配置基于接口划分VLAN示例

划分vlan的四种方法划分 VLAN 的四种方法VLAN（Virtual Local Area Network，虚拟局域网）是一种将物理上分散的设备通过逻辑上的方式组合在一起的网络技术。

它可以将一个物理上的网络划分为多个逻辑上的网络，从而提高网络安全性、灵活性和管理效率。

本文将介绍 VLAN 的四种划分方法。

第一种方法：基于端口基于端口的 VLAN 是最简单、最常见的 VLAN 划分方式。

它根据交换机端口来划分不同的 VLAN。

每个端口只能属于一个 VLAN，这样就可以实现不同 VLAN 之间互相隔离。

该方法的优点是易于实现和管理，缺点是不够灵活。

如果需要更改某个设备所属的 VLAN，则需要重新配置交换机端口。

第二种方法：基于 MAC 地址基于 MAC 地址的 VLAN 是根据设备的 MAC 地址来划分不同的VLAN。

每个设备都有唯一的 MAC 地址，因此可以通过 MAC 地址来确定设备所属的 VLAN。

该方法可以实现动态加入和移除设备，但也存在一些问题。

例如，如果某个设备更换了网卡，则需要重新配置其所属的 VLAN。

第三种方法：基于子网基于子网的 VLAN 是根据 IP 地址子网来划分不同的 VLAN。

每个子网可以对应一个 VLAN，这样就可以实现跨 VLAN 的通信。

该方法需要在交换机上配置IP 子网，因此需要一定的网络知识和技能。

同时，该方法也存在一些限制，例如无法实现跨子网的广播和多播。

第四种方法：基于协议基于协议的 VLAN 是根据网络协议来划分不同的 VLAN。

例如，可以将所有 VoIP 流量划分到一个 VLAN 中，将所有视频流量划分到另一个 VLAN 中。

该方法可以提高网络性能和管理效率，但也需要一定的网络知识和技能。

同时，该方法也存在一些限制，例如无法对混合流量进行精确控制。

总结以上是四种常见的 VLAN 划分方法。

每种方法都有其优缺点和适用场景。

在实际应用中，需要根据具体情况选择合适的方法，并结合其他网络技术进行综合应用。

VLAN原理与配置主讲人：鲍婷婷目录•V L A N 的功能什么是V L A N12V L A N 的基本概念3V L A N 的应用4V L A N 的配置示例单播帧PC1PC2 SW1SW2SW3SW4SW5SW6SW7（注：假定此时SW1、SW3、SW7的MAC地址表中存在关于PC2的MAC地址表项，但SW2和SW5不存在关于PC2的MAC地址表项。

）二层广播域(广播域)传统以太网的问题有效流量垃圾流量虚拟局域网（V L A N ,V i r t u a l L A N ）PC2SW1SW2SW3SW4SW5SW6SW7PC1VLAN 网络(多个广播域)广播帧目录•V L A N 的基本概念2V L A N 的基本原理什么是V L A N13V L A N 的应用4V L A N 的配置示例•V L A N 的划分方式如何实现V L A NPC3VLAN20PC2PC1123Switch145543Switch221数据帧数据帧VLAN10VLAN20PC4VLAN10VLAN 标签（VLAN Tag)•交换机如何识别接收到的数据帧属于哪个VLAN ？收到了数据帧，它们属于哪个VLAN ？VLAN 标签•报文中添加标识VLAN 信息的字段使交换机能够分辨不同VLAN 的报文。

•VLAN 标签，又称VLAN Tag ，简称Tag 。

VLAN 10VLAN 2020SW1SW2V L A N 数据帧TPID (0x8100)PRICFIVLAN ID 16bit3bit 1bit12bit目的MAC 地址源MAC 地址类型DataFCS原始以太网数据帧（无标记帧，Untagged 帧）802.1QTag802.1Q 帧（标记帧，Tagged 帧）目的MAC 地址源MAC 地址类型Data FCSTag 在此处插入802.1Q Tag•TPID （标签协议标识符）•PRI （优先级）•CFI （标准格式指示符）•VLAN ID （VLAN 标识符）PC3VLAN20PC2PC1123Switch145543Switch221VLAN10VLAN20PC4VLAN10原始数据帧1原始数据帧2原始数据帧2原始数据帧1VLAN 的实现打了标记的数据帧打了标记的数据帧目录2V L A N 的基本原理•V L A N 的基本概念什么是V L A N13V L A N 的应用4V L A N 的配置示例•V L A N 的划分方式VLAN 的划分方式SW1主机1主机2主机3主机410.0.1.1 MAC110.0.2.1MAC210.0.1.2MAC310.0.2.2MAC4VLAN划分方式VLAN10VLAN 20基于接口GE0/0/1，GE0/0/3GE0/0/2，GE0/0/4基于MAC地址MAC 1，MAC 3MAC 2，MAC 4基于IP子网划分10.0.1.*10.0.2.*基于协议划分IP IPv6基于策略10.0.1.* +GE0/0/1+ MAC 110.0.2.*+ GE0/0/2 +MAC 2•整个网络是如何划分VLAN的？基于接口的VLAN 划分路由器主机移动，需要重新配置VLANSW1SW2主机1主机2主机3主机4VLAN 10VLAN 20PVID 10PVID 10PVID 20PVID 20PVID 1PVID 110基于接口的VLAN 划分•原理▫根据交换机的接口来划分VLAN 。

基于IP子网划分VLAN配置示例1、组网需求图1 基于IP子网划分VLAN组网图如图1所示，某企业拥有多种业务，如IPTV、VoIP、Internet等，每种业务使用的IP地址网段各不相同。

为了便于管理，现需要将同一种类型业务划分到同一VLAN中，不同类型的业务划分到不同VLAN中。

Switch接收到用户报文有数据、IPTV、语音等多种业务，用户设备的IP地址网段各不相同。

现需要将不同类型的业务划分到不同的VLAN中，通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。

2、配置思路2.1、创建VLAN，确定每种业务所属的VLAN。

2.2、关联IP子网和VLAN，实现根据报文中的源IP地址或指定网段确定VLAN。

2.3、配置接口加入VLAN，实现基于IP子网的VLAN通过当前接口。

2.4、使能基于IP子网划分VLAN。

3、操作步骤3.1、创建VLAN# 在Switch上创建VLAN100、VLAN200和VLAN300。

1.<HUAWEI> system-view2.[HUAWEI] sysname Switch3.[Switch] vlan batch 100 200 3003.2、配置接口# 在Switch上配置接口GE1/0/5、GE1/0/6、GE1/0/7为Hybrid类型，分别以untagged方式加入VLAN100、VLAN200和VLAN300。

并使能基于IP子网划分VLAN 功能。

1.[Switch] interface gigabitethernet 1/0/52.[Switch-GigabitEthernet1/0/5] port link-type hybrid3.[Switch-GigabitEthernet1/0/5] port hybrid untagged vlan 1004.[Switch-GigabitEthernet1/0/5] ip-subnet-vlan enable5.[Switch-GigabitEthernet1/0/5] quit6.[Switch] interface gigabitethernet 1/0/67.[Switch-GigabitEthernet1/0/6] port link-type hybrid8.[Switch-GigabitEthernet1/0/6] port hybrid untagged vlan 2009.[Switch-GigabitEthernet1/0/6] ip-subnet-vlan enable10.[Switch-GigabitEthernet1/0/6] quit11.[Switch] interface gigabitethernet 1/0/712.[Switch-GigabitEthernet1/0/7] port link-type hybrid13.[Switch-GigabitEthernet1/0/7] port hybrid untagged vlan 30014.[Switch-GigabitEthernet1/0/7] ip-subnet-vlan enable15.[Switch-GigabitEthernet1/0/7] quit# 在Switch上配置接口GE1/0/2加入VLAN100。

H3C交换机基于端口VLAN的配置示例基于端口VLAN的配置示例为了帮助大家对以上VLAN创建和基于端口VLAN的配置方法有一个全面的掌握，现例举两个典型的H3C交换机基于端口VLAN的配置示例。

示例1：现假设要在一个H3C系列交换机上创建VLAN2、VLAN3，并指定VLAN2的描述字符串为home；然后将端口Ethernet2/0/1和Ethernet2/0/2加入到VLAN2中，将端口Ethernet2/0/3和Ethernet2/0/4加入到VLAN3中。

网络结构如图18-1所示。

图1 基于端口的VLAN配置示例1结构图具体操作步骤如下：（1）键入以下命令，创建VLAN2并进入其视图。

<H3C> system-view[H3C] vlan 2（2）键入以下命令，指定VLAN 2的描述字符串为home。

[H3C-vlan2] description home（3）键入以下命令，向VLAN2中加入端口Ethernet2/0/1和Ethernet2/0/2。

[H3C-vlan2] port Ethernet 2/0/1 Ethernet 2/0/2（4）键入以下命令，创建VLAN 3并进入其视图。

[H3C-vlan2] vlan 3（5）键入以下命令，向VLAN3中加入端口Ethernet2/0/3和Ethernet2/0/4。

[H3C-vlan3] port Ethernet 2/0/3 Ethernet 2/0/4示例2：在如图2中，Switch A和Switch B分别连接了不同部门使用的PC1/PC2和Server1/Server2。

为保证部门间数据的二层隔离，现要求将PC1和Server1划分到VLAN 100中，PC2和Server2划分到VLAN 200中。

并分别为两个VLAN设置描述字符为“Dept1”和“Dept2”。

同时在SwitchA 上配置VLAN接口，对PC1发往Server2的数据进行三层转发。

VLAN是虚拟局域网(Virtual Local Area Network)的简称，它是在一个物理网络上划分出来的逻辑网络。

这个网络对应于ISO模型的第二层网络。

VLAN的划分不受网络端口的实际物理位置的限制。

VLAN有着和普通物理网络同样的属性，除了没有物理位置的限制，它和普通局域网一样。

第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。

划分策略：1)基于端口的vlan2)基于MAC地址的vlan3)基于路由的vlan4)基于策略的vlan1、实验目的(1)学习交换机的VLAN划分配置2、实验内容//(1)超级终端登陆交换机//(2)交换机基本配置(3)配置VLAN3、实验环境PC机、交换机各一台，线路若干4 、实验拓扑图5.实验步骤(1)交换机基本配置Switch>enable(由用户模式进入到特权模式) Switch#configure terminal(进入全局配置模式) Switch(config)#interface Vlan 1ip address 192.168.2.2 255.255.255.0(noip address 192.168.2.2 255.255.255.0)no shutdownexitSwitch#show run (查看配置信息)主机的IP地址配置成同一网段的PC1：192.168.1.2PC2：192.168.1.3测试：PC1 ping PC22)在交换机上创建VLAN创建vlan并命名Switch#configure terminalSwitch (config)#vlan 3 (创建vlan 3)Switch(config-vlan)#name vlan3Switch (config)#vlan 4 (创建vlan 4)Switch(config-vlan)#name vlan4Switch (config-VLAN)#exit将端口加入vlanSwitch (config)#interface FastEthernet 0/1Switch (config-if)#switchport mode accessSwitch (config-if)#switchport access vlan 3Switch (config-if)#exitSwitch (config)#interface FastEthernet 0/4Switch (config-if)#switchport mode accessSwitch (config-if)#switchport access vlan 4Switch (config-if)#exit测试PC1 ping PC2Switch#showvlan查看vlan配置结果Switch#showvlanVLAN Name Status Ports---- -------------------------------- --------- ------------------------------- 1 default active Fa0/3, Fa0/2, Fa0/5, Fa0/6Fa0/7, Fa0/8, Fa0/9, Fa0/10Fa0/11, Fa0/12, Fa0/13, Fa0/14Fa0/15, Fa0/16, Fa0/17, Fa0/18Fa0/19, Fa0/20, Fa0/21, Fa0/22Fa0/23, Fa0/24, Gig1/1, Gig1/210 VLAN0010 active Fa0/120 VLAN0020 active Fa0/41002 fddi-default act/unsup1003 token-ring-default act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsup(3)删除VLAN删除VALN,需要先删除VLAN下接口: Switch>enable 进入特权模式Switch#configure terminal 进入全局配置模式Switch(config)# interface fastethernet0/1 Switch(config-if)# no switchport access vlan 3 Switch(config-if)# exit再删除VLANSwitch(config)# no vlan 3 (vlan 4 )查看删除情况Switch#showvlan配置VLAN——创建VLAN方法一：步骤1：进入全局配置模式Switch#configure terminal步骤2：创建VLANSwitch(config)#vlanvlan-id步骤3：(可选)命名VLANSwitch(config-vlan)#name vlan-nam方法二：步骤1：进入特权配置模式Switch>enable步骤2：创建VLANSwitch_A#vlan database步骤3：(可选)命名VLANSwitch_A(vlan)#vlan 2 name VLAN2配置VLAN——将端口加入VLAN步骤1：进入端口配置模式Swtich(config)#interface interface步骤2：将端口模式设置为接入端口Switch(config-if)#switchport mode access步骤3：将端口添加到特定VLANSwitch(config-if)#switchport access vlanvlan-id 配置VLAN——将端口加入VLAN示例：将端口FastEthernet 0/1加入VLAN Switch#configure terminalSwitch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#end配置VLAN——将一组端口加入VLAN步骤1：进入到一组需要添加到VLAN的端口中Swtich(config)#interface range interface-range步骤2：将端口模式设置为接入端口Switch(config-range-if)#switchport mode access步骤3：将一组端口划分到指定VLANSwitch(config-range-if)#swtichport access vlanvlan-id示例：将端口fastEthernet 0/1~5,0/7同时划分到VLAN10 Switch#configure terminalSwitch(config)#interface range fastEthernet 0/1-5,0/7 Switch(config-if-range)#switchport mode accessSwitch(config-if-range)#switchport access vlan 10Switch(config-if-range)#exit。

基于接口划分VLAN配置示例（LNP动态协商链路类型）1、组网需求图1 配置LNP实现以太网接口链路类型自协商组网图如上图1所示，网络中有交换设备和用户终端接入，若实现二层互通，需要在各接口配置链路类型并加入VLAN。

如果网络规模较大，配置会非常繁琐。

用户希望能简化配置，免去手工设置链路类型的麻烦，Switch设备之间通过Trunk链路类型连接，Switch和用户终端之间通过Access链路类型连接，并加入对应VLAN。

2、配置思路全局和接口视图下均使能LNP功能，实现接口的链路类型自协商。

因为PC不支持LNP，连接终端的接口会协商为access类型，而交换机之间的接口会协商为trunk类型。

各接口加入相应VLAN，实现二层互通。

3、操作步骤3.1、全局使能链路类型自协商功能缺省情况下全局的LNP处于使能状态，如果未使能，执行undo lnp disable使能LNP协商。

Switch2和Switch3的配置与Switch1类似，不再赘述。

3.2、创建VLAN可在每台交换机上分别创建VLAN；也可仅在Switch3上创建VLAN，而通过配置VCMP（VLAN Central Management Protocol）功能将创建的VLAN同步到其他交换机上。

下面仅介绍创建VLAN的方法。

# 在Switch3上创建VLAN 10和20。

[Switch3] vlan batch 10 20如果选择在每台交换机上创建VLAN，则Switch1和Switch2的配置与Switch3类似，不再赘述；如果选择通过VCMP创建VLAN，则还需将Switch3配置为VCMP Server，Switch1和Switch2配置为VCMP Client，具体配置请在本站搜索VCMP 配置。

3.3、接口下使能链路类型自协商功能，并分别加入相应VLAN，连接PC的接口以access方式加入VLAN，交换机之间的接口以trunk方式加入VLAN若当前接口不是二层模式，则需执行portswitch命令切换为二层接口。

目录1 以太网配置1。

1 以太网接口配置1.1.1 配置端口隔离示例1.2 链路聚合配置1.2。

1 配置手工负载分担模式链路聚合示例1.2.2 配置静态LACP模式链路聚合示例1.3 VLAN配置1.3.1 配置基于接口划分VLAN示例1.3.2 配置基于MAC地址划分VLAN示例1。

3.3 配置基于IP子网划分VLAN示例1。

3.4 配置基于协议划分VLAN示例1。

3。

5 配置VLAN间通过VLANIF接口通信示例1.3.6 配置VLAN聚合示例1。

3。

7 配置MUX VLAN示例1.3.8 配置自动模式下的Voice VLAN示例1。

3。

9 配置手动模式下的Voice VLAN示例1.4 VLAN Mapping配置1。

4.1 配置单层Tag的VLAN Mapping示例1.4.2 配置单层Tag的VLAN Mapping示例(N：1)1.5 QinQ配置1.5.1 配置基于接口的QinQ示例1。

5。

2 配置灵活QinQ示例1.5。

3 配置灵活QinQ示例—VLAN Mapping接入1.5.4 配置VLANIF接口支持QinQ Stacking示例1。

6 GVRP配置1.6.1 配置GVRP示例1。

7 MAC表配置1。

7。

1 配置MAC表示例1.7.2 配置基于VLAN的MAC地址学习限制示例1。

7。

3 配置接口安全示例1。

7。

4 配置MAC防漂移示例1.7.5 配置全局MAC漂移检测示例1.8 STP/RSTP配置1.8.1 配置STP功能示例1.8。

2 配置RSTP功能示例1.9 MSTP配置1。

9。

1 配置MSTP的基本功能示例1。

9.2 配置MSTP多进程下单接环和多接环接入示例1。

10 SEP配置1.10.1 配置SEP封闭环示例1.10.2 配置SEP多环示例1。

10.3 配置SEP混合环示例1.10.4 配置SEP+RRPP混合环组网示例（下级网络拓扑变化通告)1。

10.5 配置SEP多实例示例1.11 二层协议透明传输配置1。

基于mac的vlan的实例本文将介绍如何在Mac系统上配置和使用VLAN，并提供一个基于Mac的VLAN实例。

VLAN是一种虚拟局域网技术，可以将多个物理局域网划分成多个逻辑子网。

使用VLAN可以提高网络的安全性、可管理性和可扩展性。

在Mac系统上配置VLAN需要以下步骤：1. 打开“系统偏好设置”并点击“网络”。

2. 点击左下角的“+”按钮添加一个新的网络接口。

3. 选择“接口”为“Ethernet”，填写名称和位置等信息。

4. 选择“高级”选项卡，在“TCP/IP”选项卡中选择“手动”配置IP地址。

5. 在“VLAN”选项卡中勾选“创建一个VLAN接口”，并填写VLAN ID和优先级等信息。

6. 点击“应用”按钮保存配置。

接下来，我们提供一个基于Mac的VLAN实例：假设我们有一个物理网络接口en0，IP地址为192.168.1.10，子网掩码为255.255.255.0。

我们想要将这个物理接口划分为两个逻辑子网，一个子网的VLAN ID为10，IP地址为192.168.10.10，另一个子网的VLAN ID为20，IP地址为192.168.20.10。

1. 打开“系统偏好设置”并点击“网络”。

2. 点击左下角的“+”按钮添加一个新的网络接口。

3. 选择“接口”为“Ethernet”，名称为“en0.10”，位置为“自定义”。

4. 选择“高级”选项卡，在“TCP/IP”选项卡中选择“手动”配置IP地址为192.168.10.10，子网掩码为255.255.255.0，路由为空。

5. 在“VLAN”选项卡中勾选“创建一个VLAN接口”，填写VLAN ID为10，优先级为0。

6. 点击“应用”按钮保存配置。

7. 重复步骤2-6，创建一个VLAN ID为20的接口，并配置IP地址为192.168.20.10。

现在，我们已经成功地配置了两个逻辑子网，它们可以通过相应的VLAN ID进行区分和管理。

在使用VLAN时需要注意，VLAN仅在同一交换机上的设备之间生效。

配置基于端口划分VLAN示例组网需求如图1所示，某企业的交换机连接有很多用户，且相同业务用户通过不同的设备接入企业网络。

为了通信的安全性，也为了避免广播报文泛滥，企业希望业务相同用户之间可以互相访问，业务不同用户不能直接访问。

可以在交换机上配置基于端口划分VLAN，把业务相同的用户连接的端口划分到同一VLAN。

这样属于不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。

图1 基于接口划分VLAN组网图配置思路采用如下的思路配置VLAN：1.创建VLAN并将连接用户的端口加入VLAN，实现不同业务用户之间的二层流量隔离。

2.配置SwitchA和SwitchB之间的链路类型及通过的VLAN，实现相同业务用户通过SwitchA和SwitchB通信。

操作步骤1.在SwitchA创建VLAN2和VLAN3，并将连接用户的端口分别加入VLAN。

SwitchB配置与SwitchA类似，不再赘述。

2.<HUAWEI>system-view3.[HUAWEI] sysnameSwitchA4.[SwitchA] vlan batch 2 35.[SwitchA] interface gigabitethernet0/0/16.[SwitchA-GigabitEthernet0/0/1] port link-type access7.[SwitchA-GigabitEthernet0/0/1] port default vlan 28.[SwitchA-GigabitEthernet0/0/1] quit9.[SwitchA] interface gigabitethernet 0/0/210.[SwitchA-GigabitEthernet0/0/2] port link-type access11.[SwitchA-GigabitEthernet0/0/2] port default vlan 312.[SwitchA-GigabitEthernet0/0/2] quit13.配置SwitchA上与SwitchB连接的端口类型及通过的VLAN。

在典型的分层组网中，当接入交换机是二层交换机时，可以使用汇聚交换机作为用户的网关。

另外使用汇聚交换机作为用户的网关还可以简化接入交换机的配置，使用户通过一个出接口访问外部网络，便于维护和管理。

组网需求如图1所示，PC1和PC2分别属于VLAN 2和VLAN 3，通过接入交换机SW2接入汇聚交换机SW1。

PC3属于VLAN 4，通过SW3接入汇聚交换机SW1。

SW3不做任何配置，当做HUB即插即用。

汇聚交换机SW1作为PC1、PC2和PC3的网关，实现用户PC间的互访以及和路由器的互连。

图1 配置汇聚层设备作为网关组网图配置思路采用如下的思路配置汇聚层设备作为网关实现不同网段用户间的通信：1.配置接入交换机，基于接口划分VLAN，实现二层互通。

2.配置汇聚交换机作为用户PC的网关，实现不同网段用户PC间的三层互通。

3.配置汇聚交换机与路由器相连的接口，实现与路由器的互连。

操作步骤1.配置接入交换机SW2# 创建VLAN。

<HUAWEI> system-view [HUAWEI] sysname SW2//修改设备的名称为SW2，便于识别 [SW2] vlan batch 2 3//批量创建VLAN 2和VLAN 3# 将接口加入相应VLAN。

[SW2] interface gigabitethernet 1/0/23 [SW2-GigabitEthernet1/0/23] port link-type access//将与PC相连接口的接口类型设置为access [SW2-GigabitEthernet1/0/23] port default vlan 2//将PC1划分到VLAN 2 [SW2-GigabitEthernet1/0/23] quit [SW2] interface gigabitethernet 1/0/24 [SW2-GigabitEthernet1/0/24] port link-type access [SW2-GigabitEthernet1/0/24] port default vlan 3//将PC2划分到VLAN 3 [SW2-GigabitEthernet1/0/24] quit [SW2] interface gigabitethernet 1/0/1 [SW2-GigabitEthernet1/0/1] port link-type trunk//将与汇聚交换机相连接口的接口类型设置为trunk [SW2-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 3//透传VLAN 2和VLAN 3到汇聚交换机SW1 [SW2-GigabitEthernet1/0/1] quit2.配置汇聚交换机SW1# 创建VLAN。

案例分析一、新星公司网络需求分析1.公司现状描述新星公司业务部扩展为3个，员工人数已超过100名，公司决定租用新的办公环境以适应公司的扩张。

公司员工主机数：（1）业务一部有40人；（2）业务二部有30人；（3）业务三部有30人；（4）财务部有20人。

现有设备数量公司效劳器个数有6台。

2.公司需求描述（1）实现各个部门内部通信（2）部门内的客户端能够访问内网的效劳器。

（3）由于考虑到财务部的平安问题，财务部不能访问Internet，可是其他部门能够访问Internet。

3.公司需求分析（1）实现各个部门客户端的互联，由于公司通信点较多，因此要在连接客户端的网络上实现VLAN的划分。

（2）将公司的效劳器划入一个 VLAN，便于统一管理；于是客户端想要访问服务器，就要实现VLAN间路由。

（3）由于公司内网利用私有IP地址，因此在公司的网管除采纳PAT技术实现客户端访问Internet，但要财务部不能访问Internet。

二、启蒙星公司网络设计方案这一时期将按以下步骤进行：（1）网络拓扑计划设计。

（2）IP地址计划设计。

（3）Vlan的计划设计。

（4）设备情形的计划。

（5）密码的计划。

（6）统筹实施标准。

1.网络拓扑设计图如图1核心设备采纳RG-S3760-24互换机，其余互换机一概为RG-2026G互换机。

因特网图12.IP地址及其VLAN计划公司内网 IP地址使用；；；..24；；。

具体分派情形如表1所示。

表1 IP地址及其VLAN对应表部门IP地址网段 VLAN VLAN名称业务一部业务二部业务三部财务服务器区管理IP默认名称核心交换和网无无路由器RG-RSR20 SERIES 连接外网的接口的IP地址为各VLAN的网关地址一概为各网段的第一个IP地址，例如那个网段的网关地址为治理IP地址如表2所示。

表2 治理IP地址设备计划表如表3所示，别离对应了设备名称、设备型号、设备连接口和连接和其他哪些设备相连。

配置基于IP子网划分VLAN示例组网需求某企业网按照业务类型来分配IP子网，要求不同IP子网的用户采用不同的传输路径访问上游服务器。

如图1所示，Switch接收到用户报文有数据、IPTV、语音等多种业务，用户设备的IP地址各不相同。

在Switch上配置基于IP子网划分VLAN，接口GE0/0/1在收到用户报文后可以按照不同的源IP地址将这些报文自动划分到指定的VLAN中，并向上游的目的设备传输。

图1 基于IP子网划分VLAN组网图配置思路采用如下的思路配置基于IP子网划分VLAN：1.创建VLAN。

2.配置接口GE0/0/1的类型为Hybrid类型，并配置允许通过的VLAN。

3.配置接口GE0/0/2、GE0/0/3、GE0/0/4允许通过的VLAN。

4.配置基于IP子网划分VLAN，并在接口GE0/0/1上使能基于IP子网划分VLAN的功能。

数据准备为完成此配置例，需准备如下的数据。

∙配置接口GE0/0/1以untagged方式加入VLAN100、VLAN200、VLAN300。

∙配置接口GE0/0/2、GE0/0/3和GE0/0/4以tagged方式分别加入VLAN100、VLAN200和VLAN300。

∙IP子网所需配置数据如表1所示。

操作步骤1.创建VLAN# 在Switch上创建VLAN100、VLAN200 和VLAN300。

<Quidway> system-view[Quidway] vlan batch 100 200 3002.配置接口# 在Switch上配置接口GE0/0/1为Hybrid类型，并加入VLAN100、VLAN200和VLAN300。

[Quidway] interface gigabitethernet 0/0/1[Quidway-GigabitEthernet0/0/1] port link-type hybrid[Quidway-GigabitEthernet0/0/1] port hybrid untagged vlan 100 200 300[Quidway-GigabitEthernet0/0/1] quit# 在Switch上配置接口GE0/0/2加入VLAN100。

三种VLAN划分方式关于vlan的划分方法有很多，项目应用中较多的方法就是基于端口划分vlan、基于mac地址划分vlan、基于ip地址划分vlan，要真正对vlan了解，必须熟悉这三次划分方法，以便于根据实际项目进行应用。

一、基于端口的vlan划分方法这里面为了方便大家理解，直接用实例讲解更清楚。

1某企业的交换机连接有很多用户，且相同业务用户通过不同的设备接入企业网络。

为了通信的安全性，也为了避免广播报文泛滥，企业希望业务相同用户之间可以互相访问，业务不同用户不能直接访问。

可以在交换机上配置基于端口划分VLAN，把业务相同的用户连接的端口划分到同一VLAN。

也就是不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。

2步骤1：在SwitchA创建VLAN2和VLAN3，并将连接用户的端口分别加入VLAN。

SwitchB配置与SwitchA类似，不再赘述。

[Quidway] system-view //进入配置视图[Quidway] sysname SwitchA //给交换机命名[SwitchA] vlan batch 2 3 //同时创建vlan2与vlan3[SwitchA] interface ethernet 0/0/1 //进入端口0/0/1[SwitchA-Ethernet0/0/1] port link-type access //设置端口模式为access [SwitchA-Ethernet0/0/1] port default vlan 2 //将端口加入vlan2中[SwitchA-Ethernet0/0/1] quit //退出[SwitchA] interface ethernet 0/0/2 //进入端口0/0/2[SwitchA-Ethernet0/0/2] port link-type access //端口模式为access [SwitchA-Ethernet0/0/2] port default vlan 3 //将端口加入vlan3中[SwitchA-Ethernet0/0/2] quit //退出步骤2 配置SwitchA上与SwitchB连接的端口类型及通过的VLAN。