以某公司市场部与产品部为例,这两个部门都需要访问互联网和各自部门的服务器,但互不干扰。为了实现这一目标,我们可以通过802.1Q VLAN技术对网络进行划分。
首先,我们需要了解实际拓扑图和端口连接情况。在本次案例中,我们使用了两个交换机,分别连接了市场部、产品部、服务器以及上网设备。接下来,我们将根据这一拓扑图,对VLAN进行划分。
在交换机1上,我们设置了VLAN 20、VLAN 30和VLAN 2。VLAN 20和VLAN 30分别用于市场部和产品部,其中VLAN 20包含端口1~12(市场部)、端口25(服务器)和端口26(上网);VLAN 30包含端口13~24(产品部)、端口25(服务器)和端口26(上网)。VLAN 2则包含端口1~24(上网电脑)和端口26(连接路由器)。
在交换机2上,我们设置了VLAN 20和VLAN 30,分别用于服务器上联。VLAN 20包含端口1~3(市场部服务器)和端口25(接交换机1),VLAN 30包含端口4~6(产品部服务器)和端口25(接交换机1)。
在创建VLAN后,我们需要为各个端口指定PVID和标记状态。PVID用于指定端口所属的VLAN,而标记状态则决定了数据包是否携带VLAN信息。在本例中,市场部和服务器的端口标记为untagged,即不携带VLAN信息;而产品部和服务器的上联端口标记为tagged,即携带VLAN信息。
接下来,我们需要在交换机管理界面中,为各个VLAN分配端口。以市场部为例,我们将属于市场部的端口PVID设置为20,将端口25标记为tagged,端口26的PVID设置为2。同样地,我们为产品部和服务器设置了相应的PVID和标记状态。
完成以上步骤后,两个交换机上的VLAN划分便告完成。市场部和产品部均实现了互不干扰,同时可以访问互联网和各自部门的服务器。
在实际操作中,我们还应注意以下几点:
1. 25号端口作为跨交换机VLAN的级联口,需要加tag(Trunk)。 2. 由于交换机默认支持PVID为1的端口管理,建议保留一个端口用于管理。 3. 根据需要,可以为各个vlan设置不同的安全策略,如访问控制列表(ACL)等。
通过以上步骤,我们可以轻松地使用802.1Q VLAN技术实现企业网络中的二层网络划分,从而提高网络的安全性、可靠性和可管理性。
企业网络中,不同部门(人员)的网络权限有所差异,经常需要在局域网内进行二层网络划分,以实现不同部门之间的隔离,使用802.1Q VLAN即可实现。
本文结合实例介绍802.1Q VLAN的划分方法。
实例:如上图,某公司市场部、产品部设置网络隔离,两个部门可以访问Internet和各自部门服务器,但禁止部门互访和访问其他部门服务器。
本例中,实际拓扑图和端口连接效果如下,本文依据该实例介绍划分VLAN的方法:
根据802.1Q VLAN的机制,可以通过划分以下VLAN实现需求:
| 交换机 |
VLAN ID |
包含端口 |
| 交换机1 |
20 |
1~12(市场部)、25(服务器)、26(上网) |
| 30 |
13~24(产品部)、25(服务器)、26(上网) |
|
| 2 |
1~24(上网电脑)、26(连接路由器) |
|
| 交换机2 |
20 |
1~3(市场部服务器)、25(接交换机1) |
| 30 |
4~6(产品部服务器)、25(接交换机1) |
注意: 25号端口为跨交换机VLAN的级联口,需要加tag。其他端口均连接主机,故不加tag。
由于交换机默认支持PVID为1的端口管理,所以建议保留一个端口用于管理。
登录管理界面,在 VLAN >> 802.1Q VLAN 中,分别创建VLAN20、VLAN30以及VLAN2,如下:
选中市场部VLAN,按照VLAN规划选择好端口,其中属于市场部的端口PVID均为20,仅25号端口需要标记为tagged,26号端口的PVID需要为2,如下图:
注意:25号端口作为加tag(Trunk)接口,其PVID没有实际作用,默认为1。
选择完成后,点击 提交。
按照同样的方式添加VLAN30,如下:
添加VLAN2,如下:
添加完成后,VLAN列表如下:
登录管理界面,在 VLAN >> 802.1Q VLAN 中,创建VLAN20、VLAN30,如下:
按照VLAN划分计划表选择对应的端口,划分后如下:
至此,两个交换机上的VLAN划分完成,市场部和产品部均实现需求。
什么情况下选择tagged?
Tagged类型端口发出数据会携带802.1Q TAG,也就是带着VLAN信息,主要用在跨交换机VLAN的上联接口,即Trunk口。如果用于连接主机或路由器等设备,一般情况下选择untagged。
