如何划分vlan服务器访问

1. 公司网络如何划分VLAN

1、要实现这需要访问控制列表ACL。
2、ACL通常是和VLAN搭配使用，或者是直接定义网段的访问规则。你这种情况，建议每个部门都使用独立的网段，便于管理。设备原因就需要用交换机划分VLAN。IP地址块大小还需要参照目前部门的主机数量，以及以后的扩展工作。比如生产部现有28台主机，可以给/27的地址块，但这样以后扩展的空间有限，（2^5-2-1-28=1，去掉网关地址后，只有一个剩余地址），所以建议给分配/26的地址块。
3、3com2024交换机应该是支持VLAN划分的，划分完VLAN后，需要分配网段，并在路由器上做单臂路由。然后在路由器子接口上配置ACL。
3com设备的配置我没有做过，具体命令可能与其他公司的设备命令有不同，你就自己看说明书或在网上搜搜吧。

2. VLAN的具体划分方法和相关配置

VLAN实现的配置命令行如下：（仅供参考）

一．中心交换的VLAN配置

（1）激活vlan路由
Switch1#config t
Switch1(config)#ip routing

（2）创建三个VLAN
Switch1#
Switch1#vlan database
Switch1(vlan)#vlan 2
Switch1(vlan)#vlan 3
Switch1(vlan)#vlan 10
Switch1(vlan)#exit

（3）给VLAN分配IP
Switch1#config t
Switch1(config)#config vlan2
Switch1(config-if)#ip address 192.168.2.1 255.255.255.0
Switch1(config-if)#no shutdown
Switch1#config t
Switch1(config)#config vlan3
Switch1(config-if)#ip address 192.168.3.1 255.255.255.0
Switch1(config-if)#no shutdown
Switch1#config t
Switch1(config)#config vlan10
Switch1(config-if)#ip address 192.168.10.1 255.255.255.0
Switch1(config-if)#no shutdown

（4）配VTP
Switch1#
Switch1#config t
Switch1(config)#vtp domain china_mobile
Switch1(config)#vtp mode server
Switch1(config)#end

（5）配Trunk
Switch1#
Switch1#config t
Switch1(config)#interface gigabitethernet0/1
Switch1(config-if)#switchport trunk encapsulation isl
Switch1(config-if)#switchport mode trunk
Switch1(config-if)#end

（6）给中心交换机通往路由器的接口配IP
Switch1#
Switch1#config t
Switch1(config)#interface fastethernet0/1
Switch1(config-if)#no switchport
Switch1(config-if)#ip address 200.1.1.1 255.255.255.0
Switch1(config-if)#no shutdown

（7）给中心交换机配置缺省路由
Switch1#
Switch1#config t
Switch(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2

（8）把VLAN号分配给IP接口
Switch1#
Switch1#config t
Switch1(config)#interface fastethernet0/2
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan2
Switch1(config-if)#spanning-tree portfast
… …
Switch1#
Switch1#config t
Switch1(config)#interface fastethernet0/13
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan3
Switch1(config-if)#spanning-tree portfast
(其它同)

（9）配访问控制列表ACL禁VLAN3子网的客户机访问服务器
Switch1#
Switch1#config t
Switch1(config)#access-list 1 deny 192.168.3.0 0.0.0.255
Switch1(config)#access-list 1 permit any
Switch1(config)#interface fastethernet0/13 （此接口接服务器）
Switch1(config-if)#ip access-group 1 out

（10）检查上述配置
Switch1#show vlan
Switch1#show ip route
Switch1#show interface gigabitethernet0/1 switchport
Switch1#show run
Switch1#show vtp status

（11）存配置
Switch1# running-config startup-config

二．在接入层交换机Swith2上VLAN的配置

(1)配TRUNK
Switch2#
Swtich2#config t
Switch2(config)#interface gigabitethernet0/1
Switch2(config-if)#switchport trunk encapsulation isl
Switch2(config-if)#switchport mode trunk
Switch2(config-if)#end

Switch2#
Swtich2#config t
Switch2(config)#interface gigabitethernet0/2
Switch2(config-if)#switchport trunk encapsulation isl
Switch2(config-if)#switchport mode trunk
Switch2(config-if)#end

(2)配VTP
Switch2#
Switch2#config t
Switch2(config)#vtp mode client
Switch2(config)#vtp domain china_mobile
Switch2(config)#end

(3)给接口分配VLAN号
Switch2#
Switch2#config t
Switch2(config)#interface fastethernet0/1
Switch2(config-if)#switchport mode access
Switch2(config-if)#switchport access vlan2
Switch2(config-if)#spanning-tree portfast
… …
(其它端口配置同)
(4)存配置
Switch2# running-config startup-config
(其它交换机同)

3. 关于服务器上如何划分vlan,高手进.

其实很简单，只要你的服务器网卡支持802.1q协议就可以了，一般来说，INTEL的网卡都支持802.1q，只要下一个最新的驱动程序就可以。安装驱动后，点击本地连接，右键选属性，再点击配置，你就会发现里面多了一项"VLAN"的标签。

4. 400台电脑怎么根据部门划分vlan并且能访问服务器

不建议开启自动获取DHCP增加交换机负担，三层交换机划分5个VLAN，一个部门一个就行了

5. 掌握VLAN划分及路由器的配置

路由器划分VLAN，是将路由器配置为各VLAN的网关，实现VLAN间路由，也就是所说的单臂路由。

路由器配置VLAN，不能将物理端口划分到VLAN中，而要通过将虚拟子接口划分到VLAN中并且为其配置封装协议dot1q。

详细解说：

路由器提供VLAN间路由只能做单臂路由，也就是设置子接口和封装协议。

第一步：在交换机上建立VLAN，并将交换机的各端口按照你的意愿划分到你所创建的VLAN中。

实例：

cont

vlan10

vlan20

vlan30

interfacerangefastetherner0/1-8

switchportaccessvlan10

interfacerangefastethernet0/9-16

switchprtaceessvlan20

interfacerangefastethernet0/17-23

switchprtaceessvlan30

interfacefastethernet0/24*重要的一步：设置交换机上的trunk口

switchportmodetrunk

switchporttrunkallowvlanall*这条是为trunk打开使每个vlan都能通过的命令，使trunk口能传输各vlan的数据帧。

第二步，在路由器上的一个端口上设置子接口，并为子接口配置ip地址，此ip地址将自动成为各VLAN的网关。

router#interfacefa0/0

noipaddreess*使之成为二层口，去掉其ip地址

下面开始配置子接口，子接口配置好tunck封装模式之后，就成为了trunk口

interfacefa0/0.10*为vlan10划分出一个子接口

encapsulatedot1q10*为vlan10配置此子接口的trunk封装模式

ipadrress192.168.10.1255.255.255.0*为vlan10的子接口配置ip地址

exit

interfacefa0/0.20*为vlan20划分出一个子接口

encapsulatedot1q20*为vlan20配置此子接口的trunk封装模式

ipadrress192.168.20.1255.255.255.0*为vlan20的子接口配置ip地址

exit

interfacefa0/0.30*为vlan30划分出一个子接口

encapsulatedot1q30*为vlan30配置此子接口的trunk封装模式

ipadrress192.168.30.1255.255.255.0*为vlan30的子接口配置ip地址

exit

最后，为保险起见，在路由器的全局模式使用

router#iprouting。

OK，配置完成。

这时在vlan10中的客户端ping一下在vlan20中的客户端，试试。

【注意事项】

1，在给路由器的子接口配置IP地址之前，一定要先封装dot1q协议。

2，各个VLAN内的主机，要以相应VLAN子接口的IP地址作为网关。

6. 如何划分802.1Q VLAN

企业网络中，不同部门（人员）的网络权限有所差异，经常需要在局域网内进行二层网络划分，以实现不同部门之间的隔离，使用802.1Q VLAN即可实现。

本文结合实例介绍802.1Q VLAN的划分方法。

实例：如上图，某公司市场部、产品部设置网络隔离，两个部门可以访问Internet和各自部门服务器，但禁止部门互访和访问其他部门服务器。

本例中，实际拓扑图和端口连接效果如下，本文依据该实例介绍划分VLAN的方法：

根据802.1Q VLAN的机制，可以通过划分以下VLAN实现需求：

交换机

VLAN ID

包含端口

交换机1

20

1~12（市场部）、25（服务器）、26（上网）

30

13~24（产品部）、25（服务器）、26（上网）

2

1~24（上网电脑）、26（连接路由器）

交换机2

20

1~3（市场部服务器）、25（接交换机1）

30

4~6（产品部服务器）、25（接交换机1）

注意： 25号端口为跨交换机VLAN的级联口，需要加tag。其他端口均连接主机，故不加tag。

由于交换机默认支持PVID为1的端口管理，所以建议保留一个端口用于管理。

登录管理界面，在 VLAN >> 802.1Q VLAN 中，分别创建VLAN20、VLAN30以及VLAN2，如下：

选中市场部VLAN，按照VLAN规划选择好端口，其中属于市场部的端口PVID均为20，仅25号端口需要标记为tagged，26号端口的PVID需要为2，如下图：

注意：25号端口作为加tag（Trunk）接口，其PVID没有实际作用，默认为1。

选择完成后，点击 提交。

按照同样的方式添加VLAN30，如下：

添加VLAN2，如下：

添加完成后，VLAN列表如下：

登录管理界面，在 VLAN >> 802.1Q VLAN 中，创建VLAN20、VLAN30，如下：

按照VLAN划分计划表选择对应的端口，划分后如下：

至此，两个交换机上的VLAN划分完成，市场部和产品部均实现需求。

什么情况下选择tagged？

Tagged类型端口发出数据会携带802.1Q TAG，也就是带着VLAN信息，主要用在跨交换机VLAN的上联接口，即Trunk口。如果用于连接主机或路由器等设备，一般情况下选择untagged。

7. 认识VLAN，并学会VLAN的划分和网络配置实例

VLAN的划分和网络的配置实例

1、VLAN基础知识

VLAN（Virtual Local Area Network）的中文名为：“ 虚拟局域网 ”，注意和'VPN'（虚拟专用网）进行区分。

VLAN是一种将局域网设备从逻辑上划分（不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。

由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于 控制流量、减少设备投资、简化网络管理、提高网络的安全性。

交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。

在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。

在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。

网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。

VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等。

VLAN除了能将网络划分为多个广播域，从而 有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活 的优点外，还可以用于 控制 网络中不同部门、不同站点之间的 互相访问 。

2、VLAN的划分方法

VLAN在交换机上的实现方法，可以大致划分为六类:

1. 基于端口划分的VLAN

这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

2. 基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的 MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。

这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。

3. 基于网络层协议划分VLAN

VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的 VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

4. 根据IP组播划分VLAN

IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

5. 按策略划分VLAN

基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。

6. 按用户定义、非用户授权划分VLAN

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

3、VLAN的优越性

任何新技术要得到广泛支持和应用，肯定存在一些关键优势，VLAN技术也一样，它的优势主要体现在以下几个方面：

1. 增加了网络连接的灵活性

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

2. 控制网络上的广播

VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

3. 增加网络的安全性

因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应 提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。

4、VLAN配置案例分析

某公司有100台计算机左右，主要使用网络的部门有：生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分。

网络基本结构为：

整个网络中干部分采用3台Catalyst 1900网管型交换机（分别命名为：Switch1、Switch2和Switch3，各交换机根据需要下接若干个集线器，主要用于非VLAN用户，如行政文书、临时用户等）、一台Cisco 2514路由器，整个网络都通过路由器Cisco 2514与外部互联网进行连接。

所连的用户主要分布于四个部分，即：生产部、财务部、信息中心和人事部。主要对这四个部分用户单独划分VLAN，以确保相应部门网络资源不被盗用或破坏。

现为了公司相应部分网络资源的安全性需要，特别是对于像财务部、人事部这样的敏感部门，其网络上的信息不想让太多人可以随便进出，于是公司采用了VLAN的方法来解决以上问题。

通过VLAN的划分，可以把公司主要网络划分为：生产部、财务部、人事部和信息中心四个主要部分，对应的VLAN组为为：Prod、Fina、Huma、Info。

5、VLAN的配置过程

VLAN的配置过程其实非常简单，只需两步：

（1）为各VLAN组命名；

（2）把相应的VLAN对应到相应的交换机端口。

下面是具体的配置过程：

第1步：

设置好超级终端，连接上1900交换机，通过超级终端配置交换机的VLAN，连接成功后出现如下所示的主配置界面（交换机在此之前已完成了基本信息的配置）：

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus

[K] Command Line

[I] IP Configuration

Enter Selection:

【注】超级终端是利用Windows系统自带的'超级终端'（Hypertrm）程序进行的，具体参见有关资料。

第2步：

单击'K'按键，选择主界面菜单中'[K] Command Line'选项，进入如下命令行配置界面：

CLI session with the switch is open.

To end the CLI session,enter [Exit ].

>

此时我们进入了交换机的普通用户模式，就象路由器一样，这种模式只能查看现在的配置，不能更改配置，并且能够使用的命令很有限。所以我们必须进入'特权模式'。

第3步：

在上一步'>'提示符下输入进入特权模式命令'enable'，进入特权模式，命令格式为'>enable'，此时就进入了交换机配置的特权模式提示符：

#config t

Enter configuration commands,one perline.End with CNTL/Z

(config)#

第4步：

为了安全和方便起见，我们分别给这3个Catalyst 1900交换机起个名字，并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下：

(config)#hostname Switch1

Switch1(config)# enable password level 15XXXXXX

Switch1(config)#

【注】特权模式密码必须是4~8位字符这，要注意，这里所输入的密码是以明文形式直接显示的，要注意保密。交换机用 level 级别的大小来决定密码的权限。Level 1 是进入命令行界面的密码，也就是说，设置了 level 1 的密码后，你下次连上交换机，并输入 K 后，就会让你输入密码，这个密码就是 level 1 设置的密码。而 level 15 是你输入了'enable'命令后让你输入的特权模式密码。

第5步：

设置VLAN名称。因四个VLAN分属于不同的交换机，VLAN命名的命令为'vlanvlan号 name vlan名称，在Switch1、Switch2、Switch3、交换机上配置2、3、4、5号VLAN的代码为：

Switch1 (config)#vlan 2 name Prod

Switch2 (config)#vlan 3 name Fina

Switch3 (config)#vlan 4 name Huma

Switch3 (config)#vlan 5 name Info

【注】以上配置是按表1规则进行的。

第6步：

上一步我们对各交换机配置了VLAN组，现在要把这些VLAN对应于表1所规定的交换机端口号。对应端口号的命令是'vlan-membership static/ dynamic VLAN号 '。在这个命令中'static'(静态)和'dynamic'(动态)分配方式两者必须选择一个，不过通常都是选择'static'(静态)方式。

VLAN端口号应用配置如下：

（1）. 名为'Switch1'的交换机的VLAN端口号配置如下：

Switch1(config)#int e0/2

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#int e0/3

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#int e0/4

Switch1(config-if)#vlan-membership static 2

……

Switch1(config-if)#int e0/20

Switch(config-if)#vlan-membership static 2

Switch1(config-if)#int e0/21

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#

【注】'int'是'nterface'命令缩写，是接口的意思。'e0/3'是'ethernet 0/2'的缩写，代表交换机的0号模块2号端口。

（2）. 名为'Switch2'的交换机的VLAN端口号配置如下：

Switch2(config)#int e0/2

Switch2(config-if)#vlan-membership static 3

Switch2(config-if)#int e0/3

Switch2(config-if)#vlan-membership static 3

Switch2(config-if)#int e0/4

Switch2(config-if)#vlan-membership static 3

……

Switch2(config-if)#int e0/15

Switch2(config-if)#vlan-membership static 3

Switch2(config-if)#int e0/16

Switch2(config-if)#vlan-membership static 3

Switch2(config-if)#

（3）. 名为'Switch3'的交换机的VLAN端口号配置如下(它包括两个VLAN组的配置)，先看VLAN 4（Huma）的配置代码：

Switch3(config)#int e0/2

Switch3(config-if)#vlan-membership static 4

Switch3(config-if)#int e0/3

Switch3(config-if)#vlan-membership static 4

Switch3(config-if)#int e0/4

Switch3(config-if)#vlan-membership static 4

……

Switch3(config-if)#int e0/8

Switch3(config-if)#vlan-membership static 4

Switch3(config-if)#int e0/9

Switch3(config-if)#vlan-membership static 4

Switch3(config-if)#

下面是VLAN5（Info）的配置代码：

Switch3(config)#int e0/10

Switch3(config-if)#vlan-membership static 5

Switch3(config-if)#int e0/11

Switch3(config-if)#vlan-membership static 5

Switch3(config-if)#int e0/12

Switch3(config-if)#vlan-membership static 5

……

Switch3(config-if)#int e0/20

Switch3(config-if)#vlan-membership static 5

Switch3(config-if)#int e0/21

Switch3(config-if)#vlan-membership static 5

Switch3(config-if)#

好了，我们已经按要求把VLAN都定义到了相应交换机的端口上了。为了验证我们的配置，可以在特权模式使用'show vlan'命令显示出刚才所做的配置，检查一下是否正确。

以上是就Cisco Catalyst 1900交换机的VLAN配置进行介绍了，其它交换机的VLAN配置方法基本类似，参照有关交换机说明书即可。

8. vlan的划分方法及配置

VLAN基础及简单的VLAN划分方法

无悔大哥chen
阅55117转1012018-07-13分享收藏
一.VLAN基础


同一个VLAN中的用户间通信就和在一个局域网内一样，同一个VLAN中的广播只有VLAN中的 成员才能听到，而不会传输到其他的VLAN中去，从而控制不必要的广播风暴的产生。同时， 若没有路由，不同VLAN之间不能相互通信，从而提高了不同工作组之间的信息安全性。网络 管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。


1技术特点

(1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的 交换机 可以当作多个逻辑的交换机使用。

(2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。

(3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。

2.TAG和UNTAG

基于端口的VLAN,这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

IEEE于1999年发布了用以规范VLAN实现的IEEE Std 802.1Q标准。 IEEE 802.1Q协议标准为各种局域网网络结构定义了VLAN的Tag字段，不同网络结构中，连接 设备可以通过共同的数据特征进行VLAN识别。

对于常见的以太网网络模型，其主要的报文封装格式类型有两种，分别为Ethernet II型和 802.2/802.3型。对于这两种以太网报文的封装格式，IEEE 802.1Q协议标准在数据帧首部的目 的MAC地址（DA）和源MAC地址（SA）后定义了VLAN Tag，用以标识VLAN的相关信息。



3. 端口的链路类型

对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

以太网端口有 3种链路类型:access、trunk、General

Access类型端口只能属于1个VLAN 般用于连接计算机端口；

Trunk类型端口可以允许多个VLAN通过,可以接收和发送多个VLAN 报文,一般用于交换机之间的连接；

General类型端口可以允许多个VLAN通过，可以接收和发送多个VLAN 报文，可以用于交换机的间连接也可以用于连接用户计算机。

General端口和Trunk端口在接收数据时处理思路方法是一样的，唯一区别的处在于发送数据时:General端口可以允许多个VLAN报文发送时不打标签，而Trunk端口只允许缺省VLAN报文发送时不打标签。

缺省VLAN( PVID）:

Access端口只属于1个VLAN 所以它缺省VLAN就是它所在VLAN不用设置；

General端口和 Trunk端口属于多个VLAN，所以需要设置缺省VLAN ID。缺省情况下 Hybrid端口和Trunk端口缺省VLAN为VLAN 1；

如果设置了端口缺省VLAN ID当端口接收到不带VLAN Tag报文后则将报文转发到属于缺省VLAN的端口；当端口发送带有VLAN Tag报文时，如果该报文 VLAN ID和端口缺省VLAN ID相同，则系统将去掉报文VLAN Tag，然后再发送该报文。

交换机接口出入数据处理过程:

Acess端口收报文:收到个报文判断是否有VLAN信息:如果没有则打上端口 PVID并进行交换、转发，如果有则直接丢弃(缺省) Acess端口发报文:将报文VLAN信息剥离直接发送出去

trunk端口收报文:收到一个报文，判断是否有VLAN信息:如果没有则打上端口 PVID 并进行交换转发，如果有判断VLAND ID是否在该trunk的允许范围内，如果在范围内则转发，否则丢弃

trunk端口发报文:比较端口PVID和将要发送报文VLAN信息如果两者相等则剥离VLAN信息再发送，如果不相等则直接发送

General端口收报文:收到一个报文，判断是否有VLAN信息:如果没有则打上端口 PVID 并进行交换转发。如果有则判断该General端口是否允许该VLAN数据进入:如果可以则转发，否则丢弃(此时端口上untag配置是不用考虑，untag配置只对发送报文时起作用)

General端口发报文:

1、判断该VLAN在本端口属性

2、如果是untag,则剥离VLAN信息再发送;如果是tag,则直接发送.


二.如何划分VLAN

以TP-LINK SL3226为例，需求：学校宿舍无线网，某楼层有一台二层网管接入交换机，带了20台面板AP.需要接入网络，管理地址为192.168.200.110.管理VLAN为4000，端口VLAN为110，和核心交换机级联VLAN为204.控制器控制VLAN为1000

简介：TP-LINK SL3226为24口百兆交换机，两个上联口25.26为千兆口。

1.登陆交换机管理界面（配置电脑网线暂时插在24口上）



选择VLAN


2.端口类型配置

选择端口号1-24端口，选择端口类型GENERAL,缺省VLAN为1，稍后再更改


同样配置25，26上联口，端口类型TRUNK


3.开始新建VLAN


新建VLAN110,端口为1-23，25-26，保留端口24做配置交换机用

端口1-23出口规则为UNTAG，端口25-26为TAG


新建VLAN204,端口为25-26，出口规则TAG


新建VLAN1000,端口为1-26，出口规则为TAG


新建VLAN4000,端口为24-26，出口规则24为UNTAG,25-26为TAG


配置VLAN如下图


4.配置PVID

更改前1-23口缺省VLAN为110


更改24口缺省VLAN为4000


更改以后，请将网线插在25或者26口进行配置，管理IP不变

改完24口后登陆如图


4.修改管理VLAN号和管理IP

系统配置>管理IP。修改管理VLAN为4000，修改管理IP为192.168.200.110


需改后电脑失去连接，更改电脑IP地址192.168.200.*，并将网线插入24口


5.保存配置

输入192.168.200.110重新登陆交换机管理界面，配置保存菜单，选择保存配置，这样一台二层接入交换机就配置好了。


如果想恢复出厂配置，可以在系统管理>系统工具>软件复位中进行操作。

9. 怎么划分vlan 划分vlan的方法

1、vlan基于端口划分它是应用最广的VLAN分割方法之一，而且应用最广泛.最有效，目前绝大多数VLAN协议交换机提供了这种VLAN配置方法。该划分VLAN的方法是根据交换机的交换端口对VLAN进行划分，把VLAN交换机中的物理端口和VLAN交换机中的PVC(永久虚电路)端口分为几组，每一群组成一个虚拟网络，相当于一个独立的VLAN交换。

2、根据MAC地址对VLAN进行划分该方法对VLAN进行划分，根据每一台主机的MAC地址进行划分，即对每个MAC地址的主机进行分组，其实现机制是通过每个网卡对应唯一的MAC地址，VLAN交换机跟踪VLANMAC地址。这样的VLAN允许网络用户在从一处物理地点移动到另一处时，自动地保留它所属VLAN的成员资格。

3、根据网络层协议划分VLAN。VLAN按照网络层协议划分，主要分为IP.IPX.DECnet.AppleTalk.Banyan等VLAN网络。该VLAN由网络层协议构成，它可以在多个VLAN交换机之间进行广播。对那些想要以特定应用和服务来组织用户的网络管理员来说，这很有吸引力。另外，用户可以在网络内自由移动，但是VLAN的会员依然保持不变。

4、VLAN按IP组播进行划分。IP多播实质上也是对VLAN的一种定义，即把一个IP组播组视为VLAN。这一分割方法把VLAN扩展到了广域网，使得该方法更具灵活性，并且易于路由器的扩展，主要适用于不在同一地理范围内的局域网用户组成一套VLAN，不适用于LAN，主要是效率低下。

5、VLAN按战略划分。构成了VLAN的VLAN可以实现多种分配方式，包括VLAN交换机端口.MAC地址.IP地址，网络层协议等。网管人员可以根据自身的管理模式和本单位的需要，决定选用何种VLAN。

6、根据用户定义的.非用户授权划分VLAN。将VLAN划分为基于用户定义的.非用户授权，指针对特定的VLAN网络，根据特定网络用户的特殊要求对VLAN进行定义与设计，而非VLAN群体用户也可以访问VLAN，但需要提供用户密码，获得VLAN管理的认证后才能加入VLAN。

10. 怎样划分vlan

VLAN划分的步骤如下：
1、以思科厂商设备作为示例，可以在vlandatabase下创建，也可以直接在配置模式下创建。下面两种方式都有：
/iknow-pic.cdn.bcebos.com/1ad5ad6eddc451da91f0825fbbfd5266d016327b"target="_blank"title="点击查看大图"class="illustration_alink">/iknow-pic.cdn.bcebos.com/1ad5ad6eddc451da91f0825fbbfd5266d016327b?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.craffts.com/pc_1ad5ad6eddc451da91f0825fbbfd5266d016327b"/>
/iknow-pic.cdn.bcebos.com/ac6eddc451da81cb28e00d795f66d0160924317b"target="_blank"title="点击查看大图"class="illustration_alink">/iknow-pic.cdn.bcebos.com/ac6eddc451da81cb28e00d795f66d0160924317b?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.craffts.com/pc_ac6eddc451da81cb28e00d795f66d0160924317b"/>
2、如何给创建的vlan命名?给创建的vlan命名，有两种方式，第一种是在创建的时候，直接把vlan的名称给带上；第二种是创建完vlan之后，再给vlan命名，或者是重命名的。
/iknow-pic.cdn.bcebos.com/5d6034a85edf8db11d2cf2d00423dd54564e7400"target="_blank"title="点击查看大图"class="illustration_alink">/iknow-pic.cdn.bcebos.com/5d6034a85edf8db11d2cf2d00423dd54564e7400?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.craffts.com/pc_5d6034a85edf8db11d2cf2d00423dd54564e7400"/>
3、查看交换机的vlan信息？使用showvlan命令，可以看到vlanID，vlan的名称等信息。
/iknow-pic.cdn.bcebos.com/32fa828ba61ea8d31720fab09a0a304e251f5800"target="_blank"title="点击查看大图"class="illustration_alink">/iknow-pic.cdn.bcebos.com/32fa828ba61ea8d31720fab09a0a304e251f5800?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.craffts.com/pc_32fa828ba61ea8d31720fab09a0a304e251f5800"/>
4、何如删除一个vlan呢，在vlandatabase里面，将需要删除的vlan执行novlan?。删除之后，如何确认是否已经删除成功了。（这里要注意，由于这里是模拟器，在实际环境中，直接在配置模式下就可以进行vlan的建立与删除，不需要进入vlandatabase模式）
/iknow-pic.cdn.bcebos.com/faedab64034f78f0d975144774310a55b3191c03"target="_blank"title="点击查看大图"class="illustration_alink">/iknow-pic.cdn.bcebos.com/faedab64034f78f0d975144774310a55b3191c03?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.craffts.com/pc_faedab64034f78f0d975144774310a55b3191c03"/>