华为交换机配置

小伙伴们通过Console口登录后还希望远程登录和管理交换机，就可以在交换机上配置Telnet服务功能并使用AAA验证方式登录。

步骤1：从PC1通过交换机Console口登录交换机。

步骤2：配置交换机名称和管理IP地址。

<Quidway>system-view
[Quidway] sysname Server
[Server] interface ethernet 0/0/0 //框式和盒式的管理口是不一样的哦，框式和盒式的分别是: Ethernet 0/0/0、MEth 0/0/1。

有些盒式设备没有管理口，可使用VLANIF接口配置管理IP地址。

[Server-Ethernet0/0/0] ip address 10.10.10.10 24
[Server-Ethernet0/0/0] quit
步骤3：配置路由协议，保证PC2和交换机之间路由可达。

步骤4：配置Telnet用户的级别和认证方式。

[Server] telnet server enable
[Server] user-interface vty 0 4
[Server-ui-vty0-4] user privilege level 15
[Server-ui-vty0-4] authentication-mode aaa
[Server-ui-vty0-4] quit
[Server] aaa
[Server-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
[Server-aaa] local-user admin1234 privilege level 15
[Server-aaa] local-user admin1234 service-type telnet
[Server-aaa] quit
步骤5：从PC2以Telnet方式登录交换机。

以进入Windows运行窗口，并执行相关命令，通过Telnet方式登录交换机为例：
单击“确定”后，在登录窗口输入用户名和密码，验证通过后，出现用户视图的命令行提示符。

表示登录成功。

什么是镜像？
镜像是指将经过指定端口（镜像端口）或者指定VLAN（镜像VLAN）的报文复制一份到另一个指定端口（观察端口），然后转发到网络监控设备，供网络管理员进行网络监控与故障管理。

看官们可以通过下面的这张图了解下镜像具体的工作机制，以及需要注意的地方。

那么镜像在网络维护中具体能做些什么呢？
1、故障定位
在系统运行过程中，可能由于系统软件处理异常、网络设备硬件故障、计算机病毒或用户不正常使用等原因造成网络上流量异常或产生错误报文。

为了在不影响系统运行的情况下对网络上的报文进行分析，以定位故障产生的原因，这时候就可以使用镜像。

2、业务可视
为了更好的理解企业内部业务流量模型, 在网络汇聚或核心交换机上，对业务流量进行镜像，以便在不影响正常业务的情况下，使企业各类应用清晰可视。

比如说, 多少用户在上班时间访问QQ；员工访问公司内部服务器的访问量排名情况。

3、入侵检测
为了发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性, 在企业的上行接口，将所有出入的流量镜像到一个IDS服务器上，进行实时分析。

比如外部访问公司服务器的访问量激增，分析一下这些是不是属于攻击报文等。

下面小编再通过简单的组网环境演示一下我们常用的二层远程端口镜像是如何配置的吧。

如图所示，员工A与DNS服务器在同一个VLAN，通过二层网络通信，现在监控PC通过在SwitchA配置的二层远程端口镜像，来监控员工A访问DNS服务器的记录。

1、具体每台交换机上的配置如下：
∙●∙SwitchA的配置文件
#
sysname SwitchA
#
vlan batch 10 20 //VLAN10为用户VLAN，VLAN20用于转发镜像报文
#
observe-port 1 interface GigabitEthernet0/0/1 vlan 20 //配置GE0/0/1为二层远程观察端口，
用的观察端口索引为1，远程镜像VLAN为VLAN20，复制的报文会通过GE0/0/1向VLAN20转发
#
interface GigabitEthernet0/0/1 //观察端口不需要加入VLAN20，上面的配置已实现镜像报文通过GE0/0/1向VLAN20转发
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10 //端口加入VLAN，员工A与DNS之间通信
port-mirroring to observe-port 1 inbound //将GE0/0/2入方向的报文（即接收到的员工A发送的报文）镜像到观察端口1（即GE0/0/1）
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10 //端口加入VLAN，员工A与DNS之间通信
∙●∙SwitchB的配置文件
#
sysname SwitchB
#
vlan batch 20 //用于转发镜像报文到监控PC
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20 //端口加入VLAN，用于转发镜像报文到监控PC
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20 //端口加入VLAN，用于转发镜像报文到监控PC
2、在SwitchA查看端口镜像的配置情况：
3、检查员工A与DNS服务器间通信的报文是否镜像到监控PC：
先在监控PC上启用抓包工具，然后在员工A的PC上向DNS服务器发个ping报文。

最后通过抓包工具抓取报文。

可以发现抓取到了源地址为员工A地址、目的地址为监控PC地址的ping报文。

【交换机在江湖】第二十五章网监利器镜像——规格篇
Hi，小伙伴们~小编我又浓重登场了~在上一期的《镜像原理配置篇》中，我们介绍了镜像工作的基本原理，他在网络中的具体应用，以及如何配置。

不过在实际应用配置时，小伙伴们可能会遇到这样的问题：我想将交换机连到多台监控设备上，为啥配置的时候一直提示资源已达上限，配不下去？
其实，很多时候这与我们的镜像规格有关。

由于芯片能力、镜像内部处理流程等因素的问题，导致了不同交换机间的镜像规格差异较大。

因此，小编费了九牛二虎之力，将不同版本不同形态交换机的镜像规格收集整理了一下，希望能对小伙们有所帮助~
本期将介绍下面几块内容：
1. 观察端口规格：如果需要了解交换机最多能配置多少个观察端口，以及如何计算剩余可用观察端口资源，可以查阅这部分内容。

2. 1：N镜像规格：如果需要了解1份报文能同时镜像到多少个观察端口，可以查阅这部分内容。

3. N：1镜像规格：如果需要了解最多能有多少份不同的报文同时镜像到1个观察端口，可以查阅这部分内容。

4. M：N镜像规格：如果需要了解M份不同的报文同时镜像到多少个观察端口，可以查阅这部分内容。

5. 如何解决设备观察端口不足的问题：如果想知道在交换机镜像资源有限的情况下，如何通过其他方法解决这个问题，可以查阅这部分内容。

1 观察端口规格
1.1 观察端口的配置方式
介绍观察端口规格前，小编先和大家介绍下观察端口的配置方式。

因为不同的配置方式对一部分交换机的观察端口规格会有影响。

在V200R005以前的版本交换机只支持逐一配置单个观察端口。

从V200R005版本开始，交换机支持单个配置和批量配置两种方式，而且这两种方式可以同时配置。

批量配置的观察端口相当于加入了一个观察端口组，镜像端口在配置的时候会绑定这整个观察端口组。

所以批量配置一般在1：N镜像的时候使用，主要是为了配置方便，如图所示。

1.2 观察端口规格
观察端口规格包括两方面内容，一方面是我们的交换机最多能配多少个观察端口；另一方面是镜像端口入方向能绑定多少个观察端口，出方向能绑定多少个观察端口。

我们在配置镜像功能时，这两方面的内容都需要注意。

下面表1~表5分别列举了不同版本不同框式单板和盒式交换机的观察端口规格：
表1 华为S系列框式交换机不同单板在V200R001版本~V200R003版本的观察端口规格
表2 华为S系列框式交换机不同单板在V200R005版本及以后版本的观察端口规格
2 1：N镜像规格
1
21：1：N镜像是指将单份报文同时镜像到N个不同的观察端口，如图所示：
N：1镜像主要用于需要监控多个镜像端口流经的报文流。

其中N的规格没有限制，就是说只要小伙伴愿意，可以把这个交换机的端口入方向或者出方向都绑定到同一个观察端口，对镜像端口的数量没有限制。

4 M：N镜像规格
M：N镜像是指将M份不同的报文同时镜像到N个不同的观察端口。

M：N镜像相当于M个1：N镜像叠加，如图所示，所以他一般都用在既要监控多个镜像端口，又要这些镜像端口的报文发送到多台监控设备的综合场景。

其实，我们通过前面的1：N镜像和N：1镜像就可以看出，M：N镜像对于M无规格限制，N的规格参考就1：N镜像中N的规格。

5 如何解决设备观察端口不足的问题
交换机上的观察端口是有限的，如果当前需要连接的监控设备有很多，需要的观察端口数量超过了规格上限，我们该如何是好呢。

下面小编总结了两种比较常用的方式。

配置远程镜像，通过远程观察端口进行内部环回广播
如图所示，网络管理员需要将镜像端口的报文镜像到4台监控设备，而SwitchB可以配置观察端口数量少于4。

我们通过远程观察端口内部环回广播的实现过程如下：1、配置远程端口镜像
<SwitchB> system-view
[SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置远程观察端口，VLAN20为用于内部环回广播的VLAN
[SwitchB] interface gigabitethernet1/0/6
[SwitchB-GigabitEthernet1/0/6] port-mirroring to observe-port 1 both //将镜像端口出入方向报文都镜像到内部环回用的远程观察端口
[SwitchB-GigabitEthernet1/0/6] quit
2、配置内部环回功能
[SwitchB] vlan batch 20 //用于内部环回转发，不能在VLAN20配其他业务
[SwitchB] interface gigabitethernet1/0/1
[SwitchB-GigabitEthernet1/0/1] loopback internal //将远程观察端口配置为内部环回端口
[SwitchB-GigabitEthernet1/0/1] mac-address learning disable //关闭端口MAC动态学习功能，防止内部环回端口学习到外部的MAC地址，将外部接收到的报文在内部环回转发
[SwitchB-GigabitEthernet1/0/1] stp disable //关闭STP功能，避免内部环回端口因收到设备自己发送的报文，设置成Discarding状态，将端口阻塞
[SwitchB-GigabitEthernet1/0/1] port link-type access
[SwitchB-GigabitEthernet1/0/1] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface gigabitethernet1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type access
[SwitchB-GigabitEthernet1/0/2] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet1/0/3
[SwitchB-GigabitEthernet1/0/3] port link-type access
[SwitchB-GigabitEthernet1/0/3] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/3] quit
[SwitchB] interface gigabitethernet1/0/4
[SwitchB-GigabitEthernet1/0/4] port link-type access
[SwitchB-GigabitEthernet1/0/4] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/4] quit
[SwitchB] interface gigabitethernet1/0/5
[SwitchB-GigabitEthernet1/0/5] port link-type access
[SwitchB-GigabitEthernet1/0/5] port default vlan 20 //将端口加入内部环回广播用的VLAN
[SwitchB-GigabitEthernet1/0/5] quit
配置远程镜像，通过中间二层设备进行VLAN广播
如图所示，网络管理员需要将镜像端口的报文镜像到3台监控设备，而SwitchB可以配置观察端口数量少于3。

我们通过SwitchC进行VLAN广播的实现过程如下：1、在SwitchB配置远程端口镜像
<SwitchB> system-view
[SwitchB] observe-port 1 interface gigabitethernet1/0/1 vlan 20 //配置远程观察端口，VLAN20为用于转发镜像报文的普通VLAN
[SwitchB] interface gigabitethernet1/0/2
[SwitchB-GigabitEthernet1/0/2] port-mirroring to observe-port 1 both //将镜像端口出入方向报文都镜像到远程观察端口
[SwitchB-GigabitEthernet1/0/2] quit
2、在SwitchC配置端口加入VLAN
[SwitchC] interface gigabitethernet1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface gigabitethernet1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type access
[SwitchC-GigabitEthernet1/0/2] port default-vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/2] quit
[SwitchC] interface gigabitethernet1/0/3
[SwitchC-GigabitEthernet1/0/3] port link-type access
[SwitchC-GigabitEthernet1/0/3] port default-vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchC-GigabitEthernet1/0/3] quit
[SwitchC] interface gigabitethernet1/0/4
[SwitchC-GigabitEthernet1/0/4] port link-type access
[SwitchC-GigabitEthernet1/0/4] port default-vlan 20 //将端口加入用于转发镜像报文的VLAN20
[SwitchB-GigabitEthernet1/0/4] quit
~
接口配置
配置临时端口组
举个栗子：飞飞需要将GE1/0/1～GE1/0/20共二十个接口均关闭，但是后续这些接口由于配置不一致，还需要单独进行配置，那就可以选择临时端口组进行如下配置：<HUAWEI> system-view
[HUAWEI] port-group group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/20 // 将接口GE1/0/1～GE1/0/20加入到临时端口组，此步骤等同于执行命令interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/20
[HUAWEI-port-group]shutdown // 临时端口组视图中配置需要批量下发的命令
[HUAWEI-port-group] quit // 退出临时端口组后，系统就会自动删除这个临时端口组
配置永久端口组
再举个栗子：飞飞需要将GE2/0/1～GE2/0/10共十个接口均配置为access接口，而且这些接口配置信息相对固定，均保持一致，那就可以选择永久端口组进行如下配置：
<HUAWEI> system-view
[HUAWEI] port-group portgroup1 // 创建名称为portgroup1的永久端口组
[HUAWEI-port-group-portgroup1] group-member gigabitethernet2/0/1 to gigabitethernet 2/0/10
// 将接口GE2/0/1～GE2/0/10加入到永久端口组中
[HUAWEI-port-group-portgroup1] port link-type access
// 永久端口组视图中配置需要批量下发的命令
[HUAWEI-port-group-portgroup1] quit // 退出端口组视图后，名称portgroup1的永久端口组仍然存在
江湖小贴士：如何知道永久端口组中的成员接口呢?
执行命令display port-group [ all | port-group-name ]，就可以查看永久端口组的成员接口信息啦。

张飞按照诸葛神人的锦囊妙计，轻松快捷的给各个营帐分配了一个接口，并批量配置了相关功能。

为了练练手，他居然又在一个空闲端口上一股脑配置了N多条命令。

“这下可惨了，被姜维发现又该揭我老底，说我是村野匹夫啦，咋办，赶快看手册，看看如何批量清除一个接口的所有配置。

铛铛铛！找到了，只需要在接口视图下执行命令clear configuration this就可以一键清除接口下的配置啦。

搞定！”
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] display this
#
interface GigabitEthernet0/0/1
description switch-A
port link-type access
#
return
[HUAWEI-GigabitEthernet0/0/1] clear configuration this // 清除接口下所有配置，恢复到缺省值
Warning: All configurations of the interface will be cleared，and its state will be shutdown. Continue? [Y/N] :y
Info: Total 2 command(s) executed, 2 successful, 0 failed.
[HUAWEI-GigabitEthernet0/0/1] display this
#
interface GigabitEthernet0/0/1
shutdown //清除接口下所有配置后，接口将处于关闭状态
#
return
日上三竿，诸葛神人已经补觉起床，见张飞已经为各个营帐对应的接口配置完毕，大赞张飞。

与此同时又给张飞提了一个难题：“翼德，我们中军营帐信息安全极为重要，不能和士兵的营帐相互通信，我该怎么配置呢，你造吗？”张飞丈二和尚摸不着头脑，只见姜维在后面暗笑。

“飞飞，你忘了丞相还有第二个锦囊妙计？”
张飞大笑，“速取第二个锦囊。

”
欲知后事如何，请听下回分解。

剧透：下期将带给大家的是接口配置锦囊妙计二----端口隔离。

敬请期待！
PS：版本支持情况
1. 永久端口组命令port-group port-group-name。

所有版本均支持；
2. 临时端口组命令port-group group-member { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10>是在交换机V200R001C00及后续版本支持；
3. interface range { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-10>
命令在交换机V200R003C00及后续版本才支持配置。

【交换机在江湖】第十一章接口配置锦囊妙计之三----端口自协商
上一回说到诸葛神人四处招兵买马，待机讨伐中原。

百姓素闻蜀军乃仁义之师，皆纷纷归顺，以壮大其阵营。

为便于及时下发军令，诸葛神人决定为新兵营帐再买入一批华为交换机。

当然这次的设备安装和调测还是让张飞来打头阵。

经过前两回的配置端口组和端口隔离操作，张飞自信满满，以为不需要丞相妙计，自己便可以解决问题，于是决定先自己捣鼓。

可是当他将设备之间的接口连线并上电后，发现有些接口仍然处于Down状态，排查半天仍然没有解决问题，无奈之下只好打开第三个锦囊，曰：速率双工，助你成功。

自动协商，往来无妨。

姜维见张飞遇到难题，前来助阵。

受丞相锦囊妙计的点拨，很快就找到故障问题的定位思路。

“飞飞，我们还是先一步步排查吧，先问你个问题，如何查看接口是否处于Up状态？”
“这有何难，在当前接口视图下执行命令display this interface就可以查看接口状态了。

”
“飞飞只知其一，不知其二，待我详细告知。

先看下display this interface回显信息：
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] display this interface
GigabitEthernet 1/0/1 current state : UP
Line protocol current state : UP
……
回显信息中的current state和Line protocol current state含义和区别如下：
1.current state表示接口的物理状态，和三层业务及协议没有关系。

2.Line protocol current state表示该接口的协议状态，与协议有关。

对于二层物理接口，一般物理状态current state为Up，协议状态Line protocol current state就会是Up的。

例如，二层物理接口连线正确，并且接口属性配置正常后，物理状态current state和协议状态Line protocol current state都是处于Up状态。

对于三层物理接口，只有物理状态current state为Up，并且协议协商也成功后，协议状态Line protocol current state才会是Up的。

例如，三层物理接口连线正确，并且接口属性配置正常后，如果没有配置IP地址，则物理状态current state为Up，但协议状态Line protocol current state处于Down状态。

当我们设备连线后，在没有配置接口IP地址等操作之前，需要保证接口物理状态即current state是Up即可。

”
“这个我都知道了，关键是我想知道接口物理状态为啥处于Down了。

”
“这就要引出我们的重点啦—只有链路两端接口双工模式和速率都保持一致，接口物理状态才可以Up。

如何保持一致呢？自协商机制或者非自协商机制（强制配置机制）都可以实现。

”
双工模式
双工模式分为全双工和半双工。

全双工是指接口在发送数据的同时也能够接收数据，两者同步进行；而半双工是指一个时间段内只有一个动作发生，即接口某一时间段只接收报文或只发送报文。

举一个全双工的例子，一条东西走向的宽阔马路，可允许两辆马车迎面通过。

当甲辆马车自东向西行驶，乙辆马车自西向东行驶时，两车可以同时行进，互不影响。

这个例子中宽阔的马路代表的就是全双工链路，甲、乙两辆马车分别代表的就是发送方向报文和接收方向报文。

再举一个半双工例子，一根独木桥，同时只能允许一个人通过，当有甲、乙两人从河岸两端迎面走过来时，这种情况下就
只能是一个人在桥头先停下来，等待另外一个人走过来后，再继续走过去。

这个例子中独木桥代表的就是半双工链路，甲、乙两人代表的就是发送方向报文和接收方向报文。

全双工相对于半双工的好处在于迟延小，速度快。

当数据流量较大时，工作在半双工模式的链路就会出现冲突、错包，最终影响了工作性能。

因此半双工已经逐步退出历史舞台啦。

接口速率
接口速率决定了接口传输数据的带宽，一般接口有百兆（100Mbit/s ）、千兆（1000 Mbit/s ） 、万兆（10000Mbit/s ）等速率类型。

不同速率的接口也是可以对接成功的，其工作速率最终是需要保持一致的。

例如，千兆（1000 Mbit/s ）接口和百兆（100Mbit/s ）接口对接，工作速率肯定是双方均支持的速率，一般会是工作在100Mbit/s 。

这个例子也可以看出，接口速率不一定就是其工作速率哦，一般工作速率会小于或等于接口速率。

接口自协商
自协商功能就是给互连设备提供一种交换信息的方式，使物理链路两端的设备通过交互信息自动选择同样的工作参数（包括双工模式和速率），以使其自动配置传输能力，达到双方能够都能支持的最大值。

链路两端的协商模式必须保持一致。

如果链路两端的协商模式不一致，例如本端配置为非自协商模式，对端配置为自协商模式，则本端接口可能为Up 或Down 状态，但对端一定为Down 状态。

链路之间仍无法正常通信。

“这个接口当前工作速率、双工模式、自协商模式信息，我怎么查看呢？”
“还是在链路两端接口均执行命令display this interface ，查看接口的双工模式、速率、协商模式信息，并根据回显中相关信息字段来进行故障定位。

具体的字段信息如下表所示。

故障排查小窍门：保持链路两端接口工作在自协商模式，物理状态处于飞飞，按照丞相妙计，你的端口故障问题自然迎刃而解了。

”
“铛铛铛，问题解决了，接口全部都了，搞定收工。

”
“飞飞莫急，我还有补充：
中军大营、士兵大营、辎重大营上行接入交换机Switch的接口速率均为1000Mbit/s，交换机Switch与外部网络相连接口GE1/0/4的速率也为1000Mbit/s。

如果在Switch上不指定自协商速率，则接
口GE1/0/1、GE1/0/2和GE1/0/3和各自连接的营帐接口速率协商的结果将都为1000Mbit/s，当我军三个大营同时以1000Mbit/s速率对外发送数据时，就可能会造成出接口GE1/0/4拥塞。

“所有接口都是自协商的情况下，最终速率都是接口支持的最大速率，三个入接口都是1000Mbit/s，一个出接口只有1000Mbit/s，（1000 Mbit/s +1000 Mbit/s +1000 Mbit/s）>1000 Mbit/s，出接口数据报文肯定会拥塞了，那拥塞问题咋解决呢？”
“很简单，在自协商模式下，我们也可以控制最终协商的速率。

将GE1/0/1、GE1/0/2和GE1/0/3三个接口的自协商最大速率控制在100Mbit/s以内，则虽然中军大营、士兵大营、辎重大营接口速率均为1000bit/s，但根据自协商结果是链路两端均支持的最大速率这一原则，最终接口协商后的速率也只是100Mbit/s，（100 Mbit/s +100Mbit/s +100Mbit/s）<1000 Mbit/s，拥塞问题就解决了。

配置步骤如下：
<Huawei> system-view
[Huawei] sysname Switch
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] negotiation auto
[Switch-GigabitEthernet1/0/1] auto speed 100 //端口GE0/0/1自协商最大速率为100Mbit/s
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] negotiation auto
[Switch-GigabitEthernet1/0/2] auto speed 100//端口GE0/0/2自协商最大速率为100Mbit/s
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] negotiation auto
[Switch-GigabitEthernet1/0/3] auto speed 100//端口GE0/0/3自协商最大速率为100Mbit/s
[Switch-GigabitEthernet1/0/3] quit
【交换机在江湖】第十二章 VLAN基础篇
相信各位大侠对于VLAN技术的掌握可能已经炉火纯青，但是小编还是要友情提醒下，不管技术如何高超，时不时的还需要补充下基本功滴（知其然知其所以然）！当然对于初入江湖的小伙伴们来说，这是必修课喔（只有打牢基础，对于VLAN的应用才能得心应手）~~
话不多说，让小编带您开始一段愉悦的VLAN基本功之旅吧！期待。

什么是VLAN呢？
VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。

在1996年3月，IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。

新出台的标准进一步完善了VLAN的体系结构，统一了Frame-Tagging方式中不同厂商的标签格式，并制定了VLAN标准在未来一段时间内的发展方向，形成的802.1Q的标准在业界获得了广泛的推广。

后来IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。

802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。

VLAN的数据帧和传统的以太网数据帧有什么区别呢？
IEEE 802.1Q是VLAN的正式标准，在传统的以太网数据帧基础上（源MAC地址字段和协议类型字段之间）增加4个字节的802.1Q Tag。

其中，数据帧中的VID（VLAN ID）字段用于标示该数据帧所属的VLAN，数据帧只能在所属VLAN内进行传输。

VLAN有哪些作用呢？
一张图看懂VLAN的作用:
由上图可以看出：通过划分不同的VLAN，VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。

这里：小编总结了下VLAN技术的优点，一起来看下吧：
1.限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

2.增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。

3.提高网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。

4.灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

VLAN数据帧在经过各接口时是如何处理的呢？
设备上都有哪些类型的接口呢？跟随小编一起看下吧！
Access接口：交换机上用来连接用户主机的接口，它只能连接接入链路（Access Link）。

Trunk接口：交换机上用来和其他交换机连接的接口，它只能连接干道链路（Trunk Link）。

除此之外，还有一种接口叫Hybrid接口，是交换机上既可以连接用户主机，又可以连接其他交换机的接口。

Hybrid接口既可以连接接入链路又可以连接干道链路。

注：Hybrid接口和Trunk接口在接收数据时，处理方法是一样的。

唯一不同之处在于：发送数据时，Hybrid接口可以允许多个VLAN的报文发送时不打标签，而Trunk接口只允许缺省VLAN的报文发送时不打标签。

接口类型不同，交换机对VLAN数据帧的处理过程也不同。

具体处理方式如下：
1、Access接口
2、Trunk接口
3、Hybrid接口
为了帮助小伙伴们更好地理解报文的处理方式，还可以通过下面的表格来学习！！！
【交换机在江湖】第十三章 VLAN划分篇
江湖各位大侠重温了VLAN的基础知识，是否想过4094个VLAN可以怎样划分，哪种方式又是好用简单的？细心的小编特地整理了一番，给各位大侠把玩把玩。

VLAN划分的方式：
∙基于接口划分VLAN：根据交换机接口分配VLAN ID。

配置简单，可以用于各种场景。

∙基于MAC划分VLAN：根据报文的源MAC地址分配VLAN ID。

经常用在用户位置变化，不需要重新配置VLAN的场景。

∙基于子网划分VLAN：根据报文的源IP地址分配VLAN ID。

一般用于对同一网段的用户，进行统一管理的场景。

∙基于协议划分VLAN：根据报文的协议类型分配VLAN ID。

适用于对具有相同应用或服务的用户，进行统一管理的场景。

∙基于匹配策略划分VLAN：根据指定的策略（譬如匹配报文的源MAC、源IP和端口）分配VLAN ID。

适用于对安全性要求比较高的场景。

几种划分VLAN的各种方式中，基于接口划分VLAN，是最常用最简单的方式，那么到底怎么配置，怎么使用呢？
在配置使用之前，先来和小编回顾一下端口常用的链路类型吧。

access：用于交换机和PC相连；
trunk：用于交换机和交换机相连；
hybrid：即可以用于交换机和PC相连，也可以用于交换机和交换机相连。

使用hub链路交换机时，经常使用这种类型的。

好了，下面小编以实际组网为例，讲解一下基于接口划分VLAN的配置。

场景说明1：一台交换机两个用户，怎么通过接口划分VLAN从而实现隔离呢（VLAN就是为了广播域隔离，各位大侠没有忘记吧）。