今天得跟大家伙儿聊聊我捣鼓这个“vlan平台”的事儿。也不是啥高大上的平台,就是我们办公室网络改造,用上了VLAN这玩意儿,感觉效果还挺明显的,所以记录一下过程。
为啥要搞这个?
起初,我们办公室网络那叫一个乱。就一台主交换机,接了下面好几个小交换机,然后所有的电脑、打印机、服务器啥的,全都连在同一个网段里。人少的时候还人一多,设备一多,那网络是肉眼可见的慢。有时候谁电脑中个毒,或者开了个啥P2P下载,整个办公室都跟着卡,真是头都大了。而且不同部门之间的数据也没个隔离,感觉也不太安全。财务的电脑和我们技术部的电脑在一个广播域里,想想也不太对劲。
开始琢磨和准备
后来我就琢磨着,得想个办法把这网络好好规划一下。上网扒拉资料,看到了VLAN这东西,说是能把一个物理网络划分成好几个逻辑上的独立网络,各个网络之间默认是不通的,能隔离广播,提高安全性。这不就是我想要的嘛
说干就干。第一步,我先是把我们现有的网络设备给摸了个底。还核心交换机是台可网管的,支持VLAN功能,这就好办了。要是傻瓜交换机,那我还得先申请预算换设备。
然后就是规划了。我们办公室主要有这么几个部门:
- 销售部: 主要就是日常办公,访问CRM系统。
- 技术部: 需要访问开发服务器,测试环境啥的,有时候也需要跟外网交互比较多。
- 行政财务部: 这个得重点保护,数据敏感。
- 访客网络: 以前客人来了,都直接连我们内部Wi-Fi,密码也简单,总觉得不踏实。这回也准备单独划个VLAN给访客用。
基于这个,我就初步定了几个VLAN ID,比如VLAN 10给销售,VLAN 20给技术,VLAN 30给行政财务,VLAN 99给访客。简单好记。
动手配置过程
规划好了,就该动手配置了。这个过程还是挺折腾的,毕竟是第一次弄,生怕搞错了整个网络都瘫痪了。
第一步,创建VLAN。
我先登录到我们那台核心交换机,界面还挺老旧的,不过功能都在。找到了VLAN管理的菜单,就开始新建VLAN。比如给销售部建一个VLAN 10,技术部VLAN 20,行政部VLAN 30,访客VLAN 99,就这么着。这一步倒是简单,就是填个ID和名称。
第二步,划分端口。
这步是关键。得想好哪个物理端口分配给哪个VLAN。我提前统计了各个部门的电脑都接在交换机的哪些口上。然后就在交换机配置里,把对应的端口模式从默认的access(或者有些叫untagged)改成指定VLAN的access模式。比如1到5口给销售部,那就把这几个口的PVID(端口VLAN ID)设成10,并且只允许VLAN 10的包通过。
第三步,配置Trunk口。
我们有好几台交换机,核心交换机下面还接着部门的小交换机。那连接这些交换机的口子,就不能是access模式了,得设置成Trunk模式(或者叫tagged模式)。这样,这个口子就能同时跑多个VLAN的数据了,数据包会打上VLAN标签,到了下一级交换机再根据标签分发。同样,连接路由器的那个口子,也得是Trunk,因为最终不同VLAN间的通信(如果需要的话)得靠路由器来实现。
第四步,路由器配置。
光在交换机上划分了VLAN还不行,不同VLAN之间默认是隔离的。如果我想让技术部的电脑能访问行政部的打印机(得有策略控制),那就得通过路由器做三层转发。我这边是在路由器上创建了子接口,每个子接口对应一个VLAN ID,并给它们配置上相应的IP地址作为各个VLAN的网关。
比如,VLAN 10的网段是192.168.10.0/24,网关就是192.168.10.1;VLAN 20的网段是192.168.20.0/24,网关就是192.168.20.1。这样,不同VLAN的设备通过各自的网关就能路由到其他VLAN了(还得在路由器上配置ACL访问控制列表,控制哪些VLAN之间可以互访,哪些不行)。
测试和收尾
一顿操作猛如虎,接下来就是紧张的测试环节了。我找了几个同事配合,分别在不同VLAN的电脑上ping一下网关,ping一下其他VLAN的电脑,再试试上网。一开始还真遇到点小问题,比如某个端口忘了划分,或者Trunk口配置漏了允许通过的VLAN ID。还耐着性子一点点排查,都解决了。
最明显的感觉就是,访客Wi-Fi单独隔离出去了,心里踏实多了。各个部门的网络也感觉清爽了不少,至少理论上广播风暴的影响范围小了,网络性能应该有所提升。而且要管理起来也方便了,哪个部门出问题,直接看对应VLAN的情况就行。
总结一下,搞这个VLAN平台,虽然前期规划和配置花了不少时间,但从长远来看还是挺值的。网络结构清晰了,安全性提高了,管理也方便了。对我自己来说,也是一次不错的实践经验积累。以后再遇到类似的网络规划,心里就有底了。
