关于vlan划分的问题！！！！

Posted 2023-03-29

公司网络是这样的，光纤->H3C-MSR20路由器->HILLSTONE防火墙->主交换机->3个楼层分交换机

主交换机和楼层交换机均为H3C-1500，二层交换机。

因为公司的需要，1楼和3楼都分布了无线AP信号节点供客户手机上网用，无线AP均直接联在1楼和3楼的楼层交换机端口上。

现在我想将公司内部网段分为192.168.1.1-200,201-255两个网段，201-255供客户无线用，同时又不能和1-200的办公网段互访，以免带来隐患，请问该怎么划分VLAN？或者有什么更好的方式？

二层交换机是不能实现基于IP段划分的Vlan的吧？

划两个网段，但是都是二层的。如果你愿意，还可以多划几个。

不过，不知道你网关准备放在哪里。

猜测你准备放在MSR路由器上，那么路由器上的下行口必须是trunk口了。

因为你只有二层交换机。

这两个网段是互相隔离的，可以有效防止两个网段用户互相访问，并防止广播风暴的互相影响。

给你一点资料。

-------------------------

『交换机VLAN应用配置流程』

1、缺省情况下，交换机存在一个默认的VLAN，即VLAN 1，且VLAN 1不能被删除；

2、将端口加入到某VLAN X中，有两种方法：创建某VLAN X，进入VLAN X的配置视图，将指定端口加入VLAN X；进入指定端口的配置视图，修改该端口的PVID为X

『方法1』

【SwitchA相关配置】

1. 创建（进入）VLAN10，将E0/1加入到VLAN10
[SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1

2. 创建（进入）VLAN20，将E0/2加入到VLAN20
[SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2

『方法2』

【SwitchA相关配置】

1. 进入以太网端口E0/1的配置视图
[SwitchA]interface Ethernet 0/1

2. 配置端口E0/1的PVID为10
[SwitchA-Ethernet0/1]port access vlan 10

3. 进入以太网端口E0/1的配置视图
[SwitchA]interface Ethernet 0/2

4. 配置端口E0/2的PVID为20
[SwitchA-Ethernet0/2]port access vlan 20

-------------------------

1交换机端口链路类型介绍

交换机以太网端口共有三种链路类型：Access、Trunk和Hybrid。

l Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；

l Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；

l Hybrid类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

其中，Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签；不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。

三种类型的端口可以共存在一台以太网交换机上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。

2各类型端口使用注意事项

配置Trunk端口或Hybrid端口，并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意：本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。

当在交换机上使用isolate-user-vlan来进行二层端口隔离时，参与此配置的端口的链路类型会自动变成Hybrid类型。

Hybrid端口的应用比较灵活，主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上，利用Hybrid端口收发报文时的处理机制，来完成对同一网段的PC机之间的二层访问控制。 参考技术A 在1楼和3楼的交换机上做vlan，划2个vlan就行了，一个办公用，一个给无线，比如划出vlan 100 和 vlan 200.
把接无线ap的那些交换机端口置入vlan100，办公用户那些交换机端口放到vlan200就OK了，命令H3C的不知道和cisco的一不一样，给你个 cisco的吧
先划vlan ：vlan 200
进接口：intface f0/0
把接口变成access：switchport mode access
划入vlan：switchport access vlan 200
2层交换机 划分vlan不是因为IP不在同一网段而划分的，而是划出了vlan后，吧不同vlan的设备ip划成不同网段，这样方便管理。 参考技术B 直接划2个VLAN 分2个网段不就好了...