當談到網(wǎng)絡安全和性能優(yōu)化時，VLAN（虛擬局域網(wǎng)）劃分是一個關鍵的策略。它不僅提供了更好的網(wǎng)絡管理，還增強了數(shù)據(jù)隔離和訪問控制。

• 是否想過4094個VLAN可以怎樣劃分？
• 哪種方式又是好用簡單的？

細心的小編特地整理了一番，給各位小伙伴把玩把玩。

VLAN劃分的方式

• 基于接口劃分VLAN：根據(jù)交換機接口分配VLAN ID。配置簡單，可以用于各種場景。
• 基于MAC劃分VLAN：根據(jù)報文的源MAC地址分配VLAN ID。經(jīng)常用在用戶位置變化，不需要重新配置VLAN的場景。
• 基于子網(wǎng)劃分VLAN：根據(jù)報文的源IP地址分配VLAN ID。一般用于對同一網(wǎng)段的用戶，進行統(tǒng)一管理的場景。
• 基于協(xié)議劃分VLAN：根據(jù)報文的協(xié)議類型分配VLAN ID。適用于對具有相同應用或服務的用戶，進行統(tǒng)一管理的場景。
• 基于匹配策略劃分VLAN：根據(jù)指定的策略（譬如匹配報文的源MAC、源IP和端口）分配VLAN ID。適用于對安全性要求比較高的場景。

幾種劃分VLAN的各種方式中，基于接口劃分VLAN，是最常用最簡單的方式，那么到底怎么配置，怎么使用呢？

在配置使用之前，先回顧一下端口常用的鏈路類型吧：

• access：用于交換機和PC相連；
• trunk：用于交換機和交換機相連；
• hybrid：即可以用于交換機和PC相連，也可以用于交換機和交換機相連。使用hub鏈路交換機時，經(jīng)常使用這種類型的。

好了，下面小編以實際組網(wǎng)為例，講解一下基于接口劃分VLAN的配置。

案例演示

場景1：一臺交換機兩個用戶，怎么通過接口劃分VLAN從而實現(xiàn)隔離呢？

先來看看同一網(wǎng)段的兩臺PC直接和交換機相連，不進行劃分VLAN，是否可以ping通呢？

從上圖可知，是可以ping通的，這是為什么呢？

因為缺省情況下，華為交換機的接口都默認加入VLAN 1，兩臺PC直接和交換機相連，只要屬于同一個網(wǎng)段，就可以互通。

那么怎么通過VLAN實現(xiàn)隔離呢？只要把接口加入到不同的VLAN，就可以了。例如交換機GE0/0/1和GE0/0/2端口分別以access類型加入VLAN 10 和VLAN 20 。

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20

此時，兩臺PC基于接口劃分到不同VLAN中，互連不能ping通，實現(xiàn)了隔離。

小伙伴，有沒有想過為什么它能隔離呢？

分別在交換機SW1的G0/0/1和G0/0/2上進行抓包，發(fā)現(xiàn)G0/0/1的ARP廣播包，沒有發(fā)送到G0/0/2上。

根據(jù)access接口收發(fā)數(shù)據(jù)包工作原理可判斷，數(shù)據(jù)包到達G0/0/2后，進行拆包發(fā)現(xiàn)VLAN ID與G0/0/2的VLAN ID不一致，就把數(shù)據(jù)包丟失了。

場景2：跨交換機，4個用戶，怎么通過接口劃分VLAN實現(xiàn)隔離和互通呢？

如下圖：缺省情況下，4臺PC屬于同一網(wǎng)段，相互可以ping通。假設PC1和PC3屬于同一部門，PC2和PC4屬于同一部門。如何通過配置基于接口的VLAN，實現(xiàn)同一部門之間可以互訪，不同部門之間不能互訪呢？

同一個部門兩個用戶PC1 和 PC3劃分到同一個VLAN10。交換機1的 GE0/0/1和交換機2的GE0/0/1端口分別以access類型加入VLAN10。

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10

另外一個部門的兩個用戶PC2 和 PC4劃分到另一個VLAN 20。

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20

兩臺相連交換機的端口GE0/0/23，分別以trunk端口加入VLAN 10 和VLAN 20，實現(xiàn)跨交換機的通信。

interface GigabitEthernet0/0/23
  port link-type trunk
  port trunk allow-pass vlan 10 20

這樣，就可以實現(xiàn)到同一部門的用戶PC1和PC3可以互通，不同部門的用戶PC2 和 PC4 不能互通了。

配置技巧分享

各位小伙伴是否發(fā)現(xiàn)上面兩個場景中，VLAN和端口數(shù)都比較少，而在現(xiàn)實組網(wǎng)中，經(jīng)常需要配置多個VLAN，多個端口，有什么辦法可以快速完成配置嗎？下面小編再介紹一下批量配置和快速恢復端口VLAN缺省配置的方法。

1.批量創(chuàng)建VLAN

< Huawei > system-view
[Huawei]vlan batch 2 to 100

2.批量端口加入VLAN

[Huawei] port-group group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20
[Huawei-port-group]port link-type access
[Huawei-port-group]port default vlan 100

3.快速恢復端口VLAN缺省配置

想要快速恢復端口VLAN的缺省配置，必須要知道什么是缺省配置？華為交換機，缺省情況下所有端口都是只加入VLAN1的。那么下面和小編一起看看3種鏈路類型下，怎么快速恢復缺省配置呢？

• access接口： 一步搞定，命令是undo port default vlan
• trunk和hybrid口：三步搞定，先恢復PVID的配置，再刪除端口下所有vlan，然后再把缺省的VLAN1 加入。具體命令如下：