“網路極客”，全新視角、全新思路，同你遨遊神奇的網路世界。

華為交換機上劃分VLAN是很簡單的，在劃分的同時需要了解什麼是VLAN？為什麼要劃分VLAN？我們先從VLAN的定義入手，然後在看看VLAN如何劃分。

什麼是VLAN

VLAN是Virtual Local Area Network的簡稱，虛擬區域網的意思。

虛擬區域網是指從邏輯上將物理網路進行隔離，使網路不在受物理地域的限制，透過VLAN有效的將處於同一個區域網下的使用者進行了隔離，使得跨部門之間可以杜絕直接訪問，有效隔離了區域網的廣播包。

劃分步驟

那麼，在來看看華為交換機中劃分VLAN的步驟吧

1.進入配置模式

2.建立VLAN

3.將埠加入VLAN

4.儲存

配置舉例

<switch> system-view

[switch] vlan 10

[switch vlan 10] port E0/8 to E0/18

[switch vlan 10] quit

[switch] save

以上，就是華為交換機劃分VLAN的具體步驟。

一、組網需求：

匯聚層交換機做為 PC 電腦的閘道器，

PC3直連 SW2 屬於 vlan 2，閘道器為 vlanif 2 介面地址192.168.2.1/24;

PC4直連 SW2 屬於 vlan 3，閘道器為 vlanif 3 介面地址 192.168.3.1/24；

PC5直連 SW3 屬於 vlan 4，閘道器為 vlanif 4 介面地址 192.168.4.1/24；

透過配置實現各PC 電腦之間的互訪通訊：

SW3不做配置即可

詳細配置步驟：

建立 vlan

<SW1> system-view //進入系統模式

[SW1] vlan batch 2 to 5 //批次新建 vlan 2 到 5

把介面加入相應 vlan，並配置埠屬性。

# SW1----SW2---PC，介面配置成 trunk 模式

[SW1] interface GigabitEthernet 0/0/2

[SW1-GigabitEthernet0/0/2] port link-type trunk //鏈路型別為 trunk 模式[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 3

[SW1-GigabitEthernet0/0/2] quit#

SW1---SW3---PC，介面配置成 access 模式

[SW1] interface GigabitEthernet0/0/3

[SW1-GigabitEthernet0/0/3] port link-type access //鏈路型別為 access[SW1-GigabitEthernet0/0/3] port default vlan 4

[SW1-GigabitEthernet0/0/3] quit

配置 IP 地址做為 PC 電腦的閘道器

[SW1] interface Vlanif 2 /進入三層 vlanif2 介面[SW1-Vlanif2] ip address 192.168.2.1 255.255.255.0 //配置 ip 地址

[SW1-Vlanif2] quit //退出 vlanif2 介面

[SW1] interface Vlanif 3

[SW1-Vlanif3] ip address 192.168.3.1 255.255.255.0

[SW1-Vlanif3] quit

[SW1] interface Vlanif 4

[SW1-Vlanif4] ip address 192.168.4.1 255.255.255.0

[SW1-Vlanif4] quit

配置 ip 地址實現和 R 路由器互聯

[SW1] interface Vlanif 5

[SW1-Vlanif5] ip address 192.168.5.1 24 //對接 R 路由器的互聯 IP 地址配置完成後儲存配置

<SW1> save

建立 vlan<Huawei> system-view //進入系統模式[Huawei] sysname SW2 //修改系統名從

[SW2] vlan batch 2 3 //新建 vlan 2 3介面

透傳 vlan# SW2----SW1，介面配置成 trunk 模式

[SW2] interface GigabitEthernet0/0/1

[SW2-GigabitEthernet0/0/1] port link-type trunk //配置鏈路型別為 trunk

[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3

[SW2-GigabitEthernet0/0/1] quit

SW2---PC，介面需要配置成 access 模式

[SW2] interface GigabitEthernet0/0/23 //對接 PC1

[SW2-GigabitEthernet0/0/23] port link-type access //鏈路型別為 access[SW2-GigabitEthernet0/0/23] port default vlan 2

[SW2-GigabitEthernet0/0/23] quit

[SW2] interface GigabitEthernet0/0/24 //對接 PC2

[SW2-GigabitEthernet0/0/24] port link-type access

[SW2-GigabitEthernet0/0/24] port default vlan 3

[SW2-GigabitEthernet0/0/24] quit

<SW2> save

此時PC3和PC4能夠互通，和PC5不能夠互通，驗證一下

思科有動態註冊vlan協議VTP,華為有GVRP。但是這兩種協議都不建議使用，也不能夠混合使用，無法相容。所以在實際組網中不建議使用GVRP和VTP，那麼怎麼解決呢？實際工作中還是建議手動配置每個裝置的vlan，可以採用網管批次配置，或者預先寫好配置，後刷配置的方式快速配置。如果還是感覺太麻煩了怎麼辦呢 ？可以使用第三方管理軟體對vlan進行統一的管理，比如咱們的SDN技術，由控制器來進行統一管理，當然這是後話。現在階段處於成本和安全考慮的話，咱們最好還是手動建立配置vlan的方式最為安全和合理 。

劃分vlan，有多種方式。具體可以從：建立vlan、配置介面兩個步驟入手。

華為交換機，建立vlan，以命令列（系統檢視）為例，有單個建立和批次建立的方式：

如下圖，建立單個vlan。

如下圖，批次建立vlan。

基於介面的vlan，應用範圍廣，管理簡便

如下圖，使接入交換機GE0/0/1的裝置處於vlan100，接入GE0/0/2的裝置處於vlan200。

1、建立vlan

2、配置介面

如下圖，進入對應的介面，配置介面的（Hybrid介面型別）的pvid，以untag方式透過。

如果是Access介面型別，則指定所屬vlan就行：port default vlan 100。

PC2對應的GE0/0/2同理。

3、驗證

如下圖，從mac地址表可以看出，PC對應的MAC已加入指定的vlan。

基於MAC地址劃分vlan，安全性高，管理不便。如下圖，vlan 300 和 vlan 400，作為mac-vlan，根據PC3和PC4的mac地址劃分不同vlan。

1、建立vlan

建立 vlan並進入vlan，將pc3的mac新增進來。

2、配置介面

如下圖，進入介面，開啟 mac-vlan，並以untag方式透過。其實也可以untag所有業務vlan，基於mac地址劃分vlan的好處就是，PC不會根據接入的介面而導致所屬vlan發生變化。

vlan400對應的GE0/0/4同理。

3、驗證

相應的PC已加入指定的vlan。

基於子網劃分 vlan，較靈活，便於管理，但安全性低。

如下圖，根據PC5和PC6的不同網段來劃分vlan（vlan500和vlan600），但這種場景只適用於靜態IP網路環境。

1、建立vlan，開啟基於子網vlan的功能

如下圖，開啟基於子網的vlan，並且指定網段或者IP。

2、配置介面

如下圖，進入介面，以untag的方式放行vlan，並且啟用子網 vlan。

vlan600和GE0/0/6的配置同理。

3、驗證

如下圖，PC加入到了對應的vlan上。

基於協議劃分vlan，適用於不同協議終端的場景

如下圖，根據PC使用的IP地址（ipv4和ipv6），劃分vlan。

1、建立 vlan，開啟基於協議的 vlan功能

建立vlan，指定協議vlan對應的協議型別。本例是ipv4。

2、配置介面

進入介面，以untag方式透過vlan，開啟協議vlan。有多少協議vlan，就執行幾次protocol-vlan把所有協議vlan都新增到介面，這樣可以實現裝置接入不同介面保持vlan不變。

vlan 800和GE0/0/8的配置同理。

3、驗證

pc7和pc8都加入到了指定的 vlan。

也可以透過命令看下協議 vlan的配置資訊。

策略vlan，使用在一些比較特殊的場景

如下圖，策略 vlan可以根據PC的mac地址和IP地址，以及所接入的介面，劃分為不同vlan。

例如本例，我要讓pc10（54-89-98-CB-18-36）的ip為192.168.10.2，接在GE0/0/10的時候，屬於vlan 1000，其餘裝置接入，這樣可以阻止別的PC在這個介面接入，並且也限制了PC的IP地址，配合在其它裝置上所做的策略，將安全性提至最高階。屬

1、配置介面，因為配置策略vlan必須關聯介面，所以要先配置好介面。

2、建立vlan，並配置策略vlan。

配置 vlan1000

3、驗證

當PC的IP地址不變時，可以ping通閘道器。

當PC私自更改IP地址時，無法ping通閘道器。

當更換PC（更換MAC地址）時，無法ping通閘道器。

基於子網和策略vlan，因為關係到ip地址，是基於網路層的vlan劃分，所以交換機必須有對應vlan的三層介面。

以上是華為交換機根據需求不同，選擇5種不同劃分 vlan的方式，這裡只是簡單的說明舉例，實際場景需要配合整個網路架構，調節不同的配置引數，例如優先順序等等。

vlan是區域網應用最為廣泛的技術，是個很深入的話題，在這裡沒法做太多延伸，請諒解。

沒理解題主的意思，什麼叫正確劃分VLAN?VLAN的作用就是分割廣播域，把不同的業務用VLAN ID號的方式標記區分。按規劃的業務設定好編號，在物理介面或邏輯介面做個繫結，設定對接的模式就OK了。發個圖舉例吧: