【IT168专稿】如何更好的管理好网络一直是让各位网络管理员比较头疼的问题，很多时候我们都需要借助高性能高可靠性的网络管理工具，然而这些工具的使用都是需要有一定基础的，比较难上手，而且使用起来效果也没有传说的那么好。那么有没有简单的方法来实现安全管理呢？答案是肯定的，今天笔者就为各位IT168的读者介绍一个好方法，通过他我们可以实现将大网划小，轻松将企业网络分割成多个小网段，从而实现安全管理两不耽误的目的。这个方法就是利用虚拟局域网（VLAN）来实现。

    一、虚拟局域网的优势
    在中小企业中使用最多的交换技术就要属虚拟局域网了，虚拟局域网也称为VLAN技术，他可以让连接到同一台交换机的不同PC机处于不同网段中，互相无法访问。今天笔者就拿一个简单的案例为大家介绍虚拟局域网建立的过程。在介绍如何建立和配置之前我们首先来了解下他的优点，虚拟局域网主要有以下两大优势。

    （1）提高网络访问速度
    因为不同虚拟局域网中的主机处在不同的广播域。所以通过划分VLAN可以有效的分割广播域，减少无用的广播数据包在网络中的传输，提高了利用网络带宽的效率。

    （2）安全性大大提高
    正如前言所提的一样，不同虚拟局域网中的计算机是不能互相访问的，也就是说我们可以根据PC机对网络的访问权限划分不同的VLAN，从而有效的管理不同级别的权限。

    二、在华为设备上配置虚拟局域网VLAN
    我们通过一个例子来了解虚拟局域网VLAN的建立方法，实际网络中有一台交换机，该交换机不是简单的二层交换机，是可以管理的交换机，他的五个端口分别连接五台PC机，依次命名为PC1到PC5。交换机使用的是华为公司的5516交换机（如图1）。

    小提示：我们这里所说的交换机是正规的交换机，而不是那种仅仅具有集线器功能的低端交换式HUB。所以大家在测试时一定要看看自己的路由交换设备是否支持VLAN设置功能。大部分可管理交换机都是支持VLAN功能的。我们可以通过在交换机管理界面中输入“?”来查看（如图2）。

    实例1：将PC1，2，3与PC4，5划分到不同的虚拟局域网中
    任务描述
    如果PC4和PC5是公司经理所用的计算机，PC1，2，3为普通员工使用的计算机，那么为了保证安全需要将这两部分有效的分隔。我们可以通过划分VLAN，并将PC4，PC5与PC1，2，3加入不同VLAN来实现。

    实现方法
    第一步：首先确立各个PC机连接到5516交换机的端口号，为了便于讲解我们姑且设定PC1连接交换机的ethernet1口，PC2连接ethernet2口以此类推。

    第二步：如果我们实现设置了交换机的管理IP则可以通过telnet的方式登录管理界面，当然对于初次配置的交换机还只能通过console线连接console端口进入管理界面。

    第三步：进入管理界面后我们需要输入system-view命令进入配置模式。

    第四步：接着我们创建虚拟局域网，根据要求需要建立两个VLAN，分别起名VLAN 10和VLAN 20。
    小提示：由于默认情况下交换机的所有端口都属于VLAN1，因此为了避免不必要的错误建议设定VLAN都以10，20这样的号来创建。

    第五步：使用以下命令将PC1，PC2，PC3加入VLAN10中。
    vlan 10  //创建VLAN 10
    port ethernet 1  //将E1端口加入VLAN10
    port ethernet 2
    port ethernet 3//将E2，E3端口加入VLAN10
    小提示：实际上我们使用vlan 10命令创建VLAN10后还可以进入某一单一端口将其加入某某VLAN，这在以后单独添加端口到VLAN的操作中经常用到。具体命令为创建VLAN 10后使用如下命令：
    int ethernet 1    //进入E1端口。
    port access vlan 10    //将该端口设置为非TRUNK模式，并加入到VLAN10中。

    第六步：使用以下命令将PC4，PC5加入VLAN20中。
    vlan 20   //创建VLAN 20
    port ethernet 4
    port ethernet 5    //将E4，E5端口加入VLAN 20

    第七步：配置完毕后执行SAVE命令保存当前配置。这样我们在PC4上就无法ping通PC1，PC2，PC3了，然而PC4与PC5的互连是没有任何问题的。同理PC1，PC2，PC3之间互连也没有问题，只是不能正常访问PC4，PC5而已。
    小提示：由于划分VLAN是在物理上将不同的虚拟局域网进行隔离，所以即使PC1与PC4属于同一个子网两者也无法互相访问。
    划分VLAN后一方面提高了两个网段的网络访问速度，因为VLAN10的广播数据包不会传输到VLAN20中。另一方面为经理的计算机做到了有效的保护，员工不会随便访问经理计算机上的机密数据了。

    三、在CISCO设备上配置虚拟局域网
    我们仍然拿前面说的那个环境做例子进行配置，只是把交换机的品牌进行了更换，由于CISCO产品和华为产品在设置命令上存在着很大的差异，所以为了读者更好的了解VLAN的设置方法，笔者将继续介绍在CISCO设备上配置虚拟局域网的方法。

    实例2：将PC1，2，3与PC4，5划分到不同的虚拟局域网中
    任务描述
    PC4和PC5是公司经理所用的计算机，PC1，2，3为普通员工使用的计算机，我们通过划分VLAN，并将PC4，PC5与PC1，2，3加入不同VLAN来实现。这次我们将PC1，2，3添加到VLAN 100中，将PC4，5添加到VLAN 200中。

    实现方法
    第一步：首先确立各个PC机连接到CISCO交换机的端口号，为了便于讲解我们姑且设定PC1连接交换机的ethernet1口，PC2连接ethernet2口以此类推。

    第二步：如果我们实现设置了交换机的管理IP则可以通过telnet的方式登录管理界面，当然对于初次配置的交换机还只能通过console线连接console端口进入管理界面。

    第三步：输入两层管理密码，然后通过config t命令进入配置模式。

    第四步：输入vlan database进入VLAN设置界面（如图3）。

    第五步：为了方便管理VLAN我们需要为每个VLAN设置一个名字，例如笔者设置了VLAN 100，并为其添加一个名字softer，使用的命令为vlan 100 name softer。

    第六步：输入exit命令让设置生效，界面会出现“apply completed”信息表示设置成功。

    第七步：既然前面已经创建了相应的VLAN号，那么接下来就是要把某个接口应用到该VLAN了。我们进入ethernet1，2，3，然后通过以下命令将其添加到相应的vlan中（如图4）。

    config t    //进入配置模式。
    int ethernet 1    //进入以太接口1。
    no ip address    //取消IP地址设置。
    switchport    //进入交换模式设置界面。
    switchport access vlan 100    //将该端口并划分到VLAN 100。
    switchport mode access    //将该端口设置为虚拟局域网端口模式。

    第八步：重复操作将ethernet 2，3端口加入到VLAN 100，将ethernet 4，5端口添加到VLAN 200中。

    第九步：最后通过copy run start命令保存设置即可（如图5）。

    不管是对华为设备还是对CISCO设置进行VLAN划分操作，我们只需要遵循两步即可，第一步是创建某VLAN，第二步是将某某端口添加到这个VLAN中。设置完毕后我们的网络安全性就有所提高，不同VLAN的计算机是不能互相访问的，即使他们连接到同一台二层交换机上；另外我们也可以通过对VLAN参数进行修改而统一管理同一个VLAN号下的多个端口了。