目录
[一、VLAN 基础(高级特性前提)](#一、VLAN 基础(高级特性前提))
[1. VLAN 帧格式(802.1Q 标准)](#1. VLAN 帧格式(802.1Q 标准))
[2. 端口类型(华为设备默认 Hybrid)](#2. 端口类型(华为设备默认 Hybrid))
[3. VLAN 划分方式(常用前 3 种)](#3. VLAN 划分方式(常用前 3 种))
[1. MUX VLAN(隔离与访问控制)](#1. MUX VLAN(隔离与访问控制))
[2. VLAN 聚合(Super-VLAN,节省 IP)](#2. VLAN 聚合(Super-VLAN,节省 IP))
[3. VLAN Mapping(VLAN 转换,解决冲突)](#3. VLAN Mapping(VLAN 转换,解决冲突))
[4. QinQ(双层 Tag,跨网互通)](#4. QinQ(双层 Tag,跨网互通))
[(1)基本 QinQ(基于端口)](#(1)基本 QinQ(基于端口))
[(2)灵活 QinQ(基于 VLAN)](#(2)灵活 QinQ(基于 VLAN))
[三、补充知识点(课件延伸 + 实战必备)](#三、补充知识点(课件延伸 + 实战必备))
[1. 高级特性选型建议](#1. 高级特性选型建议)
[2. 常见故障排查要点](#2. 常见故障排查要点)
[3. Hybrid 端口实战技巧](#3. Hybrid 端口实战技巧)
[4. QinQ 的 MTU 问题解决](#4. QinQ 的 MTU 问题解决)
一、VLAN 基础(高级特性前提)
1. VLAN 帧格式(802.1Q 标准)
- 核心字段:TPID(2 字节,固定 0x8100,标识带 Tag 帧)、TCI(2 字节,含 PRI 优先级、CFI 格式指示、VLAN ID(12 位,范围 1-4094))。
- 对比:Untagged 帧无 4 字节 Tag,Tagged 帧在以太网帧头插入 Tag 字段。
2. 端口类型(华为设备默认 Hybrid)
| 端口类型 | 核心作用 | 关键规则 | 应用场景 |
|---|---|---|---|
| Access | 连接终端主机 | 收帧:Untagged→加 PVID Tag;发帧:剥除 Tag | 主机到交换机 |
| Trunk | 交换机互联 | 收帧:Untagged→加 PVID Tag,Tagged→保留;发帧:允许 VLAN 中,PVID 匹配则剥 Tag | 交换机级联 |
| Hybrid | 灵活适配(主机 / 交换机) | 收帧规则同 Trunk;发帧:可配置指定 VLAN 剥 Tag(Untagged)或保留(Tagged) | 复杂场景(如同时连主机和交换机) |
3. VLAN 划分方式(常用前 3 种)
- 基于端口:最常用,配置简单(
port default vlan xx)。 - 基于 MAC 地址:主机移动不改变 VLAN,需提前绑定。
- 基于 IP 子网:按主机 IP 自动分配 VLAN,适合移动办公。
- 基于协议 / 策略:按报文协议(IP/IPv6)或多条件组合(IP + 端口 + MAC)划分。
二、高级特性详解(应用场景→原理→配置→要点)
1. MUX VLAN(隔离与访问控制)
应用场景
企业内部员工(可互访)、外来客户(不可互访)、服务器(均可达)的二层隔离与访问控制。
工作原理
- 主 VLAN(Principal VLAN):绑定主端口,可与所有从端口通信(如服务器端口)。
- 从 VLAN(Subordinate VLAN):
- 隔离从 VLAN(Separate):绑定隔离端口,仅能与主端口通信(如客户)。
- 互通从 VLAN(Group):绑定互通端口,可与主端口 + 同组端口通信(如员工)。
核心配置步骤
- 创建主 VLAN 和从 VLAN:
vlan batch 2 201 202(2 为主 VLAN,201 互通,202 隔离)。 - 配置主 VLAN:
vlan 2→mux-vlan→subordinate group 201→subordinate separate 202。 - 端口绑定并启用 MUX VLAN:
interface GE0/0/1→port link-type access→port default vlan 201→port mux-vlan enable。
关键要点
- 一个主 VLAN 仅支持 1 个隔离从 VLAN、最多 128 个互通从 VLAN。
- 主端口、隔离端口、互通端口之间不能跨类型通信(如隔离端口≠互通端口)。
2. VLAN 聚合(Super-VLAN,节省 IP)
应用场景
多个 VLAN(如部门 VLAN)共用一个子网,避免每个 VLAN 分配独立 IP 段导致的 IP 浪费。
工作原理
- Super-VLAN(聚合 VLAN):创建 VLANIF 接口,配置子网(如 10.1.1.0/24),不包含物理端口。
- Sub-VLAN(成员 VLAN):包含物理端口,用于隔离广播域,无 VLANIF 接口。
- Proxy ARP:解决 Sub-VLAN 间三层互访(因同属一个子网,需网关代理 ARP 请求)。
核心配置步骤
- 创建 Super-VLAN 和 Sub-VLAN:
vlan batch 2 3 10(10 为 Super,2、3 为 Sub)。 - 配置聚合关系:
vlan 10→aggregate-vlan→access-vlan 2 to 3。 - 配置 Super-VLAN 接口并启用 Proxy ARP:
interface Vlanif10→ip address 10.1.1.254 24→arp-proxy inter-sub-vlan-proxy enable。 - Sub-VLAN 端口绑定:
interface GE0/0/1→port default vlan 2。
关键要点
- Sub-VLAN 不能创建 VLANIF 接口,所有三层转发通过 Super-VLAN 的 VLANIF 实现。
- 必须启用 Sub-VLAN 间 Proxy ARP,否则 Sub-VLAN 主机无法互访。
3. VLAN Mapping(VLAN 转换,解决冲突)
应用场景
用户私网 VLAN(如 VLAN 2)与运营商公网 VLAN(如 VLAN 100)冲突,通过 Tag 替换实现互通。
工作原理
- 入方向:接收报文的 VLAN Tag(私网)替换为目标 VLAN Tag(公网)。
- 出方向:接收报文的 VLAN Tag(公网)替换为原私网 VLAN Tag。
核心配置步骤
- 创建映射前后的 VLAN:
vlan batch 2 100。 - 配置端口为 Trunk 并允许 VLAN:
interface GE0/0/2→port link-type trunk→port trunk allow-pass vlan 2 100。 - 使能 VLAN 转换并配置映射:
qinq vlan-translation enable→port vlan-mapping vlan 2 map-vlan 100。
关键要点
- 仅支持单层 VLAN Tag 转换,Trunk 端口需同时允许映射前后的 VLAN ID。
- 常用于企业接入运营商网络的场景,避免 VLAN ID 重复导致的通信故障。
4. QinQ(双层 Tag,跨网互通)
应用场景
企业跨运营商二层互通(如总部与分部),节省公网 VLAN ID 资源(公网用 1 个 VLAN 承载多个私网 VLAN)。
工作原理
- 封装逻辑:私网 VLAN Tag(内层)外叠加公网 VLAN Tag(外层),报文带着双层 Tag 穿越公网。
- 分类:
- 基本 QinQ(基于端口):端口下所有报文统一叠加固定外层 Tag。
- 灵活 QinQ(基于 VLAN):不同私网 VLAN 可叠加不同外层 Tag。
核心配置步骤
(1)基本 QinQ(基于端口)
- 创建公网 VLAN:
vlan 10。 - 配置端口为 QinQ 隧道模式:
interface GE0/0/2→port link-type dot1q-tunnel→port default vlan 10。 - 互联端口配置 Trunk:
interface GE0/0/1→port trunk allow-pass vlan 10。
(2)灵活 QinQ(基于 VLAN)
- 创建公网 VLAN:
vlan batch 10 20。 - 配置端口为 Hybrid 并允许 VLAN:
interface GE0/0/2→port link-type hybrid→port hybrid untagged vlan 10 20。 - 使能 VLAN 转换并配置映射:
qinq vlan-translation enable→port vlan-stacking vlan 2 stack-vlan 10→port vlan-stacking vlan 3 stack-vlan 20。
关键要点
- 基本 QinQ 配置简单,适合单一私网 VLAN 接入;灵活 QinQ 支持多私网 VLAN 差异化映射。
- 公网设备仅需转发外层 VLAN Tag,无需感知私网 VLAN,保障用户网络独立性。
- 需注意 MTU:双层 Tag 增加 4 字节,需确保链路 MTU≥1504(或配置设备 MTU 调整)。
三、补充知识点(课件延伸 + 实战必备)
1. 高级特性选型建议
- 隔离与访问控制(员工 / 客户 / 服务器)→ MUX VLAN。
- 多个 VLAN 共用 IP 段(节省 IP)→ VLAN 聚合。
- 私网与公网 VLAN 冲突→ VLAN Mapping。
- 跨运营商二层互通(多私网 VLAN)→ QinQ(灵活 QinQ 优先)。
2. 常见故障排查要点
- MUX VLAN 不通:检查端口是否启用
port mux-vlan enable,主 / 从 VLAN 关联是否正确。 - VLAN 聚合互访失败:确认 Super-VLAN 已启用
arp-proxy inter-sub-vlan-proxy enable,Sub-VLAN 无 VLANIF 接口。 - QinQ 不通:公网 Trunk 端口是否允许外层 VLAN,内层私网 VLAN 是否在接入端口允许列表。
- VLAN Mapping 失败:端口是否使能
qinq vlan-translation enable,映射前后 VLAN 是否在 Trunk 允许列表。
3. Hybrid 端口实战技巧
- 场景:一台交换机同时连接主机(Untagged)和交换机(Tagged)→ 配置
port hybrid tagged vlan 10 20(连交换机的 VLAN)、port hybrid untagged vlan 30(连主机的 VLAN)。 - 优势:无需切换端口类型,灵活适配多种接入场景。
4. QinQ 的 MTU 问题解决
- 问题:双层 Tag 导致报文超过默认 MTU(1500)被丢弃。
- 解决:在 QinQ 接入端口配置
mtu 1504(1500+4 字节 Tag),或在公网链路启用 Jumbo Frame。