中小型园区网络建设-VLAN规划（三）

VLAN的规划可以根据公司或者企业发展的情况进行规划，良好的VLAN规划能够保证企业网络的稳定性、高效型和安全性！

VLAN是什么？

VLAN是虚拟局域网，使用ID标记在逻辑上将网络上的设备分成较小的广播域。这些较小的域仅将数据包转发到属于该VLAN域的设备。这可以减少流量并提高网络安全性。

我们都知道数据在交换机里面会进行全网的广播，但是每个数据都进行广播会增加交换机的负担因此，通过VLAN就可以将同一组的或者同一部门的的用户在逻辑上组成一组！然后数据只在同一组里面广播，既能增加安全性、又能减轻减交换机负担！

VLAN

VLAN在物理上处于统一交换机设备，但是在逻辑上是根据需求可以换分多个组！

划分VLAN的原则

划分虚拟局域网主要出于三种考虑：

1. 基于网络性能的考虑。可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输，因为广播信息是不会跨过VLAN的，可以把广播限制在各个虚拟网的范围内，减小广播域，提高了网络的传输效率，从而提高网络性能。
2. 基于安全性的考虑。因为各VLAN之间不能直接进行通讯，而必须通过路由器转发，增强了网络的安全性。在大规模的网络，比如说大的集团公司，有财务部、采购部和客户部等，它们之间的数据是保密的，相互之间只能提供接口数据，其它数据是保密的。
3. 第基于组织结构上考虑。同一部门的人员分散在不同的物理地点，比如集团公司的财务部在各子公司均有分部，但都属于财务部管理，虽然这些数据都是要保密的，但需统一结算时，就可以跨地域(也就是跨交换机)将其设在同一虚拟局域网之中，实现数据安全和共享。

根据部门划分VLAN

划分VLAN的方法

划分VLAN的主要常用方法有四种;

1. 基于端口的VLAN：基于端口的虚拟局域网是最实用的虚拟局域网，配置也相当直观简单，根据端口划分VLAN，统一VLAN局域网中的站点具有相同的网络地址，不同的虚拟局域网之间进行通信需要通过路由器。但是，如果移动了端口需要从新配置！
2. 基于MAC的VLAN：在基于MAC地址的虚拟局域网中，交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时根据需要将其划归至某一个虚拟局域网，而无论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需要进行网络地址的重新配置。缺点在于，前期工作量大！
3. 基于IP子网的VLAN：在基于IP子网的VLAN中，IP子网中的所有终端工作站都根据需求分配给不同组的VLAN。如果不更改IP，用户可以移动其工作站而无需重新配置其网络地址。
4. 基于用户的VLAN：可以根据用于登录该设备的账户将交换机端口分配给一个VLAN。 上面几种，1、2、3属于常用的方法，其中第一种最为简单有效！

VLAN配置案例 我们以华为设备为例配置下面的设备：

VLAN配置案例

VLAN主要配置于交换机，上面的案例核心设备为core1和core2，然后地下都是接入设备！案例中的VLAN规划主要是根据部门需求，采用端口的方式进行划分！

核心core1

首先，需要简历VLAN，因为core1和core2，属于主备所以两个在VLAN配置和规划基本相同。

[core1]vlan batch 10 20 30 40 50 100 300

配置core1连接路由器端口

[core1]int GigabitEthernet 0/0/1

[core1-GigabitEthernet0/0/1]port link-type access

[core1-GigabitEthernet0/0/1]port default vlan 100

通往部门一和二的数据通过统一交换机，因此需要允许VLAN10、VLAN20通过。

[core1-GigabitEthernet0/0/1]int g 0/0/3

[core1-GigabitEthernet0/0/3]port link-type trunk

[core1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

其他的接入交换机只属于一个部门因此配置方式都一样，以部门三为例！

[core1-GigabitEthernet0/0/3]int g0/0/4

[core1-GigabitEthernet0/0/4]port link-type trunk

[core1-GigabitEthernet0/0/4]port trunk allow-pass vlan 30

这样core1配置就完成了，然后以同样的方法配置core2.

接入交换机LSW3

接入层以LSW3交换机为例，LSW3交换同时连接核心core1和core2，并且地下连接两个部门！具体配置如下：

配置上连core1端口

[acc1]interface Ethernet0/0/1

[acc1-interface Ethernet0/0/1]port link-type trunk

[acc1-interface Ethernet0/0/1]port trunk allow-pass vlan 10 20

配置上连core2端口

[acc1]interface Ethernet0/0/2

[acc1-interface Ethernet0/0/2] port link-type trunk

[acc1-interface Ethernet0/0/2] port trunk allow-pass vlan 10 20

配置连接部门一端口

[acc1]interface Ethernet0/0/3

[acc1-interface Ethernet0/0/3] port link-type access

[acc1-interface Ethernet0/0/3] port default vlan 10

配置连接部门二端口

[acc1]interface Ethernet0/0/4

[acc1-interface Ethernet0/0/4]port link-type access

[acc1-interface Ethernet0/0/4]port default vlan 20

这样网络中的VLAN就配置完成了！

图中core1和core2相连的端口，具体在链路聚合里面在进行划分！