• 新闻资讯
  • 從零開始學習VLAN劃分,讓你的網路效能翻倍!

從零開始學習VLAN劃分,讓你的網路效能翻倍!

2023.10.28

從零開始學習VLAN劃分,讓你的網路效能翻倍!


當談到網路安全和效能最佳化時,VLAN(虛擬區域網路)劃分是一個關鍵的策略。它不僅提供了更好的網路管理,還增強了資料隔離和存取控制。

  • 是否想過4094個VLAN可以怎麼劃分?
  • 哪一種方式又是好用簡單的呢?

細心的小編特地整理了一番,給各位小夥伴把玩把玩。

VLAN劃分的方式

  • 基於介面劃分VLAN:根據交換器介面分配VLAN ID。配置簡單,可以用於各種場景。
  • 基於MAC劃分VLAN:根據封包的來源MAC位址分配VLAN ID。常用在使用者位置變化,不需要重新配置VLAN的場景。
  • 基於子網路劃分VLAN:根據封包的來源IP位址分配VLAN ID。一般用於對同一網段的用戶,進行統一管理的場景。
  • 基於協定劃分VLAN:根據封包的協定類型指派VLAN ID。適用於對具有相同應用程式或服務的用戶,進行統一管理的場景。
  • 基於符合策略劃分VLAN:依據指定的政策(譬如符合訊息的來源MAC、來源IP和連接埠)指派VLAN ID。適用於對安全性要求比較高的場景。

幾種劃分VLAN的各種方式中,基於介面劃分VLAN,是最常用最簡單的方式,那麼到底要怎麼配置,要怎麼使用呢?

在配置使用之前,先回顧一下連接埠常用的鏈路類型:

  • access:用於交換器和PC連接;
  • trunk:用於交換器和交換器連接;
  • hybrid:即可用於交換器和PC相連,也可以用於交換器和交換器連接。使用hub鏈路交換器時,經常使用這種類型的。

好了,下面小編以實際組網為例,講解一下基於介面劃分VLAN的設定。

案例演示

場景1:一台交換器兩個用戶,怎麼透過介面劃分VLAN從而實現隔離呢?

先來看看同一網段的兩台PC直接和交換器相連,不進行分割VLAN,是否可以ping通呢?

從上圖可知,是可以ping通的,這是為什麼呢?

因為預設情況下,華為交換器的介面都預設加入VLAN 1,兩台PC直接和交換器相連,只要屬於同一個網段,就可以互通。

那麼要怎麼透過VLAN實現隔離呢?只要把介面加入不同的VLAN,就可以了。例如交換器GE0/0/1和GE0/0/2埠分別以access類型加入VLAN 10 和VLAN 20 。

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.

此時,兩台PC基於介面劃分到不同VLAN中,互連不能ping通,實現了隔離。

小夥伴,有沒有想過為什麼它能隔離?

分別在交換器SW1的G0/0/1和G0/0/2上進行抓包,發現G0/0/1的ARP廣播包,沒有送到G0/0/2上。

根據access介面收發封包工作原理可判斷,封包到達G0/0/2後,進行拆包發現VLAN ID與G0/0/2的VLAN ID不一致,就把封包遺失了。

場景2:跨交換機,4個用戶,怎麼透過介面劃分VLAN實現隔離與互通呢?

如下圖:預設情況下,4台PC屬於同一網段,彼此可以ping通。假設PC1和PC3屬於同一部門,PC2和PC4屬於同一部門。如何透過配置基於介面的VLAN,實現同一部門之間可以互訪,不同部門之間不能互訪呢?

同一個部門兩個使用者PC1 和PC3劃分到同一個VLAN10。交換器1的GE0/0/1和交換器2的GE0/0/1連接埠分別以access類型加入VLAN10。

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
  • 1.
  • 2.
  • 3.

另外一個部門的兩個使用者PC2 和PC4劃分到另一個VLAN 20。

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
  • 1.
  • 2.
  • 3.

兩台連接交換器的連接埠GE0/0/23,分別以trunk埠加入VLAN 10 和VLAN 20,實現跨交換器的通訊。

interface GigabitEthernet0/0/23
  port link-type trunk
  port trunk allow-pass vlan 10 20
  • 1.
  • 2.
  • 3.

這樣,就可以實現到同一部門的使用者PC1和PC3可以互通,不同部門的使用者PC2 和PC4 不能互通了。

配置技巧分享

各位小夥伴是否發現上面兩個場景中,VLAN和連接埠數都比較少,而在現實組網中,經常需要配置多個VLAN,多個端口,有什麼辦法可以快速完成配置嗎?下面小編再介紹一下批次設定和快速恢復埠VLAN缺省配置的方法。

1.批次建立VLAN

< Huawei > system-view
[Huawei]vlan batch 2 to 100
  • 1.
  • 2.

2.批次埠加入VLAN

[Huawei] port-group group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20
[Huawei-port-group]port link-type access
[Huawei-port-group]port default vlan 100
  • 1.
  • 2.
  • 3.

3.快速恢復埠VLAN缺省配置

想要快速恢復埠VLAN的預設配置,必須知道什麼是預設配置?華為交換機,預設情況下所有連接埠都是只加入VLAN1的。那麼下面跟小編一起看看3種連結類型下,要怎麼快速恢復預設配置呢?

  • access介面: 一步搞定,指令是undo port default vlan
  • trunk和hybrid口:三步驟搞定,先恢復PVID的配置,再刪除連接埠下所有vlan,然後再把預設的VLAN1 加入。具體命令如下: