VLAN网络的配置实例

NBR路由器VLAN配置实例2010-5-17福建星网锐捷网络有限公司版权所有侵权必究前言本文档介绍了NBR路由器VLAN配置实例，针对NBR9.17版本来实现。

关于NBR路由器VLAN配置的更多内容，请参见NBR9.17配置指导手册。

1、客户需求1、网吧客户需要使用多个vlan和对应的网段，在NBR上面建立对应的网关，在内网一台支持VLAN的网管交换机上划分对应的VLAN。

2、NBR的LAN0-3号口，可以直接接网管交换机，也可以直接PC。

3、如果LAN口接PC的话，可以限制每一个LAN口使用的地址段。

4、比如如下的实际需求：用户需要两个VLAN，一个VLAN 10接192.168.0.0/24网段主机，另外一个VLAN 20接192.168.1.0/24网段主机。

路由器以太网口LAN0-3封装802.1Q，都可能需要接网管交换机，为两个VLAN之间主机提供网关进行互相通讯。

同时用户可能需要在LAN 1口，直接接PC，使用192.168.0.0/24网段；在LAN2口，直接接PC，使用192.168.0.0/24网段。

注意：此需求可以使用NBR 9.17的native vlan功能来实现，注意在NBR9.17配置指导手册中有注明：native vlan功能目前只适用于NBR1200G这款产品，这是一个没有更新的描述，其实在NBR9.17的版本上，大部分的NBR型号均支持该功能。

2、配置实现interface FastEthernet0/0.10encapsulation dot1Q 10 <= 配置802.1Q封装，VlANID为10ip addr 192.168.0.1 255.255.255.0 <= 配置子接口IP地址vlan port 0 3 tag <=将lan口0，1，2，3绑定到该vlan上，并且指定发出的报文要带tag。

interface FastEthernet0/0.20encapsulation dot1Q 20 <= 配置802.1Q封装，VlANID为20ip addr 192.168.1.1 255.255.255.0 <= 配置子接口IP地址vlan port 0 3 tag <=将lan口0，1，2，3，绑定到该vlan上，并且指定发出的报文要带tag。

VXLAN配置实例（华为）常⽤命令总结： bridge-domain bd-id，创建⼴播域BD，并进⼊BD视图。

description description，配置BD的描述信息。

l2 binding vlan vlan-id，将指定VLAN与BD相关联，实现数据报⽂在BD内进⾏转发。

vxlan vni vni-id，配置BD所对应的VXLAN的VNI. source ip-address，配置VXLAN隧道源端VTEP的IP地址。

vni vni-id head-end peer-list ip-address &<1-10>，配置头端复制列表。

display bridge-domain [ bd-id [ brief | verbose ] ]，查看BD的配置信息。

display vxlan tunnel [ tunnel-id ] [ verbose ]，查看VXLAN隧道的信息。

display vxlan vni [ vni-id [ verbose ] ]，查看VNI的VXLAN的配置信息。

display vxlan peer [ vni vni-id ]，查看VNI的⽬的端VTEP的IP地址。

display bridge-domain bd-id statistics，查看BD内报⽂的统计信息。

display vxlan statistics source source-ip-address peer peer-ip-address [ vni vni-id ]，查看VXLAN隧道报⽂的统计信息。

reset bridge-domain bd-id statistics，清除指定BD内流量统计信息。

reset vxlan statistics source source-ip-address peer peer-ip-address [ vni vni-id ]，清除VXLAN隧道报⽂统计信息。

基于mac的vlan的实例本文将介绍基于mac的vlan的实例。

VLAN（Virtual Local Area Network）是一种实现虚拟网络的技术，可以将物理网络划分为若干个逻辑网络，实现不同网络之间的隔离和资源共享。

1. 简介基于mac的vlan是一种vlan技术，它通过提取数据包中的MAC地址信息来实现虚拟网络。

它可以让不同的MAC地址属于不同的虚拟网络，实现虚拟隔离。

2. 实例操作步骤2.1. 创建vlan在终端中输入以下命令创建vlan。

sudo ifconfig en0 vlan 10 vlandev en0上述命令将在网卡en0上创建一个vlan编号为10的vlan，vlan的数据流量将通过en0网卡传输。

2.2. 配置IP地址在终端中输入以下命令配置IP地址。

sudo ifconfig en0.10 192.168.1.1 netmask 255.255.255.0上述命令将为vlan编号为10的vlan配置IP地址为192.168.1.1，子网掩码为255.255.255.0。

2.3. 配置路由在终端中输入以下命令配置路由。

sudo route add -net 192.168.1.0/24 192.168.1.1上述命令将添加到192.168.1.0/24网络的路由，并将路由的下一跳指向vlan编号为10的vlan的IP地址。

2.4. 测试网络配置完成后，可以通过ping命令测试网络是否正常工作。

ping 192.168.1.1以上命令将向vlan编号为10的vlan的IP地址发送ping包，如果网络正常工作，将收到回复。

3. 总结通过以上实例，我们可以看到，基于mac的vlan技术可以实现虚拟隔离，加强网络的安全性。

同时，由于vlan技术可以将物理网络划分为多个逻辑网络，可以有效地解决网络拥堵的问题，提高网络的运行效率。

局域网实现VLAN实例在局域网中实现虚拟局域网（VLAN）可以提供更好的网络管理和安全性。

VLAN是将一个物理局域网划分为逻辑上独立的多个虚拟局域网的技术。

通过VLAN可以实现不同的用户组之间的隔离和安全访问控制，提高网络的性能和灵活性。

下面将介绍一个局域网实现VLAN的实例。

假设有一家公司拥有一个局域网，包括不同部门和工作组的计算机，其中有人力资源部（HR）、财务部（FIN）、技术部（TECH）和市场部（MARK）等。

现在，公司希望将这些部门和工作组分别划分为不同的虚拟局域网，以实现隔离和安全控制。

首先，我们需要一台支持VLAN功能的交换机。

这样的交换机可以根据不同的标识（如端口号、MAC地址等）将不同的数据包划分到不同的虚拟局域网中。

我们选择一台24端口的交换机，并将其连接到公司的核心路由器。

接下来，我们需要配置交换机的VLAN设置。

假设我们要创建四个VLAN，分别代表不同的部门和工作组。

1. 首先，登录到交换机的管理界面，通常通过Web浏览器或者命令行界面（CLI）可以进行配置。

2.创建虚拟局域网（VLAN）：在交换机的界面中找到VLAN配置选项，创建四个VLAN分别为HR、FIN、TECH和MARK。

3.将端口划分到不同的VLAN：将交换机的端口划分到不同的VLAN，以实现不同部门的隔离。

例如，将与人力资源部相关的端口划分到HRVLAN中，将与财务部相关的端口划分到FINVLAN中，以此类推。

4.配置VLAN间的路由：默认情况下，不同VLAN之间的通信是被禁止的。

如果需要允许不同VLAN之间的通信，需要配置交换机的路由功能。

这要求交换机支持层3路由功能，或者可以将交换机连接到外部路由器。

配置完成后，每个部门和工作组的计算机将被划分到不同的VLAN中。

不同VLAN之间的通信将受到限制，从而增强了网络的安全性。

除了隔离和安全控制外，VLAN还可以提高网络的性能和灵活性。

通过将不同的用户组划分到不同的VLAN中，可以减少广播流量，提高网络的性能。

下面是实验拓扑图：
相关说明：VLAN中文叫做虚拟局域网，它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样，因此广播也就隔离开了。

本次实验用于实现vlan间的路由。

实验过程：
I：配置个模拟主机PC-1 PC-2 PC-3的IP。

II：在交换机KC-S上创vlan.建
III：在交换机上将相应vlan接口上应用vl an.
IV：PC-1不能ping通PC-2或PC-3，但PC-2和PC-3可以互通，可见vlan将主机阻隔
V：将KC-S的f1/1设定为trunk模式
VI：在路由器KC-R上设置支持trunk通信，采用子接口模式。

VII：测试。

MUX VLANMUX VLAN介绍－基本概念作用：MUX VLAN（Multiplex vlan ）提供了一种在VLAN内的端口间进行二层流量隔离的机制。

需求：在企业网络中，企业员工和企业客户可以访问企业的服务器。

对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。

通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间可以互相交流，而企业客户之间是隔离的。

原理： MUX VLAN分为Principal VLAN和Subordinate VLAN，Subordinate VLAN 又分为Separate VLAN和Group VLAN应用场景：如图所示，根据MUX VLAN特性，企业可以用Principal PORT连接企业服务器，Separate PORT连接企业客户，Group PORT连接企业员工。

这样就能够实现企业客户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。

配置实例：组网需求：如图1所示，将Switch设备上的端口GE0/0/1配置为VLAN2并作为主VLAN，创建VLAN3作为group VLAN, 加入端口GE0/0/2和GE0/0/3，创建VLAN4作为separate VLAN, 加入端口GE0/0/4和GE0/0/5。

其中GE0/0/1与HostA相连，GE0/0/2与HostB相连，GE0/0/3与HostC相连，GE0/0/4与HostD相连，GE0/0/5与HostE相连。

HostA和HostB、HostC可以互相ping通。

HostA和HostD、HostE可以互相ping通。

HostB和HostC可以互相ping通。

HostD和HostE不可以互相ping通。

HostB、HostC和HostD、HostE不可以互相ping通操作步骤：1. 创建VLAN2、VLAN3和VLAN4:[Quidway] vlan batch 2 3 4[Quidway] quit2.配置MUX VLAN中的主VLAN和从VLAN:[Quidway] vlan 2[Quidway-vlan2] mux-vlan[Quidway-vlan2] subordinate group 3[Quidway-vlan2] subordinate separate 4[Quidway-vlan2] quit3.配置接口加入VLAN并使能MUX VLAN功能(以端口1为例，其余端口配置相同):[Quidway-GigabitEthernet0/0/1]port link-type access[Quidway-GigabitEthernet0/0/1] port default vlan 2[Quidway-GigabitEthernet0/0/1] port mux-vlan enable。

利用vlan虚接口作为路由接口的配置方法vlan虚接口是一种基于虚拟局域网技术的接口，可以将一个物理接口划分为多个逻辑接口，从而实现多个虚拟网络的隔离和管理。

在路由器中，可以利用vlan虚接口作为路由接口进行网络配置和管理。

一、vlan虚接口的配置方法1. 首先需要在路由器上创建vlan虚拟局域网，可以使用命令行或者web界面进行配置。

例如使用命令行配置vlan10：Switch(config)#vlan 102. 接着需要将vlan虚拟局域网分配给物理接口或者子接口，使得vlan虚接口可以实现与其他网络的通信。

例如将vlan10分配给GigabitEthernet0/0接口：Switch(config-if)#switchport access vlan 103. 最后需要在路由器上配置vlan虚接口，将其作为路由器的接口，实现不同网络的互通。

例如配置vlan10的虚接口：Switch(config)# interface vlan 10Switch(config-if)# ip address 10.0.0.1 255.255.255.0Switch(config-if)# no shutdown二、vlan虚接口作为路由接口的优势1. 实现不同网络之间的互通。

通过vlan虚接口作为路由接口，可以实现不同网络之间的互通，从而实现网络的隔离和管理。

2. 可以提高网络的安全性。

利用vlan虚接口作为路由接口，可以实现不同网络的隔离，从而提高网络的安全性，防止网络攻击和信息泄露。

3. 可以提高网络的灵活性。

通过vlan虚接口作为路由接口，可以实现网络的灵活配置和管理，从而满足不同网络的需求和应用。

4. 可以提高网络的可靠性。

利用vlan虚接口作为路由接口，可以实现网络的冗余和备份，从而提高网络的可靠性和稳定性，防止网络故障和中断。

三、vlan虚接口作为路由接口的应用场景1. 多个vlan虚拟局域网之间的互通。

详解:VLAN+路由器典型配置实例近期看到有些朋友问交换机划 VLAN 后接路由器如何配置访问外网，其实这是个比较简单，也比较典型的配置。

网上也很容易找到，但都不系统很零散。

这里针对几种常见的情况，分别做了配置：1、拓扑结构图：1）本例中的路由器均为华为 AR28-10,交换机 SW1为华为的 S3526 带3 层交换功能，SW2为华为 2403H-EI二层交换机。

2）图模拟了常见的拓扑结构。

也没有用到任何厂商特性，因此也适用于其他厂商的设备，只是命令行有所不同。

2、基础配置：ISP:interface Serial0/0 #配置和RA相连的接口clock DTECLK1link-protocol pppip address 10.0.1.1 255.255.255.252interface LoopBack0 #配置该接口模拟 internet 的一个 IP。

ip address 1.1.1.1 255.255.255.255ip route-static 59.61.94.144 255.255.255.248 10.0.1.2 preference 60 #将该地址段指向 RA，也即分配地址池给 RA。

RA:nat address-group 0 59.61.94.145 59.61.94.150 #配置NAT 地址池，也即ISP分配的地址段。

（如果外网接口类型为广播，则最好把这些地址配置给LOOPBACK接口，否则可能不同，但此例是点对点接口，无此问题）acl number 2000 #配置NA T 用的ACL列表rule 0 permit source 172.16.0.0 0.0.0.255rule 1 permit source 172.16.1.0 0.0.0.255rule 2 permit source 10.0.0.0 0.0.0.3interface Ethernet0/0 #配置内网口ip address 10.0.0.1 255.255.255.252interface Serial0/0 #配置外网口link-protocol pppip address 10.0.1.2 255.255.255.252nat outbound 2000 address-group 0 #做NA T，采用先前配置的地址池。

VLAN的划分和网络的配置实例VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"，注意不是"VPN"（虚拟专用网）。

VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。

这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。

但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。

由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。

通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。

在共享网络中，一个物理的网段就是一个广播域。

而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。

这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。

这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。

在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。

同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。

VLAN间路由配置实例分享在网络中，VLAN（Virtual LAN）是一种将局域网划分为多个虚拟局域网的技术。

不同的VLAN之间通常是隔离的，为了使不同的VLAN之间能够互相通信，需要进行VLAN间路由配置。

本文将分享一个VLAN间路由配置的实例，帮助读者理解如何正确配置VLAN间路由。

首先，我们需要明确一些概念。

在VLAN间路由配置中，我们需要有一个具备路由功能的设备，比如路由器或三层交换机。

此外，我们还需要划分不同的VLAN，并为每个VLAN分配一个IP地址段。

接下来，我们将以一个企业网络为例，展示如何配置VLAN间路由。

假设我们有以下几个要求：1. 划分三个VLAN，分别用于管理、销售和研发部门。

2. 每个VLAN分配一个IP地址段。

3. 不同VLAN之间需要互相通信。

首先，我们需要在路由器或三层交换机上创建三个VLAN，并为每个VLAN分配一个唯一的VLAN ID。

假设我们将管理部门的VLAN ID设置为10，销售部门的VLAN ID设置为20，研发部门的VLAN ID 设置为30。

接下来，我们需要在交换机上将各个端口划分到相应的VLAN中。

比如，将管理部门的端口划分到VLAN 10，销售部门的端口划分到VLAN 20，研发部门的端口划分到VLAN 30。

然后，我们需要为每个VLAN配置IP地址段。

假设管理部门的IP 地址段为192.168.10.0/24，销售部门的IP地址段为192.168.20.0/24，研发部门的IP地址段为192.168.30.0/24。

我们需要将这些IP地址段分别分配给相应的VLAN。

此时，不同的VLAN已经配置完成，但它们之间还无法通信。

接下来，我们需要在路由器或三层交换机上配置VLAN间路由。

首先，我们需要将交换机的某个接口配置为Trunk口，用于连接到路由器或三层交换机的接口。

Trunk口上会承载多个VLAN的数据流量。

然后，我们需要在路由器或三层交换机上配置子接口。

基于mac的vlan的实例本文将介绍如何在Mac系统上配置和使用VLAN，并提供一个基于Mac的VLAN实例。

VLAN是一种虚拟局域网技术，可以将多个物理局域网划分成多个逻辑子网。

使用VLAN可以提高网络的安全性、可管理性和可扩展性。

在Mac系统上配置VLAN需要以下步骤：1. 打开“系统偏好设置”并点击“网络”。

2. 点击左下角的“+”按钮添加一个新的网络接口。

3. 选择“接口”为“Ethernet”，填写名称和位置等信息。

4. 选择“高级”选项卡，在“TCP/IP”选项卡中选择“手动”配置IP地址。

5. 在“VLAN”选项卡中勾选“创建一个VLAN接口”，并填写VLAN ID和优先级等信息。

6. 点击“应用”按钮保存配置。

接下来，我们提供一个基于Mac的VLAN实例：假设我们有一个物理网络接口en0，IP地址为192.168.1.10，子网掩码为255.255.255.0。

我们想要将这个物理接口划分为两个逻辑子网，一个子网的VLAN ID为10，IP地址为192.168.10.10，另一个子网的VLAN ID为20，IP地址为192.168.20.10。

1. 打开“系统偏好设置”并点击“网络”。

2. 点击左下角的“+”按钮添加一个新的网络接口。

3. 选择“接口”为“Ethernet”，名称为“en0.10”，位置为“自定义”。

4. 选择“高级”选项卡，在“TCP/IP”选项卡中选择“手动”配置IP地址为192.168.10.10，子网掩码为255.255.255.0，路由为空。

5. 在“VLAN”选项卡中勾选“创建一个VLAN接口”，填写VLAN ID为10，优先级为0。

6. 点击“应用”按钮保存配置。

7. 重复步骤2-6，创建一个VLAN ID为20的接口，并配置IP地址为192.168.20.10。

现在，我们已经成功地配置了两个逻辑子网，它们可以通过相应的VLAN ID进行区分和管理。

在使用VLAN时需要注意，VLAN仅在同一交换机上的设备之间生效。

了解VLAN网络配置VLAN网络配置简介VLAN（Virtual Local Area Network）是一种将物理网络划分成多个逻辑上独立的虚拟网络的技术。

通过VLAN，可以将不同的主机和设备分组在不同的虚拟网络中，实现安全隔离和逻辑隔离。

本文将介绍VLAN网络的配置方法和相关概念。

一、VLAN的基本概念VLAN是一种逻辑划分网络的方法，将一个物理局域网分割成多个虚拟局域网。

每个VLAN都有一个唯一的标识符（VLAN ID），用于区分不同的虚拟网络。

VLAN可以跨越多个交换机，实现虚拟网络的扩展和连接。

二、VLAN的配置方式1. VLAN的创建在配置VLAN之前，需要先创建VLAN。

在交换机的命令行界面，使用创建VLAN的命令，例如：```Switch(config)# vlan 10Switch(config-vlan)# name Sales```上述命令创建了一个ID为10的VLAN，并设置它的名称为"Sales"。

2. VLAN的端口成员配置创建VLAN后，需要将交换机上的端口分配到对应的VLAN中。

可以通过以下命令将端口加入VLAN：```Switch(config)# interface gigabitethernet 1/0/1Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 10```上述命令将交换机上的GigabitEthernet 1/0/1端口配置为访问模式，并将它加入到VLAN 10中。

3. 端口的Trunk配置如果需要通过一个交换机传输多个VLAN的数据，需要将交换机端口配置为Trunk模式。

Trunk可以在VLAN之间传递数据帧，实现VLAN的连接。

配置Trunk的命令如下：```Switch(config)# interface gigabitethernet 1/0/2Switch(config-if)# switchport mode trunk```上述命令将交换机上的GigabitEthernet 1/0/2端口配置为Trunk模式。

华为路由器交换VLAN配置实例配置说明：使用4台PC，华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。

实现防火墙策略，和访问控制（ACL）。

网络结构如图：华为路由器和防火墙配置命令总结一、access-list 用于创建访问规则。

（1）创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] }【参数说明】normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。