1. 为什么需要VLAN间通信在企业网络中不同部门往往需要划分到不同的VLAN中。比如财务部在VLAN 10市场部在VLAN 20这是为了安全和管理方便。但问题来了财务部有时候需要和市场部共享文件这时候就需要让不同VLAN之间能够通信。传统二层交换机只能实现同一VLAN内的通信跨VLAN就得靠三层设备。这时候VLANIF接口就派上用场了。我在实际项目中遇到过很多次这种情况特别是当客户要求既要隔离又要互通时VLANIF是最简单的解决方案。2. 实验环境搭建2.1 ENSP模拟器准备首先需要安装华为ENSP模拟器建议使用1.3版本这个版本最稳定。安装完成后创建一个简单拓扑1台S5700三层交换机充当S12台PCPC1和PC4这里有个坑要注意有些ENSP版本会提示设备启动失败这时候需要检查VirtualBox的网卡设置。我遇到过好几次这个问题最后发现是VirtualBox的虚拟网卡被禁用了。2.2 基础网络规划我们使用以下IP规划VLAN 10192.168.100.0/24VLAN 20192.168.200.0/24VLANIF 10192.168.100.1VLANIF 20192.168.200.1PC的配置PC1192.168.100.11/24网关192.168.100.1PC4192.168.200.11/24网关192.168.200.13. 详细配置步骤3.1 创建VLAN首先登录交换机S1进入系统视图S1system-view创建VLAN 10和20[S1]vlan batch 10 20这里有个小技巧如果想批量创建多个VLAN可以用vlan batch 10 20 30这样一次创建。我在实际项目中最夸张的一次用这条命令一次性创建了50个VLAN。3.2 端口配置将端口加入对应VLAN[S1]interface GigabitEthernet 0/0/1 [S1-GigabitEthernet0/0/1]port link-type access [S1-GigabitEthernet0/0/1]port default vlan 10 [S1-GigabitEthernet0/0/1]quit [S1]interface GigabitEthernet 0/0/2 [S1-GigabitEthernet0/0/2]port link-type access [S1-GigabitEthernet0/0/2]port default vlan 20 [S1-GigabitEthernet0/0/2]quit配置完成后可以用以下命令检查[S1]display vlan brief这个命令会显示所有VLAN及其包含的端口信息。如果看到G0/0/1在VLAN 10G0/0/2在VLAN 20说明配置正确。3.3 VLANIF接口配置这是最关键的一步配置VLANIF接口作为各VLAN的网关[S1]interface Vlanif 10 [S1-Vlanif10]ip address 192.168.100.1 24 [S1-Vlanif10]quit [S1]interface Vlanif 20 [S1-Vlanif20]ip address 192.168.200.1 24 [S1-Vlanif20]quit配置完成后可以用以下命令检查接口状态[S1]display ip interface brief Vlanif 10正常应该看到Vlanif10和Vlanif20的状态都是UP。如果状态是DOWN可能是没有激活接口可以尝试执行undo shutdown命令。4. 验证与排错4.1 基础连通性测试在PC1上ping PC4C:\ping 192.168.200.11如果配置正确应该能收到回复。如果ping不通可以按照以下步骤排查检查PC的IP和网关配置是否正确检查交换机端口是否加入了正确的VLAN检查VLANIF接口IP配置是否正确检查VLANIF接口状态是否为UP4.2 常见问题解决问题1VLANIF接口状态始终是DOWN解决方法确认对应的VLAN已经创建确认该VLAN下有活跃的端口至少有一个端口是UP状态执行undo shutdown命令问题2能ping通网关但ping不通对端主机这种情况通常是对方主机的防火墙阻止了ICMP报文。可以在对端主机上临时关闭防火墙测试C:\netsh firewall set icmpsetting 85. 实际应用扩展5.1 多VLAN场景配置在实际企业网络中往往需要配置更多VLAN。配置方法是一样的只需要创建更多VLAN将端口加入对应VLAN为每个VLAN创建VLANIF接口并配置IP例如要增加VLAN 30[S1]vlan 30 [S1-vlan30]quit [S1]interface GigabitEthernet 0/0/3 [S1-GigabitEthernet0/0/3]port link-type access [S1-GigabitEthernet0/0/3]port default vlan 30 [S1-GigabitEthernet0/0/3]quit [S1]interface Vlanif 30 [S1-Vlanif30]ip address 192.168.30.1 24 [S1-Vlanif30]quit5.2 VLAN间访问控制虽然VLANIF实现了VLAN间通信但有时需要限制某些VLAN之间的访问。这时候可以配置ACL[S1]acl number 3000 [S1-acl-adv-3000]rule deny ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255 [S1-acl-adv-3000]quit [S1]interface Vlanif 10 [S1-Vlanif10]traffic-filter outbound acl 3000 [S1-Vlanif10]quit这条ACL会阻止VLAN 10访问VLAN 20但VLAN 20仍然可以访问VLAN 10。