VLAN的划分

VLAN的划分
⼀台思科三层交换机划分3个vlan
vlan 2：ip 192.168.1.1 255.255.255.0 192.168.1.254 ⽹段
vlan 3 :ip 192.168.2.1 255.255.255.0 192.168.2.254
vlan 4 ip 192.168.3.1 255.255.255.0 192.168.3.254
各vlan 之间能互相通迅.
现在增加1台cisco路由想实现共享上⽹
cisco 路由器配置NAT，如何使⽤静态路由协议，实现各vlan上公⽹。

拓扑图如下：
我这⾥再说清楚⼀点嘛！我们的PC0、PC1处在VLAN2中，PC2、PC3处在VLAN3中，Server 0处在VLAN4中。

现在要使我们内⽹能够正常访问我们的Server0服务器，然后同时还要能够访问我们的ISP外⽹的WWW服务器。

那么我们现在从三层交换机开始来配置，我们现在来看看如何配置呢？
我们现在去PC0上⾯看看能够分配到IP地址不？
我们服务器的IP地址⼀般都得⼿⼯配置，如果使⽤DHCP来⾃动分配的话，到最后那台服务器的IP地址是那⼀个我们都不太添楚呢？所以我们⼀般都是⼿⼯输⼊。

我们现在来测试⼀下看看我们内⽹，通过三层交换机在不同的VLAN间互相访问有没有问题？
从PC0上在我们可以看见，从PC0可以到达VLAN3与VLAN4，这就说明我们通过三层交换机，可以实现VLAN间路由，那么我们加⼀台路由器以后，我们怎么来解决呢？
我们现在去路由器上⾯来看看它的配置。

我们在我们的路由器上⾯查看⼀下我们的路由表。

我们可以看见上⾯三条是我们在三层交换机上⾯配置的SVI接⼝。

我们在PC0上⾯再来测试⼀下看看能够ping通我们的路由器呢？
我们可以看见，能够正常访问我们的路由器，那我们在路由器上⾯来做NAT访问我们的ISP 以及公⽹的WWW服务器。

以上这⼏条是允许192.168.1.0/24、192.168.2.0/24、192.168.3.0/24这三个⽹段可以通过NAT出去。

我们现在把ISP端配置起来！
下⾯我们来看看ISP端的WWW服务器的IP地址。

好了，我们现在基本上配置都完成了。

我们去PC0上⾯来测试⼀下看看。

看看我们现在能够正常访问我们的ISP端的WWW服务器.
VLAN的划分与实现
1.VLAN的概念
先来了解⼀下什么是VLAN。

VLAN（Virtual LAN）是“虚拟局域⽹”。

是⼀个可以跨不同⽹段，不同⽹络的逻辑⽹络。

既然是虚拟局域⽹他必然有局域⽹的特性，⽐如共享资源。

VLAN所指的LAN特指使⽤路由器或者交换机分割的⽹络，也就是⼴播域（⼴播域，指的是⼴播帧所能传递到的范围，亦即能够直接通信的范围）。

举个例⼦：⼀个学校分为A,B,C 三个系，各个系⼜有不同的职能部门，这三个系分别在三个不同的教学楼⾥⾯，学校要求各个不同系的部门之间要经常交流数据，共享资源。

这样需要把这三个系要交流的部门划分到⼀个VLAN⾥⾯。

这样就是⼀个典型的VLAN。

另外关于VLAN的标准：在1995年，
Cisco公司提倡使⽤IEEE802.10协议。

在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同⼀规范。

IEEE于1999年颁布了⽤以标准化VLAN实现⽅案的802.1Q协议标准草案。

802.1Q的出现打破了虚拟⽹依赖于单⼀⼚商的僵局，从⼀个侧⾯推动了VLAN的迅速发展。

另外，来⾃市场的压⼒使各⼤⽹络⼚商⽴刻将新标准融合到他们各⾃的产品中。

2.为什么要⽤VLAN
运⽤VLAN可以做到：
（1）减少⼴播域的⼯作点。

，在⼀个VLAN内的⼴播包不会跑到别的VLAN 上去。

通过限制⼀个VLAN 上的设备数⽬，在⼀个VLAN 上的⼴播率便可受到控制。

⼀个正常的⼴播率应该平均每秒不超过30 个⼴播包（但通过⽹友的现场性能监测，建议⼴播不应该超出30 个/秒）。

（2）增强安全性。

因为虚拟局域⽹上各个⼦⽹上的⼴播不会扩散开这样就保证了数据的私有性和安全性。

（就像在⼀个物理局域⽹中，⼯作站少了出问题的可能性就⽐较⼩）即便是⼏⼗台机器的⼩型局域⽹，如果要保证数据的隔离安全，也可以尝试划分VLAN来实现。

当不同的VLAN间要互访信息的时候需要通过三层的交换机。

这样的话数据包容易被管理⼈员监视。

提⾼了⽹络的安全系数。

（3）⽅便⽹络设备的管理。

假定我们把所有的打印机都规划在⼀个⼦⽹上，⽽每⼀个打印机都必须在同⼀个⼴播域⾥。

这样等于需要在每⼀个楼层上，分别安装交换机。

这些交换机都需要光缆和铜缆的连接，⽽这些打印机⼦⽹都需要连接到⾃⼰的专⽤路由器端⼝上。

既然说到需要运⽤VLAN那么现在就有必要讨论⼀下VLAN的优点和缺点。

优点如下：
（1）能够简化⽹络管理，使得⽹络管理简单⽽且直观
（2）能够控制⼴播风暴
（3）能够提⾼⽹络的整体安全性
缺点如下：
（1）在使⽤MAC地址定义VLAN的技术中，必须进⾏初始配置。

⽽对⼤规模的⽹络进⾏初始化⼯作时，需要把成百上千的⽤户配置到某个虚拟局域⽹之中，因此，初始⼯作过于烦琐。

（2）当使⽤局域⽹交换机的端⼝划分VLAN成员的⽅法时，⽤户从⼀个交换机的端⼝移动到另⼀个端⼝时，⽹络管理员必须对VLAN的成员重新配置。

（3）需要专职的⽹络管理员和必要的专业技术⽀持，这样需要企业有⼀定的投⼊去维护VLAN.
使⽤VLAN的场合：
⼀般，在⼏⼗台以下计算机构成的⼩型局域⽹中，除⾮需要彼此的数据隔绝，否则没有必要划分虚拟局域⽹。

在⼏百台乃⾄上千台计算机构成的⼤中型局域⽹中，划分和建⽴虚拟局域⽹，应当说是⼗分必要的。

这是因为⼤型局域⽹产⽣⼴播风暴的可能性⼤⼤增加，⽽虚拟局域⽹技术能够有效地隔离⼴播风暴。

3.实现VLAN的划分需要哪些资源：
⼀般来说计算机的系统构成都需要软件和硬件。

VLAN也从这两个⽅⾯来说
软件：像其他系统⼀样，VLAN需要⼀个管理软件来实现它的维护。

硬件：需要⼀个⽀持VLAN功能的交换机。

4．VLAN的实现：
1.虚拟局域⽹实现的基本原则：
（1）考虑到交换机软件的兼容性，在整个局域⽹中应当尽量使⽤同⼀⼚家的⽀持VLAN的交换机。

如果设备不兼容⽹络是⽆法正常运转的，风险太⼤。

所以⼀定要⽤兼容的。

（2）为了实现⽹络的统⼀管理，在可以使⽤交换机的场合尽量使⽤交换机，并且尽可能多地将计算机接⼊交换机的端⼝，⽽不是集线器或路由器的端⼝。

（3）在整个⽹络中，应尽量使⽤第3层以上的交换机来取代传统的路由器。

这是由于实现路由功能，既可以采⽤路由器，也可以采⽤第三层交换机（路由交换机）。

⽽只有采⽤路由交换机，才能综合交换和路由这两种功能，这样才能既保证传统路由功能的实现，也实现VLAN的技术。

另⼀⽅⾯考虑，VLAN属于星形的⽹路拓扑结构，这样要求中间设备有相当的稳定性。

所以最好选⽤三层的交换机，能够有技术过硬的⼚商的品牌就更好了。

（4）尽可能地使整个⽹络成为树型结构，以保证整个⽹络的层次性，以及VLAN 的物理连通性。

层次清晰⽅便管理⼈员管理，如果⾮常乱的话对于⽇后的升级管理都是不⼩的阻碍。

（5）⾸先，根据应⽤的需要来选择交换机，使所选的交换机应能够满⾜实际需要。

其次，通过交换机相应的软件将整个⽹络划分为多个VLAN，⽆论每个VLAN 上计算机的物理位置如何，都可以划分在⼀个逻辑⼯作组内。

各个VLAN可以相互连通，也可以设置为互不相通。

2.VLAN实现的⽅式：
这个和物理局域⽹很相似，分为动态和静态。

也有观点说有三种甚⾄五种实现⽅式，实际上⼤同⼩异。

不过是细分了⼀下动态的实现⽅式，最经典的就是动态的和静态的划分。

（1）静态实现是⽹络管理员将交换机端⼝分配给某⼀个VLAN，这是⼀种以前最经常使⽤的配置⽅式，容易实现和监视，⽽且⽐较安全。

因为是绑定MAC地址，解析起来⽐较消耗⽹络带宽资源，⽽且机动性不强，初期配置相当⿇烦，是⼀个相当⼤且繁琐的⼯作。

现在这种实现⽅式⽤的⽐较少。

（2）动态实现⽅式中，管理员必须先建⽴⼀个较复杂的数据库，例如输⼊要连接的⽹络设备的MAC地址及相应的VLAN号，这样当⽹络设备接到交换机端⼝时交换机⾃动把这个⽹络设备所连接的端⼝分配给相应的VLAN。

动态VLAN的配置可以基于⽹络设备的MAC地址、IP地址、应⽤或者所使⽤的协议。

实现动态VL AN时⼀般使⽤管理软件来进⾏管理。

动态跟静态⽐起来开始⽐较⽅便。

⽅案⽐较多，现在⽐较主流。

通过设置VMPS（VLAN MembershipPolicy Server），包含了⼀个MAC地址与VLAN号的映射表，当数据帧到达交换机后，交换机会查询VMPS获得相应MAC地址的VLAN ID。

具体分起来：
1．基于交换机端⼝划分的VLAN
这种划分是把⼀个或多个交换机上的⼏个端⼝划分⼀个逻辑组，这是最简单、最有效的划分⽅法。

该⽅法只需⽹络管理员对⽹络设备的交换端⼝进⾏分配和设置，不⽤考虑该端⼝所连接的设备。

交换机的端⼝，可以分为以下两种：访问链接（Access Link）根据英⽂可以得到意思是⽤来访问⽤的，相当于物理局域⽹的LAN⼝，汇聚链接（Trunk Link）⼜叫主⼲⼝，根据意思判断相当于W AN⼝。

2．基于MAC地址划分的VLAN
基于MAC地址划分VLAN就是以⽹卡的MAC地址来决定⾪属的虚拟⽹。

MAC地址是指⽹卡的标识符，每⼀块⽹卡的MAC地址都是惟⼀的，并且已经固化在⽹卡上。

MAC地址由12位16进制数表⽰，前8位为⼚商标识，后4位为⽹卡标识。

⽹络
管理员可以按照各个⽹络节点的MAC地址将⼀些站点划分为⼀个逻辑⼦⽹VLAN-l，将另外⼀些站点划分为另⼀个逻辑⼦⽹VLAN-2。

3．基于⽹络层协议或地址划分的VLAN
路由协议⼯作在⽹络层，相应的⼯作设备有路由器和路由交换机（即三层交换机）。

基于⽹络层的虚拟⽹有多种划分⽅式，例如当⽹络中存在多种协议时，可以通过不同的可路由协议来划分多个VLAN；当然，也可以使⽤⽹络层地址来确定虚拟⽹络的成员。

例如对于使⽤TCP/IP协议的⽹络，可以使⽤⼦⽹段的地址来划分VLAN。

4．基于IP⼴播组划分的VLAN
基于IP⼴播组划分的VLAN是以动态的⽅式建⽴的多点⼴播组来确定虚拟⽹。

每⼀站点通过对标识不同虚拟⽹的⼴播信息的确认来决定是否加⼊某⼀虚拟⽹。

根据IP⼴播组划分的VLAN是利⽤了⼀种被称为代理的设备对虚拟⽹络的成员进⾏管理。

以这种⽅式定义VLAN时，任何属于同⼀IP⼴播组的计算机都属于同⼀虚拟⽹。

5．基于策略划分的VLAN（此种⽅式VLAN技术⽩⽪书中未与其他并列提到，策略与⼚商设备的⽀持有关）
基于策略的VLAN划分是⼀种⽐较有效⽽且直接的⽅式。

这主要取决于在VLAN 划分中所采⽤的策略。

前边所述的任何⼀种⽅法都可以算作是⼀种策略，利⽤上述这些策略还可以组合为新的策略。

当⼀种策略被定义到交换机上时，该策略就会应⽤到整个⽹络上。

实现VLAN的设备
上⾯提到，实现VLAN需要的硬件设备是带路由功能的交换机。

也就是说可以是⼀个三层交换机，也可以是⼀个路由器，带着⼀个⼆层交换机。

传统的路由器在⽹络中有路由转发、防⽕墙、隔离⼴播等作⽤，⽽在⼀个划分了VLAN以后的⽹络中，逻辑上划分的不同⽹段之间通信仍然要通过路由器转发。

由于在局域⽹上，不同VLAN之间的通信数据量是很⼤的，这样，如果路由器要对每⼀个数据包都路由⼀次，随着⽹络上数据量的不断增⼤，路由器将不堪重负，路由器将成为整个⽹络运⾏的瓶颈。