有关VLAN
![](/icons/37632de.gif)
技术标准IEEE 802.1Q早在1999年6月份就由IEEE委员正式颁布实施了
![](/icons/37632dou.gif)
而且最早
![](/icons/37632de.gif)
VLNA技术早在1996年(思科)公司就提出了
![](/icons/37632dou2.gif)
随着几年来
![](/icons/37632de.gif)
发展
![](/icons/37632dou.gif)
VLAN技术得到广泛
![](/icons/37632de.gif)
支持
![](/icons/37632dou.gif)
在大大小小
![](/icons/37632de.gif)
企业网络中广泛应用
![](/icons/37632dou.gif)
成为当前最为热门
![](/icons/37632de.gif)
![](/icons/37632yi.gif)
种以太局域网技术
![](/icons/37632dou2.gif)
本篇就要为大家介绍机
![](/icons/37632de.gif)
![](/icons/37632yi.gif)
个最常见技术应用--VLAN技术
![](/icons/37632dou.gif)
并针对中、小局域网VLAN
![](/icons/37632de.gif)
网络配置以例子
![](/icons/37632de.gif)
方式向大家简单介绍其配置思路方法
、VLAN基础 VLAN(Virtual Local Area Network)
![](/icons/37632de.gif)
中文名为虚拟局域网
![](/icons/37632dou.gif)
注意不是VPN(虚拟专用网)
![](/icons/37632dou2.gif)
VLAN是
![](/icons/37632yi.gif)
种将局域网设备从逻辑上划分(注意
![](/icons/37632dou.gif)
不是从物理上划分)成
![](/icons/37632yi.gif)
个个网段
![](/icons/37632dou.gif)
从而实现虚拟工作组
![](/icons/37632de.gif)
新兴数据技术
![](/icons/37632dou2.gif)
这
![](/icons/37632yi.gif)
新兴技术主要应用于交换机和器中
![](/icons/37632dou.gif)
但主流应用还是在交换机的中
![](/icons/37632dou2.gif)
但又不是所有交换机都具有此功能
![](/icons/37632dou.gif)
只有VLAN
![](/icons/37632de.gif)
第 3层以上交换机才具有此功能
![](/icons/37632dou.gif)
这
![](/icons/37632yi.gif)
点可以查看相应交换机
![](/icons/37632de.gif)
介绍说明书即可得知
IEEE于1999年颁布了用以标准化VLAN实现方案
![](/icons/37632de.gif)
802.1Q标准草案
![](/icons/37632dou2.gif)
VLAN技术
![](/icons/37632de.gif)
出现
![](/icons/37632dou.gif)
使得管理员根据实际应用需求
![](/icons/37632dou.gif)
把同
![](/icons/37632yi.gif)
物理局域网内
![](/icons/37632de.gif)
区别用户逻辑地划分成区别
![](/icons/37632de.gif)
广播域
![](/icons/37632dou.gif)
每
![](/icons/37632yi.gif)
个VLAN都包含
![](/icons/37632yi.gif)
组有着相同需求
![](/icons/37632de.gif)
计算机工作站
![](/icons/37632dou.gif)
和物理上形成
![](/icons/37632de.gif)
LAN有着相同
![](/icons/37632de.gif)
属性
![](/icons/37632dou2.gif)
由于它是从逻辑上划分
![](/icons/37632dou.gif)
而不是从物理上划分
![](/icons/37632dou.gif)
所以同
![](/icons/37632yi.gif)
个VLAN内
![](/icons/37632de.gif)
各个工作站没有限制在同
![](/icons/37632yi.gif)
个物理范围中
![](/icons/37632dou.gif)
即这些工作站可以在区别物理LAN网段
![](/icons/37632dou2.gif)
由VLAN
![](/icons/37632de.gif)
特点可知
![](/icons/37632dou.gif)
![](/icons/37632yi.gif)
个VLAN内部
![](/icons/37632de.gif)
广播和单播流量都不会转发到其他VLAN中
![](/icons/37632dou.gif)
从而有助于控制流量、减少设备投资、简化网络管理、提高网络
![](/icons/37632de.gif)
性
交换技术
![](/icons/37632de.gif)
发展
![](/icons/37632dou.gif)
也加快了新
![](/icons/37632de.gif)
交换技术(VLAN)
![](/icons/37632de.gif)
应用速度
![](/icons/37632dou2.gif)
通过将企业网络划分为虚拟网络VLAN网段
![](/icons/37632dou.gif)
可以强化网络管理和网络
![](/icons/37632dou.gif)
控制不必要
![](/icons/37632de.gif)
数据广播
![](/icons/37632dou2.gif)
在共享网络中
![](/icons/37632dou.gif)
![](/icons/37632yi.gif)
个物理
![](/icons/37632de.gif)
网段就是
![](/icons/37632yi.gif)
个广播域
![](/icons/37632dou2.gif)
而在交换网络中
![](/icons/37632dou.gif)
广播域可以是有
![](/icons/37632yi.gif)
组任意选定
![](/icons/37632de.gif)
第 2层网络地址(MAC地址)组成
![](/icons/37632de.gif)
虚拟网段
![](/icons/37632dou2.gif)
这样
![](/icons/37632dou.gif)
网络中工作组
![](/icons/37632de.gif)
划分可以突破共享网络中
![](/icons/37632de.gif)
地理位置限制
![](/icons/37632dou.gif)
而完全根据管理功能来划分
![](/icons/37632dou2.gif)
这种基于工作流
![](/icons/37632de.gif)
分组模式
![](/icons/37632dou.gif)
大大提高了网络规划和重组
![](/icons/37632de.gif)
管理功能
![](/icons/37632dou2.gif)
在同
![](/icons/37632yi.gif)
个VLAN中
![](/icons/37632de.gif)
工作站
![](/icons/37632dou.gif)
不论它们实际和哪个交换机连接
![](/icons/37632dou.gif)
它们的间
![](/icons/37632de.gif)
通讯就好象在独立
![](/icons/37632de.gif)
交换机上
![](/icons/37632yi.gif)
样
![](/icons/37632dou2.gif)
同
![](/icons/37632yi.gif)
个VLAN中
![](/icons/37632de.gif)
广播只有VLAN中
![](/icons/37632de.gif)
成员才能听到
![](/icons/37632dou.gif)
而不会传输到其他
![](/icons/37632de.gif)
VLAN中去
![](/icons/37632dou.gif)
这样可以很好
![](/icons/37632de.gif)
控制不必要
![](/icons/37632de.gif)
广播风暴
![](/icons/37632de.gif)
产生
![](/icons/37632dou2.gif)
同时
![](/icons/37632dou.gif)
若没有
![](/icons/37632de.gif)
话
![](/icons/37632dou.gif)
区别VLAN的间不能相互通讯
![](/icons/37632dou.gif)
这样增加了企业网络中区别部门的间
![](/icons/37632de.gif)
安全性
![](/icons/37632dou2.gif)
网络管理员可以通过配置VLAN的间
![](/icons/37632de.gif)
路由来全面管理企业内部区别管理单元的间
![](/icons/37632de.gif)
信息互访
![](/icons/37632dou2.gif)
交换机是根据用户工作站
![](/icons/37632de.gif)
MAC地址来划分VLAN
![](/icons/37632de.gif)
![](/icons/37632dou2.gif)
所以
![](/icons/37632dou.gif)
用户可以自由
![](/icons/37632de.gif)
在企业网络中移动办公
![](/icons/37632dou.gif)
不论他在何处接入交换网络
![](/icons/37632dou.gif)
他都可以和VLAN内其他用户自如通讯
VLAN网络可以是有混合
![](/icons/37632de.gif)
网络类型设备组成
![](/icons/37632dou.gif)
比如:10M以太网、100M以太网、令牌网、FDDI、CDDI等等
![](/icons/37632dou.gif)
可以是工作站、、集线器、网络上行主干等等
VLAN除了能将网络划分为多个广播域
![](/icons/37632dou.gif)
从而有效地控制广播风暴
![](/icons/37632de.gif)
发生
![](/icons/37632dou.gif)
以及使网络
![](/icons/37632de.gif)
拓扑结构变得非常灵活
![](/icons/37632de.gif)
优点外
![](/icons/37632dou.gif)
还可以用于控制网络中区别部门、区别站点的间
![](/icons/37632de.gif)
互相访问
![](/icons/37632dou2.gif)
VLAN是为解决以太网
![](/icons/37632de.gif)
广播问题和安全性而提出
![](/icons/37632de.gif)
![](/icons/37632yi.gif)
种
![](/icons/37632dou.gif)
它在以太网帧
![](/icons/37632de.gif)
基础上增加了VLAN头
![](/icons/37632dou.gif)
用VLAN ID把用户划分为更小
![](/icons/37632de.gif)
工作组
![](/icons/37632dou.gif)
限制区别工作组间
![](/icons/37632de.gif)
用户互访
![](/icons/37632dou.gif)
每个工作组就是
![](/icons/37632yi.gif)
个虚拟局域网
![](/icons/37632dou2.gif)
虚拟局域网
![](/icons/37632de.gif)
好处是可以限制广播范围
![](/icons/37632dou.gif)
并能够形成虚拟工作组
![](/icons/37632dou.gif)
动态管理网络
2、VLAN
划分思路方法 VLAN在交换机上
![](/icons/37632de.gif)
实现思路方法
![](/icons/37632dou.gif)
可以大致划分为 6类:
1. 基于端口划分
![](/icons/37632de.gif)
VLAN
这是最常应用
![](/icons/37632de.gif)
![](/icons/37632yi.gif)
种VLAN划分思路方法
![](/icons/37632dou.gif)
应用也最为广泛、最有效
![](/icons/37632dou.gif)
目前绝大多数VLAN协议
![](/icons/37632de.gif)
交换机都提供这种VLAN配置思路方法
![](/icons/37632dou2.gif)
这种划分VLAN
![](/icons/37632de.gif)
思路方法是根据以太网交换机
![](/icons/37632de.gif)
交换端口来划分
![](/icons/37632de.gif)
![](/icons/37632dou.gif)
它是将VLAN交换机上
![](/icons/37632de.gif)
物理端口和VLAN交换机内部
![](/icons/37632de.gif)
PVC(永久虚电路)端口分成若干个组
![](/icons/37632dou.gif)
每个组构成
![](/icons/37632yi.gif)
个虚拟网
![](/icons/37632dou.gif)
相当于
![](/icons/37632yi.gif)
个独立
![](/icons/37632de.gif)
VLAN交换机
对于区别部门需要互访时
![](/icons/37632dou.gif)
可通过路由器转发
![](/icons/37632dou.gif)
并配合基于MAC地址
![](/icons/37632de.gif)
端口过滤
![](/icons/37632dou2.gif)
对某站点
![](/icons/37632de.gif)
访问路径上最靠近该站点
![](/icons/37632de.gif)
交换机、路由交换机或路由器
![](/icons/37632de.gif)
相应端口上
![](/icons/37632dou.gif)
设定可通过
![](/icons/37632de.gif)
MAC地址集
![](/icons/37632dou2.gif)
这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵
![](/icons/37632de.gif)
可能
从这种划分思路方法本身我们可以看出
![](/icons/37632dou.gif)
这种划分
![](/icons/37632de.gif)
思路方法
![](/icons/37632de.gif)
优点是定义VLAN成员时非常简单
![](/icons/37632dou.gif)
只要将所有
![](/icons/37632de.gif)
端口都定义为相应
![](/icons/37632de.gif)
VLAN组即可
![](/icons/37632dou2.gif)
适合于任何大小
![](/icons/37632de.gif)
网络
![](/icons/37632dou2.gif)
它
![](/icons/37632de.gif)
缺点是如果某用户离开了原来
![](/icons/37632de.gif)
端口
![](/icons/37632dou.gif)
到了
![](/icons/37632yi.gif)
个新
![](/icons/37632de.gif)
交换机
![](/icons/37632de.gif)
某个端口
![](/icons/37632dou.gif)
必须重新定义
2. 基于MAC地址划分VLAN
这种划分VLAN
![](/icons/37632de.gif)
思路方法是根据每个主机
![](/icons/37632de.gif)
MAC地址来划分
![](/icons/37632dou.gif)
即对每个MAC地址
![](/icons/37632de.gif)
主机都配置他属于哪个组
![](/icons/37632dou.gif)
它实现
![](/icons/37632de.gif)
机制就是每
![](/icons/37632yi.gif)
块网卡都对应唯
![](/icons/37632yi.gif)
![](/icons/37632de.gif)
MAC地址
![](/icons/37632dou.gif)
VLAN交换机跟踪属于VLAN MAC
![](/icons/37632de.gif)
地址
![](/icons/37632dou2.gif)
这种方式
![](/icons/37632de.gif)
VLAN允许网络用户从
![](/icons/37632yi.gif)
个物理位置移动到另
![](/icons/37632yi.gif)
个物理位置时
![](/icons/37632dou.gif)
自动保留其所属VLAN
![](/icons/37632de.gif)
成员身份
由这种划分
![](/icons/37632de.gif)
机制可以看出
![](/icons/37632dou.gif)
这种VLAN
![](/icons/37632de.gif)
划分思路方法
![](/icons/37632de.gif)
最大优点就是当用户物理位置移动时
![](/icons/37632dou.gif)
即从
![](/icons/37632yi.gif)
个交换机换到其他
![](/icons/37632de.gif)
交换机时
![](/icons/37632dou.gif)
VLAN不用重新配置
![](/icons/37632dou.gif)
![](/icons/37632yinwei.gif)
它是基于用户
![](/icons/37632dou.gif)
而不是基于交换机
![](/icons/37632de.gif)
端口
![](/icons/37632dou2.gif)
这种思路方法
![](/icons/37632de.gif)
缺点是
![](/icons/37632chushi.gif)
化时
![](/icons/37632dou.gif)
所有
![](/icons/37632de.gif)
用户都必须进行配置
![](/icons/37632dou.gif)
如果有几百个甚至上千个用户
![](/icons/37632de.gif)
话
![](/icons/37632dou.gif)
配置是非常累
![](/icons/37632de.gif)
![](/icons/37632dou.gif)
所以这种划分思路方法通常适用于小型局域网
![](/icons/37632dou2.gif)
而且这种划分
![](/icons/37632de.gif)
思路方法也导致了交换机执行效率
![](/icons/37632de.gif)
降低
![](/icons/37632dou.gif)
![](/icons/37632yinwei.gif)
在每
![](/icons/37632yi.gif)
个交换机
![](/icons/37632de.gif)
端口都可能存在很多个VLAN组
![](/icons/37632de.gif)
成员
![](/icons/37632dou.gif)
保存了许多用户
![](/icons/37632de.gif)
MAC地址
![](/icons/37632dou.gif)
查询起来相当不容易
![](/icons/37632dou2.gif)
另外
![](/icons/37632dou.gif)
对于使用笔记本电脑
![](/icons/37632de.gif)
用户来说
![](/icons/37632dou.gif)
他们
![](/icons/37632de.gif)
网卡可能经常更换
![](/icons/37632dou.gif)
这样VLAN就必须经常配置
3. 基于网络层协议划分VLAN
VLAN按网络层协议来划分
![](/icons/37632dou.gif)
可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络
![](/icons/37632dou2.gif)
这种按网络层协议来组成
![](/icons/37632de.gif)
VLAN
![](/icons/37632dou.gif)
可使广播域跨越多个VLAN交换机
![](/icons/37632dou2.gif)
这对于希望针对具体应用和服务来组织用户
![](/icons/37632de.gif)
网络管理员来说是非常具有吸引力
![](/icons/37632de.gif)
![](/icons/37632dou2.gif)
而且
![](/icons/37632dou.gif)
用户可以在网络内部自由移动
![](/icons/37632dou.gif)
但其VLAN成员身份仍然保留不变
这种思路方法
![](/icons/37632de.gif)
优点是用户
![](/icons/37632de.gif)
物理位置改变了
![](/icons/37632dou.gif)
不需要重新配置所属
![](/icons/37632de.gif)
VLAN
![](/icons/37632dou.gif)
而且可以根据协议类型来划分VLAN
![](/icons/37632dou.gif)
这对网络管理者来说很重要
![](/icons/37632dou.gif)
还有
![](/icons/37632dou.gif)
这种思路方法不需要附加
![](/icons/37632de.gif)
帧标签来识别VLAN
![](/icons/37632dou.gif)
这样可以减少网络
![](/icons/37632de.gif)
通信量
![](/icons/37632dou2.gif)
这种思路方法
![](/icons/37632de.gif)
缺点是效率低
![](/icons/37632dou.gif)
![](/icons/37632yinwei.gif)
检查每
![](/icons/37632yi.gif)
个数据包
![](/icons/37632de.gif)
网络层地址是需要消耗处理时间
![](/icons/37632de.gif)
(相对于前面两种思路方法)
![](/icons/37632dou.gif)
![](/icons/37632yi.gif)
般
![](/icons/37632de.gif)
交换机芯片都可以自动检查网络上数据包
![](/icons/37632de.gif)
以太网祯头
![](/icons/37632dou.gif)
但要让芯片能检查IP帧头
![](/icons/37632dou.gif)
需要更高
![](/icons/37632de.gif)
技术
![](/icons/37632dou.gif)
同时也更费时
![](/icons/37632dou2.gif)
当然
![](/icons/37632dou.gif)
这和各个厂商
![](/icons/37632de.gif)
实现思路方法有关
4. 根据IP组播划分VLAN
IP 组播实际上也是
![](/icons/37632yi.gif)
种VLAN
![](/icons/37632de.gif)
定义
![](/icons/37632dou.gif)
即认为
![](/icons/37632yi.gif)
个IP组播组就是
![](/icons/37632yi.gif)
个VLAN
![](/icons/37632dou2.gif)
这种划分
![](/icons/37632de.gif)
思路方法将VLAN扩大到了广域网
![](/icons/37632dou.gif)
因此这种思路方法具有更大
![](/icons/37632de.gif)
灵活性
![](/icons/37632dou.gif)
而且也很容易通过路由器进行扩展
![](/icons/37632dou.gif)
主要适合于不在同
![](/icons/37632yi.gif)
地理范围
![](/icons/37632de.gif)
局域网用户组成
![](/icons/37632yi.gif)
个VLAN
![](/icons/37632dou.gif)
不适合局域网
![](/icons/37632dou.gif)
主要是效率不高
5. 按策略划分VLAN
基于策略组成
![](/icons/37632de.gif)
VLAN能实现多种分配思路方法
![](/icons/37632dou.gif)
包括VLAN交换机端口、MAC地址、IP地址、网络层协议等
![](/icons/37632dou2.gif)
网络管理人员可根据自己
![](/icons/37632de.gif)
管理模式和本单位
![](/icons/37632de.gif)
需求来决定选择哪种类型
![](/icons/37632de.gif)
VLAN
![](/icons/37632dou2.gif)
6. 按用户定义、非用户授权划分VLAN
基于用户定义、非用户授权来划分VLAN
![](/icons/37632dou.gif)
是指为了适应特别
![](/icons/37632de.gif)
VLAN网络
![](/icons/37632dou.gif)
根据具体
![](/icons/37632de.gif)
网络用户
![](/icons/37632de.gif)
特别要求来定义和设计VLAN
![](/icons/37632dou.gif)
而且可以让非VLAN群体用户访问VLAN
![](/icons/37632dou.gif)
但是需要提供用户密码
![](/icons/37632dou.gif)
在得到VLAN管理
![](/icons/37632de.gif)
认证后才可以加入
![](/icons/37632yi.gif)
个VLAN
3、VLAN
优越性 任何新技术要得到广泛支持和应用
![](/icons/37632dou.gif)
肯定存在
![](/icons/37632yi.gif)
些关键优势
![](/icons/37632dou.gif)
VLAN技术也
![](/icons/37632yi.gif)
样
![](/icons/37632dou.gif)
它
![](/icons/37632de.gif)
优势主要体现在以下几个方面:
1. 增加了网络连接
![](/icons/37632de.gif)
灵活性
借助VLAN技术
![](/icons/37632dou.gif)
能将区别地点、区别网络、区别用户组合在
![](/icons/37632yi.gif)
起
![](/icons/37632dou.gif)
形成
![](/icons/37632yi.gif)
个虚拟
![](/icons/37632de.gif)
网络环境
![](/icons/37632dou.gif)
就像使用本地LAN
![](/icons/37632yi.gif)
样方便、灵活、有效
![](/icons/37632dou2.gif)
VLAN可以降低移动或变更工作站地理位置
![](/icons/37632de.gif)
管 理费用
![](/icons/37632dou.gif)
特别是
![](/icons/37632yi.gif)
些业务情况有经常性变动
![](/icons/37632de.gif)
公司使用了VLAN后
![](/icons/37632dou.gif)
这部分管理费用大大降低
![](/icons/37632dou2.gif)
2. 控制网络上
![](/icons/37632de.gif)
广播
VLAN可以提供建立
![](/icons/37632de.gif)
机制
![](/icons/37632dou.gif)
防止交换网络
![](/icons/37632de.gif)
过量广播
![](/icons/37632dou2.gif)
使用VLAN
![](/icons/37632dou.gif)
可以将某个交换端口或用户赋于某
![](/icons/37632yi.gif)
个特定
![](/icons/37632de.gif)
VLAN组
![](/icons/37632dou.gif)
该VLAN组可以在
![](/icons/37632yi.gif)
个交换网中或跨接多个交换机
![](/icons/37632dou.gif)
在
![](/icons/37632yi.gif)
个VLAN中
![](/icons/37632de.gif)
广播不会送到VLAN的外
![](/icons/37632dou2.gif)
同样
![](/icons/37632dou.gif)
相邻
![](/icons/37632de.gif)
端口不会收到其他VLAN产生
![](/icons/37632de.gif)
广 播
![](/icons/37632dou2.gif)
这样可以减少广播流量
![](/icons/37632dou.gif)
释放带宽给用户应用
![](/icons/37632dou.gif)
减少广播
![](/icons/37632de.gif)
产生
![](/icons/37632dou2.gif)
3. 增加网络
![](/icons/37632de.gif)
安全性
![](/icons/37632yinwei.gif)
![](/icons/37632yi.gif)
个VLAN就是
![](/icons/37632yi.gif)
个单独
![](/icons/37632de.gif)
广播域
![](/icons/37632dou.gif)
VLAN的间相互隔离
![](/icons/37632dou.gif)
这大大提高了网络
![](/icons/37632de.gif)
利用率
![](/icons/37632dou.gif)
确保了网络
![](/icons/37632de.gif)
安全保密性
![](/icons/37632dou2.gif)
人们在LAN上经常传送
![](/icons/37632yi.gif)
些保密
![](/icons/37632de.gif)
、关键性
![](/icons/37632de.gif)
数据
![](/icons/37632dou2.gif)
保密
![](/icons/37632de.gif)
数据应 提供访问控制等安全手段
![](/icons/37632dou2.gif)
![](/icons/37632yi.gif)
个有效和容易实现
![](/icons/37632de.gif)
思路方法是将网络分段成几个区别
![](/icons/37632de.gif)
广播组
![](/icons/37632dou.gif)
网络管理员限制了VLAN中用户
![](/icons/37632de.gif)
数量
![](/icons/37632dou.gif)
禁止未经允许而访问VLAN中
![](/icons/37632de.gif)
应用
![](/icons/37632dou2.gif)
交换端口可以基 于应用类型和访问特权来进行分组
![](/icons/37632dou.gif)
被限制
![](/icons/37632de.gif)
应用
![](/icons/37632chengxu.gif)
和资源
![](/icons/37632yi.gif)
般置于安全性VLAN中
![](/icons/37632dou2.gif)
4、VLAN网络
配置例子 为了给大家
![](/icons/37632yi.gif)
个真实
![](/icons/37632de.gif)
配置例子学习机会
![](/icons/37632dou.gif)
下面就以典型
![](/icons/37632de.gif)
中型局域网VLAN配置为例向各位介绍目前最常用
![](/icons/37632de.gif)
按端口划分VLAN
![](/icons/37632de.gif)
配置思路方法
某公司有100台计算机左右
![](/icons/37632dou.gif)
主要使用网络
![](/icons/37632de.gif)
部门有:生产部(20)、财务部(15)、人事部(8)和信息中心(12) 4大部分
![](/icons/37632dou.gif)
如图1所示
网络基本结构为:整个网络中干部分采用3台Catalyst 1900网管型交换机(分别命名为:Switch1、Switch2和Switch3
![](/icons/37632dou.gif)
各交换机根据需要下接若干个集线器
![](/icons/37632dou.gif)
主要用于非VLAN用户
![](/icons/37632dou.gif)
如行政文书