为啥先建VLAN,再划端口,最后配Trunk是必须遵守的“黄金法则”

VLAN配置三步法及原理
最新推荐文章于 2025-12-04 17:39:28 发布
原创 最新推荐文章于 2025-12-04 17:39:28 发布 · 545 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

“为什么我划了端口,VLAN还是不通?” “Trunk配完,PC却上不了网?” “交换机重启后,VLAN里的设备全失联?”

这些问题,往往不是命令写错,而是 配置顺序错了

在华为、H3C、思科等主流设备上,VLAN配置有严格的逻辑顺序

顺序颠倒,轻则配置不生效,重则引发环路或广播风暴。

今天我们就来聊聊:为什么 “先建VLAN,再划端口,最后配Trunk”是必须遵守的“黄金法则”。

一、错误的顺序:先划端口,再建VLAN

❌ 错误示范:

[Huawei] interface gigabitethernet 0/0/1 [Huawei-GigabitEthernet0/0/1] port link-type access [Huawei-GigabitEthernet0/0/1] port default vlan 10 # 此时VLAN 10尚未创建

后果:

  • 华为交换机会提示:

    Warning: The VLAN does not exist. Please create the VLAN first.

  • H3C交换机直接报错,配置失败

  • 即使部分设备允许,重启后VLAN消失(因未在vlan batch中定义)

二、正确的顺序:三步走

✅ 第1步:先创建VLAN(全局视图)

[Huawei] vlan batch 10 20 30 # 或逐个创建 [Huawei] vlan 10 [Huawei-vlan10] name SALES [Huawei-vlan10] quit

🔺 关键点

  • 使用 vlan batch 批量创建,避免遗漏
  • 给VLAN命名,便于管理(如SALES、IT)

✅ 第2步:将端口加入VLAN(接口视图)

[Huawei] interface gigabitethernet 0/0/1 [Huawei-GigabitEthernet0/0/1] port link-type access [Huawei-GigabitEthernet0/0/1] port default vlan 10

🔺 注意

  • 确保VLAN已存在,否则配置无效
  • 推荐使用 description 标注用途:[Huawei-GigabitEthernet0/0/1] description TO-PC-SALES-01

✅ 第3步:配置Trunk端口(连接交换机/路由器)

[Huawei] interface gigabitethernet 0/0/24 [Huawei-GigabitEthernet0/0/24] port link-type trunk [Huawei-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 30 # 或允许所有VLAN [Huawei-GigabitEthernet0/0/24] port trunk allow-pass vlan all

🔺 安全建议

  • 不要用 vlan all,应明确指定所需VLAN
  • 防止VLAN跳跃攻击

三、为什么顺序不能乱?

原因1:VLAN是“容器”,端口是“内容”

  • VLAN必须先存在,才能容纳端口
  • 类似“先建房间,再放家具”

原因2:配置保存机制

  • 只有在 vlan batch 或 vlan x 中定义的VLAN, 才会被写入 saved-configuration
  • 仅通过 port default vlan 10 创建的VLAN, 重启后消失!

原因3:Trunk依赖VLAN存在

  • port trunk allow-pass vlan 10 要求VLAN 10必须已创建
  • 否则Trunk无法转发该VLAN流量

四、完整配置示例

# 1. 创建VLAN [Huawei] vlan batch 10 20 # 2. 配置接入端口 [Huawei] interface gigabitethernet 0/0/1 [Huawei-GigabitEthernet0/0/1] port link-type access [Huawei-GigabitEthernet0/0/1] port default vlan 10 [Huawei-GigabitEthernet0/0/1] description TO-PC-SALES [Huawei-GigabitEthernet0/0/1] quit [Huawei] interface gigabitethernet 0/0/2 [Huawei-GigabitEthernet0/0/2] port link-type access [Huawei-GigabitEthernet0/0/2] port default vlan 20 [Huawei-GigabitEthernet0/0/2] description TO-PC-IT [Huawei-GigabitEthernet0/0/2] quit # 3. 配置Trunk端口 [Huawei] interface gigabitethernet 0/0/24 [Huawei-GigabitEthernet0/0/24] port link-type trunk [Huawei-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 [Huawei-GigabitEthernet0/0/24] description TO-CORE-SW [Huawei-GigabitEthernet0/0/24] quit # 4. 配置VLANIF接口(实现VLAN间路由) [Huawei] interface vlanif 10 [Huawei-Vlanif10] ip address 192.168.10.1 255.255.255.0 [Huawei-Vlanif10] quit [Huawei] interface vlanif 20 [Huawei-Vlanif20] ip address 192.168.20.1 255.255.255.0 [Huawei-Vlanif20] quit # 5. 保存配置! [Huawei] save

五、避坑指南:4个必须检查的点

✅ 配置完成后,务必检查:

  1. VLAN是否存在

    display vlan summary

  2. 端口是否正确加入VLAN

    display port vlan

  3. Trunk是否允许对应VLAN

    display port trunk

  4. 配置是否已保存

    display saved-configuration | include vlan

总结:VLAN配置三步法

原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
VXLAN和VLAN重大区别
Conrad_Wang的博客
03-26 1万+
VXLAN(Virtual eXtensible Local Area Network)或许是目前最热门的网络虚拟化技术。网络虚拟化是指在一套物理网络设备上虚拟出多个二层网络。VXLAN由RFC7348定义,这是2014年定稿的一个协议,VXLAN协议将Ethernet帧封装在UDP内,再加上8个字节的VXLAN header,用来标识不同的二层网络。 同样是网络虚拟化技术的VLAN(Virtu...
华为交换机trunk无法正常更改为Access
YAgone的博客
11-01 1100
如果要成功更改为Access模式,需要放通所有vlan。之前设置为trunk模式的时候,接口自动禁止了一个默认vlan。后查看到网上的取消trunk模式再更改的方式,发现并没有解决。将此vlan放通即可。
基于接口VLAN的ENSP组网实践详解
weixin_28933797的博客
11-28 759
通过这次完整的实验,你应该已经掌握了以下几个核心知识点:✅ VLAN的本质是广播域隔离,靠的是802.1Q标签;✅ Access端口用于接终端,自动加/剥标签;✅ Trunk端口用于互联,允许多VLAN复用;✅ 必须显式置和;✅ 抓包是理解底层机制的最佳方式;✅ 安全是动态过程,必须持续加固。但这只是一个起点。接下来你可以尝试:🔧 引入三层交换机,置SVI实现VLAN间路由;🔁 部署STP防止环路,观察根桥选举过程;
从SRv6到Panabit测试:揭秘ESXi虚拟交换机VLAN 0-4095的终极用法
衡水铁头哥的博客
05-07 1164
端口组时,我们需要指定一个端口组名称,设置VLAN ID,选择虚拟交换机,同时置安全选项。模式,允许虚拟机自行处理标签,当ESXi端口组的VLAN ID设置为4095时,虚拟交换机在转发数据包时,会保留数据的所有VLAN标签,ESXi连接的外部物理交换机一般需要设置为trunk或hybrid模式,适用于虚拟机多VLAN接入等高级网络需求环境。模式,当ESXi端口组的VLAN ID设置为0时,报文不携带VLAN标签,由ESXi连接的外部物理交换机打上接口的VLAN标签,参考VLAN设置。
服务器虚拟交换机端口绑定,VMware之vSphere网卡绑定(NIC Teaming)详细介绍
weixin_39949673的博客
08-11 2044
VMware之vSphere网卡绑定(NIC Teaming)详细介绍猫生•2020 年 05 月 06 日NIC Teaming是指将服务器上的几个网络端口组合在一起,无论是基于Windows的服务器,Linux服务器,还是VMware vSphere ESXi主机,做网卡绑定的主要目都是为了增加链路带宽、实现冗余以及实现负载均衡。在VMware vSphere环境中,通过NIC Team...
深度解析云计算网络架构:VLAN+OVS+Bonding构高可靠虚拟化平台
weixin_45631123的博客
06-22 1684
核心功能矩阵功能实现原理业务价值流量监控sFlow/NetFlow采样故障诊断提速60%动态QoSLinux tc集成保障关键业务带宽VXLAN隧道UDP 4789端口封装构跨机房大二层安全组基于流表的ACL实现微分段安全。
VXLAN vs VLAN
创新是灵魂,执行是生命。
04-27 6303
VXLAN(Virtual eXtensible Local Area Network)或许是目前最热门的网络虚拟化技术。网络虚拟化是指在一套物理网络设备上虚拟出多个二层网络。VXLAN由RFC7348定义,这是2014年定稿的一个协议,VXLAN协议将Ethernet帧封装在UDP内,再加上8个字节的VXLAN header,用来标识不同的二层网络。 同样是网络虚拟化技术的VLAN(Virtu...
网络工程师最后14天冲刺:别瞎忙了!这些才是捞分关键!
zzjjiaa的博客
10-27 736
我当年就是在项目割接的死亡周期里,用最后14天极限操作,上午58,下午62 一次上岸的!实话告诉你:网工考试是最适合突击的中级证书,因为重点太突出了!
【eNSP模拟器必修课】:VLAN置与管理的7大黄金法则
[【eNSP模拟器必修课】:VLAN置与管理的7大黄金法则](https://img-blog.csdnimg.cn/32fead6ed1824a779c8057ac4f07d12d.png) # 1. VLAN基础概念解析 VLAN(Virtual Local Area Network),即虚拟局域网,是一种...
实验二-VLAN间的路由技术1
08-08
在交换机端,为每个VLAN端口并设置为access模式,将端口给特定的VLAN。例如,创建VLAN 2和3,将端口GigabitEthernet0/0/2分VLAN 2,端口GigabitEthernet0/0/3分VLAN 3。而在路由器端,创建子接口...
网络工程师生存指南】:RTL8367故障排查的黄金法则
[【网络工程师生存指南】:RTL8367故障排查的黄金法则](https://www.redeszone.net/app/uploads-redeszone.net/2020/08/dxs-1210-10ts-trunk.jpg) 参考资源链接:[RTL8367S-CG中文手册:二层交换机控制器]...
Nexus 7K QinQ故障不再难:问题发现与解决的黄金法则
[Nexus 7K QinQ故障不再难:问题发现与解决的黄金法则](https://n.sinaimg.cn/spider20211210/261/w1445h416/20211210/b299-fa89162b59f11f8d29f2481e822a4dd9.png) # 摘要 本论文全面阐述了Nexus 7K QinQ技术的...
网络设计黄金法则】:大规模网络链路聚合部署的最佳实践
# 摘要 网络设计作为信息技术的基础,...最后,通过对网络设计案例的研究与分析,本文提出了常见问题的解决方案,并展望了网络设计的未来,特别是SDN/NFV和5G技术对链路聚合的深远影响。 # 关键字 网络设计;链路聚
网络安全漏洞之React 框架分析
anquan2233的博客
12-04 632
昨日爆出的 CVE-2025-55182,CVSS 10.0 满分严重漏洞,影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(包括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
TCP,UDP使用socket编程流程
weixin_46855342的博客
12-01 146
UDP socket编程流;
vue实现页面不断插入内容并且自动滚动功能
最新发布
weixin_50606255的博客
12-04 93
我们在看视频时经常会看到黑客入侵别人电脑会在屏幕上显示一串代码,并且代码不断插入自动滚动,看起来很厉害的样子,现在就在此纪录实现此功能:
多厂商置对齐器:AI 如何在 Cisco / Huawei / Juniper 间做语义映射
oQianYuan的博客
12-03 538
这些模型上的差异,使得简单的“语法级模板替换”永远会失败。“给我一个能阻止外网 SSH 进入财务内网的安全策略,并在所有出口设备上同步生效(Cisco/Huawei/Juniper 各一套)。需特别注意 mask 类型的标准化,AI 内部统一用 CIDR (/24) 或 Wildcard 存储,渲染时再转换。/* 假设 Gi0/0 属于 untrust,内网为 trust */在过去十几年里,不同厂商 CLI 的“语法差异”从来不是最难的问题。AI 在多厂商对齐中的真正价值,是负责把。
【Android逆向工程】第19章:协议分析与接口还原
w987333120的博客
12-03 365
本文介绍了网络协议分析的关键技术与工具。主要内容包括HTTP/HTTPS协议分析流程、常用抓包工具置(Charles/Burp Suite)、协议格式解析方法以及签名算法还原技术。通过示例展示了完整的请求/响应分析过程,涵盖请求行、请求头、请求体的解析方法,特别关注签名相关字段的识别。文章还提供了Python代码示例演示如何自动分析HTTP请求结构,帮助逆向工程师理解业务逻辑、还原接口签名算法并实现自动化脚本。
删除trunk端口为啥要写port trunk allow-pass vlan 1
05-31
<think>嗯,用户的问题是关于在删除trunk端口前需要执行porttrunk allow-pass vlan1的原因。我需要回忆一下华为交换机的相关置。根据引用内容,华为交换机的trunk端口置通常使用类似port trunkallow-passvlan的命令。比如引用[2]和[4]都提到了允许特定VLAN通过。不过用户提到删除undo porttrunk allow-pass vlan1时遇到了问题,可能是因为默认情况下trunk端口允许VLAN1通过,但需要显式置才能删除? VLAN1在交换机中是默认的管理VLAN,通常用于控制流量。如果直接删除某个VLAN的允许,可能需要确保至少有一个VLAN存在,否则端口可能被关闭或者出现置错误。比如,华为交换机可能要求trunk端口必须至少允许一个VLAN,否则无法生效。这时候,如果用户想删除其他VLAN,必须保留VLAN1,否则系统会报错,所以需要允许VLAN1,再删除其他置。另外,引用[5]提到Hybrid端口的工作原理,但用户的问题是关于trunk端口。需要确认华为的trunk端口是否在删除所有允许的VLAN后会自动恢复默认允许VLAN1,或者是否必须显式置。根据用户提供的引用,可能是在删除其他VLAN之前,必须确保至少有一个VLAN被允许,而VLAN1是默认的,所以需要添加VLAN1的允许,才能删除其他置,否则系统不允许空置。 总结起来,可能的原因包括:系统要求trunk端口必须至少允许一个VLAN,而VLAN1是默认存在的,所以在删除其他VLAN前需要允许VLAN1,否则无法完成删除操作。这样可以避免端口因无允许VLAN而失效,保证网络连通性。</think>在华为交换机中删除Trunk端口VLAN允许列表时,**需要执行`port trunk allow-pass vlan 1`的原因与VLAN 1的默认特性和系统约束有关**。以下是具体分析: --- ### 一、VLAN 1的默认特性 1. **VLAN 1的不可删除性** VLAN 1是交换机的默认管理VLAN,用于承载控制协议(如STP、CDP等)[^5]。尽管用户无法删除VLAN 1,但**Trunk端口默认不自动允许VLAN 1通过**(需显式置)。 2. **Trunk端口的约束条件** 华为交换机要求Trunk端口**必须至少允许一个VLAN通过**。如果尝试删除所有允许的VLAN(例如`undo port trunk allow-pass vlan 20 30`),系统会因违反约束而报错。此时需添加VLAN 1作为“占位符”: ```bash port trunk allow-pass vlan 1 # 添加VLAN 1 undo port trunk allow-pass vlan 20 30 # 再删除其他VLAN ``` --- ### 二、操作流程示例 假设需删除Trunk端口`G0/0/1`上允许的VLAN 20和30: ```bash interface GigabitEthernet0/0/1 port trunk allow-pass vlan 1 # 允许VLAN 1(满足系统约束) undo port trunk allow-pass vlan 20 30 # 再删除目标VLAN ``` --- ### 三、关联原理 1. **Trunk端口的作用** Trunk端口用于跨交换机的多VLAN通信,需显式定义允许的VLAN列表[^5]。若未置任何VLAN端口将无法转发数据帧。 2. **Hybrid端口的对比** 与Trunk端口不同,Hybrid端口可通过`port hybrid untagged vlan`直接清空VLAN列表,无强制约束[^5]。 --- ### 四、引用验证 - 引用[1]中用户尝试删除`undo port trunk allow-pass vlan 1`失败,印证了系统约束的存在[^1]。 - 引用[3]展示了Trunk端口需逐条添加允许的VLAN[^3],而删除时需保留至少一个VLAN。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值