基于IP子网划分VLAN简介
划分VLAN的方式有:基于接口、基于MAC地址、基于子网、基于协议、基于策略(MAC地址、IP地址、接口)。不同方式的VLAN划分比较如表5-3所示。表5-3 VLAN划分方式差异表
VLAN划分方式 | 原理 | 优点 | 缺点 | 适用场景 |
基于接口 | 根据交换机的接口来划分VLAN。 网络管理员预先给交换机的每个接口配置不同的PVID,当一个数据帧进入交换机时,如果没有带VLAN标签,该数据帧就会被打上接口指定PVID的Tag。然后数据帧将在指定PVID中传输。 | 定义成员简单。 | 成员移动需重新配置VLAN。 | 适用于任何大小但位置比较固定的网络。 |
基于MAC地址 | 根据数据帧的源MAC地址来划分VLAN。 网络管理员预先配置MAC地址和VLAN ID映射关系表,当交换机收到的是Untagged帧时,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 | 当用户的物理位置发生改变,不需要重新配置VLAN,提高了用户的安全性和接入的灵活性。 | 需要预先定义网络中所有成员。 | 适用于位置经常移动但网卡不经常更换的小型网络,如移动PC。 |
基于子网划分 | 根据数据帧中的源IP地址和子网掩码来划分VLAN。 网络管理员预先配置IP地址和VLAN ID映射关系表,当交换机收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
| 网络中的用户分布需要有规律,且多个用户在同一个网段。 | 适用于对安全需求不高、对移动性和简易管理需求较高的场景中。比如,一台PC配置多个IP地址分别访问不同网段的服务器,以及PC切换IP地址后要求VLAN自动切换等场景。 |
基于协议划分 | 根据数据帧所属的协议(族)类型及封装格式来划分VLAN。 网络管理员预先配置以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是Untagged帧,就依据该表给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 | 将网络中提供的服务类型与VLAN相绑定,方便管理和维护。 |
| 适用于需要同时运行多协议的网络。 |
基于策略(MAC地址、IP地址、接口)划分 | 根据配置的策略划分VLAN,能实现多种组合的划分方式,包括接口、MAC地址、IP地址等。 网络管理员预先配置策略,如果收到的是Untagged帧,且匹配配置的策略时,给数据帧添加指定VLAN的Tag。然后数据帧将在指定VLAN中传输。 |
| 针对每一条策略都需要手工配置。 | 适用于需求比较复杂的环境。 |
基于IP子网划分VLAN经常适用于对安全需求不高、对移动性和简易管理需求较高的场景中。比如,一台PC配置多个IP地址分别访问不同网段的服务器,以及PC切换IP地址后要求VLAN自动切换等场景。
配置注意事项
本例适用于交换机的所有版本所有产品。
组网需求
如图5-11所示,某企业拥有多种业务,如IPTV、VoIP、Internet等,每种业务使用的IP地址网段各不相同。为了便于管理,现需要将同一种类型业务划分到同一VLAN中,不同类型的业务划分到不同VLAN中。交换机接收到用户报文有数据、IPTV、语音等多种业务,用户设备的IP地址网段各不相同。现需要将不同类型的业务划分到不同的VLAN中,以便出口路由器Router能通过不同的VLAN分流到不同的业务服务器上以实现业务互通。
图5-11 配置基于IP划分VLAN组网图
配置思路
采用如下的思路配置基于IP子网划分VLAN:
- 创建VLAN并将接口加入VLAN,实现基于IP子网的VLAN可以透传当前接口。
- 使能基于IP子网划分VLAN功能,并关联IP子网和VLAN,实现根据报文中的源IP地址或指定网段确定VLAN。
操作步骤
- 创建VLAN <HUAWEI> system-view
1. [HUAWEI] sysname Switch
[Switch] vlan batch 100 200 300 //创建VLAN 100、VLAN 200和VLAN 300- 配置接口 [Switch] interface gigabitethernet 0/0/1
1. [Switch-GigabitEthernet0/0/1] port link-type hybrid //基于IP子网划分VLAN只能应用在类型为hybrid的接口,默认接口类型不是hybrid,需要手动配置
[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 100 200 300 //对VLAN为100、200、300的报文,剥掉VLAN Tag
[Switch-GigabitEthernet0/0/1] ip-subnet-vlan enable //使能接口的IP-VLAN功能
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type trunk //交换机之间使用trunk类型透传需要的VLAN
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 200 300
[Switch-GigabitEthernet0/0/2] quit- 配置基于IP子网划分VLAN [Switch] vlan 100
1. [Switch-vlan100] ip-subnet-vlan 1 ip 192.168.1.2 24 priority 2 //IP地址为192.168.1.2/24,优先级为2的报文,在VLAN 100域内转发
[Switch-vlan100] quit
[Switch] vlan 200
[Switch-vlan200] ip-subnet-vlan 1 ip 192.168.2.2 24 priority 3 //IP地址为192.168.2.2/24,优先级为3的报文,在VLAN 200域内转发
[Switch-vlan200] quit
[Switch] vlan 300
[Switch-vlan300] ip-subnet-vlan 1 ip 192.168.3.2 24 priority 4 //IP地址为192.168.3.2/24,优先级为4的报文,在VLAN 300域内转发
[Switch-vlan300] quit- 验证配置结果 # 在Switch上执行以下命令,显示信息如下: [Switch] display ip-subnet-vlan vlan all
1. ----------------------------------------------------------------
Vlan Index IpAddress SubnetMask Priority
----------------------------------------------------------------
100 1 192.168.1.2 255.255.255.0 2
200 1 192.168.2.2 255.255.255.0 3
300 1 192.168.3.2 255.255.255.0 4
----------------------------------------------------------------
ip-subnet-vlan count: 3 total count: 3配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 100 200 300
#
vlan 100
ip-subnet-vlan 1 ip 192.168.1.2 255.255.255.0 priority 2
vlan 200
ip-subnet-vlan 1 ip 192.168.2.2 255.255.255.0 priority 3
vlan 300
ip-subnet-vlan 1 ip 192.168.3.2 255.255.255.0 priority 4
#
interface GigabitEthernet0/0/1
port link-type hybrid
port hybrid untagged vlan 100 200 300
ip-subnet-vlan enable
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 200 300
#
return
