网络设备安装与调试技术 课件 第3章-局域网和虚拟局域网 华三版-02

第3章

局域网和虚拟局域网编著：

秦燊劳翠金

同一楼层、同一建筑方圆几米到几千米范围之内的计算机通信网络通常称为局域网（LAN）。常见的局域网技术包括以太网Ethernet、令牌环TokenRing、光纤分布式数据接口FDDI等，以太网是一种基于CSMA/CD的共享通信介质的数据网络通信技术，传输速率从早期的10Mbps的标准以太网，发展到了100Mbps的快速以太网、1Gbps的吉比特以太网和10Gbps的万兆以太网，成为局域网技术的主流。3.1冲突域和广播域早期采用同轴电缆或集线器组成的网络属于共享式以太网，网络中的所有终端主机都处于同一冲突域中，网络的带宽是由接入的主机共享的，接入的主机越多，每台主机获得的带宽就越少，冲突发生的频率也越高。采用交换机组成的网络则属于交换式以太网，各端口处于不同冲突域中，各端口可同时转发数据而不引发冲突，提高了转发效率和转发质量。交换机和集线器的冲突域不同，但它们的广播域却类似。不论是交换机还是集线器，它们的端口都处在各自的同一个广播域中。一些不必要的广播帧不但占用网络资源，还影响到网络安全；当有网络设备发生故障，导致广播帧不停发送时，更会导致广播风暴，影响正常的网络通信。因此，有必要按网络规模和需求将广播隔离在必要的范围内。隔离广播的一种方法是物理隔离，即将需要隔离广播的网络分别连接到不同的交换机，交换机再通过路由器连接到一起，实现不同网络的互联。这种情况下，当本地广播包经过路由器时，路由器会将其拦截，实现了对本地广播的隔离。但这种通过引入路由器隔离广播的方法增加了成本；而且中低端路由器采用的是软件转发，转发的性能不高，是高成本、低性能的方案，并不可取。隔离广播的另一种方法是划分虚拟局域网(VLAN)。下面，我们详细学习VLAN的相关知识。3.2虚拟局域网

虚拟局域网（VLAN）技术是从逻辑上将一个局域网（LAN）划分为多个逻辑上独立的虚拟局域网（VLAN），从而达到隔离广播的目的。IEEE802.1q协议规定了VLAN的实现方法，即在传统的不带VLAN标签的数据帧上添加4个字节的802.1Q标签，其中的12比特用于存放VLANID，标识不同的VLAN。12比特的取值范围是0~4095，其中0和4095被保留，能分配给用户使用的VLANID范围是1~4094。

VLAN的类型有基于MAC地址的VLAN、基于IP子网的VLAN、基于协议的VLAN、基于端口的VLAN等。在还没创建新VLAN之前，交换机的所有端口都默认属于VLAN1，VLAN1是默认存在且不能被删除的。下面通过案例来分析VLAN的划分。

3.2.2华为设备配置VLAN

如图3-4所示，学校一楼和二楼的交换机都连接了信工学院、机电学院和财务处的电脑，两台交换机的e0/0/1-e0/0/9端口划分给信工学院，e0/0/10-e0/0/19端口划分给机电学院，e0/0/20-e0/0/22划分给财务处，楼层间两台交换机的g0/0/1端口通过交叉线连接。

图3-4楼层间两台华为交换机相连的网络拓扑

1.各电脑的地址依图所示配置。划分vlan前，所有电脑都连接到了VLAN1，测试所有电脑都能互相ping通。

2.为加强安全，避免部门间广播帧的干扰，决定将信工学院保留在VLAN1、机电学院划分到VLAN10、财务处划分到VLAN100。3.为1楼交换机划分VLAN，将各端口加入到相应VLAN中。命令如下：<Huawei>system-view[Huawei]sysnameSW1[SW1]vlan1//进入VLAN1配置视图[SW1-vlan1]descriptionxinGong//描述VLAN1为xinGong[SW1-vlan1]quit[SW1]vlan10//创建VLAN10[SW1-vlan10]descriptionjiDian//描述VLAN10为jiDian[SW1-vlan10]quit[SW1]vlan100//创建VLAN100[SW1-vlan100]descriptioncaiWu//描述VLAN100为caiWu[SW1-vlan100]quit[SW1]port-groupgroup-memberEthernet0/0/1toEthernet0/0/9//将端口E0/0/1-E0/0/9组成端口组，以便进行统一配置[SW1-port-group]portlink-typeaccess//统一将这些端口类型设置为ACCESS模式[SW1-port-group]portdefaultvlan1//设置端口PVID为1，将这些端口划分到VLAN1[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/10toEthernet0/0/19[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan10[SW1-port-group]quit[SW1]port-groupgroup-memberEthernet0/0/20toEthernet0/0/22[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan100[SW1-port-group]quit

4.为2楼交换机划分VLAN，按规划将相应端口加入到相应VLAN中。配置命令与1楼交换机配置命令相同。

5.查看交换机SW2的VLAN信息，命令如下：SW2#displayvlan

可以看到用于连接信工学院电脑的e0/0/1-e0/0/9端口属于VLAN1、用于连接一楼交换机的g0/0/1端口也属于VLAN1等信息。

6.通过在电脑上执行ping测试，检测1楼和2楼间只有属于VLAN1的信工学院电脑能互通，1楼和2楼间机电学院的电脑不能互通，1楼和2楼间财务处的电脑也不能互通。这是因为连接1楼和2楼的两个交换机的端口都是g0/0/1，都属于VLAN1，只有VLAN1的流量能在1楼和2楼间传输。3.3跨交换机的VLAN连接

“划分VLAN”的案例中，一楼和二楼交换机之间通过属于VLAN1的Access类型的端口相连，只有VLAN1的流量通过，其它VLAN的流量无法通过。若要使其它VLAN的流量也能跨越交换机在楼层间传输，需要为每个VLAN都增加一根网线，网线两端的端口都设为Access模式，并把相应端口划分给该VLAN。这样的话，有几个VLAN要跨越交换机传输，交换机间就需要有几根连线。大量VLAN的情况下，这种做法是不现实的。那么，交换机间的一根网线能否同时允许各VLAN通过呢？答案是肯定的。这就需要用到交换机端口的一种称为Trunk的模式了。之前介绍的Access模式的端口只能属于某一个VLAN，只有该VLAN能通过该端口，其它VLAN是无法通过的，这种模式的端口通常用来连接电脑；Trunk模式的端口则可设置成允许部分VLAN或所有VLAN都通过，这种模式的端口通常用于交换机间的互连。3.3.2华为设备配置Trunk下面介绍华为设备配置trunk的方法：1.将一楼交换机SW1的端口g0/0/1设置为trunk类型,命令如下：<SW1>system-view[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk//将端口g0/0/1设置为trunk类型[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan10100//允许VLAN10、VLAN100和默认的本征VLAN1通过。[SW1-GigabitEthernet0/0/1]quit[SW1]displayportvlan//查看交换机各端口的信息PortLinkTypePVIDTrunkVLANListGigabitEthernet0/0/1trunk1110100可以看到端口g0/0/1被设置成立trunk类型，VLAN1是本征VLAN，允许通过的VLAN有VLAN1、VLAN10和VLAN100。2.二楼交换机的配置和测试。与一楼交换机的配置和测试命令一样。3.在电脑上进行ping测试，观察各部门内部的电脑可以跨楼层互通。3.3.3华三设备配置Trunk1.将一楼交换机SW1的端口fg1/0/53设置为trunk类型,命令如下：[SW1]interfaceFortyGigE1/0/53//进入fg1/0/53端口配置视图[SW1-FortyGigE1/0/53]portlink-typetrunk//将端口fg1/0/53设置为trunk类型[SW1-FortyGigE1/0/53]porttrunkpermitvlanall//允许所有VLAN通过[SW1-FortyGigE1/0/53]quit[SW1]displayporttrunk//查看trunk类型的端口InterfacePVIDVLANPassingFGE1/0/5311,10,100可以看到端口FGE1/0/53的类型为trunk，VLAN1是本征VLAN，允许通过的VLAN有VLAN1、VLAN10和VLAN100。2.二楼交换机的配置和测试与一楼交换机的配置和测试命令一样。3.在电脑上进行ping测试，观察各部门内部的电脑可以跨楼层互通。3.4VLAN同步及动态注册

在多台交换机需要配置相同VLAN信息的网络环境中，可采用VTP、GVRP或MVRP等协议进行交换机间VLAN的同步、简化操作步骤。VTP协议（VLANTrunkProtocol）是思科的私有协议。需要共享和同步VLAN信息的思科交换机可组成一个VTP域（VTPDomain），VTP域中一台交换机上的VLAN创建或修改信息可自动同步到其它交换机上。VLAN信息的同步需要借助Trunk链路传播VTP通告来实现，VTP通告携带32位的修订号（Revision）来代表修订级别，修订号的初始值是0，它会不断增加，新修订号的VLAN信息会覆盖旧修订号的VLAN信息。

与思科VTP协议类似的有IEEE定义的国际标准协议GVRP（GARPVLANRegistrationProtocol，GARPVLAN注册协议）、华为的私有协议VCMP（VLANCentralManagementProtocol，VLAN集中管理协议）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用属性注册协议）的一个应用，GARP是一个通用协议的模板，用于属性的动态注册和注销，GVRP则用于VLAN信息的动态注册和注销。

与GVRP协议相比，VCMP只能同步VLAN配置，而不能将端口动态地划分到VLAN，即通过VCMP创建的VLAN是静态VLAN，而通过GVRP创建的VLAN是动态VLAN。

GARP的升级版是MRP（MultipleRegistrationProtocol，多属性注册协议），相应的，GVRP的升级版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注册协议）。MVRP可兼容GVRP。3.4.2华为设备配置GVRPGVRP可用于交换机间端口VLAN信息的动态注册和注销。GVRP通过trunk口交互。如图3-7所示，在eNSP中搭建拓扑。图3-7华为交换机配置GVRP的网络拓扑一、基本配置1.各PC的地址按拓扑中的规划进行配置。2.在SW1和SW3上创建VLAN10，将g1/0/1端口加入VLAN10；将交换机间的链路设置为trunk链路，允许所有vlan通过。（1）交换机的配置命令如下：<Huawei>system-view//SW1的配置[Huawei]sysnameSW1[SW1]vlan10[SW1-vlan10]quit[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]portlink-typeaccess[SW1-Ethernet0/0/1]portdefaultvlan10[SW1-Ethernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typetrunk[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall<Huawei>system-view//SW2的配置[Huawei]sysnameSW2[SW2]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW2-port-group]portlink-typetrunk[SW2-port-group]porttrunkallow-passvlanall<Huawei>system-view//SW3的配置[Huawei]sysnameSW3[SW3]vlan10[SW3-vlan10]quit[SW3]interfaceEthernet0/0/1[SW3-Ethernet0/0/1]portlink-typeaccess[SW3-Ethernet0/0/1]portdefaultvlan10[SW3-Ethernet0/0/1]quit[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]portlink-typetrunk[SW3-GigabitEthernet0/0/1]porttrunkallow-passvlanall[SW3-GigabitEthernet0/0/1]quit（2）进行跨交换机的属于VLAN10的PC互ping测试，在PC1上ping192.168.1.20，发现无法ping通。（3）查看交换机的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息Thetotalnumberofvlansis:2VIDTypePorts1

common

UT:Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)[SW2]displayvlan//查看SW2的VLAN信息Thetotalnumberofvlansis:1VIDTypePorts1common

UT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)

[SW3]displayvlan//查看SW3的VLAN信息Thetotalnumberofvlansis:2VIDTypePorts1

common

UT:Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)

10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)

可以看到，SW1和SW3都有VLAN10，但中间的SW2上没有VLAN10，SW2收到VLAN10的数据帧时，无法找到转发的出端口，故将其丢弃，导致两台PC无法ping通。解决方法是在SW2上增加VLAN10。二、开启GVRP

1.在各交换机上开启GVRP功能，在Trunk端口上启用GVRP协议，命令如下：[SW1]gvrp//SW1的配置[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]gvrp[SW1-GigabitEthernet0/0/1]quit[SW2]gvrp//SW2的配置[SW2]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW2-port-group]gvrp[SW2-port-group]quit[SW3]gvrp//SW3的配置[SW3]interfaceGigabitEthernet0/0/1[SW3-GigabitEthernet0/0/1]gvrp[SW3-GigabitEthernet0/0/1]quit

2.查看SW2上的VLAN信息，命令如下：[SW2]displayvlanThetotalnumberofvlansis:2VIDTypePorts11commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)可以看到，SW2学到了VLAN10，其上的trunk端口g0/0/1和g0/0/2也都将VLAN10列入了允许通行的列表。

3.在PC1上ping192.168.1.20，可以ping通了。原因是SW2上学到了VLAN10，其上的trunk端口g0/0/1和g0/0/2都可以对VLAN10进行转发了。

三、GVRP端口的Nomal注册模式GVRP端口注册模式分为Normal、Fixed和Forbidden三种。其中Normal模式是缺省模式，Normal模式允许该端口动态注册或注销VLAN、传播动态VLAN和静态VLAN信息。下面观察Nomal模式的注册过程。

1.查看SW1的GVRP注册模式，命令如下：[SW1]displaygvrpstatisticsGVRPstatisticsonportGigabitEthernet0/0/1GVRPstatus :EnabledGVRPregistrationsfailed :0GVRPlastPDUorigin :4c1f-cc01-25c9GVRPregistrationtype :Normal可以看到，默认情况下，SW1的g0/0/1端口的GVRP注册模式是Normal模式。

2.在SW1上创建VLAN20，命令如下：[SW1]vlan20[SW1-vlan20]quit

3.在各交换机上查看VLAN信息，命令如下：[SW1]displayvlan//在SW1上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)[SW2]displayvlan//在SW2上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)20dynamicTG:GE0/0/1(U)[SW3]displayvlan//在SW3上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/2(U)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20dynamicTG:GE0/0/1(U)

可以看到：SW1的g0/0/1、SW2的g0/0/1，SW3的g0/0/1都将VLAN20列入了允许通行VLAN；SW2的g0/0/2没有将VLAN20作为允许通行VLAN。

4.在SW3上创建VLAN20,SW2的g0/0/2作为VLAN声明沿途交换机的入端口，将注册VLAN20，并将该VLAN加入该端口允许通行的VLAN列表中，下面加以验证：

（1）SW3的配置如下：[SW3]vlan20//在SW3上创建VLAN20[SW3-vlan20]quit[SW3]interfaceEthernet0/0/2[SW3-Ethernet0/0/2]portlink-typeaccess[SW3-Ethernet0/0/2]portdefaultvlan20

（2）在SW3和SW2上查看VLAN信息，命令如下：[SW3]displayvlan//查看SW3的VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)[SW2]displayvlan//查看SW2的VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/1(D)

Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)20dynamicTG:GE0/0/1(U)GE0/0/2(U)

可以看到，在SW3上创建VLAN20后,SW2的g0/0/2端口学到和注册了该VLAN、并将其加入到了该端口允许通行的VLAN列表中。

四、GVRP端口的fixed注册模式Fixed模式的端口禁止该端口动态注册或注销VLAN，只传播静态VLAN信息，不传播动态VLAN信息。下面加以验证：

1.将SW1的Trunk端口g0/0/1修改为Fixed注册模式，命令如下：[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]gvrpregistrationfixed[SW1-GigabitEthernet0/0/1]quit

2.在SW3上添加VLAN30，命令如下：[SW3]vlan30[SW3-vlan30]quit

3.在SW3、SW2、SW1上查看VLAN信息，命令如下：[SW3]displayvlan//在SW3上查看VLAN信息Thetotalnumberofvlansis:4VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)30commonTG:GE0/0/1(U)[SW2]displayvlan//在SW2上查看VLAN信息Thetotalnumberofvlansis:4VIDTypePorts1commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)10dynamicTG:GE0/0/1(U)GE0/0/2(U)20dynamicTG:GE0/0/1(U)GE0/0/2(U)30dynamicTG:GE0/0/2(U)[SW1]displayvlan//在SW1上查看VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)

Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)

GE0/0/1(U)GE0/0/2(D)10commonUT:Eth0/0/1(U)TG:GE0/0/1(U)20commonUT:Eth0/0/2(U)TG:GE0/0/1(U)

可以看到，SW2学到了VLAN30，SW1没有学到VLAN30。这是因为Fixed模式只传播静态VLAN，不传播动态VLAN。

五、GVRP端口的Forbidden注册模式Forbidden模式的端口禁止该端口动态注册或注销VLAN，不传播VLAN1以外的任何的VLAN信息。下面加以验证：

1.将SW1的g0/0/1改为Forbidden模式，命令如下：[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]gvrpregistrationforbidden[SW1-GigabitEthernet0/0/1]quit

2.查看SW1、SW2的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息Thetotalnumberofvlansis:3VIDTypePorts1commonUT:Eth0/0/3(D)Eth0/0/4(D)Eth0/0/5(D)Eth0/0/6(D)GE0/0/1(U)GE0/0/2(D)10commonUT:Eth0/0/1(U)20commonUT:Eth0/0/2(U)[SW2]displayvlan//查看SW2的VLAN信息Thetotalnumberofvlansis:4VIDTypePorts---------------------------------------------------------------------------1commonUT:Eth0/0/1(D)Eth0/0/2(D)Eth0/0/3(D)Eth0/0/4(D)Eth0/0/21(D)Eth0/0/22(D)GE0/0/1(U)GE0/0/2(U)10dynamicTG:GE0/0/2(U)20dynamicTG:GE0/0/2(U)30dynamicTG:GE0/0/2(U)

可以看到，将SW1的g0/0/1改为Forbidden模式后，只有VLAN1还允许g0/0/1通行，其它vlan都将g0/0/1从允许通行列表中删除了。SW2的g0/0/1端口也将之前学到的VLAN10和VLAN20注销了，只有g0/0/2端口还保留着从SW3学到和注册的VLAN10和VLAN20。3.5Hybrid端口和PrivateVLAN技术

小区宽带采用LAN方式接入时，为了保障接入用户的隐私、安全和便于管理计费，可通过划分VLAN对各接入用户进行隔离，并为每个VLAN分配一个网段，但这样做IP地址消耗过大；另根据IEEE802.1q协议，可用的VLAN数只有4094个，若为每个用户划分一个VLAN，VLAN的数量是远远不够的。

所以需要有技术将一个VLAN再次细分成多个VLAN，对上层屏蔽下层的VLAN，让接入层的VLAN对运营商屏蔽，让运营商只看到汇聚层的VLAN。同时，让上层主端口的VLANIF地址和下层各从端口所连接电脑的地址处于同一网段，以节省地址空间。

Hybrid端口技术、PrivateVLAN（PVLAN，专用虚拟局域网）技术、MultiplexVLAN（MUX，复合VLAN）技术等，都能较好的实现相关功能。3.5.1华为交换机配置Hybrid端口

除了Access和Trunk类型，华为交换机还有一种叫作Hybrid的私有端口类型，它是华为交换机端口的默认类型。数据帧从Hybrid端口进入交换机和从Hybrid端口离开交换机时的处理方式如下：

数据帧从Hybrid端口进入交换机时的处理方式与从Trunk类型的端口进入时处理方式相同，即：若进入的是不带标签的数据帧，会打上该端口的本征VLAN标签，然后和已经带有VLAN标签的数据帧一起，接受其VLANID是否属于该端口允许通过范围的检查，若被允许通过，则携带该标签进入，否则丢弃。

而数据帧从Hybrid端口离开交换机时，则先检查该帧的VLANID是否属于允许通过的范围，若不允许则丢弃，若允许则根据已有配置，选择“带标签”或“不带标签”的方式离开交换机。

下面，在eNSP中搭建如图3-9所示的拓扑，通过配置华为交换机的Hybrid端口，实现PC1和PC2二层隔离的同时，让PC1和PC2都能访问SW2。图3-9华为交换机配置Hybrid端口的网络拓扑

一、配置Hybrid

1.为实现PC1与SW2互通、PC2与SW2互通，但PC1与PC2不能互通，规划如下：

（1）将交换机SW1的G0/0/1、G0/0/2和G0/0/3端口都设置成Hybrid模式，并将G0/0/1端口的PVID（即本征VLAN的ID）设置为2、将G0/0/2端口的PVID设置为3、G0/0/3端口的PVID设置为10。这样设置后，从PC1、PC2、SW2出发，进入SW1的数据帧，会在进入前被分别打上VLAN2、VLAN3和VLAN10的标签。

（2）将G0/0/1端口的UntaggedVLAN设为2和10。作用是VLAN2和VLAN10被允许从G0/0/1端口不带标签离开交换机。因为VLAN2是G0/0/1的本征VLAN、VLAN10是G0/0/3的本征VLAN，所以从PC1和SW2来的数据帧可以在去掉VLAN标签后，从G0/0/1离开交换机，前往PC1。

（3）将G0/0/2端口的UntaggedVLAN值设为3和10。作用是VLAN3和VLAN10被允许从G0/0/2端口不带标签离开交换机。因为VLAN3和VLAN10分别是G0/0/2和G0/0/3的本征VLAN，所以从PC2和SW2来的数据帧可以在去掉VLAN标签后，从G0/0/2离开交换机，前往PC2。

（4）将G0/0/3端口的UntaggedVLAN值设为2、3和10。作用是VLAN2、VLAN3和VLAN10被允许从G0/0/3端口不带标签离开交换机。因为VLAN2、VLAN3和VLAN10分别是G0/0/1、G0/0/2和G0/0/3的本征VLAN，所以从PC1、PC2和SW2来的数据帧可以在去掉VLAN标签后，从G0/0/1离开交换机，前往SW2。

2.交换机SW1的配置命令如下：<Huawei>system-view[Huawei]sysnameSW1[SW1]vlanbatch2to310//创建VLAN2、3、10[SW1]intg0/0/1[SW1-GigabitEthernet0/0/1]portlink-typehybrid//将端口都设置为Hybrid模式，Hybrid是华为交换机端口的默认类型，所以该命令可省略[SW1-GigabitEthernet0/0/1]porthybridpvidvlan2//设置端口的本征VLAN[SW1-GigabitEthernet0/0/1]porthybriduntaggedvlan210//允许VLAN2和10不带标签从本端口离开交换机[SW1-GigabitEthernet0/0/1]undoporthybridvlan1//将vlan1从本hybrid端口中删除。hybrid端口默认会将vlan1以Untagged的方式加入，本命令可将其删除。[SW1-GigabitEthernet0/0/1]quit[SW1]intg0/0/2[SW1-GigabitEthernet0/0/2]portlink-typehybrid[SW1-GigabitEthernet0/0/2]porthybridpvidvlan3[SW1-GigabitEthernet0/0/2]porthybriduntaggedvlan310[SW1-GigabitEthernet0/0/2]undoporthybridvlan1[SW1-GigabitEthernet0/0/2]quit[SW1]intg0/0/3[SW1-GigabitEthernet0/0/3]portlink-typehybrid[SW1-GigabitEthernet0/0/3]porthybridpvidvlan10[SW1-GigabitEthernet0/0/3]porthybriduntaggedvlan2310[SW1-GigabitEthernet0/0/3]undoporthybridvlan1[SW1-GigabitEthernet0/0/3]quit

3.交换机SW2的配置命令如下：<Huawei>system-view[Huawei]sysnameSW2[SW2]vlan20[SW2-vlan20]quit[SW2]interfaceg0/0/3[SW2-GigabitEthernet0/0/3]portlink-typeaccess[SW2-GigabitEthernet0/0/3]portdefaultvlan20//设置端口的缺省VLAN[SW2-GigabitEthernet0/0/3]quit[SW2]intvlan20[SW2-Vlanif20]ipaddress192.168.1.324//为VLAN20的虚接口设置地址，因为g0/0/3属于VLAN20，所以这个地址可作为SW2的g0/0/3接口的地址。

4.ping测试可以发现，SW2能ping通PC1和PC2，PC1不能ping通PC2。

二、配置ARP代理

通过VLAN的划分和端口hybrid属性的设置，实现了PC1和PC2的二层隔离。如果在此基础上需要实现它们的互通，可以通过配置ARP代理实现。原理如下：

案例中的PC1pingPC2时，会触发ARP协议，ARP协议通过携带VLAN2标签的广播为PC1请求PC2的MAC地址，SW1不允许该广播发给PC