s5130

您好，参考

1.10  基于端口的VLAN典型配置举例

1. 组网需求

·     Host A和Host C属于部门A，但是通过不同的设备接入公司网络；Host B和Host D属于部门B，也通过不同的设备接入公司网络。

·     为了通信的安全性，也为了避免广播报文泛滥，公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100，部门B使用VLAN 200。

·     现要求不管是否使用相同的设备接入公司网络，同一VLAN内的主机能够互通，即Host A和Host C能够互通，Host B和Host D能够互通。

2. 组网图

图1-4 基于端口的VLAN组网图

3. 配置步骤

(1)     配置Device A

# 创建VLAN 100，并将GigabitEthernet1/0/1加入VLAN 100。

<DeviceA> system-view

[DeviceA] vlan 100

[DeviceA-vlan100] port gigabitethernet 1/0/1

[DeviceA-vlan100] quit

# 创建VLAN 200，并将GigabitEthernet1/0/2加入VLAN 200。

[DeviceA] vlan 200

[DeviceA-vlan200] port gigabitethernet 1/0/2

[DeviceA-vlan200] quit

# 为了使Device A上VLAN 100和VLAN 200的报文能发送给Device B，将GigabitEthernet1/0/3的链路类型配置为Trunk，并允许VLAN 100和VLAN 200的报文通过。

[DeviceA] interface gigabitethernet 1/0/3

[DeviceA-GigabitEthernet1/0/3] port link-type trunk

[DeviceA-GigabitEthernet1/0/3] port trunk permit vlan 100 200

(2)     Device B上的配置与Device A上的配置相同，不再赘述。

(3)     将Host A和Host C配置在一个网段，比如192.168.100.0/24；将Host B和Host D配置在一个网段，比如192.168.200.0/24。

4. 验证配置

(1)     Host A和Host C能够互相ping通，但是均不能ping通Host B。Host B和Host D能够互相ping通，但是均不能ping通Host A。

(2)     通过查看显示信息验证配置是否成功。

# 查看Device A上VLAN 100和VLAN 200的配置信息，验证以上配置是否生效。

[DeviceA-GigabitEthernet1/0/3] display vlan 100

 VLAN ID: 100

 VLAN type: Static

 Route interface: Not configured

 Description: VLAN 0100

 Name: VLAN 0100

 Tagged ports:

    GigabitEthernet1/0/3

 Untagged ports:

    GigabitEthernet1/0/1

[DeviceA-GigabitEthernet1/0/3] display vlan 200

 VLAN ID: 200

 VLAN type: Static

 Route interface: Not configured

 Description: VLAN 0200

 Name: VLAN 0200

 Tagged ports:

    GigabitEthernet1/0/3

 Untagged ports:

GigabitEthernet1/0/2

1.11  基于MAC的VLAN典型配置举例

1. 组网需求

·     如下图所示，Device A和Device C的GigabitEthernet1/0/1端口分别连接到两个会议室，Laptop1和Laptop2是会议用笔记本电脑，会在两个会议室间移动使用。

·     Laptop1和Laptop2分别属于两个部门，两个部门间使用VLAN 100和VLAN 200进行隔离。现要求这两台笔记本电脑无论在哪个会议室使用，均只能访问自己部门的服务器，即Server1和Server2。

·     Laptop1和Laptop2的MAC地址分别为000d-88F8-4E71和0014-222C-AA69。

2. 组网图

图1-5 基于MAC的VLAN组网图

3. 配置步骤

(1)     Device A的配置

# 创建VLAN 100和VLAN 200。

<DeviceA> system-view

[DeviceA] vlan 100

[DeviceA-vlan100] quit

[DeviceA] vlan 200

[DeviceA-vlan200] quit

# 将Laptop1的MAC地址与VLAN 100关联，Laptop2的MAC地址与VLAN 200关联。

[DeviceA] mac-vlan mac-address 000d-88f8-4e71 vlan 100

[DeviceA] mac-vlan mac-address 0014-222c-aa69 vlan 200

# 配置终端的接入端口：Laptop1和Laptop2均可能从GigabitEthernet1/0/1接入，将GigabitEthernet1/0/1的端口类型配置为Hybrid，并使其在发送VLAN 100和VLAN 200的报文时去掉VLAN Tag；开启GigabitEthernet1/0/1端口的MAC VLAN功能。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] port link-type hybrid

[DeviceA-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged

[DeviceA-GigabitEthernet1/0/1] mac-vlan enable

[DeviceA-GigabitEthernet1/0/1] quit

# 为了终端能够访问Server1和Server2，需要将上行端口GigabitEthernet1/0/2的端口类型配置为Trunk，并允许VLAN 100和VLAN 200的报文通过。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] port link-type trunk

[DeviceA-GigabitEthernet1/0/2] port trunk permit vlan 100 200

[DeviceA-GigabitEthernet1/0/2] quit

(2)     Device B的配置

# 创建VLAN 100和VLAN 200，并将GigabitEthernet1/0/13加入VLAN 100，GigabitEthernet1/0/14加入VLAN 200。

<DeviceB> system-view

[DeviceB] vlan 100

[DeviceB-vlan100] port gigabitethernet 1/0/13

[DeviceB-vlan100] quit

[DeviceB] vlan 200

[DeviceB-vlan200] port gigabitethernet 1/0/14

[DeviceB-vlan200] quit

# 配置GigabitEthernet1/0/3和GigabitEthernet1/0/4端口为Trunk端口，均允许VLAN 100和VLAN 200的报文通过。

[DeviceB] interface gigabitethernet 1/0/3

[DeviceB-GigabitEthernet1/0/3] port link-type trunk

[DeviceB-GigabitEthernet1/0/3] port trunk permit vlan 100 200

[DeviceB-GigabitEthernet1/0/3] quit

[DeviceB] interface gigabitethernet 1/0/4

[DeviceB-GigabitEthernet1/0/4] port link-type trunk

[DeviceB-GigabitEthernet1/0/4] port trunk permit vlan 100 200

[DeviceB-GigabitEthernet1/0/4] quit

(3)     Device C的配置

Device C的配置与Device A完全一致，这里不再赘述。

4. 显示与验证

(1)     Laptop1只能访问Server1，不能访问Server2；Laptop2只能访问Server2，不能访问Server1。

(2)     在Device A和Device C上可以查看到Laptop1和VLAN 100、Laptop2和VLAN 200的静态MAC VLAN地址表项已经生成。以Device A为例：

[DeviceA] display mac-vlan all

  The following MAC VLAN addresses exist:

  S:Static  D:Dynamic

  MAC address      Mask             VLAN ID  Dot1q      State

  000d-88f8-4e71   ffff-ffff-ffff   100       0          S

  0014-222c-aa69   ffff-ffff-ffff   200       0          S

  Total MAC VLAN address count: 2

1.12  基于IP子网的VLAN典型配置举例

1. 组网需求

如下图所示，办公区的主机属于不同的网段192.168.5.0/24和192.168.50.0/24，Device C在收到来自办公区主机的报文时，根据报文的源IP地址，使来自不同网段主机的报文分别在指定的VLAN中传输，其中，来自网段192.168.5.0/24的报文在VLAN 100中传输，来自网段192.168.50.0/24的报文在VLAN 200中传输。

2. 组网图

图1-6 基于IP子网的VLAN组网图

3. 配置步骤

(1)     配置Device C

# 配置子网192.168.5.0/24与VLAN 100关联。

<DeviceC> system-view

[DeviceC] vlan 100

[DeviceC-vlan100] ip-subnet-vlan ip 192.168.5.0 255.255.255.0

[DeviceC-vlan100] quit

# 配置子网192.168.50.0/24与VLAN 200关联。

[DeviceC] vlan 200

[DeviceC-vlan200] ip-subnet-vlan ip 192.168.50.0 255.255.255.0

[DeviceC-vlan200] quit

# 配置端口GigabitEthernet1/0/11为Hybrid端口，允许VLAN 100通过，并且在发送VLAN 100的报文时携带VLAN Tag。

[DeviceC] interface gigabitethernet 1/0/11

[DeviceC-GigabitEthernet1/0/11] port link-type hybrid

[DeviceC-GigabitEthernet1/0/11] port hybrid vlan 100 tagged

[DeviceC-GigabitEthernet1/0/11] quit

# 配置端口GigabitEthernet1/0/12为Hybrid端口，允许VLAN 200通过，并且在发送VLAN 200的报文时携带VLAN Tag。

[DeviceC] interface gigabitethernet 1/0/12

[DeviceC-GigabitEthernet1/0/12] port link-type hybrid

[DeviceC-GigabitEthernet1/0/12] port hybrid vlan 200 tagged

[DeviceC-GigabitEthernet1/0/12] quit

# 配置端口GigabitEthernet1/0/1为Hybrid端口，允许VLAN 100、200通过，并且在发送VLAN 100、200的报文时不携带VLAN Tag。

[DeviceC] interface gigabitethernet 1/0/1

[DeviceC-GigabitEthernet1/0/1] port link-type hybrid

[DeviceC-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged

# 配置端口GigabitEthernet1/0/1和基于IP子网的VLAN 100、200关联。

[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 100

[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 200

[DeviceC-GigabitEthernet1/0/1] quit

(2)     配置Device A和Device B

配置Device A和Device B允许对应VLAN通过，配置过程略。

4. 显示与验证

# 查看所有子网VLAN的信息。

[DeviceC] display ip-subnet-vlan vlan all

 VLAN ID: 100

  Subnet index      IP address      Subnet mask

  0                 192.168.5.0     255.255.255.0

 VLAN ID: 200

  Subnet index      IP address      Subnet mask

  0                 192.168.50.0    255.255.255.0

# 查看端口GigabitEthernet1/0/1关联的子网VLAN的信息。

[DeviceC] display ip-subnet-vlan interface gigabitethernet 1/0/1

 Interface: GigabitEthernet1/0/1

  VLAN ID   Subnet index    IP address       Subnet mask       Status

  100       0               192.168.5.0      255.255.255.0     Active

  200       0               192.168.50.0     255.255.255.0     Active

1.13  基于协议的VLAN典型配置举例

1. 组网需求

如下图所示，实验室网络中大部分主机运行IPv4网络协议，另外为了教学需要还部署了IPv6实验局，因此，同时有些主机运行着IPv6网络协议。为了避免互相干扰，将VLAN 100与IPv4协议、ARP协议关联，VLAN 200与IPv6协议关联，通过协议VLAN将IPv4流量和IPv6流量二层互相隔离。

2. 组网图

图1-7 基于协议的VLAN组网图

3. 配置步骤

(1)     配置Device

# 创建VLAN 100，将端口GigabitEthernet1/0/11加入VLAN 100。

<Device> system-view

[Device] vlan 100

[Device-vlan100] description protocol VLAN for IPv4

[Device-vlan100] port gigabitethernet 1/0/11

[Device-vlan100] quit

# 创建VLAN 200，将端口GigabitEthernet1/0/12加入VLAN 200。

[Device] vlan 200

[Device-vlan200] description protocol VLAN for IPv6

[Device-vlan200] port gigabitethernet 1/0/12

# 将IPv6协议报文划分到VLAN 200中传输。

[Device-vlan200] protocol-vlan 1 ipv6

[Device-vlan200] quit

# 将IPv4协议报文和采用Ethernet II封装格式的ARP协议报文（ARP报文对应的封装格式为Ethernet II）划分到VLAN 100中传输。

[Device] vlan 100

[Device-vlan100] protocol-vlan 1 ipv4

[Device-vlan100] protocol-vlan 2 mode ethernetii etype 0806

[Device-vlan100] quit

# 配置端口GigabitEthernet1/0/1为Hybrid端口，允许VLAN 100、200通过，并且在发送VLAN 100、200的报文时不携带VLAN Tag。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] port link-type hybrid

[Device-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged

# 配置端口GigabitEthernet1/0/1与VLAN 100的协议模板1（即IPv4协议模板）、协议模板2（即ARP协议模板）和VLAN 200的协议模板1（即IPv6协议模板）进行绑定。

[Device-GigabitEthernet1/0/1] port hybrid protocol-vlan vlan 100 1 to 2

[Device-GigabitEthernet1/0/1] port hybrid protocol-vlan vlan 200 1

[Device-GigabitEthernet1/0/1] quit

# 配置端口GigabitEthernet1/0/2为Hybrid端口，允许VLAN 100、200通过，并且在发送VLAN 100、200的报文时不携带VLAN Tag。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] port link-type hybrid

[Device-GigabitEthernet1/0/2] port hybrid vlan 100 200 untagged

# 配置端口GigabitEthernet1/0/2与VLAN 100的协议模板1（即IPv4协议模板）、协议模板2（即ARP协议模板）和VLAN 200的协议模板1（即IPv6协议模板）进行绑定。

[Device-GigabitEthernet1/0/2] port hybrid protocol-vlan vlan 100 1 to 2

[Device-GigabitEthernet1/0/2] port hybrid protocol-vlan vlan 200 1

[Device-GigabitEthernet1/0/2] quit

(2)     L2 Switch A和L2 Switch B采用缺省配置。

(3)     配置Host和Server

将IPv4 Host A、IPv4 Host B和IPv4 Server配置在一个网段，比如192.168.100.0/24；将IPv6 Host A、IPv6 Host B和IPv6 Server配置在一个网段，比如2001::1/64。

4. 显示与验证

(1)     通过ping命令查看

VLAN 100内的主机和服务器能够互相Ping通；VLAN 200内的主机和服务器能够互相Ping通。但VLAN 100内的主机/服务器与VLAN 200内的主机/服务器之间会Ping失败。

(2)     通过显示信息查看

# 查看所有协议VLAN的信息。

[Device] display protocol-vlan vlan all

 VLAN ID: 100

  Protocol index  Protocol type

  1               IPv4

  2               Ethernet II Etype 0x0806

 VLAN ID: 200

  Protocol index  Protocol type

  1               IPv6

# 查看所有端口关联的协议VLAN的信息。

[Device] display protocol-vlan interface all

 Interface: GigabitEthernet1/0/1

  VLAN ID  Protocol index  Protocol type             Status

  100      1               IPv4                      Active

  100      2               Ethernet II Etype 0x0806  Active

  200      1               IPv6                      Active

 Interface: GigabitEthernet 1/0/2

  VLAN ID  Protocol index  Protocol type             Status

  100      1               IPv4                      Active

  100      2               Ethernet II Etype 0x0806  Active

  200      1               IPv6                      Active