{{ v.name }}
{{ v.cls }}類
{{ v.price }} ¥{{ v.price }}
從零開始學(xué)VLAN劃分,讓你的網(wǎng)絡(luò)性能翻倍!
閱讀:577
2023-10-29 23:37:17
來源:來自網(wǎng)絡(luò)
當(dāng)談到網(wǎng)絡(luò)安全和性能優(yōu)化時(shí),VLAN(虛擬局域網(wǎng))劃分是一個(gè)關(guān)鍵的策略。它不僅提供了更好的網(wǎng)絡(luò)管理,還增強(qiáng)了數(shù)據(jù)隔離和訪問控制。
- 是否想過4094個(gè)VLAN可以怎樣劃分?
- 哪種方式又是好用簡(jiǎn)單的?
細(xì)心的小編特地整理了一番,給各位小伙伴把玩把玩。
VLAN劃分的方式
- 基于接口劃分VLAN:根據(jù)交換機(jī)接口分配VLAN ID。配置簡(jiǎn)單,可以用于各種場(chǎng)景。
- 基于MAC劃分VLAN:根據(jù)報(bào)文的源MAC地址分配VLAN ID。經(jīng)常用在用戶位置變化,不需要重新配置VLAN的場(chǎng)景。
- 基于子網(wǎng)劃分VLAN:根據(jù)報(bào)文的源IP地址分配VLAN ID。一般用于對(duì)同一網(wǎng)段的用戶,進(jìn)行統(tǒng)一管理的場(chǎng)景。
- 基于協(xié)議劃分VLAN:根據(jù)報(bào)文的協(xié)議類型分配VLAN ID。適用于對(duì)具有相同應(yīng)用或服務(wù)的用戶,進(jìn)行統(tǒng)一管理的場(chǎng)景。
- 基于匹配策略劃分VLAN:根據(jù)指定的策略(譬如匹配報(bào)文的源MAC、源IP和端口)分配VLAN ID。適用于對(duì)安全性要求比較高的場(chǎng)景。
幾種劃分VLAN的各種方式中,基于接口劃分VLAN,是最常用最簡(jiǎn)單的方式,那么到底怎么配置,怎么使用呢?
在配置使用之前,先回顧一下端口常用的鏈路類型吧:
- access:用于交換機(jī)和PC相連;
- trunk:用于交換機(jī)和交換機(jī)相連;
- hybrid:即可以用于交換機(jī)和PC相連,也可以用于交換機(jī)和交換機(jī)相連。使用hub鏈路交換機(jī)時(shí),經(jīng)常使用這種類型的。
好了,下面小編以實(shí)際組網(wǎng)為例,講解一下基于接口劃分VLAN的配置。
案例演示
場(chǎng)景1:一臺(tái)交換機(jī)兩個(gè)用戶,怎么通過接口劃分VLAN從而實(shí)現(xiàn)隔離呢?
先來看看同一網(wǎng)段的兩臺(tái)PC直接和交換機(jī)相連,不進(jìn)行劃分VLAN,是否可以ping通呢?
從上圖可知,是可以ping通的,這是為什么呢?
因?yàn)槿笔∏闆r下,華為交換機(jī)的接口都默認(rèn)加入VLAN 1,兩臺(tái)PC直接和交換機(jī)相連,只要屬于同一個(gè)網(wǎng)段,就可以互通。
那么怎么通過VLAN實(shí)現(xiàn)隔離呢?只要把接口加入到不同的VLAN,就可以了。例如交換機(jī)GE0/0/1和GE0/0/2端口分別以access類型加入VLAN 10 和VLAN 20 。
復(fù)制
interface GigabitEthernet0/0/1 port link-type access
port default vlan 10 # interface GigabitEthernet0/0/2 port link-type access
port default vlan 20- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
此時(shí),兩臺(tái)PC基于接口劃分到不同VLAN中,互連不能ping通,實(shí)現(xiàn)了隔離。
小伙伴,有沒有想過為什么它能隔離呢?
分別在交換機(jī)SW1的G0/0/1和G0/0/2上進(jìn)行抓包,發(fā)現(xiàn)G0/0/1的ARP廣播包,沒有發(fā)送到G0/0/2上。
根據(jù)access接口收發(fā)數(shù)據(jù)包工作原理可判斷,數(shù)據(jù)包到達(dá)G0/0/2后,進(jìn)行拆包發(fā)現(xiàn)VLAN ID與G0/0/2的VLAN ID不一致,就把數(shù)據(jù)包丟失了。
場(chǎng)景2:跨交換機(jī),4個(gè)用戶,怎么通過接口劃分VLAN實(shí)現(xiàn)隔離和互通呢?
如下圖:缺省情況下,4臺(tái)PC屬于同一網(wǎng)段,相互可以ping通。假設(shè)PC1和PC3屬于同一部門,PC2和PC4屬于同一部門。如何通過配置基于接口的VLAN,實(shí)現(xiàn)同一部門之間可以互訪,不同部門之間不能互訪呢?
同一個(gè)部門兩個(gè)用戶PC1 和 PC3劃分到同一個(gè)VLAN10。交換機(jī)1的 GE0/0/1和交換機(jī)2的GE0/0/1端口分別以access類型加入VLAN10。
復(fù)制
interface GigabitEthernet0/0/1 port link-type access
port default vlan 10- 1.
- 2.
- 3.
另外一個(gè)部門的兩個(gè)用戶PC2 和 PC4劃分到另一個(gè)VLAN 20。
復(fù)制
interface GigabitEthernet0/0/2 port link-type access
port default vlan 20- 1.
- 2.
- 3.
兩臺(tái)相連交換機(jī)的端口GE0/0/23,分別以trunk端口加入VLAN 10 和VLAN 20,實(shí)現(xiàn)跨交換機(jī)的通信。
復(fù)制
interface GigabitEthernet0/0/23 port link-type trunk
port trunk allow-pass vlan 10 20- 1.
- 2.
- 3.
這樣,就可以實(shí)現(xiàn)到同一部門的用戶PC1和PC3可以互通,不同部門的用戶PC2 和 PC4 不能互通了。
配置技巧分享
各位小伙伴是否發(fā)現(xiàn)上面兩個(gè)場(chǎng)景中,VLAN和端口數(shù)都比較少,而在現(xiàn)實(shí)組網(wǎng)中,經(jīng)常需要配置多個(gè)VLAN,多個(gè)端口,有什么辦法可以快速完成配置嗎?下面小編再介紹一下批量配置和快速恢復(fù)端口VLAN缺省配置的方法。
1.批量創(chuàng)建VLAN
復(fù)制
< Huawei > system-view [Huawei]vlan batch 2 to 100- 1.
- 2.
2.批量端口加入VLAN
復(fù)制
[Huawei] port-group group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20 [Huawei-port-group]port link-type access [Huawei-port-group]port default vlan 100- 1.
- 2.
- 3.
3.快速恢復(fù)端口VLAN缺省配置
想要快速恢復(fù)端口VLAN的缺省配置,必須要知道什么是缺省配置?華為交換機(jī),缺省情況下所有端口都是只加入VLAN1的。那么下面和小編一起看看3種鏈路類型下,怎么快速恢復(fù)缺省配置呢?
- access接口: 一步搞定,命令是undo port default vlan
- trunk和hybrid口:三步搞定,先恢復(fù)PVID的配置,再刪除端口下所有vlan,然后再把缺省的VLAN1 加入。具體命令如下:
{{ v.title }}