划分VLAN
创建并划分VLAN,将没有互通需求的用户进行隔离,可增强网络的安全性、减少广播流量,同时也减少了广播风暴的产生。
背景信息
按照设备的接口来定义VLAN成员,将指定接口加入到指定VLAN中之后,接口就可以转发该VLAN的报文,从而实现VLAN内的主机可以直接互访(即二层互访),而VLAN间的主机不能直接互访,将广播报文限制在一个VLAN内。
Access接口
设备内部只处理Tagged帧,而Access接口连接设备只收发Untagged帧,所以Access接口需要给收到的数据帧添加VLAN Tag,也就必须配置缺省VLAN。配置缺省VLAN后,该Access接口也就加入了该VLAN。
当某接口规划为Access接口时,接口只需要处理不带Tag的报文。为了防止用户私自更改接口用途,接入其他交换设备,可以配置接口丢弃入方向带Tag的报文。
Trunk接口
当Trunk接口连接设备可同时收发Untagged、Tagged帧的设备(比如连接AP、语言终端设备)时,需要在接口上配置缺省VLAN,给Untagged帧添加VLAN Tag。
Hybrid接口
当Hybrid接口连接AP、语言终端设备、Hub、用户主机、服务器时,这些设备发送到设备的报文不带Tag,需要在接口上配置缺省VLAN,给报文添加VLAN Tag。
设备发出的报文都带VLAN Tag,但在一些应用场景中,需要Hybrid接口发出的报文剥掉VLAN Tag,而Trunk接口只能使一个VLAN的报文不带VLAN Tag通过,所以需要配置接口类型为Hybrid。
缺省情况下,接口类型为Hybrid,缺省VLAN为1,接口以Untagged方式加入VLAN1。
操作步骤
- 接口规划为Access接口
- 执行命令system-view,进入系统视图。
- 执行命令vlan vlan-id,创建VLAN并进入VLAN视图。如果VLAN已经创建,则直接进入VLAN视图。
- 执行命令quit,返回系统视图。
- 执行命令interface interface-type interface-number,进入需要加入VLAN的以太网接口视图。
(可选)执行命令portswitch,将虚拟以太网VE(Virtual-Ethernet)接口从三层模式切换到二层模式。
缺省情况下,VE接口工作在三层模式。
进入VE接口视图后需要执行本步骤。
- 执行命令port link-type access,配置接口类型为Access。
- 执行命令port default vlan vlan-id,配置接口的缺省VLAN并将接口加入到指定VLAN。
- 接口规划为Trunk接口
- 执行命令system-view,进入系统视图。
- 执行命令vlan vlan-id,创建VLAN并进入VLAN视图。如果VLAN已经创建,则直接进入VLAN视图。
- 执行命令quit,返回系统视图。
- 执行命令interface interface-type interface-number,进入需要加入VLAN的以太网接口视图。
(可选)执行命令portswitch,将虚拟以太网VE(Virtual-Ethernet)接口从三层模式切换到二层模式。
缺省情况下,VE接口工作在三层模式。
进入VE接口视图后需要执行本步骤。
- 执行命令port link-type trunk,配置接口类型为Trunk。
- 执行命令port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all },将接口加入到指定的VLAN中。
(可选)执行命令port trunk pvid vlan vlan-id,配置Trunk接口的缺省VLAN。
VE接口视图下不支持本步骤。
当接口下通过的VLAN配置为接口的缺省VLAN时,该VLAN对应的报文将以Untagged方式进行转发。也就是说接口是以Untagged方式加入该VLAN的。
- 接口规划为Hybrid接口
- 执行命令system-view,进入系统视图。
- 执行命令vlan vlan-id,创建VLAN并进入VLAN视图。如果VLAN已经创建,则直接进入VLAN视图。
- 执行命令quit,返回系统视图。
- 执行命令interface interface-type interface-number,进入需要加入VLAN的以太网接口视图。
(可选)执行命令portswitch,将虚拟以太网VE(Virtual-Ethernet)接口从三层模式切换到二层模式。
缺省情况下,VE接口工作在三层模式。
进入VE接口视图后需要执行本步骤。
- 执行命令port link-type hybrid,配置接口类型为Hybrid。
根据实际需要选择任一方式将接口加入VLAN:
执行命令port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all },将Hybrid接口以Untagged方式加入VLAN。
执行命令port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all },将Hybrid接口以Tagged方式加入VLAN。
(可选)执行命令port hybrid pvid vlan vlan-id,配置Hybrid接口的缺省VLAN。
VE接口视图下不支持本步骤。
配置小窍门
批量创建VLAN如果要一次性创建多个VLAN,可在系统视图下执行命令vlan batch,批量创建VLAN。
- 批量创建10个连续的VLAN:VLAN11~VLAN20。
<Huawei> system-view [Huawei] vlan batch 11 to 20
- 批量创建10个不连续的VLAN:VLAN10、VLAN15~VLAN19、VLAN25、VLAN28~VLAN30。
<Huawei> system-view [Huawei] vlan batch 10 15 to 19 25 28 to 30
批量创建不连续的VLAN时,一次最多可以输入10个不连续的VLAN或VLAN段,超过10个可以多次使用该命令进行配置。
例如:vlan batch 10 15 to 29 25 28 to 30 一共是4个不连续的VLAN段。
如果设备上创建了多个VLAN,为了便于管理,建议为VLAN配置名称。配置VLAN名称后,即可直接通过VLAN名称进入VLAN视图。
# 配置VLAN10的名称为huawei。
<Huawei> system-view [Huawei] vlan 10 [Huawei-vlan10] name huawei [Huawei-vlan10] quit
# 配置VLAN名称后,可直接通过VLAN名称进入VLAN视图。
[Huawei] vlan vlan-name huawei [Huawei-vlan10] quit批量将接口加入VLAN
如果需要对多个以太网接口进行相同的VLAN配置,可以采用端口组批量配置,减少重复配置工作。对于Access接口,还可以在VLAN视图下执行命令port interface-type { interface-number1 [ to interface-number2 ] }&<1-10>批量配置。具体配置请参见“如何批量将接口加入VLAN”。
恢复接口上VLAN的缺省配置如果接口上的VLAN规划更改或者接口类型更改,需要先删除接口上原来的VLAN配置,当接口上配置的VLAN较多且不连续时,需要执行多次删除操作。为减少删除操作,可采用恢复接口上VLAN的缺省配置的操作。具体配置请参见“如何恢复接口上VLAN的缺省配置”。
修改接口类型如果接口的接口类型需要更改(比如接口规划更改或者当前的接口类型跟要配置的接口类型不同),具体配置请参见“如何修改接口类型”。
删除VLAN如果某VLAN在网络中没有用到,建议使用命令undo vlan vlan-id或undo vlan batch vlan-id1 to vlan-id2及时删除,以节省VLAN资源、减少网络中的报文。
