基于H3C交换机的VLAN配置

【 摘 要 】 在交换机技术中，VLAN的配置是一个重要环节。论文简要介绍了VLAN技术的原理，VLAN的功能及分类，并以H3C交换机为例，详细说明了端口VLAN和协议VLAN的配置方法。

【 关键词 】 VLAN；广播域；H3C；局域网

【 中图分类号 】 TP393

1 引言

当今社会，随着信息技术的发展，计算机网络的应用日益广泛，已经渗透到社会各个领域，与各行各业的实际应用紧密关联。在网络工程实践中，交换机技术是普遍应用的技术之一，而VLAN技术又是其重要组成部分，如何根据实际应用和网络组建需求，合理划分配置VLAN成为关键。

2 VLAN原理

传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中。会造成网络中可能存在大量广播和未知单播报文，浪费网络资源；网络中的主机收到大量并非以自身为目的地的报文，造成了严重的安全隐患。解决以上网络问题的根本方法就是隔离广播域。传统的方法是使用路由器，因为路由器是依据目的IP地址对报文进行转发，不会转发链路层的广播报文。但是路由器的成本较高，而且端口较少，无法细致地划分网络，所以使用路由器隔离广播域有很大的局限性。

为了解决以太网交换机在局域网中无法限制广播的问题，VLAN（Virtual Local Area Network，虚拟局域网）技术应运而生。VLAN的组成不受物理位置的限制，因此同一VLAN内的主机也无须放置在同一物理空间里。VLAN把一个物理上的LAN划分成多个逻辑上的LAN，每个VLAN是一个广播域。VLAN内的主机间通过传统的以太网通信方式即可进行报文的交互，而处在不同VLAN内的主机之间如果需要通信，则必须通过路由器或三层交换机等网络层设备才能够实现。

为使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN的字段。由于交换机工作在OSI模型的数据链路层（三层交换机除外），只能对报文的数据链路层封装进行识别。因此，识别字段需要添加到数据链路层封装中。交换机利用VLAN ID来识别报文所属的VLAN，当接收到的报文不携带VLAN Tag时，交换机会为该报文封装带有接收端口缺省VLAN ID的VLAN Tag，将报文在接收端口的缺省VLAN中进行传输。

VLAN接口是一种三层模式下的虚拟接口，主要用于实现VLAN间的三层互通，它不作为物理实体存在于交换机上。根据划分方式的不同，VLAN分为不同类型，如：基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN、基于策略的VLAN等，下面以基于端口和基于协议的VLAN为例，对H3C的E126A交换机进行VLAN配置。

2.1 配置基于端口的VLAN

用户可以将设备上的端口划分到不同的VLAN中，此后从某个端口接收的报文将只能在相应的VLAN内进行传输，从而实现广播域的隔离和虚拟工作组的划分。以太网交换机的端口链路类型可以分为三种：Access、Trunk、Hybrid。这三种端口在加入VLAN和对报文进行转发时会进行不同的处理。基于端口的VLAN具有实现简单，易于管理的优点，适用于连接位置比较固定的用户。

组网需求如图1所示，Switch A和Switch B各自连接了一台服务器和一台工作站。为保证服务器的数据安全，需要将两台服务器划分到VLAN101中，并配置描述字符为“DMZ”，工作站划分到VLAN201中。各VLAN内的设备之间可以互相通信，但跨VLAN的工作站与服务器之间不能直接通信。

配置步骤：

配置Switch A

# 创建VLAN101，并配置VLAN101的描述字符串为“DMZ”，将端口Ethernet1/0/1加入到VLAN101。

system-view

[SwitchA] vlan 101

[SwitchA-vlan101] description DMZ

[SwitchA-vlan101] port Ethernet 1/0/1

[SwitchA-vlan101] quit

# 创建VLAN201，将端口Ethernet1/0/2加入到VLAN201。

[SwitchA] vlan 201

[SwitchA-vlan201] port Ethernet 1/0/2

[SwitchA-vlan201] quit

配置Switch B

# 创建VLAN101，并配置VLAN101的描述字符串为“DMZ”，将端口Ethernet1/0/11加入到VLAN101。

system-view

[SwitchB] vlan 101

[SwitchB-vlan101] description DMZ

[SwitchB-vlan101] port Ethernet 1/0/11

[SwitchB-vlan101] quit

# 创建VLAN201，将端口Ethernet1/0/12加入到VLAN201。

[SwitchB] vlan 201

[SwitchB-vlan201] port Ethernet 1/0/12

[SwitchB-vlan201] quit

配置Switch A和Switch B之间的链路

由于Switch A和Switch B之间的链路需要同时传输VLAN101和VLAN201的数据，所以可以配置两端的端口为Trunk端口，且允许这两个VLAN的报文通过。

# 配置Switch A的Ethernet1/0/3端口

[SwitchA] interface Ethernet 1/0/3

[SwitchA-Ethernet1/0/3] port link-type trunk

[SwitchA-Ethernet1/0/3] port trunk permit vlan 101

[SwitchA-Ethernet1/0/3] port trunk permit vlan 201

# 配置Switch B的Ethernet1/0/10端口

[SwitchB] interface Ethernet 1/0/10

[SwitchB-Ethernet1/0/10] port link-type trunk

[SwitchB-Ethernet1/0/10] port trunk permit vlan 101

[SwitchB-Ethernet1/0/10] port trunk permit vlan 201

2.2 配置协议VLAN

基于协议的VLAN也称为协议VLAN，通过配置协议VLAN，交换机可以对端口上收到的未携带VLAN Tag的报文进行分析，根据不同的封装格式及特殊字段的数值将报文与用户设定的协议模板相匹配，为匹配成功的报文添加相应的VLAN Tag，实现将属于指定协议的数据自动分发到特定的VLAN中传输的功能。此特性主要用于将网络中提供的服务类型与VLAN相绑定，方便管理和维护。

组网需求如图2所示。工作室Workroom通过交换机的Ethernet1/0/10端口连接到局域网内。工作室中使用IP网络和AppleTalk网络的工作站共存。交换机通过Ethernet1/0/11和Ethernet1/0/12端口分别连接到使用IP网络的VLAN100和使用AppleTalk网络的VLAN200。配置交换机将工作室中使用IP网络和AppleTalk网络的报文自动划分到指定的VLAN内进行传输，以保证工作站与服务器的正常连接。

配置步骤：

# 创建VLAN100和VLAN200，并将端口Ethernet1/0/11和Ethernet1/0/12加入到指定VLAN中。 system-view

[H3C] vlan 100

[H3C-vlan100] port Ethernet 1/0/11

[H3C-vlan100] quit

[H3C] vlan 200

[H3C-vlan200] port Ethernet 1/0/12

# 创建VLAN200和VLAN100的协议模板，分别匹配AppleTalk和IP协议。

[H3C-vlan200] protocol-vlan at

[H3C-vlan200] quit

[H3C] vlan 100

[H3C-vlan100] protocol-vlan ip

# 为保证IP网络正常通信，还需要创建VLAN100的自定义协议模板来匹配ARP协议，这里假设使用Ethernet II型封装。

[H3C-vlan100] protocol-vlan mode ethernetii etype 0806

# 显示查看当前已经创建的协议VLAN及其模板。

[H3C-vlan100] display protocol-vlan vlan all

# 配置端口Ethernet1/0/10为Hybrid端口，并在转发VLAN100和VLAN200的报文时去掉VLAN Tag。

[H3C-vlan100] quit

[H3C] interface Ethernet 1/0/10

[H3C-Ethernet1/0/10] port link-type hybrid

[H3C-Ethernet1/0/10] port hybrid vlan 100 200 untagged

# 配置端口Ethernet1/0/10分别与VLAN100的协议模板0和1，VLAN200的协议模板0进行绑定。

[H3C-Ethernet1/0/10] port hybrid protocol-vlan vlan 100 0 to 1

[H3C-Ethernet1/0/10] port hybrid protocol-vlan vlan 200 0

# 显示端口Ethernet1/0/10与各协议VLAN的协议模板的绑定情况，以确认配置结果。

[H3C-Ethernet1/0/10] display protocol-vlan interface Ethernet 1/0/10

如上述配置操作正确，将可以看到显示信息，端口Ethernet1/0/10已经与VLAN100和VLAN200的相应协议模板进行了绑定，此后IP工作站和AppleTalk工作站发送的报文，通过匹配协议模板，即可自动划分到指定的VLAN中进行传输，实现工作站与服务器的正常通信。

3 结束语

在对交换机进行VLAN配置前，首先应结合实际的组网需求充分考虑多种因素，例如需要控制的广播域范围、LAN的安全性、虚拟工作组的数量等，然后根据交换机的性能参数选择一种合理的方法完成配置。

参考文献

[1] 郭振勇，沈昌海.H3C交换机VLAN配置实现[J].黑龙江科技信息，2013，（16）.

[2] 马泽权，王员根，刘任.基于Cisco交换机的VLAN配置与设计[J].现代计算机（专业版），2008，（10）.

[3] 郝钢.基于端口的VLAN配置及VLAN的中继[J].承德民族师专学报，2006，（2）.

作者简介：

张昊（1979-），男，河南商丘人，硕士，讲师；主要研究方向和关注领域：计算机网络技术及应用、电子商务。