VLAN概述.doc

《VLAN概述.doc》由会员分享，可在线阅读，更多相关《VLAN概述.doc（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 VLAN概述 VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个

2、VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 VLAN在交换机上的实现方法，可以大致划分为4类: 1、 基于端口划分的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分，比如Quidway S3526的14端口为VLAN 10，517为

3、VLAN 20，1824为VLAN 30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的16端口和交换机 2 的14端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。 这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。 2、基于MAC地址划分VLAN 这种划分V

4、LAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。 3、基于

5、网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换， 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面

6、两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。 4、根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。 鉴于当前业界VLAN发展的趋势，考虑到各种VLAN划分方式的优缺点，为了最大程度上地满足用户在具体使用过程中需求，减轻用户在VLAN的具体使用和维护中的工作量，Quidway S系列交换机采

7、用根据端口来划分VLAN的方法。因为VLAN技术与局域网技术息息相关，所以在介绍VLAN之前，我们首先来了解一下局域网的有关知识。局域网（LAN）通常被定义为一个单独的广播域，主要使用Hub，网桥，或交换机等网络设备连接同一网段内的所有节点。同处一个局域网之内的网络节点之间可以不通过网络路由器直接进行通信；而处于不同局域网段内的设备之间的通信则必须经过网络路由器。图一所示为使用路由器构建的典型的局域网环境。 图一所示网络中，通过使用路由器划分出不同的局域网段。其中，位于圆形区域之内的部分就是一个个相互独立的局域网段。为了便于在本文中进行说明，我们为不同的网段进行了编号。需要注意的一点就是，每一

8、个局域网所连接的路由器接口都属于该局域网广播域的一部分。随着网络的不断扩展，接入设备逐渐增多，网络结构日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互连。这样做的一个缺陷就是随着网络中路由器数量的增多，网络时延逐渐加长，从而导致网络数据传输速度的下降。这主要是因为数据在从一处局域网传递到另一处局域网时，必须经过路由器的路由操作，路由器根据数据包中的相应信息确定数据包的目标地址，然后再选择合适的路径转发出去。VLAN，又称虚拟局域网，是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同

9、一网段中一样，由此得名虚拟局域网。相比较传统的局域网布局，VLAN技术更加灵活。为了创建虚拟网络，需要对已有的网络拓扑结构进行相应的调整。 还是连接相同的网络终端，通过如图所示的交换网络提供了同样的网络连接。虽然图二所示的网络比起图一所示网络在速度和网络时延方面都有了很大的改进和提高，但是同样存在一些不足。其中，最突出的一点就是现在所有的网络节点都处于同一个广播域内，大大增加了网络中所有设备之间的数据流量。随着网络的不断扩充，很有可能出现广播风暴，导致整个网络无法使用。VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的基

10、础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。 VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的

11、国家。 VLAN具有以下优点： 控制网络的广播风暴 采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。 确保网络安全 共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。 简化网络管理 网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用V

12、LAN网络，就像在本地使用局域网一样。 VLAN的分类主要有以下几种： 基于端口的VLAN 基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法，这实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。 基于MAC地址的VLAN 由于只有网卡才分配有MAC地址，因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。事实上，该VLAN是一些MAC地址的集合。当设备移动时，VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址，显然当网络规模很大，设备很多时，会给管理带来难度。 基于第3层的VLAN 基于第3层的VLAN是采用

13、在路由器中常用的方法：IP子网和IPX网络号等。其中，局域网交换机允许一个子网扩展到多个局域网交换端口，甚至允许一个端口对应于多个子网。 基于策略的VLAN 基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用什么样的策略？目前，常用的策略有（与厂商设备的支持有关）： 按MAC地址 按IP地址 按以太网协议类型 按网络的应用等在企业网络刚刚兴起之时，由于企业网络规模小、应用范围的局限性、对Internet接入的认识程度、网络安全及管理的贫乏等原因，使得企业网仅仅限于交换模式的状态。交换技术主要有两种方式：基于以太网的帧交换和基于ATM的信元交换，LAN交换机的每一个端口均

14、为自己独立的碰撞域，但同时对于所有处于一个IP网段或IPX网段的网络设备来说，却同在一个广播域中，当工作站的数量较多、信息流很大的时候，就容易形成广播风暴，甚者造成网络的瘫痪。在采用交换技术的网络模式中，对于网络结构的划分采用的仅仅是物理网段的划分的手段。这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的，而且在很大程度上限制了网络的灵活性，如果需要将一个广播域分开，那么就需要另外购买交换机并且要人工重新布线。由此，需要进行虚拟网络（VLAN）设置。在一个规模较大的企业中，其下属有多个二级单位，在各单位的孤立网络进行互连时，出于对不同职能部门的管理、安全和整体网络的稳定运行，我们进行了VL

15、AN的划分。第一步 子网分析该网络系统由三部分组成：公司、二级单位1、二级单位2，初始为三部分各自独立，未形成统一的网络环境，故各网络系统的运行采用的是以交换技术为主的方式。三网主干均采用的是千兆以太网技术，起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。公司中心交换机采用的是Cisco的Catalyst 6506，带有三层路由的引擎使得企业网具有将来升级的能力；同时各二级单位的中心交换机采用的亦是Cisco的Catalyst 4006；各二级、三级交换机则采用的是Cisco的Catalyst 3500系列，主要因为Catalyst 3500系列交换机的高性能和可堆叠能力

16、。现三部分应公司的要求联网，网络的互连仍采用千兆带宽，但因三网均采用了千兆以太网技术，为了不在主干形成瓶颈，因此各子网的互连采用Trunk技术，即双千兆技术，使网络带宽达到4G，如此既增加了带宽，又提供了链路的冗余，提高了整体网络的高速、稳定、安全运行性能。但亦由于网络规模的扩大化，信息流量的加大，人员的复杂化等原因，为企业网络的安全性、稳定性、高效率运行带来了新的隐患。由此引发了VLAN的划分。对于VLAN的划分，应公司的需求，我们对各VLAN的IP地址分配为：经理办子网：192.168.1.0192.168.2.0/22 网关：192.168.1.1；财务子网： 192.168.3.019

17、2.168.5.0/22 网关：192.168.3.1；供销子网： 192.168.6.0192.168.8.0/22 网关：192.168.6.1；信息中心子网：192.168.7.0/24 网关：192.168.7.1；服务器子网：192.168.100.0/24 网关：192.168.100.1其余子网： 192.168.8.0192.168.9.0/22 网关：192.168.8.1；第二步 系统分析对于Cisco的产品划分，VLAN主要是基于两种标准协议：ISL和802.1Q。在我们这里，因为所采用的均是Cisco的网络设备，故在进行VLAN间的互连时采用ISL的协议封装，该协议针对

18、Cisco网络设备的硬件平台在信息流的处理、多媒体应用的优化进行了合理有效的优化。对于不同产品的VLAN互连，我们在后面会提到。 网络拓扑图由于本案例中关于VLAN的划分扩展了各个交换机，所以交换机之间的连接都必须采用Trunk的方式。经理办和供销子网代表了VLAN划分中的两种问题扩展交换机VLAN的划分和端口VLAN的划分：在经理办虚网中，对于一个交换机扩展多个VLAN的时候，前面提到了该交换机与其上层交换机间必须采用Trunk方式连接，但在供销的虚网划分中，在二级单位1中的供销独立于一个LAN交换机Catalyst3548，所以在这里，Catalyst3548与二级中心交换机Catalys

19、t4006只需采用正常的交换式连接即可，对于此部分供销VLAN的划分，只要在Catalyst4006上针对与Catalyst3548连接的端口进行划分即可。也就是前面提到的基于端口的VLAN的划分。第三步 路由列表做完了VLAN之间的连接后，因为两个Catalyst4006与主中心交换机Catalyst6506间采用的是双光纤通道式连接，屏蔽了Catalyst406与Catalyst6506间的线路故障的产生，所以要对整体网络的路由进行基于Catalyst6506的集中式管理。我们在主中心交换机Catalyst6506上设置了VLAN路由：经理办虚网：192.168.1.1/22；财务虚网：

20、192.168.3.1/22；供销虚网： 192.168.6.1/22；信息中心虚网：192.168.7.1/24；其余虚网： 192.168.8.1/22；接下来，在中心交换机上设置路由协议RIP或OSPF，并指定网段192.168.0.0。在全局配置模式下执行如下命令：router ripnetwork 192.168.0.0 注意事项1. 在这里需要注意的是：因为整个公司的网络系统的VLAN的划分是作为一个整体结构来设计的，所以为了保持VLAN列表的一致性，例如当二级单位1的VLAN有所变化时，VLAN列表也会有所变化，这时就需要该Catalyst 4006对整体网络的其他部分进行广播，

21、以达到VLAN的列表的一致性。所以在设置VTP（VLAN Trunk Protocol）时要注意，要将VTP的域作为一个整体，即：VTP类型分别为Server和Client。2. 有些企业建网较早，所选用的网络设备为其他的厂商的产品，而后期的产品又不能与前期统一，这样在VLAN的划分中就会遇到些问题。例如：在Cisco产品与3Com产品的混合网络结构中划分VLAN，对于Cisco网络设备的Trunk的封装协议则必须采用802.1Q，以达到与3Com的通讯。虽然两者之间可以建立VLAN的正常划分，和正常的应用，但由于交换机都具有自学习的能力，以致两者之间的协调配合较差。当两者之间的连接发生变化时

22、，必须在Cisco交换机上使用命令（clear counter）进行清除，方可达到两者的重新协调工作。技术资料VLAN的实现VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。VLAN允许处于不同地理位置的网络用户加入一个逻辑子网中，共享一个广播域。通过对VLAN的创建可以控制广播风暴的产生，从而提高交换式网络的整体性能和安全性。VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换式网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN的几点优势：对网络中的广播风暴的控制；提高网络的整体安全性，通过路由访问列表、MAC地址分配

23、等VLAN划分原则，可以控制用户的访问权限和逻辑网段的大小；网络管理的简单、直观。而对于VLAN的划分则有以下四种策略：1. 基于端口的VLAN基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。2. 基于MAC地址的VLANMAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时，该方案亦不失为一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上

24、加大管理的难度。3. 基于路由的VLAN路由协议工作在七层协议的第三层：网络层，即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。4. 基于策略的VLAN基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。就目前来说，对于VLAN的划分主要采用1、3两种模式，对于方案2则为辅助性的方案。VLAN的划分设计之后，再所涉及的就是VLAN划分的最后一步：VLAN间的互连。在以前对VLAN的划分主要是通过路由器来实现的，但随着网络规模的扩大、信息量的增加，路由器无论是从端口数还是

25、系统性能上来说都已经不堪负荷，因此逐渐形成了产生网络瓶颈的主要原因。而在现在，因为有了基于交换机上的三层路由的能力，在上述两点已经得到合理地解决。虽然VLAN并非最好的网络技术，但这种用于网络结点逻辑分段的方法正为许多企业所使用。VLAN采用多种方式配置于企业网络中，包括网络安全认证、使无线用户在802.11b接入点漫游、隔离IP语音流及在不同协议的网络中传输数据等。六年前引进VLAN的时候，多数VLAN都是基于IEEE 802.1Q和802.1p标准的。802.1Q规范用于将VLAN用户信息载入以太网帧，而802.1p使二层交换机具有流量优先和实施动态多址滤波的能力。当初引进VLAN时，它被

26、看作是一个简化地址管理的方法，可以使IT人员在网络的任意点对服务器和PC机进行物理配置，并将PC机加入到组中。多数网络设备的软件可用于将媒体访问控制（MAC）地址与VLAN相关联，当客户从一个端口移动到另一个端口时，可以使其自动连接到网络上。VLAN的应用最近，休斯顿在4栋22层的建筑物中建立了网络及其子网，包括122个法庭、法律事务所和审判厅，这种建筑物非常适合建立VLAN，因为将122个私人子网合并到一个VLAN中要比将用户插入端口组容易得多。VLAN和静态IP地址也可用于安全机制。所有工作于这里的客户都分配了一个静态IP地址，通过Alcatel的OmniSwitch路由器和OmniCor

27、e 5052主干网交换器连接到网络中。这种配置方式使法官和律师在不同的法庭中都可以进行工作。这种设置可控制许可用户的访问权限以及限制未注册用户的访问，因而可以提供安全性。接入网络的唯一方法就是必须拥有一个IP地址，而且这些PC机都连接在其中的一个VLAN上。VLAN的漫游功能Massachusetts的Bridgewater州立学院配置了100多个Enterasys公司的RoamAbout 802.11b/a无线接入点，因而学生在整个校园中都可以访问Web和E-mail。如果没有对无线流量进入自己的VLAN进行隔离，那么对于希望在校园范围内保持网络连接的移动用户来说，它将成为一场噩梦。将所有的

28、无线流量置于一个VLAN中，可以确保当用户从一个接入点移动到另一个接入点时不会掉线。而实际上当整个校园中配置的Enterasys接入点只有150英尺的范围时，这种情况很容易发生。在宿舍、教室和管理机构中，利用Cisco和Enterasys混合的可堆叠交换器来连接到无线接入点。克服了一些交叉厂商的VLAN配置问题之后，现在可以在校园的任意地方漫游，无论是连接到Cisco还是Enterasys交换器上，都可以保持连接在同一VLAN上。VLAN管理VLAN不仅可用于安全和网络管理，对于混合型网络的管理来说，它同样不失为一个有益的工具。有人利用Enterasys公司的SmartSwitch可堆叠交换器

29、和SmartSwitch Router主干网交换器来在整个子网上建立VLAN，这些子网是运行多种协议的。医疗数据库建立在VAX小型机上，这种应用运行于遗留的DECnet协议之上。DECnet的确使用了大量的广播流量，可将这些流量置于其自己的VLAN上，因而DECnet数据流只能够到达一定的网段。NetWare 4.11服务器在网络上运行的情况与此类似。它只为Novell服务器及用户创建独立的IPX VLAN，这使多数基于IP和Windows NT/2000服务器的网络不会陷入IPX和DECnet流量的海洋中。隔离VoIP流量进入VLAN也成为3Com、Cisco、Alcatel、Nortel和

30、Avaya等IP电话厂商的一个标准推荐。所有这些厂商的交换器和IP PBX设备都支持802.1Q技术，这就隔离了IP语音流进入其自己的VLAN。厂商和用户都认为，在其虚拟段保持语音可能是非常有用的，作为一个隔离语音流的方法，它可以达到故障诊断的目的。如果有大流量的广播或大的文件下载，它也能确保语音质量不会下降。 虚拟局域网（VLAN）的出现打破了传统网络的许多固有观念，使网络结构变得灵活、方便、随心所欲。VLAN就是不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员

31、都共享广播，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域。 传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上，不同VLAN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络的瓶颈。 在这种情况下，出现了第三层交换技术，通俗地讲，就是将路由技术与交换技术合二为一的技术。路由器在对第一个数据流进行路由后，将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将

32、根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。 配置VLAN （1） VLAN的工作模式： 静态VLAN：管理员针对交换机端口指定VLAN。 动态VLAN：通过设置VMPS（VLAN Membership Policy Server），包含了一个MAC地址与VLAN号的映射表，当数据帧到达交换机后，交换机会查询VMPS获得相应MAC地址的VLAN ID。 （2） ISL标签：ISL（InterSwitch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及V

33、LAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。 VLAN封装的国际标准为IEEE 802.1Q。 （3） VTP（VLAN Trunking Protocol）：它是一个在交换机之间同步及传递VLAN配置信息的协议。一个VTP Server上的配置将会传递给网络中的所有交换机，VTP通过减少手工配置而支持较大规模的网络。VTP有三种模式： Server模式：允许创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息。 Client模式：在Client模式下，一台交换机不

34、能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。 Transparent模式：可以进行创建、修改、删除，也可以传递本VTP域中其他交换机送来的VTP广播信息，但并不参与本VTP域的同步和分配，也不将自己的VLAN配置传递给本VTP域中的其他交换机，它的VLAN配置只影响到它自己。 交换机在默认情况下为Server模式。 （4） 创建VLAN，默认情况下交换机只有VLAN 1,可以通过命令增加所需的VLAN。 （5） 将VLAN指定给交换机的各个端口。默认情况下交换机所有端口均属于VLAN 1，可以通过全局命令修改交换

35、机各端口的VLAN ID，但交换机每个端口只能属于一个VLAN。 配置三层交换 配置MLSP协议，使RP与SE之间可以交换信息。 配置管理端口，MLSP通过这个端口收发RP与SE之间的通信。 针对不同的VLAN分配不同的VLAN网关地址。 启动路由器的路由功能。 根据需要，可以定义VLAN虚网间的访问策略，可通过定义访问列表来实现。 我们知道，传统的局域网Ethernet 使用具有冲突检测的载波监听多路访问( CSMA / CD )方法。在CSMA / CD 网络中，节点可以在它们有数据需要发送的任何时候使用网络。在节点传输数据之前，它进行监听以了解网络是否很繁忙。如果不是，则节点开始传送数据

36、。如果网络正在使用，则节点等待。如果两个节点进行监听，没有听到任何东西，而开始同时使用线路，则会出现冲突。在发送数据时，它如果使用广播地址，那么在此网段上的所有PC都将收到数据包，这样一来如果该网段PC众多，很容易引起广播风暴。而冲突和广播风暴是影响网络性能的重要因素。为 解 决这一问题，引入了虚拟局域网（VLAN的概念。 虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。虚拟网在逻辑上等于OSI模型的第二层的广播域，与具体的物理网及地理位置无关。虚拟工作组可以包含不同位置的部门和工作组，不必在物理上重新配置任何端口，真正实现了网络用户与它们的物理位置无关。虚拟网技术把传统的广播域按需要

37、分割成各个独立的子广播域，将广播限制在虚拟工作组中，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。我们结合下面的图来看看讲下。图1所表示的是两层楼中的相同性质的部门划分到一个VLAN中，这样，会计的数据不会向市场的机器上广播，也不会和市场的机器发生数据冲突。所以VLAN有效的分割了冲突域和广播域。我们可以在交换机的某个端口上定义VLAN ，所有连接到这个特定端口的终端都是虚拟网络的一部分，并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要的数据流量减至最少，隔离各个VLAN间的传输和可能出现的问题，使网络吞吐量大大增加，减少了网络延迟。在

38、虚拟网络环境中，可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。这样一来有效的实现了数据的保密工作，而且配置起来并不麻烦，网络管理员可以逻辑上重新配置网络，迅速、简单、有效地平衡负载流量，轻松自如地增加、删除和修改用户，而不必从物理上调整网络配置。既然VLAN有那么多的优点，我们为什么不了解它从而把VLAN技术应用到我们的现实网络管理中去呢。好的让我们通过实际的在Catalyst 1900交换机上来配置静态VLAN的例子来看看如何在交换机上配置VLAN。 图1 在Catalyst 1900 上的两个VLAN设置好超级终端，连接上1900交换机后（可以参考1900系列以太网交

39、换机快速入门指南或其他的CISCO参考资料），会出现如下的主配置界面： -1 user(s) now active on Management Console.User Interface MenuM MenusK Command LineI IP ConfigurationEnter Selection:我们简单介绍下，这儿显示了三个选项，M Menus 是主菜单，主要是交换机的初始配置和监控交换机的运行状况。K Command Line 是命令行，很象路由器里面用命令来配置和监控路由器一样，主要是通过命令来操作。I IP Configuration 是配置IP地址、子网掩码和默认网管的一个

40、选项。这是第一次连上交换机显示的界面，如果你已经配置好了IP Configuration，那么下次登陆的时候将没有这个选项。因为用命令配置简洁明了，清晰易懂，所以我们通过 K Command Line 来实现VLAN的配置的。设置好超级终端，连接上1900交换机后（可以参考1900系列以太网交换机快速入门指南或其他的CISCO参考资料），会出现如下的主配置界面： -1 user(s) now active on Management Console.User Interface MenuM MenusK Command LineI IP ConfigurationEnter Selection

41、:我们简单介绍下，这儿显示了三个选项，M Menus 是主菜单，主要是交换机的初始配置和监控交换机的运行状况。K Command Line 是命令行，很象路由器里面用命令来配置和监控路由器一样，主要是通过命令来操作。I IP Configuration 是配置IP地址、子网掩码和默认网管的一个选项。这是第一次连上交换机显示的界面，如果你已经配置好了IP Configuration，那么下次登陆的时候将没有这个选项。因为用命令配置简洁明了，清晰易懂，所以我们通过 K Command Line 来实现VLAN的配置的。我们选择 K Command Line ，进入命令行配置Enter Select

42、ion:K 回车CLI session with the switch is open.To end the CLI session,enter Exit .现在我们进入到了交换机的普通用户模式， 就象路由器一样，这种模式只能查看现在的配置，不能更改配置，并且能够使用的命令很有限。我们输入enable，进入特权模式：enable#config tEnter configuration commands,one per line.End with CNTL/Z(config)#为了安全和方便起见，我们给这个交换机起个名字，并且设置登陆密码。(config)#hostname 1900Switch

43、1900Switch(config)# enable password level 15 goodwork1900Switch(config)#注意：密码必须是4-8位的字符。交换机密码的设置和路由器稍微不同，交换机用 level 级别的大小来决定密码的权限。Level 1 是进入命令行界面的密码，也就是说，设置了 level 1 的密码后，你下次连上交换机，并输入 K 后，就会让你输入密码，这个密码就是 level 1 设置的密码。而 level 15 是你输入了enable命令后让你输入的特权模式密码。路由器里面是使用 enable password 和 enable screet做此区分

44、的。好拉，我们已经设置好了名字和密码这样就足够安全了，让我们设置VLAN。VLAN的设置分以下2步：1 设置VLAN名称2 应用到端口 我们先设置VLAN的名称。使用 vlan vlan号 name vlan名称。 在特权配置模式下进行配置：1900Switch (config)#vlan 2 name accounting1900Switch (config)#vlan 3 name marketing 我们新配置了2个VLAN，为什么VLAN号从2开始呢？这是因为默认情况下，所有的端口否放在VLAN 1上，所以要从2开始配置。1900系列的交换机最多可以配置1024个VLAN，但是，只能有

45、64个同时工作，当然了，这是理论上的，我们应该根据自己网络的实际需要来规划VLAN的号码。配置好了VLAN名称后我们要进入每一个端口来设置VLAN。在交换机中，要进入某个端口比如说第4个端口，要用 interface Ethernet 0/4，好的，结合上面给出的图我们让端口2、3、4和5属于VLAN2 ，端口17-22属于VLAN3 。命令是 vlan-membership static/ dynamic VLAN号 。 静态的或者动态的两者必须选择一个，后面是刚才配置的VLAN号。好的，我们看结果：1900Switch(config)#interface ethernet 0/21900S

46、witch(config-if)#vlan-membership static 21900Switch(config-if)#int e0/31900Switch(config-if)#vlan-membership static 21900Switch(config-if)#int e0/4 1900Switch(config-if)#vlan-membership static 21900Switch(config-if)#int e0/5 1900Switch(config-if)#vlan-membership static 21900Switch(config-if)#int e0/171900Switch(config-if)#vlan-membership static 3。1900Switch(config-if)#int e0/221900Switch(config-if)#vlan-membership static 31900Switch(config-if)# 好的，我们已经把VLAN都定义到了交换机的端口上了。这儿，我们只是配置的静态的，关于动态的，我们在后面会有提及的。到现在为止，我们已经把交换机的VLAN配置好了，怎么样，没有你想象的那么复杂吧：）。为了验证我们的配置，我们在特权模式使用 sho