嘿!兄弟们,是不是一提到 VLAN 划分,就感觉一个脑袋两个大?
思科认证 | 华为认证 | IT技术 | 网络工程师
3000人技术交流QQ群 备注【官网】更快通过
之前就有不少兄弟跟我吐槽,说这 VLAN 的划分方法五花八门,自己就像在迷宫里打转,完全摸不着头脑。尤其新手小白,光是VLAN的划分就能研究好几天,更别说之后还让他配置了。
这图是不是就是你们啊,哈哈!
其实,这 VLAN 就像是给咱们的网络世界分区,划分得好,网络管理能更高效,安全性也更有保障。但要是选错了划分方法,那麻烦可就多了去了。
别担心,今天我就带大家好好捋一捋,看看哪种 VLAN 划分方式最适合。
01.基于接口
根据交换机的接口来划分VLAN。
这个方法简单得就像给每个房间贴上不同的标签。网络管理员给交换机的每个接口提前设置好不同的 PVID ,当没有 VLAN 标签的数据帧进入交换机,就像一个没带身份牌的人走进大楼,会被立刻贴上对应接口的 PVID 标签,然后在指定的 “房间”(VLAN)里活动。
① 优点:几乎不用啥复杂操作,就算是网络小白也能轻松上手
② 缺点:要是员工换了办公位置,就好比你换了房间,就得重新给你贴上对应的 VLAN 标签
③ 适用场景:这种划分方式就像固定的员工工位,适合位置比较固定的网络。像传统制造企业,大家都在固定的位置上班,设备也不咋动,用这种方式划分 VLAN 就很合适,稳稳当当。
④ 如何配置:
-执行命令vlan vlan-id,创建VLAN并进入VLAN视图
【如果是配置为access链路】
-执行命令port link-type access,配置接口类型为access
-执行命令port default vlan vlan-id,配置接口的缺省VLAN并将接口加入到指定VLAN
【如果是配置为trunk链路】
-执行命令port link-type trunk,配置接口类型为trunk
-执行命令port trunk allow-pass vlan -id,配置放行列表
02.基于MAC地址
根据数据帧的源MAC地址来划分VLAN。
这种方式就好比每个人都有一个独一无二的身份证号,不管你走到哪里,都能被识别。它是根据数据帧的源 MAC 地址来划分 VLAN 的。网络管理员提前把 MAC 地址和 VLAN ID 的对应关系整理好,就像给每个人都安排好对应的房间,当没有标签的数据帧进入交换机,就会根据这个 “身份对应表” 给它分配 VLAN 标签,然后在对应的 VLAN 里传输。
① 优点:就像你带着万能房卡,不管走到哪个楼层,哪个房间,都能自动识别你的身份,不需要重新分配房间。当用户物理位置改变,也不用重新配置 VLAN,安全性和灵活性都拉满。
② 缺点:非常致命!要提前知道大楼里每个人的身份证号一样,需要预先定义网络中所有成员的 MAC 地址,在设备众多的大型企业里,这工作量简直大到让人崩溃。
③ 适用场景:适用于位置经常变动但网卡不怎么换的小型网络,比如企业里的移动 PC,员工带着笔记本在不同会议室、办公区跑来跑去,用基于 MAC 地址划分 VLAN 就很方便。
④ 如何配置:
-执行命令vlan vlan-id,创建VLAN并进入VLAN视图
-执行命令mac-vlan mac-address mac-address [ mac-address-mask | mac-address-mask-length ] [ priority priority ],关联MAC地址和VLAN
比如:配置MAC地址22-33-44与VLAN100关联
[HUAWEI] vlan 100
[HUAWEI-vlan100] mac-vlan mac-address 22-33-44
03.基于子网
根据数据帧中的源IP地址和子网掩码来划分VLAN。
这就像按照不同的小区来划分住户,它是根据数据帧里的源 IP 地址和子网掩码来划分 VLAN。网络管理员提前设置好 IP 地址和 VLAN ID 的对应表,当没有标签的数据帧进来,就像没找到自己小区的人,会根据这个对应表给它分配 VLAN 标签,然后在指定的 VLAN 里传输。
① 优点:当用户位置改变,就像你从小区 A 搬到小区 B,也不用重新分配房间,还能减少网络通信量,让广播域跨越多个交换机,就像不同小区之间也能轻松交流。
② 缺点:要求网络中的用户分布得有规律,就像小区里的房子得按顺序排好,而且多个用户得在同一个网段,在复杂的网络环境里,这可有点难办。
③ 适用场景:适合对安全要求不高,对移动性和管理便利性要求高的场景。比如一台 PC 要配置多个 IP 地址访问不同网段的服务器,就像你一个人要去不同的小区办事,或者 PC 切换 IP 地址后要求 VLAN 自动切换,这种情况下,基于子网划分 VLAN 就很实用。
④ 如何配置:
-执行命令vlan vlan-id,创建VLAN并进入VLAN视图
-执行命令ip-subnet-vlan [ ip-subnet-index ] ip ip-address { mask | mask-length } [ priority priority ],关联IP子网和VLAN。
比如:将VLAN3配置为基于IP子网划分的VLAN,与10.10.10.0/24网段进行关联,使得源地址为该网段的报文可以分发到VLAN3中传输。
[HUAWEI] vlan 3
[HUAWEI-vlan3] ip-subnet-vlan ip 10.10.10.0 255.255.255.0
04.基于协议
根据数据帧所属的协议(族)类型及封装格式来划分VLAN。
就好比根据不同的快递类型来分类包裹,它是根据数据帧所属的协议类型和封装格式来划分 VLAN。网络管理员提前设置好以太网帧中的协议域和 VLAN ID 的对应关系,当没有标签的数据帧进来,就像一个没写快递类型的包裹,会根据这个对应关系给它分配 VLAN 标签,然后在指定的 VLAN 里传输。
① 优点:把网络里提供的服务类型和 VLAN 绑在一起,就像把相同类型的快递放在同一个仓库,方便管理和维护。
② 缺点:要提前把所有协议类型和 VLAN ID 的对应关系都设置好,就像要知道所有快递类型的分类规则,而且还得分析各种协议的格式并进行转换,这就像要拆开每个包裹检查再重新分类,很消耗交换机的资源,速度也会慢一点。
③ 适用场景:适合需要同时运行多种协议的网络,就像一个大型快递站,各种类型的快递都有。比如科研机构或者大型互联网企业的测试网络,好多协议同时运行,基于协议划分 VLAN 就能更好地管理不同协议的流量。
④ 如何配置:
-执行命令vlan vlan-id,创建VLAN并进入VLAN视图
-执行命令protocol-vlan [ protocol-index ] { at | ipv4 | ipv6 | ipx { ethernetii | llc | raw | snap } | mode { ethernetii-etype etype-id1 | llc dsap dsap-id ssap ssap-id | snap-etype etype-id2 } },关联协议和VLAN,并指定协议模板。
比如:配置基于IPv4协议报文划分到VLAN3
[HUAWEI] vlan 3
[HUAWEI-vlan3] protocol-vlan ipv4
05.基于匹配策略
这个就像一个超级智能的门禁系统,可以根据多种条件来判断让谁进哪个房间。它能根据配置的策略,比如接口、MAC 地址、IP 地址等多种组合方式来划分 VLAN。网络管理员提前设置好策略,当没有标签的数据帧进来,而且符合设置的策略时,就像符合门禁条件的人,会给它分配指定的 VLAN 标签,然后在指定的 VLAN 里传输。
① 优点:安全性超高,就像高级密码锁,VLAN 划分后,用户不能随意改变 IP 地址或 MAC 地址,而且网络管理人员可以根据自己的管理需求选择划分方式,非常灵活。
② 缺点:每条策略都得手动配置,就像每个门禁规则都得自己设置,工作量很大。
③ 适用场景:适合需求复杂的环境,就像银行的保险柜区,安全和管理要求都很高。比如金融企业,对网络安全和管理灵活性要求都特别高,基于匹配策略划分 VLAN 就能满足他们严格的安全和管理需求。
④ 如何配置:
-执行命令vlan vlan-id,创建VLAN并进入VLAN视图
-执行命令policy-vlan mac-address mac-address ip ip-address [ interface interface-type interface-number ] [ priority priority ],配置Policy VLAN。
比如:配置基于组合策略划分VLAN依据的MAC地址是0–1–1,IP地址是10.1.1.1,对应VLAN的802.1p优先级是7。
[HUAWEI] vlan 2
[HUAWEI-vlan2] policy-vlan mac-address 0-1-1 ip 10.1.1.1 priority 7
06.匹配的优先级
如果一个数据帧同时符合多种划分 VLAN 的条件,就像一个人同时符合好几个门禁规则,那优先级从高到低依次是:基于匹配策略划分 VLAN > 基于 MAC 地址划分 VLAN 或基于子网划分 VLAN > 基于协议划分 VLAN > 基于接口划分 VLAN。如果同时符合基于 MAC 地址和基于子网划分 VLAN ,默认优先按 MAC 地址划分。不过也可以通过命令调整这两种方式的优先级。虽然基于接口划分 VLAN 优先级最低,但它却是最常用的,就像大楼里最常用的普通门禁。
这么多划分方式,我相信大家也都看花了眼,其实,在企业里用基于接口划分 VLAN 的情况最多。因为它简单直接,就像傻瓜相机,人人都能上手,对于大多数企业常规的网络架构和稳定的办公环境,这种方式已经能满足基本的网络管理和安全需求。当然,也有不少企业会根据自身特殊需求,把多种划分方式结合起来,就像用多种门禁系统,实现更精细的网络管理。
你们企业现在用的是哪种 VLAN 划分方式呢?在实际使用中有没有遇到啥问题?快来评论区分享分享,咱们一起交流交流!
官方公众号
商务合作
