VLAN配置学习笔记

1、VLAN的基础配置命令

（1）创建VLAN

[Huawei] vlan vlan-id

通过此命令创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。

vlan-id是整数形式，取值范围是1～4094。

[Huawei] vlan batch { vlan-id1 [ to vlan-id2 ] }

通过此命令批量创建VLAN。其中：

• batch：指定批量创建的VLAN ID。

• vlan-id1：表示第一个VLAN的编号。

• vlan-id2：表示最后一个VLAN的编号。

2、Access接口的基础配置命令

（1）配置接口类型

[Huawei-GigabitEthernet0/0/1] port link-type access

在接口视图下，配置接口的链路类型为Access。

（2）配置Access接口的缺省VLAN

[Huawei-GigabitEthernet0/0/1] port default vlan vlan-id

在接口视图下，配置接口的缺省VLAN并同时加入这个VLAN。

• vlan-id：配置缺省VLAN的编号。整数形式，取值范围是1～4094。

3、Trunk接口的基础配置命令

（1）配置接口类型

[Huawei-GigabitEthernet0/0/1] port link-type trunk

在接口视图下，配置接口的链路类型为Trunk。

（2）配置Trunk接口加入指定VLAN

[Huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } | all }

在接口视图下，配置Trunk类型接口加入的VLAN。

（3）(可选) 配置Trunk接口的缺省VLAN

[Huawei-GigabitEthernet0/0/1] port trunk pvid vlan vlan-id

在接口视图下，配置Trunk类型接口的缺省VLAN。

4、案例1：基于接口划分VLAN

组网需求：

某企业的交换机连接有很多用户，且相同业务用户通过不同的设备接入企业网络。为了通信的安全性，企业希望业务相同用户之间可以互相访问，业务不同用户不能直接访问。

可以在交换机上配置基于接口划分VLAN，把业务相同的用户连接的接口划分到同一VLAN。这样属于不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。

（1）创建VLAN

SW1：

sys

un in en

sysn SW1

vlan 10

quit

vlan 20

quit

SW2：

sys

un in en

sysn SW2

vlan batch 10 20

（2）配置Access接口和Trunk接口

SW1：

interface GigabitEthernet 0/0/1

port link-type access

port default vlan 10

quit

interface GigabitEthernet 0/0/2

port link-type access

quit

vlan 20

port GigabitEthernet0/0/2

quit

SW2：

interface GigabitEthernet 0/0/1

port link-type access

port default vlan 10

quit

interface GigabitEthernet 0/0/2

port link-type access

port default vlan 20

quit

（3）配置Trunk接口，并创建对应的允许通过列表：

SW1：

interface GigabitEthernet 0/0/3

port link-type trunk

port trunk allow-pass vlan10 20

quit

SW2：

interface GigabitEthernet 0/0/3

port link-type trunk

port trunk allow-pass vlan10 20

quit

（4）验证配置

查看VLAN-- display vlan

查看端口VLAN信息-- display port vlan active

5、Hybrid接口的基础配置命令

（1）配置接口类型

[Huawei-GigabitEthernet0/0/1] port link-type hybrid

在接口视图下，配置接口的链路类型为Hybrid。

（2）配置Hybrid接口加入指定VLAN

[Huawei-GigabitEthernet0/0/1] port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }

在接口视图下，配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Untagged方式通过接口。

[Huawei-GigabitEthernet0/0/1] port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }

在接口视图下，配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Tagged方式通过接口。

（3）(可选) 配置Hybrid接口的缺省VLAN

[Huawei-GigabitEthernet0/0/1] port hybrid pvid vlan vlan-id

在接口视图下，配置Hybrid类型接口的缺省VLAN。

6、案例2：基于接口划分VLAN

组网需求：

某企业的交换机连接有很多用户，且不同部门的用户都需要访问公司服务器。但是为了通信的安全性，企业希望不同部门的用户不能直接访问。

可以在交换机上配置基于接口划分VLAN，并配置Hybrid接口，使得不同部门的用户不能直接进行二层通信，但都可以直接访问公司服务器。

（1）创建VLAN及配置接口类型

SW1：

sys

un in en

sysn SW1

vlan batch 10 20 100

interface GigabitEthernet 0/0/1

port link-type hybrid

port hybrid pvid vlan 10

port hybrid untagged vlan 10 100

interface GigabitEthernet 0/0/2

port link-type hybrid

port hybrid pvid vlan 20

port hybrid untagged vlan 20 100

interface GigabitEthernet 0/0/3

port link-type hybrid

port hybrid tagged vlan 10 20 100

SW2：

sys

un in en

sysn SW1

vlan batch 10 20 100

interface GigabitEthernet 0/0/1

port link-type hybrid

port hybrid pvid vlan 100

port hybrid untagged vlan 10 20 100

interface GigabitEthernet 0/0/3

port link-type hybrid

port hybrid tagged vlan 10 20 100

（2）验证配置

display vlan

display port vlan active

7、基于MAC划分Vlan

7.1VLAN的基础配置命令

（1）关联MAC地址与VLAN

[Huawei-vlan10] mac-vlan mac-address mac-address [ mac-address-mask | mac-address-mask-length]

通过此命令配置MAC地址与VLAN关联。

• mac-address：指定与VLAN关联的MAC地址。格式为H-H-H。其中H为4位的十六进制数，可以输入1～4位，如00e0、fc01。当输入不足4位时，表示前面的几位为0，如：输入e0，等同于00e0。MAC地址不可设置为0000-0000-0000、FFFF-FFFF-FFFF和组播地址。

• mac-address-mask：指定MAC地址掩码。格式为H-H-H，其中H为1至4位的十六进制数。

• mac-address-mask-length：指定MAC地址掩码长度。整数形式，取值范围是1～48。

（2）使能MAC地址与VLAN

[Huawei-GigabitEthernet0/0/1] mac-vlan enable

通过此命令使能接口的MAC VLAN功能。

7.2案例：基于MAC地址划分VLAN

组网需求：

某个公司的网络中，网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全，要求只有本部门员工的主机才可以访问公司网络。

主机1、主机2、主机3为本部门员工的主机，要求这几台主机可以通过SW1访问公司网络，如换成其他主机则不能访问。

可以配置基于MAC地址划分VLAN，将本部门员工主机的MAC地址与VLAN绑定，从而实现该需求。