编者按：当企业网络规模扩大后，为了更有效地管理用户IP地址，为了更好地侦查网络攻击，设立VLAN虚拟局域网是非常有效的办法。本文是作者的实战总结，虽然文字量少，但字字关键。

例一    老广播局机房网络整改：扩容、防攻击

　　所有单位使用同一网段192.168.0.0/24，C类子网最多只能容纳253台主机(除去网关地址及广播地址)。加上用户水平有限，自已乱设IP地址，易造成IP地址冲突。若采用VLAN技术，为各单位分别划分不同的VLAN，可大大减少IP地址冲突的问题。即使出现冲突也便于查找故障。
　　由于处于同一局域网，若感染了针对局域网攻击的病毒，则会造成整网的瘫痪。基于VLAN能隔离广播域的原理，。若为每个单位划分一个网段，则病毒只能在该网段内传播，影响范围则明显减小，查杀相对容易得多。
　　
　　基于以上原因的考虑，我们设计了以下整改方案
　　
　　拓扑结构：

Cisco  3550上的配置
各单位上网的网关设置：
新建Vlan125、126等，设置其ip  address为10.125.0.1/24，10.126.0.1/24，分别为各单位上网的网关地址。命令如下：
3550(config)#vlan  125
3550(config)#interface   vlan  125
3550(config-if)#ip  address 10.125.0.1  255.255.255.0
将port  8设置为trunk模式，封装IEEE  802.1Q 协议，允许该端口通过多个vlan，与光纤收发器相连。设置命令如下：
3550(config)#interface   fastEthernet  0/8
3550(config-if)#switchport   trunk   encapsulation   dot1q
3550(config-if)#switchport   mode  trunk

MP5124B上的配置

　　MP5124B是maipu公司的低端产品，采用GUI方式配置，操作简单方便。不能远程telnet。将port  23设为trunk模式。
VLAN配置界面

PVID配置界面