龙渊幻想-异世界冒险活动站

龙渊幻想-异世界冒险活动站

华为HCIP网络工程师认证—VLAN原理和配置

VLAN 就是在一台物理交换机上,用软件划分出多个互相隔离的"虚拟小交换机"。本次博客将总结华为设备VLAN原理和配置。

文章目录

[一、为什么要 VLAN?------ 没有 VLAN 的世界有多乱](#一、为什么要 VLAN?—— 没有 VLAN 的世界有多乱)

1、网络问题

[2、VLAN 的解决方案](#2、VLAN 的解决方案)

3、效果

[二、VLAN 的工作原理------打标签与剥标签](#二、VLAN 的工作原理——打标签与剥标签)

1、不带标签的帧(Untagged)

[2、 带标签的帧(Tagged)](#2、 带标签的帧(Tagged))

[3、 交换机怎么处理?](#3、 交换机怎么处理?)

[三、VLAN 的端口类型](#三、VLAN 的端口类型)

[1、 Access 端口------接终端设备(电脑、打印机)](#1、 Access 端口——接终端设备(电脑、打印机))

(1)特点

(2)配置

[2、 Trunk 端口------交换机互联、路由器子接口](#2、 Trunk 端口——交换机互联、路由器子接口)

(1)特点

(2)配置

(3)应用场景

[`3、Hybrid 端口------华为特有,灵活性极高`](#3、Hybrid 端口——华为特有,灵活性极高)

(1)特点

(2)配置

[(3)应用场景:特殊组网,比如一台服务器同时需要多个 VLAN 的通信。](#(3)应用场景:特殊组网,比如一台服务器同时需要多个 VLAN 的通信。)

[四、VLAN 间通信------不同 VLAN 怎么互通?](#四、VLAN 间通信——不同 VLAN 怎么互通?)

[1、方式一:路由器 + 单臂路由](#1、方式一:路由器 + 单臂路由)

2、方式二:三层交换机(企业主流)

[五、VLAN 配置实战------手把手带你敲](#五、VLAN 配置实战——手把手带你敲)

[1、步骤 1:创建 VLAN](#1、步骤 1:创建 VLAN)

[2、步骤 2:配置 Access 端口](#2、步骤 2:配置 Access 端口)

[3、步骤 3:配置 Trunk 口(上联路由器)](#3、步骤 3:配置 Trunk 口(上联路由器))

[4、步骤 4:验证配置](#4、步骤 4:验证配置)

[5、步骤 5:(可选)配置 VLANIF 实现三层互通](#5、步骤 5:(可选)配置 VLANIF 实现三层互通)

六、常见坑点与避坑指南

[1、坑 1:Trunk 两端允许的 VLAN 不一致](#1、坑 1:Trunk 两端允许的 VLAN 不一致)

[2、坑 2:Access 端口忘了配 default vlan](#2、坑 2:Access 端口忘了配 default vlan)

[3、坑 3:Hybrid 端口 PVID 没设对](#3、坑 3:Hybrid 端口 PVID 没设对)

[4、坑 4:三层交换机没开启路由功能](#4、坑 4:三层交换机没开启路由功能)

[5、坑 5:VLAN 创建了却没把端口加进去](#5、坑 5:VLAN 创建了却没把端口加进去)

[七、HCIP 考试要点速记](#七、HCIP 考试要点速记)

[1、VLAN 隔离广播域:不同 VLAN 的广播互不影响。](#1、VLAN 隔离广播域:不同 VLAN 的广播互不影响。)

[2、802.1Q 标签:4 字节,12 位 VLAN ID。](#2、802.1Q 标签:4 字节,12 位 VLAN ID。)

[3、Access / Trunk / Hybrid:区别和适用场景。](#3、Access / Trunk / Hybrid:区别和适用场景。)

[4、PVID:端口默认 VLAN ID,收到无标签帧时打上。](#4、PVID:端口默认 VLAN ID,收到无标签帧时打上。)

[5、VLANIF:三层逻辑接口,实现跨 VLAN 路由。](#5、VLANIF:三层逻辑接口,实现跨 VLAN 路由。)

[6、单臂路由:路由器子接口 + 802.1Q 封装。](#6、单臂路由:路由器子接口 + 802.1Q 封装。)

八、总结口诀

一、为什么要 VLAN?------ 没有 VLAN 的世界有多乱

1、网络问题

假设公司有财务部、人事部、研发部,全都插在同一台交换机上:

问题 1:广播泛滥

财务部有台电脑中病毒狂发广播包,全公司所有电脑都得停下来处理这些垃圾广播 → 网络卡成幻灯片。

问题 2:安全堪忧

没有隔离,研发部的"小张"随便用抓包软件就能看到财务部的敏感数据 → 泄密。

问题 3:管理混乱

一个部门的人分散在不同楼层?那他们只能拉很长的网线或者用路由器连接,麻烦。

2、VLAN 的解决方案

把物理交换机切成三块:

VLAN 10 给财务部

VLAN 20 给人事部

VLAN 30 给研发部

3、效果

财务部的广播只在 VLAN 10 里传,其他部门完全收不到。

不同 VLAN 之间默认不能通信,想互通必须经过路由器或三层交换机。

同一个部门的人即使在不同楼层,只要把他们的端口划到同一个 VLAN,就像在同一个办公室里。

二、VLAN 的工作原理------打标签与剥标签

VLAN 是怎么隔离的?靠 标签(Tag)。

1、不带标签的帧(Untagged)

普通电脑发出的数据帧,没有 VLAN 标签。交换机收到后,会打上这个端口的 PVID(Port VLAN ID)。

2、 带标签的帧(Tagged)

在以太网帧的源 MAC 和目标 MAC 之间,插入一个 4 字节的 802.1Q 标签,里面最重要的就是 VLAN ID(0-4095,其中 0 和 4095 保留,可用 1-4094)。

3、 交换机怎么处理?

收到一个帧,看它有没有标签:

有标签:检查这个 VLAN 是否允许从该端口进入,如果允许,就按 VLAN 转发。

无标签:打上端口的 PVID,然后按这个 VLAN 转发。

转发出去时,根据端口的配置决定 保留标签(Tagged)还是剥掉标签(Untagged)。

比喻:

VLAN 标签就像快递上的"收件人部门标签"。交换机就像分拣中心,根据标签把包裹送到对应的部门,不同部门的快递不会混在一起。

三、VLAN 的端口类型

华为交换机有三种端口模式,必须搞清楚。

1、 Access 端口------接终端设备(电脑、打印机)

(1)特点

只属于一个 VLAN,发出帧时 剥掉标签(电脑不认识标签)。

(2)配置

bash

复制代码

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

应用场景:连 PC、服务器、IP 电话。

2、 Trunk 端口------交换机互联、路由器子接口

(1)特点

一条链路上承载多个 VLAN,发出帧时 保留标签(除了 PVID 的帧可以剥掉)。

(2)配置

bash

复制代码

interface GigabitE0/0/24

port link-type trunk

port trunk allow-pass vlan 10 20 30 # 允许哪些 VLAN 通过

port trunk pvid vlan 1 # 默认 PVID 是 1,一般不修改

(3)应用场景

交换机之间相连、交换机连路由器(单臂路由)。

3、Hybrid 端口------华为特有,灵活性极高

(1)特点

可以手动指定哪些 VLAN 发出时带标签,哪些不带。Access 和 Trunk 能做的它都能做,但配置稍复杂。

(2)配置

bash

复制代码

interface GigabitEthernet0/0/1

port link-type hybrid

port hybrid pvid vlan 10

port hybrid untagged vlan 10 20 # 发 VLAN 10 和 20 时脱标签

port hybrid tagged vlan 30 # 发 VLAN 30 时带标签

(3)应用场景:特殊组网,比如一台服务器同时需要多个 VLAN 的通信。

初学者建议:先用 Access 和 Trunk,Hybrid 知道概念就行,等熟悉了再玩花的。

四、VLAN 间通信------不同 VLAN 怎么互通?

VLAN 默认隔离,想让 VLAN 10 访问 VLAN 20,必须经过三层设备。

1、方式一:路由器 + 单臂路由

交换机 Trunk 口连路由器物理接口。

路由器配 子接口,每个子接口对应一个 VLAN,封装 802.1Q。

缺点:流量都挤在一个物理口,容易成瓶颈。

2、方式二:三层交换机(企业主流)

给每个 VLAN 创建一个 VLANIF 逻辑接口,配置 IP 地址作为该 VLAN 的网关。

不同 VLANIF 之间自动路由(IP forwarding)。

配置示例:

bash

复制代码

vlan 10

interface Vlanif10

ip address 192.168.10.1 24

vlan 20

interface Vlanif20

ip address 192.168.20.1 24

然后把端口划进对应 VLAN,PC 的网关指向 VLANIF IP,就能跨 VLAN 通信了。

五、VLAN 配置实战------手把手带你敲

拓扑场景 :

一台交换机,端口 G0/0/1 接 PC1(VLAN 10),端口 G0/0/2 接 PC2(VLAN 20),端口

G0/0/24 接上层路由器。

1、步骤 1:创建 VLAN

bash

复制代码

system-view

vlan 10

description Finance

vlan 20

description HR

2、步骤 2:配置 Access 端口

bash

复制代码

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

3、步骤 3:配置 Trunk 口(上联路由器)

bash

复制代码

interface GigabitEthernet0/0/24

port link-type trunk

port trunk allow-pass vlan 10 20 # 允许 VLAN 10 和 20 通过

4、步骤 4:验证配置

bash

复制代码

display vlan # 查看 VLAN 信息及端口成员

display interface trunk # 查看 Trunk 口状态

5、步骤 5:(可选)配置 VLANIF 实现三层互通

bash

复制代码

interface Vlanif10

ip address 192.168.10.1 24

interface Vlanif20

ip address 192.168.20.1 24

给 PC1 配 IP 192.168.10.2/24,网关 192.168.10.1;PC2 配 192.168.20.2/24,网关 192.168.20.1,然后互 ping 就能通。

六、常见坑点与避坑指南

1、坑 1:Trunk 两端允许的 VLAN 不一致

左边 Trunk 允许 VLAN 10,20,右边只允许 VLAN 10,那么 VLAN 20 的流量就过不去。

检查:display interface trunk 看两端。

2、坑 2:Access 端口忘了配 default vlan

默认是 VLAN 1,如果不小心把重要设备划到 VLAN 1,可能造成安全风险或广播泛滥。

建议:不用的 VLAN 1 端口都 shutdown。

3、坑 3:Hybrid 端口 PVID 没设对

收到不带标签的数据帧会打上 PVID,如果 PVID 没配好,可能进了错误的 VLAN。

解决:明确知道 PVID 的作用,尽量用 Access 替代简单场景。

4、坑 4:三层交换机没开启路由功能

配了 VLANIF 但还是 ping 不通,可能是没开 ip routing(华为默认开启,但有些型号需要手动开)。

5、坑 5:VLAN 创建了却没把端口加进去

display vlan 看到 VLAN 存在,但端口列表为空,那它就是个"空 VLAN",没用。

七、HCIP 考试要点速记

1、VLAN 隔离广播域:不同 VLAN 的广播互不影响。

2、802.1Q 标签:4 字节,12 位 VLAN ID。

3、Access / Trunk / Hybrid:区别和适用场景。

4、PVID:端口默认 VLAN ID,收到无标签帧时打上。

5、VLANIF:三层逻辑接口,实现跨 VLAN 路由。

6、单臂路由:路由器子接口 + 802.1Q 封装。

八、总结口诀

VLAN 切分广播域,Access 接电脑,Trunk 传多 VLAN,Hybrid 加花活。 PVID 打标签,VLANIF 通三层,不同

VLAN 默认不通,想通找网关。

备考心法

在 ENSP 里搭一个交换机,连两台 PC,配不同 VLAN,看能不能 ping 通(应该不通)。

再配 VLANIF,看通了没。

最后把两台交换机用 Trunk 连起来,跨交换机的同 VLAN 通信也搞明白。