當(dāng)談到網(wǎng)絡(luò)安全和性能優(yōu)化時(shí)，VLAN（虛擬局域網(wǎng)）劃分是一個(gè)關(guān)鍵的策略。它不僅提供了更好的網(wǎng)絡(luò)管理，還增強(qiáng)了數(shù)據(jù)隔離和訪問(wèn)控制。

• 是否想過(guò)4094個(gè)VLAN可以怎樣劃分？
• 哪種方式又是好用簡(jiǎn)單的？

細(xì)心的小編特地整理了一番，給各位小伙伴把玩把玩。

VLAN劃分的方式

• 基于接口劃分VLAN：根據(jù)交換機(jī)接口分配VLAN ID。配置簡(jiǎn)單，可以用于各種場(chǎng)景。
• 基于MAC劃分VLAN：根據(jù)報(bào)文的源MAC地址分配VLAN ID。經(jīng)常用在用戶位置變化，不需要重新配置VLAN的場(chǎng)景。
• 基于子網(wǎng)劃分VLAN：根據(jù)報(bào)文的源IP地址分配VLAN ID。一般用于對(duì)同一網(wǎng)段的用戶，進(jìn)行統(tǒng)一管理的場(chǎng)景。
• 基于協(xié)議劃分VLAN：根據(jù)報(bào)文的協(xié)議類型分配VLAN ID。適用于對(duì)具有相同應(yīng)用或服務(wù)的用戶，進(jìn)行統(tǒng)一管理的場(chǎng)景。
• 基于匹配策略劃分VLAN：根據(jù)指定的策略（譬如匹配報(bào)文的源MAC、源IP和端口）分配VLAN ID。適用于對(duì)安全性要求比較高的場(chǎng)景。

幾種劃分VLAN的各種方式中，基于接口劃分VLAN，是最常用最簡(jiǎn)單的方式，那么到底怎么配置，怎么使用呢？

在配置使用之前，先回顧一下端口常用的鏈路類型吧

• access：用于交換機(jī)和PC相連；
• trunk：用于交換機(jī)和交換機(jī)相連；
• hybrid：即可以用于交換機(jī)和PC相連，也可以用于交換機(jī)和交換機(jī)相連。使用hub鏈路交換機(jī)時(shí)，經(jīng)常使用這種類型的。

好了，下面小編以實(shí)際組網(wǎng)為例，講解一下基于接口劃分VLAN的配置。

案例演示

場(chǎng)景1：一臺(tái)交換機(jī)兩個(gè)用戶，怎么通過(guò)接口劃分VLAN從而實(shí)現(xiàn)隔離呢？

先來(lái)看看同一網(wǎng)段的兩臺(tái)PC直接和交換機(jī)相連，不進(jìn)行劃分VLAN，是否可以ping通呢？從上圖可知，是可以ping通的，這是為什么呢？

?

因?yàn)槿笔∏闆r下，華為交換機(jī)的接口都默認(rèn)加入VLAN 1，兩臺(tái)PC直接和交換機(jī)相連，只要屬于同一個(gè)網(wǎng)段，就可以互通。

”

那么怎么通過(guò)VLAN實(shí)現(xiàn)隔離呢？只要把接口加入到不同的VLAN，就可以了。例如交換機(jī)GE0/0/1和GE0/0/2端口分別以access類型加入VLAN 10 和VLAN 20 。

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20

此時(shí)，兩臺(tái)PC基于接口劃分到不同VLAN中，互連不能ping通，實(shí)現(xiàn)了隔離。小伙伴，有沒(méi)有想過(guò)為什么它能隔離呢？

分別在交換機(jī)SW1的G0/0/1和G0/0/2上進(jìn)行抓包，發(fā)現(xiàn)G0/0/1的ARP廣播包，沒(méi)有發(fā)送到G0/0/2上。根據(jù)access接口收發(fā)數(shù)據(jù)包工作原理可判斷，數(shù)據(jù)包到達(dá)G0/0/2后，進(jìn)行拆包發(fā)現(xiàn)VLAN ID與G0/0/2的VLAN ID不一致，就把數(shù)據(jù)包丟失了。

場(chǎng)景2：跨交換機(jī)，4個(gè)用戶，怎么通過(guò)接口劃分VLAN實(shí)現(xiàn)隔離和互通呢？

如下圖：缺省情況下，4臺(tái)PC屬于同一網(wǎng)段，相互可以ping通。假設(shè)PC1和PC3屬于同一部門，PC2和PC4屬于同一部門。如何通過(guò)配置基于接口的VLAN，實(shí)現(xiàn)同一部門之間可以互訪，不同部門之間不能互訪呢？

1. 同一個(gè)部門兩個(gè)用戶PC1 和 PC3劃分到同一個(gè)VLAN10。交換機(jī)1的 GE0/0/1和交換機(jī)2的GE0/0/1端口分別以access類型加入VLAN10。

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10

2. 另外一個(gè)部門的兩個(gè)用戶PC2 和 PC4劃分到另一個(gè)VLAN 20。

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20

3. 兩臺(tái)相連交換機(jī)的端口GE0/0/23，分別以trunk端口加入VLAN 10 和VLAN 20，實(shí)現(xiàn)跨交換機(jī)的通信。

interface GigabitEthernet0/0/23
  port link-type trunk
  port trunk allow-pass vlan 10 20

4. 這樣，就可以實(shí)現(xiàn)到同一部門的用戶PC1和PC3可以互通，不同部門的用戶PC2 和 PC4 不能互通了。

配置技巧分享

各位小伙伴是否發(fā)現(xiàn)上面兩個(gè)場(chǎng)景中，VLAN和端口數(shù)都比較少，而在現(xiàn)實(shí)組網(wǎng)中，經(jīng)常需要配置多個(gè)VLAN，多個(gè)端口，有什么辦法可以快速完成配置嗎？下面小編再介紹一下批量配置和快速恢復(fù)端口VLAN缺省配置的方法。

1、批量創(chuàng)建VLAN

< Huawei > system-view
[Huawei]vlan batch 2 to 100

2、批量端口加入VLAN

[Huawei] port-group group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20
[Huawei-port-group]port link-type access
[Huawei-port-group]port default vlan 100

3、快速恢復(fù)端口VLAN缺省配置

想要快速恢復(fù)端口VLAN的缺省配置，必須要知道什么是缺省配置？華為交換機(jī)，缺省情況下所有端口都是只加入VLAN1的。那么下面和小編一起看看3種鏈路類型下，怎么快速恢復(fù)缺省配置呢？

• access接口： 一步搞定，命令是undo port default vlan
• trunk和hybrid口：三步搞定，先恢復(fù)PVID的配置，再刪除端口下所有vlan，然后再把缺省的VLAN1 加入。具體命令如下：