小型企业网络改造实战用Cisco 3560实现多部门VLAN隔离与资源共享当销售部的打印机突然被技术部的批量任务占满或是财务数据在广播风暴中意外泄露时扁平化网络的弊端暴露无遗。作为中小企业IT负责人我曾用一台Cisco 3560三层交换机完成了这样的改造销售部VLAN 10与技术部VLAN 20既实现安全隔离又能共享文件服务器和ERP系统。这个成本不足千元的方案让网络性能提升了40%故障排查时间缩短了三分之二。1. 网络改造规划与拓扑设计广播域分割是这次改造的核心目标。原有网络采用192.168.1.0/24单一网段ARP广播包占用了35%的带宽资源。我们重新规划了三个逻辑网络部门VLAN IDIP网段网关地址用途说明销售部10192.168.10.0/24192.168.10.1客户管理系统接入技术部20192.168.20.0/24192.168.20.1开发测试环境服务器区30192.168.30.0/24192.168.30.1文件/ERP等共享资源物理连接采用星型拓扑核心设备Cisco 3560-24TS带24个10/100端口和2个千兆SFP插槽接入层原有5台Cisco 2960二层交换机关键配置原则所有接入交换机上行口配置为802.1Q Trunk服务器直接连接3560的千兆端口VoIP电话采用Voice VLAN特性实际部署中发现技术部的测试设备会产生异常广播包单独划分VLAN后这类问题不再影响其他部门正常办公。2. 基础VLAN配置实战通过Console线连接3560后首先进行VLAN基础配置! 创建部门VLAN configure terminal vlan 10 name Sales exit vlan 20 name Engineering exit vlan 30 name Servers exit ! 配置接入端口以Fa0/1-5为例 interface range fastEthernet 0/1-5 switchport mode access switchport access vlan 10 spanning-tree portfast exit ! 配置Trunk端口连接其他交换机 interface gigabitEthernet 0/1 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 10,20,30 exit常见问题排查技巧使用show vlan brief验证VLAN创建状态show interface trunk检查Trunk协商是否成功当端口不UP时尝试shutdown/no shutdown重置三层交换机的优势在于可以同时处理二层转发和三层路由。我们通过SVISwitch Virtual Interface实现跨VLAN通信interface Vlan10 ip address 192.168.10.1 255.255.255.0 no shutdown exit interface Vlan20 ip address 192.168.20.1 255.255.255.0 no shutdown exit interface Vlan30 ip address 192.168.30.1 255.255.255.0 no shutdown exit ! 启用IP路由功能 ip routing3. 访问控制与资源隔离策略单纯实现VLAN互通只是第一步精细化的访问控制才是企业网络的核心需求。我们在3560上配置了ACL访问控制列表! 允许技术部访问服务器区的SSH和HTTP access-list 110 permit tcp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 eq 22 access-list 110 permit tcp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 eq 80 ! 限制销售部只能访问ERP系统的特定端口 access-list 120 permit tcp 192.168.10.0 0.0.0.255 192.168.30.5 0.0.0.0 eq 8080 ! 应用ACL到VLAN接口 interface Vlan10 ip access-group 120 in exit interface Vlan20 ip access-group 110 in exit安全增强措施启用端口安全防止MAC地址泛洪interface range fastEthernet 0/1-24 switchport port-security switchport port-security maximum 2 switchport port-security violation restrict exit配置DHCP Snooping抵御中间人攻击ip dhcp snooping ip dhcp snooping vlan 10,20 interface gigabitEthernet 0/1 ip dhcp snooping trust exit4. 运维监控与配置管理网络改造完成后持续的运维保障同样重要。这几个命令成为我的日常工具关键监控命令show processes cpu sorted- 查看CPU使用率峰值show interface counters errors- 检查端口错误包show mac address-table dynamic vlan 10- 跟踪销售部设备连接情况自动化备份方案#!/bin/bash DATE$(date %Y%m%d) tftp 192.168.30.100 EOF put running-config $DATE-sw3560.cfg quit EOF将脚本添加到交换机的kron调度器kron policy-list Backup cli write cli copy running-config tftp://192.168.30.100/sw3560-$NODE-$DATE.cfg exit kron occurrence DailyBackup at 23:00 recurring policy-list Backup exit在实施过程中有个意外收获3560的NetFlow功能可以帮助分析部门间的流量模式。通过配置出口端口的NetFlow统计我们发现技术部在下午三点总会产生视频会议流量高峰据此优化了QoS策略。