VLAN的配置

目 录（目录名）页码，1/15目 录 第1章 VLAN典型配置指导1.1 基于端口的VLAN典型配置指导1.1.1 组网图 1.1.2 应用要求 1.1.3 适用产品、版本 1.1.4 配置过程和解释 1.1.5 完整配置 1.1.6 配置注意事项 1.2 基于MAC的VLAN典型配置指导1.2.1 组网图 1.2.2 应用要求 1.2.3 适用产品、版本 1.2.4 配置过程和解释 1.2.5 完整配置 1.2.6 配置注意事项 1.3 基于协议的VLAN典型配置指导1.3.1 组网图 1.3.2 应用要求 1.3.3 适用产品、版本 1.3.4 配置过程和解释 1.3.5 完整配置 1.3.6 配置注意事项 1.4.1 组网图 1.4.2 应用要求 1.4.3 适用产品、版本 1.4.4 配置过程和解释 1.4.5 完整配置 1.4.6 配置注意事项 1.4 基于IP子网的VLAN典型配置指导U1.5 Isolate-user-vlan典型配置指导1.5.1 组网图 1.5.2 应用要求 1.5.3 适用产品、版本 1.5.4 配置过程和解释 1.5.5 完整配置 1.5.6 配置注意事项 nR eg istered目 录（目录名）页码，2/15 第1章 VLAN典型配置指导 1.1 基于端口的VLAN典型配置指导1.1.1 组网图 re1.1.2 应用要求 l l 为保证部门间数据的二层隔离，现要求将Host1和Server1划分到VLAN100中，Host2和l 在SwitchA上配置VLAN接口，对Host1发往Server2的数据进行三层转发。 1.1.3 适用产品、版本 UnRServer2划分到VLAN200中。并分别为两个VLAN设置描述字符为“Dept1”和“Dept2”。 产品 eg如图1-1所示，Switch A和Switch B分别连接了不同部门使用的Host1/Host2和Server1/Server2。 表1-1 配置适用的产品与软硬件版本关系 软件版本 Release 5301软件版本 Release 5301软件版本 Release 1207软件版本 Release 1301软件版本 硬件版本 全系列硬件版本 全系列硬件版本 全系列硬件版本 （除S5500-20TP-SI） S5500-20TP-SI 全系列硬件版本 全系列硬件版本 S3610系列以太网交换机 S5510系列以太网交换机 S5500-SI系列以太网交换机 S5500-EI系列以太网交换机 S7500E系列以太网交换机 Release 2102软件版本 Release 6100软件版本 1.1.4 配置过程和解释 l 配置Switch A# 创建VLAN100，并配置VLAN100的描述字符串为“Dept1”，将端口GigabitEthernet1/0/1iste图1-1 基于端口的VLAN组网示意图 d 目 录（目录名）

加入到VLAN100。

system-view[SwitchA] vlan 100

[SwitchA-vlan100] description Dept1

[SwitchA-vlan100] port GigabitEthernet 1/0/1 [SwitchA-vlan100] quit

页码，3/15

# 创建VLAN200，并配置VLAN200的描述字符串为“Dept2”。

[SwitchA] vlan 200

[SwitchA-vlan200] description Dept2 [SwitchA-vlan200] quit

# 创建VLAN100和VLAN200的接口，IP地址分别配置为192.168.1.1和192.168.2.1，用来对Host1发往Server2的报文进行三层转发。

[SwitchA] interface Vlan-interface 100[SwitchA-Vlan-interface100] quit

[SwitchA-Vlan-interface200] ip address 192.168.2.1 24

l

[SwitchA-Vlan-interface100] ip address 192.168.1.1 24 [SwitchA] interface Vlan-interface 200

配置Switch B

system-view[SwitchB] vlan 100

[SwitchB-vlan100] description Dept1 [SwitchB-vlan100] quit

[SwitchB-vlan100] port GigabitEthernet 1/0/13

# 创建VLAN200，并配置VLAN200的描述字符串为“Dept2”，将端口GigabitEthernet1/0/11和GigabitEthernet1/0/12加入到VLAN200。

[SwitchB] vlan 200

[SwitchB-vlan200] description Dept2

[SwotchB-vlan200] port GigabitEthernet1/0/11 GigabitEthernet 1/0/12 [SwitchB-vlan200] quit

l

由于Switch A和Switch B之间的链路需要同时传输VLAN100和VLAN200的数据，所以可以配置两端的端口为Trunk端口，且允许这两个VLAN的报文通过。 # 配置Switch A的GigabitEthernet1/0/2端口。

[SwitchA] interface GigabitEthernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] port link-type trunk

[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 100 200

# 配置Switch B的GigabitEthernet1/0/10端口。

[SwitchB] interface GigabitEthernet 1/0/10

[SwitchB-GigabitEthernet1/0/10] port link-type trunk

[SwitchB-GigabitEthernet1/0/10] port trunk permit vlan 100 200

1.1.5 完整配置

l

U配置Switch A和Switch B之间的链路

SwitchA上的配置

nR

egiste# 创建VLAN100，并配置VLAN100的描述字符串为“Dept1”，将端口GigabitEthernet1/0/13加入到VLAN100。

red目 录（目录名）

#

vlan 100

description dept1 #

vlan 200

description dept2 #

interface Vlan-interface 100

ip address 192.168.1.1 255.255.255.0 #

interface Vlan-interface 200

ip address 192.168.2.1 255.255.255.0 #

interface GigabitEthernet1/0/1 port access vlan 100 #

interface GigabitEthernet1/0/2 port link-type trunk

port trunk permit vlan 1 100 200

l

页码，4/15

SwitchB上的配置

vlan 100

description dept1 #

vlan 200 #

description dept2

port link-type trunk #

port trunk permit vlan 1 100 200 interface GigabitEthernet1/0/11 port access vlan 100 #

interface GigabitEthernet1/0/12 port access vlan 200 #

interface GigabitEthernet1/0/13 port access vlan 100

1.1.6 配置注意事项

无

UnRinterface GigabitEthernet1/0/10

1.2 基于MAC的VLAN典型配置指导

eg

iste#

red目 录（目录名）页码，5/151.2.1 组网图 图1-2 基于MAC的VLAN组网示意图 1.2.2 应用要求 l l Laptop1和Laptop2分别属于两个部门，两个部门间使用VLAN100和VLAN200进行隔1.2.3 适用产品、版本 nR产品 eg 表1-2 配置适用的产品与软硬件版本关系 软件版本 Release 1207软件版本 Release 1301软件版本 Release 2102软件版本 Release 6100软件版本 硬件版本 全系列硬件版本 （除S5500-20TP-SI） S5500-20TP-SI 全系列硬件版本 全系列硬件版本 S5500-SI系列以太网交换机 1.2.4 配置过程和解释 l # 创建VLAN100和VLAN200，并将GigabitEthernet1/0/2配置为Trunk端口，允许VLAN100和VLAN200的报文通过。 system-view[SwitchA] vlan 100 [SwitchA-vlan100] quit [SwitchA] vlan 200 [SwitchA-vlan200] quit [SwitchA] interface GigabitEthernet1/0/2 US5500-EI系列以太网交换机 S7500E系列以太网交换机 SwitchA的配置is离。现要求这两台笔记本电脑无论在哪个会议室使用，均只能访问自己部门的服务器，即Server1和Server2。 l Laptop1和Laptop2的MAC地址分别为000d-88f8-4e71、0014-222c-aa69。 te如图1-2所示，SwitchA和SwitchB的GigabitEthernet1/0/1端口分别连接到两个会议室，Laptop1和Laptop2是会议用笔记本电脑，会在两个会议室间移动使用。 red目 录（目录名）

[SwitchA-GigabitEthernet1/0/2] port link-type trunk

[SwitchA-GigabitEthernet1/0/2] port trunk permit vlan 100 200 [SwitchA-GigabitEthernet1/0/2] quit

页码，6/15

# 将GigabitEthernet1/0/1配置为Hybrid端口，并使其在发送VLAN100和VLAN200的报文时去掉VLAN Tag。

[SwitchA] interface GigabitEthernet1/0/1

[SwitchA-GigabitEthernet1/0/1] port link-type hybrid

[SwitchA-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged [SwitchA-GigabitEthernet1/0/1] quit

# 创建Laptop1的MAC地址与VLAN100的关联，创建Laptop2的MAC地址与VLAN200的关联，开启GigabitEthernet1/0/1端口的MAC-VLAN功能。

[SwitchA] mac-vlan mac-address 000d-88f8-4e71 vlan 100[SwitchA] interface GigabitEthernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] mac-vlan enable

[SwitchA] mac-vlan mac-address 0014-222c-aa69 vlan 200

system-view[CoreSwitch] vlan 100

[CoreSwitch-vlan100] port gigabitethernet 1/0/13 [CoreSwitch-vlan100] quit [CoreSwitch] vlan 200

[CoreSwitch-vlan200] port gigabitethernet 1/0/14 [CoreSwitch-vlan200] quit

# 配置GigabitEthernet1/0/3和GigabitEthernet1/0/4端口为Trunk端口，均允许VLAN100和VLAN200的报文通过。

[CoreSwitch] interface GigabitEthernet1/0/3

[CoreSwitch-GigabitEthernet1/0/3] port link-type trunk

[CoreSwitch-GigabitEthernet1/0/3] port trunk permit vlan 100 200 [CoreSwitch-GigabitEthernet1/0/3] quit [CoreSwitch] interface GigabitEthernet1/0/4

[CoreSwitch-GigabitEthernet1/0/4] port link-type trunk

[CoreSwitch-GigabitEthernet1/0/4] port trunk permit vlan 100 200 [CoreSwitch-GigabitEthernet1/0/4] quit

1.2.5 完整配置

l

#

mac-vlan mac-address 000d-88f8-4e71 vlan 100 priority 0 mac-vlan mac-address 0014-222c-aa69 vlan 200 priority 0 #

vlan 100

USwitchA的配置

nRegiste# 创建VLAN100和VLAN200，并将GigabitEthernet1/0/13和GigabitVLANEthernet 1/0/14端口分别加入这两个VLAN。

reSwitchB的配置与SwitchA完全一致，这里不再赘述。

l Core Switch的配置

dl

SwitchB的配置

目 录（目录名）

#

vlan 200 # #

interface GigabitEthernet1/0/1 port link-type hybrid

port hybrid vlan 1 100 200 untagged mac-vlan enable #

interface GigabitEthernet1/0/2 port link-type trunk

port trunk permit vlan 1 100 200

页码，7/15

SwitchB的配置与SwitchA完全一致，这里不再赘述。

l Core Switch的配置

# #

vlan 200 #

interface GigabitEthernet1/0/3 port link-type trunk

port trunk permit vlan 1 100 200 #

port link-type trunk #

interface GigabitEthernet1/0/4 vlan 100

port trunk permit vlan 1 100 200 interface GigabitEthernet1/0/13 port access vlan 100 #

interface GigabitEthernet1/0/14

1.2.6 配置注意事项

基于MAC的VLAN只能在Hybrid端口上配置。

U port access vlan 200

nR1.3 基于协议的VLAN典型配置指导

1.3.1 组网图

eg

istered目 录（目录名）页码，8/15IPv4 serverIPv6 serverGE1/0/11GE1/0/1GE1/0/12GE1/0/2IPv4 HostIPv6 HostIPv6 HostOffice LabIPv4 Host 图1-3 基于协议的VLAN组网示意图 1.3.2 应用要求 1.3.3 适用产品、版本 表1-3 配置适用的产品与软硬件版本关系 eg 产品 is软件版本 te如图1-3所示，通过配置交换机的协议VLAN功能，使办公区和实验室中基于IPv4网络和基于IPv6网络的主机能分别与处在不同VLAN内的对应服务器进行通信，且两种网络协议的报文能够通过VLAN进行隔离，其中IPv4网络使用VLAN100，IPv6网络使用VLAN200。 reS3610系列以太网交换机 S5510系列以太网交换机 Release 5301软件版本 Release 5301软件版本 Release 2102软件版本 Release 6100软件版本 nRS5500-EI系列以太网交换机 S7500E系列以太网交换机 l # 创建VLAN100，将端口GigabitEthernet1/0/11加入VLAN100 system-view[Sysname] vlan 100 [Sysname-vlan100] port GigabitEthernet 1/0/11 # 创建VLAN200，将端口GigabitEthernet1/0/12加入VLAN200 [Sysname-vlan100] quit[Sysname] vlan 200 [Sysname-vlan200] port GigabitEthernet 1/0/12 l # 创建VLAN200和VLAN100的协议模板，分别匹配IPv4和IPv6协议。 [Sysname-vlan200] protocol-vlan ipv6[Sysname-vlan200] quit U1.3.4 配置过程和解释 上行端口的配置配置协议模板并与下行端口绑定 d硬件版本 全系列硬件版本 全系列硬件版本 全系列硬件版本 全系列硬件版本 目 录（目录名）

[Sysname] vlan100

[Sysname-vlan100] protocol-vlan ipv4 [Sysname-vlan100] quit

页码，9/15

# 配置端口GigabitEthernet1/0/1为Hybrid端口，并在转发VLAN100和VLAN200的报文时去掉VLAN Tag。

[Sysname] interface GigabitEthernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port link-type hybrid

[Sysname-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged

# 配置端口GigabitEthernet1/0/1分别与VLAN100的协议模板0，VLAN200的协议模板0进行绑定。

[Sysname-GigabitEthernet1/0/1] port hybrid protocol-vlan vlan 100 0

[Sysname-GigabitEthernet1/0/1] port hybrid protocol-vlan vlan 200 0

# 同理配置端口GigabitEthernet1/0/2为Hybrid端口，在转发VLAN100和VLAN200的报文时去掉VLAN Tag，并与VLAN100和VLAN200的协议模板0进行绑定

[Sysname] interface GigabitEthernet 1/0/2

[Sysname-GigabitEthernet1/0/2] port link-type hybrid

[Sysname-GigabitEthernet1/0/2] port hybrid vlan 100 200 untagged [Sysname-GigabitEthernet1/0/2] port hybrid protocol-vlan vlan 200 0

1.3.5 完整配置

#

vlan 100

protocol-vlan 0 ipv4 #

vlan 200 #

protocol-vlan 0 ipv6 interface GigabitEthernet1/0/1 port link-type hybrid

port hybrid protocol-vlan vlan 100 0 port hybrid protocol-vlan vlan 200 0 #

interface GigabitEthernet1/0/2 port link-type hybrid

port hybrid vlan 1 100 200 untagged port hybrid protocol-vlan vlan 100 0 port hybrid protocol-vlan vlan 200 0 #

interface Ethernet1/0/11 port access vlan 100 #

interface Ethernet1/0/12 port access vlan 200

U port hybrid vlan 1 100 200 untagged

nRegistere[Sysname-GigabitEthernet1/0/2] port hybrid protocol-vlan vlan 100 0

d目 录（目录名）页码，10/151.3.6 配置注意事项 无 1.4 基于IP子网的VLAN典型配置指导1.4.1 组网图 Router ARouter B10.200.50.1192.168.5.1GE1/0/11GE1/0/12GE1/0/1192.168.5.0/24isOfficete10.200.50.0/24re其中192.168.5.0/24网段的报文分发到VLAN100中传输，10.200.50.0/24网段的报文分发到VLAN200中传输。 d 硬件版本 全系列硬件版本 全系列硬件版本 全系列硬件版本 全系列硬件版本 Switch1.4.3 适用产品、版本 表1-4 配置适用的产品与软硬件版本关系 产品 S3610系列以太网交换机 S5510系列以太网交换机 S5500-EI系列以太网交换机 S7500E系列以太网交换机 软件版本 Release 5301软件版本 Release 5301软件版本 Release 2102软件版本 Release 6100软件版本 1.4.4 配置过程和解释 l U如图1-4所示，办公区内的主机被配置到两个不同的网段（192.168.5.0/24和10.200.50.0/24）中，要求通过配置IP子网VLAN功能，使交换机能够将从GigabitEthernet1/0/1端口收到的报文根据源主机所属网段的不同，分别在不同的VLAN内传输，并到达指定的网关（RouterA和RouterB）。 上行端口的配置nR1.4.2 应用要求 eg图1-4 基于IP子网的VLAN组网示意图 目 录（目录名）

# 创建VLAN100，将端口GigabitEthernet1/0/12加入VLAN100

[Sysname] vlan 100

[Sysname-vlan100] port GigabitEthernet 1/0/12

页码，11/15

# 创建VLAN200，将端口GigabitEthernet1/0/11加入VLAN200

[Sysname-vlan100] quit[Sysname] vlan 200

[Sysname-vlan200] port GigabitEthernet 1/0/11

l

配置IP子网VLAN并与下行端口绑定

# 将10.200.50.0/24网段与VLAN200进行关联，将192.168.5.0/24网段与VLAN100进行关联

[Sysname-vlan200] ip-subnet-vlan ip 10.200.50.0 255.255.255.0[Sysname-vlan200] quit [Sysname] vlan100

[Sysname-vlan100] ip-subnet-vlan ip 192.168.5.0 255.255.255.0

# 配置端口GigabitEthernet1/0/1为Hybrid端口，并在转发VLAN100和VLAN200的报文时去掉VLAN Tag。

[Sysname] interface GigabitEthernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port link-type hybrid

[Sysname-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged

# 配置端口GigabitEthernet1/0/1分别与VLAN100和VLAN200的子网进行关联。

[Sysname-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 100 [Sysname-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 200

red

1.4.5 完整配置

#

vlan 100 #

ip-subnet-vlan 0 ip 192.168.5.0 255.255.255.0 vlan 200 #

ip-subnet-vlan 0 ip 10.200.50.0 255.255.255.0 interface GigabitEthernet1/0/1 port link-type hybrid

port hybrid vlan 1 100 200 untagged port hybrid ip-subnet-vlan vlan 100 port hybrid ip-subnet-vlan vlan 200 #

interface Ethernet1/0/11 port access vlan 200 #

interface Ethernet1/0/12 port access vlan 100

1.4.6 配置注意事项

无

UnRegiste目 录（目录名）页码，12/15 1.5 Isolate-user-vlan典型配置指导1.5.1 组网图 图1-5 Isolate-user-vlan组网示意图 1.5.2 应用要求 l l 出于安全性的考虑，要求DeviceB和DeviceC所连接的设备间不能直接通信，如图1-5所示，由于这两台设备本地创建的VLAN编号有重复，HostA和HostC处在同一个VLAN中，存在一定安全隐患。因此需要使用Isolate-user-vlan功能，使DeviceB和DeviceC上配置的VLAN2/VLAN3和VLAN3/VLAN4仅在本地有效，DeviceA使用VLAN5和VLAN6对这两个网络进行划分，而无需考虑这两个网络内部VLAN的配置。 l DeviceA使用VLAN接口对两个网络间的报文进行三层转发。 1.5.3 适用产品、版本 nRU产品 eg表1-5 配置适用的产品与软硬件版本关系 软件版本 Release 6100软件版本 硬件版本 全系列硬件版本 S7500E系列以太网交换机 1.5.4 配置过程和解释 l 配置DeviceB # 配置Isolate-user-vlan。 system-view[DeviceB] vlan 5 [DeviceB-vlan5] isolate-user-vlan enable [DeviceB-vlan5] port GigabitEthernet 2/0/5 [DeviceB-vlan5] quit # 配置Secondary VLAN。 [DeviceB] vlan 3 isteDeviceB和DeviceC在初始状态下分别位于两个的网络中，并根据自身情况创建了相应的VLAN；由于网络规划的变更，现要求使用DeviceA将DeviceB和DeviceC连通。 red 目 录（目录名）

[DeviceB-vlan3] port GigabitEthernet 2/0/1 [DeviceB-vlan3] quit [DeviceB] vlan 2

[DeviceB-vlan2] port GigabitEthernet 2/0/2 [DeviceB-vlan2] quit

页码，13/15

# 配置Isolate-user-vlan和Secondary VLAN间的映射关系。

[DeviceB] isolate-user-vlan 5 secondary 2 to 3

l

配置DeviceC

# 配置Isolate-user-vlan。

system-view[DeviceC] vlan 6

[DeviceC-vlan6] isolate-user-vlan enable [DeviceC-vlan6] port GigabitEthernet 2/0/5 [DeviceC-vlan6] quit

# 配置Secondary VLAN。

[DeviceC] vlan 3

[DeviceC-vlan3] port GigabitEthernet 2/0/3 [DeviceC-vlan3] quit [DeviceC] vlan 4

[DeviceC-vlan4] port GigabitEthernet 2/0/4

# 配置Isolate-user-vlan和Secondary VLAN间的映射关系。

[DeviceC] isolate-user-vlan 6 secondary 3 to 4

# 创建VLAN5和VLAN6，并将GigabitEthernet2/0/1和GigabitEthernet2/0/2端口分别加入VLAN5和VLAN6，本例中以这两个端口为Access端口为例进行配置。

[DeviceA-vlan5] port GigabitEthernet 2/0/1 [DeviceA-vlan5] quit [DeviceA] vlan 6

[DeviceA-vlan6] quit

# 创建VLAN5和VLAN6的接口，使两个网络间的数据可以通过Device A进行三层转发，IP地址分别为192.168.0.1和192.168.1.1。

[DeviceA] interface Vlan-interface 5[DeviceA-Vlan-interface5] quit [DeviceA] interface Vlan-interface 6

[DeviceA-Vlan-interface6] ip address 192.168.1.1 24

[DeviceA-Vlan-interface5] ip address 192.168.0.1 24

用户也可以将GigabitEthernet2/0/1和GigabitEthernet2/0/2端口配置为Trunk端口或Hybrid端口，只需要保证这两个端口分别在发送VLAN5和VLAN6的报文时去掉VLAN Tag即可。

1.5.5 完整配置

l

U[DeviceA-vlan6] port GigabitEthernet 2/0/2

DeviceB的完整配置

nR[DeviceA] vlan 5

egl

配置DeviceA

is[DeviceC-vlan4] quit

tered

目 录（目录名）

#

vlan 2 to 3 # vlan 5

isolate-user-vlan enable #

interface GigabitEthernet2/0/1 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 3 5 untagged port hybrid pvid vlan 3 #

interface GigabitEthernet2/0/2 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 2 5 untagged port hybrid pvid vlan 2 #

interface GigabitEthernet2/0/5 port link-type hybrid undo port hybrid vlan 1

port hybrid vlan 2 3 5 untagged port hybrid pvid vlan 5 #

页码，14/15

l

DeviceC的完整配置

#

vlan 3 to 4 # vlan 6 #

isolate-user-vlan enable

interface GigabitEthernet2/0/3 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 3 6 untagged port hybrid pvid vlan 3 #

interface GigabitEthernet2/0/4 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 4 6 untagged port hybrid pvid vlan 4 #

UnRegisolate-user-vlan 5 secondary 2 3

istered目 录（目录名）

interface GigabitEthernet2/0/5 port link-type hybrid undo port hybrid vlan 1

port hybrid vlan 3 4 6 untagged port hybrid pvid vlan 6 #

isolate-user-vlan 50 secondary 2 3

l

页码，15/15

DeviceA的完整配置

#

vlan 5 to 6 #

interface Vlan-interface 5

ip address 192.168.0.1 255.255.255.0 #

interface Vlan-interface 6

ip address 192.168.1.1 255.255.255.0 #

interface GigabitEthernet2/0/1 port access vlan 5 #

interface GigabitEthernet2/0/2 port access vlan 6

无

UnReg1.5.6 配置注意事项

istered