08 VLAN原理与配置

是 否 +2 论坛币

k人 参与回答

经管之家送您一份

应届毕业生专属福利!

求职就业群

赵安豆老师微信：zhaoandou666

经管之家联合CDA

送您一个全额奖学金名额~ !

立即领取

感谢您参与论坛问题回答

经管之家送您两个论坛币！

+2 论坛币

VLAN 原理与配置完全教学指南

前言

在传统的交换式以太网环境中，所有连接的设备共享同一个广播域。随着接入主机数量不断增长，网络中出现了广播泛滥、安全风险加剧以及整体性能下降等问题。VLAN（Virtual Local Area Network，虚拟局域网）技术通过将物理网络在逻辑上划分为多个独立的广播域，有效缓解了上述问题，已成为现代局域网设计中的关键技术之一。

本文档围绕 VLAN 的核心技术展开系统讲解，采用“理论解析 + 实例验证 + 配置实操”的结构，帮助学习者建立完整的知识框架。完成本教程后，您将能够：

• 说明 VLAN 技术产生的背景及其核心价值
• 识别 VLAN 标签的结构及 Tagged/Untagged 数据帧的特点
• 掌握五种 VLAN 划分方式的工作原理和适用场景
• 理解 Access、Trunk 和 Hybrid 接口的数据处理机制
• 独立完成基本 VLAN 的配置与结果验证
• 分析 VLAN 环境下数据通信的完整流程

一、VLAN 基础：从传统网络缺陷到解决方案

1.1 传统以太网面临的主要挑战

在标准的二层交换网络中，所有交换机端口默认处于同一广播域内，由此引发以下三大关键问题：

广播泛滥：当主机发送广播帧（如 ARP 请求）时，交换机会将其泛洪至所有端口。广播域越大，此类流量对带宽的消耗越严重，极端情况下可能形成“广播风暴”，导致整个网络瘫痪。

安全隐患：由于缺乏隔离机制，非目标设备也可能接收到其他主机的单播或组播数据包。例如，在 MAC 地址表未命中时，交换机会将单播帧泛洪，造成数据泄露风险，难以保障通信隐私。

性能下降：大量无关广播和未知单播流量会占用链路资源，同时终端需要耗费 CPU 资源处理这些数据，影响系统运行效率。

传统交换网络特性	具体影响
广播域范围	全网共享（所有接口属于同一广播域）
冲突域隔离	基于端口实现隔离，但广播域无法分割
数据安全性	较低（非目的设备可接收无关数据）
带宽利用率	偏低（广播及无效流量占用资源）

1.2 VLAN 的定义与关键特性

VLAN 是指通过交换机配置手段，将一个物理局域网在逻辑层面划分成若干个相互隔离的子网络。每个 VLAN 构成一个独立的广播域，具备如下核心属性：

广播域隔离：广播帧仅在所属 VLAN 内部泛洪，不会跨越到其他 VLAN 中传播。

通信规则：同一 VLAN 内的设备可以直接进行二层通信；不同 VLAN 之间的通信必须依赖三层设备（如路由器或三层交换机）进行路由转发。

地理无关性：VLAN 成员不受物理位置限制，可以分布在不同的交换机上，只要配置一致即可归属同一逻辑网络。

逻辑独立性：各 VLAN 间数据流彼此隔离，局部故障不会扩散至整个网络，提升了系统的稳定性。

1.3 VLAN 的主要优势

• 灵活构建虚拟工作组：可根据部门职能、业务类型或应用需求动态划分网络区域，无需调整布线即可完成架构重组，降低运维复杂度。
• 控制广播范围：缩小广播域边界，显著减少广播流量对网络资源的占用，提高整体传输效率。
• 提升网络安全：实现业务数据隔离，防止未经授权的访问行为，保护敏感信息。
• 增强网络健壮性：故障被限制在特定 VLAN 范围内，避免单一节点异常影响全局服务。

二、VLAN 核心机制：标签结构、划分方法与接口类型

2.1 VLAN 标签：数据帧的身份标识

为了准确识别数据帧所属的 VLAN，交换机使用 IEEE 802.1Q（又称 Dot1Q）协议定义的标准标签机制，解决跨设备 VLAN 信息传递的问题。

2.1.1 以太网帧的两种形态

Untagged 帧（无标记帧）：原始的以太网帧格式，不含 VLAN 标签字段，由终端设备（如 PC 或服务器）生成并接收，因为终端通常不具备识别标签的能力。

Tagged 帧（有标记帧）：在标准以太网帧的“目的 MAC 地址”和“协议类型”之间插入 4 字节的 VLAN 标签，用于交换机之间传递 VLAN 归属信息。

2.1.2 802.1Q 标签结构（共 4 字节）

字段	长度（比特）	功能描述
TPID	16	标签协议标识符，固定值为 0x8100，用于标识该帧符合 802.1Q 规范；非标准设备若不识别此值则会丢弃该帧
PRI	3	优先级字段，取值范围 0–7，数值越大优先级越高，支持 QoS 流量调度，在拥塞时优先转发高优先级帧
CFI	1	标准格式指示位，以太网环境下恒为 0；仅在兼容令牌环网等非标准环境时可设为 1
VID	12	VLAN ID，表示帧所属的 VLAN 编号，范围 0–4095；其中 0 和 4095 为保留值，实际可用范围为 1–4094

2.1.3 标签处理原则

• 交换机内部处理的所有数据帧均为 Tagged 帧，便于统一管理和转发决策。
• 终端设备只能处理 Untagged 帧，因此连接终端的接口需负责添加或移除 VLAN 标签。
• 跨交换机的 VLAN 数据通过 Trunk 或 Hybrid 接口传输，并保持标签完整；而在同一交换机内部转发时，标签仅用于 VLAN 判定，最终输出前按策略剥离。

2.2 五种 VLAN 划分方式

VLAN 划分的本质是将来自终端的 Untagged 帧正确归类到对应的 VLAN 中。根据判定依据的不同，共有五种常见划分方式，适用于各类部署场景。

划分方式	核心依据	配置逻辑	优点	缺点	适用场景
基于接口划分	交换机物理端口	为每个接口设定 PVID（默认 VLAN），当 Untagged 帧进入该接口时自动打上 PVID 对应的标签	配置简单直观，易于维护	灵活性差，用户迁移需重新配置端口	固定办公环境、终端位置不变的场景

# 单个创建VLAN
[Huawei] vlan vlan-id  # vlan-id取值1-4094
# 批量创建VLAN
[Huawei] vlan batch vlan-id1 [to vlan-id2]  # 如vlan batch 10 20 30 或 vlan batch 10 to 20

主机移动场景下的接口配置策略调整

在固定接入环境中，例如办公区域或服务器区，通常采用基于 MAC 地址的 VLAN 划分方式。该方法通过识别数据帧中的源 MAC 地址进行分类，并结合 MAC-VLAN 映射表实现 VLAN 标签的自动添加——当无标签帧进入接口时，系统将依据匹配结果打上相应的 VLAN 标签。

此方案的优点在于：即便终端设备发生物理位置迁移，也无需重新配置网络参数，具备较高的灵活性。然而，其缺点同样明显：MAC 地址易于伪造，安全性较低；同时，映射表的维护较为复杂，管理成本较高。

# 单个创建VLAN
[Huawei] vlan vlan-id  # vlan-id取值1-4094
# 批量创建VLAN
[Huawei] vlan batch vlan-id1 [to vlan-id2]  # 如vlan batch 10 20 30 或 vlan batch 10 to 20

适用于动态环境的 IP 子网划分机制

针对移动办公场景（如使用笔记本电脑的用户），更适合采用基于 IP 子网的 VLAN 划分方式。该方式依赖于数据包的源 IP 地址及子网掩码信息，通过建立 IP-VLAN 映射关系，在接收到未标记帧时根据其 IP 属性赋予对应 VLAN 标签。

该策略与整体 IP 规划紧密联动，特别适合按网段组织业务逻辑的网络架构。但其局限性在于必须依赖静态 IP 配置，难以适应 DHCP 等动态 IP 分配场景，因此不适用于频繁变更地址的终端环境。

协议类型驱动的流量隔离方案

对于服务器集群或多协议共存的网络环境，可选择基于协议类型的 VLAN 划分方式。系统根据数据帧所属的协议族（如 IPv4、IPv6）来判断其归属 VLAN，并预先配置协议-VLAN 映射表。

当 Untagged 帧进入接口时，设备会识别其协议类型并打上对应的 VLAN 标签。这种方式能够自动区分不同协议的数据流，提升网络层面的逻辑隔离能力。不过，由于协议识别需要额外处理开销，且适用范围较窄，仅限特定场景部署。

高安全需求下的复合策略控制

在对安全性要求极高的领域，如金融行业或政府企业网络中，推荐使用基于策略的 VLAN 划分方式。该方式综合接口、MAC 地址、IP 地址等多种条件进行组合判断，构建精细化的访问控制规则。

当未标记帧进入端口时，系统需同时匹配所有设定条件后才为其打上指定 VLAN 标签。这种机制提供了最高的灵活性和管控粒度，但随之而来的是配置难度上升和后期运维负担加重。

PVID（Port VLAN ID）的关键作用解析

PVID 即端口默认 VLAN ID，用于确定未携带标签帧的 VLAN 归属。所有交换机接口出厂默认 PVID 为 1，即归属于 VLAN 1——这是系统的默认 VLAN，不可删除。

当一个无标签帧进入接口时，系统会自动为其添加 PVID 所对应的 VLAN 标签，从而决定其转发域。这一机制是各类二层接口处理 Untagged 帧的基础逻辑。

二层接口类型详解：Access、Trunk 与 Hybrid

交换机的不同接口类型决定了 VLAN 标签的处理行为，适用于多样化的连接需求。三者的核心差异体现在对 Tagged 和 Untagged 数据帧的接收与发送规则上。

Access 接口：专用于终端接入

• 用途：连接无法识别 VLAN 标签的终端设备，如 PC 或服务器。
• 核心特性：仅允许单一 VLAN（即 PVID 对应 VLAN）通过，属于“单 VLAN 接口”。
• 接收规则：
  • 收到 Untagged 帧：自动打上 PVID 标签并加入相应 VLAN，无条件接收。
  • 收到 Tagged 帧：仅当 VID 与 PVID 一致时接收，否则丢弃。
• 发送规则：
  • 来自本 VLAN（VID = PVID）的帧：剥离标签后以 Untagged 形式发送。
  • 来自其他 VLAN 的帧：直接丢弃。

Trunk 接口：用于设备间互联

• 用途：连接交换机、路由器子接口或无线 AP 等需要传输多个 VLAN 数据的设备。
• 核心特性：支持多个 VLAN 通行（需配置允许列表），仅对 PVID 对应的 VLAN 在发送时剥离标签。
• 关键配置项：
  • 允许通过的 VLAN 列表：默认包含 VLAN 1，其余需手动添加。
  • PVID 设置：可选，默认值为 1，用于处理进入的 Untagged 帧。
• 接收规则：
  • Untagged 帧：打上 PVID 标签，若 PVID 在允许列表中则接收，否则丢弃。
  • Tagged 帧：仅当 VID 在允许列表中时接收。
• 发送规则：
  • 若 VID 在允许列表中：
    • VID = PVID：剥离标签，作为 Untagged 帧发送。
    • VID ≠ PVID：保留标签，作为 Tagged 帧发送。
  • 若 VID 不在允许列表中：直接丢弃。

Hybrid 接口：多场景灵活适配

• 用途：华为设备默认接口类型，兼容终端与网络设备连接，支持多 VLAN 数据带标签或不带标签发送。
• 核心特性：区别于 Trunk 接口的关键在于，Hybrid 支持多个 VLAN 在发送时剥离标签，而不仅限于 PVID 所属 VLAN。
• 关键配置项：
  • Untagged VLAN 列表：发送时需剥离标签的 VLAN，供终端识别。
  • Tagged VLAN 列表：发送时保留标签的 VLAN，供交换机等设备处理。
  • PVID：用于处理接收到的 Untagged 帧。
• 接收规则：
  • Untagged 帧：打上 PVID 标签，若 PVID 存在于 Untagged 或 Tagged 列表中则接收，否则丢弃。
  • Tagged 帧：仅当 VID 在任一列表中时接收。
• 发送规则：
  • 若 VID 在 Untagged 列表中：剥离标签后发送。
  • 若 VID 在 Tagged 列表中：保留标签后发送。
  • 若 VID 不在任何列表中：丢弃该帧。

三种接口核心功能对比

对比维度	Access 接口	Trunk 接口	Hybrid 接口
支持 VLAN 数量	1 个（仅 PVID 对应 VLAN）	多个（允许列表内的 VLAN）	多个（Untagged/Tagged 列表中的 VLAN）
发送无标签帧	始终剥离标签（仅一个 VLAN）	仅 PVID 对应的 VLAN 剥离标签	支持多个 VLAN 剥离标签发送

特性	支持多个VLAN标签剥离	连接对象类型	适用设备	配置难易程度	灵活性水平
方案一	否	终端设备（如PC、服务器）	终端	低	低
方案二	部分支持	交换机或路由器的子接口	网络中间设备	中	中
方案三	可配置多个剥离标签	终端、交换机、路由器均可	通用型	高	高

三、VLAN 数据通信过程：标签的封装、转发与移除

3.1 跨交换机同 VLAN 通信（使用 Access 和 Trunk 接口）

网络结构说明：
SW1 与 SW2 之间通过 GE0/0/3 接口以 Trunk 模式互联，PVID 设置为 1，允许传输 VLAN 10 和 VLAN 20。
- SW1 的 GE0/0/1 接口为 Access 类型，PVID=10，连接主机 1（属于 VLAN 10）
- SW1 的 GE0/0/2 接口为 Access 类型，PVID=20，连接主机 3（属于 VLAN 20）
- SW2 的 GE0/0/1 接口为 Access 类型，PVID=10，连接主机 2（属于 VLAN 10）
- SW2 的 GE0/0/2 接口为 Access 类型，PVID=20，连接主机 4（属于 VLAN 20）

数据流向分析（从主机 1 到主机 2）：

• 步骤 1：主机 1 发送原始帧
  主机 1 创建一个无标签帧（Untagged），目标 MAC 地址为主机 2 的地址，源 MAC 为主机 1 自身，发送至 SW1 的 GE0/0/1 接口。
• 步骤 2：SW1 接收入口处理
  SW1 的 GE0/0/1 是 Access 接口且 PVID=10，因此自动为该帧添加 VLAN 10 标签，形成 Tagged 帧。
• 步骤 3：SW1 查表并决定转发路径
  交换机 SW1 查询其 MAC 地址表，发现主机 2 的 MAC 地址对应出接口为 GE0/0/3（Trunk 口），并且 VLAN 10 在允许通过列表中。
• 步骤 4：Trunk 接口跨设备传输
  SW1 通过 GE0/0/3 发送此帧。由于帧的 VID=10 不等于 Trunk 接口的 PVID=1，故保留 VLAN 标签进行传输。
• 步骤 5：SW2 接收带标签帧
  SW2 的 GE0/0/3 接口接收到该 Tagged 帧，检查到 VID=10 在许可范围内，正常接收。
• 步骤 6：SW2 进行本地转发决策
  SW2 查找 MAC 表，确认主机 2 的 MAC 地址关联于 GE0/0/1 接口（Access 类型，PVID=10）。
• 步骤 7：Access 接口去标签发送
  当 SW2 从 GE0/0/1 发送帧时，因 VID=10 等于该接口 PVID，执行标签剥离操作，以 Untagged 形式发送给主机 2。
• 步骤 8：主机 2 成功接收
  主机 2 收到无标签帧，完成整个通信流程。

# 单个创建VLAN
[Huawei] vlan vlan-id  # vlan-id取值1-4094
# 批量创建VLAN
[Huawei] vlan batch vlan-id1 [to vlan-id2]  # 如vlan batch 10 20 30 或 vlan batch 10 to 20

3.2 跨交换机访问跨 VLAN 服务器（采用 Hybrid 接口）

组网配置描述：
SW1 与 SW2 使用 Hybrid 接口 GE0/0/3 相连，Tagged 允许列表包含 VLAN 10、20、100。
- SW1 的 GE0/0/1 接口设置为 Hybrid 类型，PVID=10，Untagged 列表包括 VLAN 10 和 100，连接主机 1（VLAN 10）
- SW1 的 GE0/0/2 接口为 Hybrid 类型，PVID=20，Untagged 列表含 VLAN 20 和 100，连接主机 2（VLAN 20）
- SW2 的 GE0/0/1 接口为 Hybrid 类型，PVID=100，Untagged 列表包含 VLAN 10、20、100，连接服务器（位于 VLAN 100）

通信流程示例（主机 1 → 服务器）：

• 阶段 1：主机发起通信
  主机 1 生成一个未标记帧（目的 MAC 为服务器 MAC，源 MAC 为主机 1），发送至 SW1 的 GE0/0/1 接口。
• 阶段 2：SW1 入站处理
  接口 GE0/0/1 为 Hybrid 类型，PVID=10，因此为该帧打上 VLAN 10 标签，转换为 Tagged 帧。
• 阶段 3：查找转发出口
  SW1 查询 MAC 地址表，确定服务器 MAC 地址对应的出接口是 GE0/0/3（Hybrid），且 VLAN 10 在 Tagged 允许列表中。
• 阶段 4：跨设备标签传输
  SW1 从 GE0/0/3 发送帧，由于 VID=10 存在于 Tagged 列表中，保持标签状态传送到 SW2。
• 阶段 5：SW2 接收并解析帧
  SW2 的 GE0/0/3 接口成功接收该带标签帧，VID=10 符合配置规则，予以接受。
• 阶段 6：内部转发判断
  SW2 查询本地 MAC 表，找到服务器 MAC 对应 GE0/0/1 接口（Hybrid 类型），同时 VLAN 10 在其 Untagged 列表中。
• 阶段 7：Hybrid 出口剥离标签
  SW2 通过 GE0/0/1 发送帧时，识别到 VLAN 10 属于 Untagged 成员，因此去除标签，以 Untagged 帧形式送达服务器。
• 阶段 8：服务器响应返回
  服务器回应时发送 Untagged 帧，经由相同路径反向传递，最终主机 1 接收到应答信息。

# 进入接口视图
[Huawei] interface GigabitEthernet 0/0/1
# 配置接口类型为Access
[Huawei-GigabitEthernet0/0/1] port link-type access
# 配置PVID并加入VLAN（二合一命令）
[Huawei-GigabitEthernet0/0/1] port default vlan vlan-id

四、VLAN 规划策略与典型应用场景

4.1 VLAN 设计基本原则

依据业务类别划分 VLAN
将不同类型的流量按功能分离，例如：
- VLAN 10 用于语音通信
- VLAN 20 承载普通数据业务
- VLAN 30 分配给视频流媒体服务
此类规划有助于实施差异化的服务质量（QoS）策略，提升关键应用性能。

基于组织架构进行 VLAN 划分
按照企业部门边界设定虚拟局域网，实现逻辑隔离，例如：
- VLAN 10 分配给市场部
- VLAN 20 供财务部使用
- VLAN 30 配置给技术团队
这种方式增强了安全性，限制了跨部门非授权访问。

结合实际应用场景灵活设计
根据具体部署环境调整 VLAN 结构，如远程办公接入、访客网络隔离、物联网设备分区等场景，合理分配 VLAN ID 并匹配相应接口模式，确保网络高效稳定运行。

四、VLAN 规划与应用实践

通过合理规划 VLAN，可有效提升网络的安全性与管理效率。常见的划分方式包括按设备用途进行分类，例如将服务器区域设为 VLAN 100，办公区设为 VLAN 200，访客网络设为 VLAN 300，从而实现逻辑隔离，增强整体网络安全。

4.2 VLAN 规划建议

• VLAN ID 与 IP 子网联动：建议将 VLAN 编号与对应的 IP 地址段保持一致，如 VLAN 10 对应 192.168.10.0/24 网段，VLAN 20 使用 192.168.20.0/24，便于管理员快速识别和维护。
• 连续分配 VLAN ID：避免随意或零散地分配 VLAN 编号，推荐采用区间预留策略，例如使用 VLAN 100–200 用于业务系统，VLAN 999 专用于设备管理，以减少配置混乱。
• 设置专用管理 VLAN：单独设立一个 VLAN 用于交换机、路由器等网络设备的远程管理，确保其与用户业务流量完全隔离，提升运维安全性和可控性。

4.3 典型应用场景分析

场景一：商务楼宇中多企业共用网络环境

在多个公司共享同一台二层交换机及互联网出口的情况下，需保障各企业的数据相互隔离。

解决方案：采用基于端口的 VLAN 划分方式，为每家公司分配独立 VLAN（如公司1=VLAN 2，公司2=VLAN 3，公司3=VLAN 4）。

实现效果：各公司仅能访问自身 VLAN 内资源和外部互联网，无法与其他公司直接通信，显著降低信息泄露风险。

场景二：企业内部部门隔离同时共享服务器资源

企业不同职能部门（如市场部、财务部）需要彼此隔离，但均需访问中心服务器。

解决方案：利用 Hybrid 接口技术，分别创建市场部 VLAN 10、财务部 VLAN 20 和服务器专用 VLAN 100；交换机之间的互联接口配置为 Hybrid 模式，并允许 VLAN 10、20、100 的流量通过。

实现效果：各部门之间不能直接进行二层通信，防止横向渗透，但均可正常访问服务器，满足“隔离+共享”的双重需求。

场景三：支持移动终端灵活接入的办公场景

员工携带笔记本在办公室、会议室等多个位置接入网络时，希望始终保持原有的 VLAN 归属。

解决方案：采用基于 MAC 地址的 VLAN 划分方法，将特定 MAC 地址绑定至对应部门 VLAN（如技术部 = VLAN 30）。

实现效果：无论终端连接到哪个交换机端口，系统自动将其归入预设 VLAN，无需人工重新配置，提升用户体验与管理便捷性。

五、华为设备上的 VLAN 基础配置与验证

5.1 配置准备条件

• 适用设备：华为 S 系列二层交换机（例如 S5720）
• 登录方式：可通过 Console 口或 Telnet 连接设备，进入系统视图进行配置
• 基础认知：熟悉接口命名规范，如 GigabitEthernet 0/0/1 可简写为 GE0/0/1

5.2 关键配置命令说明

5.2.1 创建 VLAN

# 单个创建VLAN
[Huawei] vlan vlan-id  # vlan-id取值1-4094
# 批量创建VLAN
[Huawei] vlan batch vlan-id1 [to vlan-id2]  # 如vlan batch 10 20 30 或 vlan batch 10 to 20

5.2.2 Access 接口配置

# 进入接口视图
[Huawei] interface GigabitEthernet 0/0/1
# 配置接口类型为Access
[Huawei-GigabitEthernet0/0/1] port link-type access
# 配置PVID并加入VLAN（二合一命令）
[Huawei-GigabitEthernet0/0/1] port default vlan vlan-id

5.2.3 Trunk 接口配置

# 进入接口视图
[Huawei] interface GigabitEthernet 0/0/3
# 配置接口类型为Trunk
[Huawei-GigabitEthernet0/0/3] port link-type trunk
# 配置允许通过的VLAN（all表示所有VLAN）
[Huawei-GigabitEthernet0/0/3] port trunk allow-pass vlan vlan-id1 [to vlan-id2]
# （可选）配置PVID（默认=1）
[Huawei-GigabitEthernet0/0/3] port trunk pvid vlan vlan-id

5.2.4 Hybrid 接口配置

# 进入接口视图
[Huawei] interface GigabitEthernet 0/0/1
# 配置接口类型为Hybrid（华为默认，可省略）
[Huawei-GigabitEthernet0/0/1] port link-type hybrid
# 配置Untagged VLAN列表（发送时剥离标签）
[Huawei-GigabitEthernet0/0/1] port hybrid untagged vlan vlan-id1 [to vlan-id2]
# 配置Tagged VLAN列表（发送时保留标签）
[Huawei-GigabitEthernet0/0/1] port hybrid tagged vlan vlan-id1 [to vlan-id2]
# （可选）配置PVID（默认=1）
[Huawei-GigabitEthernet0/0/1] port hybrid pvid vlan vlan-id

5.2.5 基于 MAC 地址划分 VLAN 的配置

# 创建VLAN
[Huawei] vlan 10
# 关联MAC地址与VLAN
[Huawei-vlan10] mac-vlan mac-address mac-address  # 如mac-vlan mac-address 001e-10dd-dd01
# 进入接口视图（推荐Hybrid接口）
[Huawei] interface GigabitEthernet 0/0/2
# 配置接口类型为Hybrid
[Huawei-GigabitEthernet0/0/2] port link-type hybrid
# 加入VLAN（Untagged/Tagged按需配置）
[Huawei-GigabitEthernet0/0/2] port hybrid untagged vlan 10
# 使能MAC-VLAN功能
[Huawei-GigabitEthernet0/0/2] mac-vlan enable

5.3 配置结果验证命令

完成配置后，可通过查看 VLAN 表项、接口状态及数据转发情况来确认配置是否生效。

# 查看所有VLAN配置（含接口关联）
[Huawei] display vlan
# 查看MAC-VLAN映射关系
[Huawei] display mac-vlan mac-address all
# 查看接口详细配置（含VLAN相关）
[Huawei] display interface GigabitEthernet 0/0/1

5.4 实际配置示例：基于端口的 VLAN 部署（Access + Trunk）

组网需求描述：

• SW1 与 SW2 相连，要求实现 VLAN 10 和 VLAN 20 跨交换机通信
• 主机1（属于 VLAN 10）接入 SW1 的 GE0/0/1 接口；主机3（VLAN 20）接入 SW1 的 GE0/0/2
• 主机2（VLAN 10）接入 SW2 的 GE0/0/1；主机4（VLAN 20）接入 SW2 的 GE0/0/2
• SW1 的 GE0/0/3 与 SW2 的 GE0/0/3 设置为 Trunk 接口，允许 VLAN 10 和 VLAN 20 流量通过

SW1 配置步骤：

# 创建VLAN 10、20
[SW1] vlan batch 10 20
# 配置Access接口（连接主机）
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1-GigabitEthernet0/0/1] quit
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 20
[SW1-GigabitEthernet0/0/2] quit
# 配置Trunk接口（互联SW2）
[SW1] interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3] port link-type trunk
[SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[SW1-GigabitEthernet0/0/3] quit
# 验证配置
[SW1] display vlan

SW2 配置说明：与 SW1 对称配置，接口角色一致，实现对等通信。

[SW2] vlan batch 10 20
[SW2] interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1] port link-type access
[SW2-GigabitEthernet0/0/1] port default vlan 10
[SW2-GigabitEthernet0/0/1] quit
[SW2] interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2] port link-type access
[SW2-GigabitEthernet0/0/2] port default vlan 20
[SW2-GigabitEthernet0/0/2] quit
[SW2] interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3] port link-type trunk
[SW2-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[SW2-GigabitEthernet0/0/3] quit
[SW2] display vlan

六、重点知识总结与思考练习

6.1 核心知识点归纳

• VLAN 主要功能：实现广播域的分割，而非影响冲突域（冲突域由物理接口自然划分）
• 802.1Q 标签结构：TPID 字段值为 0x8100，VID 取值范围为 1–4094
• 三种接口类型的标签处理机制：掌握 Access、Trunk、Hybrid 在接收与发送数据帧时对标签的添加、保留或剥离规则
• VLAN 划分方式对比：基于端口的方式简单直观，适用于固定终端；基于 MAC 地址的方式更灵活，适合移动设备
• Trunk 接口的 PVID 与允许列表关系：PVID 必须包含在 allow-pass 列表中，否则该 VLAN 的无标签流量无法正常传输
• 跨交换机同 VLAN 通信流程：理解数据帧如何在发送端加标签、中间链路传递、接收端去除标签的关键过程
• 常用配置命令：包括 VLAN 创建、接口类型设定、允许通过的 VLAN 配置等核心指令

6.2 经典思考题（附解答）

题目（多选）：以下关于 VLAN 的说法中，哪些是错误的？（ ）

A. VLAN 技术可以将一个大规模的冲突域划分为多个小规模的冲突域
B. VLAN 技术可以将一个大规模的二层广播域划分为多个小规模的二层广播域
C. 处于不同 VLAN 的主机之间无法通信
D. 同一 VLAN 内的主机之间可以直接进行二层通信

正确答案：AC

解析：
A 错误 —— VLAN 分割的是广播域，而冲突域是由交换机每个端口独立形成的，与 VLAN 无关；
C 错误 —— 不同 VLAN 的设备虽然不能直接二层互通，但可以通过三层路由设备（如路由器或三层交换机）实现跨 VLAN 通信。

问题：若某 Trunk 接口的 PVID 设置为 5，并配置了 port trunk allow-pass vlan 2 3，则哪些 VLAN 的数据流可以通过该接口？

答案：VLAN 1、VLAN 2、VLAN 3

说明：尽管 PVID 为 5，但由于 VLAN 5 未被列入 allow-pass 列表，因此无法传输；默认情况下，VLAN 1 总是隐含允许通过 Trunk 接口，即使未显式配置。

七、总结

VLAN 技术的本质在于“逻辑划分广播域”，通过 VLAN 标签标识数据帧所属的虚拟网络，再结合不同接口类型的标签处理机制，实现流量的隔离与转发。本章的核心内容可归纳为“三大核心 + 两大实操”：

三大核心：VLAN 标签结构、接口类型的工作逻辑、VLAN 划分方式的特点
两大实操：VLAN 配置命令的应用、通信流程的逐步拆解

深入掌握 VLAN 技术的关键，在于理解“标签的生命周期”——即标签的添加、传递与剥离过程，以及各类接口在其中扮演的角色：

• Access 接口：负责终端设备接入，对接收到的无标签帧添加 PVID 对应的 VLAN 标签；发送时则剥离标签，确保终端无需识别 VLAN 信息。
• Trunk 接口：用于传输多个 VLAN 的数据，保持帧的标签状态以便跨设备转发，仅允许配置中指定的 VLAN 通过。
• Hybrid 接口：具备高度灵活性，支持同时发送带标签和不带标签的帧，适用于复杂组网场景，可根据需求独立配置每个 VLAN 的转发方式。

# 单个创建VLAN
[Huawei] vlan vlan-id  # vlan-id取值1-4094
# 批量创建VLAN
[Huawei] vlan batch vlan-id1 [to vlan-id2]  # 如vlan batch 10 20 30 或 vlan batch 10 to 20

解析：Trunk 接口默认允许 VLAN 1 通过；执行 allow-pass vlan 2 3 命令后，VLAN 2 和 VLAN 3 被加入许可列表；但由于 PVID 设置为 5，而 VLAN 5 并未包含在允许通过的列表中，因此属于 VLAN 5 的数据流量将无法正常传输。

为何华为设备推荐使用 Hybrid 接口实现基于 MAC 地址的 VLAN 划分？

原因在于：Access 和 Trunk 接口在进行基于 MAC 地址的 VLAN 划分时，要求所划分的 VLAN 必须与接口的 PVID 一致，否则规则不生效，限制了应用灵活性；而 Hybrid 接口可以独立设置每个 VLAN 的 Tagged 或 Untagged 状态，无需依赖 PVID，能够更精准地满足基于 MAC 地址划分时对标签处理的多样化需求。

简述 Access 接口对接收带有 VLAN 标签帧的处理过程：

当 Access 接口接收到一个 Tagged 帧时，会立即比较该帧中的 VID 与接口设定的 PVID；如果两者相同，则接收并继续转发；若不匹配，则直接丢弃该帧，以保证接入层的安全性与一致性。

VLAN 是构建局域网架构的基础技术，后续涉及的内容如 VLAN 间路由、VLAN 聚合、VLAN 安全策略等，均建立在本章知识体系之上。建议结合实际操作环境（例如使用 Packet Tracer 或 eNSP 模拟器）进行验证练习，强化对配置逻辑和故障排查方法的理解与掌握。

扫码加我 拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

分享0 收藏0 回帖

关键词：LAN interface Default Display address