配置基于端口的vlan及实例

校园网中VLAN划分与配置校园网中VLAN划分与配置校园网中VLAN划分与配置校园网中vlan划分与配置摘要：随着校园网的不断发展，规模在不断扩大，用户在不断增加，网络应用也在不断增长，网络变得越来越拥挤，冲突不断产生，管理难度日益加大。

学校内部对于灵活、动态地组建lan网段的要求也越来越多，客观上要求lan本身的结构可以实现动态组建、调整和管理。

为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，充分合理地进行vlan划分，是必需的。

本文通过对校园网进行vlan规划，详细的介绍了vlan的相关知识。

在校园网中使用的是华为quidays8016、quidays3026和港湾%26micro;hammer24e交换机配置vlan。

在校园网中进行合理vlan划分，可通过解决端口隔离充分防止冲突的产生，并且可以简化校园网的管理及提高网络的安全性。

关键词： ip vlan 冲突规划三层交换技术vlanisdividedanddisposedincampusnetorksummary:iththeconstantdevelopmentofcampusnetork,thescaleise pandingconstantly,usersareincreasingconstantly,netorkapplic ationisincreasingconstantlytoo,thenetorkbeesmoreandmorecrod ed,theconflictisbeingproducedconstantly,thedifficultyinmana gementisstrengtheneddaybyday。

tosettingupdemandofsectionoflannetorkmoreandmoretoofleiblya nddynamicallyinsidetheschool,requirethestructureoflanitself torealizethatsetup,adjustandmanagedynamicallyobjectively。

VLAN相关知识和配置一、VLAN相关知识。

1、VLAN不是一种新的局域网，而是在由交换机构成的局域网上提供的一种服务。

类似于分组、划块等思想。

2、VLAN配置过程，要注意的问题。

（1）同一交换机上不要划分太多的VLAN，会导致不同VLAN间交换复杂。

（2）不同VLAN之间的数据交换必须通过网络上交换才能完成。

所以必须要使用路由器或三层交换机。

3、VLAN能够隔离广播风暴，同时能增加安全性。

4、交换机端口配置前默认的VLAN为VLAN 1。

二、VLAN的配置方法1、静态方式是最基本的方式，是基于端口配置，也是最基本的配置方式。

2、动态方式是基于地址和协议配置。

如IP地址，MAC地址等。

三、配置VLAN的过程（在思科仿真软件下）1、在全局模式下，先创建VLAN，使用的命令Switch(config)#VLAN VLAN编号。

例：Switch(config)#vlan 10 ；创建VLAN 102、将端口加入到创建的VLAN中。

命令如下：（1）进入某端口，使用int 端口号。

例：int f0/1 回车，执行结果为：Switch(config-if)#（2）将端口加入到VLAN中，命令如下：Switch(config-if)#Sw acc vlan 10 ；将端口f0/1加入到vlan 10当中。

说明：（1）同一交换机属于同一VLAN的主机可想到通信。

不同VLAN之间必须通过三层交换。

（2）跨交换配置VLAN时，要注意交换机之间端口的配置。

四、跨交换机相同VLAN之间的通信。

1、当VLAN在不同交换上进行了配置时，要将交换机相连的端口配置成TRUNK链路，并且允许多个VLAN通过或允许所有VLAN通过，才能保证相同的多个VLAN间通信。

2、配置过程：按前述配置好VLAN。

然后将两个交换所连接的端口配置成TRUNK。

允许需要通信的VLAN通过TRUNK链路。

五、不同VLAN之间通信的配置过程。

1、使用路由器。

MUX VLANMUX VLAN介绍－基本概念作用：MUX VLAN（Multiplex vlan ）提供了一种在VLAN内的端口间进行二层流量隔离的机制。

需求：在企业网络中，企业员工和企业客户可以访问企业的服务器。

对于企业来说，希望企业内部员工之间可以互相交流，而企业客户之间是隔离的，不能够互相访问。

通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间可以互相交流，而企业客户之间是隔离的。

原理： MUX VLAN分为Principal VLAN和Subordinate VLAN，Subordinate VLAN 又分为Separate VLAN和Group VLAN应用场景：如图所示，根据MUX VLAN特性，企业可以用Principal PORT连接企业服务器，Separate PORT连接企业客户，Group PORT连接企业员工。

这样就能够实现企业客户、企业员工都能够访问企业服务器，而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。

配置实例：组网需求：如图1所示，将Switch设备上的端口GE0/0/1配置为VLAN2并作为主VLAN，创建VLAN3作为group VLAN, 加入端口GE0/0/2和GE0/0/3，创建VLAN4作为separate VLAN, 加入端口GE0/0/4和GE0/0/5。

其中GE0/0/1与HostA相连，GE0/0/2与HostB相连，GE0/0/3与HostC相连，GE0/0/4与HostD相连，GE0/0/5与HostE相连。

HostA和HostB、HostC可以互相ping通。

HostA和HostD、HostE可以互相ping通。

HostB和HostC可以互相ping通。

HostD和HostE不可以互相ping通。

HostB、HostC和HostD、HostE不可以互相ping通操作步骤：1. 创建VLAN2、VLAN3和VLAN4:[Quidway] vlan batch 2 3 4[Quidway] quit2.配置MUX VLAN中的主VLAN和从VLAN:[Quidway] vlan 2[Quidway-vlan2] mux-vlan[Quidway-vlan2] subordinate group 3[Quidway-vlan2] subordinate separate 4[Quidway-vlan2] quit3.配置接口加入VLAN并使能MUX VLAN功能(以端口1为例，其余端口配置相同):[Quidway-GigabitEthernet0/0/1]port link-type access[Quidway-GigabitEthernet0/0/1] port default vlan 2[Quidway-GigabitEthernet0/0/1] port mux-vlan enable。

VLAN典型配置举例1. 组网需求●Device A与对端Device B使用Trunk端口GigabitEthernet1/0/1相连；●该端口的缺省VLAN ID为100；●该端口允许VLAN2、VLAN6到VLAN50、VLAN100的报文通过。

2. 组网图图1-4 配置基于端口的VLAN组网图3. 配置步骤(1)配置Device A# 创建VLAN2、VLAN6到VLAN50、VLAN100。

<DeviceA> system-view[DeviceA] vlan 2[DeviceA-vlan2] quit[DeviceA] vlan 100[DeviceA-vlan100] vlan 6 to 50Please wait... Done.# 进入GigabitEthernet1/0/1以太网端口视图。

[DeviceA] interface gigabitethernet 1/0/1# 配置GigabitEthernet1/0/1为Trunk端口，并配置端口的缺省VLAN ID为100。

[DeviceA-GigabitEthernet1/0/1] port link-type trunk[DeviceA-GigabitEthernet1/0/1] port trunk pvid vlan 100# 配置GigabitEthernet1/0/1禁止VLAN1的报文通过（所有端口缺省情况下都是允许VLAN1的报文通过的）。

[DeviceA-GigabitEthernet1/0/1] undo port trunk permit vlan 1# 配置GigabitEthernet1/0/1允许VLAN2、VLAN6到VLAN50、VLAN100的报文通过。

[DeviceA-GigabitEthernet1/0/1] port trunk permit vlan 2 6 to 50 100Please wait... Done.[DeviceA-GigabitEthernet1/0/1] quit[DeviceA] quit(2)配置Device B，与设备A配置步骤雷同，不再赘述。

H3C交换机基于端口VLAN的配置示例基于端口VLAN的配置示例为了帮助大家对以上VLAN创建和基于端口VLAN的配置方法有一个全面的掌握，现例举两个典型的H3C交换机基于端口VLAN的配置示例。

示例1：现假设要在一个H3C系列交换机上创建VLAN2、VLAN3，并指定VLAN2的描述字符串为home；然后将端口Ethernet2/0/1和Ethernet2/0/2加入到VLAN2中，将端口Ethernet2/0/3和Ethernet2/0/4加入到VLAN3中。

网络结构如图18-1所示。

图1 基于端口的VLAN配置示例1结构图具体操作步骤如下：（1）键入以下命令，创建VLAN2并进入其视图。

<H3C> system-view[H3C] vlan 2（2）键入以下命令，指定VLAN 2的描述字符串为home。

[H3C-vlan2] description home（3）键入以下命令，向VLAN2中加入端口Ethernet2/0/1和Ethernet2/0/2。

[H3C-vlan2] port Ethernet 2/0/1 Ethernet 2/0/2（4）键入以下命令，创建VLAN 3并进入其视图。

[H3C-vlan2] vlan 3（5）键入以下命令，向VLAN3中加入端口Ethernet2/0/3和Ethernet2/0/4。

[H3C-vlan3] port Ethernet 2/0/3 Ethernet 2/0/4示例2：在如图2中，Switch A和Switch B分别连接了不同部门使用的PC1/PC2和Server1/Server2。

为保证部门间数据的二层隔离，现要求将PC1和Server1划分到VLAN 100中，PC2和Server2划分到VLAN 200中。

并分别为两个VLAN设置描述字符为“Dept1”和“Dept2”。

同时在SwitchA 上配置VLAN接口，对PC1发往Server2的数据进行三层转发。

H3C交换机VLAN配置实例交换机VLAN基础配置实例一功能需求及组网说明:配置环境参数:产品版本信息: PCA和PCB分别连接到S5600的端口G1/0/2和G1/0/3。

S5600系列交换机采用任何版本皆可。

组网要求:PCA和PCB都属于VLAN2。

二数据配置步骤:1(创建VLAN;2(将相应端口加入VLAN。

三配置命令参考:S5600相关配置:方法一:1(将交换机改名为S5600[Quidway]sysname S56003(创建(进入)VLAN2[S5600]vlan 24(将端口G1/0/2和G1/0/3加入VLAN2[S5600-vlan2]port GigabitEthernet 1/0/2 to GigabitEthernet 1/0/3 方法二:1(将交换机改名为S5600[Quidway]sysname S56002(创建(进入)VLAN2[S5600]vlan 23(退出到系统视图[S5600-vlan3]quit4(进入端口GigabitEthernet1/0/2[S5600]interface GigabitEthernet 1/0/25(将GigabitEthernet1/0/2的PVID更改为2[Quidway-GigabitEthernet1/0/2]port access vlan 26(进入端口GigabitEthernet1/0/3[Quidway-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/37(将GigabitEthernet1/0/3的PVID更改为2[Quidway-GigabitEthernet1/0/3]port access vlan 2四补充说明:1(缺省情况下，交换机有一个默认的VLAN，即VLAN 1，所有端口都默认属于该VLAN。

2(在系统视图下，可以利用命令undo vlan-number以删除相应VLAN，但交换机的默认VLAN 1不能被删除。

交换机常用功能举例（四）——管理型交换机IEEE 802.1Q VLAN设置应用实例一VLAN的概念VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。

虚拟局域网的好处是控制网络的广播风暴、确保网络安全、简化网络管理、减少了对路由器的需求、灵活的网络分组、减少网络解决方案费用、更合理的利用服务资源。

VLAN是局域交换网的灵魂。

VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。

是否具有VLAN功能是衡量局域网交换机的一项重要指标。

网络的虚拟化是未来网络发展的潮流。

二VLAN的划分方式VLAN的定义方式有：物理端口、MAC地址、协议、IP地址和用户自定义过滤方式等。

802.1Q是VLAN的标准，是将VLAN ID封装在帧头，使得帧跨越不同设备，也能保留VLAN信息。

不同厂家的交换机只要支持802.1Q VLAN就可以跨越交换机，可以统一划分管理。

三802.1q Tag VLAN的设置实例我司的大多数管理型交换机都支持基于端口的VLAN和基于802.1q协议的VLAN功能。

基于端口规则的VLAN这是最早的VLAN类型，也是最简单的VLAN，可以将局域网交换机其中的几个端口指定成一个VLAN。

以下主要介绍管理型交换机的IEEE 802.1Q VLAN设置，设置IEEE802.1Q VLAN大体分三步：1、选择VLAN的类型。

2、设置VLAN组的划分。

3、端口PVID值的设置。

下面用TL-SL3226P交换机举三个实例来说明802.1Q VLAN的划分方法。

配置基于端口划分VLAN示例组网需求如图1所示，某企业的交换机连接有很多用户，且相同业务用户通过不同的设备接入企业网络。

为了通信的安全性，也为了避免广播报文泛滥，企业希望业务相同用户之间可以互相访问，业务不同用户不能直接访问。

可以在交换机上配置基于端口划分VLAN，把业务相同的用户连接的端口划分到同一VLAN。

这样属于不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。

图1 基于接口划分VLAN组网图配置思路采用如下的思路配置VLAN：1.创建VLAN并将连接用户的端口加入VLAN，实现不同业务用户之间的二层流量隔离。

2.配置SwitchA和SwitchB之间的链路类型及通过的VLAN，实现相同业务用户通过SwitchA和SwitchB通信。

操作步骤1.在SwitchA创建VLAN2和VLAN3，并将连接用户的端口分别加入VLAN。

SwitchB配置与SwitchA类似，不再赘述。

2.<HUAWEI>system-view3.[HUAWEI] sysnameSwitchA4.[SwitchA] vlan batch 2 35.[SwitchA] interface gigabitethernet0/0/16.[SwitchA-GigabitEthernet0/0/1] port link-type access7.[SwitchA-GigabitEthernet0/0/1] port default vlan 28.[SwitchA-GigabitEthernet0/0/1] quit9.[SwitchA] interface gigabitethernet 0/0/210.[SwitchA-GigabitEthernet0/0/2] port link-type access11.[SwitchA-GigabitEthernet0/0/2] port default vlan 312.[SwitchA-GigabitEthernet0/0/2] quit13.配置SwitchA上与SwitchB连接的端口类型及通过的VLAN。

H3C VLAN的配置VLAN配置实例1,配置VLAN端口类型<h3c>system-view[h3c]interface Ethernet 1/0/2[H3C-Ethernet1/0/2]port link-type Access|trunk|Hybrid[H3C-Ethernet1/0/2]quit2,配置将端口加入指定的vlan<h3c>system-view[h3c]interface Ethernet 1/0/2A,Trunk类型:[H3C-Ethernet1/0/2]port trunk permit vlan XB,Hybrid类型:[H3C-Ethernet1/0/2]port hybird vlan X tagged|untagged[H3C-Ethernet1/0/2]quit3,配置端口的缺省VLAN<h3c>system-view[h3c]interface Ethernet 1/0/2A,Trunk类型:[H3C-Ethernet1/0/2]port trunk pvid vlan XB,Hybrid类型:[H3C-Ethernet1/0/2]port hybird pvid vlan X[H3C-Ethernet1/0/2]quit-------------------------------------------------------------------------------------------------------H3C VLAN配置实例用4台PC（pc多和少，原理是一样的，所以这里我只用了4台pc），华为路由器（R2621）、交换机（S3026e）各一台，组建一VLAN，实现虚拟网和物理网之间的连接。

实现防火墙策略，和访问控制（ACL）。

方案说明：四台PC的IP地址、掩码如下列表：P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny实施命令列表：交换机上设置，划分VLAN：<Quidway>sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2 [Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置，实现访问控制：[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall，并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101[Router-Ethernet1]quit---------------------------------------------------------------------------------------------------------------------------------------------------H3C E126A是一款专为教育城域网（或校园网）设计的二层智能交换机，作业接入层或汇聚层使用。

实验一使用Packet Tracer进行Vlan的配置
Vlan(Virtual Local Area Network)即虚拟局域网。

VLAN可以把同一个物理网络划分为多个逻辑网段，因此，Vlan可以抑制网络风暴，增强网络的安全性。

一、实例拓扑图
图一交换机Cisco 2960
二、创建VLAN
在Cisco IOS中有两种方式创建vlan,在全局配置模式下使用vlan vlanid 命令，如switch(config)#vlan 10；在vlan database下创建vlan,如
switch(vlan)vlan 20
图二创建vlan
三、把端口划分给vlan(基于端口的vlan)
switch(config)#interface fastethernet0/1 进入端口配置模式
switch(config-if)#switchport mode access 配置端口为access模式switch(config-if)#switchport access vlan 10 把端口划分到vlan 10
图三
如果一次把多个端口划分给某个vlan可以使用interface range命令。

图四
四、查看vlan信息
switch#show vlan
图五
图六show vlan brief 查看vlan简明信息
图七查看id为10的vlan
图八通过vlan的名字查看vlan 五、删除配置
图九把第0个模块中的第8个端口从vlan 40中删除。

一:配置基于端口的VLAN创建vlan2并进入视图〈H3C〉 system-view[H3C］ vlan 2＃指定VLAN2 的描述字符串为home。

[H3C-vlan2］ description home# 向VLAN2 中加入端口Ethernet1/0/1 和Ethernet1/0/2。

[H3C—vlan2］ port Ethernet 1/0/1 Ethernet 1/0/2# 创建VLAN3 并进入其视图。

［H3C-vlan2］ vlan 3# 向VLAN3 中加入端口Ethernet1/0/3 和Ethernet1/0/4。

[H3C—vlan3] port Ethernet 1/0/3 Ethernet 1/0/4二:IP 地址配置举例# 配置VLAN 接口2 的IP 地址。

<H3C〉 system—view[H3C］ interface Vlan-interface 2[H3C—Vlan-interface2］ ip address 129。

2。

2。

1 255。

255.255.0# 配置VLAN 接口3 的IP 地址。

〈H3C〉 system—view［H3C] interface Vlan-interface 3［H3C—Vlan-interface3] ip address 192.2.2。

1 255.255.255。

0配置好后，交换机上ping各网关之间应该能够互通，在配置好的端口上连上pc设置好ip如pc1接Ethernet1/0/1 设置ip：129.2。

2.2 255。

255.255.0 129.2。

2.1Pc2接Ethernet 1/0/3 设置ip:192。

2。

2。

2 255.255。

255。

0 192。

2。

2。

1则pc1和pc2能互通S3600三层交换机端口限速配置：[H3C]interface Ethernet1/0/4[H3C-Ethernet1/0/4］line-rate outbound 1024 -——该端口的出方向报文流量限速1M［H3C—Ethernet1/0/4]broadcast-suppression pps 1024 ———该端口接收广播流量限速1M[H3C-Ethernet1/0/4]multicast-suppression pps 1024 ---该端口接收组播流量限速1M［H3C—Ethernet1/0/4]unicast-suppression pps 1024 —-—该端口接收未知单播流量限速1M［H3C-Ethernet1/0/4]flow-control -——开启以太网端口的流量限制功能（缺省情况下是关闭状态的）建立并配置VLANsystem-view//进入配置模式［H3C]vlan 10//建立VLAN 10[H3C—vlan10］port Ethernet1/0/19//把Ethernet1/0/19 加入到VLAN 10里面[H3C-vlan10]name test//名字为test［H3C-vlan10]descriptio test//描述为test［H3C—vlan10］quit//退出vlan 10[H3C］interface vlan 10进入VLAN 300里［H3C-Vlan-interface10]ip address 192。

三种VLAN划分方式关于vlan的划分方法有很多，项目应用中较多的方法就是基于端口划分vlan、基于mac地址划分vlan、基于ip地址划分vlan，要真正对vlan了解，必须熟悉这三次划分方法，以便于根据实际项目进行应用。

一、基于端口的vlan划分方法这里面为了方便大家理解，直接用实例讲解更清楚。

1某企业的交换机连接有很多用户，且相同业务用户通过不同的设备接入企业网络。

为了通信的安全性，也为了避免广播报文泛滥，企业希望业务相同用户之间可以互相访问，业务不同用户不能直接访问。

可以在交换机上配置基于端口划分VLAN，把业务相同的用户连接的端口划分到同一VLAN。

也就是不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。

2步骤1：在SwitchA创建VLAN2和VLAN3，并将连接用户的端口分别加入VLAN。

SwitchB配置与SwitchA类似，不再赘述。

[Quidway] system-view //进入配置视图[Quidway] sysname SwitchA //给交换机命名[SwitchA] vlan batch 2 3 //同时创建vlan2与vlan3[SwitchA] interface ethernet 0/0/1 //进入端口0/0/1[SwitchA-Ethernet0/0/1] port link-type access //设置端口模式为access [SwitchA-Ethernet0/0/1] port default vlan 2 //将端口加入vlan2中[SwitchA-Ethernet0/0/1] quit //退出[SwitchA] interface ethernet 0/0/2 //进入端口0/0/2[SwitchA-Ethernet0/0/2] port link-type access //端口模式为access [SwitchA-Ethernet0/0/2] port default vlan 3 //将端口加入vlan3中[SwitchA-Ethernet0/0/2] quit //退出步骤2 配置SwitchA上与SwitchB连接的端口类型及通过的VLAN。