很多公司现在VLAN是“谁新来了就加一个”,时间久了:编号乱、用途不清、广播域越来越大,最后谁也不敢删。
一句话:VLAN规划=先抽象业务分类,再分配编号区间,再落地接口绑定与网关。不能反过来。
今日文章阅读福利:《网络工程师手册》
扫添加小助理微信,备注【网工】,即可获取。
一、3张“准备小表”——别急着敲命令
1. 业务分类表(示例)
业务组:办公 / 财务 / 研发 / 访客 / 管理
2. 编号区间表(示例)
10 办公
20 财务
30 研发
40 访客/临时
90 管理
3. 网段分配表(示例)
VLAN10 192.168.10.0/24 办公
VLAN20 192.168.20.0/24 财务(需备份策略)
VLAN30 192.168.30.0/24 研发
VLAN40 172.16.40.0/24 访客(隔离)
VLAN90 10.10.90.0/24 管理设备
二、标准 4 步落地(命令 + 多机互通点)
第 1 步:批量创建
[Switch] vlan batch 10 20 30 40 90
第 2 步:接入接口设定(注意逐口核对)
[Switch] interface GigabitEthernet0/0/5
[Switch-Gig0/0/5] port link-type access
[Switch-Gig0/0/5] port default vlan 20
第 3 步:上联/汇聚干道(多 VLAN 透传)
[Switch] interface GigabitEthernet0/0/24
[Switch-Gig0/0/24] port link-type trunk
[Switch-Gig0/0/24] port trunk allow-pass vlan 10 20 30 40 90
第 4 步:三层网关(核心/三层交换)
[Core] interface Vlanif10
[Core-Vlanif10] ip address 192.168.10.1 24
...(其他网关同理)
三、验证清单
display vlan 10看成员接口是否正确
PC → ping自己 VLAN 网关
跨VLAN需看:是否有对应Vlanif+是否开启路由(多数三层交换机默认支持)
display interface brief | include down 甄别未接线口是否误划入
四、典型扩展(可选)
· 语音VLAN:port voice-vlan enable(带IP Phone场景)
· QinQ:运营商承载多个用户VLAN(后期再学)
· ACL控制:对财务VLAN访问权限限制
五、常见“隐形坑”
· 临时测试VLAN忘删 → 编号被抢占
· 网关写在接入交换机 → 日后迁移困难
· VLAN 40(访客)意外能访问办公:Trunk放行列表误多写
六、故障排查顺序(口诀:成员→Trunk→网关→ARP)
1. 是否真的在同一 VLAN?display vlan
2. Trunk是否放行?display interface trunk
3. 网关Vlanif IP是否up?display ip interface brief
4. ARP是否存在?display arp | include 192.168.10.x
七、升级路线
单纯VLAN → 加上DHCP中继 → 加上跨区域路由 → 加上安全隔离策略 → 自动化批量生成配置脚本
八、微型自测(答不出说明结构还没掌握)
1. 为什么访客网段建议用与内部不同的私网段区间?
2. VLAN编号能否随便跳(10→300→25)?风险是什么?
3. Trunk和Access最大的本质区别一句话描述?
我们今天就分享到这,下次再见啦!
