常见的VLAN划分方式和示例场景

1. 基于端口的VLAN配置（Port-Based VLAN）

使用频率：最高（占80%以上场景）

定义：根据交换机的物理端口划分VLAN，每个端口固定归属到某个VLAN。

适用设备：所有支持VLAN的交换机（二层/三层）。

特点：

配置简单，易于管理。
设备移动时需重新配置端口。

适用场景：设备位置固定且网络结构稳定的环境（如办公室固定工位）。

示例：将交换机的1-8号端口划入VLAN 10，9-16号端口划入VLAN 20

Cisco交换机配置：

Switch> enable    # 输入命令后，可能需要输入特权密码（若有设置）
Switch# configure terminal  # 进入全局配置模式
Switch(config)# vlan 10                 # 创建VLAN 10
Switch(config-vlan)# name Sales         # 命名VLAN（可选）
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name Engineering
Switch(config-vlan)# exitSwitch(config)# interface range gig0/1-8   # 进入1-8号端口
Switch(config-if-range)# switchport mode access   # 设置为接入模式
Switch(config-if-range)# switchport access vlan 10  # 绑定到VLAN 10
Switch(config-if-range)# exitSwitch(config)# interface range gig0/9-16  # 同理配置9-16号端口
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20

华为交换机配置：

<Huawei> system-view
[Huawei] vlan batch 10 20             # 批量创建VLAN 10和20
[Huawei] interface gigabitethernet 0/0/1 to 0/0/8
[Huawei-interface-range] port link-type access   # 设置为接入模式
[Huawei-interface-range] port default vlan 10    # 绑定到VLAN 10
[Huawei-interface-range] quit
[Huawei] interface gigabitethernet 0/0/9 to 0/0/16
[Huawei-interface-range] port link-type access
[Huawei-interface-range] port default vlan 20

验证命令：

Cisco: show vlan brief
华为: display vlan

2. 基于子网的VLAN（Subnet-Based VLAN）

使用频率：次高（需三层交换机支持）

定义：根据设备的IP地址或子网划分VLAN。

适用设备：适用设备：三层交换机（如Cisco 3560、华为S5700）。

特点：

基于三层网络信息，适合按部门或业务划分网络。
需要交换机支持三层功能。

适用场景：按IP地址段隔离不同部门（如财务部使用192.168.10.0/24，市场部使用192.168.20.0/24）。

示例：子网192.168.10.0/24对应VLAN 10，192.168.20.0/24对应VLAN 20。

Cisco交换机配置

Switch(config)# vlan 10  # 创建VLAN 10（若已存在则直接进入配置模式）
Switch(config-vlan)# exit
Switch(config)# interface vlan 10         # 创建VLAN接口
Switch(config-if)# ip address 192.168.10.1 255.255.255.0  # 配置VLAN的网关IP
Switch(config-if)# exitSwitch(config)# vlan 20
Switch(config-vlan)# exit
Switch(config)# interface vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# exitSwitch(config)# ip routing   # 启用三层路由功能

华为交换机配置

[Huawei] vlan batch 10 20
[Huawei] interface vlanif 10          # 进入VLAN接口
[Huawei-Vlanif10] ip address 192.168.10.1 24  # 配置网关
[Huawei-Vlanif10] quit
[Huawei] interface vlanif 20
[Huawei-Vlanif20] ip address 192.168.20.1 24
[Huawei-Vlanif20] quit
[Huawei] ip route-static 0.0.0.0 0.0.0.0 192.168.1.1  # 配置默认路由（可选）

验证命令

Cisco: show mac-address-table vlan 30华为: display mac-vlan

3. 基于策略的VLAN（Policy-Based VLAN）

使用频率：快速增长（尤其重视安全的场景）

定义：结合多种条件（如MAC地址、IP地址、端口、用户身份等）动态划分VLAN。

适用设备：支持RADIUS和802.1X的交换机（如Cisco ISE、华为AC6605）。

特点：

灵活性高，安全性强。
需要支持高级策略的交换机（如Cisco ISE、802.1X认证）。

适用场景：对安全要求高的环境（如企业内网按角色隔离访问权限）。

示例：通过802.1X认证的用户根据AD组策略动态加入对应VLAN。

Cisco交换机配置

Switch(config)# aaa new-model
Switch(config)# radius server RADIUS_SERVER
Switch(config-radius-server)# address ipv4 10.1.1.100 auth-port 1812
Switch(config-radius-server)# key MySecretKey
Switch(config-radius-server)# exitSwitch(config)# aaa authentication dot1x default group radius  # 启用802.1X认证
Switch(config)# interface gig0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto       # 启用802.1X
Switch(config-if)# authentication event fail retry 3  # 失败重试次数

华为交换机配置;

[Huawei] aaa
[Huawei-aaa] authentication-scheme DOT1X
[Huawei-aaa-authen-dot1x] authentication-mode radius  # 认证模式为RADIUS
[Huawei-aaa-authen-dot1x] quit
[Huawei-aaa] accounting-scheme DOT1X
[Huawei-aaa-accounting-dot1x] accounting-mode radius
[Huawei-aaa-accounting-dot1x] quit
[Huawei-aaa] quit[Huawei] radius-server template RADIUS
[Huawei-radius-RADIUS] radius-server shared-key MySecretKey
[Huawei-radius-RADIUS] radius-server authentication 10.1.1.100 1812  # 服务器地址
[Huawei-radius-RADIUS] quit[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] dot1x enable      # 启用802.1X
[Huawei-GigabitEthernet0/0/1] dot1x authentication-method eap  # 认证方式

验证命令

Cisco: show dot1x all华为: display dot1x

4. 基于MAC地址的VLAN（MAC-Based VLAN）

定义：根据设备的MAC地址动态划分VLAN。

适用设备：所有支持VLAN的交换机（二层/三层）。

特点：

设备移动时无需重新配置，自动跟随MAC地址加入对应VLAN。
需要维护MAC地址与VLAN的映射表。

适用场景：移动设备较多且位置频繁变动的环境（如会议室、无线终端）。

示例：MAC地址为00:1A:2B:3C:4D:5E的设备动态加入VLAN 30。

Cisco交换机配置

Switch(config)# vlan 30    # 创建VLAN 30
Switch(config-vlan)# exit  # 退出VLAN配置模式
Switch(config)# mac-address-table static 001A.2B3C.4D5E vlan 30  # 绑定MAC到VLAN
Switch(config)# interface gig0/1
Switch(config-if)# switchport mode dynamic auto   # 启用动态VLAN

华为交换机配置

[Huawei] vlan 30
[Huawei-vlan30] quit
[Huawei] mac-vlan mac-address 001A-2B3C-4D5E   # 创建MAC-VLAN映射
[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] mac-vlan enable    # 启用MAC-VLAN功能
[Huawei-GigabitEthernet0/0/1] port hybrid untagged vlan 30  # 允许VLAN 30通过

验证命令

Cisco: show mac-address-table vlan 30华为: display mac-vlan

常见的VLAN划分方式和示例场景

1. 基于端口的VLAN配置（Port-Based VLAN）

示例：将交换机的1-8号端口划入VLAN 10，9-16号端口划入VLAN 20

Cisco交换机配置：

华为交换机配置：

2. 基于子网的VLAN（Subnet-Based VLAN）

示例：子网192.168.10.0/24对应VLAN 10，192.168.20.0/24对应VLAN 20。

Cisco交换机配置

华为交换机配置

3. 基于策略的VLAN（Policy-Based VLAN）

示例：通过802.1X认证的用户根据AD组策略动态加入对应VLAN。

Cisco交换机配置

华为交换机配置;

4. 基于MAC地址的VLAN（MAC-Based VLAN）

示例：MAC地址为00:1A:2B:3C:4D:5E的设备动态加入VLAN 30。

Cisco交换机配置

华为交换机配置

相关资讯

热文排行

最新新闻

推荐新闻

热搜词