企業(yè)管理VLAN入門知識

1、 HYPERLINK /ServerIndex/77131896034689024/20040420/1789601.shtml 帶你入門一窺VLAN全貌VLAN（Virtual LAN），翻譯成中文是“虛擬局域網(wǎng)”。LAN可以是由少數(shù)幾臺家用計(jì)算機(jī)構(gòu)成的網(wǎng)絡(luò)，也可以是數(shù)以百計(jì)的計(jì)算機(jī)構(gòu)成的企業(yè)網(wǎng)絡(luò)。 HYPERLINK /20040420/1789387.shtml 菜鳥起步步 初識識VLAAN VLANN（Viirtuual Loccal Areea NNetwworkk）又稱稱虛擬局局域網(wǎng)，是指在在交換局局域網(wǎng)的的基礎(chǔ)上上，采用用網(wǎng)絡(luò)管管理軟件件構(gòu)建的的可跨越越不同網(wǎng)網(wǎng)段、不不同網(wǎng)絡(luò)絡(luò)的

2、端到到端的邏邏輯網(wǎng)絡(luò)絡(luò) 什么是VLAN VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。 組建VLAN的條件VLLAN是是建立在在物理網(wǎng)網(wǎng)絡(luò)基礎(chǔ)礎(chǔ)上的一一種邏輯輯子網(wǎng)，因此建建立VLLAN需需要相應(yīng)應(yīng)的支持持VLAAN技術(shù)術(shù)的網(wǎng)絡(luò)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)絡(luò)中的不不同VLLAN間間進(jìn)行相相互通信信時(shí)，需需要路由由的支持持，這時(shí)時(shí)就需要要增加路路由設(shè)備備要要實(shí)現(xiàn)路

3、路由功能能，既可可采用路路由器，也可采采用三層層交換機(jī)機(jī)來完成成。 劃分VLLAN的的基本策策略從技技術(shù)角度度講，VVLANN的劃分分可依據(jù)據(jù)不同原原則，一一般有以以下三種種劃分方方法： 1、基于于端口的的VLAAN劃分分 這種種劃分是是把一個(gè)個(gè)或多個(gè)個(gè)交換機(jī)機(jī)上的幾幾個(gè)端口口劃分一一個(gè)邏輯輯組，這這是最簡簡單、最最有效的的劃分方方法。該該方法只只需網(wǎng)絡(luò)絡(luò)管理員員對網(wǎng)絡(luò)絡(luò)設(shè)備的的交換端端口進(jìn)行行重新分分配即可可，不用用考慮該該端口所所連接的的設(shè)備。 2、基于于MACC地址的的VLAAN劃分分MAAC地址址其實(shí)就就是指網(wǎng)網(wǎng)卡的標(biāo)標(biāo)識符，每一塊塊網(wǎng)卡的的MACC地址都都是惟一一且固化化在網(wǎng)卡卡上的

4、。MACC地址由由12位位16進(jìn)進(jìn)制數(shù)表表示，前前8位為為廠商標(biāo)標(biāo)識，后后4位為為網(wǎng)卡標(biāo)標(biāo)識。網(wǎng)網(wǎng)絡(luò)管理理員可按按MACC地址把把一些站站點(diǎn)劃分分為一個(gè)個(gè)邏輯子子網(wǎng)。 3、基于于路由的的VLAAN劃分分路由由協(xié)議工工作在網(wǎng)網(wǎng)絡(luò)層，相應(yīng)的的工作設(shè)設(shè)備有路路由器和和路由交交換機(jī)（即三層層交換機(jī)機(jī)）。該該方式允允許一個(gè)個(gè)VLAAN跨越越多個(gè)交交換機(jī)，或一個(gè)個(gè)端口位位于多個(gè)個(gè)VLAAN中。 就目目前來說說，對于于VLAAN的劃劃分主要要采取上上述第11、3種種方式，第2種種方式為為輔助性性的方案案。使用VLLAN優(yōu)優(yōu)點(diǎn) 使用用VLAAN具有有以下優(yōu)優(yōu)點(diǎn)： 1、控制廣廣播風(fēng)暴暴一個(gè)個(gè)VLAAN就是是一個(gè)

5、邏邏輯廣播播域，通通過對VVLANN的創(chuàng)建建，隔離離了廣播播，縮小小了廣播播范圍，可以控控制廣播播風(fēng)暴的的產(chǎn)生。 2、提高高網(wǎng)絡(luò)整整體安全全性 通過過路由訪訪問列表表和MAAC地址址分配等等VLAAN劃分分原則，可以控控制用戶戶訪問權(quán)權(quán)限和邏邏輯網(wǎng)段段大小，將不同同用戶群群劃分在在不同VVLANN，從而而提高交交換式網(wǎng)網(wǎng)絡(luò)的整整體性能能和安全全性。 3、網(wǎng)絡(luò)絡(luò)管理簡簡單、直直觀 對于于交換式式以太網(wǎng)網(wǎng)，如果果對某些些用戶重重新進(jìn)行行網(wǎng)段分分配，需需要網(wǎng)絡(luò)絡(luò)管理員員對網(wǎng)絡(luò)絡(luò)系統(tǒng)的的物理結(jié)結(jié)構(gòu)重新新進(jìn)行調(diào)調(diào)整，甚甚至需要要追加網(wǎng)網(wǎng)絡(luò)設(shè)備備，增大大網(wǎng)絡(luò)管管理的工工作量。而對于于采用VVLANN技術(shù)的

6、的網(wǎng)絡(luò)來來說，一一個(gè)VLLAN可可以根據(jù)據(jù)部門職職能、對對象組或或者應(yīng)用用將不同同地理位位置的網(wǎng)網(wǎng)絡(luò)用戶戶劃分為為一個(gè)邏邏輯網(wǎng)段段。在不不改動網(wǎng)網(wǎng)絡(luò)物理理連接的的情況下下可以任任意地將將工作站站在工作作組或子子網(wǎng)之間間移動。利用虛虛擬網(wǎng)絡(luò)絡(luò)技術(shù)，大大減減輕了網(wǎng)網(wǎng)絡(luò)管理理和維護(hù)護(hù)工作的的負(fù)擔(dān)，降低了了網(wǎng)絡(luò)維維護(hù)費(fèi)用用。在一一個(gè)交換換網(wǎng)絡(luò)中中，VLLAN提提供了網(wǎng)網(wǎng)段和機(jī)機(jī)構(gòu)的彈彈性組合合機(jī)制。 三層交換換技術(shù) 傳統(tǒng)統(tǒng)的路由由器在網(wǎng)網(wǎng)絡(luò)中有有路由轉(zhuǎn)轉(zhuǎn)發(fā)、防防火墻、隔離廣廣播等作作用，而而在一個(gè)個(gè)劃分了了VLAAN以后后的網(wǎng)絡(luò)絡(luò)中，邏邏輯上劃劃分的不不同網(wǎng)段段之間通通信仍然然要通過過路由器器轉(zhuǎn)發(fā)。由

7、于在在局域網(wǎng)網(wǎng)上，不不同VLLAN之之間的通通信數(shù)據(jù)據(jù)量是很很大的，這樣，如果路路由器要要對每一一個(gè)數(shù)據(jù)據(jù)包都路路由一次次，隨著著網(wǎng)絡(luò)上上數(shù)據(jù)量量的不斷斷增大，路由器器將不堪堪重負(fù)，路由器器將成為為整個(gè)網(wǎng)網(wǎng)絡(luò)運(yùn)行行的瓶頸頸。 在這這種情況況下，出出現(xiàn)了第第三層交交換技術(shù)術(shù)，它是是將路由由技術(shù)與與交換技技術(shù)合二二為一的的技術(shù)。三層交交換機(jī)在在對第一一個(gè)數(shù)據(jù)據(jù)流進(jìn)行行路由后后，會產(chǎn)產(chǎn)生一個(gè)個(gè)MACC地址與與IP地地址的映映射表，當(dāng)同樣樣的數(shù)據(jù)據(jù)流再次次通過時(shí)時(shí)，將根根據(jù)此表表直接從從二層通通過而不不是再次次路由，從而消消除了路路由器進(jìn)進(jìn)行路由由選擇而而造成網(wǎng)網(wǎng)絡(luò)的延延遲，提提高了數(shù)數(shù)據(jù)包轉(zhuǎn)轉(zhuǎn)發(fā)的效

8、效率，消消除了路路由器可可能產(chǎn)生生的網(wǎng)絡(luò)絡(luò)瓶頸問問題?？煽梢姡龑咏粨Q換機(jī)集路路由與交交換于一一身，在在交換機(jī)機(jī)內(nèi)部實(shí)實(shí)現(xiàn)了路路由，提提高了網(wǎng)網(wǎng)絡(luò)的整整體性能能。 在以以三層交交換機(jī)為為核心的的千兆網(wǎng)網(wǎng)絡(luò)中，為保證證不同職職能部門門管理的的方便性性和安全全性以及及整個(gè)網(wǎng)網(wǎng)絡(luò)運(yùn)行行的穩(wěn)定定性，可可采用VVLANN技術(shù)進(jìn)進(jìn)行虛擬擬網(wǎng)絡(luò)劃劃分。VVLANN子網(wǎng)隔隔離了廣廣播風(fēng)暴暴，對一一些重要要部門實(shí)實(shí)施了安安全保護(hù)護(hù)；且當(dāng)當(dāng)某一部部門物理理位置發(fā)發(fā)生變化化時(shí)，只只需對交交換機(jī)進(jìn)進(jìn)行設(shè)置置，就可可以實(shí)現(xiàn)現(xiàn)網(wǎng)絡(luò)的的重組，非常方方便、快快捷，同同時(shí)節(jié)約約了成本本。 HYPERLINK 虛擬局域域網(wǎng)入門

9、門虛擬網(wǎng)是是指在物物理網(wǎng)絡(luò)絡(luò)基礎(chǔ)架架構(gòu)上，利用交交換機(jī)和和路由器器的功能能，配置置網(wǎng)絡(luò)的的邏輯拓拓?fù)浣Y(jié)構(gòu)構(gòu)，從而而允許網(wǎng)網(wǎng)絡(luò)管理理員任意意地將一一個(gè)局域域網(wǎng)內(nèi)的的任何數(shù)數(shù)量網(wǎng)段段聚合成成一個(gè)用用戶組，就好像像它們是是一個(gè)單單獨(dú)的局局域網(wǎng) 有很多企企業(yè)在發(fā)發(fā)展的初初期，人人員較少少 ，因因此對網(wǎng)網(wǎng)絡(luò)的要要求也不不高，而而且為了了節(jié)約成成本，很很多企業(yè)業(yè)網(wǎng)都采采用了通通過路由由器實(shí)現(xiàn)現(xiàn)分段的的簡單結(jié)結(jié)構(gòu)（圖圖1）。在這樣樣的網(wǎng)絡(luò)絡(luò)下，每每一個(gè)局局域網(wǎng)上上的廣播播數(shù)據(jù)包包都可以以被該段段上的所所有設(shè)備備收到，而無論論這些設(shè)設(shè)備是否否需要。隨著企企業(yè)規(guī)模模的不斷斷擴(kuò)大，特別是是多媒體體在企業(yè)業(yè)局域網(wǎng)網(wǎng)

10、中的應(yīng)應(yīng)用，使使每個(gè)部部門內(nèi)部部的數(shù)據(jù)據(jù)傳輸量量非常大大。此外外，由于于公司發(fā)發(fā)展中一一些遺留留下來的的問題，使得一一個(gè)部門門的員工工不能相相對集中中辦公。更重要要的是，公司的的財(cái)務(wù)部部門需要要越來越越高的安安全性，不能和和其他的的部門混混用一個(gè)個(gè)以太網(wǎng)網(wǎng)段，以以防止數(shù)數(shù)據(jù)竊聽聽。這些些新問題題需要更更靈活地地配置局局域網(wǎng)，因此就就產(chǎn)生了了虛擬局局域網(wǎng)（Virrtuaal LLAN）技術(shù)。圖1 虛擬擬網(wǎng)是指指在物理理網(wǎng)絡(luò)基基礎(chǔ)架構(gòu)構(gòu)上，利利用交換換機(jī)和路路由器的的功能，配置網(wǎng)網(wǎng)絡(luò)的邏邏輯拓?fù)鋼浣Y(jié)構(gòu)，從而允允許網(wǎng)絡(luò)絡(luò)管理員員任意地地將一個(gè)個(gè)局域網(wǎng)網(wǎng)內(nèi)的任任何數(shù)量量網(wǎng)段聚聚合成一一個(gè)用戶戶組，就就

11、好像它它們是一一個(gè)單獨(dú)獨(dú)的局域域網(wǎng)。近近期虛擬擬網(wǎng)（VVLANN）迅速速倔起，并成為為最具生生命力的的組網(wǎng)技技術(shù)之一一。（圖圖2）圖2 虛擬局域域網(wǎng)的特特點(diǎn)在使用用帶寬、靈活性性、性能能等方面面，虛擬擬局域網(wǎng)網(wǎng)（VLLAN）都顯示示出很大大優(yōu)勢。虛擬局局域網(wǎng)的的使用能能夠方便便地進(jìn)行行用戶的的增加、刪除、移動等等工作，提高網(wǎng)網(wǎng)絡(luò)管理理的效率率。他具具有以下下特點(diǎn)：11、靈活活的、軟軟定義的的、邊界界獨(dú)立于于物理媒媒質(zhì)的設(shè)設(shè)備群。VLAAN概念念的引入入，使交交換機(jī)承承擔(dān)了網(wǎng)網(wǎng)絡(luò)的分分段工作作，而不不再使用用路由器器來完成成。通過過使用VVLANN，能夠夠把原來來一個(gè)物物理的局局域網(wǎng)劃劃分成很很

12、多個(gè)邏邏輯意義義上的子子網(wǎng)，而而不必考考慮具體體的物理理位置，每一個(gè)個(gè)VLAAN都可可以對應(yīng)應(yīng)于一個(gè)個(gè)邏輯單單位，如如部門、車間和和項(xiàng)目組組等。2、廣播流流量被限限制在軟軟定義的的邊界內(nèi)內(nèi)、提高高了網(wǎng)絡(luò)絡(luò)的安全全性。由由于在相相同VLLAN內(nèi)內(nèi)的主機(jī)機(jī)間傳送送的數(shù)據(jù)據(jù)不會影影響到其其他VLLAN上上的主機(jī)機(jī)，因此此減少了了數(shù)據(jù)竊竊聽的可可能性，極大地地增強(qiáng)了了網(wǎng)絡(luò)的的安全性性。3、在同同一個(gè)虛虛擬局域域網(wǎng)成員員之間提提供低延延遲、線線速的通通信。能能夠在網(wǎng)網(wǎng)絡(luò)內(nèi)劃劃分網(wǎng)段段或者微微網(wǎng)段，提高網(wǎng)網(wǎng)絡(luò)分組組的靈活活性。VVLANN技術(shù)通通過把網(wǎng)網(wǎng)絡(luò)分成成邏輯上上的不同同廣播域域，使網(wǎng)網(wǎng)絡(luò)上傳傳送的

13、包包只在與與位于同同一個(gè)VVLANN的端口口之間交交換。這這樣就限限制了某某個(gè)局域域網(wǎng)只與與同一個(gè)個(gè)VLAAN的其其它局域域網(wǎng)互相相連，避避免浪費(fèi)費(fèi)帶寬，從而消消除了傳傳統(tǒng)的橋橋接交交換網(wǎng)絡(luò)絡(luò)的固有有缺陷包經(jīng)經(jīng)常被傳傳送到并并不需要要它的局局域網(wǎng)中中。這也也改善了了網(wǎng)絡(luò)配配置規(guī)模模的靈活活性，尤尤其是在在支持廣廣播多多播協(xié)議議和應(yīng)用用程序的的局域網(wǎng)網(wǎng)環(huán)境中中，會遭遭遇到如如潮水般般涌來的的包。而而在 VVLANN結(jié)構(gòu)中中，可以以輕松地地拒絕其其他VLLAN的的包，從從而大大大減少網(wǎng)網(wǎng)絡(luò)流量量。虛擬擬局域網(wǎng)網(wǎng)的分類類虛虛擬局域域網(wǎng)是一一種軟技技術(shù)，如如何分類類，將決決定此技技術(shù)在網(wǎng)網(wǎng)絡(luò)中能能否發(fā)

14、揮揮到預(yù)期期作用，下面將將介紹虛虛擬局域域網(wǎng)的分分類以及及特性。常見的的虛擬局局域網(wǎng)分分類有三三種：基基于端口口、基于于硬件MMAC地地址、基基于網(wǎng)絡(luò)絡(luò)層。11、 基于端端口基于端端口的虛虛擬局域域網(wǎng)劃分分是比較較流行和和最早的的劃分方方式，其其特點(diǎn)是是將交換換機(jī)按照照端口進(jìn)進(jìn)行分組組，每一一組定義義為一個(gè)個(gè)虛擬局局域網(wǎng)。這些交交換機(jī)端端口分組組可以在在一臺交交換機(jī)上上也可以以跨越幾幾個(gè)交換換機(jī)（例例如，號交換換機(jī)的端端口1和和2以及及2號交交換機(jī)的的端口44、5、6和77上的最最終工作作站組成成了虛擬擬局域網(wǎng)網(wǎng)A；而而1號交交換機(jī)的的端口33、4、5、66、7和和8加上上2號交交換機(jī)的的端口

15、11、2、3和88上的最最終工作作站組成成了虛擬擬局域網(wǎng)網(wǎng)B）。圖3 端口口分組目目前是定定義虛擬擬局域網(wǎng)網(wǎng)成員最最常用的的方法，而且配配置也相相當(dāng)直截截了當(dāng)。純粹用用端口分分組來定定義虛擬擬局域網(wǎng)網(wǎng)不會容容許多個(gè)個(gè)虛擬局局域網(wǎng)包包含同一一個(gè)實(shí)際際網(wǎng)段（或交換換機(jī)端口口）。其其特點(diǎn)是是一個(gè)虛虛擬局域域網(wǎng)的各各個(gè)端口口上的所所有終端端都在一一個(gè)廣播播域中，它們相相互可以以通信，不同的的虛擬局局域網(wǎng)之之間進(jìn)行行通信需需經(jīng)過路路由來進(jìn)進(jìn)行。這這種虛擬擬局域網(wǎng)網(wǎng)劃分方方式的優(yōu)優(yōu)點(diǎn)在于于簡單，容易實(shí)實(shí)現(xiàn)，從從一個(gè)端端口發(fā)出出的廣播播，直接接發(fā)送到到虛擬局局域網(wǎng)內(nèi)內(nèi)的其他他端口，也便于于直接監(jiān)監(jiān)控。但但是

16、，用用端口定定義虛擬擬局域網(wǎng)網(wǎng)的主要要局限性性是：使使用不夠夠靈活，當(dāng)用戶戶從一個(gè)個(gè)端口移移動到另另一個(gè)端端口的時(shí)時(shí)候網(wǎng)絡(luò)絡(luò)管理員員必須重重新配置置虛擬局局域網(wǎng)成成員。不不過這一一點(diǎn)可以以通過靈靈活的網(wǎng)網(wǎng)絡(luò)管理理軟件來來彌補(bǔ)。2 、基基于硬件件MACC地址層層基基于硬件件MACC地址層層地址的的虛擬局局域網(wǎng)具具有不同同的優(yōu)點(diǎn)點(diǎn)和缺點(diǎn)點(diǎn)。由于于硬件地地址層的的地址是是硬連接接到工作作站的網(wǎng)網(wǎng)絡(luò)界面面卡（NNIC）上的，所以基基于硬件件地址層層地址的的的虛擬擬局域網(wǎng)網(wǎng)使網(wǎng)絡(luò)絡(luò)管理者者能夠把把網(wǎng)絡(luò)上上的工作作站移動動到不同同的實(shí)際際位置，而且可可以讓這這臺工作作站自動動地保持持它原有有的虛擬擬局域網(wǎng)

17、網(wǎng)成員資資格。按按照這種種方式，由硬件件地址層層地址定定義的虛虛擬局域域網(wǎng)可以以被視為為基于用用戶的虛虛擬局域域網(wǎng)。這種種方式的的虛擬局局域網(wǎng)，交換機(jī)機(jī)對終端端的MAAC地址址和交換換機(jī)端口口進(jìn)行跟跟蹤，在在新終端端入網(wǎng)時(shí)時(shí)根據(jù)已已經(jīng)定義義的虛擬擬局域網(wǎng)網(wǎng)MMAC對對應(yīng)表將將其劃歸歸至某一一個(gè)虛擬擬局域網(wǎng)網(wǎng)，而無無論該終終端在網(wǎng)網(wǎng)絡(luò)中怎怎樣移動動，由于于其MAAC地址址保持不不變，故故不需進(jìn)進(jìn)行虛擬擬局域網(wǎng)網(wǎng)的重新新配置。這種劃劃分方式式減少了了網(wǎng)絡(luò)管管理員的的日常維維護(hù)工作作量，不不足之處處在于所所有的終終端必須須被明確確的分配配在一個(gè)個(gè)具體的的虛擬局局域網(wǎng)，任何時(shí)時(shí)候增加加終端或或者更換換

18、網(wǎng)卡，都要對對虛擬局局域網(wǎng)數(shù)數(shù)據(jù)庫調(diào)調(diào)整，以以實(shí)現(xiàn)對對該終端端的動態(tài)態(tài)跟蹤。基基于硬件件地址層層地址的的虛擬局局域網(wǎng)解解決方案案的缺點(diǎn)點(diǎn)之一是是要求所所有的用用戶必須須初始配配置在至至少一個(gè)個(gè)虛擬局局域網(wǎng)中中。在這這次初始始手工配配置之后后，用戶戶的自動動跟蹤才才有可能能實(shí)現(xiàn)，而且取取決于特特定的供供應(yīng)商解解決方案案。然而而，這種種不得不不在一開開始先用用人工配配置虛擬擬局域網(wǎng)網(wǎng)的方法法，其缺缺點(diǎn)在一一個(gè)非常常大的網(wǎng)網(wǎng)絡(luò)中變變得非常常明顯：幾千個(gè)個(gè)用戶必必須逐個(gè)個(gè)地分配配到各自自特定的的虛擬局局域網(wǎng)中中。某些些供應(yīng)商商已經(jīng)減減少了初初始手工工配置基基于硬件件地址的的虛擬局局域網(wǎng)的的繁重任任務(wù)，

19、它它們采用用根據(jù)網(wǎng)網(wǎng)絡(luò)的當(dāng)當(dāng)前狀態(tài)態(tài)生成虛虛擬局域域網(wǎng)的工工具，也也就是說說為每一一個(gè)子網(wǎng)網(wǎng)生成一一個(gè)基于于硬件地地址的虛虛擬局域域網(wǎng)。 3 、基于網(wǎng)網(wǎng)絡(luò)層基于于網(wǎng)絡(luò)層層的虛擬擬局域網(wǎng)網(wǎng)劃分也也叫做基基于策略略（POOLICCY）的的劃分，是這幾幾種劃分分方式中中最高級級也是最最為復(fù)雜雜的?；诰W(wǎng)絡(luò)絡(luò)層的虛虛擬局域域網(wǎng)使用用協(xié)議（如果網(wǎng)網(wǎng)絡(luò)中存存在多協(xié)協(xié)議的話話）或網(wǎng)網(wǎng)絡(luò)層地地址（如如TCPP/IPP中的子子網(wǎng)段地地址）來來確定網(wǎng)網(wǎng)絡(luò)成員員。利用用網(wǎng)絡(luò)層層定義虛虛擬網(wǎng)有有以下幾幾點(diǎn)優(yōu)勢勢。第一一，這種種方式可可以按傳傳輸協(xié)議議劃分網(wǎng)網(wǎng)段。其其次，用用戶可以以在網(wǎng)絡(luò)絡(luò)內(nèi)部自自由移動動而不用用重

20、新配配置自己己的工作作站。第第三，這這種類型型的虛擬擬網(wǎng)可以以減少由由于協(xié)議議轉(zhuǎn)換而而造成的的網(wǎng)絡(luò)延延遲。這這種方式式看起來來是最為為理想的的方式，但是在在采用這這種劃分分之前，要明確確兩件事事情：一一是IPP盜用，二是對對設(shè)備要要求較高高，不是是所有設(shè)設(shè)備都支支持這種種方式。虛擬局域域網(wǎng)的應(yīng)應(yīng)用由于虛虛擬局域域網(wǎng)具有有比較明明顯的優(yōu)優(yōu)勢，在在各種企企業(yè)中都都有了很很好的應(yīng)應(yīng)用。下下面就根根據(jù)不同同的案例例來分析析虛擬局局域網(wǎng)的的應(yīng)用情情況。 1、局域網(wǎng)網(wǎng)內(nèi)部的的局域網(wǎng)網(wǎng)往往往很多多企業(yè)已已經(jīng)具有有一個(gè)相相當(dāng)規(guī)模模的局域域網(wǎng)，但但是現(xiàn)在在企業(yè)內(nèi)內(nèi)部因?yàn)闉楸Ｃ芑蚧蛘咂渌?，要求各各業(yè)務(wù)部部門

21、或者者課題組組獨(dú)立成成為一個(gè)個(gè)局域網(wǎng)網(wǎng)，同時(shí)時(shí)，各業(yè)業(yè)務(wù)部門門或者課課題組的的人員不不一定是是在同一一個(gè)辦公公地點(diǎn)，各網(wǎng)絡(luò)絡(luò)之間不不允許互互相訪問問。根據(jù)據(jù)這種情情況，可可以有幾幾種解決決方法，但是虛虛擬局域域網(wǎng)解決決方法可可能是最最好的。為了完完成上述述任務(wù)，我們要要做的工工作是收收集各部部門或者者課題組組的人員員組成、所在位位置、與與交換機(jī)機(jī)連接的的端口等等信息。根據(jù)部部門數(shù)量量對交換換機(jī)進(jìn)行行配置，創(chuàng)建虛虛擬局域域網(wǎng)，設(shè)設(shè)置中繼繼，最后后，在一一個(gè)公用用的局域域網(wǎng)內(nèi)部部劃分出出來若干干個(gè)虛擬擬的局域域網(wǎng)，同同時(shí)減少少了局域域網(wǎng)內(nèi)的的廣播，提高了了網(wǎng)絡(luò)傳傳輸性能能。這樣樣的虛擬擬局域網(wǎng)網(wǎng)可

22、以方方便地根根據(jù)需要要增加、改變、刪除。2、共共享訪問問訪訪問共同同的接入入點(diǎn)和服服務(wù)器在一一些大型型寫字樓樓或商業(yè)業(yè)建筑（酒店、展覽中中心等），經(jīng)常常存在這這樣的現(xiàn)現(xiàn)象：大大樓出租租給各個(gè)個(gè)單位，并且大大樓內(nèi)部部已經(jīng)構(gòu)構(gòu)建好了了局域網(wǎng)網(wǎng)，提供供給入駐駐企業(yè)或或客戶網(wǎng)網(wǎng)絡(luò)平臺臺，并通通過共同同的出口口訪問IInteerneet或者者大樓內(nèi)內(nèi)部的綜綜合信息息服務(wù)器器。由于于大樓的的網(wǎng)絡(luò)平平臺是統(tǒng)統(tǒng)一的，使用的的客戶有有物業(yè)管管理人員員、有其其他不同同單位的的客戶。在這樣樣一個(gè)共共享的網(wǎng)網(wǎng)絡(luò)環(huán)境境下，解解決不同同企業(yè)或或單位對對網(wǎng)絡(luò)的的需求的的同時(shí)，還要保保證各企企業(yè)間信信息的獨(dú)獨(dú)立性。這種情情況

23、下，虛擬局局域網(wǎng)提提供了很很好的解解決方案案。大廈廈的系統(tǒng)統(tǒng)管理員員可以為為入駐企企業(yè)創(chuàng)建建一個(gè)個(gè)個(gè)獨(dú)立的的虛擬局局域網(wǎng)，保證企企業(yè)內(nèi)部部的互相相訪問和和企業(yè)間間信息的的獨(dú)立，然后利利用中繼繼技術(shù)，將提供供接入服服務(wù)的代代理服務(wù)務(wù)器或者者路由器器所對應(yīng)應(yīng)的局域域網(wǎng)接口口配置成成為中繼繼模式，實(shí)現(xiàn)共共享接入入。這種種配置方方式還有有一個(gè)好好處，可可以根據(jù)據(jù)需要設(shè)設(shè)置中繼繼的訪問問許可，靈活地地允許或或者拒絕絕某個(gè)虛虛擬局域域網(wǎng)的訪訪問。3、交疊疊虛擬局局域網(wǎng)交疊疊虛擬局局域網(wǎng)是是在基于于端口劃劃分虛擬擬局域網(wǎng)網(wǎng)的基礎(chǔ)礎(chǔ)上提出出來的，最早的的交換機(jī)機(jī)每一個(gè)個(gè)端口只只能同時(shí)時(shí)屬于一一個(gè)虛擬擬局域網(wǎng)網(wǎng)

24、，交疊疊虛擬局局域網(wǎng)允允許一個(gè)個(gè)交換機(jī)機(jī)端口同同時(shí)屬于于多個(gè)虛虛擬局域域網(wǎng)。這這種技術(shù)術(shù)可以解解決一些些突發(fā)性性的、臨臨時(shí)性的的虛擬局局域網(wǎng)劃劃分。比比如在一一個(gè)科研研機(jī)構(gòu)，已經(jīng)劃劃分了若若干個(gè)虛虛擬局域域網(wǎng)，但但是因?yàn)闉槟硞€(gè)科科研任務(wù)務(wù)，從各各個(gè)虛擬擬局域網(wǎng)網(wǎng)里面抽抽調(diào)出來來技術(shù)人人員臨時(shí)時(shí)組成課課題組，要求課課題組內(nèi)內(nèi)部通信信自如，同時(shí)各各科研人人員還要要保持和和原來的的虛擬局局域網(wǎng)進(jìn)進(jìn)行信息息交流。如果采采用路由由和訪問問列表控控制技術(shù)術(shù)，成本本會較大大，同時(shí)時(shí)會降低低網(wǎng)絡(luò)性性能。交交疊技術(shù)術(shù)的出現(xiàn)現(xiàn)，為這這一問題題提供了了廉價(jià)的的解決方方法；只只需要將將要加入入課題組組的人員員所對應(yīng)應(yīng)

25、的交換換機(jī)端口口設(shè)置成成為支持持多個(gè)虛虛擬局域域網(wǎng)，然然后創(chuàng)建建一個(gè)新新虛擬局局域網(wǎng)，將所有有人員劃劃分到新新虛擬局局域網(wǎng)，保持各各人員原原來所屬屬虛擬局局域網(wǎng)不不變即可可。圖4 以上上簡單的的介紹了了虛擬局局域網(wǎng)的的主要技技術(shù)和一一些實(shí)際際應(yīng)用，希望會會給讀者者帶來有有益的幫幫助。隨隨著現(xiàn)代代交換技技術(shù)的發(fā)發(fā)展而出出現(xiàn)，并并將隨著著網(wǎng)絡(luò)的的應(yīng)用得得到普及及，虛擬擬局域網(wǎng)網(wǎng)將成為為眾多網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)計(jì)、規(guī)劃劃和管理理人員歡歡迎和使使用的技技術(shù)。 HYPERLINK 131896034689024/20031022/1738157.shtml 交換機(jī)VVLANN的配置置本篇就要要為大家家介紹交交換機(jī)

26、的的一個(gè)最最常見技技術(shù)應(yīng)用用-VVLANN技術(shù)，并針對對中、小小局域網(wǎng)網(wǎng)VLAAN的網(wǎng)網(wǎng)絡(luò)配置置以實(shí)例例的方式式向大家家簡單介介紹其配配置方法法。 談到VLLAN，或許許許多人都都覺得非非常神秘秘，甚至至包括一一些網(wǎng)管管人員。其實(shí)有有關(guān)VLLAN的的技術(shù)標(biāo)標(biāo)準(zhǔn)IEEEE 8022.1QQ早在119999年6月月份就由由IEEEE委員員正式頒頒布實(shí)施施了，而而且最早早的VLLNA技技術(shù)早在在19996年CCiscco（思思科）公公司就提提出了。隨著幾幾年來的的發(fā)展，VLAAN技術(shù)術(shù)得到廣廣泛的支支持，在在大大小小小的企企業(yè)網(wǎng)絡(luò)絡(luò)中廣泛泛應(yīng)用，成為當(dāng)當(dāng)前最為為熱門的的一種以以太局域域網(wǎng)技術(shù)術(shù)。本篇

27、篇就要為為大家介介紹交換換機(jī)的一一個(gè)最常常見技術(shù)術(shù)應(yīng)用-VLLAN技技術(shù)，并并針對中中、小局局域網(wǎng)VVLANN的網(wǎng)絡(luò)絡(luò)配置以以實(shí)例的的方式向向大家簡簡單介紹紹其配置置方法。一、VLLAN基基礎(chǔ)VLLAN（Virrtuaal LLocaal AAreaa Neetwoork）的中文文名為虛擬局局域網(wǎng)，注意意不是VPNN（虛虛擬專用用網(wǎng)）。VLAAN是一一種將局局域網(wǎng)設(shè)設(shè)備從邏邏輯上劃劃分（注注意，不不是從物物理上劃劃分）成成一個(gè)個(gè)個(gè)網(wǎng)段，從而實(shí)實(shí)現(xiàn)虛擬擬工作組組的新興興數(shù)據(jù)交交換技術(shù)術(shù)。這一一新興技技術(shù)主要要應(yīng)用于于交換機(jī)機(jī)和路由由器中，但主流流應(yīng)用還還是在交交換機(jī)之之中。但但又不是是所有交交換

28、機(jī)都都具有此此功能，只有VVLANN協(xié)議的的第三層層以上交交換機(jī)才才具有此此功能，這一點(diǎn)點(diǎn)可以查查看相應(yīng)應(yīng)交換機(jī)機(jī)的說明明書即可可得知。IEEEE于于19999年頒頒布了用用以標(biāo)準(zhǔn)準(zhǔn)化VLLAN實(shí)實(shí)現(xiàn)方案案的8002.11Q協(xié)議議標(biāo)準(zhǔn)草草案。VVLANN技術(shù)的的出現(xiàn)，使得管管理員根根據(jù)實(shí)際際應(yīng)用需需求，把把同一物物理局域域網(wǎng)內(nèi)的的不同用用戶邏輯輯地劃分分成不同同的廣播播域，每每一個(gè)VVLANN都包含含一組有有著相同同需求的的計(jì)算機(jī)機(jī)工作站站，與物物理上形形成的LLAN有有著相同同的屬性性。由于于它是從從邏輯上上劃分，而不是是從物理理上劃分分，所以以同一個(gè)個(gè)VLAAN內(nèi)的的各個(gè)工工作站沒沒有限制

29、制在同一一個(gè)物理理范圍中中，即這這些工作作站可以以在不同同物理LLAN網(wǎng)網(wǎng)段。由由VLAAN的特特點(diǎn)可知知，一個(gè)個(gè)VLAAN內(nèi)部部的廣播播和單播播流量都都不會轉(zhuǎn)轉(zhuǎn)發(fā)到其其他VLLAN中中，從而而有助于于控制流流量、減減少設(shè)備備投資、簡化網(wǎng)網(wǎng)絡(luò)管理理、提高高網(wǎng)絡(luò)的的安全性性。 交換換技術(shù)的的發(fā)展，也加快快了新的的交換技技術(shù)（VVLANN）的應(yīng)應(yīng)用速度度。通過過將企業(yè)業(yè)網(wǎng)絡(luò)劃劃分為虛虛擬網(wǎng)絡(luò)絡(luò)VLAAN網(wǎng)段段，可以以強(qiáng)化網(wǎng)網(wǎng)絡(luò)管理理和網(wǎng)絡(luò)絡(luò)安全，控制不不必要的的數(shù)據(jù)廣廣播。在在共享網(wǎng)網(wǎng)絡(luò)中，一個(gè)物物理的網(wǎng)網(wǎng)段就是是一個(gè)廣廣播域。而在交交換網(wǎng)絡(luò)絡(luò)中，廣廣播域可可以是有有一組任任意選定定的第二二層網(wǎng)絡(luò)

30、絡(luò)地址（MACC地址）組成的的虛擬網(wǎng)網(wǎng)段。這這樣，網(wǎng)網(wǎng)絡(luò)中工工作組的的劃分可可以突破破共享網(wǎng)網(wǎng)絡(luò)中的的地理位位置限制制，而完完全根據(jù)據(jù)管理功功能來劃劃分。這這種基于于工作流流的分組組模式，大大提提高了網(wǎng)網(wǎng)絡(luò)規(guī)劃劃和重組組的管理理功能。在同一一個(gè)VLLAN中中的工作作站，不不論它們們實(shí)際與與哪個(gè)交交換機(jī)連連接，它它們之間間的通訊訊就好象象在獨(dú)立立的交換換機(jī)上一一樣。同同一個(gè)VVLANN中的廣廣播只有有VLAAN中的的成員才才能聽到到，而不不會傳輸輸?shù)狡渌?VVLANN中去，這樣可可以很好好的控制制不必要要的廣播播風(fēng)暴的的產(chǎn)生。同時(shí)，若沒有有路由的的話，不不同VLLAN之之間不能能相互通通訊，

31、這這樣增加加了企業(yè)業(yè)網(wǎng)絡(luò)中中不同部部門之間間的安全全性。網(wǎng)網(wǎng)絡(luò)管理理員可以以通過配配置VLLAN之之間的路路由來全全面管理理企業(yè)內(nèi)內(nèi)部不同同管理單單元之間間的信息息互訪。交換機(jī)機(jī)是根據(jù)據(jù)用戶工工作站的的MACC地址來來劃分VVLANN的。所所以，用用戶可以以自由的的在企業(yè)業(yè)網(wǎng)絡(luò)中中移動辦辦公，不不論他在在何處接接入交換換網(wǎng)絡(luò)，他都可可以與VVLANN內(nèi)其他他用戶自自如通訊訊。 VLLAN網(wǎng)網(wǎng)絡(luò)可以以是有混混合的網(wǎng)網(wǎng)絡(luò)類型型設(shè)備組組成，比比如：110M以以太網(wǎng)、1000M以太太網(wǎng)、令令牌網(wǎng)、FDDDI、CCDDII等等，可以是是工作站站、服務(wù)務(wù)器、集集線器、網(wǎng)絡(luò)上上行主干干等等。 VLLAN除除

32、了能將將網(wǎng)絡(luò)劃劃分為多多個(gè)廣播播域，從從而有效效地控制制廣播風(fēng)風(fēng)暴的發(fā)發(fā)生，以以及使網(wǎng)網(wǎng)絡(luò)的拓拓?fù)浣Y(jié)構(gòu)構(gòu)變得非非常靈活活的優(yōu)點(diǎn)點(diǎn)外，還還可以用用于控制制網(wǎng)絡(luò)中中不同部部門、不不同站點(diǎn)點(diǎn)之間的的互相訪訪問。VLLAN是是為解決決以太網(wǎng)網(wǎng)的廣播播問題和和安全性性而提出出的一種種協(xié)議，它在以以太網(wǎng)幀幀的基礎(chǔ)礎(chǔ)上增加加了VLLAN頭頭，用VVLANN IDD把用戶戶劃分為為更小的的工作組組，限制制不同工工作組間間的用戶戶互訪，每個(gè)工工作組就就是一個(gè)個(gè)虛擬局局域網(wǎng)。虛擬局局域網(wǎng)的的好處是是可以限限制廣播播范圍，并能夠夠形成虛虛擬工作作組，動動態(tài)管理理網(wǎng)絡(luò)。二、VLLAN的的劃分方方法VLLAN在在交換機(jī)

33、機(jī)上的實(shí)實(shí)現(xiàn)方法法，可以以大致劃劃分為六六類:11. 基基于端口口劃分的的VLAAN這是是最常應(yīng)應(yīng)用的一一種VLLAN劃劃分方法法，應(yīng)用用也最為為廣泛、最有效效，目前前絕大多多數(shù)VLLAN協(xié)協(xié)議的交交換機(jī)都都提供這這種VLLAN配配置方法法。這種種劃分VVLANN的方法法是根據(jù)據(jù)以太網(wǎng)網(wǎng)交換機(jī)機(jī)的交換換端口來來劃分的的，它是是將VLLAN交交換機(jī)上上的物理理端口和和VLAAN交換換機(jī)內(nèi)部部的PVVC（永永久虛電電路）端端口分成成若干個(gè)個(gè)組，每每個(gè)組構(gòu)構(gòu)成一個(gè)個(gè)虛擬網(wǎng)網(wǎng)，相當(dāng)當(dāng)于一個(gè)個(gè)獨(dú)立的的VLAAN交換換機(jī)。對于于不同部部門需要要互訪時(shí)時(shí)，可通通過路由由器轉(zhuǎn)發(fā)發(fā)，并配配合基于于MACC地址的

34、的端口過過濾。對對某站點(diǎn)點(diǎn)的訪問問路徑上上最靠近近該站點(diǎn)點(diǎn)的交換換機(jī)、路路由交換換機(jī)或路路由器的的相應(yīng)端端口上，設(shè)定可可通過的的MACC地址集集。這樣樣就可以以防止非非法入侵侵者從內(nèi)內(nèi)部盜用用IP地地址從其其他可接接入點(diǎn)入入侵的可可能。從這這種劃分分方法本本身我們們可以看看出，這這種劃分分的方法法的優(yōu)點(diǎn)點(diǎn)是定義義VLAAN成員員時(shí)非常常簡單，只要將將所有的的端口都都定義為為相應(yīng)的的VLAAN組即即可。適適合于任任何大小小的網(wǎng)絡(luò)絡(luò)。它的的缺點(diǎn)是是如果某某用戶離離開了原原來的端端口，到到了一個(gè)個(gè)新的交交換機(jī)的的某個(gè)端端口，必必須重新新定義。2. 基基于MAAC地址址劃分VVLANN 這種種劃分VV

35、LANN的方法法是根據(jù)據(jù)每個(gè)主主機(jī)的MMAC地地址來劃劃分，即即對每個(gè)個(gè)MACC地址的的主機(jī)都都配置他他屬于哪哪個(gè)組，它實(shí)現(xiàn)現(xiàn)的機(jī)制制就是每每一塊網(wǎng)網(wǎng)卡都對對應(yīng)唯一一的MAAC地址址，VLLAN交交換機(jī)跟跟蹤屬于于VLAAN MMAC的的地址。這種方方式的VVLANN允許網(wǎng)網(wǎng)絡(luò)用戶戶從一個(gè)個(gè)物理位位置移動動到另一一個(gè)物理理位置時(shí)時(shí)，自動動保留其其所屬VVLANN的成員員身份。由這這種劃分分的機(jī)制制可以看看出，這這種VLLAN的的劃分方方法的最最大優(yōu)點(diǎn)點(diǎn)就是當(dāng)當(dāng)用戶物物理位置置移動時(shí)時(shí)，即從從一個(gè)交交換機(jī)換換到其他他的交換換機(jī)時(shí)，VLAAN不用用重新配配置，因因?yàn)樗鞘腔谟糜脩簦皇腔?/p>

36、交換換機(jī)的端端口。這這種方法法的缺點(diǎn)點(diǎn)是初始始化時(shí)，所有的的用戶都都必須進(jìn)進(jìn)行配置置，如果果有幾百百個(gè)甚至至上千個(gè)個(gè)用戶的的話，配配置是非非常累的的，所以以這種劃劃分方法法通常適適用于小小型局域域網(wǎng)。而而且這種種劃分的的方法也也導(dǎo)致了了交換機(jī)機(jī)執(zhí)行效效率的降降低，因因?yàn)樵诿棵恳粋€(gè)交交換機(jī)的的端口都都可能存存在很多多個(gè)VLLAN組組的成員員，保存存了許多多用戶的的MACC地址，查詢起起來相當(dāng)當(dāng)不容易易。另外外，對于于使用筆筆記本電電腦的用用戶來說說，他們們的網(wǎng)卡卡可能經(jīng)經(jīng)常更換換，這樣樣VLAAN就必必須經(jīng)常常配置。3. 基基于網(wǎng)絡(luò)絡(luò)層協(xié)議議劃分VVLANN VLLAN按按網(wǎng)絡(luò)層層協(xié)議來來劃分，

37、可分為為IP、IPXX、DEECneet、AApplleTaalk、Bannyann等VLLAN網(wǎng)網(wǎng)絡(luò)。這這種按網(wǎng)網(wǎng)絡(luò)層協(xié)協(xié)議來組組成的VVLANN，可使使廣播域域跨越多多個(gè)VLLAN交交換機(jī)。這對于于希望針針對具體體應(yīng)用和和服務(wù)來來組織用用戶的網(wǎng)網(wǎng)絡(luò)管理理員來說說是非常常具有吸吸引力的的。而且且，用戶戶可以在在網(wǎng)絡(luò)內(nèi)內(nèi)部自由由移動，但其VVLANN成員身身份仍然然保留不不變。這種種方法的的優(yōu)點(diǎn)是是用戶的的物理位位置改變變了，不不需要重重新配置置所屬的的VLAAN，而而且可以以根據(jù)協(xié)協(xié)議類型型來劃分分VLAAN，這這對網(wǎng)絡(luò)絡(luò)管理者者來說很很重要，還有，這種方方法不需需要附加加的幀標(biāo)標(biāo)簽來識識別

38、VLLAN，這樣可可以減少少網(wǎng)絡(luò)的的通信量量。這種種方法的的缺點(diǎn)是是效率低低，因?yàn)闉闄z查每每一個(gè)數(shù)數(shù)據(jù)包的的網(wǎng)絡(luò)層層地址是是需要消消耗處理理時(shí)間的的(相對對于前面面兩種方方法)，一般的的交換機(jī)機(jī)芯片都都可以自自動檢查查網(wǎng)絡(luò)上上數(shù)據(jù)包包的以太太網(wǎng)禎頭頭，但要要讓芯片片能檢查查IP幀幀頭，需需要更高高的技術(shù)術(shù)，同時(shí)時(shí)也更費(fèi)費(fèi)時(shí)。當(dāng)當(dāng)然，這這與各個(gè)個(gè)廠商的的實(shí)現(xiàn)方方法有關(guān)關(guān)。4. 根據(jù)據(jù)IP組組播劃分分VLAAN IPP 組播播實(shí)際上上也是一一種VLLAN的的定義，即認(rèn)為為一個(gè)IIP組播播組就是是一個(gè)VVLANN。這種種劃分的的方法將將VLAAN擴(kuò)大大到了廣廣域網(wǎng)，因此這這種方法法具有更更大的靈靈活

39、性，而且也也很容易易通過路路由器進(jìn)進(jìn)行擴(kuò)展展，主要要適合于于不在同同一地理理范圍的的局域網(wǎng)網(wǎng)用戶組組成一個(gè)個(gè)VLAAN，不不適合局局域網(wǎng)，主要是是效率不不高。 5. 按按策略劃劃分VLLAN基于于策略組組成的VVLANN能實(shí)現(xiàn)現(xiàn)多種分分配方法法，包括括VLAAN交換換機(jī)端口口、MAAC地址址、IPP地址、網(wǎng)絡(luò)層層協(xié)議等等。網(wǎng)絡(luò)絡(luò)管理人人員可根根據(jù)自己己的管理理模式和和本單位位的需求求來決定定選擇哪哪種類型型的VLLAN 。6. 按用用戶定義義、非用用戶授權(quán)權(quán)劃分VVLANN基于于用戶定定義、非非用戶授授權(quán)來劃劃分VLLAN，是指為為了適應(yīng)應(yīng)特別的的VLAAN網(wǎng)絡(luò)絡(luò)，根據(jù)據(jù)具體的的網(wǎng)絡(luò)用用戶的特

40、特別要求求來定義義和設(shè)計(jì)計(jì)VLAAN，而而且可以以讓非VVLANN群體用用戶訪問問VLAAN，但但是需要要提供用用戶密碼碼，在得得到VLLAN管管理的認(rèn)認(rèn)證后才才可以加加入一個(gè)個(gè)VLAAN。三、VLLAN的的優(yōu)越性性任何何新技術(shù)術(shù)要得到到廣泛支支持和應(yīng)應(yīng)用，肯肯定存在在一些關(guān)關(guān)鍵優(yōu)勢勢，VLLAN技技術(shù)也一一樣，它它的優(yōu)勢勢主要體體現(xiàn)在以以下幾個(gè)個(gè)方面：1. 增增加了網(wǎng)網(wǎng)絡(luò)連接接的靈活活性借助助VLAAN技術(shù)術(shù)，能將將不同地地點(diǎn)、不不同網(wǎng)絡(luò)絡(luò)、不同同用戶組組合在一一起，形形成一個(gè)個(gè)虛擬的的網(wǎng)絡(luò)環(huán)環(huán)境 ，就像使使用本地地LANN一樣方方便、靈靈活、有有效。VVLANN可以降降低移動動或變更更工作

41、站站地理位位置的管管 理費(fèi)費(fèi)用，特特別是一一些業(yè)務(wù)務(wù)情況有有經(jīng)常性性變動的的公司使使用了VVLANN后，這這部分管管理費(fèi)用用大大降降低。22. 控控制網(wǎng)絡(luò)絡(luò)上的廣廣播VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN，可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。3. 增加網(wǎng)網(wǎng)絡(luò)的安安全性因因?yàn)橐粋€(gè)個(gè)VLAAN就是是一個(gè)單單獨(dú)的廣廣播域，VLAAN之間間相互隔隔離，這這大大

42、提提高了網(wǎng)網(wǎng)絡(luò)的利利用率，確保了了網(wǎng)絡(luò)的的安全保保密性。人們在在LANN上經(jīng)常常傳送一一些保密密的、關(guān)關(guān)鍵性的的數(shù)據(jù)。保密的的數(shù)據(jù)應(yīng)應(yīng) 提供供訪問控控制等安安全手段段。一個(gè)個(gè)有效和和容易實(shí)實(shí)現(xiàn)的方方法是將將網(wǎng)絡(luò)分分段成幾幾個(gè)不同同的廣播播組， 網(wǎng)絡(luò)管管理員限限制了VVLANN中用戶戶的數(shù)量量，禁止止未經(jīng)允允許而訪訪問VLLAN中中的應(yīng)用用。交換換端口可可以基 于應(yīng)用用類型和和訪問特特權(quán)來進(jìn)進(jìn)行分組組，被限限制的應(yīng)應(yīng)用程序序和資源源一般置置于安全全性VLLAN中中。四、VLAAN網(wǎng)絡(luò)絡(luò)的配置置實(shí)例為了了給大家家一個(gè)真真實(shí)的配配置實(shí)例例學(xué)習(xí)機(jī)機(jī)會，下下面就以以典型的的中型局局域網(wǎng)VVLANN配置為

43、為例向各各位介紹紹目前最最常用的的按端口口劃分VVLANN的配置置方法。某公公司有1100臺臺計(jì)算機(jī)機(jī)左右，主要使使用網(wǎng)絡(luò)絡(luò)的部門門有：生生產(chǎn)部(20)、財(cái)務(wù)務(wù)部(115)、人事部部(8)和信息息中心(12)四大部部分，如如圖1所所示。網(wǎng)絡(luò)絡(luò)基本結(jié)結(jié)構(gòu)為：整個(gè)網(wǎng)網(wǎng)絡(luò)中干干部分采采用3臺臺Cattalyyst 19000網(wǎng)管管型交換換機(jī)（分分別命名名為：SSwittch11、Swwitcch2和和Swiitchh3，各各交換機(jī)機(jī)根據(jù)需需要下接接若干個(gè)個(gè)集線器器，主要要用于非非VLAAN用戶戶，如行行政文書書、臨時(shí)時(shí)用戶等等）、一一臺Ciiscoo 25514路路由器，整個(gè)網(wǎng)網(wǎng)絡(luò)都通通過路由由器C

44、iiscoo 25514與與外部互互聯(lián)網(wǎng)進(jìn)進(jìn)行連接接。圖1所連的用用戶主要要分布于于四個(gè)部部分，即即：生產(chǎn)產(chǎn)部、財(cái)財(cái)務(wù)部、信息中中心和人人事部。主要對對這四個(gè)個(gè)部分用用戶單獨(dú)獨(dú)劃分VVLANN，以確確保相應(yīng)應(yīng)部門網(wǎng)網(wǎng)絡(luò)資源源不被盜盜用或破破壞。 現(xiàn)為為了公司司相應(yīng)部部分網(wǎng)絡(luò)絡(luò)資源的的安全性性需要，特別是是對于像像財(cái)務(wù)部部、人事事部這樣樣的敏感感部門，其網(wǎng)絡(luò)絡(luò)上的信信息不想想讓太多多人可以以隨便進(jìn)進(jìn)出，于于是公司司采用了了VLAAN的方方法來解解決以上上問題。通過VVLANN的劃分分，可以以把公司司主要網(wǎng)網(wǎng)絡(luò)劃分分為：生生產(chǎn)部、財(cái)務(wù)部部、人事事部和信信息中心心四個(gè)主主要部分分，對應(yīng)應(yīng)的VLLAN

45、組組名為：Prood、FFinaa、Huuma、Inffo，各各VLAAN組所所對應(yīng)的的網(wǎng)段如如下表所所示。VLANN 號 VLANN 名 端口號 2 P rood Swittch 1 22211 3 Finaa Swittch22 216 4 Humaa Swittch33 29 5 Infoo Swittch33 100211 【注注】之所所以把交交換機(jī)的的VLAAN號從從2號開始始，那是是因?yàn)榻唤粨Q機(jī)有有一個(gè)默默認(rèn)的VVLANN，那就就是11號VVLANN，它包包括所有有連在該該交換機(jī)機(jī)上的用用戶。VLLAN的的配置過過程其實(shí)實(shí)非常簡簡單，只只需兩步步：（11）為各各VLAAN組命命名；

46、（2）把把相應(yīng)的的VLAAN對應(yīng)應(yīng)到相應(yīng)應(yīng)的交換換機(jī)端口口。下面面是具體體的配置置過程：第1步：設(shè)置好好超級終終端，連連接上119000交換機(jī)機(jī)，通過過超級終終端配置置交換機(jī)機(jī)的VLLAN，連接成成功后出出現(xiàn)如下下所示的的主配置置界面（交換機(jī)機(jī)在此之之前已完完成了基基本信息息的配置置）： 1 useer(ss) nnow acttivee onn Maanaggemeent Connsolle.Usser Intterffacee MeenuMM MMenuusK Coommaand LinneI IPP CoonfiigurratiionEnnterr Seelecctioon:【注注】超級

47、級終端是是利用WWinddowss系統(tǒng)自自帶的超級終終端（Hypperttrm）程序進(jìn)進(jìn)行的，具體參參見有關(guān)關(guān)資料。第2步：單擊K按按鍵，選選擇主界界面菜單單中K Commmannd LLinee選項(xiàng)項(xiàng) ，進(jìn)進(jìn)入如下下命令行行配置界界面：CLLI ssesssionn wiith thee swwitcch iis oopenn.To endd thhe CCLI sesssioon,eenteer Exiit .此時(shí)時(shí)我們進(jìn)進(jìn)入了交交換機(jī)的的普通用用戶模式式，就象象路由器器一樣，這種模模式只能能查看現(xiàn)現(xiàn)在的配配置，不不能更改改配置，并且能能夠使用用的命令令很有限限。所以以我們必必須進(jìn)入入特權(quán)

48、權(quán)模式。第3步：在上一一步提示示符下輸輸入進(jìn)入入特權(quán)模模式命令令ennablle，進(jìn)入特特權(quán)模式式，命令令格式為為eenabble，此時(shí)時(shí)就進(jìn)入入了交換換機(jī)配置置的特權(quán)權(quán)模式提提示符：#cconffig tEntter connfigguraatioon ccommmandds,oone perr liine.Endd wiith CNTTL/ZZ(connfigg)#第4步：為了安安全和方方便起見見，我們們分別給給這3個(gè)個(gè)Cattalyyst 19000交換換機(jī)起個(gè)個(gè)名字，并且設(shè)設(shè)置特權(quán)權(quán)模式的的登陸密密碼。下下面僅以以Swiitchh1為例例進(jìn)行介介紹。配配置代碼碼如下：(cconffig

49、)#hoostnnamee Swwitcch1Swwitcch1(connfigg)# enaablee paasswwordd leevell 155 XXXXXXXXSwiitchh1(cconffig)#【注注】特權(quán)權(quán)模式密密碼必須須是48位字字符這，要注意意，這里里所輸入入的密碼碼是以明明文形式式直接顯顯示的，要注意意保密。交換機(jī)機(jī)用 lleveel 級級別的大大小來決決定密碼碼的權(quán)限限。Leevell 1 是進(jìn)入入命令行行界面的的密碼，也就是是說，設(shè)設(shè)置了 levvel 1 的的密碼后后，你下下次連上上交換機(jī)機(jī)，并輸輸入 KK 后，就會讓讓你輸入入密碼，這個(gè)密密碼就是是 leevel

50、l 1 設(shè)置的的密碼。而 lleveel 115 是是你輸入入了eenabble命令后后讓你輸輸入的特特權(quán)模式式密碼。第5步：設(shè)置VVLANN名稱。因四個(gè)個(gè)VLAAN分屬屬于不同同的交換換機(jī)，VVLANN命名的的命令為為 vvlann vvlann號nnamee vvlann名稱，在SSwittch11、Swwitcch2、Swiitchh3、交交換機(jī)上上配置22、3、4、55號VLLAN的的代碼為為：Swwitcch1 (coonfiig)#vlaan 22 naame ProodSwiitchh2 (connfigg)#vvlann 3 namme FFinaaSSwittch33 (cc

51、onffig)#vllan 4 nnamee HuumaSwwitcch3 (coonfiig)#vlaan 55 naame Inffo【注注】以上上配置是是按表11規(guī)則進(jìn)進(jìn)行的。第6步：上一步步我們對對各交換換機(jī)配置置了VLLAN組組，現(xiàn)在在要把這這些VLLAN對對應(yīng)于表表1所規(guī)規(guī)定的交交換機(jī)端端口號。對應(yīng)端端口號的的命令是是vllan-memmberrshiip sstattic/ dyynammic VLLAN號號。在這個(gè)個(gè)命令中中sttatiic(靜態(tài))和ddynaamicc(動動態(tài))分分配方式式兩者必必須選擇擇一個(gè)，不過通通常都是是選擇staaticc(靜靜態(tài))方方式。VVLANN

52、端口號號應(yīng)用配配置如下下：（11）. 名為Swiitchh1的的交換機(jī)機(jī)的VLLAN端端口號配配置如下下：Swwitcch1(connfigg)#iint e0/2Swiitchh1(cconffig-if)#vllan-memmberrshiip sstattic 2Swiitchh1(cconffig-if)#innt ee0/33SSwittch11(coonfiig-iif)#vlaan-mmembbersshipp sttatiic 22SSwittch11(coonfiig-iif)#intt e00/4 SSwittch11(coonfiig-iif)#vlaan-mmembbe

53、rsshipp sttatiic 22Swiitchh1(cconffig-if)#innt ee0/220Swiitchh(coonfiig-iif)#vlaan-mmembbersshipp sttatiic 33SSwittch11(coonfiig-iif)#intt e00/211 Swiitchh1(cconffig-if)#vllan-memmberrshiip sstattic 3Swiitchh1(cconffig-if)#【注注】iint是nnterrfacce命命令縮寫寫，是接接口的意意思。e0/3是是ettherrnett 0/2的的縮寫，代表交交換機(jī)的的0號模模塊2號

54、號端口。第3步：在上一一步提示示符下輸輸入進(jìn)入入特權(quán)模模式命令令ennablle，進(jìn)入特特權(quán)模式式，命令令格式為為eenabble，此時(shí)時(shí)就進(jìn)入入了交換換機(jī)配置置的特權(quán)權(quán)模式提提示符：#cconffig tEntter connfigguraatioon ccommmandds,oone perr liine.Endd wiith CNTTL/ZZ(connfigg)#第4步：為了安安全和方方便起見見，我們們分別給給這3個(gè)個(gè)Cattalyyst 19000交換換機(jī)起個(gè)個(gè)名字，并且設(shè)設(shè)置特權(quán)權(quán)模式的的登陸密密碼。下下面僅以以Swiitchh1為例例進(jìn)行介介紹。配配置代碼碼如下：(cconffig

55、)#hoostnnamee Swwitcch1Swwitcch1(connfigg)# enaablee paasswwordd leevell 155 XXXXXXXXSwiitchh1(cconffig)#【注注】特權(quán)權(quán)模式密密碼必須須是48位字字符這，要注意意，這里里所輸入入的密碼碼是以明明文形式式直接顯顯示的，要注意意保密。交換機(jī)機(jī)用 lleveel 級級別的大大小來決決定密碼碼的權(quán)限限。Leevell 1 是進(jìn)入入命令行行界面的的密碼，也就是是說，設(shè)設(shè)置了 levvel 1 的的密碼后后，你下下次連上上交換機(jī)機(jī)，并輸輸入 KK 后，就會讓讓你輸入入密碼，這個(gè)密密碼就是是 leevel

56、l 1 設(shè)置的的密碼。而 lleveel 115 是是你輸入入了eenabble命令后后讓你輸輸入的特特權(quán)模式式密碼。第5步：設(shè)置VVLANN名稱。因四個(gè)個(gè)VLAAN分屬屬于不同同的交換換機(jī)，VVLANN命名的的命令為為 vvlann vvlann號nnamee vvlann名稱，在SSwittch11、Swwitcch2、Swiitchh3、交交換機(jī)上上配置22、3、4、55號VLLAN的的代碼為為：Swwitcch1 (coonfiig)#vlaan 22 naame ProodSwiitchh2 (connfigg)#vvlann 3 namme FFinaaSSwittch33 (cc

57、onffig)#vllan 4 nnamee HuumaSwwitcch3 (coonfiig)#vlaan 55 naame Inffo【注注】以上上配置是是按表11規(guī)則進(jìn)進(jìn)行的。第6步：上一步步我們對對各交換換機(jī)配置置了VLLAN組組，現(xiàn)在在要把這這些VLLAN對對應(yīng)于表表1所規(guī)規(guī)定的交交換機(jī)端端口號。對應(yīng)端端口號的的命令是是vllan-memmberrshiip sstattic/ dyynammic VLLAN號號。在這個(gè)個(gè)命令中中sttatiic(靜態(tài))和ddynaamicc(動動態(tài))分分配方式式兩者必必須選擇擇一個(gè)，不過通通常都是是選擇staaticc(靜靜態(tài))方方式。VVLANN

58、端口號號應(yīng)用配配置如下下：（11）. 名為Swiitchh1的的交換機(jī)機(jī)的VLLAN端端口號配配置如下下：Swwitcch1(connfigg)#iint e0/2Swiitchh1(cconffig-if)#vllan-memmberrshiip sstattic 2Swiitchh1(cconffig-if)#innt ee0/33SSwittch11(coonfiig-iif)#vlaan-mmembbersshipp sttatiic 22SSwittch11(coonfiig-iif)#intt e00/4 SSwittch11(coonfiig-iif)#vlaan-mmembbe

59、rsshipp sttatiic 22Swiitchh1(cconffig-if)#innt ee0/220Swiitchh(coonfiig-iif)#vlaan-mmembbersshipp sttatiic 33SSwittch11(coonfiig-iif)#intt e00/211 Swiitchh1(cconffig-if)#vllan-memmberrshiip sstattic 3Swiitchh1(cconffig-if)#【注注】iint是nnterrfacce命命令縮寫寫，是接接口的意意思。e0/3是是ettherrnett 0/2的的縮寫，代表交交換機(jī)的的0號模模塊2號

60、號端口。 HYPERLINK 局域網(wǎng)實(shí)實(shí)現(xiàn)VLLAN實(shí)實(shí)例現(xiàn)在，網(wǎng)網(wǎng)絡(luò)業(yè)界界對“三三層交換換”和VVLANN這兩詞詞已經(jīng)不不感到陌陌生了。 計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)技術(shù)術(shù)的發(fā)展展猶如戲戲劇舞臺臺，你方方唱罷我我登臺。從傳統(tǒng)統(tǒng)的以太太網(wǎng)（110Mbb/s）發(fā)展到到快速以以太網(wǎng)（1000Mb/s）和和千兆以以太網(wǎng)（10000Mbb/s）也不過過幾年的的時(shí)間，其迅猛猛的勢頭頭實(shí)在令令人吃驚驚。而現(xiàn)現(xiàn)在中大大型規(guī)模模網(wǎng)絡(luò)建建設(shè)中，以千兆兆三層交交換機(jī)為為核心的的所謂“千兆主主干跑、百兆到到桌面”的主流流網(wǎng)絡(luò)模模型已不不勝枚舉舉。現(xiàn)在在，網(wǎng)絡(luò)絡(luò)業(yè)界對對“三層層交換”和VLLAN這這兩詞已已經(jīng)不感感到陌生生了。一、什