VLAN的劃分

前言：為什么VLAN是現代網絡的“隱形骨架”？

當一臺辦公室電腦發送文件給隔壁工位的同事時，數據如何精準抵達目標而不“打擾”其他設備？當企業財務部的敏感數據在網絡中傳輸時，如何避免被其他部門的設備“窺探”？當校園網同時承載教學、科研、行政等多類流量時，如何防止某一區域的廣播風暴拖垮整個網絡？

答案藏在VLAN（虛擬局域網） 這一核心技術中。

傳統以太網如同一個“大喇叭”——所有設備共享同一廣播域，數據傳輸時“廣而告之”，不僅效率低下，還存在嚴重的安全隱患。而VLAN的出現，相當于給這個“大喇叭”裝上了“隔音艙”：它將物理上相連的局域網，在邏輯上劃分為多個獨立的虛擬廣播域，讓數據在“專屬通道”內流轉。

本文將從VLAN的技術本質出發，拆解其實現隔離與通信的底層邏輯——從幀格式的標簽機制到鏈路類型的規則設計，從靜態配置的精準控制到動態管理的自動化方案，再到跨VLAN通信的路由技術。無論你是網絡初學者，還是需要優化現有架構的工程師，都能通過本文掌握VLAN的核心原理與實踐要點，理解它如何成為支撐現代網絡高效、安全運行的“隱形骨架”。

一、傳統以太網

二、WLAN技術

（1）概念

VLAN（VirtualLocalAreaNetwork）即虛擬局域網，是將一個物理的局域網在?邏輯上劃分成多個廣播域的技術。通過在交換機上配置VLAN，可以實現在同一個?VLAN內的用戶可以進行二層互訪，而不同VLAN間的用戶被二層隔離。這樣既能夠隔離廣播域，又能夠提升網絡的安全性。

遇到隔離網段，無法訪問相鄰網段的時候，滲透手法有哪些？

1.通過當前主機控制交換機或者路由器，通過上層交換機或者路由器進入其他隔離網段

2.在當前網段中找是否存在跨網段主機（雙網卡主機），控制主機，即可訪問隔離網段

1）VLAN幀格式

2）鏈路類型

用戶主機和交換機之間的鏈路為接入鏈路 （Access）

交換機與交換機之間的鏈路為干道鏈路 （Trunk）

a.Access模式

b.Trunk模式

c.Hybrid模式

●配置port hybrid tagged vlan vlan-id命令后，接口發送該vlan-id的數據幀時，不剝離幀中的VLAN Tag，直接發送。該命令一般配置在連接交換機的端口上。

●配置port hybrid untagged vlan vlan-id命令后，接口在發送vlan-id的數據幀時，會將幀中的VLAN Tag剝離掉再發送出去。該命令一般配置在連接主機的端口上。

3）PVID（缺省VLAN）

PVID表示端口在缺省情況下所屬的VLAN，?缺省情況下，華為交換機每個端口的PVID都是1。?當端口收到Untagged數據幀時，交換機將給它加上該缺省VLAN的VLAN Tag。

PVID（Port VLAN ID，端口 VLAN ID）的核心意義是為交換機端口處理數據幀提供默認的 VLAN 規則，確保不同設備（無論是否支持 VLAN 標簽）接入網絡時能被正確劃分到對應的 VLAN，實現網絡隔離與通信控制。具體意義如下：

1. 為 Untagged 幀提供默認標記依據
   網絡中多數終端設備（如 PC、打印機）發送的是不帶 VLAN 標簽（Untagged）的數據幀，這些幀本身不包含 “屬于哪個 VLAN” 的信息。
   PVID 的作用是：當端口收到 Untagged 幀時，自動為其添加 “以 PVID 為 VLAN ID” 的標簽（Tag），使幀在交換機內部能被識別為 “屬于該 VLAN 的幀”，從而按照 VLAN 規則進行轉發（如僅在同 VLAN 內廣播，跨 VLAN 需路由等）。
2. 實現 VLAN 的隔離與通信控制
   交換機通過 VLAN 劃分實現網絡隔離（同一 VLAN 內可直接通信，不同 VLAN 默認隔離），而 PVID 是 VLAN 劃分的 “基礎錨點”。
   例如：若兩個端口的 PVID 不同（如端口 1 的 PVID=10，端口 2 的 PVID=20），則連接在這兩個端口的終端設備（發送 Untagged 幀）會被分別劃分到 VLAN 10 和 VLAN 20，默認無法直接通信，從而實現物理端口級的 VLAN 隔離。
3. 適配帶 Tag 與不帶 Tag 設備的混合接入
   部分設備（如交換機之間、路由器）可能發送帶 VLAN 標簽（Tagged）的數據幀（包含明確的 VLAN ID）。
   此時，PVID 作為 “端口默認 VLAN”，僅對 Untagged 幀生效；對于已帶 Tag 的幀，交換機直接按幀中自帶的 VLAN ID 處理（無需依賴 PVID）。
   這種設計讓端口既能接入普通終端（發 Untagged 幀），也能接入支持 VLAN 的設備（發 Tagged 幀），兼容不同類型設備的接入需求。
4. 靈活調整端口的默認 VLAN 歸屬
   默認情況下，華為交換機端口的 PVID 為 1（即默認屬于 VLAN 1），但可根據網絡需求修改 PVID（如將端口 PVID 改為 10），使該端口接入的 Untagged 設備默認屬于 VLAN 10。
   這種靈活性讓管理員能通過修改 PVID 快速調整端口的 VLAN 歸屬，無需改變終端設備配置，即可靈活劃分網絡區域（如按部門、功能劃分 VLAN）。

（2）VLAN的劃分

基于端口的VLAN劃分方法在實際中最為常見。

1.配置hybrid端口

1.配置交換機1

1.創建vlan 并且配置接口 g0/0/1

<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan batch 2 to 3
Info: This operation may take a few seconds. Please wait for a moment...done.
[Huawei]vlan 10
[Huawei-vlan10]quit
[Huawei]int g0/0/1 
[Huawei-GigabitEthernet0/0/1]port link-type hybrid #將端口設置為hybird格式
[Huawei-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 10 #將VLAN 2 3 10流量配置為tagged，這些VLAN通過該端口的時候會保留VLAN標簽，將流量轉發至其他設備
[Huawei-GigabitEthernet0/0/1]dis this 
#
interface GigabitEthernet0/0/1port hybrid tagged vlan 2 to 3 10
#
return

2.給g0/0/2，g0/0/3配置hybird為untagged

[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type hybrid #設置端口格式為hybrid
[Huawei-GigabitEthernet0/0/2]port hybrid untagged vlan 2 10 #將VLAN 2 10流量配置為untagged,這些VLAN通過該端口的時候會去除VLAN標簽
[Huawei-GigabitEthernet0/0/2]port hybrid pvid vlan 2 #給當前接口打上一個VLAN標簽2
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port hybrid pvid vlan 2port hybrid untagged vlan 2 10
#
return[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[Huawei-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[Huawei-GigabitEthernet0/0/3]dis this
#
interface GigabitEthernet0/0/3port hybrid pvid vlan 3port hybrid untagged vlan 3 10
#
return

查看配置結果

[Huawei-GigabitEthernet0/0/3]dis vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    *: Management-vlan;
--------------------------------------------------------------------------------VID  Type    Ports                                                          
--------------------------------------------------------------------------------
1    common  UT:GE0/0/1(U)      GE0/0/2(U)      GE0/0/3(U)      GE0/0/4(D)      GE0/0/5(D)      GE0/0/6(D)      GE0/0/7(D)      GE0/0/8(D)      GE0/0/9(D)      GE0/0/10(D)     GE0/0/11(D)     GE0/0/12(D)     GE0/0/13(D)     GE0/0/14(D)     GE0/0/15(D)     GE0/0/16(D)     GE0/0/17(D)     GE0/0/18(D)     GE0/0/19(D)     GE0/0/20(D)     GE0/0/21(D)     GE0/0/22(D)     GE0/0/23(D)     GE0/0/24(D)     2    common  UT:GE0/0/2(U)                                                      TG:GE0/0/1(U)                                                      3    common  UT:GE0/0/3(U)                                                      TG:GE0/0/1(U)                                                      10   common  UT:GE0/0/2(U)      GE0/0/3(U)                                      TG:GE0/0/1(U)                                                      VID  Status  Property      MAC-LRN Statistics Description      
--------------------------------------------------------------------------------1    enable  default       enable  disable    VLAN 0001                         
2    enable  default       enable  disable    VLAN 0002                         
3    enable  default       enable  disable    VLAN 0003                         
10   enable  default       enable  disable    VLAN 0010                         

3.配置下接VLAN 2 3的VLANif

[Huawei-GigabitEthernet0/0/3]int vlanif 3
[Huawei-Vlanif3]ip address 192.168.2.1 24
[Huawei-Vlanif3]dis this
#
interface Vlanif3ip address 192.168.2.1 255.255.255.0
#
return
[Huawei-Vlanif3]int vlanif 2
[Huawei-Vlanif2]ip address 192.168.1.1 24
[Huawei-Vlanif2]dis this
#
interface Vlanif2ip address 192.168.1.1 255.255.255.0
#
return

2.配置交換機2

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type hybrid
[Huawei-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 10
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type hybrid
[Huawei-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3 10
[Huawei-GigabitEthernet0/0/2]port hybrid pvid vlan 10
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port hybrid pvid vlan 10port hybrid untagged vlan 2 to 3 10
#
return

查看結果

[Huawei-GigabitEthernet0/0/2]dis vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    *: Management-vlan;
--------------------------------------------------------------------------------VID  Type    Ports                                                          
--------------------------------------------------------------------------------
1    common  UT:GE0/0/1(U)      GE0/0/2(U)      GE0/0/3(U)      GE0/0/4(D)      GE0/0/5(D)      GE0/0/6(D)      GE0/0/7(D)      GE0/0/8(D)      GE0/0/9(D)      GE0/0/10(D)     GE0/0/11(D)     GE0/0/12(D)     GE0/0/13(D)     GE0/0/14(D)     GE0/0/15(D)     GE0/0/16(D)     GE0/0/17(D)     GE0/0/18(D)     GE0/0/19(D)     GE0/0/20(D)     GE0/0/21(D)     GE0/0/22(D)     GE0/0/23(D)     GE0/0/24(D)     2    common  UT:GE0/0/2(U)                                                      TG:GE0/0/1(U)                                                      3    common  UT:GE0/0/2(U)                                                      TG:GE0/0/1(U)                                                      10   common  UT:GE0/0/2(U)                                                      TG:GE0/0/1(U)                                                      VID  Status  Property      MAC-LRN Statistics Description      
--------------------------------------------------------------------------------1    enable  default       enable  disable    VLAN 0001                         
2    enable  default       enable  disable    VLAN 0002                         
3    enable  default       enable  disable    VLAN 0003                         
10   enable  default       enable  disable    VLAN 0010                         
[Huawei-GigabitEthernet0/0/2]

配置vlanif

[Huawei-Vlanif3]int vlanif 10
[Huawei-Vlanif10]ip address 10.10.1.1 24

2.配置vlanif，使得以上兩個網段正常通信

配置思路：

劃分兩個vlan 將LSW1的GE001，GE002配置為access模式 默認通過vlan 2；將GE003，GE004配置為access模式 默認通過vlan 3

1.配置各設備的IP、子網掩碼、網關

2.創建vlan 2、vlan 3 并配置vlanif

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan batch 2 to 3
Info: This operation may take a few seconds. Please wait for a moment...done.
[Huawei]int vlanif 2
[Huawei-Vlanif2]ip address 192.168.0.1 24
[Huawei-Vlanif2]dis this
#
interface Vlanif2ip address 192.168.0.1 255.255.255.0
#
return
[Huawei-Vlanif2]int vlanif 3
[Huawei-Vlanif3]ip address 10.10.0.1 24
[Huawei-Vlanif3]dis this
#
interface Vlanif3ip address 10.10.0.1 255.255.255.0
#
return

3.配置g0/0/1、g0/0/2、g0/0/3、g0/0/4為access，并設置默認VLAN

[Huawei-Vlanif2]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 2
[Huawei-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1port link-type accessport default vlan 2
#
return
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 2
#
return[Huawei-GigabitEthernet0/0/1]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/3]dis this
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 3
#
return
[Huawei-GigabitEthernet0/0/3]int g0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 3
[Huawei-GigabitEthernet0/0/4]dis this
#
interface GigabitEthernet0/0/4port link-type accessport default vlan 3
#
return

4.驗證

3.使用trunk配置以下兩個網段不互通

配置思路:

1.將LSW1接口設置為trunk模式，GE001只允許vlan 2通信，GE003允許vlan 2 3通信，GE002只允許vlan3通信

2.將LSW2接口設置為trunk模式，GE001只允許vlan 3通信，GE003允許vlan 2 3通信，GE002只允許vlan2通信

1.配置LSW1

• 1.創建vlan 2并配置vlanif2

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan 2
[Huawei-vlan2]int vlanif 
[Huawei-Vlanif2]ip address 192.168.0.1 24
[Huawei-Vlanif2]dis this
#
interface Vlanif2ip address 192.168.0.1 255.255.255.0
#
return

• 2.設置g0/0/1為trunk模式，并放行vlan2

[Huawei-Vlanif2]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2
[Huawei-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2
#
return

• 3.創建vlan3并配置vlanif3

[Huawei-GigabitEthernet0/0/1]vlan 3
[Huawei-vlan3]int vlanif 3
[Huawei-Vlanif3]ip address 192.168.1.1 24
[Huawei-Vlanif3]dis this
#
interface Vlanif3ip address 192.168.1.1 255.255.255.0
#
return

• 4.設置g0/0/2為trunk模式，并放行vlan3

[Huawei-Vlanif3]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 3
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 3
#
return

• 5.配置g0/0/3為trunk模式，放行vlan 2 3

[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/3]dis this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 2 to 3
#
return

2.配置LSW2

• 1.創建vlan2并配置vlanif2

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan 2
[Huawei-vlan2]int vlanif 2
[Huawei-Vlanif2]ip address 192.168.0.1 24
[Huawei-Vlanif2]dis this
#
interface Vlanif2ip address 192.168.0.1 255.255.255.0
#
return

• 2.配置g0/0/2 為trunk模式，放行vlan2

[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-ty trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 2
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2
#
return

• 3.創建vlan3并配置vlanif3

[Huawei-GigabitEthernet0/0/2]vlan 3
[Huawei-vlan3]int vlanif 3
[Huawei-Vlanif3]ip address 192.168.1.1 24
[Huawei-Vlanif3]dis this
#
interface Vlanif3ip address 192.168.1.1 255.255.255.0
#
return

• 4.配置g0/0/1為trunk模式，放行vlan3

[Huawei-Vlanif3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 3
[Huawei-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 3
#
return

• 5.配置g0/0/3為trunk模式，放行vlan2 3

[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/3]dis this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 2 to 3
#
return

3.驗證

驗證發現同網段可以通信，不同網段不能通信實現了網絡隔離

（3）總結

1. Trunk 鏈路的 VLAN 流量傳輸范圍

• 場景：如果一個Trunk鏈路PVID是5，且端口下配置port trunk allow-pass vlan 2 3，?那么哪些VLAN的流量可以通過該Trunk鏈路進行傳輸?。
• 結論：僅 VLAN 2 和 VLAN 3 的流量可以通過該 Trunk 鏈路傳輸。
• 說明：Trunk 鏈路允許通過的 VLAN 由allow-pass配置明確指定，與 PVID 無關（PVID 僅用于處理該端口收到的 “不帶標簽的幀”，但若其對應的 VLAN 未在allow-pass中，該 VLAN 流量無法通過）。

2. PVID 為 2 的 Access 端口收到不帶標記幀的動作

• 場景：PVID為2的Access端口收到一個不帶標記的幀會采取什么樣的動作?
• 動作：
  1. 該端口會為收到的 “不帶標記的幀” 打上 VLAN 2 的標簽（因 PVID=2，Access 端口默認對 untagged 幀添加 PVID 對應的 VLAN 標簽）；
  2. 幀將按照 VLAN 2 的邏輯在網絡中轉發（僅在 VLAN 2 內部互通）。
• 補充：若需跨 VLAN（如 VLAN 2 與其他 VLAN）通信，需依賴路由設備或三層交換功能實現。

核心要點：

• Trunk 鏈路的允許 VLAN 由allow-pass決定，PVID 不影響允許范圍；
• Access 端口收到 untagged 幀時，會添加 PVID 對應的 VLAN 標簽，僅在該 VLAN 內轉發，跨 VLAN 需額外路由能力。

三、GARP和GVRP

（1）概念

GARP (Generic Attribute Registration Protocol)，全稱是通用屬性注冊協議,?它為處于同一個交換網內的交換機之間提供了一種分發、傳播、注冊某種信息?(VLAN屬性、組播地址等）的手段。?GVRP是GARP的一種具體應用或實現，主要用于維護設備動態VLAN屬性。通?過GVRP協議，一臺交換機上的VLAN信息會迅速傳播到整個交換網絡。GVRP實?現了VLAN屬性的動態分發、注冊和傳播，從而減少了網絡管理員的工作量，也能?保證VLAN配置的正確性。

（2）GARP 核心機制

GARP 通過交換機之間交互 GARP 報文，實現屬性的注冊、注銷與傳播（如 VLAN、MAC 地址等屬性均可通過 GARP 同步）。

（3）GARP 消息類型（實現屬性交互的具體方式）

GARP 定義了三類關鍵消息，用于不同場景下的屬性操作：

• Join 消息：當交換機希望其他交換機注冊自己的屬性信息時，對外發送 Join 消息（例如新交換機接入網絡后，主動廣播自身 VLAN 屬性）。
• Leave 消息：當交換機希望其他交換機注銷自己的某一屬性信息時，對外發送 Leave 消息（例如某 VLAN 不再需要被其他交換機感知時，主動發起注銷）。
• Leave All 消息：當交換機希望其他交換機注銷自己的所有屬性信息時，對外發送 Leave All 消息（例如設備下線前，批量清除自身所有屬性的同步記錄）。

（3）GARP 典型應用：GVRP（VLAN 注冊協議）

GVRP 是 GARP 的子協議，專門針對 VLAN 屬性 設計，實現 VLAN 在交換機間的自動注冊與注銷：

• 當網絡中新增 VLAN 或交換機時，GVRP 會通過 GARP 報文自動同步 VLAN 屬性，無需人工逐臺配置。
• 當 VLAN 或交換機下線時，GVRP 也會自動注銷對應 VLAN 屬性，保證網絡配置的一致性與實時性。

（4）GVRP 單向注冊（VLAN 屬性單方向同步）

• 場景：在交換機 SWA 上靜態創建 VLAN 2，需將 VLAN 2 自動同步到下游交換機 SWB、SWC。
• 過程：
  SWA 發送 Join 消息（攜帶 VLAN 2 屬性）→ SWB 接收后注冊 VLAN 2，并轉發 Join 消息 → SWC 接收后也注冊 VLAN 2。
• 效果：
  SWB、SWC 會 “學習到動態 VLAN 2”，且與消息接收方向匹配的端口（如 SWB 的 G0/0/1、SWC 的 G0/0/1）會自動加入 VLAN 2；
  未接收 Join 消息的端口（如 SWB 的 G0/0/2）不會加入 VLAN 2。
• 局限：
  單向注冊僅能實現單方向的 VLAN 屬性同步（如 SWA→SWB→SWC）。若需 VLAN 2 流量雙向互通，需額外配置反向的 VLAN 屬性注冊（即 “雙向注冊”）。

（5）GVRP 單向注銷（VLAN 屬性單方向移除）

• 場景：當網絡不再需要 VLAN 2 時，需從交換機中 “注銷” 該 VLAN 屬性。
• 過程：
  SWA 發送 Leave 消息（攜帶 VLAN 2 注銷指令）→ SWB 接收后注銷 VLAN 2，并轉發 Leave 消息 → SWC 接收后也注銷 VLAN 2。
• 效果：
  通過單方向的 Leave 消息傳播，SWB、SWC 會逐步 “刪除 VLAN 2 的屬性記錄”，完成 VLAN 2 的注銷。

四、VLAN間路由

部署了VLAN的傳統交換機不能實現不同VLAN間的二層報文轉發，因此必須引入路由技術來實現不同VLAN間的通信。VLAN路由可以通過二層交換機配合路由器來實現，也可以通過三層交換機來實現。

1.二層交換機組網

方法一：創建每個vlan間的物理連接

配置方法:?1、二層交換機模擬，每個接口配置access? 2、路由器內配置路由網關，以及鏈接兩個路由

1.交換機的配置

• vlan2通過GE001、GE002兩個端口

<Huawei>sys
[Huawei]vlan batch 2 to 3
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 2
[Huawei-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
#
return
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#

• vlan3通過GE003、GE004兩個端口

[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/3]int g0/0/4
[Huawei-GigabitEthernet0/0/4]port default vlan 3
[Huawei-GigabitEthernet0/0/4]dis this
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 3
#
return

2.路由器配置

<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.1 24

方法二：單臂路由

配置思路：

1、將二層交換機001和003配置不同vlan，0024配置為trunk模式，放行兩個vlan

2、路由器中配置單一接口000的子接口，在子接口中配置對應的vlan的網關，實現vlan間路由

• 1.配置LSW1

  創建vlan 2 3，配置GE001，GE003默認vlan，將GE0024設置為trunk模式并放行vlan 2 3

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 2
[Huawei-GigabitEthernet0/0/1]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 3
[Huawei-GigabitEthernet0/0/3]int g0/0/24
[Huawei-GigabitEthernet0/0/24]port link-type trunk
[Huawei-GigabitEthernet0/0/24]port trunk allow-pass vlan 2 3

• 2.配置AR2

  路由器中配置單一接口000的子接口，在子接口中配置對應的vlan的網關，實現vlan間路由

[Huawei]int g0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 2 
#不同的路由器中，當前劃分vlan的方法不一樣，其他方法如：dotlq vlan 2
[Huawei-GigabitEthernet0/0/0.2]dis this
#
interface GigabitEthernet0/0/0.2
dot1q termination vid 2
ip address 192.168.1.1 255.255.255.0
#
return
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.2]int g0/0/0.3
[Huawei-GigabitEthernet0/0/0.3]dot1q termination vid 3
[Huawei-GigabitEthernet0/0/0.3]ip address 192.168.2.1 24
[Huawei-GigabitEthernet0/0/0.3]arp broadcast enable

注意：當前單臂路由需要開啟arp后才可發送正常的arp廣播，實現路由

• 3.驗證

配置命令dot1q termination vid 的目的是什么?

• 第一個功能是刪除VLAN標簽。接口在收到VLAN報文后，剝掉報文中攜帶的Tag?后進行三層轉發。第二個功能是添加VLAN標簽。接口在發送報文時，將相應的?VLAN信息添加到報文中再發送

配置單臂路由時，交換機連接路由器的接口需要哪些配置？

• 配置為干道（Trunk）模式
  該接口需作為 Trunk 端口，用于承載多個 VLAN 的帶標簽報文（因為不同 VLAN 的流量需通過此接口傳輸到路由器，由路由器實現 VLAN 間通信）。
  配置命令示例（以華為設備為例）：port link-type trunk

• 允許相關 VLAN 通過 Trunk 接口
  需要明確允許單臂路由涉及的所有 VLAN（即需要跨 VLAN 通信的 VLAN）通過該 Trunk 接口，確保這些 VLAN 的帶標簽報文能正常傳輸到路由器。
  配置命令示例：port trunk allow-pass vlan {vlan-id1 vlan-id2 ... | all}（all表示允許所有 VLAN 通過）

五、交換機和路由器的對比

一、聯系（共同點）

1. 都是網絡傳輸設備：核心作用是實現數據在不同設備之間的傳遞，是構建局域網（LAN）或廣域網（WAN）的基礎組件。
2. 支持多設備連接：都具備多個物理接口（如以太網口），可同時連接電腦、手機、打印機等終端設備。
3. 依賴底層協議：都需要基于以太網等物理層 / 數據鏈路層協議工作，確保數據以電信號或光信號的形式傳輸。

二、區別（核心差異）

對比維度	交換機（Switch）	路由器（Router）
工作層次（OSI 模型）	主要工作在數據鏈路層（第二層）	工作在網絡層（第三層）
核心功能	實現同一局域網內設備的高速互聯，轉發數據幀。	實現不同網絡之間的通信（如局域網→互聯網），轉發數據包。
轉發依據	基于MAC 地址（設備的物理地址，全球唯一）。	基于IP 地址（網絡邏輯地址，可手動配置或自動分配）。
地址表類型	維護MAC 地址表（記錄接口與連接設備 MAC 的對應關系）。	維護路由表（記錄不同網絡的路徑信息，如 “到 192.168.1.0 網段從接口 A 走”）。
對廣播的處理	不隔離廣播域（同一交換機下的設備會收到廣播包）。	隔離廣播域（廣播包無法通過路由器跨網絡傳播）。
核心作用場景	用于組建局域網內部連接（如辦公室內電腦、服務器、打印機的互聯）。	用于連接不同網絡（如局域網與互聯網、兩個不同網段的局域網），是 “網絡之間的網關”。
附加功能	基礎交換機功能簡單，高級交換機（如三層交換機）可支持部分路由功能、VLAN（隔離局域網內的廣播域）等。	支持 NAT（網絡地址轉換，讓局域網設備共享一個公網 IP 上網）、防火墻（過濾不安全數據）、DHCP（自動分配 IP 地址）等核心功能。

總結：VLAN技術與網絡隔離通信的核心要點

VLAN（虛擬局域網）作為現代網絡架構中實現邏輯隔離與靈活通信的核心技術，通過將物理局域網劃分為多個虛擬廣播域，從根本上解決了傳統以太網廣播泛濫、安全性不足的問題。本文圍繞VLAN的技術原理、配置實踐、動態管理及跨域通信展開，核心要點可歸納如下：

1. VLAN的核心價值：隔離與可控通信

VLAN的本質是“邏輯劃分”——通過在交換機上配置VLAN，使同一VLAN內的設備可直接二層互訪，不同VLAN設備默認二層隔離，既縮小廣播域（減少網絡擁塞），又提升安全性（限制未授權訪問）。對于隔離網段的滲透場景，需通過控制網絡設備（交換機/路由器）或利用跨網段主機（雙網卡設備）實現跨域訪問。

2. 技術基石：幀格式、鏈路類型與PVID

• VLAN幀格式：通過在以太網幀中添加VLAN標簽（Tag），標記幀所屬的VLAN ID，使交換機能識別并按VLAN規則轉發。
• 鏈路類型：Access（連接終端，收發Untagged幀）、Trunk（連接交換機，承載多VLAN帶Tag幀）、Hybrid（靈活支持Tagged/Untagged轉發，兼顧終端與設備連接）是實現VLAN流量轉發的基礎。
• PVID（端口缺省VLAN）：為Untagged幀提供默認VLAN標簽，確保終端設備（如PC）發送的無標簽幀能被正確劃分到對應VLAN，是VLAN劃分的“錨點”。

3. 配置實踐：從靜態劃分到動態管理

• 靜態VLAN劃分：基于端口配置Access/Trunk/Hybrid模式，明確VLAN成員及流量轉發規則（如Access端口綁定單一VLAN，Trunk端口限制允許通過的VLAN），是中小型網絡的主流方案。
• 動態VLAN管理（GVRP）：借助GARP協議的屬性注冊機制，GVRP實現VLAN信息在交換機間的自動傳播（Join消息注冊、Leave消息注銷），減少人工配置量，適用于大型網絡的VLAN同步。

4. 跨VLAN通信：路由技術的關鍵作用

VLAN的隔離性需通過路由技術打破：

• 物理連接：通過路由器多接口分別連接不同VLAN，實現跨域通信，但擴展性差。
• 單臂路由：交換機Trunk端口連接路由器子接口，子接口綁定VLAN并配置網關，僅需一條物理鏈路即可承載多VLAN流量，是中小型網絡的高效方案。
• 三層交換機：通過VLANif接口（三層邏輯接口）直接實現VLAN間路由，兼顧二層轉發效率與三層路由功能。

5. 設備角色：交換機與路由器的協同

交換機（二層）聚焦同一局域網內的VLAN劃分與幀轉發（基于MAC地址），路由器（三層）則負責不同網絡（VLAN）間的數據包轉發（基于IP地址），二者協同實現“隔離-通信”的平衡。三層交換機融合了二層轉發與三層路由能力，是大型網絡的優選。

結語

VLAN技術通過邏輯隔離與靈活配置，為網絡賦予了“物理合一、邏輯分離”的特性，既滿足了部門級隔離需求，又通過路由技術保障了必要的跨域通信。無論是靜態配置的精準控制，還是GVRP的動態管理，其核心目標都是讓網絡更安全、高效、易維護。掌握VLAN的原理與實踐，是構建現代企業網絡、校園網絡的基礎，也是理解網絡分層架構與設備協同的關鍵。