目录

一、VLAN 基础（高级特性前提）

1. VLAN 帧格式（802.1Q 标准）

2. 端口类型（华为设备默认 Hybrid）

3. VLAN 划分方式（常用前 3 种）

二、高级特性详解（应用场景→原理→配置→要点）

1. MUX VLAN（隔离与访问控制）

应用场景

工作原理

核心配置步骤

关键要点

2. VLAN 聚合（Super-VLAN，节省 IP）

应用场景

工作原理

核心配置步骤

关键要点

3. VLAN Mapping（VLAN 转换，解决冲突）

应用场景

工作原理

核心配置步骤

关键要点

4. QinQ（双层 Tag，跨网互通）

应用场景

工作原理

核心配置步骤

（1）基本 QinQ（基于端口）

（2）灵活 QinQ（基于 VLAN）

关键要点

三、补充知识点（课件延伸 + 实战必备）

1. 高级特性选型建议

2. 常见故障排查要点

3. Hybrid 端口实战技巧

4. QinQ 的 MTU 问题解决

---

一、VLAN 基础（高级特性前提）

1. VLAN 帧格式（802.1Q 标准）

• 核心字段：TPID（2 字节，固定 0x8100，标识带 Tag 帧）、TCI（2 字节，含 PRI 优先级、CFI 格式指示、VLAN ID（12 位，范围 1-4094））。
• 对比：Untagged 帧无 4 字节 Tag，Tagged 帧在以太网帧头插入 Tag 字段。

2. 端口类型（华为设备默认 Hybrid）

端口类型	核心作用	关键规则	应用场景
Access	连接终端主机	收帧：Untagged→加 PVID Tag；发帧：剥除 Tag	主机到交换机
Trunk	交换机互联	收帧：Untagged→加 PVID Tag，Tagged→保留；发帧：允许 VLAN 中，PVID 匹配则剥 Tag	交换机级联
Hybrid	灵活适配（主机 / 交换机）	收帧规则同 Trunk；发帧：可配置指定 VLAN 剥 Tag（Untagged）或保留（Tagged）	复杂场景（如同时连主机和交换机）

3. VLAN 划分方式（常用前 3 种）

• 基于端口：最常用，配置简单（port default vlan xx）。
• 基于 MAC 地址：主机移动不改变 VLAN，需提前绑定。
• 基于 IP 子网：按主机 IP 自动分配 VLAN，适合移动办公。
• 基于协议 / 策略：按报文协议（IP/IPv6）或多条件组合（IP + 端口 + MAC）划分。

---

二、高级特性详解（应用场景→原理→配置→要点）

1. MUX VLAN（隔离与访问控制）

应用场景

企业内部员工（可互访）、外来客户（不可互访）、服务器（均可达）的二层隔离与访问控制。

工作原理

• 主 VLAN（Principal VLAN）：绑定主端口，可与所有从端口通信（如服务器端口）。
• 从 VLAN（Subordinate VLAN）：
  • 隔离从 VLAN（Separate）：绑定隔离端口，仅能与主端口通信（如客户）。
  • 互通从 VLAN（Group）：绑定互通端口，可与主端口 + 同组端口通信（如员工）。

核心配置步骤

1. 创建主 VLAN 和从 VLAN：vlan batch 2 201 202（2 为主 VLAN，201 互通，202 隔离）。
2. 配置主 VLAN：vlan 2→mux-vlan→subordinate group 201→subordinate separate 202。
3. 端口绑定并启用 MUX VLAN：interface GE0/0/1→port link-type access→port default vlan 201→port mux-vlan enable。

关键要点

• 一个主 VLAN 仅支持 1 个隔离从 VLAN、最多 128 个互通从 VLAN。
• 主端口、隔离端口、互通端口之间不能跨类型通信（如隔离端口≠互通端口）。

---

2. VLAN 聚合（Super-VLAN，节省 IP）

应用场景

多个 VLAN（如部门 VLAN）共用一个子网，避免每个 VLAN 分配独立 IP 段导致的 IP 浪费。

工作原理

• Super-VLAN（聚合 VLAN）：创建 VLANIF 接口，配置子网（如 10.1.1.0/24），不包含物理端口。
• Sub-VLAN（成员 VLAN）：包含物理端口，用于隔离广播域，无 VLANIF 接口。
• Proxy ARP：解决 Sub-VLAN 间三层互访（因同属一个子网，需网关代理 ARP 请求）。

核心配置步骤

1. 创建 Super-VLAN 和 Sub-VLAN：vlan batch 2 3 10（10 为 Super，2、3 为 Sub）。
2. 配置聚合关系：vlan 10→aggregate-vlan→access-vlan 2 to 3。
3. 配置 Super-VLAN 接口并启用 Proxy ARP：interface Vlanif10→ip address 10.1.1.254 24→arp-proxy inter-sub-vlan-proxy enable。
4. Sub-VLAN 端口绑定：interface GE0/0/1→port default vlan 2。

关键要点

• Sub-VLAN 不能创建 VLANIF 接口，所有三层转发通过 Super-VLAN 的 VLANIF 实现。
• 必须启用 Sub-VLAN 间 Proxy ARP，否则 Sub-VLAN 主机无法互访。

---

3. VLAN Mapping（VLAN 转换，解决冲突）

应用场景

用户私网 VLAN（如 VLAN 2）与运营商公网 VLAN（如 VLAN 100）冲突，通过 Tag 替换实现互通。

工作原理

• 入方向：接收报文的 VLAN Tag（私网）替换为目标 VLAN Tag（公网）。
• 出方向：接收报文的 VLAN Tag（公网）替换为原私网 VLAN Tag。

核心配置步骤

1. 创建映射前后的 VLAN：vlan batch 2 100。
2. 配置端口为 Trunk 并允许 VLAN：interface GE0/0/2→port link-type trunk→port trunk allow-pass vlan 2 100。
3. 使能 VLAN 转换并配置映射：qinq vlan-translation enable→port vlan-mapping vlan 2 map-vlan 100。

关键要点

• 仅支持单层 VLAN Tag 转换，Trunk 端口需同时允许映射前后的 VLAN ID。
• 常用于企业接入运营商网络的场景，避免 VLAN ID 重复导致的通信故障。

---

4. QinQ（双层 Tag，跨网互通）

应用场景

企业跨运营商二层互通（如总部与分部），节省公网 VLAN ID 资源（公网用 1 个 VLAN 承载多个私网 VLAN）。

工作原理

• 封装逻辑：私网 VLAN Tag（内层）外叠加公网 VLAN Tag（外层），报文带着双层 Tag 穿越公网。
• 分类：
  • 基本 QinQ（基于端口）：端口下所有报文统一叠加固定外层 Tag。
  • 灵活 QinQ（基于 VLAN）：不同私网 VLAN 可叠加不同外层 Tag。

核心配置步骤

（1）基本 QinQ（基于端口）

1. 创建公网 VLAN：vlan 10。
2. 配置端口为 QinQ 隧道模式：interface GE0/0/2→port link-type dot1q-tunnel→port default vlan 10。
3. 互联端口配置 Trunk：interface GE0/0/1→port trunk allow-pass vlan 10。

（2）灵活 QinQ（基于 VLAN）

1. 创建公网 VLAN：vlan batch 10 20。
2. 配置端口为 Hybrid 并允许 VLAN：interface GE0/0/2→port link-type hybrid→port hybrid untagged vlan 10 20。
3. 使能 VLAN 转换并配置映射：qinq vlan-translation enable→port vlan-stacking vlan 2 stack-vlan 10→port vlan-stacking vlan 3 stack-vlan 20。

关键要点

• 基本 QinQ 配置简单，适合单一私网 VLAN 接入；灵活 QinQ 支持多私网 VLAN 差异化映射。
• 公网设备仅需转发外层 VLAN Tag，无需感知私网 VLAN，保障用户网络独立性。
• 需注意 MTU：双层 Tag 增加 4 字节，需确保链路 MTU≥1504（或配置设备 MTU 调整）。

---

三、补充知识点（课件延伸 + 实战必备）

1. 高级特性选型建议

• 隔离与访问控制（员工 / 客户 / 服务器）→ MUX VLAN。
• 多个 VLAN 共用 IP 段（节省 IP）→ VLAN 聚合。
• 私网与公网 VLAN 冲突→ VLAN Mapping。
• 跨运营商二层互通（多私网 VLAN）→ QinQ（灵活 QinQ 优先）。

2. 常见故障排查要点

• MUX VLAN 不通：检查端口是否启用port mux-vlan enable，主 / 从 VLAN 关联是否正确。
• VLAN 聚合互访失败：确认 Super-VLAN 已启用arp-proxy inter-sub-vlan-proxy enable，Sub-VLAN 无 VLANIF 接口。
• QinQ 不通：公网 Trunk 端口是否允许外层 VLAN，内层私网 VLAN 是否在接入端口允许列表。
• VLAN Mapping 失败：端口是否使能qinq vlan-translation enable，映射前后 VLAN 是否在 Trunk 允许列表。

3. Hybrid 端口实战技巧

• 场景：一台交换机同时连接主机（Untagged）和交换机（Tagged）→ 配置port hybrid tagged vlan 10 20（连交换机的 VLAN）、port hybrid untagged vlan 30（连主机的 VLAN）。
• 优势：无需切换端口类型，灵活适配多种接入场景。

4. QinQ 的 MTU 问题解决

• 问题：双层 Tag 导致报文超过默认 MTU（1500）被丢弃。
• 解决：在 QinQ 接入端口配置mtu 1504（1500+4 字节 Tag），或在公网链路启用 Jumbo Frame。