035.VLAN虚拟局域网配置

VLAN 概述

​ VLAN（Virtual Local Area Network，虚拟局域网）技术可以将一个物理局域网在逻辑上划分成多个广播域的。通过在交换机上配置 VLAN，可以实现在同一个 VLAN 内的用户进行二层互访，而不同 VLAN 间的用户被二层隔离。这样既能够隔离广播域，又能够提升网络的安全性。

​ 而不同的 VLAN 间如果需要互访，则需要通过三层设备的转发。

​ VLAN 的工作原理实际是对 MAC 地址表进行划分，每个 VLAN 对应一张 MAC 地址表，实现广播域（MAC 地址表）的隔离。

VLAN 划分方法

​ 华为交换机可以基于端口、网络层协议、子网、MAC 地址、匹配策略等方式来划分 VLAN。

​ 如果设备同时支持多种方式划分 VLAN ，优先级顺序从高至低依次是：基于匹配策略划分 > 基于 MAC 地址划分 > 基于子网划分 > 基于网络层协议划分 > 基于端口划分。

• 基于 MAC 地址划分和基于子网划分：拥有相同的优先级。在默认情况下，基于 MAC 地址划分优先。但是可以通过命令改变基于 MAC 地址划分和基于子网划分的优先级，从而决定优先划分 VLAN 的方式。
• 基于匹配策略划分的优先级最高，但是最不常用。
• 基于端口划分的优先级最低，但是最常用。

基于端口划分 VLAN

​ 以常用的端口划分为例：通过将物理端口划分到不同的 VLAN 中，实现广播域（MAC地址表）隔离。在默认情况下交换机的所有端口都属于VLAN1，属于同一个广播域。

VLAN 链路有两种类型：Access Link（接入链路）和 Trunk Link（干道链路）：

• 接入链路（Access Link）：交换机连接终端的链路被称为接入链路，它们相连的端口类型需要设置为 access 。
• 干道链路（Trunk Link）：交换机与交换机之间的互连链路被称为干道链路，它们相连的端口，类型需要设置为 trunk。

还有一种混合端口（Hybrid），同时具备 Access 端口和 Trunk 端口的特性。Hybrid端口既可以用在连接终端的接口，也可以用在交换机互连的端口。华为交换机默认的端口类型是 Hybrid 端口。

Access 端口和 Trunk 端口综合实例

1. 设置PC1～PC4的IP地址，因为它们都是在同一网段，不配置 VLAN 它们是能互访的。

2. 配置交换机 LSW1 和LSW2，划分 VLAN，隔离广播域

   LSW1：

   [LSW1]vlan batch 10 20		#批处理创建 VLAN10 和 VLAN20
   [LSW1]interface Ethernet 0/0/1		#进入百兆接口1配置端口
   [LSW1-Ethernet0/0/1]port link-type access		#修改端口类型为access
   [LSW1-Ethernet0/0/1]port default vlan 10		#将该端口加入到 VALN10
   [LSW1-Ethernet0/0/1]interface Ethernet 0/0/2	#切换到百兆接口2
   [LSW1-Ethernet0/0/2]port link-type access		#修改端口类型为access
   [LSW1-Ethernet0/0/2]port default vlan 20		#将该端口加入到 VALN20
   
   [LSW1]interface GigabitEthernet 0/0/1			#切换到千兆接口1
   [LSW1-GigabitEthernet0/0/1]port link-type trunk 	#修改端口类型为trunk
   [LSW1-GigabitEthernet0/0/1]port trunk allow-pass  vlan 10 20	#允许通过 VLAN10 和 VLAN20

   LSW2：

   [LSW2]vlan batch 10 20		#批处理创建 VLAN10 和 VLAN20
   [LSW2]interface Ethernet 0/0/1		#进入百兆接口1配置端口
   [LSW2-Ethernet0/0/1]port link-type access		#修改端口类型为access
   [LSW2-Ethernet0/0/1]port default vlan 10		#将该端口加入到 VALN10
   [LSW2-Ethernet0/0/1]interface Ethernet 0/0/2	#切换到百兆接口2
   [LSW2-Ethernet0/0/2]port link-type access		#修改端口类型为access
   [LSW2-Ethernet0/0/2]port default vlan 20		#将该端口加入到 VALN20
   
   [LSW2]interface GigabitEthernet 0/0/1			#切换到千兆接口1
   [LSW2-GigabitEthernet0/0/1]port link-type trunk 	#修改端口类型为trunk
   [LSW2-GigabitEthernet0/0/1]port trunk allow-pass  vlan 10 20	#允许通过 VLAN10 和 VLAN20

3. 配置完成后，测试是否只能同 VLAN 互访，达到广播域隔离的目的。

2020年6月1日 完结

---

参考：《华为HCNA认证详解与学习指南》周亚军 等编著。