华为设备划分VLAN

小乔

组网需求
如图所示，某公司的设备连接两个部门，User_1和User_2属于部门1，但是通过不同的设备接入公司网络，User_3和User_4属于部门2，也通过不同的设备接入公司网络。
为了通信的安全性，以及避免广播报文泛滥，现要求部门内部主机能够互相通信，不同部门的主机不能互相通信。
此时，可以在设备上配置基于接口划分VLAN，连接同一部门的用户的接口划分到同一VLAN。同一VLAN内的用户可以直接互相通信，不同VLAN的用户不能直接进行二层通信。
划分VLAN组网图 （图中Router为二层或三层交换机）



操作步骤

1 Router_1的配置
#
vlan batch 2 to 3          //创建VLAN2和VLAN3
#
interface Ethernet2/0/1    //将连接User_1的接口配置为Access类型，缺省VLAN为VLAN2
port link-type access
port default vlan 2
#
interface Ethernet2/0/2    //将连接User_3的接口配置为Access类型，缺省VLAN为VLAN3
port link-type access
port default vlan 3
#
interface Ethernet2/0/3    //配置Router_1和Router_2互连的接口配置为Trunk类型，允许VLAN2和VLAN3通过
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return

2 Router_2的配置
#
vlan batch 2 to 3          //创建VLAN2和VLAN3
#
interface Ethernet2/0/1    //将连接User_2的接口配置为Access类型，缺省VLAN为VLAN2
port link-type access
port default vlan 2
#
interface Ethernet2/0/2    //将连接User_4的接口配置为Access类型，缺省VLAN为VLAN3
port link-type access
port default vlan 3
#
interface Ethernet2/0/3    //将Router_2和Router_1互连的接口配置为Trunk类型，允许VLAN2和VLAN3通过
port link-type trunk
port trunk allow-pass vlan 2 to 3
#
return

3 验证配置结果

# 将User_1和User_2配置在一个网段，比如10.1.100.0/24；将User_3和User_4配置在一个网段，比如10.1.200.0/24。

# User_1和User_2能够互相Ping通，但是均不能Ping通User_3和User_4。User_3和User_4能够互相Ping通，但是均不能Ping通User_1和User_2。


配置注意事项

• 要使链路能够传输VLAN2和VLAN3的报文，需要在设备上创建VLAN2和VLAN3，同时接口允许VLAN2和VLAN3通过。
• 设备连接用户的接口不需要区分不同VLAN，只收发Untagged帧，并为Untagged帧添加缺省VLAN的Tag，因此这些接口的类型应配置为Access。
• 设备互连的接口需要同时允许VLAN2和VLAN3的报文通过，因此这些接口的类型应配置为Trunk。