VLAN 就是在一台物理交换机上,用软件划分出多个互相隔离的"虚拟小交换机"。本次博客将总结华为设备VLAN原理和配置。
文章目录
-
- [一、为什么要 VLAN?------ 没有 VLAN 的世界有多乱](#一、为什么要 VLAN?—— 没有 VLAN 的世界有多乱)
- [二、VLAN 的工作原理------打标签与剥标签](#二、VLAN 的工作原理——打标签与剥标签)
-
- 1、不带标签的帧(Untagged)
- [2、 带标签的帧(Tagged)](#2、 带标签的帧(Tagged))
- [3、 交换机怎么处理?](#3、 交换机怎么处理?)
- [三、VLAN 的端口类型](#三、VLAN 的端口类型)
-
- [1、 Access 端口------接终端设备(电脑、打印机)](#1、 Access 端口——接终端设备(电脑、打印机))
- [2、 Trunk 端口------交换机互联、路由器子接口](#2、 Trunk 端口——交换机互联、路由器子接口)
- [`3、Hybrid 端口------华为特有,灵活性极高`](#
3、Hybrid 端口——华为特有,灵活性极高)
- [四、VLAN 间通信------不同 VLAN 怎么互通?](#四、VLAN 间通信——不同 VLAN 怎么互通?)
-
- [1、方式一:路由器 + 单臂路由](#1、方式一:路由器 + 单臂路由)
- 2、方式二:三层交换机(企业主流)
- [五、VLAN 配置实战------手把手带你敲](#五、VLAN 配置实战——手把手带你敲)
-
- [1、步骤 1:创建 VLAN](#1、步骤 1:创建 VLAN)
- [2、步骤 2:配置 Access 端口](#2、步骤 2:配置 Access 端口)
- [3、步骤 3:配置 Trunk 口(上联路由器)](#3、步骤 3:配置 Trunk 口(上联路由器))
- [4、步骤 4:验证配置](#4、步骤 4:验证配置)
- [5、步骤 5:(可选)配置 VLANIF 实现三层互通](#5、步骤 5:(可选)配置 VLANIF 实现三层互通)
- 六、常见坑点与避坑指南
-
- [1、坑 1:Trunk 两端允许的 VLAN 不一致](#1、坑 1:Trunk 两端允许的 VLAN 不一致)
- [2、坑 2:Access 端口忘了配 default vlan](#2、坑 2:Access 端口忘了配 default vlan)
- [3、坑 3:Hybrid 端口 PVID 没设对](#3、坑 3:Hybrid 端口 PVID 没设对)
- [4、坑 4:三层交换机没开启路由功能](#4、坑 4:三层交换机没开启路由功能)
- [5、坑 5:VLAN 创建了却没把端口加进去](#5、坑 5:VLAN 创建了却没把端口加进去)
- [七、HCIP 考试要点速记](#七、HCIP 考试要点速记)
-
- [1、VLAN 隔离广播域:不同 VLAN 的广播互不影响。](#1、VLAN 隔离广播域:不同 VLAN 的广播互不影响。)
- [2、802.1Q 标签:4 字节,12 位 VLAN ID。](#2、802.1Q 标签:4 字节,12 位 VLAN ID。)
- [3、Access / Trunk / Hybrid:区别和适用场景。](#3、Access / Trunk / Hybrid:区别和适用场景。)
- [4、PVID:端口默认 VLAN ID,收到无标签帧时打上。](#4、PVID:端口默认 VLAN ID,收到无标签帧时打上。)
- [5、VLANIF:三层逻辑接口,实现跨 VLAN 路由。](#5、VLANIF:三层逻辑接口,实现跨 VLAN 路由。)
- [6、单臂路由:路由器子接口 + 802.1Q 封装。](#6、单臂路由:路由器子接口 + 802.1Q 封装。)
- 八、总结口诀
一、为什么要 VLAN?------ 没有 VLAN 的世界有多乱
1、网络问题
假设公司有财务部、人事部、研发部,全都插在同一台交换机上:
-
问题 1:广播泛滥
财务部有台电脑中病毒狂发广播包,全公司所有电脑都得停下来处理这些垃圾广播 → 网络卡成幻灯片。
-
问题 2:安全堪忧
没有隔离,研发部的"小张"随便用抓包软件就能看到财务部的敏感数据 → 泄密。
-
问题 3:管理混乱
一个部门的人分散在不同楼层?那他们只能拉很长的网线或者用路由器连接,麻烦。
2、VLAN 的解决方案
把物理交换机切成三块:
-
VLAN 10 给财务部
-
VLAN 20 给人事部
-
VLAN 30 给研发部
3、效果
财务部的广播只在 VLAN 10 里传,其他部门完全收不到。
不同 VLAN 之间默认不能通信,想互通必须经过路由器或三层交换机。
同一个部门的人即使在不同楼层,只要把他们的端口划到同一个 VLAN,就像在同一个办公室里。
二、VLAN 的工作原理------打标签与剥标签
VLAN 是怎么隔离的?靠 标签(Tag)。
1、不带标签的帧(Untagged)
普通电脑发出的数据帧,没有 VLAN 标签。交换机收到后,会打上这个端口的 PVID(Port VLAN ID)。
2、 带标签的帧(Tagged)
在以太网帧的源 MAC 和目标 MAC 之间,插入一个 4 字节的 802.1Q 标签,里面最重要的就是 VLAN ID(0-4095,其中 0 和 4095 保留,可用 1-4094)。
3、 交换机怎么处理?
- 收到一个帧,看它有没有标签:
有标签:检查这个 VLAN 是否允许从该端口进入,如果允许,就按 VLAN 转发。
无标签:打上端口的 PVID,然后按这个 VLAN 转发。
- 转发出去时,根据端口的配置决定 保留标签(Tagged)还是剥掉标签(Untagged)。
比喻:
VLAN 标签就像快递上的"收件人部门标签"。交换机就像分拣中心,根据标签把包裹送到对应的部门,不同部门的快递不会混在一起。
三、VLAN 的端口类型
华为交换机有三种端口模式,必须搞清楚。
1、 Access 端口------接终端设备(电脑、打印机)
(1)特点
只属于一个 VLAN,发出帧时 剥掉标签(电脑不认识标签)。
(2)配置
bash
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10应用场景:连 PC、服务器、IP 电话。
2、 Trunk 端口------交换机互联、路由器子接口
(1)特点
一条链路上承载多个 VLAN,发出帧时 保留标签(除了 PVID 的帧可以剥掉)。
(2)配置
bash
interface GigabitE0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 30 # 允许哪些 VLAN 通过
port trunk pvid vlan 1 # 默认 PVID 是 1,一般不修改(3)应用场景
交换机之间相连、交换机连路由器(单臂路由)。
3、Hybrid 端口------华为特有,灵活性极高
(1)特点
可以手动指定哪些 VLAN 发出时带标签,哪些不带。Access 和 Trunk 能做的它都能做,但配置稍复杂。
(2)配置
bash
interface GigabitEthernet0/0/1
port link-type hybrid
port hybrid pvid vlan 10
port hybrid untagged vlan 10 20 # 发 VLAN 10 和 20 时脱标签
port hybrid tagged vlan 30 # 发 VLAN 30 时带标签(3)应用场景:特殊组网,比如一台服务器同时需要多个 VLAN 的通信。
初学者建议:先用 Access 和 Trunk,Hybrid 知道概念就行,等熟悉了再玩花的。
四、VLAN 间通信------不同 VLAN 怎么互通?
VLAN 默认隔离,想让 VLAN 10 访问 VLAN 20,必须经过三层设备。
1、方式一:路由器 + 单臂路由
-
交换机 Trunk 口连路由器物理接口。
-
路由器配 子接口,每个子接口对应一个 VLAN,封装 802.1Q。
-
缺点:流量都挤在一个物理口,容易成瓶颈。
2、方式二:三层交换机(企业主流)
-
给每个 VLAN 创建一个 VLANIF 逻辑接口,配置 IP 地址作为该 VLAN 的网关。
-
不同 VLANIF 之间自动路由(IP forwarding)。
-
配置示例:
bash
vlan 10
interface Vlanif10
ip address 192.168.10.1 24
vlan 20
interface Vlanif20
ip address 192.168.20.1 24- 然后把端口划进对应 VLAN,PC 的网关指向 VLANIF IP,就能跨 VLAN 通信了。
五、VLAN 配置实战------手把手带你敲
拓扑场景 :
一台交换机,端口 G0/0/1 接 PC1(VLAN 10),端口 G0/0/2 接 PC2(VLAN 20),端口
G0/0/24 接上层路由器。
1、步骤 1:创建 VLAN
bash
system-view
vlan 10
description Finance
vlan 20
description HR2、步骤 2:配置 Access 端口
bash
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
port link-type access
port default vlan 203、步骤 3:配置 Trunk 口(上联路由器)
bash
interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 # 允许 VLAN 10 和 20 通过4、步骤 4:验证配置
bash
display vlan # 查看 VLAN 信息及端口成员
display interface trunk # 查看 Trunk 口状态5、步骤 5:(可选)配置 VLANIF 实现三层互通
bash
interface Vlanif10
ip address 192.168.10.1 24
interface Vlanif20
ip address 192.168.20.1 24给 PC1 配 IP 192.168.10.2/24,网关 192.168.10.1;PC2 配 192.168.20.2/24,网关 192.168.20.1,然后互 ping 就能通。
六、常见坑点与避坑指南
1、坑 1:Trunk 两端允许的 VLAN 不一致
-
左边 Trunk 允许 VLAN 10,20,右边只允许 VLAN 10,那么 VLAN 20 的流量就过不去。
-
检查:display interface trunk 看两端。
2、坑 2:Access 端口忘了配 default vlan
-
默认是 VLAN 1,如果不小心把重要设备划到 VLAN 1,可能造成安全风险或广播泛滥。
-
建议:不用的 VLAN 1 端口都 shutdown。
3、坑 3:Hybrid 端口 PVID 没设对
-
收到不带标签的数据帧会打上 PVID,如果 PVID 没配好,可能进了错误的 VLAN。
-
解决:明确知道 PVID 的作用,尽量用 Access 替代简单场景。
4、坑 4:三层交换机没开启路由功能
- 配了 VLANIF 但还是 ping 不通,可能是没开 ip routing(华为默认开启,但有些型号需要手动开)。
5、坑 5:VLAN 创建了却没把端口加进去
- display vlan 看到 VLAN 存在,但端口列表为空,那它就是个"空 VLAN",没用。
七、HCIP 考试要点速记
1、VLAN 隔离广播域:不同 VLAN 的广播互不影响。
2、802.1Q 标签:4 字节,12 位 VLAN ID。
3、Access / Trunk / Hybrid:区别和适用场景。
4、PVID:端口默认 VLAN ID,收到无标签帧时打上。
5、VLANIF:三层逻辑接口,实现跨 VLAN 路由。
6、单臂路由:路由器子接口 + 802.1Q 封装。
八、总结口诀
VLAN 切分广播域,Access 接电脑,Trunk 传多 VLAN,Hybrid 加花活。 PVID 打标签,VLANIF 通三层,不同
VLAN 默认不通,想通找网关。
备考心法
-
在 ENSP 里搭一个交换机,连两台 PC,配不同 VLAN,看能不能 ping 通(应该不通)。
-
再配 VLANIF,看通了没。
-
最后把两台交换机用 Trunk 连起来,跨交换机的同 VLAN 通信也搞明白。