路由交换技术课件ch04-企业部门VLAN间隔离

项目4企业部门VLAN间隔离目录01学习目标02项目概述03思维导图04知识准备05项目实施06项目小结07拓展知识08知识巩固知识目标1．理解虚拟局域网（VirtualLocalAreaNetwork，VLAN）技术的背景及概念。2．理解802.1Q帧的组成。3．理解VLAN划分的不同划分方式技能目标1．能够根据网络规划拓扑图确定交换机接口的类型。2．能够熟练开展VLAN的基本配置。3．能够根据网络拓扑及VLAN划分要求完成VLAN划分。素养目标1．培养学生自主探究精神，养成不怕困难攻坚克难的品质。2．培养学生实际操作中的规范意识和质量意识。3．培养学生的团队协作意识，并提升学生认真负责、精益求精的工作作风。1学习目标2项目概述蓝箭公司由于业务拓展，公司规模不断扩大，建立了财务部，人力资源部，技术部等多个下属部门，办公人员越来越多，各种网络终端数量不断增加，但是公司内部只有一个网段。由此引发了很多问题，例如，当大量员工使用各种终端上网时，经常出现IP地主冲突的问题，影响办公；网络访问速度降低，尤其是使用网络的终端数量较多时，网络速度降低的十分明显，出现网络阻塞等现象；甚至当某一员工的计算机感染病毒时，会导致网络内其他未有防护措施的终端也感染病毒。因此，根据网络工程师的建议对公司网络进行优化，蓝箭公司通过划分VLAN的方式，将每一个部门单独划分为一个VLAN，根据需求通过使用交换机等网络设备将不同的不同部门的终端划分到不同的VLAN中，从而解决上述问题。本章我们就一起来学习VLAN的相关知识。3思维导图本项目主要学习OSPF协议，其所含知识点如图所示。图4-1VLAN知识点4知识准备本项目主要介绍使用VLAN来对对蓝箭公司现有的网络进行改造，解决其目前遇到的问题。主要介绍广播域及广播帧、CSMA/CD机制、VLAN的基本概念、端口类型、划分方法等。VLAN在各种中大型网络架构中经常用到。通过使用VLAN技术，可以将一个局域网划分为若干个虚拟的局域网，从而大大的降低网络中的广播帧数量，避免产生广播风暴，提升网络利用率。同时，通过划分VLAN，配合相应的网络访问策略或安全协议实现不同VLAN间的隔离，可以有效的保护不同VLAN中的机器，实现信息的安全及网络的健壮。VLAN技术是一种典型的“分治”应用。对于计算机专业而言，“分治”的思想在各个方面都广泛应用。通过引入分治，可以有效地将大问题拆分为若干个小问题，分析解决每一个小问题，最终解决大问题。我们通过学习本项目，在掌握VLAN技术的同时也需要建立分治的问题解决方法，并将其运用到其他知识的学习中，不断提升分析问题解决问题的能力。4知识准备我们知道，在局域网（LocalAreaNetwork，LAN）中传输数据时，使用的是MAC地址。具体来讲，目的地址为接收方的MAC地址，源地址为发送放的MAC地址，所传递的数据采用帧的格式进行封装。如果将目的MAC地址设置为全1，则其为广播帧，也就是LAN中的设备都可以侦听到。而广播域，指的是广播帧所能传递到的范围。以图4-2为例，在这个网络拓扑中共有5个二层交换机，每个交换机连接了若干个PC（图中用2台PC模拟），这些PC和交换机都属于同一个LAN中。现在假设第三个交换机的PC6需要与第5个交换机的PC10进行第一次通信。因此其在MAC帧的头部必须写入PC10的MAC地址，才能将数据发送给PC10。因此PC6第一步需要通过APR请求获取PC10的MAC地址，然后才能和其通信。根据ARP协议的特性，其是以广播的形式发送。所以PC6首先发送一个广播帧ARP，交换机3收到PC6发送的ARP请求广播帧后，会将它转发到所有的其他接口。于是其他交换机都收到了该ARP请求并转发，最终，PC6的ARP请求会被该LAN中所有的PC都收到。4.1广播帧及广播域图4-2无VLAN的网络架构示意图4知识准备进一步分析这个过程。PC6的目的只是为了通过发送一个ARP请求从而获得PC10的MAC地址，然后在LAN中将数据发送给它。确切地说，这个ARP请求，只需要PC10应答即可。但是实际上，由于所有的设备都处于同一个LAN，根据局域网中广播消息的特性，这一个APR会发送到整个LAN中，所有的设备都会收到这个请求。这样一来，第一，每个交换机都会将该ARP帧通过其端口发送出去，每一个端口一个ARP帧，因此网络中会有N个ARP帧，而这每一个ARP帧会占用网络带宽；第二，由于是广播帧，因此每个终端PC收到这个帧之后，都会对其进行处理，而实际上只有PC10需要处理，因此这又消耗了其他PC的计算存储及网络资源。这样一个过程，就造成了网络带宽、交换机转发以及PC资源的无意义浪费。这个过程可以类比同学们日常生活中的微信群的群聊和私聊。群聊就是广播，群里面的每位同学都会收到这个信息，私聊就是点对点，只有一发送方和接收方收到信息。假设某位同学A想私聊群里的某位同学B，但是其并没有B同学的微信。因此，A只能在群里通过“广播”的方式发送消息。这个消息的目的只是为了联系上B同学，群内的每一个同学都会收到这个消息，这个时候，群内所有同学的手机接收到该消息后会发送一个通知，群内的同学点开通知查看信息的内容，结果发现与自己无关，浪费了手机的资源，浪费了自己的时间。4.1广播帧及广播域4知识准备1.VLAN的概念在IEEE802.1Q标准中，对VLAN的定义为：VLAN，全称为VirtualLAN，用于在二层交换机上分割广播域。VLAN是由一些局域网网段构成的，与物理位置无关的逻辑网段，这些网段具有某些共同的需求。每一个VLAN的帧都有一个明确的标识符，用于说明这个帧属于哪个VLAN。这个定义包含如下几个信息。（1）VLAN基于交换式网络，主要依托于交换机。（2）通过使用VLAN，可以将网络中的设备划分为若干个逻辑上工作组，每一个逻辑工作组就是一个VLAN，并且他们不需要在物理位置上有相关性。（3）使用VLAN进行数据通信时，除了通信双方的地址之外，数据帧中会有一个字段，明确标识该数据帧属于哪个VLAN。4.2VLAN的概念和特性4知识准备2.VLAN的特性VLAN的特性主要包括以下5点。（1）VLAN工作在数据链路层，同一个VLAN内部，计算机可以直接进行二层通信。（2）每一个VLAN都是一个独立的局域网，都属于一个广播域。在这个VLAN中，任一设备发送的广播信息，只在这个VLAN中传播，不会蔓延到其他VLAN中，这样可以节省带宽，提高网络处理能力。（3）每一个VLAN都有一个独一无二的VLAN号，并且不同的VLAN之间不能直接通信，必须通过第三层路由完成，可以依托路由器，也可以使用三层交换机。（4）当某一VLAN中的设备发生病毒感染或其他故障时，会被限制其所在的VLAN内，不会影响其他VLAN的正常工作。（5）由于VLAN是用户和网络资源的逻辑组合，因此可根据应用需求将资源和用户进行重新组合，从而实现网络的高效利用，信息的按需收发4.2VLAN的概念和特性4知识准备传统的以太网帧没有包含某个特定的字段，用于标识该数据帧属于哪个VLAN。但划分VLAN后，如果沿用传统的数据帧格式，那么交换机就无法知道该数据帧应发送到哪个VLAN中。图4-3为一个划分了2个VLAN的简单网络拓扑。两个交换机连接了若干台PC（这里用4台PC代替），在交换机上方的PC属于VLAN20，在交换机下方的PC属于VLAN40。现在，PC2发送一个数据至PC4，LSW1收到该帧后将其转发至LSW2，LSW2收到后需要确定该帧应该发送到哪个VLAN中。4.3VLAN标签及802.1Q帧图4-3划分了2个VLAN的简单网络拓扑4知识准备1988年，IEEE批准了802.3ac标准，允许在LAN帧格式中插入一个4字节的标识符，称之为VLAN标记（VLANTAG），用于标识发送该数据帧的设备属于哪一个VLAN。VLANTAG插入在MAC帧的源地址和类型字段之间，如图4-4所示。VLANTAG的前两个字节总是设置为0x8100，对于网络设备来讲，其数据链路层检测到MAC地址的源地址字段后面的两个字节是0x8100时，就可以获悉该帧为采用VLAN技术的数据帧。在0x8100后面的两个字节共16位数据为描述该VLAN信息的内容，其中前3位为用户优先级字段PRI，取值范围为0～7，值越大优先级越高。第4位为规范格式指示符CFI，表示MAC地址在不同的传输介质中是否以标准格式进行封装，用于兼容以太网和令牌环网，CFI取值为0表示MAC地址以标准格式进行封装，为1表示以非标准格式封装，以太网环境中默认设置为0。后面的12位是VLAN的标识符VLANID，取值范围是0～4095。由于0和4095为协议保留取值，所以VLANID的有效取值范围是1～4094。。4.3VLAN标签及802.1Q帧4知识准备交换机利用VLAN标签中的VID来识别数据帧所属的VLAN，广播帧只在同一VLAN内转发，这就将广播域限制在一个VLAN内，因此通过使用VLANID，可以唯一标识当前这个数据帧属于哪个VLAN。插入了Tag后的帧，我们称之为Tagged数据帧，反之称之为Untagged数据帧。这里有一点需要大家注意，计算机无法识别Tagged数据帧，因此计算机处理和发出的都是Untagged数据帧；为了提高处理效率，交换机内部处理的数据帧一律都是Tagged帧。4.3VLAN标签及802.1Q帧4知识准备现在，我们将该交换机进行VLAN的配置，在其上建立两个VLAN，分别为VLAN10和VLAN20，并且让端口1和4属于VLAN10，连接的是A和D两个PC，端口2和3属于VLAN20，连接的是B和C两个PC。这个时候，如果A发送一个广播帧，那么此时交换机收到该数据帧后，从中读取VLANID，可以得出其来自于VLAN10，因此只会把这个广播帧在VLAN10中进行广播，也就是只有D会受到该广播帧。同样的，如果C发送了一个广播帧，交换机分析得到其VLANID为VLAN20，那么此时只有B能够收到。我们把这个过程进一步简化。可以将划分了VLAN的交换机，逻辑抽象为内部内嵌了若干个小的交换机。每个小交换机连接一个VLAN，因此，连接在同一个小交换机的PC属于同一个LAN，同一个广播域，其可以直接通信。不同的小交换机，连接不同的VLAN，因此，不能通信。4.4VLAN的机制4知识准备1.基于端口划分基于端口划分又称为静态方式划分，其是根据交换机的端口来划分VLAN。通过预先给交换机的每个端口配置不同的PVID，当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的标签，然后数据帧将在指定VLAN中传输。每个交换机的接口都应该配置一个PVID，取值范围为1～4094。到达这个端口的Untagged帧将一律被交换机划分到PVID所指代的VLAN。默认情况下，PVID的值为1。这种划分原则简单而直观，实现容易，是目前实际的网络应用中最为广泛的划分VLAN的方式。但由于需要一个个端口地指定，因此当网络中的计算机过多时，设定操作就会变得烦杂无比。并且，计算机每次变更所连端口，都必须同时更改该端口所属VLAN的设定，这种方式这不适合频繁改变拓补结构的网络。4.5VLAN的划分方式4知识准备2.基于MAC地址划分基于MAC地址划分，是根据数据帧的源MAC地址来划分VLAN。通过预先配置MAC地址和VLANID映射关系表，当交换机收到的是某个MAC地址发送来的Untagged数据帧时，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。这种划分实现稍微复杂，但灵活性得到了提高。当计算机接入交换机的端口发生了变化时，该计算机发送的帧的VLAN归属不会发生变化（因为计算机的MAC地址没有变）。但这种类型的VLAN划分安全性不是很高，因为恶意计算机很容易伪造MAC地址。基于MAC地址的VLAN，可以理解为这是一种在OSI的第二层设定访问链接的办法。在设定必须记录所连接的所有计算机的MAC地址并存储在映射关系表中，每新增加一台新的计算机，都需要重新记录，并且如果网络中既有的计算机更换了新的网卡，那就需要重新进行设定。4.5VLAN的划分方式4知识准备3.基于IP子网划分基于IP子网划分，是根据数据帧中的源IP地址和子网掩码来划分VLAN。通过预先配置IP地址和VLANID映射关系表，当交换机收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。简单来讲，基于IP子网划分的VLAN，其与基于MAC地址的类似，也需要设置一个映射表。只不过这个映射表记录的是IP地址和VLANID的对应关系，而不是MAC地址。因此，网络中既有的的计算机即使更换了MAC地址，只要其IP地址不变，那么其原来所属的VLAN依然使用。IP地址是OSI参照模型中的第三层，所以我们可以基于IP子网的VLAN划分看作是基于OSI第三层的设定方法。4.5VLAN的划分方式4知识准备4.基于协议划分基于协议划分。根据数据帧所属的协议（族）类型及封装格式来划分VLAN。通过预先配置以太网帧中的协议域和VLANID的映射关系表，如果收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。5.基于策略划分基于策略划分。根据配置的策略划分VLAN，能实现多种组合的划分方式，包括接口、MAC地址、IP地址等。通过预先配置策略，如果收到的是Untagged帧，且匹配配置的策略时，给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。除此之外，还有一种基于用户的VLAN，它的原理是根据交换机各端口连接的终端中当前登录的用户来决定该端口属于哪个VLAN。这里的用户，一般是计算机操作系统登录的用户，比如Windows域中使用的用户名。采用这种方式，属于OSI第四层以上。4.5VLAN的划分方式4知识准备以图4-6为例，针对上述拓扑，采用各种方式进行VLAN的划分，其对应的内容如表4-1所示。4.5VLAN的划分方式图4-65种VLAN划分拓扑示意图划分方式VLAN10VLAN20端口GE0/0/1GE0/0/4GE0/0/2GE0/0/3MAC地址MAC1MAC4MAC2MAC3IP子网划分192.168.10.0/24192.168.20.0/24协议TCPUDP策略192.168.10.0/24+GE0/0/1+MAC1192.168.20.0/24+GE0/0/1+MAC1表4-1各种划分方式下VLAN使用的参数4知识准备1.Access端口Access端口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。Access接口所连接的这些设备的网卡往往只收发无标记帧。其只能加入一个VLAN，且主要用来连接用户PC、服务器等终端设备。Access端口仅允许VLANID与接口PVID相同的数据帧通过。当Access接口从链路上收到一个Untagged帧，交换机会在这个帧中添加上VID为PVID的Tag，然后对得到的Tagged帧进行转发操作。当Access接口从链路上收到一个Tagged帧，交换机会检查这个帧的Tag中的VID是否与PVID相同。如果相同，则对这个Tagged帧进行转发操作；如果不同，则直接丢弃这个Tagged帧。当一个Tagged帧从本交换机的其他接口到达一个Access接口后，交换机会检查这个帧的Tag中的VID是否与PVID相同。如果相同，则将这个Tagged帧的Tag进行剥离，然后将得到的Untagged帧从链路上发送出去，如果不同，则直接丢弃这个Tagged帧。4.6VLAN中的端口类型4知识准备2.Trunk端口Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。Trunk接口允许多个VLAN的数据帧通过，这些数据帧通过802.1QTag实现区分。Trunk接口常用于交换机之间的互联，也用于连接路由器、防火墙等设备的子接口。Trunk接口仅允许VLANID在允许通过列表中的数据帧通过，可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。当Trunk接口从链路上收到一个Untagged帧，交换机会在这个帧中添加上VID为PVID的Tag，然后查看PVID是否在允许通过的VLANID列表中。如果在，则对得到的Tagged帧进行转发操作；如果不在，则直接丢弃得到的Tagged帧。当Trunk接口从链路上收到一个Tagged帧，交换机会检查这个帧的Tag中的VID是否在允许通过的VLANID列表中。如果在，则对这个Tagged帧进行转发操作；如果不在，则直接丢弃这个Tagged帧。当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后，如果这个帧的Tag中的VID不在允许通过的VLANID列表中，则该Tagged帧会被直接丢弃。当一个Tagged帧从本交换机的其他接口到达一个Trunk接口后，如果这个帧的Tag中的VID在允许通过的VLANID列表中，则会比较该Tag中的VID是否与接口的PVID相同。如果相同，则交换机会对这个Tagged帧的Tag进行剥离，然后将得到的Untagged帧从链路上发送出去；如果不同，则交换机不会对这个Tagged帧的Tag进行剥离，而是直接将它从链路上发送出去。4.6VLAN中的端口类型4知识准备3.Hybrid端口Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。Hybrid接口与Trunk接口类似，也允许多个VLAN的数据帧通过，这些数据帧通过802.1QTag实现区分。用户可以灵活指定Hybrid接口在发送某个（或某些）VLAN的数据帧时是否携带Tag。对于Hybrid接口，除了要配置PVID外，还存在两个允许通过的VLANID列表，一个是UntaggedVLANID列表，另一个是TaggedVLANID列表，其中VLAN1默认在UntaggedVLAN列表中。这两个允许通过列表中的所有VLAN的帧都是允许通过这个Hybrid接口的。Hybrid接口可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag、某些VLAN的帧不带Tag。与Trunk最主要的区别就是，能够支持多个VLAN的数据帧，不带标签通过。4.6VLAN中的端口类型4知识准备4.7Access端口与Trunk端口的应用以图4-7所示的拓扑为例。LSW1，LSW2连接PC的端口均为Access端口，其互连的端口为Trunk端口。并且两个交换机互连的Trunk端口，其允许通过的VLAN为VLAN1，VLAN10，VLAN20。现在，PC1要与PC4进行通信，其过程如下。图4-7Access端口与Trunk端口的应用拓扑4知识准备4.7Access端口与Trunk端口的应用

第一步：PC1发送一个Untagged帧值LSW1。LSW1接收到该帧后，发现其为Untagged帧，因此为其添加VLANID等于PVID的Tag，也就是VLAN10，然后将其转发，也就是发送到PVID20，PVID1对应的端口中。第二步：对于PVID20对应的端口，其收到该Tagged帧后，将其VLANID与PVID进行比较，发现一个为10，一个为20，两者不同，因此把该帧直接丢弃掉。第三步：对于PVID1对应的端口，由于其为Trunk类型，因此其收到该Tagged帧后，将其VLANID与Trunk端口允许通过列表进行比对，发现VLAN10在其列表中，因此将其转发到链路中，也就是发送至LSW2的PVID1对应的端口。4知识准备4.7Access端口与Trunk端口的应用第四步：LSW2的PVID1对应的端口收到该数据帧后，由于其也为Trunk类型，因此将其VLANID与Trunk端口允许通过列表进行比对，发现VLAN10在其列表中，允许通过。此时将该数据帧转发到骐达端口中，也就是LSW2中PVID20以及PVID10对应的端口。第五步：

LSW2的PVID20端口接收到该数据帧后，将其VLANID与PVID进行比较，两者不同，因此把该帧直接丢弃掉。第六步：

LSW2的PVID10端口接收到该数据帧后，将其VLANID与PVID进行比较，两者相同，因此把该帧的Tag进行剥离掉，成为原始的以太网数据帧，然后将其转发至PC3，从而实现了数据的通信。4知识准备以图4-8所示的拓扑为例。LSW1和LSW2连接PC以及互连的端口均为Hybrid类型。LSW1中，Port1允许通过的UntaggedVLANID为VLAN1，VLAN10，VLAN30，Port2允许通过的UntaggedVLANID为VLAN1，VLAN20，VLAN30，Port3允许通过的TaggedVLANID为VLAN10，VLAN20，VLAN30。LSW2中，Port1允许通过的UntaggedVLANID为VLAN1，VLAN10，VLAN20，VLAN30，Port3允许通过的TaggedVLANID为VLAN10，VLAN20，VLAN30。4.8Hybrid端口的应用图4-8Hybrid端口应用拓扑4知识准备现在PC1向PC3发送数据，其通信过程如下。第一步：PC1发送Untagged数据帧至Port1，交换机LSW1接收到该数据帧后，首先添加VLANID为PVID的Tag，也就是VLAN10。然后查看PVID是否在Untagged或TaggedVLANID列表中，发现其在Untagged列表中，因此对该数据帧进行转发操作，也就是将其转发至Port2和Port3。第二步：Port2接收到该数据帧后，将这个帧里Tag中的VLANID在UntaggedVLANID列表中进行比对，发现其不在列表中，说明其为不允许的VLANID，因此将其丢弃。第三步：Port3接收到该数据帧后，将这个帧里Tag中的VLANID在TaggedVLANID列表中进行比对，发现其在列表中，说明其为允许的VLANID，因此将其从链路中转发出去，也就是发送到LSW2的Port3中。4.8Hybrid端口的应用4知识准备第四步：LSW2的Port3接收到该数据帧后，交换机会检查这个帧的Tag中的VLANID是否在Untagged或TaggedVLANID列表中，发现其在允许列表中，因此将其转发出去，也就是转发至Port1。第五步：LSW2的Port1接收到该数据帧后，发现这个帧的Tag中的VLANID在UntaggedVLANID列表中，因此交换机会对这个Tagged帧的Tag进行剥离，然后将得到的Untagged帧从链路上发送出去，也就是发送给了PC3。第六步：Port3接收到该数据帧后，将这个帧里Tag中的VLANID在TaggedVLANID列表中进行比对，发现其在列表中，说明其为允许的VLANID，因此将其从链路中转发出去，也就是发送到LSW2的Port3中。4.8Hybrid端口的应用4知识准备1.连接设备Access端口:一般用于连接终端设备;Trunk端口:主要用于连接不同的交换机;Hybrid端口:既可以连接设备，也可以连接交换机。2.接收数据过程Access端口：如果收到的是Untagged数据帧，则为该数据帧附加上与PVID相同的VLANID的Tag，然后再接收如果收到的是Tagged数据帧，则用其与PVID比较，两者相同则接收，不同则丢弃；发送数据时，将VLANID与PVID比较，两者相同则剥离Tag，将其发送到对应的设备；不同则丢弃。Trunk端口：如果接收到的是Untagged数据帧，同样为该数据帧附加上与PVID相同的VLANID的Tag，然后进一步将该VLANID与允许列表中进行比对，如果在允许列表中则接收，不在丢弃。如果收到的是Tagged数据帧，则查看VLANID是否在允许列表中，在则接收；不在允许列表则丢弃。发送数据时，如果VLANID在允许列表中，并且VLANID与PVID一致，则剥离Tag发送；如果VLANID在允许列表，但VLANID与PVID不一致，则直接带标签发送；不在允许列表中，则直接丢弃。Hybrid端口：如果其接受到的是Untagged数据帧，也需要为该数据帧附加上与PVID相同的VLANID的Tag，然后查看VLAID是否在允许列表中，在则接收，不在则丢弃。如果收到的是Tagged数据帧，则查看VLANID是否在允许列表中，如果在在允许列表中则接收，不在则丢弃。发发送数据时，如果VLANID不在允许列表中，直接丢弃；如果在Untagged列表中，则剥离Tag发送；如果在Tagged列表中，则带Tag直接发送。4.9三种端口方式的对比4知识准备3.发送数据过程Access端口:直接剥离数据帧中的VLANTag:Trunk端口:只有在数据帧中的VLANID与接口的PVID相等时才会剥离数据帧中的VLANTag;Hybrid端口:会根据接口上的配置判断是否剥离数据帧中的VLANTag。4.9三种端口方式的对比4知识准备使用vlan命令用来创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。使用undovlan命令来删除指定VLAN。默认情况下，所有接口都会自动加入到一个ID为1的VLAN中。1.创建VLAN（1）创建单一VLAN[Huawei]vlanvlan-id命令中，各参数含义如下。vlan-id：指定VLANID。整数形式，取值范围是1～4094。如果需要批量创建VLAN，则可以使用VLANbatch命令实现。（2）批量创建VLAN[Huawei]vlanbatch{vlan-id1[tovlan-id2]}命令中，各参数含义如下。batch：指定批量创建VLAN。vlan-id1tovlan-id2：指定批量创建的VLANID，其中：vlan-id1表示第一个VLAN的编号；vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1，它与vlan-id1共同确定一个VLAN范围。如果不指定tovlan-id2参数，则只创建vlan-id1所指定的VLAN。vlan-id1和vlan-id2是整数形式，取值范围是1～4094。4.10VLAN的配置4知识准备(2)批量创建VLAN[Huawei]vlanbatch{vlan-id1[tovlan-id2]}命令中，各参数含义如下。batch：指定批量创建VLAN。vlan-id1tovlan-id2：指定批量创建的VLANID，其中：vlan-id1表示第一个VLAN的编号；vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1，它与vlan-id1共同确定一个VLAN范围。如果不指定tovlan-id2参数，则只创建vlan-id1所指定的VLAN。vlan-id1和vlan-id2是整数形式，取值范围是1～4094。4.10VLAN的配置4知识准备2.定义端口类型(1)配置Access端口①配置接口类型[Huawei-GigabitEthernet0/0/1]portlink-typeaccess②配置Access接口的默认VLAN[Huawei-GigabitEthernet0/0/1]portdefaultvlanvlan-id命令中，各参数含义如下。vlan-id：配置VLAN的编号，也就是定义的VLAN-ID。整数形式，取值范围是1～4094。4.10VLAN的配置4知识准备2.定义端口类型(2)配置Trunk端口①配置接口类型[Huawei-GigabitEthernet0/0/1]portlink-typetrunk②配置Trunk接口加入指定VLAN[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}vlan-id1[tovlan-id2]：指定Trunk类型接口加入的VLAN.其中：vlan-id1表示第一个VLAN的编号。tovlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1的取值。vlan-id1和vlan-id2为整数形式，取值范围是1～4094。all：指定Trunk接口加入所有VLAN。③配置Trunk接口的缺省VLAN（可不设置）[Huawei-GigabitEthernet0/0/1]porttrunkpvidvlanvlan-idvlan-id：指定Trunk类型接口的缺省VLAN编号。整数形式，取值范围是1～4094。4.10VLAN的配置4知识准备2.定义端口类型（3）配置hybrid类型①配置端口类型[Huawei-GigabitEthernet0/0/1]portlink-typeHybrid②配置Hybrid接口加入指定VLAN[Huawei-GigabitEthernet0/0/1]porthybriduntaggedvlan{{vlan-id1[tovlan-id2]}|all}该命令是配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Untagged方式通过端口。vlan-id1[tovlan-id2]：指定Hybrid类型接口加入的VLAN.其中：vlan-id1表示第一个VLAN的编号。tovlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1的取值。vlan-id1和vlan-id2为整数形式，取值范围是1～4094。all：指定Hybrid接口加入所有VLAN。③配置Hybrid接口的缺省VLAN（可不设置）[Huawei-GigabitEthernet0/0/1]portHybridpvidvlanvlan-id命令中，各参数含义如下。vlan-id：指定Hybrid类型接口的缺省VLAN编号。整数形式，取值范围是1～4094。4.10VLAN的配置5项目实施1．任务描述蓝箭公司交换机连接有很多部门的员工，为了通信的安全性，蓝箭公司希望属于同一个部门的员工之间可以互相访问，不同部门的用户不能直接访问。其拓扑如图4-9所示，可以在交换机上配置基于接口划分VLAN，把相同部门的员工连接的接口划分到同一VLAN。这样属于不同VLAN的员工不能直接进行二层通信，同一VLAN内的员工可以直接互相通信。任务5.1基于端口划分VLAN图4-9基于Access与Trunk端口的VLAN配置5项目实施2．实施步骤为了在交换机上配置VLAN，首先要进入系统视图，接着执行vlanvlan-id命令创建一个VLAN然后进入接口，设置接口类型，然后将其应用到对应的VLAN中。具体配置如下。(1)创建VLAN任务5.1基于端口划分VLAN5项目实施2．实施步骤(2)配置Access端口，并加入对应的VLAN任务5.1基于端口划分VLAN5项目实施2．实施步骤(3)配置Trunk接口，并创建对应的允许通过列表任务5.1基于端口划分VLAN5项目实施3．测试分析通过上述配置，我们对当前的VLAN配置进行测试，通过使用displanvlan命令，可以查看到交换机中对应的VLAN。任务5.1基于端口划分VLAN5项目实施任务5.2基于Hybrid端口类型划分VLAN1．任务描述蓝箭公司现在有一个财务管理系统，现在想实现只有财务部和人力资源部能够访问，但是这两个部门之间不能互相通信。其拓扑如图4-10所示，可以通过使用基于Hybrid端口的VLAN划分方式来实现。图4-10基于Hybrid端口划分VLAN5项目实施2．实施步骤（1）LSW1的配置，首先配置3个VLAN10，20，30，然后分别进入三个端口。对于0/0/1端口，首先将其定义为Hybrid类型，然后将其应用于VLAN10，并设置他的Untagged允许列表为VLAN10和VLAN30。同样对于0/0/2端口，将其定义为Hybrid类型，然后将其应用于VLAN20，并设置他的Untagged允许列表为VLAN20和VLAN30。0/0/3端口比较特殊，其是用于连接两个交换机，在将其设置为hybrid类型端口后，需要设置它的tagged允许列表为VLAN10，VLAN20，VLAN30。任务5.2基于Hybrid端口类型划分V