如何在大型网络中构建VLAN？VLANIF与VLAN有何区别？

在企业的网络中，为了安全与便于管理，常常会为服务器和用户划分不同的VLAN。下面，我们将通过一个实例来详细介绍如何在大型网络中实现不同VLAN间的通信。
以华为交换机为例，我们假设企业网络中用户属于VLAN 10，服务器属于VLAN 20。为了实现用户与服务器间的互通，我们需要在接入交换机、汇聚交换机和核心交换机之间进行配置。
首先，在接入交换机上配置基于接口划分VLAN，实现二层通信。例如，将连接用户设备的接口配置为VLAN 10，将连接汇聚交换机的接口配置为Trunk，并允许透传VLAN 10。
接下来，在汇聚交换机上配置VLANIF接口。VLANIF接口是三层接口，用于实现不同VLAN间的通信。在本例中，我们需要创建VLANIF10作为用户的网关，在核心交换机上配置VLANIF20作为服务器的网关。
然后，在汇聚交换机上配置从AGG到达VLANIF20网段的静态路由，在核心交换机上配置从CORE到VLANIF10网段的静态路由，从而实现跨网段通信。
具体配置步骤如下：
1. 在接入交换机上配置VLAN和接口。 2. 在汇聚交换机上创建VLANIF接口，配置ip地址，并配置静态路由。 3. 在核心交换机上创建VLANIF接口，配置IP地址，并配置静态路由。 4. 在用户PC和服务器上配置IP地址和网关。
配置完成后，VLAN 10内的用户PC与VLAN 20内的服务器能够相互访问。这种配置方法在大型网络中非常实用，可以帮助企业实现不同部门间的安全通信。
值得注意的是，在实际应用中，我们可以根据需求调整VLAN的数量和划分方式，以及静态路由的配置。此外，为了提高网络性能和可靠性，我们还可以配置路由协议，如OSPF或BGP，来实现动态路由。
总之，通过配置VLAN和静态路由，可以实现不同VLAN间的通信，从而满足企业网络的安全和管理需求。在实际操作中，我们需要根据网络拓扑和业务需求，灵活调整配置方案，以确保网络的稳定运行。

交换机的配置一直是弱电人的难点，尤其是在大型网络中，前面我们曾提到关于华为、h3c、锐捷等品牌交换机基本配置，本期我们将通过一个大型网络的实际案例，来详细了解清楚交换机的vlan创建以及不同vlan间的通信。

这个实例基本包括了交换机在配置vlan过程中的大部分问题，了解清楚了，基本上能够解决大部分项目配置，以华为交换机为例。

一、企业网络实例：实现不同vlan间的通信

为了安全及便于管理，企业为服务器专门划分VLAN，用户属于VLAN 10，服务器属于VLAN 20。用户与服务器间跨接入、汇聚和核心交换机，其中接入是二层交换机，汇聚、核心是三层交换机。由于业务需要现要求用户与服务器间可以互通。

配置思路

采用如下的思路配置不同网段之间通过静态路由进行通信：

1、在接入交换机上配置基于接口划分VLAN，实现二层通信。

2、在汇聚交换机AGG上配置VLANIF10，作为用户的网关，在核心交换机CORE上配置VLANIF20，作为服务器的网关。

3、在汇聚交换机AGG上配置从AGG到达VLANIF20网段的静态路由，在核心交换机CORE上配置从CORE到VLANIF10网段的静态路由，实现跨网段通信。

配置步骤如下：

1、配置接入交换机ACC1

# 创建VLAN。

# 将接口加入相应VLAN。

[ACC1] interface gigabitEthernet 1/0/1      //进入端交换机ACC1的1/0/1端口

[ACC1-GigabitEthernet1/0/1] port link-type Access     //将与用户相连接口的接口类型设置为access

[ACC1-GigabitEthernet1/0/1] port default vlan 10     //将用户划分到VLAN 10

[ACC1-GigabitEthernet1/0/1] quit

[ACC1] interface gigabitethernet 1/0/2          //进入端交换机ACC1的1/0/2端口

[ACC1-GigabitEthernet1/0/2] port link-type trunk    //将与汇聚交换机相连接口的接口类型设置为trunk

[ACC1-GigabitEthernet1/0/2] port trunk allow-pass vlan 10   //透传VLAN 10到汇聚交换机AGG

[ACC1-GigabitEthernet1/0/2] quit

2、配置接入交换机ACC2

# 创建VLAN。

[HUAWEI] sysname ACC2    //修改设备的名称为ACC2

[ACC2] vlan batch 20       //批量创建VLAN 20

# 将接口加入相应VLAN。

[ACC2] interface gigabitethernet 1/0/1       //进入端交换机ACC2的1/0/1端口

[ACC2-GigabitEthernet1/0/1] port link-type access    //将与服务器相连接口的接口类型设置为access

[ACC2-GigabitEthernet1/0/1] port default vlan 20  //将用户划分到VLAN 20

[ACC2-GigabitEthernet1/0/1] quit

[ACC2] interface gigabitethernet 1/0/2      //进入端交换机ACC2的1/0/2端口

[ACC2-GigabitEthernet1/0/2] port link-type trunk  //将与核心交换机相连接口的接口类型设置为trunk

[ACC2-GigabitEthernet1/0/2] port trunk allow-pass vlan 20  //透传VLAN 20到核心交换机

[ACC2-GigabitEthernet1/0/2] quit

3、配置汇聚交换机AGG

# 创建VLAN。

[HUAWEI] sysname AGG  //修改设备的名称为AGG

[AGG] vlan batch 10 30  //批量创建VLAN 10和VLAN 30

# 将接口加入相应VLAN。

[AGG] interface gigabitethernet 1/0/2

[AGG-GigabitEthernet1/0/2] port link-type trunk      //将接口类型设置为trunk

[AGG-GigabitEthernet1/0/2] port trunk allow-pass vlan 10   //透传用户的VLAN 10

[AGG-GigabitEthernet1/0/2] quit

[AGG] interface gigabitethernet 1/0/3

[AGG-GigabitEthernet1/0/3] port link-type trunk      //将接口类型设置为trunk

[AGG-GigabitEthernet1/0/3] port trunk allow-pass vlan 30   //透传和核心交换机互连的VLAN 30

[AGG-GigabitEthernet1/0/3] quit

# 创建VLANIF10并配置对应的IP地址，作为用户的网关。

[AGG] interface vlanif 10       //创建VLANIF10接口

[AGG-Vlanif10] ip address 10.1.1.1 24     //配置IP地址，此IP地址是用户的网关地址

[AGG-Vlanif10] quit

# 创建VLANIF30和对应的IP地址。

[AGG] interface vlanif 30  //创建VLANIF30接口

[AGG-Vlanif30] ip address 10.10.30.1 24  //配置互连的IP地址，此IP地址不能和用户、服务器的IP地址冲突

[AGG-Vlanif30] quit

# 配置静态路由，使用户PC可以访问服务器。

[AGG] ip route-static 192.168.1.0 255.255.255.0 10.10.30.2  

//目的IP是192.168.1.0/24网段的报文，转发下一跳是核心交换机VLANIF30的IP地址10.10.30.2

4、配置核心交换机CORE

# 创建VLAN。

[HUAWEI] sysname CORE  //修改设备的名称为CORE

[CORE] vlan batch 20 30  //批量创建VLAN 20和VLAN 30

# 将接口加入相应VLAN。

[CORE] interface gigabitethernet 1/0/2

[CORE-GigabitEthernet1/0/2] port link-type trunk  //将接口类型设置为trunk

[CORE-GigabitEthernet1/0/2] port trunk allow-pass vlan 20  //透传服务器的VLAN 20

[CORE-GigabitEthernet1/0/2] quit

[CORE] interface gigabitethernet 1/0/3

[CORE-GigabitEthernet1/0/3] port link-type trunk  //将接口类型设置为trunk

[CORE-GigabitEthernet1/0/3] port trunk allow-pass vlan 30  //透传和汇聚交换机互连的VLAN 30

[CORE-GigabitEthernet1/0/3] quit

# 创建VLANIF20并配置对应的IP地址，作为服务器的网关。

[CORE] interface vlanif 20  //创建VLANIF20接口

[CORE-Vlanif20] ip address 192.168.1.1 24  //配置IP地址，此IP地址是服务器的网关地址

[CORE-Vlanif20] quit

# 创建VLANIF30和对应的IP地址。

[CORE] interface vlanif 30  //创建VLANIF30接口

[CORE-Vlanif30] ip address 10.10.30.2 24  //配置互连的IP地址

[CORE-Vlanif30] quit

# 配置静态路由，使服务器和访问用户PC。

[CORE] ip route-static 10.1.1.0 255.255.255.0 10.10.30.1  

//目的IP是10.1.1.0/24网段的报文，转发下一跳是汇聚交换机VLANIF30的IP地址10.10.30.1

5、检查配置结果

在VLAN 10中的用户PC上配置IP地址为10.1.1.2/24，缺省网关为VLANIF10接口的IP地址10.1.1.1。

在VLAN 20中的服务器上配置IP地址为192.168.1.2/24，缺省网关为VLANIF20接口的IP地址192.168.1.1。

配置完成后，VLAN 10内的用户PC与VLAN 20内的服务器能够相互访问。

整体的思路就是，将相连的交换机之间，创建了多个vlanif（三层接口），相当于桥梁，便于vlan10与vlan20之间的通信。这种思路在大型网络通信中会频率的用到。

这里面补充下：

什么是vlanif？它与vlan的区别？

有不少朋友多次问到这个vlanif接口，这里面弱电君补充下：

vlanif就是创建三层接口时来用的，它是虚接口，可以配置IP地址；而vlan就是纯属二层vlan ID标识符，相当于对数据打标签。

划分VLAN后，同一VLAN内的用户可以互相通信，但是属于不同VLAN的用户不能直接通信。为了实现VLAN间通信，可通过配置逻辑的三层接口（VLANIF接口）来实现。

当交换机需要与网络层的设备通信时，可以在交换机上创建基于VLAN的VLANIF接口，用于通信，所以文中配置了多个vlanif，可以把vlanif想象成路由器的一个端口就更加容易理解了。