VLAN技术目前在网络中运用广泛，主要功能可以限制广播报文，利于网络安全，减少因主机数目过多时导致的冲突，提高网络运行质量，可灵活构建虚拟网络等。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，如需互通还需要三层设备。目前划分VLAN方式主要有依托网络设备端口、MAC地址、IP地址和通信协议进行划分。而不同的划分方式目前还无法兼容运行，且不同的划分方式运行的优先级也不同，因设置错误导致网络故障的情况时有出现。

故障现象

单位为保障移动办公，按照MAC地址划分了很多VLAN，确保办公人员无论走到哪里都可以随机接入网络，并使用自己相应的网络权限进行办公。一天，很多同事反映说无法正常上网。笔者以为是网络出现了故障，遂安排网管员进行故障排除。但是后经了解和电话咨询，几乎所有的上网计算机都无法正常上网，负责故障排除的网管员断定是单位的核心交换机出现了故障。

故障排除

为确保单位正常办公，网管员先使用备份交换机替代了出现故障的核心交换机，网络恢复正常。

既然故障得以排除，说明是单位的核心交换机确实出现了故障。观察出现故障的核心交换机，加电启动，经自检运行后，发现交换机的电源模块和各物理端口的信号指示灯均显示正常，也无因烧坏硬件而出现的异常异味。故障交换机运行了一段时间并进行了观察，发现故障交换机并没有特别明显的物理故障，遂准备对故障交换机进行全面检测。因故障交换机配置内容过多过杂，不清除配置无法进行硬件检测。于是，在配置计算机上架设了FTP服务器，在故障交换机上做了相关设置后，备份了核心交换机的配置后，清理了核心交换机的配置。

使用两台计算机分别连接在故障交换机的各端口进行测试，发现各端口均可以正常Ping通。即然可以Ping通，那故障交换机的物理端口就不存在故障。后又长时间运行了一段时间进行观察，发现故障交换机一直运行正常。

打开故障交换机备份的配置文档，对配置文档进行检查，发现在配置文档中相比于以前的配置文档，又新增了数条配置，其中在故障交换机的GigabitEthernet 0/0/5物理端口新增了配置（如图1）。但在此接口的配置内容和方式不同于在其他物理端口的配置方式，其他物理端口的配置方式如图2所示。

通过查看和对比相关配置后，终于找出了故障原因。核心交换机并未出现物理故障，问题出现在新增配置上。因配置内容过多过杂，新增配置不注意观察很难发现出现的问题。原来是有同事在核心交换机上新增了该配置，GigabitEthernet 0/0/5物理端口前期一直未使用，因业务需要从该物理端口向外延伸了网络，为保证能按需上网，故在该端口进行了VLAN设置，设置完成后，经测试，该单位网络可以正常上网。

虽然该单位可以正常上网，但是因为配置方式的错误，导致其他用户无法正常上网。在GigabitEthernet 0/0/5接口上参照其他接口的配置进行了修改，然后又进行运行测试。然后将其置换回去后，故障排除。

图1 GigabitEthernet 0/0/5接口新增配置

图2 其他正常端口的配置

故障原因

在GigabitEthernet 0/0/5物理端口上新增了相关设置，通过查看设置可以看出，划分VLAN的方式是基于端口的方式，而其他物理端口使用划分VLAN的方法却是基于MAC地址的划分方式。当基于端口的划分方式生效时，基于MAC地址的划分方式就会失效，因为在划分VLAN的方式中，基于端口的划分VLAN方式的优先级是高于基于MAC地址的划分VLAN方式的优先级。当同时在交换机中进行配置时，可以生效的是基于端口的划分VLAN方式，而基于MAC地址的划分VLAN方式是无效的。这也就导致在GigabitEthernet 0/0/5物理端口上按基于端口划分VLAN方式后可以和VLAN的网关可以连通，而其他端口的配置却无法和相应VLAN的网关进行连通。

经验总结

在日常使用VLAN时，有很多种方式进行划分，目前，最成熟使用效果最好最受欢迎的是基于交换机端口和基于IP地址的VLAN划分方式，这两种方法虽然欠灵活，但配置简单，不需要统计用户终端的MAC地址等信息。而要移动办公，最理想的方式是基于MAC地址的划分方式，但这种方式易遭受MAC欺诈攻击的隐患。

在划分VLAN时，只能使用其中的一种方式，而不能几种方式同时采用，当同时采用时，基于端口的方式优先级要高于基于MAC地址的方式的优先级，可以正常工作的基于端口的VLAN划分方式，而基于MAC地址方式的无法正常工作。

要排除该故障，可以在GigabitEthernet 0/0/5端口中增加一条 mac-vlan enable配置即可，这条命令是要求该端口使用基于MAC地址的划分方式，并进入VLAN接口中，使用mac-vlan mac-address H H-H HHH priority 0命令在相应VLAN添 加MAC地 址，priority为MAC地址的优先级，在网络阻塞时，优先值高的MAC地址可以优先使用网络资源，优先值低的MAC地址不能优先使用网络资源。