这4种VLAN应用场景，你都用过吗？

前言

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。

通过划分VLAN实现用户二层隔离

1.1 基于接口的VLAN划分

如图 1 所示，某商务楼内有多家公司，为了降低成本，多家公司共用网络资源，各公司分别连接到一台二层交换机的不同接口，并通过统一的出口访问Internet。

图 1 基于接口的VLAN划分组网图

为了保证各公司业务的独立和安全，可将每个公司所连接的接口划分到不同的VLAN，实现公司间业务数据的完全隔离。可以认为每个公司拥有独立的“虚拟路由器”，每个VLAN就是一个“虚拟工作组”。

1.2 基于MAC的VLAN划分

如图 2 所示，某公司有两处办公区域，分别通过接入交换机Switch_2和Switch_3接入公司网络，公司部门员工因工作原因经常往来两地办公。

图 2 基于MAC的VLAN划分组网图

为了保证员工在改变办公地点后，仍然能够访问公司的网络资源（如服务器），可在Switch_2和Switch_3上分别配置基于MAC地址划分VLAN。这样，只要User_1的MAC地址不变，User_1改变接入位置时，划分的VLAN不变，就继续能够访问公司的网络资源。

1.3 基于IP子网的VLAN划分

如图 3 所示，某公司有两个部门：部门1和部门2，分别分配了固定的IP网段。为加强员工间的学习与交流，员工的位置有时会相互调动，但公司希望各部门员工访问的网络资源的权限不变。

图 3 基于IP的VLAN划分组网图

为了保证部门内员工的位置调整后，访问网络资源的权限不变，可在公司的中心交换机上配置基于IP子网划分VLAN。这样，服务器的不同网段就划分到不同的VLAN，访问服务器不同应用服务的数据流就会隔离，提高了安全性。

通过VLANIF实现VLAN间三层互访

根据属于不同VLAN的用户互通时需要跨越的三层设备数，通过VLANIF实现VLAN间三层互访主要有两种场景：同设备三层互访和跨设备三层互访。

2.1 同设备三层互访

如图 4 所示，某小型公司的部门1和部门2分别通过二层交换机接入到一台三层交换机Switch，所属VLAN分别为VLAN2和VLAN3，部门1和部门2的用户互通时，需要经过一台三层交换机Switch。

图 4 通过VLANIF实现同设备三层互访组网图

可在Switch_1和Switch_2上划分VLAN并将VLAN透传到Switch上，然后在Switch上为每个VLAN配置一个VLANIF接口，实现VLAN2和VLAN3间的路由。

2.2 跨设备三层互访

如图 5 所示，某大中型公司的部门1和部门2之间跨越两台或多台三层交换机，所属VLAN分别为VLAN2和VLAN3，部门1和部门2的用户互通时，需要经过两台或多台三层交换机。

图 5 通过VLANIF实现跨设备三层互访组网图

可在二层交换机上划分VLAN并将VLAN透传到三层交换机；在三层交换机Switch_1和上Switch_2为每个用户VLAN配置一个VLANIF接口，并为互联VLAN配置VLANIF接口；在其他三层设备上为互联VLAN配置VLANIF接口。除此以外，还需要在Switch_1和上Switch_2之间配置静态路由或运行动态路由协议（跨两台以上三层交换机时，建议运行动态路由协议）。

通过流策略实现VLAN间互访控制

如图 6 所示，为了通信的安全性，某公司将访客区、员工区、服务器区分别划分到VLAN10、VLAN20、VLAN30中。公司希望员工、服务器主机、访客均能访问Internet，但访客不能与员工互通，且只能访问服务器区的服务器_1。

图 6 通过流策略实现VLAN间互访控制组网图

在公司中心交换机Switch上配置VLANIF10、VLANIF20、VLANIF30、VLANIF100，并配置到Router的路由后，员工、服务器主机、访客均能访问Internet，且员工、服务器主机、访客之间能够互相访问。为了控制访客的访问，可在Switch上配置流策略，匹配规则如下：

ACL规则1：禁止源IP为访客的IP网段，目的IP为员工所在的IP网段。
ACL规则2：允许源IP为访客的IP网段，目的IP为服务器_1的IP，禁止源IP为访客的IP网段，目的IP为服务器所在的IP网段。
ACL规则3：禁止源IP为员工的IP网段，目的IP为访客所在的IP网段。
ACL规则4：禁止源IP为服务器的IP网段，目的IP为访客的所在的IP网段。

然后在Switch连接访客区的接口的入、出方向上应用该流策略，即可使访客不能与员工互通，且只能访问服务器区的服务器_1。

交换机与路由器通过VLANIF接口实现三层互联

为降低成本，多数企业内部使用交换机互联，而通过出口路由器与外部ISP网络建立连接，如图 7所示。

图 7 交换机与路由器互联示意图

为了能够访问外部ISP网络，核心交换机（三层）与出口路由器之间需要三层互通。由于多数三层交换机不支持路由接口或支持的路由接口有限，一般通过配置VLANIF接口作为三层接口与出口路由器的三层子接口实现三层互联，然后配置静态路由或运行动态路由协议，实现核心交换机与出口路由器之间的三层互通。

end

来源：网络民工

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。