VLAN的4種應(yīng)用場景你都用過嗎

VLAN的4種應(yīng)用場景，你都用過嗎？前言VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是將一個物理的LAN在邏輯上劃分成多個廣播域的通信技術(shù)。01

通過劃分VLAN實現(xiàn)用戶二層隔離1.1基于接口的VLAN劃分如圖1所示，某商務(wù)樓內(nèi)有多家公司，為了降低成本，多家公司共用網(wǎng)絡(luò)資源，各公司分別連接到一臺二層交換機的不同接口，并通過統(tǒng)一的出口訪問Internet。圖1基于接口的VLAN劃分組網(wǎng)圖?為了保證各公司業(yè)務(wù)的獨立和安全，可將每個公司所連接的接口劃分到不同的VLAN，實現(xiàn)公司間業(yè)務(wù)數(shù)據(jù)的完全隔離?？梢哉J為每個公司擁有獨立的“虛擬路由器”，每個VLAN就是一個“虛擬工作組”。1.2基于MAC的VLAN劃分如圖2所示，某公司有兩處辦公區(qū)域，分別通過接入交換機Switch_2和Switch_3接入公司網(wǎng)絡(luò)，公司部門員工因工作原因經(jīng)常往來兩地辦公。?圖2基于MAC的VLAN劃分組網(wǎng)圖為了保證員工在改變辦公地點后，仍然能夠訪問公司的網(wǎng)絡(luò)資源（如服務(wù)器），可在Switch_2和Switch_3上分別配置基于MAC地址劃分VLAN。這樣，只要User_1的MAC地址不變，User_1改變接入位置時，劃分的VLAN不變，就繼續(xù)能夠訪問公司的網(wǎng)絡(luò)資源。1.3基于IP子網(wǎng)的VLAN劃分如圖3所示，某公司有兩個部門：部門1和部門2，分別分配了固定的IP網(wǎng)段。為加強員工間的學(xué)習(xí)與交流，員工的位置有時會相互調(diào)動，但公司希望各部門員工訪問的網(wǎng)絡(luò)資源的權(quán)限不變。?圖3基于IP的VLAN劃分組網(wǎng)圖為了保證部門內(nèi)員工的位置調(diào)整后，訪問網(wǎng)絡(luò)資源的權(quán)限不變，可在公司的中心交換機上配置基于IP子網(wǎng)劃分VLAN。這樣，服務(wù)器的不同網(wǎng)段就劃分到不同的VLAN，訪問服務(wù)器不同應(yīng)用服務(wù)的數(shù)據(jù)流就會隔離，提高了安全性。02通過VLANIF實現(xiàn)VLAN間三層互訪根據(jù)屬于不同VLAN的用戶互通時需要跨越的三層設(shè)備數(shù)，通過VLANIF實現(xiàn)VLAN間三層互訪主要有兩種場景：同設(shè)備三層互訪和跨設(shè)備三層互訪。2.1同設(shè)備三層互訪如圖4所示，某小型公司的部門1和部門2分別通過二層交換機接入到一臺三層交換機Switch，所屬VLAN分別為VLAN2和VLAN3，部門1和部門2的用戶互通時，需要經(jīng)過一臺三層交換機Switch。?圖4通過VLANIF實現(xiàn)同設(shè)備三層互訪組網(wǎng)圖可在Switch_1和Switch_2上劃分VLAN并將VLAN透傳到Switch上，然后在Switch上為每個VLAN配置一個VLANIF接口，實現(xiàn)VLAN2和VLAN3間的路由。2.2跨設(shè)備三層互訪如圖5所示，某大中型公司的部門1和部門2之間跨越兩臺或多臺三層交換機，所屬VLAN分別為VLAN2和VLAN3，部門1和部門2的用戶互通時，需要經(jīng)過兩臺或多臺三層交換機。?圖5通過VLANIF實現(xiàn)跨設(shè)備三層互訪組網(wǎng)圖可在二層交換機上劃分VLAN并將VLAN透傳到三層交換機；在三層交換機Switch_1和上Switch_2為每個用戶VLAN配置一個VLANIF接口，并為互聯(lián)VLAN配置VLANIF接口；在其他三層設(shè)備上為互聯(lián)VLAN配置VLANIF接口。除此以外，還需要在Switch_1和上Switch_2之間配置靜態(tài)路由或運行動態(tài)路由協(xié)議（跨兩臺以上三層交換機時，建議運行動態(tài)路由協(xié)議）。03

通過流策略實現(xiàn)VLAN間互訪控制如圖6所示，為了通信的安全性，某公司將訪客區(qū)、員工區(qū)、服務(wù)器區(qū)分別劃分到VLAN10、VLAN20、VLAN30中。公司希望員工、服務(wù)器主機、訪客均能訪問Internet，但訪客不能與員工互通，且只能訪問服務(wù)器區(qū)的服務(wù)器_1。?圖6通過流策略實現(xiàn)VLAN間互訪控制組網(wǎng)圖在公司中心交換機Switch上配置VLANIF10、VLANIF20、VLANIF30、VLANIF100，并配置到Router的路由后，員工、服務(wù)器主機、訪客均能訪問Internet，且員工、服務(wù)器主機、訪客之間能夠互相訪問。為了控制訪客的訪問，可在Switch上配置流策略，匹配規(guī)則如下：ACL規(guī)則1：禁止源IP為訪客的IP網(wǎng)段，目的IP為員工所在的IP網(wǎng)段。ACL規(guī)則2：允許源IP為訪客的IP網(wǎng)段，目的IP為服務(wù)器_1的IP，禁止源IP為訪客的IP網(wǎng)段，目的IP為服務(wù)器所在的IP網(wǎng)段。ACL規(guī)則3：禁止源IP為員工的IP網(wǎng)段，目的IP為訪客所在的IP網(wǎng)段。ACL規(guī)則4：禁止源IP為服務(wù)器的IP網(wǎng)段，目的IP為訪客的所在的IP網(wǎng)段。然后在Switch連接訪客區(qū)的接口的入、出方向上應(yīng)用該流策略，即可使訪客不能與員工互通，且只能訪問服務(wù)器區(qū)的服務(wù)器_1。04

交換機與路由器通過VLANIF接口實現(xiàn)三層互聯(lián)為降低成本，多數(shù)企業(yè)內(nèi)部使用交換機互聯(lián)，而通過出口路由器與外部ISP網(wǎng)絡(luò)建立連接，如圖7所示。?圖7交換機與路由器互聯(lián)示意圖為了能夠訪問外部ISP網(wǎng)絡(luò)，核心交換機（三層）與出口路由器之間需要三