1、客户的IT是这样划分VLAN的：

VLAN 10：192.168.10.0/24

VLAN 20：192.168.20.0/24

VLAN 30：192.168.30.0/24

VLAN 40：192.168.40.0/24

VLAN 50：192.168.50.0/24

2、后来他们开了个分厂，于是他又依葫芦画瓢，把分厂的VLAN划成这样了：

VLAN 60：192.168.60.0/24

VLAN 70：192.168.70.0/24

VLAN 80：192.168.80.0/24

看到这里，很多人都会说：这很正常啊，能有啥问题呢？很多印刷成册的专业书本，也都是这么写的啊，笔者是在忽悠咱们吗？

乍一看，是没什么问题，可是再想一下，这样的VLAN，你没办法用子网掩码的长度来概括它们。

3、问题来了，老板说，总厂与分厂之间的网络要贯通，生产数据要共享、文件服务器要互访，按照现有的VLAN，两端防火墙配置了IPSEC，并且成功连接之后，他要写很多条安全策略、静态路由、策略路由等等等等

结果忙中出错，没把总厂的某个WIFI段写进安全策略，导致这个网段无法访问分厂的ERP服务器，要不是请求我们一起排查，5个小时都不够，晚上还得吃力不讨好的加班，被埋怨还算是轻的了。

实例如下：

1、总厂VLAN划分如下：

VLAN 10：192.168.10.0/24

VLAN 11：192.168.11.0/24

VLAN 12：192.168.12.0/24

VLAN 13：192.168.13.0/24

VLAN 14：192.168.14.0/24

乍眼一看，这不是一回事么？跟前面的有啥区别？其实不然，这5个VLAN ，在关键时刻，可以缩写成一条：192.168.8.0/21 ，注意，子网掩码长度为21，该子网可用IP地址从192.168.8.1到192.168.15.254为止，如果有需要的话，可以随时为总厂增加三个VLAN：192.168.8.0/24、192.168.9.0/24、192.168.15.0/24，如果还不够，可以改成192.168.8.0/20来获得更多的VLAN。

2、分厂的VLAN划分如下：

VLAN 125：192.168.125.0/24

VLAN 126：192.168.126.0/24

VLAN 127：192.168.127.0/24

同样道理，这3个VLAN，在关键时刻，可以缩写成一条：192.168.124.0/22，子网掩码长度为22，该子网可用IP地址从192.168.124.1到192.168.127.254为止，如果有需要的话，可以随时为分厂增加一个VLAN：192.168.124.0/24，如果不够用，可以改成192.168.124.0/21来获得更多的VLAN。

3、这么做的好处，是显而易见的，比如：上面图片中的5条静态路由，直接就可以概括成一条了，把目的地址/掩码写成：192.168.8.0/255.255.248.0就可以了 。当然还不止于此，安全策略也同样变得简单了

4、配置加密报文，也是如此，源地址和目的地址，都是只用一条就简明的概括了

5、两端VLAN互访，需要配置为不做策略路由，看看，写出来多么简明扼要啊

以上文章转自 今日头条 IT狂人日志