vswitch 配置vlan switchport vlan

篇一 : trunk配置和vlan配置

trunk配置

Switch>enable ? ? ?//进入特权模式
Switch#conf t ? ? ?//进入配置模式
Switch(config)#int f0/3 ? //进入接口模式
Switch(config-if)#switchport mode trunk ? //将接口模式改为trunk
Switch(config-if)#switchport trunk allowed vlan remove 2 ?//trunk链路移除vlan2
Switch(config-if)#switchport trunk allowed vlan add 2 ? ?//trunk链路添加vlan2
Switch(config-if-range)#end ? //直接退到特权模式
Switch#show vlan ? //查看vlan信息
Switch#show int trunk ? //查看交换机上的trunk接口信息
Switch(config-if)#switchport trunk encapsulation dot1q ? ? //修改trunk接口封装
Switch#sh interfaces trunk ? ?//查看trunk接口封装
Switch#show interfaces f0/1 switchport ? ? //查看交换机接口的二层信息
vlan配置
switch>enable
switch#conf t
switch(confit)#vlan 2 ? ? //config模式新建一个vlan2
switch(confit-vlan)#name tuoyu2 ? //给vlan2起一个名字
switch(confit-vlan)#exit
switch(confit)#vlan 3 ? ? //config模式新建vlan3
switch(confit-vlan)#name tuoyu3 ? ?//给vlan3起一个名字
switch(confit-vlan)#end
switch#vlan database ? ? ?//vlan数据库模式新建vlan
Switch(vlan)#vlan 10 name tuoyu
VLAN 10 added:
Name: tuoyu
Switch(vlan)#exit
APPLY completed.
Exiting….
switch(config)#int f0/1
switch(config-if)#switchport access vlan 2 ? ? //将接口F0/1接入到vlan2
switch(config-if)#exit
switch(config)#int f0/2
switch(config-if)#switchport access vlan 3 ? ? //将接口F0/2接入到vlan3
switch(config-if)#exit
switch(config)#int range f0/17 -24
switch(config-range-if)#switchport access vlan 10 ? //将一组接口加到一个vlan里
switch#show vlan ? ?//查看vlan的详细信息
switch#show vlan brief ? ?//查看vlan的摘要信息

篇二 : VLAN配置

交换机VLAN配置 交换机VLAN配置

【实验目的】 了解VLAN的作用，掌握在一台交换机 上划分VLAN以及VLAN端口的配置方法， VLAN VLAN 熟悉跨交换机的VLAN的配置，掌握VLAN 间通信的配置方法。

【引入案例】

某企业组织结构划分为档案室、财务部、研发 部、市场部等多个部门，单位内部网络组建情况如 下：各部门计算机分别通过两台二层交换机连接到 一台三层交换机。各部门的对网络的安全和管理都 有不同的要求，比如档案室和财务部出于安全需要， 均不允许与其他部门互访；市场部是企业中最大的 部门，其拥有的计算机数量最多，两台二层交换机 上都连接有该部门的计算机；而研发部和市场部之 间的业务来往比较频繁，经常在网络中传输大量的 文件资料。根据这些情况，要如何有效地实现企业 的网络管理？

【案例分析】

出于对不同部门的管理、安全要求和企业整体 网络的稳定运行的考虑，需要对企业内部网络进行 VLAN的划分。通过划分VLAN可以将各部门之间进 行隔离，保证了重要部门的数据安全；若属于同一 个VLAN但不在一个交换机上的用户，可以在交换机 上做适当的配置来实现跨交换机实现VLAN的需要； 对属于不同VLAN需要互相通信的部门，需要路由来 实现，而三层交换机已经可以满足这个要求。

【基本原理】 一、VLAN的基本概念 虚拟局域网（Virtual Local Area Network，VLAN）， 是指突破了设备或用户的物理位置的限制，将局域网设备从逻 辑上划分成新的分组区段，每一个区段都可看作一个新的局域 网，它们各自形成一个小的广播域。这就避免了发生广播风暴 时会对全网产生影响，从而造成传输速率和传输质量的下降情 况，因此，VLAN技术在交换机中被广泛使用。 一般来说，当存在以下两种情况时，局域网可以通过划分 VLAN来实现虚拟工作组。第一，局域网规模太大以至广播域太 大，使用VLAN可以把一个大的广播域划分成若干个小的广播域， 把广播报文限制在一个VLAN内，以减小广播报文对整个网络带 宽的占用。第二，局域网中存在各种不同安全要求的群体，使 用VLAN可以将其相互隔离。

如图所示，VLAN把一个物理上的LAN划分成多 个 逻 辑 的 上 的 LAN ， 每 个 VLAN 是 一 个 广 播 域 。 VLAN内主机间的通信方式与在一个LAN内一样， 而不同VLAN内的主机之间不能直接通信。

二、VLAN的划分 常用的VLAN划分方法主要有以下四种： 1、基于端口的划分 此划分方法利用网络设备的端口来决定虚拟工作组的成员， 网络管理员针对于网络设备的交换端口进行重新分配，然后将 其组合在不同的逻辑网段中。基于端口的VLAN的划分是最简 单、最常

用也是最有效的VLAN划分方法，特别适用于连接位 置比较固定的用户。 以太网交换机的端口链路类型可以分为Access、Trunk、 Hybrid三种，不同的端链路口在加入VLAN和对报文进行转发 时会进行不同的处理。

Access类型：端口只能属于1个VLAN，一般用 于交换机与终端用户之间的连接；Trunk类型：端 口可以属于多个VLAN，可以接收和发送多个VLAN 的报文，一般用于交换机之间的连接；Hybrid类型： 端口可以属于多个VLAN，可以接收和发送多个 VLAN的报文，可以用于交换机之间连接，也可以 用于连接终端用户的计算机。 2、基于MAC地址的划分 这种划分方法的优点就是只要主机的网卡不更 换，即使用户的物理位置发生改变也不需要重新配 置其所属的VLAN。

3、基于协议的划分 通过配置基于协议的VLAN，交换机可以对端口上收到 的报文进行分析，根据不同的封装格式及特殊字段的数值将 报文与用户设定的协议模板相匹配，为匹配成功的报文添加 相应的VLAN 标识，实现动态将属于指定协议的数据划分到 特定的VLAN中传输。 4、基于IP组播的划分 基于IP组播划分VLAN认为一个IP组播组就是一个VLAN。 这种划分的方法将VLAN扩大到了广域网。这种方法更灵活， 很容易通过路由器进行扩展，主要是用来跨广域网划分 VLAN，但这种方法在局域网中使用的话效率太低。

三、跨交换机VLAN 对于小型企业来说，在一台交换机上实现多个 VLAN，就已经可以满足用户在安全与性能上的需求。 对于中型以上的企业来说，一台交换机不能够满足 用户日常工作的需要，就必须要在多台交换机上组 建VLAN。这就涉及到同一个VLAN如何在不同的交 换机间进行数据的交换的问题。 跨交换机的VLAN之间数据要进行转发，就必须 得在交换机间建立起主干链路，交换机在链路上识 别出帧的VLAN成员关系。交换机链路主要作用就是 判断数据帧是属于哪个VLAN，并将其正确的转发到 对应的VLAN或者相应的交换机的端口中。

四、VLAN间通信 不同VLAN之间的通信必须依赖路由功能，传 统的路由器可以满足此要求，但由于传统路由低速， 复杂等局限性，很容易成为网络的瓶颈使以太网的优 势难以发挥。再者，利用路由器实现VLAN间的数据 交换，其通信会受到路由器和交换机之间的链路带宽 限制，这种分离的网络设备使得网络建设成本大大增 加。三层交换是在网络交换机中引入路由模块而取代 传统路由器实现交换与路由相结合的网络技术。它根 据实际应用时的情况，灵活地在网络第二层或者第三 层进行网络分段。三层交换机在二层交换的基础上实 现了三层的路由功能，是三层路由和二层交换的有机 结合，

并不是简单地把路由器设备的硬件及软件叠加 在局域网交换机上。

【命令介绍】

1、name text undo name 【用途】 name命令用来指定当前VLAN的名称。当VLAN数量很多的 时候，使用名称可以更明确的定位VLAN。undo name命令用 来恢复当前VLAN名称的缺省值。

缺省情况下，VLAN的名称为 该VLAN的VLAN ID，如“VLAN 0001”。 【视图】VLAN视图 【参数】 text：VLAN名称， 1～32个字符（可以包含特殊字符及空 格）。 【例】在系统视图下，指定VLAN 2的名称为“test vlan”。 [H3C] vlan 2 [H3C-vlan2] name test vlan
2、description text undo description 【用途】 description命令用来设置当前VLAN或VLAN接口的描 述字符串，当通过交换机接入的设备和网络情况比较复杂时， 用户可以为每个VLAN或VLAN接口设置明确的描述字符串， 用以快速定位通过该VLAN或VLAN接口连接的设备和区域。 undo description命令用来恢复当前VLAN或VLAN接口的 描述字符串为缺省值。缺省情况下，VLAN的描述字符串为 该VLAN的VLAN ID，例如“VLAN 0001”；VLAN接口的 描述字符串为该VLAN接口的接口名，例如“Vlaninterface1 Interface”。 【视图】VLAN视图/VLAN接口视图
【参数】 text：描述VLAN或VLAN接口的字符串，可以包含特殊字 符及空格，区分大小写。VLAN的描述字符串：长度范围为1～ 32个字符；VLAN接口的描述字符串：长度范围为1～80个字符。 【例1】在系统视图下，指定VLAN2的描述字符串为“to switchB”。 [H3C] vlan 2 [H3C-vlan2] description to switchB 【例2】在系统视图下，指定Vlan-interface1接口的描述 字符串“gateway of CWB” [H3C] interface Vlan-interface 1 [H3C-Vlan-interface1] description gateway of CWB
3、port link-type { access | hybrid | trunk } undo port link-type 【用途】 port link-type命令用来设置以太网端口的链路类型。 undo port link-type命令用来恢复端口的链路类型为缺省状 态，即为Access端口。缺省情况下，所有端口均为Access端 口。 【视图】以太网端口视图 【参数】 access：将当前端口设置为Access端口。 hybrid：将当前端口设置为Hybrid端口。 trunk：将当前端口设置为Trunk端口。 【例】在系统视图下，将以太网端口Ethernet1/0/1设置为 Trunk端口。 [H3C] interface ethernet 1/0/1 [H3C -Ethernet1/0/1] port link-type trunk
4、port interface-list undo port interface-list 【用途】 port命令用来向当前VLAN中添加一个或一组Access端口。 undo port命令用来从当前VLAN中删除一个或一组Access端口。 【视图】VLAN视图 【参数】 interface-list：需要添加到当前VLAN中或从当前VLAN中删 除的以太网端口列表，表示方式为interface-list＝{ interfacetype interface-number [ to interface-type interfacenumber ] } &<1-10>。其中interface-type为端口类型， interface-number
为端口号。关键字to之后的端口号要大于或 等于to之前的端口号。命令中&<1-10>表示前面的参数最多可 以输入10次。
【例】在系统视图下，向VLAN 2中加入从 Ethernet1/0/2到Ethernet1/0/4的以太网端口。 [H3C] vlan 2 [H3C-vlan2] port Ethernet 1/0/2 to Ethernet 1/0/4 5、port access vlan vlan-id undo port access vlan 【用途】 port access vlan命令用来把Access端口加入到指定的 VLAN中。undo port access vlan命令用来把Access端口 从指定的VLAN中删除，删除后该端口将加入VLAN1。
【视图】以太网端口视图 【参数】 vlan-id：当前端口需要加入的VLAN编号，取值范围为 1～4094，且目的VLAN必须已经创建。 【例】在系统视图下，将Ethernet1/0/1端口加入到 VLAN2中。 [H3C] interface ethernet 1/0/1 [H3C -Ethernet1/0/1] port access vlan 2 6、port 6 port trunk permit vlan { vlan-id-list | all } undo port trunk permit vlan { vlan-id-list | all } 【用途】 port trunk permit vlan命令用来将Trunk端口加入到 指定的VLAN，即允许这些VLAN的报文通过。undo port trunk permit vlan命令用来将Trunk端口从指定的VLAN中 删除。
Trunk端口可以属于多个VLAN。如果多次使用port trunk permit vlan命令，那么Trunk端口上允许通过的 VLAN是这些vlan-id-list的集合。缺省情况下，所有Trunk 端口仅属于VLAN1。 【视图】以太网端口视图 【参数】 vlan-id-list：vlan-id-list = [ vlan-id1 [ to vlanid2 ] ]&<1-10>，为此Trunk端口加入的VLAN的范围，可 以是离散的，vlan-id取值范围为1～4094。&<1-10>表示 前面的参数最多可以重复输10次。 all：将Trunk端口加入到所有VLAN中 【例】在系统视图下，将Trunk端口Ethernet1/0/1加 入到VLAN2。 [H3C] interface ethernet 1/0/1 [H3C -Ethernet1/0/1] port trunk permit vlan 2
7、port hybrid vlan vlan-id-list { tagged | untagged } undo port hybrid vlan vlan-id-list 【用途】 port hybrid vlan命令用来将Hybrid端口加入到指定的 VLAN，并配置该端口在发送这些VLAN的报文时是否保留 VLAN Tag。Hybrid端口可以属于多个VLAN。如果多次使 用该命令，那么Hybrid端口上允许通过的VLAN是这些vlanid-list的合集。undo port hybrid vlan命令用来将Hybrid 端口从指定的VLAN中删除。 缺省情况下，Hybrid端口属于VLAN1。此命令使用的前 提条件是vlan-id所指定的VLAN必须存在。 【视图】以太网端口视图
【参数】 vlan-id-list：当前Hybrid端口要加入的VLAN的范围，表 示方式为vlan-id-list = [ vlan-id1 [ to vlan-id2 ] ] &<110>，vlan-id1和vlan-id2的取值范围为1～4094，但vlanid2不能小于vlan-id1。&<1-10>表示前面的参数最多可以输 入10次。 tagged：该端口在转发指定的VLAN报文时将保留VLAN Tag。 untagged：该端口在转发指定的VLAN报文时将不保留 VLAN Tag。 【例】在系统视图下，将Hybrid端口Ethernet1/0/1加入 到VLAN2，并且设置
该端口在发送这些VLAN的报文时将保留 VLAN Tag。。 [H3C] interface ethernet 1/0/1 [H3C -Ethernet1/0/1] port hybrid vlan 2 tagged
8、display interface Vlan-interface [ vlan-id ] 【用途】 display interface Vlan-interface命令用来显示VLAN 接口的一些相关信息。用户可以通过该命令的输出信息了解 当前VLAN接口的状态、IP地址配置以及描述字符等信息， 用于网络故障的诊断和定位。 【视图】任意视图 【参数】 vlan-id：指定VLAN接口的编号。如果在执行命令时使 用了vlan-id参数，则显示指定VLAN接口的相关信息；如果 不使用vlan-id参数，则显示所有已创建的VLAN接口的相关 信息。
9、display vlan [ vlan-id1 [ to vlan-id2 ] | all | dynamic | static ] 【用途】 display vlan命令用来显示VLAN的相关信息，可显示的 信息包括VLAN编号、类型、接口状态以及该VLAN内包含的 端口等内容。如果执行display vlan命令时不使用任何参数， 则显示系统已存在的VLAN的数量和VLAN编号。 【视图】任意视图 【参数】 vlan-id1：显示指定VLAN的信息，取值范围为1～4094。 to vlan-id2：用来与vlan-id1配合，指定一个范围，以 显示该范围内所有已存在的VLAN的信息。to之后的VLAN编 号不能小于to之前的。
all：显示所有VLAN的信息。 dynamic：显示设备上动态VLAN（指通过GVRP协议 注册或通过Radius服务器下发的VLAN）的数量和VLAN编 号。 static：显示设备上静态VLAN（指通过手工配置创建 的VLAN）的数量和VLAN编号。 【解决方案】 一、案例描述 为便于企业网络管理和部门安全需要，可以将该单位 的每一个部门均划分为一个VLAN。具体的划分情况如下： 市场部划分为VLAN2，研发部划分为VLAN3，财务划分为 VLAN4，档案部划分为VLAN5。根据此划分，需求分析如 下：
1、财务部所属VLAN4和档案部所属VLAN5与任意VLAN 之间都不能互访。 2、市场部所属VLAN2分布在两台二层交换机上，VLAN2 内部需正常通信。 3、市场部所属VLAN2和研发部所属VLAN3之间要能互访。
部门 市场部1 市场部2 研发部 财务部 档案部 所属VLAN VLAN2 VLAN2 VLAN3 VLAN4 VLAN5 IP 10.1.2.10/24 10.1.2.100/24 10.1.3.10/24 10.1.3.20/24 10.1.3.30/24 10.1.2.1/24 10.1.3.1/24 连接端口 SwitcA的Ethernet1/0/2 SwitcB的Ethernet1/0/3 SwitcA的Ethernet1/0/3 SwitcA的Ethernet1/0/4 SwitcB的Ethernet1/0/2
VLAN2接口 VLAN3接口
二、拓扑结构
【实验设备】
PC机5台、H3C系列交换机S3100-16C-SI、S310016TP-EI、S3600-28P-EI
【实施过程】
一、根据拓扑图连接好设备，按需求配置好PC机的IP地 址，测试目前网络中的连通性。
源主机 研发部 财务部 市场部1 市场部1 市场部2 测试命令 Ping Ping Ping Ping Ping 目的主机 财务部 档案部 市场部2 研发部 研发部 结果 □连通 □不通 □连通 □不通 □连通 □
不通 □连通 □不通 □连通 □不通
二、在二层交换机上划分VLAN，实现部门隔离。SwitchA 1、二层交换机SwitchA的配置 ①进入系统视图。 <SwitchA>system-view ②创建VLAN2、VLAN3、VLAN4。 [SwitchA]vlan 2 to 4 Please wait............. Done. ③进入VLAN2视图，把连接市场部的交换机端口 Ethernet1/0/2口加入VLAN2；进入VLAN3视图，把连接研 发部的交换机端口Ethernet1/0/3加入VLAN3；进入VLAN4 视图，把连接财务部的交换机端口Ethernet1/0/4加入VLAN4。 [SwitchA]vlan 2 [SwitchA -vlan2]port Ethernet1/0/2 [SwitchA]vlan3 [SwitchA -vlan3]port Ethernet1/0/3
[SwitchA]vlan 4 [SwitchA -vlan4]port Ethernet1/0/4 [SwitchA -vlan4]return <SwitchA>quit 2、二层交换机SwitchB的配置 ①进入系统视图。 <SwitchB>system-view ②创建VLAN2，并进入VLAN2视图，把连接市场部的交换机端 口Ethernet1/0/3口加入VLAN2；创建VLAN5，并进入VLAN5视 图，把连接档案的交换机端口Ethernet1/0/3加入VLAN5； [SwitchB]vlan 2 [SwitchB -vlan2]port Ethernet1/0/3 [SwitchB]vlan5 [SwitchB -vlan5]port Ethernet1/0/2 [SwitchB -vlan5] return <SwitchB>quit
3、测试划分VLAN后网络的连通性。
源主机 研发部 财务部 市场部1 市场部1 市场部2
测试命令 Ping Ping Ping Ping Ping
目的主机 财务部 档案部 市场部2 研发部 研发部
结果 □连通 □不通 □连通 □不通 □连通 □不通 □连通 □不通 □连通 □不通
三、实现市场部所属VLAN2的跨交换机通信。 由拓扑图可得，交换机SwitchA 、SwitchB上的 VLAN2 要通信，实际上要跨越交换机SwitchA 、SwitchB和 SwitchC，因此实现跨交换机通信的链路，需要在三个交换机 上建立起通信的链路。 1、二层交换机SwitchA的配置 ①进入系统视图。 <SwitchA>system-view ②将SwitchA与SwitchC连接的Ethernet1/0/1端口设 置为Trunk链路类型，并允许VLAN2通过。 [SwitchA]interface ethernet1/0/1 [SwitchA -Ethernet1/0/1]port link-type trunk [SwitchA -Ethernet1/0/1]port trunk permit vlan 2 [SwitchA -Ethernet1/0/1]return <SwitchA>quit
2、二层交换机SwitchB的配置 ①进入系统视图。 <SwitchB>system-view ②将SwitchB与SwitchC连接的Ethernet1/0/1端口设置为 Trunk链路类型，并允许VLAN2通过。 [SwitchB]interface ethernet1/0/1 [SwitchB -Ethernet1/0/1]port link-type trunk [SwitchB -Ethernet1/0/1]port trunk permit vlan 2 [SwitchB -Ethernet1/0/1]return <SwitchB>quit 3、三层交换机SwitchC的配置 ①进入系统视图。 <SwitchC>system-view
②创建VLAN2 [SwitchC]vlan 2 [SwitchC-vlan 2]quit ③分别将SwitchC与交换机SwitchA、SwitchB连接的 Ethernet1/0/1、Ethernet1/0/2端口设置为Trunk链路类型 ，并允许VLAN2通过。 [SwitchC]interface ethernet1/0/1 [SwitchC -Ethernet1/0/1]port link-type trunk [SwitchC -Ethernet1/0/1]port trunk permit vlan 2 [SwitchC -Ethernet1/0/1]quit [SwitchC] interface ethernet1/0/2 [SwitchC -Ethernet1/0/2]port lin
k-type trunk [SwitchC -Ethernet1/0/2]port trunk permit vlan 2 [SwitchC -Ethernet1/0/2]return <SwitchC>quit
4、测试两个交换机上市场部的连通性。
源主机 市场部1 测试命令 Ping 目的主机 市场部2 结果 □连通 □不通
四、利用三层交换机实现VLAN2和VLAN3通信，需要在三 层交换机SwitchC实现VLAN间路由，并配置好市场部和研发部 之间的链路。 1、二层交换机SwitchA的配置 ①进入系统视图。 <SwitchA>system-view ②之前已将交换机SwitchA与SwitchC连接的 Ethernet1/0/1端口设置为Trunk链路类型，并允许VLAN2通 过，但要实现VLAN2和VLAN3之间的链路，交换机SwitchA的 Ethernet1/0/1端口也要运行VLAN3通过。
[SwitchA]interface ethernet1/0/1 [SwitchA -Ethernet1/0/1]port trunk permit vlan 3 [SwitchA -Ethernet1/0/1]return <SwitchA>quit 2、二层交换机SwitchB的配置 ①进入系统视图。 <SwitchB>system-view ②与交换机SwitchA类似，要保证VLAN2和VLAN3之间的 链路互通，交换机SwitchB的Ethernet1/0/1端口也要运 行VLAN3通过。 [SwitchB]interface ethernet1/0/1 [SwitchB -Ethernet1/0/1]port trunk permit vlan 3 [SwitchB -Ethernet1/0/1]return <SwitchB>quit
3、三层交换机SwitchC的配置 ①在交换机SwitchC上创建VLAN3。 <SwitchC>system-view [SwitchC]vlan 3 [SwitchC-vlan 3]quit ②分别配置VLAN2接口IP地址为10.1.2.1，掩码 255.255.255.0；VLAN3接口IP地址为10.1.3.1，掩码 255.255.255.0。 [SwitchC]interface vlan-interface 2 [SwitchC -Vlan-interface2]ip address 10.1.2.1 24 [SwitchC -Vlan-interface2]quit [SwitchC]interface vlan-interface 3 [SwitchC -Vlan-interface3]ip address 10.1.3.1 24 [SwitchC -Vlan-interface3]quit
③分别将交换机SwitchC中与交换机SwitchA、SwitchB相连的 端口配成trunk类型，允许VLAN2和VLAN3通过。 [SwitchC]interface ethernet1/0/1 [SwitchC -Ethernet1/0/1]port link-type trunk [SwitchC -Ethernet1/0/1]port trunk permit vlan 2 3 [SwitchC -Ethernet1/0/1]quit [SwitchC]interface ethernet1/0/2 [SwitchC -Ethernet1/0/2]port link-type trunk [SwitchC -Ethernet1/0/2]port trunk permit vlan 2 3 [SwitchC -Ethernet1/0/2]return <SwitchC>quit

4、测试市场部和研发部在网络中的连通性。

源主机 市场部1 市场部2

测试命令 Ping Ping

目的主机 研发部 研发部

结果 □连通 □不通 □连通 □不通

【工程项目】

某广告公司属下有3个部门：设计部、商务部 和财务部。这3个部门的所有计算机均接入一台二层 交换机SwitchA，SwitchA通过一台三层交换机 SwitchB接入互联网。其中，财务部要求与其它部 门隔离，而设计部和商务部需要信息互通。请使用 VLAN技术实现此需求。

篇三 : VLAN基本配置

VLAN简介：

VLAN(VirtualLAN)可以隔离广播域。VLAN工作在OSI的第2层，VLAN是交换机端口的逻辑组合，可以把在同一交换上的端口组合成一个VLAN，也可以把在不同交换机上的端口组合成一个VLAN，一个VLAN就是一个广播域，VLAN间的通信如果不通过第三层的路由功能是无法通信的。

说明：VLAN间的通信在特殊情况下不借助第三层的路由功能也可以实现。例如：

1：sw1的F0/1和F0/2都是Access模式，都处于Vlan2；sw2的F0/1和F0/2都是Access模式，都处于Vlan3；PC1和

PC2也都均处于同一网段，那么这时PC1就可以ping通PC2。

原因：当接口都为Access时，两台交换机都不涉及打、拆标签工作；只有在Trunk的时候交换机才打、拆标签。

2：sw1的F0/1口接入Vlan2，sw2的F0/1口接入Vlan3；sw1和sw2间配置Trunk模式，指定sw1的NativeVLAN为

Vlan2，sw2的Native VLAN为Vlan3；关闭sw1Vlan2和sw2上Vlan3的spanning-tree。PC1和PC2也都均处于同

一网段，那么这时PC1就可以ping通PC2。

原因：Trunk链路发送NativeVLAN的数据时不打标签，Trunk链路收到NativeVLAN数据时交付到本地的Native

VLAN；另外启用spanning-tree时会阻塞某个端口，需要关闭掉阻塞方的spanning-tree。

二层交换网络的缺点：

极易引起广播碰撞/广播风暴/通信效率低/管理效率低/安全性不高

VLAN的特点：

VLAN能够最大限度地控制广播的影响以及减少由于共享介质所造成的安全隐患

VLAN允许一组不限物理位置的用户群共享一个独立的广播域

一个VLAN中的所有设备都是同一广播域的成员

一个VLAN是一个逻辑的子网，共享一个网络地址，且VLAN间的通信必须经过路由器，就像真正的两个网段一样

VLAN可以基于端口或MAC地址来划分

交换机允许在同一台交换机上可存在多个VLAN，也允许这些VLAN跨越其它交换机

划分VLAN的目的：

1.提高安全性：缩小ARP攻击范围，ARP报文是一个2.5层的报文，划分VLAN后只能在同一个VLAN中传播

2.提高性能：隔离广播域，缩小广播域的大小缩小了广播报文能达到的范围

VLAN的创建

VLAN的基本配置：

命令：

sw1(config-if)#switchport modeaccess//把端口模式设置为Access，默认时即为Access模式

sw1(config-if)#switchport access vlan10//把该端口F0/1划分到Vlan10中

基于端口的VLAN(静态VLAN)：

优点是划分简单；缺点是当用户一个端口移动到另一个端口时，网络管理员必对VLAN进行配置。

Switch(config)#hostname sw1
sw1(config)#vlan 10
sw1(config-vlan)#name one
sw1(config)#vl 20
sw1(config-vlan)#name two
sw1(config)#vl 30
sw1(config-vlan)#name three
sw1(config)#int f0/1
sw1(config-if)#switchport modeaccess
sw1(config-if)#switchport access vlan10
sw1(config)#int f0/2
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 20
sw1(config)#int f0/3
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 30
sw1#show int f0/1switchport//查看查看F0/1端口作为交换端口的信息
sw1#showvlan//查看VLAN信息(active或act：激活，unsup：非挂起)
sw1#show vlanbrief//显示VLAN的简要信息
sw1#show vlan id10//显示指定idvlan10配置
sw1#show vlan nameone//显示指定name vlan one配置
sw1#show vlansummary//查看VLAN汇总信息(全部VLAN数量，普通VLAN数量，扩展VLAN数量)

说明：在实际应用中，不同VLAN分配不同IP地址子网。

基于MAC地址的VLAN(动态VLAN)：

1.pc机连接到交换机的某个端口，该端口被激活，交换机缓存该pc的MAC地址与端口的对应表；

2.交换机向VMPS(VLAN管理策略服务器，对于Cisco设备，要使用CiscoWork2000作为VLAN管理策略服务器)请求

下载VLAN和MAC地址映射对应表的文件；

3.对pc的MAC地址进行查询比较，把该端口分配到对应的VLAN中间；如果没有该MAC地址的映射，该端口不激活。