VLAN 虚拟局域网

在一家小型企业中，所有员工都使用一台交换机，老板为了避免员工私下通信，将他们分配了不同网段，但偶尔还是会发现，有些员工会自行修改网段和别人通信。如果你是这家企业的网络工程师，你该如何处理？

项目拓扑

项目拓扑如图：

需求分析

PC0 和 PC1 即使处于同网段也不可以 Ping 通！

在不同网段时，PC0 和 PC1 不处于同一个广播域，所以不能通信，也就是说，隔离两者的广播域，可以让其不能通信。

项目方案

使用 VLAN 虚拟局域网隔离两者的广播域。

相同的 VLAN 可以通信，不同的 VLAN 不可通信。

方案步骤

1
2
3
4
5
6
7
8
9
10
11

Switch>enable
Switch#configure terminal
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#exit
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport access vlan 3

注意：以上命令在交换设备上执行。

方案测试

测试效果如图：

方案原理

PC0 在发送数据包时，需要经过交换机 Fa0/1 端口，而这个端口被封装为 VLAN2，也就是说，这个数据包被打上了 VLAN2 标签，它只能从另一个 VLAN2 端口出去。通过这种限制，使两台 PC 即便处于统一网段，也不可以通信：