如何劃分vlan伺服器訪問_關於伺服器上如何劃分vlan

1. 公司網路如何劃分VLAN

1、要實現這需要訪問控制列表ACL。
2、ACL通常是和VLAN搭配使用，或者是直接定義網段的訪問規則。你這種情況，建議每個部門都使用獨立的網段，便於管理。設備原因就需要用交換機劃分VLAN。IP地址塊大小還需要參照目前部門的主機數量，以及以後的擴展工作。比如生產部現有28台主機，可以給/27的地址塊，但這樣以後擴展的空間有限，（2^5-2-1-28=1，去掉網關地址後，只有一個剩餘地址），所以建議給分配/26的地址塊。
3、3com2024交換機應該是支持VLAN劃分的，劃分完VLAN後，需要分配網段，並在路由器上做單臂路由。然後在路由器子介面上配置ACL。
3com設備的配置我沒有做過，具體命令可能與其他公司的設備命令有不同，你就自己看說明書或在網上搜搜吧。

2. VLAN的具體劃分方法和相關配置

VLAN實現的配置命令行如下：（僅供參考）

一．中心交換的VLAN配置

（1）激活vlan路由
Switch1#config t
Switch1(config)#ip routing

（2）創建三個VLAN
Switch1#
Switch1#vlan database
Switch1(vlan)#vlan 2
Switch1(vlan)#vlan 3
Switch1(vlan)#vlan 10
Switch1(vlan)#exit

（3）給VLAN分配IP
Switch1#config t
Switch1(config)#config vlan2
Switch1(config-if)#ip address 192.168.2.1 255.255.255.0
Switch1(config-if)#no shutdown
Switch1#config t
Switch1(config)#config vlan3
Switch1(config-if)#ip address 192.168.3.1 255.255.255.0
Switch1(config-if)#no shutdown
Switch1#config t
Switch1(config)#config vlan10
Switch1(config-if)#ip address 192.168.10.1 255.255.255.0
Switch1(config-if)#no shutdown

（4）配VTP
Switch1#
Switch1#config t
Switch1(config)#vtp domain china_mobile
Switch1(config)#vtp mode server
Switch1(config)#end

（5）配Trunk
Switch1#
Switch1#config t
Switch1(config)#interface gigabitethernet0/1
Switch1(config-if)#switchport trunk encapsulation isl
Switch1(config-if)#switchport mode trunk
Switch1(config-if)#end

（6）給中心交換機通往路由器的介面配IP
Switch1#
Switch1#config t
Switch1(config)#interface fastethernet0/1
Switch1(config-if)#no switchport
Switch1(config-if)#ip address 200.1.1.1 255.255.255.0
Switch1(config-if)#no shutdown

（7）給中心交換機配置預設路由
Switch1#
Switch1#config t
Switch(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2

（8）把VLAN號分配給IP介面
Switch1#
Switch1#config t
Switch1(config)#interface fastethernet0/2
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan2
Switch1(config-if)#spanning-tree portfast
… …
Switch1#
Switch1#config t
Switch1(config)#interface fastethernet0/13
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan3
Switch1(config-if)#spanning-tree portfast
(其它同)

（9）配訪問控制列表ACL禁VLAN3子網的客戶機訪問伺服器
Switch1#
Switch1#config t
Switch1(config)#access-list 1 deny 192.168.3.0 0.0.0.255
Switch1(config)#access-list 1 permit any
Switch1(config)#interface fastethernet0/13 （此介面接伺服器）
Switch1(config-if)#ip access-group 1 out

（10）檢查上述配置
Switch1#show vlan
Switch1#show ip route
Switch1#show interface gigabitethernet0/1 switchport
Switch1#show run
Switch1#show vtp status

（11）存配置
Switch1# running-config startup-config

二．在接入層交換機Swith2上VLAN的配置

(1)配TRUNK
Switch2#
Swtich2#config t
Switch2(config)#interface gigabitethernet0/1
Switch2(config-if)#switchport trunk encapsulation isl
Switch2(config-if)#switchport mode trunk
Switch2(config-if)#end

Switch2#
Swtich2#config t
Switch2(config)#interface gigabitethernet0/2
Switch2(config-if)#switchport trunk encapsulation isl
Switch2(config-if)#switchport mode trunk
Switch2(config-if)#end

(2)配VTP
Switch2#
Switch2#config t
Switch2(config)#vtp mode client
Switch2(config)#vtp domain china_mobile
Switch2(config)#end

(3)給介面分配VLAN號
Switch2#
Switch2#config t
Switch2(config)#interface fastethernet0/1
Switch2(config-if)#switchport mode access
Switch2(config-if)#switchport access vlan2
Switch2(config-if)#spanning-tree portfast
… …
(其它埠配置同)
(4)存配置
Switch2# running-config startup-config
(其它交換機同)

3. 關於伺服器上如何劃分vlan,高手進.

其實很簡單，只要你的伺服器網卡支持802.1q協議就可以了，一般來說，INTEL的網卡都支持802.1q，只要下一個最新的驅動程序就可以。安裝驅動後，點擊本地連接，右鍵選屬性，再點擊配置，你就會發現裡面多了一項"VLAN"的標簽。

4. 400台電腦怎麼根據部門劃分vlan並且能訪問伺服器

不建議開啟自動獲取DHCP增加交換機負擔，三層交換機劃分5個VLAN，一個部門一個就行了

5. 掌握VLAN劃分及路由器的配置

路由器劃分VLAN，是將路由器配置為各VLAN的網關，實現VLAN間路由，也就是所說的單臂路由。

路由器配置VLAN，不能將物理埠劃分到VLAN中，而要通過將虛擬子介面劃分到VLAN中並且為其配置封裝協議dot1q。

詳細解說：

路由器提供VLAN間路由只能做單臂路由，也就是設置子介面和封裝協議。

第一步：在交換機上建立VLAN，並將交換機的各埠按照你的意願劃分到你所創建的VLAN中。

實例：

cont

vlan10

vlan20

vlan30

interfacerangefastetherner0/1-8

switchportaccessvlan10

interfacerangefastethernet0/9-16

switchprtaceessvlan20

interfacerangefastethernet0/17-23

switchprtaceessvlan30

interfacefastethernet0/24*重要的一步：設置交換機上的trunk口

switchportmodetrunk

switchporttrunkallowvlanall*這條是為trunk打開使每個vlan都能通過的命令，使trunk口能傳輸各vlan的數據幀。

第二步，在路由器上的一個埠上設置子介面，並為子介面配置ip地址，此ip地址將自動成為各VLAN的網關。

router#interfacefa0/0

noipaddreess*使之成為二層口，去掉其ip地址

下面開始配置子介面，子介面配置好tunck封裝模式之後，就成為了trunk口

interfacefa0/0.10*為vlan10劃分出一個子介面

encapsulatedot1q10*為vlan10配置此子介面的trunk封裝模式

ipadrress192.168.10.1255.255.255.0*為vlan10的子介面配置ip地址

exit

interfacefa0/0.20*為vlan20劃分出一個子介面

encapsulatedot1q20*為vlan20配置此子介面的trunk封裝模式

ipadrress192.168.20.1255.255.255.0*為vlan20的子介面配置ip地址

exit

interfacefa0/0.30*為vlan30劃分出一個子介面

encapsulatedot1q30*為vlan30配置此子介面的trunk封裝模式

ipadrress192.168.30.1255.255.255.0*為vlan30的子介面配置ip地址

exit

最後，為保險起見，在路由器的全局模式使用

router#iprouting。

OK，配置完成。

這時在vlan10中的客戶端ping一下在vlan20中的客戶端，試試。

【注意事項】

1，在給路由器的子介面配置IP地址之前，一定要先封裝dot1q協議。

2，各個VLAN內的主機，要以相應VLAN子介面的IP地址作為網關。

6. 如何劃分802.1Q VLAN

企業網路中，不同部門（人員）的網路許可權有所差異，經常需要在區域網內進行二層網路劃分，以實現不同部門之間的隔離，使用802.1Q VLAN即可實現。

本文結合實例介紹802.1Q VLAN的劃分方法。

實例：如上圖，某公司市場部、產品部設置網路隔離，兩個部門可以訪問Internet和各自部門伺服器，但禁止部門互訪和訪問其他部門伺服器。

本例中，實際拓撲圖和埠連接效果如下，本文依據該實例介紹劃分VLAN的方法：

根據802.1Q VLAN的機制，可以通過劃分以下VLAN實現需求：

交換機

VLAN ID

包含埠

交換機1

20

1~12（市場部）、25（伺服器）、26（上網）

30

13~24（產品部）、25（伺服器）、26（上網）

2

1~24（上網電腦）、26（連接路由器）

交換機2

20

1~3（市場部伺服器）、25（接交換機1）

30

4~6（產品部伺服器）、25（接交換機1）

注意： 25號埠為跨交換機VLAN的級聯口，需要加tag。其他埠均連接主機，故不加tag。

由於交換機默認支持PVID為1的埠管理，所以建議保留一個埠用於管理。

登錄管理界面，在 VLAN >> 802.1Q VLAN 中，分別創建VLAN20、VLAN30以及VLAN2，如下：

選中市場部VLAN，按照VLAN規劃選擇好埠，其中屬於市場部的埠PVID均為20，僅25號埠需要標記為tagged，26號埠的PVID需要為2，如下圖：

注意：25號埠作為加tag（Trunk）介面，其PVID沒有實際作用，默認為1。

選擇完成後，點擊提交。

按照同樣的方式添加VLAN30，如下：

添加VLAN2，如下：

添加完成後，VLAN列表如下：

登錄管理界面，在 VLAN >> 802.1Q VLAN 中，創建VLAN20、VLAN30，如下：

按照VLAN劃分計劃表選擇對應的埠，劃分後如下：

至此，兩個交換機上的VLAN劃分完成，市場部和產品部均實現需求。

什麼情況下選擇tagged？

Tagged類型埠發出數據會攜帶802.1Q TAG，也就是帶著VLAN信息，主要用在跨交換機VLAN的上聯介面，即Trunk口。如果用於連接主機或路由器等設備，一般情況下選擇untagged。

7. 認識VLAN，並學會VLAN的劃分和網路配置實例

VLAN的劃分和網路的配置實例

1、VLAN基礎知識

VLAN（Virtual Local Area Network）的中文名為：「 虛擬區域網 」，注意和'VPN'（虛擬專用網）進行區分。

VLAN是一種將區域網設備從邏輯上劃分（不是從物理上劃分）成一個個網段，從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用於交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協議的第三層以上交換機才具有此功能，這一點可以查看相應交換機的說明書即可得知。

由於它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助於 控制流量、減少設備投資、簡化網路管理、提高網路的安全性。

交換技術的發展，也加快了新的交換技術（VLAN）的應用速度。通過將企業網路劃分為虛擬網路VLAN網段，可以強化網路管理和網路安全，控制不必要的數據廣播。

在共享網路中，一個物理的網段就是一個廣播域。而在交換網路中，廣播域可以是有一組任意選定的第二層網路地址（MAC地址）組成的虛擬網段。這樣，網路中工作組的劃分可以突破共享網路中的地理位置限制，而完全根據管理功能來劃分。這種基於工作流的分組模式，大大提高了網路規劃和重組的管理功能。

在同一個VLAN中的工作站，不論它們實際與哪個交換機連接，它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸到其他的 VLAN中去，這樣可以很好的控制不必要的廣播風暴的產生。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業網路中不同部門之間的安全性。

網路管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據用戶工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在企業網路中移動辦公，不論他在何處接入交換網路，他都可以與VLAN內其他用戶自如通訊。

VLAN網路可以是有混合的網路類型設備組成，比如：10M乙太網、100M乙太網、令牌網、FDDI、CDDI等等，可以是工作站、伺服器、集線器、網路上行主幹等。

VLAN除了能將網路劃分為多個廣播域，從而 有效地控制廣播風暴的發生，以及使網路的拓撲結構變得非常靈活 的優點外，還可以用於控制網路中不同部門、不同站點之間的 互相訪問 。

2、VLAN的劃分方法

VLAN在交換機上的實現方法，可以大致劃分為六類:

1. 基於埠劃分的VLAN

這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據乙太網交換機的交換埠來劃分的，它是將VLAN交換機上的物理埠和VLAN交換機內部的PVC（永久虛電路）埠分成若干個組，每個組構成一個虛擬網，相當於一個獨立的VLAN交換機。

對於不同部門需要互訪時，可通過路由器轉發，並配合基於MAC地址的埠過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應埠上，設定可通過的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能。

從這種劃分方法本身我們可以看出，這種劃分的方法的優點是定義VLAN成員時非常簡單，只要將所有的埠都定義為相應的VLAN組即可。適合於任何大小的網路。它的缺點是如果某用戶離開了原來的埠，到了一個新的交換機的某個埠，必須重新定義。

2. 基於MAC地址劃分VLAN

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬於哪個組，它實現的機制就是每一塊網卡都對應唯一的 MAC地址，VLAN交換機跟蹤屬於VLAN MAC的地址。這種方式的VLAN允許網路用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。

由這種劃分的機制可以看出，這種VLAN的劃分方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，因為它是基於用戶，而不是基於交換機的埠。

這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的，所以這種劃分方法通常適用於小型區域網。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的埠都可能存在很多個VLAN組的成員，保存了許多用戶的MAC地址，查詢起來相當不容易。另外，對於使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣VLAN就必須經常配置。

3. 基於網路層協議劃分VLAN

VLAN按網路層協議來劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網路。這種按網路層協議來組成的 VLAN，可使廣播域跨越多個VLAN交換機。這對於希望針對具體應用和服務來組織用戶的網路管理員來說是非常具有吸引力的。而且，用戶可以在網路內部自由移動，但其VLAN成員身份仍然保留不變。

這種方法的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，這對網路管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網路的通信量。這種方法的缺點是效率低，因為檢查每一個數據包的網路層地址是需要消耗處理時間的(相對於前面兩種方法)，一般的交換機晶元都可以自動檢查網路上數據包的乙太網禎頭，但要讓晶元能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。

4. 根據IP組播劃分VLAN

IP 組播實際上也是一種VLAN的定義，即認為一個IP組播組就是一個VLAN。這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，主要適合於不在同一地理范圍的區域網用戶組成一個VLAN，不適合區域網，主要是效率不高。

5. 按策略劃分VLAN

基於策略組成的VLAN能實現多種分配方法，包括VLAN交換機埠、MAC地址、IP地址、網路層協議等。網路管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN 。

6. 按用戶定義、非用戶授權劃分VLAN

基於用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網路，根據具體的網路用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證後才可以加入一個VLAN。

3、VLAN的優越性

任何新技術要得到廣泛支持和應用，肯定存在一些關鍵優勢，VLAN技術也一樣，它的優勢主要體現在以下幾個方面：

1. 增加了網路連接的靈活性

藉助VLAN技術，能將不同地點、不同網路、不同用戶組合在一起，形成一個虛擬的網路環境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業務情況有經常性變動的公司使用了VLAN後，這部分管理費用大大降低。

2. 控制網路上的廣播

VLAN可以提供建立防火牆的機制，防止交換網路的過量廣播。使用VLAN，可以將某個交換埠或用戶賦於某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機，在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的埠不會收到其他VLAN產生的廣播。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產生。

3. 增加網路的安全性

因為一個VLAN就是一個單獨的廣播域，VLAN之間相互隔離，這大大提高了網路的利用率，確保了網路的安全保密性。人們在LAN上經常傳送一些保密的、關鍵性的數據。保密的數據應提供訪問控制等安全手段。一個有效和容易實現的方法是將網路分段成幾個不同的廣播組，網路管理員限制了VLAN中用戶的數量，禁止未經允許而訪問VLAN中的應用。交換埠可以基於應用類型和訪問特權來進行分組，被限制的應用程序和資源一般置於安全性VLAN中。

4、VLAN配置案例分析

某公司有100台計算機左右，主要使用網路的部門有：生產部(20)、財務部(15)、人事部(8)和信息中心(12)四大部分。

網路基本結構為：

整個網路中幹部分採用3台Catalyst 1900網管型交換機（分別命名為：Switch1、Switch2和Switch3，各交換機根據需要下接若干個集線器，主要用於非VLAN用戶，如行政文書、臨時用戶等）、一台Cisco 2514路由器，整個網路都通過路由器Cisco 2514與外部互聯網進行連接。

所連的用戶主要分布於四個部分，即：生產部、財務部、信息中心和人事部。主要對這四個部分用戶單獨劃分VLAN，以確保相應部門網路資源不被盜用或破壞。

現為了公司相應部分網路資源的安全性需要，特別是對於像財務部、人事部這樣的敏感部門，其網路上的信息不想讓太多人可以隨便進出，於是公司採用了VLAN的方法來解決以上問題。

通過VLAN的劃分，可以把公司主要網路劃分為：生產部、財務部、人事部和信息中心四個主要部分，對應的VLAN組為為：Prod、Fina、Huma、Info。

5、VLAN的配置過程

VLAN的配置過程其實非常簡單，只需兩步：

（1）為各VLAN組命名；

（2）把相應的VLAN對應到相應的交換機埠。

下面是具體的配置過程：

第1步：

設置好超級終端，連接上1900交換機，通過超級終端配置交換機的VLAN，連接成功後出現如下所示的主配置界面（交換機在此之前已完成了基本信息的配置）：

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus

[K] Command Line

[I] IP Configuration

Enter Selection:

【注】超級終端是利用Windows系統自帶的'超級終端'（Hypertrm）程序進行的，具體參見有關資料。

第2步：

單擊'K'按鍵，選擇主界面菜單中'[K] Command Line'選項，進入如下命令行配置界面：

CLI session with the switch is open.

To end the CLI session,enter [Exit ].

此時我們進入了交換機的普通用戶模式，就象路由器一樣，這種模式只能查看現在的配置，不能更改配置，並且能夠使用的命令很有限。所以我們必須進入'特權模式'。

第3步：

在上一步'>'提示符下輸入進入特權模式命令'enable'，進入特權模式，命令格式為'>enable'，此時就進入了交換機配置的特權模式提示符：

#config t

Enter configuration commands,one perline.End with CNTL/Z

(config)#

第4步：

為了安全和方便起見，我們分別給這3個Catalyst 1900交換機起個名字，並且設置特權模式的登陸密碼。下面僅以Switch1為例進行介紹。配置代碼如下：

(config)#hostname Switch1

Switch1(config)# enable password level 15XXXXXX

Switch1(config)#

【注】特權模式密碼必須是4~8位字元這，要注意，這里所輸入的密碼是以明文形式直接顯示的，要注意保密。交換機用 level 級別的大小來決定密碼的許可權。Level 1 是進入命令行界面的密碼，也就是說，設置了 level 1 的密碼後，你下次連上交換機，並輸入 K 後，就會讓你輸入密碼，這個密碼就是 level 1 設置的密碼。而 level 15 是你輸入了'enable'命令後讓你輸入的特權模式密碼。

第5步：

設置VLAN名稱。因四個VLAN分屬於不同的交換機，VLAN命名的命令為'vlanvlan號 name vlan名稱，在Switch1、Switch2、Switch3、交換機上配置2、3、4、5號VLAN的代碼為：

Switch1 (config)#vlan 2 name Prod

Switch2 (config)#vlan 3 name Fina

Switch3 (config)#vlan 4 name Huma

Switch3 (config)#vlan 5 name Info

【注】以上配置是按表1規則進行的。

第6步：

上一步我們對各交換機配置了VLAN組，現在要把這些VLAN對應於表1所規定的交換機埠號。對應埠號的命令是'vlan-membership static/ dynamic VLAN號 '。在這個命令中'static'(靜態)和'dynamic'(動態)分配方式兩者必須選擇一個，不過通常都是選擇'static'(靜態)方式。

VLAN埠號應用配置如下：

（1）. 名為'Switch1'的交換機的VLAN埠號配置如下：

Switch1(config)#int e0/2

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#int e0/3

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#int e0/4

Switch1(config-if)#vlan-membership static 2

……

Switch1(config-if)#int e0/20

Switch(config-if)#vlan-membership static 2

Switch1(config-if)#int e0/21

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#

【注】'int'是'nterface'命令縮寫，是介面的意思。'e0/3'是'ethernet 0/2'的縮寫，代表交換機的0號模塊2號埠。

（2）. 名為'Switch2'的交換機的VLAN埠號配置如下：

Switch2(config)#int e0/2