小型办公室网络改造实战用华为交换机实现部门隔离与资源共享最近接手了一个小型科技公司的网络改造项目公司有研发和市场两个部门需要实现部门间的网络隔离同时又要保证部分资源共享。这种场景在20-50人规模的企业中非常典型——既要保障数据安全又要维持协作效率。经过评估我决定采用两台华为S系列交换机通过VLAN划分和静态路由配置来解决这个问题。1. 网络规划与设备选型在开始配置之前合理的网络规划至关重要。我们首先需要明确几个关键点部门划分研发部15人市场部8人资源共享需求文件服务器、打印机需要两个部门都能访问安全要求研发部门代码库需要与市场部门隔离扩展性考虑未来可能增加行政部门基于这些需求我设计了以下网络架构研发部 VLAN 10: 192.168.10.0/24 市场部 VLAN 20: 192.168.20.0/24 共享资源 VLAN 30: 192.168.30.0/24设备选型方面考虑到公司规模和预算选择了华为S5735S-L24T4S-A交换机两台主要因为24个千兆电口4个千兆光口满足当前需求并有扩展空间支持完善的VLAN和路由功能华为企业级交换机的稳定性和性价比提示小型办公室网络改造建议预留20%-30%的端口余量以应对临时需求和未来发展。2. 基础VLAN配置与部门内通信首先我们需要在每台交换机上创建VLAN并分配端口。以研发部所在的Switch1配置为例Switch1 system-view [Switch1] sysname SW1 [SW1] vlan batch 10 30 [SW1] interface gigabitethernet 0/0/1 to 0/0/15 [SW1-GigabitEthernet0/0/1] port link-type access [SW1-GigabitEthernet0/0/1] port default vlan 10 [SW1-GigabitEthernet0/0/1] quit [SW1] interface gigabitethernet 0/0/24 [SW1-GigabitEthernet0/0/24] port link-type access [SW1-GigabitEthernet0/0/24] port default vlan 30市场部所在的Switch2配置类似只是VLAN ID不同Switch2 system-view [Switch2] sysname SW2 [SW2] vlan batch 20 30 [SW2] interface gigabitethernet 0/0/1 to 0/0/8 [SW2-GigabitEthernet0/0/1] port link-type access [SW2-GigabitEthernet0/0/1] port default vlan 20 [SW2-GigabitEthernet0/0/1] quit [SW2] interface gigabitethernet 0/0/24 [SW2-GigabitEthernet0/0/24] port link-type access [SW2-GigabitEthernet0/0/24] port default vlan 30配置完成后可以使用以下命令验证display vlan 10 display port vlan此时同部门内的设备已经可以互相通信但不同部门间还无法通信共享资源也无法访问。3. 跨交换机VLAN扩展与Trunk配置为了实现两台交换机间的VLAN通信我们需要配置Trunk端口。选择两台交换机的GigabitEthernet0/0/23端口作为互联端口在SW1上配置[SW1] interface gigabitethernet 0/0/23 [SW1-GigabitEthernet0/0/23] port link-type trunk [SW1-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 20 30在SW2上配置[SW2] interface gigabitethernet 0/0/23 [SW2-GigabitEthernet0/0/23] port link-type trunk [SW2-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 20 30注意生产环境中建议只允许必要的VLAN通过Trunk链路而不是使用all参数这可以提高安全性。此时相同VLAN跨交换机的设备已经可以通信。例如连接到SW1和SW2上VLAN 30的设备可以互相访问这正是我们需要的共享资源访问能力。验证Trunk配置display interface gigabitethernet 0/0/234. 部门间受控互通与静态路由配置为了实现研发和市场部门间的受控通信仅限访问共享资源我们需要配置VLAN接口IP和静态路由。首先在SW1上配置VLAN接口[SW1] interface vlanif 10 [SW1-Vlanif10] ip address 192.168.10.1 24 [SW1-Vlanif10] quit [SW1] interface vlanif 30 [SW1-Vlanif30] ip address 192.168.30.1 24 [SW1-Vlanif30] quit在SW2上配置VLAN接口[SW2] interface vlanif 20 [SW2-Vlanif20] ip address 192.168.20.1 24 [SW2-Vlanif20] quit [SW2] interface vlanif 30 [SW2-Vlanif30] ip address 192.168.30.2 24 [SW2-Vlanif30] quit然后配置静态路由使不同VLAN间可以访问共享资源在SW1上[SW1] ip route-static 192.168.20.0 255.255.255.0 192.168.30.2在SW2上[SW2] ip route-static 192.168.10.0 255.255.255.0 192.168.30.1最后在各部门的计算机上设置正确的IP地址和网关研发部计算机IP: 192.168.10.x/24网关: 192.168.10.1市场部计算机IP: 192.168.20.x/24网关: 192.168.20.1共享服务器IP: 192.168.30.3/24网关: 192.168.30.15. 安全加固与日常维护基础功能实现后我们需要考虑网络安全和日常管理访问控制限制VLAN间的访问权限[SW1] acl number 3000 [SW1-acl-adv-3000] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [SW1-acl-adv-3000] rule permit ip [SW1-acl-adv-3000] quit [SW1] traffic classifier c1 [SW1-classifier-c1] if-match acl 3000 [SW1-classifier-c1] quit [SW1] traffic behavior b1 [SW1-behavior-b1] deny [SW1-behavior-b1] quit [SW1] qos policy p1 [SW1-qospolicy-p1] classifier c1 behavior b1 [SW1-qospolicy-p1] quit [SW1] interface vlanif 10 [SW1-Vlanif10] qos apply policy p1 inbound日常维护命令查看当前配置display current-configuration查看VLAN信息display vlan查看接口状态display interface brief查看路由表display ip routing-table备份配置save ftp 192.168.30.3 put vrpcfg.zip在实际部署中我还遇到了几个值得分享的问题最初配置完成后市场部无法访问共享打印机检查发现是SW2上忘记将打印机端口划入VLAN 30静态路由配置后部分通信仍然失败原因是两台交换机上的VLAN 30接口IP配置在了同一网段但地址相同性能测试时发现大文件传输速度不理想通过将Trunk链路从千兆电口改为光口解决
小型办公室网络改造实录:如何用两台华为交换机划分VLAN实现部门隔离与互通?
小型办公室网络改造实战用华为交换机实现部门隔离与资源共享最近接手了一个小型科技公司的网络改造项目公司有研发和市场两个部门需要实现部门间的网络隔离同时又要保证部分资源共享。这种场景在20-50人规模的企业中非常典型——既要保障数据安全又要维持协作效率。经过评估我决定采用两台华为S系列交换机通过VLAN划分和静态路由配置来解决这个问题。1. 网络规划与设备选型在开始配置之前合理的网络规划至关重要。我们首先需要明确几个关键点部门划分研发部15人市场部8人资源共享需求文件服务器、打印机需要两个部门都能访问安全要求研发部门代码库需要与市场部门隔离扩展性考虑未来可能增加行政部门基于这些需求我设计了以下网络架构研发部 VLAN 10: 192.168.10.0/24 市场部 VLAN 20: 192.168.20.0/24 共享资源 VLAN 30: 192.168.30.0/24设备选型方面考虑到公司规模和预算选择了华为S5735S-L24T4S-A交换机两台主要因为24个千兆电口4个千兆光口满足当前需求并有扩展空间支持完善的VLAN和路由功能华为企业级交换机的稳定性和性价比提示小型办公室网络改造建议预留20%-30%的端口余量以应对临时需求和未来发展。2. 基础VLAN配置与部门内通信首先我们需要在每台交换机上创建VLAN并分配端口。以研发部所在的Switch1配置为例Switch1 system-view [Switch1] sysname SW1 [SW1] vlan batch 10 30 [SW1] interface gigabitethernet 0/0/1 to 0/0/15 [SW1-GigabitEthernet0/0/1] port link-type access [SW1-GigabitEthernet0/0/1] port default vlan 10 [SW1-GigabitEthernet0/0/1] quit [SW1] interface gigabitethernet 0/0/24 [SW1-GigabitEthernet0/0/24] port link-type access [SW1-GigabitEthernet0/0/24] port default vlan 30市场部所在的Switch2配置类似只是VLAN ID不同Switch2 system-view [Switch2] sysname SW2 [SW2] vlan batch 20 30 [SW2] interface gigabitethernet 0/0/1 to 0/0/8 [SW2-GigabitEthernet0/0/1] port link-type access [SW2-GigabitEthernet0/0/1] port default vlan 20 [SW2-GigabitEthernet0/0/1] quit [SW2] interface gigabitethernet 0/0/24 [SW2-GigabitEthernet0/0/24] port link-type access [SW2-GigabitEthernet0/0/24] port default vlan 30配置完成后可以使用以下命令验证display vlan 10 display port vlan此时同部门内的设备已经可以互相通信但不同部门间还无法通信共享资源也无法访问。3. 跨交换机VLAN扩展与Trunk配置为了实现两台交换机间的VLAN通信我们需要配置Trunk端口。选择两台交换机的GigabitEthernet0/0/23端口作为互联端口在SW1上配置[SW1] interface gigabitethernet 0/0/23 [SW1-GigabitEthernet0/0/23] port link-type trunk [SW1-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 20 30在SW2上配置[SW2] interface gigabitethernet 0/0/23 [SW2-GigabitEthernet0/0/23] port link-type trunk [SW2-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 20 30注意生产环境中建议只允许必要的VLAN通过Trunk链路而不是使用all参数这可以提高安全性。此时相同VLAN跨交换机的设备已经可以通信。例如连接到SW1和SW2上VLAN 30的设备可以互相访问这正是我们需要的共享资源访问能力。验证Trunk配置display interface gigabitethernet 0/0/234. 部门间受控互通与静态路由配置为了实现研发和市场部门间的受控通信仅限访问共享资源我们需要配置VLAN接口IP和静态路由。首先在SW1上配置VLAN接口[SW1] interface vlanif 10 [SW1-Vlanif10] ip address 192.168.10.1 24 [SW1-Vlanif10] quit [SW1] interface vlanif 30 [SW1-Vlanif30] ip address 192.168.30.1 24 [SW1-Vlanif30] quit在SW2上配置VLAN接口[SW2] interface vlanif 20 [SW2-Vlanif20] ip address 192.168.20.1 24 [SW2-Vlanif20] quit [SW2] interface vlanif 30 [SW2-Vlanif30] ip address 192.168.30.2 24 [SW2-Vlanif30] quit然后配置静态路由使不同VLAN间可以访问共享资源在SW1上[SW1] ip route-static 192.168.20.0 255.255.255.0 192.168.30.2在SW2上[SW2] ip route-static 192.168.10.0 255.255.255.0 192.168.30.1最后在各部门的计算机上设置正确的IP地址和网关研发部计算机IP: 192.168.10.x/24网关: 192.168.10.1市场部计算机IP: 192.168.20.x/24网关: 192.168.20.1共享服务器IP: 192.168.30.3/24网关: 192.168.30.15. 安全加固与日常维护基础功能实现后我们需要考虑网络安全和日常管理访问控制限制VLAN间的访问权限[SW1] acl number 3000 [SW1-acl-adv-3000] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [SW1-acl-adv-3000] rule permit ip [SW1-acl-adv-3000] quit [SW1] traffic classifier c1 [SW1-classifier-c1] if-match acl 3000 [SW1-classifier-c1] quit [SW1] traffic behavior b1 [SW1-behavior-b1] deny [SW1-behavior-b1] quit [SW1] qos policy p1 [SW1-qospolicy-p1] classifier c1 behavior b1 [SW1-qospolicy-p1] quit [SW1] interface vlanif 10 [SW1-Vlanif10] qos apply policy p1 inbound日常维护命令查看当前配置display current-configuration查看VLAN信息display vlan查看接口状态display interface brief查看路由表display ip routing-table备份配置save ftp 192.168.30.3 put vrpcfg.zip在实际部署中我还遇到了几个值得分享的问题最初配置完成后市场部无法访问共享打印机检查发现是SW2上忘记将打印机端口划入VLAN 30静态路由配置后部分通信仍然失败原因是两台交换机上的VLAN 30接口IP配置在了同一网段但地址相同性能测试时发现大文件传输速度不理想通过将Trunk链路从千兆电口改为光口解决
