企業(yè)內(nèi)網(wǎng)一般都會(huì)劃分多個(gè)VLAN。劃分VLAN可以提高內(nèi)網(wǎng)安全性，而且更加便于管理。比如：有線和無(wú)線處于不同的網(wǎng)段，不允許無(wú)線設(shè)備訪問(wèn)企業(yè)內(nèi)網(wǎng)，這樣可以保護(hù)內(nèi)部信息安全；而且可以對(duì)不同網(wǎng)段配置不同的上網(wǎng)策略和流控策略。而且劃分VLAN可以分割廣播域，避免廣播風(fēng)暴。VLAN的劃分一般有如下三種方法：

1. 通過(guò)三層交換機(jī)來(lái)劃分VLAN

如上圖。三層交換機(jī)可以支持VLAN劃分，以及相應(yīng)的VLAN權(quán)限設(shè)置。

2. 直接在網(wǎng)關(guān)上劃分VLAN

基于端口的VLAN是最簡(jiǎn)單的VLAN劃分方式。如下圖，直接在WSG網(wǎng)關(guān)上劃分多個(gè)VLAN，然后接二層交換機(jī)即可實(shí)現(xiàn)劃分VLAN的效果。

3. 802.1Q的VLAN劃分方案

WSG網(wǎng)關(guān)和二層交換機(jī)的trunk口連接，組建802.1Q的VLAN。這也是VLAN組建的一個(gè)重要方式。

4. 配置策略禁止VLAN之間的互訪

通過(guò)WSG的“防火墻策略”，可以管控VLAN之間的互訪。如下圖，禁止無(wú)線網(wǎng)段192.168.2.x和有線網(wǎng)段192.168.1.x之間的通訊，在“內(nèi)網(wǎng)”的“轉(zhuǎn)發(fā)”方向設(shè)置阻止的規(guī)則即可。

局域網(wǎng)劃分好VLAN后，還需要合理的設(shè)置VLAN互訪規(guī)則，才可以更有效的提高內(nèi)網(wǎng)安全系數(shù)。一般而言可以參考如下規(guī)則：

1. 非服務(wù)器網(wǎng)段之間禁止互訪。

2. 服務(wù)器網(wǎng)段允許其他VLAN訪問(wèn)。
   

3. 服務(wù)器網(wǎng)段還需要入侵檢測(cè)等安全防護(hù)手段。

4. 每個(gè)網(wǎng)段的終端數(shù)量最好控制在200以內(nèi)。