华为交换机端口属性设置指南-汇鑫科服|一站式ICT服务商

在处理用户密集的网络环境中，VLAN技术扮演着至关重要的角色。VLAN，即虚拟局域网，是一种在物理网络内部创建逻辑网络的技术，可以帮助网络管理员更好地管理和控制网络流量，提高网络的性能和安全性。
在用户密集的环境中，如IDC机房，通常需要对网络进行分层隔离，以避免不同用户间的数据相互干扰。此时，VLAN技术可以大显身手。通过将不同用户或设备分配到不同的VLAN，可以实现网络流量的隔离，防止未授权访问，提高网络安全性。
VLAN技术还可以帮助节约ip地址。在传统的网络环境中，每个子网都需要一个独立的IP地址池，而在VLAN中，多个子网可以共享同一个IP地址池。例如，在一个IDC机房中，可以通过VLAN技术将不同用户或设备分配到不同的VLAN，让他们使用相同的IP地址池，从而节约IP地址资源。
在实际操作中，vlan配置相对简单。以华为交换机为例，可以通过以下步骤进行VLAN配置：
1. 创建VLAN。使用命令vlan batch to 创建一个VLAN范围，例如vlan batch 1001 to 1003创建VLAN 1001到1003。 2. 配置VLAN描述和类型。使用命令vlan 进入VLAN配置模式，然后使用description和aggregate-vlan命令配置VLAN描述和类型。 3. 设置端口VLAN。使用Access-vlan命令将端口分配到指定的VLAN，例如access-vlan 1002 to 1003将端口分配到VLAN 1002和1003。
除了上述基本配置，华为交换机还支持超级VLAN、MUX VLAN和端口隔离等技术，以进一步优化网络性能和安全性。
超级VLAN是一种在物理网络上创建多个虚拟网络的机制。通过将一个VLAN作为父VLAN，将其他VLAN作为子VLAN，可以实现不同用户间的网络隔离，同时保持它们在同一个IP子网内。例如，VLAN 1001作为父VLAN，VLAN 1002和1003作为子VLAN，它们都在同一个子网内，但子VLAN间不可通信。
MUX VLAN是一种在二层网络上实现流量隔离的机制。通过设置主VLAN和从VLAN，可以实现不同用户间的网络隔离。例如，VLAN 10作为主VLAN，VLAN 10作为隔离型从VLAN，VLAN 20作为互通型从VLAN。在MUX VLAN中，主Vlan端口可以和所有VLAN通信，互通型从VLAN可以和自己VLAN间成员通信和主VLAN通信，而隔离型从VLAN只能和主VLAN通信，自己VLAN的成员也不可通信。
端口隔离是一种在同一物理端口上实现流量隔离的机制。通过将端口加入隔离组，可以实现同一隔离组内端口间的流量隔离。例如，将端口e0/0/7和e0/0/8加入隔离组1，它们将无法相互通信。
总之，VLAN技术在用户密集的网络环境中发挥着重要作用。通过合理配置VLAN、超级VLAN、MUX VLAN和端口隔离等技术，可以实现网络流量的隔离，提高网络性能和安全性。同时，还可以节约IP地址资源，降低网络运维成本。

超级VLAN

华为交换机端口属性设置指南

浅析华为交换机的端口属性

用户密集程度较高的地方实行VLAN间二层隔离，实现多个VLAN使用相同的IP子网和网关，好处是节约了IP子网，例如IDC机房

S1：配置

vlan batch 1001 to 1003

vlan 1001

description gateway

aggregate-vlan

access-vlan 1002 to 1003

超级VLAN：

1001作为父VLAN，sup； 1002 1003作为子VLAN，sub 都在同一子网内，子VLAN间不可通讯，优点是都在一个子网内，节省了子网个数。

mux-vlan

浅析华为交换机的端口属性

MUX VLAN是一种二层流量隔离机制

通信权限

一丶主VLAN端口可以和所有VLAN通信

二丶互通型从VLAN可以和自己vlan间成员通信和主vlan通信

三、隔离型从VLAN只能和主VLAN通信，自己VLAN的成员也不可通信‘

S上配置：

vlan 100

mux-vlan ---》设置vlan10为principal vlan

subordinate separate 10 ---》设置vlan10为隔离型从vlan

subordiNATe group 20 ---》设置vlan20为互通型从vlan

［S］port-g g e0/0/1 to e0/0/10

［S-port-group］port mux-vlan enable ----》所有接口开启mux-vlan功能

端口隔离：

浅析华为交换机的端口属性

原理：都在同一网段

PC7和PC6互访，PC6和PC8互访；但PC7和PC8不能互访

实际利用端口隔离实现，即同一隔离组里PC不可通信

［S2-Ethernet0/0/7］port-isolate enable

------》PC7和PC8都加入了隔离组1

超级VLAN

浅析华为交换机的端口属性

用户密集程度较高的地方实行VLAN间二层隔离，实现多个VLAN使用相同的IP子网和网关，好处是节约了IP子网，例如IDC机房

S1:配置

vlan batch 1001 to 1003

vlan 1001

description gateway

aggregate-vlan

access-vlan 1002 to 1003

超级VLAN：

1001作为父VLAN，sup； 1002 1003作为子VLAN，sub 都在同一子网内，子VLAN间不可通讯，优点是都在一个子网内，节省了子网个数.

mux-vlan

浅析华为交换机的端口属性

MUX VLAN是一种二层流量隔离机制

通信权限

一丶主VLAN端口可以和所有VLAN通信

二丶互通型从VLAN可以和自己vlan间成员通信和主vlan通信

三、隔离型从VLAN只能和主VLAN通信，自己VLAN的成员也不可通信'

S上配置：

vlan 100
mux-vlan --->设置vlan10为principal vlan
subordinate separate 10 --->设置vlan10为隔离型从vlan
subordinate group 20 --->设置vlan20为互通型从vlan
[S]port-g g e0/0/1 to e0/0/10
[S-port-group]port mux-vlan enable ---->所有接口开启mux-vlan功能

端口隔离:

浅析华为交换机的端口属性

原理：都在同一网段
PC7和PC6互访，PC6和PC8互访；但PC7和PC8不能互访
实际利用端口隔离实现，即同一隔离组里PC不可通信

[S2-Ethernet0/0/7]port-isolate enable
[S2-Ethernet0/0/7]port-isolate enable
------>PC7和PC8都加入了隔离组1