上周帮朋友公司排查网络卡顿问题,发现他们用的还是全网一个广播域的扁平结构——所有设备都在默认VLAN 1里,打印机、监控摄像头、前台电脑、财务系统全挤在同一个网段。一到下午视频会议开始,整个办公网就掉包、延迟飙升。最后画了张拓扑图,按部门和业务重新划了VLAN,问题当场解决。
拓扑图不是画着好看的
很多人把网络拓扑图当成验收文档里应付检查的附件,画完就扔一边。其实它该是运维人员每天瞄两眼的“活地图”。比如你在图上标出:核心交换机连着三台接入层交换机,每台下面接了销售部(VLAN 10)、技术部(VLAN 20)、行政部(VLAN 30),再配上IP地址段(192.168.10.0/24、192.168.20.0/24……),故障定位立刻快一倍。
VLAN划分得跟着业务走
别一上来就按端口编号分VLAN 2、3、4……那样纯属自找麻烦。真实场景里,VLAN号最好带业务含义:财务系统用VLAN 100,无线访客网用VLAN 200,监控专网用VLAN 150。这样看到交换机配置里的switchport access vlan 100,不用翻笔记就知道这是财务的口。
拓扑图里怎么标VLAN?
直接在图上用颜色+文字标注最直观。比如用蓝色框圈出销售部所有设备,旁边写“VLAN 10 | 192.168.10.0/24”;绿色框标技术部,“VLAN 20 | 192.168.20.0/24”。如果用Visio或draw.io画图,还能给不同VLAN加图层,需要查某部门时一键隐藏其他图层。
三层交换机上的VLAN接口配置也得同步体现在图中,例如:
interface Vlan10
ip address 192.168.10.1 255.255.255.0
no shutdown
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
no shutdown这些IP就是各VLAN的网关,必须和拓扑图里的标注严格一致。有次我见某公司图上标的是192.168.10.254,实际配的是192.168.10.1,新来的同事照图配置DHCP作用域,结果一半设备拿不到地址,折腾半天才发现图是旧版没更新。
跨交换机的VLAN别忘了Trunk
当一个VLAN要横跨多台交换机时,连接它们的链路必须设为Trunk,并放行对应VLAN。拓扑图上建议用虚线+“Trunk”标签标出这类链路,旁边注明允许的VLAN列表,比如“Trunk:10,20,100”。实操中常见错误是只在一台交换机上配了Trunk,另一台还傻乎乎用access模式,结果VLAN通不了,查起来绕一大圈。
真正好用的拓扑图,是能让你边看边敲命令的图——看到VLAN 20区域异常,手指已经摸到终端上准备ping网关了;看到某条Trunk链路被标红,心里已经知道要查allowed vlan列表了。它不是档案,是工具。