以下,我们通过一个实际案例来介绍802.1Q VLAN的划分方法。
假设一家公司有市场部与产品部两个部门,需要实现网络隔离。两个部门可以访问Internet和各自的服务器,但禁止互访和访问其他部门的服务器。针对这种情况,我们可以采用以下步骤进行VLAN划分:
首先,根据802.1Q VLAN的机制,我们需要规划以下VLAN:
- VLAN 20:包含市场部的电脑、服务器和上网端口。 - VLAN 30:包含产品部的电脑、服务器和上网端口。 - VLAN 2:包含所有上网电脑以及连接路由器的端口。
接下来,具体规划如下:
1. 交换机1: - VLAN 20:端口1至12(市场部)、端口25(服务器)、端口26(上网)。 - VLAN 30:端口13至24(产品部)、端口25(服务器)、端口26(上网)。 - VLAN 2:端口1至24(上网电脑)、端口26(连接路由器)。
2. 交换机2: - VLAN 20:端口1至3(市场部服务器)、端口25(接交换机1)。 - VLAN 30:端口4至6(产品部服务器)、端口25(接交换机1)。
其中,25号端口为跨交换机的VLAN级联口,需要加上tag(Trunk)。其他端口均连接主机,故不需要加tag。
在配置交换机时,我们还需要注意保留一个端口用于管理,因为交换机默认支持PVID为1的端口管理。
实际操作时,需要登录管理界面,在VLAN >> 802.1Q VLAN中创建VLAN 20、VLAN 30和VLAN 2。然后,根据VLAN规划选择对应的端口,设置PVID和tagged。
以市场部VLAN为例,将属于市场部的端口PVID设置为20,仅25号端口需要标记为tagged,26号端口的PVID设置为2。同理,对VLAN 30和VLAN 2进行相同的操作。
在添加VLAN时,需要注意tagged和untagged的选择。Tagged类型的端口在发送数据时会携带802.1Q TAG,即携带VLAN信息,主要用于跨交换机VLAN的上联接口,也就是Trunk口。如果用于连接主机或路由器等设备,一般情况下选择untagged。
完成以上步骤后,两个交换机上的VLAN划分即完成,市场部与产品部各自实现了网络隔离的需求。
总之,802.1Q VLAN是一种高效的网络隔离技术,适用于企业内部不同部门间的网络划分。通过合理规划VLAN,不仅能提高网络安全性,还能降低管理成本,实现高效的网络管理。
企业网络中,不同部门(人员)的网络权限有所差异,经常需要在局域网内进行二层网络划分,以实现不同部门之间的隔离,使用802.1Q VLAN即可实现。
本文结合实例介绍802.1Q VLAN的划分方法。
实例:如上图,某公司市场部、产品部设置网络隔离,两个部门可以访问Internet和各自部门服务器,但禁止部门互访和访问其他部门服务器。
本例中,实际拓扑图和端口连接效果如下,本文依据该实例介绍划分VLAN的方法:
根据802.1Q VLAN的机制,可以通过划分以下VLAN实现需求:
| 交换机 |
VLAN ID |
包含端口 |
| 交换机1 |
20 |
1~12(市场部)、25(服务器)、26(上网) |
| 30 |
13~24(产品部)、25(服务器)、26(上网) |
|
| 2 |
1~24(上网电脑)、26(连接路由器) |
|
| 交换机2 |
20 |
1~3(市场部服务器)、25(接交换机1) |
| 30 |
4~6(产品部服务器)、25(接交换机1) |
注意: 25号端口为跨交换机VLAN的级联口,需要加tag。其他端口均连接主机,故不加tag。
由于交换机默认支持PVID为1的端口管理,所以建议保留一个端口用于管理。
登录管理界面,在 VLAN >> 802.1Q VLAN 中,分别创建VLAN20、VLAN30以及VLAN2,如下:
选中市场部VLAN,按照VLAN规划选择好端口,其中属于市场部的端口PVID均为20,仅25号端口需要标记为tagged,26号端口的PVID需要为2,如下图:
注意:25号端口作为加tag(Trunk)接口,其PVID没有实际作用,默认为1。
选择完成后,点击 提交。
按照同样的方式添加VLAN30,如下:
添加VLAN2,如下:
添加完成后,VLAN列表如下:
登录管理界面,在 VLAN >> 802.1Q VLAN 中,创建VLAN20、VLAN30,如下:
按照VLAN划分计划表选择对应的端口,划分后如下:
至此,两个交换机上的VLAN划分完成,市场部和产品部均实现需求。
什么情况下选择tagged?
Tagged类型端口发出数据会携带802.1Q TAG,也就是带着VLAN信息,主要用在跨交换机VLAN的上联接口,即Trunk口。如果用于连接主机或路由器等设备,一般情况下选择untagged。
