为什么需要VLAN划分?
你家里的Wi-Fi是不是经常被孩子刷视频占满带宽,导致你开视频会议卡成幻灯片?企业网络也一样,设备一多,广播流量就像菜市场吆喝声此起彼伏,谁也听不清。这时候,VLAN(虚拟局域网)就派上用场了。
VLAN能把一个物理网络逻辑上切分成多个独立的小网络,比如财务、人事、访客各走各的道,互不干扰。这不只是为了整洁,更是网络设计规范里的基本操作。
按部门划分是最常见的做法
假设公司有三个部门:行政、研发、访客。交换机有24个端口,可以这样规划:
VLAN 10: 行政部 — 端口 1-8
VLAN 20: 研发部 — 端口 9-16
VLAN 30: 访客WiFi — 端口 17-20
预留端口 — 21-24这样一来,行政部的打印机不会被访客连上,研发的代码服务器也不会被误访问。哪怕物理上都插在同一个机柜里,逻辑上已经隔开了。
IP地址段也要跟着分
光分VLAN不够,还得配对应的子网。继续上面的例子:
VLAN 10: 192.168.10.0/24
VLAN 20: 192.168.20.0/24
VLAN 30: 192.168.30.0/24每个VLAN有自己的DHCP范围,设备自动获取对应网段的IP。路由器或三层交换机负责不同VLAN之间的通信,想互通?得靠策略控制,比如只允许行政访问财务的报销系统,其他一律挡掉。
端口类型别搞混:Access和Trunk
交换机端口有两种常见模式。接电脑、打印机这种终端设备的叫Access端口,它只属于一个VLAN。比如行政部的电脑插在端口5,这个端口就是Access模式,打上VLAN 10的标签。
而连接两台交换机的端口通常是Trunk,它可以同时传多个VLAN的数据。就像快递中转站的干线货车,一趟拉几十个包裹,到了下一站再分拣。
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,30别忘了安全和管理便利性
某天市场部新来了实习生,插上网线后自动进入VLAN 40,只能访问互联网和几台共享资料,碰不到核心系统。这就是VLAN带来的权限隔离。出了问题也容易排查,研发组说网络慢,先看是不是自己VLAN内有人跑大文件,而不是一上来就怀疑全网故障。
规范的VLAN划分不是炫技,是让网络好管、安全、出事能快速定位。尤其是中大型网络,没这一步,后期维护就是噩梦。
小改动可能带来大影响
有次朋友公司的IT把销售部误划进了生产测试VLAN,结果销售同事打开网页时,浏览器直接弹出了PLC控制器的配置页面。这种乌龙看似好笑,实则暴露了变更管理的重要性。改VLAN配置前,得确认端口用途、用户影响范围,最好在非工作时间操作。
现在不少中小公司也开始用VLAN了,哪怕是十几个人的团队,把监控摄像头、办公电脑、客人Wi-Fi分开,也能避免摄像头拖慢办公网速的问题。网络设计规范里的条条框框,其实都是踩过坑才总结出来的。