VLAN的划分

前言：为什么VLAN是现代网络的“隐形骨架”？

当一台办公室电脑发送文件给隔壁工位的同事时，数据如何精准抵达目标而不“打扰”其他设备？当企业财务部的敏感数据在网络中传输时，如何避免被其他部门的设备“窥探”？当校园网同时承载教学、科研、行政等多类流量时，如何防止某一区域的广播风暴拖垮整个网络？

答案藏在VLAN（虚拟局域网） 这一核心技术中。

传统以太网如同一个“大喇叭”——所有设备共享同一广播域，数据传输时“广而告之”，不仅效率低下，还存在严重的安全隐患。而VLAN的出现，相当于给这个“大喇叭”装上了“隔音舱”：它将物理上相连的局域网，在逻辑上划分为多个独立的虚拟广播域，让数据在“专属通道”内流转。

本文将从VLAN的技术本质出发，拆解其实现隔离与通信的底层逻辑——从帧格式的标签机制到链路类型的规则设计，从静态配置的精准控制到动态管理的自动化方案，再到跨VLAN通信的路由技术。无论你是网络初学者，还是需要优化现有架构的工程师，都能通过本文掌握VLAN的核心原理与实践要点，理解它如何成为支撑现代网络高效、安全运行的“隐形骨架”。

一、传统以太网

二、WLAN技术

（1）概念

VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是将一个物理的局域网在
逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个
VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域，又能够提升网络的安全性。

遇到隔离网段，无法访问相邻网段的时候，渗透手法有哪些？

1.通过当前主机控制交换机或者路由器，通过上层交换机或者路由器进入其他隔离网段

2.在当前网段中找是否存在跨网段主机（双网卡主机），控制主机，即可访问隔离网段

1）VLAN帧格式

2）链路类型

用户主机和交换机之间的链路为接入链路 （Access）

交换机与交换机之间的链路为干道链路 （Trunk）

a.Access模式

b.Trunk模式

c.Hybrid模式

●配置port hybrid tagged vlan vlan-id命令后，接口发送该vlan-id的数据帧时，不剥离帧中的VLAN Tag，直接发送。该命令一般配置在连接交换机的端口上。

●配置port hybrid untagged vlan vlan-id命令后，接口在发送vlan-id的数据帧时，会将帧中的VLAN Tag剥离掉再发送出去。该命令一般配置在连接主机的端口上。

3）PVID（缺省VLAN）

PVID表示端口在缺省情况下所属的VLAN，
缺省情况下，华为交换机每个端口的PVID都是1。
当端口收到Untagged数据帧时，交换机将给它加上该缺省VLAN的VLAN Tag。

PVID（Port VLAN ID，端口 VLAN ID）的核心意义是为交换机端口处理数据帧提供默认的 VLAN 规则，确保不同设备（无论是否支持 VLAN 标签）接入网络时能被正确划分到对应的 VLAN，实现网络隔离与通信控制。具体意义如下：

1. 为 Untagged 帧提供默认标记依据
   网络中多数终端设备（如 PC、打印机）发送的是不带 VLAN 标签（Untagged）的数据帧，这些帧本身不包含 “属于哪个 VLAN” 的信息。
   PVID 的作用是：当端口收到 Untagged 帧时，自动为其添加 “以 PVID 为 VLAN ID” 的标签（Tag），使帧在交换机内部能被识别为 “属于该 VLAN 的帧”，从而按照 VLAN 规则进行转发（如仅在同 VLAN 内广播，跨 VLAN 需路由等）。
2. 实现 VLAN 的隔离与通信控制
   交换机通过 VLAN 划分实现网络隔离（同一 VLAN 内可直接通信，不同 VLAN 默认隔离），而 PVID 是 VLAN 划分的 “基础锚点”。
   例如：若两个端口的 PVID 不同（如端口 1 的 PVID=10，端口 2 的 PVID=20），则连接在这两个端口的终端设备（发送 Untagged 帧）会被分别划分到 VLAN 10 和 VLAN 20，默认无法直接通信，从而实现物理端口级的 VLAN 隔离。
3. 适配带 Tag 与不带 Tag 设备的混合接入
   部分设备（如交换机之间、路由器）可能发送带 VLAN 标签（Tagged）的数据帧（包含明确的 VLAN ID）。
   此时，PVID 作为 “端口默认 VLAN”，仅对 Untagged 帧生效；对于已带 Tag 的帧，交换机直接按帧中自带的 VLAN ID 处理（无需依赖 PVID）。
   这种设计让端口既能接入普通终端（发 Untagged 帧），也能接入支持 VLAN 的设备（发 Tagged 帧），兼容不同类型设备的接入需求。
4. 灵活调整端口的默认 VLAN 归属
   默认情况下，华为交换机端口的 PVID 为 1（即默认属于 VLAN 1），但可根据网络需求修改 PVID（如将端口 PVID 改为 10），使该端口接入的 Untagged 设备默认属于 VLAN 10。
   这种灵活性让管理员能通过修改 PVID 快速调整端口的 VLAN 归属，无需改变终端设备配置，即可灵活划分网络区域（如按部门、功能划分 VLAN）。

（2）VLAN的划分

基于端口的VLAN划分方法在实际中最为常见。

1.配置hybrid端口

1.配置交换机1

1.创建vlan 并且配置接口 g0/0/1

<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan batch 2 to 3
Info: This operation may take a few seconds. Please wait for a moment...done.
[Huawei]vlan 10
[Huawei-vlan10]quit
[Huawei]int g0/0/1 
[Huawei-GigabitEthernet0/0/1]port link-type hybrid #将端口设置为hybird格式
[Huawei-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 10 #将VLAN 2 3 10流量配置为tagged，这些VLAN通过该端口的时候会保留VLAN标签，将流量转发至其他设备
[Huawei-GigabitEthernet0/0/1]dis this 
#
interface GigabitEthernet0/0/1port hybrid tagged vlan 2 to 3 10
#
return

2.给g0/0/2，g0/0/3配置hybird为untagged

[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type hybrid #设置端口格式为hybrid
[Huawei-GigabitEthernet0/0/2]port hybrid untagged vlan 2 10 #将VLAN 2 10流量配置为untagged,这些VLAN通过该端口的时候会去除VLAN标签
[Huawei-GigabitEthernet0/0/2]port hybrid pvid vlan 2 #给当前接口打上一个VLAN标签2
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port hybrid pvid vlan 2port hybrid untagged vlan 2 10
#
return[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port hybrid pvid vlan 3
[Huawei-GigabitEthernet0/0/3]port hybrid untagged vlan 3 10
[Huawei-GigabitEthernet0/0/3]dis this
#
interface GigabitEthernet0/0/3port hybrid pvid vlan 3port hybrid untagged vlan 3 10
#
return

查看配置结果

[Huawei-GigabitEthernet0/0/3]dis vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    *: Management-vlan;
--------------------------------------------------------------------------------VID  Type    Ports                                                          
--------------------------------------------------------------------------------
1    common  UT:GE0/0/1(U)      GE0/0/2(U)      GE0/0/3(U)      GE0/0/4(D)      GE0/0/5(D)      GE0/0/6(D)      GE0/0/7(D)      GE0/0/8(D)      GE0/0/9(D)      GE0/0/10(D)     GE0/0/11(D)     GE0/0/12(D)     GE0/0/13(D)     GE0/0/14(D)     GE0/0/15(D)     GE0/0/16(D)     GE0/0/17(D)     GE0/0/18(D)     GE0/0/19(D)     GE0/0/20(D)     GE0/0/21(D)     GE0/0/22(D)     GE0/0/23(D)     GE0/0/24(D)     2    common  UT:GE0/0/2(U)                                                      TG:GE0/0/1(U)                                                      3    common  UT:GE0/0/3(U)                                                      TG:GE0/0/1(U)                                                      10   common  UT:GE0/0/2(U)      GE0/0/3(U)                                      TG:GE0/0/1(U)                                                      VID  Status  Property      MAC-LRN Statistics Description      
--------------------------------------------------------------------------------1    enable  default       enable  disable    VLAN 0001                         
2    enable  default       enable  disable    VLAN 0002                         
3    enable  default       enable  disable    VLAN 0003                         
10   enable  default       enable  disable    VLAN 0010                         

3.配置下接VLAN 2 3的VLANif

[Huawei-GigabitEthernet0/0/3]int vlanif 3
[Huawei-Vlanif3]ip address 192.168.2.1 24
[Huawei-Vlanif3]dis this
#
interface Vlanif3ip address 192.168.2.1 255.255.255.0
#
return
[Huawei-Vlanif3]int vlanif 2
[Huawei-Vlanif2]ip address 192.168.1.1 24
[Huawei-Vlanif2]dis this
#
interface Vlanif2ip address 192.168.1.1 255.255.255.0
#
return

2.配置交换机2

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type hybrid
[Huawei-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 10
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type hybrid
[Huawei-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3 10
[Huawei-GigabitEthernet0/0/2]port hybrid pvid vlan 10
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port hybrid pvid vlan 10port hybrid untagged vlan 2 to 3 10
#
return

查看结果

[Huawei-GigabitEthernet0/0/2]dis vlan
The total number of vlans is : 4
--------------------------------------------------------------------------------
U: Up;         D: Down;         TG: Tagged;         UT: Untagged;
MP: Vlan-mapping;               ST: Vlan-stacking;
#: ProtocolTransparent-vlan;    *: Management-vlan;
--------------------------------------------------------------------------------VID  Type    Ports                                                          
--------------------------------------------------------------------------------
1    common  UT:GE0/0/1(U)      GE0/0/2(U)      GE0/0/3(U)      GE0/0/4(D)      GE0/0/5(D)      GE0/0/6(D)      GE0/0/7(D)      GE0/0/8(D)      GE0/0/9(D)      GE0/0/10(D)     GE0/0/11(D)     GE0/0/12(D)     GE0/0/13(D)     GE0/0/14(D)     GE0/0/15(D)     GE0/0/16(D)     GE0/0/17(D)     GE0/0/18(D)     GE0/0/19(D)     GE0/0/20(D)     GE0/0/21(D)     GE0/0/22(D)     GE0/0/23(D)     GE0/0/24(D)     2    common  UT:GE0/0/2(U)                                                      TG:GE0/0/1(U)                                                      3    common  UT:GE0/0/2(U)                                                      TG:GE0/0/1(U)                                                      10   common  UT:GE0/0/2(U)                                                      TG:GE0/0/1(U)                                                      VID  Status  Property      MAC-LRN Statistics Description      
--------------------------------------------------------------------------------1    enable  default       enable  disable    VLAN 0001                         
2    enable  default       enable  disable    VLAN 0002                         
3    enable  default       enable  disable    VLAN 0003                         
10   enable  default       enable  disable    VLAN 0010                         
[Huawei-GigabitEthernet0/0/2]

配置vlanif

[Huawei-Vlanif3]int vlanif 10
[Huawei-Vlanif10]ip address 10.10.1.1 24

2.配置vlanif，使得以上两个网段正常通信

配置思路：

划分两个vlan 将LSW1的GE001，GE002配置为access模式 默认通过vlan 2；将GE003，GE004配置为access模式 默认通过vlan 3

1.配置各设备的IP、子网掩码、网关

2.创建vlan 2、vlan 3 并配置vlanif

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan batch 2 to 3
Info: This operation may take a few seconds. Please wait for a moment...done.
[Huawei]int vlanif 2
[Huawei-Vlanif2]ip address 192.168.0.1 24
[Huawei-Vlanif2]dis this
#
interface Vlanif2ip address 192.168.0.1 255.255.255.0
#
return
[Huawei-Vlanif2]int vlanif 3
[Huawei-Vlanif3]ip address 10.10.0.1 24
[Huawei-Vlanif3]dis this
#
interface Vlanif3ip address 10.10.0.1 255.255.255.0
#
return

3.配置g0/0/1、g0/0/2、g0/0/3、g0/0/4为access，并设置默认VLAN

[Huawei-Vlanif2]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 2
[Huawei-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1port link-type accessport default vlan 2
#
return
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 2
#
return[Huawei-GigabitEthernet0/0/1]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/3]dis this
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 3
#
return
[Huawei-GigabitEthernet0/0/3]int g0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 3
[Huawei-GigabitEthernet0/0/4]dis this
#
interface GigabitEthernet0/0/4port link-type accessport default vlan 3
#
return

4.验证

3.使用trunk配置以下两个网段不互通

配置思路:

1.将LSW1接口设置为trunk模式，GE001只允许vlan 2通信，GE003允许vlan 2 3通信，GE002只允许vlan3通信

2.将LSW2接口设置为trunk模式，GE001只允许vlan 3通信，GE003允许vlan 2 3通信，GE002只允许vlan2通信

1.配置LSW1

• 1.创建vlan 2并配置vlanif2

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan 2
[Huawei-vlan2]int vlanif 
[Huawei-Vlanif2]ip address 192.168.0.1 24
[Huawei-Vlanif2]dis this
#
interface Vlanif2ip address 192.168.0.1 255.255.255.0
#
return

• 2.设置g0/0/1为trunk模式，并放行vlan2

[Huawei-Vlanif2]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2
[Huawei-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2
#
return

• 3.创建vlan3并配置vlanif3

[Huawei-GigabitEthernet0/0/1]vlan 3
[Huawei-vlan3]int vlanif 3
[Huawei-Vlanif3]ip address 192.168.1.1 24
[Huawei-Vlanif3]dis this
#
interface Vlanif3ip address 192.168.1.1 255.255.255.0
#
return

• 4.设置g0/0/2为trunk模式，并放行vlan3

[Huawei-Vlanif3]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 3
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 3
#
return

• 5.配置g0/0/3为trunk模式，放行vlan 2 3

[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/3]dis this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 2 to 3
#
return

2.配置LSW2

• 1.创建vlan2并配置vlanif2

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan 2
[Huawei-vlan2]int vlanif 2
[Huawei-Vlanif2]ip address 192.168.0.1 24
[Huawei-Vlanif2]dis this
#
interface Vlanif2ip address 192.168.0.1 255.255.255.0
#
return

• 2.配置g0/0/2 为trunk模式，放行vlan2

[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-ty trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 2
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2
#
return

• 3.创建vlan3并配置vlanif3

[Huawei-GigabitEthernet0/0/2]vlan 3
[Huawei-vlan3]int vlanif 3
[Huawei-Vlanif3]ip address 192.168.1.1 24
[Huawei-Vlanif3]dis this
#
interface Vlanif3ip address 192.168.1.1 255.255.255.0
#
return

• 4.配置g0/0/1为trunk模式，放行vlan3

[Huawei-Vlanif3]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 3
[Huawei-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 3
#
return

• 5.配置g0/0/3为trunk模式，放行vlan2 3

[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/3]dis this
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 2 to 3
#
return

3.验证

验证发现同网段可以通信，不同网段不能通信实现了网络隔离

（3）总结

1. Trunk 链路的 VLAN 流量传输范围

• 场景：如果一个Trunk链路PVID是5，且端口下配置port trunk allow-pass vlan 2 3，
那么哪些VLAN的流量可以通过该Trunk链路进行传输?。
• 结论：仅 VLAN 2 和 VLAN 3 的流量可以通过该 Trunk 链路传输。
• 说明：Trunk 链路允许通过的 VLAN 由allow-pass配置明确指定，与 PVID 无关（PVID 仅用于处理该端口收到的 “不带标签的帧”，但若其对应的 VLAN 未在allow-pass中，该 VLAN 流量无法通过）。

2. PVID 为 2 的 Access 端口收到不带标记帧的动作

• 场景：PVID为2的Access端口收到一个不带标记的帧会采取什么样的动作?
• 动作：
  1. 该端口会为收到的 “不带标记的帧” 打上 VLAN 2 的标签（因 PVID=2，Access 端口默认对 untagged 帧添加 PVID 对应的 VLAN 标签）；
  2. 帧将按照 VLAN 2 的逻辑在网络中转发（仅在 VLAN 2 内部互通）。
• 补充：若需跨 VLAN（如 VLAN 2 与其他 VLAN）通信，需依赖路由设备或三层交换功能实现。

核心要点：

• Trunk 链路的允许 VLAN 由allow-pass决定，PVID 不影响允许范围；
• Access 端口收到 untagged 帧时，会添加 PVID 对应的 VLAN 标签，仅在该 VLAN 内转发，跨 VLAN 需额外路由能力。

三、GARP和GVRP

（1）概念

GARP (Generic Attribute Registration Protocol)，全称是通用属性注册协议,
它为处于同一个交换网内的交换机之间提供了一种分发、传播、注册某种信息
(VLAN属性、组播地址等）的手段。
GVRP是GARP的一种具体应用或实现，主要用于维护设备动态VLAN属性。通
过GVRP协议，一台交换机上的VLAN信息会迅速传播到整个交换网络。GVRP实
现了VLAN属性的动态分发、注册和传播，从而减少了网络管理员的工作量，也能
保证VLAN配置的正确性。

（2）GARP 核心机制

GARP 通过交换机之间交互 GARP 报文，实现属性的注册、注销与传播（如 VLAN、MAC 地址等属性均可通过 GARP 同步）。

（3）GARP 消息类型（实现属性交互的具体方式）

GARP 定义了三类关键消息，用于不同场景下的属性操作：

• Join 消息：当交换机希望其他交换机注册自己的属性信息时，对外发送 Join 消息（例如新交换机接入网络后，主动广播自身 VLAN 属性）。
• Leave 消息：当交换机希望其他交换机注销自己的某一属性信息时，对外发送 Leave 消息（例如某 VLAN 不再需要被其他交换机感知时，主动发起注销）。
• Leave All 消息：当交换机希望其他交换机注销自己的所有属性信息时，对外发送 Leave All 消息（例如设备下线前，批量清除自身所有属性的同步记录）。

（3）GARP 典型应用：GVRP（VLAN 注册协议）

GVRP 是 GARP 的子协议，专门针对 VLAN 属性 设计，实现 VLAN 在交换机间的自动注册与注销：

• 当网络中新增 VLAN 或交换机时，GVRP 会通过 GARP 报文自动同步 VLAN 属性，无需人工逐台配置。
• 当 VLAN 或交换机下线时，GVRP 也会自动注销对应 VLAN 属性，保证网络配置的一致性与实时性。

（4）GVRP 单向注册（VLAN 属性单方向同步）

• 场景：在交换机 SWA 上静态创建 VLAN 2，需将 VLAN 2 自动同步到下游交换机 SWB、SWC。
• 过程：
  SWA 发送 Join 消息（携带 VLAN 2 属性）→ SWB 接收后注册 VLAN 2，并转发 Join 消息 → SWC 接收后也注册 VLAN 2。
• 效果：
  SWB、SWC 会 “学习到动态 VLAN 2”，且与消息接收方向匹配的端口（如 SWB 的 G0/0/1、SWC 的 G0/0/1）会自动加入 VLAN 2；
  未接收 Join 消息的端口（如 SWB 的 G0/0/2）不会加入 VLAN 2。
• 局限：
  单向注册仅能实现单方向的 VLAN 属性同步（如 SWA→SWB→SWC）。若需 VLAN 2 流量双向互通，需额外配置反向的 VLAN 属性注册（即 “双向注册”）。

（5）GVRP 单向注销（VLAN 属性单方向移除）

• 场景：当网络不再需要 VLAN 2 时，需从交换机中 “注销” 该 VLAN 属性。
• 过程：
  SWA 发送 Leave 消息（携带 VLAN 2 注销指令）→ SWB 接收后注销 VLAN 2，并转发 Leave 消息 → SWC 接收后也注销 VLAN 2。
• 效果：
  通过单方向的 Leave 消息传播，SWB、SWC 会逐步 “删除 VLAN 2 的属性记录”，完成 VLAN 2 的注销。

四、VLAN间路由

部署了VLAN的传统交换机不能实现不同VLAN间的二层报文转发，因此必须引入路由技术来实现不同VLAN间的通信。VLAN路由可以通过二层交换机配合路由器来实现，也可以通过三层交换机来实现。

1.二层交换机组网

方法一：创建每个vlan间的物理连接

配置方法:
1、二层交换机模拟，每个接口配置access
 2、路由器内配置路由网关，以及链接两个路由

1.交换机的配置

• vlan2通过GE001、GE002两个端口

<Huawei>sys
[Huawei]vlan batch 2 to 3
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 2
[Huawei-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
#
return
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei-GigabitEthernet0/0/2]dis this
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#

• vlan3通过GE003、GE004两个端口

[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/3]int g0/0/4
[Huawei-GigabitEthernet0/0/4]port default vlan 3
[Huawei-GigabitEthernet0/0/4]dis this
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 3
#
return

2.路由器配置

<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.1 24

方法二：单臂路由

配置思路：

1、将二层交换机001和003配置不同vlan，0024配置为trunk模式，放行两个vlan

2、路由器中配置单一接口000的子接口，在子接口中配置对应的vlan的网关，实现vlan间路由

• 1.配置LSW1

  创建vlan 2 3，配置GE001，GE003默认vlan，将GE0024设置为trunk模式并放行vlan 2 3

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 2
[Huawei-GigabitEthernet0/0/1]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 3
[Huawei-GigabitEthernet0/0/3]int g0/0/24
[Huawei-GigabitEthernet0/0/24]port link-type trunk
[Huawei-GigabitEthernet0/0/24]port trunk allow-pass vlan 2 3

• 2.配置AR2

  路由器中配置单一接口000的子接口，在子接口中配置对应的vlan的网关，实现vlan间路由

[Huawei]int g0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 2 
#不同的路由器中，当前划分vlan的方法不一样，其他方法如：dotlq vlan 2
[Huawei-GigabitEthernet0/0/0.2]dis this
#
interface GigabitEthernet0/0/0.2
dot1q termination vid 2
ip address 192.168.1.1 255.255.255.0
#
return
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.2]int g0/0/0.3
[Huawei-GigabitEthernet0/0/0.3]dot1q termination vid 3
[Huawei-GigabitEthernet0/0/0.3]ip address 192.168.2.1 24
[Huawei-GigabitEthernet0/0/0.3]arp broadcast enable

注意：当前单臂路由需要开启arp后才可发送正常的arp广播，实现路由

• 3.验证

配置命令dot1q termination vid 的目的是什么?

• 第一个功能是删除VLAN标签。接口在收到VLAN报文后，剥掉报文中携带的Tag
后进行三层转发。第二个功能是添加VLAN标签。接口在发送报文时，将相应的
VLAN信息添加到报文中再发送

配置单臂路由时，交换机连接路由器的接口需要哪些配置？

• 配置为干道（Trunk）模式
  该接口需作为 Trunk 端口，用于承载多个 VLAN 的带标签报文（因为不同 VLAN 的流量需通过此接口传输到路由器，由路由器实现 VLAN 间通信）。
  配置命令示例（以华为设备为例）：port link-type trunk

• 允许相关 VLAN 通过 Trunk 接口
  需要明确允许单臂路由涉及的所有 VLAN（即需要跨 VLAN 通信的 VLAN）通过该 Trunk 接口，确保这些 VLAN 的带标签报文能正常传输到路由器。
  配置命令示例：port trunk allow-pass vlan {vlan-id1 vlan-id2 ... | all}（all表示允许所有 VLAN 通过）

五、交换机和路由器的对比

一、联系（共同点）

1. 都是网络传输设备：核心作用是实现数据在不同设备之间的传递，是构建局域网（LAN）或广域网（WAN）的基础组件。
2. 支持多设备连接：都具备多个物理接口（如以太网口），可同时连接电脑、手机、打印机等终端设备。
3. 依赖底层协议：都需要基于以太网等物理层 / 数据链路层协议工作，确保数据以电信号或光信号的形式传输。

二、区别（核心差异）

对比维度	交换机（Switch）	路由器（Router）
工作层次（OSI 模型）	主要工作在数据链路层（第二层）	工作在网络层（第三层）
核心功能	实现同一局域网内设备的高速互联，转发数据帧。	实现不同网络之间的通信（如局域网→互联网），转发数据包。
转发依据	基于MAC 地址（设备的物理地址，全球唯一）。	基于IP 地址（网络逻辑地址，可手动配置或自动分配）。
地址表类型	维护MAC 地址表（记录接口与连接设备 MAC 的对应关系）。	维护路由表（记录不同网络的路径信息，如 “到 192.168.1.0 网段从接口 A 走”）。
对广播的处理	不隔离广播域（同一交换机下的设备会收到广播包）。	隔离广播域（广播包无法通过路由器跨网络传播）。
核心作用场景	用于组建局域网内部连接（如办公室内电脑、服务器、打印机的互联）。	用于连接不同网络（如局域网与互联网、两个不同网段的局域网），是 “网络之间的网关”。
附加功能	基础交换机功能简单，高级交换机（如三层交换机）可支持部分路由功能、VLAN（隔离局域网内的广播域）等。	支持 NAT（网络地址转换，让局域网设备共享一个公网 IP 上网）、防火墙（过滤不安全数据）、DHCP（自动分配 IP 地址）等核心功能。

总结：VLAN技术与网络隔离通信的核心要点

VLAN（虚拟局域网）作为现代网络架构中实现逻辑隔离与灵活通信的核心技术，通过将物理局域网划分为多个虚拟广播域，从根本上解决了传统以太网广播泛滥、安全性不足的问题。本文围绕VLAN的技术原理、配置实践、动态管理及跨域通信展开，核心要点可归纳如下：

1. VLAN的核心价值：隔离与可控通信

VLAN的本质是“逻辑划分”——通过在交换机上配置VLAN，使同一VLAN内的设备可直接二层互访，不同VLAN设备默认二层隔离，既缩小广播域（减少网络拥塞），又提升安全性（限制未授权访问）。对于隔离网段的渗透场景，需通过控制网络设备（交换机/路由器）或利用跨网段主机（双网卡设备）实现跨域访问。

2. 技术基石：帧格式、链路类型与PVID

• VLAN帧格式：通过在以太网帧中添加VLAN标签（Tag），标记帧所属的VLAN ID，使交换机能识别并按VLAN规则转发。
• 链路类型：Access（连接终端，收发Untagged帧）、Trunk（连接交换机，承载多VLAN带Tag帧）、Hybrid（灵活支持Tagged/Untagged转发，兼顾终端与设备连接）是实现VLAN流量转发的基础。
• PVID（端口缺省VLAN）：为Untagged帧提供默认VLAN标签，确保终端设备（如PC）发送的无标签帧能被正确划分到对应VLAN，是VLAN划分的“锚点”。

3. 配置实践：从静态划分到动态管理

• 静态VLAN划分：基于端口配置Access/Trunk/Hybrid模式，明确VLAN成员及流量转发规则（如Access端口绑定单一VLAN，Trunk端口限制允许通过的VLAN），是中小型网络的主流方案。
• 动态VLAN管理（GVRP）：借助GARP协议的属性注册机制，GVRP实现VLAN信息在交换机间的自动传播（Join消息注册、Leave消息注销），减少人工配置量，适用于大型网络的VLAN同步。

4. 跨VLAN通信：路由技术的关键作用

VLAN的隔离性需通过路由技术打破：

• 物理连接：通过路由器多接口分别连接不同VLAN，实现跨域通信，但扩展性差。
• 单臂路由：交换机Trunk端口连接路由器子接口，子接口绑定VLAN并配置网关，仅需一条物理链路即可承载多VLAN流量，是中小型网络的高效方案。
• 三层交换机：通过VLANif接口（三层逻辑接口）直接实现VLAN间路由，兼顾二层转发效率与三层路由功能。

5. 设备角色：交换机与路由器的协同

交换机（二层）聚焦同一局域网内的VLAN划分与帧转发（基于MAC地址），路由器（三层）则负责不同网络（VLAN）间的数据包转发（基于IP地址），二者协同实现“隔离-通信”的平衡。三层交换机融合了二层转发与三层路由能力，是大型网络的优选。

结语

VLAN技术通过逻辑隔离与灵活配置，为网络赋予了“物理合一、逻辑分离”的特性，既满足了部门级隔离需求，又通过路由技术保障了必要的跨域通信。无论是静态配置的精准控制，还是GVRP的动态管理，其核心目标都是让网络更安全、高效、易维护。掌握VLAN的原理与实践，是构建现代企业网络、校园网络的基础，也是理解网络分层架构与设备协同的关键。