工业以太网交换机/收发器 导轨式工业交换机 机架式工业交换机 三层网管交换机 特殊型工业交换机 工业级网管型收发器 M12接口 工业交换机 更多>>
光纤收发器/交换机 普通型光纤收发器 多光多电光纤收发器 网管型光纤收发器 特殊功能型光纤收发器 更多>>
串行接口/工业接口/现场总线 RS232/422/485串口光猫 模拟量(电流/电压量) USB/RS232/422/485转换器 RS485集线器/中继器 现场总线光端机 USB光端机 Profibus 光端机 Modbus 光端机 SSI编码器接口光端机 更多>>
开关量(报警量)接口系列 1-128路开关量光端机 开关量(报警量)转网络(IP) 更多>>
4G/LORA 无线传输设备 4G无线传输设备 LoRa传输设备 更多>>
高清视频/音频/专用光端机 数字音频光端机 SDI视频光端机 VGA光端机 DVI光端机 HDMI光端机 E1 视音频编解码器 专用光端机 更多>>
TDM Over IP E1/V.35/V.24 Over IP 电话/E&M音频/磁石 Over IP 模块化综合业务 Over IP 更多>>
电话光端机/E1 PCM复用 E1 PCM复用 RJ11电话光端机 纯电话光端机 综合业务电话光端机 64-960路电话光端机 模块化多业务电话光端机 环网型电话光端机 更多>>
PDH/SDH光端机 普通PDH光端机 E1+以太 PDH光端机 75+120双阻抗PDH光端机 带LCD显示PDH光端机 模块化综合复用PDH系列 SDH光端机 更多>>
协议转换器/接口转换器 以太网转E1协议转换器 E1转串行接口系列 E3协议转换器 V系列协议转换器 同向64K协议转换器系列 汇聚式协议转换器 更多>>
光纤猫(光纤Modem) E1光猫 E3光猫 V.35光猫 以太网光猫 RS530光猫 以太网+串口复用光猫 STM-1光电转换器 C37.94光猫 更多>>
WE ONLY FOCUS ON TRANSMISSION AND ACCESS
0571-87007055/56/57/75
传真:0571-87007140
手机:15306818230(微信)
QQ :2355416925
定制设计:18072828031(微信)
或给我们留言
浏览次数:发布时间:2026-05-25
VLAN(虚拟局域网)是工业网络隔离的核心技术。合理划分VLAN,不仅能提升网络性能,还能增强安全性、简化管理。
[交换机] 连接 100+ 设备 ├── 生产设备(50台) ├── 办公电脑(30台) ├── 监控摄像头(20台) ├── 门禁系统(5台) └── 访客WiFi(若干) 问题: ❌ 所有设备在同一广播域,广播风暴 ❌ 安全隐患,任何设备可访问任何设备 ❌ 网络拥塞,速度慢 ❌ 管理混乱,无法区分业务
[交换机] VLAN划分后 ├── VLAN 10 - 生产网络(生产设备) ├── VLAN 20 - 办公网络(办公电脑) ├── VLAN 30 - 安防网络(摄像头+门禁) └── VLAN 40 - 访客网络(访客WiFi) 优势: ✅ 广播域隔离,流量减少 ✅ 安全隔离,互不干扰 ✅ 逻辑分组,管理简单 ✅ 灵活调整,无需物理布线
范围:1-4094(IEEE 802.1Q标准)
VLAN 1:默认VLAN,不可删除
推荐规划:10/20/30... 便于记忆和扩展
交换机端口在VLAN场景下分为三种类型,各有不同的数据处理规则:
Access端口:属于某个唯一VLAN,连接终端设备(PLC/HMI/电脑)。收到数据帧打上该VLAN标签,发送数据帧剥离标签。配置简单,即插即用,是接入终端设备的标准方式
Trunk端口:可承载多个VLAN,连接交换机之间或交换机与路由器。收到数据帧按PVID打默认标签(未标签帧)或保留原标签(已标签帧),发送数据帧保留标签(除PVID对应的VLAN剥标)。多VLAN数据在一根链路上传输的核心机制
Hybrid端口:同时具备Access和Trunk特性,可自定义哪些VLAN的数据帧带标签、哪些不带标签。灵活性最高,适合特殊场景如语音+数据合一端口、与非标准设备对接
PVID(端口VLAN ID)和Tagged VLAN是理解VLAN工作机制的核心概念:
PVID(Port VLAN ID):端口的默认VLAN,通常PVID=该端口所属的VLAN。接收无标签帧时打上PVID标签,发送时通常剥掉PVID对应的标签。Access端口PVID固定为其所属VLAN
Tagged VLAN(带标签VLAN):Trunk端口上允许通过并保留标签的VLAN列表。数据帧已带标签,交换机原样转发不修改。一个Trunk端口可同时通过多个Tagged VLAN
Untagged VLAN(无标签VLAN):发送时剥掉标签的VLAN,通常=PVID。接收时如无标签帧则打上PVID标签。保证终端设备(不识别VLAN标签)能正常通信
典型场景:Access端口PVID=10,Untagged VLAN 10;Trunk端口PVID=100(管理VLAN),Tagged VLAN 10,20,30
需求:将办公网络和生产网络物理隔离
网络拓扑:
[VLAN 10: 办公网段 192.168.10.0/24] [办公电脑] ←Access→ [SW1端口1-12] ←Trunk→ [SW2端口1-12] ←Access→ [办公电脑] [VLAN 20: 生产网段 192.168.20.0/24] [生产设备] ←Access→ [SW1端口13-24] ←Trunk→ [SW2端口13-24] ←Access→ [生产设备]
飞畅交换机配置步骤:
Step 1: 创建VLAN [SW1] vlan batch 10 20 Step 2: 配置Access端口(连接终端) [SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] port link-type access [SW1-GigabitEthernet0/0/1] port default vlan 10 [SW1-GigabitEthernet0/0/1] quit # 配置端口2-24类似... Step 3: 配置Trunk端口(连接上级交换机) [SW1] interface GigabitEthernet 0/0/25 [SW1-GigabitEthernet0/0/25] port link-type trunk [SW1-GigabitEthernet0/0/25] port trunk allow-pass vlan 10 20 [SW1-GigabitEthernet0/0/25] quit
需求:3台交换机之间传递VLAN 10和VLAN 20
网络拓扑:
[核心交换机 Core] |Trunk | [汇聚交换机 Dist1]----[汇聚交换机 Dist2] [接入SW1] [接入SW2]
核心交换机配置:
[Core] vlan batch 10 20 30 100 # 配置上行Trunk端口 [Core] interface GigabitEthernet 0/0/1 [Core-GigabitEthernet0/0/1] port link-type trunk [Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 30 [Core-GigabitEthernet0/0/1] quit # 配置VLANIF三层接口(实现VLAN间路由) [Core] interface Vlanif 10 [Core-Vlanif10] ip address 192.168.10.1 255.255.255.0 [Core-Vlanif10] quit [Core] interface Vlanif 20 [Core-Vlanif20] ip address 192.168.20.1 255.255.255.0 [Core-Vlanif20] quit
汇聚交换机配置:
[Dist1] vlan batch 10 20 30 # 上行Trunk到核心 [Dist1] interface GigabitEthernet 0/0/1 [Dist1-GigabitEthernet0/0/1] port link-type trunk [Dist1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 30 [Dist1-GigabitEthernet0/0/1] quit # 下行Access到接入交换机 [Dist1] interface GigabitEthernet 0/0/2 [Dist1-GigabitEthernet0/0/2] port link-type trunk [Dist1-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20 [Dist1-GigabitEthernet0/0/2] port trunk pvid vlan 100 [Dist1-GigabitEthernet0/0/2] quit
需求:某工厂需要将网络分为生产网、管理网、视频监控网
VLAN规划表:
VLAN 10(生产控制网):IP网段192.168.10.0/24,连接PLC/机器人/伺服/传感器/HMI。端口1-12,Access类型。最高安全级别,禁止访问互联网
VLAN 20(生产管理网):IP网段192.168.20.0/24,连接MES终端/SCADA服务器/数据库。端口13-20,Access类型。可访问VLAN10,禁止访问VLAN30
VLAN 30(视频监控网):IP网段192.168.30.0/24,连接IP摄像头/NVR/视频服务器。端口21-24,Access类型。大带宽,仅允许访问NVR,禁止访问其他VLAN
VLAN 100(管理VLAN):IP网段192.168.100.0/24,连接交换机/AP/网管系统。端口25(Trunk),管理专用。仅网管系统可访问
飞畅工业交换机配置模板:
# ================= VLAN配置模板 ================= # 1. 创建所有VLAN vlan batch 10 20 30 100 # 2. 批量配置Access端口(生产网) port-group vlan10 group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/12 # interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/12 port link-type access port default vlan 10 stp edgedport enable quit # 3. 批量配置Access端口(办公网) port-group vlan20 group-member GigabitEthernet 0/0/13 to GigabitEthernet 0/0/24 # interface range GigabitEthernet 0/0/13 to GigabitEthernet 0/0/24 port link-type access port default vlan 20 stp edgedport enable quit # 4. 配置Trunk端口(连接核心交换机) interface GigabitEthernet 0/0/25 port link-type trunk port trunk allow-pass vlan 10 20 30 100 port trunk pvid vlan 100 undo negotiation auto speed 1000 duplex full quit # 5. 配置端口隔离(可选) # 生产网和办公网不能互访,但都能访问服务器 port-isolate enable group 1 # interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/12 port-isolate enable group 1 quit
# 在三层交换机或路由器上配置 [Core] interface Vlanif 10 [Core-Vlanif10] ip address 192.168.10.1 255.255.255.0 [Core] interface Vlanif 20 [Core-Vlanif20] ip address 192.168.20.1 255.255.255.0 [Core] interface Vlanif 30 [Core-Vlanif30] ip address 192.168.30.1 255.255.255.0 # 启用路由功能 [Core] ip enable
# 路由器配置 [Router] interface GigabitEthernet 0/0/1.10 [Router-GigabitEthernet0/0/1.10] vlan-type dot1q vid 10 [Router-GigabitEthernet0/0/1.10] ip address 192.168.10.1 255.255.255.0 [Router-GigabitEthernet0/0/1.10] quit [Router] interface GigabitEthernet 0/0/1.20 [Router-GigabitEthernet0/0/1.20] vlan-type dot1q vid 20 [Router-GigabitEthernet0/0/1.20] ip address 192.168.20.1 255.255.255.0
# 禁止学习未知VLAN [Switch] vlan reserved all # 配置VLAN映射(可选) vlan mapping 10 remark "生产控制" vlan mapping 20 remark "办公网络"
# 启用端口安全 [Switch] interface GigabitEthernet 0/0/1 [Switch-GigabitEthernet0/0/1] port security [Switch-GigabitEthernet0/0/1] port security max-mac-num 5 [Switch-GigabitEthernet0/0/1] port security protect-action restrict
[Switch] dhcp snooping enable [Switch] vlan 10 [Switch-vlan10] dhcp snooping enable [Switch-vlan10] dhcp snooping trusted interface GigabitEthernet 0/0/25
同一VLAN内设备无法通信的常见原因及排查方法:
端口VLAN配置错误或端口被shutdown:现象为端口指示灯正常但ping不通。排查方法:display port vlan检查端口VLAN配置,display interface brief确认端口状态不是Administratively DOWN
端口隔离功能启用:现象为同一VLAN端口之间ping不通,但都能ping通网关。排查方法:display port-isolate group检查端口隔离配置,移除不必要的隔离组配置
STP端口被阻塞(discarding状态):现象为端口指示灯正常但无数据转发。排查方法:display stp brief确认端口状态,检查是否存在环路导致STP将端口阻塞
跨交换机VLAN通信失败的排查步骤:
Trunk链路未放行对应VLAN:现象为本地VLAN正常,跨交换机VLAN全部不通。排查方法:display port vlan检查Trunk端口的allow-pass vlan列表是否包含该VLAN ID,确认两端配置一致
两端Trunk端口PVID不一致:现象为部分VLAN通、部分不通,无规律。排查方法:display port vlan检查两端Trunk端口的PVID配置,确认两端PVID值一致
生成树根桥选举导致环网端口被阻塞:现象为网络刚启动时正常,运行一段时间后部分VLAN不通。排查方法:display stp brief检查STP拓扑,确认根桥位置合理,没有将核心交换机之间的Trunk链路阻塞
配置工作完成后的验证命令清单:
display vlan:查看所有VLAN及其包含的端口。确认VLAN已正确创建,检查端口归属是否符合预期
display port vlan:查看端口VLAN详细配置(Access/Trunk/Hybrid、PVID、Tagged/Untagged)。逐端口核对关键端口的VLAN模式设置
display interface brief:查看所有端口状态(UP/DOWN/Administratively DOWN)。确认关键链路端口为UP状态,速率和双工模式正确
display stp brief:查看生成树协议端口状态(FORWARDING/DISCARDING/LEARNING)。确认根端口和指定端口处于FORWARDING状态,备用端口正常丢弃
display mac-address vlan [VLAN-ID]:查看指定VLAN的MAC地址表。确认终端设备的MAC地址已学习到正确的端口上,无漂移
display dhcp snooping:查看DHCP Snooping配置和绑定表。确认信任端口配置正确,非信任端口无非法DHCP服务器
display logbuffer:查看系统日志缓冲区,关注Error/Warning级别日志。检查是否有端口反复UP/DOWN或STP拓扑变化的异常告警
ping [目标IP]:从交换机ping目标设备IP,验证三层连通性。分别从不同VLAN的网关接口ping该VLAN内设备,逐VLAN验证
VLAN配置的核心要点可以归纳为三个方面:
规划先行:VLAN ID采用10/20/30等间隔编号便于扩展,IP网段与VLAN一一对应,不同业务系统(生产/办公/监控)严格隔离。好的VLAN规划让后续扩容和维护事半功倍
端口分类:Access端口连终端(即插即用,简单可靠),Trunk端口连交换机(承载多VLAN),Hybrid端口用于特殊需求。PVID和Tagged VLAN的概念是理解VLAN工作原理的钥匙
安全加固:限制Trunk端口只放行必要的VLAN,启用端口安全防止非法接入,使用DHCP Snooping防止私接路由器。VLAN不仅是性能优化手段,更是网络安全的第一道防线
Copyright © 2009-2025 杭州飞畅科技有限公司 www.futuretel.com.cn
浙公网安备 33010602002367号版权所有 All Rights Reserved 
浙ICP备13024519号-2浙ICP备13024519号-1网站地图sitemap地图
