VLAN划分的坑?本来5分钟能完成的事情,却花了5个小时

VLAN划分是老生常谈的事情了,但是有些单位到现在都不划VLAN,人很少当然是无所谓了,但是一两百台电脑的单位,还不划分VLAN,就有点过份了,出点问题就全网故障——一台小小的傻瓜交换机,多插一条网线,就能导致整个网络崩溃——有VLAN就不同了,顶多影响一个VLAN的正常通讯。

先来说说这个反面教材吧,为什么本来5分钟能完成的事情,却花了5个小时呢?

1、客户的IT是这样划分VLAN的:

VLAN 10:192.168.10.0/24

VLAN 20:192.168.20.0/24

VLAN 30:192.168.30.0/24

VLAN 40:192.168.40.0/24

VLAN 50:192.168.50.0/24

2、后来他们开了个分厂,于是他又依葫芦画瓢,把分厂的VLAN划成这样了:

VLAN 60:192.168.60.0/24

VLAN 70:192.168.70.0/24

VLAN 80:192.168.80.0/24

看到这里,很多人都会说:这很正常啊,能有啥问题呢?很多印刷成册的专业书本,也都是这么写的啊,笔者是在忽悠咱们吗?

乍一看,是没什么问题,可是再想一下,这样的VLAN,你没办法用子网掩码的长度来概括它们。

3、问题来了,老板说,总厂与分厂之间的网络要贯通,生产数据要共享、文件服务器要互访,按照现有的VLAN,两端防火墙配置了IPSEC,并且成功连接之后,他要写很多条安全策略、静态路由、策略路由等等等等

结果忙中出错,没把总厂的某个WIFI段写进安全策略,导致这个网段无法访问分厂的ERP服务器,要不是请求我们一起排查,5个小时都不够,晚上还得吃力不讨好的加班,被埋怨还算是轻的了。

正确的VLAN,应该要考虑到后期的拓展性,以及平时维护的便利性,划分的操作和所花的时间是一样的,但是维护的时候就省时省力了

实例如下:

1、总厂VLAN划分如下:

VLAN 10:192.168.10.0/24

VLAN 11:192.168.11.0/24

VLAN 12:192.168.12.0/24

VLAN 13:192.168.13.0/24

VLAN 14:192.168.14.0/24

乍眼一看,这不是一回事么?跟前面的有啥区别?其实不然,这5个VLAN,在关键时刻,可以缩写成一条:192.168.8.0/21,注意,子网掩码长度为21,该子网可用IP地址从192.168.8.1到192.168.15.254为止,如果有需要的话,可以随时为总厂增加三个VLAN:192.168.8.0/24、192.168.9.0/24、192.168.15.0/24,如果还不够,可以改成192.168.8.0/20来获得更多的VLAN。

2、分厂的VLAN划分如下:

VLAN 125:192.168.125.0/24

VLAN 126:192.168.126.0/24

VLAN 127:192.168.127.0/24

同样道理,这3个VLAN,在关键时刻,可以缩写成一条:192.168.124.0/22,子网掩码长度为22,该子网可用IP地址从192.168.124.1到192.168.127.254为止,如果有需要的话,可以随时为分厂增加一个VLAN:192.168.124.0/24,如果不够用,可以改成192.168.124.0/21来获得更多的VLAN。

3、这么做的好处,是显而易见的,比如:上面图片中的5条静态路由,直接就可以概括成一条了,把目的地址/掩码写成:192.168.8.0/255.255.248.0就可以了。当然还不止于此,安全策略也同样变得简单了

4、配置加密报文,也是如此,源地址和目的地址,都是只用一条就简明的概括了

5、两端VLAN互访,需要配置为不做策略路由,看看,写出来多么简明扼要啊

俗话说得好:多做就多错。这不是教导我们在工作中,能偷懒就偷懒,能少做就少做,而是在告诉我们,在同样完成工作的前提下,尽量把复杂的事情简单化,也就是说去繁就简,才是我们工作效率的保障,也同时彰显我们的工作能力。

——笔者为网络工程师,擅长计算机网络领域,创业多年,希望把自己的经验分享给大家,觉得有用的,可以关注、点赞、转发,如有相同或者不同观点,欢迎评论,谢谢!

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注