-vlan2 port ethernet0/1 to ethernet0/3 /把E0/1 到 E0/3 參加到vlan 2中Quidway-vlan2 description SCB-office /描述字符串為市場部辦公室Quidway-vlan2 Vlan 3 /建立并進入Vlan 3 Quidway-vlan3 port ethernet0/4 to ethernet0/6 /把E0/1 到 E0/3 參加到vlan 2中Quidway-vlan3 description CWB-office /描述字符串為財務部辦公室 7/14/2022435、驗證步驟(1)首先在設

24、置各計算機的IP地址Pc3 10.0.0.3 255.0.0.1 7/14/202244(2)在沒有執行設置步驟前，各計算機應該能夠可以相互ping通在pc1 上執行 ping 10.0.0.2 能通在pc1 上執行 ping 10.0.0.6 能通這時所有的計算機都能相互ping 通3執行4配置步驟這時在pc1 上執行 ping 10.0.0.2 能通在pc1 上執行 ping 10.0.0.6 不能通說明vlan 起做用了在交換機上執行Quidway display vlan all /顯示所有的Vlan 信息可以看到e0/1 e0/2 e0/3 屬于Vlan2 e0/4 e0/5 e0/

25、6 屬于 Vlan 3如果不正確，請檢查上以各步是哪一步做錯了！ 7/14/202245801.1Q 協議與VLANVLAN的分類VLAN的優點 VLAN的原理實例isolate-user-vlan (PVLAN) 配置7/14/202246 一、isolate-user-vlan簡介 isolate-user-vlan是華為公司系列交換機的一個特性，通過該特性可實現網絡中VLAN資源的節約。isolate-user-vlan采用二層VLAN結構，在一臺交換機上設置isolate-user-vlan和Secondary VLAN兩類VLAN。一個isolate-user-vlan和多個Seco

26、ndary VLAN對應，isolate-user-vlan包含所對應的所有Secondary VLAN中包含的端口和上行端口，這樣對上層交換機來說，只須識別下層交換機中的isolate-user-vlan，而不必關心isolate-user-vlan中包含的Secondary VLAN，簡化了網絡配置，節省了VLAN資源。同時，用戶可以采用isolate-user-vlan實現二層報文的隔離，即為每個用戶分配一個Secondary VLAN，每個Secondary VLAN中只包含該用戶連接的端口和上行端口；如果希望實現用戶之間二層報文的互通，只要將這些用戶連接的端口劃入同一個Seconda

27、ry VLAN中即可。7/14/202247二、 isolate-user-vlan配置isolate-user-vlan配置包括：配置isolate-user-vlan配置Secondary VLAN配置isolate-user-vlan和Secondary VLAN間的映射關系以上任務都是必選的，一旦啟用isolate-user-vlan就必須配置 7/14/2022481、創立 isolate-user-vlan請在系統視圖下進行創立VLAN的配置，在VLAN視圖下進行設置VLAN類型為isolate-user-vlan及給該VLAN添加端口的配置。操作命令創立VLANvlan vlan

28、-id設置VLAN類型為isolate-user-vlanisolate-user-vlan enable取消VLAN為isolate-user-vlan的設置undo isolate-user-vlan enable向isolate-user-vlan中添加端口port interface-list7/14/202249注意一臺交換機可以有多個isolate-user-vlan，可以為每個isolate-user-vlan指定多個端口。isolate-user-vlan不能和Trunk端口同時配置，即如果交換機上配置了isolate-user-vlan，就不能配置Trunk端口；如果配置了T

29、runk端口，就不能配置isolate-user-vlan。此外，上行端口必須添加到了isolate-user-vlan中。 7/14/2022502、 配置Secondary VLAN可以使用下面的命令來創立Secondary VLAN，并為Secondary VLAN指定端口。請在系統視圖下進行以下配置。操作命令創立Secondary VLANvlan vlan-id向Secondary VLAN中添加端口port interface-list可以向每一個Secondary VLAN中添加多個端口非上行端口。7/14/2022513、 配置isolate-user-vlan和Seconda

30、ry VLAN間的映射關系可以使用下面的命令來建立isolate-user-vlan和Secondary VLAN之間的映射關系。請在系統視圖下進行以下配置。操作命令配置isolate-user-vlan和Secondary VLAN間的映射關系isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist to secondary_vlan_numlist 取消配置isolate-user-vlan和Secondary VLAN間的映射關系undo isolate-user-vlan isolate-user-

31、vlan_num secondary secondary_vlan_numlist to secondary_vlan_numlist 7/14/202252注意：需要注意的是，執行該命令前，isolate-user-vlan和Secondary VLAN中都必須已經包含了端口。最多可以向一個isolate-user-vlan中映射30個Secondary VLAN。建立映射關系后，向isolate-user-vlan和Secondary VLAN中添加和刪除端口以及刪除VLAN的操作被系統禁止。只有在解除了映射關系后才可以執行。undo isolate-user-vlan命令如果不帶參數se

32、condary secondary_vlan_numlist的話，就解除所有Secondary VLAN和指定isolate-user-vlan的映射關系；如果帶有該參數的話就解除參數指定的Secondary VLAN和指定isolate-user-vlan的映射關系。 7/14/2022534、isolate-user-vlan顯示和調試在完成上述配置后，在所有視圖下執行display命令可以顯示配置后isolate-user-vlan的運行情況，通過查看顯示信息驗證配置的效果。操作命令顯示isolate-user-vlan和Secondary VLAN的映射關系display isolat

33、e-user-vlan isolate-user-vlan_num 7/14/202254三、isolate-user-vlan典型配置舉例案例七1. 組網需求Switch A交換機下接Switch B、Switch C交換機。Switch B上的VLAN5為isolate-user-vlan，包含上行端口Ethernet1/1和兩個Secondary VLAN：VLAN2和VLAN3，VLAN3包含端口Ethernet0/1，VLAN2包含端口Ethernet0/2；Switch C上的VLAN6為isolate-user-vlan，包含上行端口Ethernet1/1和兩個Secondary

34、 VLAN：VLAN3和VLAN4，VLAN3包含端口Ethernet0/3，VLAN4包含端口Ethernet0/4。從Switch A 看，下接的Switch B、Switch C都只有一個VLAN：VLAN5和VLAN6。7/14/2022552. 組網圖7/14/2022563. 配置步驟下面只列出Switch B和Switch C的配置過程。配置Switch B：# 配置isolate-user-vlan。Quidway vlan 5Quidway-vlan5isolate-user-vlan enableQuidway-vlan5port ethernet1/1# 配置Secondary VLAN。Quidway-vlan5 vlan 3Quidway-vlan3 port ethernet0/1 7/14/20225