企業(yè)內(nèi)網(wǎng)一般都會劃分多個VLAN。劃分VLAN可以提高內(nèi)網(wǎng)安全性，而且更加便于管理。比如：有線和無線處于不同的網(wǎng)段，不允許無線設(shè)備訪問企業(yè)內(nèi)網(wǎng)，這樣可以保護內(nèi)部信息安全；而且可以對不同網(wǎng)段配置不同的上網(wǎng)策略和流控策略。而且劃分VLAN可以分割廣播域，避免廣播風暴。VLAN的劃分一般有如下三種方法：

1. 通過三層交換機來劃分VLAN

如上圖。三層交換機可以支持VLAN劃分，以及相應(yīng)的VLAN權(quán)限設(shè)置。

2. 直接在網(wǎng)關(guān)上劃分VLAN

基于端口的VLAN是最簡單的VLAN劃分方式。如下圖，直接在WSG網(wǎng)關(guān)上劃分多個VLAN，然后接二層交換機即可實現(xiàn)劃分VLAN的效果。

3. 802.1Q的VLAN劃分方案

WSG網(wǎng)關(guān)和二層交換機的trunk口連接，組建802.1Q的VLAN。這也是VLAN組建的一個重要方式。

4. 配置策略禁止VLAN之間的互訪

通過WSG的“防火墻策略”，可以管控VLAN之間的互訪。如下圖，禁止無線網(wǎng)段192.168.2.x和有線網(wǎng)段192.168.1.x之間的通訊，在“內(nèi)網(wǎng)”的“轉(zhuǎn)發(fā)”方向設(shè)置阻止的規(guī)則即可。

局域網(wǎng)劃分好VLAN后，還需要合理的設(shè)置VLAN互訪規(guī)則，才可以更有效的提高內(nèi)網(wǎng)安全系數(shù)。一般而言可以參考如下規(guī)則：

1. 非服務(wù)器網(wǎng)段之間禁止互訪。

2. 服務(wù)器網(wǎng)段允許其他VLAN訪問。
   

3. 服務(wù)器網(wǎng)段還需要入侵檢測等安全防護手段。

4. 每個網(wǎng)段的終端數(shù)量最好控制在200以內(nèi)。