为什么需要做VLAN划分
公司刚搬进新办公楼,网络布线也跟着重新规划。路由器一接上,所有设备都能上网,看似没问题。可没过几天,财务部抱怨视频会议卡顿,IT同事排查发现是市场部在批量上传宣传素材,占满了带宽。这种“一人用网,全楼受影响”的情况,在没有VLAN划分的小型网络里太常见了。
VLAN(虚拟局域网)的作用,就是把一个物理网络逻辑上切分成多个独立的小网络。比如行政、技术、访客各走各的道,互不干扰。既提升了安全性,也优化了性能。
常见的VLAN划分方式
最简单的按部门划分。比如VLAN 10给财务,VLAN 20给研发,VLAN 30留给访客WiFi。每个VLAN之间默认不通,想互通再通过三层交换机或路由器控制策略。
也可以按设备类型分。比如IP电话单独一个VLAN,监控摄像头一个VLAN。这样语音流量优先级高,不会被其他数据挤占,通话更清晰。
还有一种是按楼层或区域划分。比如1楼用VLAN 10,2楼用VLAN 20。适合多层办公环境,管理起来方便,故障定位也快。
实际配置示例
假设使用一台支持VLAN的交换机,给财务部创建VLAN 10,端口1-5接入该部门电脑:
vlan 10<br> name Finance<br> exit<br> interface range gigabitEthernet 0/1 - 5<br> switchport mode access<br> switchport access vlan 10访客WiFi用VLAN 99,连接到端口24:
vlan 99<br> name Guest-WiFi<br> exit<br> interface gigabitEthernet 0/24<br> switchport mode access<br> switchport access vlan 99别忘了三层互通和安全策略
划分完VLAN,各部门不能互相访问了,这没错。但有时候行政要查个共享文件夹,就得打通一点通道。这时候在三层交换机上配个接口VLAN间路由就行。
更重要的是加点安全规则。比如访客VLAN禁止访问内网打印机,研发VLAN不能随便连外网。这些都可以在出口防火墙或核心交换机上设ACL控制。
无线网络也要同步规划
现在谁不用Wi-Fi?AP(无线接入点)通常接在交换机上,SSID可以绑定不同VLAN。比如公司内部连“TSKJ-Corp”,自动划入VLAN 10;客户来访连“TSKJ-Guest”,进入VLAN 99并限速限访问。
这样一来,哪怕客人手机中了病毒,也不会直接扫到你内网的NAS或服务器,风险小很多。
做好VLAN划分,不是为了炫技,而是让网络更稳、更安全、更好管。特别是人员增多、设备变杂之后,提前规划比出问题再改省心太多。