虛擬局域網(wǎng)要點

1、虛擬局域網(wǎng)虛擬局域網(wǎng)VLAN( Virtual Local Area Network)的中文名為虛擬局域網(wǎng)。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要 應(yīng)用于交換機和路由器中，但主流應(yīng)用還是在交換機之中。但又不是所有交換機都具有此功 能，只有VLAN協(xié)議的第三層以上交換機才具有此功能，這一點可以查看相應(yīng)交換機的說明書即可得知。查看精彩圖冊目錄什么是VLANVLAN的目的VLAN的優(yōu)點一1. 廣播風暴防范_2. 安全3. 成本降低4性能提高5. 提高IT員工效率6. 應(yīng)用管理7增加網(wǎng)絡(luò)連接的靈活性組建VLAN的條件VLAN的劃分1.

2、 根據(jù)端口來劃分_VLAN2. 根據(jù) MAC地址劃分 VLAN3. 根據(jù)網(wǎng)絡(luò)層劃分VLAN4. 根據(jù)IP組播劃分VLAN5. 基于規(guī)則的VLAN6. 按用戶劃分VLANVLAN的標準劃分VLAN的基本策略1. 基于端口2. 基于MAC地址3. 基于路由VLAN技術(shù)簡單談VLAN的定義及特點VLAN的分類及優(yōu)缺點1. 1.基于端口的 VLAN2. 多交換機端口定義 VLAN3. 單交換機端口定義 VLAN4. 2.基于MACM址的VLAN5. 3.基于路由的 VLAN6. 4.基于策略的 VLAN 常見的應(yīng)用VLAN1. 基于端口的VLAN優(yōu)缺點2. 靜態(tài)VLAN的優(yōu)缺點3. 動態(tài)VLAN的優(yōu)缺

3、點VLAN發(fā)展趨勢VLAN的基本配置命令VLAN的劃分實例via n_拓撲試驗_1. 1.實驗?zāi)康?. 2.實驗拓撲3. 3.實驗步驟4. 4. 實驗調(diào)試互聯(lián)方式 展開什么是VLANVLAN的目的VLAN的優(yōu)點1. 廣播風暴防范_2. 安全3. 成本降彳氐4. 性能提高5. 提高IT員工效率6. 應(yīng)用管理7增加網(wǎng)絡(luò)連接的靈活性組建VLAN!勺條件VLAN的劃分1. 根據(jù)端口來劃分VLAN2. 根據(jù)MAC地址劃分VLAN3. 根據(jù)網(wǎng)絡(luò)層劃分VLAN4. 根據(jù)IP組播劃分VLAN5. 基于規(guī)則的VLAN6. 按用戶劃分VLANVLAN的標準劃分VLAN勺基本策略1. 基于端口2. 基于MAC地址3

4、. 基于路由VLAN技術(shù)簡單談VLAN的定義及特點VLAN的分類及優(yōu)缺點1. 1.基于端口的 VLAN2. 多交換機端口定義_VLAN3. 單交換機端口定義 VLAN4. 2.基于MACM址的VLAN5. 3.基于路由的 VLAN6. 4.基于策略的 VLAN常見的應(yīng)用VLAN1. 基于端口的VLAN優(yōu)缺點2. 靜態(tài)VLAN的優(yōu)缺點3. 動態(tài)VLAN的優(yōu)缺點VLAN發(fā)展趨勢VLAN的基本配置命令VLAN的劃分實例vlan拓撲試驗1. 1.實驗?zāi)康?. 2.實驗拓撲3. 3.實驗步驟4. 4.實驗調(diào)試互聯(lián)方式 展開編輯本段什么是 VLANIEEE于1999年頒布了用于標準化 VLAN實現(xiàn)方案的8

5、02.1Q協(xié)議標準草案。VLAN技 術(shù)的出現(xiàn)，使得管理員根據(jù)Vian 網(wǎng)卡 Intel82573實際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每二LAN有著相同的屬性。VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的VLAN內(nèi)的各個工作站沒有LAN網(wǎng)段。由VLA N的特點可VLAN中，從而有助于控制流量、由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個 限制在同一個物理范圍中，即這些工作站可以在不同物理 知，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他 減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。交換技術(shù)的發(fā)展，也加快了新的交換技術(shù)（VLAN的應(yīng)用速

6、度。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò) VLAN網(wǎng)段，可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個物理的網(wǎng)段就是一個廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址（MAC地址）組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個VLA N中的工作站，不論它們實際與哪個交換機連接，它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有 VLA N中的成員才能聽到，而不會傳輸?shù)狡渌腣LA N中去，這樣可以很好的控制不必要的廣播風

7、暴的產(chǎn)生。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過配置VLA N之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機是根據(jù)交換機的端口來劃分 VLA N的。所以，用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動辦公，不論他在 何處接入交換網(wǎng)絡(luò)，他都可以與VLA N內(nèi)其他用戶自如通訊。VLA N網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、服務(wù)器、集線器、網(wǎng)絡(luò)上行主干等等。VLA N除了能將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使 網(wǎng)絡(luò)的拓撲結(jié)

8、構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點之 間的互相訪問。VLA N是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基 礎(chǔ)上增加了 VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用 戶互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并 能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。編輯本段 VLAN的目的VLAN （Virtual Local Area Network，虛擬局域網(wǎng)）的目的非常的多。通過認識VLAN的本質(zhì)，將可以了解到其用處究竟在哪些地方。第一，要知道192.168.1.2/30 和192.168 26/

9、30 都屬于不同的網(wǎng)段，都必須要通過路由器才能進行訪問，凡是不同網(wǎng)段間要互相訪問，都必須通過路由器。第二，VLA N本質(zhì)就是指一個網(wǎng)段，之所以叫做虛擬的局域網(wǎng)，是因為它是在虛擬 的路由器的接口下創(chuàng)建的網(wǎng)段。下面，給予說明。比如一個路由器只有一個用于終端連接的端口（當然這種情況基 本不可能發(fā)生，只不過簡化舉例），這個端口被分配了192.168.1.1/24 的地址。然而由于公司有兩個部門，一個銷售部，一個企劃部，每個部門要求單獨成為一個子網(wǎng)，有單獨的服務(wù)器。那么當然可以劃分為192.168.1.0-127/25、192.168.1.128-255/25。但是路由器的物理端口只應(yīng)該可以分配一個IP

10、地址，那怎樣來區(qū)分不同網(wǎng)段了？這就可以在這個物理端口下，創(chuàng)建兩個子接口-邏輯接口實現(xiàn)。比如邏輯接口 F0/0.1就分配IP地址192.168.1.1/25 ，用于銷售部，而 F0/0.2就 分配IP地址192.168.1.129/25，用于企劃部。這樣就等于用一個物理端口確實現(xiàn)了兩個邏輯接口的功能，這樣就將原本只能劃分一個網(wǎng)段的情形，擴展到了可以劃分2個或者更多個網(wǎng)段的情形。這些網(wǎng)段因為是在邏輯接口下創(chuàng)建的，所以稱之為虛擬局域網(wǎng)VLAN這是在路由器的層次上闡述了VLA N的目的。第三，將在交換機的層次上闡述VLAN的目的。在現(xiàn)實中，由于很多原因必須劃分出不同網(wǎng)段。比如就簡單的只有銷售部和企劃部

11、兩個網(wǎng)段。那么可以簡單的將銷售部全部接入一個交換機，然后接入路由器的一個端口，把企劃部全部接入一個交換機，然后接入一個路由器端口。這種情況是LAN.然而正如上面所說，如果路由器就一個用于終端的接口，那么這兩個交換機就必須接入這同一個路由器的接口，這個時候，如果還想保持原來的網(wǎng)段的劃分，那么就必須使用路由器的 子接口，創(chuàng)建 VLAN.同樣，比如兩個交換機，如果你想要每個交換機上的端口都分別屬于不同的網(wǎng)段， 那么你有幾個網(wǎng)段，就提供幾個路由器的接口，這個時候，雖然在路由器的物理接口上 可以定義這個接口可以連接哪個網(wǎng)段，但是在交換機的層次上，它并不能區(qū)分哪個端口屬于哪個網(wǎng)段，那么唯一實現(xiàn)能區(qū)分的方法

12、，就是劃分VLAN使用了 VLAN就能區(qū)分出某個交換機端口的終端是屬于哪個網(wǎng)段的。綜上，當一個交換機上的所有端口中有至少一個端口屬于不同網(wǎng)段的時候，當路由器的一個物理端口要連接 2個或者以上的網(wǎng)段的時候，就是VLAN發(fā)揮作用的時候，這就是 VLAN的目的。編輯本段VLAN的優(yōu)點廣播風暴防范限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個 VLAN可減少參與廣播風暴的設(shè)備數(shù)量。LAN分段可以防止廣播風暴波及整個網(wǎng)絡(luò)。VLA N可以提供建立防火墻的機制，防止交換網(wǎng)絡(luò)的過量廣播。使用 VLAN可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機，在一個VLA N中的廣

13、播不會送到 VLAN之外。同樣，相鄰的端口不會收到其他VLA N產(chǎn)生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。安全增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它 VLA N內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由 器或三層交換機等三層設(shè)備。成本降低成本高昂的網(wǎng)絡(luò)升級需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。性能提高將第二層平面網(wǎng)絡(luò)劃分為多個邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量 并提高性能。提高IT員工效

14、率VLA N為網(wǎng)絡(luò)管理帶來了方便，因為有相似網(wǎng)絡(luò)需求的用戶將共享同一個VLAN應(yīng)用管理VLAN將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持商業(yè)需求或地域上的需求。通過職能 劃分，項目管理或特殊應(yīng)用的處理都變得十分方便，例如可以輕松管理教師的電子教學開發(fā)平臺。此外，也很容易確定升級網(wǎng)絡(luò)服務(wù)的影響范圍。增加網(wǎng)絡(luò)連接的靈活性借助VLAN技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬 的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN樣方便、靈活、有效。VLA N可以降低移動或變更工作站地理位置的管 理費用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后,這部分管理費用大大降低。編輯本段組建VLAN的條件VL

15、A N是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLA N技術(shù)的網(wǎng)絡(luò)設(shè)備。當網(wǎng)絡(luò)中的不同 VLA N間進行相互通信時，需要路由的支持，這 時就需要增加路由設(shè)備一一要實現(xiàn)路由功能，既可采用路由器，也可采用三層交換機來完成，同時還嚴格限制了用戶數(shù)量。編輯本段VLAN的劃分根據(jù)端口來劃分 VLAN許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設(shè)定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網(wǎng) AAA同一交換機的6，7，8端口組成虛擬網(wǎng) BBB這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升 級。但是，這種劃分模式將虛擬網(wǎng)限制在了一

16、臺交換機上。第二代端口 VLAN技術(shù)允許跨越多個交換機的多個不同端口劃分VLAN不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)。以交換機端口來劃分網(wǎng)絡(luò)成員，其配置過程簡單明了。因此，從目前來看，這種根 據(jù)端口來劃分 VLAN的方式仍然是最常用的一種方式。根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的 MAC地址來劃分，即對每個 MAC地址的主 機都配置它屬于哪個組。這種劃分VLAN方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLA N不用重新配置，所以，可以認為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN這種方法的缺點是初始化時，所有的用戶都必

17、須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方 法也導致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的 網(wǎng)卡可能經(jīng)常更換，這樣，VLA N就必須不停地配置。根據(jù)網(wǎng)絡(luò)層劃分 VLAN這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型（如果支持多協(xié)議）劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN而且可以根據(jù)協(xié)議類型來劃分 VLAN,這對網(wǎng)絡(luò)管理者來

18、說很重要，還有，這種方法不需要附 加的幀標簽來識別 VLAN這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時 間的（相對于前面兩種方法），一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng) 幀頭，但要讓芯片能檢查 IP幀頭，需要更高的技術(shù)，同時也更費時。當然，這與各個 廠商的實現(xiàn)方法有關(guān)。根據(jù)IP組播劃分VLANIP組播實際上也是一種 VLAN的定義，即認為一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通 過路由器進行擴展，當然這種方法不適合局域網(wǎng)，主要是效率不高?；谝?guī)則的VLA

19、N也稱為基于策略的 VLAN這是最靈活的 VLAN劃分方法，具有自動配置的能力，能 夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟 件中確定劃分 VLAN的規(guī)則（或?qū)傩裕敲串斠粋€站點加入網(wǎng)絡(luò)中時， 將會被“感知”， 并被自動地包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。采用這種方法，整個網(wǎng)絡(luò)可以非常方便地通過路由器擴展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個端口上的主機分別屬于不同的VLAN,這在交換機與共享式Hub共存的環(huán)境中顯得尤為重要。自動配置VLA N時，交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址，然后軟件自動將這個端口分配給

20、一個由IP子網(wǎng)映射成的 VLAN按用戶劃分VLAN基于用戶定義、非用戶授權(quán)來劃分VLAN,是指為了適應(yīng)特別的 VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計 VLAN而且可以讓非 VLAN群體用戶訪問 VLAN 但是需要提供用戶密碼，在得到 VLA N管理的認證后才可以加入一個 VLAN*以上劃分 VLAN的方式中，基于端口的 VLAN端口方式建立在物理層上;MAC方式建立在數(shù)據(jù)鏈路層上；網(wǎng)絡(luò)層和 IP廣播方式建立在第三層上。編輯本段VLAN的標準對VLAN的標準，我們只是介紹兩種比較通用的標準，當然也有一些公司具有自己 的標準，比如 Cisco公司的ISL標準，雖然不是一種大眾化的標

21、準，但是由于CiscoCatalyst交換機的大量使用，ISL也成為一種不是標準的標準了。 802.10VLAN 標準在1995年，Cisco公司提倡使用 IEEE802.10協(xié)議。在此之前，IEEE802.10曾經(jīng)在 全球范圍內(nèi)作為 VLAN安全性的同一規(guī)范。Cisco公司試圖采用優(yōu)化后的 802.10幀格式 在網(wǎng)絡(luò)上傳輸 FramTagging模式中所必須的 VLAN標簽。然而，大多數(shù) 802委員會的成 員都反對推廣 802.10。因為，該協(xié)議是基于 FrameTagging方式的。 802.1Q在1996年3月，IEEE802.1Internetworking委員會結(jié)束了對 VLAN初期

22、標準的修訂工作。新出臺的標準進一步完善了VLAN的體系結(jié)構(gòu)，統(tǒng)一了Frame-Tagging方式中不同廠商的標簽格式， 并制定了 VLAN標準在未來一段時間內(nèi)的發(fā)展方向，形成的802.1Q的標準在業(yè)界獲得了廣泛的推廣。它成為VLAN史上的一塊里程碑。802.1Q的出現(xiàn)打破了虛擬網(wǎng)依賴于單一廠商的僵局，從一個側(cè)面推動了VLA N的迅速發(fā)展。另外，來自市場的壓力使各大網(wǎng)絡(luò)廠商立刻將新標準融合到他們各自的產(chǎn)品中。802.1q幀格式： Cisco ISL 標簽ISL （Inter-Switch Link）是Cisco公司的專有圭寸裝方式，因此只能在Cisco的設(shè)備上支持。ISL是一個在交換機之間、交換

23、機與路由器之間及交換機與服務(wù)器之間傳遞 多個VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機直接的端口配置ISL封裝，即可跨越交換機進行整個網(wǎng)絡(luò)的VLAN分配和配置。編輯本段劃分VLAN的基本策略從技術(shù)角度講，VLA N的劃分可依據(jù)不同原則，一般有以下三種劃分方法：基于端口這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可，不用 考慮該端口所連接的設(shè)備。基于MAC地址MAC地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的。MAC地址由12位16進制數(shù)表示，前 6位為網(wǎng)卡的廠商標

24、識（OUI），后6位為 網(wǎng)卡標識（NIC）。網(wǎng)絡(luò)管理員可按 MACM址把一些站點劃分為一個邏輯子網(wǎng)。 基于路由路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換 （即三層交換機）該方式允許一個 VLAN跨越多個交換機，或一個端口位于多個VLA N中。就目前來說，對于 VLAN的劃分主要采取上述第1、3種方式，第2種方式為輔助性的方案。編輯本段VLAN技術(shù)簡單談局域網(wǎng)的發(fā)展是 VLAN產(chǎn)生的基礎(chǔ)，所以在介紹 VLAN之前，我們先來了解一下局域 網(wǎng)的有關(guān)知識。局域網(wǎng)（LAN通常是一個單獨的廣播域，主要由Hub、網(wǎng)橋或交換機等網(wǎng)絡(luò)設(shè)備同一個局域網(wǎng)之內(nèi)的網(wǎng)絡(luò)節(jié)點之間可以直接通信，而處于不同局域網(wǎng)段

25、的設(shè)備之間的通信則必須經(jīng)過路由器才能通信。圖1所示即為使用路由器構(gòu)建的典型的局域網(wǎng)環(huán)境。隨著網(wǎng)絡(luò)的不斷擴展，接入設(shè)備逐漸增多，網(wǎng)絡(luò)結(jié)構(gòu)也日趨復雜，必須使用更多的 路由器才能將不同的用戶劃分到各自的廣播域中，在不同的局域網(wǎng)之間提供網(wǎng)絡(luò)互聯(lián)。但這樣做存在兩個缺陷：首先，隨著網(wǎng)絡(luò)中路由器數(shù)量的增多，網(wǎng)絡(luò)延時逐漸加長，從而導致網(wǎng)絡(luò)數(shù)據(jù)傳輸 速度的下降。這主要是因為數(shù)據(jù)在從一個局域網(wǎng)傳遞到另一個局域網(wǎng)時，必須經(jīng)過路由器的路由操作：路由器根據(jù)數(shù)據(jù)包中的相應(yīng)信息確定數(shù)據(jù)包的目標地址，然后再選擇合適的路徑轉(zhuǎn)發(fā)出去。其次，用戶是按照它們的物理連接被自然地劃分到不同的用戶組（廣播域）中。這 種分割方式并不是根據(jù)工

26、作組中所有用戶的共同需要和帶寬的需求來進行的。因此，盡管不同的工作組或部門對帶寬的需求有很大的差異，但它們卻被機械地劃分到同一個廣播域中爭用相同的帶寬。編輯本段VLAN的定義及特點虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的 限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們 在同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLA N是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域， VLAN之間的通信是通過第 3 層的路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較,VLAN技術(shù)更加靈活，它具有以下優(yōu)點：網(wǎng)絡(luò)設(shè)備

27、的移動、添加和修改的管理開銷減少；可以控制廣播活動：可提高網(wǎng)絡(luò)的安全性。編輯本段VLAN的分類及優(yōu)缺點定義VLAN成員的方法有很多，由此也就分成了幾種不同類型的VLAN1. 基于端口的 VLAN基于端口的 VLAN的劃分是最簡單、 有效的VLAN戈U分方法，它按照局域網(wǎng)交換機端口來定義VLAN成員。VLAN從邏輯上把局域網(wǎng)交換機的端口劃分開來，從而把終端系統(tǒng)劃分為不同的部分， 各部分相對獨立， 在功能上模擬了傳統(tǒng)的局域網(wǎng)。基于端口的VLAN又分為在單交換機端口和多交換機端口定義VLAN兩種情況：多交換機端口定義 VLAN如圖3所示，交換機1的1、2、3端口和交換機 2的4、5、6端口組成 VL

28、AN1,交換機1的4、5、6、7、8端口和交換機 2的1、2、3、7、8端口組成 VLAN2單交換機端口定義 VLAN女口圖2所示，交換機的1、2、6、7、8端口組成 VLAN1, 3、4、5端口組成了 VLAN2 這種VLAN只支持一個交換機?；诙丝诘腣LA N的劃分簡單、有效，但其缺點是當用戶從一個端口移動到另一個 端口時，網(wǎng)絡(luò)管理員必須對VLAN成員進行重新配置。2. 基于 MAC地址的 VLAN基于MAC地址的VLAN是用終端系統(tǒng)的 MAC地址定義的 VLAN MAC地址其實就是指 網(wǎng)卡的標識符，每一塊網(wǎng)卡的MAC*址都是唯一的。 這種方法允許工作站移動到網(wǎng)絡(luò)的其他物理網(wǎng)段，而自動保

29、持原來的VLAN成員資格。在網(wǎng)絡(luò)規(guī)模較小時，該方案可以說是一個好的方法，但隨著網(wǎng)絡(luò)規(guī)模的擴大，網(wǎng)絡(luò)設(shè)備、用戶的增加，貝U會在很大程度上 加大管理的難度。3. 基于路由的VLAN路由協(xié)議工作在 7層協(xié)議的第3層一網(wǎng)絡(luò)層，比如基于IP和IPX的路由協(xié)議，這類設(shè)備包括路由器和路由交換機。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。在按IP劃分的VLAN中，很容易實現(xiàn)路由，即將交換功能和路由功 能融合在VLAN交換機中。這種方式既達到了作為VLAN控制廣播風暴的最基本目的，又不需要外接路由器。但這種方式對VLAN成員之間的通信速度不是很理想。4. 基于策略的VLAN基于策略的V

30、LA N的劃分是一種比較有效而直接的方式，主要取決于在VLA N的劃分中所采用的策略。編輯本段常見的應(yīng)用 VLANPort vian 與 Tag vianport vlan基于端口的 VLAN,處于同一 VLAN端口之間才能相互通信。tag vlan基于 IEEE 802.1Q (vlan 標準)，用 VID (vlan id )來劃分不同的 VLAN基于端口的VLAN優(yōu)缺點基于端口的VLAN簡單的講就是交換機的一個端口就是一個虛擬局域網(wǎng)，凡是連接在這個端口上的主機屬于同個虛擬局域網(wǎng)之中?；诙丝诘腣LA N的優(yōu)點為：由于一個端口就是一個獨立的局域網(wǎng)。所以，當數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)臅r候，交換機就不

31、會把數(shù) 據(jù)包轉(zhuǎn)發(fā)給其他的端口，如果用戶需要將數(shù)據(jù)發(fā)送到其他的虛擬局域網(wǎng)中，就需要先由交換機發(fā)往路由器再由路由器發(fā)往其他端口：同時以端口為中心的VLA N中完全由用戶自由支配端口，無形之中就更利于管理。但是美中不足的是以端口為中心的VLAN當用戶位置改變時， 往往也伴隨著用戶位置的改變而對網(wǎng)線也要進行遷移。如果不會經(jīng)常移動客戶機的話，米用這一方式倒也不錯。靜態(tài)VLAN的優(yōu)缺點可以說靜態(tài) VLAN與基于端口的 VLAN有一絲相似之處， 用戶可在交換機上讓一個或 多個交換機端口形成一個略大一些的虛擬局域網(wǎng)。從一定意義上講靜態(tài)虛擬局域網(wǎng)在某些程度上彌補了基于端口的虛擬局域網(wǎng)的缺點。缺陷方面，靜態(tài)VLA

32、N雖說是可以使多個端口的設(shè)置成一個虛擬局域網(wǎng)，假如兩個不同端口、不同虛擬局域網(wǎng)的人員聚到一起協(xié)商一些事情，這時候問題就出現(xiàn)了，因為端口及虛擬局域網(wǎng)的不一致往往就會直接導致某一個虛擬局域網(wǎng)的人員就不能正常的訪問他原先所在的VLAN之中(靜態(tài)虛擬局域網(wǎng)的端口在同一時間只能屬于同一個虛擬局域網(wǎng))，這樣就需要網(wǎng)絡(luò)管理人員隨時配合及時修改該線路上的端口。動態(tài)VLAN的優(yōu)缺點與上面兩種虛擬局域網(wǎng)的組成方式相比動態(tài)的虛擬局域網(wǎng)的優(yōu)點真的是太多了。首先它適用于當前的無線局域網(wǎng)技術(shù)，其次，當用戶有需要時對工作基點進行移動時完全不用擔心在靜態(tài)虛擬局域網(wǎng)與基于端口的虛擬局域網(wǎng)出現(xiàn)的一些問題在動態(tài)的虛擬局 域網(wǎng)中出現(xiàn)

33、，因為動態(tài)的虛擬局域網(wǎng)在建立初期已經(jīng)由網(wǎng)絡(luò)管理員將整個網(wǎng)絡(luò)中的所有 MAC地址全部輸入到了路由器之中，同時如何由路由器通過MAO址來自動區(qū)分每一臺電腦屬于那一個虛擬局域網(wǎng)，之后將這臺電腦連接到對應(yīng)的虛擬局域網(wǎng)之中。說起缺點，動態(tài)的虛擬局域網(wǎng)的缺點跟本談不上缺點，只是在VLAN建立初期，網(wǎng)絡(luò)管理人員需將所有機器的MAC進行登記之后劃分出MAC所對應(yīng)的機器的不同權(quán)限(虛擬局域網(wǎng))即可。編輯本段VLAN發(fā)展趨勢目前在寬帶網(wǎng)絡(luò)中實現(xiàn)的VLAN基本上能滿足廣大網(wǎng)絡(luò)用戶的需求，但其網(wǎng)絡(luò)性能、網(wǎng)絡(luò)流量控制、網(wǎng)絡(luò)通信優(yōu)先級控制等還有待提高。前面所提到的 VTP技術(shù)、STP技術(shù)，基于三層交換的 VLAN技術(shù)等在

34、VLAN使用中存在網(wǎng)絡(luò)效率的瓶頸問題，這主要是 IEEE802.1Q、IEEE802.1D協(xié)議的不完善所致，IEEE正在制定和完善 IEEE802.1S(Multiple Spanning Trees )和 IEEE802.1W( Rapid Reconfigurationof Spanning Tree)來改善 VLAN的性能。采用IEEE802.3Z和IEEE802.3ab協(xié)議，并結(jié)合使用 RISC (精簡 指令集計算)處理器或者網(wǎng)絡(luò)處理器而研制的吉位VLAN交換機在網(wǎng)絡(luò)流量等方面采取了相應(yīng)的措施，大大提高了VLAN網(wǎng)絡(luò)的性能。IEEE802.1P協(xié)議提出了 COS( Class ofSe

35、rvice )標準，這使網(wǎng)絡(luò)通信優(yōu)先級控制機制有了參考。編輯本段VLAN的基本配置命令1、創(chuàng)建 vlan 方法一switch#vlan databaseswitch(vlan)#vlan 10 namewzswitch(vlan)#exit2、創(chuàng)建 vian 方法二switch(config)#vlan 10switch(c on fig-via n)# namewz 3、刪除 via n 方法一switch(vla n)#novia n 10switch(vlan)#exit4、刪除 vian 方法二 switch(config)#no in terface via n 10switch(c

36、on fig)# no via n 105、刪除vian方法三switch#deiete via n. dat6、 將端口加入到vian中switch(c on fig-if)#switchport access via n 107、 將一組連續(xù)的端口加入到vian中switch(c on fig)# in terface range fO/1 5switch(co nfig)#i nterface range f0/6-8,0/9-11,0/22(將不連續(xù)多個端口加入到Vian中)switch(config-if-range)#switchport access vian 10&將端口從vi

37、an中刪除switch(c on fig-if)# no switchport access via n 10switch(c on fig-if)#switchport access via n 1switch(c on fig-if-ra nge)# no switchport access via n 10switch(config-if-range)#switchport access vian 19、查看所有vian的摘要信息switch#show via n brief10、查看指定vian的信息switch#show via n id 1011、 指定端口成為 trunkswit

38、ch(c on fig-if)#switchport mode trunk12、Trunk的自動協(xié)商switch(c on fig-if)#switchport mode dyn amic desirableswitch(c on fig-if)#switchport mode dyn amic auto注意：如果中繼鏈路兩端都設(shè)置成auto將不能成為trunk13、查看端口狀態(tài)switch#show in terface f0/2 switchport14、在trunk 上移出vianswitch(c on fig-if)#switchport trunk allowed via n rem

39、ove 2015、在trunk 上添加vlanswitch(c on fig-if)#switchport trunk allowed vla n add 20編輯本段VLAN的劃分實例對于每個公司而言都有自己不同的需求，下面我們給出一個典型的公司的VLA N的實例，這樣也可以成為我們以后為公司劃分VLA N的依據(jù)。某公司現(xiàn)在有工程部、 銷售部、財務(wù)部。VLAN的劃分：工程部VLAN1Q銷售部VLAN20, 財務(wù)部VLAN3Q并且各部門還可以相互通訊。 現(xiàn)有設(shè)備如下：Cisco 3640路由器，Cisco Catalyst 2924 交換機一臺，二級交換機若干臺。交換機配置文件中的部分代碼如下

40、：in terface vla n10ip address 192.168.0.1 !in terface vla n20ip address 192.168.1.1!in terface vla n30ip address 192.168.2.1路由器配置文件中的部分代碼如下:in terface FastEthernet 1/0.1en capsulati on isl 10ip address 192.168.0.2!in terface FastEthernet 1/0.2en capsulati on isl 20ip address 192.168.1.2!in terface F

41、astEthernet 1/0.3en capsulati on isl 30ip address 192.16822router ripn etwork 192.168.0.0!【交換機的端口工作模式的利用】交換機的端口工作模式通常可以分為三種，它們分別為Access模式、Multi模式、Trunk模式。允許多個 vian的是multi模式，而不是trunk模式。Access模式的交換 端口往往只能屬于 1個VLAN通常用于連接普通計算機的端口；Trunk模式的交換端口可以屬于多個 VLAN能夠發(fā)送和接收多個VLAN的數(shù)據(jù)報文，通常使用在交換機之間的級聯(lián)端口上；multi模式的交換端口可以屬

42、于多個VLAN能夠發(fā)送和接受多個VLAN的數(shù)據(jù)報文，可以用于交換機之間的連接，也可以用于連接普通計算機的端口，所以access和trunk沒有可比性。三種模式的交換端口能夠共同使用在相同的一臺交換機中，不過Trunk模式的交換端口和multi模式的交換端口相互之間不能直接切換，往往只能先將交換端口設(shè)置為 Access模式，之后再設(shè)置為其他模式。編輯本段vlan拓撲試驗實驗：劃分VLAN1. 實驗?zāi)康耐ㄟ^本實驗，讀者可以掌握如下技能：（1）熟悉VLAN的創(chuàng)建（2）把交換機接口劃分到特定 VLAN2. 實驗拓撲vlan試驗拓撲圖（1張）實驗拓撲圖3. 實驗步驟要配置VLAN首先要先創(chuàng)建 VLAN,

43、然后才把交換機的端口劃分到特定的端口上: 步驟1:在劃分VLAN前，配置R1和R2路由器的gO/O接口，從R1pi ng 192.168.12.2。默認時，交換機的全部接口都在VLAN1 上, R1和R2應(yīng)該能夠通信(2) 步驟2 :在S1上創(chuàng)建 VLANS1#vlan database/進入到VLAN配置模式S1(vla n)#vla n 2 name VLAN2VLAN 2 added:Name: VLAN2/以上創(chuàng)建vian,2 就是vian 的編號，VLAN號的范圍為11001 ,VLAN2是該VLAN 的名字：S1(vla n)#vla n 3 name VLAN3VLAN 3 added:Name: VLAN3S1(vla n)#exitAPPLY completed.Exiting /退出VLAN模式，創(chuàng)建的 VLAN立即生效：【提示】交換機中的VLAN信息存放在單獨的文件中flash:vla n.dat，因此如果要完全清