VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。

一、基于接口的VLAN划分

1、按端口划分VLAN

许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。

2、按MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。

3、按网络层划分

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

4、按IP组播划分

IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

5、基于规则的VLAN

也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。

6、按用户定义、非用户授权划分

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。[4]

以上划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；网络层和IP广播方式建立在第三层上。

图5-17 基于接口的VLAN划分组网图

 

某数据中心的交换机Switch，根据不同用户对接口的需求，将每个用户所拥有的接口划分到不同的VLAN，实现数据中心中不同用户业务的完全隔离。可以认为每个用户拥有独立的"虚拟交换机"，每个VLAN就是一个"虚拟工作组"。

基于MAC的VLAN划分

图5-18 基于MAC的VLAN划分组网图

 

如所示，某数据中心中，UserA初始与SwitchA相连。由于用户地点调整，需要将UserA调整接入交换机的另一个接口。为了保证UserA在改变地点后，仍然能够与UserC继续通信。可在交换机SwitchA上配置基于MAC地址划分VLAN。只要UserA的MAC地址不变，UserA改变接入接口时，并不影响VLAN的划分，不需要更改配置。

二、 VLAN间通信

VLAN间互通有两种方式，以下分别介绍。

多个VLAN属于同一个设备

图5-19 多个VLAN属于同一个设备互通组网图

 

如所示，如果VLAN2、VLAN3和VLAN4仅属于SwitchA，即VLAN2、VLAN3和VLAN4不是跨交换机的VLAN，可在SwitchA上为每个VLAN配置一个虚拟路由接口，实现VLAN2、VLAN3和VLAN4间的路由。

多个VLAN跨越设备

图5-20 多个VLAN跨越设备互通组网图

 

如所示，VLAN2、VLAN3和VLAN4是跨交换机的VLAN，可在SwitchA和SwitchB上为每个VLAN配置一个虚拟路由接口。除此以外，还需要在SwitchA和SwitchB之间配置静态路由或运行路由协议。

三、 VLAN Aggregation

图5-21 VLAN Aggregation应用组网图

 

如所示，共有4个VLAN，如果VLAN间需要互通，在Switch上要为每个VLAN配置一个IP地址。

将VLAN21和VLAN22聚合到Super VLAN 2中；将VLAN31和VLAN32聚合到Super VLAN 3中。这样只需在Switch上为Super VLAN分配IP地址，节约了IP地址资源。

在Switch上配置VLAN间的Proxy ARP，使同一Super VLAN下的不同Sub VLAN间的用户可以互通。

四、 配置任务概览

介绍VLAN的配置任务。

VLAN的配置任务如表5-7所示。

表5-7 VLAN配置任务概览

五、 配置注意事项

介绍VLAN的配置注意事项。

涉及网元

无需其他网元配合。

License支持

VLAN特性是交换机的基本特性，无需获得License许可即可应用此功能。

版本支持

表5-8 支持本特性的最低软件版本

特性依赖和限制

· 建议独立规划业务VLAN和管理VLAN，以便业务VLAN上发生的任何广播风暴不会影响到交换机的管理。

· 实际运用中，Trunk接口需要透传哪些VLAN就透传哪些VLAN，不建议使用port trunk allow-pass vlan all命令透传所有VLAN。

· VLAN 1是系统自带的VLAN，不需要创建，也不可以删除，不能配置为管理VLAN或Super-VLAN。在骨干网设备上，建议取消接口加入VLAN 1，从而避免广播风暴。

· 对于CE6870EI，基于MAC地址划分VLAN功能与端口安全功能、MAC地址学习限制规则冲突。

· 除CE6870EI和CE6880EI外的其他设备，基于MAC地址划分的VLAN不支持基于VLAN的镜像。

· 对于CE6870EI，基于MAC地址划分VLAN功能时配置mac-vlan enable或undo mac-vlan enable命令后会有少量报文丢弃，请谨慎操作。

· 对于CE6870EI，基于子网划分的VLAN做三层转发时，需要配置接口的PVID与关联子网的VLAN ID相同。

· 当接口配置了PVID，并且通过执行命令encapsulation untag配置二层子接口接收不带VLAN Tag的报文，如果二层子接口状态为Up，则untag的报文通过二层子接口接入VXLAN进行转发；如果二层子接口状态为Down，则通过PVID进行转发。

· QinQ二层子接口上封装的外层VLAN不能和对应二层主接口配置的缺省VLAN以及允许通过的VLAN相同。

· VLAN、VXLAN、Carrier VLAN、主接口以及单板互通模式为增强模式时的Eth-Trunk接口共享系统资源，系统资源不足可能会导致这些特性的配置失败。

· 保留VLAN

· 保留VLAN与普通VLAN相冲突，配置的保留VLAN不能作为普通VLAN使用。

· 创建的保留VLAN只有在设备重启后才会生效，正在使用的VLAN不能配置为保留VLAN。

· 对于CE6855HI、CE7855EI的三层主接口专用保留VLAN：

· 不用重启即可生效。可以为三层主接口配置多个保留VLAN范围段，最多支持8段，且不同的主接口专用的保留VLAN范围不允许有重叠。

· 执行命令undo vlan reserved for main-interface startvlanid to endvlanid取消保留VLAN范围时，不支持取消部分保留VLAN，必须整段范围取消，且如果有主接口加入了其中一个保留VLAN，则不能执行undo vlan reserved for main-interface命令。

· 主接口专用的保留VLAN不能和通过执行命令vlan reserved配置的二层保留VLAN范围重叠。

· 如果通过GVRP学习到的动态VLAN属于主接口专用的保留VLAN范围内，则学习不到该动态VLAN。

· 在SVF系统中，通过执行命令encapsulation dot1q vid vid配置二层子接口的VID不能是该主接口专用的保留VLAN范围段中的VLAN ID。

· VLAN聚合

· 配置某VLAN为Super-VLAN后，该VLAN类型改变为super，不允许任何物理接口加入该VLAN。

· 一个VLAN不能同时加入多个不同的Super-VLAN中。

· Super-VLAN与Sub-VLAN必须为不同的VLAN。

· Super-VLAN对应的VLANIF接口配置IP地址后，Proxy ARP才能生效。

· MUX VLAN

· 使能MUX VLAN功能的接口不能加入同一个MUX VLAN组中的其他VLAN。

· MUX VLAN组中的所有成员VLAN必须在同一个STP实例中，否则会导致流量不通或者有成环风险。对于QinQ和VLAN Mapping的成员VLAN，也是如此。

· Access类型接口只能加入一个MUX VLAN组，Trunk、Hybrid类型接口可以加入多个MUX VLAN组，最多可以加入32个MUX VLAN组。

· 如果指定VLAN已经用于Principal VLAN，那么该VLAN不能再在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。

· 如果指定VLAN已经用于Group VLAN或Separate VLAN，那么该VLAN不能再用于创建VLANIF接口，或者在VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN的配置中使用。

· 禁止接口MAC地址学习功能或限制接口MAC地址学习数量会影响MUX VLAN功能的正常使用。

· MUX VLAN功能与接口安全功能、基于VLAN ID的灵活QinQ功能、VBST功能均互斥，不能同时配置。

· 对于同一个VLAN，不支持同时配置CE VLAN和MUX VLAN。

· 对于除CE6810LI外的其他设备，MUX VLAN级联场景中，Principal VLAN（主VLAN）支持创建VLANIF接口，但该VLANIF接口不能对Sub VLAN（从VLAN）上送的流量进行三层转发。

· 对于CE6810LI，Principal VLAN（主VLAN）和Sub VLAN(从VLAN)均不支持创建VLANIF接口。

· VLAN流量统计

· 对于CE6870EI，针对MUX VLAN的流量统计功能无效。

· 流量统计信息是累增的，系统不会自动清除。如需清空VLAN的流量，可执行reset vlan statistics命令清除指定VLAN的统计信息。

· 流量统计功能需要占用系统资源，系统资源不足可能会导致配置失败，请在不需要流量统计时及时关闭此功能。

· 对于V100R006C00之前的版本，对于所有款型设备，由于VLAN流量统计->MQC流量统计->VLANIF接口流量统计（这三个流量统计功能存在优先级顺序，优先级高低顺序从左至右），同时配置时只有优先级高的流量统计功能生效。从V100R006C00版本开始，对于CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6860EI、CE6870EI、CE7850EI、CE7855EI、CE8850、CE8860EI，VLAN的流量统计与这二者不互斥，对于CE6880EI，VLAN流量统计功能优先级高于VLANIF流量统计。

· 对于CE6870EI，出方向的流量统计不包括三层转发的报文。

· 对于CE6870EI设备上绑定了EVN实例的VLAN，其流量统计出方向计数不准确。

· 对于CE6880EI交换机，当转发报文的模式配置为直通（Cut Through）模式时，设备不支持VLAN流量统计功能。如果需要使用该功能，建议执行命令assign forward mode store-and-forward将转发报文模式修改为存储转发模式。

· VLANIF流量统计

使用undo statistics enable命令关闭VLANIF的流量统计功能后，将终止对VLANIF流量的统计，以前统计的流量信息会被清空。

使用VLANIF接口的流量统计可能对转发性能产生影响（如在满端口线速转发时可能会导致部分端口不能线速转发），请在必要的场景下合理使用。

对于CE6880EI交换机：

· 若VLANIF接口对应的VLAN下使能了流量统计功能，VLANIF接口统计三层流量，VLAN统计二层流量。

· 不支持区分单播和组播报文分别统计，不支持区分IPv4和IPv6报文类型统计。

· 不支持统计错误报文和设备本身产生发送出的报文（如ping报文）。

对于CE6870EI交换机：

· VLANIF接口的流量统计功能需要占用系统ACL资源，由于系统ACL资源有限，打开过多的流量统计将会导致其它功能申请不到ACL资源。最多支持对100个VLANIF接口进行流量统计。

· 不支持统计错误报文、MPLS报文和携带VXLAN封装的报文，不支持区分单播和组播报文分别统计。

· 仅支持对IPv4单播报文的统计，其中不包括带有IPv4封装头的GRE报文、IPv6 over IPv4报文和EVN特性封装使用的VXLAN报文。

· 不支持统计设备本身产生发送出的报文（如ping报文）。

· 由于M-LAG单向隔离机制>MQC（流量监管、流量统计、报文过滤）>查询指定五元组信息以及源MAC地址、目的MAC地址的报文的出接口>本地VLAN镜像>sFlow>NetStream>VLANIF接口统计（此类业务存在优先级顺序，优先级高低顺序从左至右），在接口出方向上配置时只有优先级高的生效。例如，在VLANIF接口上同时配置报文过滤以及VLANIF接口统计，优先生效的是报文过滤。

· 在MPLS TE隧道接口和使能MPLS TE的VLANIF接口上同时使能流量统计时，对于接收到的下一跳是TE隧道接口的报文，只会统计为MPLS TE隧道接口流量而不会统计为VLANIF接口流量。

· 在配置VXLAN的解封装设备上，VLANIF入方向流量统计不支持统计携带VXLAN封装的报文。在配置VXLAN的封装设备上，如果设备上没有配置VXLAN流量统计功能且配置NVO3网关的增强模式为非环回模式时，VLANIF出方向流量统计支持统计携带VXLAN封装的报文，否则VLANIF出方向无法统计。

对于除CE6870EI和CE6880EI以外的交换机：

· VLANIF接口的流量统计功能需要占用系统ACL资源，由于系统ACL资源有限，打开过多的流量统计将会导致其它功能申请不到ACL资源。最多支持对100个VLANIF接口进行流量统计。

· Super-VLAN和MUX VLAN对应的VLANIF接口不支持流量统计。

· 不支持统计错误报文、MPLS报文和携带VXLAN封装的报文。

· 不支持区分单播和组播报文分别统计。

· 不支持统计设备本身产生发送出的报文（如ping报文）。