划分 VLAN 并配置 IP 地址的指南

时间:2025-04-09 16:35:39
VLAN,全称 Virtual LAN,翻译过来就是“虚拟局域网”,本质上就是在一台交换机里人为划分多个独立的网络。默认情况下,交换机上的所有端口都在 VLAN 1 里,设备之间可以随意通信。但如果你划分了 VLAN,就相当于把设备分成了不同的小圈子,默认情况下 VLAN 之间是互不相通的。

举个现实中的例子,你公司里有多个部门,财务部、市场部、技术部,你不希望他们的电脑能随意互访,就可以给他们划分不同的 VLAN,财务部 VLAN 10,市场部 VLAN 20,技术部 VLAN 30。这样即使他们都接在同一台交换机上,也不会相互影响。

划 VLAN 的目的很简单,就是 提高安全性,减少广播干扰,灵活管理网络。但 VLAN 之间默认不通,如果你不做 VLAN 间路由,那不同 VLAN 之间永远是隔离的。

先把 VLAN 创建出来,假设我们要划分三个 VLAN,分别给不同的部门用:
system-view
vlan 10
 name FINANCE
vlan 20
 name MARKETING
vlan 30
 name TECH
quit

这样 VLAN 10、VLAN 20、VLAN 30 就划分好了,但光有 VLAN 还不够,接下来的关键是 怎么把交换机的端口分配给不同的 VLAN

3. 交换机端口模式怎么选?Access、Trunk、Hybrid 傻傻分不清?

交换机的端口有三种模式,别搞混了:

  • Access 端口:只能属于一个 VLAN,常用于连接 PC、服务器、打印机等终端设备。
  • Trunk 端口:可以通过多个 VLAN,常用于交换机之间互联,或者连接路由器做 VLAN 间路由。
  • Hybrid 端口:同时支持带 VLAN 标签(tagged)和不带 VLAN 标签(untagged)的数据,适用于无线 AP、摄像头等需要同时处理多个 VLAN 的场景。

给不同的端口选对模式很重要,很多人 VLAN 配好了但不通,就是因为端口模式选错了。

配置 Access 端口(适用于 PC、服务器等单 VLAN 设备):

interface GigabitEthernet 0/0/1
port link-type access
port default vlan 10
quit

这样端口 1 就固定在 VLAN 10 里了,插上 PC 或服务器,它就会自动加入 VLAN 10。

配置 Trunk 端口(适用于交换机之间互联,或者连路由器):

interface GigabitEthernet 0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 30
quit

这样端口 24 可以让 VLAN 10、VLAN 20、VLAN 30 的数据通过,通常用来连接其他交换机或者路由器。

如果你的无线 AP 需要支持多个 VLAN,比如员工网络 VLAN 10,访客网络 VLAN 20,就需要用 Hybrid 端口:

interface GigabitEthernet 0/0/5
port link-type hybrid
port hybrid tagged vlan 10 20
port hybrid untagged vlan 30
quit

这样 AP 可以同时处理多个 VLAN 的数据包,不同 SSID(WiFi 名称)可以对应不同的 VLAN。

4. VLAN 之间怎么通信?配置 VLAN 接口 IP

很多人 VLAN 配好了,但是 VLAN 之间不通,原因很简单:VLAN 之间默认是隔离的,必须通过路由才能互通。如果你的交换机是二层交换机(L2 交换机),VLAN 之间的通信必须通过路由器;如果是三层交换机(L3 交换机),可以直接在交换机上做 VLAN 间路由。

方法 1:在路由器上做 VLAN 间路由(适用于普通二层交换机)

先确保 Trunk 端口已经允许 VLAN 通过,然后在路由器上配置 VLAN 接口并分配 IP 地址:

interface Vlanif 10
 ip address 192.168.10.1 255.255.255.0
interface Vlanif 20
 ip address 192.168.20.1 255.255.255.0
interface Vlanif 30
 ip address 192.168.30.1 255.255.255.0
quit

这样,VLAN 10 的设备就用 192.168.10.1 作为网关,VLAN 20 用 192.168.20.1,VLAN 30 用 192.168.30.1,路由器负责转发不同 VLAN 之间的数据。

方法 2:在三层交换机上做 VLAN 间路由(适用于企业网络)

如果你的交换机支持三层路由,可以直接在交换机上配置 VLAN 接口 IP 地址:

interface Vlanif 10
 ip address 192.168.10.1 255.255.255.0
interface Vlanif 20
 ip address 192.168.20.1 255.255.255.0
interface Vlanif 30
 ip address 192.168.30.1 255.255.255.0
quit
ip routing

这样 VLAN 10、VLAN 20、VLAN 30 就能直接在交换机上互通,不需要额外的路由器,网络延迟也更低。

5. VLAN 配置的常见问题及排查方法

设备不通?先排查这几点

  1. 检查 VLAN 是否正确划分
  • display vlan  看看 VLAN 里面的端口是不是正确添加了。
  1. 检查端口模式是否正确
  • 电脑、服务器应该是 Access 口。
  • 交换机之间的连接应该是 Trunk 口,并允许 VLAN 通过。

  1. 检查 VLAN 接口 IP 是否配置正确
  • VLAN 设备要有正确的网关,否则不同 VLAN 之间还是不通。

  1. 检查 PC 的 IP 地址
  • ipconfig /all(Windows)或者 ifconfig(Linux/Mac)看看 IP 地址和网关有没有配对。

6. 总结:VLAN 配置其实很简单

  1. 划 VLAN,给不同部门分配 VLAN ID
  2. 配置端口模式,Access 接终端,Trunk 接交换机或路由器
  3. 做 VLAN 间路由,确保不同 VLAN 之间可以通信
  4. 检查 IP 地址和网关,排查常见问题

相关文章