为什么你的 VLAN 规划总在”救火”

上周去一祖传媒公司排查网络故障,他们的 VLAN 划分让我哭笑不得——市场部、财政部、会议室、打印机全数塞在 VLAN 10 里,网工幼哥振振有词:”归正都能互通,省得麻烦。”了局不言而喻:视频会议卡成 PPT,财政电脑被勒索病毒横向渗入,整栋楼断网三幼时。

这不是个例。我经手的项目中,超过六成的网络故障本原都在 VLAN 规划失控。要么是当初设计太轻易,业务扩张后积沉难返;要么是听了”三十二层 VLAN 足够用”的鬼话,了局 AP 和 IP Phone 抢地址忙成一锅粥。今天把这十多年踩过的坑、系统化的步骤论、还有 Cisco 和华为的具体配置,一次性说明显。

规划逻辑:先分层,再分区,最后定址

好多工程师做 VLAN 规划,上来就问”必要几个 VLAN”,这是本末颠倒。正确挨次应该是:先理解业务架构,再决定安全天堑,最后才是编号和地址分配。

我们通常参考 ISO/IEC 7498-4 的分层思想,把企业网络抽象成三个平面:出产平面(主题业务)、治理平面(设备管控)、安全平面(访客/隔离区)。每个平面内部再按部门或业务系统垂直切分。好比造作业工厂,出产网、办公网、监控网必须物理隔离或至少 VLAN 隔离,这是工控安全的底线。

地址规划要共同子网掩码,建议统一使用 /24,特殊情况用 /25 或 /26 应对。VLAN 编号和 IP 网段建议成立对应表,好比 VLAN 40 对应 172.16.40.0/24,了如指掌,运维时少翻一半文档。

三个经典坑:语音、视频、IoT 设备

这三个场景是 VLAN 规划的沉灾区,也是最容易让网工半夜被唤醒的原因。

坑一:IP Phone 和 PC 混插统一端口。好多中幼企业图省事,把 IP Phone 当通常互换机用,Phone 后面串一台 PC。语音和数据共用 VLAN,了局电话通话质量差、延长高,抓包一看——Packets 混在一路,QoS 底子无法生效。正确做法是语音走独立 VLAN,使用 802.1Q trunk 口的 voice VLAN 职能,让语音流量打上更高优先级的 DSCP 值。

坑二:视频监控的私有和谈。？怠⒋蠡纳阆裢废不队 554 端口的 RTSP 流,好多网工默认放行全端口,了局把整个办公网段露出给摄像头网络。黑产何处扫到弱口令摄像头就能横向进办公网,去年某智慧社区项目就是这么被勒索的。建议摄像头单独一个 VLAN,只允许 NVR 的 IP 接见治理端口,其他端口一律 deny。

坑三:IoT 设备 DHCP 的糟苦衷。智能照明、传感器、温控面板这类设备,上电后往往通过 DHCP 获取 IP,但它们不支持 Option 43/60,时时占满办公网的地址池,新员工入职电脑插上网线却分不到 IP。我通；岣 IoT 单独划 VLAN,并启用 DHCP Snooping 预防私接路由器广播。

Cisco 和华为:双厂商配置示例

在北京的企业环境里,Cisco 和华为设备混用是常态。好多客户机房里有旧 Cisco 2960/3750,新上线的主题用的是华为 S5720-SI,这种”混搭风”对网工来说既是现实也是挑战。下面给出一套经典场景的配置模板——语音 VLAN 和办公 VLAN 通过 trunk 口透传,并启用 QoS 保险语音流量。

Cisco IOS 互换机配置:

! 创建 VLAN
vlan 20
 name Office_Data
!
vlan 40
 name Voice_VLAN
!
! 配置接入端口 - IP Phone + PC 场景
interface GigabitEthernet0/1
 description "IP Phone + PC Access Port"
 switchport mode access
 switchport access vlan 20
 switchport voice vlan 40
 spanning-tree portfast
 spanning-tree bpduguard enable
!
! 配置 trunk 口 - 上联主题
interface GigabitEthernet0/24
 description "Uplink to Core"
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 20,40
!
! QoS 战术 - 语音优先
mls qos
policy-map VOICE-POLICY
 class class-default
  set dscp ef
!
interface GigabitEthernet0/1
 service-policy output VOICE-POLICY

华为 VRP 互换机配置:

<!-- 华为配置示例 -->
# 创建 VLAN
vlan batch 20 40

# 配置语音 VLAN (LLDP 方式自动发现)
vlan 40
 description Voice_VLAN
#
vlan 20
 description Office_Data
#
# 接入端口配置
interface GigabitEthernet0/0/1
 description "IP Phone + PC Access Port"
 port link-type hybrid
 port hybrid pvid vlan 20
 port hybrid tagged vlan 40
 port hybrid untagged vlan 20
 voice-vlan enable
 voice-vlan qos 46
 stp edgedport enable
#
# 上联 trunk 口
interface GigabitEthernet0/0/24
 description "Uplink to Core"
 port link-type trunk
 port trunk allow-pass vlan 20 40
#
# QoS 队列配置
qos queue-profile VOICE-QUEUE
 schedule pq 5 6 7 wfq 0 1 2 3 4
 qos wrr 5 6 7 0 to qos queue 5 queue 6 queue 7
#
interface GigabitEthernet0/0/1
 qos queue-profile VOICE-QUEUE

两个厂商配置思路一致,主题差距在于号令语法:Cisco 用 switchport voice vlan,华为用 voice-vlan enable;Cisco 用 mls qos 开启全局 QoS,华为用 qos queue-profile 界说队列战术。现实项目中,我建议把配置模板参数化,用 Excel 守护 VLAN-端口-描述对应表,调换时先改表再批量下发剧本。

最后提醒一句:规划再好,没有文档蹬宗零。每次 VLAN 调换必须同步更新网络拓扑图和 IP 地址台账,这是无数血泪教训换来的经验。若是你的网络已经乱成一团麻,不妨思考联系pp电子做一次网络设备整包服务,沉新梳理架构,合约期内免费提供设备更换。