要想项目做的好,VLAN划分少不了,下面不念给大家分享下VLAN基本原理和配置实例:
配置实例1—基于端口的vlan划分方法
【组网需求】
如图1所示,某企业的交换机连接有很多用户,且相同业务用户通过不同的设备接入企业网络。
为了通信的安全性,同时为了避免广播风暴,企业希望业务相同用户之间可以互相访问,业务不同用户不能直接访问。
可以在交换机上配置基于端口划分VLAN,把业务相同的用户连接的端口划分到同一VLAN。
这样属于不同VLAN的用户不能直接进行二层通信,同一VLAN内的用户可以直接互相通信。
【配置思路】
采用如下的思路配置VLAN:
- 创建VLAN并将连接用户的端口加入VLAN,实现不同业务用户之间的二层流量隔离。
- 配置SwitchA和SwitchB之间的链路类型及通过的VLAN,实现相同业务用户通过SwitchA和SwitchB通信。
【规划VLAN表】
规划VLAN表格很重要!配置之前先列表,列完再配!并且此表可作为项目资料保存。
交换机 | 端口号 | 端口类型 | 所属VLAN | PVID |
SwitchA | GE0/0/1 | access | VLAN2(untag) | 10 |
GE0/0/2 | access | VLAN3(untag) | 10 | |
GE0/0/3 | trunk | VLAN2(tag) VLAN3(tag) | 默认 | |
SwitchB | GE0/0/1 | access | VLAN2(untag) | 10 |
GE0/0/2 | access | VLAN3(untag) | 10 | |
GE0/0/3 | trunk | VLAN2(tag) VLAN3(tag) | 默认 |
【操作步骤】
第一步:在SwitchA创建VLAN2和VLAN3,并将连接用户的端口分别加入VLAN。
SwitchB配置与SwitchA类似,不再赘述。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 2 3
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1]port link-type access
[SwitchA-GigabitEthernet0/0/1]port default vlan 2
[SwitchA-GigabitEthernet0/0/1]quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2]port link-type access
[SwitchA-GigabitEthernet0/0/2]port default vlan 3
[SwitchA-GigabitEthernet0/0/2]quit
第二步:配置SwitchA上与SwitchB连接的端口类型及通过的VLAN。
SwitchB配置与SwitchA类似,不再赘述。
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3]port link-type trunk
[SwitchA-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
第三步:验证配置结果
将PC1和PC2配置在一个网段,比如192.168.100.0/24;将PC3和PC4配置在一个网段,比如192.168.200.0/24。
结果验证测试:
- PC1和PC2能够互相ping通,但是均不能ping通PC3和PC4。
- PC3和PC4能够互相ping通,但是均不能ping通PC1和PC2。
配置实例2—基于MAC地址的vlan划分方法
【组网需求】
某个公司的网络中,网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全,要求只有本部门员工的PC才可以访问公司网络。
如图2所示,PC1、PC2、PC3为本部门员工的PC,要求这几台PC可以通过SwitchA、Switch访问公司网络,如换成其他PC则不能访问。
可以配置基于MAC地址划分VLAN,将本部门员工PC的MAC地址与VLAN绑定,从而实现该需求。
【配置思路】
采用如下的思路配置基于MAC地址的VLAN划分:
- 创建VLAN,确定员工所属的VLAN。
- 配置各以太网接口以正确的方式加入VLAN,实现接口允许VLAN报文通过。
- 配置PC1、PC2、PC3的MAC地址与VLAN关联,实现根据报文中的源MAC地址确定VLAN。
【规划VLAN表】
规划VLAN表格很重要!配置之前先列表,列完再配!并且此表可作为项目资料保存。
【端口配置】
交换机 | 端口号 | 端口类型 | 所属VLAN | PVID |
Switch | GE0/0/1 | hybrid | VLAN10(untag)mac vlan绑定:00-22-00-22-00-2200-33-00-33-00-3300-44-00-44-00-44 | 4001 |
GE0/0/2 | hybrid | VLAN10(tag) | 默认 |
【MAC VLAN配置】
交换机 | VID | mac-vlan绑定列表 |
Switch | VLAN10 | 00-22-00-22-00-2200-33-00-33-00-3300-44-00-44-00-44 |
注意:
- 拓扑中仅需配置管理型Switch即可,傻瓜交换无需配置;
- 配置PVID=4001的作用是创建一个无效VLAN,不属于mac vlan绑定列表的PC设备接入时会打上这个无效VLAN tag使其无法与公司网络通信;
- 满足mac vlan列表的设备接入Switch的GE0/0/1口后会打上10的tag实现与公司内网通信。
【操作步骤】
第一步:配置Switch
# 创建VLAN
<HUAWEI> system-view
[HUAWEI] vlan batch 10 4001
# 配置接口的PVID和加入VLAN
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port hybrid pvid vlan 4001
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 10
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] port hybrid tagged vlan 10
[HUAWEI-GigabitEthernet0/0/2] quit
# PC的MAC地址与VLAN10关联
[HUAWEI] vlan 10
[HUAWEI-Vlan10] mac-vlan mac-address 22-22-22
[HUAWEI-Vlan10] mac-vlan mac-address 33-33-33
[HUAWEI-Vlan10] mac-vlan mac-address 44-44-44
[HUAWEI-Vlan10] quit
# 使能接口的基于MAC地址划分VLAN功能
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] mac-vlan enable
[HUAWEI-GigabitEthernet0/0/1] quit
第二步:检查配置结果
PC1、PC2、PC3可以访问公司网络,如换成其他外来人员的PC4则不能访问。
配置实例3—基于IP子网的vlan划分方法
【组网需求】
某企业拥有多种业务,如IPTV、VoIP、Internet等,每种业务使用的IP地址网段各不相同。
为了便于管理,现需要将同一种类型业务划分到同一VLAN中,不同类型的业务划分到不同VLAN中。
如图3所示,Switch接收到用户报文有数据、IPTV、语音等多种业务,用户设备的IP地址网段各不相同。
现需要将不同类型的业务划分到不同的VLAN中,通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。
【配置思路】
采用如下的思路配置基于IP子网划分VLAN:
- 创建VLAN,确定每种业务所属的VLAN。
- 关联IP子网和VLAN,实现根据报文中的源IP地址或指定网段确定VLAN。
- 配置端口加入VLAN,实现基于IP子网的VLAN通过当前端口。
- 配置VLAN划分方式的优先级,确保优先选择基于IP子网划分VLAN。
- 使能基于IP子网划分VLAN。
【规划VLAN表】
规划VLAN表格很重要!配置之前先列表,列完再配!并且此表可作为项目资料保存。
【端口配置】
交换机 | 端口号 | 端口类型 | 所属VLAN | PVID |
Switch | GE0/0/1 | hybrid | VLAN100(untag)VLAN200(untag)VLAN300(untag) | 默认 |
GE0/0/2 | trunk | VLAN100(tag) | 默认 | |
GE0/0/3 | trunk | VLAN200(tag) | 默认 | |
GE0/0/4 | trunk | VLAN300(tag) | 默认 |
【ip-subnet-vlan配置】
交换机 | 端口号 | VID | mac-vlan绑定列表 |
Switch | GE0/0/1 | VLAN100 | 192.168.1.2/24 priority 2 |
VLAN200 | 192.168.2.2/24 priority 3 | ||
VLAN300 | 192.168.3.2/24 priority 4 |
【操作步骤】
第一步:创建VLAN
# 在Switch上创建VLAN100、VLAN200和VLAN300。
<HUAWEI> system-view
[HUAWEI] vlan batch 100 200 300
第二步:配置接口
# 在Switch上配置接口GE0/0/1为Hybrid类型,并加入VLAN100、VLAN200和VLAN300。
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid
[HUAWEI-GigabitEthernet0/0/1] port hybrid untagged vlan 100 200 300
[HUAWEI-GigabitEthernet0/0/1] quit
# 在Switch上配置接口GE0/0/2加入VLAN100。
[HUAWEI] interface gigabitethernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] port link-type trunk
[HUAWEI-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
[HUAWEI-GigabitEthernet0/0/2] quit
# 在Switch上配置接口GE0/0/3加入VLAN200。
[HUAWEI] interface gigabitethernet 0/0/3
[HUAWEI-GigabitEthernet0/0/3] port link-type trunk
[HUAWEI-GigabitEthernet0/0/3] port trunk allow-pass vlan 200
[HUAWEI-GigabitEthernet0/0/3] quit
# 在Switch上配置接口GE0/0/4加入VLAN300。
[HUAWEI] interface gigabitethernet 0/0/4
[HUAWEI-GigabitEthernet0/0/4] port link-type trunk
[HUAWEI-GigabitEthernet0/0/4] port trunk allow-pass vlan 300
[HUAWEI-GigabitEthernet0/0/4] quit
# 在Switch上配置接口GE0/0/1使能基于IP子网划分VLAN功能。
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip-subnet-vlan enable
[HUAWEI-GigabitEthernet0/0/1] quit
第三步:配置基于IP子网划分VLAN
# 在Switch上配置VLAN100与IP地址192.168.1.2/24关联,优先级为2。
[HUAWEI] vlan 100
[HUAWEI-vlan100] ip-subnet-vlan 1 ip 192.168.1.2 24 priority 2
[HUAWEI-vlan100] quit
# 在Switch上配置VLAN200与IP地址192.168.2.2/24关联,优先级为3。
[HUAWEI] vlan 200
[HUAWEI-vlan200] ip-subnet-vlan 1 ip 192.168.2.2 24 priority 3
[HUAWEI-vlan200] quit
# 在Switch上配置VLAN300与IP地址192.168.3.2/24关联,优先级为4。
[HUAWEI] vlan 300
[HUAWEI-vlan300] ip-subnet-vlan 1 ip 192.168.3.2 24 priority 4
[HUAWEI-vlan300] quit
第四步:验证配置结果
在Switch上执行以下命令,显示信息如下:
[HUAWEI] display ip-subnet-vlan vlan all
----------------------------------------------------------------
Vlan Index IpAddress SubnetMask Priority
----------------------------------------------------------------
100 1 192.168.1.2 255.255.255.0 2
200 1 192.168.2.2 255.255.255.0 3
300 1 192.168.3.2 255.255.255.0 4
----------------------------------------------------------------
ip-subnet-vlan count: 3 total count: 3