带你入门 一窥VLAN全貌

带你入门 一窥VLAN全貌 带你入门一窥VLAN全貌VLAN?Virtual LAN?翻译成中文是“虚拟局域网”。 LAN可以是由少数几台家用计算机构成的网络?也可以是数以百计的计算机构成的企业网络。 1菜鸟起步初识VLAN VLAN?Virtual LocalArea Network?又称虚拟局域网?是指在交换局域网的基础上?采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络什么是VLAN VLAN?Virtual LocalArea Network?又称虚拟局域网?是指在交换局域网的基础上?采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。 一个VLAN组成一个逻辑子网?即一个逻辑广播域?它可以覆盖多个网络设备?允许处于不同地理位置的网络用户加入到一个逻辑子网中。 组建VLAN的条件VLAN是建立在物理网络基础上的一种逻辑子网?因此建立VLAN需要相应的支持VLAN技术的网络设备。 当网络中的不同VLAN间进行相互通信时?需要路由的支持?这时就需要增加路由设备要实现路由功能?既可采用路由器?也可采用三层交换机来完成。 划分VLAN的基本策略从技术角度讲?VLAN的划分可依据不同原则?一般有以下三种划分方法? 1、基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组?这是最简单、最有效的划分方法。 该方法只需网络管理员对网络设备的交换端口进行重新分配即可?不用考虑该端口所连接的设备。 2、基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符?每一块网卡的MAC地址都是惟一且固化在网卡上的。 MAC地址由12位16进制数表示?前8位为厂商标识?后4位为网卡标识。 网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 3、基于路由的VLAN划分路由协议工作在网络层?相应的工作设备有路由器和路由交换机?即三层交换机?。 该方式允许一个VLAN跨越多个交换机?或一个端口位于多个VLAN中。 就目前来说?对于VLAN的划分主要采取上述第 1、3种方式?第2种方式为辅助性的方案。 使用VLAN优点使用VLAN具有以下优点? 1、控制广播风暴一个VLAN就是一个逻辑广播域?通过对VLAN的创建?隔离了广播?缩小了广播范围?可以控制广播风暴的产生。 2、提高网络整体安全性通过路由访问列表和MAC地址分配等VLAN划分原则?可以控制用户访问权限和逻辑网段大小?将不同用户群划分在不同VLAN?从而提高交换式网络的整体性能和安全性。 3、网络管理简单、直观对于交换式以太网?如果对某些用户重新进行网段分配?需要网络管理员对网络系统的物理结构重新进行调整?甚至需要追加网络设备?增大网络管理的工作量。 而对于采用VLAN技术的网络来说?一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。 在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。 利用虚拟网络技术?大大减轻了网络管理和维护工作的负担?降低了网络维护费用。 在一个交换网络中?VLAN提供了网段和机构的弹性组合机制。 三层交换技术传统的路由器在网络中有路由转发、防火墙、隔离广播等作用?而在一个划分了VLAN以后的网络中?逻辑上划分的不同网段之间通信仍然要通过路由器转发。 由于在局域网上?不同VLAN之间的通信数据量是很大的?这样?如果路由器要对每一个数据包都路由一次?随着网络上数据量的不断增大?路由器将不堪重负?路由器将成为整个网络运行的瓶颈。 在这种情况下?出现了第三层交换技术?它是将路由技术与交换技术合二为一的技术。 三层交换机在对第一个数据流进行路由后?会产生一个MAC地址与IP地址的映射表?当同样的数据流再次通过时?将根据此表直接从二层通过而不是再次路由?从而消除了路由器进行路由选择而造成网络的延迟?提高了数据包转发的效率?消除了路由器可能产生的网络瓶颈问题。 可见?三层交换机集路由与交换于一身?在交换机内部实现了路由?提高了网络的整体性能。 在以三层交换机为核心的千兆网络中?为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性?可采用VLAN技术进行虚拟网络划分。 VLAN子网隔离了广播风暴?对一些重要部门实施了安全保护?且当某一部门物理位置发生变化时?只需对交换机进行设置?就可以实现网络的重组?非常方便、快捷?同时节约了成本。 2虚拟局域网入门虚拟网是指在物理网络基础架构上?利用交换机和路由器的功能?配置网络的逻辑拓扑结构?从而允许网络管理员任意地将一个局域网内的任何数量网段聚合成一个用户组?就好像它们是一个单独的局域网有很多企业在发展的初期?人员较少?因此对网络的要求也不高?而且为了节约成本?很多企业网都采用了通过路由器实现分段的简单结构?图1?。 在这样的网络下?每一个局域网上的广播数据包都可以被该段上的所有设备收到?而无论这些设备是否需要。 随着企业规模的不断扩大?特别是多媒体在企业局域网中的应用?使每个部门内部的数据传输量非常大。 此外?由于公司发展中一些遗留下来的问题?使得一个部门的员工不能相对集中办公。 更重要的是?公司的财务部门需要越来越高的安全性?不能和其他的部门混用一个以太网段?以防止数据窃听。 这些新问题需要更灵活地配置局域网?因此就产生了虚拟局域网?Virtual LAN?技术。 图1虚拟网是指在物理网络基础架构上?利用交换机和路由器的功能?配置网络的逻辑拓扑结构?从而允许网络管理员任意地将一个局域网内的任何数量网段聚合成一个用户组?就好像它们是一个单独的局域网。 近期虚拟网?VLAN?迅速倔起?并成为最具生命力的组网技术之一。 ?图2?图2虚拟局域网的特点在使用带宽、灵活性、性能等方面?虚拟局域网?VLAN?都显示出很大优势。 虚拟局域网的使用能够方便地进行用户的增加、删除、移动等工作?提高网络管理的效率。 他具有以下特点? 1、灵活的、软定义的、边界独立于物理媒质的设备群。 VLAN概念的引入?使交换机承担了网络的分段工作?而不再使用路由器来完成。 通过使用VLAN?能够把原来一个物理的局域网划分成很多个逻辑意义上的子网?而不必考虑具体的物理位置?每一个VLAN都可以对应于一个逻辑单位?如部门、车间和项目组等。 2、广播流量被限制在软定义的边界内、提高了网络的安全性。 由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机?因此减少了数据窃听的可能性?极大地增强了网络的安全性。 3、在同一个虚拟局域网成员之间提供低延迟、线速的通信。 能够在网络内划分网段或者微网段?提高网络分组的灵活性。 VLAN技术通过把网络分成逻辑上的不同广播域?使网络上传送的包只在与位于同一个VLAN的端口之间交换。 这样就限制了某个局域网只与同一个VLAN的其它局域网互相连?避免浪费带宽?从而消除了传统的桥接?交换网络的固有缺陷包经常被传送到并不需要它的局域网中。 这也改善了网络配置规模的灵活性?尤其是在支持广播?多播协议和应用程序的局域网环境中?会遭遇到如潮水般涌来的包。 而在VLAN结构中?可以轻松地拒绝其他VLAN的包?从而大大减少网络流量。 虚拟局域网的分类虚拟局域网是一种软技术?如何分类?将决定此技术在网络中能否发挥到预期作用?下面将介绍虚拟局域网的分类以及特性。 常见的虚拟局域网分类有三种?基于端口、基于硬件MAC地址、基于网络层。 1、基于端口基于端口的虚拟局域网划分是比较流行和最早的划分方式?其特点是将交换机按照端口进行分组?每一组定义为一个虚拟局域网。 这些交换机端口分组可以在一台交换机上也可以跨越几个交换机?例如?号交换机的端口1和2以及2号交换机的端口 4、 5、6和7上的最终工作站组成了虚拟局域网A?而1号交换机的端口 3、 4、 5、 6、7和8加上2号交换机的端口 1、 2、3和8上的最终工作站组成了虚拟局域网B?。 图3端口分组目前是定义虚拟局域网成员最常用的方法?而且配置也相当直截了当。 纯粹用端口分组来定义虚拟局域网不会容许多个虚拟局域网包含同一个实际网段?或交换机端口?。 其特点是一个虚拟局域网的各个端口上的所有终端都在一个广播域中?它们相互可以通信?不同的虚拟局域网之间进行通信需经过路由来进行。 这种虚拟局域网划分方式的优点在于简单?容易实现?从一个端口发出的广播?直接发送到虚拟局域网内的其他端口?也便于直接监控。 但是?用端口定义虚拟局域网的主要局限性是?使用不够灵活?当用户从一个端口移动到另一个端口的时候网络管理员必须重新配置虚拟局域网成员。 不过这一点可以通过灵活的网络管理软件来弥补。 2、基于硬件MAC地址层基于硬件MAC地址层地址的虚拟局域网具有不同的优点和缺点。 由于硬件地址层的地址是硬连接到工作站的网络界面卡?NIC?上的?所以基于硬件地址层地址的的虚拟局域网使网络管理者能够把网络上的工作站移动到不同的实际位置?而且可以让这台工作站自动地保持它原有的虚拟局域网成员资格。 按照这种方式?由硬件地址层地址定义的虚拟局域网可以被视为基于用户的虚拟局域网。 这种方式的虚拟局域网?交换机对终端的MAC地址和交换机端口进行跟踪?在新终端入网时根据已经定义的虚拟局域网MAC对应表将其划归至某一个虚拟局域网?而无论该终端在网络中怎样移动?由于其MAC地址保持不变?故不需进行虚拟局域网的重新配置。 这种划分方式减少了网络管理员的日常维护工作量?不足之处在于所有的终端必须被明确的分配在一个具体的虚拟局域网?任何时候增加终端或者更换网卡?都要对虚拟局域网数据库调整?以实现对该终端的动态跟踪。 基于硬件地址层地址的虚拟局域网解决方案的缺点之一是要求所有的用户必须初始配置在至少一个虚拟局域网中。 在这次初始手工配置之后?用户的自动跟踪才有可能实现?而且取决于特定的供应商解决方案。 然而?这种不得不在一开始先用人工配置虚拟局域网的方法?其缺点在一个非常大的网络中变得非常明显?几千个用户必须逐个地分配到各自特定的虚拟局域网中。 某些供应商已经减少了初始手工配置基于硬件地址的虚拟局域网的繁重任务?它们采用根据网络的当前状态生成虚拟局域网的工具?也就是说为每一个子网生成一个基于硬件地址的虚拟局域网。 3、基于网络层基于网络层的虚拟局域网划分也叫做基于策略?POLICY?的划分?是这几种划分方式中最高级也是最为复杂的。 基于网络层的虚拟局域网使用协议?如果网络中存在多协议的话?或网络层地址?如TCP/IP中的子网段地址?来确定网络成员。 利用网络层定义虚拟网有以下几点优势。 第一?这种方式可以按传输协议划分网段。 其次?用户可以在网络内部自由移动而不用重新配置自己的工作站。 第三?这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。 这种方式看起来是最为理想的方式?但是在采用这种划分之前?要明确两件事情?一是IP盗用?二是对设备要求较高?不是所有设备都支持这种方式。 虚拟局域网的应用由于虚拟局域网具有比较明显的优势?在各种企业中都有了很好的应用。 下面就根据不同的案例来分析虚拟局域网的应用情况。 1、局域网内部的局域网往往很多企业已经具有一个相当规模的局域网?但是现在企业内部因为保密或者其他原因?要求各业务部门或者课题组独立成为一个局域网?同时?各业务部门或者课题组的人员不一定是在同一个办公地点?各网络之间不允许互相访问。 根据这种情况?可以有几种解决方法?但是虚拟局域网解决方法可能是最好的。 为了完成上述任务?我们要做的工作是收集各部门或者课题组的人员组成、所在位置、与交换机连接的端口等信息。 根据部门数量对交换机进行配置?创建虚拟局域网?设置中继?最后?在一个公用的局域网内部划分出来若干个虚拟的局域网?同时减少了局域网内的广播?提高了网络传输性能。 这样的虚拟局域网可以方便地根据需要增加、改变、删除。 2、共享访问访问共同的接入点和服务器在一些大型写字楼或商业建筑?酒店、展览中心等?经常存在这样的现象?大楼出租给各个单位?并且大楼内部已经构建好了局域网?提供给入驻企业或客户网络平台?并通过共同的出口访问Inter或者大楼内部的综合信息服务器。 由于大楼的网络平台是统一的?使用的客户有物业管理人员、有其他不同单位的客户。 在这样一个共享的网络环境下?解决不同企业或单位对网络的需求的同时?还要保证各企业间信息的独立性。 这种情况下?虚拟局域网提供了很好的解决方案。 大厦的系统管理员可以为入驻企业创建一个个独立的虚拟局域网?保证企业内部的互相访问和企业间信息的独立?然后利用中继技术?将提供接入服务的代理服务器或者路由器所对应的局域网接口配置成为中继模式?实现共享接入。 这种配置方式还有一个好处?可以根据需要设置中继的访问许可?灵活地允许或者拒绝某个虚拟局域网的访问。 3、交叠虚拟局域网交叠虚拟局域网是在基于端口划分虚拟局域网的基础上提出来的?最早的交换机每一个端口只能同时属于一个虚拟局域网?交叠虚拟局域网允许一个交换机端口同时属于多个虚拟局域网。 这种技术可以解决一些突发性的、临时性的虚拟局域网划分。 比如在一个科研机构?已经划分了若干个虚拟局域网?但是因为某个科研任务?从各个虚拟局域网里面抽调出来技术人员临时组成课题组?要求课题组内部通信自如?同时各科研人员还要保持和原来的虚拟局域网进行信息交流。 如果采用路由和访问列表控制技术?成本会较大?同时会降低网络性能。 交叠技术的出现?为这一问题提供了廉价的解决方法?只需要将要加入课题组的人员所对应的交换机端口设置成为支持多个虚拟局域网?然后创建一个新虚拟局域网?将所有人员划分到新虚拟局域网?保持各人员原来所属虚拟局域网不变即可。 图4以上简单的介绍了虚拟局域网的主要技术和一些实际应用?希望会给读者带来有益的帮助。 随着现代交换技术的发展而出现?并将随着网络的应用得到普及?虚拟局域网将成为众多网络设计、规划和管理人员欢迎和使用的技术。 ?交换机VLAN的配置本篇就要为大家介绍交换机的一个最常见技术应用-VLAN技术?并针对中、小局域网VLAN的网络配置以实例的方式向大家简单介绍其配置方法。 谈到VLAN?或许许多人都觉得非常神秘?甚至包括一些网管人员。 其实有关VLAN的技术标准IEEE802.1Q早在1999年6月份就由IEEE委员正式颁布实施了?而且最早的VLNA技术早在1996年Cisco?思科?公司就提出了。 随着几年来的发展?VLAN技术得到广泛的支持?在大大小小的企业网络中广泛应用?成为当前最为热门的一种以太局域网技术。 本篇就要为大家介绍交换机的一个最常见技术应用-VLAN技术?并针对中、小局域网VLAN的网络配置以实例的方式向大家简单介绍其配置方法。 一、VLAN基础VLAN?Virtual LocalArea Network?的中文名为虚拟局域网?注意不是VPN?虚拟专用网?。 VLAN是一种将局域网设备从逻辑上划分?注意?不是从物理上划分?成一个个网段?从而实现虚拟工作组的新兴数据交换技术。 这一新兴技术主要应用于交换机和路由器中?但主流应用还是在交换机之中。 但又不是所有交换机都具有此功能?只有VLAN协议的第三层以上交换机才具有此功能?这一点可以查看相应交换机的说明书即可得知。 IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术的出现?使得管理员根据实际应用需求?把同一物理局域网内的不同用户逻辑地划分成不同的广播域?每一个VLAN都包含一组有着相同需求的计算机工作站?与物理上形成的LAN有着相同的属性。 由于它是从逻辑上划分?而不是从物理上划分?所以同一个VLAN内的各个工作站没有限制在同一个物理范围中?即这些工作站可以在不同物理LAN网段。 由VLAN的特点可知?一个VLAN内部的广播和单播流量都不会转发到其他VLAN中?从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 交换技术的发展?也加快了新的交换技术?VLAN?的应用速度。 通过将企业网络划分为虚拟网络VLAN网段?可以强化网络管理和网络安全?控制不必要的数据广播。 在共享网络中?一个物理的网段就是一个广播域。 而在交换网络中?广播域可以是有一组任意选定的第二层网络地址?MAC地址?组成的虚拟网段。 这样?网络中工作组的划分可以突破共享网络中的地理位置限制?而完全根据管理功能来划分。 这种基于工作流的分组模式?大大提高了网络规划和重组的管理功能。 在同一个VLAN中的工作站?不论它们实际与哪个交换机连接?它们之间的通讯就好象在独立的交换机上一样。 同一个VLAN中的广播只有VLAN中的成员才能听到?而不会传输到其他的VLAN中去?这样可以很好的控制不必要的广播风暴的产生。 同时?若没有路由的话?不同VLAN之间不能相互通讯?这样增加了企业网络中不同部门之间的安全性。 网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。 交换机是根据用户工作站的MAC地址来划分VLAN的。 所以?用户可以自由的在企业网络中移动办公?不论他在何处接入交换网络?他都可以与VLAN内其他用户自如通讯。 VLAN网络可以是有混合的网络类型设备组成?比如?10M以太网、100M以太网、令牌网、FDDI、CDDI等等?可以是工作站、服务器、集线器、网络上行主干等等。 VLAN除了能将网络划分为多个广播域?从而有效地控制广播风暴的发生?以及使网络的拓扑结构变得非常灵活的优点外?还可以用于控制网络中不同部门、不同站点之间的互相访问。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议?它在以太网帧的基础上增加了VLAN头?用VLAN ID把用户划分为更小的工作组?限制不同工作组间的用户互访?每个工作组就是一个虚拟局域网。 虚拟局域网的好处是可以限制广播范围?并能够形成虚拟工作组?动态管理网络。 二、VLAN的划分方法VLAN在交换机上的实现方法?可以大致划分为六类:1.基于端口划分的VLAN这是最常应用的一种VLAN划分方法?应用也最为广泛、最有效?目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。 这种划分VLAN的方法是根据以太网交换机的交换端口来划分的?它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC?永久虚电路?端口分成若干个组?每个组构成一个虚拟网?相当于一个独立的VLAN交换机。 对于不同部门需要互访时?可通过路由器转发?并配合基于MAC地址的端口过滤。 对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上?设定可通过的MAC地址集。 这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。 从这种划分方法本身我们可以看出?这种划分的方法的优点是定义VLAN成员时非常简单?只要将所有的端口都定义为相应的VLAN组即可。 适合于任何大小的网络。 它的缺点是如果某用户离开了原来的端口?到了一个新的交换机的某个端口?必须重新定义。 2.基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分?即对每个MAC地址的主机都配置他属于哪个组?它实现的机制就是每一块网卡都对应唯一的MAC地址?VLAN交换机跟踪属于VLAN MAC的地址。 这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时?自动保留其所属VLAN的成员身份。 由这种划分的机制可以看出?这种VLAN的划分方法的最大优点就是当用户物理位置移动时?即从一个交换机换到其他的交换机时?VLAN不用重新配置?因为它是基于用户?而不是基于交换机的端口。 这种方法的缺点是初始化时?所有的用户都必须进行配置?如果有几百个甚至上千个用户的话?配置是非常累的?所以这种划分方法通常适用于小型局域网。 而且这种划分的方法也导致了交换机执行效率的降低?因为在每一个交换机的端口都可能存在很多个VLAN组的成员?保存了许多用户的MAC地址?查询起来相当不容易。 另外?对于使用笔记本电脑的用户来说?他们的网卡可能经常更换?这样VLAN就必须经常配置。 3.基于网络层协议划分VLAN VLAN按网络层协议来划分?可分为IP、IPX、DEC、AppleTalk、Banyan等VLAN网络。 这种按网络层协议来组成的VLAN?可使广播域跨越多个VLAN交换机。 这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。 而且?用户可以在网络内部自由移动?但其VLAN成员身份仍然保留不变。 这种方法的优点是用户的物理位置改变了?不需要重新配置所属的VLAN?而且可以根据协议类型来划分VLAN?这对网络管理者来说很重要?还有?这种方法不需要附加的帧标签来识别VLAN?这样可以减少网络的通信量。 这种方法的缺点是效率低?因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)?一般的交换机芯片都可以自动检查网络上数据包的以太网祯头?但要让芯片能检查IP帧头?需要更高的技术?同时也更费时。 当然?这与各个厂商的实现方法有关。 4.根据IP组播划分VLAN IP组播实际上也是一种VLAN的定义?即认为一个IP组播组就是一个VLAN。 这种划分的方法将VLAN扩大到了广域网?因此这种方法具有更大的灵活性?而且也很容易通过路由器进行扩展?主要适合于不在同一地理范围的局域网用户组成一个VLAN?不适合局域网?主要是效率不高。 5.按策略划分VLAN基于策略组成的VLAN能实现多种分配方法?包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。 网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。 6.按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN?是指为了适应特别的VLAN网络?根据具体的网络用户的特别要求来定义和设计VLAN?而且可以让非VLAN群体用户访问VLAN?但是需要提供用户密码?在得到VLAN管理的认证后才可以加入一个VLAN。 三、VLAN的优越性任何新技术要得到广泛支持和应用?肯定存在一些关键优势?VLAN技术也一样?它的优势主要体现在以下几个方面?1.增加了网络连接的灵活性借助VLAN技术?能将不同地点、不同网络、不同用户组合在一起?形成一个虚拟的网络环境?就像使用本地LAN一样方便、灵活、有效。 VLAN可以降低移动或变更工作站地理位置的管理费用?特别是一些业务情况有经常性变动的公司使用了VLAN后?这部分管理费用大大降低。 2.控制网络上的广播VLAN可以提供建立防火墙的机制?防止交换网络的过量广播。 使用VLAN?可以将某个交换端口或用户赋于某一个特定的VLAN组?该VLAN组可以在一个交换网中或跨接多个交换机?在一个VLAN中的广播不会送到VLAN之外。 同样?相邻的端口不会收到其他VLAN产生的广播。 这样可以减少广播流量?释放带宽给用户应用?减少广播的产生。 3.增加网络的安全性因为一个VLAN就是一个单独的广播域?VLAN之间相互隔离?这大大提高了网络的利用率?确保了网络的安全保密性。 人们在LAN上经常传送一些保密的、关键性的数据。 保密的数据应提供访问控制等安全手段。 一个有效和容易实现的方法是将网络分段成几个不同的广播组?网络管理员限制了VLAN中用户的数量?禁止未经允许而访问VLAN中的应用。 交换端口可以基于应用类型和访问特权来进行分组?被限制的应用程序和资源一般置于安全性VLAN中。 四、VLAN网络的配置实例为了给大家一个真实的配置实例学习机会?下面就以典型的中型局域网VLAN配置为例向各位介绍目前最常用的按端口划分VLAN的配置方法。 某公司有100台计算机左右?主要使用网络的部门有?生产部 (20)、财务部 (15)、人事部 (8)和信息中心 (12)四大部分?如图1所示。 网络基本结构为?整个网络中干部分采用3台Catalyst1900网管型交换机?分别命名为?Switch 1、Switch2和Switch3?各交换机根据需要下接若干个集线器?主要用于非VLAN用户?如行政文书、临时用户等?、一台Cisco2514路由器?整个网络都通过路由器Cisco2514与外部互联网进行连接。 图1所连的用户主要分布于四个部分?即?生产部、财务部、信息中心和人事部。 主要对这四个部分用户单独划分VLAN?以确保相应部门网络资源不被盗用或破坏。 现为了公司相应部分网络资源的安全性需要?特别是对于像财务部、人事部这样的敏感部门?其网络上的信息不想让太多人可以随便进出?于是公司采用了VLAN的方法来解决以上问题。 通过VLAN的划分?可以把公司主要网络划分为?生产部、财务部、人事部和信息中心四个主要部分?对应的VLAN组名为?Prod、Fina、Huma、Info?各VLAN组所对应的网段如下表所示。 VLAN号VLAN名端口号2P rodSwitch12?213Fina Switch22?164Huma Switch32?95Info Switch310?21【注】之所以把交换机的VLAN号从2号开始?那是因为交换机有一个默认的VLAN?那就是1号VLAN?它包括所有连在该交换机上的用户。 VLAN的配置过程其实非常简单?只需两步?1?为各VLAN组命名?2?把相应的VLAN对应到相应的交换机端口。 下面是具体的配置过程?第1步?设置好超级终端?连接上1900交换机?通过超级终端配置交换机的VLAN?连接成功后出现如下所示的主配置界面?交换机在此之前已完成了基本信息的配置?1user(s)now activeon ManagementConsole.User InterfaceMenuMMenusKCommand LineIIP ConfigurationEnter Selection:【注】超级终端是利用Windows系统自带的超级终端?Hypertrm?程序进行的?具体参见有关资料。 第2步?单击K按键?选择主界面菜单中KCommand Line选项?进入如下命令行配置界面?CLI sessionwith theswitch isopen.To endthe CLIsession,enterExit.此时我们进入了交换机的普通用户模式?就象路由器一样?这种模式只能查看现在的配置?不能更改配置?并且能够使用的命令很有限。 所以我们必须进入特权模式。 第3步?在上一步提示符下输入进入特权模式命令enable?进入特权模式?命令格式为enable?此时就进入了交换机配置的特权模式提示符?#config tEnter configurationmands,one perline.End withTL/Z(config)#第4步?为了安全和方便起见?我们分别给这3个Catalyst1900交换机起个名字?并且设置特权模式的登陆密码。 下面仅以Switch1为例进行介绍。 配置代码如下?(config)#hostname Switch1Switch1(config)#enable passwordlevel15XXXXXX Switch1(config)#【注】特权模式密码必须是48位字符这?要注意?这里所输入的密码是以明文形式直接显示的?要注意保密。 交换机用level级别的大小来决定密码的权限。 Level1是进入命令行界面的密码?也就是说?设置了level1的密码后?你下次连上交换机?并输入K后?就会让你输入密码?这个密码就是level1设置的密码。 而level15是你输入了enable命令后让你输入的特权模式密码。 第5步?设置VLAN名称。 因四个VLAN分属于不同的交换机?VLAN命名的命令为vlanvlan号namevlan名称?在Switch 1、Switch 2、Switch 3、交换机上配置 2、 3、 4、5号VLAN的代码为?Switch1(config)#vlan2name ProdSwitch2(config)#vlan3name FinaSwitch3(config)#vlan4name HumaSwitch3(config)#vlan5name Info【注】以上配置是按表1规则进行的。 第6步?上一步我们对各交换机配置了VLAN组?现在要把这些VLAN对应于表1所规定的交换机端口号。 对应端口号的命令是vlan-membership static/dynamicVLAN号。 在这个命令中static(静态)和dynamic(动态)分配方式两者必须选择一个?不过通常都是选择static(静态)方式。 VLAN端口号应用配置如下?1?.名为Switch1的交换机的VLAN端口号配置如下?Switch1(config)#int e0/2Switch1(config-if)#vlan-membership static2Switch1(config-if)#int e0/3Switch1(config-if)#vlan-membership static2Switch1(config-if)#int e0/4Switch1(config-if)#vlan-membership static2Switch1(config-if)#int e0/20Switch(config-if)#vlan-membership static3Switch1(config-if)#int e0/21Switch1(config-if)#vlan-membership static3Switch1(config-if)#【注】int是nterface命令缩写?是接口的意思。 e0/3是ether0/2的缩写?代表交换机的0号模块2号端口。 第3步?在上一步提示符下输入进入特权模式命令enable?进入特权模式?命令格式为enable?此时就进入了交换机配置的特权模式提示符?#config tEnter configurationmands,one perline.End withTL/Z(config)#第4步?为了安全和方便起见?我们分别给这3个Catalyst1900交换机起个名字?并且设置特权模式的登陆密码。 下面仅以Switch1为例进行介绍。 配置代码如下?(config)#hostname Switch1Switch1(config)#enable passwordlevel15XXXXXX Switch1(config)#【注】特权模式密码必须是48位字符这?要注意?这里所输入的密码是以明文形式直接显示的?要注意保密。 交换机用level级别的大小来决定密码的权限。 Level1是进入命令行界面的密码?也就是说?设置了level1的密码后?你下次连上交换机?并输入K后?就会让你输入密码?这个密码就是level1设置的密码。 而level15是你输入了enable命令后让你输入的特权模式密码。 第5步?设置VLAN名称。 因四个VLAN分属于不同的交换机?VLAN命名的命令为vlanvlan号namevlan名称?在Switch 1、Switch 2、Switch 3、交换机上配置 2、 3、 4、5号VLAN的代码为?Switch1(config)#vlan2name ProdSwitch2(config)#vlan3name FinaSwitch3(config)#vlan4name HumaSwitch3(config)#vlan5name Info【注】以上配置是按表1规则进行的。 第6步?上一步我们对各交换机配置了VLAN组?现在要把这些VLAN对应于表1所规定的交换机端口号。 对应端口号的命令是vlan-membership static/dynamicVLAN号。 在这个命令中static(静态)和dynamic(动态)分配方式两者必须选择一个?不过通常都是选择static(静态)方式。 VLAN端口号应用配置如下?1?.名为Switch1的交换机的VLAN端口号配置如下?Switch1(config)#int e0/2Switch1(config-if)#vlan-membership static2Switch1(config-if)#int e0/3Switch1(config-if)#vlan-membership static2Switch1(config-if)#int e0/4Switch1(config-if)#vlan-membership static2Switch1(config-if)#int e0/20Switch(config-if)#vlan-membership static3Switch1(config-if)#int e0/21Switch1(config-if)#vlan-membership static3Switch1(config-if)#【注】int是nterface命令缩写?是接口的意思。 e0/3是ether0/2的缩写?代表交换机的0号模块2号端口。 ?局域网实现VLAN实例现在?网络业界对“三层交换”和VLAN这两词已经不感到陌生了。 计算机网络技术的发展犹如戏剧舞台?你方唱罢我登台。 从传统的以太网?10Mb/s?发展到快速以太网?100Mb/s?和千兆以太网?1000Mb/s?也不过几年的时间?其迅猛的势头实在令人吃惊。 而现在中大型规模网络建设中?以千兆三层交换机为核心的所谓“千兆主干跑、百兆到桌面”的主流网络模型已不胜枚举。 现在?网络业界对“三层交换”和VLAN这两词已经不感到陌生了。 一、什么是三层交换和VLAN要回答这个问题我们还是先看看以太网的工作原理。 以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据?其实是一些电脉冲?在导线中进行传播。 首先?以太网网段上需要进行数据传送的节点对导线进行监听?这个过程称为CSMA/CD?Carrier SenseMultiple Aesswith CollisionDetection带有冲突监测的载波侦听多址访问?的载波侦听。 如果?这时有另外的节点正在传送数据?监听节点将不得不等待?直到传送节点的传送任务结束。 如果某时恰好有两个工作站同时准备传送数据?以太网网段将发出“冲突”信号。 这时?节点上所有的工作站都将检测到冲突信号?因为这时导线上的电压超出了标准电压。 这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。 也就是说在CSMA/CD方式下?在一个时间段?只有一个节点能够在导线上传送数据。 而转发以太网数据帧的联网设备是集线器,它是一层设备?传输效率比较低。 冲突的产生降低了以太网的带宽?而且这种情况又是不可避免的。 所以?当导线上的节点越来越多后?冲突的数量将会增加。 显而易见的解决方法是限制以太网导线上的节点?需要对网络进行物理分段。 将网络进行物理分段的网络设备用到了网桥与交换机。 网桥和交换机的基本作用是只发送去往其他物理网段的信息。 所以?如果所有的信息都只发往本地的物理网段?那么网桥和交换机上就没有信息通过。 这样可以有效减少网络上的冲突。 网桥和交换机是基于目标MAC?介质访问控制?地址做出转发决定的?它们是二层设备。 我们已经知道了以太网的缺点及物理网段中冲突的影响?现在?我们来看看另外一种导致网络降低运行速度的原因?广播。 广播存在于所有的网络上?如果不对它们进行适当的控制?它们便会充斥于整个网络?产生大量的网络通信。 广播不仅消耗了带宽?而且也降低了用户工作站的处理效率。 由于各种各样的原因?网络操作系统?NOS?使用了广播?TCP/IP使用广播从IP地址中解析MAC地址?还使用广播通过RIP和IGRP协议进行宣告?所以?广播也是不可避免的。 网桥和交换机将对所有的广播信息进行转发?而路由器不会。 所以?为了对广播进行控制?就必须使用路由器。 路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。 路由器是3层设备。 在这里?我们就容易理解三层交换技术了?通俗地讲?就是将路由与交换合二为一的技术。 路由器在对第一个数据流进行路由后?将会产生一个MAC地址与IP地址的映射表?当同样的数据流再次通过时?将根据此映射表直接从二层进行交换而不是再次路由?提供线速性能?从而消除了路由器进行路由选择而造成网络的延迟?提高了数据包转发的效率。 采用此技术的交换机我们常称为三层交换机。 那么?什么是VLAN呢?VLAN?Virtual LocalArea Network?就是虚拟局域网的意思。 VLAN可以不考虑用户的物理位置?而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组?每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。 同一个VLAN中的成员都共享广播?形成一个广播域?而不同VLAN之间广播信息是相互隔离的。 这样?将整个网络分割成多个不同的广播域?VLAN?。 一般来说?如果一个VLAN里面的工作站发送一个广播?那么这个VLAN里面所有的工作站都接收到这个广播?但是交换机不会将广播发送至其他VLAN上的任何一个端口。 如果要将广播发送到其它的VLAN端口?就要用到三层交换机。 二、如何配置三层交换机创建VLAN以下的介绍都是基于Cisco交换机的VLAN。 Cisco的VLAN实现通常是以端口为中心的。 与节点相连的端口将确定它所驻留的VLAN。 将端口分配给VLAN的方式有两种?分别是静态的和动态的.形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。 即我们先在VTP?VLAN TrunkingProtocol?Server上建立VLAN?然后将每个端口分配给相应的VLAN的过程。 这是我们创建VLAN最常用的方法。 动态VLAN形成很简单?由端口决定自己属于哪个VLAN。 即我们先建立一个VMPS?VLAN MembershipPolicy Server?VLAN管理策略服务器?里面包含一个文本文件?文件中存有与VLAN映射的MAC地址表。 交换机根据这个映射表决定将端口分配给何种VLAN。 这种方法有很大的优势?但是创建数据库是一项非常艰苦而且非常繁琐的工作。 下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。 所谓典型的局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机?不一定具备三层交换能力?。 我们假设核心交换机名称为?分支交换机分别为?PAR 1、PAR 2、PAR3?分别通过Port1的光线模块与核心交换机相连?并且假设VLAN名称分别为COUNTER、MARKET、MANAGING。 1、设置VTP DOMAINVTP DOMAIN称为管理域。 交换VTP更新信息的所有交换机必须配置为相同的管理域。 如果所有的交换机都以中继线相连?那么只要在核心交换机上设置一个管理域?网络上所有的交换机都加入该域?这样管理域里所有的交换机就能够了解彼此的VLAN列表。 #vlan database进入VLAN配置模式(vlan)#vtp domain设置VTP管理域名称 (vlan)#vtp server设置交换机为服务器模式PAR1#vlan database进入VLAN配置模式PAR1(vlan)#vtp domain设置VTP管理域名称 PAR1(vlan)#vtp Client设置交换机为客户端模式PAR2#vlan database进入VLAN配置模式PAR2(vlan)#vtp domain设置VTP管理域名称 PAR2(vlan)#vtp Client设置交换机为客户端模式PAR3#vlan database进入VLAN配置模式PAR3(vlan)#vtp domain设置VTP管理域名称 PAR3(vlan)#vtp Client设置交换机为客户端模式注意?这里设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数?同步本VTP域中其他交换机传递来的最新的VLAN信息?Clien