1.1 基于接口的VLAN划分
如图 1 所示,某商务楼内有多家公司,为了降低成本,多家公司共用网络资源,各公司分别连接到一台二层交换机的不同接口,并通过统一的出口访问Internet。
图 1 基于接口的VLAN划分组网图
为了保证各公司业务的独立和安全,可将每个公司所连接的接口划分到不同的VLAN,实现公司间业务数据的完全隔离。可以认为每个公司拥有独立的“虚拟路由器”,每个VLAN就是一个“虚拟工作组”。
1.2 基于MAC的VLAN划分
如图 2 所示,某公司有两处办公区域,分别通过接入交换机Switch_2和Switch_3接入公司网络,公司部门员工因工作原因经常往来两地办公。
图 2 基于MAC的VLAN划分组网图
为了保证员工在改变办公地点后,仍然能够访问公司的网络资源(如服务器),可在Switch_2和Switch_3上分别配置基于MAC地址划分VLAN。这样,只要User_1的MAC地址不变,User_1改变接入位置时,划分的VLAN不变,就继续能够访问公司的网络资源。
1.3 基于IP子网的VLAN划分
如图 3 所示,某公司有两个部门:部门1和部门2,分别分配了固定的IP网段。为加强员工间的学习与交流,员工的位置有时会相互调动,但公司希望各部门员工访问的网络资源的权限不变。
图 3 基于IP的VLAN划分组网图
为了保证部门内员工的位置调整后,访问网络资源的权限不变,可在公司的中心交换机上配置基于IP子网划分VLAN。这样,服务器的不同网段就划分到不同的VLAN,访问服务器不同应用服务的数据流就会隔离,提高了安全性。
02
通过VLANIF实现VLAN间三层互访
根据属于不同VLAN的用户互通时需要跨越的三层设备数,通过VLANIF实现VLAN间三层互访主要有两种场景:同设备三层互访和跨设备三层互访。
2.1 同设备三层互访
如图 4 所示,某小型公司的部门1和部门2分别通过二层交换机接入到一台三层交换机Switch,所属VLAN分别为VLAN2和VLAN3,部门1和部门2的用户互通时,需要经过一台三层交换机Switch。
