企业网络实战：基于VLAN与单臂路由的多部门互联仿真实验

1. 企业网络为什么要用VLAN和单臂路由？

很多刚接触企业网络的朋友可能会有疑问：为什么不能直接把所有设备接在同一个交换机上？这个问题要从企业网络的真实需求说起。想象一下，一个200人的公司，研发部经常需要传输大型代码库，市场部则频繁开视频会议，财务部的数据需要严格隔离。如果所有设备都在同一个广播域：

• 广播风暴会让网络卡成PPT（市场部的视频流量可能拖垮整个网络）
• 安全隐患就像敞开的大门（财务部的数据可能被其他部门嗅探）
• 管理混乱堪比早高峰地铁（无法针对部门做差异化网络策略）

我在给某电商公司做网络改造时就遇到过这种情况：最初他们所有设备都在一个网段，双十一前市场部做直播测试时，整个公司的ERP系统都卡得无法操作。后来我们用VLAN+单臂路由的方案，不仅解决了问题，还实现了：

1. 广播隔离：每个部门的广播流量只在自家VLAN里传播
2. 安全隔离：不同部门就像住不同楼层，不能随意串门
3. 灵活管理：可以给研发部开高速通道，给访客网络限速

2. 实验环境搭建与IP规划

2.1 设备选型与拓扑设计

我们先来看一个典型的中小型企业网络架构。以我最近实施的某制造企业项目为例，他们需要连接：

• 研发部（VLAN 10）：50台主机，需要低延迟
• 市场部（VLAN 20）：30台主机，需要高带宽
• 财务部（VLAN 30）：5台主机，需要最高安全等级

推荐设备清单：

核心路由器：H3C MSR3610（带千兆光口） 接入交换机：H3C S5130S-28P（支持802.1Q VLAN） 测试主机：任意支持DHCP的PC

实验拓扑可以这样设计：

[路由器]----(Trunk)----[核心交换机]----(Access) |---- VLAN 10 --[研发部PC] |---- VLAN 20 --[市场部PC] |---- VLAN 30 --[财务部PC]

2.2 IP地址规划实战技巧

很多新手最头疼的就是子网划分。教大家一个我用了10年的"三明治划分法"：

1. 先确定VLAN数量（本例3个部门+1个管理VLAN）
2. 计算每个VLAN需要的主机数（预留30%增长空间）
3. 选择掩码长度（主机数=2^(32-掩码)-2）

以C类网192.168.1.0/24为例：

| VLAN | 网段 | 掩码 | 网关 | DHCP范围 | |--------|-----------------|------------|-------------|-------------------| | VLAN10 | 192.168.1.0 | 255.255.255.128 | 192.168.1.1 | 192.168.1.10-100 | | VLAN20 | 192.168.1.128 | 255.255.255.192 | 192.168.1.129| 192.168.1.140-190 | | VLAN30 | 192.168.1.192 | 255.255.255.224 | 192.168.1.193| 192.168.1.200-220 | | Trunk | 192.168.1.224 | 255.255.255.252 | N/A | N/A |

注意：实际项目中建议留出10-20%的冗余IP，避免后期扩容时重新规划。

3. 交换机VLAN与Trunk配置详解

3.1 VLAN配置的坑与技巧

配置VLAN时最容易犯的错误就是忘记把端口加入VLAN。来看一个真实案例的配置：

# 创建VLAN <H3C> system-view [H3C] sysname SW1 [SW1] vlan 10 [SW1-vlan10] description R&D_Department [SW1-vlan10] quit # 将端口加入VLAN（G1/0/1-10属于研发部） [SW1] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/10 [SW1-if-range] port link-type access [SW1-if-range] port access vlan 10 [SW1-if-range] quit

常见问题排查：

1. 端口灯不亮？检查display interface brief看端口状态
2. PC获取不到IP？用display vlan确认端口是否在正确VLAN
3. 跨交换机不通？检查Trunk配置是否允许所有VLAN通过

3.2 Trunk链路配置实战

Trunk配置是VLAN间通信的关键。有次我给客户调试网络，就因为少了一个命令导致全网瘫痪：

# 正确配置（关键在最后两行） [SW1] interface gigabitethernet 1/0/24 [SW1-GigabitEthernet1/0/24] port link-type trunk [SW1-GigabitEthernet1/0/24] port trunk permit vlan all [SW1-GigabitEthernet1/0/24] port trunk pvid vlan 1

重要参数说明：

• port trunk pvid：设置默认VLAN（建议用VLAN 1）
• port trunk permit：允许哪些VLAN通过（生产环境建议按需放行）

4. 单臂路由实现跨VLAN通信

4.1 为什么叫"单臂"路由？

这个形象的名称来源于物理连接方式——只需要路由器的一个物理接口，通过创建多个子接口来承担不同VLAN的网关功能。就像千手观音，虽然只有一条"手臂"，却能完成多双手的工作。

配置示例（以H3C设备为例）：

# 进入物理接口 <Router> system-view [Router] interface gigabitethernet 0/0 [Router-GigabitEthernet0/0] quit # 创建子接口 [Router] interface gigabitethernet 0/0.10 [Router-GigabitEthernet0/0.10] ip address 192.168.1.1 255.255.255.128 [Router-GigabitEthernet0/0.10] vlan-type dot1q vid 10 [Router-GigabitEthernet0/0.10] quit [Router] interface gigabitethernet 0/0.20 [Router-GigabitEthernet0/0.20] ip address 192.168.1.129 255.255.255.192 [Router-GigabitEthernet0/0.20] vlan-type dot1q vid 20

4.2 静态路由配置要点

单臂路由完成后，还需要配置静态路由让路由器知道如何转发数据：

[Router] ip route-static 192.168.2.0 255.255.255.0 192.168.1.254 [Router] ip route-static 192.168.3.0 255.255.255.0 192.168.1.254

调试技巧：

• 用display ip routing-table查看路由表
• 测试时先ping网关，再ping目标主机
• 如果跨VLAN不通，检查ARP表display arp

5. DHCP服务配置与优化

5.1 基础DHCP配置

给VLAN自动分配IP能大幅减少运维工作量。这是我给某学校机房配置的案例：

# 启用DHCP服务 [Router] dhcp enable # 创建地址池 [Router] dhcp server ip-pool VLAN10 [Router-dhcp-pool-VLAN10] network 192.168.1.0 mask 255.255.255.128 [Router-dhcp-pool-VLAN10] gateway-list 192.168.1.1 [Router-dhcp-pool-VLAN10] dns-list 8.8.8.8 [Router-dhcp-pool-VLAN10] expired day 3

5.2 高级DHCP技巧

1. 地址保留：给打印机等固定设备绑定IP

   [Router-dhcp-pool-VLAN10] static-bind ip-address 192.168.1.50 mac-address 0001-0203-0405

2. 地址排除：防止IP冲突

   [Router-dhcp-pool-VLAN10] forbidden-ip 192.168.1.1 [Router-dhcp-pool-VLAN10] forbidden-ip 192.168.1.100 to 192.168.1.110

3. Option配置：推送特定参数

   [Router-dhcp-pool-VLAN10] option 43 hex 80070000 01C0A80101

6. 全网连通性测试与排错

6.1 分层测试法

按照OSI模型从下往上测试：

1. 物理层：检查网线、指示灯
2. 数据链路层：display interface看端口状态
3. 网络层：ping网关、ping其他VLAN主机
4. 应用层：测试网页访问等实际应用

6.2 常见故障处理

现象1：VLAN内主机无法互通

• 检查交换机端口VLAN归属
• 确认主机IP和子网掩码配置

现象2：跨VLAN无法通信

• 检查路由器子接口配置
• 确认Trunk链路允许所有VLAN通过
• 查看路由表是否有对应网段路由

现象3：DHCP获取失败

• 用display dhcp server statistics查看统计
• 检查地址池是否有可用IP
• 确认DHCP请求能到达路由器（端口镜像抓包）

7. 企业级网络优化建议

在实际项目中，我通常会建议客户做这些优化：

1. QoS策略：给视频会议流量设置高优先级

   [Switch] qos policy video [Switch-qospolicy-video] classifier video behavior video [Switch-qospolicy-video] quit [Switch] interface gigabitethernet 1/0/5 [Switch-GigabitEthernet1/0/5] qos apply policy video inbound

2. 端口安全：防止非法设备接入

   [Switch] interface gigabitethernet 1/0/10 [Switch-GigabitEthernet1/0/10] port-security enable [Switch-GigabitEthernet1/0/10] port-security max-mac-num 2

3. 日志监控：配置Syslog服务器记录关键事件

   [Switch] info-center enable [Switch] info-center loghost 192.168.100.100

最后提醒大家，配置完成后一定要保存配置：

<Switch> save The current configuration will be written to the device. Are you sure? [Y/N]:y