VLAN劃分及配置注意事項

VLAN（Virtual Local Area Network）即虛擬局域網，是將一個物理的LAN在邏輯上劃分成多個廣播域的通信技術。VLAN內的主機間可以直接通信，而VLAN間不能直接通信，從而將廣播報文限制在一個VLAN內。VLAN之間的通信是通過第3層的路由器來完成的。與傳統的局域網技術相比較，VLAN技術更加靈活，它具有以下優點：網絡設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網絡的安全性。

一、基于接口的VLAN劃分

1、按端口劃分VLAN

許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網AAA，同一交換機的6，7，8端口組成虛擬網BBB。這樣做允許各端口之間的通訊，并允許共享型網絡的升級。但是，這種劃分模式將虛擬網限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員，其配置過程簡單明了。因此，從目前來看，這種根據端口來劃分VLAN的方式仍然是最常用的一種方式。

2、按MAC地址劃分VLAN

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣，VLAN就必須不停地配置。

3、按網絡層劃分

這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的，雖然這種劃分方法是根據網絡地址，比如IP地址，但它不是路由，與網絡層的路由毫無關系。這種方法的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網絡的通信量。這種方法的缺點是效率低，因為檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。

4、按IP組播劃分

IP組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網，主要是效率不高。

5、基于規則的VLAN

也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關的用戶連成一體，在邏輯劃分上稱為“關系網絡”。網絡管理員只需在網管軟件中確定劃分VLAN的規則（或屬性），那么當一個站點加入網絡中時，將會被“感知”，并被自動地包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。采用這種方法，整個網絡可以非常方便地通過路由器擴展網絡規模。有的產品還支持一個端口上的主機分別屬于不同的VLAN，這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時，交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址，然后軟件自動將這個端口分配給一個由IP子網映射成的VLAN。

6、按用戶定義、非用戶授權劃分

基于用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網絡，根據具體的網絡用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。[4]

以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在物理層上；MAC方式建立在數據鏈路層上；網絡層和IP廣播方式建立在第三層上。

圖5-17?基于接口的VLAN劃分組網圖

某數據中心的交換機Switch，根據不同用戶對接口的需求，將每個用戶所擁有的接口劃分到不同的VLAN，實現數據中心中不同用戶業務的完全隔離。可以認為每個用戶擁有獨立的"虛擬交換機"，每個VLAN就是一個"虛擬工作組"。

基于MAC的VLAN劃分

圖5-18?基于MAC的VLAN劃分組網圖

如所示，某數據中心中，UserA初始與SwitchA相連。由于用戶地點調整，需要將UserA調整接入交換機的另一個接口。為了保證UserA在改變地點后，仍然能夠與UserC繼續通信。可在交換機SwitchA上配置基于MAC地址劃分VLAN。只要UserA的MAC地址不變，UserA改變接入接口時，并不影響VLAN的劃分，不需要更改配置。

二、 VLAN間通信

VLAN間互通有兩種方式，以下分別介紹。

多個VLAN屬于同一個設備

圖5-19?多個VLAN屬于同一個設備互通組網圖

如所示，如果VLAN2、VLAN3和VLAN4僅屬于SwitchA，即VLAN2、VLAN3和VLAN4不是跨交換機的VLAN，可在SwitchA上為每個VLAN配置一個虛擬路由接口，實現VLAN2、VLAN3和VLAN4間的路由。

多個VLAN跨越設備

圖5-20?多個VLAN跨越設備互通組網圖

如所示，VLAN2、VLAN3和VLAN4是跨交換機的VLAN，可在SwitchA和SwitchB上為每個VLAN配置一個虛擬路由接口。除此以外，還需要在SwitchA和SwitchB之間配置靜態路由或運行路由協議。

三、 VLAN Aggregation

圖5-21?VLAN Aggregation應用組網圖

如所示，共有4個VLAN，如果VLAN間需要互通，在Switch上要為每個VLAN配置一個IP地址。

將VLAN21和VLAN22聚合到Super VLAN 2中；將VLAN31和VLAN32聚合到Super VLAN 3中。這樣只需在Switch上為Super VLAN分配IP地址，節約了IP地址資源。

在Switch上配置VLAN間的Proxy ARP，使同一Super VLAN下的不同Sub VLAN間的用戶可以互通。

四、配置任務概覽

介紹VLAN的配置任務。

VLAN的配置任務如表5-7所示。

表5-7?VLAN配置任務概覽

五、配置注意事項

介紹VLAN的配置注意事項。

涉及網元

無需其他網元配合。

License支持

VLAN特性是交換機的基本特性，無需獲得License許可即可應用此功能。

版本支持

表5-8?支持本特性的最低軟件版本

特性依賴和限制

· 建議獨立規劃業務VLAN和管理VLAN，以便業務VLAN上發生的任何廣播風暴不會影響到交換機的管理。

· 實際運用中，Trunk接口需要透傳哪些VLAN就透傳哪些VLAN，不建議使用port trunk allow-pass vlan all命令透傳所有VLAN。

· VLAN 1是系統自帶的VLAN，不需要創建，也不可以刪除，不能配置為管理VLAN或Super-VLAN。在骨干網設備上，建議取消接口加入VLAN 1，從而避免廣播風暴。

· 對于CE6870EI，基于MAC地址劃分VLAN功能與端口安全功能、MAC地址學習限制規則沖突。

· 除CE6870EI和CE6880EI外的其他設備，基于MAC地址劃分的VLAN不支持基于VLAN的鏡像。

· 對于CE6870EI，基于MAC地址劃分VLAN功能時配置mac-vlan enable或undo mac-vlan enable命令后會有少量報文丟棄，請謹慎操作。

· 對于CE6870EI，基于子網劃分的VLAN做三層轉發時，需要配置接口的PVID與關聯子網的VLAN ID相同。

· 當接口配置了PVID，并且通過執行命令encapsulation untag配置二層子接口接收不帶VLAN Tag的報文，如果二層子接口狀態為Up，則untag的報文通過二層子接口接入VXLAN進行轉發；如果二層子接口狀態為Down，則通過PVID進行轉發。

· QinQ二層子接口上封裝的外層VLAN不能和對應二層主接口配置的缺省VLAN以及允許通過的VLAN相同。

· VLAN、VXLAN、Carrier VLAN、主接口以及單板互通模式為增強模式時的Eth-Trunk接口共享系統資源，系統資源不足可能會導致這些特性的配置失敗。

· 保留VLAN

· 保留VLAN與普通VLAN相沖突，配置的保留VLAN不能作為普通VLAN使用。

· 創建的保留VLAN只有在設備重啟后才會生效，正在使用的VLAN不能配置為保留VLAN。

· 對于CE6855HI、CE7855EI的三層主接口專用保留VLAN：

· 不用重啟即可生效。可以為三層主接口配置多個保留VLAN范圍段，最多支持8段，且不同的主接口專用的保留VLAN范圍不允許有重疊。

· 執行命令undo vlan reserved for main-interface?startvlanid?to?endvlanid取消保留VLAN范圍時，不支持取消部分保留VLAN，必須整段范圍取消，且如果有主接口加入了其中一個保留VLAN，則不能執行undo vlan reserved for main-interface命令。

· 主接口專用的保留VLAN不能和通過執行命令vlan reserved配置的二層保留VLAN范圍重疊。

· 如果通過GVRP學習到的動態VLAN屬于主接口專用的保留VLAN范圍內，則學習不到該動態VLAN。

· 在SVF系統中，通過執行命令encapsulation?dot1q vid?vid配置二層子接口的VID不能是該主接口專用的保留VLAN范圍段中的VLAN ID。

· VLAN聚合

· 配置某VLAN為Super-VLAN后，該VLAN類型改變為super，不允許任何物理接口加入該VLAN。

· 一個VLAN不能同時加入多個不同的Super-VLAN中。

· Super-VLAN與Sub-VLAN必須為不同的VLAN。

· Super-VLAN對應的VLANIF接口配置IP地址后，Proxy ARP才能生效。

· MUX VLAN

· 使能MUX VLAN功能的接口不能加入同一個MUX VLAN組中的其他VLAN。

· MUX VLAN組中的所有成員VLAN必須在同一個STP實例中，否則會導致流量不通或者有成環風險。對于QinQ和VLAN Mapping的成員VLAN，也是如此。

· Access類型接口只能加入一個MUX VLAN組，Trunk、Hybrid類型接口可以加入多個MUX VLAN組，最多可以加入32個MUX VLAN組。

· 如果指定VLAN已經用于Principal VLAN，那么該VLAN不能再在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。

· 如果指定VLAN已經用于Group VLAN或Separate VLAN，那么該VLAN不能再用于創建VLANIF接口，或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。

· 禁止接口MAC地址學習功能或限制接口MAC地址學習數量會影響MUX VLAN功能的正常使用。

· MUX VLAN功能與接口安全功能、基于VLAN ID的靈活QinQ功能、VBST功能均互斥，不能同時配置。

· 對于同一個VLAN，不支持同時配置CE VLAN和MUX VLAN。

· 對于除CE6810LI外的其他設備，MUX VLAN級聯場景中，Principal VLAN（主VLAN）支持創建VLANIF接口，但該VLANIF接口不能對Sub VLAN（從VLAN）上送的流量進行三層轉發。

· 對于CE6810LI，Principal VLAN（主VLAN）和Sub VLAN(從VLAN)均不支持創建VLANIF接口。

· VLAN流量統計

· 對于CE6870EI，針對MUX VLAN的流量統計功能無效。

· 流量統計信息是累增的，系統不會自動清除。如需清空VLAN的流量，可執行reset vlan statistics命令清除指定VLAN的統計信息。

· 流量統計功能需要占用系統資源，系統資源不足可能會導致配置失敗，請在不需要流量統計時及時關閉此功能。

· 對于V100R006C00之前的版本，對于所有款型設備，由于VLAN流量統計->MQC流量統計->VLANIF接口流量統計（這三個流量統計功能存在優先級順序，優先級高低順序從左至右），同時配置時只有優先級高的流量統計功能生效。從V100R006C00版本開始，對于CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6860EI、CE6870EI、CE7850EI、CE7855EI、CE8850、CE8860EI，VLAN的流量統計與這二者不互斥，對于CE6880EI，VLAN流量統計功能優先級高于VLANIF流量統計。

· 對于CE6870EI，出方向的流量統計不包括三層轉發的報文。

· 對于CE6870EI設備上綁定了EVN實例的VLAN，其流量統計出方向計數不準確。

· 對于CE6880EI交換機，當轉發報文的模式配置為直通（Cut Through）模式時，設備不支持VLAN流量統計功能。如果需要使用該功能，建議執行命令assign forward mode store-and-forward將轉發報文模式修改為存儲轉發模式。

· VLANIF流量統計

使用undo statistics enable命令關閉VLANIF的流量統計功能后，將終止對VLANIF流量的統計，以前統計的流量信息會被清空。

使用VLANIF接口的流量統計可能對轉發性能產生影響（如在滿端口線速轉發時可能會導致部分端口不能線速轉發），請在必要的場景下合理使用。

對于CE6880EI交換機：

· 若VLANIF接口對應的VLAN下使能了流量統計功能，VLANIF接口統計三層流量，VLAN統計二層流量。

· 不支持區分單播和組播報文分別統計，不支持區分IPv4和IPv6報文類型統計。

· 不支持統計錯誤報文和設備本身產生發送出的報文（如ping報文）。

對于CE6870EI交換機：

· VLANIF接口的流量統計功能需要占用系統ACL資源，由于系統ACL資源有限，打開過多的流量統計將會導致其它功能申請不到ACL資源。最多支持對100個VLANIF接口進行流量統計。

· 不支持統計錯誤報文、MPLS報文和攜帶VXLAN封裝的報文，不支持區分單播和組播報文分別統計。

· 僅支持對IPv4單播報文的統計，其中不包括帶有IPv4封裝頭的GRE報文、IPv6 over IPv4報文和EVN特性封裝使用的VXLAN報文。

· 不支持統計設備本身產生發送出的報文（如ping報文）。

· 由于M-LAG單向隔離機制>MQC（流量監管、流量統計、報文過濾）>查詢指定五元組信息以及源MAC地址、目的MAC地址的報文的出接口>本地VLAN鏡像>sFlow>NetStream>VLANIF接口統計（此類業務存在優先級順序，優先級高低順序從左至右），在接口出方向上配置時只有優先級高的生效。例如，在VLANIF接口上同時配置報文過濾以及VLANIF接口統計，優先生效的是報文過濾。

· 在MPLS TE隧道接口和使能MPLS TE的VLANIF接口上同時使能流量統計時，對于接收到的下一跳是TE隧道接口的報文，只會統計為MPLS TE隧道接口流量而不會統計為VLANIF接口流量。

· 在配置VXLAN的解封裝設備上，VLANIF入方向流量統計不支持統計攜帶VXLAN封裝的報文。在配置VXLAN的封裝設備上，如果設備上沒有配置VXLAN流量統計功能且配置NVO3網關的增強模式為非環回模式時，VLANIF出方向流量統計支持統計攜帶VXLAN封裝的報文，否則VLANIF出方向無法統計。

對于除CE6870EI和CE6880EI以外的交換機：

· Super-VLAN和MUX VLAN對應的VLANIF接口不支持流量統計。

· 不支持統計錯誤報文、MPLS報文和攜帶VXLAN封裝的報文。

· 不支持區分單播和組播報文分別統計。

· 不支持統計設備本身產生發送出的報文（如ping報文）。