所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

VLAN

本文档介绍了VLAN的定义、为什么我们使用VLAN、VLAN是如何工作的,以及VLAN的配置等。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
VLAN

VLAN

简介

本章节介绍了VLAN的定义、基本原理及如何配置VLAN。

VLAN是数通的基本特性,交换机、路由器、WLAN、防火墙等产品均支持配置VLAN。本章节以华为S12700交换机为例进行介绍。

了解VLAN

VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文就被限制在一个VLAN内。

图1所示,两台交换机放置在不同的地点,比如写字楼的不同楼层,每台交换机分别连接两台属于不同企业用户的计算机,此时就可以将两台计算机划分到不同的VLAN,实现对不同企业用户的隔离。

图1-1 VLAN示意图

要使交换机能够分辨不同VLAN的报文,需要在报文中添加标识VLAN信息的字段。IEEE 802.1Q协议规定,在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签(又称VLAN Tag,简称Tag),用以标识VLAN信息。VLAN数据帧格式如图2所示。

图1-2 VLAN数据帧格式

其中,数据帧中的VID(VLAN ID)字段标识了该数据帧所属的VLAN,数据帧只能在其所属VLAN内进行传输。

对于交换机来说,其内部处理的数据帧都带有VLAN标签,而现网中交换机连接的设备有些只会收发Untagged帧,要与这些设备交互,就需要接口能够识别Untagged帧并在收发时给帧添加、剥除VLAN标签。同时,现网中属于同一个VLAN的用户可能会被连接在不同的交换机上,且跨越交换机的VLAN可能不止一个,如果需要用户间的互通,就需要交换机间的接口能够同时识别和发送多个VLAN的数据帧。

因此,根据接口连接对象以及对收发数据帧处理的不同,华为定义了4种接口的链路类型:Access、Trunk、Hybrid和QinQ,以适应不同的连接和组网:

  • Access接口:一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连,或者不需要区分不同VLAN成员时使用。Access接口大部分情况只能收发Untagged帧,且只能为Untagged帧添加唯一的VLAN Tag。

  • Trunk接口:一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过,但只允许一个VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)。

  • Hybrid接口:既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等)和网络设备(如Hub、傻瓜交换机),也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过,且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag(即不剥除Tag)、某些VLAN的帧不带Tag(即剥除Tag)。

  • 使用QinQ(802.1Q-in-802.1Q)协议,一般用于私网与公网之间的连接,也被称为Dot1q-tunnel接口。它可以给帧加上双层Tag,即在原来Tag的基础上,给帧加上一个新的Tag,从而可以支持多达4094×4094个VLAN。有关QinQ具体描述请参见S12700 V200R013C00 配置指南-以太网交换中的“QinQ配置”。

VLAN的划分方法有多种,根据不同的场景,可以采用基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN,各种VLAN划分方式的介绍及适用场景如表1所示。

表1-1 VLAN划分方式差异表

划分方式

简介

适用场景

基于接口

根据交换机的接口来划分VLAN

适用于任何大小但位置比较固定的网络

基于MAC地址

根据数据帧的源MAC地址来划分VLAN

适用于位置经常移动但网卡不经常更换的小型网络

基于子网

据数据帧中的源IP地址和子网掩码来划分VLAN

适用于对安全需求不高、对移动性和简易管理需求较高的场景中

基于网络层协议

根据数据帧所属的协议(族)类型及封装格式来划分VLAN

适用于需要同时运行多协议的网络

基于匹配策略

根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等

适用于需求比较复杂的环境

其中,基于接口划分VLAN是最简单且最常用的划分VLAN的方式,而不同类型的接口上的配置方式也不相同,详细配置过程请参见VLAN的划分

配置VLAN

说明:

有关本章节中配置和命令的详细信息请参见S12700 V200R013C00 配置指南-以太网交换

创建VLAN

  1. 执行命令system-view,进入系统视图。
  2. 执行命令vlan vlan-id,创建VLAN并进入VLAN视图。

    说明:
    • 整机支持4096个VLAN,其中VLAN 0和VLAN 4095为保留VLAN,VLAN 1为缺省VLAN。因此创建VLAN时,可创建2~4094范围内的任意VLAN。
    • 多次使用vlan命令创建VLAN,按多次创建的累加结果生效。如果该VLAN已经存在,不会再重新创建,保留原来的VLAN和相关配置。
    • 使用vlan batch命令可以批量创建多个VLAN。如果该VLAN已经存在,不会再重新创建,保留原来的VLAN及其相关配置。多次使用vlan batch命令创建VLAN,配置按多次创建的累加结果生效。

下面这个示例显示了如何在设备上创建VLAN 100,并查看VLAN是否创建成功。

<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] display vlan summary
Static VLAN:
Total 2 static VLAN.
  1 100

Dynamic VLAN:
Total 0 dynamic VLAN.

Reserved VLAN:
Total 0 reserved VLAN.

VLAN的划分

交换机支持基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN,这里我们仅介绍最常用的VLAN划分方式:基于接口划分VLAN。

在设备上已经创建了VLAN的前提下,不同类型的接口加入VLAN的方法不同,如下所示:

Access接口

  1. 执行命令interface interface-type interface-number,进入需要加入VLAN的以太网接口视图。
  2. 执行命令port link-type access,配置接口类型为access。
  3. 执行命令port default vlan vlan-id,配置接口的缺省VLAN并将接口加入到指定VLAN。

下面这个示例显示了如何将接口GE1/0/1配置为access接口,并将其加入VLAN 100,然后查看配置结果。

[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port link-type access
[HUAWEI-GigabitEthernet1/0/1] port default vlan 100
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] display port vlan gigabitethernet 1/0/1
Port                        Link Type    PVID  Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/1        access       100   -

Trunk接口

  1. 执行命令interface interface-type interface-number,进入需要加入VLAN的以太网接口视图。
  2. 执行命令port link-type trunk,配置接口类型为trunk。
  3. 执行命令port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all },将接口加入到指定的VLAN中。
  4. (可选)执行命令port trunk pvid vlan vlan-id,配置Trunk接口的缺省VLAN。

    说明:

    当接口下通过的VLAN为接口的缺省VLAN时,该VLAN对应的报文将以Untagged方式进行转发。也就是说接口是以Untagged方式加入该VLAN的。

下面这个示例显示了如何将接口GE1/0/2配置为trunk接口,并将其加入VLAN 100,然后查看配置结果。

[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] port link-type trunk
[HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 100
[HUAWEI-GigabitEthernet1/0/2] quit
[HUAWEI] display port vlan gigabitethernet 1/0/2
Port                        Link Type    PVID  Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/2        trunk        1     1 100

Hybrid接口

  1. 执行命令interface interface-type interface-number,进入需要加入VLAN的以太网接口视图。
  2. 执行命令port link-type hybrid,配置接口类型为hybrid。
  3. 根据实际需要选择任一方式将接口加入VLAN:

    • 执行命令port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all },将Hybrid接口以Untagged方式加入VLAN,接口在发送帧时将帧中的VLAN Tag去掉。
    • 执行命令port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all },将Hybrid接口以Tagged方式加入VLAN,接口在发送帧时不将帧中的VLAN Tag去掉。

  4. (可选)执行命令port hybrid pvid vlan vlan-id,配置Hybrid接口的缺省VLAN。

下面这个示例显示了如何将接口GE1/0/3配置为hybrid接口,并将其加入VLAN 100,然后查看配置结果。

[HUAWEI] interface gigabitethernet 1/0/3
[HUAWEI-GigabitEthernet1/0/3] port link-type hybrid
[HUAWEI-GigabitEthernet1/0/3] port hybrid tagged vlan 100
[HUAWEI-GigabitEthernet1/0/3] quit
[HUAWEI] display port vlan gigabitethernet 1/0/3
Port                        Link Type    PVID  Trunk VLAN List
-------------------------------------------------------------------------------
GigabitEthernet1/0/3        hybrid       1     100

VLAN的其他配置

如果您想了解VLAN的其他配置,包括配置管理VLAN、配置三层交换机上的VLAN间互访、配置端口隔离、配置VLAN内协议报文透传等,请参见S12700 V200R013C00 配置指南-以太网交换中的“VLAN配置”。

翻译
下载文档
更新时间:2019-06-04

文档编号:EDOC1100086528

浏览量:3941

下载量:1122

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页