深入了解VLAN-阿里云开发者社区

配置VLAN

几乎所有可网管交换机都支持VLAN的划分，不过，由于不同品牌交换机使用的操作系统不同，所以，划分VLAN时使用的命令也有所不同。在这里，我们仅以Cisco系列交换机为例，介绍一下如何在交换机上创建VLAN，以及如何实现位于不同交换机的同一VLAN之间的通讯。

一、VLAN创建策略

为了兼顾网络传输效率和网络安全，在配置VLAN时，应当遵循以下策略：

1. 采用基于端口的VLAN划分方式

在各种类型的网络中，台式计算机占有相当大的比例，而且位置和用户相对固定，因此，采用基于端口的方式划分VLAN，规划、设置和管理都非常简单，同时，又拥有最大限度的安全性，确保网络管理员拥有对整个网络各项改动的最高权力。对于移动用户而言，一方面可以借助信息插座连接至以太网络，另一方面，也可以借助无线AP连接至无线网络，然而，无论采用哪种方式，都直接或间接地连接到交换机，因此，同样可以以端口方式将之划分至不同的VLAN。

2. 以区域作为划分VLAN为基本策略

应当最大限度地减少中心交换机和网络骨干的网络传输量，要使大量数据的传输集中在VLAN内部，而使VLAN与网络骨干或中心交换机的通信数据流量尽可能的少，以充分提高网络的传输效率，减少不必要的网络流量，合理利用网络带宽。因此，应当以区域作为划分VLAN的基本策略，尽量避免设置跨交换机的VLAN，以减轻中心交换机的负担。

3. 以部门功能或应用需求作为划分VLAN的基础

每个部门既具有相对的独立性，同时又与其他某些部门有着千丝万缕的联系，所以，部门内部、相关部门之间的通信量相对较大。因此，只要是用户数量不是非常多（100个以下），就可以考虑将相关部门分配到一个VLAN之中。另外，还有一些部门的计算机拥有量非常多（如计算中心、图书馆等），或者对网络安全的要求比较高（如财务、研发、市场等），那么，可以将每个部门设置为一个VLAN。即使这些部门分散于各个不同位置，也可以借助中继技术，将他们划分至同一VLAN，消除地理位置上的距离感，确保各项业务和应用的进行。同时，VLAN内部相对封闭运行，有利于各专门子网的安全。

3. 确保敏感部门的网络安全

对于一些敏感的部门，除了单独设置VLAN外，还应当设置允许访问该VLAN的列表，甚至在三层设备上绑定MAC地址和IP地址，以确保VLAN访问安全。

4. 及时调整灵活配置VLAN

根据网络拓朴结构和用户的变化和需要，及时调整VLAN配置，通过增加、删除、修改VLAN，设置VLAN的访问权限，保证网络高效、安全、稳定运行。

二、配置VLAN

创建VLAN需要2个步骤，先是创建VLAN，然后再将相关接口指定至该VLAN。这与先将公司划分为若干部门，然后，再将所有员工一一分配至各部门非常相似。VLAN配置即可以直接在Console口完成，也可以以Telnet或超级终端通过远程管理实现。

1. 创建VLAN

默认状态下，VLAN1已经被创建，而且作为管理用VLAN，不可被删除和修改，用于实现对网络设备的管理。通常情况下，可创建的VLAN范围为2~1004。

（1）在全局配置模式下创建VLAN

第1步，进入全局配置模式。

第2步，键入VLAN ID，进入vlan-config模式。以太网VLAN ID的取值范围为1~1001。其中，VLAN 1为系统默认VLAN，不能被创建，也不能被删除。