当前位置: 首页 > news >正文

常见的VLAN划分方式和示例场景

news 来源:原创 2025/5/1 6:29:22

1. 基于端口的VLAN配置(Port-Based VLAN)

使用频率:最高(占80%以上场景)

定义:根据交换机的物理端口划分VLAN,每个端口固定归属到某个VLAN。

适用设备:所有支持VLAN的交换机(二层/三层)。

特点

  • 配置简单,易于管理。
  • 设备移动时需重新配置端口。

适用场景:设备位置固定且网络结构稳定的环境(如办公室固定工位)。

示例:将交换机的1-8号端口划入VLAN 10,9-16号端口划入VLAN 20
Cisco交换机配置:
Switch> enable    # 输入命令后,可能需要输入特权密码(若有设置)
Switch# configure terminal  # 进入全局配置模式
Switch(config)# vlan 10                 # 创建VLAN 10
Switch(config-vlan)# name Sales         # 命名VLAN(可选)
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name Engineering
Switch(config-vlan)# exitSwitch(config)# interface range gig0/1-8   # 进入1-8号端口
Switch(config-if-range)# switchport mode access   # 设置为接入模式
Switch(config-if-range)# switchport access vlan 10  # 绑定到VLAN 10
Switch(config-if-range)# exitSwitch(config)# interface range gig0/9-16  # 同理配置9-16号端口
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20
华为交换机配置:
<Huawei> system-view
[Huawei] vlan batch 10 20             # 批量创建VLAN 10和20
[Huawei] interface gigabitethernet 0/0/1 to 0/0/8
[Huawei-interface-range] port link-type access   # 设置为接入模式
[Huawei-interface-range] port default vlan 10    # 绑定到VLAN 10
[Huawei-interface-range] quit
[Huawei] interface gigabitethernet 0/0/9 to 0/0/16
[Huawei-interface-range] port link-type access
[Huawei-interface-range] port default vlan 20

验证命令

Cisco: show vlan brief
华为: display vlan

2. 基于子网的VLAN(Subnet-Based VLAN)

使用频率:次高(需三层交换机支持)

定义:根据设备的IP地址或子网划分VLAN。

适用设备:适用设备:三层交换机(如Cisco 3560、华为S5700)。

特点

  • 基于三层网络信息,适合按部门或业务划分网络。
  • 需要交换机支持三层功能。

适用场景:按IP地址段隔离不同部门(如财务部使用192.168.10.0/24,市场部使用192.168.20.0/24)。

示例:子网192.168.10.0/24对应VLAN 10,192.168.20.0/24对应VLAN 20。
Cisco交换机配置
Switch(config)# vlan 30
Switch(config-vlan)# exit
Switch(config)# mac-address-table static 001A.2B3C.4D5E vlan 30  # 绑定MAC到VLAN
Switch(config)# interface gig0/1
Switch(config-if)# switchport mode dynamic auto   # 启用动态VLAN
华为交换机配置
[Huawei] vlan 30
[Huawei-vlan30] quit
[Huawei] mac-vlan mac-address 001A-2B3C-4D5E   # 创建MAC-VLAN映射
[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] mac-vlan enable    # 启用MAC-VLAN功能
[Huawei-GigabitEthernet0/0/1] port hybrid untagged vlan 30  # 允许VLAN 30通过

验证命令

Cisco: show mac-address-table vlan 30华为: display mac-vlan

3. 基于策略的VLAN(Policy-Based VLAN)

使用频率:快速增长(尤其重视安全的场景)

定义:结合多种条件(如MAC地址、IP地址、端口、用户身份等)动态划分VLAN。

适用设备:支持RADIUS和802.1X的交换机(如Cisco ISE、华为AC6605)。

特点

  • 灵活性高,安全性强。
  • 需要支持高级策略的交换机(如Cisco ISE、802.1X认证)。

适用场景:对安全要求高的环境(如企业内网按角色隔离访问权限)。

示例:通过802.1X认证的用户根据AD组策略动态加入对应VLAN。
Cisco交换机配置
Switch(config)# aaa new-model
Switch(config)# radius server RADIUS_SERVER
Switch(config-radius-server)# address ipv4 10.1.1.100 auth-port 1812
Switch(config-radius-server)# key MySecretKey
Switch(config-radius-server)# exitSwitch(config)# aaa authentication dot1x default group radius  # 启用802.1X认证
Switch(config)# interface gig0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto       # 启用802.1X
Switch(config-if)# authentication event fail retry 3  # 失败重试次数
华为交换机配置;
[Huawei] aaa
[Huawei-aaa] authentication-scheme DOT1X
[Huawei-aaa-authen-dot1x] authentication-mode radius  # 认证模式为RADIUS
[Huawei-aaa-authen-dot1x] quit
[Huawei-aaa] accounting-scheme DOT1X
[Huawei-aaa-accounting-dot1x] accounting-mode radius
[Huawei-aaa-accounting-dot1x] quit
[Huawei-aaa] quit[Huawei] radius-server template RADIUS
[Huawei-radius-RADIUS] radius-server shared-key MySecretKey
[Huawei-radius-RADIUS] radius-server authentication 10.1.1.100 1812  # 服务器地址
[Huawei-radius-RADIUS] quit[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] dot1x enable      # 启用802.1X
[Huawei-GigabitEthernet0/0/1] dot1x authentication-method eap  # 认证方式

验证命令

Cisco: show dot1x all华为: display dot1x

4. 基于MAC地址的VLAN(MAC-Based VLAN)

定义:根据设备的MAC地址动态划分VLAN。

适用设备:所有支持VLAN的交换机(二层/三层)。

特点

  • 设备移动时无需重新配置,自动跟随MAC地址加入对应VLAN。
  • 需要维护MAC地址与VLAN的映射表。

适用场景:移动设备较多且位置频繁变动的环境(如会议室、无线终端)。

示例:MAC地址为00:1A:2B:3C:4D:5E的设备动态加入VLAN 30。
Cisco交换机配置
Switch(config)# vlan 30
Switch(config-vlan)# exit
Switch(config)# mac-address-table static 001A.2B3C.4D5E vlan 30  # 绑定MAC到VLAN
Switch(config)# interface gig0/1
Switch(config-if)# switchport mode dynamic auto   # 启用动态VLAN
华为交换机配置
[Huawei] vlan 30
[Huawei-vlan30] quit
[Huawei] mac-vlan mac-address 001A-2B3C-4D5E   # 创建MAC-VLAN映射
[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] mac-vlan enable    # 启用MAC-VLAN功能
[Huawei-GigabitEthernet0/0/1] port hybrid untagged vlan 30  # 允许VLAN 30通过

验证命令

Cisco: show mac-address-table vlan 30华为: display mac-vlan

相关文章:

  • [250417] Fedora 42 正式发布,搭载 Linux 6.14 内核和 GNOME 48 桌面环境
  • 扫雷-C语言版
  • 使用Qt multimedia模块实现简易的视频播放器
  • stm32-lm75、SPI
  • Jenkins 2.492.2 LTS 重置管理员密码
  • 科研新触角:松灵六轴臂重构具身智能生态
  • 在Ubuntu服务器上部署xinference
  • python入门:不同进制数据的表示方式,转换;数据类型的转换,隐式类型的转换
  • ServletRequestListener 的用法笔记250417
  • 日语学习-日语知识点小记-构建基础-JLPT-N4阶段(6):ながら 一边。。一边
  • NVIDIA 显卡
  • Python基础总结(六)之集合
  • 《如何用 Function 实现动态配置驱动的处理器注册机制?》
  • 多重背包转01背包优化
  • Linux:进程:进程状态
  • ServletContextAttributeListener 的用法笔记250417
  • StarCraftII SMAC 环境配置的debug日记
  • #include <bits/stdc++.h> 头文件解析 [特殊字符]‍[特殊字符]
  • STM32F103_HAL库+寄存器学习笔记17 - CAN中断接收 + 接收CAN总线所有报文
  • Wireshark TS | 异常 ACK 数据包处理
  • 工行一季度净赚841亿元降3.99%,营收降3.22%
  • 杨国荣︱学术上的立此存照——《故旧往事,欲说还休》读后
  • 国家发改委下达今年第二批810亿超长期特别国债资金,支持消费品以旧换新
  • 王毅出席金砖国家外长会晤
  • 绵阳造AI机器狗参与警务工作,演练中辅助民警控制“嫌疑人员”
  • 中国黄金协会:一季度我国黄金产量同比增1.49%,黄金消费量同比降5.96%