第講華為交換機(jī)VLAN配置精要

1、華為交換機(jī)VLAN配置cch7/14/20221內(nèi)容簡(jiǎn)介本講主要一、介紹VLAN的根本含義與分類，并介紹了VLAN的實(shí)現(xiàn)原理與應(yīng)用，在最后給出了一個(gè)具體的配置實(shí)例。2、isolate-user-vlan (PVLAN) 配置 7/14/20222學(xué)習(xí)目標(biāo)801.1Q 協(xié)議與VLANVLAN的分類VLAN的優(yōu)點(diǎn) VLAN的原理實(shí)例7/14/20223801.1Q 協(xié)議與VLANVLAN的分類VLAN的優(yōu)點(diǎn) VLAN的原理實(shí)例isolate-user-vlan (PVLAN) 配置7/14/20224一、801.1Q 協(xié)議與VLAN802.1Q協(xié)議，即Virtual Bridged Local A

2、rea Networks虛擬橋局域網(wǎng)絡(luò)協(xié)議，主要規(guī)定了VLAN的實(shí)現(xiàn)，下面我們首先講述一下有關(guān)VLAN的根本觀念。 7/14/20225VLANVirtual Local Area Network，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。IEEE于1999年公布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的IEEE 802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的播送域或稱虛擬LAN，即VLAN，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)，由于VLAN是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)計(jì)算機(jī)無須被放置在同

3、一個(gè)物理空間里，即這些計(jì)算機(jī)不一定屬于同一個(gè)物理LAN網(wǎng)段。7/14/20226trunkVLAN1VLAN2VLAN的優(yōu)勢(shì)在于VLAN內(nèi)部的播送和單播流量不會(huì)被轉(zhuǎn)發(fā)到其它VLAN中，從而有助于控制網(wǎng)絡(luò)流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)平安性 。7/14/20227以前，各個(gè)廠商都聲稱他們的交換機(jī)實(shí)現(xiàn)了VLAN，但各個(gè)廠商實(shí)現(xiàn)的方法都不相同，所以彼此是無法互連，這樣，用戶一旦買了某個(gè)廠商的交換機(jī)，就沒方法買其他廠商的了。而現(xiàn)在，VLAN的標(biāo)準(zhǔn)是IEEE 提出的802.1Q協(xié)議，只有支持相同的開放標(biāo)準(zhǔn)才能保證網(wǎng)絡(luò)的互連互通，以及保護(hù)網(wǎng)絡(luò)設(shè)備投資。 7/14/20228801.1Q 協(xié)議與

4、VLANVLAN的分類VLAN的優(yōu)點(diǎn) VLAN的原理實(shí)例isolate-user-vlan (PVLAN) 配置7/14/202291、根據(jù)端口劃分VLAN這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來劃分，比方S2021的14端口為VLAN 1，58為VLAN 2，916為VLAN 3，當(dāng)然，這些屬于同一VLAN的端口可以不連續(xù)，如何配置，由管理員決定，如果有多個(gè)交換機(jī)的話，例如，可以指定交換機(jī) 1 的16端口和交換機(jī) 2 的14端口為同一VLAN，即同一VLAN可以跨越數(shù)個(gè)以太網(wǎng)交換機(jī)，根據(jù)端口劃分是目前定義VLAN的最常用的方法，IEEE 802.1Q協(xié)議規(guī)定的就是如何根據(jù)交換機(jī)的端口

5、來劃分VLAN。7/14/202210優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn)：定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口都指定義一下就可以了。缺點(diǎn)：是如果VLAN A的用戶離開了原來的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，那么就必須重新定義。7/14/2022112、根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組。7/14/202212優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn)：就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，缺點(diǎn)：是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如

6、果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無法限制播送包了。另外，對(duì)于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停的配置。7/14/2022133、根據(jù)網(wǎng)絡(luò)層劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法可能是根據(jù)網(wǎng)絡(luò)地址，比方IP地址，但它不是路由，不要與網(wǎng)絡(luò)層的路由混淆。它雖然查看每個(gè)數(shù)據(jù)包的IP地址，但由于不是路由，所以，沒有RIP，OSPF(開放最短路優(yōu)先)等路由協(xié)議，而是根據(jù)

7、生成樹算法進(jìn)行橋交換7/14/202214優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn)：是用戶的物理位置改變了，不需要重新配置他所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。缺點(diǎn)：是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是很費(fèi)時(shí)的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這也跟各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。 7/14/2022154、IP組播作為VLANIP 組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN

8、，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高，對(duì)于局域網(wǎng)的組播，有二層組播協(xié)議GMRP。7/14/202216小結(jié)通過上面可以看出，各種不同的VLAN定義方法有各自的優(yōu)缺點(diǎn)，所以，很多廠商的交換機(jī)都實(shí)現(xiàn)了不只一種方法，這樣，網(wǎng)絡(luò)管理者可以根據(jù)自己的實(shí)際需要進(jìn)行選擇，另外，許多廠商在實(shí)現(xiàn)VLAN的時(shí)候，考慮到VLAN配置的復(fù)雜性，還提供了一定程度的自動(dòng)配置和方便的網(wǎng)絡(luò)管理工具。7/14/202217801.1Q 協(xié)議與VLANVLAN的分類VLAN的優(yōu)點(diǎn) VLAN的原理實(shí)例isolate-user

9、-vlan (PVLAN) 配置7/14/2022181、減少移動(dòng)和改變的代價(jià)即所說的動(dòng)態(tài)管理網(wǎng)絡(luò)，也就是當(dāng)一個(gè)用戶從一個(gè)位置移動(dòng)到另一個(gè)位置是，他的網(wǎng)絡(luò)屬性不需要重新配置，而是動(dòng)態(tài)的完成，這種動(dòng)態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者和使用者都帶來了極大的好處，一個(gè)用戶，無論他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好的。 當(dāng)然，并不是所有的VLAN定義方法都能做到這一點(diǎn)。 7/14/2022192、虛擬工作組VLAN的最具雄心的目標(biāo)就是建立虛擬工作組模型，例如，在校園網(wǎng)中，同一個(gè)系的就好似在同一個(gè)LAN上一樣，很容易的互相訪問，交流信息，同時(shí)，所有的播送包也都限制在該虛擬LAN上，而不影響其他

10、VLAN的人，一個(gè)人如果從一個(gè)辦公地點(diǎn)換到另外一個(gè)地點(diǎn)，而他仍然在該系，那么，他的配置無須改變，同時(shí)，如果一個(gè)人雖然辦公地點(diǎn)沒有變，但他換了一個(gè)系，那么，只需網(wǎng)絡(luò)管理者那配置一下就行了。這個(gè)功能的目標(biāo)就是建立一個(gè)動(dòng)態(tài)的組織環(huán)境，當(dāng)然，這只是一個(gè)遠(yuǎn)大的目標(biāo)，要實(shí)現(xiàn)它，還需要一些其他包括管理等方面的支持。 7/14/2022203、限制播送包按照802.1D透明網(wǎng)橋的算法，如果一個(gè)數(shù)據(jù)包找不到路由，那么交換機(jī)就會(huì)將該數(shù)據(jù)包向所有的其他端口發(fā)送，這就是橋的播送方式的轉(zhuǎn)發(fā)，這樣的結(jié)果，毫無疑問極大的浪費(fèi)了帶寬，如果配置了VLAN，那么，當(dāng)一個(gè)數(shù)據(jù)包沒有路由時(shí)，交換機(jī)只會(huì)將此數(shù)據(jù)包發(fā)送到所有屬于該VLA

11、N的其他端口，而不是所有的交換機(jī)的端口，這樣，就將數(shù)據(jù)包限制到了一個(gè)VLAN內(nèi)。在一定程度上可以節(jié)省帶寬。 7/14/2022214、平安性由于配置了VLAN后，一個(gè)VLAN的數(shù)據(jù)包不會(huì)發(fā)送到另一個(gè)VLAN，這樣，其他VLAN的用戶的網(wǎng)絡(luò)上是收不到任何該VLAN的數(shù)據(jù)包，從而就確保了該VLAN的信息不會(huì)被其他VLAN的人竊聽，從而實(shí)現(xiàn)了信息的保密。 7/14/202222801.1Q 協(xié)議與VLANVLAN的分類VLAN的優(yōu)點(diǎn) VLAN的原理實(shí)例isolate-user-vlan (PVLAN) 配置7/14/202223一、VLAN與WAN廣域網(wǎng)理論上，VLAN可以擴(kuò)展到WAN上，但是，這是

12、不明智的做法，因?yàn)閂LAN允許播送包發(fā)送出去，而且它沒有很好的路由算法，經(jīng)常是以播送的形式轉(zhuǎn)發(fā)數(shù)據(jù)包，這樣，毫無疑問，極大地浪費(fèi)了WAN的珍貴的帶寬，所以說，將基于端口的MAC地址和網(wǎng)絡(luò)地址的VLAN擴(kuò)展到WAN是不合理的，而基于多播的VLAN概念那么可以靈活有效的擴(kuò)展到WAN。一般的以太網(wǎng)交換機(jī)實(shí)現(xiàn)的都是基于端口的VLAN，個(gè)別的會(huì)實(shí)現(xiàn)基于MAC地址和網(wǎng)絡(luò)層地址的VLAN，而路由器中可以通過IGMP多播協(xié)議實(shí)現(xiàn)所謂的組播形式的VLAN 。 7/14/202224二、802.1Q協(xié)議定義了基于端口的VLAN的原理802.1Q協(xié)議定義了基于端口的VLAN模型，這是使用得最多的一種方式。下面我們重

13、點(diǎn)講述一下交換機(jī)芯片是如何實(shí)現(xiàn)VLAN的。 7/14/202225標(biāo)準(zhǔn)以太網(wǎng)幀與802.1Q幀DASATypeDataCRCDASATypeDataCRCTag0 x8100 2 bytePriority-3bitCFI 1bitVLAN ID 12bit標(biāo)準(zhǔn)以太幀Vlan tag 幀每一個(gè)支持802.1Q協(xié)議的主機(jī)，在發(fā)送數(shù)據(jù)包時(shí)，都在原來的以太網(wǎng)幀頭中的源地址后增加了一個(gè)4字節(jié)的802.1Q幀頭，之后接原來以太網(wǎng)的長(zhǎng)度或類型域。 7/14/202226各位解釋802.1Q標(biāo)簽頭包含了2個(gè)字節(jié)的標(biāo)簽協(xié)議標(biāo)識(shí)TPID-Tag Protocol Identifier，它的值是8100 。Prio

14、rity：這3 位指明幀的優(yōu)先級(jí)。一共有8種優(yōu)先級(jí)，主要用于當(dāng)交換機(jī)阻塞時(shí)，優(yōu)先發(fā)送哪個(gè)數(shù)據(jù)包。7/14/202227各位解釋Canonical Format Indicator( cfi )：這一位主要用于總線型的以太網(wǎng)與FDDI、令牌環(huán)網(wǎng)交換數(shù)據(jù)時(shí)的幀格式 。LAN Identified( VLAN ID ): 這是一個(gè)12位的域，指明VLAN的ID，一共4096個(gè)，每個(gè)支持802.1Q協(xié)議的主機(jī)發(fā)送出來的數(shù)據(jù)包都會(huì)包含這個(gè)域，以指明自己屬于哪一個(gè)VLAN。所以最多支持4K 個(gè)VLAN。7/14/202228三、802.1Q幀的識(shí)別問題802.1Q標(biāo)簽頭的4 個(gè)字節(jié)是新增加的，目前我們使用

15、的計(jì)算機(jī)并不支持802.1Q，即我們計(jì)算機(jī)發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這4個(gè)字節(jié)，同時(shí)也無法識(shí)別這4個(gè)字節(jié)，將來會(huì)有軟件和硬件支持802.1Q協(xié)議的。 7/14/202229Tag Aware端口與Access端口對(duì)于交換機(jī)來說，如果它所連接的以太網(wǎng)段的所有主機(jī)都能識(shí)別和發(fā)送這種帶802.1Q標(biāo)簽頭的數(shù)據(jù)包，那么我們把這種端口稱為Tag Aware標(biāo)簽支持 端口；相反，如果該交換機(jī)端口說連接的以太網(wǎng)段有只要有一臺(tái)主機(jī)不支持這種以太網(wǎng)幀頭，那么交換機(jī)的這個(gè)端口我們稱為Access端口，從目前的情況可以看出，所有的交換機(jī)的端口都屬于后一種。 7/14/202230交換機(jī)是如何支持VLAN的

16、呢？1、接收過程：該過程負(fù)責(zé)接收數(shù)據(jù)包，數(shù)據(jù)包可以是帶標(biāo)簽頭的，也可以不帶標(biāo)簽頭，如果不帶，交換時(shí)機(jī)知道根據(jù)該端口所屬的VLAN添加上相應(yīng)的標(biāo)簽頭。 2、查找/路由過程：該過程根據(jù)數(shù)據(jù)包的目的MAC地址、VLAN 標(biāo)識(shí)已經(jīng)數(shù)據(jù)庫中注冊(cè)的信息決定把數(shù)據(jù)包發(fā)送到哪個(gè)端口。 3、發(fā)送過程：將數(shù)據(jù)包發(fā)送到以太網(wǎng)段上，如果該網(wǎng)段的主機(jī)不能識(shí)別802.1Q標(biāo)簽頭，那么就將該標(biāo)簽頭去掉，如果是與其他交換機(jī)互連的端口，一般不去掉。 7/14/202231例如：換機(jī)的14端口屬于同一個(gè)VLAN，那么當(dāng) 1 端口進(jìn)來一個(gè)數(shù)據(jù)包是，交換機(jī)看到該數(shù)據(jù)包沒有802.1Q標(biāo)簽頭，那么，它會(huì)根據(jù)1號(hào)端口所屬的VLAN組，自

17、動(dòng)給該數(shù)據(jù)包添加一個(gè)該VLAN的標(biāo)簽頭，然后再將數(shù)據(jù)包交給數(shù)據(jù)庫查詢模塊，數(shù)據(jù)庫查詢模塊會(huì)根據(jù)數(shù)據(jù)包的目的地址和所屬的VLAN進(jìn)行路由，之后交給轉(zhuǎn)發(fā)模塊，轉(zhuǎn)發(fā)模塊看到這是一個(gè)包含標(biāo)簽頭的數(shù)據(jù)包，而實(shí)際上發(fā)送的端口所連的以太網(wǎng)段的計(jì)算機(jī)不能識(shí)別這種數(shù)據(jù)包，所以，它會(huì)再將數(shù)據(jù)包進(jìn)來是交換機(jī)給添加的標(biāo)簽頭再去掉。如果計(jì)算機(jī)支持這種標(biāo)簽頭，那么就不需要交換機(jī)添加或刪除標(biāo)簽頭了，至于到底是添加還是刪除要看交換機(jī)所連的以太網(wǎng)段的主機(jī)是否識(shí)別這種數(shù)據(jù)包，即該交換機(jī)的端口是哪種類型的端口。當(dāng)然，對(duì)于兩個(gè)交換機(jī)互連的端口一般都是Tag Aware端口，這樣，交換機(jī)和交換機(jī)之間交換數(shù)據(jù)包時(shí)是無須去掉標(biāo)簽頭的 。7

18、/14/202232801.1Q 協(xié)議與VLANVLAN的分類VLAN的優(yōu)點(diǎn) VLAN的原理實(shí)例isolate-user-vlan (PVLAN) 配置7/14/202233華為交換機(jī)-VLAN配置對(duì)VLAN進(jìn)行配置時(shí)，首先應(yīng)根據(jù)需求創(chuàng)立VLAN。VLAN配置包括： 開啟/關(guān)閉設(shè)備VLAN特性 創(chuàng)立/刪除VLAN為VLAN指定以太網(wǎng)端口為VLAN指定描述字符7/14/2022341、開啟/關(guān)閉設(shè)備VLAN特性當(dāng)交換機(jī)的VLAN特性被關(guān)閉后，交換機(jī)在報(bào)文交換的過程中將不再使用VLAN標(biāo)記，從而失去了VLAN域的隔離功能。請(qǐng)?jiān)谙到y(tǒng)視圖進(jìn)行以下配置。操作命令開啟/關(guān)閉VLAN特性vlan enabl

19、e | disable 缺省情況下，開啟設(shè)備的VLAN特性。7/14/2022352、創(chuàng)立/刪除VLAN創(chuàng)立VLAN時(shí)，如果該VLAN已存在，那么直接進(jìn)入該VLAN視圖；如果該VLAN不存在，那么此配置任務(wù)將首先創(chuàng)立VLAN，然后進(jìn)入VLAN視圖。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行以下配置。操作命令創(chuàng)立VLAN并進(jìn)入VLAN視圖 vlan vlan_id刪除已創(chuàng)立的VLAN undo vlan vlan_id to vlan_id | all 需要注意的是，缺省VLAN即VLAN 1不能被刪除。7/14/2022363、為VLAN指定以太網(wǎng)端口請(qǐng)?jiān)赩LAN視圖下進(jìn)行以下配置。操作命令為指定的VLAN增加以太網(wǎng)

20、端口port interface_list刪除指定的VLAN的某些以太網(wǎng)端口undo port interface_list缺省情況下，系統(tǒng)將所有端口都參加到一個(gè)缺省的VLAN中，該VLAN的ID為1。需要注意的是，Trunk和Hybrid端口只能通過以太網(wǎng)端口視圖下的port和undo port命令參加VLAN或從VLAN中刪除，而不能通過本命令實(shí)現(xiàn)。7/14/2022374、為VLAN指定描述字符在VLAN視圖下進(jìn)行以下配置。操作命令為VLAN指定一個(gè)描述字符串description string恢復(fù)VLAN的描述字符串為缺省描述undo description缺省情況下，VLAN缺省描述

21、字符串為該VLAN的VLAN ID，例如“VLAN 0001 7/14/2022385、 VLAN顯示和調(diào)試在完成上述配置后，在所有視圖下執(zhí)行display命令可以顯示配置后VLAN的運(yùn)行情況，通過查看顯示信息驗(yàn)證配置的效果。操作命令顯示VLAN相關(guān)信息display vlan vlan_id | all | static | dynamic 7/14/2022397、案例六：配置交換機(jī)的Vlan1、組網(wǎng)要求 某一個(gè)企業(yè)網(wǎng)絡(luò)用一臺(tái)交換機(jī)把所有的主機(jī)連接起來組成局域網(wǎng)，在企業(yè)網(wǎng)中某些重要部門需要得到平安性的保證，如財(cái)務(wù)部的就不能被公司內(nèi)的其他員工訪問到，要求和公司的其他部門之間物理上隔開，互相不

22、能直接訪問。要到達(dá)這樣的目的就必須在交換機(jī)中劃分VLAN，把財(cái)務(wù)部和其他員工的主機(jī)分開。劃分VLAN后不同的VLAN相當(dāng)于是物理上隔開的兩個(gè)網(wǎng)絡(luò)。 7/14/2022402、根本思路：把財(cái)務(wù)部劃分到一個(gè)VLAN，把市場(chǎng)部劃分到另一個(gè)VLAN。假設(shè)市場(chǎng)部有三個(gè)主機(jī)，分別連接到交換機(jī)的1，2，3端口，而財(cái)務(wù)部有三臺(tái)主機(jī)，分別接到交換機(jī)的4，5，6端口，把1，2，3端口劃分到一個(gè)VLAN 2，把4，5，6劃分到另一個(gè)VLAN 3里。 7/14/2022413、組網(wǎng)圖7/14/2022424、配置步驟 system-view /進(jìn)入系統(tǒng)視圖Quidway-view Vlan 2 /建立并進(jìn)入Vlan

23、2Quidway-vlan2 port ethernet0/1 to ethernet0/3 /把E0/1 到 E0/3 參加到vlan 2中Quidway-vlan2 description SCB-office /描述字符串為市場(chǎng)部辦公室Quidway-vlan2 Vlan 3 /建立并進(jìn)入Vlan 3 Quidway-vlan3 port ethernet0/4 to ethernet0/6 /把E0/1 到 E0/3 參加到vlan 2中Quidway-vlan3 description CWB-office /描述字符串為財(cái)務(wù)部辦公室 7/14/2022435、驗(yàn)證步驟(1)首先在設(shè)

24、置各計(jì)算機(jī)的IP地址Pc3 10.0.0.3 255.0.0.1 7/14/202244(2)在沒有執(zhí)行設(shè)置步驟前，各計(jì)算機(jī)應(yīng)該能夠可以相互ping通在pc1 上執(zhí)行 ping 10.0.0.2 能通在pc1 上執(zhí)行 ping 10.0.0.6 能通這時(shí)所有的計(jì)算機(jī)都能相互ping 通3執(zhí)行4配置步驟這時(shí)在pc1 上執(zhí)行 ping 10.0.0.2 能通在pc1 上執(zhí)行 ping 10.0.0.6 不能通說明vlan 起做用了在交換機(jī)上執(zhí)行Quidway display vlan all /顯示所有的Vlan 信息可以看到e0/1 e0/2 e0/3 屬于Vlan2 e0/4 e0/5 e0/

25、6 屬于 Vlan 3如果不正確，請(qǐng)檢查上以各步是哪一步做錯(cuò)了！ 7/14/202245801.1Q 協(xié)議與VLANVLAN的分類VLAN的優(yōu)點(diǎn) VLAN的原理實(shí)例isolate-user-vlan (PVLAN) 配置7/14/202246 一、isolate-user-vlan簡(jiǎn)介 isolate-user-vlan是華為公司系列交換機(jī)的一個(gè)特性，通過該特性可實(shí)現(xiàn)網(wǎng)絡(luò)中VLAN資源的節(jié)約。isolate-user-vlan采用二層VLAN結(jié)構(gòu)，在一臺(tái)交換機(jī)上設(shè)置isolate-user-vlan和Secondary VLAN兩類VLAN。一個(gè)isolate-user-vlan和多個(gè)Seco

26、ndary VLAN對(duì)應(yīng)，isolate-user-vlan包含所對(duì)應(yīng)的所有Secondary VLAN中包含的端口和上行端口，這樣對(duì)上層交換機(jī)來說，只須識(shí)別下層交換機(jī)中的isolate-user-vlan，而不必關(guān)心isolate-user-vlan中包含的Secondary VLAN，簡(jiǎn)化了網(wǎng)絡(luò)配置，節(jié)省了VLAN資源。同時(shí)，用戶可以采用isolate-user-vlan實(shí)現(xiàn)二層報(bào)文的隔離，即為每個(gè)用戶分配一個(gè)Secondary VLAN，每個(gè)Secondary VLAN中只包含該用戶連接的端口和上行端口；如果希望實(shí)現(xiàn)用戶之間二層報(bào)文的互通，只要將這些用戶連接的端口劃入同一個(gè)Seconda

27、ry VLAN中即可。7/14/202247二、 isolate-user-vlan配置isolate-user-vlan配置包括：配置isolate-user-vlan配置Secondary VLAN配置isolate-user-vlan和Secondary VLAN間的映射關(guān)系以上任務(wù)都是必選的，一旦啟用isolate-user-vlan就必須配置 7/14/2022481、創(chuàng)立 isolate-user-vlan請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行創(chuàng)立VLAN的配置，在VLAN視圖下進(jìn)行設(shè)置VLAN類型為isolate-user-vlan及給該VLAN添加端口的配置。操作命令創(chuàng)立VLANvlan vlan

28、-id設(shè)置VLAN類型為isolate-user-vlanisolate-user-vlan enable取消VLAN為isolate-user-vlan的設(shè)置undo isolate-user-vlan enable向isolate-user-vlan中添加端口port interface-list7/14/202249注意一臺(tái)交換機(jī)可以有多個(gè)isolate-user-vlan，可以為每個(gè)isolate-user-vlan指定多個(gè)端口。isolate-user-vlan不能和Trunk端口同時(shí)配置，即如果交換機(jī)上配置了isolate-user-vlan，就不能配置Trunk端口；如果配置了T

29、runk端口，就不能配置isolate-user-vlan。此外，上行端口必須添加到了isolate-user-vlan中。 7/14/2022502、 配置Secondary VLAN可以使用下面的命令來創(chuàng)立Secondary VLAN，并為Secondary VLAN指定端口。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行以下配置。操作命令創(chuàng)立Secondary VLANvlan vlan-id向Secondary VLAN中添加端口port interface-list可以向每一個(gè)Secondary VLAN中添加多個(gè)端口非上行端口。7/14/2022513、 配置isolate-user-vlan和Seconda

30、ry VLAN間的映射關(guān)系可以使用下面的命令來建立isolate-user-vlan和Secondary VLAN之間的映射關(guān)系。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行以下配置。操作命令配置isolate-user-vlan和Secondary VLAN間的映射關(guān)系isolate-user-vlan isolate-user-vlan_num secondary secondary_vlan_numlist to secondary_vlan_numlist 取消配置isolate-user-vlan和Secondary VLAN間的映射關(guān)系undo isolate-user-vlan isolate-user-

31、vlan_num secondary secondary_vlan_numlist to secondary_vlan_numlist 7/14/202252注意：需要注意的是，執(zhí)行該命令前，isolate-user-vlan和Secondary VLAN中都必須已經(jīng)包含了端口。最多可以向一個(gè)isolate-user-vlan中映射30個(gè)Secondary VLAN。建立映射關(guān)系后，向isolate-user-vlan和Secondary VLAN中添加和刪除端口以及刪除VLAN的操作被系統(tǒng)禁止。只有在解除了映射關(guān)系后才可以執(zhí)行。undo isolate-user-vlan命令如果不帶參數(shù)se

32、condary secondary_vlan_numlist的話，就解除所有Secondary VLAN和指定isolate-user-vlan的映射關(guān)系；如果帶有該參數(shù)的話就解除參數(shù)指定的Secondary VLAN和指定isolate-user-vlan的映射關(guān)系。 7/14/2022534、isolate-user-vlan顯示和調(diào)試在完成上述配置后，在所有視圖下執(zhí)行display命令可以顯示配置后isolate-user-vlan的運(yùn)行情況，通過查看顯示信息驗(yàn)證配置的效果。操作命令顯示isolate-user-vlan和Secondary VLAN的映射關(guān)系display isolat

33、e-user-vlan isolate-user-vlan_num 7/14/202254三、isolate-user-vlan典型配置舉例案例七1. 組網(wǎng)需求Switch A交換機(jī)下接Switch B、Switch C交換機(jī)。Switch B上的VLAN5為isolate-user-vlan，包含上行端口Ethernet1/1和兩個(gè)Secondary VLAN：VLAN2和VLAN3，VLAN3包含端口Ethernet0/1，VLAN2包含端口Ethernet0/2；Switch C上的VLAN6為isolate-user-vlan，包含上行端口Ethernet1/1和兩個(gè)Secondary

34、 VLAN：VLAN3和VLAN4，VLAN3包含端口Ethernet0/3，VLAN4包含端口Ethernet0/4。從Switch A 看，下接的Switch B、Switch C都只有一個(gè)VLAN：VLAN5和VLAN6。7/14/2022552. 組網(wǎng)圖7/14/2022563. 配置步驟下面只列出Switch B和Switch C的配置過程。配置Switch B：# 配置isolate-user-vlan。Quidway vlan 5Quidway-vlan5isolate-user-vlan enableQuidway-vlan5port ethernet1/1# 配置Secondary VLAN。Quidway-vlan5 vlan 3Quidway-vlan3 port ethernet0/1 7/14/20225