2023年7月21日发(作者：)

为Jan16公司创建部门VLAN

1.项目背景

Jan16公司现有财务部、技术部和业务部，出于数据安全的考虑，各部门的计算机需进行隔离，仅允许部门内部相互通信。公司拓扑如图1所示，具体要求如下：

（1） 公司局域网使用一台24口二层交换机进行互联，其中财务部的计算机4台，连接在G0/0/1-4端口；技术部的计算机9台，连接在G0/0/5-12及G0/0/20端口；业务部的计算机8台，连接在G0/0/15-19及G0/0/21-23端口。

（2） 出于安全的考虑，需在交换机中为各部门创建相应的VLAN，避免部门间相互通信。

（3） 所有计算机均采用10.0.1.0/24网段，各部门IP地址和接入交换机的端口信息如拓扑所示。

图1 网络拓扑图

2.项目规划设计

二层交换机默认情况下，所有端口都处于VLAN1中。本项目中所有计算机均采用10.0.1.0/24网段，各计算机均可直接通信。为实现各部门之间的隔离，需在交换机上创建VLAN，并将各部门计算机的端口划分到相应的VLAN中。本项目将通过创建VLAN10、VLAN20、VLAN30分别用于财务部、技术部、业务部内的计算机互联。

配置步骤如下：

（1）创建VLAN

（2）将端口划分至相应VLAN

（3）配置各部门计算机的IP地址

项目规划如下：

表1 VLAN规划表

VLAN ID

VLAN10

VLAN20

IP地址段

10.0.1.1-4/24

10.0.1.11-19/24

用途

财务部

技术部 VLAN30 10.0.1.21-28/24

表2 端口规划表

业务部

本端设备

SW1

SW1

SW1

端口号

G0/0/1-4

G0/0/5-12、G0/0/20

G0/0/15-19、G0/0/21-23

计算机

财务部-PC1

财务部-PC2

技术部-PC1

技术部-PC2

业务部-PC1

业务部-PC2

端口类型

access

access

access

表3 IP地址规划表

所属VLAN

Vlan10

Vlan20

Vlan30

对端设备

财务部PC

技术部PC

业务部PC

IP地址

10.0.1.1/24

10.0.1.2/24

10.0.1.11/24

10.0.1.12/24

10.0.1.21/24

10.0.1.22/24

3.项目实施

（1）创建VLAN

为各部门创建相应的VLAN。

[Huawei]system-view

[Huawei]sysname SW1

[SW1]vlan 10

[SW1]vlan 20

[SW1]vlan 30

（2）将端口划分至相应VLAN

将各部门计算机所使用的端口按部门分别组成端口组，统一将端口类型转换为ACCESS模式，并设置端口PVID，将端口划分到相应的VLAN

[SW1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/4

[SW1-port-group]port link-type access

[SW1-GigabitEthernet0/0/1]port link-type access

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/3]port link-type access

[SW1-GigabitEthernet0/0/4]port link-type access

[SW1-port-group]port default vlan 10

[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1-GigabitEthernet0/0/2]port default vlan 10

[SW1-GigabitEthernet0/0/3]port default vlan 10

[SW1-GigabitEthernet0/0/4]port default vlan 10

[SW1]port-group group-member GigabitEthernet 0/0/5 to GigabitEthernet 0/0/12 Gig

abitEthernet 0/0/20

[SW1-port-group]port link-type access

[SW1-GigabitEthernet0/0/5]port link-type access

[SW1-GigabitEthernet0/0/6]port link-type access

[SW1-GigabitEthernet0/0/7]port link-type access

[SW1-GigabitEthernet0/0/8]port link-type access

[SW1-GigabitEthernet0/0/9]port link-type access

[SW1-GigabitEthernet0/0/10]port link-type access

[SW1-GigabitEthernet0/0/11]port link-type access

[SW1-GigabitEthernet0/0/12]port link-type access

[SW1-GigabitEthernet0/0/20]port link-type access

[SW1-port-group]port default vlan 20

[SW1-GigabitEthernet0/0/5]port default vlan 20

[SW1-GigabitEthernet0/0/6]port default vlan 20

[SW1-GigabitEthernet0/0/7]port default vlan 20

[SW1-GigabitEthernet0/0/8]port default vlan 20

[SW1-GigabitEthernet0/0/9]port default vlan 20

[SW1-GigabitEthernet0/0/10]port default vlan 20

[SW1-GigabitEthernet0/0/11]port default vlan 20

[SW1-GigabitEthernet0/0/12]port default vlan 20

[SW1-GigabitEthernet0/0/20]port default vlan 20

[SW1]port-group group-member GigabitEthernet 0/0/15 to GigabitEthernet 0/0/19

GigabitEthernet 0/0/21 to GigabitEthernet 0/0/23

[SW1-port-group]port link-type access

[SW1-GigabitEthernet0/0/15]port link-type access

[SW1-GigabitEthernet0/0/16]port link-type access

[SW1-GigabitEthernet0/0/17]port link-type access

[SW1-GigabitEthernet0/0/18]port link-type access

[SW1-GigabitEthernet0/0/19]port link-type access

[SW1-GigabitEthernet0/0/21]port link-type access

[SW1-GigabitEthernet0/0/22]port link-type access

[SW1-GigabitEthernet0/0/23]port link-type access

[SW1-port-group]port default vlan 30

[SW1-GigabitEthernet0/0/5]port default vlan 30 [SW1-GigabitEthernet0/0/6]port default vlan 30

[SW1-GigabitEthernet0/0/7]port default vlan 30

[SW1-GigabitEthernet0/0/8]port default vlan 30

[SW1-GigabitEthernet0/0/9]port default vlan 30

[SW1-GigabitEthernet0/0/10]port default vlan 30

[SW1-GigabitEthernet0/0/11]port default vlan 30

[SW1-GigabitEthernet0/0/12]port default vlan 30

[SW1-GigabitEthernet0/0/20]port default vlan 30

（3）配置各部门计算机的IP地址

图2 财务部-PC1 IP配置图 图3 财务部-PC2 IP配置图

图4 技术部-PC1 IP配置图

4.项目验证

（1）验证交换机的VLAN配置信息

[SW1]display vlan

The total number of vlans is : 4

--------------------------------------------------------------------------------

U: Up; D: Down; TG: Tagged; UT: Untagged;

MP: Vlan-mapping; ST: Vlan-stacking;

#: ProtocolTransparent-vlan; *: Management-vlan; --------------------------------------------------------------------------------

VID Type Ports

--------------------------------------------------------------------------------

1 common UT:GE0/0/13(D) GE0/0/14(D) GE0/0/15(U) GE0/0/16(U)

GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/21(D)

GE0/0/22(D) GE0/0/23(D) GE0/0/24(D)

10 common UT:GE0/0/1(U) GE0/0/2(U) GE0/0/3(U) GE0/0/4(U)

20 common

30 common UT:GE0/0/5(U) GE0/0/6(U) GE0/0/7(D) GE0/0/8(D)

GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D)

GE0/0/20(D)

VID Status Property MAC-LRN Statistics Description

--------------------------------------------------------------------------------

1 enable default enable disable VLAN 0001

10 enable default enable disable VLAN 0010

20 enable default enable disable VLAN 0020

30 enable default enable disable VLAN 0030

（2）测试各部门计算机的互通性

通过Ping命令，测试各部门内部通信息的情况。

使用财务部计算机Ping本部门的计算机:

PC>ping 10.0.1.2

Ping 10.0.1.2: 32 data bytes, Press Ctrl_C to break

From 10.0.1.2: bytes=32 seq=1 ttl=128 time=47 ms

From 10.0.1.2: bytes=32 seq=2 ttl=128 time=31 ms

From 10.0.1.2: bytes=32 seq=3 ttl=128 time=31 ms

From 10.0.1.2: bytes=32 seq=4 ttl=128 time=16 ms

From 10.0.1.2: bytes=32 seq=5 ttl=128 time=31 ms

--- 10.0.1.2 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 16/31/47 ms

使用财务部的计算机Ping技术部的计算机：

PC>ping 10.0.1.11

Ping 10.0.1.11: 32 data bytes, Press Ctrl_C to break

From 10.0.1.1: Destination host unreachable

From 10.0.1.1: Destination host unreachable

From 10.0.1.1: Destination host unreachable From 10.0.1.1: Destination host unreachable

From 10.0.1.1: Destination host unreachable

--- 10.0.1.11 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss

可以看出，将端口加入到不同的VLAN后，相同VLAN中的计算机可以互相通信，不同VLAN中的计算机则不可以互相通信。