第讲华为交换机VLAN配置精要

1、华为交换机VLAN配置cch7/14/20221内容简介本讲主要一、介绍VLAN的根本含义与分类，并介绍了VLAN的实现原理与应用，在最后给出了一个具体的配置实例。2、isolate-user-vlan (PVLAN) 配置 7/14/20222学习目标801.1Q 协议与VLANVLAN的分类VLAN的优点 VLAN的原理实例7/14/20223801.1Q 协议与VLANVLAN的分类VLAN的优点 VLAN的原理实例isolate-user-vlan (PVLAN) 配置7/14/20224一、801.1Q 协议与VLAN802.1Q协议，即Virtual Bridged Local A

2、rea Networks虚拟桥局域网络协议，主要规定了VLAN的实现，下面我们首先讲述一下有关VLAN的根本观念。 7/14/20225VLANVirtual Local Area Network，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年公布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的播送域或称虚拟LAN，即VLAN，每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同

3、一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。7/14/20226trunkVLAN1VLAN2VLAN的优势在于VLAN内部的播送和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络平安性 。7/14/20227以前，各个厂商都声称他们的交换机实现了VLAN，但各个厂商实现的方法都不相同，所以彼此是无法互连，这样，用户一旦买了某个厂商的交换机，就没方法买其他厂商的了。而现在，VLAN的标准是IEEE 提出的802.1Q协议，只有支持相同的开放标准才能保证网络的互连互通，以及保护网络设备投资。 7/14/20228801.1Q 协议与

4、VLANVLAN的分类VLAN的优点 VLAN的原理实例isolate-user-vlan (PVLAN) 配置7/14/202291、根据端口划分VLAN这种划分VLAN的方法是根据以太网交换机的端口来划分，比方S2021的14端口为VLAN 1，58为VLAN 2，916为VLAN 3，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机的话，例如，可以指定交换机 1 的16端口和交换机 2 的14端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1Q协议规定的就是如何根据交换机的端口

5、来划分VLAN。7/14/202210优点与缺点优点：定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。缺点：是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。7/14/2022112、根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。7/14/202212优点与缺点优点：就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，缺点：是初始化时，所有的用户都必须进行配置，如

6、果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制播送包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。7/14/2022133、根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法可能是根据网络地址，比方IP地址，但它不是路由，不要与网络层的路由混淆。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF(开放最短路优先)等路由协议，而是根据

7、生成树算法进行桥交换7/14/202214优点与缺点优点：是用户的物理位置改变了，不需要重新配置他所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。缺点：是效率低，因为检查每一个数据包的网络层地址是很费时的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这也跟各个厂商的实现方法有关。 7/14/2022154、IP组播作为VLANIP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN

8、，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高，对于局域网的组播，有二层组播协议GMRP。7/14/202216小结通过上面可以看出，各种不同的VLAN定义方法有各自的优缺点，所以，很多厂商的交换机都实现了不只一种方法，这样，网络管理者可以根据自己的实际需要进行选择，另外，许多厂商在实现VLAN的时候，考虑到VLAN配置的复杂性，还提供了一定程度的自动配置和方便的网络管理工具。7/14/202217801.1Q 协议与VLANVLAN的分类VLAN的优点 VLAN的原理实例isolate-user

9、-vlan (PVLAN) 配置7/14/2022181、减少移动和改变的代价即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的VLAN定义方法都能做到这一点。 7/14/2022192、虚拟工作组VLAN的最具雄心的目标就是建立虚拟工作组模型，例如，在校园网中，同一个系的就好似在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的播送包也都限制在该虚拟LAN上，而不影响其他

10、VLAN的人，一个人如果从一个办公地点换到另外一个地点，而他仍然在该系，那么，他的配置无须改变，同时，如果一个人虽然办公地点没有变，但他换了一个系，那么，只需网络管理者那配置一下就行了。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个远大的目标，要实现它，还需要一些其他包括管理等方面的支持。 7/14/2022203、限制播送包按照802.1D透明网桥的算法，如果一个数据包找不到路由，那么交换机就会将该数据包向所有的其他端口发送，这就是桥的播送方式的转发，这样的结果，毫无疑问极大的浪费了带宽，如果配置了VLAN，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLA

11、N的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。 7/14/2022214、平安性由于配置了VLAN后，一个VLAN的数据包不会发送到另一个VLAN，这样，其他VLAN的用户的网络上是收不到任何该VLAN的数据包，从而就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的保密。 7/14/202222801.1Q 协议与VLANVLAN的分类VLAN的优点 VLAN的原理实例isolate-user-vlan (PVLAN) 配置7/14/202223一、VLAN与WAN广域网理论上，VLAN可以扩展到WAN上，但是，这是

12、不明智的做法，因为VLAN允许播送包发送出去，而且它没有很好的路由算法，经常是以播送的形式转发数据包，这样，毫无疑问，极大地浪费了WAN的珍贵的带宽，所以说，将基于端口的MAC地址和网络地址的VLAN扩展到WAN是不合理的，而基于多播的VLAN概念那么可以灵活有效的扩展到WAN。一般的以太网交换机实现的都是基于端口的VLAN，个别的会实现基于MAC地址和网络层地址的VLAN，而路由器中可以通过IGMP多播协议实现所谓的组播形式的VLAN 。 7/14/202224二、802.1Q协议定义了基于端口的VLAN的原理802.1Q协议定义了基于端口的VLAN模型，这是使用得最多的一种方式。下面我们重

13、点讲述一下交换机芯片是如何实现VLAN的。 7/14/202225标准以太网帧与802.1Q帧DASATypeDataCRCDASATypeDataCRCTag0 x8100 2 bytePriority-3bitCFI 1bitVLAN ID 12bit标准以太帧Vlan tag 帧每一个支持802.1Q协议的主机，在发送数据包时，都在原来的以太网帧头中的源地址后增加了一个4字节的802.1Q帧头，之后接原来以太网的长度或类型域。 7/14/202226各位解释802.1Q标签头包含了2个字节的标签协议标识TPID-Tag Protocol Identifier，它的值是8100 。Prio

14、rity：这3 位指明帧的优先级。一共有8种优先级，主要用于当交换机阻塞时，优先发送哪个数据包。7/14/202227各位解释Canonical Format Indicator( cfi )：这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的帧格式 。LAN Identified( VLAN ID ): 这是一个12位的域，指明VLAN的ID，一共4096个，每个支持802.1Q协议的主机发送出来的数据包都会包含这个域，以指明自己属于哪一个VLAN。所以最多支持4K 个VLAN。7/14/202228三、802.1Q帧的识别问题802.1Q标签头的4 个字节是新增加的，目前我们使用

15、的计算机并不支持802.1Q，即我们计算机发送出去的数据包的以太网帧头还不包含这4个字节，同时也无法识别这4个字节，将来会有软件和硬件支持802.1Q协议的。 7/14/202229Tag Aware端口与Access端口对于交换机来说，如果它所连接的以太网段的所有主机都能识别和发送这种带802.1Q标签头的数据包，那么我们把这种端口称为Tag Aware标签支持 端口；相反，如果该交换机端口说连接的以太网段有只要有一台主机不支持这种以太网帧头，那么交换机的这个端口我们称为Access端口，从目前的情况可以看出，所有的交换机的端口都属于后一种。 7/14/202230交换机是如何支持VLAN的

16、呢？1、接收过程：该过程负责接收数据包，数据包可以是带标签头的，也可以不带标签头，如果不带，交换时机知道根据该端口所属的VLAN添加上相应的标签头。 2、查找/路由过程：该过程根据数据包的目的MAC地址、VLAN 标识已经数据库中注册的信息决定把数据包发送到哪个端口。 3、发送过程：将数据包发送到以太网段上，如果该网段的主机不能识别802.1Q标签头，那么就将该标签头去掉，如果是与其他交换机互连的端口，一般不去掉。 7/14/202231例如：换机的14端口属于同一个VLAN，那么当 1 端口进来一个数据包是，交换机看到该数据包没有802.1Q标签头，那么，它会根据1号端口所属的VLAN组，自

17、动给该数据包添加一个该VLAN的标签头，然后再将数据包交给数据库查询模块，数据库查询模块会根据数据包的目的地址和所属的VLAN进行路由，之后交给转发模块，转发模块看到这是一个包含标签头的数据包，而实际上发送的端口所连的以太网段的计算机不能识别这种数据包，所以，它会再将数据包进来是交换机给添加的标签头再去掉。如果计算机支持这种标签头，那么就不需要交换机添加或删除标签头了，至于到底是添加还是删除要看交换机所连的以太网段的主机是否识别这种数据包，即该交换机的端口是哪种类型的端口。当然，对于两个交换机互连的端口一般都是Tag Aware端口，这样，交换机和交换机之间交换数据包时是无须去掉标签头的 。7

18、/14/202232801.1Q 协议与VLANVLAN的分类VLAN的优点 VLAN的原理实例isolate-user-vlan (PVLAN) 配置7/14/202233华为交换机-VLAN配置对VLAN进行配置时，首先应根据需求创立VLAN。VLAN配置包括： 开启/关闭设备VLAN特性 创立/删除VLAN为VLAN指定以太网端口为VLAN指定描述字符7/14/2022341、开启/关闭设备VLAN特性当交换机的VLAN特性被关闭后，交换机在报文交换的过程中将不再使用VLAN标记，从而失去了VLAN域的隔离功能。请在系统视图进行以下配置。操作命令开启/关闭VLAN特性vlan enabl

19、e | disable 缺省情况下，开启设备的VLAN特性。7/14/2022352、创立/删除VLAN创立VLAN时，如果该VLAN已存在，那么直接进入该VLAN视图；如果该VLAN不存在，那么此配置任务将首先创立VLAN，然后进入VLAN视图。请在系统视图下进行以下配置。操作命令创立VLAN并进入VLAN视图 vlan vlan_id删除已创立的VLAN undo vlan vlan_id to vlan_id | all 需要注意的是，缺省VLAN即VLAN 1不能被删除。7/14/2022363、为VLAN指定以太网端口请在VLAN视图下进行以下配置。操作命令为指定的VLAN增加以太网

20、端口port interface_list删除指定的VLAN的某些以太网端口undo port interface_list缺省情况下，系统将所有端口都参加到一个缺省的VLAN中，该VLAN的ID为1。需要注意的是，Trunk和Hybrid端口只能通过以太网端口视图下的port和undo port命令参加VLAN或从VLAN中删除，而不能通过本命令实现。7/14/2022374、为VLAN指定描述字符在VLAN视图下进行以下配置。操作命令为VLAN指定一个描述字符串description string恢复VLAN的描述字符串为缺省描述undo description缺省情况下，VLAN缺省描述

21、字符串为该VLAN的VLAN ID，例如“VLAN 0001 7/14/2022385、 VLAN显示和调试在完成上述配置后，在所有视图下执行display命令可以显示配置后VLAN的运行情况，通过查看显示信息验证配置的效果。操作命令显示VLAN相关信息display vlan vlan_id | all | static | dynamic 7/14/2022397、案例六：配置交换机的Vlan1、组网要求 某一个企业网络用一台交换机把所有的主机连接起来组成局域网，在企业网中某些重要部门需要得到平安性的保证，如财务部的就不能被公司内的其他员工访问到，要求和公司的其他部门之间物理上隔开，互相不

22、能直接访问。要到达这样的目的就必须在交换机中划分VLAN，把财务部和其他员工的主机分开。划分VLAN后不同的VLAN相当于是物理上隔开的两个网络。 7/14/2022402、根本思路：把财务部划分到一个VLAN，把市场部划分到另一个VLAN。假设市场部有三个主机，分别连接到交换机的1，2，3端口，而财务部有三台主机，分别接到交换机的4，5，6端口，把1，2，3端口划分到一个VLAN 2，把4，5，6划分到另一个VLAN 3里。 7/14/2022413、组网图7/14/2022424、配置步骤 system-view /进入系统视图Quidway-view Vlan 2 /建立并进入Vlan

23、2Quidway-vlan2 port ethernet0/1 to ethernet0/3 /把E0/1 到 E0/3 参加到vlan 2中Quidway-vlan2 description SCB-office /描述字符串为市场部办公室Quidway-vlan2 Vlan 3 /建立并进入Vlan 3 Quidway-vlan3 port ethernet0/4 to ethernet0/6 /把E0/1 到 E0/3 参加到vlan 2中Quidway-vlan3 description CWB-office /描述字符串为财务部办公室 7/14/2022435、验证步骤(1)首先在设

24、置各计算机的IP地址Pc3 10.0.0.3 255.0.0.1 7/14/202244(2)在没有执行设置步骤前，各计算机应该能够可以相互ping通在pc1 上执行 ping 10.0.0.2 能通在pc1 上执行 ping 10.0.0.6 能通这时所有的计算机都能相互ping 通3执行4配置步骤这时在pc1 上执行 ping 10.0.0.2 能通在pc1 上执行 ping 10.0.0.6 不能通说明vlan 起做用了在交换机上执行Quidway display vlan all /显示所有的Vlan 信息可以看到e0/1 e0/2 e0/3 属于Vlan2 e0/4 e0/5 e0/

25、6 属于 Vlan 3如果不正确，请检查上以各步是哪一步做错了！ 7/14/202245801.1Q 协议与VLANVLAN的分类VLAN的优点 VLAN的原理实例isolate-user-vlan (PVLAN) 配置7/14/202246 一、isolate-user-vlan简介 isolate-user-vlan是华为公司系列交换机的一个特性，通过该特性可实现网络中VLAN资源的节约。isolate-user-vlan采用二层VLAN结构，在一台交换机上设置isolate-user-vlan和Secondary VLAN两类VLAN。一个isolate-user-vlan和多个Seco

26、ndary VLAN对应，isolate-user-vlan包含所对应的所有Secondary VLAN中包含的端口和上行端口，这样对上层交换机来说，只须识别下层交换机中的isolate-user-vlan，而不必关心isolate-user-vlan中包含的Secondary VLAN，简化了网络配置，节省了VLAN资源。同时，用户可以采用isolate-user-vlan实现二层报文的隔离，即为每个用户分配一个Secondary VLAN，每个Secondary VLAN中只包含该用户连接的端口和上行端口；如果希望实现用户之间二层报文的互通，只要将这些用户连接的端口划入同一个Seconda

27、ry VLAN中即可。7/14/202247二、 isolate-user-vlan配置isolate-user-vlan配置包括：配置isolate-user-vlan配置Secondary VLAN配置isolate-user-vlan和Secondary VLAN间的映射关系以上任务都是必选的，一旦启用isolate-user-vlan就必须配置 7/14/2022481、创立 isolate-user-vlan请在系统视图下进行创立VLAN的配置，在VLAN视图下进行设置VLAN类型为isolate-user-vlan及给该VLAN添加端口的配置。操作命令创立VLANvlan vlan

28、-id设置VLAN类型为isolate-user-vlanisolate-user-vlan enable取消VLAN为isolate-user-vlan的设置undo isolate-user-vlan enable向isolate-user-vlan中添加端口port interface-list7/14/202249注意一台交换机可以有多个isolate-user-vlan，可以为每个isolate-user-vlan指定多个端口。isolate-user-vlan不能和Trunk端口同时配置，即如果交换机上配置了isolate-user-vlan，就不能配置Trunk端口；如果配置了T

29、runk端口，就不能配置isolate-user-vlan。此外，上行端口必须添加到了isolate-user-vlan中。 7/14/2022502、 配置Secondary VLAN可以使用下面的命令来创立Secondary VLAN，并为Secondary VLAN指定端口。请在系统视图下进行以下配置。操作命令创立Secondary VLANvlan vlan-id向Secondary VLAN中添加端口port interface-list可以向每一个Secondary VLAN中添加多个端口非上行端口。7/14/2022513、 配置isolate-user-vlan和Seconda

30、ry VLAN间的映射关系可以使用下面的命令来建立isolate-user-vlan和Secondary VLAN之间的映射关系。请在系统视图下进行以下配置。操作命令配置isolate-user-vlan和Secondary VLAN间的映射关系isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist to secondary_vlan_numlist 取消配置isolate-user-vlan和Secondary VLAN间的映射关系undo isolate-user-vlan isolate-user-

31、vlan_num secondary secondary_vlan_numlist to secondary_vlan_numlist 7/14/202252注意：需要注意的是，执行该命令前，isolate-user-vlan和Secondary VLAN中都必须已经包含了端口。最多可以向一个isolate-user-vlan中映射30个Secondary VLAN。建立映射关系后，向isolate-user-vlan和Secondary VLAN中添加和删除端口以及删除VLAN的操作被系统禁止。只有在解除了映射关系后才可以执行。undo isolate-user-vlan命令如果不带参数se

32、condary secondary_vlan_numlist的话，就解除所有Secondary VLAN和指定isolate-user-vlan的映射关系；如果带有该参数的话就解除参数指定的Secondary VLAN和指定isolate-user-vlan的映射关系。 7/14/2022534、isolate-user-vlan显示和调试在完成上述配置后，在所有视图下执行display命令可以显示配置后isolate-user-vlan的运行情况，通过查看显示信息验证配置的效果。操作命令显示isolate-user-vlan和Secondary VLAN的映射关系display isolat

33、e-user-vlan isolate-user-vlan_num 7/14/202254三、isolate-user-vlan典型配置举例案例七1. 组网需求Switch A交换机下接Switch B、Switch C交换机。Switch B上的VLAN5为isolate-user-vlan，包含上行端口Ethernet1/1和两个Secondary VLAN：VLAN2和VLAN3，VLAN3包含端口Ethernet0/1，VLAN2包含端口Ethernet0/2；Switch C上的VLAN6为isolate-user-vlan，包含上行端口Ethernet1/1和两个Secondary

34、 VLAN：VLAN3和VLAN4，VLAN3包含端口Ethernet0/3，VLAN4包含端口Ethernet0/4。从Switch A 看，下接的Switch B、Switch C都只有一个VLAN：VLAN5和VLAN6。7/14/2022552. 组网图7/14/2022563. 配置步骤下面只列出Switch B和Switch C的配置过程。配置Switch B：# 配置isolate-user-vlan。Quidway vlan 5Quidway-vlan5isolate-user-vlan enableQuidway-vlan5port ethernet1/1# 配置Secondary VLAN。Quidway-vlan5 vlan 3Quidway-vlan3 port ethernet0/1 7/14/20225