基本VLAN特性配置与管理——3

基于协议划分VLAN

基于协议划分VLAN是指基于数据帧中的上层（网络层）协议类型进行的VLAN划分。也只处理Untagged数据帧，且也只能在Hybrid端口上进行配置，对于Tagged数据帧的处理方式和基于端口的VLAN一样。

划分思想是把用户计算机上运行的网络层协议与某个VLAN进行关联（是“用户计算机网络层协议”与“VLAN”之间的映射，不考虑用户计算机所连接的交换机端口）。启用基于协议划分VLAN功能后，当交换机端口接收到Untagged帧时，先识别帧的协议模板，然后确定数据帧所属的VLAN。如果端口配置了属于某些协议VLAN，且数据帧的协议模板匹配其中某个协议VLAN，则给数据帧打上该协议VLAN标签。如果端口原来配置了属于某些协议VLAN，但某次到达的数据帧的协议模板和所有协议VLAN都不匹配，则个数据帧打上端口PVID的VLAN标签（这点比较特殊，要充分注意）。

一、配置基于协议划分VLAN

基于协议划分VLAN是根据不同网络层协议（IPv4、IPX、AppleTalk等协议）进行的VLAN划分，不是根据具体类型的网络层地址进行VLAN划分。

1、基本配置思路

需要事先创建不同网络层协议与VLAN的映射表项，同时还要在交换机Hybrid端口上配置与对应的协议VLAN进行关联，以限定交换机端口仅可加入特定的协议VLAN中。

（1）创建各网络层协议所需关联的VLAN

（2）在以上创建的VLAN视图下关联用户所用的网络层协议类型，建立网络层协议与VLAN的映射表，以确定哪些用户可划分到以上创建的VLAN中。

（3）配置各用户连接的交换机二层以太网端口类型为Hybrid，并允许前面创建的基于协议划分的VLAN以不带VLAN标签方式通过当前端口。

（4）配置交换机Hybrid端口与对应的协议VLAN进行关联。

2、配置步骤

示例：把IPv4协议报文划分到VLAN3中。

<HAUWEI>system-view

[HAUWEI]vlan 3

[HAUWEI-Vlan3]protocol-vlan ipv4

    示例：配置GE0/0/1端口关联协议VLAN 2（协议的索引值为0），即相当于把GE0/0/1端口加入协议VLAN2中。

<HAUWEI>system-view

[HAUWEI]interface giagbitethernet 0/0/1

[HAUWEI-GigabitEthernet0/0/1]protocol-vlan vlan 2 0

二、基于协议划分VLAN的配置示例

如上拓扑，公司有多种业务，如IPTV、VoIP、Internet等，每种业务采用的协议各不相同。将统一类型业务划分到同一VLAN中，示例中VLAN10中的用户采用IPv4协议与远端用户通信，而VLAN20中的用户采用IPv6协议与远端服务器通信。

    1、配置思路

需创建啷个协议VLAN：VLAN10和VLAN20，分别对应于IPv4和IPv6，所以事先要创建这两个VLAN，然后分别与对应的协议进行关联。还要在对应的Hybrid端口上允许对应的协议VLAN通过，并与指定的协议VLAN进行关联。

仅需要在Switch上配置，SwitchA上全部为缺省配置。

（1）创建VLAN，确定每种业务所属的协议VLAN。

（2）关联协议和VLAN，实现根据端口接收到的数据帧所属的网络层协议烈性给数据帧分配不同的VLAN ID。

（3）配置端口加入VLAN，并允许基于协议的VLAN通过当前端口。

（4）关联接口和对应的协议VLAN，使有关联的协议进入关联的接口时，系统自动为该协议分配已经划分好的VLANID。

二、配置步骤

（1）创建所需的协议VLAN10和VLAN20。

<Switch>system-view

[Switch]vlan batch 10 20

（2）配置网络层协议与以上协议VLAN的关联

[Switch]vlan 10

[Switch-Vlan10]protocol-vlan ipv4

[Switch-Vlan10]quit

[Switch]vlan 20

[Switch-Vlan20]protocol-vlan ipv6

[Switch-Vlan20]quit

    （3）配置端口类型及允许通过的协议VLAN。与SwitchA连接的GE1/0/1端口要允许所有的协议VLAN通过，并且必须是Hybrid类型；连接各业务服务器的交换机端口可以是带VLAN标签的Hybrid或Trunk端口类型，但仅允许对应的协议VLAN通过。

[Switch]interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1]port link-type hybrid

[Switch-GigabitEthernet1/0/1]port hybrid untagged vlan 10 20

[Switch-GigabitEthernet1/0/1]quit

[Switch]interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2]port link-type trunk

[Switch-GigabitEthernet1/0/2]port trunk allow-pass vlan 10

[Switch-GigabitEthernet1/0/2]quit

[Switch]interface gigabitethernet 1/0/3

[Switch-GigabitEthernet1/0/3]port link-type trunk

[Switch-GigabitEthernet1/0/3]port trunk allow-pass vlan 20

[Switch-GigabitEthernet1/0/3]quit

    （4）配置GE1/0/1端口关联所需的协议VLAN，并为他们指定不同的优先级。

[Switch]interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1]Protocol-vlan vlan 10 all priority 5

[Switch-GigabitEthernet1/0/1]Protocol-vlan vlan 20 all priority 6

[Switch-GigabitEthernet1/0/1]quit

    通过display Protocol-vlan interface all查看端口关联协议VLAN的配置信息。

基于策略划分VLAN

基于策略划分VLAN也可称为Policy VLAN，是根据一定的策略进行VLAN划分的。这里的策略主要包括“基于MAC地址+IP地址”组合策略和“基于MAC地址+IP地址+端口”组合策略两种。

一、配置基于策略划分VLAN

基于策略划分VLAN是指在交换机上绑定终端的MAC地址、IP地址或交换机端口，并与VLAN关联，以证实只有符合条件的终端才能加入指定VLAN。一旦配置就可以禁止用户修改IP地址或MAC地址，甚至禁止改变所连接的交换机端口，否则或导致终端从指定VLAN中退出。

基于策略划分VLAN也只处理Untagged数据帧（所以也只能在Hybrid端口上进行配置），对于Tagged数据帧处理方式和基于端口划分VLAN一样。当设备接口接收到Untagged数据帧时，设备根据用户数据帧中的“源MAC地址”和“源IP地址”字段值与交换机上配置的“MAC地址和IP地址”，或者“MAC地址和IP地址+交换机端口”组合策略来确定数据帧所属的VLAN。

1、配置思路

（1）创建各策略所需关联的VLAN。

（2）在以上创建的VLAN视图下关联不同的策略，建立特定策略与VLAN的映射表，以确定哪些用户可划分到以上创建的VLAN中。

（3）配置各用户连接的交换机二层以太网端口烈性为Hybrid，并允许前面创建的基于策略划分的VLAN以不带VLAN标签方式通过当前端口。

2、配置步骤

二、基于策略划分VLAN的配置示例

如上拓扑，现要把User1（MAC地址为1-1-1，IP地址为1.1.1.1）绑定在SwitchA的GE1/0/1端口上，把User2（MAC地址为2-2-2，IP地址为2.2.2.2）绑定在SwitchB的GE1/0/1端口上，并把他们划分到VLAN2中，把User3（MAC为3-3-3，IP为3.3.3.3）绑定在SwitchA的GE1/0/2端口上，把User4（MAC为4-4-4，IP为4.4.4.4）绑定在SwitchB的GE1/0/2端口上，并把它们划分到VLAN3中。

    1、配置思路分析

（1）创建所需的策略VLAN

（2）在对应的VLAN视图下配置基于用户计算机的MAC地址、IP地址的组合策略和应用策略的交换机端口。

（3）配置应用组合策略的Hybrid类型交换机端口允许所加入的VLAN通过。

2、SwitchA上的配置

（1）创建所需的策略协议VLAN2和VLAN3

[SwitchA]vlan batch 2 3

（2）配置MAC地址、IP地址和交换机端口组合策略与以上策略VLAN的关联，并为两个协议VLAN设置不同的802.1q的优先级值。

[SwitchA]vlan 2

[SwitchA-vlan2]policy-vlan mac-address 1-1-1 ip 1.1.1.1 gigabitethernet1/0/1 priority 7

[SwitchA-vlan2]quit

[SwitchA]vlan 3

[SwitchA-vlan3]policy-vlan mac-address 3-3-3 ip 3.3.3.3  gigabitethernet1/0/2 priority 5

[SwitchA-vlan3]quit

    （3）配置交换机端口类型并允许对应的策略VLAN通过

[SwitchA]interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1]port link-type hybrid

[SwitchA-GigabitEthernet1/0/1]port hybrid untagged vlan 2

[SwitchA-GigabitEthernet1/0/1]quit

[SwitchA]interface gigabitethernet 1/0/2

[SwitchA-GigabitEthernet1/0/2]port link-type trunk

[SwitchA-GigabitEthernet1/0/2]port trunk allow-pass vlan 3

[SwitchA-GigabitEthernet1/0/2]quit

SwitchB上的配置：

[SwitchB]vlan batch 2 3

[SwitchB]vlan 2

[SwitchB-Vlan2]policy-vlan mac-address 2-2-2 ip 2.2.2.2 gigabitethernet 1/0/1 priority 7

[SwitchB-VLAN2]quit

[SwitchB]vlan 3

[SwitchB-Vlan3]policy-vlan mac-address 4-4-4 ip 4.4.4.4 gigabitethernet 1/0/2 priority 5

[SwitchB-vlan3]quit

[SwitchB]interface gigabitethernet1/0/1

[SwitchB-Gigabitethernet1/0/1]port link-type Hybrid

[SwitchB-Gigabitethernet1/0/1]port Hybrid Untagged vlan 2

[SwitchB-Gigabitethernet1/0/1]quit

[SwitchB]interface gigabitethernet1/0/2

[SwitchB-Gigabitethernet1/0/2]port link-type trunk

[SwitchB-Gigabitethernet1/0/2]port trunk allow-pass vlan 3

[SwitchB-Gigabitethernet1/0/2]quit

在虚拟机上做如下拓扑实现：

按照上面的描述做配置时，出现问题：

一个是命令policy-vlan命令与端口绑定时，指定端口要有interface，还有就是配置的顺序也存在问题，上面图中出现port is not in VLAN。

如上配置才会通过。但是问题又出现了，虽然这样的配置从PC1能够ping通PC3，PC2能够PING通PC4，但是，改变PC1的Ip或MAC，依然能够相互PING通，策略没起作用。

改变MAC，系统立即起作用，使用display mac-address，能够看到改变MAC的地址

上图，改变MAC后VLAN改变了，PING不同PC3了。改变IP，VLAN变化了，但是依然能够PING通。

VLAN配置管理和典型故障分析与排除

    通过display命令查看对应的VLAN配置信息，验证配置是否成功。

    （1）display vlan：查看VLAN的显示信息。

（2）display mac-vlan {mac-address {all| mac-address} vlan vlan-id}：查看基于MAC划分VLAN统计信息。

（3）display ip-subnet-vlan vlan {all | vlan-id1 [to vlan-id2]}

（4）display Protocol-vlan vlan {all | vlan-id1 [to vlan-id2]}

（5）display Protocol-vlan interface {all | interface-type interface-number}

（6）display policy-vlan {all | vlan vlan-id}

（7）reset vlan vlan-id statistics

典型故障分析与排除

常会遇到两种VLAN方面的故障

1、VLAN内主机不能互通

造成同一VLAN内主机不能互通的原因，网络通信只涉及OSI/RM体系结构中的最低三层。

（1）物理层是一切网络通信的基础，在这层最有可能导致不能通信的原因就是用户所连接的交换机端口没有启用，造成通信线路不通。

（2）从数据链路层分析，同一VLAN是直接通过数据链路层的MAC地址记性寻址的，如果交换机错误的学习了某用户的MAC地址，则可能造成不能正确通信。或者用户主机上配置了错误的ARP静态表项，导致对应用户主机不能正确的与网络连接。

（3）从网络层分析，尽管在VLAN内部是通过数据链路层MAC地址进行寻址的，但来自网络应用的用户数据在经过网络层时封装了源和目的主机的IP地址，如果源和目的用户主机的IP地址不在同一网段，则数据包在到达网络层后直接发送到网关，如果网关不通则两用户自然不能彼此通信了。

（4）是否配置了这些用户的隔离（即MUX VLAN功能）。

根据以上分析，排除故障步骤：

（1）检查VLAN内需要互通的用户所连接交换机端口的状态是否为Up。执行display interface interface-type interface-number。

（2）检查需要互通的主机IP地址是否在同一网段。

（3）检查设备上MAC地址表项是否正确。在交换机上执行display mac-address命令检查设备学习到的MAC地址、MAC地址对应接口、所属VLAN是否正确，如果不正确请在系统视图下执行undo mac-address mac-address vlan vlan-id命令删除错误的MAC地址表项，并使交换机重新学习指定的MAC地址。

（4）执行网上述操作，在检查设备学习到MAC地址、MAC地址对应接口、所属VLAN是否正确：如果不正确继续检查VLAN配置是否正确。

（5）如还不能互访，检查设备上是否配置了端口隔离。

（6）检查终端设备上是否配置了错误的静态ARP表项。

2、VLANIF接口Down

另一种典型VLAN故障是VLANIF接口处于Down（关闭）状态。主要原因及排除方法：

（1）没有交换机端口加入该VLAN中：将对应的交换机端口加入该VLAN中。

（2）加入该VLAN的交换机端口的物理状态全是Down：排除加入的交换机端口Down状态的原因。一个VLAN中，只要有一个交换机端口的物理状态是Up状态，则该VLANIF接口的状态就是Up状态。

（3）VLANIF接口下没有配置IP地址：VLANIF接口是三层逻辑接口，必须要配置IP地址才能激活的。

（4）VLANIF接口被手工关闭了。