首先,了解802.1Q VLAN的机制。802.1Q是一种标准化的VLAN标记协议,它可以将数据帧中的VLAN信息进行标记,以便在交换机之间传输。通过创建不同的VLAN,可以控制不同部门或用户组之间的访问权限。
接下来,以一个企业网络为例,假设市场部和产品部需要隔离网络,实现以下目标:
1. 两个部门均可访问Internet和各自部门的服务器; 2. 禁止部门间互相访问和访问其他部门的服务器。
为了实现这一目标,我们需要在交换机上创建相应的VLAN,并将相应的端口分配给不同的VLAN。
首先,在交换机上创建VLAN。假设创建VLAN20(市场部)、VLAN30(产品部)和VLAN2(上网电脑)。
然后,根据端口连接情况,将端口分配到对应的VLAN。例如,交换机1的1~12端口和25、26端口分配给VLAN20,13~24端口和25、26端口分配给VLAN30,1~24端口和26端口分配给VLAN2。
接着,在交换机2上,将1~3端口分配给VLAN20,4~6端口分配给VLAN30,并将25端口作为跨交换机VLAN的级联口(Trunk)。
在创建VLAN后,接下来是配置端口。以交换机1为例,在管理界面中,进入vlan设置,创建VLAN20、VLAN30和VLAN2。为市场部的端口设置PVID为20,将25端口标记为tagged,26端口的PVID设置为2。
最后,按照同样的方式,在交换机2上配置相应的端口。
通过以上步骤,实现了两个部门之间的网络隔离,并确保了各部门可以正常访问Internet和部门服务器。
在实际应用中,VLAN划分可以根据需求灵活调整。例如,如果需要实现跨部门访问,可以在相应的VLAN之间创建通用的VLAN,如VLAN100,并将需要跨部门访问的端口分配给该VLAN。
总之,802.1Q VLAN是一种简单、有效的网络隔离手段。通过合理的VLAN划分和端口配置,可以确保企业网络的安全性和稳定性。
企业网络中,不同部门(人员)的网络权限有所差异,经常需要在局域网内进行二层网络划分,以实现不同部门之间的隔离,使用802.1Q VLAN即可实现。
本文结合实例介绍802.1Q VLAN的划分方法。
实例:如上图,某公司市场部、产品部设置网络隔离,两个部门可以访问Internet和各自部门服务器,但禁止部门互访和访问其他部门服务器。
本例中,实际拓扑图和端口连接效果如下,本文依据该实例介绍划分VLAN的方法:
根据802.1Q VLAN的机制,可以通过划分以下VLAN实现需求:
| 交换机 |
VLAN ID |
包含端口 |
| 交换机1 |
20 |
1~12(市场部)、25(服务器)、26(上网) |
| 30 |
13~24(产品部)、25(服务器)、26(上网) |
|
| 2 |
1~24(上网电脑)、26(连接路由器) |
|
| 交换机2 |
20 |
1~3(市场部服务器)、25(接交换机1) |
| 30 |
4~6(产品部服务器)、25(接交换机1) |
注意: 25号端口为跨交换机VLAN的级联口,需要加tag。其他端口均连接主机,故不加tag。
由于交换机默认支持PVID为1的端口管理,所以建议保留一个端口用于管理。
登录管理界面,在 VLAN >> 802.1Q VLAN 中,分别创建VLAN20、VLAN30以及VLAN2,如下:
选中市场部VLAN,按照VLAN规划选择好端口,其中属于市场部的端口PVID均为20,仅25号端口需要标记为tagged,26号端口的PVID需要为2,如下图:
注意:25号端口作为加tag(Trunk)接口,其PVID没有实际作用,默认为1。
选择完成后,点击 提交。
按照同样的方式添加VLAN30,如下:
添加VLAN2,如下:
添加完成后,VLAN列表如下:
登录管理界面,在 VLAN >> 802.1Q VLAN 中,创建VLAN20、VLAN30,如下:
按照VLAN划分计划表选择对应的端口,划分后如下:
至此,两个交换机上的VLAN划分完成,市场部和产品部均实现需求。
什么情况下选择tagged?
Tagged类型端口发出数据会携带802.1Q TAG,也就是带着VLAN信息,主要用在跨交换机VLAN的上联接口,即Trunk口。如果用于连接主机或路由器等设备,一般情况下选择untagged。
