VLAN相關學習視頻：超簡單的【思科交換機Vlan配置】https://www.zhihu.com/zvideo/1446489190669803520https://www.zhihu.com/zvideo/1446489190669803520?

通過劃分VLAN實現用戶二層隔離

1.1 基于接口的VLAN劃分

如圖 1 所示，某商務樓內有多家公司，為了降低成本，多家公司共用網絡資源，各公司分別連接到一臺二層交換機的不同接口，并通過統一的出口訪問Internet。

圖 1 基于接口的VLAN劃分組網圖

為了保證各公司業務的獨立和安全，可將每個公司所連接的接口劃分到不同的VLAN，實現公司間業務數據的完全隔離?？梢哉J為每個公司擁有獨立的“虛擬路由器”，每個VLAN就是一個“虛擬工作組”。

1.2 基于MAC的VLAN劃分

如圖 2 所示，某公司有兩處辦公區域，分別通過接入交換機Switch_2和Switch_3接入公司網絡，公司部門員工因工作原因經常往來兩地辦公。

圖 2 基于MAC的VLAN劃分組網圖

為了保證員工在改變辦公地點后，仍然能夠訪問公司的網絡資源（如服務器），可在Switch_2和Switch_3上分別配置基于MAC地址劃分VLAN。這樣，只要User_1的MAC地址不變，User_1改變接入位置時，劃分的VLAN不變，就繼續能夠訪問公司的網絡資源。

1.3 基于IP子網的VLAN劃分

如圖 3 所示，某公司有兩個部門：部門1和部門2，分別分配了固定的IP網段。為加強員工間的學習與交流，員工的位置有時會相互調動，但公司希望各部門員工訪問的網絡資源的權限不變。

圖 3 基于IP的VLAN劃分組網圖

為了保證部門內員工的位置調整后，訪問網絡資源的權限不變，可在公司的中心交換機上配置基于IP子網劃分VLAN。這樣，服務器的不同網段就劃分到不同的VLAN，訪問服務器不同應用服務的數據流就會隔離，提高了安全性。

根據屬于不同VLAN的用戶互通時需要跨越的三層設備數，通過VLANIF實現VLAN間三層互訪主要有兩種場景：同設備三層互訪和跨設備三層互訪。

2.1 同設備三層互訪

如圖 4 所示，某小型公司的部門1和部門2分別通過二層交換機接入到一臺三層交換機Switch，所屬VLAN分別為VLAN2和VLAN3，部門1和部門2的用戶互通時，需要經過一臺三層交換機Switch。

圖 4 通過VLANIF實現同設備三層互訪組網圖

可在Switch_1和Switch_2上劃分VLAN并將VLAN透傳到Switch上，然后在Switch上為每個VLAN配置一個VLANIF接口，實現VLAN2和VLAN3間的路由。

2.2 跨設備三層互訪

如圖 5 所示，某大中型公司的部門1和部門2之間跨越兩臺或多臺三層交換機，所屬VLAN分別為VLAN2和VLAN3，部門1和部門2的用戶互通時，需要經過兩臺或多臺三層交換機。

圖 5 通過VLANIF實現跨設備三層互訪組網圖

可在二層交換機上劃分VLAN并將VLAN透傳到三層交換機；在三層交換機Switch_1和上Switch_2為每個用戶VLAN配置一個VLANIF接口，并為互聯VLAN配置VLANIF接口；在其他三層設備上為互聯VLAN配置VLANIF接口。除此以外，還需要在Switch_1和上Switch_2之間配置靜態路由或運行動態路由協議（跨兩臺以上三層交換機時，建議運行動態路由協議）。

通過流策略實現VLAN間互訪控制

如圖 6 所示，為了通信的安全性，某公司將訪客區、員工區、服務器區分別劃分到VLAN10、VLAN20、VLAN30中。公司希望員工、服務器主機、訪客均能訪問Internet，但訪客不能與員工互通，且只能訪問服務器區的服務器_1。

圖 6 通過流策略實現VLAN間互訪控制組網圖

在公司中心交換機Switch上配置VLANIF10、VLANIF20、VLANIF30、VLANIF100，并配置到Router的路由后，員工、服務器主機、訪客均能訪問Internet，且員工、服務器主機、訪客之間能夠互相訪問。為了控制訪客的訪問，可在Switch上配置流策略，匹配規則如下：

• ACL規則1：禁止源IP為訪客的IP網段，目的IP為員工所在的IP網段。

• ACL規則2：允許源IP為訪客的IP網段，目的IP為服務器_1的IP，禁止源IP為訪客的IP網段，目的IP為服務器所在的IP網段。

• ACL規則3：禁止源IP為員工的IP網段，目的IP為訪客所在的IP網段。

• ACL規則4：禁止源IP為服務器的IP網段，目的IP為訪客的所在的IP網段。

然后在Switch連接訪客區的接口的入、出方向上應用該流策略，即可使訪客不能與員工互通，且只能訪問服務器區的服務器_1。

為降低成本，多數企業內部使用交換機互聯，而通過出口路由器與外部ISP網絡建立連接，如圖 7所示。

圖 7 交換機與路由器互聯示意圖

為了能夠訪問外部ISP網絡，核心交換機（三層）與出口路由器之間需要三層互通。由于多數三層交換機不支持路由接口或支持的路由接口有限，一般通過配置VLANIF接口作為三層接口與出口路由器的三層子接口實現三層互聯，然后配置靜態路由或運行動態路由協議，實現核心交換機與出口路由器之間的三層互通。

總結

以上是生活随笔為你收集整理的思科交换机Vlan配置以及VLAN应用场景的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。