VLAN
VLAN(Virtual Local Area Network)的中文名為"虛擬局域網"
虛擬局域網(VLAN)是一組邏輯上的設備和用戶,這些設備和用戶並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通信就好像它們在同一個網段中一樣,由此得名虛擬局域網,由於交換機端口有兩種VLAN屬性,其一是VLANID,其二是VLANTAG,分別對應VLAN對數據包設置VLAN標簽和允許通過的VLANTAG(標簽)數據包,不同VLANID端口,可以通過相互允許VLANTAG,構建VLAN。VLAN是一種比較新的技術,工作在OSI參考模型的第2層和第3層,一個VLAN不一定是一個廣播域,VLAN之間的通信並不一定需要路由網關,其本身可以通過對VLANTAG的相互允許,組成不同訪問控制屬性的VLAN,當然也可以通過第3層的路由器來完成的,但是,通過VLANID和VLANTAG的允許,VLAN可以為幾乎局域網內任何信息集成系統架構邏輯拓撲和訪問控制,並且與其它共享物理網路鏈路的信息系統實現相互間無擾共享。VLAN可以為信息業務和子業務、以及信息業務間提供一個相符合業務結構的虛擬網絡拓撲架構並實現訪問控制功能。與傳統的局域網技術相比較,VLAN技術更加靈活,它具有以下優點: 網絡設備的移動、添加和修改的管理開銷減少;可以控制廣播活動;可提高網絡的安全性。
華為設備的VLAN之間互訪方式: 單臂路由Vlan Trunking、三層VLANIF接口方案
`華為路由器的接口默認情況下是不接收或發送帶有標簽(Teg)的數據``
單臂路由Vlan Trunking
將二層交換機和路由器之間相連的接口配置Vlan Trunking ,使多個VLAN共享同一條物理鏈路連接到路由器。路由器通過划分子接口,將子接口配置IP地址,並將各子接口對應各個VLAN,子接口啟用ARP功能。
網絡拓撲:
——PC1終端(vlan 10)
AR1路由器——SW1交換機
——PC2終端(vlan 20)
具體配置命令:
交換機配置:
[SW1] vlan batch 10 20 ——批量創建vlan
[SW1] vlan 10 ——進入vlan10配置視圖
[SW1-vlan10] description PC1 —— 為vlan 10 描述一個名字
[SW1] vlan20 ——進入vlan20的配置視圖
[SW1-vlan20] description PC2 —— 為vlan 20 描述一個名字
[SW1] port-group group-member GigabitEthernet 1/0/1 to GigabitEthernet 1/0/2 ——新建臨時端口組
[SW1-port-group] port link-type access —— 將此端口組下的所有端口模式改為Access模式
[SW1-port-group] port default vlan 10 ——將此端口組下的所有端口划入vlan 10
[SW1] port-group group-member GigabitEthernet 1/0/3 to GigabitEthernet 1/0/4 ——新建臨時端口組
[SW1-port-group] port link-type access —— 將此端口組下的所有端口模式改為Access模式
[SW1-port-group] port default vlan 20 ——將此端口組下的所有端口划入vlan 20
查看:display port vlan ——查看各端口的VLAN信息
[SW1] interface GigabitEthernet 1/0/8 ——進入與路由器相連的交換機端口
[SW1-GigabitEthernet1/0/8] port link-type trunk ——將端口模式改為Trunk
[SW1-GigabitEthernet1/0/8] port trunk allow-pass vlan 10 20 —— 設置此端口通過的vlan ID 為10 20
路由器配置:
[AR1] iterface GigabitEthernet 1/0/1.1 ——進入路由器與交換機相連的端口(子接口對應vlan10)
[AR1-GigabitEthernet1/0/1.1] ip address 10.5.10.1 255.255.255.0 ——設置子接口所對應vlan10的網關地址
[AR1-GigabitEthernet1/0/1.1] dot1q termination vid 10 —— 將此接口對應vlan10進行dot1q封裝
注:交換機通過Trunk接口與路由器相連,但路由器默認是無法處理帶有vlanTeg標簽的數據,需更改路由器的接口封裝方式,因為Trunk的封裝方式為802.1Q,所有路由器的子接口要啟用dot1q封裝數據
[AR1-GigabitEthernet1/0/1.1] arp broadcast enable ——啟用子接口的ARP功能
查看 :display ip interface brief —— 查看接口的狀態是否為UP (Physical——up;Protocol——up)
[AR1] iterface GigabitEthernet 1/0/1.2 ——進入路由器與交換機相連的端口(子接口對應vlan20)
[AR1-GigabitEthernet1/0/1.2] ip address 10.5.20.1 255.255.255.0 ——設置子接口所對應vlan20的網關地址
[AR1-GigabitEthernet1/0/1.2] dot1q termination vid 20 —— 將此接口對應vlan20進行dot1q封裝
[AR1-GigabitEthernet1/0/1.2] arp broadcast enable ——啟用子接口的ARP功能
注:華為路由器的子接口上默認是不處理ARP數據包,需手動啟用ARP功能。
三層VLANIF接口方案
通過在三層交換機上配置vlanif虛擬三層接口方式,實現不同vlan之間的相互訪問
[SW1] vlan batch 10 20 ——批量創建vlan
[SW1] interface vlanif 10 ——創建並進入vlan10的邏輯接口
[SW1-Vlanif10] ip address 10.5.10.1 255.255.255.0 —— 為vlan10配置三層邏輯地址(此IP作為vlan10的網關)
[SW1] interface vlanif 20 ——創建並進入vlan20的邏輯接口
[SW1-Vlanif20] ip address 10.5.20.1 255.255.255.0 —— 為vlan10配置三層邏輯地址(此IP作為vlan20的網關)
[SW1] interface GigabitEthernet 1/0/6 ——進入交換機與終端PC相連的接口
[SW1-GigabitEthernet1/0/6] port link-type access ——將端口模式改為access
[SW1-GigabitEthernet1/0/6] port default vlan 10 ——將此端口划入vlan 10
[SW1] interface GigabitEthernet 1/0/7 ——進入交換機與終端PC相連的接口
[SW1-GigabitEthernet1/0/7] port link-type access ——將端口模式改為access
[SW1-GigabitEthernet1/0/7] port default vlan 20 ——將此端口划入vlan 20