VLAN基本原理和配置实例,基于端口规划VLAN、mac规划VLAN、IP规划VLAN
配置实例1—基于端口的vlan划分方法
【组网需求】
如图1所示,某企业的交换机连接有很多用户,且相同业务用户通过不同的设备接入企业网络。
为了通信的安全性,同时为了避免广播风暴,企业希望业务相同用户之间可以互相访问,业务不同用户不能直接访问。
可以在交换机上配置基于端口划分VLAN,把业务相同的用户连接的端口划分到同一VLAN。这样属于不同VLAN的用户不能直接进行二层通信,同一VLAN内的用户可以直接互相通信。
图1 基于接口划分VLAN组网图
【配置思路】
采用如下的思路配置VLAN:
-
创建VLAN并将连接用户的端口加入VLAN,实现不同业务用户之间的二层流量隔离。
-
配置SwitchA和SwitchB之间的链路类型及通过的VLAN,实现相同业务用户通过SwitchA和SwitchB通信。
【规划VLAN表】
规划VLAN表格很重要!配置之前先列表,列完再配!并且此表可作为项目资料保存。
【操作步骤】
第一步:在SwitchA创建VLAN2和VLAN3,并将连接用户的端口分别加入VLAN。SwitchB配置与SwitchA类似,不再赘述。
system-view[HUAWEI] sysname SwitchA[SwitchA] vlan batch 2 3[SwitchA] interface gigabitethernet 0/0/1[SwitchA-GigabitEthernet0/0/1]port link-type access[SwitchA-GigabitEthernet0/0/1]port default vlan 2[SwitchA-GigabitEthernet0/0/1]quit[SwitchA] interface gigabitethernet 0/0/2[SwitchA-GigabitEthernet0/0/2]port link-type access[SwitchA-GigabitEthernet0/0/2]port default vlan 3[SwitchA-GigabitEthernet0/0/2]quit
第二步:配置SwitchA上与SwitchB连接的端口类型及通过的VLAN。SwitchB配置与SwitchA类似,不再赘述。
[SwitchA] interface gigabitethernet 0/0/3[SwitchA-GigabitEthernet0/0/3]port link-type trunk[SwitchA-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
第三步:验证配置结果
将PC1和PC2配置在一个网段,比如192.168.100.0/24;将PC3和PC4配置在一个网段,比如192.168.200.0/24。结果验证测试:
-
PC1和PC2能够互相ping通,但是均不能ping通PC3和PC4。
-
PC3和PC4能够互相ping通,但是均不能ping通PC1和PC2。
配置实例2—基于MAC地址的vlan划分方法
【组网需求】
某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全,要求只有本部门员工的PC才可以访问公司网络。
如图2所示,PC1、PC2、PC3为本部门员工的PC,要求这几台PC可以通过SwitchA、Switch访问公司网络,如换成其他PC则不能访问。可以配置基于MAC地址划分VLAN,将本部门员工PC的MAC地址与VLAN绑定,从而实现该需求。
图2 配置基于MAC地址的VLAN划分拓扑图
【配置思路】
采用如下的思路配置基于MAC地址的VLAN划分:
-
创建VLAN,确定员工所属的VLAN。
-
配置各以太网接口以正确的方式加入VLAN,实现接口允许VLAN报文通过。
-
配置PC1、PC2、PC3的MAC地址与VLAN关联,实现根据报文中的源MAC地址确定VLAN。
【规划VLAN表】
规划VLAN表格很重要!配置之前先列表,列完再配!并且此表可作为项目资料保存。
【端口配置】
交换机
端口号
端口类型
所属VLAN
PVID
Switch
GE0/0/1
hybrid
VLAN10(untag)
mac vlan绑定:
00-22-00-22-00-22
00-33-00-33-00-33
00-44-00-44-00-44
4001
GE0/0/2
hybrid
VLAN10(tag)
默认
【MAC VLAN配置】
交换机
VID
mac-vlan绑定列表
Switch
VLAN10
00-22-00-22-00-22
00-33-00-33-00-33
00-44-00-44-00-44
注意:
-
拓扑中仅需配置管理型Switch即可,傻瓜交换无需配置;
-
配置PVID=4001的作用是创建一个无效VLAN,不属于mac vlan绑定列表的PC设备接入时会打上这个无效VLAN tag使其无法与公司网络通信;
-
满足mac vlan列表的设备接入Switch的GE0/0/1口后会打上10的tag实现与公司内网通信。
【操作步骤】
第一步:配置Switch
# 创建VLAN
system-view[HUAWEI] vlan batch 10 4001
# 配置接口的PVID和加入VLAN
[HUAWEI] interface gigabitethernet 0/0/1[HUAWEI-GigabitEthernet0/0/1] port hybrid pvid vlan 4001[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 10[HUAWEI-GigabitEthernet0/0/1] quit[HUAWEI] interface gigabitethernet 0/0/2[HUAWEI-GigabitEthernet0/0/2] port hybrid tagged vlan 10[HUAWEI-GigabitEthernet0/0/2] quit
# PC的MAC地址与VLAN10关联
[HUAWEI] vlan 10[HUAWEI-Vlan10] mac-vlan mac-address 22-22-22[HUAWEI-Vlan10] mac-vlan mac-address 33-33-33[HUAWEI-Vlan10] mac-vlan mac-address 44-44-44[HUAWEI-Vlan10] quit
# 使能接口的基于MAC地址划分VLAN功能
[HUAWEI] interface gigabitethernet 0/0/1[HUAWEI-GigabitEthernet0/0/1] mac-vlan enable[HUAWEI-GigabitEthernet0/0/1] quit
第二步:检查配置结果
PC1、PC2、PC3可以访问公司网络,如换成其他外来人员的PC4则不能访问。
配置实例3—基于IP子网的vlan划分方法
【组网需求】
某企业拥有多种业务,如IPTV、VoIP、Internet等,每种业务使用的IP地址网段各不相同。为了便于管理,现需要将同一种类型业务划分到同一VLAN中,不同类型的业务划分到不同VLAN中。
如图3所示,Switch接收到用户报文有数据、IPTV、语音等多种业务,用户设备的IP地址网段各不相同。现需要将不同类型的业务划分到不同的VLAN中,通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。
图3 基于IP子网划分VLAN组网图
【配置思路】
采用如下的思路配置基于IP子网划分VLAN:
-
创建VLAN,确定每种业务所属的VLAN。
-
关联IP子网和VLAN,实现根据报文中的源IP地址或指定网段确定VLAN。
-
配置端口加入VLAN,实现基于IP子网的VLAN通过当前端口。
-
配置VLAN划分方式的优先级,确保优先选择基于IP子网划分VLAN。
-
使能基于IP子网划分VLAN。
【规划VLAN表】
规划VLAN表格很重要!配置之前先列表,列完再配!并且此表可作为项目资料保存。
【端口配置】
交换机
端口号
端口类型
所属VLAN
PVID
Switch
GE0/0/1
hybrid
VLAN100(untag)
VLAN200(untag)
VLAN300(untag)
默认
GE0/0/2
trunk
VLAN100(tag)
默认
GE0/0/3
trunk
VLAN200(tag)
默认
GE0/0/4
trunk
VLAN300(tag)
默认
【ip-subnet-vlan配置】
交换机
端口号
VID
mac-vlan绑定列表
Switch
GE0/0/1
VLAN100
192.168.1.2/24 priority 2
VLAN200
192.168.2.2/24 priority 3
VLAN300
192.168.3.2/24 priority 4
【操作步骤】
第一步:创建VLAN
# 在Switch上创建VLAN100、VLAN200和VLAN300。
system-view[HUAWEI] vlan batch 100 200 300
第二步:配置接口
# 在Switch上配置接口GE0/0/1为Hybrid类型,并加入VLAN100、VLAN200和VLAN300。
[HUAWEI] interface gigabitethernet 0/0/1[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 100 200 300[HUAWEI-GigabitEthernet0/0/1] quit
# 在Switch上配置接口GE0/0/2加入VLAN100。
[HUAWEI] interface gigabitethernet 0/0/2[HUAWEI-GigabitEthernet0/0/2] port link-type trunk[HUAWEI-GigabitEthernet0/0/2] port trunk allow-pass vlan 100[HUAWEI-GigabitEthernet0/0/2] quit
# 在Switch上配置接口GE0/0/3加入VLAN200。
[HUAWEI] interface gigabitethernet 0/0/3[HUAWEI-GigabitEthernet0/0/3] port link-type trunk[HUAWEI-GigabitEthernet0/0/3] port trunk allow-pass vlan 200[HUAWEI-GigabitEthernet0/0/3] quit
# 在Switch上配置接口GE0/0/4加入VLAN300。
[HUAWEI] interface gigabitethernet 0/0/4[HUAWEI-GigabitEthernet0/0/4] port link-type trunk[HUAWEI-GigabitEthernet0/0/4] port trunk allow-pass vlan 300[HUAWEI-GigabitEthernet0/0/4] quit
# 在Switch上配置接口GE0/0/1使能基于IP子网划分VLAN功能。
[HUAWEI] interface gigabitethernet 0/0/1[HUAWEI-GigabitEthernet0/0/1] ip-subnet-vlan enable[HUAWEI-GigabitEthernet0/0/1] quit
第三步:配置基于IP子网划分VLAN
# 在Switch上配置VLAN100与IP地址192.168.1.2/24关联,优先级为2。
[HUAWEI] vlan 100[HUAWEI-vlan100] ip-subnet-vlan 1 ip 192.168.1.2 24 priority 2[HUAWEI-vlan100] quit
# 在Switch上配置VLAN200与IP地址192.168.2.2/24关联,优先级为3。
[HUAWEI] vlan 200[HUAWEI-vlan200] ip-subnet-vlan 1 ip 192.168.2.2 24 priority 3[HUAWEI-vlan200] quit
# 在Switch上配置VLAN300与IP地址192.168.3.2/24关联,优先级为4。
[HUAWEI] vlan 300[HUAWEI-vlan300] ip-subnet-vlan 1 ip 192.168.3.2 24 priority 4[HUAWEI-vlan300] quit
第四步:验证配置结果
在Switch上执行以下命令,显示信息如下:
[HUAWEI] display ip-subnet-vlan vlan all----------------------------------------------------------------Vlan Index IpAddress SubnetMask Priority----------------------------------------------------------------100 1 192.168.1.2 255.255.255.0 2200 1 192.168.2.2 255.255.255.0 3300 1 192.168.3.2 255.255.255.0 4----------------------------------------------------------------ip-subnet-vlan count: 3 total count: 3
扫描下方二维码关注微信公众号:小云君网络
原创不易,感谢大家支持!!
-
