VLAN
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网,由于交换机端口有两种VLAN属性,其一是VLANID,其二是VLANTAG,分别对应VLAN对数据包设置VLAN标签和允许通过的VLANTAG(标签)数据包,不同VLANID端口,可以通过相互允许VLANTAG,构建VLAN。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN不一定是一个广播域,VLAN之间的通信并不一定需要路由网关,其本身可以通过对VLANTAG的相互允许,组成不同访问控制属性的VLAN,当然也可以通过第3层的路由器来完成的,但是,通过VLANID和VLANTAG的允许,VLAN可以为几乎局域网内任何信息集成系统架构逻辑拓扑和访问控制,并且与其它共享物理网路链路的信息系统实现相互间无扰共享。VLAN可以为信息业务和子业务、以及信息业务间提供一个相符合业务结构的虚拟网络拓扑架构并实现访问控制功能。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
华为设备的VLAN之间互访方式: 单臂路由Vlan Trunking、三层VLANIF接口方案
`华为路由器的接口默认情况下是不接收或发送带有标签(Teg)的数据``
单臂路由Vlan Trunking
将二层交换机和路由器之间相连的接口配置Vlan Trunking ,使多个VLAN共享同一条物理链路连接到路由器。路由器通过划分子接口,将子接口配置IP地址,并将各子接口对应各个VLAN,子接口启用ARP功能。
网络拓扑:
——PC1终端(vlan 10)
AR1路由器——SW1交换机
——PC2终端(vlan 20)
具体配置命令:
交换机配置:
[SW1] vlan batch 10 20 ——批量创建vlan
[SW1] vlan 10 ——进入vlan10配置视图
[SW1-vlan10] description PC1 —— 为vlan 10 描述一个名字
[SW1] vlan20 ——进入vlan20的配置视图
[SW1-vlan20] description PC2 —— 为vlan 20 描述一个名字
[SW1] port-group group-member GigabitEthernet 1/0/1 to GigabitEthernet 1/0/2 ——新建临时端口组
[SW1-port-group] port link-type access —— 将此端口组下的所有端口模式改为Access模式
[SW1-port-group] port default vlan 10 ——将此端口组下的所有端口划入vlan 10
[SW1] port-group group-member GigabitEthernet 1/0/3 to GigabitEthernet 1/0/4 ——新建临时端口组
[SW1-port-group] port link-type access —— 将此端口组下的所有端口模式改为Access模式
[SW1-port-group] port default vlan 20 ——将此端口组下的所有端口划入vlan 20
查看:display port vlan ——查看各端口的VLAN信息
[SW1] interface GigabitEthernet 1/0/8 ——进入与路由器相连的交换机端口
[SW1-GigabitEthernet1/0/8] port link-type trunk ——将端口模式改为Trunk
[SW1-GigabitEthernet1/0/8] port trunk allow-pass vlan 10 20 —— 设置此端口通过的vlan ID 为10 20
路由器配置:
[AR1] iterface GigabitEthernet 1/0/1.1 ——进入路由器与交换机相连的端口(子接口对应vlan10)
[AR1-GigabitEthernet1/0/1.1] ip address 10.5.10.1 255.255.255.0 ——设置子接口所对应vlan10的网关地址
[AR1-GigabitEthernet1/0/1.1] dot1q termination vid 10 —— 将此接口对应vlan10进行dot1q封装
注:交换机通过Trunk接口与路由器相连,但路由器默认是无法处理带有vlanTeg标签的数据,需更改路由器的接口封装方式,因为Trunk的封装方式为802.1Q,所有路由器的子接口要启用dot1q封装数据
[AR1-GigabitEthernet1/0/1.1] arp broadcast enable ——启用子接口的ARP功能
查看 :display ip interface brief —— 查看接口的状态是否为UP (Physical——up;Protocol——up)
[AR1] iterface GigabitEthernet 1/0/1.2 ——进入路由器与交换机相连的端口(子接口对应vlan20)
[AR1-GigabitEthernet1/0/1.2] ip address 10.5.20.1 255.255.255.0 ——设置子接口所对应vlan20的网关地址
[AR1-GigabitEthernet1/0/1.2] dot1q termination vid 20 —— 将此接口对应vlan20进行dot1q封装
[AR1-GigabitEthernet1/0/1.2] arp broadcast enable ——启用子接口的ARP功能
注:华为路由器的子接口上默认是不处理ARP数据包,需手动启用ARP功能。
三层VLANIF接口方案
通过在三层交换机上配置vlanif虚拟三层接口方式,实现不同vlan之间的相互访问
[SW1] vlan batch 10 20 ——批量创建vlan
[SW1] interface vlanif 10 ——创建并进入vlan10的逻辑接口
[SW1-Vlanif10] ip address 10.5.10.1 255.255.255.0 —— 为vlan10配置三层逻辑地址(此IP作为vlan10的网关)
[SW1] interface vlanif 20 ——创建并进入vlan20的逻辑接口
[SW1-Vlanif20] ip address 10.5.20.1 255.255.255.0 —— 为vlan10配置三层逻辑地址(此IP作为vlan20的网关)
[SW1] interface GigabitEthernet 1/0/6 ——进入交换机与终端PC相连的接口
[SW1-GigabitEthernet1/0/6] port link-type access ——将端口模式改为access
[SW1-GigabitEthernet1/0/6] port default vlan 10 ——将此端口划入vlan 10
[SW1] interface GigabitEthernet 1/0/7 ——进入交换机与终端PC相连的接口
[SW1-GigabitEthernet1/0/7] port link-type access ——将端口模式改为access
[SW1-GigabitEthernet1/0/7] port default vlan 20 ——将此端口划入vlan 20