一文带你掌握VLAN划分方式
2022-12-08 11:16:18   来源： 独白 威努特工控安全   评论：0 点击：

早期的以太网是为简单、小型网络而设计的局域网技术，是基于CSMA/CD（Carrier Sense Multiple Access/Collision Detection），并采用共享介质的总线技术。随着时间的推移，局域网承载的数据类型越来越多，包括图形、语音和视频，面临的问题也更加突出。

(1)产生冲突：网络中多台主机同时发送数据，造成冲突。主机越多，冲突越严重。

(2)产生广播：网络中任意一台主机发送的数据都会被发送到其他所有主机，造成广播。主机越多，广播越泛滥。

(3)加剧数据安全的隐患：网络中所有主机共享一台传输通道，无法有效控制数据安全。数据越复杂，数据安全的隐患越大。

虽然采用二层设备的组网架构，通过快速二层交换将数据控制在局域网范围内传输，能有效解决冲突的问题，但是广播和安全的问题依然存在。为了减少广播，可以通过设置不同网段来实现主机之间的隔离，但是成本较高。在这种情况下，VLAN（Virtual Local Area Network）技术便应运而生。

相信各位小伙伴在工作中都有划分VLAN的经历，那么是否想过4094个（VLAN ID字段占12bit共4096个，其中vlan0和vlan4095协议保留、用户不可配置）VLAN可以怎样划分，哪种方式好用又简单呢？

根据交换机接口分配VLAN ID，配置简单，可以用于各种场景；但是成员移动需重新配置VLAN。

组网需求

如图3-1所示，某企业的交换机连接有很多用户，且相同业务用户通过不同的设备接入企业网络。为了通信的安全性，同时为了避免广播风暴，企业希望业务相同用户之间可以互相访问，业务不同用户不能直接访问。实际组网简化后，4台PC属于同一网段缺省情况下可以相互ping同。假设PC-1和PC-2属于研发部，PC-3和PC-4属于市场部，现要求同部门内部可以互访，不同部门之间不允许互访。

配置思路

(1)创建VLAN并将连接用户的接口加入VLAN，实现不同业务用户之间的二层流量隔离。

(2)配置LSW1和LSW2之间的链路类型及通过的VLAN，实现相同业务用户通过LSW1和LSW2通信。

配置步骤

(1)配置LSW1创建VLAN 100和VLAN 200。

(2)配置LSW1的GE0/0/1接口为Access并加入VLAN 100，GE0/0/2接口为Access并加入VLAN 200。

(3)配置LSW1的GE0/0/3接口为Trunk并放通VLAN 100和VLAN 200。

(4)LSW2的配置与LSW1类似，不再赘述。

根据报文的源MAC地址分配VLAN ID，经常用在用户位置变化，不需要重新配置VLAN的场景；但是需要预先定义网络中所有成员。

组网需求

如图3-2所示，LSW1和LSW2的GE1/0/1接口分别连接两会议室，STA1和STA2是会议用笔记本电脑，在两个会议室间移动使用。STA1和STA2分别属于两个部门，两个部门间使用VLAN 100和VLAN 200进行隔离。现要求这两台笔记本电脑无论在哪个会议室使用，均只能访问自己部门的服务器，即Server1和Server2。STA1的MAC地址为1000-1111-1111，STA2的MAC地址为2000-2222-2222。

配置思路

(1)在LSW1和LSW2上创建VLAN，并将接口加入VLAN，实现二层互通。

(2)在LSW1和LSW2基于MAC地址划分VLAN。

(3)在LSW3上配置VLAN透传，保证笔记本电脑可以访问服务器。

配置步骤

(1)配置LSW1创建VLAN 100和VLAN 200。

(2)配置LSW1绑定MAC-VLAN，VLAN 100-MAC 1000-1111-1111，VLAN 200-MAC 2000-2222-2222。

(3)配置LSW1的GE0/0/1接口为Hybrid、Untagged VLAN 100和VLAN 200并使能基于MAC的VLAN。

(4)配置LSW1的GE0/0/2接口为Trunk并放通VLAN 100和VLAN200。

(5)LSW2的配置与LSW1类似，不再赘述。

(6)配置LSW3创建VLAN 100和VLAN 200，GE0/0/1~0/0/4接口为Trunk并放通VLAN 100和VLAN 200。

根据报文的协议类型分配VLAN ID，适用于对具有相同应用或服务的用户，进行统一管理的场景；但是要求网络中的用户分布需要有规律，且多个用户在同一个网段。

组网需求

如图3-3所示，某企业拥有多种业务，如WEB、FTP、DNS等，每种业务使用的IP地址网段各不相同。为了便于管理，现需要将同一种类型业务划分到同一VLAN中，不同类型的业务划分到不同VLAN中。交换机接收到用户报文有WEB、FTP、DNS等多种业务，用户设备的IP地址网段各不相同。现需要将不同类型的业务划分到不同的VLAN中，以便出口路由器Router能通过不同的VLAN分流到不同的业务服务器上以实现业务互通。

配置思路

(1)创建VLAN并将接口加入VLAN，实现基于IP子网的VLAN可以透传当前接口。

(2)使能基于IP子网划分VLAN功能，并关联IP子网和VLAN，实现根据报文中的源IP地址或指定网段确定VLAN。

配置步骤

(1)配置LSW2创建VLAN 100、VLAN 200和VLAN 300。

(2)配置LSW2绑定IP-VLAN，VLAN 100-IP 172.30.10.2/24、VLAN 200-IP 172.30.20.2/24、VLAN 300-IP 172.30.30.2/24。

(3)配置LSW2的GE0/0/1接口为Hybrid、Untagged VLAN 100、VLAN 200和VLAN 300并使能基于子网的VLAN。

(4)配置LSW2的GE0/0/2接口为Trunk并放通VLAN 100、VLAN 200和VLAN 300。

根据报文的协议类型分配VLAN ID，适用于对具有相同应用或服务的用户，进行统一管理的场景；但是需要交换机分析各种协议的格式并进行相应的转换，消耗较多的资源，速度上稍具劣势。

组网需求

如图3-4所示，某企业拥有多种业务，LSW1收到的用户报文有多种业务，所采用的协议各不相同。VLAN 100中的用户采用IPv4协议与远端服务器通信，而VLAN 200中的用户采用IPv6协议与远端服务器通信。现需要将不同类型的业务划分到不同的VLAN中，通过不同的VLAN ID分流到不同的远端服务器上以实现业务互通。

配置思路

(1)创建VLAN并将接口加入VLAN，实现基于协议的VLAN可以透传当前接口。

(2)使能基于协议划分VLAN功能，并关联协议和VLAN，实现根据报文中的协议确定VLAN。

配置步骤

(1)配置LSW1创建VLAN 100和VLAN 200。

(2)配置LSW1绑定协议-VLAN，VLAN 100-IPv4、VLAN 200-IPv6。

(3)配置LSW1的GE0/0/2接口为Hybrid、Untagged VLAN 100并使能基于协议的，GE0/0/3接口为Hybrid、Untagged VLAN 200并使能基于协议的VLAN。

(4)配置LSW1的GE0/0/1接口为Trunk并放通VLAN 100和VLAN 200。

(5)配置LSW2创建VLAN 100和VLAN 200。

(6)配置LSW2的GE0/0/1接口为Trunk并放通VLAN 100和VLAN 200。

(7)配置LSW2的GE0/0/2接口为Access并加入VLAN 100。

(8)配置LSW2的GE0/0/3接口为Access并加入VLAN 200。

根据指定的策略（如匹配报文的源MAC、源IP和端口）分配VLAN ID，适用于对安全性要求比较高的场景；但是针对每一条策略都需要手工配置。

组网需求

如图3-5所示，4台PC属于同一网段缺省情况下可以相互ping同。假设PC1和PC2属于研发部，PC3和PC4属于市场部，现要求同部门内部可以互访，不同部门之间不允许互访，同时要求各主机不可随意更改主机MAC地址和IP地址。

配置思路

(1)创建VLAN并将接口加入VLAN，实现基于协议的VLAN可以透传当前接口。

(2)使能基于策略划分VLAN功能，并关联策略和VLAN，实现只有符合特定条件的终端才能加入指定VLAN。

配置步骤

(1)配置LSW1创建VLAN 100和VLAN 200。

(2)配置LSW1绑定策略-VLAN，VLAN 100-MAC1-IP1、VLAN 200-MAC3-IP3。

(3)配置LSW1的GE0/0/1接口为Trunk并放通VLAN 100和VLAN 200。

(4)配置LSW1的GE0/0/2接口为Hybrid、Untagged VLAN 100并使能基于策略的VLAN。

(5)配置LSW1的GE0/0/3接口为Hybrid、Untagged VLAN 200并使能基于策略的VLAN。

(6)LSW2的配置与LSW1类似，不再赘述。

VLAN可以基于接口、MAC地址、子网、网络层协议、匹配策略等多种方式来划分。不同方式的VLAN划分又有自己擅长的应用场景，也有不足之处。面对这么多VLAN划分方式，定然也是存在优先级来决定究竟按照哪种方式进行报文转发。如果入方向Untagged帧同时匹配多种划分VLAN的方式，则优先级顺序从高至低依次是：基于匹配策略划分VLAN->基于MAC地址划分VLAN或基于子网划分VLAN->基于协议划分VLAN->基于接口划分VLAN。虽然基于接口的VLAN优先级最低，但却是实际工程项目中使用最为广泛的。