一、交换机端口类型
在学习划分vlan之前,我们必须先要知道而二层交换机端口的类型。
1、Access:Access类型是交换机中最常用的端口。常常用于连接终端设备如PC,一个Access口只能属于一个vlan,我的默认vlan就是它所加入的vlan。最大的特点:发送报文的时候会把报文中的vlan去掉,因为它总是认为报文是来自它的默认vlan。
2、Trunk:通常是我们所说的中继口,一般用于交换机之间的连接或者交换机与其他设备的连击如路由器、防火墙。Trunk端口可以属于多个端口,可以接受和发送多个vlan报文,但只有一个默认的vlan,而且是可以配置的。最大特点就是:仅允许vlan标记和默认的vlan标记一致时候发送报文不需要带vlan标记,其他报文发送时候必须打上vlan的标记,否则就丢弃。
3、Hybrid:Hybrid是H3cS设备特有的,hybrid端口具有access和trunk端口的双重,即:可以允许不带vlan标记的报文通过,而且是可以允许多个vlan的报文不带vlan标签发送,也可以像trunk一样带有vlan标签。Hybrid和trunk的主要区别在于报文的手法规则上,hybrid允许多个vlan报文不带标记,而trunk只允许默认的vlan不带标记。
4、Tunnel:这中端口是CISCO设备才有的,称为隧道端口,在此不做介绍。
二、基于端口的vlan划分
端口是针对交换机而言的,所以基于端口的vlan是从交换机上划分的。并且此种划分方式是最为常用的。以下是一个配置示例:
1、在交换机上创建vlan1 vlan2,将pc1,pc2划入vlan1,pc3,4划入vlan2
此配置命令可以使用2种方式:
第一种:vlan视图下
<h3c>system-view
[h3c] vlan 1 to 2
[h3c] Vlan 1
[h3c] Port ethernet1/0/1 ethernet1/02
[h3c] Vlan 2
[h3c] Port ethernet1/0/3 erthernet1/0/4
如果要划入多个端口且连续可以使用to关键词,指定起始端口到结束端口。
第二种:端口接口视图下
<h3c>system-view
[h3c] vlan 1 2
[h3c]interface ethernet1/0/1
[h3c-Ethernet1/0/1] port link-type access
[h3c-Ethernet1/0/1] port access vlan 1
[h3c-Ethernet1/0/1] quite
[h3c] interface ethernet1/0/2
[h3c-Ethernet1/0/2] port link-type access
[h3c-Ethernet1/0/2] port access vlan 1
[h3c-Ethernet1/0/2] quite
[h3c] interface ethernet1/0/3
[h3c-Ethernet1/0/3] port link-type access
[h3c-Ethernet1/0/3] port access vlan 2
[h3c-Ethernet1/0/3] quite
[h3c] interface ethernet1/0/4
[h3c-Ethernet1/0/4] port link-type access
[h3c-Ethernet1/0/4] port access vlan 2
[h3c-Ethernet1/0/4] quite
由此我们可以看出2种方法都可以将端口划分给vlan,但是如果我们需要将24个端口都划分进同一个vlan,可想而知第二种方式我们需要写24次重复的命令,很费时间,所以直接在vlan视图下只需将起始端口 to 结束端口。就全部划分进去。但是trunk端口的划分只能是在端口接口视图下。
2、网络拓扑如下,PC1,PC3属于同一个部门A在同一网段,PC2,PC4属于同一个部门B在同一网段。为了隔离广播报文,划分vlan100 和vlan200.要求部门A属于vlan100,部门B属于vlan200.
这里涉及到了access端口的加入和trunk链路的配置。整个配置很简单。
先配置SW1
<sw1> system-view
[sw1] vlan 100 !---创建vlan 100
[SW1-vlan100] port ethernet1/0/1 !---将以太网端口1划入vlan100
[SW1-vlan100] quite
[sw1] vlan 200 !---创建vlan 200
[SW1-vlan200] port ethernet1/0/2 !---将以太网端口2划入vlan200
[SW1-vlan200] quite
[SW1] interface Ethernet1/0/3
[SW1-Ethernet1/0/3] port link-type trunk !----将以太网端口3设为trunk链路口
[SW1-Ethernet1/0/3] port trunk permit vlan 100 200 !---允许vlan100和200的报文通过
Please waite….done
[SW1-Ethernet1/0/3]
对交换机机2的设置与以上完全一样.最后可以pc1,3ping通,2,4ping通,其余都不能ping通。
经验之谈:这里之所两个vlan间的主机ping不通,是因为我们没有为两个vlan接口配置IP地址,两个主机也没有配置指向对应vlan接口的网关IP地址,如果配置了vlan接口ip地址,各主机也配置指向对应vlan的vlan接口IP地址作为他们的网关,则默认是可以ping通的,因为H3C的三层交换机中的IP路由默认是开启的。
3、这是一个综合配置示例,拓扑如下图,交换机A和交换机B连接了不同部门使用pc1、pc2和server1、server2,两个交换机之间的链路为trunk链路,为了保证部门间的数据的二册隔离,现要求将pc1和server1划分到vlan100中,pc2和server2划分到vlan200中,同时在交换机A上配置vlan接口,对pc1发往server2的数据进行三层转发。两个部门分别使用192.168.1.0/24 和192.168.2.0/24两个网段。
首先配置SW A
<swA>system-view
[swA]vlan 100
[swA-vlan100] port gigabitethernet1/0/1
[swA-vlan100] quite
[swA]vlan 200
[swA-vlan200] quite
[swA]interface vlan-interface 100
[swA-vlan-interface100] ip address 192.168.1.1 24
[swA-vlan-interface100] quite
[swA]interface vlan-interface 200
[swA-vlan-interface200] ip address 192.168.2.1 24
[swA-vlan-interface200] quite
现在配置SW B
<swB>system-view
[swB]vlan 100
[swB-vlan100] port gigabitethernet1/0/13
[swB-vlan100] quite
[swB]vlan 200
[swB-vlan200]port gigabitethernet1/0/11 gigabitethernet1/0/12
[swB-vlan200] quite
现在需要配置的trunk链路口
[swA]interface gigabitethernet1/0/2
[swA-gigabitethernet1/0/2] port link-type trunk
[swA-gigabitethernet1/0/2]port trunk permit vlan 1 100 200
[swA-gigabitethernet1/0/2]port hybrid pvid vlan 1
[swB]interface gigabitethernet1/0/10
[swB-gigabitethernet1/0/10] port link-type trunk
[swB-gigabitethernet1/0/10]port trunk permit vlan 1 100 200
[swB-gigabitethernet1/0/10]port hybrid pvid vlan 1
在这里我们把trunk链路端口的pvid都设为了vlan1,这是一个比较通用的规则,否则可能导致一方不能与另一方进行二层通信,原因是默认情况下所有端口都属于vlan1,而且vlan1通常情况下是不添加连接主机的端口的,仅作为管理用途,如果设置成为上面的vlan100或者vlan200,总有一方不能通信.
三、基于mac地址的vlan划分
四、基于IP子网的vlan划分
五、基于协议的vlan划分
