第13章 VLAN

概述
3. VLAN的划分方法 的划分方法 (1) 根据端口号创建 根据端口号创建VLAN 在早期，VLAN的创建都是通过网络管理员 在早期，VLAN的创建都是通过网络管理员 根据交换机的端口号进行手工配置 端口号进行手工配置， 根据交换机的端口号进行手工配置，从而定义 VLAN的成员关系 (membership)。在这种情况 的成员关系 。 中的成员与端口所连接的主机无关。 下，VLAN中的成员与端口所连接的主机无关。 中的成员与端口所连接的主机无关 例如，某台交换机上的端口 例如，某台交换机上的端口1,2,3,7,8所连 所连 接的工作站构成一个VLAN，而端口 接的工作站构成一个 ，而端口4,5,6则构 则构 成另一个VLAN。 （教材：P182 图5-30a） 成另一个 。 教材： ）
VLAN的划分方法 的划分方法
(3) 根据 地址创建 根据IP地址创建 地址创建VLAN 这主要是根据连接到交换机端口上的主机 这主要是根据连接到交换机端口上的主机 地址来定义 的成员关系。 的IP地址来定义 地址来定义VLAN的成员关系。 的成员关系 在这种情况下，需要将站点的 地址映射 在这种情况下，需要将站点的IP地址映射 到VLAN，交换机则根据 地址决定哪些用户属 ，交换机则根据IP地址决定哪些用户属 于同一个VLAN （交换机会根据 地址将各用 交换机会根据IP地址将各用 于同一个 户的MAC地址与 地址与VLAN联系起来）。 联系起来）。 户的 地址与 联系起来
1. VLAN的概念 的概念
VLAN 的创建是为了满足这样的需求： 的创建是为了满足这样的需求： 一个单位组织中的某一部门，比销售部， 一个单位组织中的某一部门，比销售部， 它可能包括了好几间办公室， 它可能包括了好几间办公室，这些办公室可能 位于同一栋楼的不同楼层， 位于同一栋楼的不同楼层，甚至位于不同的大 楼之中。 楼之中。 那么，能不能经济而有效地让销售部门的 那么， 那些机器形成一个子网，实现其内部信息的隔 那些机器形成一个子网， 并保证内部信息的安全性？ 离，并保证内部信息的安全性？
VLAN的划分方法 的划分方法
(2) 根据 根据MAC地址创建 地址创建VLAN 地址创建 这是根据连接在交换机上的主机的 这是根据连接在交换机上的主机的MAC地 主机的 地 来划分VLAN，即由网管人员指定属于同一 址来划分 ， 的各工作站的MAC地址。 地址。 个VLAN的各工作站的 的各工作站的 地址 在这种情况下，某个工作站属于哪个 在这种情况下，某个工作站属于哪个VLAN 只与它的MAC地址有关，而与它连接在交换机 地址有关， 只与它的 地址有关 的哪个端口无关。 的哪个端口无关。
(2) 根据 根据MAC地址创建 地址创建VLAN 地址创建
用主机的MAC地址来进行定义 地址来进行定义VLAN的成 用主机的 地址来进行定义 的成 员关系，既有优点又有缺点。 员关系，既有优点又有缺点。 优点：由于 地址是固化在网卡中的， 优点：由于MAC地址是固化在网卡中的， 地址是固化在网卡中的 因此当工作站移动时，无需重新配置，而且同 因此当工作站移动时，无需重新配置， 一个MAC地址可以位于多个 地址可以位于多个VLAN中。 一个 地址可以位于多个 中 缺点： 缺点：在最初时所有的主机都必须被配置 到至少一个VLAN中（以手工方式），因为只有 ），因为只有 到至少一个 中 以手工方式）， 在手工配置之后，才能实现对VLAN成员的自动 在手工配置之后，才能实现对 成员的自动 跟踪。在大型的网络中， 跟踪。在大型的网络中，完成初始的配置并不 是一件容易的事。 是一件容易的事。
概述
2. VLAN的功能及优点 的功能及优点 1) 实现广播控制 (Broadcast Control)。 。 划分到一个VLAN中的所有站点是同一个广 划分到一个 中的所有站点是同一个广 播域中的成员。如果某个站点发送了一个广播， 播域中的成员。如果某个站点发送了一个广播， 该广播将被VLAN中的所有成员接收到，而不是 中的所有成员接收到， 该广播将被 中的所有成员接收到 成员的所有站点则会过滤掉该广播。 此VLAN成员的所有站点则会过滤掉该广播。 成员的所有站点则会过滤掉该广播 通常情况下，交换机不能分隔广播域， 通常情况下，交换机不能分隔广播域，但通 过将一个交换式网络中的站点划分为多个VLAN 过将一个交换式网络中的站点划分为多个 即多个广播域）， ），就可以实现对广播范围的控 （即多个广播域），就可以实现对广播范围的控 以减少网络带宽资源的浪费。 制，以减少网络带宽资源的浪费。
VLAN的功能及优点 的功能及优点
3) 增强网络安全性 (Security) 。不同 不同VLAN 之间是不能够相互直接进行访问的。因此， 之间是不能够相互直接进行访问的。因此，按 其职责权限把不同的用户划归在不同的VLAN 其职责权限把不同的用户划归在不同的 就可以使内部信息得到保护， 中，就可以使内部信息得到保护，从而增强安 全性。 全性。 4) 通过划分 通过划分VLAN容易实现故障隔离。 容易实现故障隔离。 容易实现故障隔离 5) 通过划分 通过划分VLAN可以简化网络的管理。因 可以简化网络的管理。 可以简化网络的管理 的创建、 为VLAN的创建、修改和删除都很方便。 的创建 修改和删除都很方便。
概述
4. 实现 实现VLAN时要考虑的问题 时要考虑的问题 1) 采用高性能的交换设备，能够将所连接的工 采用高性能的交换设备， 作站进行逻辑分段。 作站进行逻辑分段。 2) 如何在多个交换设备之间传递 如何在多个交换设备之间传递VLAN成员的 成员的 信息， 内部的通信。 信息，即VLAN内部的通信。 内部的通信 3) 第3层路由解决方案，即VLAN之间的通信 层路由解决方案， 之间的通信. 层路由解决方案 之间的通信 4) 网管方案，以提高集中控制、配置和流量管 网管方案，以提高集中控制、 理功能。 理功能。
VLAN的功能及优点 的功能及优点
• 广播控制 广播控制 (Broadcast Control) • 灵活 (Flexibility) • 安全 (Security)
3rd floor
2nd floor
ห้องสมุดไป่ตู้
1st floor
SALES
HR
ENG
A VLAN = A broadcast domain = Logical network (subnet)
1. VLAN的概念 的概念
在传统的LAN中，网络中的广播域是根据 中 在传统的 物理网络的结构来划分的。 物理网络的结构来划分的。交换机可以分隔冲 突域，路由器可以分隔广播域。 突域，路由器可以分隔广播域。 VLAN则是指，不管网络设备或用户工作站 则是指， 则是指 的物理位置在何处， 的物理位置在何处，可以在交换机上通过对物 理网络结构的重新分配而形成新的LAN网段， 网段， 理网络结构的重新分配而形成新的 网段 且每个LAN网段都分别构成一个广播域，可以 网段都分别构成一个广播域， 且每个 网段都分别构成一个广播域 把它们看成是通过虚拟而构成的LAN，称之为 把它们看成是通过虚拟而构成的 ， VLAN。 。
VLAN的功能及优点 的功能及优点
2) 提高管理效率，增强灵活性 (Flexibility)。 提高管理效率， 。 在早期， 在早期，网络中站点的移动和添加等工作 是最让网络管理员头疼的问题之一， 是最让网络管理员头疼的问题之一，是网络维 护中开销比较大的一部分工作。 护中开销比较大的一部分工作。VLAN技术则能 技术则能 够在逻辑上将不同地理位置的工作站划分在同 一个广播域内， 一个广播域内，而且可以非常灵活地添加或删 除其成员，从而便于网络的扩展和改动， 除其成员，从而便于网络的扩展和改动，提高 了管理效率，增强了网络的灵活性。 了管理效率，增强了网络的灵活性。
第十三章 使用VLAN VLAN扩展交换 使用VLAN扩展交换 网络
©2002. 张羿
1-1
概述
1. 虚拟局域网 虚拟局域网(Virtual LAN, VLAN)的概念 的概念 IEEE 802委员会于 委员会于1996年3月发布了关于 委员会于 年 月发布了关于 VLAN的技术标准 802.1Q ，目前已得到众多厂 的技术标准 商的支持。 商的支持。 标准中， 在IEEE 802.1Q标准中，对VLAN的定义 标准中 的定义 如下： 如下：
VLAN的功能及优点 的功能及优点
如果一个广播域内的主机较多（ 如果一个广播域内的主机较多（比如超过 300台），网络传输效率就会大打折扣，而且任 网络传输效率就会大打折扣， 台），网络传输效率就会大打折扣 何一块网卡损坏或某台机器感染病毒， 何一块网卡损坏或某台机器感染病毒，都会对 整个网络产生重大影响。 整个网络产生重大影响。 通过划分VLAN，就可以分隔广播域，每 ，就可以分隔广播域， 通过划分 个广播域中的计算机数量就可以减少， 个广播域中的计算机数量就可以减少，从而大 大提高网络传输效率。 大提高网络传输效率。
VLAN示意图 示意图
3rd floor
2nd floor
1st floor
SALES
HR
ENG
A VLAN = A broadcast domain = Logical network (subnet)
1. VLAN的概念 的概念
同一个VLAN中的用户（站点）都从事相 中的用户（站点） 同一个 中的用户 同的活动（比如， 同的活动（比如，在某个大公司负责产品的销 售），它们是逻辑地连接在一起，而不是物理 ），它们是逻辑地连接在一起， 它们是逻辑地连接在一起 地连接在一起， 地连接在一起，而且某个工作站可以逻辑地划 分到几个VLAN中（比如，公司中负责管理业 分到几个 中 比如， 务的副总裁可以划分到生产、销售和财务这3 务的副总裁可以划分到生产、销售和财务这 个VLAN中）。 中 VLAN的划分是在交换机中通过管理软件 的划分是在交换机中通过管理软件 来实现的。 来实现的。
1. VLAN的概念 的概念
虚拟局域网(VLAN)是由一些 是由一些LAN网段构 虚拟局域网 是由一些 网段构 成的、与物理位置无关的逻辑工作组(logical 成的、与物理位置无关的逻辑工作组 workgroup) , 这些工作组具有某些共同的需 求。 VLAN中的每个数据帧都有一个明确的 中的每个数据帧都有一个明确的 标识符(Identifier，ID)，用来指明发送这个 标识符 ， ， 帧的工作站属于哪一个VLAN。 帧的工作站属于哪一个 。
(1) 根据端口号创建 根据端口号创建VLAN
早期的VLAN不能跨越交换机，但后来技术 不能跨越交换机， 早期的 不能跨越交换机 的发展使得VLAN可以跨越多个交换机。 可以跨越多个交换机。 的发展使得 可以跨越多个交换机 成员的定义， 目前， 端口号进行VLAN成员的定义，仍 目前，按端口号进行 进行 成员的定义 然是创建VLAN的一种常用方法，这种 的一种常用方法， 然是创建 的一种常用方法 这种VLAN也 也 称为静态 静态(static) VLAN。这种方法的特点是简 称为静态 。 单有效。 单有效。 当工作站从一个交换机端口移至另一个端口 如果要维持其VLAN成员关系，网管人员需 成员关系， 时，如果要维持其 成员关系 要对VLAN成员进行重新配置。 成员进行重新配置。 要对 成员进行重新配置
VLAN的划分方法 的划分方法
当某一主机的IP地址改变时，交换机能够 当某一主机的 地址改变时， 地址改变时 自动识别并重新定义VLAN，无需网络管理员 自动识别并重新定义 ， 的干预。 的干预。
总结: 总结 VLAN的划分方法 的划分方法
VLAN的3种划分方法 的 种划分方法 种划分方法: 1) 基于交换机的端口号 基于交换机的端口号; 2) 基于主机的 基于主机的MAC地址 地址; 地址 3) 基于主机的 地址。 基于主机的IP地址 地址。 基于交换机的端口号来划分VLAN(即静 即 基于交换机的端口号来划分 使用的方法之一， 态VLAN)，是最普遍使用的方法之一，也是 ， 最普遍使用的方法之一 目前所有交换机都支持的一种划分方法。 目前所有交换机都支持的一种划分方法。用 其他方式划分的VLAN称为动态 称为动态 。 其他方式划分的 称为动态VLAN。