虚拟局域网配置基础虚拟局域网配置（一）1.1 VLAN简介1.1.1 VLAN概述传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中。

HUB和交换机作为网络连接的基本设备，在转发功能方面有一定的局限性：●网络中可能存在着大量广播和未知单播报文，浪费网络资源。

●网络中的主机收到大量并非以自身为目的地的报文，造成了严重的安全隐患。

解决以上网络问题的根本方法就是隔离广播域。

传统的方法是使用路由器，但使用路由器隔离广播域有很大的局限性，因此采用VLAN技术来实现广播域的隔离。

1.1.2 VLAN接口不同VLAN间的主机不能直接通信，需要通过路由器或三层交换机等网络层设备进行转发，目前的三层以太网交换机支持通过配置VLAN 接口实现对报文进行三层转发的功能。

VLAN接口是一种三层模式下的虚拟接口，主要用于实现VLAN间的三层互通，它不作为物理实体存在于交换机上。

每个VLAN对应一个VLAN接口，该接口可以为本VLAN内端口收到的报文根据其目的IP地址在网络层进行转发。

通常情况下，由于VLAN能够隔离广播域，因此每个VLAN也对应一个IP网段，VLAN接口将作为该网段的网关对需要跨网段转发的报文进行基于IP地址的三层转发。

1.2 基于端口的VLAN基于端口的VLAN是最简单的一种VLAN划分方法。

可以将设备上的端口划分到不同的VLAN中，此后从某个端口接收的报文将只能在相应的VLAN内进行传输，从而实现广播域的隔离和虚拟工作组的划分。

以太网交换机的端口链路类型可以分为三种：Access、Trunk、Hybrid。

这三种端口在加入VLAN和对报文进行转发时会进行不同的处理。

基于端口的VLAN 具有实现简单，易于管理的优点，适用于连接位置比较固定的用户。

1.2.1 以太网端口的链路类型以太网交换机支持的以太网端口链路类型有三种：●Access 类型：端口只能属于1个VLAN，一般用于交换机与终端用户之间的连接；●Trunk 类型：端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间的连接；●Hybrid 类型：端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

说明：Hybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN 的报文发送时不携带标签。

三种类型的端口可以共存在一台设备上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。

例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。

交换机接口出入数据处理过程：Acess端口收报文:收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发,如果有则直接丢弃（缺省）Acess端口发报文：将报文的VLAN信息剥离，直接发送出去trunk端口收报文：收到一个报文，判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有判断该trunk端口是否允许该VLAN的数据进入：如果可以则转发，否则丢弃trunk端口发报文：比较端口的PVID和将要发送报文的VLAN 信息，如果两者相等则剥离VLAN信息，再发送，如果不相等则直接发送hybrid端口收报文：收到一个报文,判断是否有VLAN信息：如果没有则打上端口的PVID，并进行交换转发，如果有则判断该hybrid端口是否允许该VLAN 的数据进入：如果可以则转发，否则丢弃(此时端口上的untag配置是不用考虑的，untag配置只对发送报文时起作用)hybrid端口发报文：1、判断该VLAN在本端口的属性（disp interface 即可看到该端口对哪些VLAN是untag，哪些VLAN是tag）2、如果是untag则剥离VLAN信息，再发送，如果是tag则直接发送1.2.2 配置以太网端口的缺省VLAN IDAccess端口只能属于1个VLAN，所以它的缺省VLAN就是它所在的VLAN，不用设置；Hybrid端口和Trunk端口可以属于多个VLAN，所以需要设置端口的缺省VLAN ID。

注意：建议将本端Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID配置为一致，否则端口可能无法正确转发报文。

1.2.3 将当前端口加入指定VLAN可以将当前以太网端口加入到指定的VLAN 中。

执行该配置以后，以太网端口就可以转发指定VLAN的报文，从而实现本交换机上的VLAN 与对端交换机上相同VLAN的互通。

Access端口只能加入到1个VLAN中，Hybrid端口和Trunk端口可以加入到多个VLAN中。

说明：在将Access端口或Hybrid端口加入到指定的VLAN前，指定的VLAN必须已经创建。

1.3 VLAN配置1.3.1 VLAN的基本配置表1-1 VLAN的基本配置1.3.2 VLAN接口的基本配置1. 配置准备配置VLAN接口之前，首先要创建对应的VLAN。

2. 配置步骤表1-2 VLAN接口的基本配置说明：打开/关闭VLAN接口的操作对属于该VLAN的以太网端口的物理状态没有影响。

交换机只能配置一个VLAN接口，而且该VLAN 必须是管理VLAN。

1.3.3 VLAN配置显示完成上述配置后，在任意视图下执行display 命令，可以显示配置VLAN后的运行情况。

通过查看显示信息，可以验证配置的效果。

表1-3 VLAN配置显示1.4 配置基于端口的VLAN1.4.1 配置基于Access端口的VLAN配置基于Access端口的VLAN有两种方法：一种是在VLAN视图下进行配置，一种是在以太网端口视图下进行配置。

表1-5 配置基于Access端口的VLAN（在VLAN视图下）表1-6 配置基于Access 端口的VLAN （在以太网端口视图下）说明：在将Access 端口加入到指定VLAN 之前，要加入的VLAN 必须已经存在。

1.4.2 配置基于Hybrid 端口的VLAN表1-7配置基于Hybrid 端口的VLAN说明：Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其它类型端口。

例如：Trunk端口不能直接被设置为Hybrid 端口，只能先设为Access端口，再设置为Hybrid端口。

在设置允许指定的VLAN通过Hybrid端口之前，允许通过的VLAN必须已经存在。

本端设备Hybrid端口的缺省VLAN ID和相连的对端设备的Hybrid端口的缺省VLAN ID必须一致，否则报文将不能正确传输。

1.4.3 配置基于Trunk端口的VLAN表1-8 配置基于Trunk端口的VLAN说明：Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其它类型端口。

例如：Trunk端口不能直接被设置为Hybrid 端口，只能先设为Access端口，再设置为Hybrid端口。

本端设备Trunk端口的缺省VLAN ID和相连的对端设备的Trunk端口的缺省VLAN ID必须一致，否则本端缺省VLAN的报文将不能正确传输至对端。

1.4.4 基于端口的VLAN配置显示完成上述配置后，在任意视图下执行display 命令，可以显示配置系统中当前存在的Trunk 和Hybrid端口。

表1-9 VLAN 配置显示1.4.5 基于端口的VLAN 典型配置举例1. 组网需求● 如图所示，Switch A 和Switch B各自连接了一台服务器和一台工作站。

●为保证服务器的数据安全，需要将两台服务器划分到VLAN101中，并配置描述字符为“DMZ ”，工作站划分到VLAN201中。

● 各VLAN 内的设备之间可以互相通信，但跨VLAN 的工作站与服务器之间不能直接通信。

2. 组网图图1-1 VLAN 配置示例图3. 配置步骤Switch A●配置# 创建VLAN101，并配置VLAN101的描述字符串为“DMZ”，将端口Ethernet1/0/1加入到VLAN101。

<SwitchA> system-view[SwitchA] vlan 101[SwitchA-vlan101] description DMZ [SwitchA-vlan101] port Ethernet 1/0/1[SwitchA-vlan101] quit# 创建VLAN201，将端口Ethernet1/0/2加入到VLAN201。

[SwitchA] vlan 201[SwitchA-vlan201] port Ethernet 1/0/2[SwitchA-vlan201] quitSwitch B●配置# 创建VLAN101，并配置VLAN101的描述字符串为“DMZ”，将端口Ethernet1/0/11加入到VLAN101。

<SwitchB> system-view[SwitchB] vlan 101[SwitchB-vlan101] description DMZ[SwitchB-vlan101] port Ethernet 1/0/11[SwitchB-vlan101] quit# 创建VLAN201，将端口Ethernet1/0/12加入到VLAN201。

[SwitchB] vlan 201[SwitchB-vlan201] port Ethernet 1/0/12[SwitchB-vlan201] quit配置Switch A和Switch B之间的链路由于Switch A和Switch B之间的链路需要同时传输VLAN101和VLAN201的数据，所以可以配置两端的端口为Trunk端口，且允许这两个VLAN的报文通过。

# 配置Switch A的Ethernet1/0/3端口[SwitchA] interface Ethernet 1/0/3 [SwitchA-Ethernet1/0/3] port link-type trunk[SwitchA-Ethernet1/0/3] port trunk permit vlan 101[SwitchA-Ethernet1/0/3] port trunk permit vlan 201# 配置Switch B的Ethernet1/0/10端口[SwitchB] interface Ethernet1/0/10[SwitchB-Ethernet1/0/10] port link-type trunk[SwitchB-Ethernet1/0/10] port trunk permit vlan 101[SwitchB-Ethernet1/0/10] port trunk permit vlan 201附1.交换机Trunk端口配置一、组网需求：1．SwitchA与SwitchB用trunk互连，相同VLAN 的PC之间可以互访，不同VLAN的PC之间禁止互访；2．PC1与PC2之间在不同VLAN，通过设置上层三层交换机SwitchB的VLAN接口10的IP地址为10.1.1.254/24，VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。