VLAN的划分和实现.doc

《VLAN的划分和实现.doc》由会员分享，可在线阅读，更多相关《VLAN的划分和实现.doc（19页珍藏版）》请在课桌文档上搜索。

1、 VLAN的划分与实现【摘 要】 信息化高度发展，网络离我们越来越近，它影响着我们生活的各个方面，各个企业单位组建自己的局域网，而且规模在不断扩大，用户在不断增加，网络应用也在不断增长，网络变得越来越拥挤，冲突不断产生，管理难度日益加大。局域网内部对于灵活、动态地组建LAN网段的要求也越来越多，客观上要求LAN本身的结构可以实现动态组建、调整和管理。为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，充分合理地进行VLAN划分，是必需的。【关键词】VLAN虚拟局域网 交换机 静态VLAN 动态VLAN【引言】人类以最快的速度在改造世界，进入21世纪后，随着信息社会不断发展，虚拟世界也是发

2、展迅速，当今社会已经进入一个网络快速发展的信息社会，信息技术的不断发展，给人们的生活、工作、学习带来了以往社会无比的便利，人们越来越离不开以计算机网络为中心的信息时代。一般的企业都会有建立局域网，局域网是一般中小企业最常用的，同时又是结构最简单的计算机网络。虚拟局域网（VLAN）技术是目前局域网中的一项常用技术；VLAN技术是在不改变局域网上节点物理位置的基础上，按照功能、部门、应用等因素划分为若干“逻辑工作组”；VLAN技术有效避免了广播风暴，增强了局域网的安全性。一、VLAN的概念VLAN是（Virtual Local Area Network）的缩写,我们又称虚拟局域网，是一个可以跨不同

3、网段，不同网络的逻辑网络。大家都知道，VLAN建是由局域网交换机发展而来的，是采用软件的方式构建的可跨越不同网段、不同网络的端到端的逻辑网络。是该进交换机技术的结果，它是一种将局域网内的设备逻辑地而不是物理地划分网段而实现虚拟工作组的技术。VLAN具有以下的特点：一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网（VLAN）中，在功能和操作上与传统LAN保持相同，可以提供一定X围内终端系统的连接。VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动，并不需要改变任何硬件和通信线路。VLAN充分体现了现代网

4、络技术的重要特征：高速、灵活、管理简便和扩展容易。VLAN所指的LAN特指使用路由器或者交换机分割的网络，也就是广播域（广播域，指的是广播帧所能传递到的X围，亦即能够直接通信的X围）。举个例子：一个学校分为A,B,C三个系，各个系又有不同的职能部门，这三个系分别在三个不同的教学楼里面，学校要求各个不同系的部门之间要经常交流数据，共享资源。这样需要把这三个系要交流的部门划分到一个VLAN里面。这样就是一个典型的VLAN。另外关于VLAN的标准：在1995年，Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球X围内作为VLAN安全性的同一规X。IEEE于199

5、9年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。二、VLAN在局域网的简单描述根据上文，可以把它理解为将一台交换机在逻辑上分割成了几台交换机。例如下图描述在一台交换机上生成红、蓝两个VLAN，也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。图2-1 VLAN描述图在红、蓝两个VLAN之外生成新的VLAN时，可以想象成又添加了新的交换机。但是，VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置VLAN后，如

6、果未做其他处理，VLAN间是无法通信的。这样，我们利用软件技术等于将一个物理的LAN分成了物理上独立的小LAN了，达到了预期的目的，从根本上解决了广播“泛洪”的问题。这里有个很奇怪的事情，明明接在同一台交换机上，但却偏偏无法通信这个事实也许让人难以接受。但它既是VLAN方便易用的特征，又是使VLAN令人难以理解的原因。其实，这样正是VLAN的魅力所在。前文提过，在现代其中很多的数据需要跨部门共享传输。而不同的部门分布在不同的VLAN中，那么，当我们需要在不同的VLAN间通信时又该怎么办呢？其实这个问题很简单，我们回忆一下：VLAN是广播域。而通常两个广播域之间由路由器连接，广播域之间来往的数据

7、包都是由路由器中继的。因此，VLAN间的通信也需要路由器提供中继服务，这被称作“VLAN间路由”。VLAN间路由，可以使用普通的路由器，也可以使用三层交换机。各种方法各有优缺点。不同VLAN间互相通信时需要用到路由功能的设备来实现的。三、为什么要用VLAN1、运用VLAN可以做到（1）减少广播域的工作点。，在一个VLAN内的广播包不会跑到别的VLAN上去。通过限制一个VLAN 上的设备数目，在一个VLAN 上的广播率便可受到控制。一个正常的广播率应该平均每秒不超过30 个广播包（但通过网友的现场性能监测，建议广播不应该超出30 个/秒）。（2）增强安全性。因为虚拟局域网上各个子网上的广播不会扩

8、散开这样就保证了数据的私有性和安全性。（就像在一个物理局域网中，工作站少了出问题的可能性就比较小）即便是几十台机器的小型局域网，如果要保证数据的隔离安全，也可以尝试划分VLAN来实现。当不同的VLAN间要互访信息的时候需要通过三层的交换机。这样的话数据包容易被管理人员监视。提高了网络的安全系数。（3）方便网络设备的管理。假定我们把所有的打印机都规划在一个子网上，而每一个打印机都必须在同一个广播域里。这样等于需要在每一个楼层上，分别安装交换机。这些交换机都需要光缆和铜缆的连接，而这些打印机子网都需要连接到自己的专用路由器端口上。2、VLAN的优点和缺点优点如下：（1）能够简化网络管理，使得网络管

9、理简单而且直观（2）能够控制广播风暴（3）能够提高网络的整体安全性缺点如下：（1）在使用MAC地址定义VLAN的技术中，必须进行初始配置。而对大规模的网络进行初始化工作时，需要把成百上千的用户配置到某个虚拟局域网之中，因此，初始工作过于烦琐。（2）当使用局域网交换机的端口划分VLAN成员的方法时，用户从一个交换机的端口移动到另一个端口时，网络管理员必须对VLAN的成员重新配置。（3）需要专职的网络管理员和必要的专业技术支持，这样需要企业有一定的投入去维护VLAN.3、使用VLAN的场合一般，在几十台以下计算机构成的小型局域网中，除非需要彼此的数据隔绝，否则没有必要划分虚拟局域网。在几百台乃至上

10、千台计算机构成的大中型局域网中，划分和建立虚拟局域网，应当说是十分必要的。这是因为大型局域网产生广播风暴的可能性大大增加，而虚拟局域网技术能够有效地隔离广播风暴。四、VLAN的优势简介 VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用在有VLAN协议的第三层以上交换机之中。 VLAN技术允许网络管理者将一个物理的局域网逻辑地划分成不同的广播域，每一个VLAN都是按照企业的一个职能部门来划分，包含着一组具有相同工作特点的计算机。它是按功能划分而不是按物理

11、划分，同一个VLAN内的各个工作站无须被放置在同一个物理空间里，这些工作站可以不属于同一个物理局域网网段，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。因此使用VLAN技术可以控制流量，减少设备投资，简化网络管理，提高网络的安全性。五、VLAN的分类 1、基于端口划分的VLAN 基于端口划分VLAN是最常应用的一种VLAN划分方法，应用也最为广泛有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC端口分成若干个组，每个组构成一个虚拟网，相当于一个独

12、立的VLAN交换机。 对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。 2、 基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

13、3、 基于网络层协议划分VLAN VLAN按网络层协议来划分，可分为IP、IPX、DEet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。 4、 根据IP组播划分VLAN IP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理X围的局域网用户

14、组成一个VLAN，不适合局域网，主要是效率不高。 5、按策略划分VLAN 基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。 6、按用户定义、非用户授权划分VLAN 基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。六、实现VLAN的划分需要哪些资源 一般来说计算机的系统构某需要软件和

15、硬件。VLAN也从这两个方面来说软件：像其他系统一样，VLAN需要一个管理软件来实现它的维护。硬件：需要一个支持VLAN功能的交换机。七、VLAN的实现1、虚拟局域网实现的基本原则：（1）考虑到交换机软件的兼容性，在整个局域网中应当尽量使用同一厂家的支持VLAN的交换机。如果设备不兼容网络是无法正常运转的，风险太大。所以一定要用兼容的。（2）为了实现网络的统一管理，在可以使用交换机的场合尽量使用交换机，并且尽可能多地将计算机接入交换机的端口，而不是集线器或路由器的端口。（3）在整个网络中，应尽量使用第3层以上的交换机来取代传统的路由器。这是由于实现路由功能，既可以采用路由器，也可以采用第三层交

16、换机（路由交换机）。而只有采用路由交换机，才能综合交换和路由这两种功能，这样才能既保证传统路由功能的实现，也实现VLAN的技术。另一方面考虑，VLAN属于星形的网路拓扑结构，这样要求中间设备有相当的稳定性。所以最好选用三层的交换机，能够有技术过硬的厂商的品牌就更好了。（4）尽可能地使整个网络成为树型结构，以保证整个网络的层次性，以及VLAN的物理连通性。层次清晰方便管理人员管理，如果非常乱的话对于日后的升级管理都是不小的阻碍。（5）首先，根据应用的需要来选择交换机，使所选的交换机应能够满足实际需要。其次，通过交换机相应的软件将整个网络划分为多个VLAN，无论每个VLAN上计算机的物理位置如何，

17、都可以划分在一个逻辑工作组内。各个VLAN可以相互连通，也可以设置为互不相通。2、VLAN实现的方式：这个和物理局域网很相似，分为动态和静态。也有观点说有三种甚至五种实现方式，实际上某小异。不过是细分了一下动态的实现方式，最经典的就是动态的和静态的划分。（1）静态实现是网络管理员将交换机端口分配给某一个VLAN，这是一种以前最经常使用的配置方式，容易实现和监视，而且比较安全。因为是绑定MAC地址，解析起来比较消耗网络带宽资源，而且机动性不强，初期配置相当麻烦，是一个相当大且繁琐的工作。现在这种实现方式用的比较少。（2）动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备

18、的MAC地址及相应的VLAN号，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时一般使用管理软件来进行管理。动态跟静态比起来开始比较方便。方案比较多，现在比较主流。通过设置VMPS（VLAN MembershipPolicy Server），包含了一个MAC地址与VLAN号的映射表，当数据帧到达交换机后，交换机会查询VMPS获得相应MAC地址的VLAN ID。3、VLAN具体划分：（1）基于交换机端口划分的VLAN这种划分是把一个或多个交换机上的几个端口划分

19、一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行分配和设置，不用考虑该端口所连接的设备。交换机的端口，可以分为以下两种：访问（Access Link）根据英文可以得到意思是用来访问用的，相当于物理局域网的LAN口，汇聚（Trunk Link）又叫主干口，根据意思判断相当于WAN口。（2）基于MAC地址划分的VLAN基于MAC地址划分VLAN就是以网卡的MAC地址来决定隶属的虚拟网。MAC地址是指网卡的标识符，每一块网卡的MAC地址都是惟一的，并且已经固化在网卡上。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可以按照各个网

20、络节点的MAC地址将一些站点划分为一个逻辑子网VLAN-l，将另外一些站点划分为另一个逻辑子网VLAN-2。（3）基于网络层协议或地址划分的VLAN路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。基于网络层的虚拟网有多种划分方式，例如当网络中存在多种协议时，可以通过不同的可路由协议来划分多个VLAN；当然，也可以使用网络层地址来确定虚拟网络的成员。例如对于使用TCP/IP协议的网络，可以使用子网段的地址来划分VLAN。（4）基于IP广播组划分的VLAN基于IP广播组划分的VLAN是以动态的方式建立的多点广播组来确定虚拟网。每一站点通过对标识不同虚拟网的广播信息的确认来

21、决定是否加入某一虚拟网。根据IP广播组划分的VLAN是利用了一种被称为代理的设备对虚拟网络的成员进行管理。以这种方式定义VLAN时，任何属于同一IP广播组的计算机都属于同一虚拟网。（5）基于策略划分的VLAN（此种方式VLAN技术白皮书中未与其他并列提到，策略与厂商设备的支持有关）基于策略的VLAN划分是一种比较有效而且直接的方式。这主要取决于在VLAN划分中所采用的策略。前边所述的任何一种方法都可以算作是一种策略，利用上述这些策略还可以组合为新的策略。当一种策略被定义到交换机上时，该策略就会应用到整个网络上。4、实现VLAN的设备上面提到，实现VLAN需要的硬件设备是带路由功能的交换机。也就

22、是说可以是一个三层交换机，也可以是一个路由器，带着一个二层交换机。传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上，不同VLAN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络运行的瓶颈。 在这种情况下，出现了第三层交换技术，它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次

23、路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。 在以三层交换机为核心的千兆网络中，为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性，可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴，对一些重要部门实施了安全保护；且当某一部门物理位置发生变化时，只需对交换机进行设置，就可以实现网络的重组，非常方便、快捷，同时节约了成本。八、配置VLAN1、VLAN的工作模式：（1）静态VLAN：管理员针对交换机端口指定VLAN。（2）动态

24、VLAN：通过设置VMPS（VLAN MembershipPolicy Server），包含了一个MAC地址与VLAN号的映射表，当数据帧到达交换机后，交换机会查询VMPS获得相应MAC地址的VLAN ID。（3）ISL标签：ISL（InterSwitch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。（4）VTP（VLAN TrunkingProtocol）：它是一个在交换机之间同步及传递VLAN配置信息的协议。一个VTP Serve

25、r上的配置将会传递给网络中的所有交换机，VTP通过减少手工配置而支持较大规模的网络。VTP有三种模式：（5）Server模式：允许创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息。（6）Client模式：在Client模式下，一台交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。（7）Transparent模式：可以进行创建、修改、删除，也可以传递本VTP域中其他交换机送来的VTP广播信息，但并不参与本VTP域的同步和分配，也不将自己的VLAN配置

26、传递给本VTP域中的其他交换机，它的VLAN配置只影响到它自己。交换机在默认情况下为Server模式。创建VLAN，默认情况下交换机只有VLAN 1,可以通过命令增加所需的VLAN。将VLAN指定给交换机的各个端口。默认情况下交换机所有端口均属于VLAN 1，可以通过全局命令修改交换机各端口的VLAN ID，但交换机每个端口只能属于一个VLAN。3、配置三层交换配置MLSP协议，使RP与SE之间可以交换信息。配置管理端口，MLSP通过这个端口收发RP与SE之间的通信。针对不同的VLAN分配不同的VLAN网关地址。启动路由器的路由功能。根据需要，可以定义VLAN虚网间的访问策略，可通过定义访问列

27、表来实现。4、在公司内部如何进行VLAN划分?公司内部进行VLAN的划分实例 对于每个公司而言都有自己不同的需求，下面我们给出一个典型的公司的VLAN的实例，这样也可以成为我们以后为公司划分VLAN的依据。某公司现在有工程部、销售部、财务部。VLAN的划分：工程部VLAN10，销售部VLAN20，财务部VLAN30，并且各部门还可以相互通讯。现有设备如下:Cisco3640路由器，Cisco Catalyst 2924交换机一台，二级交换机若干台。九、代码1、交换机配置文件中的部分代码如下：.!interface vlan10ip address 192.168.0.1!interface v

28、lan20ip address 192.168.1.1!interface vlan30ip address 192.168.2.1!2、路由器配置文件中的部分代码如下：interface FastEthernet 1/0.1encapsulation isl 10ip address 192.168.0.2!interface FastEthernet 1/0.2encapsulation isl 20ip address 192.168.1.2!interface FastEthernet 1/0.3encapsulation isl 30ip address 192.168.2.2!ro

29、uter ripnetwork 192.168.0.0!十、结束语 作者深切地认识到，VLAN技术在局域网建设中已经得到了广泛的应用，同时VLAN技术也是局域网建设中的一种方便灵活的管理手段。所以希望有更多地朋友能系统地了解和掌握VLAN技术的原理和概念，能熟练配置交换机的VLAN设备。在局域网建设中，还要依据地址分配和VLAN划分原理来进行网络规划，需要认真研究实际情况，考虑网络设备性能、网络规模、网络运行、管理、安全和升级等诸方面因素，形成一套合理、适当的地址分配和VLAN 规划方案，这将会大大提高网络的整体性能，给网络管理带来许多方便。本文从VLAN技术的实际应用等方面作了简明的阐述，希望能对VLAN的划分与实现起到一定的作用。 【参考文献】1徐敬东，X建忠.计算机网络.清华大学，2003. 2安淑芝，詹青龙.计算机网络.中国铁道，2006. 3思科网络技术学院教程.人民邮电，2006.4 王群，局域网实用组网方法技巧全接触5 邓文达，网络工程与综合布线6 冯昊，交换机/路由器的配置与管理7 赵腾任，计算机网络工程典型案例分析8 梁广民，网络设备互联技术19 / 19