【简介】我们可以在交换机里设置VLAN,通过将企业网络划分为虚拟的VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。若没有路由的话,不同VLAN之间不能相互通信,这样加强了企业网络中不同部门之间的安全性。
网络规划
在一个中小型企业中,通常的网络结构不外于是一条(多条)宽带接上网设备(路由器或防火墙),然后到交换机(三层或二层),再到电脑,可能会有打印机、服务器共享,无线路由(或AP)提供无线接入。
大部分中小企业都只会配置一台三层交换机,其它为二层。我们这里以假设为一台三层交换机的环境。假设公司员工约100人,分为六个部门,分别是行政部、财务部、业务部、采购部、生产部、售后部。为了安全管理,每个部门设置一个VLAN,每个部门不能互相访问。这里我们将六个部门分别设为VLAN11-16。
除了人员外,还需要考虑到服务器、打印机、无线、视频会议、监控、门禁考勤,这里我们分别设为VLAN21-26。
以常用的24口三层交换机为例,我们需要在交换机上增加12个VLAN,这就需要合理的分配好端口了。
端口分析:六个部门,每个部门占用一个端口,下接二层交换机。这就用了6个端口,服务器、打印机、无线,各留4个端口,中小企业应该是够用的,视频会议一般留2个端口(连主机与摄像头),监控1个端口(连监控设备),门禁考勤2个端口,最后一个端口留给连接外网的路由器或防火墙。
IP地址划分:常用的内网IP地址有192.168.x.x、10.x.x.x、172.16.x.x三类,由于很多设备都会使用192.168.x.x网段,所以不推荐使用这个网段。这里将六个部门的IP地址分为172.16.1.x-172.16.6.x,其它六类设备IP地址分为172.18.1.x-172.18.6.x,除此之外的设备IP分配置为172.20.1.x。
为了能够理解网络规划,我们列了下面这个表格,后面的操作将会参照这个表格实施。
VLAN号 | 中文名称 | 英文名称 | 端口 | IP地址 | 网关 |
VLAN11 | 行政部 | Administration | gi1/0/1 | 172.16.1.0 | 172.16.1.254 |
VLAN12 | 财务部 | Finance | gi/1/0/2 | 172.16.2.0 | 172.16.2.254 |
VLAN13 | 业务部 | Sales | gi/1/0/3 | 172.16.3.0 | 172.16.3.254 |
VLAN14 | 采购部 | Purchase | gi/1/0/4 | 172.16.4.0 | 172.16.4.254 |
VLAN15 | 生产部 | Production | gi/1/0/5 | 172.16.5.0 | 172.16.5.254 |
VLAN16 | 售后部 | Services | gi1/0/6 | 172.16.6.0 | 172.16.6.254 |
VLAN21 | 服务器 | Server | gi1/0/7-10 | 172.18.1.0 | 172.18.1.254 |
VLAN22 | 打印机 | Printer | gi1/0/11-14 | 172.18.2.0 | 172.18.2.254 |
VLAN23 | 无线 | Wifi | gi1/0/15-18 | 172.18.3.0 | 172.18.3.254 |
VLAN24 | 视频会议 | VoIP | gi1/0/19-20 | 172.18.4.0 | 172.18.4.254 |
VLAN25 | 监控 | Monitor | gi/1/0/21 | 172.18.5.0 | 172.18.5.254 |
VLAN26 | 门禁考勤 | Check | gi/1/0/22-23 | 172.18.6.0 | 172.18.6.254 |
VLAN30 | 互联网 | Wan | gi/1/0/24 | 172.20.1.0 | 172.20.1.254 |
VLAN 设置
下面我们根据规划表,设置第一个VLAN11。
① 用configure terminal命令进入全局配置模式,用VLAN ID命令建立新的VLAN,并进入VLAN配置模式,name命令键入VLAN名称,为VLAN命名,如果不键入名称,则默认的名称是在VLAN单词后面加上前导零开始的4个数字,例如0011是VLAN 11的默认名称。
② 用interface命令键入新添加的VLAN,ip address命令设置VLAN的网关地址,no shutdown命令启用VLAN。
③ 用interface命令键入要添加到VLAN的接口,switchport mode access命令指定该接口为二层访问模式,switchport access vlan 11命令指派这个端口到VLAN 11中。用end命令结束并保存。这样一组VLAN设置就完成了。
④ 重复上面的命令,建立其它11个VLAN,最后一个VLAN30暂时不建(另有设置)。在选择多个接口的时候,要用interface range命令,和选择单个接口命令有所不同。这里再次列出完整的三段操作命令。
检查VLAN设置
除了最后一个VLAN30先不设置外,其它VLAN都照上面示例设置好。
① 用show vlan brief命令查看VLAN状况,可以看到接口都按指定加入了不同VLAN中。
② 用show ip interface brief命令查看接口IP,可以看到VLAN都已经指定了IP。