交换机Tag VLAN功能和配置

1、华为3Com公司交换机Tag VLAN功能和配置本文简要介绍了华为3Com公司以太网交换机的Tag VLAN的功能和配置，以使用户 更加灵活的掌握交换机的VLAN的概念和应用。在没有Tag Vlan之前，我们先看一下下面的例子。假设组网如下：S2016in UN rj.CGED3 0 r.ir：CE.DPC1PC23普通用户西业用户1-10端口接的都是普通用户，1123接的都是商业用户。要求：普通用户的VLAN信息不需要上传，而商业用户必须把VLAN信息上传上去。对123端口我们可以进行如下配置： 10 端口 ：属于 VLAN1； 23端口：各属于一个VLAN。但是对于上行口 24 口我们却没

2、有办法进行配置，因为：1）、如果我们将它设为UNTAGGED方式，则商业用户的VLAN信息无法透传上去;2）、如果我们将它设为TAGGED方式，则普通用户的VLAN信息也一起被透传上去;针对这种情况，一个很好的解决方法就是使用Tag Vlan：Tag Vlan是通过软件让一个UNTAGGED端口能够透传指定的VLAN信息，即在一 个UNTAGGED端口上一些带指定VLAN信息的数据?能够被透传。现在我们就可以在把上 行口 24 口划在VLAN1中，并在24 口上配置Tag Vlan，让商业用户的VLAN信息透传上 去，这样就实现了用户的要求。在QuidwayS3026/2016/2008等交换

3、机中提供了一种功能：TAG VLAN。它的主要作用 是解决在Access端口上透传带VLAN ID的数据报文。考虑如下组网：口3026ip apPC1 PC2PC1是普通用户，接在端口 1上，属于VLAN10； PC2是特殊用户，接在端口 9上，属 于 VLAN20。24 口 上行。要求：普通用户的VLAN信息不用透传到上层交换机，而特殊用户的VLAN信息要透 传到上层交换机。这样的组网要求我们就可以采用TAG VLAN功能来实现。首先，我们将1 口和24 口划分在VLAN 10里，然后再在端口 24 （为ACCESS端口）上设置:S3026(config-if-Ethernet0/24)#

4、tag vlan 20这样VLAN ID信息为20的数据报文就能从24 口透传上去了。管理型交换机IEEE 802.1Q VLAN设置应用实例一 VLAN的概念VLAN(Virtual Local Area Network)即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理 地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案 的802.1Q协议标准草案。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了 VLAN 头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是

5、一个虚 拟局域网。虚拟局域网的好处是控制网络的广播风暴、确保网络安全、简化网络管理、减少了对路由器的需求、 灵活的网络分组、减少网络解决方案费用、更合理的利用服务资源。VLAN是局域交换网的灵魂。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便 和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的 潮流。二VLAN的划分方式VLAN的定义方式有：物理端口、MAC地址、协议、IP地址和用户自定义过滤方式等。802.1Q是 VLAN的标准，是将VLAN ID封装在帧头，使得帧跨越不同设备，也能保留VLAN信息。不同厂家的交 换机只要支持802

6、.1Q VLAN就可以跨越交换机，可以统一划分管理。三802.1q Tag VLAN的设置实例我司的大多数管理型交换机都支持基于端口的VLAN和基于802.1q协议的VLAN功能。基于端口规 则的VLAN这是最早的VLAN类型，也是最简单的VLAN，可以将局域网交换机其中的几个端口指定成一 个 VLAN。以下主要介绍管理型交换机的IEEE 802.1Q VLAN设置，设置IEEE802.1Q VLAN大体分三步： 1、选择VLAN的类型。2、设置VLAN组的划分。3、端口 PVID值的设置。下面用TL-SL3226P交换机 举三个实例来说明802.1Q VLAN的划分方法。例1：在TL-SL3

7、226中用IEEE 802.1Q在同一交换机内划分两组，并同时共享一个服务器。A12服务器-B11-步骤1：在VLAN管理下选择VLAN配置模式为802.1q Tag VLAN如下图所示：23nll24 19. ali unQls 言2 指M ，.% 5 口？ 3 J- 4 ?Slot!VLAN模式配置VLAN模式：斯：迂函妍L&1：通| f提交）桐己置端口管理生成树协波IEEE3职.1渤议-*. VLAN粮式曾造 G-lobalPVIE!|- VLANggg MTU VLAN组步骤2:设置VLAN组的划分。选择VLAN管理菜单下的VLAN配置选项，出现VLAN的具体设置，在Tag VLAN

8、NO :（1-256）后面填入VLAN的顺序号，然后点击查看可以查看已设置的该VLAN的内容，在Tag VLAN ID :（1-4094）后面填入VLAN对应的VID值，可以在状态栏中选择Enable让此设置有效，选择Disable让此设置无效， 选择delete删除已设置的VLAN。在成员和端口规则中设置每个端口对应的规则，每个端口对应三种规则:Untag、Tag、Drop。在以下界面中要分别设置三次对应三个VLAN组：VLAN1( VID=1): 124 所有端口为 untag。VLAN2（VID=2）： 112，13 113 端口为 untag， 其它均为 Drop。VLAN3（VID=

9、3）： 13，1424 1324 端口为 untag，其它均为 Drop。.系筑配置 端口管理TPLINK生成树.协傻lEEESm疝&议宜VLA1W管理 VLAN模式配置 | - M Global PVID 卜奇TLAN曾擅 ! te mtu vumta .TrunlsgegI&MP相听SHMF协议安敏己置Tag VLAN No.:(1 - 256)步骤3：设置每个端口的PVID值。选择配置菜单下的端口管理，端口参数，出现每个端口的设置内容，如下图所示，在端口号的下拉列表中选择端口号，在缺省VLAN ID后面输入该端口对应的PVID值，每个端口的PVID值与它所要访问的VLAN组的VID是对应

10、的。在该界面中要分别设置所有端口对应的PVID值，本例中设置所有端口对应的PVID值为:端口 1端口 12： 2 端口 13： 1 端口 14端口 24： 3例2：在TL-SL3226P中用802.1Q规则设置跨交换机的VLAN。交换机A的1 口与交换机B的1 口 集联，交换机A的2-12端口与交换机B的2-12端口互访，交换机A的13-24端口与交换机B的13-24端 口互访。步骤1 ：在交换机A和交换机B中分别选择VLAN管理下的VLAN模式配置为802.1q Tag VLAN步骤2：在交换机A和交换机B中分别设置VLAN组的划分。在交换机A和交换机B中分别做以下VLAN的设置：VLAN

11、1：（VID=1）交换机A： 1 1 2 1端口规则为tag，212端口规则为untag，其它端口规则为Drop。交换机B： 1 1 2 1端口规则为tag, 212端口规则为untag，其它端口规则为Drop。VLAN 2： (VID=2)交换机A： 1, 1 32 4 1端口规则为tag, 1324端口规则为Untag，其它端口规则为Drop。交换机B： 1, 1 32 4 1端口规则为tag，1324端口规则为Untag，其它端口规则为Drop。步骤3：设置每个端口的PVID值。选择端口管理下面的端口参数，如下图所示，在端口号中选择端口，在缺省VLAN ID值中填入端口 对应的PVID值

12、。每个端口对应的PVID值应和它所访问的VLAN组的VID值一致。在该界面中要分别设置所有端口对应的PVID值，本例中设置所有端口对应的PVID值为：端口 2端口 12： 1 端口 13-端口 24： 2例3：交换机A的1端口与交换机B的1端口级联，交换机A的212 口与交换机B的212可以 互访，交换机A的1323与交换机B的1324可以互访，交换机A的24端口连接服务器，可以被所有 端口访问。设置以下VLAN组:VLAN1：(VID=1)交换机A：包括端口： 124 1端口为tag，其它端口为untag； 1端口和24端口 PVID=1。交换机B：包括端口： 124 1端口为tag，其它端

13、口为untag； 1端口 PVID=1。VLAN2： (VID=2)交换机A：包括端口： 112, 24 1 端口为 tag，212 和 24 端口为 untag，其它端口为 Drop； 212 端口 PVID=2。交换机B：包括端口： 112 1 端口为 tag, 212 端口为 untag，其它端口为 Drop； 212 端口 PVID=2。VLAN3： (VID=3)交换机A：包括端口： 1，1323, 24 1 端口为 tag，1324 端口为 untag，其它端口为 Drop； 1323 端口 PVID=3。交换机B：包括端口 ： 1，1324 1 端口为 tag，1324 端口为

14、untag，其它端口为 Drop ； 1324 端口 PVID=3。提高传输效率三层交换及VLAN设置评论论坛2006-08-17作者:网管整理来源:bitsCN.comPV:1621关键词：设置交换传输效率提高VLAN交换机路由子网企业笔者在参与一些公司的网络工程建设中，发现一些公司对交换机的选择大多依然停留在过 去，完全不考虑企业内网基于不同部门的子网划分，只要一般百兆交换机，把所有的电脑接 起来就行。这要是在ADSL等宽带技术还没有普及之前，企业接入广域网需要专门的企业级传统 路由器，如；CISCO 2600系列接入路由器，来接入帧中继(FRAME RELAY)、数字数据网 (DDN)、

15、x.25等。而企业要部署VLAN，要具有VLAN划分功能的交换机来与传统路由器 配合，由传统路由器来做VLAN间通信的路由，那么面对昂贵的传统路由器，小企业无力 承受，这是可以理解的。但现在宽带技术普及之后，一般的企业都会选择ADSL或城域网， 除非是非常传统的行业企业，如银行业还是采用DDN。同时担当接入的网关设备也不在唯 一的由传统路由器来承担，而是出现了种类繁多的宽带接入设备，如：宽带路由器、VPN 防火墙等。代替传统路由器做VLAN路由的三层交换机已经出现，基于硬件的路由转发比 传统路由器基于软件的路由转发效率更高、更快。bitsCN.Com现在企业部署VLAN有了更好的选择，那就是由

16、三层交换机和有VLAN功能的二层 接入交换机来配合实现。并且随着生产三层交换机的厂家越来越多，市场供应的丰富，使原 来价格也高高在上的三层交换机将很快走向平民化，特别是千兆三层交换机在高端市场的普 及，促使百兆三层交换机向中低端市场普及，并且价位降到一般中小企业有能力接受的程度。 因此在这里进一步点出本文的题目“三层交换，你也可以”的主旨。在网络核心部署三层交 换对中小企业已不是什么新鲜话题。bitsCN#com中国网管联盟划分VLAN子网的好处bitsCN.ComVLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN分 成不同小的逻辑子网，

17、每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物 理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为 交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的 MAC数据库建立MAC地址表，而广播不能跨越不同网段。通过划分VLAN子网，能划小 了广播域，避免了数据碰撞在大的物理LAN内产生严重后果的可能，也避免了广播风暴的 产生。提高交换网络的交换效率，保证网络稳定。提高网络安全性，通过划分/LAN，LAN 被划分不同子网段，因此不能直接通信。必要的通信必须经过路由来实现，因此可在路由器 （或三层交换机）上配置访问列表来进行

18、跨子网段的授权访问，从而提高企业内部网络访问 的安全性。方便网络管理：采用VLAN技术来划分企业网络，一个VLAN可以根据部门、 项目组或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接 的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制。 VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的 进行网络监控。bitsCNcom因为各个子网产生的广播将被限制在小的虚拟局域网内。当LAN中的不同VLAN间 进行相互通信时，由于处于不同的IP子网段，不能象原先大的LAN那样直接通信，因此需 要路由来转发，这时就需要增

19、加路由设备一一要实现路由功能。三层交换技术bbs.bitsCN.com中国网管论坛VLAN和路由是挛生兄弟，有VLAN就必有路由。bitsCNcom在没有出现三层交换机以前，VLAN间的通信需要昂贵的传统路由器来配合工作。在 企业网中，不同VLAN子网之间的通信频繁发生，而路由器是基于软件的路由选择操作， 本来效率就不高，如果路由器要对每一个数据包都路由一次，也就是“每次转发，每次路由”， 随着需要路由的数据量增大，传统的路由器将不堪重负，于是就成为VLAN之间通信的瓶 颈。www_bitscn_com中国.网管联盟三层交换机则把网络通信中的二层交换技术和三层路由（或称三层转发）技术结合在 一

20、起，并通过ASIC技术达到线速交换，大幅度提高了设备数据的包转发能力，消除了转发 瓶颈。同时通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能有效保证 网络资源的充分利用，切实保证满足各类用户的应用需求。三层交换机在对第一个数据流进 行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根 据映射表直接进行二层交换，也就是“一次路由，多次交换”，这样大大提高了数据包转发 的效率，因而提高了 VLAN网络的整体性能。bitsCN_com有了三层交换机，企业做VLAN子网的划分时，设备上的付出就相对经济得多，网络 的VLAN间数据路由转发性能更加高效。bitsC

21、N.Comwwwbitscncom小企业的三层交换部署实例bitsCNcom从上面两个小节我们知道了划分VLAN子网对于一个企业局域网的重要性和必要性， 而划分VLAN的必要配套工程，就是要部署三层交换机。目前三层交换机的市场发展，品 牌倍出，但是价位还是有些高，如百兆三层交换机一般在8000-9000元左右，但个别低价的 还是有的，如：D-Link DES-3326SR报价4000元，这使我们100个以内的小型企业也一样 可以部署高效安全的VLAN网络。DLbitsCN_com网管软件下载本案我们就选择这款非常经济的三层交换机，在网络的核心部署一台D-Link DES-3326SR三层交换机

22、，接入层则由若干台D-Link DES-3226S百兆可堆叠二层交换机来 担任，。中国网管联盟bitsCN.comDES-3326SR是一款可堆叠多层可路由交换机，它在一个机箱里集成了二层线速交换和 三层IP包路由以及服务质量（QoS）功能。它提供24个10/100 Mbps端口，一个用于快速 以太网、千兆模块、堆叠的扩展插槽，8.8Gbps交换架构，8K MAC地址表，2K路由表， 6.6Mpps三层包转发速率，16MB RAM缓存。支持冗余备份电源，可通过高速堆叠线缆堆 叠在一起，最多可堆叠13个单元。允许8个10/100Mbps端口干路提供聚合带宽。BBS.bitsCN.com 网管论坛

23、通过网络分段，支持IEEE 802.1Q VLAN Tagging的工作站能被分组到不同的VLAN中。 这款交换机也支持GVRP，以此来进行VLAN配置信息的自动发布。bitsCN.nET*中国网管博客支持 RIP-1,RIP-2,OSPF路由协议，DVMRP，PIM Dense mode组播路由协议。 bitsCN_com于端口和基于MAC地址的802.1x特性使用户的每次接入请求都能进行认证。多层的访 问控制列表（ACL）。支持优先级队列和IP组播（IGMP snooping），服务质量（QoS）能保 证成功地完成像视频会议这样的对延迟敏感的应用。BBS.bitsCN.com 网管论坛支持

24、802.1p优先队列控制，从第二层到第四层的多层信息都能被用来为数据包设置优 先级。侦听IGMP，控制广播，交换机动态地配置端口使之把IP组播数据只转发给那些和 组播主机相关的端口。SNMPv.1,v.2c，v.3网络管理。能提供RMON监测和SYSLOG以完成有效的中心管理。交 换机也提供命令行接口（CLI）和基于Web的GUI。bbs.bitsCN.com子网规划及网络拓朴图BBS.bitsCN.com网管论坛VLAN的划分应与IP规划结合起来，使得一个VLAN接口 IP就是对应的子网段就是 某个部门的子网段，VLAN接口 IP就是一个子网关。VLAN应以部门划分，相同部门的主 机IP以V

25、LAN接口 IP为依据划归在一个子网范围，同属于一个VLAN。这样不仅在安全 上有益，而且更方便网络管理员的管理和监控。注意：各VLAN中的客户机的网关分别对 应各VLAN的接口 IP。bitsCN_com在这企业网中计划规划四个VLAN子网对应着四个重要部门，笔者认为这也是小企业 最普遍的部门结构，分别是：bitsCN#com中国网管联盟VLAN10综合行政办公室;VLAN20销售部；VLAN30财务部；VLAN40数据中心（网络中心）。BBS.bitsCN.com 网管论坛划分VLAN以后，要为每一个VLAN配一个“虚拟接口 IP地址”。bitsCN.ComVLAN10VLAN20VLAN

26、30VLAN40 bitsCN#com 中国网管联盟VLAN及路由配置BBS.bitsCN.com 网管论坛1.DES-3326SR三层交换机的VLAN的配置过程：bitsCN.nET*中国网管博客（1）创建 VLANDLbitsCN_com网管软件下载DES-3326SR#Config vlan default delete 1 -24 口删除默认 VLAN（default）包含的端口 1-24DES-3326SR#Create vlan vlan10 tag 10 口创建 VLAN 名为 vlan10，并标记 VID 为 10DES-3326SR#Create vlan vlan20 ta

27、g 20 创建 VLAN 名为 vlan20，并标记 VID 为 20DES-3326SR#Create vlan vlan30 tag 30 创建 VLAN 名为 vlan10，并标记 VID 为 30DES-3326SR#Create vlan vlan40 tag 40 创建 VLAN 名为 vlan10，并标记 VID 为 40 bitsCNcom（2）添加端口到各VLAN www_bitscn_com中国.网管联盟DES-3326SR#Config vlan vlan10 add untag 1-6 口把端口 1-6 添加到 VLAN10DES-3326SR#Config vlan

28、vlan20 add untag 7-12 口把端口 1-6 添加到 VLAN20DES-3326SR#Config vlan vlan30 add untag 13-18 口把端口 1-6 添加到 VLAN30DES-3326SR#Config vlan vlan40 add untag 19-24 口把端口 1-6 添加到 VLAN40（3）创建 VLAN 接口 IPDES-3326SR#Create ipif if10 /24 VLAN10 state enabled 创建虑拟的接 口 if10给名为VLAN10的VLAN子网，并且指定该接口的IP为/24。创建后 enabled激活该接口。bitsCN.nET*中国网管博客同样方法设置其它的接口 IP：bitsCN.nET*中国网管博客DES-3326SR#Create ipif if20 /24 VLAN20 state enabledDES-3326SR#Create ipif if30 /24 VLAN30 state enabledDES-3326SR#Crea