VLAN 就是在一台物理交换机上,用软件划分出多个互相隔离的“虚拟小交换机”。本次博客将总结华为设备VLAN原理和配置。
文章目录
一、为什么要 VLAN?—— 没有 VLAN 的世界有多乱
1、网络问题
假设公司有财务部、人事部、研发部,全都插在同一台交换机上:
-
问题 1:广播泛滥
财务部有台电脑中病毒狂发广播包,全公司所有电脑都得停下来处理这些垃圾广播 → 网络卡成幻灯片。 -
问题 2:安全堪忧
没有隔离,研发部的“小张”随便用抓包软件就能看到财务部的敏感数据 → 泄密。 -
问题 3:管理混乱
一个部门的人分散在不同楼层?那他们只能拉很长的网线或者用路由器连接,麻烦。
2、VLAN 的解决方案
把物理交换机切成三块:
-
VLAN 10 给财务部
-
VLAN 20 给人事部
-
VLAN 30 给研发部
3、效果
财务部的广播只在 VLAN 10 里传,其他部门完全收不到。
不同 VLAN 之间默认不能通信,想互通必须经过路由器或三层交换机。
同一个部门的人即使在不同楼层,只要把他们的端口划到同一个 VLAN,就像在同一个办公室里。
二、VLAN 的工作原理——打标签与剥标签
VLAN 是怎么隔离的?靠 标签(Tag)。
1、不带标签的帧(Untagged)
普通电脑发出的数据帧,没有 VLAN 标签。交换机收到后,会打上这个端口的 PVID(Port VLAN ID)。
2、 带标签的帧(Tagged)
在以太网帧的源 MAC 和目标 MAC 之间,插入一个 4 字节的 802.1Q 标签,里面最重要的就是 VLAN ID(0-4095,其中 0 和 4095 保留,可用 1-4094)。
3、 交换机怎么处理?
- 收到一个帧,看它有没有标签:
有标签:检查这个 VLAN 是否允许从该端口进入,如果允许,就按 VLAN 转发。
无标签:打上端口的 PVID,然后按这个 VLAN 转发。
- 转发出去时,根据端口的配置决定 保留标签(Tagged)还是剥掉标签(Untagged)。
比喻:
VLAN 标签就像快递上的“收件人部门标签”。交换机就像分拣中心,根据标签把包裹送到对应的部门,不同部门的快递不会混在一起。
三、VLAN 的端口类型
华为交换机有三种端口模式,必须搞清楚。
1、 Access 端口——接终端设备(电脑、打印机)
(1)特点
只属于一个 VLAN,发出帧时 剥掉标签(电脑不认识标签)。
(2)配置
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
应用场景:连 PC、服务器、IP 电话。
2、 Trunk 端口——交换机互联、路由器子接口
(1)特点
一条链路上承载多个 VLAN,发出帧时 保留标签(除了 PVID 的帧可以剥掉)。
(2)配置
interface GigabitE0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 30 # 允许哪些 VLAN 通过
port trunk pvid vlan 1 # 默认 PVID 是 1,一般不修改
(3)应用场景
交换机之间相连、交换机连路由器(单臂路由)。
3、Hybrid 端口——华为特有,灵活性极高
(1)特点
可以手动指定哪些 VLAN 发出时带标签,哪些不带。Access 和 Trunk 能做的它都能做,但配置稍复杂。
(2)配置
interface GigabitEthernet0/0/1
port link-type hybrid
port hybrid pvid vlan 10
port hybrid untagged vlan 10 20 # 发 VLAN 10 和 20 时脱标签
port hybrid tagged vlan 30 # 发 VLAN 30 时带标签
(3)应用场景:特殊组网,比如一台服务器同时需要多个 VLAN 的通信。
初学者建议:先用 Access 和 Trunk,Hybrid 知道概念就行,等熟悉了再玩花的。
四、VLAN 间通信——不同 VLAN 怎么互通?
VLAN 默认隔离,想让 VLAN 10 访问 VLAN 20,必须经过三层设备。
1、方式一:路由器 + 单臂路由
-
交换机 Trunk 口连路由器物理接口。
-
路由器配 子接口,每个子接口对应一个 VLAN,封装 802.1Q。
-
缺点:流量都挤在一个物理口,容易成瓶颈。
2、方式二:三层交换机(企业主流)
-
给每个 VLAN 创建一个 VLANIF 逻辑接口,配置 IP 地址作为该 VLAN 的网关。
-
不同 VLANIF 之间自动路由(IP forwarding)。
-
配置示例:
vlan 10
interface Vlanif10
ip address 192.168.10.1 24
vlan 20
interface Vlanif20
ip address 192.168.20.1 24
- 然后把端口划进对应 VLAN,PC 的网关指向 VLANIF IP,就能跨 VLAN 通信了。
五、VLAN 配置实战——手把手带你敲
拓扑场景 :
一台交换机,端口 G0/0/1 接 PC1(VLAN 10),端口 G0/0/2 接 PC2(VLAN 20),端口
G0/0/24 接上层路由器。
1、步骤 1:创建 VLAN
system-view
vlan 10
description Finance
vlan 20
description HR
2、步骤 2:配置 Access 端口
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
3、步骤 3:配置 Trunk 口(上联路由器)
interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 # 允许 VLAN 10 和 20 通过
4、步骤 4:验证配置
display vlan # 查看 VLAN 信息及端口成员
display interface trunk # 查看 Trunk 口状态
5、步骤 5:(可选)配置 VLANIF 实现三层互通
interface Vlanif10
ip address 192.168.10.1 24
interface Vlanif20
ip address 192.168.20.1 24
给 PC1 配 IP 192.168.10.2/24,网关 192.168.10.1;PC2 配 192.168.20.2/24,网关 192.168.20.1,然后互 ping 就能通。
六、常见坑点与避坑指南
1、坑 1:Trunk 两端允许的 VLAN 不一致
-
左边 Trunk 允许 VLAN 10,20,右边只允许 VLAN 10,那么 VLAN 20 的流量就过不去。
-
检查:display interface trunk 看两端。
2、坑 2:Access 端口忘了配 default vlan
-
默认是 VLAN 1,如果不小心把重要设备划到 VLAN 1,可能造成安全风险或广播泛滥。
-
建议:不用的 VLAN 1 端口都 shutdown。
3、坑 3:Hybrid 端口 PVID 没设对
-
收到不带标签的数据帧会打上 PVID,如果 PVID 没配好,可能进了错误的 VLAN。
-
解决:明确知道 PVID 的作用,尽量用 Access 替代简单场景。
4、坑 4:三层交换机没开启路由功能
- 配了 VLANIF 但还是 ping 不通,可能是没开 ip routing(华为默认开启,但有些型号需要手动开)。
5、坑 5:VLAN 创建了却没把端口加进去
- display vlan 看到 VLAN 存在,但端口列表为空,那它就是个“空 VLAN”,没用。
七、HCIP 考试要点速记
1、VLAN 隔离广播域:不同 VLAN 的广播互不影响。
2、802.1Q 标签:4 字节,12 位 VLAN ID。
3、Access / Trunk / Hybrid:区别和适用场景。
4、PVID:端口默认 VLAN ID,收到无标签帧时打上。
5、VLANIF:三层逻辑接口,实现跨 VLAN 路由。
6、单臂路由:路由器子接口 + 802.1Q 封装。
八、总结口诀
VLAN 切分广播域,Access 接电脑,Trunk 传多 VLAN,Hybrid 加花活。 PVID 打标签,VLANIF 通三层,不同
VLAN 默认不通,想通找网关。
备考心法
-
在 ENSP 里搭一个交换机,连两台 PC,配不同 VLAN,看能不能 ping 通(应该不通)。
-
再配 VLANIF,看通了没。
-
最后把两台交换机用 Trunk 连起来,跨交换机的同 VLAN 通信也搞明白。
扫一扫
198
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
