家里或公司网络用久了,设备一多,互相抢带宽、串数据的问题就来了。比如财务部的电脑和销售部的电脑都在一个网络里,文件传输容易被看到,安全性差。这时候就需要通过局域网交换机来划分网段,把不同的设备隔离开。
网段是什么?
简单说,网段就是一组在同一网络范围内的设备。比如 192.168.1.0/24 这个网段,能容纳从 192.168.1.1 到 192.168.1.254 的设备。它们可以直接通信,但不同网段之间默认不能互通,需要路由器帮忙。
普通交换机不能直接划分网段
注意,普通的二层交换机本身不会划分网段。它只是把所有连在上面的设备放在同一个广播域里。也就是说,哪怕你接了几十台设备,它们还是在一个网段里,互相能看到对方发的广播包。
用 VLAN 实现网段隔离
真正能划分网段的是支持 VLAN 功能的三层交换机。VLAN(虚拟局域网)可以把一台物理交换机逻辑上分成多个独立的小交换机。每个 VLAN 就是一个独立的广播域,相当于一个独立网段。
举个例子:你在公司用一台三层交换机,可以设置 VLAN 10 给财务部,IP 段设为 192.168.10.0/24;VLAN 20 给行政部,IP 段是 192.168.20.0/24。这样两个部门的设备即使插在同一台交换机上,也不能直接通信。
配置示例:创建 VLAN 并分配端口
登录交换机管理界面(通常是网页或命令行),进行如下操作:
vlan 10
name caiwu
exit
vlan 20
name xingzheng
exit
interface gigabitethernet 0/1
switchport mode access
switchport access vlan 10
exit
interface gigabitethernet 0/2
switchport mode access
switchport access vlan 20
exit上面这段配置的意思是:创建了两个 VLAN,把第1个端口划给财务部(VLAN 10),第2个端口划给行政部(VLAN 20)。这两个口插的设备就在不同网段了。
跨 VLAN 通信靠三层功能
如果财务和行政偶尔需要传文件,就得让交换机开启三层功能,配置 VLAN 接口 IP,充当网关:
interface vlan 10
ip address 192.168.10.1 255.255.255.0
exit
interface vlan 20
ip address 192.168.20.1 255.255.255.0
exit这样一来,两台不同 VLAN 的电脑只要把网关设成对应 VLAN 接口的 IP,就能通过交换机路由通信,同时还能受访问控制策略限制。
实际应用建议
家庭用户一般不需要这么复杂,用普通路由器分几个子网就够了。但中小型企业或学校机房,建议使用支持 VLAN 的三层交换机。不仅能提升安全性,还能减少广播风暴对网络的影响。
买设备时注意看是否支持“三层交换”和“VLAN 划分”,别只看端口数量。配置前最好画好网络拓扑图,规划好每个 VLAN 的用途和 IP 范围,避免后期改起来麻烦。