华三 HCL 模拟器：基于IP 子网划分 VLAN后，同 VLAN 内无法通信的完整解决方案

一、先讲核心原理（为什么不通）

• G1/0/1：access → vlan10 ✅
• G1/0/2：配置了 ip-subnet-vlan 10，但端口还是 access 模式 ❌
  → 交换机无法识别子网 VLAN 的映射，端口不转发数据，所以不通。

二、正确配置（直接复制到 HCL 执行）

拓扑说明

• PC1：192.168.10.1/24 → G1/0/1
• PC2：192.168.10.2/24 → G1/0/2
• 目标：基于192.168.10.0/24子网自动划分到 VLAN 10

1. 基础配置（创建 VLAN）

2. 给 VLAN 10 绑定子网（关键）

3. 端口必须改为 HYBRID 模式（最关键！）

三、验证命令（检查是否配置成功）

四、为什么你原来的配置不通？

1. IP 子网 VLAN 不支持 Access 口
   华三规定：基于 IP、基于协议、基于 MAC 的 VLAN，都必须用 Hybrid 口
2. 端口没开启 ip-subnet-vlan enable
   交换机不识别该端口要使用子网 VLAN 规则
3. 端口没有放通对应的 VLAN
   数据被直接丢弃

五、最简总结（必做 2 点）

1. 端口必须改成 hybrid
2. 端口必须开启 ip-subnet-vlan enable
   满足这两点，PC1 和 PC2 立刻就能互通。

六、一键完整配置（直接复制粘贴）

最终效果

在 HCL 模拟器（5.8 或 5.10.3）中，基于 IP 子网的 VLAN 功能通常无法正常工作。这是模拟器自身的限制，而非配置错误。

具体到你当前的配置，还存在以下几个问题：

问题分析

1. HCL 模拟器支持缺陷
   HCL 模拟器可以配置（基于 IP 子网的 VLAN），但是无法生效”。抓包分析也证实，数据帧到达交换机后，无法被正确打上 VLAN Tag。这是导致你实验失败最可能的原因。

2. 端口类型配置错误
   根据 H3C 官方技术文档，“基于 IP 子网的 VLAN 只对 Hybrid 端口配置有效，只对 Untagged 报文应用”。

   • 你 PC1 连接的 G1/0/1 配置为 access 口，这是不正确的。

   • access 端口会固定属于某个 VLAN，并且会将收到的报文直接打上该端口的 PVID，导致交换机无法根据其源 IP 地址重新划分 VLAN。

   • 正确做法：所有需要应用 IP 子网 VLAN 功能的端口，都必须配置为 Hybrid 类型，并正确关联子网 VLAN。

3. 同网段通信的逻辑问题
   基于 IP 子网的 VLAN 的核心功能是根据源 IP 地址将报文划分到对应的 VLAN。这个机制通常用于上行流量（终端->网络），以便对不同网段的流量进行策略区分。

   • 在你当前的组网中，PC1（access vlan 10）发出的广播包或 ARP 请求，会带着 VLAN 10 的 Tag 到达交换机。

   • 交换机收到来自 PC2 的报文时，会检查其源 IP，如果匹配规则，就将其划分到 VLAN 10。

   • 然而，同一 VLAN 内（比如都划分到 VLAN 10）的二层通信依赖于 MAC 地址表。有一种情况是，PC1 的 MAC 地址可能被错误地学习到了 VLAN 1 中，而不是预期的 VLAN 10，导致二层转发失败。

 解决方案

方案一：使用 Super VLAN 技术（推荐）

这是实现“多个子网共享一个网关”且各子网二层隔离的更成熟方案，在模拟器中通常支持良好。

• 原理：创建一个 Super VLAN（主VLAN），并在其中配置网关 IP。再创建多个 Sub VLAN（子VLAN），将它们与 Super VLAN 绑定。所有 Sub VLAN 共用 Super VLAN 的网关。

• 适用场景：你的目标应该是让 PC1（VLAN 10）和 PC2（VLAN 20）都能上网（三层通信），但彼此二层隔离。Super VLAN 完美满足此需求。

• 配置示例：

  # 创建 Sub VLAN

  vlan 10 quit vlan 20 quit # 创建 Super VLAN 并配置 IP 网关 vlan 100 supervlan # 配置为 Super VLAN interface vlan 100 ip address 192.168.1.1 255.255.255.0 # 作为所有PC的网关 # 将 Sub VLAN 绑定到 Super VLAN vlan 100 subvlan 10 20 # 绑定 VLAN 10 和 20 # 配置连接 PC 的端口 interface gigabitethernet 1/0/1 port link-type access port access vlan 10 # PC1 划入 VLAN 10 interface gigabitethernet 1/0/2 port link-type access port access vlan 20 # PC2 划入 VLAN 20

• 实现效果：PC1和PC2获得同网段IP，网关都设为 192.168.1.1，它们无法二层互通，但都能通过网关 192.168.1.1 访问外部网络。

方案二：坚持用基于 IP 子网的 VLAN

如果你一定要使用这个功能来验证配置，请严格遵循官方文档进行修正。

1. 修改端口类型为 Hybrid：

   interface gigabitethernet 1/0/1

   port link-type hybrid port hybrid vlan 1 10 untagged # 允许 VLAN 1 和 10 的报文不带 Tag 通过 port hybrid ip-subnet-vlan vlan 10 # 关联子网 VLAN

2. 检查 VLAN 配置：

   vlan 10

   ip-subnet-vlan ip 192.168.1.0 255.255.255.0 # 确保子网掩码配置正确

3. 验证与排查：

   • 使用 display ip-subnet-vlan 和 display port ip-subnet-vlan 检查配置是否生效。

   • 检查 display mac-address，确认两台 PC 的 MAC 地址都学习在正确的 VLAN（如 VLAN 10）中。