VLAN技术原理

传统局域网使用HUB，一个HUB就是一个冲突域，所以传统局域网是一个扁平的网络。这个局域网里面的任何一个主机发送报文，其他的主机都可以接收到。随着网络规模的增大，广播风暴占用了绝大的资源，严重影响网络性能。通过使用VLAN（VirtualLocal Area Network）把一个大的广播域分为多个小的广播域，广播报文不能跨域传播。

一、VLAN优势：

1、限制广播包，提高带宽利用率

2、创建虚拟工作组

3、增强通信安全性

4、增强网络健壮性

二、VLAN划分方法

1、基于端口 划分 vlan

port 1和port 7属于VLAN2；port 2和port 10属于VLAN3；

这种划分优点是划分简单，但主机离开到新的交换机，需要重新划分。

2、基于MAC地址划分vlan

mac A 、mac C 属于VLAN3；mac B 、mac D 属于 VLAN4；

这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。

3、基于协议划分，通过二层数据中协议字段，判断上层网络协议，这种使用较少。

三、VLAN配置与实现

1、VLAN的链路类型

     1）Access-Link 接入链路：用于连接主机和交换机的链路。

     2）Trunk-Link 干道链路：承载多个不同VLAN数据的链路，通常用户交换机之间或交换机与路由器间互联。

2、以太网交换机的端口分类

 1）Access 端口通常用户连接终端计算机，只能允许一个VLAN。

 2）Trunk 可以属于多个VLAN，接收或发送多个VLAN报文。

 3）Hybrid 可以连接终端，也可以连接交换机等，可以属于多个VLAN，接收或发送多个VLAN报文。

Access口不带tagge，Trunk 只对缺省vlan报文不带标签，hybrid可以允许多个vlan不带标签。三种端口的默认VLAN为Vlan 1，即PVID 为1。可以通过 display port vlan active XXXX查看端口下VLAN信息。

四、VLAN帧格式

注释：

TPID（Tag Protocol Identifier）是IEEE定义的新的类型，表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。

Priority：这3位指明帧的优先级。一共有8种优先级，0－7。

CanonicalFormat Indicator( CFI )：CFI值为0说明是规范格式，1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。

VLANIdentified( VLAN ID ):这是一个12位的域，指明VLAN的ID，从0到4095，共4096个。

数据报文有些有这四个字节说明带有tagged，没有这四个字节说明没有带tagged。

五、VLAN转发原理

Super VLAN技术原理和配置

Super VLAN产生的背景：

         在大型局域网组网中，常采用接入层和核心层二层结构的组网方式，所有的网关都设在核心层设备上。由于每个VLAN都需要一个接口实现路由互通，这样问题就来了，如果因为特殊的需要，网络中划分了成百上千个VLAN，此时核心层设备就会出现VLAN接口数量不足的情况。那么，如果拥有一种技术，可以对VLAN进行聚合，就可以大幅度缩减实际需要的VLAN接口数量，交换机支持VLAN接口少的问题就可以得到解决。为了解决上面的问题，Super VLAN技术出现了。

       super VLAN技术引入Super VLAN和Sub VLAN两个概念

       这里有需要注意的地方，Super VLAN和通常意义上的VLAN不同，它不包含任何物理接口（通常意义上的VLAN必须依赖于自身物理接口的UP），可以把它看作一个逻辑的三层概念。可以把它看作是若干Sub VLAN的集合，为Sub VLAN提供三层转发。它依赖于所包含的Sub VLAN中存在UP状态的物理接口。

       Sub VLAN只能包含物理接口，不能建立三层VLAN接口。它与外部的三层通信靠Super VLAN的接口来实现。

       这样做既减少了一部分子网号、子网默认网关地址和子网定向广播地址的消耗，又可以使不同广播域使用同一子网网段地址，消除了子网差异，增加了编址灵活性，减少了限制地址浪费，使用代理ARP可以实现Sub VLAN间的三层互访，从而在实现普通VLAN功能的同时，达到了节省交换机VLAN 接口的目的。

      如图1所示，交换机创建了Sub VLAN2和Sub VLAN3，二者属于不同的广播域，所以Super VLAN技术很好的隔离了它们，但这些Sub VLAN没有自己的VLAN接口，Super VLAN10则属于另一个独立的广播域，它与Sub VLAN2 和Sub VLAN3之间建立了映射关系，它不存在物理接口，只拥有一个VLAN 接口，用该接口为所有映射的Sub VLAN 提供三层通信服务。

 

图1

 

       PCA的IP为10.1.1.2/24，PCB的IP为10.1.1.3/24，可以发现它们的IP地址在同一个网段，可是它们属于不同的广播域，它们之间是互相隔离的，Super VLAN10的接口IP为10.1.1.1/24，位PCA和PCB共同提供了网关服务。

 

关于代理ARP

        什么是代理ARP？

         如果ARP请求是从一个网络的主机发往同一个网段却不在同一物理网络上的另一个主机，那么连接它们的具有代理ARP功能的设备就可以回答该请求，这个过程就被称为代理ARP(Proxy ARP)。

        代理ARP分为普通代理ARP和本地代理ARP两种：

        普通代理ARP：想要互通的主机分别连接到设备的不同三层接口上，且这些主机不在同一个广播域。

 

图2

          图2为普通代理ARP的工作原理：

          HostA要与HostC通信，由于目的IP与本机的IP地址在同一个网段，HostA直接发送ARP请求，解析HostC的MAC地址。运行了代理ARP的交换机接收到ARP请求后，代理HostA在1.1.2.0网段发出ARP请求，解析HostC的MAC地址。

         HostC认为交换机向它发出了ARP请求，所以回应ARP请求，通告自己的MAC地址000F-E203-3333。交换机收到ARP响应后，也向HostA发送ARP响应，但通告的MAC地址是其连接到1.1.1.0网段的VLAN1接口的MAC地址000F-E202-2222。所以在HostA的ARP表中，会形成IP地址1.1.2.3与MAC地址000F-E202-2222的映射项。即HostA会将所有要发送给HostC的数据包发送到交换机上，然后交换机再转发给HsotC。

 

        本地代理ARP：想要互通的主机连接到设备的同一个三层接口上，且这些主机不在同一个广播域。

图3

         图3为本地代理ARP的工作原理：

        这是Super VLAN的典型应用，HostA和HostB分别属于Sub VLAN2和Sub VLAN3，HostA的IP为1.1.1.1/24，HostB的IP为1.1.1.2/24，虽然HostA和HostB的IP在同一个网段，但它们分别属于不同的广播域。通过SWA的Super VLAN10的三层接口上开启本地代理ARP功能，可以实现HostA和HostB的三层互通。

 

Sub VLAN的通信

图4

 

        如图4所示，PCA需要发送报文给PCB，PCA发现目的IP地址和自己是同一网段，所以发送ARP请求，而PCB在VLAN3的广播域内，并不能收到这个ARP请求。因此PCA不能及时收到PCB的ARP应答，但是Super VLAN10可以收到这个ARP广播。又因为Super VLAN10开启了本地代理ARP，所以当PCA发出ARP请求时，网关开始在路由表里查找，发现下一跳为直连路由接口，则在Sub VLAN3内发送新的ARP请求PCB的MAC地址；得到PCB的回应后，Super VLAN10就把自己接口的MAC地址当做PCB的MAC地址在Sub VLAN2内给予PCA响应。之后，PCA发送普通IP报文给PCB时，通过Supr VLAN接口进行正常的三层报文转发。

 

图5

 

       图5所示，是Sub VLAN与外部二层通信的转发模型。因为Super VLAN不同于普通的VLAN，它不包含物理接口，所以VLAN10内根本不可能携带VLAN10标签的数据帧发送到其他交换机，反之，如果接收到来自Trunk链路上VLAN10的数据帧，交换机也无法转发。所以在开启了Super VALN的交换机上，Trunk链路将自动禁止Super VLAN的VLAN流量通过。

       图5中，PCA属于SWB的VLAN2，PCC属于SWA的VLAN2，PCA访问PCC时，从SWB的E1/0/1进入的数据帧会被打上VLAN2的标签，在SWB中这个标签不会改变，SWB把数据帧从Trunk口E1/0/24转发出去，依然是VLAN2的数据帧。对于SWA而言，SWB上有效的VLAN只有VLAN2和VLAN3，从PCC返回的到SWB的数据帧可以在VLAN2中转发  。

 

 

图6

 

       图6所示，为Sub VLAN与外部的三层通信，PCA发送IP报文到PCC，PCA检查发现PCC与自己属于不同的IP网段，所以将报文发送给自己的网关Super VLAN10。因此PCA检查自己的网关IP地址和MAC地址信息，发现只有IP没有MAC地址信息，于是发送ARP请求报文，请求网关的MAC地址。请求报文在Sub VLAN2内发送并被SWB接收，SWB没有对应的VLAN2接口，但它发现Sub VLAN2被映射到了Super VLAN10,Super VLAN10提供三层服务，所以交换机给予ARP响应，并在Sub VLAN2内发送。

至此，PCA成功学习到了网关的MAC地址，接下来，PCA发送目的MAC为Super VLAN 10、目的IP为30.1.1.2的报文。Sub VLAN2接收到报文后，检测到目的MAC，知道应该进行三层转发，就去查找路由表，发现下一跳地址为20.1.1.2，出接口为VLAN 20，于是把报文送给SWA，SWA根据正常的转发流程把报文发送给PCC。

PCC返回给PCA的报文到达SWB时，正常IP转发检查发现出接口为Super VLAN10的三层接口，但在Super VLAN10内没有包含任何物理接口，开启了Super VLAN的交换机注意到，如果存在Super VLAN，那么需要从Super VLAN转发出去的报文都应该寻找其对应的Sub VLAN,并在Sub VLAN 内按照ARP和MAC表项进行匹配。所以最终将报文发给PCA，完成双向通信。

 

 

Super VLAN配置

图7      Super VLAN配置

 

 

 

图8       主机PCA配置

 

 

图9      主机PCB配置

 

SWA配置：

[SWA]vlan 2
[SWA-vlan2]port GigabitEthernet 1/0/1
[SWA]vlan 3.
[SWA-vlan3]port GigabitEthernet 1/0/2
[SWA-vlan3]quit
[SWA]vlan 10
[SWA-vlan10]supervlan
[SWA-vlan10]subvlan 2 3
[SWA-vlan10]quit
[SWA]interface vlan 10
[SWA-Vlan-interface10]ip address 10.1.1.1 24
[SWA-Vlan-interface10]local-proxy-arp enable
[SWA-Vlan-interface10]quit
[SWA]vlan 20
[SWA-vlan20]port GigabitEthernet 1/0/3
[SWA-vlan20]quit
[SWA]interface vlan 20
[SWA-Vlan-interface20]ip address 20.1.1.1 24
[SWA-Vlan-interface20]quit

 

 

SWB配置：

[SWB]vlan 20
[SWB-vlan20]port GigabitEthernet 1/0/3
[SWB-vlan20]quit
[SWB]int vlan 20
[SWB-Vlan-interface20]ip address 20.1.1.2 24
[SWB-Vlan-interface20]quit
[SWB]ip route-static 0.0.0.0 0 20.1.1.1

 

 

配置完成后，在SWA上用命令查看Super VLAN 和Sub VLAN之间的映射关系：
<SWA>display supervlan
 Super VLAN ID: 10
 Sub-VLAN ID: 2-3


 VLAN ID: 10
 VLAN type: Static
 It is a super VLAN.
 Route interface: Configured
 IPv4 address: 10.1.1.1
 IPv4 subnet mask: 255.255.255.0
 Description: VLAN 0010
 Name: VLAN 0010
 Tagged ports:   None
 Untagged ports: None


 VLAN ID: 2
 VLAN type: Static
 It is a sub-VLAN.
 Route interface: Configured
 IPv4 address: 10.1.1.1
 IPv4 subnet mask: 255.255.255.0
 Description: VLAN 0002
 Name: VLAN 0002
 Tagged ports:   None
 Untagged ports:
    GigabitEthernet1/0/1


 VLAN ID: 3
 VLAN type: Static
 It is a sub-VLAN.
 Route interface: Configured
 IPv4 address: 10.1.1.1
 IPv4 subnet mask: 255.255.255.0
 Description: VLAN 0003
 Name: VLAN 0003
 Tagged ports:   None
 Untagged ports:
    GigabitEthernet1/0/2

 

一、VLAN产生的背景

虚拟局域网(VLAN)，是英文Virtual Local Area Network的缩写，随着网络规模不断扩大，网络中的广播报文也随之增加，结果就是使交换机的负担不停的加重，并且一些终端设备也会收到不希望收到的报文。

VLAN技术的产生为网络增加了必要的转发控制手段，使网络中的站点不拘泥于所处的物理位置，而可以根据需要灵活地加入不同的逻辑子网。

二、 VLAN的技术原理

技术原理引用自：「攻城狮9527」的原创文章，原文链接：https://blog.csdn.net/z429831417/article/details/50498072

以太网交换机中是根据目的MAC地址来查MAC地址表进行数据帧的转发，MAC地址表中包含了MAC地址与端口的一个对应的关系，当交换机收到一个数据帧的时候，交换机会查看该数据帧中的目的MAC地址，如果是一个单播帧，交换机会查表从对应的端口转发出去，如果是广播地址，那么交换机会从除开收到该广播帧的以外的所有端口发送出去；但是在VLAN 技术中，交换机在数据帧中加上一个标签，然后交换机在查表的过程之外还要检查端口上的标签是否匹配，交换机只会在属于这个标签的端口上进行转发，如果不是就不进行转发操作。
上图就是一个带IEEE802.1Q标记的以太网帧格式，我们现在重点来看中间的tag字段，tag字段总共占四个字节，其中TPID（标签协议标识）和TCI（标签控制信息）各占两个字节；TPID是什么？TPID是IEEE定义的新的类型，标识这是一个封装了802.1Q标签的帧，其中就包含了一个固定的值0x8100。后面的TCI又包含了三个字段。分别是priority（优先级）、CFI、VLAN ID；priority占3位，指定帧的优先级，一共有8种优先级，从0-7；CFI占1为，当这个值为0时说明这是一个规范格式，为1时是非规范格式，它在令牌环网、FDDI网络中来指示封装帧中所带的地址的比特次序；VLAN ID字段占12位，指明该数据帧所在的vlan编号，VLAN的编号共4096个，但是0和4096保留，所以可用的也就4094个，其中的vlan 1是交换机的默认vlan。

三、VLAN标签应用规则

3.1VLAN转发流程

1.收到对端设备以太网帧；
2.判断是否为Tagged，如果是使用自身的VLAN ID，如果否添加PVID；
3.交换机是否创建了该VLAN，如果是判断目标端口是否允许该vlan转发，允许则转发，如果为否则丢弃该报文；入托交换机没有创建该vlan，则直接丢弃。

3.2 Access接口VLAN属性

交换机先创建vlan 10，并设置G0/0/1口为Access


现在查看G0/0/1口属性：

当接收到的报文不带标签时：接收该报文并为该报文添加缺省vlan 10 的标签。 当接收到的报文带标签时，当VLAN ID与缺省VLAN ID相同时接收该报文，当VLAN ID与缺省VLAN ID不同时丢弃该报文。当接口需要对外发送数据时由于VLAN ID就是缺省VLAN ID，不用设置，去掉标签后发送。

3.3 Trunk接口VLAN属性

设置G0/0/2口为Trunk

现在查看G0/0/2口属性：

Trunk端口在接收数据时：当VLAN ID与缺省VLAN ID相同时接收该报文，当VLAN ID与缺省VLAN ID不同时，但VLAN ID是该端口允许通过的VLAN ID时接收该报文。当VLAN ID与缺省VLAN ID不同时，且VLAN ID是该端口不允许通过的VLAN ID时丢弃该报文。
Trunk端口在发送数据时：当VLAN ID与缺省VLAN ID相同时去掉标签，发送该报文。 当VLAN ID与缺省VLAN ID不同时保持原有标签，发送该报文。

3.4 Hybrid端口VLAN属性

设置G0/0/3口为Hybrid（交换机启动默认的端口模式）

现在查看G0/0/3口属性：

Hybrid端口在就收数据时，当VLAN ID与缺省VLAN ID相同或在tagged 、untagged列表中允许该报文通过，否则丢弃。
Hybrid端口在发送数据时，当VLAN ID与缺省VLAN ID或在untagged列表中剥离标签，并发送该报文，当VLAN ID与缺省VLAN ID不同但在tagged列表中保留标签，并发送该报文，

四、 VLAN实现方法

4.1 基于端口划分VLAN

这种划分方式是最常用，这种划分方式优点在于定义VLAN成员时非常简单，只需要简单将端口指定即可。但是如果VLAN用户离开原来的端口时，则必须重新指定用户新的接入端口。
实验拓扑：

LSW1：

<Huawei>sys
[Huawei]vlan batch 10 20
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk 
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20
[Huawei-GigabitEthernet0/0/3]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 10
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access 
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei-GigabitEthernet0/0/2]quit

LSW2配置同理。
实验结果：
PC1 ping PC3 ，在LSW1的G0/0/3口抓包，结果如下：

PC2 ping PC4 ，在LSW1的G0/0/3口抓包，结果如下：

4.2 基于MAC地址划分VLAN

这种划分方式是基于用户的MAC地址的，每个MAC地址属于一个指定的VLAN，交换机跟踪MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。
实验拓扑：

LSW1：

<Huawei>undo terminal monitor     # 关闭将调试信息输出到终端
<Huawei>system-view
[Huawei]vlan batch 10 20
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port hybrid tagged vlan 10 20
[Huawei-GigabitEthernet0/0/3]quit
[Huawei]port-group group-member GigabitEthernet 0/0/1 GigabitEthernet 0/0/2
[Huawei-port-group]port hybrid untagged vlan all
[Huawei-port-group]quit
[Huawei]vlan 10
[Huawei-vlan10]mac-vlan mac-address 5489-98f1-4d75
[Huawei-vlan10]quit
[Huawei]vlan 20
[Huawei-vlan20]mac-vlan mac-address 5489-9881-24a3
[Huawei-vlan20]quit

LSW2配置同理。
实验结果：
PC1 ping PC3 ，在LSW1的G0/0/3口抓包，结果如下：

PC2 ping PC4 ，在LSW1的G0/0/3口抓包，结果如下：

4.3 基于网络层协议划分VLAN

VLAN按网络层协议来划分，可分为IP，IPX，DECnet，AppleTalk，Banyan等VLAN网络。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要。另外，这种方法不需要附加的桢标签来识别VLAN，这样可以减少网络的通信量。
实验拓扑：

LSW1：

<Huawei>system-view
[Huawei]vlan batch 10 20
[Huawei]vlan 10
[vlan-vlan10]protocol-vlan ipv4
[Huawei-vlan]quit
[Huawei]vlan 20
[Huawei-vlan20]protocol-vlan ipv6
[Huawei-vlan20]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port hybrid untagged vlan all
[Huawei-GigabitEthernet0/0/1]protocol-vlan vlan 10 0 priority 0  #GE0/0/1与VLAN10关联，优先级是0
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port hybrid untagged vlan all
[Huawei-GigabitEthernet0/0/2] protocol-vlan vlan 20 0 priority 0
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port hybrid tagged vlan all

LSW2配置同理。
实验结果：
PC1 ping PC3 ，在LSW1的G0/0/3口抓包，结果如下：

PC2 ping PC4 ，在LSW1的G0/0/3口抓包，结果如下：

4.4 基于IP组播划分VLAN

IP组实际上是一种VLAN的定义，即认为一个IP组播就是一个VLAN.这种方法有很强的灵活性，容易通过路由扩展。但不是合于局域网，主要是效率不高，而且配置复杂。
实验拓扑：

LSW1：

<Huawei> system-view
[Huawei]vlan batch 10 20 30
[Huawei]vlan 10
[Huawei-vlan10]ip-subnet-vlan 1 ip 192.168.1.1 24 priority 2  # VLAN10与IP地址192.168.1.1/24关联，优先级为2。
[Huawei-vlan10]quit
[Huawei]vlan 20
[Huawei-vlan20]ip-subnet-vlan 1 ip 192.168.2.1 24 priority 3
[Huawei-vlan20]quit
[Huawei]vlan 30
[Huawei-vlan30]ip-subnet-vlan 1 ip 192.168.3.1 24 priority 4
[Huawei-vlan30]quit
[Huawei]interface GigabitEthernet 0/0/4
[Huawei-GigabitEthernet0/0/4]port hybrid tagged vlan all
[Huawei-GigabitEthernet0/0/4]quit
[Huawei]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/3
[Huawei-port-group]port hybrid untagged vlan all
[Huawei-port-group]ip-subnet-vlan enable
[Huawei-port-group]quit

LSW2配置同理。
实验结果：
PC1 ping PC2，在LSW1的G0/0/4口抓包，结果如下：

PC3 ping PC4，在LSW1的G0/0/4口抓包，结果如下：

PC5 ping PC6，在LSW1的G0/0/4口抓包，结果如下：

4.5 基于策略划分VLAN

基于策略的VLAN的划分是一种比较有效而直接的方式，主要取决于在VLAN的划分中所采用的策略。这里的策略主要包括“基于MAC地址+IP地址”组合和“基于MAC地址+IP地址+端口”组合策略两种。
实验拓扑：

LSW1:

<Huawei>system-view
[Huawei]vlan batch 10 20
[Huawei]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[Huawei-port-group]port hybrid untagged vlan all
[Huawei-port-group]quit
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port hybrid tagged vlan all
[Huawei-GigabitEthernet0/0/3]quit
[Huawei]vlan 10
[Huawei-vlan10]policy-vlan mac-address 5489-983c-3454 ip 192.168.1.1 interface GigabitEthernet 0/0/1
[Huawei-vlan10]quit
[Huawei]vlan 20
[Huawei-vlan20]policy-vlan mac-address 5489-9803-0b4a ip 192.168.1.3 interface GigabitEthernet 0/0/2
[Huawei-vlan20]quit

LSW2配置同理。
实验结果：
PC1 ping PC3，在LSW1的G0/0/3口抓包，结果如下：

PC2 ping PC4，在LSW1的G0/0/3口抓包，结果如下：

4.6 基于用户定义划分VLAN

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。
暂无实验⊙﹏⊙b汗！

五、VLAN路由

VLAN的出现成功隔离了二层广播域，也就严格地隔离了各个VLAN之间的任何流量，分属于不同VLAN的用户不能互相通信。

5.1 “多臂路由”

这种方式的优点是管理简单，缺点是网络扩展难度大。每增加一个新的VLAN，都需要消耗路由器的端口和交换机上的访问链接，而且还需要重新布设一条网线。而路由器，通常不会带有太多LAN接口的。
实验拓扑：

AR1：

<Huawei>system-view
[Huawei]interface Ethernet4/0/0
[Huawei-Ethernet4/0/0]ip address 192.168.0.1
[Huawei]interface Ethernet4/0/1
[Huawei-Ethernet4/0/1]ip address 192.168.1.1

LSW1:

<Huawei>system-view
[Huawei]vlan batch 10 20
[Huawei]port-group group-member Ethernet 0/0/2 to Ethernet 0/0/3
[Huawei-port-group]port link-type access 
[Huawei-port-group]port default vlan 10
[Huawei-port-group]quit
[Huawei]port-group group-member Ethernet 0/0/1 Ethernet 0/0/4
[Huawei-port-group]port link-type access
[Huawei-Ethernet0/0/4]port default vlan 20
[Huawei-port-group]quit

实验结果：
PC1可以ping到PC2：

5.2单臂路由

这种方式的优点是路由器与交换机之间的链路只需要一根，节约路由器的网口但缺点也很明显配置复杂，当路由器与交换机连接的物理接口出现问题，会到导致整个VLAN间通信失败。
实验拓扑：

AR1：

<Huawei>system-view
[Huawei]interface GigabitEthernet 0/0/0.10
[Huawei-GigabitEthernet0/0/0.10]dot1q termination vid 10
[Huawei-GigabitEthernet0/0/0.10]ip address 192.168.0.1 24
[Huawei-GigabitEthernet0/0/0.10]arp broadcast  enable 
[Huawei-GigabitEthernet0/0/0.10]quit
[Huawei]interface GigabitEthernet 0/0/0.20
[Huawei-GigabitEthernet0/0/0.20]dot1q termination vid 20
[Huawei-GigabitEthernet0/0/0.20]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0.20]arp broadcast enable 
[Huawei-GigabitEthernet0/0/0.20]quit

LSW1:

<Huawei>system-view 
[Huawei]vlan batch 10 20
[Huawei]interface Ethernet0/0/1
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]port default vlan 10
[Huawei-Ethernet0/0/1]quit
[Huawei]interface Ethernet0/0/2
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 10
[Huawei-Ethernet0/0/2]quit
[Huawei-Ethernet0/0/3]port link-type trunk
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan 10 20
[Huawei-Ethernet0/0/3]quit

5.3三层交换机

实验拓扑：

LSW1：

<Huawei>system-view 
[Huawei]vlan batch 10 20
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip address 192.168.1.1 255.255.255.0
[Huawei-Vlanif10]quit
[Huawei]interface Vlanif 20
[Huawei-Vlanif20]ip address 192.168.2.254 255.255.255.0
[Huawei-Vlanif20]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 10
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20
[Huawei-GigabitEthernet0/0/3]quit

LSW2:

<Huawei>system-view 
[Huawei]vlan batch 10 20
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip address 192.168.1.254 255.255.255.0
[Huawei-Vlanif10]quit
[Huawei]interface Vlanif 20
[Huawei-Vlanif20]ip address 192.168.2.1 255.255.255.0
[Huawei-Vlanif20]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 10
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20
[Huawei-GigabitEthernet0/0/3]quit