号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
你刚入职,接手一张园区网拓扑,打开交换机一看:
- VLAN10:财务部
- VLAN20:技术部
- VLAN30:运营部
- VLAN40:总经理办公室
- VLAN50:领导专用区
是不是很眼熟?
再问一句:“财务打印机和财务电脑用的是一个VLAN吗?”你回答不上来了。
再往深了问:“一个员工如果参与两个项目,是不是就要跑到两个VLAN去?”答案是:你可能已经踩坑了。
这就是——按部门划VLAN最常见的后遗症。
一、先说结论
绝大多数企业应该按业务划VLAN。
为什么这么说?我们一点点展开。
二、按“部门”划VLAN:简单粗暴,但难管难扩展
这是最常见的新手思路:
★“我们有5个部门,那就建5个VLAN呗!”
优点是显而易见的:
- 易理解:网线通到哪个部门,挂哪个VLAN
- 配置简单:一个部门配一条 VLAN 接口,地址段一划就完事了
- 排障初期容易入门
但问题也不少:
1. 跨部门协作就麻了
比如技术部负责开发财务系统,财务和技术要互相访问。 现在它们处于不同 VLAN,你只能靠 ACL 或三层策略手动开白名单。
业务越复杂,越多跨部门协作,ACL 配置就越来越庞大,越来越难维护。
2. 同一业务资源分散在多个 VLAN,安全策略难统一
举例:
- 财务系统服务器放在 VLAN200
- 财务人员在 VLAN10(财务部)
- 出纳打印机在 VLAN60(行政部)
要保证这三个角色能互通,你要在三层上搞非常复杂的互访策略。
3. 移动办公/多项目参与者频繁切换网络策略,策略极易失效
现在一个员工参与多个项目,或者用 BYOD(自带设备)登录不同系统, 你就很难再靠“部门-VLAN映射”来控制访问权限了。
三、按“业务”划VLAN:更贴合应用,更容易做统一策略控制
这才是现代企业网络推荐的划分方式,尤其是做零信任、微分段、动态接入控制这些思路时,业务维度才是最根本的隔离逻辑。
举例:
1. 安全性更强:一刀切隔离,默认不通
- 技术人员默认不能访问财务系统(即使是同一部门)
- 摄像头设备根本不通外网,也不能访问服务器(别让入侵者借壳攻击)
2. 业务迁移、重构更灵活
如果你将财务系统迁到云上,只需调整 VLAN100 出口策略即可 不必动部门结构、用户 VLAN,不容易牵一发动全身
3. 方便部署统一访问控制策略
- 财务系统 → 只开放 TCP 443
- 视频系统 → 只允许 554、8000 等端口
- 测试区 → 禁止访问互联网
基于 VLAN 的南北向、东西向流量控制,一目了然
四、实际部署中,还有这些常见做法(建议看)
除了“按部门”与“按业务”两大方向外,还有一些常见混合思路:
混合划分:核心系统按业务划,普通办公按区域划
比如:
- 办公区域(接入交换机):按楼层/房间划 VLAN
- 关键系统区(机房、IDC):按业务系统细分 VLAN
- 无线终端:根据 SSID 配 VLAN(访客网、办公网、投屏网分开)
搭配 NAC / AD 动态分 VLAN
更高级点的企业会:
- 用户接入后,通过 802.1x + Radius 认证
- 根据用户身份动态分配 VLAN(不固定端口-VLAN)
- 做到了“同一个端口,不同人插上去,走不同 VLAN” 这就叫动态 VLAN 分配,大厂/医院/高校都很常用
五、那是不是说,按部门划VLAN完全错了?
也不是。
不是所有网络都要“上来就按业务划”,场景不同,策略也要跟着变。
来看看适合按“部门/区域”划VLAN的几种典型情况:
场景1:小型企业网络,业务系统没复杂到“需要隔离”
比如一个不到50人的小公司:
- 服务器全是 SaaS,用不着自己维护
- 财务就是用用金蝶云、发发票
- 网络只跑网页、文件共享、微信办公软件
→ 这个时候,按楼层、按部门划 VLAN,没问题。
不用上来搞复杂结构,否则运维成本大于好处。
场景2:接入交换机分布区域广、楼宇复杂,划分以“接入点”为主
比如你是医院网络、校园网络、厂区网络:
- 10栋楼,每栋楼 5 层
- 接入交换机部署在各个楼层弱电间
- 终端设备数量大,跨楼层基本不存在
→ 这时候很多人会按“每层楼一个 VLAN”,便于管理 IP 地址段、查接口、查端口使用情况。
这种按接入区域划分,是物理位置逻辑,并不矛盾。
场景3:网络初期部署,还未明确业务系统结构
公司刚上线,还没跑 ERP、MES、CRM、视频会议等系统:
- IT 环境还在摸索中
- 核心系统还没成型
- 只是临时办公用网络
→ 你可以先按“部门+楼层”过渡,后续再通过 VLAN 迁移或 ACL 策略做分段。
六、划 VLAN 有个大坑:别划太多!
有新手一听“按业务划更好”,直接建了:
- VLAN10:财务业务
- VLAN11:财务PC
- VLAN12:财务打印机
- VLAN13:财务临时访客
- VLAN14:财务组长专用……
这就划疯了。
过多的 VLAN 带来什么问题?
- VLAN 数量一多,三层交换配置就复杂(interface vlanif 10 到 vlanif 200 一大堆)
- ACL 表项目爆炸,每条业务都得配互访规则,极其容易写错
- 网关接口数量上不封顶,CPU/TCAM压力变大
- IP 地址段管理难度翻倍,DHCP 配置容易出错
- 排查起来麻烦,现场搞不清谁在哪个 VLAN、属于哪个系统
七、那到底怎么选划分方式?这3个判断最靠谱
1. 网络规模
- <100 台终端?直接按区域/楼层划
★300 台以上,有多系统并发、访问权限复杂的?建议按业务划
2. 管理诉求
- 想清晰看到业务流量来源,做精细流控、访问控制?→ 按业务
- 只是简单办公接入,只求稳定运行?→ 按区域或部门
3. 业务变化频率
- 系统经常更新、上线、合并、迁移 → 按业务更适应未来变化
- 业务变化不大,只是办公 → 按部门、按楼层省心省配置
八、推荐组合模型(老网工实战)
接入层:按楼层、区域划 VLAN,便于部署物理布线、现场定位问题
汇聚层:将接入 VLAN 与业务 VLAN做映射分流,通过 VLAN重标、策略引导或动态分配
核心层:重点做业务系统 VLAN 路由、ACL控制、QoS策略、NAT/IPSec等统一出口策略
也就是说:
- 实体线缆 → 区域逻辑
- 用户身份 + 接入方式 → 动态 VLAN
- 业务访问控制 → 按业务 VLAN 策略处理
这就是“物理按区域,逻辑按业务”的划分理念。
最后一句话总结:
VLAN 划分,不是单选题,而是“安全”、“管理”、“扩展性”这三者的博弈。
能统一入口、统一标准、统一策略、方便排查的,就是好 VLAN 设计。
原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
扫一扫
188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
