路由和交換技術(shù)（第四版）項(xiàng)目3使用VLAN技術(shù)隔離網(wǎng)絡(luò)目

錄任務(wù)1VLAN的應(yīng)用場(chǎng)景任務(wù)2VLAN的配置任務(wù)3VLAN間路由知識(shí)目標(biāo)了解VLAN的作用,掌握通過(guò)VLAN加強(qiáng)網(wǎng)絡(luò)管理;了解VLAN的類型,掌握各類型VLAN在網(wǎng)絡(luò)規(guī)劃中的作用;了解VLAN間通信原理,掌握VLAN間通信原理。能力目標(biāo)能進(jìn)行VLAN的創(chuàng)建、刪除配置;能將指定端口劃分到相應(yīng)的VLAN;能完成VLAN間的路由配置。

素質(zhì)目標(biāo)具有科技強(qiáng)國(guó)的思想;具有嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)。項(xiàng)目3使用VLAN技術(shù)隔離網(wǎng)絡(luò)VLAN的應(yīng)用場(chǎng)景3.1.1VLAN的作用3.1.2VLAN的類型任務(wù)

1項(xiàng)目3使用VLAN技術(shù)隔離網(wǎng)絡(luò)3.1.1VLAN的作用

VLAN是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域的通信技術(shù)。VLAN技術(shù)為了實(shí)現(xiàn)轉(zhuǎn)發(fā)控制，在待轉(zhuǎn)發(fā)的以太網(wǎng)幀中添加了VLAN標(biāo)簽（Tag），同時(shí)設(shè)定交換機(jī)端口對(duì)Tag和幀的處理方式，處理方式包括添加標(biāo)簽、轉(zhuǎn)發(fā)幀、移除標(biāo)簽、丟棄幀，如圖3-2所示。圖3-2帶Tag的VLAN任務(wù)1VLAN的應(yīng)用場(chǎng)景3.1.1VLAN的作用

VLAN技術(shù)的主要作用包括如下幾個(gè)方面：（1）限制廣播域可以將大型局域網(wǎng)劃分成多個(gè)小型的VLAN，廣播域也同時(shí)劃分成多個(gè)廣播域，廣播就被限制在同一個(gè)VLAN內(nèi)，節(jié)省同一個(gè)VLAN的帶寬，提高了網(wǎng)絡(luò)處理能力。（2）增強(qiáng)局域網(wǎng)的安全性不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，這就保障網(wǎng)絡(luò)數(shù)據(jù)只能在有限的范圍內(nèi)傳遞，可以實(shí)現(xiàn)對(duì)VLAN的靈活控制。（3）提高網(wǎng)絡(luò)的健壯性VLAN內(nèi)主機(jī)是在一個(gè)獨(dú)立的邏輯域中工作，當(dāng)一個(gè)VLAN內(nèi)產(chǎn)生網(wǎng)絡(luò)病毒、環(huán)路等網(wǎng)絡(luò)故障也被限制在一個(gè)VLAN內(nèi)，本VLAN內(nèi)的網(wǎng)絡(luò)故障不會(huì)影響其他VLAN的正常工作。（4）靈活構(gòu)建虛擬工作組VLAN技術(shù)可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍內(nèi)，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活，突破了空間限制。

任務(wù)1VLAN的應(yīng)用場(chǎng)景3.1.1VLAN的作用

VLAN是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域的通信技術(shù)。VLAN技術(shù)為了實(shí)現(xiàn)轉(zhuǎn)發(fā)控制，在待轉(zhuǎn)發(fā)的以太網(wǎng)幀中添加了VLAN標(biāo)簽（Tag），同時(shí)設(shè)定交換機(jī)端口對(duì)Tag和幀的處理方式，處理方式包括添加標(biāo)簽、轉(zhuǎn)發(fā)幀、移除標(biāo)簽、丟棄幀，如圖3-2所示。圖3-2帶Tag的VLAN步驟1:

初始情況,交換機(jī)的MAC地址表是空的。

步驟2:

PC1發(fā)送數(shù)據(jù)幀給PC2。交換機(jī)GE0/0/1口接收到數(shù)據(jù)幀后,在MAC地址表中查詢?cè)搸哪康腗AC地址,發(fā)現(xiàn)沒(méi)有對(duì)應(yīng)表項(xiàng),則收到的數(shù)據(jù)幀是“未知單播幀”。

任務(wù)1VLAN的應(yīng)用場(chǎng)景3.1.2VLAN的類型

現(xiàn)代網(wǎng)絡(luò)中使用的VLAN有許多不同的類型，VLAN的類型也可以理解為VLAN的劃分方式。1.基于端口劃分VLAN本方式根據(jù)設(shè)備的端口號(hào)來(lái)劃分VLAN，就是靜態(tài)的把指定的交換機(jī)端口劃分到對(duì)應(yīng)的VLAN內(nèi)，那么它就固定在這個(gè)VLAN下，采用基于端口劃分VLAN的方式，可以非常簡(jiǎn)單地定義分級(jí)成員，是常用的一種VLAN劃分方式，本方式在終端用戶物理位改變時(shí)需要重新配置VLAN。2.基于MAC地址劃分VLAN本方式根據(jù)網(wǎng)絡(luò)管理員配置接入終端設(shè)備的MAC地址和VLANID的映射關(guān)系表，當(dāng)終端設(shè)備通過(guò)交換機(jī)發(fā)送數(shù)據(jù)時(shí)，交換機(jī)端口收到一個(gè)終端設(shè)備的MAC地址，如果匹配的就動(dòng)態(tài)劃分到對(duì)應(yīng)的VLAN內(nèi)，本方式在終端用戶物理位改變時(shí)，不需要重新劃分VLAN，提高了終端用戶的安全性和接入的靈活性，但需要提前采集用戶終端設(shè)備的MAC。3.基于子網(wǎng)劃分VLAN本方式只看用戶的IP子網(wǎng)形式，根據(jù)報(bào)文中的IP地址信息，確定添加VLANID比，例如規(guī)定一個(gè)192.168.1.0/24的網(wǎng)段劃分到VLAN20，那么配置了該網(wǎng)段IP的PC連接的接口就會(huì)動(dòng)態(tài)劃分到VLAN20。本方式可以減輕網(wǎng)絡(luò)管理員的任務(wù)量，提高了網(wǎng)絡(luò)管理的便利性，但不利于對(duì)終端設(shè)備接入的安全控制。

任務(wù)1VLAN的應(yīng)用場(chǎng)景3.1.2VLAN的類型

現(xiàn)代網(wǎng)絡(luò)中使用的VLAN有許多不同的類型，VLAN的類型也可以理解為VLAN的劃分方式。4.基于協(xié)議劃分VLAN本方式比較特殊，可以根據(jù)交換機(jī)端口接收到的報(bào)文所屬協(xié)議類型及封裝格，給報(bào)文分配不同的VLANID，例如能基于IPV4、IPV6、二層以太網(wǎng)等協(xié)議簇劃分。5.基于策略劃分VLAN本方式只有華為設(shè)備才支持，是基于MAC地址、IP地址、端口組合策略劃分VLAN，使用該方式劃分VLAN必須在交換機(jī)上配置終端設(shè)備的MAC地址和IP地址，并與VLAN關(guān)聯(lián)。只有符合條件的終端設(shè)備才能加入指定VLAN。符合策略的終端設(shè)備加入指定VLAN后，嚴(yán)禁修改IP地址或MAC地址，否則會(huì)導(dǎo)致終端設(shè)備從指定VLAN中退出。采用基于策略劃分VLAN的方式，成功劃分VIAN后，禁止用戶改變IP地址或MAC地址，安全性非常高。相較于其他VLAN劃分方式，基于策略劃分VIAN是優(yōu)先級(jí)最高的劃分方式。當(dāng)終端設(shè)備同時(shí)支持多種VLAN劃分方式時(shí)，一般情況下的優(yōu)先使用順序如下：基于策略（優(yōu)先級(jí)最言）→基于子網(wǎng)→基于協(xié)議→基于MAC地址→基于端口（優(yōu)先級(jí)最低）。

任務(wù)1VLAN的應(yīng)用場(chǎng)景3.2.1VLAN配置3.2.2配置案例一：?jiǎn)谓粨Q機(jī)VLAN的配置任務(wù)2VLAN的配置

項(xiàng)目3使用VLAN技術(shù)隔離網(wǎng)絡(luò)3.2.2配置案例二：跨交換機(jī)VLAN的配置3.2.1VLAN配置1.VLAN規(guī)劃

實(shí)際工作中，網(wǎng)絡(luò)工程師一般會(huì)依據(jù)具體業(yè)務(wù)管理、業(yè)務(wù)訪問(wèn)控制、部門范圍、樓宇位置、用戶數(shù)量、網(wǎng)絡(luò)子網(wǎng)等實(shí)際需求進(jìn)行VLAN規(guī)劃，不同的VLAN用VLANID進(jìn)行區(qū)別。VLANID是12位，交換機(jī)一般可以劃分255個(gè)VLAN，每個(gè)VLAN的ID范圍從0到4095，其中0和4095被保留，有效VLAN的ID范圍為1-4094，用于區(qū)分不同的VLAN。ID的作用可以設(shè)置TAG和UNTAG屬性，使交換機(jī)端口的上下行數(shù)據(jù)幀標(biāo)記標(biāo)簽，如圖3-3所示。。圖3-3VLAN拓?fù)鋱D

任務(wù)2VLAN的配置2.VLAN的添加與刪除

實(shí)際工作中規(guī)劃好VLAN后，就可以在交換機(jī)系統(tǒng)視圖下創(chuàng)建VLAN，執(zhí)行【vlan<vlan-id>】命令；如果想要?jiǎng)h除一個(gè)VLAN，在交換機(jī)系統(tǒng)視圖下，執(zhí)行【undovlan<vlan-id>】命令。例如，在系統(tǒng)視圖下，執(zhí)行【vlan10】命令后，就創(chuàng)建了VLAN10，并進(jìn)入了VLAN10視圖。vlan-id的取值是1～4094。如需創(chuàng)建多個(gè)VLAN，則在交換機(jī)上執(zhí)行【vlanbatch｛vlan-idl［tovlan-id3｝】命令，可以創(chuàng)建多個(gè)連續(xù)的VLAN；執(zhí)行【vlanbatch｛vlan-idlvlan-id3｝】命令，可以創(chuàng)建多個(gè)不連續(xù)的VLAN,vlan-id之間需要有空格。例如，執(zhí)行【vlanbatch203050】命令后，就創(chuàng)建了VLAN20,VLAN30和VLAN50。

例1:使用【vlan】命令為交換機(jī)創(chuàng)建VLAN10、VLAN20、VLAN30、VLAN40，命令執(zhí)行結(jié)果如圖3-4所示。[Huawei]vlan10[Huawei-vlan10]vlan20[Huawei-vlan20]vlan30[Huawei-vlan30]vlan40[Huawei-vlan40]quit[Huawei]displayvlan

任務(wù)2VLAN的配置圖3-4查看非連續(xù)VLAN信息任務(wù)2VLAN的配置2.VLAN的添加與刪除

例2：使用【vlanbatch】命令為交換機(jī)創(chuàng)建獨(dú)立VLAN，VLAN10、VLAN20、VLAN30、VLAN40，命令執(zhí)行結(jié)果如圖3-4所示；[Huawei]vlanbatch10203040[Huawei]displayvlan例3：使用【vlanbatch】命令為交換機(jī)創(chuàng)建連續(xù)VLAN，VLAN10、VLAN11、VLAN12、VLAN13，命令執(zhí)行結(jié)果如圖3-5所示；[Huawei]vlanbatch10to13[Huawei]displayvlan。圖3-5查看連續(xù)VLAN信息任務(wù)2VLAN的配置2.VLAN的添加與刪除3.Access端口和Trunk端口的配置

在交換機(jī)上創(chuàng)建VLAN后，管理員就可以進(jìn)入規(guī)劃的交換機(jī)端口，在端口視圖下，使用【portlink-type｛access|trunk|hybrid｝】命令，可以修改對(duì)應(yīng)端口的模式。當(dāng)修改端口為Access模式后，需要配合【portdefaultvlan<vlan-id>】命令，配置端口的PVID；當(dāng)修改端口為Trunk模式后，需要使用【porttrunkallow-passvlan｛vlan-id1［towlan-id2］｝】命令，配置Trunk允許哪些VLAN通過(guò)。例1：修改交換機(jī)的GEO/0/1端口為Access模式，并配置端口的PVID為VLAN10，同時(shí)修改交換機(jī)的GE0/0/24端口為Trunk模式，配置其允許VLAN10、VLAN20通過(guò)。

華為交換機(jī)的端口Access模式中，交換機(jī)的每個(gè)端口都被配置為一個(gè)單一的VLAN。與Access模式不同，Trunk模式允許交換機(jī)的一個(gè)端口同時(shí)屬于多個(gè)VLAN。在交換機(jī)端口的選擇與配置的過(guò)程中，同學(xué)們一定要養(yǎng)成嚴(yán)謹(jǐn)?shù)墓ぷ髁?xí)慣，分清楚交換機(jī)端口的具體工作模式，再進(jìn)行端口的配置。[Huawei]interfaceGigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1]portlink-typeaccess[Huawei-GigabitEthernet0/0/1]portdefaultvlan10[Huawei-GigabitEthernet0/0/1]quit[Huawei]interfaceGigabitEthernet0/0/24[Huawei-GigabitEthernet0/0/24]portlink-typetrunk[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvian1020任務(wù)2VLAN的配置4.檢查VLAN信息

創(chuàng)建VLAN后，可以使用命令查看已創(chuàng)建的VLAN信息。檢查VLAN相關(guān)信息的命令如下。（1）創(chuàng)建VLAN后，可以執(zhí)行【displayvlan】命令驗(yàn)證配置結(jié)果。如果不指定任何參數(shù)，則該命令將顯示所有VLAN的簡(jiǎn)要信息，如圖3-5所示。（2）執(zhí)行

【displayvlansummary】命令，可以查看系統(tǒng)中所有VLAN的匯總信息，如圖3-6所示。（3）執(zhí)行【displayvlan［vlan-id［verbose］］】命令，可以查看指定VLAN的詳細(xì)信息，包括VLANID、類型、描述、VLAN的狀態(tài)、VLAN中的端口及VLAN中端口的模式等，如圖3-7所示。（4）執(zhí)行

【displayvlanvlan-idstatistics】命令，可以查看指定VLAN中的流量統(tǒng)計(jì)信息。圖3-6查看VLAN匯總信息

圖3-7查看vlan詳細(xì)信息任務(wù)2VLAN的配置1.VLAN規(guī)劃

連接在交換機(jī)GE0/0/11、GE0/0/12端口上；教務(wù)處創(chuàng)建VLAN20，PC分別為JW1、JW2，連接在交換機(jī)GE0/0/21、GE0/0/22端口上，使兩個(gè)部門內(nèi)部的PC可以互相通信，跨部門的PC不能互相通，VLAN規(guī)劃見(jiàn)表3-1，拓?fù)湟?guī)劃如圖3-8所示。表3-1單VLAN規(guī)劃部門計(jì)算機(jī)名交換機(jī)端口VLANIDIP地址財(cái)務(wù)處CW11110192.168.10.11/24CW21210192.168.10.12/24教務(wù)處JW12120192.168.20.21/24JW22220192.168.20.22/24

任務(wù)2VLAN的配置3.2.2配置案例一：?jiǎn)谓粨Q機(jī)VLAN的配置3.2.2配置案例一：?jiǎn)谓粨Q機(jī)VLAN的配置

拓?fù)鋱D如下所示：圖3-8單交換機(jī)VLAN拓?fù)鋱D任務(wù)2VLAN的配置2.配置過(guò)程

1）創(chuàng)建并描述VLAN10和VLAN20。

2）配置財(cái)務(wù)處和教務(wù)處的PC連接交換機(jī)端口為Access模式，并分別加入的VLAN10和VLAN20。<Huawei>system-view[Huawei]vlanbatch1020[Huawei]vlan10[Huawei-vlan10]descriptionThisisCaiwuchuVLAN.[Huawei-vlan10]vlan20[Huawei-vlan20]descriptionThisisJiaowuchuVLAN.[Huawei]interfaceGigabitEthernet0/0/11[Huawei-GigabitEthernet0/0/11]portlink-typeaccess[Huawei-GigabitEthernet0/0/11]portdefaultvlan10[Huawei-GigabitEthernet0/0/11]quit[Huawei]interfaceGigabitEthernet0/0/12任務(wù)2VLAN的配置2.配置過(guò)程2）配置財(cái)務(wù)處和教務(wù)處的PC連接交換機(jī)端口為Access模式，并分別加入的VLAN10和VLAN20。[Huawei-GigabitEthernet0/0/12]portlink-typeaccess[Huawei-GigabitEthernet0/0/12]portdefaultvlan10[Huawei-GigabitEthernet0/0/12]quit[Huawei]interfaceGigabitEthernet0/0/21[Huawei-GigabitEthernet0/0/21]portlink-typeaccess[Huawei-GigabitEthernet0/0/21]portdefaultvlan20[Huawei-GigabitEthernet0/0/21]quit[Huawei]interfaceGigabitEthernet0/0/22[Huawei-GigabitEthernet0/0/22]portlink-typeaccess[Huawei-GigabitEthernet0/0/22]portdefaultvlan20[Huawei-GigabitEthernet0/0/22]quit任務(wù)2VLAN的配置2.配置過(guò)程3）在交換機(jī)上執(zhí)行【displayvlan】命令，查看交換機(jī)創(chuàng)建的VLAN信息和端口劃分VLAN信息，如圖3-9所示。圖3-9查看VLAN信息任務(wù)2VLAN的配置3.2.3配置案例二：跨交換機(jī)VLAN的配置以某學(xué)校辦公樓的財(cái)務(wù)處和教務(wù)為例，為財(cái)務(wù)處創(chuàng)建VLAN10，PC分別為CW1、CW2，其中PC機(jī)CW1連接在交換機(jī)SW1的GE0/0/10端口上，CW2連接在交換機(jī)SW2的GE0/0/10端口上；教務(wù)處創(chuàng)建VLAN20，PC分別為JW1、JW2，其中JW1連接在交換機(jī)SW1的GE0/0/20端口上，JW2連接在交換機(jī)SW2的GE0/0/20端口上，使兩個(gè)部門內(nèi)部的PC可以互相通信，跨部門的PC不能互相通信，VLAN規(guī)劃見(jiàn)表3-2，拓?fù)湟?guī)劃如圖3-11所示。表3-2單VLAN規(guī)劃部門計(jì)算機(jī)名交換機(jī)名稱交換機(jī)端口VLANIDIP地址財(cái)務(wù)處CW1SW11010192.168.10.11/24CW2SW21010192.168.10.12/24教務(wù)處JW1SW12020192.168.20.21/24JW2SW22020192.168.20.22/24任務(wù)2VLAN的配置1.VLAN規(guī)劃1.VLAN規(guī)劃拓?fù)鋱D如下所示：圖3-11多交換機(jī)VLAN拓?fù)鋱D任務(wù)2VLAN的配置1）SW1、SW2分別創(chuàng)建并描述VLAN10和VLAN20，以SW1配置為例。<Huawei>system-view[Huawei]sysnameSW1[SW1]vlanbatch1020[SW1]vlan10[SW1-vlan10]descriptionThisisCaiwuchuVLAN.[SW1-vlan10]vlan20[SW1-vlan20]descriptionThisisJiaowuchuVLAN.任務(wù)2VLAN的配置2.配置過(guò)程2）配置財(cái)務(wù)處和教務(wù)處的PC連接交換機(jī)端口為Access模式，并分別加入的VLAN10和VLAN20，以SW1配置為例。[SW1]interfaceGigabitEthernet0/0/10[SW1-GigabitEthernet0/0/10]portlink-typeaccess[SW1-GigabitEthernet0/0/10]portdefaultvlan10[SW1-GigabitEthernet0/0/10]quit[SW1]interfaceGigabitEthernet0/0/20[SW1-GigabitEthernet0/0/20]portlink-typeaccess[SW1-GigabitEthernet0/0/20]portdefaultvlan20[SW1-GigabitEthernet0/0/20]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typetrunk[SW1-GigabitEthernet0/0/24]porttrunkallow-passvlan1020[SW1-GigabitEthernet0/0/24]quit任務(wù)2VLAN的配置2.配置過(guò)程3）在交換機(jī)SW1上執(zhí)行【displayvlan】命令，查看交換機(jī)創(chuàng)建的VLAN信息和端口劃分VLAN信息，如圖3-12所示。圖3-12查看VLAN信息任務(wù)2VLAN的配置2.配置過(guò)程4）保存VLAN配置信息[SW1]quit<SW1>save5）驗(yàn)證配置信息

在計(jì)算機(jī)上使用【Ping】命令，分別測(cè)試各PC的連通性；些時(shí)，財(cái)務(wù)處的PC間可能通信，教務(wù)處的PC間也可以通信，但財(cái)務(wù)處與教務(wù)處的PC間無(wú)法通信，如圖3-11所示。圖3-11多交換機(jī)VLAN拓?fù)鋱D任務(wù)2VLAN的配置2.配置過(guò)程3.3.1什么是VLAN間路由3.3.2配置邏輯接口任務(wù)3VLAN間路由項(xiàng)目3使用VLAN技術(shù)隔離網(wǎng)絡(luò)3.3.3

配置案例三：三層交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)互訪

前面提到交換機(jī)VLAN技術(shù)在二層上對(duì)流量進(jìn)行了規(guī)劃，使得不同VLAN內(nèi)的終端設(shè)備屬于不同的廣播域，在實(shí)際生產(chǎn)網(wǎng)絡(luò)中也經(jīng)常會(huì)將不同網(wǎng)段劃分到不同的VLAN中，但是有時(shí)候又需要不同網(wǎng)段間跨VLAN進(jìn)行通信，這時(shí)候就需要用到VLAN間路由的方法。VLAN間路由是指當(dāng)需要在不同的VLAN之間傳輸數(shù)據(jù)時(shí)，需要通過(guò)特定的三層設(shè)備如路由器來(lái)進(jìn)行路由和轉(zhuǎn)發(fā)，在保證網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)潔性的基礎(chǔ)上，實(shí)現(xiàn)不同部門或者用戶群之間的通信需求。實(shí)現(xiàn)VLAN間通信的方法主要有3種：多臂路由、單臂路由、三層路由。任務(wù)3VLAN間路由3.3.1什么是VLAN間路由任務(wù)3VLAN間路由1.多臂路由

如圖3-13所示，在路由器ROUTER上為每個(gè)VLAN分配一個(gè)單獨(dú)的接口，并使用一條物理鏈路連接到二層交換機(jī)SWITCH端口上。當(dāng)VLAN10的CW1PC主機(jī)和VLAN20間的JW1PC主機(jī)需要通信時(shí)，數(shù)據(jù)會(huì)經(jīng)由ROUTER選擇路由，并被轉(zhuǎn)發(fā)到目的VLAN內(nèi)的主機(jī)，這樣就可以實(shí)現(xiàn)VLAN10和VLAN20間主機(jī)的相互通信。然而，如果每臺(tái)交換機(jī)上VLAN數(shù)量大量增加，那么路由器與交換機(jī)連接的端口數(shù)量必然需要大量增加，而路由器的端口數(shù)量是極其有限的。除此這外，某些VLAN之間的主機(jī)可能不需要頻繁進(jìn)行通信，如果也這樣配置，就會(huì)導(dǎo)致路由器的接口利用率很低。因此，在實(shí)際應(yīng)用中，一般不會(huì)采用多臂路由來(lái)解決VLAN間的通信問(wèn)題。圖3-13多臂路由2.單臂路由圖3-14單臂路由

在SWITCH上，把與ROUTER連接的端口，配置成Trunk模式的端口，并允許VLAN10、VLAN20的幀通過(guò)。在路由器上創(chuàng)建子接口（Sub-Interface），邏輯上把連接路由器的物理鏈路分成了多條鏈路（每個(gè)子接口對(duì)應(yīng)一個(gè)VLAN）。這些子接口的IP地址各不相同，每個(gè)子接口的IP地址應(yīng)該配置該子接口所對(duì)應(yīng)VLAN的終端設(shè)備IP地址的默認(rèn)網(wǎng)關(guān)。

子接口是一個(gè)邏輯上的概念，所以子接口常被稱為虛接口。配置子接口時(shí)，需要注意以下幾點(diǎn)。1）必須為每個(gè)子接口分配一個(gè)IP地址。該IP地址與子接口所屬的VLAN位于同一網(wǎng)段，并做為該VLAN終端設(shè)備的網(wǎng)關(guān)。2）需要在子接口上配置IEEE802.1g封裝。3）在子接口上執(zhí)行【arpbroadcastenable】命令啟用子接口的ARP廣播功能。本例中，CW1發(fā)送數(shù)據(jù)給JW1時(shí)，路由器ROUTER會(huì)通過(guò)GE0/0/1.1子接口收到此數(shù)據(jù)，并查找路由表，將數(shù)據(jù)從GE0/0/1.2子接口發(fā)送給JW1，這樣就實(shí)現(xiàn)了VLAN10和VLAN20之間的主機(jī)的通信。任務(wù)3VLAN間路由3.三層交換

相對(duì)于多臂路由，單臂路由可以節(jié)約路由器的接口資源，但當(dāng)VLAN數(shù)量較多，VLAN間的通信流量很大時(shí)，單臂鏈路所能提供的帶寬有可能無(wú)法支撐這些通信流量。而三層交換設(shè)備較好地解決了接口數(shù)量和交換帶寬問(wèn)題。

三層交換技術(shù)是在交換機(jī)中引入路由模塊，從而實(shí)現(xiàn)“路由器+二層交換機(jī)”的網(wǎng)絡(luò)技術(shù)，這種集成了三層數(shù)據(jù)包路由轉(zhuǎn)發(fā)功能的交換機(jī)被稱為三層交換機(jī)。

三層交換機(jī)中每個(gè)VLAN對(duì)應(yīng)一個(gè)IP網(wǎng)段，VLAN之間是隔離的，但不同IP網(wǎng)段之間的訪問(wèn)要跨越VLAN，它需要使用三層轉(zhuǎn)發(fā)引擎提供的VLAN間路由功能來(lái)實(shí)現(xiàn)。

三層交換機(jī)本身提供了路由功能，因此不需要額外借助路由器來(lái)轉(zhuǎn)發(fā)不同VLAN間的流量，當(dāng)需要與其他VLAN通信時(shí)，可以在三層路由轉(zhuǎn)發(fā)引擎上分配一個(gè)路由接口（邏輯接口VLANIF），用來(lái)作為VLAN內(nèi)終端設(shè)備的網(wǎng)關(guān)，實(shí)現(xiàn)不同VLAN間的終端設(shè)備通信。如圖3-15所示。。圖3-15三層交換任務(wù)3VLAN間路由3.3.2配置邏輯接口

在三層交換機(jī)上配置邏輯接口VLANIF來(lái)實(shí)現(xiàn)VLAN間路由。如果網(wǎng)絡(luò)中有多個(gè)VLAN，則需要給每個(gè)VLAN配置一個(gè)VLANIF接口，并給每個(gè)VLANIF接口配置一個(gè)IP地址。用戶設(shè)置的默認(rèn)網(wǎng)關(guān)就是三層交換機(jī)中VLANIF接口的IP地址。這樣就可以實(shí)現(xiàn)VLAN間終端設(shè)備互相通信。1.執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。

<Huawei>system-viewEntersystemview,returnuserviewwithCtrl+Z.

[Huawei]

2.創(chuàng)建邏輯接口VLAN[Huawei]vlan103.創(chuàng)建邏輯接口VLANIF

在系統(tǒng)視圖中，執(zhí)行命令interfacevlanifvlan-id，創(chuàng)建VLANIF接口，并進(jìn)入VLANIF接口視圖。

[Huawei]interfacevlanif10任務(wù)3VLAN間路由4.配置邏輯接口VLANIFIP地址

在邏輯接口視圖中，執(zhí)行命令ipaddressip-address{mask|mask-length}[sub]，配置VLANIF接口的IP地址。[Huawei-Vlanif10]ipaddress192.168.10.254255.255.255.05.配置邏輯接口MTU

在邏輯接口視圖中，執(zhí)行命令mtumtu，配置VLANIF接口的MTU。缺省情況下，MTU取值為1500字節(jié)。

[Huawei-Vlanif10]mtu20006.查看邏輯接口

在系統(tǒng)使用，displayinterfacevlanifvlan-id，可以查看VLANIF接口的狀態(tài)信息。

[Huawei]disinterfacevlanif10任務(wù)3VLAN間路由3.3.2配置邏輯接口3.3.3配置案例三：三層交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)互訪1.VLAN規(guī)劃

以某學(xué)校辦公樓的財(cái)務(wù)處和教務(wù)為例，為財(cái)務(wù)處創(chuàng)建VLAN10，PC為CW1，其中PC機(jī)CW1連接在交換機(jī)SWITCH的GE0/0/10端口上；教務(wù)處創(chuàng)建VLAN20，PC為JW1，其中JW1連接在交換機(jī)SWITCH的GE0/0/20端口上，使兩個(gè)部門的PC能互相通信，VLAN規(guī)劃見(jiàn)表3-3，拓?fù)湟?guī)劃如圖3-16所示。

圖3-16三層交換任務(wù)3VLAN間路由3.3.3配置案例三：三層交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)互訪1.VLAN規(guī)劃

以某學(xué)校辦公樓的財(cái)務(wù)處和教務(wù)為例，為財(cái)務(wù)處創(chuàng)建VLAN10，PC為CW1，其中PC機(jī)CW1連接在交換機(jī)SWITCH的GE0/0/10端口上；教務(wù)處創(chuàng)建VLAN20，PC為JW1，其中JW1連接在交換機(jī)SWITCH的GE0/0/20端口上，使兩個(gè)部門的PC能互相通信，VLAN規(guī)劃見(jiàn)表3-3所示。任務(wù)3VLAN間路由表3-3單VLAN規(guī)劃部門計(jì)算機(jī)名交換機(jī)名稱交換機(jī)端口VLANIDIP地址財(cái)務(wù)處CW1SWITCH1010192.168.10.1/24教務(wù)處JW1SWITCH2020192.168.20.2/243.3.3配置案例三：三層交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)互訪2.配置過(guò)程1）創(chuàng)建并描述VLAN10和VLAN20。任務(wù)3VLAN間路由<Huawei>system-view[Huawei]sysnameSWITCH[SWITCH]vlanbatch1020[SWITCH]vlan10[SWITCH-vlan10]descriptionThisisCaiwuchuVLAN.[SWITCH-vlan10]vlan20[SWITCH-vlan20]descriptionThisisJiaowuchuVLAN.3.3.3配置案例三：三層交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)互訪2.配置過(guò)程2）配置財(cái)務(wù)處和教務(wù)處的PC連接交換機(jī)端口為Access模式，并分別加入的VLAN10和VLAN20。任務(wù)3VLAN間路由[SWITCH]in