VLAN入门.doc

菜鸟学划分VLANVLAN，被称为逻辑范围广播域，或是虚拟局域网。主要通过减少广播降低网络性能得影响。在网络环境中建立VLAN，对网络有以下特点一、灵活性：VLAN的部署不受地理或物理位置的限制，添加或删除成员不需要调整物理线缆二、安全性：如果没有路由设备（路由器和三层交换机）VLAN内可以通讯，VLAN间不可以三、划分网段：一个VLAN等于一个广播域等于一个逻辑网段 在网络环境中如果是跨多个交换机的VLAN，需要在这些交换机中找出一台作为VLAN服务器，用于通告整个网络环境的VLAN信息。而通过通告信息的协议被称为VTP协议VTP：VLAN主干协议，用于通告VLAN信息。VTP有一下三种模式：服务器模式、客户端模式、透明模式。在此我们只介绍前两个，因为第三个很少用服务器模式（server）： 用于建立、删除、修改VLAN 发送和转发VLAN信息 实现VLAN信息的同步 存储在自己的NVRAM内客户机模式（client）： 不能建立、修改、删除VLAN 发送转发VLAN信息 VLAN信息同步 VLAN信息存储在VLAN服务器上下面我们开始看一下VLAN的具体配置：试验环境如下注：本次试验交换机均为二层设备试验目的：PC1与PC3可以相互通讯 PC2与PC4可以相互通讯PC1-PC2-PC3-PC4-配置server交换机Server#vlan database进入VLAN数据库模式Server(vlan)#vtp domain abc创建一个域名，名字为abc。多交换机换分VLAN需要在VLAN服务器上建立一个域，以便客户交换机加入到域中（注：不是windows中的AD）Server(vlan)#vtp server指定本交换机是VLAN服务器还是客户机，再此我们指定为服务器模式Server(vlan)#vlan 2 name 2建立VLAN，命令为Server(vlan)#vlan VLAN号 name VLAN名我们建立的2号VLAN，为了方便记忆，VLAN的名字也为2，注意：1号VLAN不可用，因为一号VLAN用于管理交换机VLAN 2 added:Name:2Server(vlan)#apply 确认2号VLAN，如果确认建立，输入apply。如错误，输入aborServer(vlan)#vlan 3 name 3VLAN 3 added:Name:3Server(vlan)#apply建立三号VLAN，VLAN号为3，名称也为3Server(config)#int fa0/1 进入fa0/1端口Server(config-if)#switchport mode access 声明此端口为访问端口Server(config-if)#switchport access vlan 2 把此端口添加到2号VLAN中Server(config-if)#int fa0/2 进入fa0/2端口Server(config-if)#switchport mode access 声明把此端口设置为访问端口Server(config-if)#switchport access vlan 3 把此端口添加到3号VLAN中 下面我们开始配置干线，VLAN干线用于承载多条VLAN信息链路，在中继端口上配置Server(config-if)#int fa0/12 进入fa0/12端口Server(config-if)#switchport mode trunk 声明此链路为干线链路Server(config-if)#switchport trunk encapsulation dot1q 封装干线信息 在完成server交换机配置后我们可以在#模式下使用show VLAN命令查看一下VLAN信息，下图显示了我们在server交换机上配置了两个VLAN 我们还可以使用show VTP status命令查看一下VTP的信息，下图显示了VLAN的模式为服务器模式，名字为ABCServer#copy running-config startup-config 保存配置，使配置生效配置client交换机Client#vlan database 进入VLAN数据库模式Client(vlan)#vtp domain abc 声明要加入VLAN的域得名字Client(vlan)#vtp client 声明自己为客户端模式Client(config)#interface fa0/12 进入中继端口，开始配置干线和干线协议Client(config-if)#switchport mode trunk 声明为干线Client(config-if)#switchport trunk encapsulation dot1q 封装干线信息 客户端加入到域中不需要在新建立VLAN，当客户端加入到服务器的时候自己的VLAN信息中就有了整个的VLAN，如下图，我们使用show VLAN 可以查看到信息有已经有我们刚才在server交换机上创建的2号和3号VLAN 下面我们只需要把端口添加到域中的VLAN即可Client(config)#interface fa0/1 进入fa0/1端口Client(config-if)#switchport mode access 设置此端口为访问端口Client(config-if)#switchport access vlan 2 把此端添加到2号VLANClient(config-if)#interface fa0/2 进入fa0/2端口Client(config-if)#switchport mode access 设置为访问端口Client(config-if)#switchport access vlan 3 把此端口添加到3号VLAN 下面我们可以在客户机交换机上使用show VLAN 查看到2号VLAN有了fa0/1端口，三号VLAN有了fa0/2端口 下面我们使用show vtp status 查看一下VTP域的模式，我们可以看到为客户端模式，名字为ABCClient#copy running-config startup-config保存配置 本次试验结果：PC1和PC3可以相互通讯PC2和PC4可以相互通讯下图是在PC1上ping其它计算机的结果下图是在PC3上得到的试验结果实现VLAN之间通讯（上）我们都知道，在划分VLAN后VLAN间在默认情况下是不允许相互通讯的，要想实现VLAN间通讯，就必须得使用路由设备（路由器或者三层交换机）。下面我们看一下如何使用路由器实现VLAN间的用户相互通讯试验拓扑环境如下 试验分析：路由器的功能主要用于路由，通过转发或者发送数据包，从而实现不同网段的主机可以相互通讯。在上图环境中，共有两个VLAN，这两个VLAN之间的用户要想通讯必须要使用路由设备。那么路由器是如何实现VLAN间通讯的呢？要想实现VLAN间通讯只需要将每个VLAN的中继端口连接到路由器即可。假如企业中有100个VLAN，难道也要连接路由器的100个端口吗？路由器好像没那么多端口供我们使用。 为了解决这个问题我们可以使用逻辑端口，也就是在网络环境中有多个VLAN要想实现VLAN间通讯时只需要连接路由器的一个端口即可。也就是在路由器的物理端口上建立多个子接口（虚拟端口），而每个子接口对应每一个VLAN，路由器通过利用自己的路由功能来实现VLAN间通讯试验环节：配置S1交换机配置S2交换机在路由器上配置子接口用户测试下面我们开始试验一、配置S1交换机当网络环境中有跨交换机的VLAN时，我们需要这这些交换机中设置一台交换机为服务器，通过此服务器交换机可以实现通告整个网络中的VLAN信息建立VTP域：首先进入VLAN数据库模式，使用命令为vtp database配置VTP域，使用命令为vtp domain 域名 此处我们使用的域名为123配置VTP模式，命令为vtp server，将此交换机配置为服务器模式建立VLAN：使用命令为vlan 号 name 名，我们在此创建了两个VLAN，分别为VLAN2和VLAN3，创建完成后使用apply确认 下面我们可以使用show vlan命令查看VLAN列表中是否存在VLAN2和VLAN3 向VLAN添加端口：在创建完VLAN后我们需要把端口添加到VLAN当中，下图是把fa0/1端口添加到2号VLAN中，把fa0/2端口添加到3号VLAN中 查看端口是否添加成功：使用show vlan命令，可以查看是否把端口添加到VLAN中，在下图我们可以看到VLAN2中存在fa0/1端口，VLAN3中存在fa0/2端口，端口添加成功 封装干线协议：干线协议一般配置在中继端口上，S1路由器的中继端口为FA0/12和FA0/3。Fa0/12用于连接S2交换机，fa0/3用于连接路由器进入fa0/12端口，使用switchport mode trunk命令指定为干线链路，然后封装干线协议，命令为switchport trunk encap dot1q Fa0/3连接的是路由器，所以也要配置干线协议，配置方法同上二、配置S2交换机首先将S2加入到123域中，并指定VLAN的模式为client模式进入中继端口，封装干线协议 作为VTP客户端模式在加入到VTP域时，VLAN信息已经存在服务器VLAN信息，我们可以使用show vlan 命令查看 我们说过，跨交换机的VLAN需要配置交换机模式为服务器模式还是客户端模式。我们可以使用show vtp status命令查看，下图中显示了模式为客户端模式，域为123 我们还可以在服务器交换机上查看，下图显示了S1为服务器模式 既然是客户端模式，便会吧VLAN信息都存储在服务器上，所以S2不需要在建立VLAN，直接把自己的端口添加到VLAN中即可。把fa0/1端口添加到2号VLAN，把fa0/2端口添加到3号VLAN 添加完成后我们可以使用show vlan 查看VLAN信息，下图中已经显示了在VLAN2中有个fa0/1端口，在VLAN3中有一个fa0/2端口。端口添加无误 此时VLAN内可以通讯，但VLAN间不可以：在PC1上pingPC3和PC4，PC1和C3为同一VLAN，所以可以通讯。PC4不和PC1在同一VLAN，所以不通 在PC2上pingPC1和PC4，PC1不和PC2在同一VLAN，所以不通。PC2和PC4在同一VLAN，所以可以实现访问三、配置路由器 在路由器的一个物理端口上建立多个虚拟端口（子接口），在本次环境中有两个VLAN，所以我们要在一个物理端口上建立两个子接口，然后我们在子接口上配置IP地址，用于实现和VLAN的通讯注意事项：路由器不同子接口上的IP地址应在不同网段路由器上子接口的IP地址与该子接口对应的VLAN的设备的IP地址，应该在同一网段子接口的IP地址为它对应的VLAN内的设备的网关 进入物理端口fa0/0激活此端口，命令为no shutdown进入子接口，命令为int fa0/0.1封装干线协议，命令为encap dot1q 2,注：2为VLAN号，表明此子接口用于连接2号VLAN为fa0/0.1子接口创建IP地址，IP地址为 ，和VLAN2应在同一网段，而且是VLAN2的网关进入fa0/0.2子接口封装干线协议，VLAN号为3，因为用于连接VLAN3为fa0/0.2子接口配置IP地址，IP为，应该和VLAN3在同一网段，而且是VLAN3的网关 路由器具体配置如下图四、客户机之间测试 下面VLAN2和VLAN3里面的用户无论怎么访问都可以实现通讯Vlan间DHCP配置Vlan间DHCP配置网络环境：一台3550EMI交换机，划分三个vlan,vlan2 为服务器所在网络，命名为server,|IP地址段为,子网掩码:,网关:,域服务器为windows 2000 advance server,同时兼作DHCP服务器，DNS服务器，IP地址为0, vlan3为客户机1所在网络，IP地址段为,子网掩码:,网关:命名为work01,vlan4 为客户机2所在网络,命名为work02,IP地址段为,子网掩码:,网关:.3550上端口1-8划到VLAN 2，端口9-16划分到VLAN 3,端口17-24划分到VLAN 4.配置命令及步骤如下：第一步：创建VLAN：SwitchVlan DatabaseSwitch(Vlan)Vlan 2 Name serverSwitch(Vlan)Vlan 3 Name work01Switch(vlan)Vlan 4 Name work02|第二步：启用DHCP中继代理：/*关键一步，若缺少以下两条命令，在VLAN中使用“IP HELPER-ADDRESS DHCP服务器地址”指定DHCP服务器，客户机仍然不能获得IP地址*/SwitchEnableSwitch#Config tSwitch(Config)Service DhcpSwitch(Config)Ip Dhcp Relay Information Option第三步：设置VLAN IP地址：Switch(Config)Int Vlan 2Switch(Config-vlan)Ip Address Switch(Config-vlan)No ShutSwitch(Config-vlan)Int Vlan 3Switch(Config-vlan)Ip Address Switch(Config-vlan)No ShutSwitch(Config-vlan)Int Vlan 4Switch(Config-vlan)Ip Address Switch(Config-vlan)No ShutSwitch(Config-vlan)Exit/*注意：由于此时没有将端口分配置到VLAN2，3，4，所以各VLAN会DOWN掉，待将端口分配到各VLAN后，VLAN会起来*/第四步：设置端口全局参数Switch(Config)Interface Range Fa 0/1 - 24Switch(Config-if-range)Switchport Mode AccessSwitch(Config-if-range)Spanning-tree Portfast第五步：将端口添加到VLAN2，3，4中/*将端口1-8添加到VLAN 2*/Switch(Config)Interface Range Fa 0/1 - 8Switch(Config-if-range)Switchport Access Vlan 2/*将端口9-16添加到VLAN 3*/Switch(Config)Interface Range Fa 0/9 - 16Switch(Config-if-range)Switchport Access Vlan 3/*将端口17-24添加到VLAN 4*/Switch(Config)Interface Range Fa 0/17 - 24Switch(Config-if-range)Switchport Access Vlan 4Switch(Config-if-range)Exit/*经过这一步后，各VLAN会起来*/第六步：在VLAN3和4中设定DHCP服务器地址/*VLAN 2中不须指定DHCP服务器地址*/Switch(Config)Int Vlan 3Switch(Config-vlan)Ip Helper-address 0Switch(Config)Int Vlan 4Switch(Config-vlan)Ip Helper-address 0|第七步:启用路由/*路由启用后,各VLAN间主机可互相访问,若需进一步控制访问权限,则需应用到访问控制列表*/Switch(Config)Ip Routing第八步：结束并保存配置Switch(Config-vlan)EndSwitch#Copy Run Start本文出自 51CTO.COM技术博客根据IP查找在交换机上的端口 show arp | in ip找到MAC地址，然后show mac-address-table address MAC找到对应交换机端口，vlan1 必须管理DOWN 掉，否则netmanegervlan2不通，无法远程管理交换机。0710-SCM4506-Ashow cdp neighbors GigabitEthernet3/15 查找端口上所接的设备 Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - PhoneDevice ID Local Intrfce Holdtme Capability Platform Port ID254150 Gig 3/15 166 S I WS-C2950G-Gig 0/2Cisco2924#show mac-address-table dynamic address 0009.6b8c.64ec Non-static Address Table: Destination Address Address Type VLAN Destination Port - - - - 0009.6b8c.64ec Dynamic 2 FastEthernet0/2 Cisco2924#show mac-address-table dynamic interface f0/2 Non-static Address Table: Destination Address Address Type VLAN Destination Port - - - - 0009.6b8c.64ec Dynamic 2 FastEthernet0/2 通过以上命令可知，MAC地址0009.6b8c.64ec 与Cisco 2924交换机相连，且是该端口上唯一活动的MAC地址，所以IP为50的机器应该就连接在这个端口上。 本文出自 51CTO.COM技术博客Vlan间路由实验（单臂路由实现法）实验拓扑图：COLOR: #000000实验环境说明：1.利用路由器R1、R2模拟PC，关闭其路由功能；2.将路由器R1的Fa0/0端口的ip设为：/24，默认网关设为：；3.将路由器R2的Fa0/0端口的ip设为：/24，默认网关设为：；4.将交换机SW1关闭路由功能，作为二层交换机使用，并划分VLAN14、VLAN15两个VLAN；5.将交换机SW1的Fa1/14端口加入到VLAN14中，将Fa1/15端口加入到VLAN15中；6.在路由器R3的Fa0/0接口启用子接口Fa0/0.14（ip设为：/24）、Fa0/0.15（ip设为：/24）并封装相应的VLAN号；实验结果要求R1、R2能够互相ping通对方。实验配置过程：交换机SW1的配置清单：1.划分VLAN：SW1#vlan dataSW1(vlan)#vlan 14SW1(vlan)#vlan 15SW1(vlan)#exit2.将端口加入到相应的VLAN：SW1(config)#int fa1/14SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#switchport mod accSW1(config-if)#switchport acc vlan 14SW1(config-if)#exitSW1(config)#int fa1/15SW1(config-if)#speed 100SW1(config-if)#duplex fullSW1(config-if)#switchport mod accSW1(config-if)#switchport acc vlan 15SW1(config-if)#exit3.为Fa1/13端口配置干道：SW1(config)#int fa1/13SW1(config-if)#switchport mod trunkSW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#no shutSW1(config-if)#exit4.关闭交换机的路由功能：SW1(config)#no ip routing 路由器R3的配置清单：1.开启路由器R3的路由功能：R3(config)#ip routing2.启用子接口、封装VLAN并设置ip：R3(config)#int fa0/0.14R3(config-subif)#encapsulation dot1q 14 R3(config-subif)#ip add R3(config-subif)#no shutR3(config-subif)#exitR3(config)#int fa0/0.15R3(config-subif)#encapsulation dot1q 15R3(config-subif)#ip add R3(config-subif)#no shutR3(config-subif)#exit3.配置Fa0/0端口并启动该端口：R3(config)#int fa0/0R3(config-if)#speed 100R3(config-if)#duplex fullR3(config-if)#no shut路由器R2的配置清单：R2(config)#no ip routingR2(config)#ip default-gateway R2(config)#int fa0/0R2(config-if)#speed 100R2(config-if)#duplex fullR2(config-if)#ip add R2(config-if)#no shut路由器R1的配置清单：R1(config)#no ip routingR1(config)#ip default-gateway R1(config)#int fa0/0R1(config-if)#speed 100R1(config-if)#duplex fullR1(config-if)#ip add R1(config-if)#no shutR1(config-if)#exit实验1：在单个交换机上划分VLAN。一、交换机的配置：en#conf t(config)#hostname S1S1(config)#ip add S1(config)#ip default-gateway 54S1(config)#vlan 2 name vlan2S1(config)#int e0/3S1(config-if)#vlan-membership static 2S1(config-if)#exitS1(config)#int e0/4S1(config-if)#vlan-membership static 2S1(config-if)#exitS1(config-if)#z二、PC机的配置：PC机IP地址默认网关pc1054三、实验结果：1、同VLAN内的PC机可通，不同VLAN内的PC不通。2、所有PC与交换机通。本文出自 51CTO.COM技术博客CCNP课堂练习三：vlan简单介绍及通过单交换机实现不同vlan间通讯VLAN（Virtual Local Area Network，虚拟局域网），主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。vlan的优点大概有以下几条： 1. 限制广播域。广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。 2. 增强局域网的安全性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。 3. 灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。 4.VLAN是在数据链路层的，划分子网是在网络层的，所以不同子网之间的VLAN即使是同名也不可以相互通信。vlan可分为静态vlan和动态vlan。静态vlan是基于端口适用于固定空间的办公人群。动态vlan是基于mac适用于移动的办公人群。vlan的划分方法：单交换机环境，在二层交换机上划分如下： 1、定义vlan编号并分配其名称 2、把各自的端口放入VLAN中 3、在每个VLAN内部仅有成员间对应的网段信息通讯在三层交换机上划分如下： 1.定义每个vlan管理的ip地址 2.在交换机上启用全局模式下的三层功能3.每个vlan内部主机成员其网关地址指向所在vlan管理的ip，实现不同vlan间的交叉通讯模式多交换机环境，在二层交换机上划分如下： 1.定义vtp信息 2.在交换机之间根据bpud通讯规则，定义trunk功能3.在具备服务器身份的交换机上定义vlan编号，并分配其名称 4.在具备客户端身份的交换机上将端口放入定义的vlan内 5.实现交换机间的vlan内部成员通讯关系在三层交换机上划分如下：1.在交换机上定义vlan编号并其名称2.把端口防入vlan3.在交换机上定义trunk功能 4.在交换机的100MB以太端口进行子网划分，并封装dot1q或isl数据标识规划其所属的vlan 5.在每个vlan内部的主机成员其网关地址指向所在路由的100MB以太子接口的管理IP地址，实现不同vlan间的交叉通讯模式。 今天我就做一个简单的实验，在单交换机（二层交换机）的环境下划分vlan实验设备：一台二层交换机三台PC机。交换机的端口必须是NM-16ESW。在试验中我们把三个vlan号定义为2、3、4。交换机连接三个pc机的端口依次为F0/2、F0/4、F0/6实验目的：通过交换机实现不同vlan间的通讯，全网全通。实验步骤：1、定义vlan编号并分配其名称 2、把各自的端口放入VLAN中3、在每个VLAN内部仅有成员间对应的网段信息通讯实验连线图：VPCS V0/1 Switch1 F0/2 VPCS V0/2 Switch1 F0/4 VPCS V0/3 Switch1 F0/6 switch中的配置：RouterenRouter#conf tRouter(config)#host s1s1(config)#exits1#vlan databases1(vlan)#vlan 2 name v2s1(vlan)#vlan 3 name v3s1(vlan)#vlan 4 name v4s1(vlan)#exits1#conf ts1(config)#int f0/2s1(config-if)#switchport mode accesss1(config-if)#switchport access vlan 2s1(config-if)#exits1(config)#int f0/4s1(config-if)#switchport mode accesss1(config-if)#switchport access vlan 3s1(config-if)#exits1(config)#int f0/6s1(config-if)#switchport mode accesss1(config-if)#switchport access vlan 4s1(config-if)#exits1(config)#int vlan 2s1(config-if)#ip addr s1(config-if)#no shuts1(config-if)#exits1(config)#int vlan 3s1(config-if)#ip addr s1(config-if)#no shuts1(config-if)#exits1(config)#int vlan 4s1(config-if)#ip addr s1(config-if)#no shuts1(config-if)#exits1(config)#ip routing配置完交换机后我们该来配置pc机了。配置pc机很简单，只须给pc机配置好ip地址就行。pc机的ip配置如下：PC1 : 网关：PC2 : 网关：PC3 : 网关：下面我们在pc机上验证一下。ok，没问题用pc机3ping通了pc机2和pc机1，也可以ping通它们的网关，如下图所示。通过交换机实现不同vlan间的通讯，实现了全网全通。VLAN技术入门VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。 VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。 VLAN具有以下优点：控制网络的广播风暴 采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。 确保网络安全 共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。 简化网络管理 网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。 VLAN的分类主要有以下几种： 基于端口的VLAN 基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法，这实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。 基于MAC地址的VLAN 由于只有网卡才分配有MAC地址，因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。事实上，该VLAN是一些MAC地址的集合。当设备移动时，VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址，显然当网络规模很大，设备很多时，会给管理带来难度。 基于第3层的VLAN 基于第3层的VLAN是采用在路由器中常用的方法：IP子网和IPX网络号等。其中，局域网交换机允许一个子网扩展到多个局域网交换端口，甚至允许一个端口对应于多个子网。 基于策略的VLAN 基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用什么样的策略？目前，常用的策略有（与厂商设备的支持有关）： 按MAC地址 按IP地址 按以太网协议类型 按网络的应用等本文出自 51CTO.COM技术博客在公司内部如何进行VLAN划分?网络正常高效地运转呢？在真正实施公司内部网的划分之前，我们还是先来了解一些相关的VLAN技术。 VLAN的定义 究竟什么是VLAN呢? VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。 VLAN的划分 1.根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。 第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。 以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。 2.根据MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。 3.根据网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。 4.根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。 VLAN的标准 对VLAN的标准，我们只是介绍两种比较通用的标准，当然也有一些公司具有自己的标准，比如Cisco公司的ISL标准，虽然不是一种大众化的标准，但是由于Cisco Catalyst交换机的大量使用，ISL也成为一种不是标准的标准了。 802.10VLAN标准 在1995年，Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而，大多数802委员会的成员都反对推广802.10。因为，该协议是基于FrameTagging方式的。 802.1Q 在1996年3月，IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构，统一了Fram-eTagging方式中不同厂商的标签格式，并制定了VLAN标准在未来一段时间内的发展方向，形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。 公司内部进行VLAN的划分实例 对于每个公司而言都有自己不同的需求，下面我们给