中小型园区网络建设-VLAN规划(三)

中小型园区网络建设-VLAN规划(三)

Scroll Down

VLAN的规划可以根据公司或者企业发展的情况进行规划,良好的VLAN规划能够保证企业网络的稳定性、高效型和安全性!

1.jpg

VLAN是什么?

VLAN是虚拟局域网,使用ID标记在逻辑上将网络上的设备分成较小的广播域。这些较小的域仅将数据包转发到属于该VLAN域的设备。这可以减少流量并提高网络安全性。

我们都知道数据在交换机里面会进行全网的广播,但是每个数据都进行广播会增加交换机的负担因此,通过VLAN就可以将同一组的或者同一部门的的用户在逻辑上组成一组!然后数据只在同一组里面广播,既能增加安全性、又能减轻减交换机负担!

2.jpg

VLAN

VLAN在物理上处于统一交换机设备,但是在逻辑上是根据需求可以换分多个组!

划分VLAN的原则

划分虚拟局域网主要出于三种考虑

  1. 基于网络性能的考虑。可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输,因为广播信息是不会跨过VLAN的,可以把广播限制在各个虚拟网的范围内,减小广播域,提高了网络的传输效率,从而提高网络性能。
  2. 基于安全性的考虑。因为各VLAN之间不能直接进行通讯,而必须通过路由器转发,增强了网络的安全性。在大规模的网络,比如说大的集团公司,有财务部、采购部和客户部等,它们之间的数据是保密的,相互之间只能提供接口数据,其它数据是保密的。
  3. 第基于组织结构上考虑。同一部门的人员分散在不同的物理地点,比如集团公司的财务部在各子公司均有分部,但都属于财务部管理,虽然这些数据都是要保密的,但需统一结算时,就可以跨地域(也就是跨交换机)将其设在同一虚拟局域网之中,实现数据安全和共享。

3.jpg

根据部门划分VLAN

划分VLAN的方法

划分VLAN的主要常用方法有四种;

  1. 基于端口的VLAN:基于端口的虚拟局域网是最实用的虚拟局域网,配置也相当直观简单,根据端口划分VLAN,统一VLAN局域网中的站点具有相同的网络地址,不同的虚拟局域网之间进行通信需要通过路由器。但是,如果移动了端口需要从新配置!
  2. 基于MAC的VLAN:在基于MAC地址的虚拟局域网中,交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个虚拟局域网,而无论该站点在网络中怎样移动,由于其MAC地址保持不变,因此用户不需要进行网络地址的重新配置。缺点在于,前期工作量大!
  3. 基于IP子网的VLAN:在基于IP子网的VLAN中,IP子网中的所有终端工作站都根据需求分配给不同组的VLAN。如果不更改IP,用户可以移动其工作站而无需重新配置其网络地址。
  4. 基于用户的VLAN:可以根据用于登录该设备的账户将交换机端口分配给一个VLAN。 上面几种,1、2、3属于常用的方法,其中第一种最为简单有效!

VLAN配置案例 我们以华为设备为例配置下面的设备:

4.jpg

VLAN配置案例

VLAN主要配置于交换机,上面的案例核心设备为core1和core2,然后地下都是接入设备!案例中的VLAN规划主要是根据部门需求,采用端口的方式进行划分!

核心core1

首先,需要简历VLAN,因为core1和core2,属于主备所以两个在VLAN配置和规划基本相同。

[core1]vlan batch 10 20 30 40 50 100 300

配置core1连接路由器端口

[core1]int GigabitEthernet 0/0/1

[core1-GigabitEthernet0/0/1]port link-type access

[core1-GigabitEthernet0/0/1]port default vlan 100

通往部门一和二的数据通过统一交换机,因此需要允许VLAN10、VLAN20通过。

[core1-GigabitEthernet0/0/1]int g 0/0/3

[core1-GigabitEthernet0/0/3]port link-type trunk

[core1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

其他的接入交换机只属于一个部门因此配置方式都一样,以部门三为例!

[core1-GigabitEthernet0/0/3]int g0/0/4

[core1-GigabitEthernet0/0/4]port link-type trunk

[core1-GigabitEthernet0/0/4]port trunk allow-pass vlan 30

这样core1配置就完成了,然后以同样的方法配置core2.

接入交换机LSW3

接入层以LSW3交换机为例,LSW3交换同时连接核心core1和core2,并且地下连接两个部门!具体配置如下:

配置上连core1端口

[acc1]interface Ethernet0/0/1

[acc1-interface Ethernet0/0/1]port link-type trunk

[acc1-interface Ethernet0/0/1]port trunk allow-pass vlan 10 20

配置上连core2端口

[acc1]interface Ethernet0/0/2

[acc1-interface Ethernet0/0/2] port link-type trunk

[acc1-interface Ethernet0/0/2] port trunk allow-pass vlan 10 20

配置连接部门一端口

[acc1]interface Ethernet0/0/3

[acc1-interface Ethernet0/0/3] port link-type access

[acc1-interface Ethernet0/0/3] port default vlan 10

配置连接部门二端口

[acc1]interface Ethernet0/0/4

[acc1-interface Ethernet0/0/4]port link-type access

[acc1-interface Ethernet0/0/4]port default vlan 20

这样网络中的VLAN就配置完成了!

图中core1和core2相连的端口,具体在链路聚合里面在进行划分!