子网划分:让网络更高效
公司刚搬了新办公室,部门也多了起来。行政、研发、销售各自用着不同的设备,如果所有机器都在同一个局域网里,广播风暴一来,视频会议卡顿,文件传输慢得像蜗牛。这时候就得靠子网划分为不同部门分配独立的IP段,把大网络拆成几个小网络。
比如,给研发部用 192.168.10.0/24,销售部用 192.168.20.0/24,行政部门用 192.168.30.0/24。这样不仅减少广播范围,还能通过策略控制跨部门访问,安全又高效。
三层交换机:不只是交换,还能路由
很多人以为交换机只能转发数据帧,但三层交换机不一样,它能做IP路由。也就是说,不同子网之间通信不用再经过外接路由器,直接在交换机内部完成转发,速度更快,延迟更低。
假设你用的是华为S5735或思科Catalyst 3850这类支持三层功能的设备,开启SVI(Switch Virtual Interface)就能为每个VLAN配置网关地址。
配置示例:基于VLAN划分子网
先创建VLAN,并分配端口:
vlan 10
name R&D
!
vlan 20
name Sales
!
vlan 30
name Admin
!
interface range gigabitethernet 0/1 - 10
switchport mode access
switchport access vlan 10
!
interface range gigabitethernet 0/11 - 20
switchport mode access
switchport access vlan 20接下来启用三层接口,给每个VLAN配置IP作为网关:
interface vlan 10
ip address 192.168.10.1 255.255.255.0
!
interface vlan 20
ip address 192.168.20.1 255.255.255.0
!
interface vlan 30
ip address 192.168.30.1 255.255.255.0
!
ip routing别忘了最后那句 ip routing,这是开启三层路由功能的关键,否则各子网还是通不了。
实际效果:跨部门通信不再靠外接设备
配置完成后,研发员工想访问销售部的共享打印机,数据包从192.168.10.0网段发出来,到达三层交换机,查路由表发现192.168.20.0直连,直接转发过去,整个过程在毫秒级完成。
如果你还设置了ACL限制某些访问,比如禁止行政登录研发服务器,可以在接口下加规则:
access-list 101 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip any any
!
interface vlan 30
ip access-group 101 out这样一来,权限清晰,出了问题也容易排查。
常见误区提醒
有人以为只要配了VLAN就自动互通,结果电脑设好了IP却ping不通隔壁组。问题往往出在没开ip routing,或者忘记给VLAN接口配IP地址。
还有的人在测试时只在一个交换机上做配置,可实际环境中有多个交换机级联,记得把互联口设成trunk模式,允许对应VLAN通过,不然SVI建得再好也白搭。
子网划分和三层交换机配合得好,企业内网就像有了立交桥,车流各行其道,不堵也不绕。花一两个小时理清楚逻辑,后续运维轻松不少。