小型办公室网络改造实录：如何用两台华为交换机划分VLAN实现部门隔离与互通？

小型办公室网络改造实战：用华为交换机实现部门隔离与资源共享

最近接手了一个小型科技公司的网络改造项目，公司有研发和市场两个部门，需要实现部门间的网络隔离，同时又要保证部分资源共享。这种场景在20-50人规模的企业中非常典型——既要保障数据安全，又要维持协作效率。经过评估，我决定采用两台华为S系列交换机，通过VLAN划分和静态路由配置来解决这个问题。

1. 网络规划与设备选型

在开始配置之前，合理的网络规划至关重要。我们首先需要明确几个关键点：

• 部门划分：研发部15人，市场部8人
• 资源共享需求：文件服务器、打印机需要两个部门都能访问
• 安全要求：研发部门代码库需要与市场部门隔离
• 扩展性考虑：未来可能增加行政部门

基于这些需求，我设计了以下网络架构：

研发部 VLAN 10: 192.168.10.0/24 市场部 VLAN 20: 192.168.20.0/24 共享资源 VLAN 30: 192.168.30.0/24

设备选型方面，考虑到公司规模和预算，选择了华为S5735S-L24T4S-A交换机两台，主要因为：

• 24个千兆电口+4个千兆光口，满足当前需求并有扩展空间
• 支持完善的VLAN和路由功能
• 华为企业级交换机的稳定性和性价比

提示：小型办公室网络改造，建议预留20%-30%的端口余量以应对临时需求和未来发展。

2. 基础VLAN配置与部门内通信

首先我们需要在每台交换机上创建VLAN并分配端口。以研发部所在的Switch1配置为例：

<Switch1> system-view [Switch1] sysname SW1 [SW1] vlan batch 10 30 [SW1] interface gigabitethernet 0/0/1 to 0/0/15 [SW1-GigabitEthernet0/0/1] port link-type access [SW1-GigabitEthernet0/0/1] port default vlan 10 [SW1-GigabitEthernet0/0/1] quit [SW1] interface gigabitethernet 0/0/24 [SW1-GigabitEthernet0/0/24] port link-type access [SW1-GigabitEthernet0/0/24] port default vlan 30

市场部所在的Switch2配置类似，只是VLAN ID不同：

<Switch2> system-view [Switch2] sysname SW2 [SW2] vlan batch 20 30 [SW2] interface gigabitethernet 0/0/1 to 0/0/8 [SW2-GigabitEthernet0/0/1] port link-type access [SW2-GigabitEthernet0/0/1] port default vlan 20 [SW2-GigabitEthernet0/0/1] quit [SW2] interface gigabitethernet 0/0/24 [SW2-GigabitEthernet0/0/24] port link-type access [SW2-GigabitEthernet0/0/24] port default vlan 30

配置完成后，可以使用以下命令验证：

display vlan 10 display port vlan

此时，同部门内的设备已经可以互相通信，但不同部门间还无法通信，共享资源也无法访问。

3. 跨交换机VLAN扩展与Trunk配置

为了实现两台交换机间的VLAN通信，我们需要配置Trunk端口。选择两台交换机的GigabitEthernet0/0/23端口作为互联端口：

在SW1上配置：

[SW1] interface gigabitethernet 0/0/23 [SW1-GigabitEthernet0/0/23] port link-type trunk [SW1-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 20 30

在SW2上配置：

[SW2] interface gigabitethernet 0/0/23 [SW2-GigabitEthernet0/0/23] port link-type trunk [SW2-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 20 30

注意：生产环境中建议只允许必要的VLAN通过Trunk链路，而不是使用"all"参数，这可以提高安全性。

此时，相同VLAN跨交换机的设备已经可以通信。例如，连接到SW1和SW2上VLAN 30的设备可以互相访问，这正是我们需要的共享资源访问能力。

验证Trunk配置：

display interface gigabitethernet 0/0/23

4. 部门间受控互通与静态路由配置

为了实现研发和市场部门间的受控通信（仅限访问共享资源），我们需要配置VLAN接口IP和静态路由。

首先在SW1上配置VLAN接口：

[SW1] interface vlanif 10 [SW1-Vlanif10] ip address 192.168.10.1 24 [SW1-Vlanif10] quit [SW1] interface vlanif 30 [SW1-Vlanif30] ip address 192.168.30.1 24 [SW1-Vlanif30] quit

在SW2上配置VLAN接口：

[SW2] interface vlanif 20 [SW2-Vlanif20] ip address 192.168.20.1 24 [SW2-Vlanif20] quit [SW2] interface vlanif 30 [SW2-Vlanif30] ip address 192.168.30.2 24 [SW2-Vlanif30] quit

然后配置静态路由，使不同VLAN间可以访问共享资源：

在SW1上：

[SW1] ip route-static 192.168.20.0 255.255.255.0 192.168.30.2

在SW2上：

[SW2] ip route-static 192.168.10.0 255.255.255.0 192.168.30.1

最后，在各部门的计算机上设置正确的IP地址和网关：

• 研发部计算机：
  • IP: 192.168.10.x/24
  • 网关: 192.168.10.1
• 市场部计算机：
  • IP: 192.168.20.x/24
  • 网关: 192.168.20.1
• 共享服务器：
  • IP: 192.168.30.3/24
  • 网关: 192.168.30.1

5. 安全加固与日常维护

基础功能实现后，我们需要考虑网络安全和日常管理：

访问控制：限制VLAN间的访问权限

[SW1] acl number 3000 [SW1-acl-adv-3000] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [SW1-acl-adv-3000] rule permit ip [SW1-acl-adv-3000] quit [SW1] traffic classifier c1 [SW1-classifier-c1] if-match acl 3000 [SW1-classifier-c1] quit [SW1] traffic behavior b1 [SW1-behavior-b1] deny [SW1-behavior-b1] quit [SW1] qos policy p1 [SW1-qospolicy-p1] classifier c1 behavior b1 [SW1-qospolicy-p1] quit [SW1] interface vlanif 10 [SW1-Vlanif10] qos apply policy p1 inbound

日常维护命令：

• 查看当前配置：

  display current-configuration

• 查看VLAN信息：

  display vlan

• 查看接口状态：

  display interface brief

• 查看路由表：

  display ip routing-table

备份配置：

save ftp 192.168.30.3 put vrpcfg.zip

在实际部署中，我还遇到了几个值得分享的问题：

1. 最初配置完成后，市场部无法访问共享打印机，检查发现是SW2上忘记将打印机端口划入VLAN 30
2. 静态路由配置后部分通信仍然失败，原因是两台交换机上的VLAN 30接口IP配置在了同一网段但地址相同
3. 性能测试时发现大文件传输速度不理想，通过将Trunk链路从千兆电口改为光口解决