上周帮朋友公司调网络,发现他们用一台24口交换机接了财务、人事、IT和前台四个部门,所有设备都在同一个广播域里。结果财务部一开视频会议,整个楼的打印机都卡顿——这就是没做VLAN划分的典型症状。
为什么非得划VLAN?
说白了,VLAN就是给物理交换机“隔出几个独立小房间”。同一房间里的设备能直接通信,不同房间之间默认不通,得靠路由器或三层交换机转发。好处很实在:隔离广播风暴、提升安全性、方便管理。比如销售部的测试服务器出了问题,不会影响到研发部的代码仓库。
常见划分方式怎么选?
按端口划分最常用也最直观。比如把交换机1-6口分给行政部,7-12口分给技术部,每个口手动打上对应VLAN ID:
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10
!
interface GigabitEthernet0/7
switchport mode access
switchport access vlan 20按MAC地址划分适合移动设备多的场景,比如会议室的笔记本连哪台交换机口不固定,但只要MAC登记在VLAN30里,插哪儿都自动进销售部网络。不过维护成本高,新增设备要先录MAC。
按IP子网划分适合已有固定IP规划的环境,比如192.168.10.0/24归财务,192.168.20.0/24归研发,交换机根据源IP自动映射VLAN。注意:需要启用基于IP的VLAN识别功能,不是所有交换机都支持。
实际踩过的坑
曾经把打印机和财务电脑分在不同VLAN,又忘了配三层互通,结果报销单打不出来。后来加了一条静态路由:
ip route 192.168.10.0 255.255.255.0 192.168.20.1还有一次,无线AP的管理口和用户数据口没分离,导致员工连WiFi后能直接访问AP后台。解决办法是给AP配置两个SSID,分别绑定VLAN100(管理)和VLAN200(访客),再把AP的上联口设为trunk模式,放行这两个VLAN。
最后提醒一句:VLAN ID别从1开始用。VLAN 1是默认VLAN,很多交换机的管理接口默认就在上面,容易被误扫或攻击。建议业务VLAN从10起步,预留1-9给设备管理、语音、监控等专用用途。