對于大型網絡，我們常常對于ip的規劃比較煩惱，也有很多朋友問到，對于1000路以上的大型監控或網絡如何去設置它的ip地址呢？

對于大型網絡，它的ip規劃我們常常的做法是劃分vlan，因為劃分vlan有諸多好處，方便管理以及提升了整個網絡的安全性。當然除了劃分vlan有其它的方法嗎？答案是肯定，那就是端口隔離。這兩種方法在ip規劃中使用的最多，我們本期來詳細了解vlan的劃分與端口隔離。

一、劃分vlan

在面對ip地址較多的時候，我們常用的方法就是劃分vlan，VLAN的作用是隔離廣播，同一個VLAN在一個廣播域，端口隔離就是将同一個VLAN不同接口再進行隔離。使用三層交換機劃分vlan，可以使vlan之間相互通信。

舉例

某公司有1000台電腦，公司有若幹個部門，部門之間有相互往來，如何來規劃ip地址？

分析：1000台電腦可以設置成6個網段，當然也可以設置5個網段，設置6個網段方便以後擴展性。那我們ip地址可以如下：

Vlan1:192.168.1.1/24

Vlan2:192.168.2.1/24

配置步驟：

<Huawei>system-view #進入系統視圖

[Huawei]vlan 10 #創建vlan 10

[Huawei-vlan10]int vlan 10 #進入vlan 10

[Huawei-Vlanif10]ip address 192.168.1.1 /24 #設置vlan 10 ip 與掩碼

[Huawei-Vlanif10]quit #退出

[Huawei]int GigabitEthernet 1/0/3 #進入端口3

[Huawei-GigabitEthernet1/0/3]port link-type access #設置端口模式為access 模式，access端口隻能屬于一個vlan；

[Huawei]int GigabitEthernet 1/0/2 #進入端口2

[Huawei-GigabitEthernet1/0/2]port link-type access #設置端口模式為access 模式

[Huawei-GigabitEthernet1/0/2]quit #退出

[Huawei]int GigabitEthernet 1/0/2

[Huawei-GigabitEthernet1/0/2]am isolate GigabitEthernet 1/0/3 #隔離端口 3

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]int GigabitEthernet 1/0/3 #進入端口3

[Huawei-GigabitEthernet1/0/3]am isolate GigabitEthernet 1/0/2 #隔離端口 2

[Huawei-GigabitEthernet1/0/3]quit

這種實現了端口與端口3之間不能互相通信。

作為交換機有效的訪問控制安全控制機制之一：端口隔離，其安全、靈活的特性在實際組網中應用廣泛，它可以将指定的端口可以加入到特定的端口隔離組中，同一端口隔離組的端口之間互相隔離，不同端口隔離組的端口之間不隔離。

是不是感覺似曾相識，感覺跟劃分VLAN差不多，其實不然，雖然VLAN和端口隔離都是把一部分設備獨立在一個空間内，有防護功能，但VLAN一般用來隔離廣播的，譬如一棟大樓，每層一個VLAN，隔離出廣播域，而端口隔離則不同，一般同一個VLAN的用戶都是同一網段的，所以是可以ping通訪問的，實現共享資料的，但是做了端口隔離後，即使在同一網段，也禁止互相訪問，安全指數更高！

簡言之就是： VLAN的作用是隔離廣播，同一個VLAN在一個廣播域，端口隔離就是将同一個VLAN不同接口再進行隔離。

三、總結

1、端口隔離的端口之間無法相互通信，但可以與上聯口通信；VLAN是同VLAN ID的端口可以任意通信，不同VLAN之間不能直接通信。

2、端口隔離的各個端口仍然處于同一IP段；VLAN則必須每個VLAN對應一個獨立的IP段。

3、端口隔離僅限于單台交換機，即無法控制通過上聯口互聯的兩台交換機之間的隔離端口的通信；VLAN可以跨越多台交換機，隻要VLAN ID不同，就無法直接通信。

4、上聯口無法區分端口隔離的數據來自哪個端口，但是可以區分VLAN的數據歸屬于哪個VLAN。

歡迎大家加入我們的弱電智能化交流群：197391160，與更多同行人士交流學習

掃描下面小程序，能領取更多優惠券哦！

點擊~了解更多~有視頻的精彩講解

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!