VLAN划分到底怎么做？一文教会你

大家好！刚学华为交换机，最容易被问到：“怎么做VLAN划分才专业？”

很多人一开始就是“哪里有新设备就加一个VLAN”，时间久了编号乱、广播多、谁也不敢改。

其实，VLAN划分只要4步，华为设备命令一套就搞定！

今日文章阅读福利：《网络工程师手册》

扫添加小助理微信，备注【网工】，即可获取。

一、什么是VLAN？一张图看懂

VLAN(Virtual Local Area Network)，就是把物理交换机上的端口“逻辑分组”，让不同部门/业务流量互不干扰。比如：

· 办公区、财务区、研发区、访客区，各自独立，互不影响。

· 广播域缩小，安全性提升，网络更好管。

二、VLAN划分典型场景举例

1. 公司分部门：办公、财务、研发、访客

2. 学校分区域：教务、学生宿舍、图书馆

3. 医院分业务：医生办公、病人WiFi、设备管理

4. 商场/酒店：前台、客房、后厨、访客

三、华为设备VLAN配置4步法（命令全流程！）

假设场景：

· 办公区VLAN 10(192.168.10.0/24)

· 财务区VLAN 20(192.168.20.0/24)

· 访客区VLAN 30(172.16.30.0/24)三层核心交换机为例（S5700系列）

第一步：创建VLAN

[Switch] vlan batch 10 20 30

第二步：将端口加入对应VLAN（Access口）办公电脑接入端口，划入VLAN 10：

[Switch] interface GigabitEthernet0/0/5[Switch-GigabitEthernet0/0/5] port link-type access[Switch-GigabitEthernet0/0/5] port default vlan 10

财务电脑接入端口，划入VLAN 20：

[Switch] interface GigabitEthernet0/0/6[Switch-GigabitEthernet0/0/6] port link-type access[Switch-GigabitEthernet0/0/6] port default vlan 20

第三步：汇聚/上联为Trunk口，放行所有需要VLAN

[Switch] interface GigabitEthernet0/0/24[Switch-GigabitEthernet0/0/24] port link-type trunk[Switch-GigabitEthernet0/0/24] port trunk allow-pass vlan 10 20 30

第四步：配置三层网关（SVI）核心交换机上，每个VLAN有一个虚接口作为网关：

[Switch] interface Vlanif10[Switch-Vlanif10] ip address 192.168.10.1 255.255.255.0[Switch] interface Vlanif20[Switch-Vlanif20] ip address 192.168.20.1 255.255.255.0[Switch] interface Vlanif30[Switch-Vlanif30] ip address 172.16.30.1 255.255.255.0

四、常见应用场景与小技巧

· 访客VLAN只允许上外网，办公/财务VLAN有严格互访限制

· 服务器划专用VLAN（如VLAN40），配合ACL实现精细访问控制

· 需要语音VLAN时：

[Switch-GigabitEthernet0/0/7] port voice-vlan enable[Switch-GigabitEthernet0/0/7] voice-vlan 50

五、排查常见问题（速查命令+解决思路）Q1：设备插上没网？

· 检查接口VLAN是否正确：

[Switch] display vlan 10

· 检查Trunk口是否放行目标VLAN：

[Switch] display interface GigabitEthernet0/0/24

Q2：不同VLAN互ping不通？

· 检查网关是否配置：

[Switch] display ip interface brief

· 检查设备IP、网关写对没

Q3：广播太多/ARP攻击？

· VLAN分组不合理

· 建议关键设备独立VLAN，开启ARP防护功能

六、进阶升级建议

· 后续可加DHCP中继：

[Switch-Vlanif10] dhcp select relay[Switch-Vlanif10] dhcp relay server-ip 192.168.100.10

· VLAN规划建议配合Excel表统一编号，方便后期管理

· 用ACL实现跨VLAN访问控制，保障安全

七、自测3问（答不出建议收藏本文！）

1. Access和Trunk口的根本区别是什么？

2. 为什么访客VLAN推荐用172网段？

3. 如果Trunk口没放行VLAN，终端会出现什么故障